Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

在路由器上配置 MPLS 防火墙过滤器和监管器

您可以将 MPLS 防火墙过滤器配置为基于数据包中的顶级 MPLS 标签的 EXP 位对数据包进行计数。您也可为 MPLS Lsp 配置监管器。

以下各节讨论 MPLS 防火墙过滤器和监管器:

配置 MPLS 防火墙过滤器

您可以将 MPLS 防火墙过滤器配置为基于数据包中的顶级 MPLS 标签的 EXP 位对数据包进行计数。然后,您可以将此过滤器应用于特定接口。您还可以将 MPLS 过滤器的监管器配置为过滤器所连接的接口上的流量(即速率限制)。您不能将 MPLS 防火墙过滤器应用于以太网(fxp0)或回传(lo0)接口。

您可以在[edit firewall family mpls filter filter-name term term-name from]层次结构级别为 MPLS 过滤器配置以下匹配条件属性:

  • exp

  • exp-except

这些属性可接受范围为0到7的 EXP 位。您可以配置以下选项:

  • 一个 EXP 位 —例如, exp 3;

  • 多个 EXP 位,例如 exp 0, 4;

  • 一系列 EXP 位,例如 exp [0-5];

如果不指定匹配条件(即,不配置from语句并仅使用带有thencount action 关键字的语句),则所有 MPLS 数据包都将被计算出应用过滤器的接口。

您还可以在[edit firewall family mpls filter filter-name term term-name then]层次结构级别配置以下任何操作关键字:

  • count

  • accept

  • discard

  • next

  • policer

有关如何配置防火墙过滤器的信息,请参阅 路由 策略、防火墙过滤器和流量管制器用户指南。有关如何配置接口的信息,请参阅 Junos OS 路由设备的https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-network-interfaces/network-interfaces.html网络接口库 和 Junos OS 服务接口

例子配置 MPLS 防火墙过滤器

以下示例说明如何配置 MPLS 防火墙过滤器,然后将过滤器应用于接口。此过滤器配置为将 EXP 位设置为0或4的 MPLS 数据包计数。

下面显示 MPLS 防火墙过滤器的配置:

以下内容说明如何将 MPLS 防火墙过滤器应用于接口:

MPLS 防火墙过滤器适用于接口的输入和输出(请参阅上一示例中inputoutput和语句)。

配置 Lsp 监管器

MPLS LSP 监察允许您控制通过特定 LSP 转发的流量量。监管有助于确保通过 LSP 转发的流量不会超过所请求的带宽分配量。LSP 监管受常规 Lsp 支持、使用 DiffServ 感知流量工程配置的 Lsp 和组播 Lsp。您可以为每个组播 LSP 配置多个监管器。对于常规 Lsp,每个 LSP 监管器都将应用于流经 LSP 的所有信息流。一旦经过 LSP 的流量总和超过配置的限制,策略程序的带宽限制就会生效。

注:

PTX10003 路由器仅支持常规 Lsp。

您在过滤器中配置组播 LSP 和 DiffServ 感知流量工程设计 LSP 监管器。可将过滤器配置为区分不同的类类型,并将相关监管器应用于每个类类型。监管器根据 EXP 位区分类类型。

family any过滤器下配置 LSP 监管器。由于family any监管器应用于进入 LSP 的信息流,因此使用过滤器。此信息流可能来自不同的系列:IPv6、MPLS 等。只要符合条件适用于所有类型的信息流,您就无需知道正在进入 LSP 的信息流。

您只能配置应用于所有类型的信息流的匹配条件。以下是 LSP 监管器支持的匹配条件:

  • forwarding-class

  • packet-length

  • interface

  • interface-set

要在 LSP 上启用监管器,首先需要配置监察过滤器,然后将其包含在 LSP 配置中。有关如何配置策略器的信息,请参阅 路由策略、防火墙 过滤器和流量管制器用户指南

要为 LSP 配置监管器,请通过在filterpolicing语句中包含以下选项来指定过滤器:

您可以将policing语句包含在以下层次结构级别:

LSP 监管器限制

配置 MPLS LSP 监管器时,请注意以下限制:

  • LSP 监管器仅受数据包 Lsp 支持。

  • LSP 监管器仅支持单播下一跃点。不支持多播下一跳跃。

  • 在聚合接口上不支持 LSP 监管器。

  • LSP 监管器在任何输出过滤器之前运行。

  • 源自路由引擎的信息流(例如,ping 信息流)不会获得与传输信息流相同的转发路径。这种类型的信息流不能 policed。

  • LSP 监管器在拥有互联网处理器 II 应用程序特定集成电路(ASIC)的所有 T Series 路由器和 M Series 路由器上工作。

注:

从 Junos OS 版本 12.2 r (仅限 T Series 路由器)开始,您可以为特定 LSP 配置 LSP 监管器,以便在不同协议系列类型之间共享。为此,您必须在[edit firewall policer policer-name]层次结构级别上配置逻辑接口监管器语句。

示例:配置 LSP 监管器

以下示例显示如何为 LSP 配置监管过滤器:

配置自动监管器

Lsp 的自动监管允许您为网络流量提供严格的服务保证。此类保证在差异化 Lsp 服务的环境中特别有用,可在 MPLS 网络上为 ATM 电线提供更好的仿真。有关 Lsp 服务差异化的详细信息,请参阅DiffServ 感知流量工程设计简介

面向流量的差异化服务 Lsp 允许您根据 EXP 位提供差异处理,以便 MPLS 信息流。为确保这些流量的保证,只需正确标记流量就足够了。如果流量遵循拥塞的路径,则可能无法满足这些要求。

Lsp 保证可沿着可用于满足要求的足够资源的路径建立。但是,即使在此类路径上建立了 Lsp 并标记得正确,也不能保证这些要求,除非您确保没有比可用带宽更多的流量发送到 LSP。

通过手动配置相应的过滤器并将其应用于配置中的 LSP,可以对 LSP 流量进行警方。但是,对于大型部署,配置数千个不同的过滤器很麻烦。配置组也无法解决此问题,因为不同 Lsp 可能具有不同的带宽要求,需要不同的过滤器。要对众多 Lsp 进行流量警察,最好配置自动监管器。

为 Lsp 配置自动监管器时,会将监管器应用于路由器上配置的所有 Lsp。但是,您可以禁用特定 Lsp 的自动监管。

注:

为 DiffServ 感知流量工程 LSP 配置自动监管器时,不支持 GRES。

注:

您不能为 Lsp 的自动监管配置 CCC 信息流。

以下各节介绍如何配置 Lsp 的自动监管器:

配置 Lsp 自动监管器

要为标准 Lsp 配置自动监管器(不支持 DiffServ 的流量工程 Lsp 也不是组播 Lsp), auto-policing请将语句包含class all policer-action在选项或class ct0 policer-action选项中:

您可将此语句包含在以下层次结构级别:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

您可以为自动监管器配置以下监管器操作:

  • drop—丢弃所有数据包。

  • loss-priority-high—将数据包丢失优先级 (PLP) 设置为高。

  • loss-priority-low— 将 PLP 设置为较低。

这些监管器操作适用于所有类型的 Lsp。默认监管器操作是不采取任何措施。

基于 Lsp 配置的带宽量的自动监管器网络警察流量。可使用bandwidth[edit protocols mpls label-switched-path lsp-path-name]层次结构级别的语句配置 LSP 的带宽。如果您在路由器上启用了自动监管器,更改了为 LSP 配置的带宽,并提交了修改后的配置,则更改不会对活动 Lsp 产生影响。要强制 Lsp 使用新带宽分配,请发出clear mpls lsp命令。

注:

不能为遍历聚合接口或多链路点到点协议(MLPPP)接口的 Lsp 配置自动监管器。

为 DiffServ 感知流量工程 Lsp 配置自动监管器

要为 DiffServ 感知流量工程 Lsp 和组播 Lsp 配置自动监管器,请包括以下auto-policing语句:

您可将此语句包含在以下层次结构级别:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

您可将class all policer-action语句或class ctnumber policer-action语句包含在一个或多个类中(您可以为每个类配置不同的监管器操作)。有关可替代policer-action变量的操作列表,请参阅配置 Lsp 自动监管器。默认监管器操作是不采取任何措施。

注:

您不能为遍历聚合接口或 MLPPP 接口的 Lsp 配置自动监管器。

为点到多点 Lsp 配置自动监管器

您可以通过包含带有auto-policingclass all policer-action option 或class ct0 policer-action option 的语句,为点对多点 lsp 配置自动监管器。您只需在主要点auto-policing对多点 lsp 上配置语句(有关主要点对多点 lsp 的详细信息,请参阅配置主要的点到多点 lsp)。对于点对多点 LSP,subLSPs 无需额外配置。点到多点自动管制适用于点对多 multipoint LSP 的所有分支。此外,自动监管适用于具有与点到 multipoint 分支机构相同的转发条目的任何本地 VRF 接口。Junos OS 版本 11.1 r r 2、11.2 r 2 和11.4 中支持 Junos Trio 芯片组上 MPLS 点到多点 Lsp 的功能奇偶校验。

点对多点 Lsp 的自动监管器配置与标准 Lsp 的自动监管器配置相同。有关更多详细信息,请参阅配置 Lsp 自动监管器

在 LSP 上禁用自动监管

启用自动监管时,路由器或逻辑系统上的所有 Lsp 都将受到影响。要在已启用自动监管的路由器上的特定 LSP 上禁用自动监管,请使用以下policingno-auto-policing选项包含语句:

您可将此语句包含在以下层次结构级别:

示例:为 LSP 配置自动监管

为组播 LSP 配置自动监管,为类ct0类型、 ct1ct2ct3指定不同的操作。

在 MPLS 标记的 IP 数据包中写入不同的 DSCP 和 EXP 值

您可以有选择地将 MPLS 标记为 IPv4 和 IPv6 数据包的 DiffServ 代码点(DSCP)字段设置为0,而不会影响输出队列分配,并根据已配置的重写表(基于转发类)继续设置 MPLS EXP 字段。您可以通过为 MPLS 标记的数据包配置防火墙过滤器来实现此目的。