Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

在交换机上配置 MPLS 防火墙过滤器和监管器

您可以配置防火墙过滤器来过滤 MPLS 流量。要使用 MPLS 防火墙过滤器,您必须首先配置过滤器,然后将其应用于您为转发 MPLS 流量而配置的接口。您还可以为 MPLS 过滤器配置监管器,以监管(即速率限制)过滤器所连接的接口上的流量。

配置 MPLS 防火墙过滤器时,您可以定义过滤标准(带匹配条件的术语)以及数据包与过滤标准匹配时交换机要采取的操作。

注:

您只能在入口方向上配置 MPLS 过滤器。不支持出口 MPLS 防火墙过滤器。

配置 MPLS 防火墙过滤器

要配置 MPLS 防火墙过滤器,请执行以下操作:

  1. 配置过滤器名称、术语名称和至少一个匹配条件,例如,在 EXP 位设置为 0 或 4 的 MPLS 数据包上进行匹配:
  2. 在每个防火墙过滤器术语中,指定数据包与该术语中的所有条件匹配时要执行的操作,例如,对 EXP 位设置为 0 或 4 的 MPLS 数据包进行计数:
  3. 完成后,请按照以下步骤将过滤器应用于接口。

将 MPLS 防火墙过滤器应用于 MPLS 接口

要将 MPLS 防火墙过滤器应用于您配置的用于转发 MPLS 流量的接口(在 层次结构级别使用 语句):family mpls[edit interfaces interface-name unit unit-number]

注:

您只能应用防火墙过滤器来过滤进入接口的 MPLS 数据包。

  1. 将防火墙过滤器应用于 MPLS 接口,例如,将防火墙过滤器应用于接口 xe-0/0/5:
  2. 查看配置并发出 命令:commit

将 MPLS 防火墙过滤器应用于环路接口

要将 MPLS 防火墙过滤器应用于环路接口 (lo0):

  1. 首先,使用数据包格式匹配命令指定 数据包格式 。packet-format-match每次配置此命令时都必须重新启动 PFE。
  2. 配置防火墙过滤器匹配条件和操作,如中所述 。配置 MPLS 防火墙过滤器您必须将 TTL 匹配条件显式设置为 ()。ttl=1 您还可以将数据包与其他 MPLS 限定符(如 、 、 和第 4 层 、 和 )进行匹配。labelexpsource portdestination port
  3. 将滤波器作为输入滤波器应用于环路接口。
  4. 查看配置并发出 命令:commit

下面是一个示例配置。

为 LSP 配置监管器

从 Junos OS 13.2X51-D15 开始,您可以将 MPLS 过滤器匹配的流量发送到双色监管器或三色监管器。MPLS LSP 管制允许您控制通过特定 LSP 转发的流量。监管有助于确保通过 LSP 转发的流量永远不会超过请求的带宽分配。常规 LSP、配置了 DiffServ 感知流量工程的 LSP 和多类 LSP 支持 LSP 管制。您可以为每个多类 LSP 配置多个监管器。对于常规 LSP,每个 LSP 监管器都应用于遍历 LSP 的所有流量。一旦通过 LSP 的流量总和超过配置的限制,监管器的带宽限制就会生效。

您可以在过滤器中配置多类 LSP 和 DiffServ 感知信息流工程 LSP 监管器。过滤器可以配置为区分不同的类类型,并将相关监管器应用于每个类类型。监管器根据 EXP 位区分类类型。

您可以在过滤器下 配置 LSP 监管器。family any 使用过滤器是因为 监管器应用于进入 LSP 的流量。family any 此流量可能来自不同系列:IPv6、MPLS 等。您无需知道进入 LSP 的流量类型,只要匹配条件适用于所有类型的流量即可。

配置 MPLS LSP 监管器时,请注意以下限制:

  • LSP 监管器仅支持数据包 LSP。

  • LSP 监管器仅支持单播下一跃点。不支持组播下一跃点。

  • LSP 监管器在任何输出滤波器之前运行。

  • 来自路由引擎的信息流(例如 ping 信息流)不采用与中转信息流相同的转发路径。无法对此类流量进行监管。