Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

在交换机上配置 MPLS 防火墙过滤器和监管器

您可以配置防火墙过滤器以过滤 MPLS 流量。要使用 MPLS 防火墙过滤器,必须先配置过滤器,然后将其应用于已配置用于转发 MPLS 信息流的接口。您还可以将 MPLS 过滤器的监管器配置为过滤器所连接的接口上的流量(即速率限制)。

配置 MPLS 防火墙过滤器时,您可以定义过滤标准(条件和匹配条件),以及在数据包符合过滤标准时要使用的交换机的操作。

注:

您只能在入口方向上配置 MPLS 过滤器。不支持出口 MPLS 防火墙过滤器。

配置 MPLS 防火墙过滤器

要配置 MPLS 防火墙过滤器:

  1. 配置过滤器名称、术语名称和至少一个匹配条件—例如,在将 EXP 位设置为 0 或 4 的数据包MPLS匹配:
  2. 在每个防火墙过滤器术语中,指定当数据包与该搜索词匹配所有条件时要采取的操作 —例如,将 EXP 位设置为 0 或 4 的 MPLS 数据包计数:
  3. 完成后,请按照以下步骤将过滤器应用于接口。

将 MPLS 防火墙过滤器应用于 MPLS 接口

要将 MPLS 防火墙过滤器应用于已配置用于转发 MPLS 流量的接口(使用family mpls[edit interfaces interface-name unit unit-number]层次结构级别的语句):

注:

您只能应用防火墙过滤器来过滤进入接口 MPLS 数据包。

  1. 将防火墙过滤器应用于MPLS接口—例如,将防火墙过滤器应用于接口 xe-0/0/5:
  2. 检查您的配置并发出commit命令:

将 MPLS 防火墙过滤器应用于回传接口

要将 MPLS 防火墙过滤器应用于回传接口(lo0):

  1. 首先,使用数据包格式匹配命令指定数据包格式。每次配置此命令时,都必须重新启动 PFE。
  2. 配置防火墙过滤器匹配条件和操作,详见中配置 MPLS 防火墙过滤器所述。您必须将 TTL 匹配条件显式设置为(ttl=1)。您还可以将数据包与其他 MPLS 限定符label匹配,例如exp、和第 4 source port层和destination port
  3. 将过滤器作为输入过滤器应用于回传接口。
  4. 检查您的配置并发出commit命令:

以下是配置示例。

配置 Lsp 监管器

从 Junos OS 13.2 X51-D15 开始,您可以将 MPLS 筛选器匹配的流量发送到双色监管器或三色监管器。MPLS LSP 监察允许您控制通过特定 LSP 转发的流量量。监管有助于确保通过 LSP 转发的流量不会超过所请求的带宽分配量。LSP 监管受常规 Lsp 支持、使用 DiffServ 感知流量工程配置的 Lsp 和组播 Lsp。您可以为每个组播 LSP 配置多个监管器。对于常规 Lsp,每个 LSP 监管器都将应用于流经 LSP 的所有信息流。一旦经过 LSP 的流量总和超过配置的限制,策略程序的带宽限制就会生效。

您在过滤器中配置组播 LSP 和 DiffServ 感知流量工程设计 LSP 监管器。可将过滤器配置为区分不同的类类型,并将相关监管器应用于每个类类型。监管器根据 EXP 位区分类类型。

family any过滤器下配置 LSP 监管器。由于family any监管器应用于进入 LSP 的信息流,因此使用过滤器。此信息流可能来自不同的系列:IPv6、MPLS 等。只要符合条件适用于所有类型的信息流,您就无需知道正在进入 LSP 的信息流。

配置 MPLS LSP 监管器时,请注意以下限制:

  • LSP 监管器仅受数据包 Lsp 支持。

  • LSP 监管器仅支持单播下一跃点。不支持多播下一跳跃。

  • LSP 监管器在任何输出过滤器之前运行。

  • 源自路由引擎的信息流(例如,ping 信息流)不会获得与传输信息流相同的转发路径。这种类型的信息流不能 policed。