Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Firewall-Filter für MPLS

Konfigurieren von MPLS-Firewall-Filtern und -Policern auf Routern

Sie können einen MPLS-Firewallfilter so konfigurieren, dass Pakete basierend auf den EXP-Bits für die MPLS-Bezeichnung der obersten Ebene in einem Paket gezählt werden. Sie können auch Policer für MPLS-LSPs konfigurieren.

In den folgenden Abschnitten werden MPLS-Firewallfilter und -Policer erläutert:

Konfigurieren von MPLS-Firewall-Filtern

Sie können einen MPLS-Firewallfilter so konfigurieren, dass Pakete basierend auf den EXP-Bits für die MPLS-Bezeichnung der obersten Ebene in einem Paket gezählt werden. Sie können diesen Filter dann auf eine bestimmte Schnittstelle anwenden. Sie können auch einen Policer für den MPLS-Filter konfigurieren, um den Datenverkehr auf der Schnittstelle, an die der Filter angefügt ist, zu überwachen (d. h. die Ratenbegrenzung festzulegen). MPLS-Firewallfilter können nicht auf Ethernet- (fxp0) oder Loopback-Schnittstellen (lo0) angewendet werden.

Sie können die folgenden Übereinstimmungskriterienattribute für MPLS-Filter auf Hierarchieebene konfigurieren:[edit firewall family mpls filter filter-name term term-name from]

  • exp

  • exp-except

Diese Attribute können EXP-Bits im Bereich von 0 bis 7 akzeptieren. Sie können die folgenden Optionen konfigurieren:

  • Ein einzelnes EXP-Bit, z. B. exp 3;

  • Mehrere EXP-Bits, z. B. exp 0, 4;

  • Eine Reihe von EXP-Bits, z. B. exp [0-5];

Wenn Sie kein Übereinstimmungskriterium angeben (d. h., Sie konfigurieren die Anweisung nicht und verwenden nur die Anweisung mit dem Schlüsselwort action), werden alle MPLS-Pakete gezählt, die die Schnittstelle durchlaufen, auf die der Filter angewendet wird.fromthencount

Sie können auch eines der folgenden Aktionsschlüsselwörter auf Hierarchieebene konfigurieren:[edit firewall family mpls filter filter-name term term-name then]

  • count

  • accept

  • discard

  • next

  • policer

Weitere Informationen zum Konfigurieren von Firewallfiltern finden Sie im Benutzerhandbuch für Routingrichtlinien, Firewallfilter und Traffic Policers.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html Weitere Informationen zum Konfigurieren von Schnittstellen finden Sie in der Junos OS-Netzwerkschnittstellenbibliothek für Routing-Geräte und in der Junos OS Services-Schnittstellenbibliothek für Routing-Geräte.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-network-interfaces/network-interfaces.htmlhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/services-interfaces/index.html

Beispiele: Konfigurieren von MPLS-Firewall-Filtern

In den folgenden Beispielen wird veranschaulicht, wie Sie einen MPLS-Firewallfilter konfigurieren und den Filter dann auf eine Schnittstelle anwenden können. Dieser Filter ist so konfiguriert, dass MPLS-Pakete gezählt werden, bei denen die EXP-Bits entweder auf 0 oder 4 gesetzt sind.

Im Folgenden sehen Sie eine Konfiguration für einen MPLS-Firewallfilter:

Im Folgenden wird gezeigt, wie der MPLS-Firewallfilter auf eine Schnittstelle angewendet wird:

Der MPLS-Firewallfilter wird auf die Ein- und Ausgabe einer Schnittstelle angewendet (siehe die and-Anweisungen im vorherigen Beispiel).inputoutput

Konfigurieren von Policern für LSPs

Mit MPLS LSP-Überwachung können Sie die Menge des Datenverkehrs steuern, der über einen bestimmten LSP weitergeleitet wird. Mit der Überwachung wird sichergestellt, dass die Menge des Datenverkehrs, der über einen LSP weitergeleitet wird, niemals die angeforderte Bandbreitenzuweisung überschreitet. LSP-Policing wird von regulären LSPs, LSPs, die mit DiffServ-fähigem Traffic Engineering konfiguriert sind, und LSPs mit mehreren Klassen unterstützt. Sie können mehrere Policer für jeden LSP mit mehreren Klassen konfigurieren. Bei regulären LSPs wird jeder LSP-Policer auf den gesamten Datenverkehr angewendet, der den LSP durchquert. Die Bandbreitenbeschränkungen des Policers werden wirksam, sobald die Gesamtsumme des Datenverkehrs, der den LSP durchläuft, das konfigurierte Limit überschreitet.

HINWEIS:

Der PTX10003 Router unterstützt nur reguläre Sprachdienstleister.

Sie konfigurieren die LSP-Policer für mehrere Klassen und DiffServ-fähige LSP-Policer für das Traffic Engineering in einem Filter. Der Filter kann so konfiguriert werden, dass er zwischen den verschiedenen Klassentypen unterscheidet und den entsprechenden Policer auf jeden Klassentyp anwendet. Die Policer unterscheiden zwischen Klassentypen anhand der EXP-Bits.

Sie konfigurieren LSP-Policer unter dem Filter.family any Der Filter wird verwendet, weil der Policer auf den Datenverkehr angewendet wird, der in den LSP eintritt.family any Dieser Datenverkehr kann aus verschiedenen Familien stammen: IPv6, MPLS und so weiter. Sie müssen nicht wissen, welche Art von Datenverkehr in den Sprachdienstleister gelangt, solange die Übereinstimmungsbedingungen für alle Arten von Datenverkehr gelten.

Sie können nur die Übereinstimmungsbedingungen konfigurieren, die für alle Arten von Datenverkehr gelten. Im Folgenden sind die unterstützten Übereinstimmungsbedingungen für LSP-Policer aufgeführt:

  • forwarding-class

  • packet-length

  • interface

  • interface-set

Um einen Policer auf einem LSP zu aktivieren, müssen Sie zuerst einen Überwachungsfilter konfigurieren und ihn dann in die LSP-Konfiguration einschließen. Weitere Informationen zum Konfigurieren von Policern finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Datenverkehrs-Polizeigeräte.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html

Um einen Policer für einen LSP zu konfigurieren, geben Sie einen Filter an, indem Sie die Option in die Anweisung aufnehmen:filterpolicing

Sie können die Anweisung auf den folgenden Hierarchieebenen einbinden:policing

Einschränkungen von LSP Policer

Beachten Sie bei der Konfiguration von MPLS-LSP-Policern die folgenden Einschränkungen:

  • LSP-Policer werden nur für Paket-LSPs unterstützt.

  • LSP-Policer werden nur für Unicast-Hops unterstützt. Multicast Next Hops werden nicht unterstützt.

  • LSP-Policer werden auf aggregierten Schnittstellen nicht unterstützt.

  • Der LSP-Policer wird vor allen Ausgabefiltern ausgeführt.

  • Datenverkehr, der von der Routing-Engine stammt (z. B. Ping-Datenverkehr), nimmt nicht denselben Weiterleitungspfad wie Transitdatenverkehr. Diese Art von Verkehr kann nicht überwacht werden.

  • LSP-Policer funktionieren auf allen Routern der T-Serie und auf Routern der M-Serie, die über den Internet Processor II Application-Specific Integrated Circuit (ASIC) verfügen.

  • LSP-Policer werden für Punkt-zu-Mehrpunkt-LSPs nicht unterstützt.
HINWEIS:

Ab Junos OS Version 12.2R2 können Sie nur auf Routern der T-Serie einen LSP-Policer für einen bestimmten LSP konfigurieren, der von verschiedenen Protokollfamilientypen gemeinsam genutzt werden soll. Dazu müssen Sie die Anweisung logical-interface-policer auf Hierarchieebene konfigurieren.logical-interface-policer[edit firewall policer policer-name]

Beispiel: Konfigurieren eines LSP-Policers

Das folgende Beispiel zeigt, wie Sie einen Polizeifilter für einen LSP konfigurieren können:

Automatische Policer konfigurieren

Die automatische Überwachung von Sprachdienstleistern ermöglicht es Ihnen, strenge Servicegarantien für den Netzwerkverkehr zu bieten. Solche Garantien sind besonders nützlich im Zusammenhang mit differenzierten Diensten für verkehrstechnisch gestaltete LSPs, da sie eine bessere Emulation von Geldautomatenkabeln über ein MPLS-Netzwerk ermöglichen. Weitere Informationen zu differenzierten Services für Sprachdienstleister finden Sie unter Einführung in DiffServ-fähiges Traffic Engineering.https://www.juniper.net/documentation/en_US/junos/topics/topic-map/diffserv-aware-traffic-engineering-configuraion.html

Differenzierte Services für Traffic-Engineering-LSPs ermöglichen es Ihnen, MPLS-Datenverkehr basierend auf den EXP-Bits differenziert zu behandeln. Um diese Verkehrsgarantien zu gewährleisten, reicht es nicht aus, den Verkehr einfach entsprechend zu kennzeichnen. Wenn der Datenverkehr einem überlasteten Pfad folgt, werden die Anforderungen möglicherweise nicht erfüllt.

Sprachdienstleister werden garantiert entlang von Wegen eingerichtet, auf denen genügend Ressourcen zur Verfügung stehen, um die Anforderungen zu erfüllen. Aber selbst wenn die Sprachdienstleister auf solchen Pfaden eingerichtet und ordnungsgemäß gekennzeichnet sind, können diese Anforderungen nur garantiert werden, wenn Sie sicherstellen, dass nicht mehr Datenverkehr an einen Sprachdienstleister gesendet wird, als Bandbreite verfügbar ist.

Es ist möglich, den LSP-Datenverkehr zu überwachen, indem Sie manuell einen entsprechenden Filter konfigurieren und ihn in der Konfiguration auf den LSP anwenden. Bei großen Bereitstellungen ist es jedoch umständlich, Tausende von verschiedenen Filtern zu konfigurieren. Auch Konfigurationsgruppen können dieses Problem nicht lösen, da verschiedene Sprachdienstleister unterschiedliche Bandbreitenanforderungen haben und unterschiedliche Filter erfordern können. Um den Datenverkehr für zahlreiche LSPs zu überwachen, ist es am besten, automatische Policer zu konfigurieren.

Wenn Sie automatische Policer für LSPs konfigurieren, wird ein Policer auf alle auf dem Router konfigurierten LSPs angewendet. Sie können jedoch die automatische Überwachung für bestimmte LSPs deaktivieren.

HINWEIS:

Wenn Sie automatische Policer für DiffServ-fähige Traffic-Engineering-LSP konfigurieren, wird GRES nicht unterstützt.

HINWEIS:

Sie können die automatische Überwachung für Sprachdienstleister, die CCC-Datenverkehr übertragen, nicht konfigurieren.

In den folgenden Abschnitten wird beschrieben, wie automatische Policer für Sprachdienstleister konfiguriert werden:

Konfigurieren von automatischen Policern für Sprachdienstleister

Um automatische Policer für Standard-LSPs (weder DiffServ-fähige Traffic-Engineering-LSPs noch Multiklassen-LSPs) zu konfigurieren, fügen Sie die Anweisung entweder mit der Option oder der Option ein:auto-policingclass all policer-actionclass ct0 policer-action

Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Sie können die folgenden Policer-Aktionen für automatische Policer konfigurieren:

  • drop– Verwirft alle Pakete.

  • loss-priority-high– Legen Sie die Paketverlustpriorität (PLP) auf hoch fest.

  • loss-priority-low– Setzen Sie den PLP-Wert auf niedrig.

Diese Policer-Aktionen gelten für alle Arten von LSPs. Die standardmäßige Polizeiaktion besteht darin, nichts zu tun.

Automatische Policer für Sprachdienstleister überwachen den Datenverkehr basierend auf der für die Sprachdienstleister konfigurierten Bandbreite. Sie konfigurieren die Bandbreite für einen Sprachdienstleister mithilfe der Anweisung auf Hierarchieebene .bandwidth[edit protocols mpls label-switched-path lsp-path-name] Wenn Sie automatische Policer auf einem Router aktiviert haben, die für einen LSP konfigurierte Bandbreite ändern und die überarbeitete Konfiguration bestätigen, hat die Änderung keine Auswirkungen auf die aktiven LSPs. Um die Sprachdienstleister zu zwingen, die neue Bandbreitenzuweisung zu verwenden, geben Sie einen Befehl aus.clear mpls lsp

HINWEIS:

Sie können keine automatischen Policer für LSPs konfigurieren, die aggregierte Schnittstellen oder MLPPP-Schnittstellen (Multilink Point-to-Point Protocol) durchlaufen.

Konfigurieren automatischer Policer für DiffServ-fähige Traffic Engineering-LSPs

Fügen Sie die folgende Anweisung ein, um automatische Policer für DiffServ-fähige Traffic-Engineering-LSPs und für LSPs mit mehreren Klassen zu konfigurieren:auto-policing

Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Sie fügen entweder die Anweisung oder eine Anweisung für eine oder mehrere Klassen ein (Sie können für jede Klasse eine andere Polizeiaktion konfigurieren).class all policer-actionclass ctnumber policer-action Eine Liste der Aktionen, die Sie durch die Variable ersetzen können, finden Sie unter .policer-actionKonfigurieren von automatischen Policern für Sprachdienstleister Die standardmäßige Polizeiaktion besteht darin, nichts zu tun.

HINWEIS:

Sie können keine automatischen Policer für LSPs konfigurieren, die aggregierte Schnittstellen oder MLPPP-Schnittstellen durchlaufen.

Konfigurieren automatischer Policer für Punkt-zu-Mehrpunkt-LSPs

Sie können automatische Policer für Punkt-zu-Mehrpunkt-LSPs konfigurieren, indem Sie die Anweisung entweder mit der Option oder der Option einschließen.auto-policingclass all policer-actionclass ct0 policer-action Sie müssen die Anweisung nur für den primären Punkt-zu-Mehrpunkt-LSP konfigurieren (weitere Informationen zu primären Punkt-zu-Mehrpunkt-LSPs finden Sie unter Konfigurieren des primären Punkt-zu-Multipunkt-LSPs).auto-policinghttps://www.juniper.net/documentation/en_US/junos/topics/usage-guidelines/mpls-configuring-primary-and-branch-lsps-for-point-to-multipoint-lsps.html Für den Punkt-zu-Mehrpunkt-LSP ist keine zusätzliche Konfiguration auf den Sub-LSPs erforderlich. Die automatische Punkt-zu-Mehrpunkt-Überwachung wird auf alle Zweige des Punkt-zu-Mehrpunkt-LSP angewendet. Darüber hinaus wird die automatische Überwachung auf alle lokalen VRF-Schnittstellen angewendet, die über denselben Weiterleitungseintrag wie eine Punkt-zu-Mehrpunkt-Verzweigung verfügen. Funktionsparität für automatische Policer für MPLS Punkt-zu-Multipunkt-LSPs auf dem Junos Trio-Chipsatz wird in den Junos OS-Versionen 11.1R2, 11.2R2 und 11.4 unterstützt.

Die automatische Policerkonfiguration für Punkt-zu-Mehrpunkt-LSPs ist identisch mit der automatischen Policerkonfiguration für Standard-LSPs. Weitere Informationen finden Sie unter .Konfigurieren von automatischen Policern für Sprachdienstleister

Deaktivieren der automatischen Überwachung auf einem LSP

Wenn Sie die automatische Überwachung aktivieren, sind alle LSPs auf dem Router oder logischen System betroffen. Um die automatische Überwachung für einen bestimmten LSP auf einem Router zu deaktivieren, auf dem Sie die automatische Überwachung aktiviert haben, fügen Sie die Anweisung mit der folgenden Option ein:policingno-auto-policing

Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:

Beispiel: Konfigurieren der automatischen Überwachung für einen Sprachdienstleister

Konfigurieren Sie die automatische Überwachung für einen LSP mit mehreren Klassen und geben Sie verschiedene Aktionen für die Klassentypen , , und .ct0ct1ct2ct3

Schreiben unterschiedlicher DSCP- und EXP-Werte in MPLS-getaggte IP-Pakete

Sie können das DSCP-Feld (DiffServ-Codepunkt) von IPv4- und IPv6-Paketen mit MPLS-Tags selektiv auf 0 setzen, ohne dass sich dies auf die Zuweisung der Ausgabewarteschlange auswirkt, und das Feld MPLS EXP weiterhin entsprechend der konfigurierten Umschreibungstabelle festlegen, die auf Weiterleitungsklassen basiert. Sie können dies erreichen, indem Sie einen Firewallfilter für die MPLS-getaggten Pakete konfigurieren.

Übersicht über MPLS-Firewall-Filter auf der Loopback-Schnittstelle

Obwohl alle Schnittstellen wichtig sind, ist die Loopbackschnittstelle möglicherweise die wichtigste, da sie die Verbindung zur Routing-Engine darstellt, die alle Routingprotokolle ausführt und verwaltet. Die Loopback-Schnittstelle ist ein Gateway für den gesamten Steuerungsdatenverkehr, der in die Routing-Engine des Switches eingeht. Sie können diesen Datenverkehr steuern, indem Sie einen Firewall-Filter auf der Loopback-Schnittstelle (lo0) auf konfigurieren.family mpls Loopback-Firewall-Filter wirken sich nur auf den Datenverkehr aus, der für die Routing-Engine-CPU bestimmt ist. Sie können einen Loopback-Firewallfilter nur in Eingangsrichtung (Pakete, die in die Schnittstelle eingehen) anwenden. Ab Junos OS Version 19.2R1 können Sie einen MPLS-Firewallfilter auf eine Loopback-Schnittstelle auf einem Label Switch Router (LSR) auf QFX5100-, QFX5110-, QFX5200- und QFX5210-Switches anwenden.

Wenn Sie einen MPLS-Firewallfilter konfigurieren, definieren Sie Filterkriterien (Begriffe mit Übereinstimmungsbedingungen) für die Pakete und eine Aktion , die der Switch ausführen soll, wenn die Pakete den Filterkriterien entsprechen. Da Sie den Filter auf eine Loopbackschnittstelle anwenden, müssen Sie die Übereinstimmungsbedingung für die Gültigkeitsdauer (TTL) explizit angeben und ihren TTL-Wert auf 1 () festlegen.family mplsttl=1 Die TTL ist ein 8-Bit-Header-Feld (IPv4), das die verbleibende Zeit eines IP-Pakets angibt, bevor seine Lebensdauer endet und verworfen wird. Sie können Pakete auch mit anderen MPLS-Qualifizierern wie , , Layer 4 und Layer 4 abgleichen.labelexpsource portdestination port

Vorteile des Hinzufügens von MPLS-Firewall-Filtern auf der Loopback-Schnittstelle

  • Schützt die Routing-Engine, indem sichergestellt wird, dass sie nur Datenverkehr aus vertrauenswürdigen Netzwerken akzeptiert.

  • Schützt die Routing-Engine vor Denial-of-Service-Angriffen.

  • Bietet Ihnen die Flexibilität, Pakete auf dem Quell- und Zielport abzugleichen. Wenn Sie z. B. eine Traceroute ausführen, können Sie den Datenverkehr selektiv filtern, indem Sie entweder TCP oder UDP auswählen.

Richtlinien und Einschränkungen

  • Sie können einen Loopback-Firewallfilter nur in Eingangsrichtung anwenden

  • Es werden nur MPLS-Felder , und Layer-4-Felder und Portnummern unterstützt.labelexpttl=1tcpudp

  • Es werden nur , , und Aktionen unterstützt.acceptdiscardcount

  • Sie müssen explizit under angeben, um TLL-Paketen zu entsprechen.ttl=1family mpls

  • Filter, die auf die Loopback-Schnittstelle angewendet werden, können nicht auf dem Zielport (innere Nutzlast) eines IPv6-Pakets abgeglichen werden.

  • Sie können keinen Filter auf Pakete anwenden, die mehr als zwei MPLS-Labels haben.

  • Sie können keinen Portbereich für TCP- oder UDP-Übereinstimmungsbedingungen angeben.

  • Es werden nur 255 Firewall-Begriffe unterstützt.

Konfigurieren von MPLS-Firewall-Filtern und -Policern auf Switches

Sie können Firewall-Filter konfigurieren, um MPLS-Datenverkehr zu filtern. Um einen MPLS-Firewallfilter zu verwenden, müssen Sie den Filter zuerst konfigurieren und dann auf eine Schnittstelle anwenden, die Sie für die Weiterleitung von MPLS-Datenverkehr konfiguriert haben. Sie können auch einen Policer für den MPLS-Filter konfigurieren, um den Datenverkehr auf der Schnittstelle, an die der Filter angefügt ist, zu überwachen (d. h. die Ratenbegrenzung festzulegen).

Wenn Sie einen MPLS-Firewallfilter konfigurieren, definieren Sie die Filterkriterien (Begriffe, mit Übereinstimmungsbedingungen) und eine Aktion, die der Switch ausführen soll, wenn die Pakete den Filterkriterien entsprechen.

HINWEIS:

Sie können MPLS-Filter nur in Eingangsrichtung konfigurieren. Ausgangs-MPLS-Firewallfilter werden nicht unterstützt.

Konfigurieren eines MPLS-Firewallfilters

So konfigurieren Sie einen MPLS-Firewallfilter:

  1. Konfigurieren Sie den Filternamen, den Begriffsnamen und mindestens eine Übereinstimmungsbedingung, z. B. Übereinstimmung bei MPLS-Paketen, bei denen die EXP-Bits entweder auf 0 oder 4 festgelegt sind:
  2. Geben Sie in jedem Firewallfilterbegriff die Aktionen an, die ausgeführt werden sollen, wenn das Paket alle Bedingungen in diesem Begriff erfüllt, z. B. MPLS-Pakete mit EXP-Bits auf 0 oder 4 zu zählen:
  3. Wenn Sie fertig sind, führen Sie die folgenden Schritte aus, um den Filter auf eine Schnittstelle anzuwenden.

Anwenden eines MPLS-Firewall-Filters auf eine MPLS-Schnittstelle

So wenden Sie den MPLS-Firewallfilter auf eine Schnittstelle an, die Sie für die Weiterleitung von MPLS-Datenverkehr konfiguriert haben (mithilfe der Anweisung auf Hierarchieebene ):family mpls[edit interfaces interface-name unit unit-number]

HINWEIS:

Sie können Firewallfilter nur anwenden, um MPLS-Pakete zu filtern, die in eine Schnittstelle eingehen.

  1. Wenden Sie den Firewallfilter auf eine MPLS-Schnittstelle an, z. B. wenden Sie den Firewallfilter auf die Schnittstelle xe-0/0/5 an:
  2. Überprüfen Sie Ihre Konfiguration, und geben Sie den folgenden Befehl ein:commit

Anwenden eines MPLS-Firewallfilters auf eine Loopback-Schnittstelle

So wenden Sie einen MPLS-Firewall-Filter auf eine Loopback-Schnittstelle an (lo0):

  1. Geben Sie zunächst das Paketformat mit dem Befehl packet-format-match an.packet-format-match Sie müssen die PFE jedes Mal neu starten, wenn Sie diesen Befehl konfigurieren.
  2. Konfigurieren Sie die Übereinstimmungsbedingungen und -aktionen für Firewallfilter wie in beschrieben.Konfigurieren von MPLS-Firewall-Filtern und -Policern auf Switches Sie müssen die TTL-Übereinstimmungsbedingung explizit auf () festlegen.ttl=1 Sie können Pakete auch mit anderen MPLS-Qualifizierern wie , und Layer 4 und abgleichen.labelexpsource portdestination port
  3. Wenden Sie den Filter als Eingabefilter auf die Loopback-Schnittstelle an.
  4. Überprüfen Sie Ihre Konfiguration, und geben Sie den folgenden Befehl ein:commit

Im Folgenden finden Sie eine Beispielkonfiguration.

Konfigurieren von Policern für LSPs

Ab Junos OS 13.2X51-D15 können Sie Datenverkehr, der mit einem MPLS-Filter übereinstimmt, an einen zweifarbigen oder dreifarbigen Policer senden. Mit MPLS LSP-Überwachung können Sie die Menge des Datenverkehrs steuern, der über einen bestimmten LSP weitergeleitet wird. Mit der Überwachung wird sichergestellt, dass die Menge des Datenverkehrs, der über einen LSP weitergeleitet wird, niemals die angeforderte Bandbreitenzuweisung überschreitet. LSP-Policing wird von regulären LSPs, LSPs, die mit DiffServ-fähigem Traffic Engineering konfiguriert sind, und LSPs mit mehreren Klassen unterstützt. Sie können mehrere Policer für jeden LSP mit mehreren Klassen konfigurieren. Bei regulären LSPs wird jeder LSP-Policer auf den gesamten Datenverkehr angewendet, der den LSP durchquert. Die Bandbreitenbeschränkungen des Policers werden wirksam, sobald die Gesamtsumme des Datenverkehrs, der den LSP durchläuft, das konfigurierte Limit überschreitet.

Sie konfigurieren die LSP-Policer für mehrere Klassen und DiffServ-fähige LSP-Policer für das Traffic Engineering in einem Filter. Der Filter kann so konfiguriert werden, dass er zwischen den verschiedenen Klassentypen unterscheidet und den entsprechenden Policer auf jeden Klassentyp anwendet. Die Policer unterscheiden zwischen Klassentypen anhand der EXP-Bits.

Sie konfigurieren LSP-Policer unter dem Filter.family any Der Filter wird verwendet, weil der Policer auf den Datenverkehr angewendet wird, der in den LSP eintritt.family any Dieser Datenverkehr kann aus verschiedenen Familien stammen: IPv6, MPLS und so weiter. Sie müssen nicht wissen, welche Art von Datenverkehr in den Sprachdienstleister gelangt, solange die Übereinstimmungsbedingungen für alle Arten von Datenverkehr gelten.

Beachten Sie bei der Konfiguration von MPLS-LSP-Policern die folgenden Einschränkungen:

  • LSP-Policer werden nur für Paket-LSPs unterstützt.

  • LSP-Policer werden nur für Unicast-Hops unterstützt. Multicast Next Hops werden nicht unterstützt.

  • Der LSP-Policer wird vor allen Ausgabefiltern ausgeführt.

  • Datenverkehr, der von der Routing-Engine stammt (z. B. Ping-Datenverkehr), nimmt nicht denselben Weiterleitungspfad wie Transitdatenverkehr. Diese Art von Verkehr kann nicht überwacht werden.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
19.2R1
Ab Junos OS Version 19.2R1 können Sie einen MPLS-Firewallfilter auf eine Loopback-Schnittstelle auf einem Label Switch Router (LSR) auf QFX5100-, QFX5110-, QFX5200- und QFX5210-Switches anwenden.