Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren von MPLS-Firewall-Filtern und -Policern

Sie können einen MPLS-Firewallfilter so konfigurieren, dass Pakete basierend auf den EXP-Bits für die MPLS-Bezeichnung der obersten Ebene in einem Paket gezählt werden. Sie können auch Policer für MPLS-LSPs konfigurieren.

In den folgenden Abschnitten werden MPLS-Firewallfilter und -Policer erläutert:

Konfigurieren von MPLS-Firewall-Filtern

Sie können einen MPLS-Firewallfilter so konfigurieren, dass Pakete basierend auf den EXP-Bits für die MPLS-Bezeichnung der obersten Ebene in einem Paket gezählt werden. Sie können diesen Filter dann auf eine bestimmte Schnittstelle bei der Eingabe oder Ausgabe anwenden. Sie können auch einen Policer für den MPLS-Filter konfigurieren, um den Datenverkehr auf der Schnittstelle, an die der Filter angefügt ist, zu überwachen (d. h. die Ratenbegrenzung festzulegen). Sie können MPLS-Firewallfilter nicht auf Loopback-Schnittstellen anwenden.

Sie können die folgenden Übereinstimmungsbedingungen für MPLS-Filter auf Hierarchieebene konfigurieren:[edit firewall family mpls filter filter-name term term-name from]

  • exp

  • label

Diese Übereinstimmungsbedingungen können EXP-Bits im Bereich von 0 bis 7 akzeptieren. Sie können die folgenden Optionen konfigurieren:exp

  • Ein einzelnes EXP-Bit, z. B. exp 3;

  • Mehrere EXP-Bits, z. B. exp 0, 4;

  • Eine Reihe von EXP-Bits, z. B. exp [0-5];

Die Übereinstimmungsbedingung kann einen Wertebereich von 0 bis 1048575 akzeptieren.label

Wenn Sie kein Übereinstimmungskriterium angeben (d. h., Sie konfigurieren die Anweisung nicht und verwenden nur die Anweisung mit dem Schlüsselwort action), werden alle MPLS-Pakete gezählt, die die Schnittstelle durchlaufen, auf die der Filter angewendet wird.fromthencount

Sie können auch eines der folgenden Aktionsschlüsselwörter auf Hierarchieebene konfigurieren:[edit firewall family mpls filter filter-name term term-name then]

  • accept

  • count

  • discard

  • policer

  • three-color-policer

Beispiele: Konfigurieren von MPLS-Firewall-Filtern

In den folgenden Beispielen wird veranschaulicht, wie Sie einen MPLS-Firewallfilter konfigurieren und den Filter dann auf eine Schnittstelle anwenden können. Dieser Filter ist so konfiguriert, dass MPLS-Pakete gezählt werden, bei denen die EXP-Bits entweder auf 0 oder 4 gesetzt sind.

Im Folgenden sehen Sie eine Konfiguration für einen MPLS-Firewallfilter:

Konfigurieren von Policern für LSPs

Mit MPLS LSP-Überwachung können Sie die Menge des Datenverkehrs steuern, der über einen bestimmten LSP weitergeleitet wird. Mit der Überwachung wird sichergestellt, dass die Menge des Datenverkehrs, der über einen LSP weitergeleitet wird, niemals die angeforderte Bandbreitenzuweisung überschreitet. LSP-Policing wird von regulären LSPs, LSPs, die mit DiffServ-fähigem Traffic Engineering konfiguriert sind, und LSPs mit mehreren Klassen unterstützt. Sie können mehrere Policer für jeden LSP mit mehreren Klassen konfigurieren. Bei regulären LSPs wird jeder LSP-Policer auf den gesamten Datenverkehr angewendet, der den LSP durchquert. Die Bandbreitenbeschränkungen des Policers werden wirksam, sobald die Gesamtsumme des Datenverkehrs, der den LSP durchläuft, das konfigurierte Limit überschreitet.

Sie konfigurieren die LSP-Policer für mehrere Klassen und DiffServ-fähige LSP-Policer für das Traffic Engineering in einem Filter. Der Filter kann so konfiguriert werden, dass er zwischen den verschiedenen Klassentypen unterscheidet und den entsprechenden Policer auf jeden Klassentyp anwendet. Die Policer unterscheiden zwischen Klassentypen anhand der EXP-Bits.

Sie konfigurieren LSP-Policer unter dem Filter.family any Der Filter wird verwendet, weil der Policer auf den Datenverkehr angewendet wird, der in den LSP eintritt.family any Dieser Datenverkehr kann aus verschiedenen Familien stammen: IPv6, MPLS und so weiter. Sie müssen nicht wissen, welche Art von Datenverkehr in den Sprachdienstleister gelangt, solange die Übereinstimmungsbedingungen für alle Arten von Datenverkehr gelten.

Einschränkungen von LSP Policer

Beachten Sie bei der Konfiguration von MPLS-LSP-Policern die folgenden Einschränkungen:

  • LSP-Policer werden nur für Paket-LSPs unterstützt.

  • LSP-Policer werden nur für Unicast-Hops unterstützt. Multicast Next Hops werden nicht unterstützt.

  • LSP-Policer werden auf aggregierten Schnittstellen nicht unterstützt.

  • Der LSP-Policer wird vor allen Ausgabefiltern ausgeführt.

  • Datenverkehr, der von der Routing-Engine stammt (z. B. Ping-Datenverkehr), nimmt nicht denselben Weiterleitungspfad wie Transitdatenverkehr. Diese Art von Verkehr kann nicht überwacht werden.