Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfiguration MPLS Firewall-Filter und Policer

Sie können einen Firewall MPLS filter konfigurieren, um Pakete basierend auf den EXP-Bits für das Label MPLS der obersten Ebene in einem Paket zu zählen. Sie können auch Policer für MPLS LSPs konfigurieren.

In den folgenden Abschnitten werden Firewall MPLS und Policer diskutiert:

Konfiguration MPLS Firewall-Filter

Sie können einen Firewall MPLS filter konfigurieren, um Pakete basierend auf den EXP-Bits für das Label MPLS der obersten Ebene in einem Paket zu zählen. Sie können diesen Filter dann auf eine bestimmte Schnittstelle für Ein- oder Ausgaben anwenden. Sie können auch einen Policer für den MPLS als Police konfigurieren (d. h. Begrenzung der Geschwindigkeit) des Datenverkehrs an der Schnittstelle, an die der Filter angeschlossen ist. Firewall-Filter können nicht MPLS auf Loopback-Schnittstellen angewendet werden.

Sie können die folgenden Bedingungen für MPLS in der [edit firewall family mpls filter filter-name term term-name from] Hierarchieebene konfigurieren:

  • exp

  • label

Diese exp Bedingungen können EXP-Bits im Bereich 0 bis 7 akzeptieren. Sie können folgende Optionen konfigurieren:

  • Ein einzelner EXP-Bit – zum Beispiel exp 3;

  • Mehrere EXP-Bits, z. B. exp 0, 4;

  • Eine Reihe von EXP-Bits, z. B. exp [0-5];

Die label Übereinstimmungsbedingung kann einen Bereich von Werten von 0 bis 1048575 akzeptieren.

Wenn Sie kein Übereinstimmungskriterium angeben (d. h. Sie konfigurieren die Anweisung nicht und verwenden nur die Anweisung mit dem Action-Stichwort), werden alle MPLS-Pakete, die an der Schnittstelle, auf die der Filter angewendet wird, fromthencount gezählt.

Sie können auch eines der folgenden Aktions-Keywords auf der [edit firewall family mpls filter filter-name term term-name then] Hierarchieebene konfigurieren:

  • accept

  • count

  • discard

  • policer

  • three-color-policer

Beispiele: Konfiguration MPLS Firewall-Filter

Die folgenden Beispiele veranschaulichen, wie Sie einen Firewall MPLS konfigurieren und dann den Filter auf eine Schnittstelle anwenden. Dieser Filter ist so konfiguriert, dass MPLS Pakete mit EXP-Bits auf 0 oder 4 gesetzt werden.

Im Folgenden wird eine Konfiguration für einen Firewall-MPLS angezeigt:

Konfigurieren von Policern für LSPs

MPLS LSP-Überwachung können Sie die Menge des Datenverkehrs steuern, die über einen bestimmten LSP weitergeleitet wird. Durch Überwachung wird sichergestellt, dass die über einen LSP weitergeleitete Datenverkehrsmenge niemals die angeforderte Bandbreitenzuordnung überschreitet. LSP-Policing wird auf regelmäßigen LSPs, LSPs mit DiffServ-aware Traffic Engineering und Multi-class-LSPs unterstützt. Sie können für jeden Multi-class-LSP mehrere Policer konfigurieren. Bei regelmäßigen LSPs wird jeder LSP-Policer auf den ganzen Datenverkehr angewendet, der den LSP durchquert. Die Bandbreiteneinschränkungen des Policers sind wirksam, sobald die Gesamtsumme des Datenverkehrs, der den LSP durchquert, die konfigurierte Begrenzung überschreitet.

Sie konfigurieren die LSP- und DiffServ-orientierte Traffic Engineering LSP-Policer in einem Filter. Der Filter kann so konfiguriert werden, dass zwischen den verschiedenen Klassentypen unterschieden wird und der relevante Policer auf jeden Klassentyp angewendet wird. Die Policer unterscheiden zwischen Klassentypen basierend auf den EXP-Bits.

Sie konfigurieren LSP-Policer unter diesem family any Filter. Dieser family any Filter wird verwendet, da der Policer auf datenverkehr angewendet wird, der den LSP einlädt. Dieser Datenverkehr kann aus verschiedenen Familien kommen: IPv6, MPLS und so weiter. Sie müssen nicht wissen, welche Art von Datenverkehr den LSP einlädt, solange die Übereinstimmungsbedingungen für alle Arten von Datenverkehr gelten.

LSP-Policer-Einschränkungen

Beachten Sie bei der MPLS LSP-Policer die folgenden Einschränkungen:

  • LSP-Policer werden nur von Paket-LSPs unterstützt.

  • LSP-Policer werden nur für Unicast-Next-Hops unterstützt. Multicast-Next-Hops werden nicht unterstützt.

  • LSP-Policer werden auf aggregierten Schnittstellen nicht unterstützt.

  • Der LSP-Policer wird vor ausgabefiltern ausgeführt.

  • Datenverkehr, der aus dem Routing-Engine stammt (z. B. Ping-Datenverkehr), nimmt nicht denselben Weiterleitungspfad wie der Transitdatenverkehr. Diese Art von Datenverkehr kann nicht ge policet werden.