Konfigurieren von MPLS-Firewall-Filtern und -Policern auf Routern
Sie können einen MPLS-Firewallfilter so konfigurieren, dass Pakete basierend auf den EXP-Bits für die MPLS-Bezeichnung der obersten Ebene in einem Paket gezählt werden. Sie können auch Policer für MPLS-LSPs konfigurieren.
In den folgenden Abschnitten werden MPLS-Firewallfilter und -Policer erläutert:
Konfigurieren von MPLS-Firewall-Filtern
Sie können einen MPLS-Firewallfilter so konfigurieren, dass Pakete basierend auf den EXP-Bits für die MPLS-Bezeichnung der obersten Ebene in einem Paket gezählt werden. Sie können diesen Filter dann auf eine bestimmte Schnittstelle anwenden. Sie können auch einen Policer für den MPLS-Filter konfigurieren, um den Datenverkehr auf der Schnittstelle, an die der Filter angefügt ist, zu überwachen (d. h. die Ratenbegrenzung festzulegen). MPLS-Firewallfilter können nicht auf Ethernet- (fxp0) oder Loopback-Schnittstellen (lo0) angewendet werden.
Sie können die folgenden Übereinstimmungskriterienattribute für MPLS-Filter auf Hierarchieebene konfigurieren:[edit firewall family mpls filter filter-name term term-name from]
expexp-except
Diese Attribute können EXP-Bits im Bereich von 0 bis 7 akzeptieren. Sie können die folgenden Optionen konfigurieren:
Ein einzelnes EXP-Bit, z. B.
exp 3;Mehrere EXP-Bits, z. B.
exp 0, 4;Eine Reihe von EXP-Bits, z. B.
exp [0-5];
Wenn Sie kein Übereinstimmungskriterium angeben (d. h., Sie konfigurieren die Anweisung nicht und verwenden nur die Anweisung mit dem Schlüsselwort action), werden alle MPLS-Pakete gezählt, die die Schnittstelle durchlaufen, auf die der Filter angewendet wird.fromthencount
Sie können auch eines der folgenden Aktionsschlüsselwörter auf Hierarchieebene konfigurieren:[edit firewall family mpls filter filter-name term term-name then]
countacceptdiscardnextpolicer
Weitere Informationen zum Konfigurieren von Firewallfiltern finden Sie im Benutzerhandbuch für Routingrichtlinien, Firewallfilter und Traffic Policers.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html Weitere Informationen zum Konfigurieren von Schnittstellen finden Sie in der Junos OS-Netzwerkschnittstellenbibliothek für Routing-Geräte und in der Junos OS Services-Schnittstellenbibliothek für Routing-Geräte.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-network-interfaces/network-interfaces.htmlhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/services-interfaces/index.html
Beispiele: Konfigurieren von MPLS-Firewall-Filtern
In den folgenden Beispielen wird veranschaulicht, wie Sie einen MPLS-Firewallfilter konfigurieren und den Filter dann auf eine Schnittstelle anwenden können. Dieser Filter ist so konfiguriert, dass MPLS-Pakete gezählt werden, bei denen die EXP-Bits entweder auf 0 oder 4 gesetzt sind.
Im Folgenden sehen Sie eine Konfiguration für einen MPLS-Firewallfilter:
[edit firewall]
family mpls {
filter expf {
term expt0 {
from {
exp 0,4;
}
then {
count counter0;
accept;
}
}
}
}
Im Folgenden wird gezeigt, wie der MPLS-Firewallfilter auf eine Schnittstelle angewendet wird:
[edit interfaces]
so-0/0/0 {
mtu 4474;
encapsulation ppp;
sonet-options {
fcs 32;
}
unit 0 {
point-to-point;
family mpls {
filter {
input expf;
output expf;
}
}
}
}
Der MPLS-Firewallfilter wird auf die Ein- und Ausgabe einer Schnittstelle angewendet (siehe die and-Anweisungen im vorherigen Beispiel).inputoutput
Konfigurieren von Policern für LSPs
Mit MPLS LSP-Überwachung können Sie die Menge des Datenverkehrs steuern, der über einen bestimmten LSP weitergeleitet wird. Mit der Überwachung wird sichergestellt, dass die Menge des Datenverkehrs, der über einen LSP weitergeleitet wird, niemals die angeforderte Bandbreitenzuweisung überschreitet. LSP-Policing wird von regulären LSPs, LSPs, die mit DiffServ-fähigem Traffic Engineering konfiguriert sind, und LSPs mit mehreren Klassen unterstützt. Sie können mehrere Policer für jeden LSP mit mehreren Klassen konfigurieren. Bei regulären LSPs wird jeder LSP-Policer auf den gesamten Datenverkehr angewendet, der den LSP durchquert. Die Bandbreitenbeschränkungen des Policers werden wirksam, sobald die Gesamtsumme des Datenverkehrs, der den LSP durchläuft, das konfigurierte Limit überschreitet.
Der PTX10003 Router unterstützt nur reguläre Sprachdienstleister.
Sie konfigurieren die LSP-Policer für mehrere Klassen und DiffServ-fähige LSP-Policer für das Traffic Engineering in einem Filter. Der Filter kann so konfiguriert werden, dass er zwischen den verschiedenen Klassentypen unterscheidet und den entsprechenden Policer auf jeden Klassentyp anwendet. Die Policer unterscheiden zwischen Klassentypen anhand der EXP-Bits.
Sie konfigurieren LSP-Policer unter dem Filter.family any Der Filter wird verwendet, weil der Policer auf den Datenverkehr angewendet wird, der in den LSP eintritt.family any Dieser Datenverkehr kann aus verschiedenen Familien stammen: IPv6, MPLS und so weiter. Sie müssen nicht wissen, welche Art von Datenverkehr in den Sprachdienstleister gelangt, solange die Übereinstimmungsbedingungen für alle Arten von Datenverkehr gelten.
Sie können nur die Übereinstimmungsbedingungen konfigurieren, die für alle Arten von Datenverkehr gelten. Im Folgenden sind die unterstützten Übereinstimmungsbedingungen für LSP-Policer aufgeführt:
forwarding-classpacket-lengthinterfaceinterface-set
Um einen Policer auf einem LSP zu aktivieren, müssen Sie zuerst einen Überwachungsfilter konfigurieren und ihn dann in die LSP-Konfiguration einschließen. Weitere Informationen zum Konfigurieren von Policern finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Datenverkehrs-Polizeigeräte.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html
Um einen Policer für einen LSP zu konfigurieren, geben Sie einen Filter an, indem Sie die Option in die Anweisung aufnehmen:filterpolicing
policing { filter filter-name; }
Sie können die Anweisung auf den folgenden Hierarchieebenen einbinden:policing
[edit protocols mpls label-switched-path lsp-name][edit protocols mpls static-label-switched-path lsp-name][edit logical-systems logical-system-name protocols mpls label-switched-path lsp-name][edit logical-systems logical-system-name protocols mpls static-label-switched-path lsp-name]
Einschränkungen von LSP Policer
Beachten Sie bei der Konfiguration von MPLS-LSP-Policern die folgenden Einschränkungen:
-
LSP-Policer werden nur für Paket-LSPs unterstützt.
-
LSP-Policer werden nur für Unicast-Hops unterstützt. Multicast Next Hops werden nicht unterstützt.
-
LSP-Policer werden auf aggregierten Schnittstellen nicht unterstützt.
-
Der LSP-Policer wird vor allen Ausgabefiltern ausgeführt.
-
Datenverkehr, der von der Routing-Engine stammt (z. B. Ping-Datenverkehr), nimmt nicht denselben Weiterleitungspfad wie Transitdatenverkehr. Diese Art von Verkehr kann nicht überwacht werden.
-
LSP-Policer funktionieren auf allen Routern der T-Serie und auf Routern der M-Serie, die über den Internet Processor II Application-Specific Integrated Circuit (ASIC) verfügen.
- LSP-Policer werden für Punkt-zu-Mehrpunkt-LSPs nicht unterstützt.
Ab Junos OS Version 12.2R2 können Sie nur auf Routern der T-Serie einen LSP-Policer für einen bestimmten LSP konfigurieren, der von verschiedenen Protokollfamilientypen gemeinsam genutzt werden soll. Dazu müssen Sie die Anweisung logical-interface-policer auf Hierarchieebene konfigurieren.logical-interface-policer[edit firewall policer policer-name]
Beispiel: Konfigurieren eines LSP-Policers
Das folgende Beispiel zeigt, wie Sie einen Polizeifilter für einen LSP konfigurieren können:
[edit firewall]
policer police-ct1 {
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 1500;
}
then {
discard;
}
}
policer police-ct0 {
if-exceeding {
bandwidth-limit 200m;
burst-size-limit 1500;
}
then {
discard;
}
}
family any {
filter bar {
term discard-ct0 {
then {
policer police-ct0;
accept;
}
}
}
term discard-ct1 {
then {
policer police-ct1;
accept;
}
}
}
Automatische Policer konfigurieren
Die automatische Überwachung von Sprachdienstleistern ermöglicht es Ihnen, strenge Servicegarantien für den Netzwerkverkehr zu bieten. Solche Garantien sind besonders nützlich im Zusammenhang mit differenzierten Diensten für verkehrstechnisch gestaltete LSPs, da sie eine bessere Emulation von Geldautomatenkabeln über ein MPLS-Netzwerk ermöglichen. Weitere Informationen zu differenzierten Services für Sprachdienstleister finden Sie unter Einführung in DiffServ-fähiges Traffic Engineering.https://www.juniper.net/documentation/en_US/junos/topics/topic-map/diffserv-aware-traffic-engineering-configuraion.html
Differenzierte Services für Traffic-Engineering-LSPs ermöglichen es Ihnen, MPLS-Datenverkehr basierend auf den EXP-Bits differenziert zu behandeln. Um diese Verkehrsgarantien zu gewährleisten, reicht es nicht aus, den Verkehr einfach entsprechend zu kennzeichnen. Wenn der Datenverkehr einem überlasteten Pfad folgt, werden die Anforderungen möglicherweise nicht erfüllt.
Sprachdienstleister werden garantiert entlang von Wegen eingerichtet, auf denen genügend Ressourcen zur Verfügung stehen, um die Anforderungen zu erfüllen. Aber selbst wenn die Sprachdienstleister auf solchen Pfaden eingerichtet und ordnungsgemäß gekennzeichnet sind, können diese Anforderungen nur garantiert werden, wenn Sie sicherstellen, dass nicht mehr Datenverkehr an einen Sprachdienstleister gesendet wird, als Bandbreite verfügbar ist.
Es ist möglich, den LSP-Datenverkehr zu überwachen, indem Sie manuell einen entsprechenden Filter konfigurieren und ihn in der Konfiguration auf den LSP anwenden. Bei großen Bereitstellungen ist es jedoch umständlich, Tausende von verschiedenen Filtern zu konfigurieren. Auch Konfigurationsgruppen können dieses Problem nicht lösen, da verschiedene Sprachdienstleister unterschiedliche Bandbreitenanforderungen haben und unterschiedliche Filter erfordern können. Um den Datenverkehr für zahlreiche LSPs zu überwachen, ist es am besten, automatische Policer zu konfigurieren.
Wenn Sie automatische Policer für LSPs konfigurieren, wird ein Policer auf alle auf dem Router konfigurierten LSPs angewendet. Sie können jedoch die automatische Überwachung für bestimmte LSPs deaktivieren.
Wenn Sie automatische Policer für DiffServ-fähige Traffic-Engineering-LSP konfigurieren, wird GRES nicht unterstützt.
Sie können die automatische Überwachung für Sprachdienstleister, die CCC-Datenverkehr übertragen, nicht konfigurieren.
In den folgenden Abschnitten wird beschrieben, wie automatische Policer für Sprachdienstleister konfiguriert werden:
- Konfigurieren von automatischen Policern für Sprachdienstleister
- Konfigurieren automatischer Policer für DiffServ-fähige Traffic Engineering-LSPs
- Konfigurieren automatischer Policer für Punkt-zu-Mehrpunkt-LSPs
- Deaktivieren der automatischen Überwachung auf einem LSP
- Beispiel: Konfigurieren der automatischen Überwachung für einen Sprachdienstleister
Konfigurieren von automatischen Policern für Sprachdienstleister
Um automatische Policer für Standard-LSPs (weder DiffServ-fähige Traffic-Engineering-LSPs noch Multiklassen-LSPs) zu konfigurieren, fügen Sie die Anweisung entweder mit der Option oder der Option ein:auto-policingclass all policer-actionclass ct0 policer-action
auto-policing { class all policer-action; class ct0 policer-action; }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
Sie können die folgenden Policer-Aktionen für automatische Policer konfigurieren:
drop– Verwirft alle Pakete.loss-priority-high– Legen Sie die Paketverlustpriorität (PLP) auf hoch fest.loss-priority-low– Setzen Sie den PLP-Wert auf niedrig.
Diese Policer-Aktionen gelten für alle Arten von LSPs. Die standardmäßige Polizeiaktion besteht darin, nichts zu tun.
Automatische Policer für Sprachdienstleister überwachen den Datenverkehr basierend auf der für die Sprachdienstleister konfigurierten Bandbreite. Sie konfigurieren die Bandbreite für einen Sprachdienstleister mithilfe der Anweisung auf Hierarchieebene .bandwidth[edit protocols mpls label-switched-path lsp-path-name] Wenn Sie automatische Policer auf einem Router aktiviert haben, die für einen LSP konfigurierte Bandbreite ändern und die überarbeitete Konfiguration bestätigen, hat die Änderung keine Auswirkungen auf die aktiven LSPs. Um die Sprachdienstleister zu zwingen, die neue Bandbreitenzuweisung zu verwenden, geben Sie einen Befehl aus.clear mpls lsp
Sie können keine automatischen Policer für LSPs konfigurieren, die aggregierte Schnittstellen oder MLPPP-Schnittstellen (Multilink Point-to-Point Protocol) durchlaufen.
Konfigurieren automatischer Policer für DiffServ-fähige Traffic Engineering-LSPs
Fügen Sie die folgende Anweisung ein, um automatische Policer für DiffServ-fähige Traffic-Engineering-LSPs und für LSPs mit mehreren Klassen zu konfigurieren:auto-policing
auto-policing { class all policer-action; class ctnumber policer-action; }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
Sie fügen entweder die Anweisung oder eine Anweisung für eine oder mehrere Klassen ein (Sie können für jede Klasse eine andere Polizeiaktion konfigurieren).class all policer-actionclass ctnumber policer-action Eine Liste der Aktionen, die Sie durch die Variable ersetzen können, finden Sie unter .policer-actionKonfigurieren von automatischen Policern für Sprachdienstleister Die standardmäßige Polizeiaktion besteht darin, nichts zu tun.
Sie können keine automatischen Policer für LSPs konfigurieren, die aggregierte Schnittstellen oder MLPPP-Schnittstellen durchlaufen.
Konfigurieren automatischer Policer für Punkt-zu-Mehrpunkt-LSPs
Sie können automatische Policer für Punkt-zu-Mehrpunkt-LSPs konfigurieren, indem Sie die Anweisung entweder mit der Option oder der Option einschließen.auto-policingclass all policer-actionclass ct0 policer-action Sie müssen die Anweisung nur für den primären Punkt-zu-Mehrpunkt-LSP konfigurieren (weitere Informationen zu primären Punkt-zu-Mehrpunkt-LSPs finden Sie unter Konfigurieren des primären Punkt-zu-Multipunkt-LSPs).auto-policinghttps://www.juniper.net/documentation/en_US/junos/topics/usage-guidelines/mpls-configuring-primary-and-branch-lsps-for-point-to-multipoint-lsps.html Für den Punkt-zu-Mehrpunkt-LSP ist keine zusätzliche Konfiguration auf den Sub-LSPs erforderlich. Die automatische Punkt-zu-Mehrpunkt-Überwachung wird auf alle Zweige des Punkt-zu-Mehrpunkt-LSP angewendet. Darüber hinaus wird die automatische Überwachung auf alle lokalen VRF-Schnittstellen angewendet, die über denselben Weiterleitungseintrag wie eine Punkt-zu-Mehrpunkt-Verzweigung verfügen. Funktionsparität für automatische Policer für MPLS Punkt-zu-Multipunkt-LSPs auf dem Junos Trio-Chipsatz wird in den Junos OS-Versionen 11.1R2, 11.2R2 und 11.4 unterstützt.
Die automatische Policerkonfiguration für Punkt-zu-Mehrpunkt-LSPs ist identisch mit der automatischen Policerkonfiguration für Standard-LSPs. Weitere Informationen finden Sie unter .Konfigurieren von automatischen Policern für Sprachdienstleister
Deaktivieren der automatischen Überwachung auf einem LSP
Wenn Sie die automatische Überwachung aktivieren, sind alle LSPs auf dem Router oder logischen System betroffen. Um die automatische Überwachung für einen bestimmten LSP auf einem Router zu deaktivieren, auf dem Sie die automatische Überwachung aktiviert haben, fügen Sie die Anweisung mit der folgenden Option ein:policingno-auto-policing
policing no-auto-policing;
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols mpls label-switched-path lsp-name][edit logical-systems logical-system-name protocols mpls label-switched-path lsp-name]
Beispiel: Konfigurieren der automatischen Überwachung für einen Sprachdienstleister
Konfigurieren Sie die automatische Überwachung für einen LSP mit mehreren Klassen und geben Sie verschiedene Aktionen für die Klassentypen , , und .ct0ct1ct2ct3
[edit protocols mpls]
diffserv-te {
bandwidth-model extended-mam;
}
auto-policing {
class ct1 loss-priority-low;
class ct0 loss-priority-high;
class ct2 drop;
class ct3 loss-priority-low;
}
traffic-engineering bgp-igp;
label-switched-path sample-lsp {
to 3.3.3.3;
bandwidth {
ct0 11;
ct1 1;
ct2 1;
ct3 1;
}
}
interface fxp0.0 {
disable;
}
interface t1-0/5/3.0;
interface t1-0/5/4.0;
Schreiben unterschiedlicher DSCP- und EXP-Werte in MPLS-getaggte IP-Pakete
Sie können das DSCP-Feld (DiffServ-Codepunkt) von IPv4- und IPv6-Paketen mit MPLS-Tags selektiv auf 0 setzen, ohne dass sich dies auf die Zuweisung der Ausgabewarteschlange auswirkt, und das Feld MPLS EXP weiterhin entsprechend der konfigurierten Umschreibungstabelle festlegen, die auf Weiterleitungsklassen basiert. Sie können dies erreichen, indem Sie einen Firewallfilter für die MPLS-getaggten Pakete konfigurieren.