Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren von MPLS-Firewall-Filtern und Policern auf Routern

Sie können einen MPLS-Firewall-Filter so konfigurieren, dass Pakete basierend auf den EXP-Bits für das MPLS-Label der obersten Ebene in einem Paket gezählt werden. Sie können auch Policer für MPLS-LSPs konfigurieren.

In den folgenden Abschnitten werden MPLS-Firewall-Filter und Policer beschrieben:

Konfigurieren von MPLS-Firewall-Filtern

Sie können einen MPLS-Firewall-Filter so konfigurieren, dass Pakete basierend auf den EXP-Bits für das MPLS-Label der obersten Ebene in einem Paket gezählt werden. Anschließend können Sie diesen Filter auf eine bestimmte Schnittstelle anwenden. Sie können auch einen Policer für den MPLS-Filter für die Police konfigurieren (d. h. begrenzung der Übertragungsrate) des Datenverkehrs an der Schnittstelle, an die der Filter angeschlossen ist. Sie können MPLS-Firewall-Filter nicht auf Ethernet-Schnittstellen (fxp0) oder Loopback -Schnittstellen (lo0) anwenden.

Sie können die folgenden Übereinstimmungskriterienattribute für MPLS-Filter auf Hierarchieebene [edit firewall family mpls filter filter-name term term-name from] konfigurieren:

  • exp

  • exp-except

Diese Attribute können EXP-Bits im Bereich 0 bis 7 akzeptieren. Sie können die folgenden Optionen konfigurieren:

  • Ein einzelnes EXP-Bit – zum Beispiel exp 3;

  • Mehrere EXP-Bits – zum Beispiel exp 0, 4;

  • Eine Reihe von EXP-Bits – zum Beispiel exp [0-5];

Wenn Sie kein Übereinstimmungskriterium angeben (d. h. Sie konfigurieren die from Anweisung nicht und verwenden nur die then Anweisung mit dem count Action-Schlüsselwort), werden alle MPLS-Pakete gezählt, die die Schnittstelle passieren, auf der der Filter angewendet wird.

Sie können auch einen der folgenden Aktionsschlüsselwörter auf Hierarchieebene [edit firewall family mpls filter filter-name term term-name then] konfigurieren:

  • count

  • accept

  • discard

  • next

  • policer

Weitere Informationen zur Konfiguration von Firewall-Filtern finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Traffic Policer. Weitere Informationen zur Konfiguration von Schnittstellen finden Sie in der Junos OS Network Interfaces Library for Routing Devices und der Junos OS Services Interfaces Library for Routing Devices.

Beispiele: Konfigurieren von MPLS-Firewall-Filtern

Die folgenden Beispiele zeigen, wie Sie einen MPLS-Firewall-Filter konfigurieren und dann den Filter auf eine Schnittstelle anwenden. Dieser Filter ist so konfiguriert, dass MPLS-Pakete mit EXP-Bits auf 0 oder 4 gezählt werden.

Im Folgenden sehen Sie eine Konfiguration für einen MPLS-Firewall-Filter:

Im Folgenden erfahren Sie, wie Sie den MPLS-Firewall-Filter auf eine Schnittstelle anwenden:

Der MPLS-Firewall-Filter wird auf den Ein- und Ausgang einer Schnittstelle angewendet (siehe die Anweisungen und output die input Anweisungen im vorherigen Beispiel).

Konfigurieren von Policern für LSPs

MIT MPLS LSP-Policing können Sie die Menge des Datenverkehrs steuern, der über einen bestimmten LSP weitergeleitet wird. Überwachung trägt dazu bei, dass der Datenverkehr, der über einen LSP weitergeleitet wird, niemals die angeforderte Bandbreitenzuordnung überschreitet. LSP-Policing wird in regelmäßigen LSPs, mit DiffServ-fähigem Traffic Engineering konfigurierten LSPs und multiklassierten LSPs unterstützt. Sie können mehrere Policer für jeden LSP mit mehreren Klassen konfigurieren. Für reguläre LSPs wird jeder LSP-Policer auf den gesamten Datenverkehr angewendet, der den LSP durchläuft. Die Bandbreitenbeschränkungen des Policers werden wirksam, sobald die Gesamtsumme des Datenverkehrs, der den LSP durchläuft, die konfigurierte Grenze überschreitet.

Anmerkung:

Der ROUTER PTX10003 unterstützt nur reguläre LSPs.

Sie konfigurieren die LSP- und DiffServ-fähigen LSP-Policer mit mehreren Klassen in einem Filter. Der Filter kann so konfiguriert werden, dass er zwischen den verschiedenen Klassentypen unterscheidet und den entsprechenden Policer auf jeden Klassentyp anwendet. Die Policer unterscheiden zwischen Klassentypen basierend auf den EXP-Bits.

Sie konfigurieren LSP-Policer unter dem family any Filter. Der family any Filter wird verwendet, weil der Policer auf den Datenverkehr angewendet wird, der in den LSP gelangt. Dieser Datenverkehr kann aus verschiedenen Familien stammen: IPv6, MPLS usw. Sie müssen nicht wissen, welche Art von Datenverkehr in den LSP gelangt, solange die Übereinstimmungsbedingungen für alle Arten von Datenverkehr gelten.

Sie können nur die Übereinstimmungsbedingungen konfigurieren, die für alle Arten von Datenverkehr gelten. Im Folgenden werden die unterstützten Übereinstimmungsbedingungen für LSP-Policer:

  • forwarding-class

  • packet-length

  • interface

  • interface-set

Um einen Policer auf einem LSP zu aktivieren, müssen Sie zuerst einen Policing-Filter konfigurieren und ihn dann in die LSP-Konfiguration aufnehmen. Informationen zur Konfiguration von Policern finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Traffic Policer.

Um einen Policer für einen LSP zu konfigurieren, geben Sie einen Filter an, indem Sie die filter Option zur policing Anweisung angeben:

Sie können die policing Anweisung auf den folgenden Hierarchieebenen einfügen:

Einschränkungen von LSP Policer

Beachten Sie bei der Konfiguration von MPLS-LSP-Policern die folgenden Einschränkungen:

  • LSP-Policer werden nur für Paket-LSPs unterstützt.

  • LSP-Policer werden nur für Unicast Next Hops unterstützt. Multicast Next Hops werden nicht unterstützt.

  • LSP-Policer werden an aggregierten Schnittstellen nicht unterstützt.

  • Der LSP-Policer wird vor ausgabespezifischen Filtern ausgeführt.

  • Datenverkehr, der von der Routing-Engine stammt (z. B. Ping-Datenverkehr), verwendet nicht den gleichen Weiterleitungspfad wie Der Transitdatenverkehr. Diese Art von Datenverkehr kann nicht gepolizeit werden.

  • LSP-Policer arbeiten auf allen Routern der T-Serie und auf Routern der M-Serie, die über den anwendungsspezifischen integrierten Circuit (ASIC) des Internet Processor II verfügen.

Anmerkung:

Ab Junos OS Version 12.2R2 können Sie nur auf Routern der T-Serie einen LSP-Policer für einen bestimmten LSP konfigurieren, der über verschiedene Protokollfamilietypen gemeinsam genutzt werden kann. Dazu müssen Sie die Anweisung logical-interface-policer auf Hierarchieebene [edit firewall policer policer-name] konfigurieren.

Beispiel: Konfigurieren eines LSP Policer

Das folgende Beispiel zeigt, wie Sie einen Policing-Filter für einen LSP konfigurieren können:

Konfigurieren automatischer Policer

Automatische Überwachung von LSPs ermöglicht es Ihnen, strikte Servicegarantien für den Netzwerkdatenverkehr bereitzustellen. Solche Garantien sind besonders im Zusammenhang mit differenzierten Services für datenverkehrsgestützte LSPs nützlich und bieten eine bessere Emulation für ATM-Leitungen über ein MPLS-Netzwerk. Weitere Informationen zu differenzierten Services für LSPs finden Sie unter DiffServ-Aware Traffic Engineering Introduction.

Differenzierte Dienste für Traffic Engineered LSPs ermöglichen ihnen die differenzierte Behandlung des MPLS-Datenverkehrs basierend auf den EXP-Bits. Um sicherzustellen, dass dieser Datenverkehr gewährleistet ist, reicht es nicht aus, den Datenverkehr einfach entsprechend zu kennzeichnen. Wenn der Datenverkehr einem überlasteten Pfad folgt, werden die Anforderungen möglicherweise nicht erfüllt.

LSPs werden garantiert entlang von Pfaden eingerichtet, in denen genügend Ressourcen zur Verfügung stehen, um die Anforderungen zu erfüllen. Selbst wenn die LSPs jedoch entlang solcher Pfade eingerichtet und ordnungsgemäß markiert sind, können diese Anforderungen nur gewährleistet werden, wenn Sie sicherstellen, dass kein weiterer Datenverkehr an einen LSP gesendet wird, als Bandbreite verfügbar ist.

Es ist möglich, den LSP-Datenverkehr zu steuern, indem sie einen entsprechenden Filter manuell konfigurieren und auf den LSP in der Konfiguration anwenden. Bei großen Bereitstellungen ist es jedoch mühsam, Tausende verschiedener Filter zu konfigurieren. Konfigurationsgruppen können dieses Problem auch nicht lösen, da verschiedene LSPs möglicherweise unterschiedliche Bandbreitenanforderungen haben, die unterschiedliche Filter erfordern. Für den Polizeiverkehr für zahlreiche LSPs ist es am besten, automatische Policer zu konfigurieren.

Wenn Sie automatische Policer für LSPs konfigurieren, wird ein Policer auf alle auf dem Router konfigurierten LSPs angewendet. Sie können jedoch die automatische Überwachung bestimmter LSPs deaktivieren.

Anmerkung:

Wenn Sie automatische Policer für DiffServ-fähiges Traffic Engineering LSP konfigurieren, wird GRES nicht unterstützt.

Anmerkung:

Sie können keine automatische Überwachung für LSPs konfigurieren, die CCC-Datenverkehr übertragen.

In den folgenden Abschnitten wird die Konfiguration automatischer Policer für LSPs beschrieben:

Konfigurieren automatischer Policer für LSPs

Zum Konfigurieren automatischer Policer für Standard-LSPs (weder DiffServ-fähiger Datenverkehr, noch multiklassifizierte LSPs) fügen Sie die auto-policing Anweisung entweder mit der class all policer-action Option oder der class ct0 policer-action Option ein:

Sie können diese Anweisung auf den folgenden Hierarchieebenen einfügen:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Sie können die folgenden Policer-Aktionen für automatische Policer konfigurieren:

  • drop— Alle Pakete löschen.

  • loss-priority-high— Stellen Sie die Paketverlustpriorität (PACKET Loss Priority, PLP) auf hoch ein.

  • loss-priority-low— Stellen Sie den PLP auf "niedrig" ein.

Diese Policer-Aktionen sind auf alle Arten von LSPs anwendbar. Die Standard-Policer-Aktion besteht darin, nichts zu tun.

Automatische Policer für den Polizeidatenverkehr von LSPs basierend auf der für die LSPs konfigurierten Bandbreitenmenge. Sie konfigurieren die Bandbreite für einen LSP mithilfe der bandwidth Anweisung auf Hierarchieebene [edit protocols mpls label-switched-path lsp-path-name] . Wenn Sie automatische Policer auf einem Router aktiviert haben, die für einen LSP konfigurierte Bandbreite ändern und die überarbeitete Konfiguration bestätigen, wirkt sich die Änderung nicht auf die aktiven LSPs aus. Um die LSPs zur Verwendung der neuen Bandbreitenzuordnung zu zwingen, führen Sie einen Befehl aus clear mpls lsp .

Anmerkung:

Sie können keine automatischen Policer für LSPs konfigurieren, die aggregierte Schnittstellen oder Multilink Point-to-Point Protocol (MLPPP)-Schnittstellen durchlaufen.

Konfigurieren automatischer Policer für DiffServ-aware Traffic Engineering-LSPs

Um automatische Policer für DiffServ-fähige Traffic Engineering-LSPs und für multiklassierte LSPs zu konfigurieren, fügen Sie die auto-policing Anweisung ein:

Sie können diese Anweisung auf den folgenden Hierarchieebenen einfügen:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Sie fügen entweder die class all policer-action Anweisung oder eine class ctnumber policer-action Anweisung für jede einzelne oder mehrere Klassen ein (Sie können für jede Klasse eine andere Policer-Aktion konfigurieren). Eine Liste der Aktionen, die Sie für die policer-action Variable ersetzen können, finden Sie unter Konfigurieren automatischer Policer für LSPs. Die Standard-Policer-Aktion besteht darin, nichts zu tun.

Anmerkung:

Sie können keine automatischen Policer für LSPs konfigurieren, die aggregierte Schnittstellen oder MLPPP-Schnittstellen passieren.

Konfigurieren automatischer Policer für Point-to-Multipoint-LSPs

Sie können automatische Policer für Point-to-Multipoint-LSPs konfigurieren, indem Sie die auto-policing Anweisung entweder mit der class all policer-action Option oder der class ct0 policer-action Option verwenden. Sie müssen die Anweisung nur auf dem auto-policing primären Point-to-Multipoint-LSP konfigurieren (weitere Informationen zu primären Point-to-Multipoint-LSPs finden Sie unter Konfigurieren des primären Point-to-Multipoint-LSP). Für den Point-to-Multipoint-LSP ist keine zusätzliche Konfiguration für die SubLSPs erforderlich. Automatische Point-to-Multipoint-Policing wird auf alle Zweigstellen des Point-to-Multipoint-LSP angewendet. Darüber hinaus wird automatisches Policing auf alle lokalen VRF-Schnittstellen angewendet, die den gleichen Weiterleitungseintrag wie eine Point-to-Multipoint-Zweigstelle haben. Funktionsgleichheit für automatische Policer für MPLS Point-to-Multipoint-LSPs auf dem Junos Trio-Chipsatz wird in Junos OS-Versionen 11.1R2, 11.2R2 und 11.4 unterstützt.

Die automatische Policer-Konfiguration für Point-to-Multipoint-LSPs ist identisch mit der automatischen Policer-Konfiguration für Standard-LSPs. Weitere Informationen finden Sie unter Konfigurieren automatischer Policer für LSPs.

Deaktivierung automatischer Richtlinien auf einem LSP

Wenn Sie automatisches Policing aktivieren, sind alle LSPs auf dem Router oder dem logischen System betroffen. Um das automatische Policing auf einem bestimmten LSP auf einem Router zu deaktivieren, in dem Sie automatisches Policing aktiviert haben, fügen Sie die policing Anweisung mit der no-auto-policing Option ein:

Sie können diese Anweisung auf den folgenden Hierarchieebenen einfügen:

Beispiel: Konfigurieren automatischer Richtlinien für einen LSP

Konfigurieren Sie die automatische Policing-Konfiguration für einen LSP mehrerer Klassen, indem Sie verschiedene Aktionen für Klassentypen ct0, ct1, ct2und ct3.

Schreiben verschiedener DSCP- und EXP-Werte in MPLS-Tagged IP-Paketen

Sie können das DiffServ-Codepunktfeld (DSCP) von MPLS-Tagged IPv4- und IPv6-Paketen selektiv auf 0 festlegen, ohne die Ausgabewarteschlangenzuweisung zu beeinträchtigen, und das MPLS EXP-Feld weiterhin entsprechend der konfigurierten Rewrite-Tabelle festlegen, die auf Weiterleitungsklassen basiert. Sie können dies erreichen, indem Sie einen Firewall-Filter für die MPLS-Tagged-Pakete konfigurieren.