Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfiguration MPLS Firewall-Filter und Policer auf Routern

Sie können einen Firewall MPLS filter konfigurieren, um Pakete basierend auf den EXP-Bits für das Label MPLS der obersten Ebene in einem Paket zu zählen. Sie können auch Policer für MPLS LSPs konfigurieren.

In den folgenden Abschnitten werden Firewall MPLS und Policer diskutiert:

Konfiguration MPLS Firewall-Filter

Sie können einen Firewall MPLS filter konfigurieren, um Pakete basierend auf den EXP-Bits für das Label MPLS der obersten Ebene in einem Paket zu zählen. Sie können diesen Filter dann auf eine bestimmte Schnittstelle anwenden. Sie können auch einen Policer für den MPLS als Police konfigurieren (d. h. Begrenzung der Geschwindigkeit) des Datenverkehrs an der Schnittstelle, an die der Filter angeschlossen ist. Sie können keinen MPLS-Filter auf Ethernet- (fxp0) oder Loopback -Schnittstellen (lo0) anwenden.

Sie können die folgenden Kriterieneigenschaften für Übereinstimmungskriterien für MPLS [edit firewall family mpls filter filter-name term term-name from] Hierarchieebene konfigurieren:

  • exp

  • exp-except

Diese Attribute können EXP-Bits im Bereich 0 bis 7 akzeptieren. Sie können folgende Optionen konfigurieren:

  • Ein einzelner EXP-Bit – zum Beispiel exp 3;

  • Mehrere EXP-Bits, z. B. exp 0, 4;

  • Eine Reihe von EXP-Bits, z. B. exp [0-5];

Wenn Sie kein Übereinstimmungskriterium angeben (d. h. Sie konfigurieren die Anweisung nicht und verwenden nur die Anweisung mit dem Action-Stichwort), werden alle MPLS-Pakete, die an der Schnittstelle, auf die der Filter angewendet wird, fromthencount gezählt.

Sie können auch eines der folgenden Aktions-Keywords auf der [edit firewall family mpls filter filter-name term term-name then] Hierarchieebene konfigurieren:

  • count

  • accept

  • discard

  • next

  • policer

Weitere Informationen zur Konfiguration von Firewall-Filtern finden Sie im Benutzerhandbuch Routing-Richtlinien, Firewall-Filter und Datenverkehrsrichtlinien. Weitere Informationen zum Konfigurieren von Schnittstellen finden Sie in der Junos OS Network Interfaces Library für Routinggeräte und der Junos OS Services Interfaces Library für Routinggeräte.

Beispiele: Konfiguration MPLS Firewall-Filter

Die folgenden Beispiele veranschaulichen, wie Sie einen Firewall MPLS konfigurieren und dann den Filter auf eine Schnittstelle anwenden. Dieser Filter ist so konfiguriert, dass MPLS Pakete mit EXP-Bits auf 0 oder 4 gesetzt werden.

Im Folgenden wird eine Konfiguration für einen Firewall-MPLS angezeigt:

Im Folgenden wird gezeigt, wie der Firewall MPLS filter auf eine Schnittstelle angewendet wird:

Der MPLS Firewall-Filter wird auf die Ein- und Ausgaben einer Schnittstelle angewendet (siehe die Anweisungen und inputoutput das vorherige Beispiel).

Konfigurieren von Policern für LSPs

MPLS LSP-Überwachung können Sie die Menge des Datenverkehrs steuern, die über einen bestimmten LSP weitergeleitet wird. Durch Überwachung wird sichergestellt, dass die über einen LSP weitergeleitete Datenverkehrsmenge niemals die angeforderte Bandbreitenzuordnung überschreitet. LSP-Policing wird auf regelmäßigen LSPs, LSPs mit DiffServ-aware Traffic Engineering und Multi-class-LSPs unterstützt. Sie können für jeden Multi-class-LSP mehrere Policer konfigurieren. Bei regelmäßigen LSPs wird jeder LSP-Policer auf den ganzen Datenverkehr angewendet, der den LSP durchquert. Die Bandbreiteneinschränkungen des Policers sind wirksam, sobald die Gesamtsumme des Datenverkehrs, der den LSP durchquert, die konfigurierte Begrenzung überschreitet.

Anmerkung:

Der PTX10003 Router unterstützt nur regelmäßige LSPs.

Sie konfigurieren die LSP- und DiffServ-orientierte Traffic Engineering LSP-Policer in einem Filter. Der Filter kann so konfiguriert werden, dass zwischen den verschiedenen Klassentypen unterschieden wird und der relevante Policer auf jeden Klassentyp angewendet wird. Die Policer unterscheiden zwischen Klassentypen basierend auf den EXP-Bits.

Sie konfigurieren LSP-Policer unter diesem family any Filter. Dieser family any Filter wird verwendet, da der Policer auf datenverkehr angewendet wird, der den LSP einlädt. Dieser Datenverkehr kann aus verschiedenen Familien kommen: IPv6, MPLS und so weiter. Sie müssen nicht wissen, welche Art von Datenverkehr den LSP einlädt, solange die Übereinstimmungsbedingungen für alle Arten von Datenverkehr gelten.

Sie können nur die Bedingungen konfigurieren, die für alle Datenverkehrstypen gelten. Im Folgenden finden Sie die unterstützten Bedingungen für LSP-Policer:

  • forwarding-class

  • packet-length

  • interface

  • interface-set

Um einen Policer auf einem LSP zu aktivieren, müssen Sie zuerst einen Policing-Filter konfigurieren und ihn dann in die LSP-Konfiguration hinzufügen. Informationen zur Konfiguration von Policern finden Sie im Benutzerhandbuch Routing-Richtlinien, Firewall-Filter und Datenverkehrsrichtlinien.

Um einen Policer für einen LSP zu konfigurieren, geben Sie einen Filter ein, indem Sie filter die Option zur Aussage policing angeben:

Sie können die policing Aussage in den folgenden Hierarchieebenen enthalten:

LSP-Policer-Einschränkungen

Beachten Sie bei der MPLS LSP-Policer die folgenden Einschränkungen:

  • LSP-Policer werden nur von Paket-LSPs unterstützt.

  • LSP-Policer werden nur für Unicast-Next-Hops unterstützt. Multicast-Next-Hops werden nicht unterstützt.

  • LSP-Policer werden auf aggregierten Schnittstellen nicht unterstützt.

  • Der LSP-Policer wird vor ausgabefiltern ausgeführt.

  • Datenverkehr, der aus dem Routing-Engine stammt (z. B. Ping-Datenverkehr), nimmt nicht denselben Weiterleitungspfad wie der Transitdatenverkehr. Diese Art von Datenverkehr kann nicht ge policet werden.

  • LSP-Policer sind auf allen T-Serie Routern und auf M Series Routern mit dem Internet Processor II ASIC (Application-Specific Integrated Circuit) integriert.

Anmerkung:

Beginnend mit Junos OS Release 12.2R2 nur auf T-Serie-Routern können Sie einen LSP-Policer für einen bestimmten LSP konfigurieren, der von verschiedenen Protokollfamilientypen gemeinsam genutzt werden kann. Dazu müssen Sie die Logical-Interface-Policer-Anweisung auf der [edit firewall policer policer-name] Hierarchieebene konfigurieren.

Beispiel: Konfigurieren eines LSP-Policers

Im folgenden Beispiel wird gezeigt, wie Sie einen Policing-Filter für einen LSP konfigurieren können:

Konfigurieren automatischer Policer

Die automatische Überwachung von LSPs ermöglicht die Bereitstellung strenger Servicegarantien für Netzwerkdatenverkehr. Solche Garantien sind besonders im Zusammenhang mit differenzierten Services für Traffic Engineered-LSPs nützlich, die eine bessere Emulation für ATM-Wires über ein netzwerk MPLS bieten. Weitere Informationen zu differenzierten Services für LSPs finden Sie unter Einführung des DiffServ-Aware Traffic Engineering.

Differenzierte Dienste für Traffic Engineered-LSPs ermöglichen Ihnen die Differenzierte Behandlung von MPLS Datenverkehr basierend auf den EXP-Bits. Um diese Datenverkehrsgarantien zu gewährleisten, reicht es nicht aus, den Datenverkehr angemessen zu kennzeichnen. Wenn der Datenverkehr überlastet ist, können die Anforderungen unter Umständen nicht erfüllt werden.

LSPs werden garantiert entlang von Pfaden eingerichtet, über die ausreichend Ressourcen zur Verfügung stehen, um die Anforderungen zu erfüllen. Doch selbst wenn die LSPs auf diesen Pfaden eingerichtet und korrekt markiert sind, können diese Anforderungen nur dann garantiert werden, wenn sichergestellt wird, dass kein mehr Datenverkehr an einen LSP gesendet wird als die verfügbare Bandbreite.

Es ist möglich, den LSP-Datenverkehr zu policen, indem ein entsprechender Filter manuell konfiguriert und auf den LSP in der Konfiguration anwenden wird. Bei großen Bereitstellungen ist die Konfiguration tausender verschiedener Filter jedoch mühsam. Konfigurationsgruppen können dieses Problem auch nicht lösen, da verschiedene LSPs möglicherweise unterschiedliche Bandbreitenanforderungen haben und verschiedene Filter erfordern. Zur Verkehrskontrolle zahlreicher LSPs sollten automatische Policer am besten konfiguriert werden.

Wenn Sie automatische Policer für LSPs konfigurieren, wird ein Policer auf alle auf dem Router konfigurierten LSPs angewendet. Sie können jedoch die automatische Überwachung auf bestimmten LSPs deaktivieren.

Anmerkung:

Wenn Sie automatische Policer für DiffServ-orientierte Traffic-Engineering-LSP konfigurieren, wird GRES nicht unterstützt.

Anmerkung:

Sie können die automatische Überwachung für LSPs, die CCC-Datenverkehr tragen, nicht konfigurieren.

In den folgenden Abschnitten wird die Konfiguration automatischer Policer für LSPs beschrieben:

Konfigurieren automatischer Policer für LSPs

Um automatische Policer für Standard-LSPs zu konfigurieren (weder DiffServ-orientierte Traffic-Engineered-LSPs noch Multi-class-LSPs), wird die Anweisung entweder mit der Option oder der auto-policingclass all policer-action Option class ct0 policer-action enthalten:

Sie können diese Aussage in den folgenden Hierarchieebenen enthalten:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Sie können folgende Policer-Aktionen für automatische Policer konfigurieren:

  • drop— Alle Pakete fallen lassen.

  • loss-priority-high— Legen Sie die Paketverlustpriorität (PLP) auf hoch.

  • loss-priority-low— Legen Sie die PLP auf "Niedrig" fest.

Diese Policer-Aktionen sind auf alle Arten von LSPs anwendbar. Die Standard-Policer-Aktion hat nichts zu tun.

Automatische Policer für LSPs-Police-Datenverkehr basierend auf der für die LSPs konfigurierten Bandbreite. Sie konfigurieren die Bandbreite für einen LSP mithilfe der bandwidth Anweisung auf der [edit protocols mpls label-switched-path lsp-path-name] Hierarchieebene. Wenn Sie die automatischen Policer auf einem Router aktiviert haben, die für einen LSP konfigurierte Bandbreite ändern und die überarbeitete Konfiguration festlegen, hat die Änderung keine Auswirkungen auf die aktiven LSPs. Geben Sie einen Befehl aus, um die LSPs zur Verwendung der neuen Bandbreitenzuordnung zu clear mpls lsp zwingen.

Anmerkung:

Sie können keine automatischen Policer für LSPs konfigurieren, die aggregierte Schnittstellen oder Multilink Point-to-Point Protocol (MLPPP)-Schnittstellen durchlaufen.

Konfigurieren automatischer Policer für DiffServ-orientierte Traffic Engineering-LSPs

Zur Konfiguration automatischer Policer für DiffServ-orientierte Traffic-Engineering-LSPs und für Multi-Class-LSPs ist die Anweisung auto-policing enthalten:

Sie können diese Aussage in den folgenden Hierarchieebenen enthalten:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Sie enthalten entweder die Anweisung oder eine Anweisung für jeden oder mehrere Klassen (Sie können eine unterschiedliche class all policer-action Policer-Aktion für jede class ctnumber policer-action Klasse konfigurieren). Eine Liste der Aktionen, die durch die Variable ersetzt werden policer-action können, finden Sie Konfigurieren automatischer Policer für LSPs unter. Die Standard-Policer-Aktion hat nichts zu tun.

Anmerkung:

Sie können keine automatischen Policer für LSPs konfigurieren, die aggregierte Schnittstellen oder MLPPP-Schnittstellen durchlaufen.

Konfigurieren automatischer Policer für Point-to-Multipoint-LSPs

Sie können automatische Policer für Point-to-Multipoint-LSPs konfigurieren, indem Sie die Anweisung entweder mit der Option oder auto-policingclass all policer-action der Option class ct0 policer-action einschliesslich. Sie müssen die Anweisung nur auf dem primären auto-policing Point-to-Multipoint LSP konfigurieren (weitere Informationen zu primären Point-to-Multipoint-LSPs finden Sie unter Konfigurieren des primären Point-to-Multipoint LSP). Für den Point-to-Multipoint-LSP ist keine zusätzliche Konfiguration auf den SubLSPs erforderlich. In allen Zweigniederlassungen des Point-to-Multipoint-LSP wird eine automatische Point-to-Multipoint-Policing angewendet. Darüber hinaus wird eine automatische Überwachung auf alle lokalen VRF-Schnittstellen angewendet, die den gleichen Weiterleitungseintrag wie ein Point-to-Multipoint-Zweigstellen haben. Funktion parität für automatische Policer für MPLS-Point-to-Multipoint-LSPs auf dem Junos Trio-Chipsatz wird in den Versionen Junos OS 11.1R2, 11.2R2 und 11.4 unterstützt.

Die automatische Policer-Konfiguration für Point-to-Multipoint-LSPs ist identisch mit der automatischen Policer-Konfiguration für Standard-LSPs. Weitere Informationen finden Sie Konfigurieren automatischer Policer für LSPs unter.

Deaktivieren der automatischen Überwachung eines LSP

Wenn Sie eine automatische Überwachung aktivieren, sind alle LSPs auf dem Router oder im logischen System betroffen. Um die automatische Überwachung auf einem bestimmten LSP auf einem Router zu deaktivieren, auf dem Sie die automatische Überwachung aktiviert haben, schließen Sie die Anweisung policing mit der no-auto-policing Option ein:

Sie können diese Aussage in den folgenden Hierarchieebenen enthalten:

Beispiel: Konfigurieren automatischer Überwachung für einen LSP

Konfigurieren automatischer Policing für einen LSP mit verschiedenen Aktionen für Klassentypen ct0ct1 , und ct2ct3 .

Schreiben verschiedener DSCP- und EXP-Werte in MPLS-Tagged IP-Paketen

Sie können das DSCP-Feld (DiffServ Code Point) für MPLS-tagged-IPv4- und IPv6-Pakete selektiv auf 0 festlegen, ohne die Zuweisung der Ausgangswarteschlange zu beeinträchtigen, und das MPLS EXP-Feld entsprechend der konfigurierten, auf Weiterleitungsklassen basierenden Rewrite-Tabelle festlegen. Sie können dies erreichen, indem Sie einen Firewall-Filter für die Tags der MPLS konfigurieren.