Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Konfigurieren von MPLS-Firewall-Filtern und -Policern auf Switches

Sie können Firewall-Filter konfigurieren, um MPLS-Datenverkehr zu filtern. Um einen MPLS-Firewallfilter zu verwenden, müssen Sie den Filter zuerst konfigurieren und dann auf eine Schnittstelle anwenden, die Sie für die Weiterleitung von MPLS-Datenverkehr konfiguriert haben. Sie können auch einen Policer für den MPLS-Filter konfigurieren, um den Datenverkehr auf der Schnittstelle, an die der Filter angefügt ist, zu überwachen (d. h. die Ratenbegrenzung festzulegen).

Wenn Sie einen MPLS-Firewallfilter konfigurieren, definieren Sie die Filterkriterien (Begriffe, mit Übereinstimmungsbedingungen) und eine Aktion, die der Switch ausführen soll, wenn die Pakete den Filterkriterien entsprechen.

HINWEIS:

Sie können MPLS-Filter nur in Eingangsrichtung konfigurieren. Ausgangs-MPLS-Firewallfilter werden nicht unterstützt.

Konfigurieren eines MPLS-Firewallfilters

So konfigurieren Sie einen MPLS-Firewallfilter:

  1. Konfigurieren Sie den Filternamen, den Begriffsnamen und mindestens eine Übereinstimmungsbedingung, z. B. Übereinstimmung bei MPLS-Paketen, bei denen die EXP-Bits entweder auf 0 oder 4 festgelegt sind:
  2. Geben Sie in jedem Firewallfilterbegriff die Aktionen an, die ausgeführt werden sollen, wenn das Paket alle Bedingungen in diesem Begriff erfüllt, z. B. MPLS-Pakete mit EXP-Bits auf 0 oder 4 zu zählen:
  3. Wenn Sie fertig sind, führen Sie die folgenden Schritte aus, um den Filter auf eine Schnittstelle anzuwenden.

Anwenden eines MPLS-Firewall-Filters auf eine MPLS-Schnittstelle

So wenden Sie den MPLS-Firewallfilter auf eine Schnittstelle an, die Sie für die Weiterleitung von MPLS-Datenverkehr konfiguriert haben (mithilfe der Anweisung auf Hierarchieebene ):family mpls[edit interfaces interface-name unit unit-number]

HINWEIS:

Sie können Firewallfilter nur anwenden, um MPLS-Pakete zu filtern, die in eine Schnittstelle eingehen.

  1. Wenden Sie den Firewallfilter auf eine MPLS-Schnittstelle an, z. B. wenden Sie den Firewallfilter auf die Schnittstelle xe-0/0/5 an:
  2. Überprüfen Sie Ihre Konfiguration, und geben Sie den folgenden Befehl ein:commit

Anwenden eines MPLS-Firewallfilters auf eine Loopback-Schnittstelle

So wenden Sie einen MPLS-Firewall-Filter auf eine Loopback-Schnittstelle an (lo0):

  1. Geben Sie zunächst das Paketformat mit dem Befehl packet-format-match an.packet-format-match Sie müssen die PFE jedes Mal neu starten, wenn Sie diesen Befehl konfigurieren.
  2. Konfigurieren Sie die Übereinstimmungsbedingungen und -aktionen für Firewallfilter wie in beschrieben.Konfigurieren eines MPLS-Firewallfilters Sie müssen die TTL-Übereinstimmungsbedingung explizit auf () festlegen.ttl=1 Sie können Pakete auch mit anderen MPLS-Qualifizierern wie , und Layer 4 und abgleichen.labelexpsource portdestination port
  3. Wenden Sie den Filter als Eingabefilter auf die Loopback-Schnittstelle an.
  4. Überprüfen Sie Ihre Konfiguration, und geben Sie den folgenden Befehl ein:commit

Im Folgenden finden Sie eine Beispielkonfiguration.

Konfigurieren von Policern für LSPs

Ab Junos OS 13.2X51-D15 können Sie Datenverkehr, der mit einem MPLS-Filter übereinstimmt, an einen zweifarbigen oder dreifarbigen Policer senden. Mit MPLS LSP-Überwachung können Sie die Menge des Datenverkehrs steuern, der über einen bestimmten LSP weitergeleitet wird. Mit der Überwachung wird sichergestellt, dass die Menge des Datenverkehrs, der über einen LSP weitergeleitet wird, niemals die angeforderte Bandbreitenzuweisung überschreitet. LSP-Policing wird von regulären LSPs, LSPs, die mit DiffServ-fähigem Traffic Engineering konfiguriert sind, und LSPs mit mehreren Klassen unterstützt. Sie können mehrere Policer für jeden LSP mit mehreren Klassen konfigurieren. Bei regulären LSPs wird jeder LSP-Policer auf den gesamten Datenverkehr angewendet, der den LSP durchquert. Die Bandbreitenbeschränkungen des Policers werden wirksam, sobald die Gesamtsumme des Datenverkehrs, der den LSP durchläuft, das konfigurierte Limit überschreitet.

Sie konfigurieren die LSP-Policer für mehrere Klassen und DiffServ-fähige LSP-Policer für das Traffic Engineering in einem Filter. Der Filter kann so konfiguriert werden, dass er zwischen den verschiedenen Klassentypen unterscheidet und den entsprechenden Policer auf jeden Klassentyp anwendet. Die Policer unterscheiden zwischen Klassentypen anhand der EXP-Bits.

Sie konfigurieren LSP-Policer unter dem Filter.family any Der Filter wird verwendet, weil der Policer auf den Datenverkehr angewendet wird, der in den LSP eintritt.family any Dieser Datenverkehr kann aus verschiedenen Familien stammen: IPv6, MPLS und so weiter. Sie müssen nicht wissen, welche Art von Datenverkehr in den Sprachdienstleister gelangt, solange die Übereinstimmungsbedingungen für alle Arten von Datenverkehr gelten.

Beachten Sie bei der Konfiguration von MPLS-LSP-Policern die folgenden Einschränkungen:

  • LSP-Policer werden nur für Paket-LSPs unterstützt.

  • LSP-Policer werden nur für Unicast-Hops unterstützt. Multicast Next Hops werden nicht unterstützt.

  • Der LSP-Policer wird vor allen Ausgabefiltern ausgeführt.

  • Datenverkehr, der von der Routing-Engine stammt (z. B. Ping-Datenverkehr), nimmt nicht denselben Weiterleitungspfad wie Transitdatenverkehr. Diese Art von Verkehr kann nicht überwacht werden.