Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Filtres de pare-feu pour MPLS

Configuration des filtres et mécanismes de contrôle du pare-feu MPLS sur les routeurs

Vous pouvez configurer un filtre de pare-feu MPLS pour compter les paquets en fonction des bits EXP de l’étiquette MPLS de niveau supérieur dans un paquet. Vous pouvez également configurer des mécanismes de contrôle pour les LSP MPLS.

Les sections suivantes traitent des filtres et mécanismes de contrôle des pare-feu MPLS :

Configuration des filtres de pare-feu MPLS

Vous pouvez configurer un filtre de pare-feu MPLS pour compter les paquets en fonction des bits EXP de l’étiquette MPLS de niveau supérieur dans un paquet. Vous pouvez ensuite appliquer ce filtre à une interface spécifique. Vous pouvez également configurer un mécanisme de contrôle pour le filtre MPLS afin de contrôler (c’est-à-dire de limiter le débit) le trafic sur l’interface à laquelle le filtre est attaché. Vous ne pouvez pas appliquer de filtres de pare-feu MPLS aux interfaces Ethernet (fxp0) ou de bouclage (lo0).

Vous pouvez configurer les attributs de critère de correspondance suivants pour les filtres MPLS au niveau de la [edit firewall family mpls filter filter-name term term-name from] hiérarchie :

  • exp

  • exp-except

Ces attributs peuvent accepter des bits EXP compris entre 0 et 7. Vous pouvez configurer les choix suivants :

  • Un seul bit EXP (par exemple, exp 3;

  • Plusieurs bits EXP (par exemple, exp 0, 4;

  • Une gamme de bits EXP (par exemple, exp [0-5];

Si vous ne spécifiez pas de critère de correspondance (c’est-à-dire que vous ne configurez pas l’instruction from et utilisez uniquement l’instruction then avec le count mot-clé action), tous les paquets MPLS passant par l’interface sur laquelle le filtre est appliqué seront comptés.

Vous pouvez également configurer l’un des mots-clés d’action suivants au niveau de la [edit firewall family mpls filter filter-name term term-name then] hiérarchie :

  • count

  • accept

  • discard

  • next

  • policer

Pour plus d’informations sur la configuration des filtres de pare-feu, consultez le Guide de l’utilisateur Stratégies de routage, filtres de pare-feu et mécanismes de contrôle du trafic. Pour plus d’informations sur la configuration des interfaces, reportez-vous à la Bibliothèque d’interfaces réseau Junos OS pour les périphériques de routage et à la Bibliothèque d’interfaces de services Junos OS pour les périphériques de routage.

Exemples: Configuration des filtres de pare-feu MPLS

Les exemples suivants illustrent comment configurer un filtre de pare-feu MPLS, puis appliquer le filtre à une interface. Ce filtre est configuré pour compter les paquets MPLS dont les bits EXP sont définis sur 0 ou 4.

Voici une configuration pour un filtre de pare-feu MPLS :

Voici comment appliquer le filtre de pare-feu MPLS à une interface :

Le filtre de pare-feu MPLS est appliqué à l’entrée et à la sortie d’une interface (voir les input instructions et output de l’exemple précédent).

Configuration des mécanismes de contrôle pour les LSP

Le contrôle des LSP MPLS vous permet de contrôler la quantité de trafic transféré via un LSP particulier. Le contrôle permet de s’assurer que la quantité de trafic transféré via un LSP ne dépasse jamais l’allocation de bande passante demandée. Le contrôle des LSP est pris en charge sur les LSP classiques, les LSP configurés avec une ingénierie de trafic prenant en compte DiffServ et les LSP multiclasses. Vous pouvez configurer plusieurs mécanismes de contrôle pour chaque LSP multiclasse. Pour les LSP classiques, chaque mécanisme de contrôle LSP est appliqué à l’ensemble du trafic qui traverse le LSP. Les limitations de bande passante du mécanisme de contrôle prennent effet dès que la somme totale du trafic traversant le LSP dépasse la limite configurée.

REMARQUE :

Le routeur PTX10003 ne prend en charge que les LSP classiques.

Vous configurez le LSP multiclasse et les mécanismes de contrôle LSP d’ingénierie du trafic prenant en charge DiffServ dans un filtre. Le filtre peut être configuré pour distinguer les différents types de classe et appliquer le mécanisme de contrôle approprié à chaque type de classe. Les mécanismes de contrôle font la distinction entre les types de classe en fonction des bits EXP.

Vous configurez les mécanismes de contrôle LSP sous le family any filtre. Le family any filtre est utilisé car le mécanisme de contrôle est appliqué au trafic entrant dans le LSP. Ce trafic peut provenir de différentes familles : IPv6, MPLS, etc. Vous n’avez pas besoin de savoir quel type de trafic entre dans le LSP, tant que les conditions de correspondance s’appliquent à tous les types de trafic.

Vous ne pouvez configurer que les conditions de correspondance qui s’appliquent à tous les types de trafic. Voici les conditions de correspondance prises en charge pour les mécanismes de contrôle LSP :

  • forwarding-class

  • packet-length

  • interface

  • interface-set

Pour activer un mécanisme de contrôle sur un LSP, vous devez d’abord configurer un filtre de contrôle, puis l’inclure dans la configuration du LSP. Pour plus d’informations sur la configuration des mécanismes de contrôle, reportez-vous au Guide de l’utilisateur des mécanismes de contrôle du routage, des filtres de pare-feu et des mécanismes de contrôle du trafic.

Pour configurer un mécanisme de contrôle pour un LSP, spécifiez un filtre en incluant l’option filter à l’instruction policing :

Vous pouvez inclure l’instruction policing aux niveaux hiérarchiques suivants :

Limites du mécanisme de contrôle LSP

Lors de la configuration des mécanismes de contrôle MPLS LSP, tenez compte des limitations suivantes :

  • Les mécanismes de contrôle LSP ne sont pris en charge que pour les LSP de paquets.

  • Les mécanismes de contrôle LSP ne sont pris en charge que pour les sauts suivants unicast. Les sauts suivants multicast ne sont pas pris en charge.

  • Les mécanismes de contrôle LSP ne sont pas pris en charge sur les interfaces agrégées.

  • Le mécanisme de contrôle LSP s’exécute avant les filtres de sortie.

  • Le trafic provenant du moteur de routage (par exemple, le trafic ping) n’emprunte pas le même chemin de transfert que le trafic de transit. Ce type de trafic ne peut pas être contrôlé.

  • Les mécanismes de contrôle LSP fonctionnent sur tous les routeurs T Series et sur les routeurs M Series équipés d’un circuit intégré spécifique à l’application (ASIC) Internet Processor II.

  • Les mécanismes de contrôle LSP ne sont pas pris en charge pour les LSP point-à-multipoint.
REMARQUE :

À partir de Junos OS version 12.2R2, sur les routeurs T Series uniquement, vous pouvez configurer un mécanisme de contrôle LSP pour un LSP spécifique afin qu’il soit partagé entre différents types de familles de protocoles. Pour ce faire, vous devez configurer l’instruction logical-interface-policer au niveau de la [edit firewall policer policer-name] hiérarchie.

Exemple : Configuration d’un mécanisme de contrôle LSP

L’exemple suivant montre comment configurer un filtre de contrôle pour un LSP :

Configuration des mécanismes de contrôle automatiques

Le contrôle automatique des LSP vous permet de fournir des garanties de service strictes pour le trafic réseau. De telles garanties sont particulièrement utiles dans le contexte des services différenciés pour les LSP spécialisés dans le trafic, car elles permettent une meilleure émulation des virements ATM sur un réseau MPLS. Pour plus d’informations sur les services différenciés pour les LSP, consultez Introduction à l'ingénierie de trafic avec fonction DiffServ.

Services différenciés pour les LSP d’ingénierie de trafic : vous pouvez fournir un traitement différentiel au trafic MPLS en fonction des bits EXP. Pour assurer ces garanties de trafic, il ne suffit pas de simplement marquer le trafic de manière appropriée. Si le trafic emprunte un chemin encombré, il est possible que les conditions requises ne soient pas remplies.

Il est garanti que les LSP seront établis le long des chemins où suffisamment de ressources sont disponibles pour répondre aux exigences. Toutefois, même si les LSP sont établis le long de ces chemins et sont correctement marqués, ces exigences ne peuvent être garanties que si vous vous assurez qu’il n’y a pas plus de trafic envoyé à un LSP qu’il n’y a de bande passante disponible.

Il est possible de contrôler le trafic LSP en configurant manuellement un filtre approprié et en l’appliquant au LSP dans la configuration. Cependant, pour les déploiements de grande envergure, il est fastidieux de configurer des milliers de filtres différents. Les groupes de configuration ne peuvent pas non plus résoudre ce problème, car différents LSP peuvent avoir des exigences différentes en matière de bande passante, nécessitant des filtres différents. Pour contrôler le trafic de nombreux LSP, il est préférable de configurer des mécanismes de contrôle automatiques.

Lorsque vous configurez des mécanismes de contrôle automatiques pour les LSP, un mécanisme de contrôle est appliqué à tous les LSP configurés sur le routeur. Toutefois, vous pouvez désactiver le contrôle automatique sur des LSP spécifiques.

REMARQUE :

Lorsque vous configurez des mécanismes de contrôle automatiques pour le LSP d’ingénierie du trafic prenant en charge DiffServ, GRES n’est pas pris en charge.

REMARQUE :

Vous ne pouvez pas configurer le contrôle automatique pour les LSP acheminant du trafic CCC.

Les sections suivantes décrivent comment configurer les mécanismes de contrôle automatiques pour les LSP :

Configuration des mécanismes de contrôle automatiques pour les LSP

Pour configurer les mécanismes de contrôle automatiques pour les LSP standard (ni les LSP d’ingénierie de trafic sensibles à DiffServ ni les LSP multiclasses), incluez l’instruction auto-policing avec l’option class all policer-action ou l’option class ct0 policer-action :

Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Vous pouvez configurer les actions de contrôle suivantes pour les mécanismes de contrôle automatiques :

  • drop—Supprimer tous les paquets.

  • loss-priority-high: définissez la priorité de perte de paquets (PLP) sur élevée.

  • loss-priority-low—Réglez le PLP sur faible.

Ces actions de contrôle s’appliquent à tous les types de LSP. L’action par défaut du mécanisme de contrôle est de ne rien faire.

Des mécanismes de contrôle automatiques pour les LSP contrôlent le trafic en fonction de la quantité de bande passante configurée pour les LSP. Vous configurez la bande passante d’un LSP à l’aide de l’instruction bandwidth au niveau de la [edit protocols mpls label-switched-path lsp-path-name] hiérarchie. Si vous avez activé les mécanismes de contrôle automatiques sur un routeur, que vous modifiez la bande passante configurée pour un LSP et que vous validez la configuration révisée, la modification n’a pas d’effet sur les LSP actifs. Pour forcer les LSP à utiliser la nouvelle allocation de bande passante, exécutez une clear mpls lsp commande.

REMARQUE :

Vous ne pouvez pas configurer les mécanismes de contrôle automatiques pour les LSP qui traversent des interfaces agrégées ou des interfaces MLPPP (Multilink Point-to-Point Protocol).

Configuration de mécanismes de contrôle automatiques pour les LSP d’ingénierie du trafic prenant en charge DiffServ

Pour configurer des mécanismes de contrôle automatiques pour les LSP d’ingénierie du trafic prenant en charge DiffServ et pour les LSP multiclasses, incluez l’instruction auto-policing suivante :

Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Vous incluez l’instruction class all policer-action ou une class ctnumber policer-action instruction pour chacune d’une ou plusieurs classes (vous pouvez configurer une action de contrôle différente pour chaque classe). Pour obtenir la liste des actions que vous pouvez substituer à la variable, reportez-vous à la policer-action section Configuration des mécanismes de contrôle automatiques pour les LSP. L’action par défaut du mécanisme de contrôle est de ne rien faire.

REMARQUE :

Vous ne pouvez pas configurer les mécanismes de contrôle automatiques pour les LSP qui traversent des interfaces agrégées ou des interfaces MLPPP.

Configuration des mécanismes de contrôle automatiques pour les LSP point à multipoint

Vous pouvez configurer des mécanismes de contrôle automatiques pour les LSP point à multipoint en incluant l’instruction auto-policing avec l’option class all policer-action ou l’option class ct0 policer-action . Il vous suffit de configurer l’instruction auto-policing sur le LSP point à multipoint principal (pour plus d’informations sur les LSP point à multipoint principaux, consultez Configuration du LSP point à multipoint principal). Aucune configuration supplémentaire n’est requise sur les sous-LSP pour le LSP point à multipoint. Le contrôle automatique point-à-multipoint est appliqué à toutes les branches du LSP point-à-multipoint. De plus, le contrôle automatique est appliqué à toutes les interfaces VRF locales qui ont la même entrée de transfert qu’une succursale point à multipoint. La parité des fonctionnalités pour les mécanismes de contrôle automatiques pour les LSP point à multipoint MPLS sur la puce Junos Trio est prise en charge dans les versions 11.1R2, 11.2R2 et 11.4 de Junos OS.

La configuration du mécanisme de contrôle automatique pour les LSP point à multipoint est identique à la configuration du mécanisme de contrôle automatique pour les LSP standard. Pour plus d’informations, reportez-vous à la section Configuration des mécanismes de contrôle automatiques pour les LSP.

Désactivation du contrôle automatique sur un LSP

Lorsque vous activez la surveillance automatique, tous les LSP du routeur ou du système logique sont affectés. Pour désactiver le contrôle automatique sur un LSP spécifique sur un routeur sur lequel vous avez activé le contrôle automatique, incluez l’instruction avec l’option policingno-auto-policing :

Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :

Exemple : Configuration du contrôle automatique pour un LSP

Configurez le contrôle automatique pour un LSP multiclasse, en spécifiant différentes actions pour les types ct0de classe , ct1, ct2et ct3.

Écriture de différentes valeurs DSCP et EXP dans des paquets IP balisés MPLS

Vous pouvez définir de manière sélective le champ de point de code DiffServ (DSCP) des paquets IPv4 et IPv6 balisés MPLS sur 0 sans affecter l’affectation de la file d’attente de sortie, et continuer à définir le champ MPLS EXP en fonction de la table de réécriture configurée, qui est basée sur les classes de transfert. Pour ce faire, vous pouvez configurer un filtre de pare-feu pour les paquets marqués MPLS.

Vue d’ensemble des filtres de pare-feu MPLS sur l’interface de bouclage

Bien que toutes les interfaces soient importantes, l’interface de bouclage peut être la plus importante car elle est le lien avec le moteur de routage, qui exécute et gère tous les protocoles de routage. L’interface de bouclage est une passerelle pour tout le trafic de contrôle qui entre dans le moteur de routage du commutateur. Vous pouvez contrôler ce trafic en configurant un filtre de pare-feu sur l’interface de bouclage (lo0) sur family mpls. Les filtres de pare-feu de bouclage affectent uniquement le trafic destiné au processeur du moteur de routage. Vous ne pouvez appliquer un filtre de pare-feu de bouclage que dans le sens d’entrée (paquets entrant dans l’interface). À partir de Junos OS version 19.2R1, vous pouvez appliquer un filtre de pare-feu MPLS à une interface de bouclage sur un routeur de commutation d’étiquettes (LSR) sur les commutateurs QFX5100, QFX5110, QFX5200 et QFX5210.

Lorsque vous configurez un filtre de pare-feu MPLS, vous définissez des critères de filtrage (termes, avec des conditions de correspondance) pour les paquets et une action que le commutateur doit effectuer si les paquets correspondent aux critères de filtrage. Étant donné que vous appliquez le filtre à une interface de bouclage, vous devez spécifier explicitement la condition de correspondance de durée de vie (TTL) sous family mpls et définir sa valeur TTL sur 1 (ttl=1). Le TTL est un champ d’en-tête de 8 bits (IPv4) qui indique le temps restant qu’un paquet IP a quitté avant la fin de sa durée de vie et sa perte. Vous pouvez également faire correspondre les paquets avec d’autres qualificateurs MPLS tels que label, exp, Couche 4 source portet Couche 4 destination port.

Avantages de l’ajout de filtres de pare-feu MPLS sur l’interface de bouclage

  • Protège le moteur de routage en veillant à ce qu’il accepte uniquement le trafic provenant de réseaux approuvés.

  • Aide à protéger le moteur de routage contre les attaques par déni de service.

  • Vous donne la possibilité de faire correspondre les paquets sur le port source et le port de destination. Par exemple, si vous exécutez un traceroute, vous pouvez filtrer le trafic de manière sélective en choisissant TCP ou UDP.

Lignes directrices et limites

  • Vous ne pouvez appliquer un filtre de pare-feu de bouclage que dans le sens entrant

  • Seuls les champs labelMPLS , exp, ttl=1 les champs de couche 4 et udp les numéros tcp de port sont pris en charge.

  • Seules les acceptactions , discard, et count sont prises en charge.

  • Vous devez explicitement spécifier ttl=1 sous family mpls to match sur les paquets TLL.

  • Les filtres appliqués sur l’interface de bouclage ne peuvent pas être mis en correspondance sur le port de destination (charge utile interne) d’un paquet IPv6.

  • Vous ne pouvez pas appliquer de filtre aux paquets qui ont plus de deux étiquettes MPLS.

  • Vous ne pouvez pas spécifier de plage de ports pour les conditions de correspondance TCP ou UDP.

  • Seuls 255 termes de pare-feu sont pris en charge.

Configuration des filtres et mécanismes de contrôle du pare-feu MPLS sur les commutateurs

Vous pouvez configurer des filtres de pare-feu pour filtrer le trafic MPLS. Pour utiliser un filtre de pare-feu MPLS, vous devez d’abord configurer le filtre, puis l’appliquer à une interface que vous avez configurée pour le transfert du trafic MPLS. Vous pouvez également configurer un mécanisme de contrôle pour le filtre MPLS afin de contrôler (c’est-à-dire de limiter le débit) le trafic sur l’interface à laquelle le filtre est attaché.

Lorsque vous configurez un filtre de pare-feu MPLS, vous définissez les critères de filtrage (termes, avec des conditions de correspondance) et une action que le commutateur doit effectuer si les paquets correspondent aux critères de filtrage.

REMARQUE :

Vous ne pouvez configurer les filtres MPLS que dans le sens entrant. Les filtres de pare-feu MPLS de sortie ne sont pas pris en charge.

Configuration d’un filtre de pare-feu MPLS

Pour configurer un filtre de pare-feu MPLS :

  1. Configurez le nom du filtre, le nom du terme et au moins une condition de correspondance (par exemple, correspondance sur les paquets MPLS dont les bits EXP sont définis sur 0 ou 4) :
  2. Dans chaque terme de filtre de pare-feu, spécifiez les actions à effectuer si le paquet répond à toutes les conditions de ce terme (par exemple, compter les paquets MPLS avec des bits EXP définis sur 0 ou 4) :
  3. Lorsque vous avez terminé, suivez les étapes ci-dessous pour appliquer le filtre à une interface.

Application d’un filtre de pare-feu MPLS à une interface MPLS

Pour appliquer le filtre de pare-feu MPLS à une interface que vous avez configurée pour le transfert de trafic MPLS (à l’aide de l’instruction family mpls au niveau de la [edit interfaces interface-name unit unit-number] hiérarchie) :

REMARQUE :

Vous ne pouvez appliquer des filtres de pare-feu que pour filtrer les paquets MPLS entrant dans une interface.

  1. Appliquez le filtre de pare-feu à une interface MPLS (par exemple, appliquez le filtre de pare-feu à l’interface xe-0/0/5) :
  2. Vérifiez votre configuration et exécutez la commit commande :

Application d’un filtre de pare-feu MPLS à une interface de bouclage

Pour appliquer un filtre de pare-feu MPLS à une interface de bouclage (lo0) :

  1. Tout d’abord, spécifiez le format du paquet à l’aide de la commande packet-format-match . Vous devez redémarrer le PFE chaque fois que vous configurez cette commande.
  2. Configurez les conditions et les actions de correspondance du filtre de pare-feu, comme décrit à la section Configuration des filtres et mécanismes de contrôle du pare-feu MPLS sur les commutateurs. Vous devez définir explicitement la condition de correspondance TTL sur (ttl=1). Vous pouvez également faire correspondre des paquets avec d’autres qualificateurs MPLS tels que label, exp, et Couche 4 source port, et destination port.
  3. Appliquez le filtre à l’interface de bouclage en tant que filtre d’entrée.
  4. Vérifiez votre configuration et exécutez la commit commande :

Voici un exemple de configuration.

Configuration des mécanismes de contrôle pour les LSP

À partir de Junos OS 13.2X51-D15, vous pouvez envoyer le trafic correspondant à un filtre MPLS vers un mécanisme de contrôle bicolore ou tricolore. Le contrôle des LSP MPLS vous permet de contrôler la quantité de trafic transféré via un LSP particulier. Le contrôle permet de s’assurer que la quantité de trafic transféré via un LSP ne dépasse jamais l’allocation de bande passante demandée. Le contrôle des LSP est pris en charge sur les LSP classiques, les LSP configurés avec une ingénierie de trafic prenant en compte DiffServ et les LSP multiclasses. Vous pouvez configurer plusieurs mécanismes de contrôle pour chaque LSP multiclasse. Pour les LSP classiques, chaque mécanisme de contrôle LSP est appliqué à l’ensemble du trafic qui traverse le LSP. Les limitations de bande passante du mécanisme de contrôle prennent effet dès que la somme totale du trafic traversant le LSP dépasse la limite configurée.

Vous configurez le LSP multiclasse et les mécanismes de contrôle LSP d’ingénierie du trafic prenant en charge DiffServ dans un filtre. Le filtre peut être configuré pour distinguer les différents types de classe et appliquer le mécanisme de contrôle approprié à chaque type de classe. Les mécanismes de contrôle font la distinction entre les types de classe en fonction des bits EXP.

Vous configurez les mécanismes de contrôle LSP sous le family any filtre. Le family any filtre est utilisé car le mécanisme de contrôle est appliqué au trafic entrant dans le LSP. Ce trafic peut provenir de différentes familles : IPv6, MPLS, etc. Vous n’avez pas besoin de savoir quel type de trafic entre dans le LSP, tant que les conditions de correspondance s’appliquent à tous les types de trafic.

Lors de la configuration des mécanismes de contrôle MPLS LSP, tenez compte des limitations suivantes :

  • Les mécanismes de contrôle LSP ne sont pris en charge que pour les LSP de paquets.

  • Les mécanismes de contrôle LSP ne sont pris en charge que pour les sauts suivants unicast. Les sauts suivants multicast ne sont pas pris en charge.

  • Le mécanisme de contrôle LSP s’exécute avant les filtres de sortie.

  • Le trafic provenant du moteur de routage (par exemple, le trafic ping) n’emprunte pas le même chemin de transfert que le trafic de transit. Ce type de trafic ne peut pas être contrôlé.

Tableau de l'historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Version
Description
19.2R1
À partir de Junos OS version 19.2R1, vous pouvez appliquer un filtre de pare-feu MPLS à une interface de bouclage sur un routeur de commutation d’étiquettes (LSR) sur les commutateurs QFX5100, QFX5110, QFX5200 et QFX5210.