Configuration des filtres et des polices de pare-feu MPLS

Configuration des filtres de pare-feu MPLS

Vous pouvez configurer un filtre de pare-feu MPLS pour compter les paquets en fonction des bits EXP pour le label MPLS de niveau supérieur dans un paquet. Vous pouvez ensuite appliquer ce filtre à une interface spécifique en entrée ou en sortie. Vous pouvez également configurer un dispositif de contrôle pour le filtre MPLS pour assurer la surveillance (c’est-à-dire la limite de débit) du trafic sur l’interface à laquelle le filtre est connecté. Vous ne pouvez pas appliquer de filtres de pare-feu MPLS aux interfaces de bouclage.

Vous pouvez configurer les conditions de correspondance suivantes pour les filtres MPLS au niveau de la [edit firewall family mpls filter filter-name term term-name from] hiérarchie :

• exp

• label

Ces exp conditions de correspondance peuvent accepter des bits EXP dans la plage de 0 à 7. Vous pouvez configurer les options suivantes :

• Un seul bit EXP, par exemple, exp 3;

• Plusieurs bits EXP, par exemple, exp 0, 4;

• Une gamme de bits EXP, par exemple, exp [0-5];

La label condition de correspondance peut accepter une plage de valeurs allant de 0 à 1048575.

Si vous ne spécifiez pas de critère de correspondance (c’est-à-dire que vous ne configurez pas l’instruction from et utilisez uniquement l’instruction then avec le count mot-clé action), tous les paquets MPLS passant par l’interface sur laquelle le filtre est appliqué seront pris en compte.

Vous pouvez également configurer n’importe quel des mots clés d’action suivants au niveau de la [edit firewall family mpls filter filter-name term term-name then] hiérarchie :

• accept

• count

• discard

• policer

• three-color-policer

Exemples: Configuration des filtres de pare-feu MPLS

Les exemples suivants illustrent comment configurer un filtre de pare-feu MPLS, puis l’appliquer à une interface. Ce filtre est configuré pour compter les paquets MPLS avec des bits EXP définis sur 0 ou 4.

Voici une configuration pour un filtre de pare-feu MPLS :

Configuration des polices pour les LSP

Le contrôle LSP MPLS vous permet de contrôler la quantité de trafic transféré via un LSP particulier. Le contrôle permet de s’assurer que la quantité de trafic transféré via un LSP ne dépasse jamais l’allocation de bande passante demandée. Le contrôle LSP est pris en charge sur les LSP réguliers, les LSP configurés avec l’ingénierie de trafic compatible DiffServ et les LSP multiclasses. Vous pouvez configurer plusieurs polices pour chaque LSP multiclasse. Pour les LSP réguliers, chaque police LSP est appliquée à l’ensemble du trafic traversant le LSP. Les limitations de bande passante du contrôle deviennent effectives dès que la somme totale du trafic traversant le LSP dépasse la limite configurée.

Vous configurez les polices LSP multiclasses et LSP compatibles DiffServ dans un filtre. Le filtre peut être configuré pour distinguer les différents types de classes et appliquer le policer approprié à chaque type de classe. Les polices distinguent les types de classes en fonction des bits EXP.

Vous configurez des polices LSP sous le family any filtre. Le family any filtre est utilisé parce que le contrôle est appliqué au trafic entrant dans le LSP. Ce trafic peut provenir de différentes familles : IPv6, MPLS, etc. Vous n’avez pas besoin de savoir quel type de trafic pénètre dans le LSP, tant que les conditions de correspondance s’appliquent à tous les types de trafic.