Configuration des filtres et des mécanismes de contrôle du pare-feu MPLS

Configuration des filtres de pare-feu MPLS

Vous pouvez configurer un filtre de pare-feu MPLS pour compter les paquets en fonction des bits EXP de l’étiquette MPLS de niveau supérieur dans un paquet. Vous pouvez ensuite appliquer ce filtre à une interface spécifique en entrée ou en sortie. Vous pouvez également configurer un mécanisme de contrôle pour le filtre MPLS afin de contrôler (c’est-à-dire de limiter le débit) le trafic sur l’interface à laquelle le filtre est attaché. Vous ne pouvez pas appliquer de filtres de pare-feu MPLS aux interfaces de bouclage.

Vous pouvez configurer les conditions de correspondance suivantes pour les filtres MPLS au niveau de la [edit firewall family mpls filter filter-name term term-name from] hiérarchie :

• exp

• label

Ces exp conditions de correspondance peuvent accepter des bits EXP compris entre 0 et 7. Vous pouvez configurer les choix suivants :

• Un seul bit EXP (par exemple, exp 3;

• Plusieurs bits EXP (par exemple, exp 0, 4;

• Une gamme de bits EXP (par exemple, exp [0-5];

La label condition de correspondance peut accepter une plage de valeurs comprise entre 0 et 1048575.

Si vous ne spécifiez pas de critère de correspondance (c’est-à-dire que vous ne configurez pas l’instruction from et utilisez uniquement l’instruction then avec le count mot-clé action), tous les paquets MPLS passant par l’interface sur laquelle le filtre est appliqué seront comptés.

Vous pouvez également configurer l’un des mots-clés d’action suivants au niveau de la [edit firewall family mpls filter filter-name term term-name then] hiérarchie :

• accept

• count

• discard

• policer

• three-color-policer

Exemples: Configuration des filtres de pare-feu MPLS

Les exemples suivants illustrent comment configurer un filtre de pare-feu MPLS, puis appliquer le filtre à une interface. Ce filtre est configuré pour compter les paquets MPLS dont les bits EXP sont définis sur 0 ou 4.

Voici une configuration pour un filtre de pare-feu MPLS :

Configuration des mécanismes de contrôle pour les LSP

Le contrôle des LSP MPLS vous permet de contrôler la quantité de trafic transféré via un LSP particulier. Le contrôle permet de s’assurer que la quantité de trafic transféré via un LSP ne dépasse jamais l’allocation de bande passante demandée. Le contrôle des LSP est pris en charge sur les LSP classiques, les LSP configurés avec une ingénierie de trafic prenant en compte DiffServ et les LSP multiclasses. Vous pouvez configurer plusieurs mécanismes de contrôle pour chaque LSP multiclasse. Pour les LSP classiques, chaque mécanisme de contrôle LSP est appliqué à l’ensemble du trafic qui traverse le LSP. Les limitations de bande passante du mécanisme de contrôle prennent effet dès que la somme totale du trafic traversant le LSP dépasse la limite configurée.

Vous configurez le LSP multiclasse et les mécanismes de contrôle LSP d’ingénierie du trafic prenant en charge DiffServ dans un filtre. Le filtre peut être configuré pour distinguer les différents types de classe et appliquer le mécanisme de contrôle approprié à chaque type de classe. Les mécanismes de contrôle font la distinction entre les types de classe en fonction des bits EXP.

Vous configurez les mécanismes de contrôle LSP sous le family any filtre. Le family any filtre est utilisé car le mécanisme de contrôle est appliqué au trafic entrant dans le LSP. Ce trafic peut provenir de différentes familles : IPv6, MPLS, etc. Vous n’avez pas besoin de savoir quel type de trafic entre dans le LSP, tant que les conditions de correspondance s’appliquent à tous les types de trafic.