Configuration des filtres et des polices de pare-feu MPLS
Vous pouvez configurer un filtre de pare-feu MPLS pour compter les paquets en fonction des bits EXP pour le label MPLS de niveau supérieur dans un paquet. Vous pouvez également configurer des polices pour les LSP MPLS.
Les sections suivantes discutent des filtres et des polices de pare-feu MPLS :
Configuration des filtres de pare-feu MPLS
Vous pouvez configurer un filtre de pare-feu MPLS pour compter les paquets en fonction des bits EXP pour le label MPLS de niveau supérieur dans un paquet. Vous pouvez ensuite appliquer ce filtre à une interface spécifique en entrée ou en sortie. Vous pouvez également configurer un dispositif de contrôle pour le filtre MPLS pour assurer la surveillance (c’est-à-dire la limite de débit) du trafic sur l’interface à laquelle le filtre est connecté. Vous ne pouvez pas appliquer de filtres de pare-feu MPLS aux interfaces de bouclage.
Vous pouvez configurer les conditions de correspondance suivantes pour les filtres MPLS au niveau de la [edit firewall family mpls filter filter-name term term-name from]
hiérarchie :
exp
label
Ces exp
conditions de correspondance peuvent accepter des bits EXP dans la plage de 0 à 7. Vous pouvez configurer les options suivantes :
Un seul bit EXP, par exemple,
exp 3;
Plusieurs bits EXP, par exemple,
exp 0, 4;
Une gamme de bits EXP, par exemple,
exp [0-5];
La label
condition de correspondance peut accepter une plage de valeurs allant de 0 à 1048575.
Si vous ne spécifiez pas de critère de correspondance (c’est-à-dire que vous ne configurez pas l’instruction from
et utilisez uniquement l’instruction then
avec le count
mot-clé action), tous les paquets MPLS passant par l’interface sur laquelle le filtre est appliqué seront pris en compte.
Vous pouvez également configurer n’importe quel des mots clés d’action suivants au niveau de la [edit firewall family mpls filter filter-name term term-name then]
hiérarchie :
accept
count
discard
policer
three-color-policer
Exemples: Configuration des filtres de pare-feu MPLS
Les exemples suivants illustrent comment configurer un filtre de pare-feu MPLS, puis l’appliquer à une interface. Ce filtre est configuré pour compter les paquets MPLS avec des bits EXP définis sur 0 ou 4.
Voici une configuration pour un filtre de pare-feu MPLS :
[edit firewall] family mpls { filter expf { term expt0 { from { exp 0,4; } then { count counter0; accept; } } } }
Configuration des polices pour les LSP
Le contrôle LSP MPLS vous permet de contrôler la quantité de trafic transféré via un LSP particulier. Le contrôle permet de s’assurer que la quantité de trafic transféré via un LSP ne dépasse jamais l’allocation de bande passante demandée. Le contrôle LSP est pris en charge sur les LSP réguliers, les LSP configurés avec l’ingénierie de trafic compatible DiffServ et les LSP multiclasses. Vous pouvez configurer plusieurs polices pour chaque LSP multiclasse. Pour les LSP réguliers, chaque police LSP est appliquée à l’ensemble du trafic traversant le LSP. Les limitations de bande passante du contrôle deviennent effectives dès que la somme totale du trafic traversant le LSP dépasse la limite configurée.
Vous configurez les polices LSP multiclasses et LSP compatibles DiffServ dans un filtre. Le filtre peut être configuré pour distinguer les différents types de classes et appliquer le policer approprié à chaque type de classe. Les polices distinguent les types de classes en fonction des bits EXP.
Vous configurez des polices LSP sous le family any
filtre. Le family any
filtre est utilisé parce que le contrôle est appliqué au trafic entrant dans le LSP. Ce trafic peut provenir de différentes familles : IPv6, MPLS, etc. Vous n’avez pas besoin de savoir quel type de trafic pénètre dans le LSP, tant que les conditions de correspondance s’appliquent à tous les types de trafic.
Limites du contrôle LSP
Lors de la configuration des polices LSP MPLS, soyez conscient des limites suivantes :
Les polices LSP sont prises en charge uniquement pour les LSP de paquets.
Les polices LSP sont uniquement prises en charge pour les sauts suivants unicast. Les sauts suivants multicast ne sont pas pris en charge.
Les polices LSP ne sont pas prises en charge sur les interfaces agrégées.
Le contrôle LSP s’exécute avant les filtres de sortie.
Le trafic provenant du moteur de routage (par exemple, le trafic ping) ne prend pas le même chemin de transfert que le trafic de transit. Ce type de trafic ne peut pas être supervisé.