Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration des filtres et des mécanismes de contrôle du pare-feu MPLS

Vous pouvez configurer un filtre de pare-feu MPLS pour compter les paquets en fonction des bits EXP de l’étiquette MPLS de niveau supérieur dans un paquet. Vous pouvez également configurer des mécanismes de contrôle pour les LSP MPLS.

Les sections suivantes traitent des filtres et mécanismes de contrôle des pare-feu MPLS :

Configuration des filtres de pare-feu MPLS

Vous pouvez configurer un filtre de pare-feu MPLS pour compter les paquets en fonction des bits EXP de l’étiquette MPLS de niveau supérieur dans un paquet. Vous pouvez ensuite appliquer ce filtre à une interface spécifique en entrée ou en sortie. Vous pouvez également configurer un mécanisme de contrôle pour le filtre MPLS afin de contrôler (c’est-à-dire de limiter le débit) le trafic sur l’interface à laquelle le filtre est attaché. Vous ne pouvez pas appliquer de filtres de pare-feu MPLS aux interfaces de bouclage.

Vous pouvez configurer les conditions de correspondance suivantes pour les filtres MPLS au niveau de la [edit firewall family mpls filter filter-name term term-name from] hiérarchie :

  • exp

  • label

Ces exp conditions de correspondance peuvent accepter des bits EXP compris entre 0 et 7. Vous pouvez configurer les choix suivants :

  • Un seul bit EXP (par exemple, exp 3;

  • Plusieurs bits EXP (par exemple, exp 0, 4;

  • Une gamme de bits EXP (par exemple, exp [0-5];

La label condition de correspondance peut accepter une plage de valeurs comprise entre 0 et 1048575.

Si vous ne spécifiez pas de critère de correspondance (c’est-à-dire que vous ne configurez pas l’instruction et utilisez uniquement l’instruction avec le mot-clé action), tous les paquets MPLS passant par l’interface fromthen sur laquelle le count filtre est appliqué seront comptés.

Vous pouvez également configurer l’un des mots-clés d’action suivants au niveau de la [edit firewall family mpls filter filter-name term term-name then] hiérarchie :

  • accept

  • count

  • discard

  • policer

  • three-color-policer

Exemples: Configuration des filtres de pare-feu MPLS

Les exemples suivants illustrent comment configurer un filtre de pare-feu MPLS, puis appliquer le filtre à une interface. Ce filtre est configuré pour compter les paquets MPLS dont les bits EXP sont définis sur 0 ou 4.

Voici une configuration pour un filtre de pare-feu MPLS :

Configuration des mécanismes de contrôle pour les LSP

Le contrôle des LSP MPLS vous permet de contrôler la quantité de trafic transféré via un LSP particulier. Le contrôle permet de s’assurer que la quantité de trafic transféré via un LSP ne dépasse jamais l’allocation de bande passante demandée. Le contrôle des LSP est pris en charge sur les LSP classiques, les LSP configurés avec une ingénierie de trafic prenant en compte DiffServ et les LSP multiclasses. Vous pouvez configurer plusieurs mécanismes de contrôle pour chaque LSP multiclasse. Pour les LSP classiques, chaque mécanisme de contrôle LSP est appliqué à l’ensemble du trafic qui traverse le LSP. Les limitations de bande passante du mécanisme de contrôle prennent effet dès que la somme totale du trafic traversant le LSP dépasse la limite configurée.

Vous configurez le LSP multiclasse et les mécanismes de contrôle LSP d’ingénierie du trafic prenant en charge DiffServ dans un filtre. Le filtre peut être configuré pour distinguer les différents types de classe et appliquer le mécanisme de contrôle approprié à chaque type de classe. Les mécanismes de contrôle font la distinction entre les types de classe en fonction des bits EXP.

Vous configurez les mécanismes de contrôle LSP sous le family any filtre. Le family any filtre est utilisé car le mécanisme de contrôle est appliqué au trafic entrant dans le LSP. Ce trafic peut provenir de différentes familles : IPv6, MPLS, etc. Vous n’avez pas besoin de savoir quel type de trafic entre dans le LSP, tant que les conditions de correspondance s’appliquent à tous les types de trafic.

Limites du mécanisme de contrôle LSP

Lors de la configuration des mécanismes de contrôle MPLS LSP, tenez compte des limitations suivantes :

  • Les mécanismes de contrôle LSP ne sont pris en charge que pour les LSP de paquets.

  • Les mécanismes de contrôle LSP ne sont pris en charge que pour les sauts suivants unicast. Les sauts suivants multicast ne sont pas pris en charge.

  • Les mécanismes de contrôle LSP ne sont pas pris en charge sur les interfaces agrégées.

  • Le mécanisme de contrôle LSP s’exécute avant les filtres de sortie.

  • Le trafic provenant du moteur de routage (par exemple, le trafic ping) n’emprunte pas le même chemin de transfert que le trafic de transit. Ce type de trafic ne peut pas être contrôlé.