Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration des filtres et mécanismes de contrôle du pare-feu MPLS sur les routeurs

Vous pouvez configurer un filtre de pare-feu MPLS pour compter les paquets en fonction des bits EXP de l’étiquette MPLS de niveau supérieur dans un paquet. Vous pouvez également configurer des mécanismes de contrôle pour les LSP MPLS.

Les sections suivantes traitent des filtres et mécanismes de contrôle des pare-feu MPLS :

Configuration des filtres de pare-feu MPLS

Vous pouvez configurer un filtre de pare-feu MPLS pour compter les paquets en fonction des bits EXP de l’étiquette MPLS de niveau supérieur dans un paquet. Vous pouvez ensuite appliquer ce filtre à une interface spécifique. Vous pouvez également configurer un mécanisme de contrôle pour le filtre MPLS afin de contrôler (c’est-à-dire de limiter le débit) le trafic sur l’interface à laquelle le filtre est attaché. Vous ne pouvez pas appliquer de filtres de pare-feu MPLS aux interfaces Ethernet (fxp0) ou de bouclage (lo0).

Vous pouvez configurer les attributs de critère de correspondance suivants pour les filtres MPLS au niveau de la [edit firewall family mpls filter filter-name term term-name from] hiérarchie :

  • exp

  • exp-except

Ces attributs peuvent accepter des bits EXP compris entre 0 et 7. Vous pouvez configurer les choix suivants :

  • Un seul bit EXP (par exemple, exp 3;

  • Plusieurs bits EXP (par exemple, exp 0, 4;

  • Une gamme de bits EXP (par exemple, exp [0-5];

Si vous ne spécifiez pas de critère de correspondance (c’est-à-dire que vous ne configurez pas l’instruction et utilisez uniquement l’instruction avec le mot-clé action), tous les paquets MPLS passant par l’interface fromthen sur laquelle le count filtre est appliqué seront comptés.

Vous pouvez également configurer l’un des mots-clés d’action suivants au niveau de la [edit firewall family mpls filter filter-name term term-name then] hiérarchie :

  • count

  • accept

  • discard

  • next

  • policer

Pour plus d’informations sur la configuration des filtres de pare-feu, consultez le Guide de l’utilisateur Stratégies de routage, filtres de pare-feu et mécanismes de contrôle du trafic. Pour plus d’informations sur la configuration des interfaces, reportez-vous à la Bibliothèque d’interfaces réseau Junos OS pour les périphériques de routage et à la Bibliothèque d’interfaces de services Junos OS pour les périphériques de routage.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-network-interfaces/network-interfaces.html

Exemples: Configuration des filtres de pare-feu MPLS

Les exemples suivants illustrent comment configurer un filtre de pare-feu MPLS, puis appliquer le filtre à une interface. Ce filtre est configuré pour compter les paquets MPLS dont les bits EXP sont définis sur 0 ou 4.

Voici une configuration pour un filtre de pare-feu MPLS :

Voici comment appliquer le filtre de pare-feu MPLS à une interface :

Le filtre de pare-feu MPLS est appliqué à l’entrée et à la sortie d’une interface (voir les input instructions et output de l’exemple précédent).

Configuration des mécanismes de contrôle pour les LSP

Le contrôle des LSP MPLS vous permet de contrôler la quantité de trafic transféré via un LSP particulier. Le contrôle permet de s’assurer que la quantité de trafic transféré via un LSP ne dépasse jamais l’allocation de bande passante demandée. Le contrôle des LSP est pris en charge sur les LSP classiques, les LSP configurés avec une ingénierie de trafic prenant en compte DiffServ et les LSP multiclasses. Vous pouvez configurer plusieurs mécanismes de contrôle pour chaque LSP multiclasse. Pour les LSP classiques, chaque mécanisme de contrôle LSP est appliqué à l’ensemble du trafic qui traverse le LSP. Les limitations de bande passante du mécanisme de contrôle prennent effet dès que la somme totale du trafic traversant le LSP dépasse la limite configurée.

REMARQUE :

Le routeur PTX10003 ne prend en charge que les LSP classiques.

Vous configurez le LSP multiclasse et les mécanismes de contrôle LSP d’ingénierie du trafic prenant en charge DiffServ dans un filtre. Le filtre peut être configuré pour distinguer les différents types de classe et appliquer le mécanisme de contrôle approprié à chaque type de classe. Les mécanismes de contrôle font la distinction entre les types de classe en fonction des bits EXP.

Vous configurez les mécanismes de contrôle LSP sous le family any filtre. Le family any filtre est utilisé car le mécanisme de contrôle est appliqué au trafic entrant dans le LSP. Ce trafic peut provenir de différentes familles : IPv6, MPLS, etc. Vous n’avez pas besoin de savoir quel type de trafic entre dans le LSP, tant que les conditions de correspondance s’appliquent à tous les types de trafic.

Vous ne pouvez configurer que les conditions de correspondance qui s’appliquent à tous les types de trafic. Voici les conditions de correspondance prises en charge pour les mécanismes de contrôle LSP :

  • forwarding-class

  • packet-length

  • interface

  • interface-set

Pour activer un mécanisme de contrôle sur un LSP, vous devez d’abord configurer un filtre de contrôle, puis l’inclure dans la configuration du LSP. Pour plus d’informations sur la configuration des mécanismes de contrôle, reportez-vous au Guide de l’utilisateur des mécanismes de contrôle du routage, des filtres de pare-feu et des mécanismes de contrôle du trafic.

Pour configurer un mécanisme de contrôle pour un LSP, spécifiez un filtre en incluant l’option à l’instruction filterpolicing :

Vous pouvez inclure l’instruction policing aux niveaux hiérarchiques suivants :

Limites du mécanisme de contrôle LSP

Lors de la configuration des mécanismes de contrôle MPLS LSP, tenez compte des limitations suivantes :

  • Les mécanismes de contrôle LSP ne sont pris en charge que pour les LSP de paquets.

  • Les mécanismes de contrôle LSP ne sont pris en charge que pour les sauts suivants unicast. Les sauts suivants multicast ne sont pas pris en charge.

  • Les mécanismes de contrôle LSP ne sont pas pris en charge sur les interfaces agrégées.

  • Le mécanisme de contrôle LSP s’exécute avant les filtres de sortie.

  • Le trafic provenant du moteur de routage (par exemple, le trafic ping) n’emprunte pas le même chemin de transfert que le trafic de transit. Ce type de trafic ne peut pas être contrôlé.

  • Les mécanismes de contrôle LSP fonctionnent sur tous les routeurs T Series et sur les routeurs M Series équipés d’un circuit intégré spécifique à l’application (ASIC) Internet Processor II.

  • Les mécanismes de contrôle LSP ne sont pas pris en charge pour les LSP point-à-multipoint.
REMARQUE :

À partir de Junos OS version 12.2R2, sur les routeurs T Series uniquement, vous pouvez configurer un mécanisme de contrôle LSP pour un LSP spécifique afin qu’il soit partagé entre différents types de familles de protocoles. Pour ce faire, vous devez configurer l’instruction logical-interface-policer au niveau de la [edit firewall policer policer-name] hiérarchie.

Exemple : Configuration d’un mécanisme de contrôle LSP

L’exemple suivant montre comment configurer un filtre de contrôle pour un LSP :

Configuration des mécanismes de contrôle automatiques

Le contrôle automatique des LSP vous permet de fournir des garanties de service strictes pour le trafic réseau. De telles garanties sont particulièrement utiles dans le contexte des services différenciés pour les prestataires de services linguistiques spécialisés dans le trafic, car elles permettent une meilleure émulation des virements ATM sur un réseau MPLS. Pour plus d’informations sur les services différenciés pour les prestataires de services linguistiques, consultez Introduction aux aspects techniques du trafic avec fonction DiffServ.

Services différenciés pour les LSP d’ingénierie de trafic : vous pouvez fournir un traitement différentiel au trafic MPLS en fonction des bits EXP. Pour assurer ces garanties de trafic, il ne suffit pas de simplement marquer le trafic de manière appropriée. Si le trafic emprunte un chemin encombré, il est possible que les conditions requises ne soient pas remplies.

Il est garanti que les prestataires de services linguistiques seront établis le long des chemins où suffisamment de ressources sont disponibles pour répondre aux exigences. Toutefois, même si les LSP sont établis le long de ces chemins et sont correctement marqués, ces exigences ne peuvent être garanties que si vous vous assurez qu’il n’y a pas plus de trafic envoyé à un LSP qu’il n’y a de bande passante disponible.

Il est possible de contrôler le trafic LSP en configurant manuellement un filtre approprié et en l’appliquant au LSP dans la configuration. Cependant, pour les déploiements de grande envergure, il est fastidieux de configurer des milliers de filtres différents. Les groupes de configuration ne peuvent pas non plus résoudre ce problème, car différents LSP peuvent avoir des exigences différentes en matière de bande passante, nécessitant des filtres différents. Pour contrôler le trafic de nombreux LSP, il est préférable de configurer des mécanismes de contrôle automatiques.

Lorsque vous configurez des mécanismes de contrôle automatiques pour les LSP, un mécanisme de contrôle est appliqué à tous les LSP configurés sur le routeur. Toutefois, vous pouvez désactiver le contrôle automatique sur des prestataires de services linguistiques spécifiques.

REMARQUE :

Lorsque vous configurez des mécanismes de contrôle automatiques pour le LSP d’ingénierie du trafic prenant en charge DiffServ, GRES n’est pas pris en charge.

REMARQUE :

Vous ne pouvez pas configurer le contrôle automatique pour les prestataires de services linguistiques acheminant du trafic CCC.

Les sections suivantes décrivent comment configurer les mécanismes de contrôle automatiques pour les LSP :

Configuration des mécanismes de contrôle automatiques pour les LSP

Pour configurer les mécanismes de contrôle automatiques pour les LSP standard (ni les LSP d’ingénierie de trafic sensibles à DiffServ ni les LSP multiclasses), incluez l’instruction avec l’option ou l’option auto-policingclass all policer-actionclass ct0 policer-action :

Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Vous pouvez configurer les actions de contrôle suivantes pour les mécanismes de contrôle automatiques :

  • drop—Supprimer tous les paquets.

  • loss-priority-high: définissez la priorité de perte de paquets (PLP) sur élevée.

  • loss-priority-low—Réglez le PLP sur faible.

Ces actions de contrôle s’appliquent à tous les types de LSP. L’action par défaut du mécanisme de contrôle est de ne rien faire.

Des mécanismes de contrôle automatiques pour les LSP contrôlent le trafic en fonction de la quantité de bande passante configurée pour les LSP. Vous configurez la bande passante d’un LSP à l’aide de l’instruction au niveau de bandwidth la [edit protocols mpls label-switched-path lsp-path-name] hiérarchie. Si vous avez activé les mécanismes de contrôle automatiques sur un routeur, que vous modifiez la bande passante configurée pour un LSP et que vous validez la configuration révisée, la modification n’a pas d’effet sur les LSP actifs. Pour forcer les LSP à utiliser la nouvelle allocation de bande passante, exécutez une clear mpls lsp commande.

REMARQUE :

Vous ne pouvez pas configurer les mécanismes de contrôle automatiques pour les LSP qui traversent des interfaces agrégées ou des interfaces MLPPP (Multilink Point-to-Point Protocol).

Configuration de mécanismes de contrôle automatiques pour les LSP d’ingénierie du trafic prenant en charge DiffServ

Pour configurer des mécanismes de contrôle automatiques pour les LSP d’ingénierie du trafic prenant en charge DiffServ et pour les LSP multiclasses, incluez l’instruction auto-policing suivante :

Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Vous incluez l’instruction ou une instruction pour chacune d’une class all policer-action ou plusieurs classes (vous pouvez configurer une class ctnumber policer-action action de contrôle différente pour chaque classe). Pour obtenir la liste des actions que vous pouvez substituer à la variable, reportez-vous à la policer-action section Configuration des mécanismes de contrôle automatiques pour les LSP. L’action par défaut du mécanisme de contrôle est de ne rien faire.

REMARQUE :

Vous ne pouvez pas configurer les mécanismes de contrôle automatiques pour les LSP qui traversent des interfaces agrégées ou des interfaces MLPPP.

Configuration des mécanismes de contrôle automatiques pour les LSP point à multipoint

Vous pouvez configurer des mécanismes de contrôle automatiques pour les LSP point à multipoint en incluant l’instruction avec l’option ou l’option auto-policingclass all policer-actionclass ct0 policer-action . Il vous suffit de configurer l’instruction sur le LSP point à multipoint principal (pour plus d’informations auto-policing sur les LSP point à multipoint principaux, consultez Configuration du LSP point à multipoint principal). Aucune configuration supplémentaire n’est requise sur les sous-LSP pour le LSP point à multipoint. Le contrôle automatique point-à-multipoint est appliqué à toutes les branches du LSP point-à-multipoint. De plus, le contrôle automatique est appliqué à toutes les interfaces VRF locales qui ont la même entrée de transfert qu’une succursale point à multipoint. La parité des fonctionnalités pour les mécanismes de contrôle automatiques pour les LSP point à multipoint MPLS sur la puce Junos Trio est prise en charge dans les versions 11.1R2, 11.2R2 et 11.4 de Junos OS.

La configuration du mécanisme de contrôle automatique pour les LSP point à multipoint est identique à la configuration du mécanisme de contrôle automatique pour les LSP standard. Pour plus d’informations, reportez-vous à la section Configuration des mécanismes de contrôle automatiques pour les LSP.

Désactivation du contrôle automatique sur un prestataire de services linguistiques

Lorsque vous activez la surveillance automatique, tous les LSP du routeur ou du système logique sont affectés. Pour désactiver le contrôle automatique sur un LSP spécifique sur un routeur sur lequel vous avez activé le contrôle automatique, incluez l’instruction avec l’option policingno-auto-policing :

Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :

Exemple : Configuration du contrôle automatique pour un prestataire de services linguistiques

Configurez le contrôle automatique pour un LSP multiclasse, en spécifiant différentes actions pour les types ct0de classe , , ct1ct2et ct3.

Écriture de différentes valeurs DSCP et EXP dans des paquets IP balisés MPLS

Vous pouvez définir de manière sélective le champ de point de code DiffServ (DSCP) des paquets IPv4 et IPv6 balisés MPLS sur 0 sans affecter l’affectation de la file d’attente de sortie, et continuer à définir le champ MPLS EXP en fonction de la table de réécriture configurée, qui est basée sur les classes de transfert. Pour ce faire, vous pouvez configurer un filtre de pare-feu pour les paquets marqués MPLS.