Configuration des filtres et mécanismes de contrôle du pare-feu MPLS sur les routeurs
Vous pouvez configurer un filtre de pare-feu MPLS pour compter les paquets en fonction des bits EXP de l’étiquette MPLS de niveau supérieur dans un paquet. Vous pouvez également configurer des mécanismes de contrôle pour les LSP MPLS.
Les sections suivantes traitent des filtres et mécanismes de contrôle des pare-feu MPLS :
Configuration des filtres de pare-feu MPLS
Vous pouvez configurer un filtre de pare-feu MPLS pour compter les paquets en fonction des bits EXP de l’étiquette MPLS de niveau supérieur dans un paquet. Vous pouvez ensuite appliquer ce filtre à une interface spécifique. Vous pouvez également configurer un mécanisme de contrôle pour le filtre MPLS afin de contrôler (c’est-à-dire de limiter le débit) le trafic sur l’interface à laquelle le filtre est attaché. Vous ne pouvez pas appliquer de filtres de pare-feu MPLS aux interfaces Ethernet (fxp0) ou de bouclage (lo0).
Vous pouvez configurer les attributs de critère de correspondance suivants pour les filtres MPLS au niveau de la [edit firewall family mpls filter filter-name term term-name from]
hiérarchie :
exp
exp-except
Ces attributs peuvent accepter des bits EXP compris entre 0 et 7. Vous pouvez configurer les choix suivants :
Un seul bit EXP (par exemple,
exp 3;
Plusieurs bits EXP (par exemple,
exp 0, 4;
Une gamme de bits EXP (par exemple,
exp [0-5];
Si vous ne spécifiez pas de critère de correspondance (c’est-à-dire que vous ne configurez pas l’instruction et utilisez uniquement l’instruction avec le mot-clé action), tous les paquets MPLS passant par l’interface from
then
sur laquelle le count
filtre est appliqué seront comptés.
Vous pouvez également configurer l’un des mots-clés d’action suivants au niveau de la [edit firewall family mpls filter filter-name term term-name then]
hiérarchie :
count
accept
discard
next
policer
Pour plus d’informations sur la configuration des filtres de pare-feu, consultez le Guide de l’utilisateur Stratégies de routage, filtres de pare-feu et mécanismes de contrôle du trafic. Pour plus d’informations sur la configuration des interfaces, reportez-vous à la Bibliothèque d’interfaces réseau Junos OS pour les périphériques de routage et à la Bibliothèque d’interfaces de services Junos OS pour les périphériques de routage.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-network-interfaces/network-interfaces.html
Exemples: Configuration des filtres de pare-feu MPLS
Les exemples suivants illustrent comment configurer un filtre de pare-feu MPLS, puis appliquer le filtre à une interface. Ce filtre est configuré pour compter les paquets MPLS dont les bits EXP sont définis sur 0 ou 4.
Voici une configuration pour un filtre de pare-feu MPLS :
[edit firewall] family mpls { filter expf { term expt0 { from { exp 0,4; } then { count counter0; accept; } } } }
Voici comment appliquer le filtre de pare-feu MPLS à une interface :
[edit interfaces] so-0/0/0 { mtu 4474; encapsulation ppp; sonet-options { fcs 32; } unit 0 { point-to-point; family mpls { filter { input expf; output expf; } } } }
Le filtre de pare-feu MPLS est appliqué à l’entrée et à la sortie d’une interface (voir les input
instructions et output
de l’exemple précédent).
Configuration des mécanismes de contrôle pour les LSP
Le contrôle des LSP MPLS vous permet de contrôler la quantité de trafic transféré via un LSP particulier. Le contrôle permet de s’assurer que la quantité de trafic transféré via un LSP ne dépasse jamais l’allocation de bande passante demandée. Le contrôle des LSP est pris en charge sur les LSP classiques, les LSP configurés avec une ingénierie de trafic prenant en compte DiffServ et les LSP multiclasses. Vous pouvez configurer plusieurs mécanismes de contrôle pour chaque LSP multiclasse. Pour les LSP classiques, chaque mécanisme de contrôle LSP est appliqué à l’ensemble du trafic qui traverse le LSP. Les limitations de bande passante du mécanisme de contrôle prennent effet dès que la somme totale du trafic traversant le LSP dépasse la limite configurée.
Le routeur PTX10003 ne prend en charge que les LSP classiques.
Vous configurez le LSP multiclasse et les mécanismes de contrôle LSP d’ingénierie du trafic prenant en charge DiffServ dans un filtre. Le filtre peut être configuré pour distinguer les différents types de classe et appliquer le mécanisme de contrôle approprié à chaque type de classe. Les mécanismes de contrôle font la distinction entre les types de classe en fonction des bits EXP.
Vous configurez les mécanismes de contrôle LSP sous le family any
filtre. Le family any
filtre est utilisé car le mécanisme de contrôle est appliqué au trafic entrant dans le LSP. Ce trafic peut provenir de différentes familles : IPv6, MPLS, etc. Vous n’avez pas besoin de savoir quel type de trafic entre dans le LSP, tant que les conditions de correspondance s’appliquent à tous les types de trafic.
Vous ne pouvez configurer que les conditions de correspondance qui s’appliquent à tous les types de trafic. Voici les conditions de correspondance prises en charge pour les mécanismes de contrôle LSP :
forwarding-class
packet-length
interface
interface-set
Pour activer un mécanisme de contrôle sur un LSP, vous devez d’abord configurer un filtre de contrôle, puis l’inclure dans la configuration du LSP. Pour plus d’informations sur la configuration des mécanismes de contrôle, reportez-vous au Guide de l’utilisateur des mécanismes de contrôle du routage, des filtres de pare-feu et des mécanismes de contrôle du trafic.
Pour configurer un mécanisme de contrôle pour un LSP, spécifiez un filtre en incluant l’option à l’instruction filter
policing
:
policing { filter filter-name; }
Vous pouvez inclure l’instruction policing
aux niveaux hiérarchiques suivants :
[edit protocols mpls label-switched-path lsp-name]
[edit protocols mpls static-label-switched-path lsp-name]
[edit logical-systems logical-system-name protocols mpls label-switched-path lsp-name]
[edit logical-systems logical-system-name protocols mpls static-label-switched-path lsp-name]
Limites du mécanisme de contrôle LSP
Lors de la configuration des mécanismes de contrôle MPLS LSP, tenez compte des limitations suivantes :
-
Les mécanismes de contrôle LSP ne sont pris en charge que pour les LSP de paquets.
-
Les mécanismes de contrôle LSP ne sont pris en charge que pour les sauts suivants unicast. Les sauts suivants multicast ne sont pas pris en charge.
-
Les mécanismes de contrôle LSP ne sont pas pris en charge sur les interfaces agrégées.
-
Le mécanisme de contrôle LSP s’exécute avant les filtres de sortie.
-
Le trafic provenant du moteur de routage (par exemple, le trafic ping) n’emprunte pas le même chemin de transfert que le trafic de transit. Ce type de trafic ne peut pas être contrôlé.
-
Les mécanismes de contrôle LSP fonctionnent sur tous les routeurs T Series et sur les routeurs M Series équipés d’un circuit intégré spécifique à l’application (ASIC) Internet Processor II.
- Les mécanismes de contrôle LSP ne sont pas pris en charge pour les LSP point-à-multipoint.
À partir de Junos OS version 12.2R2, sur les routeurs T Series uniquement, vous pouvez configurer un mécanisme de contrôle LSP pour un LSP spécifique afin qu’il soit partagé entre différents types de familles de protocoles. Pour ce faire, vous devez configurer l’instruction logical-interface-policer au niveau de la [edit firewall policer policer-name]
hiérarchie.
Exemple : Configuration d’un mécanisme de contrôle LSP
L’exemple suivant montre comment configurer un filtre de contrôle pour un LSP :
[edit firewall] policer police-ct1 { if-exceeding { bandwidth-limit 50m; burst-size-limit 1500; } then { discard; } } policer police-ct0 { if-exceeding { bandwidth-limit 200m; burst-size-limit 1500; } then { discard; } } family any { filter bar { term discard-ct0 { then { policer police-ct0; accept; } } } term discard-ct1 { then { policer police-ct1; accept; } } }
Configuration des mécanismes de contrôle automatiques
Le contrôle automatique des LSP vous permet de fournir des garanties de service strictes pour le trafic réseau. De telles garanties sont particulièrement utiles dans le contexte des services différenciés pour les prestataires de services linguistiques spécialisés dans le trafic, car elles permettent une meilleure émulation des virements ATM sur un réseau MPLS. Pour plus d’informations sur les services différenciés pour les prestataires de services linguistiques, consultez Introduction aux aspects techniques du trafic avec fonction DiffServ.
Services différenciés pour les LSP d’ingénierie de trafic : vous pouvez fournir un traitement différentiel au trafic MPLS en fonction des bits EXP. Pour assurer ces garanties de trafic, il ne suffit pas de simplement marquer le trafic de manière appropriée. Si le trafic emprunte un chemin encombré, il est possible que les conditions requises ne soient pas remplies.
Il est garanti que les prestataires de services linguistiques seront établis le long des chemins où suffisamment de ressources sont disponibles pour répondre aux exigences. Toutefois, même si les LSP sont établis le long de ces chemins et sont correctement marqués, ces exigences ne peuvent être garanties que si vous vous assurez qu’il n’y a pas plus de trafic envoyé à un LSP qu’il n’y a de bande passante disponible.
Il est possible de contrôler le trafic LSP en configurant manuellement un filtre approprié et en l’appliquant au LSP dans la configuration. Cependant, pour les déploiements de grande envergure, il est fastidieux de configurer des milliers de filtres différents. Les groupes de configuration ne peuvent pas non plus résoudre ce problème, car différents LSP peuvent avoir des exigences différentes en matière de bande passante, nécessitant des filtres différents. Pour contrôler le trafic de nombreux LSP, il est préférable de configurer des mécanismes de contrôle automatiques.
Lorsque vous configurez des mécanismes de contrôle automatiques pour les LSP, un mécanisme de contrôle est appliqué à tous les LSP configurés sur le routeur. Toutefois, vous pouvez désactiver le contrôle automatique sur des prestataires de services linguistiques spécifiques.
Lorsque vous configurez des mécanismes de contrôle automatiques pour le LSP d’ingénierie du trafic prenant en charge DiffServ, GRES n’est pas pris en charge.
Vous ne pouvez pas configurer le contrôle automatique pour les prestataires de services linguistiques acheminant du trafic CCC.
Les sections suivantes décrivent comment configurer les mécanismes de contrôle automatiques pour les LSP :
- Configuration des mécanismes de contrôle automatiques pour les LSP
- Configuration de mécanismes de contrôle automatiques pour les LSP d’ingénierie du trafic prenant en charge DiffServ
- Configuration des mécanismes de contrôle automatiques pour les LSP point à multipoint
- Désactivation du contrôle automatique sur un prestataire de services linguistiques
- Exemple : Configuration du contrôle automatique pour un prestataire de services linguistiques
Configuration des mécanismes de contrôle automatiques pour les LSP
Pour configurer les mécanismes de contrôle automatiques pour les LSP standard (ni les LSP d’ingénierie de trafic sensibles à DiffServ ni les LSP multiclasses), incluez l’instruction avec l’option ou l’option auto-policing
class all policer-action
class ct0 policer-action
:
auto-policing { class all policer-action; class ct0 policer-action; }
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols mpls]
[edit logical-systems logical-system-name protocols mpls]
Vous pouvez configurer les actions de contrôle suivantes pour les mécanismes de contrôle automatiques :
drop
—Supprimer tous les paquets.loss-priority-high
: définissez la priorité de perte de paquets (PLP) sur élevée.loss-priority-low
—Réglez le PLP sur faible.
Ces actions de contrôle s’appliquent à tous les types de LSP. L’action par défaut du mécanisme de contrôle est de ne rien faire.
Des mécanismes de contrôle automatiques pour les LSP contrôlent le trafic en fonction de la quantité de bande passante configurée pour les LSP. Vous configurez la bande passante d’un LSP à l’aide de l’instruction au niveau de bandwidth
la [edit protocols mpls label-switched-path lsp-path-name]
hiérarchie. Si vous avez activé les mécanismes de contrôle automatiques sur un routeur, que vous modifiez la bande passante configurée pour un LSP et que vous validez la configuration révisée, la modification n’a pas d’effet sur les LSP actifs. Pour forcer les LSP à utiliser la nouvelle allocation de bande passante, exécutez une clear mpls lsp
commande.
Vous ne pouvez pas configurer les mécanismes de contrôle automatiques pour les LSP qui traversent des interfaces agrégées ou des interfaces MLPPP (Multilink Point-to-Point Protocol).
Configuration de mécanismes de contrôle automatiques pour les LSP d’ingénierie du trafic prenant en charge DiffServ
Pour configurer des mécanismes de contrôle automatiques pour les LSP d’ingénierie du trafic prenant en charge DiffServ et pour les LSP multiclasses, incluez l’instruction auto-policing
suivante :
auto-policing { class all policer-action; class ctnumber policer-action; }
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols mpls]
[edit logical-systems logical-system-name protocols mpls]
Vous incluez l’instruction ou une instruction pour chacune d’une class all policer-action
ou plusieurs classes (vous pouvez configurer une class ctnumber policer-action
action de contrôle différente pour chaque classe). Pour obtenir la liste des actions que vous pouvez substituer à la variable, reportez-vous à la policer-action
section Configuration des mécanismes de contrôle automatiques pour les LSP. L’action par défaut du mécanisme de contrôle est de ne rien faire.
Vous ne pouvez pas configurer les mécanismes de contrôle automatiques pour les LSP qui traversent des interfaces agrégées ou des interfaces MLPPP.
Configuration des mécanismes de contrôle automatiques pour les LSP point à multipoint
Vous pouvez configurer des mécanismes de contrôle automatiques pour les LSP point à multipoint en incluant l’instruction avec l’option ou l’option auto-policing
class all policer-action
class ct0 policer-action
. Il vous suffit de configurer l’instruction sur le LSP point à multipoint principal (pour plus d’informations auto-policing
sur les LSP point à multipoint principaux, consultez Configuration du LSP point à multipoint principal). Aucune configuration supplémentaire n’est requise sur les sous-LSP pour le LSP point à multipoint. Le contrôle automatique point-à-multipoint est appliqué à toutes les branches du LSP point-à-multipoint. De plus, le contrôle automatique est appliqué à toutes les interfaces VRF locales qui ont la même entrée de transfert qu’une succursale point à multipoint. La parité des fonctionnalités pour les mécanismes de contrôle automatiques pour les LSP point à multipoint MPLS sur la puce Junos Trio est prise en charge dans les versions 11.1R2, 11.2R2 et 11.4 de Junos OS.
La configuration du mécanisme de contrôle automatique pour les LSP point à multipoint est identique à la configuration du mécanisme de contrôle automatique pour les LSP standard. Pour plus d’informations, reportez-vous à la section Configuration des mécanismes de contrôle automatiques pour les LSP.
Désactivation du contrôle automatique sur un prestataire de services linguistiques
Lorsque vous activez la surveillance automatique, tous les LSP du routeur ou du système logique sont affectés. Pour désactiver le contrôle automatique sur un LSP spécifique sur un routeur sur lequel vous avez activé le contrôle automatique, incluez l’instruction avec l’option policing
no-auto-policing
:
policing no-auto-policing;
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols mpls label-switched-path lsp-name]
[edit logical-systems logical-system-name protocols mpls label-switched-path lsp-name]
Exemple : Configuration du contrôle automatique pour un prestataire de services linguistiques
Configurez le contrôle automatique pour un LSP multiclasse, en spécifiant différentes actions pour les types ct0
de classe , , ct1
ct2
et ct3
.
[edit protocols mpls] diffserv-te { bandwidth-model extended-mam; } auto-policing { class ct1 loss-priority-low; class ct0 loss-priority-high; class ct2 drop; class ct3 loss-priority-low; } traffic-engineering bgp-igp; label-switched-path sample-lsp { to 3.3.3.3; bandwidth { ct0 11; ct1 1; ct2 1; ct3 1; } } interface fxp0.0 { disable; } interface t1-0/5/3.0; interface t1-0/5/4.0;
Écriture de différentes valeurs DSCP et EXP dans des paquets IP balisés MPLS
Vous pouvez définir de manière sélective le champ de point de code DiffServ (DSCP) des paquets IPv4 et IPv6 balisés MPLS sur 0 sans affecter l’affectation de la file d’attente de sortie, et continuer à définir le champ MPLS EXP en fonction de la table de réécriture configurée, qui est basée sur les classes de transfert. Pour ce faire, vous pouvez configurer un filtre de pare-feu pour les paquets marqués MPLS.