Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Configuration des filtres et mécanismes de contrôle du pare-feu MPLS sur les commutateurs

Vous pouvez configurer des filtres de pare-feu pour filtrer le trafic MPLS. Pour utiliser un filtre de pare-feu MPLS, vous devez d’abord configurer le filtre, puis l’appliquer à une interface que vous avez configurée pour le transfert du trafic MPLS. Vous pouvez également configurer un mécanisme de contrôle pour le filtre MPLS afin de contrôler (c’est-à-dire de limiter le débit) le trafic sur l’interface à laquelle le filtre est attaché.

Lorsque vous configurez un filtre de pare-feu MPLS, vous définissez les critères de filtrage (termes, avec des conditions de correspondance) et une action que le commutateur doit effectuer si les paquets correspondent aux critères de filtrage.

REMARQUE :

Vous ne pouvez configurer les filtres MPLS que dans le sens entrant. Les filtres de pare-feu MPLS de sortie ne sont pas pris en charge.

Configuration d’un filtre de pare-feu MPLS

Pour configurer un filtre de pare-feu MPLS :

  1. Configurez le nom du filtre, le nom du terme et au moins une condition de correspondance (par exemple, correspondance sur les paquets MPLS dont les bits EXP sont définis sur 0 ou 4) :
  2. Dans chaque terme de filtre de pare-feu, spécifiez les actions à effectuer si le paquet répond à toutes les conditions de ce terme (par exemple, compter les paquets MPLS avec des bits EXP définis sur 0 ou 4) :
  3. Lorsque vous avez terminé, suivez les étapes ci-dessous pour appliquer le filtre à une interface.

Application d’un filtre de pare-feu MPLS à une interface MPLS

Pour appliquer le filtre de pare-feu MPLS à une interface que vous avez configurée pour le transfert de trafic MPLS (à l’aide de l’instruction family mpls au niveau de la [edit interfaces interface-name unit unit-number] hiérarchie) :

REMARQUE :

Vous ne pouvez appliquer des filtres de pare-feu que pour filtrer les paquets MPLS entrant dans une interface.

  1. Appliquez le filtre de pare-feu à une interface MPLS (par exemple, appliquez le filtre de pare-feu à l’interface xe-0/0/5) :
  2. Vérifiez votre configuration et exécutez la commit commande :

Application d’un filtre de pare-feu MPLS à une interface de bouclage

Pour appliquer un filtre de pare-feu MPLS à une interface de bouclage (lo0) :

  1. Tout d’abord, spécifiez le format du paquet à l’aide de la commande packet-format-match . Vous devez redémarrer le PFE chaque fois que vous configurez cette commande.
  2. Configurez les conditions et les actions de correspondance du filtre de pare-feu, comme décrit à la section Configuration d’un filtre de pare-feu MPLS. Vous devez définir explicitement la condition de correspondance TTL sur (ttl=1). Vous pouvez également faire correspondre des paquets avec d’autres qualificateurs MPLS tels que label, exp, et Couche 4 source port, et destination port.
  3. Appliquez le filtre à l’interface de bouclage en tant que filtre d’entrée.
  4. Vérifiez votre configuration et exécutez la commit commande :

Voici un exemple de configuration.

Configuration des mécanismes de contrôle pour les LSP

À partir de Junos OS 13.2X51-D15, vous pouvez envoyer le trafic correspondant à un filtre MPLS vers un mécanisme de contrôle bicolore ou tricolore. Le contrôle des LSP MPLS vous permet de contrôler la quantité de trafic transféré via un LSP particulier. Le contrôle permet de s’assurer que la quantité de trafic transféré via un LSP ne dépasse jamais l’allocation de bande passante demandée. Le contrôle des LSP est pris en charge sur les LSP classiques, les LSP configurés avec une ingénierie de trafic prenant en compte DiffServ et les LSP multiclasses. Vous pouvez configurer plusieurs mécanismes de contrôle pour chaque LSP multiclasse. Pour les LSP classiques, chaque mécanisme de contrôle LSP est appliqué à l’ensemble du trafic qui traverse le LSP. Les limitations de bande passante du mécanisme de contrôle prennent effet dès que la somme totale du trafic traversant le LSP dépasse la limite configurée.

Vous configurez le LSP multiclasse et les mécanismes de contrôle LSP d’ingénierie du trafic prenant en charge DiffServ dans un filtre. Le filtre peut être configuré pour distinguer les différents types de classe et appliquer le mécanisme de contrôle approprié à chaque type de classe. Les mécanismes de contrôle font la distinction entre les types de classe en fonction des bits EXP.

Vous configurez les mécanismes de contrôle LSP sous le family any filtre. Le family any filtre est utilisé car le mécanisme de contrôle est appliqué au trafic entrant dans le LSP. Ce trafic peut provenir de différentes familles : IPv6, MPLS, etc. Vous n’avez pas besoin de savoir quel type de trafic entre dans le LSP, tant que les conditions de correspondance s’appliquent à tous les types de trafic.

Lors de la configuration des mécanismes de contrôle MPLS LSP, tenez compte des limitations suivantes :

  • Les mécanismes de contrôle LSP ne sont pris en charge que pour les LSP de paquets.

  • Les mécanismes de contrôle LSP ne sont pris en charge que pour les sauts suivants unicast. Les sauts suivants multicast ne sont pas pris en charge.

  • Le mécanisme de contrôle LSP s’exécute avant les filtres de sortie.

  • Le trafic provenant du moteur de routage (par exemple, le trafic ping) n’emprunte pas le même chemin de transfert que le trafic de transit. Ce type de trafic ne peut pas être contrôlé.