ルーター上での MPLS ファイアウォールフィルターとポリサーの構成
MPLS ファイアウォールフィルターを設定して、パケット内のトップレベル MPLS ラベルの EXP ビットに基づいてパケットをカウントできます。MPLS Lsp に対してポリサーを構成することもできます。
以下のセクションでは、ファイアウォールフィルターとポリサーの MPLS について説明します。
MPLS ファイアウォールフィルターの設定
MPLS ファイアウォールフィルターを設定して、パケット内のトップレベル MPLS ラベルの EXP ビットに基づいてパケットをカウントできます。その後、このフィルターを特定のインターフェイスに適用できます。また、フィルターが接続されているインターフェイス上のトラフィックを警察に設定するには、MPLS フィルターのポリサーを構成することもできます。MPLS ファイアウォールフィルターをイーサネット (fxp0) またはループバック (lo0) インターフェイスに適用することはできません。
[edit firewall family mpls filter filter-name term term-name from]階層レベルで MPLS フィルタの以下の照合基準属性を設定できます。
expexp-except
これらの属性は、0 ~ 7 の範囲の EXP ビットを受け入れることができます。以下の選択肢を構成できます。
たとえば EXP ビット 1 つ
exp 3;たとえば EXP ビットの例として
exp 0, 4;EXPビットの範囲(
exp [0-5];
一致条件を指定しない場合 (つまり、 fromステートメントを設定せず、 thencount action キーワードでステートメントのみを使用している場合)、フィルターが適用されたインターフェイスを通過するすべての MPLS パケットがカウントされます。
以下のアクションキーワードのいずれかを[edit firewall family mpls filter filter-name term term-name then]階層レベルで設定することもできます。
countacceptdiscardnextpolicer
ファイアウォール フィルターの設定方法の詳細については、「 ルーティング ポリシー、ファイアウォール フィルター、トラフィック ポリサー ユーザー ガイド 」 を参照してください。インターフェイスの設定方法の詳細については、「 ルーティング デバイスhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-network-interfaces/network-interfaces.html用 Junos OS ネットワーク インターフェイス ライブラリ 」およびルーティング デバイスの Junos OS サービス インターフェイス ライブラリ を参照してください。
\N MPLS ファイアウォールフィルターの設定
次の例は、MPLS ファイアウォールフィルターを設定し、そのフィルターをインターフェイスに適用する方法を示しています。このフィルタは、EXP ビットが0または4に設定された MPLS パケットをカウントするように設定します。
MPLS ファイアウォールフィルターの構成を以下に示します。
[edit firewall]
family mpls {
filter expf {
term expt0 {
from {
exp 0,4;
}
then {
count counter0;
accept;
}
}
}
}
以下は、MPLS ファイアウォールフィルターをインターフェイスに適用する方法を示しています。
[edit interfaces]
so-0/0/0 {
mtu 4474;
encapsulation ppp;
sonet-options {
fcs 32;
}
unit 0 {
point-to-point;
family mpls {
filter {
input expf;
output expf;
}
}
}
}
MPLS ファイアウォールフィルタは、インターフェイスの入出力に適用されます (前述のinput例outputの and ステートメントを参照してください)。
Lsp に対するポリサーの構成
MPLS LSP ポリシーを使用すると、特定の LSP を通じて転送されるトラフィックの量を制御できます。ポリシーの設定によって、LSP を通過するトラフィックの量が、要求された帯域幅割り当てを超えることがないようにすることができます。LSP ポリシー機能は、正規 Lsp、DiffServ 認識型トラフィックエンジニアリングによって構成された Lsp、multiclass Lsp でサポートされています。Multiclass LSP ごとに複数のポリサーを構成できます。標準 Lsp の場合、各 LSP は、LSP を通過するすべてのトラフィックに適用されます。LSP を通過するトラフィックの合計が設定された制限を超えると、ポリサーの帯域幅制限は有効になります。
PTX10003 (ルーターは、通常の Lsp のみをサポートしています。
フィルターには、multiclass LSP と DiffServ 対応トラフィックエンジニアリング LSP ポリサーを設定します。さまざまなクラスタイプを識別し、関連するポリサーを各クラスタイプに適用するように、フィルタを設定できます。この場合、ポリサーは EXP ビットに基づいてクラス型を区別します。
LSP ポリサーはフィルターのfamily any下で設定します。このfamily anyフィルターは、LSP に入力されたトラフィックにポリサーが適用されるために使用されます。このトラフィックは、さまざまなファミリからのものである可能性があります。IPv6、MPLS などです。すべてのタイプのトラフィックに一致条件が適用される限り、LSP にどのようなトラフィックがあるかを知る必要はありません。
すべてのタイプのトラフィックに適用される一致条件のみを構成できます。LSP ポリサーでサポートされるマッチ条件は、以下のとおりです。
forwarding-classpacket-lengthinterfaceinterface-set
Lsp でポリサーを有効にするには、まず、ポリシー適用フィルターを構成し、lsp 設定に含める必要があります。ポリサーの設定方法については、「 ルーティング ポリシー 、ファイアウォール フィルター、トラフィック ポリサー ユーザー ガイド 」 を参照してください。
LSP のポリサーを構成するには、以下のfilterオプションをpolicingステートメントに含めてフィルターを指定します。
policing { filter filter-name; }
以下の階層レベルpolicingのステートメントを含めることができます。
[edit protocols mpls label-switched-path lsp-name][edit protocols mpls static-label-switched-path lsp-name][edit logical-systems logical-system-name protocols mpls label-switched-path lsp-name][edit logical-systems logical-system-name protocols mpls static-label-switched-path lsp-name]
LSP の制限事項
MPLS LSP ポリサーを設定する場合は、以下の制限事項に注意してください。
LSP ポリサーは、パケット Lsp のみに対してサポートされています。
LSP ポリサーは、ユニキャストのネクストホップのみに対応しています。マルチキャストの次ホップはサポートされていません。
LSP ポリサーは、集合インターフェイスではサポートされていません。
LSP は、出力フィルターの前に実行されます。
ルーティングエンジン (ping トラフィックなど) から送信されたトラフィックは、伝送トラフィックと同じ転送パスを持ちません。このタイプのトラフィックは、「ポリサー」にすることはできません。
LSP ポリサーは、すべての T Series ルーターと、インターネットプロセッサ II のアプリケーション固有の統合回線 (ASIC) を備えた M Series ルーター上で動作します。
Junos OS リリース 12.2 R2 から開始します。 T Series ルーターでのみ、特定の LSP が複数のプロトコルファミリータイプで共有されるように、LSP ポリサーを構成できます。そのためには、 [edit firewall policer policer-name]階層レベルで論理インタフェース「ポリサー 」文を設定する必要があります。
例:LSP ポリサーの構成
以下の例は、LSP に対してポリシングフィルターを設定する方法を示しています。
[edit firewall]
policer police-ct1 {
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 1500;
}
then {
discard;
}
}
policer police-ct0 {
if-exceeding {
bandwidth-limit 200m;
burst-size-limit 1500;
}
then {
discard;
}
}
family any {
filter bar {
term discard-ct0 {
then {
policer police-ct0;
accept;
}
}
}
term discard-ct1 {
then {
policer police-ct1;
accept;
}
}
}
自動ポリサーの構成
Lsp の自動ポリシーによって、ネットワークトラフィックに対して厳格なサービス保証を提供できます。このような保証は、Lsp を設計したトラフィックの差別化サービスにおいて特に役立ち、MPLS ネットワーク上で ATM ワイヤのエミュレーションを向上させます。Lsp の差別化されたサービスの詳細については、 DiffServ 対応トラフィックエンジニアリングの導入を参照してください。
トラフィックを設計するために、Lsp によってトラフィックを処理するための差別化されたサービスを提供します。これにより、EXP をベースにした交通 MPLS しますトラフィックを確実にするために、トラフィックを適切にマークするだけでは不十分です。トラフィックが輻輳パスに依存している場合は、要件を満たしていない可能性があります。
Lsp は、要件を満たすのに十分なリソースが利用可能なパスに沿って確立されることが保証されています。ただし、Lsp がそのようなパスで確立されていて、適切にマークされる場合でも、これらの要件を保証するには、利用可能な帯域幅よりも多くのトラフィックが LSP に送信されないようにしておく必要があります。
LSP トラフィックは、手動で適切なフィルターを設定し、設定の LSP に適用することができます。しかし、大規模な導入では、数千のフィルターを設定するのは煩わしい方法です。複数の Lsp が異なる帯域幅要件を持つ場合があるため、設定グループは、この問題を解決することはできません。異なるフィルターが必要です。多数の Lsp に対してトラフィックのポリシーを設定するには、自動ポリサーを構成することをお勧めします。
Lsp に対して自動ポリサーを構成すると、そのルーター上で構成されているすべての Lsp に対して、ポリサーが適用されます。ただし、特定の Lsp で自動ポリシーを無効にすることができます。
DiffServ 認識型トラフィックエンジニアリング LSP 用に自動ポリサーを構成した場合、GRES はサポートされません。
Lsp が CCC トラフィックを伝送するための自動ポリシーを設定することはできません。
以下のセクションでは、Lsp に対する自動ポリサーを構成する方法について説明します。
- Lsp に対する自動ポリサーの構成
- DiffServ 認識トラフィックエンジニアリング Lsp 用の自動ポリサーの構成
- ポイントツー Multipoint Lsp の自動ポリサーを構成しています
- LSP での自動ポリシーの無効化
- 例:LSP に対する自動ポリシーの設定
Lsp に対する自動ポリサーの構成
標準 Lsp (DiffServ 対応トラフィックで、Lsp や multiclass Lsp を設計していない) の自動ポリサー auto-policingを構成するにclass all policer-actionは、以下class ct0 policer-actionのいずれかのオプションまたはオプションを使用して、このステートメントを含めます。
auto-policing { class all policer-action; class ct0 policer-action; }
このステートメントは、以下の階層レベルで含めることができます。
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
自動ポリサーを実行するには、次のようなポリサーアクションを設定できます。
drop—すべてのパケットをドロップします。loss-priority-high—PLP(パケット損失の優先度)を高に設定します。loss-priority-low—PLP を低に設定します。
これらのポリサーのアクションは、すべてのタイプの Lsp に適用されます。デフォルトのポリサーアクションでは何も実行されません。
Lsp に対して設定されている帯域幅に基づいて、Lsp の警察のトラフィックに対する自動ポリサーが送信します。階層レベルのbandwidth[edit protocols mpls label-switched-path lsp-path-name]ステートメントを使用して、LSP の帯域幅を設定します。ルーターで自動ポリサーが有効になっていて、LSP に対して設定されている帯域幅を変更し、改訂した構成をコミットした場合、その変更はアクティブな Lsp には反映されません。Lsp が新しい帯域幅割り当てを使用するように強制するclear mpls lspには、コマンドを発行します。
集合インターフェイスまたはマルチリンクポイントツーポイントプロトコル (MLPPP) インターフェイスを走査する Lsp に対して、自動ポリサーを構成することはできません。
DiffServ 認識トラフィックエンジニアリング Lsp 用の自動ポリサーの構成
DiffServ 認識型トラフィックエンジニアリング Lsp および multiclass Lsp の自動ポリサーを構成するには、 auto-policing以下のステートメントを含めます。
auto-policing { class all policer-action; class ctnumber policer-action; }
このステートメントは、以下の階層レベルで含めることができます。
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
1つ以上のclass all policer-actionクラスに対しclass ctnumber policer-actionてステートメントまたは文のいずれかを指定します (各クラスに異なるポリサーアクションを設定できます)。policer-action変数に置き換えることができるアクションのリストについては、をLsp に対する自動ポリサーの構成参照してください。デフォルトのポリサーアクションでは何も実行されません。
集約インターフェイスまたは MLPPP インターフェイスを走査する Lsp に対して自動ポリサーを構成することはできません。
ポイントツー Multipoint Lsp の自動ポリサーを構成しています
ポイントツーマルチポイント Lsp の自動ポリサーは、 auto-policingclass all policer-actionオプションまたはclass ct0 policer-actionオプションを指定してステートメントを指定することで設定できます。プライマリポイントツーマルチポイント LSP auto-policingでステートメントを構成する必要があるのはこの場合だけです (プライマリポイントツーマルチポイント lsp の詳細については、「プライマリポイントツーマルチポイント Lsp の設定」を参照してください)。ポイントツー multipoint LSP の subLSPs では、追加の設定は必要ありません。ポイントツーマルチポイントの自動ポリシー適用は、point-to-point LSP のすべてのブランチに対して実行されます。さらに、ポイントツーマルチポイントの支社と同じ転送エントリを持つローカルの VRF インターフェイスには、自動のポリシーが適用されます。Junos Trio チップセットで MPLS ポイントツーマルチポイント Lsp を対象とした自動ポリサーの機能パリティは、11.1 R2、11.2 R2、11.4 の Junos OS リリースでサポートされています。
点ツーマルチポイント Lsp の自動ポリサー設定は、標準 Lsp の自動ポリサー設定と同じです。詳細についてはLsp に対する自動ポリサーの構成、を参照してください。
LSP での自動ポリシーの無効化
自動ポリシーを有効にすると、ルーターまたは論理システム上のすべての Lsp が影響を受けます。自動ポリシーが有効に設定されているルーターで特定の LSP の自動ポリシーを無効policingにするにno-auto-policingは、以下のオプションを含む明細書を追加します。
policing no-auto-policing;
このステートメントは、以下の階層レベルで含めることができます。
[edit protocols mpls label-switched-path lsp-name][edit logical-systems logical-system-name protocols mpls label-switched-path lsp-name]
例:LSP に対する自動ポリシーの設定
Multiclass LSP の自動ポリシーを設定し、クラスct0タイプ、 ct1、 ct2、およびct3のさまざまなアクションを指定します。
[edit protocols mpls]
diffserv-te {
bandwidth-model extended-mam;
}
auto-policing {
class ct1 loss-priority-low;
class ct0 loss-priority-high;
class ct2 drop;
class ct3 loss-priority-low;
}
traffic-engineering bgp-igp;
label-switched-path sample-lsp {
to 3.3.3.3;
bandwidth {
ct0 11;
ct1 1;
ct2 1;
ct3 1;
}
}
interface fxp0.0 {
disable;
}
interface t1-0/5/3.0;
interface t1-0/5/4.0;
MPLS タグ付き IP パケットに異なる DSCP および EXP 値を書き込む
出力キューの割り当てに影響を与えることなく、MPLS タグ付き IPv4 および IPv6 パケットの DiffServ コードポイント (DSCP) フィールドを選択して0に設定し、転送クラスに基づいて設定されたリライトテーブルに従って MPLS EXP フィールドを設定することができます。これを実現するには、MPLS タグ付きパケット用のファイアウォールフィルターを構成します。