Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Filtros de firewall para MPLS

Configuración de filtros y políticas de firewall MPLS en enrutadores

Puede configurar un filtro de firewall MPLS para contar paquetes basados en los bits EXP para la etiqueta MPLS de nivel superior de un paquete. También puede configurar políticas para LSP MPLS.

En las siguientes secciones se describen los filtros y las políticas del firewall MPLS:

Configuración de filtros de firewall MPLS

Puede configurar un filtro de firewall MPLS para contar paquetes basados en los bits EXP para la etiqueta MPLS de nivel superior de un paquete. A continuación, puede aplicar este filtro a una interfaz específica. También puede configurar un aplicador de políticas para que el filtro MPLS vigile (es decir, el límite de velocidad) el tráfico en la interfaz a la que está conectado el filtro. No puede aplicar filtros de firewall MPLS a interfaces Ethernet (fxp0) o de circuito cerrado (lo0).

Puede configurar los siguientes atributos de criterios de coincidencia para filtros MPLS en el nivel jerárquico [edit firewall family mpls filter filter-name term term-name from] :

  • exp

  • exp-except

Estos atributos pueden aceptar bits EXP en el rango de 0 a 7. Puede configurar las siguientes opciones:

  • Un solo bit EXP, por ejemplo, exp 3;

  • Varios bits EXP, por ejemplo, exp 0, 4;

  • Un rango de bits EXP, por ejemplo, exp [0-5];

Si no especifica un criterio de coincidencia (es decir, no configura la from instrucción y utiliza sólo la then instrucción con la palabra clave action count ), se contabilizarán todos los paquetes MPLS que pasen por la interfaz en la que se aplica el filtro.

También puede configurar cualquiera de las siguientes palabras clave de acción en el nivel de [edit firewall family mpls filter filter-name term term-name then] jerarquía:

  • count

  • accept

  • discard

  • next

  • policer

Para obtener más información acerca de cómo configurar filtros de firewall, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y aplicadores de políticas de tráfico. Para obtener más información acerca de cómo configurar interfaces, consulte la Biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento y la Biblioteca de interfaces de servicios de Junos OS para dispositivos de enrutamiento.

Ejemplos: Configuración de filtros de firewall MPLS

Los ejemplos siguientes ilustran cómo puede configurar un filtro de firewall MPLS y, a continuación, aplicar el filtro a una interfaz. Este filtro está configurado para contar paquetes MPLS con bits EXP establecidos en 0 o 4.

A continuación se muestra una configuración para un filtro de firewall MPLS:

A continuación se muestra cómo aplicar el filtro de firewall MPLS a una interfaz:

El filtro de firewall MPLS se aplica a la entrada y salida de una interfaz (consulte las input instrucciones y output del ejemplo anterior).

Configuración de políticas para LSP

La vigilancia de MPLS LSP le permite controlar la cantidad de tráfico reenviado a través de un LSP en particular. La vigilancia ayuda a garantizar que la cantidad de tráfico reenviado a través de un LSP nunca supere la asignación de ancho de banda solicitada. La vigilancia de LSP es compatible con LSP regulares, LSP configurados con ingeniería de tráfico compatible con DiffServ y LSP multiclase. Puede configurar varios aplicadores de políticas para cada LSP multiclase. Para los LSP regulares, cada aplicador de LSP se aplica a todo el tráfico que atraviesa el LSP. Las limitaciones de ancho de banda del controlador se hacen efectivas tan pronto como la suma total de tráfico que atraviesa el LSP supera el límite configurado.

Nota:

El enrutador PTX10003 solo admite LSP regulares.

Puede configurar los aplicadores LSP multiclase y LSP de ingeniería de tráfico compatible con DiffServ en un filtro. El filtro se puede configurar para distinguir entre los diferentes tipos de clase y aplicar el aplicador de políticas correspondiente a cada tipo de clase. Los aplicadores de políticas distinguen entre tipos de clase basados en los bits EXP.

Los aplicadores de LSP se configuran en el family any filtro. El family any filtro se utiliza porque el aplicador de políticas se aplica al tráfico que entra en el LSP. Este tráfico puede provenir de diferentes familias: IPv6, MPLS, etc. No es necesario saber qué tipo de tráfico está entrando en el LSP, siempre y cuando las condiciones de coincidencia se apliquen a todos los tipos de tráfico.

Solo puede configurar las condiciones de coincidencia que se aplican a todos los tipos de tráfico. A continuación, se indican las condiciones de coincidencia admitidas por los aplicadores de LSP:

  • forwarding-class

  • packet-length

  • interface

  • interface-set

Para habilitar un aplicador de políticas en un LSP, primero debe configurar un filtro de vigilancia y, a continuación, incluirlo en la configuración del LSP. Para obtener información acerca de cómo configurar los aplicadores de políticas, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y controladores de tráfico.

Para configurar un aplicador de policía para un LSP, especifique un filtro incluyendo la filter opción a la policing instrucción:

Puede incluir la policing instrucción en los siguientes niveles jerárquicos:

Limitaciones de LSP Policer

Al configurar políticas de LSP de MPLS, tenga en cuenta las siguientes limitaciones:

  • Los aplicadores de políticas de LSP solo son compatibles con los LSP de paquetes.

  • Los aplicadores de LSP solo son compatibles con los próximos saltos de unidifusión. No se admiten los próximos saltos de multidifusión.

  • Los aplicadores de LSP no son compatibles con las interfaces agregadas.

  • El aplicador de control de LSP se ejecuta antes que cualquier filtro de salida.

  • El tráfico procedente del motor de enrutamiento (por ejemplo, el tráfico de ping) no toma la misma ruta de reenvío que el tráfico de tránsito. Este tipo de tráfico no puede ser vigilado.

  • Los aplicadores de LSP funcionan en todos los enrutadores de la serie T y en los enrutadores de la serie M que tienen el circuito integrado específico de la aplicación (ASIC) del procesador de Internet II.

  • Los aplicadores de políticas de LSP no son compatibles con los LSP de punto a multipunto.
Nota:

A partir de Junos OS versión 12.2R2, solo en enrutadores serie T, puede configurar un aplicador de control de LSP para que un LSP específico se comparta entre diferentes tipos de familia de protocolos. Para ello, debe configurar la instrucción logical-interface-policer en el nivel jerárquico [edit firewall policer policer-name] .

Ejemplo: Configuración de un aplicador de LSP

En el ejemplo siguiente se muestra cómo configurar un filtro de vigilancia para un LSP:

Configuración de aplicadores automáticos

La vigilancia automática de los LSP le permite proporcionar estrictas garantías de servicio para el tráfico de red. Estas garantías son especialmente útiles en el contexto de los servicios diferenciados para LSP de ingeniería de tráfico, proporcionando una mejor emulación para las transferencias ATM a través de una red MPLS. Para obtener más información acerca de los servicios diferenciados para LSP, consulte Introducción a la ingeniería de tráfico de DiffServ-Aware.

Los servicios diferenciados para LSP de ingeniería de tráfico le permiten proporcionar un tratamiento diferencial al tráfico MPLS basado en los bits EXP. Para garantizar estas garantías de tráfico, no es suficiente simplemente marcar el tráfico adecuadamente. Si el tráfico sigue una ruta congestionada, es posible que no se cumplan los requisitos.

Se garantiza que los LSP se establecerán a lo largo de caminos donde haya suficientes recursos disponibles para cumplir con los requisitos. Sin embargo, incluso si los LSP se establecen a lo largo de dichas rutas y están marcados correctamente, estos requisitos no se pueden garantizar a menos que se asegure de que no se envíe más tráfico a un LSP del ancho de banda disponible.

Es posible controlar el tráfico LSP configurando manualmente un filtro apropiado y aplicándolo al LSP en la configuración. Sin embargo, para implementaciones grandes es engorroso configurar miles de filtros diferentes. Los grupos de configuración tampoco pueden resolver este problema, ya que diferentes LSP pueden tener diferentes requisitos de ancho de banda, lo que requiere diferentes filtros. Para vigilar el tráfico de numerosos LSP, es mejor configurar los aplicadores automáticos.

Cuando se configuran aplicadores automáticos para LSP, se aplica un aplicador de políticas a todos los LSP configurados en el enrutador. Sin embargo, puede desactivar la vigilancia automática en LSP específicos.

Nota:

Cuando se configuran aplicadores automáticos para el LSP de ingeniería de tráfico compatible con DiffServ, GRES no es compatible.

Nota:

No puede configurar la vigilancia automática para los LSP que transportan tráfico de CCC.

En las secciones siguientes se describe cómo configurar políticas automáticas para LSP:

Configuración de aplicadores automáticos para LSP

Para configurar aplicadores automáticos para LSP estándar (ni LSP de ingeniería de tráfico compatibles con DiffServ ni LSP multiclase), incluya la auto-policing instrucción con la class all policer-action opción o la class ct0 policer-action opción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Puede configurar las siguientes acciones de policía para los aplicadores automáticos:

  • drop: suelte todos los paquetes.

  • loss-priority-high: establezca la prioridad de pérdida de paquetes (PLP) en alta.

  • loss-priority-low: defina el PLP en bajo.

Estas acciones policiales son aplicables a todos los tipos de LSP. La acción policial predeterminada es no hacer nada.

Los aplicadores automáticos para LSP vigilan el tráfico en función de la cantidad de ancho de banda configurado para los LSP. El ancho de banda para un LSP se configura mediante la bandwidth instrucción en el nivel de [edit protocols mpls label-switched-path lsp-path-name] jerarquía. Si ha habilitado los aplicadores automáticos en un enrutador, cambia el ancho de banda configurado para un LSP y confirma la configuración revisada, el cambio no afectará a los LSP activos. Para forzar a los LSP a usar la nueva asignación de ancho de banda, emita un clear mpls lsp comando.

Nota:

No puede configurar aplicadores automáticos para LSP que atraviesan interfaces agregadas o interfaces de protocolo punto a punto multivínculo (MLPPP).

Configuración de aplicadores automáticos para LSP de ingeniería de tráfico compatibles con DiffServ-Aware

Para configurar los aplicadores automáticos para los LSP de ingeniería de tráfico compatibles con DiffServ y para los LSP multiclase, incluya la auto-policing instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Puede incluir la class all policer-action instrucción o una class ctnumber policer-action instrucción para cada una de una o varias clases (puede configurar una acción de aplicación de policía diferente para cada clase). Para obtener una lista de las acciones que puede sustituir por la policer-action variable, consulte Configuración de aplicadores automáticos para LSP. La acción policial predeterminada es no hacer nada.

Nota:

No puede configurar aplicadores automáticos para LSP que atraviesan interfaces agregadas o MLPPP.

Configuración de aplicadores automáticos para LSP punto a multipunto

Puede configurar aplicadores automáticos para LSP punto a multipunto incluyendo la auto-policing instrucción con la class all policer-action opción o la class ct0 policer-action opción. Solo necesita configurar la auto-policing instrucción en el LSP principal de punto a multipunto (para obtener más información sobre los LSP primarios de punto a multipunto, consulte Configuración del LSP principal de punto a multipunto). No se requiere ninguna configuración adicional en los subLSP para el LSP punto a multipunto. La vigilancia automática punto a multipunto se aplica a todas las ramas del LSP punto a multipunto. Además, la vigilancia automática se aplica a cualquier interfaz VRF local que tenga la misma entrada de reenvío que una rama de punto a multipunto. La paridad de características para los aplicadores automáticos para los LSP punto a multipunto MPLS en el chipset Junos Trio se admite en las versiones 11.1R2, 11.2R2 y 11.4 de Junos OS.

La configuración del controlador automático para los LSP de punto a multipunto es idéntica a la configuración del aplicador automático para los LSP estándar. Para obtener más información, consulte Configuración de aplicadores automáticos para LSP.

Deshabilitar la vigilancia automática en un LSP

Cuando se habilita la vigilancia automática, todos los LSP del enrutador o sistema lógico se ven afectados. Para deshabilitar la vigilancia automática en un LSP específico en un enrutador en el que haya habilitado la vigilancia automática, incluya la policing instrucción con la no-auto-policing opción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

Ejemplo: Configuración de la vigilancia automática para un LSP

Configure la vigilancia automática para un LSP multiclase, especificando diferentes acciones para los tipos ct0de clase, ct1, ct2y ct3.

Escribir diferentes valores DSCP y EXP en paquetes IP etiquetados con MPLS

Puede establecer selectivamente el campo de punto de código DiffServ (DSCP) de los paquetes IPv4 e IPv6 etiquetados con MPLS en 0 sin afectar a la asignación de la cola de salida y seguir estableciendo el campo EXP de MPLS según la tabla de reescritura configurada, que se basa en clases de reenvío. Para ello, configure un filtro de firewall para los paquetes etiquetados con MPLS.

Descripción general de los filtros de firewall MPLS en la interfaz de circuito cerrado

Aunque todas las interfaces son importantes, la interfaz de circuito cerrado puede ser la más importante porque es el vínculo al motor de enrutamiento, que ejecuta y administra todos los protocolos de enrutamiento. La interfaz de circuito cerrado es una puerta de enlace para todo el tráfico de control que entra en el motor de enrutamiento del conmutador. Puede controlar este tráfico configurando un filtro de firewall en la interfaz de circuito cerrado (lo0) en family mpls. Los filtros de firewall de circuito cerrado solo afectan al tráfico destinado a la CPU del motor de enrutamiento. Puede aplicar un filtro de firewall de circuito cerrado solo en la dirección de entrada (paquetes que entran en la interfaz). A partir de Junos OS versión 19.2R1, puede aplicar un filtro de firewall MPLS a una interfaz de circuito cerrado en un enrutador de conmutador de etiquetas (LSR) en conmutadores QFX5100, QFX5110, QFX5200 y QFX5210.

Cuando se configura un filtro de firewall MPLS, se definen criterios de filtrado (términos, con condiciones de coincidencia) para los paquetes y una acción que el conmutador debe realizar si los paquetes coinciden con los criterios de filtrado. Dado que se aplica el filtro a una interfaz de circuito cerrado, debe especificar explícitamente la condición de coincidencia del tiempo de vida (TTL) y family mpls establecer su valor TTL en 1 (ttl=1). El TTL es un campo de encabezado de 8 bits (IPv4) que indica el tiempo restante que le queda a un paquete IP antes de que termine su vida útil y se caiga. También puede hacer coincidir paquetes con otros calificadores MPLS como label, exp, Capa 4 source porty Capa 4 destination port.

Ventajas de agregar filtros de firewall MPLS en la interfaz de circuito cerrado

  • Protege el motor de enrutamiento asegurándose de que solo acepta tráfico de redes de confianza.

  • Ayuda a proteger el motor de enrutamiento de ataques de denegación de servicio.

  • Le ofrece la flexibilidad de hacer coincidir los paquetes en el puerto de origen y el puerto de destino. Por ejemplo, si ejecuta un traceroute, puede filtrar selectivamente el tráfico eligiendo TCP o UDP.

Directrices y limitaciones

  • Puede aplicar un filtro de firewall de circuito cerrado solo en la dirección de entrada

  • Solo se admiten los campos labelMPLS , ttl=1expy los campos tcp y números de puerto de udp capa 4.

  • Solo acceptse admiten , discardy count acciones.

  • Debe especificar ttl=1 explícitamente que el bajo family mpls coincida en los paquetes TLL.

  • Los filtros aplicados en la interfaz de circuito cerrado no pueden coincidir en el puerto de destino (carga interna) de un paquete IPv6.

  • No puede aplicar un filtro en paquetes que tengan más de dos etiquetas MPLS.

  • No puede especificar un intervalo de puertos para condiciones de coincidencia TCP o UDP.

  • Solo se admiten 255 términos de firewall.

Configuración de políticas y filtros de firewall MPLS en conmutadores

Puede configurar filtros de firewall para filtrar el tráfico MPLS. Para usar un filtro de firewall MPLS, primero debe configurar el filtro y, a continuación, aplicarlo a una interfaz que haya configurado para reenviar tráfico MPLS. También puede configurar un aplicador de políticas para que el filtro MPLS vigile (es decir, el límite de velocidad) el tráfico en la interfaz a la que está conectado el filtro.

Cuando se configura un filtro de firewall MPLS, se definen los criterios de filtrado (términos, con condiciones de coincidencia) y una acción que debe realizar el conmutador si los paquetes coinciden con los criterios de filtrado.

Nota:

Solo puede configurar filtros MPLS en la dirección de entrada. No se admiten los filtros de firewall MPLS de salida.

Configuración de un filtro de firewall MPLS

Para configurar un filtro de firewall MPLS:

  1. Configure el nombre del filtro, el nombre del término y al menos una condición de coincidencia, por ejemplo, hacer coincidir en paquetes MPLS con bits EXP establecidos en 0 o 4:
  2. En cada término de filtro de firewall, especifique las acciones que se deben realizar si el paquete cumple todas las condiciones de ese término; por ejemplo, cuente los paquetes MPLS con bits EXP establecidos en 0 o 4:
  3. Cuando haya terminado, siga los pasos a continuación para aplicar el filtro a una interfaz.

Aplicación de un filtro de firewall MPLS a una interfaz MPLS

Para aplicar el filtro de firewall MPLS a una interfaz que haya configurado para reenviar tráfico MPLS (mediante la family mpls instrucción en el nivel de [edit interfaces interface-name unit unit-number] jerarquía):

Nota:

Solo puede aplicar filtros de firewall para filtrar paquetes MPLS que entren en una interfaz.

  1. Aplique el filtro de firewall a una interfaz MPLS; por ejemplo, aplique el filtro de firewall a la interfaz xe-0/0/5:
  2. Revise la configuración y ejecute el commit comando:

Aplicación de un filtro de firewall MPLS a una interfaz de circuito cerrado

Para aplicar un filtro de firewall MPLS a una interfaz de circuito cerrado (lo0):

  1. En primer lugar, especifique el formato del paquete mediante el comando packet-format-match . Debe reiniciar el PFE cada vez que configure este comando.
  2. Configure las condiciones y acciones de coincidencia del filtro de firewall como se describe en Configuración de políticas y filtros de firewall MPLS en conmutadores. Debe establecer explícitamente la condición de coincidencia TTL en (ttl=1). También puede hacer coincidir paquetes con otros calificadores MPLS como label, exp, y Capa 4 source port, y destination port.
  3. Aplique el filtro a la interfaz de circuito cerrado como filtro de entrada.
  4. Revise la configuración y ejecute el commit comando:

A continuación se muestra un ejemplo de configuración.

Configuración de políticas para LSP

A partir de Junos OS 13.2X51-D15, puede enviar tráfico emparejado con un filtro MPLS a un aplicador de dos o tres colores. La vigilancia de MPLS LSP le permite controlar la cantidad de tráfico reenviado a través de un LSP en particular. La vigilancia ayuda a garantizar que la cantidad de tráfico reenviado a través de un LSP nunca supere la asignación de ancho de banda solicitada. La vigilancia de LSP es compatible con LSP regulares, LSP configurados con ingeniería de tráfico compatible con DiffServ y LSP multiclase. Puede configurar varios aplicadores de políticas para cada LSP multiclase. Para los LSP regulares, cada aplicador de LSP se aplica a todo el tráfico que atraviesa el LSP. Las limitaciones de ancho de banda del controlador se hacen efectivas tan pronto como la suma total de tráfico que atraviesa el LSP supera el límite configurado.

Puede configurar los aplicadores LSP multiclase y LSP de ingeniería de tráfico compatible con DiffServ en un filtro. El filtro se puede configurar para distinguir entre los diferentes tipos de clase y aplicar el aplicador de políticas correspondiente a cada tipo de clase. Los aplicadores de políticas distinguen entre tipos de clase basados en los bits EXP.

Los aplicadores de LSP se configuran en el family any filtro. El family any filtro se utiliza porque el aplicador de políticas se aplica al tráfico que entra en el LSP. Este tráfico puede provenir de diferentes familias: IPv6, MPLS, etc. No es necesario saber qué tipo de tráfico está entrando en el LSP, siempre y cuando las condiciones de coincidencia se apliquen a todos los tipos de tráfico.

Al configurar políticas de LSP de MPLS, tenga en cuenta las siguientes limitaciones:

  • Los aplicadores de políticas de LSP solo son compatibles con los LSP de paquetes.

  • Los aplicadores de LSP solo son compatibles con los próximos saltos de unidifusión. No se admiten los próximos saltos de multidifusión.

  • El aplicador de control de LSP se ejecuta antes que cualquier filtro de salida.

  • El tráfico procedente del motor de enrutamiento (por ejemplo, el tráfico de ping) no toma la misma ruta de reenvío que el tráfico de tránsito. Este tipo de tráfico no puede ser vigilado.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
19.2R1
A partir de Junos OS versión 19.2R1, puede aplicar un filtro de firewall MPLS a una interfaz de circuito cerrado en un enrutador de conmutador de etiquetas (LSR) en conmutadores QFX5100, QFX5110, QFX5200 y QFX5210.