Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Filtros de firewall para MPLS

Configuración de filtros y políticas de Firewall MPLS en enrutadores

Puede configurar un filtro de Firewall MPLS para contar los paquetes basándose en los bits EXP de la etiqueta de MPLS de nivel superior de un paquete. También puede configurar las directivas de los LSP de MPLS.

En las siguientes secciones se explica MPLS filtros y las políticas de Firewall:

Configuración de filtros de Firewall MPLS

Puede configurar un filtro de Firewall MPLS para contar los paquetes basándose en los bits EXP de la etiqueta de MPLS de nivel superior de un paquete. A continuación, puede aplicar este filtro a una interfaz específica. También puede configurar una policía para el filtro MPLS a la policía (es decir, limitar la velocidad) al tráfico en la interfaz a la que está adjunto el filtro. No puede aplicar MPLS filtros del cortafuegos a las interfaces Ethernet (fxp0) o bucles de retroceso (lo0).

Puede configurar los siguientes atributos de criterios de coincidencia para MPLS filtros en [edit firewall family mpls filter filter-name term term-name from] el nivel de jerarquía:

  • exp

  • exp-except

Estos atributos pueden aceptar bits de EXP en el rango de 0 a 7. Puede configurar las siguientes opciones:

  • Un solo bit EXP, por ejemplo, exp 3;

  • Varios bits EXP, por ejemplo, exp 0, 4;

  • Un rango de bits EXP, por ejemplo, exp [0-5];

Si no especifica un criterio coincidente (es decir, si no configura la from instrucción y utiliza solo la then instrucción con la count palabra clave Action), se contarán todos los paquetes MPLS que pasen a través de la interfaz en la que se aplica el filtro.

También puede configurar cualquiera de las siguientes palabras clave de acción en [edit firewall family mpls filter filter-name term term-name then] el nivel de jerarquía:

  • count

  • accept

  • discard

  • next

  • policer

Para obtener más información acerca de cómo configurar filtros de firewall, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y agentes de policía de tráfico. Para obtener más información acerca de cómo configurar interfaces, consulte la biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento y la biblioteca de interfaces de Junos OS de servicios para dispositivos de enrutamiento.

Cita Configuración de filtros de Firewall MPLS

Los ejemplos siguientes ilustran cómo puede configurar un filtro de Firewall MPLS y, a continuación, aplicar el filtro a una interfaz. Este filtro está configurado para contar MPLS paquetes con bits de EXP establecidos en 0 ó 4.

A continuación se muestra una configuración para un filtro MPLS Firewall:

A continuación, se muestra cómo aplicar el filtro de Firewall MPLS a una interfaz:

El filtro de MPLS Firewall se aplica a la entrada y salida de una interfaz (consulte input las output instrucciones y del ejemplo anterior).

Configuración de las directivas de LSP

MPLS las políticas del LSP le permiten controlar la cantidad de tráfico que se reenvía a través de un LSP determinado. Las políticas ayudan a garantizar que la cantidad de tráfico reenviado a través de un LSP nunca sobrepase la asignación de ancho de banda solicitada. Las políticas del LSP son compatibles con LSP normales, LSP configurados con DiffServ e LSP de multiclase. Puede configurar varias directivas para cada LSP de multiclase. En el caso de LSP regulares, cada policía de LSP se aplica a todo el tráfico que atraviesa el LSP. Las limitaciones de ancho de banda del agente de policía se hacen efectivas tan pronto como la suma total de tráfico que pasa por el LSP exceda el límite configurado.

Nota:

El enrutador de PTX10003 sólo admite LSP regulares.

Configure el LSP de multiclase y las políticas de ingeniería de los proveedores de tráfico con DiffServ en un filtro. El filtro puede configurarse para distinguir los distintos tipos de clase y aplicar la normativa relevante a cada tipo de clase. Las políticas distinguen los tipos de clase basados en los bits de EXP.

Las directivas de LSP se configuran bajo el family any filtro. El family any filtro se utiliza porque la policía se aplica al tráfico que entra en el LSP. Este tráfico puede ser de diferentes familias: IPv6, MPLS, etc. No es necesario saber qué tipo de tráfico entra en el LSP, siempre y cuando las condiciones de coincidencia se apliquen a todo tipo de tráfico.

Puede configurar únicamente aquellas condiciones de coincidencia que se aplican en todos los tipos de tráfico. A continuación, se indican las condiciones de coincidencia admitidas para las políticas del LSP:

  • forwarding-class

  • packet-length

  • interface

  • interface-set

Para activar una policía en un LSP, primero debe configurar un filtro de políticas y luego incluirlo en la configuración de LSP. Para obtener más información acerca de cómo configurar políticas, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y agentes de tráfico.

Para configurar una policía para un LSP, especifique un filtro incluyendo la filter opción de la policing instrucción:

Puede incluir la policing instrucción en los siguientes niveles de jerarquía:

Limitaciones de la policía de LSP

Al configurar MPLS políticas LSP, tenga en cuenta las limitaciones siguientes:

  • Las políticas de LSP solo son compatibles con LSP de paquetes.

  • Solo se admiten las políticas de LSP para el próximo salto de difusión. No se admiten los siguientes saltos de multidifusión.

  • Las políticas de LSP no son compatibles con interfaces agregadas.

  • La policía de LSP se ejecuta antes que ningún filtro de salida.

  • El tráfico procedente del motor de enrutamiento (por ejemplo, el tráfico de ping) no toma la misma ruta de reenvío que el tráfico de tránsito. Este tipo de tráfico no puede ser controlada por políticas.

  • Las políticas de LSP funcionan en todos los enrutadores serie T y en enrutadores de M Series que tengan un circuito integrado (ASIC) de la aplicación para el procesador II de Internet.

Nota:

A partir de Junos OS versión 12.2 R2, en serie T enrutadores solamente, puede configurar una policía de LSP para que un LSP específico pueda ser compartido a través de distintos tipos de familias de protocolos. Para ello, debe configurar la instrucción Logical-interface-policiale en el nivel [edit firewall policer policer-name] de la jerarquía.

Ejemplo Configuración de una policía de LSP

El ejemplo siguiente muestra cómo puede configurar un filtro de políticas para un LSP:

Configuración de las políticas automáticas

La políticas automáticas de LSP le permite proporcionar garantías de servicio estrictas para el tráfico de la red. Estas garantías son especialmente útiles en el contexto de servicios diferenciados para LSP diseñados para el tráfico, lo que proporciona mejor emulación de los cables ATM a través de una red MPLS. Para obtener más información acerca de los servicios diferenciados para LSP, consulte la introducción a Diffserv sobre la ingeniería de tráfico.

Los servicios diferenciados para los LSP de ingeniería de tráfico le permiten proporcionar un trato diferenciado para MPLS tráfico en función de los bits de EXP. Para garantizar estas garantías de tráfico, no basta con marcar el tráfico de forma apropiada. Si el tráfico sigue una ruta congestionada, es posible que no se cumplan los requisitos.

Se garantiza que los LSP se establecen a través de rutas en las que hay suficientes recursos disponibles para cumplir con los requisitos. Sin embargo, incluso si los LSP se establecen a través de estas rutas y se marcan correctamente, estos requisitos no se pueden garantizar a menos que se asegure de que no hay más tráfico enviado a un LSP que el que haya disponible.

Es posible supervisar el tráfico de LSP mediante la configuración manual de un filtro adecuado y su aplicación al LSP en la configuración. Sin embargo, para las implementaciones de gran tamaño resulta incómodo configurar miles de filtros diferentes. Los grupos de configuración no pueden resolver este problema, ya que varios LSP pueden tener requisitos de ancho de banda distintos, que requieren distintos filtros. Para el tráfico policial de varios LSP, lo mejor es configurar las políticas automáticas.

Cuando configure las directivas de usuario para LSPs, se aplicará una policía a todos los proveedores de idiomas configurados en el enrutador. Sin embargo, puede desactivar las políticas automáticas en LSP específicos.

Nota:

Cuando se configuran las políticas automáticas para los proveedores de ingeniería de tráfico con DiffServ, no se admite el paso de paso.

Nota:

No puede configurar las políticas automáticas para los proveedores de idiomas que transporten tráfico CCC.

Las secciones siguientes describen cómo configurar los responsables automáticos de los LSP:

Configuración de las políticas de LSP automáticas

Para configurar las máquinas informáticos automáticas para los LSP estándar (ni los proveedores de informados por el auto-policingclass all policer-action tráfico con Diffserv ni los LSP de multiclase), class ct0 policer-action incluya la indicación o la opción:

Puede incluir esta instrucción en los siguientes niveles de jerarquía:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Puede configurar las siguientes acciones de policía para las políticas automáticas:

  • drop: permite soltar todos los paquetes.

  • loss-priority-high: establezca la prioridad de pérdida de paquetes (PLP) en alto.

  • loss-priority-low: establezca el PLP en bajo.

Estas medidas de policíaización son aplicables a todos los tipos de LSP. La acción de policía predeterminada es no hacer nada.

Los responsables automáticos del tráfico de las políticas de LSPs se basan en la cantidad de ancho de banda configurada para los LSP. Para configurar el ancho de banda para un LSP bandwidth , utilice la [edit protocols mpls label-switched-path lsp-path-name] instrucción en el nivel jerárquico. Si ha habilitado las políticas automáticas en un enrutador, ha cambiado el ancho de banda configurado para un LSP y confirma la configuración revisada, el cambio no surte efecto en el LSP activo. Para obligar al LSP a utilizar la nueva asignación de ancho de clear mpls lsp banda, emita un comando.

Nota:

No puede configurar las superusuarios automáticos para LSP que atraviesen interfaces agregadas o interfaces multivínculo punto a punto (MLPPP).

Configuración de las políticas automáticas para los proveedores de ingeniería de tráfico con DiffServ

Para configurar la configuración automática de la informática para los proveedores de interconexión de tráfico con DiffServ e LSP auto-policing de multiclase, incluya la siguiente declaración:

Puede incluir esta instrucción en los siguientes niveles de jerarquía:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Incluya la class all policer-action instrucción o una class ctnumber policer-action instrucción para cada una de las clases (puede configurar una acción distinta para cada clase). Para obtener una lista de las acciones que puede sustituir por la policer-action variable, consulte Configuración de las políticas de LSP automáticas. La acción de policía predeterminada es no hacer nada.

Nota:

No puede configurar las superusuarios automáticos para LSP que atraviesan interfaces MLPPP

Configuración de las políticas automáticas para LSP de punto a multipunto

Puede configurar los responsables automáticos de LSP de punto a multipunto, para lo que auto-policing debe incluir la instrucción class all policer-action junto con la class ct0 policer-action opción o la opción. Solo es necesario configurar la auto-policing instrucción en el LSP principal de punto a multipunto (para obtener más información sobre los LSP de punto a multipunto principales, vea Configuring the primary Point-to-multipunto LSP). No se requiere ninguna configuración adicional del subLSPs para el LSP de punto a multipunto. La políticas automáticas de punto a multipunto se aplican a todas las ramas del LSP de punto a multipunto. Además, las políticas automáticas se aplican a cualquier interfaz VRF local que tenga la misma entrada de reenvío como una bifurcación punto a multipunto.La paridad de funciones para las políticas automáticas de MPLS LSP de punto a multipunto en el conjunto de chips Junos trío se admite en Junos OS Release 11.1 R2, 11.2 R2 y 11,4.

La configuración automática del responsable de los LSP de punto a multipunto es idéntica a la configuración automática de los LSP del estándar. Para obtener más información, Configuración de las políticas de LSP automáticasconsulte.

Desactivación de las políticas automáticas en un LSP

Cuando habilita las políticas automáticas, todos los LSP del enrutador o del sistema lógico se verán afectados. Para deshabilitar las políticas automáticas en un LSP específico en un enrutador en el que haya activado las políticas policing automáticas, incluya no-auto-policing la instrucción con la opción:

Puede incluir esta instrucción en los siguientes niveles de jerarquía:

Ejemplo Configuración de las políticas automáticas para un LSP

Configure las políticas automáticas para un LSP multiclase, especificando distintas acciones para los ct0tipos ct1de ct2clase, ct3, y.

Escribir distintos valores DSCP y EXP en paquetes IP con etiquetas MPLS

Puede establecer selectivamente el campo del punto de código de DiffServ (DSCP) de paquetes de IPv4 e IPv6 con MPLS etiquetas en 0 sin afectar a la asignación de colas de salida, y seguir configurando el campo MPLS EXP de acuerdo con la tabla de reescritura configurada, que se basa en las clases de reenvío. Esto puede conseguirse mediante la configuración de un filtro de Firewall para los paquetes etiquetados por el MPLS.

Descripción general de los filtros de Firewall de MPLS en interfaz de bucle invertido

Aunque todas las interfaces son importantes, la interfaz de bucle invertido puede ser la más importante, ya que es el vínculo a la motor de enrutamiento, que ejecuta y administra todos los protocolos de enrutamiento. La interfaz de bucle de retroceso es una puerta de enlace para todo el tráfico de control que entra en el motor de enrutamiento del conmutador. Puede controlar este tráfico mediante la configuración de un filtro de firewall en la interfaz de bucle invertido family mpls(lo0) en. Los filtros de Firewall de bucle invertido solo afectan al tráfico destinado a la CPU motor de enrutamiento. Puede aplicar un filtro de cortafuegos de bucle invertido solamente en la dirección de entrada (paquetes que entran en la interfaz). A partir de Junos OS versión 19.2 R1, puede aplicar un filtro MPLS Firewall a una interfaz de bucle de retorno en un enrutador de conmutación de etiqueta (LSR) en los conmutadores QFX5100, QFX5110, QFX5200 y QFX5210.

Cuando configure un MPLS filtro de firewall, defina criterios de filtrado (términos, con condiciones de coincidencia) para los paquetes y una acción que llevará a cabo el conmutador si los paquetes coinciden con los criterios de filtrado. Dado que el filtro se aplica a una interfaz de bucle de retorno, se debe especificar explícitamente la condición de coincidencia de family mpls período de vida (TTL) en yttl=1establecer su valor TTL en 1 (). El TTL es un campo de encabezado de 8 bits (IPv4) que indica el tiempo restante que un paquete IP ha salido antes de su fin de vida y se descarta. También puede hacer coincidir paquetes con otros calificadores MPLS labelcomo, expcapa 4 source porty capa 4. destination port Para obtener más información, Condiciones de coincidencia de filtro de Firewall para tráfico MPLSconsulte.

Ventajas de agregar MPLS filtros de firewall en la interfaz de bucle invertido

  • Protege el motor de enrutamiento asegurándose de que acepta el tráfico únicamente desde redes de confianza.

  • Ayuda a proteger el motor de enrutamiento de ataques de denegación de servicio.

  • Ofrece la flexibilidad de hacer coincidir los paquetes con el puerto de origen y el puerto de destino. Por ejemplo, si ejecuta traceroute, puede filtrar el tráfico de forma selectiva eligiendo TCP o UDP.

Directrices y limitaciones

  • Puede aplicar un filtro de cortafuegos de bucle invertido sólo en la dirección de entrada

  • Sólo labelse admiten expcampos ttl=1 MPLS, y campos tcp de udp capa 4 y números de puerto.

  • Solo acceptse discardadmiten count las acciones, y.

  • Debe especificar ttl=1 de forma explícita family mpls en para coincidir con los paquetes de TLL.

  • No se puede hacer coincidir los filtros aplicados en la interfaz de bucle de retroceso en el puerto de destino (carga interna) de un paquete IPv6.

  • No puede aplicar un filtro en paquetes que tengan más de dos etiquetas MPLS.

  • No puede especificar un intervalo de puertos para las condiciones de coincidencia TCP o UDP.

  • Solo se admiten términos de Firewall 255.

Configuración de MPLS filtros y políticas de firewall en conmutadores

Puede configurar filtros de cortafuegos para filtrar MPLS tráfico. Para usar un filtro Firewall MPLS, primero debe configurar el filtro y, a continuación, aplicarlo a una interfaz que haya configurado para reenviar el tráfico MPLS. También puede configurar una policía para el filtro MPLS a la policía (es decir, limitar la velocidad) al tráfico en la interfaz a la que está adjunto el filtro.

Cuando configure un MPLS filtro de firewall, definirá los criterios de filtrado (términos con condiciones de coincidencia) y una acción que llevará a cabo el conmutador si los paquetes coinciden con los criterios de filtrado.

Nota:

Solo puede configurar filtros MPLS en la dirección de entrada. No se admiten los filtros de salida MPLS Firewall.

Configuración de un filtro de Firewall MPLS

Para configurar un filtro de Firewall MPLS:

  1. Configure el nombre del filtro, el nombre del término y al menos una condición de coincidencia: por ejemplo, hacer coincidir en MPLS paquetes con bits EXP establecidos en 0 o 4:
  2. En cada término de filtro de firewall, especifique las acciones que debe llevar a cabo si el paquete cumple todas las condiciones de dicho término; por ejemplo, cuente MPLS paquetes con bits EXP establecidos en 0 o 4:
  3. Cuando haya terminado, siga los pasos que se indican a continuación para aplicar el filtro a una interfaz.

Aplicar un filtro Firewall MPLS a una interfaz MPLS

Para aplicar el filtro de Firewall MPLS a una interfaz que haya configurado para reenviar el tráfico MPLS ( family mpls utilizando la instrucción [edit interfaces interface-name unit unit-number] en el nivel de jerarquía):

Nota:

Puede aplicar filtros de cortafuegos únicamente para filtrar MPLS paquetes que entran en una interfaz.

  1. Aplique el filtro de firewall a MPLS interfaz: por ejemplo, aplique el filtro de firewall a la interfaz xe-0/0/5:
  2. Revise su configuración y emita el commit comando:

Aplicar un filtro de Firewall MPLS a una interfaz de bucle invertido

Para aplicar un filtro Firewall MPLS a una interfaz de bucle de retroceso (lo0):

  1. En primer lugar, especifique el formato de paquete mediante el comando Packet-Format-Match . Debe reiniciar el PFE cada vez que configure este comando.
  2. Configure las condiciones y acciones de coincidencia de filtro de Configuración de MPLS filtros y políticas de firewall en conmutadoresfirewall que se describen en. Debe establecer explícitamente la condición de coincidencia de TTLttl=1en (). También puede hacer coincidir paquetes con otros calificadores MPLS, como label, expy capa 4 source port, y destination port.
  3. Aplique el filtro a la interfaz de bucle invertido como filtro de entrada.
  4. Revise su configuración y emita el commit comando:

A continuación, se encuentra un ejemplo de configuración.

Configuración de las directivas de LSP

A partir de Junos OS 13.2 X51-D15, puede enviar el tráfico que coincida con un filtro MPLS a un policía de color o de tres colores. MPLS las políticas del LSP le permiten controlar la cantidad de tráfico que se reenvía a través de un LSP determinado. Las políticas ayudan a garantizar que la cantidad de tráfico reenviado a través de un LSP nunca sobrepase la asignación de ancho de banda solicitada. Las políticas del LSP son compatibles con LSP normales, LSP configurados con DiffServ e LSP de multiclase. Puede configurar varias directivas para cada LSP de multiclase. En el caso de LSP regulares, cada policía de LSP se aplica a todo el tráfico que atraviesa el LSP. Las limitaciones de ancho de banda del agente de policía se vuelven efectivas tan pronto como la suma total de tráfico que pasa por el LSP exceda el límite configurado.

Configure el LSP de multiclase y las políticas de ingeniería de los proveedores de tráfico con DiffServ en un filtro. El filtro puede configurarse para distinguir los distintos tipos de clase y aplicar la normativa relevante a cada tipo de clase. Las políticas distinguen los tipos de clase basados en los bits de EXP.

Las directivas de LSP se configuran bajo el family any filtro. El family any filtro se utiliza porque la policía se aplica al tráfico que entra en el LSP. Este tráfico puede ser de diferentes familias: IPv6, MPLS, etc. No es necesario saber qué tipo de tráfico entra en el LSP, siempre y cuando las condiciones de coincidencia se apliquen a todo tipo de tráfico.

Al configurar MPLS políticas LSP, tenga en cuenta las limitaciones siguientes:

  • Las políticas de LSP solo son compatibles con LSP de paquetes.

  • Solo se admiten las políticas de LSP para el próximo salto de difusión. No se admiten los siguientes saltos de multidifusión.

  • La policía de LSP se ejecuta antes que ningún filtro de salida.

  • El tráfico procedente del motor de enrutamiento (por ejemplo, el tráfico de ping) no toma la misma ruta de reenvío que el tráfico de tránsito. Este tipo de tráfico no puede ser controlada por políticas.

Tabla de historial de versiones
Liberación
Descripción
19.2R1
A partir de Junos OS versión 19.2 R1, puede aplicar un filtro MPLS Firewall a una interfaz de bucle de retorno en un enrutador de conmutación de etiqueta (LSR) en los conmutadores QFX5100, QFX5110, QFX5200 y QFX5210.