Filtros de firewall para MPLS
Configuración de filtros y políticas de firewall MPLS en enrutadores
Puede configurar un filtro de firewall MPLS para contar paquetes basados en los bits EXP para la etiqueta MPLS de nivel superior de un paquete. También puede configurar políticas para LSP MPLS.
En las siguientes secciones se describen los filtros y las políticas del firewall MPLS:
- Configuración de filtros de firewall MPLS
- Ejemplos: Configuración de filtros de firewall MPLS
- Configuración de políticas para LSP
- Ejemplo: Configuración de un aplicador de LSP
- Configuración de aplicadores automáticos
- Escribir diferentes valores DSCP y EXP en paquetes IP etiquetados con MPLS
Configuración de filtros de firewall MPLS
Puede configurar un filtro de firewall MPLS para contar paquetes basados en los bits EXP para la etiqueta MPLS de nivel superior de un paquete. A continuación, puede aplicar este filtro a una interfaz específica. También puede configurar un aplicador de políticas para que el filtro MPLS vigile (es decir, el límite de velocidad) el tráfico en la interfaz a la que está conectado el filtro. No puede aplicar filtros de firewall MPLS a interfaces Ethernet (fxp0) o de circuito cerrado (lo0).
Puede configurar los siguientes atributos de criterios de coincidencia para filtros MPLS en el nivel jerárquico :[edit firewall family mpls filter filter-name term term-name from]
expexp-except
Estos atributos pueden aceptar bits EXP en el rango de 0 a 7. Puede configurar las siguientes opciones:
Un solo bit EXP, por ejemplo,
exp 3;Varios bits EXP, por ejemplo,
exp 0, 4;Un rango de bits EXP, por ejemplo,
exp [0-5];
Si no especifica un criterio de coincidencia (es decir, no configura la instrucción y utiliza sólo la instrucción con la palabra clave action), se contabilizarán todos los paquetes MPLS que pasen por la interfaz en la que se aplica el filtro.fromthencount
También puede configurar cualquiera de las siguientes palabras clave de acción en el nivel de jerarquía:[edit firewall family mpls filter filter-name term term-name then]
countacceptdiscardnextpolicer
Para obtener más información acerca de cómo configurar filtros de firewall, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y aplicadores de políticas de tráfico.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html Para obtener más información acerca de cómo configurar interfaces, consulte la Biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento y la Biblioteca de interfaces de servicios de Junos OS para dispositivos de enrutamiento.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-network-interfaces/network-interfaces.htmlhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/services-interfaces/index.html
Ejemplos: Configuración de filtros de firewall MPLS
Los ejemplos siguientes ilustran cómo puede configurar un filtro de firewall MPLS y, a continuación, aplicar el filtro a una interfaz. Este filtro está configurado para contar paquetes MPLS con bits EXP establecidos en 0 o 4.
A continuación se muestra una configuración para un filtro de firewall MPLS:
[edit firewall]
family mpls {
filter expf {
term expt0 {
from {
exp 0,4;
}
then {
count counter0;
accept;
}
}
}
}
A continuación se muestra cómo aplicar el filtro de firewall MPLS a una interfaz:
[edit interfaces]
so-0/0/0 {
mtu 4474;
encapsulation ppp;
sonet-options {
fcs 32;
}
unit 0 {
point-to-point;
family mpls {
filter {
input expf;
output expf;
}
}
}
}
El filtro de firewall MPLS se aplica a la entrada y salida de una interfaz (consulte las instrucciones y del ejemplo anterior).inputoutput
Configuración de políticas para LSP
La vigilancia de MPLS LSP le permite controlar la cantidad de tráfico reenviado a través de un LSP en particular. La vigilancia ayuda a garantizar que la cantidad de tráfico reenviado a través de un LSP nunca supere la asignación de ancho de banda solicitada. La vigilancia de LSP es compatible con LSP regulares, LSP configurados con ingeniería de tráfico compatible con DiffServ y LSP multiclase. Puede configurar varios aplicadores de políticas para cada LSP multiclase. Para los LSP regulares, cada aplicador de LSP se aplica a todo el tráfico que atraviesa el LSP. Las limitaciones de ancho de banda del controlador se hacen efectivas tan pronto como la suma total de tráfico que atraviesa el LSP supera el límite configurado.
El enrutador PTX10003 solo admite LSP regulares.
Puede configurar los aplicadores LSP multiclase y LSP de ingeniería de tráfico compatible con DiffServ en un filtro. El filtro se puede configurar para distinguir entre los diferentes tipos de clase y aplicar el aplicador de políticas correspondiente a cada tipo de clase. Los aplicadores de políticas distinguen entre tipos de clase basados en los bits EXP.
Los aplicadores de LSP se configuran en el filtro.family any El filtro se utiliza porque el aplicador de políticas se aplica al tráfico que entra en el LSP.family any Este tráfico puede provenir de diferentes familias: IPv6, MPLS, etc. No es necesario saber qué tipo de tráfico está entrando en el LSP, siempre y cuando las condiciones de coincidencia se apliquen a todos los tipos de tráfico.
Solo puede configurar las condiciones de coincidencia que se aplican a todos los tipos de tráfico. A continuación, se indican las condiciones de coincidencia admitidas por los aplicadores de LSP:
forwarding-classpacket-lengthinterfaceinterface-set
Para habilitar un aplicador de políticas en un LSP, primero debe configurar un filtro de vigilancia y, a continuación, incluirlo en la configuración del LSP. Para obtener información acerca de cómo configurar los aplicadores de políticas, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y controladores de tráfico.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html
Para configurar un aplicador de policía para un LSP, especifique un filtro incluyendo la opción a la instrucción:filterpolicing
policing { filter filter-name; }
Puede incluir la instrucción en los siguientes niveles jerárquicos:policing
[edit protocols mpls label-switched-path lsp-name][edit protocols mpls static-label-switched-path lsp-name][edit logical-systems logical-system-name protocols mpls label-switched-path lsp-name][edit logical-systems logical-system-name protocols mpls static-label-switched-path lsp-name]
Limitaciones de LSP Policer
Al configurar políticas de LSP de MPLS, tenga en cuenta las siguientes limitaciones:
-
Los aplicadores de políticas de LSP solo son compatibles con los LSP de paquetes.
-
Los aplicadores de LSP solo son compatibles con los próximos saltos de unidifusión. No se admiten los próximos saltos de multidifusión.
-
Los aplicadores de LSP no son compatibles con las interfaces agregadas.
-
El aplicador de control de LSP se ejecuta antes que cualquier filtro de salida.
-
El tráfico procedente del motor de enrutamiento (por ejemplo, el tráfico de ping) no toma la misma ruta de reenvío que el tráfico de tránsito. Este tipo de tráfico no puede ser vigilado.
-
Los aplicadores de LSP funcionan en todos los enrutadores de la serie T y en los enrutadores de la serie M que tienen el circuito integrado específico de la aplicación (ASIC) del procesador de Internet II.
- Los aplicadores de políticas de LSP no son compatibles con los LSP de punto a multipunto.
A partir de Junos OS versión 12.2R2, solo en enrutadores serie T, puede configurar un aplicador de control de LSP para que un LSP específico se comparta entre diferentes tipos de familia de protocolos. Para ello, debe configurar la instrucción logical-interface-policer en el nivel jerárquico .logical-interface-policer[edit firewall policer policer-name]
Ejemplo: Configuración de un aplicador de LSP
En el ejemplo siguiente se muestra cómo configurar un filtro de vigilancia para un LSP:
[edit firewall]
policer police-ct1 {
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 1500;
}
then {
discard;
}
}
policer police-ct0 {
if-exceeding {
bandwidth-limit 200m;
burst-size-limit 1500;
}
then {
discard;
}
}
family any {
filter bar {
term discard-ct0 {
then {
policer police-ct0;
accept;
}
}
}
term discard-ct1 {
then {
policer police-ct1;
accept;
}
}
}
Configuración de aplicadores automáticos
La vigilancia automática de los LSP le permite proporcionar estrictas garantías de servicio para el tráfico de red. Estas garantías son especialmente útiles en el contexto de los servicios diferenciados para LSP de ingeniería de tráfico, proporcionando una mejor emulación para las transferencias ATM a través de una red MPLS. Para obtener más información acerca de los servicios diferenciados para LSP, consulte Introducción a la ingeniería de tráfico de DiffServ-Aware.https://www.juniper.net/documentation/en_US/junos/topics/topic-map/diffserv-aware-traffic-engineering-configuraion.html
Los servicios diferenciados para LSP de ingeniería de tráfico le permiten proporcionar un tratamiento diferencial al tráfico MPLS basado en los bits EXP. Para garantizar estas garantías de tráfico, no es suficiente simplemente marcar el tráfico adecuadamente. Si el tráfico sigue una ruta congestionada, es posible que no se cumplan los requisitos.
Se garantiza que los LSP se establecerán a lo largo de caminos donde haya suficientes recursos disponibles para cumplir con los requisitos. Sin embargo, incluso si los LSP se establecen a lo largo de dichas rutas y están marcados correctamente, estos requisitos no se pueden garantizar a menos que se asegure de que no se envíe más tráfico a un LSP del ancho de banda disponible.
Es posible controlar el tráfico LSP configurando manualmente un filtro apropiado y aplicándolo al LSP en la configuración. Sin embargo, para implementaciones grandes es engorroso configurar miles de filtros diferentes. Los grupos de configuración tampoco pueden resolver este problema, ya que diferentes LSP pueden tener diferentes requisitos de ancho de banda, lo que requiere diferentes filtros. Para vigilar el tráfico de numerosos LSP, es mejor configurar los aplicadores automáticos.
Cuando se configuran aplicadores automáticos para LSP, se aplica un aplicador de políticas a todos los LSP configurados en el enrutador. Sin embargo, puede desactivar la vigilancia automática en LSP específicos.
Cuando se configuran aplicadores automáticos para el LSP de ingeniería de tráfico compatible con DiffServ, GRES no es compatible.
No puede configurar la vigilancia automática para los LSP que transportan tráfico de CCC.
En las secciones siguientes se describe cómo configurar políticas automáticas para LSP:
- Configuración de aplicadores automáticos para LSP
- Configuración de aplicadores automáticos para LSP de ingeniería de tráfico compatibles con DiffServ-Aware
- Configuración de aplicadores automáticos para LSP punto a multipunto
- Deshabilitar la vigilancia automática en un LSP
- Ejemplo: Configuración de la vigilancia automática para un LSP
Configuración de aplicadores automáticos para LSP
Para configurar aplicadores automáticos para LSP estándar (ni LSP de ingeniería de tráfico compatibles con DiffServ ni LSP multiclase), incluya la instrucción con la opción o la opción:auto-policingclass all policer-actionclass ct0 policer-action
auto-policing { class all policer-action; class ct0 policer-action; }
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
Puede configurar las siguientes acciones de policía para los aplicadores automáticos:
drop: suelte todos los paquetes.loss-priority-high: establezca la prioridad de pérdida de paquetes (PLP) en alta.loss-priority-low: defina el PLP en bajo.
Estas acciones policiales son aplicables a todos los tipos de LSP. La acción policial predeterminada es no hacer nada.
Los aplicadores automáticos para LSP vigilan el tráfico en función de la cantidad de ancho de banda configurado para los LSP. El ancho de banda para un LSP se configura mediante la instrucción en el nivel de jerarquía.bandwidth[edit protocols mpls label-switched-path lsp-path-name] Si ha habilitado los aplicadores automáticos en un enrutador, cambia el ancho de banda configurado para un LSP y confirma la configuración revisada, el cambio no afectará a los LSP activos. Para forzar a los LSP a usar la nueva asignación de ancho de banda, emita un comando.clear mpls lsp
No puede configurar aplicadores automáticos para LSP que atraviesan interfaces agregadas o interfaces de protocolo punto a punto multivínculo (MLPPP).
Configuración de aplicadores automáticos para LSP de ingeniería de tráfico compatibles con DiffServ-Aware
Para configurar los aplicadores automáticos para los LSP de ingeniería de tráfico compatibles con DiffServ y para los LSP multiclase, incluya la instrucción:auto-policing
auto-policing { class all policer-action; class ctnumber policer-action; }
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
Puede incluir la instrucción o una instrucción para cada una de una o varias clases (puede configurar una acción de aplicación de policía diferente para cada clase).class all policer-actionclass ctnumber policer-action Para obtener una lista de las acciones que puede sustituir por la variable, consulte .policer-actionConfiguración de aplicadores automáticos para LSP La acción policial predeterminada es no hacer nada.
No puede configurar aplicadores automáticos para LSP que atraviesan interfaces agregadas o MLPPP.
Configuración de aplicadores automáticos para LSP punto a multipunto
Puede configurar aplicadores automáticos para LSP punto a multipunto incluyendo la instrucción con la opción o la opción.auto-policingclass all policer-actionclass ct0 policer-action Solo necesita configurar la instrucción en el LSP principal de punto a multipunto (para obtener más información sobre los LSP primarios de punto a multipunto, consulte Configuración del LSP principal de punto a multipunto).auto-policinghttps://www.juniper.net/documentation/en_US/junos/topics/usage-guidelines/mpls-configuring-primary-and-branch-lsps-for-point-to-multipoint-lsps.html No se requiere ninguna configuración adicional en los subLSP para el LSP punto a multipunto. La vigilancia automática punto a multipunto se aplica a todas las ramas del LSP punto a multipunto. Además, la vigilancia automática se aplica a cualquier interfaz VRF local que tenga la misma entrada de reenvío que una rama de punto a multipunto. La paridad de características para los aplicadores automáticos para los LSP punto a multipunto MPLS en el chipset Junos Trio se admite en las versiones 11.1R2, 11.2R2 y 11.4 de Junos OS.
La configuración del controlador automático para los LSP de punto a multipunto es idéntica a la configuración del aplicador automático para los LSP estándar. Para obtener más información, consulte Configuración de aplicadores automáticos para LSP.
Deshabilitar la vigilancia automática en un LSP
Cuando se habilita la vigilancia automática, todos los LSP del enrutador o sistema lógico se ven afectados. Para deshabilitar la vigilancia automática en un LSP específico en un enrutador en el que haya habilitado la vigilancia automática, incluya la instrucción con la opción:policingno-auto-policing
policing no-auto-policing;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols mpls label-switched-path lsp-name][edit logical-systems logical-system-name protocols mpls label-switched-path lsp-name]
Ejemplo: Configuración de la vigilancia automática para un LSP
Configure la vigilancia automática para un LSP multiclase, especificando diferentes acciones para los tipos de clase, , y .ct0ct1ct2ct3
[edit protocols mpls]
diffserv-te {
bandwidth-model extended-mam;
}
auto-policing {
class ct1 loss-priority-low;
class ct0 loss-priority-high;
class ct2 drop;
class ct3 loss-priority-low;
}
traffic-engineering bgp-igp;
label-switched-path sample-lsp {
to 3.3.3.3;
bandwidth {
ct0 11;
ct1 1;
ct2 1;
ct3 1;
}
}
interface fxp0.0 {
disable;
}
interface t1-0/5/3.0;
interface t1-0/5/4.0;
Escribir diferentes valores DSCP y EXP en paquetes IP etiquetados con MPLS
Puede establecer selectivamente el campo de punto de código DiffServ (DSCP) de los paquetes IPv4 e IPv6 etiquetados con MPLS en 0 sin afectar a la asignación de la cola de salida y seguir estableciendo el campo EXP de MPLS según la tabla de reescritura configurada, que se basa en clases de reenvío. Para ello, configure un filtro de firewall para los paquetes etiquetados con MPLS.
Descripción general de los filtros de firewall MPLS en la interfaz de circuito cerrado
Aunque todas las interfaces son importantes, la interfaz de circuito cerrado puede ser la más importante porque es el vínculo al motor de enrutamiento, que ejecuta y administra todos los protocolos de enrutamiento. La interfaz de circuito cerrado es una puerta de enlace para todo el tráfico de control que entra en el motor de enrutamiento del conmutador. Puede controlar este tráfico configurando un filtro de firewall en la interfaz de circuito cerrado (lo0) en .family mpls Los filtros de firewall de circuito cerrado solo afectan al tráfico destinado a la CPU del motor de enrutamiento. Puede aplicar un filtro de firewall de circuito cerrado solo en la dirección de entrada (paquetes que entran en la interfaz). A partir de Junos OS versión 19.2R1, puede aplicar un filtro de firewall MPLS a una interfaz de circuito cerrado en un enrutador de conmutador de etiquetas (LSR) en conmutadores QFX5100, QFX5110, QFX5200 y QFX5210.
Cuando se configura un filtro de firewall MPLS, se definen criterios de filtrado (términos, con condiciones de coincidencia) para los paquetes y una acción que el conmutador debe realizar si los paquetes coinciden con los criterios de filtrado. Dado que se aplica el filtro a una interfaz de circuito cerrado, debe especificar explícitamente la condición de coincidencia del tiempo de vida (TTL) y establecer su valor TTL en 1 ().family mplsttl=1 El TTL es un campo de encabezado de 8 bits (IPv4) que indica el tiempo restante que le queda a un paquete IP antes de que termine su vida útil y se caiga. También puede hacer coincidir paquetes con otros calificadores MPLS como , , Capa 4 y Capa 4 .labelexpsource portdestination port
- Ventajas de agregar filtros de firewall MPLS en la interfaz de circuito cerrado
- Directrices y limitaciones
Ventajas de agregar filtros de firewall MPLS en la interfaz de circuito cerrado
Protege el motor de enrutamiento asegurándose de que solo acepta tráfico de redes de confianza.
Ayuda a proteger el motor de enrutamiento de ataques de denegación de servicio.
Le ofrece la flexibilidad de hacer coincidir los paquetes en el puerto de origen y el puerto de destino. Por ejemplo, si ejecuta un traceroute, puede filtrar selectivamente el tráfico eligiendo TCP o UDP.
Directrices y limitaciones
Puede aplicar un filtro de firewall de circuito cerrado solo en la dirección de entrada
Solo se admiten los campos MPLS , y los campos y números de puerto de capa 4.
labelexpttl=1tcpudpSolo se admiten , y acciones.
acceptdiscardcountDebe especificar explícitamente que el bajo coincida en los paquetes TLL.
ttl=1family mplsLos filtros aplicados en la interfaz de circuito cerrado no pueden coincidir en el puerto de destino (carga interna) de un paquete IPv6.
No puede aplicar un filtro en paquetes que tengan más de dos etiquetas MPLS.
No puede especificar un intervalo de puertos para condiciones de coincidencia TCP o UDP.
Solo se admiten 255 términos de firewall.
Configuración de políticas y filtros de firewall MPLS en conmutadores
Puede configurar filtros de firewall para filtrar el tráfico MPLS. Para usar un filtro de firewall MPLS, primero debe configurar el filtro y, a continuación, aplicarlo a una interfaz que haya configurado para reenviar tráfico MPLS. También puede configurar un aplicador de políticas para que el filtro MPLS vigile (es decir, el límite de velocidad) el tráfico en la interfaz a la que está conectado el filtro.
Cuando se configura un filtro de firewall MPLS, se definen los criterios de filtrado (términos, con condiciones de coincidencia) y una acción que debe realizar el conmutador si los paquetes coinciden con los criterios de filtrado.
Solo puede configurar filtros MPLS en la dirección de entrada. No se admiten los filtros de firewall MPLS de salida.
- Configuración de un filtro de firewall MPLS
- Aplicación de un filtro de firewall MPLS a una interfaz MPLS
- Aplicación de un filtro de firewall MPLS a una interfaz de circuito cerrado
- Configuración de políticas para LSP
Configuración de un filtro de firewall MPLS
Para configurar un filtro de firewall MPLS:
Aplicación de un filtro de firewall MPLS a una interfaz MPLS
Para aplicar el filtro de firewall MPLS a una interfaz que haya configurado para reenviar tráfico MPLS (mediante la instrucción en el nivel de jerarquía):family mpls[edit interfaces interface-name unit unit-number]
Solo puede aplicar filtros de firewall para filtrar paquetes MPLS que entren en una interfaz.
Aplicación de un filtro de firewall MPLS a una interfaz de circuito cerrado
Para aplicar un filtro de firewall MPLS a una interfaz de circuito cerrado (lo0):
A continuación se muestra un ejemplo de configuración.
set groups lo_mpls_filter interfaces lo0 unit 0 family mpls filter input mpls_loset groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term from ttl 1set groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term from ip-version ipv4 protocol udp source-port 10set groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term from ip-version ipv4 protocol udp destination-port 11set groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term then count c1set groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term then accept
Configuración de políticas para LSP
A partir de Junos OS 13.2X51-D15, puede enviar tráfico emparejado con un filtro MPLS a un aplicador de dos o tres colores. La vigilancia de MPLS LSP le permite controlar la cantidad de tráfico reenviado a través de un LSP en particular. La vigilancia ayuda a garantizar que la cantidad de tráfico reenviado a través de un LSP nunca supere la asignación de ancho de banda solicitada. La vigilancia de LSP es compatible con LSP regulares, LSP configurados con ingeniería de tráfico compatible con DiffServ y LSP multiclase. Puede configurar varios aplicadores de políticas para cada LSP multiclase. Para los LSP regulares, cada aplicador de LSP se aplica a todo el tráfico que atraviesa el LSP. Las limitaciones de ancho de banda del controlador se hacen efectivas tan pronto como la suma total de tráfico que atraviesa el LSP supera el límite configurado.
Puede configurar los aplicadores LSP multiclase y LSP de ingeniería de tráfico compatible con DiffServ en un filtro. El filtro se puede configurar para distinguir entre los diferentes tipos de clase y aplicar el aplicador de políticas correspondiente a cada tipo de clase. Los aplicadores de políticas distinguen entre tipos de clase basados en los bits EXP.
Los aplicadores de LSP se configuran en el filtro.family any El filtro se utiliza porque el aplicador de políticas se aplica al tráfico que entra en el LSP.family any Este tráfico puede provenir de diferentes familias: IPv6, MPLS, etc. No es necesario saber qué tipo de tráfico está entrando en el LSP, siempre y cuando las condiciones de coincidencia se apliquen a todos los tipos de tráfico.
Al configurar políticas de LSP de MPLS, tenga en cuenta las siguientes limitaciones:
Los aplicadores de políticas de LSP solo son compatibles con los LSP de paquetes.
Los aplicadores de LSP solo son compatibles con los próximos saltos de unidifusión. No se admiten los próximos saltos de multidifusión.
El aplicador de control de LSP se ejecuta antes que cualquier filtro de salida.
El tráfico procedente del motor de enrutamiento (por ejemplo, el tráfico de ping) no toma la misma ruta de reenvío que el tráfico de tránsito. Este tipo de tráfico no puede ser vigilado.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.