Filtros de firewall para MPLS
Configuración de filtros y policías de firewall MPLS en enrutadores
Puede configurar un filtro de firewall MPLS para contar paquetes según los bits EXP para la etiqueta MPLS de nivel superior en un paquete. También puede configurar policias para LSP MPLS.
En las siguientes secciones se analizan los filtros y políticas de firewall MPLS:
- Configuración de filtros de firewall MPLS
- Ejemplos: Configuración de filtros de firewall MPLS
- Configuración de policias para LSP
- Ejemplo: Configuración de un LSP Policer
- Configuración de policías automáticas
- Escribir diferentes valores de DSCP y EXP en paquetes IP etiquetados por MPLS
Configuración de filtros de firewall MPLS
Puede configurar un filtro de firewall MPLS para contar paquetes según los bits EXP para la etiqueta MPLS de nivel superior en un paquete. A continuación, puede aplicar este filtro a una interfaz específica. También puede configurar un agente de policía para el filtro MPLS para que ordene (es decir, límite de velocidad) el tráfico de la interfaz a la que se adjunta el filtro. No puede aplicar filtros de firewall MPLS a interfaces Ethernet (fxp0) o de circuito cerrado (lo0).
Puede configurar los siguientes atributos de criterio de coincidencia para filtros MPLS en el [edit firewall family mpls filter filter-name term term-name from]
nivel jerárquico:
exp
exp-except
Estos atributos pueden aceptar bits EXP en el intervalo del 0 al 7. Puede configurar las siguientes opciones:
Un solo bit EXP, por ejemplo,
exp 3;
Varios bits EXP; por ejemplo,
exp 0, 4;
Un rango de bits EXP; por ejemplo,
exp [0-5];
Si no especifica un criterio de coincidencia (es decir, no configura la instrucción y usa solo la from
instrucción con la then
count
palabra clave acción), se contarán todos los paquetes MPLS que pasan por la interfaz en la que se aplica el filtro.
También puede configurar cualquiera de las siguientes palabras clave de acción en el [edit firewall family mpls filter filter-name term term-name then]
nivel jerárquico:
count
accept
discard
next
policer
Para obtener más información acerca de cómo configurar filtros de firewall, consulte la Guía del usuario sobre políticas de enrutamiento, filtros de firewall y policías de tráfico. Para obtener más información acerca de cómo configurar interfaces, consulte la biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento y la biblioteca de interfaces de servicios de Junos OS para dispositivos de enrutamiento.
Ejemplos: Configuración de filtros de firewall MPLS
Los siguientes ejemplos ilustran cómo puede configurar un filtro de firewall MPLS y, luego, aplicarlo a una interfaz. Este filtro está configurado para contar paquetes MPLS con bits EXP establecidos en 0 o 4.
A continuación se muestra una configuración para un filtro de firewall MPLS:
[edit firewall] family mpls { filter expf { term expt0 { from { exp 0,4; } then { count counter0; accept; } } } }
A continuación, se muestra cómo aplicar el filtro de firewall MPLS a una interfaz:
[edit interfaces] so-0/0/0 { mtu 4474; encapsulation ppp; sonet-options { fcs 32; } unit 0 { point-to-point; family mpls { filter { input expf; output expf; } } } }
El filtro de firewall MPLS se aplica a la entrada y salida de una interfaz (consulte las input
instrucciones y output
en el ejemplo anterior).
Configuración de policias para LSP
La política de LSP de MPLS le permite controlar la cantidad de tráfico reenviado a través de un LSP en particular. El control de políticas ayuda a garantizar que la cantidad de tráfico reenviado a través de un LSP nunca supere la asignación de ancho de banda solicitada. La política de LSP se admite en LSP regulares, LSP configurados con ingeniería de tráfico compatible con DiffServ y LSP multiclase. Puede configurar varios agentes de políticas para cada LSP multiclase. En el caso de los LSP regulares, cada agente de policía de LSP se aplica a todo el tráfico que atraviesa los LSP. Las limitaciones de ancho de banda del agente de policía se hacen efectivas tan pronto como la suma total del tráfico que atraviesa el LSP supera el límite configurado.
El enrutador PTX10003 solo admite LSP regulares.
Puede configurar los policias LSP de ingeniería de tráfico con conciencia de DiffServ y LSP multiclase en un filtro. El filtro se puede configurar para distinguir entre los diferentes tipos de clase y aplicar el agente de policía correspondiente a cada tipo de clase. Los policiadores distinguen entre tipos de clase basados en los bits EXP.
Puede configurar los policias LSP bajo el family any
filtro. El family any
filtro se utiliza porque el agente de policía se aplica al tráfico que entra en el LSP. Este tráfico puede ser de diferentes familias: IPv6, MPLS, entre otros. No necesita saber qué tipo de tráfico entra en el LSP, siempre y cuando las condiciones de coincidencia se apliquen a todos los tipos de tráfico.
Solo puede configurar aquellas condiciones de coincidencia que se apliquen a todos los tipos de tráfico. Las siguientes son las condiciones de coincidencia compatibles para los policiadores de LSP:
forwarding-class
packet-length
interface
interface-set
Para habilitar un agente de políticas en un LSP, primero debe configurar un filtro de control y, luego, incluirlo en la configuración de LSP. Para obtener más información acerca de cómo configurar los polizas, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y agentes de policía de tráfico.
Para configurar un agente de policía para un LSP, especifique un filtro incluyendo la filter
opción de la policing
instrucción:
policing { filter filter-name; }
Puede incluir la policing
instrucción en los siguientes niveles de jerarquía:
[edit protocols mpls label-switched-path lsp-name]
[edit protocols mpls static-label-switched-path lsp-name]
[edit logical-systems logical-system-name protocols mpls label-switched-path lsp-name]
[edit logical-systems logical-system-name protocols mpls static-label-switched-path lsp-name]
Limitaciones de LSP Policer
Al configurar los policias LSP de MPLS, tenga en cuenta las siguientes limitaciones:
-
Los policiares LSP solo se admiten para los LSP de paquetes.
-
Los policiares LSP solo se admiten para los próximos saltos de unidifusión. No se admiten los próximos saltos de multidifusión.
-
Los policias LSP no se admiten en interfaces agregadas.
-
El policiador LSP se ejecuta antes de cualquier filtro de salida.
-
El tráfico procedente del motor de enrutamiento (por ejemplo, tráfico de ping) no toma la misma ruta de reenvío que el tráfico de tránsito. No se puede policiar este tipo de tráfico.
-
Los policiadores LSP funcionan en todos los enrutadores serie T y en enrutadores serie M que tienen el circuito integrado específico para aplicaciones (ASIC) del procesador de Internet II.
- Los policiares LSP no se admiten para los LSP de punto a multipunto.
A partir de Junos OS versión 12.2R2, solo en enrutadores serie T, puede configurar un agente de policía LSP para que un LSP específico se comparta entre diferentes tipos de familia de protocolos. Para ello, debe configurar la instrucción logical-interface-policer en el [edit firewall policer policer-name]
nivel jerárquico.
Ejemplo: Configuración de un LSP Policer
En el siguiente ejemplo, se muestra cómo puede configurar un filtro de vigilancia para un LSP:
[edit firewall] policer police-ct1 { if-exceeding { bandwidth-limit 50m; burst-size-limit 1500; } then { discard; } } policer police-ct0 { if-exceeding { bandwidth-limit 200m; burst-size-limit 1500; } then { discard; } } family any { filter bar { term discard-ct0 { then { policer police-ct0; accept; } } } term discard-ct1 { then { policer police-ct1; accept; } } }
Configuración de policías automáticas
La vigilancia automática de los LSP le permite proporcionar garantías de servicio estrictas para el tráfico de red. Estas garantías son especialmente útiles en el contexto de los servicios diferenciados para los LSP diseñados para tráfico, lo que proporciona una mejor emulación para los cables ATM a través de una red MPLS. Para obtener más información acerca de los servicios diferenciados para LSP, consulte Introducción de ingeniería de tráfico diffServ-Aware.
Los servicios diferenciados para LSP diseñados para tráfico le permiten proporcionar un tratamiento diferencial al tráfico de MPLS basado en los bits EXP. Para garantizar estas garantías de tráfico, no es suficiente simplemente marcar el tráfico de manera adecuada. Si el tráfico sigue una ruta congestionada, es posible que no se cumplan los requisitos.
Se garantiza que los LSP se establecerán a lo largo de rutas en las que hay suficientes recursos disponibles para cumplir con los requisitos. Sin embargo, incluso si los LSP se establecen a lo largo de dichas rutas y están marcados correctamente, estos requisitos no se pueden garantizar a menos que se asegure de que no se envía más tráfico a un LSP que el ancho de banda disponible.
Es posible controlar el tráfico de LSP configurando manualmente un filtro adecuado y aplicándole al LSP en la configuración. Sin embargo, para implementaciones grandes es engorroso configurar miles de filtros diferentes. Los grupos de configuración tampoco pueden resolver este problema, ya que los LSP diferentes pueden tener requisitos de ancho de banda diferentes, lo que requiere filtros diferentes. Para dirigir el tráfico de numerosos LSP, lo mejor es configurar los policiacos automáticos.
Cuando configura policiares automáticos para LSP, se aplica un agente de políticas a todos los LSP configurados en el enrutador. Sin embargo, puede deshabilitar la vigilancia automática en LSP específicos.
Cuando se configuran los policiadores automáticos para LSP de ingeniería de tráfico compatible con DiffServ, no se admite GRES.
No puede configurar la política automática para los LSP que transportan tráfico CCC.
Las siguientes secciones describen cómo configurar los policiadores automáticos para LSP:
- Configuración de policiadores automáticos para LSP
- Configuración de policiadores automáticos para LSP de ingeniería de tráfico DiffServ-Aware
- Configuración de policiadores automáticos para LSP de punto a multipunto
- Deshabilitar la política automática en un LSP
- Ejemplo: Configuración de políticas automáticas para un LSP
Configuración de policiadores automáticos para LSP
Para configurar los policiadores automáticos para los LSP estándar (ni LSP diseñados por DiffServ-aware de tráfico ni LSP multiclase), incluya la auto-policing
instrucción con la class all policer-action
opción o con la class ct0 policer-action
opción:
auto-policing { class all policer-action; class ct0 policer-action; }
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols mpls]
[edit logical-systems logical-system-name protocols mpls]
Puede configurar las siguientes acciones de policia para los agentes de políticas automáticos:
drop
: suelte todos los paquetes.loss-priority-high
— Establezca la prioridad de pérdida de paquetes (PLP) en alto.loss-priority-low
— Establezca el PLP en bajo.
Estas acciones de policía son aplicables a todo tipo de LSP. La acción predeterminada del agente de policía es no hacer nada.
Los policiadores automáticos para LSP vigilan el tráfico según la cantidad de ancho de banda configurado para los LSP. Configure el ancho de banda para un LSP mediante la bandwidth
instrucción en el [edit protocols mpls label-switched-path lsp-path-name]
nivel jerárquico. Si ha habilitado los policías automáticos en un enrutador, cambie el ancho de banda configurado para un LSP y confirme la configuración revisada, el cambio no afecta a los LSP activos. Para forzar a los LSP a usar la nueva asignación de ancho de banda, emita un clear mpls lsp
comando.
No puede configurar policías automáticos para LSP que atraviesan interfaces agregadas o interfaces de protocolo de punto a punto multilink (MLPPP).
Configuración de policiadores automáticos para LSP de ingeniería de tráfico DiffServ-Aware
Para configurar los policiadores automáticos para los LSP de ingeniería de tráfico con tecnología DiffServ y para los LSP multiclase, incluya la auto-policing
instrucción:
auto-policing { class all policer-action; class ctnumber policer-action; }
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols mpls]
[edit logical-systems logical-system-name protocols mpls]
Puede incluir la class all policer-action
instrucción o una class ctnumber policer-action
instrucción para cada una de una o más clases (puede configurar una acción de policía diferente para cada clase). Para obtener una lista de las acciones que puede sustituir por la policer-action
variable, consulte Configuración de policiadores automáticos para LSP. La acción predeterminada del agente de policía es no hacer nada.
No puede configurar políticas automáticas para LSP que atraviesan interfaces agregadas o interfaces MLPPP.
Configuración de policiadores automáticos para LSP de punto a multipunto
Puede configurar los policiadores automáticos para LSP de punto a multipunto incluyendo la auto-policing
instrucción con la class all policer-action
opción o con la class ct0 policer-action
opción. Solo necesita configurar la auto-policing
instrucción en el LSP de punto a multipunto principal (para obtener más información sobre LSP principales de punto a multipunto, consulte Configuración del LSP de punto a multipunto principal). No se requiere ninguna configuración adicional en los subLSP para el LSP de punto a multipunto. La vigilancia automática de punto a multipunto se aplica a todas las sucursales del LSP de punto a multipunto. Además, la política automática se aplica a cualquier interfaces VRF locales que tengan la misma entrada de reenvío que una sucursal de punto a multipunto. La paridad de funciones para los policías automáticos para LSP punto a multipunto MPLS en el chipset de Junos Trio es compatible con las versiones 11.1R2, 11.2R2 y 11.4 de Junos OS.
La configuración de policiar automático para LSP punto a multipunto es idéntica a la configuración de policiador automático para LSP estándar. Para obtener más información, consulte Configuración de policiadores automáticos para LSP.
Deshabilitar la política automática en un LSP
Cuando habilita la política automática, todos los LSP del enrutador o el sistema lógico se ven afectados. Para deshabilitar la vigilancia automática en un LSP específico en un enrutador en el que haya habilitado la vigilancia automática, incluya la policing
instrucción con la no-auto-policing
opción:
policing no-auto-policing;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols mpls label-switched-path lsp-name]
[edit logical-systems logical-system-name protocols mpls label-switched-path lsp-name]
Ejemplo: Configuración de políticas automáticas para un LSP
Configure la política automática para un LSP multiclase, especificando diferentes acciones para tipos ct1
ct0
de clase, , ct2
y ct3
.
[edit protocols mpls] diffserv-te { bandwidth-model extended-mam; } auto-policing { class ct1 loss-priority-low; class ct0 loss-priority-high; class ct2 drop; class ct3 loss-priority-low; } traffic-engineering bgp-igp; label-switched-path sample-lsp { to 3.3.3.3; bandwidth { ct0 11; ct1 1; ct2 1; ct3 1; } } interface fxp0.0 { disable; } interface t1-0/5/3.0; interface t1-0/5/4.0;
Escribir diferentes valores de DSCP y EXP en paquetes IP etiquetados por MPLS
Puede establecer selectivamente el campo del punto de código DiffServ (DSCP) de los paquetes IPv4 e IPv6 etiquetados por MPLS en 0 sin afectar la asignación de cola de salida, y seguir configurando el campo EXP de MPLS de acuerdo con la tabla de reescritura configurada, que se basa en las clases de reenvío. Puede lograr esto configurando un filtro de firewall para los paquetes etiquetados con MPLS.
Descripción general de los filtros de firewall MPLS en la interfaz de circuito cerrado
Aunque todas las interfaces son importantes, la interfaz de circuito cerrado puede ser la más importante, ya que es el vínculo al motor de enrutamiento, que ejecuta y administra todos los protocolos de enrutamiento. La interfaz de circuito cerrado es una puerta de enlace para todo el tráfico de control que entra en el motor de enrutamiento del conmutador. Puede controlar este tráfico configurando un filtro de firewall en la interfaz de circuito cerrado (lo0) en family mpls
. Los filtros de firewall de circuito cerrado afectan solo al tráfico destinado a la CPU del motor de enrutamiento. Puede aplicar un filtro de firewall de circuito cerrado solo en la dirección de entrada (paquetes que ingresan en la interfaz). A partir de Junos OS versión 19.2R1, puede aplicar un filtro de firewall MPLS a una interfaz de circuito cerrado en un enrutador de conmutación de etiquetas (LSR) en conmutadores QFX5100, QFX5110, QFX5200 y QFX5210.
Al configurar un filtro de firewall MPLS, se definen criterios de filtrado (términos, con condiciones de coincidencia) para los paquetes y una acción que debe realizar el conmutador si los paquetes coinciden con los criterios de filtrado. Dado que aplica el filtro a una interfaz de circuito cerrado, debe especificar explícitamente la condición de coincidencia de tiempo de vida (TTL) en family mpls
y establecer su valor TTL en 1 (ttl=1
). El TTL es un campo de encabezado de 8 bits (IPv4) que significa el tiempo que queda un paquete IP antes de que finalice su vida útil y se caiga. También puede hacer coincidir paquetes con otros calificadores MPLS como label
, exp
, , capa 4 source port
y capa 4 destination port
.
- Beneficios de agregar filtros de firewall MPLS en la interfaz de circuito cerrado
- Pautas y limitaciones
Beneficios de agregar filtros de firewall MPLS en la interfaz de circuito cerrado
Protege el motor de enrutamiento al asegurarse de que acepta tráfico solo de redes de confianza.
Ayuda a proteger el motor de enrutamiento de ataques de denegación de servicio.
Le da la flexibilidad para hacer coincidir paquetes en el puerto de origen y el puerto de destino. Por ejemplo, si ejecuta una ruta de seguimiento, puede filtrar selectivamente el tráfico eligiendo TCP o UDP.
Pautas y limitaciones
Puede aplicar un filtro de firewall de circuito cerrado solo en la dirección de entrada
Solo se admiten los campos
label
exp
MPLS,ttl=1
los campostcp
de capa 4 yudp
los números de puerto.Solo
accept
sediscard
admiten , ycount
las acciones.Debe especificar
ttl=1
explícitamente enfamily mpls
para coincidir en paquetes TLL.Los filtros aplicados en la interfaz de circuito cerrado no se pueden hacer coincidir en el puerto de destino (carga interna) de un paquete IPv6.
No puede aplicar un filtro en paquetes que tengan más de dos etiquetas MPLS.
No puede especificar un rango de puertos para condiciones de coincidencia TCP o UDP.
Solo se admiten 255 términos de firewall.
Configuración de filtros y policías de firewall MPLS en conmutadores
Puede configurar filtros de firewall para filtrar el tráfico MPLS. Para usar un filtro de firewall MPLS, primero debe configurar el filtro y, luego, aplicarlo a una interfaz que haya configurado para el reenvío de tráfico MPLS. También puede configurar un agente de policía para el filtro MPLS para que ordene (es decir, límite de velocidad) el tráfico de la interfaz a la que se adjunta el filtro.
Al configurar un filtro de firewall MPLS, se definen los criterios de filtrado (términos, con condiciones de coincidencia) y una acción que debe realizar el conmutador si los paquetes coinciden con los criterios de filtrado.
Solo puede configurar filtros MPLS en la dirección de entrada. No se admiten filtros de firewall MPLS de salida.
- Configuración de un filtro de firewall MPLS
- Aplicación de un filtro de firewall MPLS a una interfaz MPLS
- Aplicación de un filtro de firewall MPLS a una interfaz de circuito cerrado
- Configuración de policias para LSP
Configuración de un filtro de firewall MPLS
Para configurar un filtro de firewall MPLS:
Aplicación de un filtro de firewall MPLS a una interfaz MPLS
Para aplicar el filtro de firewall MPLS a una interfaz que haya configurado para el reenvío de tráfico MPLS (mediante la family mpls
instrucción en el [edit interfaces interface-name unit unit-number]
nivel de jerarquía):
Solo puede aplicar filtros de firewall para filtrar paquetes MPLS que ingresan a una interfaz.
Aplicación de un filtro de firewall MPLS a una interfaz de circuito cerrado
Para aplicar un filtro de firewall MPLS a una interfaz de circuito cerrado (lo0):
A continuación, se muestra un ejemplo de configuración.
set groups lo_mpls_filter interfaces lo0 unit 0 family mpls filter input mpls_lo
set groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term from ttl 1
set groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term from ip-version ipv4 protocol udp source-port 10
set groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term from ip-version ipv4 protocol udp destination-port 11
set groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term then count c1
set groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term then accept
Configuración de policias para LSP
A partir de Junos OS 13.2X51-D15, puede enviar tráfico emparejado por un filtro MPLS a un agente de policía de dos colores o a un agente de policía de tres colores. La política de LSP de MPLS le permite controlar la cantidad de tráfico reenviado a través de un LSP en particular. El control de políticas ayuda a garantizar que la cantidad de tráfico reenviado a través de un LSP nunca supere la asignación de ancho de banda solicitada. La política de LSP se admite en LSP regulares, LSP configurados con ingeniería de tráfico compatible con DiffServ y LSP multiclase. Puede configurar varios agentes de políticas para cada LSP multiclase. En el caso de los LSP regulares, cada agente de policía de LSP se aplica a todo el tráfico que atraviesa los LSP. Las limitaciones de ancho de banda del agente de policía se hacen efectivas tan pronto como la suma total del tráfico que atraviesa el LSP supera el límite configurado.
Puede configurar los policias LSP de ingeniería de tráfico con conciencia de DiffServ y LSP multiclase en un filtro. El filtro se puede configurar para distinguir entre los diferentes tipos de clase y aplicar el agente de policía correspondiente a cada tipo de clase. Los policiadores distinguen entre tipos de clase basados en los bits EXP.
Puede configurar los policias LSP bajo el family any
filtro. El family any
filtro se utiliza porque el agente de policía se aplica al tráfico que entra en el LSP. Este tráfico puede ser de diferentes familias: IPv6, MPLS, entre otros. No necesita saber qué tipo de tráfico entra en el LSP, siempre y cuando las condiciones de coincidencia se apliquen a todos los tipos de tráfico.
Al configurar los policias LSP de MPLS, tenga en cuenta las siguientes limitaciones:
Los policiares LSP solo se admiten para los LSP de paquetes.
Los policiares LSP solo se admiten para los próximos saltos de unidifusión. No se admiten los próximos saltos de multidifusión.
El policiador LSP se ejecuta antes de cualquier filtro de salida.
El tráfico procedente del motor de enrutamiento (por ejemplo, tráfico de ping) no toma la misma ruta de reenvío que el tráfico de tránsito. No se puede policiar este tipo de tráfico.