Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filtros de firewall para MPLS

Configuración de filtros y policías de firewall MPLS en enrutadores

Puede configurar un filtro de firewall MPLS para contar paquetes según los bits EXP para la etiqueta MPLS de nivel superior en un paquete. También puede configurar policias para LSP MPLS.

En las siguientes secciones se analizan los filtros y políticas de firewall MPLS:

Configuración de filtros de firewall MPLS

Puede configurar un filtro de firewall MPLS para contar paquetes según los bits EXP para la etiqueta MPLS de nivel superior en un paquete. A continuación, puede aplicar este filtro a una interfaz específica. También puede configurar un agente de policía para el filtro MPLS para que ordene (es decir, límite de velocidad) el tráfico de la interfaz a la que se adjunta el filtro. No puede aplicar filtros de firewall MPLS a interfaces Ethernet (fxp0) o de circuito cerrado (lo0).

Puede configurar los siguientes atributos de criterio de coincidencia para filtros MPLS en el [edit firewall family mpls filter filter-name term term-name from] nivel jerárquico:

  • exp

  • exp-except

Estos atributos pueden aceptar bits EXP en el intervalo del 0 al 7. Puede configurar las siguientes opciones:

  • Un solo bit EXP, por ejemplo, exp 3;

  • Varios bits EXP; por ejemplo, exp 0, 4;

  • Un rango de bits EXP; por ejemplo, exp [0-5];

Si no especifica un criterio de coincidencia (es decir, no configura la instrucción y usa solo la from instrucción con la thencount palabra clave acción), se contarán todos los paquetes MPLS que pasan por la interfaz en la que se aplica el filtro.

También puede configurar cualquiera de las siguientes palabras clave de acción en el [edit firewall family mpls filter filter-name term term-name then] nivel jerárquico:

  • count

  • accept

  • discard

  • next

  • policer

Para obtener más información acerca de cómo configurar filtros de firewall, consulte la Guía del usuario sobre políticas de enrutamiento, filtros de firewall y policías de tráfico. Para obtener más información acerca de cómo configurar interfaces, consulte la biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento y la biblioteca de interfaces de servicios de Junos OS para dispositivos de enrutamiento.

Ejemplos: Configuración de filtros de firewall MPLS

Los siguientes ejemplos ilustran cómo puede configurar un filtro de firewall MPLS y, luego, aplicarlo a una interfaz. Este filtro está configurado para contar paquetes MPLS con bits EXP establecidos en 0 o 4.

A continuación se muestra una configuración para un filtro de firewall MPLS:

A continuación, se muestra cómo aplicar el filtro de firewall MPLS a una interfaz:

El filtro de firewall MPLS se aplica a la entrada y salida de una interfaz (consulte las input instrucciones y output en el ejemplo anterior).

Configuración de policias para LSP

La política de LSP de MPLS le permite controlar la cantidad de tráfico reenviado a través de un LSP en particular. El control de políticas ayuda a garantizar que la cantidad de tráfico reenviado a través de un LSP nunca supere la asignación de ancho de banda solicitada. La política de LSP se admite en LSP regulares, LSP configurados con ingeniería de tráfico compatible con DiffServ y LSP multiclase. Puede configurar varios agentes de políticas para cada LSP multiclase. En el caso de los LSP regulares, cada agente de policía de LSP se aplica a todo el tráfico que atraviesa los LSP. Las limitaciones de ancho de banda del agente de policía se hacen efectivas tan pronto como la suma total del tráfico que atraviesa el LSP supera el límite configurado.

Nota:

El enrutador PTX10003 solo admite LSP regulares.

Puede configurar los policias LSP de ingeniería de tráfico con conciencia de DiffServ y LSP multiclase en un filtro. El filtro se puede configurar para distinguir entre los diferentes tipos de clase y aplicar el agente de policía correspondiente a cada tipo de clase. Los policiadores distinguen entre tipos de clase basados en los bits EXP.

Puede configurar los policias LSP bajo el family any filtro. El family any filtro se utiliza porque el agente de policía se aplica al tráfico que entra en el LSP. Este tráfico puede ser de diferentes familias: IPv6, MPLS, entre otros. No necesita saber qué tipo de tráfico entra en el LSP, siempre y cuando las condiciones de coincidencia se apliquen a todos los tipos de tráfico.

Solo puede configurar aquellas condiciones de coincidencia que se apliquen a todos los tipos de tráfico. Las siguientes son las condiciones de coincidencia compatibles para los policiadores de LSP:

  • forwarding-class

  • packet-length

  • interface

  • interface-set

Para habilitar un agente de políticas en un LSP, primero debe configurar un filtro de control y, luego, incluirlo en la configuración de LSP. Para obtener más información acerca de cómo configurar los polizas, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y agentes de policía de tráfico.

Para configurar un agente de policía para un LSP, especifique un filtro incluyendo la filter opción de la policing instrucción:

Puede incluir la policing instrucción en los siguientes niveles de jerarquía:

Limitaciones de LSP Policer

Al configurar los policias LSP de MPLS, tenga en cuenta las siguientes limitaciones:

  • Los policiares LSP solo se admiten para los LSP de paquetes.

  • Los policiares LSP solo se admiten para los próximos saltos de unidifusión. No se admiten los próximos saltos de multidifusión.

  • Los policias LSP no se admiten en interfaces agregadas.

  • El policiador LSP se ejecuta antes de cualquier filtro de salida.

  • El tráfico procedente del motor de enrutamiento (por ejemplo, tráfico de ping) no toma la misma ruta de reenvío que el tráfico de tránsito. No se puede policiar este tipo de tráfico.

  • Los policiadores LSP funcionan en todos los enrutadores serie T y en enrutadores serie M que tienen el circuito integrado específico para aplicaciones (ASIC) del procesador de Internet II.

  • Los policiares LSP no se admiten para los LSP de punto a multipunto.
Nota:

A partir de Junos OS versión 12.2R2, solo en enrutadores serie T, puede configurar un agente de policía LSP para que un LSP específico se comparta entre diferentes tipos de familia de protocolos. Para ello, debe configurar la instrucción logical-interface-policer en el [edit firewall policer policer-name] nivel jerárquico.

Ejemplo: Configuración de un LSP Policer

En el siguiente ejemplo, se muestra cómo puede configurar un filtro de vigilancia para un LSP:

Configuración de policías automáticas

La vigilancia automática de los LSP le permite proporcionar garantías de servicio estrictas para el tráfico de red. Estas garantías son especialmente útiles en el contexto de los servicios diferenciados para los LSP diseñados para tráfico, lo que proporciona una mejor emulación para los cables ATM a través de una red MPLS. Para obtener más información acerca de los servicios diferenciados para LSP, consulte Introducción de ingeniería de tráfico diffServ-Aware.

Los servicios diferenciados para LSP diseñados para tráfico le permiten proporcionar un tratamiento diferencial al tráfico de MPLS basado en los bits EXP. Para garantizar estas garantías de tráfico, no es suficiente simplemente marcar el tráfico de manera adecuada. Si el tráfico sigue una ruta congestionada, es posible que no se cumplan los requisitos.

Se garantiza que los LSP se establecerán a lo largo de rutas en las que hay suficientes recursos disponibles para cumplir con los requisitos. Sin embargo, incluso si los LSP se establecen a lo largo de dichas rutas y están marcados correctamente, estos requisitos no se pueden garantizar a menos que se asegure de que no se envía más tráfico a un LSP que el ancho de banda disponible.

Es posible controlar el tráfico de LSP configurando manualmente un filtro adecuado y aplicándole al LSP en la configuración. Sin embargo, para implementaciones grandes es engorroso configurar miles de filtros diferentes. Los grupos de configuración tampoco pueden resolver este problema, ya que los LSP diferentes pueden tener requisitos de ancho de banda diferentes, lo que requiere filtros diferentes. Para dirigir el tráfico de numerosos LSP, lo mejor es configurar los policiacos automáticos.

Cuando configura policiares automáticos para LSP, se aplica un agente de políticas a todos los LSP configurados en el enrutador. Sin embargo, puede deshabilitar la vigilancia automática en LSP específicos.

Nota:

Cuando se configuran los policiadores automáticos para LSP de ingeniería de tráfico compatible con DiffServ, no se admite GRES.

Nota:

No puede configurar la política automática para los LSP que transportan tráfico CCC.

Las siguientes secciones describen cómo configurar los policiadores automáticos para LSP:

Configuración de policiadores automáticos para LSP

Para configurar los policiadores automáticos para los LSP estándar (ni LSP diseñados por DiffServ-aware de tráfico ni LSP multiclase), incluya la auto-policing instrucción con la class all policer-action opción o con la class ct0 policer-action opción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Puede configurar las siguientes acciones de policia para los agentes de políticas automáticos:

  • drop: suelte todos los paquetes.

  • loss-priority-high— Establezca la prioridad de pérdida de paquetes (PLP) en alto.

  • loss-priority-low— Establezca el PLP en bajo.

Estas acciones de policía son aplicables a todo tipo de LSP. La acción predeterminada del agente de policía es no hacer nada.

Los policiadores automáticos para LSP vigilan el tráfico según la cantidad de ancho de banda configurado para los LSP. Configure el ancho de banda para un LSP mediante la bandwidth instrucción en el [edit protocols mpls label-switched-path lsp-path-name] nivel jerárquico. Si ha habilitado los policías automáticos en un enrutador, cambie el ancho de banda configurado para un LSP y confirme la configuración revisada, el cambio no afecta a los LSP activos. Para forzar a los LSP a usar la nueva asignación de ancho de banda, emita un clear mpls lsp comando.

Nota:

No puede configurar policías automáticos para LSP que atraviesan interfaces agregadas o interfaces de protocolo de punto a punto multilink (MLPPP).

Configuración de policiadores automáticos para LSP de ingeniería de tráfico DiffServ-Aware

Para configurar los policiadores automáticos para los LSP de ingeniería de tráfico con tecnología DiffServ y para los LSP multiclase, incluya la auto-policing instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Puede incluir la class all policer-action instrucción o una class ctnumber policer-action instrucción para cada una de una o más clases (puede configurar una acción de policía diferente para cada clase). Para obtener una lista de las acciones que puede sustituir por la policer-action variable, consulte Configuración de policiadores automáticos para LSP. La acción predeterminada del agente de policía es no hacer nada.

Nota:

No puede configurar políticas automáticas para LSP que atraviesan interfaces agregadas o interfaces MLPPP.

Configuración de policiadores automáticos para LSP de punto a multipunto

Puede configurar los policiadores automáticos para LSP de punto a multipunto incluyendo la auto-policing instrucción con la class all policer-action opción o con la class ct0 policer-action opción. Solo necesita configurar la auto-policing instrucción en el LSP de punto a multipunto principal (para obtener más información sobre LSP principales de punto a multipunto, consulte Configuración del LSP de punto a multipunto principal). No se requiere ninguna configuración adicional en los subLSP para el LSP de punto a multipunto. La vigilancia automática de punto a multipunto se aplica a todas las sucursales del LSP de punto a multipunto. Además, la política automática se aplica a cualquier interfaces VRF locales que tengan la misma entrada de reenvío que una sucursal de punto a multipunto. La paridad de funciones para los policías automáticos para LSP punto a multipunto MPLS en el chipset de Junos Trio es compatible con las versiones 11.1R2, 11.2R2 y 11.4 de Junos OS.

La configuración de policiar automático para LSP punto a multipunto es idéntica a la configuración de policiador automático para LSP estándar. Para obtener más información, consulte Configuración de policiadores automáticos para LSP.

Deshabilitar la política automática en un LSP

Cuando habilita la política automática, todos los LSP del enrutador o el sistema lógico se ven afectados. Para deshabilitar la vigilancia automática en un LSP específico en un enrutador en el que haya habilitado la vigilancia automática, incluya la policing instrucción con la no-auto-policing opción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

Ejemplo: Configuración de políticas automáticas para un LSP

Configure la política automática para un LSP multiclase, especificando diferentes acciones para tipos ct1ct0de clase, , ct2y ct3.

Escribir diferentes valores de DSCP y EXP en paquetes IP etiquetados por MPLS

Puede establecer selectivamente el campo del punto de código DiffServ (DSCP) de los paquetes IPv4 e IPv6 etiquetados por MPLS en 0 sin afectar la asignación de cola de salida, y seguir configurando el campo EXP de MPLS de acuerdo con la tabla de reescritura configurada, que se basa en las clases de reenvío. Puede lograr esto configurando un filtro de firewall para los paquetes etiquetados con MPLS.

Descripción general de los filtros de firewall MPLS en la interfaz de circuito cerrado

Aunque todas las interfaces son importantes, la interfaz de circuito cerrado puede ser la más importante, ya que es el vínculo al motor de enrutamiento, que ejecuta y administra todos los protocolos de enrutamiento. La interfaz de circuito cerrado es una puerta de enlace para todo el tráfico de control que entra en el motor de enrutamiento del conmutador. Puede controlar este tráfico configurando un filtro de firewall en la interfaz de circuito cerrado (lo0) en family mpls. Los filtros de firewall de circuito cerrado afectan solo al tráfico destinado a la CPU del motor de enrutamiento. Puede aplicar un filtro de firewall de circuito cerrado solo en la dirección de entrada (paquetes que ingresan en la interfaz). A partir de Junos OS versión 19.2R1, puede aplicar un filtro de firewall MPLS a una interfaz de circuito cerrado en un enrutador de conmutación de etiquetas (LSR) en conmutadores QFX5100, QFX5110, QFX5200 y QFX5210.

Al configurar un filtro de firewall MPLS, se definen criterios de filtrado (términos, con condiciones de coincidencia) para los paquetes y una acción que debe realizar el conmutador si los paquetes coinciden con los criterios de filtrado. Dado que aplica el filtro a una interfaz de circuito cerrado, debe especificar explícitamente la condición de coincidencia de tiempo de vida (TTL) en family mpls y establecer su valor TTL en 1 (ttl=1). El TTL es un campo de encabezado de 8 bits (IPv4) que significa el tiempo que queda un paquete IP antes de que finalice su vida útil y se caiga. También puede hacer coincidir paquetes con otros calificadores MPLS como label, exp, , capa 4 source porty capa 4 destination port.

Beneficios de agregar filtros de firewall MPLS en la interfaz de circuito cerrado

  • Protege el motor de enrutamiento al asegurarse de que acepta tráfico solo de redes de confianza.

  • Ayuda a proteger el motor de enrutamiento de ataques de denegación de servicio.

  • Le da la flexibilidad para hacer coincidir paquetes en el puerto de origen y el puerto de destino. Por ejemplo, si ejecuta una ruta de seguimiento, puede filtrar selectivamente el tráfico eligiendo TCP o UDP.

Pautas y limitaciones

  • Puede aplicar un filtro de firewall de circuito cerrado solo en la dirección de entrada

  • Solo se admiten los campos labelexpMPLS, ttl=1 los campos tcp de capa 4 y udp los números de puerto.

  • Solo acceptse discardadmiten , y count las acciones.

  • Debe especificar ttl=1 explícitamente en family mpls para coincidir en paquetes TLL.

  • Los filtros aplicados en la interfaz de circuito cerrado no se pueden hacer coincidir en el puerto de destino (carga interna) de un paquete IPv6.

  • No puede aplicar un filtro en paquetes que tengan más de dos etiquetas MPLS.

  • No puede especificar un rango de puertos para condiciones de coincidencia TCP o UDP.

  • Solo se admiten 255 términos de firewall.

Configuración de filtros y policías de firewall MPLS en conmutadores

Puede configurar filtros de firewall para filtrar el tráfico MPLS. Para usar un filtro de firewall MPLS, primero debe configurar el filtro y, luego, aplicarlo a una interfaz que haya configurado para el reenvío de tráfico MPLS. También puede configurar un agente de policía para el filtro MPLS para que ordene (es decir, límite de velocidad) el tráfico de la interfaz a la que se adjunta el filtro.

Al configurar un filtro de firewall MPLS, se definen los criterios de filtrado (términos, con condiciones de coincidencia) y una acción que debe realizar el conmutador si los paquetes coinciden con los criterios de filtrado.

Nota:

Solo puede configurar filtros MPLS en la dirección de entrada. No se admiten filtros de firewall MPLS de salida.

Configuración de un filtro de firewall MPLS

Para configurar un filtro de firewall MPLS:

  1. Configure el nombre del filtro, el nombre de término y al menos una condición de coincidencia; por ejemplo, coincidencia en paquetes MPLS con bits EXP establecidos en 0 o 4:
  2. En cada término de filtro de firewall, especifique las acciones que se deben realizar si el paquete coincide con todas las condiciones de ese término; por ejemplo, cuente los paquetes MPLS con bits EXP establecidos en 0 o 4:
  3. Cuando haya terminado, siga los pasos a continuación para aplicar el filtro a una interfaz.

Aplicación de un filtro de firewall MPLS a una interfaz MPLS

Para aplicar el filtro de firewall MPLS a una interfaz que haya configurado para el reenvío de tráfico MPLS (mediante la family mpls instrucción en el [edit interfaces interface-name unit unit-number] nivel de jerarquía):

Nota:

Solo puede aplicar filtros de firewall para filtrar paquetes MPLS que ingresan a una interfaz.

  1. Aplique el filtro de firewall a una interfaz MPLS; por ejemplo, aplique el filtro de firewall a la interfaz xe-0/0/5:
  2. Revise su configuración y emita el commit comando:

Aplicación de un filtro de firewall MPLS a una interfaz de circuito cerrado

Para aplicar un filtro de firewall MPLS a una interfaz de circuito cerrado (lo0):

  1. En primer lugar, especifique el formato del paquete mediante el comando packet-format-match . Debe reiniciar el PFE cada vez que configure este comando.
  2. Configure las condiciones y acciones de coincidencia del filtro de firewall como se describe en Configuración de filtros y policías de firewall MPLS en conmutadores. Debe establecer explícitamente la condición de coincidencia TTL en (ttl=1). También puede hacer coincidir paquetes con otros calificadores MPLS como label, expy la capa 4 source port, y destination port.
  3. Aplique el filtro a la interfaz de circuito cerrado como filtro de entrada.
  4. Revise su configuración y emita el commit comando:

A continuación, se muestra un ejemplo de configuración.

Configuración de policias para LSP

A partir de Junos OS 13.2X51-D15, puede enviar tráfico emparejado por un filtro MPLS a un agente de policía de dos colores o a un agente de policía de tres colores. La política de LSP de MPLS le permite controlar la cantidad de tráfico reenviado a través de un LSP en particular. El control de políticas ayuda a garantizar que la cantidad de tráfico reenviado a través de un LSP nunca supere la asignación de ancho de banda solicitada. La política de LSP se admite en LSP regulares, LSP configurados con ingeniería de tráfico compatible con DiffServ y LSP multiclase. Puede configurar varios agentes de políticas para cada LSP multiclase. En el caso de los LSP regulares, cada agente de policía de LSP se aplica a todo el tráfico que atraviesa los LSP. Las limitaciones de ancho de banda del agente de policía se hacen efectivas tan pronto como la suma total del tráfico que atraviesa el LSP supera el límite configurado.

Puede configurar los policias LSP de ingeniería de tráfico con conciencia de DiffServ y LSP multiclase en un filtro. El filtro se puede configurar para distinguir entre los diferentes tipos de clase y aplicar el agente de policía correspondiente a cada tipo de clase. Los policiadores distinguen entre tipos de clase basados en los bits EXP.

Puede configurar los policias LSP bajo el family any filtro. El family any filtro se utiliza porque el agente de policía se aplica al tráfico que entra en el LSP. Este tráfico puede ser de diferentes familias: IPv6, MPLS, entre otros. No necesita saber qué tipo de tráfico entra en el LSP, siempre y cuando las condiciones de coincidencia se apliquen a todos los tipos de tráfico.

Al configurar los policias LSP de MPLS, tenga en cuenta las siguientes limitaciones:

  • Los policiares LSP solo se admiten para los LSP de paquetes.

  • Los policiares LSP solo se admiten para los próximos saltos de unidifusión. No se admiten los próximos saltos de multidifusión.

  • El policiador LSP se ejecuta antes de cualquier filtro de salida.

  • El tráfico procedente del motor de enrutamiento (por ejemplo, tráfico de ping) no toma la misma ruta de reenvío que el tráfico de tránsito. No se puede policiar este tipo de tráfico.

Tabla de historial de versiones
Liberación
Descripción
19.2R1
A partir de Junos OS versión 19.2R1, puede aplicar un filtro de firewall MPLS a una interfaz de circuito cerrado en un enrutador de conmutación de etiquetas (LSR) en conmutadores QFX5100, QFX5110, QFX5200 y QFX5210.