Configuración de políticas y filtros de firewall MPLS
Puede configurar un filtro de firewall MPLS para contar paquetes basados en los bits EXP para la etiqueta MPLS de nivel superior de un paquete. También puede configurar políticas para LSP MPLS.
En las siguientes secciones se describen los filtros y las políticas del firewall MPLS:
Configuración de filtros de firewall MPLS
Puede configurar un filtro de firewall MPLS para contar paquetes basados en los bits EXP para la etiqueta MPLS de nivel superior de un paquete. A continuación, puede aplicar este filtro a una interfaz específica de entrada o salida. También puede configurar un aplicador de políticas para que el filtro MPLS vigile (es decir, el límite de velocidad) el tráfico en la interfaz a la que está conectado el filtro. No puede aplicar filtros de firewall MPLS a interfaces de circuito cerrado.
Puede configurar las siguientes condiciones de coincidencia para los filtros MPLS en el nivel jerárquico [edit firewall family mpls filter filter-name term term-name from]
:
exp
label
Estas exp
condiciones de coincidencia pueden aceptar bits EXP en el rango de 0 a 7. Puede configurar las siguientes opciones:
Un solo bit EXP, por ejemplo,
exp 3;
Varios bits EXP, por ejemplo,
exp 0, 4;
Un rango de bits EXP, por ejemplo,
exp [0-5];
La label
condición de coincidencia puede aceptar un rango de valores de 0 a 1048575.
Si no especifica un criterio de coincidencia (es decir, no configura la from
instrucción y utiliza sólo la then
instrucción con la palabra clave action count
), se contabilizarán todos los paquetes MPLS que pasen por la interfaz en la que se aplica el filtro.
También puede configurar cualquiera de las siguientes palabras clave de acción en el nivel de [edit firewall family mpls filter filter-name term term-name then]
jerarquía:
accept
count
discard
policer
three-color-policer
Ejemplos: Configuración de filtros de firewall MPLS
Los ejemplos siguientes ilustran cómo puede configurar un filtro de firewall MPLS y, a continuación, aplicar el filtro a una interfaz. Este filtro está configurado para contar paquetes MPLS con bits EXP establecidos en 0 o 4.
A continuación se muestra una configuración para un filtro de firewall MPLS:
[edit firewall] family mpls { filter expf { term expt0 { from { exp 0,4; } then { count counter0; accept; } } } }
Configuración de políticas para LSP
La vigilancia de MPLS LSP le permite controlar la cantidad de tráfico reenviado a través de un LSP en particular. La vigilancia ayuda a garantizar que la cantidad de tráfico reenviado a través de un LSP nunca supere la asignación de ancho de banda solicitada. La vigilancia de LSP es compatible con LSP regulares, LSP configurados con ingeniería de tráfico compatible con DiffServ y LSP multiclase. Puede configurar varios aplicadores de políticas para cada LSP multiclase. Para los LSP regulares, cada aplicador de LSP se aplica a todo el tráfico que atraviesa el LSP. Las limitaciones de ancho de banda del controlador se hacen efectivas tan pronto como la suma total de tráfico que atraviesa el LSP supera el límite configurado.
Puede configurar los aplicadores LSP multiclase y LSP de ingeniería de tráfico compatible con DiffServ en un filtro. El filtro se puede configurar para distinguir entre los diferentes tipos de clase y aplicar el aplicador de políticas correspondiente a cada tipo de clase. Los aplicadores de políticas distinguen entre tipos de clase basados en los bits EXP.
Los aplicadores de LSP se configuran en el family any
filtro. El family any
filtro se utiliza porque el aplicador de políticas se aplica al tráfico que entra en el LSP. Este tráfico puede provenir de diferentes familias: IPv6, MPLS, etc. No es necesario saber qué tipo de tráfico está entrando en el LSP, siempre y cuando las condiciones de coincidencia se apliquen a todos los tipos de tráfico.
Limitaciones de LSP Policer
Al configurar políticas de LSP de MPLS, tenga en cuenta las siguientes limitaciones:
Los aplicadores de políticas de LSP solo son compatibles con los LSP de paquetes.
Los aplicadores de LSP solo son compatibles con los próximos saltos de unidifusión. No se admiten los próximos saltos de multidifusión.
Los aplicadores de LSP no son compatibles con las interfaces agregadas.
El aplicador de control de LSP se ejecuta antes que cualquier filtro de salida.
El tráfico procedente del motor de enrutamiento (por ejemplo, el tráfico de ping) no toma la misma ruta de reenvío que el tráfico de tránsito. Este tipo de tráfico no puede ser vigilado.