Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de filtros y políticas de Firewall MPLS en enrutadores

Puede configurar un filtro de Firewall MPLS para contar los paquetes basándose en los bits EXP de la etiqueta de MPLS de nivel superior de un paquete. También puede configurar las directivas de los LSP de MPLS.

En las siguientes secciones se explica MPLS filtros y las políticas de Firewall:

Configuración de filtros de Firewall MPLS

Puede configurar un filtro de Firewall MPLS para contar los paquetes basándose en los bits EXP de la etiqueta de MPLS de nivel superior de un paquete. A continuación, puede aplicar este filtro a una interfaz específica. También puede configurar una policía para el filtro MPLS a la policía (es decir, limitar la velocidad) al tráfico en la interfaz a la que está adjunto el filtro. No puede aplicar MPLS filtros del cortafuegos a las interfaces Ethernet (fxp0) o bucles de retroceso (lo0).

Puede configurar los siguientes atributos de criterios de coincidencia para MPLS filtros en [edit firewall family mpls filter filter-name term term-name from] el nivel de jerarquía:

  • exp

  • exp-except

Estos atributos pueden aceptar bits de EXP en el rango de 0 a 7. Puede configurar las siguientes opciones:

  • Un solo bit EXP, por ejemplo, exp 3;

  • Varios bits EXP, por ejemplo, exp 0, 4;

  • Un rango de bits EXP, por ejemplo, exp [0-5];

Si no especifica un criterio coincidente (es decir, si no configura la from instrucción y utiliza solo la then instrucción con la count palabra clave Action), se contarán todos los paquetes MPLS que pasen a través de la interfaz en la que se aplica el filtro.

También puede configurar cualquiera de las siguientes palabras clave de acción en [edit firewall family mpls filter filter-name term term-name then] el nivel de jerarquía:

  • count

  • accept

  • discard

  • next

  • policer

Para obtener más información acerca de cómo configurar filtros de firewall, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y agentes de policía de tráfico. Para obtener más información acerca de cómo configurar interfaces, consulte la biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento y la biblioteca de interfaces de Junos OS de servicios para dispositivos de enrutamiento.

Cita Configuración de filtros de Firewall MPLS

Los ejemplos siguientes ilustran cómo puede configurar un filtro de Firewall MPLS y, a continuación, aplicar el filtro a una interfaz. Este filtro está configurado para contar MPLS paquetes con bits de EXP establecidos en 0 ó 4.

A continuación se muestra una configuración para un filtro MPLS Firewall:

A continuación, se muestra cómo aplicar el filtro de Firewall MPLS a una interfaz:

El filtro de MPLS Firewall se aplica a la entrada y salida de una interfaz (consulte input las output instrucciones y del ejemplo anterior).

Configuración de las directivas de LSP

MPLS las políticas del LSP le permiten controlar la cantidad de tráfico que se reenvía a través de un LSP determinado. Las políticas ayudan a garantizar que la cantidad de tráfico reenviado a través de un LSP nunca sobrepase la asignación de ancho de banda solicitada. Las políticas del LSP son compatibles con LSP normales, LSP configurados con DiffServ e LSP de multiclase. Puede configurar varias directivas para cada LSP de multiclase. En el caso de LSP regulares, cada policía de LSP se aplica a todo el tráfico que atraviesa el LSP. Las limitaciones de ancho de banda del agente de policía se hacen efectivas tan pronto como la suma total de tráfico que pasa por el LSP exceda el límite configurado.

Nota:

El enrutador de PTX10003 sólo admite LSP regulares.

Configure el LSP de multiclase y las políticas de ingeniería de los proveedores de tráfico con DiffServ en un filtro. El filtro puede configurarse para distinguir los distintos tipos de clase y aplicar la normativa relevante a cada tipo de clase. Las políticas distinguen los tipos de clase basados en los bits de EXP.

Las directivas de LSP se configuran bajo el family any filtro. El family any filtro se utiliza porque la policía se aplica al tráfico que entra en el LSP. Este tráfico puede ser de diferentes familias: IPv6, MPLS, etc. No es necesario saber qué tipo de tráfico entra en el LSP, siempre y cuando las condiciones de coincidencia se apliquen a todo tipo de tráfico.

Puede configurar únicamente aquellas condiciones de coincidencia que se aplican en todos los tipos de tráfico. A continuación, se indican las condiciones de coincidencia admitidas para las políticas del LSP:

  • forwarding-class

  • packet-length

  • interface

  • interface-set

Para activar una policía en un LSP, primero debe configurar un filtro de políticas y luego incluirlo en la configuración de LSP. Para obtener más información acerca de cómo configurar políticas, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y agentes de tráfico.

Para configurar una policía para un LSP, especifique un filtro incluyendo la filter opción de la policing instrucción:

Puede incluir la policing instrucción en los siguientes niveles de jerarquía:

Limitaciones de la policía de LSP

Al configurar MPLS políticas LSP, tenga en cuenta las limitaciones siguientes:

  • Las políticas de LSP solo son compatibles con LSP de paquetes.

  • Solo se admiten las políticas de LSP para el próximo salto de difusión. No se admiten los siguientes saltos de multidifusión.

  • Las políticas de LSP no son compatibles con interfaces agregadas.

  • La policía de LSP se ejecuta antes que ningún filtro de salida.

  • El tráfico procedente del motor de enrutamiento (por ejemplo, el tráfico de ping) no toma la misma ruta de reenvío que el tráfico de tránsito. Este tipo de tráfico no puede ser controlada por políticas.

  • Las políticas de LSP funcionan en todos los enrutadores serie T y en enrutadores de M Series que tengan un circuito integrado (ASIC) de la aplicación para el procesador II de Internet.

Nota:

A partir de Junos OS versión 12.2 R2, en serie T enrutadores solamente, puede configurar una policía de LSP para que un LSP específico pueda ser compartido a través de distintos tipos de familias de protocolos. Para ello, debe configurar la instrucción Logical-interface-policiale en el nivel [edit firewall policer policer-name] de la jerarquía.

Ejemplo Configuración de una policía de LSP

El ejemplo siguiente muestra cómo puede configurar un filtro de políticas para un LSP:

Configuración de las políticas automáticas

La políticas automáticas de LSP le permite proporcionar garantías de servicio estrictas para el tráfico de la red. Estas garantías son especialmente útiles en el contexto de servicios diferenciados para LSP diseñados para el tráfico, lo que proporciona mejor emulación de los cables ATM a través de una red MPLS. Para obtener más información acerca de los servicios diferenciados para LSP, consulte la introducción a Diffserv sobre la ingeniería de tráfico.

Los servicios diferenciados para los LSP de ingeniería de tráfico le permiten proporcionar un trato diferenciado para MPLS tráfico en función de los bits de EXP. Para garantizar estas garantías de tráfico, no basta con marcar el tráfico de forma apropiada. Si el tráfico sigue una ruta congestionada, es posible que no se cumplan los requisitos.

Se garantiza que los LSP se establecen a través de rutas en las que hay suficientes recursos disponibles para cumplir con los requisitos. Sin embargo, incluso si los LSP se establecen a través de estas rutas y se marcan correctamente, estos requisitos no se pueden garantizar a menos que se asegure de que no hay más tráfico enviado a un LSP que el que haya disponible.

Es posible supervisar el tráfico de LSP mediante la configuración manual de un filtro adecuado y su aplicación al LSP en la configuración. Sin embargo, para las implementaciones de gran tamaño resulta incómodo configurar miles de filtros diferentes. Los grupos de configuración no pueden resolver este problema, ya que varios LSP pueden tener requisitos de ancho de banda distintos, que requieren distintos filtros. Para el tráfico policial de varios LSP, lo mejor es configurar las políticas automáticas.

Cuando configure las directivas de usuario para LSPs, se aplicará una policía a todos los proveedores de idiomas configurados en el enrutador. Sin embargo, puede desactivar las políticas automáticas en LSP específicos.

Nota:

Cuando se configuran las políticas automáticas para los proveedores de ingeniería de tráfico con DiffServ, no se admite el paso de paso.

Nota:

No puede configurar las políticas automáticas para los proveedores de idiomas que transporten tráfico CCC.

Las secciones siguientes describen cómo configurar los responsables automáticos de los LSP:

Configuración de las políticas de LSP automáticas

Para configurar las máquinas informáticos automáticas para los LSP estándar (ni los proveedores de informados por el auto-policingclass all policer-action tráfico con Diffserv ni los LSP de multiclase), class ct0 policer-action incluya la indicación o la opción:

Puede incluir esta instrucción en los siguientes niveles de jerarquía:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Puede configurar las siguientes acciones de policía para las políticas automáticas:

  • drop: permite soltar todos los paquetes.

  • loss-priority-high: establezca la prioridad de pérdida de paquetes (PLP) en alto.

  • loss-priority-low: establezca el PLP en bajo.

Estas medidas de policíaización son aplicables a todos los tipos de LSP. La acción de policía predeterminada es no hacer nada.

Los responsables automáticos del tráfico de las políticas de LSPs se basan en la cantidad de ancho de banda configurada para los LSP. Para configurar el ancho de banda para un LSP bandwidth , utilice la [edit protocols mpls label-switched-path lsp-path-name] instrucción en el nivel jerárquico. Si ha habilitado las políticas automáticas en un enrutador, ha cambiado el ancho de banda configurado para un LSP y confirma la configuración revisada, el cambio no surte efecto en el LSP activo. Para obligar al LSP a utilizar la nueva asignación de ancho de clear mpls lsp banda, emita un comando.

Nota:

No puede configurar las superusuarios automáticos para LSP que atraviesen interfaces agregadas o interfaces multivínculo punto a punto (MLPPP).

Configuración de las políticas automáticas para los proveedores de ingeniería de tráfico con DiffServ

Para configurar la configuración automática de la informática para los proveedores de interconexión de tráfico con DiffServ e LSP auto-policing de multiclase, incluya la siguiente declaración:

Puede incluir esta instrucción en los siguientes niveles de jerarquía:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Incluya la class all policer-action instrucción o una class ctnumber policer-action instrucción para cada una de las clases (puede configurar una acción distinta para cada clase). Para obtener una lista de las acciones que puede sustituir por la policer-action variable, consulte Configuración de las políticas de LSP automáticas. La acción de policía predeterminada es no hacer nada.

Nota:

No puede configurar las superusuarios automáticos para LSP que atraviesan interfaces MLPPP

Configuración de las políticas automáticas para LSP de punto a multipunto

Puede configurar los responsables automáticos de LSP de punto a multipunto, para lo que auto-policing debe incluir la instrucción class all policer-action junto con la class ct0 policer-action opción o la opción. Solo es necesario configurar la auto-policing instrucción en el LSP principal de punto a multipunto (para obtener más información sobre los LSP de punto a multipunto principales, vea Configuring the primary Point-to-multipunto LSP). No se requiere ninguna configuración adicional del subLSPs para el LSP de punto a multipunto. La políticas automáticas de punto a multipunto se aplican a todas las ramas del LSP de punto a multipunto. Además, las políticas automáticas se aplican a cualquier interfaz VRF local que tenga la misma entrada de reenvío como una bifurcación punto a multipunto.La paridad de funciones para las políticas automáticas de MPLS LSP de punto a multipunto en el conjunto de chips Junos trío se admite en Junos OS Release 11.1 R2, 11.2 R2 y 11,4.

La configuración automática del responsable de los LSP de punto a multipunto es idéntica a la configuración automática de los LSP del estándar. Para obtener más información, Configuración de las políticas de LSP automáticasconsulte.

Desactivación de las políticas automáticas en un LSP

Cuando habilita las políticas automáticas, todos los LSP del enrutador o del sistema lógico se verán afectados. Para deshabilitar las políticas automáticas en un LSP específico en un enrutador en el que haya activado las políticas policing automáticas, incluya no-auto-policing la instrucción con la opción:

Puede incluir esta instrucción en los siguientes niveles de jerarquía:

Ejemplo Configuración de las políticas automáticas para un LSP

Configure las políticas automáticas para un LSP multiclase, especificando distintas acciones para los ct0tipos ct1de ct2clase, ct3, y.

Escribir distintos valores DSCP y EXP en paquetes IP con etiquetas MPLS

Puede establecer selectivamente el campo del punto de código de DiffServ (DSCP) de paquetes de IPv4 e IPv6 con MPLS etiquetas en 0 sin afectar a la asignación de colas de salida, y seguir configurando el campo MPLS EXP de acuerdo con la tabla de reescritura configurada, que se basa en las clases de reenvío. Esto puede conseguirse mediante la configuración de un filtro de Firewall para los paquetes etiquetados por el MPLS.