Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de filtros de firewall MPLS y agentes de policía en enrutadores

Puede configurar un filtro de firewall MPLS para contar paquetes basados en los bits EXP para la etiqueta MPLS de nivel superior en un paquete. También puede configurar agentes de policía para LSP MPLS.

En las siguientes secciones se analizan los filtros de firewall MPLS y los agentes de policía:

Configuración de filtros de firewall MPLS

Puede configurar un filtro de firewall MPLS para contar paquetes basados en los bits EXP para la etiqueta MPLS de nivel superior en un paquete. A continuación, puede aplicar este filtro a una interfaz específica. También puede configurar un aplicador de policía para el filtro MPLS a la policía (es decir, límite de velocidad) del tráfico en la interfaz a la que está conectado el filtro. No puede aplicar filtros de firewall MPLS a interfaces Ethernet (fxp0) o de circuito cerrado (lo0).

Puede configurar los siguientes atributos de criterios de coincidencia para filtros MPLS en el [edit firewall family mpls filter filter-name term term-name from] nivel de jerarquía:

  • exp

  • exp-except

Estos atributos pueden aceptar bits EXP en el intervalo del 0 al 7. Puede configurar las siguientes opciones:

  • Un solo bit EXP, por ejemplo, exp 3;

  • Varios bits EXP, por ejemplo, exp 0, 4;

  • Un rango de bits EXP, por ejemplo, exp [0-5];

Si no especifica un criterio de coincidencia (es decir, no configura la from instrucción y utiliza solo la instrucción con la thencount palabra clave action), se contarán todos los paquetes MPLS que pasan por la interfaz en la que se aplica el filtro.

También puede configurar cualquiera de las siguientes palabras clave de acción en el [edit firewall family mpls filter filter-name term term-name then] nivel jerárquico:

  • count

  • accept

  • discard

  • next

  • policer

Para obtener más información acerca de cómo configurar filtros de firewall, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y agentes de policía de tráfico. Para obtener más información acerca de cómo configurar interfaces, consulte la biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento y la biblioteca de interfaces de servicios de Junos OS para dispositivos de enrutamiento.

Ejemplos: Configuración de filtros de firewall MPLS

En los ejemplos siguientes se muestra cómo configurar un filtro de firewall MPLS y, luego, aplicar el filtro a una interfaz. Este filtro está configurado para contar paquetes MPLS con bits EXP establecidos en 0 o 4.

A continuación, se muestra una configuración para un filtro de firewall MPLS:

A continuación, se muestra cómo aplicar el filtro de firewall MPLS a una interfaz:

El filtro de firewall MPLS se aplica a la entrada y salida de una interfaz (consulte las input instrucciones y output en el ejemplo anterior).

Configuración de agentes de policía para LSP

La policía MPLS LSP le permite controlar la cantidad de tráfico reenviado a través de un LSP determinado. La supervisión policial ayuda a garantizar que la cantidad de tráfico reenviada a través de un LSP nunca supere la asignación de ancho de banda solicitada. La gestión de políticas LSP se admite en LSP regulares, LSP configurados con ingeniería de tráfico compatible con DiffServ y LSP multiclase. Puede configurar varios agentes de policía para cada LSP multiclase. Para los LSP regulares, cada policr LSP se aplica a todo el tráfico que atraviesa el LSP. Las limitaciones de ancho de banda del policía se vuelven efectivas tan pronto como la suma total del tráfico que atraviesa el LSP supera el límite configurado.

Nota:

El enrutador PTX10003 solo admite LSP regulares.

Configure las políticas LSP de varias clases y de ingeniería de tráfico consciente de DiffServ en un filtro. El filtro se puede configurar para distinguir entre los distintos tipos de clase y aplicar el aplicador de políticas pertinente a cada tipo de clase. Los agentes de policía distinguen entre tipos de clase según los bits EXP.

Configure los agentes de policía LSP bajo el family any filtro. El family any filtro se utiliza porque el aplicador de policía se aplica al tráfico que ingresa al LSP. Este tráfico puede ser de diferentes familias: IPv6, MPLS, entre otros. No es necesario saber qué tipo de tráfico está ingresando al LSP, siempre y cuando las condiciones de coincidencia se apliquen a todos los tipos de tráfico.

Solo puede configurar aquellas condiciones de coincidencia que se apliquen a todo tipo de tráfico. A continuación, se muestran las condiciones de coincidencia admitidas para los agentes de policía de LSP:

  • forwarding-class

  • packet-length

  • interface

  • interface-set

Para habilitar un agente de policía en un LSP, primero debe configurar un filtro de políticas y, luego, incluirlo en la configuración de LSP. Para obtener información acerca de cómo configurar agentes de policía, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y agentes de policía de tráfico.

Para configurar un aplicador de policía para un LSP, especifique un filtro incluyendo la filter opción de la policing instrucción:

Puede incluir la policing instrucción en los siguientes niveles jerárquicos:

Limitaciones del agente de policía de LSP

Cuando configure policías LSP MPLS, tenga en cuenta las siguientes limitaciones:

  • Los policías LSP se admiten solo para LSP de paquetes.

  • Solo se admiten policías LSP para saltos siguientes de unidifusión. No se admiten los próximos saltos de multidifusión.

  • Los agentes de policía LSP no se admiten en interfaces agregadas.

  • El policer LSP se ejecuta antes de los filtros de salida.

  • El tráfico procedente del motor de enrutamiento (por ejemplo, tráfico ping) no toma la misma ruta de reenvío que el tráfico de tránsito. Este tipo de tráfico no se puede policiar.

  • Los policías LSP funcionan en todos los enrutadores de la serie T y en los enrutadores serie M que tienen el circuito integrado (ASIC) específico de la aplicación del procesador de Internet II.

  • Las políticas LSP no se admiten para LSP de punto a multipunto.
Nota:

A partir de Junos OS versión 12.2R2, solo en enrutadores serie T, puede configurar un agente de policía LSP para que un LSP específico se comparta en diferentes tipos de familia de protocolos. Para ello, debe configurar la instrucción logical-interface-policer en el [edit firewall policer policer-name] nivel jerárquico.

Ejemplo: Configuración de un policer LSP

En el ejemplo siguiente se muestra cómo puede configurar un filtro de control para un LSP:

Configuración de policías automáticos

La policía automática de LSP le permite proporcionar garantías de servicio estrictas para el tráfico de red. Estas garantías son especialmente útiles en el contexto de servicios diferenciados para LSP diseñados para el tráfico, lo que proporciona una mejor emulación para los cables ATM a través de una red MPLS. Para obtener más información acerca de los servicios diferenciados para LSP, consulte Introducción a la ingeniería de tráfico consciente de DiffServ.

Los servicios diferenciados para LSP diseñados para el tráfico le permiten proporcionar un tratamiento diferencial al tráfico MPLS en función de los bits EXP. Para garantizar estas garantías de tráfico, es insuficiente simplemente marcar el tráfico adecuadamente. Si el tráfico sigue una ruta congestionada, es posible que no se cumplan los requisitos.

Se garantiza que los LSP se establezcan a lo largo de rutas en las que haya suficientes recursos disponibles para cumplir con los requisitos. Sin embargo, incluso si los LSP se establecen a lo largo de estas rutas y se marcan correctamente, estos requisitos no se pueden garantizar a menos que se asegure de que no se envía más tráfico a un LSP que el ancho de banda disponible.

Es posible policiar el tráfico LSP configurando manualmente un filtro adecuado y aplicándolo al LSP en la configuración. Sin embargo, para implementaciones grandes es complicado configurar miles de filtros diferentes. Los grupos de configuración tampoco pueden resolver este problema, ya que los LSP diferentes pueden tener diferentes requisitos de ancho de banda, lo que requiere filtros diferentes. Para el tráfico de la policía para numerosos LSP, es mejor configurar los policías automáticos.

Cuando usted configura los policías automáticos para los LSP, un policer se aplica a todos los LSP configurados en el enrutador. Sin embargo, puede deshabilitar la policía automática en LSP específicas.

Nota:

Cuando configure policías automáticas para LSP de ingeniería de tráfico consciente de DiffServ, no se admite GRES.

Nota:

No puede configurar la política automática para LSP que transportan tráfico CCC.

En las siguientes secciones se describe cómo configurar las políticas automáticas para LSP:

Configuración de policías automáticas para LSP

Para configurar las políticas automáticas para LSP estándar (ni los LSP diseñados para diffServ ni los LSP multiclase), incluya la auto-policing instrucción con la class all policer-action opción o la class ct0 policer-action opción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Puede configurar las siguientes acciones de agente de policía para los agentes de policía automáticos:

  • drop: deje caer todos los paquetes.

  • loss-priority-high: establezca la prioridad de pérdida de paquetes (PLP) en alto.

  • loss-priority-low: establezca el PLP en bajo.

Estas acciones de policía son aplicables a todos los tipos de LSP. La acción predeterminada del agente de policía es no hacer nada.

Policías automáticas para el tráfico de la policía LSP según la cantidad de ancho de banda configurado para los LSP. Configure el ancho de banda para un LSP mediante la bandwidth instrucción en el [edit protocols mpls label-switched-path lsp-path-name] nivel de jerarquía. Si ha habilitado agentes de policía automáticos en un enrutador, cambie el ancho de banda configurado para un LSP y confirme la configuración revisada, el cambio no afecta a los LSP activos. Para forzar a los LSP a usar la nueva asignación de ancho de banda, emita un clear mpls lsp comando.

Nota:

No puede configurar agentes de policía automáticos para LSP que atraviesen interfaces agregadas o interfaces de protocolo de punto a punto de varios vínculos (MLPPP).

Configuración de policías automáticas para LSP de ingeniería de tráfico conscientes de DiffServ

Para configurar policías automáticos para LSP de ingeniería de tráfico conscientes de DiffServ y para LSP de varias clases, incluya la auto-policing instrucción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Puede incluir la class all policer-action instrucción o una class ctnumber policer-action instrucción para cada una o más clases (puede configurar una acción de policía diferente para cada clase). Para obtener una lista de las acciones que puede sustituir por la policer-action variable, consulte Configuración de policías automáticas para LSP. La acción predeterminada del agente de policía es no hacer nada.

Nota:

No puede configurar policías automáticas para LSP que atraviese interfaces agregadas o interfaces MLPPP.

Configuración de policías automáticas para LSP de punto a multipunto

Puede configurar las políticas automáticas para LSP de punto a multipunto incluyendo la auto-policing instrucción con la class all policer-action opción o la class ct0 policer-action opción. Solo debe configurar la auto-policing instrucción en el LSP principal de punto a multipunto (para obtener más información sobre los LSP de punto a multipunto principal, consulte Configuración del LSP de punto a multipunto principal). No se requiere ninguna configuración adicional en los subLSP para el LSP de punto a multipunto. La política automática punto a multipunto se aplica a todas las sucursales del LSP de punto a multipunto. Además, la política automática se aplica a cualquier interfaz VRF local que tenga la misma entrada de reenvío que una sucursal de punto a multipunto. La paridad de funciones para los policías automáticos para LSP de punto a multipunto MPLS en el conjunto de chips Junos Trio se admite en las versiones 11.1R2, 11.2R2 y 11.4 de Junos OS.

La configuración automática del policer para LSP de punto a multipunto es idéntica a la configuración del aplicador automático para LSP estándar. Para obtener más información, consulte Configuración de policías automáticas para LSP.

Deshabilitar la policía automática en un LSP

Cuando habilita la vigilancia automática, todos los LSP del enrutador o el sistema lógico se verán afectados. Para deshabilitar la política automática en un LSP específico en un enrutador en el que haya habilitado la policía automática, incluya la policing instrucción con la no-auto-policing opción:

Puede incluir esta instrucción en los siguientes niveles jerárquicos:

Ejemplo: Configuración de la política automática para un LSP

Configure la política automática para una LSP multiclase, especificando diferentes acciones para los tipos de ct0clase , ct1, ct2y ct3.

Escribir diferentes valores DSCP y EXP en paquetes IP etiquetados con MPLS

Puede establecer selectivamente el campo de punto de código DiffServ (DSCP) de paquetes IPv4 e IPv6 etiquetados con MPLS en 0 sin afectar la asignación de cola de salida, y seguir estableciendo el campo EXP MPLS según la tabla de reescritura configurada, que se basa en clases de reenvío. Para ello, configure un filtro de firewall para los paquetes con etiqueta MPLS.