Configuración de filtros y policías de firewall MPLS en enrutadores
Puede configurar un filtro de firewall MPLS para contar paquetes según los bits EXP para la etiqueta MPLS de nivel superior en un paquete. También puede configurar policias para LSP MPLS.
En las siguientes secciones se analizan los filtros y políticas de firewall MPLS:
Configuración de filtros de firewall MPLS
Puede configurar un filtro de firewall MPLS para contar paquetes según los bits EXP para la etiqueta MPLS de nivel superior en un paquete. A continuación, puede aplicar este filtro a una interfaz específica. También puede configurar un agente de policía para el filtro MPLS para que ordene (es decir, límite de velocidad) el tráfico de la interfaz a la que se adjunta el filtro. No puede aplicar filtros de firewall MPLS a interfaces Ethernet (fxp0) o de circuito cerrado (lo0).
Puede configurar los siguientes atributos de criterio de coincidencia para filtros MPLS en el [edit firewall family mpls filter filter-name term term-name from] nivel jerárquico:
expexp-except
Estos atributos pueden aceptar bits EXP en el intervalo del 0 al 7. Puede configurar las siguientes opciones:
Un solo bit EXP, por ejemplo,
exp 3;Varios bits EXP; por ejemplo,
exp 0, 4;Un rango de bits EXP; por ejemplo,
exp [0-5];
Si no especifica un criterio de coincidencia (es decir, no configura la instrucción y usa solo la from instrucción con la thencount palabra clave acción), se contarán todos los paquetes MPLS que pasan por la interfaz en la que se aplica el filtro.
También puede configurar cualquiera de las siguientes palabras clave de acción en el [edit firewall family mpls filter filter-name term term-name then] nivel jerárquico:
countacceptdiscardnextpolicer
Para obtener más información acerca de cómo configurar filtros de firewall, consulte la Guía del usuario sobre políticas de enrutamiento, filtros de firewall y policías de tráfico. Para obtener más información acerca de cómo configurar interfaces, consulte la biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento y la biblioteca de interfaces de servicios de Junos OS para dispositivos de enrutamiento.
Ejemplos: Configuración de filtros de firewall MPLS
Los siguientes ejemplos ilustran cómo puede configurar un filtro de firewall MPLS y, luego, aplicarlo a una interfaz. Este filtro está configurado para contar paquetes MPLS con bits EXP establecidos en 0 o 4.
A continuación se muestra una configuración para un filtro de firewall MPLS:
[edit firewall]
family mpls {
filter expf {
term expt0 {
from {
exp 0,4;
}
then {
count counter0;
accept;
}
}
}
}
A continuación, se muestra cómo aplicar el filtro de firewall MPLS a una interfaz:
[edit interfaces]
so-0/0/0 {
mtu 4474;
encapsulation ppp;
sonet-options {
fcs 32;
}
unit 0 {
point-to-point;
family mpls {
filter {
input expf;
output expf;
}
}
}
}
El filtro de firewall MPLS se aplica a la entrada y salida de una interfaz (consulte las input instrucciones y output en el ejemplo anterior).
Configuración de policias para LSP
La política de LSP de MPLS le permite controlar la cantidad de tráfico reenviado a través de un LSP en particular. El control de políticas ayuda a garantizar que la cantidad de tráfico reenviado a través de un LSP nunca supere la asignación de ancho de banda solicitada. La política de LSP se admite en LSP regulares, LSP configurados con ingeniería de tráfico compatible con DiffServ y LSP multiclase. Puede configurar varios agentes de políticas para cada LSP multiclase. En el caso de los LSP regulares, cada agente de policía de LSP se aplica a todo el tráfico que atraviesa los LSP. Las limitaciones de ancho de banda del agente de policía se hacen efectivas tan pronto como la suma total del tráfico que atraviesa el LSP supera el límite configurado.
El enrutador PTX10003 solo admite LSP regulares.
Puede configurar los policias LSP de ingeniería de tráfico con conciencia de DiffServ y LSP multiclase en un filtro. El filtro se puede configurar para distinguir entre los diferentes tipos de clase y aplicar el agente de policía correspondiente a cada tipo de clase. Los policiadores distinguen entre tipos de clase basados en los bits EXP.
Puede configurar los policias LSP bajo el family any filtro. El family any filtro se utiliza porque el agente de policía se aplica al tráfico que entra en el LSP. Este tráfico puede ser de diferentes familias: IPv6, MPLS, entre otros. No necesita saber qué tipo de tráfico entra en el LSP, siempre y cuando las condiciones de coincidencia se apliquen a todos los tipos de tráfico.
Solo puede configurar aquellas condiciones de coincidencia que se apliquen a todos los tipos de tráfico. Las siguientes son las condiciones de coincidencia compatibles para los policiadores de LSP:
forwarding-classpacket-lengthinterfaceinterface-set
Para habilitar un agente de políticas en un LSP, primero debe configurar un filtro de control y, luego, incluirlo en la configuración de LSP. Para obtener más información acerca de cómo configurar los polizas, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y agentes de policía de tráfico.
Para configurar un agente de policía para un LSP, especifique un filtro incluyendo la filter opción de la policing instrucción:
policing { filter filter-name; }
Puede incluir la policing instrucción en los siguientes niveles de jerarquía:
[edit protocols mpls label-switched-path lsp-name][edit protocols mpls static-label-switched-path lsp-name][edit logical-systems logical-system-name protocols mpls label-switched-path lsp-name][edit logical-systems logical-system-name protocols mpls static-label-switched-path lsp-name]
Limitaciones de LSP Policer
Al configurar los policias LSP de MPLS, tenga en cuenta las siguientes limitaciones:
-
Los policiares LSP solo se admiten para los LSP de paquetes.
-
Los policiares LSP solo se admiten para los próximos saltos de unidifusión. No se admiten los próximos saltos de multidifusión.
-
Los policias LSP no se admiten en interfaces agregadas.
-
El policiador LSP se ejecuta antes de cualquier filtro de salida.
-
El tráfico procedente del motor de enrutamiento (por ejemplo, tráfico de ping) no toma la misma ruta de reenvío que el tráfico de tránsito. No se puede policiar este tipo de tráfico.
-
Los policiadores LSP funcionan en todos los enrutadores serie T y en enrutadores serie M que tienen el circuito integrado específico para aplicaciones (ASIC) del procesador de Internet II.
- Los policiares LSP no se admiten para los LSP de punto a multipunto.
A partir de Junos OS versión 12.2R2, solo en enrutadores serie T, puede configurar un agente de policía LSP para que un LSP específico se comparta entre diferentes tipos de familia de protocolos. Para ello, debe configurar la instrucción logical-interface-policer en el [edit firewall policer policer-name] nivel jerárquico.
Ejemplo: Configuración de un LSP Policer
En el siguiente ejemplo, se muestra cómo puede configurar un filtro de vigilancia para un LSP:
[edit firewall]
policer police-ct1 {
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 1500;
}
then {
discard;
}
}
policer police-ct0 {
if-exceeding {
bandwidth-limit 200m;
burst-size-limit 1500;
}
then {
discard;
}
}
family any {
filter bar {
term discard-ct0 {
then {
policer police-ct0;
accept;
}
}
}
term discard-ct1 {
then {
policer police-ct1;
accept;
}
}
}
Configuración de policías automáticas
La vigilancia automática de los LSP le permite proporcionar garantías de servicio estrictas para el tráfico de red. Estas garantías son especialmente útiles en el contexto de los servicios diferenciados para los LSP diseñados para tráfico, lo que proporciona una mejor emulación para los cables ATM a través de una red MPLS. Para obtener más información acerca de los servicios diferenciados para LSP, consulte Introducción de ingeniería de tráfico diffServ-Aware.
Los servicios diferenciados para LSP diseñados para tráfico le permiten proporcionar un tratamiento diferencial al tráfico de MPLS basado en los bits EXP. Para garantizar estas garantías de tráfico, no es suficiente simplemente marcar el tráfico de manera adecuada. Si el tráfico sigue una ruta congestionada, es posible que no se cumplan los requisitos.
Se garantiza que los LSP se establecerán a lo largo de rutas en las que hay suficientes recursos disponibles para cumplir con los requisitos. Sin embargo, incluso si los LSP se establecen a lo largo de dichas rutas y están marcados correctamente, estos requisitos no se pueden garantizar a menos que se asegure de que no se envía más tráfico a un LSP que el ancho de banda disponible.
Es posible controlar el tráfico de LSP configurando manualmente un filtro adecuado y aplicándole al LSP en la configuración. Sin embargo, para implementaciones grandes es engorroso configurar miles de filtros diferentes. Los grupos de configuración tampoco pueden resolver este problema, ya que los LSP diferentes pueden tener requisitos de ancho de banda diferentes, lo que requiere filtros diferentes. Para dirigir el tráfico de numerosos LSP, lo mejor es configurar los policiacos automáticos.
Cuando configura policiares automáticos para LSP, se aplica un agente de políticas a todos los LSP configurados en el enrutador. Sin embargo, puede deshabilitar la vigilancia automática en LSP específicos.
Cuando se configuran los policiadores automáticos para LSP de ingeniería de tráfico compatible con DiffServ, no se admite GRES.
No puede configurar la política automática para los LSP que transportan tráfico CCC.
Las siguientes secciones describen cómo configurar los policiadores automáticos para LSP:
- Configuración de policiadores automáticos para LSP
- Configuración de policiadores automáticos para LSP de ingeniería de tráfico DiffServ-Aware
- Configuración de policiadores automáticos para LSP de punto a multipunto
- Deshabilitar la política automática en un LSP
- Ejemplo: Configuración de políticas automáticas para un LSP
Configuración de policiadores automáticos para LSP
Para configurar los policiadores automáticos para los LSP estándar (ni LSP diseñados por DiffServ-aware de tráfico ni LSP multiclase), incluya la auto-policing instrucción con la class all policer-action opción o con la class ct0 policer-action opción:
auto-policing { class all policer-action; class ct0 policer-action; }
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
Puede configurar las siguientes acciones de policia para los agentes de políticas automáticos:
drop: suelte todos los paquetes.loss-priority-high— Establezca la prioridad de pérdida de paquetes (PLP) en alto.loss-priority-low— Establezca el PLP en bajo.
Estas acciones de policía son aplicables a todo tipo de LSP. La acción predeterminada del agente de policía es no hacer nada.
Los policiadores automáticos para LSP vigilan el tráfico según la cantidad de ancho de banda configurado para los LSP. Configure el ancho de banda para un LSP mediante la bandwidth instrucción en el [edit protocols mpls label-switched-path lsp-path-name] nivel jerárquico. Si ha habilitado los policías automáticos en un enrutador, cambie el ancho de banda configurado para un LSP y confirme la configuración revisada, el cambio no afecta a los LSP activos. Para forzar a los LSP a usar la nueva asignación de ancho de banda, emita un clear mpls lsp comando.
No puede configurar policías automáticos para LSP que atraviesan interfaces agregadas o interfaces de protocolo de punto a punto multilink (MLPPP).
Configuración de policiadores automáticos para LSP de ingeniería de tráfico DiffServ-Aware
Para configurar los policiadores automáticos para los LSP de ingeniería de tráfico con tecnología DiffServ y para los LSP multiclase, incluya la auto-policing instrucción:
auto-policing { class all policer-action; class ctnumber policer-action; }
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
Puede incluir la class all policer-action instrucción o una class ctnumber policer-action instrucción para cada una de una o más clases (puede configurar una acción de policía diferente para cada clase). Para obtener una lista de las acciones que puede sustituir por la policer-action variable, consulte Configuración de policiadores automáticos para LSP. La acción predeterminada del agente de policía es no hacer nada.
No puede configurar políticas automáticas para LSP que atraviesan interfaces agregadas o interfaces MLPPP.
Configuración de policiadores automáticos para LSP de punto a multipunto
Puede configurar los policiadores automáticos para LSP de punto a multipunto incluyendo la auto-policing instrucción con la class all policer-action opción o con la class ct0 policer-action opción. Solo necesita configurar la auto-policing instrucción en el LSP de punto a multipunto principal (para obtener más información sobre LSP principales de punto a multipunto, consulte Configuración del LSP de punto a multipunto principal). No se requiere ninguna configuración adicional en los subLSP para el LSP de punto a multipunto. La vigilancia automática de punto a multipunto se aplica a todas las sucursales del LSP de punto a multipunto. Además, la política automática se aplica a cualquier interfaces VRF locales que tengan la misma entrada de reenvío que una sucursal de punto a multipunto. La paridad de funciones para los policías automáticos para LSP punto a multipunto MPLS en el chipset de Junos Trio es compatible con las versiones 11.1R2, 11.2R2 y 11.4 de Junos OS.
La configuración de policiar automático para LSP punto a multipunto es idéntica a la configuración de policiador automático para LSP estándar. Para obtener más información, consulte Configuración de policiadores automáticos para LSP.
Deshabilitar la política automática en un LSP
Cuando habilita la política automática, todos los LSP del enrutador o el sistema lógico se ven afectados. Para deshabilitar la vigilancia automática en un LSP específico en un enrutador en el que haya habilitado la vigilancia automática, incluya la policing instrucción con la no-auto-policing opción:
policing no-auto-policing;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit protocols mpls label-switched-path lsp-name][edit logical-systems logical-system-name protocols mpls label-switched-path lsp-name]
Ejemplo: Configuración de políticas automáticas para un LSP
Configure la política automática para un LSP multiclase, especificando diferentes acciones para tipos ct1ct0de clase, , ct2y ct3.
[edit protocols mpls]
diffserv-te {
bandwidth-model extended-mam;
}
auto-policing {
class ct1 loss-priority-low;
class ct0 loss-priority-high;
class ct2 drop;
class ct3 loss-priority-low;
}
traffic-engineering bgp-igp;
label-switched-path sample-lsp {
to 3.3.3.3;
bandwidth {
ct0 11;
ct1 1;
ct2 1;
ct3 1;
}
}
interface fxp0.0 {
disable;
}
interface t1-0/5/3.0;
interface t1-0/5/4.0;
Escribir diferentes valores de DSCP y EXP en paquetes IP etiquetados por MPLS
Puede establecer selectivamente el campo del punto de código DiffServ (DSCP) de los paquetes IPv4 e IPv6 etiquetados por MPLS en 0 sin afectar la asignación de cola de salida, y seguir configurando el campo EXP de MPLS de acuerdo con la tabla de reescritura configurada, que se basa en las clases de reenvío. Puede lograr esto configurando un filtro de firewall para los paquetes etiquetados con MPLS.