Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de políticas y filtros de firewall MPLS en conmutadores

Puede configurar filtros de firewall para filtrar el tráfico MPLS. Para usar un filtro de firewall MPLS, primero debe configurar el filtro y, a continuación, aplicarlo a una interfaz que haya configurado para reenviar tráfico MPLS. También puede configurar un aplicador de políticas para que el filtro MPLS vigile (es decir, el límite de velocidad) el tráfico en la interfaz a la que está conectado el filtro.

Cuando se configura un filtro de firewall MPLS, se definen los criterios de filtrado (términos, con condiciones de coincidencia) y una acción que debe realizar el conmutador si los paquetes coinciden con los criterios de filtrado.

Nota:

Solo puede configurar filtros MPLS en la dirección de entrada. No se admiten los filtros de firewall MPLS de salida.

Configuración de un filtro de firewall MPLS

Para configurar un filtro de firewall MPLS:

  1. Configure el nombre del filtro, el nombre del término y al menos una condición de coincidencia, por ejemplo, hacer coincidir en paquetes MPLS con bits EXP establecidos en 0 o 4:
  2. En cada término de filtro de firewall, especifique las acciones que se deben realizar si el paquete cumple todas las condiciones de ese término; por ejemplo, cuente los paquetes MPLS con bits EXP establecidos en 0 o 4:
  3. Cuando haya terminado, siga los pasos a continuación para aplicar el filtro a una interfaz.

Aplicación de un filtro de firewall MPLS a una interfaz MPLS

Para aplicar el filtro de firewall MPLS a una interfaz que haya configurado para reenviar tráfico MPLS (mediante la family mpls instrucción en el nivel de [edit interfaces interface-name unit unit-number] jerarquía):

Nota:

Solo puede aplicar filtros de firewall para filtrar paquetes MPLS que entren en una interfaz.

  1. Aplique el filtro de firewall a una interfaz MPLS; por ejemplo, aplique el filtro de firewall a la interfaz xe-0/0/5:
  2. Revise la configuración y ejecute el commit comando:

Aplicación de un filtro de firewall MPLS a una interfaz de circuito cerrado

Para aplicar un filtro de firewall MPLS a una interfaz de circuito cerrado (lo0):

  1. En primer lugar, especifique el formato del paquete mediante el comando packet-format-match . Debe reiniciar el PFE cada vez que configure este comando.
  2. Configure las condiciones y acciones de coincidencia del filtro de firewall como se describe en Configuración de un filtro de firewall MPLS. Debe establecer explícitamente la condición de coincidencia TTL en (ttl=1). También puede hacer coincidir paquetes con otros calificadores MPLS como label, exp, y Capa 4 source port, y destination port.
  3. Aplique el filtro a la interfaz de circuito cerrado como filtro de entrada.
  4. Revise la configuración y ejecute el commit comando:

A continuación se muestra un ejemplo de configuración.

Configuración de políticas para LSP

A partir de Junos OS 13.2X51-D15, puede enviar tráfico emparejado con un filtro MPLS a un aplicador de dos o tres colores. La vigilancia de MPLS LSP le permite controlar la cantidad de tráfico reenviado a través de un LSP en particular. La vigilancia ayuda a garantizar que la cantidad de tráfico reenviado a través de un LSP nunca supere la asignación de ancho de banda solicitada. La vigilancia de LSP es compatible con LSP regulares, LSP configurados con ingeniería de tráfico compatible con DiffServ y LSP multiclase. Puede configurar varios aplicadores de políticas para cada LSP multiclase. Para los LSP regulares, cada aplicador de LSP se aplica a todo el tráfico que atraviesa el LSP. Las limitaciones de ancho de banda del controlador se hacen efectivas tan pronto como la suma total de tráfico que atraviesa el LSP supera el límite configurado.

Puede configurar los aplicadores LSP multiclase y LSP de ingeniería de tráfico compatible con DiffServ en un filtro. El filtro se puede configurar para distinguir entre los diferentes tipos de clase y aplicar el aplicador de políticas correspondiente a cada tipo de clase. Los aplicadores de políticas distinguen entre tipos de clase basados en los bits EXP.

Los aplicadores de LSP se configuran en el family any filtro. El family any filtro se utiliza porque el aplicador de políticas se aplica al tráfico que entra en el LSP. Este tráfico puede provenir de diferentes familias: IPv6, MPLS, etc. No es necesario saber qué tipo de tráfico está entrando en el LSP, siempre y cuando las condiciones de coincidencia se apliquen a todos los tipos de tráfico.

Al configurar políticas de LSP de MPLS, tenga en cuenta las siguientes limitaciones:

  • Los aplicadores de políticas de LSP solo son compatibles con los LSP de paquetes.

  • Los aplicadores de LSP solo son compatibles con los próximos saltos de unidifusión. No se admiten los próximos saltos de multidifusión.

  • El aplicador de control de LSP se ejecuta antes que cualquier filtro de salida.

  • El tráfico procedente del motor de enrutamiento (por ejemplo, el tráfico de ping) no toma la misma ruta de reenvío que el tráfico de tránsito. Este tipo de tráfico no puede ser vigilado.