Configuración de políticas y filtros de firewall MPLS en conmutadores
Puede configurar filtros de firewall para filtrar el tráfico MPLS. Para usar un filtro de firewall MPLS, primero debe configurar el filtro y, a continuación, aplicarlo a una interfaz que haya configurado para reenviar tráfico MPLS. También puede configurar un aplicador de políticas para que el filtro MPLS vigile (es decir, el límite de velocidad) el tráfico en la interfaz a la que está conectado el filtro.
Cuando se configura un filtro de firewall MPLS, se definen los criterios de filtrado (términos, con condiciones de coincidencia) y una acción que debe realizar el conmutador si los paquetes coinciden con los criterios de filtrado.
Solo puede configurar filtros MPLS en la dirección de entrada. No se admiten los filtros de firewall MPLS de salida.
Configuración de un filtro de firewall MPLS
Para configurar un filtro de firewall MPLS:
Aplicación de un filtro de firewall MPLS a una interfaz MPLS
Para aplicar el filtro de firewall MPLS a una interfaz que haya configurado para reenviar tráfico MPLS (mediante la family mpls
instrucción en el nivel de [edit interfaces interface-name unit unit-number]
jerarquía):
Solo puede aplicar filtros de firewall para filtrar paquetes MPLS que entren en una interfaz.
Aplicación de un filtro de firewall MPLS a una interfaz de circuito cerrado
Para aplicar un filtro de firewall MPLS a una interfaz de circuito cerrado (lo0):
A continuación se muestra un ejemplo de configuración.
set groups lo_mpls_filter interfaces lo0 unit 0 family mpls filter input mpls_lo
set groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term from ttl 1
set groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term from ip-version ipv4 protocol udp source-port 10
set groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term from ip-version ipv4 protocol udp destination-port 11
set groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term then count c1
set groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term then accept
Configuración de políticas para LSP
A partir de Junos OS 13.2X51-D15, puede enviar tráfico emparejado con un filtro MPLS a un aplicador de dos o tres colores. La vigilancia de MPLS LSP le permite controlar la cantidad de tráfico reenviado a través de un LSP en particular. La vigilancia ayuda a garantizar que la cantidad de tráfico reenviado a través de un LSP nunca supere la asignación de ancho de banda solicitada. La vigilancia de LSP es compatible con LSP regulares, LSP configurados con ingeniería de tráfico compatible con DiffServ y LSP multiclase. Puede configurar varios aplicadores de políticas para cada LSP multiclase. Para los LSP regulares, cada aplicador de LSP se aplica a todo el tráfico que atraviesa el LSP. Las limitaciones de ancho de banda del controlador se hacen efectivas tan pronto como la suma total de tráfico que atraviesa el LSP supera el límite configurado.
Puede configurar los aplicadores LSP multiclase y LSP de ingeniería de tráfico compatible con DiffServ en un filtro. El filtro se puede configurar para distinguir entre los diferentes tipos de clase y aplicar el aplicador de políticas correspondiente a cada tipo de clase. Los aplicadores de políticas distinguen entre tipos de clase basados en los bits EXP.
Los aplicadores de LSP se configuran en el family any
filtro. El family any
filtro se utiliza porque el aplicador de políticas se aplica al tráfico que entra en el LSP. Este tráfico puede provenir de diferentes familias: IPv6, MPLS, etc. No es necesario saber qué tipo de tráfico está entrando en el LSP, siempre y cuando las condiciones de coincidencia se apliquen a todos los tipos de tráfico.
Al configurar políticas de LSP de MPLS, tenga en cuenta las siguientes limitaciones:
Los aplicadores de políticas de LSP solo son compatibles con los LSP de paquetes.
Los aplicadores de LSP solo son compatibles con los próximos saltos de unidifusión. No se admiten los próximos saltos de multidifusión.
El aplicador de control de LSP se ejecuta antes que cualquier filtro de salida.
El tráfico procedente del motor de enrutamiento (por ejemplo, el tráfico de ping) no toma la misma ruta de reenvío que el tráfico de tránsito. Este tipo de tráfico no puede ser vigilado.