Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de filtros y policías de firewall MPLS en conmutadores

Puede configurar filtros de firewall para filtrar el tráfico MPLS. Para usar un filtro de firewall MPLS, primero debe configurar el filtro y, luego, aplicarlo a una interfaz que haya configurado para el reenvío de tráfico MPLS. También puede configurar un agente de policía para el filtro MPLS para que ordene (es decir, límite de velocidad) el tráfico de la interfaz a la que se adjunta el filtro.

Al configurar un filtro de firewall MPLS, se definen los criterios de filtrado (términos, con condiciones de coincidencia) y una acción que debe realizar el conmutador si los paquetes coinciden con los criterios de filtrado.

Nota:

Solo puede configurar filtros MPLS en la dirección de entrada. No se admiten filtros de firewall MPLS de salida.

Configuración de un filtro de firewall MPLS

Para configurar un filtro de firewall MPLS:

  1. Configure el nombre del filtro, el nombre de término y al menos una condición de coincidencia; por ejemplo, coincidencia en paquetes MPLS con bits EXP establecidos en 0 o 4:
  2. En cada término de filtro de firewall, especifique las acciones que se deben realizar si el paquete coincide con todas las condiciones de ese término; por ejemplo, cuente los paquetes MPLS con bits EXP establecidos en 0 o 4:
  3. Cuando haya terminado, siga los pasos a continuación para aplicar el filtro a una interfaz.

Aplicación de un filtro de firewall MPLS a una interfaz MPLS

Para aplicar el filtro de firewall MPLS a una interfaz que haya configurado para el reenvío de tráfico MPLS (mediante la family mpls instrucción en el [edit interfaces interface-name unit unit-number] nivel de jerarquía):

Nota:

Solo puede aplicar filtros de firewall para filtrar paquetes MPLS que ingresan a una interfaz.

  1. Aplique el filtro de firewall a una interfaz MPLS; por ejemplo, aplique el filtro de firewall a la interfaz xe-0/0/5:
  2. Revise su configuración y emita el commit comando:

Aplicación de un filtro de firewall MPLS a una interfaz de circuito cerrado

Para aplicar un filtro de firewall MPLS a una interfaz de circuito cerrado (lo0):

  1. En primer lugar, especifique el formato del paquete mediante el comando packet-format-match . Debe reiniciar el PFE cada vez que configure este comando.
  2. Configure las condiciones y acciones de coincidencia del filtro de firewall como se describe en Configuración de un filtro de firewall MPLS. Debe establecer explícitamente la condición de coincidencia TTL en (ttl=1). También puede hacer coincidir paquetes con otros calificadores MPLS como label, expy la capa 4 source port, y destination port.
  3. Aplique el filtro a la interfaz de circuito cerrado como filtro de entrada.
  4. Revise su configuración y emita el commit comando:

A continuación, se muestra un ejemplo de configuración.

Configuración de policias para LSP

A partir de Junos OS 13.2X51-D15, puede enviar tráfico emparejado por un filtro MPLS a un agente de policía de dos colores o a un agente de policía de tres colores. La política de LSP de MPLS le permite controlar la cantidad de tráfico reenviado a través de un LSP en particular. El control de políticas ayuda a garantizar que la cantidad de tráfico reenviado a través de un LSP nunca supere la asignación de ancho de banda solicitada. La política de LSP se admite en LSP regulares, LSP configurados con ingeniería de tráfico compatible con DiffServ y LSP multiclase. Puede configurar varios agentes de políticas para cada LSP multiclase. En el caso de los LSP regulares, cada agente de policía de LSP se aplica a todo el tráfico que atraviesa los LSP. Las limitaciones de ancho de banda del agente de policía se hacen efectivas tan pronto como la suma total del tráfico que atraviesa el LSP supera el límite configurado.

Puede configurar los policias LSP de ingeniería de tráfico con conciencia de DiffServ y LSP multiclase en un filtro. El filtro se puede configurar para distinguir entre los diferentes tipos de clase y aplicar el agente de policía correspondiente a cada tipo de clase. Los policiadores distinguen entre tipos de clase basados en los bits EXP.

Puede configurar los policias LSP bajo el family any filtro. El family any filtro se utiliza porque el agente de policía se aplica al tráfico que entra en el LSP. Este tráfico puede ser de diferentes familias: IPv6, MPLS, entre otros. No necesita saber qué tipo de tráfico entra en el LSP, siempre y cuando las condiciones de coincidencia se apliquen a todos los tipos de tráfico.

Al configurar los policias LSP de MPLS, tenga en cuenta las siguientes limitaciones:

  • Los policiares LSP solo se admiten para los LSP de paquetes.

  • Los policiares LSP solo se admiten para los próximos saltos de unidifusión. No se admiten los próximos saltos de multidifusión.

  • El policiador LSP se ejecuta antes de cualquier filtro de salida.

  • El tráfico procedente del motor de enrutamiento (por ejemplo, tráfico de ping) no toma la misma ruta de reenvío que el tráfico de tránsito. No se puede policiar este tipo de tráfico.