Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Настройка фильтров MPLS межсетевых экранов и служб безопасности на маршрутизаторах

Можно настроить фильтр межсетевых MPLS для подсчета пакетов на основании битов EXP для верхнего уровня метки MPLS в пакете. Можно также настроить службы безопасности для MPLS LPS.

В следующих разделах MPLS межсетевых экранов фильтры и политика:

Настройка MPLS межсетевых экранов

Можно настроить фильтр межсетевых MPLS для подсчета пакетов на основании битов EXP для верхнего уровня метки MPLS в пакете. Затем этот фильтр можно применить к определенному интерфейсу. Можно также настроить ограничители скорости для фильтра MPLS для ограничения скорости (то есть ограничения скорости) трафика на интерфейсе, к которому подключен фильтр. Фильтры межсетевых MPLS не могут применяться к интерфейсам Ethernet (fxp0) или обратной связи (lo0).

Можно настроить следующие атрибуты критериев соответствия для MPLS фильтров на [edit firewall family mpls filter filter-name term term-name from] уровне иерархии:

  • exp

  • exp-except

Эти атрибуты могут принимать биты EXP в диапазоне от 0 до 7. Можно настроить следующий вариант:

  • Один бит EXP, например, exp 3;

  • Несколько битов EXP, например, exp 0, 4;

  • диапазон битов EXP, например, exp [0-5];

Если не указать критерий совпадения (то есть, утверждение не будет конфигурироваться и использовать только утверждение с ключевым словом action), будут подсчитаны все MPLS, проходящие через интерфейс, на который применяется fromthencount фильтр.

Можно также настроить любое из следующих ключевых слов action на [edit firewall family mpls filter filter-name term term-name then] уровне иерархии:

  • count

  • accept

  • discard

  • next

  • policer

Дополнительные сведения о настройке фильтров межсетевых экранов см. в руководстве пользователя "Политики маршрутов", "Фильтры межсетевых экранов" и "Правила управления трафиком". Дополнительные сведения о настройке интерфейсов см. в библиотеке сетевых интерфейсов Junos OS для устройств маршрутов и библиотеке интерфейсов Junos OS servicesдля устройств маршрутов.

Примеры: Настройка MPLS межсетевых экранов

Следующие примеры иллюстрируют настройку фильтра MPLS экрана, а затем применение фильтра к интерфейсу. Этот фильтр сконфигурирован для MPLS пакетов с битами EXP, настроенными на 0 или 4.

Ниже показана конфигурация фильтра MPLS межсетевых экранов:

Ниже показано, как применить MPLS межсетевой экран к интерфейсу:

Фильтр MPLS межсетевых экранов применяется к входным и выходным данным интерфейса (см. предшествующий inputoutput пример с утверждениями).

Настройка policers для LSP

MPLS контроля LSP позволяет управлять объемом трафика, передающегося через определенный LSP. Ограничение трафика позволяет гарантировать, что объем трафика, передающегося через LSP, никогда не превышает запрашиваемую полосу пропускания. Политика LSP поддерживается на обычных LSP, LSP, настроенных с DiffServ-aware управление трафиком, и многоклассных LSP. Можно настроить несколько функций настройки для каждого многоклассного LSP. Для обычных LSP каждый LSP-policer применяется ко всему трафику, который проходит по LSP. Ограничения пропускной способности ограничитера в становятся эффективными, как только общая сумма трафика, передаемого по LSP, превышает настроенный предел.

Прим.:

Маршрутизатор PTX10003 поддерживает только обычные LPS.

Многоклассные LSP и DiffServ-aware управление трафиком LSP в фильтре. Фильтр можно сконфигурировать, чтобы различать разные типы классов и применить соответствующий policer к каждому типу класса. Они различают типы классов на основании битов EXP.

Для фильтра настраиваются службы policers family any LSP. Фильтр используется, так как он применяется к family any трафику, в который входит LSP. Этот трафик может быть из разных семей: IPv6, MPLS и так далее. Если условия совпадения применимы ко всем типам трафика, нет необходимости знать, какой тип трафика попадает в LSP.

Можно настроить только те условия совпадения, которые применимы к всем типам трафика. Следующие условия совпадения для сотрудников LSP следующие:

  • forwarding-class

  • packet-length

  • interface

  • interface-set

Чтобы включить policer на LSP, сначала необходимо настроить фильтр управления, а затем включить его в конфигурацию LSP. Информацию о настройке политик см. в руководстве по политикам маршрутов, фильтрам межсетевых экранов и правилам управления трафиком.

Чтобы настроить policer для LSP, укажите фильтр, включив filter параметр в policing утверждение:

Можно включить утверждение policing на следующих уровнях иерархии:

Ограничения ограничители LSP

При настройке MPLS LSP необходимо знать о следующих ограничениях:

  • Службы безопасности LSP поддерживаются только для пакетных LSP.

  • Службы безопасности LSP поддерживаются только для следующих одноастерных переходов. Следующие многоастерийные переходы не поддерживаются.

  • На агрегированных интерфейсах не поддерживаются службы управления LSP.

  • Policer LSP запускается перед любыми фильтрами выходных данных.

  • Трафик, отдающий трафик модуль маршрутизации (например, ping-трафик), не проходит по тому же пути, что и транзитный трафик. Этот тип трафика невозможно продиакать.

  • Функции применения policers LSP работают на всех серия T и на M Series, которые имеют прикладную интегрированную цепь (ASIC) для Интернет-процессора II.

Прим.:

Начиная с Junos OS выпуска 12.2R2, только на серия T маршрутизаторах можно настроить маршрутизатор LSP для совместного совместного следования определенного LSP в разных типах протоколов. Для этого необходимо сконфигурировать утверждение логических интерфейсов и policer на [edit firewall policer policer-name] уровне иерархии.

Примере: Настройка lSP Policer

В следующем примере показано, как можно настроить фильтр по политикам для LSP:

Настройка автоматических механизмов policers

Автоматическое управление LPS позволяет обеспечить строгие гарантии обслуживания для сетевого трафика. Такие гарантии особенно полезны в контексте дифференцированного обслуживания для LPS, спроектированных трафиком, обеспечивая более лучшую эмуляцию для проводов ATM в MPLS сети. Дополнительные сведения о дифференцированном обслуживании для LSP см. в введение DiffServ-Aware Traffic Engineering.

Дифференцированное обслуживание для LPS, спроектированных для трафика, позволяет предоставлять разнонаправленную обработку MPLS трафика на основе бит EXP. Чтобы обеспечить эти гарантии трафика, недостаточно просто пометить трафик соответствующим образом. Если трафик следует по пути с перегнойной трафиком, требования могут быть не выполнены.

На пути, где есть достаточно ресурсов для удовлетворения требований, гарантируется установить LPS. Однако, даже если LSP устанавливаются по таким путям и маркированы должным образом, эти требования не могут быть гарантированы до тех пор, пока на LSP не будет отправлено больше трафика, чем доступной пропускной способности.

Возможно управление трафиком LSP вручную путем настройки соответствующего фильтра и применения его к LSP в конфигурации. Однако в крупных развертываниях настраивать тысячи различных фильтров значительно громоздко. Группы конфигураций также не могут решить эту проблему, поскольку различные LPS могут иметь различные требования к пропускной способности, требуя различных фильтров. Для управления трафиком для различных LSP лучше всего настроить автоматические механизмы управления.

При настройке автоматических механизмов для LPS, он применяется к всем LSP, настроенным на маршрутизаторе. Тем не менее, можно отключить автоматическое управление определенными LPS.

Прим.:

При настройке автоматических механизмов настройки для DiffServ-aware управление трафиком LSP GRES не поддерживается.

Прим.:

Нельзя настроить автоматическое управление для LPS, несущих трафик CCC.

В следующих разделах описана настройка автоматических механизмов policers для LSP:

Настройка автоматических механизмов policers для LPS

Чтобы настроить автоматические механизмы управления для стандартных LSP (ни DiffServ-aware traffic engineered LSP, ни многоклассных LSP), включите утверждение либо с параметром, либо с auto-policingclass all policer-actionclass ct0 policer-action параметром:

Это утверждение можно включить на следующих уровнях иерархии:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Можно настроить для автоматических механизмов действия политика:

  • drop— Отбросить все пакеты.

  • loss-priority-high- Установите высокий приоритет потери пакетов (PLP).

  • loss-priority-low- Установите низкий уровень PLP.

Эти действия, применяемые в отношении применения к безопасности, применимы для всех типов LPS. Действием стандартного порядка является невыполнение действий.

Автоматические механизмы управления трафиком LSP в зависимости от ширины полосы пропускания, настроенной для LSP. Полосу пропускания для LSP необходимо настроить с помощью bandwidth утверждения на [edit protocols mpls label-switched-path lsp-path-name] иерархическому уровне. Если на маршрутизаторе включены автоматические механизмы управления, измените пропускную способность, настроенную для LSP, и сохраняйте измененную конфигурацию, это изменение не влияет на активные LSP. Чтобы заставить LSP использовать новое выделение полосы пропускания, используйте clear mpls lsp команду.

Прим.:

Нельзя настроить автоматические механизмы управления для LPS, которые проходят через агрегированные интерфейсы или интерфейсы протокола Multilink Point-to-Point (MLPPP).

Настройка автоматических правил для LSP DiffServ-Aware Traffic Engineering

Чтобы настроить автоматические механизмы безопасности для LPS, управление трафиком DiffServ-aware, а также для многоклассных LSP, включим в себя auto-policing утверждение:

Это утверждение можно включить на следующих уровнях иерархии:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

В нем содержится либо утверждение, либо утверждение для каждого из одного или нескольких классов (можно настроить действие по-разному для class all policer-actionclass ctnumber policer-action каждого класса). Список действий, которые можно заменить policer-action переменной, см. в Настройка автоматических механизмов policers для LPS . Действием стандартного порядка является невыполнение действий.

Прим.:

Нельзя настроить автоматические механизмы управления для LPS, которые проходят через агрегированные интерфейсы или интерфейсы MLPPP.

Настройка автоматических механизмов policers для многоканальных LPS

Можно настроить автоматические механизмы policers для многоканальных LSP, включив в утверждение параметр auto-policingclass all policer-action или class ct0 policer-action параметр. Требуется только настроить утверждение для LSP из основной точки в многоточки (для получения дополнительной информации о LSP с основной точкой-многоточки см. "Настройка LSP с основной точкой на auto-policingмноготочки"). Дополнительная конфигурация для подlsPs для LSP точек-многоточки не требуется. Автоматическое управление точками с несколькими точками применяется ко всем ветвям LSP точки-многоточки. Кроме того, автоматическое управление применяется к любым локальным интерфейсам VRF, которые имеют ту же запись переадранки, что и ветка "точка-многоканальный". Четность функций автоматических механизмов MPLS для многоканальных LSP на Junos Trio поддерживается в Junos OS выпусках 11.1R2, 11.2R2 и 11.4.

Конфигурация автоматического управления для многоканальных LSP идентична конфигурации автоматического управления для стандартных LSP. Дополнительные сведения Настройка автоматических механизмов policers для LPS см. в .

Отключение автоматического у политика на LSP

При включив автоматическое управление, все LPS на маршрутизаторе или логической системе будут затронуты. Чтобы отключить автоматическое управление конкретным LSP на маршрутизаторе, на котором было включено автоматическое управление, включив в параметр policingno-auto-policing утверждение:

Это утверждение можно включить на следующих уровнях иерархии:

Примере: Настройка автоматического у политика для LSP

Настройте автоматическое управление для многоклассного LSP, указав различные действия для типов классов ct0ct1 , ct2ct3 и.

Запись различных значений DSCP и EXP MPLS IP-пакетов с тегами

Можно выборочно установить для поля DiffServ code point (DSCP MPLS) для пакетов IPv4 и IPv6 с маркировкой IPv4 и IPv6 0, не влияя на назначение очереди вывода, и продолжить устанавливать поле MPLS EXP в соответствии с настроенной таблицей переписать, которая основана на классах переад назначения. Это можно сделать, настроив фильтр межсетевых экранов для MPLS пакетов, помеченных тегами.