Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Настройка MPLS межсетевых экранов и служб безопасности на коммутаторах

Можно настроить фильтры межсетевых экранов для фильтрации MPLS трафика. Чтобы использовать фильтр MPLS межсетевых экранов, необходимо сначала настроить фильтр, а затем применить его к интерфейсу, настроенму для MPLS трафика. Можно также настроить ограничители скорости для фильтра MPLS для ограничения скорости (то есть ограничения скорости) трафика на интерфейсе, к которому подключен фильтр.

При настройке фильтра MPLS межсетевых экранов определяются критерии фильтрации (термины, условия соответствия) и действия, которые должен принять коммутатор, если пакеты соответствуют критериям фильтрации.

Прим.:

Можно настроить только MPLS во впадаемом направлении. Фильтры MPLS межсетевых экранов не поддерживаются.

Настройка фильтра MPLS межсетевых экранов

Настройка фильтра MPLS межсетевых экранов:

  1. Настройте имя фильтра, имя терминов и хотя бы одно условие совпадения — например, соединая для MPLS пакетов с битами EXP, настроенными на 0 или 4:
  2. В каждом термине фильтра брандмауэра укажите действия, которые необходимо принять, если пакет соответствует всем условиям в этом термине, например, MPLS пакетов с битами EXP, установленными на 0 или 4:
  3. Закончив, выполните следующие действия, чтобы применить фильтр к интерфейсу.

Применение фильтра MPLS межсетевых экранов к MPLS интерфейсу

Применение фильтра MPLS межсетевых экранов к интерфейсу, настроенном для MPLS трафика (с использованием утверждения на family mpls[edit interfaces interface-name unit unit-number] уровне иерархии):

Прим.:

Фильтры межсетевых экранов можно применять только для MPLS пакетов, которые входят в интерфейс.

  1. Применение фильтра межсетевых экранов к MPLS - например, применение фильтра межсетевых экранов к интерфейсу xe-0/0/5:
  2. Просмотрите конфигурацию и вдайте commit команду:

Применение фильтра MPLS межсетевых экранов к интерфейсу обратной связи

Применение фильтра MPLS межсетевых экранов к интерфейсу обратной связи (lo0):

  1. Сначала укажите формат пакета с помощью команды packet-format-match. При каждой настройке этой команды необходимо перезапуск PFE.
  2. Настройте условия совпадения фильтра межсетевых экранов и действия, как описано в Настройка фильтра MPLS межсетевых экранов . Необходимо явно установить условие совпадения TTL в ( ttl=1 ). Можно также соверять пакеты с другими MPLS, такими как labelexp , и уровень source port 4, и destination port .
  3. Примените фильтр к интерфейсу обратной связи в качестве входного фильтра.
  4. Просмотрите конфигурацию и вдайте commit команду:

Ниже приводится пример конфигурации.

Настройка policers для LSP

Начиная Junos OS 13.2X51-D15, можно отсылать трафик, MPLS или трехцветный фильтр. MPLS контроля LSP позволяет управлять объемом трафика, передающегося через определенный LSP. Ограничение трафика позволяет гарантировать, что объем трафика, передающегося через LSP, никогда не превышает запрашиваемую полосу пропускания. Политика LSP поддерживается на обычных LSP, LSP, настроенных с DiffServ-aware управление трафиком, и многоклассных LSP. Можно настроить несколько функций настройки для каждого многоклассного LSP. Для обычных LSP каждый LSP-policer применяется ко всему трафику, который проходит по LSP. Ограничения пропускной способности ограничитера в становятся эффективными, как только общая сумма трафика, передаемого по LSP, превышает настроенный предел.

Многоклассные LSP и DiffServ-aware управление трафиком LSP в фильтре. Фильтр можно сконфигурировать, чтобы различать разные типы классов и применить соответствующий policer к каждому типу класса. Они различают типы классов на основании битов EXP.

Для фильтра настраиваются службы policers family any LSP. Фильтр используется, так как он применяется к family any трафику, в который входит LSP. Этот трафик может быть из разных семей: IPv6, MPLS и так далее. Если условия совпадения применимы ко всем типам трафика, нет необходимости знать, какой тип трафика попадает в LSP.

При настройке MPLS LSP необходимо знать о следующих ограничениях:

  • Службы безопасности LSP поддерживаются только для пакетных LSP.

  • Службы безопасности LSP поддерживаются только для следующих одноастерных переходов. Следующие многоастерийные переходы не поддерживаются.

  • Policer LSP запускается перед любыми фильтрами выходных данных.

  • Трафик, отдающий трафик модуль маршрутизации (например, ping-трафик), не проходит по тому же пути, что и транзитный трафик. Этот тип трафика невозможно продиакать.