Aug 27, 2008

MPLS LDP Access-List for QoS

在MPLS QoS相關的控制設定常常會要求讓MPLS LDP traffic調高priority or 保留頻寬,所以我把這個Sample ACL列出來給各位了解一下,其中比較特別是LDP會利用udp傳送至multicast ip 224.0.0.2(all routers)來flooding discovery,而且source port & destination port都是646;然後再用tcp port 646來建立LDP session:
Router(config)#ip access-list extended LDP
Router(config-ext-nacl)#permit udp any eq 646 host 224.0.0.2 eq 646
Router(config-ext-nacl)#permit tcp any any eq 646
Router(config-ext-nacl)#permit tcp any eq 646 any


另外還要特別注意LDP neighbor預設使用loopback interface當source interface,所以如果兩個Router之間設定了"mpls ldp discovery transport-address"指令的話,就會改用直連的interface當source interface,那麼在ACL上的設定就要特別留意。

比方說現在有兩個Router,R1,R2之間利用Ethernet直連建立MPLS LDP neighbor,但是我們希望沒有任何其他的Router可以加入,因此我們要設定一個ACL只允許R1,R2交換彼此之間的MPLS LDP。

R1
interface loopback 0
ip address 1.1.1.1 255.255.255.255
!
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
mpls ldp discovery transport-address interface
ip access-group LDP in
!
ip access-list extended LDP
permit udp host 10.1.1.2 eq 646 host 224.0.0.2 eq 646
permit tcp host 2.2.2.2 eq 646 host 1.1.1.1
permit tcp host 2.2.2.2 host 1.1.1.1 eq 646
deny udp any any eq 646
deny tcp any any eq 646
deny tcp any eq 646 any
permit ip any any


R2
interface loopback 0
ip address 2.2.2.2 255.255.255.255
!
interface Ethernet0/0
ip address 10.1.1.2 255.255.255.0
mpls ldp discovery transport-address interface
ip access-group LDP in
!
ip access-list extended LDP
permit udp host 10.1.1.1 eq 646 host 224.0.0.2 eq 646
permit tcp host 1.1.1.1 eq 646 host 2.2.2.2
permit tcp host 1.1.1.1 host 2.2.2.2 eq 646
deny udp any any eq 646
deny tcp any any eq 646
deny tcp any eq 646 any
permit ip any any
Post a Comment