Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

为 VPLS 配置防火墙过滤器和监管器

您可以为 VPLS 配置防火墙过滤器和监管器。防火墙过滤器允许您根据数据包的组件过滤数据包,并可以对与过滤器匹配的数据包执行操作。监管器允许您限制进出接口的流量。

VPLS 过滤器和监管器对包括媒体访问控制 (MAC) 标头(在重写任何 VLAN 或其他规则之后)的第 2 层帧采取行动,但不包括循环冗余校验 (CRC) 字段。

您只能将 PE 路由器上的 VPLS 过滤器和监管器应用于面向客户的接口。

注意:

在 VPLS 文档中,PE 路由器等术语用于指提供路由功能的任何设备。
注意:

使用 MAC 地址处理防火墙过滤器的行为在 DPC 和 MPC 之间有所不同。在 MPC 上,接口过滤器始终在 MAC 学习之前应用。MAC 学习完成后,将应用输入转发表过滤器。但是,在 DPC 上,MAC 学习独立于过滤器的应用。如果应用防火墙过滤器的 PE 面向 CE 的接口是 MPC,则 MAC 条目超时,再也不会学习。但是,如果应用防火墙过滤器的 PE 面向 CE 的接口是 DP,则 MAC 条目不会超时,并且如果 MAC 地址条目是手动清除的,则会重新学习。

以下部分介绍如何为 VPLS 配置过滤器和监管器:

配置 VPLS 过滤器

要为 VPLS 配置过滤器,请在 filter 层级添加语句 [edit firewall family vpls]

有关如何配置防火墙过滤器的更多信息,请参阅 路由策略、防火墙过滤器和流量监管器用户指南。有关如何配置 VPLS 过滤器匹配条件的信息,请参阅 VPLS 流量的防火墙过滤器匹配条件

要为 VPLS 流量配置过滤器,请完成以下任务:

为 VPLS 配置接口专用计数器

为 VPLS 配置防火墙过滤器并将其应用于多个接口时,您可以指定特定于每个接口的单独计数器。这样,您就可以收集关于传输每个接口的流量的单独统计信息。

要为 VPLS 生成接口特定的计数器,请配置语句 interface-specific 。将生成过滤器的单独实例化。此过滤器实例的名称不同(基于接口名称),并且仅收集指定接口上的统计信息。

要配置接口特定的计数器,请在 interface-specific 层级添加语句 [edit firewall family vpls filter filter-name]

注意:

计数器名称限制为 24 个字节。如果重命名的计数器超过此最大长度,则可能会被拒绝。

为 VPLS 过滤器配置操作

您可以在层级为 VPLS 过滤器[edit firewall family vpls filter filter-name term term-name then]配置以下操作:accept、 、 countdiscardforwarding-classloss-prioritynextpolicer

配置 VPLS FTF

转发表过滤器 (FTF) 是为转发表配置的过滤器。对于 VPLS,它们连接到 VPLS 路由实例的目标 MAC (DMAC) 转发表中。您可以采用与任何其他类型 FTF 相同的方式定义 VPLS FTF。您只能将 VPLS FTF 作为输入过滤器应用。

要指定 VPLS FTF,请在 filter input 层级添加语句 [edit routing-instance routing-instance-name forwarding-options family vpls]

更改生成树 BPDU 数据包的优先级

生成树 BPDU 数据包会自动设置为高优先级。这些数据包上的队列编号设置为 3。默认情况下,在 M 系列路由器(M320 路由器除外)上,队列值 3 表示优先级高。要对 BPDU 数据包启用此更高优先级,系统会自动将名为 default_bpdu_filter 的特定于实例的 BPDU 优先级过滤器连接到 VPLS DMAC 表。此过滤器高度优先于发送至 01:80:c2:00:00:00/24的所有数据包。

您可以通过配置 VPLS FTF 过滤器并将其应用于 VPLS 路由实例来覆盖此过滤器。有关更多信息,请参阅 配置 VPLS FTF将 VPLS 过滤器应用于 VPLS 路由实例

将 VPLS 过滤器应用于接口

要对接口应用 VPLS 过滤器,请添加语句 filter

您可以在以下层级包含此语句:

  • [edit interfaces interface-name unit number family vpls]

  • [edit logical-systems logical-system-name interfaces interface-name unit number family vpls]

注意:

ACX 系列路由器不支持该 [edit logical-systems] 层次结构。

在语句中 input ,列出接口上接收数据包时要评估的 VPLS 过滤器的名称。在语句中 output ,列出当数据包在接口上传输时要评估的 VPLS 过滤器的名称。

注意:

对于输出接口过滤器,在过滤器操作完成后学习 MAC 地址。当输出接口过滤器的操作为时 discard,数据包会先被丢弃,然后再学习 MAC 地址。但是,输入接口过滤器在丢弃数据包之前会先学习 MAC 地址。

将 VPLS 过滤器应用于 VPLS 路由实例

您可以将 VPLS 过滤器应用于 VPLS 路由实例。过滤器会检查通过指定路由实例的流量。

输入路由实例过滤器在完成过滤器操作之前学习 MAC 地址,因此,如果过滤器操作为 discard,则先学习 MAC 地址,然后再丢弃数据包。

要对到达 VPLS 路由实例的数据包应用 VPLS 过滤器并指定过滤器,请在 filter input 层次结构级别添加语句 [edit routing-instances routing-instance-name forwarding-options family vpls]

配置泛洪流量过滤器

您可以配置 VPLS 过滤器来过滤泛洪的数据包。CE 路由器通常将以下类型的数据包泛洪到 VPLS 路由实例中的 PE 路由器:

  • 2 层广播数据包

  • 2 层组播数据包

  • 目标 MAC 地址未知的第 2 层单播数据包

  • DMAC 路由表中具有 MAC 条目的第 2 层数据包

您可以配置过滤器来管理这些泛洪的数据包如何分布到 VPLS 路由实例中的其他 PE 路由器。

要对到达 VPLS 路由实例中 PE 路由器的数据包应用泛洪过滤器,并指定过滤器,请添加以下 flood input 语句:

您可以在以下层级包含此语句:

  • [edit routing-instances routing-instance-name forwarding-options family vpls]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options family vpls]

注意:

ACX 系列路由器不支持该 [edit logical-systems] 层次结构。

配置 VPLS 监管器

您可以为 VPLS 流量配置监管器。VPLS 监管器配置与任何其他类型的监管器配置类似。

VPLS 监管器具有以下特征:

  • 您无法通过 PE 路由器源的泛洪流量对存储在泛洪表中的默认 VPLS 路由进行监管。

  • 在指定监管带宽时,VPLS 监管器会考虑数据包中的所有第 2 层字节,以确定数据包长度。

要配置 VPLS 监管器,请在 policer 层级添加语句 [edit firewall]

要对接口应用 VPLS 监管器,请添加以下 policer 语句:

您可以在以下层级包含此语句:

  • [edit interfaces interface-name unit number family vpls]

  • [edit logical-systems logical-system-name interfaces interface-name unit number family vpls

注意:

ACX 系列路由器不支持该 [edit logical-systems] 层次结构。

在语句中 input ,列出接口上接收数据包时要评估的 VPLS 监管器的名称。在语句中 output ,列出当数据包在接口上传输时要评估的 VPLS 监管器的名称。这种类型的 VPLS 监管器仅适用于单播数据包。有关如何过滤泛洪数据包的信息,请参阅 为泛洪流量配置过滤器

相关文档