本页内容
为 VPLS 配置防火墙过滤器和监管器
您可以为 VPLS 配置防火墙过滤器和监管器。防火墙过滤器允许您根据数据包的组件过滤数据包,并可以对与过滤器匹配的数据包执行操作。监管器允许您限制进出接口的流量。
VPLS 过滤器和监管器对包括媒体访问控制 (MAC) 标头(在重写任何 VLAN 或其他规则之后)的第 2 层帧采取行动,但不包括循环冗余校验 (CRC) 字段。
您只能将 PE 路由器上的 VPLS 过滤器和监管器应用于面向客户的接口。
在 VPLS 文档中,PE 路由器等术语用于指提供路由功能的任何设备。
使用 MAC 地址处理防火墙过滤器的行为在 DPC 和 MPC 之间有所不同。在 MPC 上,接口过滤器始终在 MAC 学习之前应用。MAC 学习完成后,将应用输入转发表过滤器。但是,在 DPC 上,MAC 学习独立于过滤器的应用。如果应用防火墙过滤器的 PE 面向 CE 的接口是 MPC,则 MAC 条目超时,再也不会学习。但是,如果应用防火墙过滤器的 PE 面向 CE 的接口是 DP,则 MAC 条目不会超时,并且如果 MAC 地址条目是手动清除的,则会重新学习。
以下部分介绍如何为 VPLS 配置过滤器和监管器:
配置 VPLS 过滤器
要为 VPLS 配置过滤器,请在 filter
层级添加语句 [edit firewall family vpls]
:
[edit firewall family vpls] filter filter-name { interface-specific; term term-name { from { match-conditions; } then { actions; } } }
有关如何配置防火墙过滤器的更多信息,请参阅 路由策略、防火墙过滤器和流量监管器用户指南。有关如何配置 VPLS 过滤器匹配条件的信息,请参阅 VPLS 流量的防火墙过滤器匹配条件。
要为 VPLS 流量配置过滤器,请完成以下任务:
- 为 VPLS 配置接口专用计数器
- 为 VPLS 过滤器配置操作
- 配置 VPLS FTF
- 更改生成树 BPDU 数据包的优先级
- 将 VPLS 过滤器应用于接口
- 将 VPLS 过滤器应用于 VPLS 路由实例
- 配置泛洪流量过滤器
为 VPLS 配置接口专用计数器
为 VPLS 配置防火墙过滤器并将其应用于多个接口时,您可以指定特定于每个接口的单独计数器。这样,您就可以收集关于传输每个接口的流量的单独统计信息。
要为 VPLS 生成接口特定的计数器,请配置语句 interface-specific
。将生成过滤器的单独实例化。此过滤器实例的名称不同(基于接口名称),并且仅收集指定接口上的统计信息。
要配置接口特定的计数器,请在 interface-specific
层级添加语句 [edit firewall family vpls filter filter-name]
:
[edit firewall family vpls filter filter-name] interface-specific;
计数器名称限制为 24 个字节。如果重命名的计数器超过此最大长度,则可能会被拒绝。
为 VPLS 过滤器配置操作
您可以在层级为 VPLS 过滤器[edit firewall family vpls filter filter-name term term-name then]
配置以下操作:accept
、 、 count
、 discard
、 forwarding-class
loss-priority
、 next
policer
。
配置 VPLS FTF
转发表过滤器 (FTF) 是为转发表配置的过滤器。对于 VPLS,它们连接到 VPLS 路由实例的目标 MAC (DMAC) 转发表中。您可以采用与任何其他类型 FTF 相同的方式定义 VPLS FTF。您只能将 VPLS FTF 作为输入过滤器应用。
要指定 VPLS FTF,请在 filter input
层级添加语句 [edit routing-instance routing-instance-name forwarding-options family vpls]
:
[edit routing-instance routing-instance-name forwarding-options family vpls] filter input filter-name;
更改生成树 BPDU 数据包的优先级
生成树 BPDU 数据包会自动设置为高优先级。这些数据包上的队列编号设置为 3。默认情况下,在 M 系列路由器(M320 路由器除外)上,队列值 3 表示优先级高。要对 BPDU 数据包启用此更高优先级,系统会自动将名为 default_bpdu_filter
的特定于实例的 BPDU 优先级过滤器连接到 VPLS DMAC 表。此过滤器高度优先于发送至 01:80:c2:00:00:00/24
的所有数据包。
您可以通过配置 VPLS FTF 过滤器并将其应用于 VPLS 路由实例来覆盖此过滤器。有关更多信息,请参阅 配置 VPLS FTF 和 将 VPLS 过滤器应用于 VPLS 路由实例。
将 VPLS 过滤器应用于接口
要对接口应用 VPLS 过滤器,请添加语句 filter
:
filter { group index; input input-filter-name; output output-filter-name; }
您可以在以下层级包含此语句:
[edit interfaces interface-name unit number family vpls]
[edit logical-systems logical-system-name interfaces interface-name unit number family vpls]
ACX 系列路由器不支持该 [edit logical-systems]
层次结构。
在语句中 input
,列出接口上接收数据包时要评估的 VPLS 过滤器的名称。在语句中 output
,列出当数据包在接口上传输时要评估的 VPLS 过滤器的名称。
对于输出接口过滤器,在过滤器操作完成后学习 MAC 地址。当输出接口过滤器的操作为时 discard
,数据包会先被丢弃,然后再学习 MAC 地址。但是,输入接口过滤器在丢弃数据包之前会先学习 MAC 地址。
将 VPLS 过滤器应用于 VPLS 路由实例
您可以将 VPLS 过滤器应用于 VPLS 路由实例。过滤器会检查通过指定路由实例的流量。
输入路由实例过滤器在完成过滤器操作之前学习 MAC 地址,因此,如果过滤器操作为 discard
,则先学习 MAC 地址,然后再丢弃数据包。
要对到达 VPLS 路由实例的数据包应用 VPLS 过滤器并指定过滤器,请在 filter input
层次结构级别添加语句 [edit routing-instances routing-instance-name forwarding-options family vpls]
:
[edit routing-instances routing-instance-name forwarding-options family vpls] filter input input-filter-name;
配置泛洪流量过滤器
您可以配置 VPLS 过滤器来过滤泛洪的数据包。CE 路由器通常将以下类型的数据包泛洪到 VPLS 路由实例中的 PE 路由器:
2 层广播数据包
2 层组播数据包
目标 MAC 地址未知的第 2 层单播数据包
DMAC 路由表中具有 MAC 条目的第 2 层数据包
您可以配置过滤器来管理这些泛洪的数据包如何分布到 VPLS 路由实例中的其他 PE 路由器。
要对到达 VPLS 路由实例中 PE 路由器的数据包应用泛洪过滤器,并指定过滤器,请添加以下 flood input
语句:
flood input filter-name;
您可以在以下层级包含此语句:
[edit routing-instances routing-instance-name forwarding-options family vpls]
[edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options family vpls]
ACX 系列路由器不支持该 [edit logical-systems]
层次结构。
配置 VPLS 监管器
您可以为 VPLS 流量配置监管器。VPLS 监管器配置与任何其他类型的监管器配置类似。
VPLS 监管器具有以下特征:
您无法通过 PE 路由器源的泛洪流量对存储在泛洪表中的默认 VPLS 路由进行监管。
在指定监管带宽时,VPLS 监管器会考虑数据包中的所有第 2 层字节,以确定数据包长度。
要配置 VPLS 监管器,请在 policer
层级添加语句 [edit firewall]
:
[edit firewall] policer policer-name { bandwidth-limit limit; burst-size-limit limit; then action; }
要对接口应用 VPLS 监管器,请添加以下 policer
语句:
policer { input input-policer-name; output output-policer-name; }
您可以在以下层级包含此语句:
[edit interfaces interface-name unit number family vpls]
[edit logical-systems logical-system-name interfaces interface-name unit number family vpls
ACX 系列路由器不支持该 [edit logical-systems]
层次结构。
在语句中 input
,列出接口上接收数据包时要评估的 VPLS 监管器的名称。在语句中 output
,列出当数据包在接口上传输时要评估的 VPLS 监管器的名称。这种类型的 VPLS 监管器仅适用于单播数据包。有关如何过滤泛洪数据包的信息,请参阅 为泛洪流量配置过滤器。