限制 VPLS 中的广播数据包
您可以配置过滤器、监管器以及广播和未知过滤器,以确定允许哪种流量进出 VPLS 域。您只能将这些过滤器和监管器应用于面向 CE 的接口。
要限制广播和未知单播数据包流入 VPLS 域,您必须创建防火墙过滤器并将该过滤器应用于 VPLS 路由实例的其中一个转发表。以这种方式应用筛选条件时,过滤条件将处理来自实例中所有接口(包括接口)vt的流量。要为基于 VPLS 的防火墙过滤器配置匹配条件,请在层次结构级别包括 source-mac-address[edit firewall family vpls filter filter-name term term-name from] 、 destination-mac-address、 interface-group或 ethernet-typevlan-ethernet-type 语句。然后,指定语句以在层次结构级别为[edit firewall family vpls filter filter-name term term-name then]匹配的数据包激活所需的操作(例如,discard)。
要将过滤器应用于 VPLS 路由实例的广播和未知单播表,请在层次结构级别包括input过滤器[edit routing-instances instance-name forwarding-options family vpls flood]的语句和名称。要将过滤器应用于 VPLS 路由实例的目标 MAC 地址表,请在层次结构级别包含input[edit routing-instances instance-name forwarding-options family vpls filter]过滤器的语句和名称。
[edit]
firewall {
family vpls {
filter vpls-flood {
term 1 {
from {
destination-mac-address {
00.90.69.dc.95.3b/48;
}
}
then discard;
}
term 2 {
then accept;
}
}
}
}
routing-instances {
green {
forwarding-options {
family vpls {
(flood | filter) {
input vpls-flood;
}
}
}
}
}
配置 VPLS 时,默认情况下会启用生成树协议 (STP) 桥接协议数据单元 (BPDU) 的优先级过滤器。此 BPDU 过滤器匹配 的 01:80:c2:00:00:00/24 已知 STP MAC 地址,并对此流量应用高优先级。
有关 VPLS 监管器和过滤器的详细信息,请参阅 Junos 策略框架配置指南 和 Junos VPN 配置指南。