Configuration des filtres et des mécanismes de contrôle de pare-feu pour VPLS
Vous pouvez configurer à la fois les filtres de pare-feu et les mécanismes de contrôle pour VPLS. Les filtres de pare-feu vous permettent de filtrer les paquets en fonction de leurs composants et d’effectuer une action sur les paquets qui correspondent au filtre. Les mécanismes de contrôle vous permettent de limiter la quantité de trafic entrant ou sortant d’une interface.
Les filtres et les mécanismes de contrôle VPLS agissent sur une trame de couche 2 qui inclut l’en-tête MAC (après toute réécriture du VLAN ou d’autres règles), mais n’inclut pas le champ de vérification de la redondance cyclique (CRC).
Vous pouvez appliquer des filtres VPLS et des mécanismes de contrôle sur le routeur PE uniquement aux interfaces côté client.
Dans la documentation VPLS, le mot routeur dans des termes tels que routeur PE est utilisé pour désigner tout périphérique fournissant des fonctions de routage.
Le comportement des filtres de pare-feu traités avec des adresses MAC diffère entre les DPC et les MPC. Sur les MPC, les filtres d’interface sont toujours appliqués avant l’apprentissage MAC. Le filtre de la table de transfert d’entrée est appliqué une fois l’apprentissage MAC terminé. Cependant, sur les DPC, l’apprentissage MAC se produit indépendamment de l’application de filtres. Si l’interface côté CE du PE où le filtre de pare-feu est appliqué est MPC, l’entrée MAC expire et n’est plus jamais apprise. Cependant, si l’interface côté CE du PE où le filtre de pare-feu est appliqué est un DP, l’entrée MAC n’est pas expirée et si l’entrée adresse MAC est effacée manuellement, elle est réapprise.
Les sections suivantes expliquent comment configurer les filtres et les mécanismes de contrôle pour VPLS :
Configuration d’un filtre VPLS
Pour configurer un filtre pour VPLS, incluez l’instruction filter au niveau de la [edit firewall family vpls] hiérarchie :
[edit firewall family vpls]
filter filter-name {
interface-specific;
term term-name {
from {
match-conditions;
}
then {
actions;
}
}
}
Pour plus d’informations sur la configuration des filtres de pare-feu, consultez le Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic. Pour plus d’informations sur la configuration d’une condition de correspondance de filtre VPLS, consultez Conditions de correspondance de filtre de pare-feu pour le trafic VPLS.
Pour configurer un filtre pour le trafic VPLS, effectuez les tâches suivantes :
- Configuration d’un compteur spécifique à l’interface pour VPLS
- Configuration d’une action pour le filtre VPLS
- Configuration des FTF VPLS
- Modification de la priorité des paquets BPDU Spanning-Tree
- Application d’un filtre VPLS à une interface
- Application d’un filtre VPLS à une instance de routage VPLS
- Configuration d’un filtre pour le trafic inondé
Configuration d’un compteur spécifique à l’interface pour VPLS
Lorsque vous configurez un filtre de pare-feu pour VPLS et que vous l’appliquez à plusieurs interfaces, vous pouvez spécifier des compteurs individuels spécifiques à chaque interface. Cela vous permet de collecter des statistiques distinctes sur le trafic transitant par chaque interface.
Pour générer un compteur spécifique à l’interface pour VPLS, vous configurez l’instruction interface-specific . Une instanciation distincte du filtre est générée. Cette instance de filtre a un nom différent (basé sur le nom de l’interface) et collecte des statistiques sur l’interface spécifiée uniquement.
Pour configurer des compteurs spécifiques à l’interface, incluez l’instruction interface-specific au niveau de la [edit firewall family vpls filter filter-name] hiérarchie :
[edit firewall family vpls filter filter-name] interface-specific;
Le nom du compteur est limité à 24 octets. Si le compteur renommé dépasse cette longueur maximale, il peut être rejeté.
Configuration d’une action pour le filtre VPLS
Vous pouvez configurer les actions suivantes pour un filtre VPLS au niveau de la [edit firewall family vpls filter filter-name term term-name then] hiérarchie : accept, , discardcount, forwarding-class, loss-prioritynextpolicer.
Configuration des FTF VPLS
Les filtres de table de transfert (FTF) sont des filtres configurés pour les tables de transfert. Pour les VPLS, ils sont attachés à la table de transfert MAC (DMAC) de destination de l’instance de routage VPLS. Vous définissez les FTF VPLS de la même manière que tout autre type de FTF. Vous ne pouvez appliquer qu’un FTF VPLS comme filtre d’entrée.
Pour spécifier un FTF VPLS, incluez l’instruction filter input au niveau de la [edit routing-instance routing-instance-name forwarding-options family vpls] hiérarchie :
[edit routing-instance routing-instance-name forwarding-options family vpls] filter input filter-name;
Modification de la priorité des paquets BPDU Spanning-Tree
Les paquets BPDU Spanning Tree sont automatiquement placés sur une priorité élevée. Le numéro de file d’attente sur ces paquets est défini sur 3. Une valeur de file d’attente de 3 indique une priorité élevée. Pour activer cette priorité plus élevée sur les paquets BPDU, un filtre de priorité BPDU spécifique à l’instance nommé default_bpdu_filter est automatiquement attaché à la table DMAC VPLS. Ce filtre accorde une priorité élevée à tous les paquets envoyés à 01:80:c2:00:00:00/24.
Vous pouvez remplacer ce filtre en configurant un filtre FTF VPLS et en l’appliquant à l’instance de routage VPLS. Pour plus d’informations, consultez Configuration des FTF VPLS et Application d’un filtre VPLS à une instance de routage VPLS.
Application d’un filtre VPLS à une interface
Pour appliquer un filtre VPLS à une interface, incluez l’affirmation filter :
filter { group index; input input-filter-name; output output-filter-name; }
Vous pouvez inclure cette déclaration aux niveaux hiérarchiques suivants :
[edit interfaces interface-name unit number family vpls][edit logical-systems logical-system-name interfaces interface-name unit number family vpls]
Les routeurs ACX Series ne prennent pas en charge la [edit logical-systems] hiérarchie.
Dans l’instruction input , indiquez le nom du filtre VPLS à évaluer lors de la réception de paquets sur l’interface. Dans l’instruction output , indiquez le nom du filtre VPLS à évaluer lors de la transmission des paquets sur l’interface.
Pour les filtres d’interface de sortie, les adresses MAC sont apprises une fois l’action de filtre terminée. Lorsque l’action d’un filtre d’interface de sortie est discard, le paquet est abandonné avant que l’adresse MAC ne soit apprise. Cependant, un filtre d’interface d’entrée apprend l’adresse MAC avant de rejeter le paquet.
Application d’un filtre VPLS à une instance de routage VPLS
Vous pouvez appliquer un filtre VPLS à une instance de routage VPLS. Le filtre vérifie le trafic passant par l’instance de routage spécifiée.
Les filtres d’instance de routage d’entrée apprennent l’adresse MAC avant la fin de l’action de filtrage, donc si l’action de filtre est discard, l’adresse MAC est apprise avant la perte du paquet.
Pour appliquer un filtre VPLS aux paquets arrivant à une instance de routage VPLS et spécifier le filtre, incluez l’instruction filter input au niveau de la [edit routing-instances routing-instance-name forwarding-options family vpls] hiérarchie :
[edit routing-instances routing-instance-name forwarding-options family vpls] filter input input-filter-name;
Configuration d’un filtre pour le trafic inondé
Vous pouvez configurer un filtre VPLS pour filtrer les paquets inondés. Les routeurs CE inondent généralement les types de paquets suivants vers les routeurs PE dans les instances de routage VPLS :
Paquets de diffusion de couche 2
Paquets multicast de couche 2
Paquets unicast de couche 2 avec une adresse MAC de destination inconnue
Paquets de couche 2 avec une entrée MAC dans la table de routage DMAC
Vous pouvez configurer des filtres pour gérer la façon dont ces paquets inondés sont distribués aux autres routeurs PE de l’instance de routage VPLS.
Pour appliquer un filtre d’inondation aux paquets arrivant au routeur PE dans l’instance de routage VPLS et spécifier le filtre, incluez l’instruction flood input :
flood input filter-name;
Vous pouvez inclure cette déclaration aux niveaux hiérarchiques suivants :
[edit routing-instances routing-instance-name forwarding-options family vpls][edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options family vpls]
Les routeurs ACX Series ne prennent pas en charge la [edit logical-systems] hiérarchie.
Configuration d’un mécanisme de contrôle VPLS
Vous pouvez configurer un mécanisme de contrôle pour le trafic VPLS. La configuration du mécanisme de contrôle VPLS est similaire à celle de tout autre type de mécanisme de contrôle.
Les mécanismes de contrôle VPLS présentent les caractéristiques suivantes :
Vous ne pouvez pas contrôler les routes VPLS par défaut stockées dans la table flood à partir du trafic flood provenant du routeur PE.
Lors de la spécification de la bande passante de contrôle, le mécanisme de contrôle VPLS prend en compte tous les octets de couche 2 d’un paquet pour déterminer la longueur du paquet.
Pour configurer un mécanisme de contrôle VPLS, incluez l’instruction policer au niveau de la [edit firewall] hiérarchie :
[edit firewall] policer policer-name { bandwidth-limit limit; burst-size-limit limit; then action; }
Pour appliquer un mécanisme de contrôle VPLS à une interface, incluez l’instruction policer :
policer { input input-policer-name; output output-policer-name; }
Vous pouvez inclure cette déclaration aux niveaux hiérarchiques suivants :
[edit interfaces interface-name unit number family vpls][edit logical-systems logical-system-name interfaces interface-name unit number family vpls
Les routeurs ACX Series ne prennent pas en charge la [edit logical-systems] hiérarchie.
Dans l’instruction input , indiquez le nom du régulateur VPLS à évaluer lors de la réception de paquets sur l’interface. Dans l’instruction output , indiquez le nom du régulateur VPLS à évaluer lors de la transmission des paquets sur l’interface. Ce type de mécanisme VPLS ne peut s’appliquer qu’aux paquets unicast. Pour plus d’informations sur la façon de filtrer les paquets flood , consultez Configuration d’un filtre pour le trafic flooded.