Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration des filtres et des polices de pare-feu pour VPLS

Vous pouvez configurer à la fois des filtres et des polices de pare-feu pour VPLS. Les filtres de pare-feu vous permettent de filtrer les paquets en fonction de leurs composants et d’effectuer une action sur les paquets correspondant au filtre. Les polices vous permettent de limiter la quantité de trafic entrant ou sortant d’une interface.

Les filtres et les polices VPLS agissent sur une trame de couche 2 qui inclut l’en-tête MAC (Media Access Control) (après toute réécriture VLAN ou d’autres règles sont appliquées), mais qui n’inclut pas le champ De vérification de redondance cyclique (CRC).

Vous pouvez appliquer des filtres et des polices VPLS sur le routeur PE aux interfaces client uniquement.

Note:

Dans la documentation VPLS, le mot routeur en termes tels que routeur PE est utilisé pour désigner tout équipement fournissant des fonctions de routage.

Note:

Le comportement du traitement des filtres de pare-feu avec les adresses MAC diffère entre les DPC et les MPC. Sur les MPC, les filtres d’interface sont toujours appliqués avant l’apprentissage MAC. Le filtre de table de transfert d’entrée est appliqué une fois l’apprentissage MAC terminé. Toutefois, sur les DPC, l’apprentissage MAC se produit indépendamment de l’application des filtres. Si l’interface CE du PE sur laquelle le filtre de pare-feu est appliqué est un MPC, alors l’entrée MAC est obsolète et n’est plus jamais apprise. Toutefois, si l’interface CE du PE sur laquelle le filtre de pare-feu est appliqué est un DP, alors l’entrée MAC n’est pas time-out et si l’entrée d’adresse MAC est réapprend manuellement, elle est réapprendre.

Les sections suivantes expliquent comment configurer les filtres et les contrôles pour VPLS :

Configuration d’un filtre VPLS

Pour configurer un filtre pour VPLS, incluez l’énoncé filter au niveau de la [edit firewall family vpls] hiérarchie :

Pour plus d’informations sur la configuration des filtres de pare-feu, consultez le Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et du contrôle du trafic. Pour plus d’informations sur la configuration d’une condition de correspondance de filtre VPLS, voir Conditions de correspondance du filtre de pare-feu pour le trafic VPLS.

Pour configurer un filtre pour le trafic VPLS, effectuez les tâches suivantes :

Configuration d’un compteur spécifique à l’interface pour VPLS

Lorsque vous configurez un filtre de pare-feu pour VPLS et que vous l’appliquez à plusieurs interfaces, vous pouvez spécifier des compteurs individuels spécifiques à chaque interface. Vous pouvez ainsi collecter des statistiques distinctes sur le trafic transitant par chaque interface.

Pour générer un compteur spécifique à l’interface pour VPLS, vous configurez l’instruction interface-specific . Une instanciation distincte du filtre est générée. Cette instance de filtre a un nom différent (en fonction du nom de l’interface) et collecte des statistiques sur l’interface spécifiée uniquement.

Pour configurer des compteurs spécifiques à l’interface, incluez l’énoncé interface-specific au niveau de la [edit firewall family vpls filter filter-name] hiérarchie :

Note:

Le nom du compteur est limité à 24 octets. Si le compteur renommé dépasse cette longueur maximale, il peut être rejeté.

Configuration d’une action pour le filtre VPLS

Vous pouvez configurer les actions suivantes pour un filtre VPLS au niveau de la [edit firewall family vpls filter filter-name term term-name then] hiérarchie : accept, count, discard, , forwarding-class, loss-priority, , next, policer.

Configuration des FTF VPLS

Les filtres de table de transfert (FTF) sont des filtres configurés pour les tables de transfert. Pour VPLS, ils sont rattachés à la table de transfert MAC de destination (DMAC) de l’instance de routage VPLS. Vous définissez les FTF VPLS de la même manière que tout autre type de FTF. Vous ne pouvez appliquer un FTF VPLS que comme filtre d’entrée.

Pour spécifier un FTF VPLS, incluez l’énoncé filter input au niveau de la [edit routing-instance routing-instance-name forwarding-options family vpls] hiérarchie :

Changement de priorité pour les paquets BPDU Spanning-Tree

Les paquets BPDU Spanning Tree sont automatiquement définis comme prioritaires. Le numéro de file d’attente de ces paquets est défini sur 3. Sur les routeurs M Series (à l’exception du routeur M320) par défaut, une valeur de file d’attente de 3 indique une priorité élevée. Pour activer cette priorité plus élevée sur les paquets BPDU, un filtre de priorité BPDU spécifique à une instance nommé default_bpdu_filter est automatiquement attaché à la table DMAC VPLS. Ce filtre place la priorité sur tous les paquets envoyés à 01:80:c2:00:00:00/24.

Vous pouvez remplacer ce filtre en configurant un filtre FTF VPLS et en l’appliquant à l’instance de routage VPLS. Pour plus d’informations, voir Configuration des FTF VPLS et Application d’un filtre VPLS à une instance de routage VPLS.

Application d’un filtre VPLS à une interface

Pour appliquer un filtre VPLS à une interface, incluez la filter déclaration :

Vous pouvez inclure cette déclaration aux niveaux hiérarchiques suivants :

  • [edit interfaces interface-name unit number family vpls]

  • [edit logical-systems logical-system-name interfaces interface-name unit number family vpls]

Note:

Les routeurs ACX Series ne prennent pas en charge la [edit logical-systems] hiérarchie.

Dans l’énoncé input , indiquez le nom du filtre VPLS à évaluer lorsque des paquets sont reçus sur l’interface. Dans l’énoncé output , indiquez le nom du filtre VPLS à évaluer lors de la transmission de paquets sur l’interface.

Note:

Pour les filtres d’interface de sortie, les adresses MAC sont apprises une fois l’action de filtre terminée. Lorsque l’action d’un filtre d’interface de sortie est discard, le paquet est abandonné avant que l’adresse MAC ne soit apprise. Toutefois, un filtre d’interface d’entrée apprend l’adresse MAC avant de rejeter le paquet.

Application d’un filtre VPLS à une instance de routage VPLS

Vous pouvez appliquer un filtre VPLS à une instance de routage VPLS. Le filtre vérifie le trafic passant par l’instance de routage spécifiée.

Les filtres d’instance de routage d’entrée apprennent l’adresse MAC avant l’achèvement de l’action de filtre, donc si l’action de filtre est discard, l’adresse MAC est apprise avant que le paquet ne soit supprimé.

Pour appliquer un filtre VPLS aux paquets arrivant sur une instance de routage VPLS et spécifier le filtre, incluez l’instruction filter input au niveau de la [edit routing-instances routing-instance-name forwarding-options family vpls] hiérarchie :

Configuration d’un filtre pour le trafic inondé

Vous pouvez configurer un filtre VPLS pour filtrer les paquets inondés. Les routeurs CE inondent généralement les types de paquets suivants vers des routeurs PE dans des instances de routage VPLS :

  • Paquets de diffusion de couche 2

  • Paquets multicast de couche 2

  • Paquets unicast de couche 2 avec une adresse MAC de destination inconnue

  • Paquets de couche 2 avec une entrée MAC dans la table de routage DMAC

Vous pouvez configurer des filtres pour gérer la façon dont ces paquets inondés sont distribués aux autres routeurs PE de l’instance de routage VPLS.

Pour appliquer un filtre d’inondation aux paquets arrivant sur le routeur PE dans l’instance de routage VPLS, et spécifier le filtre, incluez la flood input déclaration :

Vous pouvez inclure cette déclaration aux niveaux hiérarchiques suivants :

  • [edit routing-instances routing-instance-name forwarding-options family vpls]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options family vpls]

Note:

Les routeurs ACX Series ne prennent pas en charge la [edit logical-systems] hiérarchie.

Configuration d’un policer VPLS

Vous pouvez configurer un contrôle pour le trafic VPLS. La configuration du policer VPLS est similaire à celle de tout autre type de policer.

Les contrôles VPLS présentent les caractéristiques suivantes :

  • Vous ne pouvez pas policer les routes VPLS par défaut stockées dans la table d’inondation à partir du trafic d’inondation provenant du routeur PE.

  • Lors de la spécification de la bande passante de contrôle, le policer VPLS prend en compte tous les octets de couche 2 d’un paquet pour déterminer la longueur du paquet.

Pour configurer un policer VPLS, incluez l’énoncé policer au niveau de la [edit firewall] hiérarchie :

Pour appliquer un contrôle VPLS à une interface, incluez la policer déclaration :

Vous pouvez inclure cette déclaration aux niveaux hiérarchiques suivants :

  • [edit interfaces interface-name unit number family vpls]

  • [edit logical-systems logical-system-name interfaces interface-name unit number family vpls

Note:

Les routeurs ACX Series ne prennent pas en charge la [edit logical-systems] hiérarchie.

Dans l’énoncé input , indiquez le nom du policer VPLS à évaluer lorsque des paquets sont reçus sur l’interface. Dans l’énoncé output , indiquez le nom du contrôle VPLS à évaluer lors de la transmission de paquets sur l’interface. Ce type de police VPLS ne peut s’appliquer qu’aux paquets unicast. Pour plus d’informations sur le filtrage des paquets d’inondation, consultez configuration d’un filtre pour le trafic inondé.