このページの内容
VPLSのファイアウォールフィルターとポリサーの設定
VPLSには、ファイアウォールフィルターとポリサーの両方を設定できます。ファイアウォールフィルターを使用すると、そのコンポーネントに基づいてパケットをフィルタリングし、フィルターに一致するパケットに対してアクションを実行できます。ポリサーを使用すると、インターフェイスに出入りするトラフィックの量を制限できます。
VPLSフィルターとポリサーは、メディアアクセス制御(MAC)ヘッダーを含むレイヤー2フレームで動作しますが(VLAN書き換えまたはその他のルールが適用された後)、巡回冗長性チェック(CRC)フィールドは含まれません。
PE ルーター上の VPLS フィルターとポリサーは、顧客向けのインターフェイスにのみ適用できます。
VPLSのドキュメントでは、PEルーターなどの用語のルーターという言葉は、ルーティング機能を提供するデバイスを指すために使用されています。
MACアドレスで処理するファイアウォールフィルターの動作は、DPCとMPCで異なります。MPCでは、インターフェイスフィルターはMAC学習が発生する前に必ず適用されます。入力転送テーブルフィルターは、MAC学習が完了した後に適用されます。ただし、DPC では、MAC 学習はフィルターの適用とは独立して行われます。ファイアウォールフィルターが適用されるPEのCE向けインターフェイスがMPCの場合、MACエントリはタイムアウトし、二度と学習されることはありません。ただし、ファイアウォールフィルターが適用されるPEのCE向けインターフェイスがDPの場合、MACエントリはタイムアウトせず、MACアドレスエントリが手動でクリアされると、再学習されます。
次のセクションでは、VPLSのフィルターとポリサーの設定方法について説明します。
VPLSフィルターの設定
VPLSのフィルターを設定するには、[edit firewall family vpls]階層レベルでfilterステートメントを含めます。
[edit firewall family vpls]
filter filter-name {
interface-specific;
term term-name {
from {
match-conditions;
}
then {
actions;
}
}
}
ファイアウォールフィルターの設定方法の詳細については、 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照してください。VPLSフィルター一致条件の設定方法については、 VPLSトラフィックのファイアウォールフィルター一致条件を参照してください。
VPLSトラフィックのフィルターを設定するには、以下のタスクを実行します。
- VPLSのインターフェイス固有カウンターの設定
- VPLSフィルターのアクションの設定
- VPLS FTF の設定
- スパニングツリーBPDUパケットの優先度の変更
- VPLSフィルターのインターフェイスへの適用
- VPLSルーティングインスタンスへのVPLSフィルターの適用
- フラッディングトラフィックのフィルターの設定
VPLSのインターフェイス固有カウンターの設定
VPLSのファイアウォールフィルターを設定し、複数のインターフェイスに適用する場合、各インターフェイスに固有の個々のカウンターを指定することができます。これにより、各インターフェイスを通過するトラフィックに関する個別の統計情報を収集できます。
VPLSのインターフェイス固有のカウンターを生成するには、 interface-specific ステートメントを設定します。フィルターの個別のインスタンス化が生成されます。このフィルターインスタンスは(インターフェイス名に基づいて)異なる名前を持ち、指定されたインターフェイスの統計のみを収集します。
インターフェイス固有のカウンターを設定するには、[edit firewall family vpls filter filter-name]階層レベルでinterface-specificステートメントを含めます。
[edit firewall family vpls filter filter-name] interface-specific;
カウンタ名は24バイトに制限されています。名前を変更したカウンターがこの最大長を超えると、拒否される可能性があります。
VPLSフィルターのアクションの設定
VPLSフィルターに対して、 [edit firewall family vpls filter filter-name term term-name then] 階層レベルで以下のアクションを設定できます: accept、 count、 discard、 forwarding-class、 loss-priority、 next、 policer。
VPLS FTF の設定
転送テーブルフィルター(FTF)は、転送テーブル用に設定されたフィルターです。VPLSの場合、VPLSルーティングインスタンスのDMAC(宛先MAC)転送テーブルにアタッチされます。VPLS FTF は、他のタイプの FTF と同じ方法で定義します。VPLS FTFは、入力フィルターとしてのみ適用できます。
VPLS FTFを指定するには、[edit routing-instance routing-instance-name forwarding-options family vpls]階層レベルでfilter inputステートメントを含めます。
[edit routing-instance routing-instance-name forwarding-options family vpls] filter input filter-name;
スパニングツリーBPDUパケットの優先度の変更
スパニングツリーBPDUパケットは自動的に高い優先度に設定されます。これらのパケットのキュー番号は 3 に設定されています。キュー値 3 は、優先度が高いことを示します。BPDU パケットでこのより高い優先度を有効にするために、 default_bpdu_filter という名前のインスタンス固有の BPDU 優先度フィルターが VPLS DMAC テーブルに自動的にアタッチされます。このフィルターは、 01:80:c2:00:00:00/24に送信されたすべてのパケットに高い優先度を置きます。
VPLS FTFフィルターを設定し、VPLSルーティングインスタンスに適用することで、このフィルターを上書きできます。詳細については、「 VPLS FTFの設定 」および「 VPLSルーティングインスタンスへのVPLSフィルターの適用」を参照してください。
VPLSフィルターのインターフェイスへの適用
VPLSフィルターをインターフェイスに適用するには、 filter ステートメントを含めます。
filter { group index; input input-filter-name; output output-filter-name; }
以下の階層レベルでこのステートメントを含めることができます。
[edit interfaces interface-name unit number family vpls][edit logical-systems logical-system-name interfaces interface-name unit number family vpls]
ACXシリーズルーターは [edit logical-systems] 階層をサポートしていません。
inputステートメントでは、インターフェイスでパケットが受信されたときに評価されるVPLSフィルターの名前をリストします。outputステートメントでは、インターフェイスでパケットが送信されたときに評価されるVPLSフィルターの名前をリストします。
出力インターフェイスフィルターの場合、フィルターアクションが完了した後にMACアドレスが学習されます。出力インターフェイスフィルターのアクションが discardされると、MACアドレスが学習される前にパケットが破棄されます。ただし、入力インターフェイスフィルターは、パケットを破棄する前にMACアドレスを学習します。
VPLSルーティングインスタンスへのVPLSフィルターの適用
VPLSフィルターをVPLSルーティングインスタンスに適用できます。フィルターは、指定されたルーティングインスタンスを通過するトラフィックをチェックします。
入力ルーティングインスタンスフィルターは、フィルターアクションが完了する前にMACアドレスを学習するため、フィルターアクションが discardの場合、パケットがドロップされる前にMACアドレスが学習されます。
VPLSルーティングインスタンスに到着するパケットにVPLSフィルターを適用し、フィルターを指定するには、[edit routing-instances routing-instance-name forwarding-options family vpls]階層レベルでfilter inputステートメントを含めます。
[edit routing-instances routing-instance-name forwarding-options family vpls] filter input input-filter-name;
フラッディングトラフィックのフィルターの設定
VPLSフィルターを設定して、フラッディングしたパケットをフィルタリングできます。CEルーターは通常、VPLSルーティングインスタンスのPEルーターに以下のタイプのパケットをフラッディングします。
レイヤー 2 ブロードキャスト パケット
レイヤー 2 マルチキャスト パケット
宛先不明のMACアドレスを持つレイヤー2ユニキャストパケット
DMACルーティングテーブルにMACエントリーがあるレイヤー2パケット
フィルターを設定して、これらのフラッディングされたパケットがVPLSルーティングインスタンス内の他のPEルーターにどのように分配されるかを管理できます。
VPLSルーティングインスタンスのPEルーターに到着するパケットにフラッディングフィルターを適用し、フィルターを指定するには、 flood input ステートメントを含めます。
flood input filter-name;
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-instances routing-instance-name forwarding-options family vpls][edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options family vpls]
ACXシリーズルーターは [edit logical-systems] 階層をサポートしていません。
VPLSポリサーの設定
VPLSトラフィックにポリサーを設定できます。VPLSポリサーの設定は、他のタイプのポリサーの設定と似ています。
VPLSポリサーには、以下の特性があります。
PEルーターソースのフラッドトラフィックからフラッドテーブルに保存されているデフォルトVPLSルートを規制することはできません。
ポリシング帯域幅を指定する場合、VPLSポリサーはパケット内のすべてのレイヤー2バイトを考慮してパケットの長さを決定します。
VPLSポリサーを設定するには、[edit firewall]階層レベルでpolicerステートメントを含めます。
[edit firewall] policer policer-name { bandwidth-limit limit; burst-size-limit limit; then action; }
VPLSポリサーをインターフェイスに適用するには、 policer ステートメントを含めます。
policer { input input-policer-name; output output-policer-name; }
以下の階層レベルでこのステートメントを含めることができます。
[edit interfaces interface-name unit number family vpls][edit logical-systems logical-system-name interfaces interface-name unit number family vpls
ACXシリーズルーターは [edit logical-systems] 階層をサポートしていません。
inputステートメントでは、インターフェイスでパケットが受信されたときに評価されるVPLSポリサーの名前をリストします。outputステートメントでは、インターフェイスでパケットが送信されたときに評価されるVPLSポリサーの名前をリストします。このタイプのVPLSポリサーは、ユニキャストパケットにのみ適用できます。フラッディングパケットをフィルタリングする方法については、「フラッディングトラフィックのフィルターの設定」を参照してください。