Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPLS のファイアウォール フィルターとポリサーの設定

VPLS のファイアウォール フィルターとポリサーの両方を設定できます。ファイアウォール フィルターを使用すると、コンポーネントに基づいてパケットをフィルタリングし、フィルターに一致するパケットに対してアクションを実行できます。ポリサーを使用すると、インターフェイスを通過するトラフィックの量を制限できます。

VPLS フィルターとポリサーは、レイヤー 2 フレーム上で動作します。レイヤー 2 フレームには、メディア アクセス コントロール(MAC)ヘッダーが含まれます(VLAN 書き換えやその他のルールが適用された後)、CRC(巡回冗長チェック)フィールドは含まれません。

PE ルーターに VPLS フィルターとポリサーを適用できるのは、顧客対応インターフェイスに限られます。

メモ:

VPLSマニュアルでは、ルーティング機能を提供するデバイスを指すためにPEルーターなどの用語でルーターを使用します。

メモ:

MAC アドレスを使用したファイアウォール フィルター処理の動作は、DPC と MPC で異なります。MPC では、MAC 学習が行われる前にインターフェイス フィルタが常に適用されます。入力転送テーブル フィルタは、MAC 学習が完了した後に適用されます。ただし、DPC では、MAC 学習はフィルターの適用とは独立して行われます。ファイアウォール フィルタが適用されている PE の CE 側インターフェイスが MPC の場合、MAC エントリはタイムアウトし、再び学習されることはありません。ただし、ファイアウォール フィルタが適用されている PE の CE 側インターフェイスが DP の場合、MAC エントリはタイムアウトせず、MAC アドレス エントリが手動で消去された場合は、再学習されます。

以下のセクションでは、VPLS のフィルターとポリサーを設定する方法について説明します。

VPLS フィルタの設定

VPLS のフィルタを設定するには、階層レベルに filter ステートメントを [edit firewall family vpls] 含めます。

ファイアウォール フィルターを構成する方法の詳細については、「 ルーティング ポリシー、ファイアウォール フィルター、およびトラフィック ポリサー ユーザー ガイド」を参照してください。VPLS フィルターの一致条件を設定する方法については、「VPLS トラフィックのファイアウォール フィルターの一致条件」を参照してください。

VPLS トラフィックのフィルタを設定するには、次のタスクを実行します。

VPLS のインターフェイス固有カウンターの設定

VPLS のファイアウォール フィルタを設定して複数のインターフェイスに適用する場合、各インターフェイスに固有の個別のカウンターを指定できます。これにより、各インターフェイスを通過するトラフィックに関する個別の統計情報を収集できます。

VPLS のインターフェイス固有のカウンターを生成するには、ステートメントを設定します interface-specific 。フィルターの個別のインスタンス化が生成されます。このフィルタ インスタンスは、(インターフェイス名に基づいて)異なる名前を持ち、指定されたインターフェイスでのみ統計情報を収集します。

インターフェイス固有のカウンターを設定するには、階層レベルで interface-specific ステートメントを [edit firewall family vpls filter filter-name] 含めます。

メモ:

カウンター名は 24 バイトに制限されています。名前が変更されたカウンターがこの最大長を超えると、拒否される可能性があります。

VPLS フィルターのアクションの設定

VPLS フィルタの次のアクションは、階層レベルcountpoliceracceptnextdiscardloss-priorityforwarding-class[edit firewall family vpls filter filter-name term term-name then]設定できます。

VPLS FTF の設定

転送テーブル フィルタ(FTF)は、転送テーブル用に設定されたフィルタです。VPLS の場合、VPLS ルーティング インスタンスの宛先 MAC(DMAC)転送テーブルに接続されます。VPLS FTF は、他のタイプの FTF と同じ方法で定義します。VPLS FTF は入力フィルタとしてのみ適用できます。

VPLS FTF を指定するには、階層レベルに filter input ステートメントを [edit routing-instance routing-instance-name forwarding-options family vpls] 含めます。

スパニング ツリー BPDU パケットの優先度の変更

スパニング ツリー BPDU パケットは自動的に高優先度に設定されます。これらのパケットのキュー番号は 3 に設定されています。デフォルトでは、M シリーズ ルーター(M320 ルーターを除く)では、キュー値 3 は高い優先度を示します。この BPDU パケットの優先度を高めるために、名前が付いた default_bpdu_filter インスタンス固有の BPDU 優先度フィルタが VPLS DMAC テーブルに自動的にアタッチされます。このフィルタは、送信されるすべてのパケットに高い優先度を 01:80:c2:00:00:00/24設定します。

このフィルターは、VPLS FTF フィルターを設定し、VPLS ルーティング インスタンスに適用することで上書きできます。詳細については、「 VPLS FTF の設定」 および「 VPLS ルーティング インスタンスへの VPLS フィルタの適用」を参照してください

インターフェイスへの VPLS フィルタの適用

インターフェイスに VPLS フィルタを適用するには、次のステートメントを filter 含めます。

このステートメントは、以下の階層レベルに含めることができます。

  • [edit interfaces interface-name unit number family vpls]

  • [edit logical-systems logical-system-name interfaces interface-name unit number family vpls]

メモ:

ACX シリーズ ルーターは階層を [edit logical-systems] サポートしていません。

ステートメントで input 、パケットがインターフェイスで受信されたときに評価される VPLS フィルターの名前を示します。ステートメントで output 、パケットがインターフェイス上で送信されるときに評価される VPLS フィルターの名前を示します。

メモ:

出力インターフェイス フィルタでは、フィルタ アクションが完了した後に MAC アドレスが学習されます。出力インターフェイス フィルタのアクションが discard行われると、MAC アドレスが学習される前にパケットがドロップされます。ただし、入力インターフェイス フィルタは、パケットを破棄する前に MAC アドレスを学習します。

VPLS ルーティング インスタンスへの VPLS フィルターの適用

VPLS フィルターを VPLS ルーティング インスタンスに適用できます。このフィルターは、指定されたルーティング インスタンスを通過するトラフィックをチェックします。

入力ルーティング インスタンス フィルターは、フィルター アクションが完了する前に MAC アドレスを学習するため、フィルター アクションが行われる場合、 discardパケットがドロップされる前に MAC アドレスが学習されます。

VPLS ルーティング インスタンスに到着するパケットに VPLS フィルターを適用し、フィルターを指定するには、階層レベルでステートメントを[edit routing-instances routing-instance-name forwarding-options family vpls]含めますfilter input

フラッド トラフィックのフィルタの設定

VPLS フィルターを設定して、フラッディングされたパケットをフィルタリングできます。CE ルーターは通常、VPLS ルーティング インスタンスの PE ルーターに次のタイプのパケットをフラッディングします。

  • レイヤー 2 ブロードキャスト パケット

  • レイヤー 2 マルチキャスト パケット

  • 不明な宛先MACアドレスを持つレイヤー2ユニキャストパケット

  • DMAC ルーティング テーブルの MAC エントリーを持つレイヤー 2 パケット

これらのフラッディングパケットがVPLSルーティングインスタンス内の他のPEルーターに配信される方法を管理するようにフィルターを設定できます。

VPLS ルーティング インスタンスの PE ルーターに到着するパケットにフラッディング フィルタを適用し、フィルタを指定するには、次のステートメントを flood input 含めます。

このステートメントは、以下の階層レベルに含めることができます。

  • [edit routing-instances routing-instance-name forwarding-options family vpls]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options family vpls]

メモ:

ACX シリーズ ルーターは階層を [edit logical-systems] サポートしていません。

VPLS ポリサーの設定

VPLS トラフィックのポリサーを設定できます。VPLS ポリサーの設定は、他のタイプのポリサーの設定と似ています。

VPLS ポリサーには、次の特徴があります。

  • PE ルーターから供給されたフラッド トラフィックからフラッド テーブルに格納されているデフォルト VPLS ルートをポリシー設定することはできません。

  • ポリシー帯域幅を指定する場合、VPLS ポリサーはパケット内のすべてのレイヤー 2 バイトを考慮してパケット長を決定します。

VPLS ポリサーを設定するには、階層レベルに policer ステートメントを [edit firewall] 含めます。

インターフェイスに VPLS ポリサーを適用するには、次のステートメントを policer 含めます。

このステートメントは、以下の階層レベルに含めることができます。

  • [edit interfaces interface-name unit number family vpls]

  • [edit logical-systems logical-system-name interfaces interface-name unit number family vpls

メモ:

ACX シリーズ ルーターは階層を [edit logical-systems] サポートしていません。

ステートメントで input 、パケットがインターフェイスで受信されたときに評価される VPLS ポリサーの名前を示します。ステートメントで output 、パケットがインターフェイス上で送信されるときに評価される VPLS ポリサーの名前を示します。このタイプの VPLS ポリサーはユニキャスト パケットにのみ適用できます。フラッド パケットをフィルタリングする方法の詳細については、「 フラッド トラフィック用フィルタの設定」を参照してください。