このページで
VPLSのファイアウォールフィルターとポリサーの設定
VPLSにファイアウォールフィルターとポリサーの両方を設定できます。ファイアウォールフィルターを使用すると、コンポーネントに基づいてパケットをフィルタリングし、フィルターに一致するパケットに対してアクションを実行できます。ポリサーを使用すると、インターフェイスを通過するトラフィックの量を制限できます。
VPLSフィルターとポリサーは、メディアアクセス制御(MAC)ヘッダーを含むレイヤー2フレームで動作します(VLAN書き換えやその他のルールが適用された後)。ただし、CRC(巡回冗長性チェック)フィールドは含まれません。
PE ルーター上の VPLS フィルターとポリサーは、顧客向けインターフェイスにのみ適用できます。
VPLSのドキュメントでは、ルーティング機能を提供するすべてのデバイスを指すために、PEルーターなどの用語「ルーター」という言葉が使用されています。
MAC アドレスで処理するファイアウォール フィルターの動作は、DPC と MPC では異なります。MPC では、MAC 学習が行われる前に、インターフェイス フィルターが常に適用されます。入力転送テーブル フィルターは、MAC 学習が完了した後に適用されます。ただし、DPC では、MAC 学習はフィルタのアプリケーションとは独立して行われます。ファイアウォール フィルターが適用されている PE の CE に面したインターフェイスが MPC の場合、MAC エントリはタイムアウトし、再び学習されることはありません。ただし、ファイアウォール フィルターが適用されている PE の CE 側インターフェースが DP である場合、MAC エントリーはタイムアウトせず、MAC アドレスエントリーを手動でクリアすると、再学習されます。
以下のセクションでは、VPLSにフィルターとポリサーを設定する方法について説明します。
VPLSフィルターの設定
VPLSのフィルターを設定するには、 階層レベルに filter ステートメントを [edit firewall family vpls] 含めます。
[edit firewall family vpls]
filter filter-name {
interface-specific;
term term-name {
from {
match-conditions;
}
then {
actions;
}
}
}
ファイアウォールフィルターを設定する方法の詳細については、 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照してください。VPLSフィルター一致条件を設定する方法については、 VPLSトラフィックのファイアウォールフィルター一致条件を参照してください。
VPLSトラフィックのフィルターを設定するには、以下のタスクを実行します。
- VPLSのインターフェイス固有カウンターの設定
- VPLSフィルターのアクションの設定
- VPLS FTF の設定
- スパニングツリー BPDU パケットの優先度の変更
- インターフェイスへのVPLSフィルターの適用
- VPLSルーティングインスタンスへのVPLSフィルターの適用
- フラッドトラフィックのフィルターの設定
VPLSのインターフェイス固有カウンターの設定
VPLSにファイアウォールフィルターを設定し、それを複数のインターフェイスに適用する場合、各インターフェイスに固有の個別のカウンターを指定できます。これにより、各インターフェイスを通過するトラフィック上で個別の統計情報を収集できます。
VPLSのインターフェイス固有のカウンターを生成するには、 ステートメントを interface-specific 設定します。フィルターの個別のインスタンス化が生成されます。このフィルターインスタンスは、(インターフェイス名に基づいて)異なる名前を持ち、指定されたインターフェイスでのみ統計情報を収集します。
インターフェイス固有のカウンターを設定するには、 階層レベルで ステートメントを[edit firewall family vpls filter filter-name]含めますinterface-specific。
[edit firewall family vpls filter filter-name] interface-specific;
カウンター名は 24 バイトに制限されています。名前が変更されたカウンターがこの最大長を超えると、それが拒否される可能性があります。
VPLSフィルターのアクションの設定
VPLSフィルターには、 の階層レベルcountpoliceracceptnextdiscardloss-priorityforwarding-classで以下のアクションを[edit firewall family vpls filter filter-name term term-name then]設定できます。
VPLS FTF の設定
転送テーブル フィルター(FTF)は、転送テーブルに設定されたフィルターです。VPLSの場合、VPLSルーティングインスタンスの宛先MAC(DMAC)転送テーブルに接続されます。VPLS FTF は、他のタイプの FTF と同じ方法で定義します。VPLS FTF のみを入力フィルターとして適用できます。
VPLS FTFを指定するには、 階層レベルに ステートメントを[edit routing-instance routing-instance-name forwarding-options family vpls]含めますfilter input。
[edit routing-instance routing-instance-name forwarding-options family vpls] filter input filter-name;
スパニングツリー BPDU パケットの優先度の変更
スパニング ツリー BPDU パケットは、自動的に高優先度に設定されます。これらのパケットのキュー番号は 3 に設定されています。M シリーズ ルーター(M320 ルーターを除く)では、デフォルトではキュー値 3 は高優先度を示します。BPDU パケットでこの高い優先度を有効にするには、 という名前 default_bpdu_filter のインスタンス固有の BPDU 優先度フィルターが VPLS DMAC テーブルに自動的にアタッチされます。このフィルターは、 に送信されたすべてのパケットに高い優先度を 01:80:c2:00:00:00/24置きます。
VPLS FTF フィルターを設定し、VPLS ルーティング インスタンスに適用することで、このフィルターを上書きできます。詳細については、 VPLS FTFの設定 と VPLSルーティングインスタンスへのVPLSフィルターの適用を参照してください。
インターフェイスへのVPLSフィルターの適用
VPLSフィルターをインターフェイスに適用するには、 ステートメントを filter 含めます。
filter { group index; input input-filter-name; output output-filter-name; }
以下の階層レベルでこのステートメントを含めることができます。
[edit interfaces interface-name unit number family vpls][edit logical-systems logical-system-name interfaces interface-name unit number family vpls]
ACX シリーズ ルーターは、 階層を [edit logical-systems] サポートしていません。
inputステートメントでは、インターフェイスでパケットが受信されたときに評価されるVPLSフィルターの名前をリストします。outputステートメントでは、パケットがインターフェイス上で送信される際に評価されるVPLSフィルターの名前をリストします。
出力インターフェイスフィルターでは、フィルターアクションが完了した後にMACアドレスが学習されます。出力インターフェイスフィルターのアクションが discardである場合、MACアドレスが学習される前にパケットがドロップされます。ただし、入力インターフェイスフィルターは、パケットを破棄する前にMACアドレスを学習します。
VPLSルーティングインスタンスへのVPLSフィルターの適用
VPLSフィルターをVPLSルーティングインスタンスに適用できます。このフィルターは、指定されたルーティング インスタンスを通過するトラフィックをチェックします。
入力ルーティングインスタンスフィルターは、フィルターアクションが完了する前にMACアドレスを学習するため、フィルターアクションが である場合、 discardパケットがドロップされる前にMACアドレスが学習されます。
VPLSルーティングインスタンスに到着するパケットにVPLSフィルターを適用し、フィルターを指定するには、 階層レベルに ステートメントを[edit routing-instances routing-instance-name forwarding-options family vpls]含filter inputめます。
[edit routing-instances routing-instance-name forwarding-options family vpls] filter input input-filter-name;
フラッドトラフィックのフィルターの設定
VPLSフィルターを設定して、フラッドパケットをフィルタリングすることができます。CE ルーターは通常、VPLS ルーティング インスタンスの PE ルーターに以下のタイプのパケットをフラッディングします。
レイヤー 2 ブロードキャスト パケット
レイヤー 2 マルチキャスト パケット
不明な宛先 MAC アドレスを持つレイヤー 2 ユニキャスト パケット
DMAC ルーティング テーブル内の MAC エントリーを持つレイヤー 2 パケット
VPLS ルーティング インスタンス内の他の PE ルーターにこれらのフラッディング パケットを配信する方法を管理するためのフィルターを設定できます。
VPLSルーティングインスタンスでPEルーターに到着するパケットにフラッディングフィルターを適用し、フィルターを指定するには、 ステートメントを flood input 含めます。
flood input filter-name;
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-instances routing-instance-name forwarding-options family vpls][edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options family vpls]
ACX シリーズ ルーターは、 階層を [edit logical-systems] サポートしていません。
VPLSポリサーの設定
VPLSトラフィックにポリサーを設定できます。VPLSポリサーの設定は、他のタイプのポリサーの設定と似ています。
VPLS ポリサーには、以下の特徴があります。
PE ルーターから供給されたフラッド トラフィックからフラッド テーブルに格納されたデフォルト VPLS ルートをポリシー設定することはできません。
ポリシング帯域幅を指定する場合、VPLSポリサーはパケット内のすべてのレイヤー2バイトを考慮してパケット長を決定します。
VPLSポリサーを設定するには、 階層レベルで ステートメントを[edit firewall]含めますpolicer。
[edit firewall] policer policer-name { bandwidth-limit limit; burst-size-limit limit; then action; }
VPLSポリサーをインターフェイスに適用するには、 ステートメントを policer 含めます。
policer { input input-policer-name; output output-policer-name; }
以下の階層レベルでこのステートメントを含めることができます。
[edit interfaces interface-name unit number family vpls][edit logical-systems logical-system-name interfaces interface-name unit number family vpls
ACX シリーズ ルーターは、 階層を [edit logical-systems] サポートしていません。
inputステートメントでは、インターフェイスでパケットを受信したときに評価されるVPLSポリサーの名前をリストします。outputステートメントでは、パケットがインターフェイス上で送信される際に評価されるVPLSポリサーの名前をリストします。このタイプのVPLSポリサーは、ユニキャストパケットにのみ適用できます。フラッドパケットをフィルタリングする方法については、 フラッドトラフィックに対するフィルターの設定を参照してください。