VPLS でのブロードキャスト パケットの制限
フィルター、ポリサー、ブロードキャスト フィルターと不明フィルターを設定して、VPLS ドメインに出入りできるトラフィックの種類を決定できます。これらのフィルターとポリサーは、CEに面したインターフェイスにのみ適用できます。
VPLS ドメインへのブロードキャストおよび不明なユニキャスト パケットのフローを制限するには、ファイアウォール フィルターを作成し、VPLS ルーティング インスタンスの転送テーブルの 1 つにフィルターを適用する必要があります。この方法でフィルターを適用すると、vtインターフェイスを含むインスタンス内のすべてのインターフェイスからのトラフィックがフィルターによって処理されます。VPLSベースのファイアウォールフィルターの一致条件を設定するには、[edit firewall family vpls filter filter-name term term-name from]階層レベルでsource-mac-address、destination-mac-address、interface-group、ethernet-type、またはvlan-ethernet-type ステートメントを含めます。次に、ステートメントを指定して、一致したパケットに対して目的のアクション(例:discard)を[edit firewall family vpls filter filter-name term term-name then]階層レベルでアクティブにします。
VPLSルーティング インスタンスのブロードキャストおよび不明なユニキャストテーブルにフィルターを適用するには、[edit routing-instances instance-name forwarding-options family vpls flood]階層レベルでinputステートメントとフィルターの名前を含めます。VPLSルーティング インスタンスの宛先MACアドレステーブルにフィルターを適用するには、[edit routing-instances instance-name forwarding-options family vpls filter]階層レベルでinputステートメントとフィルターの名前を含めます。
[edit]
firewall {
family vpls {
filter vpls-flood {
term 1 {
from {
destination-mac-address {
00.90.69.dc.95.3b/48;
}
}
then discard;
}
term 2 {
then accept;
}
}
}
}
routing-instances {
green {
forwarding-options {
family vpls {
(flood | filter) {
input vpls-flood;
}
}
}
}
}
VPLSを設定すると、スパニングツリープロトコル(STP)ブリッジプロトコルデータユニット(BPDU)のプライオリティフィルターがデフォルトで有効になります。このBPDUフィルターは、 01:80:c2:00:00:00/24 の既知のSTP MACアドレスと一致し、このトラフィックに高いプライオリティを適用します。
VPLS ポリシーとフィルターの詳細については、 Junos ポリシー フレームワーク構成ガイド と Junos VPN 構成ガイドを参照してください。