이 페이지에서
VPLS를 위한 방화벽 필터 및 폴리서 구성
VPLS에 대한 방화벽 필터와 폴리서를 모두 구성할 수 있습니다. 방화벽 필터를 사용하면 구성 요소에 따라 패킷을 필터링하고 필터와 일치하는 패킷에 대해 작업을 수행할 수 있습니다. 폴리서를 사용하면 인터페이스로 들어오거나 나가는 트래픽 양을 제한할 수 있습니다.
VPLS 필터 및 폴리서는 미디어 액세스 제어(MAC) 헤더(VLAN 재작성 또는 기타 규칙이 적용된 후)를 포함하는 레이어 2 프레임에서 작동하지만 CRC(순환 중복 검사) 필드는 포함하지 않습니다.
PE 라우터의 VPLS 필터 및 폴리서를 고객 대면 인터페이스에만 적용할 수 있습니다.
VPLS 문서에서 PE 라우터와 같은 용어의 단어 라우터는 라우팅 기능을 제공하는 모든 디바이스를 참조하는 데 사용됩니다.
MAC 주소로 처리되는 방화벽 필터의 동작은 DPC와 MPC 간에 다릅니다. MPC에서 인터페이스 필터는 MAC 학습이 발생하기 전에 항상 적용됩니다. 입력 포워딩 테이블 필터는 MAC 학습이 완료된 후 적용됩니다. 그러나 DPC에서 MAC 학습은 필터 애플리케이션과 독립적으로 발생합니다. 방화벽 필터가 적용된 PE의 CE 대면 인터페이스가 MPC인 경우 MAC 엔트리 타임아웃이 발생해 다시 학습되지 않습니다. 그러나 방화벽 필터가 적용되는 PE의 CE 대면 인터페이스가 DP인 경우 MAC 항목의 시간 초과가 없으며 MAC 주소 항목이 수동으로 지워지면 다시 학습됩니다.
다음 섹션에서는 VPLS에 대한 필터 및 폴리서를 구성하는 방법을 설명합니다.
VPLS 필터 구성
VPLS에 대한 필터를 구성하려면 계층 수준에서 문을 [edit firewall family vpls] 포함합니다filter.
[edit firewall family vpls]
filter filter-name {
interface-specific;
term term-name {
from {
match-conditions;
}
then {
actions;
}
}
}
방화벽 필터 구성 방법에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 가이드를 참조하십시오. VPLS 필터 일치 조건을 구성하는 방법에 대한 자세한 내용은 VPLS 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
VPLS 트래픽에 대한 필터를 구성하려면 다음 작업을 완료하십시오.
- VPLS를 위한 인터페이스별 카운터 구성
- VPLS 필터에 대한 작업 구성
- VPLS FTF 구성
- 스패닝 트리 BPDU 패킷의 우선 순위 변경
- 인터페이스에 VPLS 필터 적용
- VPLS 라우팅 인스턴스에 VPLS 필터 적용
- 플러드된 트래픽에 대한 필터 구성
VPLS를 위한 인터페이스별 카운터 구성
VPLS를 위한 방화벽 필터를 구성하고 이를 여러 인터페이스에 적용할 때 각 인터페이스에 특정한 개별 카운터를 지정할 수 있습니다. 이를 통해 각 인터페이스를 통과하는 트래픽에 대해 별도의 통계를 수집할 수 있습니다.
VPLS에 대한 인터페이스별 카운터를 생성하려면 문을 구성합니다 interface-specific . 필터의 별도의 인스턴스화가 생성됩니다. 이 필터 인스턴스는 인터페이스 이름에 따라 다른 이름을 가지며 지정된 인터페이스에서만 통계를 수집합니다.
인터페이스별 카운터를 구성하려면 계층 수준에서 문을 [edit firewall family vpls filter filter-name] 포함합니다interface-specific.
[edit firewall family vpls filter filter-name] interface-specific;
카운터 이름은 24 바이트로 제한됩니다. 이름이 변경된 카운터가 이 최대 길이를 초과하면 거부될 수 있습니다.
VPLS 필터에 대한 작업 구성
계층 수준에서 VPLS 필터 [edit firewall family vpls filter filter-name term term-name then] 에 대해 다음 작업을 구성할 수 있습니다. acceptcountdiscardforwarding-classloss-prioritynextpolicer
VPLS FTF 구성
포워딩 테이블 필터(FTF)는 포워딩 테이블을 위해 구성된 필터입니다. VPLS의 경우, VPLS 라우팅 인스턴스의 대상 MAC(DMAC) 포워딩 테이블 연결됩니다. 다른 유형의 FTF와 동일한 방식으로 VPLS FTF를 정의합니다. VPLS FTF만 입력 필터로 적용할 수 있습니다.
VPLS FTF를 지정하려면 계층 수준에서 문을 [edit routing-instance routing-instance-name forwarding-options family vpls] 포함합니다filter input.
[edit routing-instance routing-instance-name forwarding-options family vpls] filter input filter-name;
스패닝 트리 BPDU 패킷의 우선 순위 변경
스패닝 트리 BPDU 패킷은 자동으로 높은 우선 순위로 설정됩니다. 이러한 패킷의 대기열 수는 3으로 설정됩니다. 기본적으로 M Series 라우터(M320 라우터 제외)에서 3의 대기열 값은 높은 우선 순위를 나타냅니다. BPDU 패킷에서 이 높은 우선 순위를 활성화하기 위해 라는 default_bpdu_filter 인스턴스별 BPDU 우선 순위 필터가 자동으로 VPLS DMAC 테이블에 연결됩니다. 이 필터는 로 전송 01:80:c2:00:00:00/24된 모든 패킷에 높은 우선 순위를 지정합니다.
VPLS FTF 필터를 구성하고 VPLS 라우팅 인스턴스에 적용하여 이 필터를 덮어 사용할 수 있습니다. 자세한 내용은 VPLS FTF 구성 및 VPLS 라우팅 인스턴스에 VPLS 필터 적용을 참조하십시오.
인터페이스에 VPLS 필터 적용
VPLS 필터를 인터페이스에 적용하려면 문을 포함합니다 filter .
filter { group index; input input-filter-name; output output-filter-name; }
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit interfaces interface-name unit number family vpls][edit logical-systems logical-system-name interfaces interface-name unit number family vpls]
ACX 시리즈 라우터는 계층을 [edit logical-systems] 지원하지 않습니다.
문에서 input 패킷이 인터페이스에서 수신될 때 평가할 VPLS 필터의 이름을 나열합니다. 문에서 output 패킷이 인터페이스에서 전송될 때 평가할 VPLS 필터의 이름을 나열합니다.
출력 인터페이스 필터의 경우, MAC 주소는 필터 작업이 완료된 후 학습됩니다. 출력 인터페이스 필터의 작업이 인 경우 discardMAC 주소 학습되기 전에 패킷이 삭제됩니다. 그러나 입력 인터페이스 필터는 패킷을 폐기하기 전에 MAC 주소 학습합니다.
VPLS 라우팅 인스턴스에 VPLS 필터 적용
VPLS 필터를 VPLS 라우팅 인스턴스에 적용할 수 있습니다. 필터는 지정된 라우팅 인스턴스를 통과하는 트래픽을 확인합니다.
입력 라우팅 인스턴스 필터는 필터 작업이 완료되기 전에 MAC 주소 학습하므로 필터 작업이 인 discard경우 패킷이 손실되기 전에 MAC 주소 학습됩니다.
VPLS 라우팅 인스턴스에 도달한 패킷에 VPLS 필터를 적용하고 필터를 지정하려면 계층 수준에서 문을 [edit routing-instances routing-instance-name forwarding-options family vpls] 포함합니다filter input.
[edit routing-instances routing-instance-name forwarding-options family vpls] filter input input-filter-name;
플러드된 트래픽에 대한 필터 구성
VPLS 필터를 구성하여 플러드 패킷을 필터링할 수 있습니다. CE 라우터는 일반적으로 VPLS 라우팅 인스턴스에서 PE 라우터로 다음 유형의 패킷을 플러딩합니다.
레이어 2 브로드캐스트 패킷
레이어 2 멀티캐스트 패킷
알 수 없는 대상 MAC 주소 있는 레이어 2 유니캐스트 패킷
DMAC 라우팅 테이블 MAC 입력 항목이 있는 레이어 2 패킷
필터를 구성하여 이러한 플러딩 패킷이 VPLS 라우팅 인스턴스의 다른 PE 라우터로 배포되는 방식을 관리할 수 있습니다.
VPLS 라우팅 인스턴스에서 PE 라우터에 도착한 패킷에 플러딩 필터를 적용하고 필터를 지정하려면 문을 포함합니다 flood input .
flood input filter-name;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit routing-instances routing-instance-name forwarding-options family vpls][edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options family vpls]
ACX 시리즈 라우터는 계층을 [edit logical-systems] 지원하지 않습니다.
VPLS 폴리서 구성
VPLS 트래픽에 대한 폴리서 를 구성할 수 있습니다. VPLS 폴리서 구성은 다른 유형의 폴리서 구성과 유사합니다.
VPLS 폴리서는 다음과 같은 특성을 가지고 있습니다.
PE 라우터에서 조달된 플러드 트래픽에서 플러드 테이블에 저장된 기본 VPLS 경로를 폴리시할 수 없습니다.
폴리싱 대역폭을 지정할 때, VPLS 폴리서가 패킷 길이를 결정하기 위해 패킷의 모든 레이어 2 바이트를 고려합니다.
VPLS 폴리서를 구성하려면 계층 수준에서 문을 [edit firewall] 포함합니다policer.
[edit firewall] policer policer-name { bandwidth-limit limit; burst-size-limit limit; then action; }
VPLS 폴리서를 인터페이스에 적용하려면 문을 포함합니다 policer .
policer { input input-policer-name; output output-policer-name; }
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit interfaces interface-name unit number family vpls][edit logical-systems logical-system-name interfaces interface-name unit number family vpls
ACX 시리즈 라우터는 계층을 [edit logical-systems] 지원하지 않습니다.
문에서 input 패킷이 인터페이스에서 수신될 때 평가할 VPLS 폴리서의 이름을 나열합니다. 문에서 output 패킷이 인터페이스에서 전송될 때 평가할 VPLS 폴리서의 이름을 나열합니다. 이러한 유형의 VPLS 폴리서는 유니캐스트 패킷에만 적용할 수 있습니다. 플러드 패킷을 필터링하는 방법에 대한 자세한 내용은 플러드 트래픽 필터 구성을 참조하십시오.