EN ESTA PÁGINA
Configuración de filtros y policías de firewall para VPLS
Puede configurar tanto filtros de firewall como políticas para VPLS. Los filtros de firewall le permiten filtrar paquetes según sus componentes y realizar una acción en paquetes que coincidan con el filtro. Los policias le permiten limitar la cantidad de tráfico que entra o sale de una interfaz.
Los filtros y policías VPLS actúan en una trama de capa 2 que incluye el encabezado de control de acceso a medios (MAC) (después de aplicar cualquier reescritura de VLAN u otras reglas), pero no incluye el campo de comprobación de redundancia cíclica (CRC).
Puede aplicar filtros y políticas VPLS en el enrutador de PE solo a interfaces orientadas al cliente.
En la documentación del VPLS, la palabra enrutador en términos como enrutador de PE se utiliza para hacer referencia a cualquier dispositivo que proporcione funciones de enrutamiento.
El comportamiento del procesamiento de filtros de firewall con direcciones MAC difiere entre DPC y MPC. En los MPC, los filtros de interfaz siempre se aplican antes de que ocurra el aprendizaje de MAC. El filtro de tabla de reenvío de entrada se aplica después de completar el aprendizaje de MAC. Sin embargo, en los DPC, el aprendizaje de MAC ocurre independientemente de la aplicación de filtros. Si la interfaz ce-cara del PE en la que se aplica el filtro de firewall es un MPC, entonces la entrada MAC tiene un tiempo de espera y nunca más se aprende. Sin embargo, si la interfaz CE del PE en la que se aplica el filtro de firewall es un DP, la entrada MAC no se cronoplica y si la entrada de dirección MAC se borra manualmente, se vuelve a aprender.
En las siguientes secciones se explica cómo configurar filtros y políticas para VPLS:
Configurar un filtro VPLS
Para configurar un filtro para VPLS, incluya la filter instrucción en el [edit firewall family vpls] nivel de jerarquía:
[edit firewall family vpls]
filter filter-name {
interface-specific;
term term-name {
from {
match-conditions;
}
then {
actions;
}
}
}
Para obtener más información acerca de cómo configurar filtros de firewall, consulte la Guía del usuario sobre políticas de enrutamiento, filtros de firewall y policías de tráfico. Para obtener más información sobre cómo configurar una condición de coincidencia de filtro VPLS, consulte Condiciones de coincidencia de filtro de firewall para tráfico VPLS.
Para configurar un filtro para el tráfico VPLS, realice las siguientes tareas:
- Configuración de un contador específico de interfaz para VPLS
- Configuración de una acción para el filtro VPLS
- Configuración de FFT VPLS
- Cambio de prioridad para paquetes BPDU de árbol de expansión
- Aplicación de un filtro VPLS a una interfaz
- Aplicación de un filtro VPLS a una instancia de enrutamiento VPLS
- Configurar un filtro para el tráfico inundado
Configuración de un contador específico de interfaz para VPLS
Cuando configure un filtro de firewall para VPLS y lo aplique a varias interfaces, puede especificar contadores individuales específicos para cada interfaz. Esto le permite recopilar estadísticas separadas sobre el tráfico que transita cada interfaz.
Para generar un contador específico de interfaz para VPLS, configure la interface-specific instrucción. Se genera una instanciación independiente del filtro. Esta instancia de filtro tiene un nombre diferente (basado en el nombre de la interfaz) y recopila estadísticas solo en la interfaz especificada.
Para configurar contadores específicos de interfaz, incluya la interface-specific instrucción en el [edit firewall family vpls filter filter-name] nivel jerárquico:
[edit firewall family vpls filter filter-name] interface-specific;
El nombre del contador está restringido a 24 bytes. Si el contador renombrado supera esta longitud máxima, es posible que se rechace.
Configuración de una acción para el filtro VPLS
Puede configurar las siguientes acciones para un filtro VPLS en el [edit firewall family vpls filter filter-name term term-name then] nivel jerárquico: accept, count, discard, forwarding-class, loss-priority, next. policer
Configuración de FFT VPLS
Los filtros de tabla de reenvío (FTF) son filtros configurados para tablas de reenvío. Para VPLS, se adjuntan a la tabla de reenvío MAC de destino (DMAC) de la instancia de enrutamiento VPLS. Se definen FFT VPLS de la misma manera que cualquier otro tipo de FTF. Solo puede aplicar un FTF VPLS como filtro de entrada.
Para especificar un VPLS FTF, incluya la filter input instrucción en el [edit routing-instance routing-instance-name forwarding-options family vpls] nivel de jerarquía:
[edit routing-instance routing-instance-name forwarding-options family vpls] filter input filter-name;
Cambio de prioridad para paquetes BPDU de árbol de expansión
Los paquetes BPDU de árbol de expansión se establecen automáticamente con una prioridad alta. El número de cola de estos paquetes se establece en 3. En los enrutadores serie M (excepto el enrutador M320) de forma predeterminada, un valor de cola de 3 indica prioridad alta. Para habilitar esta prioridad más alta en paquetes BPDU, un filtro de precedencia BPDU específico de la instancia denominado default_bpdu_filter se adjunta automáticamente a la tabla DMAC VPLS. Este filtro otorga una prioridad alta a todos los paquetes enviados a 01:80:c2:00:00:00/24.
Puede sobrescribir este filtro configurando un filtro FTF VPLS y aplicándole a la instancia de enrutamiento VPLS. Para obtener más información, consulte Configuración de FFT de VPLS y Aplicación de un filtro VPLS a una instancia de enrutamiento VPLS.
Aplicación de un filtro VPLS a una interfaz
Para aplicar un filtro VPLS a una interfaz, incluya la filter instrucción:
filter { group index; input input-filter-name; output output-filter-name; }
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit number family vpls][edit logical-systems logical-system-name interfaces interface-name unit number family vpls]
Los enrutadores de la serie ACX no admiten la [edit logical-systems] jerarquía.
En la input instrucción, enumera el nombre del filtro VPLS que se evaluará cuando se reciben paquetes en la interfaz. En la output instrucción, enumiera el nombre del filtro VPLS que se evaluará cuando se transmiten paquetes en la interfaz.
Para los filtros de interfaz de salida, las direcciones MAC se aprenden después de completar la acción del filtro. Cuando la acción de un filtro de interfaz de salida es discard, el paquete se cae antes de aprender la dirección MAC. Sin embargo, un filtro de interfaz de entrada aprende la dirección MAC antes de descartar el paquete.
Aplicación de un filtro VPLS a una instancia de enrutamiento VPLS
Puede aplicar un filtro VPLS a una instancia de enrutamiento VPLS. El filtro comprueba el tráfico que pasa por la instancia de enrutamiento especificada.
Los filtros de instancia de enrutamiento de entrada aprenden la dirección MAC antes de que se complete la acción de filtro, de modo que si la acción de filtro es discard, la dirección MAC se aprende antes de que se caiga el paquete.
Para aplicar un filtro VPLS a los paquetes que llegan a una instancia de enrutamiento VPLS y especificar el filtro, incluya la filter input instrucción en el [edit routing-instances routing-instance-name forwarding-options family vpls] nivel de jerarquía:
[edit routing-instances routing-instance-name forwarding-options family vpls] filter input input-filter-name;
Configurar un filtro para el tráfico inundado
Puede configurar un filtro VPLS para filtrar paquetes inundados. Los enrutadores CE suelen inundar los siguientes tipos de paquetes a enrutadores de PE en instancias de enrutamiento VPLS:
Paquetes de difusión de capa 2
Paquetes de multidifusión de capa 2
Paquetes de unidifusión de capa 2 con una dirección MAC de destino desconocido
Paquetes de capa 2 con una entrada MAC en la tabla de enrutamiento DMAC
Puede configurar filtros para administrar cómo se distribuyen estos paquetes inundados a los otros enrutadores de PE en la instancia de enrutamiento VPLS.
Para aplicar un filtro de inundación a los paquetes que llegan al enrutador PE en la instancia de enrutamiento VPLS y especifique el filtro, incluya la flood input instrucción:
flood input filter-name;
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit routing-instances routing-instance-name forwarding-options family vpls][edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options family vpls]
Los enrutadores de la serie ACX no admiten la [edit logical-systems] jerarquía.
Configurar un agente de policía VPLS
Puede configurar un agente de policía para el tráfico VPLS. La configuración del agente de policía VPLS es similar a la configuración de cualquier otro tipo de policia.
Los policias VPLS tienen las siguientes características:
No puede bloquear las rutas VPLS predeterminadas almacenadas en la tabla de inundación desde el tráfico de inundación del enrutador de PE.
Al especificar el ancho de banda de policía, el agente de políticas VPLS considera todos los bytes de capa 2 en un paquete para determinar la longitud del paquete.
Para configurar un agente de policía VPLS, incluya la policer instrucción en el [edit firewall] nivel de jerarquía:
[edit firewall] policer policer-name { bandwidth-limit limit; burst-size-limit limit; then action; }
Para aplicar un agente de policía VPLS a una interfaz, incluya la policer instrucción:
policer { input input-policer-name; output output-policer-name; }
Puede incluir esta instrucción en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit number family vpls][edit logical-systems logical-system-name interfaces interface-name unit number family vpls
Los enrutadores de la serie ACX no admiten la [edit logical-systems] jerarquía.
En la input instrucción, enumera el nombre del agente de policía VPLS que se evaluará cuando se reciben paquetes en la interfaz. En la output instrucción, enumiera el nombre del agente de policía VPLS que se evaluará cuando se transmiten paquetes en la interfaz. Este tipo de agente de policía VPLS solo se puede aplicar a paquetes de unidifusión. Para obtener más información acerca de cómo filtrar paquetes inundados, consulte Configurar un filtro para el tráfico inundado.