Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de filtros y políticas de firewall para VPLS

Puede configurar filtros de firewall y aplicadores de políticas para VPLS. Los filtros de firewall le permiten filtrar paquetes en función de sus componentes y realizar una acción en paquetes que coincidan con el filtro. Los reguladores de policía le permiten limitar la cantidad de tráfico que entra o sale de una interfaz.

Los filtros y políticas VPLS actúan en una trama de capa 2 que incluye el encabezado del control de acceso a medios (MAC) (después de aplicar cualquier reescritura de VLAN u otras reglas), pero no incluye el campo de comprobación de redundancia cíclica (CRC).

Puede aplicar políticas y filtros VPLS en el enrutador de PE solo a interfaces orientadas al cliente.

Nota:

En la documentación de VPLS, la palabra enrutador en términos como enrutador de PE se utiliza para referirse a cualquier dispositivo que proporcione funciones de enrutamiento.
Nota:

El comportamiento del procesamiento de filtros de firewall con direcciones MAC difiere entre DPC y MPC. En las MPC, los filtros de interfaz siempre se aplican antes de que se produzca el aprendizaje de MAC. El filtro de la tabla de reenvío de entrada se aplica después de completar el aprendizaje de MAC. Sin embargo, en los DPC, el aprendizaje de MAC se produce independientemente de la aplicación de filtros. Si la interfaz orientada hacia la CE del PE en la que se aplica el filtro de firewall es una MPC, se agota el tiempo de espera de la entrada MAC y nunca se vuelve a aprender. Sin embargo, si la interfaz orientada hacia la CE del PE en la que se aplica el filtro de firewall es un DP, no se agota el tiempo de espera de la entrada MAC y, si la entrada de la dirección MAC se borra manualmente, se vuelve a aprender.

En las siguientes secciones, se explica cómo configurar filtros y políticas para VPLS:

Configuración de un filtro VPLS

Para configurar un filtro para VPLS, incluya la filter instrucción en el nivel de [edit firewall family vpls] jerarquía:

Para obtener más información sobre cómo configurar filtros de firewall, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y policías de tráfico. Para obtener información sobre cómo configurar una condición de coincidencia de filtro VPLS, consulte Condiciones de coincidencia de filtro de firewall para tráfico VPLS.

Para configurar un filtro para el tráfico VPLS, complete las siguientes tareas:

Configuración de un contador específico de interfaz para VPLS

Cuando configure un filtro de firewall para VPLS y lo aplique a varias interfaces, puede especificar contadores individuales específicos para cada interfaz. Esto le permite recopilar estadísticas independientes sobre el tráfico que transita por cada interfaz.

Para generar un contador específico de interfaz para VPLS, configure la interface-specific instrucción. Se genera una instancia independiente del filtro. Esta instancia de filtro tiene un nombre diferente (según el nombre de la interfaz) y recopila únicamente estadísticas sobre la interfaz especificada.

Para configurar contadores específicos de la interfaz, incluya la interface-specific instrucción en el nivel de [edit firewall family vpls filter filter-name] jerarquía:

Nota:

El nombre del contador está restringido a 24 bytes. Si el contador renombrado supera esta longitud máxima, es posible que se rechace.

Configurar una acción para el filtro VPLS

Puede configurar las siguientes acciones para un filtro VPLS en el [edit firewall family vpls filter filter-name term term-name then] nivel de jerarquía: accept, count, discard, , loss-priorityforwarding-class, nextpolicer, , .

Configuración de FTF de VPLS

Los filtros de tabla de reenvío (FTF) son filtros configurados para tablas de reenvío. En el caso de VPLS, se adjuntan a la tabla de reenvío MAC de destino (DMAC) de la instancia de enrutamiento VPLS. Los FTF de VPLS se definen de la misma manera que cualquier otro tipo de FTF. Solo puede aplicar un FTF VPLS como filtro de entrada.

Para especificar un FTF VPLS, incluya la filter input instrucción en el nivel de [edit routing-instance routing-instance-name forwarding-options family vpls] jerarquía:

Cambiar la precedencia de los paquetes BPDU de árbol de expansión

Los paquetes BPDU del árbol de expansión se establecen automáticamente en una prioridad alta. El número de cola de estos paquetes se establece en 3. Un valor de cola de 3 indica una prioridad alta. Para habilitar esta mayor prioridad en los paquetes BPDU, se adjunta automáticamente a la tabla DMAC de VPLS un filtro de precedencia de BPDU específico de la instancia denominado default_bpdu_filter . Este filtro asigna una alta prioridad a todos los paquetes enviados a 01:80:c2:00:00:00/24.

Puede sobrescribir este filtro configurando un filtro FTF VPLS y aplicándolo a la instancia de enrutamiento VPLS. Para obtener más información, consulte Configuración de FTF de VPLS y Aplicación de un filtro VPLS a una instancia de enrutamiento VPLS.

Aplicación de un filtro VPLS a una interfaz

Para aplicar un filtro VPLS a una interfaz, incluya la filter instrucción:

Puede incluir esta instrucción en los siguientes niveles de jerarquía:

  • [edit interfaces interface-name unit number family vpls]

  • [edit logical-systems logical-system-name interfaces interface-name unit number family vpls]

Nota:

Los enrutadores de la serie ACX no admiten la [edit logical-systems] jerarquía.

En la input instrucción, enumere el nombre del filtro VPLS que se evaluará cuando se reciban paquetes en la interfaz. En la output instrucción, enumere el nombre del filtro VPLS que se evaluará cuando se transmitan paquetes en la interfaz.

Nota:

En el caso de los filtros de interfaz de salida, las direcciones MAC se aprenden después de completar la acción de filtrado. Cuando la acción de un filtro de interfaz de salida es discard, el paquete se descarta antes de aprender la dirección MAC. Sin embargo, un filtro de interfaz de entrada aprende la dirección MAC antes de descartar el paquete.

Aplicación de un filtro VPLS a una instancia de enrutamiento VPLS

Puede aplicar un filtro VPLS a una instancia de enrutamiento VPLS. El filtro comprueba el tráfico que pasa por la instancia de enrutamiento especificada.

Los filtros de instancia de enrutamiento de entrada aprenden la dirección MAC antes de que se complete la acción de filtro, por lo que si la acción de filtro es discard, la dirección MAC se aprende antes de que se descarte el paquete.

Para aplicar un filtro VPLS a los paquetes que llegan a una instancia de enrutamiento VPLS y especificar el filtro, incluya la filter input instrucción en el nivel de [edit routing-instances routing-instance-name forwarding-options family vpls] jerarquía:

Configurar un filtro para el tráfico inundado

Puede configurar un filtro VPLS para filtrar los paquetes inundados. Los enrutadores CE suelen inundar los siguientes tipos de paquetes a enrutadores de PE en instancias de enrutamiento VPLS:

  • Paquetes de difusión de capa 2

  • Paquetes de multidifusión de capa 2

  • Paquetes de unidifusión de capa 2 con una dirección MAC de destino desconocida

  • Paquetes de capa 2 con una entrada MAC en la tabla de enrutamiento DMAC

Puede configurar filtros para administrar cómo se distribuyen estos paquetes inundados a los otros enrutadores PE en la instancia de enrutamiento VPLS.

Para aplicar un filtro de inundación a los paquetes que llegan al enrutador de PE en la instancia de enrutamiento VPLS y especificar el filtro, incluya la flood input instrucción:

Puede incluir esta instrucción en los siguientes niveles de jerarquía:

  • [edit routing-instances routing-instance-name forwarding-options family vpls]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options family vpls]

Nota:

Los enrutadores de la serie ACX no admiten la [edit logical-systems] jerarquía.

Configuración de un aplicador de políticas VPLS

Puede configurar un aplicador de políticas para el tráfico VPLS. La configuración del aplicador de políticas VPLS es similar a la configuración de cualquier otro tipo de aplicador de políticas.

Los reguladores de políticas VPLS tienen las siguientes características:

  • No puede controlar las rutas VPLS predeterminadas almacenadas en la tabla de inundación del tráfico de inundación del enrutador de PE.

  • Al especificar el ancho de banda de control, el regulador de políticas VPLS tiene en cuenta todos los bytes de capa 2 de un paquete para determinar la longitud del paquete.

Para configurar un aplicador de políticas VPLS, incluya la policer instrucción en el nivel de [edit firewall] jerarquía:

Para aplicar un aplicador de políticas VPLS a una interfaz, incluya la policer instrucción:

Puede incluir esta instrucción en los siguientes niveles de jerarquía:

  • [edit interfaces interface-name unit number family vpls]

  • [edit logical-systems logical-system-name interfaces interface-name unit number family vpls

Nota:

Los enrutadores de la serie ACX no admiten la [edit logical-systems] jerarquía.

En la input instrucción, enumere el nombre del agente de policía VPLS que se evaluará cuando se reciban paquetes en la interfaz. En la output instrucción, enumere el nombre del agente de policía VPLS que se evaluará cuando se transmitan paquetes en la interfaz. Este tipo de policía VPLS solo se puede aplicar a paquetes de unidifusión. Para obtener información acerca de cómo filtrar paquetes de inundación, consulte Configurar un filtro para tráfico inundado.

Documentación relacionada