Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为 VPLS 配置防火墙过滤器和监管器

您可以为 VPLS 配置防火墙过滤器和监管器。通过防火墙过滤器,您可以根据数据包的组件过滤数据包,并对与过滤器匹配的数据包执行作。监管器允许您限制进出接口的流量。

VPLS 过滤器和监管器作用于第 2 层帧,该帧包含媒体访问控制 (MAC) 标头(应用任何 VLAN 重写或其他规则后),但不包括循环冗余校验 (CRC) 字段。

您只能将 PE 路由器上的 VPLS 过滤器和监管器应用于面向客户的接口。

注意:

在 VPLS 文档中,PE 路由器等术语“路由器”用于指代提供路由功能的任何设备。

注意:

使用 MAC 地址处理防火墙过滤器的行为在 DPC 和 MPC 之间有所不同。在 MPC 上,始终在 MAC 学习之前应用接口过滤器。MAC 学习完成后,将应用输入转发表过滤器。但是,在 DPC 上,MAC 学习独立于滤波器的应用进行。如果应用防火墙过滤器的 PE 面向客户边缘的接口是 MPC,则 MAC 条目将超时,并且永远不会再次获知。但是,如果应用防火墙过滤器的 PE 面向客户边缘的接口是 DP,则 MAC 条目不会超时,如果手动清除 MAC 地址条目,则会重新学习该条目。

以下部分介绍如何为 VPLS 配置过滤器和监管器:

配置 VPLS 过滤器

要为 VPLS 配置过滤器,请在层次结构级别包含[edit firewall family vpls]filter语句:

有关如何配置防火墙过滤器的详细信息,请参阅路由 策略、防火墙过滤器和流量监管器用户指南。有关如何配置 VPLS 过滤器匹配条件的信息,请参阅 VPLS 流量的防火墙过滤器匹配条件

要为 VPLS 流量配置过滤器,请完成以下任务:

为 VPLS 配置特定于接口的计数器

为 VPLS 配置防火墙过滤器并将其应用于多个接口时,可以为每个接口指定单独的计数器。这样,您就可以收集有关通过每个接口的流量的单独统计信息。

要为 VPLS 生成特定于接口的计数器,请配置该 interface-specific 语句。将生成过滤器的单独实例化。此过滤器实例具有不同的名称(基于接口名称),并且仅会收集指定接口的统计信息。

要配置特定于接口的计数器,请在层次结构级别包含[edit firewall family vpls filter filter-name]interface-specific语句:

注意:

计数器名称限制为 24 个字节。如果重命名的计数器超过此最大长度,则可能会被拒绝。

为 VPLS 过滤器配置作

您可以在层次结构级别为 [edit firewall family vpls filter filter-name term term-name then] VPLS 过滤器配置以下作: acceptcount、 、 nextforwarding-classloss-prioritypolicerdiscard

配置 VPLS FTF

转发表过滤器 (FTF) 是为转发表配置的过滤器。对于 VPLS,它们连接到 VPLS 路由实例的目标 MAC (DMAC) 转发表。定义 VPLS FTF 的方式与任何其他类型的 FTF 相同。您只能将 VPLS FTF 应用为输入过滤器。

要指定 VPLS FTF,请在层次结构级别包含[edit routing-instance routing-instance-name forwarding-options family vpls]以下filter input语句:

更改生成树 BPDU 数据包的优先级

生成树 BPDU 数据包会自动设置为高优先级。这些数据包上的队列号设置为 3。队列值 3 表示优先级高。为了在 BPDU 数据包上启用这种更高的优先级,系统会自动将名为 default_bpdu_filter 的特定于实例的 BPDU 优先级过滤器附加到 VPLS DMAC 表。此过滤器对发送至 01:80:c2:00:00:00/24的所有数据包设置较高的优先级。

您可以通过配置 VPLS FTF 过滤器并将其应用于 VPLS 路由实例来覆盖此过滤器。有关更多信息,请参阅 配置 VPLS FTF将 VPLS 过滤器应用于 VPLS 路由实例

将 VPLS 过滤器应用于接口

要将 VPLS 过滤器应用于接口,请包含以下 filter 语句:

您可以在以下层级包含此语句:

  • [edit interfaces interface-name unit number family vpls]

  • [edit logical-systems logical-system-name interfaces interface-name unit number family vpls]

注意:

ACX 系列路由器不支持该 [edit logical-systems] 层次结构。

在语 input 句中,列出接口上收到数据包时要评估的 VPLS 过滤器的名称。在语 output 句中,列出在接口上传输数据包时要评估的 VPLS 过滤器的名称。

注意:

对于输出接口过滤器,MAC 地址将在过滤器作完成后学习。当输出接口过滤器的作为 discard时,数据包将被丢弃,然后再学习 MAC 地址。但是,输入接口过滤器会在丢弃数据包之前学习 MAC 地址。

将 VPLS 过滤器应用于 VPLS 路由实例

您可以将 VPLS 过滤器应用于 VPLS 路由实例。过滤器检查通过指定路由实例的流量。

输入路由实例过滤器在过滤作完成之前学习 MAC 地址,因此,如果过滤作为 discard,则在丢弃数据包之前学习 MAC 地址。

要将 VPLS 过滤器应用于到达 VPLS 路由实例的数据包并指定过滤器,请在层次结构级别包含[edit routing-instances routing-instance-name forwarding-options family vpls]filter input语句:

为泛洪流量配置过滤器

您可以配置 VPLS 过滤器来过滤泛洪的数据包。客户边缘路由器通常将以下类型的数据包泛洪到 VPLS 路由实例中的 PE 路由器:

  • 第 2 层广播数据包

  • 第 2 层组播数据包

  • 目标 MAC 地址未知的第 2 层单播数据包

  • DMAC 路由表中有 MAC 条目的第 2 层数据包

您可以配置过滤器来管理这些泛洪数据包如何分发到 VPLS 路由实例中的其他 PE 路由器。

要将泛洪过滤器应用于到达 VPLS 路由实例中 PE 路由器的数据包并指定过滤器,请包含以下 flood input 语句:

您可以在以下层级包含此语句:

  • [edit routing-instances routing-instance-name forwarding-options family vpls]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options family vpls]

注意:

ACX 系列路由器不支持该 [edit logical-systems] 层次结构。

配置 VPLS 监管器

您可以为 VPLS 流量配置监管器。VPLS 监管器配置与任何其他类型监管器的配置类似。

VPLS 监管器具有以下特征:

  • 您无法对存储在泛洪表中的默认 VPLS 路由与 PE 路由器源的泛洪流量进行监管。

  • 指定管制带宽时,VPLS 监管器会考虑数据包中的所有第 2 层字节来确定数据包长度。

要配置 VPLS 监管器,请在层次结构级别包含[edit firewall]policer语句:

要将 VPLS 监管器应用于接口,请包含以下 policer 语句:

您可以在以下层级包含此语句:

  • [edit interfaces interface-name unit number family vpls]

  • [edit logical-systems logical-system-name interfaces interface-name unit number family vpls

注意:

ACX 系列路由器不支持该 [edit logical-systems] 层次结构。

在语 input 句中,列出接口上收到数据包时要评估的 VPLS 监管器的名称。在语 output 句中,列出在接口上传输数据包时要评估的 VPLS 监管器的名称。这种类型的 VPLS 监管器只能适用于单播数据包。有关如何过滤泛洪数据包的信息,请参阅 为泛洪流量配置过滤器