이 페이지의 내용
VPLS를 위한 방화벽 필터 및 폴리서 구성
VPLS에 대한 방화벽 필터와 폴리서를 모두 구성할 수 있습니다. 방화벽 필터를 사용하면 구성 요소를 기반으로 패킷을 필터링하고 필터와 일치하는 패킷에 작업을 수행할 수 있습니다. 폴리서를 사용하면 인터페이스로 들어오거나 나가는 트래픽의 양을 제한할 수 있습니다.
VPLS 필터 및 폴리서는 미디어 액세스 제어(MAC) 헤더(VLAN 재작성 또는 기타 규칙이 적용된 후)를 포함하지만 순환 중복 검사(CRC) 필드는 포함하지 않는 레이어 2 프레임에서 작동합니다.
PE 라우터의 VPLS 필터와 폴리서는 고객 대면 인터페이스에만 적용할 수 있습니다.
VPLS 설명서에서 PE 라우터와 같은 용어의 라우터라는 단어는 라우팅 기능을 제공하는 모든 디바이스를 지칭하는 데 사용됩니다.
MAC 주소로 처리하는 방화벽 필터의 동작은 DPC와 MPC 간에 다릅니다. MPC에서 인터페이스 필터는 항상 MAC 학습이 발생하기 전에 적용됩니다. 입력 포워딩 테이블 필터는 MAC 학습이 완료된 후에 적용됩니다. 그러나 DPC에서 MAC 학습은 필터 적용과 독립적으로 발생합니다. 방화벽 필터가 적용된 PE의 CE 대면 인터페이스가 MPC인 경우 MAC 항목 시간이 초과되고 다시는 학습되지 않습니다. 그러나 방화벽 필터가 적용된 PE의 CE 대면 인터페이스가 DP인 경우, MAC 항목은 시간 초과되지 않으며, MAC 주소 항목을 수동으로 지우면 재학습됩니다.
다음 섹션에서는 VPLS에 대한 필터 및 폴리서를 구성하는 방법에 대해 설명합니다.
VPLS 필터 구성
VPLS에 대한 필터를 구성하려면 계층 수준에서 다음 문을 포함 filter 합니다.[edit firewall family vpls]
[edit firewall family vpls]
filter filter-name {
interface-specific;
term term-name {
from {
match-conditions;
}
then {
actions;
}
}
}
방화벽 필터를 구성하는 방법에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 가이드를 참조하십시오. VPLS 필터 일치 조건을 구성하는 방법에 대한 자세한 내용은 VPLS 트래픽에 대한 방화벽 필터 일치 조건을 참조하십시오.
VPLS 트래픽에 대한 필터를 구성하려면 다음 작업을 완료합니다.
- VPLS를 위한 인터페이스별 카운터 구성
- VPLS 필터에 대한 작업 구성
- VPLS FTF 구성
- 스패닝 트리 BPDU 패킷의 우선 순위 변경
- 인터페이스에 VPLS 필터 적용
- VPLS 라우팅 인스턴스에 VPLS 필터 적용
- 플러딩 트래픽에 대한 필터 구성
VPLS를 위한 인터페이스별 카운터 구성
VPLS에 대한 방화벽 필터를 구성하고 이를 여러 인터페이스에 적용할 때 각 인터페이스에 특정한 개별 카운터를 지정할 수 있습니다. 이를 통해 각 인터페이스를 통과하는 트래픽에 대한 별도의 통계를 수집할 수 있습니다.
VPLS에 대한 인터페이스별 카운터를 생성하려면 문을 구성합니다. interface-specific 필터의 별도 인스턴스화가 생성됩니다. 이 필터 인스턴스는 인터페이스 이름을 기반으로 다른 이름을 가지며, 지정된 인터페이스에 대해서만 통계를 수집합니다.
인터페이스별 카운터를 구성하려면 계층 수준에서 문을 포함 interface-specific 합니다.[edit firewall family vpls filter filter-name]
[edit firewall family vpls filter filter-name] interface-specific;
카운터 이름은 24바이트로 제한됩니다. 이름이 변경된 카운터가 이 최대 길이를 초과하면 거부될 수 있습니다.
VPLS 필터에 대한 작업 구성
계층 수준에서 VPLS 필터에 대해 다음과 같은 작업을 구성할 수 있습니다: [edit firewall family vpls filter filter-name term term-name then] , count, discard, policerforwarding-classloss-prioritynext. accept
VPLS FTF 구성
포워딩 테이블 필터(FTF)는 포워딩 테이블을 위해 구성된 필터입니다. VPLS의 경우, VPLS 라우팅 인스턴스의 대상 MAC(DMAC) 포워딩 테이블에 연결됩니다. VPLS FTF는 다른 유형의 FTF와 동일한 방식으로 정의합니다. VPLS FTF는 입력 필터로만 적용할 수 있습니다.
VPLS FTF를 지정하려면 계층 수준에서 다음 문을 포함 filter input 합니다.[edit routing-instance routing-instance-name forwarding-options family vpls]
[edit routing-instance routing-instance-name forwarding-options family vpls] filter input filter-name;
스패닝 트리 BPDU 패킷의 우선 순위 변경
스패닝 트리 BPDU 패킷은 자동으로 높은 우선 순위로 설정됩니다. 이러한 패킷의 대기열 수는 3으로 설정됩니다. 대기열 값이 3이면 우선 순위가 높다는 것을 나타냅니다. BPDU 패킷에서 이러한 더 높은 우선 순위를 활성화하기 위해 인스턴스별 BPDU 우선 순위 필터 default_bpdu_filter 가 VPLS DMAC 테이블에 자동으로 연결됩니다. 이 필터는 로 전송되는 모든 패킷에 높은 우선 순위를 부여합니다.01:80:c2:00:00:00/24
VPLS FTF 필터를 구성하고 VPLS 라우팅 인스턴스에 적용하여 이 필터를 덮어쓸 수 있습니다. 자세한 내용은 VPLS FTF 구성 및 VPLS 라우팅 인스턴스에 VPLS 필터 적용을 참조하십시오.
인터페이스에 VPLS 필터 적용
VPLS 필터를 인터페이스에 적용하려면 다음 문을 포함합니다.filter
filter { group index; input input-filter-name; output output-filter-name; }
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit interfaces interface-name unit number family vpls][edit logical-systems logical-system-name interfaces interface-name unit number family vpls]
ACX 시리즈 라우터는 계층을 [edit logical-systems] 지원하지 않습니다.
문에서 input 인터페이스에서 패킷이 수신될 때 평가할 VPLS 필터의 이름을 나열합니다. 문에서 output 패킷이 인터페이스에서 전송될 때 평가할 VPLS 필터의 이름을 나열합니다.
출력 인터페이스 필터의 경우, MAC 주소는 필터 작업이 완료된 후에 학습됩니다. 출력 인터페이스 필터의 작업이 discard인 경우, MAC 주소가 학습되기 전에 패킷이 삭제됩니다. 그러나 입력 인터페이스 필터는 패킷을 폐기하기 전에 MAC 주소를 학습합니다.
VPLS 라우팅 인스턴스에 VPLS 필터 적용
VPLS 라우팅 인스턴스에 VPLS 필터를 적용할 수 있습니다. 필터는 지정된 라우팅 인스턴스를 통과하는 트래픽을 확인합니다.
입력 라우팅 인스턴스 필터는 필터 작업이 완료되기 전에 MAC 주소를 학습하므로 필터 작업이 discard완료되면 패킷이 삭제되기 전에 MAC 주소가 학습됩니다.
VPLS 라우팅 인스턴스에 도착하는 패킷에 VPLS 필터를 적용하고 필터를 지정하려면 계층 수준에서 다음 문을 포함 filter input 합니다.[edit routing-instances routing-instance-name forwarding-options family vpls]
[edit routing-instances routing-instance-name forwarding-options family vpls] filter input input-filter-name;
플러딩 트래픽에 대한 필터 구성
VPLS 필터를 구성하여 플러딩된 패킷을 필터링할 수 있습니다. CE 라우터는 일반적으로 다음 유형의 패킷을 VPLS 라우팅 인스턴스의 PE 라우터로 플러딩합니다.
레이어 2 브로드캐스트 패킷
레이어 2 멀티캐스트 패킷
대상 MAC 주소를 알 수 없는 레이어 2 유니캐스트 패킷
DMAC 라우팅 테이블에 MAC 항목이 있는 레이어 2 패킷
필터를 구성하여 이러한 플러딩된 패킷이 VPLS 라우팅 인스턴스의 다른 PE 라우터로 배포되는 방식을 관리할 수 있습니다.
VPLS 라우팅 인스턴스의 PE 라우터에 도착하는 패킷에 플러딩 필터를 적용하고 필터를 지정하려면 다음과 같은 명령문을 포함합니다.flood input
flood input filter-name;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit routing-instances routing-instance-name forwarding-options family vpls][edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options family vpls]
ACX 시리즈 라우터는 계층을 [edit logical-systems] 지원하지 않습니다.
VPLS 폴리서 구성
VPLS 트래픽에 대한 폴리서를 구성할 수 있습니다. VPLS 폴리서 구성은 다른 유형의 폴리서 구성과 유사합니다.
VPLS 폴리서는 다음과 같은 특성을 가지고 있습니다.
PE 라우터 소스 플러드 트래픽에서 플러드 테이블에 저장된 기본 VPLS 경로를 감시할 수 없습니다.
폴리싱 대역폭을 지정할 때 VPLS 폴리서는 패킷의 모든 레이어 2 바이트를 고려하여 패킷 길이를 결정합니다.
VPLS 폴리서를 구성하려면 계층 수준에서 [edit firewall] 문을 포함 policer 합니다.
[edit firewall] policer policer-name { bandwidth-limit limit; burst-size-limit limit; then action; }
VPLS 폴리서를 인터페이스에 적용하려면 다음 문을 포함합니다.policer
policer { input input-policer-name; output output-policer-name; }
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit interfaces interface-name unit number family vpls][edit logical-systems logical-system-name interfaces interface-name unit number family vpls
ACX 시리즈 라우터는 계층을 [edit logical-systems] 지원하지 않습니다.
문에서 input 패킷이 인터페이스에서 수신될 때 평가할 VPLS 폴리서의 이름을 나열합니다. 문에서 output 패킷이 인터페이스에서 전송될 때 평가할 VPLS 폴리서의 이름을 나열합니다. 이 유형의 VPLS 폴리서는 유니캐스트 패킷에만 적용할 수 있습니다. 플러드 패킷을 필터링하는 방법에 대한 자세한 내용은 플러드 트래픽에 대한 필터 구성을 참조하십시오.