epacl-firewall-optimization
语法
epacl-firewall-optimization
层次结构级别
[edit chassis forwarding-options]
说明
支持 epacl-firewall-optimization 在防火墙过滤器中使用第 2 层和第 3 层匹配条件,以支持 VXLAN 部署上的微分段。支持在入口和出口方向进行过滤。(对于 VLAN 上的出口过滤,不需要此语句。)
例如,要创建 VXLAN 中的微分段,需要在层次结构级别启用 epacl-firewall-optimization 语句 [chassis] ,然后创建具有要过滤的匹配条件的防火墙规则。
对于 VLAN 和 VXLAN,您可以使用以下匹配条件:
-
ip-source-address -
ip-destination-address -
destination-port -
user-vlan-id -
source-mac-address -
destination-mac-address -
ip-protocol
有效操作包括 accept、 count和 discard。
下方配置示例说明如何配置属于 VXLAN 的 QFX5110 系列交换机,以在出口方向提供第 2 层过滤。首先在设备上启用 epacl-firewall-optimization ,然后创建名为 epacl的第 2 层出口防火墙过滤器,然后将其连接到 xe-0/0/10.0 接口。第一个术语告诉交换机接受来自指定源 MAC 地址 (00:00:5e:00:00:53:a1/48) 的数据包。第二个术语告诉接口对所有其他数据包进行计数和丢弃。
集机箱转发选项 epacl-firewall-优化集防火墙系列以太网交换过滤器 epacl 术语 t1 从 source-mac-address 00:00:5e:00:53:a1/48 设置防火墙系列以太网交换 过滤器 epacl 术语 t1 然后接受设置防火墙系列以太网交换过滤器 epacl 术语 t1 然后计数 epacl-接受设置防火墙家族以太网交换过滤器 epacl 术语 t2 然后丢弃集防火墙家族以太网交换过滤器 epacl 术语 t2 然后计数 epacl-丢弃集接口 xe-0/0/10 单元 0 系列以太网交换过滤器输出 epacl
默认
未启用。
必需的权限级别
接口 — 在配置中查看此语句。
接口控制 — 将此语句添加到配置中。
发布信息
在适用于 QFX5110 和 QFX5120 系列交换机的 Junos OS 21.1R1 版中引入的语句。