Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vxlan-gbp-profile

语法

层次结构级别

说明

在 EVPN-VXLAN 部署中启用隧道终止端点 vxlan-gbp-profile ,以支持基于组的策略。此设置告知交换机为基于 L2/L3 组的策略分配其资源份额,否则资源将保持提交供所有其他流使用。请注意,对于虚拟机机箱中的交换机,必须重新启动设备才能应用此设置;对于独立交换机,数据包转发引擎 (PFE) 将重新启动。

基于组的策略 (GBP) 可利用现有第 3 层 VXLAN 网络标识符 (VNI) 和防火墙过滤器策略,在设备或标记级别提供微分段,独立于底层网络拓扑。例如,IoT设备通常只需要访问网络上特定的应用程序,因此 GBP 可通过自动应用安全策略来保持此流量隔离,而无需 L2 或 L3 查找或 ACL。因此,GBP 提供了一种新的网络接入控制和安全方法,对于企业园区尤为有价值。

除了在隧道终端端点上启用之外,还需要为要隔离的端点设备创建符合匹配条件的 vxlan-gbp-profile 防火墙规则。在拓扑中以安全网关角色部署(用于接入层)VXLAN EX4400 交换机上执行此操作。

可以使用以下匹配条件:

gbp-dst-tag

gbp-src-tag

[edit firewall family ethernet-switching filter f1 term t1 then] 级别中, gbp-src-tag 仅有效。

默认

未启用

所需的权限级别

接口- 要查看配置中的此语句。

接口控制 - 要将此语句添加至配置中。

发布信息

在 EX4400 系列Junos OS 21.1R1 版中引入的语句。