Stratégie de routage et filtres de pare-feu

Prise en charge des filtres de pare-feu IPv4 et IPv6 sur les passerelles de couche 3 dans les structures EVPN-VXLAN (QFX5210) — À partir de la version 21.4R1 de Junos OS, les commutateurs QFX5210 agissant en tant que passerelles de couche 3 dans les structures EVPN-VXLAN prennent en charge les filtres de pare-feu IPv4 et IPv6 dans le sens d’entrée de l’interface IRB. Nous vous recommandons de ne pas appliquer de filtres sur l’interface de bouclage RIOT. Le commutateur prend en charge les conditions de correspondance suivantes :

• source-address
• destination-address
• source-port
• destination-port
• ttl
• ip-protocol
• hop-limit

Les actions prises en charge sont les suivantes :

• accept
• discard
• log
• syslog
• policer

Le QFX5210 ne prend pas en charge le transfert basé sur des filtres (FBF).

[Voir les conditions et les actions des filtres de pare-feu (QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5700, EX4600, EX4650)]

La prise en charge des plages de ports source et de destination optimise les conditions pour réduire l’espace TCAM. À partir de la version 21.4R1 de Junos OS, nous prenons en charge les source-port-range-optimize conditions et les destination-port-range-optimize conditions au niveau de la [edit firewall family ethernet-switching filter <filter-name> term <term-name> from] hiérarchie. Cette configuration réduit considérablement l’utilisation de l’espace TCAM (Content Addressable Memory). La gamme de commutateurs QFX Series prend en charge jusqu’à 24 conditions de correspondance non contiguës pour les source-port-range-optimize options et destination-port-range-optimize .

[Voir les conditions et les actions des filtres de pare-feu (QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5700, EX4600, EX4650)]