Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

epacl-firewall-optimization

Syntax

Hierarchy Level

Description

ファイアウォール フィルタでレイヤー 2 およびレイヤー 3 の一致条件を使用して、ネットワーク導入のマイクロセグメンテーション epacl-firewall-optimization VXLANにします。受信方向と送信方向の両方でフィルタリングがサポートされています。(VLAN でのエグレス フィルタリングの場合、このステートメントは不要です)。

たとえば、VXLAN でマイクロセグメンテーションを作成するには、階層レベルで ステートメントを有効にしてから、フィルタリングする一致条件を使用してファイアウォール ルールを作成する必要があります epacl-firewall-optimization[chassis]

VLAN と VXLAN の両方では、以下の一致条件を使用できます。

  • ip-source-address
  • ip-destination-address
  • destination-port
  • user-vlan-id
  • source-mac-address
  • destination-mac-address
  • ip-protocol

有効なアクションは acceptcount 、 、 discard です。

以下の設定サンプルは、エグレス方向でレイヤー 2 フィルタリングを提供するために VXLAN の一部である QFX5110 シリーズ スイッチを設定する方法を示しています。まずデバイスで有効にしてから、 という名前のレイヤー 2 エグレス ファイアウォール フィルタを作成して epacl-firewall-optimizationepacl 、インターフェイスに接続 xe-0/0/10.0 します。最初の条件は、指定された送信元 MAC アドレス(00:00:5e:00:53:a1/48)からパケットを受け入れ、カウントするスイッチに指示します。2 番目の語は、インターフェイスに他のすべてのパケットをカウントして破棄するように指示します。

set chassis forwarding-options をご覧ください。 ファイアウォール ファミリー イーサネットスイッチング フィルター ファイアウォール ファミリー イーサネットスイッチング フィルターt1 送信元-mac アドレス 00:00:5e:00:53:a1/48 セット ファイアウォール ファミリー イーサネットスイッチング フィルターを選択します。 次に、スイッチング フィルターの用語 t1 をカウントします。 ファイアウォール ファミリー イーサネット スイッチング フィルターの有効用語 t2 は、ファイアウォール ファミリー イーサネットスイッチング フィルターt2 を破棄し、次に数えます。 xe-0/0/10 ユニット 0 ファミリー イーサネット スイッチング フィルター出力

Default

有効ではありません。

Required Privilege Level

インターフェイス—このステートメントを設定に表示します。

interface-control—このステートメントを設定に追加します。

Release Information

データ シリーズ スイッチおよびJunos OSスイッチ用に、Junos OS リリース 21.1R1 QFX5110でQFX5120ステートメント。