Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vxlan-gbp-profile

構文

階層レベル

説明

EVPN vxlan-gbp-profile ベースのネットワーク導入でトンネル終端エンドポイントVXLANを有効にして、グループベースのポリシーをサポートします。この設定では、スイッチに、L2/L3 グループベースのポリシーにリソースの共有を割り当てる必要があります。一方、それ以外の場合は、他のすべてのフローで使用するためにリソースがコミットされたままになります。バーチャル シャーシのスイッチでは、この設定を適用するためにデバイスを再起動する必要があります。スタンドアロン スイッチの場合、パケット転送エンジン(PFE)が再起動します。

グループベースのポリシー(GBP)は、既存のレイヤー3 VXLANネットワーク識別子(VNI)とファイアウォールフィルタポリシーを併用して、基礎となるネットワークトポロジーに依存しないデバイスまたはタグのレベルでマイクロセグメンテーションを提供します。たとえば、IoT デバイスは通常、ネットワーク上の特定のアプリケーションにのみアクセスする必要があります。そのため、GBP は L2 または L3 のルックアップや ACL を必要とせずにセキュリティ ポリシーを自動的に適用することで、このトラフィックを分離しておくことができます。そのため、GBP はネットワーク アクセス コントロールとセキュリティに対する新しいアプローチを提供します。これはエンタープライズ キャンパスにとって特に有益です。

トンネル終端エンドポイントでの有効化に加え、分離するエンドポイント デバイスの一致条件を使用してファイアウォール ルール vxlan-gbp-profile を作成する必要があります。アクセス レイヤーのゲートウェイの役割で導入されているトポロジ内の EX4400 スイッチVXLANしてこれを実行します。

次の一致条件を使用できます。

gbp-dst-tag

gbp-src-tag

レベル [edit firewall family ethernet-switching filter f1 term t1 then] でのみ gbp-src-tag 有効です。

有効ではありません

必須の権限レベル

インターフェイス — このステートメントを設定に表示します。

interface-control—このステートメントを設定に追加します。

リリース情報

EX4400 シリーズ スイッチJunos OS リリース 21.1R1 で発表されたステートメント。