Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

epacl-firewall-optimization

Syntax

Hierarchy Level

Description

방화벽 필터에서 레이어 2 및 레이어 3 일치 조건을 사용하여 구축 시 마이크로 세그먼 분할을 지원할 epacl-firewall-optimization 가상 확장형 LAN(VXLAN) 수 있습니다. ingress 및 egress 방향 모두에서 필터링이 지원됩니다. (VLA의 egress 필터링의 경우, 이 명령문은 필요하지 않습니다.)

예를 들어, 마이크로 세그먼 분할을 가상 확장형 LAN(VXLAN) 계층 수준에서 명령문을 활성화한 다음 필터링할 조건과 일치하는 조건으로 방화벽 규칙을 생성해야 epacl-firewall-optimization[chassis] 합니다.

VLANS와 VXLANs 모두에서 다음과 같은 일치 조건을 사용할 수 있습니다.

  • ip-source-address
  • ip-destination-address
  • destination-port
  • user-vlan-id
  • source-mac-address
  • destination-mac-address
  • ip-protocol

를 통해 수행할 수 acceptcount 있는 유효 조치는 을 통해 수행할 수 discard 있습니다.

아래 구성 샘플은 Egress 방향에서 layer 2 필터링을 제공하기 위해 QFX5110 시리즈 스위치를 가상 확장형 LAN(VXLAN) 시리즈 스위치를 구성하는 방법을 보여줍니다. 먼저 디바이스에서 활성화한 다음, 이름이 지정된 epacl-firewall-optimization Layer 2 egress 방화벽 필터를 생성하고 인터페이스에 epaclxe-0/0/10.0 연결합니다. 첫 번째 용어는 스위치가 지정된 소스 MAC 주소(00:00:5e:00:53:a1/48)에서 패킷을 수락하고 카운트를 지정합니다. 두 번째 용어는 인터페이스에 다른 모든 패킷을 카운트하고 폐기합니다.

set chassis forwarding-options epacl-firewall-optimization set firewall family ethernet-switching filter epacl term t1 from source-mac-address 00:00:00:53:a1/48 set firewall family ethernet-switching 필터 epacl term t1 다음 집합 방화벽 이더넷 스위칭 허용 filter epacl term t1은 epacl 허용 세트 방화벽 이더넷 스위칭 필터 epacl term t2를 폐기한 다음, epacl-폐기 인터페이스 xe-0/0/10 unit 0 family ethernet-switching 필터 출력 epacl

Default

활성화되지 않습니다.

Required Privilege Level

인터페이스—구성에서 이 진술을 볼 수 있습니다.

인터페이스 제어—이 명령문을 구성에 추가합니다.

Release Information

2018년 3 Junos OS월 21일, QFX5110 및 QFX5120 릴리스 21.QFX5120 발표되었습니다.