Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

epacl-firewall-optimization

Sintaxis

Nivel de jerarquía

Descripción

Habilite epacl-firewall-optimization para usar condiciones de coincidencia de capa 2 y capa 3 en filtros de firewall para admitir la microsegmentación en implementaciones de VXLAN. Se admite el filtrado en las direcciones de entrada y salida. (Para el filtrado de salida en VLAN, esta instrucción no es necesaria.)

Por ejemplo, para crear microsegmentación en una VXLAN, debe habilitar la epacl-firewall-optimization instrucción en el [chassis] nivel de la jerarquía y, a continuación, crear las reglas de firewall con las condiciones de coincidencia en las que desea filtrar.

Tanto para VLAN como para VXLAN, puede usar las siguientes condiciones de coincidencia:

  • ip-source-address
  • ip-destination-address
  • destination-port
  • user-vlan-id
  • source-mac-address
  • destination-mac-address
  • ip-protocol

Las acciones válidas son accept, county discard.

El siguiente ejemplo de configuración muestra cómo configurar un conmutador serie QFX5110 que forma parte de una VXLAN para proporcionar filtrado de capa 2 en la dirección de salida. Primero habilitamos epacl-firewall-optimization en el dispositivo y, luego, creamos un filtro de firewall de salida de capa 2 denominado epacl, y lo adjuntamos a la xe-0/0/10.0 interfaz. El primer término indica al conmutador que acepte y cuente paquetes de la dirección MAC de origen especificada (00:00:5e:00:53:a1/48). El segundo término le dice a la interfaz que cuente y descarte todos los demás paquetes.

configurar opciones de reenvío de chasis epacl-firewall-optimization set firewall familia de firewall filtro ethernet-conmutación término t1 de epacl desde la dirección fuente-mac 00:00:5e:00:53:a1/48 set familia de firewall ethernet-filtro de conmutación término de epacl t1 y luego aceptar establecer familia de firewall ethernet-conmutación filtro epacl término t1 luego contar epacl-aceptar conjunto familia de firewall ethernet-conmutación filtro de epacl término t2, luego descartar establecer familia de firewall ethernet-conmutación filtro de epacl término t2 luego contar epacl-descarte conjunto interfaces  epacl de salida del filtro de conmutación Ethernet de la unidad xe-0/0/10

Predeterminado

No está habilitado.

Nivel de privilegio requerido

interfaz: para ver esta instrucción en la configuración.

interface-control: para agregar esta instrucción a la configuración.

Información de versión

Declaración introducida en junos OS versión 21.1R1 para conmutadores serie QFX5110 y QFX5120.