了解 OVSDB 托管接口上的防火墙过滤器
当您使用 Contrail 控制器管理 QFX 交换机上的 VXLAN 时(通过 Open vSwitch 数据库 - OVSDB — 管理协议),VXLAN 接口会自动配置 and 语句。flexible-vlan-taggingencapsulation extended-vlan-bridge 从 Junos OS 版本 14.1X53-D30 开始,您可以在这些接口上创建 逻辑单元(子接口)。family ethernet-switching 这样您就可以将第 2 层 () 防火墙过滤器应用于这些子接口,这意味着您可以将防火墙过滤器应用于 OVSDB 管理的接口。family ethernet-switching 这些过滤器支持与任何其他第 2 层过滤器相同的所有匹配条件和操作。
警告:
防火墙过滤器是 OVSDB 管理的接口的子接口上 唯一受支持的配置项目。family ethernet-switching 第 2 层(端口)过滤器是唯一允许的过滤器。
由于 Contrail 控制器可以动态创建子接口,因此您需要应用防火墙过滤器,以便在控制器创建子接口时将过滤器应用于子接口。您可以通过使用配置组配置和应用防火墙过滤器来实现此目的。有关详细信息,请参阅 。示例:将防火墙过滤器应用于 OVSDB 管理的接口