Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

示例:将防火墙过滤器应用于 OVSDB 管理的接口

从 Junos OS Release 14.1 X53-D30 开始,您可以在family ethernet-switching Contrail 控制器管理的 VXLAN 接口上创建逻辑单元(子)。(控制器和交换机通过 Open vSwitch Database—OVSDB—管理协议进行通信)。通过这种支持,您可以将 2family ethernet-switching层()防火墙过滤器应用于这些子,这意味着您将防火墙过滤器应用于 OVSDB 管理的接口。由于 Contrail 控制器可以动态创建子,因此您需要以这样的方式应用防火墙过滤器:只要控制器创建,过滤器就会应用于子。您可以通过使用配置组来配置和应用防火墙过滤器来实现此目的。(您必须为此使用配置组 — 也就是说,不能将防火墙过滤器直接应用于这些子接口。)

注:

防火墙过滤器是 OVSDB 托管接口子上family ethernet-switching唯一支持的配置项目。第2层(端口)过滤器是唯一允许的过滤器。

要求

此示例使用以下硬件和软件组件:

  • QFX5100 交换机

  • Junos OS 版本 14.1 X53-D30 或更高版本

概述

此示例假设交换机上的接口 xe 0/0/0 和 xe-0/0/1 是由 Contrail 控制器管理的flexible-vlan-tagging VXLAN 接口,这意味着控制器已将和encapsulation extended-vlan-bridge语句应用于这些接口。您想要应用的防火墙过滤器可接受从 Web 流量到控制器动态创建的任何子。要将防火墙过滤器第2层(端口)防火墙过滤器应用于任何动态创建的子,您必须创建并应用该过滤器,如本示例所示。

配置

要将防火墙过滤器配置为自动应用于由 Contrail 控制器动态创建的子,请执行以下任务:

CLI 快速配置

操作

分步过程

  1. 创建配置组vxlan-filter-group ,以便将防火墙vxlan-filter过滤器应用于任何子接口的接口 xe-0/0/0。该过滤器适用于任何子接口,因为您unit <*>指定:

  2. 为接口 xe 创建相同配置-0/0/1:

  3. 将组配置为包括与 web ethernet-switching传出流量匹配的系列过滤器:

  4. 将组配置为接受与过滤器匹配的流量:

  5. 应用该组以启用其配置:

相关主题