Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

示例:将防火墙过滤器应用于 OVSDB 托管接口

从 Junos OS 14.1X53-D30 版本开始,您可以在 Contrail 控制器管理的 VXLAN 接口上创建 family ethernet-switching 逻辑单元(子接口)。(控制器和交换机通过 Open vSwitch Database — OVSDB — 管理协议进行通信)。借助此支持,您可以将第 2 层(family ethernet-switching) 防火墙过滤器应用于这些子接口,这意味着您可将防火墙过滤器应用于 OVSDB 托管的接口。由于 Contrail 控制器可以动态创建子接口,因此您需要应用防火墙过滤器,以便在控制器创建时过滤器应用于子接口。您可通过使用配置组配置和应用防火墙过滤器来实现这一目标。(为此,您必须使用配置组—也就是说,不能将防火墙过滤器直接应用于这些子接口。)

注:

防火墙过滤器是 OVSDB 托管接口子接口上 family ethernet-switching 唯一支持的配置项目。第 2 层(端口)过滤器是唯一允许的过滤器。

要求

此示例使用以下硬件和软件组件:

  • QFX5100 交换机

  • Junos OS 版本 14.1X53-D30 或更高版本

概述

此示例假设交换机上的 xe-0/0/0 和 xe-0/0/1 接口是由 Contrail 控制器管理的 VXLAN 接口,这意味着控制器已将和encapsulation extended-vlan-bridge语句应用于flexible-vlan-tagging这些接口。您希望应用防火墙过滤器,以接受从 Web 到控制器动态创建的任何子接口的流量。要将防火墙过滤器第 2 层(端口)防火墙过滤器应用于任何动态创建的子接口,您必须创建并应用过滤器,如此示例中所示。

配置

要配置要自动应用于由 Contrail 控制器动态创建的子接口的防火墙过滤器,请执行以下任务:

CLI 快速配置

程序

逐步过程

  1. 创建配置组 vxlan-filter-group ,将防火墙过滤器 vxlan-filter 应用到接口 xe-0/0/0 的任何子接口。过滤器适用于任何子接口,因为您指定 unit <*>

  2. 为接口 xe-0/0/1 创建相同的配置:

  3. 将该组配置为包括在传出流量到 Web 上匹配的家庭 ethernet-switching 过滤器:

  4. 将组配置为接受与过滤器匹配的信息流:

  5. 应用组以启用其配置:

相关主题