Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

示例:将防火墙过滤器应用于 OVSDB 管理的接口

从 Junos OS 14.1X53-D30 版开始,您可以在由 Contrail 控制器管理的 VXLAN 接口上创建 family ethernet-switching 逻辑单元(子接口)。(控制器和交换机通过 Open vSwitch 数据库 — OVSDB — 管理协议进行通信)。此支持使您能够将第 2 层 (family ethernet-switching) 防火墙过滤器应用于这些子接口,这意味着您可以将防火墙过滤器应用于 OVSDB 管理的接口。由于 Contrail 控制器可以动态创建子接口,因此您需要应用防火墙过滤器,以便在控制器创建子接口时将过滤器应用于子接口。您可以通过使用配置组配置和应用防火墙过滤器来实现此目的。(您必须使用配置组来实现此目的,也就是说,您不能将防火墙过滤器直接应用于这些子接口。

注:

防火墙过滤器是 OVSDB 管理的接口的子接口上 family ethernet-switching 唯一受支持的配置项目。第 2 层(端口)过滤器是唯一允许的过滤器。

要求

此示例使用以下硬件和软件组件:

  • QFX5100交换机

  • Junos OS 版本 14.1X53-D30 或更高版本

概述

此示例假定交换机上的接口 xe-0/0/0 和 xe-0/0/1 是由 Contrail 控制器管理的 VXLAN 接口,这意味着控制器已将 and encapsulation extended-vlan-bridge 语句应用于flexible-vlan-tagging这些接口。您希望应用一个防火墙过滤器,以接受来自 Web 的流量到控制器动态创建的任何子接口。要将防火墙过滤器第 2 层(端口)防火墙过滤器应用于任何动态创建的子接口,您必须创建并应用过滤器,如以下示例所示。

配置

要将防火墙过滤器配置为自动应用于由 Contrail 控制器动态创建的子接口,请执行以下操作:

CLI 快速配置

程序

分步过程

  1. 创建配置组 vxlan-filter-group 以将防火墙过滤器 vxlan-filter 应用于接口 xe-0/0/0 的任何子接口。过滤器适用于任何子接口,因为您指定 unit <*>

  2. 为接口 xe-0/0/1 创建相同的配置:

  3. 将组配置为包括与 Web 传出流量匹配的家族 ethernet-switching 过滤器:

  4. 将组配置为接受与过滤器匹配的流量:

  5. 应用组以启用其配置:

相关主题