Grundlegendes zu Firewall-Filtern auf OVSDB-verwalteten Schnittstellen
Wenn Sie einen Contrail-Controller verwenden, um VXLANs auf einem QFX-Switch zu verwalten (über das Verwaltungsprotokoll Open vSwitch Database (OVSDB), werden die VXLAN-Schnittstellen automatisch mit den flexible-vlan-tagging Anweisungen and encapsulation extended-vlan-bridge konfiguriert. Ab Junos OS Version 14.1X53-D30 können Sie logische Einheiten (Subschnittstellen) auf diesen Schnittstellen erstellen family ethernet-switching . Auf diese Weise können Sie Layer-2-Firewall-Filter auffamily ethernet-switchingdiese Subschnittstellen anwenden, was bedeutet, dass Sie Firewall-Filter auf OVSDB-verwaltete Schnittstellen anwenden. Diese Filter unterstützen dieselben Übereinstimmungsbedingungen und -aktionen wie jeder andere Layer-2-Filter.
Firewall-Filter sind die einzigen unterstützten Konfigurationselemente auf family ethernet-switching Subschnittstellen von OVSDB-verwalteten Schnittstellen. Layer-2-Filter (Portfilter) sind die einzigen zulässigen Filter.
Da ein Contrail-Controller Subschnittstellen dynamisch erstellen kann, müssen Sie Firewall-Filter so anwenden, dass die Filter auf Subschnittstellen angewendet werden, wenn der Controller sie erstellt. Dies erreichen Sie, indem Sie Konfigurationsgruppen verwenden, um die Firewallfilter zu konfigurieren und anzuwenden. Weitere Informationen finden Sie hier Beispiel: Anwenden eines Firewall-Filters auf OVSDB-verwaltete Schnittstellen .