Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Anwenden eines Firewall-Filter auf OVSDB-verwaltete Schnittstellen

Beginnen mit Junos OS Release 14.1X53-D30, können Sie logische Einheiten (Teilschnittstellen) auf Schnittstellen erstellen, VXLAN von einem family ethernet-switching Contrail-Controller verwaltet werden. (Der Controller und der Switch kommunizieren über die Open vSwitch Database – OVSDB – Management Protocol). Mithilfe dieser Unterstützung können Sie Layer 2 ( ) Firewall-Filter auf diese Teilschnittstellen anwenden, was bedeutet, dass Sie family ethernet-switching Firewall-Filter auf OVSDB-verwaltete Schnittstellen anwenden. Da ein Contrail-Controller Teil teilbasiert dynamisch erstellen kann, müssen Sie Firewall-Filter so anwenden, dass die Filter immer dann auf Untergeordneten angewendet werden, wenn der Controller sie erstellt. Sie erreichen dies mithilfe von Konfigurationsgruppen zur Konfiguration und Anwendung von Firewall-Filtern. (Sie müssen zu diesem Zweck Konfigurationsgruppen verwenden, d. h. Sie können einen Firewall-Filter nicht direkt auf diese Unterfaces anwenden.)

Anmerkung:

Firewall-Filter sind die einzigen unterstützten Konfigurationselemente in family ethernet-switching Teilschnittstellen von OVSDB-verwalteten Schnittstellen. Layer 2-Filter (Port) sind die einzigen zulässigen Filter.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Ein QFX5100 Switch

  • Junos OS Release 14.1X53-D30 oder höher

Überblick

In diesem Beispiel wird davon ausgegangen, dass die Schnittstellen xe-0/0/0 und xe-0/0/1 am Switch VXLAN Schnittstellen sind, die von einem Contrail-Controller verwaltet werden. Das bedeutet, dass der Controller die Anweisungen und Anweisungen auf diese Schnittstellen angewendet flexible-vlan-taggingencapsulation extended-vlan-bridge hat. Sie möchten einen Firewall-Filter anwenden, der Datenverkehr vom Web zu allen Teilfaces akzeptiert, die der Controller dynamisch erstellt. Um einen Firewall-Filter Layer-2-Firewall-Filter (Port) auf dynamisch erstellte Teil teilinterfaces anzuwenden, müssen Sie den Filter erstellen und anwenden, wie in diesem Beispiel dargestellt.

Konfiguration

Führen Sie die folgenden Aufgaben aus, um einen Firewall-Filter zu konfigurieren, der automatisch auf von einem Contrail-Controller dynamisch erstellte Teil teilinterfaces angewendet werden kann:

CLI-Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

  1. Konfigurationsgruppe vxlan-filter-group erstellen, um den Firewall-Filter auf vxlan-filter alle Teilschnittstellen der Schnittstelle xe-0/0/0 anzuwenden. Der Filter gilt für alle Teilinterfaces, da Sie Folgendes unit <*> angeben:

  2. Gleiche Konfiguration für Schnittstelle xe-0/0/1 erstellen:

  3. Konfigurieren Sie die Gruppe so, dass ein Familienfilter enthalten ist, ethernet-switching der für ausgehenden Datenverkehr zum Web absicherung:

  4. Konfigurieren Sie die Gruppe, um den Datenverkehr zu akzeptieren, der dem Filter entspricht:

  5. Die Gruppe anwenden, um ihre Konfiguration zu aktivieren: