Auf dieser Seite
Beispiel: Anwenden eines Firewall-Filter auf OVSDB-verwaltete Schnittstellen
Beginnen mit Junos OS Release 14.1X53-D30, können Sie logische Einheiten (Teilschnittstellen) auf Schnittstellen erstellen, VXLAN von einem family ethernet-switching Contrail-Controller verwaltet werden. (Der Controller und der Switch kommunizieren über die Open vSwitch Database – OVSDB – Management Protocol). Mithilfe dieser Unterstützung können Sie Layer 2 ( ) Firewall-Filter auf diese Teilschnittstellen anwenden, was bedeutet, dass Sie family ethernet-switching Firewall-Filter auf OVSDB-verwaltete Schnittstellen anwenden. Da ein Contrail-Controller Teil teilbasiert dynamisch erstellen kann, müssen Sie Firewall-Filter so anwenden, dass die Filter immer dann auf Untergeordneten angewendet werden, wenn der Controller sie erstellt. Sie erreichen dies mithilfe von Konfigurationsgruppen zur Konfiguration und Anwendung von Firewall-Filtern. (Sie müssen zu diesem Zweck Konfigurationsgruppen verwenden, d. h. Sie können einen Firewall-Filter nicht direkt auf diese Unterfaces anwenden.)
Firewall-Filter sind die einzigen unterstützten Konfigurationselemente in family ethernet-switching Teilschnittstellen von OVSDB-verwalteten Schnittstellen. Layer 2-Filter (Port) sind die einzigen zulässigen Filter.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein QFX5100 Switch
Junos OS Release 14.1X53-D30 oder höher
Überblick
In diesem Beispiel wird davon ausgegangen, dass die Schnittstellen xe-0/0/0 und xe-0/0/1 am Switch VXLAN Schnittstellen sind, die von einem Contrail-Controller verwaltet werden. Das bedeutet, dass der Controller die Anweisungen und Anweisungen auf diese Schnittstellen angewendet flexible-vlan-taggingencapsulation extended-vlan-bridge hat. Sie möchten einen Firewall-Filter anwenden, der Datenverkehr vom Web zu allen Teilfaces akzeptiert, die der Controller dynamisch erstellt. Um einen Firewall-Filter Layer-2-Firewall-Filter (Port) auf dynamisch erstellte Teil teilinterfaces anzuwenden, müssen Sie den Filter erstellen und anwenden, wie in diesem Beispiel dargestellt.
Konfiguration
Führen Sie die folgenden Aufgaben aus, um einen Firewall-Filter zu konfigurieren, der automatisch auf von einem Contrail-Controller dynamisch erstellte Teil teilinterfaces angewendet werden kann:
CLI-Konfiguration
[edit] set groups vxlan-filter-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-filter-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 from destination-port 80 set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 then accept set apply-groups vxlan-filter-group
Verfahren
Schritt-für-Schritt-Verfahren
Konfigurationsgruppe
vxlan-filter-grouperstellen, um den Firewall-Filter aufvxlan-filteralle Teilschnittstellen der Schnittstelle xe-0/0/0 anzuwenden. Der Filter gilt für alle Teilinterfaces, da Sie Folgendesunit <*>angeben:[edit] user@switch# set groups vxlan-filter-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter
Gleiche Konfiguration für Schnittstelle xe-0/0/1 erstellen:
[edit] user@switch# set groups vxlan-filter-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter
Konfigurieren Sie die Gruppe so, dass ein Familienfilter enthalten ist,
ethernet-switchingder für ausgehenden Datenverkehr zum Web absicherung:[edit] user@switch# set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 from destination-port 80
Konfigurieren Sie die Gruppe, um den Datenverkehr zu akzeptieren, der dem Filter entspricht:
[edit] user@switch# set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 then accept
Die Gruppe anwenden, um ihre Konfiguration zu aktivieren:
[edit] user@switch# set apply-groups vxlan-filter-group