Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Beispiel: Anwenden eines Firewall-Filters auf OVSDB-verwaltete Schnittstellen

Ab Junos OS Version 14.1X53-D30 können Sie logische Einheiten (Subschnittstellen) auf VXLAN-Schnittstellen erstellen family ethernet-switching , die von einem Contrail-Controller verwaltet werden. (Controller und Switch kommunizieren über das Verwaltungsprotokoll Open vSwitch Database (OVSDB). Diese Unterstützung ermöglicht es Ihnen, Layer-2-Firewall-Filter auffamily ethernet-switchingdiese Subschnittstellen anzuwenden, was bedeutet, dass Sie Firewall-Filter auf OVSDB-verwaltete Schnittstellen anwenden. Da ein Contrail-Controller Subschnittstellen dynamisch erstellen kann, müssen Sie Firewall-Filter so anwenden, dass die Filter auf Subschnittstellen angewendet werden, wenn der Controller sie erstellt. Dies erreichen Sie, indem Sie Konfigurationsgruppen verwenden, um die Firewallfilter zu konfigurieren und anzuwenden. (Zu diesem Zweck müssen Sie Konfigurationsgruppen verwenden, d. h., Sie können keinen Firewallfilter direkt auf diese Unterschnittstellen anwenden.)

HINWEIS:

Firewall-Filter sind die einzigen unterstützten Konfigurationselemente auf family ethernet-switching Subschnittstellen von OVSDB-verwalteten Schnittstellen. Layer-2-Filter (Portfilter) sind die einzigen zulässigen Filter.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Ein QFX5100 Switch

  • Junos OS Version 14.1X53-D30 oder höher

Überblick

In diesem Beispiel wird davon ausgegangen, dass es sich bei den Schnittstellen xe-0/0/0 und xe-0/0/1 auf dem Switch um VXLAN-Schnittstellen handelt, die von einem Contrail-Controller verwaltet werden, was bedeutet, dass der Controller die flexible-vlan-tagging Anweisungen and encapsulation extended-vlan-bridge auf diese Schnittstellen angewendet hat. Sie möchten einen Firewallfilter anwenden, der Datenverkehr aus dem Web auf alle Unterschnittstellen akzeptiert, die der Controller dynamisch erstellt. Um einen Firewall-Filter-Layer-2-Firewall-Filter (Port) auf dynamisch erstellte Subschnittstellen anzuwenden, müssen Sie den Filter wie in diesem Beispiel gezeigt erstellen und anwenden.

Konfiguration

Gehen Sie folgendermaßen vor, um einen Firewall-Filter so zu konfigurieren, dass er automatisch auf Subschnittstellen angewendet wird, die dynamisch von einem Contrail-Controller erstellt wurden:

CLI-Schnellkonfiguration

Verfahren

Schritt-für-Schritt-Anleitung

  1. Erstellen Sie eine Konfigurationsgruppe vxlan-filter-group , um den Firewall-Filter vxlan-filter auf eine beliebige Subschnittstelle der Schnittstelle xe-0/0/0 anzuwenden. Der Filter gilt für jede Subschnittstelle, da Sie Folgendes angeben unit <*>:

  2. Erstellen Sie die gleiche Konfiguration für die Schnittstelle xe-0/0/1:

  3. Konfigurieren Sie die Gruppe so, dass sie einen Familienfilter ethernet-switching enthält, der für ausgehenden Datenverkehr ins Web übereinstimmt:

  4. Konfigurieren Sie die Gruppe so, dass sie den Datenverkehr akzeptiert, der dem Filter entspricht:

  5. Wenden Sie die Gruppe an, um ihre Konfiguration zu aktivieren:

Verwandte Themen