Sur cette page
Exemple : Application d’un filtre de pare-feu aux interfaces gérées par OVSDB
À partir de Junos OS version 14.1X53-D30, vous pouvez créer family ethernet-switching
des unités logiques (sous-interfaces) sur des interfaces VXLAN gérées par un contrôleur Contrail. (Le contrôleur et le commutateur communiquent via le protocole de gestion OVSDB (Open vSwitch Database). Cette prise en charge vous permet d’appliquer des filtres de pare-feu de couche 2 (family ethernet-switching
) à ces sous-interfaces, ce qui signifie que vous appliquez des filtres de pare-feu aux interfaces gérées par OVSDB. Étant donné qu’un contrôleur Contrail peut créer des sous-interfaces de manière dynamique, vous devez appliquer des filtres de pare-feu de manière à ce qu’ils s’appliquent aux sous-interfaces chaque fois que le contrôleur les crée. Pour ce faire, utilisez des groupes de configuration pour configurer et appliquer les filtres de pare-feu. (Pour cela, vous devez utiliser des groupes de configuration, c’est-à-dire que vous ne pouvez pas appliquer de filtre de pare-feu directement à ces sous-interfaces.)
Les filtres de pare-feu sont les seuls éléments de configuration pris en charge sur family ethernet-switching
les sous-interfaces des interfaces gérées par OVSDB. Les filtres de couche 2 (port) sont les seuls filtres autorisés.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur QFX5100
Junos OS version 14.1X53-D30 ou ultérieure
Présentation
Cet exemple suppose que les interfaces xe-0/0/0 et xe-0/0/1 sur le commutateur sont des interfaces VXLAN gérées par un contrôleur Contrail, ce qui signifie que le contrôleur a appliqué les flexible-vlan-tagging
instructions et encapsulation extended-vlan-bridge
à ces interfaces. Vous souhaitez appliquer un filtre de pare-feu qui accepte le trafic du Web vers toutes les sous-interfaces créées dynamiquement par le contrôleur. Pour appliquer un filtre de pare-feu de couche 2 (port) à des sous-interfaces créées dynamiquement, vous devez créer et appliquer le filtre comme illustré dans cet exemple.
Configuration
Pour configurer un filtre de pare-feu afin qu’il soit automatiquement appliqué aux sous-interfaces créées dynamiquement par un contrôleur Contrail, effectuez les tâches suivantes :
Configuration rapide de l’interface de ligne de commande
[edit] set groups vxlan-filter-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-filter-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 from destination-port 80 set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 then accept set apply-groups vxlan-filter-group
Procédure
Procédure étape par étape
Créez un groupe
vxlan-filter-group
de configuration pour appliquer un filtrevxlan-filter
de pare-feu à n’importe quelle sous-interface de l’interface xe-0/0/0. Le filtre s’applique à n’importe quelle sous-interface car vous spécifiezunit <*>
:[edit] user@switch# set groups vxlan-filter-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter
Créez la même configuration pour l’interface xe-0/0/1 :
[edit] user@switch# set groups vxlan-filter-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter
Configurez le groupe pour inclure un filtre de famille
ethernet-switching
qui correspond au trafic sortant vers le Web :[edit] user@switch# set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 from destination-port 80
Configurez le groupe pour qu’il accepte le trafic qui correspond au filtre :
[edit] user@switch# set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 then accept
Appliquez le groupe pour activer sa configuration :
[edit] user@switch# set apply-groups vxlan-filter-group