Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:OVSDB 管理インターフェイスへのファイアウォール フィルターの適用

Junos OS リリース 14.1X53-D30 以降、Contrail コントローラで管理される VXLAN インターフェイスで論理ユニット(サブインターフェイス)を作成 family ethernet-switching できます。(コントローラとスイッチは、OVSDB(管理プロトコル)を介して通信します。このサポートにより、これらのサブインターフェイスにレイヤー 2(family ethernet-switching)ファイアウォール フィルターを適用できます。つまり、OVSDB が管理するインターフェイスにファイアウォール フィルターを適用します。Contrail コントローラはサブインターフェイスを動的に作成できるため、コントローラが作成するたびにフィルターがサブインターフェイスに適用されるようにファイアウォール フィルターを適用する必要があります。これを実現するには、設定グループを使用してファイアウォールフィルターを設定および適用します。(この目的には設定グループを使用する必要があります。つまり、ファイアウォールフィルターをこれらのサブインターフェイスに直接適用することはできません)。

注:

ファイアウォール フィルターは、OVSDB が管理するインターフェイスのサブインターフェイスで family ethernet-switching サポートされている唯一の設定項目です。レイヤー 2(ポート)フィルターは、唯一許可されるフィルターです。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • QFX5100スイッチ

  • Junos OS リリース 14.1X53-D30 以降

概要

この例では、スイッチ上のインターフェイスxe-0/0/0およびxe-0/0/1がContrailコントローラによって管理されるVXLANインターフェイスであることを想定しています。つまり、コントローラはこれらのインターフェイスに および encapsulation extended-vlan-bridge ステートメントを適用flexible-vlan-taggingしています。Web からのトラフィックを受け入れるファイアウォール フィルターを、コントローラが動的に作成するサブインターフェイスに適用する必要があります。動的に作成されたサブインターフェイスにファイアウォールフィルターレイヤー2(ポート)ファイアウォールフィルターを適用するには、この例に示すようにフィルターを作成して適用する必要があります。

設定

Contrail コントローラによって動的に作成されたサブインターフェイスに自動的に適用されるファイアウォール フィルターを設定するには、次のタスクを実行します。

CLI クイックコンフィギュレーション

手順

手順

  1. 設定グループ vxlan-filter-group を作成して、インターフェイスxe-0/0/0の任意のサブインターフェイスにファイアウォールフィルター vxlan-filter を適用します。フィルターは、 を指定 unit <*>するため、任意のサブインターフェイスに適用されます。

  2. インターフェイスxe-0/0/1に同じ設定を作成します。

  3. グループを設定して、Web への発信トラフィックと一致するファミリー ethernet-switching フィルターを含めます。

  4. フィルターに一致するトラフィックを受け入れるグループを設定します。

  5. グループを適用して設定を有効にします。

関連項目