Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:管理対象インターフェイスへのファイアウォールフィルタの適用

Junos OS リリース 14.1 X53-D30 では、Contrail コントローラにfamily ethernet-switchingよって管理される VXLAN インターフェイス上に論理ユニット (サブインタフェース) を作成できます。(コントローラーとスイッチは、OVSDB(Open vSwitch Database—OVSDB)管理プロトコルを介して通信します)。このサポートにより、レイヤー 2 (family ethernet-switching) ファイアウォールフィルターをこれらのサブインターフェイスに適用できます。これは、ファイアウォールフィルタを、このサブインターフェイスに適用することを意味します。Contrail コントローラは、サブインタフェースを動的に作成することができるため、コントローラフィルターを適用するには、コントローラーでサブインタフェースを作成するたびにフィルタが適用されるように、ファイアウォールフィルタが必要になります。これを実現するには、構成グループを使用してファイアウォールフィルターの構成と適用を行います。(この目的では、設定グループを使用する必要があります。つまり、ファイアウォール フィルタをこれらのサブインターフェイスに直接適用することはできません)。

注:

ファイアウォールフィルターは、「」を管理family ethernet-switchingするインタフェースのサブインタフェースでサポートされている唯一の構成項目です。レイヤー 2 (ポート) フィルターは、許可されている唯一のフィルターです。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • QFX5100 スイッチ

  • Junos OS リリース 14.1 X53-D30 以降

概要

この例では、スイッチ上のインターフェイス xe-0/0/0/xe-0/0/1 は Contrail コントローラによって管理される VXLAN インターフェイスであることを前提flexible-vlan-taggingencapsulation extended-vlan-bridgeしています。これは、コントローラが and ステートメントをこれらのインターフェイスに適用していることを意味します。ファイアウォールフィルタを適用して、Web からコントローラが動的に作成されたサブインタフェースにトラフィックを受信したいと考えています。ファイアウォールフィルタレイヤー 2 (ポート) ファイアウォールフィルターを動的に作成したサブインタフェースに適用するには、この例に示すように、フィルタを作成して適用する必要があります。

構成

Contrail コントローラによって動的に作成されるサブインタフェースに、ファイアウォールフィルターを自動的に適用するには、以下のタスクを実行します。

CLI クイック構成

手順

順を追った手順

  1. インターフェイス xe- vxlan-filter-group 0/0/ vxlan-filter 0 のサブインターフェイスにファイアウォールフィルタを適用する設定グループを作成します。このフィルターは、以下のように指定unit <*>するため、すべてのサブインターフェイスに適用されます。

  2. インターフェイス xe-0/0/1 に対して同じ設定を作成します。

  3. 送信トラフィックと web を一致さethernet-switchingせるファミリーフィルタが含まれるようにグループを設定します。

  4. フィルターに一致するトラフィックを受け入れるようにグループを設定します。

  5. グループを適用して、その構成を有効にします。

関連項目