Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:OVSDB 管理インターフェイスへのファイアウォール フィルターの適用

Junos OS リリース 14.1X53-D30 以降、Contrail コントローラによって管理される VXLAN インターフェイス上に family ethernet-switching 論理ユニット(サブインターフェイス)を作成できます。(コントローラとスイッチは、OVSDB(Open vSwitch Database)管理プロトコルを介して通信します)。このサポートにより、これらのサブインターフェイスにレイヤー 2(family ethernet-switching)ファイアウォールフィルターを適用できるようになり、つまり、OVSDB が管理するインターフェイスにファイアウォールフィルターを適用することができます。Contrail コントローラはサブインターフェイスを動的に作成できるため、コントローラがサブインターフェイスを作成するたびにフィルターがサブインターフェイスに適用されるようにファイアウォールフィルターを適用する必要があります。そのためには、設定グループを使用してファイアウォールフィルターを構成および適用します。(この目的には設定グループを使用する必要があります。つまり、これらのサブインターフェイスにファイアウォールフィルターを直接適用することはできません)。

注:

ファイアウォールフィルターは、OVSDB 管理インターフェイスの family ethernet-switching サブインターフェイスでサポートされている唯一の設定項目です。レイヤー 2(ポート)フィルターは、唯一許可されているフィルターです。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • QFX5100スイッチ

  • Junos OS リリース 14.1X53-D30 以降

概要

この例では、スイッチ上のインターフェイス xe-0/0/0 と xe-0/0/1 が Contrail コントローラによって管理される VXLAN インターフェイスであり、コントローラがこれらのインターフェイスに flexible-vlan-tagging ステートメントと encapsulation extended-vlan-bridge ステートメントを適用していると仮定しています。コントローラが動的に作成するサブインターフェイスに Web からのトラフィックを受け入れるファイアウォールフィルタを適用します。ファイアウォールフィルターレイヤー2(ポート)ファイアウォールフィルターを動的に作成されたサブインターフェイスに適用するには、この例に示すようにフィルターを作成して適用する必要があります。

設定

Contrail コントローラによって動的に作成されたサブインターフェイスに自動的に適用されるようにファイアウォール フィルターを設定するには、次のタスクを実行します。

CLIクイック構成

手順

ステップバイステップでの手順

  1. 設定グループ vxlan-filter-group を作成して、ファイアウォールフィルター vxlan-filter インターフェイスxe-0/0/0のサブインターフェイスに適用します。フィルターは、次の unit <*> を指定するため、すべてのサブインターフェイスに適用されます。

  2. インターフェイス xe-0/0/1 にも同じ設定を作成します。

  3. ウェブへの発信トラフィックに一致するファミリー ethernet-switching フィルターを含めるようにグループを設定します。

  4. フィルターに一致するトラフィックを受け入れるようにグループを構成します。

  5. グループを適用して、その構成を有効にします。

関連項目