Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:OVSDB 管理インターフェイスへのファイアウォール フィルターの適用

Junos OS リリース 14.1X53-D30 以降、Contrail コントローラで管理する VXLAN インターフェイス上に論理ユニット(サブインターフェイス)を作成できます 。family ethernet-switching (コントローラとスイッチは、OVSDB(Open vSwitch Database)管理プロトコルを介して通信します)。このサポートにより、これらのサブインターフェイスにレイヤー2()ファイアウォールフィルターを適用できるようになります。つまり、OVSDBが管理するインターフェイスにファイアウォールフィルターを適用することになります。family ethernet-switching Contrail コントローラはサブインターフェイスを動的に作成できるため、コントローラがサブインターフェイスを作成するたびにフィルターがサブインターフェイスに適用されるようにファイアウォールフィルターを適用する必要があります。そのためには、設定グループを使用してファイアウォールフィルターを構成および適用します。(この目的には設定グループを使用する必要があります。つまり、これらのサブインターフェイスにファイアウォールフィルターを直接適用することはできません)。

注:

ファイアウォールフィルターは、OVSDB 管理インターフェイスのサブインターフェイスでサポートされている 唯一の設定項目です。family ethernet-switching レイヤー 2(ポート)フィルターは、唯一許可されているフィルターです。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • QFX5100スイッチ

  • Junos OS リリース 14.1X53-D30 以降

概要

この例では、スイッチ上のインターフェイス xe-0/0/0 と xe-0/0/1 が Contrail コントローラによって管理される VXLAN インターフェイスであり、コントローラがこれらのインターフェイスに および ステートメントを適用していると仮定しています。flexible-vlan-taggingencapsulation extended-vlan-bridge コントローラが動的に作成するサブインターフェイスに Web からのトラフィックを受け入れるファイアウォールフィルタを適用します。ファイアウォールフィルターレイヤー2(ポート)ファイアウォールフィルターを動的に作成されたサブインターフェイスに適用するには、この例に示すようにフィルターを作成して適用する必要があります。

設定

Contrail コントローラによって動的に作成されたサブインターフェイスに自動的に適用されるようにファイアウォール フィルターを設定するには、次のタスクを実行します。

CLIクイック構成

手順

ステップバイステップでの手順

  1. インターフェイスxe-0/0/0の任意のサブインターフェイスにファイアウォールフィルターを適用するための設定グループを作成します。フィルターは、以下を指定するため、すべてのサブインターフェイスに適用されます。vxlan-filter-groupvxlan-filterunit <*>

  2. インターフェイス xe-0/0/1 にも同じ設定を作成します。

  3. ウェブへの発信トラフィックに一致するファミリー フィルターを含めるようにグループを設定します。ethernet-switching

  4. フィルターに一致するトラフィックを受け入れるようにグループを構成します。

  5. グループを適用して、その構成を有効にします。

関連項目