EN ESTA PÁGINA
Ejemplo: Aplicación de un filtro de firewall a interfaces administradas por OVSDB
A partir de Junos OS versión 14.1X53-D30, puede crear family ethernet-switching unidades lógicas (subinterfaces) en interfaces VXLAN administradas por un controlador Contrail. (El controlador y el conmutador se comunican a través del protocolo de administración Open vSwitch Database (OVSDB). Esta compatibilidad le permite aplicar filtros de firewall de capa 2 (family ethernet-switching) a estas subinterfaces, lo que significa que aplica filtros de firewall a interfaces administradas por OVSDB. Dado que un controlador Contrail puede crear subinterfaces dinámicamente, debe aplicar filtros de firewall de manera que los filtros se apliquen a las subinterfaces cada vez que el controlador los crea. Esto se logra mediante el uso de grupos de configuración para configurar y aplicar los filtros de firewall. (Debe usar grupos de configuración para este propósito, es decir, no puede aplicar un filtro de firewall directamente a estas subinterfaces.)
Los filtros de firewall son los únicos elementos de configuración compatibles en family ethernet-switching subinterfaces de interfaces administradas por OVSDB. Los filtros de capa 2 (puerto) son los únicos filtros permitidos.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador QFX5100
Junos OS versión 14.1X53-D30 o posterior
Descripción general
En este ejemplo, se supone que las interfaces xe-0/0/0 y xe-0/0/1 en el conmutador son interfaces VXLAN administradas por un controlador Contrail, lo que significa que el controlador ha aplicado las flexible-vlan-tagging instrucciones y encapsulation extended-vlan-bridge a estas interfaces. Desea aplicar un filtro de firewall que acepte tráfico desde la Web a cualquier subinterfaces que el controlador cree dinámicamente. Para aplicar un filtro de firewall de capa 2 (puerto) a cualquier subinterfaces creados dinámicamente, debe crear y aplicar el filtro como se muestra en este ejemplo.
Configuración
Para configurar un filtro de firewall para que se aplique automáticamente a las subinterfaces creadas dinámicamente por un controlador Contrail, realice estas tareas:
Configuración rápida de CLI
[edit] set groups vxlan-filter-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-filter-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 from destination-port 80 set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 then accept set apply-groups vxlan-filter-group
Procedimiento
Procedimiento paso a paso
Cree un grupo de
vxlan-filter-groupconfiguración para aplicar el filtrovxlan-filterde firewall a cualquier subinterface de la interfaz xe-0/0/0. El filtro se aplica a cualquier subinterface porque se especificaunit <*>:[edit] user@switch# set groups vxlan-filter-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter
Cree la misma configuración para la interfaz xe-0/0/1:
[edit] user@switch# set groups vxlan-filter-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter
Configure el grupo para que incluya un filtro de familia
ethernet-switchingque coincida con el tráfico saliente a la web:[edit] user@switch# set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 from destination-port 80
Configure el grupo para que acepte el tráfico que coincide con el filtro:
[edit] user@switch# set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 then accept
Aplique el grupo para habilitar su configuración:
[edit] user@switch# set apply-groups vxlan-filter-group