EN ESTA PÁGINA
Ejemplo: Aplicación de un filtro de firewall a interfaces administradas por OVSDB
A partir de Junos OS versión 14.1X53-D30, puede crear unidades lógicas (subinterfaces) en interfaces VXLAN administradas por un controlador Contrail.family ethernet-switching
(El controlador y el conmutador se comunican a través del protocolo de administración Open vSwitch Database (OVSDB). Esta compatibilidad le permite aplicar filtros de firewall de capa 2 () a estas subinterfaces, lo que significa que puede aplicar filtros de firewall a interfaces administradas por OVSDB.family ethernet-switching
Dado que un controlador Contrail puede crear subinterfaces dinámicamente, debe aplicar filtros de firewall de tal manera que los filtros se apliquen a las subinterfaces siempre que el controlador los cree. Esto se logra mediante el uso de grupos de configuración para configurar y aplicar los filtros de firewall. (Debe usar grupos de configuración para este propósito; es decir, no puede aplicar un filtro de firewall directamente a estas subinterfaces).
Los filtros de firewall son los únicos elementos de configuración admitidos en las subinterfaces de las interfaces administradas por OVSDB.family ethernet-switching
Los filtros de capa 2 (puerto) son los únicos filtros permitidos.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador QFX5100
Junos OS versión 14.1X53-D30 o posterior
Descripción general
En este ejemplo se supone que las interfaces xe-0/0/0 y xe-0/0/1 del conmutador son interfaces VXLAN administradas por un controlador Contrail, lo que significa que el controlador ha aplicado las instrucciones y a estas interfaces.flexible-vlan-tagging
encapsulation extended-vlan-bridge
Desea aplicar un filtro de firewall que acepte tráfico del Web a cualquier subinterfaz que el controlador cree dinámicamente. Para aplicar un filtro de firewall de capa 2 (puerto) a cualquier subinterfaz creada dinámicamente, debe crear y aplicar el filtro como se muestra en este ejemplo.
Configuración
Para configurar un filtro de firewall para que se aplique automáticamente a las subinterfaces creadas dinámicamente por un controlador de Contrail, realice estas tareas:
Configuración rápida de CLI
[edit] set groups vxlan-filter-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-filter-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 from destination-port 80 set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 then accept set apply-groups vxlan-filter-group
Procedimiento
Procedimiento paso a paso
Cree un grupo de configuración para aplicar el filtro de firewall a cualquier subinterfaz de la interfaz xe-0/0/0. El filtro se aplica a cualquier subinterfaz porque se especifica :
vxlan-filter-group
vxlan-filter
unit <*>
[edit] user@switch# set groups vxlan-filter-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter
Cree la misma configuración para la interfaz xe-0/0/1:
[edit] user@switch# set groups vxlan-filter-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter
Configure el grupo para que incluya un filtro de familia que coincida con el tráfico saliente a la web:
ethernet-switching
[edit] user@switch# set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 from destination-port 80
Configure el grupo para que acepte el tráfico que coincida con el filtro:
[edit] user@switch# set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 then accept
Aplique el grupo para habilitar su configuración:
[edit] user@switch# set apply-groups vxlan-filter-group