Nesta página
Exemplo: Aplicando um filtro de firewall em interfaces gerenciadas por OVSDB
A partir do Junos OS Release 14.1X53-D30, você pode criar family ethernet-switching unidades lógicas (subinterfaces) em interfaces VXLAN gerenciadas por um controlador Contrail. (O controlador e o switch se comunicam através do banco de dados open vSwitch — OVSDB — protocolo de gerenciamento). Esse suporte permite que você aplique filtros de firewall de Camada 2 afamily ethernet-switching essas subinterfaces, o que significa que você aplica filtros de firewall em interfaces gerenciadas por OVSDB. Como um controlador Contrail pode criar subinterfaces dinamicamente, você precisa aplicar filtros de firewall de tal forma que os filtros se apliquem a subinterfaces sempre que o controlador os cria. Você realiza isso usando grupos de configuração para configurar e aplicar os filtros de firewall. (Você deve usar grupos de configuração para esta finalidade — ou seja, você não pode aplicar um filtro de firewall diretamente a essas subinterfaces.)
Os filtros de firewall são os únicos itens de configuração suportados em family ethernet-switching subinterfaces de interfaces gerenciadas por OVSDB. Os filtros de camada 2 (porta) são os únicos filtros permitidos.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch de QFX5100
Versão Junos OS 14.1X53-D30 ou posterior
Visão geral
Este exemplo pressupõe que as interfaces xe-0/0/0 e xe-0/1 no switch são interfaces VXLAN gerenciadas por um controlador Contrail, o que significa que o controlador aplicou as declarações e encapsulation extended-vlan-bridge as flexible-vlan-tagging declarações a essas interfaces. Você deseja aplicar um filtro de firewall que aceite o tráfego da Web a quaisquer subinterfaces que o controlador crie dinamicamente. Para aplicar um filtro de firewall de camada 2 (porta) de firewall a quaisquer subinterfaces criadas dinamicamente, você deve criar e aplicar o filtro conforme mostrado neste exemplo.
Configuração
Para configurar um filtro de firewall a ser aplicado automaticamente a subinterfaces criadas dinamicamente por um controlador Contrail, execute essas tarefas:
Configuração rápida da CLI
[edit] set groups vxlan-filter-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-filter-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 from destination-port 80 set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 then accept set apply-groups vxlan-filter-group
Procedimento
Procedimento passo a passo
Crie um grupo
vxlan-filter-groupde configuração para aplicar filtro devxlan-filterfirewall a qualquer subinterface da interface xe-0/0/0. O filtro se aplica a qualquer subinterface porque você especificaunit <*>:[edit] user@switch# set groups vxlan-filter-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter
Crie a mesma configuração para interface xe-0/0/1:
[edit] user@switch# set groups vxlan-filter-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter
Configure o grupo para incluir um filtro familiar
ethernet-switchingque corresponda ao tráfego de saída para a web:[edit] user@switch# set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 from destination-port 80
Configure o grupo para aceitar o tráfego que corresponde ao filtro:
[edit] user@switch# set groups vxlan-filter-group firewall family ethernet-switching filter vxlan-filter term t1 then accept
Aplique o grupo para habilitar sua configuração:
[edit] user@switch# set apply-groups vxlan-filter-group