私は、l2gateway ポートを使用して物理 L2 セグメントを論理ネットワークに接続しています。しかし、論理ネットワークと物理セグメントの両方に、10.0.0.1 などの共通 IP が 1 つあります。この IP の物理セグメントから論理ネットワークへのトラフィックを防止して、トラフィックが常に物理セグメントの 10.0.0.1 に到達するようにしたいと考えています。これを行うための最適な方法は何ですか?
私は、l2gateway ポートのみでポート グループを作成し、ターゲット IP アドレス 10.0.0.1 の ARP パケットをドロップする ACL (アクセス コントロール リスト) を追加してみました (以下のコマンドを参照)。しかし、これは機能せず、インターネットで調べたところ、ACL はターゲット プロトコル アドレスを含む ARP パケット内のフィールドに基づくフィルタリングをサポートしていないことがわかりました。
ovn-nbctl pg-add <pg_name> <l2gateway_port_name>
ovn-nbctl acl-add <pg_name> to-lport 1 'arp && arp.tpa == 10.0.0.1' drop