물리적 L2 세그먼트를 논리적 네트워크에 연결하기 위해 l2gateway 포트를 사용하고 있습니다. 그러나 논리적 네트워크와 물리적 세그먼트 모두 하나의 공통 IP(예: 10.0.0.1)를 갖습니다. 트래픽이 항상 물리적 세그먼트의 10.0.0.1에 도달하도록 이 IP에 대해 물리적 세그먼트에서 논리적 네트워크로의 트래픽을 방지하고 싶습니다. 이를 수행하는 가장 좋은 방법은 무엇입니까?
l2gateway 포트만으로 포트 그룹을 생성하고 ACL(액세스 제어 목록)을 추가하여 대상 IP 주소가 10.0.0.1인 arp 패킷을 삭제했습니다(아래 명령 참조). 그러나 작동하지 않고 인터넷을 검색한 결과 ACL이 대상 프로토콜 주소를 포함하여 ARP 패킷 내의 필드 기반 필터링을 지원하지 않는다는 것을 발견했습니다.
ovn-nbctl pg-add <pg_name> <l2gateway_port_name>
ovn-nbctl acl-add <pg_name> to-lport 1 'arp && arp.tpa == 10.0.0.1' drop