Я использую порт l2gateway для присоединения физического сегмента L2 к логической сети. Но и логическая сеть, и физический сегмент имеют один общий IP, скажем, 10.0.0.1. Я хочу запретить трафик из физического сегмента в логическую сеть для этого IP, чтобы трафик всегда достигал 10.0.0.1 в физическом сегменте. Как лучше всего это сделать?
Я попытался создать группу портов только с портом l2gateway и добавил ACL (список управления доступом) для сброса пакетов arp с целевым IP-адресом 10.0.0.1 (как показано в командах ниже). Но это не работает, и после поиска в Интернете я обнаружил, что ACL не поддерживают фильтрацию на основе полей в пакетах ARP, включая адрес целевого протокола.
ovn-nbctl pg-add <pg_name> <l2gateway_port_name>
ovn-nbctl acl-add <pg_name> to-lport 1 'arp && arp.tpa == 10.0.0.1' drop