为 VRF 路由实例配置安全策略
概述
安全策略是一组语句,用于使用指定服务控制从指定源到指定目标的流量。策略允许、拒绝或隧道在两点之间单向传输指定类型的流量。安全策略对传输流量实施一组规则,用于识别哪些流量可以通过防火墙,以及在流量通过防火墙时对流量执行的操作。符合指定条件的流量操作包括“允许”和“拒绝”。
当 SRX 系列防火墙收到符合规格的数据包时,它将执行策略中指定的操作。
控制 SD-WAN 架构中的流量
在 SD-WAN 中,可以在中心辐射位置配置 SRX 系列防火墙。通过应用防火墙策略,您可以允许或拒绝从叠加隧道进入设备的基于虚拟路由和转发 (VRF) 的流量。您可以将 SRX 系列防火墙配置为允许或拒绝发送到 VRF 实例的流量。通过在中心位置配置设备,您可以在一个位置控制所有流量,并通过应用防火墙策略提供对特定网络服务的访问。
Junos OS 19.1R1 版支持在 SRX1500、SRX4100、SRX4200 SRX4600 设备上部署基于 MPLS 的 SDWAN。
从 Junos OS 22.2R1 版开始,我们支持对 SRX5400、SRX5600 和 SRX5800 设备进行基于 MPLS 的 SDWAN 部署。
每个安全策略包括:
-
策略的唯一名称。
-
A
from-zone
和 ato-zone
,例如:user@host# set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone
。 -
一组匹配标准,用于定义应用策略规则时必须满足的条件。匹配标准基于源 IP 地址、目标 IP 地址和应用程序。用户身份防火墙通过在策略语句中包含附加元组(如源身份)来提供更大的粒度。
-
匹配时要执行的一组操作 - 允许或拒绝。
-
一组源 VRF 组。
-
一组目标 VRF 组。
源和目标 VRF 实例的配置选项是可选的。您可以配置源 VRF 或目标 VRF,但我们建议您不要同时配置源 VRF 和目标 VRF。配置源 VRF 或目标 VRF 的主要原因是区分通过共享物理网络接口的不同 MPLS 标签。
表 1 列出了何时配置源 VRF 和目标 VRF。
从源到目标的网络类型 |
建议配置源 VRF |
建议配置目标 VRF |
VRF 政策的差异化方式 |
---|---|---|---|
IP 网络到 IP 网络 |
不 |
不 |
区 |
IP 网络到 MPLS 网络 |
不 |
是的 |
目的地 VRF |
MPLS 网络到 IP 网络 |
是的 |
不 |
源 VRF |
MPLS 网络到无目标 NAT 的 MPLS 网络 |
是的 |
不 |
源 VRF |
MPLS 网络到具有目标 NAT 的 MPLS 网络 |
是的 |
是的 |
源 VRF 和目标 VRF |
了解安全策略规则
安全策略将安全规则应用于上下文 (from-zone
到 to-zone
) 内的传输流量。每个策略都由其名称唯一标识。通过将流量在其协议标头中携带的源和目标区域、源和目标地址、应用程序、源 VRF 和目标 VRF 与数据平面中的策略数据库进行匹配来对流量进行分类。
每个策略都与以下特征相关联:
源区域
目标区域
一个或多个源地址名称或地址集名称
一个或多个目标地址名称或地址集名称
一个或多个应用程序名称或应用程序集名称
一个或多个源 VRF 实例,例如,与传入数据包关联的 VRF 路由实例
MPLS 下一跃点或目标地址路由所在的一个或多个目标 VRF 实例
这些特征称为匹配标准。每个策略还具有与之关联的操作:允许、拒绝和拒绝。配置策略、源地址、目标地址、应用程序名称、源 VRF 和目标 VRF 时,必须指定匹配条件参数。
您可以配置源 VRF 或目标 VRF,但不建议同时配置源 VRF 和目标 VRF。配置源 VRF 和目标 VR 的主要原因是区分通过共享物理网络接口的不同 MPLS 标签。如果未配置源 VRF 和目标 VRF,则设备会将源和目标 VRF 确定为任意。
示例:配置安全策略以允许或拒绝从 MPLS 网络到 IP 网络的基于 VRF 的流量
此示例说明如何配置安全策略以使用源 VRF 允许流量和拒绝流量。
要求
-
了解如何创建安全区域。请参见示例:创建安全区域。
-
使用 Junos OS 版本 15.1X49-D160 或更高版本支持的 SRX 系列防火墙。此配置示例针对 Junos OS 版本 15.1X49-D160 进行了测试。
-
在设备上配置网络接口。请参阅 安全设备的接口用户指南。
概述
在 Junos OS 中,安全策略根据哪些流量可以通过设备以及流量通过设备时需要对流量执行的操作来强制执行传输流量规则。 在图 1 中,SRX 系列防火墙部署在 SD-WAN 中,以使用源 VRF 控制流量。来自 MPLS 网络的流量将发送到 IP 网络的站点 A 和站点 B。根据网络要求,应拒绝站点 A 流量,并且只允许站点 B 流量。
此配置示例说明如何:
拒绝发往 VRF-a 的流量(从 GRE_Zone-GE_Zone 到 GRE_Zone)
允许到 VRF-b 的流量(从 GRE_Zone-GE_Zone 到 GRE_Zone)
在此示例中,配置了源 VRF。我们建议您在目标网络指向 MPLS 网络时配置源 VRF。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入 commit
。
set routing-instances VRF-a instance-type vrf set routing-instances VRF-a route-distinguisher 10:200 set routing-instances VRF-a vrf-target target:100:100 set routing-instances VRF-a vrf-table-label set routing-instances VRF-b instance-type vrf set routing-instances VRF-b route-distinguisher 20:200 set routing-instances VRF-b vrf-target target:200:100 set routing-instances VRF-b vrf-table-label set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-l3vpn-vrf-group VRF-a set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy then deny set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-l3vpn-vrf-group VRF-b set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy then permit
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅《Junos OS CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
第 3 层 VPN 需要一个 VRF 表,用于在网络内分配路由。创建 VRF 实例并指定值 vrf。
[edit routing-instances] user@host# set VRF-a instance-type vrf user@host# set VRF-b instance-type vrf
将路由识别符分配给路由实例。
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200
创建社区策略以导入或导出所有路由。
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100
为 VRF 中的所有路由分配一个 VPN 标签。
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-b vrf-table-label
创建安全策略以拒绝 VRF-a 流量。
[edit security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group VRF-a user@host# set policy vrf-a_policy then deny
创建安全策略以允许 VRF-b 流量。
[edit security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match source-l3vpn-vrf-group VRF-b user@host# set policy vrf-b_policy then permit
注意:如果未配置目标 VRF 组,则设备会考虑从 VRF-a 到 any-vrf 的流量。
结果
在配置模式下,输入 show security policies
和 show routing-instances
命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit] user@host# show security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone { policy vrf-a_policy { match { source-address any; destination-address any; application any; source-l3vpn-vrf-group VRF-a; } then { deny; } } policy vrf-b_policy { match { source-address any; destination-address any; application any; source-l3vpn-vrf-group VRF-b; } then { permit; } }
[edit] user@host# show routing-instances VRF-a { instance-type vrf; route-distinguisher 10:200; vrf-target target:100:100; vrf-table-label; } VRF-b { instance-type vrf; route-distinguisher 20:200; vrf-target target:200:100; vrf-table-label; } }
如果完成设备配置,请从配置模式输入 commit
。
验证
验证策略配置
目的
验证有关安全策略的信息。
行动
在操作模式下,输入 show security policies
命令以显示设备上配置的所有安全策略的摘要。
user@root> show security policies Default policy: permit-all From zone: GRE_Zone-GE_Zone, To zone: GRE_Zone Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source vrf: VRF-a destination vrf: any Source addresses: any Destination addresses: any Applications: any Action: deny Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2 Source vrf: VRF-b destination vrf: any Source addresses: any Destination addresses: any Applications: any Action: permit
示例:配置安全策略以允许从 IP 网络到 MPLS 网络的基于 VRF 的流量
此示例说明如何配置安全策略以允许使用目标 VRF 的流量。
要求
-
了解如何创建安全区域。请参见 示例:创建安全区域。
-
使用 Junos OS 版本 15.1X49-D160 或更高版本支持的 SRX 系列防火墙。此配置示例针对 Junos OS 版本 15.1X49-D160 进行了测试。
-
在设备上配置网络接口。请参阅 安全设备的接口用户指南。
概述
在 Junos OS 中,安全策略根据哪些流量可以通过设备以及流量通过设备时需要对流量执行的操作来强制执行传输流量规则。
在此示例中,SRX 系列防火墙部署在 SD-WAN 架构中,以使用目标 VRF 控制流量。您需要配置策略来控制流量。默认策略不支持 VRF 选项。来自 IP 网络(即站点 A 和站点 B)的流量将发送到 MPLS 网络。通过配置策略,您可以允许从站点 A 和站点 B 到 MPLS 网络的流量。
在图 2 中,源 VRF 未配置为 LAN 接口不属于 MPLS 网络。我们建议您在目标网络指向 MPLS 网络时配置目标 VRF。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入 commit
。
set routing-instances VRF-a’ instance-type vrf set routing-instances VRF-a’ route-distinguisher 10:200 set routing-instances VRF-a’ vrf-target target:100:100 set routing-instances VRF-a’ vrf-table-label set routing-instances VRF-b’ instance-type vrf set routing-instances VRF-b’ route-distinguisher 20:200 set routing-instances VRF-b’ vrf-target target:200:100 set routing-instances VRF-b’ vrf-table-label set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy then permit set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy then permit
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅《Junos OS CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
要配置策略以允许使用目标 VRF 从 IP 网络到 MPLS 网络的流量,请执行以下操作:
第 3 层 VPN 需要一个 VRF 表,用于在网络内分配路由。创建 VRF 实例并指定值 vrf。
[edit routing-instances] user@host# set VRF-a’ instance-type vrf user@host# set VRF-b’ instance-type vrf
将路由识别符分配给路由实例。
[edit routing-instances] user@host# set VRF-a’ route-distinguisher 10:200 user@host# set VRF-b’ route-distinguisher 20:200
创建社区策略以导入或导出所有路由。
[edit routing-instances] user@host# set VRF-a’ vrf-target target:100:100 user@host# set VRF-b’ vrf-target target:200:100
为 VRF 中的所有路由分配一个 VPN 标签。
[edit routing-instances] user@host# set VRF-a’ vrf-table-label user@host# set VRF-b’ vrf-table-label
创建安全策略以允许来自 IP 网络的 VRF-a' 流量。
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ user@host# set policy vrf-a_policy then permit
创建安全策略以允许来自 IP 网络的 VRF-b 流量。
[edit security policies from-zone LAN-b_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ user@host# set policy vrf-b_policy then permit
结果
在配置模式下,输入 show security policies
和 show routing-instances
命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit] user@host# show security policies from-zone LAN-a_Zone to-zone GRE_Zone { policy vrf-a_policy { match { source-address any; destination-address any; application any; destination-l3vpn-vrf-group "VRF-a'"; } then { permit; } } } from-zone LAN-b_Zone to-zone GRE_Zone { policy vrf-b_policy { match { source-address any; destination-address any; application any; destination-l3vpn-vrf-group "VRF-b'"; } then { permit; } } }
[edit] user@host# show routing-instances VRF-a’ { instance-type vrf; route-distinguisher 10:200; vrf-target target:100:100; vrf-table-label; } VRF-b’ { instance-type vrf; route-distinguisher 20:200; vrf-target target:200:100; vrf-table-label; }
如果完成设备配置,请从配置模式输入 commit
。
验证
验证策略配置
目的
验证安全策略是否允许从 IP 网络到 MPLS 网络的基于 VRF 的流量。
行动
在操作模式下,输入 show security policies
命令以显示设备上配置的所有安全策略的摘要。
user@host> show security policies From zone: LAN-a_Zone, To zone: GRE_Zone Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source vrf: any destination vrf: VRF-a' Source addresses: any Destination addresses: any Applications: any Action: permit From zone: LAN-b_Zone, To zone: GRE_Zone Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1 Source vrf: any destination vrf: VRF-b' Source addresses: any Destination addresses: any Applications: any Action: permit
示例:配置安全策略以允许基于 VRF 的流量在没有 NAT 的情况下通过 GRE 从 MPLS 网络到 MPLS 网络
此示例说明如何配置安全策略以允许使用源 VRF 的流量。
要求
-
了解如何创建安全区域。请参见 示例:创建安全区域。
-
使用 Junos OS 版本 15.1X49-D160 或更高版本支持的 SRX 系列防火墙。此配置示例针对 Junos OS 版本 15.1X49-D160 进行了测试。
-
在设备上配置网络接口。请参阅 安全设备的接口用户指南。
概述
在 Junos OS 中,安全策略根据哪些流量可以通过设备以及流量通过设备时需要对流量执行的操作来强制执行传输流量规则。 在图 3 中,SRX 系列防火墙部署在 SD-WAN 架构中,以使用源 VRF 控制流量。您需要配置策略来控制流量。您可以通过配置策略来允许从一个 MPLS 网络到另一个 MPLS 网络的流量。
当源和目标来自 MPLS 网络时,我们建议您同时配置源 VRF 和目标 VRF。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入 commit
。
set routing-instances VRF-a instance-type vrf set routing-instances VRF-a route-distinguisher 10:200 set routing-instances VRF-a vrf-target target:100:100 set routing-instances VRF-a vrf-table-label set routing-instances VRF-b instance-type vrf set routing-instances VRF-b route-distinguisher 20:200 set routing-instances VRF-b vrf-target target:200:100 set routing-instances VRF-b vrf-table-label set routing-instances VRF-a’ instance-type vrf set routing-instances VRF-a’ route-distinguisher 30:200 set routing-instances VRF-a’ vrf-target target:300:100 set routing-instances VRF-a’ vrf-table-label set routing-instances VRF-b’ instance-type vrf set routing-instances VRF-b’ route-distinguisher 40:200 set routing-instances VRF-b’ vrf-target target:400:100 set routing-instances VRF-b’ vrf-table-label set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-l3vpn-vrf-group VRF-a set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy then permit set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-l3vpn-vrf-group VRF-b set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy then permit
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅《Junos OS CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
要配置策略以允许使用源 VRF 从 MPLS 网络到 MPLS 网络的流量,请执行以下操作:
第 3 层 VPN 需要一个 VRF 表,用于在网络内分配路由。创建 VRF 实例并指定值 vrf。
[edit routing-instances] user@host# set VRF-a instance-type vrf user@host# set VRF-b instance-type vrf user@host# set VRF-a’ instance-type vrf user@host# set VRF-b’ instance-type vrf
将路由识别符分配给路由实例。
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200 user@host# set VRF-a’ route-distinguisher 30:200 user@host# set VRF-b’ route-distinguisher 40:200
创建社区策略以导入或导出所有路由。
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100 user@host# set VRF-a’ vrf-target target:300:100 user@host# set VRF-b’ vrf-target target:400:100
为 VRF 中的所有路由分配一个 VPN 标签。
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-a’ vrf-table-label user@host# set VRF-b vrf-table-label user@host# set VRF-b’ vrf-table-label
创建安全策略以允许来自 MPLS 网络的 VRF-a 流量。
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group VRF-a user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ user@host# set policy vrf-a_policy then permit
创建安全策略以允许来自 MPLS 网络的 VRF-b 流量。
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match source-l3vpn-vrf-group VRF-b user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ user@host# set policy vrf-b_policy then permit
结果
在配置模式下,输入 show security policies
和 show routing-instances
命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit] user@host# show security policies from-zone GRE-1_Zone to-zone GRE-2_Zone { policy vrf-a_policy { match { source-address any; destination-address any; application any; source-l3vpn-vrf-group VRF-a; destination-l3vpn-vrf-group "VRF-a'"; } then { permit; } } policy vrf-b_policy { match { source-address any; destination-address any; application any; source-l3vpn-vrf-grou VRF-b; destination-l3vpn-vrf-group "VRF-b'"; } then { permit; } } }
[edit] user@host# show routing-instances VRF-a { instance-type vrf; route-distinguisher 10:200; vrf-target target:100:100; vrf-table-label; } VRF-b { instance-type vrf; route-distinguisher 20:200; vrf-target target:200:100; vrf-table-label; } VRF-a’ { instance-type vrf; route-distinguisher 30:200; vrf-target target:300:100; vrf-table-label; } VRF-b’ { instance-type vrf; route-distinguisher 40:200; vrf-target target:400:100; vrf-table-label; }
如果完成设备配置,请从配置模式输入 commit
。
验证
验证策略配置
目的
验证安全策略是否允许从 IP 网络到 MPLS 网络的基于 VRF 的流量。
行动
在操作模式下,输入 show security policies
命令以显示设备上配置的所有安全策略的摘要。
user@host> show security policies From zone: GRE-1_Zone, To zone: GRE-2_Zone Policy: vrf-a_policy, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1 Source vrf: VRF-a destination vrf: VRF-a' Source addresses: any Destination addresses: any Applications: any Action: permit Policy: vrf-b_policy, State: enabled, Index: 8, Scope Policy: 0, Sequence number: 2 Source vrf: VRF-b destination vrf: VRF-b' Source addresses: any Destination addresses: any Applications: any Action: permit
示例:在 MPLS 网络中使用 VRF 路由实例配置安全策略
此示例说明如何使用 VRF 路由实例配置安全策略。
要求
使用 Junos OS 版本 15.1X49-D160 或更高版本支持的 SRX 系列防火墙。此配置示例针对 Junos OS 版本 15.1X49-D160 进行了测试。
在设备上配置网络接口。请参阅 安全设备的接口用户指南。
了解如何创建安全区域。请参见 示例:创建安全区域。
概述
在此示例中,您将使用虚拟路由和转发 (VRF) 实例创建安全策略,以隔离在以下网络中遍历的流量:
到专用 IP 网络的 MPLS
MPLS 网络的全局 IP
MPLS 网络到专用 IP 网络
程序
分步过程
第 3 层 VPN 需要一个 VRF 表,用于在网络内分配路由。创建 VRF 实例并指定值 vrf。
[edit routing-instances] user@host#set VRF-a instance-type vrf user@host#set VRF-b instance-type vrf
将路由识别符分配给路由实例。
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200
创建社区策略以导入或导出所有路由。
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100
为 VRF 中的所有路由分配一个 VPN 标签。
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-b vrf-table-label
创建安全策略以允许来自 VRF-a 的发往 LAN A 的流量。
[edit security policies from-zone GRE_Zone to-zone LAN-a_Zone] set policy vrf-a_policy match source-address any set policy vrf-a_policy match destination-address any set policy vrf-a_policy match application any set policy vrf-a_policy match source-l3vpn-vrf-group VRF-a set policy vrf-a_policy then permit
创建安全策略以允许来自 VRF-b 的流量发往 LAN B。
[edit security policies from-zone GRE_Zone to-zone LAN-b_Zone] set policy vrf-b_policy match source-address any set policy vrf-b_policy match destination-address any set policy vrf-b_policy match application any set policy vrf-b_policy match source-l3vpn-vrf-group VRF-b set policy vrf-b_policy then permit
结果
在配置模式下,输入 show security policies
和 show routing-instances
命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
user@host# show security policies
from-zone GRE_Zone to-zone LAN-a_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone GRE_Zone to-zone LAN-b_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group VRF-b;
}
then {
permit;
}
}
}
[edit] user@host# show routing-instances VRF-a { instance-type vrf; route-distinguisher 10:200; vrf-target target:100:100; vrf-table-label; } VRF-b { instance-type vrf; route-distinguisher 20:200; vrf-target target:200:100; vrf-table-label; }
如果完成设备配置,请从配置模式输入 commit
。
全球 IP 网络到 MPLS 网络
程序
分步过程
第 3 层 VPN 需要一个 VRF 表,用于在网络内分配路由。创建 VRF 实例并指定值 vrf。
[edit routing-instances] user@host# set VRF-a instance-type vrf user@host# set VRF-b instance-type vrf user@host# set VRF-a’ instance-type vrf user@host# set VRF-b’ instance-type vrf
将路由识别符分配给路由实例。
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200 user@host# set VRF-a’ route-distinguisher 30:200 user@host# set VRF-b’ route-distinguisher 40:200
创建社区策略以导入或导出所有路由。
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100 user@host# set VRF-a’ vrf-target target:300:100 user@host# set VRF-b’ vrf-target target:400:100
为 VRF 中的所有路由分配一个 VPN 标签。
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-a’ vrf-table-label user@host# set VRF-b vrf-table-label user@host# set VRF-b’ vrf-table-label
创建目标 NAT 池。
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-a_p address 20.0.0.4/24 user@host# set pool vrf-b_p routing-instance VRF-b user@host# set pool vrf-b_p address 30.0.0.4/24
创建目标 NAT 规则集。
[edit security nat destination] user@host# set rule-set rs from interface ge-0/0/0.0 user@host# set rule-set rs rule vrf-a_r match destination-address 40.0.0.4/24 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p
配置匹配数据包并将目标地址转换为池中地址的规则。
[edit security nat destination] user@host# set rule-set rs from interface ge-0/0/1.0 user@host# set rule-set rs rule vrf-b_r match destination-address 50.0.0.4/24 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
配置允许从不信任区域到信任区域中的服务器的流量的安全策略。
[edit security policies from-zone internet to-zone trust] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ user@host# set policy vrf-a_policy then permit user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ user@host# set policy vrf-b_policy then permit
结果
在配置模式下,输入 show security policies
、 show routing-instances
和命令以 show security nat
确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
user@host# show security policies
from-zone internet to-zone trust {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group VRF-a;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group VRF-b;
}
then {
permit;
}
}
}
[edit] user@host# show routing-instances VRF-a { instance-type vrf; route-distinguisher 10:200; vrf-target target:100:100; vrf-table-label; } VRF-b { instance-type vrf; route-distinguisher 20:200; vrf-target target:200:100; vrf-table-label; } VRF-a’ { instance-type vrf; route-distinguisher 30:200; vrf-target target:300:100; vrf-table-label; } VRF-b’ { instance-type vrf; route-distinguisher 40:200; vrf-target target:400:100; vrf-table-label; }
user@host#
show security nat destination
pool vrf-a_p {
routing-instance {
VRF-a’;
}
address 20.0.0.4/24;
}
pool vrf-b_p {
routing-instance {
VRF-b’;
}
address 30.0.0.4/24;
}
rule-set rs {
from interface [ ge-0/0/0.0 ge-0/0/1.0 ];
rule vrf-a_r {
match {
destination-address 40.0.0.4/24;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 50.0.0.4/24;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
如果完成设备配置,请从配置模式输入 commit
。
验证
验证目标 NAT 规则
目的
显示有关所有目标 NAT 规则的信息。
行动
在操作模式下,输入 show security nat destination rule all
命令。
user@host> show security nat destination rule all Total destination-nat rules: 1 Total referenced IPv4/IPv6 ip-prefixes: 6/0 Destination NAT rule: rule1 Rule-set: vrf-b_r Rule-Id : 2 Rule position : 2 From routing instance : vrf-b_r Destination addresses : 50.0.0.4 - 50.0.0.4 Action : vrf-b_p Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0
[...输出被截断...]
意义
该命令将显示目标 NAT 规则。查看翻译命中字段以检查与目标规则匹配的流量。
验证流会话
目的
显示有关设备上所有当前活动安全会话的信息。
行动
在操作模式下,输入 show security flow session
命令。
user@host>show security flow session Flow Sessions on FPC0 PIC1: Session ID: 10115977, Policy name: SG/4, State: Active, Timeout: 62, Valid In: 203.0.113.11/1000 203.0.113.1/2000;udp, Conn Tag: 0x0, If: reth1.1, VRF: VRF-a, Pkts: 1, Bytes: 86, CP Session ID: 10320276 Out: 203.0.113.1/2000 203.0.113.11/1000;udp, Conn Tag: 0x0, If: reth0.0, VRF: VRF-b, Pkts: 0, Bytes: 0, CP Session ID: 10320276
意义
该命令显示有关所有活动会话的详细信息。查看 VRF 字段以检查流中的 VRF 路由实例详细信息。