Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:VXLAN でのグループ ベース ポリシーを使用したマイクロおよびマクロのセグメンテーション

概要 VXLAN-GBP

概要

グループベースポリシー(GBP)を使用して、VXLANアーキテクチャでデータやアセットを保護するなどの目的で、ミクロおよびマクロのセグメンテーションを実現できます。GBPは基礎となるVXLANテクノロジーを活用し、ロケーション依存エンドポイントのアクセス制御を提供します。GBPにより、エンタープライズネットワークドメイン全体に一貫したセキュリティポリシーを実装できます。GBPを使用することでネットワーク設定を簡素化でき、すべてのスイッチに大量のファイアウォールフィルターを設定する必要がなくなります。GBPは、エンドポイントやユーザーのロケーションに関係なく、ネットワーク全体でセキュリティグループポリシーを一貫して適用することで、水平方向の脅威をブロックします。VXLAN-GBPは、VXLANヘッダーの予約フィールドを利用して、スケーラブルグループタグ(SGT)として使用することで機能します。SGT は、ファイアウォール フィルター ルールの一致条件として使用できます。SGT を使用する方が、ポートまたは MAC アドレスを使用するよりも堅牢で、同様の結果が得られます。SGT は、静的に割り当てるか(ポートごとまたは MAC 単位でスイッチを設定することにより)、RADIUS サーバー上で設定し、ユーザーが認証されるときに 802.1X を介してスイッチにプッシュすることができます。

VXLAN-GBP によって実現されるセグメンテーションは、基盤となるネットワーク トポロジーに依存しないネットワーク アクセス ポリシーを実用的に作成できるため、キャンパスの VXLAN 環境で特に役立ちます。ネットワークアプリケーションとエンドポイントデバイスのセキュリティポリシーを開発する際の設計および実装フェーズを簡素化します。

VXLAN-GBP規格の詳細については、IEEE RFC、 I-D.draft-smith-vxlan-group-policyをご覧ください。この例では、図に示すように、VXLAN-GBPはVXLANヘッダーの予約済みフィールドをスケーラブルグループタグとして利用します。

図 1: VXLAN ヘッダー フィールド VXLAN Header Fields

表 1 は、さまざまなスイッチと Junos OS リリースでの VXLAN-GBP のサポートを示しています。

表 1: VXLAN-GBP でサポートされているスイッチ
Junos リリース VXLAN-GBP 対応スイッチ

Junos OSリリース21.1R1以降

EX4400-24P、EX4400-24T、EX4400-48F、EX4400-48P、EX4400-48T

Junos OSリリース21.2R1以降

EX4400-24MPおよびEX4400-48MP

Junos OSリリース21.4R1以降

  • QFX5120-32CおよびQFX5120-48Y

  • EX4650

Junos OSリリース22.4R1以降
  • EX4100シリーズ

Junos OSリリース23.2R1以降
  • EX9204シリーズ(EX9200-15C搭載)

  • EX9208シリーズ(EX9200-15C搭載)

  • EX9214シリーズ(EX9200-15C搭載)

表 2 から 表 4 は、Junos OS リリース間の VXLAN-GBP 実装の違いをまとめたものです。

表 2: Junos OS リリース間の違い - GBP タギング
Junos OSリリース21.1R1以降のGBP Junos OSリリース22.4R1以降のGBP
set firewall family ethernet-switching filter filter_name term term_name from match_conditions
set firewall family ethernet-switching filter filter_name term term_name then gbp-src-tag/gbp-dst-tag tag
set firewall family any filter filter_name micro-segmentation
set firewall family any filter filter_name term term_name from match_conditions
set firewall family any filter filter_name term term_name then gbp-tag tag
手記:
  • ファミリ名 「any」 は、ファミリ名 「イーサネットスイッチング」に置き換わりました。

  • GBPタギングフィルターを示すために 、「マイクロセグメンテーション」 という用語が追加されました。

  • 'gbp-tag' という用語は、'gbp-src-tag'' gbp-dst-tag' という用語を置き換えました。

表 3: Junos OS リリース間の違い - GBP 一致条件
Junos OSリリース21.1R1以降のGBP Junos OSリリース22.4R1以降のGBP

interface <interface_name>

source-mac-address <mac_address>

  • ip-version ipv4 address <ip address> | prefix-list <prefix-list>

  • ip-version ipv6 address <ip address> | prefix-list <prefix-list>

  • mac-address <mac address>

  • vlan-id <vlan id> interface <interface_name>

  • vlan-id <vlan id>

  • interface <interface_name>

表 4: Junos OS リリース間の違い - ポリシーの適用
Junos OSリリース21.1R1以降のGBP Junos OSリリース22.4R1以降のGBP
set firewall family ethernet-switching filter filter_name term term_name from gbp-dst-tag gbp_tag 

set firewall family ethernet-switching filter filter_name term term_name from gbp-src-tag gbp_tag 

set firewall family ethernet-switching filter  filter_name term term_name then discard
手記:

ポリシーの適用は、エグレスエンドポイントでのみサポートされます。GBPを有効にするCLIステートメント:

set chassis forwarding-options vxlan-gbp-profile
set firewall family any filter filter_name term term_name from gbp-dst-tag gbp_tag 

set firewall family any filter filter_name term term_name from gbp-src-tag gbp_tag 

set firewall family any filter filter_name term term_name then discard
手記:

ファミリ名 「any」 は、ファミリ名 「イーサネットスイッチング」に置き換わりました。

手記:

GBPが有効になっている場合、ポリシーの適用はエグレスでは常に有効になりますが、イングレスではオプションです。

  • GBPを有効にするCLIステートメント:

    set chassis forwarding-options vxlan-gbp-profile
  • イングレスエンドポイントでポリシー適用を実行するためのCLIステートメント:

    set fowarding-options evpn-vxlan gbp ingress-enforcement 
 

Junos OS リリース 23.2R1 以降:

  • ポリシー適用では、追加の IPv4 および IPv6 L4 一致がサポートされています。

  • vxlan-gbp-l2-profileと のサポートvxlan-gbp-l3-profile

 

Junos OS リリース 24.2R1 以降:

  • どの条件にも一致しないパケットに対する明示的な破棄アクションを追加する機能。

  • MACベースGBPフィルターをルーティングされたトラフィックに、IPベースのGBPフィルターをスイッチされたトラフィックに適用する機能。

  • EVPNタイプ5アドバタイズメントにおけるIPプレフィックスルートのGBPタグ伝搬のサポート

Junos OSリリース22.4R1以降のGBP

表 5 に、Junos OS リリース 22.4R1 以降でサポートされている GBP 一致条件を示します。

表 5: 一致条件(Junos OS リリース 22.4R1 以降)
一致条件 の説明

ip-version ipv4 address <ip address> | prefix-list <prefix-list>

ip-version ipv6 address <ip address> | prefix-list <prefix-list>

IPv4/IPv6の送信元または宛先アドレス/プレフィックスリストに一致します。

mac-address <mac address>

送信元または宛先のMACアドレスに一致します。

interface <interface_name>

インターフェイス名に一致します。
手記:

Junos OSリリース23.4R1以降では、1つのファイアウォールフィルター条件内で複数の interface <interface_name> 一致条件がサポートされています。例えば:

set firewall family any filter test term t1 from interface ge-0/0/0
set firewall family any filter test term t1 from interface ge-0/0/1
set firewall family any filter test term t1 from interface ge-0/0/2
手記:

Junos OSリリース23.4R1以降では、単一のファイアウォールフィルター条件で、この一致条件を vlan-id 一致条件( vlan-id 一致条件がサポートされている場合)と並行して設定することもできます。例えば:

set firewall family any filter test term t1 from interface ge-0/0/0
set firewall family any filter test term t1 from vlan-id 2000

vlan-id <vlan id> | [<vlan_list>] | <vlan_range>

VLAN ID に一致します。
手記:

EX4100スイッチではサポートされていません

手記:

Junos OS リリース 23.4R1 以降では、 <vlan_list> および <vlan_range> オプションがサポートされています。例えば:

set firewall family any filter test term t1 from vlan-id 2000-2100
set firewall family any filter test term t1 from vlan-id [3000 3010 3020]
手記:

Junos OSリリース23.4R1以降では、単一のファイアウォールフィルター条件で、この一致条件を interface 一致条件と一緒に設定することもできます。

Junos OS リリース 23.2R1 以降では、vxlan-gbp-l2-profile および vxlan-gbp-l3-profile がサポートされています。 表 6 を参照してください。

表 6: サポートされる VXLAN-GBP UFT プロファイル
サポートされているスイッチの プロファイル
vxlan-gbp-profile
  • EX4100シリーズ

  • EX4400シリーズ

  • EX4650シリーズ

  • QFX5120-32CおよびQFX5120-48Yスイッチ

vxlan-gbp-l2-profile そして vxlan-gbp-l3-profile
  • EX4400シリーズ

  • EX4650シリーズ

  • QFX5120-32CおよびQFX5120-48Yスイッチ

GBPポリシーフィルターは、GBPソースタグやGBP宛先タグを一致として使用し、トラフィックを許可または破棄します。Junos OSリリース23.2R1以降、EX4100、EX4400、EX4650、QFX5120-32C、QFX5120-48Yスイッチは、新しいGBPポリシーフィルター(IPv4およびIPv6)L4マッチをサポートしています。これらの一致は、アプリケーション トラフィックのみをブロックするのに役立つ特定のルールを維持するのに役立ちます( 表 7 を参照)。

表 7: 追加の L4 ポリシー一致のサポート(Junos OS リリース 23.2R1 以降)
MAC および IP GBP タグ付きパケットに対するポリシー適用の一致の説明
ip-version ipv4 destination-port dst_port

TCP/UDP 宛先ポートに一致します。

ip-version ipv4 source-port src_port

TCP/UDP 送信元ポートに一致します。

ip-version ipv4 ip-protocol ip-protocol

IPプロトコルタイプに一致します。

ip-version ipv4 is-fragment

パケットがフラグメントの場合に一致します。

ip-version ipv4 fragment-flags flags

フラグメントフラグに一致します(シンボリック形式または16進形式)。

ip-version ipv4 ttl value

MPLS/IP TTL 値に一致します。

ip-version ipv4 tcp-flags flags

TCPフラグに一致します(シンボリック形式または16進形式) - (イングレスのみ)。

ip-version ipv4 tcp-initial

TCP接続の最初のパケットに一致します - (イングレスのみ)。

ip-version ipv4 tcp-established

確立されたTCP接続のパケットに一致します。

ip-version ipv6 destination-port dst_port

TCP/UDP 宛先ポートに一致します。

ip-version ipv6 source-port src_port TCP/UDP 送信元ポートに一致します。
ip-version ipv6 next-header protocol 次のヘッダープロトコルタイプに一致します。
ip-version ipv6 tcp-flags flags TCPフラグに一致(シンボリック形式または16進形式)イングレスのみ。
ip-version ipv6 tcp-initial TCP接続の最初のパケットに一致します。
ip-version ipv6 tcp-established 確立されたTCP接続のパケットに一致します。
手記:

これらのL4一致は、EX9204、EX9208、EX9214スイッチではサポートされていません。

一致する条件がない場合、デフォルトのアクションはパケットを受け入れることです。Junos OS リリース 24.2R1 以降、どの条件にも一致しないパケットに対する明示的なデフォルトの破棄アクションを指定できます。 表 8 を参照してください。

この機能は、 表1に示す特定のEX4100、EX4400、EX4650、QFX5120シリーズスイッチでサポートされています。

表 8: 明示的なデフォルトの破棄アクション(Junos OS リリース 24.2R1 以降)

明示的なデフォルトの破棄

形容

set firewall family any filter f1 term t1 from gbp-src-tag 100
set firewall family any filter f1 term t1 from gbp-dst-tag 200
set firewall family any filter f1 term t1 then accept
set firewall family any filter f1 term t2 then discard

破棄アクションを含み、一致条件を含まないフィルター項目(t2 など)を作成できます。これは、シーケンス内の前の条件のいずれにも一致しないパケットのキャッチオールとして役立ちます。

この明示的なデフォルトの破棄アクションは、ブロードキャスト、マルチキャスト、ホスト発信、または不明なユニキャストパケットには適用されません。これらのタイプのトラフィックは常に受け入れられます。

明示的な破棄アクションを設定しない場合、デフォルトアクションは以前のリリースの場合と同様にパケットを受け入れることです。

802.1X GBPタグ割り当てのためのSGTの割り当て

この例では、RADIUSサーバーでSGTを設定し、GBP対応のアクセススイッチで802.1Xアクセス制御を使用して、一致するエンドポイントがスイッチに接続したときにSGTを受信します。RADIUSサーバーは、キャンパス環境でアクセスコントロールや、VLANの割り当て管理などに一般的に使用されています。

手記:
  • 802.1X認証をシングルセキュアまたはマルチサプリカントモードで設定する場合、GBPタギングはMACベースになります。シングル サプリカント モードで 802.1X 認証を設定した場合、GBP タギングはポートベースになります。

  • IP アドレス、VLAN-ID、および VLAN-ID+インターフェイスの一致は、802.1X ではサポートされていません。

RADIUSサーバーでSGTの使用に対応するには、AAAサービスフレームワークでサポートされているベンダー固有属性(VSA)を活用する必要があります(これらのVSAは、標準のRADIUSリクエスト応答メッセージの一部として伝送され、SGTなどの実装固有の情報を処理するための組み込み拡張機能を提供します)。RADIUS サーバーの正確な構文は、認証方式が MAC ベースか EAP ベースかによって異なります。MAC ベースのクライアントの場合、設定は次のようになります。

EAP ベースのクライアントの場合、SGT は認証時に RADIUS サーバからプッシュされます。設定は次のようになります。

Junos OSリリース23.4R1以降、既存の Juniper-Switching-Filterに加えて、 Juniper-Group-Based-Policy-Id と呼ばれる新しいVSAがEX4400、EX4100、EX4650、およびQFX5120スイッチでサポートされます。

手記:

同じクライアントに対して、Juniper-Group-Based-Policy-ID VSAとJuniper-Switching-Filter VSAの両方を一緒に使用しないでください。

両方のVSAが存在し、GBPタグ値が異なる場合、クライアントは認証されません。

GBPタグは、以下のVSAのいずれかを介して、RADIUSから動的に割り当てることができます。

  • Juniper-Switching-Filter GBPフィルターとその他のフィルターの一致およびアクション条件を伝送します。

  • Juniper-Group-Based-Policy-IdにはGBPタグのみが付いています。

MACおよびポートベースのGBPタグフィルター用の Juniper-Group-Based-Policy-Id VSAは次のようになります。

Junos OSリリース23.4R1以降、GBP機能のサポートは、EX4400、EX4100、EX4650、およびQFX5120スイッチの次の設定ステートメントにも追加されました。

表 9: GBP タグを使用した設定ステートメント

CLI

形容

set protocols dot1x authenticator interface [interface-names] server-fail gbp-tag gbp-tag

サーバーがアクセスできない場合にインターフェイスに適用するGBPタグを指定します。 gbp-tag gbp-tag を構成し、クライアントが server-fail vlan-name または server-fail permit で認証する場合、構成された gbp-tag gbp-tag フィルターもクライアントにインストールされます。

このオプションは、[ server-fail vlan-name ] または [ server-fail permit ] オプションが設定されている場合にのみ設定できます。

set protocols dot1x authenticator interface [interface-names] server-reject-vlan gbp-tag gbp-tag

RADIUS がクライアント認証を拒否した場合に適用する GBP タグを指定します。 gbp-tag gbp-tag を設定し、クライアントが server-reject vlan で認証を行うと、設定された gbp-tag フィルタもクライアントにインストールされます。

server-reject-vlan vlan-idオプションが設定されている場合にのみ、server-reject gbp-tag gbp-tagを設定できます。

set protocols dot1x authenticator interface [interface-names] guest-gbp-tag gbp-tag

インターフェイスをゲスト VLAN に移動するときに適用する GBP タグを指定します。 guest-gbp-tag が設定され、クライアントがゲストVLANで認証される場合、設定された guest-gbp-tag フィルターもクライアントにインストールされます。

guest-vlan vlan-idオプションが設定されている場合にのみ、guest-gbp-tagを設定できます。

ゲスト VLAN の詳細については、「 802.1X 認証」を参照してください。

show dot1x interface detailまたはshow ethernet-switching tableコマンドを使用して、RADIUSから受信したGBPタグを確認できます。

show ethernet-switching table コマンドの出力例を次に示します。

GBPベースのフィルターは、GBPタギングの分類子として使用されます。これらのフィルターは、受信ストリームを分類し、GBPタグを割り当てます。

これがどのように機能するかは、次のコード サンプルで確認できます。GBPファイアウォールポリシーは、送信元と宛先のGBPタグに基づいて組み立てられます。

送信元タグは、受信パケットの VXLAN ヘッダーにある 16 ビットのフィールドであり、送信元アドレス(IP/MAC/ポートなど)ルックアップから取得されます。一方、宛先タグは、設定されたタグの割り当てに従って、宛先(IP/MAC/ポートなど)からのエグレス トンネルまたはイングレス エンドポイントで取得されます。

設定されたGBPタグは、RADIUSサーバーからのVSA(ベンダー固有属性)で指定されたGBTタグの範囲(1〜65535)のゼロ以外の正の値です。

イングレスエンドポイントとエグレスエンドポイントの両方にこの構成(以下を参照)があるとします。システム全体で同じGBPタグ割り当て設定にすることをお勧めします。送信元 MAC アドレス 00:01:02:03:04:10:10 からのパケットにはタグ 100 が割り当てられ、送信元 MAC アドレス 00:01:02:03:04:20:20 からのパケットには 200 が割り当てられます。

GBPタグ100で宛先MACアドレスが 00:01:02:03:04:10:10のパケットの場合、宛先グループタグ (gbp-dst-tag) は100になり、ターム t10-100で一致します。同様に、GBPタグ100で宛先MACアドレスが 00:01:02:03:04:20:20のパケットの場合、宛先グループタグは200になり、条件 t10-200と一致します。

送信元 MAC アドレスを送信元タグにマッピングするのに使用したのと同じタグ割り当てが、宛先 MAC アドレスを宛先タグにマッピングするためにも使用されます。これは、ポートベースの割り当てにも当てはまります。

Junos OSリリース23.2R1以降では、EX4100、EX4400、EX4650、QFX5120-32C、QFX5120-48Yスイッチは、MACおよびIPベースのGBPフィルターのGBPポリシーフィルターで追加のL4一致をサポートしています。 表 7 を参照してください。L4フィルターを設定することで、サポートされるGBPの規模を縮小することができます。これらの一致はデフォルトでサポートされていますが、EX4650シリーズ、QFX5120-32C、およびQFX5120-48Yスイッチでは、 set forwarding-options evpn-vxlan gbp tag-only-policy を使用してGBPポリシーでGBPソースタグと宛先タグのみを一致として許可できます。

別の例を見てみましょう。今回は、GBP送信元タグ300を使用し、IPv4アドレス 172.16.1.0/24からのパケットを使用します。

Junos OSリリース23.4R1以降、EX4400、EX4650、およびQFX5120スイッチは、リストおよび範囲オプションを使用して、条件内の同じタイプのVLAN、ポート、およびポート+VLANタイプのGBPフィルタに複数のエントリをサポートしますが、EX4100スイッチはポートタイプGBPフィルタでのみ複数のエントリをサポートします。

以下の例を参照してください。

この例では、GBPタグ300のパケットについては、10から30の範囲のVLAN IDアドレスで条件t1と一致します。

この例では、GBPタグ300のパケットの場合、インターフェイス101〜104のリストの条件t1で一致し、101〜104はそれぞれインターフェイスに割り当てられた連続した内部インターフェイスインデックスです。

手記:

GBPタギングの優先度は以下の通りで、ip-versionが最も高い優先度です。

  • ip-version ipv4 <ip address> | <prefix-list>

  • ip-version ipv6<ip address> | <prefix-list>

  • mac-address<mac address>

  • interface<interface_name> vlan id <vlan id>

  • vlan-id<vlan id>

  • interface<interface_name>

既定では、ポリシーの適用はエグレス エンドポイントで行われることに注意してください。イングレスリーフでポリシーの適用を行う場合は、以下のセクションを参照してください。

ネットワークのニーズに最適な3つのプロファイルのいずれかを選択することで、VXLAN-GBPを有効にすることができます。各 UFT プロファイルは、アドレスの種類ごとに異なる最大値で構成されます。 GBP プロファイルを使用する場合の詳細については、GBP プロファイルについて を参照してください。これらのプロファイルでサポートされている拡張性については、 vxlan-gbp-profilevxlan-gbp-l2-profilevxlan-gbp-l3-profile を参照してください。

イングレスおよびタグ伝送時のポリシー適用

Junosリリース22.4R1以降、イングレスに近い場所でポリシー適用を実行できるようになりました。Ingressの適用は、Ingressで破棄されるタグ付きパケットをIngressで破棄することで、ネットワーク帯域幅を節約します。イングレスまたはその近くでのポリシー適用をサポートするために、EVPNタイプ2およびタイプ5ルート内の拡張BGPコミュニティを使用して、MACおよびIP-MACベースのタグをネットワーク全体に伝播します。これらのタイプのルートについては、 EVPNタイプ2およびタイプ5ルート を参照してください。

EVPNルートアドバタイズメントは、新しいホストからパケットを受信する際のMAC-IP学習などを通じて、EVPNルートのインストール(または変更)によってトリガーされます。この場合、送信元 IP ルートは evpn.0 データベースにインストールされ、EVPN タイプ 2 アドバタイズメント(割り当てられている場合は GBP タグを含む)がすべての eBGP ピアに送信されます。

これらのアドバタイズメントがネットワークを介してリモート エンドポイントに伝播した後、リモート エンドポイントは、リモート イングレスで受信したパケットに対して GBP ファイアウォール フィルターを決定するのに十分な情報を取得します。受信時にパケットを受信すると、リモートエンドポイントは宛先ルートを検索し、EVPNタイプ2アドバタイズを通じて以前に受信した宛先GBPタグを取得できます。宛先GBPタグを使用して、リモートエンドポイントはその後、イングレスパケットに対してGBPポリシーの適用を決定できます。

GBPタグはEVPNタイプ2ルートアドバタイズメントを使用して伝送されるため、タグ伝送は必ずMACまたはIPアドレスごとに実行されます。ただし、これはタグの割り当てとは関係なく、VLANやポートなど、サポートされているどの方法でも引き続き使用できます。

例えば、ポートに基づいてタグ割り当てを設定し、新しいホストからのパケットがそのポートで受信された場合、そのポートに割り当てられたタグは、着信パケットの送信元MACおよびIPアドレスとともに、タイプ2ルートアドバタイズで伝播されます。その後、異なるホストからのパケットが同じポートで受信された場合、同じタグが、この異なるホストの送信元MACおよびIPアドレスとともに、別のタイプ2ルートアドバタイズメントに伝播されます。

手記:

ボーダーリーフスイッチがGBPタグ付きのEVPNタイプ2アドバタイズメントを受信すると、スイッチはタイプ2ルートをインストールし、そのGBPタグ付きのEVPNタイプ5アドバタイズメントを他のデータセンターのボーダーリーフスイッチなどのeBGPピアに生成します(DC間トラフィックの場合)。このタイプ 5 ルートには、/32 IP アドレスと GBP タグが含まれています。

このタイプ 2 からタイプ 5 GBP へのタグ伝搬はサポートされていますが、タイプ 5 からタイプ 2 GBP へのタグ伝搬はサポートされていません。

マルチホーミング トポロジーの場合は、マルチホーミング メンバー間で構成を同一にします。

イングレスノードでポリシー適用を実行するには、以下のステートメントを有効にする必要があります。ingress適用を有効または無効にすると、パケット転送エンジン(PFE)が再起動します。

EVPNタイプ5アドバタイズメントを使用したIPプレフィックスルートのタグ伝搬

Junos OS Release 24.2R1以降、EVPNタイプ5アドバタイズメントを使用したIPプレフィックスルートのGBPタグ伝搬がサポートされています。このリリース以前は、GBPタグ伝送はデータプレーンでのMAC-IP学習によってのみトリガーされていたため、タグ伝送は/32 IPルートに対してのみ発生していました。

IP プレフィックス ルートのサポートにより、たとえばインターフェイスを作成してダイレクト EVPN ルート(set routing-instances <instance> protocols evpn ip-prefix-routes advertise direct-nexthop)のアドバタイズを有効にした場合などに、タグの伝送を実行できるようになりました。その IP プレフィックスにも GBP タグを割り当てると、後続の EVPN タイプ 5 アドバタイズに GBP タグが含まれるため、MAC-IP 学習が行われる前からタグが伝播されます。

一般に、EVPN タイプ 5 アドバタイズ内での GBP タグ伝送は、IP プレフィックスにタグを割り当てる GBP フィルターを作成し、その IP プレフィックス ルートが evpn.0 ルーティング データベースにインストールされるたびに発生します。(GBP フィルターは、ルートのインストール前またはインストール後に作成できます。

スイッチがタイプ 5 のアドバタイズメントを生成しても、スイッチが新しいホストを学習すると(たとえば、データプレーンでの MAC-IP 学習によって)、スイッチはタイプ 2 のアドバタイズメントも生成します。多くの場合、EVPN トラフィックを削減するために、これらの冗長な /32 アドバタイズを抑制することが望ましい場合があります。そのためには、/32 ルートを拒否する BGP ポリシーを作成します。

例えば、以下の例では、IPv4ホストからの/32ルートを拒否するfm_v4_hostという条件を持つT5_EXPORTというポリシーを作成します。

手記:

スイッチが IP プレフィックス ルートと関連付けられた GBP タグの EVPN アドバタイズメントを受信し、同じ IP プレフィックス ルートに異なるタグを割り当てる GBP フィルターを構成している場合は、ローカルに設定された GBP フィルターの GBP タグが優先されます。スイッチは、EVPN ルートを再アドバタイズする前に、受信した EVPN アドバタイズの GBP タグをローカルに割り当てられた GBP タグに置き換えます。

IP プレフィックスの GBP フィルターを作成し、その GBP フィルターをルーティングインスタンスに関連付けると、IP プレフィックスタグの伝送が自動的に有効になります。例えば:

ここで、 <routing-instance> は、フィルターを適用するルーティング インスタンスの名前です。

IPプレフィックスルートがGBPタグに関連付けられると、そのIPプレフィックスルートの show route コマンドの出力にGBPタグが表示されます。例えば:

ルーティングインスタンスとGBPフィルター間のバインディングを確認するには、 show evpn gbp-src-tag filter-bind routing-instance コマンドを使用します。

GBPタグマッピングへのIPプレフィックスルートを表示するには、 show evpn gbp-src-tag ip-prefix inet コマンドを使用します。

この機能には次のような制限があります。

  • GBPフィルターは、1つのルーティングインスタンスにのみ関連付けることができます。同じGBPフィルターを複数のルーティングインスタンスに関連付けることはできません。

  • 同じIPプレフィックス一致条件を持つ2つの異なるGBPフィルターを、同じルーティングインスタンスに関連付けることはできません。

  • IP ベース GBP フィルターは、ルーティングインスタンスにのみ関連付けることができます。他のタイプのGBPフィルターを関連付けても効果はありません。

  • この機能は、 表1に記載されているEX4400、EX4650、QFX-5120シリーズスイッチでのみサポートされています。

ホスト発信パケット

VTEP(統合型ルーティングおよびブリッジング)インターフェイスからパケットが VTEP(仮想トンネル エンドポイント)経由で送信されると、カーネルは VXLAN ヘッダーに送信元 GBP タグを挿入してパケットを送信します。送信元GBPタグ値は、以下のステートメントを使用して設定されます。

GBP MAC/IPインタータギング

デフォルトでは、MACベースのGBPフィルターはスイッチされたトラフィックにのみ適用され、IPベースのGBPフィルターはルーティングされたトラフィックにのみ適用されます。

Junos OS Release 24.2R1以降、MACベースのGBPフィルターはルーティングされたトラフィックにも適用でき、IPベースのGBPフィルターはスイッチされたトラフィックにも適用できるようになりました。

これはMAC/IPインタータギングと呼ばれ、 表1に示す特定のEX4100、EX4400、EX4650、およびQFX5120シリーズスイッチでサポートされています。

MAC/IPインタータギングを有効にするには:

以下では、MAC/IPインタータギングを有効にすると、MACテーブルとIPテーブルの両方に同じGBPタグ100が表示されることがわかります。

SGT 割り当ての計画

ルールを作成する前に、すべてのエンドポイント(ユーザとデバイス)と割り当てられた SGT 値のテーブルを作成して、スキームを整理すると便利です。以下の表を使用して、ロジックをさらに単純化し、ルールを明確にすることができます。

表 10: エンドポイントとその SGT 値

エンドポイント

割り当てられた SGT 値

正社員(PE)

100

請負業者(詐欺)

200

警備員(SS)

300

セキュリティカメラ(CAM)

400

エンジニアリングサーバー(ES)

500

RADIUSサーバーとSGT、EX4400とVXLANのパケットヘッダー、アクセスポリシーを管理するための集中型ファイアウォールフィルターの関係は、マトリクスが値を整理するための便利な方法になるようなものです。次の表では、最初の列の下にユーザーロールをリストし、最初の行にデバイスタイプをリストして、アクセスマトリックスを作成します。各ユーザー ロールとデバイス タイプに SGT が割り当てられ、RADIUS 設定がその情報で更新されています。

この例では、正社員 (PE)、請負業者 (CON)、およびセキュリティ スタッフ (SS) の 3 種類の従業員を使用します。また、英語サーバー (ES) とセキュリティ カメラ (CAM) の 2 種類のリソースを使用します。アクセスが許可されている場合は Y を使用し、アクセスがブロックされている場合は N を使用します。この表は、ポリシーでさまざまなファイアウォールルールを作成する際に有用なリソースとして機能し、アクセスマッピングをシンプルかつ明確にします。

表 11: アクセスマトリクス
  ES (SGT 500) CAM (SGT 400) PE (SGT 100) CON (SGT 200) SS (SGT 300)
PE(SGT 100) Y N Y Y N
コン (SGT 200) N N Y N N
SS (SGT 300) N Y N N Y

位相幾何学

わかりやすくするために、この例のすべての設定は、Junos OSリリース22.4.1R1を実行する単一のJuniper EX4400シリーズスイッチで実行されています。スイッチは、AAA 用の RADIUS サーバーに接続されます。この例では、このスイッチはエグレスとして機能します。SGT の場合はエグレス スイッチでファイアウォールを定義する必要がありますが、通常はアクセス レイヤーのイングレス VXLAN ゲートウェイで定義することを思い出してください。

図 2: EX4400 スイッチの VXLAN GBP VXLAN GBP on an EX4400 Switch

必要条件

Junos OS 22.4R1では、拡張GBPがEX4100、EX4400、EX4650、QFX5120-32C、QFX5120-48Yのスイッチでサポートされています。

構成

VXLAN-GBPベースのセグメンテーション:

  • ユーザーはネットワークにログオンし、RADIUS サーバー(すべてのエンドポイントに SGT が設定されている)によって認証されます。
  • EX4400は、ファイアウォールフィルターを使用して、802.1X認証またはMACアドレスに基づいてトラフィックを選択し、一致するフレームにグループタグを割り当てます。(dot1x 認証クライアントの場合、スタティック ファイアウォール設定は必要ありません)。この仕組みは、次に示すようにファイアウォールを使用して実行されます。 および
  • EX4400を通過するタグ付きトラフィックは、ファイアウォールフィルターの仕組みを使用して、SGT値に基づいて再度評価されます。
    • まず、デバイスで chassis forwarding-options vxlan-gbp-profile を有効にします。

    • gbp-dst-tag および/またはgbp-src-tag 一致条件を使用してファイアウォールルールを記述し、GBPマイクロセグメンテーションに使用するエグレススイッチのルーティングポリシーに含めます。Junos OSリリース23.2R1以降では、ソースタグと宛先タグに加えて、プロトコル、送信元ポート、宛先ポート、tcpフラグなどの新しいGBPポリシーフィルターIPv4およびIPv6 L4一致がサポートされています。表 7 を参照してください。
    • イングレスエンドポイントでポリシーの適用を行う場合は、 set fowarding-options evpn gbp ingress-enforcement オプションを有効にする必要があります。

スタンドアロンの Juniper EX4400 スイッチを VXLAN-GBP 用に構成する

サンドボックス環境で VXLAN-GBP セグメンテーションを設定するには、次のコマンドを使用します。通常、ファイアウォールフィルタールールは、アクセスレイヤーの(エグレス)VXLANゲートウェイとして機能するスイッチ上で作成しますが、わかりやすくするために、ファイアウォールフィルタールールとRADIUSサーバー(ここではEAP)の両方に同じスタンドアロンEX4400を使用しています。この例で使用する値は、前の表から取得したものです。

以下のコマンドには、プロファイル名や IP アドレスなどの変数が含まれているため、テスト環境に合わせて調整する必要があります。

  1. RADIUS サーバーを構成します。
  2. RADIUS認証をサポートするように物理ポートを設定します。
  3. Juniper-Switching-FilterまたはJuniper-Group-Based-Policy-Idを使用して、RADIUSサーバーにSGTタグを設定します。 または
  4. スイッチで VXLAN-GBP を有効にします。
  5. SGT を活用するファイアウォール フィルター ルールを作成します(マトリックスに整理された値を使用)。
  6. Junos でコミットチェックを実行して、使用したコマンドと変数が有効であることを確認します。設定に問題がなければ、候補の設定をコミットして、デバイス上でアクティブにします。これらのコマンドを以下に示します。「 run show configuration」と入力して構成を確認することもできます。

EXスイッチとQFXスイッチの制限:

  • EX9204、EX9208、EX9214スイッチ:

    • EVPN-VXLANタイプ2トンネルを介して来るトランジットトラフィックの場合、VxLANヘッダーのイングレスPEにスタンプされたソースGBPタグが妥協することなくアンダーレイネットワークで伝送されている場合のみ、エグレスPEでのGBPタグベースのポリシー適用は正しく機能します。

    • RADIUS/802.1X を介して設定された SGT はサポートされていません。

    • /32ルートのタグ伝播とイングレスエンドポイントでのポリシー適用のサポートは、Junos OSリリース24.2R1で開始されます。

    • EVPNタイプ5アドバタイズメントを使用したIPプレフィックスルートのタグ伝搬はサポートされていません。

    • GBP UFT プロファイルはサポートされていません。

  • EX4400およびQFX5120プラットフォームで一意のタグの数は1Kに制限されています。

  • interfaceVLANGBPの一致は、EX4100スイッチではサポートされていません。

  • マルチキャストIPベースのGBPタギングはサポートされていません。

  • IP ベース GBP はレイヤー 2 スイッチング フローに適用されず、MAC ベース GBP はアクセスツーアクセス レイヤー 3 ルーティング フローには適用されません。

  • ポートベース(interface)GBPが設定されている場合、IPACLはサポートされません。

  • ポリサーとカウントアクションは、MACベースおよびIPベースのGBPポリシーエントリーでのみサポートされています。

  • VLAN ベースの GBP は、サービス プロバイダー スタイルの論理インターフェイスではサポートされていません。

  • GBPタグ割り当てフィルターは、カウンターオプションをサポートしていません。

  • GBPフィルター(MAC、PORT、PORT+VLAN)の異なる一致基準は、同じフィルタの一部ではありません。

GBP Junos OS リリース 21.1R1 以降

RADIUS サーバを使用した SGT の割り当て

この例では、RADIUSサーバーでSGTを設定し、EX4400で802.1Xアクセスコントロールを使用して受信します。RADIUSサーバーは、キャンパス環境でアクセスコントロールや、VLANの割り当て管理などに一般的に使用されています。

RADIUSサーバーでのSGTの使用に対応するには、AAAサービスフレームワークでサポートされているベンダー固有属性(VSA)を活用する必要があります(これらのVSAは、標準のRADIUSリクエスト応答メッセージの一部として伝送され、SGTなどの実装固有の情報を処理するための組み込み拡張機能を提供します)。RADIUS サーバーの正確な構文は、認証方式が MAC ベースか EAP ベースかによって異なります。MAC ベースのクライアントの場合、設定は次のようになります。

EAP ベースのクライアントの場合、SGT は認証時に RADIUS サーバからプッシュされます。設定は次のようになります。

Junos リリース 21.1R1 以降、EX4400 スイッチでは、VXLAN-GBP で使用するための新しい一致条件が導入され、RADIUS サーバーによって渡されて VXLAN ヘッダーに挿入された SGT タグをファイアウォールが認識できるようになりました。

これがどのように機能するかは、次のコード サンプルで確認できます。GBPファイアウォールポリシーは、送信元と宛先のGBPタグに基づいて組み立てられます。送信元タグは受信パケットの VXLAN ヘッダーの 16 ビット フィールドであり、宛先タグは設定されたタグの割り当てに従って、エグレス トンネルのエンドポイントで取得されます。

例えば、以下のような構成のエグレスエンドポイントがあるとします。送信元 MAC アドレス 00:01:02:03:04:10:10 からのパケットにはタグ 100 が割り当てられ、送信元 MAC アドレス 00:01:02:03:04:20:20 からのパケットには 200 が割り当てられます。

GBPタグ100で宛先MACアドレスが 00:01:02:03:04:10:10のパケットの場合、宛先グループタグ (gbp-dst-tag) は100になり、ターム t10-100で一致します。同様に、GBPタグ100で宛先MACアドレスが 00:01:02:03:04:20:20のパケットの場合、宛先グループタグは200になり、条件 t10-200と一致します。

送信元 MAC アドレスを送信元タグにマッピングするのに使用したのと同じタグ割り当てが、宛先 MAC アドレスを宛先タグにマッピングするためにも使用されます。これは、ポートベースの割り当てにも当てはまります。

別のコード サンプルを見てみましょう。今回は GBP ソース タグ 300 を使用し、パケット受信インターフェイス ge-0/0/30.0を使用します。以下に示すように、GBP送信元タグ300はエグレス方向に割り当てられており、300もGBP宛先グループタグです。

エグレススイッチで使用されているグループタグをイングレススイッチが知る方法がないため、エグレススイッチでGBPファイアウォールフィルターを構成する必要があることに注意してください。さらに、イングレス ノードで VXLAN-GBP をグローバルに有効にして、一致で検索を実行し、VXLAN ヘッダーとエグレス ノードで SGT を追加できるようにする必要があります。次に示すコンフィグレーションコマンドで、これを行います。

ルールを作成する前に、すべてのエンドポイント(ユーザとデバイス)と割り当てられた SGT 値のテーブルを作成して、スキームを整理すると便利です。ここでは、ロジックをさらに単純化し、ルールを明確にするために使用できる値を後でマトリックスに適用するテーブルの1つを示します。

表 12: エンドポイントとその SGT 値

エンドポイント

割り当てられた SGT 値

正社員(PE)

100

請負業者(詐欺)

200

警備員(SS)

300

セキュリティカメラ(CAM)

400

エンジニアリングサーバー(ES)

500

RADIUSサーバーとSGT、EX4400とVXLANのパケットヘッダー、アクセスポリシーを管理するための集中型ファイアウォールフィルターの関係は、マトリクスが値を整理するための便利な方法になるようなものです。次の表では、最初の列の下にユーザーロールをリストし、最初の行にデバイスタイプをリストして、アクセスマトリックスを作成します。各ユーザー ロールとデバイス タイプに SGT が割り当てられ、RADIUS 設定がその情報で更新されています。

この例では、正社員 (PE)、請負業者 (CON)、およびセキュリティ スタッフ (SS) の 3 種類の従業員を使用します。また、英語サーバー (ES) とセキュリティ カメラ (CAM) の 2 種類のリソースを使用します。アクセスが許可されている場合は Y を使用し、アクセスがブロックされている場合は N を使用します。この表は、ポリシーでさまざまなファイアウォールルールを作成する際に有用なリソースとして機能し、アクセスマッピングをシンプルかつ明確にします。

表 13: アクセス マトリクス
  ES (SGT 500) CAM (SGT 400) PE (SGT 100) CON (SGT 200) SS (SGT 300)
PE(SGT 100) Y N Y Y N
コン (SGT 200) N N Y N N
SS (SGT 300) N Y N N Y

位相幾何学

わかりやすくするために、この例のすべての設定は、Junos OSリリース21.1R1を実行する単一のJuniper EX4400シリーズスイッチで実行されています。スイッチは、AAA 用の RADIUS サーバーに接続されます。この例では、このスイッチはエグレスとして機能します。SGT の場合はエグレス スイッチでファイアウォールを定義する必要がありますが、通常はアクセス レイヤーのイングレス VXLAN ゲートウェイで定義することを思い出してください。

図 3: EX4400 スイッチの VXLAN GBP VXLAN GBP on an EX4400 Switch

必要条件

VXLAN-GBPは、Junos OSリリース21.1R1で、EX4400-24P、EX4400-24T、EX4400-48F、EX4400-48P、EX4400-48Tのスイッチでサポートされています。この例では、EX4400スイッチについて考えてみましょう。

Junos リリース 21.4R1 以降、VXLAN-GBP は、QFX5120-32C、QFX5120-48T、QFX5120-48Y、QFX5120-48YM、EX4650、EX4650-48Y-VC のスイッチでもサポートされています。

構成

上記の段落で説明した、VXLAN-GBPベースのセグメンテーションの根底にある一連のイベントを要約すると、次のようになります。

  • ユーザーはネットワークにログオンし、RADIUS サーバー(すべてのエンドポイントに SGT が設定されている)によって認証されます。
  • EX4400は、ファイアウォールフィルターを使用して、802.1X認証またはMACアドレスに基づいてトラフィックを選択し、一致するフレームにグループタグを割り当てます。(dot1x 認証クライアントの場合、スタティック ファイアウォール設定は必要ありません)。この仕組みは、次に示すようにファイアウォールを使用して実行されます。 および
  • EX4400を通過するタグ付きトラフィックは、ファイアウォールフィルターの仕組みを使用して、SGT値に基づいて再度評価されます。そのためには、まずスイッチで chassis forwarding-options vxlan-gbp-profile を有効にしてから、 gbp-dst-tag gbp-src-tag 一致条件を使用してファイアウォールルールを記述し、GBPマイクロセグメンテーションに使用するエグレススイッチのルーティングポリシーに含める必要があります。

スタンドアロンの Juniper EX4400 スイッチを VXLAN-GBP 用に構成する

サンドボックス環境で VXLAN-GBP セグメンテーションを設定するには、次のコマンドを使用します。通常、ファイアウォールフィルタールールは、アクセスレイヤーの(エグレス)VXLANゲートウェイとして機能するスイッチ上で作成しますが、わかりやすくするために、ファイアウォールフィルタールールとRADIUSサーバー(ここではEAP)の両方に同じスタンドアロンEX4400を使用しています。この例で使用する値は、前の表からのものです。

以下のコマンドには、プロファイル名や IP アドレスなどの変数が含まれているため、テスト環境に合わせて調整する必要があります。

  1. RADIUS サーバーを構成します。
  2. RADIUS認証をサポートするように物理ポートを設定します。
  3. RADIUS サーバで SGT タグを設定します。
  4. スイッチで VXLAN-GBP を有効にします。
  5. SGT を活用するファイアウォール フィルター ルールを作成します(マトリックスに整理された値を使用)。
  6. Junos でコミットチェックを実行して、使用したコマンドと変数が有効であることを確認します。設定に問題がなければ、候補の設定をコミットして、デバイス上でアクティブにします。これらのコマンドを以下に示します。「 run show configuration」と入力して構成を確認することもできます。