VRFルーティングインスタンスを使用したSRXシリーズデバイスのフロー管理
SD-WAN導入における仮想ルーティングおよび転送インスタンス
仮想ルーティングおよび転送(VRF)インスタンスは、各テナントのルートを他のテナントのルートと他のネットワーク トラフィックから分離する必要があります。SRXシリーズデバイスは、SD-WAN導入におけるセキュリティの強化と管理性の向上のために、ネットワークのセグメント化にVRFインスタンスを使用します。たとえば、テナントと呼ばれる個別のルーティング ドメインを作成して、大規模な企業ネットワークをセグメント化し、トラフィックをセグメント化して複数の顧客ネットワークをサポートできます。各テナントには独自のルーティングテーブルがあり、重複するIPサブネットをサポートできます。VRF を使用すると、特定のテナントの VRF の独立した転送テーブルに基づいてルートを管理し、トラフィックを転送できます。
SD-WAN の導入では、プロバイダ エッジ(PE)ルーターは、MPLS トラフィックを送受信するハブ デバイスとスポーク デバイスの両方になります。カスタマーエッジ(CE)ルーターは、VRFルーティングインスタンスを使用してVPNトラフィックを送信するためにPEルーターと対話するSRXシリーズデバイスです。VRFインスタンスは、各顧客VPNトラフィックを転送し、各VRFインスタンスには、そのVRFを通過するすべての顧客トラフィックを表す1つのラベルが含まれています。
スポークサイド SRX シリーズ デバイスに接続する異なるサイトは、同じテナントに属することも、同じ VRF ルーティング インスタンスに属することもできます。これらのサイトは、公共インターネットサイトまたはリモートテナントサイトに到達することを意図したIPトラフィックを送信します。
トラフィックがスポーク側の SRX シリーズ デバイスに到達すると、デバイスはそれらのサイトに接続されている LAN インターフェイスから VRF インスタンスを識別します。このトラフィックのセキュリティ処理後、トラフィックはそのVRFルーティングテーブル内の宛先へのルートを見つけます。宛先が MPLS over next-hop-based generic routing encapsulation(GRE)の場合、SRX シリーズ デバイスは対応する MPLS ラベルを追加し、パケットをハブ側デバイスに転送します。
ハブ側デバイスでは、MPLS over GRE トンネリング トラフィックを受信した後、SRX シリーズ デバイスは MPLS ラベルを関連付けて、対応する VRF ルーティング インスタンスを識別します。トラフィックのセキュリティ処理が完了すると、デバイスは宛先が公共インターネット上にあるか、MPLSネクストホップ経由で到達可能であるかを識別します。
宛先がパブリックインターネットの場合、ネットワークアドレス変換(NAT)はVRFプライベートIPアドレスをパブリックIPアドレスに変換し、セッションを確立します。宛先がMPLSネクストホップの一種である場合、対応するMPLSラベルが追加され、パケットはGREオーバーレイトンネルを使用してリモートスポークに転送されます。
リモートスポーク側では、MPLS over GREトンネルトラフィックを受信した後、デバイスはMPLSラベルを使用して対応するVRFルーティングインスタンスを識別します。そのVRFルーティングインスタンスを使用して、SRXシリーズデバイスは、そのVRFで正しい宛先LANインターフェイスを見つけて、パケットを宛先に転送します。
VRFルーティングインスタンスを使用したフロー管理
SRXシリーズのデバイスフローは、5タプルデータ(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号)に基づいてセッションを作成し、入力インターフェイスのインターフェイストークンとトラフィックの出力インターフェイスを作成します。例えば、ルーティングインスタンスVRF-1とルーティングインスタンスVRF-2は、同じ物理GREトンネルを出入りできる同じ5タプルのトラフィックを持っています。これらの重複する IP アドレスが同じトンネルから SRX シリーズ デバイスを出入りする場合、SRX デバイス フローはセッション情報の競合により、データベースに複数のセッションをインストールできません。インストール中にSRXシリーズデバイスがセッションを区別するには、追加情報が必要です。
Junos OSリリース15.1X49-D160以降、SRXシリーズデバイスは、セッションキー内のMPLSタグ付きパケットからのVRF情報を使用してセッションを区別できます。異なるVRFインスタンスからセッションを区別するために、フローは既存のセッションキーにVRF識別番号を使用して各VRFインスタンスを識別します。このセッションキーは、セッションの検索中に一致条件の1つとして使用されます。
セキュリティ ポリシーでは、以下の一致条件と既存の 5 要素一致条件を使用して、指定された VRF に基づいてトラフィックを許可または拒否できます。
VRFのソース—これは、パケットの受信インターフェイスに関連付けられたVRFルーティングインスタンスです。ラベルを含む受信 MPLS パケットが SRX シリーズ デバイスに到着すると、デバイスはラベルをデコードし、ラベルを受信インターフェイスにマッピングします。
宛先VRF -これは、宛先への最終ルートに関連付けられたVRFルーティングインスタンスです。フローは、新しいセッションの最初のパケット処理中に、ネクストホップ デバイスまたはインターフェイスにパケットをルーティングするための宛先ルートを必要とします。フローは、受信インターフェイスまたは別のRTTテーブルから、最終的なネクストホップデバイスまたはインターフェイスが見つかるまで、初期ルーティングテーブルを検索します。最終ルートエントリーが見つかり、そのルートがMPLSネクストホップデバイスを指す場合、最終ルートが見つかったルーティングインスタンスに宛先VRFが割り当てられます。
仮想ルーティングおよび転送グループ
SD-WANエンタープライズネットワークは、 図1に示すように、複数のL3VPNネットワークで構成されています。
L3VPNネットワークは、サイト(CPEデバイス)でVRFインスタンスのセットとして識別されます。サイトのL3VPNネットワークに属するサイトのVRFインスタンスは、アプリケーションポリシーベースの転送に使用されます。SRXフローセッション処理は、アプリケーションベースのステアリングポリシーに基づいて、VRFインスタンス間のミッドストリームトラフィックスイッチングをサポートするように強化されています。特定のL3VPNネットワークの論理的に一部であるVRFインスタンスは、VRFグループとして設定できます。VRF グループでの操作をサポートするために、既存のファイアウォール、NAT 設定コマンドが拡張されました。
図 2 は、APBR ポリシーに基づいて複数の VRF 間で L3VPN 内のトラフィック ステアリングがどのように行われるかを示しています。
VRFインスタンスを使用してVRFグループを設定すると、VRFグループIDが生成されます。これらの VRF グループは、SD-WAN L3VPN を制御するために以下のモジュールで使用されます。
Security Policy - ポリシー制御用。
Flow - VRFグループ名に基づいて、送信元または宛先ゾーン、送信元または宛先IPアドレス、およびプロトコルに基づいてポリシーを検索します。そのため、セッションは差別化要因の1つとしてVRFグループを使用して作成されます。
NAT - VRFグループ名に基づいたNATルールをサポートします。
ALG - VRF グループを差別化要因の 1 つとして使用して ALG セッションを作成。
VRF グループの機能:
2 つの MPLS VRF 間でセッションを切り替えることができます。
VRF インスタンスが同じ VRF グループの一部である場合、フロー、ポリシー、NAT、ALG モジュールなどのセキュリティ機能は VRF インスタンスも同様に扱います。
VRFインスタンスを使用してVRFグループを設定すると、VRFグループIDが生成されます。このグループIDは、特定のVRFインスタンスのVRFグループを識別するためのセッションに保存されます。
VRF グループについて
VRFグループが導入され、SD-WANネットワークでL3VPN MPLSベースのセッションをサポートします。MPLS L3VPN ネットワークで重複または重複する IP ネットワーク アドレスがない場合、ポリシー、フロー、NAT、ALG モジュールで MPLS L3VPN トラフィックを制御するために使用されます。
トラフィックが非 MPLS L3VPN ネットワーク間を通過する場合、VRF グループは設定されません。VRF グループが設定されていない場合、VRF グループ ID はゼロか、ポリシーは VRF グループの オプション any を使用します。
VRF グループの目的は次のとおりです。
MPLS L3VPN ネットワーク間の L3VPN セッションを区別するため。
MPLS L3VPN ネットワーク間でポリシーと NAT を制御する。
VRF グループのタイプ
L3VPNネットワークには、2つの重要なVRFグループがあります。
ソース VRF グループ
宛先 VRF グループ
Source-VRF グループまたは Destination-VRF グループでどの VRF インスタンスをグループ化できるかを理解するには、以下の情報を使用します。
Source-VRF instances- 同じインバウンド宛先に異なる MPLS パスをネゴシエートする VRF インスタンスのリスト。
Destination-VRF instances— 特定の L3VPN トラフィックの宛先ルートを含む VRF インスタンスのリスト。
トラフィックが逆方向に開始された場合、VRF はトラフィックの方向に関してスイッチの役割をグループ化します。
VRF の移動
図 3 から、セッション確立の最初のトラフィック フローは左から右へです。トラフィックは GRE-Zone1 に入り、次に Source-VRF グループ(A)に入り、宛先 VRF グループ(A')を通過してから、GRE_Zone2を通過します。
同様に、ポリシー検索は から GRE_Zone1->Source-VRF group(A)->Destination-VRF group->(A’)->GRE_Zone2 開始され、セッションの追加キー値として Source-VRF グループ(A)と宛先 VRF グループ(A)を使用して、フロー セッションが設定されます。VRFグループを使用してフローセッションが完了すると、トラフィックは1つのVRFからグループ内の別のVRFにスイッチ(再ルーティング)できます。
内での VRF の移動
VRF グループ ID
VRFグループIDを格納するために、セッションキーデータ構造に16ビット番号が使用されます。
VRF グループの設定
VRF グループを設定するには、次の手順を使用します。
グループ化する必要がある VRF インスタンスを示します。
VRF グループに名前を割り当てます。
CLI コマンドで VRF インスタンスと VRF グループ名を適用します
set security l3vpn vrf-group group-name vrf vrf1 vrf vrf2。
送信元と宛先のVRFグループは、異なるコンテキストに基づいて個別に設定されます。
Source VRF groupルーティングインスタンスのソースVRFグループは、MPLSパケットに関連付けられています。デバイスがMPLSパケットを受信すると、パケットはデコードされ、LSIインターフェイスにマッピングされます。LSIインターフェイスには、VRFグループの詳細を識別するのに役立つルーティングテーブル情報が含まれています。
Destination VRF group— 新しいセッションのパケットの最初のパス フロー処理時に、ネクストホップまたはインターフェイスにパケットをルーティングするために宛先ルート情報が必要です。フローはルーティング テーブルを検索してルート情報を取得します。受信したルート情報がネクストホップとして MPLS を指す場合、このルートの VRF を使用して宛先 VRF グループを識別します。
ソースと宛先の VRF グループは、L3VPN ネットワーク内のすべての関連 VRF を制御する場合に同じ場合があります。
VRF グループの運用
VRFグループが設定されると、異なるVRFグループに固有のグループIDが作成されます。VRF グループへの VRF の追加、削除、変更など、さまざまな操作を実行できます。
VRF グループへの VRF の追加
VRF が VRF グループに追加されると、対応する VRF グループ ID が VRF に割り当てられます。VRF を VRF グループに追加する場合は、以下のことを忘れないでください。
VRFは、1つのVRFグループにのみ追加できます。複数の VRF グループの一部にすることはできません。
VRF グループには、最大 32 個の VRF が設定されています。
VRFが追加されると、既存のセッションに影響を与え、ポリシーに従って新しいセッションが作成されます。
VRFグループに新しいVRFを追加した後に新しいセッションが作成されると、セッションは新しいVRFの新しいVRFグループIDを使用します。
VRF グループからの VRF の削除
VRFをVRFグループから削除すると、VRFグループのVRFグループIDはゼロに変更されますが、VRFはデバイスで引き続き使用できます。VRF グループから VRF を削除すると、次の 2 つの方法で既存のセッションに影響が及びます。
Impacting existing sessionsVRF を VRF グループから削除すると、既存のセッションが削除され、ポリシーに従って新しいセッションが作成されます。
Match TrafficVRF を VRF グループから削除すると、VRF の VRF グループ ID が 0 に変更されるため、セッションは一致しません。パケットがドロップし、ポリシーに従って新しいセッションが作成されます。
VRF が VRF グループから削除されると、影響を受ける VRF を使用して処理される新しいセッションが新しい VRF グループ ID をインストールします。このVRFグループIDはゼロになります。新しいVRFグループにVRFを追加すると、新しいグループIDが作成されます。
VRF グループの変更
VRF グループを変更するには、次の操作が必要です。
Changing VRF group name: VRF グループ名を変更すると、ポリシー モジュールが既存のセッションをスキャンし、新しい VRF グループ名が既存のルールと一致するかどうかを確認します。
Adding VRF to VRF group: VRF を VRF グループに追加すると、対応する VRF グループ ID が VRF に割り当てられます。
Removing VRF from VRF group: VRF を VRF グループから削除すると、その VRF の VRF グループ ID が 0 に変更され、引き続き VRF がデバイスで使用可能になります。
VRF グループの削除
CLI を使用して VRF グループを削除すると、既存のセッションで削除された VRF グループに一致するセッション スキャンが実行されます。セッションが削除された VRF グループに一致する場合、無効なタイムアウトを設定することで、そのセッションがデバイスから削除されます。削除された VRP-Group-ID と一致しないセッションは影響を受けません。
仮想ルーティングおよび転送グループを使用したフロー処理
- VRF グループを使用した最初のパス処理
- VRF グループを使用した高速パス処理
- 例:VRFグループを使用してIPネットワークからMPLSネットワークにVRFベースのトラフィックを許可するセキュリティポリシーの設定
- 例:VRFグループを使用してMPLSネットワークからIPネットワークにVRFベースのトラフィックを許可するセキュリティポリシーの設定
- 例:VRFグループを使用して、パブリックIPネットワークからMPLSネットワークにVRFベースのトラフィックを許可するセキュリティポリシーの設定
- 例:VRFグループを使用してMPLSネットワークからパブリックIPネットワークへのVRFベースのトラフィックを許可するセキュリティポリシーの設定
- 例:VRFグループを使用してNATを使用せずに、MPLSネットワークからMPLSネットワークへのVRFベースのトラフィックを許可するセキュリティポリシーの設定
- 例:NATとVRFグループを使用して、MPLSネットワークからMPLSネットワークへのVRFベースのトラフィックを許可するセキュリティポリシーの設定
- SD-WAN 導入におけるマルチキャスト サポート
VRF グループを使用した最初のパス処理
パケットを処理するには、最初のパス処理で以下が実行されます。
MPLS DecoderフローがMPLSまたは非MPLSパケットを受信すると、パケットが処理され、受信インターフェイスの着信パケット、インターフェイス、ルーティングインスタンスの詳細を取得します。
FBF configuration-受信パケットを別のルーティングインスタンスに再誘導するようにFBFルールを設定すると、FBFルールはルーティングインスタンス情報を検索し、パケット受信インターフェイスルーティングインスタンスではなくFBFルーティングインスタンス情報を渡します。このFBF VRFは、L3VPNネットワークを制御するVRFグループの一部である必要があります。
Initialize Routing-Tableフローがパケットを受信すると、パケットの最初のルーティング テーブルが作成されます。FBF設定がファイアウォールフィルターに一致する場合、FBFからのルーティングインスタンス情報がルート検索に使用されます。それ以外の場合、フローはルート検索に受信インターフェイスルーティングインスタンス情報を使用します。
Finding Source VRF group-受信パケットがMPLSネットワークから送信されている場合、パケットはソースVRFグループのVRFインスタンスにマッピングされます。受信パケットがMPLSパケットでない場合、ソースVRFグループIDはゼロになります。
Destination NAT using VRF group-フローは、宛先 IP に NAT 変換が必要かどうかをチェックします。宛先 NAT は、VRF の 2 種類の一致条件をサポートしています。
VRFルーティンググループを使用したNATルール検索。
VRFルーティングインスタンスとNAT情報を使用したNATルールの結果。
Destination Route-初期ルートテーブルで行われるルート検索は、発信インターフェイスと宛先VRF情報を識別するために使用されます。この情報は、ポリシー検索とセッションのインストールで使用されます。
Final next-hop- 宛先ルートを見つける最初のステップは、ポイントされたルートのネクストホップを最終的に見つけることです。このネクストホップを使用して、フローはネクストホップがMPLSネットワークを指しているかどうかを確認します。MPLS ネットワークを指していない場合、宛先 VRF グループはゼロになります。
Destination VRF group— 宛先 VRF が識別されると、宛先 VRF グループ ID が初期化されます。宛先 VRF がグループに割り当てられない場合は、ゼロに設定されます。
First Path Policy Search— フローはポリシー検索を実行して、パケットが許可または拒否される必要があるかどうかを確認します。フローは5タプルのポリシーキー情報とVRF情報を収集し、この情報はポリシー検索モジュールによって適切なVRFポリシーを見つけるために使用されます。
Source NAT using VRF group-フロー セッションは、ソース VRF グループ NAT ルール検索を使用してソース NAT を実行します。ソース NAT は、2 種類の NAT 検索条件をサポートしています。
VRF グループを使用したソース NAT ルールの検索。
VRFグループまたはVRFインスタンスを使用した静的NATルールの検索。
Static NAT using VRF group or VRF instanceスタティックNATは、VRFタイプのルールセットとルーティングインスタンス内のルーティンググループをサポートしています。
静的NATが特定のIPパケットの宛先NAT変換として一致する場合、VRFルーティンググループは一致条件の1つとなり、VRFルーティングインスタンスは宛先ルーティングテーブルとして使用されます。
静的NATが特定のIPパケットのソースNAT変換として一致する場合、VRFルーティングインスタンスは一致条件の1つになります。
Session Installation using VRF groupセッションのインストールプロセス中に、ソースVRFグループIDがフォワードウィングに保存され、ウィングポイントのMPLSネットワークが示されます。ルート検索から見つかった宛先 VRF グループ ID は、ウィング ポイント MPLS ネットワークを示すリバース ウィングに保存されます。
Re-routing using VRF group—VRF グループ情報を使用してセッションが確立されると、インターフェイスがダウンしているか、初期ルートが使用できない場合、再ルートが開始されます。これらの変更されたルートは、セッションが最初に両側で確立される同じVRFグループ(Source-VRFグループ/Destination-VRFグループ)の一部である必要があります。それ以外の場合、トラフィックはセッションと一致せず、今後、セッションのトラフィックがドロップされたり、ポリシーに従って新しいセッションが作成されたりする可能性があります。
VRF グループを使用した高速パス処理
高速パス処理では、パケットを処理するために次の手順を実行します。
MPLS DecoderパケットMPLSまたは非MPLSパケットを受信すると、パケットはMPLS処理を受けます。処理が完了すると、フローは受信インターフェイスの着信パケット、インターフェイス、およびルーティングインスタンスの詳細を受信します。
FBF configuration-受信パケットを別のルーティングインスタンスに再誘導するようにFBFルールを設定すると、FBFルールはルーティングインスタンス情報を検索し、パケット受信インターフェイスルーティングインスタンスではなくFBFルーティングインスタンス情報を渡します。このFBF VRFは、L3VPNネットワークを制御するVRFグループの一部である必要があります。
Session look-up using VRF Group-ID—セッション検索プロセス中に、フローはセッションキーでVRFグループIDを渡して検索するかどうかをチェックします。受信インターフェイスがMPLSの場合、フローは、マッピングされたVRFルーティングインスタンスのVRFグループID情報を、他のキータプル情報とともにセッションキーに渡します。受信インターフェイスがMPLSではない場合、VRFグループIDはゼロになります。
Session Route changeミッドストリームのセッションでルートが変更された場合、フローはこのルートに属する新しいVRFを確認します。新しい VRF グループ ID がセッションの VRF グループ ID と異なる場合、ルートは処理されず、将来のパケットがドロップされます。そのため、再ルーティングのために、新しいルートはセッションVRFグループに属するVRFに属する必要があります。
VRF Group policy changeゾーン/インターフェイス/IP/Source-VRFグループ/Destination-VRFグループなどのポリシー属性によりVRFグループセッションポリシーが変更された場合、ポリシーが有効かどうかを確認するために、ソースVRFグループと宛先VRFグループ値と共にポリシー5タプルを提供することで、同じセッションに対してポリシーが再マッチされます。再一致すると、ポリシーがセッション情報と一致しない場合、セッションは終了します。
VRF session display-セッション出力表示にソース-VRFグループと宛先-VRFグループが表示され、同じタプルに対して異なるVRFグループを区別します。
High Availability-セッション内で異なるVRFグループを差別化するために、追加のVRFグループID情報をHAピアノードに同期した場合、動作を変更せずに高可用性がサポートされます。
例:VRFグループを使用してIPネットワークからMPLSネットワークにVRFベースのトラフィックを許可するセキュリティポリシーの設定
この例では、VRFグループを使用してプライベートIPネットワークからMPLネットワークへのトラフィックを許可するセキュリティポリシーを設定する方法を示します。
要件
Junos OS リリース 15.1X49-D170 以降でサポートされている SRX シリーズ デバイス。この設定例は、Junos OS リリース 15.1X49-D170 でテストされています。
概要
Junos OS では、デバイスを通過できるトラフィックと、デバイスを通過するトラフィックに対して実行する必要のあるアクションという点で、セキュリティ ポリシーによってトランジット トラフィックのルールが適用されます。 図 4 では、SRX シリーズ デバイスを SD-WAN に導入し、VRF グループを使用してプライベート IP ネットワークから MPLS ネットワークへのトラフィックを許可します。
へのトラフィック
この設定例では、以下の方法を示しています。
IP ネットワーク(LAN-a)から VRF グループへのトラフィックの許可
IPネットワーク(LAN-b)からVRFグループへのトラフィックを許可
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-A1 vrf VRF-A11 set security l3vpn vrf-group vpn-A1 vrf VRF-A21 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security l3vpn vrf-group vpn-B1 vrf VRF-B11 set security l3vpn vrf-group vpn-B1 vrf VRF-B21 set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy then permit set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
VRF インスタンス A1 と A2 を使用した VRF グループ vpn-A の作成
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2
VRFインスタンスA11とA21を使用したVRFグループvpn-A1の作成
[edit security] user@host# set l3vpn vrf-group vpn-A1 vrf VRF-A11 user@host# set l3vpn vrf-group vpn-A1 vrf VRF-A21
VRFインスタンスB1とB2を使用したVRFグループvpn-Bの作成
[edit security] user@host# set l3vpn VRF group vpn-B vrf VRF-B1 user@host# set l3vpn VRF group vpn-B vrf VRF-B2
VRFインスタンスB11とB21を使用したVRFグループvpn-B1の作成
[edit security] user@host# set l3vpn vrf-group vpn-B1 vrf VRF-B11 user@host# set l3vpn vrf-group vpn-B1 vrf VRF-B21
vrf-aトラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 user@host# set policy vrf-a_policy then permit
vrf-b トラフィックを許可するセキュリティ ポリシーを作成します。
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 user@host# set policy vrf-b_policy then permit
結果
設定モードから、 コマンドを入力して設定を show security policies 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security policies
from-zone LAN-a_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-VRF group vpn-A1;
}
then {
permit;
}
}
from-zone LAN-b_Zone to-zone GRE_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-VRF group vpn-B1;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
ポリシー設定の検証
目的
セキュリティポリシーに関する情報を確認します。
アクション
動作モードから、 コマンドを show security policies 入力して、デバイスに設定されたすべてのセキュリティポリシーの概要を表示します。
user@root> show security policies
Default policy: permit-all
From zone: LAN-a_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN vrf-group: vpn-A1
destination L3VPN VRF Group: any
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: LAN-b_Zone, To zone: GRE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN vrf-group: vpn-B1
destination L3VPN VRF Group: any
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
例:VRFグループを使用してMPLSネットワークからIPネットワークにVRFベースのトラフィックを許可するセキュリティポリシーの設定
この例では、VRF グループを使用して MPLS から IP netwrok へのトラフィックを許可するセキュリティ ポリシーを設定する方法を示します。
要件
Junos OS リリース 15.1X49-D170 以降でサポートされている SRX シリーズ デバイス。この設定例は、Junos OS リリース 15.1X49-D170 でテストされています。
デバイス上のネットワーク インターフェイスを設定します。 『 Interfaces User Guide for Security Devices』を参照してください。
概要
Junos OS では、デバイスを通過できるトラフィックと、デバイスを通過するトラフィックに対して実行する必要のあるアクションという点で、セキュリティ ポリシーによってトランジット トラフィックのルールが適用されます。 図 5 では、SRX シリーズ デバイスが SD-WAN に導入され、VRF グループを使用して MPLS ネットワークからプライベート ネットワークへのトラフィックを許可します。
へのトラフィック許可
この設定例では、以下の方法を示しています。
GRE MPLS から LAN-a へのトラフィックの許可
GRE MPLS から LAN-b へのトラフィックの許可
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match application any set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy then permit set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match application any set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
VRFインスタンスA1とA2を使用してVRFグループvpn-Aを作成します。
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2
VRFインスタンスB1とB2を使用してVRFグループvpn-Bを作成します。
[edit security] user@host# set l3vpn vrf-group vpn-B vrf VRF-B1 user@host# set l3vpn vrf-group vpn-B vrf VRF-B2
VRF トラフィックを許可するセキュリティ ポリシーを作成します。
[edit security policies from-zone GRE_Zone to-zone LAN-a_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then permit
VRF-b トラフィックを許可するセキュリティ ポリシーを作成します。
[edit security policies from-zone GRE_Zone to-zone LAN-b_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
結果
設定モードから、 コマンドを入力して設定を show security policies 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security policies
from-zone GRE_Zone to-zone LAN-a_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A;
}
then {
permit;
}
}
from-zone GRE_Zone to-zone LAN-b_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
ポリシー設定の検証
目的
セキュリティポリシーに関する情報を確認します。
アクション
動作モードから、 コマンドを show security policies 入力して、デバイスに設定されたすべてのセキュリティポリシーの概要を表示します。
user@root> show security policies
Default policy: permit-all
From zone: GRE_Zone, To zone: LAN-a_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF-Group: any
destination L3VPN VRF Group: vpn-A
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GRE_Zone, To zone: LAN-b_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-B
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
例:VRFグループを使用して、パブリックIPネットワークからMPLSネットワークにVRFベースのトラフィックを許可するセキュリティポリシーの設定
この例では、VRF グループを使用して受信パブリック IP ネットワークを MPLS ネットワークに変換するように、宛先 NAT ルールを設定する方法を説明します。
要件
SRX シリーズ デバイスが NAT 向け SD-WAN 導入でどのように機能するかを理解する。
仮想ルーティングおよび転送インスタンスについて理解する。 SD-WAN導入における仮想ルーティングおよび転送インスタンスをご覧ください。
概要
図 6 では、SRX シリーズ デバイスに宛先 NAT ルールが設定されており、受信パブリック IP ネットワークを VRF ベースの宛先ルーティング テーブルと IP ごとに変換します。SRX シリーズ デバイスは、vpn-A と vpn-B の 2 つの VRF グループで構成されています。
へのトラフィック許可
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat destination pool vrf-a_p routing-instance VRF-a set security nat destination pool vrf-a_p address 192.168.1.200 set security nat destination rule-set rs from interface ge-0/0/1.0 set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200 set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p set security nat destination pool vrf-b_p routing-instance VRF-b set security nat destination pool vrf-b_p address 192.168.1.201 set security nat destination rule-set rs from interface ge-0/0/1.1 set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201 set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy then permit set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
1 つの VRF にディスティネーション NAT マッピングを設定するには:
レイヤー 3 VPN では、VRF インスタンス A1 と A2 を持つ VRF グループ vpn-A を作成します。
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
VRFインスタンスB1とB2を使用して、別のVRFグループvpn-Bを作成します。
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
宛先 NAT IP アドレス プールを指定します。
[edit security nat destination] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
宛先プールにルーティング インスタンスを割り当てます。
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-b_p routing-instance VRF-b
宛先 NAT ルール セットを作成します。
[edit security nat destination] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B user@host# set rule-set rs from interface ge-0/0/1.0 user@host# set rule-set rs from interface ge-0/0/1.1
パケットを照合し、宛先 NAT IP アドレス プール内の IP アドレスに宛先 IP アドレスを変換するルールを設定します。
[edit security nat destination] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
VRF トラフィックを許可するセキュリティ ポリシーを作成します。
[edit security policies from-zone GE_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then permit
VRF-b トラフィックを許可するセキュリティ ポリシーを作成します。
[edit security policies from-zone GE_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
結果
設定モードから、 および show security policies コマンドを入力して設定をshow security nat確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
destination {
pool vrf-a_p {
routing-instance {
VRF-a;
}
address 192.168.1.200/32;
}
pool vrf-b_p {
routing-instance {
VRF-b;
}
address 192.168.1.201/32;
}
rule-set rs {
from interface [ ge-0/0/1.0 ge-0/0/1.1 ];
rule vrf-a_r {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 203.0.113.201/32;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone GE_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
宛先 NAT ルールの使用とセキュリティ ポリシーの検証
目的
宛先 NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat destination rule all 入力します。[変換がヒット]フィールドで、宛先NATルールに一致するトラフィックがあるかどうかを確認します。
user@host> show security nat destination rule all
Total destination-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Destination NAT rule: vrf-a_r Rule-set: rs
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/1.0
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Destination NAT rule : vrf-b_r
Rule-set : rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.1
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
動作モードから、 コマンドを show security policies 入力して、デバイスに設定されたすべてのセキュリティポリシーの概要を表示します。
user@root> show security policies
Default policy: permit-all
From zone: GE_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-A
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GE_Zone, To zone: GRE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-B
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
例:VRFグループを使用してMPLSネットワークからパブリックIPネットワークへのVRFベースのトラフィックを許可するセキュリティポリシーの設定
この例では、VRF グループごとのネットワーク トラフィックをグローバル IP プールに変換するようにルーティング グループを設定する方法を説明します。
要件
SRX シリーズ デバイスが NAT 向け SD-WAN 導入でどのように機能するかを理解する。
仮想ルーティングおよび転送インスタンスについて理解する。 SD-WAN導入における仮想ルーティングおよび転送インスタンスをご覧ください。
概要
図 7 では、SRX シリーズ デバイスにルーティング グループを使用して、MPLS からグローバル IP プールへの VRF グループ ネットワーク トラフィックを許可するように設定されています。SRX シリーズ デバイスは、vpn-A と vpn-B の 2 つの VRF グループで構成されています。
へのトラフィック許可
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-group vpn-A set security nat source rule-set vrf-a_rs to zone GE_Zone set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-group vpn-B set security nat source rule-set vrf-b_rs to zone GE_Zone set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vpn-b_rs rule rule2 then source-nat pool vrf-b_p set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match application any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy then permit set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match application any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
1 つの VRF にソース NAT マッピングを設定するには:
レイヤー 3 VPN では、VRF インスタンス A1 と A2 を持つ VRF グループ vpn-A を作成します。
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
VRFインスタンスB1とB2を使用して、別のVRFグループvpn-Bを作成します。
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
ソース NAT IP アドレス プールを指定します。
[edit security nat source] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B user@host# set rule-set rs to zone GE_Zone
パケットと一致し、VRFグループネットワークトラフィックごとにグローバルIPプールに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
vpn-A トラフィックを許可するセキュリティ ポリシーを作成します。
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then permit
vpn-B トラフィックを許可するセキュリティ ポリシーを作成します。
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
結果
設定モードから、 および show security policies コマンドを入力して設定をshow security nat確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
source {
pool vrf-a_p {
address {
203.0.113.200/32;
}
}
pool vrf-b_p {
address {
203.0.113.201/32;
}
}
rule-set vrf-a_rs {
from routing-group vpn-A;
to zone GE_Zone1;
rule rule1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
vrf-a_p;
}
}
}
}
rule-set vrf-b_rs {
from routing-group vpn-B;
to zone GE_Zone;
match {
source-address 192.168.1.201/32;
}
then {
source-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone GRE_Zone to-zone GE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
宛先 NAT ルールの使用とセキュリティ ポリシーの検証
目的
ソース NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat source rule all 入力します。[変換がヒット]フィールドで、ソースNATルールに一致するトラフィックがあるかどうかを確認します。
user@host> show security nat source rule all
Total source-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Source NAT rule : vrf-a_r
Rule-set: rs
Rule-Id : 1
Rule position : 1
From routing-group : vpn-A To zone : GE_Zone1
Source addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Source NAT rule : vrf-b_r
Rule-set: rs
Rule-Id : 2
Rule position : 2
From routing-group : vpn-A
To zone : GE_Zone
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
動作モードから、 コマンドを show security policies 入力して、デバイスに設定されたすべてのセキュリティポリシーの概要を表示します。
user@root> show security policies
Default policy: permit-all
From zone: GRE_Zone, To zone: GE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN VRF Group: vpn-A
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GRE_Zone, To zone: GE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF Group: vpn-B
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
例:VRFグループを使用してNATを使用せずに、MPLSネットワークからMPLSネットワークへのVRFベースのトラフィックを許可するセキュリティポリシーの設定
この例では、NATを使用せずにMPLSネットワーク間のトラフィックを許可するようにルーティンググループを設定する方法を説明します。
間のトラフィック
要件
SRX シリーズ デバイスが NAT 向け SD-WAN 導入でどのように機能するかを理解する。
仮想ルーティングおよび転送インスタンスについて理解する。 SD-WAN導入における仮想ルーティングおよび転送インスタンスをご覧ください。
概要
図 8 では、SRX シリーズ デバイスにルーティング グループを設定して、NAT を使用せずに MPLS ネットワーク間のトラフィックを許可します。SRX シリーズ デバイスは、vpn-A と vpn-B の 2 つの VRF グループで構成されています。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-A1 vrf VRF-A11 set security l3vpn vrf-group vpn-A1 vrf VRF-A12 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security l3vpn vrf-group vpn-B1 vrf VRF-B11 set security l3vpn vrf-group vpn-B1 vrf VRF-B12 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy then permit set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
1 つの VRF にソース NAT マッピングを設定するには:
レイヤー 3 VPN では、VRF インスタンス A1 と A2 を使用して VRF グループ vpn-A を作成します。
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
レイヤー 3 VPN では、VRF インスタンス A11 と A12 を使用して VRF グループ vpn-A1 を作成します。
[edit security] user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A11 user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A12
VRFインスタンスB1とB2を使用して、別のVRFグループvpn-Bを作成します。
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
VRF インスタンス B11 と B12 を使用して別の VRF グループ vpn-B1 を作成します。
[edit security] user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B11 user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B12
vpn-A1トラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 user@host# set policy vrf-a_policy then permit
vpn-B1トラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 user@host# set policy vrf-b_policy then permit
結果
設定モードから、 コマンドを入力して設定を show security policies 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security policies
from-zone GRE-1_Zone to-zone GRE-2_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A1;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B1;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
セキュリティ ポリシーの検証
目的
セキュリティ ポリシーの設定出力を検証します。
アクション
動作モードから、 コマンドを show security policies 入力して、デバイスに設定されたすべてのセキュリティポリシーの概要を表示します。
user@root> show security policies
Default policy: permit-all
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-A1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-B1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
例:NATとVRFグループを使用して、MPLSネットワークからMPLSネットワークへのVRFベースのトラフィックを許可するセキュリティポリシーの設定
この例では、ルーティング グループを設定し、NAT を使用して MPLS ネットワーク間のトラフィックを許可する方法を説明します。
を使用した MPLS ネットワーク間のトラフィック許可
要件
SRX シリーズ デバイスが NAT 向け SD-WAN 導入でどのように機能するかを理解する。
仮想ルーティングおよび転送インスタンスについて理解する。 SD-WAN導入における仮想ルーティングおよび転送インスタンスをご覧ください。
概要
図 9 では、SRX シリーズ デバイスがルーティング グループを構成し、NAT を使用して MPLS ネットワーク間のトラフィックを許可します。SRX シリーズ デバイスは、VRF グループ、vpn-A、vpn-A1、vpn-B、vpn-B1 で構成されています。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-A1 vrf VRF-A11 set security l3vpn vrf-group vpn-A1 vrf VRF-A12 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security l3vpn vrf-group vpn-B1 vrf VRF-B11 set security l3vpn vrf-group vpn-B1 vrf VRF-B12 set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-group vpn-A set security nat source rule-set vrf-a_rs to routing-group vpn-A1 set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-group vpn-B set security nat source rule-set vrf-b_rs to routing-group vpn-B1 set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy then permit set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy then permit
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
1 つの VRF にソース NAT マッピングを設定するには:
レイヤー 3 VPN では、VRF インスタンス A1 と A2 を使用して VRF グループ vpn-A を作成します。
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
レイヤー 3 VPN では、VRF インスタンス A11 と A12 を使用して VRF グループ vpn-A1 を作成します。
[edit security] user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A11 user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A12
VRFインスタンスB1とB2を使用して、別のVRFグループvpn-Bを作成します。
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
VRF インスタンス B11 と B12 を使用して別の VRF グループ vpn-B1 を作成します。
[edit security] user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B11 user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B12
ソース NAT IP アドレス プールを指定します。
[edit security nat source] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
ソース NAT ルール セットを作成します。
[edit security nat source] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B user@host# set rule-set rs to routing-group vpn-A1 user@host# set rule-set rs to routing-group vpn-B1
パケットと一致し、VRFグループネットワークトラフィックごとにグローバルIPプールに変換するルールを設定します。
[edit security nat source] user@host# set rule-set rs rule vrf-a_rs match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_rs then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_rs match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_rs then destination-nat pool vrf-b_p
vpn-A1トラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 user@host# set policy vrf-a_policy then permit
vpn-B1トラフィックを許可するセキュリティポリシーを作成します。
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 user@host# set policy vrf-b_policy then permit
結果
設定モードから、 および show security policies コマンドを入力して設定をshow security nat確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security nat
source {
pool vrf-a_p {
address {
203.0.113.200/32;
}
}
pool vrf-b_p {
address {
203.0.113.201/32;
}
}
rule-set vrf-a_rs {
from routing-group vpn-A;
to routing-group vpn-A1;
rule rule1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
vrf-a_p;
}
}
}
}
rule-set vrf-b_rs {
from routing-group vpn-B;
to routing-group vpn-B1;
match {
source-address 192.168.1.201/32;
}
then {
source-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone GRE-1_Zone to-zone GRE-2_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A1;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B1;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
セキュリティ ポリシーの検証
目的
ソース NAT ルールに一致するトラフィックがあることを確認します。
アクション
動作モードから、 コマンドを show security nat source rule all 入力します。[変換がヒット]フィールドで、宛先NATルールに一致するトラフィックがあるかどうかを確認します。
user@host> show security nat source rule all
Total source-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Source NAT rule : vrf-a_r
Rule-set : rs
Rule-Id : 1
Rule position : 1
From routing-group : vpn-A
To zone : GE_Zone1
Source addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Source NAT rule : vrf-b_r
Rule-set : rs
Rule-Id : 2
Rule position : 2
From routing-group : vpn-A
To zone : GE_Zone
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
動作モードから、 コマンドを show security policies 入力して、デバイスに設定されたすべてのセキュリティポリシーの概要を表示します。
user@root> show security policies
Default policy: permit-all
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN VRF Group: vpn-A1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF Group: vpn-B1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
SD-WAN 導入におけるマルチキャスト サポート
Junos OS リリース 21.2R1 以降、SD-WAN 導入の PE(プロバイダ エッジ)の SRX シリーズ デバイスでマルチキャスト トラフィックのサポートが追加されました。マルチキャスト トラフィックのサポートは、セキュリティ デバイスが転送オプションを 階層のフローベースとして設定して動作している場合に set security forwarding-options family mpls mode 利用できます。 転送オプション(セキュリティ)を参照してください。
制限
- デバイスが転送オプションを に
packet-based設定して動作している場合、マルチキャスト トラフィックのサポートは利用できません。 - IP-over-MPLS-over-GRE および IP-over-MPLS-over-GRE-IPsec を使用したハブアンドスポーク方式トポロジーでのみ利用可能なマルチキャスト トラフィックのサポート
- マルチキャスト トラフィックのサポートにより、MVPN(マルチキャスト VPN)データ転送機能に関する変更や制限への対処は行えません。 MVPN VRFインスタンスによってアドバタイズされるルートを制限するを参照してください。