예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션
요약 가상 확장형 LAN-GBP
개요
그룹 기반 정책(GBP)을 사용하는 VXLAN 아키텍처에서 데이터와 자산을 보호하기 위해 미시적 및 거시적 세분화를 달성할 수 있습니다. GBP는 기본 VXLAN 기술을 활용하여 위치에 구애받지 않는 엔드포인트 액세스 제어를 제공합니다. GBP를 사용하면 엔터프라이즈 네트워크 도메인 전반에 걸쳐 일관된 보안 정책을 구현할 수 있습니다. GBP를 사용하여 네트워크 구성을 단순화할 수 있으므로 모든 스위치에 많은 수의 방화벽 필터를 구성할 필요가 없습니다. GBP는 엔드포인트 또는 사용자의 위치에 관계없이 네트워크 전체에 보안 그룹 정책을 일관되게 적용함으로써 내부망 위협을 차단합니다. VXLAN-GBP는 확장 가능한 그룹 태그(SGT)로 사용하기 위해 VXLAN 헤더의 예약된 필드를 활용하는 방식으로 작동합니다. SGT를 방화벽 필터 규칙의 일치 조건으로 사용할 수 있습니다. 유사한 결과를 얻기 위해 포트 또는 MAC 주소를 사용하는 것보다 SGT를 사용하는 것이 더 강력합니다. SGT는 정적으로(포트당 또는 MAC 단위로 스위치를 구성하여) 할당하거나, RADIUS 서버에서 구성하고 사용자가 인증될 때 802.1X를 통해 스위치에 푸시할 수 있습니다.
VXLAN-GBP에 의해 활성화된 세그멘테이션은 기본 네트워크 토폴로지와 독립적인 네트워크 액세스 정책을 생성할 수 있는 실용적인 방법을 제공하기 때문에 캠퍼스 VXLAN 환경에서 특히 유용합니다. 네트워크-애플리케이션 및 엔드포인트-디바이스 보안 정책 개발의 설계 및 구현 단계를 간소화합니다.
VXLAN-GBP 표준에 대한 자세한 정보는 IEEE RFC, I-D.draft-smith-vxlan-group-policy에서 확인할 수 있습니다. 이 예의 목적을 위해 VXLAN-GBP는 그림과 같이 VXLAN 헤더의 예약된 필드를 확장 가능한 그룹 태그로 활용합니다.
표 1 에는 다양한 스위치 및 Junos OS 릴리스에 대한 VXLAN-GBP 지원이 나와 있습니다.
| Junos 릴리스 | VXLAN-GBP 지원 스위치 |
|---|---|
| Junos OS 릴리스 21.1R1부터 시작 |
EX4400-24P, EX4400-24T, EX4400-48F, EX4400-48P 및 EX4400-48T |
| Junos OS 릴리스 21.2R1부터 시작 |
EX4400-24MP 및 EX4400-48MP |
| Junos OS 릴리스 21.4R1부터 시작 |
|
| Junos OS 릴리스 22.4R1부터 시작 |
|
| Junos OS 릴리스 23.2R1부터 시작 |
|
표 2 부터 표 4 까지는 Junos OS 릴리스 간의 VXLAN-GBP 구현 차이점을 요약한 것입니다.
| Junos OS 릴리스 21.1R1 이상의 GBP | Junos OS 릴리스 22.4R1 이상의 GBP |
|---|---|
set firewall family ethernet-switching filter filter_name term term_name from match_conditions set firewall family ethernet-switching filter filter_name term term_name then gbp-src-tag/gbp-dst-tag tag |
set firewall family any filter filter_name micro-segmentation set firewall family any filter filter_name term term_name from match_conditions set firewall family any filter filter_name term term_name then gbp-tag tag
메모:
|
| Junos OS 릴리스 21.1R1 이상의 GBP | Junos OS 릴리스 22.4R1 이상의 GBP |
|---|---|
|
|
|
| Junos OS 릴리스 21.1R1 이상의 GBP | Junos OS 릴리스 22.4R1 이상의 GBP |
|---|---|
set firewall family ethernet-switching filter filter_name term term_name from gbp-dst-tag gbp_tag set firewall family ethernet-switching filter filter_name term term_name from gbp-src-tag gbp_tag set firewall family ethernet-switching filter filter_name term term_name then discard
메모:
정책 적용은 송신 엔드포인트에서만 지원됩니다. GBP를 활성화하기 위한 CLI 문: set chassis forwarding-options vxlan-gbp-profile |
set firewall family any filter filter_name term term_name from gbp-dst-tag gbp_tag set firewall family any filter filter_name term term_name from gbp-src-tag gbp_tag set firewall family any filter filter_name term term_name then discard
메모:
성 이름 'any' 가 성 이름 'ethernet-switching'을 대체했습니다.
메모:
GBP가 활성화된 경우 정책 적용은 송신 시 항상 활성화되지만 수신 시에는 선택 사항입니다.
|
| Junos OS 릴리스 23.2R1 이상:
|
|
| Junos OS 릴리스 24.2R1 이상:
|
Junos OS 릴리스 22.4R1 이상에서 GBP
표 5 에는 Junos OS 릴리스 22.4R1부터 지원되는 GBP 일치 조건이 나와 있습니다.
| 일치 조건 | 설명 |
|---|---|
|
|
IPv4/IPv6 소스 또는 대상 주소/접두사 목록을 일치시킵니다. |
|
|
소스 또는 대상 MAC 주소를 일치시킵니다. |
|
|
인터페이스 이름을 일치시킵니다.
메모:
Junos OS 릴리스 23.4R1 이상은 단일 방화벽 필터 용어 내에서 여러 set firewall family any filter test term t1 from interface ge-0/0/0 set firewall family any filter test term t1 from interface ge-0/0/1 set firewall family any filter test term t1 from interface ge-0/0/2
메모:
또한 Junos OS 릴리스 23.4R1 이상에서는 단일 방화벽 필터 용어에서 set firewall family any filter test term t1 from interface ge-0/0/0 set firewall family any filter test term t1 from vlan-id 2000 |
|
|
VLAN ID를 일치시킵니다.
메모:
EX4100 스위치에서는 지원되지 않습니다.
메모:
Junos OS 릴리스 23.4R1 이상에서는 <vlan_list> 및 <vlan_range> 옵션을 지원합니다. 예를 들어: set firewall family any filter test term t1 from vlan-id 2000-2100 set firewall family any filter test term t1 from vlan-id [3000 3010 3020]
메모:
또한 Junos OS 릴리스 23.4R1 이상에서는 단일 방화벽 필터 용어에서 |
Junos OS 릴리스 23.2R1 이상은 vxlan-gbp-l2-profile 및 vxlan-gbp-l3-profile을 지원합니다. 표 6을 참조하십시오.
| 프로파일 | 지원 스위치 |
|---|---|
vxlan-gbp-profile |
|
vxlan-gbp-l2-profile 그리고 vxlan-gbp-l3-profile |
|
GBP 정책 필터는 GBP 소스 및/또는 GBP 대상 태그를 일치 항목으로 사용하여 트래픽을 허용하거나 삭제합니다. Junos OS 릴리스 23.2R1부터 EX4100, EX4400, EX4650, QFX5120-32C 및 QFX5120-48Y 스위치는 새로운 GBP 정책 필터(IPv4 및 IPv6) L4 일치를 지원합니다. 이러한 일치는 애플리케이션 트래픽만 차단하는 데 도움이 되는 특정 규칙을 유지하는 데 도움이 됩니다( 표 7 참조).
| MAC 및 IP GBP 태그 지정 패킷에 대한 정책 적용 일치 | 설명 |
|---|---|
ip-version ipv4 destination-port dst_port |
TCP/UDP 대상 포트를 일치시킵니다. |
ip-version ipv4 source-port src_port |
TCP/UDP 소스 포트를 일치시킵니다. |
ip-version ipv4 ip-protocol ip-protocol |
IP 프로토콜 유형을 일치시킵니다. |
ip-version ipv4 is-fragment |
패킷이 조각인 경우 일치시킵니다. |
ip-version ipv4 fragment-flags flags |
조각 플래그를 일치시킵니다(기호 또는 16진수 형식). |
ip-version ipv4 ttl value |
MPLS/IP TTL 값을 일치시킵니다. |
ip-version ipv4 tcp-flags flags |
TCP 플래그를 일치시킵니다(기호 또는 16진수 형식) - (수신 전용). |
ip-version ipv4 tcp-initial |
TCP 연결의 초기 패킷과 일치시킵니다 - (수신 전용). |
ip-version ipv4 tcp-established |
설정된 TCP 연결의 패킷을 일치시킵니다. |
ip-version ipv6 destination-port dst_port |
TCP/UDP 대상 포트를 일치시킵니다. |
ip-version ipv6 source-port src_port |
TCP/UDP 소스 포트를 일치시킵니다. |
ip-version ipv6 next-header protocol |
다음 헤더 프로토콜 유형을 일치시킵니다. |
ip-version ipv6 tcp-flags flags |
TCP 플래그 일치(기호 또는 16진수 형식)수신 전용. |
ip-version ipv6 tcp-initial |
TCP 연결의 초기 패킷을 일치시킵니다. |
ip-version ipv6 tcp-established |
설정된 TCP 연결의 패킷을 일치시킵니다. |
이러한 L4 일치는 EX9204, EX9208 및 EX9214 스위치에서 지원되지 않습니다.
일치하는 조건이 없는 경우 기본 동작은 패킷을 수락하는 것입니다. Junos OS 릴리스 24.2R1부터 조건과 일치하지 않는 패킷에 대해 명시적인 기본 폐기 작업을 지정할 수 있습니다. 표 8을 참조하십시오.
이 기능은 표 1에 표시된 특정 EX4100, EX4400, EX4650 및 QFX5120 시리즈 스위치에서 지원됩니다.
| 명시적 디폴트 폐기 |
묘사 |
|---|---|
set firewall family any filter f1 term t1 from gbp-src-tag 100 set firewall family any filter f1 term t1 from gbp-dst-tag 200 set firewall family any filter f1 term t1 then accept set firewall family any filter f1 term t2 then discard |
폐기 작업은 포함하지만 일치 조건은 포함하지 않는 필터 용어(예: t2)를 생성할 수 있습니다. 이는 시퀀스의 이전 용어에 있는 조건과 일치하지 않는 패킷에 대한 catch-all로 유용합니다. 이 명시적 기본 삭제 작업은 브로드캐스트, 멀티캐스트, 호스트 기원 또는 알 수 없는 유니캐스트 패킷에는 적용되지 않습니다. 이러한 유형의 트래픽은 항상 허용됩니다. 명시적 폐기 작업을 구성하지 않으면 기본 작업은 이전 릴리스에서와 같이 패킷을 수락하는 것입니다. |
- 802.1X GBP 태그 할당을 위한 SGT 할당
- 수신 및 태그 전파 시 정책 시행
- Host-Originated Packets(호스트 시작 패킷)
- GBP MAC/IP 인터태깅
- SGT 지정 계획
- 위상수학
802.1X GBP 태그 할당을 위한 SGT 할당
이 예에서는 RADIUS 서버에서 SGT를 구성한 다음 GBP 지원 액세스 스위치에서 802.1X 액세스 제어를 사용하여 일치하는 엔드포인트가 스위치에 연결될 때 SGT를 수신합니다. RADIUS 서버는 일반적으로 액세스 제어를 위해 캠퍼스 환경에서 사용되며, 예를 들어 VLAN 할당을 제어하는 데 사용됩니다.
-
단일 보안 또는 다중 신청자 모드로 802.1X 인증을 구성하는 경우 GBP 태깅은 MAC 기반입니다. 단일 신청자 모드로 802.1X 인증을 구성하는 경우 GBP 태깅은 포트 기반입니다.
-
IP 주소, VLAN-ID 및 VLAN-ID+인터페이스 일치는 802.1X에서 지원되지 않습니다.
RADIUS 서버에서 SGT를 사용하려면 AAA 서비스 프레임워크에서 지원하는 VSA(Vendor Specific Attribute)를 활용해야 합니다(이러한 VSA는 표준 RADIUS 요청 응답 메시지의 일부로 전달되며 SGT와 같은 구현별 정보를 처리하기 위한 기본 제공 확장을 제공함). RADIUS 서버의 정확한 구문은 인증 체계가 MAC 기반인지 EAP 기반인지에 따라 다릅니다. MAC 기반 클라이언트의 경우 구성은 다음과 같습니다.
001094001199 Cleartext-Password := "001094001199" Juniper-Switching-Filter = "apply action gbp-tag 100
EAP 기반 클라이언트의 경우 인증 시 RADIUS 서버에서 SGT가 푸시됩니다. 구성은 다음과 같습니다.
PermEmp01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 100"
Junos OS 릴리스 23.4R1부터는 기존 Juniper-Switching-Filter스위치 외에도 EX4400, EX4100, EX4650 및 QFX5120 스위치에서 새로운 VSA라는 새로운 VSA Juniper-Group-Based-Policy-Id 가 지원됩니다.
동일한 클라이언트에 대해 Juniper-Group-Based-Policy-Id VSA와 Juniper-Switching-Filter VSA를 함께 사용해서는 안 됩니다.
두 VSA가 모두 존재하고 서로 다른 GBP 태그 값을 포함하는 경우 클라이언트가 인증되지 않습니다.
다음 VSA 중 하나를 통해 RADIUS에서 GBP 태그를 동적으로 할당할 수 있습니다.
-
Juniper-Switching-FilterGBP 필터 및 기타 필터 일치 및 동작 조건을 전달합니다. -
Juniper-Group-Based-Policy-IdGBP 태그만 전달합니다.
MAC용 Juniper-Group-Based-Policy-Id VSA 및 포트 기반 GBP 태그 필터는 다음과 같습니다.
PermEmp01 Auth-Type = EAP, Cleartext-Password := "gbp"
Juniper-Group-Based-Policy-Id = “100”
Junos OS 릴리스 23.4R1 이상부터 EX4400, EX4100, EX4650 및 QFX5120 스위치의 다음 구성 문에도 GBP 기능 지원이 추가됩니다.
| CLI (영문) |
묘사 |
|---|---|
set protocols dot1x authenticator interface [interface-names] server-fail gbp-tag gbp-tag |
서버에 액세스할 수 없는 경우 인터페이스에 적용할 GBP 태그를 지정합니다. 을 또는 |
set protocols dot1x authenticator interface [interface-names] server-reject-vlan gbp-tag gbp-tag |
RADIUS가 클라이언트 인증을 거부할 때 적용할 GBP 태그를 지정합니다. 을(를) 구성하고 옵션이 구성된 경우에만 |
|
|
인터페이스가 게스트 VLAN으로 이동할 때 적용할 GBP 태그를 지정합니다. 이(가) 옵션이 구성된 경우에만 게스트 VLAN에 대한 자세한 내용은 802.1X 인증을 참조하십시오. |
또는 show ethernet-switching table 명령을 사용하여 show dot1x interface detail RADIUS에서 수신되는 GBP 태그를 확인할 수 있습니다.
다음은 명령의 출력 예입니다.show ethernet-switching table
> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC,
B - Blocked MAC)
Ethernet switching table : 2 entries, 2 learned
Routing instance : default-switch
Vlan MAC MAC GBP Logical SVLBNH/ Active
name address flags tag interface VENH Index source
vlan200 00:10:94:00:00:05 D 100 xe-0/2/2.0
vlan200 00:10:94:00:00:06 DR 100 vtep.32769 21.2.0.1
GBP 기반 필터는 GBP 태깅을 위한 분류자로 사용됩니다. 이러한 필터는 수신 스트림을 분류하고 GBP 태그를 할당합니다.
다음 코드 샘플에서 작동 방식을 확인할 수 있습니다. GBP 방화벽 정책은 출발지 및 목적지 GBP 태그를 기반으로 구성됩니다.
소스 태그는 수신 패킷의 VXLAN 헤더에 있는 16비트 필드이며 소스 주소(IP/MAC/포트 등) 조회에서 파생되는 반면, 대상 태그는 구성된 태그 할당에 따라 대상(IP/MAC/포트 등)의 송신 터널 또는 수신 엔드포인트에서 파생됩니다.
구성된 GBP 태그는 RADIUS 서버의 VSA(벤더별 속성)에 지정된 GBT 태그에 대한 범위(1-65535)에서 0이 아닌 양수 값입니다.
수신 및 송신 엔드포인트 모두에 이 구성(아래 참조)이 있다고 가정해 보겠습니다. 시스템 전체에 동일한 GBP 태그 할당 구성을 사용하는 것이 좋습니다. 소스 MAC 주소 00:01:02:03:04:10:10 의 패킷에는 태그 100이 할당되고 소스 MAC 주소 00:01:02:03:04:20:20 의 패킷에는 200이 할당됩니다.
set firewall family any filter assign_tag micro-segmentation set firewall family any filter assign_tag term tag100 from mac-address 00:01:02:03:04:10:10 set firewall family any filter assign_tag term tag100 then gbp-tag 100 set firewall family any filter assign_tag term tag200 from mac-address 00:01:02:03:04:20:20 set firewall family any filter assign_tag term tag200 then gbp-tag 200
GBP 태그가 100이고 대상 MAC 주소가 인 00:01:02:03:04:10:10패킷의 경우, 대상 그룹 태그 (gbp-dst-tag) 는 100이 되며 용어 t10-100에 따라 일치합니다. 마찬가지로 GBP 태그가 100이고 대상 MAC 주소가 00:01:02:03:04:20:20인 패킷의 경우 대상 그룹 태그는 200이 되며 용어 t10-200와 일치합니다.
set firewall family any filter gbp-policy term t10-100 from gbp-src-tag 100 set firewall family any filter gbp-policy term t10-100 from gbp-dst-tag 100 set firewall family any filter gbp-policy term t10-100 then accept set firewall family any filter gbp-policy term t10-200 from gbp-src-tag 100 set firewall family any filter gbp-policy term t10-200 from gbp-dst-tag 200 set firewall family any filter gbp-policy term t10-200 then discard
소스 MAC 주소를 소스 태그에 매핑하는 데 사용되는 것과 동일한 태그 할당은 대상 MAC 주소를 대상 태그에 매핑하는 데에도 사용됩니다. 이는 포트 기반 할당에도 해당됩니다.
Junos OS 릴리스 23.2R1 이상에서 EX4100, EX4400, EX4650, QFX5120-32C 및 QFX5120-48Y 스위치는 MAC 및 IP 기반 GBP 필터용 GBP 정책 필터에 대해 추가 L4 일치를 지원합니다. 표 7을 참조하십시오. L4 필터를 구성하면 지원되는 GBP 규모를 줄일 수 있습니다. 이러한 일치는 기본적으로 지원되지만 EX4650 시리즈, QFX5120-32C 및 QFX5120-48Y 스위치에서는 을 set forwarding-options evpn-vxlan gbp tag-only-policy (를) 사용하여 GBP 정책에서 gbp 원본 및 대상 태그만 일치 항목으로 허용할 수 있습니다.
이번에는 GBP 소스 태그 300을 사용하고 IPv4 주소 172.16.1.0/24의 패킷을 사용하는 또 다른 예를 살펴보겠습니다.
set firewall family any filter f1 micro-segmentation set firewall family any filter f1 term tag300 from ip-version ipv4 172.16.1.0/24 set firewall family any filter f1 term tag300 then gbp-tag 300
Junos OS 릴리스 23.4R1부터 EX4400, EX4650 및 QFX5120 스위치는 목록 및 범위 옵션을 사용하여 용어에서 동일한 유형의 VLAN, 포트 및 포트+VLAN 유형 GBP 필터의 여러 항목을 지원하는 반면, EX4100 스위치는 포트 유형 GBP 필터에서만 여러 항목을 지원합니다.
아래 예를 참조하십시오.
GBP 태그가 300인 패킷의 경우 이 예에서는 10에서 30 사이의 VLAN ID 주소에서 용어 t1과 일치합니다.
set firewall family any filter f1 micro-segmentation set firewall family any filter f1 term t1 from vlan-id [10-30] set firewall family any filter f1 term t1 then gbp-tag 300
이 예에서 GBP 태그가 300인 패킷의 경우, 인터페이스 101 - 104 목록에 대해 용어 t1과 일치하며, 여기서 101 - 104는 각 인터페이스에 할당된 연속 내부 인터페이스 인덱스입니다.
set firewall family any filter f1 micro-segmentation set firewall family any filter f1 term t1 from interface xe-0/0/1 set firewall family any filter f1 term t1 from interface xe-0/0/2 set firewall family any filter f1 term t1 from interface xe-0/0/3 set firewall family any filter f1 term t1 from interface xe-0/0/4 set firewall family any filter f1 term t1 then gbp-tag 300
GBP 태깅의 우선 순위는 다음과 같으며 ip-version이 가장 높은 우선 순위입니다.
-
ip-version ipv4<ip address> | <prefix-list> -
ip-version ipv6<ip address> | <prefix-list> -
mac-address<mac address> -
interface<interface_name> vlan-id <vlan id> -
vlan-id<vlan id> -
interface<interface_name>
기본적으로 정책 적용은 송신 엔드포인트에서 수행됩니다. 수신 리프에서 정책을 적용하려면 아래 섹션을 참조하십시오.
네트워크 요구 사항에 가장 적합한 세 가지 프로파일 중 하나를 선택하여 VXLAN-GBP를 활성화할 수 있습니다. 각 UFT 프로파일은 각 주소 유형에 대해 서로 다른 최대값으로 구성됩니다. 이러한 프로필을 사용하는 경우에 대한 자세한 내용은 GBP 프로필 이해를 참조하십시오. 이러한 프로필에서 지원하는 규모를 보려면 vxlan-gbp-profile, vxlan-gbp-l2-profile 및 vxlan-gbp-l3-profile 을 참조하십시오.
set chassis forwarding-options vxlan-gbp-profile
set chassis forwarding-options vxlan-gbp-l2-profile
set chassis forwarding-options vxlan-gbp-l3-profile
수신 및 태그 전파 시 정책 시행
Junos 릴리스 22.4R1부터 수신에 더 가깝게 정책 시행을 수행할 수 있습니다. 수신 적용은 송신에서 삭제될 수 있는 수신 시 태그가 지정된 패킷을 삭제하여 네트워크 대역폭을 절약합니다. 수신 시점 또는 그 부근에서 정책 시행을 지원하기 위해 EVPN 유형 2 및 유형 5 경로 내에서 확장된 BGP 커뮤니티를 사용하여 네트워크 전체에 MAC 및 IP-MAC 기반 태그를 전파합니다. 이러한 유형의 경로에 대한 정보는 EVPN 유형 2 및 유형 5 경로를 참조하세요.
EVPN 경로 광고는 새 호스트에서 패킷을 수신할 때 MAC-IP 학습을 통한 EVPN 경로 설치(또는 변경)에 의해 트리거됩니다. 이 경우 소스 IP 경로가 evpn.0 데이터베이스에 설치되고 EVPN 유형 2 광고(할당된 경우 GBP 태그 포함)가 모든 eBGP 피어로 전송됩니다.
이러한 보급이 네트워크를 통해 원격 엔드포인트로 전파된 후 원격 엔드포인트는 원격 수신에서 수신된 패킷에 대해 GBP 방화벽 필터 결정을 내리기에 충분한 정보를 갖게 됩니다. 패킷이 수신 시 수신되면 원격 엔드포인트는 대상 경로를 조회하고 EVPN 유형 2 광고를 통해 이전에 수신한 대상 GBP 태그를 얻을 수 있습니다. 대상 GBP 태그로 무장한 원격 엔드포인트는 이후 수신 패킷에 대해 GBP 정책 시행 결정을 내릴 수 있습니다.
GBP 태그는 EVPN Type 2 경로 광고를 사용하여 전파되므로 MAC 또는 IP 주소별로 태그 전파가 반드시 수행됩니다. 그러나 이는 태그 할당과 관련이 없으며, VLAN 또는 Port와 같이 지원되는 방법 중 하나가 될 수 있습니다.
예를 들어, 포트를 기반으로 태그 할당을 구성하고 새 호스트의 패킷이 해당 포트에서 수신되는 경우, 해당 포트에 할당된 태그는 수신 패킷의 소스 MAC 및 IP 주소와 함께 유형 2 경로 보급으로 전파됩니다. 이후에 다른 호스트의 패킷이 동일한 포트에서 수신되면, 동일한 태그가 이 다른 호스트의 소스 MAC 및 IP 주소와 함께 다른 유형 2 경로 보급에 전파됩니다.
경계 리프 스위치가 GBP 태그가 있는 EVPN 유형 2 광고를 수신하는 경우, 스위치는 유형 2 경로를 설치하고 해당 GBP 태그가 포함된 EVPN 유형 5 광고를 다른 데이터센터의 경계 리프 스위치와 같은 다른 데이터센터의 경계 리프 스위치(DC 간 트래픽용)에 생성합니다. 이 유형 5 경로에는 /32 IP 주소와 GBP 태그가 포함되어 있습니다.
유형 2에서 유형 5로의 태그 전파는 지원되지만 유형 5에서 유형 2 GBP 태그로의 전파는 지원되지 않습니다.
멀티호밍 토폴로지의 경우 멀티호밍 멤버에서 구성을 동일하게 유지합니다.
수신 노드에서 정책 적용을 수행하려면 다음 문을 활성화해야 합니다. 수신 적용이 활성화되거나 비활성화되면 패킷 전달 엔진(PFE)이 다시 시작됩니다.
set forwarding-options evpn-vxlan gbp ingress-enforcement
EVPN 유형 5 광고를 사용하는 IP 접두사 경로에 대한 태그 전파
Junos OS 릴리스 24.2R1부터 EVPN Type 5 광고를 사용하여 IP 접두사 경로에 대한 GBP 태그 전파를 지원합니다. 이 릴리스 이전에는 GBP 태그 전파가 데이터 플레인의 MAC-IP 학습에 의해서만 트리거되었으며, 이는 태그 전파가 /32 IP 경로에 대해서만 발생했음을 의미합니다.
IP 접두사 경로에 대한 지원으로, 예를 들어 인터페이스를 생성하고 직접 EVPN 경로()의 보급을 활성화할 때 태그 전파가 발생할 수 있습니다.set routing-instances <instance> protocols evpn ip-prefix-routes advertise direct-nexthop 또한 해당 IP 접두사에 GBP 태그를 할당하면 후속 EVPN Type 5 광고에 GBP 태그가 포함되므로 MAC-IP 학습이 수행되기 전에도 태그가 전파됩니다.
일반적으로 EVPN 유형 5 광고 내의 GBP 태그 전파는 IP 접두사에 태그를 할당하는 GBP 필터를 생성하고 해당 IP 접두사 경로가 evpn.0 라우팅 데이터베이스에 설치될 때마다 발생합니다. (경로가 설치되기 전이나 후에 GBP 필터를 만들 수 있습니다.)
스위치가 Type 5 보급을 생성하더라도 스위치가 새 호스트를 학습하면(예: 데이터 플레인의 MAC-IP 학습을 통해) 스위치는 Type 2 보급도 생성합니다. 많은 경우에 EVPN 트래픽을 줄이기 위해 이러한 중복 /32 광고를 억제하는 것이 바람직할 수 있습니다. 이렇게 하려면 /32 경로를 거부하는 BGP 정책을 만듭니다.
예를 들어 다음은 IPv4 호스트에서 /32 경로를 거부하는 fm_v4_host라는 용어가 있는 T5_EXPORT라는 정책을 만듭니다.
set policy-options policy-statement T5_EXPORT term fm_v4_host from route-filter 0.0.0.0/0 prefix-length-range /32-/32 set policy-options policy-statement T5_EXPORT term fm_v4_host then reject
스위치가 IP 접두사 경로 및 관련 GBP 태그에 대한 EVPN 광고를 수신하고 동일한 IP 접두사 경로에 다른 태그를 할당하는 GBP 필터를 구성한 경우, 로컬로 구성된 GBP 필터의 GBP 태그가 우선합니다. 스위치는 EVPN 경로를 다시 광고하기 전에 수신된 EVPN 광고의 GBP 태그를 로컬에서 할당된 GBP 태그로 교체합니다.
IP 접두사에 대한 GBP 필터를 생성하고 GBP 필터를 라우팅 인스턴스에 연결하면 IP 접두사 태그 전파가 자동으로 활성화됩니다. 예를 들어:
set firewall family any filter f1 micro-segmentation set firewall family any filter f1 term tag300 from ip-version ipv4 172.16.1.0/24 set firewall family any filter f1 term tag300 then gbp-tag 300 set routing-instances <routing-instance> forwarding-options evpn-vxlan gbp ingress-src-tag filter f1
여기서 <routing-instance> 은(는) 필터를 적용할 라우팅 인스턴스의 이름입니다.
IP 접두사 경로가 GBP 태그와 연결되면 해당 IP 접두사 경로에 대한 명령의 show route 출력에 GBP 태그가 표시됩니다. 예를 들어:
show route match-prefix 5:* extensive
bgp.evpn.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden)
Restart Complete
5:10.255.1.1 (1 entry, 1 announced)
<trimmed>
gbp-tag:0L:53 router-mac:52:54:00:00:92:f0
Import Accepted
Route Label: 9100
Overlay gateway address: 0.0.0.0
ESI 00:00:00:00:00:00:00:00:00:00
Localpref: 100
Router ID: 10.255.1.1
Secondary Tables: VRF-100.evpn.0
Thread: junos-main
Indirect next hops: 1
<trimmed>
show route table VRF-100.inet.0 match-prefix 10.1.1* extensive
VRF-100.inet.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden)
Restart Complete
10.1.1.3/32 (1 entry, 1 announced)
TSI:
KRT in-kernel 10.1.1.3/32 -> {indirect(1048574)}
Opaque data client: EVPN-Type5
Opaque data: tlv_type :32820
Type5 gbp_tag 53.
Address: 0xa15f928
Opaque-data reference count: 2
Page 0 idx 0, (group DC2_TORS type External) Type 1 val 0xa32fd40 (adv_entry)
Advertised metrics:
Nexthop: Self
AS path: [65201] 65200 I
Communities: gbp-tag:0L:53
Advertise: 00000001
Path 10.1.1.3
<trimmed>
라우팅 인스턴스와 GBP 필터 간의 바인딩을 보려면 명령을 사용합니다 show evpn gbp-src-tag filter-bind routing-instance .
GBP 태그 매핑에 대한 IP 접두사 경로를 보려면 명령을 사용합니다 show evpn gbp-src-tag ip-prefix inet .
이 기능의 제한 사항은 다음과 같습니다.
-
GBP 필터는 하나의 라우팅 인스턴스에만 연결할 수 있습니다. 동일한 GBP 필터를 여러 라우팅 인스턴스에 연결할 수 없습니다.
-
동일한 IP 접두사 일치 조건을 가진 두 개의 서로 다른 GBP 필터를 동일한 라우팅 인스턴스에 연결할 수 없습니다.
-
IP 기반 GBP 필터만 라우팅 인스턴스에 연결할 수 있습니다. 다른 유형의 GBP 필터를 연결해도 아무런 효과가 없습니다.
-
이 기능은 표 1에 나열된 EX4400, EX4650 및 QFX-5120 시리즈 스위치에서만 지원됩니다.
Host-Originated Packets(호스트 시작 패킷)
패킷이 가상 터널 엔드포인트(VTEP)를 통해 통합 라우팅 및 브리징(IRB) 인터페이스에서 송신되면 커널은 VXLAN 헤더에 소스 GBP 태그를 삽입하고 패킷을 보냅니다. 소스 GBP 태그 값은 다음 문을 사용하여 구성됩니다.
set forwarding-options evpn-vxlan host-originated-packets gbp-src-tag gbp-src-tag
GBP MAC/IP 인터태깅
기본적으로 MAC 기반 GBP 필터는 스위치된 트래픽에만 적용되며 IP 기반 GBP 필터는 라우팅된 트래픽에만 적용됩니다.
Junos OS 릴리스 24.2R1부터 MAC 기반 GBP 필터도 라우팅된 트래픽에 적용할 수 있으며, IP 기반 GBP 필터도 스위치된 트래픽에 적용할 수 있습니다.
이를 MAC/IP 인터 태깅이라고 하며 표 1에 표시된 특정 EX4100, EX4400, EX4650 및 QFX5120 시리즈 스위치에서 지원됩니다.
MAC/IP 인터태깅 활성화:
set forwarding-options evpn-vxlan gbp mac-ip-inter-tagging
아래에서 MAC/IP 간 태그 지정을 활성화할 때 MAC 및 IP 테이블 모두에 동일한 GBP 태그 100이 나타나는 것을 볼 수 있습니다.
show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC,
B - Blocked MAC)
Ethernet switching table : 2 entries, 2 learned
Routing instance : default-switch
Vlan MAC MAC GBP Logical SVLBNH/ Active
name address flags tag interface VENH Index source
vlan100 52:54:00:22:22:22 D 100 xe-0/0/8.0
vlan200 52:54:00:44:44:44 D xe-0/0/9.0
show ethernet-switching mac-ip-table
MAC IP flags (S - Static, D - Dynamic, L - Local , R - Remote, Lp - Local Proxy,
Rp - Remote Proxy, K - Kernel, RT - Dest Route, (N)AD - (Not) Advt to remote,
RE - Re-ARP/ND, RO - Router, OV - Override, Ur - Unresolved, B - Blocked,
RTS - Dest Route Skipped, RGw - Remote Gateway, GBP - Group Based Policy,
RTF - Dest Route Forced, SC - Static Config, P - Probe, NLC - No Local Config,
LD - Local Down)
Routing instance : default-switch
Bridging domain : vlan100
IP MAC Flags GBP Logical Active
address address Tag Interface source
10.100.100.100 52:54:00:22:22:22 DL,K,RT,AD 100 xe-0/0/8.0
10.100.100.101 52:54:00:63:0e:40 S,K irb.100
2001:db8::9300:6463:e40 52:54:00:63:0e:40 S,K irb.100
SGT 지정 계획
규칙을 생성하기 전에 모든 엔드포인트(사용자 및 디바이스)와 할당된 SGT 값에 대한 테이블을 생성하여 체계를 구성하는 것이 도움이 될 수 있습니다. 아래 표는 논리를 더욱 단순화하고 규칙을 명확히 하는 데 사용할 수 있습니다.
| 끝점 |
할당된 SGT 값 |
|---|---|
| 정규직(PE) |
100 |
| 계약자 (CON) |
200 |
| 보안 직원(SS) |
300 |
| 보안 캠 (CAM) |
400 |
| 엔지니어링 서버(ES) |
500 |
RADIUS 서버와 SGT, EX4400 및 VXLAN 패킷 헤더, 액세스 정책을 관리하는 중앙 방화벽 필터 간의 관계는 매트릭스가 값을 구성하는 편리한 방법이 되도록 합니다. 다음 표에서는 첫 번째 열의 사용자 역할과 첫 번째 행의 장치 유형을 나열하여 액세스 매트릭스를 만듭니다. 각 사용자 역할 및 디바이스 유형에는 SGT가 할당되고 RADIUS 구성이 정보로 업데이트되었습니다.
이 예에서는 PE(Permanent Employee), CON(Contractor) 및 SS(Security Staff)의 세 가지 유형의 직원을 사용합니다. 또한 Eng Server(ES)와 보안 카메라(CAM)의 두 가지 유형의 리소스를 사용합니다. Y 는 액세스가 허용됨을 나타내고 N 은 액세스가 차단되었음을 나타냅니다. 이 테이블은 정책에서 다양한 방화벽 규칙을 생성할 때 유용한 리소스 역할을 하며 액세스 매핑을 간단하고 명확하게 만듭니다.
| ES (SGT 500) | CAM (SGT 400) | PE (SGT 100) | CON (SGT 200) | SS (SGT 300) | |
|---|---|---|---|---|---|
| PE (SGT 100) | Y | N | Y | Y | N |
| CON (SGT 200) | N | N | Y | N | N |
| SS (SGT 300) | N | Y | N | N | Y |
위상수학
간단히 하기 위해, 이 예의 모든 구성은 Junos OS 릴리스 22.4.1R1을 실행하는 단일 주니퍼 EX4400 시리즈 스위치에서 수행됩니다. 스위치는 AAA용 RADIUS 서버에 연결됩니다. 이 스위치는 이 예에서 송신 역할을 합니다. SGT의 경우 송신 스위치에서 방화벽을 정의해야 하는 반면, 액세스 레이어의 수신 VXLAN 게이트웨이에서는 일반적으로 방화벽을 정의합니다.
의 VXLAN GBP
요구 사항
EX4100, EX4400, EX4650, QFX5120-32C 및 QFX5120-48Y 스위치의 Junos OS 22.4R1에서 향상된 GBP가 지원됩니다.
구성
가상 확장형 LAN-GBP 기반 세그멘테이션:
- 사용자는 네트워크에 로그온하고 RADIUS 서버(모든 엔드포인트에 대해 SGT가 구성됨)에 의해 인증됩니다.
- 방화벽 필터를 사용하여 EX4400은 802.1X 인증 또는 MAC 주소를 기반으로 트래픽을 선택한 다음 일치하는 프레임에 그룹 태그를 할당합니다. (dot1x 인증 클라이언트의 경우 정적 방화벽 구성이 필요하지 않습니다.) 이 메커니즘은 다음과 같이 방화벽을 사용하여 수행됩니다.
set firewall family any filter name micro-segmentation set firewall family any filter name term name from source-mac-address MAC-Addr
set firewall family any filter name term name then gbp-tag PE-GRP
- EX4400을 통과하는 태그가 지정된 트래픽은 방화벽 필터의 메커니즘을 사용하여 SGT 값을 기준으로 평가됩니다.
-
먼저 장치에서 활성화합니다
chassis forwarding-options vxlan-gbp-profile. gbp-dst-tag및/또는gbp-src-tag일치 조건을 사용하여 방화벽 규칙을 작성하고 GBP 마이크로 세그먼테이션에 사용하는 송신 스위치의 라우팅 정책에 포함시킵니다. Junos OS 릴리스 23.2R1부터 소스 및 대상 태그 외에도 프로토콜, 소스 포트, 대상 포트, tcp-flags 및 기타 일치와 같은 새로운 GBP 정책 필터 IPv4 및 IPv6 L4 일치가 지원됩니다. 표 7을 참조하십시오.-
수신 엔드포인트에서 정책 적용이 이루어지도록 하려면 옵션을 활성화
set fowarding-options evpn gbp ingress-enforcement해야 합니다.
-
VXLAN-GBP를 위한 독립형 주니퍼 EX4400 스위치 구성
다음 명령을 사용하여 샌드박스 환경에서 VXLAN-GBP 세그먼테이션을 구성합니다. 일반적으로 액세스 레이어의 (송신) VXLAN 게이트웨이 역할을 하는 스위치에서 방화벽 필터 규칙을 생성하지만, 단순화를 위해 방화벽 필터 규칙과 RADIUS 서버(EAP, 여기에서) 모두에 동일한 독립형 EX4400을 사용합니다. 이 예제에서 사용하는 값은 이전 테이블에서 가져온 것입니다.
아래 명령에는 테스트 환경에 맞게 조정해야 하는 프로필 이름 및 IP 주소와 같은 변수가 포함됩니다.
- RADIUS 서버를 구성합니다.
set groups dot1xgbp access radius-server 10.204.96.102 port 1812 set groups dot1xgbp access radius-server 10.204.96.102 secret “secret key" set groups dot1xgbp access profile radius_profile_dev12 authentication-order radius set groups dot1xgbp access profile radius_profile_dev12 radius authentication-server 10.204.96.102 set groups dot1xgbp access profile radius_profile_dev12 radius accounting-server 10.204.96.102 set groups dot1xgbp access profile radius_profile_dev12 accounting order radius
- RADIUS 인증을 지원하도록 물리적 포트를 구성합니다.
set groups dot1xgbp protocols dot1x authenticator authentication-profile-name radius_profile_dev12 set groups dot1xgbp protocols dot1x authenticator interface xe-0/0/46.0 supplicant multiple set groups dot1xgbp protocols dot1x authenticator interface xe-0/0/46.0 mac-radius
- Juniper-Switching-Filter 또는 Juniper-Group-Based-Policy-Id를 사용하여 RADIUS 서버에서 SGT 태그를 설정합니다.
Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 100" Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 200" SecurityStaff01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 300" SecurityCam01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 400" EngServer01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 500"
Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "100" Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "200" SecurityStaff01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "300" SecurityCam01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "400" EngServer01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "500"
- 스위치에서 VXLAN-GBP를 활성화합니다.
set chassis forwarding-options vxlan-gbp-profile
- SGT를 활용하는 방화벽 필터 규칙을 생성합니다(매트릭스에 구성된 값 사용).
set groups gbp-policy firewall family any filter gbp-policy term pe-to-pe from gbp-src-tag 100 set groups gbp-policy firewall family any filter gbp-policy term pe-to-pe from gbp-dst-tag 100 set groups gbp-policy firewall family any filter gbp-policy term pe-to-pe then accept set groups gbp-policy firewall family any filter gbp-policy term pe-to-pe then count PE-PE set groups gbp-policy firewall family any filter gbp-policy term pe-to-es from gbp-src-tag 100 set groups gbp-policy firewall family any filter gbp-policy term pe-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family any filter gbp-policy term pe-to-es then accept set groups gbp-policy firewall family any filter gbp-policy term pe-to-es then count PE-ES set groups gbp-policy firewall family any filter gbp-policy term pe-to-cam from gbp-src-tag 100 set groups gbp-policy firewall family any filter gbp-policy term pe-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family any filter gbp-policy term pe-to-cam then discard set groups gbp-policy firewall family any filter gbp-policy term pe-to-cam then count PE-CAM set groups gbp-policy firewall family any filter gbp-policy term con-to-cam from gbp-src-tag 200 set groups gbp-policy firewall family any filter gbp-policy term con-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family any filter gbp-policy term con-to-cam then discard set groups gbp-policy firewall family any filter gbp-policy term con-to-cam then count CON-CAM set groups gbp-policy firewall family any filter gbp-policy term con-to-es from gbp-src-tag 200 set groups gbp-policy firewall family any filter gbp-policy term con-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family any filter gbp-policy term con-to-es then discard set groups gbp-policy firewall family any filter gbp-policy term con-to-es then count CON-ES set groups gbp-policy firewall family any filter gbp-policy term ss-to-cam from gbp-src-tag 300 set groups gbp-policy firewall family any filter gbp-policy term ss-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family any filter gbp-policy term ss-to-cam then accept set groups gbp-policy firewall family any filter gbp-policy term ss-to-cam then count SS-CAM set groups gbp-policy firewall family any filter gbp-policy term ss-to-es from gbp-src-tag 300 set groups gbp-policy firewall family any filter gbp-policy term ss-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family any filter gbp-policy term ss-to-es then discard set groups gbp-policy firewall family any filter gbp-policy term ss-to-es then count SS-ES set apply-groups gbp-policy
- Junos에서 커밋 검사를 실행하여 사용한 명령과 변수가 유효한지 확인합니다. 구성이 만족스러우면 후보 구성을 커밋하여 디바이스에서 활성화합니다. 이러한 명령은 다음과 같습니다. 를 입력하여
run show configuration구성을 검토할 수도 있습니다.commit check configuration check succeeds commit commit complete
EX 스위치 및 QFX 스위치에 대한 제한 사항:
-
EX9204, EX9208 및 EX9214 스위치:
-
EVPN-VXLAN Type 2 터널을 통해 들어오는 전송 트래픽의 경우, 송신 PE에서의 GBP 태그 기반 정책 시행은 VxLAN 헤더의 수신 PE에 스탬프 처리된 소스 GBP 태그가 언더레이 네트워크에서 어떠한 타협 없이 전달되어야만 올바르게 작동합니다.
-
RADIUS/802.1X를 통해 구성된 SGT는 지원되지 않습니다.
-
수신 엔드포인트에서 /32 경로의 태그 전파 및 정책 시행에 대한 지원은 Junos OS 릴리스 24.2R1에서 시작됩니다.
-
EVPN 유형 5 광고를 사용한 IP 접두사 경로의 태그 전파는 지원되지 않습니다.
-
GBP UFT 프로필은 지원되지 않습니다.
-
-
EX4400 및 QFX5120 플랫폼의 고유 태그 수는 1K로 제한됩니다.
-
interface및VLANGBP 일치는 EX4100 스위치에서 지원되지 않습니다. -
멀티캐스트 IP 기반 GBP 태깅은 지원되지 않습니다.
-
IP 기반 GBP는 레이어 2 스위칭 플로우에 적용되지 않으며, MAC 기반 GBP는 액세스-액세스 레이어 3 라우팅 플로우에 적용되지 않습니다.
-
포트 기반(
interface) GBP가 구성된 경우 IPACL이 지원되지 않습니다. -
폴리서 및 카운트 작업은 MAC 기반 및 IP 기반 GBP 정책 항목에 대해서만 지원됩니다.
-
VLAN 기반 GBP는 서비스 프로바이더 스타일의 논리적 인터페이스에 지원되지 않습니다.
-
GBP 태그 할당 필터는 카운터 옵션을 지원하지 않습니다.
-
GBP 필터의 다른 일치 기준(MAC, PORT 및 PORT+VLAN)은 동일한 필터의 일부가 아닙니다.
GBP Junos OS 릴리스 21.1R1 이상
RADIUS 서버로 SGT 할당
이 예에서는 RADIUS 서버에서 SGT를 구성한 다음 EX4400에서 802.1X 액세스 제어를 사용하여 수신합니다. RADIUS 서버는 일반적으로 액세스 제어를 위해 캠퍼스 환경에서 사용되며, 예를 들어 VLAN 할당을 제어하는 데 사용됩니다.
RADIUS 서버에서 SGT를 사용하려면 AAA 서비스 프레임워크에서 지원하는 VSA(Vendor Specific Attribute)를 활용해야 합니다(이러한 VSA는 표준 RADIUS 요청 응답 메시지의 일부로 전달되며 SGT와 같은 구현별 정보를 처리하기 위한 기본 제공 확장을 제공함). RADIUS 서버의 정확한 구문은 인증 체계가 MAC 기반인지 EAP 기반인지에 따라 다릅니다. MAC 기반 클라이언트의 경우 구성은 다음과 같습니다.
001094001199 Cleartext-Password := "001094001199" Juniper-Switching-Filter = "apply action gbp-tag 100"
EAP 기반 클라이언트의 경우 인증 시 RADIUS 서버에서 SGT가 푸시됩니다. 구성은 다음과 같습니다.
PermEmp01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 100"
Junos 릴리스 21.1R1부터 EX4400 스위치는 VXLAN-GBP와 함께 사용하기 위한 새로운 일치 조건을 도입하여 방화벽이 RADIUS 서버에서 전달되어 VXLAN 헤더에 삽입된 SGT 태그를 인식할 수 있도록 합니다.
다음 코드 샘플에서 작동 방식을 확인할 수 있습니다. GBP 방화벽 정책은 출발지 및 목적지 GBP 태그를 기반으로 구성됩니다. 소스 태그는 수신 패킷의 VXLAN 헤더에 있는 16비트 필드이며, 대상 태그는 구성된 태그 할당에 따라 송신 터널 엔드포인트에서 파생됩니다.
아래와 같은 구성의 송신 엔드포인트가 있다고 가정해 보겠습니다. 소스 MAC 주소 00:01:02:03:04:10:10 의 패킷에는 태그 100이 할당되고 소스 MAC 주소 00:01:02:03:04:20:20 의 패킷에는 200이 할당됩니다.
set firewall family ethernet-switching filter assign_tag term tag100 from source-mac-address 00:01:02:03:04:10:10 set firewall family ethernet-switching filter assign_tag term tag100 then gbp-src-tag 100 set firewall family ethernet-switching filter assign_tag term tag200 from source-mac-address 00:01:02:03:04:20:20 set firewall family ethernet-switching filter assign_tag term tag200 then gbp-src-tag 200
GBP 태그가 100이고 대상 MAC 주소가 인 00:01:02:03:04:10:10패킷의 경우, 대상 그룹 태그 (gbp-dst-tag) 는 100이 되며 용어 t10-100에 따라 일치합니다. 마찬가지로 GBP 태그가 100이고 대상 MAC 주소가 00:01:02:03:04:20:20인 패킷의 경우 대상 그룹 태그는 200이 되며 용어 t10-200와 일치합니다.
set firewall family ethernet-switching filter gbp-policy term t10-100 from gbp-src-tag 100 set firewall family ethernet-switching filter gbp-policy term t10-100 from gbp-dst-tag 100 set firewall family ethernet-switching filter gbp-policy term t10-100 then accept set firewall family ethernet-switching filter gbp-policy term t10-200 from gbp-src-tag 100 set firewall family ethernet-switching filter gbp-policy term t10-200 from gbp-dst-tag 200 set firewall family ethernet-switching filter gbp-policy term t10-200 then discard
소스 MAC 주소를 소스 태그에 매핑하는 데 사용되는 것과 동일한 태그 할당은 대상 MAC 주소를 대상 태그에 매핑하는 데에도 사용됩니다. 이는 포트 기반 할당에도 해당됩니다.
이번에는 GBP 소스 태그 300을 사용하고 패킷 수신 인터페이스를 ge-0/0/30.0사용하는 또 다른 코드 샘플을 살펴보겠습니다. 아래에서 볼 수 있듯이 GBP 소스 태그 300은 송신 방향으로 할당되고 300은 GBP 대상 그룹 태그이기도 합니다.
set firewall family ethernet-switching filter assign_tag term tag300 from interface ge-0/0/30.0 set firewall family ethernet-switching filter assign_tag term tag300 then gbp-src-tag 300
수신 스위치가 송신 스위치에서 사용되는 그룹 태그를 알 수 있는 방법이 없으므로 송신 스위치에서 GBP 방화벽 필터를 구성해야 합니다. 또한 수신 노드에서 전역적으로 VXLAN-GBP를 활성화해야 일치 항목에 대한 조회를 수행하고 VXLAN 헤더와 송신 노드에 SGT를 추가할 수 있습니다. 여기에 표시된 구성 명령을 사용하여 이 작업을 수행합니다.
set chassis forwarding-options vxlan-gbp-profile
규칙을 생성하기 전에 모든 엔드포인트(사용자 및 디바이스)와 할당된 SGT 값에 대한 테이블을 생성하여 체계를 구성하는 것이 도움이 될 수 있습니다. 여기에서는 논리를 더욱 단순화하고 규칙을 명확히하는 데 사용할 수있는 값이 나중에 행렬에 적용될 테이블 중 하나를 보여줍니다.
| 끝점 |
할당된 SGT 값 |
|---|---|
| 정규직(PE) |
100 |
| 계약자 (CON) |
200 |
| 보안 직원(SS) |
300 |
| 보안 캠 (CAM) |
400 |
| 엔지니어링 서버(ES) |
500 |
RADIUS 서버와 SGT, EX4400 및 VXLAN 패킷 헤더, 액세스 정책을 관리하는 중앙 방화벽 필터 간의 관계는 매트릭스가 값을 구성하는 편리한 방법이 되도록 합니다. 다음 표에서는 첫 번째 열의 사용자 역할과 첫 번째 행의 장치 유형을 나열하여 액세스 매트릭스를 만듭니다. 각 사용자 역할 및 디바이스 유형에는 SGT가 할당되고 RADIUS 구성이 정보로 업데이트되었습니다.
이 예에서는 PE(Permanent Employee), CON(Contractor) 및 SS(Security Staff)의 세 가지 유형의 직원을 사용합니다. 또한 Eng Server(ES)와 보안 카메라(CAM)의 두 가지 유형의 리소스를 사용합니다. Y 는 액세스가 허용됨을 나타내고 N 은 액세스가 차단되었음을 나타냅니다. 이 테이블은 정책에서 다양한 방화벽 규칙을 생성할 때 유용한 리소스 역할을 하며 액세스 매핑을 간단하고 명확하게 만듭니다.
| ES (SGT 500) | CAM (SGT 400) | PE (SGT 100) | CON (SGT 200) | SS (SGT 300) | |
|---|---|---|---|---|---|
| PE (SGT 100) | Y | N | Y | Y | N |
| CON (SGT 200) | N | N | Y | N | N |
| SS (SGT 300) | N | Y | N | N | Y |
위상수학
단순화를 위해 이 예의 모든 구성은 Junos OS 릴리스 21.1R1을 실행하는 단일 주니퍼 EX4400 시리즈 스위치에서 수행됩니다. 스위치는 AAA용 RADIUS 서버에 연결됩니다. 이 스위치는 이 예에서 송신 역할을 합니다. SGT의 경우 송신 스위치에서 방화벽을 정의해야 하는 반면, 액세스 레이어의 수신 VXLAN 게이트웨이에서는 일반적으로 방화벽을 정의합니다.
의 VXLAN GBP
요구 사항
VXLAN-GBP는 EX4400-24P, EX4400-24T, EX4400-48F, EX4400-48P, EX4400-48T 스위치의 Junos OS 릴리스 21.1R1에서 지원됩니다. 이 예에서는 EX4400 스위치를 예로 들어 보겠습니다.
Junos 릴리스 21.4R1부터 VXLAN-GBP는 QFX5120-32C, QFX5120-48T, QFX5120-48Y, QFX5120-48YM, EX4650 및 EX4650-48Y-VC 스위치에서도 지원됩니다.
구성
위 단락에서 설명한 VXLAN-GBP 기반 세그먼테이션의 기본 이벤트 시퀀스를 요약하면 다음과 같습니다.
- 사용자는 네트워크에 로그온하고 RADIUS 서버(모든 엔드포인트에 대해 SGT가 구성됨)에 의해 인증됩니다.
- 방화벽 필터를 사용하여 EX4400은 802.1X 인증 또는 MAC 주소를 기반으로 트래픽을 선택한 다음 일치하는 프레임에 그룹 태그를 할당합니다. (dot1x 인증 클라이언트의 경우 정적 방화벽 구성이 필요하지 않습니다.) 이 메커니즘은 다음과 같이 방화벽을 사용하여 수행됩니다.
set firewall family ethernet-switching filter name term name from source-mac-address MAC-Addr
set firewall family ethernet-switching filter name term name then gbp-src-tag PE-GRP
- EX4400을 통과하는 태그가 지정된 트래픽은 방화벽 필터의 메커니즘을 사용하여 SGT 값을 기준으로 평가됩니다. 이를 위해서는 먼저 스위치에서 활성화
chassis forwarding-options vxlan-gbp-profile한 다음 및/또는gbp-src-tag일치 조건을 사용하여gbp-dst-tag방화벽 규칙을 작성하고 GBP 마이크로 세그먼테이션에 사용하는 송신 스위치의 라우팅 정책에 포함시켜야 합니다.
VXLAN-GBP를 위한 독립형 주니퍼 EX4400 스위치 구성
다음 명령을 사용하여 샌드박스 환경에서 VXLAN-GBP 세그먼테이션을 구성합니다. 일반적으로 액세스 레이어의 (송신) VXLAN 게이트웨이 역할을 하는 스위치에서 방화벽 필터 규칙을 생성하지만, 단순화를 위해 방화벽 필터 규칙과 RADIUS 서버(EAP, 여기에서) 모두에 동일한 독립형 EX4400을 사용합니다. 이 예제에서 사용하는 값은 이전 표에서 가져온 것입니다.
아래 명령에는 테스트 환경에 맞게 조정해야 하는 프로필 이름 및 IP 주소와 같은 변수가 포함됩니다.
- RADIUS 서버를 구성합니다.
set groups dot1xgbp access radius-server 10.204.96.102 port 1812 set groups dot1xgbp access radius-server 10.204.96.102 secret “secret key" set groups dot1xgbp access profile radius_profile_dev12 authentication-order radius set groups dot1xgbp access profile radius_profile_dev12 radius authentication-server 10.204.96.102 set groups dot1xgbp access profile radius_profile_dev12 radius accounting-server 10.204.96.102 set groups dot1xgbp access profile radius_profile_dev12 accounting order radius
- RADIUS 인증을 지원하도록 물리적 포트를 구성합니다.
set groups dot1xgbp protocols dot1x authenticator authentication-profile-name radius_profile_dev12 set groups dot1xgbp protocols dot1x authenticator interface xe-0/0/46.0 supplicant multiple set groups dot1xgbp protocols dot1x authenticator interface xe-0/0/46.0 mac-radius
- RADIUS 서버에서 SGT 태그를 설정합니다.
Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 100" Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 200" SecurityStaff01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 300" SecurityCam01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 400" EngServer01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 500"
- 스위치에서 VXLAN-GBP를 활성화합니다.
set chassis forwarding-options vxlan-gbp-profile
- SGT를 활용하는 방화벽 필터 규칙을 생성합니다(매트릭스에 구성된 값 사용).
set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe from gbp-src-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe from gbp-dst-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe then accept set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe then count PE-PE set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es from gbp-src-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es then accept set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es then count PE-ES set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam from gbp-src-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam then count PE-CAM set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam from gbp-src-tag 200 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam then count CON-CAM set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es from gbp-src-tag 200 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es then count CON-ES set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam from gbp-src-tag 300 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam then accept set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam then count SS-CAM set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es from gbp-src-tag 300 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es then count SS-ES set apply-groups gbp-policy
- Junos에서 커밋 검사를 실행하여 사용한 명령과 변수가 유효한지 확인합니다. 구성이 만족스러우면 후보 구성을 커밋하여 디바이스에서 활성화합니다. 이러한 명령은 다음과 같습니다. 를 입력하여
run show configuration구성을 검토할 수도 있습니다.commit check configuration check succeeds commit commit complete