VRF 그룹을 사용하여 보안 정책 구성
개요
SD-WAN 네트워크에서 서로 다른 VRF 기반 트래픽이 GRE 또는 GE와 같은 동일한 터널에서 디바이스로 유입되면 디바이스는 지정된 VRF 인스턴스를 기반으로 정책을 적용합니다. 디바이스는 VRF 기반 트래픽을 제어하기 위해 특정 VRF 인스턴스로 향하는 트래픽을 허용하거나 거부합니다.
현재 각 정책에 대해 5개의 일치 조건이 있습니다.
영역에서
대상 구역
소스 주소
목적지 주소
응용 프로그램
그림 1 은 정책의 일치 조건을 보여줍니다.
현재 정책 일치 조건에서는 VRF-B1 또는 VRF-B2를 허용하고 VRF-A1 또는 VRF-A2를 거부할 수 없습니다. 이를 지원하기 위해 VRF 그룹을 사용하여 SD-WAN 네트워크의 정책에 추가 일치 조건이 추가됩니다.
플로우가 소스 및 대상 VRF 그룹의 정보를 수신하면 일치 조건을 충족하기 위해 정책 키 튜플 정보와 함께 정책 검색 API에 정보를 전달합니다.
그림 2 에는 정책에서 일치 조건으로 추가된 VRF 그룹이 나와 있습니다.
과의 일치 조건
소스 및 대상 VRF 그룹 정보가 정책에 지정되지 않은 경우 이러한 그룹은 VRF 그룹과 일치합니다 any .
예: 소스 VRF 그룹을 사용하여 MPLS 네트워크에서 IP 네트워크로의 VRF 기반 트래픽을 허용하거나 거부하는 보안 정책 구성
이 예에서는 소스 VRF 그룹을 사용하여 트래픽을 허용하고 트래픽을 거부하도록 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
보안 영역을 만드는 방법을 이해합니다. 예: 보안 영역 생성을 참조하십시오 .
Junos OS 릴리스 15.1X49-D170 이상에서 지원되는 SRX 시리즈 방화벽. 이 구성 예는 Junos OS 릴리스 15.1X49-D170에 대해 테스트되었습니다.
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
개요
Junos OS에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 대해 수행해야 하는 조치와 관련하여 전송 트래픽에 대한 규칙을 시행합니다. 그림 3에서 SRX 시리즈 방화벽은 소스 VRF 그룹을 사용하여 트래픽을 제어하기 위해 SD-WAN에 구축되어 있습니다. GRE MPLS 네트워크의 트래픽은 IP 네트워크의 사이트 A와 사이트 B로 전송됩니다. 네트워크 요구 사항에 따라 사이트 A 트래픽을 거부하고 사이트 B 트래픽만 허용해야 합니다.
정책 제어
이 구성 예제에서는 다음을 수행하는 방법을 보여 줍니다.
VPN-A의 트래픽 거부(GRE MPLS에서)
VPN-B에서 트래픽 허용(GRE MPLS에서)
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match application any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy then deny set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match application any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 자세한 내용은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2
VRF 인스턴스 B1 및 B2를 사용하여 VRF 그룹 vpn-B를 생성합니다
[edit security] user@host# set l3vpn vrf-group vpn-B vrf VRF-B1 user@host# set l3vpn vrf-group vpn-B vrf VRF-B2
vpn-A 트래픽을 거부하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then deny
vpn-B 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match source-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 및 show routing-instances 명령을 입력하여 show security policies 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security policies
from-zone GRE_Zone to-zone GE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group vpn-A;
}
then {
deny;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .
확인
정책 구성 확인
목적
보안 정책에 대한 정보를 확인합니다.
작업
운영 모드에서 명령을 입력하여 show security policies 디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.
user@root> show security policies
Default policy: permit-all
From zone: GRE_Zone, To zone: GE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: vpn-A
destination L3VPN vrf-group: any
Source addresses: any
Destination addresses: any
Applications: any
Action: deny
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: vpn-B
destination L3VPN vrf-group: any
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
예: 대상 VRF 그룹을 사용하여 IP 네트워크에서 MPLS 네트워크로의 VRF 기반 트래픽을 허용하거나 거부하는 보안 정책 구성
이 예에서는 소스 VRF 그룹을 사용하여 트래픽을 허용하고 트래픽을 거부하도록 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
보안 영역을 만드는 방법을 이해합니다. 예: 보안 영역 생성을 참조하십시오.
Junos OS 릴리스 15.1X49-D170 이상에서 지원되는 SRX 시리즈 방화벽. 이 구성 예는 Junos OS 릴리스 15.1X49-D170에 대해 테스트되었습니다.
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
개요
Junos OS에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 대해 수행해야 하는 조치와 관련하여 전송 트래픽에 대한 규칙을 시행합니다. 그림 4에서 SRX 시리즈 방화벽은 대상 VRF 그룹을 사용하여 트래픽을 제어하기 위해 SD-WAN에 구축되어 있습니다. IP 네트워크의 트래픽은 GRE MPLS 네트워크의 사이트 A와 사이트 B로 전송됩니다. 네트워크 요구 사항에 따라 사이트 A 트래픽을 거부하고 사이트 B 트래픽만 허용해야 합니다.
이 구성 예제에서는 다음을 수행하는 방법을 보여 줍니다.
대한 정책 제어
vpn-A(GRE MPLS)에 대한 트래픽 거부
vpn-B로의 트래픽 허용(GRE MPLS로)
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy then deny set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 자세한 내용은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2
VRF 인스턴스 B1 및 B2를 사용하여 VRF 그룹 vpn-B를 생성합니다
[edit security] user@host# set l3vpn vrf-group vpn-B vrf VRF-B1 user@host# set l3vpn vrf-group vpn-B vrf VRF-B2
vpn-A 트래픽을 거부하는 보안 정책을 생성합니다.
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then deny
vpn-B 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone LAN-b_Zone e to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 및 show routing-instances 명령을 입력하여 show security policies 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security policies
from-zone LAN-a_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A;
}
then {
deny;
}
}
}
from-zone LAN-b_Zone to-zone GRE_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .
확인
정책 구성 확인
목적
보안 정책에 대한 정보를 확인합니다.
작업
운영 모드에서 명령을 입력하여 show security policies 디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.
user@root> show security policies
Default policy: permit-all
From zone: LAN-a_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN vrf-group: vpn-A
Source addresses: any
Destination addresses: any
Applications: any
Action: deny
From zone: LAN-b_Zone, To zone: GRE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN vrf-group: vpn-B
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
VRF 그룹을 사용한 중복 VPN 관리
L3VPN 네트워크에 두 개의 세션이 있는 경우 두 세션 간의 충돌을 방지하기 위해 VRF group-ID가 세션을 구분하기 위한 추가 키로 세션 키에 추가됩니다.
그림 5에서 네트워크1과 네트워크3은 L3VPN 네트워크의 VRF 그룹-A로 함께 그룹화되고, 네트워크2와 네트워크4는 VRF 그룹-B로 함께 그룹화됩니다. 세션은 VRF 그룹-A 및 VRF 그룹-B를 차별화 요소로 사용합니다.
사용하는 VPN 오버래핑
L3VPN 네트워크 1 및 3 세션 |
L3VPN 네트워크 2 및 4 세션 |
||
|---|---|---|---|
(앞으로) |
(역방향) |
(앞으로) |
(역방향) |
5튜플: x/y/sp/dp/p |
5튜플: y/x/dp/sp/p |
5튜플: x/y/sp/dp/p |
5튜플: y/x/dp/sp/p |
토큰: GRE1(zone_id+VR_id) + VRF group-ID (A) |
토큰: GRE1(zone_id+VR_id) + VRF group-ID (B) |
토큰: GRE1(zone_id+VR_id) + VRF group-ID (A') |
토큰: GRE1(zone_id+VR_id) + VRF group-ID (B') |