Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의
 

고급 보안 및 데이터센터 상호 연결 구성

다음 예제를 사용하여 축소된 스파인 데이터센터 아키텍처에서 고급 보안 및 DCI를 구성하십시오.

테넌트 간 트래픽에 대한 고급 보안 구성

SRX 시리즈는 테넌트 간 트래픽에 고급 보안 서비스를 제공할 수 있는 차세대 방화벽입니다. 이 섹션을 사용하여 DC1에서 JNPR_1 및 JNPR_2 간 테넌트 간 트래픽을 SRX 섀시 클러스터를 통해 라우팅합니다.

요구 사항

개요

섀시 클러스터의 SRX 시리즈 디바이스는 단일 디바이스로 작동하여 디바이스, 인터페이스 및 서비스 수준 이중화를 제공합니다. 이 섹션을 사용하여 섀시 클러스터를 존으로 분리하고 라우팅 정책을 구성하여 올바른 트래픽이 보안 디바이스를 통해 라우팅되도록 합니다.

토폴로지

그림 1과 같이 두 스파인 스위치는 두 SRX 노드에 물리적으로 연결됩니다.

그림 1: SRX 클러스터 Physical Topology of SRX Cluster 의 물리적 토폴로지
참고:

이 예는 SRX345 디바이스를 기반으로 한 것입니다. HA 클러스터에 배치되면 노드 1의 인터페이스가 FPC 슬롯 5와 연결됩니다. 이는 노드 1에 표시된 ge-0/0/11 인터페이스가 클러스터가 형성되면 실제로 ge-5-0/11로 구성됨을 의미합니다. HA 클러스터의 노드 1용 FPC 번호는 SRX 모델 유형에 따라 다를 수 있습니다.

Reth1은 SRX 클러스터의 논리적 인터페이스입니다. SRX 클러스터의 노드 중 하나에서 활성화됩니다. SRX 디바이스와 스파인 스위치 간의 기본 노드 또는 상호 연결 링크에 장애가 발생하면 Reth1은 보조 노드로 페일오버됩니다. 그림 2 는 SRX 디바이스와 스파인 스위치 간의 논리적 인터페이스를 보여줍니다.

그림 2: SRX 클러스터의 오버레이 토폴로지 Overlay Topology of SRX Cluster

각 스파인 스위치는 그림 3과 같이 각 라우팅 인스턴스 또는 테넌트에서 SRX 클러스터와 별도의 EBGP 피어링을 설정합니다. 예를 들어 Spine 1에는 SRX 클러스터를 연결하는 두 개의 피어링이 있으며, 각 라우팅 인스턴스에는 JNPR_1 및 JNPR_2 두 가지가 있습니다. Reth1.991은 스파인 스위치의 JNPR_1 라우팅 인스턴스와 피어링하며 JNPR_1 보안 존에 속합니다. Reth1.992는 스파인 스위치의 JNPR_2 라우팅 인스턴스와 피어링되며 JNPR_2 보안 존에 속합니다.

SRX 디바이스는 모든 접두사(예: 192.168.0.0/16)를 다루는 요약 경로를 광고합니다. 스파인 스위치는 각 라우팅 인스턴스에서 특정 서브넷을 광고합니다.

그림 3: EBGP 피어링을 통한 SRX 클러스터 토폴로지 Topology of SRX Cluster with EBGP Peering

인터페이스 구성

SRX 디바이스 구성

단계별 절차

  1. SRX 디바이스의 논리적 인터페이스에 대한 그룹을 구성합니다.

  2. 논리적 인터페이스를 구성합니다. Reth1은 SRX 클러스터의 태그가 지정된 레이어 3 인터페이스입니다. Reth1.991은 스파인 스위치의 JNPR_1 라우팅 인스턴스와 피어링합니다. Reth1.992가 스파인 스위치의 JNPR_2 라우팅 인스턴스와 피어링됩니다.

  3. 논리적 인터페이스를 별도의 보안 존에 배치합니다. Reth1.991은 JNPR_1 보안 존에 속하며 Reth1.992는 JNPR_2 보안 존에 속합니다.

  4. 섀시 클러스터 상태를 확인합니다.

스파인 구성 1

단계별 절차

  1. Spine 1에서 SRX 디바이스가 상호 연결된 인터페이스를 구성합니다.

  2. IRB 인터페이스를 구성합니다.

  3. VLAN을 구성합니다.

  4. EVPN MP-BGP 도메인의 일부로 VPI를 구성합니다.

스파인 구성 2

단계별 절차

  1. Spine 2에서 SRX 디바이스가 상호 연결된 인터페이스를 구성합니다.

  2. IRB 인터페이스를 구성합니다.

  3. VLAN을 구성합니다.

  4. EVPN MP-BGP 도메인의 일부로 VPI를 구성합니다.

EBGP 구성

SRX 디바이스 구성

단계별 절차

  1. EBGP 상호 연결을 구성합니다.

  2. 라우팅 옵션을 구성합니다.

  3. 정책 옵션을 구성합니다.

스파인 구성 1

단계별 절차

  1. JNPR_1 라우팅 인스턴스에서 EBGP 피어링을 구성합니다.

  2. JNPR_2 라우팅 인스턴스에서 EBGP 피어링을 구성합니다.

  3. SRX 장치와의 상호 연결을 위해 임포트 및 익스포트 정책을 구성합니다.

스파인 구성 2

단계별 절차

  1. JNPR_1 라우팅 인스턴스에서 EBGP 피어링을 구성합니다.

  2. JNPR_2 라우팅 인스턴스에서 EBGP 피어링을 구성합니다.

  3. SRX 장치와의 상호 연결을 위해 임포트 및 익스포트 정책을 구성합니다.

SRX 디바이스 보안 정책 구성

단계별 절차

  1. JNPR_1 영역 1에서 보안 정책을 구성합니다.

  2. JNPR_2 영역 1에서 보안 정책을 구성합니다.

SRX 섀시 클러스터에서 BGP 검증

단계별 절차

  1. 스파인 스위치를 사용하는 모든 BGP 피어링 세션이 설정되는지 확인합니다.

  2. SRX 디바이스가 JNPR_1 테넌트로부터 BGP 경로를 수신했는지 확인합니다.

  3. SRX 디바이스가 JNPR_2 테넌트로부터 BGP 경로를 수신했는지 확인합니다.

  4. SRX 섀시 클러스터가 스파인 디바이스에 대한 요약 경로를 광고하고 있는지 확인합니다.

  5. SRX 섀시 클러스터를 통해 테넌트 간 트래픽을 검증합니다.

    이 예에서 Endpoint12는 VLAN 212 및 테넌트 JNPR_2 구성됩니다. Endpoint12는 그림 4와 같이 VLAN 201 및 테넌트 JNPR_1 일부인 엔드포인트2 핑입니다. 테넌트 간 트래픽이므로 이 트래픽은 SRX 섀시 클러스터의 활성 멤버를 통과합니다. SRX-Node0은 SRX 섀시 클러스터의 활성 멤버이며 SRX-Node1은 패시브 멤버입니다.

    그림 4: SRX 클러스터를 통한 테넌트 간 트래픽 Inter-Tenant Traffic Through the SRX Cluster

    SRX 디바이스의 플로우 테이블에 SRX 섀시 클러스터를 통과하는 트래픽이 표시되는지 확인합니다.

    데이터센터를 위해 고급 보안을 구성하고 테넌트 간 트래픽이 SRX 섀시 클러스터를 통해 라우팅되도록 확인했습니다.

DCI(Data Center Interconnect) 구성

개요

데이터센터 모두에 축소된 스파인 아키텍처를 구성하고 DC1에 고급 보안을 추가했으므로 이제 DCI(Data Center Interconnect)를 사용하여 DC1과 DC2를 연결할 때입니다.

토폴로지

이 예에서는 데이터센터 간에 레이어 2를 확장할 필요가 없습니다. 데이터센터 간 통신은 그림 5와 같이 DC1의 SRX 섀시 클러스터를 통해 라우팅됩니다. 스파인 스위치는 각각 WAN 라우팅 인스턴스를 가지고 있으며 데이터센터 간 WAN에 연결됩니다. 스파인 스위치는 레이어 3 경로를 WAN 라우터로 전달합니다(이 그림에는 표시되지 않음).

SRX 섀시 클러스터는 192.168.0.0/16 서브넷을 광고합니다. DC2 스파인 스위치 스파인 3 및 스파인 4는 2개의 서브넷 192.168.221.0/24와 192.168.222.0/24를 광고합니다.

그림 5: 데이터센터 상호 연결 토폴로지 Data Center Interconnect Topology

각 SRX 디바이스는 JNPR_1, JNPR_2 및 WAN 라우팅 인스턴스에 해당하는 3개의 존으로 구성됩니다. JNPR_1 및 JNPR_2 간의 모든 테넌트 간 트래픽은 SRX 섀시 클러스터를 통해 라우팅됩니다. DC1과 DC2 간의 모든 트래픽은 WAN 라우팅 인스턴스를 사용하여 SRX 섀시 클러스터를 통해 라우팅됩니다. 각 SRX 디바이스에는 각 라우팅 인스턴스에서 Spine 1 및 Spine 2를 사용한 개별 EBGP 피어링이 있습니다. 그림 6 은 DC1의 스파인 스위치와 SRX 섀시 클러스터 간의 EBGP 피어링을 보여줍니다.

그림 6: SRX 섀시 클러스터 EBGP 피어링 토폴로지 SRX Chassis Cluster EBGP Peering Topology

구성

SRX 디바이스 구성

단계별 절차

각 SRX 디바이스는 세 가지 라우팅 인스턴스( JNPR_1, JNPR_2, WAN)에 해당하는 존 3개로 나누어야 합니다. 테넌트 간 트래픽에 대한 고급 보안 구성에서 이미 JNPR_1 존과 JNPR_2 존을 만들었습니다.

  1. WAN 상호 연결을 위해 Reth1에 새로운 서브 인터페이스를 추가합니다.

  2. WAN 보안 존을 구성합니다.

  3. WAN 보안 존에 대한 EBGP를 구성합니다.

  4. 보안 정책을 구성합니다. 단순성을 위해 이 예의 보안 정책은 개방형입니다. 설정에서 필요에 따라 보안 정책을 수정합니다.

스파인 스위치 구성

단계별 절차

  1. Spine 1에서 라우팅 인스턴스 및 irb 인터페이스를 구성합니다.

  2. Spine 2에서 라우팅 인스턴스를 구성합니다.

  3. 스파인 3에서 EBGP를 구성합니다.

  4. 스파인 4에서 EBGP를 구성합니다.

DCI 경로 검증

단계별 절차

  1. SRX 섀시 클러스터의 경로를 확인합니다. SRX는 서로 다른 서브넷에 대한 모든 특정 경로를 학습해야 합니다.

  2. Spine 1 및 Spine 2의 경로를 확인합니다. SRX 클러스터는 모든 VRF의 스파인 디바이스에 192.168.0.0/16 요약 경로를 알립니다. 모든 VRF 간 트래픽과 DCI 트래픽은 SRX 섀시 클러스터를 통과합니다.

  3. Spine 3 및 Spine 4의 경로를 확인합니다. DC2 스파인 디바이스는 DC1 스파인 디바이스의 WAN VRF에서 총 경로를 수신합니다. 두 데이터센터 간의 모든 트래픽은 SRX 섀시 클러스터를 통해 라우팅됩니다.

    축소된 스파인 데이터센터 네트워크를 DCI와 연결했습니다.