EN ESTA PÁGINA
Configuración de políticas de seguridad para una instancia de enrutamiento VRF
Visión general
Una política de seguridad es un conjunto de instrucciones que controla el tráfico desde un origen especificado hasta un destino especificado mediante un servicio especificado. Una política permite, deniega o tuneliza tipos específicos de tráfico unidireccionalmente entre dos puntos. Las políticas de seguridad imponen un conjunto de reglas para el tráfico de tránsito, identificando qué tráfico puede pasar a través del firewall y las acciones realizadas en el tráfico a medida que pasa a través del firewall. Las acciones para el tráfico que coincide con los criterios especificados incluyen permitir y denegar.
Cuando un firewall de la serie SRX recibe un paquete que coincide con las especificaciones, realiza la acción especificada en la política.
Control del tráfico en la arquitectura SD-WAN
En una SD-WAN, el firewall de la serie SRX se puede configurar en una ubicación radial. Puede permitir o denegar el tráfico basado en enrutamiento y reenvío virtual (VRF) que entra en el dispositivo desde túneles superpuestos mediante la aplicación de directivas de firewall. Puede configurar el firewall de la serie SRX para permitir o denegar el tráfico que se envía a una instancia de VRF. La configuración del dispositivo en la ubicación del concentrador le permite controlar todo el tráfico en una ubicación y proporcionar acceso a servicios de red específicos mediante la aplicación de directivas de firewall.
Junos OS versión 19.1R1 admite la implementación de SDWAN basada en MPLS en dispositivos SRX1500, SRX4100, SRX4200 SRX4600.
A partir de Junos OS versión 22.2R1, admitimos la implementación de SDWAN basada en MPLS para dispositivos SRX5400, SRX5600 y SRX5800.
Cada política de seguridad consta de:
-
Un nombre único para la directiva.
-
A
from-zoney ato-zone, por ejemplo:user@host# set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone. -
Un conjunto de criterios de coincidencia que definen las condiciones que deben cumplirse para aplicar la regla de directiva. Los criterios de coincidencia se basan en una dirección IP de origen, una dirección IP de destino y aplicaciones. El firewall de identidad de usuario proporciona una mayor granularidad al incluir una tupla adicional, como source-identity, como parte de la declaración de política.
-
Un conjunto de acciones que se deben realizar en caso de coincidencia: permitir o denegar.
-
Un conjunto de grupos VRF de origen.
-
Un conjunto de grupos VRF de destino.
Las opciones de configuración para las instancias de VRF de origen y destino son opcionales. Puede configurar el VRF de origen o un VRF de destino, pero se recomienda no configurar tanto el VRF de origen como el VRF de destino. La razón principal para configurar el VRF de origen o el VRF de destino es diferenciar las diferentes etiquetas MPLS que pasan por una interfaz de red física compartida.
En la tabla 1 se muestra cuándo configurar el VRF de origen y el VRF de destino.
| Tipo de red desde el origen hasta el destino |
Se recomienda configurar el VRF de origen |
Se recomienda configurar el VRF de destino |
Política de VRF diferenciada por |
|---|---|---|---|
| Red IP a red IP |
No |
No |
Zonas |
| Red IP a red MPLS |
No |
Sí |
VRF de destino |
| Red MPLS a red IP |
Sí |
No |
Fuente VRF |
| Red MPLS a red MPLS sin NAT de destino |
Sí |
No |
Fuente VRF |
| Red MPLS a red MPLS con NAT de destino |
Sí |
Sí |
VRF de origen y VRF de destino |
Descripción de las reglas de la política de seguridad
Una política de seguridad aplica reglas de seguridad al tráfico de tránsito dentro de un contexto (from-zone a to-zone). Cada política se identifica de forma única por su nombre. El tráfico se clasifica haciendo coincidir sus zonas de origen y destino, las direcciones de origen y destino, la aplicación, el VRF de origen y el VRF de destino que lleva el tráfico en sus encabezados de protocolo con la base de datos de políticas en el plano de datos.
Cada política está asociada a las siguientes características:
Una zona de origen
Una zona de destino
Uno o varios nombres de direcciones de origen o nombres de conjuntos de direcciones
Uno o varios nombres de direcciones de destino o nombres de conjuntos de direcciones
Uno o varios nombres de aplicación o nombres de conjuntos de aplicaciones
Una o varias instancias de VRF de origen, por ejemplo, la instancia de enrutamiento VRF asociada a un paquete entrante
Una o varias instancias de VRF de destino en las que se encuentra la ruta del próximo salto o dirección de destino de MPLS
Estas características se denominan criterios de coincidencia. Cada política también tiene acciones asociadas: permitir, denegar y rechazar. Debe especificar los argumentos de condición de coincidencia al configurar una directiva, dirección de origen, dirección de destino, nombre de aplicación, VRF de origen y VRF de destino.
Puede configurar el VRF de origen o el VRF de destino, pero no se recomienda configurar el VRF de origen y el VRF de destino. La razón principal para configurar el VRF de origen y el VR de destino es diferenciar las diferentes etiquetas MPLS que pasan por una interfaz de red física compartida. Si el VRF de origen y el VRF de destino no están configurados, el dispositivo determina el VRF de origen y destino como cualquiera.
Ejemplo: configuración de una política de seguridad para permitir o denegar tráfico basado en VRF desde la red MPLS a una red IP
En este ejemplo se muestra cómo configurar una directiva de seguridad para permitir el tráfico y denegar el tráfico mediante el VRF de origen.
Requisitos
-
Comprender cómo crear una zona de seguridad. ConsulteEjemplo: Creación de zonas de seguridad.
-
Firewall serie SRX compatible con Junos OS versión 15.1X49-D160 o posterior. Este ejemplo de configuración se ha probado para Junos OS versión 15.1X49-D160.
-
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Visión general
En Junos OS, las políticas de seguridad imponen reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del dispositivo y las acciones que deben tener lugar en el tráfico a medida que pasa por el dispositivo. En la Figura 1, se despliega un firewall de la serie SRX en una SD-WAN para controlar el tráfico mediante el VRF de origen. El tráfico de la red MPLS se envía al sitio A y al sitio B de la red IP. Según el requisito de red, se debe denegar el tráfico del sitio A y solo se debe permitir el tráfico del sitio B.
En este ejemplo de configuración, se muestra cómo:
Denegar tráfico a VRF-a (de GRE_Zone-GE_Zone a GRE_Zone)
Permitir tráfico a VRF-b (de GRE_Zone-GE_Zone a GRE_Zone)
En este ejemplo, se configura el VRF de origen. Se recomienda configurar el VRF de origen cuando la red de destino apunte a la red MPLS.
IP
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set routing-instances VRF-a instance-type vrf set routing-instances VRF-a route-distinguisher 10:200 set routing-instances VRF-a vrf-target target:100:100 set routing-instances VRF-a vrf-table-label set routing-instances VRF-b instance-type vrf set routing-instances VRF-b route-distinguisher 20:200 set routing-instances VRF-b vrf-target target:200:100 set routing-instances VRF-b vrf-table-label set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-l3vpn-vrf-group VRF-a set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy then deny set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-l3vpn-vrf-group VRF-b set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Las VPN de capa 3 requieren una tabla VRF para distribuir rutas dentro de las redes. Cree una instancia de VRF y especifique el valor vrf.
[edit routing-instances] user@host# set VRF-a instance-type vrf user@host# set VRF-b instance-type vrf
Asigne un diferenciador de ruta a la instancia de enrutamiento.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200
Crear una política comunitaria para importar o exportar todas las rutas.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100
Asigne una sola etiqueta VPN para todas las rutas del VRF.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-b vrf-table-label
Cree una política de seguridad para denegar el tráfico de VRF-a.
[edit security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group VRF-a user@host# set policy vrf-a_policy then deny
Cree una política de seguridad para permitir el tráfico VRF-b.
[edit security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match source-l3vpn-vrf-group VRF-b user@host# set policy vrf-b_policy then permit
Nota:Si no se configura ningún grupo VRF de destino, el dispositivo considera que el tráfico pasa de VRF-a a any-vrf.
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security policies comandos y show routing-instances . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security policies
from-zone GRE_Zone-GE_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group VRF-a;
}
then {
deny;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group VRF-b;
}
then {
permit;
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Comprobación de la configuración de directivas
Propósito
Verifique la información sobre las políticas de seguridad.
Acción
Desde el modo operativo, ingrese el show security policies comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.
user@root> show security policies
Default policy: permit-all
From zone: GRE_Zone-GE_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source vrf: VRF-a
destination vrf: any
Source addresses: any
Destination addresses: any
Applications: any
Action: deny
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source vrf: VRF-b
destination vrf: any
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Ejemplo: configuración de una política de seguridad para permitir el tráfico basado en VRF desde una red IP a una red MPLS
En este ejemplo se muestra cómo configurar una política de seguridad para permitir el tráfico mediante el VRF de destino.
Requisitos
-
Comprender cómo crear una zona de seguridad. Consulte Ejemplo: Creación de zonas de seguridad.
-
Firewall serie SRX compatible con Junos OS versión 15.1X49-D160 o posterior. Este ejemplo de configuración se ha probado para Junos OS versión 15.1X49-D160.
-
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Visión general
En Junos OS, las políticas de seguridad imponen reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del dispositivo y las acciones que deben tener lugar en el tráfico a medida que pasa por el dispositivo.
En este ejemplo, se implementa un firewall de la serie SRX en una arquitectura SD-WAN para controlar el tráfico mediante el VRF de destino. Debe configurar políticas para controlar el tráfico. La directiva predeterminada no admite opciones de VRF. El tráfico de la red IP, es decir, el sitio A y el sitio B, se envía a la red MPLS. Al configurar las directivas, puede permitir tanto el tráfico desde el sitio A como el sitio B a la red MPLS.
En la figura 2, el VRF de origen no está configurado, ya que la interfaz LAN no pertenece a una red MPLS. Se recomienda configurar el VRF de destino cuando la red de destino apunte a la red MPLS.
MPLS
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set routing-instances VRF-a’ instance-type vrf set routing-instances VRF-a’ route-distinguisher 10:200 set routing-instances VRF-a’ vrf-target target:100:100 set routing-instances VRF-a’ vrf-table-label set routing-instances VRF-b’ instance-type vrf set routing-instances VRF-b’ route-distinguisher 20:200 set routing-instances VRF-b’ vrf-target target:200:100 set routing-instances VRF-b’ vrf-table-label set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy then permit set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar una política que permita el tráfico desde la red IP a la red MPLS mediante el VRF de destino:
Las VPN de capa 3 requieren una tabla VRF para distribuir rutas dentro de las redes. Cree una instancia de VRF y especifique el valor vrf.
[edit routing-instances] user@host# set VRF-a’ instance-type vrf user@host# set VRF-b’ instance-type vrf
Asigne un diferenciador de ruta a la instancia de enrutamiento.
[edit routing-instances] user@host# set VRF-a’ route-distinguisher 10:200 user@host# set VRF-b’ route-distinguisher 20:200
Crear una política comunitaria para importar o exportar todas las rutas.
[edit routing-instances] user@host# set VRF-a’ vrf-target target:100:100 user@host# set VRF-b’ vrf-target target:200:100
Asigne una sola etiqueta VPN para todas las rutas del VRF.
[edit routing-instances] user@host# set VRF-a’ vrf-table-label user@host# set VRF-b’ vrf-table-label
Cree una política de seguridad para permitir el tráfico VRF-a' desde la red IP.
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ user@host# set policy vrf-a_policy then permit
Cree una política de seguridad para permitir el tráfico VRF-b' desde la red IP.
[edit security policies from-zone LAN-b_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ user@host# set policy vrf-b_policy then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security policies comandos y show routing-instances . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security policies
from-zone LAN-a_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group "VRF-a'";
}
then {
permit;
}
}
}
from-zone LAN-b_Zone to-zone GRE_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group "VRF-b'";
}
then {
permit;
}
}
}
[edit]
user@host# show routing-instances
VRF-a’ {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b’ {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Comprobación de la configuración de directivas
Propósito
Compruebe que la política de seguridad permite el tráfico basado en VRF desde la red IP a la red MPLS.
Acción
Desde el modo operativo, ingrese el show security policies comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.
user@host> show security policies
From zone: LAN-a_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source vrf: any
destination vrf: VRF-a'
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: LAN-b_Zone, To zone: GRE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1
Source vrf: any
destination vrf: VRF-b'
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Ejemplo: configuración de una política de seguridad para permitir el tráfico basado en VRF desde una red MPLS a una red MPLS a través de GRE sin NAT
En este ejemplo se muestra cómo configurar una directiva de seguridad para permitir el tráfico mediante el VRF de origen.
Requisitos
-
Comprender cómo crear una zona de seguridad. Consulte Ejemplo: Creación de zonas de seguridad.
-
Firewall serie SRX compatible con Junos OS versión 15.1X49-D160 o posterior. Este ejemplo de configuración se ha probado para Junos OS versión 15.1X49-D160.
-
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Visión general
En Junos OS, las políticas de seguridad imponen reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del dispositivo y las acciones que deben tener lugar en el tráfico a medida que pasa por el dispositivo. En la Figura 3, se implementa un firewall de la serie SRX en una arquitectura SD-WAN para controlar el tráfico mediante el VRF de origen. Debe configurar políticas para controlar el tráfico. Puede permitir el tráfico de una red MPLS a otra red MPLS mediante la configuración de políticas.
Se recomienda configurar tanto el VRF de origen como el VRF de destino cuando el origen y el destino provengan de la red MPLS.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set routing-instances VRF-a instance-type vrf set routing-instances VRF-a route-distinguisher 10:200 set routing-instances VRF-a vrf-target target:100:100 set routing-instances VRF-a vrf-table-label set routing-instances VRF-b instance-type vrf set routing-instances VRF-b route-distinguisher 20:200 set routing-instances VRF-b vrf-target target:200:100 set routing-instances VRF-b vrf-table-label set routing-instances VRF-a’ instance-type vrf set routing-instances VRF-a’ route-distinguisher 30:200 set routing-instances VRF-a’ vrf-target target:300:100 set routing-instances VRF-a’ vrf-table-label set routing-instances VRF-b’ instance-type vrf set routing-instances VRF-b’ route-distinguisher 40:200 set routing-instances VRF-b’ vrf-target target:400:100 set routing-instances VRF-b’ vrf-table-label set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-l3vpn-vrf-group VRF-a set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy then permit set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-l3vpn-vrf-group VRF-b set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar una política que permita el tráfico desde una red MPLS a una red MPLS mediante VRF de origen:
Las VPN de capa 3 requieren una tabla VRF para distribuir rutas dentro de las redes. Cree una instancia de VRF y especifique el valor vrf.
[edit routing-instances] user@host# set VRF-a instance-type vrf user@host# set VRF-b instance-type vrf user@host# set VRF-a’ instance-type vrf user@host# set VRF-b’ instance-type vrf
Asigne un diferenciador de ruta a la instancia de enrutamiento.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200 user@host# set VRF-a’ route-distinguisher 30:200 user@host# set VRF-b’ route-distinguisher 40:200
Crear una política comunitaria para importar o exportar todas las rutas.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100 user@host# set VRF-a’ vrf-target target:300:100 user@host# set VRF-b’ vrf-target target:400:100
Asigne una sola etiqueta VPN para todas las rutas del VRF.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-a’ vrf-table-label user@host# set VRF-b vrf-table-label user@host# set VRF-b’ vrf-table-label
Cree una política de seguridad para permitir el tráfico VRF-a desde la red MPLS.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group VRF-a user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ user@host# set policy vrf-a_policy then permit
Cree una política de seguridad para permitir el tráfico VRF-b desde la red MPLS.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match source-l3vpn-vrf-group VRF-b user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ user@host# set policy vrf-b_policy then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security policies comandos y show routing-instances . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security policies
from-zone GRE-1_Zone to-zone GRE-2_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group VRF-a;
destination-l3vpn-vrf-group "VRF-a'";
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-grou VRF-b;
destination-l3vpn-vrf-group "VRF-b'";
}
then {
permit;
}
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
VRF-a’ {
instance-type vrf;
route-distinguisher 30:200;
vrf-target target:300:100;
vrf-table-label;
}
VRF-b’ {
instance-type vrf;
route-distinguisher 40:200;
vrf-target target:400:100;
vrf-table-label;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Comprobación de la configuración de directivas
Propósito
Compruebe que la política de seguridad permite el tráfico basado en VRF desde la red IP a la red MPLS.
Acción
Desde el modo operativo, ingrese el show security policies comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.
user@host> show security policies
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-a_policy, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1
Source vrf: VRF-a
destination vrf: VRF-a'
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Policy: vrf-b_policy, State: enabled, Index: 8, Scope Policy: 0, Sequence number: 2
Source vrf: VRF-b
destination vrf: VRF-b'
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Ejemplo: configuración de políticas de seguridad mediante instancias de enrutamiento VRF en una red MPLS
En este ejemplo se muestra cómo configurar políticas de seguridad mediante instancias de enrutamiento VRF.
Requisitos
Firewall serie SRX compatible con Junos OS versión 15.1X49-D160 o posterior. Este ejemplo de configuración se ha probado para Junos OS versión 15.1X49-D160.
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Comprender cómo crear una zona de seguridad. Consulte Ejemplo: Creación de zonas de seguridad.
Visión general
En este ejemplo, se crean políticas de seguridad mediante instancias de enrutamiento y reenvío virtual (VRF) para aislar el tráfico que atraviesa las siguientes redes:
Un MPLS a una red IP privada
Una IP global a una red MPLS
Red MPLS a red IP privada
Procedimiento
Procedimiento paso a paso
Las VPN de capa 3 requieren una tabla VRF para distribuir rutas dentro de las redes. Cree una instancia de VRF y especifique el valor vrf.
[edit routing-instances] user@host#set VRF-a instance-type vrf user@host#set VRF-b instance-type vrf
Asigne un diferenciador de ruta a la instancia de enrutamiento.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200
Crear una política comunitaria para importar o exportar todas las rutas.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100
Asigne una sola etiqueta VPN para todas las rutas del VRF.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-b vrf-table-label
Cree una política de seguridad para permitir el tráfico de VRF-a destinado a LAN A.
[edit security policies from-zone GRE_Zone to-zone LAN-a_Zone] set policy vrf-a_policy match source-address any set policy vrf-a_policy match destination-address any set policy vrf-a_policy match application any set policy vrf-a_policy match source-l3vpn-vrf-group VRF-a set policy vrf-a_policy then permit
Cree una política de seguridad para permitir el tráfico desde VRF-b destinado a LAN B.
[edit security policies from-zone GRE_Zone to-zone LAN-b_Zone] set policy vrf-b_policy match source-address any set policy vrf-b_policy match destination-address any set policy vrf-b_policy match application any set policy vrf-b_policy match source-l3vpn-vrf-group VRF-b set policy vrf-b_policy then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security policies comandos y show routing-instances . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
user@host# show security policies
from-zone GRE_Zone to-zone LAN-a_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone GRE_Zone to-zone LAN-b_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group VRF-b;
}
then {
permit;
}
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Red IP global a una red MPLS
Procedimiento
Procedimiento paso a paso
Las VPN de capa 3 requieren una tabla VRF para distribuir rutas dentro de las redes. Cree una instancia de VRF y especifique el valor vrf.
[edit routing-instances] user@host# set VRF-a instance-type vrf user@host# set VRF-b instance-type vrf user@host# set VRF-a’ instance-type vrf user@host# set VRF-b’ instance-type vrf
Asigne un diferenciador de ruta a la instancia de enrutamiento.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200 user@host# set VRF-a’ route-distinguisher 30:200 user@host# set VRF-b’ route-distinguisher 40:200
Crear una política comunitaria para importar o exportar todas las rutas.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100 user@host# set VRF-a’ vrf-target target:300:100 user@host# set VRF-b’ vrf-target target:400:100
Asigne una sola etiqueta VPN para todas las rutas del VRF.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-a’ vrf-table-label user@host# set VRF-b vrf-table-label user@host# set VRF-b’ vrf-table-label
Cree el grupo NAT de destino.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-a_p address 20.0.0.4/24 user@host# set pool vrf-b_p routing-instance VRF-b user@host# set pool vrf-b_p address 30.0.0.4/24
Cree un conjunto de reglas NAT de destino.
[edit security nat destination] user@host# set rule-set rs from interface ge-0/0/0.0 user@host# set rule-set rs rule vrf-a_r match destination-address 40.0.0.4/24 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p
Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo.
[edit security nat destination] user@host# set rule-set rs from interface ge-0/0/1.0 user@host# set rule-set rs rule vrf-b_r match destination-address 50.0.0.4/24 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Configure una política de seguridad que permita el tráfico desde la zona que no es de confianza al servidor de la zona de confianza.
[edit security policies from-zone internet to-zone trust] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ user@host# set policy vrf-a_policy then permit user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ user@host# set policy vrf-b_policy then permit
Resultados
Desde el modo de configuración, escriba los show security policiescomandos , show routing-instancesy los comandos para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
user@host# show security policies
from-zone internet to-zone trust {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group VRF-a;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group VRF-b;
}
then {
permit;
}
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
VRF-a’ {
instance-type vrf;
route-distinguisher 30:200;
vrf-target target:300:100;
vrf-table-label;
}
VRF-b’ {
instance-type vrf;
route-distinguisher 40:200;
vrf-target target:400:100;
vrf-table-label;
}
user@host# show security nat destination
pool vrf-a_p {
routing-instance {
VRF-a’;
}
address 20.0.0.4/24;
}
pool vrf-b_p {
routing-instance {
VRF-b’;
}
address 30.0.0.4/24;
}
rule-set rs {
from interface [ ge-0/0/0.0 ge-0/0/1.0 ];
rule vrf-a_r {
match {
destination-address 40.0.0.4/24;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 50.0.0.4/24;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Comprobación de la regla NAT de destino
Propósito
Muestra información sobre todas las reglas NAT de destino.
Acción
Desde el modo operativo, ingrese el show security nat destination rule all comando.
user@host> show security nat destination rule all
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 6/0
Destination NAT rule: rule1 Rule-set: vrf-b_r
Rule-Id : 2
Rule position : 2
From routing instance : vrf-b_r
Destination addresses : 50.0.0.4 - 50.0.0.4
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
[... Salida truncada...]
Significado
El comando muestra la regla NAT de destino. Vea el campo Aciertos de traducción para comprobar si hay tráfico que coincida con la regla de destino.
Verificación de la sesión de flujo
Propósito
Muestra información sobre todas las sesiones de seguridad actualmente activas en el dispositivo.
Acción
Desde el modo operativo, ingrese el show security flow session comando.
user@host>show security flow session Flow Sessions on FPC0 PIC1: Session ID: 10115977, Policy name: SG/4, State: Active, Timeout: 62, Valid In: 203.0.113.11/1000 203.0.113.1/2000;udp, Conn Tag: 0x0, If: reth1.1, VRF: VRF-a, Pkts: 1, Bytes: 86, CP Session ID: 10320276 Out: 203.0.113.1/2000 203.0.113.11/1000;udp, Conn Tag: 0x0, If: reth0.0, VRF: VRF-b, Pkts: 0, Bytes: 0, CP Session ID: 10320276
Significado
El comando muestra detalles sobre todas las sesiones activas. Vea el campo VRF para comprobar los detalles de la instancia de enrutamiento VRF en el flujo.