EN ESTA PÁGINA
Configuración de directivas de seguridad mediante VRF Group
Visión general
En la red SD-WAN, cuando diferentes tráficos basados en VRF entran en el dispositivo desde el mismo túnel, como GRE o GE, el dispositivo aplica políticas basadas en la instancia de VRF dada. El dispositivo permite o deniega el tráfico destinado a una instancia de VRF determinada para controlar el tráfico basado en VRF.
Actualmente, hay 5 condiciones coincidentes para cada póliza:
Desde la zona
A la zona
Dirección de origen
Dirección de destino
Aplicaciones
La figura 1 muestra las condiciones de coincidencia en una política.
de coincidencia
Con las condiciones actuales de coincidencia de directivas, no puede permitir VRF-B1 o VRF-B2 y denegar VRF-A1 o VRF-A2. Para ello, se agregan condiciones de coincidencia adicionales a la política en la red SD-WAN mediante el grupo VRF.
Cuando el flujo recibe la información de los grupos VRF de origen y destino, reenvía la información a la API de búsqueda de políticas junto con la información de tupla clave de directiva para cumplir las condiciones de coincidencia.
La figura 2 muestra los grupos VRF agregados como condición de coincidencia en una política.
VRF
Si la información del grupo VRF de origen y destino no se especifica en una directiva, estos grupos coinciden con any el grupo VRF.
Ejemplo: configuración de una política de seguridad para permitir o denegar tráfico basado en VRF desde la red MPLS a una red IP mediante el grupo VRF de origen
En este ejemplo se muestra cómo configurar una directiva de seguridad para permitir el tráfico y denegar el tráfico mediante el grupo VRF de origen.
Requisitos
Comprender cómo crear una zona de seguridad. ConsulteEjemplo: Creación de zonas de seguridad .
Firewall serie SRX compatible con Junos OS versión 15.1X49-D170 o posterior. Este ejemplo de configuración se ha probado para Junos OS versión 15.1X49-D170.
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Visión general
En Junos OS, las políticas de seguridad imponen reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del dispositivo y las acciones que deben tener lugar en el tráfico a medida que pasa por el dispositivo. En la Figura 3, se despliega un firewall de la serie SRX en una SD-WAN para controlar el tráfico mediante el grupo VRF de origen. El tráfico de la red GRE MPLS se envía al sitio A y al sitio B de la red IP. Según el requisito de red, se debe denegar el tráfico del sitio A y solo se debe permitir el tráfico del sitio B.
MPLS
En este ejemplo de configuración, se muestra cómo:
Denegar tráfico desde vpn-A (desde GRE MPLS)
Permitir tráfico desde vpn-B (desde GRE MPLS)
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match application any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy then deny set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match application any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Creación de vpn-A de grupo VRF con instancias VRF A1 y A2
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2
Creación de vpn-B de grupo VRF con instancias VRF B1 y B2
[edit security] user@host# set l3vpn vrf-group vpn-B vrf VRF-B1 user@host# set l3vpn vrf-group vpn-B vrf VRF-B2
Cree una política de seguridad para denegar el tráfico vpn-A.
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then deny
Cree una política de seguridad para permitir el tráfico vpn-B.
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match source-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security policies comandos y show routing-instances . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security policies
from-zone GRE_Zone to-zone GE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group vpn-A;
}
then {
deny;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Comprobación de la configuración de directivas
Propósito
Verifique la información sobre las políticas de seguridad.
Acción
Desde el modo operativo, ingrese el show security policies comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.
user@root> show security policies
Default policy: permit-all
From zone: GRE_Zone, To zone: GE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: vpn-A
destination L3VPN vrf-group: any
Source addresses: any
Destination addresses: any
Applications: any
Action: deny
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: vpn-B
destination L3VPN vrf-group: any
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Ejemplo: configuración de una política de seguridad para permitir o denegar tráfico basado en VRF desde una red IP a una red MPLS mediante el grupo VRF de destino
En este ejemplo se muestra cómo configurar una directiva de seguridad para permitir el tráfico y denegar el tráfico mediante el grupo VRF de origen.
Requisitos
Comprender cómo crear una zona de seguridad. Consulte Ejemplo: Creación de zonas de seguridad.
Firewall serie SRX compatible con Junos OS versión 15.1X49-D170 o posterior. Este ejemplo de configuración se ha probado para Junos OS versión 15.1X49-D170.
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Visión general
En Junos OS, las políticas de seguridad imponen reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del dispositivo y las acciones que deben tener lugar en el tráfico a medida que pasa por el dispositivo. En la Figura 4, se despliega un firewall de la serie SRX en una SD-WAN para controlar el tráfico mediante el grupo VRF de destino. El tráfico de la red IP se envía al sitio A y al sitio B de la red GRE MPLS. Según el requisito de red, se debe denegar el tráfico del sitio A y solo se debe permitir el tráfico del sitio B.
En este ejemplo de configuración, se muestra cómo:
MPLS
Denegar tráfico a vpn-A (a GRE MPLS)
Permitir tráfico a vpn-B (a GRE MPLS)
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy then deny set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy then permit
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Creación de vpn-A de grupo VRF con instancias VRF A1 y A2
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2
Creación de vpn-B de grupo VRF con instancias VRF B1 y B2
[edit security] user@host# set l3vpn vrf-group vpn-B vrf VRF-B1 user@host# set l3vpn vrf-group vpn-B vrf VRF-B2
Cree una política de seguridad para denegar el tráfico vpn-A.
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then deny
Cree una política de seguridad para permitir el tráfico vpn-B.
[edit security policies from-zone LAN-b_Zone e to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show security policies comandos y show routing-instances . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security policies
from-zone LAN-a_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A;
}
then {
deny;
}
}
}
from-zone LAN-b_Zone to-zone GRE_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Comprobación de la configuración de directivas
Propósito
Verifique la información sobre las políticas de seguridad.
Acción
Desde el modo operativo, ingrese el show security policies comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.
user@root> show security policies
Default policy: permit-all
From zone: LAN-a_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN vrf-group: vpn-A
Source addresses: any
Destination addresses: any
Applications: any
Action: deny
From zone: LAN-b_Zone, To zone: GRE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN vrf-group: vpn-B
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Administración de VPN superpuestas mediante el grupo VRF
Cuando hay dos sesiones en una red L3VPN, para evitar conflictos entre las dos sesiones, el ID de grupo VRF se agrega a la clave de sesión como una clave adicional para diferenciar las sesiones.
En la figura 5 , la red1 y la red3 se agrupan en el grupo A del VRF en la red L3VPN, y la red2 y la red4 se agrupan en el grupo B del VRF. Las sesiones utilizan VRF grupo-A y VRF-grupo-B como diferenciadores.
VRF
Red L3VPN 1 y 3 sesiones |
Red L3VPN 2 y 4 sesiones |
||
|---|---|---|---|
(Adelante) |
(Reverso) |
(Adelante) |
(Reverso) |
5-tupla: x/y/sp/dp/p |
5-tupla: y/x/dp/sp/p |
5-tupla: x/y/sp/dp/p |
5-tupla: y/x/dp/sp/p |
Token: GRE1(zone_id+VR_id) + VRF group-ID (A) |
Token: GRE1 (zone_id + VR_id) + ID de grupo VRF (B) |
Token: GRE1(zone_id+VR_id) + VRF group-ID (A') |
Token: GRE1(zone_id+VR_id) + VRF group-ID (B') |