Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Seguridad avanzada y configuraciones de interconexión del centro de datos

Utilice estos ejemplos para configurar la seguridad avanzada y la DCI en su arquitectura de centro de datos spine colapsada.

Configurar la seguridad avanzada para el tráfico entre inquilinos

La serie SRX es un firewall de última generación que puede proporcionar servicios de seguridad avanzados para el tráfico entre inquilinos. Utilice esta sección para enrutar el tráfico entre inquilinos entre JNPR_1 y JNPR_2 en DC1 a través del clúster de chasis SRX.

Requisitos

Visión general

Los dispositivos de la serie SRX en su clúster de chasis funcionan como un solo dispositivo para proporcionar redundancia de dispositivo, interfaz y nivel de servicio. Utilice esta sección para separar el clúster de chasis en zonas y configurar las políticas de enrutamiento para que el tráfico correcto se enruta a través de los dispositivos de seguridad.

Topología

Ambos conmutadores spine están conectados físicamente a ambos nodos SRX, como se muestra en la figura 1.

Figura 1: Topología física del clúster Physical Topology of SRX Cluster SRX
Nota:

Este ejemplo se basa en dispositivos SRX345. Una vez colocados en un clúster de AD, las interfaces del nodo 1 se asocian a la ranura FPC 5. Esto significa que la interfaz ge-0/0/11 que se muestra para el nodo 1 está realmente configurada como ge-5-0/11 una vez que se forma el clúster. El número FPC para el nodo 1 de un clúster de AD puede variar según el tipo de modelo SRX.

Reth1 es una interfaz lógica en el clúster SRX. Está activo en uno de los nodos del clúster SRX. Si se produce un error en el nodo principal o el vínculo de interconexión entre los dispositivos SRX y los conmutadores spine, Reth1 realizará una conmutación por error al nodo secundario. La Figura 2 muestra las interfaces lógicas entre los dispositivos SRX y los conmutadores spine.

Figura 2: Topología superpuesta del clúster Overlay Topology of SRX Cluster SRX

Cada conmutador spine establece emparejamientos ebGP independientes con el clúster SRX en cada instancia de enrutamiento o inquilino, como se muestra en la figura 3. Por ejemplo, spine 1 tiene dos emparejamientos con el clúster SRX, uno en cada instancia de enrutamiento: JNPR_1 y JNPR_2. Reth1.991 se compara con la instancia de enrutamiento JNPR_1 en los conmutadores spine y pertenece a la zona de seguridad JNPR_1. Reth1.992 se compara con la instancia de enrutamiento JNPR_2 en los conmutadores spine y pertenece a la zona de seguridad JNPR_2.

El dispositivo SRX anuncia una ruta de resumen que cubre todos los prefijos (por ejemplo, 192.168.0.0/16). Los conmutadores spine anuncian subredes específicas en cada instancia de enrutamiento.

Figura 3: Topología del clúster SRX con emparejamiento Topology of SRX Cluster with EBGP Peering de EBGP

Configurar las interfaces

Configurar el dispositivo SRX

Procedimiento paso a paso
  1. Configure el grupo para las interfaces lógicas en el dispositivo SRX.

  2. Configure las interfaces lógicas. Reth1 es una interfaz de capa 3 etiquetada en el clúster SRX. Reth1.991 es par con la JNPR_1 instancia de enrutamiento en los conmutadores spine. Reth1.992 es par con la JNPR_2 instancia de enrutamiento en los conmutadores spine.

  3. Coloque las interfaces lógicas en zonas de seguridad independientes. Reth1.991 pertenece a la zona de seguridad JNPR_1 y Reth1.992 pertenece a la zona de seguridad JNPR_2.

  4. Compruebe el estado del clúster de chasis.

Configurar spine 1

Procedimiento paso a paso
  1. Configure las interfaces interconectadas del dispositivo SRX en spine 1.

  2. Configure interfaces IRB.

  3. Configure las VLAN.

  4. Configure VNIs como parte del dominio EVPN MP-BGP.

Configurar spine 2

Procedimiento paso a paso
  1. Configure las interfaces interconectadas del dispositivo SRX en spine 2.

  2. Configure interfaces IRB.

  3. Configure las VLAN.

  4. Configure VNIs como parte del dominio EVPN MP-BGP.

Configurar EBGP

Configurar el dispositivo SRX

Procedimiento paso a paso
  1. Configure la interconexión del EBGP.

  2. Configure las opciones de enrutamiento.

  3. Configure las opciones de política.

Configurar spine 1

Procedimiento paso a paso
  1. Configure los emparejamientos de EBGP en la instancia de enrutamiento JNPR_1.

  2. Configure los emparejamientos de EBGP en la instancia de enrutamiento JNPR_2.

  3. Configure las políticas de importación y exportación para la interconexión con el dispositivo SRX.

Configurar spine 2

Procedimiento paso a paso
  1. Configure los emparejamientos de EBGP en la instancia de enrutamiento JNPR_1.

  2. Configure los emparejamientos de EBGP en la instancia de enrutamiento JNPR_2.

  3. Configure las políticas de importación y exportación para la interconexión con el dispositivo SRX.

Configurar las políticas de seguridad del dispositivo SRX

Procedimiento paso a paso
  1. Configure las políticas de seguridad en la zona 1 para JNPR_1.

  2. Configure las políticas de seguridad de la zona 1 para JNPR_2.

Verificar el BGP en el clúster de chasis SRX

Procedimiento paso a paso
  1. Asegúrese de que se establecen todas las sesiones de emparejamiento del BGP con los conmutadores spine.

  2. Compruebe que el dispositivo SRX recibió las rutas del BGP del inquilino JNPR_1.

  3. Compruebe que el dispositivo SRX recibió las rutas del BGP del inquilino JNPR_2.

  4. Compruebe que el clúster de chasis SRX anuncia una ruta de resumen para los dispositivos spine.

  5. Compruebe el tráfico entre inquilinos a través del clúster de chasis SRX.

    En este ejemplo, Endpoint12 forma parte de la VLAN 212 y el inquilino JNPR_2. El punto 12 está haciendo ping al Endpoint2, que forma parte de la VLAN 201 y del inquilino JNPR_1, como se muestra en la figura 4. Dado que se trata de tráfico entre inquilinos, este tráfico pasa por el miembro activo del clúster de chasis SRX. SRX-Node0 es el miembro activo del clúster de chasis SRX y SRX-Node1 es el miembro pasivo.

    Figura 4: Tráfico entre inquilinos a través del clúster Inter-Tenant Traffic Through the SRX Cluster SRX

    Confirme que la tabla de flujos del dispositivo SRX muestra este tráfico que atraviesa el clúster de chasis SRX.

    Ha configurado la seguridad avanzada para su centro de datos y ha confirmado que el tráfico entre inquilinos se enruta a través del clúster de chasis SRX.

Configurar las interconexiones del centro de datos (DCI)

Visión general

Ahora que configuró una arquitectura spine colapsada para ambos centros de datos y agregó seguridad avanzada a DC1, es hora de conectar DC1 y DC2 mediante la interconexión del centro de datos (DCI).

Topología

En este ejemplo, no es necesario extender la capa 2 entre los centros de datos. La comunicación entre centros de datos se enruta a través del clúster de chasis SRX en DC1, como se muestra en la figura 5. Los conmutadores spine tienen una instancia de enrutamiento WAN y están conectados a la WAN entre los centros de datos. Los conmutadores spine entregan las rutas de capa 3 al enrutador WAN (no se muestra en esta figura).

El clúster de chasis SRX anuncia una subred 192.168.0.0/16. Los conmutadores spine DC2 Spine 3 y Spine 4 anuncian las dos subredes 192.168.221.0/24 y 192.168.222.0/24.

Figura 5: Topología de interconexión del centro de datos Data Center Interconnect Topology

Cada dispositivo SRX está configurado con tres zonas que corresponden con las instancias de enrutamiento JNPR_1, JNPR_2 y WAN. Todo el tráfico entre inquilinos entre JNPR_1 y JNPR_2 se enruta a través del clúster de chasis SRX. Todo el tráfico entre DC1 y DC2 se enruta a través del clúster de chasis SRX mediante la instancia de enrutamiento WAN. Cada dispositivo SRX tiene emparejamiento EBGP individual con Spine 1 y Spine 2 en cada una de las instancias de enrutamiento. La Figura 6 muestra el emparejamiento del EBGP entre los conmutadores spine y el clúster de chasis SRX en DC1.

Figura 6: Topología de emparejamiento EBGP del clúster de chasis SRX SRX Chassis Cluster EBGP Peering Topology

Configuración

Configurar el dispositivo SRX

Procedimiento paso a paso

Cada dispositivo SRX debe estar dividido en tres zonas que correspondan a las tres instancias de enrutamiento: JNPR_1, JNPR_2 y WAN. Ya creó la zona JNPR_1 y la zona JNPR_2 en Configurar seguridad avanzada para tráfico entre inquilinos.

  1. Agregue una nueva sub interfaz en Reth1 para la interconexión WAN.

  2. Configure la zona de seguridad WAN.

  3. Configure el EBGP para la zona de seguridad WAN.

  4. Configure las políticas de seguridad. Para simplificar, las políticas de seguridad de este ejemplo son abiertas. En la configuración, modifique las políticas de seguridad según sea necesario.

Configurar conmutadores spine

Procedimiento paso a paso
  1. Configure las instancias de enrutamiento y la interfaz IRB en spine 1.

  2. Configure las instancias de enrutamiento en spine 2.

  3. Configure el EBGP en spine 3.

  4. Configure el EBGP en spine 4.

Verificar rutas de DCI

Procedimiento paso a paso
  1. Compruebe las rutas en el clúster de chasis SRX. El SRX debe aprender todas las rutas específicas para las diferentes subredes.

  2. Verifique las rutas en Spine 1 y Spine 2. El clúster SRX anuncia la ruta de resumen 192.168.0.0/16 a los dispositivos spine en todos los VRF. Todo el tráfico entre VRF y el tráfico DCI pasa por el clúster de chasis SRX.

  3. Verifique las rutas en Spine 3 y Spine 4. Los dispositivos spine DC2 reciben la ruta agregada de los VRF WAN en los dispositivos spine DC1. Todo el tráfico entre los dos centros de datos se enruta a través del clúster de chasis SRX.

    Ha conectado sus redes de centro de datos spine colapsado con DCI.