Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Exemplo: Segmentação micro e macro usando política baseada em grupo em uma VXLAN

RESUMO VXLAN-GBP

Visão geral

Você pode alcançar a segmentação micro e macro, por exemplo, para proteger dados e ativos, em uma arquitetura VXLAN usando políticas baseadas em grupo (GBP). O GBP utiliza a tecnologia VXLAN subjacente para fornecer controle de acesso de endpoint agnóstico de localização. O GBP permite que você implemente políticas de segurança consistentes em todos os domínios de rede empresarial. Você pode simplificar a configuração de sua rede usando GBP, evitando a necessidade de configurar um grande número de filtros de firewall em todos os seus switches. O GBP bloqueia ameaças laterais, garantindo uma aplicação consistente de políticas de grupo de segurança em toda a rede, independentemente da localização de endpoints ou usuários. O VXLAN-GBP funciona aproveitando campos reservados no cabeçalho VXLAN para uso como tag de grupo escalável (SGT). Você pode usar os SGTs como condições de correspondência em regras de filtro de firewall. Usar um SGT é mais robusto do que usar endereços MAC ou portas para alcançar resultados semelhantes. Os SGTs podem ser atribuídos estaticamente (configurando o switch em uma por porta ou por base MAC), ou podem ser configurados no servidor RADIUS e empurrados para o switch através do 802.1X quando o usuário é autenticado.

A segmentação habilitada pelo VXLAN-GBP é especialmente útil em ambientes VXLAN de campus porque oferece a você uma maneira prática de criar políticas de acesso à rede que são independentes da topologia de rede subjacente. Ele simplifica as fases de projeto e implementação do desenvolvimento de políticas de segurança de aplicativos de rede e dispositivos de endpoint.

Você pode encontrar informações mais detalhadas sobre o padrão VXLAN-GBP no IEEE RFC, I-D.draft-smith-vxlan-group-policy. Para os propósitos deste exemplo, basta dizer que o VXLAN-GBP aproveita campos reservados no cabeçalho VXLAN como Tag de grupo escalável, como mostrado na ilustração.

Figura 1: Campos VXLAN Header Fields de cabeçalho VXLAN

A Tabela 1 fornece os detalhes dos switches que oferecem suporte a VXLAN-GBP com base nas versões Junos de quando o suporte é fornecido.

Tabela 1: Switches com suporte para VXLAN-GBP
Switches compatíveis com VXLAN-GBP com junos

Começando com o junos OS versão 21.1R1

EX4400-24P, EX4400-24T, EX4400-48F, EX4400-48P e EX4400-48T

Começando com o junos OS versão 21.2R1

EX4400-24MP e EX4400-48MP

Começando com o junos OS versão 21.4R1

  • QFX5120-32C e QFX5120-48Y

  • EX4650
Começando com o junos OS versão 22.4R1

  • Série EX4100
Começando com o junos OS versão 23.2R1

  • Série EX9204 (com EX9200-15C)

  • Série EX9208 (com EX9200-15C)

  • Série EX9214 (com EX9200-15C)

A partir do Junos OS Release 22.4R1, a configuração do GBP mudou conforme mostrado na Tabela 2.

Tabela 2: Diferenças na implementação de GBP nas versões do Junos OS
GBP no Junos OS Versão 21.1R1 e POSTERIOR GBP no Junos OS Versão 22.4R1 e posterior

Declarações de tags GBP:

set firewall family ethernet-switching filter filter-name term term name from match-conditions
set firewall family ethernet-switching filter filter-name term term name then gbp-src-tag/gbp-des-tag tag

Declarações de tags GBP:

set firewall family any filter filter-name micro-segmentation
set firewall family any filter filter-name term term name from match-conditions
set firewall family any filter filter-name term term name then gbp-tag tag
Nota:

  • O nome da família "qualquer" substituiu o nome da família " ethernet-switching"

  • O termo "microssegmento" foi adicionado

  • O termo "gbp-tag" substituiu os termos "gbp-src-tag" e "gbp-dst-tag"

Condições de correspondência gbp suportadas:

interface<interface_name>

source-mac-address<mac address>

Condições de correspondência gbp suportadas:

  • ip-version ipv4 <ip address> | <prefix-list>

  • ip-version ipv6<ip address> | <prefix-list>

  • mac-address<mac address>

  • interface vlan-id <vlan id><interface_name>

  • vlan-id<vlan id>

  • interface<interface_name>

Aplicação de políticas 

set firewall family ethernet-switching filter filter-name term term name from gbp-dst-tag gbp tag 


set firewall family ethernet-switching filter filter-name term term name from gbp-src-tag gbp tag 


set firewall family ethernet-switching filter  filter-name term term name then discard
Nota:

A aplicação de políticas é apoiada apenas no endpoint de saída. Declaração de CLI para habilitar GBP:

set chassis forwarding-options vxlan-gbp-profile

Aplicação de políticas 

set firewall family any filter filter-name term term name from gbp-dst-tag gbp tag 


set firewall family any filter filter-name term term name from gbp-src-tag gbp tag 


set firewall family any filter filter-name term term name then discard
Nota:

O nome da família "qualquer" substituiu o nome da família "comutação de ethernet"
Nota:

A aplicação de políticas é apoiada tanto na entrada quanto nos endpoints de saída. Por padrão, a aplicação de políticas é suportada no nó de saída.

  • Declaração de CLI para habilitar GBP:

    set chassis forwarding-options vxlan-gbp-profile

  • Declaração da CLI para executar a aplicação de políticas no endpoint de entrada:

    set fowarding-options evpn-vxlan gbp ingress-enforcement

Versão do Junos OS 23.2R1 e posterior:

  • Outras partidas de IPV4 e IPv6 L4 são suportadas para a aplicação de políticas.

  • Suporte e vxlan-gbp-l2-profilevxlan-gbp-l3-profile

GBP no Junos OS Versão 22.4R1 e posterior

A partir do Junos OS Release 22.4R1, você pode executar a aplicação de políticas no endpoint de entrada e realizar tags GBP em condições adicionais de correspondência.

A Tabela 3 mostra as condições de correspondência de tags GBP com suporte:

Tabela 3: Condições da partida (versão Junos OS 22.4R1 e posterior)
Descrição das condições de correspondência

ip-version ipv4 <ip address> | <prefix-list>

ip-version ipv6 <ip address> | <prefix-list>

 Match IPv4/IPv6 endereços de origem ou destino/listas de prefixo.

mac-address <mac address>

 Endereço MAC de origem ou destino da correspondência.

interface <interface_name>

 Nome da interface de correspondência.
Nota:

O Junos OS Release 23.4R1 e posteriormente oferece suporte a várias interface <interface_name> condições de correspondência em um único termo de filtro de firewall.

Nota:

O Junos OS Release 23.4R1 e posteriores também permitem que você configure essa condição de correspondência ao lado da condição da vlan-id partida (onde a condição de vlan-id correspondência é suportada) em um único termo de filtro de firewall.

vlan-id <vlan id> | <vlan list> | <vlan-range>

IDs de VLAN compatíveis.
Nota:

Não é compatível com os switches EX4100
Nota:

O Junos OS Release 23.4R1 e posterior oferece suporte e <vlan list> <vlan-range> opções.
Nota:

O Junos OS Release 23.4R1 e posterior também permite que você configure essa condição de correspondência ao lado da condição da interface partida em um único termo de filtro de firewall.

O Junos OS Release 23.2R1 e posteriormente oferece suporte ao perfil vxlan-gbp-l2 e ao perfil vxlan-gbp-l3. Veja a tabela 4.

Tabela 4: Perfis de UFT VXLAN-GBP com suporte
Perfis com switches suportados
vxlan-gbp-profile

  • Série EX4100

  • Série EX4400

  • Série EX4650

  • switches QFX5120-32C e QFX5120-48Y

vxlan-gbp-l2-profile E vxlan-gbp-l3-profile

  • Série EX4400

  • Série EX4650

  • switches QFX5120-32C e QFX5120-48Y

Os filtros de política GBP usam tag de destino gbP e/ou GBP conforme correspondências para permitir ou descartar o tráfego. Começando pelo Junos OS Release 23.2R1, os switches EX4100, EX4400, EX4650, QFX5120-32C e QFX5120-48Y oferecem suporte a novos jogos L4 de filtro de política GBP (IPv4 e IPv6). Essas partidas ajudam a manter regras específicas que ajudam a bloquear apenas o tráfego de aplicativos, veja a Tabela 5.

Tabela 5: Suporte para partidas adicionais de política L4 (versão do Junos OS 23.2R1 e posterior)
Correspondências de aplicação de políticas para pacotes com tags MAC e IP GBP
ip-version ipv4 destination-port dst_port

Porta de destino Match TCP/UDP.
ip-version ipv4 source-port src_port

Porta de origem compatível com TCP/UDP.
ip-version ipv4 ip-protocol ip-protocol

Tipo de protocolo IP compatível.
ip-version ipv4 is-fragment

Combine se o pacote for um fragmento.
ip-version ipv4 fragment-flags flags

Combine com as bandeiras de fragmento (em formatos simbólicos ou hex).
ip-version ipv4 ttl value

Combine com o valor MPLS/IP TTL.
ip-version ipv4 tcp-flags flags

Combine com as bandeiras do TCP (em formatos simbólicos ou hex) - (apenas entrada).
ip-version ipv4 tcp-initial

Combine com o pacote inicial de uma conexão TCP ( apenas entrada).
ip-version ipv4 tcp-established

Combine com o pacote de uma conexão TCP estabelecida.
ip-version ipv6 destination-port dst_port

Combine com a porta de destino TCP/UDP.
ip-version ipv6 source-port src_port Combine com a porta de origem TCP/UDP.
ip-version ipv6 next-header protocol Combine com o próximo tipo de protocolo de cabeçalho.
ip-version ipv6 tcp-flags flags Combine apenas com as bandeiras do TCP (em formatos simbólicos ou hex).
ip-version ipv6 tcp-initial Combine com o pacote inicial de uma conexão TCP.
ip-version ipv6 tcp-established Combine com o pacote de uma conexão TCP estabelecida.
Nota:

Essas partidas L4 não são suportadas nos switches EX9204, EX9208 e EX9214.

Atribuição de SGTs para atribuição de tags de 802,1X GBP

Neste exemplo, configuramos SGTs em um servidor RADIUS e depois usamos o controle de acesso 802.1X nos switches de acesso habilitados para GBP para receber os SGTs quando um endpoint correspondente se conecta ao switch. Os servidores RADIUS são comumente usados em ambientes de campus para controle de acesso e, por exemplo, para governar a atribuição de VLANs.

Nota:

  • Se você configurar a autenticação do 802.1X com modo único seguro ou múltiplo suplicante, a tagagem GBP será baseada em MAC. Se você configurar a autenticação 802.1X com modo suplicante único, a tagagem GBP será baseada em porta.

  • As correspondências de endereço IP, VLAN-ID e interface VLAN-ID+não contam com o 802.1X.

Para acomodar o uso de SGTs no servidor RADIUS, precisamos aproveitar atributos específicos (VSA) do fornecedor, conforme suportado pela estrutura de serviço AAA (esses VSA's são transportados como parte da mensagem de resposta de solicitação RADIUS padrão e fornecer uma extensão integrada para lidar com informações específicas da implementação, como nossos SGTs). A sintaxe exata no servidor RADIUS varia de acordo com se o esquema de autenticação é baseado em MAC ou EAP. Para clientes baseados em MAC, a configuração é assim:

Para clientes baseados em EAP, o SGT é empurrado do servidor RADIUS no momento da autenticação. A configuração é assim:

Começando pelo Junos OS Release 23.4R1, além do existente Juniper-Switching-Filter, um novo VSA chamado Juniper-Group-Based-Policy-Id é suportado nos switches EX4400, EX4100, EX4650 e QFX5120.

Nota:

Você não deve usar tanto o JUNiper-Group-Based-Policy-Id VSA quanto o Juniper-Switching-Filter VSA juntos para o mesmo cliente.

O cliente não será autenticado se ambos os VSAs existirem e conterem diferentes valores de tag GBP.

Você pode atribuir tags GBP dinamicamente do RADIUS em qualquer um desses VSA:

  • Juniper-Switching-Filter transporta o filtro GBP e outras condições de correspondência e ação do filtro.

  • Ele Juniper-Group-Based-Policy-Id carrega apenas a tag GBP.

O Juniper-Group-Based-Policy-Id filtro de tags VSA para MAC e GBP baseado em porta é assim:

Começando pelo Junos OS Release 23.4R1 e posterior, o suporte a recursos GBP também é adicionado às seguintes declarações de configuração sobre os switches EX4400, EX4100, EX4650 e QFX5120:

Tabela 6: Declarações de configuração com tag GBP

CLI

Descrição
set protocols dot1x authenticator interface [interface-names] server-fail gbp-tag gbp-tag

Especifique a tag GBP para aplicar na interface quando o servidor estiver inacessível. Se você configurar o gbp-tag gbp-tag e o cliente autenticar ou server-fail permit, então server-fail vlan-name, o filtro configurado gbp-tag gbp-tag também será instalado para o cliente.

Você só pode configurar essa opção quando a opção ou server-fail permit a opção server-fail vlan-name estiver configurada.
set protocols dot1x authenticator interface [interface-names] server-reject-vlan gbp-tag gbp-tag

Especifique a tag GBP a ser aplicada quando o RADIUS rejeitar a autenticação do cliente. Se você configurar o gbp-tag gbp-tag e o cliente autenticar server-reject vlan, então o filtro configurado gbp-tag também será instalado para o cliente.

Você só pode configurar quando server-reject gbp-tag gbp-tag a opção server-reject-vlan vlan-id estiver configurada.

set protocols dot1x authenticator interface [interface-names] guest-gbp-tag gbp-tag

Especifique a tag GBP para aplicar quando uma interface é movida para uma VLAN convidada. Se estiver guest-gbp-tag configurado e o cliente autenticar na VLAN convidada, o filtro configurado guest-gbp-tag também será instalado para o cliente.

Você só pode configurar quando guest-gbp-tag a opção guest-vlan vlan-id estiver configurada.

Para obter mais informações sobre VLANs convidados, consulte a Autenticação 802.1X.

Você pode usar o show dot1x interface detail comando ou o show ethernet-switching table comando para verificar qual tag GBP é recebida do RADIUS.

Aqui está a saída de exemplo do show ethernet-switching table comando:

Os filtros baseados em GBP são usados como classificadores para tags GBP. Esses filtros classificam fluxos de entrada e atribuem uma tag GBP.

Você pode ver como isso funciona nas seguintes amostras de código. As políticas de firewall GBP são emolduradas com base em tags GBP de origem e destino.

Uma tag de origem é o campo de 16 bits no cabeçalho VXLAN no pacote de entrada e é derivado do endereço de origem (IP/MAC/porta e assim por diante), enquanto a tag de destino é derivada no túnel de saída ou endpoint de entrada do destino (IP/MAC/porta e assim por diante), de acordo com a atribuição de tag configurada.

A tag GBP configurada é um valor não zero positivo na faixa (1-65535) para tags GBT especificadas em UM VSA (atributo específico do fornecedor) de um servidor RADIUS.

Digamos que temos essa configuração (mostrada abaixo) nos endpoints de entrada e saída. Recomendamos que você tenha a mesma configuração de atribuição de tags GBP em todo o sistema. Os pacotes do endereço 00:01:02:03:04:10:10 MAC de origem são atribuídos à tag 100, e os pacotes do endereço 00:01:02:03:04:20:20 MAC de origem são atribuídos 200.

Para pacotes com a tag GBP 100 e um endereço MAC de destino, a tag (gbp-dst-tag) do grupo de 00:01:02:03:04:10:10destino será de 100 e será compatível a termot10-100. Da mesma forma, para pacotes com a tag GBP 100 e um endereço MAC de destino, a tag do grupo de 00:01:02:03:04:20:20destino será de 200 e será compatível com o termo t10-200.

A mesma atribuição de tag usada para mapear o endereço MAC de origem para a tag de origem também é usada para mapear o endereço MAC de destino para a tag de destino. Isso também vale para atribuições baseadas em portas.

No Junos OS Release 23.2R1 e posterior, os switches EX4100, EX4400, EX4650, QFX5120-32C e QFX5120-48Y oferecem suporte a partidas L4 adicionais para filtros de política GBP para filtros GBP baseados em MAC e IP. Veja a tabela 5. A configuração dos filtros L4 pode reduzir a escala GBP suportada. Essas correspondências são suportadas por padrão, no entanto, na série EX4650, QFX5120-32C e switches QFX5120-48Y, você pode usar para set forwarding-options evpn-vxlan gbp tag-only-policy permitir apenas tags de origem e destino gbp como correspondência na política gbP.

Vamos analisar outra amostra de código, desta vez usando uma tag de origem GBP de 300 e com pacotes de endereço 172.16.1.0/24IPv4. Como você pode ver abaixo, a tag de origem GBP 300 é atribuída e na direção de saída, e 300 também é tag de grupo de destino GBP.

A partir do Junos OS Release 23.4R1, os switches EX4400, EX4650 e QFX5120 oferecem suporte a várias entradas em filtros GBP do tipo VLAN, porta e porta+VLAN do mesmo tipo em um termo usando a lista e opções de intervalo, enquanto os switches EX4100 oferecem suporte a várias entradas apenas em filtros GBP do tipo de porta.

Veja exemplos abaixo:

Neste exemplo, para pacotes com GBP tag 300, ele corresponde ao termo t1 em endereços VLAN ID que variam de 10 a 30.

Neste exemplo, para pacotes com GBP tag 300, ele corresponde ao termo t1 para uma lista de interfaces de 101 a 104, onde 101 a 104 são o índice de interface interna contíguo alocado para respectivas interfaces.

Nota:

A prioridade da tagagem GBP é a seguinte, sendo a versão ip a maior prioridade:

  • ip-version ipv4 <ip address> | <prefix-list>

  • ip-version ipv6<ip address> | <prefix-list>

  • mac-address<mac address>

  • interface<interface_name> vlan-id <vlan id>

  • vlan-id<vlan id>

  • interface<interface_name>

Observe que, por padrão, a aplicação de políticas é feita no endpoint de saída. Se você quiser fazer aplicação de políticas na folha de entrada, veja a seção abaixo.

Você pode habilitar o VXLAN-GBP selecionando um dos três perfis que melhor atendem às suas necessidades de rede. Cada perfil UFT é configurado com valores máximos diferentes para cada tipo de endereço. Veja a compreensão dos perfis GBP para obter mais informações sobre quando usar esses perfis. Veja o perfil vxlan-gbp, o perfil vxlan-gbp-l2 e o perfil vxlan-gbp-l3 para ver as escalas suportadas por esses perfis.

Visão geral da aplicação de políticas no endpoint de entrada

A partir do Junos Release 22.4R1, você também pode realizar a aplicação de políticas no endpoint de entrada. A aplicação da entrada otimiza a largura de banda da rede. Para dar suporte à aplicação de políticas na entrada, temos um mecanismo para propagar as tags baseadas em MAC e IP-MAC em toda a rede usando rotas Tipo 2 e Tipo 5. Consulte as rotas EVPN Tipo 2 e Type 5 para obter mais informações. Com isso, a política baseada em GBP de destino é aplicada em nós mais próximos da entrada para correspondências GBP baseadas em MAC e IP. A propagação de tags está sempre no contexto de GBP baseado em MAC e IP. Para VLANs, Port e Port+VLAN, isso não é aplicável.

Nota:

Se a rota do host for instalada com a rota tipo 2 que tem a tag GBP, a tag GBP será adicionada na rota tipo 5. A propagação da tag tipo 2 para Tipo 5 GBP é suportada, mas a propagação da tag tipo 5 para a propagação de tags GBP de rota tipo 2 não é suportada.

Para topologias multihoming, mantenha a configuração idêntica entre membros multihoming.

Você deve habilitar a declaração a seguir para realizar a aplicação da política no nó de entrada. Quando a aplicação de entrada é habilitada ou desativada, o Mecanismo de encaminhamento de pacotes (PFE) é reiniciado.

Pacotes originados por host

Quando os pacotes são retirados de uma interface integrada de roteamento e ponte (IRB) em um endpoint de túnel virtual (VTEP), o kernel insere uma tag GBP de origem no cabeçalho VXLAN e envia o pacote. O valor da tag GBP de origem está configurado usando a seguinte declaração:

Antes de criar qualquer regra, pode ser útil organizar o seu esquema criando uma tabela para todos os seus endpoints (usuários e dispositivos) e o valor SGT atribuído. A tabela abaixo pode ser usada para simplificar ainda mais a lógica e esclarecer suas regras.

Tabela 7: Endpoints e seus valores SGT

Extremidade

Valor de SGT atribuído

Funcionário permanente (PE)

100

Contratante (CON)

200

Equipe de segurança (SS)

300

Câmera de segurança (CAM)

400

Servidor de engenharia (ES)

500

A relação entre o servidor RADIUS e os SGTs, os cabeçalhos de pacotes EX4400 e VXLAN e um filtro de firewall central para gerenciar a política de acesso é tal que uma matriz se torne uma maneira útil de organizar os valores. Na tabela a seguir, listamos as funções de usuário na primeira coluna e tipos de dispositivos em toda a primeira linha para criar uma matriz de acesso. Cada função de usuário e tipo de dispositivo é atribuído a um SGT e a configuração RADIUS foi atualizada com as informações.

Este exemplo usa três tipos de funcionários, Funcionários Permanentes (PE), Contratados (CON) e Equipe de Segurança (SS). Ele também usa dois tipos de recursos, o Eng Server (ES) e a câmera de segurança (CAM). Usamos Y para indicar que o acesso é permitido, e N para mostrar quando o acesso é bloqueado. A tabela serve como um recurso útil ao criar as várias regras de firewall na política e torna o mapeamento de acesso simples e claro.

Tabela 8: Matriz de acesso
  ES (SGT 500) CAM (SGT 400) PE (SGT 100) CON (SGT 200) SS (SGT 300)
PE (SGT 100) Y N Y Y N
CON (SGT 200) N N Y N N
SS (SGT 300) N Y N N Y

Topologia

Para uma questão de simplicidade, toda a configuração neste exemplo é feita em um único switch da série EX4400 da Juniper que executa o Junos OS Release 22.4.1R1. O switch está conectado a um servidor RADIUS para AAA. Este switch funciona como saída neste exemplo. Lembre-se que para SGTs você deve definir o firewall no switch de saída, enquanto você normalmente faria isso no gateway VXLAN de entrada para a camada de acesso.

Figura 2: GBP VXLAN em um switch VXLAN GBP on an EX4400 Switch EX4400

Requisitos

O GBP aprimorado é suportado no Junos OS 22.4R1 nos seguintes switches: EX4100, EX4400, EX4650, QFX5120-32C e QFX5120-48Y.

Configuração

Segmentação baseada em VXLAN-GBP:

  • Os usuários fazem login na rede e são autenticados pelo servidor RADIUS (no qual os SGTs estão configurados para todos os endpoints).
  • Usando filtros de firewall, o EX4400 seleciona o tráfego com base na autenticação 802.1X ou endereço MAC e, em seguida, atribui uma tag de grupo a quadros correspondentes. (Para clientes autenticados dot1x, a configuração de firewall estática não é necessária). A mecânica disso é realizada usando firewall conforme mostrado aqui: e
  • O tráfego com tags que passam pelo EX4400 é avaliado com base nos valores sgt, novamente, usando a mecânica do filtro de firewall.

    • Habilite chassis forwarding-options vxlan-gbp-profile primeiro o dispositivo.

    • Use as gbp-dst-tag condições e/ou gbp-src-tag correspondência para escrever suas regras de firewall e incluí-las na política de roteamento no switch de saída que você usa para microssegmento gbP. A partir do Junos OS Release 23.2R1, além das tags de origem e destino, o novo filtro de política GBP IPv4 e IPv6 L4 é compatível com protocolo, portas de origem, portas de destino, bandeiras tcp e outras partidas. Veja a tabela 5.

    • Se você deseja que a aplicação de políticas ocorra no endpoint de entrada, você precisa habilitar a opção set fowarding-options evpn gbp ingress-enforcement .

Configurando um switch Juniper EX4400 autônomo para VXLAN-GBP

Use os seguintes comandos para configurar a segmentação VXLAN-GBP em um ambiente de sandbox. Normalmente, você criaria as regras do filtro de firewall no switch que serve como gateway VXLAN (saída) para a camada de acesso, mas, por uma questão de simplicidade, estamos usando o mesmo EX4400 autônomo tanto para as regras do filtro de firewall quanto para o servidor RADIUS (EAP, aqui). Os valores que usamos neste exemplo são retirados das tabelas anteriores.

Os comandos abaixo incluem variáveis como nomes de perfil e endereços IP, que devem ser adaptados para fazer sentido para o seu ambiente de teste.

  1. Configure o servidor de raio:
  2. Configure as portas físicas para oferecer suporte à autenticação RADIUS:
  3. Configure as tags SGT no servidor RADIUS usando o filtro de comutação da Juniper ou a Id de política baseada em grupo da Juniper: Ou
  4. Habilite o VXLAN-GBP no switch:
  5. Crie regras de filtro de firewall que aproveitam os SGTs (usando valores organizados na matriz):
  6. Execute uma verificação de confirmação no Junos para verificar se os comandos e as variáveis que você usou são válidos. Quando satisfeito com sua configuração, comprometa a configuração do candidato para torná-la ativa no dispositivo. Esses comandos são mostrados abaixo. Você também pode revisar sua configuração digitando run show configuration.

Limitações para switches EX e switches QFX:

  • Switches EX9204, EX9208 e EX9214: para tráfego de trânsito vindo sobre o túnel Tipo 2 EVPN-VXLAN, a aplicação de políticas baseadas em tags GBP na saída PE funciona corretamente apenas se a tag GBP de origem carimbada na entrada PE no cabeçalho VxLAN for realizada na rede underlay sem qualquer comprometimento.

  • Os SGTs configurados por RADIUS/802.1X não são suportados nos switches EX9204, EX9208 e EX9214.

  • A propagação de tags e a aplicação de políticas no endpoint de entrada não são suportadas nos switches EX9204, EX9208 e EX9214.

  • Os perfis de UFT GBP não são suportados nos switches EX9204, EX9208 e EX9214.

  • O número de tags exclusivas para as plataformas EX4400 e QFX5120 é restrito a 1K.

  • As interface correspondências e VLAN GBP não são suportadas nos switches EX4100.

  • A tag de GBP baseada em IP multicast não é suportada.

  • O GBP baseado em IP não é aplicado para fluxos de comutação de Camada 2 e o GBP baseado em MAC não é aplicado a fluxos de roteamento de Camada 3 de acesso ao acesso.

  • O IPACL não é suportado quando o GBP baseado em porta (interface) está configurado.

  • A ação de policiamento e contagem é suportada apenas para entradas de políticas GBP baseadas em MAC e IP.

  • O GBP baseado em VLAN não é compatível com interfaces lógicas de estilo de provedor de serviços.

  • Os filtros de atribuição de tags GBP não oferecem suporte à opção de balcão.

  • Diferentes critérios de correspondência de filtros GBP (MAC, PORT & PORT+VLAN) não fazem parte do mesmo filtro.

GbP Junos OS Versão 21.1R1 e posterior

Atribuição de SGTs com um servidor RADIUS

Neste exemplo, configuramos SGTs em um servidor RADIUS e depois usamos o controle de acesso 802.1X no EX4400 para recebê-los. Os servidores RADIUS são comumente usados em ambientes de campus para controle de acesso e, por exemplo, para governar a atribuição de VLANs.

Para acomodar o uso de SGTs no servidor RADIUS, precisamos aproveitar atributos específicos (VSA) do fornecedor, conforme suportado pela estrutura de serviço AAA (esses VSA são transportados como parte da mensagem de resposta de solicitação RADIUS padrão e fornecem uma extensão integrada para lidar com informações específicas da implementação, como nossos SGTs). A sintaxe exata no servidor RADIUS varia de acordo com se o esquema de autenticação é baseado em MAC ou EAP. Para clientes baseados em MAC, a configuração é assim:

Para clientes baseados em EAP, o SGT é empurrado do servidor RADIUS no momento da autenticação. A configuração é assim:

A partir do Junos Release 21.1R1, os switches EX4400 introduzem uma nova condição de correspondência para uso com VXLAN-GBP que permite ao firewall reconhecer as tags SGT que são passadas pelo servidor RADIUS e inseridas no cabeçalho VXLAN.

Você pode ver como isso funciona nas seguintes amostras de código. As políticas de firewall GBP são emolduradas com base em tags GBP de origem e destino. Uma tag de origem é o campo de 16 bits no cabeçalho VXLAN no pacote de entrada, enquanto a tag de destino é derivada no endpoint do túnel de saída, de acordo com a atribuição de tag configurada.

Digamos que temos um ponto final de saída com a configuração mostrada abaixo. Os pacotes do endereço 00:01:02:03:04:10:10 MAC de origem são atribuídos à tag 100, e os pacotes do endereço 00:01:02:03:04:20:20 MAC de origem são atribuídos 200.

Para pacotes com a tag GBP 100 e um endereço MAC de destino, a tag (gbp-dst-tag) do grupo de 00:01:02:03:04:10:10destino será de 100 e será compatível a termot10-100. Da mesma forma, para pacotes com a tag GBP 100 e um endereço MAC de destino, a tag do grupo de 00:01:02:03:04:20:20destino será de 200 e será compatível com o termo t10-200.

A mesma atribuição de tag usada para mapear o endereço MAC de origem para a tag de origem também é usada para mapear o endereço MAC de destino para a tag de destino. Isso também vale para atribuições baseadas em portas.

Vamos analisar outra amostra de código, desta vez usando uma tag de origem GBP de 300, e com interface ge-0/0/30.0de entrada de pacotes. Como você pode ver abaixo, a tag de origem GBP 300 é atribuída e na direção de saída, e 300 também é tag de grupo de destino GBP.

Observe que você precisa configurar o filtro de firewall GBP no switch de saída, porque não há como o switch de entrada saber quais etiquetas de grupo são usadas no switch de saída. Além disso, você deve habilitar o VXLAN-GBP globalmente no nó de entrada, para que ele possa realizar a pesquisa nas partidas e adicionar SGT no cabeçalho VXLAN, e também no nó de saída. Faça isso com o comando de configuração mostrado aqui:

Antes de criar qualquer regra, pode ser útil organizar o seu esquema criando uma tabela para todos os seus endpoints (usuários e dispositivos) e o valor SGT atribuído. Aqui, mostramos uma dessas tabelas, dos quais os valores serão posteriormente aplicados em uma matriz, que pode ser usada para simplificar ainda mais a lógica e esclarecer suas regras.

Tabela 9: Endpoints e seus valores SGT

Extremidade

Valor de SGT atribuído

Funcionário permanente (PE)

100

Contratante (CON)

200

Equipe de segurança (SS)

300

Câmera de segurança (CAM)

400

Servidor de engenharia (ES)

500

A relação entre o servidor RADIUS e os SGTs, os cabeçalhos de pacotes EX4400 e VXLAN e um filtro de firewall central para gerenciar a política de acesso é tal que uma matriz se torne uma maneira útil de organizar os valores. Na tabela a seguir, listamos as funções de usuário na primeira coluna e tipos de dispositivos em toda a primeira linha para criar uma matriz de acesso. Cada função de usuário e tipo de dispositivo é atribuído a um SGT e a configuração RADIUS foi atualizada com as informações.

Este exemplo usa três tipos de funcionários, Funcionários Permanentes (PE), Contratados (CON) e Equipe de Segurança (SS). Ele também usa dois tipos de recursos, o Eng Server (ES) e a câmera de segurança (CAM). Usamos Y para indicar que o acesso é permitido, e N para mostrar quando o acesso é bloqueado. A tabela serve como um recurso útil ao criar as várias regras de firewall na política e torna o mapeamento de acesso simples e claro.

Tabela 10: Matriz de acesso
  ES (SGT 500) CAM (SGT 400) PE (SGT 100) CON (SGT 200) SS (SGT 300)
PE (SGT 100) Y N Y Y N
CON (SGT 200) N N Y N N
SS (SGT 300) N Y N N Y

Topologia

Para uma questão de simplicidade, toda a configuração neste exemplo é feita em um único switch da série EX4400 da Juniper que executa o Junos OS Release 21.1R1. O switch está conectado a um servidor RADIUS para AAA. Este switch funciona como saída neste exemplo. Lembre-se que para SGTs você deve definir o firewall no switch de saída, enquanto você normalmente faria isso no gateway VXLAN de entrada para a camada de acesso.

Figura 3: VXLAN GBP em um switch VXLAN GBP on an EX4400 Switch EX4400

Requisitos

O VXLAN-GBP tem suporte para o Junos OS Release 21.1R1 nos seguintes switches: EX4400-24P, EX4400-24T, EX4400-48F, EX4400-48P e EX4400-48T. Consideremos neste exemplo um switch EX4400.

A partir do Junos Release 21.4R1, o VXLAN-GBP também tem suporte para os seguintes switches: QFX5120-32C, QFX5120-48T, QFX5120-48Y, QFX5120-48YM, EX4650 e EX4650-48Y-VC.

Configuração

Podemos resumir a sequência de eventos subjacentes à segmentação baseada em VXLAN-GBP, dispostos nos parágrafos acima, da seguinte forma:

  • Os usuários fazem login na rede e são autenticados pelo servidor RADIUS (no qual os SGTs estão configurados para todos os endpoints).
  • Usando filtros de firewall, o EX4400 seleciona o tráfego com base na autenticação 802.1X ou endereço MAC e, em seguida, atribui uma tag de grupo a quadros correspondentes. (para clientes autenticados dot1x, a configuração de firewall estática não é necessária). A mecânica disso é realizada usando firewall, como mostrado aqui: e
  • O tráfego com tags que passam pelo EX4400 é avaliado com base nos valores sgt, novamente, usando a mecânica do filtro de firewall. Para que isso aconteça, você primeiro precisa ativar chassis forwarding-options vxlan-gbp-profile o switch, depois usar as gbp-dst-tag condições e/ou gbp-src-tag combinar para escrever suas regras de firewall, e incluí-las na política de roteamento no switch de saída que você usa para microssegção gbP.

Configurando um switch Juniper EX4400 autônomo para VXLAN-GBP

Use os seguintes comandos para configurar a segmentação VXLAN-GBP em um ambiente de sandbox. Normalmente, você criaria as regras do filtro de firewall no switch que serve como gateway VXLAN (saída) para a camada de acesso, mas, por uma questão de simplicidade, estamos usando o mesmo EX4400 autônomo tanto para as regras do filtro de firewall quanto para o servidor RADIUS (EAP, aqui). Os valores que usamos neste exemplo são das tabelas anteriores.

Os comandos abaixo incluem variáveis como nomes de perfil e endereços IP, que devem ser adaptados para fazer sentido para o seu ambiente de teste.

  1. Configure o servidor de raio:
  2. Configure as portas físicas para oferecer suporte à autenticação RADIUS:
  3. Configure as tags SGT no servidor RADIUS:
  4. Habilite o VXLAN-GBP no switch:
  5. Crie regras de filtro de firewall que aproveitam os SGTs (usando valores organizados na matriz):
  6. Execute uma verificação de confirmação no Junos para verificar se os comandos e as variáveis que você usou são válidos. Quando satisfeito com sua configuração, comprometa a configuração do candidato para torná-la ativa no dispositivo. Esses comandos são mostrados abaixo. Você também pode revisar sua configuração digitando run show configuration.

Veja também