Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Inspeção de túnel para dispositivos da Série SRX para EVPN-VXLAN

RESUMO Leia este tópico para entender como configurar seu dispositivo de segurança para realizar inspeção de túnel para EVPN-VXLAN para fornecer segurança integrada.

Visão geral

(VPN Ethernet) A VXLAN EVPN-(Virtual Extensible LAN) oferece às empresas uma estrutura comum usada para gerenciar suas redes de campus e data center.

O rápido aumento do uso de dispositivos móveis e IoT adiciona um grande número de endpoints a uma rede. As redes empresariais modernas precisam se expandir rapidamente para fornecer acesso imediato aos dispositivos e estender a segurança e o controle para esses endpoints.

Para oferecer flexibilidade de endpoint, a EVPN-VXLAN desacopla a rede underlay (topologia física) da rede overlay (topologia virtual). Ao usar overlays, você ganha a flexibilidade de fornecer conectividade de Camada 2/Camada 3 entre endpoints em todo o campus e data centers, mantendo uma arquitetura underlay consistente.

Você pode usar firewalls da Série SRX em sua solução EVPN-VXLAN para conectar pontos finais em seu campus, data center, filiais e nuvens públicas, ao mesmo tempo em que oferece segurança incorporada.

A partir do Junos OS Release 21.1R1, o firewall da Série SRX também pode ser aplicado seguindo os serviços de segurança de Camada 4/Camada 7 ao tráfego de túneis EVPN-VXLAN:

  • Identificação de aplicativos

  • IDP

  • Juniper ATP (anteriormente conhecido como ATP Cloud)

  • Segurança de conteúdo

A Figura 1 mostra um cenário de implantação típico da malha EVPN-VXLAN baseada em pontes roteadas de borda (ERB) com firewalls da Série SRX funcionando em uma função de leaf de borda (EBL) aprimorada. A EBL aumenta o papel tradicional de uma folha de borda com a capacidade de realizar inspeção de tráfego em túneis VXLAN.

Figura 1: Arquitetura EVPN-VXLAN com dispositivo EVPN-VXLAN Architecture with SRX Series Device da Série SRX

Na figura, o tráfego VXLAN originado no dispositivo leaf 1 atravessa os firewalls da Série SRX que funcionam como EBLs. Neste caso de uso, o firewall da Série SRX é colocado na fronteira, ou seja, no ponto de entrada e saída do campus ou data center, para fornecer inspeção stateful aos pacotes encapsulados VXLAN que passam por ele.

No diagrama de arquitetura, você pode notar que um firewall da Série SRX é colocado entre dois dispositivos VTEP (dispositivos que executam encapsulamento e decapsulação VXLAN para o tráfego de rede). O firewall da Série SRX realiza inspeção stateful ao habilitar o recurso de inspeção de túnel com uma política de segurança apropriada.

Benefícios

Incluir firewall da Série SRX na EVPN VXLAN fornece:

  • Mais segurança com os recursos de um firewall de nível empresarial no overlay EVPN-VXLAN.
  • Inspeção aprimorada de túneis para o tráfego encapsulado de VXLAN com serviços de segurança de Camada 4/Camada 7.

Exemplo — Configure políticas de segurança para inspeção de túneis EVPN-VXLAN

Use este exemplo para configurar as políticas de segurança que permitem a inspeção do tráfego de túneis EVPN EVPN-VXLAN em seus firewalls da Série SRX.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Um firewall da Série SRX ou firewall virtual vSRX
  • Versão Junos OS 20.4R1

Este exemplo pressupõe que você já tem uma rede baseada em EVPN-VXLAN e deseja permitir a inspeção de túneis no firewall da Série SRX.

Antes de começar

  • Certifique-se de ter uma licença válida de recurso de identificação de aplicativos em seu firewall da Série SRX e um pacote de assinatura de aplicativos instalado no dispositivo.
  • Certifique-se de entender como a EVPN e a VXLAN funcionam. Veja arquiteturas de campus EVPN-VXLAN para detalhar a compreensão da EVPN-VXLAN
  • Este exemplo pressupõe que você já tem uma malha de rede baseada em EVPN-VXLAN e deseja permitir a inspeção de túneis no firewall da Série SRX. Você pode ver a configuração amostral de dispositivos leaf e spine usados neste exemplo nas configurações completas do dispositivo.

Visão geral

Neste exemplo, estamos focados na configuração do firewall da Série SRX, que faz parte de uma rede EVPN-VXLAN em funcionamento que consiste em dois locais de DC cada um com uma malha de IP. O firewall da Série SRX é colocado em uma função de interconexão de data center (DCI) entre os dois DCs. Nesta configuração, o firewall da Série SRX realiza inspeção stateful do tráfego encapsulado VXLAN fluindo entre os DCs quando você permite a inspeção de túneis.

Estamos usando a topologia mostrada na Figura 2 neste exemplo.

Figura 2: Topologia para inspeção Topology for VXLAN Tunnel Inspection de túneis VXLAN

Como dado na topologia, o firewall da Série SRX está inspecionando tráfego VLAN encapsulado de trânsito a partir do endpoint do túnel VXLAN (VTEP) nas folhas nos data centers DC-1 e DC-2. Qualquer dispositivo da Juniper Networks, tanto físico quanto virtual, que funcione como um gateway VXLAN de Camada 2 ou Camada 3 pode funcionar como dispositivo VTEP para realizar encapsulamento e des encapsulamento.

Após o recebimento de um pacote de dados de Camada 2 ou Camada 3 do servidor 1, o leaf 1 VTEP adiciona o cabeçalho VXLAN apropriado e, em seguida, encapsula o pacote com um cabeçalho externo IPv4 para facilitar o tunelamento do pacote através da rede underlay IPv4. O VTEP remoto na leaf 2 então des encapsula o tráfego e encaminha o pacote original em direção ao host de destino. Com o lançamento do software Junos, os firewalls da Série SRX 20.4 são capazes de realizar inspeção de túnel para tráfego de overlay encapsulado de VXLAN que passa por ele.

Neste exemplo, você criará uma política de segurança para permitir a inspeção do tráfego encapsulado em um túnel VXLAN. Estamos usando os parâmetros descritos na Tabela 1 neste exemplo.

Tabela 1: Parâmetros de configuração
Nome do parâmetro de descrição de parâmetros
Política de segurança Política para criar uma sessão de fluxo desencadeada pelo tráfego overlay VXLAN. Essa política faz referência ao endereço externo de origem e destino de IP. Ou seja, os endereços IP dos VTEPs de origem e destino. Neste exemplo, este é o endereço de loopback das folhas. P1
Conjunto de políticas Política para a inspeção do tráfego interno. Essa política opera com o conteúdo do tráfego de túnel VXLAN correspondente. PSET-1
Perfil de inspeção de túnel Especifica parâmetros para inspeção de segurança em túneis VXLAN. TP-1
Nome de uma lista ou intervalo de identificador de rede VXLAN (VNI) Usado para identificar exclusivamente uma lista ou alcance de IDs de túneis VXLAN. VLAN-100
Nome do identificador de túnel VXLAN. Usado para nomear simbolicamente um túnel VXLAN em um perfil de inspeção de túnel. VNI-1100

Quando você configura políticas de segurança de inspeção de túnel no firewall da Série SRX, ele descapsula o pacote para acessar o cabeçalho interno quando um pacote corresponde a uma política de segurança. Em seguida, aplica-se o perfil de inspeção de túnel para determinar se o tráfego interno é permitido. O dispositivo de segurança usa conteúdo interno de pacotes e os parâmetros de perfil de inspeção de túnel aplicados para fazer uma pesquisa de políticas e, em seguida, realizar inspeção stateful para a sessão interna.

Configuração

Neste exemplo, você configurará a seguinte funcionalidade no firewall da Série SRX:

  1. Definir uma zona de confiança e não confiável para permitir todo o tráfego de host. Isso oferece suporte à sessão BGP aos dispositivos spine e permite SSH etc de ambas as zonas (DC).
  2. Inspecione o tráfego que flui de DC1 para DC2 na VNI 1100 (Camada 2 estendida para VLAN 100) para todos os hosts na sub-rede 192.168.100.0/24. Sua política deve permitir pings, mas negar todos os outros tráfegos.
  3. Permita que todo o tráfego de retorno de DC2 para DC1 sem inspeção de túnel.
  4. Permita todos os outros tráfegos underlay e overlay sem inspeção de túnel VXLAN de DC1 a DC2.

Use as seguintes etapas para permitir a inspeção de túnel em seu dispositivo de segurança em um ambiente VXLAN-EVPN:

Nota:

Configurações funcionais completas para todos os dispositivos usados neste exemplo são fornecidas Configurações completas de dispositivo para ajudar o leitor a testar este exemplo.

Este exemplo se concentra nas etapas de configuração necessárias para habilitar e validar o recurso de inspeção de túnel VXLAN. Acredita-se que o firewall da Série SRX esteja configurado com endereçamento de interface, peering BGP e políticas para oferecer suporte à sua função de DCI.

Configuração rápida da CLI

Para configurar rapidamente este exemplo em seu firewall da Série SRX, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia [editar].

Configuração em dispositivo da Série SRX

Procedimento passo a passo

  1. Configure zonas de segurança, interfaces e livros de endereços. Observe que os comprimentos de prefixo /24 são usados para especificar os endereços externo (VTEP) e interno (servidor). Embora você possa usar rotas de host /32 para este exemplo simples, usar um /24 corresponderá ao tráfego de outras folhas (VTEPs) ou hosts na sub-rede 192.168.100/0/24.
  2. Defina o perfil de inspeção de túnel. Você pode especificar um intervalo ou uma lista de VNIs que devem ser inspecionadas.

    Neste exemplo, apenas um VNI é necessário para que a vni-id palavra-chave seja usada em vez da opção vni-range .

    O perfil de inspeção de túnel é vinculado tanto à lista/intervalo VNI quanto à política relacionada que deve ser aplicada ao túnel VXLAN com VNIs correspondentes.
  3. Crie uma política de segurança para combinar na sessão externa. Esta política refere-se às entradas globais do livro de endereços que você definiu anteriormente para combinar endereços VTEP de origem e destino. Esses endereços são usados na underlay para oferecer suporte a túneis VXLAN na sobreposição. O tráfego correspondente é direcionado ao TP-1 perfil de inspeção de túnel que você definiu na etapa anterior. Neste exemplo, o objetivo é inspecionar túneis VXLAN que se originam em DC1 e terminam em DC2. Como resultado, uma segunda política para combinar no tráfego de retorno (com o LEAF 1 dc2 o VTEP de origem) não é necessária.
  4. Crie o conjunto de políticas para a sessão interna.

    Essa política realiza inspeção de segurança contra a carga de tráfego VXLAN correspondente. Neste exemplo, este é o tráfego enviado do Servidor 1 na VLAN 100 em DC1 para o Servidor 1 em DC2. Ao especificar a condição da junos-icmp-all correspondência, você garante que tanto a solicitação de ping quanto as respostas podem passar do servidor 1 ion DC1 para o servidor 1 em DC2. Se você especificar junos-icmp-ping apenas pings que se originam do DC1 serão permitidos.

    Lembre-se que, neste exemplo, apenas o ping é permitido para ajudar a facilitar o teste da funcionalidade resultante. Você pode combinar application any para permitir todo o tráfego ou alterar os critérios de correspondência para atender às suas necessidades de segurança específicas.

  5. Definir as políticas necessárias para aceitar todo o tráfego entre os data centers sem qualquer inspeção de túnel.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

[edit]

user@host# show security

Se você terminar de configurar o recurso em seu dispositivo, entre no commit modo de configuração.

Verificação

Neste momento, você deve gerar tráfego de ping entre o servidor 1 em DC1 e o servidor 1 em DC2. Os pings devem ter sucesso. Permita que este tráfego de teste seja executado em segundo plano enquanto você completa as tarefas de verificação.

Verifique os detalhes da política interna

Purpose

Verifique os detalhes da política aplicada para a sessão interna.

Action

A partir do modo operacional, entre no show security policies policy-set PSET-1 comando.

Verifique o tráfego de inspeção de túneis

Purpose

Exibir os detalhes de tráfego da inspeção de túnel.

Action

A partir do modo operacional, entre no show security flow tunnel-inspection statistics comando.

Verifique o perfil de inspeção de túneis e VNI

Purpose

Exibir o perfil de inspeção de túnel e os detalhes do VNI.

Action

A partir do modo operacional, entre no show security tunnel-inspection profiles comando.

A partir do modo operacional, entre no show security tunnel-inspection vnis comando.

Verifique os fluxos de segurança

Purpose

Exibir informações de fluxo de segurança VXLAN no SRX para confirmar que a inspeção de túnel VXLAN está funcionando.

Action

A partir do modo operacional, entre no show security flow session vxlan-vni 1100 comando.

Confirme que o SSH está bloqueado

Purpose

Tente estabelecer uma sessão de SSH entre o servidor 1 em DC1 e o servidor 2 em DC2. Com base na política que permite apenas o tráfego de ping nesta sessão, esta sessão deve ser bloqueada no SRX.

Action

A partir do modo operacional, entre no show security flow session vxlan-vni 1100 comando.

Configuração para inspeção de nível de zona, IDP, segurança de conteúdo e anti-malware avançado para inspeção de túneis

Use essa etapa se quiser configurar a inspeção de nível de zona e aplicar serviços de camada 7, como IDP, Juniper ATP, Segurança de conteúdo e anti-malware avançado ao tráfego de túneis. Esse recurso é compatível com o Junos OS Release 21.1R1 em diante.

Este exemplo usa os seguintes componentes de hardware e software:

  • Um firewall da Série SRX ou firewall virtual vSRX
  • Versão Junos OS 21.1R1

Estamos usando a mesma configuração de livros de endereços, zonas de segurança, interfaces, perfil de inspeção de túneis e política de segurança para a sessão externa criada na configuração

Essa etapa pressupõe que você tenha inscrito seu firewall da Série SRX no Juniper ATP. Para obter mais informações sobre como inscrever seu firewall da Série SRX, veja a inscrição de um dispositivo da Série SRX com a Nuvem Avançada de Prevenção de Ameaças da Juniper.

Nesta configuração, você criará um conjunto de políticas para a sessão interna e aplicará IDP, segurança de conteúdo, antimalware avançado ao tráfego de túneis.

Configuração rápida da CLI

Para configurar rapidamente este exemplo em seu firewall da Série SRX, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia [editar].

Configuração em dispositivo da Série SRX

Crie inspeção de nível de zona para inspeção de túneis

Você pode adicionar controle de política de nível de zona para inspeção de túnel EVPN-VXLAN para o tráfego interno. Essa política realiza inspeção de segurança contra a carga de tráfego VXLAN correspondente. Na etapa seguinte, você especificaremos de zona a zona para zona para o tráfego.

Crie IDP, segurança de conteúdo e anti-malware avançado para inspeção de túneis

Você pode adicionar serviços de segurança como IDP, aniti-malware avançado, segurança de conteúdo, proxy SSL para a inspeção de túnel EVPN-VXLAN para o tráfego interno. Essa política realiza inspeção de segurança contra a carga de tráfego VXLAN correspondente.

Na etapa seguinte, você habilitará serviços como IDP, Segurança de conteúdo, proxy SSL, inteligência de segurança, serviços avançados anti-malware, especificando-os em uma ação de permissão de política de segurança, quando o tráfego corresponde à regra da política.

As etapas a seguir mostram trechos de configuração de segurança de conteúdo, IDP e políticas avançadas anti-malware à primeira vista.

  • Configure uma política avançada anti-malware.

  • Configure o perfil de inteligência de segurança.

  • Configure a política de IDP.

  • Configure a política de segurança de conteúdo.

  • Configure perfis SSL.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show security comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

[edit]

user@host# show security

[edit]

user@host# show services

Se você terminar de configurar o recurso em seu dispositivo, entre no commit modo de configuração.

Configurações completas de dispositivos

Consulte essas configurações para entender ou recriar melhor o contexto deste exemplo. Eles incluem as configurações EVPN-VXLAN baseadas em ERB completas para os switches da Série QFX que formam as malhas de DC, bem como o estado final do firewall da Série SRX para os exemplos básicos e avançados de inspeção de túneis VXLAN.

Nota:

As configurações fornecidas não mostram login do usuário, registro de sistema ou configuração relacionada ao gerenciamento, pois isso varia de acordo com a localização não está relacionado ao recurso de inspeção de túnel VXLAN.

Para obter mais detalhes e exemplo sobre a configuração da EVPN-VXLAN, veja o exemplo de configuração de rede na configuração de uma malha EVPN-VXLAN para uma rede de campus com ERB.

Configuração no dispositivo Leaf 1

Configuração no dispositivo Spine 1

Configuração no dispositivo Leaf 2

Configuração no dispositivo Spine 2

Configuração básica de inspeção de túnel no dispositivo da Série SRX

Configuração de inspeção de túnel no dispositivo da Série SRX com serviços de segurança de camada 7