Configuração de políticas de segurança para uma instância de roteamento VRF
Visão geral
Uma política de segurança é um conjunto de declarações que controla o tráfego de uma fonte especificada para um destino especificado usando um serviço especificado. Uma política permite, nega ou túneis determinados tipos de tráfego unidirecionalmente entre dois pontos. As políticas de segurança aplicam um conjunto de regras para o tráfego de trânsito, identificando qual tráfego pode passar pelo firewall e as ações tomadas no tráfego à medida que passa pelo firewall. As ações para o tráfego que correspondam aos critérios especificados incluem permissão e negação.
Quando um firewall da Série SRX recebe um pacote que corresponde às especificações, ele executa a ação especificada na política.
Controle do tráfego na arquitetura SD-WAN
Em uma SD-WAN, o firewall da Série SRX pode ser configurado em um hub e em um local de spoke. Você pode permitir ou negar o tráfego baseado em roteamento e encaminhamento virtual (VRF) que entra no dispositivo a partir de túneis overlay aplicando políticas de firewall. Você pode configurar o firewall da Série SRX para permitir ou negar o tráfego que é enviado para uma instância VRF. A configuração do dispositivo no local do hub permite que você controle todo o tráfego em um único local e forneça acesso a serviços de rede específicos aplicando políticas de firewall.
O Junos OS Release 19.1R1 oferece suporte à implantação de SDWAN baseada em MPLS em dispositivos SRX1500, SRX4100, SRX4200 e SRX4600.
A partir do Junos OS Release 22.2R1, oferecemos suporte à implantação de SDWAN baseada em MPLS para dispositivos de SRX5400, SRX5600 e SRX5800.
Cada política de segurança consiste em:
-
Um nome único para a política.
-
A
from-zone
e ato-zone
, por exemplo:user@host# set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone
. -
Um conjunto de critérios de correspondência que define as condições que devem ser satisfeitas para aplicar a regra da política. Os critérios de correspondência são baseados em um endereço IP de origem, endereço IP de destino e aplicativos. O firewall de identidade do usuário oferece maior granularidade ao incluir um tuple adicional, como a identidade de origem, como parte da declaração de política.
-
Um conjunto de ações a serem realizadas em caso de correspondência — permitir ou negar.
-
Um conjunto de vrf de origem.
-
Um conjunto de grupos VRF de destino.
As opções de configuração para as instâncias VRF de origem e destino são opcionais. Você pode configurar o VRF de origem ou um VRF de destino, mas recomendamos que você não configure vrf de origem e VRF de destino. A principal razão para configurar o VRF de origem ou VRF de destino é diferenciar diferentes rótulos MPLS que passam por uma interface de rede física compartilhada.
A Tabela 1 lista quando configurar o VRF de origem e o VRF de destino.
Tipo de rede da fonte ao destino |
Recomendado para configurar VRF de origem |
Recomendado para configurar o VRF de destino |
Política VRF diferenciada por |
---|---|---|---|
Rede IP para rede IP |
Não |
Não |
Zonas |
Rede IP para rede MPLS |
Não |
Sim |
VRF de destino |
Rede MPLS para rede IP |
Sim |
Não |
VRF de origem |
Rede MPLS para rede MPLS sem NAT de destino |
Sim |
Não |
VRF de origem |
Rede MPLS para rede MPLS com NAT de destino |
Sim |
Sim |
VRF de origem e VRF de destino |
Entendendo as regras da política de segurança
Uma política de segurança aplica regras de segurança ao tráfego de trânsito em um contexto (from-zone
a to-zone
). Cada política é identificada exclusivamente pelo seu nome. O tráfego é classificado combinando suas zonas de origem e destino, os endereços de origem e destino, o aplicativo, o VRF de origem e o VRF de destino que o tráfego transporta em seus cabeçalhos de protocolo com o banco de dados de políticas no plano de dados.
Cada política está associada às seguintes características:
Uma zona de origem
Uma zona de destino
Um ou muitos nomes de endereços ou nomes de endereços de origem
Nomes de endereços ou endereços de destino ou nomes de endereços
Um ou muitos nomes de aplicativos ou nomes de configuração de aplicativos
Uma ou muitas instâncias VRF de origem, por exemplo, a instância de roteamento VRF associada a um pacote de entrada
Uma ou muitas instâncias VRF de destino em que a rota de endereço de próximo salto ou destino MPLS está localizada
Essas características são chamadas de critérios de correspondência. Cada política também tem ações associadas a ela: permitir, negar e rejeitar. Você precisa especificar os argumentos de condição de correspondência quando configura uma política, endereço fonte, endereço de destino, nome do aplicativo, VRF de origem e VRF de destino.
Você pode configurar VRF de origem ou VRF de destino, mas não é recomendado configurar VRF de origem e VRF de destino. A principal razão para configurar VRF de origem e VR de destino é diferenciar diferentes rótulos MPLS que passam por uma interface de rede física compartilhada. Se o VRF de origem e o VRF de destino não estiverem configurados, o dispositivo determinará a origem e o VRF de destino como qualquer outro.
Exemplo: configuração de uma política de segurança para permitir ou negar tráfego baseado em VRF da rede MPLS para uma rede IP
Este exemplo mostra como configurar uma política de segurança para permitir o tráfego e negar tráfego usando o VRF de origem.
Requisitos
-
Entenda como criar uma zona de segurança. Vejaexemplo: criação de zonas de segurança.
-
Firewall da Série SRX com o Junos OS Release 15.1X49-D160 ou posterior. Este exemplo de configuração é testado para o Junos OS Release 15.1X49-D160.
-
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Visão geral
No Junos OS, as políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo dispositivo e das ações que precisam ocorrer no tráfego à medida que ele passa pelo dispositivo. Na Figura 1, um firewall da Série SRX é implantado em uma SD-WAN para controlar o tráfego usando o VRF de origem. O tráfego da rede MPLS é enviado ao site A e ao site B da rede IP. De acordo com o requisito da rede, o tráfego do site A deve ser negado, e apenas o tráfego do local B deve ser permitido.
Este exemplo de configuração mostra como:
Negar tráfego para VRF-a (de GRE_Zone-GE_Zone a GRE_Zone)
Permitir tráfego para VRF-b (de GRE_Zone-GE_Zone a GRE_Zone)
Neste exemplo, o VRF de origem está configurado. Recomendamos que você configure o VRF de origem quando a rede de destino aponta para a rede MPLS.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set routing-instances VRF-a instance-type vrf set routing-instances VRF-a route-distinguisher 10:200 set routing-instances VRF-a vrf-target target:100:100 set routing-instances VRF-a vrf-table-label set routing-instances VRF-b instance-type vrf set routing-instances VRF-b route-distinguisher 20:200 set routing-instances VRF-b vrf-target target:200:100 set routing-instances VRF-b vrf-table-label set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-l3vpn-vrf-group VRF-a set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy then deny set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-l3vpn-vrf-group VRF-b set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
As VPNs de camada 3 exigem uma tabela VRF para distribuir rotas dentro das redes. Crie uma instância VRF e especifique o valor vrf.
[edit routing-instances] user@host# set VRF-a instance-type vrf user@host# set VRF-b instance-type vrf
Atribua um diferencial de rota à instância de roteamento.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200
Crie uma política de comunidade para importar ou exportar todas as rotas.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100
Atribua um único rótulo de VPN para todas as rotas do VRF.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-b vrf-table-label
Crie uma política de segurança para negar o tráfego VRF-a.
[edit security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group VRF-a user@host# set policy vrf-a_policy then deny
Crie uma política de segurança para permitir o tráfego VRF-b.
[edit security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match source-l3vpn-vrf-group VRF-b user@host# set policy vrf-b_policy then permit
Nota:Se nenhum grupo VRF de destino estiver configurado, o dispositivo considera que o tráfego passa de VRF-a para qualquer vrf.
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security policies
comandos e show routing-instances
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone { policy vrf-a_policy { match { source-address any; destination-address any; application any; source-l3vpn-vrf-group VRF-a; } then { deny; } } policy vrf-b_policy { match { source-address any; destination-address any; application any; source-l3vpn-vrf-group VRF-b; } then { permit; } }
[edit] user@host# show routing-instances VRF-a { instance-type vrf; route-distinguisher 10:200; vrf-target target:100:100; vrf-table-label; } VRF-b { instance-type vrf; route-distinguisher 20:200; vrf-target target:200:100; vrf-table-label; } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificando a configuração da política
Propósito
Verifique as informações sobre políticas de segurança.
Ação
Desde o modo operacional, entre no show security policies
comando para exibir um resumo de todas as políticas de segurança configuradas no dispositivo.
user@root> show security policies Default policy: permit-all From zone: GRE_Zone-GE_Zone, To zone: GRE_Zone Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source vrf: VRF-a destination vrf: any Source addresses: any Destination addresses: any Applications: any Action: deny Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2 Source vrf: VRF-b destination vrf: any Source addresses: any Destination addresses: any Applications: any Action: permit
Exemplo: configuração de uma política de segurança para permitir o tráfego baseado em VRF de uma rede IP para uma rede MPLS
Este exemplo mostra como configurar uma política de segurança para permitir o tráfego usando o VRF de destino.
Requisitos
-
Entenda como criar uma zona de segurança. Veja exemplo: criação de zonas de segurança.
-
Firewall da Série SRX com o Junos OS Release 15.1X49-D160 ou posterior. Este exemplo de configuração é testado para o Junos OS Release 15.1X49-D160.
-
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Visão geral
No Junos OS, as políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo dispositivo e das ações que precisam ocorrer no tráfego à medida que ele passa pelo dispositivo.
Neste exemplo, um firewall da Série SRX é implantado em uma arquitetura SD-WAN para controlar o tráfego usando o VRF de destino. Você precisa configurar políticas para controlar o tráfego. A política padrão não oferece suporte a opções VRF. O tráfego da rede IP, que é o site A e o site B, é enviado para a rede MPLS. Ao configurar as políticas, você pode permitir o tráfego do site A e do site B para a rede MPLS.
Na Figura 2, o VRF de origem não está configurado, pois a interface LAN não pertence a uma rede MPLS. Recomendamos que você configure o VRF de destino quando a rede de destino aponta para a rede MPLS.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set routing-instances VRF-a’ instance-type vrf set routing-instances VRF-a’ route-distinguisher 10:200 set routing-instances VRF-a’ vrf-target target:100:100 set routing-instances VRF-a’ vrf-table-label set routing-instances VRF-b’ instance-type vrf set routing-instances VRF-b’ route-distinguisher 20:200 set routing-instances VRF-b’ vrf-target target:200:100 set routing-instances VRF-b’ vrf-table-label set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy then permit set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Configurar uma política para permitir o tráfego da rede IP para a rede MPLS usando o VRF de destino:
As VPNs de camada 3 exigem uma tabela VRF para distribuir rotas dentro das redes. Crie uma instância VRF e especifique o valor vrf.
[edit routing-instances] user@host# set VRF-a’ instance-type vrf user@host# set VRF-b’ instance-type vrf
Atribua um diferencial de rota à instância de roteamento.
[edit routing-instances] user@host# set VRF-a’ route-distinguisher 10:200 user@host# set VRF-b’ route-distinguisher 20:200
Crie uma política de comunidade para importar ou exportar todas as rotas.
[edit routing-instances] user@host# set VRF-a’ vrf-target target:100:100 user@host# set VRF-b’ vrf-target target:200:100
Atribua um único rótulo de VPN para todas as rotas do VRF.
[edit routing-instances] user@host# set VRF-a’ vrf-table-label user@host# set VRF-b’ vrf-table-label
Crie uma política de segurança para permitir o tráfego VRF-a' da rede IP.
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ user@host# set policy vrf-a_policy then permit
Crie uma política de segurança para permitir o tráfego VRF-b da rede IP.
[edit security policies from-zone LAN-b_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ user@host# set policy vrf-b_policy then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security policies
comandos e show routing-instances
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security policies from-zone LAN-a_Zone to-zone GRE_Zone { policy vrf-a_policy { match { source-address any; destination-address any; application any; destination-l3vpn-vrf-group "VRF-a'"; } then { permit; } } } from-zone LAN-b_Zone to-zone GRE_Zone { policy vrf-b_policy { match { source-address any; destination-address any; application any; destination-l3vpn-vrf-group "VRF-b'"; } then { permit; } } }
[edit] user@host# show routing-instances VRF-a’ { instance-type vrf; route-distinguisher 10:200; vrf-target target:100:100; vrf-table-label; } VRF-b’ { instance-type vrf; route-distinguisher 20:200; vrf-target target:200:100; vrf-table-label; }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificando a configuração da política
Propósito
Verifique se a política de segurança permite o tráfego baseado em VRF da rede IP para a rede MPLS.
Ação
Desde o modo operacional, entre no show security policies
comando para exibir um resumo de todas as políticas de segurança configuradas no dispositivo.
user@host> show security policies From zone: LAN-a_Zone, To zone: GRE_Zone Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source vrf: any destination vrf: VRF-a' Source addresses: any Destination addresses: any Applications: any Action: permit From zone: LAN-b_Zone, To zone: GRE_Zone Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1 Source vrf: any destination vrf: VRF-b' Source addresses: any Destination addresses: any Applications: any Action: permit
Exemplo: configuração de uma política de segurança para permitir o tráfego baseado em VRF de uma rede MPLS para uma rede MPLS por GRE sem NAT
Este exemplo mostra como configurar uma política de segurança para permitir o tráfego usando o VRF de origem.
Requisitos
-
Entenda como criar uma zona de segurança. Veja exemplo: criação de zonas de segurança.
-
Firewall da Série SRX com o Junos OS Release 15.1X49-D160 ou posterior. Este exemplo de configuração é testado para o Junos OS Release 15.1X49-D160.
-
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Visão geral
No Junos OS, as políticas de segurança aplicam regras para o tráfego de trânsito, em termos do que o tráfego pode passar pelo dispositivo e das ações que precisam ocorrer no tráfego à medida que ele passa pelo dispositivo. Na Figura 3, um firewall da Série SRX é implantado em uma arquitetura SD-WAN para controlar o tráfego usando o VRF de origem. Você precisa configurar políticas para controlar o tráfego. Você pode permitir o tráfego de uma rede MPLS para outra rede MPLS configurando políticas.
Recomendamos que você configure tanto o VRF de origem quanto o VRF de destino quando a origem e o destino forem da rede MPLS.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set routing-instances VRF-a instance-type vrf set routing-instances VRF-a route-distinguisher 10:200 set routing-instances VRF-a vrf-target target:100:100 set routing-instances VRF-a vrf-table-label set routing-instances VRF-b instance-type vrf set routing-instances VRF-b route-distinguisher 20:200 set routing-instances VRF-b vrf-target target:200:100 set routing-instances VRF-b vrf-table-label set routing-instances VRF-a’ instance-type vrf set routing-instances VRF-a’ route-distinguisher 30:200 set routing-instances VRF-a’ vrf-target target:300:100 set routing-instances VRF-a’ vrf-table-label set routing-instances VRF-b’ instance-type vrf set routing-instances VRF-b’ route-distinguisher 40:200 set routing-instances VRF-b’ vrf-target target:400:100 set routing-instances VRF-b’ vrf-table-label set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-l3vpn-vrf-group VRF-a set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy then permit set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-l3vpn-vrf-group VRF-b set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy then permit
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Configurar uma política para permitir o tráfego de uma rede MPLS para uma rede MPLS usando VRF de origem:
As VPNs de camada 3 exigem uma tabela VRF para distribuir rotas dentro das redes. Crie uma instância VRF e especifique o valor vrf.
[edit routing-instances] user@host# set VRF-a instance-type vrf user@host# set VRF-b instance-type vrf user@host# set VRF-a’ instance-type vrf user@host# set VRF-b’ instance-type vrf
Atribua um diferencial de rota à instância de roteamento.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200 user@host# set VRF-a’ route-distinguisher 30:200 user@host# set VRF-b’ route-distinguisher 40:200
Crie uma política de comunidade para importar ou exportar todas as rotas.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100 user@host# set VRF-a’ vrf-target target:300:100 user@host# set VRF-b’ vrf-target target:400:100
Atribua um único rótulo de VPN para todas as rotas do VRF.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-a’ vrf-table-label user@host# set VRF-b vrf-table-label user@host# set VRF-b’ vrf-table-label
Crie uma política de segurança para permitir o tráfego VRF-a da rede MPLS.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group VRF-a user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ user@host# set policy vrf-a_policy then permit
Crie uma política de segurança para permitir o tráfego VRF-b da rede MPLS.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match source-l3vpn-vrf-group VRF-b user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ user@host# set policy vrf-b_policy then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security policies
comandos e show routing-instances
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show security policies from-zone GRE-1_Zone to-zone GRE-2_Zone { policy vrf-a_policy { match { source-address any; destination-address any; application any; source-l3vpn-vrf-group VRF-a; destination-l3vpn-vrf-group "VRF-a'"; } then { permit; } } policy vrf-b_policy { match { source-address any; destination-address any; application any; source-l3vpn-vrf-grou VRF-b; destination-l3vpn-vrf-group "VRF-b'"; } then { permit; } } }
[edit] user@host# show routing-instances VRF-a { instance-type vrf; route-distinguisher 10:200; vrf-target target:100:100; vrf-table-label; } VRF-b { instance-type vrf; route-distinguisher 20:200; vrf-target target:200:100; vrf-table-label; } VRF-a’ { instance-type vrf; route-distinguisher 30:200; vrf-target target:300:100; vrf-table-label; } VRF-b’ { instance-type vrf; route-distinguisher 40:200; vrf-target target:400:100; vrf-table-label; }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificando a configuração da política
Propósito
Verifique se a política de segurança permite o tráfego baseado em VRF da rede IP para a rede MPLS.
Ação
Desde o modo operacional, entre no show security policies
comando para exibir um resumo de todas as políticas de segurança configuradas no dispositivo.
user@host> show security policies From zone: GRE-1_Zone, To zone: GRE-2_Zone Policy: vrf-a_policy, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1 Source vrf: VRF-a destination vrf: VRF-a' Source addresses: any Destination addresses: any Applications: any Action: permit Policy: vrf-b_policy, State: enabled, Index: 8, Scope Policy: 0, Sequence number: 2 Source vrf: VRF-b destination vrf: VRF-b' Source addresses: any Destination addresses: any Applications: any Action: permit
Exemplo: Configuração de políticas de segurança usando instâncias de roteamento VRF em uma rede MPLS
Este exemplo mostra como configurar políticas de segurança usando instâncias de roteamento VRF.
Requisitos
Firewall da Série SRX com o Junos OS Release 15.1X49-D160 ou posterior. Este exemplo de configuração é testado para o Junos OS Release 15.1X49-D160.
Configure interfaces de rede no dispositivo. Consulte o guia de usuário de interfaces para dispositivos de segurança.
Entenda como criar uma zona de segurança. Veja exemplo: criação de zonas de segurança.
Visão geral
Neste exemplo, você cria políticas de segurança usando instâncias de roteamento e encaminhamento virtual (VRF) para isolar a travessia de tráfego nas seguintes redes:
Um MPLS para uma rede IP privada
Um IP global para uma rede MPLS
Rede MPLS para rede IP privada
Procedimento
Procedimento passo a passo
As VPNs de camada 3 exigem uma tabela VRF para distribuir rotas dentro das redes. Crie uma instância VRF e especifique o valor vrf.
[edit routing-instances] user@host#set VRF-a instance-type vrf user@host#set VRF-b instance-type vrf
Atribua um diferencial de rota à instância de roteamento.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200
Crie uma política de comunidade para importar ou exportar todas as rotas.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100
Atribua um único rótulo de VPN para todas as rotas do VRF.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-b vrf-table-label
Crie uma política de segurança para permitir o tráfego da VRF-a destinada à LAN A.
[edit security policies from-zone GRE_Zone to-zone LAN-a_Zone] set policy vrf-a_policy match source-address any set policy vrf-a_policy match destination-address any set policy vrf-a_policy match application any set policy vrf-a_policy match source-l3vpn-vrf-group VRF-a set policy vrf-a_policy then permit
Crie uma política de segurança para permitir o tráfego de VRF-b destinado à LAN B.
[edit security policies from-zone GRE_Zone to-zone LAN-b_Zone] set policy vrf-b_policy match source-address any set policy vrf-b_policy match destination-address any set policy vrf-b_policy match application any set policy vrf-b_policy match source-l3vpn-vrf-group VRF-b set policy vrf-b_policy then permit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show security policies
comandos e show routing-instances
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@host# show security policies
from-zone GRE_Zone to-zone LAN-a_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone GRE_Zone to-zone LAN-b_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group VRF-b;
}
then {
permit;
}
}
}
[edit] user@host# show routing-instances VRF-a { instance-type vrf; route-distinguisher 10:200; vrf-target target:100:100; vrf-table-label; } VRF-b { instance-type vrf; route-distinguisher 20:200; vrf-target target:200:100; vrf-table-label; }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Rede IP global para uma rede MPLS
Procedimento
Procedimento passo a passo
As VPNs de camada 3 exigem uma tabela VRF para distribuir rotas dentro das redes. Crie uma instância VRF e especifique o valor vrf.
[edit routing-instances] user@host# set VRF-a instance-type vrf user@host# set VRF-b instance-type vrf user@host# set VRF-a’ instance-type vrf user@host# set VRF-b’ instance-type vrf
Atribua um diferencial de rota à instância de roteamento.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200 user@host# set VRF-a’ route-distinguisher 30:200 user@host# set VRF-b’ route-distinguisher 40:200
Crie uma política de comunidade para importar ou exportar todas as rotas.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100 user@host# set VRF-a’ vrf-target target:300:100 user@host# set VRF-b’ vrf-target target:400:100
Atribua um único rótulo de VPN para todas as rotas do VRF.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-a’ vrf-table-label user@host# set VRF-b vrf-table-label user@host# set VRF-b’ vrf-table-label
Crie o pool de NAT de destino.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-a_p address 20.0.0.4/24 user@host# set pool vrf-b_p routing-instance VRF-b user@host# set pool vrf-b_p address 30.0.0.4/24
Crie um conjunto de regras de NAT de destino.
[edit security nat destination] user@host# set rule-set rs from interface ge-0/0/0.0 user@host# set rule-set rs rule vrf-a_r match destination-address 40.0.0.4/24 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p
Configure uma regra que combine pacotes e traduza o endereço de destino para o endereço no pool.
[edit security nat destination] user@host# set rule-set rs from interface ge-0/0/1.0 user@host# set rule-set rs rule vrf-b_r match destination-address 50.0.0.4/24 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Configure uma política de segurança que permita o tráfego da zona não confiável para o servidor na zona de confiança.
[edit security policies from-zone internet to-zone trust] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ user@host# set policy vrf-a_policy then permit user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ user@host# set policy vrf-b_policy then permit
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show security policies
e show routing-instances
nos show security nat
comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@host# show security policies
from-zone internet to-zone trust {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group VRF-a;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group VRF-b;
}
then {
permit;
}
}
}
[edit] user@host# show routing-instances VRF-a { instance-type vrf; route-distinguisher 10:200; vrf-target target:100:100; vrf-table-label; } VRF-b { instance-type vrf; route-distinguisher 20:200; vrf-target target:200:100; vrf-table-label; } VRF-a’ { instance-type vrf; route-distinguisher 30:200; vrf-target target:300:100; vrf-table-label; } VRF-b’ { instance-type vrf; route-distinguisher 40:200; vrf-target target:400:100; vrf-table-label; }
user@host#
show security nat destination
pool vrf-a_p {
routing-instance {
VRF-a’;
}
address 20.0.0.4/24;
}
pool vrf-b_p {
routing-instance {
VRF-b’;
}
address 30.0.0.4/24;
}
rule-set rs {
from interface [ ge-0/0/0.0 ge-0/0/1.0 ];
rule vrf-a_r {
match {
destination-address 40.0.0.4/24;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 50.0.0.4/24;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Verificando a regra de NAT de destino
Propósito
Exibir informações sobre todas as regras de NAT de destino.
Ação
A partir do modo operacional, entre no show security nat destination rule all
comando.
user@host> show security nat destination rule all Total destination-nat rules: 1 Total referenced IPv4/IPv6 ip-prefixes: 6/0 Destination NAT rule: rule1 Rule-set: vrf-b_r Rule-Id : 2 Rule position : 2 From routing instance : vrf-b_r Destination addresses : 50.0.0.4 - 50.0.0.4 Action : vrf-b_p Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0
[... Saída truncada...]
Significado
O comando exibe a regra NAT de destino. Veja o campo de tradução para verificar se o tráfego corresponde à regra de destino.
Verificação da sessão de fluxo
Propósito
Exibir informações sobre todas as sessões de segurança ativas do dispositivo no momento.
Ação
A partir do modo operacional, entre no show security flow session
comando.
user@host>show security flow session Flow Sessions on FPC0 PIC1: Session ID: 10115977, Policy name: SG/4, State: Active, Timeout: 62, Valid In: 203.0.113.11/1000 203.0.113.1/2000;udp, Conn Tag: 0x0, If: reth1.1, VRF: VRF-a, Pkts: 1, Bytes: 86, CP Session ID: 10320276 Out: 203.0.113.1/2000 203.0.113.11/1000;udp, Conn Tag: 0x0, If: reth0.0, VRF: VRF-b, Pkts: 0, Bytes: 0, CP Session ID: 10320276
Significado
O comando exibe detalhes sobre todas as sessões ativas. Veja o campo VRF para verificar os detalhes da instância de roteamento VRF no fluxo.