Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:在 VXLAN 中使用基于组策略的微观和宏观分段

总结 VXLAN-GBP

概述

您可以使用基于组的策略 (GBP) 在 VXLAN 架构中实现微观和宏观分段,例如保护数据和资产。GBP 利用底层 VXLAN 技术提供与位置无关的端点访问控制。GBP 允许您跨企业网络域实施一致的安全策略。您可以使用 GBP 简化网络配置,避免在所有交换机上配置大量防火墙过滤器。GBP 可确保在整个网络中一致地应用安全组策略,而不管端点或用户位于何处,从而阻止横向威胁。VXLAN-GBP 的工作原理是利用 VXLAN 报头中的保留字段用作可扩展组标记 (SGT)。您可以将 SGT 用作防火墙过滤器规则中的匹配条件。使用 SGT 比使用端口或 MAC 地址更可靠,以实现类似的结果。SGT 可以静态分配(通过按端口或按 MAC 配置交换机),也可以在 RADIUS 服务器上配置,并在用户通过身份验证时通过 802.1X 推送到交换机。

VXLAN-GBP 启用的分段在园区 VXLAN 环境中特别有用,因为它为您提供了一种创建独立于底层网络拓扑的网络访问策略的实用方法。它简化了开发网络-应用程序和端点-设备安全策略的设计和实施阶段。

您可以在 IEEE RFC, I-D.draft-smith-vxlan-group-policy 中找到有关 VXLAN-GBP 标准的更多详细信息。就此示例而言,VXLAN-GBP 将 VXLAN 报头中的保留字段用作可扩展组标记,如图所示。

图 1:VXLAN 标头字段 VXLAN Header Fields

表 1 根据提供支持时的 Junos 版本,提供了支持 VXLAN-GBP 的交换机的详细信息。

表 1: VXLAN-GBP 支持的交换机
Junos 版本 VXLAN-GBP 支持的交换机

从 Junos OS 21.1R1 版开始

EX4400-24P、EX4400-24T、EX4400-48F、EX4400-48P 和 EX4400-48T

从 Junos OS 21.2R1 版开始

EX4400-24MP 和 EX4400-48MP

从 Junos OS 21.4R1 版开始

  • QFX5120-32C 和 QFX5120-48Y

  • EX4650

从 Junos OS 22.4R1 版开始
  • EX4100 系列

从 Junos OS 23.2R1 版开始
  • EX9204 系列(带 EX9200-15C)

  • EX9208 系列(带 EX9200-15C)

  • EX9214 系列(带 EX9200-15C)

从 Junos OS 22.4R1 版开始,GBP 配置发生了变化,如 表 2 所示。

表 2:Junos OS 版本中 GBP 实现的差异
Junos OS 21.1R1 及更高版本中的 GBP Junos OS 22.4R1 及更高版本中的 GBP

GBP 标记语句:

set firewall family ethernet-switching filter filter-name term term name from match-conditions
set firewall family ethernet-switching filter filter-name term term name then gbp-src-tag/gbp-des-tag tag

GBP 标记语句:

set firewall family any filter filter-name micro-segmentation
set firewall family any filter filter-name term term name from match-conditions
set firewall family any filter filter-name term term name then gbp-tag tag
注意:
  • 姓氏 “any” 取代了姓氏 “以太网交换”

  • 添加了术语“微分段”

  • “gbp-tag”术语取代了“gbp-src-tag”“gbp-dst-tag”术语

支持的英镑匹配条件:

interface<interface_name>

source-mac-address<mac address>

支持的英镑匹配条件:

  • ip-version ipv4 <ip address> | <prefix-list>

  • ip-version ipv6<ip address> | <prefix-list>

  • mac-address<mac address>

  • VLAN ID <vlan id> 接口 <interface_name>

  • vlan-id<vlan id>

  • interface<interface_name>

策略实施

set firewall family ethernet-switching filter filter-name term term name from gbp-dst-tag gbp tag 

set firewall family ethernet-switching filter filter-name term term name from gbp-src-tag gbp tag 

set firewall family ethernet-switching filter  filter-name term term name then discard
注意:

仅在出口端点上支持策略实施。用于启用 GBP 的 CLI 语句:

set chassis forwarding-options vxlan-gbp-profile

策略实施

set firewall family any filter filter-name term term name from gbp-dst-tag gbp tag 

set firewall family any filter filter-name term term name from gbp-src-tag gbp tag 

set firewall family any filter filter-name term term name then discard
注意:

姓氏 “any” 取代了姓氏 “以太网交换”

注意:

入口和出口端点均支持策略实施。默认情况下,出口节点上支持策略实施。

  • 用于启用 GBP 的 CLI 语句:

    set chassis forwarding-options vxlan-gbp-profile
  • 用于在入口端点上执行策略实施的 CLI 语句:

    set fowarding-options evpn-vxlan gbp ingress-enforcement 

Junos OS 23.2R1 及更高版本:

  • 策略实施支持其他 IPV4 和 IPv6 L4 匹配。

  • 支持 vxlan-gbp-l2-profilevxlan-gbp-l3-profile

Junos OS 22.4R1 及更高版本中的 GBP

从 Junos OS 22.4R1 版开始,您可以在入口端点执行策略实施,并对其他匹配条件执行 GBP 标记。

表 3 显示了支持的 GBP 标记匹配条件:

表 3:匹配条件(Junos OS 22.4R1 及更高版本)
匹配条件 说明

ip-version ipv4 <ip address> | <prefix-list>

ip-version ipv6 <ip address> | <prefix-list>

匹配 IPv4/IPv6 源地址或目标地址/前缀列表。

mac-address <mac address>

匹配源或目标 MAC 地址。

interface <interface_name>

匹配接口名称。
注意:

Junos OS 23.4R1 及更高版本支持单个防火墙过滤器术语内的多个 interface <interface_name> 匹配条件。

注意:

Junos OS 23.4R1 及更高版本还允许您在单个防火墙过滤器术语中将此匹配条件与匹配条件(如果支持匹配条件)vlan-id一起vlan-id配置。

vlan-id <vlan id> | <vlan list> | <vlan-range>

匹配 VLAN ID。
注意:

EX4100 交换机不支持

注意:

Junos OS 23.4R1 及更高版本支持 <vlan list><vlan-range> 选项。

注意:

Junos OS 23.4R1 及更高版本还允许您在单个防火墙过滤器术语中配置此匹配条件以及 interface 匹配条件。

Junos OS 23.2R1 及更高版本支持 vxlan-gbp-l2 配置文件和 vxlan-gbp-l3 配置文件。请参阅 表 4

表 4:支持的 VXLAN-GBP UFT 配置文件
配置文件 支持的交换机
vxlan-gbp-profile
  • EX4100 系列

  • EX4400 系列

  • EX4650 系列

  • QFX5120-32C 和 QFX5120-48Y 交换机

vxlan-gbp-l2-profile vxlan-gbp-l3-profile
  • EX4400 系列

  • EX4650 系列

  • QFX5120-32C 和 QFX5120-48Y 交换机

GBP 策略过滤器使用 GBP 源和/或 GBP 目标标记作为匹配项来允许或丢弃流量。从 Junos OS 23.2R1 版开始,EX4100、EX4400、EX4650、QFX5120-32C 和 QFX5120-48Y 交换机支持新的 GBP 策略过滤器(IPv4 和 IPv6)L4 匹配。这些匹配可帮助您保留有助于仅阻止应用程序流量的特定规则,请参阅 表 5

表 5:支持其他 L4 策略匹配(Junos OS 23.2R1 及更高版本)
MAC 和 IP 的策略实施匹配 GBP 标记数据包 说明
ip-version ipv4 destination-port dst_port

匹配 TCP/UDP 目标端口。

ip-version ipv4 source-port src_port

匹配 TCP/UDP 源端口。

ip-version ipv4 ip-protocol ip-protocol

匹配 IP 协议类型。

ip-version ipv4 is-fragment

如果数据包是分片,则匹配。

ip-version ipv4 fragment-flags flags

匹配片段标志(符号或十六进制格式)。

ip-version ipv4 ttl value

匹配 MPLS/IP TTL 值。

ip-version ipv4 tcp-flags flags

匹配 TCP 标志(符号或十六进制格式)-(仅限入口)。

ip-version ipv4 tcp-initial

匹配 TCP 连接的初始数据包 -(仅限入口)。

ip-version ipv4 tcp-established

匹配已建立的 TCP 连接的数据包。

ip-version ipv6 destination-port dst_port

匹配 TCP/UDP 目标端口。

ip-version ipv6 source-port src_port 匹配 TCP/UDP 源端口。
ip-version ipv6 next-header protocol 匹配下一个标头协议类型。
ip-version ipv6 tcp-flags flags 匹配 TCP 标志(符号或十六进制格式)仅入口。
ip-version ipv6 tcp-initial 匹配 TCP 连接的初始数据包。
ip-version ipv6 tcp-established 匹配已建立的 TCP 连接的数据包。
注意:

EX9204、EX9208 和 EX9214 交换机不支持这些 L4 匹配。

为 802.1X GBP 标记分配分配 SGT

在此示例中,我们在 RADIUS 服务器上配置 SGT,然后在启用 GBP 的接入交换机上使用 802.1X 访问控制,以便在匹配的端点连接到交换机时接收 SGT。RADIUS 服务器通常用于园区环境中的访问控制,例如,管理 VLAN 的分配。

注意:
  • 如果使用单安全或多请求模式配置 802.1X 身份验证,则 GBP 标记基于 MAC。如果使用单请求方模式配置 802.1X 身份验证,则 GBP 标记是基于端口的。

  • 802.1X 不支持 IP 地址、VLAN-ID 和 VLAN-ID+接口匹配。

为了适应在 RADIUS 服务器上使用 SGT,我们需要利用 AAA 服务框架支持的供应商特定属性 (VSA)(这些 VSA 作为标准 RADIUS 请求回复消息的一部分携带,并提供内置扩展来处理特定于实现的信息,例如我们的 SGT)。RADIUS 服务器上的确切语法因身份验证方案是基于 MAC 还是基于 EAP 而有所不同。对于基于 MAC 的客户端,配置如下所示:

对于基于 EAP 的客户端,SGT 在身份验证时从 RADIUS 服务器推送。配置如下所示:

从 Junos OS 版本 23.4R1 开始,除了现有的 Juniper-Switching-FilterEX4400、EX4100、EX4650 和 QFX5120 交换机上还支持新的 VSA 调用 Juniper-Group-Based-Policy-Id

注意:

不应将基于瞻博网络组策略 ID VSA 和瞻博网络交换过滤器 VSA 同时用于同一客户端。

如果两个 VSA 都存在且包含不同的 GBP 标记值,则不会对客户端进行身份验证。

您可以通过以下任一 VSA 从 RADIUS 动态分配 GBP 标记:

  • Juniper-Switching-Filter 携带 GBP 过滤器和其他过滤器匹配和操作条件。

  • Juniper-Group-Based-Policy-Id 携带 GBP 标记。

Juniper-Group-Based-Policy-Id适用于 MAC 和基于端口的 GBP 标记筛选器的 VSA 如下所示:

从 Junos OS 23.4R1 及更高版本开始,GBP 功能支持也添加到 EX4400、EX4100、EX4650 和 QFX5120 交换机上的以下配置语句中:

表 6:带 GBP 标记的配置语句

Cli

描述

set protocols dot1x authenticator interface [interface-names] server-fail gbp-tag gbp-tag

指定在无法访问服务器时要在接口上应用的 GBP 标记。如果配置 且gbp-taggbp-tag客户端在 或 server-fail permitvlan-nameserver-fail进行身份验证,则还会为客户端安装配置的gbp-tag gbp-tag筛选器。

只有在配置了server-failvlan-nameserver-failpermit选项时,才能配置此选项。

set protocols dot1x authenticator interface [interface-names] server-reject-vlan gbp-tag gbp-tag

指定 RADIUS 拒绝客户端身份验证时要应用的 GBP 标记。如果配置 并且gbp-taggbp-tag客户端在 中server-reject vlan进行身份验证,则还会为客户端安装配置的gbp-tag过滤器。

只能在配置选项server-reject-vlanvlan-id时配置 。server-reject gbp-tag gbp-tag

set protocols dot1x authenticator interface [interface-names] guest-gbp-tag gbp-tag

指定将接口移动到访客 VLAN 时要应用的 GBP 标记。如果配置了 并且 guest-gbp-tag 客户端在访客 VLAN 中进行身份验证,则还会为客户端安装配置的 guest-gbp-tag 过滤器。

只能在配置选项guest-vlanvlan-id时配置 。guest-gbp-tag

有关访客 VLAN 的详细信息,请参阅 802.1X 身份验证

您可以使用或show dot1x interface detailshow ethernet-switching table命令验证从 RADIUS 接收的 GBP 标记。

下面是命令 show ethernet-switching table 的示例输出:

基于 GBP 的筛选器用作 GBP 标记的分类器。这些过滤器对传入流进行分类并分配 GBP 标记。

您可以在以下代码示例中看到其工作原理。GBP 防火墙策略基于源和目标 GBP 标记进行构建。

源标记是传入数据包中 VXLAN 标头中的 16 位字段,派生自源地址(IP/MAC/端口等)查找,而目标标记根据配置的标记分配在目标(IP/MAC/端口等)的出口隧道或入口端点派生。

对于 RADIUS 服务器的 VSA(供应商特定属性)中指定的 GBT 标记,配置的 GBP 标记是范围 (1-65535) 范围内的非零正值。

假设我们在入口和出口端点上都有此配置(如下所示)。我们建议您在整个系统中使用相同的 GBP 标签分配配置。来自源 MAC 地址 00:01:02:03:04:10:10 的数据包被分配标记 100,来自源 MAC 地址 00:01:02:03:04:20:20 的数据包被分配 200。

对于 GBP 标记为 100 且目标 MAC 地址为 00:01:02:03:04:10:10的数据包,目标组标记 (gbp-dst-tag) 将为 100,并且将按期限 t10-100匹配。同样,对于 GBP 标记为 100 且目标 MAC 地址为 00:01:02:03:04:20:20的数据包,目标组标记将为 200,并且它将匹配术语 t10-200

用于将源 MAC 地址映射到源标记的相同标记分配也用于将目标 MAC 地址映射到目标标记。对于基于端口的分配也是如此。

在 Junos OS 23.2R1 及更高版本中,EX4100、EX4400、EX4650、QFX5120-32C 和 QFX5120-48Y 交换机支持针对 MAC 和基于 IP 的 GBP 过滤器的 GBP 策略过滤器进行额外的 L4 匹配。请参阅 表 5。配置 L4 过滤器可能会降低支持的 GBP 规模。默认情况下支持这些匹配项,但在 EX4650 系列、QFX5120-32C 和 QFX5120-48Y 交换机上,您可以使用 在 set forwarding-options evpn-vxlan gbp tag-only-policy GBP 策略中仅允许 gbp 源和目标标记作为匹配项。

让我们看另一个代码示例,这次使用 GBP 源标记 300,以及来自 IPv4 地址 172.16.1.0/24的数据包。正如您在下面看到的,GBP 源标记 300 已分配且位于出口方向,300 也是 GBP 目标组标记。

从 Junos OS 23.4R1 版开始,EX4400、EX4650 和 QFX5120 交换机使用列表和范围选项在一个术语中支持相同类型的 VLAN、端口和端口+VLAN 类型 GBP 过滤器中的多个条目,而 EX4100 交换机仅支持端口类型 GBP 过滤器中的多个条目。

请参阅以下示例:

在此示例中,对于 GBP 标记为 300 的数据包,它与 VLAN ID 地址上的术语 t1 匹配,范围为 10 到 30。

在此示例中,对于 GBP 标记为 300 的数据包,它匹配接口 101 到 104 列表的术语 t1,其中 101 到 104 是为各个接口分配的连续内部接口索引。

注意:

GBP 标记的优先级如下,IP 版本是最高优先级:

  • ip-version ipv4 <ip address> | <prefix-list>

  • ip-version ipv6<ip address> | <prefix-list>

  • mac-address<mac address>

  • interface<interface_name> VLAN ID <vlan id>

  • vlan-id<vlan id>

  • interface<interface_name>

请注意,默认情况下,策略实施是在出口端点上完成的。如果要对入口叶执行策略,请参阅以下部分。

您可以通过选择最能满足您网络需求的三个配置文件之一来启用 VXLAN-GBP。每个 UFT 配置文件都为每种类型的地址配置了不同的最大值。有关何时使用这些配置文件的更多信息,请参阅 了解 GBP 配置文件 。请参阅 vxlan-gbp-profilevxlan-gbp-l2-profilevxlan-gbp-l3-profile ,查看这些配置文件支持的音阶。

入口端点的策略实施概述

从 Junos 22.4R1 版开始,您还可以在入口终端上执行策略实施。入口实施可优化网络带宽。为了支持在入口上实施策略,我们提供了一种机制,可以使用 2 类和 5 类路由在网络上传播基于 MAC 和 IP-MAC 的标记。有关详细信息,请参阅 EVPN 类型 2 和类型 5 路由 。这样,基于目标 GBP 的策略将在靠近入口的节点中实施,以实现 MAC 和基于 IP 的 GBP 匹配。标记传播始终在 MAC 和基于 IP 的 GBP 上下文中进行。对于 VLAN、端口和端口 + VLAN 匹配项,这不适用。

注意:

如果主机路由与具有 GBP 标记的类型 2 路由一起安装,则会在类型 5 路由中添加 GBP 标记。支持类型 2 到 5 类 GBP 标记传播,但不支持类型 5 路由到类型 2 路由 GBP 标记传播。

对于多宿主拓扑,请在多宿主成员之间保持配置相同。

您必须启用以下语句才能在入口节点上执行策略实施。启用或禁用入口强制后,数据包转发引擎 (PFE) 将重新启动。

主机发起的数据包

当数据包通过虚拟隧道端点 (VTEP) 从集成路由和桥接 (IRB) 接口出口时,内核会在 VXLAN 标头中插入源 GBP 标记并发送数据包。使用以下语句配置源 GBP 标签值:

在创建任何规则之前,通过为所有终结点(用户和设备)和分配的 SGT 值创建一个表来组织方案会很有帮助。下表可用于进一步简化逻辑并阐明规则。

表 7:端点及其 SGT 值

端点

分配的 SGT 值

长期雇员

100

承包商 (CON)

200

保安人员(党卫军)

300

安全凸轮 (CAM)

400

工程服务器 (ES)

500

RADIUS 服务器与 SGT、EX4400 和 VXLAN 数据包标头以及用于管理访问策略的中央防火墙过滤器之间的关系使得矩阵成为组织值的便捷方式。在下表中,我们在第一列中列出了用户角色和第一行的设备类型,以创建访问矩阵。系统会为每个用户角色和设备类型分配一个 SGT,并且 RADIUS 配置已使用信息进行更新。

此示例使用三种类型的员工:永久员工 (PE)、承包商 (CON) 和安保人员 (SS)。它还使用两种类型的资源,Eng Server (ES) 和安全摄像头 (CAM)。我们使用 Y 表示允许访问,使用 N 表示阻止访问。在策略中创建各种防火墙规则时,该表可用作有用的资源,并使访问映射简单明了。

表 8:访问矩阵
  ES (SGT 500) CAM (SGT 400) PE (SGT 100) CON (SGT 200) SS (SGT 300)
PE (SGT 100) Y N Y Y N
CON (SGT 200) N N Y N N
党卫军 (SGT 300) N Y N N Y

拓扑

为简单起见,此示例中的所有配置均在运行 Junos OS 22.4.1R1 版的单个瞻博网络 EX4400 系列交换机上完成。交换机已连接到 AAA 的 RADIUS 服务器。在此示例中,此交换机用作出口。回想一下,对于 SGT,您必须在出口交换机上定义防火墙,而您通常会在接入层的入口 VXLAN 网关上定义防火墙。

图 2:EX4400 交换机 VXLAN GBP on an EX4400 Switch上的 VXLAN GBP

要求

以下交换机上的 Junos OS 22.4R1 支持增强型 GBP:EX4100、EX4400、EX4650、QFX5120-32C 和 QFX5120-48Y。

配置

基于 VXLAN-GBP 的分段:

  • 用户登录到网络并由 RADIUS 服务器(在其上为所有端点配置 SGT)进行身份验证。
  • EX4400 使用防火墙过滤器根据 802.1X 身份验证或 MAC 地址选择流量,然后将组标记分配给匹配帧。(对于经过 dot1x 身份验证的客户端,不需要静态防火墙配置)。其机制是使用防火墙执行的,如下所示:
  • 同样,使用防火墙过滤器的机制,根据 SGT 值评估通过 EX4400 的标记流量。
    • 首先在设备上启用 chassis forwarding-options vxlan-gbp-profile

    • gbp-dst-tag 使用和/或gbp-src-tag 匹配条件编写防火墙规则,并将其包含在用于 GBP 微分段的出口交换机上的路由策略中。从 Junos OS 23.2R1 版开始,除了源标记和目标标记外,还支持新的 GBP 策略过滤器 IPv4 和 IPv6 L4 匹配项,如协议、源端口、目标端口、TCP 标志和其他匹配项。请参阅表 5
    • 如果您希望在入口端点实施策略,则需要启用该 set fowarding-options evpn gbp ingress-enforcement 选项。

为 VXLAN-GBP 配置独立的瞻博网络 EX4400 交换机

使用以下命令在沙盒环境中配置 VXLAN-GBP 分段。通常,您会在用作接入层(出口)VXLAN 网关的交换机上创建防火墙过滤规则,但为简单起见,我们对防火墙过滤规则和 RADIUS 服务器(此处为 EAP)使用相同的独立 EX4400。我们在此示例中使用的值取自前面的表。

以下命令包括配置文件名称和 IP 地址等变量,这些变量必须进行调整才能适合您的测试环境。

  1. 配置 RADIUS 服务器:
  2. 配置物理端口以支持 RADIUS 身份验证:
  3. 使用瞻博网络交换过滤器或基于瞻博网络组策略 ID 在 RADIUS 服务器上设置 SGT 标记 :
  4. 在交换机上启用 VXLAN-GBP:
  5. 创建利用 SGT 的防火墙过滤器规则(使用矩阵中组织的值):
  6. 在 Junos 中运行提交检查,以验证您使用的命令和变量是否有效。如果对配置感到满意,请提交候选配置,使其在设备上处于活动状态。这些命令如下所示。您也可以通过键入 run show configuration来查看配置。

EX 交换机和 QFX 交换机的限制:

  • EX9204、EX9208 和 EX9214 交换机:对于通过 EVPN-VXLAN 2 类隧道的传输流量,只有在底层网络中传输且没有任何损害的情况下,出口 PE 上基于 GBP 标记的策略实施才能正常工作。

  • EX9204、EX9208 和 EX9214 交换机不支持通过 RADIUS/802.1X 配置的 SGT。

  • EX9204、EX9208 和 EX9214 交换机不支持入口端点上的标记传播和策略实施。

  • EX9204、EX9208 和 EX9214 交换机不支持 GBP UFT 配置文件。

  • EX4400 和 QFX5120 平台的唯一标记数量限制为 1K。

  • interface EX4100 交换机不支持和 VLAN GBP 匹配。

  • 不支持基于组播 IP 的 GBP 标记。

  • 基于 IP 的 GBP 不适用于第 2 层交换流,基于 MAC 的 GBP 不适用于访问到接入的第 3 层路由流。

  • 配置基于端口的 (interface) GBP 时,不支持 IPACL。

  • 监管器和计数操作仅支持基于 MAC 和基于 IP 的 GBP 策略条目。

  • 服务提供商样式的逻辑接口不支持基于 VLAN 的 GBP。

  • ARP 数据包不受 GBP 策略的约束。但是,主机之间的后续数据包会受到 GBP 管制的约束。

  • GBP 标记分配筛选器不支持计数器选项。

  • GBP 过滤器的不同匹配标准(MAC、PORT 和 PORT+VLAN)不属于同一过滤器。

GBP Junos OS 21.1R1 及更高版本

使用 RADIUS 服务器分配 SGT

在此示例中,我们在 RADIUS 服务器上配置 SGT,然后在 EX4400 上使用 802.1X 访问控制来接收它们。RADIUS 服务器通常用于园区环境中的访问控制,例如,管理 VLAN 的分配。

为了适应在 RADIUS 服务器上使用 SGT,我们需要利用 AAA 服务框架支持的供应商特定属性 (VSA)(这些 VSA 作为标准 RADIUS 请求回复消息的一部分携带,并提供内置扩展来处理特定于实现的信息,例如我们的 SGT)。RADIUS 服务器上的确切语法因身份验证方案是基于 MAC 还是基于 EAP 而有所不同。对于基于 MAC 的客户端,配置如下所示:

对于基于 EAP 的客户端,SGT 在身份验证时从 RADIUS 服务器推送。配置如下所示:

从 Junos 21.1R1 版开始,EX4400 交换机引入了与 VXLAN-GBP 配合使用的新匹配条件,允许防火墙识别由 RADIUS 服务器传递并插入 VXLAN 报头的 SGT 标记。

您可以在以下代码示例中看到其工作原理。GBP 防火墙策略基于源和目标 GBP 标记进行构建。源标记是传入数据包中 VXLAN 标头中的 16 位字段,而目标标记是根据配置的标记分配在出口隧道端点派生的。

假设我们有一个出口端点,其配置如下所示。来自源 MAC 地址 00:01:02:03:04:10:10 的数据包被分配标记 100,来自源 MAC 地址 00:01:02:03:04:20:20 的数据包被分配 200。

对于 GBP 标记为 100 且目标 MAC 地址为 00:01:02:03:04:10:10的数据包,目标组标记 (gbp-dst-tag) 将为 100,并且将按期限 t10-100匹配。同样,对于 GBP 标记为 100 且目标 MAC 地址为 00:01:02:03:04:20:20的数据包,目标组标记将为 200,并且它将匹配术语 t10-200

用于将源 MAC 地址映射到源标记的相同标记分配也用于将目标 MAC 地址映射到目标标记。对于基于端口的分配也是如此。

让我们看另一个代码示例,这次使用 GBP 源标记 300,并带有数据包入口接口 ge-0/0/30.0。正如您在下面看到的,GBP 源标记 300 已分配且位于出口方向,300 也是 GBP 目标组标记。

请注意,您需要在出口交换机上配置 GBP 防火墙过滤器,因为入口交换机无法知道出口交换机使用了哪些组标记。此外,您必须在入口节点上全局启用 VXLAN-GBP,以便它可以对匹配项执行查找,并在 VXLAN 标头和出口节点中添加 SGT。使用此处所示的配置命令执行此操作:

在创建任何规则之前,通过为所有终结点(用户和设备)和分配的 SGT 值创建一个表来组织方案会很有帮助。在这里,我们展示了一个这样的表,其值稍后将应用于矩阵中,可用于进一步简化逻辑并阐明您的规则。

表 9:端点及其 SGT 值

端点

分配的 SGT 值

长期雇员

100

承包商 (CON)

200

保安人员(党卫军)

300

安全凸轮 (CAM)

400

工程服务器 (ES)

500

RADIUS 服务器与 SGT、EX4400 和 VXLAN 数据包标头以及用于管理访问策略的中央防火墙过滤器之间的关系使得矩阵成为组织值的便捷方式。在下表中,我们在第一列中列出了用户角色和第一行的设备类型,以创建访问矩阵。系统会为每个用户角色和设备类型分配一个 SGT,并且 RADIUS 配置已使用信息进行更新。

此示例使用三种类型的员工:永久员工 (PE)、承包商 (CON) 和安保人员 (SS)。它还使用两种类型的资源,Eng Server (ES) 和安全摄像头 (CAM)。我们使用 Y 表示允许访问,使用 N 表示阻止访问。在策略中创建各种防火墙规则时,该表可用作有用的资源,并使访问映射简单明了。

表 10:访问矩阵
  ES (SGT 500) CAM (SGT 400) PE (SGT 100) CON (SGT 200) SS (SGT 300)
PE (SGT 100) Y N Y Y N
CON (SGT 200) N N Y N N
党卫军 (SGT 300) N Y N N Y

拓扑

为简单起见,此示例中的所有配置均在运行 Junos OS 21.1R1 版的单个瞻博网络 EX4400 系列交换机上完成。交换机已连接到 AAA 的 RADIUS 服务器。在此示例中,此交换机用作出口。回想一下,对于 SGT,您必须在出口交换机上定义防火墙,而您通常会在接入层的入口 VXLAN 网关上定义防火墙。

图 3:EX4400 交换机 VXLAN GBP on an EX4400 Switch上的 VXLAN GBP

要求

以下交换机上的 Junos OS 21.1R1 版支持 VXLAN-GBP:EX4400-24P、EX4400-24T、EX4400-48F、EX4400-48P 和 EX4400-48T。本例中让我们考虑一台 EX4400 交换机。

从 Junos 21.4R1 版开始,以下交换机也支持 VXLAN-GBP:QFX5120-32C、QFX5120-48T、QFX5120-48Y、QFX5120-48YM、EX4650 和 EX4650-48Y-VC。

配置

我们可以总结上文段落中基于 VXLAN-GBP 的分段背后的事件顺序,如下所示:

  • 用户登录到网络并由 RADIUS 服务器(在其上为所有端点配置 SGT)进行身份验证。
  • EX4400 使用防火墙过滤器根据 802.1X 身份验证或 MAC 地址选择流量,然后将组标记分配给匹配帧。(对于经过 dot1x 身份验证的客户端,不需要静态防火墙配置)。其机制是使用防火墙执行的,如下所示:
  • 同样,使用防火墙过滤器的机制,根据 SGT 值评估通过 EX4400 的标记流量。为此,您首先需要在交换机上启用chassis forwarding-options vxlan-gbp-profile,然后使用和/或gbp-src-tag 匹配条件编写gbp-dst-tag 防火墙规则,并将其包含在用于 GBP 微分段的出口交换机上的路由策略中。

为 VXLAN-GBP 配置独立的瞻博网络 EX4400 交换机

使用以下命令在沙盒环境中配置 VXLAN-GBP 分段。通常,您会在用作接入层(出口)VXLAN 网关的交换机上创建防火墙过滤规则,但为简单起见,我们对防火墙过滤规则和 RADIUS 服务器(此处为 EAP)使用相同的独立 EX4400。此示例中使用的值来自前面的表。

以下命令包括配置文件名称和 IP 地址等变量,这些变量必须进行调整才能适合您的测试环境。

  1. 配置 RADIUS 服务器:
  2. 配置物理端口以支持 RADIUS 身份验证:
  3. 在 RADIUS 服务器上设置 SGT 标记:
  4. 在交换机上启用 VXLAN-GBP:
  5. 创建利用 SGT 的防火墙过滤器规则(使用矩阵中组织的值):
  6. 在 Junos 中运行提交检查,以验证您使用的命令和变量是否有效。如果对配置感到满意,请提交候选配置,使其在设备上处于活动状态。这些命令如下所示。您也可以通过键入 run show configuration来查看配置。