Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

通过 SRX 系列设备对 EVPN-VXLAN 进行隧道检测

总结 阅读本主题,了解如何设置安全设备以对 EVPN-VXLAN 执行隧道检测,从而提供嵌入式安全性。

概述

(以太网 VPN)EVPN-(虚拟可扩展 LAN)VXLAN 为企业提供了一个用于管理园区和数据中心网络的通用框架。

移动和物联网设备的使用量迅速增加,为网络增加了大量的端点。现代企业网络必须快速扩展,以便提供对设备的即时访问,并扩展这些端点的安全性和控制力。

为了提供端点灵活性,EVPN-VXLAN 将底层网络(物理拓扑)与叠加网络(虚拟拓扑)分离。通过使用叠加,您可以灵活地在园区和数据中心的端点之间提供第 2 层/第 3 层连接,同时保持一致的底层架构。

您可以在 EVPN-VXLAN 解决方案中使用 SRX 系列防火墙连接园区、数据中心、分支机构和公共云环境中的端点,同时提供嵌入式安全性。

从 Junos OS 21.1R1 版开始,SRX 系列防火墙还可以对 EVPN-VXLAN 隧道流量应用以下第 4 层/第 7 层安全服务:

  • 应用程序识别

  • 国内流离失所者

  • 瞻博网络 ATP(以前称为 ATP 云)

  • 内容安全

图 1 显示了基于 Edge 路由桥接 (ERB) 的 EVPN-VXLAN 交换矩阵的典型部署方案,其中 SRX 系列防火墙充当增强型边界叶 (EBL) 角色。EBL 增强了边界叶的传统作用,能够对 VXLAN 隧道中的流量执行检查。

图 1:采用 SRX 系列设备的 EVPN-VXLAN Architecture with SRX Series Device EVPN-VXLAN 架构

在图中,源自叶 1 设备的 VXLAN 流量遍历用作 EBL 的 SRX 系列防火墙。在此用例中,SRX 系列防火墙放置在边界,即园区或数据中心的入口和出口点,以便对通过防火墙的 VXLAN 封装数据包进行状态检测。

在架构图中,您可以注意到 SRX 系列防火墙位于两个 VTEP 设备(对网络流量执行 VXLAN 封装和解封装的设备)之间。当您使用适当的安全策略启用隧道检测功能时,SRX 系列防火墙会执行状态检测。

好处

在 EVPN VXLAN 中添加 SRX 系列防火墙可提供:

  • 借助 EVPN-VXLAN 叠加网络中的企业级防火墙功能提高安全性。
  • 通过第 4 层/第 7 层安全服务针对 VXLAN 封装流量进行增强的隧道检测。

示例 - 为 EVPN-VXLAN 隧道检测配置安全策略

使用此示例配置安全策略,以便对 SRX 系列防火墙上的 EVPN EVPN-VXLAN 隧道流量进行检查。

要求

此示例使用以下硬件和软件组件:

  • SRX 系列防火墙或 vSRX 虚拟防火墙
  • Junos OS 20.4R1 版

此示例假定您已经有一个基于 EVPN-VXLAN 的网络,并希望在 SRX 系列防火墙上启用隧道检测。

开始之前

  • 确保 SRX 系列防火墙上具有有效的应用程序标识功能许可证,并且在设备上安装了应用程序签名包。
  • 确保您了解 EVPN 和 VXLAN 的工作原理。请参阅 EVPN-VXLAN 园区架构 ,详细了解 EVPN-VXLAN
  • 此示例假定您已经有一个基于 EVPN-VXLAN 的网络交换矩阵,并希望在 SRX 系列防火墙上启用隧道检测。您可以在 完整设备配置中查看此示例中使用的叶设备和主干设备的示例配置。

在此示例中,我们将重点配置 SRX 系列防火墙,该防火墙是工作 EVPN-VXLAN 网络的一部分,该网络由两个每个站点和一个 IP 交换矩阵的 DC 位置组成。SRX 系列防火墙位于两个数据中心之间的数据中心互连 (DCI) 角色中。在此配置中,当您启用隧道检测时,SRX 系列防火墙会对在 DC 之间流动的 VXLAN 封装流量执行状态检测。

在本例中,我们使用 图 2 所示的拓扑结构。

概述

图 2:VXLAN 隧道检测 Topology for VXLAN Tunnel Inspection的拓扑

如拓扑所示,SRX 系列防火墙正在检查来自 DC-1 和 DC-2 数据中心叶子上的 VXLAN 隧道端点 (VTEP) 的中转 VLAN 封装流量。任何充当第 2 层或第 3 层 VXLAN 网关的瞻博网络设备(包括物理和虚拟设备)都可以作为 VTEP 设备来执行封装和解封装。

从服务器 1 收到第 2 层或第 3 层数据包后,叶 1 VTEP 添加相应的 VXLAN 报头,然后使用 IPv4 外部报头封装数据包,以便于通过 IPv4 底层网络建立数据包隧道。然后,叶 2 上的远程 VTEP 对流量进行解封装,并将原始数据包转发至目标主机。借助 Junos 软件 20.4 版,SRX 系列防火墙能够对通过它的 VXLAN 封装叠加网络流量执行隧道检测。

在此示例中,您将创建一个安全策略来启用对封装在 VXLAN 隧道中的流量的检查。在本例中,我们使用 表 1 中所述的参数。

表 1:配置参数
参数 说明 参数名称
安全策略 用于创建由 VXLAN 叠加网络流量触发的流会话的策略。此策略引用外部 IP 源和目标地址。即源和目标 VTEP 的 IP 地址。在此示例中,这是叶的环路地址。 小一
策略集 内部流量检查策略。此策略对匹配的 VXLAN 隧道流量的内容进行操作。 PSET-1
隧道检测配置文件 指定 VXLAN 隧道上的安全检查参数。 TP-1
VXLAN 网络标识符 (VNI) 列表或范围的名称 用于唯一标识 VXLAN 隧道 ID 的列表或范围。 VLAN-100
VXLAN 隧道标识符名称。 用于在隧道检测配置文件中以符号方式命名 VXLAN 隧道。 VNI-1100

在 SRX 系列防火墙上配置隧道检测安全策略时,当数据包与安全策略匹配时,它会解封装数据包以访问内部标头。接下来,它会应用隧道检查配置文件来确定是否允许内部流量。安全设备使用内部数据包内容和应用的隧道检测配置文件参数执行策略查找,然后对内部会话执行状态检测。

配置

在此示例中,您将在 SRX 系列防火墙上配置以下功能:

  1. 定义信任和不信任区域以允许所有主机流量。这支持到主干设备的 BGP 会话,并允许来自任一区域 (DC) 的 SSH 等。
  2. 在 VNI 1100(针对 VLAN 100 延伸的第 2 层)中检查 192.168.100.0/24 子网中所有主机从 DC1 流向 DC2 的流量。策略应允许 ping,但拒绝所有其他流量。
  3. 允许从 DC2 到 DC1 的所有返回流量,而不进行隧道检查。
  4. 允许所有其他底层和叠加网络流量,而无需从 DC1 到 DC2 进行 VXLAN 隧道检查。

使用以下步骤在 VXLAN-EVPN 环境中对安全设备启用隧道检测:

注意:

为此示例中使用的所有设备提供了 完整的功能配置, 以帮助读者测试此示例。

此示例重点介绍启用和验证 VXLAN 隧道检测功能所需的配置步骤。假定 SRX 系列防火墙配置了接口寻址、BGP 对等和策略,以支持其 DCI 角色。

CLI 快速配置

要在 SRX 系列防火墙上快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中。

SRX 系列设备上的配置

分步过程

  1. 配置安全区域、接口和地址簿。 请注意,/24 前缀长度用于指定外部 (VTEP) 和内部(服务器)地址。虽然可以在此简单示例中使用 /32 主机路由,但使用 /24 将匹配来自 192.168.100/0/24 子网中其他叶 (VTEP) 或主机的流量。
  2. 定义隧道检测配置文件。您可以指定应检查的 VNI 的范围或列表。

    在此示例中,只需要一个 VNI,因此 vni-id 使用关键字而不是 vni-range 选项。

    隧道检测配置文件链接到 VNI 列表/范围以及应应用于具有匹配 VNI 的 VXLAN 隧道的相关策略。
  3. 创建要在外部会话上匹配的安全策略。 此策略是指您之前定义的用于匹配源和目标 VTEP 地址的全局通讯簿条目。这些地址在底层中用于支持叠加层中的 VXLAN 隧道。匹配的流量将定向到 TP-1 您在上一步中定义的隧道检测配置文件。在此示例中,目标是检查源自 DC1 并在 DC2 终止的 VXLAN 隧道。因此,不需要在返回流量上匹配第二个策略(DC2 叶 1 为源 VTEP)。
  4. 为内部会话创建策略集。

    此策略针对匹配的 VXLAN 流量的有效负载执行安全检查。在此示例中,这是从 DC1 中 VLAN 100 上的服务器 1 发送到 DC2 中的服务器 1 的流量。通过指定 junos-icmp-all 匹配条件,您可以确保 ping 请求和回复都可以从服务器 1 离子 DC1 传递到 DC2 中的服务器 1。如果指定 junos-icmp-ping ,则仅允许源自 DC1 的 ping。

    回想一下,在此示例中,只允许 ping 来帮助促进对结果功能的测试。您可以匹配 application any 以允许所有流量,或更改匹配标准以满足您的特定安全需求。

  5. 定义接受数据中心之间的所有其他流量所需的策略,而无需进行任何隧道检测。

结果

在配置模式下,输入 show security 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

[edit]

user@host# show security

如果在设备上完成功能配置,请从配置模式输入 commit

验证

此时,您应该在 DC1 中的服务器 1 和 DC2 中的服务器 1 之间生成 ping 流量。ping 应该成功。在完成验证任务时,允许此测试流量在后台运行。

验证内部策略详细信息

Purpose

验证应用于内部会话的策略的详细信息。

Action

在操作模式下,输入 show security policies policy-set PSET-1 命令。

检查隧道检测流量

Purpose

显示隧道检测流量详细信息。

Action

在操作模式下,输入 show security flow tunnel-inspection statistics 命令。

检查隧道检测配置文件和 VNI

Purpose

显示隧道检测配置文件和 VNI 详细信息。

Action

在操作模式下,输入 show security tunnel-inspection profiles 命令。

在操作模式下,输入 show security tunnel-inspection vnis 命令。

检查安全流

Purpose

在 SRX 上显示 VXLAN 安全流信息,以确认 VXLAN 隧道检测正常工作。

Action

在操作模式下,输入 show security flow session vxlan-vni 1100 命令。

确认 SSH 已被阻止

Purpose

尝试在 DC1 中的服务器 1 和 DC2 中的服务器 2 之间建立 SSH 会话。根据仅允许 ping 流量的策略,应在 SRX 上阻止此会话。

Action

在操作模式下,输入 show security flow session vxlan-vni 1100 命令。

用于区域级检测、IDP、内容安全和用于隧道检测的高级反恶意软件的配置

如果要配置区域级检测,并将第 7 层服务(如 IDP、瞻博网络 ATP、内容安全和高级反恶意软件)应用于隧道流量,请使用此步骤。从 Junos OS 21.1R1 版开始支持此功能。

此示例使用以下硬件和软件组件:

  • SRX 系列防火墙或 vSRX 虚拟防火墙
  • Junos OS 21.1R1 版

我们对外部会话使用的地址簿、安全区域、接口、隧道检测配置文件和安全策略配置与在配置中创建的配置相同

此步骤假定您已向瞻博网络 ATP 注册 SRX 系列防火墙。有关如何注册 SRX 系列防火墙的详细信息,请参阅 使用瞻博网络高级威胁防御云注册 SRX 系列设备

在此配置中,您将为内部会话创建策略集,并将 IDP、内容安全、高级反恶意软件应用于隧道流量。

CLI 快速配置

要在 SRX 系列防火墙上快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改任何必要的详细信息以匹配您的网络配置,然后将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中。

SRX 系列设备上的配置

为隧道检测创建区域级检测

您可以为内部流量的 EVPN-VXLAN 隧道检测添加区域级策略控制。此策略针对匹配的 VXLAN 流量的有效负载执行安全检查。在以下步骤中,您将为流量指定从区域和到区域。

为隧道检测创建 IDP、内容安全和高级反恶意软件

您可以添加安全服务,如 IDP、高级 aniti 恶意软件、内容安全、SSL 代理,以便对内部流量进行 EVPN-VXLAN 隧道检测。此策略针对匹配的 VXLAN 流量的有效负载执行安全检查。

在以下步骤中,您将启用 IDP、内容安全、SSL 代理、安全智能、高级反恶意软件服务等服务,方法是在流量与策略规则匹配时在安全策略允许操作中指定这些服务。

以下步骤一目了然地显示了内容安全、IDP 和高级反恶意软件策略的配置片段。

  • 配置高级反恶意软件策略。

  • 配置安全智能配置文件。

  • 配置 IDP 策略。

  • 配置内容安全策略。

  • 配置 SSL 配置文件。

结果

在配置模式下,输入 show security 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。

[edit]

user@host# show security

[edit]

user@host# show services

如果在设备上完成功能配置,请从配置模式输入 commit

完整的设备配置

请参阅这些配置以更好地理解或重新创建此示例的上下文。其中包括构成 DC 交换矩阵的 QFX 系列交换机的完整基于 ERB 的 EVPN-VXLAN 配置,以及基本和高级 VXLAN 隧道检测示例的 SRX 系列防火墙的结束状态。

注意:

提供的配置不显示用户登录、系统日志记录或管理相关配置,因为这些配置因位置而异,与 VXLAN 隧道检测功能无关。

有关配置 EVPN-VXLAN 的更多详细信息和示例,请参阅 使用 ERB 为园区网络配置 EVPN-VXLAN 交换矩阵中的网络配置示例。

叶 1 设备上的配置

主干 1 设备上的配置

叶 2 设备上的配置

主干 2 设备上的配置

SRX 系列设备上的基本隧道检测配置

具有第 7 层安全服务的 SRX 系列设备上的隧道检测配置