通过 SRX 系列设备对 EVPN-VXLAN 进行隧道检测

好处

在 EVPN VXLAN 中添加 SRX 系列防火墙可提供：

• 借助 EVPN-VXLAN 叠加网络中的企业级防火墙功能提高安全性。
• 通过第 4 层/第 7 层安全服务针对 VXLAN 封装流量进行增强的隧道检测。

要求

此示例使用以下硬件和软件组件：

• SRX 系列防火墙或 vSRX 虚拟防火墙
• Junos OS 20.4R1 版

此示例假定您已经有一个基于 EVPN-VXLAN 的网络，并希望在 SRX 系列防火墙上启用隧道检测。

开始之前

• 确保 SRX 系列防火墙上具有有效的应用程序标识功能许可证，并且在设备上安装了应用程序签名包。
• 确保您了解 EVPN 和 VXLAN 的工作原理。请参阅 EVPN-VXLAN 园区架构 ，详细了解 EVPN-VXLAN

• 此示例假定您已经有一个基于 EVPN-VXLAN 的网络交换矩阵，并希望在 SRX 系列防火墙上启用隧道检测。您可以在 完整设备配置中查看此示例中使用的叶设备和主干设备的示例配置。

概述

在此示例中，我们将重点配置 SRX 系列防火墙，该防火墙是工作 EVPN-VXLAN 网络的一部分，该网络由两个每个站点和一个 IP 交换矩阵的 DC 位置组成。SRX 系列防火墙位于两个数据中心之间的数据中心互连 （DCI） 角色中。在此配置中，当您启用隧道检测时，SRX 系列防火墙会对在 DC 之间流动的 VXLAN 封装流量执行状态检测。

在本例中，我们使用 图 2 所示的拓扑结构。

图 2：VXLAN 隧道检测 的拓扑

如拓扑所示，SRX 系列防火墙正在检查来自 DC-1 和 DC-2 数据中心叶子上的 VXLAN 隧道端点 （VTEP） 的中转 VLAN 封装流量。任何充当第 2 层或第 3 层 VXLAN 网关的瞻博网络设备（包括物理和虚拟设备）都可以作为 VTEP 设备来执行封装和解封装。

从服务器 1 收到第 2 层或第 3 层数据包后，叶 1 VTEP 添加相应的 VXLAN 报头，然后使用 IPv4 外部报头封装数据包，以便于通过 IPv4 底层网络建立数据包隧道。然后，叶 2 上的远程 VTEP 对流量进行解封装，并将原始数据包转发至目标主机。借助 Junos 软件 20.4 版，SRX 系列防火墙能够对通过它的 VXLAN 封装叠加网络流量执行隧道检测。

在此示例中，您将创建一个安全策略来启用对封装在 VXLAN 隧道中的流量的检查。在本例中，我们使用 表 1 中所述的参数。

在 SRX 系列防火墙上配置隧道检测安全策略时，当数据包与安全策略匹配时，它会解封装数据包以访问内部标头。接下来，它会应用隧道检查配置文件来确定是否允许内部流量。安全设备使用内部数据包内容和应用的隧道检测配置文件参数执行策略查找，然后对内部会话执行状态检测。

配置

在此示例中，您将在 SRX 系列防火墙上配置以下功能：

1. 定义信任和不信任区域以允许所有主机流量。这支持到主干设备的 BGP 会话，并允许来自任一区域 （DC） 的 SSH 等。
2. 在 VNI 1100（针对 VLAN 100 延伸的第 2 层）中检查 192.168.100.0/24 子网中所有主机从 DC1 流向 DC2 的流量。策略应允许 ping，但拒绝所有其他流量。
3. 允许从 DC2 到 DC1 的所有返回流量，而不进行隧道检查。
4. 允许所有其他底层和叠加网络流量，而无需从 DC1 到 DC2 进行 VXLAN 隧道检查。

使用以下步骤在 VXLAN-EVPN 环境中对安全设备启用隧道检测：

CLI 快速配置

要在 SRX 系列防火墙上快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改任何必要的详细信息以匹配您的网络配置，然后将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中。

SRX 系列设备上的配置

分步过程

1. 配置安全区域、接口和地址簿。 请注意，/24 前缀长度用于指定外部 （VTEP） 和内部（服务器）地址。虽然可以在此简单示例中使用 /32 主机路由，但使用 /24 将匹配来自 192.168.100/0/24 子网中其他叶 （VTEP） 或主机的流量。

2. 定义隧道检测配置文件。您可以指定应检查的 VNI 的范围或列表。

   在此示例中，只需要一个 VNI，因此 vni-id 使用关键字而不是 vni-range 选项。

   隧道检测配置文件链接到 VNI 列表/范围以及应应用于具有匹配 VNI 的 VXLAN 隧道的相关策略。
3. 创建要在外部会话上匹配的安全策略。 此策略是指您之前定义的用于匹配源和目标 VTEP 地址的全局通讯簿条目。这些地址在底层中用于支持叠加层中的 VXLAN 隧道。匹配的流量将定向到 TP-1 您在上一步中定义的隧道检测配置文件。在此示例中，目标是检查源自 DC1 并在 DC2 终止的 VXLAN 隧道。因此，不需要在返回流量上匹配第二个策略（DC2 叶 1 为源 VTEP）。

4. 为内部会话创建策略集。

   此策略针对匹配的 VXLAN 流量的有效负载执行安全检查。在此示例中，这是从 DC1 中 VLAN 100 上的服务器 1 发送到 DC2 中的服务器 1 的流量。通过指定 junos-icmp-all 匹配条件，您可以确保 ping 请求和回复都可以从服务器 1 离子 DC1 传递到 DC2 中的服务器 1。如果指定 junos-icmp-ping ，则仅允许源自 DC1 的 ping。

   回想一下，在此示例中，只允许 ping 来帮助促进对结果功能的测试。您可以匹配 application any 以允许所有流量，或更改匹配标准以满足您的特定安全需求。

5. 定义接受数据中心之间的所有其他流量所需的策略，而无需进行任何隧道检测。

结果

在配置模式下，输入 show security 命令确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明以进行更正。

[edit]

user@host# show security

如果在设备上完成功能配置，请从配置模式输入 commit 。

验证

此时，您应该在 DC1 中的服务器 1 和 DC2 中的服务器 1 之间生成 ping 流量。ping 应该成功。在完成验证任务时，允许此测试流量在后台运行。

• 验证内部策略详细信息
• 检查隧道检测流量
• 检查隧道检测配置文件和 VNI
• 检查安全流
• 确认 SSH 已被阻止

CLI 快速配置

要在 SRX 系列防火墙上快速配置此示例，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改任何必要的详细信息以匹配您的网络配置，然后将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中。

SRX 系列设备上的配置

为隧道检测创建区域级检测

您可以为内部流量的 EVPN-VXLAN 隧道检测添加区域级策略控制。此策略针对匹配的 VXLAN 流量的有效负载执行安全检查。在以下步骤中，您将为流量指定从区域和到区域。

为隧道检测创建 IDP、内容安全和高级反恶意软件

您可以添加安全服务，如 IDP、高级 aniti 恶意软件、内容安全、SSL 代理，以便对内部流量进行 EVPN-VXLAN 隧道检测。此策略针对匹配的 VXLAN 流量的有效负载执行安全检查。

在以下步骤中，您将启用 IDP、内容安全、SSL 代理、安全智能、高级反恶意软件服务等服务，方法是在流量与策略规则匹配时在安全策略允许操作中指定这些服务。

以下步骤一目了然地显示了内容安全、IDP 和高级反恶意软件策略的配置片段。

• 配置高级反恶意软件策略。

• 配置安全智能配置文件。

• 配置 IDP 策略。

• 配置内容安全策略。

• 配置 SSL 配置文件。

结果

在配置模式下，输入 show security 命令确认您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明以进行更正。

[edit]

user@host# show security

[edit]

user@host# show services

如果在设备上完成功能配置，请从配置模式输入 commit 。

叶 1 设备上的配置

主干 1 设备上的配置

叶 2 设备上的配置

主干 2 设备上的配置

SRX 系列设备上的基本隧道检测配置

具有第 7 层安全服务的 SRX 系列设备上的隧道检测配置