Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

使用 VRF 组配置安全策略

概述

在SD-WAN,如果基于 VRF 的不同流量从 GRE 或 GE 等同一隧道进入设备,设备将基于给定 VRF 实例应用策略。设备允许或拒绝发往特定 VRF 实例的信息流,以控制基于 VRF 的信息流。

目前,每种策略都有 5 个匹配条件:

  • 从区域

  • 至区域

  • 源地址

  • 目标地址

  • 应用

图 1 显示策略中的匹配条件。

图 1:匹配条件 Match Conditions

对于当前策略匹配条件,您不能允许 VRF-B1 或 VRF-B2 拒绝 VRF-A1 或 VRF-A2。为了支持这一点,使用 VRF 组将其他匹配条件添加到SD-WAN策略中。

当流收到源和目标 VRF 组的信息时,它将信息转发至策略搜索 API 以及策略密钥元组信息,以满足匹配条件。

图 2 显示了在策略中作为匹配条件添加的 VRF 组。

图 2:带 VRF 组的匹配条件 Match Conditions with VRF group
注意:

如果策略中未指定源和目标 VRF 组信息,则这些组匹配 any VRF 组。

示例:配置安全策略以允许或拒绝来自 MPLS 网络到使用源 VRF 组的 IP 网络的流量

此示例说明了如何配置安全策略,以允许流量和拒绝使用源 VRF 组的流量。

要求

概述

另外Junos OS,安全策略会针对传输流量实施规则,包括流量可以通过设备的信息流,以及流量在通过设备时对流量采取的操作。在 图 3 中,SRX 系列设备部署在SD-WAN以使用源 VRF 组控制流量。来自 GRE MPLS的信息流将发送到 IP 网络的站点 A 和 B。根据网络要求,应该拒绝站点 A 流量,并且应仅允许站点 B 流量。

图 3:来自网络MPLS控制 Policy Control from MPLS network

此配置示例显示如何:

  • 拒绝来自 vpn-A 的流量(从 GRE MPLS)

  • 允许来自 vpn-B 的流量(从 GRE MPLS)

配置

程序

CLI快速配置

[edit]commit快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 CLI 用户指南 中的 在配置模式下Junos OS CLI 编辑器

  1. 使用 VRF 实例 A1 和 A2 创建 VRF 组 vpn-A

  2. 使用 VRF 实例 B1 和 B2 创建 VRF 组 vpn-B

  3. 创建安全策略以拒绝 vpn-A 流量。

  4. 创建安全策略以允许 vpn-B 流量。

结果

在配置模式下,输入 和 命令以确认 show security policies 您的 show routing-instances 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置 commit 模式输入 。

验证

验证策略配置
目的

验证有关安全策略的信息。

行动

在操作模式下,输入 命令 show security policies 以显示设备上配置的所有安全策略的摘要。

示例:配置安全策略以允许或拒绝来自 IP 网络的基于 VRF 的信息流MPLS目标 VRF 组

此示例说明了如何配置安全策略,以允许流量和拒绝使用源 VRF 组的流量。

要求

概述

另外Junos OS,安全策略会针对传输流量实施规则,包括流量可以通过设备的信息流,以及流量在通过设备时对流量采取的操作。在 图 4 中,SRX 系列设备部署在SD-WAN以使用目标 VRF 组控制流量。来自 IP 网络的流量将发送到 GRE 主机网络的站点 A 和MPLS B。根据网络要求,应该拒绝站点 A 流量,并且应仅允许站点 B 流量。

此配置示例显示如何:

图 4:通过策略控制MPLS网络 Policy control to MPLS network
  • 拒绝 vpn-A 流量(拒绝 GRE MPLS)

  • 允许到 vpn-B 的流量(到 GRE MPLS)

配置

程序

CLI快速配置

[edit]commit快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 CLI 用户指南 中的 在配置模式下Junos OS CLI 编辑器

  1. 使用 VRF 实例 A1 和 A2 创建 VRF 组 vpn-A

  2. 使用 VRF 实例 B1 和 B2 创建 VRF 组 vpn-B

  3. 创建安全策略以拒绝 vpn-A 流量。

  4. 创建安全策略以允许 vpn-B 流量。

结果

在配置模式下,输入 和 命令以确认 show security policies 您的 show routing-instances 配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置 commit 模式输入 。

验证

验证策略配置
目的

验证有关安全策略的信息。

行动

在操作模式下,输入 命令 show security policies 以显示设备上配置的所有安全策略的摘要。

使用 VRF 组管理重叠 VPN

当 L3VPN 网络中有两个会话时,为避免这两个会话之间出现任何冲突,将 VRF 组 ID 作为附加密钥添加到会话密钥中,以区分会话。

图 5 中,网络 1 和网络 3 在 L3VPN 网络中组合为 VRF 组 A,而 network2 和网络 4 则分组到 VRF 组-B。这些会话使用 VRF 组 A 和 VRF 组 B 作为区分点。

图 5:使用 VRF 组的重叠 VPN Overlapping VPN using VRF groups

表 1

表 1:L3VPN 会话信息

L3VPN 网络 1 和 3 会话

L3VPN 网络 2 和 4 会话

(转发)

(反向)

(转发)

(反向)

5 元组:x/y/sp/dp/p

5 元组:y/x/dp/sp/p

5 元组:x/y/sp/dp/p

5 元组:y/x/dp/sp/p

令牌:GRE1(zone_id+VR_id)+ VRF 组 ID (A)

令牌:GRE1(zone_id+VR_id)+ VRF 组 ID (B)

令牌:GRE1(zone_id+VR_id)+ VRF 组 ID (A')

令牌:GRE1(zone_id+VR_id)+ VRF 组 ID (B')