使用 VRF 组配置安全策略
概述
在 SD-WAN 网络中,当基于 VRF 的不同流量从同一隧道(如 GRE 或 GE)进入设备时,设备会根据给定的 VRF 实例应用策略。设备允许或拒绝发往特定 VRF 实例的流量,以控制基于 VRF 的流量。
目前,每个策略有 5 个匹配条件:
从区域
到区域
源地址
目标地址
应用
图 1 显示了策略中的匹配条件。
使用当前的策略匹配条件,您无法允许 VRF-B1 或 VRF-B2 并拒绝 VRF-A1 或 VRF-A2。为了支持此功能,将使用 VRF 组将其他匹配条件添加到 SD-WAN 网络中的策略中。
当流收到源和目标 VRF 组的信息时,会将该信息连同策略密钥元组信息一起转发给策略搜索 API,以满足匹配条件。
图 2 显示了在策略中作为匹配条件添加的 VRF 组。
如果未在策略中指定源和目标 VRF 组信息,则这些组将与 VRF 组匹配 any
。
示例:配置安全策略以允许或拒绝使用源 VRF 组从 MPLS 网络到 IP 网络的基于 VRF 的流量
此示例说明如何配置安全策略以使用源 VRF 组允许流量和拒绝流量。
要求
了解如何创建安全区域。请参见示例:创建安全区域 。
Junos OS 版本 15.1X49-D170 或更高版本支持的 SRX 系列防火墙。此配置示例针对 Junos OS 版本 15.1X49-D170 进行了测试。
在设备上配置网络接口。请参阅 安全设备的接口用户指南。
概述
在 Junos OS 中,安全策略根据哪些流量可以通过设备以及流量通过设备时需要对流量执行的操作来强制执行传输流量规则。 在图 3 中,SRX 系列防火墙部署在 SD-WAN 中,以使用源 VRF 组控制流量。来自 GRE MPLS 网络的流量将发送到 IP 网络的站点 A 和站点 B。根据网络要求,应拒绝站点 A 流量,并且只允许站点 B 流量。
此配置示例说明如何:
拒绝来自 vpn-A(来自 GRE MPLS)的流量
允许来自 vpn-B(来自 GRE MPLS)的流量
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入 commit
。
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match application any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy then deny set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match application any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy then permit
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅《Junos OS CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
使用 VRF 实例 A1 和 A2 创建 VRF 组 vpn-A
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2
使用 VRF 实例 B1 和 B2 创建 VRF 组 vpn-B
[edit security] user@host# set l3vpn vrf-group vpn-B vrf VRF-B1 user@host# set l3vpn vrf-group vpn-B vrf VRF-B2
创建安全策略以拒绝 vpn-A 流量。
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then deny
创建安全策略以允许 vpn-B 流量。
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match source-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
结果
在配置模式下,输入 show security policies
和 show routing-instances
命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit] user@host# show security policies from-zone GRE_Zone to-zone GE_Zone { policy vrf-a_policy { match { source-address any; destination-address any; application any; source-l3vpn-vrf-group vpn-A; } then { deny; } } policy vrf-b_policy { match { source-address any; destination-address any; application any; source-l3vpn-vrf-group vpn-B; } then { permit; } }
如果完成设备配置,请从配置模式输入 commit
。
验证
验证策略配置
目的
验证有关安全策略的信息。
行动
在操作模式下,输入 show security policies
命令以显示设备上配置的所有安全策略的摘要。
user@root> show security policies Default policy: permit-all From zone: GRE_Zone, To zone: GE_Zone Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source L3VPN VRF Group: vpn-A destination L3VPN vrf-group: any Source addresses: any Destination addresses: any Applications: any Action: deny Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2 Source L3VPN VRF Group: vpn-B destination L3VPN vrf-group: any Source addresses: any Destination addresses: any Applications: any Action: permit
示例:使用目标 VRF 组配置安全策略以允许或拒绝从 IP 网络到 MPLS 网络的基于 VRF 的流量
此示例说明如何配置安全策略以使用源 VRF 组允许流量和拒绝流量。
要求
了解如何创建安全区域。请参见 示例:创建安全区域。
Junos OS 版本 15.1X49-D170 或更高版本支持的 SRX 系列防火墙。此配置示例针对 Junos OS 版本 15.1X49-D170 进行了测试。
在设备上配置网络接口。请参阅 安全设备的接口用户指南。
概述
在 Junos OS 中,安全策略根据哪些流量可以通过设备以及流量通过设备时需要对流量执行的操作来强制执行传输流量规则。 在图 4 中,SRX 系列防火墙部署在 SD-WAN 中,以使用目标 VRF 组控制流量。来自 IP 网络的流量将发送到 GRE MPLS 网络的站点 A 和站点 B。根据网络要求,应拒绝站点 A 流量,并且只允许站点 B 流量。
此配置示例说明如何:
拒绝发往 vpn-A(发往 GRE MPLS)的流量
允许到 vpn-B(到 GRE MPLS)的流量
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit]
中,然后从配置模式进入 commit
。
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy then deny set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy then permit
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅《Junos OS CLI 用户指南》中的在配置模式下使用 CLI 编辑器。
使用 VRF 实例 A1 和 A2 创建 VRF 组 vpn-A
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2
使用 VRF 实例 B1 和 B2 创建 VRF 组 vpn-B
[edit security] user@host# set l3vpn vrf-group vpn-B vrf VRF-B1 user@host# set l3vpn vrf-group vpn-B vrf VRF-B2
创建安全策略以拒绝 vpn-A 流量。
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then deny
创建安全策略以允许 vpn-B 流量。
[edit security policies from-zone LAN-b_Zone e to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
结果
在配置模式下,输入 show security policies
和 show routing-instances
命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit] user@host# show security policies from-zone LAN-a_Zone to-zone GRE_Zone { policy vrf-a_policy { match { source-address any; destination-address any; application any; destination-l3vpn-vrf-group vpn-A; } then { deny; } } } from-zone LAN-b_Zone to-zone GRE_Zone { policy vrf-b_policy { match { source-address any; destination-address any; application any; destination-l3vpn-vrf-group vpn-B; } then { permit; } } }
如果完成设备配置,请从配置模式输入 commit
。
验证
验证策略配置
目的
验证有关安全策略的信息。
行动
在操作模式下,输入 show security policies
命令以显示设备上配置的所有安全策略的摘要。
user@root> show security policies Default policy: permit-all From zone: LAN-a_Zone, To zone: GRE_Zone Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source L3VPN VRF Group: any destination L3VPN vrf-group: vpn-A Source addresses: any Destination addresses: any Applications: any Action: deny From zone: LAN-b_Zone, To zone: GRE_Zone Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2 Source L3VPN VRF Group: any destination L3VPN vrf-group: vpn-B Source addresses: any Destination addresses: any Applications: any Action: permit
使用 VRF 组管理重叠 VPN
当 L3VPN 网络中有两个会话时,为避免两个会话之间发生任何冲突,VRF 组 ID 作为附加密钥添加到会话密钥中,以区分会话。
在图 5 中,网络 1 和网络 3 在 L3VPN 网络中一起分组到 VRF 组 A,网络 2 和网络 4 一起分组到 VRF 组 B。这些会话使用 VRF A 组和 VRF B 组作为差异化因素。
L3VPN 网络 1 和 3 会话 |
L3VPN 网络 2 和 4 会话 |
||
---|---|---|---|
(转发) |
(反转) |
(转发) |
(反转) |
5 元组:x/y/sp/dp/p |
5 元组:Y/X/DP/SP/P |
5 元组:x/y/sp/dp/p |
5 元组:Y/X/DP/SP/P |
令牌:GRE1 (zone_id+VR_id) + VRF 组 ID (A) |
令牌:GRE1 (zone_id+VR_id) + VRF 组 ID (B) |
令牌:GRE1 (zone_id+VR_id) + VRF 组 ID (A') |
令牌:GRE1(zone_id+VR_id) + VRF 组 ID (B') |