Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

高级安全性和数据中心互连配置

使用这些示例在折叠式主干数据中心架构上配置高级安全性和 DCI。

为租户间流量配置高级安全性

SRX 系列是新一代防火墙,可为租户间流量提供高级安全服务。使用此部分通过 SRX 机箱群集在 DC1 中的 JNPR_1 和 JNPR_2 之间路由租户间流量。

要求

概述

机箱群集中的 SRX 系列防火墙作为单个设备运行,以提供设备、接口和服务级别冗余。使用此部分将机箱群集划分为多个区域并配置路由策略,以便通过安全设备路由正确的流量。

拓扑学

两台主干交换机均物理连接到两个 SRX 节点,如 图 1 所示。

图 1:SRX 群集 Physical Topology of SRX Cluster的物理拓扑
注意:

此示例基于 SRX345 设备。放入 HA 群集后,节点 1 上的接口将与 FPC 插槽 5 相关联。这意味着在群集形成后,为节点 1 显示的 ge-0/0/11 接口实际上已配置为 ge-5-0/11。HA 群集中节点 1 的 FPC 编号可能因 SRX 型号类型而异。

Reth1 是 SRX 群集中的一个逻辑接口。它在 SRX 群集的某个节点上处于活动状态。如果 SRX 设备与主干交换机之间的主节点或互连链路发生故障,Reth1 将故障切换至辅助节点。 图 2 显示了 SRX 设备与主干交换机之间的逻辑接口。

图 2:SRX 群集 Overlay Topology of SRX Cluster的叠加拓扑

每台主干交换机都会与每个路由实例或租户中的 SRX 群集建立单独的 EBGP 对等互连,如 图 3 所示。例如,主干 1 与 SRX 群集有两个对等互连,每个路由实例对等一个:JNPR_1 和 JNPR_2。Reth1.991 与主干交换机上的 JNPR_1 路由实例对等,属于 JNPR_1 安全区域。Reth1.992 与主干交换机上的 JNPR_2 路由实例对等,属于 JNPR_2 安全区域。

SRX 系列防火墙播发覆盖所有前缀的汇总路由(例如,192.168.0.0/16)。主干交换机播发每个路由实例中的特定子网。

图 3:具有 EBGP 对等连接的 SRX 群集拓扑 Topology of SRX Cluster with EBGP Peering

配置接口

配置 SRX 设备

分步过程

  1. 为 SRX 设备上的逻辑接口配置组。

  2. 配置逻辑接口。Reth1 是 SRX 群集上带标记的第 3 层接口。Reth1.991 与主干交换机上的 JNPR_1 路由实例对等。Reth1.992 与主干交换机上的 JNPR_2 路由实例对等。

  3. 将逻辑接口置于单独的安全区域中。Reth1.991 属于JNPR_1安全区,Reth1.992 属于JNPR_2安全区。

  4. 检查机箱群集的状态。

配置主干 1

分步过程

  1. 在主干 1 上配置 SRX 系列防火墙互连接口。

  2. 配置 IRB 接口。

  3. 配置 VLAN。

  4. 将 VNI 配置为 EVPN MP-BGP 域的一部分。

配置主干 2

分步过程

  1. 在主干 2 上配置 SRX 系列防火墙互连接口。

  2. 配置 IRB 接口。

  3. 配置 VLAN。

  4. 将 VNI 配置为 EVPN MP-BGP 域的一部分。

配置 EBGP

配置 SRX 设备

分步过程

  1. 配置 EBGP 互连。

  2. 配置路由选项。

  3. 配置策略选项。

配置主干 1

分步过程

  1. 在JNPR_1路由实例中配置 EBGP 对等互连。

  2. 在 JNPR_2 路由实例中配置 EBGP 对等互连。

  3. 配置与 SRX 设备互连的导入和导出策略。

配置主干 2

分步过程

  1. 在JNPR_1路由实例中配置 EBGP 对等互连。

  2. 在 JNPR_2 路由实例中配置 EBGP 对等互连。

  3. 配置与 SRX 设备互连的导入和导出策略。

配置 SRX 系列防火墙安全策略

分步过程

  1. 在区域 1 中为JNPR_1配置安全策略。

  2. 在区域 1 中为JNPR_2配置安全策略。

验证 SRX 机箱群集上的 BGP

分步过程

  1. 确保已与主干交换机建立所有 BGP 对等会话。

  2. 验证SRX 系列防火墙是否从JNPR_1租户接收了 BGP 路由。

  3. 验证SRX 系列防火墙是否从JNPR_2租户收到了 BGP 路由。

  4. 验证 SRX 机箱群集是否正在向主干设备播发汇总路由。

  5. 验证通过 SRX 机箱群集的租户间流量。

    在此示例中,Endpoint12 是 VLAN 212 和租户JNPR_2的一部分。Endpoint12 正在 ping Endpoint2,后者是 VLAN 201 和租户 JNPR_1 的一部分,如 图 4 所示。由于这是租户间流量,因此此流量会通过 SRX 机箱群集的活动成员。SRX-Node0 是 SRX 机箱群集的活动成员,SRX-Node1 是被动成员。

    图 4:通过 SRX 群集 Inter-Tenant Traffic Through the SRX Cluster的租户间流量

    确认 SRX 系列防火墙上的流表显示通过 SRX 机箱群集的此流量。

    您已为数据中心配置高级安全性,并确认租户间流量是通过 SRX 机箱群集路由的。

配置数据中心互连 (DCI)

概述

现在,您已经为两个数据中心配置了折叠主干架构,并向 DC1 添加了高级安全性,是时候使用数据中心互连 (DCI) 连接 DC1 和 DC2 了。

拓扑学

在此示例中,无需在数据中心之间扩展第 2 层。数据中心间通信通过 DC1 中的 SRX 机箱群集进行路由,如 图 5 所示。每台主干交换机都有一个 WAN 路由实例,并连接到数据中心之间的 WAN。主干交换机将第 3 层路由移交给 WAN 路由器(此图中未显示)。

SRX 机箱群集正在播发 192.168.0.0/16 子网。DC2 主干交换机主干 3 和主干 4 正在播发两个子网 192.168.221.0/24 和 192.168.222.0/24。

图 5:数据中心互连拓扑结构 Data Center Interconnect Topology

每个 SRX 系列 防火墙都配置了三个区域,分别对应 JNPR_1、JNPR_2 和 WAN 路由实例。JNPR_1 和 JNPR_2 之间的所有租户间流量都通过 SRX 机箱群集进行路由。DC1 和 DC2 之间的所有流量都使用 WAN 路由实例通过 SRX 机箱群集进行路由。每个 SRX 系列防火墙在每个路由实例中都与主干 1 和主干 2 具有单独的 EBGP 对等互连。 图 6 显示了 DC1 中主干交换机与 SRX 机箱群集之间的 EBGP 对等互连。

图 6:SRX 机箱群集 EBGP 对等拓扑 SRX Chassis Cluster EBGP Peering Topology

配置

配置 SRX 设备

分步过程

每个SRX 系列防火墙必须划分为对应三个路由实例的三个区域:JNPR_1、JNPR_2 和 WAN。您已在 为租户间流量配置高级安全性中创建了 JNPR_1 区域和 JNPR_2 区域。

  1. 在 Reth1 上为 WAN 互连添加新的子接口。

  2. 配置 WAN 安全区域。

  3. 为 WAN 安全区域配置 EBGP。

  4. 配置安全策略。为简单起见,此示例中的安全策略是开放式的。在您的设置中,根据需要修改安全策略。

配置主干交换机

分步过程

  1. 在主干 1 上配置路由实例和 IRB 接口。

  2. 在主干 2 上配置路由实例。

  3. 在主干 3 上配置 EBGP。

  4. 在主干 4 上配置 EBGP。

验证 DCI 路由

分步过程

  1. 验证 SRX 机箱群集上的路由。SRX 应学习不同子网的所有特定路由。

  2. 验证主干 1 和主干 2 上的路由。SRX 群集将 192.168.0.0/16 汇总路由播发至所有 VRF 上的主干设备。所有 VRF 间流量和 DCI 流量都通过 SRX 机箱群集。

  3. 验证主干 3 和主干 4 上的路由。DC2 主干设备从 DC1 主干设备上的 WAN VRF 接收聚合路由。两个数据中心之间的所有流量都通过 SRX 机箱群集进行路由。

    您已将折叠的主干数据中心网络与 DCI 连接。