Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:EVPN-VXLAN 上的基于过滤器的转发

要求

此 EVPN-VXLAN 交换矩阵使用边缘路由桥接 (ERB) 模型。VLAN 间路由发生在叶设备上。此示例假设 ERB 交换矩阵已就位,因此可以重点放在使用 FBF 选择用于安全检查的流上。示例末尾的详细配置显示了工作 ERB 基准所需的配置,以及检查特定流量所需的 FBF。拓扑示例如下所示。

有关 ERB EVPN-VXLAN 交换矩阵的背景信息和配置详细信息,请参阅 EVPN-VXLAN 架构和技术

图 1:EVPN-VXLAN FBF 示例拓扑 EVPN-VXLAN FBF Example Topology

拓扑

此 NCE 描述的 EVPN-VXLAN 交换矩阵由四台服务器叶交换机、两台底层主干交换机、两个服务叶交换机和一个防火墙组成。

主干节点

  • 运行 Junos 20.2R2 版的 QFX5120-32C 系列交换机

服务器叶式

  • 运行 Junos 20.3R1 版的 QFX5120-48Y 系列交换机

服务叶式

  • 运行 Junos 20.2R2 版的 QFX5120-32C 系列交换机

防火墙

  • 运行 Junos 20.1R2 版本的 SRX 4200 服务网关

逐步配置

在以下配置中,我们将端点 1 连接到服务器叶式 1。我们还创建新的路由实例,INSPECT_VRF,并将其配置为使用服务叶 1 和服务叶 2 导出和导入 5 类路由。我们使用基于过滤器的转发将流量从端点 1 重定向到端点 2,再重定向到INSPECT_VRF。

服务器叶式-1

  1. 在服务器叶 1 上,设置INSPECT_VRF路由实例:

  2. 为端点 1 添加静态路由,指向Tenant1_VRF:

  3. Inspect_VRF需要为端点 1 播发 5 类静态主机路由,以便防火墙可以接收流量。防火墙还需要播发叶 1 的默认路由:

  4. 现在我们需要为 Leaf-1 设置防火墙过滤器。过滤器匹配从端点 1 到端点 2 的流量,并将这些数据包重定向到INSPECT_VRF。所有其他流量在Tenant1_VRF中照常路由:

  5. 在叶 1 上,当 VLAN 110 流量遍历 IRB.110(这是连接到端点-1 的接口)时,我们需要将防火墙过滤器应用到 VLAN 110 流量:

服务器叶式 2

接下来,我们需要在服务器叶 2 上创建SECURE_VRF路由实例,以便同时使用服务叶 1 和服务叶 2 导出和导入 5 类路由。与之前一样,我们使用基于过滤器的转发将流量从端点 2 重定向到端点-1 到SECURE_VRF。

  1. 在服务器叶 2 上,设置SECURE_VRF路由实例:

  2. 为端点 2 配置静态路由,该端点指向Tenant1_VRF:

  3. 在SECURE_VRF内部,我们需要播发端点 2 的 5 类静态主机路由,以便防火墙可以接收流量。防火墙还需要播发叶 2 的默认路由:

  4. 与之前一样,我们现在需要为 Leaf-2 设置防火墙过滤器。这一次,过滤器匹配从端点 2 到端点 1 的流量,并将这些数据包重定向到SECURE_VRF。所有其他流量在Tenant1_VRF中照常路由:

  5. 最后,在 Leaf-2 上,我们需要在 VLAN 111 流量遍历 IRB.111(这是连接到端点-2 的接口)时应用防火墙过滤器。

服务枝叶-1

Service Leaf-1 包括INSPECT_VRF和SECURE_VRF路由实例,并连接服务叶和防火墙,如下图所示。接口 IRB.991 位于 INSPECT VRF 中,接口 IRB.992 位于 SECURE VRF 中。

在这两个路由实例中,服务叶都与防火墙建立 EBGP 对等,从防火墙接收默认路由。Service Leaf-1 使用 type-5 将默认路由播发至服务器叶,并从它们接收端点 1 和端点-2 的特定主机路由,然后使用 EBGP 将这些路由播发至防火墙。

  1. 从服务叶到防火墙的连接是一个中继端口,其中包含 VLAN 991 和 VLAN 992,每个带有一个 IRB。接口,如下所示:

  2. 我们需要在 Service Leaf-1 上设置路由实例:

  3. 我们还需要设置 Service Leaf-1 的策略声明:

服务枝叶-2

服务叶 2 上的配置类似于服务叶 1 配置。

  1. 在这里,我们设置防火墙互连服务叶式 2:

  2. 在这里,我们在 Service Leaf-2 上设置路由实例:

  3. 最后,我们在 Service Leaf-2 上设置策略声明:

防火墙

防火墙接口配置为 VLAN 标记的接口。它会与每个服务叶建立两个 EBGP 会话,如图 2 所示。

图 2:防火墙配置 Firewall Configuration
  1. 在这里,我们设置图中所示的防火墙-1 服务叶互连,以及 BGP 对等和路由导出:

  2. 现在,我们需要为 Firewall-1 设置区域和策略配置。我们将遍历逻辑接口 991 的流量放入INSPECT_Zone中,将遍历逻辑接口 992 的流量放入SECURE_Zone。

  3. 为了将端点 1 到端点 2 之间的通信限制为仅特定协议(Ping、HTTPS、SSH 和 UDP,以支持来自服务器的跟踪路由),我们为INSPECT_Zone与SECURE_Zone之间的流量创建安全策略:

  4. 您可以定义一个策略,以接受从安全区域到 INSPECT 区域的所有流量:

验证

本节中的命令和输出验证 FBF 是否在 EP1 和 EP2 之间的流量上工作正常。

  1. 在 EP1 和 EP2 之间生成 ping。ping 在流动时,先清除,然后在叶 1 和叶 2 上显示防火墙计数器:

    叶 1 的输出确认 BMS ping 流量正在达到 安全流量 过滤器,以及将流量重定向到INSPECT_VRF的防火墙术语。对于将回复引导到SECURE_VRF的 SecureResponseTraffic 过滤器的 Leaf2 中也指出了类似的结果。

  2. 在 SRX 设备上显示安全流信息:

    输出将确认 BMS ping 流量正在受到防火墙的检查。这可以确认 FBF 正在将 EP1 发送到 EP2 的流量从枝叶定向到服务叶,再从该叶定向到防火墙设备。

  3. 跟踪 EP1 和 EP2 之间的路径。您期望看到通过防火墙设备的底层转发跃点。

    结果如图 3 所示

    注意:来自 EP1 的流量被封装到 VXLAN 中,并从叶 1 发送到服务叶。服务叶对流量进行解封装,并将其作为本机 IP 路由到防火墙设备,从而允许在跟踪路由的输出中显示底层跃点。
    图 3:使用 FBF 的 EP1 到 EP2 追踪路由 EP1 to EP2 Trace route With FBF

    EP1 (BMS 1) 的追踪路由输出显示了用于引导流量通过防火墙的其他交换矩阵转发跃点。在输出中,跃点 1 和 6 分别表示叶 1 和叶 2 中的 IRB 接口。合同中的 10.81.91.2 跃点代表位于INSPECT_VRF的服务叶 1 上的 irb.991 接口。这些结果会进一步确认 EP1 到 EP2 的流量已正确通过防火墙。

  4. 停用应用于叶 1 和叶 2 的 IRB 接口的防火墙过滤器。请务必提交更改。

    重复 EP1 和 EP2 之间的追踪路由。结果如图 4 所示

    图 4:不带 FBF 的 EP1 到 EP2 追踪路由 EP1 to EP2 Trace route Without FBF

    追踪路由输出显示,当过滤器停用后,EP1 到 EP2 的流量直接在叶设备中的 IRB 接口之间传输。使用 FBF,移除服务枝叶,防火墙设备不再在这些端点之间的转发路径中。

完整设备配置

本节提供此示例中使用的所有设备的完整配置。省略用户登录、系统服务、日志记录和管理接口的站点特定配置。

主干-1 的配置

主干-2 的配置

服务器叶式 1 的配置

服务器叶式 2 的配置:

服务叶式-1 的配置

服务叶-2 的配置

防火墙配置