零信任内联分段:网络设计中的微分段新方式
企业网络正在经历大规模转型,以满足对云就绪、可扩展和高效网络日益增长的需求。对物联网 (IoT) 和移动设备的需求也在不断增加。随着设备数量的增加,网络复杂性也随之增加,对微分段和安全性的需求也越来越高。为了应对这些挑战,您需要一个具有自动化和人工智能 (AI) 功能的网络来简化运维。瞻博网络园区交换矩阵 IP Clos 是一种高度可扩展、基于标准的 EVPN 架构,支持基于组策略 (GBP) 的微分段。此架构可提供一致且经过优化的企业安全要求,通过瞻博网络 Mist™ 门户进行管理。
借助 GBP,您可以在园区交换矩阵 IP Clos 内的接入层启用微分段,并且利用 EVPN-VXLAN 在广播域之间提供流量隔离,并简化整个园区交换矩阵的安全策略。
使用 GBP 进行微分段有几个好处:
基于标准 — https://datatracker.ietf.org/doc/html/draft-smith-vxlan-group-policy-05
- 至简工作流程 — 基于组的策略通过瞻博网络 Mist 门户进行管理,并为网络范围内的策略控制和实施提供简单易懂的工作流程。此外,GBP 还可以简化网络配置,无需在所有设备上安装大量防火墙过滤器,以确保横向威胁防御。
- 一致性 — GBP 通过瞻博网络 Mist 门户在整个企业内提供一致的、由客户管理的安全策略。
- 不受位置限制的连接 — GBP 利用底层 VXLAN 技术提供不受位置限制的端点访问控制。
- 更精细的控制 — 由于 GBP 可以作为第 2 层方法实施,因此与基于 ACL 的传统方法相比,它提供了更严格的控制。将 VXLAN 与 GBP 结合使用,您可以阻止同一 VLAN 内的客户端之间发往的流量。
- 网络访问控制 — GBP 允许对有线客户端进行动态或静态标记。
- 动态 GBP 标记可与基于行业标准的 RADIUS 和网络访问控制平台(包括基于云的瞻博网络 Mist Access Assurance)配合使用。
- 静态 GBP 标记允许您按 IP 前缀、MAC 地址、VLAN 和交换矩阵中所有接入端口上的端口分配 GBP 标记。
无零信任的微分段 内联分段
在 VXLAN 架构中,您可以使用宏分段和微分段,通过基于组的策略 (GBP) 来保护数据和关键资产。基于组的策略基于 VXLAN 构建,为端点提供不受位置限制的访问控制。这使您可以在企业网络的不同部分实施一致的安全策略,而无需依赖于设备的物理连接位置。
通过使用 GBP,您可以降低配置复杂性,并避免在所有交换机上部署大量防火墙过滤器。基于组的策略通过在整个网络中应用一致的安全规则(无论端点或用户位置如何),帮助防止威胁的横向移动。VXLAN-GBP 使用 VXLAN 报头中的保留字段来携带可扩展组标记 (SGT)。这些标记可以在防火墙过滤器规则中引用,从而提供比依赖端口号或 MAC 地址更可靠的策略实施方法。
可在交换机上按端口或按 MAC 地址静态分配可扩展组标记,也可以通过 RADIUS 服务器动态分配。使用 802.1X 身份验证时,RADIUS 服务器可以在用户成功进行身份验证后向交换机推送相应的 SGT。
在园区 VXLAN 部署中,VXLAN-GBP 分段尤为重要,因为它允许您定义独立于物理网络设计的访问策略。这简化了针对应用和端点设备的安全策略的规划和实施。
有关 VXLAN-GBP 标准的更多详细信息,请参阅 IEEE RFC I-D.draft-smith-vxlan-group-policy。在此示例架构中,VXLAN-GBP 将 VXLAN 报头中的保留字段用作 SGT。
从 Junos OS 22.4R1 版开始,瞻博网络交换机可在出口和入口实施模式下支持 VXLAN-GBP,如下所述:
- GBP 出口实施:
- 这就是基于 IETF 标准的方法。
- GBP 标记是 VXLAN 数据平面的一部分,需要在 VXLAN 标头中设置为组策略 ID。
- 要验证来自远程交换机的目标 GBP 标记,必须每次都将数据包发送到远程交换机。然后,远程交换机可以充当从交换矩阵出口到下一个有线客户端的流量的实施点,并可以根据 SGT 策略阻止流量并丢弃数据包。
- GBP 入口实施:
- 这是瞻博网络对 Junos GBP 和 SGT 实施的专有增强功能。
- 此增强功能从 Junos OS 22.4R1 版开始提供。
- 此处,GBP 标记是控制平面的扩展(MP-BGP 扩展)。
- GBP 标记信息通过供应商特定属性添加到交换矩阵在其节点之间共享的 EVPN 2 类 MAC 和 IP 地址信息中。在这种情况下,VXLAN 报头中的组策略 ID 值默认始终为零,因为它不用于实施。
- 这种方法的显著优势在于,远程交换机上存在的有线客户端的目标 GBP 标记是已知的,因为它是通过控制平面获知的。借助此增强功能,连接源有线客户端的本地交换机上的 SGT 可以预先阻止不允许发送至远程交换机上的目标客户端的流量。SGT 的实施始终发生在入口有线客户端交换机上。此解决方案不具备通过交换矩阵发送所有流量的需求,即使流量可能会被 SGT 丢弃,但这种解决方案不会像在基于标准的方法中那样实现。
- 此扩展可以让管理员更轻松地调试基于 GBP 的流量转发决策。您可以查看本地交换机,了解远程交换机是否允许或阻止流量。显示本地和远程有线客户端的 GBP 标记信息等
show ethernet-switching tableJunos OS 命令。
您可以通过不同的方式将 GBP 标记应用于有线客户端,以便 SGT 使用该客户端来允许或阻止流量。
您可以按如下方式分配 GBP 标记:
- 对于静态 GBP 标记分配:
- 您必须静态配置标记分配以识别有线客户端并为其分配 GBP 标记。
- 匹配标准(取决于 Junos OS 版本)可以是:
- 第 3 层源 IPv4 前缀和主机
- 第 3 层源 IPv6 前缀和主机
- 第 2 层 MAC 地址
- 交换机接口/端口和 VLAN ID(瞻博网络® EX4100 交换机不支持)
- 第 2 层 VLAN ID(EX4100 交换机不支持)
- 交换机接口/端口
- 对于动态 GBP 标记分配:
- 有线客户端进入交换矩阵时,需要在交换机端口上通过身份验证。
- 它基于 RADIUS 服务器授权信息,该信息是 RADIUS 访问接受消息的一部分。
- 有线客户端身份验证可以是:
- 基于 IEEE 802.1X EAP
- MAC 身份验证旁路 (MAB)
瞻博网络 Mist 门户简化了这一流程,并抽象化了所需的交换机配置,如下所示。
定义 GBP 标记分配后,您需要将 SGT 指定为交换机策略。同样,瞻博网络 Mist 云在其门户中简化和抽象化了这一流程,使您能够构建直观的通信矩阵。
强烈建议使用交换机模板来配置静态或动态 GBP 标记分配和 SGT 策略,因为这些模板可以减轻在 IP Clos 交换矩阵的所有接入交换机之间分发此信息的任务。
有关更多信息,请参阅以下适用于 IP Clos 交换矩阵的 JVD 扩展 以及部署示例。
采用零信任内联分段的微分段
到目前为止采用的方法仅适用于 IP Clos 交换矩阵,因为必须在有线客户端进入交换矩阵的位置执行 SGT 实施功能。这是因为,连接到同一接入交换机不同端口的有线客户端可能需要阻止同一 VLAN 内的通信。
想象一下,您尝试在 WAN 路由器端实施北向实施到交换矩阵。这可能适合用于防止来自互联网的流量,但对于基于 L3 的宏分段(取决于设计)以及同一 VLAN 内的 L2 微分段来说,可能为时已晚。
有了 ZTIS,瞻博网络现在:
- 缩小了所有其他园区交换矩阵设计(EVPN、MH、CRB 和 ERB)之间的差距,并在这些设计中实现了微分段。
- 当根本没有 EVPN 交换矩阵时,可以实现微分段,这在具有少量交换机和接入点的简单分支机构设计中很常见。
- 支持从 AP 到连接的交换机的 GBP 标签传播(也可通过使用瞻博网络 Mist Edge 的远程隧道)。
为了让这些新功能和拓扑能够协同运行,为无线和有线客户端共享 GBP 标记信息,并一致地实施这些策略,引入了一项针对供应商的增强功能,以支持客户端信息在网络中的传播。
请记住,在上文介绍的 IP Clos 交换矩阵场景中,用户可以决定使用:
- 嵌入在 VXLAN 数据头中的 GBP 标记,可实现出口实施。
- 瞻博网络专用 BGP-MP 扩展,将 GBP 标记添加为 EVPN 控制平面的一部分,从而实现入口实施。
在接入点和分支机构交换机中重复使用这两种方法通常会导致巨大的集成成本,需要额外的容量,并且需要将 EVPN 交换矩阵扩展到所有有线和无线设备。因此,需要并开发了一种更精简的 ZTIS 方法。
ZTIS 解决方案引入了新的消息类型,这些消息类型在同一第 2 层域或 EVPN 交换矩阵中的所有设备之间交换。需要两种消息类型:
- 当交换机或接入点对新的客户端MAC 地址进行身份验证时,将生成 ZTIS 更新 消息。然后,设备会将关联的 MAC 到 GBP 标记映射分发到网络中的其他设备。
- 当设备在其本地表中检测到新的 MAC 地址但尚不知道相应的 GBP 标记时,将发送 ZTIS 查找 消息。具有 MAC 到 GBP 映射的设备将以 ZTIS 更新消息进行响应。查找消息通常在交换机重新启动后使用,此时之前学习的 MAC 到 GBP 信息已丢失且必须重建。
因此,您或多或少有第三种控制平面功能方式,该功能使用泛洪学习(或当可以使用单播消息时逐跳学习)方法来交换 MAC 到 GBP 标记信息。请注意,GBP 实施功能仍发生在您网络的接入交换机上(此处不视为瞻博网络 Mist Edge),如上文所述。
然后如何与网络交换这两条新消息呢?网络中 ZTIS 设备之间交换的消息基于使用以太网逻辑链路控制 (LLC) 消息 SNAP 的瞻博网络扩展。这些消息:
- 可以在两台支持 ZTIS 的交换机之间进行第 2 层单播。交换机使用从远程交换机获知的其他瞻博网络 LLDP 扩展来检测这一点。
- 或者,在所有其他情况下,这些都是第 2 层组播消息,尤其是来自连接到支持 ZTIS 的交换机(包括瞻博网络 Mist Edge 隧道)的 ZTIS AP 的消息。
下面是此类消息的 Wireshark 数据包捕获,其中我们重点介绍了要查看的最重要字段。
- 目标 MAC 地址
0x5d5b35ffff01用于所有 L2 组播消息,以便将 GBP 网络知识泛洪到所有连接的设备。否则,它将是 ZTIS 交换机之间的单播数据包。 - 在 LLC SNAP 部分中,您会看到协议 ID:
- 协议 ID=
0x000b标识 GBP 更新消息 - 协议 ID=
0x000c标识 GBP 查找消息
- 协议 ID=
- 在数据字段的前两个字节之后,您会看到有线和无线客户端的编码 MAC 地址。
ZTIS 还通过添加基于目标 IP 前缀执行策略的功能,增强了微分段。以前,只能根据源 IP 前缀分配静态 GBP 标记。借助目标 IP 前缀支持,您现在可以为离开客户端 VLAN 并到达外部网络的流量创建实施策略。
定义多个目标 IP 前缀以进行实施时,建议从最具体到最通用的顺序进行排序。最具体的前缀应显示在列表顶部,下面是更广泛的前缀。这遵循与传统防火墙相同的逻辑,其中应用第一个匹配规则,不评估后续规则。在以下示例中,源 GBP 分配基于通过 RADIUS(如 EAP 或 MAB)进行的动态身份验证,以及定义本地客户端 VLAN 外部流量的多个重叠目标 IP 规则。
创建策略时,必须对它们进行正确排序,如下例所示:
- 与目标 GBP 标记匹配的所有规则都应置于配置的顶部。这些规则仅适用于同一 VLAN 内的流量,这是 ZTIS 的已知限制。
- 目标 IP 前缀规则应从最长的前缀到最短的前缀排列,前提是它们不重叠。这可以确保首先评估更具体的匹配项。允许使用 /0 前缀的互联网流量的规则应始终是给定源 GBP 标记的最终规则。目标 IP 前缀也可用于同一 VLAN 内的流量,但在为不同 VLAN 之间的流量定义策略时,必须使用目标 IP 前缀。
根据上述策略,假设有线客户端基于 RADIUS EAP/MAC 身份验证获取源 GBP 标记 =100 。客户端可位于任一 VLAN 中:
- VLAN1,network=
10.99.99.0/24已分配 - VLAN2,network=
10.88.88.0/24分配
下表表示客户端可以将哪些流量发送到哪个目标:
| 源 IP GBP 标记 100 | 目标 IP 8.8.8.8 | 目标 IP 10.11.11.11 | 目标 IP 10.33.33.33 | 目标 IP 10.99.99.23 | 目标 IP 10.88.88.88 |
|---|---|---|---|---|---|
| VLAN 1 10.99.99.23/24 | 允许(互联网) | 允许(交换矩阵) | 允许(服务器) | 允许(有线客户端) | 已拒绝 (vlan1088) |
| VLAN 2 10.88.88.23/24 | 允许(互联网) | 允许(交换矩阵) | 允许(服务器) | 允许,但单播(交换矩阵) | 允许(有线客户端) |
策略实施以单一方向应用,类似于 ACL。因此,您必须确保双向流量不会被其他规则无意中阻止。在此示例中,当 VLAN2 中的源 IP 为 10.88.88.23,而 VLAN1 中的目标 IP 为 10.99.99.23 时,就会发生这种情况。ICMP 回显请求将被转发并到达 10.99.99.23,但 ICMP 回显回复将被 vlan1088 规则丢弃,因为它不允许该返回流量。
让我们了解一下有效的 ZTIS 拓扑及其工作原理。