Beispiel: Mikro- und Makrosegmentierung mit gruppenbasierten Richtlinien in einem VXLAN
VXLAN-GBP
Überblick
Sie können gruppenbasierte Richtlinien (GBP) verwenden, um Mikro- und Makrosegmentierung zu erreichen, um Daten und Ressourcen sowohl in der VXLAN-Architektur Centrally Routed Bridging (CRB) als auch in der Edge Routed Bridging (ERB) VXLAN-Architektur zu schützen. GBP nutzt die zugrunde liegende VXLAN-Technologie zur Bereitstellung standortunabhängiger Endgeräte-Zugriffssteuerung. GBP ermöglicht die Implementierung konsistenter Sicherheitsrichtlinien in allen Netzwerkdomänen Ihres Unternehmens. Durch die Verwendung von GBP können Sie Ihre Netzwerkkonfiguration simplifizieren, sodass Sie nicht mehr auf allen Switches eine große Anzahl von Firewall-Filtern konfigurieren müssen. GBP blockiert laterale Bedrohungen durch die konsistente Anwendung von Sicherheitsgruppenrichtlinien im gesamten Netzwerk, unabhängig vom Standort der Endgeräte oder Benutzer.
GBP verwendet skalierbare Gruppentags (SGTs), um den Datenverkehr zu markieren und Richtlinien durchzusetzen. Sie erstellen einen GBP-Tag-Zuweisungsfilter, um eingehenden Frames Tags zuzuweisen, und Sie erstellen einen GBP-Richtlinienerzwingungsfilter, um Richtlinien für markierte Frames durchzusetzen.
VXLAN-GBP nutzt reservierte Felder im VXLAN-Header, um die dem Frame zugewiesene SGT zu übertragen. Dies ist das 16-Bit-Feld für die Gruppenrichtlinien-ID in Abbildung 1. Weitere Informationen zu VXLAN-GBP finden Sie unter I-D.draft-smith-vxlan-group-policy.
Sie können GBP-Richtlinien sowohl am Eingang als auch am Ausgang anwenden. Standardmäßig wird die Richtliniendurchsetzung nur am Ausgang durchgeführt, da dort sowohl die Quell- als auch die Ziel-GBP-Tags bekannt sind. Als konfigurierbare Option können Sie auch Richtlinien am Eingang für bestimmte Arten von getaggtem Datenverkehr durchsetzen. Die Ingress-Erzwingung erfordert die Tag-Weitergabe des Ziel-Tags an den Ingress-Erzwingungspunkt, damit der Ingress-Erzwingungspunkt Kenntnis von dem Ziel-Tag erhält, das am Ausgang zugewiesen wird. Siehe Richtliniendurchsetzung am Eingang und bei der Tag-Weitergabe.
Die Verwendung eines SGT ist robuster als die direkte Verwendung von Schnittstellen oder MAC-Adressen. SGTs können statisch zugewiesen werden (durch Konfiguration des Switches auf Schnittstellen- oder MAC-Basis) oder sie können auf dem RADIUS-Server konfiguriert und über 802.1X an den Switch übertragen werden, wenn der Benutzer authentifiziert ist.
Die durch VXLAN-GBP ermöglichte Segmentierung ist besonders in VXLAN-Umgebungen auf dem Campus nützlich, da sie Ihnen eine praktische Möglichkeit bietet, Netzwerkzugriffsrichtlinien zu erstellen, die unabhängig von der zugrunde liegenden Netzwerktopologie sind. Es vereinfacht die Entwurfs- und Implementierungsphasen bei der Entwicklung von Sicherheitsrichtlinien für Netzwerkanwendungen und Endgeräte.
Tabelle 1 zeigt die VXLAN-GBP-Unterstützung für die verschiedenen Switches und Junos OS-Versionen.
| Junos-Version | VXLAN-GBP-unterstützte Switches |
|---|---|
| Beginnend mit Junos OS Version 21.1R1 |
EX4400-24P, EX4400-24T, EX4400-48F, EX4400-48P und EX4400-48T |
| Beginnend mit Junos OS Version 21.2R1 |
EX4400-24MP und EX4400-48MP |
| Beginnend mit Junos OS Version 21.4R1 |
|
| Ab Junos OS Version 22.4R1 |
|
| Beginnend mit Junos OS Version 23.2R1 |
|
| Beginnend mit Junos OS Version 24.2R1 |
|
| Beginnend mit Junos OS Version 24.4R1 |
|
Die Tabellen 2 bis 4 fassen die Unterschiede bei der VXLAN-GBP-Implementierung zwischen den verschiedenen Junos OS-Versionen zusammen.
| GBP in Junos OS Version 21.1R1 bis 22.3Rn | GBP in Junos OS Version 22.4R1 und höher |
|---|---|
set firewall family ethernet-switching filter filter_name term term_name from match_conditions set firewall family ethernet-switching filter filter_name term term_name then gbp-src-tag/gbp-dst-tag tag |
set firewall family any filter filter_name micro-segmentation set firewall family any filter filter_name term term_name from match_conditions set firewall family any filter filter_name term term_name then gbp-tag tag
Anmerkung:
|
| GBP in Junos OS Version 21.1R1 bis 22.3Rn | GBP in Junos OS Version 22.4R1 und höher |
|---|---|
|
|
|
| GBP in Junos OS Version 21.1R1 bis 22.3Rn | GBP in Junos OS Version 22.4R1 und höher |
|---|---|
set firewall family ethernet-switching filter filter_name term term_name from gbp-dst-tag gbp_tag set firewall family ethernet-switching filter filter_name term term_name from gbp-src-tag gbp_tag set firewall family ethernet-switching filter filter_name term term_name then discard
Anmerkung:
Die Richtliniendurchsetzung wird nur auf dem Ausgangsendpunkt unterstützt. CLI-Anweisung zur Aktivierung von GBP: set chassis forwarding-options vxlan-gbp-profile |
set firewall family any filter filter_name term term_name from gbp-dst-tag gbp_tag set firewall family any filter filter_name term term_name from gbp-src-tag gbp_tag set firewall family any filter filter_name term term_name then discard
Anmerkung:
Der Familienname "any" ersetzte den Familiennamen "ethernet-switching".
Anmerkung:
Die Richtliniendurchsetzung wird immer am Ausgang aktiviert, wenn GBP aktiviert ist, ist aber am Eingang optional.
|
| Junos OS Version 23.2R1 und höher:
|
|
| Junos OS Version 24.2R1 und höher:
|
|
| Junos OS Version 24.4R1 und höher:
|
GBP in Junos OS Version 22.4R1 und höher
- Spielbedingungen
- L4-Spielbedingungen
- GBP-Profile
- Explizite Standardverwerfung
- Richtliniendurchsetzung am Eingang und Tag-Weitergabe
- Anforderungen für CRB- und ERB-Overlays
- Vom Host stammende Pakete
- GBP MAC/IP Inter-tagging
- Filterbasierte Weiterleitung
- Zuweisen von SGTs für die 802.1X GBP-Tag-Zuweisung
- Planung Ihrer SGT-Einsätze
- Topologie
Spielbedingungen
Tabelle 5 zeigt die unterstützten GBP-Übereinstimmungsbedingungen ab Junos OS Version 22.4R1:
| Beschreibung der Übereinstimmungsbedingungen | |
|---|---|
|
|
Übereinstimmung mit IPv4/IPv6-Quell- oder Zieladressen/Präfixlisten.
Anmerkung:
Ab Junos OS Version 24.4R1 können Sie angeben, ob IP-Adressbegriffe in der Termreihenfolge oder nach der längsten Präfixübereinstimmung ausgewertet werden sollen. Standardmäßig werden IP-Adressbegriffe nach der längsten Präfixübereinstimmung in Junos OS Version 24.4R1 und höher ausgewertet. In Versionen vor Junos OS Version 24.4R1 werden IP-Adressbegriffe nur in der Reihenfolge der Begriffe ausgewertet. |
|
|
Übereinstimmung mit der Quell- oder Ziel-MAC-Adresse. |
|
|
Übereinstimmung mit dem Schnittstellennamen.
Anmerkung:
Junos OS Version 23.4R1 und höher unterstützt mehrere set firewall family any filter test term t1 from interface ge-0/0/0 set firewall family any filter test term t1 from interface ge-0/0/1 set firewall family any filter test term t1 from interface ge-0/0/2
Anmerkung:
Junos OS Version 23.4R1 und höher ermöglicht es Ihnen auch, diese Übereinstimmungsbedingung zusammen mit der Übereinstimmungsbedingung set firewall family any filter test term t1 from interface ge-0/0/0 set firewall family any filter test term t1 from vlan-id 2000 |
|
|
Übereinstimmende VLAN-IDs.
Anmerkung:
Wird auf den EX4100-Switches nicht unterstützt
Anmerkung:
Junos OS Version 23.4R1 und höher unterstützt die <vlan_list> <vlan_range> und-Optionen. Zum Beispiel: set firewall family any filter test term t1 from vlan-id 2000-2100 set firewall family any filter test term t1 from vlan-id [3000 3010 3020]
Anmerkung:
Junos OS Version 23.4R1 und höher ermöglicht es Ihnen auch, diese Übereinstimmungsbedingung zusammen mit der |
Hier ist ein Beispiel für die GBP-Tag-Zuweisung mithilfe von MAC-Adressen:
set firewall family any filter f1 micro-segmentation set firewall family any filter f1 term tag100 from mac-address 00:00:5E:00:53:10 set firewall family any filter f1 term tag100 then gbp-tag 100 set firewall family any filter f1 term tag200 from mac-address 00:00:5E:00:53:20 set firewall family any filter f1 term tag200 then gbp-tag 200 set firewall family any filter f1 term tag300 from mac-address 00:00:5E:00:53:30 set firewall family any filter f1 term tag300 then gbp-tag 300
Es wird empfohlen, dass Sie überall die gleiche Konfiguration für die GBP-Tag-Zuweisung haben (sowohl am Eingang als auch am Ausgang).
Beim Eingang im obigen Beispiel wird Paketen von der MAC-Adresse 00:00:5E:00:53:10 das Tag 100, Paketen von der MAC-Adresse 00:00:5E:00:53:20 das Tag 200 und Paketen von der MAC-Adresse 00:00:5E:00:53:30 das Tag 300 zugewiesen.
Dieselbe Tag-Zuweisung wird verwendet, um die Ziel-MAC-Adresse dem Ziel-Tag am Ausgang zuzuordnen. Am Ausgang im obigen Beispiel wird Paketen an die MAC-Adresse 00:00:5E:00:53:10 das Tag 100, Paketen an die MAC-Adresse 00:00:5E:00:53:20 das Tag 200 und Paketen an die MAC-Adresse 00:00:5E:00:53:30 das Tag 300 zugewiesen.
Hier ist ein Beispiel für die GBP-Tag-Zuweisung mithilfe von IP-Adressen:
set firewall family any filter f2 micro-segmentation set firewall family any filter f2 term t1 from ip-version ipv4 172.16.1.0/24 set firewall family any filter f2 term t1 then gbp-tag 400
Hier ein Beispiel für mehrere IP-Adressbegriffe in einem GBP-Tagging-Filter:
set firewall family any filter f3 micro-segmentation set firewall family any filter f3 term t1 from ip-version ipv4 address 10.0.0.0/22 set firewall family any filter f3 term t1 then gbp-tag 10 set firewall family any filter f3 term t2 from ip-version ipv4 address 10.0.0.0/24 set firewall family any filter f3 term t2 then gbp-tag 20
Das Standardverhalten des obigen Filters hat sich in Junos OS Version 24.4R1 geändert. Vor Junos OS-Version 24.4R1 wurde einem eingehenden Paket mit der IP-Adresse 10.0.0.231 (beispielsweise) GBP-Tag 10 zugewiesen, da das eingehende Paket mit dem ersten Begriff (t1) im Filter übereinstimmt. Ab Junos OS Version 24.4R1 wird demselben eingehenden Paket das GBP-Tag 20 zugewiesen, da der zweite Begriff (t2) eine spezifischere Übereinstimmung liefert.
Wenn Ihnen dieses neue Standardverhalten nicht gefällt und Sie das alte Verhalten der strikten Einhaltung der Firewall-Termreihenfolge beibehalten möchten, konfigurieren Sie den Filter wie folgt:
set firewall family any filter f3 no-longest-prefix-match
Legen Sie den no-longest-prefix-match Parameter fest, wenn Sie den GBP-Tagging-Filter zum ersten Mal erstellen. Schalten Sie diesen Parameter nicht für einen vorhandenen GBP-Tagging-Filter um.
Hier ist ein Beispiel mit einem doppelten übereinstimmenden Begriff:
set firewall family any filter f4 micro-segmentation set firewall family any filter f4 term t1 from ip-version ipv4 address 172.16.0.0/24 set firewall family any filter f4 term t1 then gbp-tag 10 set firewall family any filter f4 term t2 from ip-version ipv4 address 172.16.0.0/24 set firewall family any filter f4 term t2 then gbp-tag 20
Im obigen Beispiel stimmen sowohl t1 als auch t2 mit der IP-Adresse 172.16.0.0/24 überein, weisen jedoch unterschiedliche GBP-Tags zu. In diesem Fall wird nur der erste übereinstimmende Term ausgewertet. Der zweite und die nachfolgenden übereinstimmenden Terme werden ignoriert. Dies gilt unabhängig davon, ob Sie den Filter für die längste Präfixübereinstimmung konfigurieren oder nicht. Der Begriff t1 wird wirksam, und jedem übereinstimmenden Paket wird das GBP-Tag 10 zugewiesen.
Hier ist ein Beispiel für die Durchsetzung von GBP-Richtlinien:
set firewall family any filter gbp-policy term t100-200 from gbp-src-tag 100 set firewall family any filter gbp-policy term t100-200 from gbp-dst-tag 200 set firewall family any filter gbp-policy term t100-200 then accept set firewall family any filter gbp-policy term t100-300 from gbp-src-tag 100 set firewall family any filter gbp-policy term t100-300 from gbp-dst-tag 300 set firewall family any filter gbp-policy term t100-300 then discard
Pakete mit GBP-Quell-Tag 100 und GBP-Ziel-Tag 200 stimmen mit der Laufzeit überein t100-200 und werden akzeptiert. Pakete mit GBP-Quell-Tag 100 und GBP-Ziel-Tag 300 stimmen bei Laufzeit überein t100-300 und werden verworfen.
Ab Junos OS Version 23.4R1:
-
Die Switches EX4400, EX4650 und QFX5120 unterstützen VLAN-Listen und -Bereiche in einem GBP-Filter.
-
Die Switches EX4400, EX4650 und QFX5120 unterstützen mehrere VLAN-Einträge in einem einzigen Term in einem GBP-Filter.
-
Die Switches EX4400, EX4650 und QFX5120 unterstützen mehrere Schnittstelleneinträge in einem einzigen Term in einem GBP-Filter.
-
Die Switches EX4400, EX4650 und QFX5120 unterstützen eine Kombination aus Schnittstelle und VLAN in einem einzigen Term in einem GBP-Filter.
-
Die EX4100-Switches unterstützen mehrere Schnittstelleneinträge in einem einzigen Term in einem GBP-Filter.
Zum Beispiel:
set firewall family any filter f1 micro-segmentation set firewall family any filter f1 term t1 from vlan-id [10-30] set firewall family any filter f1 term t1 then gbp-tag 100
set firewall family any filter f2 micro-segmentation set firewall family any filter f2 term t1 from interface xe-0/0/1 set firewall family any filter f2 term t1 from interface xe-0/0/2 set firewall family any filter f2 term t1 from interface xe-0/0/3 set firewall family any filter f2 term t1 from interface xe-0/0/4 set firewall family any filter f2 term t1 then gbp-tag 200
Die Priorität des GBP-Tagging ist wie folgt, wobei ip-version die höchste Priorität hat:
-
ip-version ipv4<ip address> | <prefix-list> -
ip-version ipv6<ip address> | <prefix-list> -
mac-address<mac address> -
interface<interface_name> VLAN-ID <vlan id> -
vlan-id<vlan id> -
interface<interface_name>
Standardmäßig erfolgt die Richtliniendurchsetzung am Ausgang. Wenn Sie Richtlinien am Eingang erzwingen möchten, finden Sie weitere Informationen unter Richtliniendurchsetzung am Eingang und Tag-Weitergabe.
L4-Spielbedingungen
Ab Junos OS Version 23.2R1 haben wir die Übereinstimmungsbedingungen in GBP-Filtern um L4-Übereinstimmungen erweitert. Dadurch erhalten Sie zusätzliche Granularität bei der Steuerung des Anwendungsdatenverkehrs. Siehe Tabelle 6.
| Übereinstimmungen mit der Richtliniendurchsetzung für MAC- und IP-Pakete mit GBP-Tags | Beschreibung |
|---|---|
ip-version ipv4 destination-port dst_port |
Passen Sie den TCP/UDP-Zielport an. |
ip-version ipv4 source-port src_port |
Übereinstimmung mit dem TCP/UDP-Quellport. |
ip-version ipv4 ip-protocol ip-protocol |
Übereinstimmung mit IP-Protokolltyp. |
ip-version ipv4 is-fragment |
Übereinstimmung, wenn es sich bei dem Paket um ein Fragment handelt. |
ip-version ipv4 fragment-flags flags |
Übereinstimmung mit den Fragment-Flags (in symbolischen oder Hexadezimalformaten). |
ip-version ipv4 ttl value |
Entspricht dem MPLS/IP-TTL-Wert. |
ip-version ipv4 tcp-flags flags |
Übereinstimmung mit den TCP-Flags (im symbolischen oder Hexadezimalformat) - (nur Ingress). |
ip-version ipv4 tcp-initial |
Übereinstimmung mit dem ersten Paket einer TCP-Verbindung - (nur Ingress). |
ip-version ipv4 tcp-established |
Stimmt mit dem Paket einer bestehenden TCP-Verbindung überein. |
ip-version ipv6 destination-port dst_port |
Passen Sie den TCP/UDP-Zielport an. |
ip-version ipv6 source-port src_port |
Passen Sie den TCP/UDP-Quellport an. |
ip-version ipv6 next-header protocol |
Entspricht dem nächsten Headerprotokolltyp. |
ip-version ipv6 tcp-flags flags |
Übereinstimmung mit den TCP-Flags (im symbolischen oder Hexadezimalformat)Nur Ingress. |
ip-version ipv6 tcp-initial |
Stimmt mit dem ersten Paket einer TCP-Verbindung überein. |
ip-version ipv6 tcp-established |
Stimmt mit dem Paket einer bestehenden TCP-Verbindung überein. |
|
Anmerkung:
L4-Filter werden von den in Tabelle 1 dargestellten Switches der Serien EX4100, EX4400, EX4650 und QFX5120 unterstützt. Diese Übereinstimmungsbedingungen werden von den EX92xx-Switches nicht unterstützt. |
|
|
Anmerkung:
L4-Filter werden standardmäßig unterstützt, können jedoch die unterstützte GBP-Skalierung reduzieren. So deaktivieren Sie L4-Filter auf den Switches Wenn Sie diesen Befehl set (und das entsprechende Löschen) verwenden, wird die Packet Forwarding Engine (PFE) neu gestartet. |
|
GBP-Profile
Junos OS Version 23.2R1 und höher unterstützt die Profile vxlan-gbp-l2-profile und vxlan-gbp-l3-profile, wie in Tabelle 7 dargestellt.
| Unterstützte Profile | Switches |
|---|---|
vxlan-gbp-profile |
|
vxlan-gbp-l2-profile und vxlan-gbp-l3-profile |
|
Das UFT-Profil bestimmt die Tabellengrößen, die den verschiedenen GBP-Filtern zugeordnet werden sollen. Wählen Sie das Profil aus, das Ihren Netzwerkanforderungen am besten entspricht.
Weitere Informationen zur Verwendung dieser Profile finden Sie unter Grundlegendes zu GBP-Profilen .
Die Einstellungen für die Tabellengröße finden Sie unter vxlan-gbp-profile, vxlan-gbp-l2-profile und vxlan-gbp-l3-profile .
set chassis forwarding-options vxlan-gbp-profile
set chassis forwarding-options vxlan-gbp-l2-profile
set chassis forwarding-options vxlan-gbp-l3-profile
Wenn Sie ein GBP-Profil festlegen oder löschen, wird die Packet Forwarding Engine (PFE) automatisch neu gestartet.
Wenn Sie ein GBP-Profil in einem virtuellen Chassis festlegen oder löschen, müssen Sie alle Mitglieder des virtuellen Chassis neu starten: request system reboot all-members
Explizite Standardverwerfung
Wenn keine Bedingungen erfüllt sind, wird das Paket standardmäßig angenommen. Ab Junos OS Version 24.2R1 können Sie eine explizite Standard-Verwerfungsaktion für Pakete angeben, die keine Bedingungen erfüllen. Siehe Tabelle 8.
| Explizite Standardverwerfung |
Beschreibung |
|---|---|
set firewall family any filter f1 term t1 from gbp-src-tag 100 set firewall family any filter f1 term t1 from gbp-dst-tag 200 set firewall family any filter f1 term t1 then accept set firewall family any filter f1 term t2 then discard |
Sie können einen Filterausdruck (z. B. t2) erstellen, der eine Verwerfungsaktion, aber keine Übereinstimmungsbedingungen enthält. Dies ist nützlich als Auffanglösung für Pakete, die keiner der Bedingungen in den früheren Begriffen in der Sequenz entsprechen. Diese explizite standardmäßige Verwerfungsaktion gilt nicht für Broadcast-, Multicast-, Host-Ursprungs- oder unbekannte Unicastpakete. Diese Arten von Datenverkehr werden immer akzeptiert. Wenn Sie die explizite Verwerfungsaktion nicht konfigurieren, besteht die Standardaktion darin, das Paket zu akzeptieren, wie es in früheren Versionen der Fall ist. |
|
Anmerkung:
Die explizite Standardverwerfung wird auf den in Tabelle 1 dargestellten Switches der Serien EX4100, EX4400, EX4650 und QFX5120 unterstützt. Die explizite Standardverwerfung wird auf den EX92xx-Switches nicht unterstützt. |
|
Richtliniendurchsetzung am Eingang und Tag-Weitergabe
Ab Junos Version 22.4R1 können Sie die Richtliniendurchsetzung näher am Eingang durchführen. Die Ingress-Erzwingung spart Netzwerkbandbreite, indem getaggte Pakete am Eingang verworfen werden, die andernfalls am Ausgang verworfen würden. Zur Unterstützung der Richtliniendurchsetzung am oder näher am Eingang verbreiten wir die MAC- und IP-MAC-basierten Tags über das gesamte Netzwerk unter Verwendung erweiterter BGP-Communities innerhalb der EVPN-Routen Typ 2 und Typ 5. Informationen zu diesen Routentypen finden Sie unter EVPN-Routen Typ 2 und Typ 5 .
Die EVPN-Routenankündigung wird durch die Installation (oder eine Änderung) einer EVPN-Route ausgelöst, z. B. durch MAC-IP-Lernen beim Empfang eines Pakets von einem neuen Host. In diesem Fall wird die Quell-IP-Route in der evpn.0-Datenbank installiert, und eine EVPN-Ankündigung vom Typ 2 (die das GBP-Tag enthält, falls zugewiesen) wird an alle eBGP-Peers gesendet.
Nachdem diese Ankündigungen über das Netzwerk an die Remote-Endgeräte weitergegeben wurden, verfügen die Remote-Endgeräte über ausreichende Informationen, um GBP-Firewall-Filterentscheidungen für Pakete zu treffen, die am Remote-Eingang empfangen werden. Wenn Pakete am Eingang empfangen werden, können die Remote-Endgeräte die Zielroute nachschlagen und das Ziel-GBP-Tag abrufen, das sie zuvor über die EVPN-Typ-2-Ankündigung empfangen haben. Ausgestattet mit dem Ziel-GBP-Tag können die Remote-Endgeräte anschließend Entscheidungen zur Durchsetzung von GBP-Richtlinien für ihre eingehenden Pakete treffen.
Da GBP-Tags mithilfe von EVPN-Routenankündigungen vom Typ 2 weitergegeben werden, erfolgt die Tag-Weitergabe notwendigerweise pro MAC- oder IP-Adresse. Dies hat jedoch keine Auswirkungen auf die Tag-Zuweisung, die weiterhin jede der unterstützten Methoden sein kann, wie z. B. VLAN oder Schnittstelle.
Wenn Sie z. B. die Transponderzuweisung basierend auf der Schnittstelle konfigurieren und ein Paket von einem neuen Host auf dieser Schnittstelle empfangen wird, wird das für diese Schnittstelle zugewiesene Tag zusammen mit der Quell-MAC- und IP-Adresse des eingehenden Pakets in einer Typ-2-Routenankündigung weitergegeben. Wenn anschließend ein Paket von einem anderen Host auf derselben Schnittstelle empfangen wird, wird dasselbe Tag zusammen mit der Quell-MAC- und IP-Adresse dieses anderen Hosts in einer anderen Typ-2-Routenankündigung weitergegeben.
Wenn ein Border-Leaf-Switch eine EVPN-Typ-2-Ankündigung mit einem GBP-Tag empfängt, installiert der Switch die Typ-2-Route und generiert eine EVPN-Typ-5-Ankündigung mit diesem GBP-Tag für seine eBGP-Peers, wie z. B. für die Border-Leaf-Switches in anderen Datencentern (für den Datenverkehr zwischen Gleichstrom). Diese Route vom Typ 5 enthält eine /32-IP-Adresse und ein GBP-Tag.
Diese GBP-Tag-Weitergabe vom Typ 2 bis Typ 5 wird unterstützt, die Weitergabe von GBP-Tags vom Typ 5 bis Typ 2 wird jedoch nicht unterstützt.
Achten Sie bei Multihoming-Topologien darauf, dass die Konfiguration für alle Multihoming-Member identisch ist.
Sie müssen die folgende Anweisung aktivieren, um die Richtlinienerzwingung am Eingangsknoten durchzuführen. Wenn die Eingangserzwingung aktiviert oder deaktiviert wird, wird die Packet Forwarding Engine (PFE) neu gestartet.
set forwarding-options evpn-vxlan gbp ingress-enforcement
Tag-Weitergabe für IP-Präfixrouten mit EVPN Typ 5-Ankündigungen
Ab Junos OS Version 24.2R1 unterstützen wir die GBP-Tag-Weitergabe für IP-Präfixrouten mithilfe von EVPN-Ankündigungen vom Typ 5. Vor dieser Version wurde die Weitergabe von GBP-Tags nur durch MAC-IP-Lernen in der Datenebene ausgelöst, was bedeutete, dass die Tagweitergabe nur für /32-IP-Routen erfolgte.
Durch die Unterstützung von IP-Präfixrouten kann die Tag-Weitergabe jetzt erfolgen, z. B. wenn Sie eine Schnittstelle erstellen und die Ankündigung direkter EVPN-Routen aktivieren (set routing-instances <instance> protocols evpn ip-prefix-routes advertise direct-nexthop). Wenn Sie diesem IP-Präfix auch ein GBP-Tag zuweisen, enthält die nachfolgende EVPN-Typ-5-Ankündigung das GBP-Tag, wodurch das Tag noch vor dem MAC-IP-Lernen weitergegeben wird.
Im Allgemeinen erfolgt die Weitergabe von GBP-Tags in EVPN-Ankündigungen vom Typ 5, wenn Sie einen GBP-Filter erstellen, der einem IP-Präfix ein Tag zuweist, und diese IP-Präfixroute in der Routing-Datenbank evpn.0 installiert wird. (Sie können den GBP-Filter vor oder nach der Installation der Route erstellen.)
Auch wenn der Switch eine Typ-5-Ankündigung generiert, generiert der Switch ebenfalls eine Typ-2-Ankündigung, wenn er von einem neuen Host erfährt (z. B. durch MAC-IP-Lernen in der Datenebene). In vielen Fällen kann es wünschenswert sein, diese redundanten /32-Ankündigungen zu unterdrücken, um den EVPN-Datenverkehr zu reduzieren. Erstellen Sie dazu eine BGP-Richtlinie, um /32-Routen abzulehnen.
Im Folgenden wird z. B. eine Richtlinie mit dem Namen T5_EXPORT mit dem Begriff fm_v4_host erstellt, die /32-Routen von IPv4-Hosts ablehnt:
set policy-options policy-statement T5_EXPORT term fm_v4_host from route-filter 0.0.0.0/0 prefix-length-range /32-/32 set policy-options policy-statement T5_EXPORT term fm_v4_host then reject
Wenn ein Switch eine EVPN-Ankündigung für eine IP-Präfixroute und das zugehörige GBP-Tag empfängt und Sie einen GBP-Filter konfiguriert haben, der derselben IP-Präfixroute ein anderes Tag zuweist, hat das GBP-Tag im lokal konfigurierten GBP-Filter Vorrang. Der Switch ersetzt das GBP-Tag in der empfangenen EVPN-Ankündigung durch das lokal zugewiesene GBP-Tag, bevor er die EVPN-Route erneut ankündigt.
Die Weitergabe von IP-Präfix-Tags wird automatisch aktiviert, wenn Sie einen GBP-Filter für ein IP-Präfix erstellen und den GBP-Filter einer Routing-Instanz zuordnen. Zum Beispiel:
set firewall family any filter f1 micro-segmentation set firewall family any filter f1 term tag300 from ip-version ipv4 172.16.1.0/24 set firewall family any filter f1 term tag300 then gbp-tag 300 set routing-instances <routing-instance> forwarding-options evpn-vxlan gbp ingress-src-tag filter f1
Dabei <routing-instance> ist der Name der Routinginstanz, auf die der Filter angewendet werden soll.
Sobald eine IP-Präfixroute einem GBP-Tag zugeordnet ist, wird das GBP-Tag in der Ausgabe der show route Befehle für diese IP-Präfixroute angezeigt. Zum Beispiel:
show route match-prefix 5:* extensive
bgp.evpn.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden)
Restart Complete
5:10.255.1.1 (1 entry, 1 announced)
<trimmed>
gbp-tag:0L:53 router-mac:52:54:00:00:92:f0
Import Accepted
Route Label: 9100
Overlay gateway address: 0.0.0.0
ESI 00:00:00:00:00:00:00:00:00:00
Localpref: 100
Router ID: 10.255.1.1
Secondary Tables: VRF-100.evpn.0
Thread: junos-main
Indirect next hops: 1
<trimmed>
show route table VRF-100.inet.0 match-prefix 10.1.1* extensive
VRF-100.inet.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden)
Restart Complete
10.1.1.3/32 (1 entry, 1 announced)
TSI:
KRT in-kernel 10.1.1.3/32 -> {indirect(1048574)}
Opaque data client: EVPN-Type5
Opaque data: tlv_type :32820
Type5 gbp_tag 53.
Address: 0xa15f928
Opaque-data reference count: 2
Page 0 idx 0, (group DC2_TORS type External) Type 1 val 0xa32fd40 (adv_entry)
Advertised metrics:
Nexthop: Self
AS path: [65201] 65200 I
Communities: gbp-tag:0L:53
Advertise: 00000001
Path 10.1.1.3
<trimmed>
Verwenden Sie den show evpn gbp-src-tag filter-bind routing-instance Befehl, um die Bindung zwischen einer Routinginstanz und einem GBP-Filter anzuzeigen.
Verwenden Sie den Befehl, um show evpn gbp-src-tag ip-prefix inet die Zuordnung der IP-Präfixroute zu GBP-Tags anzuzeigen.
Zu den Einschränkungen dieser Funktion gehören die folgenden:
-
Sie können einen GBP-Filter nur einer Routing-Instanz zuordnen. Es ist nicht möglich, denselben GBP-Filter mehreren Routing-Instanzen zuzuordnen.
-
Sie können nicht zwei verschiedene GBP-Filter mit derselben IP-Präfix-Übereinstimmungsbedingung derselben Routing-Instanz zuordnen.
-
Sie können einen IP-basierten GBP-Filter nur einer Routinginstanz zuordnen. Das Zuordnen anderer Typen von GBP-Filtern hat keine Auswirkungen.
-
Diese Funktion wird nur für die in Tabelle 1 aufgeführten Switches der Serien EX4400, EX4650 und QFX-5120 unterstützt.
Anforderungen für CRB- und ERB-Overlays
Die GBP-Konfiguration unterscheidet sich je nachdem, ob Sie ein CRB-Overlay (Centrally Routed and Bridging) oder ein Edge-Routing- und Bridging-Overlay verwenden. Tabelle 9 zeigt diese Unterschiede.
| GBP-Funktion |
Typische Anwendung auf CRB |
Typische Anwendung auf ERB |
Beispiel |
|---|---|---|---|
| Identifizieren |
Eingangs-Leaf |
Eingangs-Leaf |
set firewall family any filter f1 micro-segmentation set firewall family any filter f1 term t1 from ip-version ipv4 address 172.16.10.0/24 set firewall family any filter f1 term t1 then gbp-tag 10 |
| Richtliniendurchsetzung ohne GBP-Ziel-Tag |
Ingress- oder Egress-Leaf |
Ingress- oder Egress-Leaf |
set firewall family any filter f2 term t1 from gbp-src-tag 10 set firewall family any filter f2 term t1 then discard |
| Richtliniendurchsetzung mit GBP-Ziel-Tag |
Eingangs-Spine |
Eingangs-Leaf |
set forwarding-options evpn-vxlan gbp ingress-enforcement set firewall family any filter f3 term t1 from gbp-src-tag 10 set firewall family any filter f3 term t1 from gbp-dst-tag 20 set firewall family any filter f3 term t1 then discard |
| Ausgangs-Leaf |
Ausgangs-Leaf |
set firewall family any filter f3 term t1 from gbp-src-tag 10 set firewall family any filter f3 term t1 from gbp-dst-tag 20 set firewall family any filter f3 term t1 then discard |
Wenn Sie ein CRB-Overlay verwenden, müssen Sie außerdem Folgendes konfigurieren:
| Zusätzliche Konfiguration |
Schalter |
Beispiel |
|---|---|---|
| Aktivieren Sie In einem CRB-Overlay fungieren Leaf-Switches als Layer-2-Gateways. Damit diese Layer-2-Gateways das Lernen und Altern von ARP- oder NDP-Einträgen verwalten und EVPN-MAC-IP-Routen vom Typ 2 ankündigen können, aktivieren wir die |
Alle Leaf-Switches |
set protocols l2-learning crb-proxy-mac family inet <proxy-MAC-address>wobei <proxy-MAC-address> die Anycast-MAC-Adresse ist, die Sie auf allen Leaf-Switches verwenden möchten. Geben Sie den obigen Befehl mit dem gleichen <proxy-MAC-address> Befehl auf allen Leaf-Switches aus. |
| Deaktivieren Sie Spine-Switches möchten nicht, dass sie im Namen von Leaf-Switches EVPN-MAC-IP-Routen vom Typ 2 ankündigen. Wir deaktivieren daher diese |
Alle IRB-Schnittstellen auf Spine-Switches |
Wenn proxy-macip-advertisement es auf einer IRB-Schnittstelle aktiviert ist, deaktivieren Sie es wie folgt:delete interfaces irb unit <logical-unit-number> proxy-macip-advertisement |
Vom Host stammende Pakete
Wenn Pakete von einer IRB-Schnittstelle (Integrated Routing and Bridging) über einen virtuellen Tunnelendpunkt (VTEP) ausgehen, fügt der Kernel ein Quell-GBP-Tag in den VXLAN-Header ein und sendet das Paket. Der Wert des Quell-GBP-Tags wird mit der folgenden Anweisung konfiguriert:
set forwarding-options evpn-vxlan host-originated-packets gbp-src-tag gbp-src-tag
GBP MAC/IP Inter-tagging
Standardmäßig gilt ein MAC-basierter GBP-Filter nur für gerouteten Datenverkehr, und ein IP-basierter GBP-Filter gilt nur für gerouteten Datenverkehr.
Ab Junos OS Version 24.2R1 können MAC-basierte GBP-Filter auch auf gerouteten Datenverkehr und IP-basierte GBP-Filter auch auf geswitchten Datenverkehr angewendet werden. Dies wird als MAC/IP-Intertagging bezeichnet und kann auf den in Tabelle 1 dargestellten Switches der Serien EX4100, EX4400, EX4650 und QFX5120 aktiviert werden.
Wenn diese Option aktiviert ist, fügt der Schalter automatisch einen entsprechenden Eintrag wie folgt hinzu:
-
Wenn Sie einen MAC-basierten GBP-Filter erstellen, veranlasst das erste eintreffende Paket, das mit dieser MAC-Adresse übereinstimmt, dass der Switch automatisch eine entsprechende IP-basierte GBP-Zuweisung erstellt. Bei dieser Zuweisung wird dasselbe Tag wie beim ursprünglichen MAC-basierten GBP-Filter angewendet, die Quell-IP-Adresse stimmt jedoch nicht mit der MAC-Adresse, sondern überein.
-
Wenn Sie einen IP-basierten GBP-Filter erstellen, veranlasst das erste eintreffende Paket, das mit dieser IP-Adresse übereinstimmt, dass der Switch automatisch eine entsprechende MAC-basierte GBP-Zuweisung erstellt. Bei dieser Zuweisung wird das gleiche Tag wie der ursprüngliche IP-basierte GBP-Filter angewendet, die Übereinstimmung erfolgt jedoch mit der Quell MAC-Adresse und nicht mit der IP-Adresse.
Durch das Anlegen eines entsprechenden Eintrags wird sichergestellt, dass das gewünschte GBP-Tag zugewiesen wird, unabhängig davon, ob der Flow anschließend geschaltet oder geroutet wird.
-
Filter 1: GBP-Tag 100 dem Datenverkehr mit MAC-Adresse zuweisen 52:54:00:00:00:11
-
Filter 2: GBP-Tag 200 für Datenverkehr mit IP-Adresse 172.16.0.11 zuweisen
So aktivieren Sie MAC/IP-Intertagging:
set forwarding-options evpn-vxlan gbp mac-ip-inter-tagging
Wenn Sie die Option mac-ip-inter-tagging aktivieren oder löschen, wird die Packet Forwarding Engine (PFE) automatisch neu gestartet.
Wenn Sie die Option mac-ip-inter-tagging in einem virtuellen Chassis festlegen oder löschen, müssen Sie alle Mitglieder des virtuellen Chassis neu starten: request system reboot all-members
Unten sehen Sie, dass dasselbe GBP-Tag 100 sowohl in der MAC- als auch in der IP-Tabelle angezeigt wird, wenn Sie MAC/IP-Intertagging aktivieren.
show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC,
B - Blocked MAC)
Ethernet switching table : 2 entries, 2 learned
Routing instance : default-switch
Vlan MAC MAC GBP Logical SVLBNH/ Active
name address flags tag interface VENH Index source
vlan100 52:54:00:22:22:22 D 100 xe-0/0/8.0
vlan200 52:54:00:44:44:44 D xe-0/0/9.0
show ethernet-switching mac-ip-table
MAC IP flags (S - Static, D - Dynamic, L - Local , R - Remote, Lp - Local Proxy,
Rp - Remote Proxy, K - Kernel, RT - Dest Route, (N)AD - (Not) Advt to remote,
RE - Re-ARP/ND, RO - Router, OV - Override, Ur - Unresolved, B - Blocked,
RTS - Dest Route Skipped, RGw - Remote Gateway, GBP - Group Based Policy,
RTF - Dest Route Forced, SC - Static Config, P - Probe, NLC - No Local Config,
LD - Local Down)
Routing instance : default-switch
Bridging domain : vlan100
IP MAC Flags GBP Logical Active
address address Tag Interface source
10.100.100.100 52:54:00:22:22:22 DL,K,RT,AD 100 xe-0/0/8.0
10.100.100.101 52:54:00:63:0e:40 S,K irb.100
2001:db8::9300:6463:e40 52:54:00:63:0e:40 S,K irb.100
Filterbasierte Weiterleitung
Ab Junos OS Version 24.3R1 unterstützen wir die filterbasierte Weiterleitung für Datenverkehr mit GBP-Tags. Dies ist die Möglichkeit, Datenverkehr an einen bestimmten nächsten Hop weiterzuleiten, wenn die GBP-Tags, die diesem Datenverkehr zugewiesen sind, mit den im Filter angegebenen GBP-Tags übereinstimmen. Verwenden Sie diese Funktion, um für den angegebenen getaggten Datenverkehr eine unterschiedliche Routingbehandlung im Vergleich zum regulären Datenverkehr anzuwenden.
Um einen Weiterleitungsfilter zu erstellen, geben Sie die Quell- und Zieltags an, die Sie abgleichen möchten, sowie den nächsten Hop, an den Sie den übereinstimmenden Datenverkehr weiterleiten möchten. Siehe Tabelle 11.
| Beispiel für eine filterbasierte Weiterleitung |
Beschreibung |
|---|---|
set firewall family any filter f1 term t1 from gbp-src-tag 100 set firewall family any filter f1 term t1 from gbp-dst-tag 200 set firewall family any filter f1 term t1 then next-ip 10.10.1.1 |
Verwenden Sie die Standardroutinginstanz, um Datenverkehr mit GBP-Quelltag 100 und Zieltag 200 an den nächsten Hop für die Route 10.10.1.1 weiterzuleiten. |
set firewall family any filter f1 term t1 from gbp-src-tag 100 set firewall family any filter f1 term t1 from gbp-dst-tag 200 set firewall family any filter f1 term t1 then next-ip 10.10.1.0/24 |
Verwenden Sie die Standardroutinginstanz, um Datenverkehr mit GBP-Quelltag 100 und Zieltag 200 an den nächsten Hop für die Route 10.10.1.0/24 weiterzuleiten. |
set firewall family any filter f1 term t1 from gbp-src-tag 100 set firewall family any filter f1 term t1 from gbp-dst-tag 200 set firewall family any filter f1 term t1 then next-ip 10.10.1.1 routing-instance VRF-100 |
Verwenden Sie die VRF-100-Routing-Instanz, um Datenverkehr mit GBP-Quell-Tag 100 und Ziel-Tag 200 an den nächsten Hop für die Route 10.10.1.1 weiterzuleiten. |
set firewall family any filter f1 term t1 from gbp-src-tag 100 set firewall family any filter f1 term t1 from gbp-dst-tag 200 set firewall family any filter f1 term t1 then next-ip6 2001:db8:4136:e378:8000:63bf:3fff:fdd2 |
Verwenden Sie die Standardrouting-Instanz, um Datenverkehr mit GBP-Quell-Tag 100 und Ziel-Tag 200 an den nächsten Hop für die Route 2001:db8:4136:e378:8000:63bf:3fff:fdd2 weiterzuleiten. |
set firewall family any filter f1 term t1 from gbp-src-tag 100 set firewall family any filter f1 term t1 from gbp-dst-tag 200 set firewall family any filter f1 term t1 then next-ip6 2001:db8:4136::/48 |
Verwenden Sie die Standard-Routing-Instanz, um Datenverkehr mit GBP-Quell-Tag 100 und Ziel-Tag 200 an den nächsten Hop für die Route 2001:db8:4136::/48 weiterzuleiten. |
set firewall family any filter f1 term t1 from gbp-src-tag 100 set firewall family any filter f1 term t1 from gbp-dst-tag 200 set firewall family any filter f1 term t1 then next-ip6 2001:db8:4136:e378:8000:63bf:3fff:fdd2 routing-instance VRF-100 |
Verwenden Sie die Routing-Instanz VRF-100, um Datenverkehr mit GBP-Quell-Tag 100 und Ziel-Tag 200 an den nächsten Hop für die Route 2001:db8:4136:e378:8000:63bf:3fff:fdd2 weiterzuleiten. |
| Begrenzungen:
|
|
Zuweisen von SGTs für die 802.1X GBP-Tag-Zuweisung
In diesem Beispiel konfigurieren wir SGTs auf einem RADIUS-Server und verwenden dann die 802.1X-Zugriffssteuerung auf den GBP-fähigen Zugriffs-Switches, um die SGTs zu empfangen, wenn ein passender Endpunkt eine Verbindung mit dem Switch herstellt. RADIUS-Server werden häufig in Campus-Umgebungen zur Zugriffssteuerung und z. B. zur Steuerung der Zuweisung von VLANs eingesetzt.
-
Wenn Sie die 802.1X-Authentifizierung mit Single-Secure- oder Multiple-Supplicant-Modus konfigurieren, erfolgt das GBP-Tagging MAC-basiert. Wenn Sie die 802.1X-Authentifizierung mit dem Single-Supplicant-Modus konfigurieren, erfolgt das GBP-Tagging schnittstellenbasiert.
-
IP-Adress-, VLAN-ID- und VLAN-ID+Schnittstellen-Übereinstimmungen werden mit 802.1X nicht unterstützt.
Um die Verwendung von SGTs auf dem RADIUS-Server zu ermöglichen, müssen wir das herstellerspezifische Attribut (VSA) nutzen, das vom AAA-Service-Framework unterstützt wird (diese VSAs werden als Teil der standardmäßigen RADIUS-Anforderungsantwortnachricht übertragen und bieten eine integrierte Erweiterung, um implementierungsspezifische Informationen wie unsere SGTs zu verarbeiten). Die genaue Syntax auf dem RADIUS-Server hängt davon ab, ob das Authentifizierungsschema MAC- oder EAP-basiert ist. Für MAC-basierte Clients sieht die Konfiguration wie folgt aus:
001094001199 Cleartext-Password := "001094001199" Juniper-Switching-Filter = "apply action gbp-tag 100
Bei EAP-basierten Clients wird der SGT zum Zeitpunkt der Authentifizierung vom RADIUS-Server gepusht. Die Konfiguration sieht folgendermaßen aus:
PermEmp01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 100"
Beginnend mit Junos OS Version 23.4R1 wird zusätzlich zu den bestehenden Juniper-Switching-Filterwird ein neuer VSA Juniper-Group-Based-Policy-Id namens auf den Switches EX4400, EX4100, EX4650 und QFX5120 unterstützt.
Sie sollten nicht gleichzeitig den VSA "Juniper-Group-Based-Policy-Id" und den "Juniper-Switching-Filter"-VSA zusammen für denselben Client verwenden.
Der Client wird nicht authentifiziert, wenn beide VSAs vorhanden sind und unterschiedliche GBP-Tag-Werte enthalten.
Sie können GBP-Tags dynamisch aus RADIUS über eine der folgenden VSAs zuweisen:
-
Juniper-Switching-Filterträgt den GBP-Filter und andere Filterübereinstimmungs- und Aktionsbedingungen. -
Der
Juniper-Group-Based-Policy-Idträgt nur das GBP-Tag.
Der Juniper-Group-Based-Policy-Id VSA für MAC- und schnittstellenbasierte GBP-Tagfilter sieht folgendermaßen aus:
PermEmp01 Auth-Type = EAP, Cleartext-Password := "gbp"
Juniper-Group-Based-Policy-Id = “100”
Das konfigurierte GBP-Tag ist ein positiver Wert ungleich Null im Bereich (1-65535) für GBP-Tags, der in einem VSA (anbieterspezifisches Attribut) von einem RADIUS-Server angegeben ist.
Ab Junos OS Version 23.4R1 und höher wird die GBP-Funktion auch zu den folgenden dot1x-Konfigurationsanweisungen auf den Switches EX4400, EX4100, EX4650 und QFX5120 hinzugefügt:
| CLI |
Beschreibung |
|---|---|
set protocols dot1x authenticator interface [interface-names] server-fail gbp-tag gbp-tag |
Geben Sie das GBP-Tag an, das auf der Schnittstelle angewendet werden soll, wenn auf den Server nicht zugegriffen werden kann. Wenn Sie die Sie können diese Option nur konfigurieren, wenn die |
set protocols dot1x authenticator interface [interface-names] server-reject-vlan gbp-tag gbp-tag |
Geben Sie das GBP-Tag an, das angewendet werden soll, wenn RADIUS die Clientauthentifizierung ablehnt. Wenn Sie die Sie können die |
|
|
Geben Sie das GBP-Tag an, das angewendet werden soll, wenn eine Schnittstelle in ein Gast-VLAN verschoben wird. Wenn der konfiguriert Sie können die Weitere Informationen zu Gast-VLANs finden Sie unter 802.1X-Authentifizierung. |
Sie können den show dot1x interface detail show ethernet-switching table Befehl oder verwenden, um zu überprüfen, welches GBP-Tag von RADIUS empfangen wird.
Hier ist eine Beispielausgabe des show ethernet-switching table Befehls:
> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC,
B - Blocked MAC)
Ethernet switching table : 2 entries, 2 learned
Routing instance : default-switch
Vlan MAC MAC GBP Logical SVLBNH/ Active
name address flags tag interface VENH Index source
vlan200 00:10:94:00:00:05 D 100 xe-0/2/2.0
vlan200 00:10:94:00:00:06 DR 100 vtep.32769 21.2.0.1
Planung Ihrer SGT-Einsätze
Bevor Sie Regeln erstellen, kann es hilfreich sein, Ihr Schema zu organisieren, indem Sie eine Tabelle für alle Ihre Endpunkte (Benutzer und Geräte) und den zugewiesenen SGT-Wert erstellen. Die folgende Tabelle kann verwendet werden, um die Logik weiter zu vereinfachen und Ihre Regeln zu verdeutlichen.
| Endpunkt |
Zugewiesener SGT-Wert |
|---|---|
| Festangestellter (PE) |
100 |
| Auftragnehmer (CON) |
200 |
| Sicherheitspersonal (SS) |
300 |
| Sicherheitskamera (CAM) |
400 |
| Engineering Server (ES) |
500 |
Die Beziehung zwischen dem RADIUS-Server und den SGTs, den EX4400- und VXLAN-Paket-Headern und einem zentralen Firewall-Filter zur Verwaltung der Zugriffsrichtlinie ist derart, dass eine Matrix zu einer praktischen Möglichkeit wird, die Werte zu organisieren. In der folgenden Tabelle listen wir Benutzerrollen in der ersten Spalte und Gerätetypen in der ersten Zeile auf, um eine Zugriffsmatrix zu erstellen. Jeder Benutzerrolle und jedem Gerätetyp wird ein SGT zugewiesen, und die RADIUS-Konfiguration wurde mit diesen Informationen aktualisiert.
In diesem Beispiel werden drei Arten von Mitarbeitern verwendet: Festangestellter (Permanent Employee, PE), Auftragnehmer (CON) und Security Staff (SS). Außerdem werden zwei Arten von Ressourcen verwendet, Eng-Server (ES) und Überwachungskamera (CAM). Wir verwenden Y , um anzugeben, dass der Zugriff zulässig ist, und N wird angezeigt, wenn der Zugriff blockiert ist. Die Tabelle dient als nützliche Ressource beim Erstellen der verschiedenen Firewall-Regeln in der Richtlinie und macht die Zugriffszuordnung einfach und übersichtlich.
| ES (SGT 500) | CAM (SGT 400) | PE (SGT 100) | CON (SGT 200) | SS (SGT 300) | |
|---|---|---|---|---|---|
| PE (SGT 100) | Y | N | Y | Y | N |
| KON (SGT 200) | N | N | Y | N | N |
| Edelstahl (SGT 300) | N | Y | N | N | Y |
Topologie
Der Einfachheit halber erfolgt die gesamte Konfiguration in diesem Beispiel auf einem einzigen Switch der Serie EX4400 von Juniper, auf dem Junos OS Version 22.4.1R1 ausgeführt wird. Der Switch ist mit einem RADIUS-Server für AAA verbunden. Dieser Schalter fungiert in diesem Beispiel als Ausgang. Denken Sie daran, dass Sie für SGTs die Firewall auf dem Ausgangs-Switch definieren müssen, während Sie dies normalerweise auf dem Eingangs-VXLAN-Gateway für die Zugriffsebene tun würden.
- Anforderungen
- Konfiguration
- Konfiguration eines eigenständigen Juniper EX4400-Switches für VXLAN-GBP
- Einschränkungen für EX-Switches und QFX-Switches:
Anforderungen
Erweitertes GBP wird in Junos OS 22.4R1 auf den folgenden Switches unterstützt: EX4100, EX4400, EX4650, QFX5120-32C und QFX5120-48Y.
Konfiguration
VXLAN-GBP-basierte Segmentierung:
- Benutzer melden sich beim Netzwerk an und werden vom RADIUS-Server authentifiziert (auf dem SGTs für alle Endgeräte konfiguriert sind).
- Mithilfe von Firewall-Filtern selektiert der EX4400 Datenverkehr auf der Grundlage der 802.1X-Authentifizierung oder der MAC-Adresse und weist dann passenden Frames ein Gruppen-Tag zu. (Für dot1x-authentifizierte Clients ist die statische Firewall-Konfiguration nicht erforderlich.) Die Mechanik hierfür wird mithilfe einer Firewall durchgeführt, wie hier gezeigt:
set firewall family any filter name micro-segmentation set firewall family any filter name term name from source-mac-address MAC-Addr
set firewall family any filter name term name then gbp-tag PE-GRP
- Der getaggte Datenverkehr, der den EX4400 passiert, wird auf der Grundlage der SGT-Werte ausgewertet, wobei wiederum die Mechanik des Firewall-Filters verwendet wird.
-
Aktivieren Sie
chassis forwarding-options vxlan-gbp-profilezuerst auf dem Gerät. - Verwenden Sie die
gbp-dst-tagBedingungen "und/odergbp-src-tagÜbereinstimmung", um Ihre Firewallregeln zu schreiben, und fügen Sie sie in die Routing-Richtlinie auf dem Ausgangs-Switch ein, den Sie für die GBP-Mikrosegmentierung verwenden. Beginnend mit Junos OS Version 23.2R1 werden zusätzlich zu den Quell- und Ziel-Tags der neue GBP-Richtlinienfilter IPv4- und IPv6-L4-Übereinstimmungen wie Protokoll, Quellports, Zielports, TCP-Flags und andere Übereinstimmungen unterstützt. Siehe Tabelle 6. -
Wenn Sie möchten, dass die Richtliniendurchsetzung am Eingangsendpunkt stattfindet, müssen Sie die
set fowarding-options evpn gbp ingress-enforcementOption aktivieren.
-
Konfiguration eines eigenständigen Juniper EX4400-Switches für VXLAN-GBP
Verwenden Sie die folgenden Befehle, um die VXLAN-GBP-Segmentierung in einer Sandbox-Umgebung zu konfigurieren. Normalerweise erstellen Sie die Firewall-Filterregeln auf dem Switch, der als (ausgehendes) VXLAN-Gateway für die Zugriffsebene dient, aber der Einfachheit halber verwenden wir denselben eigenständigen EX4400 sowohl für die Firewall-Filterregeln als auch für den RADIUS-Server (EAP, hier). Die Werte, die wir in diesem Beispiel verwenden, stammen aus den vorherigen Tabellen.
Die folgenden Befehle enthalten Variablen wie Profilnamen und IP-Adressen, die angepasst werden müssen, um für Ihre Testumgebung sinnvoll zu sein.
- Konfigurieren Sie den RADIUS-Server:
set groups dot1xgbp access radius-server 10.204.96.102 port 1812 set groups dot1xgbp access radius-server 10.204.96.102 secret “secret key" set groups dot1xgbp access profile radius_profile_dev12 authentication-order radius set groups dot1xgbp access profile radius_profile_dev12 radius authentication-server 10.204.96.102 set groups dot1xgbp access profile radius_profile_dev12 radius accounting-server 10.204.96.102 set groups dot1xgbp access profile radius_profile_dev12 accounting order radius
- Konfigurieren Sie die physischen Ports für die Unterstützung der RADIUS-Authentifizierung:
set groups dot1xgbp protocols dot1x authenticator authentication-profile-name radius_profile_dev12 set groups dot1xgbp protocols dot1x authenticator interface xe-0/0/46.0 supplicant multiple set groups dot1xgbp protocols dot1x authenticator interface xe-0/0/46.0 mac-radius
- Richten Sie die SGT-Tags auf dem RADIUS-Server mit dem Juniper-Switching-Filter oder der Juniper-Group-Based-Policy-ID ein:
Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 100" Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 200" SecurityStaff01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 300" SecurityCam01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 400" EngServer01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 500"
Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "100" Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "200" SecurityStaff01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "300" SecurityCam01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "400" EngServer01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "500"
- Aktivieren Sie VXLAN-GBP auf dem Switch:
set chassis forwarding-options vxlan-gbp-profile
- Erstellen Sie Firewall-Filterregeln, die die SGTs nutzen (unter Verwendung von Werten, die in der Matrix organisiert sind):
set groups gbp-policy firewall family any filter gbp-policy term pe-to-pe from gbp-src-tag 100 set groups gbp-policy firewall family any filter gbp-policy term pe-to-pe from gbp-dst-tag 100 set groups gbp-policy firewall family any filter gbp-policy term pe-to-pe then accept set groups gbp-policy firewall family any filter gbp-policy term pe-to-pe then count PE-PE set groups gbp-policy firewall family any filter gbp-policy term pe-to-es from gbp-src-tag 100 set groups gbp-policy firewall family any filter gbp-policy term pe-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family any filter gbp-policy term pe-to-es then accept set groups gbp-policy firewall family any filter gbp-policy term pe-to-es then count PE-ES set groups gbp-policy firewall family any filter gbp-policy term pe-to-cam from gbp-src-tag 100 set groups gbp-policy firewall family any filter gbp-policy term pe-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family any filter gbp-policy term pe-to-cam then discard set groups gbp-policy firewall family any filter gbp-policy term pe-to-cam then count PE-CAM set groups gbp-policy firewall family any filter gbp-policy term con-to-cam from gbp-src-tag 200 set groups gbp-policy firewall family any filter gbp-policy term con-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family any filter gbp-policy term con-to-cam then discard set groups gbp-policy firewall family any filter gbp-policy term con-to-cam then count CON-CAM set groups gbp-policy firewall family any filter gbp-policy term con-to-es from gbp-src-tag 200 set groups gbp-policy firewall family any filter gbp-policy term con-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family any filter gbp-policy term con-to-es then discard set groups gbp-policy firewall family any filter gbp-policy term con-to-es then count CON-ES set groups gbp-policy firewall family any filter gbp-policy term ss-to-cam from gbp-src-tag 300 set groups gbp-policy firewall family any filter gbp-policy term ss-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family any filter gbp-policy term ss-to-cam then accept set groups gbp-policy firewall family any filter gbp-policy term ss-to-cam then count SS-CAM set groups gbp-policy firewall family any filter gbp-policy term ss-to-es from gbp-src-tag 300 set groups gbp-policy firewall family any filter gbp-policy term ss-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family any filter gbp-policy term ss-to-es then discard set groups gbp-policy firewall family any filter gbp-policy term ss-to-es then count SS-ES set apply-groups gbp-policy
- Führen Sie in Junos eine Commit-Prüfung durch, um zu überprüfen, ob die von Ihnen verwendeten Befehle und Variablen gültig sind. Wenn Sie mit Ihrer Konfiguration zufrieden sind, bestätigen Sie die Kandidatenkonfiguration, um sie auf dem Gerät zu aktivieren. Diese Befehle sind unten aufgeführt. Sie können Ihre Konfiguration auch überprüfen, indem Sie eingeben.
run show configurationcommit check configuration check succeeds commit commit complete
Einschränkungen für EX-Switches und QFX-Switches:
-
Switches EX9204, EX9208 und EX9214:
-
SGTs, die über RADIUS/802.1X konfiguriert wurden, werden nicht unterstützt.
-
Die Unterstützung für die Tag-Weitergabe von /32-Routen und die Richtliniendurchsetzung auf dem Eingangsendpunkt beginnt in Junos OS Version 24.2R1.
-
Die Unterstützung für die Tag-Weitergabe von IP-Präfixrouten mithilfe von EVPN-Ankündigungen vom Typ 5 beginnt in Junos OS Version 24.2R1.
-
GBP-UFT-Profile werden nicht unterstützt.
-
-
Die Anzahl der eindeutigen Tags für die Plattformen EX4400 und QFX5120 ist auf 1K beschränkt.
-
Die
interfaceundVLANGBP-Übereinstimmungen werden auf den EX4100-Switches nicht unterstützt. -
IP-basiertes Multicast-GBP-Tagging wird nicht unterstützt.
-
IP-basiertes GBP wird nicht für Layer 2-Switching-Datenströme und MAC-basiertes GBP nicht für Access-to-Access-Layer-3-Routing-Datenströme angewendet.
-
IPACL wird nicht unterstützt, wenn schnittstellenbasiertes GBP konfiguriert ist.
-
Policer- und Count-Aktionen werden nur für MAC- und IP-basierte GBP-Richtlinieneinträge unterstützt.
-
VLAN-basiertes GBP wird für logische Schnittstellen im Service Provider-Stil nicht unterstützt.
-
GBP-Tag-Zuweisungsfilter unterstützen die Zähleroption nicht.
-
Unterschiedliche Übereinstimmungskriterien von GBP-Filtern (MAC, Schnittstelle und Schnittstelle+VLAN) können nicht Teil desselben Filters sein.
GBP Junos OS Version 21.1R1 und höher
Zuweisen von SGTs mit einem RADIUS-Server
In diesem Beispiel konfigurieren wir SGTs auf einem RADIUS-Server und verwenden dann 802.1X-Zugriffssteuerung auf den EX4400, um sie zu empfangen. RADIUS-Server werden häufig in Campus-Umgebungen zur Zugriffssteuerung und z. B. zur Steuerung der Zuweisung von VLANs eingesetzt.
Um die Verwendung von SGTs auf dem RADIUS-Server zu ermöglichen, müssen wir herstellerspezifische Attribute (VSA) nutzen, die vom AAA-Service-Framework unterstützt werden (diese VSA werden als Teil der standardmäßigen RADIUS-Anforderungsantwortnachricht übertragen und bieten eine integrierte Erweiterung, um implementierungsspezifische Informationen wie unsere SGTs zu verarbeiten). Die genaue Syntax auf dem RADIUS-Server hängt davon ab, ob das Authentifizierungsschema MAC- oder EAP-basiert ist. Für MAC-basierte Clients sieht die Konfiguration wie folgt aus:
001094001199 Cleartext-Password := "001094001199" Juniper-Switching-Filter = "apply action gbp-tag 100"
Bei EAP-basierten Clients wird der SGT zum Zeitpunkt der Authentifizierung vom RADIUS-Server gepusht. Die Konfiguration sieht folgendermaßen aus:
PermEmp01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 100"
Beginnend mit Junos Version 21.1R1 führen EX4400-Switches eine neue Übereinstimmungsbedingung für die Verwendung mit VXLAN-GBP ein, die es der Firewall ermöglicht, die SGT-Tags zu erkennen, die vom RADIUS-Server übergeben und in den VXLAN-Header eingefügt werden.
Wie dies funktioniert, sehen Sie in den folgenden Codebeispielen. GBP-Firewall-Richtlinien werden auf der Grundlage von Quell- und Ziel-GBP-Tags erstellt. Ein Quell-Tag ist das 16-Bit-Feld im VXLAN-Header des eingehenden Pakets, während das Ziel-Tag am Ausgangstunnelendpunkt entsprechend der konfigurierten Tag-Zuweisung abgeleitet wird.
Nehmen wir an, wir haben einen Ausgangsendpunkt mit der unten gezeigten Konfiguration. Paketen von der Quell-MAC-Adresse 00:01:02:03:04:10:10 wird das Tag 100 zugewiesen, und Paketen von der Quell-MAC-Adresse 00:01:02:03:04:20:20 wird 200 zugewiesen.
set firewall family ethernet-switching filter assign_tag term tag100 from source-mac-address 00:01:02:03:04:10:10 set firewall family ethernet-switching filter assign_tag term tag100 then gbp-src-tag 100 set firewall family ethernet-switching filter assign_tag term tag200 from source-mac-address 00:01:02:03:04:20:20 set firewall family ethernet-switching filter assign_tag term tag200 then gbp-src-tag 200
Bei Paketen mit GBP-Tag 100 und einer Ziel-MAC-Adresse von 00:01:02:03:04:10:10ist das Zielgruppen-Tag (gbp-dst-tag) 100 und stimmt mit der Laufzeit t10-100überein. Entsprechend ist für Pakete mit dem GBP-Tag 100 und einer Ziel-MAC-Adresse von 00:01:02:03:04:20:20200 das Zielgruppen-Tag 200 und stimmt mit term t10-200überein.
set firewall family ethernet-switching filter gbp-policy term t10-100 from gbp-src-tag 100 set firewall family ethernet-switching filter gbp-policy term t10-100 from gbp-dst-tag 100 set firewall family ethernet-switching filter gbp-policy term t10-100 then accept set firewall family ethernet-switching filter gbp-policy term t10-200 from gbp-src-tag 100 set firewall family ethernet-switching filter gbp-policy term t10-200 from gbp-dst-tag 200 set firewall family ethernet-switching filter gbp-policy term t10-200 then discard
Dieselbe Tag-Zuweisung, die zum Zuordnen der Quell-MAC-Adresse zum Quell-Tag verwendet wird, wird auch zum Zuordnen der Ziel-MAC-Adresse zum Ziel-Tag verwendet. Dies gilt auch für schnittstellenbasierte Zuweisungen.
Schauen wir uns ein weiteres Codebeispiel an, diesmal mit einem GBP-Quell-Tag von 300 und mit einer eingehenden Paketschnittstelle ge-0/0/30.0. Wie Sie unten sehen können, ist das GBP-Quell-Tag 300 zugewiesen und in Ausgangsrichtung, und 300 ist auch das GBP-Zielgruppen-Tag.
set firewall family ethernet-switching filter assign_tag term tag300 from interface ge-0/0/30.0 set firewall family ethernet-switching filter assign_tag term tag300 then gbp-src-tag 300
Beachten Sie, dass Sie den GBP-Firewallfilter auf dem Ausgangs-Switch konfigurieren müssen, da der Eingangs-Switch nicht weiß, welche Gruppen-Tags am Ausgangs-Switch verwendet werden. Darüber hinaus müssen Sie VXLAN-GBP global auf dem Eingangsknoten aktivieren, damit die Suche nach den Übereinstimmungen durchgeführt und SGT im VXLAN-Header sowie auf dem Ausgangsknoten hinzugefügt werden kann. Tun Sie dies mit dem hier gezeigten Konfigurationsbefehl:
set chassis forwarding-options vxlan-gbp-profile
Bevor Sie Regeln erstellen, kann es hilfreich sein, Ihr Schema zu organisieren, indem Sie eine Tabelle für alle Ihre Endpunkte (Benutzer und Geräte) und den zugewiesenen SGT-Wert erstellen. Hier zeigen wir eine solche Tabelle, deren Werte später in einer Matrix angewendet werden, die verwendet werden kann, um die Logik weiter zu vereinfachen und Ihre Regeln zu verdeutlichen.
| Endpunkt |
Zugewiesener SGT-Wert |
|---|---|
| Festangestellter (PE) |
100 |
| Auftragnehmer (CON) |
200 |
| Sicherheitspersonal (SS) |
300 |
| Sicherheitskamera (CAM) |
400 |
| Engineering Server (ES) |
500 |
Die Beziehung zwischen dem RADIUS-Server und den SGTs, den EX4400- und VXLAN-Paket-Headern und einem zentralen Firewall-Filter zur Verwaltung der Zugriffsrichtlinie ist derart, dass eine Matrix zu einer praktischen Möglichkeit wird, die Werte zu organisieren. In der folgenden Tabelle listen wir Benutzerrollen in der ersten Spalte und Gerätetypen in der ersten Zeile auf, um eine Zugriffsmatrix zu erstellen. Jeder Benutzerrolle und jedem Gerätetyp wird ein SGT zugewiesen, und die RADIUS-Konfiguration wurde mit diesen Informationen aktualisiert.
In diesem Beispiel werden drei Arten von Mitarbeitern verwendet: Festangestellter (Permanent Employee, PE), Auftragnehmer (CON) und Security Staff (SS). Außerdem werden zwei Arten von Ressourcen verwendet, Eng-Server (ES) und Überwachungskamera (CAM). Wir verwenden Y , um anzugeben, dass der Zugriff zulässig ist, und N wird angezeigt, wenn der Zugriff blockiert ist. Die Tabelle dient als nützliche Ressource beim Erstellen der verschiedenen Firewall-Regeln in der Richtlinie und macht die Zugriffszuordnung einfach und übersichtlich.
| ES (SGT 500) | CAM (SGT 400) | PE (SGT 100) | CON (SGT 200) | SS (SGT 300) | |
|---|---|---|---|---|---|
| PE (SGT 100) | Y | N | Y | Y | N |
| KON (SGT 200) | N | N | Y | N | N |
| Edelstahl (SGT 300) | N | Y | N | N | Y |
Topologie
Der Einfachheit halber erfolgt die gesamte Konfiguration in diesem Beispiel auf einem einzigen Switch der Serie EX4400 von Juniper, auf dem Junos OS Version 21.1R1 ausgeführt wird. Der Switch ist mit einem RADIUS-Server für AAA verbunden. Dieser Schalter fungiert in diesem Beispiel als Ausgang. Denken Sie daran, dass Sie für SGTs die Firewall auf dem Ausgangs-Switch definieren müssen, während Sie dies normalerweise auf dem Eingangs-VXLAN-Gateway für die Zugriffsebene tun würden.
- Anforderungen
- Konfiguration
- Konfiguration eines eigenständigen Juniper EX4400-Switches für VXLAN-GBP
Anforderungen
VXLAN-GBP wird in Junos OS Version 21.1R1 auf den folgenden Switches unterstützt: EX4400-24P, EX4400-24T, EX4400-48F, EX4400-48P und EX4400-48T. Betrachten wir in diesem Beispiel einen EX4400-Switch.
Ab Junos Version 21.4R1 wird VXLAN-GBP auch auf den folgenden Switches unterstützt: QFX5120-32C, QFX5120-48T, QFX5120-48Y, QFX5120-48YM, EX4650 und EX4650-48Y-VC.
Konfiguration
Wir können die Abfolge von Ereignissen, die der VXLAN-GBP-basierten Segmentierung zugrunde liegen, wie folgt zusammenfassen:
- Benutzer melden sich beim Netzwerk an und werden vom RADIUS-Server authentifiziert (auf dem SGTs für alle Endgeräte konfiguriert sind).
- Mithilfe von Firewall-Filtern selektiert der EX4400 Datenverkehr auf der Grundlage der 802.1X-Authentifizierung oder der MAC-Adresse und weist dann passenden Frames ein Gruppen-Tag zu. (Für dot1x-authentifizierte Clients ist die Konfiguration der statischen Firewall nicht erforderlich.) Die Mechanik dafür wird mithilfe einer Firewall ausgeführt, wie hier gezeigt:
set firewall family ethernet-switching filter name term name from source-mac-address MAC-Addr
set firewall family ethernet-switching filter name term name then gbp-src-tag PE-GRP
- Der getaggte Datenverkehr, der den EX4400 passiert, wird auf der Grundlage der SGT-Werte ausgewertet, wobei wiederum die Mechanik des Firewall-Filters verwendet wird. Dazu müssen Sie zuerst den Switch aktivieren
chassis forwarding-options vxlan-gbp-profile, dann verwenden Sie diegbp-dst-tagund/odergbp-src-tagÜbereinstimmungsbedingungen, um Ihre Firewall-Regeln zu schreiben, und nehmen sie in die Routing-Richtlinie auf dem Ausgangs-Switch auf, den Sie für die GBP-Mikrosegmentierung verwenden.
Konfiguration eines eigenständigen Juniper EX4400-Switches für VXLAN-GBP
Verwenden Sie die folgenden Befehle, um die VXLAN-GBP-Segmentierung in einer Sandbox-Umgebung zu konfigurieren. Normalerweise erstellen Sie die Firewall-Filterregeln auf dem Switch, der als (ausgehendes) VXLAN-Gateway für die Zugriffsebene dient, aber der Einfachheit halber verwenden wir denselben eigenständigen EX4400 sowohl für die Firewall-Filterregeln als auch für den RADIUS-Server (EAP, hier). Die Werte, die wir in diesem Beispiel verwenden, stammen aus den vorherigen Tabellen.
Die folgenden Befehle enthalten Variablen wie Profilnamen und IP-Adressen, die angepasst werden müssen, um für Ihre Testumgebung sinnvoll zu sein.
- Konfigurieren Sie den RADIUS-Server:
set groups dot1xgbp access radius-server 10.204.96.102 port 1812 set groups dot1xgbp access radius-server 10.204.96.102 secret “secret key" set groups dot1xgbp access profile radius_profile_dev12 authentication-order radius set groups dot1xgbp access profile radius_profile_dev12 radius authentication-server 10.204.96.102 set groups dot1xgbp access profile radius_profile_dev12 radius accounting-server 10.204.96.102 set groups dot1xgbp access profile radius_profile_dev12 accounting order radius
- Konfigurieren Sie die physischen Ports für die Unterstützung der RADIUS-Authentifizierung:
set groups dot1xgbp protocols dot1x authenticator authentication-profile-name radius_profile_dev12 set groups dot1xgbp protocols dot1x authenticator interface xe-0/0/46.0 supplicant multiple set groups dot1xgbp protocols dot1x authenticator interface xe-0/0/46.0 mac-radius
- Richten Sie die SGT-Tags auf dem RADIUS-Server ein:
Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 100" Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 200" SecurityStaff01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 300" SecurityCam01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 400" EngServer01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 500"
- Aktivieren Sie VXLAN-GBP auf dem Switch:
set chassis forwarding-options vxlan-gbp-profile
- Erstellen Sie Firewall-Filterregeln, die die SGTs nutzen (unter Verwendung von Werten, die in der Matrix organisiert sind):
set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe from gbp-src-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe from gbp-dst-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe then accept set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe then count PE-PE set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es from gbp-src-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es then accept set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es then count PE-ES set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam from gbp-src-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam then count PE-CAM set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam from gbp-src-tag 200 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam then count CON-CAM set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es from gbp-src-tag 200 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es then count CON-ES set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam from gbp-src-tag 300 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam then accept set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam then count SS-CAM set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es from gbp-src-tag 300 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es then count SS-ES set apply-groups gbp-policy
- Führen Sie in Junos eine Commit-Prüfung durch, um zu überprüfen, ob die von Ihnen verwendeten Befehle und Variablen gültig sind. Wenn Sie mit Ihrer Konfiguration zufrieden sind, bestätigen Sie die Kandidatenkonfiguration, um sie auf dem Gerät zu aktivieren. Diese Befehle sind unten aufgeführt. Sie können Ihre Konfiguration auch überprüfen, indem Sie eingeben.
run show configurationcommit check configuration check succeeds commit commit complete