Datenstrommanagement in Geräten der SRX-Serie mit VRF-Routing-Instanz
Virtuelle Routing- und Weiterleitungsinstanzen in SD-WAN-Bereitstellungen
Virtuelle Routing- und Weiterleitungsinstanzen (VRF) sind erforderlich, um die Routen jedes Mandanten von der Route anderer Mandanten und vom anderen Netzwerkverkehr zu trennen. Geräte der SRX-Serie verwenden VRF-Instanzen für die Segmentierung von Netzwerken, um die Sicherheit zu erhöhen und die Verwaltbarkeit in SD-WAN-Bereitstellungen zu verbessern. Sie können beispielsweise verschiedene Routing-Domänen, sogenannte Mandanten, erstellen, um große Unternehmensnetzwerke zu segmentieren und den Datenverkehr zu segmentieren, um mehrere Kundennetzwerke zu unterstützen. Jeder Mandant verfügt über eine eigene Routing-Tabelle, die die Unterstützung für überlappende IP-Subnetzen ermöglicht. VRF kann verwendet werden, um Routen zu verwalten und Datenverkehr basierend auf unabhängigen Weiterleitungstabellen in VRF für einen bestimmten Mandanten weiterzuleiten.
In SD-WAN-Bereitstellungen kann ein Provider Edge (PE)-Router sowohl ein Hub-Gerät als auch ein Spoke-Gerät sein, das MPLS-Datenverkehr empfängt und weiterleitt. Ein Kunden-Edge-Router (CE) ist ein Gerät der SRX-Serie, das mit einem PE-Router interagiert, um VPN-Datenverkehr über VRF-Routing-Instanzen zu übertragen. Die VRF-Instanzen leiten jeden Kunden VPN-Datenverkehr weiter, und jede VRF-Instanz enthält ein Label, das den gesamten Kundendatenverkehr darstellt, der durch diese VRF fließt.
Verschiedene Standorte, die eine Verbindung zu einem Spoke-Side-Gerät der SRX-Serie herstellen, können demselben Mandant oder derselben VRF-Routing-Instanz gehören. Diese Websites senden den IP-Datenverkehr, der entweder an das öffentliche Internet oder an remoteen Mandantenstandorten gelangen soll.
Wenn der Datenverkehr das Spoke-Side-Gerät der SRX-Serie erreicht, identifiziert das Gerät die VRF-Instanz über die LAN-Schnittstellen, die mit diesen Standorten verbunden sind. Nach der Sicherheitsverarbeitung für diesen Datenverkehr findet der Datenverkehr eine Route zum Ziel in dieser VRF-Routingtabelle. Wenn das Ziel MPLS über NEXT-Hop-basierte generische Routing-Kapselung (GRE) ist, fügt das Gerät der SRX-Serie ein entsprechendes MPLS-Label hinzu und leitet das Paket an das Hub-Side-Gerät weiter.
Am Hub-seitigen Gerät ordnet das Gerät der SRX-Serie nach dem Empfang von MPLS über GRE tunnelten Datenverkehr das MPLS-Label zu, um die entsprechende VRF-Routing-Instanz zu identifizieren. Nachdem die Sicherheitsverarbeitung des Datenverkehrs abgeschlossen ist, erkennt das Gerät, ob sich das Ziel im öffentlichen Internet befindet oder über MPLS Next-Hop erreichbar ist.
Wenn es sich um ein öffentliches Internet handelt, konvertiert Network Address Translation (NAT) die private VRF-IP-Adresse in eine öffentliche IP-Adresse und richtet die Sitzung ein. Wenn es sich bei dem Ziel um eine Art MPLS-Next-Hop handelt, wird das entsprechende MPLS-Label hinzugefügt und das Paket wird über einen GRE-Overlay-Tunnel an die Remote-Spoke weitergeleitet.
Auf der Remote-Spoke-Seite identifiziert das Gerät nach dem Empfang des MPLS über GRE-Tunnel-Datenverkehr die entsprechende VRF-Routing-Instanz mithilfe der MPLS-Label. Mithilfe dieser VRF-Routing-Instanz findet das Gerät der SRX-Serie die richtige Ziel-LAN-Schnittstelle in dieser VRF, um das Paket an das Ziel weiterzuleiten.
Ablaufmanagement mit VRF-Routing-Instanz
Ein Gerätestrom der SRX-Serie erstellt Sitzungen auf der Grundlage von 5-Tupel-Daten (Quell-IP-Adresse, Ziel-IP-Adresse, Quell-Portnummer, Ziel-Portnummer und Protokollnummer) zusammen mit Schnittstellentoken der Eingabe- und Ausgabeschnittstelle des Datenverkehrs. So verfügen beispielsweise die Routing-Instanz VRF-1 und die Routing-Instanz VRF-2 über den gleichen 5-Tupel-Datenverkehr, der über denselben physischen GRE-Tunnel ein- und austreten kann. Wenn diese überlappenden IP-Adressen aus demselben Tunnel das Gerät der SRX-Serie betreten oder verlassen, kann der SRX-Gerätefluss aufgrund des Konflikts in den Sitzungsinformationen nicht mehrere Sitzungen in der Datenbank installieren. Für das Gerät der SRX-Serie sind zusätzliche Informationen erforderlich, um sitzungen während der Installation zu differenzieren.
Ab Junos OS Version 15.1X49-D160 können Geräte der SRX-Serie VRF-Informationen aus den MPLS-getaggten Paketen im Sitzungsschlüssel verwenden, um Sitzungen zu differenzieren. Um Sitzungen von verschiedenen VRF-Instanzen zu unterscheiden, verwendet flow VRF-Identifikationsnummern für den vorhandenen Sitzungsschlüssel, um jede VRF-Instanz zu identifizieren. Dieser Sitzungsschlüssel wird bei der Sitzungssuche als eines der abgleichenden Kriterien verwendet.
Sie können die folgenden Abgleichkriterien zusammen mit bestehenden 5-Tupel-Übereinstimmungsbedingungen in einer Sicherheitsrichtlinie verwenden, um Datenverkehr basierend auf einer bestimmten VRF zu erlauben oder zu verweigern:
Quell-VRF: Dies ist die VRF-Routing-Instanz, die der eingehenden Schnittstelle des Pakets zugeordnet ist. Wenn ein eingehendes MPLS-Paket mit einem Label bei einem Gerät der SRX-Serie eintrifft, entschlüsselt das Gerät das Label und ordnet das Label der eingehenden Schnittstelle zu.
Ziel-VRF: Dies ist die VRF-Routing-Instanz, die der endgültigen Route zum Ziel zugeordnet ist. Bei der ersten Paketverarbeitung für eine neue Sitzung benötigt der Datenfluss eine Zielroute für das Routing eines Pakets an das Gerät oder die Schnittstelle des nächsten Hops. Flow durchsucht die ursprüngliche Routing-Tabelle entweder über die eingehende Schnittstelle oder aus einer separaten RTT-Tabelle, bis das endgültige Gerät oder die schnittstelle des nächsten Hops gefunden wird. Sobald der letzte Routeneintrag gefunden wurde, und wenn diese Route zu einem MPLS-Next-Hop-Gerät zeigt, wird die Ziel-VRF der Routing-Instanz zugewiesen, in der die letzte Route gefunden wird.
Virtuelle Routing- und Weiterleitungsgruppen
Das SD-WAN-Unternehmensnetzwerk besteht aus mehreren L3VPN-Netzwerken, wie in Abbildung 1 dargestellt.
L3VPN-Netzwerke werden an einem Standort (CPE-Gerät) als eine Reihe von VRF-Instanzen identifiziert. Die VRF-Instanzen an einem Standort, der zu einem L3VPN-Netzwerk an einem Standort gehört, werden für die anwendungsrichtlinienbasierte Weiterleitung verwendet. Die Verarbeitung von SRX-Flow-Sitzungen wurde verbessert, um das Switching des Mid-Stream-Datenverkehrs zwischen diesen VRF-Instanzen basierend auf anwendungsbasierten Steering-Richtlinien zu unterstützen. Die VRF-Instanzen, die logisch Teil eines bestimmten L3VPN-Netzwerks sind, können als VRF-Gruppe konfiguriert werden. Vorhandene Firewall- und NAT-Konfigurationsbefehle wurden erweitert, um den Betrieb in der VRF-Gruppe zu unterstützen.
In Abbildung 2 wird beschrieben, wie die Datenverkehrssteuerung innerhalb eines L3VPN über mehrere VRFs hinweg erfolgt, basierend auf APBR-Richtlinien.
Wenn Sie die VRF-Gruppen mithilfe von VRF-Instanzen konfigurieren, wird eine VRF-Gruppen-ID generiert. Diese VRF-Gruppen werden in den folgenden Modulen zur Steuerung von SD-WAN L3VPN verwendet:
Security Policy Zur Richtlinienkontrolle
Flow Zur Suche nach Richtlinien basierend auf VRF-Gruppennamen, zusammen mit Quell- oder Zielzone, Quell- oder Ziel-IP-Adresse und Protokoll. Daher werden Sitzungen mit VRF-Gruppen als Alleinstellungsmerkzeichen erstellt.
NAT Zur Unterstützung von NAT-Regeln basierend auf VRF-Gruppennamen
ALG So erstellen Sie ALG-Sitzungen mit VRF-Gruppen als Unterscheidungsmerkmerk.
Die Funktionalität der VRF-Gruppen:
Es ermöglicht einer Sitzung den Wechsel zwischen zwei MPLS-VRFs.
Wenn die VRF-Instanzen Teil derselben VRF-Gruppe sind, behandeln Sicherheitsfunktionen wie Datenfluss, Richtlinien, NAT oder ALG-Module die VRF-Instanzen ähnlich.
Wenn Sie die VRF-Gruppen mithilfe von VRF-Instanzen konfigurieren, wird eine VRF-Gruppen-ID generiert. Diese Gruppen-ID wird in der Sitzung gespeichert, um die VRF-Gruppe einer bestimmten VRF-Instanz zu identifizieren.
- Grundlegendes zu VRF-Gruppen
- Arten von VRF-Gruppen
- VRF-Bewegung
- VRF-Gruppen-ID
- Konfiguration von VRF-Gruppen
- VRF-Gruppenbetrieb
Grundlegendes zu VRF-Gruppen
VRF-Gruppe wird eingeführt, um L3VPN MPLS-basierte Sitzungen im SD-WAN-Netzwerk zu unterstützen. Es wird verwendet, um den MPLS L3VPN-Datenverkehr in Richtlinien-, Flow-, NAT- und ALG-Modulen zu steuern, wenn sich im MPLS L3VPN-Netzwerk überlappende oder keine überlappenden IP-Netzwerkadressen befinden.
Wenn der Datenverkehr zwischen nicht MPLS L3VPN-Netzwerken geleitet wird, werden VRF-Gruppen nicht konfiguriert. Wenn VRF-Gruppen nicht konfiguriert sind, ist die VRF-Gruppen-ID Null oder die Richtlinie verwendet die Option any für VRF-Gruppe.
Der Zweck von VRF-Gruppen ist:
Um L3VPN-Sitzungen zwischen MPLS L3VPN-Netzwerk zu unterscheiden.
Richtlinien- und NAT-Kontrolle zwischen MPLS L3VPN-Netzwerk.
Arten von VRF-Gruppen
Es gibt zwei wichtige VRF-Gruppen im L3VPN-Netzwerk:
Source-VRF-Gruppe
Ziel-VRF-Gruppe
Verwenden Sie die folgenden Informationen, um zu verstehen, welche VRF-Instanzen für die Quell-VRF-Gruppe oder die Ziel-VRF-Gruppe gruppiert werden können:
Source-VRF instances— Liste der VRF-Instanzen, die verschiedene MPLS-Pfade zu demselben gebundenen Ziel aushandeln.
Destination-VRF instances— Liste der VRF-Instanzen, die die Zielrouten für einen bestimmten L3VPN-Datenverkehr enthalten.
Wenn der Datenverkehr in entgegengesetzter Richtung eingeleitet wird, gruppiert die VRF die Switch-Rollen in Bezug auf die Richtung des Datenverkehrs.
VRF-Bewegung
In Abbildung 3 ist der anfängliche Datenverkehrsfluss für eine Sitzungseinrichtung von links nach rechts. Der Datenverkehr gelangt in DIE GRE-Zone1, dann in die Source-VRF-Gruppe (A) und durchläuft die Ziel-VRF-Gruppe (A), bevor er sich durch GRE_Zone2.
Ebenso wird die Richtliniensuche eingeleitet GRE_Zone1->Source-VRF group(A)->Destination-VRF group->(A’)->GRE_Zone2 und die Datenstromsitzungen werden eingerichtet, wobei die Quell-VRF-Gruppe (A) und Ziel-VRF-Gruppe (A) als zusätzliche Schlüsselwerte in Sitzungen verwendet werden. Wenn die Datenstromsitzungen mithilfe von VRF-Gruppen durchgeführt werden, kann der Datenverkehr innerhalb der Gruppe von einer VRF zu einer anderen VRF wechseln (umleiten).
VRF-Gruppen-ID
Für die Speicherung der VRF-Gruppen-ID wird in einer Sitzungsschlüsselstruktur eine 16-Bit-Nummer verwendet.
Konfiguration von VRF-Gruppen
Führen Sie die folgenden Schritte aus, um eine VRF-Gruppe zu konfigurieren:
Listen Sie die VRF-Instanzen auf, die gruppiert werden müssen.
Weisen Sie der VRF-Gruppe einen Namen zu.
Wenden Sie die VRF-Instanzen und den VRF-Gruppennamen im CLI-Befehl an
set security l3vpn vrf-group group-name vrf vrf1 vrf vrf2
Die Quell- und Ziel-VRF-Gruppen werden basierend auf einem unterschiedlichen Kontext separat konfiguriert.
Source VRF group— Die QUELL-VRF-Gruppe für Routing-Instanz ist mit MPLS-Paketen verknüpft. Wenn das Gerät ein MPLS-Paket empfängt, wird das Paket entschlüsselt und der LSI-Schnittstelle zugeordnet. Die LSI-Schnittstelle enthält die Routing-Tabelleninformationen, die bei der Identifizierung der VRF-Gruppendetails helfen.
Destination VRF group– Bei der Verarbeitung des Pakets für eine neue Sitzung auf dem ersten Pfad werden die Zielrouteninformationen benötigt, um das Paket an den Next-Hop oder die Schnittstelle zu leiten. Flow durchsucht die Routing-Tabelle, um die Routeninformationen zu erhalten. Wenn die empfangenen Routeninformationen als Next-Hop auf MPLS verweist, wird die VRF dieser Route verwendet, um die VRF-Zielgruppe zu identifizieren.
Die Quell- und Ziel-VRF-Gruppen sind in einigen Fällen gleich, wenn Sie es vorziehen, alle zugehörigen VRFs in einem L3VPN-Netzwerk zu steuern.
VRF-Gruppenbetrieb
Wenn eine VRF-Gruppe konfiguriert wird, wird eine Gruppen-ID erstellt, die für verschiedene VRF-Gruppen eindeutig ist. Sie können verschiedene Vorgänge ausführen, z. B. das Hinzufügen, Entfernen oder Ändern einer VRF zu einer VRF-Gruppe.
- Hinzufügen von VRF zu einer VRF-Gruppe
- Entfernen von VRF aus einer VRF-Gruppe
- Ändern der VRF-Gruppe
- VrF-Gruppe entfernen
Hinzufügen von VRF zu einer VRF-Gruppe
Wenn eine VRF zu einer VRF-Gruppe hinzugefügt wird, wird der VRF die entsprechende VRF-Gruppen-ID zugewiesen. Wenn Sie eine VRF zur VRF-Gruppe hinzufügen, denken Sie an Folgendes:
Eine VRF kann nur einer VRF-Gruppe hinzugefügt werden. Es kann nicht Teil mehrerer VRF-Gruppen sein.
In einer VRF-Gruppe werden maximal 32 VRFs konfiguriert.
Wenn eine VRF hinzugefügt wird, wirkt sich dies auf die vorhandene Sitzung aus, und gemäß richtlinie wird eine neue Sitzung erstellt.
Wenn nach dem Hinzufügen einer neuen VRF zur VRF-Gruppe neue Sitzungen erstellt werden, verwenden die Sitzungen die neue VRF-Gruppen-ID der neuen VRF.
Entfernen von VRF aus einer VRF-Gruppe
Wenn eine VRF aus einer VRF-Gruppe entfernt wird, ändert sich die VRF-Gruppen-ID dieser VRF-Gruppe auf Null, aber die VRF ist weiterhin im Gerät verfügbar. Wenn Sie eine VRF aus einer VRF-Gruppe entfernen, wirkt sich dies auf die vorhandenen Sitzungen auf zwei Arten aus:
Impacting existing sessions— Wenn eine VRF aus der VRF-Gruppe entfernt wird, wird die vorhandene Sitzung entfernt und eine neue Sitzung gemäß der Richtlinie erstellt.
Match Traffic— Wenn eine VRF aus der VRF-Gruppe entfernt wird, ändert sich die VRF-Gruppen-ID für diese VRF auf Null und entspricht daher nicht der Sitzung. Das Paket wird beendet und eine neue Sitzung wird gemäß Richtlinie erstellt.
Wenn eine VRF aus der VRF-Gruppe entfernt wird, installiert die neue Sitzung, die mit der beeinträchtigten VRF verarbeitet wird, eine neue VRF-Gruppen-ID. Diese VRF-Gruppen-ID ist null, oder eine neue Gruppen-ID wird erstellt, wenn Sie die VRF zu einer neuen VRF-Gruppe hinzufügen
Ändern der VRF-Gruppe
Das Ändern einer VRF-Gruppe umfasst die folgenden Vorgänge:
Changing VRF group name: Wenn Sie den VRF-Gruppennamen ändern, durchsucht das Richtlinienmodul die vorhandenen Sitzungen, um zu überprüfen, ob der neue VRF-Gruppenname mit den bestehenden Regeln übereinstimmt.
Adding VRF to VRF group: Wenn eine VRF zu einer VRF-Gruppe hinzugefügt wird, wird der VRF die entsprechende VRF-Gruppen-ID zugewiesen.
Removing VRF from VRF group: Wenn eine VRF aus einer VRF-Gruppe entfernt wird, ändert sich die VRF-Gruppen-ID dieser VRF auf Null und dennoch ist die VRF im Gerät verfügbar.
VrF-Gruppe entfernen
Wenn Sie eine VRF-Gruppe mithilfe von CLI entfernen, wird ein Sitzungsscan für die vorhandenen Sitzungen durchgeführt, um mit der entfernten VRF-Gruppe übereinzugleichen. Wenn die Sitzung mit der entfernten VRF-Gruppe übereinstimmt, wird diese Sitzung durch Festlegen eines ungültigen Timeouts vom Gerät entfernt. Für Sitzungen, die nicht mit der entfernten VRP-Gruppen-ID übereinstimmen, sind dies nicht betroffen.
Datenstromverarbeitung mit virtueller Routing- und Weiterleitungsgruppe
- First Path Processing mit VRF Group
- Fast Path Processing mit VRF Group
- Beispiel: Konfigurieren einer Sicherheitsrichtlinie, um VRF-basierten Datenverkehr von einem IP-Netzwerk zum MPLS-Netzwerk mithilfe der VRF Group zuzulassen
- Beispiel: Konfigurieren einer Sicherheitsrichtlinie, um VRF-basierten Datenverkehr vom MPLS-Netzwerk zu einem IP-Netzwerk mithilfe der VRF Group zuzulassen
- Beispiel: Konfigurieren einer Sicherheitsrichtlinie, um VRF-basierten Datenverkehr vom öffentlichen IP-Netzwerk zum MPLS-Netzwerk mithilfe der VRF Group zuzulassen
- Beispiel: Konfigurieren einer Sicherheitsrichtlinie, um VRF-basierten Datenverkehr vom MPLS-Netzwerk zum öffentlichen IP-Netzwerk zur Verwendung von VRF Group zuzulassen
- Beispiel: Konfigurieren einer Sicherheitsrichtlinie, um VRF-basierten Datenverkehr vom MPLS-Netzwerk zum MPLS-Netzwerk ohne NAT mithilfe der VRF Group zuzulassen
- Beispiel: Konfigurieren einer Sicherheitsrichtlinie, um VRF-basierten Datenverkehr vom MPLS-Netzwerk zum MPLS-Netzwerk mithilfe von NAT und VRF Group zuzulassen
- Multicast-Unterstützung bei SD-WAN-Bereitstellungen
First Path Processing mit VRF Group
Um ein Paket zu verarbeiten, führt die erste Pfadverarbeitung folgendes aus:
MPLS Decoder— Wenn datenstrom ein MPLS- oder Nicht-MPLS-Paket empfängt, wird das Paket verarbeitet, um die Details des eingehenden Pakets, der Schnittstelle und der Routing-Instanz der eingehenden Schnittstelle abzurufen.
FBF configuration— Wenn Sie FBF-Regeln konfigurieren, um die eingehenden Pakete an eine andere Routing-Instanz umzuleiten, findet die FBF-Regel die Routing-Instanzinformationen und übergibt die INFORMATIONEN der FBF-Routing-Instanz anstelle der Routing-Instanz der Paketeingangsschnittstelle. Diese FBF VRF sollte Teil der VRF-Gruppe sein, um das L3VPN-Netzwerk zu steuern.
Initialize Routing-Table– Wenn der Datenstrom das Paket empfängt, wird die ursprüngliche Routing-Tabelle für das Paket erstellt. Wenn die FBF-Konfiguration mit den Firewall-Filtern übereinstimmt, werden die Routing-Instanzinformationen der FBF für die Routensuche verwendet. Ansonsten verwendet flow die eingehenden Routing-Instanzinformationen der Schnittstelle für die Routensuche.
Finding Source VRF group— Wenn das eingehende Paket vom MPLS-Netzwerk stammt, wird das Paket der VRF-Instanz der VRF-Quellgruppe zugeordnet. Wenn es sich bei dem eingehenden Paket nicht um ein MPLS-Paket handelt, ist die VRF-Quellgruppen-ID Null.
Destination NAT using VRF group— Flow prüft, ob die Ziel-IP eine NAT-Übersetzung benötigt. Ziel-NAT unterstützt zwei Arten von Übereinstimmungskriterien für VRF:
NAT-Regelsuche mit VRF-Routinggruppe.
NAT-Regelergebnis mit VRF-Routing-Instanz und NAT-Informationen.
Destination Route— Die Routensuche in der ersten Routing-Tabelle wird verwendet, um die ausgehenden Schnittstellen- und Ziel-VRF-Informationen zu identifizieren. Diese Informationen werden bei der Richtliniensuche und bei der Sitzungsinstallation verwendet.
Final next-hop—Der erste Schritt bei der Suche nach dem Zielpfad besteht darin, den letzten Hop der zugespitzten Route zu finden. Mithilfe dieses Next-Hops wird überprüft, ob der nächste Hop auf das MPLS-Netzwerk verweist oder nicht. Wenn sie nicht auf das MPLS-Netzwerk zeigt, wird die VRF-Zielgruppe null sein.
Destination VRF group— Wenn die Ziel-VRF identifiziert wird, wird die Ziel-VRF-Gruppen-ID initialisiert. Wenn die Ziel-VRF keiner Gruppe zugewiesen ist, wird sie auf Null festgelegt.
First Path Policy Search— Flow führt Richtliniensuche durch, um zu prüfen, ob das Paket zulässig oder verweigert werden muss. Flow sammelt die 5-Tuple-Richtlinienschlüsselinformationen und VRF-Informationen, und diese Informationen werden vom Richtliniensuchmodul verwendet, um die entsprechende VRF-Richtlinie zu finden.
Source NAT using VRF group— Flow Session source NAT mithilfe der Quell-VRF-Gruppen-NAT-Regelsuche. Source-NAT unterstützt zwei Arten von NAT-Suchkriterien.
Quell-NAT-Regelsuche mit VRF-Gruppe.
Statische NAT-Regelsuche mithilfe einer VRF-Gruppe oder VRF-Instanz.
Static NAT using VRF group or VRF instance— Statische NAT unterstützt Routing-Gruppe in Regelsatz und Routing-Instanz in Regel mit VRF-Typ.
Wenn statische NAT als Ziel-NAT-Übersetzung für ein bestimmtes IP-Paket abgleicht, ist die VRF-Routinggruppe eines der Übereinstimmungskriterien und die vrF-Routing-Instanz wird als Ziel-Routing-Tabelle verwendet.
Wenn statische NAT als Quell-NAT-Übersetzung für ein bestimmtes IP-Paket abgleicht, ist die VRF-Routing-Instanz eines der Übereinstimmungskriterien.
Session Installation using VRF group—Während der Sitzungsinstallation wird die Quell-VRF-Gruppen-ID im Vorwärtsflügel gespeichert, was anzeigt, dass das Wing Points MPLS-Netzwerk. Die VRF-Gruppen-ID des Ziels, die bei der Routensuche gefunden wird, wird im Reverse-Wing-Bereich gespeichert und zeigt an, dass die Wing Points MPLS-Netzwerk.
Re-routing using VRF group— Sobald die Sitzung mithilfe von VRF-Gruppeninformationen eingerichtet wurde, wird eine erneute Route eingeleitet, wenn die Schnittstelle ausfällt oder die ursprüngliche Route nicht verfügbar ist. Diese geänderten Routen sollten Teil derselben VRF-Gruppe (Source-VRF-Gruppe/Destination-VRF-Gruppe) sein, in der die Sitzung zunächst auf beiden Seiten eingerichtet wird. Andernfalls wird der Datenverkehr nicht mit der Sitzung übereinstimmen und der zukünftige Datenverkehr der Sitzung kann gemäß richtlinie unterbrochen oder neue Sitzungen erstellt werden.
Fast Path Processing mit VRF Group
Die schnelle Pfadverarbeitung führt die folgenden Schritte aus, um ein Paket zu verarbeiten.
MPLS Decoder— Wenn ein Paket MPLS oder ein Nicht-MPLS-Paket empfangen wird, wird das Paket MPLS-Verarbeitung unterzogen. Wenn die Verarbeitung abgeschlossen ist, empfängt der Datenstrom die Details des eingehenden Pakets, der Schnittstelle und der Routing-Instanz der eingehenden Schnittstelle.
FBF configuration— Wenn Sie FBF-Regeln konfigurieren, um die eingehenden Pakete an eine andere Routing-Instanz umzuleiten, findet die FBF-Regel die Routing-Instanzinformationen und übergibt die INFORMATIONEN der FBF-Routing-Instanz anstelle der Routing-Instanz der Paketeingangsschnittstelle. Diese FBF VRF sollte Teil der VRF-Gruppe sein, um das L3VPN-Netzwerk zu steuern.
Session look-up using VRF Group-ID– Während des Sitzungs-Look-up-Prozesses wird überprüft, ob die VRF Group-ID in Sitzungsschlüssel für die Suche übergeben werden soll. Wenn es sich bei der eingehenden Schnittstelle um MPLS handelt, übergibt der Datenfluss die VRF-Gruppen-ID-Informationen der zugeordneten VRF-Routing-Instanz an den Sitzungsschlüssel zusammen mit anderen Schlüssel-Tupelinformationen. Wenn es sich bei der eingehenden Schnittstelle nicht um MPLS handelt, ist die VRF-Gruppen-ID null.
Session Route change— Wenn sich die Route für die Sitzung im Mid-Stream ändert, überprüft der Datenstrom nach der neuen VRF, die zu dieser Route gehört. Wenn die neue VRF Group-ID von der VRF Group-ID der Sitzung abweicht, wird die Route nicht verarbeitet und die zukünftigen Pakete werden gelöscht. Daher sollte die neue Route für das Re-Routing zu einer VRF gehören, die zur Sitzung VRF Group gehört.
VRF Group policy change—Wenn die Richtlinie für die VRF-Gruppensitzung aufgrund von Richtlinienattributen wie Zone/Interface/IP/Source-VRF-Gruppe/Ziel-VRF-Gruppe geändert wird, wird die Richtlinie für dieselbe Sitzung erneut angepasst, indem Richtlinie 5-Tupel zusammen mit den Werten der VrF-Quellgruppe und der VRF-Zielgruppe angegeben wird, um zu überprüfen, ob die Richtlinie gültig ist oder nicht. Wenn die Richtlinie nicht mit den Sitzungsinformationen übereinstimmt, wird die Sitzung beendet.
VRF session display—Source-VRF Group und Destination-VRF Group werden in der Sitzungsausgabe angezeigt, um unterschiedliche VRF-Gruppe für dasselbe Tupel zu unterscheiden.
High Availability—Hohe Verfügbarkeit wird ohne Verhaltensänderung unterstützt, wenn zusätzliche VRF-Gruppen-ID-Informationen mit dem Hochverfügbarkeits-Peer-Knoten synchronisiert werden, um verschiedene VRF-Gruppen in der Sitzung zu unterscheiden
Beispiel: Konfigurieren einer Sicherheitsrichtlinie, um VRF-basierten Datenverkehr von einem IP-Netzwerk zum MPLS-Netzwerk mithilfe der VRF Group zuzulassen
Dieses Beispiel zeigt, wie Sie eine Sicherheitsrichtlinie konfigurieren, um Datenverkehr von einem privaten IP-Netzwerk zum MPLs-Netzwerk mithilfe der VRF-Gruppe zuzulassen.
Anforderungen
Unterstützte Geräte der SRX-Serie mit Junos OS Version 15.1X49-D170 oder höher. Dieses Konfigurationsbeispiel wurde für Junos OS Version 15.1X49-D170 getestet.
Übersicht
In Junos OS setzen Sicherheitsrichtlinien Regeln für den Transitverkehr durch, in Bezug auf den Datenverkehr, der das Gerät passieren kann, und die Aktionen, die auf dem Datenverkehr durchgeführt werden müssen, während er das Gerät passiert. In Abbildung 4 wird ein Gerät der SRX-Serie in einem SD-WAN bereitgestellt, um den Datenverkehr von einem privaten IP-Netzwerk zu einem MPLS-Netzwerk mithilfe einer VRF-Gruppe zu erlauben.
In diesem Konfigurationsbeispiel erfahren Sie, wie Sie:
Datenverkehr vom IP-Netzwerk (LAN-a) zur VRF-Gruppe zulassen
Datenverkehr vom IP-Netzwerk (LAN-b) zur VRF-Gruppe zulassen
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-A1 vrf VRF-A11 set security l3vpn vrf-group vpn-A1 vrf VRF-A21 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security l3vpn vrf-group vpn-B1 vrf VRF-B11 set security l3vpn vrf-group vpn-B1 vrf VRF-B21 set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy then permit set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.
Erstellen Sie VRF Group VPN-A mit VRF-Instanzen A1 und A2
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2
Erstellen Sie EINE VRF-Gruppe vpn-A1 mit VRF-Instanzen A11 und A21
[edit security] user@host# set l3vpn vrf-group vpn-A1 vrf VRF-A11 user@host# set l3vpn vrf-group vpn-A1 vrf VRF-A21
Erstellen Sie VRF Group VPN-B mit VRF-Instanzen B1 und B2
[edit security] user@host# set l3vpn VRF group vpn-B vrf VRF-B1 user@host# set l3vpn VRF group vpn-B vrf VRF-B2
VrF-Gruppe vpn-B1 mit VRF-Instanzen B11 und B21 erstellen
[edit security] user@host# set l3vpn vrf-group vpn-B1 vrf VRF-B11 user@host# set l3vpn vrf-group vpn-B1 vrf VRF-B21
Erstellen Sie eine Sicherheitsrichtlinie, um vrf-a-Datenverkehr zuzulassen.
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 user@host# set policy vrf-a_policy then permit
Erstellen Sie eine Sicherheitsrichtlinie, die vrf-b-Datenverkehr zulässt.
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 user@host# set policy vrf-b_policy then permit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies
from-zone LAN-a_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-VRF group vpn-A1;
}
then {
permit;
}
}
from-zone LAN-b_Zone to-zone GRE_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-VRF group vpn-B1;
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
Überprüfung der Richtlinienkonfiguration
Zweck
Überprüfen Sie Informationen zu Sicherheitsrichtlinien.
Aktion
Geben Sie im Betriebsmodus den show security policies Befehl ein, um eine Zusammenfassung aller auf dem Gerät konfigurierten Sicherheitsrichtlinien anzuzeigen.
user@root> show security policies
Default policy: permit-all
From zone: LAN-a_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN vrf-group: vpn-A1
destination L3VPN VRF Group: any
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: LAN-b_Zone, To zone: GRE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN vrf-group: vpn-B1
destination L3VPN VRF Group: any
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Beispiel: Konfigurieren einer Sicherheitsrichtlinie, um VRF-basierten Datenverkehr vom MPLS-Netzwerk zu einem IP-Netzwerk mithilfe der VRF Group zuzulassen
Dieses Beispiel zeigt, wie Sie eine Sicherheitsrichtlinie konfigurieren, um Datenverkehr von MPLS zu IP-Netwrok mithilfe der VRF-Gruppe zuzulassen.
Anforderungen
Unterstützte Geräte der SRX-Serie mit Junos OS Version 15.1X49-D170 oder höher. Dieses Konfigurationsbeispiel wurde für Junos OS Version 15.1X49-D170 getestet.
Konfigurieren Sie Netzwerkschnittstellen auf dem Gerät. Siehe Schnittstellen-Benutzerhandbuch für Sicherheitsgeräte.
Übersicht
In Junos OS setzen Sicherheitsrichtlinien Regeln für den Transitverkehr durch, in Bezug auf den Datenverkehr, der das Gerät passieren kann, und die Aktionen, die auf dem Datenverkehr durchgeführt werden müssen, während er das Gerät passiert. In Abbildung 5 wird ein Gerät der SRX-Serie in einem SD-WAN bereitgestellt, um den Datenverkehr von einem MPLS-Netzwerk zu einem privaten Netzwerk mithilfe der VRF-Gruppe zu erlauben.
In diesem Konfigurationsbeispiel erfahren Sie, wie Sie:
Datenverkehr von GRE MPLS zu LAN-a zulassen
Datenverkehr von GRE MPLS zu LAN-b zulassen
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match application any set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy then permit set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match application any set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.
Erstellen Sie VRF Group VPN-A mit VRF-Instanzen A1 und A2.
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2
Erstellen Sie VRF Group VPN-B mit VRF-Instanzen B1 und B2.
[edit security] user@host# set l3vpn vrf-group vpn-B vrf VRF-B1 user@host# set l3vpn vrf-group vpn-B vrf VRF-B2
Erstellen Sie eine Sicherheitsrichtlinie, um VRF-a-Datenverkehr zuzulassen.
[edit security policies from-zone GRE_Zone to-zone LAN-a_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then permit
Erstellen Sie eine Sicherheitsrichtlinie, um VRF-b-Datenverkehr zuzulassen.
[edit security policies from-zone GRE_Zone to-zone LAN-b_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies
from-zone GRE_Zone to-zone LAN-a_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A;
}
then {
permit;
}
}
from-zone GRE_Zone to-zone LAN-b_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
Überprüfung der Richtlinienkonfiguration
Zweck
Überprüfen Sie Informationen zu Sicherheitsrichtlinien.
Aktion
Geben Sie im Betriebsmodus den show security policies Befehl ein, um eine Zusammenfassung aller auf dem Gerät konfigurierten Sicherheitsrichtlinien anzuzeigen.
user@root> show security policies
Default policy: permit-all
From zone: GRE_Zone, To zone: LAN-a_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF-Group: any
destination L3VPN VRF Group: vpn-A
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GRE_Zone, To zone: LAN-b_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-B
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Beispiel: Konfigurieren einer Sicherheitsrichtlinie, um VRF-basierten Datenverkehr vom öffentlichen IP-Netzwerk zum MPLS-Netzwerk mithilfe der VRF Group zuzulassen
In diesem Beispiel wird beschrieben, wie Sie die Ziel-NAT-Regel konfigurieren, um eingehende öffentliche IP-Netzwerke mithilfe der VRF-Gruppe in ein MPLS-Netzwerk zu übersetzen.
Anforderungen
Verstehen Sie, wie Geräte der SRX-Serie in einer SD-WAN-Bereitstellung für NAT funktionieren.
Verstehen Sie virtuelle Routing- und Weiterleitungsinstanzen. Siehe virtuelle Routing- und Weiterleitungsinstanzen in SD-WAN-Bereitstellungen.
Übersicht
In Abbildung 6 wird ein Gerät der SRX-Serie mit einer Ziel-NAT-Regel konfiguriert, um eingehende öffentliche IP-Netzwerke in eine VRF-basierte Ziel-Routing-Tabelle und IP zu übersetzen. Das Gerät der SRX-Serie ist mit zwei VRF-Gruppen konfiguriert, vpn-A und vpn-B.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat destination pool vrf-a_p routing-instance VRF-a set security nat destination pool vrf-a_p address 192.168.1.200 set security nat destination rule-set rs from interface ge-0/0/1.0 set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200 set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p set security nat destination pool vrf-b_p routing-instance VRF-b set security nat destination pool vrf-b_p address 192.168.1.201 set security nat destination rule-set rs from interface ge-0/0/1.1 set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201 set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy then permit set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.
So konfigurieren Sie die NAT-Zuordnung für eine einzelne VRF:
In Layer-3-VPNs erstellen Sie eine VRF-Gruppe vpn-A mit VRF-Instanzen A1 und A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
Erstellen Sie eine weitere VRF-Gruppe VPN-B mit VRF-Instanzen B1 und B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Geben Sie einen NAT-Ip-Adresspool des Ziels an.
[edit security nat destination] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
Weisen Sie die Routing-Instanz dem Zielpool zu.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-b_p routing-instance VRF-b
Erstellen Sie einen Nat-Regelsatz des Ziels.
[edit security nat destination] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B user@host# set rule-set rs from interface ge-0/0/1.0 user@host# set rule-set rs from interface ge-0/0/1.1
Konfigurieren Sie eine Regel, die Pakete abschließt und die Ziel-IP-Adresse in eine IP-Adresse im NAT-Ziel-IP-Adresspool übersetzt.
[edit security nat destination] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Erstellen Sie eine Sicherheitsrichtlinie, um VRF-a-Datenverkehr zuzulassen.
[edit security policies from-zone GE_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then permit
Erstellen Sie eine Sicherheitsrichtlinie, um VRF-b-Datenverkehr zuzulassen.
[edit security policies from-zone GE_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show security nat befehle eingeben show security policies . Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
destination {
pool vrf-a_p {
routing-instance {
VRF-a;
}
address 192.168.1.200/32;
}
pool vrf-b_p {
routing-instance {
VRF-b;
}
address 192.168.1.201/32;
}
rule-set rs {
from interface [ ge-0/0/1.0 ge-0/0/1.1 ];
rule vrf-a_r {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 203.0.113.201/32;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone GE_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
Überprüfung der NAT-Regelnutzung und -Sicherheitsrichtlinien des Ziels
Zweck
Stellen Sie sicher, dass Datenverkehr vorhanden ist, der der NAT-Regel des Ziels entspricht.
Aktion
Geben Sie im Betriebsmodus den show security nat destination rule all Befehl ein. Überprüfen Sie im Feld "Übersetzung trifft", ob Datenverkehr mit der NAT-Regel des Ziels übereinstimmt.
user@host> show security nat destination rule all
Total destination-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Destination NAT rule: vrf-a_r Rule-set: rs
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/1.0
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Destination NAT rule : vrf-b_r
Rule-set : rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.1
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Geben Sie im Betriebsmodus den show security policies Befehl ein, um eine Zusammenfassung aller auf dem Gerät konfigurierten Sicherheitsrichtlinien anzuzeigen.
user@root> show security policies
Default policy: permit-all
From zone: GE_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-A
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GE_Zone, To zone: GRE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-B
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Beispiel: Konfigurieren einer Sicherheitsrichtlinie, um VRF-basierten Datenverkehr vom MPLS-Netzwerk zum öffentlichen IP-Netzwerk zur Verwendung von VRF Group zuzulassen
In diesem Beispiel wird beschrieben, wie Sie die Routinggruppe so konfigurieren, dass der Datenverkehr pro VRF-Gruppe in einen globalen IP-Pool übersetzt wird.
Anforderungen
Verstehen Sie, wie Geräte der SRX-Serie in einer SD-WAN-Bereitstellung für NAT funktionieren.
Verstehen Sie virtuelle Routing- und Weiterleitungsinstanzen. Siehe virtuelle Routing- und Weiterleitungsinstanzen in SD-WAN-Bereitstellungen.
Übersicht
In Abbildung 7 ist ein Gerät der SRX-Serie mit Routing-Gruppe so konfiguriert, dass der Netzwerkverkehr der VRF-Gruppe vom MPLS zum globalen IP-Pool zulässt. Das Gerät der SRX-Serie ist mit zwei VRF-Gruppen konfiguriert, vpn-A und vpn-B.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-group vpn-A set security nat source rule-set vrf-a_rs to zone GE_Zone set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-group vpn-B set security nat source rule-set vrf-b_rs to zone GE_Zone set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vpn-b_rs rule rule2 then source-nat pool vrf-b_p set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match application any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy then permit set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match application any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus imCLI-Benutzerhandbuch.
So konfigurieren Sie die Quell-NAT-Zuordnung für eine einzelne VRF:
In Layer-3-VPNs erstellen Sie eine VRF-Gruppe vpn-A mit VRF-Instanzen A1 und A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
Erstellen Sie eine weitere VRF-Gruppe VPN-B mit VRF-Instanzen B1 und B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Geben Sie einen IP-Quell-IP-Adresspool an.
[edit security nat source] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
Erstellen Sie einen Quell-NAT-Regelsatz.
[edit security nat source] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B user@host# set rule-set rs to zone GE_Zone
Konfigurieren Sie eine Regel, die Pakete abschließt und den Netzwerkverkehr pro VRF-Gruppe in einen globalen IP-Pool übersetzt.
[edit security nat source] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Erstellen Sie eine Sicherheitsrichtlinie, um VPN-A-Datenverkehr zuzulassen.
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then permit
Erstellen Sie eine Sicherheitsrichtlinie, um VPN-B-Datenverkehr zuzulassen.
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show security nat befehle eingeben show security policies . Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
source {
pool vrf-a_p {
address {
203.0.113.200/32;
}
}
pool vrf-b_p {
address {
203.0.113.201/32;
}
}
rule-set vrf-a_rs {
from routing-group vpn-A;
to zone GE_Zone1;
rule rule1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
vrf-a_p;
}
}
}
}
rule-set vrf-b_rs {
from routing-group vpn-B;
to zone GE_Zone;
match {
source-address 192.168.1.201/32;
}
then {
source-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone GRE_Zone to-zone GE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
Überprüfung der NAT-Regelnutzung und -Sicherheitsrichtlinien des Ziels
Zweck
Stellen Sie sicher, dass Datenverkehr vorhanden ist, der der Quell-NAT-Regel entspricht.
Aktion
Geben Sie im Betriebsmodus den show security nat source rule all Befehl ein. Überprüfen Sie im Feld Übersetzungstreffer, ob Datenverkehr mit der Quell-NAT-Regel übereinstimmt.
user@host> show security nat source rule all
Total source-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Source NAT rule : vrf-a_r
Rule-set: rs
Rule-Id : 1
Rule position : 1
From routing-group : vpn-A To zone : GE_Zone1
Source addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Source NAT rule : vrf-b_r
Rule-set: rs
Rule-Id : 2
Rule position : 2
From routing-group : vpn-A
To zone : GE_Zone
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Geben Sie im Betriebsmodus den show security policies Befehl ein, um eine Zusammenfassung aller auf dem Gerät konfigurierten Sicherheitsrichtlinien anzuzeigen.
user@root> show security policies
Default policy: permit-all
From zone: GRE_Zone, To zone: GE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN VRF Group: vpn-A
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GRE_Zone, To zone: GE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF Group: vpn-B
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Beispiel: Konfigurieren einer Sicherheitsrichtlinie, um VRF-basierten Datenverkehr vom MPLS-Netzwerk zum MPLS-Netzwerk ohne NAT mithilfe der VRF Group zuzulassen
In diesem Beispiel wird beschrieben, wie Sie die Routinggruppe so konfigurieren, dass Datenverkehr zwischen MPLS-Netzwerken ohne Verwendung von NAT zugelassen wird.
Anforderungen
Verstehen Sie, wie Geräte der SRX-Serie in einer SD-WAN-Bereitstellung für NAT funktionieren.
Verstehen Sie virtuelle Routing- und Weiterleitungsinstanzen. Siehe virtuelle Routing- und Weiterleitungsinstanzen in SD-WAN-Bereitstellungen.
Übersicht
In Abbildung 8 wird ein Gerät der SRX-Serie mit einer Routinggruppe konfiguriert, um Datenverkehr zwischen MPLS-Netzwerken ohne Verwendung von NAT zu erlauben. Das Gerät der SRX-Serie ist mit zwei VRF-Gruppen konfiguriert, vpn-A und vpn-B.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-A1 vrf VRF-A11 set security l3vpn vrf-group vpn-A1 vrf VRF-A12 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security l3vpn vrf-group vpn-B1 vrf VRF-B11 set security l3vpn vrf-group vpn-B1 vrf VRF-B12 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy then permit set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie die Quell-NAT-Zuordnung für eine einzelne VRF:
In Layer-3-VPNs erstellen Sie eine VRF-Gruppe VPN-A mit VRF-Instanzen A1 und A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
In Layer-3-VPNs erstellen Sie eine VRF-Gruppe vpn-A1 mit VRF-Instanzen A11 und A12.
[edit security] user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A11 user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A12
Erstellen Sie eine weitere VRF-Gruppe VPN-B mit VRF-Instanzen B1 und B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Erstellen Sie eine weitere VRF-Gruppe vpn-B1 mit VRF-Instanzen B11 und B12.
[edit security] user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B11 user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B12
Erstellen Sie eine Sicherheitsrichtlinie, um VPN-A1-Datenverkehr zuzulassen.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 user@host# set policy vrf-a_policy then permit
Erstellen Sie eine Sicherheitsrichtlinie, um vpn-B1-Datenverkehr zuzulassen.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 user@host# set policy vrf-b_policy then permit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show security policies Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security policies
from-zone GRE-1_Zone to-zone GRE-2_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A1;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B1;
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
Überprüfung der Sicherheitsrichtlinien
Zweck
Überprüfen Sie, ob die Konfigurationsausgabe der Sicherheitsrichtlinien ausgegeben wird.
Aktion
Geben Sie im Betriebsmodus den show security policies Befehl ein, um eine Zusammenfassung aller auf dem Gerät konfigurierten Sicherheitsrichtlinien anzuzeigen.
user@root> show security policies
Default policy: permit-all
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-A1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-B1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Beispiel: Konfigurieren einer Sicherheitsrichtlinie, um VRF-basierten Datenverkehr vom MPLS-Netzwerk zum MPLS-Netzwerk mithilfe von NAT und VRF Group zuzulassen
In diesem Beispiel wird beschrieben, wie Sie die Routinggruppe konfigurieren und den Datenverkehr zwischen MPLS-Netzwerken mithilfe von NAT zulassen.
Anforderungen
Verstehen Sie, wie Geräte der SRX-Serie in einer SD-WAN-Bereitstellung für NAT funktionieren.
Verstehen Sie virtuelle Routing- und Weiterleitungsinstanzen. Siehe virtuelle Routing- und Weiterleitungsinstanzen in SD-WAN-Bereitstellungen.
Übersicht
In Abbildung 9 wird ein Gerät der SRX-Serie als Routinggruppe konfiguriert und erlaubt den Datenverkehr zwischen MPLS-Netzwerken mithilfe von NAT. Das Gerät der SRX-Serie wird mit den VRF-Gruppen vpn-A, vpn-A1, vpn-B und vpn-B1 konfiguriert.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-A1 vrf VRF-A11 set security l3vpn vrf-group vpn-A1 vrf VRF-A12 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security l3vpn vrf-group vpn-B1 vrf VRF-B11 set security l3vpn vrf-group vpn-B1 vrf VRF-B12 set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-group vpn-A set security nat source rule-set vrf-a_rs to routing-group vpn-A1 set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-group vpn-B set security nat source rule-set vrf-b_rs to routing-group vpn-B1 set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy then permit set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy then permit
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie die Quell-NAT-Zuordnung für eine einzelne VRF:
In Layer-3-VPNs erstellen Sie eine VRF-Gruppe VPN-A mit VRF-Instanzen A1 und A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
In Layer-3-VPNs erstellen Sie eine VRF-Gruppe vpn-A1 mit VRF-Instanzen A11 und A12.
[edit security] user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A11 user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A12
Erstellen Sie eine weitere VRF-Gruppe VPN-B mit VRF-Instanzen B1 und B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Erstellen Sie eine weitere VRF-Gruppe vpn-B1 mit VRF-Instanzen B11 und B12.
[edit security] user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B11 user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B12
Geben Sie einen IP-Quell-IP-Adresspool an.
[edit security nat source] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
Erstellen Sie einen Quell-NAT-Regelsatz.
[edit security nat source] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B user@host# set rule-set rs to routing-group vpn-A1 user@host# set rule-set rs to routing-group vpn-B1
Konfigurieren Sie eine Regel, die Pakete abschließt und den Netzwerkverkehr pro VRF-Gruppe in einen globalen IP-Pool übersetzt.
[edit security nat source] user@host# set rule-set rs rule vrf-a_rs match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_rs then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_rs match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_rs then destination-nat pool vrf-b_p
Erstellen Sie eine Sicherheitsrichtlinie, um VPN-A1-Datenverkehr zuzulassen.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 user@host# set policy vrf-a_policy then permit
Erstellen Sie eine Sicherheitsrichtlinie, um vpn-B1-Datenverkehr zuzulassen.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 user@host# set policy vrf-b_policy then permit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show security nat befehle eingeben show security policies . Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show security nat
source {
pool vrf-a_p {
address {
203.0.113.200/32;
}
}
pool vrf-b_p {
address {
203.0.113.201/32;
}
}
rule-set vrf-a_rs {
from routing-group vpn-A;
to routing-group vpn-A1;
rule rule1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
vrf-a_p;
}
}
}
}
rule-set vrf-b_rs {
from routing-group vpn-B;
to routing-group vpn-B1;
match {
source-address 192.168.1.201/32;
}
then {
source-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone GRE-1_Zone to-zone GRE-2_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A1;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B1;
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
Überprüfung der Sicherheitsrichtlinien
Zweck
Stellen Sie sicher, dass Datenverkehr vorhanden ist, der der Quell-NAT-Regel entspricht.
Aktion
Geben Sie im Betriebsmodus den show security nat source rule all Befehl ein. Überprüfen Sie im Feld "Übersetzung trifft", ob Datenverkehr mit der NAT-Regel des Ziels übereinstimmt.
user@host> show security nat source rule all
Total source-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Source NAT rule : vrf-a_r
Rule-set : rs
Rule-Id : 1
Rule position : 1
From routing-group : vpn-A
To zone : GE_Zone1
Source addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Source NAT rule : vrf-b_r
Rule-set : rs
Rule-Id : 2
Rule position : 2
From routing-group : vpn-A
To zone : GE_Zone
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Geben Sie im Betriebsmodus den show security policies Befehl ein, um eine Zusammenfassung aller auf dem Gerät konfigurierten Sicherheitsrichtlinien anzuzeigen.
user@root> show security policies
Default policy: permit-all
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN VRF Group: vpn-A1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF Group: vpn-B1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Multicast-Unterstützung bei SD-WAN-Bereitstellungen
Ab Junos OS Version 21.2R1 haben wir Unterstützung für Multicast-Datenverkehr auf Geräten der SRX-Serie in Provider Edge (PE) für SD-WAN-Bereitstellungen hinzugefügt. Die Unterstützung für Multicast-Datenverkehr ist verfügbar, wenn das Sicherheitsgerät arbeitet und die Weiterleitungsoption in der set security forwarding-options family mpls mode Hierarchie als ablaufbasiert festgelegt ist. Siehe Weiterleitungsoptionen (Sicherheit).
Einschränkungen
- Unterstützung für Multicast-Datenverkehr ist nicht verfügbar, wenn das Gerät mit Weiterleitungsoption als
packet-based. - Unterstützung für Multicast-Datenverkehr nur für Hub-and-Spoke-Topologie mit IP-over-MPLS-over-GRE und IP-over-MPLS-over-GRE-over-IPsec
- Die Unterstützung von Multicast-Datenverkehr führt keine Änderungen ein oder begeht keine Einschränkungen in Bezug auf die Datenweiterleitungsfunktionen von Multicast VPN (MVPN). Siehe Begrenzung von Routen, die von einer MVPN-VRF-Instanz angekündigt werden.