Beispiel: Filterbasierte Weiterleitung auf EVPN-VXLAN

Topologie

Dieses NCE beschreibt eine EVPN-VXLAN-Fabric, die aus vier Server-Leaf-Switches, zwei Underlay-Spine-Switches, zwei Service Leaf-Switches und einer Firewall besteht.

Spine-Knoten

• Switches der QFX5120-32C-Serie mit Junos Version 20.2R2

Server-Leaf

• Switches der QFX5120-48Y-Serie mit Junos Version 20.3R1

Service Leaf

• Switches der QFX5120-32C-Serie mit Junos Version 20.2R2

Firewall

• Services Gateway SRX 4200 mit Junos Version 20.1R2

In der folgenden Konfiguration verbinden wir Endpoint-1 mit Server Leaf-1. Außerdem erstellen wir eine neue Routing-Instanz, INSPECT_VRF und konfigurieren sie für den Export und Import von Typ-5-Routen mit Service Leaf-1 und Service Leaf-2. Wir verwenden eine filterbasierte Weiterleitung, um den Datenverkehr von Endgerät 1 zu Endgerät 2 zum INSPECT_VRF umzuleiten.

1. Richten Sie auf Server Leaf-1 die INSPECT_VRF Routing-Instanz ein:

2. Fügen Sie eine statische Route für Endpunkt 1 hinzu, die auf Tenant1_VRF zeigt:

3. Der Inspect_VRF muss eine statische Host-Route des Typs 5 für Endpoint-1 ankündigen, damit die Firewall den Datenverkehr empfangen kann. Die Firewall muss außerdem eine Standardroute für Leaf 1 ankündigen:

4. Jetzt müssen wir einen Firewall-Filter für Leaf-1 einrichten. Der Filter gleicht den Datenverkehr von Endgerät 1 zu Endpunkt-2 ab und leitet diese Pakete an den INSPECT_VRF. Der andere Datenverkehr wird wie üblich im Tenant1_VRF geroutet:

5. Auf Leaf-1 müssen wir den Firewall-Filter auf den VLAN 110-Datenverkehr anwenden, während er IRB.110 durchquert (dies ist die Schnittstelle, die mit Endgerät-1 verbunden ist):

1. Richten Sie auf Server Leaf-2 die SECURE_VRF Routing-Instanz ein:

2. Konfigurieren Sie eine statische Route für Endpunkt 2, die auf Tenant1_VRF zeigt:

3. Innerhalb der SECURE_VRF müssen wir eine statische Host-Route des Typs 5 für Endpoint-2 ankündigen, damit die Firewall den Datenverkehr empfangen kann. Die Firewall muss außerdem eine Standardroute für Leaf 2 ankündigen:

4. Wie zuvor müssen wir nun einen Firewall-Filter für Leaf-2 einrichten. Diesmal stimmt der Filter den Datenverkehr von Endpoint-2 zu Endpoint-1 ab und leitet diese Pakete an die SECURE_VRF. Der andere Datenverkehr wird wie üblich im Tenant1_VRF geroutet:

5. Schließlich müssen wir auf Leaf-2 den Firewall-Filter auf den VLAN 111-Datenverkehr anwenden, während er IRB.111 durchquert (dies ist die Schnittstelle, die mit Endpoint-2 verbunden ist).

Service Leaf-1 umfasst sowohl die INSPECT_VRF- als auch SECURE_VRF Routing-Instanzen und verbindet das Service Leaf und die Firewall, wie in der folgenden Abbildung dargestellt. Die Schnittstelle IRB.991 befindet sich in der INSPECT VRF und die Schnittstelle IRB.992 ist in der SECURE VRF.

In beiden Routing-Instanzen richtet das Service Leaf EBGP-Peering mit der Firewall ein, von der es eine Standardroute erhält. Service Leaf-1 kündigt die Standardrouten zu den Server-Leafs mit Typ-5 an und von ihnen empfängt spezifische Host-Routen für Endpoint-1 und Endpoint-2, die dann mit EBGP an die Firewall beworben werden.

1. Die Verbindung vom Service-Leaf zur Firewall ist ein Trunk-Port, der VLAN 991 und VLAN 992 mit jeweils einem IRB enthält. Schnittstelle, wie hier dargestellt:

2. Wir müssen die Routing-Instanzen auf Service Leaf-1 einrichten:

3. Wir müssen auch die Richtlinienaussagen zu Service Leaf-1 einrichten:

Die Konfiguration auf Service Leaf-2 ähnelt der Service Leaf-1-Konfiguration.

1. Hier richten wir eine Firewall Interconnect Service Leaf-2 ein:

2. Hier richten wir die Routing-Instanzen auf Service Leaf-2 ein:

3. Und schließlich richten wir die Richtlinienaussagen auf Service Leaf-2 ein:

Die Firewall-Schnittstellen sind als VLAN-getaggte Schnittstellen konfiguriert. Es richtet zwei EBGP-Sitzungen mit jedem Service Leaf ein, wie in Abbildung 2 dargestellt.

Abbildung 2: Firewall-Konfiguration

1. Hier richten wir die im Bild dargestellte Firewall-1 Service Leaf Interconnect sowie das BGP-Peering und den Routenexport ein:

2. Jetzt müssen wir die Zonen- und Richtlinienkonfiguration für Firewall-1 einrichten. Wir haben Datenverkehr über die logische Schnittstelle 991 in die INSPECT_Zone und Datenverkehr über die logische Schnittstelle 992 in die SECURE_Zone.

3. Um die Kommunikation von Endpoint-1 zu Endpoint-2 nur auf bestimmte Protokolle (Ping, HTTPS, SSH und UDP zur Unterstützung des Trace-Routings von den Servern) zu beschränken, erstellen wir Sicherheitsrichtlinien für den Datenverkehr zwischen dem INSPECT_Zone und SECURE_Zone:

4. Sie definieren eine Richtlinie, die den gesamten Datenverkehr von der SECURE Zone zur INSPECT-Zone akzeptiert:

Überprüfung

Mit den Befehlen und Ausgaben in diesem Abschnitt wird überprüft, ob die FBF für den Datenverkehr zwischen EP1 und EP2 korrekt funktioniert.

1. Generieren Sie Pings zwischen EP1 und EP2. Während die Pings fließen, löschen Sie zunächst die Firewall-Zähler und zeigen sie dann bei Leaf 1 und Leaf 2 an:

   Die Ausgabe von Leaf 1 bestätigt, dass der BMS-Ping-Datenverkehr den SecureTraffic-Filter und den Begriff der Firewall trifft, der den Datenverkehr an den INSPECT_VRF weiterleitet. Ähnliche Ergebnisse werden bei Leaf2 für den SecureResponseTraffic-Filter verzeichnet, der die Antworten in die SECURE_VRF lenkt.

2. Anzeigen von Sicherheitsdatenströmen auf dem SRX-Gerät:

   Die Ausgabe bestätigt, dass der BMS-Ping-Datenverkehr von der Firewall inspiziert wird. Damit wird bestätigt, dass die FBF den von EP1 an EP2 gesendeten Datenverkehr vom Leaf zum Service Leaf und von dort zum Firewall-Gerät leitet.

3. Verfolgen Sie den Pfad zwischen EP1 und EP2. Sie erwarten Underlay-Weiterleitungs-Hops durch das Firewall-Gerät.

   Die Ergebnisse sind in Abbildung 3 dargestellt.

   Hinweis: Der Datenverkehr von EP1 wird in VXLAN gekapselt und von Leaf 1 an das Service Leaf gesendet. Das Service Leaf entkapselt den Datenverkehr und leitet ihn als native IP an das Firewall-Gerät weiter, wodurch die Underlay-Hops in der Ausgabe der Trace-Route offengelegt werden können.
   Abbildung 3: EP1 zu EP2 Trace-Route mit FBF

   Die Trace-Route-Ausgabe von EP1 (BMS 1) zeigt die zusätzlichen Fabric-Weiterleitungs-Hops, die zur Steuerung des Datenverkehrs durch die Firewall verwendet werden. In der Ausgabe stellen Hops 1 und 6 die IRB-Schnittstellen in Leaf 1 bzw. Leaf 2 dar. Der 10.81.91.2-Hop im Auftrag stellt die irb.991-Schnittstelle dar, die im INSPECT_VRF auf Service Leaf 1 untergebracht ist. Diese Ergebnisse bestätigen, dass der Datenverkehr von EP1 zu EP2 korrekt durch die Firewall geleitet wird.

4. Deaktivieren Sie den Firewall-Filter, der auf die IRB-Schnittstelle sowohl bei Leaf 1 als auch bei Leaf 2 angewendet wird. Achten Sie darauf, die Änderungen zu übernehmen.

   Wiederholen Sie die Trace-Route zwischen EP1 und EP2. Die Ergebnisse sind in Abbildung 4 dargestellt

   Abbildung 4: EP1 bis EP2 Trace-Route ohne FBF

   Die Trace-Route-Ausgabe zeigt, dass mit dem Filter deaktiviert der EP1 zu EP2 Verkehrsströme direkt zwischen den IRB-Schnittstellen in den Leaf-Geräten. Mit FBF entfernen sie die Service-Leaves und Firewall-Geräte befinden sich nicht mehr im Weiterleitungspfad zwischen diesen Endgeräten.

Konfiguration für Spine-1

Konfiguration für Server Leaf-2: