Gestion des flux dans les équipements SRX Series à l’aide d’une instance de routage VRF
Instances de routage et de transfert virtuels dans les déploiements SD-WAN
Les instances VRF (Virtual Routing and Forwarding) sont nécessaires pour séparer les routes de chaque locataire de celles des autres locataires et des autres types de trafic réseau. Les pare-feu SRX Series utilisent des instances VRF pour segmenter les réseaux afin de renforcer la sécurité et de faciliter la gestion des déploiements SD-WAN. Par exemple, vous pouvez créer des domaines de routage distincts, appelés locataires, pour segmenter les grands réseaux d’entreprise et segmenter le trafic afin de prendre en charge plusieurs réseaux de clients. Chaque locataire dispose de sa propre table de routage, ce qui permet de prendre en charge les sous-réseaux IP superposés. VRF peut être utilisé pour gérer les routes et transférer le trafic en fonction de tables de transfert indépendantes dans VRF pour un locataire spécifique.
Dans un déploiement SD-WAN, un routeur Provider Edge (PE) peut être à la fois un équipement central et un équipement en étoile qui reçoit et transfère le trafic MPLS. Un routeur CE (Customer Edge) est un pare-feu SRX Series qui interagit avec un routeur PE pour transmettre le trafic VPN à l’aide d’instances de routage VRF. Les instances VRF transfèrent chaque trafic VPN client, et chaque instance VRF contient une étiquette représentant l’ensemble du trafic client qui transite par ce VRF.
Les différents sites qui se connectent à un pare-feu SRX Series côté rayon peuvent appartenir au même locataire ou à la même instance de routage VRF. Ces sites envoient le trafic IP destiné à atteindre l’Internet public ou les sites de locataires distants.
Lorsque le trafic atteint le pare-feu SRX Series côté rayon, l’équipement identifie l’instance VRF à partir des interfaces LAN connectées à ces sites. Après le traitement de sécurité de ce trafic, celui-ci trouve un itinéraire vers la destination dans cette table de routage VRF. Si la destination est MPLS sur GRE (Next-Hop Generic Routing Encapsulation), le pare-feu SRX Series ajoute une étiquette MPLS correspondante et transmet le paquet à l’équipement côté hub.
Au niveau de l’équipement côté hub, après réception du trafic tunnelisé MPLS sur GRE, le pare-feu SRX Series associe l’étiquette MPLS pour identifier l’instance de routage VRF correspondante. Une fois le traitement de sécurité du trafic terminé, l’équipement identifie si la destination se trouve sur un Internet public ou si elle est accessible via MPLS next-hop.
Si la destination est l’Internet public, la traduction d’adresses réseau (NAT) convertit l’adresse IP privée VRF en adresse IP publique et établit la session. Si la destination est un type de saut MPLS suivant, l’étiquette MPLS correspondante est ajoutée et le paquet est transféré au spoke distant à l’aide d’un tunnel de superposition GRE.
Côté rayon distant, après avoir reçu le trafic MPLS sur tunnel GRE, l’appareil identifie l’instance de routage VRF correspondante à l’aide des étiquettes MPLS. À l’aide de cette instance de routage VRF, le pare-feu SRX Series trouve l’interface LAN de destination correcte dans ce VRF pour transférer le paquet vers la destination.
Gestion des flux à l’aide d’une instance de routage VRF
Un flux de pare-feu SRX Series crée des sessions basées sur des données à 5 uplets (adresse IP source, adresse IP de destination, numéro de port source, numéro de port de destination et numéro de protocole) ainsi que sur les jetons d’interface de l’interface d’entrée et de l’interface de sortie du trafic. Par exemple, l’instance de routage VRF-1 et l’instance de routage VRF-2 ont le même trafic à 5 uplets qui peut entrer et sortir via le même tunnel GRE physique. Lorsque ces adresses IP superposées entrent ou sortent d’un même tunnel par le pare-feu SRX Series, le flux du pare-feu SRX Series ne peut pas installer plusieurs sessions dans la base de données en raison du conflit d’informations de session. Des informations supplémentaires sont nécessaires pour que le pare-feu SRX Series puisse différencier les sessions lors de l’installation.
À partir de la version 15.1X49-D160 de Junos OS, les pare-feu SRX Series peuvent utiliser les informations VRF des paquets balisés MPLS de la clé de session pour différencier les sessions. Pour différencier les sessions des différentes instances VRF, le flux utilise les numéros d’identification VRF de la clé de session existante pour identifier chaque instance VRF. Cette clé de session est utilisée comme l’un des critères de correspondance lors de la recherche de session.
Vous pouvez utiliser les critères de correspondance suivants, ainsi que les conditions de correspondance à 5 uplets existantes dans une stratégie de sécurité, pour autoriser ou refuser le trafic en fonction du VRF donné :
Source VRF : il s’agit de l’instance de routage VRF associée à l’interface entrante du paquet. Lorsqu’un paquet MPLS entrant contenant une étiquette arrive à un pare-feu SRX Series, l’équipement décode l’étiquette et la mappe à l’interface entrante.
VRF de destination : il s’agit de l’instance de routage VRF associée à l’itinéraire final vers la destination. Lors du premier traitement du paquet d’une nouvelle session, le flux a besoin d’une route de destination pour acheminer le paquet vers le périphérique ou l’interface du saut suivant. Flow recherche la table de routage initiale à partir de l’interface entrante ou d’une table RTT distincte jusqu’à ce qu’il trouve le périphérique ou l’interface de saut suivant. Une fois que l’entrée de route finale est trouvée, et si cette route pointe vers un périphérique MPLS de saut suivant, le VRF de destination est affecté à l’instance de routage dans laquelle la route finale est trouvée.
Groupes de routage et de transfert virtuels
Le réseau d’entreprise SD-WAN est composé de plusieurs réseaux L3VPN, comme illustré sur la Figure 1.
Les réseaux L3VPN sont identifiés au niveau d’un site (équipement CPE) comme un ensemble d’instances VRF. Les instances VRF d’un site appartenant à un réseau L3VPN sur un site sont utilisées pour le transfert basé sur la stratégie d’application. La gestion des sessions de flux SRX a été améliorée pour prendre en charge la commutation du trafic de flux intermédiaire entre ces instances VRF en fonction de stratégies de pilotage basées sur les applications. Les instances VRF qui font logiquement partie d’un réseau L3VPN donné peuvent être configurées en tant que groupe VRF. Les commandes de configuration du pare-feu et NAT existantes ont été améliorées pour prendre en charge les opérations sur le groupe VRF.
La Figure 2 décrit comment le pilotage du trafic au sein d’un L3VPN est effectué sur plusieurs VRF en fonction des stratégies APBR.
Lorsque vous configurez les groupes VRF à l’aide d’instances VRF, un ID de groupe VRF est généré. Ces groupes VRF sont utilisés dans les modules suivants pour contrôler le SD-WAN L3VPN :
Security Policy - Pour le contrôle des stratégies.
Flow - Pour rechercher des stratégies en fonction des noms de groupes VRF, ainsi que de la zone source ou de destination, de l’adresse IP source ou de destination et du protocole. Par conséquent, les sessions sont créées à l’aide de groupes VRF comme facteur de différenciation.
NAT - Prise en charge des règles NAT basées sur les noms de groupes VRF.
ALG - Créer des sessions ALG en utilisant des groupes VRF comme facteur de différenciation.
Les fonctionnalités des groupes VRF :
Il permet à une session de basculer entre deux VRF MPLS.
Lorsque les instances VRF font partie du même groupe VRF, les fonctionnalités de sécurité telles que les modules de flux, de stratégie, NAT ou ALG traitent les instances VRF de la même manière.
Lorsque vous configurez les groupes VRF à l’aide d’instances VRF, un ID de groupe VRF est généré. Cet ID de groupe est stocké dans la session pour identifier le groupe VRF d’une instance VRF particulière.
- Comprendre les groupes VRF
- Types de groupes VRF
- Mouvement VRF
- ID de groupe VRF
- Configuration des groupes VRF
- Opérations du groupe VRF
Comprendre les groupes VRF
Le groupe VRF est introduit pour prendre en charge les sessions MPLS L3VPN dans les réseaux SD-WAN. Il est utilisé pour contrôler le trafic MPLS L3VPN dans les modules de stratégie, de flux, NAT et ALG lorsqu’il y a un chevauchement ou pas de chevauchement d’adresses réseau IP dans le réseau MPLS L3VPN.
Si le trafic transite entre des réseaux L3VPN non MPLS, les groupes VRF ne sont pas configurés. Lorsque les groupes VRF ne sont pas configurés, l’ID de groupe VRF est égal à zéro ou la stratégie utilise l’option any de groupe VRF.
L’objectif des groupes VRF est de :
Pour différencier les sessions L3VPN entre les réseaux MPLS L3VPN.
Disposer d’une politique et d’un contrôle NAT entre le réseau MPLS L3VPN.
Types de groupes VRF
Il existe deux groupes VRF importants dans le réseau L3VPN :
Groupe Source-VRF
Destination-VRF group
Pour comprendre quelles instances VRF peuvent être regroupées pour le groupe Source-VRF ou le groupe VRF de destination, utilisez les informations suivantes :
Source-VRF instances: liste des instances VRF qui négocient différents chemins MPLS vers la même destination entrante.
Destination-VRF instances— Liste des instances VRF qui contiennent les routes de destination pour un trafic L3VPN donné.
Si le trafic est initié dans la direction opposée, les groupes VRF changent de rôle en fonction du sens du trafic.
Mouvement VRF
Sur la Figure 3, le flux de trafic initial pour un établissement de session se fait de gauche à droite. Le trafic entre dans la zone GRE1, puis entre dans le groupe Source-VRF (A) et passe par le groupe VRF de destination (A') avant de sortir par GRE_Zone2.
De même, la recherche de stratégie est lancée à partir de et les sessions de GRE_Zone1->Source-VRF group(A)->Destination-VRF group->(A’)->GRE_Zone2 flux sont configurées, en utilisant le groupe Source-VRF (A) et le groupe VRF de destination (A) comme valeurs de clé supplémentaires dans les sessions. Lorsque les sessions de flux sont effectuées à l’aide de groupes VRF, le trafic peut basculer (réacheminer) d’un VRF à un autre VRF au sein du groupe.
VRF
ID de groupe VRF
Pour stocker l’ID de groupe VRF, un nombre de 16 bits est utilisé dans une structure de données de clé de session.
Configuration des groupes VRF
Pour configurer un groupe VRF, procédez comme suit :
Répertorier les instances VRF qui doivent être regroupées.
Attribuez un nom au groupe VRF.
Appliquez les instances VRF et le nom du groupe VRF dans la commande
set security l3vpn vrf-group group-name vrf vrf1 vrf vrf2CLI
Les groupes VRF source et de destination sont configurés séparément en fonction de différents contextes.
Source VRF group: le groupe VRF source de l’instance de routage est associé au paquet MPLS. Lorsque l’appareil reçoit un paquet MPLS, celui-ci est décodé et mappé à l’interface LSI. L’interface LSI contient les informations de la table de routage qui permettent d’identifier les détails du groupe VRF.
Destination VRF group: lors du traitement du flux de premier chemin du paquet pour une nouvelle session, les informations de routage de destination sont nécessaires pour acheminer le paquet vers le saut ou l’interface suivant. Flow recherche la table de routage pour obtenir les informations sur l’itinéraire. Lorsque les informations d’itinéraire reçues pointent vers MPLS en tant que saut suivant, le VRF de cet itinéraire est utilisé pour identifier le groupe VRF de destination.
Les groupes VRF source et de destination sont les mêmes dans certains cas lorsque vous préférez contrôler tous les VRF associés dans un réseau L3VPN.
Opérations du groupe VRF
Lorsqu’un groupe VRF est configuré, un ID de groupe est créé, unique pour les différents groupes VRF. Vous pouvez effectuer différentes opérations, telles que l’ajout, la suppression ou la modification d’un VRF vers un groupe VRF.
- Ajout d’un VRF à un groupe VRF
- Suppression de VRF d’un groupe VRF
- Modification du groupe VRF
- Suppression d’un groupe VRF
Ajout d’un VRF à un groupe VRF
Lorsqu’un VRF est ajouté à un groupe VRF, l’ID de groupe VRF correspondant est attribué au VRF. Lorsque vous ajoutez un VRF à un groupe VRF, n’oubliez pas les points suivants :
Un VRF ne peut être ajouté qu’à un seul groupe VRF. Il ne peut pas faire partie de plusieurs groupes VRF.
Un maximum de 32 VRF peuvent être configurés dans un groupe VRF.
Lorsqu’un VRF est ajouté, cela a un impact sur la session existante et une nouvelle session est créée conformément à la stratégie.
Lorsque de nouvelles sessions sont créées après l’ajout d’un nouveau VRF au groupe VRF, les sessions utilisent le nouvel ID de groupe VRF du nouveau VRF.
Suppression de VRF d’un groupe VRF
Lorsqu’un VRF est supprimé d’un groupe VRF, l’ID de groupe VRF de ce groupe VRF devient zéro, mais le VRF reste disponible dans l’appareil. Lorsque vous supprimez un VRF d’un groupe VRF, cela a un impact sur les sessions existantes de deux manières :
Impacting existing sessions: lorsqu’un VRF est supprimé du groupe VRF, la session existante est supprimée et une nouvelle session est créée conformément à la stratégie
Match Traffic: lorsqu’un VRF est supprimé d’un groupe VRF, l’ID de groupe VRF de ce VRF passe à zéro et ne correspond donc pas à la session. Le paquet est abandonné et une nouvelle session est créée conformément à la stratégie.
Lorsqu’un VRF est supprimé du groupe VRF, la nouvelle session traitée à l’aide du VRF concerné installe un nouvel ID de groupe VRF. Cet ID de groupe VRF sera égal à zéro, ou un nouvel ID de groupe est créé si vous ajoutez le VRF à un nouveau groupe VRF
Modification du groupe VRF
La modification d’un groupe VRF implique les opérations suivantes :
Changing VRF group name: Lorsque vous modifiez le nom du groupe VRF, le module de stratégie analyse les sessions existantes pour vérifier si le nouveau nom du groupe VRF correspond aux règles existantes.
Adding VRF to VRF group: Lorsqu’un VRF est ajouté à un groupe VRF, l’ID de groupe VRF correspondant est affecté au VRF.
Removing VRF from VRF group: Lorsqu’un VRF est supprimé d’un groupe VRF, l’ID de groupe VRF de ce VRF passe à zéro et le VRF reste disponible dans l’appareil.
Suppression d’un groupe VRF
Lorsque vous supprimez un groupe VRF à l’aide de l’interface de ligne de commande, une analyse de session est effectuée sur les sessions existantes pour correspondre au groupe VRF supprimé. Si la session correspond au groupe VRF supprimé, cette session est supprimée de l’appareil en définissant un délai d’expiration non valide. Les sessions qui ne correspondent pas à l’ID de groupe VRP supprimé ne sont pas affectées.
Groupe Traitement de flux à l’aide du routage et du transfert virtuels
- Traitement du premier chemin à l’aide du groupe VRF
- Traitement rapide du chemin à l’aide d’un groupe VRF
- Exemple : configuration d’une stratégie de sécurité pour autoriser le trafic VRF d’un réseau IP vers un réseau MPLS à l’aide d’un groupe VRF
- Exemple : configuration d’une stratégie de sécurité pour autoriser le trafic VRF d’un réseau MPLS vers un réseau IP à l’aide d’un groupe VRF
- Exemple : configuration d’une stratégie de sécurité pour autoriser le trafic VRF d’un réseau IP public vers un réseau MPLS à l’aide d’un groupe VRF
- Exemple : configuration d’une stratégie de sécurité pour autoriser le trafic VRF d’un réseau MPLS vers un réseau IP public vers l’utilisation d’un groupe VRF
- Exemple : configuration d’une stratégie de sécurité pour autoriser le trafic VRF d’un réseau MPLS vers un réseau MPLS sans NAT à l’aide d’un groupe VRF
- Exemple : configuration d’une stratégie de sécurité pour autoriser le trafic VRF d’un réseau MPLS à un réseau MPLS à l’aide de NAT et VRF Group
- Prise en charge multicast dans les déploiements SD-WAN
Traitement du premier chemin à l’aide du groupe VRF
Pour traiter un paquet, le traitement du premier chemin effectue les opérations suivantes :
MPLS Decoder: lorsque le flux reçoit un paquet MPLS ou non-MPLS, le paquet est traité pour récupérer les détails du paquet entrant, de l’interface et de l’instance de routage de l’interface entrante.
FBF configuration: lorsque vous configurez des règles FBF pour rediriger les paquets entrants vers une autre instance de routage, la règle FBF trouve les informations de l’instance de routage et transmet les informations de l’instance de routage FBF au lieu de l’instance de routage de l’interface entrante du paquet. Ce VRF FBF devrait faire partie du groupe VRF pour contrôler le réseau L3VPN.
Initialize Routing-Table: lorsque le flux reçoit le paquet, la table de routage initiale du paquet est créée. Si la configuration FBF correspond aux filtres de pare-feu, les informations d’instance de routage de FBF sont utilisées pour la recherche de route. Sinon, le flux utilise les informations de l’instance de routage de l’interface entrante pour la recherche de route.
Finding Source VRF group: si le paquet entrant provient d’un réseau MPLS, il est mappé à l’instance VRF du groupe VRF source. Si le paquet entrant n’est pas un paquet MPLS, l’ID du groupe VRF source est égal à zéro.
Destination NAT using VRF group: le flux vérifie si l’adresse IP de destination a besoin d’une traduction NAT. Le NAT de destination prend en charge deux types de critères de correspondance pour VRF :
Recherche de règles NAT à l’aide de VRF routing-group.
Résultat de la règle NAT à l’aide de l’instance de routage VRF et des informations NAT.
Destination Route: la recherche de route effectuée dans la table de routage initiale permet d’identifier l’interface sortante et les informations VRF de destination. Ces informations sont utilisées pour la recherche de stratégies et l’installation de sessions.
Final next-hop: la première étape pour trouver l’itinéraire de destination consiste à trouver le saut suivant de l’itinéraire pointé. À l’aide de ce saut suivant, le flux vérifiera si le saut suivant pointe vers le réseau MPLS ou non. S’il ne pointe pas vers le réseau MPLS, le groupe VRF de destination sera nul.
Destination VRF group— Lorsque le VRF de destination est identifié, l’ID de groupe VRF de destination est initialisé. Si le VRF de destination n’est affecté à aucun groupe, il est défini sur zéro.
First Path Policy Search: Flow effectue une recherche de stratégie pour vérifier si le paquet doit être autorisé ou refusé. Flow rassemble les informations de clé de stratégie à 5 uplets et les informations VRF, et ces informations sont utilisées par le module de recherche de stratégie pour trouver la politique VRF appropriée.
Source NAT using VRF group: la session de flux effectue la recherche de règles NAT source à l’aide du groupe VRF source. Source-NAT prend en charge deux types de critères de recherche NAT.
Recherche de règles NAT sources à l’aide du groupe VRF.
Recherche de règles NAT statiques à l’aide d’un groupe VRF ou d’une instance VRF.
Static NAT using VRF group or VRF instance: le NAT statique prend en charge routing-group dans le jeu de règles et routing-instance dans la règle de type VRF.
Lorsque le NAT statique correspond à la traduction NAT de destination pour un paquet IP donné, le groupe de routage VRF sera l’un des critères de correspondance et l’instance de routage VRF sera utilisée comme table de routage de destination.
Lorsque le NAT statique correspond à la traduction NAT source d’un paquet IP donné, l’instance de routage VRF sera l’un des critères de correspondance.
Session Installation using VRF group: pendant le processus d’installation de session, l’ID de groupe VRF source est stocké dans l’aile avant, ce qui indique que l’aile pointe vers le réseau MPLS. L’ID de groupe VRF de destination trouvé à partir de la recherche d’itinéraire est stocké dans l’aile inversée, ce qui indique que l’aile pointe vers le réseau MPLS.
Re-routing using VRF group: une fois la session établie à l’aide des informations du groupe VRF, un reroutage est lancé si l’interface est en panne ou si la route initiale n’est pas disponible. Ces routes modifiées doivent faire partie du même groupe VRF (groupe Source-VRF/Groupe VRF de destination), dans lequel la session est initialement établie de part et d’autre. Dans le cas contraire, le trafic ne correspondra pas à la session et le trafic futur de la session pourra être abandonné ou créer de nouvelles sessions conformément à la stratégie.
Traitement rapide du chemin à l’aide d’un groupe VRF
Le traitement du chemin rapide effectue les étapes suivantes pour traiter un paquet.
MPLS Decoder: lorsqu’un paquet MPLS ou non-MPLS est reçu, il subit un traitement MPLS. Une fois le traitement terminé, le flux reçoit les détails du paquet entrant, de l’interface et de l’instance de routage de l’interface entrante.
FBF configuration: lorsque vous configurez des règles FBF pour rediriger les paquets entrants vers une autre instance de routage, la règle FBF trouve les informations de l’instance de routage et transmet les informations de l’instance de routage FBF au lieu de l’instance de routage de l’interface entrante du paquet. Ce VRF FBF devrait faire partie du groupe VRF pour contrôler le réseau L3VPN.
Session look-up using VRF Group-ID: pendant le processus de recherche de session, le flux vérifie s’il faut transmettre l’ID de groupe VRF dans la clé de session pour la recherche. Si l’interface entrante est MPLS, le flux transmet les informations d’ID de groupe VRF de l’instance de routage VRF mappée à la clé de session, ainsi que d’autres informations de tuple de clé. Si l’interface entrante n’est pas MPLS, l’ID de groupe VRF sera égal à zéro.
Session Route change: si l’itinéraire change pour session en cours de route, le flux recherche le nouveau VRF qui appartient à cet itinéraire. Si le nouvel ID de groupe VRF diffère de l’ID de groupe VRF de la session, le routage ne sera pas traité et les futurs paquets seront abandonnés. Par conséquent, pour le réacheminement, la nouvelle route doit appartenir à un VRF qui appartient à un groupe VRF de session.
VRF Group policy change: lorsque la stratégie de session de groupe VRF est modifiée en raison d’attributs de stratégie tels que la zone/l’interface/l’adresse IP/le groupe VRF source/le groupe VRF de destination, la stratégie est réappariée pour la même session en fournissant le tuple 5 de la stratégie avec les valeurs du groupe VRF source et du groupe VRF de destination pour vérifier si la stratégie est valide ou non. Lors d’une nouvelle correspondance, si la stratégie ne correspond pas aux informations de session, celle-ci se termine.
VRF session display: le groupe VRF source et le groupe VRF de destination sont affichés dans l’affichage de sortie de session afin de différencier les différents groupes VRF pour le même tuple.
High Availability: la haute disponibilité est prise en charge sans changement de comportement lorsque des informations supplémentaires d’ID de groupe VRF sont synchronisées avec le nœud homologue HA pour différencier les différents groupes VRF dans la session
Exemple : configuration d’une stratégie de sécurité pour autoriser le trafic VRF d’un réseau IP vers un réseau MPLS à l’aide d’un groupe VRF
Cet exemple montre comment configurer une stratégie de sécurité pour autoriser le trafic d’un réseau IP privé vers un réseau MPLs à l’aide d’un groupe VRF.
Exigences
-
Pare-feu SRX Series pris en charge avec Junos OS version 15.1X49-D170 ou ultérieure. Cet exemple de configuration est testé pour Junos OS version 15.1X49-D170.
Aperçu
Dans Junos OS, les stratégies de sécurité appliquent des règles pour le trafic de transit, en termes de type de trafic pouvant passer par le périphérique et des actions qui doivent être effectuées sur le trafic lors de son passage. Sur la figure 4, un pare-feu SRX Series est déployé dans un SD-WAN pour autoriser le trafic d’un réseau IP privé vers un réseau MPLS utilisant le groupe VRF.
Cet exemple de configuration montre comment :
Autoriser le trafic du réseau IP (LAN-A) vers le groupe VRF
Autoriser le trafic du réseau IP (LAN-B) vers le groupe VRF
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-A1 vrf VRF-A11 set security l3vpn vrf-group vpn-A1 vrf VRF-A21 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security l3vpn vrf-group vpn-B1 vrf VRF-B11 set security l3vpn vrf-group vpn-B1 vrf VRF-B21 set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy then permit set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans leGuide de l’utilisateur de l’interface de ligne de commande.
Créer un groupe VRF vpn-A avec les instances VRF A1 et A2
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2
Créer un groupe VRF vpn-A1 avec les instances VRF A11 et A21
[edit security] user@host# set l3vpn vrf-group vpn-A1 vrf VRF-A11 user@host# set l3vpn vrf-group vpn-A1 vrf VRF-A21
Créer un groupe VRF vpn-B avec les instances VRF B1 et B2
[edit security] user@host# set l3vpn VRF group vpn-B vrf VRF-B1 user@host# set l3vpn VRF group vpn-B vrf VRF-B2
Créer un groupe VRF vpn-B1 avec les instances VRF B11 et B21
[edit security] user@host# set l3vpn vrf-group vpn-B1 vrf VRF-B11 user@host# set l3vpn vrf-group vpn-B1 vrf VRF-B21
Créez une stratégie de sécurité pour autoriser le trafic vrf-a.
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 user@host# set policy vrf-a_policy then permit
Créez une stratégie de sécurité pour autoriser le trafic vrf-b.
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 user@host# set policy vrf-b_policy then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security policies
from-zone LAN-a_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-VRF group vpn-A1;
}
then {
permit;
}
}
from-zone LAN-b_Zone to-zone GRE_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-VRF group vpn-B1;
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la configuration de la stratégie
But
Vérifiez les informations sur les politiques de sécurité.
Action
À partir du mode opérationnel, entrez la show security policies commande pour afficher un récapitulatif de toutes les stratégies de sécurité configurées sur l’appareil.
user@root> show security policies
Default policy: permit-all
From zone: LAN-a_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN vrf-group: vpn-A1
destination L3VPN VRF Group: any
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: LAN-b_Zone, To zone: GRE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN vrf-group: vpn-B1
destination L3VPN VRF Group: any
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Exemple : configuration d’une stratégie de sécurité pour autoriser le trafic VRF d’un réseau MPLS vers un réseau IP à l’aide d’un groupe VRF
Cet exemple montre comment configurer une stratégie de sécurité pour autoriser le trafic du réseau MPLS vers IP à l’aide du groupe VRF.
Exigences
-
Pare-feu SRX Series pris en charge avec Junos OS version 15.1X49-D170 ou ultérieure. Cet exemple de configuration est testé pour Junos OS version 15.1X49-D170.
-
Configurez les interfaces réseau sur l’équipement. Reportez-vous au Guide de l’utilisateur des interfaces pour les équipements de sécurité.
Aperçu
Dans Junos OS, les stratégies de sécurité appliquent des règles pour le trafic de transit, en termes de type de trafic pouvant passer par le périphérique et des actions qui doivent être effectuées sur le trafic lors de son passage. Sur la figure 5, un pare-feu SRX Series est déployé dans un SD-WAN pour autoriser le trafic d’un réseau MPLS vers un réseau privé utilisant le groupe VRF.
privé
Cet exemple de configuration montre comment :
Autoriser le trafic de GRE MPLS vers LAN-a
Autoriser le trafic de GRE MPLS vers LAN-b
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match application any set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy then permit set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match application any set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans leGuide de l’utilisateur de l’interface de ligne de commande.
Créez un groupe VRF vpn-A avec les instances VRF A1 et A2.
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2
Créez un groupe VRF vpn-B avec les instances VRF B1 et B2.
[edit security] user@host# set l3vpn vrf-group vpn-B vrf VRF-B1 user@host# set l3vpn vrf-group vpn-B vrf VRF-B2
Créez une stratégie de sécurité pour autoriser le trafic VRF-a.
[edit security policies from-zone GRE_Zone to-zone LAN-a_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then permit
Créez une stratégie de sécurité pour autoriser le trafic VRF-b.
[edit security policies from-zone GRE_Zone to-zone LAN-b_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security policies
from-zone GRE_Zone to-zone LAN-a_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A;
}
then {
permit;
}
}
from-zone GRE_Zone to-zone LAN-b_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la configuration de la stratégie
But
Vérifiez les informations sur les politiques de sécurité.
Action
À partir du mode opérationnel, entrez la show security policies commande pour afficher un récapitulatif de toutes les stratégies de sécurité configurées sur l’appareil.
user@root> show security policies
Default policy: permit-all
From zone: GRE_Zone, To zone: LAN-a_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF-Group: any
destination L3VPN VRF Group: vpn-A
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GRE_Zone, To zone: LAN-b_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-B
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Exemple : configuration d’une stratégie de sécurité pour autoriser le trafic VRF d’un réseau IP public vers un réseau MPLS à l’aide d’un groupe VRF
Cet exemple décrit comment configurer la règle NAT de destination pour traduire un réseau IP public entrant en réseau MPLS à l’aide d’un groupe VRF.
Exigences
Découvrez le fonctionnement des pare-feu SRX Series dans un déploiement SD-WAN pour NAT.
Comprendre les instances de routage et de transfert virtuels. Reportez-vous à la section Instances de routage et de transfert virtuels dans les déploiements SD-WAN.
Aperçu
Sur la Figure 6, un pare-feu SRX Series est configuré avec une règle NAT de destination pour convertir le réseau IP public entrant en table de routage de destination et en IP par VRF. Le pare-feu SRX Series est configuré avec deux groupes VRF, vpn-A et vpn-B.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat destination pool vrf-a_p routing-instance VRF-a set security nat destination pool vrf-a_p address 192.168.1.200 set security nat destination rule-set rs from interface ge-0/0/1.0 set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200 set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p set security nat destination pool vrf-b_p routing-instance VRF-b set security nat destination pool vrf-b_p address 192.168.1.201 set security nat destination rule-set rs from interface ge-0/0/1.1 set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201 set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy then permit set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans leGuide de l’utilisateur de l’interface de ligne de commande.
Pour configurer le mappage NAT de destination pour un seul VRF :
Dans les VPN de couche 3, créez un groupe VRF vpn-A avec les instances VRF A1 et A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
Créez un autre groupe VRF vpn-B avec les instances VRF B1 et B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Spécifiez un pool d’adresses IP NAT de destination.
[edit security nat destination] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
Affectez l’instance de routage au pool de destination.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-b_p routing-instance VRF-b
Créez un ensemble de règles NAT de destination.
[edit security nat destination] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B user@host# set rule-set rs from interface ge-0/0/1.0 user@host# set rule-set rs from interface ge-0/0/1.1
Configurez une règle qui met en correspondance les paquets et convertit l’adresse IP de destination en adresse IP dans le pool d’adresses IP NAT de destination.
[edit security nat destination] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Créez une stratégie de sécurité pour autoriser le trafic VRF-a.
[edit security policies from-zone GE_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then permit
Créez une stratégie de sécurité pour autoriser le trafic VRF-b.
[edit security policies from-zone GE_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show security nat commandes and show security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
destination {
pool vrf-a_p {
routing-instance {
VRF-a;
}
address 192.168.1.200/32;
}
pool vrf-b_p {
routing-instance {
VRF-b;
}
address 192.168.1.201/32;
}
rule-set rs {
from interface [ ge-0/0/1.0 ge-0/0/1.1 ];
rule vrf-a_r {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 203.0.113.201/32;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone GE_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de l’utilisation des règles NAT de destination et des stratégies de sécurité
But
Vérifiez qu’il existe du trafic correspondant à la règle NAT de destination.
Action
À partir du mode opérationnel, entrez la show security nat destination rule all commande. Dans le champ Correspondances de traduction, vérifiez s’il existe du trafic qui correspond à la règle NAT de destination.
user@host> show security nat destination rule all
Total destination-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Destination NAT rule: vrf-a_r Rule-set: rs
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/1.0
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Destination NAT rule : vrf-b_r
Rule-set : rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.1
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
À partir du mode opérationnel, entrez la show security policies commande pour afficher un récapitulatif de toutes les stratégies de sécurité configurées sur l’appareil.
user@root> show security policies
Default policy: permit-all
From zone: GE_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-A
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GE_Zone, To zone: GRE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-B
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Exemple : configuration d’une stratégie de sécurité pour autoriser le trafic VRF d’un réseau MPLS vers un réseau IP public vers l’utilisation d’un groupe VRF
Cet exemple décrit comment configurer le groupe de routage pour qu’il traduise le trafic réseau par groupe VRF vers le pool IP global.
Exigences
Découvrez le fonctionnement des pare-feu SRX Series dans un déploiement SD-WAN pour NAT.
Comprendre les instances de routage et de transfert virtuels. Reportez-vous à la section Instances de routage et de transfert virtuels dans les déploiements SD-WAN.
Aperçu
Sur la Figure 7, un pare-feu SRX Series est configuré avec un groupe de routage pour autoriser le trafic du réseau du groupe VRF du MPLS vers le pool IP global. Le pare-feu SRX Series est configuré avec deux groupes VRF, vpn-A et vpn-B.
public
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-group vpn-A set security nat source rule-set vrf-a_rs to zone GE_Zone set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-group vpn-B set security nat source rule-set vrf-b_rs to zone GE_Zone set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vpn-b_rs rule rule2 then source-nat pool vrf-b_p set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match application any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy then permit set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match application any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans leGuide de l’utilisateur de l’interface de ligne de commande.
Pour configurer le mappage NAT source pour un seul VRF :
Dans les VPN de couche 3, créez un groupe VRF vpn-A avec les instances VRF A1 et A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
Créez un autre groupe VRF vpn-B avec les instances VRF B1 et B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Spécifiez un pool d’adresses IP NAT source.
[edit security nat source] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
Créez un ensemble de règles NAT source.
[edit security nat source] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B user@host# set rule-set rs to zone GE_Zone
Configurez une règle qui fait correspondre les paquets et traduit le trafic réseau de chaque groupe VRF en pool IP global.
[edit security nat source] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
Créez une stratégie de sécurité pour autoriser le trafic VPN-A.
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then permit
Créez une stratégie de sécurité pour autoriser le trafic VPN-B.
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show security nat commandes and show security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
pool vrf-a_p {
address {
203.0.113.200/32;
}
}
pool vrf-b_p {
address {
203.0.113.201/32;
}
}
rule-set vrf-a_rs {
from routing-group vpn-A;
to zone GE_Zone1;
rule rule1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
vrf-a_p;
}
}
}
}
rule-set vrf-b_rs {
from routing-group vpn-B;
to zone GE_Zone;
match {
source-address 192.168.1.201/32;
}
then {
source-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone GRE_Zone to-zone GE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de l’utilisation des règles NAT de destination et des stratégies de sécurité
But
Vérifiez qu’il existe du trafic correspondant à la règle NAT source.
Action
À partir du mode opérationnel, entrez la show security nat source rule all commande. Dans le champ Accès à la traduction, vérifiez s’il existe du trafic qui correspond à la règle NAT source.
user@host> show security nat source rule all
Total source-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Source NAT rule : vrf-a_r
Rule-set: rs
Rule-Id : 1
Rule position : 1
From routing-group : vpn-A To zone : GE_Zone1
Source addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Source NAT rule : vrf-b_r
Rule-set: rs
Rule-Id : 2
Rule position : 2
From routing-group : vpn-A
To zone : GE_Zone
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
À partir du mode opérationnel, entrez la show security policies commande pour afficher un récapitulatif de toutes les stratégies de sécurité configurées sur l’appareil.
user@root> show security policies
Default policy: permit-all
From zone: GRE_Zone, To zone: GE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN VRF Group: vpn-A
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GRE_Zone, To zone: GE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF Group: vpn-B
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Exemple : configuration d’une stratégie de sécurité pour autoriser le trafic VRF d’un réseau MPLS vers un réseau MPLS sans NAT à l’aide d’un groupe VRF
Cet exemple décrit comment configurer le groupe de routage pour autoriser le trafic entre les réseaux MPLS sans utiliser NAT.
MPLS
Exigences
Découvrez le fonctionnement des pare-feu SRX Series dans un déploiement SD-WAN pour NAT.
Comprendre les instances de routage et de transfert virtuels. Reportez-vous à la section Instances de routage et de transfert virtuels dans les déploiements SD-WAN.
Aperçu
Sur la Figure 8, un pare-feu SRX Series est configuré avec un groupe de routage pour autoriser le trafic entre les réseaux MPLS sans utiliser de NAT. Le pare-feu SRX Series est configuré avec deux groupes VRF, vpn-A et vpn-B.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-A1 vrf VRF-A11 set security l3vpn vrf-group vpn-A1 vrf VRF-A12 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security l3vpn vrf-group vpn-B1 vrf VRF-B11 set security l3vpn vrf-group vpn-B1 vrf VRF-B12 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy then permit set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer le mappage NAT source pour un seul VRF :
Dans les VPN de couche 3, créez un groupe VRF vpn-A avec les instances VRF A1 et A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
Dans les VPN de couche 3, créez un groupe VRF vpn-A1 avec les instances VRF A11 et A12.
[edit security] user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A11 user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A12
Créez un autre groupe VRF vpn-B avec les instances VRF B1 et B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Créez un autre groupe VRF vpn-B1 avec les instances VRF B11 et B12.
[edit security] user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B11 user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B12
Créez une stratégie de sécurité pour autoriser le trafic VPN-A1.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 user@host# set policy vrf-a_policy then permit
Créez une stratégie de sécurité pour autoriser le trafic VPN-B1.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 user@host# set policy vrf-b_policy then permit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security policies
from-zone GRE-1_Zone to-zone GRE-2_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A1;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B1;
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification des stratégies de sécurité
But
Vérifiez que la sortie de configuration des stratégies de sécurité.
Action
À partir du mode opérationnel, entrez la show security policies commande pour afficher un récapitulatif de toutes les stratégies de sécurité configurées sur l’appareil.
user@root> show security policies
Default policy: permit-all
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-A1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-B1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Exemple : configuration d’une stratégie de sécurité pour autoriser le trafic VRF d’un réseau MPLS à un réseau MPLS à l’aide de NAT et VRF Group
Cet exemple décrit comment configurer le groupe de routage et autoriser le trafic entre les réseaux MPLS à l’aide de NAT.
Exigences
Découvrez le fonctionnement des pare-feu SRX Series dans un déploiement SD-WAN pour NAT.
Comprendre les instances de routage et de transfert virtuels. Reportez-vous à la section Instances de routage et de transfert virtuels dans les déploiements SD-WAN.
Aperçu
Sur la Figure 9, un pare-feu SRX Series est configuré pour configurer le groupe de routage et autoriser le trafic entre les réseaux MPLS à l’aide du NAT. Le pare-feu SRX Series est configuré avec les groupes VRF, vpn-A, vpn-A1, vpn-B et vpn-B1.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-A1 vrf VRF-A11 set security l3vpn vrf-group vpn-A1 vrf VRF-A12 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security l3vpn vrf-group vpn-B1 vrf VRF-B11 set security l3vpn vrf-group vpn-B1 vrf VRF-B12 set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-group vpn-A set security nat source rule-set vrf-a_rs to routing-group vpn-A1 set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-group vpn-B set security nat source rule-set vrf-b_rs to routing-group vpn-B1 set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy then permit set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer le mappage NAT source pour un seul VRF :
Dans les VPN de couche 3, créez un groupe VRF vpn-A avec les instances VRF A1 et A2.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
Dans les VPN de couche 3, créez un groupe VRF vpn-A1 avec les instances VRF A11 et A12.
[edit security] user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A11 user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A12
Créez un autre groupe VRF vpn-B avec les instances VRF B1 et B2.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
Créez un autre groupe VRF vpn-B1 avec les instances VRF B11 et B12.
[edit security] user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B11 user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B12
Spécifiez un pool d’adresses IP NAT source.
[edit security nat source] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
Créez un ensemble de règles NAT source.
[edit security nat source] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B user@host# set rule-set rs to routing-group vpn-A1 user@host# set rule-set rs to routing-group vpn-B1
Configurez une règle qui fait correspondre les paquets et traduit le trafic réseau de chaque groupe VRF en pool IP global.
[edit security nat source] user@host# set rule-set rs rule vrf-a_rs match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_rs then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_rs match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_rs then destination-nat pool vrf-b_p
Créez une stratégie de sécurité pour autoriser le trafic VPN-A1.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 user@host# set policy vrf-a_policy then permit
Créez une stratégie de sécurité pour autoriser le trafic VPN-B1.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 user@host# set policy vrf-b_policy then permit
Résultats
En mode configuration, confirmez votre configuration en entrant les show security nat commandes and show security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security nat
source {
pool vrf-a_p {
address {
203.0.113.200/32;
}
}
pool vrf-b_p {
address {
203.0.113.201/32;
}
}
rule-set vrf-a_rs {
from routing-group vpn-A;
to routing-group vpn-A1;
rule rule1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
vrf-a_p;
}
}
}
}
rule-set vrf-b_rs {
from routing-group vpn-B;
to routing-group vpn-B1;
match {
source-address 192.168.1.201/32;
}
then {
source-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone GRE-1_Zone to-zone GRE-2_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A1;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B1;
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification des stratégies de sécurité
But
Vérifiez qu’il existe du trafic correspondant à la règle NAT source.
Action
À partir du mode opérationnel, entrez la show security nat source rule all commande. Dans le champ Correspondances de traduction, vérifiez s’il existe du trafic qui correspond à la règle NAT de destination.
user@host> show security nat source rule all
Total source-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Source NAT rule : vrf-a_r
Rule-set : rs
Rule-Id : 1
Rule position : 1
From routing-group : vpn-A
To zone : GE_Zone1
Source addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Source NAT rule : vrf-b_r
Rule-set : rs
Rule-Id : 2
Rule position : 2
From routing-group : vpn-A
To zone : GE_Zone
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
À partir du mode opérationnel, entrez la show security policies commande pour afficher un récapitulatif de toutes les stratégies de sécurité configurées sur l’appareil.
user@root> show security policies
Default policy: permit-all
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN VRF Group: vpn-A1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF Group: vpn-B1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Prise en charge multicast dans les déploiements SD-WAN
À partir de la version 21.2R1 de Junos OS, nous avons ajouté la prise en charge du trafic multicast sur les pare-feu SRX Series dans Provider Edge (PE) pour les déploiements SD-WAN. La prise en charge du trafic multicast est disponible lorsque l’équipement de sécurité fonctionne avec l’option de transfert définie comme basée sur un flux dans la set security forwarding-options family mpls mode hiérarchie. Voir options de transfert (Sécurité).
Limitations
- La prise en charge du trafic multicast n’est pas disponible lorsque l’appareil fonctionne avec l’option de transfert définie sur
packet-based. - La prise en charge du trafic multicast est uniquement disponible pour les topologies en étoile avec IP sur MPLS sur GRE et IP sur MPLS sur GRE sur IPsec
- La prise en charge du trafic multicast n’apporte aucun changement et ne résout aucune limitation liée à la fonctionnalité de transfert de données MVPN (Multicast VPN). Reportez-vous à la section Limitation des routes à annoncer par une instance VRF MVPN.