Politiques basées sur les groupes dans les environnements VXLAN

Vue d’ensemble

L’intégration de politiques basées sur les groupes (GBP) à l’architecture VXLAN (VXLAN) facilite la microsegmentation avancée au sein de votre environnement réseau. Cette fonctionnalité vous permet d’appliquer des politiques basées sur des balises qui sont pilotées par des balises centrées sur l’entreprise plutôt que par des contraintes de topologie de réseau traditionnelles.

En configurant les options de correspondance des balises source et de destination, vous bénéficiez d’un contrôle granulaire sur l’accès réseau, ce qui vous permet une gestion sophistiquée du trafic. Le système exploite les champs réservés dans l’en-tête du VXLAN pour appliquer des stratégies sur tous les segments du réseau, ce qui garantit une isolation flexible du trafic et un contrôle d’accès amélioré via des groupes de points de terminaison (EPG). Vous pouvez gérer les balises de groupe à l’aide de divers identifiants tels que les adresses MAC, les VLAN, les affectations de serveur RADIUS ou les contrôleurs, ce qui permet une gestion adaptable des variables.

Les modèles SRX Series prennent en charge les conditions de correspondance basées sur les balises dans les stratégies de sécurité afin d’appliquer la microsegmentation. L’attribution de balises GBP n’est pas prise en charge dans les pare-feu SRX Series.

Les commutateurs Juniper ont pris en charge le modèle de politique basée sur les groupes ( (politiques basées sur les groupes EVPN-VXLAN) et les microsegmentations, et maintenant le pare-feu SRX Series étend cette fonctionnalité en incorporant GBP dans ses politiques de sécurité. Nous vous recommandons de lire la section Micro et macro Segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN avant de poursuivre cette rubrique.

Pour obtenir la liste complète des fonctionnalités et plates-formes prises en charge, consultez Stratégies basées sur des groupes EVPN-VXLAN dans l’Explorateur de fonctionnalités.

Caractéristiques clés

Groupement des terminaux : les appareils et les utilisateurs sont classés dans des groupes logiques en fonction de leurs rôles, fonctions ou exigences de sécurité, quel que soit leur emplacement physique dans la fabric VXLAN.
Définition de la stratégie : des stratégies de sécurité sont définies entre ces groupes, spécifiant les interactions autorisées, qui sont ensuite appliquées sur l’overlay VXLAN.
Application uniforme des politiques : les politiques sont appliquées de manière cohérente, quel que soit l’emplacement physique des appareils sur le réseau, un avantage clé de l’architecture indépendante du VXLAN.
Évolutivité : lorsque de nouveaux appareils sont ajoutés à un groupe, ils héritent automatiquement des politiques de sécurité du groupe, ce qui correspond bien à la capacité du VXLAN à évoluer sur les grands réseaux de datacenter

Avantages de l’intégration GBP avec VXLAN
Présentation
Qu’est-ce que la microsegmentation avec GBP ?
Attribution de balises de groupe
En-tête VXLAN pour GBP
Transfert de balises de groupe dans les réseaux inter-VXLAN
Communication inter-site ou externe
Configuration des politiques basées sur les groupes

Avantages de l’intégration GBP avec VXLAN

Améliorez l’efficacité opérationnelle en simplifiant le processus de configuration et en vous permettant d’implémenter des politiques de sécurité cohérentes sur tous les domaines du réseau d’entreprise.
Renforcez la sécurité du réseau en permettant un contrôle précis des accès basé sur des balises centrées sur l’entreprise, réduisant ainsi le risque associé aux accès non autorisés.
Facilitez une gestion efficace du trafic grâce à la microsegmentation, qui isole les segments de réseau et contrôle les interactions entre les EPG distincts.
Prenez en charge des ajustements dynamiques des stratégies pour vous adapter plus facilement à l’évolution des besoins de l’entreprise sans avoir à repenser la topologie du réseau.
Flexibilité dans la gestion des balises grâce à divers identifiants, permettant une intégration transparente avec l’infrastructure existante et simplifiant la mise en œuvre des stratégies.

Présentation

Dans le contexte d’EVPN VXLAN, en particulier lors de la mise en œuvre de la microsegmentation, les termes suivants sont fondamentaux pour comprendre comment le trafic est classé, contrôlé et segmenté sur le réseau.

Un groupe de points de terminaison (EPG) est un regroupement logique de points de terminaison (comme des machines virtuelles, des conteneurs ou des hôtes bare metal) qui partagent des exigences de stratégie communes. Ces groupes sont utilisés pour définir quels points de terminaison peuvent communiquer entre eux. en fonction d’attributs tels que le sous-réseau IP, le VLAN, le VNID VXLAN ou les balises. Ces groupes permettent d’appliquer des politiques de sécurité cohérentes à des charges de travail dynamiques.
La GBP (Group-Based Policy) est un modèle de stratégie qui définit la manière dont le trafic circule entre les différents EPG. Ces politiques peuvent contrôler la communication entre les groupes de points de terminaison en fonction de l’identité, et pas seulement de l’adresse IP ou du port.
Les balises de groupe évolutives (SGT) sont des identifiants de métadonnées 16 bits attribués aux points de terminaison, tels que les machines virtuelles, les conteneurs ou les hôtes, pour indiquer leur appartenance à un groupe. Le terme balise GBP fait référence plus largement à l’utilisation de ces identifiants pour appliquer des politiques basées sur des groupes sur le réseau. Dans ce document, nous utilisons le terme balises GBP pour désigner ces identifiants

Qu’est-ce que la microsegmentation avec GBP ?

La microsegmentation attribue les utilisateurs, les serveurs, les machines virtuelles et les appareils aux groupes de terminaisons et définit des politiques de groupe entre les groupes de terminaux pour gérer le contrôle du trafic entre les terminaux.

L’image suivante montre une partie de la topologie VXLAN.

Figure 1 : Microsegmentation à l’aide de groupes Network topology showing SRX Series Firewall, aggregate switches, access switches VTEP1 and VTEP2, and four hosts in a VLAN subnet. Hosts grouped into Endpoint Group 1 and Endpoint Group 2 with green arrows for allowed traffic and red arrows for denied traffic, illustrating segmentation and traffic control through access policies.

Network topology showing SRX Series Firewall, aggregate switches, access switches VTEP1 and VTEP2, and four hosts in a VLAN subnet. Hosts grouped into Endpoint Group 1 and Endpoint Group 2 with green arrows for allowed traffic and red arrows for denied traffic, illustrating segmentation and traffic control through access policies.

d’équipements

Dans cette illustration, le pare-feu SRX au niveau de la couche spine agit comme une sécurité centralisée et l’application des stratégies. Quatre hôtes (Hôte1, Hôte2, Hôte3, Hôte4) connectés aux commutateurs d’accès. Ces quatre hôtes appartiennent au même VLAN/sous-réseau. Par exemple, supposons que les exigences sont les suivantes :

Hôte1 et Hôte4 peuvent communiquer,
L’hôte2 et l’hôte3 peuvent communiquer.
L’hôte1 et l’hôte4 ne doivent pas communiquer avec l’hôte2 et l’hôte3.

Pour répondre à cette exigence, les hôtes ont été regroupés en groupes de points de terminaison (EPG1 et EPG2) comme suit :

L’hôte 1 (sur le commutateur 1) et l’hôte 4 (sur le commutateur 2) sont ajoutés au groupe de points de terminaison 1 (EPG1).
L’hôte 2 (sur le commutateur 1) et l’hôte 3 (sur le commutateur 2) sont ajoutés au groupe de points de terminaison 2 (EPG2).

Une fois les points de terminaison regroupés, il est possible de définir un accès et une isolation intragroupe ou intergroupe. En d’autres termes, les deux commutateurs d’accès sont configurés avec une politique selon laquelle si le groupe source est EPG1 et le groupe de destination est EPG2, refusez le trafic et vice-versa. De même, un autre ensemble de stratégies est créé : si le groupe source et le groupe de destination sont identiques, autoriser le trafic. En conséquence :

La communication entre Host2 et Host3 est autorisée car les deux font partie d’EPG2.
La communication entre l’hôte1 et l’hôte4 est autorisée car les deux font partie de l’EPG1.
La communication entre l’hôte 1 et l’hôte 2/hôte 4 n’est pas autorisée car les hôtes sont dans des EPG différents.
La communication entre Hôte3 et Hôte4/Hôte 2 n’est pas autorisée car les hôtes sont dans des EPG différents.

Attribution de balises de groupe

Les politiques de groupes utilisent des balises pour marquer le trafic et appliquer les politiques. Le processus d’attribution consiste à mapper chaque point de terminaison à une balise spécifique en fonction de sa fonction métier, qui est ensuite utilisée dans le processus de recherche de stratégies pour appliquer les modèles de communication souhaités. Dans les réseaux de campus, les balises peuvent être affectées aux points de terminaison de l’une des méthodes suivantes.

Balises GBP : balises basées sur diverses correspondances sur l’interface entrante, notamment :
- adresse MAC
- Port
- VLAN
- Port, VLAN
- Adresse de sous-réseau/IP
Balises affectées par serveur RADIUS : environnements réseau utilisant des serveurs RADIUS pour le contrôle d’accès réseau. Les points de terminaison sont placés dans les VLAN en fonction du type de point de terminaison ou de l’autorisation de l’utilisateur et du fingerprinting de l’appareil. Serveur RADIUS Envoyez la balise de groupe dans Juniper VSA. Le commutateur d’accès entrant peut associer la balise de groupe envoyée par le serveur RADIUS à tout le trafic généré par cette adresse MAC.
Balises attribuées par contrôleur : dans les environnements réseau gérés par un contrôleur tel que Juniper Apstra Fabric Conductor, les balises sont attribuées aux ports de commutation ou aux points de terminaison connectés aux ports de commutateur. Switch peut associer la balise à tout le trafic provenant de ces points de terminaison.

Comment fonctionnent les balises GBP ?

Une balise GBP est attribuée de manière dynamique à chaque point de terminaison, tel qu’une machine virtuelle, un conteneur ou un hôte, en fonction de son rôle ou de sa fonction (par exemple, serveur Web, serveur de base de données, poste de travail d’administration).
La balise GBP est propagée avec le trafic, soit intégrée dans l’en-tête VXLAN, soit transportée sous forme de métadonnées, ce qui garantit que l’identité du groupe voyage avec le paquet.
Les pare-feu SRX Series ou d’autres points d’application de stratégie inspectent la balise GBP pour déterminer comment le trafic doit être traité conformément aux politiques de groupe définies.
Les politiques de sécurité sont appliquées en faisant correspondre les balises GBP source et les balises GBP de destination, ce qui permet de prendre des décisions d’application en fonction des relations de groupe plutôt que des adresses IP ou de la topologie du réseau

Cette approche permet aux organisations d’appliquer des stratégies qui reflètent la logique et la structure organisationnelles, plutôt que d’être contraintes par des structures de réseau statiques telles que les VLAN ou les sous-réseaux.

En-tête VXLAN pour GBP

VXLAN-GBP exploite les champs réservés dans l’en-tête VXLAN pour transporter les balises GBP affectées à la trame. La figure suivante est un exemple de champ ID de stratégie de groupe 16 bits .

Figure 2 : En-tête VXLAN pour GBP Structure of a VXLAN packet showing encapsulation layers: Outer MAC, Outer IP, Outer UDP, VXLAN Header with VNI, Original Layer 2 Frame, and FCS.

Structure of a VXLAN packet showing encapsulation layers: Outer MAC, Outer IP, Outer UDP, VXLAN Header with VNI, Original Layer 2 Frame, and FCS.

Défis liés à l’application de la loi

Lorsqu’un paquet est encapsulé au niveau du VTEP source, il inclut la balise GBP du point de terminaison source dans l’en-tête du VXLAN. Les équipements en aval peuvent ainsi savoir qui a envoyé le trafic. La balise GBP du point de terminaison de destination n’est généralement pas incluse dans l’en-tête du VXLAN. Il n’est connu qu’au niveau du VTEP de destination, qui a une connaissance locale du point de terminaison qu’il dessert.

Si un pare-feu ou un moteur de politiques (comme SRX) se trouve au milieu de la fabric, il peut ne voir que la balise source et non la balise de destination, ce qui rend difficile l’application des règles GBP qui dépendent des deux. Dans ce cas, pour appliquer des stratégies basées sur les balises GBP source et de destination, le meilleur endroit est le VTEP de sortie, le commutateur qui connaît le point de terminaison de destination et sa balise de groupe. Cela garantit une application précise des stratégies.

Pour permettre le filtrage basé sur les balises au niveau des appareils entrants ou des passerelles, le réseau doit prendre en charge un mécanisme permettant de partager les informations des balises de groupe pour tous les points de terminaison de la fabric. Exemple : Les routes EVPN de type 5 (routes avec préfixe IP) peuvent transporter des communautés BGP qui incluent des métadonnées de balises GBP. Ce paramètre permet à chaque appareil de la superposition (y compris les pare-feu SRX) d’apprendre les balises GBP de tous les points de terminaison, et pas seulement de ceux connectés localement.

Transfert de balises de groupe dans les réseaux inter-VXLAN

Dans un environnement VXLAN (VXLAN), le flux de trafic entre différents VXLAN (souvent appelés VNI ou identifiants de réseau virtuels) nécessite un traitement spécial car VXLAN est conçu pour étendre les réseaux de couche 2 sur une infrastructure de couche 3. Dans ce cas, l’ID du groupe source doit être conservé dans les tunnels VXLAN pour garantir le maintien des politiques ou des mesures de sécurité associées au groupe tout au long du flux de trafic.

L’illustration suivante illustre le processus de routage du trafic entre différents segments VXLAN (VNI) à l’aide d’une passerelle de couche 3 capable de gérer le trafic encapsulé VXLAN.

Figure 3 : Transfert de balises de groupe dans les réseaux Network topology illustrating VXLAN overlay networking with VLAN to VNI mapping, SRX Firewall, switches, VTEPs, VXLAN tunnels, and traffic flow between endpoint groups.

Network topology illustrating VXLAN overlay networking with VLAN to VNI mapping, SRX Firewall, switches, VTEPs, VXLAN tunnels, and traffic flow between endpoint groups.

inter-VXLAN

Présentation du scénario :

Nécessité d’établir la communication entre l’hôte 1 et l’hôte 4.
L’hôte 1 est situé dans un VXLAN identifié par VNI 1000.
L’hôte 4 est situé dans un autre VXLAN identifié par VNI 2000.
Host1 et Host4 font partie du même groupe de points de terminaison (EPG2).

Flux de trafic et routage inter-VXLAN pour la préservation des balises de groupe source :

Host1 envoie un paquet destiné à Host4. VTEP1 (point de terminaison de tunnel VXLAN 1), associé au VNI (1000) de Host1, reçoit ce paquet. Étant donné que Host4 se trouve dans un autre VXLAN (VNI 2000), VTEP1 transfère le paquet vers la passerelle par défaut pour VNI 1000, qui est la passerelle L3 (pare-feu SRX Series dans cet exemple). Ici, le pare-feu SRX Series peut agir comme un dispositif VTEP pour effectuer l’encapsulation et la désencapsulation.
Remarque : Bien que les équipements SRX Series puissent terminer et réaffecter les tunnels VXLAN, ils n’insèrent pas de balises source GBP. L’insertion de balises GBP est effectuée uniquement par les équipements de branche. Les appareils SRX peuvent lire et évaluer les balises GBP dans les stratégies, mais ils ne peuvent ni les générer ni les affecter. Les filtres de micro-segmentation nécessaires à l’insertion de balises GBP ne sont pas pris en charge sur SRX. Par conséquent, bien que SRX puisse participer au traitement GBP, il ne peut pas fonctionner comme un équipement leaf pour l’attribution de balises GBP.
VTEP1 encapsule le paquet avec des en-têtes VXLAN, y compris l’ID de groupe EPG1 (groupe de terminaisons), qui est un identifiant de métadonnées utilisé pour l’application des stratégies. Le paquet encapsulé est envoyé à la passerelle de couche 3.
La passerelle de couche 3 reçoit le paquet encapsulé par le VXLAN. Il décapsulise le paquet pour examiner la charge utile interne et l’ID du groupe source. La passerelle est chargée d’acheminer le paquet entre différents VNI, dans ce cas, de VNI 1000 à VNI 2000.
La passerelle de couche 3 réencapsule le paquet avec des en-têtes VXLAN pour le transférer à VTEP2 (associé au VNI de Host4, 2000). Il garantit que l’ID de groupe source d’origine (EPG1) est conservé dans l’en-tête VXLAN pendant ce processus de réencapsulation.
Le VTEP2 reçoit le paquet encapsulé de la passerelle de couche 3. Il décapsule le paquet et le livre à Host4 dans VNI 2000.

Pour gérer efficacement le trafic inter-VXLAN avec préservation des balises de groupe, vous devez configurer les routeurs de passerelle pour qu’ils gèrent les processus d’encapsulation et de décapsulation sur les points de terminaison de tunnel (VTEP) VXLAN. Cette configuration est nécessaire pour préserver les balises de groupe source pendant le transit, permettant une application cohérente des stratégies sur les différents segments du réseau.

Communication inter-site ou externe

L’image suivante montre une topologie EVPN-VXLAN spine-and-leaf pour la comparaison entre deux datacenters.

Figure 4 : Communication Network architecture diagram of a spine-leaf topology with VXLAN routing, Layer 3 connectivity via IPSec tunnel, SRX firewalls for security and routing, spine switches as backbone, leaf switches for workload connectivity, VXLAN Tunnel Endpoints marked with purple circles, routing instances as orange rectangles, and workloads connected to access switches.

Network architecture diagram of a spine-leaf topology with VXLAN routing, Layer 3 connectivity via IPSec tunnel, SRX firewalls for security and routing, spine switches as backbone, leaf switches for workload connectivity, VXLAN Tunnel Endpoints marked with purple circles, routing instances as orange rectangles, and workloads connected to access switches.

inter-sites

Dans cette topologie, le pare-feu SRX Series agit comme une passerelle de couche 3 pour le trafic entre les segments VXLAN (c’est-à-dire entre différents sous-réseaux ou VNI). Il établit des tunnels IPsec pour le trafic entre datacenters, assurant ainsi une communication chiffrée entre les sites ou les réseaux externes.

Lorsque le trafic de l’hôte traverse la topologie spine-leaf, le système encapsule d’abord le paquet avec les en-têtes VXLAN. Ensuite, il détermine si une encapsulation supplémentaire (comme IPSec) est nécessaire. Si c’est le cas, le SRX prépare le paquet pour l’étape suivante du tunnel, garantissant ainsi une livraison sécurisée et conforme aux politiques.

Pour plus d’informations sur les GBP, consultez Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN. Pour la configuration des pare-feu SRX Series dans EVPN-VXLAN, voir Inspection des tunnels EVPN-VXLAN par les équipements SRX Series.

Configuration des politiques basées sur les groupes

Pour implémenter efficacement une stratégie de groupe VXLAN, comprenez le processus de configuration des séquences et des options. Cette section présente la séquence de configuration et des exemples relatifs aux stratégies de groupe dans les déploiements EVPN-VXLAN. Assurez-vous que la base de référence EVPN-VXLAN, y compris les configurations underlay et overlay, est correctement configurée et opérationnelle.

Séquences de configuration
Exemples de configuration

Séquences de configuration

Pour mettre en œuvre une GBP efficacement, vous devez :

Définir les balises GBP :
Attribuez des balises GBP, qui sont des identifiants numériques, aux points de terminaison afin de les classer en groupes de sécurité logiques. Ces balises permettent d’appliquer des politiques basées sur l’identité sur l’ensemble du réseau.
- Affectation statique : configurez les balises GBP directement sur les ports du commutateur.
- Attribution dynamique : utilisez l’authentification RADIUS et 802.1X sur les commutateurs pour attribuer des balises GBP en fonction de l’identité de l’utilisateur/de l’appareil lors de la connexion. Voir Attribution de SGT à l’aide de la norme 802.1X dans la micro et macrosegmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN.
Le nombre maximal de balises GBP pouvant être configurées pour la source et la destination est de 128.
Créer des filtres d’attribution de balises GBP : Configurez des filtres sur les commutateurs pour attribuer des balises GBP au trafic entrant. Ces filtres peuvent être basés sur l’interface (port), l’adresse MAC ou les résultats d’authentification de l’utilisateur (par exemple, les attributs RADIUS). Cela garantit que le trafic entrant dans la fabric VXLAN est correctement étiqueté avec son identité de groupe pour l’application des stratégies en aval.
Configurer les filtres d’application des politiques GBP : Développez des stratégies qui appliquent des mesures de sécurité au trafic en fonction des balises GBP attribuées, en contrôlant quel trafic est autorisé ou bloqué pour réaliser la segmentation.
Activer l’encapsulation VXLAN-GBP : Configurez VXLAN pour incorporer la balise GBP dans le champ ID de stratégie de groupe de l’en-tête VXLAN, facilitant ainsi la propagation des balises dans la fabric VXLAN.
Application des politiques GBP aux points d’application : Par défaut, l’application a lieu au commutateur de sortie, où les balises GBP source et de destination sont disponibles. Juniper prend également en charge l’application facultative des balises entrantes, qui nécessite la propagation de la balise de destination vers le point entrant.
Vérifier et surveiller : Utilisez les commandes opérationnelles pour vous assurer que l’attribution des balises GBP, l’application des politiques et l’encapsulation VXLAN fonctionnent correctement, en confirmant que les politiques sont appliquées comme prévu.

Exemples de configuration

La configuration des GBP diffère selon que vous utilisez un overlay CRB (Centrally Routed and Bridging) ou un overlay Edge Routed and Bridging. Pour plus de détails, voir Micro et macro segmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN.

Sur un commutateur d’accès ou agrégé

Configurez un filtre de pare-feu nommé « TEST-1 » avec des capacités de micro-segmentation. Spécifiez une condition pour le terme « t1 » dans le filtre. Il correspond au trafic IPv4 et au trafic IPv6 provenant du sous-réseau 20.20.20.0/24 et 2000 ::/64 respectivement. Définissez ensuite l’action pour le trafic qui correspond aux conditions spécifiées dans le terme « t1 ». Dans ce cas, un « gbp-tag » (balise de politique basée sur un groupe) d’une valeur de 200 est appliqué au trafic correspondant.

Configurer l’application des politiques GBP. Les paquets avec l’étiquette source GBP 100 et l’étiquette de destination GBP 200 correspondront aux termes t100-200 et seront acceptés. Les paquets avec la balise source GBP 100 et la balise de destination GBP 300 correspondront aux termes t100-300 et seront ignorés.

Activez l’instruction suivante pour appliquer la stratégie au niveau du nœud entrant.
L’application des droits entrants économise de la bande passante réseau en éliminant les paquets étiquetés à l’entrée qui seraient autrement rejetés à la sortie. Pour prendre en charge l’application des stratégies à l’entrée ou à proximité de celle-ci, nous propageons les balises MAC et IP-MAC sur le réseau à l’aide de communautés BGP étendues au sein des routes EVPN de type 2 et de type 5. Pour plus d’informations, consultez la section Application des stratégies dans la section Propagation des balises entrantes et de micro et macrosegmentation à l’aide d’une stratégie basée sur les groupes dans un VXLAN.
Associez le filtre GBP à une instance de routage. Dans l’instance de routage, configurez la balise de source d’entrée GBP EVPN-VXLAN pour utiliser le TEST-1 filtre.
Sur l’interface ge-0/0/1, unité 0, la chaîne TEST-1 de filtrage est appliquée, ce qui garantit que la balise GBP source est poussée dans l’en-tête du paquet.

Sur le pare-feu SRX Series

Une politique zone-pol1 de sécurité est établie d’une trust zone à l’autre untrust .

La stratégie fait correspondre le trafic avec les nombreux critères, notamment la balise GBP source : 200. Si le trafic correspond à tous ces critères, la stratégie autorise le flux :

Vérifiez les détails des politiques sur le pare-feu :