SUR CETTE PAGE
Configuration des stratégies de sécurité à l’aide du groupe VRF
Aperçu
Dans un réseau SD-WAN, lorsque différents trafics VRF pénètrent dans l’équipement à partir du même tunnel tel que GRE ou GE, l’équipement applique une stratégie en fonction de l’instance VRF donnée. L’appareil autorise ou refuse le trafic destiné à une instance VRF particulière pour contrôler le trafic VRF.
À l’heure actuelle, il existe 5 conditions correspondantes pour chaque police :
De la zone
Vers la zone
Adresse source
Adresse de destination
Applications
La figure 1 montre les conditions de correspondance dans une stratégie.
de correspondance
Avec les conditions de correspondance de stratégie actuelles, vous ne pouvez pas autoriser VRF-B1 ou VRF-B2 et refuser VRF-A1 ou VRF-A2. Pour ce faire, des conditions de correspondance supplémentaires sont ajoutées à la stratégie dans le réseau SD-WAN à l’aide du groupe VRF.
Lorsque le flux reçoit les informations des groupes VRF source et de destination, il transmet les informations à l’API de recherche de stratégie avec les informations du tuple de clé de stratégie pour répondre aux conditions de correspondance.
La figure 2 montre les groupes VRF ajoutés en tant que condition de correspondance dans une stratégie.
VRF
Si les informations du groupe VRF source et de destination ne sont pas spécifiées dans une stratégie, cela signifie que ces groupes correspondent au any groupe VRF.
Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser le trafic VRF d’un réseau MPLS vers un réseau IP à l’aide d’un groupe VRF source
Cet exemple montre comment configurer une stratégie de sécurité pour autoriser et refuser le trafic à l’aide du groupe VRF source.
Exigences
Comprendre comment créer une zone de sécurité. Reportez-vous à la section Exemple : Création de zones de sécurité .
Pare-feu SRX Series pris en charge avec Junos OS version 15.1X49-D170 ou ultérieure. Cet exemple de configuration est testé pour Junos OS version 15.1X49-D170.
Configurez les interfaces réseau sur l’appareil. Reportez-vous au Guide d’utilisation des interfaces pour les équipements de sécurité.
Aperçu
Dans Junos OS, les stratégies de sécurité appliquent des règles pour le trafic de transit, c’est-à-dire le trafic qui peut passer par le périphérique et les actions qui doivent être effectuées sur le trafic lorsqu’il traverse le périphérique. Sur la Figure 3, un pare-feu SRX Series est déployé dans un SD-WAN pour contrôler le trafic à l’aide du groupe VRF source. Le trafic du réseau MPLS GRE est envoyé vers les sites A et B du réseau IP. Conformément aux exigences du réseau, le trafic du site A doit être refusé et seul le trafic du site B doit être autorisé.
MPLS
Cet exemple de configuration montre comment :
Refuser le trafic depuis vpn-A (depuis GRE MPLS)
Autoriser le trafic à partir de vpn-B (à partir de GRE MPLS)
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match application any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy then deny set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match application any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Créer un groupe VRF vpn-A avec les instances VRF A1 et A2
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2
Créer un groupe VRF vpn-B avec les instances VRF B1 et B2
[edit security] user@host# set l3vpn vrf-group vpn-B vrf VRF-B1 user@host# set l3vpn vrf-group vpn-B vrf VRF-B2
Créez une stratégie de sécurité pour refuser le trafic vpn-A.
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then deny
Créez une politique de sécurité pour autoriser le trafic vpn-B.
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match source-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show security policies commandes et show routing-instances . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security policies
from-zone GRE_Zone to-zone GE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group vpn-A;
}
then {
deny;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la configuration de la stratégie
But
Vérifier les informations sur les politiques de sécurité.
Action
À partir du mode opérationnel, entrez la show security policies commande pour afficher un résumé de toutes les stratégies de sécurité configurées sur l’appareil.
user@root> show security policies
Default policy: permit-all
From zone: GRE_Zone, To zone: GE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: vpn-A
destination L3VPN vrf-group: any
Source addresses: any
Destination addresses: any
Applications: any
Action: deny
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: vpn-B
destination L3VPN vrf-group: any
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Exemple : Configuration d’une stratégie de sécurité pour autoriser ou refuser le trafic VRF d’un réseau IP vers un réseau MPLS à l’aide d’un groupe VRF de destination
Cet exemple montre comment configurer une stratégie de sécurité pour autoriser et refuser le trafic à l’aide du groupe VRF source.
Exigences
Comprendre comment créer une zone de sécurité. Reportez-vous à la section Exemple : Création de zones de sécurité.
Pare-feu SRX Series pris en charge avec Junos OS version 15.1X49-D170 ou ultérieure. Cet exemple de configuration est testé pour Junos OS version 15.1X49-D170.
Configurez les interfaces réseau sur l’appareil. Reportez-vous au Guide d’utilisation des interfaces pour les équipements de sécurité.
Aperçu
Dans Junos OS, les stratégies de sécurité appliquent des règles pour le trafic de transit, c’est-à-dire le trafic qui peut passer par le périphérique et les actions qui doivent être effectuées sur le trafic lorsqu’il traverse le périphérique. Sur la Figure 4, un pare-feu SRX Series est déployé dans un SD-WAN pour contrôler le trafic utilisant le groupe VRF de destination. Le trafic du réseau IP est envoyé vers les sites A et B du réseau MPLS GRE. Conformément aux exigences du réseau, le trafic du site A doit être refusé et seul le trafic du site B doit être autorisé.
Cet exemple de configuration montre comment :
MPLS
Refuser le trafic vers vpn-A (vers GRE MPLS)
Autoriser le trafic vers vpn-B (vers GRE MPLS)
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy then deny set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy then permit
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Créer un groupe VRF vpn-A avec les instances VRF A1 et A2
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2
Créer un groupe VRF vpn-B avec les instances VRF B1 et B2
[edit security] user@host# set l3vpn vrf-group vpn-B vrf VRF-B1 user@host# set l3vpn vrf-group vpn-B vrf VRF-B2
Créez une stratégie de sécurité pour refuser le trafic vpn-A.
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then deny
Créez une politique de sécurité pour autoriser le trafic vpn-B.
[edit security policies from-zone LAN-b_Zone e to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show security policies commandes et show routing-instances . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security policies
from-zone LAN-a_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A;
}
then {
deny;
}
}
}
from-zone LAN-b_Zone to-zone GRE_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la configuration de la stratégie
But
Vérifier les informations sur les politiques de sécurité.
Action
À partir du mode opérationnel, entrez la show security policies commande pour afficher un résumé de toutes les stratégies de sécurité configurées sur l’appareil.
user@root> show security policies
Default policy: permit-all
From zone: LAN-a_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN vrf-group: vpn-A
Source addresses: any
Destination addresses: any
Applications: any
Action: deny
From zone: LAN-b_Zone, To zone: GRE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN vrf-group: vpn-B
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Gestion des VPN qui se chevauchent à l’aide d’un groupe VRF
Lorsqu’il y a deux sessions dans un réseau L3VPN, pour éviter tout conflit entre les deux sessions, l’ID de groupe VRF est ajouté à la clé de session en tant que clé supplémentaire pour différencier les sessions.
Dans la Figure 5 , le réseau1 et le réseau3 sont regroupés dans le groupe VRF A du réseau L3VPN, et les réseaux2 et 4 sont regroupés dans le groupe VRF B. Les sessions utilisent le VRF groupe A et le VRF groupe B comme facteurs de différenciation.
VRF
Réseau L3VPN 1 et 3 sessions |
Session réseau L3VPN 2 et 4 |
||
|---|---|---|---|
(Vers l’avant) |
(Inverser) |
(Vers l’avant) |
(Inverser) |
5-tuple : x/y/sp/dp/p |
5-tuple : y/x/dp/sp/p |
5-tuple : x/y/sp/dp/p |
5-tuple : y/x/dp/sp/p |
Jeton : GRE1 (zone_id+VR_id) + ID de groupe VRF (A) |
Jeton : GRE1 (zone_id+VR_id) + ID de groupe VRF (B) |
Jeton : GRE1 (zone_id+VR_id) + ID de groupe VRF (A') |
Jeton : GRE1(zone_id+VR_id) + ID de groupe VRF (B') |