Cas d'utilisation
RÉSUMÉ Cet exemple de configuration réseau (NCE) montre comment utiliser le transfert basé sur les filtres (FBF) pour rediriger des flux réseau dans un environnement EVPN-VXLAN. Par exemple, vous pouvez envoyer le trafic via une pile de sécurité pour une inspection de sécurité avancée à la demande, ou vous pouvez utiliser la méthode pour effectuer un partage de charge pour les flux à travers un pare-feu.
Notez que bien que cet exemple soit construit sur une structure EVPN-VXLAN, afin de nous concentrer sur le FBF, nous n’entrerons pas dans les détails de la structure.
Aperçu
Dans les déploiements de datacenters sécurisés, la macro-segmentation est mise en uvre en redirigeant tout le trafic inter-VLAN à travers un pare-feu. Bien que cela réponde aux exigences de sécurité, cela présente d’autres lacunes :
- Le pare-feu doit être évolutif pour gérer tout le trafic inter-VLAN.
- Elles peuvent ajouter de la latence au trafic inter-VLAN,
- Elle exige que tout le trafic inter-VLAN soit inspecté, même pour les flux qui ne nécessitent pas de sécurité avancée.
En revanche, l’inspection de sécurité très demandée présentée dans ce NCE est conçue de telle sorte que seuls les flux (par exemple, les macro-segmentations) qui nécessitent une inspection avancée soient acheminés à travers le pare-feu, tandis que tous les autres flux de trafic inter-VLAN sont gérés dans la structure. Il y a plusieurs avantages évidents à gérer le trafic de cette manière :
- Vous pouvez cibler pour inspection uniquement les flux qui en ont besoin, et vous pouvez activer ou désactiver les flux vers le service selon les besoins,
- Étant donné que seuls les flux ciblés pour une inspection avancée sont acheminés à travers le pare-feu, la ressource est utilisée plus efficacement.
- Les flux qui n’ont pas besoin d’une sécurité avancée ne sont pas soumis à une latence supplémentaire.
Le FBF inter-VLAN vous permet de contrôler la sélection du saut suivant pour les flux en définissant des filtres de paquets d’entrée de couche 3, qui examinent l’en-tête du paquet et choisissent l’action de filtrage sur la base d’une instance de routage. Les paquets qui passent par le filtre sont comparés à un ensemble de règles pour les classer et déterminer leur appartenance à un ensemble. Les paquets classés sont transférés à une table de routage que vous spécifiez dans l’action de filtrage, qui les transmet ensuite au tronçon suivant tel que défini pour l’entrée d’adresse de destination. Le filtre lui-même est appliqué sur la même interface IRB de couche 3 que le routage VXLAN.
Flux de trafic normaux pour le trafic intra-VRF Inter-VLAN
Le chemin pour le trafic inter-VLAN dans Tenant1_VRF qui ne nécessite pas de sécurité avancée et ne passe donc pas par le pare-feu. Le flux de trafic s’effectue entre le point de terminaison 11 et le point de terminaison 41, qui appartiennent à des VLAN différents faisant partie de la même instance de routage, comme Tenant1_VRF. Les routes hôtes de type 5 fournissent le routage IRB inter-VLAN symétrique entre ces points de terminaison.
Pour l’illustration, supposons ce qui suit :
- Les VLAN 110 et 111 font partie de Tenant1_VRF
- Le VLAN 112 fait partie de Tenant2_VRF
Les points de terminaison des mappages VLAN sont les suivants :
- Point de terminaison 11 à VLAN 110
- Point de terminaison 21 à VLAN 111
- Point de terminaison 31 à VLAN 112
- Point de terminaison 41 à VLAN 111
Les flux de trafic entre les points de terminaison sont les suivants :
- Le trafic entre le point de terminaison 11 et le point de terminaison 41 ne nécessite pas d’inspection de sécurité
- Le trafic entre le point de terminaison 21 et le point de terminaison 41 ne nécessite pas d’inspection de sécurité
- Vous souhaitez inspecter le trafic du point de terminaison 11 au point de terminaison 21 (ce trafic doit donc être acheminé à travers le pare-feu)
- Le trafic entre les points de terminaison dans Tenant1_VRF et Tenant2_VRF suit le modèle traditionnel de macro-segmentation Inter-VRF, c’est-à-dire que tout le trafic Inter-VRF est acheminé à travers le pare-feu
Flux de trafic inspecté pour le trafic intra-VRF Inter-VLAN
La figure ci-dessous illustre la topologie utilisée dans ce RCE. Le scénario est que le point de terminaison 21 est un serveur sur lequel des informations sensibles sont stockées et auquel le point de terminaison 11 se connecte. L’administrateur réseau souhaite sécuriser l’accès au serveur et a configuré une inspection de sécurité avancée sur le trafic passant au serveur à partir du point de terminaison 11.
Une instance VRF (Virtual Routing and Forwarding), appelée Tenant1_VRF, est configurée avec deux VLAN, le VLAN 110 et le VLAN 111. Le point de terminaison 11 fait partie du VLAN 110. Le point de terminaison 21 fait partie du VLAN 111.
Le trafic entre les points de terminaison est bidirectionnel et le pare-feu est dynamique. Par conséquent, le routage sur le réseau doit être (et est) symétrique. Pour cela, nous créons deux nouveaux VRF :
- INSPECT_VRF
- Nous utilisons le VRF INSPECT pour acheminer le trafic non inspecté du point de terminaison 11 au point de terminaison 21 à travers le pare-feu. De même, le pare-feu place le trafic renvoyant du point de terminaison 21 au point de terminaison 11 dans ce VRF
- Pour rediriger le trafic correspondant vers INSPECT VRF, le filtre de pare-feu est appliqué à l’interface IRB.110 sur le Leaf-1
- Le pare-feu annonce une route par défaut dans INSPECT VRF
- Leaf-1 annonce une route hôte pour le point de terminaison 11 vers le pare-feu
- SECURE_VRF
- Nous utilisons le VRF SECURE pour acheminer le trafic inspecté du pare-feu jusqu’au point de terminaison 21. Le trafic de retour du point de terminaison 21 est redirigé vers le pare-feu via SECURE VRF
- Un filtre de pare-feu appliqué à l’interface IRB.111 sur Leaf-2 redirige le trafic correspondant vers SECURE VRF
- Le pare-feu annonce une route par défaut dans SECURE VRF
- Leaf-2 annonce une route hôte pour le point de terminaison 21 vers le pare-feu
