Exemple : transfert basé sur des filtres entre VLAN

Topologie

Ce NCE décrit une structure EVPN-VXLAN composée de quatre commutateurs de branche serveur, de deux commutateurs underlay spine, de deux commutateurs de branche de service et d’un pare-feu.

Nœuds de cœur de réseau

• Commutateurs QFX5120-32C Series exécutant Junos version 20.2R2

Branche serveur

• Commutateurs QFX5120-48Y Series exécutant Junos version 20.3R1

Branche de service

• Commutateurs QFX5120-32C Series exécutant Junos version 20.2R2

Pare-feu

• Passerelle de services SRX 4200 exécutant Junos version 20.1R2

Dans la configuration suivante, nous connectons le point de terminaison 11 à la branche 1 du serveur. Nous créons également une nouvelle instance de routage, INSPECT_VRF, et la configurons pour l’exportation et l’importation de routes de type 5 avec Service Leaf-1 et Service Leaf-2. Nous utilisons le transfert basé sur des filtres pour rediriger le trafic du terminal 11 vers le terminal12 vers le INSPECT_VRF.

1. Sur la branche 1 du serveur, configurez l’instance de routage INSPECT_VRF :

2. Ajoutez un routage statique pour le terminal 11 qui pointe vers Tenant1_VRF :

3. Le Inspect_VRF doit annoncer une route d’hôte statique de type 5 pour le terminal 11 afin que le pare-feu puisse recevoir le trafic. Le pare-feu doit également annoncer un routage par défaut pour la branche 1 :

4. Nous devons maintenant configurer un filtre de pare-feu pour la branche 1. Le filtre fait correspondre le trafic du terminal 11 au terminal 21 et redirige ces paquets vers le INSPECT_VRF. Tous les autres trafics sont routés comme d’habitude dans le Tenant1_VRF :

5. Sur la branche 1, nous devons appliquer le filtre de pare-feu au trafic VLAN 110 pendant qu’il traverse IRB.110 (il s’agit de l’interface connectée au terminal 11) :

1. Sur la branche 2 du serveur, configurez l’instance de routage INSPECT_VRF :

2. Configurez un routage statique pour le terminal 21 qui pointe vers Tenant1_VRF :

3. À l’intérieur du SECURE_VRF, nous devons proposer un routage hôte statique de type 5 pour le terminal 21 afin que le pare-feu puisse recevoir le trafic. Le pare-feu doit également annoncer un routage par défaut pour la branche 2 :

4. Comme auparavant, nous devons maintenant configurer un filtre de pare-feu pour la branche 2. Cette fois, le filtre fait correspondre le trafic du terminal 21 au terminal 11 et redirige ces paquets vers le SECURE_VRF. Tous les autres trafics sont routés comme d’habitude dans le Tenant1_VRF :

5. Enfin, sur la branche 2, nous devons appliquer le filtre de pare-feu au trafic VLAN 111 pendant qu’il traverse IRB.111 (il s’agit de l’interface connectée au terminal 21).

La branche de service-1 comprend à la fois les instances de routage INSPECT_VRF et SECURE_VRF, et elle connecte la branche de service et le pare-feu, comme le montre la figure suivante. L’interface IRB.991 est dans le VRF INSPECT et l’interface IRB.992 dans le VRF SÉCURISÉ.

Dans les deux instances de routage, la branche de service établit l’appairage EBGP avec le pare-feu, à partir duquel elle reçoit un routage par défaut. Service Leaf-1 annonce les routes par défaut vers les leafs de serveur à l’aide du type 5, puis reçoit des routes hôtes spécifiques pour les points de terminaison 11 et 21, qu’elle annonce ensuite au pare-feu à l’aide d’EBGP.

1. La connexion de la branche de service au pare-feu est un port de liaison qui contient VLAN 991 et VLAN 992, chacun avec un IRB. comme illustré ici :

2. Nous devons configurer les instances de routage sur Service Leaf-1 :

3. Nous devons également configurer les déclarations de stratégie sur Service Leaf-1 :

La configuration sur Service Leaf-2 est similaire à la configuration Service Leaf-1.

1. Ici, nous avons configuré l’interconnexion de pare-feu Service Leaf-2 :

2. Ici, nous avons configuré les instances de routage sur Service Leaf-2 :

3. Enfin, nous avons défini les déclarations de stratégie sur Service Leaf-2 :

Les interfaces de pare-feu sont configurées en tant qu’interfaces balisées VLAN. Il établit deux sessions EBGP avec chaque branche de service, comme illustré en figure 2.

Figure 2 : Configuration du pare-feu

1. Ici, nous avons configuré l’interconnexion de branche de service pare-feu 1 illustrée dans l’image, ainsi que l’appairage BGP et l’exportation de route :

2. Maintenant, nous devons configurer les zones et les stratégies pour le pare-feu 1. Nous avons placé le trafic traversant l’interface logique 991 dans le INSPECT_Zone, et le trafic traversant l’interface logique 992 dans le SECURE_Zone.

3. Pour restreindre la communication entre le terminal 11 et le terminal 21 uniquement à des protocoles spécifiques (Ping, HTTPS, SSH et UDP pour prendre en charge le routage de trace à partir des serveurs), nous créons des stratégies de sécurité pour le trafic entre le INSPECT_Zone et SECURE_Zone :

4. Vous définissez une stratégie qui accepte tout le trafic de la zone SECURE à la zone INSPECT :

Vérification

Les commandes et les résultats de cette section valident que la FBF fonctionne correctement pour le trafic entre EP11 et EP21.

1. Générez des pings entre EP11 et EP21. Pendant que les pings circulent, d’abord effacer, puis afficher les compteurs de pare-feu sur les leafs 1 et 2 :

   La sortie de la branche 1 confirme que le trafic ping BMS atteint le filtre SecureTraffic et le terme de pare-feu qui redirige le trafic vers le INSPECT_VRF. Des résultats similaires sont notés sur Leaf2 pour le filtre SecureResponseTraffic qui oriente les réponses vers le SECURE_VRF.

2. Affichez les informations du flux de sécurité sur l’équipement SRX :

   La sortie confirme que le trafic ping BMS est en cours d’inspection par le pare-feu. Cela confirme que la FBF dirige le trafic envoyé par EP11 vers EP21 de la branche vers la branche de service, et de là vers l’équipement de pare-feu.

3. Tracez le chemin entre EP11 et EP21. Vous vous attendez à voir des sauts de transfert sous-jacents à travers l’équipement de pare-feu.

   Les résultats sont illustrés en figure 3

   Note: Le trafic de l’EP11 est encapsulé dans VXLAN et envoyé de la branche 1 à la branche de service. La branche de service décapite le trafic et l’achemine en tant qu’ADRESSE IP native vers l’équipement de pare-feu, ce qui permet d’exposer les sauts sous-jacents dans la sortie du routage de trace.
   Figure 3 : tracé EP11 à EP21 avec FBF

   Le routage de suivi d’EP11 (BMS 1) indique les sauts de transfert de fabric supplémentaires utilisés pour diriger le trafic à travers le pare-feu. Dans la sortie, les sauts 1 et 6 représentent les interfaces IRB de la branche 1 et de la branche 2, respectivement. Le saut 10.81.91.2, dans le contrat, représente l’interface irb.991, hébergée dans le INSPECT_VRF, sur la branche de service 1. Ces résultats ajoutent une confirmation supplémentaire que le trafic EP11 vers EP21 est correctement dirigé via le pare-feu.

4. Désactiver le filtre de pare-feu appliqué à l’interface IRB à la fois à la branche 1 et à la branche 2. Assurez-vous de valider les modifications.

   Répétez le tracé entre EP11 et EP21. Les résultats sont illustrés en figure 4

   Figure 4 : tracé EP11 à EP21 sans FBF

   La sortie du chemin de trace montre qu’avec le filtre a désactivé les flux de trafic EP11 vers EP21 directement entre les interfaces IRB dans les équipements de branche. Avec la FBF, les feuilles de service et les équipements de pare-feu ne sont plus dans le chemin de transfert entre ces points de terminaison.

Configuration pour le cœur de réseau 1

Configuration pour la branche 2 du serveur :