Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの
 

例:グループベースのポリシーを使用したマイクロおよびマクロのセグメント化をVXLAN

 まとめVXLAN-GBP

概要

マイクロセグメンテーションやマクロセグメンテーションを実現し、データやアセットのセキュリティを確保するために、グループ ベース VXLAN(GBP)を使用します。VXLAN-GBP は、VXLAN ヘッダーの予約済みフィールドを利用して拡張性に優れたグループ タグ(SGT)として使用することで機能します。このフィールドをファイアウォール フィルター ルールの一致条件として使用できます。SGT を使用する方が、ポートや MAC アドレスを使用するよりも堅牢で、同様の結果が得られます。SGは静的に割り当てできます(ポート単位または MAC ベースでスイッチを設定するか、RADIUSサーバー上でスイッチを設定し、ユーザーが認証されると802.1Xを経由してスイッチにプッシュできます。

VXLAN-GBP によるセグメンテーションは、キャンパス VXLAN 環境で特に役立ちます。これは、基礎となるネットワーク トポロジーに依存しないネットワーク アクセス ポリシーを作成する実践的な方法を提供します。ネットワークアプリケーションとエンドポイントデバイスのセキュリティポリシーを開発する設計と実装のフェーズを簡素化します。

VXLAN-GBP 標準の詳細については、 RFC IEEE I-D.draft-smith-vxlan-group-policy をご覧ください。この例では、図に示すように、VXLAN-GBP では VXLAN ヘッダーの予約フィールドをスケーラブル グループ タグとして活用します。

図 1:VXLAN ヘッダー フィールド

VXLAN-GBP でスイッチ

1 の 表は、サポートの提供時の Junos リリースに基づいて VXLAN-GBP をサポートするスイッチの詳細を示しています。

表 1: VXLAN-GBP でサポートスイッチ
Junos リリース VXLAN-GBP でサポートスイッチ

最初のリリースJunos OS 21.1R1 から

EX4400-24P、EX4400-24T、EX4400-48F、EX4400-48P、EX4400-48T

リリース 21.4R1 Junos OSから

QFX5120-32C、QFX5120-48T、QFX5120-48Y、QFX5120-48YM、EX4650、EX4650-48Y-VC

特定のサーバーへのSG RADIUS割り当て

この例では、RADIUSサーバーでSGTSを設定し、EX4400で802.1Xアクセス コントロールを使用してアクセスを受信します。RADIUS サーバーは、アクセス コントロールや VLAN の割り当ての制御など、キャンパス環境で一般的に使用されます。

RADIUSサーバーでのSGTの使用に対応するには、AAAサービスフレームワークによってサポートされているベンダー固有の属性(VSA)を活用する必要があります(これらのVSAは、標準のRADIUSリクエスト返信メッセージの一部として送信され、SGTなどの実装固有の情報を処理するために組み込みの拡張を提供します)。サーバーのサーバーに正確RADIUS構文は、認証スキームが MAC ベースか EAP ベースかによって異なります。MACベースのクライアントの場合、設定は次のように表示されます。

EAP ベースのクライアントの場合、SGT は認証時RADIUSサーバーからプッシュされます。設定は次のように表示されます。

Junos リリース 21.1R1 から、EX4400 スイッチは、VXLAN-GBP で使用する新しい一致条件を適用します。これにより、ファイアウォールは RADIUS サーバーで通過し、VXLAN ヘッダーに挿入された SGT タグを認識できます。

この仕組みについては、次のコード サンプルをご覧ください。GBP ファイアウォール ポリシーは、送信元と宛先の GBP タグに基づいてフレームされます。送信元タグは受信パケットの VXLAN ヘッダーの 16 ビット フィールドで、宛先タグは設定されたタグの割り当てに従ってエグレス トンネル エンドポイントから取得されます。

次に示す設定のエグレス エンド ポイントを設定するとします。送信元送信元からのMAC アドレス 00:01:02:03:04:10:10 タグ 100 00:01:02:03:04:20:20 が割り当てされ、送信元パケットには 200 MAC アドレス割り当てられます。

GBP タグ 100 00:01:02:03:04:10:10(gbp-dst-tag) で宛先 MAC アドレス が設定されたパケットの場合、宛先グループ タグは 100 で、語で一致しますt10-100。同様に、GBP タグ 100 00:01:02:03:04:20:20で宛先 MAC アドレス が設定されたパケットの場合、宛先グループ タグは 200 で、語と一致しますt10-200

送信元タグをソース タグにマップMAC アドレス使用したのと同じタグの割り当ても、宛先タグMAC アドレスマップするために使用されます。ポートベースの割り当てにも当てはまるのです

今回は、GBP ソース タグ 300 を使用し、パケット イングレス インターフェイスを使用して、別のコード サンプルを見て見ていですか ge-0/0/30.0。以下に示す通り、GBP ソース タグ 300 が割り当てされ、エグレス方向に 300 が GBP の宛先グループ タグになります。

イングレス スイッチがエグレス スイッチで使用されているグループ タグを知る方法はないため、エグレス スイッチで GBP ファイアウォール フィルタを設定する必要があります。さらに、イングレス ノードでグローバルで VXLAN-GBP を有効にする必要があります。そのため、一致を検索して、VXLAN ヘッダーに SGT を追加し、エグレス ノードに追加することもできます。この操作は、次に示す設定コマンドで実行します。

ルールを作成する前に、すべてのエンドポイント(ユーザーとデバイス)と割り当てられた SGT 値の表を作成することで、スキームを整理すると役に立ちます。ここには、後でマトリックスに適用されるテーブルの値を示します。このテーブルを使用して、論理をさらに簡素化し、ルールを明確にできます。

表 2:エンドポイントとその SGT 値

エンドポイント

割り当てられた SGT 値

永久従業員(PE)

100

請負業者(CON)

200

セキュリティ スタッフ(SS)

300

セキュリティ Cam(CAM)

400

エンジニアリング サーバー(ES)

500

RADIUS サーバーとSGTS、EX4400 と VXLAN のパケット ヘッダー、およびアクセス ポリシーを管理する中央ファイアウォール フィルタの間の関係によって、マトリクスが値を整理する便利な方法になります。次の表では、最初の行の最初の列とデバイス タイプの下にユーザー ロールをリストして、アクセス マトリクスを作成します。各ユーザー ロールとデバイス タイプには SGT が割り当てRADIUS設定が情報に更新されています。

この例では、3 種類の従業員(PE)、請負業者(CON)、セキュリティ スタッフ(SS)を使用しています。Eng Server(ES)と CAM(セキュリティ カメラ)という 2 種類のリソースも使用します。 Y を使用して アクセスが許可され、 N を使用してアクセスがブロックされた場合に表示されます。この表は、ポリシー内でさまざまなファイアウォール ルールを作成する際の有用なリソースとして機能し、アクセス マッピングをシンプルかつ明確にします。

表 3:アクセス マトリクス
  ES(SGT 500) CAM(SGT 400) PE(SGT 100) CON(SGT 200) SS(SGT 300)
PE(SGT 100) Y N Y Y N
CON(SGT 200) N N Y N N
SS(SGT 300) N Y N N Y

トポロジ

簡素化のために、この例ではすべての設定を単一の EX4400 シリーズ スイッチジュニパー実行して、Junos OS リリース 21.1R1 で実行しています。スイッチはサーバーに接続RADIUSし、AAA。この例では、このスイッチはエグレスとして機能します。通常はアクセス レイヤーのイングレス ゲートウェイで行うのに対し、VXLAN SGTS ではエグレス スイッチでファイアウォールを定義する必要があります。

図 2:ex4400 スイッチVXLAN GBP をサポート VXLAN GBP on a EX4400 switch

要件

VXLAN-GBP は、EX4400-24P、EX4400-24T、EX4400-48F、EX4400-48P、EX4400-48T の Junos OS リリース 21.1R1 でサポートされています。この例でEX4400スイッチについて検討します

Junos リリース 21.4R1 から、VXLAN-GBP は次のスイッチでもサポートされています。 QFX5120-32C、QFX5120-48T、QFX5120-48Y、QFX5120-48YM、EX4650、EX4650-48Y-VC。

構成

上記の段落に示した、VXLAN-GBP ベースのセグメンテーションの基礎となる一連のイベントを、以下のようにまとめすることができます。

  • ユーザーはネットワークにログオンし、サーバーによってRADIUS認証されます(このSGTS がすべてのエンドポイントに対して設定されています)。
  • ファイアウォール フィルターを使用して、EX4400 は 802.1X 認証または MAC アドレス に基づいてトラフィックを選択し、一致するフレームにグループ タグを割り当めます。(dot1x 認証クライアントの場合、静的ファイアウォール設定は必要とされません)。この仕組みは、以下のようにファイアウォール ポリシーを使用して実行されます
  • EX4400 を通過するタグ付きトラフィックは、ファイアウォール フィルターメカニズムを使用して、SGT 値に基づいて再び評価されます。これを実行chassis forwarding-options vxlan-gbp-profilegbp-dst-tag するには、まずスイッチで有効にする必要があります。次に、 および/gbp-src-tag またはの一致条件を使用してファイアウォール ルールを記述し、GBP マイクロセグメンテーションに使用するエグレス スイッチの ルーティング ポリシー にルールを含める必要があります。

VXLAN GBP 向け EX4400 スイッチのスタンドアロン ジュニパー設定

以下のコマンドを使用して、VXLAN環境で VXLAN-GBP セグメンテーションを設定します。通常、アクセス レイヤーの(エグレス)VXLAN ゲートウェイとして機能するファイアウォール フィルター ルールをスイッチ上に作成しますが、簡素化のために、ファイアウォール フィルター ルールと RADIUS サーバー(EAP)の両方に同じスタンドアロン EX4400 を使用します。この例で使用する値は、前の表から得られます。

以下のコマンドには、プロファイル名や IP アドレスなどの変数が含まれています。これらの変数は、テスト環境に合わせて適応させる必要があります。

  1. radius サーバーを設定します。
  2. 物理ポートを設定して、物理RADIUSにします。
  3. サーバーに SGT タグをRADIUSします。
  4. スイッチVXLANで VXLAN-GBP を有効にします。
  5. SGT を利用するファイアウォール フィルター ルールを作成します(マトリクスで整理された値を使用します)。
  6. コミット チェックを実行してJunosコマンドと使用した変数が有効か確認します。設定に問題がなされた場合、受験者の設定をコミットしてデバイスでアクティブにします。これらのコマンドは次のとおりです。また、 を入力して構成を確認できます run show configuration