概要
グループベースのポリシー(GBP)を使用して、マイクロセグメンテーションをサポートします。
ネットワーキングの文脈におけるマイクロセグメンテーションとは、きめ細かなネットワークアクセスポリシーときめ細かなネットワークアクセス制御のサポートを指します。ネットワークをより小さな分離されたセグメントに分割し、個々のセキュリティポリシーで制御します。マイクロセグメンテーションは、ファイアウォールによって提供される境界セキュリティを強化し、ネットワーク内の水平方向の脅威を封じ込めるのに特に役立つテクニックとなります。
ジュニパーネットワークスグループベースポリシー(GBP)実装では、クライアントを概念的にグループに分割できるため、有線クライアントと無線クライアントのマイクロセグメンテーションをサポートします。次に、異なるクライアントグループに適用する異なるポリシーを作成します。ポリシーの適用は、MACやIPアドレスなどのACLで使用される従来のネットワーク構成には結び付けられていません。同じVLAN内またはVLAN間、または同じスイッチ内またはスイッチ間で、ネットワーク上の場所を参照することなく、同じセキュリティポリシーをユーザーに適用できます。GBPによるポリシー適用は、物理ネットワーク内のクライアントの配置場所に依存せず、場所に依存しません。
GBPは、スケーラブルグループタグ(SGT)に基づくポリシーを適用します。これは、CLI設定を通じて静的に、またはRADIUS認証を通じて動的に個々のクライアントに割り当てます。タグに基づいてポリシーを作成すると、クライアントがネットワークロケーションから切り離されます。つまり、ACLやファイアウォールルールとは異なり、SGTはロケーションに依存せず、モビリティを自然にサポートするということです。クライアントが別のネットワーク接続ポイントに変更されたからといって、GBPポリシーが変更されることはありません。これにより、ネットワークセキュリティ管理が簡素化され、クライアントがどこにいても、シームレスな接続と一貫したポリシーの適用が可能になります。さらに、GBPベースのマイクロセグメンテーションは、GBPポリシーが個々のクライアントとその無数の接続ではなく、グループに適用されるため、拡張性に優れています。
別のネットワークインフラストラクチャでGBPを有効にすることもできますが、EVPN-VXLANネットワーク上で実行した場合に最大のメリットが得られます。これは、GBPタグ( 図1のグループポリシーIDとして表示)が、VXLANフレーム内のデータとともに帯域内で伝送されるためです。これにより、リモートエンドのスイッチは、ユーザーデータに関連付けられたGBPタグを確認し、このタグに基づいてポリシーを適用できます。(GBPを使用する場合のVXLANヘッダー構造の詳細については、 I-D.draft-smith-vxlan-group-policy を参照してください。VXLAN
を使用したVXLANヘッダーフィールド
GBP 対応の EVPN-VXLAN スイッチがクライアントからパケットを受信すると、スイッチはパケットを分類して GBP タグを取得します。次に、スイッチはパケット全体を VXLAN にカプセル化し、GBP タグを VXLAN ヘッダーに挿入してから、適切な VXLAN トンネルを介してパケットを転送します。
パケットがトンネルのもう一方の端を出ると、遠端のGBP対応スイッチがタグを抽出し、抽出されたタグと宛先に関連付けられたタグに基づいてポリシーを決定します。ポリシー自体は、ネットワークの場所ではなく、クライアントに関連付けられているGBPタグのみに基づいています。
ネットワークが十分に小さいためEVPN-VXLANを実行することを保証しない場合でも、GBP機能を利用できます。この状況では、GBPタグを伝送するVXLANトンネルはありません。そのため、ingressでローカルにポリシーを適用する必要があります。以前と同様に、アクセス側のGBP対応スイッチはクライアントからパケットを受信し、それを分類して割り当てられたタグを取得します。その後、同じスイッチが、このタグと他のパケットヘッダー情報に基づいて、ローカルにポリシーを適用します。
EVPN-VXLAN で実行するかどうかにかかわらず、GBP サポートには 3 つの異なる側面があります。
-
タグ割り当ては、クライアントとグループ間のマッピングを設定します。
-
パケット分類は、受信パケットをデータプレーンで分類してGBPタグ(ingressの送信元タグ、egressの宛先タグ)を取得します。
-
ポリシー適用は、GBPタグに基づいてポリシーを適用します。
GBP処理では、3つの側面をすべてカバーします。