Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

SRXシリーズデバイスによるEVPN-VXLANのトンネル検査

このトピックでは、EVPN-VXLANのトンネルインスペクションを実行して組み込みセキュリティを提供するようにセキュリティデバイスを設定する方法を理解できます。

概要

(イーサネットVPN)EVPN(仮想拡張LAN)VXLANは、キャンパスネットワークとデータセンターネットワークを管理するための共通フレームワークを企業に提供します。

モバイルデバイスやIoTデバイスの利用急増に伴い、ネットワークには膨大な数のエンドポイントが追加されています。最新のエンタープライズネットワークは、デバイスへの即時アクセスを提供し、これらのエンドポイントのセキュリティと制御を拡張するために、迅速に拡張する必要があります。

EVPN-VXLANは、エンドポイントに柔軟性を提供するために、アンダーレイネットワーク(物理トポロジー)をオーバーレイネットワーク(仮想トポロジー)から切り離します。オーバーレイを使用することで、アンダーレイアーキテクチャの一貫性を維持しながら、キャンパスやデータセンターのエンドポイント間でレイヤー2/レイヤー3接続を柔軟に提供できます。

EVPN-VXLANソリューションでSRXシリーズファイアウォールを使用して、組み込みセキュリティを提供しながら、キャンパス、データセンター、ブランチ、パブリッククラウド環境のエンドポイントを接続できます。

Junos OSリリース21.1R1以降、SRXシリーズファイアウォールは、EVPN-VXLANトンネルトラフィックに以下のレイヤー4/レイヤー7セキュリティサービスも適用できます。

これらのセキュリティサービスは、EVPN-VXLANトラフィックを包括的に保護します。

  • アプリケーション識別—ポート、プロトコル、暗号化に関係なく、ネットワークを通過するアプリケーションを識別します。
  • IDP—侵入検出および防止機能を提供し、既知および未知の脅威から保護します
  • ジュニパー ATPクラウド—クラウドベースの高度な脅威検出と、マルウェアやその他の巧妙な脅威からの保護を提供します
  • コンテンツセキュリティ—Webフィルタリング、アンチウィルス、アンチスパム機能を提供し、コンテンツベースの脅威から保護します
手記:

EVPN-VXLANトラフィックのトンネルインスペクションを設定し、関連するセキュリティサービスを適用するために必要な主な手順:

  • セキュリティゾーンを定義し、インターフェイスを割り当てます。
  • VXLANトンネルエンドポイント(VTEP)とVLANサブネットのアドレス帳エントリを作成します。
  • トンネル検査プロファイルを使用して、VXLANトラフィック検査を許可するセキュリティポリシーを設定します。
  • 特定のVNIおよびポリシーセットを使用して、VXLANのトンネル検査プロファイル(TP-1)を定義します。
  • VXLANネットワーク識別子(VNI)を検査プロファイルに関連付けます。
  • トラフィックがポリシールールに一致する場合、セキュリティポリシー許可アクションでセキュリティサービスを指定して、トンネル検査ポリシー内のセキュリティサービスを参照します。

これらのセキュリティサービスの設定に関する詳細については、以下のドキュメントを参照してください。

図1は、エッジルーテッドブリッジング(ERB)に基づくEVPN-VXLANファブリックの典型的な導入シナリオを示しており、拡張ボーダーリーフ(EBL)の役割で機能するSRXシリーズファイアウォールを備えています。EBLは、VXLANトンネル内のトラフィックの検査を実行する機能によって、ボーダーリーフの従来の役割を強化します。

図1:EVPN-VXLANアーキテクチャとSRXシリーズデバイスの EVPN-VXLAN Architecture with SRX Series Device

図では、リーフ1デバイスから発信されたVXLANトラフィックは、EBLとして機能するSRXシリーズファイアウォールを通過します。このユースケースでは、SRXシリーズファイアウォールをキャンパスまたはデータセンターの境界、つまり出入口に配置され、そこを通過するVXLANカプセル化されたパケットにステートフルインスペクションを提供します。

アーキテクチャ図では、SRXシリーズファイアウォールが2つのVTEPデバイス(ネットワークトラフィックのVXLANカプセル化とカプセル化解除を実行するデバイス)の間に配置されていることがわかります。SRXシリーズファイアウォールは、適切なセキュリティポリシーでトンネル検査機能を有効にすると、ステートフルインスペクションを実行します。

利点

EVPN VXLANにSRXシリーズファイアウォールを追加すると、以下が得られます。

  • EVPN-VXLANオーバーレイのエンタープライズグレードファイアウォールの機能を使用してセキュリティを追加。
  • レイヤー4/レイヤー7セキュリティサービスにより、VXLANカプセル化トラフィックのトンネル検査を強化。

例 - EVPN-VXLANトンネル検査用のセキュリティポリシーの設定

この例を使用して、SRXシリーズファイアウォール上のEVPN EVPN-VXLANトンネルトラフィックの検査を有効にするセキュリティポリシーを設定します。

必要条件

この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。

  • SRXシリーズファイアウォールまたはvSRX仮想ファイアウォール
  • Junos OSリリース20.4R1

この例では、EVPN-VXLANベースのネットワークがすでにあり、SRXシリーズファイアウォールでトンネル検査を有効にすることを前提としています。

始める前に

  • SRXシリーズファイアウォールに有効なアプリケーション識別機能ライセンスがあり、デバイスにアプリケーションシグネチャパックがインストールされていることを確認します。
  • EVPNとVXLANの仕組みを必ず理解してください。 EVPN-VXLAN の詳細については、EVPN-VXLAN キャンパス アーキテクチャ を参照してください。

  • この例では、EVPN-VXLANベースのネットワークファブリックがすでにあり、SRXシリーズファイアウォールでトンネル検査を有効にすることを前提としています。この例で使用されているリーフおよびスパインデバイスの設定例は、 完全なデバイスの設定で確認できます。

概要

この例では、それぞれIPファブリックを備えた2つのDCロケーションで構成される、稼働中のEVPN-VXLANネットワークの一部であるSRXシリーズファイアウォールの設定に焦点を当てます。SRXシリーズファイアウォールは、2つのDC間でデータセンターの相互接続(DCI)の役割に配置されます。この設定では、トンネル検査を有効にすると、SRXシリーズファイアウォールがDC間を流れるVXLANカプセル化トラフィックのステートフルインスペクションを実行します。

この例では、 図2 に示すトポロジーを使用しています。

図2:VXLANトンネル検査Network topology diagram of a data center interconnect setup with two data centers linked by a Juniper SRX device as DCI gateway. Each data center has spine-leaf architecture with VLANs and VNIs for encapsulation. The SRX device manages interconnect traffic using enhanced border role. Servers in DC1 and DC2 are connected in specific VLANs, demonstrating Layer 2 and Layer 3 connectivity via VXLAN encapsulation.のトポロジー

トポロジーに示されているように、SRXシリーズファイアウォールは、DC-1とDC-2の両方のデータセンターのリーフ上のVXLANトンネルエンドポイント(VTEP)からのトランジットVLANカプセル化トラフィックを検査しています。レイヤー2またはレイヤー3のVXLANゲートウェイとして機能するすべてのジュニパーネットワークスデバイス(物理および仮想)は、VTEPデバイスとして機能し、カプセル化とカプセル化解除を実行できます。

サーバー1からレイヤー2またはレイヤー3のデータパケットを受信すると、リーフ1 VTEPは適切なVXLANヘッダーを追加し、次にパケットをIPv4外部ヘッダーでカプセル化することで、IPv4アンダーレイネットワークを介したパケットのトンネリングを容易にします。次に、リーフ2のリモートVTEPがトラフィックのカプセル化を解除し、元のパケットを宛先ホストに転送します。Junosソフトウェアリリース20.4では、SRXシリーズファイアウォールは、それを通過するVXLANカプセル化オーバーレイトラフィックのトンネル検査を実行できます。

この例では、VXLAN トンネルにカプセル化されたトラフィックの検査を有効にするセキュリティ ポリシーを作成します。この例では、 表1に 示したパラメーターを使用しています。

表1:設定パラメータ
パラメータの 説明 パラメータ名
セキュリティポリシー VXLAN オーバーレイ トラフィックによってトリガーされるフロー セッションを作成するポリシー。このポリシーは、外部IPの送信元と宛先アドレスを参照します。つまり、送信元VTEPと宛先VTEPのIPアドレスです。この例では、これがリーフのループバックアドレスです。 P1
ポリシーセット 内部トラフィックの検査に関するポリシー。このポリシーは、一致する VXLAN トンネル トラフィックのコンテンツに基づいて動作します。 PSET-1
トンネル検査プロファイル VXLANトンネルのセキュリティ検査のパラメーターを指定します。 TP-1
VXLAN ネットワーク識別子(VNI)リストまたは範囲の名前 VXLAN トンネル ID のリストまたは範囲を一意に識別するために使用されます。 VLAN-100
VXLAN トンネル識別子名。 トンネル検査プロファイル内のVXLANトンネルに記号的な名前を付けるために使用します。 VNI-1100

SRXシリーズファイアウォールでトンネル検査セキュリティポリシーを設定すると、パケットがセキュリティポリシーに一致すると、パケットのカプセル化が解除され、内部ヘッダーにアクセスします。次に、トンネル検査プロファイルを適用して、内部トラフィックが許可されているかどうかを判断します。セキュリティデバイスは、内部パケットのコンテンツと適用されたトンネル検査プロファイルパラメーターを使用してポリシー検索を実行し、内部セッションのステートフルインスペクションを実行します。

先端:一部の構成では、タイプ5 VXLANトンネルのイングレス側とエグレス側が異なるVRFグループ(仮想ルーティングおよびフォワーディンググループ)に配置されます。これにより、セキュリティポリシーの照合に問題が発生する可能性があります。システムがそれらを個別のルーティングドメインとして扱う可能性があるためです。タイプ 5 の VXLAN トンネルの両方が同じ VNI を使用する場合、この問題は適用されません。トンネルの両側で異なるVNIを使用している場合は、問題を回避するために同じVNIを使用するように変更する必要があります。

VNIの設定を変更せずに問題を解決するには、次の手順に従います。

  1. イングレスVRF IDとエグレスVRF IDの両方を同じVRFグループIDに配置します。
  2. セキュリティポリシーで、送信元および宛先VRFグループIDを一致基準として使用します。

構成

この例では、SRXシリーズファイアウォールで次の機能を設定します。

  1. 信頼できるゾーンと信頼できないゾーンを定義して、すべてのホストトラフィックを許可します。これにより、スパインデバイスへのBGPセッションがサポートされ、いずれかのゾーン(DC)からSSHなどを許可できます。
  2. 192.168.100.0/24サブネット内のすべてのホストについて、VNI 1100(VLAN 100用に拡張されたレイヤー2)でDC1からDC2に流れるトラフィックを検査します。ポリシーでは、ping は許可しますが、それ以外のトラフィックはすべて拒否する必要があります。
  3. トンネル検査なしで、DC2 から DC1 へのすべてのリターン トラフィックを許可します。
  4. DC1 から DC2 への VXLAN トンネル検査なしで、他のすべてのアンダーレイ トラフィックとオーバーレイ トラフィックを許可します。

VXLAN-EVPN環境でセキュリティデバイスのトンネル検査を有効にするには、次の手順に従います。

手記:

この例で使用するすべてのデバイスの完全な機能構成は、読者がこの例をテストするのに役立つ完全な デバイス構成を提供します

この例では、VXLAN トンネル検査機能を有効にして検証するために必要な設定手順に焦点を当てています。SRXシリーズファイアウォールは、DCIの役割をサポートするインターフェイスアドレッシング、BGPピアリング、ポリシーで設定されていると想定されます。

CLIクイックコンフィグレーション

SRXシリーズファイアウォールでこの例をすばやく設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストします。

SRXシリーズデバイス上の設定

手順

  1. セキュリティゾーン、インターフェイス、アドレス帳を設定します。 /24プレフィックス長は、外部(VTEP)アドレスと内部(サーバー)アドレスを指定するために使用されます。この簡単な例では/32ホストルートを使用できますが、/24を使用すると、他のリーフ(VTEP)または192.168.100/0/24サブネット内のホストからのトラフィックが一致します。

  2. トンネル検査プロファイルを定義します。検査する必要があるVNIの範囲またはリストを指定できます。

    この例では、VNIは1つだけ必要なため、vni-rangeオプションではなくvni-idキーワードが使用されます。

    トンネル検査プロファイルは、VNIリスト/範囲と、VNIが一致するVXLANトンネルに適用する必要がある関連ポリシーの両方にリンクします。
  3. 外部セッションで一致するセキュリティポリシーを作成します。 このポリシーは、送信元アドレスと宛先のVTEPアドレスを照合するために前に定義したグローバルアドレス帳エントリを参照します。これらのアドレスは、オーバーレイで VXLAN トンネルをサポートするためにアンダーレイで使用されます。一致するトラフィックは、前の手順で定義した TP-1 トンネル検査プロファイルに送信されます。この例では、DC1 を起点とし、DC2 を終点とする VXLAN トンネルを検査することを目標としています。その結果、リターントラフィック時に一致する2つ目のポリシー(送信元VTEPであるDC2リーフ1)は必要ありません。

  4. 内部セッションのポリシーセットを作成します。

    このポリシーは、一致する VXLAN トラフィックのペイロードに対してセキュリティ検査を実行します。この例では、これはDC1のVLAN 100上のサーバー1からDC2のサーバー1に送信されたトラフィックです。 junos-icmp-all 一致条件を指定することで、ping 要求と応答の両方がサーバー 1 イオン DC1 から DC2 のサーバー 1 に渡すことができます。 junos-icmp-ping を指定すると、DC1 から発信された ping のみが許可されます。

    この例では、結果の機能のテストを容易にするために ping のみが許可されていることを思い出してください。 application any で一致させてすべてのトラフィックを許可したり、特定のセキュリティニーズに合わせて一致基準を変更したりできます。

  5. トンネル検査を行わずにデータセンター間の他のすべてのトラフィックを受け入れるために必要なポリシーを定義します。

業績

設定モードから、 show security コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

[edit]

user@host# show security

デバイスで機能の設定が完了したら、設定モードから commit を入力します。

検証

この時点で、DC1 のサーバー 1 から DC2 のサーバー 1 の間で ping トラフィックを生成する必要があります。pingは成功するはずです。検証タスクを完了する間、このテストトラフィックをバックグラウンドで実行します。

内部ポリシーの詳細の検証

Purpose

内部セッションに適用されたポリシーの詳細を確認します。

Action

動作モードから、 show security policies policy-set PSET-1 コマンドを入力します。

トンネル検査トラフィックの確認

Purpose

トンネル検査トラフィックの詳細を表示します。

Action

動作モードから、 show security flow tunnel-inspection statistics コマンドを入力します。

トンネル検査プロファイルとVNIを確認する

Purpose

トンネル検査プロファイルとVNIの詳細を表示します。

Action

動作モードから、 show security tunnel-inspection profiles コマンドを入力します。

動作モードから、 show security tunnel-inspection vnis コマンドを入力します。

セキュリティフローの確認

Purpose

SRX に VXLAN セキュリティ フロー情報を表示して、VXLAN トンネル検査が機能していることを確認します。

Action

動作モードから、 show security flow session vxlan-vni 1100 コマンドを入力します。

SSHがブロックされていることを確認する

Purpose

DC1 のサーバー 1 と DC2 のサーバー 2 の間に SSH セッションを確立してみます。ping トラフィックのみを許可するポリシーに基づいて、このセッションは SRX でブロックする必要があります。

Action

動作モードから、 show security flow session vxlan-vni 1100 コマンドを入力します。

トンネル検査用のゾーンレベル検査、IDP、コンテンツセキュリティ、高度なマルウェア対策の設定

ゾーンレベルの検査を設定し、IDP、ジュニパー ATP、コンテンツセキュリティ、高度なアンチマルウェアなどのレイヤー7サービスをトンネルトラフィックに適用する場合、このステップを使用します。この機能は、Junos OSリリース21.1R1以降でサポートされています。

この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。

  • SRXシリーズファイアウォールまたはvSRX仮想ファイアウォール
  • Junos OSリリース21.1R1

アドレス帳、セキュリティゾーン、インターフェイス、トンネル検査プロファイル、セキュリティポリシーの設定で作成したものと同じ設定を外部セッションに使用しています

この手順では、SRXシリーズファイアウォールをジュニパーATPに登録していることを前提としています。SRXシリーズファイアウォールを登録する方法の詳細については、「 ジュニパーATPクラウドウェブポータルを使用してSRXシリーズファイアウォールを登録する」を参照してください。

この設定では、内部セッションのポリシーセットを作成し、IDP、コンテンツセキュリティ、高度なマルウェア対策をトンネルトラフィックに適用します。

CLIクイックコンフィグレーション

SRXシリーズファイアウォールでこの例をすばやく設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストします。

SRXシリーズデバイス上の設定

トンネル検査用のゾーンレベル検査を作成する

内部トラフィックのEVPN-VXLANトンネル検査用にゾーンレベルのポリシー制御を追加できます。このポリシーは、一致する VXLAN トラフィックのペイロードに対してセキュリティ検査を実行します。次の手順では、トラフィックにfrom-zoneとto-zoneを指定します。

トンネル検査用のIDP、コンテンツセキュリティ、高度なマルウェア対策を作成する

内部トラフィックのEVPN-VXLANトンネル検査用のIDP、高度なマルウェア対策、コンテンツセキュリティ、SSLプロキシなどのセキュリティサービスを追加できます。このポリシーは、一致する VXLAN トラフィックのペイロードに対してセキュリティ検査を実行します。

次のステップでは、トラフィックがポリシールールに一致する場合に、セキュリティポリシー許可アクションで指定して、IDP、コンテンツセキュリティ、SSLプロキシ、セキュリティインテリジェンス、高度なマルウェア対策サービスなどのサービスを有効にします。

次の手順では、コンテンツセキュリティ、IDP、高度なマルウェア対策ポリシーの設定スニペットを一目で確認できます。

  • 高度なマルウェア対策ポリシーを設定します。

  • セキュリティインテリジェンスプロファイルを設定します。

  • IDPポリシーを設定します。

  • コンテンツセキュリティポリシーを設定します。

  • SSLプロファイルを設定します。

業績

設定モードから、 show security コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

[edit]

user@host# show security

[edit]

user@host# show services

デバイスで機能の設定が完了したら、設定モードから commit を入力します。

完全なデバイス設定

これらの設定を参照して、この例のコンテキストをよりよく理解するか、再現してください。これには、DCファブリックを形成するQFXシリーズスイッチのERBベースのEVPN-VXLAN構成一式や、基本および高度のVXLANトンネル検査例の両方におけるSRXシリーズファイアウォールの終了状態も含まれています。

手記:

提供されている設定には、ユーザーログイン、システムログ、または管理関連の設定は表示されません。これは場所によって異なるため、VXLANトンネル検査機能とは関係ありません。

EVPN-VXLAN の設定の詳細と例については、 ERB を使用したキャンパス ネットワーク用の EVPN-VXLAN ファブリックの設定のネットワーク設定例を参照してください。

リーフ1デバイスの設定

スパイン1デバイスの設定

リーフ2デバイスの設定

スパイン2デバイス上の設定

SRXシリーズデバイスでの基本的なトンネル検査設定

レイヤー7セキュリティサービスを使用したSRXシリーズデバイスでのトンネル検査設定