Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

SRXシリーズデバイスによるEVPN-VXLANのトンネル検査

このトピックでは、EVPN-VXLAN のトンネル検査を実行し、組み込みセキュリティを提供するためにセキュリティデバイスを設定する方法について説明します。

概要

(イーサネットVPN)EVPN(仮想拡張LAN)VXLANは、キャンパスネットワークとデータセンターネットワークを管理するための共通フレームワークを企業に提供します。

モバイルデバイスやIoTデバイスの使用が急増し、ネットワークには多数のエンドポイントが追加されています。最新のエンタープライズネットワークは、デバイスへの即時アクセスを提供し、これらのエンドポイントのセキュリティと制御を拡張するために、迅速に拡張する必要があります。

エンドポイントに柔軟性を持たせるため、EVPN-VXLANはアンダーレイネットワーク(物理トポロジー)をオーバーレイネットワーク(仮想トポロジー)から切り離します。オーバーレイを使用することで、アンダーレイアーキテクチャの一貫性を維持しながら、キャンパスやデータセンターのエンドポイント間でレイヤー2/レイヤー3接続を柔軟に提供できます。

EVPN-VXLANソリューションでSRXシリーズファイアウォールを使用して、組み込みセキュリティを提供しながら、キャンパス、データセンター、ブランチ、パブリッククラウド環境のエンドポイントを接続できます。

Junos OS リリース 21.1R1 以降、SRXシリーズファイアウォールは、以下のレイヤー 4/レイヤー 7 セキュリティ サービスを EVPN-VXLAN トンネル トラフィックに適用することもできます。

  • アプリケーション識別

  • IDP

  • Juniper ATP(旧称:ATP Cloud)

  • コンテンツセキュリティ

図1 は、エッジルーテッドブリッジング(ERB)に基づくEVPN-VXLANファブリックと、拡張ボーダーリーフ(EBL)の役割で機能するSRXシリーズファイアウォールの典型的な導入シナリオを示しています。EBLは、VXLANトンネル内のトラフィックのインスペクションを実行する機能で、ボーダーリーフの従来の役割を強化します。

図 1:デバイスEVPN-VXLAN Architecture with SRX Series DeviceSRXシリーズを使用したEVPN-VXLANアーキテクチャ

この図では、リーフ1デバイスから発信されたVXLANトラフィックが、EBLとして機能するSRXシリーズファイアウォールを通過しています。このユースケースでは、SRXシリーズファイアウォールを境界、つまりキャンパスやデータセンターの入口と出口のポイントに配置し、そこを通過するVXLANカプセル化パケットにステートフルインスペクションを提供します。

アーキテクチャ図では、2つのVTEPデバイス(ネットワークトラフィックに対してVXLANカプセル化とカプセル化解除を実行するデバイス)の間にSRXシリーズファイアウォールが配置されていることがわかります。SRXシリーズファイアウォールは、適切なセキュリティポリシーでトンネル検査機能を有効にすると、ステートフルインスペクションを実行します。

利点

EVPN VXLANにSRXシリーズファイアウォールを追加することで、以下が実現します。

  • EVPN-VXLANオーバーレイのエンタープライズグレードのファイアウォール機能により、セキュリティを追加。
  • レイヤー4/レイヤー7セキュリティサービスにより、VXLANカプセル化トラフィックのトンネル検査を強化。

例:EVPN-VXLAN トンネル インスペクションのセキュリティ ポリシーの設定

この例では、SRXシリーズファイアウォールでEVPN EVPN-VXLANトンネルトラフィックの検査を有効にするセキュリティポリシーを設定します。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRXシリーズファイアウォールまたはvSRX仮想ファイアウォール
  • Junos OS リリース 20.4R1

この例では、すでにEVPN-VXLANベースのネットワークがあり、SRXシリーズファイアウォールでトンネルインスペクションを有効にしたいと想定しています。

始める前に

  • SRXシリーズファイアウォールに有効なアプリケーション識別機能のライセンスがあり、デバイスにアプリケーションシグネチャパックがインストールされていることを確認します。
  • EVPNとVXLANの仕組みを必ず理解してください。EVPN-VXLAN の詳細については、EVPN-VXLANキャンパスアーキテクチャ を参照してください

  • この例では、EVPN-VXLANベースのネットワークファブリックがすでにあり、SRXシリーズファイアウォールでトンネルインスペクションを有効にすることを前提としています。この例で使用されているリーフおよびスパインデバイスのサンプル設定については、 完全なデバイス設定を参照してください。

概要

この例では、それぞれがIPファブリックを備えた2つのDCロケーションで構成される稼働中のEVPN-VXLANネットワークの一部であるSRXシリーズファイアウォールの構成に焦点を当てています。SRXシリーズファイアウォールは、2つのDC間のデータセンターの相互接続(DCI)の役割に配置されます。この設定では、トンネル検査を有効にすると、SRXシリーズファイアウォールが、DC間を流れるVXLANカプセル化トラフィックのステートフルインスペクションを実行します。

この例では、 図 2 に示すトポロジーを使用しています。

図 2:VXLAN トンネル インスペクション Topology for VXLAN Tunnel Inspectionのトポロジー

トポロジーに示されているように、SRXシリーズファイアウォールは、DC-1とDC-2の両方のデータセンターのリーフにあるVXLANトンネルエンドポイント(VTEP)からのトランジットVLANカプセル化トラフィックを検査しています。レイヤー 2 またはレイヤー 3 VXLAN ゲートウェイとして機能する物理および仮想のジュニパーネットワークス デバイスは、カプセル化とカプセル化解除を実行する VTEP デバイスとして機能します。

サーバー 1 からレイヤー 2 またはレイヤー 3 データ パケットを受信すると、リーフ 1 VTEP は適切な VXLAN ヘッダーを追加し、IPv4 外部ヘッダーでパケットをカプセル化することで、IPv4 アンダーレイ ネットワークを介したパケットのトンネリングを容易にします。次に、リーフ 2 のリモート VTEP がトラフィックのカプセル化を解除し、元のパケットを宛先ホストに転送します。Junosソフトウェアリリース20.4により、SRXシリーズファイアウォールは、通過するVXLANカプセル化オーバーレイトラフィックのトンネル検査を実行できます。

この例では、VXLAN トンネルにカプセル化されたトラフィックの検査を有効にするセキュリティ ポリシーを作成します。この例では、 表 1 で説明したパラメーターを使用します。

表 1:設定パラメータ
パラメータ の説明 パラメータ名
セキュリティポリシー VXLAN オーバーレイ トラフィックによってトリガーされるフロー セッションを作成するポリシー。このポリシーは、外側の IP 送信元アドレスと宛先アドレスを参照します。つまり、送信元と宛先の VTEP の IP アドレスです。この例では、これがリーフのループバック アドレスです。 P1の
ポリシー・セット 内部トラフィックのインスペクションに関するポリシー。このポリシーは、一致する VXLAN トンネル トラフィックの内容に基づいて動作します。 PSET-1(プセット-1)
トンネル インスペクション プロファイル VXLAN トンネルのセキュリティ検査用のパラメータを指定します。 TP-1
VXLANネットワーク識別子(VNI)リストまたは範囲の名前 VXLAN トンネル ID のリストまたは範囲を一意に識別するために使用します。 VLAN-100
VXLAN トンネル識別子名。 トンネル インスペクション プロファイル内の VXLAN トンネルにシンボリックな名前を付けるために使用します。 VNI-1100

SRXシリーズファイアウォールでトンネル検査セキュリティポリシーを設定すると、パケットがセキュリティポリシーに一致した場合に、パケットがカプセル化解除され、内部ヘッダーにアクセスします。次に、トンネル インスペクション プロファイルを適用して、内部トラフィックが許可されているかどうかを判断します。セキュリティ デバイスは、内部パケット コンテンツと適用されたトンネル インスペクション プロファイル パラメータを使用してポリシー ルックアップを行い、次に内部セッションのステートフルインスペクションを実行します。

構成

この例では、SRXシリーズファイアウォールで次の機能を設定します。

  1. trustゾーンとuntrustゾーンを定義して、すべてのホストトラフィックを許可します。これにより、スパインデバイスへのBGPセッションがサポートされ、どちらのゾーン(DC)からでもSSHなどが可能になります。
  2. 192.168.100.0/24サブネット内のすべてのホストについて、VNI 1100(VLAN 100用に拡張されたレイヤー2)のDC1からDC2に流れるトラフィックを調査します。ポリシーでは、pingを許可し、その他のトラフィックをすべて拒否する必要があります。
  3. トンネル インスペクションなしで、DC2 から DC1 へのすべてのリターン トラフィックを許可します。
  4. DC1 から DC2 への他のすべてのアンダーレイおよびオーバーレイ トラフィックを、VXLAN トンネル インスペクションなしで許可します。

VXLAN-EVPN 環境のセキュリティ デバイスでトンネル検査を有効にするには、次の手順に従います。

手記:

この例で使用されているすべてのデバイスの完全な機能構成は、読者がこの例をテストするのを助けるために、 完全なデバイス構成 を提供します。

この例では、VXLAN トンネル インスペクション機能を有効にして検証するために必要な設定手順に焦点を当てています。SRXシリーズファイアウォールは、DCIの役割をサポートするために、インターフェイスアドレッシング、BGPピアリング、ポリシーで構成されていると想定されます。

CLIクイック構成

SRXシリーズファイアウォールでこの例を素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更してから、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

SRXシリーズデバイスでの設定

手順

  1. セキュリティ ゾーン、インターフェイス、アドレス帳を設定します。 /24 プレフィックス長は、外部(VTEP)アドレスと内部(サーバー)アドレスを指定するために使用されることに注意してください。このシンプルな例では /32 ホスト ルートを使用することもできますが、/24 を使用すると、他のリーフ(VTEP)または 192.168.100/0/24 サブネット内のホストからのトラフィックが一致します。

  2. トンネルインスペクションプロファイルを定義します。検査する VNI の範囲またはリストを指定できます。

    この例では、VNI は 1 つだけ必要であるため、vni-range オプションの代わりに vni-id キーワードが使用されています。

    トンネル インスペクション プロファイルは、VNI リスト/範囲と、VNI が一致する VXLAN トンネルに適用する必要がある関連ポリシーの両方にリンクします。
  3. 外部セッションで一致するセキュリティポリシーを作成します。 このポリシーは、送信元と宛先のVTEPアドレスを照合するために以前に定義したグローバルアドレス帳エントリーを参照します。これらのアドレスは、オーバーレイで VXLAN トンネルをサポートするためにアンダーレイで使用されます。一致するトラフィックは、前のステップで定義した TP-1 トンネル インスペクション プロファイルに送信されます。この例では、DC1 で発生し、DC2 で終了する VXLAN トンネルを検査することが目標です。その結果、リターン トラフィック(送信元 VTEP の DC2 リーフ 1)で照合する 2 つ目のポリシーは必要ありません。

  4. 内部セッションのポリシーセットを作成します。

    このポリシーは、一致する VXLAN トラフィックのペイロードに対してセキュリティ インスペクションを実行します。この例では、DC1 の VLAN 100 上のサーバー 1 から DC2 のサーバー 1 に送信されるトラフィックです。 junos-icmp-all 一致条件を指定することで、ping 要求と応答の両方がサーバー 1 から DC2 のサーバー 1 に渡されるようにします。 junos-icmp-ping を指定した場合は、DC1 から発信された ping のみが許可されます。

    この例では、結果として得られる機能のテストを容易にするために、ping のみが許可されていることを思い出してください。 application any でマッチングしてすべてのトラフィックを許可したり、特定のセキュリティ ニーズに合わせて一致条件を変更したりできます。

  5. トンネル検査を行わずに、データセンター間の他のすべてのトラフィックを受け入れるために必要なポリシーを定義します。

業績

設定モードから、 show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

[edit]

user@host# show security

デバイスでの機能の設定が完了したら、設定モードから commit を入力します。

検証

この時点で、DC1 のサーバー 1 から DC2 のサーバー 1 への ping トラフィックを生成する必要があります。pingは成功するはずです。検証タスクを完了するまでの間、このテスト トラフィックをバックグラウンドで実行することを許可します。

内部ポリシーの詳細の確認

Purpose

内部セッションに適用されたポリシーの詳細を確認します。

Action

動作モードから、 show security policies policy-set PSET-1 コマンドを入力します。

トンネル インスペクション トラフィックの確認

Purpose

トンネル インスペクション トラフィックの詳細を表示します。

Action

動作モードから show security flow tunnel-inspection statistics コマンドを入力します。

トンネル インスペクション プロファイルと VNI の確認

Purpose

トンネル検査プロファイルとVNIの詳細を表示します。

Action

動作モードから、 show security tunnel-inspection profiles コマンドを入力します。

動作モードから show security tunnel-inspection vnis コマンドを入力します。

セキュリティフローの確認

Purpose

SRXにVXLANセキュリティフロー情報を表示して、VXLANトンネルインスペクションが機能していることを確認します。

Action

動作モードから、 show security flow session vxlan-vni 1100 コマンドを入力します。

SSHがブロックされていることを確認する

Purpose

DC1のサーバー1とDC2のサーバー2の間でSSHセッションの確立を試みます。pingトラフィックのみを許可するポリシーに基づいて、このセッションはSRXでブロックする必要があります。

Action

動作モードから、 show security flow session vxlan-vni 1100 コマンドを入力します。

ゾーンレベルのインスペクション、IDP、コンテンツセキュリティ、トンネルインスペクション用の高度なアンチマルウェアの設定

ゾーンレベルの検査を設定し、IDP、Juniper ATP、コンテンツセキュリティ、高度なアンチマルウェアなどのレイヤー7サービスをトンネルトラフィックに適用する場合は、このステップを使用します。この機能は、Junos OS リリース 21.1R1 以降でサポートされています。

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRXシリーズファイアウォールまたはvSRX仮想ファイアウォール
  • Junos OS リリース 21.1R1

外部セッションのアドレス帳、セキュリティゾーン、インターフェイス、トンネルインスペクションプロファイル、セキュリティポリシーの設定は、「設定」で作成したものと同じ設定を使用します

このステップは、SRXシリーズファイアウォールをJuniper ATPに登録していることを前提としています。SRXシリーズファイアウォールを登録する方法の詳細については、 Juniper Advanced Threat PreventionクラウドへのSRXシリーズデバイスの登録を参照してください。

この構成では、内部セッションのポリシー セットを作成し、IDP、コンテンツ セキュリティ、高度なマルウェア対策をトンネル トラフィックに適用します。

CLIクイック構成

SRXシリーズファイアウォールでこの例を素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更してから、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

SRXシリーズデバイスでの設定

トンネル インスペクション用のゾーンレベル インスペクションの作成

内部トラフィックのEVPN-VXLANトンネル検査にゾーンレベルのポリシー制御を追加できます。このポリシーは、一致する VXLAN トラフィックのペイロードに対してセキュリティ インスペクションを実行します。次の手順では、トラフィックのfrom-zoneとto-zoneを指定します。

トンネル検査用のIDP、コンテンツセキュリティ、高度なアンチマルウェアの作成

IDP、高度なaniti-malware、コンテンツセキュリティ、内部トラフィックのEVPN-VXLANトンネル検査用のSSLプロキシなどのセキュリティサービスを追加できます。このポリシーは、一致する VXLAN トラフィックのペイロードに対してセキュリティ インスペクションを実行します。

次の手順では、トラフィックがポリシー ルールに一致するときに、IDP、コンテンツ セキュリティ、SSL プロキシ、セキュリティ インテリジェンス、高度なマルウェア対策サービスなどのサービスをセキュリティ ポリシー許可アクションで指定して有効にします。

次の手順は、コンテンツ セキュリティ、IDP、および高度なマルウェア対策ポリシーの構成スニペットを一目で示します。

  • 高度な不正プログラム対策ポリシーを設定します。

  • セキュリティ インテリジェンス プロファイルを設定します。

  • IDP ポリシーを設定します。

  • コンテンツセキュリティポリシーを設定します。

  • SSL プロファイルを構成します。

業績

設定モードから、 show security コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

[edit]

user@host# show security

[edit]

user@host# show services

デバイスでの機能の設定が完了したら、設定モードから commit を入力します。

完全なデバイス構成

この例のコンテキストをよりよく理解したり、再現したりするには、これらの設定を参照してください。これには、DCファブリックを形成するQFXシリーズスイッチの完全なERBベースのEVPN-VXLAN設定や、基本および高度なVXLANトンネル検査の例に関するSRXシリーズファイアウォールの終了状態が含まれます。

手記:

提供される設定には、ユーザー ログイン、システム ロギング、または管理関連の設定は場所によって異なるため、表示されません。

EVPN-VXLAN の設定の詳細と例については、 ERB を使用したキャンパス ネットワークの EVPN-VXLAN ファブリックの設定のネットワーク設定例を参照してください。

リーフ 1 デバイスの設定

スパイン1デバイスの設定

リーフ 2 デバイスの設定

スパイン2デバイスの設定

SRXシリーズデバイスでの基本的なトンネル検査設定

レイヤー7セキュリティ サービスを備えたSRXシリーズデバイスでのトンネル検査設定