Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

仮想ルーティングとフォワーディングを使用したファイアウォールのフロー管理

SD-WAN導入における仮想ルーティングおよび転送インスタンス

仮想ルーティングおよび転送(VRF)インスタンスは、各テナントのルートを他のテナントのルートや他のネットワークトラフィックから分離するために必要です。ファイアウォールは、VRFインスタンスを使用してネットワークをセグメント化し、SD-WAN導入時のセキュリティと管理性を向上させます。例えば、テナントと呼ばれる個別のルーティングドメインを作成して、大企業ネットワークをセグメント化したり、トラフィックをセグメント化して複数の顧客ネットワークをサポートしたりできます。各テナントには独自のルーティングテーブルがあり、重複するIPサブネットをサポートできます。VRFを使用して、特定のテナントに対してVRF内の独立した転送テーブルに基づいて、ルートを管理し、トラフィックを転送することができます。

SD-WANの導入では、プロバイダエッジ(PE)ルーターは、ハブデバイスと、MPLSトラフィックを受信および転送するスポークデバイスの両方になります。カスタマーエッジ(CE)ルーターは、PEルーターと対話し、VRFルーティングインスタンスを使用してVPNトラフィックを送信するファイアウォールです。VRFインスタンスは、各顧客VPNトラフィックを転送し、各VRFインスタンスには、そのVRFを通過するすべての顧客トラフィックを表す1つのラベルが含まれています。

ファイアウォールのスポーク側に接続する異なるサイトは、同じテナントまたは同じVRFルーティングインスタンスに属することができます。これらのサイトは、パブリックインターネットサイトまたはリモートテナントサイトに到達することを意図したIPトラフィックを送信します。

トラフィックがファイアウォールのスポーク側に到達すると、デバイスはそれらのサイトに接続されているLANインターフェイスからVRFインスタンスを識別します。このトラフィックに対するセキュリティ処理の後、トラフィックはそのVRFルーティングテーブルで宛先へのルートを見つけます。宛先がMPLSオーバーネクストホップベースのGRE(汎用ルーティングカプセル化)の場合、ファイアウォールは対応するMPLSラベルを追加し、パケットをハブ側のデバイスに転送します。

ハブ側のデバイスでは、MPLS over GREトンネルトラフィックを受信した後、ファイアウォールはMPLSラベルを関連付けて、対応するVRFルーティングインスタンスを識別します。トラフィックのセキュリティ処理が完了すると、デバイスは宛先がパブリックインターネット上にあるか、MPLSネクストホップを介して到達可能かを識別します。

宛先がパブリックインターネットの場合、NATはVRFプライベートIPアドレスをパブリックIPアドレスに変換し、セッションを確立します。宛先が MPLS ネクストホップのタイプである場合、対応する MPLS ラベルが追加され、パケットは GRE オーバーレイ トンネルを使用してリモート スポークに転送されます。

リモートスポーク側では、デバイスは MPLS over GRE トンネルトラフィックを受信した後、MPLSラベルを使用して対応するMPLSルーティングインスタンスを識別します。ファイアウォールは、そのVRFルーティングインスタンスを使用して、そのVRFで正しい宛先LANインターフェイスを見つけ、パケットを宛先に転送します。

SD-WAN導入におけるマルチキャストサポート

Junos OSリリース21.2R1以降、SD-WAN導入のプロバイダエッジ(PE)のSRXシリーズファイアウォールでマルチキャストトラフィックのサポートを追加しました。マルチキャストトラフィックのサポートは、セキュリティデバイスが動作し、 set security forwarding-options family mpls mode 階層でフローベースとしてフォワーディングオプションが設定されている場合に利用できます。 forwarding-options(セキュリティ)を参照してください。

制限事項

  • デバイスが動作している場合、マルチキャストトラフィックのサポートは packet-basedに設定されていません。
  • IP-over-MPLS-over-GREおよびIP-over-MPLS-over-GRE-over-IPsecを使用したハブアンドスポークトポロジーでのみ利用可能なマルチキャストトラフィックのサポート
  • マルチキャストトラフィックのサポートは、マルチキャストVPN(MVPN)データ転送機能に関連する変更や制限に対処しません。 MVPN VRFインスタンスがアドバタイズするルートの制限を参照してください。

VRFルーティングインスタンスを使用したフロー管理

ファイアウォールフローは、5タプルデータ(送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコル番号)と、トラフィックの入力インターフェイスと出力インターフェイスのインターフェイストークンに基づいてセッションを作成します。例えば、ルーティングインスタンスVRF-1とルーティングインスタンスVRF-2は、同じ物理GREトンネルを介して出入りできる同じ5タプルトラフィックを持っています。同じトンネルからのこれらの重複するIPアドレスがファイアウォールを通過して出入りする場合、セッション情報の競合により、ファイアウォールフローはデータベースに複数のセッションをインストールできません。インストール中にファイアウォールがセッションを区別するために、追加情報が必要です。

ファイアウォールは、セッションキー内のMPLSタグ付きパケットからのVRF情報を使用して、セッションを区別できます。異なるVRFインスタンスからのセッションを区別するために、フローは既存のセッションキーに対するVRF識別番号を使用して各VRFインスタンスを識別します。このセッションキーは、セッションルックアップ時の一致基準の1つとして使用されます。

セキュリティポリシーで既存の5タプル一致条件とともに以下の一致基準を使用して、特定のVRFに基づいてトラフィックを許可または拒否できます。

  • 送信元 VRF—パケットの着信インターフェイスに関連付けられた VRF ルーティング インスタンス。ラベルを含む着信 MPLS パケットがファイアウォールに到着すると、デバイスはラベルをデコードし、ラベルを受信インターフェイスにマッピングします。

  • 宛先VRF—宛先への最終ルートに関連付けられたVRFルーティングインスタンス。新しいセッションの最初のパケット処理中に、フローはパケットをネクストホップのデバイスまたはインターフェイスにルーティングするための宛先ルートを必要とします。フローは、最終的なネクストホップデバイスまたはインターフェイスが見つかるまで、受信インターフェイスまたは別のRTTテーブルのいずれかから初期ルーティングテーブルを検索します。最終ルートエントリーが見つかり、そのルートがMPLSネクストホップデバイスを指している場合、宛先VRFは最終ルートが見つかったルーティングインスタンスに割り当てられます。

仮想ルーティングおよび転送グループを使用したフロー処理

仮想ルーティンググループとフォワーディンググループについて

SD-WANエンタープライズネットワークは、 sd-wan-flow-vrf-group.html#id-virtual-routing-and-forwarding-groups__multiple_l3vpnsに示すように、複数のL3VPNネットワークで構成されています。

図1:複数のL3VPNCloud-based network diagram showing an on-premise site linked to a cloud site via an edge device. The cloud site connects to a data center site with hubs and edges. Multiple VPNs with customer edge devices connect to the network, illustrating a hybrid cloud network architecture with VPN connectivity.

L3VPNネットワークは、サイト(CPEデバイス)でVRFインスタンスのセットとして識別されます。あるサイトのL3VPNネットワークに属するサイトのVRFインスタンスは、アプリケーションポリシーベースの転送に使用されます。ファイアウォールフローセッション処理が強化され、アプリケーションベースのステアリングポリシーに基づいて、これらのVRFインスタンス間のミッドストリームトラフィックスイッチングがサポートされます。論理的に特定のL3VPNネットワークの一部であるVRFインスタンスは、VRFグループとして設定できます。既存のファイアウォール、NAT設定コマンドは、VRFグループでの運用をサポートするように拡張されています。

sd-wan-flow-vrf-group.html#id-virtual-routing-and-forwarding-groups__sd-wan-traffic-fwdでは、APBRポリシーに基づいて複数のVRF間でL3VPN内のトラフィックステアリングがどのように行われるかを説明しています。

図2: Network diagram showing routing between two firewalls with APBR rules, BGP connections, routing paths, and RIB groups.

VRFインスタンスを使用してVRFグループを設定すると、VRFグループIDが生成されます。これらのVRFグループは、SD-WAN L3VPNを制御するために以下のモジュールで使用されます。

  • Security Policy - ポリシー制御用。

  • Flow - VRF グループ名、送信元または宛先ゾーン、送信元または宛先 IP アドレス、プロトコルに基づいてポリシーを検索します。そのため、セッションは差別化要因の1つとしてVRFグループを使用して作成されます。

  • NAT - VRFグループ名に基づいてNATルールをサポートします。

  • ALG - 差別化要因の1つとしてVRFグループを使用してALGセッションを作成します。

VRF グループの機能:

  • これにより、セッションで2つのMPLS VRFを切り替えることができます。

  • VRFインスタンスが同じVRFグループの一部である場合、フロー、ポリシー、NAT、またはALGモジュールなどのセキュリティ機能は、VRFインスタンスを同様に扱います。

  • VRFインスタンスを使用してVRFグループを設定すると、VRFグループIDが生成されます。このグループIDは、特定のVRFインスタンスのVRFグループを識別するためにセッションに保存されます。

SD-WANネットワークでL3VPN MPLSベースのセッションをサポートするためにVRFグループが導入されました。これは、MPLS L3VPN ネットワークに重複する IP ネットワーク アドレスが存在するか、重複しない場合、ポリシー、フロー、NAT、および ALG モジュールの MPLS L3VPN トラフィックを制御するために使用されます。

トラフィックが非 MPLS L3VPN ネットワーク間を通過する場合、VRF グループは設定されません。VRF グループが設定されていない場合、VRF グループ ID はゼロになるか、ポリシーは VRF グループに any オプションを使用します。

VRF グループの目的は次のとおりです。

  • MPLS L3VPNネットワーク間のL3VPNセッションを区別するため。

  • MPLS L3VPNネットワーク間でポリシーとNAT制御を行う。

関連項目

VRF グループのタイプ

L3VPNネットワークには、以下の2つの重要なVRFグループがあります。

  • Source-VRFグループ

  • 宛先VRFグループ

送信元-VRFグループまたは宛先-VRFグループ用にグループ化できるVRFインスタンスを理解するには、以下の情報を使用します。

  • Source-VRF instances—同じインバウンド宛先への異なるMPLSパスをネゴシエートするVRFインスタンスのリスト。

  • Destination-VRF instances—特定のL3VPNトラフィックの宛先ルートを含むVRFインスタンスのリスト。

注:

トラフィックが反対方向から開始された場合、VRF グループはトラフィックの方向に応じてロールを切り替えます。

VRFの移動

図3から、セッション確立の初期トラフィックフローは左から右にあります。トラフィックはGRE-Zone1に入り、次に送信元VRFグループ(A)に入り、宛先VRFグループ(A')を通過してからGRE_Zone2を通過します。

同様に、ポリシー検索は GRE_Zone1->Source-VRF group(A)->Destination-VRF group->(A’)->GRE_Zone2 から開始され、送信元VRFグループ(A)と宛先VRFグループ(A)をセッションの追加キー値として使用して、フローセッションが設定されます。VRF グループを使用してフロー セッションが完了すると、トラフィックはグループ内の 1 つの VRF から別の VRF に切り替え(再ルーティング)できます。

図3: VRFグループMPLS traffic flow through firewall with VRF and GRE zones; green arrows show flow, red symbol indicates blocked traffic.内でのVRFの移動

VRFグループID

VRFグループIDを格納するために、セッションキーデータ構造で16ビット数が使用されます。

VRF グループの設定

VRF グループを設定するには、以下の手順を使用します。

  • グループ化する必要があるVRFインスタンスをリストアップします。

  • VRF グループに名前を割り当てます。

  • CLIコマンドでVRFインスタンスとVRFグループ名を適用します set security l3vpn vrf-group group-name vrf vrf1 vrf vrf2

送信元と宛先のVRFグループは、異なるコンテキストに基づいて別々に設定されます。

  • Source VRF group—ルーティングインスタンスの送信元VRFグループはパケットに関連付けられMPLS。デバイスがMPLSパケットを受信すると、パケットはデコードされ、LSIインターフェイスにマッピングされます。LSIインターフェイスには、VRFグループの詳細を特定するのに役立つルーティングテーブル情報が含まれています。

  • Destination VRF group—新しいセッションのパケットのファーストパスフロー処理中に、パケットをネクストホップまたはインターフェイスにルーティングするために宛先ルート情報が必要です。フローは、ルーティングテーブルを検索してルート情報を取得します。受信したルート情報がネクストホップとして MPLS を指す場合、このルートの VRF を使用して宛先 VRF グループを特定します。

注:

L3VPNネットワーク内の関連するすべてのVRFを制御したい場合、送信元と宛先のVRFグループは同じになります。

VRFグループの運用

VRF グループが設定されると、異なる VRF グループに固有のグループ ID が作成されます。VRFグループへのVRFの追加、削除、変更など、さまざまな操作を実行できます。

VRFグループへのVRFの追加

VRFがVRFグループに追加されると、対応するVRFグループIDがVRFに割り当てられます。VRFグループにVRFを追加する場合は、以下の点に留意してください。

  • VRFは1つのVRFグループにのみ追加できます。複数のVRFグループの一部にすることはできません。

  • VRFグループには最大32個のVRFを設定できます。

  • VRFが追加されると、既存のセッションに影響を与え、ポリシーに従って新しいセッションが作成されます。

  • VRFグループに新しいVRFを追加した後に新しいセッションが作成されると、セッションは新しいVRFの新しいVRFグループIDを使用します。

VRF グループからの VRF の削除

VRF グループから VRF を削除すると、その VRF グループの VRF グループ ID はゼロに変更されますが、VRF はデバイスで引き続き使用可能です。VRF グループから VRF を削除すると、次の 2 つの方法で既存のセッションに影響を与えます。

  • Impacting existing sessions—VRFがVRFグループから削除されると、既存のセッションが削除され、ポリシーに従って新しいセッションが作成されます

  • Match Traffic—VRFがVRFグループから削除されると、そのVRFのVRFグループIDがゼロに変更されるため、セッションと一致しなくなります。パケットがドロップされ、ポリシーに従って新しいセッションが作成されます。

VRF が VRF グループから削除されると、影響を受ける VRF を使用して処理される新しいセッションに新しい VRF グループ ID がインストールされます。このVRFグループIDはゼロになるか、新しいVRFグループに追加すると新しいグループIDが作成されます

VRFグループの変更

VRFグループの変更には、以下の操作が必要です。

  • Changing VRF group name:VRF グループ名を変更すると、ポリシー モジュールは既存のセッションをスキャンして、新しい VRF グループ名が既存のルールと一致するかどうかを確認します。

  • Adding VRF to VRF group:VRFがVRFグループに追加されると、対応するVRFグループIDがVRFに割り当てられます。

  • Removing VRF from VRF group:VRF が VRF グループから削除されると、その VRF の VRF グループ ID はゼロに変更されますが、デバイスで VRF は引き続き使用可能になります。

VRFグループの削除

CLIを使用してVRFグループを削除すると、削除されたVRFグループと一致するように、既存のセッションでセッションスキャンが実行されます。セッションが削除されたVRFグループと一致する場合、無効なタイムアウトを設定して、そのセッションはデバイスから削除されます。削除されたVRPグループIDに一致しないセッションは影響を受けません。

VRFグループを使用したファーストパス処理

パケットを処理するために、最初のパス処理では以下が実行されます。

  • MPLS Decoder—フローがMPLSまたは非MPLSパケットを受信すると、パケットが処理され、着信パケット、インターフェイス、および着信インターフェイスのルーティングインスタンスの詳細が取得されます。

  • FBF configuration—受信パケットを別のルーティングインスタンスにリダイレクトするようにFBFルールを設定すると、FBFルールはルーティングインスタンス情報を検索し、パケット受信インターフェイスルーティングインスタンスではなくFBFルーティングインスタンス情報を渡します。このFBF VRFは、L3VPNネットワークを制御するためにVRFグループの一部である必要があります。

  • Initialize Routing-Table—フローがパケットを受信すると、パケットの初期ルーティングテーブルが作成されます。FBF設定がファイアウォールフィルターと一致する場合、FBFからのルーティングインスタンス情報がルート検索に使用されます。それ以外の場合、フローは着信インターフェイスのルーティングインスタンス情報をルート検索に使用します。

  • Finding Source VRF group—受信パケットがネットワークMPLS場合、パケットは送信元VRFグループのVRFインスタンスにマッピングされます。受信パケットが MPLS パケットでない場合、送信元 VRF グループ ID はゼロになります。

  • Destination NAT using VRF group—フローは、宛先IPにNAT変換が必要かどうかをチェックします。宛先 NAT は、VRF の 2 種類の一致基準をサポートしています。

    • VRFルーティンググループを使用したNATルール検索

    • VRFルーティングインスタンスとNAT情報を使用したNATルールの結果

  • Destination Route—初期ルートテーブルで行われるルートルックアップは、発信インターフェイスと宛先VRF情報を識別するために使用されます。この情報は、ポリシー検索とセッションのインストールで使用されます。

  • Final next-hop—宛先ルートを見つけるための最初のステップは、ポイントされたルートのネクストホップを最終的に見つけることです。このネクストホップを使用して、フローはネクストホップが MPLS ネットワークを指しているかどうかを確認します。MPLSネットワークを指していない場合、宛先VRFグループはゼロになります。

  • Destination VRF group—宛先VRFが識別されると、宛先VRFグループIDが初期化されます。宛先VRFがどのグループにも割り当てられていない場合、ゼロに設定されます。

  • First Path Policy Search—フローはポリシー検索を実行して、パケットを許可または拒否する必要があるかどうかを確認します。フローは、5タプルのポリシーキー情報とVRF情報を収集し、この情報はポリシー検索モジュールによって適切なVRFポリシーを見つけるために使用されます。

  • Source NAT using VRF group—フローセッションは、ソースVRFグループNATルール検索を使用してソースNATを実行します。Source-NATは、2種類のNAT検索条件をサポートしています。

    • VRFグループを使用したソースNATルール検索

    • VRFグループまたはVRFインスタンスを使用した静的NATルール検索

  • Static NAT using VRF group or VRF instance—静的NATは、VRFタイプのルールセットのルーティンググループとルールのルーティングインスタンスをサポートします。

    • 静的 NAT が特定の IP パケットの宛先 NAT 変換として一致する場合、VRF ルーティング グループが一致基準の 1 つになり、VRF ルーティング インスタンスが宛先ルーティングテーブルとして使用されます。

    • 静的NATが特定のIPパケットの送信元NAT変換として一致する場合、VRFルーティングインスタンスが一致基準の1つになります。

  • Session Installation using VRF group—セッションインストールプロセス中、送信元VRFグループIDがフォワードウィングに保存され、ウィングがネットワークMPLS指していることを示します。ルート検索から見つかった宛先VRFグループIDは、ウィングがMPLSネットワークを指していることを示すリバースウィングに保存されます。

  • Re-routing using VRF group:VRF グループ情報を使用してセッションが確立されると、インターフェイスがダウンしているか、初期ルートが使用できない場合、再ルートが開始されます。これらの変更されたルートは、どちらの側でも最初にセッションが確立されている同じVRFグループ(Source-VRFグループ/Destination-VRFグループ)の一部である必要があります。そうしないと、トラフィックがセッションと一致せず、ポリシーに従ってセッションの将来のトラフィックがドロップされたり、新しいセッションが作成されたりする可能性があります。

VRFグループを使用した高速パス処理

高速パス処理は、以下のステップを実行してパケットを処理します。

  • MPLS Decoder—パケットMPLSまたは非MPLSパケットを受信すると、パケットはMPLS処理されます。処理が完了すると、フローは着信パケット、インターフェイス、および着信インターフェイスのルーティングインスタンスの詳細を受信します。

  • FBF configuration—受信パケットを別のルーティングインスタンスにリダイレクトするようにFBFルールを設定する場合、FBFルールはルーティングインスタンス情報を検出し、パケット受信インターフェイスルーティングインスタンスではなくFBFルーティングインスタンス情報を渡します。このFBF VRFは、L3VPNネットワークを制御するためにVRFグループの一部である必要があります。

  • Session look-up using VRF Group-ID—セッションルックアッププロセス中に、フローはルックアップのためにセッションキーにVRFグループIDを渡すかどうかをチェックします。受信インターフェイスが MPLS の場合、フローはマッピングされた VRF ルーティング インスタンスの VRF グループ ID 情報を他のキー タプル情報とともにセッション キーに渡します。受信インターフェイスが MPLS でない場合、VRF グループ ID はゼロになります。

  • Session Route change—途中でセッションのルートが変更された場合、フローはこのルートに属する新しいVRFをチェックします。新しいVRFグループIDがセッションのVRFグループIDと異なる場合、ルートは処理されず、将来のパケットは破棄されます。したがって、再ルーティングするには、新しいルートがセッションVRFグループに属するVRFに属している必要があります。

  • VRF Group policy change—ゾーン/インターフェイス/IP/送信元-VRFグループ/宛先-VRFグループなどのポリシー属性によりVRFグループセッションポリシーが変更された場合、ポリシーが有効かどうかをチェックするために、ポリシー5タプルと送信元VRFグループおよび宛先VRFグループの値を指定することで、同じセッションに対してポリシーが再照合されます。再一致時に、ポリシーがセッション情報と一致しない場合、セッションは終了します。

  • VRF session display—送信元-VRFグループと宛先-VRFグループをセッション出力表示に表示し、同じタプルの異なるVRFグループを区別します。

  • High Availability—追加のVRFグループID情報がHAピアノードに同期されている場合、セッション内の異なるVRFグループを区別する場合、高可用性は動作を変更することなくサポートされます

仮想ルーティングおよび転送認識ゾーンを使用したフロー処理

セッション管理では、ゾーンIDをセッションタプルに統合するようになりました。VRF グループ ID はゾーン ID に置き換えられます。ゾーン ID はキャッシュされ、その後、さらなる処理のために渡されます。

ゾーンベースのセッション管理では、セッションを正しいインターフェイスとオーバーレイゾーンに正確に関連付けることで、ネットワーク構成との整合性を維持します。インターフェイスやオーバーレイゾーンの変更など、ゾーン構成の変更が発生すると、システムは影響を受けるゾーンにリンクされたセッションを自動的に終了し、セッション管理フレームワーク全体での一貫性と信頼性を維持します。変更されたゾーンに関連付けられたセッションのみが終了し、影響を受けていないゾーンにリンクされているセッションは引き続きシームレスに機能します。

関連項目