Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VXLAN環境におけるグループベースのポリシー

概要

グループベースポリシー(GBP)と仮想拡張LAN(VXLAN)アーキテクチャを統合することで、ネットワーク環境内で高度なマイクロセグメンテーションを容易に実現できます。この機能により、タグベースのポリシーを適用し、従来のネットワークトポロジーの制約ではなく、ビジネス中心のタグによってポリシーを適用できます。

送信元タグと宛先タグの一致オプションを設定することで、ネットワークアクセスを詳細に制御できるようになり、高度なトラフィック管理が可能になります。システムは、VXLANヘッダーの予約済みフィールドを利用してネットワークセグメント全体にポリシーを適用し、柔軟なトラフィック分離とエンドポイントグループ(EPG)を介したアクセス制御の強化を確保します。MAC アドレス、VLAN、RADIUS サーバーの割り当て、コントローラなどのさまざまな識別子を使用してグループ タグを管理でき、適応性のあるタグ管理を提供します。

SRXシリーズは、セキュリティポリシーでタグベースの一致条件をサポートし、マイクロセグメンテーションを適用します。GBPタグの割り当ては、SRXシリーズファイアウォールではサポートされていません。

ジュニパースイッチは、グループベースのポリシーモデル( EVPN-VXLANグループベースのポリシー)とマイクロセグメンテーションをサポートしてきましたが、SRXシリーズファイアウォールでは、GBPをセキュリティポリシーに組み込むことで、この機能を拡張しています。このトピックに進む前に、 VXLANにおけるグループベースポリシーを使用したマイクロおよびマクロセグメンテーション を読むことをお勧めします。

サポートされている機能とプラットフォームの完全なリストについては、機能エクスプローラーEVPN-VXLANグループベースのポリシーを参照してください。

主な機能

  • エンドポイントのグループ化:デバイスとユーザーは、VXLANファブリック内の物理的な場所に関係なく、役割、機能、セキュリティ要件に基づいて論理グループに分類されます。

  • ポリシー定義:これらのグループ間でセキュリティポリシーが定義され、許可される相互作用が指定され、それがVXLANオーバーレイ全体に適用されます。

  • 一貫したポリシーの適用:ネットワーク内のデバイスの物理的な場所に関係なく、ポリシーは一貫して適用されます。これは、VXLANのロケーションに依存しないアーキテクチャの大きなメリットです。

  • 拡張性:新しいデバイスがグループに追加されると、グループのセキュリティポリシーを自動的に継承し、大規模なデータセンターネットワーク全体に拡張できるVXLANの機能とうまく連携しています

GBPとVXLANを統合するメリット

  • エンタープライズネットワークドメイン全体に一貫したセキュリティポリシーを実装できるため、構成プロセスが簡素化され、運用効率が向上します。

  • ビジネス中心のタグに基づいてアクセスを詳細に制御することでネットワークセキュリティを強化し、不正アクセスに関連するリスクを軽減します。

  • マイクロセグメンテーションを有効にすることで、効率的なトラフィック管理を促進します。マイクロセグメンテーションは、ネットワークセグメントを分離し、異なるEPG間の相互作用を制御します。

  • ダイナミックなポリシー調整をサポートし、ネットワークトポロジーを再設計することなく、変化するビジネス要件に容易に適応できるようにします。

  • さまざまな識別子を通じてタグ管理に柔軟性を提供し、既存のインフラストラクチャとのシームレスな統合を可能にし、ポリシーの実装を簡素化します。

導入

EVPN VXLANのコンテキスト、特にマイクロセグメンテーションを実装する場合、以下の用語は、ネットワーク全体でトラフィックがどのように分類、制御、セグメント化されるかを理解するための基礎となります。

  • エンドポイントグループ(EPG) は、共通のポリシー要件を共有するエンドポイント(VM、コンテナ、ベアメタルホストなど)の論理グループです。これらのグループは、どのエンドポイントが相互に通信できるかを定義するために使用されます。IPサブネット、VLAN、VXLAN VNID、タグなどの属性に基づきます。これらのグループは、動的ワークロード全体に一貫したセキュリティポリシーを適用するために使用されます。
  • グループベースのポリシー(GBP) は、異なる EPG 間のトラフィックのフローを定義するポリシー モデルです。これらのポリシーでは、IPやポートだけでなく、IDに基づいてエンドポイントグループ間の通信を制御できます。
  • Sct(Scalable Group Tag) は、仮想マシン、コンテナ、ホストなどのエンドポイントに割り当てられる16ビットのメタデータ識別子で、グループのメンバーシップを示します。GBPタグという用語は、ネットワーク全体にグループベースのポリシーを適用するためのこれらの識別子の使用を広く指しています。このドキュメントでは、これらの識別子を指すために GBPタグ という用語を使用します

GBPを使用したマイクロセグメンテーションとは何ですか?

マイクロセグメンテーションは、ユーザー、サーバー、VM、デバイスをエンドポイントグループに割り当て、エンドポイントグループ間でグループベースのポリシーを定義することで、エンドポイント間のトラフィック制御を管理します。

次の図は、VXLAN トポロジーの一部を示しています。

図1:エンドポイントグループNetwork topology showing SRX Series Firewall, aggregate switches, access switches VTEP1 and VTEP2, and four hosts in a VLAN subnet. Hosts grouped into Endpoint Group 1 and Endpoint Group 2 with green arrows for allowed traffic and red arrows for denied traffic, illustrating segmentation and traffic control through access policies.を使用したマイクロセグメンテーション

この図では、スパイン層のSRXファイアウォールが、一元化されたセキュリティとポリシーの適用として機能します。アクセス スイッチに接続された 4 台のホスト(Host1、Host2、Host3、Host4)。これらの4つのホストは、同じVLAN/サブネットに属しています。例えば、要件が次のようなものであると仮定します。

  • Host1とHost4は通信できます。
  • Host2とHost3は通信できます。
  • Host1 と Host4 は、Host2 と Host3 と通信してはなりません。

この要件に対処するために、ホストは次のようにエンドポイントグループ(EPG1およびEPG2)にグループ化されます。

  • Host1(スイッチ1上)とHost4(スイッチ2上)がエンドポイントグループ1(EPG1)に追加されます。
  • Host2(スイッチ1上)とHost3(スイッチ2上)がエンドポイントグループ2(EPG2)に追加されます。

エンドポイントがグループ化されたら、グループ内アクセスと分離、またはグループ間アクセスまたは分離を定義できます。つまり、両方のアクセス スイッチに、送信元グループが EPG1 で宛先グループが EPG2 の場合にトラフィックを拒否し、その逆も同様であるというポリシーが設定されています。同様に、送信元グループと宛先グループが同じ場合にトラフィックを許可する別のポリシーセットが作成されます。その結果、次のようになります。

  • Host2とHost3間の通信は、どちらもEPG2の一部であるため許可されます。
  • Host1とHost4間の通信は、どちらもEPG1の一部であるため許可されます。
  • ホストが異なるEPGに存在するため、Host1とHost2/Host4間の通信は許可されません。
  • ホストが異なるEPGに存在するため、Host3とHost4/Host2間の通信は許可されません。

グループタグの割り当て

GBPはタグを使用してトラフィックをマークし、ポリシーを適用します。割り当てプロセスでは、ビジネス機能に基づいて各エンドポイントを特定のタグにマッピングし、ポリシー検索プロセスで利用して、目的の通信パターンを適用します。キャンパスネットワークでは、次のいずれかの方法でエンドポイントにタグを割り当てることができます。

  • GBPタグ—ingressインターフェイス上のさまざまな一致に基づくタグ:

    • MACアドレス
    • ポート
    • VLAN
    • ポート、VLAN
    • サブネット/IPアドレス
  • RADIUSサーバー割り当てタグ—ネットワークアクセス制御にRADIUSサーバーを使用するネットワーク環境。エンドポイントは、エンドポイントのタイプまたはユーザーの認証とデバイスのフィンガープリントに基づいて、エンドポイントに配置されます。RADIUSサーバーは、ジュニパーVSAでグループタグを送信します。イングレスアクセススイッチは、RADIUSサーバーから送信されたグループタグを、そのMACアドレスによって生成されたすべてのトラフィックに関連付けることができます。
  • コントローラ割り当てタグ—Juniper Apstra ファブリックコンダクターなどのコントローラによって管理されるネットワーク環境では、タグはスイッチポートまたはスイッチポートに接続されたエンドポイントに割り当てられます。スイッチは、これらのエンドポイントからのすべてのトラフィックにタグを関連付けることができます。

GBPタグの仕組み

  • VM、コンテナ、ホストなどの各エンドポイントには、その役割や機能(Webサーバー、データベースサーバー、管理ワークステーションなど)に基づいてGBPタグが動的に割り当てられます。
  • GBPタグは、VXLANヘッダーに埋め込まれたり、メタデータとして伝送されたりしてトラフィックとともに伝送され、グループIDがパケットとともに確実に伝送されます。
  • SRXシリーズファイアウォール、またはその他のポリシー適用ポイントは、GBPタグを検査し、定義されたグループベースのポリシーに従ってトラフィックを処理する方法を決定します。
  • セキュリティポリシーは、送信元GBPタグと宛先GBPタグを一致させることで適用されるため、IPアドレスやネットワークトポロジーではなく、グループ関係に基づいて適用を決定できます

このアプローチにより、企業はVLANやサブネットなどの静的なネットワーク構造に制約されることなく、ビジネスロジックや組織構造を反映したポリシーを適用できます。

GBP用VXLANヘッダー

VXLAN-GBPは、VXLANヘッダーの予約済みフィールドを利用して、フレームに割り当てられたGBPタグを伝送します。次の図は、16ビットグループポリシーIDフィールドの例です。

図2:GBPStructure of a VXLAN packet showing encapsulation layers: Outer MAC, Outer IP, Outer UDP, VXLAN Header with VNI, Original Layer 2 Frame, and FCS.用VXLANヘッダー

適用上の課題

パケットが送信元 VTEP でカプセル化されると、VXLAN ヘッダーに送信元エンドポイントの GBP タグが含まれます。これにより、ダウンストリームデバイスは、誰がトラフィックを送信したかを知ることができます。宛先エンドポイントのGBPタグは、通常、VXLANヘッダーには含まれません。これは、サービスを提供するエンドポイントに関するローカルの知識を持つ宛先 VTEP でのみ認識されます。

ファイアウォールやポリシーエンジン(SRXなど)がファブリックの途中にある場合、送信先タグは表示されず、送信先タグは認識されないため、両方に依存するGBPルールを適用することが困難になります。この場合、送信元と宛先の両方のGBPタグに基づいてポリシーを適用するには、宛先エンドポイントとそのグループタグを認識するスイッチであるエグレスVTEPが最適です。これにより、正確なポリシー適用が保証されます。

イングレスデバイスまたはゲートウェイデバイスでタグベースのフィルタリングを有効にするには、ネットワークがファブリック全体のすべてのエンドポイントのグループタグ情報を共有するメカニズムをサポートする必要があります。例:EVPNタイプ5ルート(IPプレフィックスルート)は、GBPタグメタデータを含むBGPコミュニティを伝送できます。この設定により、オーバーレイ(SRXファイアウォールを含む)内のすべてのデバイスが、ローカルに接続されたエンドポイントだけでなく、すべてのエンドポイントのGBPタグを学習できます。

VXLAN間ネットワークにおけるグループタグ転送

VXLAN(仮想拡張LAN)環境では、VXLANはレイヤー2ネットワークをレイヤー3インフラストラクチャ全体に拡張するように設計されているため、異なるVXLAN(しばしばVNIまたは仮想ネットワーク識別子と呼ばれる)間のトラフィックVXLANに特別な処理が必要です。このような場合、グループに関連するポリシーやセキュリティ対策がトラフィックフロー全体で維持されるように、送信元グループIDをVXLANトンネル全体で保持する必要があります。

次の図は、VXLANカプセル化されたトラフィックを処理できるレイヤー 3 ゲートウェイを使用して、異なる VNI(VXLANセグメント)間でトラフィックをルーティングするプロセスを示しています。

図3:VXLAN間ネットワークNetwork topology illustrating VXLAN overlay networking with VLAN to VNI mapping, SRX Firewall, switches, VTEPs, VXLAN tunnels, and traffic flow between endpoint groups.におけるグループタグ転送

シナリオの概要:

  • Host1とHost4間の通信を確立する必要があります。
  • Host1 は、VNI 1000 で識別される VXLAN にあります。
  • ホスト4は、VNI 2000によって識別される別のVXLANに配置されています。
  • Host1とHost4は、同じエンドポイントグループ(EPG2)の一部です。

送信元グループタグ保持のためのトラフィックフローとVXLAN間ルーティング:

  1. Host1 は、Host4 宛てのパケットを送信します。Host1 の VNI(1000)に関連付けられている VTEP1(VXLAN トンネル エンドポイント 1)がこのパケットを受信します。Host4 は別の VXLAN(VNI 2000)に存在するため、VTEP1 はパケットを VNI 1000 のデフォルト ゲートウェイ、つまり L3 ゲートウェイ(この例では SRXシリーズ ファイアウォール)に転送します。ここでは、SRXシリーズファイアウォールがVTEPデバイスとして機能し、カプセル化とカプセル化解除を実行できます。
    注:SRXシリーズデバイスは、VXLANトンネルの終端および再生成はできますが、GBPソースタグは挿入されません。GBPタグの挿入は、リーフデバイスによってのみ実行されます。SRXデバイスはポリシー内のGBPタグを読み取り、評価できますが、生成または割り当てはできず、GBPタグの挿入に必要なマイクロセグメンテーションフィルターはSRXではサポートされていません。その結果、SRXはGBP処理には参加できますが、GBPタグ割り当て用のリーフデバイスとして機能することはできません。
  2. VTEP1 は、ポリシー適用に使用されるメタデータ識別子である EPG1(エンドポイント グループ)グループ ID を含む VXLAN ヘッダーでパケットをカプセル化します。カプセル化されたパケットは、レイヤー3ゲートウェイに送信されます。
  3. レイヤー 3 ゲートウェイは、VXLAN カプセル化パケットを受信します。パケットのカプセル化を解除し、内部ペイロードと送信元グループIDを調べます。ゲートウェイは、異なるVNI間でパケットをルーティングします(この場合は、VNI 1000からVNI 2000へ)。
  4. レイヤー3ゲートウェイは、VTEP2(Host4のVNIに関連付けられ、2000年)に転送するために、VXLANヘッダーでパケットを再カプセル化します。これにより、この再カプセル化プロセス中に、元のソースグループID(EPG1)がVXLANヘッダーに保持されます。
  5. VTEP2は、レイヤー3ゲートウェイからカプセル化されたパケットを受信します。パケットのカプセル化を解除し、VNI 2000 の Host4 に配信します。

グループタグの保持でVXLAN間トラフィックを効果的に管理するには、VXLAN トンネルエンドポイント(VTEP)間でカプセル化とカプセル化解除プロセスを処理するようにゲートウェイルーターを設定する必要があります。この設定は、転送中に送信元グループタグを保持し、異なるネットワークセグメント間で一貫したポリシー適用を可能にするために必要です。

サイト間または外部通信

次の図は、2つのデータセンター間の通信のためのスパインアンドリーフEVPN-VXLANトポロジーを示しています。

図4:サイト間通信 Network architecture diagram of a spine-leaf topology with VXLAN routing, Layer 3 connectivity via IPSec tunnel, SRX firewalls for security and routing, spine switches as backbone, leaf switches for workload connectivity, VXLAN Tunnel Endpoints marked with purple circles, routing instances as orange rectangles, and workloads connected to access switches.

このトポロジーでは、SRXシリーズファイアウォールは、VXLANセグメント間(つまり、異なるサブネットまたはVNI間)のトラフィックのレイヤー3ゲートウェイとして機能します。DC間トラフィック用にIPsecトンネルを確立し、サイトや外部ネットワーク間の暗号化通信を確保します。

ホスト トラフィックがスパインリーフ トポロジーを通過する場合、システムはまずパケットを VXLAN ヘッダーでカプセル化します。次に、追加のカプセル化(IPSec など)が必要かどうかを判断します。その場合、SRXはパケットを次のトンネルステージに向けて準備し、セキュアでポリシーに準拠した配信を確保します。

GBPの詳細については、「 VXLANでのグループベースのポリシーを使用したマイクロおよびマクロセグメンテーション」を参照してください。EVPN-VXLANのSRXシリーズファイアウォールの設定については、「 SRXシリーズデバイスによるEVPN-VXLANのトンネル検査」を参照してください。

グループベースポリシーの設定

VXLAN グループベースのポリシーを効果的に実装するには、設定シーケンスとオプションのプロセスを理解する必要があります。このセクションでは、EVPN-VXLAN導入におけるグループベースのポリシーに関連する設定シーケンスとサンプルを提供します。アンダーレイとオーバーレイの両方の構成を含む、EVPN-VXLAN ベースラインが正しく設定され、動作していることを確認します。

設定シーケンス

GBPを効果的に実装するには、以下のことが必要です。

  1. GBPタグを定義します。

    数値識別子であるGBPタグをエンドポイントに割り当て、論理セキュリティグループに分類します。これらのタグは、ネットワーク全体にIDベースのポリシーを適用するのに役立ちます。

    送信元と宛先の両方に設定できるGBPタグの最大数は128です。

  2. GBPタグ割り当てフィルターを作成します。 スイッチにフィルターを設定して、受信トラフィックにGBPタグを割り当てます。これらのフィルターは、インターフェイス(ポート)、MACアドレス、またはユーザー認証結果(RADIUS属性など)に基づいて設定できます。これにより、VXLANファブリックに入るトラフィックには、ダウンストリームのポリシー適用のためにグループIDで正しくタグ付けされます。

  3. GBPポリシー適用フィルターを設定します。 割り当てられたGBPタグに基づいてトラフィックにセキュリティ対策を適用するポリシーを開発し、セグメンテーションを達成するために許可またはブロックするトラフィックを制御します。

  4. VXLAN-GBPカプセル化を有効にします。 VXLANヘッダーのグループポリシーIDフィールド内にGBPタグを組み込むようにVXLANを設定し、VXLANファブリック全体でのタグの伝播を容易にします。

  5. 適用ポイントでのGBPポリシーの適用: デフォルトでは、送信元と宛先の両方のGBPタグが利用可能なエグレススイッチで適用されます。また、ジュニパーはオプションのイングレス適用もサポートしており、宛先タグをイングレスポイントに伝送する必要があります。

  6. 検証と監視: 運用コマンドを使用して、GBPタグの割り当て、ポリシーの適用、VXLANカプセル化が正しく機能していることを確認し、ポリシーが意図したとおりに適用されていることを確認します。

設定サンプル

GBPの設定は、CRB(Centrally Routed and Bridging)オーバーレイとエッジルーティングおよびブリッジングオーバーレイのどちらで実行しているかによって異なります。詳細については、「 VXLAN でのグループベースのポリシーを使用したマイクロおよびマクロセグメンテーション」を参照してください。

アクセススイッチまたはアグリゲートスイッチ上

  1. マイクロセグメンテーション機能を備えた「TEST-1」という名前のファイアウォールフィルターを設定します。フィルター内で条件「t1」の条件を指定します。サブネット20.20.20.0/24と2000::/64から発信されたIPv4トラフィックとIPv6トラフィックに一致します。次に、条件「t1」で指定された条件に一致するトラフィックに対するアクションを定義します。この場合、値が200の「gbp-tag」(グループベースのポリシータグ)が一致したトラフィックに適用されます。

  2. GBPポリシーの適用を設定します。GBP送信元タグ100とGBP宛先タグ200のパケットは、条件t100-200で一致し、受け入れられます。GBP送信元タグ100とGBP宛先タグ300のパケットは、条件t100-300で一致し、破棄されます。

  3. 次のステートメントを有効にすると、ingressノードでポリシーの適用が実行されます。

    ingressの適用は、egressで破棄されるはずのタグ付きパケットをingressで破棄することで、ネットワーク帯域幅を節約します。イングレス時またはそれに近い位置でのポリシー適用をサポートするため、EVPNタイプ2およびタイプ5ルート内の拡張BGPコミュニティを使用して、MACおよびIP-MACベースのタグをネットワーク全体に伝播します。詳細については、「VXLAN でのグループベースポリシーを使用したマイクロおよびマクロセグメンテーション』の「イングレスとタグ伝播」セクションの「ポリシー適用」を参照してください。

  4. GBPフィルターをルーティングインスタンスに関連付けます。ルーティングインスタンス内で、 TEST-1 フィルターを使用するようにEVPN-VXLAN GBPイングレスソースタグを設定します。

  5. インターフェイス ge-0/0/1のユニット0では、フィルターチェーン TEST-1 が適用され、送信元GBPタグがパケットヘッダーに確実にプッシュされます。

SRXシリーズファイアウォールの場合

  1. セキュリティポリシー zone-pol1 は、 trust ゾーンから untrust ゾーンに確立されます。

    ポリシーは、送信元GBPタグを含む多くの基準でトラフィックを一致させます: 200。トラフィックがこれらの基準すべてに一致する場合、ポリシーはフローを許可します。

  2. ファイアウォールのポリシーの詳細を確認します。

関連項目