Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vSRX 3.0のGeneve Flow Infrastructure

このトピックでは、vSRX 3.0上のGeneveフローインフラストラクチャの概要と設定について説明します。

概要

Generic Network Virtualization Encapsulation(Geneve)は、インターネット技術タスクフォース(IETF)が開発したネットワークカプセル化プロトコルです。

Geneveプロトコルは、データセンター環境におけるネットワーク仮想化のユースケースをサポートします。このような環境では、Geneveトンネルは、クラウド導入(Amazon Web Services(AWS)やVMwareの導入など)で実行される仮想ネットワーク機能(VNF)用のバックプレーンとして機能します。

Junos OSリリース23.1R1以降、ジュニパーネットワークス® vSRX仮想ファイアウォールの現在のバージョンであるvSRX 3.0は、Geneveトンネルパケット処理のためのGeneveフローインフラストラクチャをサポートします。このサポートにより、vSRX 3.0 を使用して以下のことができます。

Geneveフローインフラストラクチャのサポートにより、vSRX 3.0は以下を実現できます。

  • さまざまなクラウド導入でトランジット ルーターまたはトンネル エンドポイント デバイスの機能を実行します。

    例えば、透過的なロードバランシングとパケットルーティングのためにGeneveプロトコルカプセル化を使用するAWSゲートウェイロードバランサー(GWLB)サービスでvSRX 3.0を導入できます。

  • 受信したGeneveトンネルパケットのカプセル化とカプセル化解除を行います。

  • 内側トラフィックにレイヤー4(L4)およびレイヤー7(L7)サービスを適用します。

クラウド導入におけるトンネルエンドポイントとしてのvSRX 3.0は、レイヤー3(L3)インターフェイスでGeneveパケットを受信し、パケット(検査後)を同じ宛先エンドポイントに転送します。

以下を決定する検査プロファイルにポリシーをアタッチする必要があります。

  • vSRX 3.0が処理するGeneveトラフィックのタイプ。

  • vSRX 3.0が内部トラフィックに適用するポリシー。

Geneveトラフィックを傍受できるセキュリティポリシーを設定できます。ポリシーは、処理するGeneveトラフィックのタイプと、内部トラフィックに適用するポリシーを決定するインスペクションプロファイルにアタッチする必要があります。

vSRX 3.0で通常のセキュリティポリシーを設定して、内部トラフィックにL4およびL7サービスを適用できます。

L3 カプセル化されたトラフィックを変更せずに受信した後、vSRX 3.0:

  1. 受信したGeneveトンネルパケットのカプセル化を解除します。
  2. トンネルヘッダーを分析します。
  3. 内部 IP パケットに対して L4 および L7 インスペクションを実行します。
  4. トラフィックをカプセル化します。
  5. トラフィックを宛先トンネル エンドポイントに転送します。

Geneve Flow Infrastructureサポートのメリット

  • データカプセル化:ネットワーク仮想化のためのトンネリングをサポートするフレームワークを提供します。

  • マルチテナントサポート:ネットワーク仮想化のためのトンネリングをサポートするフレームワークを提供します。AWSなどのマルチテナントクラウドプロバイダは、Geneveプロトコルを使用して透過的なロードバランシングを実行できます。

  • パケットの透過的なルーティングを実行します。- GWLB と vSRX 3.0 は Geneve カプセル化を使用してアプリケーション トラフィックを相互に交換します。これにより、GWLB は元のトラフィックのコンテンツを保持できます。

  • 正常性チェック - ベンダー(AWS など)は、Geneve トンネルを介して正常性プローブを実行して、仮想マシン(VM)のステータスを判断できます。

Geneve Packet Flow Tunnel Inspectionのセキュリティポリシーを有効にする

概要 この設定を使用して、Geneveパケットフロートンネル検査のvSRX 3.0でセキュリティポリシーを有効にします。

vSRX 3.0インスタンスでGeneveがサポートされている場合、vSRX3.0を使用して以下を実行できます。

  • キャンパス、データ センター、パブリック クラウド環境とそのバンチ内のエンド ポイントを接続します。

  • 組み込みのセキュリティでこれらの環境を保護します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • vSRX 3.0

  • Junos OS リリース 23.1R1

開始する前に、以下を行います。

  • Geneveプロトコルの仕組みを理解していることを確認してください。

概要

vSRX 3.0インスタンスのGeneveフローサポートにより、大企業はキャンパスネットワークとデータセンターネットワークを管理するための共通フレームワークを提供します。Geneveベースのアーキテクチャは、拡張性、シンプルさ、俊敏性を確保することで、効率的なレイヤー3(L3)およびレイヤー4(L4)ネットワーク接続をサポートします。

この設定を使用すると、次のことができます。

  • セキュリティポリシーが、Geneveトンネルカプセル化されたL3パケットを処理できるようにします。

  • VNIおよびベンダーTLV属性に基づいてGeneveトラフィックに対して個別のプロファイルを作成します。一度インスペクションプロファイルに接続すると、Geneveトラフィックのタイプと内部トラフィックに適用されるポリシーが決定されます。

  • vSRX 3.0で通常のセキュリティポリシーを設定し、内部トラフィックにL4およびL7サービスを適用します。

設定(トンネルエンドポイントとしてのvSRX 3.0)

AWS GWLBおよびvSRX 3.0をトンネルエンドポイントとして使用した簡素化されたGeneve Traffic Flow Topology

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイドの 設定モードでのCLIエディターの使用を参照してください。

vSRX 3.0でトンネルインスペクションのGeneveフローサポートを設定するには:

  1. セキュリティ ゾーンを定義します。

  2. プロファイルを定義します tunnel-inspection

  3. 外部パケットに対する外部セッションポリシーを定義し、参照されるトンネルインスペクションプロファイルをアタッチします。

    メモ:

    ポリシー設定では、 to-zone vSRX 3.0の場合はトンネルエンドポイントとしての外部ポリシーの は、トラフィックを処理するための組み込み(予約された識別子)ゾーンである junos-hostである必要があります。

  4. カプセル化解除されたパケットを処理する の下 policy-set で内部ポリシーを定義します。

  5. 仮想トンネルエンドポイントクライアント(VTEPC)に関連付けられた from-zone インターフェイスを設定して、Geneveカプセル化パケットとヘルスチェックパケットを受信します。

結果

設定モードから、 コマンドを入力して設定を show security policies 確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスで機能の設定が完了したら、設定モードから を入力 commit します。

トンネルインスペクションプロファイルとVNIの検証

目的

プロファイルと VNI(VXLAN ネットワーク識別子)が設定 tunnel-inspection されていることを確認します。

アクション

動作モードから、 および show security tunnel-inspection vnis コマンドをshow security tunnel-inspection profiles ti-vendor入力します。

意味

出力には、Geneveトンネルインスペクションプロファイルが有効で、VNI(VXLANネットワーク識別子)が設定されていることを示しています。

トンネルインスペクションプロファイルとVNIの検証

目的

プロファイルと VNI(VXLAN ネットワーク識別子)が設定 tunnel-inspection されていることを確認します。

アクション

動作モードから、 および show security tunnel-inspection vnis コマンドをshow security tunnel-inspection profiles ti-vendor入力します。

意味

出力には、Geneveトンネルインスペクションプロファイルが有効で、VNI(VXLANネットワーク識別子)が設定されていることを示しています。

設定(トランジット ルーターとしての vSRX 3.0)

トランジットルーターとしての簡素化されたGeneveトラフィックフロートポロジーvSRX 3.0

この導入モードでは、仮想トンネルエンドポイントクライアント(vtepc)(Geneveトンネルエンドポイント)が、クライアントとサーバーの両方宛てのパケットが仮想トンネルエンドポイントサーバー(vteps)(vSRX 3.0)を通過することを確認する必要があります。送信元ポートは、仮想トンネルエンドポイント(vtep)によって選択されます。

図 1:トランジット ルーターとしての vSRX 3.0 の簡素化されたトポロジー Simplified Topology of vSRX 3.0 as Transit Router

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイドの 設定モードでのCLIエディターの使用を参照してください。

vSRX 3.0(トランジットルーターとしてvSRX 3.0)でのトンネルインスペクションのGeneveフローサポートを設定するには:

  1. セキュリティ ゾーンを定義します。

  2. プロファイルを定義します tunnel-inspection

  3. 外部セッションポリシーを定義します。

    メモ:

    トランジット ルーターとしての vSRX 3.0 の場合、各方向に 2 つのポリシーが必要です。と to-zonefrom-zone、インターフェイスで定義する必要があるそれぞれのゾーンです。

  4. カプセル化解除されたパケットを処理する の下 policy-set で内部ポリシーを定義します。

  5. 仮想トンネルエンドポイントクライアント(VTEPC)に関連付けられた from-zone インターフェイスを設定して、Geneveカプセル化パケットとヘルスチェックパケットを受信します。

    メモ:

    トランジット モードの場合、vSRX 3.0 にイングレスとエグレス用の 2 つの L3 インターフェイスを設定する必要があります。

結果

設定モードから、 コマンドを入力して設定を show security policies 確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスで機能の設定が完了したら、設定モードから を入力 commit します。