Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ジュネーブ パケット フロー トンネル インスペクション

Geneve パケットフロートンネルインスペクションのセキュリティポリシーの有効化

この設定を使用して、vSRX仮想ファイアウォール3.0でジュネーブパケットフロートンネル検査用のセキュリティポリシーを有効にします。

vSRX仮想ファイアウォール3.0インスタンスでのGeneveサポートにより、vSRX3.0を使用して次のことが可能になります。

  • キャンパス、データセンター、パブリッククラウド環境のエンドポイントとそのバンチを接続します。

  • これらの環境は、組み込みのセキュリティで保護します。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • vSRX仮想ファイアウォール3.0

  • Junos OS リリース 23.1R1

開始する前に、以下を実行します。

  • ジュネーブプロトコルがどのように機能するかを必ず理解してください。

概要

vSRX仮想ファイアウォール3.0インスタンスでのGeneve Flowのサポートは、キャンパスやデータセンターのネットワークを管理するための共通フレームワークを大企業に提供します。ジュネーブを拠点とするアーキテクチャは、拡張性、シンプルさ、俊敏性を確保することで、効率的なレイヤー3(L3)およびレイヤー4(L4)ネットワーク接続をサポートします。

この構成を使用すると、次のことができます。

  • セキュリティ ポリシーが Geneve トンネルのカプセル化された L3 パケットを処理できるようにします。

  • VNI およびベンダー TLV 属性に基づいて Geneve トラフィックの個別のプロファイルを作成 - インスペクション プロファイルにアタッチされたポリシーによって、処理する Geneve トラフィックのタイプと内部トラフィックに適用するポリシーを指定できます。

  • vSRX仮想ファイアウォール3.0で通常のセキュリティポリシーを設定して、内部トラフィックにL4およびL7サービスを適用します。

設定(トンネルエンドポイントとしてのvSRX仮想ファイアウォール3.0)

AWS GWLBとvSRX仮想ファイアウォール3.0をトンネルエンドポイントとして使用したSimplified Geneve トラフィックフロートポロジー

図1:AWS GWLBとトンネルエンドポイントAWS GWLB and vSRX Virtual Firewall 3.0 as Tunnel End-pointとしてのvSRX仮想ファイアウォール 3.0

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

手記:

trustゾーンとuntrustゾーンを定義して、すべてのホストトラフィックを許可します。

プロシージャ

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、Junos OS CLIユーザーガイド設定モードでCLIエディターを使用するを参照してください。

vSRX仮想ファイアウォール3.0でトンネルインスペクション用のGeneve flowサポートを設定するには:

  1. trustゾーンとuntrustゾーンを定義して、 [edit security zones] 階層のすべてのホストトラフィックを許可します。

  2. tunnel-inspectionプロファイルを定義します。

  3. 外部パケットに外部セッション ポリシーを定義し、参照されるトンネル インスペクション プロファイルを付加します

    手記:

    ポリシー設定では、トンネルエンドポイントとしてvSRX仮想ファイアウォール3.0の場合の外側ポリシーの to-zone は、トラフィックを処理するための組み込み(予約済み識別子)ゾーンである junos-hostである必要があります。

  4. カプセル化解除されたパケットを処理するために、 policy-set で内部ポリシーを定義します。

  5. VTEPC(仮想トンネルエンドポイントクライアント)の from-zone に関連付けられたインターフェイスを設定して、Geneveカプセル化されたパケットとヘルスチェックパケットを受信します。

業績

設定モードから、 show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスでの機能の設定が完了したら、設定モードから commit を入力します。

トンネル インスペクション プロファイルと VNI の確認

目的

tunnel-inspection プロファイルと VXLAN ネットワーク識別子(VNI)が設定されていることを確認します。

アクション

動作モードから、 show security tunnel-inspection profiles ti-vendor コマンドと show security tunnel-inspection vnis コマンドを入力します。

意味

出力には、Geneve トンネル検査プロファイルが有効で、VXLAN ネットワーク識別子(VNI)が設定されていることが示されています。

トンネル インスペクション プロファイルと VNI の確認

目的

tunnel-inspection プロファイルと VXLAN ネットワーク識別子(VNI)が設定されていることを確認します。

アクション

動作モードから、 show security tunnel-inspection profiles ti-vendor コマンドと show security tunnel-inspection vnis コマンドを入力します。

意味

出力には、Geneve トンネル検査プロファイルが有効で、VXLAN ネットワーク識別子(VNI)が設定されていることが示されています。

設定(トランジットルーターとしてのvSRX仮想ファイアウォール3.0)

簡素化されたジュネーブのトラフィックフロートポロジー トランジットルーターとしてのvSRX仮想ファイアウォール3.0

この導入モードでは、仮想トンネルエンドポイントクライアント(vtepc)(Geneve Tunnelエンドポイント)は、クライアントとサーバーの両方を宛先とするパケットが仮想トンネルエンドポイントサーバー(vteps)(vSRX仮想ファイアウォール3.0)を通過するようにする必要があります。送信元ポートは、仮想トンネルエンドポイント(VTEP)によって選択されます。

図 2:トランジット ルーター Simplified Topology of vSRX Virtual Firewall 3.0 as Transit Routerとしての vSRX仮想ファイアウォール 3.0 の簡略化されたトポロジー

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

プロシージャ

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、Junos OS CLIユーザーガイド設定モードでCLIエディターを使用するを参照してください。

vSRX仮想ファイアウォール3.0(トランジットルーターとしてのvSRX仮想ファイアウォール3.0)でトンネル検査用のジュネーブフローサポートを設定するには:

  1. trustゾーンとuntrustゾーンを定義して、 [edit security zones] 階層のすべてのホストトラフィックを許可します。

  2. tunnel-inspectionプロファイルを定義します。

  3. 外部セッションポリシーを定義します。

    手記:

    トランジットルーターとしてのvSRX仮想ファイアウォール3.0の場合、各方向に2つのポリシーが必要です。 from-zoneto-zone は、インターフェイスの下で定義する必要があるそれぞれのゾーンです。

  4. カプセル化解除されたパケットを処理するために、 policy-set で内部ポリシーを定義します。

  5. VTEPC(仮想トンネルエンドポイントクライアント)の from-zone に関連付けられたインターフェイスを設定して、Geneveカプセル化されたパケットとヘルスチェックパケットを受信します。

    手記:

    トランジットモードの場合、vSRX仮想ファイアウォール3.0は、イングレスとエグレス用に2つのL3インターフェイスで設定する必要があります。

業績

設定モードから、 show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスでの機能の設定が完了したら、設定モードから commit を入力します。

参照