Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

ゼロトラストのインラインセグメンテーション設計時の考慮事項

サポートされているハードウェアとファームウェアの活用

ZTIS導入を計画する際には、次の設計上の考慮事項を注意深く確認してください。ご不明な点がある場合は、ジュニパーまでお問い合わせください。

  • ブランチまたはキャンパスファブリック環境のアクセススイッチでは、現在サポートされているのはジュニパーネットワークス® EX4400スイッチとジュニパーネットワークス® EX4100スイッチのみです。これは、適用機能がVXLANベースの転送とブロックを使用して内部で動作するためであり、それには特定のハードウェア機能が必要となります。
  • キャンパスファブリックの設計では、適用が行われるアクセスレイヤーで常にZTIS対応スイッチが必要となります。デスクトップスイッチなどのダウンストリームスイッチは、そこで適用されることを想定して接続することは避けてください。適用は、トラフィックがスイッチングネットワークに入るポイントでのみ開始できます。
  • AP-21、AP-41、AP-61などのサポートが終了した古いAPはZTISに対応していないため、ZTIS導入には使用できません。
  • ジュニパーネットワークススイッチ上のZTISに必要な最小Junosファームウェアバージョンは、24.4R2-S3または25.4R1-S1です。
  • vJunos-Switchなどの仮想スイッチは、ZTISをサポートしており、特に適用機能はサポートされていません。

ゼロトラストのインラインセグメンテーション、GBPタグの割り当て、ポリシーの制限

  • ZTISでは、送信元IPv4またはIPv6アドレスに基づく静的GBPタグの割り当ては、設計上レイヤー2ベースの割り当て方法しか許可されていないため、サポートされていません。送信元 IP アドレスを使用した静的 GBP タグの割り当ては、IP Clos EVPN ファブリックでのみサポートされています。ZTISで同様の結果を得るには、代わりに宛先IPアドレスに一致するポリシーの使用を検討してください。
  • GBPデフォルトの破棄ポリシー条件の設定はZTISではサポートされておらず、IP Clos EVPNファブリックでのみ使用できます。ZTIS導入の代替案として、宛先IPアドレスに基づいてインターネットトラフィックのブロックポリシーを実装して、同様の動作を提供することを検討してください。
  • 宛先IPプレフィックスをGBPタグと一緒に組み合わせることはできません。

作成されるポリシー数を最適化する

IP Clos設計では、ポリシーの数は約250ルールに制限されています。ZTISを使用する際に異なるプロファイルを使用するため、アクセススイッチでテストされるポリシーの制限は高く、約1,500ルールになります。この制限に近いルールを大量に作成した場合、GBP宛先の「許可」ポリシーをすべて削除し、「拒否」ポリシーのみがアクセススイッチに作成されるため、そのまま残すことを検討してください。

宛先IPアドレスを使用する場合、ルールを実装する際にもう少し注意する必要があります。機能的に同じにするには、「許可」ルールを維持する必要があるかもしれませんが、以下の例のように、宛先IPアドレスルールでより具体的な「許可」ルールを前に削除することもできます。

最適化されていないスイッチポリシーセットの以下の例を参照してください。

図1:最適化されていないGBPポリシーUnoptimized GBP Policies

と比較すると、最適化されたポリシーセットの機能は同じです。

図2:最適化されたGBPポリシーOptimized GBP Policies

導入タイプに応じてサポートされるGBP機能と制限

各設計で利用可能な機能については、以下の表をご覧ください。

表1:サポートされるGBPの機能と制限
機能 ZTIS支社/拠点 IP Clos
EAP使用時の動的GBPタグ割り当て はい はい
MAB使用時の動的GBPタグ割り当て はい はい
MACアドレス経由の静的GBPタグ割り当て はい はい
VLAN経由の静的GBPタグ割り当て EX4400シリーズのみ EX4400シリーズのみ
静的送信元IPプレフィックスGBPタグ割り当て いいえ はい
同じVLAN内でのSRCおよびDST GBPタグベースのポリシー適用 はい はい
同一VRF内の異なるVLAN間でのSRCおよびDST GBPタグベースのポリシー適用 いいえ はい
宛先IPプレフィックスベースのポリシー適用 はい いいえ
レイヤー4ベースのポリシー適用 はい はい(新しいUI)
デフォルトの拒否ポリシーの機能 いいえ はい(手動 CLI)
最大ポリシールール数 1.500 250
ZTISアクセスポイントからネットワークへのGBPタグの伝搬 はい いいえ

既知の Junos OS スイッチ ファームウェア ノート

アクセス スイッチで GBP を初めて設定する場合は、機能をアクティブ化して使用する前にメンテナンス ウィンドウを計画する必要があります。変更を有効にするには、Junos OSでコントロールプレーンを再起動する必要があります。

  • スタンドアロンスイッチでは、パケット転送エンジン(PFE)を再起動するだけで、GBPアクティブ化に必要なコントロールプレーンの再起動をトリガーできます。
  • バーチャルシャーシでは、GBPアクティベーションに必要なコントロールプレーンの再起動を完了するには、バーチャルシャーシ全体のフルブートが必要です。

既知のハードウェア制限

ジュニパーネットワークス® EX4100スイッチには、以下の 文書化された制限があります。

  • インターフェイスまたはポートおよびVLAN IDに基づく静的なGBPタグの割り当ては、EX4100スイッチではサポートされていません。
  • 静的 VLAN ID ベースの GBP タグの割り当ては、EX4100 スイッチではサポートされていません。

導入にEX4400スイッチとEX4100スイッチの両方が含まれており、ネットワークを使用してVLANにGBPタグを割り当てている場合、ジュニパーMistクラウドは、サポートされていない設定がEX4100スイッチに適用されないように自動的に保証します。

図3:VLAN用静的GBPタグ Static GBP-Tag for VLAN Assignの割り当て

ジュニパーMistポータルの既知の制限事項

現在のバージョンのジュニパー Mistポータルでは、次の静的GBPタグとポリシーの割り当てがサポートされています。

  • 静的GBPタグの割り当て
    • サブネットと呼ばれるソース IPv4 プレフィックスベースの静的 GBP タグ割り当て。注:このオプションはZTISではサポートされておらず、IP Clos EVPNファブリックでのみ使用できます。
    • MAC アドレスと呼ばれるMACアドレスホストベースの静的GBPタグ割り当て。
    • ネットワークと呼ばれるVLAN IDベースの静的GBPタグ割り当て。注:EX4400スイッチにのみ使用できます。
  • ポリシー作成
    • 宛先IPv4アドレス。
    • 宛先ポートとプロトコル。

現在、以下を利用したい場合は、追加のJunos OS CLIコマンドを使用する必要があります。

  • 静的なソース IPv6 アドレスベースの GBP タグ割り当て。
  • 宛先IPv6アドレスポリシー
  • スイッチポートベース(インターフェイスベース)の静的GBPタグ割り当て。
  • スイッチポートベース(インターフェイスベース)およびVLAN IDベースの静的GBPタグの割り当て。