Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

vSRX仮想ファイアウォール3.0上のGeneve Flow Infrastructure

このトピックでは、vSRX仮想ファイアウォール3.0上のGeneve flowインフラストラクチャの概要と設定について説明します。

概要

Geneve(Generic Network Virtualization Encapsulation)は、インターネット技術タスクフォース(IETF)によって開発されたネットワークカプセル化プロトコルです。

ジュネーブ プロトコルは、データ センター環境でのネットワーク仮想化のユース ケースをサポートします。このような環境では、ジュネーブトンネルは、クラウド環境(Amazon Web Services(AWS)やVMware環境など)で実行される仮想ネットワーク機能(VNF)のバックプレーンとして機能します。

Junos OS リリース 23.1R1 以降、vSRX仮想ファイアウォール 3.0(ジュニパーネットワーク®スのvSRX仮想ファイアウォール仮想ファイアウォールの現在のバージョン)は、ジュネーブ トンネル パケット処理用のジュネーブ フロー インフラストラクチャをサポートします。このサポートにより、vSRX仮想ファイアウォール3.0を使用して次のことが可能になります。

Geneve Flowインフラストラクチャのサポートにより、vSRX仮想ファイアウォール3.0で以下が可能になります。

  • さまざまなクラウド展開でトランジットルーターまたはトンネルエンドポイントデバイスの機能を実行します。

    たとえば、透過的なロードバランシングとパケットルーティングに Geneve プロトコルのカプセル化を使用する AWS Gateway Load Balancer (GWLB) サービスを使用して vSRX仮想ファイアウォール 3.0 をデプロイできます。

  • 受信した Geneve トンネル パケットのカプセル化とカプセル化解除を行います。

  • 内部トラフィックにレイヤー4(L4)およびレイヤー7(L7)サービスを適用します。

vSRX仮想ファイアウォール3.0は、クラウド導入のトンネルエンドポイントとして、レイヤー3(L3)インターフェイスでGeneveパケットを受信し、(インスペクション後に)パケットを同じ宛先エンドポイントに転送します。

以下を決定する検査プロファイルにポリシーを添付する必要があります。

  • vSRX仮想ファイアウォール3.0が処理するジュネーブトラフィックのタイプ。

  • vSRX仮想ファイアウォール3.0が内部トラフィックに適用するポリシー。

Geneve のトラフィックを傍受できるセキュリティ ポリシーを設定できます。ポリシーには、処理する Geneve トラフィックのタイプと内部トラフィックに適用するポリシーを指定するインスペクション プロファイルを添付する必要があります。

vSRX仮想ファイアウォール3.0で通常のセキュリティポリシーを設定して、内部トラフィックにL4およびL7サービスを適用できます。

何も変更せずにL3カプセル化されたトラフィックを受信した後、vSRX仮想ファイアウォール3.0は以下を実行します。

  1. 受信した Geneve トンネル パケットのカプセル化を解除します。
  2. トンネル ヘッダーを解析します。
  3. 内部 IP パケットに対して L4 および L7 インスペクションを実行します。
  4. トラフィックをカプセル化します。
  5. 宛先トンネルのエンドポイントにトラフィックを転送します。

Geneve Flow インフラストラクチャ サポートのメリット

  • データカプセル化:ネットワーク仮想化のためのトンネリングをサポートするフレームワークを提供します。

  • マルチテナントサポート:ネットワーク仮想化のためのトンネリングをサポートするフレームワークを提供します。AWSなどのマルチテナントクラウドプロバイダは、Geneveプロトコルを使用して透過的なロードバランシングを実行できます。

  • パケットの透過的なルーティングの実行—GWLBとvSRX仮想ファイアウォール3.0は、Geneveカプセル化を使用してアプリケーショントラフィックを相互に交換するため、GWLBは元のトラフィックの内容を保持することができます。

  • ヘルスチェック—ベンダー(AWSなど)は、Geneveトンネルを介してヘルスプローブを実行し、仮想マシン(VM)のステータスを確認できます。

Geneve パケットフロートンネルインスペクションのセキュリティポリシーの有効化

この設定を使用して、vSRX仮想ファイアウォール3.0でジュネーブパケットフロートンネル検査用のセキュリティポリシーを有効にします。

vSRX仮想ファイアウォール3.0インスタンスでのGeneveサポートにより、vSRX3.0を使用して次のことが可能になります。

  • キャンパス、データセンター、パブリッククラウド環境のエンドポイントとそのバンチを接続します。

  • これらの環境は、組み込みのセキュリティで保護します。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • vSRX仮想ファイアウォール3.0

  • Junos OS リリース 23.1R1

開始する前に、以下を実行します。

  • ジュネーブプロトコルがどのように機能するかを必ず理解してください。

概要

vSRX仮想ファイアウォール3.0インスタンスでのGeneve Flowのサポートは、キャンパスやデータセンターのネットワークを管理するための共通フレームワークを大企業に提供します。ジュネーブを拠点とするアーキテクチャは、拡張性、シンプルさ、俊敏性を確保することで、効率的なレイヤー3(L3)およびレイヤー4(L4)ネットワーク接続をサポートします。

この構成を使用すると、次のことができます。

  • セキュリティ ポリシーが Geneve トンネルのカプセル化された L3 パケットを処理できるようにします。

  • VNI およびベンダー TLV 属性に基づいて Geneve トラフィックの個別のプロファイルを作成 - インスペクション プロファイルにアタッチされたポリシーによって、処理する Geneve トラフィックのタイプと内部トラフィックに適用するポリシーを指定できます。

  • vSRX仮想ファイアウォール3.0で通常のセキュリティポリシーを設定して、内部トラフィックにL4およびL7サービスを適用します。

設定(トンネルエンドポイントとしてのvSRX仮想ファイアウォール3.0)

AWS GWLBとvSRX仮想ファイアウォール3.0をトンネルエンドポイントとして使用したSimplified Geneve トラフィックフロートポロジー

図1:AWS GWLBとトンネルエンドポイントAWS GWLB and vSRX Virtual Firewall 3.0 as Tunnel End-pointとしてのvSRX仮想ファイアウォール 3.0

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

手記:

trustゾーンとuntrustゾーンを定義して、すべてのホストトラフィックを許可します。

プロシージャ

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、Junos OS CLIユーザーガイド設定モードでCLIエディターを使用するを参照してください。

vSRX仮想ファイアウォール3.0でトンネルインスペクション用のGeneve flowサポートを設定するには:

  1. trustゾーンとuntrustゾーンを定義して、 [edit security zones] 階層のすべてのホストトラフィックを許可します。

  2. tunnel-inspectionプロファイルを定義します。

  3. 外部パケットに外部セッション ポリシーを定義し、参照されるトンネル インスペクション プロファイルを付加します

    手記:

    ポリシー設定では、トンネルエンドポイントとしてのvSRX仮想ファイアウォール3.0の外側ポリシーの to-zone は、トラフィックを処理するための組み込み(予約済み識別子)ゾーンである junos-hostである必要があります。

  4. カプセル化解除されたパケットを処理するために、 policy-set で内部ポリシーを定義します。

  5. VTEPC(仮想トンネルエンドポイントクライアント)の from-zone に関連付けられたインターフェイスを設定して、Geneveカプセル化されたパケットとヘルスチェックパケットを受信します。

業績

設定モードから、 show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスでの機能の設定が完了したら、設定モードから commit を入力します。

トンネル インスペクション プロファイルと VNI の確認

目的

tunnel-inspection プロファイルと VXLAN ネットワーク識別子(VNI)が設定されていることを確認します。

アクション

動作モードから、 show security tunnel-inspection profiles ti-vendor コマンドと show security tunnel-inspection vnis コマンドを入力します。

意味

出力には、Geneve トンネル検査プロファイルが有効で、VXLAN ネットワーク識別子(VNI)が設定されていることが示されています。

トンネル インスペクション プロファイルと VNI の確認

目的

tunnel-inspection プロファイルと VXLAN ネットワーク識別子(VNI)が設定されていることを確認します。

アクション

動作モードから、 show security tunnel-inspection profiles ti-vendor コマンドと show security tunnel-inspection vnis コマンドを入力します。

意味

出力には、Geneve トンネル検査プロファイルが有効で、VXLAN ネットワーク識別子(VNI)が設定されていることが示されています。

設定(トランジットルーターとしてのvSRX仮想ファイアウォール3.0)

簡素化されたジュネーブのトラフィックフロートポロジー トランジットルーターとしてのvSRX仮想ファイアウォール3.0

この導入モードでは、仮想トンネルエンドポイントクライアント(vtepc)(Geneve Tunnelエンドポイント)は、クライアントとサーバーの両方を宛先とするパケットが仮想トンネルエンドポイントサーバー(vteps)(vSRX仮想ファイアウォール3.0)を通過するようにする必要があります。送信元ポートは、仮想トンネルエンドポイント(VTEP)によって選択されます。

図 2:トランジット ルーター Simplified Topology of vSRX Virtual Firewall 3.0 as Transit Routerとしての vSRX仮想ファイアウォール 3.0 の簡略化されたトポロジー

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。

プロシージャ

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、Junos OS CLIユーザーガイド設定モードでCLIエディターを使用するを参照してください。

vSRX仮想ファイアウォール3.0(トランジットルーターとしてのvSRX仮想ファイアウォール3.0)でトンネル検査用のジュネーブフローサポートを設定するには:

  1. trustゾーンとuntrustゾーンを定義して、 [edit security zones] 階層のすべてのホストトラフィックを許可します。

  2. tunnel-inspectionプロファイルを定義します。

  3. 外部セッションポリシーを定義します。

    手記:

    トランジットルーターとしてのvSRX仮想ファイアウォール3.0の場合、各方向に2つのポリシーが必要です。 from-zoneto-zone は、インターフェイスの下で定義する必要があるそれぞれのゾーンです。

  4. カプセル化解除されたパケットを処理するために、 policy-set で内部ポリシーを定義します。

  5. VTEPC(仮想トンネルエンドポイントクライアント)の from-zone に関連付けられたインターフェイスを設定して、Geneveカプセル化されたパケットとヘルスチェックパケットを受信します。

    手記:

    トランジットモードの場合、vSRX仮想ファイアウォール3.0は、イングレスとエグレス用に2つのL3インターフェイスで設定する必要があります。

業績

設定モードから、 show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスでの機能の設定が完了したら、設定モードから commit を入力します。

参照