Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vSRX仮想ファイアウォール3.0上のジュネーブフローインフラストラクチャ

このトピックでは、vSRX仮想ファイアウォール3.0でのGeneveフローインフラストラクチャの概要と設定について説明します。

概要

汎用ネットワーク仮想化カプセル化(Geneve)は、インターネット技術タスクフォース(IETF)により開発されたネットワークカプセル化プロトコルです。

ジュネーブプロトコルは、データセンター環境でのネットワーク仮想化のユースケースをサポートします。このような環境では、ジュネーブのトンネルは、アマゾン ウェブ サービス(AWS)やVMwareの導入など、クラウド展開で実行される仮想ネットワーク機能(VNF)のバックプレーンとして機能します。

Junos OSリリース23.1R1以降、vSRX仮想ファイアウォール3.0(ジュニパーネットワーク®スvSRX仮想ファイアウォール仮想ファイアウォールの最新バージョン)は、ジュネーブトンネルパケット処理用のジュネーブフローインフラストラクチャをサポートします。このサポートにより、vSRX仮想ファイアウォール3.0を使用して以下のことが可能になります。

Geneveフローインフラストラクチャのサポートにより、vSRX仮想ファイアウォール3.0は以下を実現します。

  • さまざまなクラウド展開でトランジットルーターまたはトンネルエンドポイントデバイスの機能を実行します。

    たとえば、透過的な負荷分散とパケットルーティングにジュネーブプロトコルカプセル化を使用するAWSゲートウェイロードバランサー(GWLB)サービスとともにvSRX仮想ファイアウォール3.0を展開できます。

  • 受信した Geneve トンネルパケットのカプセル化とカプセル化解除を行います。

  • 内部トラフィックにレイヤー 4(L4)およびレイヤー 7(L7)サービスを適用します。

vSRX仮想ファイアウォール3.0は、クラウド導入のトンネルエンドポイントとして、レイヤー3(L3)インターフェイスでGeneveパケットを受信し、パケットを(検査後に)同じ宛先エンドポイントに転送します。

以下を決定するインスペクション プロファイルを持つポリシーをアタッチする必要があります。

  • vSRX仮想ファイアウォール3.0が処理するジュネーブトラフィックのタイプ。

  • vSRX仮想ファイアウォール3.0が内部トラフィックに適用するポリシー。

Geneve トラフィックを傍受できるセキュリティ ポリシーを設定できます。ポリシーには、処理する Geneve トラフィックのタイプと内部トラフィックに適用するポリシーを指示するインスペクション プロファイルをアタッチする必要があります。

vSRX仮想ファイアウォール3.0で通常のセキュリティポリシーを設定して、内部トラフィックにL4およびL7サービスを適用できます。

変更なしでL3カプセル化トラフィックを受信した後、vSRX仮想ファイアウォール3.0:

  1. 受信した Geneve トンネル パケットのカプセル化を解除します。
  2. トンネル ヘッダーを分析します。
  3. 内部 IP パケットに対して L4 および L7 インスペクションを実行します。
  4. トラフィックをカプセル化します。
  5. 宛先トンネルのエンドポイントにトラフィックを転送します。

ジュネーブフローインフラストラクチャサポートの利点

  • データカプセル化 - ネットワーク仮想化のトンネリングをサポートするフレームワークを提供します。

  • マルチテナントサポート:ネットワーク仮想化のトンネリングをサポートするフレームワークを提供します。AWSなどのマルチテナントクラウドプロバイダーは、Geneveプロトコルを使用して透過的な負荷分散を実行できます。

  • パケットの透過的なルーティングを実行します—GWLBとvSRX仮想ファイアウォール3.0は、ジュネーブのカプセル化を使用してアプリケーショントラフィックを相互に交換するため、GWLBは元のトラフィックのコンテンツを保持できます。

  • ヘルスチェック:ベンダー(AWSなど)は、Geneveトンネルを介してヘルスプローブを実行して、仮想マシン(VM)のステータスを判断できます。

ジュネーブパケットフロートンネルインスペクションのセキュリティポリシーを有効にする

概要 この設定を使用して、Geneve パケット フロー トンネル検査用の vSRX 仮想ファイアウォール 3.0 のセキュリティ ポリシーを有効にします。

vSRX仮想ファイアウォール3.0インスタンスでのGeneveサポートにより、vSRX3.0を使用して以下のことが可能になります。

  • キャンパス、データセンター、パブリッククラウド環境のエンドポイントとそのバンシェを接続します。

  • 埋め込みのセキュリティでこれらの環境を保護します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • vSRX仮想ファイアウォール3.0

  • Junos OSリリース23.1R1

始める前に:

  • ジュネーブプロトコルがどのように機能するかを理解していることを確認してください。

概要

vSRX仮想ファイアウォール3.0インスタンスでのGeneveフローサポートは、キャンパスとデータセンターネットワークを管理するための共通フレームワークを大企業に提供します。Geneveベースのアーキテクチャは、拡張性、シンプルさ、俊敏性を確保することで、効率的なレイヤー3(L3)およびレイヤー4(L4)ネットワーク接続をサポートします。

この設定を使用すると、次のことができます。

  • セキュリティ ポリシーを有効にして、Geneve トンネルでカプセル化された L3 パケットを処理できるようにします。

  • VNI およびベンダー TLV 属性に基づいて Geneve トラフィックに個別のプロファイルを作成する - インスペクション プロファイルに付加されたポリシーによって、処理される Geneve トラフィックのタイプと内部トラフィックに適用されるポリシーが決まります。

  • vSRX仮想ファイアウォール3.0で通常のセキュリティポリシーを設定して、内部トラフィックにL4およびL7サービスを適用します。

設定(トンネルエンドポイントとしてのvSRX仮想ファイアウォール3.0)

AWS GWLBとvSRX仮想ファイアウォール3.0をトンネルエンドポイントとした、簡素化されたジュネーブトラフィックフロートポロジー

図1:トンネルエンドポイントとしてのAWS GWLBとvSRX仮想ファイアウォール3.0 AWS GWLB and vSRX Virtual Firewall 3.0 as Tunnel End-point

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

メモ:

信頼ゾーンと信頼解除ゾーンを定義して、すべてのホストトラフィックを許可します。

手順

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイド設定モードでCLIエディターを使用するを参照してください。

vSRX仮想ファイアウォール3.0のトンネルインスペクションにGeneveフローサポートを設定するには、次の手順に従います。

  1. 信頼ゾーンとuntrustゾーンを定義して、階層下にある [edit security zones] すべてのホストトラフィックを許可します。

  2. tunnel-inspectionプロファイルを定義します。

  3. 外部セッションポリシーを外部パケットに定義し、参照先のトンネルインスペクションプロファイルをアタッチします

    メモ:

    ポリシー設定では、トンネルエンドポイントとしてのvSRX仮想ファイアウォール3.0の場合の外部ポリシーの は、 to-zone トラフィックを処理するための組み込み(予約済み識別子)ゾーンである である必要があります junos-host

  4. カプセル化解除されたパケットを処理するために、 の下に policy-set 内部ポリシーを定義します。

  5. VTEPC(仮想トンネルエンドポイントクライアント)の に関連付けられた from-zone インターフェイスを設定して、ジュネーブカプセル化パケットとヘルスチェックパケットを受信します。

結果

設定モードから、 コマンドを入力して show security policies 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスで機能の設定が完了したら、設定モードから を入力します commit

トンネル検査プロファイルとVNIの確認

目的

プロファイルと VXLAN ネットワーク識別子(VNI)が設定されていることを確認します tunnel-inspection

アクション

動作モードから、 および show security tunnel-inspection vnis コマンドを入力しますshow security tunnel-inspection profiles ti-vendor

意味

出力には、Geneve トンネルインスペクションプロファイルが有効で、VXLAN ネットワーク識別子(VNI)が設定されていることが表示されます。

トンネル検査プロファイルとVNIの確認

目的

プロファイルと VXLAN ネットワーク識別子(VNI)が設定されていることを確認します tunnel-inspection

アクション

動作モードから、 および show security tunnel-inspection vnis コマンドを入力しますshow security tunnel-inspection profiles ti-vendor

意味

出力には、Geneve トンネルインスペクションプロファイルが有効で、VXLAN ネットワーク識別子(VNI)が設定されていることが表示されます。

設定(トランジットルーターとしてのvSRX仮想ファイアウォール3.0)

簡素化されたジュネーブのトラフィックフロートポロジー トランジットルーターとしてのvSRX仮想ファイアウォール3.0

この導入モードでは、仮想トンネルエンドポイントクライアント(vtepc)(Geneve トンネルエンドポイント)は、クライアントとサーバーの両方宛てのパケットが、仮想トンネルエンドポイントサーバー(vteps)(vSRX仮想ファイアウォール3.0)を通過するようにする必要があります。送信元ポートは、仮想トンネルエンドポイント(vtep)によって選択されます。

図2:トランジットルーターとしてのvSRX仮想ファイアウォール3.0の簡略化されたトポロジSimplified Topology of vSRX Virtual Firewall 3.0 as Transit Router

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

手順

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイド設定モードでCLIエディターを使用するを参照してください。

vSRX仮想ファイアウォール3.0(トランジットルーターとしてのvSRX仮想ファイアウォール3.0)でトンネルインスペクション用のGeneveフローサポートを設定するには:

  1. 信頼ゾーンとuntrustゾーンを定義して、階層下にある [edit security zones] すべてのホストトラフィックを許可します。

  2. tunnel-inspectionプロファイルを定義します。

  3. 外部セッションポリシーを定義します。

    メモ:

    トランジットルーターとしてのvSRX仮想ファイアウォール3.0の場合、各方向に2つのポリシーが必要です。と to-zonefrom-zone、インターフェイスの下で定義する必要があるそれぞれのゾーンです。

  4. カプセル化解除されたパケットを処理するために、 の下に policy-set 内部ポリシーを定義します。

  5. VTEPC(仮想トンネルエンドポイントクライアント)の に関連付けられた from-zone インターフェイスを設定して、ジュネーブカプセル化パケットとヘルスチェックパケットを受信します。

    メモ:

    トランジットモードの場合、vSRX仮想ファイアウォール3.0は、イングレスとエグレス用に2つのL3インターフェイスで設定する必要があります。

結果

設定モードから、 コマンドを入力して show security policies 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスで機能の設定が完了したら、設定モードから を入力します commit