Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

IPsec 보안 서비스

이 주제를 읽고 클라우드 네이티브 라우터가 주니퍼의 cSRX와 통합되어 IPsec 보안 서비스를 제공하는 방법을 이해하십시오.

주니퍼 클라우드 네이티브 라우터(JCNR)는 클라우드 기반 및 온프레미스 5G 환경 모두에 컨테이너화된 라우팅 기능을 제공합니다. JCNR과 보안 서비스를 통합하려는 요구가 증가하고 있습니다. 이 기능은 호스트 기반 서비스 체이닝을 사용하여 구현할 수 있습니다. 이 클라우드 네이티브 라우터는 주니퍼의 컨테이너화된 SRX(cSRX) 플랫폼과 통합되어 IPsec과 같은 보안 서비스를 제공합니다.

개요

JCNR을 사용한 IPsec 보안 서비스 사용 사례를 살펴보겠습니다. 아래 그림에서 클라우드 네이티브 라우터는 서비스 프로바이더 네트워크의 프로바이더 에지(PE) 라우터를 연결합니다. 소스 네트워크의 고객 에지(CE) 라우터 또는 디바이스는 IPsec 터널을 통해 대상 CE로 데이터를 안전하게 전송합니다. 주어진 시나리오에서 IPsec 터널은 클라우드 네이티브 라우터의 보안 서비스(cSRX)에서 시작되어 대상 CE에서 종료됩니다. 클라우드 네이티브 라우터와 해당 피어 PE는 IPsec 터널에 대한 언더레이 연결을 제공합니다.

클라우드 네이티브 라우터는 동일한 Kubernetes 클러스터에 있는 보안 서비스 인스턴스(cSRX)와 연결됩니다. cSRX 인스턴스는 L3 모드에서 포드 서비스로 실행됩니다.

참고:

클라우드 네이티브 라우터 인스턴스는 단 하나의 cSRX 인스턴스로 서비스 체인됩니다. 여러 IPSec 터널을 지원할 수 있습니다.

구성

클라우드 네이티브 라우터는 IPsec 서비스를 통해 선택적 트래픽을 조정할 수 있습니다. 이는 cSRX 인터페이스를 통해 대상에 대한 정적 경로를 정의함으로써 달성됩니다. JCNR에서 선택적 트래픽이 수신되면 cSRX로 전달됩니다. cSRX는 구성에 따라 패킷에 IPsec 암호화를 적용하고 JCNR로 전달합니다. 클라우드 네이티브 라우터는 신뢰할 수 없는 VRF에서 경로 조회를 수행하고 구성된 패브릭 인터페이스를 통해 트래픽을 전달합니다. 원격 엔드에서 IPsec 패킷이 수신되면 클라우드 네이티브 라우터는 이를 보안 서비스로 보냅니다. cSRX는 패킷을 복호화하여 트러스트 인터페이스의 클라우드 네이티브 라우터로 전달합니다. 그런 다음 클라우드 네이티브 라우터는 패킷을 포드로 전달합니다. 터널 엔드포인트의 IP 주소는 클라우드 네이티브 라우터에서 정적 경로로 구성되고 IGP를 통해 원격 엔드로 보급됩니다.

cSRX에 대한 helm 차트(values.yaml)에서 구성 매개 변수 범위를 지정하여 cSRX 구축을 사용자 지정할 수 있습니다. 주요 구성 옵션은 다음과 같습니다.

  • interfaceType: JCNR에 연결하는 cSRX의 인터페이스 유형입니다. 전용으로 설정해야 합니다.vhost

  • interfaceConfigs: 인터페이스 IP 주소, 게이트웨이 주소 및 선택적으로 경로를 정의하는 배열입니다. 인터페이스 IP 중 하나는 배열의 요소와 localAddress 일치해야 합니다ipSecTunnelConfigs. 이것은 신뢰할 수 없는 영역의 인터페이스가 됩니다. 경로에는 복호화된 트래픽을 클라우드 네이티브 라우터로 조정하기 위한 접두사와 IPSec 게이트웨이에 대한 연결성 경로가 포함되어야 합니다.

  • ipSecTunnelConfigs: ike-phase1, proposal, policy, gateway configuration과 같은 IPsec 구성 세부 정보를 정의하는 배열입니다. 트래픽 선택기는 암호화될 것으로 예상되는 트래픽을 포함해야 합니다. 하나 이상의 터널 구성을 정의할 수 있습니다. 설치 헬름 차트를 사용하여 터널 구성을 정의하거나 구성 요소(configlet)를 사용하여 배포 후에 구성할 수 있습니다.

  • jcnr_config: 클라우드 네이티브 라우터에서 cSRX로 트래픽을 조정하고 보안 서비스 체인을 적용하기 위해 원격 IPsec 게이트웨이에서 cSRX로 IPsec 트래픽을 조정하기 위해 클라우드 네이티브 라우터에 구성할 경로를 정의하는 배열입니다.

Helm 차트를 통한 cSRX 구성

cSRX 구성은 설치 시 컨테이너와 포드를 불러오는 데 필요합니다. IPSec 터널 구성은 설치 시 또는 나중에 구성 요소를 사용하여 정의할 수 있습니다. enableUserConfig cSRX 헬름 차트의 플래그는 true로 설정되면 구성 요소(configlet)를 통해 IPSec 터널 구성을 활성화합니다.

기본적으로 enableUserConfig 플래그는 false values.yaml ipSecTunnelConfigs 로 설정되므로 설치 시 구성해야 합니다. 다중 터널에 대한 샘플 인터페이스 및 터널 구성은 다음과 같습니다.

구성(Configlet)을 통한 cSRX IPSec 터널 구성

구성 요소(Configlet)를 사용하여 cSRX를 구축한 후 IPSec 터널을 구성할 수 있습니다. 설치 Helm 차트의 enableUserConfig 플래그 값은 true로 설정되어야 합니다. 구성 코드 조각을 ipSecTunnelConfigs 정의해서는 안 됩니다. 샘플 헬름 차트는 설치 프로그램 번들에 포함되어 있으며, /csrx_examples/values-user-config-csrx.yaml cSRX 전용 설치와 /charts/junos-csrx/csrx_examples/values-user-config-unified.yaml 통합 JCNR 및 cSRX 설치를 위해 제공됩니다. Helm 차트의 예는 다음과 같습니다.

구성 요소(configlet)를 사용하여 배포 후 IPSec 터널을 생성하거나 터널 구성을 수정할 수 있습니다. 샘플 구성은 설치 프로그램 번들/csrx_examples/ipsec-tunnel-config-cr.yaml 에 제공되어 cSRX 전용 설치와 /charts/junos-csrx/csrx_examples/ipsec-tunnel-config-cr.yaml 통합 JCNR 및 cSRX 설치를 위한 것입니다. 구성 요소의 예는 다음과 같습니다.

구성 예

보안 서비스가 포함된 클라우드 네이티브 라우터의 구성 예를 살펴보겠습니다. 다음 네트워크 토폴로지를 고려하십시오.Network diagram showing OSPF connection between Cell-Site and Core DC. Cell-Site has IP 10.111.1.10/32 and Core DC has IP 10.222.1.10/32. Both sites use vRouters with VRF Trust and Untrust.

토폴로지는 셀 사이트의 클라우드 네이티브 라우터와 코어 데이터센터의 클라우드 네이티브 라우터로 구성됩니다. 두 JCNR은 모두 cSRX와 서비스 체인됩니다. 코어 데이터센터는 다른 물리적 또는 가상 방화벽 기능을 터널 엔드포인트로 가질 수도 있습니다. Pod 10.111.1.10 10.222.1.10 간의 트래픽은 IPsec 터널을 통해 암호화되어야 합니다. cSRX-클라우드 네이티브 라우터 인터페이스의 IP 주소와 게이트웨이 주소도 나와 있습니다.

cSRX는 두 가지 인터페이스를 사용하여 JCNR의 포워딩 플레인(vRouter)과 연결됩니다.

  • ge-0/0/1 인터페이스는 IPsec 암호화를 위해 클라우드 네이티브 라우터에서 보안 서비스로, IPsec 복호화 후 보안 서비스에서 클라우드 네이티브 라우터로 트래픽을 전송하는 데 사용됩니다. 이 인터페이스는 cSRX의 신뢰 영역과 JCNR의 신뢰 VRF의 일부입니다.
  • ge-0/0/0 인터페이스는 IPsec 암호화 후 보안 서비스에서 클라우드 네이티브 라우터로, IPsec 복호화를 위해 클라우드 네이티브 라우터에서 보안 서비스로 트래픽을 전송하는 데 사용됩니다. 이 인터페이스는 cSRX의 신뢰할 수 없는 영역과 JCNR의 신뢰할 수 없는 VRF의 일부입니다.

구성 단계를 살펴보겠습니다.

  1. 토폴로지에 대한 올바른 interfaceConfigsipSecTunnelConfigs jcnr_config cSRX helm 차트를 구성합니다.
    1. 셀 사이트 JCNR에 대한 Helm 차트 구성:

    2. 원격 JCNR에 대한 Helm 차트 구성:

      Helm 차트를 구성했으면 cSRX를 구축해야 합니다.

      JCNR을 사용하여 서비스 체이닝을 위해 cSRX를 구축하는 방법에 대한 자세한 내용은 JCNR을 사용하여 서비스 체인(cSRX) 배포 주제를 검토하십시오.

  2. 코어에서 실행되는 IGP에 참여하도록 클라우드 네이티브 라우터 패브릭 인터페이스(ens192)를 구성합니다. 구성은 신뢰할 수 없는 VRF에서 수행됩니다.

    1. 셀 사이트 JCNR의 OSPF에 대한 구성 요소 예:

    2. 원격 JCNR에서 OSPF에 대한 구성 요소 예:

  3. JCNR의 트러스트 VRF에 연결된 인터페이스를 사용하여 애플리케이션 Pod를 배포합니다.

    1. 셀 사이트의 애플리케이션 포드:

    2. 원격 사이트의 애플리케이션 Pod:

구성 확인

cRPD, cSRX, vRouter에서 구성 및 트래픽 플로우를 확인할 수 있습니다.

  1. cRPD 셸을 통해 신뢰 및 신뢰할 수 없는 VRF에 대한 cRPD 구성을 cRPD 확인합니다. 구성은 cni 구성 그룹에서 사용할 수 있습니다.

  2. cRPD 라우팅 테이블을 확인합니다.

  3. 명령을 사용하여 cSRX 셸에 로그인합니다. kubectl exec -it csrx_pod_name -n jcnr -- bash CLI 모드로 이동하려면 입력합니다 cli . cSRX 구성, 보안 연결 및 플로우를 확인합니다.

  4. 또한 vRouter CLI에서 플로우를 확인할 수 있습니다.

관련 설명서