예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션
요약 가상 확장형 LAN-GBP
개요
그룹 기반 정책(GBP)을 사용하는 VXLAN 아키텍처에서 데이터와 자산을 보호하기 위해 미시적 및 거시적 세분화를 달성할 수 있습니다. GBP는 기본 VXLAN 기술을 활용하여 위치에 구애받지 않는 엔드포인트 액세스 제어를 제공합니다. GBP를 사용하면 엔터프라이즈 네트워크 도메인 전반에 걸쳐 일관된 보안 정책을 구현할 수 있습니다. GBP를 사용하여 네트워크 구성을 단순화할 수 있으므로 모든 스위치에 많은 수의 방화벽 필터를 구성할 필요가 없습니다. GBP는 엔드포인트 또는 사용자의 위치에 관계없이 네트워크 전체에 보안 그룹 정책을 일관되게 적용함으로써 내부망 위협을 차단합니다. VXLAN-GBP는 확장 가능한 그룹 태그(SGT)로 사용하기 위해 VXLAN 헤더의 예약된 필드를 활용하는 방식으로 작동합니다. SGT를 방화벽 필터 규칙의 일치 조건으로 사용할 수 있습니다. 유사한 결과를 얻기 위해 포트 또는 MAC 주소를 사용하는 것보다 SGT를 사용하는 것이 더 강력합니다. SGT는 정적으로(포트당 또는 MAC 단위로 스위치를 구성하여) 할당하거나, RADIUS 서버에서 구성하고 사용자가 인증될 때 802.1X를 통해 스위치에 푸시할 수 있습니다.
VXLAN-GBP에 의해 활성화된 세그멘테이션은 기본 네트워크 토폴로지와 독립적인 네트워크 액세스 정책을 생성할 수 있는 실용적인 방법을 제공하기 때문에 캠퍼스 VXLAN 환경에서 특히 유용합니다. 네트워크-애플리케이션 및 엔드포인트-디바이스 보안 정책 개발의 설계 및 구현 단계를 간소화합니다.
VXLAN-GBP 표준에 대한 자세한 정보는 IEEE RFC, I-D.draft-smith-vxlan-group-policy에서 확인할 수 있습니다. 이 예의 목적을 위해 VXLAN-GBP는 그림과 같이 VXLAN 헤더의 예약된 필드를 확장 가능한 그룹 태그로 활용합니다.
표 1 에는 지원이 제공되는 시점부터 Junos 릴리스를 기반으로 VXLAN-GBP를 지원하는 스위치의 세부 정보가 나와 있습니다.
| Junos 릴리스 | VXLAN-GBP 지원 스위치 |
|---|---|
| Junos OS 릴리스 21.1R1부터 시작 |
EX4400-24P, EX4400-24T, EX4400-48F, EX4400-48P 및 EX4400-48T |
| Junos OS 릴리스 21.2R1부터 시작 |
EX4400-24MP 및 EX4400-48MP |
| Junos OS 릴리스 21.4R1부터 시작 |
|
| Junos OS 릴리스 22.4R1부터 시작 |
|
| Junos OS 릴리스 23.2R1부터 시작 |
|
Junos OS 릴리스 22.4R1부터 표 2와 같이 GBP 구성이 변경되었습니다.
| Junos OS 릴리스 21.1R1 이상의 GBP | Junos OS 릴리스 22.4R1 이상의 GBP |
|---|---|
| GBP 태깅 문: set firewall family ethernet-switching filter filter-name term term name from match-conditions set firewall family ethernet-switching filter filter-name term term name then gbp-src-tag/gbp-des-tag tag |
GBP 태깅 문: set firewall family any filter filter-name micro-segmentation set firewall family any filter filter-name term term name from match-conditions set firewall family any filter filter-name term term name then gbp-tag tag
참고:
|
| 지원되는 GBP 일치 조건:
|
지원되는 GBP 일치 조건:
|
| 정책 시행 set firewall family ethernet-switching filter filter-name term term name from gbp-dst-tag gbp tag set firewall family ethernet-switching filter filter-name term term name from gbp-src-tag gbp tag set firewall family ethernet-switching filter filter-name term term name then discard
참고:
정책 적용은 송신 엔드포인트에서만 지원됩니다. GBP를 활성화하기 위한 CLI 문: set chassis forwarding-options vxlan-gbp-profile |
정책 시행 set firewall family any filter filter-name term term name from gbp-dst-tag gbp tag set firewall family any filter filter-name term term name from gbp-src-tag gbp tag set firewall family any filter filter-name term term name then discard
참고:
성 이름 'any' 가 성 이름 'ethernet-switching'을 대체했습니다.
참고:
정책 적용은 수신 및 송신 엔드포인트 모두에서 지원됩니다. 기본적으로 정책 적용은 송신 노드에서 지원됩니다 .
Junos OS 릴리스 23.2R1 이상:
|
Junos OS 릴리스 22.4R1 이상에서 GBP
Junos OS 릴리스 22.4R1부터 수신 엔드포인트에서 정책 시행을 수행하고 추가 일치 조건에서 GBP 태깅을 수행할 수 있습니다.
표 3 은 지원되는 GBP 태깅 일치 조건을 보여줍니다.
| 일치 조건 | 설명 |
|---|---|
|
|
IPv4/IPv6 소스 또는 대상 주소/접두사 목록을 일치시킵니다. |
|
|
소스 또는 대상 MAC 주소를 일치시킵니다. |
|
|
인터페이스 이름을 일치시킵니다.
참고:
Junos OS 릴리스 23.4R1 이상은 단일 방화벽 필터 용어 내에서 여러
참고:
또한 Junos OS 릴리스 23.4R1 이상에서는 단일 방화벽 필터 용어에서 |
|
|
VLAN ID를 일치시킵니다.
참고:
EX4100 스위치에서는 지원되지 않습니다.
참고:
Junos OS 릴리스 23.4R1 이상에서는 <vlan list> 및 <vlan-range> 옵션을 지원합니다.
참고:
또한 Junos OS 릴리스 23.4R1 이상에서는 단일 방화벽 필터 용어에서 |
Junos OS 릴리스 23.2R1 이상은 vxlan-gbp-l2-profile 및 vxlan-gbp-l3-profile을 지원합니다. 표 4를 참조하십시오.
| 프로파일 | 지원 스위치 |
|---|---|
vxlan-gbp-profile |
|
vxlan-gbp-l2-profile 및 vxlan-gbp-l3-profile |
|
GBP 정책 필터는 GBP 소스 및/또는 GBP 대상 태그를 일치 항목으로 사용하여 트래픽을 허용하거나 삭제합니다. Junos OS 릴리스 23.2R1부터 EX4100, EX4400, EX4650, QFX5120-32C 및 QFX5120-48Y 스위치는 새로운 GBP 정책 필터(IPv4 및 IPv6) L4 일치를 지원합니다. 이러한 일치는 애플리케이션 트래픽만 차단하는 데 도움이 되는 특정 규칙을 유지하는 데 도움이 됩니다( 표 5 참조).
| MAC 및 IP GBP 태그 지정 패킷에 대한 정책 적용 일치 | 설명 |
|---|---|
ip-version ipv4 destination-port dst_port |
TCP/UDP 대상 포트를 일치시킵니다. |
ip-version ipv4 source-port src_port |
TCP/UDP 소스 포트를 일치시킵니다. |
ip-version ipv4 ip-protocol ip-protocol |
IP 프로토콜 유형을 일치시킵니다. |
ip-version ipv4 is-fragment |
패킷이 조각인 경우 일치시킵니다. |
ip-version ipv4 fragment-flags flags |
조각 플래그를 일치시킵니다(기호 또는 16진수 형식). |
ip-version ipv4 ttl value |
MPLS/IP TTL 값을 일치시킵니다. |
ip-version ipv4 tcp-flags flags |
TCP 플래그를 일치시킵니다(기호 또는 16진수 형식) - (수신 전용). |
ip-version ipv4 tcp-initial |
TCP 연결의 초기 패킷과 일치시킵니다 - (수신 전용). |
ip-version ipv4 tcp-established |
설정된 TCP 연결의 패킷을 일치시킵니다. |
ip-version ipv6 destination-port dst_port |
TCP/UDP 대상 포트를 일치시킵니다. |
ip-version ipv6 source-port src_port |
TCP/UDP 소스 포트를 일치시킵니다. |
ip-version ipv6 next-header protocol |
다음 헤더 프로토콜 유형을 일치시킵니다. |
ip-version ipv6 tcp-flags flags |
TCP 플래그 일치(기호 또는 16진수 형식)수신 전용. |
ip-version ipv6 tcp-initial |
TCP 연결의 초기 패킷을 일치시킵니다. |
ip-version ipv6 tcp-established |
설정된 TCP 연결의 패킷을 일치시킵니다. |
이러한 L4 일치는 EX9204, EX9208 및 EX9214 스위치에서 지원되지 않습니다.
802.1X GBP 태그 할당을 위한 SGT 할당
이 예에서는 RADIUS 서버에서 SGT를 구성한 다음 GBP 지원 액세스 스위치에서 802.1X 액세스 제어를 사용하여 일치하는 엔드포인트가 스위치에 연결될 때 SGT를 수신합니다. RADIUS 서버는 일반적으로 액세스 제어를 위해 캠퍼스 환경에서 사용되며, 예를 들어 VLAN 할당을 제어하는 데 사용됩니다.
-
단일 보안 또는 다중 신청자 모드로 802.1X 인증을 구성하는 경우 GBP 태깅은 MAC 기반입니다. 단일 신청자 모드로 802.1X 인증을 구성하는 경우 GBP 태깅은 포트 기반입니다.
-
IP 주소, VLAN-ID 및 VLAN-ID+인터페이스 일치는 802.1X에서 지원되지 않습니다.
RADIUS 서버에서 SGT를 사용하려면 AAA 서비스 프레임워크에서 지원하는 VSA(Vendor Specific Attribute)를 활용해야 합니다(이러한 VSA는 표준 RADIUS 요청 응답 메시지의 일부로 전달되며 SGT와 같은 구현별 정보를 처리하기 위한 기본 제공 확장을 제공함). RADIUS 서버의 정확한 구문은 인증 체계가 MAC 기반인지 EAP 기반인지에 따라 다릅니다. MAC 기반 클라이언트의 경우 구성은 다음과 같습니다.
001094001199 Cleartext-Password := "001094001199" Juniper-Switching-Filter = "apply action gbp-tag 100
EAP 기반 클라이언트의 경우 인증 시 RADIUS 서버에서 SGT가 푸시됩니다. 구성은 다음과 같습니다.
PermEmp01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 100"
Junos OS 릴리스 23.4R1부터는 기존 Juniper-Switching-Filter스위치 외에도 EX4400, EX4100, EX4650 및 QFX5120 스위치에서 새로운 VSA라는 새로운 VSA Juniper-Group-Based-Policy-Id 가 지원됩니다.
동일한 클라이언트에 대해 Juniper-Group-Based-Policy-Id VSA와 Juniper-Switching-Filter VSA를 함께 사용해서는 안 됩니다.
두 VSA가 모두 존재하고 서로 다른 GBP 태그 값을 포함하는 경우 클라이언트가 인증되지 않습니다.
다음 VSA 중 하나를 통해 RADIUS에서 GBP 태그를 동적으로 할당할 수 있습니다.
-
Juniper-Switching-FilterGBP 필터 및 기타 필터 일치 및 동작 조건을 전달합니다. -
Juniper-Group-Based-Policy-IdGBP 태그만 전달합니다.
MAC용 Juniper-Group-Based-Policy-Id VSA 및 포트 기반 GBP 태그 필터는 다음과 같습니다.
PermEmp01 Auth-Type = EAP, Cleartext-Password := "gbp"
Juniper-Group-Based-Policy-Id = “100”
Junos OS 릴리스 23.4R1 이상부터 EX4400, EX4100, EX4650 및 QFX5120 스위치의 다음 구성 문에도 GBP 기능 지원이 추가됩니다.
| Cli |
설명 |
|---|---|
set protocols dot1x authenticator interface [interface-names] server-fail gbp-tag gbp-tag |
서버에 액세스할 수 없는 경우 인터페이스에 적용할 GBP 태그를 지정합니다. 을 또는 |
set protocols dot1x authenticator interface [interface-names] server-reject-vlan gbp-tag gbp-tag |
RADIUS가 클라이언트 인증을 거부할 때 적용할 GBP 태그를 지정합니다. 을(를) 구성하고 옵션이 구성된 경우에만 |
|
|
인터페이스가 게스트 VLAN으로 이동할 때 적용할 GBP 태그를 지정합니다. 이(가) 옵션이 구성된 경우에만 게스트 VLAN에 대한 자세한 내용은 802.1X 인증을 참조하십시오. |
또는 show ethernet-switching table 명령을 사용하여 show dot1x interface detail RADIUS에서 수신되는 GBP 태그를 확인할 수 있습니다.
다음은 명령의 출력 예입니다.show ethernet-switching table
> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC,
B - Blocked MAC)
Ethernet switching table : 2 entries, 2 learned
Routing instance : default-switch
Vlan MAC MAC GBP Logical SVLBNH/ Active
name address flags tag interface VENH Index source
vlan200 00:10:94:00:00:05 D 100 xe-0/2/2.0
vlan200 00:10:94:00:00:06 DR 100 vtep.32769 21.2.0.1
GBP 기반 필터는 GBP 태깅을 위한 분류자로 사용됩니다. 이러한 필터는 수신 스트림을 분류하고 GBP 태그를 할당합니다.
다음 코드 샘플에서 작동 방식을 확인할 수 있습니다. GBP 방화벽 정책은 출발지 및 목적지 GBP 태그를 기반으로 구성됩니다.
소스 태그는 수신 패킷의 VXLAN 헤더에 있는 16비트 필드이며 소스 주소(IP/MAC/포트 등) 조회에서 파생되는 반면, 대상 태그는 구성된 태그 할당에 따라 대상(IP/MAC/포트 등)의 송신 터널 또는 수신 엔드포인트에서 파생됩니다.
구성된 GBP 태그는 RADIUS 서버의 VSA(벤더별 속성)에 지정된 GBT 태그에 대한 범위(1-65535)에서 0이 아닌 양수 값입니다.
수신 및 송신 엔드포인트 모두에 이 구성(아래 참조)이 있다고 가정해 보겠습니다. 시스템 전체에 동일한 GBP 태그 할당 구성을 사용하는 것이 좋습니다. 소스 MAC 주소 00:01:02:03:04:10:10 의 패킷에는 태그 100이 할당되고 소스 MAC 주소 00:01:02:03:04:20:20 의 패킷에는 200이 할당됩니다.
set firewall family any filter assign_tag micro-segmentation set firewall family any filter assign_tag term tag100 from mac-address 00:01:02:03:04:10:10 set firewall family any filter assign_tag term tag100 then gbp-tag 100 set firewall family any filter assign_tag term tag200 from mac-address 00:01:02:03:04:20:20 set firewall family any filter assign_tag term tag200 then gbp-tag 200
GBP 태그가 100이고 대상 MAC 주소가 인 00:01:02:03:04:10:10패킷의 경우, 대상 그룹 태그 (gbp-dst-tag) 는 100이 되며 용어 t10-100에 따라 일치합니다. 마찬가지로 GBP 태그가 100이고 대상 MAC 주소가 00:01:02:03:04:20:20인 패킷의 경우 대상 그룹 태그는 200이 되며 용어 t10-200와 일치합니다.
set firewall family any filter gbp-policy term t10-100 from gbp-src-tag 100 set firewall family any filter gbp-policy term t10-100 from gbp-dst-tag 100 set firewall family any filter gbp-policy term t10-100 then accept set firewall family any filter gbp-policy term t10-200 from gbp-src-tag 100 set firewall family any filter gbp-policy term t10-200 from gbp-dst-tag 200 set firewall family any filter gbp-policy term t10-200 then discard
소스 MAC 주소를 소스 태그에 매핑하는 데 사용되는 것과 동일한 태그 할당은 대상 MAC 주소를 대상 태그에 매핑하는 데에도 사용됩니다. 이는 포트 기반 할당에도 해당됩니다.
Junos OS 릴리스 23.2R1 이상에서 EX4100, EX4400, EX4650, QFX5120-32C 및 QFX5120-48Y 스위치는 MAC 및 IP 기반 GBP 필터용 GBP 정책 필터에 대해 추가 L4 일치를 지원합니다. 표 5를 참조하십시오. L4 필터를 구성하면 지원되는 GBP 규모를 줄일 수 있습니다. 이러한 일치는 기본적으로 지원되지만 EX4650 시리즈, QFX5120-32C 및 QFX5120-48Y 스위치에서는 을 set forwarding-options evpn-vxlan gbp tag-only-policy (를) 사용하여 GBP 정책에서 gbp 원본 및 대상 태그만 일치 항목으로 허용할 수 있습니다.
이번에는 GBP 소스 태그 300을 사용하고 IPv4 주소 172.16.1.0/24의 패킷을 사용하는 또 다른 코드 샘플을 살펴보겠습니다. 아래에서 볼 수 있듯이 GBP 소스 태그 300은 송신 방향으로 할당되고 300은 GBP 대상 그룹 태그이기도 합니다.
set firewall family any filter f1 micro-segmentation set firewall family any filter assign_tag term tag300 from ip-version ipv4 172.16.1.0/24 set firewall family any filter assign_tag term tag300 then gbp-tag 300
Junos OS 릴리스 23.4R1부터 EX4400, EX4650 및 QFX5120 스위치는 목록 및 범위 옵션을 사용하여 용어에서 동일한 유형의 VLAN, 포트 및 포트+VLAN 유형 GBP 필터의 여러 항목을 지원하는 반면, EX4100 스위치는 포트 유형 GBP 필터에서만 여러 항목을 지원합니다.
아래 예를 참조하십시오.
GBP 태그가 300인 패킷의 경우 이 예에서는 10에서 30 사이의 VLAN ID 주소에서 용어 t1과 일치합니다.
set firewall family any filter f1 micro-segmentation set firewall family any filter f1 term t1 from vlan-id [10-30] set firewall family any filter f1 term t1 then gbp-tag 300
이 예에서 GBP 태그가 300인 패킷의 경우, 인터페이스 101 - 104 목록에 대해 용어 t1과 일치하며, 여기서 101 - 104는 각 인터페이스에 할당된 연속 내부 인터페이스 인덱스입니다.
set firewall family any filter f1 micro-segmentation set firewall family any filter f1 term t1 from interface xe-0/0/1 set firewall family any filter f1 term t1 from interface xe-0/0/2 set firewall family any filter f1 term t1 from interface xe-0/0/3 set firewall family any filter f1 term t1 from interface xe-0/0/4 set firewall family any filter f1 term t1 then gbp-tag 300
GBP 태깅의 우선 순위는 다음과 같으며 ip-version이 가장 높은 우선 순위입니다.
-
ip-version ipv4<ip address> | <prefix-list> -
ip-version ipv6<ip address> | <prefix-list> -
mac-address<mac address> -
interface<interface_name> vlan-id <vlan id> -
vlan-id<vlan id> -
interface<interface_name>
기본적으로 정책 적용은 송신 엔드포인트에서 수행됩니다. 수신 리프에서 정책을 적용하려면 아래 섹션을 참조하십시오.
네트워크 요구 사항에 가장 적합한 세 가지 프로파일 중 하나를 선택하여 VXLAN-GBP를 활성화할 수 있습니다. 각 UFT 프로파일은 각 주소 유형에 대해 서로 다른 최대값으로 구성됩니다. 이러한 프로필을 사용하는 경우에 대한 자세한 내용은 GBP 프로필 이해를 참조하십시오. 이러한 프로필에서 지원하는 규모를 보려면 vxlan-gbp-profile, vxlan-gbp-l2-profile 및 vxlan-gbp-l3-profile 을 참조하십시오.
set chassis forwarding-options vxlan-gbp-profile
set chassis forwarding-options vxlan-gbp-l2-profile
set chassis forwarding-options vxlan-gbp-l3-profile
수신 엔드포인트의 정책 시행 개요
Junos 릴리스 22.4R1부터 수신 엔드포인트에서 정책 시행을 수행할 수도 있습니다. 수신 적용은 네트워크 대역폭을 최적화합니다. 수신 시 정책 시행을 지원하기 위해 유형 2 및 유형 5 경로를 사용하여 네트워크 전체에 MAC 및 IP-MAC 기반 태그를 전파하는 메커니즘이 있습니다. 자세한 내용은 EVPN 유형 2 및 유형 5 경로를 참조하세요. 이를 통해 MAC 및 IP 기반 GBP 일치에 대한 수신에 더 가까운 노드에서 대상 GBP 기반 정책이 적용됩니다. 태그 전파는 항상 MAC 및 IP 기반 GBP의 컨텍스트에서 이루어집니다. VLAN, 포트 및 포트+VLAN 일치의 경우 적용되지 않습니다.
호스트 경로가 GBP 태그가 있는 유형 2 경로와 함께 설치된 경우 GBP 태그가 유형 5 경로에 추가됩니다. 유형 2 - 유형 5 GBP 태그 전파는 지원되지만, 유형 5 경로 대 유형 2 GBP 태그 전파는 지원되지 않습니다.
멀티호밍 토폴로지의 경우 멀티호밍 멤버에서 구성을 동일하게 유지합니다.
수신 노드에서 정책 적용을 수행하려면 다음 문을 활성화해야 합니다. 수신 적용이 활성화되거나 비활성화되면 패킷 전달 엔진(PFE)이 다시 시작됩니다.
set fowarding-options evpn-vxlan gbp ingress-enforcement
Host-Originated Packets(호스트 시작 패킷)
패킷이 가상 터널 엔드포인트(VTEP)를 통해 통합 라우팅 및 브리징(IRB) 인터페이스에서 송신되면 커널은 VXLAN 헤더에 소스 GBP 태그를 삽입하고 패킷을 보냅니다. 소스 GBP 태그 값은 다음 문을 사용하여 구성됩니다.
set forwarding-options evpn-vxlan host-originated-packets gbp-src-tag gbp-src-tag
규칙을 생성하기 전에 모든 엔드포인트(사용자 및 디바이스)와 할당된 SGT 값에 대한 테이블을 생성하여 체계를 구성하는 것이 도움이 될 수 있습니다. 아래 표는 논리를 더욱 단순화하고 규칙을 명확히 하는 데 사용할 수 있습니다.
| 끝점 |
할당된 SGT 값 |
|---|---|
| 정규직(PE) |
100 |
| 계약자 (CON) |
200 |
| 보안 직원(SS) |
300 |
| 보안 캠 (CAM) |
400 |
| 엔지니어링 서버(ES) |
500 |
RADIUS 서버와 SGT, EX4400 및 VXLAN 패킷 헤더, 액세스 정책을 관리하는 중앙 방화벽 필터 간의 관계는 매트릭스가 값을 구성하는 편리한 방법이 되도록 합니다. 다음 표에서는 첫 번째 열의 사용자 역할과 첫 번째 행의 장치 유형을 나열하여 액세스 매트릭스를 만듭니다. 각 사용자 역할 및 디바이스 유형에는 SGT가 할당되고 RADIUS 구성이 정보로 업데이트되었습니다.
이 예에서는 PE(Permanent Employee), CON(Contractor) 및 SS(Security Staff)의 세 가지 유형의 직원을 사용합니다. 또한 Eng Server(ES)와 보안 카메라(CAM)의 두 가지 유형의 리소스를 사용합니다. Y 는 액세스가 허용됨을 나타내고 N 은 액세스가 차단되었음을 나타냅니다. 이 테이블은 정책에서 다양한 방화벽 규칙을 생성할 때 유용한 리소스 역할을 하며 액세스 매핑을 간단하고 명확하게 만듭니다.
| ES (SGT 500) | CAM (SGT 400) | PE (SGT 100) | CON (SGT 200) | SS (SGT 300) | |
|---|---|---|---|---|---|
| PE (SGT 100) | Y | N | Y | Y | N |
| CON (SGT 200) | N | N | Y | N | N |
| SS (SGT 300) | N | Y | N | N | Y |
토폴로지
간단히 하기 위해, 이 예의 모든 구성은 Junos OS 릴리스 22.4.1R1을 실행하는 단일 주니퍼 EX4400 시리즈 스위치에서 수행됩니다. 스위치는 AAA용 RADIUS 서버에 연결됩니다. 이 스위치는 이 예에서 송신 역할을 합니다. SGT의 경우 송신 스위치에서 방화벽을 정의해야 하는 반면, 액세스 레이어의 수신 VXLAN 게이트웨이에서는 일반적으로 방화벽을 정의합니다.
의 VXLAN GBP
요구 사항
EX4100, EX4400, EX4650, QFX5120-32C 및 QFX5120-48Y 스위치의 Junos OS 22.4R1에서 향상된 GBP가 지원됩니다.
구성
가상 확장형 LAN-GBP 기반 세그멘테이션:
- 사용자는 네트워크에 로그온하고 RADIUS 서버(모든 엔드포인트에 대해 SGT가 구성됨)에 의해 인증됩니다.
- 방화벽 필터를 사용하여 EX4400은 802.1X 인증 또는 MAC 주소를 기반으로 트래픽을 선택한 다음 일치하는 프레임에 그룹 태그를 할당합니다. (dot1x 인증 클라이언트의 경우 정적 방화벽 구성이 필요하지 않습니다.) 이 메커니즘은 다음과 같이 방화벽을 사용하여 수행됩니다.
set firewall family any filter name micro-segmentation set firewall family any filter name term name from source-mac-address MAC-Addr
set firewall family any filter name term name then gbp-tag PE-GRP
- EX4400을 통과하는 태그가 지정된 트래픽은 방화벽 필터의 메커니즘을 사용하여 SGT 값을 기준으로 평가됩니다.
-
먼저 장치에서 활성화합니다
chassis forwarding-options vxlan-gbp-profile. gbp-dst-tag및/또는gbp-src-tag일치 조건을 사용하여 방화벽 규칙을 작성하고 GBP 마이크로 세그먼테이션에 사용하는 송신 스위치의 라우팅 정책에 포함시킵니다. Junos OS 릴리스 23.2R1부터 소스 및 대상 태그 외에도 프로토콜, 소스 포트, 대상 포트, tcp-flags 및 기타 일치와 같은 새로운 GBP 정책 필터 IPv4 및 IPv6 L4 일치가 지원됩니다. 표 5를 참조하십시오.-
수신 엔드포인트에서 정책 적용이 이루어지도록 하려면 옵션을 활성화
set fowarding-options evpn gbp ingress-enforcement해야 합니다.
-
VXLAN-GBP를 위한 독립형 주니퍼 EX4400 스위치 구성
다음 명령을 사용하여 샌드박스 환경에서 VXLAN-GBP 세그먼테이션을 구성합니다. 일반적으로 액세스 레이어의 (송신) VXLAN 게이트웨이 역할을 하는 스위치에서 방화벽 필터 규칙을 생성하지만, 단순화를 위해 방화벽 필터 규칙과 RADIUS 서버(EAP, 여기에서) 모두에 동일한 독립형 EX4400을 사용합니다. 이 예제에서 사용하는 값은 이전 테이블에서 가져온 것입니다.
아래 명령에는 테스트 환경에 맞게 조정해야 하는 프로필 이름 및 IP 주소와 같은 변수가 포함됩니다.
- RADIUS 서버를 구성합니다.
set groups dot1xgbp access radius-server 10.204.96.102 port 1812 set groups dot1xgbp access radius-server 10.204.96.102 secret “secret key" set groups dot1xgbp access profile radius_profile_dev12 authentication-order radius set groups dot1xgbp access profile radius_profile_dev12 radius authentication-server 10.204.96.102 set groups dot1xgbp access profile radius_profile_dev12 radius accounting-server 10.204.96.102 set groups dot1xgbp access profile radius_profile_dev12 accounting order radius
- RADIUS 인증을 지원하도록 물리적 포트를 구성합니다.
set groups dot1xgbp protocols dot1x authenticator authentication-profile-name radius_profile_dev12 set groups dot1xgbp protocols dot1x authenticator interface xe-0/0/46.0 supplicant multiple set groups dot1xgbp protocols dot1x authenticator interface xe-0/0/46.0 mac-radius
- Juniper-Switching-Filter 또는 Juniper-Group-Based-Policy-Id를 사용하여 RADIUS 서버에서 SGT 태그를 설정합니다.
Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 100" Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 200" SecurityStaff01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 300" SecurityCam01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 400" EngServer01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 500"
Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "100" Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "200" SecurityStaff01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "300" SecurityCam01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "400" EngServer01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "500"
- 스위치에서 VXLAN-GBP를 활성화합니다.
set chassis forwarding-options vxlan-gbp-profile
- SGT를 활용하는 방화벽 필터 규칙을 생성합니다(매트릭스에 구성된 값 사용).
set groups gbp-policy firewall family any filter gbp-policy term pe-to-pe from gbp-src-tag 100 set groups gbp-policy firewall family any filter gbp-policy term pe-to-pe from gbp-dst-tag 100 set groups gbp-policy firewall family any filter gbp-policy term pe-to-pe then accept set groups gbp-policy firewall family any filter gbp-policy term pe-to-pe then count PE-PE set groups gbp-policy firewall family any filter gbp-policy term pe-to-es from gbp-src-tag 100 set groups gbp-policy firewall family any filter gbp-policy term pe-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family any filter gbp-policy term pe-to-es then accept set groups gbp-policy firewall family any filter gbp-policy term pe-to-es then count PE-ES set groups gbp-policy firewall family any filter gbp-policy term pe-to-cam from gbp-src-tag 100 set groups gbp-policy firewall family any filter gbp-policy term pe-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family any filter gbp-policy term pe-to-cam then discard set groups gbp-policy firewall family any filter gbp-policy term pe-to-cam then count PE-CAM set groups gbp-policy firewall family any filter gbp-policy term con-to-cam from gbp-src-tag 200 set groups gbp-policy firewall family any filter gbp-policy term con-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family any filter gbp-policy term con-to-cam then discard set groups gbp-policy firewall family any filter gbp-policy term con-to-cam then count CON-CAM set groups gbp-policy firewall family any filter gbp-policy term con-to-es from gbp-src-tag 200 set groups gbp-policy firewall family any filter gbp-policy term con-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family any filter gbp-policy term con-to-es then discard set groups gbp-policy firewall family any filter gbp-policy term con-to-es then count CON-ES set groups gbp-policy firewall family any filter gbp-policy term ss-to-cam from gbp-src-tag 300 set groups gbp-policy firewall family any filter gbp-policy term ss-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family any filter gbp-policy term ss-to-cam then accept set groups gbp-policy firewall family any filter gbp-policy term ss-to-cam then count SS-CAM set groups gbp-policy firewall family any filter gbp-policy term ss-to-es from gbp-src-tag 300 set groups gbp-policy firewall family any filter gbp-policy term ss-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family any filter gbp-policy term ss-to-es then discard set groups gbp-policy firewall family any filter gbp-policy term ss-to-es then count SS-ES set apply-groups gbp-policy
- Junos에서 커밋 검사를 실행하여 사용한 명령과 변수가 유효한지 확인합니다. 구성이 만족스러우면 후보 구성을 커밋하여 디바이스에서 활성화합니다. 이러한 명령은 다음과 같습니다. 를 입력하여
run show configuration구성을 검토할 수도 있습니다.commit check configuration check succeeds commit commit complete
EX 스위치 및 QFX 스위치에 대한 제한 사항:
-
EX9204, EX9208 및 EX9214 스위치: EVPN-VXLAN Type 2 터널을 통해 들어오는 전송 트래픽의 경우, 송신 PE에서의 GBP 태그 기반 정책 시행은 VxLAN 헤더의 수신 PE에 스탬프 처리된 소스 GBP 태그가 성능 저하 없이 언더레이 네트워크에서 전달되는 경우에만 올바르게 작동합니다.
-
RADIUS/802.1X를 통해 구성된 SGT는 EX9204, EX9208 및 EX9214 스위치에서 지원되지 않습니다.
-
수신 엔드포인트에 대한 태그 전파 및 정책 시행은 EX9204, EX9208 및 EX9214 스위치에서 지원되지 않습니다.
-
GBP UFT 프로필은 EX9204, EX9208 및 EX9214 스위치에서 지원되지 않습니다.
-
EX4400 및 QFX5120 플랫폼의 고유 태그 수는 1K로 제한됩니다.
-
interface및VLANGBP 일치는 EX4100 스위치에서 지원되지 않습니다. -
멀티캐스트 IP 기반 GBP 태깅은 지원되지 않습니다.
-
IP 기반 GBP는 레이어 2 스위칭 플로우에 적용되지 않으며, MAC 기반 GBP는 액세스-액세스 레이어 3 라우팅 플로우에 적용되지 않습니다.
-
포트 기반(
interface) GBP가 구성된 경우 IPACL이 지원되지 않습니다. -
폴리서 및 카운트 작업은 MAC 기반 및 IP 기반 GBP 정책 항목에 대해서만 지원됩니다.
-
VLAN 기반 GBP는 서비스 프로바이더 스타일의 논리적 인터페이스에 지원되지 않습니다.
-
GBP 태그 할당 필터는 카운터 옵션을 지원하지 않습니다.
-
GBP 필터의 다른 일치 기준(MAC, PORT 및 PORT+VLAN)은 동일한 필터의 일부가 아닙니다.
GBP Junos OS 릴리스 21.1R1 이상
RADIUS 서버로 SGT 할당
이 예에서는 RADIUS 서버에서 SGT를 구성한 다음 EX4400에서 802.1X 액세스 제어를 사용하여 수신합니다. RADIUS 서버는 일반적으로 액세스 제어를 위해 캠퍼스 환경에서 사용되며, 예를 들어 VLAN 할당을 제어하는 데 사용됩니다.
RADIUS 서버에서 SGT를 사용하려면 AAA 서비스 프레임워크에서 지원하는 VSA(Vendor Specific Attribute)를 활용해야 합니다(이러한 VSA는 표준 RADIUS 요청 응답 메시지의 일부로 전달되며 SGT와 같은 구현별 정보를 처리하기 위한 기본 제공 확장을 제공함). RADIUS 서버의 정확한 구문은 인증 체계가 MAC 기반인지 EAP 기반인지에 따라 다릅니다. MAC 기반 클라이언트의 경우 구성은 다음과 같습니다.
001094001199 Cleartext-Password := "001094001199" Juniper-Switching-Filter = "apply action gbp-tag 100"
EAP 기반 클라이언트의 경우 인증 시 RADIUS 서버에서 SGT가 푸시됩니다. 구성은 다음과 같습니다.
PermEmp01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 100"
Junos 릴리스 21.1R1부터 EX4400 스위치는 VXLAN-GBP와 함께 사용하기 위한 새로운 일치 조건을 도입하여 방화벽이 RADIUS 서버에서 전달되어 VXLAN 헤더에 삽입된 SGT 태그를 인식할 수 있도록 합니다.
다음 코드 샘플에서 작동 방식을 확인할 수 있습니다. GBP 방화벽 정책은 출발지 및 목적지 GBP 태그를 기반으로 구성됩니다. 소스 태그는 수신 패킷의 VXLAN 헤더에 있는 16비트 필드이며, 대상 태그는 구성된 태그 할당에 따라 송신 터널 엔드포인트에서 파생됩니다.
아래와 같은 구성의 송신 엔드포인트가 있다고 가정해 보겠습니다. 소스 MAC 주소 00:01:02:03:04:10:10 의 패킷에는 태그 100이 할당되고 소스 MAC 주소 00:01:02:03:04:20:20 의 패킷에는 200이 할당됩니다.
set firewall family ethernet-switching filter assign_tag term tag100 from source-mac-address 00:01:02:03:04:10:10 set firewall family ethernet-switching filter assign_tag term tag100 then gbp-src-tag 100 set firewall family ethernet-switching filter assign_tag term tag200 from source-mac-address 00:01:02:03:04:20:20 set firewall family ethernet-switching filter assign_tag term tag200 then gbp-src-tag 200
GBP 태그가 100이고 대상 MAC 주소가 인 00:01:02:03:04:10:10패킷의 경우, 대상 그룹 태그 (gbp-dst-tag) 는 100이 되며 용어 t10-100에 따라 일치합니다. 마찬가지로 GBP 태그가 100이고 대상 MAC 주소가 00:01:02:03:04:20:20인 패킷의 경우 대상 그룹 태그는 200이 되며 용어 t10-200와 일치합니다.
set firewall family ethernet-switching filter gbp-policy term t10-100 from gbp-src-tag 100 set firewall family ethernet-switching filter gbp-policy term t10-100 from gbp-dst-tag 100 set firewall family ethernet-switching filter gbp-policy term t10-100 then accept set firewall family ethernet-switching filter gbp-policy term t10-200 from gbp-src-tag 100 set firewall family ethernet-switching filter gbp-policy term t10-200 from gbp-dst-tag 200 set firewall family ethernet-switching filter gbp-policy term t10-200 then discard
소스 MAC 주소를 소스 태그에 매핑하는 데 사용되는 것과 동일한 태그 할당은 대상 MAC 주소를 대상 태그에 매핑하는 데에도 사용됩니다. 이는 포트 기반 할당에도 해당됩니다.
이번에는 GBP 소스 태그 300을 사용하고 패킷 수신 인터페이스를 ge-0/0/30.0사용하는 또 다른 코드 샘플을 살펴보겠습니다. 아래에서 볼 수 있듯이 GBP 소스 태그 300은 송신 방향으로 할당되고 300은 GBP 대상 그룹 태그이기도 합니다.
set firewall family ethernet-switching filter assign_tag term tag300 from interface ge-0/0/30.0 set firewall family ethernet-switching filter assign_tag term tag300 then gbp-src-tag 300
수신 스위치가 송신 스위치에서 사용되는 그룹 태그를 알 수 있는 방법이 없으므로 송신 스위치에서 GBP 방화벽 필터를 구성해야 합니다. 또한 수신 노드에서 전역적으로 VXLAN-GBP를 활성화해야 일치 항목에 대한 조회를 수행하고 VXLAN 헤더와 송신 노드에 SGT를 추가할 수 있습니다. 여기에 표시된 구성 명령을 사용하여 이 작업을 수행합니다.
set chassis forwarding-options vxlan-gbp-profile
규칙을 생성하기 전에 모든 엔드포인트(사용자 및 디바이스)와 할당된 SGT 값에 대한 테이블을 생성하여 체계를 구성하는 것이 도움이 될 수 있습니다. 여기에서는 논리를 더욱 단순화하고 규칙을 명확히하는 데 사용할 수있는 값이 나중에 행렬에 적용될 테이블 중 하나를 보여줍니다.
| 끝점 |
할당된 SGT 값 |
|---|---|
| 정규직(PE) |
100 |
| 계약자 (CON) |
200 |
| 보안 직원(SS) |
300 |
| 보안 캠 (CAM) |
400 |
| 엔지니어링 서버(ES) |
500 |
RADIUS 서버와 SGT, EX4400 및 VXLAN 패킷 헤더, 액세스 정책을 관리하는 중앙 방화벽 필터 간의 관계는 매트릭스가 값을 구성하는 편리한 방법이 되도록 합니다. 다음 표에서는 첫 번째 열의 사용자 역할과 첫 번째 행의 장치 유형을 나열하여 액세스 매트릭스를 만듭니다. 각 사용자 역할 및 디바이스 유형에는 SGT가 할당되고 RADIUS 구성이 정보로 업데이트되었습니다.
이 예에서는 PE(Permanent Employee), CON(Contractor) 및 SS(Security Staff)의 세 가지 유형의 직원을 사용합니다. 또한 Eng Server(ES)와 보안 카메라(CAM)의 두 가지 유형의 리소스를 사용합니다. Y 는 액세스가 허용됨을 나타내고 N 은 액세스가 차단되었음을 나타냅니다. 이 테이블은 정책에서 다양한 방화벽 규칙을 생성할 때 유용한 리소스 역할을 하며 액세스 매핑을 간단하고 명확하게 만듭니다.
| ES (SGT 500) | CAM (SGT 400) | PE (SGT 100) | CON (SGT 200) | SS (SGT 300) | |
|---|---|---|---|---|---|
| PE (SGT 100) | Y | N | Y | Y | N |
| CON (SGT 200) | N | N | Y | N | N |
| SS (SGT 300) | N | Y | N | N | Y |
토폴로지
단순화를 위해 이 예의 모든 구성은 Junos OS 릴리스 21.1R1을 실행하는 단일 주니퍼 EX4400 시리즈 스위치에서 수행됩니다. 스위치는 AAA용 RADIUS 서버에 연결됩니다. 이 스위치는 이 예에서 송신 역할을 합니다. SGT의 경우 송신 스위치에서 방화벽을 정의해야 하는 반면, 액세스 레이어의 수신 VXLAN 게이트웨이에서는 일반적으로 방화벽을 정의합니다.
의 VXLAN GBP
요구 사항
VXLAN-GBP는 EX4400-24P, EX4400-24T, EX4400-48F, EX4400-48P, EX4400-48T 스위치의 Junos OS 릴리스 21.1R1에서 지원됩니다. 이 예에서는 EX4400 스위치를 예로 들어 보겠습니다.
Junos 릴리스 21.4R1부터 VXLAN-GBP는 QFX5120-32C, QFX5120-48T, QFX5120-48Y, QFX5120-48YM, EX4650 및 EX4650-48Y-VC 스위치에서도 지원됩니다.
구성
위 단락에서 설명한 VXLAN-GBP 기반 세그먼테이션의 기본 이벤트 시퀀스를 요약하면 다음과 같습니다.
- 사용자는 네트워크에 로그온하고 RADIUS 서버(모든 엔드포인트에 대해 SGT가 구성됨)에 의해 인증됩니다.
- 방화벽 필터를 사용하여 EX4400은 802.1X 인증 또는 MAC 주소를 기반으로 트래픽을 선택한 다음 일치하는 프레임에 그룹 태그를 할당합니다. (dot1x 인증 클라이언트의 경우 정적 방화벽 구성이 필요하지 않습니다.) 이 메커니즘은 다음과 같이 방화벽을 사용하여 수행됩니다.
set firewall family ethernet-switching filter name term name from source-mac-address MAC-Addr
set firewall family ethernet-switching filter name term name then gbp-src-tag PE-GRP
- EX4400을 통과하는 태그가 지정된 트래픽은 방화벽 필터의 메커니즘을 사용하여 SGT 값을 기준으로 평가됩니다. 이를 위해서는 먼저 스위치에서 활성화
chassis forwarding-options vxlan-gbp-profile한 다음 및/또는gbp-src-tag일치 조건을 사용하여gbp-dst-tag방화벽 규칙을 작성하고 GBP 마이크로 세그먼테이션에 사용하는 송신 스위치의 라우팅 정책에 포함시켜야 합니다.
VXLAN-GBP를 위한 독립형 주니퍼 EX4400 스위치 구성
다음 명령을 사용하여 샌드박스 환경에서 VXLAN-GBP 세그먼테이션을 구성합니다. 일반적으로 액세스 레이어의 (송신) VXLAN 게이트웨이 역할을 하는 스위치에서 방화벽 필터 규칙을 생성하지만, 단순화를 위해 방화벽 필터 규칙과 RADIUS 서버(EAP, 여기에서) 모두에 동일한 독립형 EX4400을 사용합니다. 이 예제에서 사용하는 값은 이전 표에서 가져온 것입니다.
아래 명령에는 테스트 환경에 맞게 조정해야 하는 프로필 이름 및 IP 주소와 같은 변수가 포함됩니다.
- RADIUS 서버를 구성합니다.
set groups dot1xgbp access radius-server 10.204.96.102 port 1812 set groups dot1xgbp access radius-server 10.204.96.102 secret “secret key" set groups dot1xgbp access profile radius_profile_dev12 authentication-order radius set groups dot1xgbp access profile radius_profile_dev12 radius authentication-server 10.204.96.102 set groups dot1xgbp access profile radius_profile_dev12 radius accounting-server 10.204.96.102 set groups dot1xgbp access profile radius_profile_dev12 accounting order radius
- RADIUS 인증을 지원하도록 물리적 포트를 구성합니다.
set groups dot1xgbp protocols dot1x authenticator authentication-profile-name radius_profile_dev12 set groups dot1xgbp protocols dot1x authenticator interface xe-0/0/46.0 supplicant multiple set groups dot1xgbp protocols dot1x authenticator interface xe-0/0/46.0 mac-radius
- RADIUS 서버에서 SGT 태그를 설정합니다.
Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 100" Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 200" SecurityStaff01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 300" SecurityCam01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 400" EngServer01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 500"
- 스위치에서 VXLAN-GBP를 활성화합니다.
set chassis forwarding-options vxlan-gbp-profile
- SGT를 활용하는 방화벽 필터 규칙을 생성합니다(매트릭스에 구성된 값 사용).
set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe from gbp-src-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe from gbp-dst-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe then accept set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe then count PE-PE set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es from gbp-src-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es then accept set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es then count PE-ES set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam from gbp-src-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam then count PE-CAM set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam from gbp-src-tag 200 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam then count CON-CAM set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es from gbp-src-tag 200 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es then count CON-ES set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam from gbp-src-tag 300 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam then accept set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam then count SS-CAM set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es from gbp-src-tag 300 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es then count SS-ES set apply-groups gbp-policy
- Junos에서 커밋 검사를 실행하여 사용한 명령과 변수가 유효한지 확인합니다. 구성이 만족스러우면 후보 구성을 커밋하여 디바이스에서 활성화합니다. 이러한 명령은 다음과 같습니다. 를 입력하여
run show configuration구성을 검토할 수도 있습니다.commit check configuration check succeeds commit commit complete