Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

그룹 기반 정책(GBP) 개요

그룹 기반 정책(GBP)을 사용하여 마이크로세그먼테이션을 지원합니다.

네트워킹의 맥락에서 마이크로세그먼테이션은 세분화된 네트워크 액세스 정책과 세분화된 네트워크 액세스 제어의 지원을 의미합니다. 네트워크를 개별 보안 정책을 통해 제어할 수 있는 더 작고 분리된 세그먼트로 세분화합니다. 마이크로세그먼테이션은 방화벽이 제공하는 경계 보안을 강화하고 네트워크의 측면 위협을 억제하는 데 특히 유용한 기술을 제공합니다.

주니퍼 네트웍스 그룹 기반 정책(GBP) 구현은 클라이언트를 개념적으로 그룹으로 분리할 수 있도록 하여 유선 및 무선 클라이언트에 대한 마이크로세그먼테이션을 지원합니다. 그런 다음 여러 클라이언트 그룹에 적용할 여러 정책을 만듭니다. 정책 시행은 MAC 또는 IP 주소와 같은 ACL에 사용되는 기존 네트워킹 구성에 얽매이지 않습니다. 네트워크 위치를 참조하지 않고 동일한 VLAN 내, VLAN 간, 또는 동일한 스위치 내, 스위치 전반에서 사용자에게 동일한 보안 정책을 적용할 수 있습니다. GBP를 통한 정책 시행은 물리적 네트워크에서 클라이언트가 상주하는 위치에 구애받지 않고 위치에 구애받지 않습니다.

GBP는 CLI 구성을 통해 정적으로 또는 RADIUS 인증을 통해 동적으로 개별 클라이언트에 할당하는 SGT(Scalable Group Tags)를 기반으로 정책을 시행합니다. 태그를 기반으로 정책을 만들면 클라이언트가 네트워크 위치에서 분리됩니다. 즉, ACL 및 방화벽 규칙과 달리 SGT는 위치에 구애받지 않으며 모빌리티에 대한 자연스러운 지원을 제공합니다. GBP 정책은 단순히 클라이언트가 다른 네트워크 연결 지점으로 변경되었다고 해서 변경되지 않습니다. 이는 네트워크 보안 관리를 단순화하여 클라이언트의 위치에 관계없이 원활한 연결과 일관된 정책 적용이 가능합니다. 또한 GBP 기반 마이크로세그먼테이션은 GBP 정책이 개별 클라이언트와 클라이언트의 무수한 연결이 아닌 그룹에 적용되기 때문에 확장성이 매우 뛰어납니다.

참고: SGT는 GBP 태그라고도 합니다. 이 문서에서는 이러한 용어를 같은 의미로 사용합니다.

다른 네트워크 인프라에서 GBP를 활성화할 수 있지만 EVPN-VXLAN 네트워크에서 실행할 때 가장 큰 이점을 얻을 수 있습니다. 이는 GBP 태그( 그림 1에서 그룹 정책 ID로 표시됨)가 VXLAN 프레임의 데이터와 함께 대역 내에서 전송되기 때문입니다. 이를 통해 원격 엔드의 스위치는 사용자 데이터와 연관된 GBP 태그를 확인하고 이 태그를 기반으로 정책을 적용할 수 있습니다. (GBP를 사용할 때 VXLAN 헤더 구조에 대한 자세한 내용은 I-D.draft-smith-vxlan-group-policy 를 참조하십시오.)

그림 1: GBP VXLAN Header Fields with GBP 가 포함된 VXLAN 헤더 필드

GBP 지원 EVPN-VXLAN 스위치가 클라이언트로부터 패킷을 수신하면 스위치는 패킷을 분류하여 GBP 태그를 획득합니다. 그런 다음 스위치는 전체 패킷을 VXLAN에 캡슐화하고 해당 VXLAN 터널을 통해 패킷을 전달하기 전에 GBP 태그를 VXLAN 헤더에 삽입합니다.

패킷이 터널의 다른 쪽 끝을 나갈 때, 맨 끝의 GBP 지원 스위치가 태그를 추출하고 추출된 태그와 대상과 연관된 태그를 기반으로 정책 결정을 내립니다. 정책 자체는 네트워크 위치가 아닌 클라이언트와 연결된 GBP 태그를 기반으로 합니다.

네트워크가 EVPN-VXLAN을 실행할 수 없을 정도로 규모가 작더라도 GBP 기능을 활용할 수 있습니다. 이 상황에서는 GBP 태그를 전달할 VXLAN 터널이 없습니다. 따라서 수신 시 로컬로 정책을 시행해야 합니다. 이전과 마찬가지로 액세스 시 GBP 지원 스위치는 클라이언트로부터 패킷을 수신하고 이를 분류하여 할당된 태그를 검색합니다. 그러면 동일한 스위치가 다른 패킷 헤더 정보와 함께 이 태그를 기반으로 로컬에서 정책을 시행합니다.

EVPN-VXLAN으로 실행하든 상관없이 GBP 지원에는 세 가지 뚜렷한 측면이 있습니다.

  • 태그 할당은 클라이언트와 그룹 간의 매핑을 구성합니다.

  • 패킷 분류는 GBP 태그(수신 시 소스 태그, 송신 시 대상 태그)를 획득하기 위해 데이터 플레인에서 수신 패킷을 분류합니다.

  • 정책 적용은 GBP 태그를 기반으로 정책을 시행합니다.

GBP 처리에서는 세 가지 측면을 모두 다룹니다.