예: GBP를 사용하여 트래픽 세그먼트 지정

이 기본 예는 GBP 필터 및 정책을 사용하여 트래픽을 분할하는 방법을 보여줍니다.

이 예에서는 GBP 기반 마이크로세그먼테이션을 위해 스위치 쌍을 구성하는 방법을 보여 줍니다. 스위치(리프 1 및 리프 2)는 그림 1과 같이 다음 사용자 및 장비에 대한 액세스를 제어합니다.

• 2 엔지니어링 직원(ENG)

• 1 계약자(CON)

• 2 보안 직원(SS)

• 1개의 엔지니어링 서버(ES)

• 1 보안 카메라(CAM)

그림 1: GBP 예

표 1은 할당할 GBP 태그 값을 보여줍니다. CLI와 RADIUS를 모두 사용하여 이러한 태그를 할당하는 방법을 보여 드리겠습니다.

표 1: GBP 태그 할당

엔드포인트	GBP 태그
엔지니어링 직원(ENG)	10
계약자(CON)	20
보안 직원(SS)	30
ES(Engineering Server)	40
보안 캠(CAM)	50

표 2는 적용할 마이크로세그먼테이션 정책을 보여줍니다. Y 는 액세스가 허용되는 위치를 나타내고, N 은 액세스가 차단된 위치를 나타내고, - 는 해당 없음을 나타냅니다(계약자 1명, 엔지니어링 서버 1개, 보안 카메라 1개뿐이기 때문).

표 2: 마이크로세그먼테이션 정책

	ENG (태그 10)	CON (태그 20)	SS (태그 30)	ES(태그 40)	CAM(태그 50)
ENG (태그 10)	Y	Y	N	Y	N
CON (태그 20)	Y	-	N	N	N
SS (태그 30)	N	N	Y	N	Y
ES(태그 40)	Y	N	N	-	N
CAM(태그 50)	N	N	Y	N	-

1. CLI를 사용하여 GBP 태그를 할당하는 경우 이 단계를 따르십시오.
   리프 1과 리프 2 모두에 다음 할당을 추가합니다. 각 스위치에 개별적으로 할당을 조정하는 대신 편의성과 일관성을 위해 두 스위치에 동일한 할당을 사용합니다.
2. RADIUS 서버를 사용하여 GBP 태그를 할당하는 경우 이 단계를 수행합니다.
   1. RADIUS 서버를 사용하도록 리프 1과 리프 2를 모두 구성합니다.
      여기서 10.0.0.100은 RADIUS 서버의 IP 주소입니다.
   2. RADIUS 인증을 위해 리프 1과 리프 2 모두에 관련 인터페이스를 구성합니다.
      여기서 xe-0/0/46.0은 두 스위치의 엔드포인트 사용자 및 디바이스에 연결하는 인터페이스입니다.
   3. 주니퍼-Switching-Filter VSA 또는 주니퍼-Group-Based-Policy-Id VSA를 사용하여 RADIUS 서버에서 GBP 태그 할당을 구성합니다.
      주니퍼 스위칭 필터 VSA: 주니퍼 그룹 기반 정책 ID VSA:
3. 리프 1과 리프 2 모두에서 원하는 GBP 프로필을 설정합니다.
4. 리프 1과 리프 2 모두에서 수신 정책 시행을 활성화합니다.

   리프 1에서 수신 적용을 설정하여 리프 1이 리프 1에서 리프 2로 가는 방향의 트래픽에 대한 정책을 시행할 수 있도록 합니다.

   리프 2가 리프 2에서 리프 1 방향으로 트래픽에 대한 정책을 시행할 수 있도록 리프 2에 수신 적용을 설정합니다.

   이 예에서는 두 스위치 모두에 수신 적용을 설정하고 있습니다.

5. 방화벽 필터 규칙을 생성하여 표 2에 표시된 마이크로세그먼테이션 정책을 시행합니다.

   리프 1과 리프 2 모두에 다음 규칙을 설정합니다.

   삭제 관계를 명시적으로 구성할 필요가 없도록 마지막에 기본 삭제 규칙을 추가합니다. 기본 폐기 기능은 Junos OS 릴리스 24.2R1에서 도입되었습니다. 명시적 기본 폐기를 참조하십시오.

   Junos OS 릴리스 24.2R1 이전 릴리스를 실행하는 경우 각 폐기 규칙을 명시적으로 구성해야 합니다.

   이제 이 예제에서 트래픽을 마이크로세그먼트화하도록 GBP 태그 할당 및 GBP 정책을 구성했습니다.