Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VRF 라우팅 인스턴스를 사용한 SRX 시리즈 디바이스의 플로우 관리

SD-WAN 구축의 가상 라우팅 및 포워딩 인스턴스

VRF(가상 라우팅 및 포워딩) 인스턴스는 각 테넌트의 경로를 다른 테넌트의 경로 및 다른 네트워크 트래픽과 분리하는 데 필요합니다. SRX 시리즈 방화벽은 SD-WAN 구축에서 보안 강화 및 관리 용이성을 위해 네트워크 분할에 VRF 인스턴스를 사용합니다. 예를 들어, 테넌트라고 하는 고유한 라우팅 도메인을 생성하여 대기업 네트워크를 세그먼트화하고 트래픽을 세그먼트화하여 여러 고객 네트워크를 지원할 수 있습니다. 각 테넌트에는 겹치는 IP 서브넷을 지원할 수 있는 자체 라우팅 테이블이 있습니다. VRF는 경로를 관리하고 특정 테넌트에 대한 VRF의 독립 포워딩 테이블을 기반으로 트래픽을 전달하는 데 사용할 수 있습니다.

SD-WAN 구축에서 프로바이더 에지(PE) 라우터는 허브 디바이스인 동시에 MPLS 트래픽을 수신하고 전달하는 스포크 디바이스가 될 수 있습니다. 고객 에지(CE) 라우터는 VRF 라우팅 인스턴스를 사용하여 VPN 트래픽을 전송하기 위해 PE 라우터와 상호 작용하는 SRX 시리즈 방화벽입니다. VRF 인스턴스는 각 고객 VPN 트래픽을 전달하며, 각 VRF 인스턴스에는 해당 VRF를 통과하는 모든 고객 트래픽을 나타내는 하나의 레이블이 포함되어 있습니다.

스포크 측 SRX 시리즈 방화벽에 연결되는 여러 사이트는 동일한 테넌트 또는 동일한 VRF 라우팅 인스턴스에 속할 수 있습니다. 이러한 사이트는 공용 인터넷 또는 원격 테넌트 사이트에 도달하기 위한 IP 트래픽을 보냅니다.

트래픽이 스포크 측 SRX 시리즈 방화벽에 도달하면 디바이스는 해당 사이트에 연결된 LAN 인터페이스에서 VRF 인스턴스를 식별합니다. 이 트래픽에 대한 보안 처리 후 트래픽은 해당 VRF 라우팅 테이블에서 대상에 대한 경로를 찾습니다. 대상이 다음 홉 기반 GRE(Generic Routing Encapsulation)를 통한 MPLS인 경우, SRX 시리즈 방화벽은 해당 MPLS 레이블을 추가하고 패킷을 허브측 디바이스로 전달합니다.

허브 측 디바이스에서 GRE를 통해 MPLS 터널링된 트래픽을 수신한 후 SRX 시리즈 방화벽은 MPLS 레이블을 연결하여 해당 VRF 라우팅 인스턴스를 식별합니다. 트래픽의 보안 처리가 완료된 후 디바이스는 대상이 공용 인터넷에 있는지 또는 MPLS 다음 홉을 통해 연결할 수 있는지 식별합니다.

대상이 공용 인터넷인 경우 NAT(Network Address Translation)는 VRF 개인 IP 주소를 공용 IP 주소로 변환하고 세션을 설정합니다. 대상이 MPLS 다음 홉 유형인 경우 해당 MPLS 레이블이 추가되고 패킷이 GRE 오버레이 터널을 사용하여 원격 스포크로 전달됩니다.

원격 스포크 측에서 GRE 터널 트래픽을 통해 MPLS를 수신한 후 디바이스는 MPLS 레이블을 사용하여 해당 VRF 라우팅 인스턴스를 식별합니다. SRX 시리즈 방화벽은 VRF 라우팅 인스턴스를 사용하여 해당 VRF에서 패킷을 대상으로 전달할 올바른 대상 LAN 인터페이스를 찾습니다.

VRF 라우팅 인스턴스를 사용한 플로우 관리

SRX 시리즈 방화벽 플로우는 입력 인터페이스의 인터페이스 토큰 및 트래픽의 출력 인터페이스와 함께 5튜플 데이터(원본 IP 주소, 대상 IP 주소, 원본 포트 번호, 대상 포트 번호, 프로토콜 번호)를 기반으로 세션을 생성합니다. 예를 들어, 라우팅 인스턴스 VRF-1 및 라우팅 인스턴스 VRF-2는 동일한 물리적 GRE 터널을 통해 들어오고 나갈 수 있는 동일한 5튜플 트래픽을 가지고 있습니다. 동일한 터널의 이러한 겹치는 IP 주소가 SRX 시리즈 방화벽을 통해 들어오거나 나가면 세션 정보의 충돌로 인해 SRX 시리즈 방화벽 플로우가 데이터베이스에 여러 세션을 설치할 수 없습니다. SRX 시리즈 방화벽이 설치 중에 세션을 구별하려면 추가 정보가 필요합니다.

Junos OS 릴리스 15.1X49-D160부터 SRX 시리즈 방화벽은 세션 키에서 MPLS 태그가 지정된 패킷의 VRF 정보를 사용하여 세션을 구분할 수 있습니다. 다른 VRF 인스턴스와 세션을 구분하기 위해 플로우는 기존 세션 키에 VRF 식별 번호를 사용하여 각 VRF 인스턴스를 식별합니다. 이 세션 키는 세션 조회 중에 일치하는 기준 중 하나로 사용됩니다.

보안 정책에서 기존 5튜플 일치 조건과 함께 다음 일치 기준을 사용하여 지정된 VRF에 따라 트래픽을 허용하거나 거부할 수 있습니다.

  • 소스 VRF - 패킷의 수신 인터페이스와 연관된 VRF 라우팅 인스턴스입니다. 레이블을 포함하는 수신 MPLS 패킷이 SRX 시리즈 방화벽에 도착하면 디바이스는 레이블을 디코딩하고 수신 인터페이스에 매핑합니다.

  • 대상 VRF—대상에 대한 최종 경로와 연관된 VRF 라우팅 인스턴스입니다. 새 세션에 대한 첫 번째 패킷 처리 중에 flow에는 패킷을 다음 홉 디바이스 또는 인터페이스로 라우팅하기 위한 대상 경로가 필요합니다. Flow는 최종 다음 홉 디바이스 또는 인터페이스를 찾을 때까지 수신 인터페이스 또는 별도의 RTT 테이블에서 초기 라우팅 테이블을 검색합니다. 최종 경로 항목이 발견되고 해당 경로가 MPLS 다음 홉 디바이스를 가리키는 경우 대상 VRF는 최종 경로가 발견되는 라우팅 인스턴스에 할당됩니다.

가상 라우팅 및 포워딩 그룹

SD-WAN 엔터프라이즈 네트워크는 그림 1과 같이 여러 개의 L3VPN 네트워크로 구성됩니다.

그림 1: 다중 L3VPN Multiple L3VPNs

L3VPN 네트워크는 사이트(CPE 디바이스)에서 VRF 인스턴스 집합으로 식별됩니다. 사이트의 L3VPN 네트워크에 속한 사이트의 VRF 인스턴스는 애플리케이션 정책 기반 전달에 사용됩니다. SRX 플로우 세션 처리는 애플리케이션 기반 스티어링 정책을 기반으로 이러한 VRF 인스턴스 간의 미드스트림 트래픽 스위칭을 지원하도록 향상되었습니다. 지정된 L3VPN 네트워크의 논리적 일부인 VRF 인스턴스는 VRF 그룹으로 구성할 수 있습니다. 기존 방화벽, 네트워크 주소 변환(NAT) 구성 명령이 VRF 그룹에 대한 작업을 지원하도록 향상되었습니다.

그림 2는 APBR 정책을 기반으로 여러 VRF에서 L3VPN 내의 트래픽 스티어링이 어떻게 수행되는지 설명합니다.

그림 2 :

VRF 인스턴스를 사용하여 VRF 그룹을 구성하면 VRF 그룹 ID가 생성됩니다. 이러한 VRF 그룹은 다음 모듈에서 SD-WAN L3VPN을 제어하는 데 사용됩니다.

  • Security Policy - 정책 제어용.

  • Flow - 소스 또는 대상 영역, 소스 또는 대상 IP 주소 및 프로토콜과 함께 VRF 그룹 이름을 기반으로 정책을 검색합니다. 따라서 VRF 그룹을 차별화 요소 중 하나로 사용하여 세션이 생성됩니다.

  • NAT - VRF 그룹 이름을 기반으로 네트워크 주소 변환(NAT) 규칙을 지원합니다.

  • ALG - VRF 그룹을 차별화 요소 중 하나로 사용하여 ALG 세션을 생성합니다.

VRF 그룹의 기능:

  • 이를 통해 세션이 두 MPLS VRF 간에 전환될 수 있습니다.

  • VRF 인스턴스가 동일한 VRF 그룹의 일부인 경우 플로우, 정책, 네트워크 주소 변환(NAT) 또는 ALG 모듈과 같은 보안 기능은 VRF 인스턴스를 유사하게 취급합니다.

  • VRF 인스턴스를 사용하여 VRF 그룹을 구성하면 VRF 그룹 ID가 생성됩니다. 이 그룹 ID는 특정 VRF 인스턴스의 VRF 그룹을 식별하기 위해 세션에 저장됩니다.

VRF 그룹 이해

VRF 그룹은 SD-WAN 네트워크에서 L3VPN MPLS 기반 세션을 지원하기 위해 도입되었습니다. MPLS L3VPN 네트워크에 겹치는 IP 네트워크 주소가 있거나 겹치지 않는 경우 정책, 흐름, NAT 및 ALG 모듈에서 MPLS L3VPN 트래픽을 제어하는 데 사용됩니다.

MPLS가 아닌 L3VPN 네트워크 간에 트래픽이 전달되면 VRF 그룹이 구성되지 않습니다. VRF 그룹이 구성되지 않은 경우 VRF group-ID는 0이 되거나 정책에서 VRF 그룹 옵션을 any 사용합니다.

VRF 그룹의 목적은 다음과 같습니다.

  • MPLS L3VPN 네트워크 간에 L3VPN 세션을 구분합니다.

  • MPLS L3VPN 네트워크 간에 정책 및 NAT 제어를 갖습니다.

VRF 그룹 유형

L3VPN 네트워크에는 두 가지 중요한 VRF 그룹이 있습니다.

  • 소스-VRF 그룹

  • 대상-VRF 그룹

Source-VRF 그룹 또는 Destination-VRF 그룹에 대해 함께 그룹화할 수 있는 VRF 인스턴스를 이해하려면 다음 정보를 사용합니다.

  • Source-VRF instances- 동일한 인바운드 대상에 대해 서로 다른 MPLS 경로를 협상하는 VRF 인스턴스 목록입니다.

  • Destination-VRF instances— 지정된 L3VPN 트래픽에 대한 대상 경로를 포함하는 VRF 인스턴스 목록입니다.

메모:

트래픽이 반대 방향으로 시작되면 VRF 그룹은 트래픽 방향에 따라 역할을 전환합니다.

VRF 무브먼트

그림 3부터 세션 설정을 위한 초기 트래픽 흐름은 왼쪽에서 오른쪽입니다. 트래픽은 GRE-Zone1에 진입한 다음 Source-VRF 그룹(A)에 진입하고 Destination-VRF 그룹(A')을 통과한 후 GRE_Zone2를 통해 종료됩니다.

마찬가지로, 소스 VRF 그룹(A) 및 대상-VRF 그룹(A)을 세션의 추가 키 값으로 사용하여 에서 정책 검색이 시작 GRE_Zone1->Source-VRF group(A)->Destination-VRF group->(A’)->GRE_Zone2 되고 플로우 세션이 설정됩니다. VRF 그룹을 사용하여 플로우 세션이 완료되면 트래픽이 그룹 내의 한 VRF에서 다른 VRF로 전환(재라우팅)될 수 있습니다.

그림 3: VRF 그룹 VRF Movement within VRF Group 내 VRF 이동

VRF 그룹 ID

VRF 그룹 ID를 저장하기 위해 세션 키 데이터 구조에 16비트 숫자가 사용됩니다.

VRF 그룹 구성

VRF 그룹을 구성하려면 다음 단계를 사용합니다.

  • 그룹화해야 하는 VRF 인스턴스를 나열합니다.

  • VRF 그룹에 이름을 할당합니다.

  • CLI 명령에 set security l3vpn vrf-group group-name vrf vrf1 vrf vrf2 VRF 인스턴스 및 VRF 그룹 이름을 적용합니다

소스 및 대상 VRF 그룹은 서로 다른 컨텍스트에 따라 별도로 구성됩니다.

  • Source VRF group- 라우팅 인스턴스에 대한 소스 VRF 그룹은 MPLS 패킷과 연결됩니다. 디바이스가 MPLS 패킷을 수신하면 패킷이 디코딩되어 LSI 인터페이스에 매핑됩니다. LSI 인터페이스에는 VRF 그룹 세부 정보를 식별하는 데 도움이 되는 라우팅 테이블 정보가 포함되어 있습니다.

  • Destination VRF group- 새 세션에 대한 패킷의 첫 번째 경로 플로우 처리 중에 패킷을 다음 홉 또는 인터페이스로 라우팅하려면 대상 경로 정보가 필요합니다. Flow는 라우팅 테이블을 검색하여 경로 정보를 가져옵니다. 수신된 경로 정보가 MPLS를 다음 홉으로 가리키면 이 경로의 VRF를 사용하여 대상 VRF 그룹을 식별합니다.

메모:

소스 및 대상 VRF 그룹은 L3VPN 네트워크에서 모든 관련 VRF를 제어하려는 경우에 동일합니다.

VRF 그룹 운영

VRF 그룹이 구성되면 다른 VRF 그룹에 대해 고유한 Group-ID가 생성됩니다. VRF 그룹에 VRF를 추가, 제거 또는 수정하는 등 다양한 작업을 수행할 수 있습니다.

VRF 그룹에 VRF 추가

VRF가 VRF 그룹에 추가되면 해당 VRF 그룹 ID가 VRF에 할당됩니다. VRF 그룹에 VRF를 추가할 때 다음 사항에 유의하십시오.

  • VRF는 하나의 VRF 그룹에만 추가할 수 있습니다. 여러 VRF 그룹의 일부가 될 수 없습니다.

  • VRF 그룹에는 최대 32개의 VRF가 구성됩니다.

  • VRF가 추가되면 기존 세션에 영향을 미치며 정책에 따라 새 세션이 생성됩니다.

  • VRF 그룹에 새 VRF를 추가한 후 새 세션이 생성되면 세션은 새 VRF의 새 VRF 그룹 ID를 사용합니다.

VRF 그룹에서 VRF 제거

VRF가 VRF 그룹에서 제거되면 해당 VRF 그룹의 VRF 그룹 ID가 0으로 변경되지만 디바이스에서 VRF를 계속 사용할 수 있습니다. VRF 그룹에서 VRF를 제거하면 다음 두 가지 방식으로 기존 세션에 영향을 미칩니다.

  • Impacting existing sessions- VRF 그룹에서 VRF가 제거되면 기존 세션이 제거되고 정책에 따라 새 세션이 생성됩니다

  • Match Traffic- VRF가 VRF 그룹에서 제거되면 해당 VRF의 VRF 그룹 ID가 0으로 변경되므로 세션과 일치하지 않습니다. 패킷이 삭제되고 정책에 따라 새 세션이 생성됩니다.

VRF가 VRF 그룹에서 제거되면 영향을 받는 VRF를 사용하여 처리되는 새 세션은 새 VRF group-ID를 설치합니다. 이 VRF 그룹 ID는 0이 되거나, 새 VRF 그룹에 VRF를 추가하는 경우 새 그룹 ID가 생성됩니다

VRF 그룹 수정

VRF 그룹 수정에는 다음 작업이 포함됩니다.

  • Changing VRF group name: VRF 그룹 이름을 변경하면 정책 모듈은 기존 세션을 스캔하여 새 VRF 그룹 이름이 기존 규칙과 일치하는지 확인합니다.

  • Adding VRF to VRF group: VRF가 VRF 그룹에 추가되면 해당 VRF 그룹 ID가 VRF에 할당됩니다.

  • Removing VRF from VRF group: VRF가 VRF 그룹에서 제거되면 해당 VRF의 VRF 그룹 ID가 0으로 변경되고 디바이스에서 VRF를 계속 사용할 수 있습니다.

VRF 그룹 제거

CLI를 사용하여 VRF 그룹을 제거하면 제거된 VRF 그룹과 일치하도록 기존 세션에서 세션 스캔이 수행됩니다. 세션이 제거된 VRF 그룹과 일치하면 잘못된 시간 제한을 설정하여 해당 세션이 디바이스에서 제거됩니다. 제거된 VRP-Group-ID와 일치하지 않는 세션의 경우 영향을 받지 않습니다.

가상 라우팅 및 포워딩 그룹을 사용한 플로우 처리

VRF 그룹을 사용한 첫 번째 경로 처리

패킷을 처리하기 위해 첫 번째 경로 처리는 다음을 수행합니다.

  • MPLS Decoder- flow가 MPLS 또는 비 MPLS 패킷을 수신하면 패킷이 처리되어 수신 패킷, 인터페이스 및 수신 인터페이스의 라우팅 인스턴스의 세부 정보를 검색합니다.

  • FBF configuration- 수신 패킷을 다른 라우팅 인스턴스로 리디렉션하도록 FBF 규칙을 구성하면 FBF 규칙은 라우팅 인스턴스 정보를 찾아 패킷 수신 인터페이스 라우팅 인스턴스 대신 FBF 라우팅 인스턴스 정보를 전달합니다. 이 FBF VRF는 L3VPN 네트워크를 제어하기 위해 VRF 그룹의 일부여야 합니다.

  • Initialize Routing-Table- 플로우가 패킷을 수신하면 패킷에 대한 초기 라우팅 테이블이 생성됩니다. FBF 구성이 방화벽 필터와 일치하는 경우 FBF의 라우팅 인스턴스 정보가 경로 조회에 사용됩니다. 그렇지 않으면 flow는 경로 조회를 위해 수신 인터페이스 routing-instance 정보를 사용합니다.

  • Finding Source VRF group- 수신 패킷이 MPLS 네트워크에서 온 경우 패킷은 소스 VRF 그룹의 VRF 인스턴스에 매핑됩니다. 수신 패킷이 MPLS 패킷이 아닌 경우 소스 VRF 그룹 ID는 0입니다.

  • Destination NAT using VRF group- 플로우는 대상 IP에 NAT 변환이 필요한지 확인합니다. 대상 NAT는 VRF에 대해 두 가지 유형의 일치 기준을 지원합니다.

    • VRF routing-group을 사용한 NAT 규칙 검색.

    • VRF 라우팅 인스턴스 및 NAT 정보를 사용한 NAT 규칙 결과.

  • Destination Route- 초기 경로 테이블에서 수행되는 경로 조회는 발신 인터페이스 및 대상-VRF 정보를 식별하는 데 사용됩니다. 이 정보는 정책 검색 및 세션 설치에 사용됩니다.

  • Final next-hop- 목적지 경로를 찾는 첫 번째 단계는 가리키는 경로의 다음 홉을 최종적으로 찾는 것입니다. 이 다음 홉을 사용하여 flow는 다음 홉이 MPLS 네트워크를 가리키는지 여부를 확인합니다. MPLS 네트워크를 가리키지 않는 경우 대상 VRF 그룹은 0이 됩니다.

  • Destination VRF group— 대상 VRF가 식별되면 대상 VRF Group-ID가 초기화됩니다. 대상 VRF가 그룹에 할당되지 않은 경우 0으로 설정됩니다.

  • First Path Policy Search- 플로우는 정책 검색을 수행하여 패킷의 허용 또는 거부 여부를 확인합니다. Flow는 5튜플 정책 키 정보 및 VRF 정보를 수집하며, 이 정보는 정책 검색 모듈에서 적절한 VRF 정책을 찾는 데 사용됩니다.

  • Source NAT using VRF group—플로우 세션은 소스 VRF 그룹 NAT 규칙 검색을 사용하여 소스 NAT를 수행합니다. Source-NAT는 두 가지 유형의 NAT 검색 기준을 지원합니다.

    • VRF 그룹을 사용한 Source-NAT 규칙 검색.

    • VRF 그룹 또는 VRF 인스턴스를 사용한 정적-NAT 규칙 검색.

  • Static NAT using VRF group or VRF instance—정적 NAT는 VRF 유형의 규칙에서 routing-group 및 rule의 routing-instance를 지원합니다.

    • 정적 NAT가 지정된 IP 패킷에 대한 대상 NAT 변환과 일치하면 VRF 라우팅 그룹이 일치 기준 중 하나가 되고 VRF 라우팅 인스턴스는 대상 라우팅 테이블로 사용되지 않습니다.

    • 정적 NAT가 지정된 IP 패킷에 대한 소스 NAT 변환과 일치하면 VRF 라우팅 인스턴스가 일치 기준 중 하나가 됩니다.

  • Session Installation using VRF group- 세션 설치 프로세스 중에 소스 VRF 그룹 ID가 전방 윙에 저장되어 윙이 MPLS 네트워크를 가리킨다는 것을 나타냅니다. 경로 조회에서 찾은 목적지 VRF 그룹 ID는 윙이 MPLS 네트워크를 가리킨다는 것을 나타내는 리버스 윙에 저장됩니다.

  • Re-routing using VRF group- VRF 그룹 정보를 사용하여 세션이 설정되면 인터페이스가 다운되거나 초기 경로를 사용할 수 없는 경우 다시 라우팅이 시작됩니다. 이렇게 변경된 경로는 세션이 처음에 양쪽에 설정된 동일한 VRF 그룹(소스-VRF 그룹/대상-VRF 그룹)의 일부여야 합니다. 그렇지 않으면 트래픽이 세션과 일치하지 않으며 향후 세션 트래픽이 삭제되거나 정책에 따라 새 세션이 생성될 수 있습니다.

VRF 그룹을 사용한 빠른 경로 처리

빠른 경로 처리는 패킷을 처리하기 위해 다음 단계를 수행합니다.

  • MPLS Decoder- 패킷 MPLS 또는 비 MPLS 패킷이 수신되면 패킷은 MPLS 처리를 거칩니다. 처리가 완료되면 플로우는 수신 패킷, 인터페이스 및 수신 인터페이스의 라우팅 인스턴스에 대한 세부 정보를 수신합니다.

  • FBF configuration- 수신 패킷을 다른 라우팅 인스턴스로 리디렉션하도록 FBF 규칙을 구성하면 FBF 규칙은 라우팅 인스턴스 정보를 찾아 패킷 수신 인터페이스 라우팅 인스턴스 대신 FBF 라우팅 인스턴스 정보를 전달합니다. 이 FBF VRF는 L3VPN 네트워크를 제어하기 위해 VRF 그룹의 일부여야 합니다.

  • Session look-up using VRF Group-ID- 세션 조회 프로세스 중에 플로우는 조회를 위해 세션 키에서 VRF Group-ID를 전달할지 여부를 확인합니다. 수신 인터페이스가 MPLS인 경우 flow는 매핑된 VRF 라우팅 인스턴스의 VRF Group-ID 정보를 다른 주요 튜플 정보와 함께 세션 키로 전달합니다. 수신 인터페이스가 MPLS가 아닌 경우 VRF Group-ID는 0이 됩니다.

  • Session Route change- 중간 스트림에서 세션에 대한 경로가 변경되면 플로우는 이 경로에 속하는 새 VRF를 확인합니다. 새 VRF 그룹 ID가 세션의 VRF 그룹 ID와 다르면 경로가 처리되지 않고 향후 패킷이 삭제됩니다. 따라서 다시 라우팅하려면 새 경로가 세션 VRF 그룹에 속하는 VRF에 속해야 합니다.

  • VRF Group policy change- zone/interface/IP/Source-VRF group/Destination-VRF 그룹과 같은 정책 속성으로 인해 VRF 그룹 세션 정책이 변경되면 정책이 유효한지 여부를 확인하기 위해 소스 VRF 그룹 및 대상 VRF 그룹 값과 함께 정책 5-튜플을 제공하여 동일한 세션에 대해 정책이 다시 일치됩니다. 재일치 시 정책이 세션 정보와 일치하지 않으면 세션이 종료됩니다.

  • VRF session display—소스-VRF 그룹 및 대상-VRF 그룹이 세션 출력 디스플레이에 표시되어 동일한 튜플에 대해 서로 다른 VRF 그룹을 구별합니다.

  • High Availability—세션에서 다른 VRF 그룹을 구별하기 위해 추가 VRF 그룹 ID 정보가 HA 피어 노드와 동기화될 때 동작 변경 없이 고가용성이 지원됩니다.

예: VRF 그룹을 사용하여 IP 네트워크에서 MPLS 네트워크로의 VRF 기반 트래픽을 허용하는 보안 정책 구성

이 예에서는 VRF 그룹을 사용하여 프라이빗 IP 네트워크에서 MPL 네트워크로의 트래픽을 허용하도록 보안 정책을 구성하는 방법을 보여줍니다.

요구 사항

  • Junos OS 릴리스 15.1X49-D170 이상에서 지원되는 SRX 시리즈 방화벽. 이 구성 예는 Junos OS 릴리스 15.1X49-D170에 대해 테스트되었습니다.

개요

Junos OS에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 대해 수행해야 하는 조치와 관련하여 전송 트래픽에 대한 규칙을 시행합니다. 그림 4에서 SRX 시리즈 방화벽은 VRF 그룹을 사용하여 프라이빗 IP 네트워크에서 MPLS 네트워크로의 트래픽을 허용하기 위해 SD-WAN에 구축되어 있습니다.

그림 4: 개인 네트워크에서 MPLS Traffic from Private Network to MPLS 로의 트래픽

이 구성 예제에서는 다음을 수행하는 방법을 보여 줍니다.

  • IP 네트워크(LAN-a)에서 VRF 그룹으로의 트래픽 허용

  • IP 네트워크(LAN-b)에서 VRF 그룹으로의 트래픽 허용

구성

절차
CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

  1. VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다

  2. VRF 인스턴스 A11 및 A21을 사용하여 VRF 그룹 vpn-A1 생성

  3. VRF 인스턴스 B1 및 B2를 사용하여 VRF 그룹 vpn-B를 생성합니다

  4. VRF 인스턴스 B11 및 B21을 사용하여 VRF 그룹 vpn-B1을 생성합니다

  5. vrf-a 트래픽을 허용하는 보안 정책을 생성합니다.

  6. vrf-b 트래픽을 허용하는 보안 정책을 생성합니다.

결과

구성 모드에서 명령을 입력하여 show security policies 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인
정책 구성 확인
목적

보안 정책에 대한 정보를 확인합니다.

행동

운영 모드에서 명령을 입력하여 show security policies 디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.

예: VRF 그룹을 사용하여 MPLS 네트워크에서 IP 네트워크로의 VRF 기반 트래픽을 허용하는 보안 정책 구성

이 예에서는 VRF 그룹을 사용하여 MPLS에서 IP 네트워크로의 트래픽을 허용하도록 보안 정책을 구성하는 방법을 보여줍니다.

요구 사항

개요

Junos OS에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 대해 수행해야 하는 조치와 관련하여 전송 트래픽에 대한 규칙을 시행합니다. 그림 5에서 SRX 시리즈 방화벽은 VRF 그룹을 사용하여 MPLS 네트워크에서 프라이빗 네트워크로의 트래픽을 허용하기 위해 SD-WAN에 구축되어 있습니다.

그림 5: MPLS에서 프라이빗 네트워크 Traffic Permit from MPLS to Private Network 로의 트래픽 허용

이 구성 예제에서는 다음을 수행하는 방법을 보여 줍니다.

  • GRE MPLS에서 LAN-a로의 트래픽 허용

  • GRE MPLS에서 LAN-b로의 트래픽 허용

구성

절차
CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

  1. VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다.

  2. VRF 인스턴스 B1 및 B2를 사용하여 VRF 그룹 vpn-B를 생성합니다.

  3. VRF-a 트래픽을 허용하는 보안 정책을 생성합니다.

  4. VRF-b 트래픽을 허용하는 보안 정책을 생성합니다.

결과

구성 모드에서 명령을 입력하여 show security policies 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인
정책 구성 확인
목적

보안 정책에 대한 정보를 확인합니다.

행동

운영 모드에서 명령을 입력하여 show security policies 디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.

예: VRF 그룹을 사용하여 공용 IP 네트워크에서 MPLS 네트워크로 VRF 기반 트래픽을 허용하는 보안 정책 구성

이 예에서는 VRF 그룹을 사용하여 수신 공용 IP 네트워크를 MPLS 네트워크로 변환하도록 대상 NAT 규칙을 구성하는 방법을 설명합니다.

요구 사항

개요

그림 6에서 SRX 시리즈 방화벽은 수신 공용 IP 네트워크를 VRF 기반 대상 라우팅 테이블 및 IP로 변환하기 위해 대상 NAT 규칙으로 구성되어 있습니다. SRX 시리즈 방화벽은 vpn-A와 vpn-B의 두 VRF 그룹으로 구성됩니다.

그림 6: 공용 네트워크에서 MPLS Traffic Permit from Public Network to MPLS 로의 트래픽 허용

구성

절차
CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

단일 VRF에 대한 대상 네트워크 주소 변환(NAT) 매핑을 구성하려면 다음을 수행합니다.

  1. 레이어 3 VPN에서 VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다.

  2. VRF 인스턴스 B1 및 B2를 사용하여 다른 VRF 그룹 vpn-B를 생성합니다.

  3. 대상 NAT IP 주소 풀을 지정합니다.

  4. 대상 풀에 라우팅 인스턴스를 할당합니다.

  5. 대상 NAT 규칙 세트를 생성합니다.

  6. 패킷을 일치시키고 대상 IP 주소를 대상 NAT IP 주소 풀의 IP 주소로 변환하는 규칙을 구성합니다.

  7. VRF-a 트래픽을 허용하는 보안 정책을 생성합니다.

  8. VRF-b 트래픽을 허용하는 보안 정책을 생성합니다.

결과

구성 모드에서 및 show security policies 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

대상 NAT 규칙 사용 및 보안 정책 확인
목적

대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show security nat destination rule all . Translation hits(변환 히트) 필드에서 대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.

운영 모드에서 명령을 입력하여 show security policies 디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.

예: MPLS 네트워크에서 공용 IP 네트워크로의 VRF 기반 트래픽을 허용하고 VRF 그룹을 사용하도록 보안 정책 구성

이 예에서는 VRF 그룹당 네트워크 트래픽을 글로벌 IP 풀로 변환하도록 라우팅 그룹을 구성하는 방법을 설명합니다.

요구 사항

개요

그림 7에서 SRX 시리즈 방화벽은 MPLS에서 글로벌 IP 풀로의 VRF 그룹 네트워크 트래픽을 허용하기 위해 라우팅 그룹으로 구성되어 있습니다. SRX 시리즈 방화벽은 vpn-A와 vpn-B의 두 VRF 그룹으로 구성됩니다.

그림 7: MPLS에서 공용 네트워크 Traffic Permit from MPLS to Public Network 로의 트래픽 허용

구성

절차
CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

단일 VRF에 대한 소스 네트워크 주소 변환(NAT) 매핑을 구성하려면 다음을 수행합니다.

  1. 레이어 3 VPN에서 VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다.

  2. VRF 인스턴스 B1 및 B2를 사용하여 다른 VRF 그룹 vpn-B를 생성합니다.

  3. 소스 NAT IP 주소 풀을 지정합니다.

  4. 소스 NAT 규칙 세트를 생성합니다.

  5. 패킷을 일치시키고 VRF 그룹 네트워크 트래픽당 글로벌 IP 풀로 변환하는 규칙을 구성합니다.

  6. vpn-A 트래픽을 허용하는 보안 정책을 생성합니다.

  7. vpn-B 트래픽을 허용하는 보안 정책을 생성합니다.

결과

구성 모드에서 및 show security policies 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

대상 NAT 규칙 사용 및 보안 정책 확인
목적

소스 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show security nat source rule all . Translation hits(변환 히트) 필드에서 소스 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.

운영 모드에서 명령을 입력하여 show security policies 디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.

예: VRF 그룹을 사용하여 네트워크 주소 변환(NAT) 없이 MPLS 네트워크에서 MPLS 네트워크로 VRF 기반 트래픽을 허용하는 보안 정책 구성

이 예에서는 NAT를 사용하지 않고 MPLS 네트워크 간의 트래픽을 허용하도록 라우팅 그룹을 구성하는 방법을 설명합니다.

그림 8: MPLS 네트워크 Traffic between MPLS Networks 간 트래픽

요구 사항

개요

그림 8에서 SRX 시리즈 방화벽은 NAT를 사용하지 않고 MPLS 네트워크 간의 트래픽을 허용하도록 라우팅 그룹으로 구성되어 있습니다. SRX 시리즈 방화벽은 vpn-A와 vpn-B의 두 VRF 그룹으로 구성됩니다.

구성

절차
CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

단일 VRF에 대한 소스 네트워크 주소 변환(NAT) 매핑을 구성하려면 다음을 수행합니다.

  1. 레이어 3 VPN에서 VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다.

  2. 레이어 3 VPN에서 VRF 인스턴스 A11 및 A12를 사용하여 VRF 그룹 vpn-A1을 생성합니다.

  3. VRF 인스턴스 B1 및 B2를 사용하여 다른 VRF 그룹 vpn-B를 생성합니다.

  4. VRF 인스턴스 B11 및 B12를 사용하여 다른 VRF 그룹 vpn-B1을 생성합니다.

  5. vpn-A1 트래픽을 허용하는 보안 정책을 생성합니다.

  6. vpn-B1 트래픽을 허용하는 보안 정책을 생성합니다.

결과

구성 모드에서 명령을 입력하여 show security policies 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

보안 정책 확인
목적

보안 정책의 구성 출력을 확인합니다.

행동

운영 모드에서 명령을 입력하여 show security policies 디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.

예: NAT 및 VRF 그룹을 사용하여 MPLS 네트워크에서 MPLS 네트워크로 VRF 기반 트래픽을 허용하는 보안 정책 구성

이 예에서는 라우팅 그룹을 구성하고 NAT를 사용하여 MPLS 네트워크 간에 트래픽을 허용하는 방법을 설명합니다.

그림 9: NAT를 사용하는 MPLS 네트워크 간의 트래픽 허용 Traffic Permit between MPLS Networks with NAT

요구 사항

개요

그림 9에서 SRX 시리즈 방화벽은 라우팅 그룹을 구성하고 NAT를 사용하여 MPLS 네트워크 간의 트래픽을 허용합니다. SRX 시리즈 방화벽은 VRF 그룹, vpn-A, vpn-A1, vpn-B, vpn-B1로 구성됩니다.

구성

절차
CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

단일 VRF에 대한 소스 네트워크 주소 변환(NAT) 매핑을 구성하려면 다음을 수행합니다.

  1. 레이어 3 VPN에서 VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다.

  2. 레이어 3 VPN에서 VRF 인스턴스 A11 및 A12를 사용하여 VRF 그룹 vpn-A1을 생성합니다.

  3. VRF 인스턴스 B1 및 B2를 사용하여 다른 VRF 그룹 vpn-B를 생성합니다.

  4. VRF 인스턴스 B11 및 B12를 사용하여 다른 VRF 그룹 vpn-B1을 생성합니다.

  5. 소스 NAT IP 주소 풀을 지정합니다.

  6. 소스 NAT 규칙 세트를 생성합니다.

  7. 패킷을 일치시키고 VRF 그룹 네트워크 트래픽당 글로벌 IP 풀로 변환하는 규칙을 구성합니다.

  8. vpn-A1 트래픽을 허용하는 보안 정책을 생성합니다.

  9. vpn-B1 트래픽을 허용하는 보안 정책을 생성합니다.

결과

구성 모드에서 및 show security policies 명령을 입력하여 show security nat 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

보안 정책 확인
목적

소스 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.

행동

운영 모드에서 명령을 입력합니다 show security nat source rule all . Translation hits(변환 히트) 필드에서 대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.

운영 모드에서 명령을 입력하여 show security policies 디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.

SD-WAN 구축에서 멀티캐스트 지원

Junos OS 릴리스 21.2R1부터 SD-WAN 구축을 위한 프로바이더 에지(PE)의 SRX 시리즈 방화벽에서 멀티캐스트 트래픽에 대한 지원이 추가되었습니다. 멀티캐스트 트래픽에 대한 지원은 보안 디바이스가 계층 구조에서 플로우 기반으로 설정된 포워딩 옵션으로 작동할 때 사용할 수 있습니다 set security forwarding-options family mpls mode . forwarding-options(보안)를 참조하십시오.

제한

  • 멀티캐스트 트래픽에 대한 지원은 디바이스가 로 설정된 packet-based포워딩 옵션으로 작동할 때 사용할 수 없습니다.
  • IP-over-MPLS-over-GRE 및 IP-over-MPLS-over-GRE-over-IPsec을 사용하는 허브 앤 스포크 토폴로지에서만 사용할 수 있는 멀티캐스트 트래픽 지원
  • 멀티캐스트 트래픽 지원으로 인해 MVPN(멀티캐스트 VPN) 데이터 전달 기능과 관련된 변경 사항이나 제한 사항이 적용되지 않습니다. MVPN VRF 인스턴스에서 보급할 경로 제한을 참조하십시오.