VRF 라우팅 인스턴스를 사용한 SRX 시리즈 디바이스의 플로우 관리
SD-WAN 구축의 가상 라우팅 및 포워딩 인스턴스
VRF(가상 라우팅 및 포워딩) 인스턴스는 각 테넌트의 경로를 다른 테넌트의 경로 및 다른 네트워크 트래픽과 분리하는 데 필요합니다. SRX 시리즈 방화벽은 SD-WAN 구축에서 보안 강화 및 관리 용이성을 위해 네트워크 분할에 VRF 인스턴스를 사용합니다. 예를 들어, 테넌트라고 하는 고유한 라우팅 도메인을 생성하여 대기업 네트워크를 세그먼트화하고 트래픽을 세그먼트화하여 여러 고객 네트워크를 지원할 수 있습니다. 각 테넌트에는 겹치는 IP 서브넷을 지원할 수 있는 자체 라우팅 테이블이 있습니다. VRF는 경로를 관리하고 특정 테넌트에 대한 VRF의 독립 포워딩 테이블을 기반으로 트래픽을 전달하는 데 사용할 수 있습니다.
SD-WAN 구축에서 프로바이더 에지(PE) 라우터는 허브 디바이스인 동시에 MPLS 트래픽을 수신하고 전달하는 스포크 디바이스가 될 수 있습니다. 고객 에지(CE) 라우터는 VRF 라우팅 인스턴스를 사용하여 VPN 트래픽을 전송하기 위해 PE 라우터와 상호 작용하는 SRX 시리즈 방화벽입니다. VRF 인스턴스는 각 고객 VPN 트래픽을 전달하며, 각 VRF 인스턴스에는 해당 VRF를 통과하는 모든 고객 트래픽을 나타내는 하나의 레이블이 포함되어 있습니다.
스포크 측 SRX 시리즈 방화벽에 연결되는 여러 사이트는 동일한 테넌트 또는 동일한 VRF 라우팅 인스턴스에 속할 수 있습니다. 이러한 사이트는 공용 인터넷 또는 원격 테넌트 사이트에 도달하기 위한 IP 트래픽을 보냅니다.
트래픽이 스포크 측 SRX 시리즈 방화벽에 도달하면 디바이스는 해당 사이트에 연결된 LAN 인터페이스에서 VRF 인스턴스를 식별합니다. 이 트래픽에 대한 보안 처리 후 트래픽은 해당 VRF 라우팅 테이블에서 대상에 대한 경로를 찾습니다. 대상이 다음 홉 기반 GRE(Generic Routing Encapsulation)를 통한 MPLS인 경우, SRX 시리즈 방화벽은 해당 MPLS 레이블을 추가하고 패킷을 허브측 디바이스로 전달합니다.
허브 측 디바이스에서 GRE를 통해 MPLS 터널링된 트래픽을 수신한 후 SRX 시리즈 방화벽은 MPLS 레이블을 연결하여 해당 VRF 라우팅 인스턴스를 식별합니다. 트래픽의 보안 처리가 완료된 후 디바이스는 대상이 공용 인터넷에 있는지 또는 MPLS 다음 홉을 통해 연결할 수 있는지 식별합니다.
대상이 공용 인터넷인 경우 NAT(Network Address Translation)는 VRF 개인 IP 주소를 공용 IP 주소로 변환하고 세션을 설정합니다. 대상이 MPLS 다음 홉 유형인 경우 해당 MPLS 레이블이 추가되고 패킷이 GRE 오버레이 터널을 사용하여 원격 스포크로 전달됩니다.
원격 스포크 측에서 GRE 터널 트래픽을 통해 MPLS를 수신한 후 디바이스는 MPLS 레이블을 사용하여 해당 VRF 라우팅 인스턴스를 식별합니다. SRX 시리즈 방화벽은 VRF 라우팅 인스턴스를 사용하여 해당 VRF에서 패킷을 대상으로 전달할 올바른 대상 LAN 인터페이스를 찾습니다.
VRF 라우팅 인스턴스를 사용한 플로우 관리
SRX 시리즈 방화벽 플로우는 입력 인터페이스의 인터페이스 토큰 및 트래픽의 출력 인터페이스와 함께 5튜플 데이터(원본 IP 주소, 대상 IP 주소, 원본 포트 번호, 대상 포트 번호, 프로토콜 번호)를 기반으로 세션을 생성합니다. 예를 들어, 라우팅 인스턴스 VRF-1 및 라우팅 인스턴스 VRF-2는 동일한 물리적 GRE 터널을 통해 들어오고 나갈 수 있는 동일한 5튜플 트래픽을 가지고 있습니다. 동일한 터널의 이러한 겹치는 IP 주소가 SRX 시리즈 방화벽을 통해 들어오거나 나가면 세션 정보의 충돌로 인해 SRX 시리즈 방화벽 플로우가 데이터베이스에 여러 세션을 설치할 수 없습니다. SRX 시리즈 방화벽이 설치 중에 세션을 구별하려면 추가 정보가 필요합니다.
Junos OS 릴리스 15.1X49-D160부터 SRX 시리즈 방화벽은 세션 키에서 MPLS 태그가 지정된 패킷의 VRF 정보를 사용하여 세션을 구분할 수 있습니다. 다른 VRF 인스턴스와 세션을 구분하기 위해 플로우는 기존 세션 키에 VRF 식별 번호를 사용하여 각 VRF 인스턴스를 식별합니다. 이 세션 키는 세션 조회 중에 일치하는 기준 중 하나로 사용됩니다.
보안 정책에서 기존 5튜플 일치 조건과 함께 다음 일치 기준을 사용하여 지정된 VRF에 따라 트래픽을 허용하거나 거부할 수 있습니다.
소스 VRF - 패킷의 수신 인터페이스와 연관된 VRF 라우팅 인스턴스입니다. 레이블을 포함하는 수신 MPLS 패킷이 SRX 시리즈 방화벽에 도착하면 디바이스는 레이블을 디코딩하고 수신 인터페이스에 매핑합니다.
대상 VRF—대상에 대한 최종 경로와 연관된 VRF 라우팅 인스턴스입니다. 새 세션에 대한 첫 번째 패킷 처리 중에 flow에는 패킷을 다음 홉 디바이스 또는 인터페이스로 라우팅하기 위한 대상 경로가 필요합니다. Flow는 최종 다음 홉 디바이스 또는 인터페이스를 찾을 때까지 수신 인터페이스 또는 별도의 RTT 테이블에서 초기 라우팅 테이블을 검색합니다. 최종 경로 항목이 발견되고 해당 경로가 MPLS 다음 홉 디바이스를 가리키는 경우 대상 VRF는 최종 경로가 발견되는 라우팅 인스턴스에 할당됩니다.
가상 라우팅 및 포워딩 그룹
SD-WAN 엔터프라이즈 네트워크는 그림 1과 같이 여러 개의 L3VPN 네트워크로 구성됩니다.
L3VPN 네트워크는 사이트(CPE 디바이스)에서 VRF 인스턴스 집합으로 식별됩니다. 사이트의 L3VPN 네트워크에 속한 사이트의 VRF 인스턴스는 애플리케이션 정책 기반 전달에 사용됩니다. SRX 플로우 세션 처리는 애플리케이션 기반 스티어링 정책을 기반으로 이러한 VRF 인스턴스 간의 미드스트림 트래픽 스위칭을 지원하도록 향상되었습니다. 지정된 L3VPN 네트워크의 논리적 일부인 VRF 인스턴스는 VRF 그룹으로 구성할 수 있습니다. 기존 방화벽, 네트워크 주소 변환(NAT) 구성 명령이 VRF 그룹에 대한 작업을 지원하도록 향상되었습니다.
그림 2는 APBR 정책을 기반으로 여러 VRF에서 L3VPN 내의 트래픽 스티어링이 어떻게 수행되는지 설명합니다.
VRF 인스턴스를 사용하여 VRF 그룹을 구성하면 VRF 그룹 ID가 생성됩니다. 이러한 VRF 그룹은 다음 모듈에서 SD-WAN L3VPN을 제어하는 데 사용됩니다.
Security Policy - 정책 제어용.
Flow - 소스 또는 대상 영역, 소스 또는 대상 IP 주소 및 프로토콜과 함께 VRF 그룹 이름을 기반으로 정책을 검색합니다. 따라서 VRF 그룹을 차별화 요소 중 하나로 사용하여 세션이 생성됩니다.
NAT - VRF 그룹 이름을 기반으로 네트워크 주소 변환(NAT) 규칙을 지원합니다.
ALG - VRF 그룹을 차별화 요소 중 하나로 사용하여 ALG 세션을 생성합니다.
VRF 그룹의 기능:
이를 통해 세션이 두 MPLS VRF 간에 전환될 수 있습니다.
VRF 인스턴스가 동일한 VRF 그룹의 일부인 경우 플로우, 정책, 네트워크 주소 변환(NAT) 또는 ALG 모듈과 같은 보안 기능은 VRF 인스턴스를 유사하게 취급합니다.
VRF 인스턴스를 사용하여 VRF 그룹을 구성하면 VRF 그룹 ID가 생성됩니다. 이 그룹 ID는 특정 VRF 인스턴스의 VRF 그룹을 식별하기 위해 세션에 저장됩니다.
VRF 그룹 이해
VRF 그룹은 SD-WAN 네트워크에서 L3VPN MPLS 기반 세션을 지원하기 위해 도입되었습니다. MPLS L3VPN 네트워크에 겹치는 IP 네트워크 주소가 있거나 겹치지 않는 경우 정책, 흐름, NAT 및 ALG 모듈에서 MPLS L3VPN 트래픽을 제어하는 데 사용됩니다.
MPLS가 아닌 L3VPN 네트워크 간에 트래픽이 전달되면 VRF 그룹이 구성되지 않습니다. VRF 그룹이 구성되지 않은 경우 VRF group-ID는 0이 되거나 정책에서 VRF 그룹 옵션을 any
사용합니다.
VRF 그룹의 목적은 다음과 같습니다.
MPLS L3VPN 네트워크 간에 L3VPN 세션을 구분합니다.
MPLS L3VPN 네트워크 간에 정책 및 NAT 제어를 갖습니다.
VRF 그룹 유형
L3VPN 네트워크에는 두 가지 중요한 VRF 그룹이 있습니다.
소스-VRF 그룹
대상-VRF 그룹
Source-VRF 그룹 또는 Destination-VRF 그룹에 대해 함께 그룹화할 수 있는 VRF 인스턴스를 이해하려면 다음 정보를 사용합니다.
Source-VRF instances- 동일한 인바운드 대상에 대해 서로 다른 MPLS 경로를 협상하는 VRF 인스턴스 목록입니다.
Destination-VRF instances— 지정된 L3VPN 트래픽에 대한 대상 경로를 포함하는 VRF 인스턴스 목록입니다.
트래픽이 반대 방향으로 시작되면 VRF 그룹은 트래픽 방향에 따라 역할을 전환합니다.
VRF 무브먼트
그림 3부터 세션 설정을 위한 초기 트래픽 흐름은 왼쪽에서 오른쪽입니다. 트래픽은 GRE-Zone1에 진입한 다음 Source-VRF 그룹(A)에 진입하고 Destination-VRF 그룹(A')을 통과한 후 GRE_Zone2를 통해 종료됩니다.
마찬가지로, 소스 VRF 그룹(A) 및 대상-VRF 그룹(A)을 세션의 추가 키 값으로 사용하여 에서 정책 검색이 시작 GRE_Zone1->Source-VRF group(A)->Destination-VRF group->(A’)->GRE_Zone2
되고 플로우 세션이 설정됩니다. VRF 그룹을 사용하여 플로우 세션이 완료되면 트래픽이 그룹 내의 한 VRF에서 다른 VRF로 전환(재라우팅)될 수 있습니다.
VRF 그룹 ID
VRF 그룹 ID를 저장하기 위해 세션 키 데이터 구조에 16비트 숫자가 사용됩니다.
VRF 그룹 구성
VRF 그룹을 구성하려면 다음 단계를 사용합니다.
그룹화해야 하는 VRF 인스턴스를 나열합니다.
VRF 그룹에 이름을 할당합니다.
CLI 명령에
set security l3vpn vrf-group group-name vrf vrf1 vrf vrf2
VRF 인스턴스 및 VRF 그룹 이름을 적용합니다
소스 및 대상 VRF 그룹은 서로 다른 컨텍스트에 따라 별도로 구성됩니다.
Source VRF group- 라우팅 인스턴스에 대한 소스 VRF 그룹은 MPLS 패킷과 연결됩니다. 디바이스가 MPLS 패킷을 수신하면 패킷이 디코딩되어 LSI 인터페이스에 매핑됩니다. LSI 인터페이스에는 VRF 그룹 세부 정보를 식별하는 데 도움이 되는 라우팅 테이블 정보가 포함되어 있습니다.
Destination VRF group- 새 세션에 대한 패킷의 첫 번째 경로 플로우 처리 중에 패킷을 다음 홉 또는 인터페이스로 라우팅하려면 대상 경로 정보가 필요합니다. Flow는 라우팅 테이블을 검색하여 경로 정보를 가져옵니다. 수신된 경로 정보가 MPLS를 다음 홉으로 가리키면 이 경로의 VRF를 사용하여 대상 VRF 그룹을 식별합니다.
소스 및 대상 VRF 그룹은 L3VPN 네트워크에서 모든 관련 VRF를 제어하려는 경우에 동일합니다.
VRF 그룹 운영
VRF 그룹이 구성되면 다른 VRF 그룹에 대해 고유한 Group-ID가 생성됩니다. VRF 그룹에 VRF를 추가, 제거 또는 수정하는 등 다양한 작업을 수행할 수 있습니다.
VRF 그룹에 VRF 추가
VRF가 VRF 그룹에 추가되면 해당 VRF 그룹 ID가 VRF에 할당됩니다. VRF 그룹에 VRF를 추가할 때 다음 사항에 유의하십시오.
VRF는 하나의 VRF 그룹에만 추가할 수 있습니다. 여러 VRF 그룹의 일부가 될 수 없습니다.
VRF 그룹에는 최대 32개의 VRF가 구성됩니다.
VRF가 추가되면 기존 세션에 영향을 미치며 정책에 따라 새 세션이 생성됩니다.
VRF 그룹에 새 VRF를 추가한 후 새 세션이 생성되면 세션은 새 VRF의 새 VRF 그룹 ID를 사용합니다.
VRF 그룹에서 VRF 제거
VRF가 VRF 그룹에서 제거되면 해당 VRF 그룹의 VRF 그룹 ID가 0으로 변경되지만 디바이스에서 VRF를 계속 사용할 수 있습니다. VRF 그룹에서 VRF를 제거하면 다음 두 가지 방식으로 기존 세션에 영향을 미칩니다.
Impacting existing sessions- VRF 그룹에서 VRF가 제거되면 기존 세션이 제거되고 정책에 따라 새 세션이 생성됩니다
Match Traffic- VRF가 VRF 그룹에서 제거되면 해당 VRF의 VRF 그룹 ID가 0으로 변경되므로 세션과 일치하지 않습니다. 패킷이 삭제되고 정책에 따라 새 세션이 생성됩니다.
VRF가 VRF 그룹에서 제거되면 영향을 받는 VRF를 사용하여 처리되는 새 세션은 새 VRF group-ID를 설치합니다. 이 VRF 그룹 ID는 0이 되거나, 새 VRF 그룹에 VRF를 추가하는 경우 새 그룹 ID가 생성됩니다
VRF 그룹 수정
VRF 그룹 수정에는 다음 작업이 포함됩니다.
Changing VRF group name: VRF 그룹 이름을 변경하면 정책 모듈은 기존 세션을 스캔하여 새 VRF 그룹 이름이 기존 규칙과 일치하는지 확인합니다.
Adding VRF to VRF group: VRF가 VRF 그룹에 추가되면 해당 VRF 그룹 ID가 VRF에 할당됩니다.
Removing VRF from VRF group: VRF가 VRF 그룹에서 제거되면 해당 VRF의 VRF 그룹 ID가 0으로 변경되고 디바이스에서 VRF를 계속 사용할 수 있습니다.
VRF 그룹 제거
CLI를 사용하여 VRF 그룹을 제거하면 제거된 VRF 그룹과 일치하도록 기존 세션에서 세션 스캔이 수행됩니다. 세션이 제거된 VRF 그룹과 일치하면 잘못된 시간 제한을 설정하여 해당 세션이 디바이스에서 제거됩니다. 제거된 VRP-Group-ID와 일치하지 않는 세션의 경우 영향을 받지 않습니다.
가상 라우팅 및 포워딩 그룹을 사용한 플로우 처리
- VRF 그룹을 사용한 첫 번째 경로 처리
- VRF 그룹을 사용한 빠른 경로 처리
- 예: VRF 그룹을 사용하여 IP 네트워크에서 MPLS 네트워크로의 VRF 기반 트래픽을 허용하는 보안 정책 구성
- 예: VRF 그룹을 사용하여 MPLS 네트워크에서 IP 네트워크로의 VRF 기반 트래픽을 허용하는 보안 정책 구성
- 예: VRF 그룹을 사용하여 공용 IP 네트워크에서 MPLS 네트워크로 VRF 기반 트래픽을 허용하는 보안 정책 구성
- 예: MPLS 네트워크에서 공용 IP 네트워크로의 VRF 기반 트래픽을 허용하고 VRF 그룹을 사용하도록 보안 정책 구성
- 예: VRF 그룹을 사용하여 네트워크 주소 변환(NAT) 없이 MPLS 네트워크에서 MPLS 네트워크로 VRF 기반 트래픽을 허용하는 보안 정책 구성
- 예: NAT 및 VRF 그룹을 사용하여 MPLS 네트워크에서 MPLS 네트워크로 VRF 기반 트래픽을 허용하는 보안 정책 구성
- SD-WAN 구축에서 멀티캐스트 지원
VRF 그룹을 사용한 첫 번째 경로 처리
패킷을 처리하기 위해 첫 번째 경로 처리는 다음을 수행합니다.
MPLS Decoder- flow가 MPLS 또는 비 MPLS 패킷을 수신하면 패킷이 처리되어 수신 패킷, 인터페이스 및 수신 인터페이스의 라우팅 인스턴스의 세부 정보를 검색합니다.
FBF configuration- 수신 패킷을 다른 라우팅 인스턴스로 리디렉션하도록 FBF 규칙을 구성하면 FBF 규칙은 라우팅 인스턴스 정보를 찾아 패킷 수신 인터페이스 라우팅 인스턴스 대신 FBF 라우팅 인스턴스 정보를 전달합니다. 이 FBF VRF는 L3VPN 네트워크를 제어하기 위해 VRF 그룹의 일부여야 합니다.
Initialize Routing-Table- 플로우가 패킷을 수신하면 패킷에 대한 초기 라우팅 테이블이 생성됩니다. FBF 구성이 방화벽 필터와 일치하는 경우 FBF의 라우팅 인스턴스 정보가 경로 조회에 사용됩니다. 그렇지 않으면 flow는 경로 조회를 위해 수신 인터페이스 routing-instance 정보를 사용합니다.
Finding Source VRF group- 수신 패킷이 MPLS 네트워크에서 온 경우 패킷은 소스 VRF 그룹의 VRF 인스턴스에 매핑됩니다. 수신 패킷이 MPLS 패킷이 아닌 경우 소스 VRF 그룹 ID는 0입니다.
Destination NAT using VRF group- 플로우는 대상 IP에 NAT 변환이 필요한지 확인합니다. 대상 NAT는 VRF에 대해 두 가지 유형의 일치 기준을 지원합니다.
VRF routing-group을 사용한 NAT 규칙 검색.
VRF 라우팅 인스턴스 및 NAT 정보를 사용한 NAT 규칙 결과.
Destination Route- 초기 경로 테이블에서 수행되는 경로 조회는 발신 인터페이스 및 대상-VRF 정보를 식별하는 데 사용됩니다. 이 정보는 정책 검색 및 세션 설치에 사용됩니다.
Final next-hop- 목적지 경로를 찾는 첫 번째 단계는 가리키는 경로의 다음 홉을 최종적으로 찾는 것입니다. 이 다음 홉을 사용하여 flow는 다음 홉이 MPLS 네트워크를 가리키는지 여부를 확인합니다. MPLS 네트워크를 가리키지 않는 경우 대상 VRF 그룹은 0이 됩니다.
Destination VRF group— 대상 VRF가 식별되면 대상 VRF Group-ID가 초기화됩니다. 대상 VRF가 그룹에 할당되지 않은 경우 0으로 설정됩니다.
First Path Policy Search- 플로우는 정책 검색을 수행하여 패킷의 허용 또는 거부 여부를 확인합니다. Flow는 5튜플 정책 키 정보 및 VRF 정보를 수집하며, 이 정보는 정책 검색 모듈에서 적절한 VRF 정책을 찾는 데 사용됩니다.
Source NAT using VRF group—플로우 세션은 소스 VRF 그룹 NAT 규칙 검색을 사용하여 소스 NAT를 수행합니다. Source-NAT는 두 가지 유형의 NAT 검색 기준을 지원합니다.
VRF 그룹을 사용한 Source-NAT 규칙 검색.
VRF 그룹 또는 VRF 인스턴스를 사용한 정적-NAT 규칙 검색.
Static NAT using VRF group or VRF instance—정적 NAT는 VRF 유형의 규칙에서 routing-group 및 rule의 routing-instance를 지원합니다.
정적 NAT가 지정된 IP 패킷에 대한 대상 NAT 변환과 일치하면 VRF 라우팅 그룹이 일치 기준 중 하나가 되고 VRF 라우팅 인스턴스는 대상 라우팅 테이블로 사용되지 않습니다.
정적 NAT가 지정된 IP 패킷에 대한 소스 NAT 변환과 일치하면 VRF 라우팅 인스턴스가 일치 기준 중 하나가 됩니다.
Session Installation using VRF group- 세션 설치 프로세스 중에 소스 VRF 그룹 ID가 전방 윙에 저장되어 윙이 MPLS 네트워크를 가리킨다는 것을 나타냅니다. 경로 조회에서 찾은 목적지 VRF 그룹 ID는 윙이 MPLS 네트워크를 가리킨다는 것을 나타내는 리버스 윙에 저장됩니다.
Re-routing using VRF group- VRF 그룹 정보를 사용하여 세션이 설정되면 인터페이스가 다운되거나 초기 경로를 사용할 수 없는 경우 다시 라우팅이 시작됩니다. 이렇게 변경된 경로는 세션이 처음에 양쪽에 설정된 동일한 VRF 그룹(소스-VRF 그룹/대상-VRF 그룹)의 일부여야 합니다. 그렇지 않으면 트래픽이 세션과 일치하지 않으며 향후 세션 트래픽이 삭제되거나 정책에 따라 새 세션이 생성될 수 있습니다.
VRF 그룹을 사용한 빠른 경로 처리
빠른 경로 처리는 패킷을 처리하기 위해 다음 단계를 수행합니다.
MPLS Decoder- 패킷 MPLS 또는 비 MPLS 패킷이 수신되면 패킷은 MPLS 처리를 거칩니다. 처리가 완료되면 플로우는 수신 패킷, 인터페이스 및 수신 인터페이스의 라우팅 인스턴스에 대한 세부 정보를 수신합니다.
FBF configuration- 수신 패킷을 다른 라우팅 인스턴스로 리디렉션하도록 FBF 규칙을 구성하면 FBF 규칙은 라우팅 인스턴스 정보를 찾아 패킷 수신 인터페이스 라우팅 인스턴스 대신 FBF 라우팅 인스턴스 정보를 전달합니다. 이 FBF VRF는 L3VPN 네트워크를 제어하기 위해 VRF 그룹의 일부여야 합니다.
Session look-up using VRF Group-ID- 세션 조회 프로세스 중에 플로우는 조회를 위해 세션 키에서 VRF Group-ID를 전달할지 여부를 확인합니다. 수신 인터페이스가 MPLS인 경우 flow는 매핑된 VRF 라우팅 인스턴스의 VRF Group-ID 정보를 다른 주요 튜플 정보와 함께 세션 키로 전달합니다. 수신 인터페이스가 MPLS가 아닌 경우 VRF Group-ID는 0이 됩니다.
Session Route change- 중간 스트림에서 세션에 대한 경로가 변경되면 플로우는 이 경로에 속하는 새 VRF를 확인합니다. 새 VRF 그룹 ID가 세션의 VRF 그룹 ID와 다르면 경로가 처리되지 않고 향후 패킷이 삭제됩니다. 따라서 다시 라우팅하려면 새 경로가 세션 VRF 그룹에 속하는 VRF에 속해야 합니다.
VRF Group policy change- zone/interface/IP/Source-VRF group/Destination-VRF 그룹과 같은 정책 속성으로 인해 VRF 그룹 세션 정책이 변경되면 정책이 유효한지 여부를 확인하기 위해 소스 VRF 그룹 및 대상 VRF 그룹 값과 함께 정책 5-튜플을 제공하여 동일한 세션에 대해 정책이 다시 일치됩니다. 재일치 시 정책이 세션 정보와 일치하지 않으면 세션이 종료됩니다.
VRF session display—소스-VRF 그룹 및 대상-VRF 그룹이 세션 출력 디스플레이에 표시되어 동일한 튜플에 대해 서로 다른 VRF 그룹을 구별합니다.
High Availability—세션에서 다른 VRF 그룹을 구별하기 위해 추가 VRF 그룹 ID 정보가 HA 피어 노드와 동기화될 때 동작 변경 없이 고가용성이 지원됩니다.
예: VRF 그룹을 사용하여 IP 네트워크에서 MPLS 네트워크로의 VRF 기반 트래픽을 허용하는 보안 정책 구성
이 예에서는 VRF 그룹을 사용하여 프라이빗 IP 네트워크에서 MPL 네트워크로의 트래픽을 허용하도록 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
-
Junos OS 릴리스 15.1X49-D170 이상에서 지원되는 SRX 시리즈 방화벽. 이 구성 예는 Junos OS 릴리스 15.1X49-D170에 대해 테스트되었습니다.
개요
Junos OS에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 대해 수행해야 하는 조치와 관련하여 전송 트래픽에 대한 규칙을 시행합니다. 그림 4에서 SRX 시리즈 방화벽은 VRF 그룹을 사용하여 프라이빗 IP 네트워크에서 MPLS 네트워크로의 트래픽을 허용하기 위해 SD-WAN에 구축되어 있습니다.
이 구성 예제에서는 다음을 수행하는 방법을 보여 줍니다.
IP 네트워크(LAN-a)에서 VRF 그룹으로의 트래픽 허용
IP 네트워크(LAN-b)에서 VRF 그룹으로의 트래픽 허용
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit]
복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit
.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-A1 vrf VRF-A11 set security l3vpn vrf-group vpn-A1 vrf VRF-A21 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security l3vpn vrf-group vpn-B1 vrf VRF-B11 set security l3vpn vrf-group vpn-B1 vrf VRF-B21 set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy then permit set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2
VRF 인스턴스 A11 및 A21을 사용하여 VRF 그룹 vpn-A1 생성
[edit security] user@host# set l3vpn vrf-group vpn-A1 vrf VRF-A11 user@host# set l3vpn vrf-group vpn-A1 vrf VRF-A21
VRF 인스턴스 B1 및 B2를 사용하여 VRF 그룹 vpn-B를 생성합니다
[edit security] user@host# set l3vpn VRF group vpn-B vrf VRF-B1 user@host# set l3vpn VRF group vpn-B vrf VRF-B2
VRF 인스턴스 B11 및 B21을 사용하여 VRF 그룹 vpn-B1을 생성합니다
[edit security] user@host# set l3vpn vrf-group vpn-B1 vrf VRF-B11 user@host# set l3vpn vrf-group vpn-B1 vrf VRF-B21
vrf-a 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 user@host# set policy vrf-a_policy then permit
vrf-b 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 명령을 입력하여 show security policies
구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security policies from-zone LAN-a_Zone to-zone GRE_Zone { policy vrf-a_policy { match { source-address any; destination-address any; application any; source-l3vpn-VRF group vpn-A1; } then { permit; } } from-zone LAN-b_Zone to-zone GRE_Zone { policy vrf-b_policy { match { source-address any; destination-address any; application any; source-l3vpn-VRF group vpn-B1; } then { permit; } } }
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit
.
확인
정책 구성 확인
목적
보안 정책에 대한 정보를 확인합니다.
행동
운영 모드에서 명령을 입력하여 show security policies
디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.
user@root> show security policies Default policy: permit-all From zone: LAN-a_Zone, To zone: GRE_Zone Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source L3VPN vrf-group: vpn-A1 destination L3VPN VRF Group: any Source addresses: any Destination addresses: any Applications: any Action: permit From zone: LAN-b_Zone, To zone: GRE_Zone Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2 Source L3VPN vrf-group: vpn-B1 destination L3VPN VRF Group: any Source addresses: any Destination addresses: any Applications: any Action: permit
예: VRF 그룹을 사용하여 MPLS 네트워크에서 IP 네트워크로의 VRF 기반 트래픽을 허용하는 보안 정책 구성
이 예에서는 VRF 그룹을 사용하여 MPLS에서 IP 네트워크로의 트래픽을 허용하도록 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
-
Junos OS 릴리스 15.1X49-D170 이상에서 지원되는 SRX 시리즈 방화벽. 이 구성 예는 Junos OS 릴리스 15.1X49-D170에 대해 테스트되었습니다.
-
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
개요
Junos OS에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 대해 수행해야 하는 조치와 관련하여 전송 트래픽에 대한 규칙을 시행합니다. 그림 5에서 SRX 시리즈 방화벽은 VRF 그룹을 사용하여 MPLS 네트워크에서 프라이빗 네트워크로의 트래픽을 허용하기 위해 SD-WAN에 구축되어 있습니다.
이 구성 예제에서는 다음을 수행하는 방법을 보여 줍니다.
GRE MPLS에서 LAN-a로의 트래픽 허용
GRE MPLS에서 LAN-b로의 트래픽 허용
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit]
복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit
.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match application any set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy then permit set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match application any set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다.
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2
VRF 인스턴스 B1 및 B2를 사용하여 VRF 그룹 vpn-B를 생성합니다.
[edit security] user@host# set l3vpn vrf-group vpn-B vrf VRF-B1 user@host# set l3vpn vrf-group vpn-B vrf VRF-B2
VRF-a 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone to-zone LAN-a_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then permit
VRF-b 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone to-zone LAN-b_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 명령을 입력하여 show security policies
구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security policies from-zone GRE_Zone to-zone LAN-a_Zone { policy vrf-a_policy { match { source-address any; destination-address any; application any; destination-l3vpn-vrf-group vpn-A; } then { permit; } } from-zone GRE_Zone to-zone LAN-b_Zone { policy vrf-b_policy { match { source-address any; destination-address any; application any; destination-l3vpn-vrf-group vpn-B; } then { permit; } } }
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit
.
확인
정책 구성 확인
목적
보안 정책에 대한 정보를 확인합니다.
행동
운영 모드에서 명령을 입력하여 show security policies
디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.
user@root> show security policies Default policy: permit-all From zone: GRE_Zone, To zone: LAN-a_Zone Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source L3VPN VRF-Group: any destination L3VPN VRF Group: vpn-A Source addresses: any Destination addresses: any Applications: any Action: permit From zone: GRE_Zone, To zone: LAN-b_Zone Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2 Source L3VPN VRF Group: any destination L3VPN VRF-Group: vpn-B Source addresses: any Destination addresses: any Applications: any Action: permit
예: VRF 그룹을 사용하여 공용 IP 네트워크에서 MPLS 네트워크로 VRF 기반 트래픽을 허용하는 보안 정책 구성
이 예에서는 VRF 그룹을 사용하여 수신 공용 IP 네트워크를 MPLS 네트워크로 변환하도록 대상 NAT 규칙을 구성하는 방법을 설명합니다.
요구 사항
네트워크 주소 변환(NAT)을 위한 SD-WAN 구축에서 SRX 시리즈 방화벽이 어떻게 작동하는지 알아보십시오.
가상 라우팅 및 포워딩 인스턴스를 이해합니다. SD-WAN 구축의 가상 라우팅 및 포워딩 인스턴스를 참조하십시오.
개요
그림 6에서 SRX 시리즈 방화벽은 수신 공용 IP 네트워크를 VRF 기반 대상 라우팅 테이블 및 IP로 변환하기 위해 대상 NAT 규칙으로 구성되어 있습니다. SRX 시리즈 방화벽은 vpn-A와 vpn-B의 두 VRF 그룹으로 구성됩니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit]
복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit
.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat destination pool vrf-a_p routing-instance VRF-a set security nat destination pool vrf-a_p address 192.168.1.200 set security nat destination rule-set rs from interface ge-0/0/1.0 set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200 set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p set security nat destination pool vrf-b_p routing-instance VRF-b set security nat destination pool vrf-b_p address 192.168.1.201 set security nat destination rule-set rs from interface ge-0/0/1.1 set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201 set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy then permit set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
단일 VRF에 대한 대상 네트워크 주소 변환(NAT) 매핑을 구성하려면 다음을 수행합니다.
레이어 3 VPN에서 VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
VRF 인스턴스 B1 및 B2를 사용하여 다른 VRF 그룹 vpn-B를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
대상 NAT IP 주소 풀을 지정합니다.
[edit security nat destination] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
대상 풀에 라우팅 인스턴스를 할당합니다.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-b_p routing-instance VRF-b
대상 NAT 규칙 세트를 생성합니다.
[edit security nat destination] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B user@host# set rule-set rs from interface ge-0/0/1.0 user@host# set rule-set rs from interface ge-0/0/1.1
패킷을 일치시키고 대상 IP 주소를 대상 NAT IP 주소 풀의 IP 주소로 변환하는 규칙을 구성합니다.
[edit security nat destination] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
VRF-a 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GE_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then permit
VRF-b 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GE_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 및 show security policies
명령을 입력하여 show security nat
구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security nat destination { pool vrf-a_p { routing-instance { VRF-a; } address 192.168.1.200/32; } pool vrf-b_p { routing-instance { VRF-b; } address 192.168.1.201/32; } rule-set rs { from interface [ ge-0/0/1.0 ge-0/0/1.1 ]; rule vrf-a_r { match { destination-address 203.0.113.200/32; } then { destination-nat { pool { vrf-a_p; } } } } rule vrf-b_r { match { destination-address 203.0.113.201/32; } then { destination-nat { pool { vrf-b_p; } } } } } }
[edit] user@host# show security policies from-zone GE_Zone to-zone GRE_Zone { policy vrf-a_policy { match { source-address any; destination-address any; application any; destination-l3vpn-vrf-group vpn-A; } then { permit; } } policy vrf-b_policy { match { source-address any; destination-address any; application any; destination-l3vpn-vrf-group vpn-B; } then { permit; } }
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit
.
확인
대상 NAT 규칙 사용 및 보안 정책 확인
목적
대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat destination rule all
. Translation hits(변환 히트) 필드에서 대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
user@host> show security nat destination rule all Total destination-nat rules: 2 Total referenced IPv4/IPv6 ip-prefixes: 2/0 Destination NAT rule: vrf-a_r Rule-set: rs Rule-Id : 1 Rule position : 1 From interface : ge-0/0/1.0 Destination addresses : 203.0.113.200 - 203.0.113.200 Action : vrf-a_p Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0 Destination NAT rule : vrf-b_r Rule-set : rs Rule-Id : 2 Rule position : 2 From interface : ge-0/0/1.1 Destination addresses : 203.0.113.201 - 203.0.113.201 Action : vrf-b_p Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0
운영 모드에서 명령을 입력하여 show security policies
디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.
user@root> show security policies Default policy: permit-all From zone: GE_Zone, To zone: GRE_Zone Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source L3VPN VRF Group: any destination L3VPN VRF-Group: vpn-A Source addresses: any Destination addresses: any Applications: any Action: permit From zone: GE_Zone, To zone: GRE_Zone Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2 Source L3VPN VRF Group: any destination L3VPN VRF-Group: vpn-B Source addresses: any Destination addresses: any Applications: any Action: permit
예: MPLS 네트워크에서 공용 IP 네트워크로의 VRF 기반 트래픽을 허용하고 VRF 그룹을 사용하도록 보안 정책 구성
이 예에서는 VRF 그룹당 네트워크 트래픽을 글로벌 IP 풀로 변환하도록 라우팅 그룹을 구성하는 방법을 설명합니다.
요구 사항
네트워크 주소 변환(NAT)을 위한 SD-WAN 구축에서 SRX 시리즈 방화벽이 어떻게 작동하는지 알아보십시오.
가상 라우팅 및 포워딩 인스턴스를 이해합니다. SD-WAN 구축의 가상 라우팅 및 포워딩 인스턴스를 참조하십시오.
개요
그림 7에서 SRX 시리즈 방화벽은 MPLS에서 글로벌 IP 풀로의 VRF 그룹 네트워크 트래픽을 허용하기 위해 라우팅 그룹으로 구성되어 있습니다. SRX 시리즈 방화벽은 vpn-A와 vpn-B의 두 VRF 그룹으로 구성됩니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit]
복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit
.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-group vpn-A set security nat source rule-set vrf-a_rs to zone GE_Zone set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-group vpn-B set security nat source rule-set vrf-b_rs to zone GE_Zone set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vpn-b_rs rule rule2 then source-nat pool vrf-b_p set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match application any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy then permit set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match application any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
단일 VRF에 대한 소스 네트워크 주소 변환(NAT) 매핑을 구성하려면 다음을 수행합니다.
레이어 3 VPN에서 VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
VRF 인스턴스 B1 및 B2를 사용하여 다른 VRF 그룹 vpn-B를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
소스 NAT IP 주소 풀을 지정합니다.
[edit security nat source] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
소스 NAT 규칙 세트를 생성합니다.
[edit security nat source] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B user@host# set rule-set rs to zone GE_Zone
패킷을 일치시키고 VRF 그룹 네트워크 트래픽당 글로벌 IP 풀로 변환하는 규칙을 구성합니다.
[edit security nat source] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
vpn-A 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then permit
vpn-B 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 및 show security policies
명령을 입력하여 show security nat
구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security nat source { pool vrf-a_p { address { 203.0.113.200/32; } } pool vrf-b_p { address { 203.0.113.201/32; } } rule-set vrf-a_rs { from routing-group vpn-A; to zone GE_Zone1; rule rule1 { match { source-address 192.168.1.200/32; } then { source-nat { pool { vrf-a_p; } } } } rule-set vrf-b_rs { from routing-group vpn-B; to zone GE_Zone; match { source-address 192.168.1.201/32; } then { source-nat { pool { vrf-b_p; } } } } } }
[edit] user@host# show security policies from-zone GRE_Zone to-zone GE_Zone { policy vrf-a_policy { match { source-address any; destination-address any; application any; destination-l3vpn-vrf-group vpn-A; } then { permit; } } policy vrf-b_policy { match { source-address any; destination-address any; application any; destination-l3vpn-vrf-group vpn-B; } then { permit; } } }
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit
.
확인
대상 NAT 규칙 사용 및 보안 정책 확인
목적
소스 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat source rule all
. Translation hits(변환 히트) 필드에서 소스 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
user@host> show security nat source rule all Total source-nat rules: 2 Total referenced IPv4/IPv6 ip-prefixes: 2/0 Source NAT rule : vrf-a_r Rule-set: rs Rule-Id : 1 Rule position : 1 From routing-group : vpn-A To zone : GE_Zone1 Source addresses : 203.0.113.200 - 203.0.113.200 Action : vrf-a_p Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0 Source NAT rule : vrf-b_r Rule-set: rs Rule-Id : 2 Rule position : 2 From routing-group : vpn-A To zone : GE_Zone Destination addresses : 203.0.113.201 - 203.0.113.201 Action : vrf-b_p Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0
운영 모드에서 명령을 입력하여 show security policies
디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.
user@root> show security policies Default policy: permit-all From zone: GRE_Zone, To zone: GE_Zone Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source L3VPN VRF Group: any destination L3VPN VRF Group: vpn-A Source addresses: any Destination addresses: any Applications: any Action: permit From zone: GRE_Zone, To zone: GE_Zone Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2 Source L3VPN VRF Group: any destination L3VPN VRF Group: vpn-B Source addresses: any Destination addresses: any Applications: any Action: permit
예: VRF 그룹을 사용하여 네트워크 주소 변환(NAT) 없이 MPLS 네트워크에서 MPLS 네트워크로 VRF 기반 트래픽을 허용하는 보안 정책 구성
이 예에서는 NAT를 사용하지 않고 MPLS 네트워크 간의 트래픽을 허용하도록 라우팅 그룹을 구성하는 방법을 설명합니다.
요구 사항
네트워크 주소 변환(NAT)을 위한 SD-WAN 구축에서 SRX 시리즈 방화벽이 어떻게 작동하는지 알아보십시오.
가상 라우팅 및 포워딩 인스턴스를 이해합니다. SD-WAN 구축의 가상 라우팅 및 포워딩 인스턴스를 참조하십시오.
개요
그림 8에서 SRX 시리즈 방화벽은 NAT를 사용하지 않고 MPLS 네트워크 간의 트래픽을 허용하도록 라우팅 그룹으로 구성되어 있습니다. SRX 시리즈 방화벽은 vpn-A와 vpn-B의 두 VRF 그룹으로 구성됩니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit]
복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit
.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-A1 vrf VRF-A11 set security l3vpn vrf-group vpn-A1 vrf VRF-A12 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security l3vpn vrf-group vpn-B1 vrf VRF-B11 set security l3vpn vrf-group vpn-B1 vrf VRF-B12 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy then permit set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
단일 VRF에 대한 소스 네트워크 주소 변환(NAT) 매핑을 구성하려면 다음을 수행합니다.
레이어 3 VPN에서 VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
레이어 3 VPN에서 VRF 인스턴스 A11 및 A12를 사용하여 VRF 그룹 vpn-A1을 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A11 user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A12
VRF 인스턴스 B1 및 B2를 사용하여 다른 VRF 그룹 vpn-B를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
VRF 인스턴스 B11 및 B12를 사용하여 다른 VRF 그룹 vpn-B1을 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B11 user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B12
vpn-A1 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 user@host# set policy vrf-a_policy then permit
vpn-B1 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 명령을 입력하여 show security policies
구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security policies from-zone GRE-1_Zone to-zone GRE-2_Zone { policy vrf-a_policy { match { source-address any; destination-address any; application any; destination-l3vpn-vrf-group vpn-A1; } then { permit; } } policy vrf-b_policy { match { source-address any; destination-address any; application any; destination-l3vpn-vrf-group vpn-B1; } then { permit; } } }
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit
.
확인
보안 정책 확인
목적
보안 정책의 구성 출력을 확인합니다.
행동
운영 모드에서 명령을 입력하여 show security policies
디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.
user@root> show security policies Default policy: permit-all From zone: GRE-1_Zone, To zone: GRE-2_Zone Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source L3VPN VRF Group: any destination L3VPN VRF-Group: vpn-A1 Source addresses: any Destination addresses: any Applications: any Action: permit From zone: GRE-1_Zone, To zone: GRE-2_Zone Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2 Source L3VPN VRF Group: any destination L3VPN VRF-Group: vpn-B1 Source addresses: any Destination addresses: any Applications: any Action: permit
예: NAT 및 VRF 그룹을 사용하여 MPLS 네트워크에서 MPLS 네트워크로 VRF 기반 트래픽을 허용하는 보안 정책 구성
이 예에서는 라우팅 그룹을 구성하고 NAT를 사용하여 MPLS 네트워크 간에 트래픽을 허용하는 방법을 설명합니다.
요구 사항
네트워크 주소 변환(NAT)을 위한 SD-WAN 구축에서 SRX 시리즈 방화벽이 어떻게 작동하는지 알아보십시오.
가상 라우팅 및 포워딩 인스턴스를 이해합니다. SD-WAN 구축의 가상 라우팅 및 포워딩 인스턴스를 참조하십시오.
개요
그림 9에서 SRX 시리즈 방화벽은 라우팅 그룹을 구성하고 NAT를 사용하여 MPLS 네트워크 간의 트래픽을 허용합니다. SRX 시리즈 방화벽은 VRF 그룹, vpn-A, vpn-A1, vpn-B, vpn-B1로 구성됩니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit]
복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit
.
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-A1 vrf VRF-A11 set security l3vpn vrf-group vpn-A1 vrf VRF-A12 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security l3vpn vrf-group vpn-B1 vrf VRF-B11 set security l3vpn vrf-group vpn-B1 vrf VRF-B12 set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-group vpn-A set security nat source rule-set vrf-a_rs to routing-group vpn-A1 set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-group vpn-B set security nat source rule-set vrf-b_rs to routing-group vpn-B1 set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy then permit set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
단일 VRF에 대한 소스 네트워크 주소 변환(NAT) 매핑을 구성하려면 다음을 수행합니다.
레이어 3 VPN에서 VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
레이어 3 VPN에서 VRF 인스턴스 A11 및 A12를 사용하여 VRF 그룹 vpn-A1을 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A11 user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A12
VRF 인스턴스 B1 및 B2를 사용하여 다른 VRF 그룹 vpn-B를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
VRF 인스턴스 B11 및 B12를 사용하여 다른 VRF 그룹 vpn-B1을 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B11 user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B12
소스 NAT IP 주소 풀을 지정합니다.
[edit security nat source] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201
소스 NAT 규칙 세트를 생성합니다.
[edit security nat source] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B user@host# set rule-set rs to routing-group vpn-A1 user@host# set rule-set rs to routing-group vpn-B1
패킷을 일치시키고 VRF 그룹 네트워크 트래픽당 글로벌 IP 풀로 변환하는 규칙을 구성합니다.
[edit security nat source] user@host# set rule-set rs rule vrf-a_rs match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_rs then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_rs match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_rs then destination-nat pool vrf-b_p
vpn-A1 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 user@host# set policy vrf-a_policy then permit
vpn-B1 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 및 show security policies
명령을 입력하여 show security nat
구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show security nat source { pool vrf-a_p { address { 203.0.113.200/32; } } pool vrf-b_p { address { 203.0.113.201/32; } } rule-set vrf-a_rs { from routing-group vpn-A; to routing-group vpn-A1; rule rule1 { match { source-address 192.168.1.200/32; } then { source-nat { pool { vrf-a_p; } } } } rule-set vrf-b_rs { from routing-group vpn-B; to routing-group vpn-B1; match { source-address 192.168.1.201/32; } then { source-nat { pool { vrf-b_p; } } } } } }
[edit] user@host# show security policies from-zone GRE-1_Zone to-zone GRE-2_Zone { policy vrf-a_policy { match { source-address any; destination-address any; application any; destination-l3vpn-vrf-group vpn-A1; } then { permit; } } policy vrf-b_policy { match { source-address any; destination-address any; application any; destination-l3vpn-vrf-group vpn-B1; } then { permit; } } }
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit
.
확인
보안 정책 확인
목적
소스 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security nat source rule all
. Translation hits(변환 히트) 필드에서 대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
user@host> show security nat source rule all Total source-nat rules: 2 Total referenced IPv4/IPv6 ip-prefixes: 2/0 Source NAT rule : vrf-a_r Rule-set : rs Rule-Id : 1 Rule position : 1 From routing-group : vpn-A To zone : GE_Zone1 Source addresses : 203.0.113.200 - 203.0.113.200 Action : vrf-a_p Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0 Source NAT rule : vrf-b_r Rule-set : rs Rule-Id : 2 Rule position : 2 From routing-group : vpn-A To zone : GE_Zone Destination addresses : 203.0.113.201 - 203.0.113.201 Action : vrf-b_p Translation hits : 0 Successful sessions : 0 Failed sessions : 0 Number of sessions : 0
운영 모드에서 명령을 입력하여 show security policies
디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.
user@root> show security policies Default policy: permit-all From zone: GRE-1_Zone, To zone: GRE-2_Zone Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source L3VPN VRF Group: any destination L3VPN VRF Group: vpn-A1 Source addresses: any Destination addresses: any Applications: any Action: permit From zone: GRE-1_Zone, To zone: GRE-2_Zone Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2 Source L3VPN VRF Group: any destination L3VPN VRF Group: vpn-B1 Source addresses: any Destination addresses: any Applications: any Action: permit
SD-WAN 구축에서 멀티캐스트 지원
Junos OS 릴리스 21.2R1부터 SD-WAN 구축을 위한 프로바이더 에지(PE)의 SRX 시리즈 방화벽에서 멀티캐스트 트래픽에 대한 지원이 추가되었습니다. 멀티캐스트 트래픽에 대한 지원은 보안 디바이스가 계층 구조에서 플로우 기반으로 설정된 포워딩 옵션으로 작동할 때 사용할 수 있습니다 set security forwarding-options family mpls mode
. forwarding-options(보안)를 참조하십시오.
제한
- 멀티캐스트 트래픽에 대한 지원은 디바이스가 로 설정된
packet-based
포워딩 옵션으로 작동할 때 사용할 수 없습니다. - IP-over-MPLS-over-GRE 및 IP-over-MPLS-over-GRE-over-IPsec을 사용하는 허브 앤 스포크 토폴로지에서만 사용할 수 있는 멀티캐스트 트래픽 지원
- 멀티캐스트 트래픽 지원으로 인해 MVPN(멀티캐스트 VPN) 데이터 전달 기능과 관련된 변경 사항이나 제한 사항이 적용되지 않습니다. MVPN VRF 인스턴스에서 보급할 경로 제한을 참조하십시오.