VRF 라우팅 인스턴스에 대한 보안 정책 구성
개요
보안 정책은 지정된 서비스를 사용하여 지정된 소스에서 지정된 대상으로의 트래픽을 제어하는 문 집합입니다. 정책은 두 지점 간에 지정된 유형의 트래픽을 단방향으로 허용, 거부 또는 터널링합니다. 보안 정책은 전송 트래픽에 대한 일련의 규칙을 적용하여 방화벽을 통과할 수 있는 트래픽과 방화벽을 통과할 때 트래픽에 대해 취한 조치를 식별합니다. 지정된 기준과 일치하는 트래픽에 대한 작업에는 허용 및 거부가 포함됩니다.
SRX 시리즈 방화벽은 사양과 일치하는 패킷을 수신하면 정책에 지정된 작업을 수행합니다.
SD-WAN 아키텍처의 트래픽 제어
SD-WAN에서 SRX 시리즈 방화벽은 허브 앤 스포크 위치에 구성할 수 있습니다. 방화벽 정책을 적용하여 오버레이 터널에서 디바이스로 들어오는 VRF(Virtual Routing and Forwarding) 기반 트래픽을 허용하거나 거부할 수 있습니다. SRX 시리즈 방화벽을 구성하여 VRF 인스턴스로 전송되는 트래픽을 허용하거나 거부할 수 있습니다. 허브 위치에서 디바이스를 구성하면 한 위치에서 모든 트래픽을 제어하고 방화벽 정책을 적용하여 특정 네트워크 서비스에 대한 액세스를 제공할 수 있습니다.
Junos OS 릴리스 19.1R1은 SRX1500, SRX4100, SRX4200 SRX4600 디바이스에서 MPLS 기반 SDWAN 구축을 지원합니다.
Junos OS 릴리스 22.2R1부터 SRX5400, SRX5600 및 SRX5800 디바이스에 대한 MPLS 기반 SDWAN 구축을 지원합니다.
각 보안 정책은 다음과 같이 구성됩니다.
-
정책의 고유한 이름입니다.
-
A
from-zone및 ato-zone, 예:user@host# set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone. -
정책 규칙을 적용하기 위해 충족해야 하는 조건을 정의하는 일치 기준 집합입니다. 일치 기준은 소스 IP 주소, 대상 IP 주소 및 애플리케이션을 기반으로 합니다. 사용자 ID 방화벽은 source-identity와 같은 추가 튜플을 정책 설명의 일부로 포함하여 더 큰 세분성을 제공합니다.
-
일치하는 경우 수행할 일련의 작업(허용 또는 거부)입니다.
-
소스 VRF 그룹 집합입니다.
-
대상 VRF 그룹 집합입니다.
소스 및 대상 VRF 인스턴스에 대한 구성 옵션은 선택 사항입니다. 소스 VRF 또는 대상 VRF를 구성할 수 있지만 소스 VRF와 대상 VRF를 모두 구성하지 않는 것이 좋습니다. 소스 VRF 또는 대상 VRF를 구성하는 주된 이유는 공유된 물리적 네트워크 인터페이스를 통과하는 서로 다른 MPLS 레이블을 구별하기 위해서입니다.
표 1 에는 소스 VRF 및 대상 VRF를 구성해야 하는 시기가 나와 있습니다.
| 소스에서 대상까지의 네트워크 유형 |
소스 VRF 구성 권장 |
대상 VRF 구성 권장 |
VRF 정책 차별화 기준 |
|---|---|---|---|
| IP 네트워크 대 IP 네트워크 |
아니요 |
아니요 |
영역 |
| IP 네트워크에서 MPLS 네트워크로 |
아니요 |
예 |
대상 VRF |
| MPLS 네트워크-IP 네트워크 |
예 |
아니요 |
소스 VRF |
| 대상 NAT 없이 MPLS 네트워크에서 MPLS 네트워크로 |
예 |
아니요 |
소스 VRF |
| 대상 NAT를 사용하여 MPLS 네트워크에서 MPLS 네트워크로 |
예 |
예 |
소스 VRF 및 대상 VRF |
보안 정책 규칙 이해
보안 정책은 컨텍스트(from-zoneto-zone에서 까지) 내의 전송 트래픽에 보안 규칙을 적용합니다. 각 정책은 이름으로 고유하게 식별됩니다. 트래픽은 소스 및 대상 영역, 소스 및 대상 주소, 애플리케이션, 소스 VRF, 트래픽이 프로토콜 헤더에 전달하는 대상 VRF를 데이터 플레인의 정책 데이터베이스와 일치시켜 분류됩니다.
각 정책은 다음과 같은 특성과 연관되어 있습니다.
소스 영역
대상 영역
하나 이상의 원본 주소 이름 또는 주소 집합 이름
하나 이상의 대상 주소 이름 또는 주소 집합 이름
하나 이상의 응용 프로그램 이름 또는 응용 프로그램 세트 이름
하나 이상의 소스 VRF 인스턴스(예: 수신 패킷과 연결된 VRF 라우팅 인스턴스)
MPLS 다음 홉 또는 대상 주소 경로가 위치한 하나 이상의 대상 VRF 인스턴스
이러한 특성을 일치 기준이라고 합니다. 각 정책에는 허용, 거부 및 거부와 같은 작업도 연결되어 있습니다. 정책, 소스 주소, 대상 주소, 애플리케이션 이름, 소스 VRF, 대상 VRF를 구성할 때 일치 조건 인수를 지정해야 합니다.
소스 VRF 또는 대상 VRF를 구성할 수 있지만 소스 VRF와 대상 VRF를 모두 구성하는 것은 권장되지 않습니다. 소스 VRF와 대상 VR을 구성하는 주된 이유는 공유된 물리적 네트워크 인터페이스를 통과하는 서로 다른 MPLS 레이블을 구별하기 위해서입니다. 소스 VRF 및 대상 VRF가 구성되지 않은 경우 디바이스는 소스 및 대상 VRF를 임의로 결정합니다.
예: MPLS 네트워크에서 IP 네트워크로의 VRF 기반 트래픽을 허용하거나 거부하는 보안 정책 구성
이 예는 소스 VRF를 사용하여 트래픽을 허용하고 트래픽을 거부하도록 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
-
보안 영역을 만드는 방법을 이해합니다. 예: 보안 영역 생성을 참조하십시오.
-
Junos OS 릴리스 15.1X49-D160 이상에서 지원되는 SRX 시리즈 방화벽. 이 구성 예는 Junos OS 릴리스 15.1X49-D160에 대해 테스트되었습니다.
-
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
개요
Junos OS에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 대해 수행해야 하는 조치와 관련하여 전송 트래픽에 대한 규칙을 시행합니다. 그림 1에서 SRX 시리즈 방화벽은 소스 VRF를 사용하여 트래픽을 제어하기 위해 SD-WAN에 구축되어 있습니다. MPLS 네트워크의 트래픽은 IP 네트워크의 사이트 A와 사이트 B로 전송됩니다. 네트워크 요구 사항에 따라 사이트 A 트래픽을 거부하고 사이트 B 트래픽만 허용해야 합니다.
이 구성 예제에서는 다음을 수행하는 방법을 보여 줍니다.
VRF-a에 대한 트래픽 거부(GRE_Zone-GE_Zone에서 GRE_Zone로)
VRF-b로의 트래픽 허용(GRE_Zone-GE_Zone에서 GRE_Zone까지)
이 예에서는 소스 VRF가 구성됩니다. 대상 네트워크가 MPLS 네트워크를 가리킬 때 소스 VRF를 구성하는 것이 좋습니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .
set routing-instances VRF-a instance-type vrf set routing-instances VRF-a route-distinguisher 10:200 set routing-instances VRF-a vrf-target target:100:100 set routing-instances VRF-a vrf-table-label set routing-instances VRF-b instance-type vrf set routing-instances VRF-b route-distinguisher 20:200 set routing-instances VRF-b vrf-target target:200:100 set routing-instances VRF-b vrf-table-label set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-l3vpn-vrf-group VRF-a set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy then deny set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-l3vpn-vrf-group VRF-b set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 자세한 내용은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
레이어 3 VPN은 네트워크 내에서 경로를 배포하기 위해 VRF 테이블이 필요합니다. VRF 인스턴스를 생성하고 값을 vrf지정합니다.
[edit routing-instances] user@host# set VRF-a instance-type vrf user@host# set VRF-b instance-type vrf
라우팅 인스턴스에 경로 식별자를 할당합니다.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200
모든 경로를 가져오거나 내보내는 커뮤니티 정책을 만듭니다.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100
VRF의 모든 경로에 대해 단일 VPN 레이블을 할당합니다.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-b vrf-table-label
VRF-a 트래픽을 거부하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group VRF-a user@host# set policy vrf-a_policy then deny
VRF-b 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match source-l3vpn-vrf-group VRF-b user@host# set policy vrf-b_policy then permit
참고:대상 VRF 그룹이 구성되지 않은 경우 디바이스는 VRF-a에서 any-vrf로 트래픽 패스를 고려합니다.
결과
구성 모드에서 및 show routing-instances 명령을 입력하여 show security policies 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security policies
from-zone GRE_Zone-GE_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group VRF-a;
}
then {
deny;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group VRF-b;
}
then {
permit;
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .
확인
정책 구성 확인
목적
보안 정책에 대한 정보를 확인합니다.
작업
운영 모드에서 명령을 입력하여 show security policies 디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.
user@root> show security policies
Default policy: permit-all
From zone: GRE_Zone-GE_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source vrf: VRF-a
destination vrf: any
Source addresses: any
Destination addresses: any
Applications: any
Action: deny
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source vrf: VRF-b
destination vrf: any
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
예: IP 네트워크에서 MPLS 네트워크로의 VRF 기반 트래픽을 허용하는 보안 정책 구성
이 예는 대상 VRF를 사용하여 트래픽을 허용하도록 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
-
보안 영역을 만드는 방법을 이해합니다. 예: 보안 영역 생성을 참조하십시오.
-
Junos OS 릴리스 15.1X49-D160 이상에서 지원되는 SRX 시리즈 방화벽. 이 구성 예는 Junos OS 릴리스 15.1X49-D160에 대해 테스트되었습니다.
-
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
개요
Junos OS에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 대해 수행해야 하는 조치와 관련하여 전송 트래픽에 대한 규칙을 시행합니다.
이 예시에서 SRX 시리즈 방화벽은 대상 VRF를 사용하여 트래픽을 제어하기 위해 SD-WAN 아키텍처에 구축됩니다. 트래픽을 제어하기 위한 정책을 구성해야 합니다. 기본 정책은 VRF 옵션을 지원하지 않습니다. IP 네트워크, 즉 사이트 A와 사이트 B의 트래픽이 MPLS 네트워크로 전송됩니다. 정책을 구성하여 사이트 A와 사이트 B에서 MPLS 네트워크로의 트래픽을 모두 허용할 수 있습니다.
그림 2에서는 LAN 인터페이스가 MPLS 네트워크에 속하지 않으므로 소스 VRF가 구성되지 않습니다. 대상 네트워크가 MPLS 네트워크를 가리킬 때 대상 VRF를 구성하는 것이 좋습니다.
로의 VRF 기반 트래픽 허용
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .
set routing-instances VRF-a’ instance-type vrf set routing-instances VRF-a’ route-distinguisher 10:200 set routing-instances VRF-a’ vrf-target target:100:100 set routing-instances VRF-a’ vrf-table-label set routing-instances VRF-b’ instance-type vrf set routing-instances VRF-b’ route-distinguisher 20:200 set routing-instances VRF-b’ vrf-target target:200:100 set routing-instances VRF-b’ vrf-table-label set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy then permit set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 자세한 내용은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
대상 VRF를 사용하여 IP 네트워크에서 MPLS 네트워크로의 트래픽을 허용하도록 정책을 구성하려면:
레이어 3 VPN은 네트워크 내에서 경로를 배포하기 위해 VRF 테이블이 필요합니다. VRF 인스턴스를 생성하고 값을 vrf지정합니다.
[edit routing-instances] user@host# set VRF-a’ instance-type vrf user@host# set VRF-b’ instance-type vrf
라우팅 인스턴스에 경로 식별자를 할당합니다.
[edit routing-instances] user@host# set VRF-a’ route-distinguisher 10:200 user@host# set VRF-b’ route-distinguisher 20:200
모든 경로를 가져오거나 내보내는 커뮤니티 정책을 만듭니다.
[edit routing-instances] user@host# set VRF-a’ vrf-target target:100:100 user@host# set VRF-b’ vrf-target target:200:100
VRF의 모든 경로에 대해 단일 VPN 레이블을 할당합니다.
[edit routing-instances] user@host# set VRF-a’ vrf-table-label user@host# set VRF-b’ vrf-table-label
IP 네트워크에서 VRF-a' 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ user@host# set policy vrf-a_policy then permit
IP 네트워크에서 VRF-b' 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone LAN-b_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 및 show routing-instances 명령을 입력하여 show security policies 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security policies
from-zone LAN-a_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group "VRF-a'";
}
then {
permit;
}
}
}
from-zone LAN-b_Zone to-zone GRE_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group "VRF-b'";
}
then {
permit;
}
}
}
[edit]
user@host# show routing-instances
VRF-a’ {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b’ {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .
확인
정책 구성 확인
목적
보안 정책이 IP 네트워크에서 MPLS 네트워크로의 VRF 기반 트래픽을 허용하는지 확인합니다.
작업
운영 모드에서 명령을 입력하여 show security policies 디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.
user@host> show security policies
From zone: LAN-a_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source vrf: any
destination vrf: VRF-a'
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: LAN-b_Zone, To zone: GRE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1
Source vrf: any
destination vrf: VRF-b'
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
예: NAT 없이 GRE를 통해 MPLS 네트워크에서 MPLS 네트워크로 VRF 기반 트래픽을 허용하도록 보안 정책 구성
이 예에서는 소스 VRF를 사용하여 트래픽을 허용하도록 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
-
보안 영역을 만드는 방법을 이해합니다. 예: 보안 영역 생성을 참조하십시오.
-
Junos OS 릴리스 15.1X49-D160 이상에서 지원되는 SRX 시리즈 방화벽. 이 구성 예는 Junos OS 릴리스 15.1X49-D160에 대해 테스트되었습니다.
-
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
개요
Junos OS에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 대해 수행해야 하는 조치와 관련하여 전송 트래픽에 대한 규칙을 시행합니다. 그림 3에서 SRX 시리즈 방화벽은 소스 VRF를 사용하여 트래픽을 제어하기 위해 SD-WAN 아키텍처에 구축되어 있습니다. 트래픽을 제어하기 위한 정책을 구성해야 합니다. 정책을 구성하여 MPLS 네트워크에서 다른 MPLS 네트워크로의 트래픽을 허용할 수 있습니다.
소스 및 대상이 MPLS 네트워크에서 온 경우 소스 VRF와 대상 VRF를 모두 구성하는 것이 좋습니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .
set routing-instances VRF-a instance-type vrf set routing-instances VRF-a route-distinguisher 10:200 set routing-instances VRF-a vrf-target target:100:100 set routing-instances VRF-a vrf-table-label set routing-instances VRF-b instance-type vrf set routing-instances VRF-b route-distinguisher 20:200 set routing-instances VRF-b vrf-target target:200:100 set routing-instances VRF-b vrf-table-label set routing-instances VRF-a’ instance-type vrf set routing-instances VRF-a’ route-distinguisher 30:200 set routing-instances VRF-a’ vrf-target target:300:100 set routing-instances VRF-a’ vrf-table-label set routing-instances VRF-b’ instance-type vrf set routing-instances VRF-b’ route-distinguisher 40:200 set routing-instances VRF-b’ vrf-target target:400:100 set routing-instances VRF-b’ vrf-table-label set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-l3vpn-vrf-group VRF-a set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy then permit set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-l3vpn-vrf-group VRF-b set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy then permit
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 자세한 내용은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
소스 VRF를 사용하여 MPLS 네트워크에서 MPLS 네트워크로의 트래픽을 허용하도록 정책을 구성하려면:
레이어 3 VPN은 네트워크 내에서 경로를 배포하기 위해 VRF 테이블이 필요합니다. VRF 인스턴스를 생성하고 값을 vrf지정합니다.
[edit routing-instances] user@host# set VRF-a instance-type vrf user@host# set VRF-b instance-type vrf user@host# set VRF-a’ instance-type vrf user@host# set VRF-b’ instance-type vrf
라우팅 인스턴스에 경로 식별자를 할당합니다.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200 user@host# set VRF-a’ route-distinguisher 30:200 user@host# set VRF-b’ route-distinguisher 40:200
모든 경로를 가져오거나 내보내는 커뮤니티 정책을 만듭니다.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100 user@host# set VRF-a’ vrf-target target:300:100 user@host# set VRF-b’ vrf-target target:400:100
VRF의 모든 경로에 대해 단일 VPN 레이블을 할당합니다.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-a’ vrf-table-label user@host# set VRF-b vrf-table-label user@host# set VRF-b’ vrf-table-label
MPLS 네트워크에서 VRF-a 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group VRF-a user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ user@host# set policy vrf-a_policy then permit
MPLS 네트워크에서 VRF-b 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match source-l3vpn-vrf-group VRF-b user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 및 show routing-instances 명령을 입력하여 show security policies 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security policies
from-zone GRE-1_Zone to-zone GRE-2_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group VRF-a;
destination-l3vpn-vrf-group "VRF-a'";
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-grou VRF-b;
destination-l3vpn-vrf-group "VRF-b'";
}
then {
permit;
}
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
VRF-a’ {
instance-type vrf;
route-distinguisher 30:200;
vrf-target target:300:100;
vrf-table-label;
}
VRF-b’ {
instance-type vrf;
route-distinguisher 40:200;
vrf-target target:400:100;
vrf-table-label;
}
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .
확인
정책 구성 확인
목적
보안 정책이 IP 네트워크에서 MPLS 네트워크로의 VRF 기반 트래픽을 허용하는지 확인합니다.
작업
운영 모드에서 명령을 입력하여 show security policies 디바이스에 구성된 모든 보안 정책의 요약을 표시합니다.
user@host> show security policies
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-a_policy, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1
Source vrf: VRF-a
destination vrf: VRF-a'
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Policy: vrf-b_policy, State: enabled, Index: 8, Scope Policy: 0, Sequence number: 2
Source vrf: VRF-b
destination vrf: VRF-b'
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
예: MPLS 네트워크에서 VRF 라우팅 인스턴스를 사용하여 보안 정책 구성
이 예에서는 VRF 라우팅 인스턴스를 사용하여 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
Junos OS 릴리스 15.1X49-D160 이상에서 지원되는 SRX 시리즈 방화벽. 이 구성 예는 Junos OS 릴리스 15.1X49-D160에 대해 테스트되었습니다.
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
보안 영역을 만드는 방법을 이해합니다. 예: 보안 영역 생성을 참조하십시오.
개요
이 예에서는 VRF(Virtual Routing and Forwarding) 인스턴스를 사용하여 보안 정책을 생성하여 다음 네트워크에서 통과하는 트래픽을 격리합니다.
개인 IP 네트워크에 대한 MPLS
MPLS 네트워크에 대한 글로벌 IP
MPLS 네트워크 대 사설 IP 네트워크
절차
단계별 절차
레이어 3 VPN은 네트워크 내에서 경로를 배포하기 위해 VRF 테이블이 필요합니다. VRF 인스턴스를 생성하고 값을 vrf지정합니다.
[edit routing-instances] user@host#set VRF-a instance-type vrf user@host#set VRF-b instance-type vrf
라우팅 인스턴스에 경로 식별자를 할당합니다.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200
모든 경로를 가져오거나 내보내는 커뮤니티 정책을 만듭니다.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100
VRF의 모든 경로에 대해 단일 VPN 레이블을 할당합니다.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-b vrf-table-label
LAN A로 향하는 VRF-a의 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone to-zone LAN-a_Zone] set policy vrf-a_policy match source-address any set policy vrf-a_policy match destination-address any set policy vrf-a_policy match application any set policy vrf-a_policy match source-l3vpn-vrf-group VRF-a set policy vrf-a_policy then permit
LAN B로 향하는 VRF-b의 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone to-zone LAN-b_Zone] set policy vrf-b_policy match source-address any set policy vrf-b_policy match destination-address any set policy vrf-b_policy match application any set policy vrf-b_policy match source-l3vpn-vrf-group VRF-b set policy vrf-b_policy then permit
결과
구성 모드에서 및 show routing-instances 명령을 입력하여 show security policies 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@host# show security policies
from-zone GRE_Zone to-zone LAN-a_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone GRE_Zone to-zone LAN-b_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group VRF-b;
}
then {
permit;
}
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .
글로벌 IP 네트워크에서 MPLS 네트워크로
절차
단계별 절차
레이어 3 VPN은 네트워크 내에서 경로를 배포하기 위해 VRF 테이블이 필요합니다. VRF 인스턴스를 생성하고 값을 vrf지정합니다.
[edit routing-instances] user@host# set VRF-a instance-type vrf user@host# set VRF-b instance-type vrf user@host# set VRF-a’ instance-type vrf user@host# set VRF-b’ instance-type vrf
라우팅 인스턴스에 경로 식별자를 할당합니다.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200 user@host# set VRF-a’ route-distinguisher 30:200 user@host# set VRF-b’ route-distinguisher 40:200
모든 경로를 가져오거나 내보내는 커뮤니티 정책을 만듭니다.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100 user@host# set VRF-a’ vrf-target target:300:100 user@host# set VRF-b’ vrf-target target:400:100
VRF의 모든 경로에 대해 단일 VPN 레이블을 할당합니다.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-a’ vrf-table-label user@host# set VRF-b vrf-table-label user@host# set VRF-b’ vrf-table-label
대상 NAT 풀을 생성합니다.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-a_p address 20.0.0.4/24 user@host# set pool vrf-b_p routing-instance VRF-b user@host# set pool vrf-b_p address 30.0.0.4/24
대상 NAT 규칙 세트를 생성합니다.
[edit security nat destination] user@host# set rule-set rs from interface ge-0/0/0.0 user@host# set rule-set rs rule vrf-a_r match destination-address 40.0.0.4/24 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p
패킷을 일치시키고 대상 주소를 풀의 주소로 변환하는 규칙을 구성합니다.
[edit security nat destination] user@host# set rule-set rs from interface ge-0/0/1.0 user@host# set rule-set rs rule vrf-b_r match destination-address 50.0.0.4/24 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
언트러스트 영역에서 트러스트 영역의 서버로의 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone internet to-zone trust] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ user@host# set policy vrf-a_policy then permit user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 , show routing-instances및 show security nat 명령을 입력하여 show security policies구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@host# show security policies
from-zone internet to-zone trust {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group VRF-a;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group VRF-b;
}
then {
permit;
}
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
VRF-a’ {
instance-type vrf;
route-distinguisher 30:200;
vrf-target target:300:100;
vrf-table-label;
}
VRF-b’ {
instance-type vrf;
route-distinguisher 40:200;
vrf-target target:400:100;
vrf-table-label;
}
user@host# show security nat destination
pool vrf-a_p {
routing-instance {
VRF-a’;
}
address 20.0.0.4/24;
}
pool vrf-b_p {
routing-instance {
VRF-b’;
}
address 30.0.0.4/24;
}
rule-set rs {
from interface [ ge-0/0/0.0 ge-0/0/1.0 ];
rule vrf-a_r {
match {
destination-address 40.0.0.4/24;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 50.0.0.4/24;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .
확인
대상 NAT 규칙 확인
목적
모든 대상 NAT 규칙에 대한 정보를 표시합니다.
작업
운영 모드에서 명령을 입력합니다 show security nat destination rule all .
user@host> show security nat destination rule all
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 6/0
Destination NAT rule: rule1 Rule-set: vrf-b_r
Rule-Id : 2
Rule position : 2
From routing instance : vrf-b_r
Destination addresses : 50.0.0.4 - 50.0.0.4
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
[... 출력이 잘렸습니다...]
의미
명령은 대상 NAT 규칙을 표시합니다. Translation hits(변환 히트) 필드를 보고 대상 규칙과 일치하는 트래픽을 확인합니다.
플로우 세션 확인
목적
디바이스에서 현재 활성화된 모든 보안 세션에 대한 정보를 표시합니다.
작업
운영 모드에서 명령을 입력합니다 show security flow session .
user@host>show security flow session Flow Sessions on FPC0 PIC1: Session ID: 10115977, Policy name: SG/4, State: Active, Timeout: 62, Valid In: 203.0.113.11/1000 203.0.113.1/2000;udp, Conn Tag: 0x0, If: reth1.1, VRF: VRF-a, Pkts: 1, Bytes: 86, CP Session ID: 10320276 Out: 203.0.113.1/2000 203.0.113.11/1000;udp, Conn Tag: 0x0, If: reth0.0, VRF: VRF-b, Pkts: 0, Bytes: 0, CP Session ID: 10320276
의미
명령은 모든 활성 세션에 대한 세부 정보를 표시합니다. VRF 필드를 보고 흐름에서 VRF 라우팅 인스턴스 세부 정보를 확인합니다.