VRF 라우팅 인스턴스에 대한 보안 정책
개요
보안 정책은 지정된 서비스를 사용하여 지정된 소스에서 지정된 대상으로의 트래픽을 제어하는 일련의 문입니다. 정책은 지정된 유형의 트래픽을 두 지점 간에 단방향으로 허용, 거부 또는 터널링합니다. 보안 정책은 전송 트래픽에 대한 일련의 규칙을 적용하여 방화벽을 통과할 수 있는 트래픽과 트래픽이 방화벽을 통과할 때 트래픽에 대해 수행되는 작업을 식별합니다. 지정된 기준과 일치하는 트래픽에 대한 작업에는 허용 및 거부가 포함됩니다.
SRX 방화벽은 사양과 일치하는 패킷을 수신하면 정책에 지정된 작업을 수행합니다.
SD-WAN 아키텍처에서 트래픽 제어
SD-WAN에서 SRX 방화벽은 허브 앤 스포크 위치에 구성할 수 있습니다. 방화벽 정책 적용하여 오버레이 터널에서 디바이스로 들어오는 가상 라우팅 및 포워딩(VRF) 기반 트래픽을 허용하거나 거부할 수 있습니다. SRX 방화벽을 구성하여 VRF 인스턴스로 전송되는 트래픽을 허용하거나 거부할 수 있습니다. 허브 위치에서 디바이스를 구성하면 한 위치에서 모든 트래픽을 제어하고 방화벽 정책을 적용하여 특정 네트워크 서비스에 대한 액세스를 제공할 수 있습니다.
각 보안 정책은 다음으로 구성됩니다.
-
정책의 고유한 이름입니다.
-
A
from-zone및 ato-zone예를 들면 다음과 같습니다.user@host# set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone -
정책 규칙을 적용하기 위해 충족해야 하는 조건을 정의하는 일치 기준 집합입니다. 일치 기준은 소스 IP 주소, 대상 IP 주소 및 애플리케이션을 기반으로 합니다. 사용자 ID 방화벽은 정책 명령문의 일부로 source-identity와 같은 추가 튜플을 포함하여 보다 세분화된 기능을 제공합니다.
-
일치 시 수행할 일련의 작업(허용 또는 거부).
-
소스 VRF 그룹 집합입니다.
-
대상 VRF 그룹의 집합입니다.
소스 및 대상 VRF 인스턴스에 대한 구성 옵션은 선택 사항입니다. 소스 VRF 또는 대상 VRF 중 하나를 구성할 수 있지만 소스 VRF와 대상 VRF를 모두 구성하지 않는 것이 좋습니다. 소스 VRF 또는 대상 VRF를 구성하는 주된 이유는 공유된 물리적 네트워크 인터페이스를 통과하는 서로 다른 MPLS 레이블을 구별하기 위해서입니다.
표 1 에는 소스 VRF 및 대상 VRF를 구성하는 시기가 나와 있습니다.
| 소스에서 대상까지의 네트워크 유형 |
소스 VRF 구성 권장 |
대상 VRF 구성 권장 |
VRF 정책 차별화 |
|---|---|---|---|
| IP 네트워크 투 IP 네트워크 |
아니요 |
아니요 |
존 |
| IP 네트워크에서 MPLS 네트워크로 |
아니요 |
예 |
대상 VRF |
| MPLS 네트워크-IP 네트워크 |
예 |
아니요 |
소스 VRF |
| 대상 NAT가 없는 MPLS 네트워크에서 MPLS 네트워크 간 |
예 |
아니요 |
소스 VRF |
| 대상 NAT를 사용하는 MPLS 네트워크에서 MPLS 네트워크 간 |
예 |
예 |
소스 VRF 및 대상 VRF |
보안 정책 규칙 이해
보안 정책은 컨텍스트(from-zone to to-zone) 내의 전송 트래픽에 보안 규칙을 적용합니다. 각 정책은 해당 이름으로 고유하게 식별됩니다. 트래픽은 트래픽이 프로토콜 헤더에 전달하는 소스 및 대상 영역, 소스 및 대상 주소, 애플리케이션, 소스 VRF 및 대상 VRF를 데이터 플레인의 정책 데이터베이스와 일치시켜 분류됩니다.
각 정책은 다음 특성과 관련이 있습니다.
-
소스 영역
-
대상 영역
-
하나 이상의 소스 주소 이름 또는 주소 집합 이름
-
하나 이상의 대상 주소 이름 또는 주소 집합 이름
-
하나 이상의 애플리케이션 이름 또는 애플리케이션 세트 이름
-
하나 이상의 소스 VRF 인스턴스(예: 수신 패킷과 연결된 VRF 라우팅 인스턴스)
-
MPLS 다음 홉 또는 대상 주소 경로가 있는 하나 이상의 대상 VRF 인스턴스
이러한 특성을 일치 기준이라고 합니다. 또한 각 정책에는 허용, 거부, 거부와 같은 관련 작업이 있습니다. 정책, 소스 주소, 대상 주소, 애플리케이션 이름, 소스 VRF 및 대상 VRF를 구성할 때 일치 조건 인수를 지정해야 합니다.
소스 VRF 또는 대상 VRF 중 하나를 구성할 수 있지만 소스 VRF와 대상 VRF를 모두 구성하는 것은 권장되지 않습니다. 소스 VRF와 대상 VR을 구성하는 주된 이유는 공유된 물리적 네트워크 인터페이스를 통과하는 서로 다른 MPLS 레이블을 구별하기 위해서입니다. 소스 VRF 및 대상 VRF가 구성되지 않은 경우 디바이스는 소스 및 대상 VRF를 임의로 결정합니다.
예: MPLS 네트워크에서 IP 네트워크로의 VRF 기반 트래픽을 허용하거나 거부하는 보안 정책 구성
이 예는 소스 VRF를 사용하여 트래픽을 허용하고 거부하도록 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
-
보안 영역을 만드는 방법을 이해합니다. 예: 보안 영역 생성을 참조하십시오.
-
지원되는 모든 Junos OS 릴리스와 함께 지원되는 SRX 방화벽.
-
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
개요
Junos OS에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 대해 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용합니다. 그림 1에서는 SRX 방화벽이 SD-WAN에 구축되어 소스 VRF를 사용하는 트래픽을 제어합니다. MPLS 네트워크의 트래픽은 IP 네트워크의 사이트 A와 사이트 B로 전송됩니다. 네트워크 요구 사항에 따라 사이트 A 트래픽은 거부되어야 하며 사이트 B 트래픽만 허용되어야 합니다.
이 구성 예는 다음 방법을 보여줍니다.
-
VRF-a에 대한 트래픽 거부(GRE_Zone-GE_Zone에서 GRE_Zone로)
-
VRF-b에 트래픽 허용(GRE_Zone-GE_Zone에서 GRE_Zone로)
이 예에서는 소스 VRF가 구성됩니다. 대상 네트워크가 MPLS 네트워크를 가리킬 때 소스 VRF를 구성하는 것이 좋습니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set routing-instances VRF-a instance-type vrf
set routing-instances VRF-a route-distinguisher 10:200
set routing-instances VRF-a vrf-target target:100:100
set routing-instances VRF-a vrf-table-label
set routing-instances VRF-b instance-type vrf
set routing-instances VRF-b route-distinguisher 20:200
set routing-instances VRF-b vrf-target target:200:100
set routing-instances VRF-b vrf-table-label
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match application any
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-l3vpn-vrf-group VRF-a
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy then deny
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match application any
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-l3vpn-vrf-group VRF-b
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy then permit
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
-
레이어 3 VPN은 네트워크 내에서 경로를 배포하기 위해 VRF 테이블이 필요합니다. VRF 인스턴스를 생성하고 값을 vrf지정합니다.
[edit routing-instances] user@host# set VRF-a instance-type vrf user@host# set VRF-b instance-type vrf -
라우팅 인스턴스에 경로 식별자를 할당합니다.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200 -
모든 경로를 가져오거나 내보내는 커뮤니티 정책을 만듭니다.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100 -
VRF의 모든 경로에 대해 단일 VPN 레이블을 할당합니다.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-b vrf-table-label -
VRF-a 트래픽을 거부하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group VRF-a user@host# set policy vrf-a_policy then deny -
VRF-b 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match source-l3vpn-vrf-group VRF-b user@host# set policy vrf-b_policy then permit참고:대상 VRF 그룹이 구성되지 않은 경우 디바이스는 트래픽이 VRF-a에서 any-vrf로 전달되는 것으로 간주합니다.
결과
구성 모드에서 and show routing-instances 명령을 입력 show security policies 하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security policies
from-zone GRE_Zone-GE_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group VRF-a;
}
then {
deny;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group VRF-b;
}
then {
permit;
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
정책 구성 확인
목적
보안 정책에 대한 정보를 확인합니다.
작업
운영 모드에서 디바이스에 show security policies 구성된 모든 보안 정책의 요약을 표시하는 명령을 입력합니다.
user@root> show security policies
Default policy: permit-all
From zone: GRE_Zone-GE_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source vrf: VRF-a
destination vrf: any
Source addresses: any
Destination addresses: any
Applications: any
Action: deny
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source vrf: VRF-b
destination vrf: any
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
예: IP 네트워크에서 MPLS 네트워크로 VRF 기반 트래픽을 허용하는 보안 정책 구성
이 예는 대상 VRF를 사용하는 트래픽을 허용하도록 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
-
보안 영역을 만드는 방법을 이해합니다. 예: 보안 영역 생성을 참조하십시오.
-
지원되는 모든 Junos OS 릴리스와 함께 지원되는 SRX 방화벽.
-
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
개요
Junos OS에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 대해 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용합니다.
이 예에서는 대상 VRF를 사용하여 트래픽을 제어하기 위해 SD-WAN 아키텍처에 SRX 방화벽을 구축합니다. 트래픽을 제어하려면 정책을 구성해야 합니다. 기본 정책은 VRF 옵션을 지원하지 않습니다. IP 네트워크, 즉 사이트 A와 사이트 B의 트래픽은 MPLS 네트워크로 전송됩니다. 정책을 구성하여 사이트 A와 사이트 B의 트래픽을 모두 MPLS 네트워크로 허용할 수 있습니다.
그림 2에서 소스 VRF는 LAN 인터페이스가 MPLS 네트워크에 속하지 않으므로 구성되지 않습니다. 대상 네트워크가 MPLS 네트워크를 가리킬 때 대상 VRF를 구성하는 것이 좋습니다.
로의 VRF 기반 트래픽 허용
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set routing-instances VRF-a’ instance-type vrf
set routing-instances VRF-a’ route-distinguisher 10:200
set routing-instances VRF-a’ vrf-target target:100:100
set routing-instances VRF-a’ vrf-table-label
set routing-instances VRF-b’ instance-type vrf
set routing-instances VRF-b’ route-distinguisher 20:200
set routing-instances VRF-b’ vrf-target target:200:100
set routing-instances VRF-b’ vrf-table-label
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match application any
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy then permit
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match application any
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy then permit
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
대상 VRF를 사용하여 IP 네트워크에서 MPLS 네트워크로 트래픽을 허용하는 정책을 구성하려면 다음을 수행합니다.
-
레이어 3 VPN은 네트워크 내에서 경로를 배포하기 위해 VRF 테이블이 필요합니다. VRF 인스턴스를 생성하고 값을 vrf지정합니다.
[edit routing-instances] user@host# set VRF-a’ instance-type vrf user@host# set VRF-b’ instance-type vrf -
라우팅 인스턴스에 경로 식별자를 할당합니다.
[edit routing-instances] user@host# set VRF-a’ route-distinguisher 10:200 user@host# set VRF-b’ route-distinguisher 20:200 -
모든 경로를 가져오거나 내보내는 커뮤니티 정책을 만듭니다.
[edit routing-instances] user@host# set VRF-a’ vrf-target target:100:100 user@host# set VRF-b’ vrf-target target:200:100 -
VRF의 모든 경로에 대해 단일 VPN 레이블을 할당합니다.
[edit routing-instances] user@host# set VRF-a’ vrf-table-label user@host# set VRF-b’ vrf-table-label -
IP 네트워크에서 VRF-a' 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ user@host# set policy vrf-a_policy then permit -
IP 네트워크에서 VRF-b' 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone LAN-b_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 and show routing-instances 명령을 입력 show security policies 하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security policies
from-zone LAN-a_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group "VRF-a'";
}
then {
permit;
}
}
}
from-zone LAN-b_Zone to-zone GRE_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group "VRF-b'";
}
then {
permit;
}
}
}
[edit]
user@host# show routing-instances
VRF-a’ {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b’ {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
정책 구성 확인
목적
보안 정책이 IP 네트워크에서 MPLS 네트워크로의 VRF 기반 트래픽을 허용하는지 확인합니다.
작업
운영 모드에서 디바이스에 show security policies 구성된 모든 보안 정책의 요약을 표시하는 명령을 입력합니다.
user@host> show security policies
From zone: LAN-a_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source vrf: any
destination vrf: VRF-a'
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: LAN-b_Zone, To zone: GRE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1
Source vrf: any
destination vrf: VRF-b'
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
예: NAT 없이 GRE를 통해 MPLS 네트워크에서 MPLS 네트워크로 VRF 기반 트래픽을 허용하도록 보안 정책 구성
이 예는 소스 VRF를 사용하는 트래픽을 허용하도록 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
-
보안 영역을 만드는 방법을 이해합니다. 예: 보안 영역 생성을 참조하십시오.
-
Junos OS 릴리스 15.1X49-D160 이상에서 지원되는 SRX 방화벽. 이 구성 예는 Junos OS 릴리스 15.1X49-D160에 대해 테스트되었습니다.
-
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
개요
Junos OS에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 대해 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용합니다. 그림 3에서는 SRX 방화벽이 SD-WAN 아키텍처에 구축되어 소스 VRF를 사용하여 트래픽을 제어합니다. 트래픽을 제어하려면 정책을 구성해야 합니다. 정책을 구성하여 MPLS 네트워크에서 다른 MPLS 네트워크로의 트래픽을 허용할 수 있습니다.
소스와 대상이 MPLS 네트워크에 있는 경우 소스 VRF와 대상 VRF를 모두 구성하는 것이 좋습니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set routing-instances VRF-a instance-type vrf
set routing-instances VRF-a route-distinguisher 10:200
set routing-instances VRF-a vrf-target target:100:100
set routing-instances VRF-a vrf-table-label
set routing-instances VRF-b instance-type vrf
set routing-instances VRF-b route-distinguisher 20:200
set routing-instances VRF-b vrf-target target:200:100
set routing-instances VRF-b vrf-table-label
set routing-instances VRF-a’ instance-type vrf
set routing-instances VRF-a’ route-distinguisher 30:200
set routing-instances VRF-a’ vrf-target target:300:100
set routing-instances VRF-a’ vrf-table-label
set routing-instances VRF-b’ instance-type vrf
set routing-instances VRF-b’ route-distinguisher 40:200
set routing-instances VRF-b’ vrf-target target:400:100
set routing-instances VRF-b’ vrf-table-label
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-address any
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-address any
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match application any
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-l3vpn-vrf-group VRF-a
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy then permit
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-address any
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-address any
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match application any
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-l3vpn-vrf-group VRF-b
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy then permit
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
소스 VRF를 사용하여 MPLS 네트워크에서 MPLS 네트워크로 트래픽을 허용하는 정책을 구성하려면 다음을 수행합니다.
-
레이어 3 VPN은 네트워크 내에서 경로를 배포하기 위해 VRF 테이블이 필요합니다. VRF 인스턴스를 생성하고 값을 vrf지정합니다.
[edit routing-instances] user@host# set VRF-a instance-type vrf user@host# set VRF-b instance-type vrf user@host# set VRF-a’ instance-type vrf user@host# set VRF-b’ instance-type vrf -
라우팅 인스턴스에 경로 식별자를 할당합니다.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200 user@host# set VRF-a’ route-distinguisher 30:200 user@host# set VRF-b’ route-distinguisher 40:200 -
모든 경로를 가져오거나 내보내는 커뮤니티 정책을 만듭니다.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100 user@host# set VRF-a’ vrf-target target:300:100 user@host# set VRF-b’ vrf-target target:400:100 -
VRF의 모든 경로에 대해 단일 VPN 레이블을 할당합니다.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-a’ vrf-table-label user@host# set VRF-b vrf-table-label user@host# set VRF-b’ vrf-table-label -
MPLS 네트워크에서 VRF-a 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group VRF-a user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ user@host# set policy vrf-a_policy then permit -
MPLS 네트워크에서 VRF-b 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match source-l3vpn-vrf-group VRF-b user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 and show routing-instances 명령을 입력 show security policies 하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security policies
from-zone GRE-1_Zone to-zone GRE-2_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group VRF-a;
destination-l3vpn-vrf-group "VRF-a'";
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-grou VRF-b;
destination-l3vpn-vrf-group "VRF-b'";
}
then {
permit;
}
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
VRF-a’ {
instance-type vrf;
route-distinguisher 30:200;
vrf-target target:300:100;
vrf-table-label;
}
VRF-b’ {
instance-type vrf;
route-distinguisher 40:200;
vrf-target target:400:100;
vrf-table-label;
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
정책 구성 확인
목적
보안 정책이 IP 네트워크에서 MPLS 네트워크로의 VRF 기반 트래픽을 허용하는지 확인합니다.
작업
운영 모드에서 디바이스에 show security policies 구성된 모든 보안 정책의 요약을 표시하는 명령을 입력합니다.
user@host> show security policies
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-a_policy, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1
Source vrf: VRF-a
destination vrf: VRF-a'
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Policy: vrf-b_policy, State: enabled, Index: 8, Scope Policy: 0, Sequence number: 2
Source vrf: VRF-b
destination vrf: VRF-b'
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
예: MPLS 네트워크에서 VRF 라우팅 인스턴스를 사용하여 보안 정책 구성
이 예에서는 VRF 라우팅 인스턴스를 사용하여 보안 정책을 구성하는 방법을 보여 줍니다.
요구 사항
-
지원되는 모든 Junos OS 릴리스와 함께 지원되는 SRX 방화벽.
-
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
-
보안 영역을 만드는 방법을 이해합니다. 예: 보안 영역 생성을 참조하십시오.
개요
이 예에서는 가상 라우팅 및 포워딩(VRF) 인스턴스를 사용하여 다음 네트워크에서 통과하는 트래픽을 격리하는 보안 정책을 생성합니다.
-
사설 IP 네트워크에 대한 MPLS
-
글로벌 IP - MPLS 네트워크
MPLS 네트워크에서 프라이빗 IP 네트워크에 연결
절차
단계별 절차
-
레이어 3 VPN은 네트워크 내에서 경로를 배포하기 위해 VRF 테이블이 필요합니다. VRF 인스턴스를 생성하고 값을 vrf지정합니다.
[edit routing-instances] user@host#set VRF-a instance-type vrf user@host#set VRF-b instance-type vrf -
라우팅 인스턴스에 경로 식별자를 할당합니다.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200 -
모든 경로를 가져오거나 내보내는 커뮤니티 정책을 만듭니다.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100 -
VRF의 모든 경로에 대해 단일 VPN 레이블을 할당합니다.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-b vrf-table-label -
VRF-a에서 LAN A로 향하는 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone to-zone LAN-a_Zone] set policy vrf-a_policy match source-address any set policy vrf-a_policy match destination-address any set policy vrf-a_policy match application any set policy vrf-a_policy match source-l3vpn-vrf-group VRF-a set policy vrf-a_policy then permit -
VRF-b에서 LAN B로 향하는 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone to-zone LAN-b_Zone] set policy vrf-b_policy match source-address any set policy vrf-b_policy match destination-address any set policy vrf-b_policy match application any set policy vrf-b_policy match source-l3vpn-vrf-group VRF-b set policy vrf-b_policy then permit
결과
구성 모드에서 and show routing-instances 명령을 입력 show security policies 하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
user@host# show security policies
from-zone GRE_Zone to-zone LAN-a_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone GRE_Zone to-zone LAN-b_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group VRF-b;
}
then {
permit;
}
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
글로벌 IP 네트워크를 MPLS 네트워크로 변환
절차
단계별 절차
-
레이어 3 VPN은 네트워크 내에서 경로를 배포하기 위해 VRF 테이블이 필요합니다. VRF 인스턴스를 생성하고 값을 vrf지정합니다.
[edit routing-instances] user@host# set VRF-a instance-type vrf user@host# set VRF-b instance-type vrf user@host# set VRF-a’ instance-type vrf user@host# set VRF-b’ instance-type vrf -
라우팅 인스턴스에 경로 식별자를 할당합니다.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200 user@host# set VRF-a’ route-distinguisher 30:200 user@host# set VRF-b’ route-distinguisher 40:200 -
모든 경로를 가져오거나 내보내는 커뮤니티 정책을 만듭니다.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100 user@host# set VRF-a’ vrf-target target:300:100 user@host# set VRF-b’ vrf-target target:400:100 -
VRF의 모든 경로에 대해 단일 VPN 레이블을 할당합니다.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-a’ vrf-table-label user@host# set VRF-b vrf-table-label user@host# set VRF-b’ vrf-table-label -
대상 네트워크 주소 변환(NAT) 풀을 생성합니다.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-a_p address 20.0.0.4/24 user@host# set pool vrf-b_p routing-instance VRF-b user@host# set pool vrf-b_p address 30.0.0.4/24 -
대상 NAT 규칙 세트를 생성합니다.
[edit security nat destination] user@host# set rule-set rs from interface ge-0/0/0.0 user@host# set rule-set rs rule vrf-a_r match destination-address 40.0.0.4/24 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p -
패킷을 일치시키고 대상 주소를 풀의 주소로 변환하는 규칙을 구성합니다.
[edit security nat destination] user@host# set rule-set rs from interface ge-0/0/1.0 user@host# set rule-set rs rule vrf-b_r match destination-address 50.0.0.4/24 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p -
언트러스트(untrust) 영역에서 트러스트 영역의 서버로 트래픽을 허용하는 보안 정책을 구성합니다.
[edit security policies from-zone internet to-zone trust] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ user@host# set policy vrf-a_policy then permit user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 , show routing-instances및 명령을 입력show security policies하여 구성을 확인합니다.show security nat 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
user@host# show security policies
from-zone internet to-zone trust {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group VRF-a;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group VRF-b;
}
then {
permit;
}
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
VRF-a’ {
instance-type vrf;
route-distinguisher 30:200;
vrf-target target:300:100;
vrf-table-label;
}
VRF-b’ {
instance-type vrf;
route-distinguisher 40:200;
vrf-target target:400:100;
vrf-table-label;
}
user@host#
show security nat destination
pool vrf-a_p {
routing-instance {
VRF-a’;
}
address 20.0.0.4/24;
}
pool vrf-b_p {
routing-instance {
VRF-b’;
}
address 30.0.0.4/24;
}
rule-set rs {
from interface [ ge-0/0/0.0 ge-0/0/1.0 ];
rule vrf-a_r {
match {
destination-address 40.0.0.4/24;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 50.0.0.4/24;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
대상 NAT 규칙 확인
목적
모든 대상 네트워크 주소 변환(NAT) 규칙에 대한 정보를 표시합니다.
작업
운영 모드에서 명령을 입력합니다.show security nat destination rule all
user@host> show security nat destination rule all
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 6/0
Destination NAT rule: rule1 Rule-set: vrf-b_r
Rule-Id : 2
Rule position : 2
From routing instance : vrf-b_r
Destination addresses : 50.0.0.4 - 50.0.0.4
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
[... 출력이 잘렸습니다...]
의미
이 명령은 대상 네트워크 주소 변환(NAT) 규칙을 표시합니다. Translation hits 필드를 보고 대상 규칙과 일치하는 트래픽을 확인합니다.
플로우 세션 확인
목적
디바이스에서 현재 활성화된 모든 보안 세션에 대한 정보를 표시합니다.
작업
운영 모드에서 명령을 입력합니다.show security flow session
user@host>show security flow session Flow Sessions on FPC0 PIC1: Session ID: 10115977, Policy name: SG/4, State: Active, Timeout: 62, Valid In: 203.0.113.11/1000 203.0.113.1/2000;udp, Conn Tag: 0x0, If: reth1.1, VRF: VRF-a, Pkts: 1, Bytes: 86, CP Session ID: 10320276 Out: 203.0.113.1/2000 203.0.113.11/1000;udp, Conn Tag: 0x0, If: reth0.0, VRF: VRF-b, Pkts: 0, Bytes: 0, CP Session ID: 10320276
의미
이 명령은 모든 활성 세션에 대한 세부 정보를 표시합니다. VRF 필드를 보고 플로우에서 VRF 라우팅 인스턴스 세부 정보를 확인합니다.
SD-WAN 아키텍처 동작의 플랫폼별 트래픽
기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인하십시오.
다음 표를 사용하여 플랫폼의 플랫폼별 동작을 검토하십시오.
| 플랫폼 |
차이 |
|---|---|
| SRX 시리즈 |
|