이 페이지의 내용
예: VRF 그룹을 사용하여 IP 네트워크에서 MPLS 네트워크로의 VRF 기반 트래픽을 허용하는 보안 정책 구성
예: VRF 그룹을 사용하여 MPLS 네트워크에서 IP 네트워크로의 VRF 기반 트래픽을 허용하는 보안 정책 구성
예: VRF 그룹을 사용하여 공용 IP 네트워크에서 MPLS 네트워크로의 VRF 기반 트래픽을 허용하는 보안 정책 구성
예: VRF 그룹을 사용하여 MPLS 네트워크에서 공용 IP 네트워크로의 VRF 기반 트래픽을 허용하도록 보안 정책 구성
예: VRF 그룹을 사용하여 NAT 없이 MPLS 네트워크에서 MPLS 네트워크로 VRF 기반 트래픽을 허용하도록 보안 정책 구성
예: 네트워크 주소 변환(NAT) 및 VRF 그룹을 사용하여 MPLS 네트워크에서 MPLS 네트워크로 VRF 기반 트래픽을 허용하는 보안 정책 구성
예: 소스 VRF 그룹을 사용하여 MPLS 네트워크에서 IP 네트워크로의 VRF 기반 트래픽을 허용하거나 거부하는 보안 정책 구성
예: 대상 VRF 그룹을 사용하여 IP 네트워크에서 MPLS 네트워크로의 VRF 기반 트래픽을 허용하거나 거부하는 보안 정책 구성
VRF 그룹을 사용하는 보안 정책
개요
SD-WAN 네트워크에서는 GRE나 GE 등 동일한 터널에서 서로 다른 VRF 기반 트래픽이 디바이스로 유입되면 디바이스는 주어진 VRF 인스턴스를 기반으로 정책을 적용합니다. 디바이스는 VRF 기반 트래픽을 제어하기 위해 특정 VRF 인스턴스로 향하는 트래픽을 허용하거나 거부합니다.
현재 각 정책에 대해 5개의 일치 조건이 있습니다.
-
구역에서
-
구역으로
-
소스 주소
-
대상 주소
-
신청
그림 1 은 정책의 일치 조건을 보여줍니다.
현재 정책 일치 조건에서는 VRF-B1 또는 VRF-B2를 허용하고 VRF-A1 또는 VRF-A2를 거부할 수 없습니다. 이를 지원하기 위해 VRF 그룹을 사용하는 SD-WAN 네트워크의 정책에 추가 일치 조건이 추가됩니다.
플로우가 소스 및 대상 VRF 그룹의 정보를 수신하면 일치 조건을 충족하기 위해 정책 키 튜플 정보와 함께 해당 정보를 정책 검색 API로 전달합니다.
그림 2 는 정책에서 일치 조건으로 추가된 VRF 그룹을 보여줍니다.
과의 일치 조건
소스 및 대상 VRF 그룹 정보가 정책에 지정되지 않은 경우, 이러한 그룹은 VRF 그룹과 일치합니다 any .
예: VRF 그룹을 사용하여 IP 네트워크에서 MPLS 네트워크로의 VRF 기반 트래픽을 허용하는 보안 정책 구성
이 예는 VRF 그룹을 사용하여 사설 IP 네트워크에서 MPL 네트워크로의 트래픽을 허용하는 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
-
지원되는 모든 Junos 릴리스.
-
지원되는 디바이스에서.
개요
Junos OS에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 대해 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용합니다. 그림 3에서는 SRX 시리즈 방화벽이 SD-WAN에 구축되어 VRF 그룹을 사용하여 사설 IP 네트워크에서 MPLS 네트워크로 트래픽을 허용합니다.
로의 트래픽
이 구성 예는 다음 방법을 보여줍니다.
-
IP 네트워크(LAN-a)에서 VRF 그룹으로의 트래픽 허용
-
IP 네트워크(LAN-b)에서 VRF 그룹으로의 트래픽 허용
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1
set security l3vpn vrf-group vpn-A vrf VRF-A2
set security l3vpn vrf-group vpn-A1 vrf VRF-A11
set security l3vpn vrf-group vpn-A1 vrf VRF-A21
set security l3vpn vrf-group vpn-B vrf VRF-B1
set security l3vpn vrf-group vpn-B vrf VRF-B2
set security l3vpn vrf-group vpn-B1 vrf VRF-B11
set security l3vpn vrf-group vpn-B1 vrf VRF-B21
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match application any
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy then permit
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match application any
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy then permit
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 자세한 내용은CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
-
VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2
-
VRF 인스턴스 A11 및 A21을 사용하여 VRF 그룹 vpn-A1을 생성합니다
[edit security] user@host# set l3vpn vrf-group vpn-A1 vrf VRF-A11 user@host# set l3vpn vrf-group vpn-A1 vrf VRF-A21
-
VRF 인스턴스 B1 및 B2를 사용하여 VRF 그룹 vpn-B를 생성합니다
[edit security] user@host# set l3vpn VRF group vpn-B vrf VRF-B1 user@host# set l3vpn VRF group vpn-B vrf VRF-B2
-
VRF 인스턴스 B11 및 B21을 사용하여 VRF 그룹 vpn-B1을 생성합니다
[edit security] user@host# set l3vpn vrf-group vpn-B1 vrf VRF-B11 user@host# set l3vpn vrf-group vpn-B1 vrf VRF-B21
-
vrf-a 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 user@host# set policy vrf-a_policy then permit
-
vrf-b 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show security policies 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security policies
from-zone LAN-a_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-VRF group vpn-A1;
}
then {
permit;
}
}
from-zone LAN-b_Zone to-zone GRE_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-VRF group vpn-B1;
}
then {
permit;
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
정책 구성 확인
목적
보안 정책에 대한 정보를 확인합니다.
작업
운영 모드에서 디바이스에 show security policies 구성된 모든 보안 정책의 요약을 표시하는 명령을 입력합니다.
user@root> show security policies
Default policy: permit-all
From zone: LAN-a_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN vrf-group: vpn-A1
destination L3VPN VRF Group: any
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: LAN-b_Zone, To zone: GRE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN vrf-group: vpn-B1
destination L3VPN VRF Group: any
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
예: VRF 그룹을 사용하여 MPLS 네트워크에서 IP 네트워크로의 VRF 기반 트래픽을 허용하는 보안 정책 구성
이 예는 VRF 그룹을 사용하여 MPLS에서 IP 네트워크로의 트래픽을 허용하는 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
-
-
지원되는 모든 Junos 릴리스.
-
지원되는 디바이스에서.
-
-
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
개요
Junos OS에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 대해 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용합니다. 그림 4에서는 방화벽이 SD-WAN에 구축되어 VRF 그룹을 사용하여 MPLS 네트워크에서 프라이빗 네트워크로 트래픽을 허용합니다.
로의 트래픽 허가
이 구성 예는 다음 방법을 보여줍니다.
-
GRE MPLS에서 LAN-a로의 트래픽 허용
-
GRE MPLS에서 LAN-b로의 트래픽 허용
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match application any set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GRE_Zone to-zone LAN-a_Zone policy vrf-a_policy then permit set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match application any set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GRE_Zone to-zone LAN-b_Zone policy vrf-b_policy then permit
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 자세한 내용은CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
-
VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다.
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2
-
VRF 인스턴스 B1 및 B2를 사용하여 VRF 그룹 vpn-B를 생성합니다.
[edit security] user@host# set l3vpn vrf-group vpn-B vrf VRF-B1 user@host# set l3vpn vrf-group vpn-B vrf VRF-B2
-
VRF-a 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone to-zone LAN-a_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then permit
-
VRF-b 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone to-zone LAN-b_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show security policies 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security policies
from-zone GRE_Zone to-zone LAN-a_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A;
}
then {
permit;
}
}
from-zone GRE_Zone to-zone LAN-b_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
정책 구성 확인
목적
보안 정책에 대한 정보를 확인합니다.
작업
운영 모드에서 디바이스에 show security policies 구성된 모든 보안 정책의 요약을 표시하는 명령을 입력합니다.
user@root> show security policies
Default policy: permit-all
From zone: GRE_Zone, To zone: LAN-a_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF-Group: any
destination L3VPN VRF Group: vpn-A
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GRE_Zone, To zone: LAN-b_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-B
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
예: VRF 그룹을 사용하여 공용 IP 네트워크에서 MPLS 네트워크로의 VRF 기반 트래픽을 허용하는 보안 정책 구성
이 예에서는 VRF 그룹을 사용하여 수신 공용 IP 네트워크를 MPLS 네트워크로 변환하는 대상 NAT 규칙을 구성하는 방법을 설명합니다.
요구 사항
-
네트워크 주소 변환(NAT)을 위한 SD-WAN 구축에서 SRX 시리즈 방화벽이 어떻게 작동하는지 알아봅니다.
-
가상 라우팅 및 포워딩 인스턴스를 이해합니다. SD-WAN 구축의 가상 라우팅 및 포워딩 인스턴스를 참조하십시오.
개요
그림 5에서 방화벽은 수신 공용 IP 네트워크를 VRF 기반 대상 라우팅 테이블 및 IP별로 변환하는 대상 NAT 규칙으로 구성됩니다. 방화벽은 vpn-A 및 vpn-B의 두 VRF 그룹으로 구성됩니다.
로의 트래픽 허가
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat destination pool vrf-a_p routing-instance VRF-a set security nat destination pool vrf-a_p address 192.168.1.200 set security nat destination rule-set rs from interface ge-0/0/1.0 set security nat destination rule-set rs rule vrf-a_r match destination-address 203.0.113.200 set security nat destination rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p set security nat destination pool vrf-b_p routing-instance VRF-b set security nat destination pool vrf-b_p address 192.168.1.201 set security nat destination rule-set rs from interface ge-0/0/1.1 set security nat destination rule-set rs rule vrf-b_r match destination-address 203.0.113.201 set security nat destination rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match application any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-a_policy then permit set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match application any set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GE_Zone to-zone GRE_Zone policy vrf-b_policy then permit
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 자세한 내용은CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
단일 VRF에 대한 대상 NAT 매핑을 구성하려면 다음을 수행합니다.
-
레이어 3 VPN에서 VRF 인스턴스 A1 및 A2를 포함하는 VRF 그룹 vpn-A를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
-
VRF 인스턴스 B1 및 B2를 사용하여 다른 VRF 그룹 vpn-B를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
-
대상 네트워크 주소 변환(NAT) IP 주소 풀을 지정합니다.
[edit security nat destination] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201 -
라우팅 인스턴스를 대상 풀에 할당합니다.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-b_p routing-instance VRF-b
-
대상 NAT 규칙 세트를 생성합니다.
[edit security nat destination] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B user@host# set rule-set rs from interface ge-0/0/1.0 user@host# set rule-set rs from interface ge-0/0/1.1
-
패킷을 일치시키고 대상 IP 주소를 대상 네트워크 주소 변환(NAT) IP 주소 풀의 IP 주소로 변환하는 규칙을 구성합니다.
[edit security nat destination] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
-
VRF-a 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GE_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then permit
-
VRF-b 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GE_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 and show security policies 명령을 입력 show security nat 하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
destination {
pool vrf-a_p {
routing-instance {
VRF-a;
}
address 192.168.1.200/32;
}
pool vrf-b_p {
routing-instance {
VRF-b;
}
address 192.168.1.201/32;
}
rule-set rs {
from interface [ ge-0/0/1.0 ge-0/0/1.1 ];
rule vrf-a_r {
match {
destination-address 203.0.113.200/32;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 203.0.113.201/32;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone GE_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
대상 NAT 규칙 사용 및 보안 정책 확인
목적
대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다. show security nat destination rule all Translation hits 필드에서 대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
user@host> show security nat destination rule all
Total destination-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Destination NAT rule: vrf-a_r Rule-set: rs
Rule-Id : 1
Rule position : 1
From interface : ge-0/0/1.0
Destination addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Destination NAT rule : vrf-b_r
Rule-set : rs
Rule-Id : 2
Rule position : 2
From interface : ge-0/0/1.1
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
운영 모드에서 디바이스에 show security policies 구성된 모든 보안 정책의 요약을 표시하는 명령을 입력합니다.
user@root> show security policies
Default policy: permit-all
From zone: GE_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-A
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GE_Zone, To zone: GRE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-B
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
예: VRF 그룹을 사용하여 MPLS 네트워크에서 공용 IP 네트워크로의 VRF 기반 트래픽을 허용하도록 보안 정책 구성
이 예에서는 VRF 그룹 당 네트워크 트래픽을 글로벌 IP 풀로 변환하도록 라우팅 그룹을 구성하는 방법을 설명합니다.
요구 사항
-
NAT를 위한 SD-WAN 구축에서 방화벽이 작동하는 방식을 이해합니다.
-
가상 라우팅 및 포워딩 인스턴스를 이해합니다. SD-WAN 구축의 가상 라우팅 및 포워딩 인스턴스를 참조하십시오.
개요
그림 6에서는 방화벽이 MPLS에서 글로벌 IP 풀로 VRF 그룹 네트워크 트래픽을 허용하도록 라우팅 그룹으로 구성되어 있습니다. 방화벽은 vpn-A 및 vpn-B의 두 VRF 그룹으로 구성됩니다.
로의 트래픽 허가
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-group vpn-A set security nat source rule-set vrf-a_rs to zone GE_Zone set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-group vpn-B set security nat source rule-set vrf-b_rs to zone GE_Zone set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vpn-b_rs rule rule2 then source-nat pool vrf-b_p set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match application any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy then permit set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match application any set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy then permit
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 자세한 내용은CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
단일 VRF에 대한 소스 NAT 매핑을 구성하려면 다음을 수행합니다.
-
레이어 3 VPN에서 VRF 인스턴스 A1 및 A2를 포함하는 VRF 그룹 vpn-A를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
-
VRF 인스턴스 B1 및 B2를 사용하여 다른 VRF 그룹 vpn-B를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
-
소스 NAT IP 주소 풀을 지정합니다.
[edit security nat source] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201 -
소스 NAT 규칙 세트를 생성합니다.
[edit security nat source] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B user@host# set rule-set rs to zone GE_Zone
-
패킷을 일치시키고 VRF 그룹 네트워크 트래픽당 글로벌 IP 풀로 변환하는 규칙을 구성합니다.
[edit security nat source] user@host# set rule-set rs rule vrf-a_r match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_r match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p
-
VPN-A 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then permit
-
VPN-B 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 and show security policies 명령을 입력 show security nat 하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
source {
pool vrf-a_p {
address {
203.0.113.200/32;
}
}
pool vrf-b_p {
address {
203.0.113.201/32;
}
}
rule-set vrf-a_rs {
from routing-group vpn-A;
to zone GE_Zone1;
rule rule1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
vrf-a_p;
}
}
}
}
rule-set vrf-b_rs {
from routing-group vpn-B;
to zone GE_Zone;
match {
source-address 192.168.1.201/32;
}
then {
source-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone GRE_Zone to-zone GE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
대상 NAT 규칙 사용 및 보안 정책 확인
목적
소스 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다. show security nat source rule all Translation hits 필드에서 소스 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
user@host> show security nat source rule all
Total source-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Source NAT rule : vrf-a_r
Rule-set: rs
Rule-Id : 1
Rule position : 1
From routing-group : vpn-A To zone : GE_Zone1
Source addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Source NAT rule : vrf-b_r
Rule-set: rs
Rule-Id : 2
Rule position : 2
From routing-group : vpn-A
To zone : GE_Zone
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
운영 모드에서 디바이스에 show security policies 구성된 모든 보안 정책의 요약을 표시하는 명령을 입력합니다.
user@root> show security policies
Default policy: permit-all
From zone: GRE_Zone, To zone: GE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN VRF Group: vpn-A
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GRE_Zone, To zone: GE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF Group: vpn-B
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
예: VRF 그룹을 사용하여 NAT 없이 MPLS 네트워크에서 MPLS 네트워크로 VRF 기반 트래픽을 허용하도록 보안 정책 구성
이 예에서는 네트워크 주소 변환(NAT)을 사용하지 않고 MPLS 네트워크 간의 트래픽을 허용하도록 라우팅 그룹을 구성하는 방법을 설명합니다.
간 트래픽
요구 사항
-
NAT를 위한 SD-WAN 구축에서 방화벽이 작동하는 방식을 이해합니다.
-
가상 라우팅 및 포워딩 인스턴스를 이해합니다. SD-WAN 구축의 가상 라우팅 및 포워딩 인스턴스를 참조하십시오.
개요
그림 7에서 방화벽은 네트워크 주소 변환(NAT)을 사용하지 않고 MPLS 네트워크 간의 트래픽을 허용하도록 라우팅 그룹으로 구성되어 있습니다. 방화벽은 vpn-A 및 vpn-B의 두 VRF 그룹으로 구성됩니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-A1 vrf VRF-A11 set security l3vpn vrf-group vpn-A1 vrf VRF-A12 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security l3vpn vrf-group vpn-B1 vrf VRF-B11 set security l3vpn vrf-group vpn-B1 vrf VRF-B12 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy then permit set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy then permit
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
단일 VRF에 대한 소스 NAT 매핑을 구성하려면 다음을 수행합니다.
-
레이어 3 VPN에서 VRF 인스턴스 A1 및 A2가 있는 VRF 그룹 vpn-A를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
-
레이어 3 VPN에서 VRF 인스턴스 A11 및 A12를 사용하여 VRF 그룹 vpn-A1을 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A11 user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A12
-
VRF 인스턴스 B1 및 B2를 사용하여 다른 VRF 그룹 vpn-B를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
-
VRF 인스턴스 B11 및 B12를 사용하여 다른 VRF 그룹 vpn-B1을 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B11 user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B12
-
vpn-A1 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 user@host# set policy vrf-a_policy then permit
-
vpn-B1 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다. show security policies 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security policies
from-zone GRE-1_Zone to-zone GRE-2_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A1;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B1;
}
then {
permit;
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
보안 정책 확인
목적
보안 정책의 구성 출력을 확인합니다.
작업
운영 모드에서 디바이스에 show security policies 구성된 모든 보안 정책의 요약을 표시하는 명령을 입력합니다.
user@root> show security policies
Default policy: permit-all
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-A1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF-Group: vpn-B1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
예: 네트워크 주소 변환(NAT) 및 VRF 그룹을 사용하여 MPLS 네트워크에서 MPLS 네트워크로 VRF 기반 트래픽을 허용하는 보안 정책 구성
이 예에서는 라우팅 그룹을 구성하고 네트워크 주소 변환(NAT)을 사용하여 MPLS 네트워크 간에 트래픽을 허용하는 방법을 설명합니다.
요구 사항
-
네트워크 주소 변환(NAT)을 위한 SD-WAN 구축에서 SRX 시리즈 방화벽이 어떻게 작동하는지 알아봅니다.
-
가상 라우팅 및 포워딩 인스턴스를 이해합니다. SD-WAN 구축의 가상 라우팅 및 포워딩 인스턴스를 참조하십시오.
개요
그림 8에서 SRX 시리즈 방화벽은 라우팅 그룹으로 구성되며 네트워크 주소 변환(NAT)을 사용하여 MPLS 네트워크 간의 트래픽을 허용합니다. SRX 시리즈 방화벽은 VRF 그룹, vpn-A, vpn-A1, vpn-B, vpn-B1로 구성됩니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1 set security l3vpn vrf-group vpn-A vrf VRF-A2 set security l3vpn vrf-group vpn-A1 vrf VRF-A11 set security l3vpn vrf-group vpn-A1 vrf VRF-A12 set security l3vpn vrf-group vpn-B vrf VRF-B1 set security l3vpn vrf-group vpn-B vrf VRF-B2 set security l3vpn vrf-group vpn-B1 vrf VRF-B11 set security l3vpn vrf-group vpn-B1 vrf VRF-B12 set security nat source pool vrf-a_p address 203.0.113.200 set security nat source rule-set vrf-a_rs from routing-group vpn-A set security nat source rule-set vrf-a_rs to routing-group vpn-A1 set security nat source rule-set vrf-a_rs rule rule1 match source-address 192.168.1.200 set security nat source rule-set vrf-a_rs rule rule1 then source-nat pool vrf-a_p set security nat source pool vrf-b_p address 203.0.113.201 set security nat source rule-set vrf-b_rs from routing-group vpn-B set security nat source rule-set vrf-b_rs to routing-group vpn-B1 set security nat source rule-set vrf-b_rs rule rule2 match source-address 192.168.1.201 set security nat source rule-set vrf-b_rs rule rule2 then source-nat pool vrf-b_p set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy then permit set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-address any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match application any set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B1 set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy then permit
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
단일 VRF에 대한 소스 NAT 매핑을 구성하려면 다음을 수행합니다.
-
레이어 3 VPN에서 VRF 인스턴스 A1 및 A2가 있는 VRF 그룹 vpn-A를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-A vrf VRF-A1 user@host#set l3vpn vrf-group vpn-A vrf VRF-A2
-
레이어 3 VPN에서 VRF 인스턴스 A11 및 A12를 사용하여 VRF 그룹 vpn-A1을 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A11 user@host#set l3vpn vrf-group vpn-A1 vrf VRF-A12
-
VRF 인스턴스 B1 및 B2를 사용하여 다른 VRF 그룹 vpn-B를 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-B vrf VRF-B1 user@host#set l3vpn vrf-group vpn-B vrf VRF-B2
-
VRF 인스턴스 B11 및 B12를 사용하여 다른 VRF 그룹 vpn-B1을 생성합니다.
[edit security] user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B11 user@host#set l3vpn vrf-group vpn-B1 vrf VRF-B12
-
소스 NAT IP 주소 풀을 지정합니다.
[edit security nat source] user@host# set pool vrf-a_p address 192.168.1.200 user@host# set pool vrf-b_p address 192.168.1.201 -
소스 NAT 규칙 세트를 생성합니다.
[edit security nat source] user@host# set rule-set rs from routing-group vpn-A user@host# set rule-set rs from routing-group vpn-B user@host# set rule-set rs to routing-group vpn-A1 user@host# set rule-set rs to routing-group vpn-B1
-
패킷을 일치시키고 VRF 그룹 네트워크 트래픽당 글로벌 IP 풀로 변환하는 규칙을 구성합니다.
[edit security nat source] user@host# set rule-set rs rule vrf-a_rs match destination-address 203.0.113.200 user@host# set rule-set rs rule vrf-a_rs then destination-nat pool vrf-a_p user@host# set rule-set rs rule vrf-b_rs match destination-address 203.0.113.201 user@host# set rule-set rs rule vrf-b_rs then destination-nat pool vrf-b_p
-
vpn-A1 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A1 user@host# set policy vrf-a_policy then permit
-
vpn-B1 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B1 user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 and show security policies 명령을 입력 show security nat 하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security nat
source {
pool vrf-a_p {
address {
203.0.113.200/32;
}
}
pool vrf-b_p {
address {
203.0.113.201/32;
}
}
rule-set vrf-a_rs {
from routing-group vpn-A;
to routing-group vpn-A1;
rule rule1 {
match {
source-address 192.168.1.200/32;
}
then {
source-nat {
pool {
vrf-a_p;
}
}
}
}
rule-set vrf-b_rs {
from routing-group vpn-B;
to routing-group vpn-B1;
match {
source-address 192.168.1.201/32;
}
then {
source-nat {
pool {
vrf-b_p;
}
}
}
}
}
}
[edit]
user@host# show security policies
from-zone GRE-1_Zone to-zone GRE-2_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A1;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B1;
}
then {
permit;
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
보안 정책 확인
목적
소스 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
작업
운영 모드에서 명령을 입력합니다. show security nat source rule all Translation hits 필드에서 대상 NAT 규칙과 일치하는 트래픽이 있는지 확인합니다.
user@host> show security nat source rule all
Total source-nat rules: 2
Total referenced IPv4/IPv6 ip-prefixes: 2/0
Source NAT rule : vrf-a_r
Rule-set : rs
Rule-Id : 1
Rule position : 1
From routing-group : vpn-A
To zone : GE_Zone1
Source addresses : 203.0.113.200 - 203.0.113.200
Action : vrf-a_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
Source NAT rule : vrf-b_r
Rule-set : rs
Rule-Id : 2
Rule position : 2
From routing-group : vpn-A
To zone : GE_Zone
Destination addresses : 203.0.113.201 - 203.0.113.201
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
운영 모드에서 디바이스에 show security policies 구성된 모든 보안 정책의 요약을 표시하는 명령을 입력합니다.
user@root> show security policies
Default policy: permit-all
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN VRF Group: vpn-A1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN VRF Group: vpn-B1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
예: 소스 VRF 그룹을 사용하여 MPLS 네트워크에서 IP 네트워크로의 VRF 기반 트래픽을 허용하거나 거부하는 보안 정책 구성
이 예는 소스 VRF 그룹을 사용하여 트래픽을 허용하고 거부하는 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
-
보안 영역을 만드는 방법을 이해합니다. 예: 보안 영역 만들기를 참조하십시오.
-
지원되는 모든 Junos OS 릴리스와 함께 지원되는 SRX 방화벽.
-
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
개요
Junos OS에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 대해 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용합니다. 그림 9에서는 SRX 방화벽이 SD-WAN에 구축되어 소스 VRF 그룹을 사용하여 트래픽을 제어합니다. GRE MPLS 네트워크의 트래픽은 IP 네트워크의 사이트 A와 사이트 B로 전송됩니다. 네트워크 요구 사항에 따라 사이트 A 트래픽은 거부되어야 하며 사이트 B 트래픽만 허용되어야 합니다.
의 정책 제어
이 구성 예는 다음 방법을 보여줍니다.
-
vpn-A의 트래픽 거부(GRE MPLS에서)
-
VPN-B에서 트래픽 허용(GRE MPLS에서)
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1
set security l3vpn vrf-group vpn-A vrf VRF-A2
set security l3vpn vrf-group vpn-B vrf VRF-B1
set security l3vpn vrf-group vpn-B vrf VRF-B2
set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-address any
set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match destination-address any
set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match application any
set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy match source-l3vpn-vrf-group vpn-A
set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-a_policy then deny
set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-address any
set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match destination-address any
set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match application any
set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy match source-l3vpn-vrf-group vpn-B
set security policies from-zone GRE_Zone to-zone GE_Zone policy vrf-b_policy then permit
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
-
VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2 -
VRF 인스턴스 B1 및 B2를 사용하여 VRF 그룹 vpn-B를 생성합니다
[edit security] user@host# set l3vpn vrf-group vpn-B vrf VRF-B1 user@host# set l3vpn vrf-group vpn-B vrf VRF-B2 -
vpn-A 트래픽을 거부하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then deny -
VPN-B 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone GRE_Zone to-zone GE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match source-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 and show routing-instances 명령을 입력 show security policies 하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security policies
from-zone GRE_Zone to-zone GE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group vpn-A;
}
then {
deny;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
정책 구성 확인
목적
보안 정책에 대한 정보를 확인합니다.
작업
운영 모드에서 디바이스에 show security policies 구성된 모든 보안 정책의 요약을 표시하는 명령을 입력합니다.
user@root> show security policies
Default policy: permit-all
From zone: GRE_Zone, To zone: GE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: vpn-A
destination L3VPN vrf-group: any
Source addresses: any
Destination addresses: any
Applications: any
Action: deny
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: vpn-B
destination L3VPN vrf-group: any
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
예: 대상 VRF 그룹을 사용하여 IP 네트워크에서 MPLS 네트워크로의 VRF 기반 트래픽을 허용하거나 거부하는 보안 정책 구성
이 예는 소스 VRF 그룹을 사용하여 트래픽을 허용하고 거부하는 보안 정책을 구성하는 방법을 보여줍니다.
요구 사항
-
보안 영역을 만드는 방법을 이해합니다. 예: 보안 영역 생성을 참조하십시오.
-
지원되는 모든 Junos OS 릴리스와 함께 지원되는 SRX 방화벽.
-
디바이스에서 네트워크 인터페이스를 구성합니다. 보안 디바이스에 대한 인터페이스 사용자 가이드를 참조하십시오.
개요
Junos OS에서 보안 정책은 디바이스를 통과할 수 있는 트래픽과 디바이스를 통과할 때 트래픽에 대해 수행해야 하는 작업과 관련하여 전송 트래픽에 대한 규칙을 적용합니다. 그림 10에서는 SRX 방화벽이 SD-WAN에 구축되어 대상 VRF 그룹을 사용하여 트래픽을 제어합니다. IP 네트워크의 트래픽은 GRE MPLS 네트워크의 사이트 A와 사이트 B로 전송됩니다. 네트워크 요구 사항에 따라 사이트 A 트래픽은 거부되어야 하며 사이트 B 트래픽만 허용되어야 합니다.
이 구성 예는 다음 방법을 보여줍니다.
대한 정책 제어
-
VPN-A(GRE MPLS)에 대한 트래픽 거부
-
vpn-B(GRE MPLS)에 트래픽 허용
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .
set security l3vpn vrf-group vpn-A vrf VRF-A1
set security l3vpn vrf-group vpn-A vrf VRF-A2
set security l3vpn vrf-group vpn-B vrf VRF-B1
set security l3vpn vrf-group vpn-B vrf VRF-B2
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match application any
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy then deny
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match application any
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy then permit
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 정보는 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
-
VRF 인스턴스 A1 및 A2를 사용하여 VRF 그룹 vpn-A를 생성합니다
[edit security] user@host# set l3vpn vrf-group vpn-A vrf VRF-A1 user@host# set l3vpn vrf-group vpn-A vrf VRF-A2 -
VRF 인스턴스 B1 및 B2를 사용하여 VRF 그룹 vpn-B를 생성합니다
[edit security] user@host# set l3vpn vrf-group vpn-B vrf VRF-B1 user@host# set l3vpn vrf-group vpn-B vrf VRF-B2 -
vpn-A 트래픽을 거부하는 보안 정책을 생성합니다.
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group vpn-A user@host# set policy vrf-a_policy then deny -
VPN-B 트래픽을 허용하는 보안 정책을 생성합니다.
[edit security policies from-zone LAN-b_Zone e to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group vpn-B user@host# set policy vrf-b_policy then permit
결과
구성 모드에서 and show routing-instances 명령을 입력 show security policies 하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security policies
from-zone LAN-a_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-A;
}
then {
deny;
}
}
}
from-zone LAN-b_Zone to-zone GRE_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group vpn-B;
}
then {
permit;
}
}
}
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
정책 구성 확인
목적
보안 정책에 대한 정보를 확인합니다.
작업
운영 모드에서 디바이스에 show security policies 구성된 모든 보안 정책의 요약을 표시하는 명령을 입력합니다.
user@root> show security policies
Default policy: permit-all
From zone: LAN-a_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source L3VPN VRF Group: any
destination L3VPN vrf-group: vpn-A
Source addresses: any
Destination addresses: any
Applications: any
Action: deny
From zone: LAN-b_Zone, To zone: GRE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source L3VPN VRF Group: any
destination L3VPN vrf-group: vpn-B
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
VRF 그룹을 사용하여 중복 VPN 관리
L3VPN 네트워크에 두 개의 세션이 있을 때, 두 세션 간의 충돌을 피하기 위해 VRF group-ID가 세션을 구분하기 위한 추가 키로 세션 키에 추가됩니다.
그림 11에서 network1과 network3은 L3VPN 네트워크에서 VRF 그룹-A로 함께 그룹화되며, network2와 network4는 VRF 그룹-B로 함께 그룹화됩니다. 세션에서는 VRF 그룹-A 및 VRF 그룹-B를 차별화로 사용합니다.
사용하는 오버래핑 VPN
| L3VPN 네트워크 1 및 3 세션 |
L3VPN 네트워크 2 및 4 세션 |
||
|---|---|---|---|
| (앞으로) |
(역방향) |
(앞으로) |
(역방향) |
| 5-튜플: x/y/sp/dp/p |
5-튜플: y/x/dp/sp/p |
5-튜플: x/y/sp/dp/p |
5-튜플: y/x/dp/sp/p |
| 토큰: GRE1(zone_id+VR_id) + VRF 그룹 ID(A) |
토큰: GRE1(zone_id+VR_id) + VRF group-ID(B) |
토큰: GRE1(zone_id+VR_id) + VRF 그룹 ID(A') |
토큰: GRE1(zone_id+VR_id) + VRF group-ID(B') |