Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

고급 보안 및 Data Center Interconnect 구성

이 예시를 사용하여 축소된 스파인 데이터센터 아키텍처에서 고급 보안 및 DCI를 구성할 수 있습니다.

테넌트 간 트래픽에 대한 고급 보안 구성

SRX 시리즈는 테넌트 간 트래픽에 고급 보안 서비스를 제공할 수 있는 차세대 방화벽입니다. 이 섹션을 사용하여 SRX 섀시 클러스터를 통해 DC1의 JNPR_1와 JNPR_2 간에 테넌트 간 트래픽을 라우팅할 수 있습니다.

요구 사항

개요

섀시 클러스터의 SRX 시리즈 방화벽은 단일 디바이스로 작동하여 디바이스, 인터페이스 및 서비스 레벨 이중화를 제공합니다. 이 섹션을 사용하여 섀시 클러스터를 여러 영역으로 분리하고 보안 장치를 통해 올바른 트래픽이 라우팅되도록 라우팅 정책을 구성합니다.

위상수학

그림 1과 같이 두 스파인 스위치는 물리적으로 두 SRX 노드에 모두 연결되어 있습니다.

그림 1: SRX 클러스터 Physical Topology of SRX Cluster 의 물리적 토폴로지
메모:

이 예는 SRX345 디바이스를 기준으로 합니다. HA 클러스터에 배치되면 노드 1의 인터페이스는 FPC 슬롯 5와 연결됩니다. 즉, 노드 1에 표시된 ge-0/0/11 인터페이스는 클러스터가 형성되면 실제로 ge-5-0/11로 구성됩니다. HA 클러스터의 노드 1에 대한 FPC 번호는 SRX 모델 유형에 따라 다를 수 있습니다.

Reth1은 SRX 클러스터의 논리적 인터페이스입니다. SRX 클러스터의 노드 중 하나에서 활성화됩니다. SRX 디바이스와 스파인 스위치 간의 기본 노드 또는 인터커넥트 링크가 실패하면 Reth1은 보조 노드로 페일오버됩니다. 그림 2 에는 SRX 디바이스와 스파인 스위치 간의 논리적 인터페이스가 나와 있습니다.

그림 2: SRX 클러스터 Overlay Topology of SRX Cluster 의 오버레이 토폴로지

각 스파인 스위치는 그림 3과 같이 각 라우팅 인스턴스 또는 테넌트에서 SRX 클러스터와 별도의 EBGP 피어링을 설정합니다. 예를 들어, 스파인 1은 SRX 클러스터와 두 개의 피어링을 가지며, 각 라우팅 인스턴스에 하나씩 JNPR_1와 JNPR_2. Reth1.991은 스파인 스위치의 JNPR_1 라우팅 인스턴스와 피어링되며 JNPR_1 보안 영역에 속합니다. Reth1.992는 스파인 스위치의 JNPR_2 라우팅 인스턴스와 피어링하며 JNPR_2 보안 영역에 속합니다.

SRX 시리즈 방화벽은 모든 접두사(예: 192.168.0.0/16)를 포함하는 요약 경로를 보급합니다. 스파인 스위치는 각 라우팅 인스턴스에서 특정 서브넷을 보급합니다.

그림 3: EBGP 피어링 Topology of SRX Cluster with EBGP Peering 을 사용하는 SRX 클러스터의 토폴로지

인터페이스 구성

SRX 디바이스 구성

단계별 절차

  1. SRX 디바이스의 논리적 인터페이스에 대한 그룹을 구성합니다.

  2. 논리적 인터페이스를 구성합니다. RETH1은 SRX 클러스터에서 태그가 지정된 레이어 3 인터페이스입니다. Reth1.991은 스파인 스위치의 JNPR_1 라우팅 인스턴스와 피어링됩니다. Reth1.992는 스파인 스위치의 JNPR_2 라우팅 인스턴스와 피어링됩니다.

  3. 논리적 인터페이스를 별도의 보안 영역에 배치합니다. Reth1.991은 JNPR_1 보안 영역에 속하고 Reth1.992는 JNPR_2 보안 영역에 속합니다.

  4. 섀시 클러스터의 상태를 확인합니다.

스파인 1 구성

단계별 절차

  1. 스파인 1에서 SRX 시리즈 방화벽 상호 연결 인터페이스를 구성합니다.

  2. IRB 인터페이스를 구성합니다.

  3. VLAN을 구성합니다.

  4. VNI를 EVPN MP-BGP 도메인의 일부로 구성합니다.

스파인 2 구성

단계별 절차

  1. 스파인 2에서 SRX 시리즈 방화벽 상호 연결 인터페이스를 구성합니다.

  2. IRB 인터페이스를 구성합니다.

  3. VLAN을 구성합니다.

  4. VNI를 EVPN MP-BGP 도메인의 일부로 구성합니다.

EBGP를 구성합니다

SRX 디바이스 구성

단계별 절차

  1. EBGP 상호 연결을 구성합니다.

  2. 라우팅 옵션을 구성합니다.

  3. 정책 옵션을 구성합니다.

스파인 1 구성

단계별 절차

  1. JNPR_1 라우팅 인스턴스에서 EBGP 피어링을 구성합니다.

  2. JNPR_2 라우팅 인스턴스에서 EBGP 피어링을 구성합니다.

  3. SRX 디바이스와 상호 연결을 위한 가져오기 및 내보내기 정책을 구성합니다.

스파인 2 구성

단계별 절차

  1. JNPR_1 라우팅 인스턴스에서 EBGP 피어링을 구성합니다.

  2. JNPR_2 라우팅 인스턴스에서 EBGP 피어링을 구성합니다.

  3. SRX 디바이스와 상호 연결을 위한 가져오기 및 내보내기 정책을 구성합니다.

SRX 시리즈 방화벽 보안 정책 구성

단계별 절차

  1. JNPR_1용 영역 1에서 보안 정책을 구성합니다.

  2. JNPR_2용 영역 1에서 보안 정책을 구성합니다.

SRX 섀시 클러스터에서 BGP 확인

단계별 절차

  1. 스파인 스위치와의 모든 BGP 피어링 세션이 설정되었는지 확인합니다.

  2. SRX 시리즈 방화벽이 JNPR_1 테넌트로부터 BGP 경로를 수신했는지 확인합니다.

  3. SRX 시리즈 방화벽이 JNPR_2 테넌트에서 BGP 경로를 수신했는지 확인합니다.

  4. SRX 섀시 클러스터가 스파인 디바이스에 요약 경로를 보급하는지 확인합니다.

  5. SRX 섀시 클러스터를 통해 테넌트 간 트래픽을 확인합니다.

    이 예에서 Endpoint12는 VLAN 212 및 테넌트 JNPR_2의 일부입니다. Endpoint12는 그림 4와 같이 VLAN 201 및 테넌트 JNPR_1의 일부인 Endpoint2를 ping합니다. 테넌트 간 트래픽이므로 이 트래픽은 SRX 섀시 클러스터의 활성 멤버를 통과합니다. SRX-Node0은 SRX 섀시 클러스터의 액티브 멤버이고 SRX-Node1은 패시브 멤버입니다.

    그림 4: SRX 클러스터 Inter-Tenant Traffic Through the SRX Cluster 를 통한 테넌트 간 트래픽

    SRX 시리즈 방화벽의 플로우 테이블에 SRX 섀시 클러스터를 통과하는 이 트래픽이 표시되는지 확인합니다.

    데이터센터에 대한 고급 보안을 구성하고 테넌트 간 트래픽이 SRX 섀시 클러스터를 통해 라우팅됨을 확인했습니다.

Data Center Interconnect(DCI) 구성

개요

두 데이터센터에 대해 축소된 스파인 아키텍처를 구성하고 DC1에 고급 보안을 추가했으므로 이제 DCI(Data Center Interconnect)를 사용하여 DC1과 DC2를 연결할 차례입니다.

위상수학

이 예에서는 데이터센터 간에 레이어 2를 확장할 필요가 없습니다. 데이터센터 간 통신은 그림 5와 같이 DC1의 SRX 섀시 클러스터를 통해 라우팅됩니다. 스파인 스위치는 각각 WAN 라우팅 인스턴스를 가지며 데이터센터 간에 WAN에 연결됩니다. 스파인 스위치는 레이어 3 경로를 WAN 라우터로 전달합니다(이 그림에 나와 있지 않음).

SRX 섀시 클러스터는 192.168.0.0/16 서브넷을 보급합니다. DC2 스파인 스위치 스파인 3 및 스파인 4는 두 개의 서브넷 192.168.221.0/24 및 192.168.222.0/24를 보급합니다.

그림 5: Data Center Interconnect 토폴로지 Data Center Interconnect Topology

각 SRX 시리즈 방화벽은 JNPR_1, JNPR_2 및 WAN 라우팅 인스턴스에 해당하는 3개의 영역으로 구성됩니다. JNPR_1와 JNPR_2 사이의 모든 테넌트 간 트래픽은 SRX 섀시 클러스터를 통해 라우팅됩니다. DC1과 DC2 사이의 모든 트래픽은 WAN 라우팅 인스턴스를 사용하여 SRX 섀시 클러스터를 통해 라우팅됩니다. 각 SRX 시리즈 방화벽에는 각 라우팅 인스턴스에서 스파인 1 및 스파인 2를 포함하는 개별 EBGP 피어링이 있습니다. 그림 6 에는 DC1의 스파인 스위치와 SRX 섀시 클러스터 간의 EBGP 피어링이 나와 있습니다.

그림 6: SRX 섀시 클러스터 EBGP 피어링 토폴로지 SRX Chassis Cluster EBGP Peering Topology

구성

SRX 디바이스 구성

단계별 절차

각 SRX 시리즈 방화벽은 JNPR_1, JNPR_2 및 WAN의 세 가지 라우팅 인스턴스에 해당하는 세 개의 영역으로 분할되어야 합니다. 테넌트 간 트래픽에 대한 고급 보안 구성에서 JNPR_1 영역과 JNPR_2 영역을 이미 생성했습니다.

  1. WAN 인터커넥트를 위해 Reth1에 새 하위 인터페이스를 추가합니다.

  2. WAN 보안 영역을 구성합니다.

  3. WAN 보안 영역용 EBGP를 구성합니다.

  4. 보안 정책을 구성합니다. 단순화를 위해 이 예제의 보안 정책은 개방형입니다. 설치 시 필요에 따라 보안 정책을 수정합니다.

스파인 스위치 구성

단계별 절차

  1. 스파인 1에서 라우팅 인스턴스 및 irb 인터페이스를 구성합니다.

  2. 스파인 2에서 라우팅 인스턴스를 구성합니다.

  3. 스파인 3에서 EBGP를 구성합니다.

  4. 스파인 4에서 EBGP를 구성합니다.

DCI 경로 확인

단계별 절차

  1. SRX 섀시 클러스터에서 경로를 확인합니다. SRX는 서로 다른 서브넷에 대한 모든 특정 경로를 학습해야 합니다.

  2. 스파인 1 및 스파인 2에서 경로를 확인합니다. SRX 클러스터는 모든 VRF의 스파인 디바이스에 192.168.0.0/16 요약 경로를 보급합니다. 모든 VRF 간 트래픽 및 DCI 트래픽은 SRX 섀시 클러스터를 통과합니다.

  3. 스파인 3 및 스파인 4에서 경로를 확인합니다. DC2 스파인 디바이스는 DC1 스파인 디바이스의 WAN VRF에서 집계 경로를 수신합니다. 두 데이터센터 간의 모든 트래픽은 SRX 섀시 클러스터를 통해 라우팅됩니다.

    컬랩스드 스파인(collapsed spine) 데이터센터 네트워크를 DCI와 연결했습니다.