예: EVPN-VXLAN에 기반한 필터 기반 포워딩

토폴로지

이 NCE에서는 4개의 서버 리프 스위치, 2개의 언더레이 스파인 스위치, 2개의 서비스 리프 스위치 및 방화벽으로 구성된 EVPN-VXLAN 패브릭에 대해 설명합니다.

스파인 노드

• Junos 버전 20.2R2를 실행하는 QFX5120-32C 시리즈 스위치

서버 리프

• Junos 버전 20.3R1을 실행하는 QFX5120-48Y 시리즈 스위치

서비스 리프

• Junos 버전 20.2R2를 실행하는 QFX5120-32C 시리즈 스위치

방화벽

• Junos 버전 20.1R2를 실행하는 SRX 4200 서비스 게이트웨이

다음 구성에서는 엔드포인트-1을 서버 리프-1에 연결합니다. 또한 새로운 라우팅 인스턴스를 생성하여 INSPECT_VRF Service Leaf-1 및 Service Leaf-2를 사용하여 type-5 경로를 내보내고 가져오도록 구성합니다. 필터 기반 포워딩을 사용하여 엔드포인트-1에서 엔드포인트-2로 트래픽을 INSPECT_VRF 리디렉션합니다.

1. Server Leaf-1에서 INSPECT_VRF 라우팅 인스턴스를 설정합니다.

2. 엔드포인트-1에 대한 정적 경로를 추가하여 Tenant1_VRF.

3. Inspect_VRF 방화벽이 트래픽을 수신할 수 있도록 엔드포인트-1에 대한 유형 5 정적 호스트 경로를 보급해야 합니다. 또한 방화벽은 Leaf 1의 기본 경로를 보급해야 합니다.

4. 이제 Leaf-1에 대한 방화벽 필터를 설정해야 합니다. 필터는 엔드포인트-1에서 엔드포인트-2로 트래픽을 일치시키고 이러한 패킷을 INSPECT_VRF 리디렉션합니다. 다른 모든 트래픽은 Tenant1_VRF 평소와 같이 라우팅됩니다.

5. Leaf-1에서는 IRB.110을 통과할 때 방화벽 필터를 VLAN 110 트래픽에 적용해야 합니다(이 인터페이스는 엔드포인트-1에 연결된 인터페이스임).

1. Server Leaf-2에서 SECURE_VRF 라우팅 인스턴스를 설정합니다.

2. Tenant1_VRF 포인트로 하는 엔드포인트-2에 대한 정적 경로를 구성합니다.

3. SECURE_VRF 방화벽이 트래픽을 수신할 수 있도록 엔드포인트-2에 대한 유형 5 정적 호스트 경로를 보급해야 합니다. 또한 방화벽은 Leaf 2의 기본 경로를 보급해야 합니다.

4. 이전과 마찬가지로 Leaf-2에 대한 방화벽 필터를 설정해야 합니다. 이번에는 필터가 엔드포인트-2에서 엔드포인트-1로의 트래픽과 일치하고 이러한 패킷을 SECURE_VRF 리디렉션합니다. 다른 모든 트래픽은 Tenant1_VRF 평소와 같이 라우팅됩니다.

5. 마지막으로 Leaf-2에서는 방화벽 필터가 IRB.111을 통과할 때 VLAN 111 트래픽에 적용해야 합니다(이것이 엔드포인트-2에 연결된 인터페이스임).

Service Leaf-1은 INSPECT_VRF 및 SECURE_VRF 라우팅 인스턴스를 모두 포함하며, 다음 그림과 같이 서비스 리프와 방화벽을 연결합니다. 인터페이스 IRB.991은 검사 VRF에 있고 인터페이스 IRB.992는 SECURE VRF에 있습니다.

서비스 리프는 두 라우팅 인스턴스 모두에서 기본 경로를 수신하는 방화벽과 EBGP 피어링을 설정합니다. Service Leaf-1은 Type-5를 사용하여 서버 리프에 기본 경로를 보급하고, 그로부터 엔드포인트-1 및 엔드포인트-2에 대한 특정 호스트 경로를 수신한 다음 EBGP를 사용하여 방화벽에 보급합니다.

1. 서비스 리프에서 방화벽으로의 연결은 각각 IRB를 가진 VLAN 991 및 VLAN 992를 포함하는 트렁크 포트입니다. 인터페이스, 여기에 표시된 대로:

2. Service Leaf-1에 라우팅 인스턴스를 설정해야 합니다.

3. 또한 Service Leaf-1에 정책 문을 설정해야 합니다.

Service Leaf-2의 구성은 서비스 리프-1 구성과 유사합니다.

1. 여기에서 방화벽 인터커넥트 서비스 리프-2를 설정했습니다.

2. 여기에서 Service Leaf-2에 라우팅 인스턴스를 설정했습니다.

3. 마지막으로 Service Leaf-2에 정책 문을 설정했습니다.

방화벽 인터페이스는 VLAN 태그 처리된 인터페이스로 구성됩니다. 그림 2와 같이 각 서비스 리프에 두 개의 EBGP 세션을 설정합니다.

1. 여기에서는 이미지에 표시된 방화벽-1 서비스 리프 상호 연결과 BGP 피어링 및 경로 내보내기 기능을 설정했습니다.

2. 이제 방화벽-1에 대한 영역과 정책 구성을 설정해야 합니다. 논리 인터페이스 991을 트래버스하는 트래픽을 INSPECT_Zone, 논리적 인터페이스 992를 트래버스하는 트래픽을 SECURE_Zone.

3. 엔드포인트-1에서 엔드포인트-2로의 통신을 특정 프로토콜로만 제한하기 위해(서버에서 추적 경로를 지원하기 위해 Ping, HTTPS, SSH 및 UDP) INSPECT_Zone 및 SECURE_Zone 간의 트래픽에 대한 보안 정책을 만듭니다.

4. 보안 영역에서 검사 영역까지 모든 트래픽을 수용하는 정책을 정의합니다.

확인

이 섹션의 명령과 출력은 FBF가 EP1과 EP2 사이의 트래픽에 대해 올바르게 작동하는지 확인합니다.

1. EP1과 EP2 사이에 핑을 생성합니다. 핑이 흐르는 동안 먼저 삭제한 다음 리프 1과 리프 2에 방화벽 카운터를 표시합니다.

   Leaf 1의 출력은 BMS 핑 트래픽이 SecureTraffic 필터에 충돌하고 있음을 확인하고 트래픽을 INSPECT_VRF 리디렉션하는 방화벽 용어입니다. Replies를 SECURE_VRF 조정하는 SecureResponseTraffic 필터의 Leaf2에서도 유사한 결과가 언급됩니다.

2. SRX 디바이스에 보안 플로우 정보를 표시합니다.

   출력은 BMS 핑 트래픽이 방화벽에 의해 검사되고 있음을 확인합니다. 이는 FBF가 EP1에서 EP2로 전송되는 트래픽을 리프에서 서비스 리프로, 거기서 방화벽 디바이스 전송하고 있음을 확인합니다.

3. EP1과 EP2 사이의 경로를 추적합니다. 방화벽 디바이스 통해 언더레이 포워딩 홉을 볼 수 있습니다.

   결과는 그림 3에 표시됩니다.

   참고: EP1의 트래픽은 VXLAN으로 캡슐화되어 리프 1에서 서비스 리프로 전송됩니다. 서비스 리프는 트래픽과 경로를 방화벽 디바이스 네이티브 IP로 디캡슐화하여 추적 경로의 출력에 언더레이 홉이 노출되도록 합니다.
   그림 3: FBF를 통한 EP1 ~EP2 추적 경로

   EP1(BMS 1)의 추적 경로 출력은 방화벽을 통해 트래픽을 조정하는 데 사용되는 추가 패브릭 포워딩 홉을 보여줍니다. 출력에서 홉 1과 6은 각각 리프 1과 리프 2의 IRB 인터페이스를 나타냅니다. 계약 중인 10.81.91.2 홉은 서비스 리프 1의 INSPECT_VRF 보관된 irb.991 인터페이스를 나타냅니다. 이러한 결과는 EP1 ~EP2 트래픽이 방화벽을 통해 올바르게 전달된다는 추가적인 확인을 추가합니다.

4. 리프 1과 리프 2 모두에서 IRB 인터페이스에 적용된 방화벽 필터를 비활성화합니다. 변경 사항을 커밋해야 합니다.

   EP1과 EP2 사이의 추적 경로를 반복합니다. 결과는 그림 4에 표시됩니다.

   그림 4: FBF가 없는 EP1에서 EP2 추적 경로

   추적 경로 출력은 필터가 비활성화된 경우 EP1에서 EP2 트래픽 플로우가 리프 디바이스의 IRB 인터페이스 간에 직접 흐른다는 것을 보여줍니다. FBF로 서비스 리프를 제거하고 방화벽 디바이스 더 이상 이러한 엔드포인트 간 포워딩 경로에 없습니다.

Spine-1 구성

서버 리프-2 구성: