이 페이지 내용
vSRX 가상 방화벽 3.0의 Geneve 플로우 인프라
이 항목에서는 vSRX 가상 방화벽 3.0에서 Geneve 플로우 인프라에 대한 개요와 구성을 제공합니다.
개요
Geneve(Generic Network Virtualization Encapsulation)는 IETF(Internet Engineering Task Force)에서 개발한 네트워크 캡슐화 프로토콜입니다.
Geneve 프로토콜은 데이터센터 환경에 대한 네트워크 가상화 사용 사례를 지원합니다. 이러한 환경에서 Geneve 터널은 클라우드 구축(예: AWS(Amazon Web Services) 또는 VMware 구축)에서 실행되는 VNF(가상 네트워크 기능)의 백플레인 역할을 합니다.
Junos OS 릴리스 23.1R1부터 vSRX 가상 방화벽 3.0(주니퍼 네트웍스® vSRX 가상 방화벽 가상 방화벽의 현재 버전)은 Geneve 터널 패킷 처리를 위한 Geneve 플로우 인프라를 지원합니다. 이러한 지원을 통해 vSRX 가상 방화벽 3.0을 사용하여 다음과 같은 작업을 수행할 수 있습니다.
Geneve 플로우 인프라 지원을 통해 vSRX 가상 방화벽 3.0은 다음과 같은 이점을 제공합니다.
-
다양한 클라우드 구축에서 전송 라우터 또는 터널 엔드포인트 디바이스의 기능을 수행합니다.
예를 들어, 투명한 로드 밸런싱 및 패킷 라우팅을 위해 Geneve 프로토콜 캡슐화를 사용하는 AWS Gateway Load Balancer(GWLB) 서비스를 통해 vSRX 가상 방화벽 3.0을 구축할 수 있습니다.
-
수신된 Geneve 터널 패킷을 캡슐화하고 캡슐화 해제합니다.
-
내부 트래픽에 레이어 4(L4) 및 레이어 7(L7) 서비스를 적용합니다.
모든 클라우드 구축에서 터널 엔드포인트인 vSRX 가상 방화벽 3.0은 L3(Layer 3) 인터페이스에서 Geneve 패킷을 수신하고 검사 후 패킷을 동일한 대상 엔드포인트로 전달합니다.
다음을 결정하는 검사 프로필과 함께 정책을 연결해야 합니다.
-
vSRX 가상 방화벽 3.0이 처리하는 Geneve 트래픽 유형.
-
vSRX 가상 방화벽 3.0이 내부 트래픽에 적용하는 정책.
vSRX 가상 방화벽 3.0에 대한 일반 보안 정책을 구성하여 내부 트래픽에 L4 및 L7 서비스를 적용할 수 있습니다.
변경 없이 L3 캡슐화된 트래픽을 수신한 후 vSRX 가상 방화벽 3.0:
- 수신된 Geneve 터널 패킷의 캡슐화를 해제합니다.
- 터널 헤더를 분석합니다.
- 내부 IP 패킷에 대해 L4 및 L7 검사를 수행합니다.
- 트래픽을 캡슐화합니다.
- 트래픽을 대상 터널 엔드포인트로 전달합니다.
Geneve Flow 인프라 지원의 이점
-
데이터 캡슐화—네트워크 가상화를 위한 터널링을 지원하는 프레임워크를 제공합니다.
-
멀티테넌트 지원 - 네트워크 가상화를 위한 터널링을 지원하는 프레임워크를 제공합니다. AWS와 같은 멀티테넌트 클라우드 공급자는 Geneve 프로토콜을 사용하여 투명한 로드 밸런싱을 수행할 수 있습니다.
-
패킷의 투명한 라우팅 수행 - GWLB와 vSRX 가상 방화벽 3.0은 Geneve 캡슐화를 사용하여 애플리케이션 트래픽을 서로 교환하며, GWLB는 이를 통해 원래 트래픽의 콘텐츠를 보존할 수 있습니다.
-
상태 확인—공급업체(예: AWS)는 Geneve 터널을 통해 상태 프로브를 수행하여 가상 머신(VM)의 상태를 확인할 수 있습니다.
Geneve 패킷 플로우 터널 검사를 위한 보안 정책 활성화
이 구성을 사용하여 Geneve 패킷 플로우 터널 검사를 위해 vSRX 가상 방화벽 3.0에서 보안 정책을 활성화합니다.
vSRX 가상 방화벽 3.0 인스턴스에 대한 Geneve 지원을 통해 vSRX3.0을 사용하여 다음을 수행할 수 있습니다.
-
캠퍼스, 데이터센터 및 퍼블릭 클라우드 환경의 엔드포인트와 그 공간을 연결합니다.
-
임베디드 보안으로 이러한 환경을 보호하십시오.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
-
vSRX 가상 방화벽 3.0
-
Junos OS 릴리스 23.1R1
시작하기 전에:
-
Geneve 프로토콜의 작동 방식을 이해해야 합니다.
개요
이 구성을 사용하여 다음을 수행할 수 있습니다.
-
Geneve 터널 캡슐화된 L3 패킷을 처리하기 위한 보안 정책을 활성화합니다.
-
VNI 및 벤더 TLV 속성을 기반으로 Geneve 트래픽에 대한 고유한 프로파일 생성-검사 프로파일과 연결된 정책은 처리할 Geneve 트래픽 유형과 내부 트래픽에 적용할 정책을 결정합니다.
-
내부 트래픽에 L4 및 L7 서비스를 적용하도록 vSRX 가상 방화벽 3.0에 대한 일반 보안 정책을 구성합니다.
구성(터널 엔드포인트로서의 vSRX 가상 방화벽 3.0)
- AWS GWLB 및 vSRX 가상 방화벽 3.0을 터널 엔드포인트로 사용하여 단순화된 Geneve 트래픽 플로우 토폴로지
- CLI 빠른 구성
- 절차
- 결과
- 터널 검사 프로파일 및 VNI 확인
- 터널 검사 프로파일 및 VNI 확인
AWS GWLB 및 vSRX 가상 방화벽 3.0을 터널 엔드포인트로 사용하여 단순화된 Geneve 트래픽 플로우 토폴로지
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
모든 호스트 트래픽을 허용하도록 신뢰 및 신뢰할 수 없는 영역을 정의합니다.
set security tunnel-inspection inspection-profile ti-vendor geneve g-rule policy-set ps-vendorset security tunnel-inspection inspection-profile ti-vendor geneve g-rule vni vni-vendorset security tunnel-inspection vni vni-vendor vni-id 0set security policies from-zone vtepc to-zone junos-host policy self match application junos-geneveset security policies from-zone vtepc to-zone junos-host policy self match source-address anyset security policies from-zone vtepc to-zone junos-host policy self match destination-address anyset security policies from-zone vtepc to-zone junos-host policy self then permit tunnel-inspection ti-vendorset security policies default-policy deny-allset security policies policy-set ps-vendor policy self match source-address anyset security policies policy-set ps-vendor policy self match destination-address anyset security policies policy-set ps-vendor policy self match application anyset security policies policy-set ps-vendor policy self then permitset interfaces ge-0/0/1 mtu 9000set interfaces ge-0/0/1 unit 0 family inet address anyset interfaces ge-0/0/1 unit 0 family inet6 address any
절차
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
vSRX 가상 방화벽 3.0에서 터널 검사를 위한 Geneve flow 지원을 구성하려면 다음을 수행합니다.
-
계층 아래의 모든 호스트 트래픽을 허용하도록 트러스트 및 언트러스트(untrust) [edit security zones] 영역을 정의합니다.
-
프로파일을
tunnel-inspection정의합니다.[edit security tunnel-inspection] user@host# set security tunnel-inspection inspection-profile ti-vendor geneve g-rule policy-set ps-vendor user@host# set security tunnel-inspection inspection-profile ti-vendor geneve g-rule vni vni-vendor user@host# set security tunnel-inspection vni vni-vendor vni-id 0
-
외부 패킷에 대한 외부 세션 정책을 정의하고 참조된 터널 검사 프로파일을 연결합니다
메모:정책 구성
to-zone에서 터널 엔드포인트로 vSRX 가상 방화벽 3.0의 외부 정책은 트래픽 처리를 위한 내장(예약된 식별자) 영역인 이어야 합니다junos-host.[edit security policies] user@host# set security policies from-zone vtepc to-zone junos-host policy self match source-address any user@host# set security policies from-zone vtepc to-zone junos-host policy self match destination-address any user@host# set security policies from-zone vtepc to-zone junos-host policy self match application junos-geneve user@host# set security policies from-zone vtepc to-zone junos-host policy self then permit tunnel-inspection ti-vendor user@host# set security policies default-policy deny-all
-
캡슐 해제된 패킷을 처리하기 위해 아래에
policy-set내부 정책을 정의합니다.[edit security policies] user@host# set security policies policy-set ps-vendor policy self match source-address any user@host# set security policies policy-set ps-vendor policy self match destination-address any user@host# set security policies policy-set ps-vendor policy self match application any user@host# set security policies policy-set ps-vendor policy self then permit
-
Geneve-encapsulated 패킷 및 상태 확인 패킷을 수신하도록 VTEPC(Virtual Tunnel Endpoint Client)와
from-zone연결된 인터페이스를 구성합니다.[edit] user@host# set interfaces ge-0/0/1 mtu 9000 user@host# set interfaces ge-0/0/1 unit 0 family inet address any user@host# set interfaces ge-0/0/1 unit 0 family inet6 address any
결과
구성 모드에서 명령을 입력하여 show security policies 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set ftp-test1;
}
}
}
}
}
policy internet-access {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy dst-nat-pool-access {
match {
source-address any;
destination-address 233.252.0.1/21;
application any;
}
then {
permit;
}
}
}
from-zone vtepc to-zone junos-host {
policy self {
match {
source-address any;
destination-address any;
application junos-geneve;
}
then {
permit {
tunnel-inspection {
ti-vendor;
}
}
}
}
}
policy-set ps-vendor {
policy self {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
deny-all;
}
user@host# show security tunnel-inspection
inspection-profile ti-vendor {
geneve g-rule {
policy-set ps-vendor;
vni vni-vendor;
}
}
vni v1 {
vni-id 0;
}
vni vni-vendor {
vni-id 0;
}
디바이스에서 기능 구성을 완료한 후 구성 모드에서 을(를) 입력합니다 commit .
터널 검사 프로파일 및 VNI 확인
목적
프로필과 VXLAN 네트워크 식별자(VNI)를 구성 tunnel-inspection 했는지 확인합니다.
행동
운영 모드에서 및 show security tunnel-inspection vnis 명령을 입력합니다show security tunnel-inspection profiles ti-vendor.
user@host> show security tunnel-inspection profiles ti-vendor
--------------------------------------------------------------------------
Logical system: root-logical-system
Profile count: 1
Profile: ti-vendor
Type: Geneve
geneve count: 1
geneve name: g-rule
VNI count: 1
VNI: vni-vendor
Policy set: ps-vendor
Inspection level: 1
user@host> show security tunnel-inspection vnis
--------------------------------------------------------------------------
Logical system: root-logical-system
VNI count: 1
VNI name: vni-vendor
VNI id count: 0
의미
출력은 Geneve 터널 검사 프로필이 활성화되고 VXLAN 네트워크 식별자(VNI)가 구성되었음을 보여줍니다.
터널 검사 프로파일 및 VNI 확인
목적
프로필과 VXLAN 네트워크 식별자(VNI)를 구성 tunnel-inspection 했는지 확인합니다.
행동
운영 모드에서 및 show security tunnel-inspection vnis 명령을 입력합니다show security tunnel-inspection profiles ti-vendor.
user@host> show security tunnel-inspection profiles ti-vendor
--------------------------------------------------------------------------
Logical system: root-logical-system
Profile count: 1
Profile: ti-vendor
Type: Geneve
geneve count: 1
geneve name: g-rule
VNI count: 1
VNI: vni-vendor
Policy set: ps-vendor
Inspection level: 1
user@host> show security tunnel-inspection vnis
--------------------------------------------------------------------------
Logical system: root-logical-system
VNI count: 1
VNI name: vni-vendor
VNI id count: 0
의미
출력은 Geneve 터널 검사 프로필이 활성화되고 VXLAN 네트워크 식별자(VNI)가 구성되었음을 보여줍니다.
구성(전송 라우터로서의 vSRX 가상 방화벽 3.0)
단순화된 Geneve 트래픽 플로우 토폴로지 전송 라우터로서의 vSRX 가상 방화벽 3.0
이 구축 모드에서 가상 터널 엔드포인트 클라이언트(vtepc)(Geneve 터널 엔드포인트)는 클라이언트와 서버 모두로 향하는 패킷이 가상 터널 엔드포인트 서버(vteps)(vSRX 가상 방화벽 3.0)를 통과하도록 해야 합니다. 소스 포트는 가상 터널 엔드포인트(vtep)에 의해 선택됩니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set security tunnel-inspection vni r1 vni-range 1 to 100set security tunnel-inspection vni r1 vni-id 500set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 vni r1set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 policy-set pset1set security tunnel-inspection vni r2 vni-range 200 to 400set security tunnel-inspection vni r2 vni-id 500set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 vni r2set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 policy-set pset2set security policies from-zone vtepc to-zone vteps policy p1 match application junos-geneveset security policies from-zone vtepc to-zone vteps policy p1 match source-address anyset security policies from-zone vtepc to-zone vteps policy p1 match destination-address anyset security policies from-zone vtepc to-zone vteps policy p1 then permit tunnel-inspection ti-vendorset security policies from-zone vteps to-zone vtepc policy p1 match application junos-geneveset security policies from-zone vteps to-zone vtepc policy p1 match source-address anyset security policies from-zone vteps to-zone vtepc policy p1 match destination-address anyset security policies from-zone vteps to-zone vtepc policy p1 then permit tunnel-inspection ti-vendorset security policies default-policy deny-allset security policies policy-set pset1 policy pset_p1 match source-address anyset security policies policy-set pset1 policy pset_p1 match destination-address anyset security policies policy-set pset1 policy pset_p1 match application anyset security policies policy-set pset1 policy pset_p1 then permitset interfaces ge-0/0/1 mtu 9000set interfaces ge-0/0/1 unit 0 family inet address anyset interfaces ge-0/0/1 unit 0 family inet6 address any
절차
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
vSRX 가상 방화벽 3.0(전송 라우터로서의 vSRX 가상 방화벽 3.0)에서 터널 검사를 위한 제네바 플로우 지원을 구성하려면 다음을 수행합니다.
-
계층 아래의 모든 호스트 트래픽을 허용하도록 트러스트 및 언트러스트(untrust) [edit security zones] 영역을 정의합니다.
-
프로파일을
tunnel-inspection정의합니다.[edit security tunnel-inspection] user@host# set security tunnel-inspection vni r1 vni-range 1 to 100 user@host# set security tunnel-inspection vni r1 vni-id 500 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 vni r1 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 policy-set pset1 user@host# set security tunnel-inspection vni r2 vni-range 200 to 400 user@host# set security tunnel-inspection vni r2 vni-id 500 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 vni r2 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 policy-set pset2
-
외부 세션 정책을 정의합니다.
메모:전송 라우터인 vSRX 가상 방화벽 3.0의 경우 각 방향에 두 개의 정책이 필요합니다. 과
to-zone(와)from-zone은(는) 인터페이스 아래에 정의되어야 하는 각각의 영역입니다.[edit security policies] user@host# set security policies from-zone vtepc to-zone vteps policy p1 match source-address any user@host# set security policies from-zone vtepc to-zone vteps policy p1 match destination-address any user@host# set security policies from-zone vtepc to-zone vteps policy p1 match application junos-geneve user@host# set security policies from-zone vtepc to-zone vteps policy p1 then permit tunnel-inspection ti-vendor user@host# set security policies from-zone vteps to-zone vtepc policy p1 match application junos-geneve user@host# set security policies from-zone vteps to-zone vtepc policy p1 match source-address any user@host# set security policies from-zone vteps to-zone vtepc policy p1 match destination-address any user@host# set security policies from-zone vteps to-zone vtepc policy p1 then permit tunnel-inspection ti-vendor user@host#set security policies default-policy deny-all
-
캡슐 해제된 패킷을 처리하기 위해 아래에
policy-set내부 정책을 정의합니다.[edit security policies] user@host# set security policies policy-set pset1 policy pset_p1 match source-address any user@host# set security policies policy-set pset1 policy pset_p1 match destination-address any user@host# set security policies policy-set pset1 policy pset_p1 match application any user@host# set security policies policy-set pset1 policy pset_p1 then permit
-
Geneve-encapsulated 패킷 및 상태 확인 패킷을 수신하도록 VTEPC(Virtual Tunnel Endpoint Client)와
from-zone연결된 인터페이스를 구성합니다.메모:전송 모드의 경우, vSRX 가상 방화벽 3.0은 수신 및 송신을 위한 2개의 L3 인터페이스로 구성되어야 합니다.
[edit] user@host# set interfaces ge-0/0/1 mtu 9000 user@host# set interfaces ge-0/0/1 unit 0 family inet address any user@host# set interfaces ge-0/0/1 unit 0 family inet6 address any
결과
구성 모드에서 명령을 입력하여 show security policies 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@host# show security policies
from-zone trust to-zone untrust {
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set ftp-test1;
}
}
}
}
}
}
from-zone vtepc to-zone vteps {
policy p1 {
match {
source-address any;
destination-address any;
application junos-geneve;
}
then {
permit {
tunnel-inspection {
ti-vendor;
}
}
}
}
}
from-zone vteps to-zone vtepc {
policy p1 {
match {
source-address any;
destination-address any;
application junos-geneve;
}
then {
permit {
tunnel-inspection {
ti-vendor;
}
}
}
}
}
policy-set pset1 {
policy pset_p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
deny-all;
}}
user@host# show security tunnel-inspection
inspection-profile ti-vendor {
geneve g-rule {
policy-set ps-vendor;
vni vni-vendor;
}
}
inspection-profile pro1;
vni r1 {
vni-id 500;
}
vni r2 {
vni-id 500;
}
}
디바이스에서 기능 구성을 완료한 후 구성 모드에서 을(를) 입력합니다 commit .