Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

vSRX 가상 방화벽 3.0 기반 Geneve Flow 인프라

이 주제는 vSRX 가상 방화벽 3.0의 Geneve 플로우 인프라에 대한 개요와 구성을 제공합니다.

개요

Geneve(Generic Network Virtualization Encapsulation)는 IETF(Internet Engineering Task Force)에서 개발한 네트워크 캡슐화 프로토콜입니다.

Geneve 프로토콜은 데이터 센터 환경에 대한 네트워크 가상화 사용 사례를 지원합니다. 이러한 환경에서 Geneve 터널은 AWS(Amazon Web Services) 또는 VMware 배포와 같은 클라우드 배포에서 실행되는 VNF(가상 네트워크 기능)의 백플레인 역할을 합니다.

주니퍼 네트웍스® vSRX 가상 방화벽 가상 방화벽의 최신 버전인 vSRX 가상 방화벽 3.0은 Junos OS 릴리스 23.1R1부터 Geneve 터널 패킷 처리를 위한 Geneve 플로우 인프라를 지원합니다. 이러한 지원을 통해 vSRX 가상 방화벽 3.0을 사용하여 다음과 같은 이점을 얻을 수 있습니다.

Geneve 플로우 인프라 지원을 통해 vSRX 가상 방화벽 3.0은 다음과 같은 이점을 제공합니다.

  • 다양한 클라우드 구축에서 전송 라우터 또는 터널 엔드포인트 디바이스의 기능을 수행합니다.

    예를 들어, 투명한 로드 밸런싱 및 패킷 라우팅을 위해 Geneve 프로토콜 캡슐화를 사용하는 AWS Gateway Load Balancer(GWLB) 서비스를 통해 vSRX Virtual Firewall 3.0을 구축할 수 있습니다.

  • 수신된 Geneve 터널 패킷을 캡슐화 및 캡슐화 해제합니다.

  • 내부 트래픽에 레이어 4(L4) 및 레이어 7(L7) 서비스를 적용합니다.

모든 클라우드 구축의 터널 엔드포인트인 vSRX Virtual Firewall 3.0은 L3(Layer 3) 인터페이스에서 Geneve 패킷을 수신하고 검사 후 패킷을 동일한 대상 엔드포인트로 전달합니다.

다음을 결정하는 검사 프로필과 함께 정책을 연결해야 합니다.

  • vSRX 가상 방화벽 3.0이 처리하는 제네바 트래픽 유형입니다.

  • vSRX 가상 방화벽 3.0이 내부 트래픽에 적용하는 정책.

Geneve 트래픽을 가로챌 수 있는 보안 정책을 구성할 수 있습니다. 정책은 처리할 Geneve 트래픽 유형과 내부 트래픽에 적용할 정책을 지시하는 검사 프로필과 함께 연결되어야 합니다.

vSRX 가상 방화벽 3.0에서 일반 보안 정책을 구성하여 내부 트래픽에 L4 및 L7 서비스를 적용할 수 있습니다.

변경 없이 L3 캡슐화된 트래픽을 수신한 후 vSRX 가상 방화벽 3.0은 다음을 수행합니다.

  1. 수신된 Geneve 터널 패킷의 캡슐화를 해제합니다.
  2. 터널 헤더를 분석합니다.
  3. 내부 IP 패킷에 대해 L4 및 L7 검사를 수행합니다.
  4. 트래픽을 캡슐화합니다.
  5. 트래픽을 대상 터널 엔드포인트로 전달합니다.

Geneve Flow 인프라 지원의 이점

  • 데이터 캡슐화 - 네트워크 가상화를 위한 터널링을 지원하는 프레임워크를 제공합니다.

  • 멀티테넌트 지원 - 네트워크 가상화를 위한 터널링을 지원하는 프레임워크를 제공합니다. AWS와 같은 멀티테넌트 클라우드 공급자는 Geneve 프로토콜을 사용하여 투명한 로드 밸런싱을 수행할 수 있습니다.

  • 패킷의 투명한 라우팅 수행—GWLB와 vSRX Virtual Firewall 3.0은 Geneve 캡슐화를 사용하여 애플리케이션 트래픽을 서로 교환하며, 이를 통해 GWLB는 원래 트래픽의 콘텐츠를 보존할 수 있습니다.

  • 상태 확인 - 공급업체(예: AWS)는 Geneve 터널을 통해 상태 프로브를 수행하여 VM(가상 머신)의 상태를 확인할 수 있습니다.

Geneve 패킷 플로우 터널 검사를 위한 보안 정책 활성화

요약 이 구성을 사용하여 Geneve 패킷 플로우 터널 검사를 위해 vSRX 가상 방화벽 3.0에서 보안 정책을 활성화합니다.

vSRX Virtual Firewall 3.0 인스턴스에 대한 Geneve 지원을 통해 vSRX3.0을 사용하여 다음과 같은 이점을 얻을 수 있습니다.

  • 캠퍼스, 데이터센터, 퍼블릭 클라우드 환경 및 해당 밴치의 엔드포인트를 연결합니다.

  • 내장된 보안으로 이러한 환경을 보호하십시오.

요구 사항

이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.

  • vSRX 가상 방화벽 3.0

  • Junos OS 릴리스 23.1R1

시작하기 전에:

  • Geneve 프로토콜이 어떻게 작동하는지 이해해야 합니다.

개요

vSRX 가상 방화벽 3.0 인스턴스에 대한 Geneve flow 지원은 대기업에 캠퍼스 및 데이터센터 네트워크를 관리할 수 있는 공통 프레임워크를 제공합니다. Geneve 기반 아키텍처는 확장성, 단순성 및 민첩성을 보장하여 효율적인 레이어 3(L3) 및 레이어 4(L4) 네트워크 연결을 지원합니다.

이 구성을 사용하여 다음을 수행할 수 있습니다.

  • Geneve 터널 캡슐화된 L3 패킷을 처리하도록 보안 정책을 활성화합니다.

  • VNI 및 벤더 TLV 속성을 기반으로 Geneve 트래픽에 대한 고유한 프로필을 생성합니다.-검사 프로필과 연결된 정책은 처리할 Geneve 트래픽 유형과 내부 트래픽에 적용할 정책을 지정합니다.

  • vSRX 가상 방화벽 3.0에서 일반 보안 정책을 구성하여 내부 트래픽에 L4 및 L7 서비스를 적용합니다.

구성(터널 엔드포인트로서의 vSRX 가상 방화벽 3.0)

AWS GWLB 및 vSRX Virtual Firewall 3.0을 터널 엔드포인트로 사용하여 간소화된 Geneve 트래픽 플로우 토폴로지

그림 1: 터널 엔드포인트로서의 AWS GWLB 및 vSRX 가상 방화벽 3.0 AWS GWLB and vSRX Virtual Firewall 3.0 as Tunnel End-point

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

참고:

모든 호스트 트래픽을 허용하도록 트러스트 및 언트러스트 영역을 정의합니다.

절차

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

vSRX 가상 방화벽 3.0에서 터널 검사를 위한 Geneve 플로우 지원을 구성하려면 다음을 수행합니다.

  1. 신뢰 및 언트러스트 영역을 정의하여 계층 아래의 [edit security zones] 모든 호스트 트래픽을 허용합니다.

  2. 프로필을 정의합니다 tunnel-inspection .

  3. 외부 패킷에 외부 세션 정책을 정의하고 참조된 터널 검사 프로필을 연결합니다

    참고:

    정책 구성에서 터널 엔드포인트로 vSRX 가상 방화벽 3.0의 경우 외부 정책에 대한 은 to-zone 트래픽을 처리하기 위한 내장(예약 식별자) 영역이어야 합니다 junos-host.

  4. 캡슐화 해제된 패킷을 처리하기 위해 내부 policy-set 정책을 정의합니다.

  5. 가상 터널 엔드포인트 클라이언트(VTEPC)와 연결된 from-zone 인터페이스를 구성하여 Geneve 캡슐화 패킷 및 상태 점검 패킷을 수신합니다.

결과

구성 모드에서 명령을 입력하여 show security policies 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스에서 기능 구성을 완료한 후 구성 모드에서 을(를) 입력합니다 commit .

터널 검사 프로파일 및 VNI 확인

목적

프로필과 VXLAN 네트워크 식별자(VNI)를 tunnel-inspection 구성했는지 확인합니다.

작업

운영 모드에서 및 show security tunnel-inspection vnis 명령을 입력합니다show security tunnel-inspection profiles ti-vendor.

의미

출력은 Geneve 터널 검사 프로필이 활성화되고 VXLAN 네트워크 식별자(VNI)가 구성되었음을 표시합니다.

터널 검사 프로파일 및 VNI 확인

목적

프로필과 VXLAN 네트워크 식별자(VNI)를 tunnel-inspection 구성했는지 확인합니다.

작업

운영 모드에서 및 show security tunnel-inspection vnis 명령을 입력합니다show security tunnel-inspection profiles ti-vendor.

의미

출력은 Geneve 터널 검사 프로필이 활성화되고 VXLAN 네트워크 식별자(VNI)가 구성되었음을 표시합니다.

구성(전송 라우터로서의 vSRX 가상 방화벽 3.0)

간소화된 Geneve 트래픽 플로우 토폴로지 전송 라우터로서의 vSRX 가상 방화벽 3.0

이 구축 모드에서 가상 터널 엔드포인트 클라이언트(vtepc)(Geneve 터널 엔드포인트)는 클라이언트와 서버 모두로 향하는 패킷이 가상 터널 엔드포인트 서버(vteps)(vSRX 가상 방화벽 3.0)를 통과하도록 해야 합니다. 소스 포트는 가상 터널 엔드포인트(vtep)에 의해 선택됩니다.

그림 2: 전송 라우터로서의 vSRX 가상 방화벽 3.0의 간소화된 토폴로지 Simplified Topology of vSRX Virtual Firewall 3.0 as Transit Router

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

절차

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

vSRX 가상 방화벽 3.0(전송 라우터로서의 vSRX 가상 방화벽 3.0)에서 터널 검사를 위한 Geneve 흐름 지원을 구성하려면:

  1. 신뢰 및 언트러스트 영역을 정의하여 계층 아래의 [edit security zones] 모든 호스트 트래픽을 허용합니다.

  2. 프로필을 정의합니다 tunnel-inspection .

  3. 외부 세션 정책을 정의합니다.

    참고:

    전송 라우터인 vSRX Virtual Firewall 3.0의 경우 각 방향에 두 개의 정책이 필요합니다. 및 to-zone 은(는from-zone) 인터페이스에서 정의해야 하는 각 영역입니다.

  4. 캡슐화 해제된 패킷을 처리하기 위해 내부 policy-set 정책을 정의합니다.

  5. 가상 터널 엔드포인트 클라이언트(VTEPC)와 연결된 from-zone 인터페이스를 구성하여 Geneve 캡슐화 패킷 및 상태 점검 패킷을 수신합니다.

    참고:

    전송 모드의 경우 수신 및 송신을 위해 vSRX 가상 방화벽 3.0을 2개의 L3 인터페이스로 구성해야 합니다.

결과

구성 모드에서 명령을 입력하여 show security policies 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스에서 기능 구성을 완료한 후 구성 모드에서 을(를) 입력합니다 commit .