이 페이지의 내용
vSRX 가상 방화벽 3.0 기반 Geneve Flow 인프라
이 주제는 vSRX 가상 방화벽 3.0의 Geneve 플로우 인프라에 대한 개요와 구성을 제공합니다.
개요
Geneve(Generic Network Virtualization Encapsulation)는 IETF(Internet Engineering Task Force)에서 개발한 네트워크 캡슐화 프로토콜입니다.
Geneve 프로토콜은 데이터 센터 환경에 대한 네트워크 가상화 사용 사례를 지원합니다. 이러한 환경에서 Geneve 터널은 AWS(Amazon Web Services) 또는 VMware 배포와 같은 클라우드 배포에서 실행되는 VNF(가상 네트워크 기능)의 백플레인 역할을 합니다.
주니퍼 네트웍스® vSRX 가상 방화벽 가상 방화벽의 최신 버전인 vSRX 가상 방화벽 3.0은 Junos OS 릴리스 23.1R1부터 Geneve 터널 패킷 처리를 위한 Geneve 플로우 인프라를 지원합니다. 이러한 지원을 통해 vSRX 가상 방화벽 3.0을 사용하여 다음과 같은 이점을 얻을 수 있습니다.
Geneve 플로우 인프라 지원을 통해 vSRX 가상 방화벽 3.0은 다음과 같은 이점을 제공합니다.
-
다양한 클라우드 구축에서 전송 라우터 또는 터널 엔드포인트 디바이스의 기능을 수행합니다.
예를 들어, 투명한 로드 밸런싱 및 패킷 라우팅을 위해 Geneve 프로토콜 캡슐화를 사용하는 AWS Gateway Load Balancer(GWLB) 서비스를 통해 vSRX Virtual Firewall 3.0을 구축할 수 있습니다.
-
수신된 Geneve 터널 패킷을 캡슐화 및 캡슐화 해제합니다.
-
내부 트래픽에 레이어 4(L4) 및 레이어 7(L7) 서비스를 적용합니다.
모든 클라우드 구축의 터널 엔드포인트인 vSRX Virtual Firewall 3.0은 L3(Layer 3) 인터페이스에서 Geneve 패킷을 수신하고 검사 후 패킷을 동일한 대상 엔드포인트로 전달합니다.
다음을 결정하는 검사 프로필과 함께 정책을 연결해야 합니다.
-
vSRX 가상 방화벽 3.0이 처리하는 제네바 트래픽 유형입니다.
-
vSRX 가상 방화벽 3.0이 내부 트래픽에 적용하는 정책.
vSRX 가상 방화벽 3.0에서 일반 보안 정책을 구성하여 내부 트래픽에 L4 및 L7 서비스를 적용할 수 있습니다.
변경 없이 L3 캡슐화된 트래픽을 수신한 후 vSRX 가상 방화벽 3.0은 다음을 수행합니다.
- 수신된 Geneve 터널 패킷의 캡슐화를 해제합니다.
- 터널 헤더를 분석합니다.
- 내부 IP 패킷에 대해 L4 및 L7 검사를 수행합니다.
- 트래픽을 캡슐화합니다.
- 트래픽을 대상 터널 엔드포인트로 전달합니다.
Geneve Flow 인프라 지원의 이점
-
데이터 캡슐화 - 네트워크 가상화를 위한 터널링을 지원하는 프레임워크를 제공합니다.
-
멀티테넌트 지원 - 네트워크 가상화를 위한 터널링을 지원하는 프레임워크를 제공합니다. AWS와 같은 멀티테넌트 클라우드 공급자는 Geneve 프로토콜을 사용하여 투명한 로드 밸런싱을 수행할 수 있습니다.
-
패킷의 투명한 라우팅 수행—GWLB와 vSRX Virtual Firewall 3.0은 Geneve 캡슐화를 사용하여 애플리케이션 트래픽을 서로 교환하며, 이를 통해 GWLB는 원래 트래픽의 콘텐츠를 보존할 수 있습니다.
-
상태 확인 - 공급업체(예: AWS)는 Geneve 터널을 통해 상태 프로브를 수행하여 VM(가상 머신)의 상태를 확인할 수 있습니다.
Geneve 패킷 플로우 터널 검사를 위한 보안 정책 활성화
요약 이 구성을 사용하여 Geneve 패킷 플로우 터널 검사를 위해 vSRX 가상 방화벽 3.0에서 보안 정책을 활성화합니다.
vSRX Virtual Firewall 3.0 인스턴스에 대한 Geneve 지원을 통해 vSRX3.0을 사용하여 다음과 같은 이점을 얻을 수 있습니다.
-
캠퍼스, 데이터센터, 퍼블릭 클라우드 환경 및 해당 밴치의 엔드포인트를 연결합니다.
-
내장된 보안으로 이러한 환경을 보호하십시오.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
-
vSRX 가상 방화벽 3.0
-
Junos OS 릴리스 23.1R1
시작하기 전에:
-
Geneve 프로토콜이 어떻게 작동하는지 이해해야 합니다.
개요
이 구성을 사용하여 다음을 수행할 수 있습니다.
-
Geneve 터널 캡슐화된 L3 패킷을 처리하도록 보안 정책을 활성화합니다.
-
VNI 및 벤더 TLV 속성을 기반으로 Geneve 트래픽에 대한 고유한 프로필을 생성합니다.-검사 프로필과 연결된 정책은 처리할 Geneve 트래픽 유형과 내부 트래픽에 적용할 정책을 지정합니다.
-
vSRX 가상 방화벽 3.0에서 일반 보안 정책을 구성하여 내부 트래픽에 L4 및 L7 서비스를 적용합니다.
구성(터널 엔드포인트로서의 vSRX 가상 방화벽 3.0)
- AWS GWLB 및 vSRX Virtual Firewall 3.0을 터널 엔드포인트로 사용하여 간소화된 Geneve 트래픽 플로우 토폴로지
- CLI 빠른 구성
- 절차
- 결과
- 터널 검사 프로파일 및 VNI 확인
- 터널 검사 프로파일 및 VNI 확인
AWS GWLB 및 vSRX Virtual Firewall 3.0을 터널 엔드포인트로 사용하여 간소화된 Geneve 트래픽 플로우 토폴로지
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit]
복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit
.
모든 호스트 트래픽을 허용하도록 트러스트 및 언트러스트 영역을 정의합니다.
set security tunnel-inspection inspection-profile ti-vendor geneve g-rule policy-set ps-vendor
set security tunnel-inspection inspection-profile ti-vendor geneve g-rule vni vni-vendor
set security tunnel-inspection vni vni-vendor vni-id 0
set security policies from-zone vtepc to-zone junos-host policy self match application junos-geneve
set security policies from-zone vtepc to-zone junos-host policy self match source-address any
set security policies from-zone vtepc to-zone junos-host policy self match destination-address any
set security policies from-zone vtepc to-zone junos-host policy self then permit tunnel-inspection ti-vendor
set security policies default-policy deny-all
set security policies policy-set ps-vendor policy self match source-address any
set security policies policy-set ps-vendor policy self match destination-address any
set security policies policy-set ps-vendor policy self match application any
set security policies policy-set ps-vendor policy self then permit
set interfaces ge-0/0/1 mtu 9000
set interfaces ge-0/0/1 unit 0 family inet address any
set interfaces ge-0/0/1 unit 0 family inet6 address any
절차
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
vSRX 가상 방화벽 3.0에서 터널 검사를 위한 Geneve 플로우 지원을 구성하려면 다음을 수행합니다.
-
신뢰 및 언트러스트 영역을 정의하여 계층 아래의 [edit security zones] 모든 호스트 트래픽을 허용합니다.
-
프로필을 정의합니다
tunnel-inspection
.[edit security tunnel-inspection] user@host# set security tunnel-inspection inspection-profile ti-vendor geneve g-rule policy-set ps-vendor user@host# set security tunnel-inspection inspection-profile ti-vendor geneve g-rule vni vni-vendor user@host# set security tunnel-inspection vni vni-vendor vni-id 0
-
외부 패킷에 외부 세션 정책을 정의하고 참조된 터널 검사 프로필을 연결합니다
참고:정책 구성에서 터널 엔드포인트로 vSRX 가상 방화벽 3.0의 경우 외부 정책에 대한 은
to-zone
트래픽을 처리하기 위한 내장(예약 식별자) 영역이어야 합니다junos-host
.[edit security policies] user@host# set security policies from-zone vtepc to-zone junos-host policy self match source-address any user@host# set security policies from-zone vtepc to-zone junos-host policy self match destination-address any user@host# set security policies from-zone vtepc to-zone junos-host policy self match application junos-geneve user@host# set security policies from-zone vtepc to-zone junos-host policy self then permit tunnel-inspection ti-vendor user@host# set security policies default-policy deny-all
-
캡슐화 해제된 패킷을 처리하기 위해 내부
policy-set
정책을 정의합니다.[edit security policies] user@host# set security policies policy-set ps-vendor policy self match source-address any user@host# set security policies policy-set ps-vendor policy self match destination-address any user@host# set security policies policy-set ps-vendor policy self match application any user@host# set security policies policy-set ps-vendor policy self then permit
-
가상 터널 엔드포인트 클라이언트(VTEPC)와 연결된
from-zone
인터페이스를 구성하여 Geneve 캡슐화 패킷 및 상태 점검 패킷을 수신합니다.[edit] user@host# set interfaces ge-0/0/1 mtu 9000 user@host# set interfaces ge-0/0/1 unit 0 family inet address any user@host# set interfaces ge-0/0/1 unit 0 family inet6 address any
결과
구성 모드에서 명령을 입력하여 show security policies
구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@host# show security policies
from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit { application-services { application-traffic-control { rule-set ftp-test1; } } } } } policy internet-access { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy dst-nat-pool-access { match { source-address any; destination-address 233.252.0.1/21; application any; } then { permit; } } } from-zone vtepc to-zone junos-host { policy self { match { source-address any; destination-address any; application junos-geneve; } then { permit { tunnel-inspection { ti-vendor; } } } } } policy-set ps-vendor { policy self { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { deny-all; }
user@host# show security tunnel-inspection
inspection-profile ti-vendor { geneve g-rule { policy-set ps-vendor; vni vni-vendor; } } vni v1 { vni-id 0; } vni vni-vendor { vni-id 0; }
디바이스에서 기능 구성을 완료한 후 구성 모드에서 을(를) 입력합니다 commit
.
터널 검사 프로파일 및 VNI 확인
목적
프로필과 VXLAN 네트워크 식별자(VNI)를 tunnel-inspection
구성했는지 확인합니다.
작업
운영 모드에서 및 show security tunnel-inspection vnis
명령을 입력합니다show security tunnel-inspection profiles ti-vendor
.
user@host> show security tunnel-inspection profiles ti-vendor -------------------------------------------------------------------------- Logical system: root-logical-system Profile count: 1 Profile: ti-vendor Type: Geneve geneve count: 1 geneve name: g-rule VNI count: 1 VNI: vni-vendor Policy set: ps-vendor Inspection level: 1
user@host> show security tunnel-inspection vnis -------------------------------------------------------------------------- Logical system: root-logical-system VNI count: 1 VNI name: vni-vendor VNI id count: 0
의미
출력은 Geneve 터널 검사 프로필이 활성화되고 VXLAN 네트워크 식별자(VNI)가 구성되었음을 표시합니다.
터널 검사 프로파일 및 VNI 확인
목적
프로필과 VXLAN 네트워크 식별자(VNI)를 tunnel-inspection
구성했는지 확인합니다.
작업
운영 모드에서 및 show security tunnel-inspection vnis
명령을 입력합니다show security tunnel-inspection profiles ti-vendor
.
user@host> show security tunnel-inspection profiles ti-vendor -------------------------------------------------------------------------- Logical system: root-logical-system Profile count: 1 Profile: ti-vendor Type: Geneve geneve count: 1 geneve name: g-rule VNI count: 1 VNI: vni-vendor Policy set: ps-vendor Inspection level: 1
user@host> show security tunnel-inspection vnis -------------------------------------------------------------------------- Logical system: root-logical-system VNI count: 1 VNI name: vni-vendor VNI id count: 0
의미
출력은 Geneve 터널 검사 프로필이 활성화되고 VXLAN 네트워크 식별자(VNI)가 구성되었음을 표시합니다.
구성(전송 라우터로서의 vSRX 가상 방화벽 3.0)
간소화된 Geneve 트래픽 플로우 토폴로지 전송 라우터로서의 vSRX 가상 방화벽 3.0
이 구축 모드에서 가상 터널 엔드포인트 클라이언트(vtepc)(Geneve 터널 엔드포인트)는 클라이언트와 서버 모두로 향하는 패킷이 가상 터널 엔드포인트 서버(vteps)(vSRX 가상 방화벽 3.0)를 통과하도록 해야 합니다. 소스 포트는 가상 터널 엔드포인트(vtep)에 의해 선택됩니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 CLI로 [edit]
복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit
.
set security tunnel-inspection vni r1 vni-range 1 to 100
set security tunnel-inspection vni r1 vni-id 500
set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 vni r1
set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 policy-set pset1
set security tunnel-inspection vni r2 vni-range 200 to 400
set security tunnel-inspection vni r2 vni-id 500
set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 vni r2
set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 policy-set pset2
set security policies from-zone vtepc to-zone vteps policy p1 match application junos-geneve
set security policies from-zone vtepc to-zone vteps policy p1 match source-address any
set security policies from-zone vtepc to-zone vteps policy p1 match destination-address any
set security policies from-zone vtepc to-zone vteps policy p1 then permit tunnel-inspection ti-vendor
set security policies from-zone vteps to-zone vtepc policy p1 match application junos-geneve
set security policies from-zone vteps to-zone vtepc policy p1 match source-address any
set security policies from-zone vteps to-zone vtepc policy p1 match destination-address any
set security policies from-zone vteps to-zone vtepc policy p1 then permit tunnel-inspection ti-vendor
set security policies default-policy deny-all
set security policies policy-set pset1 policy pset_p1 match source-address any
set security policies policy-set pset1 policy pset_p1 match destination-address any
set security policies policy-set pset1 policy pset_p1 match application any
set security policies policy-set pset1 policy pset_p1 then permit
set interfaces ge-0/0/1 mtu 9000
set interfaces ge-0/0/1 unit 0 family inet address any
set interfaces ge-0/0/1 unit 0 family inet6 address any
절차
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
vSRX 가상 방화벽 3.0(전송 라우터로서의 vSRX 가상 방화벽 3.0)에서 터널 검사를 위한 Geneve 흐름 지원을 구성하려면:
-
신뢰 및 언트러스트 영역을 정의하여 계층 아래의 [edit security zones] 모든 호스트 트래픽을 허용합니다.
-
프로필을 정의합니다
tunnel-inspection
.[edit security tunnel-inspection] user@host# set security tunnel-inspection vni r1 vni-range 1 to 100 user@host# set security tunnel-inspection vni r1 vni-id 500 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 vni r1 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve1 policy-set pset1 user@host# set security tunnel-inspection vni r2 vni-range 200 to 400 user@host# set security tunnel-inspection vni r2 vni-id 500 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 vni r2 user@host# set security tunnel-inspection profile inspection-profile ti-vendor geneve geneve2 policy-set pset2
-
외부 세션 정책을 정의합니다.
참고:전송 라우터인 vSRX Virtual Firewall 3.0의 경우 각 방향에 두 개의 정책이 필요합니다. 및
to-zone
은(는from-zone
) 인터페이스에서 정의해야 하는 각 영역입니다.[edit security policies] user@host# set security policies from-zone vtepc to-zone vteps policy p1 match source-address any user@host# set security policies from-zone vtepc to-zone vteps policy p1 match destination-address any user@host# set security policies from-zone vtepc to-zone vteps policy p1 match application junos-geneve user@host# set security policies from-zone vtepc to-zone vteps policy p1 then permit tunnel-inspection ti-vendor user@host# set security policies from-zone vteps to-zone vtepc policy p1 match application junos-geneve user@host# set security policies from-zone vteps to-zone vtepc policy p1 match source-address any user@host# set security policies from-zone vteps to-zone vtepc policy p1 match destination-address any user@host# set security policies from-zone vteps to-zone vtepc policy p1 then permit tunnel-inspection ti-vendor user@host#set security policies default-policy deny-all
-
캡슐화 해제된 패킷을 처리하기 위해 내부
policy-set
정책을 정의합니다.[edit security policies] user@host# set security policies policy-set pset1 policy pset_p1 match source-address any user@host# set security policies policy-set pset1 policy pset_p1 match destination-address any user@host# set security policies policy-set pset1 policy pset_p1 match application any user@host# set security policies policy-set pset1 policy pset_p1 then permit
-
가상 터널 엔드포인트 클라이언트(VTEPC)와 연결된
from-zone
인터페이스를 구성하여 Geneve 캡슐화 패킷 및 상태 점검 패킷을 수신합니다.참고:전송 모드의 경우 수신 및 송신을 위해 vSRX 가상 방화벽 3.0을 2개의 L3 인터페이스로 구성해야 합니다.
[edit] user@host# set interfaces ge-0/0/1 mtu 9000 user@host# set interfaces ge-0/0/1 unit 0 family inet address any user@host# set interfaces ge-0/0/1 unit 0 family inet6 address any
결과
구성 모드에서 명령을 입력하여 show security policies
구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@host# show security policies
from-zone trust to-zone untrust { policy p1 { match { source-address any; destination-address any; application any; } then { permit { application-services { application-traffic-control { rule-set ftp-test1; } } } } } } from-zone vtepc to-zone vteps { policy p1 { match { source-address any; destination-address any; application junos-geneve; } then { permit { tunnel-inspection { ti-vendor; } } } } } from-zone vteps to-zone vtepc { policy p1 { match { source-address any; destination-address any; application junos-geneve; } then { permit { tunnel-inspection { ti-vendor; } } } } } policy-set pset1 { policy pset_p1 { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { deny-all; }}
user@host# show security tunnel-inspection
inspection-profile ti-vendor { geneve g-rule { policy-set ps-vendor; vni vni-vendor; } } inspection-profile pro1; vni r1 { vni-id 500; } vni r2 { vni-id 500; } }
디바이스에서 기능 구성을 완료한 후 구성 모드에서 을(를) 입력합니다 commit
.