Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Inspección de túnel para EVPN-VXLAN mediante dispositivos de la serie SRX

RESUMEN Lea este tema para saber cómo configurar el dispositivo de seguridad para realizar una inspección de túnel para que EVPN-VXLAN proporcione seguridad integrada.

Visión general

(VPN Ethernet) EVPN-(Virtual Extensible LAN) VXLAN proporciona a las empresas un marco común que se utiliza para administrar sus redes de campus y centros de datos.

El rápido aumento del uso de dispositivos móviles y de IoT agrega una gran cantidad de puntos finales a una red. Las redes empresariales modernas deben escalar rápidamente para proporcionar acceso inmediato a los dispositivos y ampliar la seguridad y el control de estos puntos de conexión.

Para proporcionar flexibilidad al punto de conexión, EVPN-VXLAN desvincula la red subyacente (topología física) de la red superpuesta (topología virtual). Mediante el uso de superposiciones, obtiene la flexibilidad de proporcionar conectividad de capa 2/capa 3 entre puntos de conexión en campus y centros de datos, a la vez que mantiene una arquitectura subyacente coherente.

Puede usar los firewalls de la serie SRX en su solución EVPN-VXLAN para conectar puntos finales en su campus, centro de datos, sucursales y entornos de nube pública, a la vez que proporciona seguridad integrada.

A partir de Junos OS versión 21.1R1, el firewall de la serie SRX también puede aplicar los siguientes servicios de seguridad de capa 4/capa 7 al tráfico de túnel EVPN-VXLAN:

  • Identificación de la aplicación

  • IDP

  • ATP de Juniper (anteriormente conocido como ATP Cloud)

  • Seguridad de contenido

La figura 1 muestra un escenario típico de despliegue de estructura EVPN-VXLAN basada en puentes enrutados en el borde (ERB) con firewalls de la serie SRX que funcionan en un rol de hoja de borde mejorada (EBL). EBL mejora el papel tradicional de una hoja de borde con la capacidad de realizar inspecciones de tráfico en túneles VXLAN.

Figura 1: Arquitectura EVPN-VXLAN con dispositivo EVPN-VXLAN Architecture with SRX Series Device serie SRX

En la figura, el tráfico VXLAN que se origina en el dispositivo leaf 1 atraviesa los firewalls de la serie SRX que funcionan como EBL. En este caso de uso, el firewall de la serie SRX se coloca en el borde, es decir, en el punto de entrada y salida del campus o centro de datos, para proporcionar una inspección de estado a los paquetes encapsulados de VXLAN que lo atraviesan.

En el diagrama de arquitectura, puede observar que se coloca un firewall de la serie SRX entre dos dispositivos VTEP (dispositivos que realizan encapsulación y desencapsulación VXLAN para el tráfico de red). El firewall de la serie SRX realiza una inspección de estado cuando se habilita la función de inspección de túnel con una política de seguridad adecuada.

Ventajas

Agregar el firewall de la serie SRX en EVPN VXLAN proporciona:

  • Seguridad añadida con las capacidades de un firewall de nivel empresarial en la superposición EVPN-VXLAN.
  • Inspección de túnel mejorada para tráfico encapsulado de VXLAN con servicios de seguridad de capa 4/capa 7.

Ejemplo: configurar políticas de seguridad para la inspección de túnel EVPN-VXLAN

Utilice este ejemplo para configurar las políticas de seguridad que permiten la inspección del tráfico de túnel EVPN EVPN-VXLAN en los firewalls de la serie SRX.

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Un firewall serie SRX o un firewall virtual vSRX
  • Junos OS versión 20.4R1

En este ejemplo se supone que ya tiene una red basada en EVPN-VXLAN y desea habilitar la inspección de túnel en el firewall de la serie SRX.

Antes de empezar

  • Asegúrese de tener una licencia válida de función de identificación de aplicaciones en el firewall de la serie SRX y el paquete de firmas de aplicaciones instalado en el dispositivo.
  • Asegúrese de entender cómo funcionan EVPN y VXLAN. Consulte Arquitecturas de campus de EVPN-VXLAN para obtener detalles sobre la comprensión de EVPN-VXLAN
  • En este ejemplo se supone que ya tiene una estructura de red basada en EVPN-VXLAN y desea habilitar la inspección de túnel en el firewall de la serie SRX. Puede ver la configuración de ejemplo de dispositivos de hoja y spine utilizada en este ejemplo en Configuraciones completas de dispositivos.

En este ejemplo, nos centramos en configurar el firewall de la serie SRX, que forma parte de una red EVPN-VXLAN en funcionamiento y que consta de dos ubicaciones de DC, cada una con una estructura IP. El firewall de la serie SRX se coloca en una función de interconexión del centro de datos (DCI) entre los dos centros de dominio. En esta configuración, el firewall de la serie SRX realiza una inspección de estado del tráfico encapsulado de VXLAN que fluye entre los centros de distribución cuando se habilita la inspección de túnel.

Estamos usando la topología que se muestra en la figura 2 en este ejemplo.

Visión general

Figura 2: Topología para la inspección de Topology for VXLAN Tunnel Inspection túneles VXLAN

Como se indica en la topología, el firewall de la serie SRX inspecciona el tráfico encapsulado de VLAN de tránsito desde el punto de conexión del túnel VXLAN (VTEP) en las hojas de los centros de datos DC-1 y DC-2. Cualquier dispositivo de Juniper Networks, tanto físico como virtual, que funcione como puerta de enlace VXLAN de capa 2 o capa 3 puede actuar como dispositivo VTEP para realizar la encapsulación y la desencapsulación.

Al recibir un paquete de datos de capa 2 o capa 3 del servidor 1, el VTEP de hoja 1 agrega el encabezado VXLAN apropiado y, a continuación, encapsula el paquete con un encabezado externo IPv4 para facilitar la tunelización del paquete a través de la red subyacente IPv4. A continuación, el VTEP remoto en la hoja 2 desencapsula el tráfico y reenvía el paquete original hacia el host de destino. Con la versión de software 20.4 de Junos, los firewalls de la serie SRX pueden realizar inspecciones de túnel para el tráfico de superposición encapsulado VXLAN que pasa a través de él.

En este ejemplo, creará una política de seguridad para habilitar la inspección del tráfico encapsulado en un túnel VXLAN. Estamos usando los parámetros descritos en la Tabla 1 en este ejemplo.

Tabla 1: Parámetros de configuración
Descripción del parámetro Nombre del parámetro
Política de seguridad Política para crear una sesión de flujo desencadenada por el tráfico superpuesto de VXLAN. Esta política hace referencia a la dirección IP externa de origen y destino. Es decir, las direcciones IP de los VTEP de origen y destino. En este ejemplo, esta es la dirección de bucle invertido de las hojas. P1
Conjunto de políticas Política para la inspección del tráfico interior. Esta política funciona sobre el contenido del tráfico de túnel VXLAN coincidente. PSET-1
Perfil de inspección de túneles Especifica parámetros para la inspección de seguridad en túneles VXLAN. TP-1
Nombre de una lista o intervalo de identificadores de red VXLAN (VNI) Se utiliza para identificar de forma exclusiva una lista o un rango de ID de túnel VXLAN. VLAN-100
Nombre del identificador de túnel VXLAN. Se utiliza para nombrar simbólicamente un túnel VXLAN en un perfil de inspección de túnel. VNI-1100

Cuando se configuran directivas de seguridad de inspección de túnel en el firewall de la serie SRX, se desencapsula el paquete para acceder al encabezado interno cuando un paquete coincide con una política de seguridad. A continuación, aplica el perfil de inspección del túnel para determinar si el tráfico interno está permitido. El dispositivo de seguridad utiliza el contenido del paquete interno y los parámetros del perfil de inspección del túnel aplicado para realizar una búsqueda de políticas y, a continuación, realizar una inspección de estado de la sesión interna.

Configuración

En este ejemplo, configurará la siguiente funcionalidad en el firewall de la serie SRX:

  1. Defina una zona de confianza y no confianza para permitir todo el tráfico del host. Esto admite la sesión BGP en los dispositivos de columna vertebral y permite SSH, etc. desde cualquier zona (DC).
  2. Inspeccione el tráfico que fluye de DC1 a DC2 en VNI 1100 (capa 2 extendida para VLAN 100) para todos los hosts de la subred 192.168.100.0/24. Su política debe permitir pings pero denegar el resto del tráfico.
  3. Permita todo el tráfico de retorno de DC2 a DC1 sin inspección de túnel.
  4. Permita el resto del tráfico subyacente y de superposición sin la inspección del túnel VXLAN de DC1 a DC2.

Siga estos pasos para habilitar la inspección de túnel en su dispositivo de seguridad en un entorno VXLAN-EVPN:

Nota:

Las configuraciones funcionales completas para todos los dispositivos utilizados en este ejemplo se proporcionan Configuraciones completas de dispositivos para ayudar al lector a probar este ejemplo.

Este ejemplo se centra en los pasos de configuración necesarios para habilitar y validar la función de inspección de túnel VXLAN. Se presume que el firewall de la serie SRX está configurado con direccionamiento de interfaz, emparejamiento BGP y políticas para admitir su función DCI.

Configuración rápida de CLI

Para configurar rápidamente este ejemplo en el firewall de la serie SRX, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía [editar].

Configuración en un dispositivo de la serie SRX

Procedimiento paso a paso

  1. Configure zonas de seguridad, interfaces y libretas de direcciones. Tenga en cuenta que las longitudes de los prefijos /24 se utilizan para especificar las direcciones externas (VTEP) e internas (servidor). Aunque podría usar rutas de host /32 para este sencillo ejemplo, el uso de /24 coincidirá con el tráfico de otras hojas (VTEP) o hosts de la subred 192.168.100/0/24.
  2. Defina el perfil de inspección del túnel. Puede especificar un rango o una lista de VNI que deben inspeccionarse.

    En este ejemplo, solo se necesita un VNI para que se use la vni-id palabra clave en lugar de la vni-range opción.

    El perfil de inspección del túnel se vincula tanto a la lista/rango de VNI como a la política relacionada que se debe aplicar al túnel VXLAN con VNI coincidentes.
  3. Cree una política de seguridad que coincida en la sesión externa. Esta política hace referencia a las entradas de la libreta de direcciones global que definió anteriormente para que coincidan con las direcciones VTEP de origen y destino. Estas direcciones se utilizan en la capa subyacente para admitir túneles VXLAN en la superposición. El tráfico coincidente se dirige al perfil de inspección de túnel TP-1 que definió en el paso anterior. En este ejemplo, el objetivo es inspeccionar los túneles VXLAN que se originan en DC1 y terminan en DC2. Como resultado, no se necesita una segunda política para hacer coincidir el tráfico de retorno (con DC2 Leaf 1 como VTEP de origen).
  4. Cree el conjunto de políticas para la sesión interna.

    Esta política realiza una inspección de seguridad con respecto a la carga del tráfico VXLAN coincidente. En este ejemplo, este es el tráfico enviado desde el servidor 1 en VLAN 100 en DC1 al servidor 1 en DC2. Al especificar la condición de coincidencia, se asegura de que tanto la solicitud de ping como las junos-icmp-all respuestas puedan pasar del servidor 1 ion DC1 al servidor 1 en DC2. Si especifica junos-icmp-ping solo se permitirán pings que se originen en DC1.

    Recuerde que en este ejemplo solo se permite ping para ayudar a facilitar las pruebas de la funcionalidad resultante. Puede hacer coincidir application any para permitir todo el tráfico o modificar los criterios de coincidencia para adaptarlos a sus necesidades de seguridad específicas.

  5. Defina las políticas necesarias para aceptar el resto del tráfico entre los centros de datos sin necesidad de inspección de túnel.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo el show security comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

[edit]

user@host# show security

Si ha terminado de configurar la función en su dispositivo, ingrese commit desde el modo de configuración.

Verificación

En este momento, debe generar tráfico de ping entre el servidor 1 en DC1 y el servidor 1 en DC2. Los pings deberían tener éxito. Permita que este tráfico de prueba se ejecute en segundo plano mientras completa las tareas de verificación.

Verificar los detalles internos de la política

Purpose

Verifique los detalles de la política aplicada para la sesión interna.

Action

Desde el modo operativo, ingrese el show security policies policy-set PSET-1 comando.

Compruebe el tráfico de inspección del túnel

Purpose

Mostrar los detalles del tráfico de inspección del túnel.

Action

Desde el modo operativo, ingrese el show security flow tunnel-inspection statistics comando.

Verifique el perfil de inspección del túnel y el VNI

Purpose

Muestra el perfil de inspección del túnel y los detalles de VNI.

Action

Desde el modo operativo, ingrese el show security tunnel-inspection profiles comando.

Desde el modo operativo, ingrese el show security tunnel-inspection vnis comando.

Comprobar los flujos de seguridad

Purpose

Muestre la información del flujo de seguridad de VXLAN en el SRX para confirmar que la inspección del túnel VXLAN funciona.

Action

Desde el modo operativo, ingrese el show security flow session vxlan-vni 1100 comando.

Confirme que SSH está bloqueado

Purpose

Intente establecer una sesión SSH entre el servidor 1 en DC1 y el servidor 2 en DC2. Según la política que solo permite el tráfico de ping, esta sesión debe bloquearse en el SRX.

Action

Desde el modo operativo, ingrese el show security flow session vxlan-vni 1100 comando.

Configuración para inspección a nivel de zona, IDP, seguridad de contenido y antimalware avanzado para inspección de túneles

Utilice este paso si desea configurar la inspección a nivel de zona y aplicar servicios de capa 7 como IDP, ATP de Juniper, seguridad de contenido y antimalware avanzado al tráfico de túnel. Esta función es compatible desde Junos OS versión 21.1R1 en adelante.

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Un firewall serie SRX o un firewall virtual vSRX
  • Junos OS versión 21.1R1

Estamos usando la misma configuración de libretas de direcciones, zonas de seguridad, interfaces, perfil de inspección de túnel y política de seguridad para la sesión exterior que se creó en Configuración

En este paso se supone que ha inscrito su firewall de la serie SRX con ATP de Juniper. Para obtener más información sobre cómo inscribir su firewall de la serie SRX, consulte Inscripción de un dispositivo de la serie SRX con la nube de Prevención avanzada de amenazas de Juniper.

En esta configuración, creará un conjunto de políticas para la sesión interna y aplicará IDP, seguridad de contenido y antimalware avanzado al tráfico de túnel.

Configuración rápida de CLI

Para configurar rápidamente este ejemplo en el firewall de la serie SRX, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía [editar].

Configuración en un dispositivo de la serie SRX

Crear inspección a nivel de zona para la inspección de túneles

Puede agregar control de políticas a nivel de zona para la inspección de túnel EVPN-VXLAN para el tráfico interno. Esta política realiza una inspección de seguridad con respecto a la carga del tráfico VXLAN coincidente. En el siguiente paso, especificará desde-zona y para-zona para el tráfico.

Cree IDP, seguridad de contenido y antimalware avanzado para la inspección de túneles

Puede agregar servicios de seguridad como IDP, aniti-malware avanzado, seguridad de contenido, proxy SSL para la inspección del túnel EVPN-VXLAN para el tráfico interno. Esta política realiza una inspección de seguridad con respecto a la carga del tráfico VXLAN coincidente.

En el siguiente paso, habilitará servicios como IDP, seguridad de contenido, proxy SSL, inteligencia de seguridad y servicios antimalware avanzados especificándolos en una acción de permiso de política de seguridad, cuando el tráfico coincida con la regla de política.

Los pasos siguientes muestran fragmentos de configuración de seguridad de contenido, IDP y políticas avanzadas antimalware de un vistazo.

  • Configure una directiva antimalware avanzada.

  • Configure el perfil de inteligencia de seguridad.

  • Configure la directiva de IDP.

  • Configure la política de seguridad de contenido.

  • Configure perfiles SSL.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo el show security comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

[edit]

user@host# show security

[edit]

user@host# show services

Si ha terminado de configurar la función en su dispositivo, ingrese commit desde el modo de configuración.

Configuraciones completas del dispositivo

Consulte estas configuraciones para comprender mejor o recrear el contexto de este ejemplo. Incluyen las configuraciones completas de EVPN-VXLAN basadas en ERB para los conmutadores de la serie QFX que forman las estructuras de CC, así como el estado final del firewall de la serie SRX para los ejemplos de inspección de túneles VXLAN básicos y avanzados.

Nota:

Las configuraciones proporcionadas no muestran el inicio de sesión del usuario, el registro del sistema o la configuración relacionada con la administración, ya que varía según la ubicación y no está relacionada con la función de inspección del túnel VXLAN.

Para obtener más detalles y ejemplos sobre la configuración de EVPN-VXLAN, consulte el ejemplo de configuración de red en Configuración de una estructura EVPN-VXLAN para una red de campus con ERB.

Configuración en dispositivo Leaf 1

Configuración en dispositivo Spine 1

Configuración en el dispositivo Leaf 2

Configuración en dispositivo Spine 2

Configuración básica de inspección de túnel en dispositivos de la serie SRX

Configuración de inspección de túnel en dispositivos de la serie SRX con servicios de seguridad de capa 7