Ejemplo: segmentación micro y macro mediante políticas basadas en grupos en una VXLAN
VXLAN-GBP
Visión general
Puede usar la política basada en grupos (GBP) para lograr una segmentación micro y macro para proteger los datos y los activos en las arquitecturas VXLAN de puente enrutado centralmente (CRB) y de puente enrutado de borde (ERB). GBP aprovecha la tecnología VXLAN subyacente para proporcionar un control de acceso de puntos de conexión independiente de la ubicación. GBP le permite implementar políticas de seguridad coherentes en todos los dominios de red de la empresa. Puede simplificar la configuración de red mediante GBP, evitando la necesidad de configurar un gran número de filtros de firewall en todos los conmutadores. GBP bloquea las amenazas laterales garantizando la aplicación coherente de las políticas de grupo de seguridad en toda la red, independientemente de la ubicación de los puntos de conexión o usuarios.
GBP usa etiquetas de grupo escalables (SGT) para marcar el tráfico y aplicar las políticas. Puede crear un filtro de asignación de etiquetas GBP para asignar etiquetas a las tramas entrantes y crear un filtro de aplicación de políticas GBP para aplicar la directiva en las tramas etiquetadas.
VXLAN-GBP aprovecha los campos reservados en el encabezado VXLAN para transportar el SGT asignado a la trama. Este es el campo ID de directiva de grupo de 16 bits de la figura 1. Puede encontrar más información sobre VXLAN-GBP en I-D.draft-smith-vxlan-group-policy.
de encabezado de VXLAN
Puede aplicar la política de GBP tanto en la entrada como en la salida. De forma predeterminada, la aplicación de directivas solo se realiza en la salida, ya que es allí donde se conocen las etiquetas GBP de origen y destino. Como opción configurable, también puede aplicar una política en la entrada para determinados tipos de tráfico etiquetado. El cumplimiento de entrada requiere la propagación de la etiqueta de destino al punto de aplicación de entrada para que el punto de aplicación de entrada sepa la etiqueta de destino que se asignará en la salida. Consulte Aplicación de políticas en Entrada y propagación de etiquetas.
Usar un SGT es más robusto que usar interfaces o direcciones MAC directamente. Los SGT se pueden asignar estáticamente (configurando el conmutador por interfaz o por MAC), o pueden configurarse en el servidor RADIUS y enviarse al conmutador a través de 802.1X cuando el usuario está autenticado.
La segmentación habilitada por VXLAN-GBP es especialmente útil en entornos VXLAN de campus, ya que le ofrece una forma práctica de crear políticas de acceso a la red que son independientes de la topología de red subyacente. Simplifica las fases de diseño e implementación del desarrollo de políticas de seguridad de aplicaciones de red y de dispositivos de punto final.
La Tabla 1 muestra la compatibilidad de VXLAN-GBP con los distintos conmutadores y versiones de Junos OS.
| Conmutadores compatibles con VXLAN-GBP | de la versión de Junos |
|---|---|
| A partir de Junos OS versión 21.1R1 |
EX4400-24P, EX4400-24T, EX4400-48F, EX4400-48P y EX4400-48T |
| A partir de Junos OS versión 21.2R1 |
EX4400-24MP y EX4400-48MP |
| A partir de Junos OS versión 21.4R1 |
|
| A partir de Junos OS versión 22.4R1 |
|
| A partir de Junos OS versión 23.2R1 |
|
| A partir de Junos OS versión 24.2R1 |
|
| A partir de Junos OS versión 24.4R1 |
|
En las tablas 2 a 4 se resumen las diferencias de implementación de VXLAN y GBP entre las versiones de Junos OS.
| GBP en Junos OS versión 21.1R1 a 22.3Rn | GBP en Junos OS versión 22.4R1 y posteriores |
|---|---|
set firewall family ethernet-switching filter filter_name term term_name from match_conditions set firewall family ethernet-switching filter filter_name term term_name then gbp-src-tag/gbp-dst-tag tag |
set firewall family any filter filter_name micro-segmentation set firewall family any filter filter_name term term_name from match_conditions set firewall family any filter filter_name term term_name then gbp-tag tag
Nota:
|
| GBP en Junos OS versión 21.1R1 a 22.3Rn | GBP en Junos OS versión 22.4R1 y posteriores |
|---|---|
|
|
|
| GBP en Junos OS versión 21.1R1 a 22.3Rn | GBP en Junos OS versión 22.4R1 y posteriores |
|---|---|
set firewall family ethernet-switching filter filter_name term term_name from gbp-dst-tag gbp_tag set firewall family ethernet-switching filter filter_name term term_name from gbp-src-tag gbp_tag set firewall family ethernet-switching filter filter_name term term_name then discard
Nota:
La aplicación de directivas solo se admite en el extremo de salida. Declaración de CLI para habilitar GBP: set chassis forwarding-options vxlan-gbp-profile |
set firewall family any filter filter_name term term_name from gbp-dst-tag gbp_tag set firewall family any filter filter_name term term_name from gbp-src-tag gbp_tag set firewall family any filter filter_name term term_name then discard
Nota:
El apellido «any» sustituyó al apellido «ethernet-switching».
Nota:
La aplicación de políticas siempre se habilita en la salida si GBP está habilitada, pero es opcional en la entrada.
|
| Junos OS versión 23.2R1 y posteriores:
|
|
| Junos OS versión 24.2R1 y posteriores:
|
|
| Junos OS versión 24.4R1 y posteriores:
|
GBP en Junos OS versión 22.4R1 y posteriores
- Condiciones del partido
- Condiciones del partido L4
- Perfiles en GBP
- Descartar predeterminado explícito
- Aplicación de políticas en la entrada y propagación de etiquetas
- Requisitos para las superposiciones CRB y ERB
- Paquetes originados por el host
- Interetiquetado MAC/IP en GBP
- Reenvío basado en filtros
- Asignación de SGT para asignación de etiqueta de 802,1X GBP
- Planificación de sus asignaciones de SGT
- Topología
Condiciones del partido
En la tabla 5 se muestran las condiciones de coincidencia en GBP admitidas a partir de Junos OS versión 22.4R1:
| Descripción de las condiciones del partido | |
|---|---|
|
|
Haga coincidir las direcciones/listas de prefijos de origen o destino IPv4/IPv6.
Nota:
A partir de Junos OS versión 24.4R1, puede especificar si desea que los términos de la dirección IP se evalúen en orden de término o por coincidencia de prefijo más larga. De forma predeterminada, los términos de dirección IP se evalúan mediante la coincidencia de prefijo más larga en Junos OS versión 24.4R1 y posteriores. En versiones anteriores a Junos OS versión 24.4R1, los términos de dirección IP se evalúan únicamente en orden de términos. |
|
|
Haga coincidir la dirección MAC de origen o destino. |
|
|
Hacer coincidir el nombre de la interfaz.
Nota:
Junos OS versión 23.4R1 y posteriores admiten varias set firewall family any filter test term t1 from interface ge-0/0/0 set firewall family any filter test term t1 from interface ge-0/0/1 set firewall family any filter test term t1 from interface ge-0/0/2
Nota:
Junos OS versión 23.4R1 y posteriores también le permiten configurar esta condición de coincidencia junto con la condición de set firewall family any filter test term t1 from interface ge-0/0/0 set firewall family any filter test term t1 from vlan-id 2000 |
|
|
Haga coincidir los ID de VLAN.
Nota:
No compatible con los conmutadores EX4100
Nota:
Junos OS versión 23.4R1 y posteriores admiten las <vlan_list> opciones y <vlan_range> . Por ejemplo: set firewall family any filter test term t1 from vlan-id 2000-2100 set firewall family any filter test term t1 from vlan-id [3000 3010 3020]
Nota:
Junos OS versión 23.4R1 y posteriores también le permiten configurar esta condición de coincidencia junto con la condición de |
Este es un ejemplo de asignación de etiquetas GBP mediante direcciones MAC:
set firewall family any filter f1 micro-segmentation set firewall family any filter f1 term tag100 from mac-address 00:00:5E:00:53:10 set firewall family any filter f1 term tag100 then gbp-tag 100 set firewall family any filter f1 term tag200 from mac-address 00:00:5E:00:53:20 set firewall family any filter f1 term tag200 then gbp-tag 200 set firewall family any filter f1 term tag300 from mac-address 00:00:5E:00:53:30 set firewall family any filter f1 term tag300 then gbp-tag 300
Le recomendamos que tenga la misma configuración de asignación de etiquetas en GBP en todas partes (tanto en la entrada como en la salida).
En la entrada en el ejemplo anterior, a los paquetes de la dirección 00:00:5E:00:53:10 MAC se les asigna la etiqueta 100, a los paquetes de la dirección 00:00:5E:00:53:20 MAC se les asigna la etiqueta 200 y a los paquetes de la dirección 00:00:5E:00:53:30 MAC se les asigna la etiqueta 300.
La misma asignación de etiqueta se utiliza para asignar la dirección MAC de destino a la etiqueta de destino en la salida. En la salida del ejemplo anterior, a los paquetes a la dirección 00:00:5E:00:53:10 MAC se les asigna la etiqueta 100, a los paquetes a la dirección 00:00:5E:00:53:20 MAC se les asigna la etiqueta 200 y a los paquetes a la dirección 00:00:5E:00:53:30 MAC se les asigna la etiqueta 300.
Este es un ejemplo de asignación de etiquetas GBP mediante direcciones IP:
set firewall family any filter f2 micro-segmentation set firewall family any filter f2 term t1 from ip-version ipv4 172.16.1.0/24 set firewall family any filter f2 term t1 then gbp-tag 400
Este es un ejemplo de varios términos de dirección IP en un filtro de etiquetado de GBP:
set firewall family any filter f3 micro-segmentation set firewall family any filter f3 term t1 from ip-version ipv4 address 10.0.0.0/22 set firewall family any filter f3 term t1 then gbp-tag 10 set firewall family any filter f3 term t2 from ip-version ipv4 address 10.0.0.0/24 set firewall family any filter f3 term t2 then gbp-tag 20
El comportamiento predeterminado del filtro anterior ha cambiado en Junos OS versión 24.4R1. Antes de Junos OS versión 24.4R1, a un paquete entrante con la dirección IP 10.0.0.231 (por ejemplo) se le asignaba la etiqueta GBP 10 porque el paquete entrante coincide con el primer término (t1) del filtro. A partir de Junos OS versión 24.4R1, a ese mismo paquete entrante se le asignaría la etiqueta GBP 20 porque el segundo término (t2) proporciona una coincidencia más específica.
Si no le gusta este nuevo comportamiento predeterminado y desea conservar el comportamiento heredado de seguir estrictamente el orden de los términos del firewall, configure el filtro de la siguiente manera:
set firewall family any filter f3 no-longest-prefix-match
Establezca el no-longest-prefix-match parámetro la primera vez que cree el filtro de etiquetado en GBP. No alterne este parámetro en un filtro de etiquetado de GBP existente.
Este es un ejemplo con un término de coincidencia duplicado:
set firewall family any filter f4 micro-segmentation set firewall family any filter f4 term t1 from ip-version ipv4 address 172.16.0.0/24 set firewall family any filter f4 term t1 then gbp-tag 10 set firewall family any filter f4 term t2 from ip-version ipv4 address 172.16.0.0/24 set firewall family any filter f4 term t2 then gbp-tag 20
En el ejemplo anterior, tanto t1 como t2 coinciden en la dirección IP 172.16.0.0/24, pero asignan diferentes etiquetas GBP. En esta situación, solo se evalúa el primer término de coincidencia. Se omiten el segundo término y los siguientes términos coincidentes. Esto es cierto independientemente de si configura el filtro para la coincidencia de prefijo más larga o no. El término t1 entra en vigor y a cualquier paquete coincidente se le asignará la etiqueta GBP 10.
Este es un ejemplo de aplicación de políticas de GBP:
set firewall family any filter gbp-policy term t100-200 from gbp-src-tag 100 set firewall family any filter gbp-policy term t100-200 from gbp-dst-tag 200 set firewall family any filter gbp-policy term t100-200 then accept set firewall family any filter gbp-policy term t100-300 from gbp-src-tag 100 set firewall family any filter gbp-policy term t100-300 from gbp-dst-tag 300 set firewall family any filter gbp-policy term t100-300 then discard
Los paquetes con la etiqueta de origen GBP 100 y la etiqueta de destino GBP 200 coincidirán según el plazo t100-200 y serán aceptados. Los paquetes con la etiqueta de origen GBP 100 y la etiqueta de destino GBP 300 coincidirán según el plazo t100-300 y se descartarán.
A partir de Junos OS versión 23.4R1:
-
Los conmutadores EX4400, EX4650 y QFX5120 admiten listas y rangos de VLAN en un filtro GBP.
-
Los conmutadores EX4400, EX4650 y QFX5120 admiten varias entradas de VLAN en un solo término en un filtro GBP.
-
Los conmutadores EX4400, EX4650 y QFX5120 admiten varias entradas de interfaz en un solo término en un filtro GBP.
-
Los conmutadores EX4400, EX4650 y QFX5120 admiten una combinación de interfaz y VLAN en un solo término en un filtro GBP.
-
Los conmutadores EX4100 admiten múltiples entradas de interfaz en un solo término en un filtro GBP.
Por ejemplo:
set firewall family any filter f1 micro-segmentation set firewall family any filter f1 term t1 from vlan-id [10-30] set firewall family any filter f1 term t1 then gbp-tag 100
set firewall family any filter f2 micro-segmentation set firewall family any filter f2 term t1 from interface xe-0/0/1 set firewall family any filter f2 term t1 from interface xe-0/0/2 set firewall family any filter f2 term t1 from interface xe-0/0/3 set firewall family any filter f2 term t1 from interface xe-0/0/4 set firewall family any filter f2 term t1 then gbp-tag 200
La prioridad del etiquetado GBP es la siguiente, siendo ip-version la prioridad más alta:
-
ip-version ipv4<ip address> | <prefix-list> -
ip-version ipv6<ip address> | <prefix-list> -
mac-address<mac address> -
interface<interface_name> ID de VLAN <vlan id> -
vlan-id<vlan id> -
interface<interface_name>
De forma predeterminada, la aplicación de políticas se realiza en la salida. Si desea aplicar una directiva en la entrada, consulte Cumplimiento de políticas en la entrada y propagación de etiquetas.
Condiciones del partido L4
A partir de la versión 23.2R1 de Junos OS, ampliamos las condiciones de coincidencia en los filtros GBP para incluir las coincidencias L4. Esto le proporciona granularidad adicional para controlar el tráfico de aplicaciones. Véase el cuadro 6.
| Coincidencias de cumplimiento de políticas para MAC e IP Descripción de paquetes etiquetados con GBP | |
|---|---|
ip-version ipv4 destination-port dst_port |
Haga coincidir el puerto de destino TCP/UDP. |
ip-version ipv4 source-port src_port |
Haga coincidir el puerto de origen TCP/UDP. |
ip-version ipv4 ip-protocol ip-protocol |
Hacer coincidir el tipo de protocolo IP. |
ip-version ipv4 is-fragment |
Coincidir si el paquete es un fragmento. |
ip-version ipv4 fragment-flags flags |
Hacer coincidir los indicadores de fragmentos (en formatos simbólicos o hexadecimales). |
ip-version ipv4 ttl value |
Hacer coincidir el valor TTL de MPLS/IP. |
ip-version ipv4 tcp-flags flags |
Hacer coincidir los indicadores TCP (en formatos simbólicos o hexadecimales) - (solo entrada). |
ip-version ipv4 tcp-initial |
Coincidir con el paquete inicial de una conexión TCP - (sólo entrada). |
ip-version ipv4 tcp-established |
Hacer coincidir el paquete de una conexión TCP establecida. |
ip-version ipv6 destination-port dst_port |
Haga coincidir el puerto de destino TCP/UDP. |
ip-version ipv6 source-port src_port |
Haga coincidir el puerto de origen TCP/UDP. |
ip-version ipv6 next-header protocol |
Haga coincidir el siguiente tipo de protocolo de encabezado. |
ip-version ipv6 tcp-flags flags |
Hacer coincidir los indicadores TCP (en formatos simbólicos o hexadecimales)Solo entrada. |
ip-version ipv6 tcp-initial |
Hacer coincidir el paquete inicial de una conexión TCP. |
ip-version ipv6 tcp-established |
Hacer coincidir el paquete de una conexión TCP establecida. |
|
Nota:
Los filtros L4 son compatibles con los conmutadores de las series EX4100, EX4400, EX4650 y QFX5120 que se muestran en la Tabla 1. Estas condiciones de coincidencia no se admiten en los conmutadores EX92xx. |
|
|
Nota:
Los filtros L4 son compatibles de forma predeterminada, pero pueden reducir la escala GBP admitida. Para deshabilitar los filtros L4 en los conmutadores EX4650, QFX5120-32C y QFX5120-48Y: Cuando se utiliza este comando set (y la eliminación correspondiente), se reinicia el motor de reenvío de paquetes (PFE). |
|
Perfiles en GBP
Junos OS versión 23.2R1 y posteriores admiten vxlan-gbp-l2-profile y vxlan-gbp-l3-profile como se muestra en la tabla 7.
| Perfiles | Conmutadores compatibles |
|---|---|
vxlan-gbp-profile |
|
vxlan-gbp-l2-profile y vxlan-gbp-l3-profile |
|
El perfil UFT determina los tamaños de tabla que se asignarán a los distintos filtros GBP. Seleccione el perfil que mejor se adapte a sus necesidades de red.
Consulte Descripción de los perfiles de GBP para obtener más información sobre cuándo usar estos perfiles.
Consulte vxlan-gbp-profile, vxlan-gbp-l2-profile y vxlan-gbp-l3-profile para ver la configuración del tamaño de la tabla.
set chassis forwarding-options vxlan-gbp-profile
set chassis forwarding-options vxlan-gbp-l2-profile
set chassis forwarding-options vxlan-gbp-l3-profile
Si establece o elimina un perfil en GBP, el motor de reenvío de paquetes (PFE) se reinicia automáticamente.
Si establece o elimina un perfil de GBP en un chasis virtual, debe reiniciar todos los miembros del chasis virtual: request system reboot all-members
Descartar predeterminado explícito
Cuando no se cumplen condiciones, la acción predeterminada es aceptar el paquete. A partir de Junos OS versión 24.2R1, puede especificar una acción de descarte predeterminada explícita para los paquetes que no coincidan con ninguna condición. Véase el cuadro 8.
| Descartar predeterminado explícito |
Descripción |
|---|---|
set firewall family any filter f1 term t1 from gbp-src-tag 100 set firewall family any filter f1 term t1 from gbp-dst-tag 200 set firewall family any filter f1 term t1 then accept set firewall family any filter f1 term t2 then discard |
Puede crear un término de filtro (por ejemplo, t2) que contenga una acción de descarte pero no condiciones de coincidencia. Esto es útil como un cajón de sastre para paquetes que no coinciden con ninguna de las condiciones de los términos anteriores de la secuencia. Esta acción de descarte predeterminada explícita no se aplica a los paquetes de difusión, multidifusión, originados por host o unidifusión desconocidos. Estos tipos de tráfico son siempre aceptados. Si no configura la acción de descarte explícita, la acción predeterminada es aceptar el paquete como ocurre en versiones anteriores. |
|
Nota:
El descarte predeterminado explícito se admite en los conmutadores serie EX4100, EX4400, EX4650 y QFX5120 que se muestran en la Tabla 1. No se admite el descarte predeterminado explícito en los conmutadores EX92xx. |
|
Aplicación de políticas en la entrada y propagación de etiquetas
A partir de Junos versión 22.4R1, puede realizar la aplicación de políticas más cerca de la entrada. El cumplimiento de entrada ahorra ancho de banda de red al descartar paquetes etiquetados en la entrada que de otro modo se descartarían en la salida. Para apoyar la aplicación de políticas en o cerca de la entrada, propagamos las etiquetas basadas en MAC e IP-MAC por toda la red mediante comunidades BGP extendidas dentro de las rutas EVPN Tipo 2 y Tipo 5. Consulte Rutas EVPN tipo 2 y tipo 5 para obtener información sobre estos tipos de rutas.
El anuncio de ruta EVPN se activa por la instalación (o un cambio) de una ruta EVPN, como a través del aprendizaje MAC-IP al recibir un paquete de un nuevo host. En este caso, la ruta IP de origen se instala en la base de datos evpn.0 y se envía un anuncio EVPN de tipo 2 (que incluye la etiqueta GBP si está asignada) a todos los pares de eBGP.
Después de que estos anuncios se propagan a través de la red a los puntos de conexión remotos, los puntos de conexión remotos tienen suficiente información para tomar decisiones de filtro de firewall GBP sobre los paquetes recibidos en la entrada remota. Cuando se reciben paquetes en su entrada, los extremos remotos pueden buscar la ruta de destino y obtener la etiqueta GBP de destino recibida previamente a través del anuncio de EVPN tipo 2. Armados con la etiqueta GBP de destino, los puntos de conexión remotos pueden posteriormente tomar decisiones de aplicación de políticas GBP en sus paquetes de entrada.
Dado que las etiquetas GBP se propagan mediante anuncios de ruta EVPN tipo 2, la propagación de etiquetas se realiza necesariamente por dirección MAC o IP. Sin embargo, esto no tiene relación con la asignación de etiquetas, que pueden seguir siendo cualquiera de los métodos compatibles, como VLAN o interfaz, entre otros.
Por ejemplo, si configura la asignación de etiquetas en función de la interfaz y se recibe un paquete de un nuevo host en esa interfaz, la etiqueta asignada para esa interfaz se propaga en un anuncio de ruta de tipo 2 junto con la dirección MAC de origen e IP del paquete entrante. Si posteriormente se recibe un paquete de un host diferente en esa misma interfaz, se propaga la misma etiqueta en otro anuncio de ruta Tipo 2 junto con la dirección MAC e IP de origen de este host diferente.
Si un conmutador leaf de borde recibe un anuncio de EVPN de tipo 2 con una etiqueta GBP, el conmutador instala la ruta de tipo 2 y genera un anuncio de EVPN de tipo 5 con esa etiqueta de GBP para sus pares eBGP, como los conmutadores leaf de borde de otros centros de datos (para tráfico entre DC). Esta ruta de tipo 5 contiene una dirección IP /32 y una etiqueta GBP.
Se admite esta propagación de etiquetas de tipo 2 a tipo 5 GBP, pero no se admite la propagación de etiquetas de tipo 5 a tipo 2 GBP.
Para topologías multihoming, mantenga la configuración idéntica en todos los miembros multihoming.
Debe habilitar la instrucción siguiente para realizar la aplicación de directivas en el nodo de entrada. Cuando la aplicación de entrada está habilitada o deshabilitada, el motor de reenvío de paquetes (PFE) se reinicia.
set forwarding-options evpn-vxlan gbp ingress-enforcement
Propagación de etiquetas para rutas de prefijos IP mediante anuncios de tipo 5 de EVPN
A partir de Junos OS versión 24.2R1, admitimos la propagación de etiquetas GBP para rutas de prefijos IP mediante anuncios de EVPN tipo 5. Antes de esta versión, la propagación de etiquetas GBP solo se desencadenaba mediante el aprendizaje de MAC-IP en el plano de datos, lo que significaba que la propagación de etiquetas solo se producía para rutas IP /32.
Gracias a la compatibilidad con rutas de prefijo IP, ahora puede producirse la propagación de etiquetas, por ejemplo, al crear una interfaz y habilitar la publicidad de rutas EVPN directas (set routing-instances <instance> protocols evpn ip-prefix-routes advertise direct-nexthop). Si también asigna una etiqueta GBP a ese prefijo IP, el anuncio posterior de EVPN tipo 5 incluye la etiqueta GBP, propagando así la etiqueta incluso antes de que tenga lugar el aprendizaje de MAC-IP.
En general, la propagación de etiquetas GBP en los anuncios de tipo 5 de EVPN se produce siempre que se crea un filtro GBP que asigna una etiqueta a un prefijo IP y esa ruta de prefijo IP está instalada en la base de datos de enrutamiento evpn.0. (Puede crear el filtro GBP antes o después de instalar la ruta).
Aunque el conmutador genere un anuncio de tipo 5, si el conmutador se entera de un nuevo host (por ejemplo, mediante el aprendizaje de MAC-IP en el plano de datos), el conmutador también generará un anuncio de tipo 2. En muchos casos, puede ser conveniente suprimir estos anuncios /32 redundantes para reducir el tráfico EVPN. Para ello, cree una política BGP para rechazar rutas /32.
Por ejemplo, lo siguiente crea una política denominada T5_EXPORT con un término llamado fm_v4_host que rechaza las rutas /32 de los hosts IPv4:
set policy-options policy-statement T5_EXPORT term fm_v4_host from route-filter 0.0.0.0/0 prefix-length-range /32-/32 set policy-options policy-statement T5_EXPORT term fm_v4_host then reject
Si un conmutador recibe un anuncio de EVPN para una ruta de prefijo IP y una etiqueta GBP asociada, y si ha configurado un filtro GBP que asigna una etiqueta diferente a esa misma ruta de prefijo IP, prevalecerá la etiqueta GBP del filtro GBP configurado localmente. El conmutador reemplaza la etiqueta GBP en el anuncio de EVPN recibido por la etiqueta GBP asignada localmente antes de volver a anunciar la ruta EVPN.
La propagación de etiquetas de prefijo IP se habilita automáticamente cuando se crea un filtro GBP para un prefijo IP y se asocia el filtro GBP a una instancia de enrutamiento. Por ejemplo:
set firewall family any filter f1 micro-segmentation set firewall family any filter f1 term tag300 from ip-version ipv4 172.16.1.0/24 set firewall family any filter f1 term tag300 then gbp-tag 300 set routing-instances <routing-instance> forwarding-options evpn-vxlan gbp ingress-src-tag filter f1
donde <routing-instance> es el nombre de la instancia de enrutamiento a la que desea que se aplique el filtro.
Una vez que una ruta de prefijo IP se asocia a una etiqueta GBP, la etiqueta GBP se muestra en la salida de los show route comandos para esa ruta de prefijo IP. Por ejemplo:
show route match-prefix 5:* extensive
bgp.evpn.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden)
Restart Complete
5:10.255.1.1 (1 entry, 1 announced)
<trimmed>
gbp-tag:0L:53 router-mac:52:54:00:00:92:f0
Import Accepted
Route Label: 9100
Overlay gateway address: 0.0.0.0
ESI 00:00:00:00:00:00:00:00:00:00
Localpref: 100
Router ID: 10.255.1.1
Secondary Tables: VRF-100.evpn.0
Thread: junos-main
Indirect next hops: 1
<trimmed>
show route table VRF-100.inet.0 match-prefix 10.1.1* extensive
VRF-100.inet.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden)
Restart Complete
10.1.1.3/32 (1 entry, 1 announced)
TSI:
KRT in-kernel 10.1.1.3/32 -> {indirect(1048574)}
Opaque data client: EVPN-Type5
Opaque data: tlv_type :32820
Type5 gbp_tag 53.
Address: 0xa15f928
Opaque-data reference count: 2
Page 0 idx 0, (group DC2_TORS type External) Type 1 val 0xa32fd40 (adv_entry)
Advertised metrics:
Nexthop: Self
AS path: [65201] 65200 I
Communities: gbp-tag:0L:53
Advertise: 00000001
Path 10.1.1.3
<trimmed>
Para ver el enlace entre una instancia de enrutamiento y un filtro GBP, utilice el show evpn gbp-src-tag filter-bind routing-instance comando.
Para ver la ruta del prefijo IP a la asignación de etiquetas GBP, use el show evpn gbp-src-tag ip-prefix inet comando.
Entre las limitaciones de esta característica se incluyen las siguientes:
-
Solo puede asociar un filtro GBP a una instancia de enrutamiento. No puede asociar el mismo filtro GBP a varias instancias de enrutamiento.
-
No puede asociar dos filtros GBP diferentes con la misma condición de coincidencia de prefijo IP a la misma instancia de enrutamiento.
-
Solo puede asociar un filtro GBP basado en IP a una instancia de enrutamiento. La asociación de otros tipos de filtros GBP no tiene ningún efecto.
-
Esta función solo se admite con los conmutadores de las series EX4400, EX4650 y QFX-5120 enumerados en la Tabla 1.
Requisitos para las superposiciones CRB y ERB
La configuración en GBP varía en función de si se ejecuta en una superposición de enrutamiento centralizado y puente (CRB) o en una superposición de borde enrutado y puente. La Tabla 9 muestra estas diferencias.
| Función GBP |
Aplicación típica en CRB |
Aplicación típica en ERB |
Ejemplo |
|---|---|---|---|
| Etiquetado |
Hoja de entrada |
Hoja de entrada |
set firewall family any filter f1 micro-segmentation set firewall family any filter f1 term t1 from ip-version ipv4 address 172.16.10.0/24 set firewall family any filter f1 term t1 then gbp-tag 10 |
| Aplicación de políticas sin etiqueta de destino GBP |
Hoja de entrada o salida |
Hoja de entrada o salida |
set firewall family any filter f2 term t1 from gbp-src-tag 10 set firewall family any filter f2 term t1 then discard |
| Aplicación de políticas con etiqueta de destino GBP |
Columna vertebral de entrada |
Hoja de entrada |
set forwarding-options evpn-vxlan gbp ingress-enforcement set firewall family any filter f3 term t1 from gbp-src-tag 10 set firewall family any filter f3 term t1 from gbp-dst-tag 20 set firewall family any filter f3 term t1 then discard |
| Hoja de salida |
Hoja de salida |
set firewall family any filter f3 term t1 from gbp-src-tag 10 set firewall family any filter f3 term t1 from gbp-dst-tag 20 set firewall family any filter f3 term t1 then discard |
Además, si se ejecuta en una superposición CRB, debe configurar lo siguiente:
| Configuración adicional |
Interruptor |
Ejemplo |
|---|---|---|
| Habilite En una superposición CRB, los conmutadores leaf actúan como puertas de enlace de capa 2. Para que estas puertas de enlace de capa 2 administren el aprendizaje y la antigüedad de las entradas ARP o NDP y anuncien rutas MAC-IP de EVPN tipo 2, habilitamos la |
Todos los interruptores Leaf |
set protocols l2-learning crb-proxy-mac family inet <proxy-MAC-address>donde <proxy-MAC-address> es la dirección MAC anycast que desea utilizar en todos los conmutadores leaf. Ejecute el comando anterior con el mismo <proxy-MAC-address> en todos los conmutadores leaf. |
| Desactive No queremos que los conmutadores spine anuncien rutas MAC-IP EVPN tipo 2 en nombre de los conmutadores leaf. Por lo tanto, deshabilitamos esta |
Todas las interfaces IRB en conmutadores Spine |
Si proxy-macip-advertisement está habilitado en una interfaz IRB, deshabilítela de la siguiente manera:delete interfaces irb unit <logical-unit-number> proxy-macip-advertisement |
Paquetes originados por el host
Cuando los paquetes salen de una interfaz de enrutamiento y puente integrados (IRB) a través de un punto de conexión de túnel virtual (VTEP), el kernel inserta una etiqueta GBP de origen en el encabezado VXLAN y envía el paquete. El valor de la etiqueta GBP de origen se configura mediante la siguiente instrucción:
set forwarding-options evpn-vxlan host-originated-packets gbp-src-tag gbp-src-tag
Interetiquetado MAC/IP en GBP
De forma predeterminada, un filtro GBP basado en MAC solo se aplica al tráfico conmutado y un filtro GBP basado en IP solo se aplica al tráfico enrutado.
A partir de Junos OS versión 24.2R1, los filtros GBP basados en MAC también se pueden aplicar al tráfico enrutado, y los filtros GBP basados en IP también se pueden aplicar al tráfico conmutado. Esto se denomina interetiquetado MAC/IP y se puede habilitar en los conmutadores específicos de las series EX4100, EX4400, EX4650 y QFX5120 que se muestran en la Tabla 1.
Cuando está habilitado, el conmutador agrega automáticamente una entrada correspondiente de la siguiente manera:
-
Si crea un filtro GBP basado en MAC, el primer paquete que llegue que coincida con esa dirección MAC hará que el conmutador cree automáticamente una asignación GBP basada en IP correspondiente. Esta asignación aplicará la misma etiqueta que el filtro GBP original basado en MAC, pero coincidirá en la dirección IP de origen en lugar de la dirección MAC.
-
Si crea un filtro GBP basado en IP, el primer paquete que llegue que coincida con esa dirección IP hará que el conmutador cree automáticamente una asignación GBP basada en MAC correspondiente. Esta asignación aplicará la misma etiqueta que el filtro GBP original basado en IP, pero coincidirá en la dirección MAC de origen en lugar de la dirección IP.
La creación de una entrada correspondiente garantiza que se asigne la etiqueta GBP deseada, independientemente de si el flujo se conmuta o enruta posteriormente.
-
Filtro 1: asignar la etiqueta GBP 100 al tráfico con dirección MAC 52:54:00:00:00:11
-
Filtro 2: asignar la etiqueta GBP 200 al tráfico con dirección IP 172.16.0.11
Para habilitar el interetiquetado MAC/IP:
set forwarding-options evpn-vxlan gbp mac-ip-inter-tagging
Si define o elimina la opción mac-ip-inter-tagging, el motor de reenvío de paquetes (PFE) se reinicia automáticamente.
Si configura o elimina la opción mac-ip-inter-tagging en un chasis virtual, debe reiniciar todos los miembros del chasis virtual: request system reboot all-members
A continuación, puede ver que aparece la misma etiqueta GBP 100 en las tablas MAC e IP cuando habilita el interetiquetado MAC/IP.
show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC,
B - Blocked MAC)
Ethernet switching table : 2 entries, 2 learned
Routing instance : default-switch
Vlan MAC MAC GBP Logical SVLBNH/ Active
name address flags tag interface VENH Index source
vlan100 52:54:00:22:22:22 D 100 xe-0/0/8.0
vlan200 52:54:00:44:44:44 D xe-0/0/9.0
show ethernet-switching mac-ip-table
MAC IP flags (S - Static, D - Dynamic, L - Local , R - Remote, Lp - Local Proxy,
Rp - Remote Proxy, K - Kernel, RT - Dest Route, (N)AD - (Not) Advt to remote,
RE - Re-ARP/ND, RO - Router, OV - Override, Ur - Unresolved, B - Blocked,
RTS - Dest Route Skipped, RGw - Remote Gateway, GBP - Group Based Policy,
RTF - Dest Route Forced, SC - Static Config, P - Probe, NLC - No Local Config,
LD - Local Down)
Routing instance : default-switch
Bridging domain : vlan100
IP MAC Flags GBP Logical Active
address address Tag Interface source
10.100.100.100 52:54:00:22:22:22 DL,K,RT,AD 100 xe-0/0/8.0
10.100.100.101 52:54:00:63:0e:40 S,K irb.100
2001:db8::9300:6463:e40 52:54:00:63:0e:40 S,K irb.100
Reenvío basado en filtros
A partir de la versión 24.3R1 de Junos OS, admitimos el reenvío basado en filtros para el tráfico etiquetado con GBP. Esta es la capacidad de reenviar tráfico a un siguiente salto especificado si las etiquetas GBP asignadas a ese tráfico coinciden con las etiquetas GBP especificadas en el filtro. Utilice esta característica para aplicar un tratamiento de enrutamiento diferente para el tráfico etiquetado especificado frente al tráfico regular.
Para crear un filtro de reenvío, especifique las etiquetas de origen y destino que desea que coincidan y el próximo salto en el que desea reenviar el tráfico coincidente. Véase el cuadro 11.
| Ejemplo de reenvío basado en filtros |
Descripción |
|---|---|
set firewall family any filter f1 term t1 from gbp-src-tag 100 set firewall family any filter f1 term t1 from gbp-dst-tag 200 set firewall family any filter f1 term t1 then next-ip 10.10.1.1 |
Utilice la instancia de enrutamiento predeterminada para reenviar el tráfico con la etiqueta de origen GBP 100 y la etiqueta de destino 200 al siguiente salto de la ruta 10.10.1.1. |
set firewall family any filter f1 term t1 from gbp-src-tag 100 set firewall family any filter f1 term t1 from gbp-dst-tag 200 set firewall family any filter f1 term t1 then next-ip 10.10.1.0/24 |
Utilice la instancia de enrutamiento predeterminada para reenviar el tráfico con la etiqueta de origen GBP 100 y la etiqueta de destino 200 al siguiente salto para la ruta 10.10.1.0/24. |
set firewall family any filter f1 term t1 from gbp-src-tag 100 set firewall family any filter f1 term t1 from gbp-dst-tag 200 set firewall family any filter f1 term t1 then next-ip 10.10.1.1 routing-instance VRF-100 |
Utilice la instancia de enrutamiento VRF-100 para reenviar el tráfico con la etiqueta de origen GBP 100 y la etiqueta de destino 200 al siguiente salto para la ruta 10.10.1.1. |
set firewall family any filter f1 term t1 from gbp-src-tag 100 set firewall family any filter f1 term t1 from gbp-dst-tag 200 set firewall family any filter f1 term t1 then next-ip6 2001:db8:4136:e378:8000:63bf:3fff:fdd2 |
Utilice la instancia de enrutamiento predeterminada para reenviar el tráfico con la etiqueta de origen GBP 100 y la etiqueta de destino 200 al siguiente salto para la ruta 2001:db8:4136:e378:8000:63bf:3fff:fdd2. |
set firewall family any filter f1 term t1 from gbp-src-tag 100 set firewall family any filter f1 term t1 from gbp-dst-tag 200 set firewall family any filter f1 term t1 then next-ip6 2001:db8:4136::/48 |
Utilice la instancia de enrutamiento predeterminada para reenviar el tráfico con la etiqueta de origen GBP 100 y la etiqueta de destino 200 al siguiente salto de la ruta 2001:db8:4136::/48. |
set firewall family any filter f1 term t1 from gbp-src-tag 100 set firewall family any filter f1 term t1 from gbp-dst-tag 200 set firewall family any filter f1 term t1 then next-ip6 2001:db8:4136:e378:8000:63bf:3fff:fdd2 routing-instance VRF-100 |
Utilice la instancia de enrutamiento VRF-100 para reenviar el tráfico con la etiqueta de origen GBP 100 y la etiqueta de destino 200 al siguiente salto para la ruta 2001:db8:4136:e378:8000:63bf:3fff:fdd2. |
| Limitaciones:
|
|
Asignación de SGT para asignación de etiqueta de 802,1X GBP
En este ejemplo, configuramos SGT en un servidor RADIUS y luego usamos el control de acceso 802.1X en los conmutadores de acceso habilitados para GBP para recibir los SGT cuando un punto de conexión coincidente se conecta al conmutador. Los servidores RADIUS se utilizan habitualmente en entornos de campus para el control de acceso y, por ejemplo, para controlar la asignación de VLAN.
-
Si configura la autenticación 802.1X con modo suplicante único seguro o múltiple, el etiquetado GBP se basa en MAC. Si configura la autenticación 802.1X con modo suplicante único, el etiquetado GBP se basa en la interfaz.
-
Las coincidencias de dirección IP, ID VLAN e ID de VLAN-ID+ interfaz no son compatibles con 802.1X.
Para acomodar el uso de SGT en el servidor RADIUS, necesitamos aprovechar el atributo específico del proveedor (VSA), tal como lo admite el marco de servicio AAA (estos VSA se llevan como parte del mensaje de respuesta de solicitud RADIUS estándar y proporcionar una extensión integrada para manejar información específica de la implementación, como nuestros SGT). La sintaxis exacta del servidor RADIUS varía según si el esquema de autenticación está basado en MAC o EAP. Para los clientes basados en MAC, la configuración tiene el siguiente aspecto:
001094001199 Cleartext-Password := "001094001199" Juniper-Switching-Filter = "apply action gbp-tag 100
Para los clientes basados en EAP, el SGT se inserta desde el servidor RADIUS en el momento de la autenticación. La configuración tiene el siguiente aspecto:
PermEmp01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 100"
A partir de Junos OS versión 23.4R1, además del existente Juniper-Switching-Filter, se admite una nueva llamada VSA en Juniper-Group-Based-Policy-Id los conmutadores EX4400, EX4100, EX4650 y QFX5120.
No debe usar el VSA Juniper-Group-Based-Policy-Id y el VSA Juniper-Switching-Filter juntos para el mismo cliente.
El cliente no se autenticará si ambos VSA existen y contienen valores de etiqueta GBP diferentes.
Puede asignar etiquetas GBP dinámicamente desde RADIUS a través de cualquiera de estos VSA:
-
Juniper-Switching-Filterlleva el filtro GBP y otras condiciones de coincidencia y acción del filtro. -
El
Juniper-Group-Based-Policy-Idsolo lleva la etiqueta GBP.
El Juniper-Group-Based-Policy-Id filtro de etiqueta de VSA para MAC y GBP basado en interfaz tiene este aspecto:
PermEmp01 Auth-Type = EAP, Cleartext-Password := "gbp"
Juniper-Group-Based-Policy-Id = “100”
La etiqueta GBP configurada es un valor positivo distinto de cero en el intervalo (1-65535) para etiquetas GBP especificado en un VSA (atributo específico del proveedor) de un servidor RADIUS.
A partir de Junos OS versión 23.4R1 y posteriores, la compatibilidad con funciones GBP también se agrega a las siguientes instrucciones de configuración dot1x en los conmutadores EX4400, EX4100, EX4650 y QFX5120:
| CLI |
Descripción |
|---|---|
set protocols dot1x authenticator interface [interface-names] server-fail gbp-tag gbp-tag |
Especifique la etiqueta GBP que se aplicará en la interfaz cuando no se pueda acceder al servidor. Si configura el Solo puede configurar esta opción cuando la |
set protocols dot1x authenticator interface [interface-names] server-reject-vlan gbp-tag gbp-tag |
Especifique la etiqueta GBP que se aplicará cuando RADIUS rechace la autenticación de cliente. Si configura el Solo puede configurarlo |
|
|
Especifique la etiqueta GBP que se aplicará cuando una interfaz se mueva a una VLAN invitada. Si el Solo puede configurarlo Para obtener más información acerca de las VLAN invitadas, consulte Autenticación 802.1X. |
Puede usar el show dot1x interface detail comando o para show ethernet-switching table comprobar qué etiqueta GBP se recibe de RADIUS.
Aquí hay un ejemplo de salida del show ethernet-switching table comando:
> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC,
B - Blocked MAC)
Ethernet switching table : 2 entries, 2 learned
Routing instance : default-switch
Vlan MAC MAC GBP Logical SVLBNH/ Active
name address flags tag interface VENH Index source
vlan200 00:10:94:00:00:05 D 100 xe-0/2/2.0
vlan200 00:10:94:00:00:06 DR 100 vtep.32769 21.2.0.1
Planificación de sus asignaciones de SGT
Antes de crear cualquier regla, puede ser útil organizar el esquema creando una tabla para todos los puntos de conexión (usuarios y dispositivos) y el valor SGT asignado. La siguiente tabla se puede utilizar para simplificar aún más la lógica y aclarar sus reglas.
| Extremo |
Valor de SGT asignado |
|---|---|
| Empleado Permanente (PE) |
100 |
| Contratista (CON) |
200 |
| Personal de seguridad (SS) |
300 |
| Cámara de seguridad (CAM) |
400 |
| Servidor de ingeniería (ES) |
500 |
La relación entre el servidor RADIUS y los SGT, los encabezados de paquete EX4400 y VXLAN, y un filtro de firewall central para administrar la política de acceso, es tal que una matriz se convierte en una forma práctica de organizar los valores. En la tabla siguiente, enumeramos los roles de usuario en la primera columna y los tipos de dispositivos en la primera fila para crear una matriz de acceso. A cada rol de usuario y tipo de dispositivo se le asigna un SGT y la configuración de RADIUS se ha actualizado con la información.
En este ejemplo se usan tres tipos de empleados: empleado permanente (PE), contratista (CON) y personal de seguridad (SS). También utiliza dos tipos de recursos, Eng Server (ES) y cámara de seguridad (CAM). Usamos Y para indicar que se permite el acceso y N para mostrarlo cuando se bloquea el acceso. La tabla sirve como un recurso útil al crear las distintas reglas de firewall en la política y hace que la asignación de acceso sea simple y clara.
| ES (SGT 500) | CAM (SGT 400) | PE (SGT 100) | CON (SGT 200) | SS (SGT 300) | |
|---|---|---|---|---|---|
| PE (SGT 100) | Y | N | Y | Y | N |
| CON (SGT 200) | N | N | Y | N | N |
| SS (SGT 300) | N | Y | N | N | Y |
Topología
En aras de la simplicidad, toda la configuración de este ejemplo se realiza en un único conmutador de la serie EX4400 de Juniper que ejecuta Junos OS versión 22.4.1R1. El conmutador está conectado a un servidor RADIUS para AAA. Este modificador funciona como salida en este ejemplo. Recuerde que para los SGT debe definir el firewall en el conmutador de salida, mientras que normalmente lo haría en la puerta de enlace VXLAN de entrada para la capa de acceso.
EX4400
- Requisitos
- Configuración
- Configuración de un conmutador independiente Juniper EX4400 para VXLAN-GBP
- Limitaciones para conmutadores EX y QFX:
Requisitos
Junos OS 22.4R1 admite GBP mejorada en los siguientes conmutadores: EX4100, EX4400, EX4650, QFX5120-32C y QFX5120-48Y.
Configuración
Segmentación basada en VXLAN-GBP:
- Los usuarios inician sesión en la red y son autenticados por el servidor RADIUS (en el que se configuran los SGT para todos los extremos).
- Mediante filtros de firewall, el EX4400 selecciona el tráfico en función de la autenticación 802.1X o la dirección MAC y, a continuación, asigna una etiqueta de grupo a las tramas coincidentes. (Para clientes autenticados dot1x, no es necesaria la configuración de firewall estático). La mecánica de esto se realiza utilizando firewall como se muestra aquí:
set firewall family any filter name micro-segmentation set firewall family any filter name term name from source-mac-address MAC-Addr
set firewall family any filter name term name then gbp-tag PE-GRP
- El tráfico etiquetado que pasa a través del EX4400 se evalúa sobre la base de valores SGT, nuevamente, utilizando la mecánica del filtro de firewall.
-
Primero habilite
chassis forwarding-options vxlan-gbp-profileen el dispositivo. - Utilice las
gbp-dst-tagcondiciones y/ogbp-src-tagcoincidencia para escribir las reglas de firewall e inclúyalas en la política de enrutamiento del conmutador de salida que utiliza para la microsegmentación en GBP. A partir de Junos OS versión 23.2R1, además de las etiquetas de origen y destino, se admiten las nuevas coincidencias L4 de filtro de políticas de GBP IPv4 e IPv6, como protocolo, puertos de origen, puertos de destino, indicadores tcp y otras coincidencias. Véase el cuadro 6. -
Si desea que la aplicación de políticas tenga lugar en el extremo de entrada, debe habilitar la
set fowarding-options evpn gbp ingress-enforcementopción.
-
Configuración de un conmutador independiente Juniper EX4400 para VXLAN-GBP
Utilice los siguientes comandos para configurar la segmentación VXLAN-GBP en un entorno de espacio aislado. Normalmente, crearía las reglas de filtro de firewall en el conmutador que sirve como puerta de enlace VXLAN (de salida) para la capa de acceso, pero en aras de la simplicidad, estamos usando el mismo EX4400 independiente tanto para las reglas de filtro de firewall como para el servidor RADIUS (EAP, aquí). Los valores que utilizamos en este ejemplo están tomados de las tablas anteriores.
Los comandos siguientes incluyen variables como nombres de perfil y direcciones IP, que deben adaptarse para que tengan sentido para su entorno de prueba.
- Configure el servidor RADIUS:
set groups dot1xgbp access radius-server 10.204.96.102 port 1812 set groups dot1xgbp access radius-server 10.204.96.102 secret “secret key" set groups dot1xgbp access profile radius_profile_dev12 authentication-order radius set groups dot1xgbp access profile radius_profile_dev12 radius authentication-server 10.204.96.102 set groups dot1xgbp access profile radius_profile_dev12 radius accounting-server 10.204.96.102 set groups dot1xgbp access profile radius_profile_dev12 accounting order radius
- Configure los puertos físicos para admitir la autenticación RADIUS:
set groups dot1xgbp protocols dot1x authenticator authentication-profile-name radius_profile_dev12 set groups dot1xgbp protocols dot1x authenticator interface xe-0/0/46.0 supplicant multiple set groups dot1xgbp protocols dot1x authenticator interface xe-0/0/46.0 mac-radius
- Configure las etiquetas SGT en el servidor RADIUS mediante el filtro de conmutación de Juniper o el ID de política basado en grupos de Juniper:
Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 100" Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 200" SecurityStaff01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 300" SecurityCam01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 400" EngServer01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 500"
Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "100" Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "200" SecurityStaff01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "300" SecurityCam01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "400" EngServer01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Group-Based-Policy-Id = "500"
- Habilite VXLAN-GBP en el conmutador:
set chassis forwarding-options vxlan-gbp-profile
- Cree reglas de filtro de firewall que aprovechen los SGT (utilizando valores organizados en la matriz):
set groups gbp-policy firewall family any filter gbp-policy term pe-to-pe from gbp-src-tag 100 set groups gbp-policy firewall family any filter gbp-policy term pe-to-pe from gbp-dst-tag 100 set groups gbp-policy firewall family any filter gbp-policy term pe-to-pe then accept set groups gbp-policy firewall family any filter gbp-policy term pe-to-pe then count PE-PE set groups gbp-policy firewall family any filter gbp-policy term pe-to-es from gbp-src-tag 100 set groups gbp-policy firewall family any filter gbp-policy term pe-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family any filter gbp-policy term pe-to-es then accept set groups gbp-policy firewall family any filter gbp-policy term pe-to-es then count PE-ES set groups gbp-policy firewall family any filter gbp-policy term pe-to-cam from gbp-src-tag 100 set groups gbp-policy firewall family any filter gbp-policy term pe-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family any filter gbp-policy term pe-to-cam then discard set groups gbp-policy firewall family any filter gbp-policy term pe-to-cam then count PE-CAM set groups gbp-policy firewall family any filter gbp-policy term con-to-cam from gbp-src-tag 200 set groups gbp-policy firewall family any filter gbp-policy term con-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family any filter gbp-policy term con-to-cam then discard set groups gbp-policy firewall family any filter gbp-policy term con-to-cam then count CON-CAM set groups gbp-policy firewall family any filter gbp-policy term con-to-es from gbp-src-tag 200 set groups gbp-policy firewall family any filter gbp-policy term con-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family any filter gbp-policy term con-to-es then discard set groups gbp-policy firewall family any filter gbp-policy term con-to-es then count CON-ES set groups gbp-policy firewall family any filter gbp-policy term ss-to-cam from gbp-src-tag 300 set groups gbp-policy firewall family any filter gbp-policy term ss-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family any filter gbp-policy term ss-to-cam then accept set groups gbp-policy firewall family any filter gbp-policy term ss-to-cam then count SS-CAM set groups gbp-policy firewall family any filter gbp-policy term ss-to-es from gbp-src-tag 300 set groups gbp-policy firewall family any filter gbp-policy term ss-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family any filter gbp-policy term ss-to-es then discard set groups gbp-policy firewall family any filter gbp-policy term ss-to-es then count SS-ES set apply-groups gbp-policy
- Ejecute una comprobación de confirmación en Junos para comprobar que los comandos y las variables utilizadas son válidos. Cuando esté satisfecho con su configuración, confirme la configuración candidata para activarla en el dispositivo. Estos comandos se muestran a continuación. También puede revisar la configuración escribiendo
run show configuration.commit check configuration check succeeds commit commit complete
Limitaciones para conmutadores EX y QFX:
-
Conmutadores EX9204, EX9208 y EX9214:
-
No se admiten los SGT configurados mediante RADIUS/802.1X.
-
La compatibilidad con la propagación de etiquetas de rutas /32 y la aplicación de políticas en el extremo de entrada se inicia en Junos OS versión 24.2R1.
-
La compatibilidad con la propagación de etiquetas de rutas de prefijo IP mediante anuncios EVPN de tipo 5 comienza en Junos OS versión 24.2R1.
-
No se admiten perfiles UFT GBP.
-
-
El número de etiquetas únicas para las plataformas EX4400 y QFX5120 está restringido a 1K.
-
Las
interfacecoincidencias yVLANGBP no se admiten en los conmutadores EX4100. -
No se admite el etiquetado GBP basado en IP de multidifusión.
-
La GBP basada en IP no se aplica a los flujos de conmutación de capa 2 y la GBP basada en MAC no se aplica a los flujos de enrutamiento de capa 3 de acceso a acceso.
-
IPACL no se admite cuando se configura GBP basada en interfaz.
-
La acción de revisión policial y recuento solo se admite para las entradas de política GBP basadas en MAC e IP.
-
La GBP basada en VLAN no es compatible con las interfaces lógicas de estilo de proveedor de servicios.
-
Los filtros de asignación de etiquetas GBP no admiten la opción de contador.
-
Diferentes criterios de coincidencia de filtros GBP (MAC, interfaz e interfaz + VLAN) no pueden formar parte del mismo filtro.
GBP Junos OS versión 21.1R1 y posteriores
Asignación de SGT con un servidor RADIUS
En este ejemplo, configuramos SGT en un servidor RADIUS y luego usamos el control de acceso 802.1X en el EX4400 para recibirlos. Los servidores RADIUS se utilizan habitualmente en entornos de campus para el control de acceso y, por ejemplo, para controlar la asignación de VLAN.
Para acomodar el uso de SGT en el servidor RADIUS, necesitamos aprovechar el atributo específico del proveedor (VSA), tal como lo admite el marco de servicio AAA (estos VSA se llevan como parte del mensaje de respuesta de solicitud RADIUS estándar y proporcionar una extensión incorporada para manejar información específica de la implementación, como nuestros SGT). La sintaxis exacta del servidor RADIUS varía según si el esquema de autenticación está basado en MAC o EAP. Para los clientes basados en MAC, la configuración tiene el siguiente aspecto:
001094001199 Cleartext-Password := "001094001199" Juniper-Switching-Filter = "apply action gbp-tag 100"
Para los clientes basados en EAP, el SGT se inserta desde el servidor RADIUS en el momento de la autenticación. La configuración tiene el siguiente aspecto:
PermEmp01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 100"
A partir de Junos versión 21.1R1, los conmutadores EX4400 introducen una nueva condición de coincidencia para su uso con VXLAN-GBP que permite que el firewall reconozca las etiquetas SGT que pasa el servidor RADIUS e inserta en el encabezado VXLAN.
Puede ver cómo funciona esto en los siguientes ejemplos de código. Las políticas de firewall en GBP se enmarcan en función de las etiquetas GBP de origen y destino. Una etiqueta de origen es el campo de 16 bits del encabezado VXLAN del paquete entrante, mientras que la etiqueta de destino se deriva en el extremo del túnel de salida, según la asignación de etiqueta configurada.
Supongamos que tenemos un punto final de salida con la configuración que se muestra a continuación. A los paquetes de la dirección 00:01:02:03:04:10:10 MAC de origen se les asigna la etiqueta 100, y a los paquetes de la dirección 00:01:02:03:04:20:20 MAC de origen se les asigna 200.
set firewall family ethernet-switching filter assign_tag term tag100 from source-mac-address 00:01:02:03:04:10:10 set firewall family ethernet-switching filter assign_tag term tag100 then gbp-src-tag 100 set firewall family ethernet-switching filter assign_tag term tag200 from source-mac-address 00:01:02:03:04:20:20 set firewall family ethernet-switching filter assign_tag term tag200 then gbp-src-tag 200
Para los paquetes con una etiqueta GBP de 100 y una dirección MAC de destino de , la etiqueta (gbp-dst-tag) de grupo de 00:01:02:03:04:10:10destino será 100 y coincidirá a término t10-100. Del mismo modo, para los paquetes con etiqueta GBP 100 y una dirección MAC de destino de , la etiqueta de grupo de 00:01:02:03:04:20:20destino será 200 y coincidirá con el término t10-200.
set firewall family ethernet-switching filter gbp-policy term t10-100 from gbp-src-tag 100 set firewall family ethernet-switching filter gbp-policy term t10-100 from gbp-dst-tag 100 set firewall family ethernet-switching filter gbp-policy term t10-100 then accept set firewall family ethernet-switching filter gbp-policy term t10-200 from gbp-src-tag 100 set firewall family ethernet-switching filter gbp-policy term t10-200 from gbp-dst-tag 200 set firewall family ethernet-switching filter gbp-policy term t10-200 then discard
La misma asignación de etiqueta utilizada para asignar la dirección MAC de origen a la etiqueta de origen también se utiliza para asignar la dirección MAC de destino a la etiqueta de destino. Esto también es cierto para las asignaciones basadas en interfaces.
Veamos otro ejemplo de código, esta vez con una etiqueta de origen GBP de 300 y con interfaz ge-0/0/30.0de entrada de paquetes. Como puede ver a continuación, la etiqueta de origen GBP 300 está asignada y en dirección de salida, y 300 también es la etiqueta de grupo de destino GBP.
set firewall family ethernet-switching filter assign_tag term tag300 from interface ge-0/0/30.0 set firewall family ethernet-switching filter assign_tag term tag300 then gbp-src-tag 300
Tenga en cuenta que debe configurar el filtro de firewall GBP en el conmutador de salida, ya que no hay forma de que el conmutador de entrada sepa qué etiquetas de grupo se utilizan en el conmutador de salida. Además, debe habilitar VXLAN-GBP globalmente en el nodo de entrada, para que pueda realizar la búsqueda en las coincidencias y agregar SGT en el encabezado VXLAN, así como en el nodo de salida. Haga esto con el comando de configuración que se muestra aquí:
set chassis forwarding-options vxlan-gbp-profile
Antes de crear cualquier regla, puede ser útil organizar el esquema creando una tabla para todos los puntos de conexión (usuarios y dispositivos) y el valor SGT asignado. Aquí, mostramos una de esas tablas, cuyos valores se aplicarán más tarde en una matriz, que se puede usar para simplificar aún más la lógica y aclarar sus reglas.
| Extremo |
Valor de SGT asignado |
|---|---|
| Empleado Permanente (PE) |
100 |
| Contratista (CON) |
200 |
| Personal de seguridad (SS) |
300 |
| Cámara de seguridad (CAM) |
400 |
| Servidor de ingeniería (ES) |
500 |
La relación entre el servidor RADIUS y los SGT, los encabezados de paquete EX4400 y VXLAN, y un filtro de firewall central para administrar la política de acceso, es tal que una matriz se convierte en una forma práctica de organizar los valores. En la tabla siguiente, enumeramos los roles de usuario en la primera columna y los tipos de dispositivos en la primera fila para crear una matriz de acceso. A cada rol de usuario y tipo de dispositivo se le asigna un SGT y la configuración de RADIUS se ha actualizado con la información.
En este ejemplo se usan tres tipos de empleados: empleado permanente (PE), contratista (CON) y personal de seguridad (SS). También utiliza dos tipos de recursos, Eng Server (ES) y cámara de seguridad (CAM). Usamos Y para indicar que se permite el acceso y N para mostrarlo cuando se bloquea el acceso. La tabla sirve como un recurso útil al crear las distintas reglas de firewall en la política y hace que la asignación de acceso sea simple y clara.
| ES (SGT 500) | CAM (SGT 400) | PE (SGT 100) | CON (SGT 200) | SS (SGT 300) | |
|---|---|---|---|---|---|
| PE (SGT 100) | Y | N | Y | Y | N |
| CON (SGT 200) | N | N | Y | N | N |
| SS (SGT 300) | N | Y | N | N | Y |
Topología
En aras de la simplicidad, toda la configuración de este ejemplo se realiza en un único conmutador de la serie EX4400 de Juniper que ejecuta Junos OS versión 21.1R1. El conmutador está conectado a un servidor RADIUS para AAA. Este modificador funciona como salida en este ejemplo. Recuerde que para los SGT debe definir el firewall en el conmutador de salida, mientras que normalmente lo haría en la puerta de enlace VXLAN de entrada para la capa de acceso.
EX4400
Requisitos
VXLAN-GBP es compatible con Junos OS versión 21.1R1 en los siguientes conmutadores: EX4400-24P, EX4400-24T, EX4400-48F, EX4400-48P y EX4400-48T. Consideremos un conmutador EX4400 en este ejemplo.
A partir de la versión 21.4R1 de Junos, VXLAN-GBP también es compatible con los siguientes conmutadores: QFX5120-32C, QFX5120-48T, QFX5120-48Y, QFX5120-48YM, EX4650 y EX4650-48Y-VC.
Configuración
Podemos resumir la secuencia de eventos subyacentes a la segmentación basada en VXLAN-GBP, presentada en los párrafos anteriores, de la siguiente manera:
- Los usuarios inician sesión en la red y son autenticados por el servidor RADIUS (en el que se configuran los SGT para todos los extremos).
- Mediante filtros de firewall, el EX4400 selecciona el tráfico en función de la autenticación 802.1X o la dirección MAC y, a continuación, asigna una etiqueta de grupo a las tramas coincidentes. (Para clientes autenticados DOT1X, no es necesaria la configuración de firewall estático). La mecánica de esto se realiza utilizando firewall, como se muestra aquí:
set firewall family ethernet-switching filter name term name from source-mac-address MAC-Addr
set firewall family ethernet-switching filter name term name then gbp-src-tag PE-GRP
- El tráfico etiquetado que pasa a través del EX4400 se evalúa sobre la base de valores SGT, nuevamente, utilizando la mecánica del filtro de firewall. Para que esto suceda, primero debe habilitar
chassis forwarding-options vxlan-gbp-profileen el conmutador, luego usar lasgbp-dst-tagcondiciones y/ogbp-src-taghacer coincidir para escribir sus reglas de firewall e incluirlas en la política de enrutamiento en el conmutador de salida que usa para la microsegmentación GBP.
Configuración de un conmutador independiente Juniper EX4400 para VXLAN-GBP
Utilice los siguientes comandos para configurar la segmentación VXLAN-GBP en un entorno de espacio aislado. Normalmente, crearía las reglas de filtro de firewall en el conmutador que sirve como puerta de enlace VXLAN (de salida) para la capa de acceso, pero en aras de la simplicidad, estamos usando el mismo EX4400 independiente tanto para las reglas de filtro de firewall como para el servidor RADIUS (EAP, aquí). Los valores que usamos en este ejemplo son de las tablas anteriores.
Los comandos siguientes incluyen variables como nombres de perfil y direcciones IP, que deben adaptarse para que tengan sentido para su entorno de prueba.
- Configure el servidor RADIUS:
set groups dot1xgbp access radius-server 10.204.96.102 port 1812 set groups dot1xgbp access radius-server 10.204.96.102 secret “secret key" set groups dot1xgbp access profile radius_profile_dev12 authentication-order radius set groups dot1xgbp access profile radius_profile_dev12 radius authentication-server 10.204.96.102 set groups dot1xgbp access profile radius_profile_dev12 radius accounting-server 10.204.96.102 set groups dot1xgbp access profile radius_profile_dev12 accounting order radius
- Configure los puertos físicos para admitir la autenticación RADIUS:
set groups dot1xgbp protocols dot1x authenticator authentication-profile-name radius_profile_dev12 set groups dot1xgbp protocols dot1x authenticator interface xe-0/0/46.0 supplicant multiple set groups dot1xgbp protocols dot1x authenticator interface xe-0/0/46.0 mac-radius
- Configure las etiquetas SGT en el servidor RADIUS:
Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 100" Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 200" SecurityStaff01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 300" SecurityCam01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 400" EngServer01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 500"
- Habilite VXLAN-GBP en el conmutador:
set chassis forwarding-options vxlan-gbp-profile
- Cree reglas de filtro de firewall que aprovechen los SGT (utilizando valores organizados en la matriz):
set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe from gbp-src-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe from gbp-dst-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe then accept set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe then count PE-PE set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es from gbp-src-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es then accept set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es then count PE-ES set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam from gbp-src-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam then count PE-CAM set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam from gbp-src-tag 200 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam then count CON-CAM set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es from gbp-src-tag 200 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es then count CON-ES set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam from gbp-src-tag 300 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam then accept set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam then count SS-CAM set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es from gbp-src-tag 300 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es then count SS-ES set apply-groups gbp-policy
- Ejecute una comprobación de confirmación en Junos para comprobar que los comandos y las variables utilizadas son válidos. Cuando esté satisfecho con su configuración, confirme la configuración candidata para activarla en el dispositivo. Estos comandos se muestran a continuación. También puede revisar la configuración escribiendo
run show configuration.commit check configuration check succeeds commit commit complete