EN ESTA PÁGINA

Instancias de enrutamiento y reenvío virtuales en despliegues de SD-WAN
Soporte de multidifusión en despliegues de SD-WAN
Administración de flujo mediante instancia de enrutamiento VRF
Procesamiento de flujo mediante el enrutamiento virtual y el grupo de reenvío
Procesamiento de flujo con zonas conscientes de VRF

Administración de flujos en firewalls mediante enrutamiento y reenvío virtuales

Instancias de enrutamiento y reenvío virtuales en despliegues de SD-WAN

Las instancias de enrutamiento y reenvío virtual (VRF) son necesarias para separar las rutas de cada inquilino de la ruta de otros inquilinos y del resto del tráfico de red. Los firewalls utilizan instancias VRF para segmentar las redes a fin de aumentar la seguridad y mejorar la capacidad de administración en los despliegues de SD-WAN. Por ejemplo, puede crear distintos dominios de enrutamiento denominados inquilinos para segmentar grandes redes corporativas y segmentar el tráfico para admitir varias redes de clientes. Cada inquilino tiene su propia tabla de enrutamiento, lo que permite el soporte para subredes IP superpuestas. VRF se puede usar para administrar rutas y reenviar tráfico en función de tablas de reenvío independientes en VRF para un inquilino específico.

En una implementación de SD-WAN, un enrutador de borde de proveedor (PE) puede ser tanto un dispositivo concentrador como un dispositivo radial que recibe y reenvía tráfico MPLS. Un enrutador de borde de cliente (CE) es el firewall que interactúa con un enrutador de PE para transmitir tráfico VPN mediante instancias de enrutamiento VRF. Las instancias de VRF reenvían cada tráfico de VPN de cliente y cada instancia de VRF contiene una etiqueta para representar todo el tráfico de cliente que fluye a través de ese VRF.

Diferentes sitios que se conectan a un lado radial del firewall pueden pertenecer al mismo inquilino o a la misma instancia de enrutamiento VRF. Estos sitios envían el tráfico IP que está destinado a llegar a sitios de inquilinos remotos o de Internet públicos.

Cuando el tráfico llega al lado radial del firewall, el dispositivo identifica la instancia de VRF a partir de las interfaces de LAN que están conectadas a esos sitios. Después del procesamiento de seguridad en este tráfico, el tráfico encuentra una ruta al destino en esa tabla de enrutamiento VRF. Si el destino es MPLS sobre encapsulación de enrutamiento genérico (GRE) basada en el próximo salto, el firewall agrega una etiqueta MPLS correspondiente y reenvía el paquete al dispositivo del lado del concentrador.

En el dispositivo del lado del concentrador, después de recibir MPLS a través del tráfico de túnel GRE, el firewall asocia la etiqueta MPLS para identificar la instancia de enrutamiento VRF correspondiente. Una vez completado el procesamiento de seguridad del tráfico, el dispositivo identifica si el destino está en Internet pública o si se puede acceder a él a través del siguiente salto de MPLS.

Si el destino es Internet público, TDR convierte la dirección IP privada VRF en una dirección IP pública y establece la sesión. Si el destino es un tipo de próximo salto MPLS, se agrega la etiqueta MPLS correspondiente y el paquete se reenvía al radio remoto mediante un túnel de superposición GRE.

En el lado de radio remoto, después de recibir el tráfico de túnel MPLS a través de GRE, el dispositivo identifica la instancia de enrutamiento VRF correspondiente mediante las etiquetas de MPLS. Con esa instancia de enrutamiento VRF, el firewall busca la interfaz LAN de destino correcta en ese VRF para reenviar el paquete al destino.

Soporte de multidifusión en despliegues de SD-WAN

A partir de la versión 21.2R1 de Junos OS, agregamos soporte para el tráfico de multidifusión en los firewalls de la serie SRX en el perímetro del proveedor (PE) para despliegues de SD-WAN. La compatibilidad con tráfico de multidifusión está disponible cuando el dispositivo de seguridad funciona con la opción de reenvío establecida como basada en flujo en la set security forwarding-options family mpls mode jerarquía. Consulte opciones de reenvío (Seguridad).

Limitaciones

La compatibilidad con tráfico de multidifusión no está disponible cuando el dispositivo funciona con la opción de reenvío establecida como packet-based.
El soporte para tráfico de multidifusión solo está disponible para topología radial con IP a través de MPLS sobre GRE e IP sobre MPLS-sobre-GRE-sobre-IPsec
El soporte para tráfico de multidifusión no introduce ningún cambio ni aborda ninguna limitación relacionada con la funcionalidad de reenvío de datos de VPN de multidifusión (MVPN). Consulte Limitación de rutas que anunciará una instancia VRF de MVPN.

Administración de flujo mediante instancia de enrutamiento VRF

El flujo de firewall crea sesiones basadas en datos de 5 tuplas (dirección IP de origen, dirección IP de destino, número de puerto de origen, número de puerto de destino y número de protocolo) junto con tokens de interfaz de entrada e interfaz de salida del tráfico. Por ejemplo, la instancia de enrutamiento VRF-1 y la instancia de enrutamiento VRF-2 tienen el mismo tráfico de 5 tuplas que puede entrar y salir a través del mismo túnel físico GRE. Cuando estas direcciones IP superpuestas del mismo túnel entran o salen por el firewall, el flujo de firewall no puede instalar varias sesiones en la base de datos debido al conflicto en la información de la sesión. Se requiere información adicional para que el firewall diferencie las sesiones durante la instalación.

El firewall puede usar información de VRF de los paquetes etiquetados con MPLS en la clave de sesión para diferenciar sesiones. Para diferenciar sesiones de diferentes instancias de VRF, flow utiliza números de identificación de VRF en la clave de sesión existente para identificar cada instancia de VRF. Esta clave de sesión se utiliza como uno de los criterios de coincidencia durante la búsqueda de sesión.

Puede usar los siguientes criterios de coincidencia junto con las condiciones de coincidencia de 5 tuplas existentes en una política de seguridad para permitir o denegar tráfico en función de un VRF dado:

VRF de origen: la instancia de enrutamiento VRF asociada con la interfaz entrante del paquete. Cuando un paquete MPLS entrante que contiene una etiqueta llega al firewall, el dispositivo decodifica la etiqueta y la asigna a la interfaz entrante.
VRF de destino: la instancia de enrutamiento VRF asociada con la ruta final al destino. Durante el primer procesamiento de paquetes para una nueva sesión, el flujo necesita una ruta de destino para enrutar un paquete al dispositivo o interfaz del siguiente salto. Flow busca en la tabla de enrutamiento inicial desde la interfaz entrante o desde una tabla RTT independiente hasta que encuentra el dispositivo o la interfaz del próximo salto final. Una vez que se encuentra la entrada de ruta final, y si esa ruta apunta a un dispositivo de próximo salto MPLS, el VRF de destino se asigna a la instancia de enrutamiento en la que se encuentra la ruta final.

Procesamiento de flujo mediante el enrutamiento virtual y el grupo de reenvío

Descripción de los grupos de enrutamiento y reenvío virtuales
Tipos de grupos VRF
Movimiento VRF
ID de grupo de VRF
Configuración de grupos VRF
Operaciones del grupo VRF
Procesamiento de la primera ruta con VRF Group
Procesamiento rápido de rutas usando VRF Group

Descripción de los grupos de enrutamiento y reenvío virtuales

La red empresarial SD-WAN está compuesta por múltiples redes L3VPN, como se muestra en la siguiente figura.

Figura 1: Múltiples L3VPN Cloud-based network diagram showing an on-premise site linked to a cloud site via an edge device. The cloud site connects to a data center site with hubs and edges. Multiple VPNs with customer edge devices connect to the network, illustrating a hybrid cloud network architecture with VPN connectivity.

Cloud-based network diagram showing an on-premise site linked to a cloud site via an edge device. The cloud site connects to a data center site with hubs and edges. Multiple VPNs with customer edge devices connect to the network, illustrating a hybrid cloud network architecture with VPN connectivity.

Las redes L3VPN se identifican en un sitio (dispositivo CPE) como un conjunto de instancias de VRF. Las instancias de VRF en un sitio que pertenecen a una red L3VPN en un sitio se utilizan para el reenvío basado en políticas de aplicación. El manejo de sesiones de flujo de firewall se ha mejorado para admitir la conmutación de tráfico de flujo medio entre estas instancias de VRF en función de las políticas de dirección basadas en aplicaciones. Las instancias VRF que forman parte lógicamente de una red L3VPN determinada se pueden configurar como un grupo VRF. Los comandos de configuración del firewall y TDR existentes se han mejorado para admitir operaciones en el grupo VRF.

La siguiente figura describe cómo se realiza la dirección del tráfico dentro de una L3VPN en varios VRF según las políticas de APBR.

Figura 2: L3VPN en varios VRF Network diagram showing routing between two firewalls with APBR rules, BGP connections, routing paths, and RIB groups.

Network diagram showing routing between two firewalls with APBR rules, BGP connections, routing paths, and RIB groups.

Cuando configure los grupos VRF mediante instancias VRF, se generará un ID de grupo VRF. Estos grupos VRF se utilizan en los siguientes módulos para controlar L3VPN de SD-WAN:

Security Policy - Para el control de políticas.
Flow - Para buscar políticas basadas en nombres de grupos VRF, junto con la zona de origen o destino, la dirección IP de origen o destino y el protocolo. Por lo tanto, las sesiones se crean utilizando grupos VRF como uno de diferenciadores.
NAT - Para admitir reglas TDR basadas en nombres de grupo VRF.
ALG - Para crear sesiones ALG utilizando grupos VRF como uno de diferenciadores.

La funcionalidad de los grupos VRF:

Permite que una sesión cambie entre dos VRF de MPLS.
Cuando las instancias VRF forman parte del mismo grupo VRF, las funciones de seguridad, como los módulos de flujo, política, TDR o ALG, tratan las instancias VRF de manera similar.
Cuando configure los grupos VRF mediante instancias VRF, se generará un ID de grupo VRF. Este ID de grupo se almacena en session para identificar el grupo VRF de una instancia VRF en particular.

Se introduce el grupo VRF para admitir sesiones basadas en L3VPN MPLS en la red SD-WAN. Se utiliza para controlar el tráfico L3VPN de MPLS en módulos de política, flujo, TDR y ALG cuando hay direcciones de red IP superpuestas o no superpuestas en la red L3VPN de MPLS.

Si el tráfico pasa entre redes L3VPN que no son MPLS, los grupos VRF no están configurados. Cuando los grupos VRF no están configurados, el ID de grupo VRF será cero o la política utilizará la opción any para el grupo VRF.

El propósito de los grupos VRF es:

Para diferenciar sesiones L3VPN entre redes MPLS L3VPN.
Tener control de políticas y TDR entre redes MPLS y L3VPN.

Tipos de grupos VRF

Hay dos grupos VRF importantes en la red L3VPN que son:

Grupo Source-VRF
Grupo de VRF de destino

Para comprender qué instancias VRF se pueden agrupar para el grupo Source-VRF o el grupo Destination-VRF, utilice la siguiente información:

Source-VRF instances: lista de instancias de VRF que negocian diferentes rutas de MPLS con el mismo destino de entrada.
Destination-VRF instances— Lista de instancias VRF que contienen las rutas de destino para un tráfico L3VPN dado.

Nota:

Si el tráfico se inicia en la dirección opuesta, los grupos VRF cambian de función con respecto a la dirección del tráfico.

Movimiento VRF

En la Figura 3, el flujo de tráfico inicial para un establecimiento de sesión es de izquierda a derecha. El tráfico entra en la zona GRE 1, luego entra en el grupo VRF de origen (A) y pasa por el grupo VRF de destino (A') antes de salir por GRE_Zone2.

Del mismo modo, la búsqueda de políticas se inicia desde GRE_Zone1->Source-VRF group(A)->Destination-VRF group->(A’)->GRE_Zone2 y las sesiones de flujo se configuran utilizando el grupo VRF de origen (A) y el grupo VRF de destino (A) como valores de clave adicionales en las sesiones. Cuando las sesiones de flujo se realizan mediante grupos VRF, el tráfico puede cambiar (reenrutar) de un VRF a otro VRF dentro del grupo.

Figura 3: Movimiento VRF dentro del grupo MPLS traffic flow through firewall with VRF and GRE zones; green arrows show flow, red symbol indicates blocked traffic.

MPLS traffic flow through firewall with VRF and GRE zones; green arrows show flow, red symbol indicates blocked traffic.

VRF

ID de grupo de VRF

Para almacenar el ID de grupo VRF, se utiliza un número de 16 bits en una estructura de datos de clave de sesión.

Configuración de grupos VRF

Para configurar un grupo VRF, siga estos pasos:

Enumere las instancias de VRF que deben agruparse.
Asigne un nombre al grupo VRF.
Aplique las instancias VRF y el nombre del grupo VRF en el comando set security l3vpn vrf-group group-name vrf vrf1 vrf vrf2 de la CLI

Los grupos VRF de origen y destino se configuran por separado en función de diferentes contextos.

Source VRF group: el grupo VRF de origen para la instancia de enrutamiento está asociado con el paquete MPLS. Cuando el dispositivo recibe un paquete MPLS, el paquete se decodifica y se asigna a la interfaz LSI. La interfaz LSI contiene la información de la tabla de enrutamiento que ayuda a identificar los detalles del grupo VRF.
Destination VRF group: durante el procesamiento del flujo de la primera ruta del paquete para una nueva sesión, se requiere la información de la ruta de destino para enrutar el paquete al siguiente salto o interfaz. Flow busca en la tabla de enrutamiento para obtener la información de la ruta. Cuando la información de la ruta recibida apunta a MPLS como salto siguiente, el VRF de esta ruta se utiliza para identificar el grupo VRF de destino.

Nota:

Los grupos VRF de origen y destino son los mismos en algunos casos cuando prefiere controlar todos los VRF relacionados en una red L3VPN.

Operaciones del grupo VRF

Cuando se configura un grupo VRF, se crea un ID de grupo que es único para los diferentes grupos VRF. Puede realizar diferentes operaciones, como agregar, eliminar o modificar un VRF a un grupo VRF.

Agregar VRF a un grupo VRF
Eliminación de VRF de un grupo VRF
Modificación del grupo VRF
Eliminación del grupo VRF

Agregar VRF a un grupo VRF

Cuando se agrega un VRF a un grupo VRF, se asigna el ID de grupo VRF correspondiente al VRF. Cuando agregue un VRF a un grupo VRF, recuerde lo siguiente:

Un VRF solo se puede agregar a un grupo VRF. No puede formar parte de varios grupos de VRF.
Se configuran un máximo de 32 VRF en un grupo VRF.
Cuando se agrega un VRF, afecta a la sesión existente y se crea una nueva sesión según la política.
Cuando se crean nuevas sesiones después de agregar un nuevo VRF al grupo VRF, las sesiones utilizan el nuevo ID de grupo VRF del nuevo VRF.

Eliminación de VRF de un grupo VRF

Cuando se elimina un VRF de un grupo VRF, el ID de grupo VRF de ese grupo VRF cambia a cero, pero el VRF seguirá estando disponible en el dispositivo. Cuando elimina un VRF de un grupo VRF, afecta a las sesiones existentes de dos maneras:

Impacting existing sessions: cuando se elimina un VRF del grupo VRF, se elimina la sesión existente y se creará una nueva sesión según la política
Match Traffic: cuando se elimina un VRF del grupo VRF, el ID de grupo VRF para ese VRF cambia a cero y, por lo tanto, no coincidirá con la sesión. El paquete se cae y se crea una nueva sesión según la política.

Cuando se elimina un VRF del grupo VRF, la nueva sesión que se procesa con el VRF afectado instala un nuevo ID de grupo VRF. Este ID de grupo VRF será cero o se creará un nuevo ID de grupo si agrega VRF a un nuevo grupo VRF

Modificación del grupo VRF

La modificación de un grupo VRF implica las siguientes operaciones:

Changing VRF group name: Al cambiar el nombre del grupo VRF, el módulo de políticas analiza las sesiones existentes para comprobar si el nuevo nombre de grupo VRF coincide con las reglas existentes.
Adding VRF to VRF group: Cuando se agrega un VRF a un grupo VRF, se asigna el ID de grupo VRF correspondiente al VRF.
Removing VRF from VRF group: Cuando se elimina un VRF de un grupo VRF, el ID de grupo VRF de ese VRF cambia a cero y el VRF seguirá estando disponible en el dispositivo.

Eliminación del grupo VRF

Cuando elimine un grupo VRF mediante la CLI, se realizará un análisis de sesión en las sesiones existentes para que coincida con el grupo VRF que se eliminó. Si la sesión coincide con el grupo VRF eliminado, dicha sesión se elimina del dispositivo estableciendo un tiempo de espera no válido. En el caso de las sesiones que no coincidan con el VRP-Group-ID eliminado, no se verán afectadas.

Procesamiento de la primera ruta con VRF Group

Para procesar un paquete, el primer procesamiento de ruta realiza lo siguiente:

MPLS Decoder: cuando el flujo recibe un paquete MPLS o no MPLS, el paquete se procesa para recuperar los detalles del paquete entrante, la interfaz y la instancia de enrutamiento de la interfaz entrante.
FBF configuration: cuando configure reglas FBF para redirigir los paquetes entrantes a una instancia de enrutamiento diferente, la regla FBF busca la información de la instancia de enrutamiento y pasa la información de la instancia de enrutamiento FBF en lugar de la instancia de enrutamiento de la interfaz entrante del paquete. Este FBF VRF debe ser parte del grupo VRF para controlar la red L3VPN.
Initialize Routing-Table: cuando el flujo recibe el paquete, se crea la tabla de enrutamiento inicial para el paquete. Si la configuración de FBF coincide con los filtros del firewall, la información de la instancia de enrutamiento de FBF se utiliza para la búsqueda de rutas. De lo contrario, flow utiliza la información de instancia de enrutamiento de la interfaz entrante para la búsqueda de rutas.
Finding Source VRF group: si el paquete entrante proviene de una red MPLS, el paquete se asigna a la instancia VRF del grupo VRF de origen. Si el paquete entrante no es un paquete MPLS, el ID de grupo VRF de origen es cero.
Destination NAT using VRF group: el flujo comprueba si la IP de destino necesita traducción TDR. El TDR de destino admite dos tipos de criterios de coincidencia para VRF:
- Búsqueda de reglas TDR utilizando VRF routing-group.
- Resultado de la regla TDR utilizando la instancia de enrutamiento VRF y la información de TDR.
Destination Route: la búsqueda de ruta que se realiza en la tabla de rutas inicial se utiliza para identificar la interfaz saliente y la información de VRF de destino. Esta información se utiliza en la búsqueda de políticas y en la instalación de sesiones.
Final next-hop—El primer paso para encontrar la ruta de destino es encontrar el siguiente salto final de la ruta señalada. Con este próximo salto, el flujo comprobará si el siguiente salto apunta a la red MPLS o no. Si no apunta a la red MPLS, el grupo VRF de destino será cero.
Destination VRF group— Cuando se identifica el VRF de destino, se inicializa el ID de grupo VRF de destino. Si el VRF de destino no está asignado a ningún grupo, se establece en cero.
First Path Policy Search: Flow realiza una búsqueda de políticas para comprobar si es necesario permitir o denegar el paquete. Flow recopila la información clave de la política de 5 tuplas y la información de VRF, y el módulo de búsqueda de políticas utiliza esta información para encontrar la política de VRF adecuada.
Source NAT using VRF group: la sesión de flujo realiza la fuente de TDR mediante la búsqueda de reglas TDR de grupo VRF de origen. Source-TDR admite dos tipos de criterios de búsqueda TDR.
- Búsqueda de reglas de origen TDR mediante el grupo VRF.
- Búsqueda de reglas estáticas-TDR mediante el grupo VRF o la instancia VRF.
Static NAT using VRF group or VRF instance: TDR estático admite routing group en rule-set y routing-instance en rule con tipo VRF.
- Cuando la TDR estática coincide con la traducción de TDR de destino para un paquete IP dado, el grupo de enrutamiento VRF será uno de los criterios de coincidencia y la instancia de enrutamiento VRF se utilizará como tabla de enrutamiento de destino.
- Cuando la TDR estática coincide como traducción de TDR de origen para un paquete IP dado, la instancia de enrutamiento VRF será uno de los criterios de coincidencia.
Session Installation using VRF group: durante el proceso de instalación de la sesión, el ID de grupo VRF de origen se almacena en el ala delantera, lo que indica que el ala apunta a la red MPLS. El ID de grupo VRF de destino que se encuentra en la búsqueda de ruta se almacena en el ala inversa, lo que indica que el ala apunta a la red MPLS.
Re-routing using VRF group: una vez establecida la sesión con la información de grupo VRF, se inicia el reenrutamiento si la interfaz no funciona o la ruta inicial no está disponible. Estas rutas modificadas deben formar parte del mismo grupo VRF (grupo Source-VRF/Destination-VRF), en el que la sesión se establece inicialmente en cualquiera de los lados. De lo contrario, el tráfico no coincidirá con la sesión y el tráfico futuro de la sesión podría perderse o crear nuevas sesiones según la política.

Procesamiento rápido de rutas usando VRF Group

El procesamiento de ruta rápida realiza los pasos siguientes para procesar un paquete.

MPLS Decoder: cuando se recibe un paquete MPLS o no MPLS, el paquete se somete a procesamiento MPLS. Cuando se completa el procesamiento, el flujo recibe los detalles del paquete entrante, la interfaz y la instancia de enrutamiento de la interfaz entrante.
FBF configuration: cuando configure reglas FBF para redirigir los paquetes entrantes a una instancia de enrutamiento diferente, la regla FBF busca la información de la instancia de enrutamiento y pasa la información de la instancia de enrutamiento FBF en lugar de la instancia de enrutamiento de la interfaz entrante del paquete. Este FBF VRF debe ser parte del grupo VRF para controlar la red L3VPN.
Session look-up using VRF Group-ID: durante el proceso de búsqueda de sesión, el flujo comprueba si se pasa el ID de grupo VRF en la clave de sesión para la búsqueda. Si la interfaz entrante es MPLS, flow pasará la información del ID de grupo VRF de la instancia de enrutamiento VRF asignada a la clave de sesión junto con otra información de tupla clave. Si la interfaz entrante no es MPLS, el ID de grupo VRF será cero.
Session Route change: si la ruta cambia para la sesión en medio de la secuencia, el flujo comprueba el nuevo VRF que pertenece a esta ruta. Si el nuevo ID de grupo VRF difiere del ID de grupo VRF de la sesión, la ruta no se procesará y se descartarán los paquetes futuros. Por lo tanto, para el reenrutamiento, la nueva ruta debe pertenecer a un VRF que pertenezca al grupo VRF de sesión.
VRF Group policy change—Cuando se cambia la política de sesión de grupo VRF debido a atributos de política como zona/interfaz/IP/grupo Source-VRF/Destination-VRF group, la política se volverá a emparejar para la misma sesión proporcionando la política 5-tupla junto con los valores del grupo VRF de origen y del grupo VRF de destino para comprobar si la política es válida o no. Tras la recoincidencia, si la política no coincide con la información de la sesión, la sesión finaliza.
VRF session display—El grupo VRF de origen y el grupo VRF de destino se muestran en la pantalla de salida de la sesión para diferenciar diferentes grupos VRF para la misma tupla.
High Availability: se admite alta disponibilidad sin cambios de comportamiento cuando se sincroniza información adicional del ID de grupo de VRF con el nodo par de alta disponibilidad para diferenciar diferentes grupos de VRF en la sesión

Procesamiento de flujo con zonas conscientes de VRF

En la administración de sesiones, ahora integramos los ID de zona en la tupla de sesión. El ID de grupo de enrutamiento y reenvío virtual (VRF) se sustituye por el ID de zona, que las sesiones de flujo almacenan en caché y pasan para su posterior procesamiento.

La administración de sesiones basada en zonas mantiene la alineación con las configuraciones de red al asociar con precisión las sesiones con la interfaz correcta y las zonas superpuestas. Cuando una zona cambia, como una alteración en una interfaz o una zona superpuesta, el sistema finaliza automáticamente las sesiones vinculadas a las zonas afectadas, manteniendo la coherencia y confiabilidad en todo el marco de administración de sesiones. Solo se terminan las sesiones asociadas con zonas modificadas, mientras que las vinculadas a zonas no afectadas continúan funcionando sin problemas.