Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Administración de flujo en dispositivos de la serie SRX mediante la instancia de enrutamiento VRF

Instancias virtuales de enrutamiento y reenvío en despliegues de SD-WAN

Las instancias de enrutamiento y reenvío virtual (VRF) son necesarias para separar las rutas de cada inquilino de la ruta de otros inquilinos y del resto del tráfico de red. Los firewalls de la serie SRX usan instancias de VRF para segmentar redes con el fin de aumentar la seguridad y mejorar la capacidad de administración en los despliegues de SD-WAN. Por ejemplo, puede crear distintos dominios de enrutamiento denominados inquilinos para segmentar grandes redes corporativas y segmentar el tráfico para admitir varias redes de clientes. Cada inquilino tiene su propia tabla de enrutamiento, lo que permite la compatibilidad con subredes IP superpuestas. VRF se puede usar para administrar rutas y reenviar tráfico basado en tablas de reenvío independientes en VRF para un inquilino específico.

En un despliegue de SD-WAN, un enrutador perimetral de proveedor (PE) puede ser tanto un dispositivo concentrador como un dispositivo radial que recibe y reenvía tráfico MPLS. Un enrutador perimetral del cliente (CE) es un firewall de la serie SRX que interactúa con un enrutador PE para transmitir tráfico VPN mediante instancias de enrutamiento VRF. Las instancias de VRF reenvían cada tráfico VPN de cliente y cada instancia de VRF contiene una etiqueta para representar todo el tráfico de clientes que fluye a través de ese VRF.

Diferentes sitios que se conectan a un firewall radial de la serie SRX pueden pertenecer al mismo inquilino o a la misma instancia de enrutamiento VRF. Estos sitios envían el tráfico IP destinado a llegar a Internet público o a sitios de inquilinos remotos.

Cuando el tráfico llega al firewall de la serie SRX del lado radial, el dispositivo identifica la instancia de VRF de las interfaces LAN que están conectadas a esos sitios. Después del procesamiento de seguridad en este tráfico, el tráfico encuentra una ruta al destino en esa tabla de enrutamiento VRF. Si el destino es MPLS sobre encapsulación de enrutamiento genérico (GRE) basada en el próximo salto, el firewall de la serie SRX agrega una etiqueta MPLS correspondiente y reenvía el paquete al dispositivo del lado del concentrador.

En el dispositivo del lado del concentrador, después de recibir MPLS a través del tráfico tunelizado GRE, el firewall de la serie SRX asocia la etiqueta MPLS para identificar la instancia de enrutamiento VRF correspondiente. Una vez completado el procesamiento de seguridad del tráfico, el dispositivo identifica si el destino está en Internet público o si se puede llegar a él a través del próximo salto de MPLS.

Si el destino es Internet pública, la Traducción de direcciones de red (NAT) convierte la dirección IP privada de VRF en una dirección IP pública y establece la sesión. Si el destino es un tipo de próximo salto MPLS, se agrega la etiqueta MPLS correspondiente y el paquete se reenvía al radio remoto mediante un túnel de superposición GRE.

En el lado del radio remoto, después de recibir el tráfico de túnel MPLS a través de GRE, el dispositivo identifica la instancia de enrutamiento VRF correspondiente utilizando las etiquetas MPLS. Con esa instancia de enrutamiento VRF, el firewall de la serie SRX encuentra la interfaz LAN de destino correcta en ese VRF para reenviar el paquete al destino.

Administración de flujo mediante la instancia de enrutamiento VRF

Un flujo de firewall de la serie SRX crea sesiones basadas en datos de 5 tuplas (dirección IP de origen, dirección IP de destino, número de puerto de origen, número de puerto de destino y número de protocolo) junto con tokens de interfaz de interfaz de entrada e interfaz de salida de tráfico. Por ejemplo, la instancia de enrutamiento VRF-1 y la instancia de enrutamiento VRF-2 tienen el mismo tráfico de 5 tuplas que puede entrar y salir por el mismo túnel GRE físico. Cuando estas direcciones IP superpuestas del mismo túnel entran o salen a través del firewall de la serie SRX, el flujo del firewall de la serie SRX no puede instalar varias sesiones en la base de datos debido al conflicto en la información de la sesión. Se requiere información adicional para que el firewall de la serie SRX diferencie las sesiones durante la instalación.

A partir de Junos OS versión 15.1X49-D160, los firewalls de la serie SRX pueden utilizar la información VRF de los paquetes etiquetados con MPLS en la clave de sesión para diferenciar las sesiones. Para diferenciar las sesiones de diferentes instancias de VRF, flow utiliza números de identificación VRF en la clave de sesión existente para identificar cada instancia de VRF. Esta clave de sesión se utiliza como uno de los criterios de coincidencia durante la búsqueda de sesión.

Puede usar los siguientes criterios de coincidencia junto con las condiciones de coincidencia de 5 tuplas existentes en una política de seguridad para permitir o denegar tráfico basado en un VRF dado:

  • VRF de origen: esta es la instancia de enrutamiento VRF asociada con la interfaz entrante del paquete. Cuando un paquete MPLS entrante que contiene una etiqueta llega a un firewall de la serie SRX, el dispositivo decodifica la etiqueta y asigna la etiqueta a la interfaz entrante.

  • VRF de destino: esta es la instancia de enrutamiento VRF asociada con la ruta final al destino. Durante el primer procesamiento de paquetes para una nueva sesión, Flow necesita una ruta de destino para enrutar un paquete al dispositivo o interfaz del siguiente salto. Flow busca en la tabla de enrutamiento inicial desde la interfaz entrante o desde una tabla RTT independiente hasta que encuentra el dispositivo o la interfaz del próximo salto final. Una vez que se encuentra la entrada de ruta final, y si esa ruta apunta a un dispositivo MPLS de próximo salto, el VRF de destino se asigna a la instancia de enrutamiento en la que se encuentra la ruta final.

Grupos virtuales de enrutamiento y reenvío

La red empresarial SD-WAN está compuesta por varias redes L3VPN, como se muestra en la Figura 1.

Figura 1: Varias L3VPN Multiple L3VPNs

Las redes L3VPN se identifican en un sitio (dispositivo CPE) como un conjunto de instancias VRF. Las instancias de VRF en un sitio que pertenece a una red L3VPN en un sitio se utilizan para el reenvío basado en políticas de aplicación. El manejo de sesiones de flujo SRX ha mejorado para admitir la conmutación de tráfico de flujo medio entre estas instancias de VRF según las políticas de dirección basadas en aplicaciones. Las instancias de VRF que son lógicamente parte de una red L3VPN dada se pueden configurar como un grupo VRF. El firewall existente, los comandos de configuración NAT se han mejorado para admitir operaciones en el grupo VRF.

La Figura 2 describe cómo se realiza la dirección del tráfico dentro de una L3VPN a través de múltiples VRF según las políticas de APBR.

Figura 2:

Al configurar los grupos VRF mediante instancias VRF, se genera un VRF group-ID. Estos grupos VRF se utilizan en los siguientes módulos para controlar SD-WAN L3VPN:

  • Security Policy - Para el control de políticas.

  • Flow - Buscar políticas basadas en nombres de grupo VRF, junto con la zona de origen o destino, la dirección IP de origen o destino y el protocolo. Por lo tanto, las sesiones se crean utilizando grupos VRF como uno de los diferenciadores.

  • NAT - Para soportar reglas NAT basadas en nombres de grupo VRF.

  • ALG - Crear sesiones ALG utilizando grupos VRF como uno de diferenciadores.

La funcionalidad de los grupos VRF:

  • Permite que una sesión cambie entre dos VRF MPLS.

  • Cuando las instancias VRF forman parte del mismo grupo VRF, las características de seguridad, como los módulos flow, policy, NAT o ALG tratan las instancias VRF de manera similar.

  • Al configurar los grupos VRF mediante instancias VRF, se genera un VRF group-ID. Este group-ID se almacena en sesión para identificar el grupo VRF de una instancia de VRF determinada.

Descripción de los grupos VRF

Se introduce el grupo VRF para admitir sesiones basadas en MPLS L3VPN en la red SD-WAN. Se utiliza para controlar el tráfico L3VPN de MPLS en los módulos de política, flujo, NAT y ALG cuando hay direcciones de red IP superpuestas o no superpuestas en la red L3VPN de MPLS.

Si el tráfico pasa entre redes L3VPN que no son MPLS, los grupos VRF no están configurados. Cuando los grupos VRF no están configurados, el ID de grupo VRF será cero o la directiva usará la opción any para VRF group.

El propósito de los grupos VRF es:

  • Para diferenciar las sesiones L3VPN entre la red L3VPN MPLS.

  • Tener control de políticas y NAT entre la red L3VPN de MPLS.

Tipos de grupos VRF

Hay dos grupos VRF importantes en la red L3VPN son:

  • Grupo Fuente-VRF

  • Destino-grupo VRF

Para comprender qué instancias de VRF se pueden agrupar para el grupo VRF de origen o el grupo de VRF de destino, use la siguiente información:

  • Source-VRF instances: lista de instancias de VRF que negocian diferentes rutas MPLS al mismo destino de entrada.

  • Destination-VRF instances— Lista de instancias de VRF que contienen las rutas de destino para un tráfico L3VPN determinado.

Nota:

Si el tráfico se inicia en la dirección opuesta, los grupos VRF cambian de rol con respecto a la dirección del tráfico.

Movimiento VRF

En la figura 3, el flujo de tráfico inicial para un establecimiento de sesión es de izquierda a derecha. El tráfico entra en la zona GRE 1, luego entra en el grupo VRF de origen (A) y pasa por el grupo VRF de destino (A') antes de salir por GRE_Zone2.

Del mismo modo, la búsqueda de políticas se inicia desde y se configuran las sesiones de GRE_Zone1->Source-VRF group(A)->Destination-VRF group->(A’)->GRE_Zone2 flujo, utilizando el grupo VRF de origen (A) y el grupo de VRF de destino (A) como valores clave adicionales en las sesiones. Cuando las sesiones de flujo se realizan con grupos VRF, el tráfico puede cambiar (reenrutar) de un VRF a otro VRF dentro del grupo.

Figura 3: Movimiento VRF dentro del grupo VRF Movement within VRF Group VRF

ID de grupo VRF

Para almacenar el ID de grupo VRF, se utiliza un número de 16 bits en una estructura de datos de clave de sesión.

Configuración de grupos VRF

Para configurar un grupo VRF, siga estos pasos:

  • Enumere las instancias de VRF que deben agruparse.

  • Asigne un nombre al grupo VRF.

  • Aplicar las instancias VRF y el nombre del grupo VRF en el comando set security l3vpn vrf-group group-name vrf vrf1 vrf vrf2 de la CLI

Los grupos VRF de origen y destino se configuran por separado en función de contextos diferentes.

  • Source VRF group: el grupo VRF de origen para la instancia de enrutamiento está asociado al paquete MPLS. Cuando el dispositivo recibe un paquete MPLS, el paquete se decodifica y se asigna a la interfaz LSI. La interfaz LSI contiene la información de la tabla de enrutamiento que ayuda a identificar los detalles del grupo VRF.

  • Destination VRF group—Durante el procesamiento del flujo de la primera ruta del paquete para una nueva sesión, la información de la ruta de destino es necesaria para enrutar el paquete al siguiente salto o interfaz. Flow busca en la tabla de enrutamiento para obtener la información de la ruta. Cuando la información de ruta recibida apunta a MPLS como próximo salto, se utiliza el VRF de esta ruta para identificar el grupo VRF de destino.

Nota:

Los grupos VRF de origen y destino son los mismos en algunos casos cuando prefiere controlar todos los VRF relacionados en una red L3VPN.

Operaciones del grupo VRF

Cuando se configura un grupo VRF, se crea un Group-ID que es único para diferentes grupos VRF. Puede realizar diferentes operaciones, como agregar, quitar o modificar un VRF a un grupo VRF.

Agregar VRF a un grupo VRF

Cuando se agrega un VRF a un grupo VRF, el VRF group-ID correspondiente se asigna al VRF. Cuando agregue un VRF a un grupo VRF, recuerde lo siguiente:

  • Un VRF solo se puede agregar a un grupo VRF. No puede formar parte de varios grupos VRF.

  • Se puede configurar un máximo de 32 VRF en un grupo VRF.

  • Cuando se agrega un VRF, afecta a la sesión existente y se crea una nueva sesión según la política.

  • Cuando se crean nuevas sesiones después de agregar un nuevo VRF al grupo VRF, las sesiones utilizan el nuevo VRF group-ID del nuevo VRF.

Quitar VRF de un grupo VRF

Cuando se quita un VRF de un grupo VRF, el ID de grupo VRF de ese grupo VRF cambia a cero, pero el VRF seguirá estando disponible en el dispositivo. Cuando se quita un VRF de un grupo de VRF, afecta a las sesiones existentes de dos maneras:

  • Impacting existing sessions: cuando se elimina un VRF del grupo VRF, se elimina la sesión existente y se creará una nueva sesión según la política.

  • Match Traffic: cuando se elimina un VRF del grupo VRF, el ID de grupo VRF para ese VRF cambia a cero y, por lo tanto, no coincidirá con la sesión. El paquete se cae y se crea una nueva sesión según la política.

Cuando se quita un VRF del grupo VRF, la nueva sesión que se procesa con el VRF afectado instala un nuevo ID de grupo VRF. Este ID de grupo de VRF será cero o se creará un nuevo ID de grupo si agrega el VRF a un nuevo grupo de VRF

Modificación del grupo VRF

La modificación de un grupo VRF implica las siguientes operaciones:

  • Changing VRF group name: al cambiar el nombre del grupo VRF, el módulo de políticas analiza las sesiones existentes para comprobar si el nuevo nombre del grupo VRF coincide con las reglas existentes.

  • Adding VRF to VRF group: cuando se agrega un VRF a un grupo VRF, el VRF group-ID correspondiente se asigna al VRF.

  • Removing VRF from VRF group: cuando se elimina un VRF de un grupo VRF, el VRF group-ID de ese VRF cambia a cero y aún así el VRF estará disponible en el dispositivo.

Eliminación del grupo VRF

Cuando se elimina un grupo VRF mediante la CLI, se realizará un análisis de la sesión en las sesiones existentes para que coincidan con el grupo VRF que se elimina. Si la sesión coincide con el grupo VRF eliminado, esa sesión se elimina del dispositivo estableciendo un tiempo de espera no válido. En el caso de las sesiones que no coincidan con el VRP-Group-ID eliminado, no se verán afectadas.

Procesamiento de flujo mediante el grupo de reenvío y enrutamiento virtual

Procesamiento de la primera ruta mediante VRF Group

Para procesar un paquete, el primer procesamiento de ruta realiza lo siguiente:

  • MPLS Decoder: cuando el flujo recibe un paquete MPLS o no MPLS, el paquete se procesa para recuperar los detalles del paquete entrante, la interfaz y la instancia de enrutamiento de la interfaz entrante.

  • FBF configuration: cuando se configuran reglas FBF para redirigir los paquetes entrantes a una instancia de enrutamiento diferente, la regla FBF busca la información de la instancia de enrutamiento y pasa la información de la instancia de enrutamiento FBF en lugar de la instancia de enrutamiento de la interfaz entrante de paquetes. Este VRF FBF debería ser parte del grupo VRF para controlar la red L3VPN.

  • Initialize Routing-Table: cuando el flujo recibe el paquete, se crea la tabla de enrutamiento inicial para el paquete. Si la configuración FBF coincide con los filtros de firewall, la información de la instancia de enrutamiento de FBF se usa para la búsqueda de rutas. De lo contrario, flow utiliza la información de la instancia de enrutamiento de la interfaz entrante para la búsqueda de rutas.

  • Finding Source VRF group: si el paquete entrante procede de la red MPLS, el paquete se asigna a la instancia VRF del grupo VRF de origen. Si el paquete entrante no es un paquete MPLS, el ID del grupo VRF de origen es cero.

  • Destination NAT using VRF group: comprueba si la IP de destino necesita traducción NAT. La NAT de destino admite dos tipos de criterios de coincidencia para VRF:

    • Búsqueda de reglas NAT mediante VRF routing-group.

    • Resultado de la regla NAT utilizando la instancia de enrutamiento VRF y la información de NAT.

  • Destination Route: la búsqueda de ruta que se realiza en la tabla de rutas inicial se utiliza para identificar la interfaz saliente y la información del VRF de destino. Esta información se utiliza en la búsqueda de políticas y en la instalación de sesiones.

  • Final next-hop—El primer paso para encontrar la ruta de destino es encontrar el siguiente salto final de la ruta señalada. Con este siguiente salto, el flujo comprobará si el siguiente salto apunta a la red MPLS o no. Si no apunta a la red MPLS, el grupo VRF de destino será cero.

  • Destination VRF group— Cuando se identifica el VRF de destino, se inicializa el ID de grupo VRF de destino. Si el VRF de destino no está asignado a ningún grupo, se establece en cero.

  • First Path Policy Search—Flow realiza una búsqueda de políticas para comprobar si es necesario permitir o denegar el paquete. Flow recopila la información de clave de política de 5 tuplas y la información de VRF y esta información es utilizada por el módulo de búsqueda de políticas para encontrar la política de VRF adecuada.

  • Source NAT using VRF group: la sesión de flujo realiza el NAT de origen mediante la búsqueda de reglas NAT del grupo VRF de origen. Source-NAT admite dos tipos de criterios de búsqueda de NAT.

    • Búsqueda de reglas de NAT de origen mediante el grupo VRF.

    • Búsqueda de reglas Static-NAT mediante grupo VRF o instancia VRF.

  • Static NAT using VRF group or VRF instance—La NAT estática admite el enrutamiento del grupo en el conjunto de reglas y la instancia de enrutamiento en la regla con el tipo VRF.

    • Cuando NAT estática coincide con la traducción NAT de destino para un paquete IP determinado, el grupo de enrutamiento VRF será uno de los criterios de coincidencia y la instancia de enrutamiento VRF no se utilizará como tabla de enrutamiento de destino.

    • Cuando NAT estática coincide con la traducción NAT de origen para un paquete IP determinado, la instancia de enrutamiento VRF será uno de los criterios de coincidencia.

  • Session Installation using VRF group—Durante el proceso de instalación de la sesión, el ID de grupo VRF fuente se almacena en el ala delantera, lo que indica que el ala apunta a la red MPLS. El ID de grupo VRF de destino que se encuentra en la búsqueda de rutas se almacena en un ala inversa, lo que indica que el ala apunta a la red MPLS.

  • Re-routing using VRF group—Una vez que se establece la sesión utilizando la información del grupo VRF, se inicia el reenrutamiento si la interfaz está inactiva o la ruta inicial no está disponible. Estas rutas modificadas deben formar parte del mismo grupo VRF (grupo VRF de origen/grupo VRF de destino), en el que la sesión se estableció inicialmente en ambos lados. De lo contrario, el tráfico no coincidirá con la sesión y el tráfico futuro de la sesión podría perderse o crear nuevas sesiones según la política.

Procesamiento rápido de rutas con VRF Group

El procesamiento de ruta rápida realiza los siguientes pasos para procesar un paquete.

  • MPLS Decoder: cuando se recibe un paquete MPLS o un paquete que no es MPLS, el paquete se somete a procesamiento MPLS. Cuando se completa el procesamiento, el flujo recibe los detalles del paquete entrante, la interfaz y la instancia de enrutamiento de la interfaz entrante.

  • FBF configuration: cuando se configuran reglas FBF para redirigir los paquetes entrantes a una instancia de enrutamiento diferente, la regla FBF busca la información de la instancia de enrutamiento y pasa la información de la instancia de enrutamiento FBF en lugar de la instancia de enrutamiento de la interfaz entrante de paquetes. Este VRF FBF debería ser parte del grupo VRF para controlar la red L3VPN.

  • Session look-up using VRF Group-ID—Durante el proceso de búsqueda de sesión, flow comprueba si se debe pasar el ID de grupo VRF en la clave de sesión para la búsqueda. Si la interfaz entrante es MPLS, el flujo pasará la información del ID de grupo VRF de la instancia de enrutamiento VRF asignada a la clave de sesión junto con otra información de tupla clave. Si la interfaz entrante no es MPLS, el ID de grupo de VRF será cero.

  • Session Route change: si la ruta cambia para la sesión en medio de la corriente, el flujo comprueba el nuevo VRF que pertenece a esta ruta. Si el nuevo ID de grupo de VRF difiere del ID de grupo de VRF de la sesión, la ruta no se procesará y los paquetes futuros se descartarán. Por lo tanto, para el reenrutamiento, la nueva ruta debe pertenecer a un VRF que pertenezca al grupo VRF de sesión.

  • VRF Group policy change: cuando se cambia la directiva de sesión de grupo VRF debido a atributos de política como zona/interfaz/IP/Fuente-grupo VRF/Destino-grupo VRF, la política se volverá a hacer coincidir para la misma sesión proporcionando la política 5-tupla junto con el grupo VRF de origen y los valores del grupo VRF de destino para comprobar si la política es válida o no. Tras la recoincidencia, si la política no coincide con la información de la sesión, la sesión termina.

  • VRF session display—El grupo VRF de origen y el grupo VRF de destino se muestran en la pantalla de salida de la sesión para diferenciar diferentes grupos de VRF para la misma tupla.

  • High Availability—Se admite alta disponibilidad sin cambios de comportamiento cuando se sincroniza información adicional de ID de grupo VRF con el nodo par de alta disponibilidad para diferenciar diferentes grupos de VRF en la sesión.

Ejemplo: configuración de una política de seguridad para permitir el tráfico basado en VRF desde una red IP a una red MPLS mediante el grupo VRF

En este ejemplo se muestra cómo configurar una directiva de seguridad para permitir el tráfico desde una red IP privada a una red MPL mediante el grupo VRF.

Requisitos

  • Firewall serie SRX compatible con Junos OS versión 15.1X49-D170 o posterior. Este ejemplo de configuración se ha probado para Junos OS versión 15.1X49-D170.

Visión general

En Junos OS, las políticas de seguridad imponen reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del dispositivo y las acciones que deben tener lugar en el tráfico a medida que pasa por el dispositivo. En la Figura 4, se implementa un firewall de la serie SRX en una SD-WAN para permitir el tráfico desde una red IP privada a la red MPLS mediante el grupo VRF.

Figura 4: Tráfico de la red privada a MPLS Traffic from Private Network to MPLS

En este ejemplo de configuración, se muestra cómo:

  • Permitir tráfico desde la red IP (LAN-A) al grupo VRF

  • Permitir tráfico desde la red IP (LAN-B) al grupo VRF

Configuración

Procedimiento
Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de laGuía del usuario de CLI.

  1. Creación de vpn-A de grupo VRF con instancias VRF A1 y A2

  2. Creación de vpn-A1 de grupo VRF con instancias VRF A11 y A21

  3. Creación de vpn-B de grupo VRF con instancias VRF B1 y B2

  4. Creación de vpn-B1 de grupo VRF con instancias de VRF B11 y B21

  5. Cree una política de seguridad para permitir el tráfico vrf-a.

  6. Cree una política de seguridad para permitir el tráfico vrf-b.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo el show security policies comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación
Comprobación de la configuración de directivas
Propósito

Verifique la información sobre las políticas de seguridad.

Acción

Desde el modo operativo, ingrese el show security policies comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.

Ejemplo: configuración de una política de seguridad para permitir el tráfico basado en VRF desde la red MPLS a una red IP mediante el grupo VRF

En este ejemplo se muestra cómo configurar una directiva de seguridad para permitir el tráfico de MPLS a IP netwrok mediante el grupo VRF.

Requisitos

Visión general

En Junos OS, las políticas de seguridad imponen reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del dispositivo y las acciones que deben tener lugar en el tráfico a medida que pasa por el dispositivo. En la Figura 5, se implementa un firewall de la serie SRX en una SD-WAN para permitir el tráfico desde una red MPLS a una red privada mediante el grupo VRF.

Figura 5: Permiso de tráfico de MPLS a red Traffic Permit from MPLS to Private Network privada

En este ejemplo de configuración, se muestra cómo:

  • Permitir tráfico de GRE MPLS a LAN-a

  • Permitir tráfico de GRE MPLS a LAN-b

Configuración

Procedimiento
Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de laGuía del usuario de CLI.

  1. Cree una vpn-A de grupo VRF con las instancias VRF A1 y A2.

  2. Cree un grupo VRF vpn-B con instancias VRF B1 y B2.

  3. Cree una política de seguridad para permitir el tráfico VRF-a.

  4. Cree una política de seguridad para permitir el tráfico VRF-b.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo el show security policies comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación
Comprobación de la configuración de directivas
Propósito

Verifique la información sobre las políticas de seguridad.

Acción

Desde el modo operativo, ingrese el show security policies comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.

Ejemplo: configuración de una política de seguridad para permitir el tráfico basado en VRF desde la red IP pública a la red MPLS mediante el grupo VRF

En este ejemplo se describe cómo configurar la regla NAT de destino para traducir la red IP pública entrante a la red MPLS mediante el grupo VRF.

Requisitos

Visión general

En la Figura 6, un firewall de la serie SRX está configurado con una regla NAT de destino para traducir la red IP pública entrante a una tabla de enrutamiento de destino basada en VRF e IP. El firewall de la serie SRX está configurado con dos grupos VRF, vpn-A y vpn-B.

Figura 6: Permiso de tráfico de la red pública a MPLS Traffic Permit from Public Network to MPLS

Configuración

Procedimiento
Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de laGuía del usuario de CLI.

Para configurar la asignación NAT de destino para un solo VRF:

  1. En las VPN de capa 3, cree un grupo VRF vpn-A con instancias VRF A1 y A2.

  2. Cree otro grupo de VRF vpn-B con instancias VRF B1 y B2.

  3. Especifique un grupo de direcciones IP NAT de destino.

  4. Asigne la instancia de enrutamiento al grupo de destino.

  5. Cree un conjunto de reglas NAT de destino.

  6. Configure una regla que coincida con los paquetes y traduzca la dirección IP de destino a una dirección IP del grupo de direcciones IP NAT de destino.

  7. Cree una política de seguridad para permitir el tráfico VRF-a.

  8. Cree una política de seguridad para permitir el tráfico VRF-b.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show security nat comandos y show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Comprobación del uso de reglas NAT de destino y de las políticas de seguridad
Propósito

Compruebe que hay tráfico que coincida con la regla NAT de destino.

Acción

Desde el modo operativo, ingrese el show security nat destination rule all comando. En el campo Aciertos de traducción, compruebe si hay tráfico que coincida con la regla NAT de destino.

Desde el modo operativo, ingrese el show security policies comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.

Ejemplo: configuración de una política de seguridad para permitir el tráfico basado en VRF de la red MPLS a la red IP pública mediante el uso del grupo VRF

En este ejemplo se describe cómo configurar el grupo de enrutamiento para traducir el tráfico de red por grupo VRF al grupo de IP global.

Requisitos

Visión general

En la figura 7, un firewall de la serie SRX está configurado con un grupo de enrutamiento para permitir el tráfico de red del grupo VRF desde MPLS al grupo de IP global. El firewall de la serie SRX está configurado con dos grupos VRF, vpn-A y vpn-B.

Figura 7: Permiso de tráfico de MPLS a la red Traffic Permit from MPLS to Public Network pública

Configuración

Procedimiento
Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de laGuía del usuario de CLI.

Para configurar la asignación NAT de origen para un solo VRF:

  1. En las VPN de capa 3, cree un grupo VRF vpn-A con instancias VRF A1 y A2.

  2. Cree otro grupo de VRF vpn-B con instancias VRF B1 y B2.

  3. Especifique un grupo de direcciones IP NAT de origen.

  4. Cree un conjunto de reglas NAT de origen.

  5. Configure una regla que coincida con los paquetes y traduzca el tráfico de red por grupo VRF al grupo de IP global.

  6. Cree una política de seguridad para permitir el tráfico vpn-A.

  7. Cree una política de seguridad para permitir el tráfico vpn-B.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show security nat comandos y show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Comprobación del uso de reglas NAT de destino y de las políticas de seguridad
Propósito

Compruebe que hay tráfico que coincide con la regla NAT de origen.

Acción

Desde el modo operativo, ingrese el show security nat source rule all comando. En el campo Aciertos de traducción, compruebe si hay tráfico que coincida con la regla NAT de origen.

Desde el modo operativo, ingrese el show security policies comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.

Ejemplo: configuración de una política de seguridad para permitir el tráfico basado en VRF de la red MPLS a la red MPLS sin NAT mediante el grupo VRF

En este ejemplo se describe cómo configurar el grupo de enrutamiento para permitir el tráfico entre redes MPLS sin usar NAT.

Figura 8: Tráfico entre redes Traffic between MPLS Networks MPLS

Requisitos

Visión general

En la figura 8, un firewall de la serie SRX se configura con un grupo de enrutamiento para permitir el tráfico entre redes MPLS sin usar NAT. El firewall de la serie SRX está configurado con dos grupos VRF, vpn-A y vpn-B.

Configuración

Procedimiento
Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar la asignación NAT de origen para un solo VRF:

  1. En las VPN de capa 3, cree un grupo VRF vpn-A con instancias VRF A1 y A2.

  2. En las VPN de capa 3, cree un grupo VRF vpn-A1 con las instancias VRF A11 y A12.

  3. Cree otro grupo de VRF vpn-B con instancias VRF B1 y B2.

  4. Cree otro grupo de VRF vpn-B1 con instancias VRF B11 y B12.

  5. Cree una política de seguridad para permitir el tráfico vpn-A1.

  6. Cree una política de seguridad para permitir el tráfico vpn-B1.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo el show security policies comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Comprobación de políticas de seguridad
Propósito

Compruebe que la configuración genera las directivas de seguridad.

Acción

Desde el modo operativo, ingrese el show security policies comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.

Ejemplo: configuración de una política de seguridad para permitir el tráfico basado en VRF de la red MPLS a la red MPLS mediante NAT y VRF Group

En este ejemplo se describe cómo configurar el grupo de enrutamiento y permitir el tráfico entre redes MPLS mediante NAT.

Figura 9: Permiso de tráfico entre redes MPLS con NAT Traffic Permit between MPLS Networks with NAT

Requisitos

Visión general

En la Figura 9, un firewall de la serie SRX configura el grupo de enrutamiento y permite el tráfico entre redes MPLS mediante NAT. El firewall de la serie SRX está configurado con los grupos VRF, vpn-A, vpn-A1, vpn-B y vpn-B1.

Configuración

Procedimiento
Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar la asignación NAT de origen para un solo VRF:

  1. En las VPN de capa 3, cree un grupo VRF vpn-A con instancias VRF A1 y A2.

  2. En las VPN de capa 3, cree un grupo VRF vpn-A1 con las instancias VRF A11 y A12.

  3. Cree otro grupo de VRF vpn-B con instancias VRF B1 y B2.

  4. Cree otro grupo de VRF vpn-B1 con instancias VRF B11 y B12.

  5. Especifique un grupo de direcciones IP NAT de origen.

  6. Cree un conjunto de reglas NAT de origen.

  7. Configure una regla que coincida con los paquetes y traduzca el tráfico de red por grupo VRF al grupo de IP global.

  8. Cree una política de seguridad para permitir el tráfico vpn-A1.

  9. Cree una política de seguridad para permitir el tráfico vpn-B1.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show security nat comandos y show security policies . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Comprobación de políticas de seguridad
Propósito

Compruebe que hay tráfico que coincide con la regla NAT de origen.

Acción

Desde el modo operativo, ingrese el show security nat source rule all comando. En el campo Aciertos de traducción, compruebe si hay tráfico que coincida con la regla NAT de destino.

Desde el modo operativo, ingrese el show security policies comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.

Compatibilidad con multidifusión en despliegues de SD-WAN

A partir de la versión 21.2R1 de Junos OS, agregamos compatibilidad con el tráfico de multidifusión en los firewalls de la serie SRX en el borde del proveedor (PE) para implementaciones de SD-WAN. La compatibilidad con el tráfico de multidifusión está disponible cuando el dispositivo de seguridad funciona con la opción de reenvío establecida como basada en flujo en la set security forwarding-options family mpls mode jerarquía. Consulte Opciones de reenvío (Seguridad).

Limitaciones

  • La compatibilidad con tráfico de multidifusión no está disponible cuando el dispositivo funciona con la opción de reenvío establecida como packet-based.
  • La compatibilidad con el tráfico de multidifusión solo está disponible para topologías radiales con IP sobre MPLS sobre GRE e IP sobre MPLS sobre GRE sobre GRE
  • La compatibilidad con el tráfico de multidifusión no introduce ningún cambio ni aborda ninguna limitación relacionada con la funcionalidad de reenvío de datos VPN de multidifusión (MVPN). Consulte Limitación de rutas que anunciará una instancia de VRF de MVPN.