Políticas de seguridad para una instancia de enrutamiento VRF
Descripción general
Una política de seguridad es un conjunto de instrucciones que controla el tráfico desde un origen especificado a un destino especificado mediante un servicio especificado. Una política permite, deniega o tuneliza tipos específicos de tráfico unidireccionalmente entre dos puntos. Las políticas de seguridad aplican un conjunto de reglas para el tráfico de tránsito, identificando qué tráfico puede pasar a través del firewall y las acciones que se realizan en el tráfico a medida que pasa a través del firewall. Las acciones para el tráfico que cumpla con los criterios especificados incluyen permitir y denegar.
Cuando un firewall SRX recibe un paquete que coincide con las especificaciones, realiza la acción especificada en la política.
Control del tráfico en la arquitectura SD-WAN
En una SD-WAN, el firewall SRX se puede configurar en una ubicación radial. Puede permitir o denegar el tráfico basado en enrutamiento y reenvío virtual (VRF) que entra en el dispositivo desde túneles superpuestos mediante la aplicación de políticas de firewall. Puede configurar el firewall SRX para permitir o denegar el tráfico que se envía a una instancia de VRF. La configuración del dispositivo en la ubicación del concentrador le permite controlar todo el tráfico en una ubicación y proporcionar acceso a servicios de red específicos mediante la aplicación de políticas de firewall.
Cada política de seguridad consta de:
-
Un nombre único para la política.
-
A
from-zoney ato-zone, por ejemplo:user@host# set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone. -
Un conjunto de criterios de coincidencia que definen las condiciones que deben cumplirse para aplicar la regla de política. Los criterios de coincidencia se basan en una dirección IP de origen, una dirección IP de destino y aplicaciones. El firewall de identidad de usuario proporciona una mayor granularidad al incluir una tupla adicional, como source-identity, como parte de la instrucción de política.
-
Un conjunto de acciones que se realizarán en caso de una coincidencia: permitir o denegar.
-
Un conjunto de grupos VRF de origen.
-
Un conjunto de grupos VRF de destino.
Las opciones de configuración para las instancias VRF de origen y destino son opcionales. Puede configurar el VRF de origen o un VRF de destino, pero le recomendamos que no configure tanto el VRF de origen como el VRF de destino. La razón principal para configurar el VRF de origen o el VRF de destino es diferenciar las diferentes etiquetas de MPLS que pasan por una interfaz de red física compartida.
En la tabla 1 se enumera cuándo configurar el VRF de origen y el VRF de destino.
| Tipo de red desde el origen hasta el destino |
Se recomienda configurar VRF de origen |
Se recomienda configurar VRF de destino |
Política de VRF diferenciada por |
|---|---|---|---|
| Red IP a red IP |
No |
No |
Zonas |
| De red IP a red MPLS |
No |
Sí |
VRF de destino |
| Red MPLS a red IP |
Sí |
No |
VRF de fuente |
| De red MPLS a red MPLS sin destino TDR |
Sí |
No |
VRF de fuente |
| Red MPLS a red MPLS con destino TDR |
Sí |
Sí |
VRF de origen y VRF de destino |
Descripción de las reglas de la política de seguridad
Una política de seguridad aplica reglas de seguridad al tráfico de tránsito dentro de un contexto (from-zone a to-zone). Cada política se identifica de forma única por su nombre. El tráfico se clasifica haciendo coincidir sus zonas de origen y destino, las direcciones de origen y destino, la aplicación, el VRF de origen y el VRF de destino que el tráfico lleva en sus encabezados de protocolo con la base de datos de políticas en el plano de datos.
Cada política está asociada con las siguientes características:
-
Una zona fuente
-
Una zona de destino
-
Uno o varios nombres de direcciones de origen o nombres de conjuntos de direcciones
-
Uno o varios nombres de direcciones de destino o nombres de conjuntos de direcciones
-
Uno o varios nombres de aplicaciones o nombres de conjuntos de aplicaciones
-
Una o varias instancias de VRF de origen, por ejemplo, la instancia de enrutamiento de VRF asociada con un paquete entrante
-
Una o varias instancias de VRF de destino en las que se encuentra el siguiente salto de MPLS o la ruta de dirección de destino
Estas características se denominan criterios de coincidencia. Cada política también tiene acciones asociadas: permitir, denegar y rechazar. Debe especificar los argumentos de condición de coincidencia cuando configure una política, dirección de origen, dirección de destino, nombre de aplicación, VRF de origen y VRF de destino.
Puede configurar VRF de origen o VRF de destino, pero no se recomienda configurar VRF de origen y VRF de destino. La razón principal para configurar VRF de origen y VR de destino es diferenciar las diferentes etiquetas de MPLS que pasan por una interfaz de red física compartida. Si el VRF de origen y el VRF de destino no están configurados, el dispositivo determina el VRF de origen y destino como cualquiera.
Ejemplo: Configuración de una política de seguridad para permitir o denegar el tráfico basado en VRF desde una red MPLS a una red IP
En este ejemplo, se muestra cómo configurar una política de seguridad para permitir y denegar el tráfico mediante el VRF de origen.
Requisitos
-
Comprenda cómo crear una zona de seguridad. ConsulteEjemplo: Creación de zonas de seguridad.
-
Firewall SRX compatible con cualquier versión de Junos OS compatible.
-
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Descripción general
En Junos OS, las políticas de seguridad aplican reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar por el dispositivo y las acciones que deben tener lugar en el tráfico a medida que pasa por el dispositivo. En la Figura 1, se despliega un firewall SRX en una SD-WAN para controlar el tráfico mediante el VRF de origen. El tráfico de la red MPLS se envía al sitio A y al sitio B de la red IP. Según el requisito de la red, se debe denegar el tráfico del sitio A y solo se debe permitir el tráfico del sitio B.
En este ejemplo de configuración, se muestra cómo:
-
Denegar tráfico a VRF-A (de GRE_Zone-GE_Zone a GRE_Zone)
-
Permitir tráfico a VRF-b (de GRE_Zone-GE_Zone a GRE_Zone)
En este ejemplo, se configura el VRF de origen. Le recomendamos que configure el VRF de origen cuando la red de destino apunte a la red MPLS.
IP
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set routing-instances VRF-a instance-type vrf
set routing-instances VRF-a route-distinguisher 10:200
set routing-instances VRF-a vrf-target target:100:100
set routing-instances VRF-a vrf-table-label
set routing-instances VRF-b instance-type vrf
set routing-instances VRF-b route-distinguisher 20:200
set routing-instances VRF-b vrf-target target:200:100
set routing-instances VRF-b vrf-table-label
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match application any
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy match source-l3vpn-vrf-group VRF-a
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-a_policy then deny
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match application any
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy match source-l3vpn-vrf-group VRF-b
set security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone policy vrf-b_policy then permit
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
-
Las VPN de capa 3 requieren una tabla VRF para distribuir rutas dentro de las redes. Cree una instancia VRF y especifique el valor vrf.
[edit routing-instances] user@host# set VRF-a instance-type vrf user@host# set VRF-b instance-type vrf -
Asigne un diferenciador de ruta a la instancia de enrutamiento.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200 -
Cree una política de la comunidad para importar o exportar todas las rutas.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100 -
Asigne una única etiqueta VPN para todas las rutas del VRF.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-b vrf-table-label -
Cree una política de seguridad para denegar el tráfico de VRF-a.
[edit security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group VRF-a user@host# set policy vrf-a_policy then deny -
Cree una política de seguridad para permitir el tráfico VRF-b.
[edit security policies from-zone GRE_Zone-GE_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match source-l3vpn-vrf-group VRF-b user@host# set policy vrf-b_policy then permitNota:Si no se configura ningún grupo VRF de destino, el dispositivo considera que el tráfico pasa de VRF-a a any-vrf.
Resultados
Desde el modo de configuración, ingrese los comandos y show routing-instances para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host# show security policies
from-zone GRE_Zone-GE_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group VRF-a;
}
then {
deny;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group VRF-b;
}
then {
permit;
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Verificar la configuración de políticas
Propósito
Verificar información sobre políticas de seguridad.
Acción
Desde el modo operativo, escriba el show security policies comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.
user@root> show security policies
Default policy: permit-all
From zone: GRE_Zone-GE_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source vrf: VRF-a
destination vrf: any
Source addresses: any
Destination addresses: any
Applications: any
Action: deny
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 2
Source vrf: VRF-b
destination vrf: any
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Ejemplo: Configurar una política de seguridad para permitir el tráfico basado en VRF desde una red IP a una red MPLS
En este ejemplo, se muestra cómo configurar una política de seguridad para permitir el tráfico mediante el VRF de destino.
Requisitos
-
Comprenda cómo crear una zona de seguridad. Consulte Ejemplo: Creación de zonas de seguridad.
-
Firewall SRX compatible con cualquier versión de Junos OS compatible.
-
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Descripción general
En Junos OS, las políticas de seguridad aplican reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar por el dispositivo y las acciones que deben tener lugar en el tráfico a medida que pasa por el dispositivo.
En este ejemplo, se despliega un firewall SRX en una arquitectura SD-WAN para controlar el tráfico mediante el VRF de destino. Debe configurar políticas para controlar el tráfico. La política predeterminada no admite opciones de VRF. El tráfico desde la red IP, es decir, el sitio A y el sitio B, se envía a la red MPLS. Mediante la configuración de las políticas, puede permitir tanto el tráfico del sitio A como del sitio B a la red MPLS.
En la Figura 2, el VRF de origen no está configurado porque la interfaz LAN no pertenece a una red MPLS. Le recomendamos que configure el VRF de destino cuando la red de destino apunte a la red MPLS.
MPLS
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set routing-instances VRF-a’ instance-type vrf
set routing-instances VRF-a’ route-distinguisher 10:200
set routing-instances VRF-a’ vrf-target target:100:100
set routing-instances VRF-a’ vrf-table-label
set routing-instances VRF-b’ instance-type vrf
set routing-instances VRF-b’ route-distinguisher 20:200
set routing-instances VRF-b’ vrf-target target:200:100
set routing-instances VRF-b’ vrf-table-label
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match source-address any
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-address any
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match application any
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’
set security policies from-zone LAN-a_Zone to-zone GRE_Zone policy vrf-a_policy then permit
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match source-address any
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-address any
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match application any
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’
set security policies from-zone LAN-b_Zone to-zone GRE_Zone policy vrf-b_policy then permit
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Para configurar una política a fin de permitir tráfico desde la red IP a la red MPLS mediante el VRF de destino:
-
Las VPN de capa 3 requieren una tabla VRF para distribuir rutas dentro de las redes. Cree una instancia VRF y especifique el valor vrf.
[edit routing-instances] user@host# set VRF-a’ instance-type vrf user@host# set VRF-b’ instance-type vrf -
Asigne un diferenciador de ruta a la instancia de enrutamiento.
[edit routing-instances] user@host# set VRF-a’ route-distinguisher 10:200 user@host# set VRF-b’ route-distinguisher 20:200 -
Cree una política de la comunidad para importar o exportar todas las rutas.
[edit routing-instances] user@host# set VRF-a’ vrf-target target:100:100 user@host# set VRF-b’ vrf-target target:200:100 -
Asigne una única etiqueta VPN para todas las rutas del VRF.
[edit routing-instances] user@host# set VRF-a’ vrf-table-label user@host# set VRF-b’ vrf-table-label -
Cree una política de seguridad para permitir el tráfico VRF-a' desde la red IP.
[edit security policies from-zone LAN-a_Zone to-zone GRE_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy policy vrf-a_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ user@host# set policy vrf-a_policy then permit -
Cree una política de seguridad para permitir el tráfico VRF-b' desde la red IP.
[edit security policies from-zone LAN-b_Zone to-zone GRE_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ user@host# set policy vrf-b_policy then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show routing-instances para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host# show security policies
from-zone LAN-a_Zone to-zone GRE_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group "VRF-a'";
}
then {
permit;
}
}
}
from-zone LAN-b_Zone to-zone GRE_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group "VRF-b'";
}
then {
permit;
}
}
}
[edit]
user@host# show routing-instances
VRF-a’ {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b’ {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Verificar la configuración de políticas
Propósito
Compruebe que la política de seguridad permite el tráfico basado en VRF desde la red IP a la red MPLS.
Acción
Desde el modo operativo, escriba el show security policies comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.
user@host> show security policies
From zone: LAN-a_Zone, To zone: GRE_Zone
Policy: vrf-a_policy, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source vrf: any
destination vrf: VRF-a'
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
From zone: LAN-b_Zone, To zone: GRE_Zone
Policy: vrf-b_policy, State: enabled, Index: 5, Scope Policy: 0, Sequence number: 1
Source vrf: any
destination vrf: VRF-b'
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Ejemplo: Configurar una política de seguridad para permitir el tráfico basado en VRF desde una red MPLS a una red MPLS a través de GRE sin TDR
En este ejemplo, se muestra cómo configurar una política de seguridad para permitir el tráfico mediante el VRF de origen.
Requisitos
-
Comprenda cómo crear una zona de seguridad. Consulte Ejemplo: Creación de zonas de seguridad.
-
Firewall SRX compatible con Junos OS versión 15.1X49-D160 o posterior. Este ejemplo de configuración se prueba para Junos OS versión 15.1X49-D160.
-
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
Descripción general
En Junos OS, las políticas de seguridad aplican reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar por el dispositivo y las acciones que deben tener lugar en el tráfico a medida que pasa por el dispositivo. En la Figura 3, se despliega un firewall SRX en una arquitectura SD-WAN para controlar el tráfico mediante el VRF de origen. Debe configurar políticas para controlar el tráfico. Puede permitir tráfico desde una red MPLS a otra red MPLS mediante la configuración de políticas.
Le recomendamos que configure tanto el VRF de origen como el VRF de destino cuando el origen y el destino sean de la red MPLS.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set routing-instances VRF-a instance-type vrf
set routing-instances VRF-a route-distinguisher 10:200
set routing-instances VRF-a vrf-target target:100:100
set routing-instances VRF-a vrf-table-label
set routing-instances VRF-b instance-type vrf
set routing-instances VRF-b route-distinguisher 20:200
set routing-instances VRF-b vrf-target target:200:100
set routing-instances VRF-b vrf-table-label
set routing-instances VRF-a’ instance-type vrf
set routing-instances VRF-a’ route-distinguisher 30:200
set routing-instances VRF-a’ vrf-target target:300:100
set routing-instances VRF-a’ vrf-table-label
set routing-instances VRF-b’ instance-type vrf
set routing-instances VRF-b’ route-distinguisher 40:200
set routing-instances VRF-b’ vrf-target target:400:100
set routing-instances VRF-b’ vrf-table-label
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-address any
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-address any
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match application any
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match source-l3vpn-vrf-group VRF-a
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-a_policy then permit
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-address any
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-address any
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match application any
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match source-l3vpn-vrf-group VRF-b
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’
set security policies from-zone GRE-1_Zone to-zone GRE-2_Zone policy vrf-b_policy then permit
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Para configurar una política a fin de permitir tráfico desde una red MPLS a una red MPLS mediante el VRF de origen:
-
Las VPN de capa 3 requieren una tabla VRF para distribuir rutas dentro de las redes. Cree una instancia VRF y especifique el valor vrf.
[edit routing-instances] user@host# set VRF-a instance-type vrf user@host# set VRF-b instance-type vrf user@host# set VRF-a’ instance-type vrf user@host# set VRF-b’ instance-type vrf -
Asigne un diferenciador de ruta a la instancia de enrutamiento.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200 user@host# set VRF-a’ route-distinguisher 30:200 user@host# set VRF-b’ route-distinguisher 40:200 -
Cree una política de la comunidad para importar o exportar todas las rutas.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100 user@host# set VRF-a’ vrf-target target:300:100 user@host# set VRF-b’ vrf-target target:400:100 -
Asigne una única etiqueta VPN para todas las rutas del VRF.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-a’ vrf-table-label user@host# set VRF-b vrf-table-label user@host# set VRF-b’ vrf-table-label -
Cree una política de seguridad para permitir el tráfico VRF-a desde la red MPLS.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy match application any user@host# set policy vrf-a_policy match source-l3vpn-vrf-group VRF-a user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ user@host# set policy vrf-a_policy then permit -
Cree una política de seguridad para permitir el tráfico VRF-b desde la red MPLS.
[edit security policies from-zone GRE-1_Zone to-zone GRE-2_Zone] user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match source-l3vpn-vrf-group VRF-b user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ user@host# set policy vrf-b_policy then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show routing-instances para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host# show security policies
from-zone GRE-1_Zone to-zone GRE-2_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group VRF-a;
destination-l3vpn-vrf-group "VRF-a'";
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-grou VRF-b;
destination-l3vpn-vrf-group "VRF-b'";
}
then {
permit;
}
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
VRF-a’ {
instance-type vrf;
route-distinguisher 30:200;
vrf-target target:300:100;
vrf-table-label;
}
VRF-b’ {
instance-type vrf;
route-distinguisher 40:200;
vrf-target target:400:100;
vrf-table-label;
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Verificar la configuración de políticas
Propósito
Compruebe que la política de seguridad permite el tráfico basado en VRF desde la red IP a la red MPLS.
Acción
Desde el modo operativo, escriba el show security policies comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.
user@host> show security policies
From zone: GRE-1_Zone, To zone: GRE-2_Zone
Policy: vrf-a_policy, State: enabled, Index: 7, Scope Policy: 0, Sequence number: 1
Source vrf: VRF-a
destination vrf: VRF-a'
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Policy: vrf-b_policy, State: enabled, Index: 8, Scope Policy: 0, Sequence number: 2
Source vrf: VRF-b
destination vrf: VRF-b'
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
Ejemplo: Configuración de políticas de seguridad mediante instancias de enrutamiento VRF en una red MPLS
En este ejemplo, se muestra cómo configurar políticas de seguridad mediante instancias de enrutamiento VRF.
Requisitos
-
Firewall SRX compatible con cualquier versión de Junos OS compatible.
-
Configure las interfaces de red en el dispositivo. Consulte la Guía del usuario de interfaces para dispositivos de seguridad.
-
Comprenda cómo crear una zona de seguridad. Consulte Ejemplo: Creación de zonas de seguridad.
Descripción general
En este ejemplo, se crean políticas de seguridad mediante instancias de enrutamiento y reenvío virtual (VRF) para aislar el tráfico que atraviesa las siguientes redes:
-
Un MPLS a una red IP privada
-
Una IP global a una red MPLS
Red MPLS a red IP privada
Procedimiento
Procedimiento paso a paso
-
Las VPN de capa 3 requieren una tabla VRF para distribuir rutas dentro de las redes. Cree una instancia VRF y especifique el valor vrf.
[edit routing-instances] user@host#set VRF-a instance-type vrf user@host#set VRF-b instance-type vrf -
Asigne un diferenciador de ruta a la instancia de enrutamiento.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200 -
Cree una política de la comunidad para importar o exportar todas las rutas.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100 -
Asigne una única etiqueta VPN para todas las rutas del VRF.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-b vrf-table-label -
Cree una política de seguridad para permitir el tráfico desde VRF-a destinado a la LAN A.
[edit security policies from-zone GRE_Zone to-zone LAN-a_Zone] set policy vrf-a_policy match source-address any set policy vrf-a_policy match destination-address any set policy vrf-a_policy match application any set policy vrf-a_policy match source-l3vpn-vrf-group VRF-a set policy vrf-a_policy then permit -
Cree una política de seguridad para permitir el tráfico desde VRF-b destinado a la LAN B.
[edit security policies from-zone GRE_Zone to-zone LAN-b_Zone] set policy vrf-b_policy match source-address any set policy vrf-b_policy match destination-address any set policy vrf-b_policy match application any set policy vrf-b_policy match source-l3vpn-vrf-group VRF-b set policy vrf-b_policy then permit
Resultados
Desde el modo de configuración, ingrese los comandos y show routing-instances para confirmar la show security policies configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla.
user@host# show security policies
from-zone GRE_Zone to-zone LAN-a_Zone {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone GRE_Zone to-zone LAN-b_Zone {
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
source-l3vpn-vrf-group VRF-b;
}
then {
permit;
}
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Red IP global a una red MPLS
Procedimiento
Procedimiento paso a paso
-
Las VPN de capa 3 requieren una tabla VRF para distribuir rutas dentro de las redes. Cree una instancia VRF y especifique el valor vrf.
[edit routing-instances] user@host# set VRF-a instance-type vrf user@host# set VRF-b instance-type vrf user@host# set VRF-a’ instance-type vrf user@host# set VRF-b’ instance-type vrf -
Asigne un diferenciador de ruta a la instancia de enrutamiento.
[edit routing-instances] user@host# set VRF-a route-distinguisher 10:200 user@host# set VRF-b route-distinguisher 20:200 user@host# set VRF-a’ route-distinguisher 30:200 user@host# set VRF-b’ route-distinguisher 40:200 -
Cree una política de la comunidad para importar o exportar todas las rutas.
[edit routing-instances] user@host# set VRF-a vrf-target target:100:100 user@host# set VRF-b vrf-target target:200:100 user@host# set VRF-a’ vrf-target target:300:100 user@host# set VRF-b’ vrf-target target:400:100 -
Asigne una única etiqueta VPN para todas las rutas del VRF.
[edit routing-instances] user@host# set VRF-a vrf-table-label user@host# set VRF-a’ vrf-table-label user@host# set VRF-b vrf-table-label user@host# set VRF-b’ vrf-table-label -
Cree el grupo de TDR de destino.
[edit security nat destination] user@host# set pool vrf-a_p routing-instance VRF-a user@host# set pool vrf-a_p address 20.0.0.4/24 user@host# set pool vrf-b_p routing-instance VRF-b user@host# set pool vrf-b_p address 30.0.0.4/24 -
Cree un conjunto de reglas TDR de destino.
[edit security nat destination] user@host# set rule-set rs from interface ge-0/0/0.0 user@host# set rule-set rs rule vrf-a_r match destination-address 40.0.0.4/24 user@host# set rule-set rs rule vrf-a_r then destination-nat pool vrf-a_p -
Configure una regla que coincida con los paquetes y traduzca la dirección de destino a la dirección del grupo.
[edit security nat destination] user@host# set rule-set rs from interface ge-0/0/1.0 user@host# set rule-set rs rule vrf-b_r match destination-address 50.0.0.4/24 user@host# set rule-set rs rule vrf-b_r then destination-nat pool vrf-b_p -
Configure una política de seguridad que permita el tráfico desde la zona de no confianza al servidor de la zona de confianza.
[edit security policies from-zone internet to-zone trust] user@host# set policy vrf-a_policy match source-address any user@host# set policy vrf-a_policy match destination-address any user@host# set policy vrf-a_policy_policy match application any user@host# set policy vrf-a_policy match destination-l3vpn-vrf-group VRF-a’ user@host# set policy vrf-a_policy then permit user@host# set policy vrf-b_policy match source-address any user@host# set policy vrf-b_policy match destination-address any user@host# set policy vrf-b_policy match application any user@host# set policy vrf-b_policy match destination-l3vpn-vrf-group VRF-b’ user@host# set policy vrf-b_policy then permit
Resultados
Desde el modo de configuración, ingrese los comandos , show security policiesshow routing-instancesy los comandos para confirmar la show security nat configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla.
user@host# show security policies
from-zone internet to-zone trust {
policy vrf-a_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group VRF-a;
}
then {
permit;
}
}
policy vrf-b_policy {
match {
source-address any;
destination-address any;
application any;
destination-l3vpn-vrf-group VRF-b;
}
then {
permit;
}
}
}
[edit]
user@host# show routing-instances
VRF-a {
instance-type vrf;
route-distinguisher 10:200;
vrf-target target:100:100;
vrf-table-label;
}
VRF-b {
instance-type vrf;
route-distinguisher 20:200;
vrf-target target:200:100;
vrf-table-label;
}
VRF-a’ {
instance-type vrf;
route-distinguisher 30:200;
vrf-target target:300:100;
vrf-table-label;
}
VRF-b’ {
instance-type vrf;
route-distinguisher 40:200;
vrf-target target:400:100;
vrf-table-label;
}
user@host#
show security nat destination
pool vrf-a_p {
routing-instance {
VRF-a’;
}
address 20.0.0.4/24;
}
pool vrf-b_p {
routing-instance {
VRF-b’;
}
address 30.0.0.4/24;
}
rule-set rs {
from interface [ ge-0/0/0.0 ge-0/0/1.0 ];
rule vrf-a_r {
match {
destination-address 40.0.0.4/24;
}
then {
destination-nat {
pool {
vrf-a_p;
}
}
}
}
rule vrf-b_r {
match {
destination-address 50.0.0.4/24;
}
then {
destination-nat {
pool {
vrf-b_p;
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Verificar la regla TDR de destino
Propósito
Muestra información sobre todas las reglas TDR de destino.
Acción
Desde el modo operativo, introduzca el show security nat destination rule all comando.
user@host> show security nat destination rule all
Total destination-nat rules: 1
Total referenced IPv4/IPv6 ip-prefixes: 6/0
Destination NAT rule: rule1 Rule-set: vrf-b_r
Rule-Id : 2
Rule position : 2
From routing instance : vrf-b_r
Destination addresses : 50.0.0.4 - 50.0.0.4
Action : vrf-b_p
Translation hits : 0
Successful sessions : 0
Failed sessions : 0
Number of sessions : 0
[... Salida truncada...]
Significado
El comando muestra la regla TDR de destino. Vea el campo Hits de traducción para comprobar si hay tráfico que coincida con la regla de destino.
Verificación de la sesión de flujo
Propósito
Muestra información sobre todas las sesiones de seguridad activas actualmente en el dispositivo.
Acción
Desde el modo operativo, introduzca el show security flow session comando.
user@host>show security flow session Flow Sessions on FPC0 PIC1: Session ID: 10115977, Policy name: SG/4, State: Active, Timeout: 62, Valid In: 203.0.113.11/1000 203.0.113.1/2000;udp, Conn Tag: 0x0, If: reth1.1, VRF: VRF-a, Pkts: 1, Bytes: 86, CP Session ID: 10320276 Out: 203.0.113.1/2000 203.0.113.11/1000;udp, Conn Tag: 0x0, If: reth0.0, VRF: VRF-b, Pkts: 0, Bytes: 0, CP Session ID: 10320276
Significado
El comando muestra detalles sobre todas las sesiones activas. Vea el campo VRF para comprobar los detalles de la instancia de enrutamiento VRF en el flujo.
Tráfico específico de la plataforma en el comportamiento de la arquitectura de SD-WAN
Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas.
Utilice las siguientes tablas para revisar el comportamiento específico de la plataforma para su plataforma:
| Plataforma |
Diferencia |
|---|---|
| serie SRX |
|