Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de directivas de seguridad mediante VRF Group

Visión general

En la red SD-WAN, cuando diferentes tráficos basados en VRF entran en el dispositivo desde el mismo túnel, como GRE o GE, el dispositivo aplica políticas basadas en la instancia de VRF dada. El dispositivo permite o deniega el tráfico destinado a una instancia de VRF determinada para controlar el tráfico basado en VRF.

Actualmente, hay 5 condiciones coincidentes para cada póliza:

  • Desde la zona

  • A la zona

  • Dirección de origen

  • Dirección de destino

  • Aplicaciones

La figura 1 muestra las condiciones de coincidencia en una política.

Figura 1: Condiciones Match Conditions de coincidencia

Con las condiciones actuales de coincidencia de directivas, no puede permitir VRF-B1 o VRF-B2 y denegar VRF-A1 o VRF-A2. Para ello, se agregan condiciones de coincidencia adicionales a la política en la red SD-WAN mediante el grupo VRF.

Cuando el flujo recibe la información de los grupos VRF de origen y destino, reenvía la información a la API de búsqueda de políticas junto con la información de tupla clave de directiva para cumplir las condiciones de coincidencia.

La figura 2 muestra los grupos VRF agregados como condición de coincidencia en una política.

Figura 2: Condiciones de coincidencia con el grupo Match Conditions with VRF group VRF
Nota:

Si la información del grupo VRF de origen y destino no se especifica en una directiva, estos grupos coinciden con any el grupo VRF.

Ejemplo: configuración de una política de seguridad para permitir o denegar tráfico basado en VRF desde la red MPLS a una red IP mediante el grupo VRF de origen

En este ejemplo se muestra cómo configurar una directiva de seguridad para permitir el tráfico y denegar el tráfico mediante el grupo VRF de origen.

Requisitos

Visión general

En Junos OS, las políticas de seguridad imponen reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del dispositivo y las acciones que deben tener lugar en el tráfico a medida que pasa por el dispositivo. En la Figura 3, se despliega un firewall de la serie SRX en una SD-WAN para controlar el tráfico mediante el grupo VRF de origen. El tráfico de la red GRE MPLS se envía al sitio A y al sitio B de la red IP. Según el requisito de red, se debe denegar el tráfico del sitio A y solo se debe permitir el tráfico del sitio B.

Figura 3: Control de políticas desde la red Policy Control from MPLS network MPLS

En este ejemplo de configuración, se muestra cómo:

  • Denegar tráfico desde vpn-A (desde GRE MPLS)

  • Permitir tráfico desde vpn-B (desde GRE MPLS)

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.

  1. Creación de vpn-A de grupo VRF con instancias VRF A1 y A2

  2. Creación de vpn-B de grupo VRF con instancias VRF B1 y B2

  3. Cree una política de seguridad para denegar el tráfico vpn-A.

  4. Cree una política de seguridad para permitir el tráfico vpn-B.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show security policies comandos y show routing-instances . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Comprobación de la configuración de directivas
Propósito

Verifique la información sobre las políticas de seguridad.

Acción

Desde el modo operativo, ingrese el show security policies comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.

Ejemplo: configuración de una política de seguridad para permitir o denegar tráfico basado en VRF desde una red IP a una red MPLS mediante el grupo VRF de destino

En este ejemplo se muestra cómo configurar una directiva de seguridad para permitir el tráfico y denegar el tráfico mediante el grupo VRF de origen.

Requisitos

Visión general

En Junos OS, las políticas de seguridad imponen reglas para el tráfico de tránsito, en términos de qué tráfico puede pasar a través del dispositivo y las acciones que deben tener lugar en el tráfico a medida que pasa por el dispositivo. En la Figura 4, se despliega un firewall de la serie SRX en una SD-WAN para controlar el tráfico mediante el grupo VRF de destino. El tráfico de la red IP se envía al sitio A y al sitio B de la red GRE MPLS. Según el requisito de red, se debe denegar el tráfico del sitio A y solo se debe permitir el tráfico del sitio B.

En este ejemplo de configuración, se muestra cómo:

Figura 4: Control de políticas para la red Policy control to MPLS network MPLS
  • Denegar tráfico a vpn-A (a GRE MPLS)

  • Permitir tráfico a vpn-B (a GRE MPLS)

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.

  1. Creación de vpn-A de grupo VRF con instancias VRF A1 y A2

  2. Creación de vpn-B de grupo VRF con instancias VRF B1 y B2

  3. Cree una política de seguridad para denegar el tráfico vpn-A.

  4. Cree una política de seguridad para permitir el tráfico vpn-B.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show security policies comandos y show routing-instances . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Comprobación de la configuración de directivas
Propósito

Verifique la información sobre las políticas de seguridad.

Acción

Desde el modo operativo, ingrese el show security policies comando para mostrar un resumen de todas las políticas de seguridad configuradas en el dispositivo.

Administración de VPN superpuestas mediante el grupo VRF

Cuando hay dos sesiones en una red L3VPN, para evitar conflictos entre las dos sesiones, el ID de grupo VRF se agrega a la clave de sesión como una clave adicional para diferenciar las sesiones.

En la figura 5 , la red1 y la red3 se agrupan en el grupo A del VRF en la red L3VPN, y la red2 y la red4 se agrupan en el grupo B del VRF. Las sesiones utilizan VRF grupo-A y VRF-grupo-B como diferenciadores.

Figura 5: VPN superpuesta usando grupos Overlapping VPN using VRF groups VRF

Cuadro 1

Tabla 1: Información de sesión de L3VPN

Red L3VPN 1 y 3 sesiones

Red L3VPN 2 y 4 sesiones

(Adelante)

(Reverso)

(Adelante)

(Reverso)

5-tupla: x/y/sp/dp/p

5-tupla: y/x/dp/sp/p

5-tupla: x/y/sp/dp/p

5-tupla: y/x/dp/sp/p

Token: GRE1(zone_id+VR_id) + VRF group-ID (A)

Token: GRE1 (zone_id + VR_id) + ID de grupo VRF (B)

Token: GRE1(zone_id+VR_id) + VRF group-ID (A')

Token: GRE1(zone_id+VR_id) + VRF group-ID (B')