НА ЭТОЙ СТРАНИЦЕ
Пример: Микро- и макросхема с использованием групповой политики в VXLAN
СВОДКА VXLAN-GBP
Обзор
Можно реализовать микро- и макросхемы, например для защиты данных и ресурсов в архитектуре VXLAN с помощью групповой политики (GBP). VXLAN-GBP работает с помощью использования зарезервированных полей в VXLAN для использования в качестве тега группы (SGT), который можно использовать в качестве условий совпадения в правилах фильтрации межсетевых экранов. Использование SGT более надежно, чем использование портов или MAC-адресов для получения аналогичных результатов. SGTs могут быть назначены статически (с помощью настройки коммутатора для каждого порта или на основе MAC), или они могут быть настроены на RADIUS сервере и перенастроены на коммутатор через 802.1X при аутентификации пользователя.
Сегментация, включенная VXLAN-GBP, особенно полезна в кампусных VXLAN, поскольку это дает практический способ создания политик доступа к сети, которые не зависят от первой сетевой топологии. Она упрощает этапы разработки и внедрения политик безопасности сетевых приложений и оконечного устройства.
Более подробную информацию о стандарте VXLAN-GB IEEE P можно найти в документе RFC, I-D.draft-smith-vxlan-group-policy. Для целей этого примера, скажем, VXLAN-GBP использует зарезервированные поля в VXLAN в качестве тега масштабируемой группы, как показано на рисунке.
VXLAN-GBP Supported Switches
Таблица 1 содержит подробные сведения о коммутаторах, поддерживаюных VXLAN-GBP, на основании сведений, Junos выпусков, начиная с даты предоставляются поддержки.
| Junos коммутаторы | VXLAN-GBP |
|---|---|
| Начиная с Junos OS 21.1R1 |
EX4400-24P, EX4400-24T, EX4400-48F, EX4400-48P и EX4400-48T |
| Начиная с Junos OS 21.4R1 |
QFX5120-32C, QFX5120-48T, QFX5120-48Y, QFX5120-48YM, EX4650 и EX4650-48Y-VC |
Назначение SGTs с сервером RADIUS
В этом примере мы настраиваем SGTs на RADIUS сервере, а затем используем управление доступом 802.1X на EX4400, чтобы получить их. RADIUS обычно используются в кампусных средах для контроля доступа и, например, для управления назначением VLANs.
Чтобы использовать SGTs на сервере RADIUS, необходимо использовать атрибуты, специфические для поставщика (VSA), поддерживаемые структурой AAA служб (эти VSA обрабатываются как часть стандартного сообщения ответа RADIUS запроса и предоставляют встроенное расширение для обработки реализации определенной информации, такой как наши SGTs). Точный синтаксис сервера RADIUS зависит от того, основана ли схема аутентификации на основе MAC или EAP. Для клиентов на основе MAC конфигурация выглядит так:
001094001199 Cleartext-Password := "001094001199" Juniper-Switching-Filter = "apply action gbp-tag 100"
Для клиентов, основанных на EAP, SGT отодвигается от RADIUS сервера во время аутентификации. Конфигурация выглядит так:
PermEmp01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 100"
Начиная с Junos выпуска 21.1R1, коммутаторы EX4400 вводят новый критерий соответствия VXLAN-GBP, который позволяет межсетевму экрану распознавать теги SGT, которые передаются сервером RADIUS и вставляются в задатку VXLAN).
Как это работает, можно увидеть в следующих примерах кода. Политики межсетевых экранов GBP проектются на основе тегов источника и назначения GBP. Тег источника является 16-битным полем в VXLAN во входящих пакетах, в то время как тег назначения получен в конечной точке исходястого туннеля в соответствии с настроенным назначением метки.
Предположим, что имеется данная точки для отката и приведенная ниже конфигурация. Пакетам от MAC-адрес источника назначена метка 100, а пакетам от источника 00:01:02:03:04:10:10 MAC-адрес 00:01:02:03:04:20:20 200.
set firewall family ethernet-switching filter assign_tag term tag100 from source-mac-address 00:01:02:03:04:10:10 set firewall family ethernet-switching filter assign_tag term tag100 then gbp-src-tag 100 set firewall family ethernet-switching filter assign_tag term tag200 from source-mac-address 00:01:02:03:04:20:20 set firewall family ethernet-switching filter assign_tag term tag200 then gbp-src-tag 200
Для пакетов с тегом 100 GBP и MAC-адрес назначения тегом группы назначения будет 00:01:02:03:04:10:10 100, и он будет соответствовать (gbp-dst-tag) t10-100 сроку. Аналогично, для пакетов с тегом GBP 100 и MAC-адрес назначения тегом группы назначения будет 00:01:02:03:04:20:20 200, и он будет соответствовать термину t10-200 .
set firewall family ethernet-switching filter gbp-policy term t10-100 from gbp-src-tag 100 set firewall family ethernet-switching filter gbp-policy term t10-100 from gbp-dst-tag 100 set firewall family ethernet-switching filter gbp-policy term t10-100 then accept set firewall family ethernet-switching filter gbp-policy term t10-200 from gbp-src-tag 100 set firewall family ethernet-switching filter gbp-policy term t10-200 from gbp-dst-tag 200 set firewall family ethernet-switching filter gbp-policy term t10-200 then discard
То же назначение тега, используемая для MAC-адрес источника к метке источника, также используется для MAC-адрес назначения метке назначения. Это верно и для назначений на основе портов.
Давайте рассмотрим другой пример кода, на этот раз с использованием тега источника GBP 300 и с впада интерфейсом ge-0/0/30.0 пакетов. Как видно ниже, тег источника GBP 300 назначен и в направлении отката, а 300 также является тегом группы назначения GBP.
set firewall family ethernet-switching filter assign_tag term tag300 from interface ge-0/0/30.0 set firewall family ethernet-switching filter assign_tag term tag300 then gbp-src-tag 300
Обратите внимание, что необходимо настроить фильтр межсетевых экранов GBP на выходных коммутаторах, поскольку на выходных коммутаторах нет способа узнать, какие теги группы используются на выходе. Кроме того, VXLAN-GBP глобально на впадаемом узле, чтобы он может выполнять просмотр совпадений и добавлять SGT в заглухую VXLAN, а также на узле для выката. Сделайте это с помощью команды конфигурации, показанной ниже:
set chassis forwarding-options vxlan-gbp-profile
Прежде чем создавать какие-либо правила, полезно организовать схему путем создания таблицы для всех конечных точек (пользователей и устройств) и присвоенного значения SGT. Здесь мы показым одну такую таблицу, значения которой позже будут применены в матрице, которая может использоваться для дальнейшего упрощения логики и прояснения правил.
| Конечной точки |
Назначенное значение SGT |
|---|---|
| Постоянный сотрудник (PE) |
100 |
| Подрядчик (CON) |
200 |
| Персонал службы безопасности (SS) |
300 |
| Безопасность Cam (CAM) |
400 |
| Инженерный сервер (ES) |
500 |
Связь между сервером RADIUS и SGTs, заглавными VXLAN EX4400 и VXLAN пакетами, а также фильтром центрального межсетевых экрана для управления политикой доступа, такова, что матрица становится удобным способом удобная систематизировать значения. В следующей таблице перечисляются роли пользователей в первом столбце и типах устройств в первой строке, чтобы создать матрицу доступа. Каждой пользовательской роли и типу устройства назначенА SGT, RADIUS конфигурация обновлена с информацией.
В данном примере используются три типа сотрудников: Permanent Employee (PE), Contractor (CON) и Security Staff (SS). Кроме того, он использует два типа ресурсов: Eng Server (ES) и security camera (CAM). Используется Y, чтобы указать, что доступ разрешен, а N – когда доступ заблокирован. Таблица служит полезным ресурсом при создании различных правил брандмауэра в политике, а также упрощает и очищает карту доступа.
| ES (SGT 500) | CAM (SGT 400) | PE (SGT 100) | CON (SGT 200) | SS (SGT 300) | |
|---|---|---|---|---|---|
| PE (SGT 100) | Y | N | Y | Y | N |
| CON (SGT 200) | N | N | Y | N | N |
| SS (SGT 300) | N | Y | N | N | Y |
Топологии
Для упрощения все настройки в данном примере были сделаны на единственном коммутаторе серии EX4400 Juniper под управлением Junos OS версии 21.1R1. Коммутатор для подключения к RADIUS подключен к AAA. В этом примере этот коммутатор функционирует как уеханый. Вспомните, что для SGTs необходимо определить межсетевой экран на выходе коммутатора, в то время как обычно это необходимо сделать на входной VXLAN шлюзе для уровня доступа.
Требования
VXLAN-GBP поддерживается в Junos OS 21.1R1 на следующих коммутаторах: EX4400-24P, EX4400-24T, EX4400-48F, EX4400-48P и EX4400-48T. Рассмотрим коммутатор EX4400 в данном примере.
Начиная с Junos выпуска 21.4R1, VXLAN-GBP поддерживается и на следующих коммутаторах: QFX5120-32C, QFX5120-48T, QFX5120-48Y, QFX5120-48YM, EX4650-48Y-VC.
Конфигурации
Можно суммировать последовательность событий, VXLAN- сегментации на основе GBP, изложенных в параграфах выше, следующим образом:
- Пользователи, войдите в сеть и аутентифцируется RADIUS (на котором SGTs настроены для всех конечных точек).
- Используя фильтры межсетевых экранов, EX4400 выбирает трафик на основе аутентификации 802.1X или MAC-адрес, а затем назначает тег группы для совпадающих кадров. (для клиентов с аутентификацией dot1x настройка статического межсетевых экрана не требуется). Эти механизмы выполняются с помощью политики межсетевых экранов, как показано
set firewall family ethernet-switching filter name term name from source-mac-address MAC-Addr
set firewall family ethernet-switching filter name term name then gbp-src-tag PE-GRP
- Маркированная передача трафика через EX4400 оценивается на основании значений SGT, опять же, с помощью механиков фильтра межсетевых экранов. Чтобы это произошло, сначала необходимо включить на коммутаторе, затем вы используете условия и/или условия совпадения для записи правил брандмауэра и включите их в политику маршрутизации на коммутаторе-выключении, который используется для
chassis forwarding-options vxlan-gbp-profilegbp-dst-taggbp-src-tagмикроsegmentation GBP.
Настройка отдельного коммутатора EX4400 Juniper для VXLAN-GBP
Используйте следующие команды для настройки сегментации VXLAN-GBP в песочнице. Как правило, на коммутаторе, который является (выход VXLAN ным) шлюзом для уровня доступа, создаются правила фильтрации межсетевых экранов, но для упрощения мы используем один и тот же автономный EX4400 как для правил фильтрации межсетевых экранов, так и для сервера RADIUS (EAP, здесь). Значения, которые используются в этом примере, взяты из предыдущих таблиц.
Следующие команды включают переменные, такие как имена профилей и IP-адреса, которые должны быть адаптированы для проверки среды.
- Настройка сервера radius:
set groups dot1xgbp access radius-server 10.204.96.102 port 1812 set groups dot1xgbp access radius-server 10.204.96.102 secret “secret key" set groups dot1xgbp access profile radius_profile_dev12 authentication-order radius set groups dot1xgbp access profile radius_profile_dev12 radius authentication-server 10.204.96.102 set groups dot1xgbp access profile radius_profile_dev12 radius accounting-server 10.204.96.102 set groups dot1xgbp access profile radius_profile_dev12 accounting order radius
- Настройте физические порты для поддержки RADIUS аутентификации:
set groups dot1xgbp protocols dot1x authenticator authentication-profile-name radius_profile_dev12 set groups dot1xgbp protocols dot1x authenticator interface xe-0/0/46.0 supplicant multiple set groups dot1xgbp protocols dot1x authenticator interface xe-0/0/46.0 mac-radius
- Установите теги SGT на сервере RADIUS:
Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 100" Contractor01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 200" SecurityStaff01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 300" SecurityCam01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 400" EngServer01 Auth-Type = EAP, Cleartext-Password := "gbp" Juniper-Switching-Filter = "apply action gbp-tag 500"
- Включение VXLAN-GBP на коммутаторе:
set chassis forwarding-options vxlan-gbp-profile
- Создайте правила фильтрации брандмауэра, которые используют SGTs (используя значения, организованные в матрице):
set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe from gbp-src-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe from gbp-dst-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe then accept set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-pe then count PE-PE set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es from gbp-src-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es then accept set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-es then count PE-ES set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam from gbp-src-tag 100 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term pe-to-cam then count PE-CAM set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam from gbp-src-tag 200 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-cam then count CON-CAM set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es from gbp-src-tag 200 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term con-to-es then count CON-ES set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam from gbp-src-tag 300 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam from gbp-dst-tag 400 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam then accept set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-cam then count SS-CAM set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es from gbp-src-tag 300 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es from gbp-dst-tag 500 set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es then discard set groups gbp-policy firewall family ethernet-switching filter gbp-policy term ss-to-es then count SS-ES set apply-groups gbp-policy
- Запустите проверку commit Junos, чтобы убедиться в том, что использованные команды и переменные являются допустимы. Если конфигурация удовлетворены, сделайте конфигурацию кандидатов активной на устройстве. Эти команды приведены ниже. Можно также просмотреть конфигурацию, введя в нее
run show configuration.commit check configuration check succeeds commit commit complete