Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Пример: Микро- и макросхема с использованием групповой политики в VXLAN

СВОДКА VXLAN-GBP

Обзор

Можно реализовать микро- и макросхемы, например для защиты данных и ресурсов в архитектуре VXLAN с помощью групповой политики (GBP). VXLAN-GBP работает с помощью использования зарезервированных полей в VXLAN для использования в качестве тега группы (SGT), который можно использовать в качестве условий совпадения в правилах фильтрации межсетевых экранов. Использование SGT более надежно, чем использование портов или MAC-адресов для получения аналогичных результатов. SGTs могут быть назначены статически (с помощью настройки коммутатора для каждого порта или на основе MAC), или они могут быть настроены на RADIUS сервере и перенастроены на коммутатор через 802.1X при аутентификации пользователя.

Сегментация, включенная VXLAN-GBP, особенно полезна в кампусных VXLAN, поскольку это дает практический способ создания политик доступа к сети, которые не зависят от первой сетевой топологии. Она упрощает этапы разработки и внедрения политик безопасности сетевых приложений и оконечного устройства.

Более подробную информацию о стандарте VXLAN-GB IEEE P можно найти в документе RFC, I-D.draft-smith-vxlan-group-policy. Для целей этого примера, скажем, VXLAN-GBP использует зарезервированные поля в VXLAN в качестве тега масштабируемой группы, как показано на рисунке.

Рис. 1. VXLAN загона

VXLAN-GBP Supported Switches

Таблица 1 содержит подробные сведения о коммутаторах, поддерживаюных VXLAN-GBP, на основании сведений, Junos выпусков, начиная с даты предоставляются поддержки.

Таблица 1. VXLAN-GBP-коммутаторы
Junos коммутаторы VXLAN-GBP

Начиная с Junos OS 21.1R1

EX4400-24P, EX4400-24T, EX4400-48F, EX4400-48P и EX4400-48T

Начиная с Junos OS 21.4R1

QFX5120-32C, QFX5120-48T, QFX5120-48Y, QFX5120-48YM, EX4650 и EX4650-48Y-VC

Назначение SGTs с сервером RADIUS

В этом примере мы настраиваем SGTs на RADIUS сервере, а затем используем управление доступом 802.1X на EX4400, чтобы получить их. RADIUS обычно используются в кампусных средах для контроля доступа и, например, для управления назначением VLANs.

Чтобы использовать SGTs на сервере RADIUS, необходимо использовать атрибуты, специфические для поставщика (VSA), поддерживаемые структурой AAA служб (эти VSA обрабатываются как часть стандартного сообщения ответа RADIUS запроса и предоставляют встроенное расширение для обработки реализации определенной информации, такой как наши SGTs). Точный синтаксис сервера RADIUS зависит от того, основана ли схема аутентификации на основе MAC или EAP. Для клиентов на основе MAC конфигурация выглядит так:

Для клиентов, основанных на EAP, SGT отодвигается от RADIUS сервера во время аутентификации. Конфигурация выглядит так:

Начиная с Junos выпуска 21.1R1, коммутаторы EX4400 вводят новый критерий соответствия VXLAN-GBP, который позволяет межсетевму экрану распознавать теги SGT, которые передаются сервером RADIUS и вставляются в задатку VXLAN).

Как это работает, можно увидеть в следующих примерах кода. Политики межсетевых экранов GBP проектются на основе тегов источника и назначения GBP. Тег источника является 16-битным полем в VXLAN во входящих пакетах, в то время как тег назначения получен в конечной точке исходястого туннеля в соответствии с настроенным назначением метки.

Предположим, что имеется данная точки для отката и приведенная ниже конфигурация. Пакетам от MAC-адрес источника назначена метка 100, а пакетам от источника 00:01:02:03:04:10:10 MAC-адрес 00:01:02:03:04:20:20 200.

Для пакетов с тегом 100 GBP и MAC-адрес назначения тегом группы назначения будет 00:01:02:03:04:10:10 100, и он будет соответствовать (gbp-dst-tag) t10-100 сроку. Аналогично, для пакетов с тегом GBP 100 и MAC-адрес назначения тегом группы назначения будет 00:01:02:03:04:20:20 200, и он будет соответствовать термину t10-200 .

То же назначение тега, используемая для MAC-адрес источника к метке источника, также используется для MAC-адрес назначения метке назначения. Это верно и для назначений на основе портов.

Давайте рассмотрим другой пример кода, на этот раз с использованием тега источника GBP 300 и с впада интерфейсом ge-0/0/30.0 пакетов. Как видно ниже, тег источника GBP 300 назначен и в направлении отката, а 300 также является тегом группы назначения GBP.

Обратите внимание, что необходимо настроить фильтр межсетевых экранов GBP на выходных коммутаторах, поскольку на выходных коммутаторах нет способа узнать, какие теги группы используются на выходе. Кроме того, VXLAN-GBP глобально на впадаемом узле, чтобы он может выполнять просмотр совпадений и добавлять SGT в заглухую VXLAN, а также на узле для выката. Сделайте это с помощью команды конфигурации, показанной ниже:

Прежде чем создавать какие-либо правила, полезно организовать схему путем создания таблицы для всех конечных точек (пользователей и устройств) и присвоенного значения SGT. Здесь мы показым одну такую таблицу, значения которой позже будут применены в матрице, которая может использоваться для дальнейшего упрощения логики и прояснения правил.

SGT
Таблица 2. Конечные точки и их значения

Конечной точки

Назначенное значение SGT

Постоянный сотрудник (PE)

100

Подрядчик (CON)

200

Персонал службы безопасности (SS)

300

Безопасность Cam (CAM)

400

Инженерный сервер (ES)

500

Связь между сервером RADIUS и SGTs, заглавными VXLAN EX4400 и VXLAN пакетами, а также фильтром центрального межсетевых экрана для управления политикой доступа, такова, что матрица становится удобным способом удобная систематизировать значения. В следующей таблице перечисляются роли пользователей в первом столбце и типах устройств в первой строке, чтобы создать матрицу доступа. Каждой пользовательской роли и типу устройства назначенА SGT, RADIUS конфигурация обновлена с информацией.

В данном примере используются три типа сотрудников: Permanent Employee (PE), Contractor (CON) и Security Staff (SS). Кроме того, он использует два типа ресурсов: Eng Server (ES) и security camera (CAM). Используется Y, чтобы указать, что доступ разрешен, а N – когда доступ заблокирован. Таблица служит полезным ресурсом при создании различных правил брандмауэра в политике, а также упрощает и очищает карту доступа.

Таблица 3. Матрица доступа
  ES (SGT 500) CAM (SGT 400) PE (SGT 100) CON (SGT 200) SS (SGT 300)
PE (SGT 100) Y N Y Y N
CON (SGT 200) N N Y N N
SS (SGT 300) N Y N N Y

Топологии

Для упрощения все настройки в данном примере были сделаны на единственном коммутаторе серии EX4400 Juniper под управлением Junos OS версии 21.1R1. Коммутатор для подключения к RADIUS подключен к AAA. В этом примере этот коммутатор функционирует как уеханый. Вспомните, что для SGTs необходимо определить межсетевой экран на выходе коммутатора, в то время как обычно это необходимо сделать на входной VXLAN шлюзе для уровня доступа.

Рис. 2. VXLAN GBP на коммутаторе EX4400 VXLAN GBP on a EX4400 switch

Требования

VXLAN-GBP поддерживается в Junos OS 21.1R1 на следующих коммутаторах: EX4400-24P, EX4400-24T, EX4400-48F, EX4400-48P и EX4400-48T. Рассмотрим коммутатор EX4400 в данном примере.

Начиная с Junos выпуска 21.4R1, VXLAN-GBP поддерживается и на следующих коммутаторах: QFX5120-32C, QFX5120-48T, QFX5120-48Y, QFX5120-48YM, EX4650-48Y-VC.

Конфигурации

Можно суммировать последовательность событий, VXLAN- сегментации на основе GBP, изложенных в параграфах выше, следующим образом:

  • Пользователи, войдите в сеть и аутентифцируется RADIUS (на котором SGTs настроены для всех конечных точек).
  • Используя фильтры межсетевых экранов, EX4400 выбирает трафик на основе аутентификации 802.1X или MAC-адрес, а затем назначает тег группы для совпадающих кадров. (для клиентов с аутентификацией dot1x настройка статического межсетевых экрана не требуется). Эти механизмы выполняются с помощью политики межсетевых экранов, как показано ниже:
  • Маркированная передача трафика через EX4400 оценивается на основании значений SGT, опять же, с помощью механиков фильтра межсетевых экранов. Чтобы это произошло, сначала необходимо включить на коммутаторе, затем вы используете условия и/или условия совпадения для записи правил брандмауэра и включите их в политику маршрутизации на коммутаторе-выключении, который используется для chassis forwarding-options vxlan-gbp-profile gbp-dst-tag gbp-src-tag микроsegmentation GBP.

Настройка отдельного коммутатора EX4400 Juniper для VXLAN-GBP

Используйте следующие команды для настройки сегментации VXLAN-GBP в песочнице. Как правило, на коммутаторе, который является (выход VXLAN ным) шлюзом для уровня доступа, создаются правила фильтрации межсетевых экранов, но для упрощения мы используем один и тот же автономный EX4400 как для правил фильтрации межсетевых экранов, так и для сервера RADIUS (EAP, здесь). Значения, которые используются в этом примере, взяты из предыдущих таблиц.

Следующие команды включают переменные, такие как имена профилей и IP-адреса, которые должны быть адаптированы для проверки среды.

  1. Настройка сервера radius:
  2. Настройте физические порты для поддержки RADIUS аутентификации:
  3. Установите теги SGT на сервере RADIUS:
  4. Включение VXLAN-GBP на коммутаторе:
  5. Создайте правила фильтрации брандмауэра, которые используют SGTs (используя значения, организованные в матрице):
  6. Запустите проверку commit Junos, чтобы убедиться в том, что использованные команды и переменные являются допустимы. Если конфигурация удовлетворены, сделайте конфигурацию кандидатов активной на устройстве. Эти команды приведены ниже. Можно также просмотреть конфигурацию, введя в нее run show configuration .