ジュニパーのチンキ剤の準備を続けています。 開始方法については、 こちらとこちらをご覧ください 。 今日、私たちは仮想ルーターのような少し便利なものに触れ、それを最大の利益で使用する方法を考えます。
内容:
パート1:紹介
パート2:IPSec
パート3:仮想ルーター
ジュニパーには、トラフィック操作(ルーティングとカプセル化)用に設計されたルーティングインスタンスエンティティタイプがあります。 RIを使用すると、1つのルーターを複数の小さなルーターに「分割」できます。一方、各インスタンスは、他のインスタンスとは独立して、異なる機能で「独自の方法で」トラフィックを処理します。 これは、複数のクライアントを相互に分離し、異なるルールに従ってそれらを解決する必要がある場合に、あらゆる種類のVPNを整理するのに役立ちます。 同時に、VPNに関する情報は、他のルーターと交換できます(たとえば、MPLS VPNを編成する場合)。
ルーティングインスタンスのタイプ
* フォワーディング -特別なフィルターベースのフォワーディングアプリケーション(Cisco用語では、ポリシーベースのルーティング)の構築に役立ちます。 同時に、インターフェイスはRIに関連付けられていませんが、デフォルトのRIのままです。
* レイヤー2仮想プライベートネットワーク(VPN) -MPLS L2VPNを整理するために使用されます。
* 非転送 -すべてのルートとインターフェースはメインルーティングインスタンスに配置されますが、メインルーティングテーブルをいくつかの小さなものに「分割」できます。
* VPNルーティングおよび転送(VRF) -L3VPNを整理するために使用されます。 ルーティングテーブルだけでなく、転送テーブルも含まれています。 同時に、インターフェイスからのトラフィックはRIに1対1で表示されます。これにより、ルーティングラベルを送受信し、分散VPNを受信できます。 ダイナミックルーティングプロトコル(BGP、OSPF、またはISIS)を使用して、PE(プロバイダーエッジ)とCE(クライアントエッジ)間の情報交換を整理し、それぞれが「独自の」VPN内でのみルートを受信(および送信)できるようにします。
* 仮想ルーター -VRFに似ていますが、VRFインポート、VRFエクスポート、VRFターゲット、ルート識別子などのオプションはありません。 したがって、L3VPNの作成には適していません。 別のルーティングテーブルは、同じルーター内でのみ「存続」します。 そのシンプルさにより、「ビッグブラザー」よりも頻繁に使用されます。
* 仮想プライベートLANサービス(VPLS) -MPLSの上にマルチポイント分散L2VPNを編成するためのエンティティ。 クライアントにとっては、仮想スイッチのように見え、そのポートにボーダーライン(CE)デバイスが接続されます。
この素晴らしさをすぐには見ませんが、VRのみを扱います。 それは何ですか? 説明は、これがVRFのわずかに簡略化されたバージョンであることを示しています。実際、シスコの世界のVRF-liteです。 論理トンネルとリブグループは、相互のルート交換とVR通信でサポートされています。 もちろん、ルーティングプロトコル(ospf、bgp、isis)はVRごとに個別に構成されます。 各VRには独自のセキュリティゾーンが必要です(異なるVRからのインターフェイスをゾーンに配置することはできません)。
なぜこれがすべて必要なのですか? まさにそれからVRFが通常行われる理由-ネットワーク(クライアント)の相互分離とルーティングの簡素化。 たとえば、ブランチのルーティング、顧客へのIPSecトンネル、サービスデバイスのルーティング、およびルーター自体のトラフィックを分離できます(デフォルトのルーティングテーブル)。 ボーナスとして(重い!)ルーティングテーブル、セキュリティポリシーをコンパイルするのに便利で、ospfデータベースの膨張を取り除きます。
VRの内容について簡単に説明します
-ルーティングテーブル。
-インターフェース;
-ルーティングプロトコル設定(OSPF、ISIS、BGPなど)。
-ルーティングオプションの設定(静的など)
VRの制限
-VR内のダイナミックVPNまたはリモートアクセスVPN
-VR内の公開キー基盤(PKI)
-シャーシクラスターアクティブ/アクティブVR内のVPN
ご覧のように、制限は非常にエキゾチックな構成(たとえば、PKI)に関連するか、このケースではハードウェアでサポートされていないものに関連しています(アクティブ/アクティブでの作業は、データセンター用に設計されたSRXの古いバージョンでのみ可能です)。 もちろん、ダイナミックVPNの制限は攻撃的です(そのような計画があります)が、それを乗り切ることはできます。
では、これらのVRで何をするのでしょうか?
最も興味深いものに移りましょう:練習します。 これがどのように設定され、結果がどうなるかを見てみましょう。
GRE
ここでは2つのシナリオが可能です。gre自体がVRにある場合:
set interfaces gr-0/0/0 unit 1 description cs3925-1-smr--tun13 set interfaces gr-0/0/0 unit 1 point-to-point set interfaces gr-0/0/0 unit 1 tunnel source 192.168.0.13 set interfaces gr-0/0/0 unit 1 tunnel destination 192.168.0.21 set interfaces gr-0/0/0 unit 1 tunnel routing-instance destination BRANCH_VR set interfaces gr-0/0/0 unit 1 family inet mtu 1448 set interfaces gr-0/0/0 unit 1 family inet address 192.168.77.12/31
または、VRの場合、GREトンネルが構築されるインターフェイスのみがあります。
set interfaces gr-0/0/0 unit 8 description cs3925-1-smr--tun15 set interfaces gr-0/0/0 unit 8 point-to-point set interfaces gr-0/0/0 unit 8 tunnel source 1.2.3.4 set interfaces gr-0/0/0 unit 8 tunnel destination 2.3.4.2 set interfaces gr-0/0/0 unit 8 family inet mtu 1446 set interfaces gr-0/0/0 unit 8 family inet address 192.168.77.26/31 set routing-instances BRANCH_VR routing-options static route 2.3.4.2/32 next-table inet.0 set routing-instances BRANCH_VR routing-options static route 192.168.0.21/32 next-hop 192.168.0.14
IPsec
設定は通常と変わりません。 主なことは、外部インターフェイスを正しく判別することです。外部インターフェイスは、別のVRでも使用できます。 その後、目的のVRにst0を追加し、ルーティングとポリシーを構成します。 この場合、10.6.6.0 / 24は、パートナーのipsecゲートウェイの背後にあるネットワークです。
set routing-instances VR1 instance-type virtual-router set routing-instances VR1 interface ge-0/0/1.0 set routing-instances VR1 interface st0.0 set routing-instances VR1 routing-options static route 10.6.6.0/24 next-hop st0.0
NAT
ここでは、追加の構成も必要ありません。IPSecの場合のように、ルーティングと許可ポリシーを正しく構成することが主なことです。
ルーティング
VR内のルーティングでは、すべてが非常に簡単です。プロトコル(静的ルーティングの場合のルーティングオプション)は、VR設定で直接設定されます。 VRの間でルートを交換する必要がある場合はさらに興味深いです。 ここで私たちの援助に来てください:
a。 静的ルーティング
一方向でのみ機能します(VR間で「対向」ルートを構成することはできません)。
admin@jpsrx550# show routing-instances SAMPLE_VR routing-options static route abcd/32 next-table inet.0;
ここで、デフォルトのルーティングテーブル(inet.0)でアドレスabcdを検索する必要があることをVRに伝えます。
b。 リブグループ
あるVRから別のVRへのルーティングテーブルのインポートを許可します。 完全ではありません。つまり、必要な部分です。 たとえば、静的ルート、インターフェイスルート(直接接続されたネットワーク)、または動的ルーティングプロトコルからのルート。
set routing-options rib-groups IPSEC_to_default_RIB import-rib IPSEC_VR.inet.0 set routing-options rib-groups IPSEC_to_default_RIB import-rib inet.0 set routing-instances IPSEC_VR routing-options static rib-group IPSEC_to_default_RIB set routing-options rib-groups default_to_IPSEC_RIB import-rib inet.0 set routing-options rib-groups default_to_IPSEC_RIB import-rib IPSEC_VR.inet.0 set protocols ospf rib-group default_to_IPSEC_RIB
この場合、VR(異なるrib骨グループ)間で「オンザフライ」ルーティングを構成するか、たとえば、一方向に静的ルートを作成し、反対方向にrib骨グループを作成できます。 この方法でインポートされたルートは、VRによって「ネイティブ」として認識されます。 たとえば、OSPF / BGPにエクスポートできます。
c。 論理トンネル
このオプションは実装が透過的で、場合によっては便利です(たとえば、異なるVR間でBGPテーブルを交換する必要がある場合)。 仮想インターフェイスは、実際のインターフェイスと同じように作成されます。 セキュリティゾーン、ルーティングインスタンス、ポリシーの適用、アドレスのハングなどに追加できます。 ただし、トラフィックはルーターを出ません。
セットアップは非常に簡単です。 ltを設定するとき、ネイバーIDが指定されることに注意してください。 つまり トンネルは2つ以上にすることができます(これは論理的です)。
長い構成
interfaces { lt-0/0/0 { unit 1 { encapsulation ethernet; peer-unit 2; family inet { address 10.20.30.1/30; } } unit 2 { encapsulation ethernet; peer-unit 1; family inet { address 10.20.30.2/30; } } } policy-options { policy-statement p1 { from { instance R1; protocol direct; } then accept; } policy-statement p2 { from { instance R2; protocol direct; } then accept; } } security { zones { security-zone Z1 { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/1.0; lt-0/0/0.1; } } security-zone Z2 { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { ge-0/0/2.0; lt-0/0/0.2; } } } policies { from-zone Z1 to-zone Z1 { policy Z1-Z1 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone Z2 to-zone Z2 { policy Z2-Z2 { match { source-address any; destination-address any; application any; } then { permit; } } } } flow { traceoptions { file lt-testing; flag basic-datapath; packet-filter 1 { source-prefix 192.168.1.2/32; destination-prefix 192.168.2.2/32; } } } } routing-instances { R1 { instance-type virtual-router; interface lt-0/0/0.1; interface ge-0/0/1.0; protocols { ospf { traceoptions { file R1; flag all; } export p1; area 0.0.0.0 { interface lt-0/0/0.1; } } } } R2 { instance-type virtual-router; interface lt-0/0/0.2; interface ge-0/0/2.0; protocols { ospf { export p2; area 0.0.0.0 { interface lt-0/0/0.2; } } } } }
マイナスの点-インターフェイスを作成し、VR、セキュリティゾーンに追加し、動的ルーティングを構成する際に検討する必要があるなど。
実際、それがすべてです。 コメントで質問やコメントにお答えできることを嬉しく思います。
リンク(一部はサービス契約でのみ利用可能):
Junos OSルーティングプロトコル構成ガイドPDFドキュメント
Junos OSセキュリティ構成ガイドPDFドキュメント
セキュリティデバイス用Junos OS MPLS構成ガイドPDFドキュメント
例:仮想ルーターでのst0インターフェイスの構成
[SRX]仮想ルーティングインスタンスを使用した静的NAT
[SRX]ルーティングインスタンスでのGREトンネルの構成
[SRX]設定例:宛先NAT 2つの宛先が同じIPアドレスであり、送信元アドレスに基づいて区別する
[SRX、Jシリーズ]例-SRXおよびJシリーズの仮想ルーターとの間でルートをインポートする
SRXブランチシリーズプラットフォームの論理トンネルインターフェイス(lt-0 / 0/0)について
ここから取られた KDPV