Juniper Mist Wired AssuranceでGroup Based Policyを試してみた

2025.04.18

Juniper Mist Wired AssuranceにおけるGroup Based Policyに関する紹介記事となります。

ライター：馬越　紘: 2022年新卒入社後、応用技術部にてJuniperのRouter及びSwitch製品の製品担当に従事。

はじめに

近年、エンタープライズキャンパスネットワークは、クラウドサービスの普及、IoT機器の導入などにより、接続されるデバイスやアプリケーションが多様化しています。これに伴い、柔軟なアクセス制御の重要性が高まっています。このような背景から、本ブログでは、Juniper Mist Wired Assuranceで構築したEVPN-VXLAN環境においてネットワーク内のユーザやデバイスをグループ化し、それぞれに適切なポリシーを適用することが可能な技術である「Group Based Policy」についてご紹介します。

Group Based Policyとは

Juniper Mist Wired Assurance

Juniper Mistは、Juniper社が提供するAI-Driven型のクラウドサービスであり、エンタープライズキャンパスネットワークにおけるアクセスポイント、スイッチ、WANエッジなどのユーザーエクスペリエンスを最適化し、運用の簡素化を実現します。その一環であるJuniper Mist Wired Assurance(以降、Mist Wired)は、エンタープライズキャンパス向けスイッチ（Juniper EXシリーズおよび一部のQFXシリーズ）向けのアシュアランスとなります。このアシュアランスにより、スイッチのオンボーディングから設定、監視、トラブルシューティングまでのプロセスが簡素化され、ネットワーク運用の効率化が図れます。

図1 AIドリブンエンタープライズのポートフォリオの概要

引用元URL: https://www.juniper.net/jp/ja/products/cloud-services/juniper-mist-wired-assurance-datasheet.html

Group Based Policy

Group Based Policy(以降、GBP)は、VXLANの拡張としてRFCドラフト「draft-smith-vxlan-group-policy」にて定義されています。GBPは、VXLANのオーバーレイ・アーキテクチャを利用して、論理的に分類したエンドポイントのグループに対してロケーションに依存せず、ネットワーク全体において一貫したセキュリティポリシーを実現します。この機能により、GBPはエンタープライズネットワークにおける柔軟で一貫性のあるアクセス制御を実現します。

参考: RFCドラフト draft-smith-vxlan-group-policy
https://datatracker.ietf.org/doc/html/draft-smith-vxlan-group-policy-05

図2はGBPにより拡張されたVXLANヘッダーと従来のVXLANヘッダーとなります。GBPはVXLANヘッダーの16bitの予約済みフィールドをGroup Policy IDフィールドとして利用します。Group Policy IDフィールドには、送信元GBPタグ*が格納されます。

*RFCドラフト「draft-smith-vxlan-group-policy」では「Tenant System Interface (TSI) Group Identifier」、Juniperの資料ではScalable Group Tagと呼称されていますが、本ブログでは、MistのGUI上の表記であるGBPタグと呼称します。

図2 GBPのために拡張されたヘッダー(上)　VXLAN ヘッダー(RFC 7348)(下)

GBPタグを各クライアントやユーザに割り当てる方法としては、静的な割り当てと動的な割り当ての2つのパターンがあります。静的な割り当てでは、インターフェイス、MACアドレス、VLAN、IPアドレスのいずれかに基づいてGBPタグを割り当てます。動的な割り当てでは、RADIUSサーバを利用した認証の際に、認証成功時に802.1Xを介してスイッチに対応するGBPタグの情報をプッシュすることでGBPタグを割り当てます。

上記のGBPの概要より、GBPによるポリシー適用の流れの概要は以下の通りとなります。

①アクセススイッチに接続しているユーザ・クラアントに対して、割り当てるGBPタグを決定する

②VXLANトンネルのイングレスのスイッチにおいて、Group Policy IDフィールドに送信元のGBPタグを格納する

③VXLANトンネルを介して、宛先ユーザ・クライアントが接続されているイグレスのスイッチに転送される

④VXLANヘッダーに格納されている送信元GBPタグとイグレスのスイッチが認識している宛先GBPタグに対してポリシーを適用する

図3 Group Based Policy 動作概要

GBPのメリット・デメリット

ここまででは、Mist WiredにおけるGBPの概要について説明させていただきましたので、ここでMist WiredにおけるGBP機能のメリット・デメリットを整理します。

メリット
- 柔軟かつ直感的なポリシー管理が可能
  - MistのGUI上からポリシーの集中管理が可能
  - MistのGUIでは、可読性の高いGBPタグやスイッチポリシーが提供される
- ネットワーク全体に一貫したポリシーを適用可能
- ロケーションに依存しないアクセス制御
デメリット
- 現時点では、Mist WiredではGBPはIP Clos Fabric構成でのみサポートされている
  - EVPN-VXLANに関する知識が必要となる
- IP Clos Fabric構成は上位グレードのスイッチとライセンスが求められる

検証

検証構成

以下の図4の通り本ブログの検証では、Mist WiredによるIP Clos Fabric構成にて検証を実施します。

図4 検証構成

検証項目

本ブログにおける検証では、以下の項目の確認を実施します。

GBPタグの設定
スイッチポリシーの設定*
疎通確認

*本ブログでは、Mist WiredのGUI上の表記にあわせてGBPタグに基づくポリシーのことをスイッチポリシーと呼称します。

検証結果

GBPタグの設定

本ブログの検証では、IPプレフィックスに基づいた静的なGBPタグ割り当て設定を行います。本ブログの検証では、GBPタグのパラメータとして表1の通りにタグの名前(Name)、タイプ(Type)、タグの割り当て対象(From、value)、タグ値(GBP Tag)を設定します。MistのGUI上では、図5のようになります。

表1 本ブログの検証におけるGBPタグの設定

図5 Mist WiredのGUI上でのGBPタグの設定

スイッチポリシーの設定

本ブログの検証では、スイッチポリシーのパラメータとして表2の通りに設定します。MistのGUI上では図6のようになります。「User/Group」が送信元のGBPタグ、「Resource」が宛先のGBPタグであり、緑色のGBPタグがアクセス許可、赤色のGBPタグがアクセス拒否を意味します。設定されたスイッチポリシーは上から順番に評価されます。

表2 本ブログの検証におけるスイッチポリシーの設定

図6 Mist WiredのGUI上でのスイッチポリシーの設定

疎通確認

本項目では、疎通確認を実施し、スイッチポリシーにて設定した通りにアクセス制御が実施されていることを確認します。疎通確認のため、図4の各PCに以下のIPアドレスを設定します。

PC-①: 192.168.100.10/24
PC-②: 192.168.100.100/24
PC-③: 192.168.110.100/24
PC-④: 192.168.120.100/24

各PC間で実施した疎通確認の結果は以下の通りとなります。

図7 PC-①とPC-②間の疎通確認結果

図8 PC-①とPC-③間の疎通確認結果

図9 PC-①とPC-④間の疎通確認結果

上記の疎通確認結果から、設定したスイッチポリシーの通りにアクセス制御が実施されていることが確認できます。

さいごに

本ブログでは、GBP(Group Based Policy)の概要と弊社のラボにて実施したJuniper Mist Wired Assurance(Mist Wired)におけるGBP機能に関する検証結果について紹介させていただいております。従来のアクセス制御手法は各スイッチに離散先に設定する必要があり、クラウドサービスの普及、IoT機器の導入などにより、接続されるデバイスやアプリケーションが複雑化・多様化した近年のエンタープライスネットワークの環境下では、運用が煩雑になっているのではないでしょうか。JuniperのMist Wired環境下にてGBPを導入することで、より安全かつ効率的なキャンパスネットワーク運用を実現していただければ幸いです。