Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Fio seguro em dispositivos de segurança

Entender o Secure Wire em dispositivos de segurança

O tráfego que chega em uma interface específica pode ser encaminhado sem alterações por meio de outra interface. Esse mapeamento de interfaces, chamado de secure wire,permite que uma Série SRX seja implantada no caminho do tráfego de rede sem exigir uma mudança em tabelas de roteamento ou uma reconfiguração de dispositivos próximos. Figura 1 mostra uma implantação típica no caminho de uma série SRX com fio seguro.

Figura 1: Implantação in-Path da Série SRX com fio seguroImplantação in-Path da Série SRX com fio seguro

O cabo seguro mapeia duas interfaces de peer. Ela difere dos modos transparentes e de roteamento, na forma de não haver nenhuma análise de roteamento ou com switching para encaminhamento do tráfego. Enquanto o tráfego for permitido por uma política de segurança, um pacote que chega em uma interface de peer é imediatamente encaminhado sem alterações da outra interface de peer. Não existe nenhuma decisão de roteamento ou com switching sobre o pacote. O tráfego de devolução também não mudou.

O mapeamento de cabo seguro está configurado com a instrução no secure-wire nível da hierarquia [ ] ; duas edit security forwarding-options interfaces lógicas Ethernet devem ser especificadas. As interfaces lógicas de Ethernet devem ser configuradas com e cada par de family ethernet-switching interfaces deve pertencer às VLAN.s. As interfaces devem estar sujeitas a zonas de segurança e a uma política de segurança configurada para permitir o tráfego entre as zonas.

Esse recurso está disponível apenas em interfaces lógicas Ethernet; tanto o tráfego IPv4 como o IPv6 são suportados. Você pode configurar interfaces para acesso ou modo tronco. O secure wire aceita interfaces Ethernet redundantes de cluster de chassi. Esse recurso não oferece suporte a recursos de segurança que não são suportados no modo transparente, incluindo NAT e IPsec VPN.

O secure wire aceita recursos de Camada 7, AppSecure, proxy SSL, UTM e IPS/IDP.

O fio seguro é um caso especial do modo transparente de Camada 2 em dispositivos da Série SRX que fornecem conexões ponto a ponto. Isso significa que as duas interfaces de um fio seguro devem estar conectadas diretamente a entidades de Camada 3, como roteadores ou hosts. Interfaces de cabo seguras podem ser conectadas a switches. Entretanto, observe que uma interface de fio segura encaminha todo o tráfego que chega à interface de peer somente se o tráfego for permitido por uma política de segurança.

O cabo seguro pode coexistir com o modo Camada 3. Embora você possa configurar interfaces de Camada 2 e Camada 3 ao mesmo tempo, o encaminhamento de tráfego ocorre independentemente nas interfaces das Camadas 2 e Camada 3.

O cabo seguro pode coexistir com o modo transparente de Camada 2. Se ambos os recursos existem no mesmo dispositivo da Série SRX, você precisa configurá-los em VLANs diferentes.

Nota:

Interfaces integradas de roteamento e ponte (IRB) não são suportadas com fio seguro.

Exemplo: Simplificando a implantação de dispositivos da série SRX com interfaces de modo de acesso com fio seguro por acesso

Se você está conectando um dispositivo da Série SRX a outros dispositivos de rede, você pode usar um fio seguro para simplificar a implantação do dispositivo na rede. Não é necessário mudar para tabelas de roteamento ou encaminhamento no dispositivo da Série SRX e nenhuma reconfiguração dos dispositivos vizinhos. O fio seguro permite que o tráfego seja encaminhado sem alterações entre as interfaces de modo de acesso especificadas em um dispositivo da Série SRX, desde que permitido por políticas de segurança ou outros recursos de segurança. Siga este exemplo se você está conectando um dispositivo da Série SRX a outros dispositivos de rede por meio de interfaces de modo de acesso.

Este exemplo mostra como configurar um mapeamento de fio seguro para duas interfaces do modo de acesso. Essa configuração se aplica a cenários em que o tráfego do usuário não está marcado por VLAN.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Este exemplo configura a interface secure wire access-sw que mapeia ge-0/0/3.0 para a interface ge-0/0/4.0. As duas interfaces de peer estão configuradas para o modo de acesso. A ID VLAN 10 está configurada para as interfaces do vlan-10 e do modo de acesso.

Nota:

Uma ID VLAN específica precisa estar configurada para uma VLAN.

Topologia

Figura 2 mostra as interfaces do modo de acesso mapeadas em secure wire access-sw.

Figura 2: Interfaces do modo de acesso para cabo seguroInterfaces do modo de acesso para cabo seguro

Configuração

Procedimento

Configuração rápida CLI
Nota:

A partir do Junos OS Release 15.1X49-D10 Junos OS Release 17.3R1, algumas declarações de configuração clI de Camada 2 são aprimoradas e alguns comandos são alterados. Para obter informações detalhadas sobre as hierarquias modificadas, consulte Declaração de configuração cli de camada 2 aprimorada e mudanças de comando para dispositivos de segurança .

As declarações de configuração mostradas abaixo são para Junos OS Release 15.1X49-D10 ou superior e Junos OS Release 17.3R1.

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar um mapeamento de fio seguro para interfaces de modo de acesso:

  1. Configure o VLAN.

  2. Configure as interfaces do modo de acesso.

  3. Configure o mapeamento de fio seguro.

  4. Configure zonas de segurança.

  5. Crie entradas do livro de endereços. Anexe zonas de segurança aos livros de endereço.

  6. Configure uma política de segurança para permitir o tráfego de e-mail.

Resultados

A partir do modo de configuração, confirme sua configuração show vlans inserindo os show interfaces comandos , e show security forwarding-options . show security zones Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificação do mapeamento de fio seguro

Propósito

Verificar o mapeamento de fio seguro.

Ação

Do modo operacional, insira o show security forwarding-options secure-wire comando.

Verificação da VLAN

Propósito

Verificar a VLAN.

Ação

Do modo operacional, insira o show vlans vlan-10 comando.

Verificação da configuração de política

Propósito

Verificar informações sobre políticas de segurança..

Ação

Do modo operacional, insira o show security policies detail comando.

Exemplo: Simplificando a implantação de dispositivos da série SRX com interfaces de modo de tronco com fio seguro

Se você está conectando um dispositivo da Série SRX a outros dispositivos de rede, você pode usar um fio seguro para simplificar a implantação do dispositivo na rede. Não é necessário mudar para tabelas de roteamento ou encaminhamento no dispositivo da Série SRX e nenhuma reconfiguração dos dispositivos vizinhos. O fio seguro permite que o tráfego seja encaminhado sem alterações entre as interfaces de modo de tronco especificadas em um dispositivo da Série SRX, desde que permitido por políticas de segurança ou outros recursos de segurança. Siga este exemplo se você estiver conectando um dispositivo da Série SRX a outros dispositivos de rede por meio de interfaces do modo tronco.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Este exemplo configura o trunk-sw de cabo seguro que mapeia a interface ge-0/1/0.0 para a interface ge-0/1/1.0. As duas interfaces de peer estão configuradas para o modo tronco e transportam tráfego do usuário marcado com IDs VLAN de 100 a 102. A lista de IDs VLAN 100-102 está configurada para as interfaces do VLAN vlan-100 e do modo tronco.

Nota:

Uma ID VLAN específica precisa estar configurada para uma VLAN.

Topologia

Figura 3 mostra as interfaces do modo tronco mapeadas em trunk-sw de cabo seguro.

Figura 3: Interfaces do modo Tronco de Cabo SeguroInterfaces do modo Tronco de Cabo Seguro

Configuração

Procedimento

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar um mapeamento de fio seguro para interfaces do modo tronco:

  1. Configure o VLAN.

  2. Configure as interfaces do modo tronco.

  3. Configure o mapeamento de fio seguro.

  4. Configure zonas de segurança.

  5. Configure uma política de segurança para permitir tráfego.

Resultados

A partir do modo de configuração, confirme sua configuração show vlans inserindo os show interfaces comandos , e show security forwarding-options . show security zones Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificação do mapeamento de fio seguro

Propósito

Verificar o mapeamento de fio seguro.

Ação

Do modo operacional, insira o show security forwarding-options secure-wire comando.

Verificação da VLAN

Propósito

Verificar a VLAN.

Ação

Do modo operacional, insira o show vlans comando.

Nota:

As VLANs são expandidas automaticamente, com uma VLAN para cada ID VLAN na lista de ID de VLAN.

Exemplo: Simplificando a implantação de dispositivos da série SRX com Secure Wire por links agregados de membros da interface

Se você está conectando um dispositivo da Série SRX a outros dispositivos de rede, você pode usar um fio seguro para simplificar a implantação do dispositivo na rede. Não é necessário mudar para tabelas de roteamento ou encaminhamento no dispositivo da Série SRX e nenhuma reconfiguração dos dispositivos vizinhos. O secure wire permite que o tráfego seja encaminhado inalterado entre links de membro da interface agregado especificados em um dispositivo da Série SRX, desde que permitido por políticas de segurança ou outros recursos de segurança. Siga este exemplo se você estiver conectando um dispositivo da Série SRX a outros dispositivos de rede por meio de links agregados de membros da interface.

Nota:

O LACP não tem suporte. Mapeamentos de cabo seguro podem ser configurados para links de membros de pacotes de enlace, em vez de mapear diretamente as interfaces Ethernet agregadas. Quando as portas ou interfaces do dispositivo da Série SRX estão em modo de tronco, o dispositivo não transmite as PDUs LACP e falha no LACP. Você deve adicionar um vlan nativo a interfaces de cabo seguras, para aumentar o LACP.

Nota:

Nos dispositivos SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 e SRX650, quando você cria uma interface agregada com duas ou mais portas e configura a família como switching Ethernet, e se um enlace no pacote for eliminado, o tráfego encaminhado pelo mesmo enlace será recaminhado dois segundos depois. Isso faz com que o tráfego seja enviado ao enlace até que o reroute esteja completo.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Este exemplo configura cabos seguros para dois pacotes de enlace de interface Ethernet agregados com dois enlaces cada. Dois cabos seguros separados ae-link1 e ae-link2 estão configurados usando um enlace de cada pacote de enlace Ethernet agregado. Esse mapeamento estático requer que os dois pacotes de enlace tenham o mesmo número de enlaces.

Para pacotes de enlace, todas as interfaces lógicas dos mapeamentos de cabo seguro devem ser do mesmo VLAN. A ID VLAN 10 está configurada para as interfaces VLAN vlan-10 e lógicas. Todas as interfaces lógicas de um pacote de enlaces devem estar na mesma zona de segurança.

Nota:

Uma lista de ID ou ID VLAN específica precisa estar configurada para uma VLAN.

Topologia

Figura 4 mostra as interfaces agregadas mapeadas em configurações de cabo seguro.

Figura 4: Interfaces agregadas por cabo seguroInterfaces agregadas por cabo seguro

Configuração

Procedimento

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar um mapeamento de fio seguro para links agregados de membros da interface:

  1. Configure o VLAN.

  2. Configure as interfaces.

  3. Configure os mapeamentos de fio seguro.

  4. Configure zonas de segurança.

  5. Configure uma política de segurança para permitir tráfego.

Resultados

A partir do modo de configuração, confirme sua configuração show vlans inserindo os show interfaces comandos , e show security forwarding-options . show security zones Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificação do mapeamento de fio seguro

Propósito

Verificar o mapeamento de fio seguro.

Ação

Do modo operacional, insira o show security forwarding-options secure-wire comando.

Verificação da VLAN

Propósito

Verificar a VLAN.

Ação

Do modo operacional, insira o show vlans vlan-10 comando.

Exemplo: Simplificando a implantação de clusters de Chassis com Secure Wire em interfaces Ethernet redundantes

Se você está conectando um cluster de chassi da Série SRX a outros dispositivos de rede, você pode usar um fio seguro para simplificar a implantação de clusters na rede. Não são necessárias alterações em tabelas de roteamento ou encaminhamento no cluster e nenhuma reconfiguração dos dispositivos vizinhos. O cabo seguro permite que o tráfego seja encaminhado inalterado entre interfaces Ethernet redundantes especificadas no cluster de chassis da Série SRX, desde que permitido por políticas de segurança ou outros recursos de segurança. Siga este exemplo se você está conectando um cluster de chassi da Série SRX a outros dispositivos de rede por meio de interfaces Ethernet redundantes.

Requisitos

Antes de começar:

  • Conecte um par de dispositivos da Série SRX em um cluster de chassi.

  • Configure a ID do nó de cluster de chassi e a ID de cluster.

  • De definir o número de interfaces Ethernet redundantes no cluster de chassi.

  • Configure a malha de clusters de chassi.

  • Configure o grupo de redundância de cluster de chassi (neste exemplo, o grupo de redundância 1 é usado).

Para obter mais informações, consulte o Guia do usuário do cluster de Chassis para dispositivos da série SRX.

Visão geral

O cabo seguro é suportado por interfaces Ethernet redundantes em um cluster de chassi. As duas interfaces Ethernet redundantes precisam estar configuradas no mesmo grupo de redundância. Caso ocorra failover, ambas as interfaces Ethernet redundantes devem falhar juntas.

Nota:

Não há suporte para o mapeamento de cabo seguro de grupos de agregação de enlace Ethernet redundantes (LAGs). O LACP não tem suporte.

Este exemplo configura o reth-sw de cabo seguro que mapeia a interface de entrada reth0.0 para a reth1.0 da interface de saída. Cada interface Ethernet redundante consiste em duas interfaces crianças, uma em cada nó do cluster de chassi. As duas interfaces Ethernet redundantes estão configuradas para o modo de acesso. A ID VLAN 10 está configurada para as interfaces VLAN vlan-10 e Ethernet redundantes.

Nota:

Uma lista de ID ou ID VLAN específica precisa estar configurada para uma VLAN.

Topologia

Figura 5 mostra as interfaces Ethernet redundantes mapeadas em redes com fio seguro.

Figura 5: Interfaces Ethernet Redundantes secure WireInterfaces Ethernet Redundantes secure Wire

Configuração

Procedimento

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar um mapeamento de cabo seguro para interfaces Ethernet redundantes de cluster de chassi:

  1. Configure o VLAN.

  2. Configure as interfaces Ethernet redundantes.

  3. Configure o mapeamento de fio seguro.

  4. Configure zonas de segurança.

  5. Configure uma política de segurança para permitir tráfego.

Resultados

A partir do modo de configuração, confirme sua configuração show vlans inserindo os show interfaces comandos , e show security forwarding-options . show security zones Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificação do mapeamento de fio seguro

Propósito

Verificar o mapeamento de fio seguro.

Ação

Do modo operacional, insira o show security forwarding-options secure-wire comando.

Verificação da VLAN

Propósito

Verificar a VLAN.

Ação

Do modo operacional, insira o show vlan vlan-10 comando.

Exemplo: Simplificando a implantação de clusters de chassis com Secure Wire em interfaces Ethernet redundantes agregadas

Se você está conectando um cluster de chassi da Série SRX a outros dispositivos de rede, você pode usar um fio seguro para simplificar a implantação de clusters na rede. Não são necessárias alterações em tabelas de roteamento ou encaminhamento no cluster e nenhuma reconfiguração dos dispositivos vizinhos. O cabo seguro permite que o tráfego seja encaminhado inalterado entre interfaces Ethernet redundantes especificadas no cluster de chassis da Série SRX, desde que permitido por políticas de segurança ou outros recursos de segurança. Siga este exemplo se você está conectando um cluster de chassi da Série SRX a outros dispositivos de rede por meio de interfaces Ethernet redundantes agregadas.

Nota:

Os cabos seguros não podem ser configurados para grupos de agregação de enlace de interface Ethernet redundantes (LAGs). Para o mapeamento de fio seguro mostrado neste exemplo, não há configuração de LAG no cluster de chassis da Série SRX. Cada interface Ethernet redundante consiste em duas interfaces crianças, uma em cada nó do cluster de chassi. Os usuários em dispositivos upstream ou downstream conectados ao cluster da Série SRX podem configurar os links crianças redundantes da interface Ethernet em LAGs.

Requisitos

Antes de começar:

  • Conecte um par de dispositivos da Série SRX em um cluster de chassi.

  • Configure a ID do nó de cluster de chassi e a ID de cluster.

  • De definir o número de interfaces Ethernet redundantes no cluster de chassi.

  • Configure a malha de clusters de chassi.

  • Configure o grupo de redundância de cluster de chassi (neste exemplo, o grupo de redundância 1 é usado).

Para obter mais informações, consulte o Guia do usuário do cluster de Chassis para dispositivos da série SRX.

Visão geral

Este exemplo configura cabos seguros para quatro interfaces Ethernet redundantes: reth0, reth1, reth2 e reth3. Cada interface Ethernet redundante consiste em duas interfaces crianças, uma em cada nó do cluster de chassi. Todas as quatro interfaces Ethernet redundantes devem estar na mesma VLAN. Neste exemplo, a VLAN é vlan-0. Duas das interfaces Ethernet redundantes, reth0.0 e reth2.0, são atribuídos à zona de confiança, enquanto as outras duas interfaces, reth1.0 e reth3.0, são atribuídos à zona de confiança.

Este exemplo configura os seguintes cabos seguros:

  • reth-sw1 maps interface reth0.0 to interface reth1.0

  • reth-sw2 maps interface reth2.0 to reth3.0

Todas as interfaces Ethernet redundantes estão configuradas para o modo de acesso. A ID VLAN 10 está configurada para as interfaces VLAN vlan-0 e Ethernet redundantes.

Nota:

Uma lista de ID ou ID VLAN específica precisa estar configurada para uma VLAN.

Topologia

Figura 6 mostra os links crianças da interface Ethernet redundantes mapeados em configurações de fio seguro reth-sw1 e reth-sw2. Cada interface Ethernet redundante consiste em duas interfaces crianças, uma em cada nó do cluster de chassi.

Figura 6: Links de crianças de interface Ethernet redundantes de Secure WireLinks de crianças de interface Ethernet redundantes de Secure Wire

Os usuários em dispositivos upstream ou downstream conectados ao cluster da Série SRX podem configurar links crianças de interface Ethernet redundantes em um LAG, desde que o LAG não abrange nós de cluster do chassi. Por exemplo, ge-0/0/0 e ge-0/1/0 e ge-0/0/1 e ge-0/1/1 no nó 0 podem ser configurados como LAGs em dispositivos conectados. Da mesma forma, ge-1/0/0 e ge-1/1/0 e ge-1/0/1 e ge-1/1/1 no nó 1 podem ser configurados como LAGs em dispositivos conectados.

Configuração

Procedimento

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.

Para configurar um mapeamento de fio seguro para links agregados de membros da interface:

  1. Configure o VLAN.

  2. Configure as interfaces Ethernet redundantes.

  3. Configure os mapeamentos de fio seguro.

  4. Configure zonas de segurança.

  5. Configure uma política de segurança para permitir tráfego.

Resultados

A partir do modo de configuração, confirme sua configuração show vlans inserindo os show interfaces comandos , e show security forwarding-options . show security zones Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificação do mapeamento de fio seguro

Propósito

Verificar o mapeamento de fio seguro.

Ação

Do modo operacional, insira o show security forwarding-options secure-wire comando.

Verificação de VLAN

Propósito

Verificar a VLAN.

Ação

Do modo operacional, insira o show vlans vlan-0 comando.