Nesta página
Fio seguro em dispositivos de segurança
Entender o Secure Wire em dispositivos de segurança
O tráfego que chega em uma interface específica pode ser encaminhado sem alterações por meio de outra interface. Esse mapeamento de interfaces, chamado de secure wire,permite que uma Série SRX seja implantada no caminho do tráfego de rede sem exigir uma mudança em tabelas de roteamento ou uma reconfiguração de dispositivos próximos. Figura 1 mostra uma implantação típica no caminho de uma série SRX com fio seguro.
O cabo seguro mapeia duas interfaces de peer. Ela difere dos modos transparentes e de roteamento, na forma de não haver nenhuma análise de roteamento ou com switching para encaminhamento do tráfego. Enquanto o tráfego for permitido por uma política de segurança, um pacote que chega em uma interface de peer é imediatamente encaminhado sem alterações da outra interface de peer. Não existe nenhuma decisão de roteamento ou com switching sobre o pacote. O tráfego de devolução também não mudou.
O mapeamento de cabo seguro está configurado com a instrução no secure-wire nível da hierarquia [ ] ; duas edit security forwarding-options interfaces lógicas Ethernet devem ser especificadas. As interfaces lógicas de Ethernet devem ser configuradas com e cada par de family ethernet-switching interfaces deve pertencer às VLAN.s. As interfaces devem estar sujeitas a zonas de segurança e a uma política de segurança configurada para permitir o tráfego entre as zonas.
Esse recurso está disponível apenas em interfaces lógicas Ethernet; tanto o tráfego IPv4 como o IPv6 são suportados. Você pode configurar interfaces para acesso ou modo tronco. O secure wire aceita interfaces Ethernet redundantes de cluster de chassi. Esse recurso não oferece suporte a recursos de segurança que não são suportados no modo transparente, incluindo NAT e IPsec VPN.
O secure wire aceita recursos de Camada 7, AppSecure, proxy SSL, UTM e IPS/IDP.
O fio seguro é um caso especial do modo transparente de Camada 2 em dispositivos da Série SRX que fornecem conexões ponto a ponto. Isso significa que as duas interfaces de um fio seguro devem estar conectadas diretamente a entidades de Camada 3, como roteadores ou hosts. Interfaces de cabo seguras podem ser conectadas a switches. Entretanto, observe que uma interface de fio segura encaminha todo o tráfego que chega à interface de peer somente se o tráfego for permitido por uma política de segurança.
O cabo seguro pode coexistir com o modo Camada 3. Embora você possa configurar interfaces de Camada 2 e Camada 3 ao mesmo tempo, o encaminhamento de tráfego ocorre independentemente nas interfaces das Camadas 2 e Camada 3.
O cabo seguro pode coexistir com o modo transparente de Camada 2. Se ambos os recursos existem no mesmo dispositivo da Série SRX, você precisa configurá-los em VLANs diferentes.
Interfaces integradas de roteamento e ponte (IRB) não são suportadas com fio seguro.
Consulte também
Exemplo: Simplificando a implantação de dispositivos da série SRX com interfaces de modo de acesso com fio seguro por acesso
Se você está conectando um dispositivo da Série SRX a outros dispositivos de rede, você pode usar um fio seguro para simplificar a implantação do dispositivo na rede. Não é necessário mudar para tabelas de roteamento ou encaminhamento no dispositivo da Série SRX e nenhuma reconfiguração dos dispositivos vizinhos. O fio seguro permite que o tráfego seja encaminhado sem alterações entre as interfaces de modo de acesso especificadas em um dispositivo da Série SRX, desde que permitido por políticas de segurança ou outros recursos de segurança. Siga este exemplo se você está conectando um dispositivo da Série SRX a outros dispositivos de rede por meio de interfaces de modo de acesso.
Este exemplo mostra como configurar um mapeamento de fio seguro para duas interfaces do modo de acesso. Essa configuração se aplica a cenários em que o tráfego do usuário não está marcado por VLAN.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Este exemplo configura a interface secure wire access-sw que mapeia ge-0/0/3.0 para a interface ge-0/0/4.0. As duas interfaces de peer estão configuradas para o modo de acesso. A ID VLAN 10 está configurada para as interfaces do vlan-10 e do modo de acesso.
Uma ID VLAN específica precisa estar configurada para uma VLAN.
Topologia
Figura 2 mostra as interfaces do modo de acesso mapeadas em secure wire access-sw.
Configuração
Procedimento
Configuração rápida CLI
A partir do Junos OS Release 15.1X49-D10 Junos OS Release 17.3R1, algumas declarações de configuração clI de Camada 2 são aprimoradas e alguns comandos são alterados. Para obter informações detalhadas sobre as hierarquias modificadas, consulte Declaração de configuração cli de camada 2 aprimorada e mudanças de comando para dispositivos de segurança .
As declarações de configuração mostradas abaixo são para Junos OS Release 15.1X49-D10 ou superior e Junos OS Release 17.3R1.
Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.
set vlans vlan-10 vlan-id 10 set interfaces ge-0/0/3 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members 10 set interfaces ge-0/0/4 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members 10 set security forwarding-options secure-wire access-sw interface [ge-0/0/3.0 ge-0/0/4.0] set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone untrust interfaces ge-0/0/4.0 set security address-book book1 address mail-untrust 203.0.113.1 set security address-book book1 attach zone untrust set security address-book book2 address mail-trust 192.168.1.1 set security address-book book2 attach zone trust set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail set security policies from-zone trust to-zone untrust policy permit-mail then permit
Procedimento passo a passo
O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.
Para configurar um mapeamento de fio seguro para interfaces de modo de acesso:
Configure o VLAN.
[edit vlans vlan-10] user@host# set vlan-id 10
Configure as interfaces do modo de acesso.
[edit interfaces ] user@host# set ge-0/0/3 unit 0 family ethernet-switching interface-mode access user@host# set ge-0/0/4 unit 0 family ethernet-switching interface-mode access user@host# set ge-0/0/3 unit 0 family ethernet-switching vlan members 10 user@host# set ge-0/0/4 unit 0 family ethernet-switching vlan members 10
Configure o mapeamento de fio seguro.
[edit security forwarding-options] user@host# set secure-wire access-sw interface [ge-0/0/3.0 ge-0/0/4.0]
Configure zonas de segurança.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/3.0 user@host# set security-zone untrust interfaces ge-0/0/4.0
Crie entradas do livro de endereços. Anexe zonas de segurança aos livros de endereço.
[edit security address-book book1] user@host# set address mail-untrust 203.0.113.1 user@host# set attach zone untrust
[edit security address-book book1] user@host# set address mail-trust 192.168.1.1 user@host# set attach zone trust
Configure uma política de segurança para permitir o tráfego de e-mail.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-mail match source-address mail-trust user@host# set policy permit-mail match destination-address mail-untrust user@host# set policy permit-mail match application junos-mail user@host# set policy permit-mail then permit
Resultados
A partir do modo de configuração, confirme sua configuração show vlans inserindo os show interfaces comandos , e show security forwarding-options . show security zones Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.
user@host# show vlans
vlan-10 {
vlan-id 10;
}
user@host# show interfaces
ge-0/0/3 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 10;
}
}
}
}
ge-0/0/4 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 10;
}
}
}
}
user@host# show security forwarding-options
secure-wire {
access-sw {
interface [ ge-0/0/3.0 ge-0/0/4.0 ];
}
}
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/3.0;
}
}
security-zone untrust {
interfaces {
ge-0/0/4.0;
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-mail {
match {
source-address mail-trust;
destination-address mail-untrust;
application junos-mail;
}
then {
permit;
}
}
}
Caso você não configure o dispositivo, entre commit no modo de configuração.
Verificação
Confirmar se a configuração está funcionando corretamente.
Verificação do mapeamento de fio seguro
Propósito
Verificar o mapeamento de fio seguro.
Ação
Do modo operacional, insira o show security forwarding-options secure-wire comando.
user@host> show security forward-options secure-wire Secure wire Interface Link Interface Link access-sw ge-0/0/3.0 down ge-0/0/4.0 down Total secure wires: 1
Verificação da VLAN
Propósito
Verificar a VLAN.
Ação
Do modo operacional, insira o show vlans vlan-10 comando.
user@host> show vlans vlan-10
Routing instance VLAN name Tag Interfaces
default-switch vlan-10 10 ge-0/0/3.0
ge-0/0/4.0Verificação da configuração de política
Propósito
Verificar informações sobre políticas de segurança..
Ação
Do modo operacional, insira o show security policies detail comando.
user@host> show security policies detail
Default policy: deny-all
Pre ID default policy: permit-all
Policy: permit-mail, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: untrust
Source vrf group:
any
Destination vrf group:
any
Source addresses:
mail-trust(book2): 192.168.1.1/32
Destination addresses:
mail-untrust(book1): 203.0.113.1/32
Application: junos-mail
IP protocol: tcp, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination ports: 25
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: NoExemplo: Simplificando a implantação de dispositivos da série SRX com interfaces de modo de tronco com fio seguro
Se você está conectando um dispositivo da Série SRX a outros dispositivos de rede, você pode usar um fio seguro para simplificar a implantação do dispositivo na rede. Não é necessário mudar para tabelas de roteamento ou encaminhamento no dispositivo da Série SRX e nenhuma reconfiguração dos dispositivos vizinhos. O fio seguro permite que o tráfego seja encaminhado sem alterações entre as interfaces de modo de tronco especificadas em um dispositivo da Série SRX, desde que permitido por políticas de segurança ou outros recursos de segurança. Siga este exemplo se você estiver conectando um dispositivo da Série SRX a outros dispositivos de rede por meio de interfaces do modo tronco.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Este exemplo configura o trunk-sw de cabo seguro que mapeia a interface ge-0/1/0.0 para a interface ge-0/1/1.0. As duas interfaces de peer estão configuradas para o modo tronco e transportam tráfego do usuário marcado com IDs VLAN de 100 a 102. A lista de IDs VLAN 100-102 está configurada para as interfaces do VLAN vlan-100 e do modo tronco.
Uma ID VLAN específica precisa estar configurada para uma VLAN.
Topologia
Figura 3 mostra as interfaces do modo tronco mapeadas em trunk-sw de cabo seguro.
Configuração
Procedimento
Configuração rápida CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.
set vlans vlan-100 vlan members 100-102 set interfaces ge-0/1/0 unit 0 family ethernet-switching interface-mode trunk vlan members 100-102 set interfaces ge-0/1/1 unit 0 family ethernet-switching interface-mode trunk vlan members 100-102 set security forwarding-options secure-wire trunk-sw interface [ge-0/1/0.0 ge-0/1/1.0] set security zones security-zone trust interfaces ge-0/1/0.0 set security zones security-zone untrust interfaces ge-0/1/1.0 set security policies default-policy permit-all
Procedimento passo a passo
O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.
Para configurar um mapeamento de fio seguro para interfaces do modo tronco:
Configure o VLAN.
[edit vlans vlan-100] user@host# set vlan members 100-102
Configure as interfaces do modo tronco.
[edit interfaces] user@host# set ge-0/1/0 unit 0 family ethernet-switching interface-mode trunk vlan members 100-102 user@host# set ge-0/1/1 unit 0 family ethernet-switching interface-mode trunk vlan members 100-102
Configure o mapeamento de fio seguro.
[edit security forwarding-options] user@host# set secure-wire trunk-sw interface [ge-0/1/0.0 ge-0/1/1.0]
Configure zonas de segurança.
[edit security zones] user@host# set security-zone trust interfaces ge-0/1/0.0 user@host# set security-zone untrust interfaces ge-0/1/1.0
Configure uma política de segurança para permitir tráfego.
[edit security policies] user@host# set default-policy permit-all
Resultados
A partir do modo de configuração, confirme sua configuração show vlans inserindo os show interfaces comandos , e show security forwarding-options . show security zones Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.
user@host# show vlans
vlan-100 {
vlan members 100-102;
}
user@host# show interfaces
ge-0/1/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan members 100-102;
}
}
}
ge-0/1/1 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan members 100-102;
}
}
}
user@host# show security forwarding-options
secure-wire trunk-sw {
interfaces [ge-0/1/0.0 ge-0/1/1.0];
}
user@host# show security zones
security-zone trust {
interfaces {
ge-0/1/0.0;
}
}
security-zone untrust {
interfaces {
ge-0/1/1.0;
}
}
Caso você não configure o dispositivo, entre commit no modo de configuração.
Verificação
Confirmar se a configuração está funcionando corretamente.
Verificação do mapeamento de fio seguro
Propósito
Verificar o mapeamento de fio seguro.
Ação
Do modo operacional, insira o show security forwarding-options secure-wire comando.
user@host> show security forward-options secure-wire Secure wire Interface Link Interface Link trunk-sw ge-0/1/0.0 up ge-0/1/1.0 up Total secure wires: 1
Verificação da VLAN
Propósito
Verificar a VLAN.
Ação
Do modo operacional, insira o show vlans comando.
user@host> show vlans
Routing instance VLAN name VLAN ID Interfaces
default-switch vlan-100-vlan-0100 100 ge-0/1/0.0
ge-0/1/1.0
default-switch vlan-100-vlan-0101 101 ge-0/1/0.0
ge-0/1/1.0
default-switch vlan-100-vlan-0102 102 ge-0/1/0.0
ge-0/1/1.0As VLANs são expandidas automaticamente, com uma VLAN para cada ID VLAN na lista de ID de VLAN.
Exemplo: Simplificando a implantação de dispositivos da série SRX com Secure Wire por links agregados de membros da interface
Se você está conectando um dispositivo da Série SRX a outros dispositivos de rede, você pode usar um fio seguro para simplificar a implantação do dispositivo na rede. Não é necessário mudar para tabelas de roteamento ou encaminhamento no dispositivo da Série SRX e nenhuma reconfiguração dos dispositivos vizinhos. O secure wire permite que o tráfego seja encaminhado inalterado entre links de membro da interface agregado especificados em um dispositivo da Série SRX, desde que permitido por políticas de segurança ou outros recursos de segurança. Siga este exemplo se você estiver conectando um dispositivo da Série SRX a outros dispositivos de rede por meio de links agregados de membros da interface.
O LACP não tem suporte. Mapeamentos de cabo seguro podem ser configurados para links de membros de pacotes de enlace, em vez de mapear diretamente as interfaces Ethernet agregadas. Quando as portas ou interfaces do dispositivo da Série SRX estão em modo de tronco, o dispositivo não transmite as PDUs LACP e falha no LACP. Você deve adicionar um vlan nativo a interfaces de cabo seguras, para aumentar o LACP.
Nos dispositivos SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 e SRX650, quando você cria uma interface agregada com duas ou mais portas e configura a família como switching Ethernet, e se um enlace no pacote for eliminado, o tráfego encaminhado pelo mesmo enlace será recaminhado dois segundos depois. Isso faz com que o tráfego seja enviado ao enlace até que o reroute esteja completo.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Este exemplo configura cabos seguros para dois pacotes de enlace de interface Ethernet agregados com dois enlaces cada. Dois cabos seguros separados ae-link1 e ae-link2 estão configurados usando um enlace de cada pacote de enlace Ethernet agregado. Esse mapeamento estático requer que os dois pacotes de enlace tenham o mesmo número de enlaces.
Para pacotes de enlace, todas as interfaces lógicas dos mapeamentos de cabo seguro devem ser do mesmo VLAN. A ID VLAN 10 está configurada para as interfaces VLAN vlan-10 e lógicas. Todas as interfaces lógicas de um pacote de enlaces devem estar na mesma zona de segurança.
Uma lista de ID ou ID VLAN específica precisa estar configurada para uma VLAN.
Topologia
Figura 4 mostra as interfaces agregadas mapeadas em configurações de cabo seguro.
Configuração
Procedimento
Configuração rápida CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.
set vlans vlan-10 vlan-id 10 set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode access vlan-id 10 set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access vlan-id 10 set interfaces ge-0/1/0 unit 0 family ethernet-switching interface-mode access vlan-id 10 set interfaces ge-0/1/1 unit 0 family ethernet-switching interface-mode access vlan-id 10 set security forwarding-options secure-wire ae-link1-sw interface [ge-0/1/0.0 ge-0/1/1.0] set security forwarding-options secure-wire ae-link2-sw interface [ge-0/0/0.0 ge-0/0/1.0] set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust interfaces ge-0/1/0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces ge-0/1/1.0 set security policies default-policy permit-all
Procedimento passo a passo
O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.
Para configurar um mapeamento de fio seguro para links agregados de membros da interface:
Configure o VLAN.
[edit vlans vlan-10] user@host# set vlan-id10
Configure as interfaces.
[edit interfaces ] user@host# set ge-0/0/0 unit 0 family ethernet-switching interface-mode access vlan-id 10 user@host# set ge-0/0/1 unit 0 family ethernet-switching interface-mode access vlan-id 10 user@host# set ge-0/1/0 unit 0 family ethernet-switching interface-mode access vlan-id 10 user@host# set ge-0/1/1 unit 0 family ethernet-switching interface-mode access vlan-id 10
Configure os mapeamentos de fio seguro.
[edit security forwarding-options] user@host# set secure-wire ae-link1-sw interface [ ge-0/1/0.0 ge-0/1/1.0 ] user@host# set secure-wire ae-link2-sw interface [ ge-0/0/0.0 ge-0/0/1.0 ]
Configure zonas de segurança.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/0.0 user@host# set security-zone trust interfaces ge-0/1/0.0 user@host# set security-zone untrust interfaces ge-0/0/1.0 user@host# set security-zone untrust interfaces ge-0/1/1.0
Configure uma política de segurança para permitir tráfego.
[edit security policies] user@host# set default-policy permit-all
Resultados
A partir do modo de configuração, confirme sua configuração show vlans inserindo os show interfaces comandos , e show security forwarding-options . show security zones Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.
user@host# show vlans
vlan-10 {
vlan-id 10;
}
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
ge-0/1/0 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
ge-0/1/1{
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
user@host# show security forwarding-options
secure-wire ae-link1-sw {
interfaces [ge-0/1/0.0 ge-0/1/1.0];
}
secure-wire ae-link2-sw {
interfaces [ge-0/0/0.0 ge-0/0/1.0];
}
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/0.0;
ge-0/1/0.0;
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0;
ge-0/1/1.0;
}
}
Caso você não configure o dispositivo, entre commit no modo de configuração.
Verificação
Confirmar se a configuração está funcionando corretamente.
Verificação do mapeamento de fio seguro
Propósito
Verificar o mapeamento de fio seguro.
Ação
Do modo operacional, insira o show security forwarding-options secure-wire comando.
user@host> show security forward-options secure-wire Secure wire Interface Link Interface Link ae-link1-sw ge-0/1/0.0 up ge-0/1/1.0 up ae-link2-sw ge-0/0/0.0 up ge-0/0/1.0 up Total secure wires: 2
Exemplo: Simplificando a implantação de clusters de Chassis com Secure Wire em interfaces Ethernet redundantes
Se você está conectando um cluster de chassi da Série SRX a outros dispositivos de rede, você pode usar um fio seguro para simplificar a implantação de clusters na rede. Não são necessárias alterações em tabelas de roteamento ou encaminhamento no cluster e nenhuma reconfiguração dos dispositivos vizinhos. O cabo seguro permite que o tráfego seja encaminhado inalterado entre interfaces Ethernet redundantes especificadas no cluster de chassis da Série SRX, desde que permitido por políticas de segurança ou outros recursos de segurança. Siga este exemplo se você está conectando um cluster de chassi da Série SRX a outros dispositivos de rede por meio de interfaces Ethernet redundantes.
Requisitos
Antes de começar:
Conecte um par de dispositivos da Série SRX em um cluster de chassi.
Configure a ID do nó de cluster de chassi e a ID de cluster.
De definir o número de interfaces Ethernet redundantes no cluster de chassi.
Configure a malha de clusters de chassi.
Configure o grupo de redundância de cluster de chassi (neste exemplo, o grupo de redundância 1 é usado).
Para obter mais informações, consulte o Guia do usuário do cluster de Chassis para dispositivos da série SRX.
Visão geral
O cabo seguro é suportado por interfaces Ethernet redundantes em um cluster de chassi. As duas interfaces Ethernet redundantes precisam estar configuradas no mesmo grupo de redundância. Caso ocorra failover, ambas as interfaces Ethernet redundantes devem falhar juntas.
Não há suporte para o mapeamento de cabo seguro de grupos de agregação de enlace Ethernet redundantes (LAGs). O LACP não tem suporte.
Este exemplo configura o reth-sw de cabo seguro que mapeia a interface de entrada reth0.0 para a reth1.0 da interface de saída. Cada interface Ethernet redundante consiste em duas interfaces crianças, uma em cada nó do cluster de chassi. As duas interfaces Ethernet redundantes estão configuradas para o modo de acesso. A ID VLAN 10 está configurada para as interfaces VLAN vlan-10 e Ethernet redundantes.
Uma lista de ID ou ID VLAN específica precisa estar configurada para uma VLAN.
Topologia
Figura 5 mostra as interfaces Ethernet redundantes mapeadas em redes com fio seguro.
Configuração
Procedimento
Configuração rápida CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.
set vlans vlan-10 vlan-id 10 set interfaces ge-0/0/0 gigether-options redundant-parent reth0 set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-0/1/0 gigether-options redundant-parent reth0 set interfaces ge-0/1/1 gigether-options redundant-parent reth1 set interfaces reth0 unit 0 family ethernet-switching interface-mode access vlan-id 10 set interfaces reth1 unit 0 family ethernet-switching interface-mode access vlan-id 10 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth1 redundant-ether-options redundancy-group 1 set security forwarding-options secure-wire reth-sw interface [reth0.0 reth1.0] set security zones security-zone trust interfaces reth0.0 set security zones security-zone untrust interfaces reth1.0 set security policies default-policy permit-all
Procedimento passo a passo
O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.
Para configurar um mapeamento de cabo seguro para interfaces Ethernet redundantes de cluster de chassi:
Configure o VLAN.
[edit vlans vlan-10] user@host# set vlan-id 10
Configure as interfaces Ethernet redundantes.
[edit interfaces ] user@host# set ge-0/0/0 gigether-options redundant-parent reth0 user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-0/1/0 gigether-options redundant-parent reth0 user@host# set ge-0/1/1 gigether-options redundant-parent reth1 user@host#set reth0 unit 0 family ethernet-switching interface-mode access vlan-id 10 user@host#set reth1 unit 0 family ethernet-switching interface-mode access vlan-id 10 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth1 redundant-ether-options redundancy-group 1
Configure o mapeamento de fio seguro.
[edit security forwarding-options] user@host# set secure-wire reth-sw interface [reth0.0 reth1.0]
Configure zonas de segurança.
[edit security zones] user@host# set security-zone trust interfaces reth0.0 user@host# set security-zone untrust interfaces reth1.0
Configure uma política de segurança para permitir tráfego.
[edit security policies] user@host# set default-policy permit-all
Resultados
A partir do modo de configuração, confirme sua configuração show vlans inserindo os show interfaces comandos , e show security forwarding-options . show security zones Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.
user@host# show vlans
vlan-10 {
vlan-id 10;
}
user@host# show interfaces
ge-0/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-0/1/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/1/1 {
gigether-options {
redundant-parent reth1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
user@host# show security forwarding-options
secure-wire reth-sw {
interfaces [reth0.0 reth1.0];
}
user@host# show security zones
security-zone trust {
interfaces {
reth0.0;
}
}
security-zone untrust {
interfaces {
reth1.0;
}
}
Caso você não configure o dispositivo, entre commit no modo de configuração.
Verificação
Confirmar se a configuração está funcionando corretamente.
Verificação do mapeamento de fio seguro
Propósito
Verificar o mapeamento de fio seguro.
Ação
Do modo operacional, insira o show security forwarding-options secure-wire comando.
user@host> show security forward-options secure-wire node0: -------------------------------------------------------------------------- Secure wire Interface Link Interface Link reth-sw reth0.0 up reth1.0 up Total secure wires: 1 node1: -------------------------------------------------------------------------- Secure wire Interface Link Interface Link reth-sw reth0.0 up reth1.0 up Total secure wires: 1
Exemplo: Simplificando a implantação de clusters de chassis com Secure Wire em interfaces Ethernet redundantes agregadas
Se você está conectando um cluster de chassi da Série SRX a outros dispositivos de rede, você pode usar um fio seguro para simplificar a implantação de clusters na rede. Não são necessárias alterações em tabelas de roteamento ou encaminhamento no cluster e nenhuma reconfiguração dos dispositivos vizinhos. O cabo seguro permite que o tráfego seja encaminhado inalterado entre interfaces Ethernet redundantes especificadas no cluster de chassis da Série SRX, desde que permitido por políticas de segurança ou outros recursos de segurança. Siga este exemplo se você está conectando um cluster de chassi da Série SRX a outros dispositivos de rede por meio de interfaces Ethernet redundantes agregadas.
Os cabos seguros não podem ser configurados para grupos de agregação de enlace de interface Ethernet redundantes (LAGs). Para o mapeamento de fio seguro mostrado neste exemplo, não há configuração de LAG no cluster de chassis da Série SRX. Cada interface Ethernet redundante consiste em duas interfaces crianças, uma em cada nó do cluster de chassi. Os usuários em dispositivos upstream ou downstream conectados ao cluster da Série SRX podem configurar os links crianças redundantes da interface Ethernet em LAGs.
Requisitos
Antes de começar:
Conecte um par de dispositivos da Série SRX em um cluster de chassi.
Configure a ID do nó de cluster de chassi e a ID de cluster.
De definir o número de interfaces Ethernet redundantes no cluster de chassi.
Configure a malha de clusters de chassi.
Configure o grupo de redundância de cluster de chassi (neste exemplo, o grupo de redundância 1 é usado).
Para obter mais informações, consulte o Guia do usuário do cluster de Chassis para dispositivos da série SRX.
Visão geral
Este exemplo configura cabos seguros para quatro interfaces Ethernet redundantes: reth0, reth1, reth2 e reth3. Cada interface Ethernet redundante consiste em duas interfaces crianças, uma em cada nó do cluster de chassi. Todas as quatro interfaces Ethernet redundantes devem estar na mesma VLAN. Neste exemplo, a VLAN é vlan-0. Duas das interfaces Ethernet redundantes, reth0.0 e reth2.0, são atribuídos à zona de confiança, enquanto as outras duas interfaces, reth1.0 e reth3.0, são atribuídos à zona de confiança.
Este exemplo configura os seguintes cabos seguros:
reth-sw1 maps interface reth0.0 to interface reth1.0
reth-sw2 maps interface reth2.0 to reth3.0
Todas as interfaces Ethernet redundantes estão configuradas para o modo de acesso. A ID VLAN 10 está configurada para as interfaces VLAN vlan-0 e Ethernet redundantes.
Uma lista de ID ou ID VLAN específica precisa estar configurada para uma VLAN.
Topologia
Figura 6 mostra os links crianças da interface Ethernet redundantes mapeados em configurações de fio seguro reth-sw1 e reth-sw2. Cada interface Ethernet redundante consiste em duas interfaces crianças, uma em cada nó do cluster de chassi.
Os usuários em dispositivos upstream ou downstream conectados ao cluster da Série SRX podem configurar links crianças de interface Ethernet redundantes em um LAG, desde que o LAG não abrange nós de cluster do chassi. Por exemplo, ge-0/0/0 e ge-0/1/0 e ge-0/0/1 e ge-0/1/1 no nó 0 podem ser configurados como LAGs em dispositivos conectados. Da mesma forma, ge-1/0/0 e ge-1/1/0 e ge-1/0/1 e ge-1/1/1 no nó 1 podem ser configurados como LAGs em dispositivos conectados.
Configuração
Procedimento
Configuração rápida CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.
set vlans vlan-0 vlan-id 10 set interfaces ge-0/0/0 gigether-options redundant-parent reth0 set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-0/1/0 gigether-options redundant-parent reth2 set interfaces ge-0/1/1 gigether-options redundant-parent reth3 set interfaces ge-1/0/0 gigether-options redundant-parent reth0 set interfaces ge-1/0/1 gigether-options redundant-parent reth1 set interfaces ge-1/1/0 gigether-options redundant-parent reth2 set interfaces ge-1/1/1 gigether-options redundant-parent reth3 set interfaces reth0 unit 0 family ethernet-switching interface-mode access vlan-id 10 set interfaces reth1 unit 0 family ethernet-switching interface-mode access vlan-id 10 set interfaces reth2 unit 0 family ethernet-switching interface-mode access vlan-id 10 set interfaces reth3 unit 0 family ethernet-switching interface-mode access vlan-id 10 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth2 redundant-ether-options redundancy-group 1 set interfaces reth3 redundant-ether-options redundancy-group 1 set security forwarding-options secure-wire reth-sw1 interface [reth0.0 reth1.0] set security forwarding-options secure-wire reth-sw2 interface [reth2.0 reth3.0] set security zones security-zone trust interfaces reth0.0 set security zones security-zone trust interfaces reth2.0 set security zones security-zone untrust interfaces reth1.0 set security zones security-zone untrust interfaces reth3.0 set security policies default-policy permit-all
Procedimento passo a passo
O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Como usar o Editor de CLI no modo de configuração no Guia do Usuário cli.
Para configurar um mapeamento de fio seguro para links agregados de membros da interface:
Configure o VLAN.
[edit vlans vlan-0] user@host# set vlan-id 10
Configure as interfaces Ethernet redundantes.
[edit interfaces ] user@host# set ge-0/0/0 gigether-options redundant-parent reth0 user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-0/1/0 gigether-options redundant-parent reth2 user@host# set ge-0/1/1 gigether-options redundant-parent reth3 user@host# set ge-1/0/0 gigether-options redundant-parent reth0 user@host# set ge-1/0/1 gigether-options redundant-parent reth1 user@host# set ge-1/1/0 gigether-options redundant-parent reth2 user@host# set ge-1/1/1 gigether-options redundant-parent reth3 user@host# set reth0 unit 0 family ethernet-switching interface-mode access vlan-id 10 user@host# set reth1 unit 0 family ethernet-switching interface-mode access vlan-id 10 user@host# set reth2 unit 0 family ethernet-switching interface-mode access vlan-id 10 user@host# set reth3 unit 0 family ethernet-switching interface-mode access vlan-id 10 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth2 redundant-ether-options redundancy-group 1 user@host# set reth3 redundant-ether-options redundancy-group 1
Configure os mapeamentos de fio seguro.
[edit security forwarding-options] user@host# set secure-wire reth-sw1 interface [reth0.0 reth1.0] user@host# set secure-wire reth-sw2 interface [reth2.0 reth3.0]
Configure zonas de segurança.
[edit security zones] user@host# set security-zone trust interfaces reth0.0 user@host# set security-zone trust interfaces reth2.0 user@host# set security-zone untrust interfaces reth1.0 user@host# set security-zone untrust interfaces reth3.0
Configure uma política de segurança para permitir tráfego.
[edit security policies] user@host# set default-policy permit-all
Resultados
A partir do modo de configuração, confirme sua configuração show vlans inserindo os show interfaces comandos , e show security forwarding-options . show security zones Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.
user@host# show vlans
vlan-0 {
vlan-id 10;
}
user@host# show interfaces
ge-0/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-0/1/0 {
gigether-options {
redundant-parent reth2;
}
}
ge-0/1/1 {
gigether-options {
redundant-parent reth3;
}
}
ge-1/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-1/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-1/1/0 {
gigether-options {
redundant-parent reth2;
}
}
ge-1/1/1 {
gigether-options {
redundant-parent reth3;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
reth2 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
reth3 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
user@host# show security forwarding-options
secure-wire reth-sw1 {
interfaces [reth0.0 reth1.0];
}
secure-wire reth-sw2 {
interfaces [reth2.0 reth3.0];
}
user@host# show security zones
security-zone trust {
interfaces {
reth0.0;
reth2.0;
}
}
security-zone untrust {
interfaces {
reth1.0;
reth3.0;
}
}
Caso você não configure o dispositivo, entre commit no modo de configuração.
Verificação
Confirmar se a configuração está funcionando corretamente.
Verificação do mapeamento de fio seguro
Propósito
Verificar o mapeamento de fio seguro.
Ação
Do modo operacional, insira o show security forwarding-options secure-wire comando.
user@host> show security forward-options secure-wire node0: -------------------------------------------------------------------------- Secure wire Interface Link Interface Link reth-sw1 reth0.0 up reth1.0 up reth-sw2 reth2.0 up reth3.0 up Total secure wires: 2 node1: -------------------------------------------------------------------------- Secure wire Interface Link Interface Link reth-sw1 reth0.0 up reth1.0 up reth-sw2 reth2.0 up reth3.0 up Total secure wires: 2