Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Fio seguro em dispositivos de segurança

Entender o secure wire em dispositivos de segurança

O tráfego que chega em uma interface específica pode ser encaminhado inalterado por meio de outra interface. Esse mapeamento de interfaces, chamado de fio seguro, permite que uma Série SRX seja implantada no caminho do tráfego de rede sem exigir uma mudança nas tabelas de roteamento ou uma reconfiguração de dispositivos vizinhos. Figura 1 mostra uma implantação típica no caminho de uma Série SRX com fio seguro.

Figura 1: Implantação in-path da Série SRX com fio seguroImplantação in-path da Série SRX com fio seguro

Mapas de fio seguros de duas interfaces de peer. Ela difere dos modos transparentes e de roteamento, pois não há uma expectativa de comutação ou roteamento para encaminhar o tráfego. Enquanto o tráfego for permitido por uma política de segurança, um pacote que chega em uma interface de peer é imediatamente encaminhado inalterado para fora da outra interface de peer. Não há nenhuma decisão de roteamento ou comutação tomada no pacote. O tráfego de retorno também é encaminhado inalterado.

O mapeamento de fio seguro é configurado com a secure-wire declaração no nível [edit security forwarding-options] de hierarquia; duas interfaces lógicas Ethernet devem ser especificadas. As interfaces lógicas da Ethernet devem ser configuradas com family ethernet-switching cada par de interfaces que devem pertencer às VLAN(s). As interfaces devem estar vinculadas a zonas de segurança e a uma política de segurança configurada para permitir o tráfego entre as zonas.

Esse recurso está disponível apenas em interfaces lógicas Ethernet; tanto o tráfego IPv4 quanto o IPv6 são suportados. Você pode configurar interfaces para o modo de acesso ou tronco. O secure wire oferece suporte a interfaces Ethernet redundantes de cluster de chassi. Esse recurso não oferece suporte a recursos de segurança não suportados em modo transparente, incluindo NAT e VPN IPsec.

O secure wire oferece suporte a recursos de Camada 7, como AppSecure, proxy SSL, UTM e IPS/IDP.

O fio seguro é um caso especial de modo transparente de Camada 2 em dispositivos da Série SRX que fornecem conexões ponto a ponto. Isso significa que as duas interfaces de um fio seguro devem ser conectadas diretamente a entidades de Camada 3, como roteadores ou hosts. Interfaces de fio seguras podem ser conectadas a switches. No entanto, observe que uma interface de fio segura encaminha todo o tráfego que chega à interface de peer apenas se o tráfego for permitido por uma política de segurança.

O fio seguro pode coexistir com o modo Camada 3. Embora você possa configurar interfaces de Camada 2 e Camada 3 ao mesmo tempo, o encaminhamento de tráfego ocorre de forma independente nas interfaces de Camada 2 e Camada 3.

O fio seguro pode coexistir com o modo transparente de Camada 2. Se ambos os recursos existirem no mesmo dispositivo da Série SRX, você precisa configurá-los em VLANs diferentes.

Nota:

As interfaces de roteamento e ponte integradas (IRB) não são suportadas com fio seguro.

Example: Simplificando a implantação de dispositivos da Série SRX com interfaces de fio seguro sobre o modo de acesso

Se você estiver conectando um dispositivo da Série SRX a outros dispositivos de rede, você pode usar fio seguro para simplificar a implantação do dispositivo na rede. Não são necessárias alterações nas tabelas de roteamento ou encaminhamento no dispositivo da Série SRX e não é necessária reconfiguração de dispositivos vizinhos. O fio seguro permite que o tráfego seja encaminhado inalterado entre interfaces de modo de acesso especificadas em um dispositivo da Série SRX, desde que permitido por políticas de segurança ou outros recursos de segurança. Siga este exemplo se você estiver conectando um dispositivo da Série SRX a outros dispositivos de rede por meio de interfaces de modo de acesso.

Este exemplo mostra como configurar um mapeamento de fio seguro para duas interfaces de modo de acesso. Essa configuração se aplica a cenários em que o tráfego do usuário não é marcado pela VLAN.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Este exemplo configura o acesso seguro que mapeia a interface ge-0/0/3.0 para interface ge-0/0/4.0. As duas interfaces de peer estão configuradas para o modo de acesso. O VLAN ID 10 está configurado para o vlan-10 e as interfaces de modo de acesso.

Nota:

Um VLAN ID específico deve ser configurado para uma VLAN.

Topologia

Figura 2 mostra as interfaces de modo de acesso mapeadas em acesso seguro de fio.

Figura 2: Interfaces de modo de acesso por fio seguroInterfaces de modo de acesso por fio seguro

Cópia de

Procedimento

Configuração rápida da CLI
Nota:

A partir do Junos OS Release 15.1X49-D10 e do Junos OS Release 17.3R1, algumas declarações de configuração de CLI de Camada 2 são aprimoradas, e alguns comandos são alterados. Para obter informações detalhadas sobre as hierarquias modificadas, consulte Declaração de configuração de CLI de Camada 2 aprimorada e mudanças de comando para dispositivos de segurança.

As declarações de configuração mostradas abaixo são para o Junos OS Release 15.1X49-D10 ou superior e o Junos OS Release 17.3R1.

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.

Para configurar um mapeamento de fio seguro para interfaces de modo de acesso:

  1. Configure o VLAN.

  2. Configure as interfaces de modo de acesso.

  3. Configure o mapeamento de fio seguro.

  4. Configure zonas de segurança.

  5. Crie entradas para a lista de endereços. Conecte zonas de segurança aos livros de endereços.

  6. Configure uma política de segurança para permitir o tráfego de correio.

Resultados

A partir do modo de configuração, confirme sua configuração entrando nosshow vlans, show interfacesshow security forwarding-optionse show security zones comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme que a configuração está funcionando corretamente.

Verificação do mapeamento de fios seguros

Propósito

Verifique o mapeamento de fio seguro.

Ação

Do modo operacional, entre no show security forwarding-options secure-wire comando.

Verificando o VLAN

Propósito

Verifique o VLAN.

Ação

Do modo operacional, entre no show vlans vlan-10 comando.

Verificando a configuração da política

Propósito

Verifique informações sobre políticas de segurança..

Ação

Do modo operacional, entre no show security policies detail comando.

Example: Simplificando a implantação de dispositivos da Série SRX com interfaces de fio seguro sobre o tronco

Se você estiver conectando um dispositivo da Série SRX a outros dispositivos de rede, você pode usar fio seguro para simplificar a implantação do dispositivo na rede. Não são necessárias alterações nas tabelas de roteamento ou encaminhamento no dispositivo da Série SRX e não é necessária reconfiguração de dispositivos vizinhos. O fio seguro permite que o tráfego seja encaminhado inalterado entre interfaces de modo tronco especificadas em um dispositivo da Série SRX, desde que permitido por políticas de segurança ou outros recursos de segurança. Siga este exemplo se você estiver conectando um dispositivo da Série SRX a outros dispositivos de rede por meio de interfaces de modo tronco.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Este exemplo configura o tronco-sw de fio seguro que mapeia a interface ge-0/1/0.0 para interface ge-0/1/1.0. As duas interfaces de peer estão configuradas para o modo tronco e carregam tráfego de usuário marcado com IDs VLAN de 100 a 102. A lista VLAN ID 100-102 está configurada para o VLAN vlan-100 e as interfaces de modo tronco.

Nota:

Um VLAN ID específico deve ser configurado para uma VLAN.

Topologia

Figura 3 mostra as interfaces de modo tronco mapeadas em tronco de fio seguro.

Figura 3: Interfaces de modo de tronco de fio seguroInterfaces de modo de tronco de fio seguro

Cópia de

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.

Para configurar um mapeamento de fio seguro para interfaces de modo tronco:

  1. Configure o VLAN.

  2. Configure as interfaces de modo tronco.

  3. Configure o mapeamento de fio seguro.

  4. Configure zonas de segurança.

  5. Configure uma política de segurança para permitir o tráfego.

Resultados

A partir do modo de configuração, confirme sua configuração entrando nosshow vlans, show interfacesshow security forwarding-optionse show security zones comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme que a configuração está funcionando corretamente.

Verificação do mapeamento de fios seguros

Propósito

Verifique o mapeamento de fio seguro.

Ação

Do modo operacional, entre no show security forwarding-options secure-wire comando.

Verificando o VLAN

Propósito

Verifique o VLAN.

Ação

Do modo operacional, entre no show vlans comando.

Nota:

As VLANs são expandidas automaticamente, com um VLAN para cada ID VLAN na lista de ID VLAN.

Example: Simplificando a implantação de dispositivos da Série SRX com fio seguro sobre links de membros de interface agregada

Se você estiver conectando um dispositivo da Série SRX a outros dispositivos de rede, você pode usar fio seguro para simplificar a implantação do dispositivo na rede. Não são necessárias alterações nas tabelas de roteamento ou encaminhamento no dispositivo da Série SRX e não é necessária reconfiguração de dispositivos vizinhos. O fio seguro permite que o tráfego seja encaminhado inalterado entre links de membros de interface agregada especificados em um dispositivo da Série SRX, desde que permitido por políticas de segurança ou outros recursos de segurança. Siga este exemplo se você estiver conectando um dispositivo da Série SRX a outros dispositivos de rede por meio de links agregados de membros da interface.

Nota:

O LACP não tem suporte. Mapeamentos de fio seguros podem ser configurados para links de membros de pacotes de enlace, em vez de mapear diretamente interfaces Ethernet agregadas. Quando as portas ou interfaces do dispositivo da Série SRX estão no modo tronco, o dispositivo não transmite as PDUs LACP e falha no LACP. Você deve adicionar um vlan nativo para proteger interfaces de fio, para aumentar o LACP.

Nota:

Em SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 e dispositivos SRX650, quando você criar uma interface agregada com duas ou mais portas e definir a família para a comutação Ethernet, e se um link no pacote cair, o tráfego encaminhado pelo mesmo enlace será redirecionado dois segundos depois. Isso causa uma paralisação para o tráfego que está sendo enviado para o enlace até que o redirecionamento esteja concluído.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.

Visão geral

Este exemplo configura fios seguros para dois pacotes de enlace de interface Ethernet agregados com dois links cada. Dois fios seguros separados ae-link1 e ae-link2 estão configurados usando um link de cada pacote de enlace Ethernet agregado. Esse mapeamento estático exige que os dois pacotes de enlace tenham o mesmo número de links.

Para pacotes de enlace, todas as interfaces lógicas dos mapeamentos de fio seguro devem pertencer à mesma VLAN. O VLAN ID 10 está configurado para o VLAN vlan-10 e as interfaces lógicas. Todas as interfaces lógicas de um pacote de enlace devem pertencer à mesma zona de segurança.

Nota:

Uma lista de ID VLAN ou VLAN específica deve ser configurada para uma VLAN.

Topologia

Figura 4 mostra as interfaces agregadas que são mapeadas em configurações de fio seguro.

Figura 4: Interfaces agregadas por fio seguroInterfaces agregadas por fio seguro

Cópia de

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.

Para configurar um mapeamento de fio seguro para links agregados de membros da interface:

  1. Configure o VLAN.

  2. Configure as interfaces.

  3. Configure os mapeamentos de fio seguros.

  4. Configure zonas de segurança.

  5. Configure uma política de segurança para permitir o tráfego.

Resultados

A partir do modo de configuração, confirme sua configuração entrando nosshow vlans, show interfacesshow security forwarding-optionse show security zones comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme que a configuração está funcionando corretamente.

Verificação do mapeamento de fios seguros

Propósito

Verifique o mapeamento de fio seguro.

Ação

Do modo operacional, entre no show security forwarding-options secure-wire comando.

Verificando o VLAN

Propósito

Verifique o VLAN.

Ação

Do modo operacional, entre no show vlans vlan-10 comando.

Example: Simplificando a implantação de clusters de chassi com fio seguro sobre interfaces Ethernet redundantes

Se você estiver conectando um cluster de chassi da Série SRX a outros dispositivos de rede, você pode usar um fio seguro para simplificar a implantação de clusters na rede. Não são necessárias alterações nas tabelas de roteamento ou encaminhamento no cluster e não é necessária reconfiguração de dispositivos vizinhos. O fio seguro permite que o tráfego seja encaminhado inalterado entre interfaces Ethernet redundantes especificadas no cluster de chassi da Série SRX, desde que permitido por políticas de segurança ou outros recursos de segurança. Siga este exemplo se você estiver conectando um cluster de chassi da Série SRX a outros dispositivos de rede por meio de interfaces Ethernet redundantes.

Requisitos

Antes de começar:

  • Conecte um par dos mesmos dispositivos da Série SRX em um cluster de chassi.

  • Configure o ID do nó de cluster do chassi e o ID de cluster.

  • Defina o número de interfaces Ethernet redundantes no cluster do chassi.

  • Configure a malha de cluster do chassi.

  • Configure o grupo de redundância de cluster de chassi (neste exemplo, o grupo de redundância 1 é usado).

Para obter mais informações, consulte o Guia do usuário do cluster de chassi para dispositivos da Série SRX.

Visão geral

O fio seguro é suportado por interfaces Ethernet redundantes em um cluster de chassi. As duas interfaces Ethernet redundantes devem ser configuradas no mesmo grupo de redundância. Se ocorrer failover, ambas as interfaces Ethernet redundantes devem falhar juntas.

Nota:

O mapeamento seguro por fio de grupos de agregação de enlaces Ethernet redundantes (LAGs) não é suportado. O LACP não tem suporte.

Este exemplo configura o reth-sw de fio seguro que mapeia a interface de entrada reth0.0 para a interface de saída reth1.0. Cada interface Ethernet redundante consiste em duas interfaces infantis, uma em cada nó do cluster do chassi. As duas interfaces Ethernet redundantes estão configuradas para o modo de acesso. O VLAN ID 10 está configurado para o VLAN vlan-10 e as interfaces Ethernet redundantes.

Nota:

Uma lista de ID VLAN ou VLAN específica deve ser configurada para uma VLAN.

Topologia

Figura 5 mostra as interfaces Ethernet redundantes que são mapeadas em reth-sw de fio seguro.

Figura 5: Interfaces de ethernet redundantes de fio seguroInterfaces de ethernet redundantes de fio seguro

Cópia de

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.

Para configurar um mapeamento de fio seguro para interfaces Ethernet redundantes de cluster de chassi:

  1. Configure o VLAN.

  2. Configure as interfaces Ethernet redundantes.

  3. Configure o mapeamento de fio seguro.

  4. Configure zonas de segurança.

  5. Configure uma política de segurança para permitir o tráfego.

Resultados

A partir do modo de configuração, confirme sua configuração entrando nosshow vlans, show interfacesshow security forwarding-optionse show security zones comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme que a configuração está funcionando corretamente.

Verificação do mapeamento de fios seguros

Propósito

Verifique o mapeamento de fio seguro.

Ação

Do modo operacional, entre no show security forwarding-options secure-wire comando.

Verificando o VLAN

Propósito

Verifique o VLAN.

Ação

Do modo operacional, entre no show vlan vlan-10 comando.

Example: Simplificando a implantação de clusters de chassi com fio seguro sobre interfaces Ethernet redundantes agregadas

Se você estiver conectando um cluster de chassi da Série SRX a outros dispositivos de rede, você pode usar um fio seguro para simplificar a implantação de clusters na rede. Não são necessárias alterações nas tabelas de roteamento ou encaminhamento no cluster e não é necessária reconfiguração de dispositivos vizinhos. O fio seguro permite que o tráfego seja encaminhado inalterado entre interfaces Ethernet redundantes especificadas no cluster de chassi da Série SRX, desde que permitido por políticas de segurança ou outros recursos de segurança. Siga este exemplo se você estiver conectando um cluster de chassi da Série SRX a outros dispositivos de rede por meio de interfaces Ethernet redundantes agregadas.

Nota:

Os fios seguros não podem ser configurados para grupos de agregação de enlaces de interface Ethernet redundantes (LAGs). Para o mapeamento de fio seguro mostrado neste exemplo, não há configuração LAG no cluster de chassi da Série SRX. Cada interface Ethernet redundante consiste em duas interfaces infantis, uma em cada nó do cluster do chassi. Usuários em dispositivos upstream ou downstream conectados ao cluster da Série SRX podem configurar os links infantis redundantes da interface Ethernet nos LAGs.

Requisitos

Antes de começar:

  • Conecte um par dos mesmos dispositivos da Série SRX em um cluster de chassi.

  • Configure o ID do nó de cluster do chassi e o ID de cluster.

  • Defina o número de interfaces Ethernet redundantes no cluster do chassi.

  • Configure a malha de cluster do chassi.

  • Configure o grupo de redundância de cluster de chassi (neste exemplo, o grupo de redundância 1 é usado).

Para obter mais informações, consulte o Guia do usuário do cluster de chassi para dispositivos da Série SRX.

Visão geral

Este exemplo configura fios seguros para quatro interfaces Ethernet redundantes: reth0, reth1, reth2 e reth3. Cada interface Ethernet redundante consiste em duas interfaces infantis, uma em cada nó do cluster do chassi. Todas as quatro interfaces Ethernet redundantes devem estar na mesma VLAN— neste exemplo, a VLAN é vlan-0. Duas das interfaces Ethernet redundantes, reth0.0 e reth2.0, são atribuídas à zona de confiança, enquanto as outras duas interfaces, reth1.0 e reth3.0, são atribuídas à zona não confiável.

Este exemplo configura os seguintes fios seguros:

  • reth-sw1 maps interface reth0.0 para interface reth1.0

  • interface de mapas reth-sw2 reth2.0 para reth3.0

Todas as interfaces Ethernet redundantes estão configuradas para o modo de acesso. O VLAN ID 10 está configurado para o VLAN vlan-0 e as interfaces Ethernet redundantes.

Nota:

Uma lista de ID VLAN ou VLAN específica deve ser configurada para uma VLAN.

Topologia

Figura 6 mostra os links infantis redundantes da interface Ethernet que são mapeados em configurações de fio seguro reth-sw1 e reth-sw2. Cada interface Ethernet redundante consiste em duas interfaces infantis, uma em cada nó do cluster do chassi.

Figura 6: Links infantis da interface de ethernet redundante de fio seguroLinks infantis da interface de ethernet redundante de fio seguro

Usuários em dispositivos upstream ou downstream conectados ao cluster da Série SRX podem configurar links infantis redundantes da interface Ethernet em um LAG, desde que o LAG não abrange nós de cluster do chassi. Por exemplo, ge-0/0/0 e ge-0/1/0 e ge-0/0/1 e ge-0/1/1 no nó 0 podem ser configurados como LAGs em dispositivos conectados. Da mesma forma, ge-1/0/0 e ge-1/1/0 e ge-1/0/1 e ge-1/1/1 no nó 1 podem ser configurados como LAGs em dispositivos conectados.

Cópia de

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.

Para configurar um mapeamento de fio seguro para links agregados de membros da interface:

  1. Configure o VLAN.

  2. Configure as interfaces Ethernet redundantes.

  3. Configure os mapeamentos de fio seguros.

  4. Configure zonas de segurança.

  5. Configure uma política de segurança para permitir o tráfego.

Resultados

A partir do modo de configuração, confirme sua configuração entrando nosshow vlans, show interfacesshow security forwarding-optionse show security zones comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme que a configuração está funcionando corretamente.

Verificação do mapeamento de fios seguros

Propósito

Verifique o mapeamento de fio seguro.

Ação

Do modo operacional, entre no show security forwarding-options secure-wire comando.

Verificação de VLAN

Propósito

Verifique o VLAN.

Ação

Do modo operacional, entre no show vlans vlan-0 comando.