Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

适用于逻辑系统的安全线路

适用于逻辑系统的安全线路概述

您可以转发到达特定接口的流量,而无需通过逻辑系统上的另一个接口进行任何更改。逻辑系统上接口的这种映射称为安全线路。安全线路允许 SRX 系列防火墙部署在网络流量路径中,无需更改路由表或重新配置相邻设备。 图 1 显示了使用安全线路的典型路径内部署 SRX 系列防火墙。

图 1:使用安全线路的 SRX 系列防火墙路径内部署 SRX Series Firewall In-Path Deployment with Secure Wire

安全连接两个对等接口。它不同于透明和路由模式,并且没有交换或路由查找来转发流量。当安全策略允许该流量时,安全线路会将到达一个对等接口的数据包立即转发到另一个对等接口,而不会发生变化。没有对数据包进行路由或交换决策。安全线路也会保持不变地转发返回流量。安全线路功能仅支持以太网逻辑接口上的 IPv4 和 IPv6 流量。

安全线路是 SRX 系列防火墙上提供点对点连接的第 2 层透明模式的一种特例。这意味着安全线路的两个接口必须直接连接到路由器或主机等第 3 层实体。您可以将安全有线接口连接到交换机。但是,请注意,当安全策略允许流量时,安全有线接口会将所有到达的流量转发到对等接口。

安全线路可以在第 3 层模式下共存。同时配置第 2 层和第 3 层接口时,流量转发在第 2 层和第 3 层接口上独立发生。

安全线路可以在第 2 层透明模式下共存。如果同一 SRX 系列防火墙上同时存在这两项功能,则需要在不同的 VLAN 中配置这些功能。

根逻辑系统的安全线路支持扩展到了用户逻辑系统。您可以立即将到达特定接口的流量转发到另一个接口,而无需修改用户逻辑系统上的任何接收帧。

限制

安全线路不支持:

  • IRB 接口

  • Z 模式

  • MPLS 标签封装

  • 租户系统

  • 互连逻辑系统

示例:为用户逻辑系统配置安全线路

在此示例中,可以为用户逻辑系统配置安全线路,并在不更改任何帧的情况下将流量从一个接口转发到另一个接口。

要求

开始之前:

概述

在此示例中,您可以在称为 LSYS1 的用户逻辑系统下配置 10 千兆以太网接口 xe-1/0/1 和 xe-1/0/2。您可以为每个逻辑系统配置安全线路资源分配。当流量传递到 xe-1/0/1 接口而不更改任何帧时,安全线路将根据定义的安全策略将流量转发至 xe-1/0/2 接口。

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层级的 [edit] CLI 中。

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

  1. 在用户逻辑系统下配置安全线路。

  2. 创建安全配置文件,并指定最大和保留配额的数量。

结果

在配置模式下,输入 、 和 show system security-profile prof1 命令,show logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。

完成设备配置后,请从配置模式进入 commit

验证

确认配置工作正常。

验证安全线路映射

目的

验证安全线路映射。

行动

在操作模式下,输入 show security forward-options secure-wire logical-system LSYS1 命令。

验证资源分配

目的

验证用户逻辑系统的资源分配。

行动

在操作模式下,输入 show system security-profile secure-wire logical-system LSYS1 命令。

相关文档