Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

逻辑系统的安全布线

逻辑系统安全线路概述

您可以通过逻辑系统上的另一个接口转发到达特定接口的流量,而不进行任何更改。逻辑系统上的这种接口映射称为安全线路。安全接线允许 SRX 系列防火墙部署在网络流量路径中,而无需更改路由表或重新配置相邻设备。 图 1 显示了带有安全线路的 SRX 系列防火墙的典型路径部署。

图 1:使用安全线路的 SRX 系列防火墙路径部署 SRX Series Firewall In-Path Deployment with Secure Wire

安全线路映射两个对等接口。它不同于透明模式和路由模式,没有交换或路由查找来转发流量。当安全策略允许流量时,安全线路会将到达一个对等接口的数据包立即转发至另一个对等接口,不作更改。未对数据包做出任何路由或交换决策。安全线路也会原封不动地转发返回流量。安全线路功能仅支持以太网逻辑接口上的 IPv4 和 IPv6 流量。

安全布线是提供点对点连接的 SRX 系列防火墙上第 2 层透明模式的一种特殊情况。这意味着安全线路的两个接口必须直接连接到第 3 层实体,如路由器或主机。您可以将安全线路接口连接到交换机。但是,请注意,当安全策略允许流量时,安全线路接口会将所有到达的流量转发至对等接口。

安全线路可以与第 3 层模式共存。当您同时配置第 2 层和第 3 层接口时,流量转发会在第 2 层和第 3 层接口上独立进行。

安全布线可以与第 2 层透明模式共存。如果同一个 SRX 系列防火墙中存在这两种功能,则需要在不同的 VLAN 中进行配置。

根逻辑系统的安全布线支持扩展到用户逻辑系统。您可以将到达特定接口的流量立即转发到另一个接口,而无需修改用户逻辑系统上接收到的任何帧。

限制

安全布线不支持:

  • IRB 接口

  • Z 模式

  • MPLS 标签封装

  • 租户系统

  • 互连逻辑系统

示例:为用户逻辑系统配置安全线路

在此示例中,您可以为用户逻辑系统配置安全线路,并将流量从一个接口转发到另一个接口,而无需更改任何帧。

要求

开始之前:

概述

在此示例中,您可以在名为 LSYS1 的用户逻辑系统下配置 10 千兆以太网接口 xe-1/0/1 和 xe-1/0/2。您可以为每个逻辑系统配置安全线路资源分配。当流量在不更改任何帧的情况下传递到 xe-1/0/1 接口时,安全线路会根据定义的安全策略将流量转发到 xe-1/0/2 接口。

配置

过程

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层次结构级别的 [edit] CLI 中。

分步程序

下面的示例要求您在各个配置层级中进行导航。有关如何执行此作的说明,请参阅《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

  1. 在用户逻辑系统下配置安全线路。

  2. 创建安全配置文件,并指定最大配额和预留配额的数量。

结果

在配置模式下,输入 show logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01show system security-profile prof1 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果完成设备配置,请从配置模式进入。commit

验证

确认配置工作正常。

验证安全布线映射

目的

验证安全布线映射。

行动

在作模式下,输入命令 show security forward-options secure-wire logical-system LSYS1

验证资源分配

目的

验证用户逻辑系统的资源分配。

行动

在作模式下,输入命令 show system security-profile secure-wire logical-system LSYS1

相关文档