Auf dieser Seite
Secure Wire auf Sicherheitsgeräten
Grundlegendes zu Secure Wire auf Sicherheitsgeräten
Datenverkehr, der auf einer bestimmten Schnittstelle eintrifft, kann unverändert über eine andere Schnittstelle weitergeleitet werden. Diese Zuordnung von Schnittstellen, Secure Wiregenannt, ermöglicht den Einsatz einer SRX-Serie im Pfad des Netzwerkdatenverkehrs, ohne dass Änderungen an Routing-Tabellen oder eine Neukonfiguration benachbarter Geräte erforderlich sind. Abbildung 1 zeigt eine typische In-Path-Bereitstellung einer SRX-Serie mit Secure Wire.
Secure Wire ordnet zwei Peer-Schnittstellen zu. Er unterscheidet sich von den Modi "Transparent" und "Route" dadurch, dass es keine Switching- oder Routing-Suche zur Weiterleitung des Datenverkehrs gibt. Solange der Datenverkehr durch eine Sicherheitsrichtlinie zugelassen wird, wird ein Paket, das auf einer Peer-Schnittstelle eintrifft, sofort unverändert von der anderen Peer-Schnittstelle weitergeleitet. Es wird keine Routing- oder Switching-Entscheidung für das Paket getroffen. Auch der Rückverkehr wird unverändert weitergeleitet.
Secure Wire Mapping wird mit der secure-wire Anweisung auf der Hierarchieebene [edit security forwarding-options] konfiguriert; es müssen zwei logische Ethernet-Schnittstellen angegeben werden. Die logischen Ethernet-Schnittstellen müssen mit family ethernet-switching konfiguriert sein und jedes Schnittstellenpaar muss zu dem/den VLAN(s) gehören. Die Schnittstellen müssen an Sicherheitszonen gebunden sein, und eine Sicherheitsrichtlinie muss so konfiguriert sein, dass Datenverkehr zwischen den Zonen zugelassen wird.
Diese Funktion ist nur für logische Ethernet-Schnittstellen verfügbar. Es werden sowohl IPv4- als auch IPv6-Datenverkehr unterstützt. Sie können Schnittstellen für den Zugriffs- oder Trunk-Modus konfigurieren. Secure Wire unterstützt redundante Ethernet-Schnittstellen für Chassis-Cluster. Diese Funktion unterstützt keine Sicherheitsfunktionen, die im transparenten Modus nicht unterstützt werden, einschließlich NAT und IPsec-VPN.
Secure Wire unterstützt Layer-7-Funktionen wie AppSecure, SSL-Proxy, Content Security und IPS/IDP.
Secure Wire ist ein Sonderfall des transparenten Layer-2-Modus bei Firewalls der SRX-Serie, die Punkt-zu-Punkt-Verbindungen bereitstellen. Das bedeutet, dass die beiden Schnittstellen eines Secure Wire idealerweise direkt mit Layer-3-Entitäten wie Routern oder Hosts verbunden sein müssen. Secure Wire-Schnittstellen können mit Switches verbunden werden. Beachten Sie jedoch, dass eine Secure Wire-Schnittstelle den gesamten eingehenden Datenverkehr nur dann an die Peerschnittstelle weiterleitet, wenn der Datenverkehr durch eine Sicherheitsrichtlinie zugelassen ist.
Secure Wire kann mit dem Layer-3-Modus koexistieren. Sie können zwar Layer-2- und Layer-3-Schnittstellen gleichzeitig konfigurieren, die Weiterleitung des Datenverkehrs erfolgt jedoch unabhängig von Layer-2- und Layer-3-Schnittstellen.
Secure Wire kann mit dem transparenten Layer-2-Modus koexistieren. Wenn beide Funktionen auf derselben Firewall der SRX-Serie vorhanden sind, müssen Sie sie in verschiedenen VLANs konfigurieren.
Integrierte Routing- und Bridging-Schnittstellen (IRB) werden von Secure Wire nicht unterstützt.
Siehe auch
Beispiel: Vereinfachte Bereitstellung der Firewall der SRX-Serie mit Secure Wire over Access Mode-Schnittstellen
Wenn Sie eine Firewall der SRX-Serie mit anderen Netzwerkgeräten verbinden, können Sie Secure Wire verwenden, um die Gerätebereitstellung im Netzwerk zu vereinfachen. Es sind keine Änderungen an Routing- oder Weiterleitungstabellen auf der Firewall der SRX-Serie und keine Neukonfiguration benachbarter Geräte erforderlich. Secure Wire ermöglicht die unveränderte Weiterleitung des Datenverkehrs zwischen spezifizierten Zugriffsmodusschnittstellen auf einer Firewall der SRX-Serie, sofern dies durch Sicherheitsrichtlinien oder andere Sicherheitsfunktionen zulässig ist. Befolgen Sie dieses Beispiel, wenn Sie eine Firewall der SRX-Serie über Zugriffsmodusschnittstellen mit anderen Netzwerkgeräten verbinden.
In diesem Beispiel wird gezeigt, wie eine sichere Kabelzuordnung für zwei Zugriffsmodusschnittstellen konfiguriert wird. Diese Konfiguration gilt für Szenarien, in denen der Benutzerdatenverkehr nicht mit VLAN-Tags versehen ist.
Anforderungen
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel wird die Secure Wire Access-SW konfiguriert, die die Schnittstelle ge-0/0/3.0 der Schnittstelle ge-0/0/4.0 zuordnet. Die beiden Peerschnittstellen sind für den Zugriffsmodus konfiguriert. Die VLAN-ID 10 ist für die VLAN-10- und die Zugriffsmodusschnittstellen konfiguriert.
Für ein VLAN muss eine bestimmte VLAN-ID konfiguriert werden.
Topologie
Abbildung 2 Zeigt die Zugriffsmodusschnittstellen an, die in Secure Wire Access-SW zugeordnet sind.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Ab Junos OS Version 15.1X49-D10 und Junos OS Version 17.3R1 wurden einige Layer 2-CLI-Konfigurationsanweisungen verbessert und einige Befehle geändert. Ausführliche Informationen zu den geänderten Hierarchien finden Sie unter Verbesserte Änderungen an Layer-2-CLI-Konfigurationsanweisungen und -befehlen für Sicherheitsgeräte.
Die unten gezeigten Konfigurationsanweisungen gelten für Junos OS Version 15.1X49-D10 oder höher und Junos OS Version 17.3R1.
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
Im Switching-Modus darf sich die Ethernet-Switching-Schnittstelle nicht in der Sicherheitszone befinden. Sie müssen den transparenten Modus aktivieren, damit Ethernet-Switching-Schnittstellen in Sicherheitszonen zugelassen werden, indem Sie den global-mode (Protocols) Befehl verwenden.
set vlans vlan-10 vlan-id 10 set interfaces ge-0/0/3 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members 10 set interfaces ge-0/0/4 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members 10 set security forwarding-options secure-wire access-sw interface [ge-0/0/3.0 ge-0/0/4.0] set security zones security-zone trust interfaces ge-0/0/3.0 set security zones security-zone untrust interfaces ge-0/0/4.0 set security address-book book1 address mail-untrust 203.0.113.1 set security address-book book1 attach zone untrust set security address-book book2 address mail-trust 192.168.1.1 set security address-book book2 attach zone trust set security policies from-zone trust to-zone untrust policy permit-mail match source-address mail-trust set security policies from-zone trust to-zone untrust policy permit-mail match destination-address mail-untrust set security policies from-zone trust to-zone untrust policy permit-mail match application junos-mail set security policies from-zone trust to-zone untrust policy permit-mail then permit
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eine Secure Wire-Zuordnung für Schnittstellen im Zugriffsmodus:
Konfigurieren Sie das VLAN.
[edit vlans vlan-10] user@host# set vlan-id 10
Konfigurieren Sie die Schnittstellen für den Zugriffsmodus.
[edit interfaces ] user@host# set ge-0/0/3 unit 0 family ethernet-switching interface-mode access user@host# set ge-0/0/4 unit 0 family ethernet-switching interface-mode access user@host# set ge-0/0/3 unit 0 family ethernet-switching vlan members 10 user@host# set ge-0/0/4 unit 0 family ethernet-switching vlan members 10
Konfigurieren Sie die Secure Wire-Zuordnung.
[edit security forwarding-options] user@host# set secure-wire access-sw interface [ge-0/0/3.0 ge-0/0/4.0]
Konfigurieren Sie Sicherheitszonen.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/3.0 user@host# set security-zone untrust interfaces ge-0/0/4.0
Erstellen Sie Adressbucheinträge. Hängen Sie Sicherheitszonen an die Adressbücher an.
[edit security address-book book1] user@host# set address mail-untrust 203.0.113.1 user@host# set attach zone untrust
[edit security address-book book1] user@host# set address mail-trust 192.168.1.1 user@host# set attach zone trust
Konfigurieren Sie eine Sicherheitsrichtlinie, um E-Mail-Datenverkehr zuzulassen.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-mail match source-address mail-trust user@host# set policy permit-mail match destination-address mail-untrust user@host# set policy permit-mail match application junos-mail user@host# set policy permit-mail then permit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show vlansBefehle , show interfaces, show security forwarding-optionsund show security zones eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show vlans
vlan-10 {
vlan-id 10;
}
user@host# show interfaces
ge-0/0/3 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 10;
}
}
}
}
ge-0/0/4 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 10;
}
}
}
}
user@host# show security forwarding-options
secure-wire {
access-sw {
interface [ ge-0/0/3.0 ge-0/0/4.0 ];
}
}
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/3.0;
}
}
security-zone untrust {
interfaces {
ge-0/0/4.0;
}
}
user@host# show security policies
from-zone trust to-zone untrust {
policy permit-mail {
match {
source-address mail-trust;
destination-address mail-untrust;
application junos-mail;
}
then {
permit;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Verifizieren der Secure Wire-Zuordnung
- Verifizieren des VLANs
- Überprüfen der Richtlinienkonfiguration
Verifizieren der Secure Wire-Zuordnung
Zweck
Überprüfen Sie die Secure Wire-Zuordnung.
Action!
Geben Sie im Betriebsmodus den show security forwarding-options secure-wire Befehl ein.
user@host> show security forward-options secure-wire Secure wire Interface Link Interface Link access-sw ge-0/0/3.0 down ge-0/0/4.0 down Total secure wires: 1
Verifizieren des VLANs
Zweck
Überprüfen Sie das VLAN.
Action!
Geben Sie im Betriebsmodus den show vlans vlan-10 Befehl ein.
user@host> show vlans vlan-10
Routing instance VLAN name Tag Interfaces
default-switch vlan-10 10 ge-0/0/3.0
ge-0/0/4.0Überprüfen der Richtlinienkonfiguration
Zweck
Überprüfen Sie die Informationen zu den Sicherheitsrichtlinien.
Action!
Geben Sie im Betriebsmodus den show security policies detail Befehl ein.
user@host> show security policies detail
Default policy: deny-all
Pre ID default policy: permit-all
Policy: permit-mail, action-type: permit, State: enabled, Index: 4, Scope Policy: 0
Policy Type: Configured
Sequence number: 1
From zone: trust, To zone: untrust
Source vrf group:
any
Destination vrf group:
any
Source addresses:
mail-trust(book2): 192.168.1.1/32
Destination addresses:
mail-untrust(book1): 203.0.113.1/32
Application: junos-mail
IP protocol: tcp, ALG: 0, Inactivity timeout: 1800
Source port range: [0-0]
Destination ports: 25
Per policy TCP Options: SYN check: No, SEQ check: No, Window scale: NoBeispiel: Vereinfachung der Bereitstellung von Firewalls der SRX-Serie mit Secure Wire over Trunk Mode-Schnittstellen
Wenn Sie eine Firewall der SRX-Serie mit anderen Netzwerkgeräten verbinden, können Sie Secure Wire verwenden, um die Gerätebereitstellung im Netzwerk zu vereinfachen. Es sind keine Änderungen an Routing- oder Weiterleitungstabellen auf der Firewall der SRX-Serie und keine Neukonfiguration benachbarter Geräte erforderlich. Secure Wire ermöglicht die unveränderte Weiterleitung des Datenverkehrs zwischen spezifizierten Trunk-Mode-Schnittstellen auf einer Firewall der SRX-Serie, sofern dies durch Sicherheitsrichtlinien oder andere Sicherheitsfunktionen zulässig ist. Folgen Sie diesem Beispiel, wenn Sie eine Firewall der SRX-Serie über Trunk-Modus-Schnittstellen mit anderen Netzwerkgeräten verbinden.
Anforderungen
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel wird die Secure Wire Trunk-SW konfiguriert, die die Schnittstelle ge-0/1/0.0 der Schnittstelle ge-0/1/1.0 zuordnet. Die beiden Peer-Schnittstellen sind für den Trunk-Modus konfiguriert und übertragen Benutzerdatenverkehr, der mit VLAN-IDs von 100 bis 102 gekennzeichnet ist. Die VLAN-ID-Liste 100-102 ist für die VLAN-VLAN-100- und die Trunk-Mode-Schnittstellen konfiguriert.
Für ein VLAN muss eine bestimmte VLAN-ID konfiguriert werden.
Topologie
Abbildung 3 Zeigt die Trunk-Modus-Schnittstellen, die in Secure Wire Trunk-SW zugeordnet sind.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set vlans vlan-100 vlan members 100-102 set interfaces ge-0/1/0 unit 0 family ethernet-switching interface-mode trunk vlan members 100-102 set interfaces ge-0/1/1 unit 0 family ethernet-switching interface-mode trunk vlan members 100-102 set security forwarding-options secure-wire trunk-sw interface [ge-0/1/0.0 ge-0/1/1.0] set security zones security-zone trust interfaces ge-0/1/0.0 set security zones security-zone untrust interfaces ge-0/1/1.0 set security policies default-policy permit-all
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eine sichere Kabelzuordnung für Schnittstellen im Trunk-Modus:
Konfigurieren Sie das VLAN.
[edit vlans vlan-100] user@host# set vlan members 100-102
Konfigurieren Sie die Schnittstellen für den Trunk-Modus.
[edit interfaces] user@host# set ge-0/1/0 unit 0 family ethernet-switching interface-mode trunk vlan members 100-102 user@host# set ge-0/1/1 unit 0 family ethernet-switching interface-mode trunk vlan members 100-102
Konfigurieren Sie die Secure Wire-Zuordnung.
[edit security forwarding-options] user@host# set secure-wire trunk-sw interface [ge-0/1/0.0 ge-0/1/1.0]
Konfigurieren Sie Sicherheitszonen.
[edit security zones] user@host# set security-zone trust interfaces ge-0/1/0.0 user@host# set security-zone untrust interfaces ge-0/1/1.0
Konfigurieren Sie eine Sicherheitsrichtlinie, um Datenverkehr zuzulassen.
[edit security policies] user@host# set default-policy permit-all
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show vlansBefehle , show interfaces, show security forwarding-optionsund show security zones eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show vlans
vlan-100 {
vlan members 100-102;
}
user@host# show interfaces
ge-0/1/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan members 100-102;
}
}
}
ge-0/1/1 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan members 100-102;
}
}
}
user@host# show security forwarding-options
secure-wire trunk-sw {
interfaces [ge-0/1/0.0 ge-0/1/1.0];
}
user@host# show security zones
security-zone trust {
interfaces {
ge-0/1/0.0;
}
}
security-zone untrust {
interfaces {
ge-0/1/1.0;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Verifizieren der Secure Wire-Zuordnung
Zweck
Überprüfen Sie die Secure Wire-Zuordnung.
Action!
Geben Sie im Betriebsmodus den show security forwarding-options secure-wire Befehl ein.
user@host> show security forward-options secure-wire Secure wire Interface Link Interface Link trunk-sw ge-0/1/0.0 up ge-0/1/1.0 up Total secure wires: 1
Verifizieren des VLANs
Zweck
Überprüfen Sie das VLAN.
Action!
Geben Sie im Betriebsmodus den show vlans Befehl ein.
user@host> show vlans
Routing instance VLAN name VLAN ID Interfaces
default-switch vlan-100-vlan-0100 100 ge-0/1/0.0
ge-0/1/1.0
default-switch vlan-100-vlan-0101 101 ge-0/1/0.0
ge-0/1/1.0
default-switch vlan-100-vlan-0102 102 ge-0/1/0.0
ge-0/1/1.0VLANs werden automatisch erweitert, mit einem VLAN für jede VLAN-ID in der VLAN-ID-Liste.
Beispiel: Vereinfachung der Bereitstellung von Firewalls der SRX-Serie mit Secure Wire over Aggregated Interface Member Links
Wenn Sie eine Firewall der SRX-Serie mit anderen Netzwerkgeräten verbinden, können Sie Secure Wire verwenden, um die Gerätebereitstellung im Netzwerk zu vereinfachen. Es sind keine Änderungen an Routing- oder Weiterleitungstabellen auf der Firewall der SRX-Serie und keine Neukonfiguration benachbarter Geräte erforderlich. Secure Wire ermöglicht die unveränderte Weiterleitung des Datenverkehrs zwischen spezifizierten aggregierten Schnittstellenmember-Links auf einer Firewall der SRX-Serie, sofern dies durch Sicherheitsrichtlinien oder andere Sicherheitsfunktionen zulässig ist. Befolgen Sie dieses Beispiel, wenn Sie eine Firewall der SRX-Serie über aggregierte Schnittstellen-Member-Links mit anderen Netzwerkgeräten verbinden.
LACP wird nicht unterstützt. Sichere Kabelzuordnungen können für Mitgliedsverbindungen von Verbindungsbündeln konfiguriert werden, anstatt aggregierte Ethernet-Schnittstellen direkt zuzuordnen. Wenn sich die Ports oder Schnittstellen der Firewall der SRX-Serie im Trunk-Modus befinden, überträgt das Gerät die LACP-PDUs nicht und schlägt beim LACP fehl. Sie müssen ein natives VLAN hinzufügen, um Wire-Schnittstellen zu sichern, um LACP hochzufahren.
Wenn Sie auf SRX210-, SRX220-, SRX240-, SRX300-, SRX320-, SRX340-, SRX345-, SRX550- und SRX650-Geräten eine aggregierte Schnittstelle mit zwei oder mehr Ports erstellen und die Familie auf Ethernet-Switching festlegen und eine Verbindung im Bundle ausfällt, wird der über dieselbe Verbindung weitergeleitete Datenverkehr zwei Sekunden später umgeleitet. Dies führt zu einem Ausfall des Datenverkehrs, der an die Verbindung gesendet wird, bis die Umleitung abgeschlossen ist.
Anforderungen
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel werden sichere Drähte für zwei aggregierte Ethernet-Schnittstellen-Link-Bundles mit jeweils zwei Links konfiguriert. Die Konfiguration der beiden separaten Secure Wires, ae-link1 und ae-link2, erfolgt über eine Verbindung aus jedem aggregierten Ethernet-Link-Bundle. Dieses statische Mapping erfordert, dass die beiden Link-Bundles die gleiche Anzahl von Links haben.
Bei Link-Bundles müssen alle logischen Schnittstellen der Secure Wire-Zuordnungen demselben VLAN angehören. Die VLAN-ID 10 ist für das VLAN VLAN-10 und die logischen Schnittstellen konfiguriert. Alle logischen Schnittstellen eines Link-Bundles müssen zur gleichen Sicherheitszone gehören.
Für ein VLAN muss eine bestimmte VLAN-ID oder VLAN-ID-Liste konfiguriert werden.
Topologie
Abbildung 4 Zeigt die aggregierten Schnittstellen an, die in Secure Wire-Konfigurationen zugeordnet sind.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set vlans vlan-10 vlan-id 10 set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode access vlan-id 10 set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access vlan-id 10 set interfaces ge-0/1/0 unit 0 family ethernet-switching interface-mode access vlan-id 10 set interfaces ge-0/1/1 unit 0 family ethernet-switching interface-mode access vlan-id 10 set security forwarding-options secure-wire ae-link1-sw interface [ge-0/1/0.0 ge-0/1/1.0] set security forwarding-options secure-wire ae-link2-sw interface [ge-0/0/0.0 ge-0/0/1.0] set security zones security-zone trust interfaces ge-0/0/0.0 set security zones security-zone trust interfaces ge-0/1/0.0 set security zones security-zone untrust interfaces ge-0/0/1.0 set security zones security-zone untrust interfaces ge-0/1/1.0 set security policies default-policy permit-all
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eine Secure Wire-Zuordnung für aggregierte Interface-Member-Links:
Konfigurieren Sie das VLAN.
[edit vlans vlan-10] user@host# set vlan-id10
Konfigurieren Sie die Schnittstellen.
[edit interfaces ] user@host# set ge-0/0/0 unit 0 family ethernet-switching interface-mode access vlan-id 10 user@host# set ge-0/0/1 unit 0 family ethernet-switching interface-mode access vlan-id 10 user@host# set ge-0/1/0 unit 0 family ethernet-switching interface-mode access vlan-id 10 user@host# set ge-0/1/1 unit 0 family ethernet-switching interface-mode access vlan-id 10
Konfigurieren Sie die Secure Wire-Zuordnungen.
[edit security forwarding-options] user@host# set secure-wire ae-link1-sw interface [ ge-0/1/0.0 ge-0/1/1.0 ] user@host# set secure-wire ae-link2-sw interface [ ge-0/0/0.0 ge-0/0/1.0 ]
Konfigurieren Sie Sicherheitszonen.
[edit security zones] user@host# set security-zone trust interfaces ge-0/0/0.0 user@host# set security-zone trust interfaces ge-0/1/0.0 user@host# set security-zone untrust interfaces ge-0/0/1.0 user@host# set security-zone untrust interfaces ge-0/1/1.0
Konfigurieren Sie eine Sicherheitsrichtlinie, um Datenverkehr zuzulassen.
[edit security policies] user@host# set default-policy permit-all
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show vlansBefehle , show interfaces, show security forwarding-optionsund show security zones eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show vlans
vlan-10 {
vlan-id 10;
}
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
ge-0/1/0 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
ge-0/1/1{
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
user@host# show security forwarding-options
secure-wire ae-link1-sw {
interfaces [ge-0/1/0.0 ge-0/1/1.0];
}
secure-wire ae-link2-sw {
interfaces [ge-0/0/0.0 ge-0/0/1.0];
}
user@host# show security zones
security-zone trust {
interfaces {
ge-0/0/0.0;
ge-0/1/0.0;
}
}
security-zone untrust {
interfaces {
ge-0/0/1.0;
ge-0/1/1.0;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Verifizieren der Secure Wire-Zuordnung
Zweck
Überprüfen Sie die Secure Wire-Zuordnung.
Action!
Geben Sie im Betriebsmodus den show security forwarding-options secure-wire Befehl ein.
user@host> show security forward-options secure-wire Secure wire Interface Link Interface Link ae-link1-sw ge-0/1/0.0 up ge-0/1/1.0 up ae-link2-sw ge-0/0/0.0 up ge-0/0/1.0 up Total secure wires: 2
Beispiel: Vereinfachte Bereitstellung von Chassis-Clustern mit Secure Wire über redundante Ethernet-Schnittstellen
Wenn Sie einen Chassis-Cluster der SRX-Serie mit anderen Netzwerkgeräten verbinden, können Sie Secure Wire verwenden, um die Clusterbereitstellung im Netzwerk zu vereinfachen. Es sind keine Änderungen an Routing- oder Weiterleitungstabellen im Cluster und keine Neukonfiguration benachbarter Geräte erforderlich. Secure Wire ermöglicht die unveränderte Weiterleitung des Datenverkehrs zwischen spezifizierten redundanten Ethernet-Schnittstellen im Chassis-Cluster der SRX-Serie, sofern dies durch Sicherheitsrichtlinien oder andere Sicherheitsfunktionen zulässig ist. Folgen Sie diesem Beispiel, wenn Sie einen Chassis-Cluster der SRX-Serie über redundante Ethernet-Schnittstellen mit anderen Netzwerkgeräten verbinden.
Anforderungen
Bevor Sie beginnen:
Schließen Sie ein Paar der gleichen Firewalls der SRX-Serie in einem Gehäuse-Cluster an.
Konfigurieren Sie die Chassis-Cluster-Knoten-ID und die Cluster-ID.
Legen Sie die Anzahl der redundanten Ethernet-Schnittstellen im Chassis-Cluster fest.
Konfigurieren Sie die Chassis-Cluster-Fabric.
Konfigurieren Sie die Redundanzgruppe des Chassis-Clusters (in diesem Beispiel wird die Redundanzgruppe 1 verwendet).
Weitere Informationen finden Sie im Benutzerhandbuch für Chassis-Cluster für Geräte der SRX-Serie.
Überblick
Secure Wire wird über redundante Ethernet-Schnittstellen in einem Chassis-Cluster unterstützt. Die beiden redundanten Ethernet-Schnittstellen müssen in derselben Redundanzgruppe konfiguriert werden. Wenn ein Failover auftritt, müssen beide redundanten Ethernet-Schnittstellen zusammen ein Failover durchführen.
Secure Wire Mapping von redundanten Ethernet Link Aggregation Groups (LAGs) wird nicht unterstützt. LACP wird nicht unterstützt.
In diesem Beispiel wird die sichere Leitung reth-sw konfiguriert, die die Eingangsschnittstelle reth0.0 der Ausgangsschnittstelle reth1.0 zuordnet. Jede redundante Ethernet-Schnittstelle besteht aus zwei untergeordneten Schnittstellen, eine auf jedem Knoten des Chassis-Clusters. Die beiden redundanten Ethernet-Schnittstellen sind für den Zugriffsmodus konfiguriert. VLAN-ID 10 ist für das VLAN VLAN-10 und die redundanten Ethernet-Schnittstellen konfiguriert.
Für ein VLAN muss eine bestimmte VLAN-ID oder VLAN-ID-Liste konfiguriert werden.
Topologie
Abbildung 5 zeigt die redundanten Ethernet-Schnittstellen, die in Secure Wire reth-sw abgebildet sind.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set vlans vlan-10 vlan-id 10 set interfaces ge-0/0/0 gigether-options redundant-parent reth0 set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-0/1/0 gigether-options redundant-parent reth0 set interfaces ge-0/1/1 gigether-options redundant-parent reth1 set interfaces reth0 unit 0 family ethernet-switching interface-mode access vlan-id 10 set interfaces reth1 unit 0 family ethernet-switching interface-mode access vlan-id 10 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth1 redundant-ether-options redundancy-group 1 set security forwarding-options secure-wire reth-sw interface [reth0.0 reth1.0] set security zones security-zone trust interfaces reth0.0 set security zones security-zone untrust interfaces reth1.0 set security policies default-policy permit-all
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eine sichere Kabelzuordnung für redundante Ethernet-Schnittstellen mit Chassis-Clustern:
Konfigurieren Sie das VLAN.
[edit vlans vlan-10] user@host# set vlan-id 10
Konfigurieren Sie die redundanten Ethernet-Schnittstellen.
[edit interfaces ] user@host# set ge-0/0/0 gigether-options redundant-parent reth0 user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-0/1/0 gigether-options redundant-parent reth0 user@host# set ge-0/1/1 gigether-options redundant-parent reth1 user@host#set reth0 unit 0 family ethernet-switching interface-mode access vlan-id 10 user@host#set reth1 unit 0 family ethernet-switching interface-mode access vlan-id 10 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth1 redundant-ether-options redundancy-group 1
Konfigurieren Sie die Secure Wire-Zuordnung.
[edit security forwarding-options] user@host# set secure-wire reth-sw interface [reth0.0 reth1.0]
Konfigurieren Sie Sicherheitszonen.
[edit security zones] user@host# set security-zone trust interfaces reth0.0 user@host# set security-zone untrust interfaces reth1.0
Konfigurieren Sie eine Sicherheitsrichtlinie, um Datenverkehr zuzulassen.
[edit security policies] user@host# set default-policy permit-all
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show vlansBefehle , show interfaces, show security forwarding-optionsund show security zones eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show vlans
vlan-10 {
vlan-id 10;
}
user@host# show interfaces
ge-0/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-0/1/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/1/1 {
gigether-options {
redundant-parent reth1;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
user@host# show security forwarding-options
secure-wire reth-sw {
interfaces [reth0.0 reth1.0];
}
user@host# show security zones
security-zone trust {
interfaces {
reth0.0;
}
}
security-zone untrust {
interfaces {
reth1.0;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Verifizieren der Secure Wire-Zuordnung
Zweck
Überprüfen Sie die Secure Wire-Zuordnung.
Action!
Geben Sie im Betriebsmodus den show security forwarding-options secure-wire Befehl ein.
user@host> show security forward-options secure-wire node0: -------------------------------------------------------------------------- Secure wire Interface Link Interface Link reth-sw reth0.0 up reth1.0 up Total secure wires: 1 node1: -------------------------------------------------------------------------- Secure wire Interface Link Interface Link reth-sw reth0.0 up reth1.0 up Total secure wires: 1
Beispiel: Vereinfachte Bereitstellung von Chassis-Clustern mit Secure Wire over aggregierten redundanten Ethernet-Schnittstellen
Wenn Sie einen Chassis-Cluster der SRX-Serie mit anderen Netzwerkgeräten verbinden, können Sie Secure Wire verwenden, um die Clusterbereitstellung im Netzwerk zu vereinfachen. Es sind keine Änderungen an Routing- oder Weiterleitungstabellen im Cluster und keine Neukonfiguration benachbarter Geräte erforderlich. Secure Wire ermöglicht die unveränderte Weiterleitung des Datenverkehrs zwischen spezifizierten redundanten Ethernet-Schnittstellen im Chassis-Cluster der SRX-Serie, sofern dies durch Sicherheitsrichtlinien oder andere Sicherheitsfunktionen zulässig ist. Folgen Sie diesem Beispiel, wenn Sie einen Chassis-Cluster der SRX-Serie über aggregierte redundante Ethernet-Schnittstellen mit anderen Netzwerkgeräten verbinden.
Secure Wire können nicht für redundante Ethernet Interface Link Aggregation Groups (LAGs) konfiguriert werden. Für die in diesem Beispiel gezeigte Secure Wire-Zuordnung gibt es keine LAG-Konfiguration auf dem Chassis-Cluster der SRX-Serie. Jede redundante Ethernet-Schnittstelle besteht aus zwei untergeordneten Schnittstellen, eine auf jedem Knoten des Chassis-Clusters. Benutzer auf Upstream- oder Downstream-Geräten, die mit dem Cluster der SRX-Serie verbunden sind, können die redundanten untergeordneten Ethernet-Schnittstellen-Links in LAGs konfigurieren.
Anforderungen
Bevor Sie beginnen:
Schließen Sie ein Paar der gleichen Firewalls der SRX-Serie in einem Gehäuse-Cluster an.
Konfigurieren Sie die Chassis-Cluster-Knoten-ID und die Cluster-ID.
Legen Sie die Anzahl der redundanten Ethernet-Schnittstellen im Chassis-Cluster fest.
Konfigurieren Sie die Chassis-Cluster-Fabric.
Konfigurieren Sie die Redundanzgruppe des Chassis-Clusters (in diesem Beispiel wird Redundanzgruppe 1 verwendet).
Weitere Informationen finden Sie im Benutzerhandbuch für Chassis-Cluster für Geräte der SRX-Serie.
Überblick
In diesem Beispiel werden sichere Kabel für vier redundante Ethernet-Schnittstellen konfiguriert: reth0, reth1, reth2 und reth3. Jede redundante Ethernet-Schnittstelle besteht aus zwei untergeordneten Schnittstellen, eine auf jedem Knoten des Chassis-Clusters. Alle vier redundanten Ethernet-Schnittstellen müssen sich im selben VLAN befinden – in diesem Beispiel ist das VLAN VLAN-0. Zwei der redundanten Ethernet-Schnittstellen, reth0.0 und reth2.0, sind der Vertrauenszone zugewiesen, während die beiden anderen Schnittstellen, reth1.0 und reth3.0, der nicht vertrauenswürdigen Zone zugewiesen sind.
In diesem Beispiel werden die folgenden Secure Pipes konfiguriert:
reth-sw1 ordnet die Schnittstelle reth0.0 der Schnittstelle reth1.0 zu
reth-sw2 ordnet Schnittstelle RETH2.0 auf RETH3.0 zu
Alle redundanten Ethernet-Schnittstellen sind für den Zugriffsmodus konfiguriert. Die VLAN-ID 10 ist für das VLAN VLAN-0 und die redundanten Ethernet-Schnittstellen konfiguriert.
Für ein VLAN muss eine bestimmte VLAN-ID oder VLAN-ID-Liste konfiguriert werden.
Topologie
Abbildung 6 zeigt die redundanten untergeordneten Ethernet-Schnittstellenverbindungen, die in den Secure Wire-Konfigurationen reth-sw1 und reth-sw2 zugeordnet sind. Jede redundante Ethernet-Schnittstelle besteht aus zwei untergeordneten Schnittstellen, eine auf jedem Knoten des Chassis-Clusters.
Benutzer auf Upstream- oder Downstream-Geräten, die mit dem Cluster der SRX-Serie verbunden sind, können redundante untergeordnete Ethernet-Schnittstellen-Links in einer LAG konfigurieren, solange sich die LAG nicht über Chassis-Clusterknoten erstreckt. Beispielsweise können ge-0/0/0 und ge-0/1/0 und ge-0/0/1 und ge-0/1/1 auf Knoten 0 als LAGs auf verbundenen Geräten konfiguriert werden. Auf die gleiche Weise können ge-1/0/0 und ge-1/1/0 und ge-1/0/1 und ge-1/1/1 auf Knoten 1 als LAGs auf angeschlossenen Geräten konfiguriert werden.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set vlans vlan-0 vlan-id 10 set interfaces ge-0/0/0 gigether-options redundant-parent reth0 set interfaces ge-0/0/1 gigether-options redundant-parent reth1 set interfaces ge-0/1/0 gigether-options redundant-parent reth2 set interfaces ge-0/1/1 gigether-options redundant-parent reth3 set interfaces ge-1/0/0 gigether-options redundant-parent reth0 set interfaces ge-1/0/1 gigether-options redundant-parent reth1 set interfaces ge-1/1/0 gigether-options redundant-parent reth2 set interfaces ge-1/1/1 gigether-options redundant-parent reth3 set interfaces reth0 unit 0 family ethernet-switching interface-mode access vlan-id 10 set interfaces reth1 unit 0 family ethernet-switching interface-mode access vlan-id 10 set interfaces reth2 unit 0 family ethernet-switching interface-mode access vlan-id 10 set interfaces reth3 unit 0 family ethernet-switching interface-mode access vlan-id 10 set interfaces reth0 redundant-ether-options redundancy-group 1 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces reth2 redundant-ether-options redundancy-group 1 set interfaces reth3 redundant-ether-options redundancy-group 1 set security forwarding-options secure-wire reth-sw1 interface [reth0.0 reth1.0] set security forwarding-options secure-wire reth-sw2 interface [reth2.0 reth3.0] set security zones security-zone trust interfaces reth0.0 set security zones security-zone trust interfaces reth2.0 set security zones security-zone untrust interfaces reth1.0 set security zones security-zone untrust interfaces reth3.0 set security policies default-policy permit-all
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie eine Secure Wire-Zuordnung für aggregierte Interface-Member-Links:
Konfigurieren Sie das VLAN.
[edit vlans vlan-0] user@host# set vlan-id 10
Konfigurieren Sie die redundanten Ethernet-Schnittstellen.
[edit interfaces ] user@host# set ge-0/0/0 gigether-options redundant-parent reth0 user@host# set ge-0/0/1 gigether-options redundant-parent reth1 user@host# set ge-0/1/0 gigether-options redundant-parent reth2 user@host# set ge-0/1/1 gigether-options redundant-parent reth3 user@host# set ge-1/0/0 gigether-options redundant-parent reth0 user@host# set ge-1/0/1 gigether-options redundant-parent reth1 user@host# set ge-1/1/0 gigether-options redundant-parent reth2 user@host# set ge-1/1/1 gigether-options redundant-parent reth3 user@host# set reth0 unit 0 family ethernet-switching interface-mode access vlan-id 10 user@host# set reth1 unit 0 family ethernet-switching interface-mode access vlan-id 10 user@host# set reth2 unit 0 family ethernet-switching interface-mode access vlan-id 10 user@host# set reth3 unit 0 family ethernet-switching interface-mode access vlan-id 10 user@host# set reth0 redundant-ether-options redundancy-group 1 user@host# set reth1 redundant-ether-options redundancy-group 1 user@host# set reth2 redundant-ether-options redundancy-group 1 user@host# set reth3 redundant-ether-options redundancy-group 1
Konfigurieren Sie die Secure Wire-Zuordnungen.
[edit security forwarding-options] user@host# set secure-wire reth-sw1 interface [reth0.0 reth1.0] user@host# set secure-wire reth-sw2 interface [reth2.0 reth3.0]
Konfigurieren Sie Sicherheitszonen.
[edit security zones] user@host# set security-zone trust interfaces reth0.0 user@host# set security-zone trust interfaces reth2.0 user@host# set security-zone untrust interfaces reth1.0 user@host# set security-zone untrust interfaces reth3.0
Konfigurieren Sie eine Sicherheitsrichtlinie, um Datenverkehr zuzulassen.
[edit security policies] user@host# set default-policy permit-all
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show vlansBefehle , show interfaces, show security forwarding-optionsund show security zones eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show vlans
vlan-0 {
vlan-id 10;
}
user@host# show interfaces
ge-0/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-0/1/0 {
gigether-options {
redundant-parent reth2;
}
}
ge-0/1/1 {
gigether-options {
redundant-parent reth3;
}
}
ge-1/0/0 {
gigether-options {
redundant-parent reth0;
}
}
ge-1/0/1 {
gigether-options {
redundant-parent reth1;
}
}
ge-1/1/0 {
gigether-options {
redundant-parent reth2;
}
}
ge-1/1/1 {
gigether-options {
redundant-parent reth3;
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
reth2 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
reth3 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
family ethernet-switching {
interface-mode access;
vlan-id 10;
}
}
}
user@host# show security forwarding-options
secure-wire reth-sw1 {
interfaces [reth0.0 reth1.0];
}
secure-wire reth-sw2 {
interfaces [reth2.0 reth3.0];
}
user@host# show security zones
security-zone trust {
interfaces {
reth0.0;
reth2.0;
}
}
security-zone untrust {
interfaces {
reth1.0;
reth3.0;
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Verifizieren der Secure Wire-Zuordnung
Zweck
Überprüfen Sie die Secure Wire-Zuordnung.
Action!
Geben Sie im Betriebsmodus den show security forwarding-options secure-wire Befehl ein.
user@host> show security forward-options secure-wire node0: -------------------------------------------------------------------------- Secure wire Interface Link Interface Link reth-sw1 reth0.0 up reth1.0 up reth-sw2 reth2.0 up reth3.0 up Total secure wires: 2 node1: -------------------------------------------------------------------------- Secure wire Interface Link Interface Link reth-sw1 reth0.0 up reth1.0 up reth-sw2 reth2.0 up reth3.0 up Total secure wires: 2