Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Adressbücher und Adresssätze

Ein Adressbuch ist eine Sammlung von Adressen und Adresssätzen. Adressbücher sind wie Komponenten oder Bausteine, die in anderen Konfigurationen wie Sicherheitsrichtlinien, Sicherheitszonen und NAT referenziert werden. Sie können Adressen zu Adressbüchern hinzufügen oder standardmäßig die vordefinierten Adressen verwenden, die jedem Adressbuch zur Verfügung stehen.

Adresssätze sind Gruppen von Adressen, die zur Verwaltung großer Adressbücher verwendet werden. Mithilfe von Adresssätzen können Sie Adressen in logischen Gruppen organisieren und diese zur einfachen Konfiguration anderer Funktionen wie Richtlinien und NAT-Regeln verwenden.

Adressbücher verstehen

Ein Adressbuch ist eine Sammlung von Adressen und Adresssätzen. Mit Junos OS können Sie mehrere Adressbücher konfigurieren. Adressbücher sind wie Komponenten oder Bausteine, die in anderen Konfigurationen wie Sicherheitsrichtlinien oder NAT referenziert werden. Sie können Adressen zu Adressbüchern hinzufügen oder standardmäßig die vordefinierten Adressen verwenden, die jedem Adressbuch zur Verfügung stehen.

Adressbucheinträge enthalten Adressen von Hosts und Subnetzen, deren Datenverkehr entweder zulässig, blockiert, verschlüsselt oder benutzerauthentifizierung ist. Diese Adressen können eine beliebige Kombination aus IPv4-Adressen, IPv6-Adressen, Platzhalteradressen oder DNS-Namen (Domain Name System) sein.

Vordefinierte Adressen

Sie können entweder Adressen erstellen oder eine der folgenden vordefinierten Adressen verwenden, die standardmäßig verfügbar sind:

  • Any— Diese Adresse entspricht jeder IP-Adresse. Wenn diese Adresse als Quell- oder Zieladresse in einer Richtlinienkonfiguration verwendet wird, entspricht sie der Quell- und Zieladresse jedes Pakets.

  • Any-ipv4— Diese Adresse entspricht jeder IPv4-Adresse.

  • Any-ipv6— Diese Adresse entspricht jeder IPv6-Adresse.

Netzwerk-Präfixe in Adressbüchern

Sie können Adressen als Netzwerk-Präfixe im Präfix-/Längenformat angeben. Beispielsweise ist 203.0.113.0/24 eine akzeptable Adressbuchadresse, da sie in ein Netzwerkpräfix übersetzt wird. 203.0.113.4/24 ist jedoch für ein Adressbuch nicht akzeptabel, da es die Subnetzlänge von 24 Bits überschreitet. Alles, was über die Subnetzlänge hinausgeht, muss als 0 (Null) eingegeben werden. In speziellen Szenarien können Sie einen Hostnamen eingeben, da er die vollständige 32-Bit-Adresslänge verwenden kann.

Ein IPv6-Adress-Präfix ist eine Kombination aus einem IPv6-Präfix (Adresse) und einer Präfixlänge. Das Präfix nimmt das Formular ipv6-Prefix/Prefix-Länge an und stellt einen Block von Adressraum (oder ein Netzwerk) dar. Die Variable ipv6-prefix folgt allgemeinen IPv6-Adressierungsregeln. Die Variable /prefix-length ist ein Dezimalwert, der die Anzahl zusammenhängender Bits höherer Ordnung der Adresse angibt, aus denen der Netzwerkteil der Adresse besteht. Beispiel: 2001:db8::/32 ist ein mögliches IPv6-Präfix. Weitere Informationen zur Textdarstellung von IPv6-Adressen und Adresspräfixen finden Sie unter RFC 4291, IP Version 6 Addressing Architecture.

Platzhalteradressen in Adressbüchern

Neben IP-Adressen und Domänennamen können Sie in einem Adressbuch auch eine Platzhalteradresse angeben. Eine Platzhalteradresse wird als A.B.C.D/Platzhaltermaske dargestellt. Die Platzhaltermaske bestimmt, welche Bits in der IP-Adresse A.B.C.D ignoriert werden sollen. Die Quell-IP-Adresse 192.168.0.11/255.255.0.255 in einer Sicherheitsrichtlinie bedeutet beispielsweise, dass die Übereinstimmungskriterien für Sicherheitsrichtlinien das dritte Oktett in der IP-Adresse verwerfen können (symbolhaft als 192.168.*.11 dargestellt). Daher erfüllen Pakete mit Quell-IP-Adressen wie 192.168.1.11 und 192.168.22.11 die Übereinstimmungskriterien. Pakete mit Quell-IP-Adressen wie 192.168.0.1 und 192.168.1.21 erfüllen jedoch nicht die Übereinstimmungskriterien.

Die Wildcard-Adressennutzung ist nicht nur auf vollständige Oktette beschränkt. Sie können jede Platzhalteradresse konfigurieren. Beispielsweise bedeutet die Platzhalteradresse 192.168.7.1/255.255.7.255, dass Sie nur die ersten 5 Bits des dritten Oktetts der Platzhalteradresse ignorieren müssen, während Sie die Richtlinienüberstimmung vornehmen. Wenn die Nutzung der Platzhalteradresse nur auf vollständige Oktette beschränkt ist, sind Platzhaltermasken mit entweder 0 oder 255 in jedem der vier Oktette nur zulässig.

DNS-Namen in Adressbüchern

Standardmäßig können Sie IPv4- und IPv6-Adressen für ein DNS auflösen. Wenn IPv4- oder IPv6-Adressen bestimmt sind, können Sie nur diese Adressen mit den Keywords ipv4-only bzw. ipv6-only auflösen.

Für SRX5400-, SRX5600- und SRX5800-Geräte und vSRX-Instanzen kann der Verwaltungsdatenverkehr ab Junos OS 15.1X49-D60 von einer bestimmten Quelladresse für DNS-Namen (Domain Name System) stammen.

Beachten Sie beim Konfigurieren der Quelladresse für DNS Folgendes:

  • Für jeden DNS-Servernamen kann nur eine Quelladresse als Quelladresse konfiguriert werden.

  • IPv6-Quelladressen werden für IPv6-DNS-Server unterstützt, und für IPv4-Server werden nur IPv4-Adressen unterstützt. Sie können keine IPv4-Adresse für einen IPv6 DNS-Server oder eine IPv6-Adresse für einen IPv4 DNS-Server konfigurieren.

Damit der gesamte Verwaltungsdatenverkehr von einer bestimmten Quelladresse stammt, konfigurieren Sie den Systemnamenserver und die Quelladresse. Zum Beispiel:

Bevor Sie Domänennamen für Adresseinträge verwenden können, müssen Sie das Sicherheitsgerät für DNS-Dienste konfigurieren. Informationen zu DNS finden Sie unter DNS-Übersicht.

Globale Adressbücher verstehen

Ein Adressbuch mit dem Namen "global" ist immer in Ihrem System vorhanden. Ähnlich wie bei anderen Adressbüchern kann das globale Adressbuch eine beliebige Kombination aus IPv4-Adressen, IPv6-Adressen, Platzhalteradressen oder DNS-Namen (Domain Name System) enthalten.

Sie können Adressen im globalen Adressbuch erstellen oder die vordefinierten Adressen (any-ipv4 und any-ipv6) verwenden. Um die Adressen im globalen Adressbuch verwenden zu können, müssen Sie die Sicherheitszonen jedoch nicht an diese anbringen. Das globale Adressbuch ist für alle Sicherheitszonen verfügbar, denen keine Adressbücher beigefügt sind.

Globale Adressbücher werden in den folgenden Fällen verwendet:

  • NAT-Konfigurationen– NAT-Regeln können Adressobjekte nur aus dem globalen Adressbuch verwenden. Sie können keine Adressen aus zonenbasierten Adressbüchern verwenden.

  • Globale Richtlinien– Adressen, die in einer globalen Richtlinie verwendet werden, müssen in einem globalen Adressbuch definiert werden. Globale Adressbuchobjekte gehören keiner bestimmten Zone an.

Verstehen von Adresssätzen

Ein Adressbuch kann eine große Anzahl von Adressen enthalten und schwierig zu verwalten sein. Sie können Gruppen von Adressen erstellen, die als Adresssätze bezeichnet werden, um große Adressbücher zu verwalten. Mithilfe von Adresssätzen können Sie Adressen in logischen Gruppen organisieren und diese zur einfachen Konfiguration anderer Funktionen wie Richtlinien und NAT-Regeln verwenden.

Der vordefinierte Adresssatz, anyder sowohl Adressen als auch Adressen any-ipv4 any-ipv6 enthält, wird automatisch für jede Sicherheitszone erstellt.

Sie können Adresssätze mit vorhandenen Benutzern erstellen oder leere Adresssätze erstellen und diese später mit Benutzern füllen. Beim Erstellen von Adresssätzen können Sie IPv4- und IPv6-Adressen kombinieren, aber die Adressen müssen sich in derselben Sicherheitszone befinden.

Sie können auch einen Adresssatz innerhalb eines Adresssatzes erstellen. Auf diese Weise können Sie Richtlinien effektiver anwenden. Wenn Sie beispielsweise eine Richtlinie auf zwei Adresssätze anwenden möchten, set1 und set2anstelle von zwei Anweisungen können Sie nur eine Anweisung verwenden, um die Richtlinie auf einen neuen Adresssatz anzuwenden, set3einschließlich Adresssätze set1 und set2.

Wenn Sie Richtlinien Adressen hinzufügen, kann manchmal dieselbe Teilmenge von Adressen in mehreren Richtlinien vorhanden sein, was es schwierig macht, die Auswirkungen von Richtlinien auf jeden Adresseintrag zu verwalten. Referenz eines Adresssatzeintrags in einer Richtlinie wie ein individueller Adressbucheintrag, damit Sie eine kleine Anzahl von Adresssätzen verwalten können, anstatt eine große Anzahl von einzelnen Adresseinträgen zu verwalten.

Beschränkungen von Adressen und Adresssätzen in einer Sicherheitsrichtlinie

Auf Geräten der SRX-Serie kann eine Richtlinie auf mehrere Adresssätze, mehrere Adresseinträge oder beides verweisen. Ein Adresssatz kann auf maximal 1024 Adresseinträge und maximal 256 Adresssätze verweisen. Die Anzahl der Adressobjekte, auf die eine Richtlinie verweisen kann, ist begrenzt; die maximale Anzahl von Adressobjekten pro Richtlinie ist 1024. Beginnend mit Junos OS Version 12.3X48-D15 und Junos OS Version 17.3R1, die maximale Anzahl von Richtlinien pro Kontext für SRX3400- und SRX3600-Geräte steigt von 10.240 auf 40.000 und für SRX5400, SRX5600 und SRX5800 Geräte von 10240 auf 80.000.

Beachten Sie, dass jeder IPv6-Adresseintrag gleich 4 IPv4-Adresseinträgen ist. Beispielsweise verfügt eine Richtlinie, die für 1000 IPv4-Adresseinträge und 5 IPv6-Adresseinträge konfiguriert ist, über 1020 Adressobjekte (1000 + [5 x4] = 1020), die innerhalb des Werts 1024 liegt und gebunden werden kann. Eine für 1000 IPv4-Adresseinträge und 7 IPv6-Adresseinträge konfigurierte Richtlinie hat jedoch 1028 Adressobjekte (1000 +[7 x 4] = 1028), die den Wert 1024 überschreiten, kann nicht begangen werden und generiert daher eine Fehlermeldung.

Konfigurieren von Adressen und Adresssätzen

Sie können Adressen und Adresssätze in einem Adressbuch definieren und diese dann bei der Konfiguration verschiedener Funktionen verwenden. Sie können auch vordefinierte Adressen anyverwenden, any-ipv4die any-ipv6 standardmäßig verfügbar sind. Die vordefinierte Adresse any kann jedoch nicht zu einem Adressbuch hinzugefügt werden.

Nach der Konfiguration von Adressbüchern und -sätzen werden sie bei der Konfiguration verschiedener Funktionen wie Sicherheitsrichtlinien, Sicherheitszonen und NAT verwendet.

Adressen und Adresssätze

Sie können IPv4-Adressen, IPv6-Adressen, Platzhalteradressen oder DNS-Namen (Domain Name System) als Adresseinträge in einem Adressbuch definieren.

Das folgende Beispieladressbuch enthält book1 verschiedene Arten von Adressen und Adresssätzen. Nach der Definition können Sie diese Adressen und Adresssätze nutzen, wenn Sie Sicherheitszonen, Richtlinien oder NAT-Regeln konfigurieren.

Beim Definieren von Adressen und Adresssätzen befolgen Sie die folgenden Richtlinien:

  • Adresssätze können nur Adressnamen enthalten, die zur selben Sicherheitszone gehören.

  • Adressnamen anyund any-ipv4 any-ipv6 reserviert; Sie können diese nicht zum Erstellen von Adressen verwenden.

  • Adressen und Adresssätze in derselben Zone müssen über verschiedene Namen verfügen.

  • Adressnamen können nicht mit Adressensatznamen identisch sein. Wenn Sie beispielsweise eine Adresse mit dem Namen add1konfigurieren, erstellen Sie den Adresssatz nicht mit dem Namen add1.

  • Wenn Sie einen einzelnen Adressbucheintrag aus dem Adressbuch löschen, müssen Sie die Adresse (wo auch immer sie verweist) aus allen Adresssätzen entfernen; Andernfalls führt das System zu einem Commit-Fehler.

Adressbücher und Sicherheitszonen

Eine Sicherheitszone ist eine logische Gruppe von Schnittstellen mit identischen Sicherheitsanforderungen. Sie fügen Sicherheitszonen an Adressbücher an, die Einträge für die adressierbaren Netzwerke und Endhosts (und damit Benutzer) der Zone enthalten.

Eine Zone kann zwei Adressbücher gleichzeitig verwenden: das globale Adressbuch und das Adressbuch, an das die Zone angehängt ist. Wenn keine Sicherheitszone an ein Adressbuch angehängt wird, wird automatisch das globale Adressbuch verwendet. Wenn also eine Sicherheitszone an ein Adressbuch angehängt wird, sucht das System Adressen aus diesem angehängten Adressbuch. Andernfalls sucht das System Adressen aus dem globalen Standardadressbuch. Das globale Adressbuch ist standardmäßig für alle Sicherheitszonen verfügbar. sie müssen dem globalen Adressbuch keine Zonen zufügen.

Die folgenden Richtlinien gelten beim Anbringen von Sicherheitszonen an Adressbücher:

  • An eine Sicherheitszone angeschlossene Adressen entsprechen den Sicherheitsanforderungen der Zone.

  • Das Adressbuch, das Sie einer Sicherheitszone zuweisen, muss alle IP-Adressen enthalten, die innerhalb dieser Zone erreichbar sind.

  • Wenn Sie Richtlinien zwischen zwei Zonen konfigurieren, müssen Sie die Adressen für die einzelnen Adressbücher der Zone definieren.

  • Adressen in einem benutzerdefinierten Adressbuch haben eine höhere Suchpriorität als Adressen im globalen Adressbuch. Nach einer Sicherheitszone, die an ein benutzerdefiniertes Adressbuch angehängt ist, durchsucht das System also zuerst das benutzerdefinierte Adressbuch; wenn keine Adresse gefunden wird, durchsucht sie das globale Adressbuch.

Adressbücher und Sicherheitsrichtlinien

Adressen und Adresssätze werden verwendet, wenn die Übereinstimmungskriterien für eine Richtlinie angegeben werden. Bevor Sie Richtlinien so konfigurieren können, dass Datenverkehr von und zu einzelnen Hosts und Subnetzen zugelassen, verweigert oder tunnelt werden kann, müssen Sie dafür Einträge in Adressbüchern vornehmen. Sie können verschiedene Arten von Adressen wie IPv4-Adressen, IPv6-Adressen, Platzhalteradressen und DNS-Namen als Übereinstimmungskriterien für Sicherheitsrichtlinien definieren.

Richtlinien enthalten sowohl Quell- als auch Zieladressen. Sie können sich auf eine Adresse oder einen Adresssatz in einer Richtlinie anhand des Namens beziehen, den Sie ihr im Adressbuch geben, der an die in der Richtlinie angegebene Zone angehängt ist.

  • Wenn der Datenverkehr an eine Zone gesendet wird, werden die Zone und die Adresse, an die der Datenverkehr gesendet wird, als Zielzone und Adressabgleichskriterien in Richtlinien verwendet.

  • Wenn der Datenverkehr von einer Zone gesendet wird, werden die Zone und die Adresse, von der der Datenverkehr gesendet wird, als Quellzone und Adressabgleichskriterien in Richtlinien verwendet.

Für Sicherheitsrichtlinien verfügbare Adressen

Bei der Konfiguration der Quell- und Zieladressen für eine Richtlinienregel können Sie ein Fragezeichen in die CLI eingeben, um alle verfügbaren Adressen aufzulisten, aus denen Sie wählen können.

Sie können den gleichen Adressnamen für verschiedene Adressen verwenden, die sich in verschiedenen Adressbüchern befinden. Die CLI listet jedoch nur eine dieser Adressen auf– die Adresse mit der höchsten Nachschlagepriorität.

Angenommen, Sie konfigurieren Adressen in zwei Adressbüchern:global und book1. Zeigen Sie dann die Adressen an, die Sie als Quell- oder Zieladressen in einer Richtlinie konfigurieren können (siehe Tabelle 1).

Tabelle 1: In der CLI angezeigte verfügbare Adressen

Konfigurierte Adressen

In der CLI angezeigte Adressen

[edit security address-book]
set global address a1 203.0.113.0/24; 
set global address a2 198.51.100.0/24;  
set global address a3 192.0.2.0/24;  
set book1 address a1 203.0.113.128/25;
[edit security policies from-zone trust to-zone untrust]
user@host# set policy p1 match set match source-address ?

Possible completions:
  [         Open a set of values
  a1        The address in address book book1
  a2        The address in address book global
  a3        The address in address book global
  any       Any IPv4 or IPv6 address
  any-ipv4  Any IPv4 address
  any-ipv6  Any IPv6 address

Die in diesem Beispiel angezeigten Adressen veranschaulichen:

  • Adressen in einem benutzerdefinierten Adressbuch haben eine höhere Suchpriorität als Adressen im globalen Adressbuch.

  • Adressen in einem globalen Adressbuch haben eine höhere Priorität als die vordefinierten Adressen any, any-ipv4und any-ipv6.

  • Wenn der gleiche Adressname für zwei oder mehr verschiedene Adressen konfiguriert ist, ist nur die Adresse mit der höchsten Priorität basierend auf der Adressensuche verfügbar. In diesem Beispiel zeigt die CLI die Adresse a1 von book1 (203.0.113.128/25) an, da diese Adresse eine höhere Suchpriorität als die globale Adresse a1 hat (203.0.113.0/24).

Anwenden von Richtlinien auf Adresssätze

Wenn Sie einen In-Richtlinien-Adresssatz angeben, wendet Junos OS die Richtlinien automatisch auf jedes Adresssatzmitglied an, sodass Sie sie nicht einzeln für jede Adresse erstellen müssen. Wenn ein Adresssatz in einer Richtlinie referenziert wird, kann der Adresssatz auch nicht entfernt werden, ohne seinen Verweis in der Richtlinie zu entfernen. Es kann jedoch bearbeitet werden.

Hinweis:

Bedenken Sie, dass das System für jeden Adresssatz individuelle Regeln für seine Mitglieder erstellt. Es erstellt eine interne Regel für jedes Mitglied in der Gruppe sowie für jeden für jeden Benutzer konfigurierten Dienst. Wenn Sie Adressbücher konfigurieren, ohne dies zu berücksichtigen, können Sie die Anzahl der verfügbaren Richtlinienressourcen überschreiten, insbesondere wenn es sich bei den Quell- und Zieladressen um Adressgruppen handelt und der angegebene Dienst eine Dienstgruppe ist.

Abbildung 1 zeigt, wie Richtlinien auf Adresssätze angewendet werden.

Abbildung 1: Anwenden von Richtlinien auf Adresssätze Applying Policies to Address Sets

Adressbücher und NAT

Sobald Sie Adressen in Adressbüchern definiert haben, können Sie diese in quell-, ziel- oder statischen NAT-Regeln angeben. Es ist einfacher, sinnvolle Adressnamen anstelle von IP-Präfixen als Quell- und Zieladressen in der NAT-Regelkonfiguration anzugeben. Anstatt beispielsweise 10.208.16.0/22 als Quelladresse anzugeben, können Sie eine Adresse namens local 10.208.16.0/22 angeben.

Sie können auch Adresssätze in NAT-Regeln angeben, sodass Sie innerhalb eines Adresssatzes mehrere Adressen hinzufügen und daher eine kleine Anzahl von Adresssätzen verwalten können, anstatt eine große Anzahl einzelner Adresseinträge zu verwalten. Wenn Sie einen Adresssatz in einer NAT-Regel angeben, wendet Junos OS die Regel automatisch auf jedes Adresssatzmitglied an, sodass Sie nicht jede Adresse einzeln angeben müssen.

Hinweis:

Die folgenden Adress- und Adresssatztypen werden in NAT-Regeln nicht unterstützt: Platzhalteradressen, DNS-Namen und eine Kombination aus IPv4- und IPv6-Adressen.

Bei der Konfiguration von Adressbüchern mit NAT befolgen Sie die folgenden Richtlinien:

  • In einer NAT-Regel können Sie nur Adressen aus einem globalen Adressbuch angeben. Benutzerdefinierte Adressbücher werden mit NAT nicht unterstützt.

  • Sie können einen Adresssatz als Quelladressennamen in einer Quell-NAT-Regel konfigurieren. Sie können jedoch einen Adresssatz nicht als Zieladressennamen in einer Ziel-NAT-Regel konfigurieren.

    Die folgenden NAT-Beispielanweisungen zeigen die Adress- und Adresssatztypen, die mit Quell- und Ziel-NAT-Regeln unterstützt werden:

  • In einer statischen NAT-Regel können Sie einen Adresssatz nicht als Quell- oder Zieladressennamen konfigurieren. Die folgenden NAT-Beispielanweisungen zeigen die Adresstypen, die mit statischen NAT-Regeln unterstützt werden:

Beispiel: Konfigurieren von Adressbüchern und Adresssätzen

In diesem Beispiel wird gezeigt, wie Adressen und Adresssätze in Adressbüchern konfiguriert werden. Außerdem wird gezeigt, wie Adressbücher sicherheitszonen zugeordnet werden können.

Anforderungen

Bevor Sie beginnen:

  • Konfigurieren Sie die Sicherheitsgeräte von Juniper Networks für die Netzwerkkommunikation.

  • Konfigurieren Sie Netzwerkschnittstellen auf Server- und Mitgliedsgeräten. Weitere Informationen finden Sie im Benutzerhandbuch für Schnittstellen für Sicherheitsgeräte.

  • Konfigurieren Sie DNS-Services (Domain Name System). Informationen zu DNS finden Sie unter DNS-Übersicht.

Übersicht

In diesem Beispiel konfigurieren Sie ein Adressbuch mit Adressen und Adresssätzen (siehe Abbildung 2), um die Konfiguration des Unternehmensnetzwerks zu vereinfachen. Sie erstellen ein Adressbuch namens Eng-dept und fügen Adressen von Mitgliedern der Engineering-Abteilung hinzu. Sie erstellen ein weiteres Adressbuch mit dem Namen Web und fügen diesem einen DNS-Namen hinzu. Anschließend fügen Sie dem Eng-dept Adressbuch eine Sicherheitszone vertrauenswürdig an und die Sicherheitszone, die dem Web Adressbuch nicht vertrauenswürdig ist. Sie erstellen auch Adresssätze zur Gruppierung von Software- und Hardwareadressen in der Engineering-Abteilung. Sie planen, diese Adressen in Ihren zukünftigen Richtlinienkonfigurationen als Quell- und Zieladressen zu verwenden.

Darüber hinaus fügen Sie dem globalen Adressbuch eine Adresse hinzu, die für jede Sicherheitszone verfügbar ist, der kein Adressbuch beigefügt ist.

Abbildung 2: Konfigurieren von Adressen und Adresssätzen Configuring Addresses and Address Sets

Topologie

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie Adressen und Adresssätze:

  1. Konfigurieren Sie Ethernet-Schnittstellen und weisen Sie ihnen IPv4-Adressen zu.

  2. Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu.

  3. Erstellen Sie ein Adressbuch und definieren Sie darin Adressen.

  4. Adresssätze erstellen.

  5. Fügen Sie das Adressbuch einer Sicherheitszone bei.

  6. Erstellen Sie ein weiteres Adressbuch und fügen Sie es einer Sicherheitszone bei.

  7. Definieren Sie eine Adresse im globalen Adressbuch.

Ergebnisse

Bestätigen Sie ihre Konfiguration vom Konfigurationsmodus aus, indem Sie die Befehle und show security address-book die Befehle show security zones eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung der Adressbuchkonfiguration

Zweck

Zeigen Sie Informationen zu konfigurierten Adressbüchern und Adressen an.

Aktion

Geben Sie im Konfigurationsmodus den show security address-book Befehl ein.

Überprüfung der Konfiguration des globalen Adressbuchs

Zweck

Zeigen Sie Informationen zu konfigurierten Adressen im globalen Adressbuch an.

Aktion

Geben Sie im Konfigurationsmodus den show security address-book global Befehl ein.

Adressen von Richtlinien ausschließen

Mit Junos OS können Benutzer beliebig viele Quell- und Zieladressen zu einer Richtlinie hinzufügen. Wenn Sie bestimmte Adressen von einer Richtlinie ausschließen müssen, können Sie diese als vernachlässigte Adressen konfigurieren. Wenn eine Adresse als vernachlässigte Adresse konfiguriert wird, wird sie von einer Richtlinie ausgeschlossen. Sie können jedoch die folgenden IP-Adressen nicht von einer Richtlinie ausschließen:

  • Platzhalter

  • IPv6

  • jegliche

  • Any-IPv4

  • Any-IPv6

  • 0.0.0.0

Wenn ein Adressbereich oder eine einzelne Adresse vernachlässigbar ist, kann sie in mehrere Adressen unterteilt werden. Diese vernachlässigten Adressen werden als Präfix oder Länge angezeigt, die mehr Speicher für die Speicherung in einer Packet Forwarding Engine benötigen.

Jede Plattform verfügt über eine begrenzte Anzahl von Richtlinien mit vernachlässigten Adressen. Eine Richtlinie kann 10 Quell- oder Zieladressen enthalten. Die Kapazität der Richtlinie hängt von der maximalen Anzahl von Richtlinien ab, die von der Plattform unterstützt werden.

Bevor Sie eine vernachlässigte Quelladresse, Zieladresse oder beides konfigurieren, führen Sie die folgenden Aufgaben aus:

  1. Erstellen Sie ein Quell-, Ziel- oder beides Adressbuch.

  2. Erstellen Sie Adressnamen und weisen Sie den Adressnamen Quell- und Zieladressen zu.

  3. Adresssätze erstellen, um Quell-, Ziel- oder beide Adressnamen zu gruppen.

  4. Hängen Sie Quell- und Zieladressbücher an Sicherheitszonen an. Fügen Sie z. B. das Quelladressbuch dem From-Zone Trust und dem Zieladressbuch dem nicht vertrauenswürdigen Ziel zu.

  5. Geben Sie die Übereinstimmungsquelle, das Ziel oder beide Adressnamen an.

  6. Führen Sie source-address-excluded, destination-address excluded oder beide Befehle aus. Eine Quelle, ein Ziel oder beide Adressen, die in der Quelle, dem Ziel oder beiden Adressbüchern hinzugefügt wurden, werden von der Richtlinie ausgeschlossen.

Hinweis:

Das globale Adressbuch muss keiner Sicherheitszone angehängt werden.

Beispiel: Adressen aus Richtlinien ausschließen

In diesem Beispiel wird gezeigt, wie vernachlässigte Quell- und Zieladressen konfiguriert werden. Es zeigt auch, wie Adressbücher und Adresssätze konfiguriert werden.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Ein Gerät der SRX-Serie

  • EIN PC

  • Junos OS-Version 12.1X45-D10

Konfigurieren Sie Adressbücher und Adresssätze, bevor Sie beginnen. Siehe Beispiel: Konfigurieren von Adressbüchern und Adresssätzen.

Übersicht

In diesem Beispiel erstellen Sie Quell- und Zieladressbücher, SOUR-ADDR und DES-ADDR und fügen ihr Quell- und Zieladressen hinzu. Sie erstellen Quell- und Zieladresssätze als 1 und as2 sowie Quell- und Zieladressen für diese Gruppen. Anschließend fügen Sie dem Trust der Sicherheitszone das Quelladressbuch und das Zieladressbuch der Sicherheitszone nicht vertrauenswürdig bei.

Sie erstellen Sicherheitszonen von Zonenvertrauen und nicht vertrauenswürdigen Zonen. Sie geben den Richtliniennamen auf p1 an, und legen dann den Namen der Quelladresse für die Übereinstimmung auf as1 und die Zieladresse für die Übereinstimmung auf as2 fest. Sie geben die Befehle Source -address-excluded und Destination -address-excluded an, um in der Richtlinie p1 konfigurierte Quell- und Zieladressen auszuschließen. Schließlich legen Sie die Richtlinie p1 so fest, dass der Datenverkehr von Zone Trust zu Zone nicht vertrauenswürdig ist.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.

So konfigurieren Sie vernachlässigte Adressen:

  1. Erstellen Sie ein Quelladressbuch und Adressnamen. Fügen Sie die Quelladressen dem Adressbuch hinzu.

  2. Erstellen Sie einen Adresssatz zur Gruppierung von Quelladressennamen.

  3. Fügen Sie das Quelladressbuch der Sicherheitszone bei.

  4. Zieladressbuch und Adressnamen erstellen. Fügen Sie die Zieladressen dem Adressbuch hinzu.

  5. Erstellen Sie einen weiteren Adresssatz, um Zieladressennamen zu gruppen.

  6. Fügen Sie das Zieladressbuch der Sicherheitszone bei.

  7. Geben Sie den Richtliniennamen und die Quelladresse an.

  8. Quelladressen von der Richtlinie ausschließen.

  9. Geben Sie die Zieladresse an.

  10. Zieladressen von der Richtlinie ausschließen.

  11. Konfigurieren Sie die Anwendung für Sicherheitsrichtlinien.

  12. Nicht-vertrauenswürdigen Datenverkehr von Zone zu Zone zulassen.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie die Konfiguration des Geräts durchgeführt haben, geben Sie aus dem Konfigurationsmodus ein commit .

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der Richtlinienkonfiguration

Zweck

Vergewissern Sie sich, dass die Richtlinienkonfiguration korrekt ist.

Aktion

Geben Sie im Betriebsmodus den show security policies policy-name p1 Befehl ein.

Diese Ausgabe fasst die Richtlinienkonfiguration zusammen.

Überprüfen der Details zur Richtlinienkonfiguration

Zweck

Vergewissern Sie sich, dass die Richtlinie und die vernachlässigten Quell- und Zieladressenkonfigurationen korrekt sind.

Aktion

Geben Sie im Betriebsmodus den show security policies policy-name p1 detail Befehl ein.

Diese Ausgabe fasst die Richtlinienkonfiguration zusammen und zeigt die Namen von verhandelten Quell- und Zieladressen, die von der Richtlinie ausgeschlossen sind.

Versionsverlaufstabelle
Release
Beschreibung
12.3X48-D15 und 17.3R1
Beginnend mit Junos OS Version 12.3X48-D15 und Junos OS Version 17.3R1, die maximale Anzahl von Richtlinien pro Kontext für SRX3400- und SRX3600-Geräte steigt von 10.240 auf 40.000 und für SRX5400, SRX5600 und SRX5800 Geräte von 10240 auf 80.000.