Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Adressbücher und Adresssätze

Ein Adressbuch ist eine Sammlung von Adressen und Adresssätzen. Adressbücher sind wie Komponenten oder Bausteine, auf die in anderen Konfigurationen, z. B. Sicherheitsrichtlinien und Sicherheitszonen, verwiesen wird. Sie können Adressen zu Adressbüchern hinzufügen oder die vordefinierten Adressen verwenden, die standardmäßig für jedes Adressbuch verfügbar sind

Ein Adressbuch innerhalb einer Zone kann aus einzelnen Adressen oder Adresssätzen bestehen. Ein Adresssatz ist ein Satz von einer oder mehreren Adressen, die in einem Adressbuch definiert sind. Mithilfe von Adresssätzen können Sie Adressen in logischen Gruppen organisieren. Adresssätze sind nützlich, wenn Sie in einer Sicherheitsrichtlinie, in einer Sicherheitszone oder in einer NAT-Konfiguration mehr als einmal auf eine Gruppe von Adressen verweisen müssen.

Grundlegendes zu Adressbüchern

Ein Adressbuch ist eine Sammlung von Adressen und Adresssätzen. Mit Junos OS können Sie mehrere Adressbücher konfigurieren. Sie können Adressen zu Adressbüchern hinzufügen oder die vordefinierten Adressen verwenden, die standardmäßig für jedes Adressbuch verfügbar sind.

Adressbucheinträge enthalten Adressen von Hosts und Subnetzen, deren Datenverkehr entweder zugelassen, blockiert, verschlüsselt oder benutzerauthentifiziert ist. Bei diesen Adressen kann es sich um eine beliebige Kombination aus IPv4-Adressen, IPv6-Adressen, Platzhalteradressen oder DNS-Namen (Domain Name System) handeln.

Vordefinierte Adressen

Sie können entweder Adressen erstellen oder eine der folgenden vordefinierten Adressen verwenden, die standardmäßig verfügbar sind:

  • Any—Diese Adresse stimmt mit jeder IP-Adresse überein. Wenn diese Adresse als Quell- oder Zieladresse in einer Richtlinienkonfiguration verwendet wird, stimmt sie mit der Quell- und Zieladresse eines beliebigen Pakets überein.

  • Any-ipv4– Diese Adresse stimmt mit einer beliebigen IPv4-Adresse überein.

  • Any-ipv6– Diese Adresse stimmt mit jeder IPv6-Adresse überein.

Netzwerkpräfixe in Adressbüchern

Sie können Adressen als Netzwerkpräfixe im Präfix-/Längenformat angeben. Beispielsweise ist 203.0.113.0/24 eine akzeptable Adressbuchadresse, da sie in ein Netzwerkpräfix übersetzt wird. 203.0.113.4/24 ist jedoch für ein Adressbuch nicht akzeptabel, da es die Subnetzlänge von 24 Bit überschreitet. Alles, was über die Subnetzlänge hinausgeht, muss als 0 (Null) eingegeben werden. In speziellen Szenarien können Sie einen Hostnamen eingeben, da er die volle Adresslänge von 32 Bit verwenden kann.

Ein IPv6-Adresspräfix ist eine Kombination aus einem IPv6-Präfix (Adresse) und einer Präfixlänge. Das Präfix hat die Form ipv6-prefix/prefix-length und stellt einen Adressraumblock (oder ein Netzwerk) dar. Die Variable ipv6-prefix folgt den allgemeinen IPv6-Adressierungsregeln. Die /prefix-length-Variable ist ein Dezimalwert, der die Anzahl der zusammenhängenden Bits höherer Ordnung der Adresse angibt, aus denen der Netzwerkteil der Adresse besteht. Beispielsweise ist 2001:db8::/32 ein mögliches IPv6-Präfix. Weitere Informationen zur Textdarstellung von IPv6-Adressen und Adresspräfixen finden Sie unter RFC 4291, IP Version 6 Addressing Architecture.

Platzhalteradressen in Adressbüchern

Neben IP-Adressen und Domänennamen können Sie in einem Adressbuch auch eine Platzhalteradresse angeben. Eine Platzhalteradresse wird als A.B.C.D/Platzhalter-Maske dargestellt. Die Platzhaltermaske bestimmt, welches der Bits in der IP-Adresse A.B.C.D. ignoriert werden soll. Beispielsweise impliziert die Quell-IP-Adresse 192.168.0.11/255.255.0.255 in einer Sicherheitsrichtlinie, dass die Übereinstimmungskriterien der Sicherheitsrichtlinie das dritte Oktett in der IP-Adresse verwerfen können (symbolisch dargestellt als 192.168.*.11). Daher entsprechen Pakete mit Quell-IP-Adressen wie 192.168.1.11 und 192.168.22.11 den Übereinstimmungskriterien. Pakete mit Quell-IP-Adressen wie 192.168.0.1 und 192.168.1.21 erfüllen jedoch nicht die Übereinstimmungskriterien.

Die Verwendung von Platzhalteradressen ist nicht nur auf vollständige Oktette beschränkt. Sie können eine beliebige Platzhalteradresse konfigurieren. Die Platzhalteradresse 192.168.7.1/255.255.7.255 impliziert beispielsweise, dass Sie nur die ersten 5 Bits des dritten Oktetts der Platzhalteradresse ignorieren müssen, während Sie die Richtlinienübereinstimmung herstellen. Wenn die Verwendung der Platzhalteradresse nur auf vollständige Oktette beschränkt ist, sind Platzhaltermasken mit entweder 0 oder 255 in jedem der vier Oktette zulässig.

DNS-Namen in Adressbüchern

Standardmäßig können Sie IPv4- und IPv6-Adressen für ein DNS auflösen. Wenn IPv4- oder IPv6-Adressen angegeben sind, können Sie nur diese Adressen auflösen, indem Sie die Schlüsselwörter ipv4-only bzw. ipv6-only verwenden.

Bei SRX5400-, SRX5600- und SRX5800-Geräten sowie vSRX Virtual Firewall-Instanzen, beginnend mit Junos OS 15.1X49-D60, kann der Verwaltungsdatenverkehr von einer bestimmten Quelladresse für DNS-Namen (Domain Name System) stammen.

Beachten Sie Folgendes, wenn Sie die Quelladresse für DNS konfigurieren:

  • Für jeden DNS-Servernamen kann nur eine Quelladresse als Quelladresse konfiguriert werden.

  • IPv6-Quelladressen werden für IPv6-DNS-Server unterstützt, und nur IPv4-Adressen werden für IPv4-Server unterstützt. Es ist nicht möglich, eine IPv4-Adresse für einen IPv6-DNS-Server oder eine IPv6-Adresse für einen IPv4-DNS-Server zu konfigurieren.

Damit der gesamte Verwaltungsdatenverkehr von einer bestimmten Quelladresse stammt, konfigurieren Sie den Systemnamenserver und die Quelladresse. Zum Beispiel:

Bevor Sie Domänennamen für Adresseinträge verwenden können, müssen Sie das Sicherheitsgerät für DNS-Dienste konfigurieren. Weitere Informationen zu DNS finden Sie unter DNS-Übersicht.

Grundlegendes zu globalen Adressbüchern

Ein Adressbuch mit dem Namen "global" ist immer auf Ihrem System vorhanden. Ähnlich wie andere Adressbücher kann das globale Adressbuch eine beliebige Kombination aus IPv4-Adressen, IPv6-Adressen, Platzhalteradressen oder DNS-Namen (Domain Name System) enthalten.

Sie können Adressen im globalen Adressbuch erstellen oder die vordefinierten Adressen (any, any-ipv4 und any-ipv6) verwenden. Um die Adressen im globalen Adressbuch zu verwenden, müssen Sie die Sicherheitszonen jedoch nicht anfügen. Das globale Adressbuch ist für alle Sicherheitszonen verfügbar, denen keine Adressbücher zugeordnet sind.

Globale Adressbücher werden in den folgenden Fällen verwendet:

  • NAT-Konfigurationen: NAT-Regeln können nur Adressobjekte aus dem globalen Adressbuch verwenden. Sie können keine Adressen aus zonenbasierten Adressbüchern verwenden.

  • Globale Richtlinien: Adressen, die in einer globalen Richtlinie verwendet werden, müssen im globalen Adressbuch definiert werden. Globale Adressbuchobjekte gehören keiner bestimmten Zone an.

Grundlegendes zu Adresssätzen

Ein Adressbuch kann auf eine große Anzahl von Adressen anwachsen und schwierig zu verwalten sein. Sie können Gruppen von Adressen erstellen, die als Adressgruppen bezeichnet werden, um große Adressbücher zu verwalten. Mithilfe von Adresssätzen können Sie Adressen in logischen Gruppen organisieren und diese verwenden, um auf einfache Weise andere Funktionen wie Richtlinien und NAT-Regeln zu konfigurieren.

Der vordefinierte Adresssatz, anyder sowohl als auch any-ipv4 any-ipv6 Adressen enthält, wird automatisch für jede Sicherheitszone erstellt.

Sie können Adressgruppen mit vorhandenen Benutzern erstellen oder leere Adressgruppen erstellen und diese später mit Benutzern füllen. Beim Erstellen von Adresssätzen können Sie IPv4- und IPv6-Adressen kombinieren, die Adressen müssen sich jedoch in derselben Sicherheitszone befinden.

Sie können auch einen Adresssatz innerhalb eines Adresssatzes erstellen. Auf diese Weise können Sie Richtlinien effektiver anwenden. Wenn Sie z. B. eine Richtlinie auf zwei Adresssätze set1 anwenden möchten und set2anstelle von zwei Anweisungen nur eine Anweisung verwenden können, um die Richtlinie auf einen neuen Adresssatz anzuwenden, set3, der Adresssätze set1 und set2.

Wenn Sie Adressen zu Richtlinien hinzufügen, kann manchmal dieselbe Teilmenge von Adressen in mehreren Richtlinien vorhanden sein, was es schwierig macht, zu verwalten, wie sich Richtlinien auf die einzelnen Adresseinträge auswirken. Verweisen Sie in einer Richtlinie auf einen Adresssatzeintrag, z. B. auf einen einzelnen Adressbucheintrag, damit Sie eine kleine Anzahl von Adresssätzen verwalten können, anstatt eine große Anzahl einzelner Adresseinträge zu verwalten.

Konfigurieren von Adressen und Adressgruppen

Sie können Adressen und Adressgruppen in einem Adressbuch definieren und diese dann bei der Konfiguration verschiedener Funktionen verwenden. Sie können auch vordefinierte Adressen anyverwenden, any-ipv4any-ipv6 und , die standardmäßig verfügbar sind. Es ist jedoch nicht möglich, die vordefinierte Adresse any zu einem Adressbuch hinzuzufügen.

Nachdem Adressbücher und -sätze konfiguriert wurden, werden sie bei der Konfiguration verschiedener Features verwendet, z. B. Sicherheitsrichtlinien, Sicherheitszonen und NAT.

Adressen und Adresssätze

Sie können IPv4-Adressen, IPv6-Adressen, Platzhalteradressen oder DNS-Namen (Domain Name System) als Adresseinträge in einem Adressbuch definieren.

Das folgende Beispieladressbuch enthält book1 verschiedene Typen von Adressen und Adresssätzen. Nach der Definition können Sie diese Adressen und Adressgruppen nutzen, wenn Sie Sicherheitszonen, Richtlinien oder NAT-Regeln konfigurieren.

Beachten Sie beim Definieren von Adressen und Adressgruppen die folgenden Richtlinien:

  • Adresssätze können nur Adressnamen enthalten, die zur gleichen Sicherheitszone gehören.

  • Adressnamen anysind any-ipv4 reserviert und any-ipv6 können nicht zum Anlegen von Adressen verwendet werden.

  • Adressen und Adresssätze in derselben Zone müssen unterschiedliche Namen haben.

  • Adressnamen dürfen nicht mit Adresssatznamen identisch sein. Wenn Sie z. B. eine Adresse mit dem Namen add1konfigurieren, legen Sie den Adresssatz nicht mit dem Namen add1.

  • Wenn Sie einen einzelnen Adressbucheintrag aus dem Adressbuch löschen, müssen Sie die Adresse (wo auch immer sie referenziert wird) aus allen Adresssätzen entfernen. Andernfalls verursacht das System einen Commit-Fehler.

Adressbücher und Sicherheitszonen

Eine Sicherheitszone ist eine logische Gruppe von Schnittstellen mit identischen Sicherheitsanforderungen. Sie hängen Sicherheitszonen an Adressbücher an, die Einträge für die adressierbaren Netzwerke und Endhosts (und damit Benutzer) enthalten, die zur Zone gehören.

Eine Zone kann zwei Adressbücher gleichzeitig verwenden: das globale Adressbuch und das Adressbuch, dem die Zone zugeordnet ist. Wenn eine Sicherheitszone keinem Adressbuch zugeordnet ist, wird automatisch das globale Adressbuch verwendet. Wenn also eine Sicherheitszone an ein Adressbuch angehängt ist, sucht das System nach Adressen aus diesem angehängten Adressbuch. Andernfalls sucht das System Adressen aus dem globalen Standardadressbuch. Das globale Adressbuch ist standardmäßig für alle Sicherheitszonen verfügbar. Sie müssen keine Zonen an das globale Adressbuch anfügen.

Die folgenden Richtlinien gelten beim Anfügen von Sicherheitszonen an Adressbücher:

  • Adressen, die einer Sicherheitszone zugeordnet sind, entsprechen den Sicherheitsanforderungen der Zone.

  • Das Adressbuch, das Sie an eine Sicherheitszone anfügen, muss alle IP-Adressen enthalten, die innerhalb dieser Zone erreichbar sind.

  • Wenn Sie Richtlinien zwischen zwei Zonen konfigurieren, müssen Sie die Adressen für die einzelnen Adressbücher der Zone definieren.

  • Adressen in einem benutzerdefinierten Adressbuch haben eine höhere Nachschlagepriorität als Adressen im globalen Adressbuch. Daher durchsucht das System für eine Sicherheitszone, die an ein benutzerdefiniertes Adressbuch angehängt ist, zuerst das benutzerdefinierte Adressbuch. Wenn keine Adresse gefunden wird, wird das globale Adressbuch durchsucht.

Adressbücher und Sicherheitsrichtlinien

Adressen und Adressgruppen werden beim Angeben der Übereinstimmungskriterien für eine Richtlinie verwendet. Bevor Sie Richtlinien konfigurieren können, um Datenverkehr zu und von einzelnen Hosts und Subnetzen zuzulassen, abzulehnen oder zu tunneln, müssen Sie für sie Einträge in Adressbüchern vornehmen. Sie können verschiedene Arten von Adressen, z. B. IPv4-Adressen, IPv6-Adressen, Platzhalteradressen und DNS-Namen, als Übereinstimmungskriterien für Sicherheitsrichtlinien definieren.

Richtlinien enthalten sowohl Quell- als auch Zieladressen. Sie können auf eine Adresse oder eine Adresse, die in einer Richtlinie festgelegt ist, anhand des Namens verweisen, den Sie ihr im Adressbuch geben, das an die in der Richtlinie angegebene Zone angehängt ist.

  • Wenn Datenverkehr an eine Zone gesendet wird, werden die Zone und die Adresse, an die der Datenverkehr gesendet wird, als Zielzone und Adressübereinstimmungskriterien in Richtlinien verwendet.

  • Wenn Datenverkehr von einer Zone gesendet wird, werden die Zone und die Adresse, von der aus der Datenverkehr gesendet wird, als Quellzone und Adressübereinstimmungskriterien in Richtlinien verwendet.

Adressen, die für Sicherheitsrichtlinien verfügbar sind

Wenn Sie die Quell- und Zieladressen für eine Richtlinienregel konfigurieren, können Sie ein Fragezeichen in die CLI eingeben, um alle verfügbaren Adressen aufzulisten, aus denen Sie auswählen können.

Sie können denselben Adressnamen für verschiedene Adressen verwenden, die sich in unterschiedlichen Adressbüchern befinden. Die CLI listet jedoch nur eine dieser Adressen auf, d. h. die Adresse mit der höchsten Suchpriorität.

Angenommen, Sie konfigurieren Adressen in zwei Adressbüchern –global und book1. Zeigen Sie dann die Adressen an, die Sie als Quell- oder Zieladressen in einer Richtlinie konfigurieren können (siehe Tabelle 1).

Tabelle 1: Verfügbare Adressen, die in der CLI angezeigt werden

Konfigurierte Adressen

Adressen, die in der CLI angezeigt werden

[edit security address-book]
set global address a1 203.0.113.0/24; 
set global address a2 198.51.100.0/24;  
set global address a3 192.0.2.0/24;  
set book1 address a1 203.0.113.128/25;
[edit security policies from-zone trust to-zone untrust]
user@host# set policy p1 match set match source-address ?

Possible completions:
  [         Open a set of values
  a1        The address in address book book1
  a2        The address in address book global
  a3        The address in address book global
  any       Any IPv4 or IPv6 address
  any-ipv4  Any IPv4 address
  any-ipv6  Any IPv6 address

Die in diesem Beispiel angezeigten Adressen veranschaulichen:

  • Adressen in einem benutzerdefinierten Adressbuch haben eine höhere Nachschlagepriorität als Adressen im globalen Adressbuch.

  • Adressen in einem globalen Adressbuch haben eine höhere Priorität als die vordefinierten Adressen any, any-ipv4und any-ipv6.

  • Wenn derselbe Adressname für zwei oder mehr verschiedene Adressen konfiguriert ist, ist nur die Adresse mit der höchsten Priorität verfügbar, basierend auf der Adresssuche. In diesem Beispiel zeigt die CLI die Adresse a1 von book1 (203.0.113.128/25) an, da diese Adresse eine höhere Suchpriorität als die globale Adresse a1 (203.0.113.0/24) hat.

Anwenden von Richtlinien auf Adressgruppen

Wenn Sie einen Adresssatz in Richtlinien angeben, wendet Junos OS die Richtlinien automatisch auf jedes Adresssatzmitglied an, sodass Sie sie nicht einzeln für jede Adresse erstellen müssen. Wenn in einer Richtlinie auf einen Adresssatz verwiesen wird, kann der Adresssatz nicht entfernt werden, ohne seinen Verweis in der Richtlinie zu entfernen. Es kann jedoch bearbeitet werden.

Hinweis:

Beachten Sie, dass das System für jeden Adresssatz individuelle Regeln für seine Mitglieder erstellt. Es erstellt eine interne Regel für jedes Mitglied in der Gruppe sowie für jeden Dienst, der für jeden Benutzer konfiguriert ist. Wenn Sie Adressbücher konfigurieren, ohne dies zu berücksichtigen, können Sie die Anzahl der verfügbaren Richtlinienressourcen überschreiten, insbesondere wenn sowohl die Quell- als auch die Zieladresse Adressgruppen sind und es sich bei dem angegebenen Dienst um eine Dienstgruppe handelt.

Abbildung 1 zeigt, wie Richtlinien auf Adresssätze angewendet werden.

Abbildung 1: Anwenden von Richtlinien auf Adressgruppen Applying Policies to Address Sets

Einschränkungen von Adressen und Adresssätzen in einer Sicherheitsrichtlinie

Bei Firewalls der SRX-Serie kann eine Richtlinie auf mehrere Adresssätze, mehrere Adresseinträge oder beides verweisen. Ein Adresssatz kann auf maximal 16384 Adresseinträge und maximal 256 Adresssätze verweisen.

Die Anzahl der Adressobjekte, auf die eine Richtlinie verweisen kann, ist begrenzt. Die maximale Anzahl von Adressobjekten pro Richtlinie ist für verschiedene Plattformen unterschiedlich, wie in Tabelle 2 dargestellt.

Weitere Informationen zur maximalen Anzahl von Richtlinien pro Kontext für Firewalls der SRX-Serie finden Sie unter Best Practices for Defining Policies on SRX Series Devices on SRX Series Devices (Best Practices für die Definition von Richtlinien auf Geräten der SRX-Serie ).

Tabelle 2: Adressobjekte pro Sicherheitsrichtlinie

Geräte der SRX-Serie

Adressobjekte

SRX300SRX320

2048

SRX340

2048

SRX345

2048

SRX380

2048

SRX550M

2048

SRX1500

4096

SRX4100

4096

SRX4200

4096

SRX4600

4096

SRX5400 SRX5600 SRX5800

16384

Jeder IPv6-Adresseintrag entspricht einem Adressobjekt pro Richtlinie. Beispiel: Um ein SRX345-Gerät mit einer Beschränkung von 2048 Adressobjekten pro Richtlinie zu konfigurieren, können Sie 2040 IPv4-Einträge und 8 IPv6-Einträge (2040 + 8 = 2048) konfigurieren und die Konfiguration bestätigen.

Wenn Sie 2040 IPv4-Adresseinträge und 9 IPv6-Adresseinträge konfigurieren (2040+9 = 2049), erhalten Sie die folgende Fehlermeldung, wenn Sie versuchen, die Konfiguration zu bestätigen:

"Error exceeding maximum limit of source addresses per policy (2048)"

Verwenden von Adressen und Adresssätzen in der NAT-Konfiguration

Nachdem Sie Adressen in Adressbüchern definiert haben, können Sie sie in den Quell-, Ziel- oder statischen NAT-Regeln angeben. Es ist einfacher, aussagekräftige Adressnamen anstelle von IP-Präfixen als Quell- und Zieladressen in der NAT-Regelkonfiguration anzugeben. Anstatt z. B. 10.208.16.0/22 als Quelladresse anzugeben, können Sie eine Adresse namens local angeben, die die Adresse 10.208.16.0/22 enthält.

Sie können Adresssätze auch in NAT-Regeln angeben, sodass Sie mehrere Adressen innerhalb eines Adresssatzes hinzufügen und somit eine kleine Anzahl von Adresssätzen verwalten können, anstatt eine große Anzahl einzelner Adresseinträge zu verwalten. Wenn Sie einen Adresssatz in einer NAT-Regel angeben, wendet Junos OS die Regel automatisch auf jedes Adresssatzmitglied an, sodass Sie nicht jede Adresse einzeln angeben müssen.

Hinweis:

Die folgenden Adress- und Adresssatztypen werden in NAT-Regeln nicht unterstützt: Platzhalteradressen, DNS-Namen und eine Kombination aus IPv4- und IPv6-Adressen.

Befolgen Sie beim Konfigurieren von Adressbüchern mit NAT die folgenden Richtlinien:

  • In einer NAT-Regel können Sie nur Adressen aus einem globalen Adressbuch angeben. Benutzerdefinierte Adressbücher werden mit NAT nicht unterstützt.

  • Sie können einen Adresssatz als Quelladressnamen in einer Quell-NAT-Regel konfigurieren. Es ist jedoch nicht möglich, einen Adresssatz als Zieladressnamen in einer Ziel-NAT-Regel zu konfigurieren.

    Die folgenden NAT-Beispielanweisungen zeigen die Adress- und Adresssatztypen, die von Quell- und Ziel-NAT-Regeln unterstützt werden:

  • In einer statischen NAT-Regel können Sie einen Adresssatz nicht als Quell- oder Zieladressnamen konfigurieren. Die folgenden NAT-Beispielanweisungen zeigen die Adresstypen, die von statischen NAT-Regeln unterstützt werden:

Beispiel: Konfigurieren von Adressbüchern und Adressgruppen

In diesem Beispiel wird gezeigt, wie Adressen und Adressgruppen in Adressbüchern konfiguriert werden. Außerdem wird gezeigt, wie Adressbücher an Sicherheitszonen angehängt werden.

Anforderungen

Bevor Sie beginnen:

  • Konfigurieren Sie die Sicherheitsgeräte von Juniper Networks für die Netzwerkkommunikation.

  • Konfigurieren Sie Netzwerkschnittstellen auf Server- und Mitgliedsgeräten. Weitere Informationen finden Sie im Schnittstellen-Benutzerhandbuch für Sicherheitsgeräte.

  • Konfigurieren Sie DNS-Dienste (Domain Name System). Weitere Informationen zu DNS finden Sie unter DNS-Übersicht.

Übersicht

In diesem Beispiel konfigurieren Sie ein Adressbuch mit Adressen und Adressgruppen (siehe Abbildung 2), um die Konfiguration des Unternehmensnetzwerks zu vereinfachen. Sie erstellen ein Adressbuch mit dem Namen Eng-dept und fügen Adressen von Mitgliedern aus der Engineering-Abteilung hinzu. Sie erstellen ein weiteres Adressbuch mit dem Namen Web und fügen ihm einen DNS-Namen hinzu. Anschließend fügen Sie eine Sicherheitszonenvertrauensstellung an das Eng-dept Adressbuch und eine Sicherheitszonen-Unvertrauensstellung an das Web Adressbuch an. Außerdem legen Sie Adressgruppen an, um Software- und Hardwareadressen in der Abteilung Engineering zu gruppieren. Sie planen, diese Adressen in Ihren zukünftigen Richtlinienkonfigurationen als Quell- und Zieladressen zu verwenden.

Darüber hinaus fügen Sie dem globalen Adressbuch eine Adresse hinzu, die für jede Sicherheitszone verfügbar ist, der kein Adressbuch zugeordnet ist.

Abbildung 2: Konfigurieren von Adressen und Adressgruppen Configuring Addresses and Address Sets

Topologie

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch .

So konfigurieren Sie Adressen und Adressgruppen:

  1. Konfigurieren Sie Ethernet-Schnittstellen und weisen Sie ihnen IPv4-Adressen zu.

  2. Erstellen Sie Sicherheitszonen und weisen Sie ihnen Schnittstellen zu.

  3. Erstellen Sie ein Adressbuch und definieren Sie darin Adressen.

  4. Erstellen Sie Adresssätze.

  5. Hängen Sie das Adressbuch an eine Sicherheitszone an.

  6. Erstellen Sie ein weiteres Adressbuch, und fügen Sie es einer Sicherheitszone zu.

  7. Definieren Sie eine Adresse im globalen Adressbuch.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die show security zones Befehle und show security address-book eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der Adressbuchkonfiguration

Zweck

Zeigen Sie Informationen zu konfigurierten Adressbüchern und Adressen an.

Aktion

Geben Sie im Konfigurationsmodus den show security address-book Befehl ein.

Überprüfen der Konfiguration des globalen Adressbuchs

Zweck

Zeigen Sie Informationen zu konfigurierten Adressen im globalen Adressbuch an.

Aktion

Geben Sie im Konfigurationsmodus den show security address-book global Befehl ein.

Ausschließen von Adressen aus Richtlinien

Junos OS ermöglicht es Benutzern, einer Richtlinie eine beliebige Anzahl von Quell- und Zieladressen hinzuzufügen. Wenn Sie bestimmte Adressen von einer Richtlinie ausschließen müssen, können Sie sie als negierte Adressen konfigurieren. Wenn eine Adresse als negierte Adresse konfiguriert ist, wird sie von einer Richtlinie ausgeschlossen. Sie können jedoch die folgenden IP-Adressen nicht von einer Richtlinie ausschließen:

  • Platzhalter

  • IPv6

  • jegliche

  • Beliebiges IPv4

  • Beliebiges IPv6

  • 0.0.0.0

Wenn ein Adressbereich oder eine einzelne Adresse negiert wird, kann sie in mehrere Adressen aufgeteilt werden. Diese negierten Adressen werden als Präfix oder Länge angezeigt, die mehr Arbeitsspeicher für die Speicherung in einer Paketweiterleitungs-Engine benötigt.

Jede Plattform verfügt über eine begrenzte Anzahl von Richtlinien mit negierten Adressen. Eine Richtlinie kann 10 Quell- oder Zieladressen enthalten. Die Kapazität der Richtlinie hängt von der maximalen Anzahl von Richtlinien ab, die von der Plattform unterstützt werden.

Bevor Sie eine negierte Quelladresse, eine Zieladresse oder beides konfigurieren, führen Sie die folgenden Aufgaben aus:

  1. Erstellen Sie ein Quell-, Ziel- oder beides-Adressbuch.

  2. Erstellen Sie Adressnamen, und weisen Sie den Adressnamen Quell- und Zieladressen zu.

  3. Erstellen Sie Adresssätze, um Quell-, Ziel- oder beide Adressnamen zu gruppieren.

  4. Hängen Sie Quell- und Zieladressbücher an Sicherheitszonen an. Fügen Sie z. B. das Quelladressbuch an die From-Zone-Vertrauensstellung und das Zieladressbuch an die To-Zone-Vertrauensstellung an.

  5. Geben Sie die Übereinstimmungsquelle, das Ziel oder beide Adressnamen an.

  6. Führen Sie die Befehle "source-address-excluded", "destination-address excluded" oder beide Befehle aus. Eine Quell-, Ziel- oder beide Adressen, die im Quell-, Ziel- oder beiden Adressbuch hinzugefügt werden, werden von der Richtlinie ausgeschlossen.

Hinweis:

Das globale Adressbuch muss keiner Sicherheitszone zugeordnet werden.

Beispiel: Ausschließen von Adressen aus Richtlinien

In diesem Beispiel wird gezeigt, wie negierte Quell- und Zieladressen konfiguriert werden. Außerdem wird gezeigt, wie Adressbücher und Adressgruppen konfiguriert werden.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Eine Firewall der SRX-Serie

  • Einen PC

  • Junos OS Version 12.1X45-D10

Bevor Sie beginnen, konfigurieren Sie Adressbücher und Adressgruppen. Siehe Beispiel: Konfigurieren von Adressbüchern und Adressgruppen.

Übersicht

In diesem Beispiel erstellen Sie Quell- und Zieladressbücher, SOUR-ADDR und DES-ADDR, und fügen ihnen Quell- und Zieladressen hinzu. Sie erstellen Quell- und Zieladressgruppen as1 und as2 und gruppieren Quell- und Zieladressen zu ihnen. Anschließend fügen Sie das Quelladressbuch an die Vertrauensstellung der Sicherheitszone und das Zieladressbuch an die nicht vertrauenswürdige Sicherheitszone an.

Sie erstellen Sicherheitszonen mit Zonenvertrauen und nicht vertrauenswürdigen Zonen in Zonen. Sie geben den Richtliniennamen auf p1 an, und dann legen Sie den Namen der Übereinstimmungsquelladresse auf as1 und die Zieladresse der Übereinstimmung auf as2 fest. Sie geben die Befehle source -address-excluded und destination -address-excluded an, um Quell- und Zieladressen auszuschließen, die in der Richtlinie p1 konfiguriert sind. Schließlich legen Sie die Richtlinie p1 so fest, dass Datenverkehr von Zonenvertrauen zu nicht vertrauenswürdigem Datenverkehr zugelassen wird.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch .

So konfigurieren Sie negierte Adressen:

  1. Erstellen Sie ein Quelladressbuch und Adressnamen. Fügen Sie die Quelladressen dem Adressbuch hinzu.

  2. Erstellen Sie einen Adresssatz, um Quelladressnamen zu gruppieren.

  3. Fügen Sie das Quelladressbuch an die Sicherheitszone an.

  4. Erstellen Sie ein Zieladressbuch und Adressnamen. Fügen Sie die Zieladressen zum Adressbuch hinzu.

  5. Erstellen Sie einen weiteren Adresssatz, um Zieladressnamen zu gruppieren.

  6. Hängen Sie das Zieladressbuch an die Sicherheitszone an.

  7. Geben Sie den Richtliniennamen und die Quelladresse an.

  8. Schließen Sie Quelladressen von der Richtlinie aus.

  9. Geben Sie die Zieladresse an.

  10. Schließen Sie Zieladressen von der Richtlinie aus.

  11. Konfigurieren Sie die Anwendung für die Sicherheitsrichtlinie.

  12. Lassen Sie den Datenverkehr von der Zonenvertrauensstellung zur nicht vertrauenswürdigen Zone zu.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show security policies Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der Richtlinienkonfiguration

Zweck

Überprüfen Sie, ob die Richtlinienkonfiguration korrekt ist.

Aktion

Geben Sie im Betriebsmodus den show security policies policy-name p1 Befehl ein.

Diese Ausgabe fasst die Richtlinienkonfiguration zusammen.

Überprüfen der Richtlinienkonfigurationsdetails

Zweck

Stellen Sie sicher, dass die Richtlinie und die negierten Quell- und Zieladresskonfigurationen korrekt sind.

Aktion

Geben Sie im Betriebsmodus den show security policies policy-name p1 detail Befehl ein.

Diese Ausgabe fasst die Richtlinienkonfiguration zusammen und zeigt die Namen der negierten Quell- und Zieladressen an, die von der Richtlinie ausgeschlossen sind.