Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Ejemplo Mejora de los servicios de seguridad mediante la configuración de un dispositivo serie SRX con el modo mixto (modo transparente y de enrutamiento)

 

Puede configurar un dispositivo serie SRX utilizando simultáneamente el modo transparente (capa 2) y el modo Route (capa 3) para simplificar las implementaciones y mejorar los servicios de seguridad.

Este ejemplo muestra cómo pasar el tráfico de capa 2 desde la interfaz GE-0/0/1.0 a la interfaz GE-0/0/0.0 y el tráfico de capa 3 desde la interfaz GE-0/0/2.0 a interface GE-0/0/3.0.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Un dispositivo serie SRX

  • Cuatro equipos

Antes de empezar:

Descripción general

En las empresas donde distintos grupos empresariales tienen soluciones de seguridad basadas en la capa 2 o en la capa 3, el uso de una sola configuración en modo mixto simplifica sus implementaciones. En una configuración de modo mixto, también puede proporcionar servicios de seguridad con conmutación y enrutamiento integrados.

Además, puede configurar un dispositivo serie SRX tanto en el modo de clúster independiente como en el de chasis con el modo mixto.

En el modo mixto (modo predeterminado), puede configurar interfaces de capa 2 y capa 3 simultáneamente mediante zonas de seguridad separadas.

Nota

Para la configuración en modo mixto, debe reiniciar el dispositivo después de confirmar los cambios. Sin embargo, para los dispositivos de línea de SRX5000 no es necesario reiniciar el reinicio.

En este ejemplo, primero configure un tipo de familia de capa 2 llamado conmutación Ethernet para identificar las interfaces de capa 2. Configure la dirección IP 10.10.10.1/24 en la interfaz IRB. A continuación, debe crear la zona L2 y agregar interfaces de capa 2 GE-0/0/1.0 y GE-0/0/0,0 a la misma.

A continuación, configurará el tipo inet de la familia de la capa 3 para identificar las interfaces de la capa 3. Configure la dirección IP 192.0.2.1/24 con la interfaz GE-0/0/2.0 y la dirección IP 192.0.2.3/24 para interface GE-0/0/3. A continuación, creará Zone L3 y agregará interfaces de capa 3 GE-0/0/2.0 y GE-0/0/3.0 a él.

Topología

Figura 1muestra una topología de modo mixto.

Figura 1: Topología de modo mixto
Topología de modo mixto

Tabla 1muestra los parámetros configurados en este ejemplo.

Tabla 1: Parámetros de capa 2 y capa 3

Parámetro

Descripción

L2

Zona de capa 2.

GE-0/0/1.0 y GE-0/0/0.0

Interfaces de capa 2 añadidas a la zona de capa 2.

L3

Zona de capa 3.

GE-0/0/2.0 y GE-0/0/3.0

Interfaces de capa 3 agregadas a la zona de la capa 3.

10.10.10.1/24

Dirección IP de la interfaz IRB.

192.0.2.1/24 y 192.0.2.3/24

Direcciones IP para la interfaz de capa 3.

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía de usuario de CLI.

Para configurar interfaces de capa 2 y capa 3:

  1. Cree un tipo de familia de capa 2 para configurar interfaces de capa 2.
  2. Configure las interfaces de capa 2 para que funcionen bajo el modo de puente transparente.
  3. Configure una dirección IP para la interfaz IRB.
  4. Configure interfaces de capa 2.
  5. Configure una VLAN.
  6. Configure direcciones IP para interfaces de capa 3.
  7. Configure la Directiva para permitir el tráfico.
  8. Configurar interfaces de capa 3.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show security policiesescriba show vlanslos comandos show security zones ,, y. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Verificación de las interfaces y zonas de la capa 2 y la capa 3

Finalidad

Compruebe que las interfaces de la capa 2 y la capa 3, y las zonas de la capa 2 y la capa 3 estén creadas.

Acción

En modo operativo, escriba el show security zones comando.

user@host> show security zones

Significado

El resultado muestra los nombres de las zonas de capa 2 (L2) y 3 (L3), y el número y nombres de las interfaces de capa 2 y capa 3 enlazados a las zonas L2 y L3.

Verificación de la sesión de la capa 2 y la capa 3

Finalidad

Compruebe que las sesiones de la capa 2 y la capa 3 se han establecido en el dispositivo.

Acción

En modo operativo, escriba el show security flow session comando.

user@host> show security flow session

Significado

El resultado muestra las sesiones activas en el dispositivo y cada’una de las políticas de seguridad asociadas a la sesión.

  • Session ID 1—Número que identifica la sesión de capa 2. Utilice este identificador para obtener más información acerca de la sesión de capa 2, como el nombre de la Directiva o el número de paquetes de salida.

  • default-policy-logical-system-00/2—Nombre predeterminado de la Directiva que permitió el tráfico de la capa 2.

  • In—Flujo entrante (las direcciones IP de capa de origen y de destino 2 con sus números de puerto de origen y destino respectivos, la sesión es ICMP y la interfaz de origen de esta sesión es GE-0/0/0.0).

  • Out—Flujo invertido (las direcciones IP de capa de origen y de destino 2 con sus números de puerto de origen y destino respectivos, la sesión es ICMP y la interfaz de destino de esta sesión es GE-0/0/1.0).

  • Session ID 2—Número que identifica la sesión de capa 2. Utilice este identificador para obtener más información acerca de la sesión de capa 2, como el nombre de la Directiva o el número de paquetes de salida.

  • default-policy-logical-system-00/2—Nombre predeterminado de la Directiva que permitió el tráfico de la capa 2.

  • In—Flujo entrante (las direcciones IP de capa de origen y de destino 2 con sus números de puerto de origen y destino respectivos, la sesión es ICMP y la interfaz de origen de esta sesión es GE-0/0/0.0).

  • Out—Flujo invertido (las direcciones IP de capa de origen y de destino 2 con sus números de puerto de origen y destino respectivos, la sesión es ICMP y la interfaz de destino de esta sesión es GE-0/0/1.0).