ON THIS PAGE
Ejemplo Mejora de los servicios de seguridad mediante la configuración de un dispositivo serie SRX con el modo mixto (modo transparente y de enrutamiento)
Puede configurar un dispositivo serie SRX utilizando simultáneamente el modo transparente (capa 2) y el modo Route (capa 3) para simplificar las implementaciones y mejorar los servicios de seguridad.
Este ejemplo muestra cómo pasar el tráfico de capa 2 desde la interfaz GE-0/0/1.0 a la interfaz GE-0/0/0.0 y el tráfico de capa 3 desde la interfaz GE-0/0/2.0 a interface GE-0/0/3.0.
Aplicables
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un dispositivo serie SRX
Cuatro equipos
Antes de empezar:
Cree una zona de seguridad independiente para las interfaces de la capa 2 y la capa 3. Consulte Understanding Layer 2 Security Zones.
Descripción general
En las empresas donde distintos grupos empresariales tienen soluciones de seguridad basadas en la capa 2 o en la capa 3, el uso de una sola configuración en modo mixto simplifica sus implementaciones. En una configuración de modo mixto, también puede proporcionar servicios de seguridad con conmutación y enrutamiento integrados.
Además, puede configurar un dispositivo serie SRX tanto en el modo de clúster independiente como en el de chasis con el modo mixto.
En el modo mixto (modo predeterminado), puede configurar interfaces de capa 2 y capa 3 simultáneamente mediante zonas de seguridad separadas.
Para la configuración en modo mixto, debe reiniciar el dispositivo después de confirmar los cambios. Sin embargo, para los dispositivos de línea de SRX5000 no es necesario reiniciar el reinicio.
En este ejemplo, primero configure un tipo de familia de capa 2 llamado conmutación Ethernet para identificar las interfaces de capa 2. Configure la dirección IP 10.10.10.1/24 en la interfaz IRB. A continuación, debe crear la zona L2 y agregar interfaces de capa 2 GE-0/0/1.0 y GE-0/0/0,0 a la misma.
A continuación, configurará el tipo inet de la familia de la capa 3 para identificar las interfaces de la capa 3. Configure la dirección IP 192.0.2.1/24 con la interfaz GE-0/0/2.0 y la dirección IP 192.0.2.3/24 para interface GE-0/0/3. A continuación, creará Zone L3 y agregará interfaces de capa 3 GE-0/0/2.0 y GE-0/0/3.0 a él.
Topología
Figura 1muestra una topología de modo mixto.
Tabla 1muestra los parámetros configurados en este ejemplo.
Tabla 1: Parámetros de capa 2 y capa 3
Parámetro | Descripción |
|---|---|
L2 | Zona de capa 2. |
GE-0/0/1.0 y GE-0/0/0.0 | Interfaces de capa 2 añadidas a la zona de capa 2. |
L3 | Zona de capa 3. |
GE-0/0/2.0 y GE-0/0/3.0 | Interfaces de capa 3 agregadas a la zona de la capa 3. |
10.10.10.1/24 | Dirección IP de la interfaz IRB. |
192.0.2.1/24 y 192.0.2.3/24 | Direcciones IP para la interfaz de capa 3. |
Automática
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.
set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode access
set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members 10
set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 10
set protocols l2-learning global-mode transparent-bridge
set interfaces irb unit 10 family inet address 10.10.10.1/24 set security zones security-zone L2 interfaces ge-0/0/1.0
set security zones security-zone L2 interfaces ge-0/0/0.0
set vlans vlan-10 vlan-id 10
set vlans vlan-10 l3-interface irb.10
set interfaces ge-0/0/2 unit 0 family inet address 192.0.2.1/24
set interfaces ge-0/0/3 unit 0 family inet address 192.0.2.3/24
set security policies default-policy permit-all
set security zones security-zone L2 host-inbound-traffic system-services any-service
set security zones security-zone L2 host-inbound-traffic protocols all
set security zones security-zone L3 host-inbound-traffic system-services any-service
set security zones security-zone L3 host-inbound-traffic protocols all
set security zones security-zone L3 interfaces ge-0/0/2.0
set security zones security-zone L3 interfaces ge-0/0/3.0
Procedimiento detallado
El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía de usuario de CLI.
Para configurar interfaces de capa 2 y capa 3:
- Cree un tipo de familia de capa 2 para configurar interfaces de capa 2.[edit interfaces]user@host# set ge-0/0/0 unit 0 family ethernet-switching interface-mode accessuser@host# set ge-0/0/0 unit 0 family ethernet-switching vlan members 10user@host# set ge-0/0/1 unit 0 family ethernet-switching interface-mode accessuser@host# set ge-0/0/1 unit 0 family ethernet-switching vlan members 10
- Configure las interfaces de capa 2 para que funcionen bajo el modo de puente transparente.[edit protocols]user@host# set l2-learning global-mode transparent-bridge
- Configure una dirección IP para la interfaz IRB.[edit interfaces]user@host# set irb unit 10 family inet address 10.10.10.1/24
- Configure interfaces de capa 2.[edit security zones security-zone L2 interfaces]user@host# set ge-0/0/1.0user@host# set ge-0/0/0.0
- Configure una VLAN.[edit vlans vlan-10]user@host# set vlan-id 10user@host# set l3-interface irb.10
- Configure direcciones IP para interfaces de capa 3.[edit interfaces]user@host# set ge-0/0/2 unit 0 family inet address 192.0.2.1/24user@host# set ge-0/0/3 unit 0 family inet address 192.0.2.3/24
- Configure la Directiva para permitir el tráfico.[edit security policies]user@host# set default-policy permit-all
- Configurar interfaces de capa 3.[edit security zones security-zone]user@host# set L2 host-inbound-traffic system-services any-serviceuser@host# set L2 host-inbound-traffic protocols alluser@host# set L3 host-inbound-traffic system-services any-serviceuser@host# set L3 host-inbound-traffic protocols alluser@host# set L3 interfaces ge-0/0/2.0user@host# set L3 interfaces ge-0/0/3.0
Resultados
Desde el modo de configuración, para confirmar la configuración show interfaces, show security policiesescriba show vlanslos comandos show security zones ,, y. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.
Comproba
Confirme que la configuración funciona correctamente.
Verificación de las interfaces y zonas de la capa 2 y la capa 3
Finalidad
Compruebe que las interfaces de la capa 2 y la capa 3, y las zonas de la capa 2 y la capa 3 estén creadas.
Acción
En modo operativo, escriba el show security zones comando.
user@host> show security zones Security zone: HOST
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 0
Interfaces:
Security zone: L2
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 2
Interfaces:
ge-0/0/0.0
ge-0/0/1.0
Security zone: L3
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 2
Interfaces:
ge-0/0/2.0
ge-0/0/3.0
Security zone: junos-host
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 0
Interfaces:
Significado
El resultado muestra los nombres de las zonas de capa 2 (L2) y 3 (L3), y el número y nombres de las interfaces de capa 2 y capa 3 enlazados a las zonas L2 y L3.
Verificación de la sesión de la capa 2 y la capa 3
Finalidad
Compruebe que las sesiones de la capa 2 y la capa 3 se han establecido en el dispositivo.
Acción
En modo operativo, escriba el show security flow session comando.
user@host> show security flow session Session ID: 1, Policy name: default-policy-logical-system-00/2, Timeout: 58, Valid In: 10.102.70.75/54395 --> 228.102.70.76/9876;udp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 1209, Bytes: 1695018, Out: 228.102.70.76/9876 --> 10.102.70.75/54395;udp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 0, Bytes: 0, Session ID: 2, Policy name: default-policy-logical-system-00/2, Timeout: 58, Valid In: 10.102.70.19/23364 --> 228.102.70.20/23364;udp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 401, Bytes: 141152, Out: 228.102.70.20/23364 --> 10.102.70.19/23364;udp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 0, Bytes: 0,
Significado
El resultado muestra las sesiones activas en el dispositivo y cada’una de las políticas de seguridad asociadas a la sesión.
Session ID 1—Número que identifica la sesión de capa 2. Utilice este identificador para obtener más información acerca de la sesión de capa 2, como el nombre de la Directiva o el número de paquetes de salida.
default-policy-logical-system-00/2—Nombre predeterminado de la Directiva que permitió el tráfico de la capa 2.
In—Flujo entrante (las direcciones IP de capa de origen y de destino 2 con sus números de puerto de origen y destino respectivos, la sesión es ICMP y la interfaz de origen de esta sesión es GE-0/0/0.0).
Out—Flujo invertido (las direcciones IP de capa de origen y de destino 2 con sus números de puerto de origen y destino respectivos, la sesión es ICMP y la interfaz de destino de esta sesión es GE-0/0/1.0).
Session ID 2—Número que identifica la sesión de capa 2. Utilice este identificador para obtener más información acerca de la sesión de capa 2, como el nombre de la Directiva o el número de paquetes de salida.
default-policy-logical-system-00/2—Nombre predeterminado de la Directiva que permitió el tráfico de la capa 2.
In—Flujo entrante (las direcciones IP de capa de origen y de destino 2 con sus números de puerto de origen y destino respectivos, la sesión es ICMP y la interfaz de origen de esta sesión es GE-0/0/0.0).
Out—Flujo invertido (las direcciones IP de capa de origen y de destino 2 con sus números de puerto de origen y destino respectivos, la sesión es ICMP y la interfaz de destino de esta sesión es GE-0/0/1.0).