Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Interfaces de couche 2 sur les équipements de sécurité

Comprendre les interfaces de couche 2 sur les équipements de sécurité

Les interfaces logiques de couche 2 sont créées en définissant une ou plusieurs unités logiques sur une interface physique avec le type ethernet-switchingd’adresse de la famille . Si une interface physique dispose d’une ethernet-switchinginterface logique familiale, elle ne peut pas avoir d’autre type de famille dans ses interfaces logiques. Une interface logique peut être configurée dans l’un des modes suivants :

  • Mode d’accès : l’interface accepte les paquets non décalés, affecte l’identificateur VLAN spécifié au paquet et transfère le paquet au sein du VLAN configuré avec l’identifiant VLAN correspondant.

  • Mode d’agrégation : l’interface accepte tout paquet balisé avec un identifiant VLAN correspondant à une liste spécifiée d’identifiants VLAN. Les interfaces du mode trunk sont généralement utilisées pour interconnecter les commutateurs. Pour configurer un identifiant VLAN pour les paquets non marqués reçus sur l’interface physique, utilisez l’option native-vlan-id . Si l’option native-vlan-id n’est pas configurée, des paquets non marqués sont abandonnés.

Remarque :

Plusieurs interfaces logiques en mode trunk peuvent être définies, tant que les identifiants VLAN d’une interface d’agrégation ne se chevauchent pas avec ceux d’une autre interface d’agrégation. Il native-vlan-id doit faire partie d’une liste d’identifiants VLAN configurée pour une interface d’agrégation.

Exemple : Configuration des interfaces logiques de couche 2 sur les équipements de sécurité

Cet exemple montre comment configurer une interface logique de couche 2 en tant que port d’agrégation afin de rediriger les paquets entrants vers un pare-feu ou un autre équipement de sécurité.

Conditions préalables

Avant de commencer, configurez les VLAN. Voir l’exemple : Configuration des VLAN sur les équipements de sécurité.

Présentation

Dans cet exemple, vous configurez l’interface logique ge-3/0/0.0 en tant que port d’agrégation qui transporte le trafic pour les paquets balisés avec les identifiants VLAN 1 à 10 ; cette interface est implicitement attribuée aux VLAN vlan-a et vlan-b précédemment configurés. Vous attribuez ensuite un ID VLAN de 10 à tous les paquets non marqués reçus sur l’interface physique ge-3/0/0.

Configuration

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer une interface logique de couche 2 en tant que port d’agrégation :

  1. Configurez l’interface logique.

  2. Indiquez un ID VLAN pour les paquets non marqués.

  3. Si vous avez terminé la configuration de l’unité, validez la configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, saisissez les show interfaces ge-3/0/0 commandes.show interfaces ge-3/0/0.0

Comprendre le mode mixte (transparent et mode de routage) sur les équipements de sécurité

Le mode mixte prend en charge à la fois le mode transparent (couche 2) et le mode de routage (couche 3) ; il s’agit du mode par défaut. Vous pouvez configurer simultanément des interfaces de couches 2 et 3 à l’aide de zones de sécurité distinctes.

Remarque :

Pour la configuration en mode mixte, vous devez redémarrer l’unité après avoir valider les modifications. Toutefois, pour les équipements de la gamme SRX5000, le redémarrage n’est pas nécessaire.

Les équipements SRX4100 et SRX4200 prennent en charge le système logique en mode transparent et en mode de routage

L’équipement SRX4600 prend en charge le système logique en mode de routage uniquement

En mode mixte (transparent et mode de routage) :

  • Il n’existe aucun routage entre les interfaces IRB et entre les interfaces IRB et les interfaces de couche 3.

L’équipement se Figure 1 présente sous la apparence de deux équipements distincts. Un équipement s’exécute en mode transparent de couche 2 et l’autre en mode routage de couche 3. Mais les deux appareils fonctionnent indépendamment. Les paquets ne peuvent pas être transférés entre les interfaces de couche 2 et de couche 3, car il n’y a pas de routage entre les interfaces IRB et entre les interfaces IRB et les interfaces de couche 3.

Figure 1 : Architecture des modes mixtes transparents et de routageArchitecture des modes mixtes transparents et de routage

En mode mixte, l’interface physique Ethernet peut être une interface de couche 2 ou une interface de couche 3, mais l’interface physique Ethernet ne peut pas être simultanément. Toutefois, les familles de couches 2 et 3 peuvent exister sur des interfaces physiques distinctes sur le même équipement.

Tableau 1 répertorie les types d’interfaces physiques Ethernet et les types de famille pris en charge.

Tableau 1 : Interface physique Ethernet et types de familles pris en charge

Type d’interface physique Ethernet

Type de famille pris en charge

Interface de couche 2

ethernet-switching

Interface de couche 3

inet Et inet6

Remarque :

Plusieurs instances de routage sont prises en charge.

Vous pouvez configurer la pseudointerface irb.x et l’interface de couche 3 sous la même instance de routage par défaut en utilisant une instance de routage par défaut ou une instance de routage définie par l’utilisateur. Voir Figure 2.

Figure 2 : Mode de routage et transparent mixteMode de routage et transparent mixte

Les paquets provenant de l’interface de couche 2 sont commutés au sein du même VLAN ou se connectent à l’hôte via l’interface IRB. Les paquets ne peuvent pas être acheminés vers une autre interface IRB ou une interface de couche 3 par le biais de leur propre interface IRB.

Les paquets de l’interface de couche 3 sont acheminés vers une autre interface de couche 3. Les paquets ne peuvent pas être acheminés vers une interface de couche 2 via une interface IRB.

Tableau 2 répertorie les fonctionnalités de sécurité prises en charge en mode mixte et les fonctionnalités qui ne sont pas prises en charge en mode transparent pour la commutation de couche 2.

Tableau 2 : Fonctionnalités de sécurité prises en charge en mode mixte (mode transparent et mode de routage)

Mode Type

Soutenu

Non pris en charge

Mode mixte

  • Passerelles de couche applicative (ALG)

  • Authentification des utilisateurs du pare-feu (FWAUTH)

  • Détection et prévention des intrusions (IDP)

  • Écran

  • AppSecure

  • Gestion des menaces unifiée (UTM)

Mode de routage (interface de couche 3)

  • traduction des adresses réseau (NAT)

  • VPN

Mode transparent (interface de couche 2)

  • Gestion des menaces unifiée (UTM)

  • traduction des adresses réseau (NAT)

  • VPN

Depuis Junos OS version 12.3X48-D10 et Junos OS version 17.3R1, certaines conditions s’appliquent aux opérations en mode mixte. Notez les conditions ici :

  • Sur LES SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550HM et SRX1500, vous ne pouvez pas configurer la commutation Ethernet et le service DEN privé virtuel (VPLS) en mode mixte (couches 2 et 3).

  • Sur les équipements SRX5400, SRX5600 et SRX5800, vous n’avez pas à redémarrer l’équipement lorsque vous configurez le VLAN.

Exemple : Amélioration des services de sécurité en configurant un équipement SRX Series en mode mixte (mode transparent et mode de routage)

Vous pouvez configurer simultanément un équipement SRX Series en mode transparent (couche 2) et en mode de routage (couche 3) pour simplifier les déploiements et améliorer les services de sécurité.

Cet exemple montre comment transférer le trafic de couche 2 de l’interface ge-0/0/1.0 à l’interface ge-0/0/0.0 et le trafic de couche 3 de l’interface ge-0/0/2.0 à l’interface ge-0/0/3.0.

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Un équipement SRX Series

  • Quatre PC

Avant de commencer :

Présentation

Dans les entreprises où différents groupes d’entreprises disposent de solutions de sécurité basées sur les couches 2 ou 3, l’utilisation d’une configuration en mode mixte unique simplifie leurs déploiements. Dans une configuration en mode mixte, vous pouvez également fournir des services de sécurité avec commutation et routage intégrés.

En outre, vous pouvez configurer un équipement SRX Series en mode cluster autonome et en mode cluster sur châssis en mode mixte.

En mode mixte (mode par défaut), vous pouvez configurer simultanément les interfaces de couche 2 et 3 à l’aide de zones de sécurité distinctes.

Remarque :

Pour la configuration en mode mixte, vous devez redémarrer l’unité après avoir valider les modifications. Toutefois, pour les équipements de la gamme SRX5000, le redémarrage n’est pas nécessaire.

Dans cet exemple, vous configurez d’abord un type de famille de couche 2 appelé commutation Ethernet pour identifier les interfaces de couche 2. Vous définissez l’adresse IP 10.10.10.1/24 sur l’interface IRB. Vous créez ensuite la zone L2 et ajoutez des interfaces de couche 2 ge-0/0/1.0 et ge-0/0/0.0.

Ensuite, vous configurez un ensemble de types de famille de couche 3 afin d’identifier les interfaces de couche 3. Vous définissez l’adresse IP 192.0.2.1/24 sur l’interface ge-0/0/2.0 et l’adresse IP 192.0.2.3/24 sur l’interface ge-0/0/3. Vous créez ensuite la zone L3 et ajoutez des interfaces de couche 3 ge-0/0/2.0 et ge-0/0/3.0.

Topologie

Figure 3 présente une topologie en mode mixte.

Figure 3 : Topologie en mode mixteTopologie en mode mixte

Tableau 3 affiche les paramètres configurés dans cet exemple.

Tableau 3 : Paramètres des couches 2 et 3

Paramètre

Description

L2

Zone de couche 2.

ge-0/0/1.0 et ge-0/0.0

Interfaces de couche 2 ajoutées à la zone de couche 2.

L3

Zone de couche 3.

ge-0/0/2.0 et ge-0/0/3.0

Interfaces de couche 3 ajoutées à la zone de couche 3.

10.10.10.1/24

Adresse IP de l’interface IRB.

192.0.2.1/24 et 192.0.2.3/24

Adresses IP pour l’interface de couche 3.

Configuration

Procédure

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer les interfaces de couches 2 et 3 :

  1. Créez un type de famille de couche 2 pour configurer des interfaces de couche 2.

  2. Configurez les interfaces de couche 2 pour qu’elle fonctionne en mode pont transparent.

  3. Configurez une adresse IP pour l’interface IRB.

  4. Configurez les interfaces de couche 2.

  5. Configurez le VLAN.

  6. Configurez les adresses IP pour les interfaces de couche 3.

  7. Configurez la stratégie pour autoriser le trafic.

  8. Configurez les interfaces de couche 3.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show interfacescommandes , show security policieset show vlansshow security zones . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification des interfaces et zones de couches 2 et 3

But

Vérifiez que les interfaces de couche 2 et 3 et les zones de couches 2 et 3 sont créées.

Action

Dans le mode opérationnel, saisissez la show security zones commande.

Sens

Le résultat affiche les noms de zone de couche 2 (L2) et de couche 3 (L3), ainsi que le nombre et le nom des interfaces de couche 2 et 3 liées aux zones L2 et L3.

Vérification des sessions de couches 2 et 3

But

Vérifiez que les sessions de couche 2 et 3 sont établies sur l’équipement.

Action

Dans le mode opérationnel, saisissez la show security flow session commande.

Sens

Le résultat affiche les sessions actives sur l’équipement et la stratégie de sécurité associée à chaque session.

  • Session ID 1: numéro qui identifie la session de couche 2. Utilisez cet ID pour obtenir plus d’informations sur la session de couche 2, telles que le nom de la stratégie ou le nombre de paquets entrants et sortants.

  • default-policy-logical-system-00/2— Nom de stratégie par défaut autorisant le trafic de couche 2.

  • In— Flux entrant (adresses IP source et de destination de couche 2 avec leurs numéros de ports source et de destination respectifs, session ICMP et interface source pour cette session ge-0/0/0.0).

  • Out— Flux inversé (adresses IP de couche 2 source et de destination avec leurs numéros de ports source et de destination respectifs, session ICMP et interface de destination pour cette session ge-0/0/1.0).

  • Session ID 2: numéro qui identifie la session de couche 2. Utilisez cet ID pour obtenir plus d’informations sur la session de couche 2, telles que le nom de la stratégie ou le nombre de paquets entrants et sortants.

  • default-policy-logical-system-00/2— Nom de stratégie par défaut autorisant le trafic de couche 2.

  • In— Flux entrant (adresses IP source et de destination de couche 2 avec leurs numéros de ports source et de destination respectifs, session ICMP et interface source pour cette session ge-0/0/0.0,).

  • Out— Flux inversé (adresses IP de couche 2 source et de destination avec leurs numéros de ports source et de destination respectifs, session ICMP et interface de destination pour cette session ge-0/0/1.0,).

Tableau de l'historique des versions
Version
Description
12.3X48-D10
Depuis Junos OS version 12.3X48-D10 et Junos OS version 17.3R1, certaines conditions s’appliquent aux opérations en mode mixte.