Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Interfaces de couche 2 sur les équipements de sécurité

Comprendre les interfaces de couche 2 sur les équipements de sécurité

Les interfaces logiques de couche 2 sont créées en définissant une ou plusieurs unités logiques sur une interface physique avec le type ethernet-switchingd’adresse de la famille . Si une interface physique dispose d’une ethernet-switchinginterface logique familiale, elle ne peut pas avoir d’autre type de famille dans ses interfaces logiques. Une interface logique peut être configurée dans l’un des modes suivants :

  • Mode d’accès : l’interface accepte les paquets non marqués, attribue l’identifiant VLAN spécifié au paquet et transfère le paquet dans le VLAN configuré avec l’identifiant VLAN correspondant.

  • Mode trunk : l’interface accepte tout paquet marqué d’un identifiant VLAN qui correspond à une liste spécifiée d’identifiants VLAN. Les interfaces trunk mode sont généralement utilisées pour interconnecter les commutateurs. Pour configurer un identifiant VLAN pour les paquets non marqués reçus sur l’interface physique, utilisez l’option native-vlan-id . Si l’option native-vlan-id n’est pas configurée, les paquets non marqués sont supprimés.

REMARQUE :

Il est possible de définir plusieurs interfaces logiques en mode tronc, tant que les identifiants VLAN d’une interface trunk ne se chevauchent pas avec ceux d’une autre interface trunk. Le native-vlan-id doit appartenir à une liste d’identifiants VLAN configurée pour une interface de tronc.

Exemple : Configuration des interfaces logiques de couche 2 sur les équipements de sécurité

Cet exemple montre comment configurer une interface logique de couche 2 en tant que port d’agrégation afin que les paquets entrants puissent être redirigés de manière sélective vers un pare-feu ou un autre équipement de sécurité.

Conditions préalables

Avant de commencer, configurez les VLAN. Voir l’exemple : Configuration des VLAN sur les équipements de sécurité.

Présentation

Dans cet exemple, vous configurez l’interface logique ge-3/0/0.0 en tant que port trunk qui transporte le trafic pour les paquets marqués d’identifiants VLAN 1 à 10 ; cette interface est implicitement affectée aux VLAN configurés précédemment vlan-a et vlan-b. Ensuite, vous attribuez un ID VLAN de 10 à tous les paquets non identifiés reçus sur l’interface physique ge-3/0/0.

Configuration

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.

Pour configurer une interface logique de couche 2 en tant que port de liaison :

  1. Configurez l’interface logique.

  2. Spécifiez un ID VLAN pour les paquets non marqués.

  3. Si vous avez fini de configurer l’équipement, validez la configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, saisissez les show interfaces ge-3/0/0 commandes et show interfaces ge-3/0/0.0 .

Comprendre le mode mixte (transparent et mode de routage) sur les équipements de sécurité

Le mode mixte prend en charge à la fois le mode transparent (couche 2) et le mode de routage (couche 3) ; c’est le mode par défaut. Vous pouvez configurer simultanément des interfaces de couche 2 et de couche 3 à l’aide de zones de sécurité distinctes.

REMARQUE :

Pour la configuration en mode mixte, vous devez redémarrer l’équipement après avoir effectué les modifications. Toutefois, aucun redémarrage n’est requis pour les équipements de la gamme SRX5000.

Les équipements SRX4100 et SRX4200 prennent en charge le système logique en mode transparent et en mode routage

L’équipement SRX4600 prend en charge le système logique en mode route uniquement

En mode mixte (transparent et mode route) :

  • Il n’y a pas de routage entre les interfaces IRB et entre les interfaces IRB et les interfaces de couche 3.

L’équipement de l’appareil ressemble à Figure 1 deux équipements distincts. Un équipement s’exécute en mode transparent de couche 2 et l’autre en mode de routage de couche 3. Mais les deux équipements fonctionnent indépendamment. Les paquets ne peuvent pas être transférés entre les interfaces de couche 2 et de couche 3, car il n’y a pas de routage entre les interfaces IRB et entre les interfaces IRB et les interfaces de couche 3.

Figure 1 : Architecture mixte transparente et mode de routageArchitecture mixte transparente et mode de routage

En mode mixte, l’interface physique Ethernet peut être soit une interface de couche 2 soit une interface de couche 3, mais l’interface physique Ethernet ne peut pas être les deux simultanément. Toutefois, des familles de couches 2 et 3 peuvent exister sur des interfaces physiques distinctes sur le même équipement.

Tableau 1 répertorie les types d’interfaces physiques Ethernet et les types de familles prises en charge.

Tableau 1 : Interface physique Ethernet et types de familles prises en charge

Type d’interface physique Ethernet

Type de famille pris en charge

Interface de couche 2

ethernet-switching

Interface de couche 3

inet Et inet6

REMARQUE :

Plusieurs instances de routage sont prises en charge.

Vous pouvez configurer à la fois la pseudointerface irb.x et l’interface de couche 3 sous la même instance de routage par défaut à l’aide d’une instance de routage par défaut ou d’une instance de routage définie par l’utilisateur. Voir Figure 2.

Figure 2 : Mode mixte transparent et de routageMode mixte transparent et de routage

Les paquets de l’interface de couche 2 sont commutés dans le même VLAN ou se connectent à l’hôte via l’interface IRB. Les paquets ne peuvent pas être acheminés vers une autre interface IRB ou une interface de couche 3 via leur propre interface IRB.

Les paquets de l’interface de couche 3 sont acheminés vers une autre interface de couche 3. Les paquets ne peuvent pas être acheminés vers une interface de couche 2 via une interface IRB.

Tableau 2 répertorie les fonctionnalités de sécurité prises en charge en mode mixte et les fonctionnalités qui ne sont pas prises en charge en mode transparent pour la commutation de couche 2.

Tableau 2 : Fonctionnalités de sécurité prises en charge en mode mixte (mode transparent et mode routage)

Mode Type

Soutenu

Non pris en charge

Mode mixte

  • Passerelles de couche application (ALG)

  • Authentification des utilisateurs du pare-feu (FWAUTH)

  • Détection et prévention des intrusions (IDP)

  • Écran

  • AppSecure

  • Sécurité du contenu

Mode route (interface de couche 3)

  • la traduction des adresses réseau (NAT)

  • VPN

Mode transparent (interface de couche 2)

  • Sécurité du contenu

  • la traduction des adresses réseau (NAT)

  • VPN

À partir des versions 12.3X48-D10 et 17.3R1 de Junos OS, certaines conditions s’appliquent aux opérations en mode mixte. Notez les conditions ici :

  • Sur les équipements SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550HM et SRX1500, vous ne pouvez pas configurer la commutation Ethernet et le service DEN privé virtuel (VPLS) en mode mixte (couche 2 et couche 3).

  • Sur les équipements SRX5400, SRX5600 et SRX5800, vous n’avez pas besoin de redémarrer l’équipement lorsque vous configurez le VLAN.

Exemple : Amélioration des services de sécurité en configurant un pare-feu SRX Series en mode mixte (transparent et mode routage)

Vous pouvez configurer un pare-feu SRX Series en utilisant simultanément le mode transparent (couche 2) et le mode de routage (couche 3) pour simplifier les déploiements et améliorer les services de sécurité.

Cet exemple montre comment passer le trafic de couche 2 de l’interface ge-0/0/1.0 à l’interface ge-0/0/0/0 et le trafic de couche 3 de l’interface ge-0/0/2.0 à l’interface ge-0/0/3.0.

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Un pare-feu SRX Series

  • Quatre PC

Avant de commencer :

Présentation

Dans les entreprises où différents groupes d’entreprises disposent de solutions de sécurité de couche 2 ou 3, l’utilisation d’une configuration mixte unique simplifie leurs déploiements. Dans une configuration en mode mixte, vous pouvez également fournir des services de sécurité avec commutation et routage intégrés.

En outre, vous pouvez configurer un pare-feu SRX Series en mode autonome et en mode cluster de châssis à l’aide du mode mixte.

En mode mixte (mode par défaut), vous pouvez configurer simultanément des interfaces de couche 2 et de couche 3 à l’aide de zones de sécurité distinctes.

REMARQUE :

Pour la configuration en mode mixte, vous devez redémarrer l’équipement après avoir effectué les modifications. Toutefois, aucun redémarrage n’est requis pour les équipements de la gamme SRX5000.

Dans cet exemple, vous configurez d’abord un type de famille de couche 2 appelé commutation Ethernet pour identifier les interfaces de couche 2. Vous définissez l’adresse IP 10.10.10.1/24 sur l’interface IRB. Ensuite, vous créez la zone L2 et ajoutez des interfaces de couche 2 ge-0/0/1.0 et ge-0/0/0.0.

Ensuite, vous configurez un type de type de famille de couche 3 pour identifier les interfaces de couche 3. Vous définissez l’adresse IP 192.0.2.1/24 sur l’interface ge-0/0/2.0 et l’adresse IP 192.0.2.3/24 pour l’interface ge-0/0/3. Ensuite, vous créez la zone L3 et ajoutez-y les interfaces de couche 3 ge-0/0/2.0 et ge-0/0/3.0.

topologie

Figure 3 affiche une topologie en mode mixte.

Figure 3 : Topologie en mode mixteTopologie en mode mixte

Tableau 3 affiche les paramètres configurés dans cet exemple.

Tableau 3 : Paramètres de couche 2 et de couche 3

Paramètre

Description

L2

Zone de couche 2.

ge-0/0/1.0 et ge-0/0/0.0

Interfaces de couche 2 ajoutées à la zone de couche 2.

L3

Zone de couche 3.

ge-0/0/2.0 et ge-0/0/3.0

Interfaces de couche 3 ajoutées à la zone de couche 3.

10.10.10.1/24

Adresse IP de l’interface IRB.

192.0.2.1/24 et 192.0.2.3/24

Adresses IP pour l’interface de couche 3.

Configuration

Procédure

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Procédure étape par étape

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.

Pour configurer les interfaces de couche 2 et de couche 3 :

  1. Créez un type de famille de couche 2 pour configurer des interfaces de couche 2.

  2. Configurez les interfaces de couche 2 pour qu’ils fonctionnent en mode pont transparent.

  3. Configurez une adresse IP pour l’interface IRB.

  4. Configurez les interfaces de couche 2.

  5. Configurez le VLAN.

  6. Configurez les adresses IP pour les interfaces de couche 3.

  7. Configurez la stratégie pour autoriser le trafic.

  8. Configurez les interfaces de couche 3.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show security policies, show vlanset les show security zones commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification des interfaces et des zones de couche 2 et de couche 3

But

Vérifiez que les interfaces de couche 2 et de couche 3 et les zones de couche 2 et 3 sont créées.

Action

Depuis le mode opérationnel, saisissez la show security zones commande.

Sens

Le résultat affiche les noms des zones de couche 2 (L2) et de couche 3 (L3), ainsi que le nombre et le nom des interfaces de couche 2 et de couche 3 liées aux zones L2 et L3.

Vérification des sessions de couche 2 et de couche 3

But

Vérifiez que les sessions de couche 2 et de couche 3 sont établies sur l’équipement.

Action

Depuis le mode opérationnel, saisissez la show security flow session commande.

Sens

Le résultat affiche les sessions actives sur l’équipement et la stratégie de sécurité associée à chaque session.

  • Session ID 1— Nombre qui identifie la session de couche 2. Utilisez cet ID pour obtenir plus d’informations sur la session de couche 2, telles que le nom de la stratégie ou le nombre de paquets entrants et sortants.

  • default-policy-logical-system-00/2— Nom de la stratégie par défaut qui a autorisé le trafic de couche 2.

  • In— Flux entrant (adresses IP de couche 2 source et de destination avec leurs numéros de port source et de destination respectifs, session est ICMP, et l’interface source de cette session est ge-0/0/0.0).

  • Out— Flux inverse (adresses IP de couche 2 source et de destination avec leurs numéros de port source et de destination respectifs, session est ICMP, et l’interface de destination de cette session est ge-0/0/1.0).

  • Session ID 2— Nombre qui identifie la session de couche 2. Utilisez cet ID pour obtenir plus d’informations sur la session de couche 2, telles que le nom de la stratégie ou le nombre de paquets entrants et sortants.

  • default-policy-logical-system-00/2— Nom de la stratégie par défaut qui a autorisé le trafic de couche 2.

  • In— Flux entrant (adresses IP de couche 2 source et de destination avec leurs numéros de port source et de destination respectifs, session est ICMP, et l’interface source de cette session est ge-0/0/0.0, ).

  • Out— Flux inverse (adresses IP de couche 2 source et de destination avec leurs numéros de port source et de destination respectifs, session est ICMP, et l’interface de destination de cette session est ge-0/0/1.0, ).

Tableau de l'historique des versions
Version
Description
12.3X48-D10
À partir des versions 12.3X48-D10 et 17.3R1 de Junos OS, certaines conditions s’appliquent aux opérations en mode mixte.