Interfaces de couche 2 sur les équipements de sécurité
Comprendre les interfaces de couche 2 sur les équipements de sécurité
Les interfaces logiques de couche 2 sont créées en définissant une ou plusieurs unités logiques sur une interface physique avec le type ethernet-switchingd’adresse de la famille . Si une interface physique dispose d’une ethernet-switchinginterface logique familiale, elle ne peut pas avoir d’autre type de famille dans ses interfaces logiques. Une interface logique peut être configurée dans l’un des modes suivants :
Mode d’accès : l’interface accepte les paquets non marqués, attribue l’identifiant VLAN spécifié au paquet et transfère le paquet dans le VLAN configuré avec l’identifiant VLAN correspondant.
Mode trunk : l’interface accepte tout paquet marqué d’un identifiant VLAN qui correspond à une liste spécifiée d’identifiants VLAN. Les interfaces trunk mode sont généralement utilisées pour interconnecter les commutateurs. Pour configurer un identifiant VLAN pour les paquets non marqués reçus sur l’interface physique, utilisez l’option
native-vlan-id. Si l’optionnative-vlan-idn’est pas configurée, les paquets non marqués sont supprimés.
Il est possible de définir plusieurs interfaces logiques en mode tronc, tant que les identifiants VLAN d’une interface trunk ne se chevauchent pas avec ceux d’une autre interface trunk. Le native-vlan-id doit appartenir à une liste d’identifiants VLAN configurée pour une interface de tronc.
Voir également
Exemple : Configuration des interfaces logiques de couche 2 sur les équipements de sécurité
Cet exemple montre comment configurer une interface logique de couche 2 en tant que port d’agrégation afin que les paquets entrants puissent être redirigés de manière sélective vers un pare-feu ou un autre équipement de sécurité.
Conditions préalables
Avant de commencer, configurez les VLAN. Voir l’exemple : Configuration des VLAN sur les équipements de sécurité.
Présentation
Dans cet exemple, vous configurez l’interface logique ge-3/0/0.0 en tant que port trunk qui transporte le trafic pour les paquets marqués d’identifiants VLAN 1 à 10 ; cette interface est implicitement affectée aux VLAN configurés précédemment vlan-a et vlan-b. Ensuite, vous attribuez un ID VLAN de 10 à tous les paquets non identifiés reçus sur l’interface physique ge-3/0/0.
Configuration
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set interfaces ge-3/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members 1–10 set interfaces ge-3/0/0 vlan-tagging native-vlan-id 10
Procédure
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer une interface logique de couche 2 en tant que port de liaison :
Configurez l’interface logique.
[edit interfaces ge-3/0/0] user@host# set unit 0 family ethernet-switching interface-mode trunk vlan members 1–10
Spécifiez un ID VLAN pour les paquets non marqués.
[edit interfaces ge-3/0/0] user@host# set vlan-tagging native-vlan-id 10
Si vous avez fini de configurer l’équipement, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, saisissez les show interfaces ge-3/0/0 commandes et show interfaces ge-3/0/0.0 .
Comprendre le mode mixte (transparent et mode de routage) sur les équipements de sécurité
Le mode mixte prend en charge à la fois le mode transparent (couche 2) et le mode de routage (couche 3) ; c’est le mode par défaut. Vous pouvez configurer simultanément des interfaces de couche 2 et de couche 3 à l’aide de zones de sécurité distinctes.
Pour la configuration en mode mixte, vous devez redémarrer l’équipement après avoir effectué les modifications. Toutefois, aucun redémarrage n’est requis pour les équipements de la gamme SRX5000.
Les équipements SRX4100 et SRX4200 prennent en charge le système logique en mode transparent et en mode routage
L’équipement SRX4600 prend en charge le système logique en mode route uniquement
En mode mixte (transparent et mode route) :
Il n’y a pas de routage entre les interfaces IRB et entre les interfaces IRB et les interfaces de couche 3.
L’équipement de l’appareil ressemble à Figure 1 deux équipements distincts. Un équipement s’exécute en mode transparent de couche 2 et l’autre en mode de routage de couche 3. Mais les deux équipements fonctionnent indépendamment. Les paquets ne peuvent pas être transférés entre les interfaces de couche 2 et de couche 3, car il n’y a pas de routage entre les interfaces IRB et entre les interfaces IRB et les interfaces de couche 3.
En mode mixte, l’interface physique Ethernet peut être soit une interface de couche 2 soit une interface de couche 3, mais l’interface physique Ethernet ne peut pas être les deux simultanément. Toutefois, des familles de couches 2 et 3 peuvent exister sur des interfaces physiques distinctes sur le même équipement.
Tableau 1 répertorie les types d’interfaces physiques Ethernet et les types de familles prises en charge.
Type d’interface physique Ethernet |
Type de famille pris en charge |
|---|---|
Interface de couche 2 |
|
Interface de couche 3 |
|
Plusieurs instances de routage sont prises en charge.
Vous pouvez configurer à la fois la pseudointerface irb.x et l’interface de couche 3 sous la même instance de routage par défaut à l’aide d’une instance de routage par défaut ou d’une instance de routage définie par l’utilisateur. Voir Figure 2.
Les paquets de l’interface de couche 2 sont commutés dans le même VLAN ou se connectent à l’hôte via l’interface IRB. Les paquets ne peuvent pas être acheminés vers une autre interface IRB ou une interface de couche 3 via leur propre interface IRB.
Les paquets de l’interface de couche 3 sont acheminés vers une autre interface de couche 3. Les paquets ne peuvent pas être acheminés vers une interface de couche 2 via une interface IRB.
Tableau 2 répertorie les fonctionnalités de sécurité prises en charge en mode mixte et les fonctionnalités qui ne sont pas prises en charge en mode transparent pour la commutation de couche 2.
Mode Type |
Soutenu |
Non pris en charge |
|---|---|---|
Mode mixte |
|
— |
Mode route (interface de couche 3) |
|
— |
Mode transparent (interface de couche 2) |
|
|
À partir des versions 12.3X48-D10 et 17.3R1 de Junos OS, certaines conditions s’appliquent aux opérations en mode mixte. Notez les conditions ici :
Sur les équipements SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550HM et SRX1500, vous ne pouvez pas configurer la commutation Ethernet et le service DEN privé virtuel (VPLS) en mode mixte (couche 2 et couche 3).
Sur les équipements SRX5400, SRX5600 et SRX5800, vous n’avez pas besoin de redémarrer l’équipement lorsque vous configurez le VLAN.
Voir également
Exemple : Amélioration des services de sécurité en configurant un pare-feu SRX Series en mode mixte (transparent et mode routage)
Vous pouvez configurer un pare-feu SRX Series en utilisant simultanément le mode transparent (couche 2) et le mode de routage (couche 3) pour simplifier les déploiements et améliorer les services de sécurité.
Cet exemple montre comment passer le trafic de couche 2 de l’interface ge-0/0/1.0 à l’interface ge-0/0/0/0 et le trafic de couche 3 de l’interface ge-0/0/2.0 à l’interface ge-0/0/3.0.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un pare-feu SRX Series
Quatre PC
Avant de commencer :
Créez une zone de sécurité distincte pour les interfaces de couche 2 et 3. Voir Comprendre les zones de sécurité de couche 2.
Présentation
Dans les entreprises où différents groupes d’entreprises disposent de solutions de sécurité de couche 2 ou 3, l’utilisation d’une configuration mixte unique simplifie leurs déploiements. Dans une configuration en mode mixte, vous pouvez également fournir des services de sécurité avec commutation et routage intégrés.
En outre, vous pouvez configurer un pare-feu SRX Series en mode autonome et en mode cluster de châssis à l’aide du mode mixte.
En mode mixte (mode par défaut), vous pouvez configurer simultanément des interfaces de couche 2 et de couche 3 à l’aide de zones de sécurité distinctes.
Pour la configuration en mode mixte, vous devez redémarrer l’équipement après avoir effectué les modifications. Toutefois, aucun redémarrage n’est requis pour les équipements de la gamme SRX5000.
Dans cet exemple, vous configurez d’abord un type de famille de couche 2 appelé commutation Ethernet pour identifier les interfaces de couche 2. Vous définissez l’adresse IP 10.10.10.1/24 sur l’interface IRB. Ensuite, vous créez la zone L2 et ajoutez des interfaces de couche 2 ge-0/0/1.0 et ge-0/0/0.0.
Ensuite, vous configurez un type de type de famille de couche 3 pour identifier les interfaces de couche 3. Vous définissez l’adresse IP 192.0.2.1/24 sur l’interface ge-0/0/2.0 et l’adresse IP 192.0.2.3/24 pour l’interface ge-0/0/3. Ensuite, vous créez la zone L3 et ajoutez-y les interfaces de couche 3 ge-0/0/2.0 et ge-0/0/3.0.
topologie
Figure 3 affiche une topologie en mode mixte.
Tableau 3 affiche les paramètres configurés dans cet exemple.
Paramètre |
Description |
|---|---|
L2 |
Zone de couche 2. |
ge-0/0/1.0 et ge-0/0/0.0 |
Interfaces de couche 2 ajoutées à la zone de couche 2. |
L3 |
Zone de couche 3. |
ge-0/0/2.0 et ge-0/0/3.0 |
Interfaces de couche 3 ajoutées à la zone de couche 3. |
10.10.10.1/24 |
Adresse IP de l’interface IRB. |
192.0.2.1/24 et 192.0.2.3/24 |
Adresses IP pour l’interface de couche 3. |
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members 10 set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 10 set protocols l2-learning global-mode transparent-bridge set interfaces irb unit 10 family inet address 10.10.10.1/24 set security zones security-zone L2 interfaces ge-0/0/1.0 set security zones security-zone L2 interfaces ge-0/0/0.0 set vlans vlan-10 vlan-id 10 set vlans vlan-10 l3-interface irb.10 set interfaces ge-0/0/2 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/3 unit 0 family inet address 192.0.2.3/24 set security policies default-policy permit-all set security zones security-zone L2 host-inbound-traffic system-services any-service set security zones security-zone L2 host-inbound-traffic protocols all set security zones security-zone L3 host-inbound-traffic system-services any-service set security zones security-zone L3 host-inbound-traffic protocols all set security zones security-zone L3 interfaces ge-0/0/2.0 set security zones security-zone L3 interfaces ge-0/0/3.0
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer les interfaces de couche 2 et de couche 3 :
Créez un type de famille de couche 2 pour configurer des interfaces de couche 2.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family ethernet-switching interface-mode access user@host# set ge-0/0/0 unit 0 family ethernet-switching vlan members 10 user@host# set ge-0/0/1 unit 0 family ethernet-switching interface-mode access user@host# set ge-0/0/1 unit 0 family ethernet-switching vlan members 10
Configurez les interfaces de couche 2 pour qu’ils fonctionnent en mode pont transparent.
[edit protocols] user@host# set l2-learning global-mode transparent-bridge
Configurez une adresse IP pour l’interface IRB.
[edit interfaces] user@host# set irb unit 10 family inet address 10.10.10.1/24
Configurez les interfaces de couche 2.
[edit security zones security-zone L2 interfaces] user@host# set ge-0/0/1.0 user@host# set ge-0/0/0.0
Configurez le VLAN.
[edit vlans vlan-10] user@host# set vlan-id 10 user@host# set l3-interface irb.10
Configurez les adresses IP pour les interfaces de couche 3.
[edit interfaces] user@host# set ge-0/0/2 unit 0 family inet address 192.0.2.1/24 user@host# set ge-0/0/3 unit 0 family inet address 192.0.2.3/24
Configurez la stratégie pour autoriser le trafic.
[edit security policies] user@host# set default-policy permit-all
Configurez les interfaces de couche 3.
[edit security zones security-zone] user@host# set L2 host-inbound-traffic system-services any-service user@host# set L2 host-inbound-traffic protocols all user@host# set L3 host-inbound-traffic system-services any-service user@host# set L3 host-inbound-traffic protocols all user@host# set L3 interfaces ge-0/0/2.0 user@host# set L3 interfaces ge-0/0/3.0
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show security policies, show vlanset les show security zones commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 10;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 10;
}
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.0.2.3/24;
}
}
}
irb {
unit 10 {
family inet {
address 10.10.10.1/24;
}
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show vlans
vlan-10 {
vlan-id 10;
l3-interface irb.10;
}
[edit]
user@host# show security zones
security-zone L2 {
host-inbound-traffic {
system-services {
any-service;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
ge-0/0/0.0;
}
}
security-zone L3 {
host-inbound-traffic {
system-services {
any-service;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
ge-0/0/3.0;
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des interfaces et des zones de couche 2 et de couche 3
- Vérification des sessions de couche 2 et de couche 3
Vérification des interfaces et des zones de couche 2 et de couche 3
But
Vérifiez que les interfaces de couche 2 et de couche 3 et les zones de couche 2 et 3 sont créées.
Action
Depuis le mode opérationnel, saisissez la show security zones commande.
user@host> show security zones
Security zone: HOST
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 0
Interfaces:
Security zone: L2
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 2
Interfaces:
ge-0/0/0.0
ge-0/0/1.0
Security zone: L3
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 2
Interfaces:
ge-0/0/2.0
ge-0/0/3.0
Security zone: junos-host
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 0
Interfaces:
Sens
Le résultat affiche les noms des zones de couche 2 (L2) et de couche 3 (L3), ainsi que le nombre et le nom des interfaces de couche 2 et de couche 3 liées aux zones L2 et L3.
Vérification des sessions de couche 2 et de couche 3
But
Vérifiez que les sessions de couche 2 et de couche 3 sont établies sur l’équipement.
Action
Depuis le mode opérationnel, saisissez la show security flow session commande.
user@host> show security flow session Session ID: 1, Policy name: default-policy-logical-system-00/2, Timeout: 58, Valid In: 10.102.70.75/54395 --> 228.102.70.76/9876;udp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 1209, Bytes: 1695018, Out: 228.102.70.76/9876 --> 10.102.70.75/54395;udp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 0, Bytes: 0, Session ID: 2, Policy name: default-policy-logical-system-00/2, Timeout: 58, Valid In: 10.102.70.19/23364 --> 228.102.70.20/23364;udp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 401, Bytes: 141152, Out: 228.102.70.20/23364 --> 10.102.70.19/23364;udp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 0, Bytes: 0,
Sens
Le résultat affiche les sessions actives sur l’équipement et la stratégie de sécurité associée à chaque session.
Session ID 1— Nombre qui identifie la session de couche 2. Utilisez cet ID pour obtenir plus d’informations sur la session de couche 2, telles que le nom de la stratégie ou le nombre de paquets entrants et sortants.
default-policy-logical-system-00/2— Nom de la stratégie par défaut qui a autorisé le trafic de couche 2.
In— Flux entrant (adresses IP de couche 2 source et de destination avec leurs numéros de port source et de destination respectifs, session est ICMP, et l’interface source de cette session est ge-0/0/0.0).
Out— Flux inverse (adresses IP de couche 2 source et de destination avec leurs numéros de port source et de destination respectifs, session est ICMP, et l’interface de destination de cette session est ge-0/0/1.0).
Session ID 2— Nombre qui identifie la session de couche 2. Utilisez cet ID pour obtenir plus d’informations sur la session de couche 2, telles que le nom de la stratégie ou le nombre de paquets entrants et sortants.
default-policy-logical-system-00/2— Nom de la stratégie par défaut qui a autorisé le trafic de couche 2.
In— Flux entrant (adresses IP de couche 2 source et de destination avec leurs numéros de port source et de destination respectifs, session est ICMP, et l’interface source de cette session est ge-0/0/0.0, ).
Out— Flux inverse (adresses IP de couche 2 source et de destination avec leurs numéros de port source et de destination respectifs, session est ICMP, et l’interface de destination de cette session est ge-0/0/1.0, ).