논리적 시스템을 위한 보안 연결
논리적 시스템을 위한 보안 연결 개요
특정 인터페이스에 도착한 트래픽을 변경 없이 논리적 시스템의 다른 인터페이스를 통해 전달할 수 있습니다. 논리적 시스템의 이러한 인터페이스 매핑을 보안 회선이라고 합니다. 보안 연결을 통해 SRX 시리즈 방화벽은 라우팅 테이블을 변경하거나 이웃 디바이스를 재구성하지 않고도 네트워크 트래픽 경로에 구축할 수 있습니다. 그림 1 은 보안 와이어를 사용하는 SRX 시리즈 방화벽의 일반적인 경로 내 구축을 보여줍니다.
보안 와이어는 두 개의 피어 인터페이스를 매핑합니다. 투명 및 경로 모드와 다르며, 트래픽을 포워딩하기 위한 스위칭 또는 라우팅 조회가 없습니다. 보안 정책이 트래픽을 허용하면, 보안 와이어는 한 피어 인터페이스에 도착한 패킷을 변경 없이 다른 피어 인터페이스로 즉시 전달합니다. 패킷에 대한 라우팅 또는 스위칭 결정이 없습니다. 보안 회선은 반환 트래픽도 변경되지 않고 전달합니다. 보안 연결 기능은 이더넷 논리적 인터페이스에서만 IPv4 및 IPv6 트래픽 모두에 대해 지원됩니다.
보안 연결은 포인트 투 포인트 연결을 제공하는 SRX 시리즈 방화벽에서 레이어 2 투명 모드의 특별한 사례입니다. 즉, 보안 와이어의 두 인터페이스가 라우터나 호스트와 같은 레이어 3 엔티티에 직접 연결되어야 합니다. 보안 와이어 인터페이스를 스위치에 연결할 수 있습니다. 그러나 보안 정책이 트래픽을 허용하는 경우, 보안 와이어 인터페이스는 도착하는 모든 트래픽을 피어 인터페이스로 전달합니다.
보안 연결은 레이어 3 모드와 공존할 수 있습니다. 레이어 2와 레이어 3 인터페이스를 동시에 구성하는 동안, 트래픽 포워딩은 레이어 2와 레이어 3 인터페이스에서 독립적으로 발생합니다.
보안 와이어는 레이어 2 투명 모드와 공존할 수 있습니다. 두 기능이 모두 동일한 SRX 시리즈 방화벽에 있는 경우, 서로 다른 VLAN에서 구성해야 합니다.
루트 논리적 시스템에 대한 보안 연결 지원은 사용자 논리적 시스템으로 확장됩니다. 사용자 논리적 시스템에서 수신된 프레임을 수정하지 않고, 특정 인터페이스에 도착하는 트래픽을 다른 인터페이스로 즉시 전달할 수 있습니다.
제한 사항
보안 연결은 다음을 지원하지 않습니다.
IRB 인터페이스
Z 모드
MPLS 레이블 캡슐화
테넌트 시스템
논리적 시스템 상호 연결
예: 사용자 논리적 시스템에 대한 보안 연결 구성
이 예에서는 사용자 논리적 시스템에 대한 보안 연결을 구성하고 프레임을 변경하지 않고 한 인터페이스에서 다른 인터페이스로 트래픽을 전달할 수 있습니다.
요구 사항
시작하기 전에:
사용자 논리적 시스템에 대한 보안 프로필을 구성하려면 예: 사용자 논리적 시스템 보안 프로필 구성을 참조하십시오.
개요
이 예에서는 LSYS1이라는 사용자 논리적 시스템에서 10기가비트 이더넷 인터페이스 xe-1/0/1 및 xe-1/0/2를 구성할 수 있습니다. 논리적 시스템별로 보안 와이어 리소스 할당을 구성할 수 있습니다. 트래픽이 프레임을 변경하지 않고 xe-1/0/1 인터페이스로 전달될 때, 보안 와이어는 정의된 보안 정책에 따라 트래픽을 xe-1/0/2 인터페이스로 전달합니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣습니다.
user@host#set logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface xe-1/0/1.0 user@host#set logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface xe-1/0/2.0 user@host#set system security-profile prof1 secure-wire maximum 100 user@host#set system security-profile prof1 secure-wire reserved 1
단계별 절차
다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
사용자 논리적 시스템 아래에서 보안 연결을 구성합니다.
[edit] user@host#set logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface xe-1/0/1.0 user@host#set logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface xe-1/0/2.0
보안 프로필을 생성하고 최대 할당량 및 예약 할당량 수를 지정합니다.
[edit] user@host#set system security-profile prof1 secure-wire maximum 100 user@host#set system security-profile prof1 secure-wire reserved 1
결과
구성 모드에서 , 및 show system security-profile prof1 명령을 show logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01입력하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
user@host#show logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface [ xe-1/0/1.0 xe-1/0/2.0 ];
user@host#show system security-profile prof1
secure-wire {
maximum 100;
reserved 1;
}
logical-system LSYS1;
디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .
검증
구성이 제대로 작동하고 있는지 확인합니다.
보안 와이어 매핑 확인
목적
보안 와이어 매핑을 확인합니다.
작업
운영 모드에서 명령을 입력합니다.show security forward-options secure-wire logical-system LSYS1
Logical System Secure wire Interface Link Interface Link LSYS1 myLSYS1sw01 xe-1/0/1.0 up xe-1/0/2.0 up Total secure wires: 1