논리적 시스템을 위한 보안 연결
논리적 시스템을 위한 보안 연결 개요
논리적 시스템의 다른 인터페이스를 통해 변경하지 않고 특정 인터페이스에 도착하는 트래픽을 전달할 수 있습니다. 논리적 시스템에서의 인터페이스 매핑을 보안 와이어라고 합니다. 보안 와이어를 사용하면 SRX 시리즈 방화벽이 라우팅 테이블이나 이웃 디바이스의 재구성 없이 네트워크 트래픽 경로에 구축할 수 있습니다. 그림 1 은 보안 와이어가 있는 SRX 시리즈 방화벽의 일반적인 경로 내 구축을 보여줍니다.
를 통한 방화벽 인패스 구축
보안 와이어는 두 개의 피어 인터페이스를 매핑합니다. 투명 모드 및 경로 모드와 다르며 트래픽을 포워딩하기 위한 스위칭 또는 라우팅 조회가 없습니다. 보안 정책이 트래픽을 허용하면 보안 와이어는 한 피어 인터페이스에 도착하는 패킷을 변경없이 즉시 다른 피어 인터페이스로 전달합니다. 패킷에 대한 라우팅 또는 스위칭 결정은 없습니다. 또한 보안 와이어는 반환 트래픽을 변경되지 않고 전달합니다. 보안 와이어 기능은 이더넷 논리적 인터페이스에서만 IPv4 및 IPv6 트래픽에 대해서만 지원됩니다.
보안 와이어는 포인트 투 포인트 연결을 제공하는 SRX 시리즈 방화벽의 레이어 2 투명 모드 특별한 사례입니다. 즉, 보안 와이어의 두 인터페이스가 라우터 또는 호스트와 같은 레이어 3 엔터티에 직접 연결되어야 합니다. 보안 유선 인터페이스를 스위치에 연결할 수 있습니다. 그러나 보안 정책이 트래픽을 허용하면 보안 와이어 인터페이스가 도착하는 모든 트래픽을 피어 인터페이스로 전달합니다.
보안 와이어는 레이어 3 모드로 공존할 수 있습니다. 레이어 2 및 레이어 3 인터페이스를 동시에 구성하는 동안 트래픽 포워딩은 레이어 2 및 레이어 3 인터페이스에서 독립적으로 발생합니다.
보안 와이어는 레이어 2 투명 모드 공존할 수 있습니다. 방화벽과 동일한 SRX 시리즈 두 기능이 모두 존재하는 경우 서로 다른 VLAN에서 두 기능을 구성해야 합니다.
루트 논리적 시스템에 대한 안전한 와이어 지원은 사용자 논리적 시스템으로 확장됩니다. 사용자 논리적 시스템에서 수신된 프레임을 수정하지 않고 특정 인터페이스에 도착하는 트래픽을 즉시 다른 인터페이스로 전달할 수 있습니다.
제한
보안 와이어는 다음을 지원하지 않습니다.
IRB 인터페이스
Z 모드
MPLS 레이블 캡슐화
테넌트 시스템
논리적 시스템 상호 연결
예: 사용자 논리적 시스템에 대한 보안 연결 구성
이 예에서는 사용자 논리적 시스템에 대한 보안 와이어를 구성하고 프레임을 변경하지 않고 한 인터페이스에서 다른 인터페이스로 트래픽을 전달할 수 있습니다.
요구 사항
시작하기 전에 다음을 수행합니다.
사용자 논리적 시스템에 대한 보안 프로필을 구성합니다. 예: 사용자 논리적 시스템 보안 프로필 구성을 참조하십시오.
개요
이 예에서 LSYS1이라는 사용자 논리 시스템에서 10기가비트 이더넷 인터페이스 xe-1/0/1 및 xe-1/0/2를 구성할 수 있습니다. 논리적 시스템당 보안 와이어 리소스 할당을 구성할 수 있습니다. 트래픽이 프레임을 변경하지 않고 xe-1/0/1 인터페이스로 전달되면 보안 와이어는 정의된 보안 정책에 따라 트래픽을 xe-1/0/2 인터페이스로 전달합니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경한 다음 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣습니다.
user@host#set logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface xe-1/0/1.0 user@host#set logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface xe-1/0/2.0 user@host#set system security-profile prof1 secure-wire maximum 100 user@host#set system security-profile prof1 secure-wire reserved 1
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
사용자 논리적 시스템에서 보안 와이어를 구성합니다.
[edit] user@host#set logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface xe-1/0/1.0 user@host#set logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface xe-1/0/2.0
보안 프로필을 생성하고 최대 및 예약 할당량의 수를 지정합니다.
[edit] user@host#set system security-profile prof1 secure-wire maximum 100 user@host#set system security-profile prof1 secure-wire reserved 1
결과
구성 모드에서 , 및 show system security-profile prof1 명령을 입력하여 구성을 show logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
user@host#show logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface [ xe-1/0/1.0 xe-1/0/2.0 ];
user@host#show system security-profile prof1
secure-wire {
maximum 100;
reserved 1;
}
logical-system LSYS1;
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .
확인
구성이 제대로 작동하는지 확인합니다.
보안 와이어 매핑 확인
목적
보안 와이어 매핑을 확인합니다.
작업
운영 모드에서 명령을 입력합니다 show security forward-options secure-wire logical-system LSYS1 .
Logical System Secure wire Interface Link Interface Link LSYS1 myLSYS1sw01 xe-1/0/1.0 up xe-1/0/2.0 up Total secure wires: 1