Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Centro de datos virtualizado mediante sistemas lógicos

Logical Systems permite que el diseño de VDC utilice tecnologías de virtualización, como LAN virtuales (VLAN), enrutadores virtuales, reenvíos de rutas virtuales, reenvío de rutas inter virtual para proporcionar un aislamiento de tráfico flexible. Para obtener más información, consulte los temas siguientes:

Solución de centro de datos virtualizado de dos niveles para redes de grandes empresas

A continuación, se describe un centro de datos virtualizado (VDC) multiservicio de Juniper Networks de dos niveles, de alta velocidad y multiservicio. Una arquitectura de dos niveles cumple con los requisitos de baja latencia de un entorno de servidor virtualizado y admite el mandato de seguridad superpuesta de mantener una segmentación controlada entre varias unidades de negocio.

Segmentación de tráfico de red

El diseño de VDC de Juniper Networks utiliza tecnologías de virtualización, como LASN virtuales (VLAN), enrutadores virtuales, reenvíos de rutas virtuales, reenvío de rutas inter virtual y sistemas lógicos para proporcionar un aislamiento flexible del tráfico.

Un diseño de centro de datos de dos niveles totalmente redundante consta de conmutadores Ethernet de la serie EX de Juniper Networks en la capa de acceso para la conectividad del servidor, plataformas de enrutamiento universal de 5G serie MX como una capa de núcleo o agregación DE LAN colapsada, y firewalls serie SRX agrupados para proporcionar servicios de seguridad de firewall a través de los límites de confianza del centro de datos.

Flexibilidad

El diseño de VDC de Juniper Networks utiliza VLAN 802.1Q, MPLS, BGP, protocolo de redundancia de enrutador virtual (VRRP), ingeniería de tráfico y reenrutamiento rápido para proporcionar flexibilidad de diseño mientras mantiene un enfoque basado en estándares. El diseño también puede admitir un servicio DE LAN privada virtual (VPLS).

Seguridad

El diseño de VDC de Juniper Networks utiliza zonas de seguridad para implementar los puntos de cumplimiento de políticas. El clúster SRX es responsable de toda la inspección de estado de los paquetes para el tráfico que cruza los límites de confianza de la unidad de negocio, así como todo el tráfico de entrada y salida para el centro de datos.

El sistema operativo de Junos de Juniper Networks está configurado con diferentes cuentas de administrador para cada sistema lógico que admite el acceso limitado a los recursos de red y se puede personalizar para unidades de negocio individuales.

Acceso y disponibilidad

En el diseño de VDC de Juniper Networks, descrito en el ejemplo: Configuración de un centro de datos virtualizado de dos niveles para redes de grandes empresas, los conmutadores de la serie EX de la parte superior del rack (TOR) proporcionan acceso a los servidores y proporcionan redundancia.

Todos los uplinks de los conmutadores TOR son enlaces troncales 802.1Q que se terminan directamente en cada uno de los dispositivos de la serie MX que conforman el punto de entrega (POD) en la capa de núcleo/agregación.

Una instancia de VRRP se define en cada VLAN del dispositivo serie MX para actuar como enrutador predeterminado para todos los hosts de servidor en una VLAN determinada. Para permitir que VRRP funcione correctamente, cada dominio de puente se extiende entre cada dispositivo de la serie MX a través de un vínculo de interconexión. El dispositivo serie MX utiliza una interfaz de enrutamiento y puente integrados (IRB) como interfaz de capa 3 para cada dominio de puente, con VRRP configurado para redundancia.

Se utilizan un par de paquetes de Ethernet agregados 802.3ad entre los dispositivos de la serie MX. Cada dispositivo de la serie MX está dividido en varios sistemas lógicos. Los sistemas lógicos del dispositivo de la serie MX se utilizan para definir límites de confianza lógica dentro del propio centro de datos y entre las respectivas unidades de negocio.

Un par de firewalls de la serie SRX en clúster que actúan como firewalls proporcionan servicios de seguridad a través de los límites de confianza del centro de datos. Los enrutadores virtuales en los firewalls de la serie SRX actúan como enrutadores de borde del cliente (CE) para cada unidad de negocio.

Un único grupo de redundancia para el plano de datos se define en los firewalls serie SRX con dos interfaces Ethernet redundantes como interfaces miembro. Este grupo de redundancia controla la conmutación por error del plano de datos del firewall de la serie SRX y está configurado de tal manera que cualquier pérdida de interfaces de las series SRX de norte o sur obliga a una conmutación por error completa al nodo secundario. Esta conmutación por error es esencialmente una conmutación por error de capa 1, lo que significa que se produce rápidamente y no interrumpe la topología de enrutamiento sobre ella.

Escalabilidad incremental rentable

El diseño de VDC de Juniper Networks admite el escalamiento incremental de la red. Esto permite que el VDC se cree con un costo mínimo para satisfacer las necesidades actuales.

La capa de acceso se puede ampliar agregando conmutadores de la serie EX en la parte superior del bastidor.

La capa de agregación/núcleo se puede ampliar agregando dispositivos adicionales de la serie MX dentro de un POD determinado.

Los servicios de seguridad se pueden ampliar agregando tarjetas E/S (IOC) de 10 Gigabit Ethernet de 4 puertos y tarjetas de procesamiento de servicios (SPC) en los firewalls de la serie SRX. La adición de IOC aumenta la densidad de puerto de 10 Gigabit Ethernet. La adición de cada tarjeta SPC al chasis agrega otros 10 Gbps (mezcla de Internet de 5 Gbps (IMIX)), 2 millones de sesiones, y 100 000 conexiones por segundo (CPS) hasta una capacidad nominal máxima para la plataforma de 150 Gbps (47,5 Gbps IMIX), 10 millones de sesiones y 350 000 CPS (según lo medido en la versión 10.2 de Junos OS).

Orquestación y automatización

El diseño de VDC de Juniper Networks utiliza la plataforma de administración Junos Space de Juniper Networks. Junos Space incluye una cartera de aplicaciones para escalar servicios, simplificar las operaciones de red y automatizar el soporte para entornos de red complejos.

Además, los dispositivos de red están configurados para admitir transferencias de archivos de Protocolo de copia segura (SCP) en segundo plano, scripts de confirmación y un sitio de archivo de archivos.

Ver también

Requisitos de un centro de datos virtualizado de dos niveles para redes de grandes empresas

Las grandes empresas tienen ciertas necesidades específicas para el entorno de alojamiento que el diseño de su centro de datos debe satisfacer. En esta sección, se describen los requisitos de una empresa que opera como proveedor de servicios para sus unidades de negocio individuales (BUs).

Uno de los principales requisitos de un centro de datos virtualizado (VDC) para una gran empresa es la capacidad de segmentar la red por unidad de negocio. Esto incluye la segmentación de tráfico y el control administrativo.

Otros requisitos incluyen controles de seguridad entre unidades de negocio, controles de seguridad entre la empresa y el mundo exterior, flexibilidad para crecer y adaptar la red, y una forma sólida y rentable de gestionar toda la red.

Segmentación de tráfico de red

El requisito descrito aquí es que los recursos de red se aíslan de varias maneras. El tráfico debe segmentarse por unidades de negocio. Los flujos de tráfico entre segmentos de red deben estar prohibidos, excepto cuando se permita específicamente. El aislamiento del tráfico debe controlarse en los puntos de cumplimiento de políticas designados. Los recursos de red deben estar dedicados a un segmento, pero la red debe tener la flexibilidad para cambiar la asignación de recursos.

Los recursos segmentados deben agruparse lógicamente según políticas. Por ejemplo, el tráfico de prueba debe aislarse del tráfico de producción. El tráfico también debe aislarse de acuerdo con las entidades comerciales, los requisitos contractuales, los requisitos legales o regulatorios, la calificación de riesgo y los estándares corporativos.

El diseño de segmentación de red no debe ser disruptivo para la empresa, debe integrarse con el centro de datos y el diseño de red en la nube más grande, debe permitir que las unidades de negocio accedan a los recursos de red a nivel mundial y debe admitir nuevas capacidades empresariales.

Flexibilidad

El diseño de red debe ser lo suficientemente flexible como para reaccionar a los cambios empresariales y del entorno con esfuerzos mínimos de diseño y reingeniería. El diseño del VDC debe ser flexible en términos de aislar las cargas de trabajo de las unidades de negocio de otras unidades empresariales y de los servicios y aplicaciones generales del centro de datos. La solución de red debe garantizar que el negocio se vea mínimamente afectado cuando se produzcan cambios en la red y la segmentación.

El VDC debe ser lo suficientemente flexible como para implementarse:

  • Dentro de un único centro de datos

  • Dentro de una sala de datos

  • En dos o más centros de datos

  • En dos o más salas de datos dentro o entre centros de datos

  • Entre un centro de datos y un proveedor de servicios de nube externo

Seguridad

El diseño de red debe permitir que las unidades de negocio se aíslan dentro del entorno de alojamiento. En caso de que se produzca un incidente de seguridad de red, las unidades de negocio deben aislarse del entorno de alojamiento y de otras unidades de negocio.

El flujo de tráfico entre segmentos de unidades de negocio debe ser denegado de forma predeterminada y debe permitirse explícitamente solo en los puntos de cumplimiento de políticas que sean propiedad y estén controlados por el proveedor de servicios del centro de datos.

El punto de cumplimiento de políticas debe incluir capacidades de control de acceso y puede incluir capacidades de protección contra amenazas.

Acceso y disponibilidad

El VDC debe proporcionar acceso a servicios de centro de datos comunes, como computación, almacenamiento, seguridad, administración de tráfico, operaciones y aplicaciones. La red debe operar en varios proveedores de servicios globales y debe ofrecer un rendimiento óptimo, predecible y consistente en toda la red. El VDC debe implementarse en todas las unidades de negocio del centro de datos.

La solución de red debe cumplir con los requisitos de disponibilidad de la unidad de negocio, tal como se define en los acuerdos de nivel de servicio.

Escalabilidad incremental rentable

El diseño de VDC debe ser rentable para que la empresa funcione y debe habilitar nuevas capacidades empresariales. Debe ser posible implementar la solución de red de manera incremental con un impacto mínimo para el negocio.

Orquestación y automatización

El diseño del VDC debe incluir un sistema de administración que admita la automatización para el aprovisionamiento, la disponibilidad y la supervisión de la carga de trabajo, y la generación de informes. Los informes de carga de trabajo y disponibilidad deben estar disponibles por unidad de negocio.

Ver también

Ejemplo: Configurar un centro de datos virtualizado de dos niveles para redes de grandes empresas

En este ejemplo, se proporciona un procedimiento paso a paso para configurar un centro de datos virtualizado de dos niveles para grandes redes empresariales.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Dos plataformas de enrutamiento universal 5G serie MX que ejecutan Junos OS versión 10.2 o posterior

  • Conmutadores Ethernet de la serie EX con la versión 10.2 o posterior de Junos OS

  • Dos firewalls serie SRX que ejecutan Junos OS versión 10.4 o posterior

Configuración de un centro de datos virtualizado de dos niveles

En este ejemplo, se proporciona un procedimiento paso a paso para configurar un centro de datos virtualizado de dos niveles para grandes empresas. Los pasos del ejemplo siguen la ruta de datos desde una interfaz conectada a un servidor en BU2 mediante VLAN 17, hasta Logical System Trust1, a través del enrutador virtual MX-VR2, a través del enrutador virtual SRX-VR2, a través de VRF2 en el Logical System Untrust y fuera a la red central.

La red central de este ejemplo admite simultáneamente el enrutamiento basado en IP y la conmutación de etiquetas basada en MPLS. Los enrutadores virtuales del firewall de la serie SRX realizan las funciones de los enrutadores de borde del cliente (CE). Las instancias de enrutamiento y reenvío VPN (VRF) en los dispositivos de la serie MX realizan las funciones de los enrutadores de borde (PE) de proveedores de servicios. El protocolo OSPF sirve como protocolo de puerta de enlace interior para transportar rutas a las direcciones de circuito cerrado del enrutador de PE que se utilizan como dirección del siguiente salto del BGP para las redes basadas en IP y MPLS compatibles con este ejemplo.

Nota:

Los pasos de este ejemplo son representativos de toda la configuración de red. En el ejemplo no se muestran todos los pasos de cada dispositivo virtual.

Las conexiones físicas utilizadas en este ejemplo se muestran en la Figura 1.

Figura 1: Topología Virtualized Data Center Physical Topology física del centro de datos virtualizado

Las conexiones lógicas utilizadas en este ejemplo se muestran en la figura 2.

Figura 2: Topología lógica del centro de datos virtualizado Virtualized Data Center Logical Topology

En la ilustración de topología lógica:

  • Los usuarios acceden al centro de datos a través de la red central de la empresa que se muestra en la parte superior.

  • Los enrutadores virtuales configurados en Logical System Notrust en los dispositivos de la serie MX reenvían el tráfico a enrutadores virtuales separados configurados en la zona de seguridad no confiable en los firewalls serie SRX. Estos enrutadores virtuales actúan como enrutadores de borde para las distintas unidades de negocio.

  • Los enrutadores virtuales configurados en el firewall de la serie SRX activo reenvía el tráfico a las zonas de seguridad de confianza.

  • Los enrutadores virtuales configurados en sistemas lógicos independientes en los dispositivos de la serie MX reenvía el tráfico a un dominio de puente de VLAN configuradas en los dispositivos de la serie EX.

  • La unidad empresarial 1 requiere una separación adicional. En este caso, el enrutador virtual (VR) configurado en el firewall de la serie SRX reenvía el tráfico directamente al dominio de puente en los dispositivos de la serie EX.

  • Los dispositivos de la serie EX cambian el tráfico al servidor del centro de datos.

  • Los firewalls de la serie SRX aplican políticas de seguridad a todo el tráfico que atraviesa el límite de confianza a confianza y a todo el tráfico reenviado entre sistemas lógicos.

  • Los firewalls serie SRX se configuran en un clúster activo/pasivo de modo que solo un nodo del clúster esté activo en el plano de reenvío de datos a la vez.

  • Los firewalls serie SRX se configuran con un único grupo de redundancia para el plano de datos. El grupo de redundancia usa dos interfaces Ethernet (reth1 y reth2 en la figura 1) como interfaces de miembro.

Configuración de la capa de acceso

Configure la capa de acceso haciendo lo siguiente:

Configuración de interfaces

Procedimiento paso a paso

En este procedimiento se explica cómo configurar las interfaces físicas, lógicas y de administración de red para los dispositivos de capa de acceso. Este procedimiento muestra un ejemplo representativo de la configuración. En el ejemplo no se muestra la configuración de cada interfaz.

  1. Configure las interfaces de 10 Gigabit Ethernet orientadas al servidor de la capa de acceso.

    En este ejemplo, se configura la ge-0/0/17 interfaz con ID 17de VLAN.

    Incluya la member instrucción y especifique id. 17 de VLAN en el [edit interfaces ge-0/0/17 unit 0 family ethernet-switching vlan] nivel de jerarquía.

    Repita este paso para cada interfaz orientada al servidor mediante el nombre de interfaz y el número de VLAN adecuados.

  2. Configure las interfaces de troncalización de 10 Gigabit Ethernet desde el dispositivo de la serie EX a los dos dispositivos de la serie MX.

    En este ejemplo, se configuran las xe-0/1/2 interfaces y xe-0/1/0 .

    Incluya la port-mode instrucción y especifique la trunk opción en los [edit interfaces xe-0/1/2 unit 0 family ethernet-switching] niveles de jerarquía y [edit interfaces xe-0/1/0 unit 0 family ethernet-switching] .

    Incluya la members instrucción y especifique la all opción en los [edit interfaces xe-0/1/2 unit 0 family ethernet-switching vlan] niveles de jerarquía y [edit interfaces xe-0/1/0 unit 0 family ethernet-switching] .

    Repita este paso para cada interfaz troncal de 10 Gigabit Ethernet mediante el nombre de interfaz adecuado.

  3. Habilite la familia de direcciones IPv4 para la interfaz lógica de circuito cerrado.

    Incluya la family instrucción y especifique la inet opción de habilitar IPv4 en el [edit interfaces lo0 unit 0] nivel jerárquico.

    Repita este paso para cada dispositivo de la serie EX mediante el uso de la dirección adecuada para ese dispositivo.

  4. Configure la interfaz Ethernet de administración de dispositivos de la serie EX.

    En este ejemplo, se configura la unit 0 interfaz lógica.

    Incluya la family instrucción y especifique la inet opción en el [edit me0 unit 0] nivel de jerarquía.

    Incluya la address instrucción y especifique 10.8.108.19/24 como dirección IPv4 en el [edit interfaces me0 unit 0 family inet] nivel de jerarquía.

    Repita este paso para cada dispositivo de la serie EX mediante el uso de la dirección de interfaz de administración adecuada para ese dispositivo.

Configuración de VLAN en la capa de acceso

Procedimiento paso a paso

En este procedimiento, se explica cómo configurar los nombres E ID de etiqueta de VLAN y cómo asociar interfaces de troncalización con uno de los dispositivos de capa de acceso. Este procedimiento muestra un ejemplo representativo de la configuración. En el ejemplo no se muestra la configuración de cada VLAN.

  1. Configure el nombre de VLAN y el ID de etiqueta (número) para cada VLAN en el dispositivo serie EX.

    En este ejemplo, se configura una VLAN con el ID 17de nombre vlan17 y etiqueta .

    Incluya la vlan-id instrucción y especifique 17 como id. de etiqueta VLAN en el [edit vlans vlan17] nivel jerárquico.

    Repita este paso para cada VLAN en cada dispositivo de la serie EX mediante los nombres de VLAN y los ID de etiqueta adecuados.

  2. Asocie las interfaces troncales lógicas con cada VLAN en el dispositivo de la serie EX.

    En este ejemplo, se asocian interfaces xe-0/1/0.0 lógicas y xe-0/1/2.0 con vlan17.

    Incluya la interface instrucción y especifique xe-0/1/0.0 en el [edit vlans vlan17] nivel de jerarquía.

    Incluya la interface instrucción y especifique xe-0/1/2.0 en el [edit vlans vlan17] nivel de jerarquía.

    Repita este paso para cada VLAN en cada dispositivo de la serie EX mediante los nombres de interfaz de troncalización adecuados.

Configurar un grupo de troncalización redundante y deshabilitar el protocolo de árbol de expansión para las interfaces de troncalización

Procedimiento paso a paso

En este procedimiento, se explica cómo configurar un grupo de troncalización redundante y cómo deshabilitar el Protocolo de árbol de expansión rápida (RSTP) en las interfaces de troncalización.

  1. Configure las interfaces de troncalización como un grupo de troncalización redundante.

    En este ejemplo, se configuran las xe-0/1/0.0 interfaces de troncalización y xe-0/1/2.0 en un grupo de troncalización redundante denominado rtgroup1.

    Incluya la interface instrucción en el [edit ethernet-switching-options redundant-trunk-group group rtgroup1] nivel de jerarquía y especifique el nombre de cada interfaz de troncalización.

    Incluya la primary instrucción en el [edit ethernet-switching-options redundant-trunk-group group rtgroup1 xe-0/1/2.0] nivel de jerarquía.

    Repita este paso para cada grupo de troncalización redundante con los nombres de interfaz adecuados.

  2. Desactive RSTP en las interfaces de troncalización.

    En un dispositivo de la serie EX, RSTP está habilitado de forma predeterminada. RSTP no se puede habilitar en la misma interfaz que el enrutamiento.

    En este ejemplo, se deshabilita RSTP en las interfaces de xe-0/1/0.0 troncalización y xe-0/1/2.0 .

    Incluya la disable instrucción en los [edit protocols rstp interface xe-0/1/0.0] niveles de jerarquía y [edit protocols rstp interface xe-0/1/2.0] .

    Repita este paso para cada interfaz troncal de núcleo con el nombre de interfaz adecuado.

Configuración de la automatización de administración

Procedimiento paso a paso

Este procedimiento explica cómo configurar rutas estáticas a la red de administración, un host conocido para admitir transferencias de archivos de Protocolo de copia segura (SCP) en segundo plano, una secuencia de comandos de confirmación y un sitio de archivo de eventos.

  1. Configure rutas estáticas para que la interfaz de administración de Ethernet pueda llegar a la red de administración.

    Incluya la route instrucción y especifique 10.8.0.0/16 como la dirección de subred IPv4 de la red de administración en el [edit routing-options static] nivel jerárquico.

    Incluya la next-hop instrucción y especifique la dirección de host IPv4 del enrutador de siguiente salto en el [edit routing-options static route 10.8.0.0/16] nivel de jerarquía.

    Repita este paso para cada interfaz de administración Ethernet en los dispositivos de la serie EX.

  2. Configure un host SSH conocido.

    Incluya la host instrucción y especifique las opciones de clave de host RSA y dirección IPv4 para servidores de confianza en el [edit security ssh-known-hosts] nivel jerárquico. En este ejemplo, la clave de host RSA se trunca para facilitar la lectura.

    Repita este paso para cada dispositivo de la serie EX.

  3. Configure SSH saliente para admitir las transferencias del paquete de mensajes de Juniper (JMB) a los sistemas de soporte de Juniper (JSS).

    En este ejemplo, el ID de cliente se configura como 00187D0B670D.

    Incluya la client instrucción, especifique 00187D0B670D como el ID de cliente y especifique 10.8.7.32 como la dirección IPv4 en el [edit system services outbound-ssh] nivel de jerarquía.

    Incluya la port instrucción y especifique 7804 como puerto TCP en el [edit system services outbound-ssh client 00187D0B670D 10.8.7.32] nivel de jerarquía.

    Incluya la device-id instrucción y especifique FA022D como el ID de dispositivo en el [edit system services outbound-ssh client 00187D0B670D] nivel de jerarquía.

    Incluya la secret instrucción en el [edit system services outbound-ssh client 00187D0B670D ] nivel de jerarquía.

    Incluya la services instrucción y especifique netconf como el servicio disponible en el [edit system services outbound-ssh client 00187D0B670D ] nivel de jerarquía.

    Repita este paso para cada dispositivo de la serie EX.

  4. Configure una secuencia de comandos de confirmación.

    En este ejemplo, el nombre del archivo de secuencia de comandos es jais-activate-scripts.slax.

    Incluya la allow-transients instrucción en el [edit system scripts commit] nivel de jerarquía.

    Incluya la optional instrucción en el [edit system scripts commit file jais-activate-scripts.slax] nivel de jerarquía.

    Repita este paso para cada dispositivo de la serie EX.

  5. Configure un sitio de archivo de eventos.

    En este ejemplo, la DIRECCIÓN URL de archivo es el directorio local /var/tmp/ y el nombre dado al destino es juniper-aim.

    Incluya la archive-sites instrucción y especifique la DIRECCIÓN URL de archivo en el [edit event-options destinations juniper-aim] nivel de jerarquía.

    Repita este paso para cada dispositivo de la serie EX.

Configuración de la capa de agregación en los sistemas lógicos de confianza

Configure la capa de agregación haciendo lo siguiente:

Configuración de interfaces en los sistemas lógicos de confianza

Procedimiento paso a paso

En este procedimiento, se explica cómo configurar las interfaces de enrutamiento físicas, lógicas y de capa 3 para el sistema lógico en la zona de seguridad de confianza de la capa de agregación. Este procedimiento muestra un ejemplo representativo de la configuración. En el ejemplo no se muestra la configuración de cada interfaz.

  1. Habilite el etiquetado de VLAN flexible en las interfaces físicas.

    En este ejemplo, se configura la interfaz xe-1/0/0física .

    Incluya la encapsulation instrucción y especifique la flexible-ethernet-services opción en el [edit interfaces xe-1/0/0] nivel de jerarquía.

    Incluya la flexible-vlan-tagging instrucción en el [edit interfaces xe-1/0/0] nivel de jerarquía.

    Repita este paso para cada interfaz física conectada a los dispositivos serie EX, SERIE SRX y MX con el nombre de interfaz adecuado.

  2. Configure las interfaces de 10 Gigabit Ethernet conectadas al dispositivo de capa de acceso serie EX.

    En este ejemplo, se configura la interfaz 17lógica en la xe-1/0/0 interfaz bajo el sistema lógico denominado Trust1.

    Incluya la encapsulation instrucción y especifique la vlan-bridge opción en el [edit logical-systems Trust1 interfaces xe-1/0/0 unit 17] nivel de jerarquía.

    Incluya la vlan-id instrucción y especifique 17 como id. de VLAN en el [edit logical-systems Trust1 interfaces xe-1/0/0 unit 17] nivel de jerarquía.

    Repita este paso para cada interfaz conectada a los dispositivos de capa de acceso mediante el nombre de interfaz adecuado, el número de interfaz lógica, el ID de VLAN y el nombre del sistema lógico.

  3. Configure las interfaces de 10 Gigabit Ethernet conectadas al otro dispositivo serie MX que se muestra en la figura 1.

    En este ejemplo, se configura la interfaz 17 lógica en la xe-0/1/0 interfaz.

    Incluya la encapsulation instrucción y especifique la vlan-bridge opción en el [edit logical-systems Trust1 interfaces xe-0/1/0 unit 17] nivel de jerarquía.

    Incluya la vlan-id instrucción y especifique 17 como id. de etiqueta VLAN en el [edit logical-systems Trust1 interfaces xe-0/1/0 unit 17] nivel jerárquico.

    Repita este paso para cada interfaz conectada al otro dispositivo serie MX que se muestra en la figura 1 mediante el nombre de interfaz apropiado, el número de interfaz lógica, el ID de VLAN y el nombre del sistema lógico.

  4. Configure la interfaz de 10 Gigabit Ethernet conectada al firewall serie SRX.

    En este ejemplo, se configura la interfaz 15 lógica en la xe-1/1/0 interfaz. Incluya la encapsulation instrucción y especifique la vlan-bridge opción en el [edit logical-systems Trust1 interfaces xe-1/1/0 unit 15] nivel de jerarquía.

    Incluya la vlan-id instrucción y especifique 15 como id. de etiqueta VLAN en el [edit logical-systems Trust1 interfaces xe-1/1/0 unit 15] nivel jerárquico.

    Repita este paso para cada interfaz conectada al firewall de la serie SRX mediante el nombre de interfaz adecuado, el número de interfaz lógica, el ID de VLAN y el nombre lógico del sistema.

  5. Configure la dirección de interfaz de enrutamiento y puente integrados (IRB) de capa 3.

    En este ejemplo, se configura la unit 17 interfaz lógica como 10.17.2.2/24 dirección IPv4 en el sistema lógico denominado Trust1. Incluya la address instrucción y especifique 10.17.2.2/24 como dirección IPv4 en el [edit logical-systems Trust1 interfaces irb unit 17 family inet] nivel de jerarquía.

    Repita este paso para cada IBR de capa 3 mediante el nombre de interfaz lógica y la dirección IPv4 apropiados.

  6. Configure la interfaz IRB para participar en el Protocolo de redundancia de enrutador virtual (VRRP).

    En este ejemplo, se configura la unit 17 interfaz lógica como 17 nombre de grupo VRRP.

    Incluya la virtual-address instrucción y especifique 10.17.2.1 como la dirección IPv4 del enrutador virtual en el [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] nivel jerárquico.

    Incluya la accept-data instrucción en el [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] nivel de jerarquía para que la interfaz acepte paquetes destinados a la dirección IP virtual.

    Incluya la priority instrucción y especifique 200 como prioridad del enrutador en el [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] nivel jerárquico.

    Incluya la fast-interval instrucción y especifique 200 como el intervalo entre anuncios VRRP en el [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] nivel jerárquico.

    Incluya la preempt instrucción en el [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] nivel de jerarquía.

    Repita este paso para cada interfaz IBR de capa 3 mediante el nombre de la interfaz lógica adecuada, la dirección IPv4, el nombre del grupo VRRP y la prioridad.

Configuración de VLAN en la capa de agregación

Procedimiento paso a paso

En este procedimiento, se explica cómo configurar los nombres de VLAN y los ID de etiqueta, y cómo asociar interfaces de troncalización e interfaces de enrutamiento de capa 3 con cada VLAN. Este procedimiento muestra un ejemplo representativo de la configuración. En el ejemplo no se muestra la configuración de cada VLAN.

  1. Configure el nombre de VLAN y el ID de etiqueta (número) para cada VLAN en el dispositivo serie MX.

    En este ejemplo, se configura una VLAN con el nombre vlan17 y el ID 17 de etiqueta en el Sistema Trust1lógico . Incluya la vlan-id instrucción y especifique 17 como id. de VLAN en el [edit logical-systems Trust1 bridge-domains vlan17] nivel de jerarquía.

    Repita este paso para cada VLAN en cada dispositivo de la serie MX mediante el uso de los nombres de VLAN y los ID de etiqueta adecuados.

  2. Asocie las interfaces de troncalización lógicas con cada VLAN en el dispositivo serie MX.

    En este ejemplo, se asocia una interfaz xe-1/0/0.17 lógica que está conectada al dispositivo de la serie EX y a la interfaz xe-0/1/0.17 lógica que está conectada al otro dispositivo de la serie MX con vlan17.

    Incluya la interface instrucción y especifique xe-1/0/0.17 en el [edit logical-systems Trust1 bridge-domains vlan17] nivel de jerarquía.

    Incluya la interface instrucción y especifique xe-0/1/0.17 en el [edit logical-systems Trust1 bridge-domains vlan17] nivel de jerarquía.

    Repita este paso para cada VLAN orientada al servidor en cada dispositivo de la serie MX mediante el uso de los nombres de interfaz de troncalización adecuados.

  3. Asocie una interfaz de capa 3 con cada VLAN en el dispositivo serie MX.

    En este ejemplo, se asocia la irb.17 interfaz con vlan17.

    Incluya la routing-interface instrucción y especifique irb.17 en el [edit logical-systems Trust1 bridge-domains vlan17] nivel de jerarquía.

    Repita este paso para cada VLAN orientada al servidor en cada dispositivo de la serie MX mediante el nombre de interfaz de capa 3 adecuado.

  4. Asocie las interfaces lógicas con cada VLAN de interconexión en el dispositivo serie MX.

    En este ejemplo, se asocia una interfaz xe-1/1/0.15 lógica que está conectada al firewall de la serie SRX y la interfaz xe-0/1/0.15 lógica que está conectada al otro dispositivo de la serie MX con vlan15.

    Incluya la interface instrucción y especifique xe-1/1/0.15 en el [edit logical-systems Trust1 bridge-domains vlan15] nivel de jerarquía.

    Incluya la interface instrucción y especifique xe-0/1/0.15 en el [edit logical-systems Trust1 bridge-domains vlan15] nivel de jerarquía.

    Repita este paso para cada VLAN de interconexión en cada dispositivo serie MX mediante el uso de los nombres de interfaz de interconexión adecuados.

  5. Asocie una interfaz de capa 3 con cada VLAN de interconexión en el dispositivo serie MX para admitir la participación activa en el protocolo OSPF.

    En este ejemplo, se asocia la irb.15 interfaz con vlan15.

    Incluya la routing-interface instrucción y especifique irb.15 en el [edit logical-systems Trust1 bridge-domains vlan15] nivel de jerarquía.

    Repita este paso para cada VLAN orientada al servidor en cada dispositivo de la serie MX mediante el nombre de interfaz de capa 3 adecuado.

Configuración de la instancia de enrutamiento de enrutador virtual

Procedimiento paso a paso

En este procedimiento se explica cómo configurar una única instancia de enrutamiento de enrutador virtual. Este procedimiento muestra un ejemplo representativo de la configuración de ejemplo. En el ejemplo no se muestra la configuración de cada dispositivo.

  1. Configure el tipo de instancia de enrutamiento.

    En este ejemplo, se configura la instancia de enrutamiento con el nombre MX-VR2. Incluya la instance-type instrucción y especifique virtual-router como el tipo en el [edit logical-systems Trust1 routing-instances MX-VR2] nivel de jerarquía.

    Repita este paso para cada enrutador virtual de cada dispositivo de la serie MX mediante el nombre de enrutador virtual adecuado.

  2. Agregue las interfaces IRB utilizadas por la instancia de enrutamiento del enrutador virtual.

    Incluya la interface instrucción y especifique el nombre de cada interfaz IRB en el [edit routing-instances MX-VR2] nivel jerárquico.

    Repita este paso para cada enrutador virtual de cada dispositivo de la serie MX con los nombres de interfaz adecuados.

  3. Configure la interfaz activa del protocolo IGP que usa la instancia de enrutamiento del enrutador virtual para que las tablas de enrutamiento se puedan completar con las rutas a los servidores.

    En este ejemplo, se configura una interfaz IRB para que participe activamente en el área 0.0.0.0de protocolo OSPF.

    Incluya la interface instrucción y especifique el nombre de la interfaz IRB en el [edit logical-systems Trust1 routing-instances MX-VR2 protocols ospf area 0.0.0.0] nivel jerárquico.

    Repita este paso para cada enrutador virtual de cada dispositivo de la serie MX mediante el nombre de enrutador virtual adecuado.

  4. Configure las interfaces pasivas del protocolo de puerta de enlace interior que están asociadas con cada VLAN dentro de la instancia de enrutamiento del enrutador virtual.

    En este ejemplo, se configuran las interfaces IRB para que participen pasivamente en el área 0.0.0.0de protocolo OSPF.

    Incluya la passive instrucción en el [edit logical-systems Trust1 routing-instances MX-VR2 protocols ospf area 0.0.0.0 interface irb-name] nivel de jerarquía.

    Repita este paso para cada enrutador virtual de cada dispositivo de la serie MX mediante el nombre de enrutador virtual adecuado.

  5. Configure el identificador del enrutador del sistema lógico.

    Incluya la router-id instrucción y especifique 10.200.11.101 como identificador de enrutador en el [edit logical-systems Trust1 routing-instances MX-VR2 routing-options] nivel de jerarquía.

    Repita este paso para cada enrutador virtual de cada dispositivo serie MX mediante el identificador de enrutador adecuado.

Configuración de interfaces de administración

Procedimiento paso a paso

En este procedimiento se explica cómo configurar rutas estáticas a la red de administración y a la familia de direcciones IPv4 para la interfaz lógica de circuito cerrado. Este procedimiento muestra un ejemplo representativo de la configuración. En el ejemplo no se muestra la configuración de cada interfaz.

  1. Configure rutas estáticas para que la interfaz de administración de Ethernet pueda llegar a la red de administración.

    Incluya la route instrucción y especifique 10.0.0.0/8 como la dirección de subred IPv4 de la red de administración en el [edit routing-options static] nivel jerárquico.

    Incluya la next-hop instrucción y especifique la dirección de host IPv4 del enrutador de siguiente salto en el [edit routing-options static route 10.0.0.0/8] nivel de jerarquía.

    Incluya las retain instrucciones y no-readvertise en el [edit routing-options static route 10.0.0.0/8] nivel de jerarquía.

    Repita este paso para cada dispositivo de la serie MX.

  2. Configure la interfaz Ethernet de administración de dispositivos serie MX. En este ejemplo, se configura la unit 0 interfaz lógica.

    Incluya la family instrucción y especifique la inet opción en el [edit fxp0 unit 0] nivel de jerarquía.

    Incluya la address instrucción y especifique 10.8.3.212/24 como dirección IPv4 en el [edit interfaces fxp0 unit 0] nivel de jerarquía.

    Repita este paso para cada dispositivo de la serie MX mediante el uso de la dirección de interfaz de administración adecuada para ese dispositivo.

  3. Configure la interfaz lógica de circuito cerrado.

    Incluya la family instrucción y especifique la inet opción en el [edit interfaces lo0 unit 0] nivel de jerarquía.

    Repita este paso para cada dispositivo de la serie MX.

Configuración de cuentas de administrador de sistema lógico

Procedimiento paso a paso

En este procedimiento, se explica cómo configurar clases de cuenta de administrador que se limitan al contexto del sistema lógico al que se asignan y a las cuentas de administrador para cada sistema lógico.

  1. Cree clases de cuenta de administrador.

    En este ejemplo, la clase de trust1-admin usuario se crea con all permisos para el Trust1 sistema lógico.

    Incluya la class instrucción y especifique trust1-admin como el nombre de clase en el [edit system login] nivel de jerarquía.

    Incluya la logical-system instrucción y especifique Trust1 como el nombre del sistema lógico en el [edit system login class trust1-admin] nivel jerárquico.

    Incluya la permissions instrucción y especifique la all opción en el [edit system login class trust1-admin] nivel de jerarquía.

    Repita este paso para las clases trust2-admin y untrust-admin en cada dispositivo serie MX con el nombre de sistema lógico adecuado.

  2. Cree cuentas de administrador que correspondan a cada sistema lógico en el dispositivo serie MX.

    En este ejemplo, se crea la cuenta de trust1 usuario y se asigna la trust1-admin clase.

    Incluya la class instrucción y especifique trust1-admin como la clase de usuario en el [edit system login user trust1] nivel de jerarquía.

    Incluya la encrypted-password instrucción y escriba la cadena de contraseña cifrada en el [edit system login user trust1 authentication] nivel jerárquico.

    Repita este paso para las cuentas de usuario trust2 y de no confianza en cada dispositivo serie MX.

Configuración de la automatización de administración

Procedimiento paso a paso

Este procedimiento explica cómo configurar un host conocido para que admita transferencias de archivos SCP en segundo plano, una secuencia de comandos de confirmación y un sitio de archivo.

  1. Configure una secuencia de comandos de confirmación.

    En este ejemplo, el nombre del archivo de secuencia de comandos es jais-activate-scripts.slax.

    Incluya la allow-transients instrucción en el [edit system scripts commit] nivel de jerarquía.

    Incluya la optional instrucción en el [edit system scripts commit file jais-activate-scripts.slax] nivel de jerarquía.

  2. Configure un sitio de archivo de eventos.

    En este ejemplo, la DIRECCIÓN URL de archivo es el directorio local /var/tmp/ y el nombre que se le da al destino es juniper-aim.

    Incluya la archive-sites instrucción y especifique la DIRECCIÓN URL de archivo en el [edit event-options destinations juniper-aim] nivel de jerarquía.

Configuración de la capa central en los sistemas lógicos no confiables

Configure la capa de núcleo haciendo lo siguiente:

Configuración de interfaces en los sistemas lógicos no confiables

Procedimiento paso a paso

En este procedimiento, se explica cómo configurar las interfaces de enrutamiento físicas, lógicas y de capa 3 para el sistema lógico en la zona de seguridad no confiable de la capa central. Este procedimiento muestra un ejemplo representativo de la configuración. En el ejemplo no se muestra la configuración de cada interfaz.

  1. Configure las interfaces Ethernet redundantes de 10 Gigabit conectadas al otro dispositivo serie MX que se muestra en la figura 1.

    En este ejemplo, se configura la interfaz 19 lógica en la xe-0/3/0 interfaz bajo el sistema lógico denominado Untrust para participar en la VLAN 19. Incluya la encapsulation instrucción y especifique la vlan-bridge opción en el [edit logical-systems Untrust interfaces xe-0/3/0 unit 19] nivel de jerarquía.

    Incluya la vlan-id instrucción y especifique 19 como id. de etiqueta VLAN en el [edit logical-systems Untrust interfaces xe-0/3/0 unit 19] nivel jerárquico.

    Repita este paso para cada interfaz Ethernet redundante conectada al otro dispositivo de la serie MX mediante el nombre de interfaz apropiado, el número de interfaz lógica, el ID de VLAN y el nombre del sistema lógico.

  2. Configure las interfaces de 10 Gigabit Ethernet conectadas al firewall de la serie SRX.

    En este ejemplo, se configura la interfaz 19 lógica en la xe-2/2/0 interfaz bajo el sistema lógico denominado Untrust para participar en la VLAN 19.

    Incluya la encapsulation instrucción y especifique la vlan-bridge opción en el [edit logical-systems Untrust interfaces xe-2/2/0 unit 19] nivel de jerarquía.

    Incluya la vlan-id instrucción y especifique 19 como id. de etiqueta VLAN en el [edit logical-systems Untrust interfaces xe-2/2/0 unit 19] nivel jerárquico.

    Repita este paso para cada interfaz Ethernet redundante conectada al firewall de la serie SRX mediante el nombre de interfaz adecuado, el número de interfaz lógica, el ID de VLAN y el nombre lógico del sistema.

  3. Configure las interfaces de 10 Gigabit Ethernet conectadas a la red central basada en IP/MPLS.

    En este ejemplo, se configura la interfaz 0 lógica en la xe-1/3/0 interfaz bajo el sistema lógico denominado Untrust.

    Incluya la address instrucción y especifique 10.200.4.1/30 como dirección IPv4 en el [edit logical-systems Untrust interfaces xe-1/3/0 unit 0 family inet] nivel de jerarquía.

    Incluya la family instrucción y especifique la mpls opción en el [edit logical-systems Untrust interfaces xe-1/3/0 unit 0] nivel de jerarquía.

    Repita este paso para cada interfaz de 10 Gigabit Ethernet conectada a la red del proveedor de servicios mediante el uso del nombre de interfaz adecuado, número de interfaz lógica, dirección IPv4 y nombre del sistema lógico.

  4. Configure la dirección de interfaz IRB de capa 3.

    En este ejemplo, se configura la unit 19 interfaz lógica que participa en la VLAN 19 con 10.19.2.1/24 como dirección IPv4 en el sistema lógico denominado Untrust.

    Incluya la address instrucción y especifique 10.19.2.1/24 como dirección IPv4 en el [edit logical-systems Untrust interfaces irb unit 19 family inet] nivel de jerarquía.

    Repita este paso para cada interfaz IRB de capa 3 mediante el nombre de interfaz lógica y la dirección IPv4 apropiados.

  5. Configure una dirección IP para la interfaz lógica de circuito cerrado del sistema Untrustlógico.

    Incluya la address instrucción y especifique 10.200.11.1/32 como dirección IPv4 en el [edit logical-systems Untrust interfaces lo0 unit 1 family inet] nivel de jerarquía.

    Repita este paso para cada dispositivo de la serie MX con la dirección IPv4 adecuada.

Configuración de VLAN en la capa de núcleo

Procedimiento paso a paso

En este procedimiento, se explica cómo configurar los nombres de VLAN e ID de etiqueta, y cómo asociar interfaces e interfaces de enrutamiento de capa 3 con cada VLAN de interconexión de núcleo. Este procedimiento muestra un ejemplo representativo de la configuración. En el ejemplo no se muestra la configuración de cada VLAN.

  1. Configure el nombre de VLAN y el ID de etiqueta (número) para cada VLAN de interconexión de núcleo en el dispositivo serie MX.

    En este ejemplo, se configura una VLAN con el nombre vlan14 y el ID 14 de etiqueta en el Sistema Untrustlógico .

    Incluya la vlan-id instrucción y especifique 14 como id. de VLAN en el [edit logical-systems Untrust bridge-domains vlan14] nivel de jerarquía.

    Repita este paso para cada VLAN en cada dispositivo de la serie MX mediante el uso de los nombres de VLAN y los ID de etiqueta adecuados.

  2. Asocie las interfaces lógicas con cada VLAN en el dispositivo serie MX.

    En este ejemplo, se asocia una interfaz xe-0/3/0.14 lógica que está conectada al otro dispositivo de la serie MX y xe-2/2/0.14 que está conectada al firewall serie SRX con vlan14.

    Incluya la interface instrucción y especifique xe-0/3/0.14 en el [edit logical-systems Untrust bridge-domains vlan14] nivel de jerarquía.

    Incluya la interface instrucción y especifique xe-2/2/0.14 en el [edit logical-systems Untrust bridge-domains vlan14] nivel de jerarquía.

    Repita este paso para cada VLAN de interconexión de núcleo en cada dispositivo de la serie MX mediante los nombres de interfaz adecuados.

  3. Asocie una interfaz de capa 3 con cada VLAN en el dispositivo serie MX.

    En este ejemplo, se asocia la irb.14 interfaz con vlan14.

    Incluya la routing-interface instrucción y especifique irb.14 en el [edit logical-systems Untrust bridge-domains vlan14] nivel de jerarquía.

    Repita este paso para cada VLAN de interconexión de núcleo en cada dispositivo serie MX mediante el nombre de interfaz de capa 3 adecuado.

Configuración de protocolos en el sistema lógico no confiable

Procedimiento paso a paso

En este procedimiento, se explica cómo configurar los protocolos BGP, MPLS, RSVP y OSPF para logical System Untrust. Este procedimiento muestra un ejemplo representativo de la configuración. En el ejemplo no se muestra la configuración de cada dispositivo.

  1. Agregue interfaces al protocolo OSPF en el dispositivo serie MX.

    En este ejemplo, se agregan interfaces lógicas xe-1/3/0.0 y lo0.1 al protocolo OSPF utilizado en la red central.

    Incluya la interface instrucción y especifique las xe-1/3/0.0 interfaces y lo0.1 en el [edit logical-systems Untrust protocols ospf area 0.0.0.0] nivel de jerarquía.

    Repita este paso para cada interfaz de 10 Gigabit Ethernet conectada a los dispositivos de capa central mediante el nombre de interfaz adecuado.

  2. Configure el túnel de encapsulación de enrutador genérico (GRE).

    En este ejemplo, se habilita un túnel GRE dinámico denominado GRE1.

    Incluya la gre instrucción para especificar el tipo de túnel en el [edit logical-systems Untrust routing-options dynamic-tunnel GRE1] nivel de jerarquía.

    Incluya la source-address instrucción y especifique 10.200.11.1 como dirección de origen IPv4 en el [edit logical-systems Untrust routing-options dynamic-tunnel GRE1] nivel jerárquico.

    Incluya la destination-networks instrucción y especifique 0.0.0.0/0 como el prefijo de destino en el [edit logical-systems Untrust routing-options dynamic-tunnel GRE1] nivel de jerarquía.

    Repita este paso para cada dispositivo de la serie MX con la dirección de origen adecuada.

  3. Configure el número de sistema autónomo local del sistema lógico y el identificador del enrutador.

    Incluya la autonomous-system instrucción y especifique 64500 como número de sistema autónomo en el [edit logical-systems Untrust routing-options] nivel jerárquico.

    Incluya la router-id instrucción y especifique 10.200.11.101 como identificador de enrutador en el [edit logical-systems Untrust routing-options] nivel de jerarquía.

    Repita este paso para cada dispositivo de la serie MX mediante el identificador de enrutador apropiado y el número de sistema autónomo 64500.

  4. Configure el grupo de pares interno del BGP.

    Incluya la type instrucción y especifique la internal opción en el [edit logical-systems Untrust protocols bgp group int] nivel de jerarquía.

    Incluya la local-address instrucción y especifique el ID de enrutador (10.200.11.1) de Logical System Untrust como la dirección local en el [edit logical-systems Untrust protocols bgp group int] nivel de jerarquía.

    Incluya la unicast instrucción en los [edit logical-systems Untrust protocols bgp group int family inet] niveles de jerarquía y [edit logical-systems Untrust protocols bgp group int family inet-vpn] .

    Incluya la local-as instrucción y especifique 64500 como número de sistema autónomo local en el [edit logical-systems Untrust protocols bgp group int] nivel jerárquico.

    Incluya la peer-as instrucción y especifique 64500 como número par de sistema autónomo en el [edit logical-systems Untrust protocols bgp group int] nivel jerárquico.

    Incluya la neighbor instrucción y especifique las direcciones IPv4 vecinas en el [edit logical-systems Untrust protocols bgp group int] nivel jerárquico.

    Las direcciones de vecino son las direcciones de ID de enrutador del otro dispositivo serie MX en el centro de datos local, los dispositivos serie MX en un centro de datos remoto y los enrutadores ubicados en la red central basada en IP/MPLS.

    Repita este paso para cada dispositivo de la serie MX.

  5. Agregue interfaces al protocolo MPLS utilizado en la red central del proveedor de servicios.

    En este ejemplo, se agregan las xe-1/3/0.0 interfaces y xe-2/3/0.0 que están conectadas a la red central del proveedor de servicios.

    Incluya la interface instrucción y especifique las xe-1/3/0.0 interfaces y xe-2/3/0.0 en el [edit logical-systems Untrust protocols mpls] nivel de jerarquía.

    Repita este paso para cada dispositivo de la serie MX.

  6. Cree un LSP MPLS en el enrutador que se encuentra en la red central basada en MPLS.

    En este ejemplo, se crea un LSP denominado to-core-router.

    Incluya la to instrucción y especifique 10.200.11.3 como la dirección IPv4 del enrutador de núcleo en el [edit logical-systems Untrust protocols mpls label-switched-path to-core-router] nivel jerárquico.

    Incluya la no-cspf instrucción en el [edit logical-systems Untrust protocols mpls] nivel de jerarquía.

    Repita este paso para cada dispositivo de la serie MX.

  7. Agregue interfaces al protocolo RSVP utilizado en la red central basada en MPLS.

    Incluya la interface instrucción y especifique las xe-1/3/0.0 interfaces y xe-2/3/0.0 en el [edit logical-systems Untrust protocols rsvp] nivel de jerarquía.

    Repita este paso para cada dispositivo de la serie MX.

Configuración del dispositivo de seguridad

Los procedimientos siguientes explican cómo configurar las interfaces de Ethernet redundantes, el clúster de nodos, las zonas de seguridad, las políticas de seguridad y las políticas de enrutamiento para la zona de seguridad de confianza de la capa de acceso.

Configuración del grupo de agregación de vínculos de interfaz Ethernet redundante

Procedimiento paso a paso

En este procedimiento se explica cómo configurar el grupo de agregación de vínculos de interfaz Ethernet redundante. Este procedimiento muestra un ejemplo representativo de la configuración. En el ejemplo no se muestra la configuración de cada interfaz.

  1. Configure la cantidad de interfaces Ethernet agregadas compatibles con el nodo.

    En este ejemplo, se habilita la compatibilidad con dos interfaces.

    Incluya la device-count instrucción y especifique 2 como el número de interfaces compatibles en el [edit chassis aggregated-devices ethernet] nivel de jerarquía.

    Repita este paso para cada firewall de la serie SRX mediante el recuento de dispositivos adecuado.

  2. Asigne interfaces secundarias de 10 Gigabit Ethernet a la interfaz principal redundante de Ethernet (reth).

    En este ejemplo, se asigna la xe-1/0/0 interfaz secundaria de 10 Gigabit Ethernet a la reth1 interfaz principal en node0.

    Incluya la redundant-parent instrucción y especifique reth1 como interfaz principal en el [edit interfaces xe-1/0/0 gigether-options] nivel de jerarquía.

    Repita este paso para cada interfaz Ethernet redundante mediante el nombre de interfaz apropiado y el nombre primario redundante.

  3. Configure las opciones de interfaz principal de Ethernet redundante.

    En este ejemplo, se configura la reth1 interfaz principal redundante.

    Incluya la redundancy-group instrucción y especifique 1 como número de grupo en el [edit interfaces reth1 redundant-ether-options] nivel de jerarquía.

    Incluya la vlan-tagging instrucción en el [edit interfaces reth1] nivel de jerarquía.

    Repita este paso para cada interfaz principal redundante mediante el nombre principal redundante y el número de grupo de redundancia adecuados.

  4. Configure las interfaces lógicas principales de Ethernet redundantes.

    En este ejemplo, se configura la unit 15 interfaz lógica.

    Incluya la address instrucción y especifique 10.15.2.2/24 como dirección IPv4 en el [edit interfaces reth1 unit 15 family inet] nivel de jerarquía.

    Incluya la vlan-id instrucción y especifique 15 como identificador de VLAN en el [edit interfaces reth1 unit 15] nivel de jerarquía.

    Repita este paso para cada interfaz principal redundante mediante el nombre primario redundante, la dirección IPv4 y el identificador VLAN adecuados.

Configuración del clúster de la serie SRX

Procedimiento paso a paso

En este procedimiento se explica cómo configurar conexiones de estructura entre los nodos del clúster. Este procedimiento muestra un ejemplo representativo de la configuración. En el ejemplo no se muestra la configuración de cada interfaz.

  1. Configure la interfaz de 10 Gigabit Ethernet para que sirva como estructura entre los nodos del clúster.

    En este ejemplo, se configura xe-1/0/1 como interfaz de estructura secundaria y fab0 como interfaz de estructura principal. La conexión es de SRX0 a SRX1.

    Incluya la member-interfaces instrucción y especifique la xe-1/0/1 interfaz en el [edit interfaces fab0 fabric-options] nivel de jerarquía.

    Repita este paso para cada interfaz de 10 Gigabit Ethernet que forme parte de la estructura del clúster mediante el nombre de interfaz secundario y el nombre de interfaz principal adecuados.

  2. Configure la cantidad de interfaces Ethernet redundantes que admite el clúster.

    En este ejemplo, se configura 4 como el número de interfaces.

    Incluya la reth-count instrucción y especifique 4 como el número de interfaces en el [edit chassis cluster] nivel jerárquico.

    Repita este paso para todos los firewalls de la serie SRX del clúster.

  3. Configure la prioridad de nodo para el grupo de redundancia para determinar qué nodo es principal y cuál es secundario.

    En este ejemplo, se configura node 0 con una prioridad más alta.

    Incluya la priority instrucción y especifique 200 en el [edit chassis cluster redundancy-group 1 node 0] nivel de jerarquía.

    Incluya la priority instrucción y especifique 100 en el [edit chassis cluster redundancy-group 1 node 1] nivel de jerarquía.

    Repita este paso para cada grupo de redundancia en cada firewall serie SRX del clúster.

  4. Permita que un nodo con una prioridad más alta inicie una conmutación por error para convertirse en el nodo principal del grupo de redundancia.

    Incluya la preempt instrucción en el [edit chassis cluster redundancy-group 1] nivel de jerarquía.

    Repita este paso para cada grupo de redundancia en cada firewall serie SRX del clúster.

  5. Habilite la recuperación del vínculo de control para que se realice automáticamente.

    Incluya la control-link-recovery instrucción en el [edit chassis cluster] nivel de jerarquía.

    Repita este paso para cada grupo de redundancia en cada firewall serie SRX del clúster.

  6. Habilite la supervisión de interfaz para supervisar el estado de las interfaces y activar la conmutación por error del grupo de redundancia.

    En este ejemplo, se configura la xe-1/0/0 interfaz con un peso de 255.

    Incluya la weight instrucción en el [edit chassis cluster redundancy-group 1 interface-monitor xe-1/0/0] nivel de jerarquía.

    Repita este paso para cada interfaz de grupo de redundancia en cada firewall serie SRX del clúster.

Creación de zonas de seguridad y configuración de la acción de la política de tráfico encuadernada

Procedimiento paso a paso

En este procedimiento, se explica cómo configurar las zonas de seguridad de confianza y no confiables en el firewall serie SRX. Este procedimiento muestra un ejemplo representativo de la configuración. En el ejemplo no se muestra la configuración para cada zona.

  1. Asigne una interfaz lógica Ethernet redundante a una zona de confianza.

    En este ejemplo, se asigna la reth1.15 interfaz a la Trust2 zona.

    Incluya la interfaces instrucción y especifique reth1.15 como interfaz en la zona en el [edit security zones security-zone Trust2] nivel de jerarquía.

    Repita este paso para cada zona de seguridad de confianza mediante el nombre de zona adecuado y el nombre de interfaz lógica redundante de Ethernet.

  2. Asigne una interfaz lógica Ethernet redundante a las zonas que no son de confianza.

    En este ejemplo, se asigna la reth2.19 interfaz a la Untrust2 zona.

    Incluya la interfaces instrucción y especifique reth2.19 como interfaz en la zona en el [edit security zones security-zone Untrust2] nivel de jerarquía.

    Repita este paso para cada zona de seguridad no confiable mediante el nombre de zona adecuado y el nombre de interfaz lógica redundante de Ethernet.

  3. Habilite todo el tráfico de servicios del sistema entrante en la zona de seguridad de confianza.

    En este ejemplo, se habilitan todos los servicios para la Trust2 zona.

    Incluya la system-services instrucción y especifique la all opción en el [edit security zones security-zone Trust2 host-inbound-traffic] nivel de jerarquía.

    Repita este paso para todas las zonas de seguridad del firewall serie SRX en las que se permiten los servicios del sistema.

  4. Habilite todos los protocolos para el tráfico entrante en la zona de seguridad de confianza.

    En este ejemplo, se habilitan todos los protocolos para la Trust2 zona.

    Incluya la protocols instrucción y especifique la all opción en el [edit security zones security-zone Trust2 host-inbound-traffic] nivel de jerarquía.

    Repita este paso para todas las zonas de seguridad del firewall serie SRX en las que todos los protocolos están permitidos para el tráfico entrante.

Configuración de las políticas de zona de seguridad

Procedimiento paso a paso

En este procedimiento se explica cómo configurar las políticas de zona de seguridad en el firewall serie SRX. Este procedimiento muestra un ejemplo representativo de la configuración. En el ejemplo no se muestra la configuración de cada política.

  1. Defina de qué zona viene el tráfico y a qué tráfico de zona va a la política que se está creando.

    En este ejemplo, se definen las zonas Trust2 desde como y a como Untrust2.

    En una sola línea de comandos, incluya la from-zone instrucción y especifique Trust2, incluya la to-zone instrucción y especifique Untrust2, incluya la policy instrucción y especifique denyftp como el nombre de política, e incluyó la match instrucción en el [edit security policies] nivel de jerarquía.

    Repita este paso para cada política que controle el tráfico entre zonas.

  2. Configure los criterios de coincidencia de política para denegar tráfico.

    En este ejemplo, se hace coincidir la aplicación FTP Junos OS desde cualquier origen hasta cualquier dirección de destino en una política denominada denyftp.

    Incluya la source-address instrucción y especifique any como dirección IPv4 en el [edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match] nivel de jerarquía.

    Incluya la destination-address instrucción y especifique any como dirección IPv4 en el [edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match] nivel de jerarquía.

    Incluya la application instrucción y especifique junos-ftp como la aplicación en el [edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match] nivel de jerarquía.

    Repita este paso para cada política de coincidencia de protocolo mediante el protocolo correcto.

  3. Bloquee aplicaciones específicas para que pasen de la zona Trust2 a la zona Untrust2.

    En este ejemplo, se niega la aplicación FTP junos OS de la Trust2 zona a la Untrust2 zona.

    Incluya la deny instrucción en el [edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp then] nivel de jerarquía.

    Repita este paso para cada política de denegación.

  4. Configure los criterios de coincidencia de política para permitir tráfico.

    En este ejemplo, se hace coincidir una aplicación desde cualquier origen hasta cualquier dirección de destino en una política denominada allow_all.

    Incluya la source-address instrucción y especifique any como dirección IPv4 en el [edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match] nivel de jerarquía.

    Incluya la destination-address instrucción y especifique any como dirección IPv4 en el [edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match] nivel de jerarquía.

    Incluya la application instrucción y especifique any como la aplicación en el [edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match] nivel de jerarquía.

    Repita este paso para cada política de coincidencia de aplicación.

  5. Permita que cualquier tráfico de aplicación pase de la zona Trust2 a la zona Untrust2.

    En este ejemplo, se permite el tráfico de cualquier aplicación desde la Trust2 zona hasta la Untrust2 zona.

    Incluya la permit instrucción en el [edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all then] nivel de jerarquía.

    Repita este paso para cada política de permisos.

Creación de las políticas de enrutamiento

Procedimiento paso a paso

En este procedimiento se explica cómo crear las políticas de enrutamiento en el firewall serie SRX que se pueden aplicar a las instancias de enrutamiento adecuadas. Este procedimiento muestra un ejemplo representativo de la configuración. En el ejemplo no se muestra la configuración de cada política.

  1. Cree una política para establecer la preferencia local para las rutas del BGP a 120.

    En este ejemplo, se crea una política denominada local-pref-120 que establece el valor de preferencia local del BGP para las rutas recibidas anunciadas por el BGP en 120.

    Incluya la protocol instrucción y especifique bgp como el valor en el [edit policy-options policy-statement local-pref-120 term term1 from] nivel de jerarquía.

    Incluya la local-preference instrucción y especifique 120 como el valor en el [edit policy-options policy-statement local-pref-120 term term1 then] nivel de jerarquía.

    Repita este paso para cada firewall serie SRX.

  2. Configure los criterios de coincidencia para una política denominada default-ospf para aceptar todas las rutas agregadas (generadas).

    Incluya la protocol instrucción y especifique aggregate como el protocolo que coincidirá en el [edit policy-options policy-statement default-ospf term term1 from] nivel de jerarquía.

    Incluya la route-filter instrucción y especifique 0.0.0.0/0 exact como criterios de coincidencia en el [edit policy-options policy-statement default-ospf term term1 from] nivel de jerarquía.

    Repita este paso para cada firewall serie SRX.

  3. Configure la acción para una política para establecer la métrica en 0, y establezca el tipo de ruta externa en 1.

    En este ejemplo, se configura una política denominada default-ospf que establece la métrica en 0, establece el tipo 1de ruta externa y acepta rutas agregadas en la tabla de enrutamiento.

    Incluya la metric instrucción y especifique 0 como el tipo externo en el [edit policy-options policy-statement default-ospf term term1 then] nivel de jerarquía.

    Incluya la type instrucción y especifique 1 como el tipo de ruta externa en el [edit policy-options policy-statement default-ospf term term1 then external] nivel de jerarquía.

    Incluya la accept instrucción en el [edit policy-options policy-statement default-ospf term term1 then] nivel de jerarquía.

    Repita este paso para cada firewall serie SRX.

  4. Cree una política que acepte rutas OSPF con prefijos especificados.

    En este ejemplo, se crea una política denominada trust2-ebgp-out que acepta rutas OSPF con los prefijos de ruta que corresponden a las subredes para cada VLAN de confianza.

    Incluya la protocol instrucción y especifique ospf como el protocolo en el [edit policy-options policy-statement trust2-ebgp-out term term1 from] nivel de jerarquía.

    Incluya la route-filter instrucción y especifique las direcciones de subred VLAN y la exact palabra clave de coincidencia en el [edit policy-options policy-statement trust2-ebgp-out term term1 from] nivel jerárquico.

    Incluya la accept instrucción en el [edit policy-options policy-statement trust2-ebgp-out term term1 then] nivel de jerarquía.

    Repita este paso para cada firewall serie SRX.

  5. Cree una política que acepte rutas de BGP si el tipo de ruta es externo.

    En este ejemplo, se crea una política denominada check-bgp-routes que acepta rutas de BGP solo si el tipo de ruta es externo.

    Incluya la protocol instrucción y especifique bgp como el protocolo en el [edit policy-options policy-statement check-bgp-routes term term1 from] nivel de jerarquía.

    Incluya la route-type instrucción y especifique la external opción en el [edit policy-options policy-statement check-bgp-routes term term1 from] nivel de jerarquía.

    Incluya la accept instrucción en el [edit policy-options policy-statement check-bgp-routes term term1 then] nivel de jerarquía.

    Repita este paso para cada firewall serie SRX.

  6. Cree una política que acepte rutas de otras instancias de enrutamiento de enrutador virtual.

    En este ejemplo, se crea una política denominada from_srx_vr1 que acepta rutas de la instancia SRX-VR1de enrutamiento.

    Incluya la instance instrucción y especifique SRX-VR1 como el nombre de instancia de enrutamiento en el [edit policy-options policy-statement from_srx_vr1 term term1 from] nivel jerárquico.

    Incluya la accept instrucción en el [edit policy-options policy-statement from_srx_vr1 term term1 then] nivel de jerarquía.

    Repita este paso para cada enrutador virtual en cada firewall serie SRX.

Configuración de la instancia de enrutamiento de enrutador virtual

Procedimiento paso a paso

En este procedimiento se explica cómo configurar una única instancia de enrutamiento de enrutador virtual. Este procedimiento muestra un ejemplo representativo de la configuración de ejemplo. En el ejemplo no se muestra la configuración de cada instancia de enrutamiento de enrutador virtual.

  1. Configure el tipo de instancia de enrutamiento.

    En este ejemplo, se configura la instancia de enrutamiento con el nombre SRX-VR2.

    Incluya la instance-type instrucción y especifique virtual-router como el tipo en el [edit routing-instances SRX-VR2] nivel de jerarquía.

    Repita este paso para cada enrutador virtual de cada firewall serie SRX mediante el nombre adecuado del enrutador virtual.

  2. Agregue las interfaces Ethernet redundantes que utiliza la instancia de enrutamiento del enrutador virtual.

    En este ejemplo, se agrega reth1.15 e reth2.19 interfaces a la instancia de SRX-VR2 enrutamiento.

    Incluya la interface instrucción y especifique el nombre de la interfaz Ethernet redundante en el [edit routing-instances SRX-VR2] nivel jerárquico.

    Repita este paso para cada enrutador virtual de cada firewall serie SRX mediante el nombre de enrutador virtual y los nombres de interfaz adecuados.

  3. Configure las opciones de enrutamiento que usa la instancia de enrutamiento del enrutador virtual.

    En este ejemplo, se configura el número de sistema autónomo y se habilita la función de reinicio agraciado en la instancia de SRX-VR2 enrutamiento.

    Incluya la autonomous-system instrucción y especifique 65019 como número de sistema autónomo en el [edit routing-instances SRX-VR2 routing-options] nivel jerárquico.

    Incluya la graceful-restart instrucción en el [edit routing-instances SRX-VR2 routing-options] nivel de jerarquía.

    Repita este paso para cada enrutador virtual de cada firewall serie SRX mediante el nombre de enrutador virtual y los nombres de interfaz adecuados.

  4. Aplique la política de enrutamiento que acepta rutas de BGP externas y las usa como rutas generadas para la instancia de enrutamiento.

    En este ejemplo, se aplica la política denominada check-bgp-routes a la instancia de SRX-VR2 enrutamiento.

    Incluya la policy instrucción y especifique check-bgp-routes en el [edit routing-instances SRX-VR2 routing-options generate route 0.0.0.0/0] nivel de jerarquía.

    Incluya la graceful-restart instrucción en el [edit routing-instances SRX-VR2 routing-options] nivel de jerarquía.

    Repita este paso para cada enrutador virtual de cada firewall serie SRX mediante el nombre de enrutador virtual y los nombres de interfaz adecuados.

  5. Aplique la política de enrutamiento que acepta rutas de otras instancias de enrutamiento.

    En este ejemplo, se aplica la política denominada from_srx_vr1 a la instancia de SRX-VR2 enrutamiento.

    Incluya la instance-import instrucción y especifique from_srx_vr1 en el [edit routing-instances SRX-VR2 routing-options] nivel de jerarquía.

    Repita este paso para todos los enrutadores virtuales de cada firewall serie SRX, excepto para la instancia de SRX-VR1.

  6. Configure la política de exportación de protocolo IGP que usa la instancia de enrutamiento del enrutador virtual en la zona de seguridad de confianza.

    En este ejemplo, se configura la default-ospf política.

    Incluya la export instrucción y especifique default-ospf como el nombre de política en el [edit routing-instances SRX-VR2 protocols ospf] nivel de jerarquía.

    Repita este paso para cada enrutador virtual en cada firewall serie SRX mediante el nombre de enrutador virtual y el nombre de la política adecuados.

  7. Configure las interfaces activas y pasivas del protocolo IGP utilizadas por la instancia de enrutamiento de enrutador virtual en la zona de seguridad de confianza.

    En este ejemplo, se configura la reth1.15 interfaz Ethernet redundante para que participe activamente en el área de protocolo OSPF 0.0.0.0 y la reth2.19 interfaz Ethernet redundante para participar pasivamente.

    Incluya la interface instrucción y especifique reth1.15 en el [edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0] nivel de jerarquía.

    Incluya la interface instrucción y especifique reth2.19 en el [edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0] nivel de jerarquía.

    Incluya la passive instrucción en el [edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0 reth2.19] nivel de jerarquía.

    Repita este paso para cada enrutador virtual de cada firewall serie SRX mediante el nombre de enrutador virtual y los nombres de interfaz adecuados.

  8. Configure los grupos de pares de protocolo BGP que usa la instancia de enrutamiento del enrutador virtual en la zona de seguridad que no es de confianza.

    Incluya la type instrucción y especifique la external opción en el [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] nivel de jerarquía.

    Incluya la peer-as instrucción y especifique 64500 como número par de sistema autónomo en el [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] nivel jerárquico.

    Incluya la neighbor instrucción y especifique 10.19.2.1 como la dirección de vecino IPv4 en el [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] nivel jerárquico. La dirección de vecino es la dirección de interfaz lógica IRB de la instancia de enrutamiento VRF en el dispositivo serie MX.

    Repita este paso para cada enrutador virtual en cada firewall serie SRX mediante el uso del nombre de enrutador virtual, el tipo de instancia, la dirección de vecino y el número de AS de par adecuados.

  9. Configure los grupos pares de protocolo BGP de exportación e importación de políticas que usa la instancia de enrutamiento de enrutador virtual en la zona de seguridad que no es de confianza.

    Incluya la export instrucción y especifique trust2-ebgp-out como el nombre de política de exportación en el [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] nivel de jerarquía.

    Incluya la import instrucción y especifique local-pref-120 como nombre de política de importación en el [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] nivel jerárquico.

    Repita este paso para cada enrutador virtual en cada firewall serie SRX mediante el uso del nombre de enrutador virtual, la política de exportación y la política de importación adecuados.

Resultados

Se completaron los pasos de configuración de este ejemplo. La siguiente sección es para su referencia.

A continuación, se muestra la configuración de ejemplo relevante para el dispositivo de la serie EX.

Dispositivo de la serie EX

A continuación, se muestra la configuración de ejemplo relevante para el dispositivo de la serie MX.

Dispositivo serie MX

A continuación, se muestra la configuración de ejemplo relevante para el firewall de la serie SRX.

Firewall serie SRX

Ver también

Documentación relacionada