Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Interfaces de capa 2 en dispositivos de seguridad

Descripción de interfaces de capa 2 en dispositivos de seguridad

Las interfaces lógicas de capa 2 se crean definiendo una o más unidades lógicas en una interfaz física con el tipo ethernet-switchingde dirección de familia. Si una interfaz física tiene una ethernet-switchinginterfaz lógica de familia, no puede tener ningún otro tipo de familia en sus interfaces lógicas. Una interfaz lógica se puede configurar en uno de los modos siguientes:

  • Modo de acceso: la interfaz acepta paquetes sin etiquetar, asigna el identificador de VLAN especificado al paquete y reenvía el paquete dentro de la VLAN que está configurada con el identificador de VLAN correspondiente.

  • Modo de troncalización: la interfaz acepta cualquier paquete etiquetado con un identificador de VLAN que coincida con una lista especificada de identificadores de VLAN. Las interfaces de modo de troncalización se utilizan generalmente para interconectar conmutadores. Para configurar un identificador de VLAN para paquetes sin etiquetar recibidos en la interfaz física, utilice la native-vlan-id opción. Si la native-vlan-id opción no está configurada, se pierden los paquetes sin etiquetar.

Nota:

Se pueden definir interfaces lógicas de modo de troncalización múltiple, siempre y cuando los identificadores de VLAN de una interfaz troncal no se superpongan con los de otra interfaz de troncalización. Debe native-vlan-id pertenecer a una lista de identificadores VLAN configurada para una interfaz troncal.

Ejemplo: Configuración de interfaces lógicas de capa 2 en dispositivos de seguridad

En este ejemplo, se muestra cómo configurar una interfaz lógica de capa 2 como un puerto de troncalización para que los paquetes entrantes se puedan redirigir selectivamente a un firewall u otro dispositivo de seguridad.

Requisitos

Antes de comenzar, configure las VLAN. Vea el ejemplo: Configuración de redes VLAN en dispositivos de seguridad.

Descripción general

En este ejemplo, se configura la interfaz lógica ge-3/0/0.0 como un puerto de troncalización que transporta el tráfico de paquetes etiquetados con identificadores de VLAN del 1 al 10; esta interfaz se asigna implícitamente a las VLAN configuradas anteriormente vlan-a y vlan-b. Luego, asigna un ID de VLAN de 10 a cualquier paquete sin etiquetar recibidos en la interfaz física ge-3/0/0.

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar una interfaz lógica de capa 2 como puerto de troncalización:

  1. Configure la interfaz lógica.

  2. Especifique un ID de VLAN para paquetes sin etiquetar.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba los show interfaces ge-3/0/0 comandos y show interfaces ge-3/0/0.0 .

Descripción del modo mixto (modo transparente y de ruta) en dispositivos de seguridad

El modo mixto admite tanto el modo transparente (capa 2) como el modo de ruta (capa 3); es el modo predeterminado. Puede configurar interfaces de capa 2 y capa 3 simultáneamente mediante zonas de seguridad independientes.

Nota:

Para la configuración del modo mixto, debe reiniciar el dispositivo después de confirmar los cambios. Sin embargo, para los dispositivos de la línea SRX5000, no es necesario reiniciar.

Los dispositivos SRX4100 y SRX4200 admiten sistema lógico en modo transparente y de ruta

El dispositivo SRX4600 solo admite sistema lógico en modo de ruta

En modo mixto (modo transparente y ruta):

  • No hay enrutamiento entre las interfaces IRB y entre las interfaces IRB y las interfaces de capa 3.

El dispositivo en Figura 1 se ve como dos dispositivos separados. Un dispositivo se ejecuta en modo transparente de capa 2 y el otro dispositivo se ejecuta en modo de enrutamiento de capa 3. Pero ambos dispositivos se ejecutan de forma independiente. Los paquetes no se pueden transferir entre las interfaces de capa 2 y capa 3, ya que no hay enrutamiento entre las interfaces IRB y entre las interfaces IRB y las interfaces de capa 3.

Figura 1: Arquitectura de modo de ruta y transparente mixtoArquitectura de modo de ruta y transparente mixto

En el modo mixto, la interfaz física de Ethernet puede ser una interfaz de capa 2 o una interfaz de capa 3, pero la interfaz física de Ethernet no puede ser ambas simultáneamente. Sin embargo, las familias de capa 2 y capa 3 pueden existir en interfaces físicas separadas en el mismo dispositivo.

Tabla 1 enumera los tipos de interfaz física de Ethernet y los tipos de familia compatibles.

Tabla 1: Interfaz física Ethernet y tipos de familia compatibles

Tipo de interfaz física Ethernet

Tipo de familia compatible

Interfaz de capa 2

ethernet-switching

Interfaz de capa 3

inet Y inet6

Nota:

Se admiten varias instancias de enrutamiento.

Puede configurar la pseudointerfase irb.x y la interfaz de capa 3 en la misma instancia de enrutamiento predeterminada mediante una instancia de enrutamiento predeterminada o una instancia de enrutamiento definida por el usuario. Consulte Figura 2.

Figura 2: Modo de ruta y transparente mixtoModo de ruta y transparente mixto

Los paquetes de la interfaz de capa 2 se conmutan dentro de la misma VLAN o se conectan al host a través de la interfaz IRB. Los paquetes no se pueden enrutar a otra interfaz IRB o a una interfaz de capa 3 a través de su propia interfaz IRB.

Los paquetes de la interfaz de capa 3 se enrutan a otra interfaz de capa 3. Los paquetes no se pueden enrutar a una interfaz de capa 2 mediante una interfaz IRB.

Tabla 2 enumera las características de seguridad que se admiten en el modo mixto y las funciones que no se admiten en el modo transparente para la conmutación de capa 2.

Tabla 2: Funciones de seguridad compatibles con el modo mixto (modo transparente y de ruta)

Tipo de modo

Apoyado

No compatible

Modo mixto

  • Puertas de enlace de capa de aplicación (ALG)

  • Autenticación de usuario de firewall (FWAUTH)

  • Detección y prevención de intrusiones (IDP)

  • Pantalla

  • AppSecure

  • Administración unificada de amenazas (UTM)

Modo de ruta (interfaz de capa 3)

  • Traducción de la dirección de red (NAT)

  • VPN

Modo transparente (interfaz de capa 2)

  • Administración unificada de amenazas (UTM)

  • Traducción de la dirección de red (NAT)

  • VPN

A partir de Junos OS versión 12.3X48-D10 y Junos OS versión 17.3R1, algunas condiciones se aplican a las operaciones de modo mixto. Tenga en cuenta las condiciones aquí:

  • En los dispositivos SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550HM y SRX1500, no puede configurar la conmutación Ethernet y el servicio LAN privada virtual (VPLS) mediante el modo mixto (capa 2 y capa 3).

  • En los dispositivos SRX5400, SRX5600 y SRX5800, no tiene que reiniciar el dispositivo cuando configure VLAN.

Ejemplo: Mejorar los servicios de seguridad mediante la configuración de un dispositivo de la serie SRX mediante el modo mixto (modo transparente y de ruta)

Puede configurar un dispositivo de la serie SRX mediante el modo transparente (capa 2) y el modo de ruta (capa 3) simultáneamente para simplificar los despliegues y mejorar los servicios de seguridad.

En este ejemplo, se muestra cómo pasar el tráfico de capa 2 de la interfaz ge-0/0/1.0 a la interfaz ge-0/0/0.0 y el tráfico de capa 3 de la interfaz ge-0/0/2.0 a la interfaz ge-0/0/3.0.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un dispositivo serie SRX

  • Cuatro pc

Antes de empezar:

Descripción general

En empresas en las que diferentes grupos empresariales tienen soluciones de seguridad basadas en capa 2 o capa 3, usar una única configuración de modo mixto simplifica sus despliegues. En una configuración de modo mixto, también puede proporcionar servicios de seguridad con conmutación y enrutamiento integrados.

Además, puede configurar un dispositivo de la serie SRX tanto en modo independiente como en clúster de chasis mediante el modo mixto.

En el modo mixto (modo predeterminado), puede configurar interfaces de capa 2 y capa 3 simultáneamente mediante zonas de seguridad separadas.

Nota:

Para la configuración del modo mixto, debe reiniciar el dispositivo después de confirmar los cambios. Sin embargo, para los dispositivos de la línea SRX5000, no es necesario reiniciar.

En este ejemplo, primero configure un tipo de familia de capa 2 llamado conmutación Ethernet para identificar interfaces de capa 2. Establezca la dirección IP 10.10.10.10.1/24 en la interfaz IRB. Luego, se crea la zona L2 y se le agregan las interfaces de capa 2 ge-0/0/1.0 y ge-0/0/0.0.

A continuación, configure una inet de tipo de familia de capa 3 para identificar interfaces de capa 3. Establezca la dirección IP 192.0.2.1/24 en la interfaz ge-0/0/2.0 y la dirección IP 192.0.2.3/24 en la interfaz ge-0/0/3. Luego, se crea la zona L3 y se le agregan las interfaces de capa 3 ge-0/0/2.0 y ge-0/0/3.0.

Topología

Figura 3 muestra una topología de modo mixto.

Figura 3: Topología de modo mixtoTopología de modo mixto

Tabla 3 muestra los parámetros configurados en este ejemplo.

Tabla 3: Parámetros de capa 2 y capa 3

Parámetro

Descripción

L2

Zona de capa 2.

ge-0/0/1.0 y ge-0/0/0.0

Interfaces de capa 2 agregadas a la zona de capa 2.

L3

Zona de capa 3.

ge-0/0/2.0 y ge-0/0/3.0

Interfaces de capa 3 agregadas a la zona de capa 3.

10.10.10.1/24

Dirección IP para la interfaz IRB.

192.0.2.1/24 y 192.0.2.3/24

Direcciones IP para la interfaz de capa 3.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.

Para configurar interfaces de capa 2 y capa 3:

  1. Cree un tipo de familia de capa 2 para configurar interfaces de capa 2.

  2. Configure interfaces de capa 2 para que funcionen en modo de puente transparente.

  3. Configure una dirección IP para la interfaz IRB.

  4. Configure interfaces de capa 2.

  5. Configure VLAN.

  6. Configure direcciones IP para interfaces de capa 3.

  7. Configure la política para permitir el tráfico.

  8. Configure interfaces de capa 3.

Resultados

Desde el modo de configuración, ingrese los comandos , show security policies, show vlansy show security zones para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar las interfaces y zonas de capa 2 y capa 3

Propósito

Compruebe que se crean las interfaces de capa 2 y capa 3, y las zonas de capa 2 y capa 3.

Acción

Desde el modo operativo, ingrese el show security zones comando.

Significado

El resultado muestra los nombres de zona de capa 2 (L2) y capa 3 (L3) y el número y nombres de interfaces de capa 2 y capa 3 vinculadas a las zonas L2 y L3.

Verificar la sesión de capa 2 y capa 3

Propósito

Verifique que las sesiones de capa 2 y capa 3 se establezcan en el dispositivo.

Acción

Desde el modo operativo, ingrese el show security flow session comando.

Significado

El resultado muestra las sesiones activas en el dispositivo y la política de seguridad asociada de cada sesión.

  • Session ID 1—Número que identifica la sesión de capa 2. Utilice este ID para obtener más información acerca de la sesión de capa 2, como el nombre de la política o el número de paquetes de entrada y salida.

  • default-policy-logical-system-00/2— Nombre de política predeterminado que permitió el tráfico de la capa 2.

  • In—Flujo de entrada (direcciones IP de capa 2 de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es ICMP y la interfaz de origen para esta sesión es ge-0/0/0.0).

  • Out—Flujo inverso (direcciones IP de capa 2 de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es ICMP y la interfaz de destino de esta sesión es ge-0/0/1.0).

  • Session ID 2—Número que identifica la sesión de capa 2. Utilice este ID para obtener más información acerca de la sesión de capa 2, como el nombre de la política o el número de paquetes de entrada y salida.

  • default-policy-logical-system-00/2— Nombre de política predeterminado que permitió el tráfico de la capa 2.

  • In—Flujo de entrada (direcciones IP de capa 2 de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es ICMP y la interfaz de origen para esta sesión es ge-0/0/0.0,).

  • Out—Flujo inverso (direcciones IP de capa 2 de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es ICMP, y la interfaz de destino de esta sesión es ge-0/0/1.0,).

Tabla de historial de versiones
Liberación
Descripción
12.3X48-D10
A partir de Junos OS versión 12.3X48-D10 y Junos OS versión 17.3R1, algunas condiciones se aplican a las operaciones de modo mixto.