Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Interfaces de capa 2 en dispositivos de seguridad

Descripción de las interfaces de capa 2 en dispositivos de seguridad

Las interfaces lógicas de capa 2 se crean definiendo una o más unidades lógicas en una interfaz física con el tipo de dirección de ethernet-switching familia. Si una interfaz física tiene una interfaz lógica de familia, no puede tener ningún otro tipo de familia ethernet-switching en sus interfaces lógicas. Una interfaz lógica se puede configurar en uno de los siguientes modos:

  • Modo de acceso: la interfaz acepta paquetes sin etiquetar, asigna el identificador de VLAN especificado al paquete y reenvía el paquete dentro de la VLAN que está configurado con el identificador de VLAN correspondiente.

  • Modo de troncalización: la interfaz acepta cualquier paquete etiquetado con un identificador VLAN que coincida con una lista especificada de identificadores VLAN. Las interfaces del modo de tronco generalmente se utilizan para interconectar conmutadores. Para configurar un identificador de VLAN para paquetes sin etiquetar recibidos en la interfaz física, utilice la native-vlan-id opción. Si la native-vlan-id opción no está configurada, desaparecerán los paquetes sin etiquetar.

Nota:

Se pueden definir varias interfaces lógicas del modo de tronco, siempre y cuando los identificadores de VLAN de una interfaz de troncal no se solapen con los de otra interfaz troncal. native-vlan-id Debe pertenecer a una lista de IDENTIFICADOres VLAN configurada para una interfaz troncal.

Ejemplo Configuración de interfaces lógicas de capa 2 en dispositivos de seguridad

En este ejemplo se muestra cómo configurar una interfaz lógica de capa 2 como puerto troncal para que los paquetes entrantes puedan redirigirse selectivamente a un firewall u otro dispositivo de seguridad.

Aplicables

Antes de comenzar, configure las redes VLAN. Consulte ejemplo: Configuración de VLANs en dispositivosde seguridad.

Descripción general

En este ejemplo, configure la interfaz lógica GE-3/0/0,0 como puerto de tronco que transporta el tráfico de paquetes con identificadores de VLAN 1 a 10; Esta interfaz está asignada implícitamente a las VLAN VLAN configuradas anteriormente y VLAN-b. A continuación, asignará un identificador de VLAN de 10 a cualquier paquete sin etiqueta recibido en la interfaz física GE-3/0/0.

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Modalidades

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar una interfaz lógica de capa 2 como puerto troncal:

  1. Configure la interfaz lógica.

  2. Especifique un ID. de VLAN para paquetes sin etiqueta.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Comproba

Para comprobar que la configuración funciona correctamente, escriba los show interfaces ge-3/0/0 comandos show interfaces ge-3/0/0.0 y.

Comprensión del modo mixto (transparente y modo de enrutamiento) en dispositivos de seguridad

El modo mixto admite tanto el modo transparente (capa 2) como el modo de ruta (capa 3); se trata del modo predeterminado. Puede configurar interfaces de capa 2 y capa 3 simultáneamente mediante zonas de seguridad separadas.

Nota:

Para la configuración en modo mixto, debe reiniciar el dispositivo después de confirmar los cambios. Sin embargo, para los dispositivos de línea de SRX5000 no es necesario reiniciar el reinicio.

Los dispositivos SRX4100 y SRX4200 son compatibles con el sistema lógico en ambos modos, transparente y de enrutamiento

El dispositivo SRX4600 solo admite el sistema lógico en modo de enrutamiento

En modo mixto (transparente y modo Route):

  • No existe enrutamiento entre las interfaces IRB y entre las interfaces IRB y las interfaces de capa 3.

El dispositivo en Figura 1 se parece a dos dispositivos independientes. Un dispositivo se ejecuta en modo transparente de capa 2 y el otro dispositivo se ejecuta en el modo de enrutamiento de capa 3. Sin embargo, ambos dispositivos se ejecutan de manera independiente. No se pueden transferir paquetes entre las interfaces de capa 2 y capa 3, ya que no hay enrutamiento entre las interfaces IRB y entre las interfaces IRB y las interfaces de capa 3.

Figura 1: Arquitectura de modo transparente y de enrutamiento mixtoArquitectura de modo transparente y de enrutamiento mixto

En el modo mixto, la interfaz física Ethernet puede ser una interfaz de capa 2 o una interfaz de capa 3, pero la interfaz física Ethernet no puede ser simultáneamente ambas. Sin embargo, las familias de las capas 2 y 3 pueden encontrarse en interfaces físicas separadas en el mismo dispositivo.

Tabla 1enumera los tipos de interfaces físicas Ethernet y los tipos de familia compatibles.

Tabla 1: Interfaz física Ethernet y tipos de familia compatibles

Tipo de interfaz física Ethernet

Tipo de familia admitida

Interfaz de capa 2

ethernet-switching

Interfaz de capa 3

inet y inet6

Nota:

Se admiten varias instancias de enrutamiento.

Puede configurar tanto la interfaz pseudointerface irb.x como la capa 3 en la misma instancia de enrutamiento predeterminado, utilizando una instancia de enrutamiento predeterminada o una instancia de enrutamiento definida por el usuario. Consulte Figura 2la.

Figura 2: Modo de enrutamiento y transparente mixtoModo de enrutamiento y transparente mixto

Los paquetes de la interfaz de capa 2 se intercambian en la misma red VLAN o se conectan al host a través de la interfaz IRB. Los paquetes no se pueden enrutar a otra interfaz IRB o a una interfaz de la capa 3 a través de su propia interfaz IRB.

Los paquetes de la interfaz de capa 3 se enrutan a otra interfaz de capa 3. Los paquetes no se pueden enrutar a una interfaz de capa 2 a través de una interfaz IRB.

Tabla 2enumera las características de seguridad que se admiten en el modo mixto y las características que no se admiten en el modo transparente para conmutación de capa 2.

Tabla 2: Características de seguridad compatibles con el modo mixto (transparente y modo de enrutamiento)

Tipo de modo

Posible

No compatible

Modo mixto

  • Puertas de enlace de Capa de aplicación (ALGs)

  • Autenticación de usuario firewall (FWAUTH)

  • Detección y prevención de intrusiones (IDP)

  • Pantalla

  • AppSecure

  • Administración unificada de amenazas (UTM)

Modo Route (interfaz de capa 3)

  • Traducción de la dirección de red (NAT)

  • VIRTUALES

Modo transparente (interfaz de capa 2)

  • Administración unificada de amenazas (UTM)

  • Traducción de la dirección de red (NAT)

  • VIRTUALES

A partir de Junos OS versión 12.3 X48-D10 y Junos OS Release 17.3 R1, se aplican algunas condiciones a las operaciones en modo mixto. Tenga en cuenta las siguientes condiciones:

  • En los dispositivos SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550HM y SRX1500, no puede configurar la conmutación Ethernet y el servicio de LAN privada virtual (VPLS) mediante el modo mixto (capa 2 y capa 3).

  • En los dispositivos SRX5400, SRX5600 y SRX5800, no es necesario reiniciar el dispositivo cuando configure la VLAN.

Ejemplo Mejora de los servicios de seguridad mediante la configuración de un dispositivo serie SRX con el modo mixto (modo transparente y de enrutamiento)

Puede configurar un dispositivo serie SRX utilizando simultáneamente el modo transparente (capa 2) y el modo Route (capa 3) para simplificar las implementaciones y mejorar los servicios de seguridad.

Este ejemplo muestra cómo pasar el tráfico de capa 2 desde la interfaz GE-0/0/1.0 a la interfaz GE-0/0/0.0 y el tráfico de capa 3 desde la interfaz GE-0/0/2.0 a interface GE-0/0/3.0.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Un dispositivo serie SRX

  • Cuatro equipos

Antes de empezar:

Descripción general

En las empresas donde distintos grupos empresariales tienen soluciones de seguridad basadas en la capa 2 o en la capa 3, el uso de una sola configuración en modo mixto simplifica sus implementaciones. En una configuración de modo mixto, también puede proporcionar servicios de seguridad con conmutación y enrutamiento integrados.

Además, puede configurar un dispositivo serie SRX tanto en el modo de clúster independiente como en el de chasis con el modo mixto.

En el modo mixto (modo predeterminado), puede configurar interfaces de capa 2 y capa 3 simultáneamente mediante zonas de seguridad separadas.

Nota:

Para la configuración en modo mixto, debe reiniciar el dispositivo después de confirmar los cambios. Sin embargo, para los dispositivos de línea de SRX5000 no es necesario reiniciar el reinicio.

En este ejemplo, primero configure un tipo de familia de capa 2 llamado conmutación Ethernet para identificar las interfaces de capa 2. Configure la dirección IP 10.10.10.1/24 en la interfaz IRB. A continuación, debe crear la zona L2 y agregar interfaces de capa 2 GE-0/0/1.0 y GE-0/0/0,0 a la misma.

A continuación, configurará el tipo inet de la familia de la capa 3 para identificar las interfaces de la capa 3. Configure la dirección IP 192.0.2.1/24 con la interfaz GE-0/0/2.0 y la dirección IP 192.0.2.3/24 para interface GE-0/0/3. A continuación, creará Zone L3 y agregará interfaces de capa 3 GE-0/0/2.0 y GE-0/0/3.0 a él.

Topología

Figura 3muestra una topología de modo mixto.

Figura 3: Topología de modo mixtoTopología de modo mixto

Tabla 3muestra los parámetros configurados en este ejemplo.

Tabla 3: Parámetros de capa 2 y capa 3

Parámetro

Descripción

L2

Zona de capa 2.

GE-0/0/1.0 y GE-0/0/0.0

Interfaces de capa 2 añadidas a la zona de capa 2.

L3

Zona de capa 3.

GE-0/0/2.0 y GE-0/0/3.0

Interfaces de capa 3 agregadas a la zona de la capa 3.

10.10.10.1/24

Dirección IP de la interfaz IRB.

192.0.2.1/24 y 192.0.2.3/24

Direcciones IP para la interfaz de capa 3.

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar interfaces de capa 2 y capa 3:

  1. Cree un tipo de familia de capa 2 para configurar interfaces de capa 2.

  2. Configure las interfaces de capa 2 para que funcionen bajo el modo de puente transparente.

  3. Configure una dirección IP para la interfaz IRB.

  4. Configure interfaces de capa 2.

  5. Configure una VLAN.

  6. Configure direcciones IP para interfaces de capa 3.

  7. Configure la Directiva para permitir el tráfico.

  8. Configurar interfaces de capa 3.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show security policiesescriba show vlanslos comandos show security zones ,, y. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Verificación de las interfaces y zonas de la capa 2 y la capa 3

Purpose

Compruebe que las interfaces de la capa 2 y la capa 3, y las zonas de la capa 2 y la capa 3 estén creadas.

Intervención

En modo operativo, escriba el show security zones comando.

Efectos

El resultado muestra los nombres de las zonas de capa 2 (L2) y 3 (L3), y el número y nombres de las interfaces de capa 2 y capa 3 enlazados a las zonas L2 y L3.

Verificación de la sesión de la capa 2 y la capa 3

Purpose

Compruebe que las sesiones de la capa 2 y la capa 3 se han establecido en el dispositivo.

Intervención

En modo operativo, escriba el show security flow session comando.

Efectos

El resultado muestra las sesiones activas en el dispositivo y la política de seguridad asociada de cada sesión.

  • Session ID 1: número que identifica a la sesión de capa 2. Utilice este identificador para obtener más información acerca de la sesión de capa 2, como el nombre de la Directiva o el número de paquetes de salida.

  • default-policy-logical-system-00/2: nombre de política predeterminado que permitía el tráfico de capa 2.

  • In: el flujo entrante (direcciones IP de capa 2 de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es ICMP y la interfaz de origen de esta sesión es ge-0/0/0.0).

  • Out: flujo inverso (direcciones IP de capa 2 de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es ICMP y la interfaz de destino de esta sesión es ge-0/0/1.0).

  • Session ID 2: número que identifica a la sesión de capa 2. Utilice este identificador para obtener más información acerca de la sesión de capa 2, como el nombre de la Directiva o el número de paquetes de salida.

  • default-policy-logical-system-00/2: nombre de política predeterminado que permitía el tráfico de capa 2.

  • In— Flujo entrante (direcciones IP de capa 2 de origen y destino con sus respectivos números de puerto de origen y destino, session es ICMP y la interfaz de origen de esta sesión es ge-0/0/0.0,).

  • Out: flujo inverso (direcciones IP de capa 2 de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es ICMP y la interfaz de destino de esta sesión es ge-0/0/1.0,).

Tabla de historial de versiones
Liberación
Descripción
12.3X48-D10
A partir de Junos OS versión 12.3 X48-D10 y Junos OS Release 17.3 R1, se aplican algunas condiciones a las operaciones en modo mixto.