Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Интерфейсы уровня 2 на устройствах безопасности

Понимание интерфейсов уровня 2 на устройствах безопасности

Логические интерфейсы уровня 2 создаются путем определения одного или нескольких логических единиц на физическом интерфейсе с типом адреса ethernet-switching семейства. Если физический интерфейс имеет логический ethernet-switchingинтерфейс семейства,он не может иметь другого типа семейства в своих логических интерфейсах. Логический интерфейс можно настроить в одном из следующих режимов:

  • Режим доступа. Интерфейс принимает непотагируемые пакеты, присваивает пакету указанный идентификатор VLAN и передает пакет в пределах сети VLAN, настроенной с помощью совпадающего идентификатора VLAN.

  • Режим магистрали— интерфейс принимает любые пакеты, помеченные идентификатором VLAN, который соответствует указанному списку идентификаторов VLAN. Интерфейсы магистрали обычно используются для соединения коммутаторов. Для настройки идентификатора VLAN для непотагемых пакетов, полученных на физическом интерфейсе, используйте native-vlan-id этот параметр. Если параметр native-vlan-id не настроен, непоброшенные пакеты отброшены.

Прим.:

Можно trunk-режим логические интерфейсы, если идентификаторы VLAN магистрали интерфейса не пересекаются с идентификаторами другого магистрали. Он native-vlan-id должен принадлежать к списку идентификаторов VLAN, настроенного для магистрального интерфейса.

Примере: Настройка логических интерфейсов уровня 2 на устройствах безопасности

В данном примере показано, как настроить логический интерфейс уровня 2 в качестве магистрали порта, чтобы входящие пакеты могли быть выборочно перенаправлены на межсетевой экран или другой устройство обеспечения безопасности.

Требования

Перед началом настройте сети VLANs. См. пример: Настройка VLANs на устройствах безопасности.

Обзор

В данном примере логический интерфейс ge-3/0/0.0 настроен в качестве магистрали порта, который передает трафик для пакетов, помеченных идентификаторами VLAN от 1 до 10; этот интерфейс неявно назначен ранее настроенным VLAN vlan-a и vlan-b. Затем присваивается VLAN ID, который составляет 10, любым непотагенным пакетам, полученным на физическом интерфейсе ge-3/0/0.

Конфигурации

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Процедуры

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Для настройки логического интерфейса уровня 2 в качестве магистрального порта:

  1. Настройте логический интерфейс.

  2. Укажите VLAN ID для непотагных пакетов.

  3. После настройки устройства сфиксировать конфигурацию.

Проверки

Чтобы проверить правильность работы конфигурации, введите show interfaces ge-3/0/0 команды show interfaces ge-3/0/0.0 и команды.

Понимание смешанного (прозрачного и маршрутного) режима на устройствах безопасности

Смешанный режим поддерживает как прозрачный режим (уровень 2), так и режим маршрутов (уровень 3); это режим по умолчанию. Можно настроить интерфейсы уровня 2 и 3 одновременно, используя отдельные зоны безопасности.

Прим.:

В конфигурации смешанного режима следует перезагруировать устройство после сфиксации изменений. Однако для устройств линии SRX5000 перезагрузка не требуется.

Устройства SRX4100 и SRX4200 поддерживают логическую систему в прозрачном режиме и в режиме маршрута.

Устройство SRX4600 поддерживает логическую систему только в режиме маршрута

В смешанном режиме (прозрачный и маршрутный режим):

  • Маршрут среди интерфейсов IRB и между интерфейсами IRB и интерфейсами 3-го уровня не существует.

Устройство выглядит Рис. 1 как два отдельных устройства. Одно устройство работает в режиме 2-го прозрачный режим, а другое устройство работает в режиме маршрутов 3-го уровня. Но оба устройства работают независимо. Пакеты не могут быть переданы между интерфейсами 2-го и 3-го уровней, поскольку между интерфейсами IRB и интерфейсами 3-го уровня маршруты не существует.

Рис. 1: Архитектура смешанной прозрачной и маршрутной режимовАрхитектура смешанной прозрачной и маршрутной режимов

В смешанном режиме физический интерфейс Ethernet может быть либо интерфейсом уровня 2, либо интерфейсом 3-го уровня, но физический интерфейс Ethernet не может быть одновременно. Однако семейства 2-го и 3-го уровней могут существовать на отдельных физических интерфейсах одного и того же устройства.

Табл. 1 перечисляет типы физических интерфейсов Ethernet и поддерживаемые типы семейство.

Табл. 1: Физический интерфейс Ethernet и поддерживаемые типы семейство

Тип физического интерфейса Ethernet

Поддерживаемый тип семейства

Интерфейс уровня 2

ethernet-switching

Интерфейс 3-го уровня

inet и inet6

Прим.:

Поддерживается несколько экземпляров маршрутов.

Можно настроить и псевдоинтерфейс, и интерфейс уровня 3 для одного экземпляра маршрутов по умолчанию, используя либо экземпляр маршрутов по умолчанию, либо экземпляр маршрутов, определенный irb.x пользователем. См. Рис. 2 .

Рис. 2: Смешанный прозрачный режим и режим маршрутаСмешанный прозрачный режим и режим маршрута

Пакеты из интерфейса 2-го уровня коммутются в пределах одной сети VLAN или подключаются к хосту через интерфейс IRB. Пакеты не могут быть маршрутом на другой интерфейс IRB или интерфейс уровня 3 через их собственный интерфейс IRB.

Пакеты из интерфейса 3-го уровня маршрутются на другой интерфейс уровня 3. Пакеты нельзя маршрутить на интерфейс уровня 2 через интерфейс IRB.

Табл. 2 перечисляет функции безопасности, которые поддерживаются в смешанном режиме, и функции, которые не прозрачный режим для коммутация на уровне 2.

Табл. 2: Функции безопасности, поддерживаемые в смешанном режиме (прозрачный и маршрутный режим)

Тип режима

Поддерживается

Не поддерживается

Смешанный режим

  • уровень приложений шлюзы (ALGs)

  • Аутентификация пользователя брандмауэра (FWAUTH)

  • обнаружение и предотвращение вторжений (IDP)

  • Экрана

  • AppSecure

  • Унифицированное управление угрозами (UTM)

Режим маршрута (интерфейс 3-го уровня)

  • Преобразование сетевых адресов (NAT)

  • Vpn

Прозрачный режим (интерфейс уровня 2)

  • Унифицированное управление угрозами (UTM)

  • Преобразование сетевых адресов (NAT)

  • Vpn

Начиная с Junos OS 12.3X48-D10 и Junos OS 17.3R1, для работы в смешанном режиме применяются некоторые условия. Обратите внимание на условия:

  • На SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550HM и SRX1500 устройств нельзя настроить Ethernet-коммутатор и виртуальный частный сервис LAN (VPLS) в смешанном режиме (2-й и 3-й уровни).

  • На SRX5400, SRX5600 и SRX5800 устройства не нужно перезагрузить устройство при настройке VLAN.

Примере: Улучшение служб безопасности путем настройки устройства серия SRX с использованием смешанного режима (прозрачный и маршрутный режим)

Можно настроить устройство серия SRX, одновременно используя режимы прозрачный режим (уровень 2) и режим маршрутов (уровень 3), чтобы упростить развертывание и улучшить сервисы безопасности.

В этом примере показано, как передать трафик уровня 2 от интерфейса ge-0/0/1.0 к интерфейсу ge-0/0/0.0 и трафик уровня 3 от интерфейса ge-0/0/2.0 к интерфейсу ge-0/0/3.0.

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Устройство серия SRX

  • четыре ПК

Перед началом работы:

Обзор

На предприятиях, на которых различные бизнес-группы используют решения безопасности уровня 2 или 3, использование единой конфигурации смешанного режима упрощает их развертывание. В конфигурации смешанного режима можно также предоставлять службы безопасности с помощью интегрированной коммутации и маршрутов.

Кроме того, можно настроить устройство серия SRX в режиме кластера с шасси и в режиме смешанного режима.

В смешанном режиме (режим по умолчанию) можно одновременно настроить интерфейсы уровня 2 и 3, используя отдельные зоны безопасности.

Прим.:

В конфигурации смешанного режима следует перезагруировать устройство после сфиксации изменений. Однако для устройств линии SRX5000 перезагрузка не требуется.

В данном примере сначала настраивается тип семейства 2-го уровня под названием Коммутатор Ethernet для идентификации интерфейсов уровня 2. IP-адрес 10.10.10.1/24 настроен на интерфейс IRB. Затем вы создаете зону L2 и добавляет к ней интерфейсы уровня 2 ge-0/0/1.0 и ge-0/0/0.0.

Далее настраивается тип семейства 3-го уровня для идентификации интерфейсов уровня 3. IP-адрес 192.0.2.1/24 задается интерфейсу ge-0/0/2.0, а IP-адрес 192.0.2.3/24 — интерфейсу ge-0/0/3. Затем вы создаете зону L3 и добавляет к ней интерфейсы уровня 3 ge-0/0/2.0 и ge-0/0/3.0.

Топологии

Рис. 3 отображает топологию смешанного режима.

Рис. 3: Топология смешанного режимаТопология смешанного режима

Табл. 3 отображает параметры, настроенные в этом примере.

Табл. 3: Параметры уровня 2 и 3

Параметр

Описание

L2

зона уровня 2.

ge-0/0/1.0 и ge-0/0/0.0

Интерфейсы уровня 2, добавленные к зоне уровня 2.

L3

Зона 3-го уровня.

ge-0/0/2.0 и ge-0/0/3.0

Интерфейсы уровня 3, добавленные к зоне уровня 3.

10.10.10.1/24

IP-адрес интерфейса IRB.

192.0.2.1/24 и 192.0.2.3/24

IP-адреса для интерфейса уровня 3.

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Настройка интерфейсов уровней 2 и 3:

  1. Для настройки интерфейсов уровня 2 создайте тип семейства 2-го уровня.

  2. Настройте интерфейсы уровня 2 для работы в режиме прозрачного моста.

  3. Настройте IP-адрес для интерфейса IRB.

  4. Настройте интерфейсы уровня 2.

  5. Настройте VLAN.

  6. Настройте IP-адреса для интерфейсов уровня 3.

  7. Настройте политику для разрешения трафика.

  8. Настройте интерфейсы уровня 3.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show security policies и show vlansshow security zones команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка интерфейсов и зон 2-го и 3-го уровней

Цель

Убедитесь, что интерфейсы 2-го и 3-го уровней и 2-го и 3-го уровней созданы.

Действий

В рабочем режиме введите show security zones команду.

Смысл

В выходных данных показаны имена зон уровня 2 (L2) и уровня 3 (L3), а также число и имена интерфейсов уровней 2 и 3, связанных с зонами L2 и L3.

Проверка сеансов 2-го и 3-го уровней

Цель

Убедитесь, что сеансы 2-го и 3-го уровней установлены на устройстве.

Действий

В рабочем режиме введите show security flow session команду.

Смысл

Выходные данные показывают активные сеансы на устройстве и связанную с каждым сеансом политику безопасности.

  • Session ID 1Номер, который идентифицирует сеанс уровня 2. Используйте этот ID для получения дополнительных сведений о сеансе уровня 2, таких как имя политики или число пакетов в и выходе.

  • default-policy-logical-system-00/2- Имя политики по умолчанию, которое разрешает трафик уровня 2.

  • In– входящий поток (IP-адреса источника и назначения уровня 2 с соответствующими номерами портов источника и назначения, сеанс ICMP, а интерфейс источника для этого сеанса — ge-0/0/0.0).

  • Out— Обратный поток (IP-адреса источника и назначения уровня 2 с соответствующими номерами портов источника и назначения, сеанс ICMP, а интерфейс назначения для этого сеанса - ge-0/0/1.0).

  • Session ID 2Номер, который идентифицирует сеанс уровня 2. Используйте этот ID для получения дополнительных сведений о сеансе уровня 2, таких как имя политики или число пакетов в и выходе.

  • default-policy-logical-system-00/2- Имя политики по умолчанию, которое разрешает трафик уровня 2.

  • In– входящий поток (IP-адреса источника и назначения уровня 2 с соответствующими номерами портов источника и назначения, сеанс ICMP, а интерфейс источника для этого сеанса — ge-0/0/0.0,).

  • Out— Обратный поток (IP-адреса источника и назначения уровня 2 с соответствующими номерами портов источника и назначения, сеанс ICMP, а интерфейс назначения для этого сеанса — ge-0/0/1.0,).

Таблица истории выпусков
Версия
Описание
12.3X48-D10
Начиная с Junos OS 12.3X48-D10 и Junos OS 17.3R1, для работы в смешанном режиме применяются некоторые условия.