Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

示例:使用混合模式(透明和路由模式)配置 SRX 系列设备,从而提高安全服务

 

您可以同时使用透明模式(2层)和路由模式(3层)配置 SRX 系列设备,以简化部署和提高安全服务。

此示例显示如何将接口 ge-0/0/1.0 到接口 ge-0/0/2 和3层流量从接口 ge-0/0/2.0 传输到接口 ge-0/零/3.0。

要求

此示例使用以下硬件和软件组件:

  • SRX 系列设备

  • 四台 Pc

开始之前:

概述

在不同业务组都有第2层或第3层安全解决方案的企业中,使用单个混合模式配置即可简化其部署。在混合模式配置中,您还可以提供集成交换和路由的安全服务。

此外,您还可以使用混合模式,在独立和机箱集群模式下配置 SRX 系列设备。

在混合模式下(默认模式),您可以使用单独的安全区域同时配置2层和3层接口。

注意

对于混合模式配置,提交更改后必须重新启动设备。但是,对于 SRX5000 线路设备,不需要重新启动。

在此示例中,首先配置称为以太网交换的第2层系列类型,以识别第2层接口。将 IP 地址 10.10.10.1/24 设置为 IRB 接口。然后,创建区域 L2 并将第2层接口 ge-0/0/1.0 和 ge-0/0/0.0 添加到它上面。

接下来,配置3层系列类型 inet 以识别第3层接口。您将 IP 地址 192.0.2.1/24 设置为接口 ge-0/0/2.0,以及 IP 地址 192.0.2.3/24 到接口 ge-0/0/3。然后创建区域 L3,并向其添加第3层接口 ge-0/0/2.0 和 ge-0/0/3.0。

拓扑

图 1显示混合模式拓扑。

图 1: 混合模式拓扑结构
混合模式拓扑结构

表 1显示了在此示例中配置的参数。

表 1: 第2层和第3层参数

参数

Description

L2

2层区域。

ge-0/0/1.0 和 ge-0/0/0。0

添加到2层区域的第2层接口。

L3

3层区域。

ge-0/0/2.0 和 ge-0/0/3。0

添加到3层区域的3层接口。

10.10.10.1/24

IRB 接口的 IP 地址。

192.0.2.1/24 和 192.0.2.3/24

第3层接口的 IP 地址。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 在配置模式中使用 CLI 编辑器CLI 用户指南中。

要配置2层和3层接口:

  1. 创建第2层系列类型以配置第2层接口。
  2. 将第2层接口配置为在透明网桥模式下工作。
  3. 为 IRB 接口配置 IP 地址。
  4. 配置2层接口。
  5. 配置 VLAN。
  6. 配置3层接口的 IP 地址。
  7. 配置策略以允许流量。
  8. 配置3层接口。

结果

从配置模式, show interfaces输入、 show security policiesshow vlans、和show security zones命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

针对

确认配置是否正常工作。

验证2层和3层接口和区域

用途

验证2层和3层接口以及2层和3层区域是否已创建。

操作

在操作模式下,输入show security zones命令。

user@host> show security zones

含义

输出显示第2层(L2)和第3层(L3)区域名称,以及绑定到 L2 和 L3 区域的第2层和第3层接口的数量和名称。

验证第2层和第3层会话

用途

验证是否在设备上建立了2层和3层会话。

操作

在操作模式下,输入show security flow session命令。

user@host> show security flow session

含义

输出显示设备上的活动会话以及每个会话’关联的安全策略。

  • Session ID 1—用于识别第2层会话的编号。使用此 ID 获取有关第2层会话的详细信息,例如策略名称或入和出的数据包数量。

  • default-policy-logical-system-00/2—允许第2层信息流的默认策略名称。

  • In—传入流(源和目标2层 IP 地址及其各自的源和目标端口号、会话为 ICMP,此会话的源接口为 ge-0/0/0.0)。

  • Out—反向流(源和目标2层 IP 地址及其各自的源和目标端口号、会话为 ICMP,以及此会话的目标接口为 ge-0/0/1.0)。

  • Session ID 2—用于识别第2层会话的编号。使用此 ID 获取有关第2层会话的详细信息,例如策略名称或入和出的数据包数量。

  • default-policy-logical-system-00/2—允许第2层信息流的默认策略名称。

  • In—传入流(源和目标2层 IP 地址及其各自的源和目标端口号、会话为 ICMP,此会话的源接口为 ge-0/0/0.0,)。

  • Out—反向流(源和目标2层 IP 地址及其各自的源和目标端口号、会话为 ICMP,以及此会话的目标接口为 ge-0/0/1.0)。