Interfaces de camada 2 em dispositivos de segurança
Entender as interfaces de camada 2 em dispositivos de segurança
As interfaces lógicas de camada 2 são criadas definindo uma ou mais unidades lógicas em uma interface física com o tipo ethernet-switchingde endereço da família. Se uma interface física tem uma ethernet-switchinginterface lógica familiar, ela não pode ter nenhum outro tipo de família em suas interfaces lógicas. Uma interface lógica pode ser configurada em um dos seguintes modos:
Modo de acesso — a interface aceita pacotes não registrados, atribui o identificador VLAN especificado ao pacote e encaminha o pacote dentro da VLAN que está configurado com o identificador VLAN correspondente.
Modo tronco — a interface aceita qualquer pacote marcado com um identificador VLAN que corresponda a uma lista especificada de identificadores VLAN. As interfaces de modo tronco geralmente são usadas para interconectar switches. Para configurar um identificador VLAN para pacotes não registrados recebidos na interface física, use a opção
native-vlan-id. Se a opçãonative-vlan-idnão estiver configurada, os pacotes não registrados serão descartados.
Várias interfaces lógicas de modo tronco podem ser definidas, desde que os identificadores VLAN de uma interface de tronco não se sobreponham aos de outra interface de tronco. O native-vlan-id deve pertencer a uma lista de identificadores VLAN configurada para uma interface de tronco.
Consulte também
Exemplo: Configuração de interfaces lógicas de camada 2 em dispositivos de segurança
Este exemplo mostra como configurar uma interface lógica de Camada 2 como uma porta tronco para que os pacotes de entrada possam ser redirecionados seletivamente para um firewall ou outro dispositivo de segurança.
Requisitos
Antes de começar, configure as VLANs. Veja exemplo: Configuração de VLANs em dispositivos de segurança.
Visão geral
Neste exemplo, você configura a interface lógica ge-3/0/0.0 como uma porta de tronco que transporta tráfego para pacotes marcados com identificadores VLAN de 1 a 10; esta interface é atribuída implicitamente às VLANs anteriormente configuradas vlan-a e vlan-b. Em seguida, você atribui uma ID VLAN de 10 a quaisquer pacotes não registrados recebidos na interface física ge-3/0/0.
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set interfaces ge-3/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members 1–10 set interfaces ge-3/0/0 vlan-tagging native-vlan-id 10
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar uma interface lógica de Camada 2 como porta-tronco:
Configure a interface lógica.
[edit interfaces ge-3/0/0] user@host# set unit 0 family ethernet-switching interface-mode trunk vlan members 1–10
Especifique um ID VLAN para pacotes não registrados.
[edit interfaces ge-3/0/0] user@host# set vlan-tagging native-vlan-id 10
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Para verificar se a configuração está funcionando corretamente, insira os show interfaces ge-3/0/0 comandos e entre em operação show interfaces ge-3/0/0.0 .
Entender o modo misto (transparente e modo de rota) em dispositivos de segurança
O modo misto oferece suporte ao modo transparente (Camada 2) e modo de rota (Camada 3); é o modo padrão. Você pode configurar interfaces de Camada 2 e Camada 3 simultaneamente usando zonas de segurança separadas.
Para a configuração do modo misto, você deve reiniciar o dispositivo após confirmar as mudanças. No entanto, para dispositivos de linha SRX5000, a reinicialização não é necessária.
dispositivos de SRX4100 e SRX4200 oferecem suporte ao sistema lógico no modo transparente e de roteamento
SRX4600 dispositivo oferece suporte apenas ao sistema lógico no modo de rota
No modo misto (Modo transparente e de rota):
Não há roteamento entre interfaces IRB e entre interfaces IRB e interfaces de Camada 3.
O dispositivo se parece com Figura 1 dois dispositivos separados. Um dispositivo é executado no modo transparente de Camada 2 e o outro dispositivo é executado no modo de roteamento de Camada 3. Mas ambos os dispositivos funcionam de forma independente. Os pacotes não podem ser transferidos entre as interfaces de Camada 2 e Camada 3, porque não há roteamento entre interfaces IRB e entre interfaces IRB e interfaces de Camada 3.
No modo misto, a interface física da Ethernet pode ser uma interface de Camada 2 ou uma interface de Camada 3, mas a interface física da Ethernet não pode ser simultaneamente. No entanto, as famílias de Camada 2 e Camada 3 podem existir em interfaces físicas separadas no mesmo dispositivo.
Tabela 1 lista os tipos de interface física Ethernet e tipos de família suportados.
Tipo de interface física de ethernet |
Tipo de família apoiada |
|---|---|
Interface de camada 2 |
|
Interface de camada 3 |
|
Várias instâncias de roteamento são suportadas.
Você pode configurar o pseudointerface irb.x e a interface de Camada 3 na mesma instância de roteamento padrão usando uma instância de roteamento padrão ou uma instância de roteamento definida pelo usuário. Veja Figura 2.
Os pacotes da interface de Camada 2 são trocados na mesma VLAN ou se conectam ao host por meio da interface IRB. Os pacotes não podem ser roteados para outra interface IRB ou uma interface de Camada 3 por meio de sua própria interface IRB.
Os pacotes da interface de Camada 3 são roteados para outra interface de Camada 3. Os pacotes não podem ser roteados para uma interface de Camada 2 por uma interface IRB.
Tabela 2 lista os recursos de segurança que são suportados no modo misto e os recursos que não são suportados no modo transparente para comutação de Camada 2.
Tipo de modo |
Possibilitada |
Não suportado |
|---|---|---|
Modo misto |
|
— |
Modo de rota (interface de camada 3) |
|
— |
Modo transparente (interface de camada 2) |
|
|
A partir do Junos OS Release 12.3X48-D10 e Junos OS Release 17.3R1, algumas condições se aplicam às operações de modo misto. Observe as condições aqui:
Nos dispositivos SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550HM e SRX1500, você não pode configurar a comutação Ethernet e o serviço de LAN privada virtual (VPLS) usando modo misto (Camada 2 e Camada 3).
Em SRX5400, SRX5600 e dispositivos SRX5800, você não precisa reiniciar o dispositivo quando configura o VLAN.
Consulte também
Exemplo: Melhorando os serviços de segurança configurando um firewall da Série SRX usando modo misto (transparente e modo de rota)
Você pode configurar um firewall da Série SRX usando modo transparente (Camada 2) e modo de rota (Camada 3) simultaneamente para simplificar implantações e melhorar os serviços de segurança.
Este exemplo mostra como passar o tráfego de Camada 2 da interface ge-0/0/1.0 para interface ge-0/0/0.0 e tráfego de Camada 3 da interface ge-0/0/2.0 para interface ge-0/0/3.0.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um firewall da Série SRX
Quatro PCs
Antes de começar:
Crie uma zona de segurança separada para interfaces de Camada 2 e Camada 3. Veja como entender as zonas de segurança da camada 2.
Visão geral
Em empresas onde diferentes grupos de negócios têm soluções de segurança baseadas em Camada 2 ou Camada 3, usar uma única configuração de modo misto simplifica suas implantações. Em uma configuração de modo misto, você também pode fornecer serviços de segurança com comutação e roteamento integrados.
Além disso, você pode configurar um firewall da Série SRX no modo de cluster autônomo e chassi usando o modo misto.
No modo misto (modo padrão), você pode configurar interfaces de Camada 2 e Camada 3 simultaneamente usando zonas de segurança separadas.
Para a configuração do modo misto, você deve reiniciar o dispositivo após confirmar as mudanças. No entanto, para dispositivos de linha SRX5000, a reinicialização não é necessária.
Neste exemplo, primeiro você configura um tipo de família de Camada 2 chamado comutação Ethernet para identificar interfaces de Camada 2. Você define o endereço IP 10.10.10.1/24 para a interface IRB. Em seguida, você cria a zona L2 e adiciona interfaces de Camada 2 ge-0/0/1.0 e ge-0/0/0.0 a ela.
Em seguida, você configura um tipo de inet da família Camada 3 para identificar interfaces de Camada 3. Você define o endereço IP 192.0.2.1/24 para interface ge-0/0/2.0 e o endereço IP 192.0.2.3/24 para interface ge-0/0/3. Em seguida, você cria a zona L3 e adiciona interfaces de Camada 3 ge-0/0/2.0 e ge-0/3.0 a ela.
Topologia
Figura 3 mostra uma topologia de modo misto.
Tabela 3 mostra os parâmetros configurados neste exemplo.
Parâmetro |
Descrição |
|---|---|
L2 |
Zona de camada 2. |
ge-0/0/1,0 e ge-0/0/0,0 |
Interfaces de camada 2 adicionadas à zona de Camada 2. |
L3 |
Zona de camada 3. |
ge-0/0/2.0 e ge-0/0/3.0 |
Interfaces de camada 3 adicionadas à zona de Camada 3. |
10.10.10.1/24 |
Endereço IP para a interface IRB. |
192,0,2,1/24 e 192,0,2,3/24 |
Endereços IP para a interface de Camada 3. |
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.
set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members 10 set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 10 set protocols l2-learning global-mode transparent-bridge set interfaces irb unit 10 family inet address 10.10.10.1/24 set security zones security-zone L2 interfaces ge-0/0/1.0 set security zones security-zone L2 interfaces ge-0/0/0.0 set vlans vlan-10 vlan-id 10 set vlans vlan-10 l3-interface irb.10 set interfaces ge-0/0/2 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/3 unit 0 family inet address 192.0.2.3/24 set security policies default-policy permit-all set security zones security-zone L2 host-inbound-traffic system-services any-service set security zones security-zone L2 host-inbound-traffic protocols all set security zones security-zone L3 host-inbound-traffic system-services any-service set security zones security-zone L3 host-inbound-traffic protocols all set security zones security-zone L3 interfaces ge-0/0/2.0 set security zones security-zone L3 interfaces ge-0/0/3.0
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar interfaces de Camada 2 e Camada 3:
Crie um tipo de família de Camada 2 para configurar interfaces de Camada 2.
[edit interfaces] user@host# set ge-0/0/0 unit 0 family ethernet-switching interface-mode access user@host# set ge-0/0/0 unit 0 family ethernet-switching vlan members 10 user@host# set ge-0/0/1 unit 0 family ethernet-switching interface-mode access user@host# set ge-0/0/1 unit 0 family ethernet-switching vlan members 10
Configure interfaces de Camada 2 para funcionar em modo de ponte transparente.
[edit protocols] user@host# set l2-learning global-mode transparent-bridge
Configure um endereço IP para a interface IRB.
[edit interfaces] user@host# set irb unit 10 family inet address 10.10.10.1/24
Configure interfaces de Camada 2.
[edit security zones security-zone L2 interfaces] user@host# set ge-0/0/1.0 user@host# set ge-0/0/0.0
Configure VLAN.
[edit vlans vlan-10] user@host# set vlan-id 10 user@host# set l3-interface irb.10
Configure endereços IP para interfaces de Camada 3.
[edit interfaces] user@host# set ge-0/0/2 unit 0 family inet address 192.0.2.1/24 user@host# set ge-0/0/3 unit 0 family inet address 192.0.2.3/24
Configure a política para permitir o tráfego.
[edit security policies] user@host# set default-policy permit-all
Configure interfaces de Camada 3.
[edit security zones security-zone] user@host# set L2 host-inbound-traffic system-services any-service user@host# set L2 host-inbound-traffic protocols all user@host# set L3 host-inbound-traffic system-services any-service user@host# set L3 host-inbound-traffic protocols all user@host# set L3 interfaces ge-0/0/2.0 user@host# set L3 interfaces ge-0/0/3.0
Resultados
A partir do modo de configuração, confirme sua configuração entrando noshow interfaces, show security policiesshow vlanse show security zones comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 10;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members 10;
}
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.0.2.3/24;
}
}
}
irb {
unit 10 {
family inet {
address 10.10.10.1/24;
}
}
}
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show vlans
vlan-10 {
vlan-id 10;
l3-interface irb.10;
}
[edit]
user@host# show security zones
security-zone L2 {
host-inbound-traffic {
system-services {
any-service;
}
protocols {
all;
}
}
interfaces {
ge-0/0/1.0;
ge-0/0/0.0;
}
}
security-zone L3 {
host-inbound-traffic {
system-services {
any-service;
}
protocols {
all;
}
}
interfaces {
ge-0/0/2.0;
ge-0/0/3.0;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando as interfaces e zonas de Camada 2 e Camada 3
- Verificando a sessão de Camada 2 e Camada 3
Verificando as interfaces e zonas de Camada 2 e Camada 3
Propósito
Verifique se as interfaces de Camada 2 e Camada 3 e zonas de Camada 2 e Camada 3 são criadas.
Ação
A partir do modo operacional, entre no show security zones comando.
user@host> show security zones
Security zone: HOST
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 0
Interfaces:
Security zone: L2
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 2
Interfaces:
ge-0/0/0.0
ge-0/0/1.0
Security zone: L3
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 2
Interfaces:
ge-0/0/2.0
ge-0/0/3.0
Security zone: junos-host
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 0
Interfaces:
Significado
A saída mostra os nomes da zona de Camada 2 (L2) e Camada 3 (L3) e o número e nomes das interfaces de Camada 2 e Camada 3 vinculadas às zonas L2 e L3.
Verificando a sessão de Camada 2 e Camada 3
Propósito
Verifique se as sessões de Camada 2 e Camada 3 estão estabelecidas no dispositivo.
Ação
A partir do modo operacional, entre no show security flow session comando.
user@host> show security flow session Session ID: 1, Policy name: default-policy-logical-system-00/2, Timeout: 58, Valid In: 10.102.70.75/54395 --> 228.102.70.76/9876;udp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 1209, Bytes: 1695018, Out: 228.102.70.76/9876 --> 10.102.70.75/54395;udp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 0, Bytes: 0, Session ID: 2, Policy name: default-policy-logical-system-00/2, Timeout: 58, Valid In: 10.102.70.19/23364 --> 228.102.70.20/23364;udp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 401, Bytes: 141152, Out: 228.102.70.20/23364 --> 10.102.70.19/23364;udp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 0, Bytes: 0,
Significado
A saída mostra sessões ativas no dispositivo e a política de segurança associada de cada sessão.
Session ID 1— Número que identifica a sessão de Camada 2. Use este ID para obter mais informações sobre a sessão de Camada 2, como nome da política ou número de pacotes dentro e fora.
default-policy-logical-system-00/2— Nome padrão da política que permitiu o tráfego de Camada 2.
In— Fluxo de entrada (endereços IP de camada 2 de origem e destino com seus respectivos números de porta de origem e destino, a sessão é ICMP, e a interface de origem para esta sessão é ge-0/0/0,0).
Out— Fluxo reverso (endereços IP de camada 2 de origem e destino com seus respectivos números de porta de origem e destino, a sessão é ICMP, e a interface de destino para esta sessão é ge-0/0/1,0).
Session ID 2— Número que identifica a sessão de Camada 2. Use este ID para obter mais informações sobre a sessão de Camada 2, como nome da política ou número de pacotes dentro e fora.
default-policy-logical-system-00/2— Nome padrão da política que permitiu o tráfego de Camada 2.
In— Fluxo de entrada (endereços IP de camada 2 de origem e destino com seus respectivos números de porta de origem e destino, a sessão é ICMP, e a interface de origem para esta sessão é ge-0/0/0,0,).
Out— Fluxo reverso (endereços IP de camada 2 de origem e destino com seus respectivos números de porta de origem e destino, a sessão é ICMP, e a interface de destino para esta sessão é ge-0/0/1,0,).
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.