Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Interfaces de camada 2 em dispositivos de segurança

Entender as interfaces de camada 2 em dispositivos de segurança

As interfaces lógicas de camada 2 são criadas definindo uma ou mais unidades lógicas em uma interface física com o tipo ethernet-switchingde endereço da família. Se uma interface física tem uma ethernet-switchinginterface lógica familiar, ela não pode ter nenhum outro tipo de família em suas interfaces lógicas. Uma interface lógica pode ser configurada em um dos seguintes modos:

  • Modo de acesso — a interface aceita pacotes não registrados, atribui o identificador VLAN especificado ao pacote e encaminha o pacote dentro da VLAN que está configurado com o identificador VLAN correspondente.

  • Modo tronco — a interface aceita qualquer pacote marcado com um identificador VLAN que corresponda a uma lista especificada de identificadores VLAN. As interfaces de modo tronco geralmente são usadas para interconectar switches. Para configurar um identificador VLAN para pacotes não registrados recebidos na interface física, use a opção native-vlan-id . Se a opção native-vlan-id não estiver configurada, os pacotes não registrados serão descartados.

Nota:

Várias interfaces lógicas de modo tronco podem ser definidas, desde que os identificadores VLAN de uma interface de tronco não se sobreponham aos de outra interface de tronco. O native-vlan-id deve pertencer a uma lista de identificadores VLAN configurada para uma interface de tronco.

Exemplo: Configuração de interfaces lógicas de camada 2 em dispositivos de segurança

Este exemplo mostra como configurar uma interface lógica de Camada 2 como uma porta tronco para que os pacotes de entrada possam ser redirecionados seletivamente para um firewall ou outro dispositivo de segurança.

Requisitos

Antes de começar, configure as VLANs. Veja exemplo: Configuração de VLANs em dispositivos de segurança.

Visão geral

Neste exemplo, você configura a interface lógica ge-3/0/0.0 como uma porta de tronco que transporta tráfego para pacotes marcados com identificadores VLAN de 1 a 10; esta interface é atribuída implicitamente às VLANs anteriormente configuradas vlan-a e vlan-b. Em seguida, você atribui uma ID VLAN de 10 a quaisquer pacotes não registrados recebidos na interface física ge-3/0/0.

Configuração

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar uma interface lógica de Camada 2 como porta-tronco:

  1. Configure a interface lógica.

  2. Especifique um ID VLAN para pacotes não registrados.

  3. Se você terminar de configurar o dispositivo, confirme a configuração.

Verificação

Para verificar se a configuração está funcionando corretamente, insira os show interfaces ge-3/0/0 comandos e entre em operação show interfaces ge-3/0/0.0 .

Entender o modo misto (transparente e modo de rota) em dispositivos de segurança

O modo misto oferece suporte ao modo transparente (Camada 2) e modo de rota (Camada 3); é o modo padrão. Você pode configurar interfaces de Camada 2 e Camada 3 simultaneamente usando zonas de segurança separadas.

Nota:

Para a configuração do modo misto, você deve reiniciar o dispositivo após confirmar as mudanças. No entanto, para dispositivos de linha SRX5000, a reinicialização não é necessária.

dispositivos de SRX4100 e SRX4200 oferecem suporte ao sistema lógico no modo transparente e de roteamento

SRX4600 dispositivo oferece suporte apenas ao sistema lógico no modo de rota

No modo misto (Modo transparente e de rota):

  • Não há roteamento entre interfaces IRB e entre interfaces IRB e interfaces de Camada 3.

O dispositivo se parece com Figura 1 dois dispositivos separados. Um dispositivo é executado no modo transparente de Camada 2 e o outro dispositivo é executado no modo de roteamento de Camada 3. Mas ambos os dispositivos funcionam de forma independente. Os pacotes não podem ser transferidos entre as interfaces de Camada 2 e Camada 3, porque não há roteamento entre interfaces IRB e entre interfaces IRB e interfaces de Camada 3.

Figura 1: Arquitetura de modo misto transparente e de rotasArquitetura de modo misto transparente e de rotas

No modo misto, a interface física da Ethernet pode ser uma interface de Camada 2 ou uma interface de Camada 3, mas a interface física da Ethernet não pode ser simultaneamente. No entanto, as famílias de Camada 2 e Camada 3 podem existir em interfaces físicas separadas no mesmo dispositivo.

Tabela 1 lista os tipos de interface física Ethernet e tipos de família suportados.

Tabela 1: Interface física Ethernet e tipos de família suportados

Tipo de interface física de ethernet

Tipo de família apoiada

Interface de camada 2

ethernet-switching

Interface de camada 3

inet e inet6

Nota:

Várias instâncias de roteamento são suportadas.

Você pode configurar o pseudointerface irb.x e a interface de Camada 3 na mesma instância de roteamento padrão usando uma instância de roteamento padrão ou uma instância de roteamento definida pelo usuário. Veja Figura 2.

Figura 2: Modo de caminho e transparente mistoModo de caminho e transparente misto

Os pacotes da interface de Camada 2 são trocados na mesma VLAN ou se conectam ao host por meio da interface IRB. Os pacotes não podem ser roteados para outra interface IRB ou uma interface de Camada 3 por meio de sua própria interface IRB.

Os pacotes da interface de Camada 3 são roteados para outra interface de Camada 3. Os pacotes não podem ser roteados para uma interface de Camada 2 por uma interface IRB.

Tabela 2 lista os recursos de segurança que são suportados no modo misto e os recursos que não são suportados no modo transparente para comutação de Camada 2.

Tabela 2: Recursos de segurança suportados no modo misto (transparente e modo de rota)

Tipo de modo

Possibilitada

Não suportado

Modo misto

  • Gateways de camada de aplicativo (ALGs)

  • Autenticação de usuário de firewall (FWAUTH)

  • Detecção e prevenção de invasões (IDP)

  • Tela

  • AppSecure

  • Segurança de conteúdo

Modo de rota (interface de camada 3)

  • Tradução de endereços de rede (NAT)

  • VPN

Modo transparente (interface de camada 2)

  • Segurança de conteúdo

  • Tradução de endereços de rede (NAT)

  • VPN

A partir do Junos OS Release 12.3X48-D10 e Junos OS Release 17.3R1, algumas condições se aplicam às operações de modo misto. Observe as condições aqui:

  • Nos dispositivos SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550HM e SRX1500, você não pode configurar a comutação Ethernet e o serviço de LAN privada virtual (VPLS) usando modo misto (Camada 2 e Camada 3).

  • Em SRX5400, SRX5600 e dispositivos SRX5800, você não precisa reiniciar o dispositivo quando configura o VLAN.

Exemplo: Melhorando os serviços de segurança configurando um firewall da Série SRX usando modo misto (transparente e modo de rota)

Você pode configurar um firewall da Série SRX usando modo transparente (Camada 2) e modo de rota (Camada 3) simultaneamente para simplificar implantações e melhorar os serviços de segurança.

Este exemplo mostra como passar o tráfego de Camada 2 da interface ge-0/0/1.0 para interface ge-0/0/0.0 e tráfego de Camada 3 da interface ge-0/0/2.0 para interface ge-0/0/3.0.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Um firewall da Série SRX

  • Quatro PCs

Antes de começar:

Visão geral

Em empresas onde diferentes grupos de negócios têm soluções de segurança baseadas em Camada 2 ou Camada 3, usar uma única configuração de modo misto simplifica suas implantações. Em uma configuração de modo misto, você também pode fornecer serviços de segurança com comutação e roteamento integrados.

Além disso, você pode configurar um firewall da Série SRX no modo de cluster autônomo e chassi usando o modo misto.

No modo misto (modo padrão), você pode configurar interfaces de Camada 2 e Camada 3 simultaneamente usando zonas de segurança separadas.

Nota:

Para a configuração do modo misto, você deve reiniciar o dispositivo após confirmar as mudanças. No entanto, para dispositivos de linha SRX5000, a reinicialização não é necessária.

Neste exemplo, primeiro você configura um tipo de família de Camada 2 chamado comutação Ethernet para identificar interfaces de Camada 2. Você define o endereço IP 10.10.10.1/24 para a interface IRB. Em seguida, você cria a zona L2 e adiciona interfaces de Camada 2 ge-0/0/1.0 e ge-0/0/0.0 a ela.

Em seguida, você configura um tipo de inet da família Camada 3 para identificar interfaces de Camada 3. Você define o endereço IP 192.0.2.1/24 para interface ge-0/0/2.0 e o endereço IP 192.0.2.3/24 para interface ge-0/0/3. Em seguida, você cria a zona L3 e adiciona interfaces de Camada 3 ge-0/0/2.0 e ge-0/3.0 a ela.

Topologia

Figura 3 mostra uma topologia de modo misto.

Figura 3: Topologia de modo mistoTopologia de modo misto

Tabela 3 mostra os parâmetros configurados neste exemplo.

Tabela 3: Parâmetros de Camada 2 e Camada 3

Parâmetro

Descrição

L2

Zona de camada 2.

ge-0/0/1,0 e ge-0/0/0,0

Interfaces de camada 2 adicionadas à zona de Camada 2.

L3

Zona de camada 3.

ge-0/0/2.0 e ge-0/0/3.0

Interfaces de camada 3 adicionadas à zona de Camada 3.

10.10.10.1/24

Endereço IP para a interface IRB.

192,0,2,1/24 e 192,0,2,3/24

Endereços IP para a interface de Camada 3.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar interfaces de Camada 2 e Camada 3:

  1. Crie um tipo de família de Camada 2 para configurar interfaces de Camada 2.

  2. Configure interfaces de Camada 2 para funcionar em modo de ponte transparente.

  3. Configure um endereço IP para a interface IRB.

  4. Configure interfaces de Camada 2.

  5. Configure VLAN.

  6. Configure endereços IP para interfaces de Camada 3.

  7. Configure a política para permitir o tráfego.

  8. Configure interfaces de Camada 3.

Resultados

A partir do modo de configuração, confirme sua configuração entrando noshow interfaces, show security policiesshow vlanse show security zones comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando as interfaces e zonas de Camada 2 e Camada 3

Propósito

Verifique se as interfaces de Camada 2 e Camada 3 e zonas de Camada 2 e Camada 3 são criadas.

Ação

A partir do modo operacional, entre no show security zones comando.

Significado

A saída mostra os nomes da zona de Camada 2 (L2) e Camada 3 (L3) e o número e nomes das interfaces de Camada 2 e Camada 3 vinculadas às zonas L2 e L3.

Verificando a sessão de Camada 2 e Camada 3

Propósito

Verifique se as sessões de Camada 2 e Camada 3 estão estabelecidas no dispositivo.

Ação

A partir do modo operacional, entre no show security flow session comando.

Significado

A saída mostra sessões ativas no dispositivo e a política de segurança associada de cada sessão.

  • Session ID 1— Número que identifica a sessão de Camada 2. Use este ID para obter mais informações sobre a sessão de Camada 2, como nome da política ou número de pacotes dentro e fora.

  • default-policy-logical-system-00/2— Nome padrão da política que permitiu o tráfego de Camada 2.

  • In— Fluxo de entrada (endereços IP de camada 2 de origem e destino com seus respectivos números de porta de origem e destino, a sessão é ICMP, e a interface de origem para esta sessão é ge-0/0/0,0).

  • Out— Fluxo reverso (endereços IP de camada 2 de origem e destino com seus respectivos números de porta de origem e destino, a sessão é ICMP, e a interface de destino para esta sessão é ge-0/0/1,0).

  • Session ID 2— Número que identifica a sessão de Camada 2. Use este ID para obter mais informações sobre a sessão de Camada 2, como nome da política ou número de pacotes dentro e fora.

  • default-policy-logical-system-00/2— Nome padrão da política que permitiu o tráfego de Camada 2.

  • In— Fluxo de entrada (endereços IP de camada 2 de origem e destino com seus respectivos números de porta de origem e destino, a sessão é ICMP, e a interface de origem para esta sessão é ge-0/0/0,0,).

  • Out— Fluxo reverso (endereços IP de camada 2 de origem e destino com seus respectivos números de porta de origem e destino, a sessão é ICMP, e a interface de destino para esta sessão é ge-0/0/1,0,).

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
12.3X48-D10
A partir do Junos OS Release 12.3X48-D10 e Junos OS Release 17.3R1, algumas condições se aplicam às operações de modo misto.