Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Interfaces de capa 2 en dispositivos de seguridad

Descripción de las interfaces de capa 2 en dispositivos de seguridad

Las interfaces lógicas de capa 2 se crean definiendo una o más unidades lógicas en una interfaz física con el tipo ethernet-switchingde dirección de familia. Si una interfaz física tiene una ethernet-switchinginterfaz lógica de familia, no puede tener ningún otro tipo de familia en sus interfaces lógicas. Se puede configurar una interfaz lógica en uno de los siguientes modos:

  • Modo de acceso: la interfaz acepta paquetes sin etiquetar, asigna el identificador de VLAN especificado al paquete y reenvía el paquete dentro de la VLAN configurada con el identificador de VLAN correspondiente.

  • Modo de troncalización: la interfaz acepta cualquier paquete etiquetado con un identificador de VLAN que coincida con una lista especificada de identificadores de VLAN. Las interfaces en modo troncal se utilizan generalmente para interconectar conmutadores. Para configurar un identificador de VLAN para paquetes sin etiquetar recibidos en la interfaz física, utilice la native-vlan-id opción. Si la native-vlan-id opción no está configurada, se descartarán los paquetes sin etiquetar.

Nota:

Se pueden definir varias interfaces lógicas en modo troncal, siempre y cuando los identificadores de VLAN de una interfaz troncal no se superpongan con los de otra interfaz troncal. El native-vlan-id debe pertenecer a una lista de identificadores de VLAN configurada para una interfaz troncal.

Ejemplo: Configuración de interfaces lógicas de capa 2 en dispositivos de seguridad

En este ejemplo se muestra cómo configurar una interfaz lógica de capa 2 como puerto troncal para que los paquetes entrantes se puedan redirigir selectivamente a un firewall u otro dispositivo de seguridad.

Requisitos

Antes de comenzar, configure las VLAN. Consulte Ejemplo: Configuración de redes VLAN en dispositivos de seguridad.

Descripción general

En este ejemplo, se configura la interfaz lógica ge-3/0/0.0 como un puerto de troncalización que transporta tráfico para paquetes etiquetados con identificadores VLAN del 1 al 10; esta interfaz se asigna implícitamente a las VLAN previamente configuradas VLAN-A y VLAN-B. A continuación, asigne un ID de VLAN de 10 a todos los paquetes sin etiquetar recibidos en la interfaz física ge-3/0/0.

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar una interfaz lógica de capa 2 como puerto troncal:

  1. Configure la interfaz lógica.

  2. Especifique un ID de VLAN para los paquetes sin etiquetar.

  3. Cuando termine de configurar el dispositivo, confirme la configuración.

Verificación

Para comprobar que la configuración funciona correctamente, escriba los show interfaces ge-3/0/0 comandos y show interfaces ge-3/0/0.0 .

Descripción del modo mixto (modo transparente y modo de ruta) en dispositivos de seguridad

El modo mixto admite tanto el modo transparente (capa 2) como el modo de ruta (capa 3); es el modo predeterminado. Puede configurar las interfaces de capa 2 y capa 3 simultáneamente mediante zonas de seguridad independientes.

Nota:

Para la configuración de modo mixto, debe reiniciar el dispositivo después de confirmar los cambios. Sin embargo, para los dispositivos de línea SRX5000, no es necesario reiniciar.

Los dispositivos SRX4100 y SRX4200 admiten el sistema lógico tanto en modo transparente como en modo de ruta

SRX4600 dispositivo solo admite el sistema lógico en el modo de ruta

En modo mixto (modo transparente y modo ruta):

  • No hay enrutamiento entre las interfaces IRB y entre las interfaces IRB y las interfaces de capa 3.

El dispositivo se parece a Figura 1 dos dispositivos separados. Un dispositivo se ejecuta en modo transparente de capa 2 y el otro dispositivo se ejecuta en modo de enrutamiento de capa 3. Pero ambos dispositivos funcionan de forma independiente. Los paquetes no se pueden transferir entre las interfaces de capa 2 y capa 3, porque no hay enrutamiento entre las interfaces IRB y entre las interfaces IRB y las interfaces de capa 3.

Figura 1: Arquitectura del modo mixto transparente y de rutaArquitectura del modo mixto transparente y de ruta

En el modo mixto, la interfaz física Ethernet puede ser una interfaz de capa 2 o una interfaz de capa 3, pero la interfaz física de Ethernet no puede ser ambas simultáneamente. Sin embargo, las familias de capa 2 y capa 3 pueden existir en interfaces físicas independientes en el mismo dispositivo.

Tabla 1 enumera los tipos de interfaz física Ethernet y los tipos de familia admitidos.

Tabla 1: Interfaz física Ethernet y tipos de familia admitidos

Tipo de interfaz física Ethernet

Tipo de familia admitido

Interfaz de capa 2

ethernet-switching

Interfaz de capa 3

inet y inet6

Nota:

Se admiten varias instancias de enrutamiento.

Puede configurar tanto la pseudointerfaz irb.x como la interfaz de capa 3 en la misma instancia de enrutamiento predeterminada utilizando una instancia de enrutamiento predeterminada o una instancia de enrutamiento definida por el usuario. Consulte Figura 2.

Figura 2: Modo mixto transparente y de rutaModo mixto transparente y de ruta

Los paquetes de la interfaz de capa 2 se conmutan dentro de la misma VLAN o se conectan al host a través de la interfaz IRB. Los paquetes no se pueden enrutar a otra interfaz IRB o a una interfaz de capa 3 a través de su propia interfaz IRB.

Los paquetes de la interfaz de capa 3 se enrutan a otra interfaz de capa 3. Los paquetes no se pueden enrutar a una interfaz de capa 2 a través de una interfaz IRB.

Tabla 2 enumera las características de seguridad compatibles con el modo mixto y las funciones que no se admiten en el modo transparente para la conmutación de capa 2.

Tabla 2: Funciones de seguridad compatibles con el modo mixto (modo transparente y modo de ruta)

Tipo de modo

Compatible

No compatible

Modo mixto

  • Puertas de enlace de la capa de aplicación (ALG)

  • Autenticación de usuario de firewall (FWAUTH)

  • Detección y prevención de intrusiones (IDP)

  • Pantalla

  • AppSecure

  • Seguridad de contenido

Modo de ruta (interfaz de capa 3)

  • Traducción de la dirección de red (NAT)

  • VPN

Modo transparente (interfaz de capa 2)

  • Seguridad de contenido

  • Traducción de la dirección de red (NAT)

  • VPN

A partir de Junos OS versión 12.3X48-D10 y Junos OS versión 17.3R1, se aplican algunas condiciones a las operaciones de modo mixto. Tenga en cuenta las condiciones aquí:

  • En los dispositivos SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550HM y SRX1500, no puede configurar la conmutación Ethernet y el servicio de LAN privada virtual (VPLS) mediante el modo mixto (capa 2 y capa 3).

  • En los dispositivos SRX5400, SRX5600 y SRX5800, no es necesario reiniciar el dispositivo al configurar la VLAN.

Ejemplo: Mejora de los servicios de seguridad mediante la configuración de un firewall de la serie SRX mediante el modo mixto (modo transparente y modo de ruta)

Puede configurar un firewall de la serie SRX utilizando el modo transparente (capa 2) y el modo de ruta (capa 3) simultáneamente para simplificar las implementaciones y mejorar los servicios de seguridad.

En este ejemplo se muestra cómo pasar el tráfico de la capa 2 de la interfaz ge-0/0/1.0 a la interfaz ge-0/0/0.0 y el tráfico de la capa 3 de la interfaz ge-0/0/2.0 a la interfaz ge-0/0/3.0.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un firewall de la serie SRX

  • Cuatro PC

Antes de empezar:

Descripción general

En las empresas donde diferentes grupos empresariales tienen soluciones de seguridad basadas en la capa 2 o en la capa 3, el uso de una única configuración de modo mixto simplifica sus despliegues. En una configuración de modo mixto, también puede proporcionar servicios de seguridad con conmutación y enrutamiento integrados.

Además, puede configurar un firewall de la serie SRX tanto en modo independiente como en modo de clúster de chasis mediante el modo mixto.

En el modo mixto (modo predeterminado), puede configurar las interfaces de capa 2 y capa 3 simultáneamente mediante zonas de seguridad independientes.

Nota:

Para la configuración de modo mixto, debe reiniciar el dispositivo después de confirmar los cambios. Sin embargo, para los dispositivos de línea SRX5000, no es necesario reiniciar.

En este ejemplo, primero se configura un tipo de familia de capa 2 denominado conmutación Ethernet para identificar las interfaces de capa 2. Establezca la dirección IP 10.10.10.1/24 en interfaz IRB. A continuación, se crea la zona L2 y se agregan las interfaces de capa 2 ge-0/0/1.0 y ge-0/0/0.0.

A continuación, configure un tipo de familia de capa 3 para identificar las interfaces de capa 3. Establezca la dirección IP 192.0.2.1/24 en la interfaz ge-0/0/2.0 y la dirección IP 192.0.2.3/24 en la interfaz ge-0/0/3. A continuación, se crea la zona L3 y se agregan las interfaces de capa 3 ge-0/0/2.0 y ge-0/0/3.0.

Topología

Figura 3 muestra una topología de modo mixto.

Figura 3: Topología de modo mixtoTopología de modo mixto

Tabla 3 muestra los parámetros configurados en este ejemplo.

Tabla 3: Parámetros de capa 2 y capa 3

Parámetro

Description

L2

Zona de capa 2.

GE-0/0/1.0 y GE-0/0/0.0

Interfaces de capa 2 agregadas a la zona de capa 2.

L3

Zona de capa 3.

GE-0/0/2.0 y GE-0/0/3.0

Interfaces de capa 3 agregadas a la zona de capa 3.

10.10.10.1/24

Dirección IP de la interfaz IRB.

192.0.2.1/24 y 192.0.2.3/24

Direcciones IP para la interfaz de capa 3.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.

Para configurar interfaces de capa 2 y capa 3:

  1. Cree un tipo de familia de capa 2 para configurar interfaces de capa 2.

  2. Configure las interfaces de capa 2 para que funcionen en modo de puente transparente.

  3. Configure una dirección IP para la interfaz IRB.

  4. Configure las interfaces de capa 2.

  5. Configure VLAN.

  6. Configure direcciones IP para interfaces de capa 3.

  7. Configure la directiva para permitir el tráfico.

  8. Configure las interfaces de capa 3.

Resultados

Desde el modo de configuración, ingrese los comandos show interfaces, show security policies, show vlans y show security zones para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Verificación de las interfaces y zonas de capa 2 y capa 3

Propósito

Verifique que se hayan creado las interfaces de capa 2 y capa 3 y las zonas de capa 2 y capa 3.

Acción

Desde el modo operativo, ingrese el comando show security zones.

Significado

El resultado muestra los nombres de las zonas de capa 2 (L2) y capa 3 (L3) y el número y los nombres de las interfaces de capa 2 y capa 3 enlazadas a las zonas L2 y L3.

Verificación de la sesión de capa 2 y capa 3

Propósito

Verifique que las sesiones de capa 2 y capa 3 estén establecidas en el dispositivo.

Acción

Desde el modo operativo, ingrese el comando show security flow session.

Significado

El resultado muestra las sesiones activas en el dispositivo y la política de seguridad asociada a cada sesión.

  • Session ID 1: número que identifica la sesión de capa 2. Utilice este ID para obtener más información sobre la sesión de capa 2, como el nombre de la directiva o el número de paquetes de entrada y salida.

  • default-policy-logical-system-00/2: nombre predeterminado de la política que permitía el tráfico de capa 2.

  • In: flujo entrante (direcciones IP de capa 2 de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es ICMP y la interfaz de origen para esta sesión es ge-0/0/0.0).

  • Out: flujo inverso (direcciones IP de capa 2 de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es ICMP y la interfaz de destino para esta sesión es ge-0/0/1.0).

  • Session ID 2: número que identifica la sesión de capa 2. Utilice este ID para obtener más información sobre la sesión de capa 2, como el nombre de la directiva o el número de paquetes de entrada y salida.

  • default-policy-logical-system-00/2: nombre predeterminado de la política que permitía el tráfico de capa 2.

  • In: flujo entrante (direcciones IP de capa 2 de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es ICMP y la interfaz de origen para esta sesión es ge-0/0/0.0,).

  • Out—Flujo inverso (direcciones IP de capa 2 de origen y destino con sus respectivos números de puerto de origen y destino, la sesión es ICMP y la interfaz de destino para esta sesión es ge-0/0/1.0,).

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
12.3X48-D10
A partir de Junos OS versión 12.3X48-D10 y Junos OS versión 17.3R1, se aplican algunas condiciones a las operaciones de modo mixto.