- play_arrow Descripción general
- play_arrow Características de operación, administración y administración
- play_arrow OAM de Ethernet y administración de fallos de conectividad para enrutadores
- Introducción a la administración de errores de conectividad (CFM) de OAM
- Configurar la administración de errores de conectividad (CFM)
- Perfil de acción de CFM
- Interfaz de administración local Ethernet
- Soporte CFM para paquetes encapsulados CCC
- Configurar ISSU unificada para 802.1ag CFM
- Monitoreo CFM entre dispositivos CE y PE
- Configurar mensajes de comprobación de continuidad
- Ejemplo: Configurar Ethernet CFM en interfaces físicas
- Ejemplo: Configurar Ethernet CFM en conexiones de puente
- Ejemplo: Configurar Ethernet CFM a través de VPLS
- play_arrow Administración de fallos de vínculo para enrutadores
- play_arrow Administración de fallos de vínculo OAM Ethernet para conmutadores
- play_arrow Administración de errores de conectividad OAM Ethernet para conmutadores
- play_arrow Retardo de trama Ethernet
- Mediciones de retardo de trama Ethernet en conmutadores
- Configurar interfaces MEP en conmutadores para que admitan mediciones de retardo de trama Ethernet (procedimiento de CLI)
- Configuración de mediciones de retardo de trama Ethernet unidireccional en conmutadores (procedimiento de CLI)
- Configurar un perfil de iterador en un conmutador (procedimiento de CLI)
- Activar una sesión de medición de retardo de trama Ethernet en un conmutador
- Configuración de mediciones de retardo de trama Ethernet bidireccional en conmutadores (procedimiento de CLI)
- play_arrow Oam del servicio Ethernet (ITU-ty.1731) para enrutadores
- Visión general de OAM del servicio Ethernet ITU-T Y.1731
- Configurar sesiones de medición de retardo de trama Ethernet
- Configuración de interfaces MEP para admitir mediciones de retardo de trama Ethernet
- Configurar la medición de pérdida de tramas Ethernet
- Configurar un perfil de iterador
- Configurar mediciones de pérdida sintética Ethernet
- Indicación de alarma Ethernet
- Modo de transmisión en línea
-
- play_arrow Supervisión de red mediante SNMP
- Descripción general de la arquitectura SNMP y las MIB SNMP
- Descripción de la implementación de SNMP en Junos OS
- Configurar SNMP en Junos OS
- Configurar opciones en dispositivos administrados para un mejor tiempo de respuesta SNMP
- MIB de utilidad específica para empresas para mejorar la cobertura SNMP
- Optimice la configuración del sistema de administración de red para obtener los mejores resultados
- Interfaces para aceptar solicitudes SNMP
- Configurar SNMP para instancias de enrutamiento
- Configurar operaciones remotas SNMP
- Capturas SNMP
- Capturas SNMP compatibles con Junos OS
- Rastrear actividad SNMP
- Privilegios de acceso para un grupo SNMP
- Configurar ID de motor local en SNMPv3
- Configurar SNMPv3
- Configurar el tipo de autenticación SNMPv3 y el tipo de cifrado
- Capturas SNMPv3
- SNMPv3 informa
- Comunidades SNMP
- Vistas MIB
- MIB SNMP compatibles con Junos OS y Junos OS Evolved
- Preguntas frecuentes sobre SNMP de Junos OS
- play_arrow Monitoreo remoto de red (RMON) con alarmas y eventos SNMP
- play_arrow Opciones de contabilidad
- play_arrow Opciones de monitoreo
- play_arrow Alarmas de interfaz
- play_arrow Monitoreo de IP
- play_arrow Tecnología de monitoreo de sFlow
- play_arrow Muestreo adaptable para enrutadores y conmutadores
- play_arrow Software de diagnóstico del acelerador de flujo de paquetes
-
- play_arrow Supervisión de características de seguridad comunes
- play_arrow Gestión del rendimiento
- play_arrow Imitación de puerto
- play_arrow Duplicación de puertos y analizadores
- Duplicación de puertos y analizadores
- Configuración de analizadores y duplicación de puertos
- Configuración de instancias de creación de reflejo de puertos
- Configuración de la duplicación de puertos en interfaces físicas
- Configuración de la creación de reflejo de puertos en interfaces lógicas
- Configuración de la duplicación de puertos para varios destinos
- Configuración de la duplicación de puertos para destinos remotos
- Configuración del análisis local y remoto de creación de reflejo de puertos
- Duplicación de puerto 1:N a múltiples destinos en conmutadores
- Ejemplo: Configurar la creación de reflejo de puertos con familia cualquiera y un filtro de firewall
- Supervisión de la duplicación de puertos
- Configurar la duplicación de paquetes con encabezados de capa 2 para el tráfico reenviado de capa 3
- Solución de problemas de duplicación de puertos
-
- play_arrow Administración de red y solución de problemas
- Comprimir los registros de solución de problemas de /var/logs para enviarlos al soporte técnico de Juniper Networks
- Monitoreo y solución de problemas
- Solución de problemas del rendimiento del sistema con la metodología de monitoreo de recursos
- Configuración de las opciones de depuración y rastreo de rutas de datos
- Uso de MPLS para diagnosticar LSP, VPN y circuitos de capa 2
- Uso de la captura de paquetes para analizar el tráfico de red
- Descripción general de On-Box Packet Sniffer
- Solución de problemas de dispositivos de seguridad
- play_arrow Instrucciones de configuración y comandos operativos
Configurar Syslog a través de TLS
Obtenga información sobre cómo configurar el dispositivo para transportar mensajes de registro del sistema (también conocidos como mensajes syslog) de forma segura a través del protocolo Seguridad de la capa de transporte (TLS).
Registros del plano de control
syslog statement at the [system]
hierarchy level.Ejemplo: Configurar Syslog a través de TLS
En este ejemplo se muestra cómo configurar un dispositivo de Juniper Networks para transportar mensajes syslog (registros del plano de control) de forma segura a través de TLS.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 21.2R1 o posterior
Junos OS Evolved versión 23.4R1 o posterior
Dispositivo con Junos OS o Junos OS evolucionado (cliente syslog)
Servidor Syslog
Descripción general
Utilice el protocolo TLS para habilitar el transporte seguro de mensajes de registro del sistema (registros del plano de control) desde el cliente syslog al servidor syslog. TLS utiliza certificados para autenticar y cifrar la comunicación.
- Autenticación del servidor (o TLS unidireccional): el cliente verifica la identidad del servidor y confía en el servidor.
- Autenticación mutua: tanto el servidor como el cliente confían el uno en el otro.
Puede elegir entre autenticación de servidor o autenticación mutua dependiendo de su red. Para acceder rápidamente a la información que necesita, haga clic en los vínculos de la Tabla 1.
Modo de autenticación | Procedimiento | Sección donde se encuentra la información |
|---|---|---|
Autenticación del servidor | Configurar PKI Configurar el dispositivo |
Configuración
En el siguiente ejemplo, usamos el protocolo TLS para transportar de forma segura mensajes syslog (registros del plano de control) desde el dispositivo Juniper al servidor syslog remoto. La figura 1 muestra la topología básica utilizada en este ejemplo.
- Descripción general de la configuración de la infraestructura de clave pública (PKI)
- Configurar la autenticación del servidor en el dispositivo
- Resultados
- Verificación
Descripción general de la configuración de la infraestructura de clave pública (PKI)
Para configurar PKI en el dispositivo:
- Cree un perfil de entidad de certificación (CA) y asocie un identificador de CA al perfil de CA. Consulte Ejemplo: Configuración de un perfil de CA.
- (Opcional) Cree una comprobación de revocación para especificar un método para validar el certificado. Puede usar listas de revocación de certificados (CRL) o el Protocolo de estado de certificado en línea (OCSP). Consulte Revocación de certificados.
- (Opcional) Cree un grupo de CA de confianza y agregue el perfil de CA al grupo de confianza. Consulte Configuración de un grupo de CA de confianza.
- Cargue el certificado de CA en el dispositivo. Puede cargar el certificado manualmente. Consulte Ejemplo: Cargar certificados locales y de CA manualmente. En función del entorno de implementación, puede usar el Protocolo de administración de certificados versión 2 (CMPv2) o el Protocolo simple de inscripción de certificados (SCEP) para la inscripción de certificados en línea. Consulte Inscripción de un certificado de CA en línea mediante SCEP y Descripción de la inscripción de certificados con CMPv2.
- (Opcional para autenticación mutua) Cargue el certificado local en el dispositivo. Puede cargar el certificado local manualmente. En función del entorno de implementación, puede usar CMPv2 o SCEP para la inscripción de certificados en línea. Consulte Inscripción de un certificado local en línea mediante SCEP y Descripción de la inscripción de certificados con CMPv2.
- Compruebe que los certificados se cargan correctamente. Utilice el comando request security pki ca-certificate verify para comprobar si el certificado de CA se ha cargado correctamente. Utilice el comando request security pki local-certificate verify para comprobar que el certificado local se ha cargado correctamente.
Configurar la autenticación del servidor en el dispositivo
Procedimiento paso a paso
El siguiente procedimiento requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración.
Para configurar el dispositivo:
Especifique el servidor syslog que recibe los mensajes de registro del sistema. Puede especificar la dirección IP del servidor syslog o un nombre de host completo. En este ejemplo, utilice 10.102.70.233 como dirección IP del servidor syslog.
content_copy zoom_out_map[edit] user@host# set system syslog host 10.102.70.223 any any
Especifique el número de puerto del servidor syslog.
content_copy zoom_out_map[edit] user@host# set system syslog host 10.102.70.223 port 10514
Especifique el protocolo de transporte syslog para el dispositivo. En este ejemplo, use TLS como protocolo de transporte.
content_copy zoom_out_map[edit] user@host# set system syslog host 10.102.70.223 transport tls
Especifique el nombre del grupo de entidades emisoras de certificados (CA) de confianza o especifique el nombre del perfil de CA que se va a utilizar. En este ejemplo, utilice example-ca como perfil de CA.
content_copy zoom_out_map[edit] user@host# set system syslog host 10.102.70.223 tlsdetails trusted-ca-group trusted-ca-group-name ca-profiles example-ca
Configure el dispositivo para enviar todos los mensajes de registro.
content_copy zoom_out_map[edit] user@host# set system syslog file messages any any
Confirme la configuración.
content_copy zoom_out_map[edit] user@host# commit
Resultados
En el modo de configuración, confirme la configuración mediante el show system syslog comando.
[edit]
user@host# show system syslog
host 10.102.70.223 {
any any;
port 10514;
transport tls;
tlsdetails {
trusted-ca-group trusted-ca-group-name {
ca-profiles example-ca;
}
}
}
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show log comando en el servidor syslog.
Consulte también
Registros del plano de datos
Ejemplo: Configurar el protocolo TLS Syslog en firewalls de la serie SRX
En este ejemplo se muestra cómo configurar el protocolo syslog de Seguridad de la capa de transporte (TLS) en firewalls de la serie SRX para recibir eventos syslog cifrados de dispositivos de red que admiten el reenvío de eventos syslog TLS.
Requisitos
Antes de comenzar, habilite las capacidades de cifrado o descifrado y comprobación de certificados de servidor.
Descripción general
El protocolo syslog TLS permite que un origen de registro reciba eventos syslog cifrados de dispositivos de red que admiten el reenvío de eventos syslog TLS. El origen del registro crea un puerto de escucha para eventos syslog TLS entrantes y genera un archivo de certificado para los dispositivos de red.
En este ejemplo, se configura un recopilador syslog asociado a un perfil SSL-I. Cada perfil SSL-I permite al usuario especificar cosas como el conjunto de cifrados preferidos y los certificados de CA de confianza. Puede configurar varios perfiles SSL-I y asociar los perfiles con diferentes servidores recopiladores.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente esta sección del ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set security log mode stream set security log format sd-syslog set security log source-interface ge-0/0/1.0 set security log transport protocol tls set security log transport tls-profile ssl-i-tls set security log stream server1 format sd-syslog set security log stream server1 category all set security log stream server1 host 192.0.2.100 set services ssl initiation profile ssl-i-tls protocol-version all set services ssl initiation profile ssl-i-tls trusted-ca all set services ssl initiation profile ssl-i-tls actions ignore-server-auth-failure
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar el protocolo syslog TLS:
Establezca el modo de registro en stream.
content_copy zoom_out_map[edit security] user@host# set log mode stream
Especifique el formato de registro del sistema estructurado (sd-syslog) para el registro remoto de mensajes de seguridad.
content_copy zoom_out_map[edit security] user@host# set log format sd-syslog
Establezca el número de interfaz de origen del host.
content_copy zoom_out_map[edit security] user@host# set log source-interface ge-0/0/1.0
Especifique TLS como protocolo de transporte del registro de seguridad que se utilizará para registrar los datos.
content_copy zoom_out_map[edit security] user@host# set log transport protocol tls
Especifique el nombre del perfil TLS.
content_copy zoom_out_map[edit security] user@host# set log transport tls-profile ssl-i-tls
Establezca la secuencia de registro para que utilice el formato syslog estructurado para enviar registros al servidor 1.
content_copy zoom_out_map[edit security] user@host# set log stream server1 format sd-syslog
Establezca la categoría de registro del servidor 1 en todos.
content_copy zoom_out_map[edit security] user@host# set log stream server1 category all
Especifique los parámetros de host del servidor introduciendo el nombre del servidor o la dirección IP.
content_copy zoom_out_map[edit security] user@host# set log stream server1 host 192.0.2.100
Defina la versión del protocolo para el perfil de acceso de iniciación SSL.
content_copy zoom_out_map[edit services] user@host# set ssl initiation profile ssl-i-tls protocol-version all
Adjunte todos los grupos de perfiles de CA al perfil de iniciación de SSL para usarlos al solicitar un certificado del mismo nivel.
content_copy zoom_out_map[edit services] user@host# set ssl initiation profile ssl-i-tls trusted-ca all
Configure el perfil de acceso de iniciación SSL para omitir el error de autenticación del servidor.
content_copy zoom_out_map[edit services] user@host# set ssl initiation profile ssl-i-tls actions ignore-server-auth-failure
Resultados
En el modo de configuración, compruebe la configuración mediante el show security log comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show security log
mode stream;
format sd-syslog;
source-interface ge-0/0/1.0;
transport {
protocol tls;
tls-profile ssl-i-tls;
}
stream server1 {
format sd-syslog;
category all;
host {
192.0.2.100;
}
}
}
[edit]
user@host# run show configuration services ssl initiation
profile ssl-i-tls {
protocol-version all;
trusted-ca all;
actions {
ignore-server-auth-failure;
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Para comprobar que la configuración funciona correctamente, escriba el show log comando en el servidor syslog.
