Subido por Rogerio perez bolivar

JUNIPER SIST VIRTUALES

Anuncio
Conceptos y ejemplos
Manual de Referencia de ScreenOS
Volumen 10:
Sistemas virtuales
Versión 5.3.0, Rev. B
Juniper Networks, Inc.
1194 North Mathilda Avenue
Sunnyvale, CA 94089
USA
408-745-2000
www.juniper.net
Número de pieza: 093-1668-000-SP, Revisión B
Copyright Notice
Copyright © 2005 Juniper Networks, Inc. All rights reserved.
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Network’s installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
„
Reorient or relocate the receiving antenna.
„
Increase the separation between the equipment and receiver.
„
Consult the dealer or an experienced radio/TV technician for help.
„
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
Writer: Kristine Conley
Editor: Lisa Eldridge
ii
„
Contenido
Acerca de este volumen
v
Convenciones del documento .......................................................................... v
Convenciones de la interfaz de línea de comandos (CLI) .......................... vi
Convenciones para las ilustraciones ........................................................ vii
Convenciones de nomenclatura y conjuntos de caracteres ..................... viii
Convenciones de la interfaz gráfica (WebUI) ............................................ ix
Documentación de Juniper Networks ............................................................... x
Capítulo 1
Sistemas virtuales
1
Vista general .................................................................................................... 1
Objetos Vsys .................................................................................................... 3
Crear un objeto Vsys y administrador........................................................ 3
Establecer un enrutador virtual predeterminado para Vsys ....................... 5
Enlazar las zonas a un enrutador virtual compartido ................................. 5
Iniciar sesión como administrador Vsys........................................................... 6
Capítulo 2
Clasificar el tráfico
9
Vista general .................................................................................................... 9
Clasificar el tráfico ..................................................................................... 9
Clasificar el tráfico de tránsito .................................................................10
Interfaces compartidas y dedicadas......................................................... 14
Interfaces dedicadas ......................................................................... 14
Interfaces compartidas...................................................................... 15
Importar y exportar interfaces físicas............................................................. 17
Importar una interfaz física a un sistema virtual...................................... 17
Exportar una interfaz física de un sistema virtual .................................... 18
Capítulo 3
Clasificar el tráfico según VLAN
19
Vista general .................................................................................................. 19
VLAN ....................................................................................................... 20
VLANs con Vsys....................................................................................... 20
Definir subinterfaces y etiquetas VLAN .......................................................... 22
Comunicación entre sistemas virtuales .......................................................... 25
Capítulo 4
Clasificar el tráfico según IP
29
Vista general .................................................................................................. 29
Designar un rango IP al sistema raíz .............................................................. 30
Configurar la clasificación del tráfico según IP ............................................... 31
Índice ........................................................................................................................IX-I
Contenido
„
iii
Conceptos y ejemplos, Manual de Referencia de ScreenOS
iv
„
Contenido
Acerca de este volumen
El Volumen 10: Sistemas virtuales describe los sistemas virtuales, las interfaces
dedicadas y compartidas y la clasificación de tráfico según la VLAN y la IP.
Este volumen contiene los siguientes capítulos:
„
El Capítulo 1, “Sistemas virtuales,” abarca los sistemas virtuales, objetos y
tareas administrativas.
„
El Capítulo 2, “Clasificar el tráfico,” explica cómo ScreenOS ordena el tráfico.
„
El Capítulo 3, “Clasificar el tráfico según VLAN,” explica la clasificación de
tráfico basado en VLAN para sistemas virtuales.
„
El Capítulo 4, “Clasificar el tráfico según IP,” explica la clasificación de tráfico
basado en IP para sistemas virtuales.
Convenciones del documento
Este documento utiliza distintos tipos de convenciones, que se explican en las
siguientes secciones:
„
“Convenciones de la interfaz de línea de comandos (CLI)” en la página vi
„
“Convenciones para las ilustraciones” en la página vii
„
“Convenciones de nomenclatura y conjuntos de caracteres” en la página viii
„
“Convenciones de la interfaz gráfica (WebUI)” en la página ix
Convenciones del documento
„
v
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Convenciones de la interfaz de línea de comandos (CLI)
Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos
de CLI en ejemplos y en texto.
En ejemplos:
„
Los elementos entre corchetes [ ] son opcionales.
„
Los elementos entre llaves { } son obligatorios.
„
Si existen dos o más opciones alternativas, aparecerán separadas entre sí por
barras verticales ( | ). Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } manage
significa “establecer las opciones de administración de la interfaz ethernet1,
ethernet2 o ethernet3”.
„
Las variables aparecen en tipo cursiva.
set admin user nombre1 password xyz
En texto:
NOTA:
vi
„
Convenciones del documento
„
Los comandos aparecen en tipo negrita.
„
Las variables aparecen en tipo cursiva.
Para escribir palabras clave, basta con escribir los primeros caracteres que
permitan al sistema reconocer de forma inequívoca la palabra que se está
introduciendo. Por ejemplo, es suficiente escribir set adm u kath j12fmt54 para
que el sistema reconozca el comando set admin user kathleen j12fmt54.
Aunque este método se puede utilizar para introducir comandos, en la presente
documentación todos ellos se representan con sus palabras completas.
Acerca de este volumen
Convenciones para las ilustraciones
Las siguientes figuras conforman el conjunto básico de imágenes utilizado en las
ilustraciones de este manual.
Figura 1: Imágenes en las ilustraciones del manual
Sistema autónomo
Red de área local (LAN) con
una única subred (ejemplo:
10.1.1.0/24)
Dispositivo de seguridad general
Internet
Dominio de enrutamiento virtual
Rango de direcciones IP
dinámicas (DIP)
Zona de seguridad
Interfaz de la zona de seguridad
Equipo de escritorio
Equipo portátil
Blanca = Interfaz de zona protegida
(ejemplo = zona Trust)
Negra = Interfaz de zona externa
(ejemplo = zona Untrust)
Interfaz de túnel
Dispositivo de red genérico
(ejemplos: servidor NAT,
concentrador de acceso)
Servidor
Túnel VPN
Concentrador (hub)
Enrutador
Teléfono IP
Conmutador
Convenciones del documento
„
vii
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Convenciones de nomenclatura y conjuntos de caracteres
ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos
(como direcciones, usuarios administradores, servidores de autenticación, puertas
de enlace IKE, sistemas virtuales, túneles de VPN y zonas) definidos en las
configuraciones de ScreenOS:
„
Si una cadena de nombre tiene uno o más espacios, la cadena completa deberá
estar entre comillas dobles ( “ ); por ejemplo:
set address trust “local LAN” 10.1.1.0/24
„
Cualquier espacio al comienzo o al final de una cadena entrecomillada se
elimina; por ejemplo, “ local LAN ” se transformará en “local LAN”.
„
Los espacios consecutivos múltiples se tratan como uno solo.
„
En las cadenas de nombres se distingue entre mayúsculas y minúsculas; por el
contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente.
Por ejemplo, “local LAN” es distinto de “local lan”.
ScreenOS admite los siguientes conjuntos de caracteres:
NOTA:
viii
„
Convenciones del documento
„
Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de
múltiples bytes (MBCS). Algunos ejemplos de SBCS son los juegos de caracteres
ASCII, europeo y hebreo. Entre los conjuntos MBCS, también conocidos como
conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el
coreano y el japonés.
„
Caracteres ASCII desde el 32 (0x20 en notación hexadecimal) al 255 (0xff); a
excepción de las comillas dobles ( “ ), que tienen un significado especial como
delimitadores de cadenas de nombres que contengan espacios.
Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, según el conjunto de caracteres que admita el explorador.
Acerca de este volumen
Convenciones de la interfaz gráfica (WebUI)
Una comilla angular ( > ) muestra la secuencia de navegación a través de WebUI, a
la que puede llegar mediante un clic en las opciones de menú y vínculos. La
siguiente figura muestra la siguiente ruta para abrir el cuadro de diálogo de
configuración de direcciones—Objects > Addresses > List > New:
Figura 2: Navegación de WebUI
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de
diálogo apropiado, donde podrá definir objetos y establecer parámetros de ajuste.
El conjunto de instrucciones de cada tarea se divide en ruta de navegación y ajustes
de configuración:
La siguiente figura muestra la ruta al cuadro de diálogo de configuración de
direcciones con los siguientes ajustes de configuración de muestra:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zone: Untrust
Figura 3: Ruta de navegación y ajustes de configuración
Convenciones del documento
„
ix
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Documentación de Juniper Networks
Para obtener documentación técnica sobre cualquier producto de Juniper Networks,
visite www.juniper.net/techpubs/.
Para obtener soporte técnico, abra un expediente de soporte utilizando el vínculo
“Case Manager” en la página web http://www.juniper.net/support/ o llame al
teléfono 1-888-314-JTAC (si llama desde los EE.UU.) o al +1-408-745-9500 (si llama
desde fuera de los EE.UU.).
Si encuentra algún error u omisión en este documento, póngase en contacto con
nosotros a través de la siguiente dirección de correo electrónico:
techpubs-comments@juniper.net
x
„
Documentación de Juniper Networks
Capítulo 1
Sistemas virtuales
Este capítulo abarca los sistemas virtuales, objetos y tareas administrativas.
Contiene los siguientes temas:
„
“Vista general” en esta página
„
“Objetos Vsys” en la página 3
„
„
“Crear un objeto Vsys y administrador” en la página 3
„
“Establecer un enrutador virtual predeterminado para Vsys” en la página 5
„
“Enlazar las zonas a un enrutador virtual compartido” en la página 5
“Iniciar sesión como administrador Vsys” en la página 6
Vista general
Se puede dividir lógicamente un sistema de seguridad de Juniper Networks único
en varios sistemas virtuales para proporcionar servicios a múltiples usuarios
independientes (multi-tenant). Cada sistema virtual (vsys) es un dominio de
seguridad único y puede ser administrado por sus propios administradores
(denominados “administradores de sistema virtual o administradores vsys) quienes
pueden personalizar su dominio de seguridad estableciendo sus propios libros de
direcciones, listas de usuarios, servicios personalizados, VPN y directivas. Sin
embargo, únicamente un administrador de nivel raíz puede establecer opciones de
seguridad de cortafuegos, crear administradores de sistema virtual y definir
interfaces y subinterfaces.
NOTA:
Para ver qué plataformas tienen esta funcionalidad hay que remitirse a la
documentación de marketing de Juniper Networks.
Para obtener más información sobre los diversos niveles de administración que
admite ScreenOS, consulte “Niveles de administración” en la página 3-31.
Los sistemas virtuales de Juniper Networks admiten dos tipos de clasificaciones del
tráfico: según la VLAN y según la IP; ambas pueden funcionar concurrentemente o
en modo exclusivo.
Vista general
„
1
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Un vsys admite los siguientes tres tipos de interfaces para sus zonas Untrust y Trust:
Tipos de interfaces de la zona Untrust
Tipos de interfaces de la zona Trust
Interfaz física especializada
Interfaz física especializada
Subinterfaz (con el etiquetado VLAN como un
medio para entroncar1 tráfico entrante y
saliente)
Subinterfaz (con etiquetado VLAN)
Interfaz compartida (física, subinterfaz,
interfaz redundante, interfaz agregada) con el
sistema raíz
Interfaz física compartida con el sistema raíz (y
clasificación2 del tráfico según IP)
1.Para obtener información sobre los conceptos de etiquetado VLAN y entroncamiento, consulte
“Clasificar el tráfico según VLAN” en la página 19.
2.Para obtener más información sobre la clasificación del tráfico según la IP, consulte “Clasificar el
tráfico según IP” en la página 29.
Se puede vincular uno, dos o los tres tipos de interfaces antes mencionados a una
zona de seguridad concurrentemente. Se pueden también vincular varias interfaces
de cada tipo a una zona.
Figura 4: Enlaces de zona e interfaz con Vsys
trust-vr
untrust-vr
(enrutador virtual a nivel
de raíz compartido)
Finance
DMZ
Trust
Mail
interfaz compartida por
raíz y vsys1
sistema raíz
Untrust
Eng
vsys1-vr
Trust-vsys1
vsys1
subinterfaz
dedicada a
vsys2
vsys2
vsys3
Interfaz física
dedicada para vsys3
vsys2-vr
Trust-vsys2
vsys3-vr
Trust-vsys3
2
„
Vista general
Capítulo 1: Sistemas virtuales
Objetos Vsys
El administrador raíz o administrador de lectura/escritura de nivel raíz debe realizar
las siguientes tareas para crear un objeto vsys:
NOTA:
„
Definir un sistema virtual
„
Definir uno o más administradores vsys (opcional)
Un administrador de nivel raíz puede definir un administrador vsys con
privilegios de lectura/escritura y un administrador vsys con privilegios de sólo
lectura por vsys.
„
Seleccionar el enrutador virtual que se quiera que utilice el vsys para sus zonas
Trust-vsysname, Untrust-Tun-vsysname y Global-vsysname
Después de crear un objeto vsys, es necesario realizar, como administrador de nivel
raíz, otras configuraciones para convertirlo en un vsys funcional. Se deben
configurar subinterfaces o interfaces para el vsys y probablemente enrutadores
virtuales compartidos y zonas de seguridad compartidas. Las siguientes
configuraciones dependen de si el vsys está destinado a clasificaciones del tráfico
según VLAN o según IP o una combinación de ambas. Tras completar estas
configuraciones, se puede salir del sistema virtual y permitir que un administrador
vsys, si está definido, acceda y comience a configurar direcciones, usuarios,
servicios, VPNs, rutas y directivas.
Crear un objeto Vsys y administrador
En este ejemplo, un administrador de nivel raíz crea tres objetos vsys: vsys1, vsys2
y vsys3. Para vsys1, se crea el administrador vsys Alice con la contraseña
wIEaS1v1. Para vsys2, se crea el administrador vsys Bob con la contraseña
pjF56Ms2. Para vsys3, no se define un administrador vsys. En su lugar, se acepta el
administrador que el dispositivo de seguridad genera automáticamente. En el caso
de vsys3, el dispositivo de seguridad crea el administrador “vsys_vsys3” con la
contraseña “vsys_vsys3”.
NOTA:
Sólo un administrador de nivel raíz puede crear un perfil de administrador vsys
(nombre de usuario y contraseña). Ya que el dispositivo de seguridad utiliza los
nombres de usuario para determinar el vsys al cual pertenece el usuario, el
administrador del vsys no puede cambiar los nombres de usuario. Sin embargo,
los administradores del vsys pueden (y deben) cambiar sus contraseñas.
Los nombres de los vsys, de los administradores y de las contraseñas distinguen
mayúsculas y minúsculas. “Vsys abc” es distinto de “vsys ABC”.
Para vsys1 y vsys2, se utiliza el enrutador virtual predeterminado. Para vsys3, se
escoge el untrust-vr de nivel raíz compartible.
Tras crear un vsys mediante la WebUI, se permanece en el nivel raíz. Introducir el
recién creado vsys requiere un paso más:
Vsys: Haga clic en Enter (para el sistema virtual que se desee introducir).
Objetos Vsys
„
3
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Aparecen las páginas WebUI del sistema introducido, con el nombre del vsys
encima de la parte central de la imagen, Vsys:Nombre.
Cuando se crea un vsys mediante la CLI, inmediatamente se entra al sistema recién
creado. (Para entrar a un vsys existente en el nivel raíz, utilice el comando enter
vsys cadena_nombre). Cuando se introduce un vsys, la entradilla (prompt) del
comando CLI cambia para incluir el nombre del sistema en el que ahora se ejecutan
los comandos.
WebUI
1.
Vsys1:
Vsys > New: Introduzca los siguientes datos y haga clic en OK:
Vsys Name: vsys1
Vsys Admin Name: Alice
Vsys Admin New Password: wIEaS1v1
Confirm New Password: wIEaS1v1
Virtual Router:
Create a default virtual router: (seleccione)
2.
Vsys2:
Vsys > New: Introduzca los siguientes datos y haga clic en OK:
Vsys Name: vsys2
Vsys Admin Name: Bob
Vsys Admin New Password: pjF56Ms2
Confirm New Password: pjF56Ms2
Virtual Router:
Create a default virtual router: (seleccione)
3.
Vsys3:
Vsys > New: Introduzca los siguientes datos y haga clic en OK:
Vsys Name: vsys3
Virtual Router:
Select an existing virtual router: (seleccione), untrust-vr
CLI
1.
Vsys1:
ns-> set vsys vsys1
ns(vsys1)-> set admin name Alice
ns(vsys1)-> set admin password wIEaS1v1
ns(vsys1)-> save
ns(vsys1)-> exit
NOTA:
Tras ejecutar los comandos, se debe ejecutar un comando save antes del comando
exit o el dispositivo de seguridad perderá los cambios.
2.
Vsys2:
ns-> set vsys vsys2
ns(vsys2)-> set admin name Bob
ns(vsys2)-> set admin password pjF56Ms2
ns(vsys2)-> save
ns(vsys2)-> exit
4
„
Objetos Vsys
Capítulo 1: Sistemas virtuales
3.
Vsys3:
ns-> set vsys vsys3 vrouter share untrust-vr
ns(vsys3)-> save
Establecer un enrutador virtual predeterminado para Vsys
Cuando un administrador del nivel raíz crea un objeto vsys, automáticamente el
vsys dispone de los siguientes enrutadores virtuales para su uso:
„
Todos los enrutadores virtuales de nivel raíz compartidos, como el untrust-vr
Del mismo modo que un vsys y el sistema raíz comparten la zona Untrust,
también comparten el untrust-vr y cualquier otro enrutador virtual definido en
el nivel raíz como compartible.
„
Su propio enrutador virtual
De forma predeterminada, a un enrutador virtual de nivel vsys se le llama
vsysname-vr. Se puede también personalizar su nombre para darle mayor
significado. Éste es un enrutador virtual vsys específico que, de forma
predeterminada, mantiene la tabla de enrutamiento de la zona Trust-vsysname.
Los enrutadores virtuales de nivel vsys no pueden ser compartidos.
Se puede seleccionar cualquier enrutador virtual compartido o el enrutador virtual
de nivel vsys como enrutador virtual predeterminado para un vsys. Para cambiar el
enrutador virtual predeterminado, entre en el vsys y utilice el siguiente comando
CLI: set vrouter nombre default-vrouter.
Si un administrador de nivel raíz desea que todas las zonas vsys estén en el
dominio de enrutamiento untrust-vr (por ejemplo, si todas las interfaces vinculadas
a la zona Trust -vsys_name están en modo de ruta) puede prescindir del
vsys_name-vr cambiando los enlaces de la zona de seguridad de nivel vsys del
vsys_name-vr al untrust-vr. Para obtener más información sobre enrutadores
virtuales, consulte “Enrutamiento” en la página 7-13.
NOTA:
Esta versión de ScreenOS admite enrutadores virtuales definidos por el usuario
dentro de un sistema virtual.
Enlazar las zonas a un enrutador virtual compartido
Cada sistema virtual (vsys) es un único dominio de seguridad y puede compartir
zonas de seguridad con el sistema raíz y tener sus propias zonas de seguridad.
Cuando un administrador de nivel raíz crea un objeto vsys, automáticamente se
crean o heredan las siguientes zonas:
„
Todas las zonas compartidas (heredadas del sistema raíz)
„
La zona Null compartida (heredada del sistema raíz)
„
La zona Trust-vsys_name
„
La zona Untrust-Tun-vsys_name
„
La zona Global-vsys_name
Objetos Vsys
„
5
Conceptos y ejemplos, Manual de Referencia de ScreenOS
NOTA:
Para obtener más información sobre cada uno de estos tipos de zonas, consulte
“Zonas” en la página 2-25.
Cada vsys puede soportar también zonas de seguridad adicionales definidas por el
usuario. Se pueden vincular estas zonas a cualquiera de los enrutadores virtuales
compartidos definidos en el nivel raíz o al enrutador virtual dedicado a este vsys.
Para crear una zona de seguridad para un vsys denominado vsys1, utilice cualquiera
de los siguientes procedimientos:
WebUI
Vsys > Enter (para vsys1)
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: (escriba un nombre para la zona)
Virtual Router Name: (seleccione un enrutador virtual de la lista desplegable)
Zone Type: Layer 3
CLI
ns-> enter vsys vsys1
ns(vsys1)-> set zone name name_str
ns(vsys1)-> set zone vrouter vrouter
ns(vsys1)-> save
El número máximo de zonas de seguridad que un vsys o el sistema raíz puede
contener está limitado sólo por el número de zonas de seguridad disponibles en el
nivel de dispositivo. Un único vsys puede consumir todas las zonas de seguridad
disponibles si el administrador raíz o un administrador de lectura/escritura de nivel
raíz las asigna todas a ese vsys en concreto. A la inversa, si todos los sistemas
virtuales comparten zonas de seguridad de nivel raíz y no utilizan ninguna zona de
nivel vsys definida por el usuario, entonces todas las zonas de seguridad están
disponibles para uso de nivel raíz.
NOTA:
El número total de zonas de seguridad definidas por el usuario (o
“personalizadas”) en el nivel de dispositivo es la suma del número de zonas
personalizadas de nivel raíz, definidas por una o más claves de licencia de zona y
el número de zonas personalizadas permitidas por la clave de licencia de vsys.
Iniciar sesión como administrador Vsys
Los administradores del Vsys entran a sus vsys directamente, a diferencia de los
administradores de nivel raíz, que entran a sus vsys desde el nivel raíz. Cuando un
administrador de vsys sale de un vsys, la conexión se corta inmediatamente; sin
embargo, cuando los administradores de nivel raíz salen de un vsys, salen al
sistema raíz.
El siguiente ejemplo muestra cómo acceder a un vsys como administrador vsys,
cambiar la contraseña y finalizar la sesión.
6
„
Iniciar sesión como administrador Vsys
Capítulo 1: Sistemas virtuales
En este ejemplo, un administrador vsys accede al vsys1 introduciendo su nombre
de inicio de sesión jsmith y contraseña Pd50iH10 asignados. Cambia la contraseña
a I6Dls13guh y finaliza la sesión.
NOTA:
Los administradores de vsys no pueden cambiar sus nombres de inicio de sesión
(nombres de usuario) ya que el dispositivo de seguridad utiliza esos nombres, que
deberán ser únicos entre todos los administradores del vsys, para enrutar la
conexión de inicio de sesión al vsys apropiado.
WebUI
1.
Inicio de sesión
En el campo URL del explorador, introduzca la dirección IP de la interfaz de la
zona Untrust para vsys1.
Cuando aparezca el cuadro de diálogo Network Password, introduzca los datos
siguientes y haga clic en OK:
User Name: jsmith
Password: Pd50iH10
2.
Cambio de contraseña
Configuration > Admin > Administrators: Introduzca los siguientes datos y
haga clic en OK:
Vsys Admin Old Password: Pd50iH10
Vsys Admin New Password: I6Dls13guh
Confirm New Password: I6Dls13guh
3.
Finalización de la sesión
Haga clic en Logout, situado en la parte inferior de la columna del menú.
CLI
1.
Inicio de sesión
Desde la partición de información de la línea de comandos de una sesión de
Secure Command Shell (SCS), Telnet o HyperTerminal, se introduce la dirección
IP de la interfaz de la zona Untrust de vsys1.
Acceda con los siguientes nombres de usuario y contraseña:
2.
„
User Name: jsmith
„
Password: Pd50iH10
Cambio de contraseña
set admin password I6DIs13guh
save
3.
Finalización de la sesión
exit
Iniciar sesión como administrador Vsys
„
7
Conceptos y ejemplos, Manual de Referencia de ScreenOS
8
„
Iniciar sesión como administrador Vsys
Capítulo 2
Clasificar el tráfico
Este capítulo explica cómo ScreenOS ordena el tráfico. Contiene las siguientes
secciones:
„
„
“Vista general” en esta página
„
“Clasificar el tráfico” en la página 9
„
“Clasificar el tráfico de tránsito” en la página 10
„
“Interfaces compartidas y dedicadas” en la página 14
“Importar y exportar interfaces físicas” en la página 17
„
“Importar una interfaz física a un sistema virtual” en la página 17
„
“Exportar una interfaz física de un sistema virtual” en la página 18
Vista general
ScreenOS debe clasificar cada paquete que recibe para su entrega al sistema virtual
(vsys) apropiado. Un dispositivo de seguridad recibe dos tipos de tráfico de usuario,
que clasifica de dos formas diferentes:
„
Tráfico destinado a una dirección IP dentro del mismo sistema, como tráfico de
VPN encriptado y tráfico destinado a un MIP o VIP
„
Tráfico destinado a una dirección IP fuera del dispositivo
Clasificar el tráfico
Para el tráfico destinado a un objeto (VPN, MIP o VIP) del sistema de seguridad, éste
determina el vsys al que pertenece el tráfico mediante la asociación del objeto con
el vsys en el que se configuró.
Vista general
„
9
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Figura 5: Asociación de VPN, MIP y VIP
ethernet1/2, zona Untrust – El sistema raíz, vsys1,
vsys2 y vsys3 comparten esta interfaz.
El tráfico entrante
llega a una interfaz
compartida.
RAÍZ
Puesto que el objeto VPN se configuró en el
vsys1, el tráfico enviado para dicho objeto
pertenece al vsys1.
Puesto que el objeto MIP se configuró en el
vsys2, el tráfico enviado para dicho objeto
pertenece al vsys2.
Puesto que el objeto VIP se configuró en el
vsys3, el tráfico enviado para dicho objeto
pertenece al vsys3.
VPN
VSYS1
MIP
VSYS2
VIP
VSYS3
El tráfico entrante también puede llegar al vsys a través de túneles VPN; sin
embargo, si la interfaz de salida es una interfaz compartida, no se puede crear un
túnel VPN AutoKey IKE para un vsys y el sistema raíz hacia el mismo punto remoto.
Clasificar el tráfico de tránsito
Para el tráfico dirigido a una dirección IP más allá del dispositivo de seguridad
(también conocido como “tráfico de tránsito”), el dispositivo utiliza técnicas
posibles gracias a la clasificación del tráfico según VLAN y según IP. La clasificación
del tráfico según VLAN utiliza etiquetas VLAN en el encabezado de la trama para
identificar el sistema al que pertenece el tráfico entrante. La clasificación del tráfico
según IP utiliza las direcciones IP de origen y destino de los encabezados de los
paquetes IP para identificar el sistema al que pertenece el tráfico. El proceso que
utiliza el dispositivo de seguridad para determinar el sistema al que pertenece un
paquete comprende los siguientes pasos:
NOTA:
El etiquetado VLAN requiere el uso de subinterfaces. Una subinterfaz debe estar
dedicada a un sistema, en contraste con una interfaz compartida, que es
compartida por todos los sistemas.
1.
Clasificación del tráfico por interfaz de entrada/IP de origen
El dispositivo de seguridad comprueba si la interfaz de entrada es dedicada o
compartida.
NOTA:
Para obtener más información sobre interfaces dedicadas y compartidas, consulte
“Interfaces compartidas y dedicadas” en la página 14.
a.
Si la interfaz de salida está dedicada a un vsys (por ejemplo “v-i”), el
dispositivo de seguridad asocia el tráfico con el sistema al que está
dedicada la interfaz.
b.
Si la interfaz de entrada es compartida, el dispositivo de seguridad utiliza la
clasificación por IP para comprobar si la dirección IP de origen está
asociada a un vsys en concreto.
„
10
„
Vista general
Si la dirección IP de origen no está asociada a un vsys en concreto, la
clasificación por IP de entrada falla.
Capítulo 2: Clasificar el tráfico
„
Si la dirección IP de origen está asociada a un vsys en concreto, la
clasificación por IP de entrada tiene éxito.
Figura 6: Paso 1: Clasificación del tráfico de IP de origen e interfaz de entrada
Comprobar
la interfaz
de entrada
¿Interfaz
compartida?
No
Asociar el paquete con el ingreso
de vsys de interfaz (“v-i”)
No
Fallo al clasificar por
interfaz entrada/IP origen
Sí
Comprobar si
se clasifica por
IP origen
¿Se clasifica
por IP origen?
Sí
Asociar paquete con
vsys IP clasificado (“v-i”)
* El protocolo de autenticación extensible sobre LAN (EAPOL) es un protocolo descrito en IEEE 802.1X.
Se creó para encapsular los mensajes EAP para transportar a través de la red de área local.
2.
Clasificación del tráfico por interfaz de salida/IP de destino
El dispositivo de seguridad comprueba si la interfaz de salida es compartida
o dedicada.
a.
Si la interfaz de salida está dedicada a un vsys (por ejemplo “v-e”), el
dispositivo de seguridad asocia el tráfico con el sistema al que está
dedicada la interfaz.
b.
Si la interfaz de salida es compartida, el dispositivo de seguridad utiliza
la clasificación por IP para comprobar si la dirección IP de destino está
asociada a un vsys en concreto.
„
Si la dirección IP de destino no está asociada a un vsys en concreto,
la clasificación por IP de salida falla.
Vista general
„
11
Conceptos y ejemplos, Manual de Referencia de ScreenOS
„
Si la dirección IP de destino está asociada a un vsys en concreto, la
clasificación por IP de salida tiene éxito.
Figura 7: Paso 2: Clasificación del tráfico por interfaz de salida/IP de destino
Comprobar
intefaz de
salida
¿Interfaz
compartida?
No
Asociar el paquete con la salida
de vsys de interfaz (“v-e”)
No
Fallo al clasificar por interfaz
salida/IP destino
Sí
Comprobar si
se clasifica por
IP destino
¿Se clasifica
por IP destino?
Sí
Asociar el paquete con vsys
IP clasificado (“v-e”)
* El protocolo de autenticación extensible sobre LAN (EAPOL) es un protocolo
descrito en IEEE 802.1X. Se creó para encapsular los mensajes EAP
para transportar a través de la red de área local.
3.
Asignación del tráfico al vsys
Basándose en el resultado de las clasificaciones del tráfico según la interfaz de
entrada/IP de origen (E/O) o la interfaz de salida/IP de destino (S/D), el
dispositivo de seguridad determina el vsys al que corresponde el tráfico.
a.
Si la clasificación del tráfico E/O tiene éxito, pero la clasificación del tráfico
S/D falla, el dispositivo de seguridad utiliza el conjunto de directivas y la
tabla de rutas del vsys asociados a la interfaz de entrada o a la dirección IP
de origen (un vsys llamado “v-e”, por ejemplo).
La clasificación del tráfico E/O es particularmente útil cuando se permite
tráfico saliente desde un vsys hacia una red pública como Internet.
12
„
Vista general
Capítulo 2: Clasificar el tráfico
b.
Si la clasificación del tráfico S/D tiene éxito, pero la clasificación del tráfico
E/D falla, el dispositivo de seguridad utiliza el conjunto de directivas y la
tabla de rutas del vsys asociado a la interfaz de salida o a la dirección IP de
destino (un vsys llamado “v-s”, por ejemplo).
La clasificación del tráfico S/D es particularmente útil cuando se acepta
tráfico entrante para uno o más servidores de un vsys procedente de una
red pública como Internet.
c.
Si ambas clasificaciones tienen éxito y los sistemas virtuales asociados son
los mismos, el dispositivo de seguridad utiliza el conjunto de directivas y la
tabla de rutas de ese vsys.
Se pueden utilizar ambas clasificaciones del tráfico E/O y S/D para permitir
tráfico desde direcciones específicas en una zona a direcciones específicas
en otra zona del mismo vsys.
d. Si ambas clasificaciones tienen éxito, los sistemas virtuales asociados son
distintos y las interfaces están vinculadas a la misma zona de seguridad
compartida, el dispositivo de seguridad utiliza primero el conjunto de
directivas y la tabla de rutas del vsys E/O, y después los del vsys S/D.
ScreenOS admite tráfico intrazonal entre vsys cuando el tráfico tiene lugar
en la misma zona compartida. El dispositivo de seguridad aplica primero el
conjunto de directivas y la tabla de rutas de “v-e”, devuelve el tráfico a la
interfaz Untrust y después aplica el conjunto de directivas y la tabla de
rutas de “v-s”. Este tráfico intrazonal sería el normal en una sola empresa
que utilizase una zona interna compartida con distintos sistemas virtuales
para distintos departamentos internos y quisiera permitir el tráfico entre
los diferentes departamentos.
e.
NOTA:
Si ambas clasificaciones tienen éxito, los sistemas virtuales asociados son
diferentes y las interfaces están vinculadas a distintas zonas de seguridad,
el dispositivo de seguridad descarta el paquete.
ScreenOS no admite tráfico interzonal entre vsys entre zonas de seguridad
compartidas. No puede utilizar una zona personalizada en lugar de la
zona Untrust.
f.
Si ambas clasificaciones tienen éxito, los sistemas virtuales asociados son
diferentes y las interfaces de entrada y salida están vinculadas a zonas
dedicadas a distintos sistemas virtuales, el dispositivo de seguridad aplica
primero el conjunto de directivas y la tabla de rutas del “v-e”. Después
devuelve el tráfico a la interfaz Untrust y aplica el conjunto de directivas
y la tabla de rutas del “v-s”. (Consulte “Comunicación entre sistemas
virtuales” en la página 25).
ScreenOS admite tráfico interzonal entre vsys entre zonas de seguridad
dedicadas.
g.
Si ambas clasificaciones fallan, el dispositivo de seguridad descarta
el paquete.
Vista general
„
13
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Figura 8: Paso 3: Asignación del tráfico al vsys
¿Éxito con
clase E/O?
No
¿Éxito con
clase S/D?
No
Descartar
paquete
Sí
Sí
Usar el conjunto de directivas
“v-e” y la tabla de rutas
¿Éxito con
clase S/D?
No
Usar el conjunto de
directivas y la tabla de
rutas del vsys “v-e”.
Sí
¿Mismo vsys?
No
¿Zona
compartida?
Aplicar el conjunto de
directivas y la tabla de rutas
del vsys “v-e” y después los
del “v-s”.
Sí
Sí
Usar el conjunto de directivas y la
tabla de rutas del vsys “v-e”/“v-s”.
No
¿Tráfico
intrazonal?
No
Descartar paquete
Sí
Aplicar el conjunto de directivas
y la tabla de rutas “v-i” de vsys y
luego aplicar el conjunto de
directivas y la tabla de rutas
“v-e” de vsys
* El protocolo de autenticación extensible sobre LAN (EAPOL) es un
protocolo descrito en IEEE 802.1X. Se creó para encapsular los mensajes
EAP para transportar a través de la red de área local.
Interfaces compartidas y dedicadas
El tráfico entrante a las interfaces dedicadas y compartidas se clasifica de
manera diferente.
Interfaces dedicadas
Un sistema, virtual o raíz, puede tener varias interfaces o subinterfaces dedicadas
exclusivamente a su uso particular. Estas interfaces no pueden ser compartidas
por otros sistemas.
14
„
Vista general
Capítulo 2: Clasificar el tráfico
Se puede hacer que una interfaz esté dedicada a un sistema como se indica
a continuación:
NOTA:
„
Cuando se configura una interfaz física, subinterfaz, interfaz redundante o
interfaz agregada en el sistema raíz y se vincula a una zona no compartible,
la interfaz queda dedicada al sistema raíz.
„
Cuando se importa una interfaz física o agregada a un vsys y se vincula a una
zona Untrust compartida o a la zona Trust-vsys_name, dicha interfaz pasa a ser
dedicada al vsys.
„
Cuando se configura una subinterfaz en un vsys, pertenece al vsys.
Cuando un sistema tiene una subinterfaz dedicada, el dispositivo de seguridad
debe emplear la clasificación del tráfico según VLAN para distribuir
adecuadamente el tráfico entrante.
Interfaces compartidas
Un sistema, virtual o raíz, puede compartir una interfaz con otro sistema. Para
que una interfaz pueda ser compartida, se debe configurar en el nivel raíz y
vincularla a una zona compartida de un enrutador virtual compartido. De forma
predeterminada, el VR predefinido untrust-vr es un enrutador virtual compartido
y la zona predefinida Untrust es una zona compartida. Por consiguiente, un vsys
puede compartir cualquier interfaz física, subinterfaz, interfaz redundante o
interfaz agregada del nivel raíz que se vincule a la zona Untrust.
Para crear una interfaz compartida en una zona distinta de la zona Untrust, se
debe definir la zona como compartida en el nivel raíz. Para ello, la zona debe
estar en un enrutador virtual compartido, como el untrust-vr u otro enrutador
virtual de nivel raíz que se defina como compartible. Después, cuando se vincula
una interfaz de nivel raíz a la zona compartida, automáticamente pasa a ser una
interfaz compartida.
NOTA:
Para que esté disponible la opción de zona compartida, el dispositivo de seguridad
debe operar en la capa 3 (modo de ruta), lo que significa que se debe asignar
previamente una dirección IP al menos a una interfaz de nivel raíz.
Para crear un enrutador virtual, es necesario obtener una clave de licencia vsys,
que capacita para definir sistemas virtuales, enrutadores virtuales y zonas de
seguridad para su uso en un vsys o en el sistema raíz.
Un enrutador virtual compartido admite zonas de seguridad de nivel raíz
compartibles y no compartibles. Se puede definir una zona de nivel raíz vinculada a
un enrutador virtual compartido como compartible o no. Cualquier zona de nivel
raíz que se vincule a un enrutador virtual compartido y se defina como compartible
pasa a ser una zona compartida, disponible para ser utilizada también por otros
sistemas virtuales.
Vista general
„
15
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Cualquier zona de nivel raíz que se vincule a un enrutador virtual compartido y se
defina como no compartible permanece como una zona dedicada para uso
exclusivo del sistema raíz. Si se vincula una zona de nivel vsys al enrutador virtual
dedicado a ese vsys o a un enrutador virtual compartido creado en el sistema raíz,
la zona permanece como zona dedicada, disponible para uso exclusivo del vsys
para el que se creó.
Una zona compartida admite interfaces compartidas y dedicadas. Cualquier
interfaz de nivel raíz que se vincule a una zona compartida pasa a ser una interfaz
compartida, disponible para ser utilizada también por los sistemas virtuales.
Cualquier interfaz de nivel vsys que se vincule a una zona compartida permanece
como interfaz dedicada, disponible sólo para uso del vsys para el que se creó.
Una zona no compartible sólo puede ser utilizada por el sistema en el que se creó y
sólo admite interfaces dedicadas para dicho sistema. Todas las zonas de nivel vsys
son no compartibles.
Para crear una interfaz compartida, se debe crear un enrutador virtual compartido
(o utilizar el predefinido untrust-vr), crear un zona de seguridad compartida
(o utilizar la zona predefinida Untrust) y después vincular la interfaz a la zona
compartida. Se pueden realizar los tres pasos en el sistema raíz.
Las opciones de la WebUI y la CLI son las siguientes:
1.
Para crear un enrutador virtual compartido:
WebUI
Network > Routing > Virtual Routers > New: Seleccione la opción Shared
and accessible by other vsys y haga clic en Apply.
CLI
set vrouter name name_str
set vrouter name_str shared
(No se puede modificar un enrutador virtual compartido para hacerlo no
compartido a menos que primero se borren todos los sistemas virtuales. Sin
embargo, se puede cambiar un enrutador virtual de no compartido a
compartido cuando se desee).
2.
Para crear una zona compartida, proceda como se indica a continuación en el
nivel raíz:
WebUI
NOTA:
En el momento de publicar esta versión, sólo se puede definir una zona
compartida mediante CLI.
CLI
set zone name name_str
set zone zone vrouter sharable_vr_name_str
set zone zone shared
16
„
Vista general
Capítulo 2: Clasificar el tráfico
3.
Para crear una interfaz compartida, proceda como se indica a continuación en el
nivel raíz:
WebUI
Network > Interfaces > New (o Edit para una interfaz que ya existe): Configure
la interfaz y vincúlela a una zona compartida, a continuación haga clic en OK.
CLI
set interface interface zone sharable_vr_name_str
Cuando dos o más sistemas virtuales comparten una interfaz, el dispositivo de
seguridad debe emplear la clasificación del tráfico según IP para distribuir
adecuadamente el tráfico entrante. (Para obtener más información sobre la
clasificación del tráfico según IP, incluyendo un ejemplo que muestre cómo
configurarlo para varios vsys, consulte “Clasificar el tráfico según IP” en la
página 29.)
Importar y exportar interfaces físicas
Se pueden dedicar una o más interfaces físicas a un vsys. En realidad, se importa
una interfaz física del sistema raíz a un sistema virtual. Después de la importación
de la interfaz física a un vsys, el vsys tiene su uso exclusivo.
NOTA:
Antes de poder importar una interfaz a un sistema virtual, debe estar en la zona
Null en el nivel raíz.
Importar una interfaz física a un sistema virtual
En este ejemplo, un administrador raíz importa la interfaz física ethernet4/1 a
vsys1. Se asocia a la zona Untrust y se asigna la dirección IP 1.1.1.1/24.
WebUI
1.
Introducir vsys1
Vsys: Haga clic en Enter (para vsys1).
2.
Importar y definir la interfaz
Network > Interfaces: Haga clic en Import (para ethernet4/1).
Network > Interfaces > Edit (para ethernet4/1): Introduzca los siguientes
datos y haga clic en OK:
Zone Name: Untrust
IP Address/Netmask: 1.1.1.1/24
3.
Salir de vsys1
Haga clic en el botón Exit Vsys (en la parte inferior de la columna de menú)
para volver al nivel raíz.
CLI
1.
Introducir vsys1
ns-> enter vsys vsys1
Importar y exportar interfaces físicas
„
17
Conceptos y ejemplos, Manual de Referencia de ScreenOS
2.
Importar y definir la interfaz
ns(vsys1)-> set interface ethernet4/1 import
ns(vsys1)-> set interface ethernet4/1 zone untrust
ns(vsys1)-> set interface ethernet4/1 ip 1.1.1.1/24
ns(vsys1)-> save
3.
Salir de vsys1
ns(vsys1)-> exit
Exportar una interfaz física de un sistema virtual
En este ejemplo, se vincula la interfaz física ethernet4/1 a la zona Null en el vsys1 y
se le asigna la dirección IP 0.0.0.0/0. Después se exporta la interfaz ethernet4/1 al
sistema raíz.
WebUI
1.
Introducir vsys1
Vsys: Haga clic en Enter (para vsys1).
2.
Exportar la interfaz
Network > Interfaces > Edit (para ethernet4/1): Introduzca los siguientes
datos y haga clic en OK:
Zone Name: Null
IP Address/Netmask: 0.0.0.0/0
Network > Interfaces: Haga clic en Export (para ethernet4/1).
(La interfaz ethernet4/1 está disponible ahora para su uso en el sistema raíz o
en otro vsys).
3.
Salir de vsys1
Haga clic en el botón Exit Vsys (en la parte inferior de la columna de menú)
para volver al nivel raíz.
CLI
1.
Introducir vsys1
ns-> enter vsys vsys1
2.
Exportar la interfaz
ns(vsys1)-> unset interface ethernet4/1 ip
ns(vsys1)-> unset interface ethernet4/1 zone
ns(vsys1)-> unset interface ethernet4/1 import
This command will remove all objects associated with interface, continue? y/[n] y
ns(vsys1)-> save
(La interfaz ethernet4/1 está disponible ahora para su uso en el sistema raíz o
en otro vsys).
3.
Salir de vsys1
ns(vsys1)-> exit
18
„
Importar y exportar interfaces físicas
Capítulo 3
Clasificar el tráfico según VLAN
Este capítulo explica la clasificación de tráfico basado en VLAN para sistemas
virtuales. Contiene los siguientes temas:
„
“Vista general” en esta página
„
“VLAN” en la página 20
„
“VLANs con Vsys” en la página 20
„
“Definir subinterfaces y etiquetas VLAN” en la página 22
„
“Comunicación entre sistemas virtuales” en la página 25
Vista general
Con la clasificación del tráfico según VLAN, un dispositivo de seguridad utiliza el
etiquetado VLAN para dirigir el tráfico a las diversas subinterfaces vinculadas a los
diferentes sistemas.
De forma predeterminada, un vsys tiene dos zonas de seguridad, una zona Untrust
compartida y su propia zona Trust. Cada vsys puede compartir la interfaz de la zona
Untrust con el sistema raíz y con otros sistemas virtuales. Un vsys puede también
tener su propia subinterfaz o una interfaz física dedicada (importada del sistema
raíz) vinculada a la zona Untrust.
NOTA:
ScreenOS admite VLANs compatibles con la norma IEEE 802.1Q VLAN.
Se puede dedicar una interfaz física a un sistema virtual importándola del sistema
raíz al sistema virtual. (Consulte “Importar y exportar interfaces físicas” en la
página 17). Cuando se utilizan interfaces físicas, el etiquetado VLAN no es
necesario para el tráfico en dicha interfaz.
Vista general
„
19
Conceptos y ejemplos, Manual de Referencia de ScreenOS
VLAN
La Figura 9 muestra las clases de tráfico de VLAN. Cada VLAN se une a un sistema a
través de una subinterfaz. Si un vsys comparte la interfaz de la zona Untrust con el
sistema raíz y tiene una subinterfaz vinculada a su zona Trust-vsys_name, el vsys
debe asociarse a una VLAN en la zona Trust-vsys_name. Si el vsys también tiene su
propia subinterfaz vinculada a la zona Untrust, el vsys debe también asociarse a
otra VLAN en la zona Untrust.
Figura 9: Clases de tráfico de VLAN
Conmutador compatible con VLAN interno
A la VLAN1 (vsys1)
A la VLAN2 (vsys2)
A la VLAN3 (vsys3)
Al enrutador externo
Puerto troncal
Zonas Trust por vsys y
enrutadores virtuales por
UNTRUST-VR
RAÍZ
vlan1
Trustvsys1
vlan2
Trustvsys2
vlan3
Trustvsys3
vsys1-vr
Zona Untrust compartida
VSYS1
Internet
VSYS2
vsys2-vr
VSYS3
Nota: Todos los sistemas virtuales se muestran compartiendo la
interfaz de la zona Untrust. También pueden tener su propia
subinterfaz o interfaz física dedicada.
vsys3-vr
Una subinterfaz procede de una interfaz física, que actúa como un puerto troncal.
Un puerto troncal permite a un dispositivo de red de capa 2 agrupar tráfico de
varias VLAN por un único puerto físico, clasificando los paquetes por la identidad de
VLAN (VID) de los encabezados de las tramas. El entroncamiento VLAN permite a
una interfaz física soportar varias subinterfaces lógicas, cada una de las cuales debe
identificarse por una única etiqueta VLAN. El identificador de VLAN (etiqueta) de
una trama ethernet entrante indica su correspondiente subinterfaz y por tanto el
sistema de destino. Cuando se asocia una VLAN con una interfaz o subinterfaz, el
dispositivo de seguridad automáticamente define el puerto físico como un puerto
troncal. Cuando se utilizan VLAN en el nivel raíz en modo Transparente, se deben
definir manualmente todos los puertos físicos como puertos troncales con el
siguiente comando CLI: set interface vlan1 vlan trunk.
VLANs con Vsys
Cuando un vsys utiliza una subinterfaz (no una interfaz física dedicada) vinculada a
la zona Trust-vsys_name, el conmutador interno y el enrutador interno de la zona
Trust-vsys_name debe ser capaz de admitir VLAN. Si se crea más de una subinterfaz
en una interfaz física, entonces se debe definir el puerto del conmutador de
conexión como puerto troncal y asociarlo a todas las VLAN que lo utilicen.
20
„
Vista general
Capítulo 3: Clasificar el tráfico según VLAN
Cuando un vsys utiliza una subinterfaz (no una interfaz compartida o una interfaz
física dedicada) vinculada a la zona Untrust compartida, el conmutador y el
enrutador externos que reciben su tráfico entrante y saliente deben ser capaces de
admitir VLAN. El enrutador etiqueta las tramas entrantes para que cuando lleguen
al dispositivo de seguridad, éste pueda dirigirlas a la subinterfaz correcta.
Aunque un vsys no puede estar en modo transparente, porque requiere direcciones
IP de interfaz o subinterfaz únicas, el sistema raíz puede estar en modo
transparente. Para que el sistema raíz pueda soportar VLANs aún operando en
modo transparente, se utiliza el siguiente comando CLI para permitir a las
interfaces físicas vinculadas a las zonas de seguridad de capa 2 actuar como
puertos troncales: set interface vlan1 vlan trunk. Consulte Figura 10 para obtener
un ejemplo de una VLAN con vsys.
Hay tres tareas que un administrador de nivel raíz debe realizar para crear una
VLAN para un vsys:
1. Entre en un vsys.
2. Defina una subinterfaz.
3. Asocie el vsys con una VLAN.
Figura 10: Ejemplo de VLANs con Vsys
Zona Untrust
(Compartida)
Dispositivos
compatibles VLAN
Enrutadores
externos
Conmutador
externo
Dispositivo de seguridad
Conmutador
interno
Enrutadores
internos
LAN
Zona Trust
(raíz)
Raíz
Internet
vlan1
vsys 1
Zona
Trust-vsys1
vsys 2
vlan2
Zona
Trust-vsys2
Nota: Un vsys puede compartir enrutadores con el sistema raíz o
utilizar los suyos propios. Los conmutadores externo e interno deben
ser compatibles VLAN si los sistemas virtuales tienen subinterfaces
vinculadas a las zonas Untrust y Trust-vsys_name .
NOTA:
Cuando el sistema raíz está en modo transparente, no admite sistemas virtuales.
No obstante, sí admite VLAN de nivel raíz, en modo transparente.
Vista general
„
21
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Definir subinterfaces y etiquetas VLAN
La subinterfaz de la zona Trust-vsys_name conecta un vsys a su VLAN interna. La
subinterfaz de la zona Untrust conecta un vsys a la WAN pública, normalmente la
Internet. Una subinterfaz tiene los siguientes atributos:
NOTA:
„
Una única ID VLAN (de 1 a 4095)
„
Una dirección IP pública o privada (la dirección IP es privada de forma
predeterminada)
„
Una máscara de subred tipo A, B o C
„
Una VLAN asociada
Para obtener más información sobre direcciones IP públicas y privadas, consulte
“Direcciones IP públicas” en la página 2-55 y “Direcciones IP privadas” en la
página 2-56.
Un vsys puede tener una única subinterfaz de zona Untrust y subinterfaces de zona
multiple Trust-vsys_name. Si un sistema virtual no tiene su propia subinterfaz de
zona Untrust, comparte la interfaz de zona Untrust del nivel raíz. Los dispositivos de
seguridad también admiten subinterfaces, las VLAN a nivel raíz y las etiquetas
VLAN que cumplen con IEEE 802.1Q.
Figura 11: Subinterfaces de VLAN
vsys1 comparte la interfaz de la zona Untrust con
el sistema raíz.
vsys2 y vsys100 tiene sus propias subinterfaces
dedicadas vinculadas a la zona Untrust.
Dispositivo de seguridad
if = interfaz física
sif = subinterfaz
if
El sistema raíz tiene una interfaz física y
una subinterfaz vinculada a su zona Trust.
vsys1 tiene tres subinterfaces vinculadas
a su zona Trust-vsys1, cada una de las
cuales lleva a una VLAN diferente.
Internet
sif
vsys2 tiene dos subinterfaces vinculadas
a su zona Trust-vsys2, cada una de las
cuales lleva a una VLAN diferente.
vsys100 tiene una subinterfaz vinculada a
su zona Trust-vsys100.
Nota: Todas las ID de LAN virtual deben ser únicas por interfaz física.
sif
Raíz
if
sif
LAN
VLAN.1
vsys1
sif
sif
sif
VLAN.2
VLAN.3
VLAN.4
vsys2
sif
sif
VLAN.5
vsys100
sif
VLAN.292
VLAN.6
Una etiqueta de VLAN es un bit añadido en el encabezado de la trama Ethernet que
indica su pertenencia a una VLAN particular. Al vincular una VLAN a un vsys, la
etiqueta también determina a qué vsys pertenece la trama, y por tanto, qué
directiva se aplica a la trama. Si la VLAN no está vinculada a un vsys, se aplica a la
trama el conjunto de directivas del sistema raíz del dispositivo de seguridad.
22
„
Definir subinterfaces y etiquetas VLAN
Capítulo 3: Clasificar el tráfico según VLAN
Un administrador de nivel raíz puede crear una VLAN, asignarle los elementos y
vincularla a un vsys. La asignación de elementos a la VLAN puede realizarse por
varios métodos (tipo de protocolo, dirección MAC, número de puerto), y queda
fuera del ámbito de este documento. El administrador vsys, si existe, administra
pues el vsys a través de la creación de direcciones, usuarios, servicios, VPNs y
directivas. Si no hay administrador vsys, entonces un administrador de nivel raíz
realiza estas tareas.
NOTA:
Si el administrador de nivel raíz no asocia una VLAN a un vsys, la VLAN opera
dentro del sistema raíz del dispositivo de seguridad.
Todas las subredes de un vsys deben ser inconexas; esto es, no debe haber
direcciones IP superpuestas entre las subredes del mismo vsys. Por ejemplo: la
subinterfaz1 (10.2.2.1 255.255.255.0) y la subinterfaz2 (10.2.3.1 255.255.255.0)
son inconexas y enlazan con subredes admisibles.
Sin embargo, las subredes con las siguientes subinterfaces se superponen y no
son admisibles dentro del sistema vsys: subinterfaz1 (10.2.2.1 255.255.0.0) y
subinterfaz2 (10.2.3.1 255.255.0.0).
Los rangos de direcciones de las subredes de diferentes vsys pueden
superponerse.
En este ejemplo, se definen las subinterfaces y las etiquetas VLAN para los tres
sistemas virtuales creados en “Crear un objeto Vsys y administrador” en la
página 3: vsys1, vsys2 y vsys3. Las dos primeras subinterfaces son para dos
sistemas virtuales privados que operan en modo NAT y la tercera subinterfaz para
un sistema virtual público que opera en modo de ruta. Las subinterfaces son
10.1.1.1/24, 10.2.2.1/24 y 1.3.3.1/24. Las tres subinterfaces se crearán en
ethernet3/2.
Los tres sistemas virtuales comparten la zona Untrust y su interfaz (ethernet1/1;
1.1.1.1/24) con el sistema raíz. La zona Untrust está en el dominio de enrutamiento
de untrust-vr.
WebUI
1.
Subinterfaz y etiqueta VLAN para vsys1
Vsys: Haga clic en Enter (para vsys1).
Network > Interfaces > New Sub-IF (para ethernet3/2): Introduzca los
siguientes datos y haga clic en OK:
Interface Name: ethernet3/2.1
Zone Name: Trust-vsys1
IP Address/Netmask: 10.1.1.1/24
VLAN Tag: 1
NOTA:
Se pueden definir sistemas virtuales para operar en modo de ruta o en modo NAT.
El modo NAT es el predeterminado y no es necesario especificarlo al crear las dos
primeras subinterfaces en este ejemplo.
Definir subinterfaces y etiquetas VLAN
„
23
Conceptos y ejemplos, Manual de Referencia de ScreenOS
2.
Subinterfaz y etiqueta VLAN para vsys2
Vsys: Haga clic en Enter (para vsys2).
Network > Interfaces > New Sub-IF (para ethernet3/2): Introduzca los
siguientes datos y haga clic en OK:
Interface Name: ethernet3/2.2
Zone Name: Trust-vsys2
IP Address/Netmask: 10.2.2.1/24
VLAN Tag: 2
3.
Subinterfaz y etiqueta VLAN para vsys3
Vsys: Haga clic en Enter (para vsys3).
Network > Interfaces > New Sub-IF (para ethernet3/2): Introduzca los
siguientes datos y haga clic en Apply:
Interface Name: ethernet3/2.3
Zone Name: Trust-vsys3
IP Address/Netmask: 1.3.3.1/24
VLAN Tag: 3
Seleccione Interface Mode: Route, luego haga clic en OK.
Haga clic en Exit Vsys para volver al nivel raíz.
CLI
1.
Subinterfaz y etiqueta VLAN para vsys1
ns-> enter vsys vsys1
ns(vsys1)-> set interface ethernet3/2.1 zone trust-vsys1
ns(vsys1)-> set interface ethernet3/2.1 ip 10.1.1.1/24 tag 1
ns(vsys1)-> save
ns(vsys1)-> exit
NOTA:
Se pueden definir sistemas virtuales para operar en modo de ruta o en modo NAT.
El modo NAT es el predeterminado y no es necesario especificarlo al crear las dos
primeras subinterfaces en este ejemplo.
2.
Subinterfaz y etiqueta VLAN para vsys2
ns-> enter vsys vsys2
ns(vsys2)-> set interface ethernet3/2.2 zone trust-vsys2
ns(vsys2)-> set interface ethernet3/2.2 ip 10.2.2.1/24 tag 2
ns(vsys2)-> save
ns(vsys2)-> exit
3.
Subinterfaz y etiqueta VLAN para vsys3
ns-> enter vsys vsys3
ns(vsys3)-> set interface ethernet3/2.3 zone trust-vsys3
ns(vsys3)-> set interface ethernet3/2.3 ip 1.3.3.1/24 tag 3
ns(vsys3)-> set interface ethernet3/2.3 route
ns(vsys3)-> save
ns(vsys3)-> exit
24
„
Definir subinterfaces y etiquetas VLAN
Capítulo 3: Clasificar el tráfico según VLAN
Comunicación entre sistemas virtuales
Los elementos de una VLAN dentro de un vsys no tienen restricciones a la
comunicación entre sí. Los elementos de las VLAN de sistemas virtuales diferentes
no pueden comunicarse entre sí a menos que los administradores de los vsys
participantes configuren directivas específicas para que ello sea posible.
El tráfico entre las VLAN de nivel raíz opera con los parámetros establecidos por las
directivas de nivel raíz. El tráfico entre las VLAN de sistemas virtuales opera con los
parámetros establecidos por las directivas de los sistemas virtuales participantes. El
dispositivo de seguridad sólo deja pasar el tráfico con permiso para salir del sistema
virtual de origen y entrar en el sistema virtual de destino. En otras palabras, los
administradores vsys de ambos sistemas virtuales deben configurar directivas que
permitan al tráfico fluir en el sentido apropiado, saliente o entrante.
NOTA:
Los conjuntos de directivas del sistema raíz en los sistemas virtuales no se afectan
entre sí.
En este ejemplo, los administradores de vsys1 y vsys2 (consulte “Definir
subinterfaces y etiquetas VLAN” en la página 22) configuran directivas para
habilitar el tráfico entre una estación de trabajo (work_js con dirección IP
10.1.1.10/32) en VLAN 1 y un servidor (ftp_server con la dirección IP 10.2.2.20/32)
en VLAN 2. La conexión es posible si se cumplen las dos condiciones siguientes:
„
El administrador vsys de vsys1 ha configurado una directiva que permite el
tráfico desde la estación de trabajo en Trust-vsys1 hacia el servidor en su zona
Untrust.
„
El administrador vsys de vsys2 ha configurado una directiva que permite el
tráfico desde la estación de trabajo en su zona Untrust hacia el servidor en
Trust-vsys2.
Tenga en cuenta que el dispositivo de red frente a la interfaz interna del dispositivo
de seguridad es un conmutador de capa 2. Esto obliga al tráfico desde VLAN 1 hacia
VLAN 2 a pasar por el conmutador hacia el dispositivo de seguridad para el
enrutamiento de capa 3. Si el dispositivo de red fuera un enrutador de capa 3, el
tráfico entre VLAN1 y VLAN2 podría pasar por el enrutador, ignorando todas las
directivas del dispositivo de seguridad.
Los administradores de vsys1 y vsys2 también configuran las rutas
correspondientes. La zona compartida Untrust está en el untrust-vr y las zonas Trust
en vsys1 y vsys2.
Comunicación entre sistemas virtuales
„
25
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Figura 12: Comunicación entre vsys
Dispositivo de seguridad
work_js
10.1.1.10/32
Vsys1
VLAN 1
Conmutador de capa 2
ftp_server
10.2.2.20/32
Vsys2
VLAN 2
WebUI
1.
Vsys1
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: work_js
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.10/32
Zone: Trust-vsys1
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: ftp_server
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.20/32
Zone: Untrust
Rutas
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 10.1.1.0/24
Next Hop Virtual Router Name: (seleccione); vsys1-vr
Network > Routing > Routing Entries > vsys1-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Next Hop Virtual Router Name: (seleccione); untrust-vr
26
„
Comunicación entre sistemas virtuales
Capítulo 3: Clasificar el tráfico según VLAN
Directivas
Policies > (From: Trust-vsys1, To: Untrust) New: Introduzca los siguientes datos
y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), work_js
Destination Address:
Address Book Entry: (seleccione), ftp_server
Service: FTP-Get
Action: Permit
2.
Vsys2
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: ftp_server
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.2/032
Zone: Trust-vsys2
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Address Name: work_js
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.10/32
Zone: Untrust
Rutas
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 10.2.2.0/24
Next Hop Virtual Router Name: (seleccione); vsys2-vr
Network > Routing > Routing Entries > vsys2-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Next Hop Virtual Router Name: (seleccione); untrust-vr
Directivas
Policies > (From: Untrust, To: Trust-vsys2) New: Introduzca los siguientes datos
y haga clic en OK:
Source Address:
Address Book Entry: (seleccione), work_js
Destination Address:
Address Book Entry: (seleccione), ftp_server
Service: FTP-Get
Action: Permit
Comunicación entre sistemas virtuales
„
27
Conceptos y ejemplos, Manual de Referencia de ScreenOS
CLI
1.
Vsys1
Direcciones
set address trust-vsys1 work_js 10.1.1.10/32
set address untrust ftp_server 10.2.2.20/32
Rutas
set vrouter untrust-vr route 10.1.1.0/24 vrouter vsys1-vr
set vrouter vsys1-vr route 0.0.0.0/0 vrouter untrust-vr
Directivas
set policy from trust-vsys1 to untrust work_js ftp_server ftp-get permit
save
2.
Vsys2
Direcciones
set address trust-vsys2 ftp_server 10.2.2.20/32
set address untrust work_js 10.1.1.10/32
Rutas
set vrouter untrust-vr route 10.2.2.0/24 vrouter vsys2-vr
set vrouter vsys2-vr route 0.0.0.0/0 vrouter untrust-vr
Directiva de vsys2
set policy from untrust to trust-vsys2 work_js ftp_server ftp-get permit
save
Network > Zones > Edit (para Internal): Seleccione la casilla de verificación IP
Classification, luego haga clic en OK.
28
„
Comunicación entre sistemas virtuales
Capítulo 4
Clasificar el tráfico según IP
Este capítulo explica la clasificación de tráfico basado en IP para sistemas virtuales.
Contiene las siguientes secciones:
„
“Vista general” en esta página
„
“Designar un rango IP al sistema raíz” en la página 30
„
“Configurar la clasificación del tráfico según IP” en la página 31
Vista general
La clasificación del tráfico según IP permite el uso de sistemas virtuales sin VLAN.
En lugar de las etiquetas VLAN, el dispositivo de seguridad utiliza las direcciones IP
para distribuir el tráfico, asociando una subred o un rango de direcciones IP a un
sistema en concreto, raíz o vsys. Al utilizar exclusivamente la clasificación del
tráfico según IP para distribuir el tráfico, todos los sistemas comparten lo siguiente:
NOTA:
„
El untrust-vr y un VR interno definido por el usuario
„
La zona Untrust y una zona interna definida por el usuario
„
Una interfaz de zona Untrust y una interfaz de zona interna definida por el
usuario
Aunque se utilice una clasificación del tráfico según VLAN para el tráfico interno,
para el tráfico externo todos los sistemas usan la zona compartida Untrust y, a
menos que un sistema tenga una interfaz dedicada, una interfaz de zona Untrust
compartida. La utilización de una interfaz compartida en un lado y una interfaz
dedicada (con etiquetado VLAN) en el otro constituye una propuesta híbrida. Las
clasificaciones del tráfico según VLAN y según IP pueden coexistir
simultáneamente en el mismo sistema o en sistemas diferentes.
Vista general
„
29
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Figura 13: Clasificación del tráfico según IP
Conmutador interno
Al enrutador externo
Puerto troncal
Interfaz
zona interno
compartida
10.1.0.1/16
Interfaz de
zona Untrust
compartida
210.1.1.1/24
VR UNTRUST COMPARTIDO
RAÍZ
Zona Untrust compartida
VSYS1
Internet
A vsys1
A vsys2
A vsys3
VR INTERNO COMPARTIDO
vsys1
10.1.1.0/24
vsys2
10.1.2.0/24
Zona interna
compartida
VSYS2
VSYS3
vsys3
10.1.3.0/24
Nota: Todos los sistemas comparten las zonas Untrust e internas, interfaces de las zonas Untrust e internas,
untrust-vr e internal-vr.
Designar un rango IP al sistema raíz
Para designar una subred o un rango de direcciones IP al sistema raíz o a un
sistema virtual previamente creado, se debe proceder como se indica a
continuación en el nivel raíz:
WebUI
Network > Zones > Edit (para zona) > IP Classification: Introduzca los siguientes
datos y haga clic en OK:
System: (seleccione root o vsys_name_str)
Address Type: (seleccione Subnet e introduzca ip_addr/mask, o seleccione Range
e introduzca ip1_addr1 – ip2addr2)
CLI
set zone zone ip-classification net ip_addr/mask { root | vsys name_str }
set zone zone ip-classification range ip1_addr1-ip1_addr2 { root | vsys name_str }
Debido a que la clasificación del tráfico según IP requiere la utilización de una zona
de seguridad compartida, los sistemas virtuales no pueden utilizar direcciones IP
internas superpuestas, como sí es posible con la clasificación del tráfico según
VLAN. También, debido a que todos los sistemas comparten la misma interfaz
interna, los modos de funcionamiento de la interfaz deben ser NAT o modo de ruta;
no se pueden mezclar los modos de ruta y NAT para distintos sistemas. En este
sentido, el esquema de direccionamiento del planteamiento según IP no es tan
flexible como el que permite el más comúnmente utilizado según VLAN.
El compartir enrutadores virtuales, zonas de seguridad e interfaces es
intrínsecamente menos seguro que utilizar un enrutador virtual interno, una zona
de seguridad interna e interfaces internas y externas dedicados para cada vsys.
Cuando todos los sistemas virtuales comparten las mismas interfaces, un
30
„
Designar un rango IP al sistema raíz
Capítulo 4: Clasificar el tráfico según IP
administrador vsys de un vsys puede utilizar el comando snoop para recopilar
información sobre las actividades del tráfico de otros vsys. También, gracias a que
la suplantación de IP es posible en el lado interno, recomendamos que se inhabilite
la opción IP spoofing de SCREEN en la interfaz interna compartida. Para decidir qué
esquema de clasificación del tráfico utilizar, se deben sopesar la facilidad de manejo
ofrecida por la opción según IP por un lado y la mayor seguridad y flexibilidad de
direccionamiento ofrecidos por la opción según VLAN por otro.
Configurar la clasificación del tráfico según IP
En este ejemplo, configurará la clasificación del tráfico según IP para los tres
sistemas virtuales creados en “Crear un objeto Vsys y administrador” en la
página 3. Se define el trust-vr como compartible. Se crea una nueva zona,
denominada Internal y se la vincula al trust-vr. Después se configura la zona
Internal como compartible. Se vincula ethernet3/2 a la zona compartida Internal, se
asigna la dirección IP 10.1.0.1/16 y se selecciona el modo NAT.
Se vincula ethernet1/2 a la zona compartida Untrust y se le asigna la dirección IP
210.1.1.1/24. La dirección IP de la puerta de enlace predeterminada de la zona
Untrust es 210.1.1.250. Las dos zonas Internal y Untrust se encuentran en el
dominio de enrutamiento compartido trust-vr.
Las subredes y sus respectivas asociaciones a los vsys se muestran a continuación:
„
10.1.1.0/24 – vsys1
„
10.1.2.0/24 – vsys2
„
10.1.3.0/24 – vsys3
WebUI
1.
Enrutadores virtuales, zonas de seguridad e interfaces
Network > Routing > Virtual Routers > Edit (para el trust-vr): Seleccione la
casilla de verificación Shared and accessible by other vsys y luego haga clic en
OK.
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: Internal
Virtual Router Name: trust-vr
Zone Type: Layer 3
Network > Zones > Edit (para Internal): Seleccione la casilla de verificación
Share Zone, luego haga clic en OK.
Network > Interfaces > Edit (para ethernet3/2): Introduzca los siguientes
datos y haga clic en OK:
Zone Name: Internal
IP Address/Netmask: 10.1.0.1/16
Network > Interfaces > Edit (para ethernet1/2): Introduzca los siguientes
datos y haga clic en OK:
Configurar la clasificación del tráfico según IP
„
31
Conceptos y ejemplos, Manual de Referencia de ScreenOS
Zone Name: Untrust
IP Address/Netmask: 210.1.1.1/24
2.
Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet1/2
Gateway IP Address: 210.1.1.250
3.
Clasificación según IP de la zona Trust
Network > Zones > Edit (para Internal) > IP Classification: Introduzca los
siguientes datos y haga clic en OK:
System: vsys1
Address Type:
Subnet: (seleccione); 10.1.1.0/24
Network > Zones > Edit (para Internal) > IP Classification: Introduzca los
siguientes datos y haga clic en OK:
System: vsys2
Address Type:
Subnet: (seleccione); 10.1.2.0/24
Network > Zones > Edit (para Internal) > IP Classification: Introduzca los
siguientes datos y haga clic en OK:
System: vsys3
Address Type:
Subnet: (seleccione); 10.1.3.0/24
Network > Zones > Edit (para Internal): Seleccione la casilla de verificación IP
Classification, luego haga clic en OK.
CLI
1.
Enrutadores virtuales, zonas de seguridad e interfaces
set vrouter trust-vr shared
set zone name Internal
set zone Internal shared
set interface ethernet3/2 zone Internal
set interface ethernet3/2 ip 10.1.0.1/16
set interface ethernet3/2 nat
set interface ethernet1/2 zone untrust
set interface ethernet1/2 ip 210.1.1.1/24
2.
Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet1/2 gateway 210.1.1.250
3.
Clasificación según IP de la zona Trust
set zone
set zone
set zone
set zone
save
32
„
Configurar la clasificación del tráfico según IP
Internal
Internal
Internal
Internal
ip-classification net 10.1.1.0/24 vsys1
ip-classification net 10.1.2.0/24 vsys2
ip-classification net 10.1.3.0/24 vsys3
ip-classification
Índice
A
administración, vsys .......................................................6
administradores ...............................................................1
cambiar contraseñas.............................................3, 7
tipos ............................................................................3
C
clasificación del tráfico según IP..................................29
clasificación del tráfico según VLAN ............. 18, 19 a 28
claves software ...............................................................15
claves, vsys .....................................................................15
contraseñas del administrador, cambiar ..................3, 7
D
direcciones, rangos superpuestos de.....................23, 30
E
estándar VLAN IEEE 802.1Q ........................................19
F
funcionales básicos, requisitos .......................................3
I
interfaces ..........................................................................2
compartidas .......................................................15, 29
dedicadas ...........................................................14, 29
física, exportación desde vsys ...............................18
física, importación de vsys ....................................17
interfaces físicas
exportación desde vsys ..........................................18
importación de vsys................................................17
M
MIP, sistemas virtuales ....................................................9
modo transparente ..................................................20, 21
P
puertos troncales ...........................................................20
puertos troncales, modo Transparente .......................20
S
ScreenOS
VR................................................................................5
zonas...........................................................................5
sistemas virtuales
manejabilidad y seguridad de ................................31
VIP ...............................................................................9
subinterfaces ..................................................................22
configuración (vsys) ................................................22
creación (vsys) .........................................................22
varias por vsys .........................................................22
superpuestas, redes .......................................................23
T
tráfico
clasificación ........................................................9 a 17
según IP ....................................................................29
según VLAN ................................................18, 19 a 28
tráfico de tránsito, clasificación de vsys .......10 a 13
Transparente, modo ......................................................20
troncales, puertos ..........................................................20
V
VIP .....................................................................................9
VLAN
clasificación del tráfico según VLAN .......18, 19 a 28
comunicación con otra VLAN ..................17, 25 a 28
crear ..................................................................21 a 24
entroncamiento .......................................................20
etiqueta ...............................................................21, 22
modo transparente ...........................................20, 21
subinterfaces ............................................................22
VR ......................................................................................5
compartido, crear un ..............................................16
compartidos .............................................................15
VR compartidos .............................................................15
vsys
administradores.........................................................6
claves ........................................................................15
objetos, crear .............................................................3
Z
zonas .................................................................................5
compartidas .............................................................15
vsys .............................................................................5
zonas compartidas.........................................................15
zonas de seguridad
consulte zonas
Índice
„
IX-I
Conceptos y ejemplos, Manual de Referencia de ScreenOS
IX-II
„
Índice
Descargar