CE v9 SP

NetScreen conceptos y ejemplos
Manual de referencia de ScreenOS

Volumen 9: Sistemas virtuales
ScreenOS 5.1.0
Ref. 093-1374-000-SP
Revisin B

Copyright Notice
Copyright 2004 Juniper Networks, Inc. All rights reserved.
Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen
Technologies, GigaScreen, and the NetScreen logo are registered trademarks
of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT,
NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208,
NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO,
NetScreen-Global PRO Express, NetScreen-Remote Security Client,
NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100,
NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen
ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and
registered trademarks are the property of their respective companies.
Information in this document is subject to change without notice.
No part of this document may be reproduced or transmitted in any form or by
any means, electronic or mechanical, for any purpose, without receiving written
permission from:
Juniper Networks, Inc.
ATTN: General Counsel
1194 N. Mathilda Ave.
Sunnyvale, CA 94089-1206
FCC Statement
The following information is for FCC compliance of Class A devices: This
equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to
provide reasonable protection against harmful interference when the equipment
is operated in a commercial environment. The equipment generates, uses, and
can radiate radio-frequency energy and, if not installed and used in accordance
with the instruction manual, may cause harmful interference to radio
communications. Operation of this equipment in a residential area is likely to
cause harmful interference, in which case users will be required to correct the
interference at their own expense.
The following information is for FCC compliance of Class B devices: The
equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with NetScreens installation
instructions, it may cause interference with radio and television reception. This
equipment has been tested and found to comply with the limits for a Class B
digital device in accordance with the specifications in part 15 of the FCC rules.
These specifications are designed to provide reasonable protection against
such interference in a residential installation. However, there is no guarantee
that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television
reception, which can be determined by turning the equipment off and on, the
user is encouraged to try to correct the interference by one or more of the
following measures:
Reorient or relocate the receiving antenna.
Increase the separation between the equipment and receiver.
Consult the dealer or an experienced radio/TV technician for help.
Connect the equipment to an outlet on a circuit different from that to
which the receiver is connected.
Caution: Changes or modifications to this product could void the user's
warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE
ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION
PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED
HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE
SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR
NETSCREEN REPRESENTATIVE FOR A COPY.
Contenido
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales i
Contenido
Prefacio ........................................................................ iii
Convenciones ........................................................... iv
Convenciones de la interfaz de lnea
de comandos (CLI) ...................................................... iv
Convenciones de la interfaz grfica (WebUI) ............... v
Convenciones para las ilustraciones...........................vii
Convenciones de nomenclatura y conjuntos de
caracteres ..................................................................viii
Documentacin de NetScreen
de Juniper Networks .................................................. ix
Captulo 1 Sistemas virtuales ........................................1
Creacin de un objeto vsys .......................................3
Ejemplo: Objetos y administradores vsys ...............3
Enrutadores virtuales.....................................................6
Zonas ............................................................................7
Interfaces......................................................................8
Clasificacin del trfico...........................................10
Trfico destinado al dispositivo NetScreen.................10
Trfico de trnsito.......................................................11
Interfaces compartidas y dedicadas .........................15
Interfaces dedicadas .......................................... 15
Interfaces compartidas........................................ 15
Importacin y exportacin de interfaces fsicas........ 19
Ejemplo: Importacin de una interfaz fsica
a un sistema virtual .............................................. 19
Ejemplo: Exportacin de una interfaz fsica
de un sistema virtual ............................................ 20
Clasificacin del trfico segn VLAN .......................22
VLANs.......................................................................... 23
Definicin de subinterfaces y etiquetas VLAN............ 24
Ejemplo: Definicin de tres subinterfaces
y etiquetas VLAN.................................................. 26
Comunicacin entre sistemas virtuales...................... 29
Ejemplo: Comunicacin entre vsys...................... 29
Clasificacin del trfico segn IP.............................34
Ejemplo: Configuracin de la clasificacin
del trfico segn IP.............................................. 36
Acceso como administrador vsys.............................39
Ejemplo: Acceso y cambio de la contrasea..... 39
ndice ......................................................................... IX-I
Contenido
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales ii
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales iii
Prefacio
Se puede dividir lgicamente un sistema de seguridad NetScreen nico en varios sistemas virtuales para
proporcionar servicios a mltiples usuarios independientes (multi-tenant). Cada sistema virtual (vsys) es un dominio
de seguridad nico y puede ser administrado por sus propios administradores (denominados administradores de
sistema virtual o administradores vsys) quienes puede personalizar su dominio de seguridad estableciendo sus
propios libros de direcciones, listas de usuarios, servicios personalizados, VPNs y directivas.
El Volumen 9, Sistemas virtuales describe los sistemas virtuales, las interfaces dedicadas y compartidas y la
clasificacin de trfico segn la VLAN y la IP. Este volumen tambin describe cmo crear un vsys (se deben tener
privilegios de administrador de nivel raz) y define los administradores vsys.
Prefacio Convenciones
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales iv
CONVENCIONES
Este documento contiene distintos tipos de convenciones, que se explican en las siguientes secciones:
Convenciones de la interfaz de lnea de comandos (CLI)
Convenciones de la interfaz grfica (WebUI) en la pgina v
Convenciones para las ilustraciones en la pgina vii
Convenciones de nomenclatura y conjuntos de caracteres en la pgina viii
Convenciones de la interfaz de lnea de comandos (CLI)
Las siguientes convenciones se utilizan para representar la sintaxis de los comandos de la interfaz de lnea de
comandos (CLI):
Los comandos entre corchetes [ ] son opcionales.
Los elementos entre llaves { } son obligatorios.
Si existen dos o ms opciones alternativas, aparecern separadas entre s por barras verticales ( | ).
Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } manage
significa establecer las opciones de administracin de la interfaz ethernet1, ethernet2 o ethernet3.
Las variables aparecen en cursiva. Por ejemplo:
set admin user name password
Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salvo en el caso de las variables,
que siempre aparecen en cursiva ). Por ejemplo: Utilice el comando get system para visualizar el nmero de serie
de un dispositivo NetScreen.
Nota: Para escribir palabras clave, basta con introducir los primeros caracteres que permitan al sistema reconocer
de forma inequvoca la palabra que se est introduciendo. Por ejemplo, es suficiente escribir set adm u joe
j12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54 . Aunque este mtodo se
puede utilizar para introducir comandos, en la presente documentacin todos ellos se representan con sus
palabras completas.
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales v
Convenciones de la interfaz grfica (WebUI)
En este manual se utiliza la comilla angular ( > ) para indicar las rutas de navegacin de la WebUI por las que se
pasa al hacer clic en opciones de men y vnculos. Por ejemplo, la ruta para abrir el cuadro de dilogo de
configuracin de direcciones se representa como sigue: Objects > Addresses > List > New . A continuacin se
muestra la secuencia de navegacin.
1. Haga clic en Objects en la columna de men.
La opcin de men Objects se desplegar para
mostrar las opciones subordinadas que contiene.
2. (Men Applet) Site el mouse sobre Addresses.
(Men DHTML) Haga clic en Addresses.
La opcin de men Addresses se desplegar para
mostrar las opciones subordinadas que contiene.
3. Haga clic en List.
Aparecer la tabla de libretas de direcciones.
4. Haga clic en el vnculo New.
Aparecer el cuadro de dilogo de configuracin
de nuevas direcciones.
1
2
3
4
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales vi
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de dilogo apropiado, donde
podr definir objetos y establecer parmetros de ajuste. El conjunto de instrucciones de cada tarea se divide en dos
partes: la ruta de navegacin y los datos de configuracin. Por ejemplo, el siguiente conjunto de instrucciones
incluye la ruta al cuadro de dilogo de configuracin de direcciones y los ajustes de configuracin que se deben
realizar:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zone: Untrust
Zone: Untrust
Haga clic
en OK .
Address Name: addr_1
Nota: En este ejemplo, no hay
instrucciones para el campo
Comment, por lo que se deja
en blanco.
IP Address Name/Domain Name:
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales vii
Convenciones para las ilustraciones
Los siguientes grficos conforman el conjunto bsico de imgenes utilizado en las ilustraciones de este manual:
Dispositivo NetScreen genrico
Zona de seguridad
Interfaces de zonas de seguridad
Blanca = interfaz de zona protegida
(ejemplo: zona Trust)
Negra = interfaz de zona externa
(ejemplo: zona sin confianza o zona Untrust)
Icono de enrutador (router)
Icono de conmutador (switch)
Dominio de enrutamiento virtual
Tnel VPN
Red de rea local (LAN) con
una nica subred
(ejemplo: 10.1.1.0/24)
Internet
Equipo de escritorio
Servidor
Dispositivo de red genrico
(ejemplos: servidor NAT,
concentrador de acceso)
Interfaz de tnel
Equipo porttil
Rango de direcciones IP dinmicas
(DIP)
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales viii
Convenciones de nomenclatura y conjuntos de caracteres
ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones, usuarios
administradores, servidores de autenticacin, puertas de enlace IKE, sistemas virtuales, tneles de VPN y zonas)
definidas en las configuraciones de ScreenOS.
Si la secuencia de caracteres que conforma un nombre contiene al menos un espacio, la
cadena completa deber entrecomillarse mediante comillas dobles ( ); por ejemplo,
set address trust local LAN 10.1.1.0/24 .
NetScreen eliminar cualquier espacio al comienzo o al final de una cadena entrecomillada;
por ejemplo, local LAN se transformar en local LAN.
NetScreen tratar varios espacios consecutivos como uno solo.
En las cadenas de nombres se distingue entre maysculas y minsculas; por el contrario, en
muchas palabras clave de la interfaz de lnea de comandos pueden utilizarse indistintamente.
Por ejemplo, local LAN es distinto de local lan.
ScreenOS admite los siguientes conjuntos de caracteres:
Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mltiples bytes (MBCS). Algunos
ejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS,
tambin conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano
y el japons.
Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin de las comillas dobles ( ),
que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
Nota: Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS,
segn el conjunto de caracteres que admita el explorador web.
Prefacio Documentacin de NetScreen de Juniper Networks
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales ix
DOCUMENTACIN DE NETSCREEN DE JUNIPER NETWORKS
Para obtener documentacin tcnica sobre cualquier producto NetScreen de Juniper Networks, visite
www.juniper.net/techpubs/.
Para obtener soporte tcnico, abra un expediente de soporte utilizando el vnculo Case Manager en la pgina web
http://www.juniper.net/support/ o llame al telfono 1-888-314-JTAC (si llama desde los EE.UU.) o al
+1-408-745-9500 (si llama desde fuera de los EE.UU.).
Si encuentra algn error o omisin en esta documentacin, pngase en contacto con nosotros a travs de la
siguiente direccin de correo electrnico:
techpubs-comments@juniper.net
Prefacio Documentacin de NetScreen de Juniper Networks
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales x
1
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales 1
Captulo 1
Sistemas virtuales
Se puede dividir lgicamente un sistema de seguridad NetScreen
1
nico en varios sistemas virtuales para
proporcionar servicios a mltiples usuarios independientes (multi-tenant). Cada sistema virtual (vsys) es un dominio
de seguridad nico y puede ser administrado por sus propios administradores (denominados administradores de
sistema virtual o administradores vsys) quienes pueden personalizar su dominio de seguridad estableciendo sus
propias libretas de direcciones, listas de usuarios, servicios personalizados, VPNs y directivas.
Los sistemas virtuales NetScreen admiten dos tipos de clasificaciones del trfico: segn la VLAN y segn la IP;
ambas pueden funcionar concurrentemente o en modo exclusivo. Este captulo trata los siguientes conceptos e
implementaciones de los sistemas virtuales:
Creacin de un objeto vsys en la pgina 3
Enrutadores virtuales en la pgina 6
Zonas en la pgina 7
Interfaces en la pgina 8
Clasificacin del trfico en la pgina 10
Trfico destinado al dispositivo NetScreen en la pgina 10
Trfico de trnsito en la pgina 11
Interfaces compartidas y dedicadas en la pgina 15
Importacin y exportacin de interfaces fsicas en la pgina 19
1. Los dispositivos NetScreen se dividen en dos categoras generales: sistemas de seguridad y dispositivos. Slo los sistemas de seguridad NetScreen pueden
soportar sistemas virtuales. Para ver qu plataformas tienen esta funcionalidad hay que remitirse a la documentacin de marketing de NetScreen.
Nota: Para obtener ms informacin sobre los diversos niveles de administracin que admite NetScreen, consulte
Niveles de administracin en la pgina 3 -47.
Captulo 1 Sistemas virtuales
Clasificacin del trfico segn VLAN en la pgina 22
VLANs en la pgina 23
Definicin de subinterfaces y etiquetas VLAN en la pgina 24
Comunicacin entre sistemas virtuales en la pgina 29
Clasificacin del trfico segn IP en la pgina 34
Acceso como administrador vsys en la pgina 39
Captulo 1 Sistemas virtuales Creacin de un objeto vsys
CREACIN DE UN OBJETO VSYS
El administrador raz o administrador de lectura/escritura de nivel raz debe realizar las siguientes tareas para crear
un objeto vsys:
Definir un sistema virtual.
Definir uno o ms administradores vsys
2
(opcional).
Seleccionar el enrutador virtual que se quiera que utilice el vsys para sus zonas Trust-vsysname ,
Untrust-Tun-vsysname y Global-vsysname
Despus de crear un objeto vsys, es necesario realizar, como administrador de nivel raz, otras configuraciones
para convertirlo en un vsys funcional. Se deben configurar subinterfaces o interfaces para el vsys y probablemente
enrutadores virtuales compartidos y zonas de seguridad compartidas. Las siguientes configuraciones dependen de
si el vsys est destinado a clasificaciones del trfico segn VLAN o segn IP o una combinacin de ambas. Tras
completar estas configuraciones, se puede salir del sistema virtual y permitir que un administrador vsys, si est
definido, acceda y comience a configurar direcciones, usuarios, servicios, VPNs, rutas y directivas.
Ejemplo: Objetos y administradores vsys
En este ejemplo, un administrador de nivel raz crea tres objetos vsys: vsys1, vsys2 y vsys3. Para vsys1, se crea el
administrador vsys Alice con la contrasea wIEaS1v1
3
. Para vsys2, se crea el administrador vsys Bob con la
contrasea pjF56Ms2. Para vsys3, no se define un administrador vsys. En su lugar, se acepta el administrador que
el dispositivo NetScreen genera automticamente. En el caso de vsys3, el dispositivo NetScreen crea el
administrador vsys_vsys3 con la contrasea vsys_vsys3.
Para vsys1 y vsys2, se utiliza el enrutador virtual predeterminado. Para vsys3, se escoge el untrust-vr de nivel raz
compartible.
2. Un administrador de nivel raz puede definir un administrador vsys con privilegios de lectura/escritura y un administrador vsys con privilegios de slo lectura
por vsys.
3. Slo un administrador de nivel raz puede crear un perfil de administrador vsys (nombre de usuario y contrasea). Debido a que el dispositivo NetScreen
utiliza el nombre de usuario para determinar el vsys al que pertenece el usuario, un administrador vsys no puede cambiar su nombre de usuario. Sin
embargo, s puede (y debe) cambiar su contrasea.
Nota: Los nombres de los vsys, de los administradores y de las contraseas distinguen maysculas y minsculas.
Vsys abc es distinto de vsys ABC.
Tras crear un vsys mediante la WebUI, se permanece en el nivel raz. Para entrar al vsys que acaba de crear, es
necesario un paso ms:
Vsys: Haga clic en Enter (para el sistema virtual que se desee introducir).
Aparecen las pginas WebUI del sistema introducido, con el nombre del vsys encima de la parte central de
la imagen, Vsys:Name.
Cuando se crea un vsys mediante la interfaz CLI, inmediatamente se introduce el sistema recin creado. (Para
introducir un vsys existente del nivel raz, utilice el comando enter vsys name_str ). Cuando se introduce un vsys,
observe que la entradilla (prompt) del comando CLI cambia para incluir el nombre del sistema en el que ahora se
ejecutan los comandos.
WebUI
1. Vsys1
Vsys > New: Introduzca los siguientes datos y haga clic en OK :
Vsys Name: vsys1
Vsys Admin Name: Alice
Vsys Admin New Password: wIEaS1v1
Confirm New Password: wIEaS1v1
Virtual Router:
Create a default virtual router: (seleccione)
2. Vsys2
Vsys Name: vsys2
Vsys Admin Name: Bob
Vsys Admin New Password: pjF56Ms2
Confirm New Password: pjF56Ms2
Virtual Router:
Create a default virtual router: (seleccione)
3. Vsys3
Vsys Name: vsys3
Virtual Router:
Select an existing virtual router: (seleccione), untrust-vr
CLI
1. Vsys1
ns-> set vsys vsys1
ns(vsys1)-> set admin name Alice
ns(vsys1)-> set admin password wIEaS1v1
ns(vsys1)-> save
4
ns(vsys1)-> exit
2. Vsys2
ns-> set vsys vsys2
ns(vsys2)-> set admin name Bob
ns(vsys2)-> set admin password pjF56Ms2
ns(vsys2)-> save
ns(vsys2)-> exit
3. Vsys3
ns-> set vsys vsys3 vrouter share untrust-vr
ns(vsys3)-> save
4. Tras ejecutar los comandos, se debe ejecutar un comando save antes del comando exit, ya que de lo contrario el dispositivo NetScreen perder los
cambios.
Enrutadores virtuales
Cuando un administrador del nivel raz crea un objeto vsys, automticamente el vsys dispone de los siguientes
enrutadores virtuales para su uso:
Todos los enrutadores virtuales de nivel raz compartidos, como el untrust-vr
Del mismo modo que un vsys y el sistema raz comparten la zona Untrust, tambin comparten el
untrust-vr y cualquier otro enrutador virtual definido en el nivel raz como compartible.
Su propio enrutador virtual
De forma predeterminada, a un enrutador virtual de nivel vsys se le llama vsysname-vr. Se puede
tambin personalizar su nombre para darle mayor significado. ste es un enrutador virtual vsys
especfico que, de forma predeterminada, mantiene la tabla de enrutamiento de la zona
Trust-vsysname. Los enrutadores virtuales de nivel vsys no pueden ser compartidos.
Se puede seleccionar cualquier enrutador virtual compartido o el enrutador virtual de nivel vsys como enrutador
virtual predeterminado para un vsys. Para cambiar el enrutador virtual predeterminado, entre en el vsys y utilice el
siguiente comando CLI: set vrouter name default-vrouter .
Si un administrador de nivel raz desea que todas las zonas vsys estn en el dominio de enrutamiento untrust-vr
(por ejemplo, si todas las interfaces vinculadas a la zona Trust-vsysname estn en modo de ruta) puede prescindir
del vsysname-vr cambiando los enlaces de la zona de seguridad de nivel vsys del vsysname-vr al untrust-vr. Para
obtener ms informacin sobre enrutadores virtuales, consulte Enrutadores virtuales en la pgina 6 -21.
Nota: Esta versin de ScreenOS admite enrutadores virtuales definidos por el usuario dentro de un sistema virtual.
Zonas
Cada sistema virtual (vsys) es un nico dominio de seguridad y puede compartir zonas de seguridad con el sistema
raz y tener sus propias zonas de seguridad. Cuando un administrador de nivel raz crea un objeto vsys,
automticamente se crean o heredan las siguientes zonas:
Todas las zonas compartidas (heredadas del sistema raz).
La zona Null compartida (heredada del sistema raz).
La zona Trust-vsysname.
La zona Untrust-Tun-vsysname.
La zona Global-vsysname.
Cada vsys puede soportar tambin zonas de seguridad adicionales definidas por el usuario. Se pueden vincular
estas zonas a cualquiera de los enrutadores virtuales compartidos definidos en el nivel raz o al enrutador virtual
dedicado a este vsys. Para crear una zona de seguridad para un vsys denominado vsys1, utilice cualquiera de los
siguientes procedimientos:
WebUI
Vsys > Enter (para vsys1)
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK :
Zone Name: (escriba un nombre para la zona)
Virtual Router Name: (seleccione un enrutador virtual de la lista desplegable)
Zone Type: Layer 3
CLI
ns-> enter vsys vsys1
ns (vsys1)-> set zone name name_str
ns(vsys1)-> set zone vrouter vrouter
ns(vsys1)-> save
Nota: Para obtener ms informacin sobre cada uno de estos tipos de zonas, consulte , Zonas en la
pgina 2 -31.
El nmero mximo de zonas de seguridad que un vsys o el sistema raz puede contener est limitado slo por el
nmero de zonas de seguridad disponibles en el nivel de dispositivo
5
. Un nico vsys puede consumir todas las
zonas de seguridad disponibles si el administrador raz o un administrador de lectura/escritura de nivel raz las
asigna todas a ese vsys en concreto. A la inversa, si todos los sistemas virtuales comparten zonas de seguridad de
nivel raz y no utilizan ninguna zona de nivel vsys definida por el usuario, entonces todas las zonas de seguridad
estn disponibles para uso de nivel raz.
Interfaces
Un vsys admite los siguientes tres tipos de interfaces para sus zonas Untrust y Trust:
Se puede vincular uno, dos o los tres tipos de interfaces antes mencionados a una zona de seguridad
concurrentemente. Se pueden tambin vincular varias interfaces de cada tipo a una zona.
5. El nmero total de zonas de seguridad definidas por el usuario (o personalizadas) en el nivel de dispositivo es la suma del nmero de zonas personalizadas
de nivel raz, definidas por una o ms claves de licencia de zona, y el nmero de zonas personalizadas permitidas por la clave de licencia de vsys.
Tipos de interfaces de la zona Untrust Tipos de interfaces de la zona Trust
Interfaz fsica especializada. Interfaz fsica especializada.
Subinterfaz (con el etiquetado VLAN como un
medio para entroncar
*
trfico entrante y saliente).
*
Para obtener informacin sobre los conceptos de etiquetado VLAN y entroncamiento, consulte VLANs en la pgina 23.
Subinterfaz (con etiquetado VLAN).
Interfaz compartida (fsica, subinterfaz, interfaz
redundante, interfaz agregada) con el sistema raz.
Interfaz fsica compartida con el sistema raz (y
clasificacin
del trfico segn IP).
Para obtener ms informacin sobre clasificacin del trfico segn la IP, consulte Clasificacin del trfico segn IP en la pgina 34.
vsys1
vsys2
vsys3
sistema raz
DMZ
Mail
Untrust
Finance
Trust
Eng
Trust-vsys1
Trust-vsys2
Trust-vsys3
Interfaz fsica
dedicada para
vsys3
Subinterfaz
dedicada
para vsys2
Interfaz compartida
por vsys1 y raz
untrust-vr
trust-vr
vsys1-vr
vsys2-vr
vsys3-vr
Nota: El icono del castillo representa una interfaz de una zona de
seguridad. Para ver una lista de los iconos grficos utilizados en este libro,
consulte Convenciones para las ilustraciones en la pgina vii.
Captulo 1 Sistemas virtuales Clasificacin del trfico
CLASIFICACIN DEL TRFICO
El dispositivo NetScreen debe clasificar cada paquete que recibe para su entrega al sistema apropiado. Un
dispositivo NetScreen recibe dos tipos de trfico de usuario, que clasifica de dos formas diferentes:
Trfico destinado a una direccin IP en el mismo dispositivo, como trfico de VPN encriptado y trfico
destinado a una MIP o VIP
Trfico destinado a una direccin IP fuera del dispositivo
Trfico destinado al dispositivo NetScreen
Cuando el trfico va destinado a un objeto (VPN, MIP o VIP) del dispositivo NetScreen, ste determina a qu
sistema pertenece dicho trfico mediante la asociacin del objeto con el sistema en el que se configur.
El trfico entrante tambin puede llegar al vsys a travs de tneles VPN; sin embargo, si la interfaz de salida es una
interfaz compartida, no se puede crear un tnel VPN AutoKey IKE para un vsys y el sistema raz hacia el mismo
punto remoto.
ethernet1/2, zona Untrust El sistema raz, vsys1,
vsys2 y vsys3 comparten esta interfaz.
VSYS1
VSYS2
VSYS3
RAZ
VPN
MIP
VIP
El trfico entrante llega a
una interfaz compartida.
Puesto que el objeto VPN se configur
en el vsys1, el trfico enviado para
dicho objeto pertenece al vsys1.
Puesto que el objeto MIP se configur
Puesto que el objeto VIP se configur
Trfico de trnsito
Para el trfico dirigido a una direccin IP ms all del dispositivo NetScreen (tambin conocido como trfico de trnsito),
el dispositivo utiliza tcnicas que son posibles gracias a la clasificacin del trfico segn VLAN y segn IP. La
clasificacin del trfico segn VLAN utiliza etiquetas VLAN
6
en el encabezado de la trama para identificar el sistema al
que pertenece el trfico entrante. La clasificacin del trfico segn IP utiliza las direcciones IP de origen y destino de los
encabezados de los paquetes IP para identificar el sistema al que pertenece el trfico. El procedimiento que utiliza el
dispositivo NetScreen para determinar el sistema al que pertenece un paquete comprende los siguientes pasos:
1. Clasificacin del trfico por interfaz de entrada/IP de origen
El dispositivo NetScreen comprueba si la interfaz de entrada es dedicada o compartida
7
.
1. Si la interfaz de entrada est dedicada a un vsys (por ejemplo v-e), el dispositivo NetScreen asocia el
trfico con el sistema al que est dedicada la interfaz.
2. Si la interfaz de entrada es compartida, el dispositivo NetScreen utiliza la clasificacin por IP para
comprobar si la direccin IP de origen est asociada a un vsys en concreto.
Si la direccin IP de origen no est asociada a un vsys en concreto, la clasificacin por IP de entrada
falla.
Si la direccin IP de origen est asociada a un vsys en concreto, la clasificacin por IP de entrada
tiene xito.
2. Clasificacin del trfico por interfaz de salida/IP de destino
El dispositivo NetScreen comprueba si la interfaz de salida es compartida o dedicada.
1. Si la interfaz de salida est dedicada a un vsys (por ejemplo v-s), el dispositivo NetScreen asocia el
trfico con el sistema al que est dedicada la interfaz.
2. Si la interfaz de salida es compartida, el dispositivo NetScreen utiliza la clasificacin por IP para
comprobar si la direccin IP de destino est asociada a un vsys en concreto.
Si la direccin IP de destino no est asociada a un vsys en concreto, la clasificacin por IP de salida falla.
Si la direccin IP de destino est asociada a un vsys en concreto, la clasificacin por IP de salida tiene
xito.
6. El etiquetado VLAN requiere el uso de subinterfaces. Una subinterfaz debe estar dedicada a un sistema, en contraste con una interfaz compartida, que es
compartida por todos los sistemas.
7. Para obtener ms informacin sobre interfaces dedicadas y compartidas, consulte Interfaces compartidas y dedicadas en la pgina 15.
Interfaz
compartida?
Asociar el paquete con el vsys
de la interfaz de entrada (v-i)
Clasificada
por IP org?
Clasificacin del trfico por interfaz
de entrada/IP de origen
Comprobar la
interfaz de entrada.
Comprobar la
clasificacin por IP
de origen.
N
S
N
S
La clasificacin por interfaz
de entrada/IP de origen
falla.
Asociar el paquete al vsys de
la IP clasificada (v-i)
Interfaz
compartida?
Asociar el paquete con el vsys
de la interfaz de salida (v-e)
Clasificada
por IP dest?
Comprobar la
interfaz de salida.
Comprobar la
clasificacin por IP
de destino.
N
S
N
S
La clasificacin por interfaz
de salida/
IP de destino falla.
Asociar el paquete al vsys de
la IP clasificada (v-e)
Cuando un paquete llega a un dispositivo NetScreen que tiene sistemas
virtuales, ste realiza los siguientes pasos para asociar el paquete a un vsys.
1
Clasificacin del trfico por interfaz
de salida/IP de destino
2
3. Asignacin del trfico al vsys
Basndose en el resultado de las clasificaciones del trfico segn la interfaz de entrada/IP de origen (E/O) o la
interfaz de salida/IP de destino (S/D), el dispositivo NetScreen determina el vsys al que corresponde el trfico.
Si la clasificacin del trfico E/O tiene xito, pero la clasificacin del trfico S/D falla, el dispositivo
NetScreen utiliza el conjunto de directivas y la tabla de rutas del vsys asociados a la interfaz de
entrada o a la direccin IP de origen (un vsys llamado v-e, por ejemplo).
La clasificacin del trfico E/O es particularmente til cuando se permite trfico saliente desde un vsys
hacia una red pblica como Internet.
Si la clasificacin del trfico S/D tiene xito, pero la clasificacin del trfico E/O falla, el dispositivo
NetScreen utiliza el conjunto de directivas y la tabla de rutas del vsys asociado a la interfaz de salida
o a la direccin IP de destino (un vsys llamado v-s, por ejemplo).
La clasificacin del trfico S/D es particularmente til cuando se acepta trfico entrante para uno o
ms servidores de un vsys procedente de una red pblica como Internet.
Si ambas clasificaciones tienen xito y los sistemas virtuales asociados son los mismos, el dispositivo
NetScreen utiliza el conjunto de directivas y la tabla de rutas de ese vsys.
Se pueden utilizar ambas clasificaciones del trfico IP E/O y S/D para permitir trfico desde
direcciones especficas en una zona a direcciones especficas en otra zona del mismo vsys.
Si ambas clasificaciones tienen xito, los sistemas virtuales asociados son distintos y las interfaces
estn vinculadas a la misma zona de seguridad compartida, el NetScreen utiliza primero el conjunto
de directivas y la tabla de rutas del vsys E/O, y despus los del vsys S/D.
NetScreen admite trfico intrazonal entre vsys cuando el trfico tiene lugar en la misma zona
compartida. El dispositivo NetScreen aplica primero el conjunto de directivas y la tabla de rutas de
v-e, devuelve el trfico a la interfaz Untrust y despus aplica el conjunto de directivas y la tabla de
rutas de v-s. Este trfico intrazonal sera el normal en una sola empresa que utilizase una zona
interna compartida con distintos sistemas virtuales para distintos departamentos internos y quisiera
permitir el trfico entre los diferentes departamentos.
Si ambas clasificaciones tienen xito, los sistemas virtuales asociados son diferentes y las interfaces
estn vinculadas a distintas zonas de seguridad, el dispositivo NetScreen descarta el paquete.
NetScreen no admite trfico interzonal entre vsys entre zonas de seguridad compartidas.
Si ambas clasificaciones tienen xito, los sistemas virtuales asociados son diferentes y las interfaces
de entrada y salida estn vinculadas a zonas dedicadas a distintos sistemas virtuales, el dispositivo
NetScreen aplica primero el conjunto de directivas y la tabla de rutas del v-e. Despus devuelve el
trfico a la interfaz Untrust y aplica el conjunto de directivas y la tabla de rutas del v-s. (Consulte
Ejemplo: Comunicacin entre vsys en la pgina 29).
NetScreen admite trfico interzonal entre vsys entre zonas de seguridad dedicadas.
Si ambas clasificaciones fallan, el dispositivo NetScreen descarta el paquete.
Usar el conjunto de
directivas y la tabla de
rutas del vsys v-e.
N
S
N
S
Despus de realizar la clasificacin del trfico por interfaz de entrada/IP de origen (E/O) y por interfaz
de salida/IP de destino (S/D), el dispositivo NetScreen utiliza los resultados para determinar la
distribucin del trfico.
3
xito de la
clas. E/O?
xito de la
clas. S/D?
N
xito de la
clas. S/D?
Mismo
vsys?
N
Descartar
S
Usar el conjunto de
directivas y la tabla de
rutas del vsys v-s.
S
N
S
Usar el conjunto de directivas
y la tabla de rutas del vsys
v-e/v-s.
Zona
compartida?
Aplicar el conjunto de directivas y
la tabla de rutas del vsys v-e y
despus los del v-s.
N
S
Descartar
Trfico
intrazonal?
Aplicar el conjunto de directivas y la tabla de rutas del
vsys v-e y despus los del v-s.
Interfaces compartidas y dedicadas
Hay dos tipos de interfaces que afectan a la forma en que un dispositivo NetScreen puede distribuir el trfico
entrante al sistema indicado: dedicadas y compartidas.
Interfaces dedicadas
Un sistema, virtual o raz, puede tener varias interfaces o subinterfaces dedicadas exclusivamente a su uso
particular. Estas interfaces no pueden ser compartidas por otros sistemas. Se puede hacer que una interfaz est
dedicada a un sistema como se indica a continuacin:
Cuando se configura una interfaz fsica, subinterfaz, interfaz redundante o interfaz agregada en el sistema
raz y se vincula a una zona no compartible, la interfaz queda dedicada al sistema raz.
Cuando se importa una interfaz fsica o agregada a un vsys y se vincula a una zona Untrust compartida o a
la zona Trust-vsys_name , dicha interfaz pasa a ser dedicada al vsys en cuestin.
Cuando se configura una subinterfaz en un vsys, pertenece al vsys en cuestin.
Interfaces compartidas
Un sistema, virtual o raz, puede compartir una interfaz con otro sistema. Para que una interfaz pueda ser
compartida, se debe configurar en el nivel raz y vincularla a una zona compartida de un enrutador virtual
compartido. De forma predeterminada, el VR predefinido untrust-vr es un enrutador virtual compartido y la zona
predefinida Untrust es una zona compartida. Por consiguiente, un vsys puede compartir cualquier interfaz fsica,
subinterfaz, interfaz redundante o interfaz agregada del nivel raz que se vincule a la zona Untrust.
Nota: Cuando un sistema tiene una subinterfaz dedicada, el dispositivo NetScreen debe emplear la clasificacin
del trfico segn VLAN para distribuir adecuadamente el trfico entrante.
Para crear una interfaz compartida en una zona distinta de la zona Untrust, se debe definir la zona como
compartida en el nivel raz
8
. Para ello, la zona debe estar en un enrutador virtual compartido, como el untrust-vr u
otro enrutador virtual de nivel raz que se defina como compartible. Despus, cuando se vincula una interfaz de
nivel raz a la zona compartida, automticamente pasa a ser una interfaz compartida.
Un enrutador virtual compartido admite zonas de seguridad de nivel raz compartibles y no compartibles. Se puede
definir una zona de nivel raz vinculada a un enrutador virtual compartido como compartible o no. Cualquier zona de
nivel raz que se vincule a un enrutador virtual compartido y se defina como compartible pasa a ser una zona
compartida, disponible para ser utilizada tambin por los sistemas virtuales. Cualquier zona de nivel raz que se
vincule a un enrutador virtual compartido y se defina como no compartible permanece como una zona dedicada
para uso exclusivo del sistema raz. Si se vincula una zona de nivel vsys al enrutador virtual dedicado a ese vsys o
a un enrutador virtual compartido creado en el sistema raz, la zona permanece como zona dedicada, disponible
para uso exclusivo del vsys para el que se cre.
Una zona compartida admite interfaces compartidas y dedicadas. Cualquier interfaz de nivel raz que se vincule a
una zona compartida pasa a ser una interfaz compartida, disponible para ser utilizada tambin por los sistemas
virtuales. Cualquier interfaz de nivel vsys que se vincule a una zona compartida permanece como interfaz dedicada,
disponible slo para uso del vsys para el que se cre.
Una zona no compartible slo puede ser utilizada por el sistema en el que se cre y slo admite interfaces
dedicadas para dicho sistema. Todas las zonas de nivel vsys son no compartibles.
Para crear una interfaz compartida, se debe crear un enrutador virtual compartido (o utilizar el predefinido
untrust-vr), crear un zona de seguridad compartida (o utilizar la zona predefinida Untrust) y despus vincular la
interfaz a la zona compartida. Se pueden realizar los tres pasos en el sistema raz.
8. Para que est disponible la opcin de zona compartida, el dispositivo NetScreen debe operar en la capa 3, lo que significa que se debe asignar previamente
una direccin IP al menos a una interfaz de nivel raz.
Nota: Para crear un enrutador virtual, es necesario obtener una clave de licencia vsys, que capacita para definir
sistemas virtuales, enrutadores virtuales y zonas de seguridad para su uso en un vsys o en el sistema raz.
Las opciones de la WebUI y la CLI son las siguientes:
1. Para crear un enrutador virtual compartido:
WebUI
Network > Routing > Virtual Routers > New: Seleccione la opcin Shared and accessible by other vsys y
haga clic en Apply .
CLI
set vrouter name name_str
set vrouter name_str shared
(No se puede modificar un enrutador virtual compartido para hacerlo no compartido a menos que primero
se borren todos los sistemas virtuales. Sin embargo, se puede cambiar un enrutador virtual de no
compartido a compartido cuando se desee).
2. Para crear una zona compartida, proceda como se indica a continuacin en el nivel raz:
WebUI
CLI
set zone name name_str
set zone zone vrouter sharable_vr_name_str
set zone zone shared
3. Para crear una interfaz compartida, proceda como se indica a continuacin en el nivel raz:
WebUI
Network > Interfaces > New (o Edit para una interfaz que ya existe): Configure la interfaz y vinclela a una
zona compartida y haga clic en OK .
Nota: En el momento de publicar esta versin, slo se puede definir una zona compartida mediante CLI.
CLI
set interface interface zone shared_zone_name_str
Cuando dos o ms sistemas comparten una interfaz, el dispositivo NetScreen debe emplear la clasificacin
del trfico segn IP para distribuir adecuadamente el trfico entrante. (Para obtener ms informacin sobre
la clasificacin del trfico segn IP, incluyendo un ejemplo que muestre cmo configurarlo para varios vsys,
consulte Clasificacin del trfico segn IP en la pgina 34).
Importacin y exportacin de interfaces fsicas
Se pueden dedicar una o ms interfaces fsicas a un vsys. En realidad, se importa una interfaz fsica del sistema
raz a un sistema virtual. Despus de la importacin de la interfaz fsica a un vsys, el vsys tiene su uso en exclusiva.
Ejemplo: Importacin de una interfaz fsica a un sistema virtual
En este ejemplo, un administrador raz importa la interfaz fsica ethernet4/1 a vsys1. Se asocia a la zona Untrust y
se asigna la direccin IP 1.1.1.1/24.
WebUI
1. Introducir vsys1
Vsys: Haga clic en Enter (para vsys1).
2. Importar y definir la interfaz
Network > Interfaces: Haga clic en Import (para ethernet4/1).
Network > Interfaces > Edit (para ethernet4/1): Introduzca los siguientes datos y haga clic en OK :
Zone Name: Untrust
IP Address/Netmask: 1.1.1.1/24
3. Salir de vsys1
Haga clic en el botn Exit Vsys (en la parte inferior de la columna de men) para volver al nivel raz.
Nota: Antes de poder importar una interfaz a un sistema virtual, debe estar en la zona Null en el nivel raz.
CLI
1. Introducir vsys1
2. Importar y definir la interfaz
ns(vsys1)-> set interface ethernet4/1 import
ns(vsys1)-> set interface ethernet4/1 zone untrust
ns(vsys1)-> set interface ethernet4/1 ip 1.1.1.1/24
ns(vsys1)-> save
3. Salir de vsys1
ns(vsys1)-> exit
Ejemplo: Exportacin de una interfaz fsica de un sistema virtual
En este ejemplo, se vincula la interfaz fsica ethernet4/1 a la zona Null en el vsys1 y se le asigna la direccin IP
0.0.0.0/0. Despus se exporta la interfaz ethernet4/1 al sistema raz.
WebUI
1. Introducir vsys1
2. Exportar la interfaz
Zone Name: Null
Network > Interfaces: Haga clic en Export (para ethernet4/1).
(La interfaz ethernet4/1 est disponible ahora para su uso en el sistema raz o en otro vsys).
3. Salir de vsys1
Haga clic en el botn Exit Vsys (en la parte inferior de la columna de men) para volver al nivel raz.
CLI
1. Introducir vsys1
2. Exportar la interfaz
ns(vsys1)-> unset interface ethernet4/1 ip
ns(vsys1)-> unset interface ethernet4/1 zone
ns(vsys1)-> unset interface ethernet4/1 import
This command will remove all objects associated with interface, continue? y/[n] y
ns(vsys1)-> save
(La interfaz ethernet4/1 est disponible ahora para su uso en el sistema raz o en otro vsys).
3. Salir de vsys1
ns(vsys1)-> exit
Captulo 1 Sistemas virtuales Clasificacin del trfico segn VLAN
CLASIFICACIN DEL TRFICO SEGN VLAN
Con la clasificacin del trfico segn VLAN, un dispositivo NetScreen utiliza el etiquetado
9
VLAN para dirigir el
trfico a las diversas interfaces vinculadas a los diferentes sistemas
10
. De forma predeterminada, un vsys tiene dos
zonas de seguridad, una zona Untrust compartida y su propia zona Trust. Cada vsys puede compartir la interfaz de
la zona Untrust con el sistema raz y con otros sistemas virtuales. Un vsys puede tambin tener su propia
subinterfaz o una interfaz fsica dedicada (importada del sistema raz) vinculada a la zona Untrust.
9. NetScreen admite VLANs compatibles con la norma IEEE 802.1Q.
10. Se puede dedicar una interfaz fsica a un sistema virtual importndola del sistema raz al sistema virtual. (Consulte Importacin y exportacin de interfaces
fsicas en la pgina 19). Cuando se utilizan interfaces fsicas, el etiquetado VLAN no es necesario para el trfico en dicha interfaz.
Zona Untrust compartida
Internet
Trust-
vsys1
Trust-
vsys2
Trust-
vsys3
Vsys1
Vsys2
Vsys3
vlan1
vlan2
vlan3
Raz
vsys1-vr
vsys2-vr
vsys3-vr
UNTRUST-VR
Nota: Todos los sistemas virtuales se muestran compartiendo la
interfaz de la zona Untrust. Tambin pueden tener su propia
subinterfaz o interfaz fsica dedicada.
Zonas Trust por vsys y
enrutadores virtuales por vsys
Nota: El icono del castillo representa
una interfaz en una zona de seguridad.
A la VLAN1 (vsys1)
A la VLAN2 (vsys2)
A la VLAN3 (vsys3)
Puerto troncal
Al enrutador externo
Conmutador compatible con VLAN interno
VLANs
Cada VLAN se une a un sistema a travs de una subinterfaz. Si un vsys comparte la interfaz de la zona Untrust con
el sistema raz y tiene una subinterfaz vinculada a su zona Trust-vsys_name, el vsys debe asociarse a una VLAN
en la zona Trust-vsys_name. Si el vsys tambin tiene su propia subinterfaz vinculada a la zona Untrust, el vsys
debe tambin asociarse a otra VLAN en la zona Untrust.
Una subinterfaz procede de una interfaz fsica, que acta como un puerto troncal. Un puerto troncal permite a un
dispositivo de red de capa 2 agrupar trfico de varias VLAN por un nico puerto fsico, clasificando los paquetes por
la identidad de VLAN (VID) de los encabezados de las tramas. El entroncamiento VLAN permite que una interfaz
fsica admita varias subinterfaces lgicas, cada una de las cuales debe identificarse por una nica etiqueta VLAN.
El identificador de VLAN (etiqueta) de una trama ethernet entrante indica su correspondiente subinterfaz y por tanto
el sistema de destino. Cuando se asocia una VLAN con una interfaz o subinterfaz, el dispositivo NetScreen
automticamente define el puerto fsico como un puerto troncal. Cuando se utilizan VLAN en el nivel raz en modo
transparente, se deben definir manualmente todos los puertos fsicos como puertos troncales con el siguiente
comando CLI: set interface vlan1 vlan trunk .
Raz
vsys 1
vsys 2
Conmutador
externo
Conmutador
interno
Enrutadores
externos
Enrutadores
internos
Zona
Trust-vsys1
Internet
Dispositivo
NetScreen
Zona
Trust-vsys2
Zona Trust
(Raz)
Zona Untrust
(Compartida)
Nota: Un vsys puede compartir enrutadores con el sistema raz o utilizar los suyos propios.
Los conmutadores externo e interno deben ser compatibles VLAN si los sistemas virtuales
tienen subinterfaces vinculadas a las zonas Untrust y Trust-vsys_name .
vlan1
vlan2
LAN
Dispositivos compatibles
VLAN
Cuando un vsys utiliza una subinterfaz (no una interfaz fsica dedicada) vinculada a la zona Trust-vsys_name, el
conmutador interno y el enrutador interno de la zona Trust-vsys_name debe ser capaz de admitir VLAN. Si se crea
ms de una subinterfaz en una interfaz fsica, entonces se debe definir el puerto del conmutador de conexin como
puerto troncal y asociarlo a todas las VLANs que lo utilicen.
Cuando un vsys utiliza una subinterfaz (no una interfaz compartida o una interfaz fsica dedicada) vinculada a la
zona Untrust compartida, el conmutador y el enrutador externos que reciben su trfico entrante y saliente deben ser
capaces de admitir VLAN. El enrutador etiqueta las tramas entrantes para que cuando lleguen al dispositivo
NetScreen, ste pueda dirigirlas a la subinterfaz correcta.
Aunque un vsys no puede estar en modo transparente, porque requiere direcciones IP de interfaz o subinterfaz
nicas, el sistema raz puede estar en modo transparente
11
. Para que el sistema raz pueda soportar VLANs
aunque funcione en modo transparente, se utiliza el siguiente comando CLI para permitir a las interfaces fsicas
vinculadas a las zonas de seguridad de capa 2 actuar como puertos troncales: set interface vlan1 vlan trunk .
Definicin de subinterfaces y etiquetas VLAN
La subinterfaz de la zona Trust-vsys_name conecta un vsys a su VLAN interna. La subinterfaz de la zona Untrust
conecta un vsys a la WAN pblica, normalmente la Internet. Una subinterfaz tiene los siguientes atributos:
Una nica ID VLAN (de 1 a 4095).
Una direccin IP pblica o privada
12
(la direccin IP es privada de forma predeterminada).
Una mscara de subred tipo A, B o C.
Una VLAN asociada.
Un vsys puede tener una nica subinterfaz de zona Untrust y varias subinterfaces de zona Trust-vsys_name. Si un
sistema virtual no tiene su propia subinterfaz de zona Untrust, comparte la interfaz de zona Untrust del nivel raz.
Los dispositivos NetScreen tambin admiten subinterfaces y VLANs en el nivel raz.
11. Cuando el sistema raz est en modo transparente, no admite sistemas virtuales. No obstante, s admite VLANs de nivel raz.
12. Para obtener ms informacin sobre direcciones IP pblicas y privadas, consulte Direcciones IP pblicas en la pgina 2 -68 y Direcciones IP privadas
en la pgina 2 -69.
El dispositivo NetScreen admite las etiquetas VLAN compatibles con IEEE 802.1Q. Una etiqueta es un aadido en
el encabezado de la trama Ethernet que indica su pertenencia a una VLAN particular. Al vincular una VLAN a un
vsys, la etiqueta tambin determina a qu vsys pertenece la trama, y por tanto, qu directiva se aplica a la trama. Si
la VLAN no est vinculada a un vsys, se aplica a la trama el conjunto de directivas del sistema raz del dispositivo
NetScreen.
Un administrador de nivel raz puede crear una VLAN, asignarle los elementos y vincularla a un vsys. (La
asignacin de elementos a la VLAN puede realizarse por varios mtodos, tipo de protocolo, direccin MAC, nmero
de puerto, y queda fuera del alcance de este documento). El administrador vsys, si existe, administra pues el vsys a
travs de la creacin de direcciones, usuarios, servicios, VPNs y directivas. Si no hay administrador vsys, entonces
un administrador de nivel raz realiza estas tareas.
Nota: Si el administrador de nivel raz no asocia una VLAN a un vsys, la VLAN opera dentro del sistema raz del
dispositivo NetScreen.
Internet
Raz
vsys1
vsys2
vsys100
if
sif
sif
sif
sif
sif
sif
sif
if
sif
sif
LAN
VLAN.1
VLAN.2
VLAN.3
VLAN.4
VLAN.5
VLAN.6
VLAN.292
Dispositivo NetScreen if = interfaz fsica

sif = subinterfaz
vsys1 comparte la interfaz de la
zona Untrust con el sistema raz.
vsys2 y vsys100 tiene sus propias
subinterfaces dedicadas vinculadas
a la zona Untrust.
El sistema raz tiene una interfaz
fsica y una subinterfaz vinculadas a
su zona Trust.
vsys1 tiene tres subinterfaces
vinculadas a su zona Trust-vsys1,
cada una de las cuales lleva a una
VLAN diferente.
vsys2 tiene dos subinterfaces
vinculadas a su zona Trust-vsys2,
cada una de las cuales lleva a una
VLAN diferente.
vsys100 tiene una subinterfaz
vinculada a su zona Trust-vsys100.
Nota: Todas las IDs VLAN deben ser
exclusivas de cada interfaz fsica.
Hay tres tareas que un administrador de nivel raz debe realizar para crear una VLAN para un vsys: introducir un
sistema virtual, definir una subinterfaz y asociarla a una VLAN.
Ejemplo: Definicin de tres subinterfaces y etiquetas VLAN
En este ejemplo, se definen las subinterfaces y las etiquetas VLAN para los tres sistemas virtuales creados en
Ejemplo: Objetos y administradores vsys en la pgina 3: vsys1, vsys2 y vsys3. Las dos primeras subinterfaces son
para dos sistemas virtuales privados que operan en modo NAT y la tercera subinterfaz para un sistema virtual
pblico que opera en modo de ruta. Las subinterfaces son 10.1.1.1/24, 10.2.2.1/24 y 1.3.3.1/24. Las tres
subinterfaces se crearn en ethernet3/2.
Los tres sistemas virtuales comparten la zona Untrust y su interfaz (ethernet1/1; 1.1.1.1/24) con el sistema raz. La
zona Untrust est en el dominio de enrutamiento del untrust-vr.
WebUI
1. Subinterfaz y etiqueta VLAN para vsys1
Network > Interfaces > New Sub-IF (para ethernet3/2): Introduzca los siguientes datos y haga clic en OK :
Interface Name: ethernet3/2.1
Zone Name: Trust-vsys1
Nota: Todas las subredes de un vsys deben ser inconexas; esto es, no debe haber direcciones IP superpuestas
entre las subredes del mismo vsys. Por ejemplo: la subinterfaz1 (10.2.2.1 255.255.255.0) y la subinterfaz2
(10.2.3.1 255.255.255.0) son inconexas, y por tanto, enlazan con subredes admisibles.
Sin embargo, las subredes con las siguientes subinterfaces se superponen y no son admisibles dentro del sistema
vsys: subinterfaz1 (10.2.2.1 255.255.0.0) y subinterfaz2 (10.2.3.1 255.255.0.0).
Los rangos de direcciones de las subredes de diferentes sistemas virtuales pueden superponerse.
IP Address / Netmask: 10.1.1.1/24
VLAN Tag: 1
13
Network > Interfaces > New Sub-IF (para ethernet3/2): Introduzca los siguientes datos y haga clic en OK :
VLAN Tag: 2
Network > Interfaces > New Sub-IF (para ethernet3/2): Introduzca los siguientes datos y haga clic en
Apply :
VLAN Tag: 3
Seleccione Interface Mode: Route y haga clic en OK .
Haga clic en Exit Vsys para volver al nivel raz.
13. Se pueden definir sistemas virtuales para operar en modo de ruta o en modo NAT. El modo NAT es el predeterminado y no es necesario especificarlo al
crear las dos primeras subinterfaces en este ejemplo.
CLI
ns(vsys1)-> set interface ethernet3/2.1 zone trust-vsys1
ns(vsys1)-> set interface ethernet3/2.1 ip 10.1.1.1/24 tag 1
14
ns(vsys1)-> save
ns(vsys1)-> exit
ns(vsys2)-> save
ns(vsys2)-> exit
ns(vsys3)-> set interface ethernet3/2.3 route
ns(vsys3)-> save
ns(vsys3)-> exit
14. Se pueden definir sistemas virtuales para operar en modo de ruta o en modo NAT. El modo NAT es el predeterminado y no es necesario especificarlo al
crear las dos primeras subinterfaces en este ejemplo.
Comunicacin entre sistemas virtuales
Los elementos de una VLAN de un vsys no tienen restricciones a la comunicacin entre s. Los elementos de las
VLAN de sistemas virtuales diferentes no pueden comunicarse entre s a menos que los administradores de los
vsys participantes configuren directivas especficas a tal fin.
El trfico entre las VLANs de nivel raz opera con los parmetros establecidos por las directivas de nivel raz. El
trfico entre las VLANs de sistemas virtuales opera con los parmetros establecidos por las directivas de los
sistemas virtuales participantes
15
. El dispositivo NetScreen slo deja pasar el trfico con permiso para salir del
sistema virtual de origen y entrar en el sistema virtual de destino. En otras palabras, los administradores vsys de
ambos sistemas virtuales deben configurar directivas que permitan al trfico fluir en la direccin apropiada, saliente
y entrante.
Ejemplo: Comunicacin entre vsys
En este ejemplo, los administradores de vsys1 y vsys2 (consulte Ejemplo: Definicin de tres subinterfaces y
etiquetas VLAN en la pgina 26) configuran directivas para habilitar el trfico entre una estacin de trabajo
(work_js con direccin IP 10.1.1.10/32) en VLAN 1 y un servidor (ftp_server con la direccin IP 10.2.2.20/32) en
VLAN 2. La conexin es posible si se cumplen las dos condiciones siguientes:
El administrador vsys de vsys1 ha configurado una directiva que permite el trfico desde la estacin de
trabajo en Trust-vsys1 hacia el servidor en su zona Untrust.
El administrador vsys de vsys2 ha configurado una directiva que permite el trfico desde la estacin de
trabajo en su zona Untrust hacia el servidor en Trust-vsys2.
Tenga en cuenta que el dispositivo de red frente a la interfaz interna del dispositivo NetScreen es un conmutador de
capa 2. Esto obliga al trfico desde VLAN 1 hacia VLAN 2 a pasar por el conmutador hacia el dispositivo NetScreen
para el enrutamiento de capa 3. Si el dispositivo de red fuera un enrutador de capa 3, el trfico entre VLAN1 y
VLAN2 podra pasar por el enrutador, ignorando todas las directivas del dispositivo NetScreen.
Los administradores de vsys1 y vsys2 tambin configuran las rutas correspondientes. La zona compartida Untrust
est en el untrust-vr y las zonas Trust en vsys1 y vsys2.
15. El conjunto de directivas del sistema raz no afecta al conjunto de directivas de los sistemas virtuales y viceversa.
WebUI
1. Vsys1
Direcciones
Address Name: work_js
Zone: Trust-vsys1
Address Name: ftp_server
Zone: Untrust
VLAN 1
VLAN 2
Vsys1
Vsys2
work_js
10.1.1.10/32
ftp_server
10.2.2.20/32
Conmutador
de capa 2
Dispositivo NetScreen
Rutas
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address/Netmask: 10.1.1.0/24
Next Hop Virtual Router Name: (seleccione); vsys1-vr
Network > Routing > Routing Entries > vsys1-vr New: Introduzca los siguientes datos y haga clic en OK :
Gateway: (seleccione)
Next Hop Virtual Router Name: (seleccione); untrust-vr
Directiva
Policies > (From: Trust-vsys1, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), work_js
Destination Address:
Address Book Entry: (seleccione), ftp_server
Service: FTP-Get
Action: Permit
2. Vsys2
Direcciones
Address Name: ftp_server
Zone: Trust-vsys2
Address Name: work_js
Zone: Untrust
Rutas
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK :
Next Hop Virtual Router Name: (seleccione); vsys2-vr
Network > Routing > Routing Entries > vsys2-vr New: Introduzca los siguientes datos y haga clic en OK :
Next Hop Virtual Router Name: (seleccione); untrust-vr
Directiva
Policies > (From: Untrust, To: Trust-vsys2) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), work_js
Destination Address:
Address Book Entry: (seleccione), ftp_server
Service: FTP-Get
Action: Permit
CLI
1. Vsys1
Direcciones
set address trust-vsys1 work_js 10.1.1.10/32
set address untrust ftp_server 10.2.2.20/32
Rutas
set vrouter untrust-vr route 10.1.1.0/24 vrouter vsys1-vr
set vrouter vsys1-vr route 0.0.0.0/0 vrouter untrust-vr
Directiva
set policy from trust-vsys1 to untrust work_js ftp_server ftp-get permit
save
2. Vsys2
Direcciones
set address trust-vsys2 ftp_server 10.2.2.20/32
set address untrust work_js 10.1.1.10/32
3. Rutas
set vrouter untrust-vr route 10.2.2.0/24 vrouter vsys2-vr
set vrouter vsys2-vr route 0.0.0.0/0 vrouter untrust-vr
4. Directiva de vsys2
set policy from untrust to trust-vsys2 work_js ftp_server ftp-get permit
save
Captulo 1 Sistemas virtuales Clasificacin del trfico segn IP
CLASIFICACIN DEL TRFICO SEGN IP
La clasificacin del trfico segn IP permite el uso de sistemas virtuales sin VLANs. En lugar de las etiquetas VLAN,
el dispositivo NetScreen utiliza las direcciones IP para distribuir el trfico, asociando una subred o un rango de
direcciones IP a un sistema en concreto (raz o vsys). Al utilizar exclusivamente la clasificacin del trfico segn IP
para distribuir el trfico, todos los sistemas comparten lo siguiente:
El untrust-vr y un VR interno definido por el usuario.
La zona Untrust y una zona interna definida por el usuario.
Una interfaz de zona Untrust y una interfaz de zona interna definida por el usuario
16
.
16. Aunque se utilice una clasificacin del trfico segn VLAN para el trfico interno, para el trfico externo todos los sistemas usan la zona compartida Untrust
y, a menos que un sistema tenga una interfaz dedicada, una interfaz de zona Untrust compartida. La utilizacin de una interfaz compartida en un lado y una
interfaz dedicada (con etiquetado VLAN) en el otro constituye una propuesta hbrida. Las clasificaciones del trfico segn VLAN y segn IP pueden coexistir
simultneamente en el mismo sistema o en sistemas diferentes.
A vsys1
Al enrutador externo
Conmutador interno
Zona Untrust compartida
Internet
vsys1
vsys2
vsys3
Raz
UNTRUST-VR COMPARTIDO
Nota: Todos los sistemas comparten las zonas Untrust e interna, las
interfaces de las zonas Untrust e interna y el untrust-vr y el VR interno.
Zona
interna
compartida
VR INTERNO COMPARTIDO
vsys1
10.1.1.0/24
Interfaz de la
zona Untrust
compartida
210.1.1.1/24
Interfaz de la
zona interna
compartida
10.1.0.1/16
A vsys2
A vsys3
vsys2
10.1.2.0/24
vsys3
10.1.3.0/24
Para designar una subred o un rango de direcciones IP al sistema raz o a un sistema virtual previamente creado,
se debe proceder como se indica a continuacin en el nivel raz:
WebUI
Network > Zones > Edit (para zona ) > IP Classification: Introduzca los siguientes datos y haga clic en OK :
System: (seleccione root o vsys_name_str )
Address Type: (seleccione Subnet e introduzca ip_addr/mask , o
seleccione Range e introduzca ip_addr1 ip_addr2 )
CLI
set zone zone ip-classification net ip_addr/mask { root | vsys name_str }
set zone zone ip-classification range ip_addr1-ip_addr2 { root | vsys name_str }
Debido a que la clasificacin del trfico segn IP requiere la utilizacin de una zona de seguridad compartida, los
sistemas virtuales no pueden utilizar direcciones IP internas superpuestas, como s es posible con la clasificacin
del trfico segn VLAN. Tambin, debido a que todos los sistemas comparten la misma interfaz interna, los modos
de operacin de la interfaz deben ser NAT o modo de ruta; no se pueden mezclar los modos de ruta y NAT para
distintos sistemas. En este sentido, el esquema de direccionamiento del planteamiento segn IP no es tan flexible
como el que permite el ms comnmente utilizado segn VLAN.
Adems, compartir enrutadores virtuales, zonas de seguridad e interfaces es intrnsecamente menos seguro que
utilizar un enrutador virtual interno, una zona de seguridad interna e interfaces internas y externas dedicados para
cada vsys. Cuando todos los sistemas virtuales comparten las mismas interfaces, un administrador vsys de un vsys
puede utilizar el comando snoop para recopilar informacin sobre las actividades del trfico de otros vsys.
Tambin, gracias a que la suplantacin de IP es posible en el lado interno, Juniper Networks recomienda que se
inhabilite la opcin IP spoofing de SCREEN en la interfaz interna compartida. Para decidir qu esquema de
clasificacin del trfico utilizar, se deben sopesar la facilidad de manejo ofrecida por la opcin segn IP por un lado
y la mayor seguridad y flexibilidad de direccionamiento ofrecidos por la opcin segn VLAN por otro.
Ejemplo: Configuracin de la clasificacin del trfico segn IP
En este ejemplo, configurar la clasificacin del trfico segn IP para los tres sistemas virtuales creados en
Ejemplo: Objetos y administradores vsys en la pgina 3. Se define el trust-vr como compartible. Se crea una
nueva zona, denominada Internal y se la vincula al trust-vr. Despus se configura la zona Internal como
compartible. Se vincula ethernet3/2 a la zona compartida Internal, se asigna la direccin IP 10.1.0.1/16 y se
selecciona el modo NAT.
Se vincula ethernet1/2 a la zona compartida Untrust y se le asigna la direccin IP 210.1.1.1/24. La direccin IP de la
puerta de enlace predeterminada de la zona Untrust es 210.1.1.250. Las dos zonas Internal y Untrust se
encuentran en el dominio de enrutamiento compartido trust-vr.
Las subredes y sus respectivas asociaciones a los vsys se muestran a continuacin:
10.1.1.0/24 vsys1
10.1.2.0/24 vsys2
10.1.3.0/24 vsys3
WebUI
1. Enrutadores virtuales, zonas de seguridad e interfaces
Network > Routing > Virtual Routers > Edit (para trust-vr): Seleccione la casilla de verificacin Shared and
accessible by other vsys y haga clic en OK .
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK :
Zone Name: Internal
Virtual Router Name: trust-vr
Zone Type: Layer 3
Network > Zones > Edit (para Internal): Seleccione la casilla de verificacin Share Zone y haga clic en OK .
Zone Name: Internal
Zone Name: Untrust
2. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Gateway: (seleccione)
Interface: ethernet1/2
Gateway IP Address: 210.1.1.250
3. Clasificacin segn IP de la zona Trust
Network > Zones > Edit (para Internal) > IP Classification: Introduzca los siguientes datos y haga clic en OK :
System: vsys1
Address Type:
Subnet: (seleccione); 10.1.1.0/24
System: vsys2
Address Type:
System: vsys3
Address Type:
Network > Zones > Edit (para Internal): Seleccione la casilla de verificacin IP Classification y haga clic en
OK .
CLI
1. Enrutadores virtuales, zonas de seguridad e interfaces
set vrouter trust-vr shared
set zone name Internal
set zone Internal shared
set interface ethernet3/2 zone Internal
set interface ethernet3/2 ip 10.1.0.1/16
set interface ethernet3/2 nat
set interface ethernet1/2 zone untrust
set interface ethernet1/2 ip 210.1.1.1/24
2. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet1/2 gateway 210.1.1.250
3. Clasificacin segn IP de la zona Trust
set zone Internal ip-classification net 10.1.1.0/24 vsys1
set zone Internal ip-classification
save
Captulo 1 Sistemas virtuales Acceso como administrador vsys
ACCESO COMO ADMINISTRADOR VSYS
Mientras que un administrador de nivel raz entra en un vsys desde el nivel raz, un administrador vsys entra en su
vsys directamente. Cuando un administrador de nivel raz sale de un vsys, sale al sistema raz. Cuando un
administrador vsys sale de un vsys, la conexin se corta inmediatamente.
El siguiente ejemplo muestra cmo acceder a un vsys como administrador vsys, cambiar la contrasea y finalizar la
sesin.
Ejemplo: Acceso y cambio de la contrasea
En este ejemplo, un administrador vsys accede al vsys1 introduciendo sus nombre de inicio de sesin jsmith y
contrasea Pd50iH10 asignados. Cambia la contrasea a I6Dls13guh y finaliza la sesin.
WebUI
1. Acceso
En el campo URL del explorador web, introduzca la direccin IP de la interfaz de la zona Untrust para
vsys1.
Cuando aparezca el cuadro de dilogo Network Password, introduzca los datos siguientes y haga clic en OK :
User Name: jsmith
Password: Pd50iH10
2. Cambio de contrasea
Configuration > Admin > Administrators: Introduzca los siguientes datos y haga clic en OK :
Vsys Admin Old Password: Pd50iH10
Vsys Admin New Password: I6Dls13guh
Confirm New Password: I6Dls13guh
3. Finalizacin de la sesin
Haga clic en Logout , ubicado en la parte inferior de la columna del men.
Nota: Un administrador vsys no puede cambiar su nombre de inicio de sesin (nombre de usuario) porque el
dispositivo NetScreen utiliza su nombre, que debe ser nico entre todos los administradores vsys, para enrutar la
conexin de inicio de sesin al vsys apropiado.
Captulo 1 Sistemas virtuales Acceso como administrador vsys
CLI
1. Acceso
Desde la entradilla (prompt) de la lnea de comandos de una sesin de Secure Command Shell (SCS),
Telnet o HyperTerminal, se introduce la direccin IP de la interfaz de la zona Untrust de vsys1.
Acceda con los siguientes nombre de usuario y contrasea:
User Name: jsmith
Password: Pd50iH10
2. Cambio de contrasea
set admin password I6DIs13guh
save
3. Finalizacin de la sesin
exit
ndice
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Virtual Systems IX-I
ndice
A
administracin
administrador vsys 39
C
clasificacin del trfico segn IP 34
CLI
convenciones iv
conjuntos de caracteres compatibles con
ScreenOS viii
contrasea
administrador vsys 39
convenciones
CLI iv
ilustracin vii
nombres viii
WebUI v
D
definicin
subinterfaces 26
E
estndar VLAN IEEE 802.1Q 22
I
ilustracin
convenciones vii
inicio de sesin
vsys 34, 39
interfaces
compartidas 15, 34
dedicadas 15, 34
exportacin desde vsys 20
importacin de vsys 19
M
MIP
sistemas virtuales 10
N
nombres
convenciones viii
P
puertos
troncales 24
puertos troncales 24
configuracin manual 23
definicin 23
S
ScreenOS
sistemas virtuales, VRs 6
sistemas virtuales, zonas 7
sistema virtual 140
administradores iii, 1
cambio de la contrasea del
administrador 3, 39
clasificacin del trfico 1018
clasificacin del trfico segn IP 3438
clasificacin del trfico segn VLAN 2233
clave software 16
creacin de un objeto vsys 3
exportacin de una interfaz fsica 20
importacin de una interfaz fsica 19
interfaces 8
manejabilidad y seguridad 35
MIP 10
modo transparente 23
rangos de direcciones superpuestos 26, 35
requisitos funcionales bsicos 3
subredes superpuestas 26
tipos de administradores 3
VIP 10
VR compartido 15
VRs 6
zona compartida 15
zonas 7
software
clave, vsys 16
subinterfaces 24
configuracin (vsys) 24
creacin (vsys) 24
definicin 26
varias subinterfaces por vsys 24
T
trfico
clasificacin, segn IP 34
trfico de trnsito, clasificacin de vsys 1114
V
VIP
sistemas virtuales 10
VLANs
comunicacin con otra VLAN 2933
crear 2628
entroncamiento 23
etiqueta 24, 25
modo transparente 23, 24
subinterfaces 24
VRs
compartidas 15
creacin de un VR compartido 17
W
WebUI
convenciones v
Z
zonas
compartidas 15
vsys 7
zonas de seguridad
vase zonas
ndice
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Virtual Systems IX-II

CE v9 SP

Hochgeladen von

Dokumentinformationen

Originalbeschreibung:

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

CE v9 SP

Hochgeladen von

Copyright:

Verfügbare Formate

NetScreen conceptos y ejemplos

Manual de referencia de ScreenOS

del trfico segn IP).

Dispositivo NetScreen if = interfaz fsica

Das könnte Ihnen auch gefallen