Beruflich Dokumente
Kultur Dokumente
Para obtener ms informacin sobre clasificacin del trfico segn la IP, consulte Clasificacin del trfico segn IP en la pgina 34.
Captulo 1 Sistemas virtuales Creacin de un objeto vsys
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales 9
vsys1
vsys2
vsys3
sistema raz
DMZ
Mail
Untrust
Finance
Trust
Eng
Trust-vsys1
Trust-vsys2
Trust-vsys3
Interfaz fsica
dedicada para
vsys3
Subinterfaz
dedicada
para vsys2
Interfaz compartida
por vsys1 y raz
untrust-vr
trust-vr
vsys1-vr
vsys2-vr
vsys3-vr
Nota: El icono del castillo representa una interfaz de una zona de
seguridad. Para ver una lista de los iconos grficos utilizados en este libro,
consulte Convenciones para las ilustraciones en la pgina vii.
Captulo 1 Sistemas virtuales Clasificacin del trfico
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales 10
CLASIFICACIN DEL TRFICO
El dispositivo NetScreen debe clasificar cada paquete que recibe para su entrega al sistema apropiado. Un
dispositivo NetScreen recibe dos tipos de trfico de usuario, que clasifica de dos formas diferentes:
Trfico destinado a una direccin IP en el mismo dispositivo, como trfico de VPN encriptado y trfico
destinado a una MIP o VIP
Trfico destinado a una direccin IP fuera del dispositivo
Trfico destinado al dispositivo NetScreen
Cuando el trfico va destinado a un objeto (VPN, MIP o VIP) del dispositivo NetScreen, ste determina a qu
sistema pertenece dicho trfico mediante la asociacin del objeto con el sistema en el que se configur.
El trfico entrante tambin puede llegar al vsys a travs de tneles VPN; sin embargo, si la interfaz de salida es una
interfaz compartida, no se puede crear un tnel VPN AutoKey IKE para un vsys y el sistema raz hacia el mismo
punto remoto.
ethernet1/2, zona Untrust El sistema raz, vsys1,
vsys2 y vsys3 comparten esta interfaz.
VSYS1
VSYS2
VSYS3
RAZ
VPN
MIP
VIP
El trfico entrante llega a
una interfaz compartida.
Puesto que el objeto VPN se configur
en el vsys1, el trfico enviado para
dicho objeto pertenece al vsys1.
Puesto que el objeto MIP se configur
en el vsys2, el trfico enviado para
dicho objeto pertenece al vsys2.
Puesto que el objeto VIP se configur
en el vsys3, el trfico enviado para
dicho objeto pertenece al vsys3.
Captulo 1 Sistemas virtuales Clasificacin del trfico
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales 11
Trfico de trnsito
Para el trfico dirigido a una direccin IP ms all del dispositivo NetScreen (tambin conocido como trfico de trnsito),
el dispositivo utiliza tcnicas que son posibles gracias a la clasificacin del trfico segn VLAN y segn IP. La
clasificacin del trfico segn VLAN utiliza etiquetas VLAN
6
en el encabezado de la trama para identificar el sistema al
que pertenece el trfico entrante. La clasificacin del trfico segn IP utiliza las direcciones IP de origen y destino de los
encabezados de los paquetes IP para identificar el sistema al que pertenece el trfico. El procedimiento que utiliza el
dispositivo NetScreen para determinar el sistema al que pertenece un paquete comprende los siguientes pasos:
1. Clasificacin del trfico por interfaz de entrada/IP de origen
El dispositivo NetScreen comprueba si la interfaz de entrada es dedicada o compartida
7
.
1. Si la interfaz de entrada est dedicada a un vsys (por ejemplo v-e), el dispositivo NetScreen asocia el
trfico con el sistema al que est dedicada la interfaz.
2. Si la interfaz de entrada es compartida, el dispositivo NetScreen utiliza la clasificacin por IP para
comprobar si la direccin IP de origen est asociada a un vsys en concreto.
Si la direccin IP de origen no est asociada a un vsys en concreto, la clasificacin por IP de entrada
falla.
Si la direccin IP de origen est asociada a un vsys en concreto, la clasificacin por IP de entrada
tiene xito.
2. Clasificacin del trfico por interfaz de salida/IP de destino
El dispositivo NetScreen comprueba si la interfaz de salida es compartida o dedicada.
1. Si la interfaz de salida est dedicada a un vsys (por ejemplo v-s), el dispositivo NetScreen asocia el
trfico con el sistema al que est dedicada la interfaz.
2. Si la interfaz de salida es compartida, el dispositivo NetScreen utiliza la clasificacin por IP para
comprobar si la direccin IP de destino est asociada a un vsys en concreto.
Si la direccin IP de destino no est asociada a un vsys en concreto, la clasificacin por IP de salida falla.
Si la direccin IP de destino est asociada a un vsys en concreto, la clasificacin por IP de salida tiene
xito.
6. El etiquetado VLAN requiere el uso de subinterfaces. Una subinterfaz debe estar dedicada a un sistema, en contraste con una interfaz compartida, que es
compartida por todos los sistemas.
7. Para obtener ms informacin sobre interfaces dedicadas y compartidas, consulte Interfaces compartidas y dedicadas en la pgina 15.
Captulo 1 Sistemas virtuales Clasificacin del trfico
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales 12
Interfaz
compartida?
Asociar el paquete con el vsys
de la interfaz de entrada (v-i)
Clasificada
por IP org?
Clasificacin del trfico por interfaz
de entrada/IP de origen
Comprobar la
interfaz de entrada.
Comprobar la
clasificacin por IP
de origen.
N
S
N
S
La clasificacin por interfaz
de entrada/IP de origen
falla.
Asociar el paquete al vsys de
la IP clasificada (v-i)
Interfaz
compartida?
Asociar el paquete con el vsys
de la interfaz de salida (v-e)
Clasificada
por IP dest?
Comprobar la
interfaz de salida.
Comprobar la
clasificacin por IP
de destino.
N
S
N
S
La clasificacin por interfaz
de salida/
IP de destino falla.
Asociar el paquete al vsys de
la IP clasificada (v-e)
Cuando un paquete llega a un dispositivo NetScreen que tiene sistemas
virtuales, ste realiza los siguientes pasos para asociar el paquete a un vsys.
1
Clasificacin del trfico por interfaz
de salida/IP de destino
2
Captulo 1 Sistemas virtuales Clasificacin del trfico
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales 13
3. Asignacin del trfico al vsys
Basndose en el resultado de las clasificaciones del trfico segn la interfaz de entrada/IP de origen (E/O) o la
interfaz de salida/IP de destino (S/D), el dispositivo NetScreen determina el vsys al que corresponde el trfico.
Si la clasificacin del trfico E/O tiene xito, pero la clasificacin del trfico S/D falla, el dispositivo
NetScreen utiliza el conjunto de directivas y la tabla de rutas del vsys asociados a la interfaz de
entrada o a la direccin IP de origen (un vsys llamado v-e, por ejemplo).
La clasificacin del trfico E/O es particularmente til cuando se permite trfico saliente desde un vsys
hacia una red pblica como Internet.
Si la clasificacin del trfico S/D tiene xito, pero la clasificacin del trfico E/O falla, el dispositivo
NetScreen utiliza el conjunto de directivas y la tabla de rutas del vsys asociado a la interfaz de salida
o a la direccin IP de destino (un vsys llamado v-s, por ejemplo).
La clasificacin del trfico S/D es particularmente til cuando se acepta trfico entrante para uno o
ms servidores de un vsys procedente de una red pblica como Internet.
Si ambas clasificaciones tienen xito y los sistemas virtuales asociados son los mismos, el dispositivo
NetScreen utiliza el conjunto de directivas y la tabla de rutas de ese vsys.
Se pueden utilizar ambas clasificaciones del trfico IP E/O y S/D para permitir trfico desde
direcciones especficas en una zona a direcciones especficas en otra zona del mismo vsys.
Si ambas clasificaciones tienen xito, los sistemas virtuales asociados son distintos y las interfaces
estn vinculadas a la misma zona de seguridad compartida, el NetScreen utiliza primero el conjunto
de directivas y la tabla de rutas del vsys E/O, y despus los del vsys S/D.
NetScreen admite trfico intrazonal entre vsys cuando el trfico tiene lugar en la misma zona
compartida. El dispositivo NetScreen aplica primero el conjunto de directivas y la tabla de rutas de
v-e, devuelve el trfico a la interfaz Untrust y despus aplica el conjunto de directivas y la tabla de
rutas de v-s. Este trfico intrazonal sera el normal en una sola empresa que utilizase una zona
interna compartida con distintos sistemas virtuales para distintos departamentos internos y quisiera
permitir el trfico entre los diferentes departamentos.
Si ambas clasificaciones tienen xito, los sistemas virtuales asociados son diferentes y las interfaces
estn vinculadas a distintas zonas de seguridad, el dispositivo NetScreen descarta el paquete.
NetScreen no admite trfico interzonal entre vsys entre zonas de seguridad compartidas.
Si ambas clasificaciones tienen xito, los sistemas virtuales asociados son diferentes y las interfaces
de entrada y salida estn vinculadas a zonas dedicadas a distintos sistemas virtuales, el dispositivo
NetScreen aplica primero el conjunto de directivas y la tabla de rutas del v-e. Despus devuelve el
trfico a la interfaz Untrust y aplica el conjunto de directivas y la tabla de rutas del v-s. (Consulte
Captulo 1 Sistemas virtuales Clasificacin del trfico
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales 14
Ejemplo: Comunicacin entre vsys en la pgina 29).
NetScreen admite trfico interzonal entre vsys entre zonas de seguridad dedicadas.
Si ambas clasificaciones fallan, el dispositivo NetScreen descarta el paquete.
Usar el conjunto de
directivas y la tabla de
rutas del vsys v-e.
N
S
N
S
Despus de realizar la clasificacin del trfico por interfaz de entrada/IP de origen (E/O) y por interfaz
de salida/IP de destino (S/D), el dispositivo NetScreen utiliza los resultados para determinar la
distribucin del trfico.
3
xito de la
clas. E/O?
xito de la
clas. S/D?
N
xito de la
clas. S/D?
Mismo
vsys?
N
Descartar
S
Usar el conjunto de
directivas y la tabla de
rutas del vsys v-s.
S
N
S
Usar el conjunto de directivas
y la tabla de rutas del vsys
v-e/v-s.
Zona
compartida?
Aplicar el conjunto de directivas y
la tabla de rutas del vsys v-e y
despus los del v-s.
N
S
Descartar
Trfico
intrazonal?
Aplicar el conjunto de directivas y la tabla de rutas del
vsys v-e y despus los del v-s.
Captulo 1 Sistemas virtuales Clasificacin del trfico
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales 15
Interfaces compartidas y dedicadas
Hay dos tipos de interfaces que afectan a la forma en que un dispositivo NetScreen puede distribuir el trfico
entrante al sistema indicado: dedicadas y compartidas.
Interfaces dedicadas
Un sistema, virtual o raz, puede tener varias interfaces o subinterfaces dedicadas exclusivamente a su uso
particular. Estas interfaces no pueden ser compartidas por otros sistemas. Se puede hacer que una interfaz est
dedicada a un sistema como se indica a continuacin:
Cuando se configura una interfaz fsica, subinterfaz, interfaz redundante o interfaz agregada en el sistema
raz y se vincula a una zona no compartible, la interfaz queda dedicada al sistema raz.
Cuando se importa una interfaz fsica o agregada a un vsys y se vincula a una zona Untrust compartida o a
la zona Trust-vsys_name , dicha interfaz pasa a ser dedicada al vsys en cuestin.
Cuando se configura una subinterfaz en un vsys, pertenece al vsys en cuestin.
Interfaces compartidas
Un sistema, virtual o raz, puede compartir una interfaz con otro sistema. Para que una interfaz pueda ser
compartida, se debe configurar en el nivel raz y vincularla a una zona compartida de un enrutador virtual
compartido. De forma predeterminada, el VR predefinido untrust-vr es un enrutador virtual compartido y la zona
predefinida Untrust es una zona compartida. Por consiguiente, un vsys puede compartir cualquier interfaz fsica,
subinterfaz, interfaz redundante o interfaz agregada del nivel raz que se vincule a la zona Untrust.
Nota: Cuando un sistema tiene una subinterfaz dedicada, el dispositivo NetScreen debe emplear la clasificacin
del trfico segn VLAN para distribuir adecuadamente el trfico entrante.
Captulo 1 Sistemas virtuales Clasificacin del trfico
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales 16
Para crear una interfaz compartida en una zona distinta de la zona Untrust, se debe definir la zona como
compartida en el nivel raz
8
. Para ello, la zona debe estar en un enrutador virtual compartido, como el untrust-vr u
otro enrutador virtual de nivel raz que se defina como compartible. Despus, cuando se vincula una interfaz de
nivel raz a la zona compartida, automticamente pasa a ser una interfaz compartida.
Un enrutador virtual compartido admite zonas de seguridad de nivel raz compartibles y no compartibles. Se puede
definir una zona de nivel raz vinculada a un enrutador virtual compartido como compartible o no. Cualquier zona de
nivel raz que se vincule a un enrutador virtual compartido y se defina como compartible pasa a ser una zona
compartida, disponible para ser utilizada tambin por los sistemas virtuales. Cualquier zona de nivel raz que se
vincule a un enrutador virtual compartido y se defina como no compartible permanece como una zona dedicada
para uso exclusivo del sistema raz. Si se vincula una zona de nivel vsys al enrutador virtual dedicado a ese vsys o
a un enrutador virtual compartido creado en el sistema raz, la zona permanece como zona dedicada, disponible
para uso exclusivo del vsys para el que se cre.
Una zona compartida admite interfaces compartidas y dedicadas. Cualquier interfaz de nivel raz que se vincule a
una zona compartida pasa a ser una interfaz compartida, disponible para ser utilizada tambin por los sistemas
virtuales. Cualquier interfaz de nivel vsys que se vincule a una zona compartida permanece como interfaz dedicada,
disponible slo para uso del vsys para el que se cre.
Una zona no compartible slo puede ser utilizada por el sistema en el que se cre y slo admite interfaces
dedicadas para dicho sistema. Todas las zonas de nivel vsys son no compartibles.
Para crear una interfaz compartida, se debe crear un enrutador virtual compartido (o utilizar el predefinido
untrust-vr), crear un zona de seguridad compartida (o utilizar la zona predefinida Untrust) y despus vincular la
interfaz a la zona compartida. Se pueden realizar los tres pasos en el sistema raz.
8. Para que est disponible la opcin de zona compartida, el dispositivo NetScreen debe operar en la capa 3, lo que significa que se debe asignar previamente
una direccin IP al menos a una interfaz de nivel raz.
Nota: Para crear un enrutador virtual, es necesario obtener una clave de licencia vsys, que capacita para definir
sistemas virtuales, enrutadores virtuales y zonas de seguridad para su uso en un vsys o en el sistema raz.
Captulo 1 Sistemas virtuales Clasificacin del trfico
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales 17
Las opciones de la WebUI y la CLI son las siguientes:
1. Para crear un enrutador virtual compartido:
WebUI
Network > Routing > Virtual Routers > New: Seleccione la opcin Shared and accessible by other vsys y
haga clic en Apply .
CLI
set vrouter name name_str
set vrouter name_str shared
(No se puede modificar un enrutador virtual compartido para hacerlo no compartido a menos que primero
se borren todos los sistemas virtuales. Sin embargo, se puede cambiar un enrutador virtual de no
compartido a compartido cuando se desee).
2. Para crear una zona compartida, proceda como se indica a continuacin en el nivel raz:
WebUI
CLI
set zone name name_str
set zone zone vrouter sharable_vr_name_str
set zone zone shared
3. Para crear una interfaz compartida, proceda como se indica a continuacin en el nivel raz:
WebUI
Network > Interfaces > New (o Edit para una interfaz que ya existe): Configure la interfaz y vinclela a una
zona compartida y haga clic en OK .
Nota: En el momento de publicar esta versin, slo se puede definir una zona compartida mediante CLI.
Captulo 1 Sistemas virtuales Clasificacin del trfico
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales 18
CLI
set interface interface zone shared_zone_name_str
Cuando dos o ms sistemas comparten una interfaz, el dispositivo NetScreen debe emplear la clasificacin
del trfico segn IP para distribuir adecuadamente el trfico entrante. (Para obtener ms informacin sobre
la clasificacin del trfico segn IP, incluyendo un ejemplo que muestre cmo configurarlo para varios vsys,
consulte Clasificacin del trfico segn IP en la pgina 34).
Captulo 1 Sistemas virtuales Clasificacin del trfico
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales 19
Importacin y exportacin de interfaces fsicas
Se pueden dedicar una o ms interfaces fsicas a un vsys. En realidad, se importa una interfaz fsica del sistema
raz a un sistema virtual. Despus de la importacin de la interfaz fsica a un vsys, el vsys tiene su uso en exclusiva.
Ejemplo: Importacin de una interfaz fsica a un sistema virtual
En este ejemplo, un administrador raz importa la interfaz fsica ethernet4/1 a vsys1. Se asocia a la zona Untrust y
se asigna la direccin IP 1.1.1.1/24.
WebUI
1. Introducir vsys1
Vsys: Haga clic en Enter (para vsys1).
2. Importar y definir la interfaz
Network > Interfaces: Haga clic en Import (para ethernet4/1).
Network > Interfaces > Edit (para ethernet4/1): Introduzca los siguientes datos y haga clic en OK :
Zone Name: Untrust
IP Address/Netmask: 1.1.1.1/24
3. Salir de vsys1
Haga clic en el botn Exit Vsys (en la parte inferior de la columna de men) para volver al nivel raz.
Nota: Antes de poder importar una interfaz a un sistema virtual, debe estar en la zona Null en el nivel raz.
Captulo 1 Sistemas virtuales Clasificacin del trfico
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales 20
CLI
1. Introducir vsys1
ns-> enter vsys vsys1
2. Importar y definir la interfaz
ns(vsys1)-> set interface ethernet4/1 import
ns(vsys1)-> set interface ethernet4/1 zone untrust
ns(vsys1)-> set interface ethernet4/1 ip 1.1.1.1/24
ns(vsys1)-> save
3. Salir de vsys1
ns(vsys1)-> exit
Ejemplo: Exportacin de una interfaz fsica de un sistema virtual
En este ejemplo, se vincula la interfaz fsica ethernet4/1 a la zona Null en el vsys1 y se le asigna la direccin IP
0.0.0.0/0. Despus se exporta la interfaz ethernet4/1 al sistema raz.
WebUI
1. Introducir vsys1
Vsys: Haga clic en Enter (para vsys1).
2. Exportar la interfaz
Network > Interfaces > Edit (para ethernet4/1): Introduzca los siguientes datos y haga clic en OK :
Zone Name: Null
IP Address/Netmask: 0.0.0.0/0
Network > Interfaces: Haga clic en Export (para ethernet4/1).
(La interfaz ethernet4/1 est disponible ahora para su uso en el sistema raz o en otro vsys).
Captulo 1 Sistemas virtuales Clasificacin del trfico
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales 21
3. Salir de vsys1
Haga clic en el botn Exit Vsys (en la parte inferior de la columna de men) para volver al nivel raz.
CLI
1. Introducir vsys1
ns-> enter vsys vsys1
2. Exportar la interfaz
ns(vsys1)-> unset interface ethernet4/1 ip
ns(vsys1)-> unset interface ethernet4/1 zone
ns(vsys1)-> unset interface ethernet4/1 import
This command will remove all objects associated with interface, continue? y/[n] y
ns(vsys1)-> save
(La interfaz ethernet4/1 est disponible ahora para su uso en el sistema raz o en otro vsys).
3. Salir de vsys1
ns(vsys1)-> exit
Captulo 1 Sistemas virtuales Clasificacin del trfico segn VLAN
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales 22
CLASIFICACIN DEL TRFICO SEGN VLAN
Con la clasificacin del trfico segn VLAN, un dispositivo NetScreen utiliza el etiquetado
9
VLAN para dirigir el
trfico a las diversas interfaces vinculadas a los diferentes sistemas
10
. De forma predeterminada, un vsys tiene dos
zonas de seguridad, una zona Untrust compartida y su propia zona Trust. Cada vsys puede compartir la interfaz de
la zona Untrust con el sistema raz y con otros sistemas virtuales. Un vsys puede tambin tener su propia
subinterfaz o una interfaz fsica dedicada (importada del sistema raz) vinculada a la zona Untrust.
9. NetScreen admite VLANs compatibles con la norma IEEE 802.1Q.
10. Se puede dedicar una interfaz fsica a un sistema virtual importndola del sistema raz al sistema virtual. (Consulte Importacin y exportacin de interfaces
fsicas en la pgina 19). Cuando se utilizan interfaces fsicas, el etiquetado VLAN no es necesario para el trfico en dicha interfaz.
Zona Untrust compartida
Internet
Trust-
vsys1
Trust-
vsys2
Trust-
vsys3
Vsys1
Vsys2
Vsys3
vlan1
vlan2
vlan3
Raz
vsys1-vr
vsys2-vr
vsys3-vr
UNTRUST-VR
Nota: Todos los sistemas virtuales se muestran compartiendo la
interfaz de la zona Untrust. Tambin pueden tener su propia
subinterfaz o interfaz fsica dedicada.
Zonas Trust por vsys y
enrutadores virtuales por vsys
Nota: El icono del castillo representa
una interfaz en una zona de seguridad.
A la VLAN1 (vsys1)
A la VLAN2 (vsys2)
A la VLAN3 (vsys3)
Puerto troncal
Al enrutador externo
Conmutador compatible con VLAN interno
Captulo 1 Sistemas virtuales Clasificacin del trfico segn VLAN
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales 23
VLANs
Cada VLAN se une a un sistema a travs de una subinterfaz. Si un vsys comparte la interfaz de la zona Untrust con
el sistema raz y tiene una subinterfaz vinculada a su zona Trust-vsys_name, el vsys debe asociarse a una VLAN
en la zona Trust-vsys_name. Si el vsys tambin tiene su propia subinterfaz vinculada a la zona Untrust, el vsys
debe tambin asociarse a otra VLAN en la zona Untrust.
Una subinterfaz procede de una interfaz fsica, que acta como un puerto troncal. Un puerto troncal permite a un
dispositivo de red de capa 2 agrupar trfico de varias VLAN por un nico puerto fsico, clasificando los paquetes por
la identidad de VLAN (VID) de los encabezados de las tramas. El entroncamiento VLAN permite que una interfaz
fsica admita varias subinterfaces lgicas, cada una de las cuales debe identificarse por una nica etiqueta VLAN.
El identificador de VLAN (etiqueta) de una trama ethernet entrante indica su correspondiente subinterfaz y por tanto
el sistema de destino. Cuando se asocia una VLAN con una interfaz o subinterfaz, el dispositivo NetScreen
automticamente define el puerto fsico como un puerto troncal. Cuando se utilizan VLAN en el nivel raz en modo
transparente, se deben definir manualmente todos los puertos fsicos como puertos troncales con el siguiente
comando CLI: set interface vlan1 vlan trunk .
Raz
vsys 1
vsys 2
Conmutador
externo
Conmutador
interno
Enrutadores
externos
Enrutadores
internos
Zona
Trust-vsys1
Internet
Dispositivo
NetScreen
Zona
Trust-vsys2
Zona Trust
(Raz)
Zona Untrust
(Compartida)
Nota: Un vsys puede compartir enrutadores con el sistema raz o utilizar los suyos propios.
Los conmutadores externo e interno deben ser compatibles VLAN si los sistemas virtuales
tienen subinterfaces vinculadas a las zonas Untrust y Trust-vsys_name .
vlan1
vlan2
LAN
Dispositivos compatibles
VLAN
Captulo 1 Sistemas virtuales Clasificacin del trfico segn VLAN
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales 24
Cuando un vsys utiliza una subinterfaz (no una interfaz fsica dedicada) vinculada a la zona Trust-vsys_name, el
conmutador interno y el enrutador interno de la zona Trust-vsys_name debe ser capaz de admitir VLAN. Si se crea
ms de una subinterfaz en una interfaz fsica, entonces se debe definir el puerto del conmutador de conexin como
puerto troncal y asociarlo a todas las VLANs que lo utilicen.
Cuando un vsys utiliza una subinterfaz (no una interfaz compartida o una interfaz fsica dedicada) vinculada a la
zona Untrust compartida, el conmutador y el enrutador externos que reciben su trfico entrante y saliente deben ser
capaces de admitir VLAN. El enrutador etiqueta las tramas entrantes para que cuando lleguen al dispositivo
NetScreen, ste pueda dirigirlas a la subinterfaz correcta.
Aunque un vsys no puede estar en modo transparente, porque requiere direcciones IP de interfaz o subinterfaz
nicas, el sistema raz puede estar en modo transparente
11
. Para que el sistema raz pueda soportar VLANs
aunque funcione en modo transparente, se utiliza el siguiente comando CLI para permitir a las interfaces fsicas
vinculadas a las zonas de seguridad de capa 2 actuar como puertos troncales: set interface vlan1 vlan trunk .
Definicin de subinterfaces y etiquetas VLAN
La subinterfaz de la zona Trust-vsys_name conecta un vsys a su VLAN interna. La subinterfaz de la zona Untrust
conecta un vsys a la WAN pblica, normalmente la Internet. Una subinterfaz tiene los siguientes atributos:
Una nica ID VLAN (de 1 a 4095).
Una direccin IP pblica o privada
12
(la direccin IP es privada de forma predeterminada).
Una mscara de subred tipo A, B o C.
Una VLAN asociada.
Un vsys puede tener una nica subinterfaz de zona Untrust y varias subinterfaces de zona Trust-vsys_name. Si un
sistema virtual no tiene su propia subinterfaz de zona Untrust, comparte la interfaz de zona Untrust del nivel raz.
Los dispositivos NetScreen tambin admiten subinterfaces y VLANs en el nivel raz.
11. Cuando el sistema raz est en modo transparente, no admite sistemas virtuales. No obstante, s admite VLANs de nivel raz.
12. Para obtener ms informacin sobre direcciones IP pblicas y privadas, consulte Direcciones IP pblicas en la pgina 2 -68 y Direcciones IP privadas
en la pgina 2 -69.
Captulo 1 Sistemas virtuales Clasificacin del trfico segn VLAN
Juniper Networks NetScreen conceptos y ejemplos Volumen 9: Sistemas virtuales 25
El dispositivo NetScreen admite las etiquetas VLAN compatibles con IEEE 802.1Q. Una etiqueta es un aadido en
el encabezado de la trama Ethernet que indica su pertenencia a una VLAN particular. Al vincular una VLAN a un
vsys, la etiqueta tambin determina a qu vsys pertenece la trama, y por tanto, qu directiva se aplica a la trama. Si
la VLAN no est vinculada a un vsys, se aplica a la trama el conjunto de directivas del sistema raz del dispositivo
NetScreen.
Un administrador de nivel raz puede crear una VLAN, asignarle los elementos y vincularla a un vsys. (La
asignacin de elementos a la VLAN puede realizarse por varios mtodos, tipo de protocolo, direccin MAC, nmero
de puerto, y queda fuera del alcance de este documento). El administrador vsys, si existe, administra pues el vsys a
travs de la creacin de direcciones, usuarios, servicios, VPNs y directivas. Si no hay administrador vsys, entonces
un administrador de nivel raz realiza estas tareas.
Nota: Si el administrador de nivel raz no asocia una VLAN a un vsys, la VLAN opera dentro del sistema raz del
dispositivo NetScreen.
Internet
Raz
vsys1
vsys2
vsys100
if
sif
sif
sif
sif
sif
sif
sif
if
sif
sif
LAN
VLAN.1
VLAN.2
VLAN.3
VLAN.4
VLAN.5
VLAN.6
VLAN.292