Академический Документы
Профессиональный Документы
Культура Документы
www.juniper.net
Nmero de pieza: 093-1668-000-SP, Revisin B
Copyright Notice
Copyright 2005 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY. Writer: Kristine Conley Editor: Lisa Eldridge
ii
Contenido
Acerca de este volumen v Convenciones del documento .......................................................................... v Convenciones de la interfaz de lnea de comandos (CLI) .......................... vi Convenciones para las ilustraciones ........................................................ vii Convenciones de nomenclatura y conjuntos de caracteres ..................... viii Convenciones de la interfaz grfica (WebUI) ............................................ ix Documentacin de Juniper Networks ............................................................... x Captulo 1 Sistemas virtuales 1
Vista general .................................................................................................... 1 Objetos Vsys .................................................................................................... 3 Crear un objeto Vsys y administrador........................................................ 3 Establecer un enrutador virtual predeterminado para Vsys ....................... 5 Enlazar las zonas a un enrutador virtual compartido ................................. 5 Iniciar sesin como administrador Vsys........................................................... 6 Captulo 2 Clasificar el trfico 9
Vista general .................................................................................................... 9 Clasificar el trfico ..................................................................................... 9 Clasificar el trfico de trnsito .................................................................10 Interfaces compartidas y dedicadas......................................................... 14 Interfaces dedicadas ......................................................................... 14 Interfaces compartidas...................................................................... 15 Importar y exportar interfaces fsicas............................................................. 17 Importar una interfaz fsica a un sistema virtual...................................... 17 Exportar una interfaz fsica de un sistema virtual .................................... 18 Captulo 3 Clasificar el trfico segn VLAN 19
Vista general .................................................................................................. 19 VLAN ....................................................................................................... 20 VLANs con Vsys....................................................................................... 20 Definir subinterfaces y etiquetas VLAN .......................................................... 22 Comunicacin entre sistemas virtuales .......................................................... 25 Captulo 4 Clasificar el trfico segn IP 29
Vista general .................................................................................................. 29 Designar un rango IP al sistema raz .............................................................. 30 Configurar la clasificacin del trfico segn IP ............................................... 31 ndice ........................................................................................................................IX-I
Contenido
iii
iv
Contenido
significa establecer las opciones de administracin de la interfaz ethernet1, ethernet2 o ethernet3. Las variables aparecen en tipo cursiva.
set admin user nombre1 password xyz
En texto: Los comandos aparecen en tipo negrita. Las variables aparecen en tipo cursiva.
NOTA:
Para escribir palabras clave, basta con escribir los primeros caracteres que permitan al sistema reconocer de forma inequvoca la palabra que se est introduciendo. Por ejemplo, es suficiente escribir set adm u kath j12fmt54 para que el sistema reconozca el comando set admin user kathleen j12fmt54. Aunque este mtodo se puede utilizar para introducir comandos, en la presente documentacin todos ellos se representan con sus palabras completas.
vi
Sistema autnomo
Zona de seguridad
Equipo de escritorio
Interfaz de la zona de seguridad Blanca = Interfaz de zona protegida (ejemplo = zona Trust) Negra = Interfaz de zona externa (ejemplo = zona Untrust)
Equipo porttil
Interfaz de tnel
Servidor
Conmutador
vii
Cualquier espacio al comienzo o al final de una cadena entrecomillada se elimina; por ejemplo, local LAN se transformar en local LAN. Los espacios consecutivos mltiples se tratan como uno solo. En las cadenas de nombres se distingue entre maysculas y minsculas; por el contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente. Por ejemplo, local LAN es distinto de local lan. ScreenOS admite los siguientes conjuntos de caracteres: Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mltiples bytes (MBCS). Algunos ejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano y el japons. Caracteres ASCII desde el 32 (0x20 en notacin hexadecimal) al 255 (0xff); a excepcin de las comillas dobles ( ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
NOTA:
Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, segn el conjunto de caracteres que admita el explorador.
viii
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de dilogo apropiado, donde podr definir objetos y establecer parmetros de ajuste. El conjunto de instrucciones de cada tarea se divide en ruta de navegacin y ajustes de configuracin: La siguiente figura muestra la ruta al cuadro de dilogo de configuracin de direcciones con los siguientes ajustes de configuracin de muestra: Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: addr_1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust
Figura 3: Ruta de navegacin y ajustes de configuracin
ix
Captulo 1
Sistemas virtuales
Este captulo abarca los sistemas virtuales, objetos y tareas administrativas. Contiene los siguientes temas: Vista general en esta pgina Objetos Vsys en la pgina 3 Crear un objeto Vsys y administrador en la pgina 3 Establecer un enrutador virtual predeterminado para Vsys en la pgina 5 Enlazar las zonas a un enrutador virtual compartido en la pgina 5 Iniciar sesin como administrador Vsys en la pgina 6
Vista general
Se puede dividir lgicamente un sistema de seguridad de Juniper Networks nico en varios sistemas virtuales para proporcionar servicios a mltiples usuarios independientes (multi-tenant). Cada sistema virtual (vsys) es un dominio de seguridad nico y puede ser administrado por sus propios administradores (denominados administradores de sistema virtual o administradores vsys) quienes pueden personalizar su dominio de seguridad estableciendo sus propios libros de direcciones, listas de usuarios, servicios personalizados, VPN y directivas. Sin embargo, nicamente un administrador de nivel raz puede establecer opciones de seguridad de cortafuegos, crear administradores de sistema virtual y definir interfaces y subinterfaces.
NOTA:
Para ver qu plataformas tienen esta funcionalidad hay que remitirse a la documentacin de marketing de Juniper Networks. Para obtener ms informacin sobre los diversos niveles de administracin que admite ScreenOS, consulte Niveles de administracin en la pgina 3-31. Los sistemas virtuales de Juniper Networks admiten dos tipos de clasificaciones del trfico: segn la VLAN y segn la IP; ambas pueden funcionar concurrentemente o en modo exclusivo.
Vista general
Un vsys admite los siguientes tres tipos de interfaces para sus zonas Untrust y Trust:
Tipos de interfaces de la zona Untrust
Interfaz fsica especializada Subinterfaz (con el etiquetado VLAN como un medio para entroncar1 trfico entrante y saliente) Interfaz compartida (fsica, subinterfaz, interfaz redundante, interfaz agregada) con el sistema raz
Interfaz fsica compartida con el sistema raz (y clasificacin2 del trfico segn IP)
1.Para obtener informacin sobre los conceptos de etiquetado VLAN y entroncamiento, consulte Clasificar el trfico segn VLAN en la pgina 19. 2.Para obtener ms informacin sobre la clasificacin del trfico segn la IP, consulte Clasificar el trfico segn IP en la pgina 29.
Se puede vincular uno, dos o los tres tipos de interfaces antes mencionados a una zona de seguridad concurrentemente. Se pueden tambin vincular varias interfaces de cada tipo a una zona.
Figura 4: Enlaces de zona e interfaz con Vsys
trust-vr untrust-vr (enrutador virtual a nivel de raz compartido) Finance DMZ
Mail interfaz compartida por raz y vsys1 Untrust vsys1 subinterfaz dedicada a vsys2 vsys2 vsys3 Interfaz fsica dedicada para vsys3
Trust
Eng
sistema raz
vsys1-vr Trust-vsys1
vsys2-vr Trust-vsys2
vsys3-vr Trust-vsys3
Vista general
Objetos Vsys
El administrador raz o administrador de lectura/escritura de nivel raz debe realizar las siguientes tareas para crear un objeto vsys: Definir un sistema virtual Definir uno o ms administradores vsys (opcional)
NOTA:
Un administrador de nivel raz puede definir un administrador vsys con privilegios de lectura/escritura y un administrador vsys con privilegios de slo lectura por vsys. Seleccionar el enrutador virtual que se quiera que utilice el vsys para sus zonas Trust-vsysname, Untrust-Tun-vsysname y Global-vsysname Despus de crear un objeto vsys, es necesario realizar, como administrador de nivel raz, otras configuraciones para convertirlo en un vsys funcional. Se deben configurar subinterfaces o interfaces para el vsys y probablemente enrutadores virtuales compartidos y zonas de seguridad compartidas. Las siguientes configuraciones dependen de si el vsys est destinado a clasificaciones del trfico segn VLAN o segn IP o una combinacin de ambas. Tras completar estas configuraciones, se puede salir del sistema virtual y permitir que un administrador vsys, si est definido, acceda y comience a configurar direcciones, usuarios, servicios, VPNs, rutas y directivas.
NOTA:
Slo un administrador de nivel raz puede crear un perfil de administrador vsys (nombre de usuario y contrasea). Ya que el dispositivo de seguridad utiliza los nombres de usuario para determinar el vsys al cual pertenece el usuario, el administrador del vsys no puede cambiar los nombres de usuario. Sin embargo, los administradores del vsys pueden (y deben) cambiar sus contraseas. Los nombres de los vsys, de los administradores y de las contraseas distinguen maysculas y minsculas. Vsys abc es distinto de vsys ABC. Para vsys1 y vsys2, se utiliza el enrutador virtual predeterminado. Para vsys3, se escoge el untrust-vr de nivel raz compartible. Tras crear un vsys mediante la WebUI, se permanece en el nivel raz. Introducir el recin creado vsys requiere un paso ms: Vsys: Haga clic en Enter (para el sistema virtual que se desee introducir).
Objetos Vsys
Aparecen las pginas WebUI del sistema introducido, con el nombre del vsys encima de la parte central de la imagen, Vsys:Nombre. Cuando se crea un vsys mediante la CLI, inmediatamente se entra al sistema recin creado. (Para entrar a un vsys existente en el nivel raz, utilice el comando enter vsys cadena_nombre). Cuando se introduce un vsys, la entradilla (prompt) del comando CLI cambia para incluir el nombre del sistema en el que ahora se ejecutan los comandos. WebUI
1. Vsys1:
Vsys > New: Introduzca los siguientes datos y haga clic en OK:
Vsys Name: vsys1 Vsys Admin Name: Alice Vsys Admin New Password: wIEaS1v1 Confirm New Password: wIEaS1v1 Virtual Router: Create a default virtual router: (seleccione)
2. Vsys2:
Vsys > New: Introduzca los siguientes datos y haga clic en OK:
Vsys Name: vsys2 Vsys Admin Name: Bob Vsys Admin New Password: pjF56Ms2 Confirm New Password: pjF56Ms2 Virtual Router: Create a default virtual router: (seleccione)
3. Vsys3:
Vsys > New: Introduzca los siguientes datos y haga clic en OK:
Vsys Name: vsys3 Virtual Router: Select an existing virtual router: (seleccione), untrust-vr
CLI
1. Vsys1:
ns-> set vsys vsys1 ns(vsys1)-> set admin name Alice ns(vsys1)-> set admin password wIEaS1v1 ns(vsys1)-> save ns(vsys1)-> exit NOTA:
Tras ejecutar los comandos, se debe ejecutar un comando save antes del comando exit o el dispositivo de seguridad perder los cambios.
2. Vsys2:
ns-> set vsys vsys2 ns(vsys2)-> set admin name Bob ns(vsys2)-> set admin password pjF56Ms2 ns(vsys2)-> save ns(vsys2)-> exit 4
Objetos Vsys
3.
Vsys3:
Esta versin de ScreenOS admite enrutadores virtuales definidos por el usuario dentro de un sistema virtual.
NOTA:
Para obtener ms informacin sobre cada uno de estos tipos de zonas, consulte Zonas en la pgina 2-25. Cada vsys puede soportar tambin zonas de seguridad adicionales definidas por el usuario. Se pueden vincular estas zonas a cualquiera de los enrutadores virtuales compartidos definidos en el nivel raz o al enrutador virtual dedicado a este vsys. Para crear una zona de seguridad para un vsys denominado vsys1, utilice cualquiera de los siguientes procedimientos: WebUI Vsys > Enter (para vsys1) Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: (escriba un nombre para la zona) Virtual Router Name: (seleccione un enrutador virtual de la lista desplegable) Zone Type: Layer 3
CLI
ns-> enter vsys vsys1 ns(vsys1)-> set zone name name_str ns(vsys1)-> set zone vrouter vrouter ns(vsys1)-> save
El nmero mximo de zonas de seguridad que un vsys o el sistema raz puede contener est limitado slo por el nmero de zonas de seguridad disponibles en el nivel de dispositivo. Un nico vsys puede consumir todas las zonas de seguridad disponibles si el administrador raz o un administrador de lectura/escritura de nivel raz las asigna todas a ese vsys en concreto. A la inversa, si todos los sistemas virtuales comparten zonas de seguridad de nivel raz y no utilizan ninguna zona de nivel vsys definida por el usuario, entonces todas las zonas de seguridad estn disponibles para uso de nivel raz.
NOTA:
El nmero total de zonas de seguridad definidas por el usuario (o personalizadas) en el nivel de dispositivo es la suma del nmero de zonas personalizadas de nivel raz, definidas por una o ms claves de licencia de zona y el nmero de zonas personalizadas permitidas por la clave de licencia de vsys.
En este ejemplo, un administrador vsys accede al vsys1 introduciendo su nombre de inicio de sesin jsmith y contrasea Pd50iH10 asignados. Cambia la contrasea a I6Dls13guh y finaliza la sesin.
NOTA:
Los administradores de vsys no pueden cambiar sus nombres de inicio de sesin (nombres de usuario) ya que el dispositivo de seguridad utiliza esos nombres, que debern ser nicos entre todos los administradores del vsys, para enrutar la conexin de inicio de sesin al vsys apropiado. WebUI
1. Inicio de sesin
En el campo URL del explorador, introduzca la direccin IP de la interfaz de la zona Untrust para vsys1. Cuando aparezca el cuadro de dilogo Network Password, introduzca los datos siguientes y haga clic en OK:
User Name: jsmith Password: Pd50iH10
2. Cambio de contrasea
Configuration > Admin > Administrators: Introduzca los siguientes datos y haga clic en OK:
Vsys Admin Old Password: Pd50iH10 Vsys Admin New Password: I6Dls13guh Confirm New Password: I6Dls13guh
3. Finalizacin de la sesin
Haga clic en Logout, situado en la parte inferior de la columna del men. CLI
1. Inicio de sesin
Desde la particin de informacin de la lnea de comandos de una sesin de Secure Command Shell (SCS), Telnet o HyperTerminal, se introduce la direccin IP de la interfaz de la zona Untrust de vsys1. Acceda con los siguientes nombres de usuario y contrasea: User Name: jsmith Password: Pd50iH10
2. Cambio de contrasea
exit
Captulo 2
Clasificar el trfico
Este captulo explica cmo ScreenOS ordena el trfico. Contiene las siguientes secciones: Vista general en esta pgina Clasificar el trfico en la pgina 9 Clasificar el trfico de trnsito en la pgina 10 Interfaces compartidas y dedicadas en la pgina 14 Importar y exportar interfaces fsicas en la pgina 17 Importar una interfaz fsica a un sistema virtual en la pgina 17 Exportar una interfaz fsica de un sistema virtual en la pgina 18
Vista general
ScreenOS debe clasificar cada paquete que recibe para su entrega al sistema virtual (vsys) apropiado. Un dispositivo de seguridad recibe dos tipos de trfico de usuario, que clasifica de dos formas diferentes: Trfico destinado a una direccin IP dentro del mismo sistema, como trfico de VPN encriptado y trfico destinado a un MIP o VIP Trfico destinado a una direccin IP fuera del dispositivo
Clasificar el trfico
Para el trfico destinado a un objeto (VPN, MIP o VIP) del sistema de seguridad, ste determina el vsys al que pertenece el trfico mediante la asociacin del objeto con el vsys en el que se configur.
Vista general
Puesto que el objeto VPN se configur en el vsys1, el trfico enviado para dicho objeto pertenece al vsys1. Puesto que el objeto MIP se configur en el vsys2, el trfico enviado para dicho objeto pertenece al vsys2. Puesto que el objeto VIP se configur en el vsys3, el trfico enviado para dicho objeto pertenece al vsys3.
El trfico entrante tambin puede llegar al vsys a travs de tneles VPN; sin embargo, si la interfaz de salida es una interfaz compartida, no se puede crear un tnel VPN AutoKey IKE para un vsys y el sistema raz hacia el mismo punto remoto.
NOTA:
El etiquetado VLAN requiere el uso de subinterfaces. Una subinterfaz debe estar dedicada a un sistema, en contraste con una interfaz compartida, que es compartida por todos los sistemas.
1. Clasificacin del trfico por interfaz de entrada/IP de origen
NOTA:
Para obtener ms informacin sobre interfaces dedicadas y compartidas, consulte Interfaces compartidas y dedicadas en la pgina 14. a. Si la interfaz de salida est dedicada a un vsys (por ejemplo v-i), el dispositivo de seguridad asocia el trfico con el sistema al que est dedicada la interfaz. Si la interfaz de entrada es compartida, el dispositivo de seguridad utiliza la clasificacin por IP para comprobar si la direccin IP de origen est asociada a un vsys en concreto. Si la direccin IP de origen no est asociada a un vsys en concreto, la clasificacin por IP de entrada falla.
b.
10
Vista general
Si la direccin IP de origen est asociada a un vsys en concreto, la clasificacin por IP de entrada tiene xito.
Figura 6: Paso 1: Clasificacin del trfico de IP de origen e interfaz de entrada
Comprobar la interfaz de entrada
Interfaz compartida?
No
No
Asociar paquete con vsys IP clasificado (v-i) * El protocolo de autenticacin extensible sobre LAN (EAPOL) es un protocolo descrito en IEEE 802.1X. Se cre para encapsular los mensajes EAP para transportar a travs de la red de rea local.
2.
El dispositivo de seguridad comprueba si la interfaz de salida es compartida o dedicada. a. Si la interfaz de salida est dedicada a un vsys (por ejemplo v-e), el dispositivo de seguridad asocia el trfico con el sistema al que est dedicada la interfaz. Si la interfaz de salida es compartida, el dispositivo de seguridad utiliza la clasificacin por IP para comprobar si la direccin IP de destino est asociada a un vsys en concreto. Si la direccin IP de destino no est asociada a un vsys en concreto, la clasificacin por IP de salida falla.
b.
Vista general
11
Si la direccin IP de destino est asociada a un vsys en concreto, la clasificacin por IP de salida tiene xito.
Figura 7: Paso 2: Clasificacin del trfico por interfaz de salida/IP de destino
Comprobar intefaz de salida
Interfaz compartida?
No
No
Asociar el paquete con vsys IP clasificado (v-e) * El protocolo de autenticacin extensible sobre LAN (EAPOL) es un protocolo descrito en IEEE 802.1X. Se cre para encapsular los mensajes EAP para transportar a travs de la red de rea local.
3.
Basndose en el resultado de las clasificaciones del trfico segn la interfaz de entrada/IP de origen (E/O) o la interfaz de salida/IP de destino (S/D), el dispositivo de seguridad determina el vsys al que corresponde el trfico. a. Si la clasificacin del trfico E/O tiene xito, pero la clasificacin del trfico S/D falla, el dispositivo de seguridad utiliza el conjunto de directivas y la tabla de rutas del vsys asociados a la interfaz de entrada o a la direccin IP de origen (un vsys llamado v-e, por ejemplo). La clasificacin del trfico E/O es particularmente til cuando se permite trfico saliente desde un vsys hacia una red pblica como Internet.
12
Vista general
b.
Si la clasificacin del trfico S/D tiene xito, pero la clasificacin del trfico E/D falla, el dispositivo de seguridad utiliza el conjunto de directivas y la tabla de rutas del vsys asociado a la interfaz de salida o a la direccin IP de destino (un vsys llamado v-s, por ejemplo). La clasificacin del trfico S/D es particularmente til cuando se acepta trfico entrante para uno o ms servidores de un vsys procedente de una red pblica como Internet.
c.
Si ambas clasificaciones tienen xito y los sistemas virtuales asociados son los mismos, el dispositivo de seguridad utiliza el conjunto de directivas y la tabla de rutas de ese vsys. Se pueden utilizar ambas clasificaciones del trfico E/O y S/D para permitir trfico desde direcciones especficas en una zona a direcciones especficas en otra zona del mismo vsys.
d. Si ambas clasificaciones tienen xito, los sistemas virtuales asociados son distintos y las interfaces estn vinculadas a la misma zona de seguridad compartida, el dispositivo de seguridad utiliza primero el conjunto de directivas y la tabla de rutas del vsys E/O, y despus los del vsys S/D. ScreenOS admite trfico intrazonal entre vsys cuando el trfico tiene lugar en la misma zona compartida. El dispositivo de seguridad aplica primero el conjunto de directivas y la tabla de rutas de v-e, devuelve el trfico a la interfaz Untrust y despus aplica el conjunto de directivas y la tabla de rutas de v-s. Este trfico intrazonal sera el normal en una sola empresa que utilizase una zona interna compartida con distintos sistemas virtuales para distintos departamentos internos y quisiera permitir el trfico entre los diferentes departamentos. e. Si ambas clasificaciones tienen xito, los sistemas virtuales asociados son diferentes y las interfaces estn vinculadas a distintas zonas de seguridad, el dispositivo de seguridad descarta el paquete.
NOTA:
ScreenOS no admite trfico interzonal entre vsys entre zonas de seguridad compartidas. No puede utilizar una zona personalizada en lugar de la zona Untrust. f. Si ambas clasificaciones tienen xito, los sistemas virtuales asociados son diferentes y las interfaces de entrada y salida estn vinculadas a zonas dedicadas a distintos sistemas virtuales, el dispositivo de seguridad aplica primero el conjunto de directivas y la tabla de rutas del v-e. Despus devuelve el trfico a la interfaz Untrust y aplica el conjunto de directivas y la tabla de rutas del v-s. (Consulte Comunicacin entre sistemas virtuales en la pgina 25). ScreenOS admite trfico interzonal entre vsys entre zonas de seguridad dedicadas. g. Si ambas clasificaciones fallan, el dispositivo de seguridad descarta el paquete.
Vista general
13
No
No
Descartar paquete
No
Mismo vsys?
No
Zona compartida?
No
Aplicar el conjunto de directivas y la tabla de rutas del vsys v-e y despus los del v-s.
Trfico intrazonal?
No
Descartar paquete
Aplicar el conjunto de directivas y la tabla de rutas v-i de vsys y luego aplicar el conjunto de directivas y la tabla de rutas v-e de vsys * El protocolo de autenticacin extensible sobre LAN (EAPOL) es un protocolo descrito en IEEE 802.1X. Se cre para encapsular los mensajes EAP para transportar a travs de la red de rea local.
Interfaces dedicadas
Un sistema, virtual o raz, puede tener varias interfaces o subinterfaces dedicadas exclusivamente a su uso particular. Estas interfaces no pueden ser compartidas por otros sistemas.
14
Vista general
Se puede hacer que una interfaz est dedicada a un sistema como se indica a continuacin: Cuando se configura una interfaz fsica, subinterfaz, interfaz redundante o interfaz agregada en el sistema raz y se vincula a una zona no compartible, la interfaz queda dedicada al sistema raz. Cuando se importa una interfaz fsica o agregada a un vsys y se vincula a una zona Untrust compartida o a la zona Trust-vsys_name, dicha interfaz pasa a ser dedicada al vsys. Cuando se configura una subinterfaz en un vsys, pertenece al vsys.
NOTA:
Cuando un sistema tiene una subinterfaz dedicada, el dispositivo de seguridad debe emplear la clasificacin del trfico segn VLAN para distribuir adecuadamente el trfico entrante.
Interfaces compartidas
Un sistema, virtual o raz, puede compartir una interfaz con otro sistema. Para que una interfaz pueda ser compartida, se debe configurar en el nivel raz y vincularla a una zona compartida de un enrutador virtual compartido. De forma predeterminada, el VR predefinido untrust-vr es un enrutador virtual compartido y la zona predefinida Untrust es una zona compartida. Por consiguiente, un vsys puede compartir cualquier interfaz fsica, subinterfaz, interfaz redundante o interfaz agregada del nivel raz que se vincule a la zona Untrust. Para crear una interfaz compartida en una zona distinta de la zona Untrust, se debe definir la zona como compartida en el nivel raz. Para ello, la zona debe estar en un enrutador virtual compartido, como el untrust-vr u otro enrutador virtual de nivel raz que se defina como compartible. Despus, cuando se vincula una interfaz de nivel raz a la zona compartida, automticamente pasa a ser una interfaz compartida.
NOTA:
Para que est disponible la opcin de zona compartida, el dispositivo de seguridad debe operar en la capa 3 (modo de ruta), lo que significa que se debe asignar previamente una direccin IP al menos a una interfaz de nivel raz. Para crear un enrutador virtual, es necesario obtener una clave de licencia vsys, que capacita para definir sistemas virtuales, enrutadores virtuales y zonas de seguridad para su uso en un vsys o en el sistema raz. Un enrutador virtual compartido admite zonas de seguridad de nivel raz compartibles y no compartibles. Se puede definir una zona de nivel raz vinculada a un enrutador virtual compartido como compartible o no. Cualquier zona de nivel raz que se vincule a un enrutador virtual compartido y se defina como compartible pasa a ser una zona compartida, disponible para ser utilizada tambin por otros sistemas virtuales.
Vista general
15
Cualquier zona de nivel raz que se vincule a un enrutador virtual compartido y se defina como no compartible permanece como una zona dedicada para uso exclusivo del sistema raz. Si se vincula una zona de nivel vsys al enrutador virtual dedicado a ese vsys o a un enrutador virtual compartido creado en el sistema raz, la zona permanece como zona dedicada, disponible para uso exclusivo del vsys para el que se cre. Una zona compartida admite interfaces compartidas y dedicadas. Cualquier interfaz de nivel raz que se vincule a una zona compartida pasa a ser una interfaz compartida, disponible para ser utilizada tambin por los sistemas virtuales. Cualquier interfaz de nivel vsys que se vincule a una zona compartida permanece como interfaz dedicada, disponible slo para uso del vsys para el que se cre. Una zona no compartible slo puede ser utilizada por el sistema en el que se cre y slo admite interfaces dedicadas para dicho sistema. Todas las zonas de nivel vsys son no compartibles. Para crear una interfaz compartida, se debe crear un enrutador virtual compartido (o utilizar el predefinido untrust-vr), crear un zona de seguridad compartida (o utilizar la zona predefinida Untrust) y despus vincular la interfaz a la zona compartida. Se pueden realizar los tres pasos en el sistema raz. Las opciones de la WebUI y la CLI son las siguientes:
1. Para crear un enrutador virtual compartido:
WebUI
Network > Routing > Virtual Routers > New: Seleccione la opcin Shared and accessible by other vsys y haga clic en Apply.
CLI
(No se puede modificar un enrutador virtual compartido para hacerlo no compartido a menos que primero se borren todos los sistemas virtuales. Sin embargo, se puede cambiar un enrutador virtual de no compartido a compartido cuando se desee).
2. Para crear una zona compartida, proceda como se indica a continuacin en el nivel raz:
WebUI
NOTA:
En el momento de publicar esta versin, slo se puede definir una zona compartida mediante CLI.
CLI
set zone name name_str set zone zone vrouter sharable_vr_name_str set zone zone shared
16
Vista general
3.
Para crear una interfaz compartida, proceda como se indica a continuacin en el nivel raz:
WebUI
Network > Interfaces > New (o Edit para una interfaz que ya existe): Configure la interfaz y vinclela a una zona compartida, a continuacin haga clic en OK.
CLI
Cuando dos o ms sistemas virtuales comparten una interfaz, el dispositivo de seguridad debe emplear la clasificacin del trfico segn IP para distribuir adecuadamente el trfico entrante. (Para obtener ms informacin sobre la clasificacin del trfico segn IP, incluyendo un ejemplo que muestre cmo configurarlo para varios vsys, consulte Clasificar el trfico segn IP en la pgina 29.)
NOTA:
Antes de poder importar una interfaz a un sistema virtual, debe estar en la zona Null en el nivel raz.
Network > Interfaces: Haga clic en Import (para ethernet4/1). Network > Interfaces > Edit (para ethernet4/1): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust IP Address/Netmask: 1.1.1.1/24
3. Salir de vsys1
Haga clic en el botn Exit Vsys (en la parte inferior de la columna de men) para volver al nivel raz. CLI
1. Introducir vsys1
17
2.
ns(vsys1)-> set interface ethernet4/1 import ns(vsys1)-> set interface ethernet4/1 zone untrust ns(vsys1)-> set interface ethernet4/1 ip 1.1.1.1/24 ns(vsys1)-> save
3. Salir de vsys1
ns(vsys1)-> exit
Network > Interfaces > Edit (para ethernet4/1): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Null IP Address/Netmask: 0.0.0.0/0
Network > Interfaces: Haga clic en Export (para ethernet4/1). (La interfaz ethernet4/1 est disponible ahora para su uso en el sistema raz o en otro vsys).
3. Salir de vsys1
Haga clic en el botn Exit Vsys (en la parte inferior de la columna de men) para volver al nivel raz. CLI
1. Introducir vsys1
ns(vsys1)-> unset interface ethernet4/1 ip ns(vsys1)-> unset interface ethernet4/1 zone ns(vsys1)-> unset interface ethernet4/1 import This command will remove all objects associated with interface, continue? y/[n] y ns(vsys1)-> save
(La interfaz ethernet4/1 est disponible ahora para su uso en el sistema raz o en otro vsys).
3. Salir de vsys1
ns(vsys1)-> exit
18
Captulo 3
Vista general
Con la clasificacin del trfico segn VLAN, un dispositivo de seguridad utiliza el etiquetado VLAN para dirigir el trfico a las diversas subinterfaces vinculadas a los diferentes sistemas. De forma predeterminada, un vsys tiene dos zonas de seguridad, una zona Untrust compartida y su propia zona Trust. Cada vsys puede compartir la interfaz de la zona Untrust con el sistema raz y con otros sistemas virtuales. Un vsys puede tambin tener su propia subinterfaz o una interfaz fsica dedicada (importada del sistema raz) vinculada a la zona Untrust.
NOTA:
ScreenOS admite VLANs compatibles con la norma IEEE 802.1Q VLAN. Se puede dedicar una interfaz fsica a un sistema virtual importndola del sistema raz al sistema virtual. (Consulte Importar y exportar interfaces fsicas en la pgina 17). Cuando se utilizan interfaces fsicas, el etiquetado VLAN no es necesario para el trfico en dicha interfaz.
Vista general
19
VLAN
La Figura 9 muestra las clases de trfico de VLAN. Cada VLAN se une a un sistema a travs de una subinterfaz. Si un vsys comparte la interfaz de la zona Untrust con el sistema raz y tiene una subinterfaz vinculada a su zona Trust-vsys_name, el vsys debe asociarse a una VLAN en la zona Trust-vsys_name. Si el vsys tambin tiene su propia subinterfaz vinculada a la zona Untrust, el vsys debe tambin asociarse a otra VLAN en la zona Untrust.
Figura 9: Clases de trfico de VLAN
Conmutador compatible con VLAN interno
A la VLAN1 (vsys1) A la VLAN2 (vsys2) A la VLAN3 (vsys3) Zonas Trust por vsys y enrutadores virtuales por
UNTRUST-VR RAZ Zona Untrust compartida VSYS1 Internet VSYS2 VSYS3 Nota: Todos los sistemas virtuales se muestran compartiendo la interfaz de la zona Untrust. Tambin pueden tener su propia subinterfaz o interfaz fsica dedicada. Trustvsys3 vlan2 Trustvsys2 vlan1 Trustvsys1
vsys1-vr
vsys2-vr
vsys3-vr
vlan3
Una subinterfaz procede de una interfaz fsica, que acta como un puerto troncal. Un puerto troncal permite a un dispositivo de red de capa 2 agrupar trfico de varias VLAN por un nico puerto fsico, clasificando los paquetes por la identidad de VLAN (VID) de los encabezados de las tramas. El entroncamiento VLAN permite a una interfaz fsica soportar varias subinterfaces lgicas, cada una de las cuales debe identificarse por una nica etiqueta VLAN. El identificador de VLAN (etiqueta) de una trama ethernet entrante indica su correspondiente subinterfaz y por tanto el sistema de destino. Cuando se asocia una VLAN con una interfaz o subinterfaz, el dispositivo de seguridad automticamente define el puerto fsico como un puerto troncal. Cuando se utilizan VLAN en el nivel raz en modo Transparente, se deben definir manualmente todos los puertos fsicos como puertos troncales con el siguiente comando CLI: set interface vlan1 vlan trunk.
20
Vista general
Cuando un vsys utiliza una subinterfaz (no una interfaz compartida o una interfaz fsica dedicada) vinculada a la zona Untrust compartida, el conmutador y el enrutador externos que reciben su trfico entrante y saliente deben ser capaces de admitir VLAN. El enrutador etiqueta las tramas entrantes para que cuando lleguen al dispositivo de seguridad, ste pueda dirigirlas a la subinterfaz correcta. Aunque un vsys no puede estar en modo transparente, porque requiere direcciones IP de interfaz o subinterfaz nicas, el sistema raz puede estar en modo transparente. Para que el sistema raz pueda soportar VLANs an operando en modo transparente, se utiliza el siguiente comando CLI para permitir a las interfaces fsicas vinculadas a las zonas de seguridad de capa 2 actuar como puertos troncales: set interface vlan1 vlan trunk. Consulte Figura 10 para obtener un ejemplo de una VLAN con vsys. Hay tres tareas que un administrador de nivel raz debe realizar para crear una VLAN para un vsys: 1. Entre en un vsys. 2. Defina una subinterfaz. 3. Asocie el vsys con una VLAN.
Figura 10: Ejemplo de VLANs con Vsys
Zona Untrust (Compartida) Dispositivos compatibles VLAN Enrutadores externos Conmutador externo Conmutador interno Enrutadores internos LAN Zona Trust (raz) vlan1 Zona Trust-vsys1
Internet
Zona Trust-vsys2
Nota: Un vsys puede compartir enrutadores con el sistema raz o utilizar los suyos propios. Los conmutadores externo e interno deben ser compatibles VLAN si los sistemas virtuales tienen subinterfaces vinculadas a las zonas Untrust y Trust-vsys_name .
NOTA:
Cuando el sistema raz est en modo transparente, no admite sistemas virtuales. No obstante, s admite VLAN de nivel raz, en modo transparente.
Vista general
21
NOTA:
Para obtener ms informacin sobre direcciones IP pblicas y privadas, consulte Direcciones IP pblicas en la pgina 2-55 y Direcciones IP privadas en la pgina 2-56. Un vsys puede tener una nica subinterfaz de zona Untrust y subinterfaces de zona multiple Trust-vsys_name. Si un sistema virtual no tiene su propia subinterfaz de zona Untrust, comparte la interfaz de zona Untrust del nivel raz. Los dispositivos de seguridad tambin admiten subinterfaces, las VLAN a nivel raz y las etiquetas VLAN que cumplen con IEEE 802.1Q.
Raz
vsys1 vsys2
sif
vsys100
sif
VLAN.292
Una etiqueta de VLAN es un bit aadido en el encabezado de la trama Ethernet que indica su pertenencia a una VLAN particular. Al vincular una VLAN a un vsys, la etiqueta tambin determina a qu vsys pertenece la trama, y por tanto, qu directiva se aplica a la trama. Si la VLAN no est vinculada a un vsys, se aplica a la trama el conjunto de directivas del sistema raz del dispositivo de seguridad.
22
Un administrador de nivel raz puede crear una VLAN, asignarle los elementos y vincularla a un vsys. La asignacin de elementos a la VLAN puede realizarse por varios mtodos (tipo de protocolo, direccin MAC, nmero de puerto), y queda fuera del mbito de este documento. El administrador vsys, si existe, administra pues el vsys a travs de la creacin de direcciones, usuarios, servicios, VPNs y directivas. Si no hay administrador vsys, entonces un administrador de nivel raz realiza estas tareas.
NOTA:
Si el administrador de nivel raz no asocia una VLAN a un vsys, la VLAN opera dentro del sistema raz del dispositivo de seguridad.
Todas las subredes de un vsys deben ser inconexas; esto es, no debe haber direcciones IP superpuestas entre las subredes del mismo vsys. Por ejemplo: la subinterfaz1 (10.2.2.1 255.255.255.0) y la subinterfaz2 (10.2.3.1 255.255.255.0) son inconexas y enlazan con subredes admisibles. Sin embargo, las subredes con las siguientes subinterfaces se superponen y no son admisibles dentro del sistema vsys: subinterfaz1 (10.2.2.1 255.255.0.0) y subinterfaz2 (10.2.3.1 255.255.0.0). Los rangos de direcciones de las subredes de diferentes vsys pueden superponerse. En este ejemplo, se definen las subinterfaces y las etiquetas VLAN para los tres sistemas virtuales creados en Crear un objeto Vsys y administrador en la pgina 3: vsys1, vsys2 y vsys3. Las dos primeras subinterfaces son para dos sistemas virtuales privados que operan en modo NAT y la tercera subinterfaz para un sistema virtual pblico que opera en modo de ruta. Las subinterfaces son 10.1.1.1/24, 10.2.2.1/24 y 1.3.3.1/24. Las tres subinterfaces se crearn en ethernet3/2. Los tres sistemas virtuales comparten la zona Untrust y su interfaz (ethernet1/1; 1.1.1.1/24) con el sistema raz. La zona Untrust est en el dominio de enrutamiento de untrust-vr. WebUI
1. Subinterfaz y etiqueta VLAN para vsys1
Vsys: Haga clic en Enter (para vsys1). Network > Interfaces > New Sub-IF (para ethernet3/2): Introduzca los siguientes datos y haga clic en OK:
Interface Name: ethernet3/2.1 Zone Name: Trust-vsys1 IP Address/Netmask: 10.1.1.1/24 VLAN Tag: 1 NOTA:
Se pueden definir sistemas virtuales para operar en modo de ruta o en modo NAT. El modo NAT es el predeterminado y no es necesario especificarlo al crear las dos primeras subinterfaces en este ejemplo.
23
2.
Vsys: Haga clic en Enter (para vsys2). Network > Interfaces > New Sub-IF (para ethernet3/2): Introduzca los siguientes datos y haga clic en OK:
Interface Name: ethernet3/2.2 Zone Name: Trust-vsys2 IP Address/Netmask: 10.2.2.1/24 VLAN Tag: 2
3. Subinterfaz y etiqueta VLAN para vsys3
Vsys: Haga clic en Enter (para vsys3). Network > Interfaces > New Sub-IF (para ethernet3/2): Introduzca los siguientes datos y haga clic en Apply:
Interface Name: ethernet3/2.3 Zone Name: Trust-vsys3 IP Address/Netmask: 1.3.3.1/24 VLAN Tag: 3
Seleccione Interface Mode: Route, luego haga clic en OK. Haga clic en Exit Vsys para volver al nivel raz. CLI
1. Subinterfaz y etiqueta VLAN para vsys1
ns-> enter vsys vsys1 ns(vsys1)-> set interface ethernet3/2.1 zone trust-vsys1 ns(vsys1)-> set interface ethernet3/2.1 ip 10.1.1.1/24 tag 1 ns(vsys1)-> save ns(vsys1)-> exit NOTA:
Se pueden definir sistemas virtuales para operar en modo de ruta o en modo NAT. El modo NAT es el predeterminado y no es necesario especificarlo al crear las dos primeras subinterfaces en este ejemplo.
2. Subinterfaz y etiqueta VLAN para vsys2
ns-> enter vsys vsys2 ns(vsys2)-> set interface ethernet3/2.2 zone trust-vsys2 ns(vsys2)-> set interface ethernet3/2.2 ip 10.2.2.1/24 tag 2 ns(vsys2)-> save ns(vsys2)-> exit
3. Subinterfaz y etiqueta VLAN para vsys3
ns-> enter vsys vsys3 ns(vsys3)-> set interface ethernet3/2.3 zone trust-vsys3 ns(vsys3)-> set interface ethernet3/2.3 ip 1.3.3.1/24 tag 3 ns(vsys3)-> set interface ethernet3/2.3 route ns(vsys3)-> save ns(vsys3)-> exit
24
NOTA:
Los conjuntos de directivas del sistema raz en los sistemas virtuales no se afectan entre s. En este ejemplo, los administradores de vsys1 y vsys2 (consulte Definir subinterfaces y etiquetas VLAN en la pgina 22) configuran directivas para habilitar el trfico entre una estacin de trabajo (work_js con direccin IP 10.1.1.10/32) en VLAN 1 y un servidor (ftp_server con la direccin IP 10.2.2.20/32) en VLAN 2. La conexin es posible si se cumplen las dos condiciones siguientes: El administrador vsys de vsys1 ha configurado una directiva que permite el trfico desde la estacin de trabajo en Trust-vsys1 hacia el servidor en su zona Untrust. El administrador vsys de vsys2 ha configurado una directiva que permite el trfico desde la estacin de trabajo en su zona Untrust hacia el servidor en Trust-vsys2. Tenga en cuenta que el dispositivo de red frente a la interfaz interna del dispositivo de seguridad es un conmutador de capa 2. Esto obliga al trfico desde VLAN 1 hacia VLAN 2 a pasar por el conmutador hacia el dispositivo de seguridad para el enrutamiento de capa 3. Si el dispositivo de red fuera un enrutador de capa 3, el trfico entre VLAN1 y VLAN2 podra pasar por el enrutador, ignorando todas las directivas del dispositivo de seguridad. Los administradores de vsys1 y vsys2 tambin configuran las rutas correspondientes. La zona compartida Untrust est en el untrust-vr y las zonas Trust en vsys1 y vsys2.
25
WebUI
1. Vsys1
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: work_js IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.10/32 Zone: Trust-vsys1
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: ftp_server IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.20/32 Zone: Untrust
Rutas
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address / Netmask: 10.1.1.0/24 Next Hop Virtual Router Name: (seleccione); vsys1-vr
Network > Routing > Routing Entries > vsys1-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0 Gateway: (seleccione) Next Hop Virtual Router Name: (seleccione); untrust-vr
26
Directivas
Policies > (From: Trust-vsys1, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), work_js Destination Address: Address Book Entry: (seleccione), ftp_server Service: FTP-Get Action: Permit
2. Vsys2
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: ftp_server IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.2/032 Zone: Trust-vsys2
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: work_js IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.10/32 Zone: Untrust
Rutas
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address / Netmask: 10.2.2.0/24 Next Hop Virtual Router Name: (seleccione); vsys2-vr
Network > Routing > Routing Entries > vsys2-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0 Next Hop Virtual Router Name: (seleccione); untrust-vr
Directivas
Policies > (From: Untrust, To: Trust-vsys2) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), work_js Destination Address: Address Book Entry: (seleccione), ftp_server Service: FTP-Get Action: Permit
27
CLI
1. Vsys1
Direcciones
set address trust-vsys1 work_js 10.1.1.10/32 set address untrust ftp_server 10.2.2.20/32
Rutas
set vrouter untrust-vr route 10.1.1.0/24 vrouter vsys1-vr set vrouter vsys1-vr route 0.0.0.0/0 vrouter untrust-vr
Directivas
set policy from trust-vsys1 to untrust work_js ftp_server ftp-get permit save
2. Vsys2
Direcciones
set address trust-vsys2 ftp_server 10.2.2.20/32 set address untrust work_js 10.1.1.10/32
Rutas
set vrouter untrust-vr route 10.2.2.0/24 vrouter vsys2-vr set vrouter vsys2-vr route 0.0.0.0/0 vrouter untrust-vr
Directiva de vsys2
set policy from untrust to trust-vsys2 work_js ftp_server ftp-get permit save
Network > Zones > Edit (para Internal): Seleccione la casilla de verificacin IP Classification, luego haga clic en OK.
28
Captulo 4
Vista general
La clasificacin del trfico segn IP permite el uso de sistemas virtuales sin VLAN. En lugar de las etiquetas VLAN, el dispositivo de seguridad utiliza las direcciones IP para distribuir el trfico, asociando una subred o un rango de direcciones IP a un sistema en concreto, raz o vsys. Al utilizar exclusivamente la clasificacin del trfico segn IP para distribuir el trfico, todos los sistemas comparten lo siguiente: El untrust-vr y un VR interno definido por el usuario La zona Untrust y una zona interna definida por el usuario Una interfaz de zona Untrust y una interfaz de zona interna definida por el usuario
NOTA:
Aunque se utilice una clasificacin del trfico segn VLAN para el trfico interno, para el trfico externo todos los sistemas usan la zona compartida Untrust y, a menos que un sistema tenga una interfaz dedicada, una interfaz de zona Untrust compartida. La utilizacin de una interfaz compartida en un lado y una interfaz dedicada (con etiquetado VLAN) en el otro constituye una propuesta hbrida. Las clasificaciones del trfico segn VLAN y segn IP pueden coexistir simultneamente en el mismo sistema o en sistemas diferentes.
Vista general
29
Al enrutador externo Puerto troncal Interfaz de zona Untrust compartida 210.1.1.1/24 RAZ VSYS1 VSYS2 VSYS3 Nota: Todos los sistemas comparten las zonas Untrust e internas, interfaces de las zonas Untrust e internas, untrust-vr e internal-vr. Interfaz zona interno compartida 10.1.0.1/16
VR UNTRUST COMPARTIDO
CLI
set zone zone ip-classification net ip_addr/mask { root | vsys name_str } set zone zone ip-classification range ip1_addr1-ip1_addr2 { root | vsys name_str }
Debido a que la clasificacin del trfico segn IP requiere la utilizacin de una zona de seguridad compartida, los sistemas virtuales no pueden utilizar direcciones IP internas superpuestas, como s es posible con la clasificacin del trfico segn VLAN. Tambin, debido a que todos los sistemas comparten la misma interfaz interna, los modos de funcionamiento de la interfaz deben ser NAT o modo de ruta; no se pueden mezclar los modos de ruta y NAT para distintos sistemas. En este sentido, el esquema de direccionamiento del planteamiento segn IP no es tan flexible como el que permite el ms comnmente utilizado segn VLAN. El compartir enrutadores virtuales, zonas de seguridad e interfaces es intrnsecamente menos seguro que utilizar un enrutador virtual interno, una zona de seguridad interna e interfaces internas y externas dedicados para cada vsys. Cuando todos los sistemas virtuales comparten las mismas interfaces, un
30
administrador vsys de un vsys puede utilizar el comando snoop para recopilar informacin sobre las actividades del trfico de otros vsys. Tambin, gracias a que la suplantacin de IP es posible en el lado interno, recomendamos que se inhabilite la opcin IP spoofing de SCREEN en la interfaz interna compartida. Para decidir qu esquema de clasificacin del trfico utilizar, se deben sopesar la facilidad de manejo ofrecida por la opcin segn IP por un lado y la mayor seguridad y flexibilidad de direccionamiento ofrecidos por la opcin segn VLAN por otro.
Network > Routing > Virtual Routers > Edit (para el trust-vr): Seleccione la casilla de verificacin Shared and accessible by other vsys y luego haga clic en OK. Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: Internal Virtual Router Name: trust-vr Zone Type: Layer 3
Network > Zones > Edit (para Internal): Seleccione la casilla de verificacin Share Zone, luego haga clic en OK. Network > Interfaces > Edit (para ethernet3/2): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Internal IP Address/Netmask: 10.1.0.1/16
Network > Interfaces > Edit (para ethernet1/2): Introduzca los siguientes datos y haga clic en OK:
31
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet1/2 Gateway IP Address: 210.1.1.250
3. Clasificacin segn IP de la zona Trust
Network > Zones > Edit (para Internal) > IP Classification: Introduzca los siguientes datos y haga clic en OK:
System: vsys1 Address Type: Subnet: (seleccione); 10.1.1.0/24
Network > Zones > Edit (para Internal) > IP Classification: Introduzca los siguientes datos y haga clic en OK:
System: vsys2 Address Type: Subnet: (seleccione); 10.1.2.0/24
Network > Zones > Edit (para Internal) > IP Classification: Introduzca los siguientes datos y haga clic en OK:
System: vsys3 Address Type: Subnet: (seleccione); 10.1.3.0/24
Network > Zones > Edit (para Internal): Seleccione la casilla de verificacin IP Classification, luego haga clic en OK. CLI
1. Enrutadores virtuales, zonas de seguridad e interfaces
set vrouter trust-vr shared set zone name Internal set zone Internal shared set interface ethernet3/2 zone Internal set interface ethernet3/2 ip 10.1.0.1/16 set interface ethernet3/2 nat set interface ethernet1/2 zone untrust set interface ethernet1/2 ip 210.1.1.1/24
2. Ruta
ip-classification net 10.1.1.0/24 vsys1 ip-classification net 10.1.2.0/24 vsys2 ip-classification net 10.1.3.0/24 vsys3 ip-classification
32
ndice
A
administracin, vsys .......................................................6 administradores ...............................................................1 cambiar contraseas.............................................3, 7 tipos ............................................................................3 sistemas virtuales manejabilidad y seguridad de ................................31 VIP ...............................................................................9 subinterfaces ..................................................................22 configuracin (vsys) ................................................22 creacin (vsys) .........................................................22 varias por vsys .........................................................22 superpuestas, redes .......................................................23
C
clasificacin del trfico segn IP..................................29 clasificacin del trfico segn VLAN ............. 18, 19 a 28 claves software ...............................................................15 claves, vsys .....................................................................15 contraseas del administrador, cambiar ..................3, 7
T
trfico clasificacin ........................................................9 a 17 segn IP ....................................................................29 segn VLAN ................................................18, 19 a 28 trfico de trnsito, clasificacin de vsys .......10 a 13 Transparente, modo ......................................................20 troncales, puertos ..........................................................20
D
direcciones, rangos superpuestos de.....................23, 30
E
estndar VLAN IEEE 802.1Q ........................................19
F
funcionales bsicos, requisitos .......................................3
V
VIP .....................................................................................9 VLAN clasificacin del trfico segn VLAN .......18, 19 a 28 comunicacin con otra VLAN ..................17, 25 a 28 crear ..................................................................21 a 24 entroncamiento .......................................................20 etiqueta ...............................................................21, 22 modo transparente ...........................................20, 21 subinterfaces ............................................................22 VR ......................................................................................5 compartido, crear un ..............................................16 compartidos .............................................................15 VR compartidos .............................................................15 vsys administradores.........................................................6 claves ........................................................................15 objetos, crear .............................................................3
I
interfaces ..........................................................................2 compartidas .......................................................15, 29 dedicadas ...........................................................14, 29 fsica, exportacin desde vsys ...............................18 fsica, importacin de vsys ....................................17 interfaces fsicas exportacin desde vsys ..........................................18 importacin de vsys................................................17
M
MIP, sistemas virtuales ....................................................9 modo transparente ..................................................20, 21
P
puertos troncales ...........................................................20 puertos troncales, modo Transparente .......................20
Z
zonas .................................................................................5 compartidas .............................................................15 vsys .............................................................................5 zonas compartidas.........................................................15 zonas de seguridad consulte zonas
S
ScreenOS VR................................................................................5 zonas...........................................................................5
ndice
IX-I
IX-II
ndice