Ce v10 SP

Conceptos y ejemplos Manual de Referencia de ScreenOS
Volumen 10: Sistemas virtuales
Versin 5.3.0, Rev. B
Juniper Networks, Inc.

1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000
www.juniper.net
Nmero de pieza: 093-1668-000-SP, Revisin B
Copyright Notice
Copyright 2005 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures: Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY. Writer: Kristine Conley Editor: Lisa Eldridge
ii
Contenido
Acerca de este volumen v Convenciones del documento .......................................................................... v Convenciones de la interfaz de lnea de comandos (CLI) .......................... vi Convenciones para las ilustraciones ........................................................ vii Convenciones de nomenclatura y conjuntos de caracteres ..................... viii Convenciones de la interfaz grfica (WebUI) ............................................ ix Documentacin de Juniper Networks ............................................................... x Captulo 1 Sistemas virtuales 1
Vista general .................................................................................................... 1 Objetos Vsys .................................................................................................... 3 Crear un objeto Vsys y administrador........................................................ 3 Establecer un enrutador virtual predeterminado para Vsys ....................... 5 Enlazar las zonas a un enrutador virtual compartido ................................. 5 Iniciar sesin como administrador Vsys........................................................... 6 Captulo 2 Clasificar el trfico 9
Vista general .................................................................................................... 9 Clasificar el trfico ..................................................................................... 9 Clasificar el trfico de trnsito .................................................................10 Interfaces compartidas y dedicadas......................................................... 14 Interfaces dedicadas ......................................................................... 14 Interfaces compartidas...................................................................... 15 Importar y exportar interfaces fsicas............................................................. 17 Importar una interfaz fsica a un sistema virtual...................................... 17 Exportar una interfaz fsica de un sistema virtual .................................... 18 Captulo 3 Clasificar el trfico segn VLAN 19
Vista general .................................................................................................. 19 VLAN ....................................................................................................... 20 VLANs con Vsys....................................................................................... 20 Definir subinterfaces y etiquetas VLAN .......................................................... 22 Comunicacin entre sistemas virtuales .......................................................... 25 Captulo 4 Clasificar el trfico segn IP 29
Vista general .................................................................................................. 29 Designar un rango IP al sistema raz .............................................................. 30 Configurar la clasificacin del trfico segn IP ............................................... 31 ndice ........................................................................................................................IX-I
Contenido
iii
Conceptos y ejemplos, Manual de Referencia de ScreenOS
iv
Contenido
Acerca de este volumen

El Volumen 10: Sistemas virtuales describe los sistemas virtuales, las interfaces dedicadas y compartidas y la clasificacin de trfico segn la VLAN y la IP. Este volumen contiene los siguientes captulos: El Captulo 1, Sistemas virtuales, abarca los sistemas virtuales, objetos y tareas administrativas. El Captulo 2, Clasificar el trfico, explica cmo ScreenOS ordena el trfico. El Captulo 3, Clasificar el trfico segn VLAN, explica la clasificacin de trfico basado en VLAN para sistemas virtuales. El Captulo 4, Clasificar el trfico segn IP, explica la clasificacin de trfico basado en IP para sistemas virtuales.
Convenciones del documento

Este documento utiliza distintos tipos de convenciones, que se explican en las siguientes secciones: Convenciones de la interfaz de lnea de comandos (CLI) en la pgina vi Convenciones para las ilustraciones en la pgina vii Convenciones de nomenclatura y conjuntos de caracteres en la pgina viii Convenciones de la interfaz grfica (WebUI) en la pgina ix
Convenciones de la interfaz de lnea de comandos (CLI)

Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos de CLI en ejemplos y en texto. En ejemplos: Los elementos entre corchetes [ ] son opcionales. Los elementos entre llaves { } son obligatorios. Si existen dos o ms opciones alternativas, aparecern separadas entre s por barras verticales ( | ). Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } manage
significa establecer las opciones de administracin de la interfaz ethernet1, ethernet2 o ethernet3. Las variables aparecen en tipo cursiva.
set admin user nombre1 password xyz
En texto: Los comandos aparecen en tipo negrita. Las variables aparecen en tipo cursiva.
NOTA:
Para escribir palabras clave, basta con escribir los primeros caracteres que permitan al sistema reconocer de forma inequvoca la palabra que se est introduciendo. Por ejemplo, es suficiente escribir set adm u kath j12fmt54 para que el sistema reconozca el comando set admin user kathleen j12fmt54. Aunque este mtodo se puede utilizar para introducir comandos, en la presente documentacin todos ellos se representan con sus palabras completas.
vi
Convenciones para las ilustraciones

Las siguientes figuras conforman el conjunto bsico de imgenes utilizado en las ilustraciones de este manual.
Figura 1: Imgenes en las ilustraciones del manual
Red de rea local (LAN) con una nica subred (ejemplo: 10.1.1.0/24)
Sistema autnomo
Dispositivo de seguridad general Internet
Dominio de enrutamiento virtual Rango de direcciones IP dinmicas (DIP)
Zona de seguridad
Equipo de escritorio
Interfaz de la zona de seguridad Blanca = Interfaz de zona protegida (ejemplo = zona Trust) Negra = Interfaz de zona externa (ejemplo = zona Untrust)
Equipo porttil
Dispositivo de red genrico (ejemplos: servidor NAT, concentrador de acceso)
Interfaz de tnel
Servidor
Tnel VPN Concentrador (hub) Enrutador Telfono IP
Conmutador
vii
Convenciones de nomenclatura y conjuntos de caracteres

ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones, usuarios administradores, servidores de autenticacin, puertas de enlace IKE, sistemas virtuales, tneles de VPN y zonas) definidos en las configuraciones de ScreenOS: Si una cadena de nombre tiene uno o ms espacios, la cadena completa deber estar entre comillas dobles ( ); por ejemplo:
set address trust local LAN 10.1.1.0/24
Cualquier espacio al comienzo o al final de una cadena entrecomillada se elimina; por ejemplo, local LAN se transformar en local LAN. Los espacios consecutivos mltiples se tratan como uno solo. En las cadenas de nombres se distingue entre maysculas y minsculas; por el contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente. Por ejemplo, local LAN es distinto de local lan. ScreenOS admite los siguientes conjuntos de caracteres: Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mltiples bytes (MBCS). Algunos ejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano y el japons. Caracteres ASCII desde el 32 (0x20 en notacin hexadecimal) al 255 (0xff); a excepcin de las comillas dobles ( ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
NOTA:
Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, segn el conjunto de caracteres que admita el explorador.
viii
Convenciones de la interfaz grfica (WebUI)

Una comilla angular ( > ) muestra la secuencia de navegacin a travs de WebUI, a la que puede llegar mediante un clic en las opciones de men y vnculos. La siguiente figura muestra la siguiente ruta para abrir el cuadro de dilogo de configuracin de direccionesObjects > Addresses > List > New:
Figura 2: Navegacin de WebUI
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de dilogo apropiado, donde podr definir objetos y establecer parmetros de ajuste. El conjunto de instrucciones de cada tarea se divide en ruta de navegacin y ajustes de configuracin: La siguiente figura muestra la ruta al cuadro de dilogo de configuracin de direcciones con los siguientes ajustes de configuracin de muestra: Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: addr_1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust
Figura 3: Ruta de navegacin y ajustes de configuracin
ix
Documentacin de Juniper Networks

Para obtener documentacin tcnica sobre cualquier producto de Juniper Networks, visite www.juniper.net/techpubs/. Para obtener soporte tcnico, abra un expediente de soporte utilizando el vnculo Case Manager en la pgina web http://www.juniper.net/support/ o llame al telfono 1-888-314-JTAC (si llama desde los EE.UU.) o al +1-408-745-9500 (si llama desde fuera de los EE.UU.). Si encuentra algn error u omisin en este documento, pngase en contacto con nosotros a travs de la siguiente direccin de correo electrnico: techpubs-comments@juniper.net
Documentacin de Juniper Networks
Captulo 1
Sistemas virtuales
Este captulo abarca los sistemas virtuales, objetos y tareas administrativas. Contiene los siguientes temas: Vista general en esta pgina Objetos Vsys en la pgina 3 Crear un objeto Vsys y administrador en la pgina 3 Establecer un enrutador virtual predeterminado para Vsys en la pgina 5 Enlazar las zonas a un enrutador virtual compartido en la pgina 5 Iniciar sesin como administrador Vsys en la pgina 6
Vista general
Se puede dividir lgicamente un sistema de seguridad de Juniper Networks nico en varios sistemas virtuales para proporcionar servicios a mltiples usuarios independientes (multi-tenant). Cada sistema virtual (vsys) es un dominio de seguridad nico y puede ser administrado por sus propios administradores (denominados administradores de sistema virtual o administradores vsys) quienes pueden personalizar su dominio de seguridad estableciendo sus propios libros de direcciones, listas de usuarios, servicios personalizados, VPN y directivas. Sin embargo, nicamente un administrador de nivel raz puede establecer opciones de seguridad de cortafuegos, crear administradores de sistema virtual y definir interfaces y subinterfaces.
NOTA:
Para ver qu plataformas tienen esta funcionalidad hay que remitirse a la documentacin de marketing de Juniper Networks. Para obtener ms informacin sobre los diversos niveles de administracin que admite ScreenOS, consulte Niveles de administracin en la pgina 3-31. Los sistemas virtuales de Juniper Networks admiten dos tipos de clasificaciones del trfico: segn la VLAN y segn la IP; ambas pueden funcionar concurrentemente o en modo exclusivo.
Vista general
Un vsys admite los siguientes tres tipos de interfaces para sus zonas Untrust y Trust:
Tipos de interfaces de la zona Untrust
Interfaz fsica especializada Subinterfaz (con el etiquetado VLAN como un medio para entroncar1 trfico entrante y saliente) Interfaz compartida (fsica, subinterfaz, interfaz redundante, interfaz agregada) con el sistema raz
Tipos de interfaces de la zona Trust

Interfaz fsica especializada Subinterfaz (con etiquetado VLAN)
Interfaz fsica compartida con el sistema raz (y clasificacin2 del trfico segn IP)
1.Para obtener informacin sobre los conceptos de etiquetado VLAN y entroncamiento, consulte Clasificar el trfico segn VLAN en la pgina 19. 2.Para obtener ms informacin sobre la clasificacin del trfico segn la IP, consulte Clasificar el trfico segn IP en la pgina 29.
Se puede vincular uno, dos o los tres tipos de interfaces antes mencionados a una zona de seguridad concurrentemente. Se pueden tambin vincular varias interfaces de cada tipo a una zona.
Figura 4: Enlaces de zona e interfaz con Vsys
trust-vr untrust-vr (enrutador virtual a nivel de raz compartido) Finance DMZ
Mail interfaz compartida por raz y vsys1 Untrust vsys1 subinterfaz dedicada a vsys2 vsys2 vsys3 Interfaz fsica dedicada para vsys3
Trust
Eng
sistema raz
vsys1-vr Trust-vsys1
Vista general
Captulo 1: Sistemas virtuales
Objetos Vsys
El administrador raz o administrador de lectura/escritura de nivel raz debe realizar las siguientes tareas para crear un objeto vsys: Definir un sistema virtual Definir uno o ms administradores vsys (opcional)
NOTA:
Un administrador de nivel raz puede definir un administrador vsys con privilegios de lectura/escritura y un administrador vsys con privilegios de slo lectura por vsys. Seleccionar el enrutador virtual que se quiera que utilice el vsys para sus zonas Trust-vsysname, Untrust-Tun-vsysname y Global-vsysname Despus de crear un objeto vsys, es necesario realizar, como administrador de nivel raz, otras configuraciones para convertirlo en un vsys funcional. Se deben configurar subinterfaces o interfaces para el vsys y probablemente enrutadores virtuales compartidos y zonas de seguridad compartidas. Las siguientes configuraciones dependen de si el vsys est destinado a clasificaciones del trfico segn VLAN o segn IP o una combinacin de ambas. Tras completar estas configuraciones, se puede salir del sistema virtual y permitir que un administrador vsys, si est definido, acceda y comience a configurar direcciones, usuarios, servicios, VPNs, rutas y directivas.
Crear un objeto Vsys y administrador

En este ejemplo, un administrador de nivel raz crea tres objetos vsys: vsys1, vsys2 y vsys3. Para vsys1, se crea el administrador vsys Alice con la contrasea wIEaS1v1. Para vsys2, se crea el administrador vsys Bob con la contrasea pjF56Ms2. Para vsys3, no se define un administrador vsys. En su lugar, se acepta el administrador que el dispositivo de seguridad genera automticamente. En el caso de vsys3, el dispositivo de seguridad crea el administrador vsys_vsys3 con la contrasea vsys_vsys3.
NOTA:
Slo un administrador de nivel raz puede crear un perfil de administrador vsys (nombre de usuario y contrasea). Ya que el dispositivo de seguridad utiliza los nombres de usuario para determinar el vsys al cual pertenece el usuario, el administrador del vsys no puede cambiar los nombres de usuario. Sin embargo, los administradores del vsys pueden (y deben) cambiar sus contraseas. Los nombres de los vsys, de los administradores y de las contraseas distinguen maysculas y minsculas. Vsys abc es distinto de vsys ABC. Para vsys1 y vsys2, se utiliza el enrutador virtual predeterminado. Para vsys3, se escoge el untrust-vr de nivel raz compartible. Tras crear un vsys mediante la WebUI, se permanece en el nivel raz. Introducir el recin creado vsys requiere un paso ms: Vsys: Haga clic en Enter (para el sistema virtual que se desee introducir).
Objetos Vsys
Aparecen las pginas WebUI del sistema introducido, con el nombre del vsys encima de la parte central de la imagen, Vsys:Nombre. Cuando se crea un vsys mediante la CLI, inmediatamente se entra al sistema recin creado. (Para entrar a un vsys existente en el nivel raz, utilice el comando enter vsys cadena_nombre). Cuando se introduce un vsys, la entradilla (prompt) del comando CLI cambia para incluir el nombre del sistema en el que ahora se ejecutan los comandos. WebUI
1. Vsys1:
Vsys > New: Introduzca los siguientes datos y haga clic en OK:
Vsys Name: vsys1 Vsys Admin Name: Alice Vsys Admin New Password: wIEaS1v1 Confirm New Password: wIEaS1v1 Virtual Router: Create a default virtual router: (seleccione)
2. Vsys2:
Vsys Name: vsys2 Vsys Admin Name: Bob Vsys Admin New Password: pjF56Ms2 Confirm New Password: pjF56Ms2 Virtual Router: Create a default virtual router: (seleccione)
3. Vsys3:
Vsys Name: vsys3 Virtual Router: Select an existing virtual router: (seleccione), untrust-vr
CLI
1. Vsys1:
ns-> set vsys vsys1 ns(vsys1)-> set admin name Alice ns(vsys1)-> set admin password wIEaS1v1 ns(vsys1)-> save ns(vsys1)-> exit NOTA:
Tras ejecutar los comandos, se debe ejecutar un comando save antes del comando exit o el dispositivo de seguridad perder los cambios.
2. Vsys2:
ns-> set vsys vsys2 ns(vsys2)-> set admin name Bob ns(vsys2)-> set admin password pjF56Ms2 ns(vsys2)-> save ns(vsys2)-> exit 4
Objetos Vsys
3.
Vsys3:
ns-> set vsys vsys3 vrouter share untrust-vr ns(vsys3)-> save
Establecer un enrutador virtual predeterminado para Vsys

Cuando un administrador del nivel raz crea un objeto vsys, automticamente el vsys dispone de los siguientes enrutadores virtuales para su uso: Todos los enrutadores virtuales de nivel raz compartidos, como el untrust-vr Del mismo modo que un vsys y el sistema raz comparten la zona Untrust, tambin comparten el untrust-vr y cualquier otro enrutador virtual definido en el nivel raz como compartible. Su propio enrutador virtual De forma predeterminada, a un enrutador virtual de nivel vsys se le llama vsysname-vr. Se puede tambin personalizar su nombre para darle mayor significado. ste es un enrutador virtual vsys especfico que, de forma predeterminada, mantiene la tabla de enrutamiento de la zona Trust-vsysname. Los enrutadores virtuales de nivel vsys no pueden ser compartidos. Se puede seleccionar cualquier enrutador virtual compartido o el enrutador virtual de nivel vsys como enrutador virtual predeterminado para un vsys. Para cambiar el enrutador virtual predeterminado, entre en el vsys y utilice el siguiente comando CLI: set vrouter nombre default-vrouter. Si un administrador de nivel raz desea que todas las zonas vsys estn en el dominio de enrutamiento untrust-vr (por ejemplo, si todas las interfaces vinculadas a la zona Trust -vsys_name estn en modo de ruta) puede prescindir del vsys_name-vr cambiando los enlaces de la zona de seguridad de nivel vsys del vsys_name-vr al untrust-vr. Para obtener ms informacin sobre enrutadores virtuales, consulte Enrutamiento en la pgina 7-13.
NOTA:
Esta versin de ScreenOS admite enrutadores virtuales definidos por el usuario dentro de un sistema virtual.
Enlazar las zonas a un enrutador virtual compartido

Cada sistema virtual (vsys) es un nico dominio de seguridad y puede compartir zonas de seguridad con el sistema raz y tener sus propias zonas de seguridad. Cuando un administrador de nivel raz crea un objeto vsys, automticamente se crean o heredan las siguientes zonas: Todas las zonas compartidas (heredadas del sistema raz) La zona Null compartida (heredada del sistema raz) La zona Trust-vsys_name La zona Untrust-Tun-vsys_name La zona Global-vsys_name
Objetos Vsys
NOTA:
Para obtener ms informacin sobre cada uno de estos tipos de zonas, consulte Zonas en la pgina 2-25. Cada vsys puede soportar tambin zonas de seguridad adicionales definidas por el usuario. Se pueden vincular estas zonas a cualquiera de los enrutadores virtuales compartidos definidos en el nivel raz o al enrutador virtual dedicado a este vsys. Para crear una zona de seguridad para un vsys denominado vsys1, utilice cualquiera de los siguientes procedimientos: WebUI Vsys > Enter (para vsys1) Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: (escriba un nombre para la zona) Virtual Router Name: (seleccione un enrutador virtual de la lista desplegable) Zone Type: Layer 3
CLI
ns-> enter vsys vsys1 ns(vsys1)-> set zone name name_str ns(vsys1)-> set zone vrouter vrouter ns(vsys1)-> save
El nmero mximo de zonas de seguridad que un vsys o el sistema raz puede contener est limitado slo por el nmero de zonas de seguridad disponibles en el nivel de dispositivo. Un nico vsys puede consumir todas las zonas de seguridad disponibles si el administrador raz o un administrador de lectura/escritura de nivel raz las asigna todas a ese vsys en concreto. A la inversa, si todos los sistemas virtuales comparten zonas de seguridad de nivel raz y no utilizan ninguna zona de nivel vsys definida por el usuario, entonces todas las zonas de seguridad estn disponibles para uso de nivel raz.
NOTA:
El nmero total de zonas de seguridad definidas por el usuario (o personalizadas) en el nivel de dispositivo es la suma del nmero de zonas personalizadas de nivel raz, definidas por una o ms claves de licencia de zona y el nmero de zonas personalizadas permitidas por la clave de licencia de vsys.
Iniciar sesin como administrador Vsys

Los administradores del Vsys entran a sus vsys directamente, a diferencia de los administradores de nivel raz, que entran a sus vsys desde el nivel raz. Cuando un administrador de vsys sale de un vsys, la conexin se corta inmediatamente; sin embargo, cuando los administradores de nivel raz salen de un vsys, salen al sistema raz. El siguiente ejemplo muestra cmo acceder a un vsys como administrador vsys, cambiar la contrasea y finalizar la sesin.
En este ejemplo, un administrador vsys accede al vsys1 introduciendo su nombre de inicio de sesin jsmith y contrasea Pd50iH10 asignados. Cambia la contrasea a I6Dls13guh y finaliza la sesin.
NOTA:
Los administradores de vsys no pueden cambiar sus nombres de inicio de sesin (nombres de usuario) ya que el dispositivo de seguridad utiliza esos nombres, que debern ser nicos entre todos los administradores del vsys, para enrutar la conexin de inicio de sesin al vsys apropiado. WebUI
1. Inicio de sesin
En el campo URL del explorador, introduzca la direccin IP de la interfaz de la zona Untrust para vsys1. Cuando aparezca el cuadro de dilogo Network Password, introduzca los datos siguientes y haga clic en OK:
User Name: jsmith Password: Pd50iH10
2. Cambio de contrasea
Configuration > Admin > Administrators: Introduzca los siguientes datos y haga clic en OK:
Vsys Admin Old Password: Pd50iH10 Vsys Admin New Password: I6Dls13guh Confirm New Password: I6Dls13guh
3. Finalizacin de la sesin
Haga clic en Logout, situado en la parte inferior de la columna del men. CLI
1. Inicio de sesin
Desde la particin de informacin de la lnea de comandos de una sesin de Secure Command Shell (SCS), Telnet o HyperTerminal, se introduce la direccin IP de la interfaz de la zona Untrust de vsys1. Acceda con los siguientes nombres de usuario y contrasea: User Name: jsmith Password: Pd50iH10
2. Cambio de contrasea
set admin password I6DIs13guh save

3. Finalizacin de la sesin
exit
Captulo 2
Clasificar el trfico
Este captulo explica cmo ScreenOS ordena el trfico. Contiene las siguientes secciones: Vista general en esta pgina Clasificar el trfico en la pgina 9 Clasificar el trfico de trnsito en la pgina 10 Interfaces compartidas y dedicadas en la pgina 14 Importar y exportar interfaces fsicas en la pgina 17 Importar una interfaz fsica a un sistema virtual en la pgina 17 Exportar una interfaz fsica de un sistema virtual en la pgina 18
Vista general
ScreenOS debe clasificar cada paquete que recibe para su entrega al sistema virtual (vsys) apropiado. Un dispositivo de seguridad recibe dos tipos de trfico de usuario, que clasifica de dos formas diferentes: Trfico destinado a una direccin IP dentro del mismo sistema, como trfico de VPN encriptado y trfico destinado a un MIP o VIP Trfico destinado a una direccin IP fuera del dispositivo
Clasificar el trfico
Para el trfico destinado a un objeto (VPN, MIP o VIP) del sistema de seguridad, ste determina el vsys al que pertenece el trfico mediante la asociacin del objeto con el vsys en el que se configur.
Vista general
Figura 5: Asociacin de VPN, MIP y VIP

ethernet1/2, zona Untrust El sistema raz, vsys1, vsys2 y vsys3 comparten esta interfaz. RAZ VPN MIP VIP VSYS1 VSYS2 VSYS3
El trfico entrante llega a una interfaz compartida.
Puesto que el objeto VPN se configur en el vsys1, el trfico enviado para dicho objeto pertenece al vsys1. Puesto que el objeto MIP se configur en el vsys2, el trfico enviado para dicho objeto pertenece al vsys2. Puesto que el objeto VIP se configur en el vsys3, el trfico enviado para dicho objeto pertenece al vsys3.
El trfico entrante tambin puede llegar al vsys a travs de tneles VPN; sin embargo, si la interfaz de salida es una interfaz compartida, no se puede crear un tnel VPN AutoKey IKE para un vsys y el sistema raz hacia el mismo punto remoto.
Clasificar el trfico de trnsito

Para el trfico dirigido a una direccin IP ms all del dispositivo de seguridad (tambin conocido como trfico de trnsito), el dispositivo utiliza tcnicas posibles gracias a la clasificacin del trfico segn VLAN y segn IP. La clasificacin del trfico segn VLAN utiliza etiquetas VLAN en el encabezado de la trama para identificar el sistema al que pertenece el trfico entrante. La clasificacin del trfico segn IP utiliza las direcciones IP de origen y destino de los encabezados de los paquetes IP para identificar el sistema al que pertenece el trfico. El proceso que utiliza el dispositivo de seguridad para determinar el sistema al que pertenece un paquete comprende los siguientes pasos:
NOTA:
El etiquetado VLAN requiere el uso de subinterfaces. Una subinterfaz debe estar dedicada a un sistema, en contraste con una interfaz compartida, que es compartida por todos los sistemas.
1. Clasificacin del trfico por interfaz de entrada/IP de origen
El dispositivo de seguridad comprueba si la interfaz de entrada es dedicada o compartida.
NOTA:
Para obtener ms informacin sobre interfaces dedicadas y compartidas, consulte Interfaces compartidas y dedicadas en la pgina 14. a. Si la interfaz de salida est dedicada a un vsys (por ejemplo v-i), el dispositivo de seguridad asocia el trfico con el sistema al que est dedicada la interfaz. Si la interfaz de entrada es compartida, el dispositivo de seguridad utiliza la clasificacin por IP para comprobar si la direccin IP de origen est asociada a un vsys en concreto. Si la direccin IP de origen no est asociada a un vsys en concreto, la clasificacin por IP de entrada falla.
b.
10
Vista general
Captulo 2: Clasificar el trfico
Si la direccin IP de origen est asociada a un vsys en concreto, la clasificacin por IP de entrada tiene xito.
Figura 6: Paso 1: Clasificacin del trfico de IP de origen e interfaz de entrada
Comprobar la interfaz de entrada
Interfaz compartida?
No
Asociar el paquete con el ingreso de vsys de interfaz (v-i)
Comprobar si se clasifica por IP origen
Se clasifica por IP origen?
No
Fallo al clasificar por interfaz entrada/IP origen
Asociar paquete con vsys IP clasificado (v-i) * El protocolo de autenticacin extensible sobre LAN (EAPOL) es un protocolo descrito en IEEE 802.1X. Se cre para encapsular los mensajes EAP para transportar a travs de la red de rea local.
2.
Clasificacin del trfico por interfaz de salida/IP de destino
El dispositivo de seguridad comprueba si la interfaz de salida es compartida o dedicada. a. Si la interfaz de salida est dedicada a un vsys (por ejemplo v-e), el dispositivo de seguridad asocia el trfico con el sistema al que est dedicada la interfaz. Si la interfaz de salida es compartida, el dispositivo de seguridad utiliza la clasificacin por IP para comprobar si la direccin IP de destino est asociada a un vsys en concreto. Si la direccin IP de destino no est asociada a un vsys en concreto, la clasificacin por IP de salida falla.
b.
Vista general
11
Si la direccin IP de destino est asociada a un vsys en concreto, la clasificacin por IP de salida tiene xito.
Figura 7: Paso 2: Clasificacin del trfico por interfaz de salida/IP de destino
Comprobar intefaz de salida
Interfaz compartida?
No
Asociar el paquete con la salida de vsys de interfaz (v-e)
Comprobar si se clasifica por IP destino
Se clasifica por IP destino?
No
Fallo al clasificar por interfaz salida/IP destino
Asociar el paquete con vsys IP clasificado (v-e) * El protocolo de autenticacin extensible sobre LAN (EAPOL) es un protocolo descrito en IEEE 802.1X. Se cre para encapsular los mensajes EAP para transportar a travs de la red de rea local.
3.
Asignacin del trfico al vsys
Basndose en el resultado de las clasificaciones del trfico segn la interfaz de entrada/IP de origen (E/O) o la interfaz de salida/IP de destino (S/D), el dispositivo de seguridad determina el vsys al que corresponde el trfico. a. Si la clasificacin del trfico E/O tiene xito, pero la clasificacin del trfico S/D falla, el dispositivo de seguridad utiliza el conjunto de directivas y la tabla de rutas del vsys asociados a la interfaz de entrada o a la direccin IP de origen (un vsys llamado v-e, por ejemplo). La clasificacin del trfico E/O es particularmente til cuando se permite trfico saliente desde un vsys hacia una red pblica como Internet.
12
Vista general
b.
Si la clasificacin del trfico S/D tiene xito, pero la clasificacin del trfico E/D falla, el dispositivo de seguridad utiliza el conjunto de directivas y la tabla de rutas del vsys asociado a la interfaz de salida o a la direccin IP de destino (un vsys llamado v-s, por ejemplo). La clasificacin del trfico S/D es particularmente til cuando se acepta trfico entrante para uno o ms servidores de un vsys procedente de una red pblica como Internet.
c.
Si ambas clasificaciones tienen xito y los sistemas virtuales asociados son los mismos, el dispositivo de seguridad utiliza el conjunto de directivas y la tabla de rutas de ese vsys. Se pueden utilizar ambas clasificaciones del trfico E/O y S/D para permitir trfico desde direcciones especficas en una zona a direcciones especficas en otra zona del mismo vsys.
d. Si ambas clasificaciones tienen xito, los sistemas virtuales asociados son distintos y las interfaces estn vinculadas a la misma zona de seguridad compartida, el dispositivo de seguridad utiliza primero el conjunto de directivas y la tabla de rutas del vsys E/O, y despus los del vsys S/D. ScreenOS admite trfico intrazonal entre vsys cuando el trfico tiene lugar en la misma zona compartida. El dispositivo de seguridad aplica primero el conjunto de directivas y la tabla de rutas de v-e, devuelve el trfico a la interfaz Untrust y despus aplica el conjunto de directivas y la tabla de rutas de v-s. Este trfico intrazonal sera el normal en una sola empresa que utilizase una zona interna compartida con distintos sistemas virtuales para distintos departamentos internos y quisiera permitir el trfico entre los diferentes departamentos. e. Si ambas clasificaciones tienen xito, los sistemas virtuales asociados son diferentes y las interfaces estn vinculadas a distintas zonas de seguridad, el dispositivo de seguridad descarta el paquete.
NOTA:
ScreenOS no admite trfico interzonal entre vsys entre zonas de seguridad compartidas. No puede utilizar una zona personalizada en lugar de la zona Untrust. f. Si ambas clasificaciones tienen xito, los sistemas virtuales asociados son diferentes y las interfaces de entrada y salida estn vinculadas a zonas dedicadas a distintos sistemas virtuales, el dispositivo de seguridad aplica primero el conjunto de directivas y la tabla de rutas del v-e. Despus devuelve el trfico a la interfaz Untrust y aplica el conjunto de directivas y la tabla de rutas del v-s. (Consulte Comunicacin entre sistemas virtuales en la pgina 25). ScreenOS admite trfico interzonal entre vsys entre zonas de seguridad dedicadas. g. Si ambas clasificaciones fallan, el dispositivo de seguridad descarta el paquete.
Vista general
13
Figura 8: Paso 3: Asignacin del trfico al vsys
xito con clase E/O?
No
xito con clase S/D?
No
Descartar paquete
S Usar el conjunto de directivas v-e y la tabla de rutas
xito con clase S/D?
No
Usar el conjunto de directivas y la tabla de rutas del vsys v-e.
Mismo vsys?
No
Zona compartida?
No
Aplicar el conjunto de directivas y la tabla de rutas del vsys v-e y despus los del v-s.
Usar el conjunto de directivas y la tabla de rutas del vsys v-e/v-s.
Trfico intrazonal?
No
Descartar paquete
Aplicar el conjunto de directivas y la tabla de rutas v-i de vsys y luego aplicar el conjunto de directivas y la tabla de rutas v-e de vsys * El protocolo de autenticacin extensible sobre LAN (EAPOL) es un protocolo descrito en IEEE 802.1X. Se cre para encapsular los mensajes EAP para transportar a travs de la red de rea local.
Interfaces compartidas y dedicadas

El trfico entrante a las interfaces dedicadas y compartidas se clasifica de manera diferente.
Interfaces dedicadas
Un sistema, virtual o raz, puede tener varias interfaces o subinterfaces dedicadas exclusivamente a su uso particular. Estas interfaces no pueden ser compartidas por otros sistemas.
14
Vista general
Se puede hacer que una interfaz est dedicada a un sistema como se indica a continuacin: Cuando se configura una interfaz fsica, subinterfaz, interfaz redundante o interfaz agregada en el sistema raz y se vincula a una zona no compartible, la interfaz queda dedicada al sistema raz. Cuando se importa una interfaz fsica o agregada a un vsys y se vincula a una zona Untrust compartida o a la zona Trust-vsys_name, dicha interfaz pasa a ser dedicada al vsys. Cuando se configura una subinterfaz en un vsys, pertenece al vsys.
NOTA:
Cuando un sistema tiene una subinterfaz dedicada, el dispositivo de seguridad debe emplear la clasificacin del trfico segn VLAN para distribuir adecuadamente el trfico entrante.
Interfaces compartidas
Un sistema, virtual o raz, puede compartir una interfaz con otro sistema. Para que una interfaz pueda ser compartida, se debe configurar en el nivel raz y vincularla a una zona compartida de un enrutador virtual compartido. De forma predeterminada, el VR predefinido untrust-vr es un enrutador virtual compartido y la zona predefinida Untrust es una zona compartida. Por consiguiente, un vsys puede compartir cualquier interfaz fsica, subinterfaz, interfaz redundante o interfaz agregada del nivel raz que se vincule a la zona Untrust. Para crear una interfaz compartida en una zona distinta de la zona Untrust, se debe definir la zona como compartida en el nivel raz. Para ello, la zona debe estar en un enrutador virtual compartido, como el untrust-vr u otro enrutador virtual de nivel raz que se defina como compartible. Despus, cuando se vincula una interfaz de nivel raz a la zona compartida, automticamente pasa a ser una interfaz compartida.
NOTA:
Para que est disponible la opcin de zona compartida, el dispositivo de seguridad debe operar en la capa 3 (modo de ruta), lo que significa que se debe asignar previamente una direccin IP al menos a una interfaz de nivel raz. Para crear un enrutador virtual, es necesario obtener una clave de licencia vsys, que capacita para definir sistemas virtuales, enrutadores virtuales y zonas de seguridad para su uso en un vsys o en el sistema raz. Un enrutador virtual compartido admite zonas de seguridad de nivel raz compartibles y no compartibles. Se puede definir una zona de nivel raz vinculada a un enrutador virtual compartido como compartible o no. Cualquier zona de nivel raz que se vincule a un enrutador virtual compartido y se defina como compartible pasa a ser una zona compartida, disponible para ser utilizada tambin por otros sistemas virtuales.
Vista general
15
Cualquier zona de nivel raz que se vincule a un enrutador virtual compartido y se defina como no compartible permanece como una zona dedicada para uso exclusivo del sistema raz. Si se vincula una zona de nivel vsys al enrutador virtual dedicado a ese vsys o a un enrutador virtual compartido creado en el sistema raz, la zona permanece como zona dedicada, disponible para uso exclusivo del vsys para el que se cre. Una zona compartida admite interfaces compartidas y dedicadas. Cualquier interfaz de nivel raz que se vincule a una zona compartida pasa a ser una interfaz compartida, disponible para ser utilizada tambin por los sistemas virtuales. Cualquier interfaz de nivel vsys que se vincule a una zona compartida permanece como interfaz dedicada, disponible slo para uso del vsys para el que se cre. Una zona no compartible slo puede ser utilizada por el sistema en el que se cre y slo admite interfaces dedicadas para dicho sistema. Todas las zonas de nivel vsys son no compartibles. Para crear una interfaz compartida, se debe crear un enrutador virtual compartido (o utilizar el predefinido untrust-vr), crear un zona de seguridad compartida (o utilizar la zona predefinida Untrust) y despus vincular la interfaz a la zona compartida. Se pueden realizar los tres pasos en el sistema raz. Las opciones de la WebUI y la CLI son las siguientes:
1. Para crear un enrutador virtual compartido:
WebUI
Network > Routing > Virtual Routers > New: Seleccione la opcin Shared and accessible by other vsys y haga clic en Apply.
CLI
set vrouter name name_str set vrouter name_str shared
(No se puede modificar un enrutador virtual compartido para hacerlo no compartido a menos que primero se borren todos los sistemas virtuales. Sin embargo, se puede cambiar un enrutador virtual de no compartido a compartido cuando se desee).
2. Para crear una zona compartida, proceda como se indica a continuacin en el nivel raz:
WebUI
NOTA:
En el momento de publicar esta versin, slo se puede definir una zona compartida mediante CLI.
CLI
set zone name name_str set zone zone vrouter sharable_vr_name_str set zone zone shared
16
Vista general
3.
Para crear una interfaz compartida, proceda como se indica a continuacin en el nivel raz:
WebUI
Network > Interfaces > New (o Edit para una interfaz que ya existe): Configure la interfaz y vinclela a una zona compartida, a continuacin haga clic en OK.
CLI
set interface interface zone sharable_vr_name_str
Cuando dos o ms sistemas virtuales comparten una interfaz, el dispositivo de seguridad debe emplear la clasificacin del trfico segn IP para distribuir adecuadamente el trfico entrante. (Para obtener ms informacin sobre la clasificacin del trfico segn IP, incluyendo un ejemplo que muestre cmo configurarlo para varios vsys, consulte Clasificar el trfico segn IP en la pgina 29.)
Importar y exportar interfaces fsicas

Se pueden dedicar una o ms interfaces fsicas a un vsys. En realidad, se importa una interfaz fsica del sistema raz a un sistema virtual. Despus de la importacin de la interfaz fsica a un vsys, el vsys tiene su uso exclusivo.
NOTA:
Antes de poder importar una interfaz a un sistema virtual, debe estar en la zona Null en el nivel raz.
Importar una interfaz fsica a un sistema virtual

En este ejemplo, un administrador raz importa la interfaz fsica ethernet4/1 a vsys1. Se asocia a la zona Untrust y se asigna la direccin IP 1.1.1.1/24. WebUI
1. Introducir vsys1
Vsys: Haga clic en Enter (para vsys1).

2. Importar y definir la interfaz
Network > Interfaces: Haga clic en Import (para ethernet4/1). Network > Interfaces > Edit (para ethernet4/1): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust IP Address/Netmask: 1.1.1.1/24
3. Salir de vsys1
Haga clic en el botn Exit Vsys (en la parte inferior de la columna de men) para volver al nivel raz. CLI
1. Introducir vsys1
ns-> enter vsys vsys1
17
2.
Importar y definir la interfaz
ns(vsys1)-> set interface ethernet4/1 import ns(vsys1)-> set interface ethernet4/1 zone untrust ns(vsys1)-> set interface ethernet4/1 ip 1.1.1.1/24 ns(vsys1)-> save
3. Salir de vsys1
ns(vsys1)-> exit
Exportar una interfaz fsica de un sistema virtual

En este ejemplo, se vincula la interfaz fsica ethernet4/1 a la zona Null en el vsys1 y se le asigna la direccin IP 0.0.0.0/0. Despus se exporta la interfaz ethernet4/1 al sistema raz. WebUI
1. Introducir vsys1
Vsys: Haga clic en Enter (para vsys1).

2. Exportar la interfaz
Network > Interfaces > Edit (para ethernet4/1): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Null IP Address/Netmask: 0.0.0.0/0
Network > Interfaces: Haga clic en Export (para ethernet4/1). (La interfaz ethernet4/1 est disponible ahora para su uso en el sistema raz o en otro vsys).
3. Salir de vsys1
Haga clic en el botn Exit Vsys (en la parte inferior de la columna de men) para volver al nivel raz. CLI
1. Introducir vsys1
ns-> enter vsys vsys1

2. Exportar la interfaz
ns(vsys1)-> unset interface ethernet4/1 ip ns(vsys1)-> unset interface ethernet4/1 zone ns(vsys1)-> unset interface ethernet4/1 import This command will remove all objects associated with interface, continue? y/[n] y ns(vsys1)-> save
(La interfaz ethernet4/1 est disponible ahora para su uso en el sistema raz o en otro vsys).
3. Salir de vsys1
ns(vsys1)-> exit
18
Captulo 3
Clasificar el trfico segn VLAN

Este captulo explica la clasificacin de trfico basado en VLAN para sistemas virtuales. Contiene los siguientes temas: Vista general en esta pgina VLAN en la pgina 20 VLANs con Vsys en la pgina 20 Definir subinterfaces y etiquetas VLAN en la pgina 22 Comunicacin entre sistemas virtuales en la pgina 25
Vista general
Con la clasificacin del trfico segn VLAN, un dispositivo de seguridad utiliza el etiquetado VLAN para dirigir el trfico a las diversas subinterfaces vinculadas a los diferentes sistemas. De forma predeterminada, un vsys tiene dos zonas de seguridad, una zona Untrust compartida y su propia zona Trust. Cada vsys puede compartir la interfaz de la zona Untrust con el sistema raz y con otros sistemas virtuales. Un vsys puede tambin tener su propia subinterfaz o una interfaz fsica dedicada (importada del sistema raz) vinculada a la zona Untrust.
NOTA:
ScreenOS admite VLANs compatibles con la norma IEEE 802.1Q VLAN. Se puede dedicar una interfaz fsica a un sistema virtual importndola del sistema raz al sistema virtual. (Consulte Importar y exportar interfaces fsicas en la pgina 17). Cuando se utilizan interfaces fsicas, el etiquetado VLAN no es necesario para el trfico en dicha interfaz.
Vista general
19
VLAN
La Figura 9 muestra las clases de trfico de VLAN. Cada VLAN se une a un sistema a travs de una subinterfaz. Si un vsys comparte la interfaz de la zona Untrust con el sistema raz y tiene una subinterfaz vinculada a su zona Trust-vsys_name, el vsys debe asociarse a una VLAN en la zona Trust-vsys_name. Si el vsys tambin tiene su propia subinterfaz vinculada a la zona Untrust, el vsys debe tambin asociarse a otra VLAN en la zona Untrust.
Figura 9: Clases de trfico de VLAN
Conmutador compatible con VLAN interno
Al enrutador externo Puerto troncal
A la VLAN1 (vsys1) A la VLAN2 (vsys2) A la VLAN3 (vsys3) Zonas Trust por vsys y enrutadores virtuales por
UNTRUST-VR RAZ Zona Untrust compartida VSYS1 Internet VSYS2 VSYS3 Nota: Todos los sistemas virtuales se muestran compartiendo la interfaz de la zona Untrust. Tambin pueden tener su propia subinterfaz o interfaz fsica dedicada. Trustvsys3 vlan2 Trustvsys2 vlan1 Trustvsys1
vsys1-vr
vsys2-vr
vsys3-vr
vlan3
Una subinterfaz procede de una interfaz fsica, que acta como un puerto troncal. Un puerto troncal permite a un dispositivo de red de capa 2 agrupar trfico de varias VLAN por un nico puerto fsico, clasificando los paquetes por la identidad de VLAN (VID) de los encabezados de las tramas. El entroncamiento VLAN permite a una interfaz fsica soportar varias subinterfaces lgicas, cada una de las cuales debe identificarse por una nica etiqueta VLAN. El identificador de VLAN (etiqueta) de una trama ethernet entrante indica su correspondiente subinterfaz y por tanto el sistema de destino. Cuando se asocia una VLAN con una interfaz o subinterfaz, el dispositivo de seguridad automticamente define el puerto fsico como un puerto troncal. Cuando se utilizan VLAN en el nivel raz en modo Transparente, se deben definir manualmente todos los puertos fsicos como puertos troncales con el siguiente comando CLI: set interface vlan1 vlan trunk.
VLANs con Vsys

Cuando un vsys utiliza una subinterfaz (no una interfaz fsica dedicada) vinculada a la zona Trust-vsys_name, el conmutador interno y el enrutador interno de la zona Trust-vsys_name debe ser capaz de admitir VLAN. Si se crea ms de una subinterfaz en una interfaz fsica, entonces se debe definir el puerto del conmutador de conexin como puerto troncal y asociarlo a todas las VLAN que lo utilicen.
20
Vista general
Captulo 3: Clasificar el trfico segn VLAN
Cuando un vsys utiliza una subinterfaz (no una interfaz compartida o una interfaz fsica dedicada) vinculada a la zona Untrust compartida, el conmutador y el enrutador externos que reciben su trfico entrante y saliente deben ser capaces de admitir VLAN. El enrutador etiqueta las tramas entrantes para que cuando lleguen al dispositivo de seguridad, ste pueda dirigirlas a la subinterfaz correcta. Aunque un vsys no puede estar en modo transparente, porque requiere direcciones IP de interfaz o subinterfaz nicas, el sistema raz puede estar en modo transparente. Para que el sistema raz pueda soportar VLANs an operando en modo transparente, se utiliza el siguiente comando CLI para permitir a las interfaces fsicas vinculadas a las zonas de seguridad de capa 2 actuar como puertos troncales: set interface vlan1 vlan trunk. Consulte Figura 10 para obtener un ejemplo de una VLAN con vsys. Hay tres tareas que un administrador de nivel raz debe realizar para crear una VLAN para un vsys: 1. Entre en un vsys. 2. Defina una subinterfaz. 3. Asocie el vsys con una VLAN.
Figura 10: Ejemplo de VLANs con Vsys
Zona Untrust (Compartida) Dispositivos compatibles VLAN Enrutadores externos Conmutador externo Conmutador interno Enrutadores internos LAN Zona Trust (raz) vlan1 Zona Trust-vsys1
Dispositivo de seguridad Raz
Internet
vsys 1 vsys 2 vlan2
Zona Trust-vsys2
Nota: Un vsys puede compartir enrutadores con el sistema raz o utilizar los suyos propios. Los conmutadores externo e interno deben ser compatibles VLAN si los sistemas virtuales tienen subinterfaces vinculadas a las zonas Untrust y Trust-vsys_name .
NOTA:
Cuando el sistema raz est en modo transparente, no admite sistemas virtuales. No obstante, s admite VLAN de nivel raz, en modo transparente.
Vista general
21
Definir subinterfaces y etiquetas VLAN

La subinterfaz de la zona Trust-vsys_name conecta un vsys a su VLAN interna. La subinterfaz de la zona Untrust conecta un vsys a la WAN pblica, normalmente la Internet. Una subinterfaz tiene los siguientes atributos: Una nica ID VLAN (de 1 a 4095) Una direccin IP pblica o privada (la direccin IP es privada de forma predeterminada) Una mscara de subred tipo A, B o C Una VLAN asociada
NOTA:
Para obtener ms informacin sobre direcciones IP pblicas y privadas, consulte Direcciones IP pblicas en la pgina 2-55 y Direcciones IP privadas en la pgina 2-56. Un vsys puede tener una nica subinterfaz de zona Untrust y subinterfaces de zona multiple Trust-vsys_name. Si un sistema virtual no tiene su propia subinterfaz de zona Untrust, comparte la interfaz de zona Untrust del nivel raz. Los dispositivos de seguridad tambin admiten subinterfaces, las VLAN a nivel raz y las etiquetas VLAN que cumplen con IEEE 802.1Q.
Figura 11: Subinterfaces de VLAN

vsys1 comparte la interfaz de la zona Untrust con el sistema raz. vsys2 y vsys100 tiene sus propias subinterfaces dedicadas vinculadas a la zona Untrust. El sistema raz tiene una interfaz fsica y una subinterfaz vinculada a su zona Trust. vsys1 tiene tres subinterfaces vinculadas a su zona Trust-vsys1, cada una de las cuales lleva a una VLAN diferente. vsys2 tiene dos subinterfaces vinculadas a su zona Trust-vsys2, cada una de las cuales lleva a una VLAN diferente. vsys100 tiene una subinterfaz vinculada a su zona Trust-vsys100. Nota: Todas las ID de LAN virtual deben ser nicas por interfaz fsica. Internet sif if = interfaz fsica sif = subinterfaz if Dispositivo de seguridad if sif sif sif sif sif sif LAN VLAN.1 VLAN.2 VLAN.3 VLAN.4 VLAN.5 VLAN.6
Raz
vsys1 vsys2
sif
vsys100
sif
VLAN.292
Una etiqueta de VLAN es un bit aadido en el encabezado de la trama Ethernet que indica su pertenencia a una VLAN particular. Al vincular una VLAN a un vsys, la etiqueta tambin determina a qu vsys pertenece la trama, y por tanto, qu directiva se aplica a la trama. Si la VLAN no est vinculada a un vsys, se aplica a la trama el conjunto de directivas del sistema raz del dispositivo de seguridad.
22
Un administrador de nivel raz puede crear una VLAN, asignarle los elementos y vincularla a un vsys. La asignacin de elementos a la VLAN puede realizarse por varios mtodos (tipo de protocolo, direccin MAC, nmero de puerto), y queda fuera del mbito de este documento. El administrador vsys, si existe, administra pues el vsys a travs de la creacin de direcciones, usuarios, servicios, VPNs y directivas. Si no hay administrador vsys, entonces un administrador de nivel raz realiza estas tareas.
NOTA:
Si el administrador de nivel raz no asocia una VLAN a un vsys, la VLAN opera dentro del sistema raz del dispositivo de seguridad.
Todas las subredes de un vsys deben ser inconexas; esto es, no debe haber direcciones IP superpuestas entre las subredes del mismo vsys. Por ejemplo: la subinterfaz1 (10.2.2.1 255.255.255.0) y la subinterfaz2 (10.2.3.1 255.255.255.0) son inconexas y enlazan con subredes admisibles. Sin embargo, las subredes con las siguientes subinterfaces se superponen y no son admisibles dentro del sistema vsys: subinterfaz1 (10.2.2.1 255.255.0.0) y subinterfaz2 (10.2.3.1 255.255.0.0). Los rangos de direcciones de las subredes de diferentes vsys pueden superponerse. En este ejemplo, se definen las subinterfaces y las etiquetas VLAN para los tres sistemas virtuales creados en Crear un objeto Vsys y administrador en la pgina 3: vsys1, vsys2 y vsys3. Las dos primeras subinterfaces son para dos sistemas virtuales privados que operan en modo NAT y la tercera subinterfaz para un sistema virtual pblico que opera en modo de ruta. Las subinterfaces son 10.1.1.1/24, 10.2.2.1/24 y 1.3.3.1/24. Las tres subinterfaces se crearn en ethernet3/2. Los tres sistemas virtuales comparten la zona Untrust y su interfaz (ethernet1/1; 1.1.1.1/24) con el sistema raz. La zona Untrust est en el dominio de enrutamiento de untrust-vr. WebUI
1. Subinterfaz y etiqueta VLAN para vsys1
Vsys: Haga clic en Enter (para vsys1). Network > Interfaces > New Sub-IF (para ethernet3/2): Introduzca los siguientes datos y haga clic en OK:
Interface Name: ethernet3/2.1 Zone Name: Trust-vsys1 IP Address/Netmask: 10.1.1.1/24 VLAN Tag: 1 NOTA:
Se pueden definir sistemas virtuales para operar en modo de ruta o en modo NAT. El modo NAT es el predeterminado y no es necesario especificarlo al crear las dos primeras subinterfaces en este ejemplo.
23
2.
Subinterfaz y etiqueta VLAN para vsys2
Vsys: Haga clic en Enter (para vsys2). Network > Interfaces > New Sub-IF (para ethernet3/2): Introduzca los siguientes datos y haga clic en OK:
Interface Name: ethernet3/2.2 Zone Name: Trust-vsys2 IP Address/Netmask: 10.2.2.1/24 VLAN Tag: 2
Vsys: Haga clic en Enter (para vsys3). Network > Interfaces > New Sub-IF (para ethernet3/2): Introduzca los siguientes datos y haga clic en Apply:
Interface Name: ethernet3/2.3 Zone Name: Trust-vsys3 IP Address/Netmask: 1.3.3.1/24 VLAN Tag: 3
Seleccione Interface Mode: Route, luego haga clic en OK. Haga clic en Exit Vsys para volver al nivel raz. CLI
ns-> enter vsys vsys1 ns(vsys1)-> set interface ethernet3/2.1 zone trust-vsys1 ns(vsys1)-> set interface ethernet3/2.1 ip 10.1.1.1/24 tag 1 ns(vsys1)-> save ns(vsys1)-> exit NOTA:
Se pueden definir sistemas virtuales para operar en modo de ruta o en modo NAT. El modo NAT es el predeterminado y no es necesario especificarlo al crear las dos primeras subinterfaces en este ejemplo.
ns-> enter vsys vsys2 ns(vsys2)-> set interface ethernet3/2.2 zone trust-vsys2 ns(vsys2)-> set interface ethernet3/2.2 ip 10.2.2.1/24 tag 2 ns(vsys2)-> save ns(vsys2)-> exit
ns-> enter vsys vsys3 ns(vsys3)-> set interface ethernet3/2.3 zone trust-vsys3 ns(vsys3)-> set interface ethernet3/2.3 ip 1.3.3.1/24 tag 3 ns(vsys3)-> set interface ethernet3/2.3 route ns(vsys3)-> save ns(vsys3)-> exit
24
Comunicacin entre sistemas virtuales

Los elementos de una VLAN dentro de un vsys no tienen restricciones a la comunicacin entre s. Los elementos de las VLAN de sistemas virtuales diferentes no pueden comunicarse entre s a menos que los administradores de los vsys participantes configuren directivas especficas para que ello sea posible. El trfico entre las VLAN de nivel raz opera con los parmetros establecidos por las directivas de nivel raz. El trfico entre las VLAN de sistemas virtuales opera con los parmetros establecidos por las directivas de los sistemas virtuales participantes. El dispositivo de seguridad slo deja pasar el trfico con permiso para salir del sistema virtual de origen y entrar en el sistema virtual de destino. En otras palabras, los administradores vsys de ambos sistemas virtuales deben configurar directivas que permitan al trfico fluir en el sentido apropiado, saliente o entrante.
NOTA:
Los conjuntos de directivas del sistema raz en los sistemas virtuales no se afectan entre s. En este ejemplo, los administradores de vsys1 y vsys2 (consulte Definir subinterfaces y etiquetas VLAN en la pgina 22) configuran directivas para habilitar el trfico entre una estacin de trabajo (work_js con direccin IP 10.1.1.10/32) en VLAN 1 y un servidor (ftp_server con la direccin IP 10.2.2.20/32) en VLAN 2. La conexin es posible si se cumplen las dos condiciones siguientes: El administrador vsys de vsys1 ha configurado una directiva que permite el trfico desde la estacin de trabajo en Trust-vsys1 hacia el servidor en su zona Untrust. El administrador vsys de vsys2 ha configurado una directiva que permite el trfico desde la estacin de trabajo en su zona Untrust hacia el servidor en Trust-vsys2. Tenga en cuenta que el dispositivo de red frente a la interfaz interna del dispositivo de seguridad es un conmutador de capa 2. Esto obliga al trfico desde VLAN 1 hacia VLAN 2 a pasar por el conmutador hacia el dispositivo de seguridad para el enrutamiento de capa 3. Si el dispositivo de red fuera un enrutador de capa 3, el trfico entre VLAN1 y VLAN2 podra pasar por el enrutador, ignorando todas las directivas del dispositivo de seguridad. Los administradores de vsys1 y vsys2 tambin configuran las rutas correspondientes. La zona compartida Untrust est en el untrust-vr y las zonas Trust en vsys1 y vsys2.
25
Figura 12: Comunicacin entre vsys

Dispositivo de seguridad work_js 10.1.1.10/32 Vsys1 Conmutador de capa 2 VLAN 1
ftp_server 10.2.2.20/32 Vsys2 VLAN 2
WebUI
1. Vsys1
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: work_js IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.10/32 Zone: Trust-vsys1
Address Name: ftp_server IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.20/32 Zone: Untrust
Rutas
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address / Netmask: 10.1.1.0/24 Next Hop Virtual Router Name: (seleccione); vsys1-vr
Network > Routing > Routing Entries > vsys1-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0 Gateway: (seleccione) Next Hop Virtual Router Name: (seleccione); untrust-vr
26
Directivas
Policies > (From: Trust-vsys1, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), work_js Destination Address: Address Book Entry: (seleccione), ftp_server Service: FTP-Get Action: Permit
2. Vsys2
Direcciones
Address Name: ftp_server IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.2/032 Zone: Trust-vsys2
Address Name: work_js IP Address/Domain Name: IP/Netmask: (seleccione), 10.1.1.10/32 Zone: Untrust
Rutas
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address / Netmask: 10.2.2.0/24 Next Hop Virtual Router Name: (seleccione); vsys2-vr
Network > Routing > Routing Entries > vsys2-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0 Next Hop Virtual Router Name: (seleccione); untrust-vr
Directivas
Policies > (From: Untrust, To: Trust-vsys2) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), work_js Destination Address: Address Book Entry: (seleccione), ftp_server Service: FTP-Get Action: Permit
27
CLI
1. Vsys1
Direcciones
set address trust-vsys1 work_js 10.1.1.10/32 set address untrust ftp_server 10.2.2.20/32
Rutas
set vrouter untrust-vr route 10.1.1.0/24 vrouter vsys1-vr set vrouter vsys1-vr route 0.0.0.0/0 vrouter untrust-vr
Directivas
set policy from trust-vsys1 to untrust work_js ftp_server ftp-get permit save
2. Vsys2
Direcciones
set address trust-vsys2 ftp_server 10.2.2.20/32 set address untrust work_js 10.1.1.10/32
Rutas
set vrouter untrust-vr route 10.2.2.0/24 vrouter vsys2-vr set vrouter vsys2-vr route 0.0.0.0/0 vrouter untrust-vr
Directiva de vsys2
set policy from untrust to trust-vsys2 work_js ftp_server ftp-get permit save
Network > Zones > Edit (para Internal): Seleccione la casilla de verificacin IP Classification, luego haga clic en OK.
28
Captulo 4
Clasificar el trfico segn IP

Este captulo explica la clasificacin de trfico basado en IP para sistemas virtuales. Contiene las siguientes secciones: Vista general en esta pgina Designar un rango IP al sistema raz en la pgina 30 Configurar la clasificacin del trfico segn IP en la pgina 31
Vista general
La clasificacin del trfico segn IP permite el uso de sistemas virtuales sin VLAN. En lugar de las etiquetas VLAN, el dispositivo de seguridad utiliza las direcciones IP para distribuir el trfico, asociando una subred o un rango de direcciones IP a un sistema en concreto, raz o vsys. Al utilizar exclusivamente la clasificacin del trfico segn IP para distribuir el trfico, todos los sistemas comparten lo siguiente: El untrust-vr y un VR interno definido por el usuario La zona Untrust y una zona interna definida por el usuario Una interfaz de zona Untrust y una interfaz de zona interna definida por el usuario
NOTA:
Aunque se utilice una clasificacin del trfico segn VLAN para el trfico interno, para el trfico externo todos los sistemas usan la zona compartida Untrust y, a menos que un sistema tenga una interfaz dedicada, una interfaz de zona Untrust compartida. La utilizacin de una interfaz compartida en un lado y una interfaz dedicada (con etiquetado VLAN) en el otro constituye una propuesta hbrida. Las clasificaciones del trfico segn VLAN y segn IP pueden coexistir simultneamente en el mismo sistema o en sistemas diferentes.
Vista general
29
Figura 13: Clasificacin del trfico segn IP

Conmutador interno
Al enrutador externo Puerto troncal Interfaz de zona Untrust compartida 210.1.1.1/24 RAZ VSYS1 VSYS2 VSYS3 Nota: Todos los sistemas comparten las zonas Untrust e internas, interfaces de las zonas Untrust e internas, untrust-vr e internal-vr. Interfaz zona interno compartida 10.1.0.1/16
A vsys1 A vsys2 A vsys3 VR INTERNO COMPARTIDO
VR UNTRUST COMPARTIDO
vsys1 10.1.1.0/24 vsys2 10.1.2.0/24 vsys3 10.1.3.0/24 Zona interna compartida
Zona Untrust compartida Internet
Designar un rango IP al sistema raz

Para designar una subred o un rango de direcciones IP al sistema raz o a un sistema virtual previamente creado, se debe proceder como se indica a continuacin en el nivel raz: WebUI Network > Zones > Edit (para zona) > IP Classification: Introduzca los siguientes datos y haga clic en OK:
System: (seleccione root o vsys_name_str) Address Type: (seleccione Subnet e introduzca ip_addr/mask, o seleccione Range e introduzca ip1_addr1 ip2addr2)
CLI
set zone zone ip-classification net ip_addr/mask { root | vsys name_str } set zone zone ip-classification range ip1_addr1-ip1_addr2 { root | vsys name_str }
Debido a que la clasificacin del trfico segn IP requiere la utilizacin de una zona de seguridad compartida, los sistemas virtuales no pueden utilizar direcciones IP internas superpuestas, como s es posible con la clasificacin del trfico segn VLAN. Tambin, debido a que todos los sistemas comparten la misma interfaz interna, los modos de funcionamiento de la interfaz deben ser NAT o modo de ruta; no se pueden mezclar los modos de ruta y NAT para distintos sistemas. En este sentido, el esquema de direccionamiento del planteamiento segn IP no es tan flexible como el que permite el ms comnmente utilizado segn VLAN. El compartir enrutadores virtuales, zonas de seguridad e interfaces es intrnsecamente menos seguro que utilizar un enrutador virtual interno, una zona de seguridad interna e interfaces internas y externas dedicados para cada vsys. Cuando todos los sistemas virtuales comparten las mismas interfaces, un
30
Designar un rango IP al sistema raz
Captulo 4: Clasificar el trfico segn IP
administrador vsys de un vsys puede utilizar el comando snoop para recopilar informacin sobre las actividades del trfico de otros vsys. Tambin, gracias a que la suplantacin de IP es posible en el lado interno, recomendamos que se inhabilite la opcin IP spoofing de SCREEN en la interfaz interna compartida. Para decidir qu esquema de clasificacin del trfico utilizar, se deben sopesar la facilidad de manejo ofrecida por la opcin segn IP por un lado y la mayor seguridad y flexibilidad de direccionamiento ofrecidos por la opcin segn VLAN por otro.
Configurar la clasificacin del trfico segn IP

En este ejemplo, configurar la clasificacin del trfico segn IP para los tres sistemas virtuales creados en Crear un objeto Vsys y administrador en la pgina 3. Se define el trust-vr como compartible. Se crea una nueva zona, denominada Internal y se la vincula al trust-vr. Despus se configura la zona Internal como compartible. Se vincula ethernet3/2 a la zona compartida Internal, se asigna la direccin IP 10.1.0.1/16 y se selecciona el modo NAT. Se vincula ethernet1/2 a la zona compartida Untrust y se le asigna la direccin IP 210.1.1.1/24. La direccin IP de la puerta de enlace predeterminada de la zona Untrust es 210.1.1.250. Las dos zonas Internal y Untrust se encuentran en el dominio de enrutamiento compartido trust-vr. Las subredes y sus respectivas asociaciones a los vsys se muestran a continuacin: 10.1.1.0/24 vsys1 10.1.2.0/24 vsys2 10.1.3.0/24 vsys3 WebUI
1. Enrutadores virtuales, zonas de seguridad e interfaces
Network > Routing > Virtual Routers > Edit (para el trust-vr): Seleccione la casilla de verificacin Shared and accessible by other vsys y luego haga clic en OK. Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: Internal Virtual Router Name: trust-vr Zone Type: Layer 3
Network > Zones > Edit (para Internal): Seleccione la casilla de verificacin Share Zone, luego haga clic en OK. Network > Interfaces > Edit (para ethernet3/2): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Internal IP Address/Netmask: 10.1.0.1/16
Network > Interfaces > Edit (para ethernet1/2): Introduzca los siguientes datos y haga clic en OK:
31
Zone Name: Untrust IP Address/Netmask: 210.1.1.1/24

2. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: ethernet1/2 Gateway IP Address: 210.1.1.250
3. Clasificacin segn IP de la zona Trust
Network > Zones > Edit (para Internal) > IP Classification: Introduzca los siguientes datos y haga clic en OK:
System: vsys1 Address Type: Subnet: (seleccione); 10.1.1.0/24
Network > Zones > Edit (para Internal): Seleccione la casilla de verificacin IP Classification, luego haga clic en OK. CLI
1. Enrutadores virtuales, zonas de seguridad e interfaces
set vrouter trust-vr shared set zone name Internal set zone Internal shared set interface ethernet3/2 zone Internal set interface ethernet3/2 ip 10.1.0.1/16 set interface ethernet3/2 nat set interface ethernet1/2 zone untrust set interface ethernet1/2 ip 210.1.1.1/24
2. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet1/2 gateway 210.1.1.250

3. Clasificacin segn IP de la zona Trust
set zone set zone set zone set zone save
Internal Internal Internal Internal
ip-classification net 10.1.1.0/24 vsys1 ip-classification net 10.1.2.0/24 vsys2 ip-classification net 10.1.3.0/24 vsys3 ip-classification
32
ndice
A
administracin, vsys .......................................................6 administradores ...............................................................1 cambiar contraseas.............................................3, 7 tipos ............................................................................3 sistemas virtuales manejabilidad y seguridad de ................................31 VIP ...............................................................................9 subinterfaces ..................................................................22 configuracin (vsys) ................................................22 creacin (vsys) .........................................................22 varias por vsys .........................................................22 superpuestas, redes .......................................................23
C
clasificacin del trfico segn IP..................................29 clasificacin del trfico segn VLAN ............. 18, 19 a 28 claves software ...............................................................15 claves, vsys .....................................................................15 contraseas del administrador, cambiar ..................3, 7
T
trfico clasificacin ........................................................9 a 17 segn IP ....................................................................29 segn VLAN ................................................18, 19 a 28 trfico de trnsito, clasificacin de vsys .......10 a 13 Transparente, modo ......................................................20 troncales, puertos ..........................................................20
D
direcciones, rangos superpuestos de.....................23, 30
E
estndar VLAN IEEE 802.1Q ........................................19
F
funcionales bsicos, requisitos .......................................3
V
VIP .....................................................................................9 VLAN clasificacin del trfico segn VLAN .......18, 19 a 28 comunicacin con otra VLAN ..................17, 25 a 28 crear ..................................................................21 a 24 entroncamiento .......................................................20 etiqueta ...............................................................21, 22 modo transparente ...........................................20, 21 subinterfaces ............................................................22 VR ......................................................................................5 compartido, crear un ..............................................16 compartidos .............................................................15 VR compartidos .............................................................15 vsys administradores.........................................................6 claves ........................................................................15 objetos, crear .............................................................3
I
interfaces ..........................................................................2 compartidas .......................................................15, 29 dedicadas ...........................................................14, 29 fsica, exportacin desde vsys ...............................18 fsica, importacin de vsys ....................................17 interfaces fsicas exportacin desde vsys ..........................................18 importacin de vsys................................................17
M
MIP, sistemas virtuales ....................................................9 modo transparente ..................................................20, 21
P
puertos troncales ...........................................................20 puertos troncales, modo Transparente .......................20
Z
zonas .................................................................................5 compartidas .............................................................15 vsys .............................................................................5 zonas compartidas.........................................................15 zonas de seguridad consulte zonas
S
ScreenOS VR................................................................................5 zonas...........................................................................5
ndice
IX-I
IX-II
ndice

Ce v10 SP

Загружено:

Сведения о документе

Исходное описание:

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Ce v10 SP

Загружено:

Авторское право:

Доступные форматы

Conceptos y ejemplos Manual de Referencia de ScreenOS

Volumen 10: Sistemas virtuales

Versin 5.3.0, Rev. B

Juniper Networks, Inc.

Conceptos y ejemplos, Manual de Referencia de ScreenOS

Acerca de este volumen

Convenciones del documento

Convenciones del documento

Conceptos y ejemplos, Manual de Referencia de ScreenOS

Convenciones de la interfaz de lnea de comandos (CLI)

Convenciones del documento

Acerca de este volumen

Convenciones para las ilustraciones

Dispositivo de seguridad general Internet

Dominio de enrutamiento virtual Rango de direcciones IP dinmicas (DIP)

Dispositivo de red genrico (ejemplos: servidor NAT, concentrador de acceso)

Tnel VPN Concentrador (hub) Enrutador Telfono IP

Convenciones del documento

Conceptos y ejemplos, Manual de Referencia de ScreenOS

Convenciones de nomenclatura y conjuntos de caracteres

Convenciones del documento

Acerca de este volumen

Convenciones de la interfaz grfica (WebUI)

Convenciones del documento

Conceptos y ejemplos, Manual de Referencia de ScreenOS

Documentacin de Juniper Networks

Documentacin de Juniper Networks

Conceptos y ejemplos, Manual de Referencia de ScreenOS

Tipos de interfaces de la zona Trust

Captulo 1: Sistemas virtuales

Crear un objeto Vsys y administrador

Conceptos y ejemplos, Manual de Referencia de ScreenOS

Captulo 1: Sistemas virtuales

ns-> set vsys vsys3 vrouter share untrust-vr ns(vsys3)-> save

Establecer un enrutador virtual predeterminado para Vsys

Enlazar las zonas a un enrutador virtual compartido

Conceptos y ejemplos, Manual de Referencia de ScreenOS

Iniciar sesin como administrador Vsys

Iniciar sesin como administrador Vsys

Captulo 1: Sistemas virtuales

set admin password I6DIs13guh save

Iniciar sesin como administrador Vsys

Conceptos y ejemplos, Manual de Referencia de ScreenOS

Iniciar sesin como administrador Vsys

Conceptos y ejemplos, Manual de Referencia de ScreenOS

Figura 5: Asociacin de VPN, MIP y VIP

El trfico entrante llega a una interfaz compartida.

Clasificar el trfico de trnsito

El dispositivo de seguridad comprueba si la interfaz de entrada es dedicada o compartida.

Captulo 2: Clasificar el trfico

Asociar el paquete con el ingreso de vsys de interfaz (v-i)

Comprobar si se clasifica por IP origen

Se clasifica por IP origen?

Fallo al clasificar por interfaz entrada/IP origen

Clasificacin del trfico por interfaz de salida/IP de destino

Conceptos y ejemplos, Manual de Referencia de ScreenOS

Asociar el paquete con la salida de vsys de interfaz (v-e)

Comprobar si se clasifica por IP destino

Se clasifica por IP destino?

Fallo al clasificar por interfaz salida/IP destino

Asignacin del trfico al vsys

Captulo 2: Clasificar el trfico