Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
ScreenOS 5.1.0
Ref. 093-1374-000-SP
Revisión B
Copyright Notice The following information is for FCC compliance of Class B devices: The
equipment described in this manual generates and may radiate radio-frequency
Copyright © 2004 Juniper Networks, Inc. All rights reserved. energy. If it is not installed in accordance with NetScreen’s installation
instructions, it may cause interference with radio and television reception. This
Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen equipment has been tested and found to comply with the limits for a Class B
Technologies, GigaScreen, and the NetScreen logo are registered trademarks digital device in accordance with the specifications in part 15 of the FCC rules.
of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, These specifications are designed to provide reasonable protection against
NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, such interference in a residential installation. However, there is no guarantee
NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, that interference will not occur in a particular installation.
NetScreen-Global PRO Express, NetScreen-Remote Security Client,
NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, If this equipment does cause harmful interference to radio or television
NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen reception, which can be determined by turning the equipment off and on, the
ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and user is encouraged to try to correct the interference by one or more of the
registered trademarks are the property of their respective companies. following measures:
Information in this document is subject to change without notice. • Reorient or relocate the receiving antenna.
No part of this document may be reproduced or transmitted in any form or by • Increase the separation between the equipment and receiver.
any means, electronic or mechanical, for any purpose, without receiving written
permission from: • Consult the dealer or an experienced radio/TV technician for help.
Juniper Networks, Inc. • Connect the equipment to an outlet on a circuit different from that to
ATTN: General Counsel which the receiver is connected.
1194 N. Mathilda Ave. Caution: Changes or modifications to this product could void the user's
Sunnyvale, CA 94089-1206 warranty and authority to operate this device.
Contenido
Prefacio ........................................................................ iii Interfaces dedicadas .......................................... 15
Convenciones ........................................................... iv Interfaces compartidas........................................ 15
Se puede dividir lógicamente un sistema de seguridad NetScreen único en varios sistemas virtuales para
proporcionar servicios a múltiples usuarios independientes (multi-tenant). Cada sistema virtual (vsys) es un dominio
de seguridad único y puede ser administrado por sus propios administradores (denominados “administradores de
sistema virtual” o “administradores vsys”) quienes puede personalizar su dominio de seguridad estableciendo sus
propios libros de direcciones, listas de usuarios, servicios personalizados, VPNs y directivas.
El Volumen 9, “Sistemas virtuales” describe los sistemas virtuales, las interfaces dedicadas y compartidas y la
clasificación de tráfico según la VLAN y la IP. Este volumen también describe cómo crear un vsys (se deben tener
privilegios de administrador de nivel raíz) y define los administradores vsys.
CONVENCIONES
Este documento contiene distintos tipos de convenciones, que se explican en las siguientes secciones:
• “Convenciones de la interfaz de línea de comandos (CLI)”
• “Convenciones de la interfaz gráfica (WebUI)” en la página v
• “Convenciones para las ilustraciones” en la página vii
• “Convenciones de nomenclatura y conjuntos de caracteres” en la página viii
Nota: Para escribir palabras clave, basta con introducir los primeros caracteres que permitan al sistema reconocer
de forma inequívoca la palabra que se está introduciendo. Por ejemplo, es suficiente escribir set adm u joe
j12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54 . Aunque este método se
puede utilizar para introducir comandos, en la presente documentación todos ellos se representan con sus
palabras completas.
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de diálogo apropiado, donde
podrá definir objetos y establecer parámetros de ajuste. El conjunto de instrucciones de cada tarea se divide en dos
partes: la ruta de navegación y los datos de configuración. Por ejemplo, el siguiente conjunto de instrucciones
incluye la ruta al cuadro de diálogo de configuración de direcciones y los ajustes de configuración que se deben
realizar:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zone: Untrust
Zone: Untrust
Haga clic
en OK .
Equipo de escritorio
Interfaces de zonas de seguridad
Blanca = interfaz de zona protegida
(ejemplo: zona Trust)
Negra = interfaz de zona externa Equipo portátil
(ejemplo: zona sin confianza o zona Untrust)
Servidor
Icono de enrutador (router)
Nota: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS,
según el conjunto de caracteres que admita el explorador web.
• Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepción de las comillas dobles ( “ ),
que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
Sistemas virtuales
1
1
Se puede dividir lógicamente un sistema de seguridad NetScreen único en varios sistemas virtuales para
proporcionar servicios a múltiples usuarios independientes (multi-tenant). Cada sistema virtual (vsys) es un dominio
de seguridad único y puede ser administrado por sus propios administradores (denominados “administradores de
sistema virtual” o “administradores vsys”) quienes pueden personalizar su dominio de seguridad estableciendo sus
propias libretas de direcciones, listas de usuarios, servicios personalizados, VPNs y directivas.
Nota: Para obtener más información sobre los diversos niveles de administración que admite NetScreen, consulte
“Niveles de administración” en la página 3 -47.
Los sistemas virtuales NetScreen admiten dos tipos de clasificaciones del tráfico: según la VLAN y según la IP;
ambas pueden funcionar concurrentemente o en modo exclusivo. Este capítulo trata los siguientes conceptos e
implementaciones de los sistemas virtuales:
• “Creación de un objeto vsys” en la página 3
– “Enrutadores virtuales” en la página 6
– “Zonas” en la página 7
– “Interfaces” en la página 8
• “Clasificación del tráfico” en la página 10
– “Tráfico destinado al dispositivo NetScreen” en la página 10
– “Tráfico de tránsito” en la página 11
– “Interfaces compartidas y dedicadas” en la página 15
– “Importación y exportación de interfaces físicas” en la página 19
1. Los dispositivos NetScreen se dividen en dos categorías generales: sistemas de seguridad y dispositivos. Sólo los sistemas de seguridad NetScreen pueden
soportar sistemas virtuales. Para ver qué plataformas tienen esta funcionalidad hay que remitirse a la documentación de marketing de NetScreen.
Nota: Los nombres de los vsys, de los administradores y de las contraseñas distinguen mayúsculas y minúsculas.
“Vsys abc” es distinto de “vsys ABC”.
Para vsys1 y vsys2, se utiliza el enrutador virtual predeterminado. Para vsys3, se escoge el untrust-vr de nivel raíz
compartible.
2. Un administrador de nivel raíz puede definir un administrador vsys con privilegios de lectura/escritura y un administrador vsys con privilegios de sólo lectura
por vsys.
3. Sólo un administrador de nivel raíz puede crear un perfil de administrador vsys (nombre de usuario y contraseña). Debido a que el dispositivo NetScreen
utiliza el nombre de usuario para determinar el vsys al que pertenece el usuario, un administrador vsys no puede cambiar su nombre de usuario. Sin
embargo, sí puede (y debe) cambiar su contraseña.
Tras crear un vsys mediante la WebUI, se permanece en el nivel raíz. Para entrar al vsys que acaba de crear, es
necesario un paso más:
Vsys: Haga clic en Enter (para el sistema virtual que se desee introducir).
Aparecen las páginas WebUI del sistema introducido, con el nombre del vsys encima de la parte central de
la imagen, Vsys:Name.
Cuando se crea un vsys mediante la interfaz CLI, inmediatamente se introduce el sistema recién creado. (Para
introducir un vsys existente del nivel raíz, utilice el comando enter vsys name_str ). Cuando se introduce un vsys,
observe que la entradilla (prompt) del comando CLI cambia para incluir el nombre del sistema en el que ahora se
ejecutan los comandos.
WebUI
1. Vsys1
Vsys > New: Introduzca los siguientes datos y haga clic en OK :
Vsys Name: vsys1
Vsys Admin Name: Alice
Vsys Admin New Password: wIEaS1v1
Confirm New Password: wIEaS1v1
Virtual Router:
Create a default virtual router: (seleccione)
2. Vsys2
Vsys > New: Introduzca los siguientes datos y haga clic en OK :
Vsys Name: vsys2
Vsys Admin Name: Bob
Vsys Admin New Password: pjF56Ms2
Confirm New Password: pjF56Ms2
Virtual Router:
Create a default virtual router: (seleccione)
3. Vsys3
Vsys > New: Introduzca los siguientes datos y haga clic en OK :
Vsys Name: vsys3
Virtual Router:
Select an existing virtual router: (seleccione), untrust-vr
CLI
1. Vsys1
ns-> set vsys vsys1
ns(vsys1)-> set admin name Alice
ns(vsys1)-> set admin password wIEaS1v1
4
ns(vsys1)-> save
ns(vsys1)-> exit
2. Vsys2
ns-> set vsys vsys2
ns(vsys2)-> set admin name Bob
ns(vsys2)-> set admin password pjF56Ms2
ns(vsys2)-> save
ns(vsys2)-> exit
3. Vsys3
ns-> set vsys vsys3 vrouter share untrust-vr
ns(vsys3)-> save
4. Tras ejecutar los comandos, se debe ejecutar un comando save antes del comando exit, ya que de lo contrario el dispositivo NetScreen perderá los
cambios.
Enrutadores virtuales
Cuando un administrador del nivel raíz crea un objeto vsys, automáticamente el vsys dispone de los siguientes
enrutadores virtuales para su uso:
• Todos los enrutadores virtuales de nivel raíz compartidos, como el untrust-vr
Del mismo modo que un vsys y el sistema raíz comparten la zona Untrust, también comparten el
untrust-vr y cualquier otro enrutador virtual definido en el nivel raíz como compartible.
• Su propio enrutador virtual
De forma predeterminada, a un enrutador virtual de nivel vsys se le llama vsysname-vr. Se puede
también personalizar su nombre para darle mayor significado. Éste es un enrutador virtual vsys
específico que, de forma predeterminada, mantiene la tabla de enrutamiento de la zona
Trust-vsysname. Los enrutadores virtuales de nivel vsys no pueden ser compartidos.
Se puede seleccionar cualquier enrutador virtual compartido o el enrutador virtual de nivel vsys como enrutador
virtual predeterminado para un vsys. Para cambiar el enrutador virtual predeterminado, entre en el vsys y utilice el
siguiente comando CLI: set vrouter name default-vrouter .
Si un administrador de nivel raíz desea que todas las zonas vsys estén en el dominio de enrutamiento untrust-vr
(por ejemplo, si todas las interfaces vinculadas a la zona Trust-vsysname están en modo de ruta) puede prescindir
del vsysname-vr cambiando los enlaces de la zona de seguridad de nivel vsys del vsysname-vr al untrust-vr. Para
obtener más información sobre enrutadores virtuales, consulte “Enrutadores virtuales” en la página 6 -21.
Nota: Esta versión de ScreenOS admite enrutadores virtuales definidos por el usuario dentro de un sistema virtual.
Zonas
Cada sistema virtual (vsys) es un único dominio de seguridad y puede compartir zonas de seguridad con el sistema
raíz y tener sus propias zonas de seguridad. Cuando un administrador de nivel raíz crea un objeto vsys,
automáticamente se crean o heredan las siguientes zonas:
• Todas las zonas compartidas (heredadas del sistema raíz).
• La zona Null compartida (heredada del sistema raíz).
• La zona Trust-vsysname.
• La zona Untrust-Tun-vsysname.
• La zona Global-vsysname.
Nota: Para obtener más información sobre cada uno de estos tipos de zonas, consulte , “Zonas” en la
página 2 -31.
Cada vsys puede soportar también zonas de seguridad adicionales definidas por el usuario. Se pueden vincular
estas zonas a cualquiera de los enrutadores virtuales compartidos definidos en el nivel raíz o al enrutador virtual
dedicado a este vsys. Para crear una zona de seguridad para un vsys denominado vsys1, utilice cualquiera de los
siguientes procedimientos:
WebUI
Vsys > Enter (para vsys1)
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK :
Zone Name: (escriba un nombre para la zona)
Virtual Router Name: (seleccione un enrutador virtual de la lista desplegable)
Zone Type: Layer 3
CLI
ns-> enter vsys vsys1
ns (vsys1)-> set zone name name_str
ns(vsys1)-> set zone vrouter vrouter
ns(vsys1)-> save
El número máximo de zonas de seguridad que un vsys o el sistema raíz puede contener está limitado sólo por el
5
número de zonas de seguridad disponibles en el nivel de dispositivo . Un único vsys puede consumir todas las
zonas de seguridad disponibles si el administrador raíz o un administrador de lectura/escritura de nivel raíz las
asigna todas a ese vsys en concreto. A la inversa, si todos los sistemas virtuales comparten zonas de seguridad de
nivel raíz y no utilizan ninguna zona de nivel vsys definida por el usuario, entonces todas las zonas de seguridad
están disponibles para uso de nivel raíz.
Interfaces
Un vsys admite los siguientes tres tipos de interfaces para sus zonas Untrust y Trust:
*
Para obtener información sobre los conceptos de etiquetado VLAN y entroncamiento, consulte “VLANs” en la página 23.
†
Para obtener más información sobre clasificación del tráfico según la IP, consulte “Clasificación del tráfico según IP” en la página 34.
Se puede vincular uno, dos o los tres tipos de interfaces antes mencionados a una zona de seguridad
concurrentemente. Se pueden también vincular varias interfaces de cada tipo a una zona.
5. El número total de zonas de seguridad definidas por el usuario (o “personalizadas”) en el nivel de dispositivo es la suma del número de zonas personalizadas
de nivel raíz, definidas por una o más claves de licencia de zona, y el número de zonas personalizadas permitidas por la clave de licencia de vsys.
trust-vr
untrust-vr Finance
DMZ
Mail Trust Eng
Interfaz compartida
por vsys1 y raíz
sistema raíz vsys1-vr
Trust-vsys1
Untrust Subinterfaz vsys1
dedicada
para vsys2 vsys2-vr
vsys2
Trust-vsys2
vsys3
Interfaz física
dedicada para
vsys3 vsys3-vr
Trust-vsys3
El tráfico entrante también puede llegar al vsys a través de túneles VPN; sin embargo, si la interfaz de salida es una
interfaz compartida, no se puede crear un túnel VPN AutoKey IKE para un vsys y el sistema raíz hacia el mismo
punto remoto.
Tráfico de tránsito
Para el tráfico dirigido a una dirección IP más allá del dispositivo NetScreen (también conocido como “tráfico de tránsito”),
el dispositivo utiliza técnicas que son posibles gracias a la clasificación del tráfico según VLAN y según IP. La
6
clasificación del tráfico según VLAN utiliza etiquetas VLAN en el encabezado de la trama para identificar el sistema al
que pertenece el tráfico entrante. La clasificación del tráfico según IP utiliza las direcciones IP de origen y destino de los
encabezados de los paquetes IP para identificar el sistema al que pertenece el tráfico. El procedimiento que utiliza el
dispositivo NetScreen para determinar el sistema al que pertenece un paquete comprende los siguientes pasos:
1. Clasificación del tráfico por interfaz de entrada/IP de origen
7
El dispositivo NetScreen comprueba si la interfaz de entrada es dedicada o compartida .
1. Si la interfaz de entrada está dedicada a un vsys (por ejemplo “v-e”), el dispositivo NetScreen asocia el
tráfico con el sistema al que está dedicada la interfaz.
2. Si la interfaz de entrada es compartida, el dispositivo NetScreen utiliza la clasificación por IP para
comprobar si la dirección IP de origen está asociada a un vsys en concreto.
– Si la dirección IP de origen no está asociada a un vsys en concreto, la clasificación por IP de entrada
falla.
– Si la dirección IP de origen está asociada a un vsys en concreto, la clasificación por IP de entrada
tiene éxito.
2. Clasificación del tráfico por interfaz de salida/IP de destino
El dispositivo NetScreen comprueba si la interfaz de salida es compartida o dedicada.
1. Si la interfaz de salida está dedicada a un vsys (por ejemplo “v-s”), el dispositivo NetScreen asocia el
tráfico con el sistema al que está dedicada la interfaz.
2. Si la interfaz de salida es compartida, el dispositivo NetScreen utiliza la clasificación por IP para
comprobar si la dirección IP de destino está asociada a un vsys en concreto.
– Si la dirección IP de destino no está asociada a un vsys en concreto, la clasificación por IP de salida falla.
– Si la dirección IP de destino está asociada a un vsys en concreto, la clasificación por IP de salida tiene
éxito.
6. El etiquetado VLAN requiere el uso de subinterfaces. Una subinterfaz debe estar dedicada a un sistema, en contraste con una interfaz compartida, que es
compartida por todos los sistemas.
7. Para obtener más información sobre interfaces dedicadas y compartidas, consulte “Interfaces compartidas y dedicadas” en la página 15.
Comprobar la Comprobar la
interfaz de entrada. interfaz de salida.
N N
¿Interfaz ¿Interfaz
compartida? compartida?
Comprobar la Comprobar la
clasificación por IP clasificación por IP
de origen. de destino.
N N
¿Clasificada ¿Clasificada
por IP org? por IP dest?
3 Después de realizar la clasificación del tráfico por interfaz de entrada/IP de origen (E/O) y por interfaz
de salida/IP de destino (S/D), el dispositivo NetScreen utiliza los resultados para determinar la
distribución del tráfico.
¿Éxito de la N
clas. E/O?
S
¿Éxito de la N
clas. S/D?
¿Éxito de la N
clas. S/D? Descartar
S
Usar el conjunto de
S directivas y la tabla de Usar el conjunto de
rutas del vsys “v-e”. directivas y la tabla de
rutas del vsys “v-s”.
¿Mismo N
vsys?
S
¿Zona N
Usar el conjunto de directivas compartida?
y la tabla de rutas del vsys
“v-e”/“v-s”. Aplicar el conjunto de directivas y
S la tabla de rutas del vsys “v-e” y
después los del “v-s”.
¿Tráfico N
intrazonal?
Descartar
S
Nota: Cuando un sistema tiene una subinterfaz dedicada, el dispositivo NetScreen debe emplear la clasificación
del tráfico según VLAN para distribuir adecuadamente el tráfico entrante.
Interfaces compartidas
Un sistema, virtual o raíz, puede compartir una interfaz con otro sistema. Para que una interfaz pueda ser
compartida, se debe configurar en el nivel raíz y vincularla a una zona compartida de un enrutador virtual
compartido. De forma predeterminada, el VR predefinido untrust-vr es un enrutador virtual compartido y la zona
predefinida Untrust es una zona compartida. Por consiguiente, un vsys puede compartir cualquier interfaz física,
subinterfaz, interfaz redundante o interfaz agregada del nivel raíz que se vincule a la zona Untrust.
Para crear una interfaz compartida en una zona distinta de la zona Untrust, se debe definir la zona como
8
compartida en el nivel raíz . Para ello, la zona debe estar en un enrutador virtual compartido, como el untrust-vr u
otro enrutador virtual de nivel raíz que se defina como compartible. Después, cuando se vincula una interfaz de
nivel raíz a la zona compartida, automáticamente pasa a ser una interfaz compartida.
Nota: Para crear un enrutador virtual, es necesario obtener una clave de licencia vsys, que capacita para definir
sistemas virtuales, enrutadores virtuales y zonas de seguridad para su uso en un vsys o en el sistema raíz.
Un enrutador virtual compartido admite zonas de seguridad de nivel raíz compartibles y no compartibles. Se puede
definir una zona de nivel raíz vinculada a un enrutador virtual compartido como compartible o no. Cualquier zona de
nivel raíz que se vincule a un enrutador virtual compartido y se defina como compartible pasa a ser una zona
compartida, disponible para ser utilizada también por los sistemas virtuales. Cualquier zona de nivel raíz que se
vincule a un enrutador virtual compartido y se defina como no compartible permanece como una zona dedicada
para uso exclusivo del sistema raíz. Si se vincula una zona de nivel vsys al enrutador virtual dedicado a ese vsys o
a un enrutador virtual compartido creado en el sistema raíz, la zona permanece como zona dedicada, disponible
para uso exclusivo del vsys para el que se creó.
Una zona compartida admite interfaces compartidas y dedicadas. Cualquier interfaz de nivel raíz que se vincule a
una zona compartida pasa a ser una interfaz compartida, disponible para ser utilizada también por los sistemas
virtuales. Cualquier interfaz de nivel vsys que se vincule a una zona compartida permanece como interfaz dedicada,
disponible sólo para uso del vsys para el que se creó.
Una zona no compartible sólo puede ser utilizada por el sistema en el que se creó y sólo admite interfaces
dedicadas para dicho sistema. Todas las zonas de nivel vsys son no compartibles.
Para crear una interfaz compartida, se debe crear un enrutador virtual compartido (o utilizar el predefinido
untrust-vr), crear un zona de seguridad compartida (o utilizar la zona predefinida Untrust) y después vincular la
interfaz a la zona compartida. Se pueden realizar los tres pasos en el sistema raíz.
8. Para que esté disponible la opción de zona compartida, el dispositivo NetScreen debe operar en la capa 3, lo que significa que se debe asignar previamente
una dirección IP al menos a una interfaz de nivel raíz.
Nota: En el momento de publicar esta versión, sólo se puede definir una zona compartida mediante CLI.
CLI
set zone name name_str
set zone zone vrouter sharable_vr_name_str
set zone zone shared
3. Para crear una interfaz compartida, proceda como se indica a continuación en el nivel raíz:
WebUI
Network > Interfaces > New (o Edit para una interfaz que ya existe): Configure la interfaz y vincúlela a una
zona compartida y haga clic en OK .
CLI
set interface interface zone shared_zone_name_str
Cuando dos o más sistemas comparten una interfaz, el dispositivo NetScreen debe emplear la clasificación
del tráfico según IP para distribuir adecuadamente el tráfico entrante. (Para obtener más información sobre
la clasificación del tráfico según IP, incluyendo un ejemplo que muestre cómo configurarlo para varios vsys,
consulte “Clasificación del tráfico según IP” en la página 34).
Nota: Antes de poder importar una interfaz a un sistema virtual, debe estar en la zona Null en el nivel raíz.
3. Salir de vsys1
Haga clic en el botón Exit Vsys (en la parte inferior de la columna de menú) para volver al nivel raíz.
CLI
1. Introducir vsys1
ns-> enter vsys vsys1
2. Importar y definir la interfaz
ns(vsys1)-> set interface ethernet4/1 import
ns(vsys1)-> set interface ethernet4/1 zone untrust
ns(vsys1)-> set interface ethernet4/1 ip 1.1.1.1/24
ns(vsys1)-> save
3. Salir de vsys1
ns(vsys1)-> exit
WebUI
1. Introducir vsys1
Vsys: Haga clic en Enter (para vsys1).
2. Exportar la interfaz
Network > Interfaces > Edit (para ethernet4/1): Introduzca los siguientes datos y haga clic en OK :
Zone Name: Null
IP Address/Netmask: 0.0.0.0/0
Network > Interfaces: Haga clic en Export (para ethernet4/1).
(La interfaz ethernet4/1 está disponible ahora para su uso en el sistema raíz o en otro vsys).
3. Salir de vsys1
Haga clic en el botón Exit Vsys (en la parte inferior de la columna de menú) para volver al nivel raíz.
CLI
1. Introducir vsys1
ns-> enter vsys vsys1
2. Exportar la interfaz
ns(vsys1)-> unset interface ethernet4/1 ip
ns(vsys1)-> unset interface ethernet4/1 zone
ns(vsys1)-> unset interface ethernet4/1 import
This command will remove all objects associated with interface, continue? y/[n] y
ns(vsys1)-> save
(La interfaz ethernet4/1 está disponible ahora para su uso en el sistema raíz o en otro vsys).
3. Salir de vsys1
ns(vsys1)-> exit
Trust- vsys1-vr
vlan1 vsys1
Raíz
Zona Untrust compartida
Vsys1
Internet
Trust- vsys2-vr
Vsys2 vlan2 vsys2
Vsys3
Trust-
vlan3 vsys3 vsys3-vr
Nota: Todos los sistemas virtuales se muestran compartiendo la
interfaz de la zona Untrust. También pueden tener su propia
subinterfaz o interfaz física dedicada.
VLANs
Cada VLAN se une a un sistema a través de una subinterfaz. Si un vsys comparte la interfaz de la zona Untrust con
el sistema raíz y tiene una subinterfaz vinculada a su zona Trust-vsys_name, el vsys debe asociarse a una VLAN
en la zona Trust-vsys_name. Si el vsys también tiene su propia subinterfaz vinculada a la zona Untrust, el vsys
debe también asociarse a otra VLAN en la zona Untrust.
Una subinterfaz procede de una interfaz física, que actúa como un puerto troncal. Un puerto troncal permite a un
dispositivo de red de capa 2 agrupar tráfico de varias VLAN por un único puerto físico, clasificando los paquetes por
la identidad de VLAN (VID) de los encabezados de las tramas. El entroncamiento VLAN permite que una interfaz
física admita varias subinterfaces lógicas, cada una de las cuales debe identificarse por una única etiqueta VLAN.
El identificador de VLAN (etiqueta) de una trama ethernet entrante indica su correspondiente subinterfaz y por tanto
el sistema de destino. Cuando se asocia una VLAN con una interfaz o subinterfaz, el dispositivo NetScreen
automáticamente define el puerto físico como un puerto troncal. Cuando se utilizan VLAN en el nivel raíz en modo
transparente, se deben definir manualmente todos los puertos físicos como puertos troncales con el siguiente
comando CLI: set interface vlan1 vlan trunk .
Dispositivos compatibles
VLAN
Zona Untrust Enrutadores Conmutador Conmutador Enrutadores
(Compartida) externos externo interno internos
Dispositivo
NetScreen Zona Trust
LAN
(Raíz)
Raíz
Zona
vsys 1 vlan1 Trust-vsys1
Internet
vsys 2
Zona
vlan2 Trust-vsys2
Nota: Un vsys puede compartir enrutadores con el sistema raíz o utilizar los suyos propios.
Los conmutadores externo e interno deben ser compatibles VLAN si los sistemas virtuales
tienen subinterfaces vinculadas a las zonas Untrust y Trust-vsys_name .
Cuando un vsys utiliza una subinterfaz (no una interfaz física dedicada) vinculada a la zona Trust-vsys_name, el
conmutador interno y el enrutador interno de la zona Trust-vsys_name debe ser capaz de admitir VLAN. Si se crea
más de una subinterfaz en una interfaz física, entonces se debe definir el puerto del conmutador de conexión como
puerto troncal y asociarlo a todas las VLANs que lo utilicen.
Cuando un vsys utiliza una subinterfaz (no una interfaz compartida o una interfaz física dedicada) vinculada a la
zona Untrust compartida, el conmutador y el enrutador externos que reciben su tráfico entrante y saliente deben ser
capaces de admitir VLAN. El enrutador etiqueta las tramas entrantes para que cuando lleguen al dispositivo
NetScreen, éste pueda dirigirlas a la subinterfaz correcta.
Aunque un vsys no puede estar en modo transparente, porque requiere direcciones IP de interfaz o subinterfaz
11
únicas, el sistema raíz puede estar en modo transparente . Para que el sistema raíz pueda soportar VLANs
aunque funcione en modo transparente, se utiliza el siguiente comando CLI para permitir a las interfaces físicas
vinculadas a las zonas de seguridad de capa 2 actuar como puertos troncales: set interface vlan1 vlan trunk .
11. Cuando el sistema raíz está en modo transparente, no admite sistemas virtuales. No obstante, sí admite VLANs de nivel raíz.
12. Para obtener más información sobre direcciones IP públicas y privadas, consulte “Direcciones IP públicas” en la página 2 -68 y “Direcciones IP privadas”
en la página 2 -69.
…
cada una de las cuales lleva a una
VLAN diferente.
vsys100 tiene una subinterfaz
vinculada a su zona Trust-vsys100. sif sif VLAN.292
vsys100
Nota: Todas las IDs VLAN deben ser
exclusivas de cada interfaz física.
El dispositivo NetScreen admite las etiquetas VLAN compatibles con IEEE 802.1Q. Una etiqueta es un añadido en
el encabezado de la trama Ethernet que indica su pertenencia a una VLAN particular. Al vincular una VLAN a un
vsys, la etiqueta también determina a qué vsys pertenece la trama, y por tanto, qué directiva se aplica a la trama. Si
la VLAN no está vinculada a un vsys, se aplica a la trama el conjunto de directivas del sistema raíz del dispositivo
NetScreen.
Un administrador de nivel raíz puede crear una VLAN, asignarle los elementos y vincularla a un vsys. (La
asignación de elementos a la VLAN puede realizarse por varios métodos, tipo de protocolo, dirección MAC, número
de puerto, y queda fuera del alcance de este documento). El administrador vsys, si existe, administra pues el vsys a
través de la creación de direcciones, usuarios, servicios, VPNs y directivas. Si no hay administrador vsys, entonces
un administrador de nivel raíz realiza estas tareas.
Nota: Si el administrador de nivel raíz no asocia una VLAN a un vsys, la VLAN opera dentro del sistema raíz del
dispositivo NetScreen.
Hay tres tareas que un administrador de nivel raíz debe realizar para crear una VLAN para un vsys: introducir un
sistema virtual, definir una subinterfaz y asociarla a una VLAN.
Nota: Todas las subredes de un vsys deben ser inconexas; esto es, no debe haber direcciones IP superpuestas
entre las subredes del mismo vsys. Por ejemplo: la subinterfaz1 (10.2.2.1 255.255.255.0) y la subinterfaz2
(10.2.3.1 255.255.255.0) son inconexas, y por tanto, enlazan con subredes admisibles.
Sin embargo, las subredes con las siguientes subinterfaces se superponen y no son admisibles dentro del sistema
vsys: subinterfaz1 (10.2.2.1 255.255.0.0) y subinterfaz2 (10.2.3.1 255.255.0.0).
Los rangos de direcciones de las subredes de diferentes sistemas virtuales pueden superponerse.
WebUI
1. Subinterfaz y etiqueta VLAN para vsys1
Vsys: Haga clic en Enter (para vsys1).
Network > Interfaces > New Sub-IF (para ethernet3/2): Introduzca los siguientes datos y haga clic en OK :
Interface Name: ethernet3/2.1
Zone Name: Trust-vsys1
13. Se pueden definir sistemas virtuales para operar en modo de ruta o en modo NAT. El modo NAT es el predeterminado y no es necesario especificarlo al
crear las dos primeras subinterfaces en este ejemplo.
CLI
1. Subinterfaz y etiqueta VLAN para vsys1
ns-> enter vsys vsys1
ns(vsys1)-> set interface ethernet3/2.1 zone trust-vsys1
14
ns(vsys1)-> set interface ethernet3/2.1 ip 10.1.1.1/24 tag 1
ns(vsys1)-> save
ns(vsys1)-> exit
2. Subinterfaz y etiqueta VLAN para vsys2
ns-> enter vsys vsys2
ns(vsys2)-> set interface ethernet3/2.2 zone trust-vsys2
ns(vsys2)-> set interface ethernet3/2.2 ip 10.2.2.1/24 tag 2
ns(vsys2)-> save
ns(vsys2)-> exit
3. Subinterfaz y etiqueta VLAN para vsys3
ns-> enter vsys vsys3
ns(vsys3)-> set interface ethernet3/2.3 zone trust-vsys3
ns(vsys3)-> set interface ethernet3/2.3 ip 1.3.3.1/24 tag 3
ns(vsys3)-> set interface ethernet3/2.3 route
ns(vsys3)-> save
ns(vsys3)-> exit
14. Se pueden definir sistemas virtuales para operar en modo de ruta o en modo NAT. El modo NAT es el predeterminado y no es necesario especificarlo al
crear las dos primeras subinterfaces en este ejemplo.
15. El conjunto de directivas del sistema raíz no afecta al conjunto de directivas de los sistemas virtuales y viceversa.
Dispositivo NetScreen
Conmutador work_js
de capa 2 10.1.1.10/32
Vsys1 VLAN 1
ftp_server
10.2.2.20/32
VLAN 2
Vsys2
WebUI
1. Vsys1
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: work_js
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.10/32
Zone: Trust-vsys1
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: ftp_server
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.20/32
Zone: Untrust
Rutas
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address/Netmask: 10.1.1.0/24
Next Hop Virtual Router Name: (seleccione); vsys1-vr
Network > Routing > Routing Entries > vsys1-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Next Hop Virtual Router Name: (seleccione); untrust-vr
Directiva
Policies > (From: Trust-vsys1, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), work_js
Destination Address:
Address Book Entry: (seleccione), ftp_server
Service: FTP-Get
Action: Permit
2. Vsys2
Direcciones
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: ftp_server
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.2/32
Zone: Trust-vsys2
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: work_js
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.1.1.10/32
Zone: Untrust
Rutas
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address/Netmask: 10.2.2.0/24
Next Hop Virtual Router Name: (seleccione); vsys2-vr
Network > Routing > Routing Entries > vsys2-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address/Netmask: 0.0.0.0/0
Next Hop Virtual Router Name: (seleccione); untrust-vr
Directiva
Policies > (From: Untrust, To: Trust-vsys2) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), work_js
Destination Address:
Address Book Entry: (seleccione), ftp_server
Service: FTP-Get
Action: Permit
CLI
1. Vsys1
Direcciones
set address trust-vsys1 work_js 10.1.1.10/32
set address untrust ftp_server 10.2.2.20/32
Rutas
set vrouter untrust-vr route 10.1.1.0/24 vrouter vsys1-vr
set vrouter vsys1-vr route 0.0.0.0/0 vrouter untrust-vr
Directiva
set policy from trust-vsys1 to untrust work_js ftp_server ftp-get permit
save
2. Vsys2
Direcciones
set address trust-vsys2 ftp_server 10.2.2.20/32
set address untrust work_js 10.1.1.10/32
3. Rutas
set vrouter untrust-vr route 10.2.2.0/24 vrouter vsys2-vr
set vrouter vsys2-vr route 0.0.0.0/0 vrouter untrust-vr
4. Directiva de vsys2
set policy from untrust to trust-vsys2 work_js ftp_server ftp-get permit
save
vsys3 vsys3
10.1.3.0/24
Nota: Todos los sistemas comparten las zonas Untrust e interna, las
interfaces de las zonas Untrust e interna y el untrust-vr y el VR interno.
16. Aunque se utilice una clasificación del tráfico según VLAN para el tráfico interno, para el tráfico externo todos los sistemas usan la zona compartida Untrust
y, a menos que un sistema tenga una interfaz dedicada, una interfaz de zona Untrust compartida. La utilización de una interfaz compartida en un lado y una
interfaz dedicada (con etiquetado VLAN) en el otro constituye una propuesta híbrida. Las clasificaciones del tráfico según VLAN y según IP pueden coexistir
simultáneamente en el mismo sistema o en sistemas diferentes.
Para designar una subred o un rango de direcciones IP al sistema raíz o a un sistema virtual previamente creado,
se debe proceder como se indica a continuación en el nivel raíz:
WebUI
Network > Zones > Edit (para zona ) > IP Classification: Introduzca los siguientes datos y haga clic en OK :
System: (seleccione root o vsys_name_str )
Address Type: (seleccione Subnet e introduzca ip_addr/mask , o
seleccione Range e introduzca ip_addr1 – ip_addr2 )
CLI
set zone zone ip-classification net ip_addr/mask { root | vsys name_str }
set zone zone ip-classification range ip_addr1-ip_addr2 { root | vsys name_str }
Debido a que la clasificación del tráfico según IP requiere la utilización de una zona de seguridad compartida, los
sistemas virtuales no pueden utilizar direcciones IP internas superpuestas, como sí es posible con la clasificación
del tráfico según VLAN. También, debido a que todos los sistemas comparten la misma interfaz interna, los modos
de operación de la interfaz deben ser NAT o modo de ruta; no se pueden mezclar los modos de ruta y NAT para
distintos sistemas. En este sentido, el esquema de direccionamiento del planteamiento según IP no es tan flexible
como el que permite el más comúnmente utilizado según VLAN.
Además, compartir enrutadores virtuales, zonas de seguridad e interfaces es intrínsecamente menos seguro que
utilizar un enrutador virtual interno, una zona de seguridad interna e interfaces internas y externas dedicados para
cada vsys. Cuando todos los sistemas virtuales comparten las mismas interfaces, un administrador vsys de un vsys
puede utilizar el comando snoop para recopilar información sobre las actividades del tráfico de otros vsys.
También, gracias a que la suplantación de IP es posible en el lado interno, Juniper Networks recomienda que se
inhabilite la opción IP spoofing de SCREEN en la interfaz interna compartida. Para decidir qué esquema de
clasificación del tráfico utilizar, se deben sopesar la facilidad de manejo ofrecida por la opción según IP por un lado
y la mayor seguridad y flexibilidad de direccionamiento ofrecidos por la opción según VLAN por otro.
WebUI
1. Enrutadores virtuales, zonas de seguridad e interfaces
Network > Routing > Virtual Routers > Edit (para trust-vr): Seleccione la casilla de verificación Shared and
accessible by other vsys y haga clic en OK .
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK :
Zone Name: Internal
Virtual Router Name: trust-vr
Zone Type: Layer 3
Network > Zones > Edit (para Internal): Seleccione la casilla de verificación Share Zone y haga clic en OK .
Network > Interfaces > Edit (para ethernet3/2): Introduzca los siguientes datos y haga clic en OK :
Zone Name: Internal
IP Address/Netmask: 10.1.0.1/16
Network > Interfaces > Edit (para ethernet1/2): Introduzca los siguientes datos y haga clic en OK :
Zone Name: Untrust
IP Address/Netmask: 210.1.1.1/24
2. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address/Netmask: 0.0.0.0/0
Gateway: (seleccione)
Interface: ethernet1/2
Gateway IP Address: 210.1.1.250
CLI
1. Enrutadores virtuales, zonas de seguridad e interfaces
set vrouter trust-vr shared
set zone name Internal
set zone Internal shared
set interface ethernet3/2 zone Internal
set interface ethernet3/2 ip 10.1.0.1/16
set interface ethernet3/2 nat
set interface ethernet1/2 zone untrust
set interface ethernet1/2 ip 210.1.1.1/24
2. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet1/2 gateway 210.1.1.250
3. Clasificación según IP de la zona Trust
set zone Internal ip-classification net 10.1.1.0/24 vsys1
set zone Internal ip-classification net 10.1.2.0/24 vsys2
set zone Internal ip-classification net 10.1.3.0/24 vsys3
set zone Internal ip-classification
save
Nota: Un administrador vsys no puede cambiar su nombre de inicio de sesión (nombre de usuario) porque el
dispositivo NetScreen utiliza su nombre, que debe ser único entre todos los administradores vsys, para enrutar la
conexión de inicio de sesión al vsys apropiado.
WebUI
1. Acceso
En el campo URL del explorador web, introduzca la dirección IP de la interfaz de la zona Untrust para
vsys1.
Cuando aparezca el cuadro de diálogo Network Password, introduzca los datos siguientes y haga clic en OK :
User Name: jsmith
Password: Pd50iH10
2. Cambio de contraseña
Configuration > Admin > Administrators: Introduzca los siguientes datos y haga clic en OK :
Vsys Admin Old Password: Pd50iH10
Vsys Admin New Password: I6Dls13guh
Confirm New Password: I6Dls13guh
3. Finalización de la sesión
Haga clic en Logout , ubicado en la parte inferior de la columna del menú.
CLI
1. Acceso
Desde la entradilla (prompt) de la línea de comandos de una sesión de Secure Command Shell (SCS),
Telnet o HyperTerminal, se introduce la dirección IP de la interfaz de la zona Untrust de vsys1.
Acceda con los siguientes nombre de usuario y contraseña:
– User Name: jsmith
– Password: Pd50iH10
2. Cambio de contraseña
set admin password I6DIs13guh
save
3. Finalización de la sesión
exit
Índice
A N subinterfaces 24
administración nombres configuración (vsys) 24
administrador vsys 39 convenciones viii creación (vsys) 24
definición 26
C P varias subinterfaces por vsys 24
clasificación del tráfico según IP 34 puertos
CLI troncales 24 T
convenciones iv puertos troncales 24 tráfico
conjuntos de caracteres compatibles con configuración manual 23 clasificación del tráfico según VLAN 22
ScreenOS viii definición 23 clasificación, según IP 34
contraseña
tráfico de tránsito, clasificación de vsys 11–14
administrador vsys 39
convenciones
S
CLI iv
ScreenOS
sistemas virtuales, VRs 6
V
ilustración vii VIP
sistemas virtuales, zonas 7
nombres viii sistemas virtuales 10
sistema virtual 1–40
WebUI v VLANs
administradores iii, 1
cambio de la contraseña del clasificación del tráfico según VLAN 22
D administrador 3, 39 comunicación con otra VLAN 29–33
definición clasificación del tráfico 10–18 crear 26–28
subinterfaces 26 clasificación del tráfico según IP 34–38 entroncamiento 23
clasificación del tráfico según VLAN 22–33 etiqueta 24, 25
E clave software 16
creación de un objeto vsys 3
modo transparente 23, 24
estándar VLAN IEEE 802.1Q 22 exportación de una interfaz física 20 subinterfaces 24
importación de una interfaz física 19 VRs
I interfaces 8 compartidas 15
creación de un VR compartido 17
ilustración manejabilidad y seguridad 35
convenciones vii MIP 10
inicio de sesión modo transparente 23
rangos de direcciones superpuestos 26, 35
W
vsys 34, 39 WebUI
interfaces requisitos funcionales básicos 3
subredes superpuestas 26 convenciones v
compartidas 15, 34
dedicadas 15, 34 tipos de administradores 3
exportación desde vsys 20 VIP 10
VR compartido 15
Z
importación de vsys 19 zonas
VRs 6
zona compartida 15 compartidas 15
M zonas 7 vsys 7
MIP software zonas de seguridad
sistemas virtuales 10 clave, vsys 16 véase zonas