CE v9 SP

NetScreen conceptos y ejemplos
Manual de referencia de ScreenOS
Volumen 9: Sistemas virtuales
ScreenOS 5.1.0
Ref. 093-1374-000-SP
Revisión B
Copyright Notice The following information is for FCC compliance of Class B devices: The
equipment described in this manual generates and may radiate radio-frequency
Copyright © 2004 Juniper Networks, Inc. All rights reserved. energy. If it is not installed in accordance with NetScreen’s installation
instructions, it may cause interference with radio and television reception. This
Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen equipment has been tested and found to comply with the limits for a Class B
Technologies, GigaScreen, and the NetScreen logo are registered trademarks digital device in accordance with the specifications in part 15 of the FCC rules.
of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, These specifications are designed to provide reasonable protection against
NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, such interference in a residential installation. However, there is no guarantee
NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, that interference will not occur in a particular installation.
NetScreen-Global PRO Express, NetScreen-Remote Security Client,
NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, If this equipment does cause harmful interference to radio or television
NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen reception, which can be determined by turning the equipment off and on, the
ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and user is encouraged to try to correct the interference by one or more of the
registered trademarks are the property of their respective companies. following measures:
Information in this document is subject to change without notice. • Reorient or relocate the receiving antenna.
No part of this document may be reproduced or transmitted in any form or by • Increase the separation between the equipment and receiver.
any means, electronic or mechanical, for any purpose, without receiving written
permission from: • Consult the dealer or an experienced radio/TV technician for help.
Juniper Networks, Inc. • Connect the equipment to an outlet on a circuit different from that to
ATTN: General Counsel which the receiver is connected.
1194 N. Mathilda Ave. Caution: Changes or modifications to this product could void the user's
Sunnyvale, CA 94089-1206 warranty and authority to operate this device.
FCC Statement Disclaimer

The following information is for FCC compliance of Class A devices: This THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE
equipment has been tested and found to comply with the limits for a Class A ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION
digital device, pursuant to part 15 of the FCC rules. These limits are designed to PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED
provide reasonable protection against harmful interference when the equipment HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE
is operated in a commercial environment. The equipment generates, uses, and SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR
can radiate radio-frequency energy and, if not installed and used in accordance NETSCREEN REPRESENTATIVE FOR A COPY.
with the instruction manual, may cause harmful interference to radio
communications. Operation of this equipment in a residential area is likely to
cause harmful interference, in which case users will be required to correct the
interference at their own expense.
Contenido
Contenido
Prefacio ........................................................................ iii Interfaces dedicadas .......................................... 15
Convenciones ........................................................... iv Interfaces compartidas........................................ 15
Convenciones de la interfaz de línea Importación y exportación de interfaces físicas........ 19

de comandos (CLI) ...................................................... iv Ejemplo: Importación de una interfaz física
Convenciones de la interfaz gráfica (WebUI) ............... v a un sistema virtual .............................................. 19
Convenciones para las ilustraciones...........................vii Ejemplo: Exportación de una interfaz física
de un sistema virtual ............................................ 20
Convenciones de nomenclatura y conjuntos de
caracteres ..................................................................viii Clasificación del tráfico según VLAN .......................22
Documentación de NetScreen VLANs.......................................................................... 23
de Juniper Networks .................................................. ix Definición de subinterfaces y etiquetas VLAN ............ 24
Capítulo 1 Sistemas virtuales ........................................1 Ejemplo: Definición de tres subinterfaces
y etiquetas VLAN .................................................. 26
Creación de un objeto vsys .......................................3 Comunicación entre sistemas virtuales...................... 29
Ejemplo: Objetos y administradores vsys ...............3 Ejemplo: Comunicación entre vsys...................... 29
Enrutadores virtuales.....................................................6
Clasificación del tráfico según IP.............................34
Zonas ............................................................................7
Ejemplo: Configuración de la clasificación
Interfaces......................................................................8
del tráfico según IP .............................................. 36
Clasificación del tráfico ...........................................10
Acceso como administrador vsys.............................39
Tráfico destinado al dispositivo NetScreen .................10
Ejemplo: Acceso y cambio de la contraseña ..... 39
Tráfico de tránsito .......................................................11
Interfaces compartidas y dedicadas .........................15 Índice ......................................................................... IX-I
Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales i

Contenido
Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales ii

Prefacio
Se puede dividir lógicamente un sistema de seguridad NetScreen único en varios sistemas virtuales para
proporcionar servicios a múltiples usuarios independientes (multi-tenant). Cada sistema virtual (vsys) es un dominio
de seguridad único y puede ser administrado por sus propios administradores (denominados “administradores de
sistema virtual” o “administradores vsys”) quienes puede personalizar su dominio de seguridad estableciendo sus
propios libros de direcciones, listas de usuarios, servicios personalizados, VPNs y directivas.
El Volumen 9, “Sistemas virtuales” describe los sistemas virtuales, las interfaces dedicadas y compartidas y la
clasificación de tráfico según la VLAN y la IP. Este volumen también describe cómo crear un vsys (se deben tener
privilegios de administrador de nivel raíz) y define los administradores vsys.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales iii

Prefacio Convenciones
CONVENCIONES
Este documento contiene distintos tipos de convenciones, que se explican en las siguientes secciones:
• “Convenciones de la interfaz de línea de comandos (CLI)”
• “Convenciones de la interfaz gráfica (WebUI)” en la página v
• “Convenciones para las ilustraciones” en la página vii
• “Convenciones de nomenclatura y conjuntos de caracteres” en la página viii
Convenciones de la interfaz de línea de comandos (CLI)

Las siguientes convenciones se utilizan para representar la sintaxis de los comandos de la interfaz de línea de
comandos (CLI):
• Los comandos entre corchetes [ ] son opcionales.
• Los elementos entre llaves { } son obligatorios.
• Si existen dos o más opciones alternativas, aparecerán separadas entre sí por barras verticales ( | ).
Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } manage
significa “establecer las opciones de administración de la interfaz ethernet1, ethernet2 o ethernet3”.
• Las variables aparecen en cursiva. Por ejemplo:
set admin user name password
Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salvo en el caso de las variables,
que siempre aparecen en cursiva ). Por ejemplo: “Utilice el comando get system para visualizar el número de serie
de un dispositivo NetScreen”.
Nota: Para escribir palabras clave, basta con introducir los primeros caracteres que permitan al sistema reconocer
de forma inequívoca la palabra que se está introduciendo. Por ejemplo, es suficiente escribir set adm u joe
j12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54 . Aunque este método se
puede utilizar para introducir comandos, en la presente documentación todos ellos se representan con sus
palabras completas.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales iv

Convenciones de la interfaz gráfica (WebUI)

En este manual se utiliza la comilla angular ( > ) para indicar las rutas de navegación de la WebUI por las que se
pasa al hacer clic en opciones de menú y vínculos. Por ejemplo, la ruta para abrir el cuadro de diálogo de
configuración de direcciones se representa como sigue: Objects > Addresses > List > New . A continuación se
muestra la secuencia de navegación.
1. Haga clic en Objects en la columna de menú. 3. Haga clic en List.

La opción de menú Objects se desplegará para Aparecerá la tabla de libretas de direcciones.
mostrar las opciones subordinadas que contiene. 4. Haga clic en el vínculo New.
2. (Menú Applet) Sitúe el mouse sobre Addresses. Aparecerá el cuadro de diálogo de configuración
(Menú DHTML) Haga clic en Addresses. de nuevas direcciones.
La opción de menú Addresses se desplegará para
mostrar las opciones subordinadas que contiene.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales v

Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de diálogo apropiado, donde
podrá definir objetos y establecer parámetros de ajuste. El conjunto de instrucciones de cada tarea se divide en dos
partes: la ruta de navegación y los datos de configuración. Por ejemplo, el siguiente conjunto de instrucciones
incluye la ruta al cuadro de diálogo de configuración de direcciones y los ajustes de configuración que se deben
realizar:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK :
Address Name: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zone: Untrust
Nota: En este ejemplo, no hay

Address Name: addr_1
instrucciones para el campo
Comment, por lo que se deja
en blanco.
IP Address Name/Domain Name:
Zone: Untrust
Haga clic
en OK .
Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales vi

Convenciones para las ilustraciones

Los siguientes gráficos conforman el conjunto básico de imágenes utilizado en las ilustraciones de este manual:
Red de área local (LAN) con

Dispositivo NetScreen genérico una única subred
(ejemplo: 10.1.1.0/24)
Dominio de enrutamiento virtual Internet
Rango de direcciones IP dinámicas

Zona de seguridad (DIP)
Equipo de escritorio
Interfaces de zonas de seguridad
Blanca = interfaz de zona protegida
(ejemplo: zona Trust)
Negra = interfaz de zona externa Equipo portátil
(ejemplo: zona sin confianza o zona Untrust)
Dispositivo de red genérico

Interfaz de túnel
(ejemplos: servidor NAT,
concentrador de acceso)
Túnel VPN
Servidor
Icono de enrutador (router)
Icono de conmutador (switch)
Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales vii

Convenciones de nomenclatura y conjuntos de caracteres

ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones, usuarios
administradores, servidores de autenticación, puertas de enlace IKE, sistemas virtuales, túneles de VPN y zonas)
definidas en las configuraciones de ScreenOS.
• Si la secuencia de caracteres que conforma un nombre contiene al menos un espacio, la
cadena completa deberá entrecomillarse mediante comillas dobles ( “ ); por ejemplo,
set address trust “local LAN” 10.1.1.0/24 .
• NetScreen eliminará cualquier espacio al comienzo o al final de una cadena entrecomillada;
por ejemplo, “ local LAN ” se transformará en “local LAN”.
• NetScreen tratará varios espacios consecutivos como uno solo.
• En las cadenas de nombres se distingue entre mayúsculas y minúsculas; por el contrario, en
muchas palabras clave de la interfaz de línea de comandos pueden utilizarse indistintamente.
Por ejemplo, “local LAN” es distinto de “local lan”.
ScreenOS admite los siguientes conjuntos de caracteres:
• Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de múltiples bytes (MBCS). Algunos
ejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS,
también conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano
y el japonés.
Nota: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS,
según el conjunto de caracteres que admita el explorador web.
• Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepción de las comillas dobles ( “ ),
que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales viii

Prefacio Documentación de NetScreen de Juniper Networks
DOCUMENTACIÓN DE NETSCREEN DE JUNIPER NETWORKS

Para obtener documentación técnica sobre cualquier producto NetScreen de Juniper Networks, visite
www.juniper.net/techpubs/.
Para obtener soporte técnico, abra un expediente de soporte utilizando el vínculo “Case Manager” en la página web
http://www.juniper.net/support/ o llame al teléfono 1-888-314-JTAC (si llama desde los EE.UU.) o al
+1-408-745-9500 (si llama desde fuera de los EE.UU.).
Si encuentra algún error o omisión en esta documentación, póngase en contacto con nosotros a través de la
siguiente dirección de correo electrónico:
techpubs-comments@juniper.net
Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales ix

Prefacio Documentación de NetScreen de Juniper Networks
Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales x

Capítulo 1
Sistemas virtuales
1
1
Se puede dividir lógicamente un sistema de seguridad NetScreen único en varios sistemas virtuales para
proporcionar servicios a múltiples usuarios independientes (multi-tenant). Cada sistema virtual (vsys) es un dominio
de seguridad único y puede ser administrado por sus propios administradores (denominados “administradores de
sistema virtual” o “administradores vsys”) quienes pueden personalizar su dominio de seguridad estableciendo sus
propias libretas de direcciones, listas de usuarios, servicios personalizados, VPNs y directivas.
Nota: Para obtener más información sobre los diversos niveles de administración que admite NetScreen, consulte
“Niveles de administración” en la página 3 -47.
Los sistemas virtuales NetScreen admiten dos tipos de clasificaciones del tráfico: según la VLAN y según la IP;
ambas pueden funcionar concurrentemente o en modo exclusivo. Este capítulo trata los siguientes conceptos e
implementaciones de los sistemas virtuales:
• “Creación de un objeto vsys” en la página 3
– “Enrutadores virtuales” en la página 6
– “Zonas” en la página 7
– “Interfaces” en la página 8
• “Clasificación del tráfico” en la página 10
– “Tráfico destinado al dispositivo NetScreen” en la página 10
– “Tráfico de tránsito” en la página 11
– “Interfaces compartidas y dedicadas” en la página 15
– “Importación y exportación de interfaces físicas” en la página 19
1. Los dispositivos NetScreen se dividen en dos categorías generales: sistemas de seguridad y dispositivos. Sólo los sistemas de seguridad NetScreen pueden
soportar sistemas virtuales. Para ver qué plataformas tienen esta funcionalidad hay que remitirse a la documentación de marketing de NetScreen.
Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales 1

Capítulo 1 Sistemas virtuales
• “Clasificación del tráfico según VLAN” en la página 22

– “VLANs” en la página 23
– “Definición de subinterfaces y etiquetas VLAN” en la página 24
– “Comunicación entre sistemas virtuales” en la página 29
• “Clasificación del tráfico según IP” en la página 34
• “Acceso como administrador vsys” en la página 39

Capítulo 1 Sistemas virtuales Creación de un objeto vsys
CREACIÓN DE UN OBJETO VSYS

El administrador raíz o administrador de lectura/escritura de nivel raíz debe realizar las siguientes tareas para crear
un objeto vsys:
• Definir un sistema virtual.
2
• Definir uno o más administradores vsys (opcional).
• Seleccionar el enrutador virtual que se quiera que utilice el vsys para sus zonas Trust-vsysname ,
Untrust-Tun-vsysname y Global-vsysname
Después de crear un objeto vsys, es necesario realizar, como administrador de nivel raíz, otras configuraciones
para convertirlo en un vsys funcional. Se deben configurar subinterfaces o interfaces para el vsys y probablemente
enrutadores virtuales compartidos y zonas de seguridad compartidas. Las siguientes configuraciones dependen de
si el vsys está destinado a clasificaciones del tráfico según VLAN o según IP o una combinación de ambas. Tras
completar estas configuraciones, se puede salir del sistema virtual y permitir que un administrador vsys, si está
definido, acceda y comience a configurar direcciones, usuarios, servicios, VPNs, rutas y directivas.
Ejemplo: Objetos y administradores vsys

En este ejemplo, un administrador de nivel raíz crea tres objetos vsys: vsys1, vsys2 y vsys3. Para vsys1, se crea el
administrador vsys Alice con la contraseña wIEaS1v13. Para vsys2, se crea el administrador vsys Bob con la
contraseña pjF56Ms2. Para vsys3, no se define un administrador vsys. En su lugar, se acepta el administrador que
el dispositivo NetScreen genera automáticamente. En el caso de vsys3, el dispositivo NetScreen crea el
administrador “vsys_vsys3” con la contraseña “vsys_vsys3”.
Nota: Los nombres de los vsys, de los administradores y de las contraseñas distinguen mayúsculas y minúsculas.
“Vsys abc” es distinto de “vsys ABC”.
Para vsys1 y vsys2, se utiliza el enrutador virtual predeterminado. Para vsys3, se escoge el untrust-vr de nivel raíz
compartible.
2. Un administrador de nivel raíz puede definir un administrador vsys con privilegios de lectura/escritura y un administrador vsys con privilegios de sólo lectura
por vsys.
3. Sólo un administrador de nivel raíz puede crear un perfil de administrador vsys (nombre de usuario y contraseña). Debido a que el dispositivo NetScreen
utiliza el nombre de usuario para determinar el vsys al que pertenece el usuario, un administrador vsys no puede cambiar su nombre de usuario. Sin
embargo, sí puede (y debe) cambiar su contraseña.

Tras crear un vsys mediante la WebUI, se permanece en el nivel raíz. Para entrar al vsys que acaba de crear, es
necesario un paso más:
Vsys: Haga clic en Enter (para el sistema virtual que se desee introducir).
Aparecen las páginas WebUI del sistema introducido, con el nombre del vsys encima de la parte central de
la imagen, Vsys:Name.
Cuando se crea un vsys mediante la interfaz CLI, inmediatamente se introduce el sistema recién creado. (Para
introducir un vsys existente del nivel raíz, utilice el comando enter vsys name_str ). Cuando se introduce un vsys,
observe que la entradilla (prompt) del comando CLI cambia para incluir el nombre del sistema en el que ahora se
ejecutan los comandos.
WebUI
1. Vsys1
Vsys > New: Introduzca los siguientes datos y haga clic en OK :
Vsys Name: vsys1
Vsys Admin Name: Alice
Vsys Admin New Password: wIEaS1v1
Confirm New Password: wIEaS1v1
Virtual Router:
Create a default virtual router: (seleccione)
2. Vsys2
Vsys Name: vsys2
Vsys Admin Name: Bob
Vsys Admin New Password: pjF56Ms2
Confirm New Password: pjF56Ms2
Virtual Router:
Create a default virtual router: (seleccione)

3. Vsys3
Vsys Name: vsys3
Virtual Router:
Select an existing virtual router: (seleccione), untrust-vr
CLI
1. Vsys1
ns-> set vsys vsys1
ns(vsys1)-> set admin name Alice
ns(vsys1)-> set admin password wIEaS1v1
4
ns(vsys1)-> save
ns(vsys1)-> exit
2. Vsys2
ns-> set vsys vsys2
ns(vsys2)-> set admin name Bob
ns(vsys2)-> set admin password pjF56Ms2
ns(vsys2)-> save
ns(vsys2)-> exit
3. Vsys3
ns-> set vsys vsys3 vrouter share untrust-vr
ns(vsys3)-> save
4. Tras ejecutar los comandos, se debe ejecutar un comando save antes del comando exit, ya que de lo contrario el dispositivo NetScreen perderá los
cambios.

Enrutadores virtuales
Cuando un administrador del nivel raíz crea un objeto vsys, automáticamente el vsys dispone de los siguientes
enrutadores virtuales para su uso:
• Todos los enrutadores virtuales de nivel raíz compartidos, como el untrust-vr
Del mismo modo que un vsys y el sistema raíz comparten la zona Untrust, también comparten el
untrust-vr y cualquier otro enrutador virtual definido en el nivel raíz como compartible.
• Su propio enrutador virtual
De forma predeterminada, a un enrutador virtual de nivel vsys se le llama vsysname-vr. Se puede
también personalizar su nombre para darle mayor significado. Éste es un enrutador virtual vsys
específico que, de forma predeterminada, mantiene la tabla de enrutamiento de la zona
Trust-vsysname. Los enrutadores virtuales de nivel vsys no pueden ser compartidos.
Se puede seleccionar cualquier enrutador virtual compartido o el enrutador virtual de nivel vsys como enrutador
virtual predeterminado para un vsys. Para cambiar el enrutador virtual predeterminado, entre en el vsys y utilice el
siguiente comando CLI: set vrouter name default-vrouter .
Si un administrador de nivel raíz desea que todas las zonas vsys estén en el dominio de enrutamiento untrust-vr
(por ejemplo, si todas las interfaces vinculadas a la zona Trust-vsysname están en modo de ruta) puede prescindir
del vsysname-vr cambiando los enlaces de la zona de seguridad de nivel vsys del vsysname-vr al untrust-vr. Para
obtener más información sobre enrutadores virtuales, consulte “Enrutadores virtuales” en la página 6 -21.
Nota: Esta versión de ScreenOS admite enrutadores virtuales definidos por el usuario dentro de un sistema virtual.

Zonas
Cada sistema virtual (vsys) es un único dominio de seguridad y puede compartir zonas de seguridad con el sistema
raíz y tener sus propias zonas de seguridad. Cuando un administrador de nivel raíz crea un objeto vsys,
automáticamente se crean o heredan las siguientes zonas:
• Todas las zonas compartidas (heredadas del sistema raíz).
• La zona Null compartida (heredada del sistema raíz).
• La zona Trust-vsysname.
• La zona Untrust-Tun-vsysname.
• La zona Global-vsysname.
Nota: Para obtener más información sobre cada uno de estos tipos de zonas, consulte , “Zonas” en la
página 2 -31.
Cada vsys puede soportar también zonas de seguridad adicionales definidas por el usuario. Se pueden vincular
estas zonas a cualquiera de los enrutadores virtuales compartidos definidos en el nivel raíz o al enrutador virtual
dedicado a este vsys. Para crear una zona de seguridad para un vsys denominado vsys1, utilice cualquiera de los
siguientes procedimientos:
WebUI
Vsys > Enter (para vsys1)
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK :
Zone Name: (escriba un nombre para la zona)
Virtual Router Name: (seleccione un enrutador virtual de la lista desplegable)
Zone Type: Layer 3
CLI
ns-> enter vsys vsys1
ns (vsys1)-> set zone name name_str
ns(vsys1)-> set zone vrouter vrouter
ns(vsys1)-> save

El número máximo de zonas de seguridad que un vsys o el sistema raíz puede contener está limitado sólo por el
5
número de zonas de seguridad disponibles en el nivel de dispositivo . Un único vsys puede consumir todas las
zonas de seguridad disponibles si el administrador raíz o un administrador de lectura/escritura de nivel raíz las
asigna todas a ese vsys en concreto. A la inversa, si todos los sistemas virtuales comparten zonas de seguridad de
nivel raíz y no utilizan ninguna zona de nivel vsys definida por el usuario, entonces todas las zonas de seguridad
están disponibles para uso de nivel raíz.
Interfaces
Un vsys admite los siguientes tres tipos de interfaces para sus zonas Untrust y Trust:
Tipos de interfaces de la zona Untrust Tipos de interfaces de la zona Trust

• Interfaz física especializada. • Interfaz física especializada.
• Subinterfaz (con el etiquetado VLAN como un • Subinterfaz (con etiquetado VLAN).
medio para entroncar* tráfico entrante y saliente).
• Interfaz compartida (física, subinterfaz, interfaz • Interfaz física compartida con el sistema raíz (y
redundante, interfaz agregada) con el sistema raíz. clasificación† del tráfico según IP).
*
Para obtener información sobre los conceptos de etiquetado VLAN y entroncamiento, consulte “VLANs” en la página 23.
†
Para obtener más información sobre clasificación del tráfico según la IP, consulte “Clasificación del tráfico según IP” en la página 34.
Se puede vincular uno, dos o los tres tipos de interfaces antes mencionados a una zona de seguridad
concurrentemente. Se pueden también vincular varias interfaces de cada tipo a una zona.
5. El número total de zonas de seguridad definidas por el usuario (o “personalizadas”) en el nivel de dispositivo es la suma del número de zonas personalizadas
de nivel raíz, definidas por una o más claves de licencia de zona, y el número de zonas personalizadas permitidas por la clave de licencia de vsys.

trust-vr
untrust-vr Finance
DMZ
Mail Trust Eng
Interfaz compartida
por vsys1 y raíz
sistema raíz vsys1-vr
Trust-vsys1
Untrust Subinterfaz vsys1
dedicada
para vsys2 vsys2-vr
vsys2
Trust-vsys2
vsys3
Interfaz física
dedicada para
vsys3 vsys3-vr
Trust-vsys3
Nota: El icono del castillo representa una interfaz de una zona de

seguridad. Para ver una lista de los iconos gráficos utilizados en este libro,
consulte “Convenciones para las ilustraciones” en la página vii.

Capítulo 1 Sistemas virtuales Clasificación del tráfico
CLASIFICACIÓN DEL TRÁFICO

El dispositivo NetScreen debe clasificar cada paquete que recibe para su entrega al sistema apropiado. Un
dispositivo NetScreen recibe dos tipos de tráfico de usuario, que clasifica de dos formas diferentes:
• Tráfico destinado a una dirección IP en el mismo dispositivo, como tráfico de VPN encriptado y tráfico
destinado a una MIP o VIP
• Tráfico destinado a una dirección IP fuera del dispositivo
Tráfico destinado al dispositivo NetScreen

Cuando el tráfico va destinado a un objeto (VPN, MIP o VIP) del dispositivo NetScreen, éste determina a qué
sistema pertenece dicho tráfico mediante la asociación del objeto con el sistema en el que se configuró.
ethernet1/2, zona Untrust – El sistema raíz, vsys1,

El tráfico entrante llega a vsys2 y vsys3 comparten esta interfaz.
una interfaz compartida.
RAÍZ
Puesto que el objeto VPN se configuró
en el vsys1, el tráfico enviado para VPN
dicho objeto pertenece al vsys1. VSYS1
Puesto que el objeto MIP se configuró
en el vsys2, el tráfico enviado para MIP
VSYS2
dicho objeto pertenece al vsys2.
Puesto que el objeto VIP se configuró
en el vsys3, el tráfico enviado para VIP VSYS3
dicho objeto pertenece al vsys3.
El tráfico entrante también puede llegar al vsys a través de túneles VPN; sin embargo, si la interfaz de salida es una
interfaz compartida, no se puede crear un túnel VPN AutoKey IKE para un vsys y el sistema raíz hacia el mismo
punto remoto.

Tráfico de tránsito
Para el tráfico dirigido a una dirección IP más allá del dispositivo NetScreen (también conocido como “tráfico de tránsito”),
el dispositivo utiliza técnicas que son posibles gracias a la clasificación del tráfico según VLAN y según IP. La
6
clasificación del tráfico según VLAN utiliza etiquetas VLAN en el encabezado de la trama para identificar el sistema al
que pertenece el tráfico entrante. La clasificación del tráfico según IP utiliza las direcciones IP de origen y destino de los
encabezados de los paquetes IP para identificar el sistema al que pertenece el tráfico. El procedimiento que utiliza el
dispositivo NetScreen para determinar el sistema al que pertenece un paquete comprende los siguientes pasos:
1. Clasificación del tráfico por interfaz de entrada/IP de origen
7
El dispositivo NetScreen comprueba si la interfaz de entrada es dedicada o compartida .
1. Si la interfaz de entrada está dedicada a un vsys (por ejemplo “v-e”), el dispositivo NetScreen asocia el
tráfico con el sistema al que está dedicada la interfaz.
2. Si la interfaz de entrada es compartida, el dispositivo NetScreen utiliza la clasificación por IP para
comprobar si la dirección IP de origen está asociada a un vsys en concreto.
– Si la dirección IP de origen no está asociada a un vsys en concreto, la clasificación por IP de entrada
falla.
– Si la dirección IP de origen está asociada a un vsys en concreto, la clasificación por IP de entrada
tiene éxito.
2. Clasificación del tráfico por interfaz de salida/IP de destino
El dispositivo NetScreen comprueba si la interfaz de salida es compartida o dedicada.
1. Si la interfaz de salida está dedicada a un vsys (por ejemplo “v-s”), el dispositivo NetScreen asocia el
tráfico con el sistema al que está dedicada la interfaz.
2. Si la interfaz de salida es compartida, el dispositivo NetScreen utiliza la clasificación por IP para
comprobar si la dirección IP de destino está asociada a un vsys en concreto.
– Si la dirección IP de destino no está asociada a un vsys en concreto, la clasificación por IP de salida falla.
– Si la dirección IP de destino está asociada a un vsys en concreto, la clasificación por IP de salida tiene
éxito.
6. El etiquetado VLAN requiere el uso de subinterfaces. Una subinterfaz debe estar dedicada a un sistema, en contraste con una interfaz compartida, que es
compartida por todos los sistemas.
7. Para obtener más información sobre interfaces dedicadas y compartidas, consulte “Interfaces compartidas y dedicadas” en la página 15.

Cuando un paquete llega a un dispositivo NetScreen que tiene sistemas

virtuales, éste realiza los siguientes pasos para asociar el paquete a un vsys.
1 Clasificación del tráfico por interfaz

de entrada/IP de origen 2 Clasificación del tráfico por interfaz
de salida/IP de destino
Comprobar la Comprobar la
interfaz de entrada. interfaz de salida.
N N
¿Interfaz ¿Interfaz
compartida? compartida?
Asociar el paquete con el vsys Asociar el paquete con el vsys

S de la interfaz de entrada (“v-i”) S de la interfaz de salida (“v-e”)
Comprobar la Comprobar la
clasificación por IP clasificación por IP
de origen. de destino.
N N
¿Clasificada ¿Clasificada
por IP org? por IP dest?
La clasificación por interfaz La clasificación por interfaz

S de entrada/IP de origen S de salida/
falla. IP de destino falla.
Asociar el paquete al vsys de Asociar el paquete al vsys de

la IP clasificada (“v-i”) la IP clasificada (“v-e”)

3. Asignación del tráfico al vsys

Basándose en el resultado de las clasificaciones del tráfico según la interfaz de entrada/IP de origen (E/O) o la
interfaz de salida/IP de destino (S/D), el dispositivo NetScreen determina el vsys al que corresponde el tráfico.
– Si la clasificación del tráfico E/O tiene éxito, pero la clasificación del tráfico S/D falla, el dispositivo
NetScreen utiliza el conjunto de directivas y la tabla de rutas del vsys asociados a la interfaz de
entrada o a la dirección IP de origen (un vsys llamado “v-e”, por ejemplo).
La clasificación del tráfico E/O es particularmente útil cuando se permite tráfico saliente desde un vsys
hacia una red pública como Internet.
– Si la clasificación del tráfico S/D tiene éxito, pero la clasificación del tráfico E/O falla, el dispositivo
NetScreen utiliza el conjunto de directivas y la tabla de rutas del vsys asociado a la interfaz de salida
o a la dirección IP de destino (un vsys llamado “v-s”, por ejemplo).
La clasificación del tráfico S/D es particularmente útil cuando se acepta tráfico entrante para uno o
más servidores de un vsys procedente de una red pública como Internet.
– Si ambas clasificaciones tienen éxito y los sistemas virtuales asociados son los mismos, el dispositivo
NetScreen utiliza el conjunto de directivas y la tabla de rutas de ese vsys.
Se pueden utilizar ambas clasificaciones del tráfico IP E/O y S/D para permitir tráfico desde
direcciones específicas en una zona a direcciones específicas en otra zona del mismo vsys.
– Si ambas clasificaciones tienen éxito, los sistemas virtuales asociados son distintos y las interfaces
están vinculadas a la misma zona de seguridad compartida, el NetScreen utiliza primero el conjunto
de directivas y la tabla de rutas del vsys E/O, y después los del vsys S/D.
NetScreen admite tráfico intrazonal entre vsys cuando el tráfico tiene lugar en la misma zona
compartida. El dispositivo NetScreen aplica primero el conjunto de directivas y la tabla de rutas de
“v-e”, devuelve el tráfico a la interfaz Untrust y después aplica el conjunto de directivas y la tabla de
rutas de “v-s”. Este tráfico intrazonal sería el normal en una sola empresa que utilizase una zona
interna compartida con distintos sistemas virtuales para distintos departamentos internos y quisiera
permitir el tráfico entre los diferentes departamentos.
– Si ambas clasificaciones tienen éxito, los sistemas virtuales asociados son diferentes y las interfaces
están vinculadas a distintas zonas de seguridad, el dispositivo NetScreen descarta el paquete.
NetScreen no admite tráfico interzonal entre vsys entre zonas de seguridad compartidas.
– Si ambas clasificaciones tienen éxito, los sistemas virtuales asociados son diferentes y las interfaces
de entrada y salida están vinculadas a zonas dedicadas a distintos sistemas virtuales, el dispositivo
NetScreen aplica primero el conjunto de directivas y la tabla de rutas del “v-e”. Después devuelve el
tráfico a la interfaz Untrust y aplica el conjunto de directivas y la tabla de rutas del “v-s”. (Consulte

“Ejemplo: Comunicación entre vsys” en la página 29).

NetScreen admite tráfico interzonal entre vsys entre zonas de seguridad dedicadas.
– Si ambas clasificaciones fallan, el dispositivo NetScreen descarta el paquete.
3 Después de realizar la clasificación del tráfico por interfaz de entrada/IP de origen (E/O) y por interfaz
de salida/IP de destino (S/D), el dispositivo NetScreen utiliza los resultados para determinar la
distribución del tráfico.
¿Éxito de la N
clas. E/O?
S
¿Éxito de la N
clas. S/D?
¿Éxito de la N
clas. S/D? Descartar
S
Usar el conjunto de
S directivas y la tabla de Usar el conjunto de
rutas del vsys “v-e”. directivas y la tabla de
rutas del vsys “v-s”.
¿Mismo N
vsys?
S
¿Zona N
Usar el conjunto de directivas compartida?
y la tabla de rutas del vsys
“v-e”/“v-s”. Aplicar el conjunto de directivas y
S la tabla de rutas del vsys “v-e” y
después los del “v-s”.
¿Tráfico N
intrazonal?
Descartar
S
Aplicar el conjunto de directivas y la tabla de rutas del

vsys “v-e” y después los del “v-s”.

Interfaces compartidas y dedicadas

Hay dos tipos de interfaces que afectan a la forma en que un dispositivo NetScreen puede distribuir el tráfico
entrante al sistema indicado: dedicadas y compartidas.
Interfaces dedicadas
Un sistema, virtual o raíz, puede tener varias interfaces o subinterfaces dedicadas exclusivamente a su uso
particular. Estas interfaces no pueden ser compartidas por otros sistemas. Se puede hacer que una interfaz esté
dedicada a un sistema como se indica a continuación:
• Cuando se configura una interfaz física, subinterfaz, interfaz redundante o interfaz agregada en el sistema
raíz y se vincula a una zona no compartible, la interfaz queda dedicada al sistema raíz.
• Cuando se importa una interfaz física o agregada a un vsys y se vincula a una zona Untrust compartida o a
la zona Trust-vsys_name , dicha interfaz pasa a ser dedicada al vsys en cuestión.
• Cuando se configura una subinterfaz en un vsys, pertenece al vsys en cuestión.
Nota: Cuando un sistema tiene una subinterfaz dedicada, el dispositivo NetScreen debe emplear la clasificación
del tráfico según VLAN para distribuir adecuadamente el tráfico entrante.
Interfaces compartidas
Un sistema, virtual o raíz, puede compartir una interfaz con otro sistema. Para que una interfaz pueda ser
compartida, se debe configurar en el nivel raíz y vincularla a una zona compartida de un enrutador virtual
compartido. De forma predeterminada, el VR predefinido untrust-vr es un enrutador virtual compartido y la zona
predefinida Untrust es una zona compartida. Por consiguiente, un vsys puede compartir cualquier interfaz física,
subinterfaz, interfaz redundante o interfaz agregada del nivel raíz que se vincule a la zona Untrust.

Para crear una interfaz compartida en una zona distinta de la zona Untrust, se debe definir la zona como
8
compartida en el nivel raíz . Para ello, la zona debe estar en un enrutador virtual compartido, como el untrust-vr u
otro enrutador virtual de nivel raíz que se defina como compartible. Después, cuando se vincula una interfaz de
nivel raíz a la zona compartida, automáticamente pasa a ser una interfaz compartida.
Nota: Para crear un enrutador virtual, es necesario obtener una clave de licencia vsys, que capacita para definir
sistemas virtuales, enrutadores virtuales y zonas de seguridad para su uso en un vsys o en el sistema raíz.
Un enrutador virtual compartido admite zonas de seguridad de nivel raíz compartibles y no compartibles. Se puede
definir una zona de nivel raíz vinculada a un enrutador virtual compartido como compartible o no. Cualquier zona de
nivel raíz que se vincule a un enrutador virtual compartido y se defina como compartible pasa a ser una zona
compartida, disponible para ser utilizada también por los sistemas virtuales. Cualquier zona de nivel raíz que se
vincule a un enrutador virtual compartido y se defina como no compartible permanece como una zona dedicada
para uso exclusivo del sistema raíz. Si se vincula una zona de nivel vsys al enrutador virtual dedicado a ese vsys o
a un enrutador virtual compartido creado en el sistema raíz, la zona permanece como zona dedicada, disponible
para uso exclusivo del vsys para el que se creó.
Una zona compartida admite interfaces compartidas y dedicadas. Cualquier interfaz de nivel raíz que se vincule a
una zona compartida pasa a ser una interfaz compartida, disponible para ser utilizada también por los sistemas
virtuales. Cualquier interfaz de nivel vsys que se vincule a una zona compartida permanece como interfaz dedicada,
disponible sólo para uso del vsys para el que se creó.
Una zona no compartible sólo puede ser utilizada por el sistema en el que se creó y sólo admite interfaces
dedicadas para dicho sistema. Todas las zonas de nivel vsys son no compartibles.
Para crear una interfaz compartida, se debe crear un enrutador virtual compartido (o utilizar el predefinido
untrust-vr), crear un zona de seguridad compartida (o utilizar la zona predefinida Untrust) y después vincular la
interfaz a la zona compartida. Se pueden realizar los tres pasos en el sistema raíz.
8. Para que esté disponible la opción de zona compartida, el dispositivo NetScreen debe operar en la capa 3, lo que significa que se debe asignar previamente
una dirección IP al menos a una interfaz de nivel raíz.

Las opciones de la WebUI y la CLI son las siguientes:

1. Para crear un enrutador virtual compartido:
WebUI
Network > Routing > Virtual Routers > New: Seleccione la opción Shared and accessible by other vsys y
haga clic en Apply .
CLI
set vrouter name name_str
set vrouter name_str shared
(No se puede modificar un enrutador virtual compartido para hacerlo no compartido a menos que primero
se borren todos los sistemas virtuales. Sin embargo, se puede cambiar un enrutador virtual de no
compartido a compartido cuando se desee).
2. Para crear una zona compartida, proceda como se indica a continuación en el nivel raíz:
WebUI
Nota: En el momento de publicar esta versión, sólo se puede definir una zona compartida mediante CLI.
CLI
set zone name name_str
set zone zone vrouter sharable_vr_name_str
set zone zone shared
3. Para crear una interfaz compartida, proceda como se indica a continuación en el nivel raíz:
WebUI
Network > Interfaces > New (o Edit para una interfaz que ya existe): Configure la interfaz y vincúlela a una
zona compartida y haga clic en OK .

CLI
set interface interface zone shared_zone_name_str
Cuando dos o más sistemas comparten una interfaz, el dispositivo NetScreen debe emplear la clasificación
del tráfico según IP para distribuir adecuadamente el tráfico entrante. (Para obtener más información sobre
la clasificación del tráfico según IP, incluyendo un ejemplo que muestre cómo configurarlo para varios vsys,
consulte “Clasificación del tráfico según IP” en la página 34).

Importación y exportación de interfaces físicas

Se pueden dedicar una o más interfaces físicas a un vsys. En realidad, se importa una interfaz física del sistema
raíz a un sistema virtual. Después de la importación de la interfaz física a un vsys, el vsys tiene su uso en exclusiva.
Nota: Antes de poder importar una interfaz a un sistema virtual, debe estar en la zona Null en el nivel raíz.
Ejemplo: Importación de una interfaz física a un sistema virtual

En este ejemplo, un administrador raíz importa la interfaz física ethernet4/1 a vsys1. Se asocia a la zona Untrust y
se asigna la dirección IP 1.1.1.1/24.
WebUI
1. Introducir vsys1
Vsys: Haga clic en Enter (para vsys1).
2. Importar y definir la interfaz

Network > Interfaces: Haga clic en Import (para ethernet4/1).
Network > Interfaces > Edit (para ethernet4/1): Introduzca los siguientes datos y haga clic en OK :
Zone Name: Untrust
IP Address/Netmask: 1.1.1.1/24
3. Salir de vsys1
Haga clic en el botón Exit Vsys (en la parte inferior de la columna de menú) para volver al nivel raíz.

CLI
1. Introducir vsys1
2. Importar y definir la interfaz
ns(vsys1)-> set interface ethernet4/1 import
ns(vsys1)-> set interface ethernet4/1 zone untrust
ns(vsys1)-> set interface ethernet4/1 ip 1.1.1.1/24
ns(vsys1)-> save
3. Salir de vsys1
ns(vsys1)-> exit
Ejemplo: Exportación de una interfaz física de un sistema virtual

En este ejemplo, se vincula la interfaz física ethernet4/1 a la zona Null en el vsys1 y se le asigna la dirección IP
0.0.0.0/0. Después se exporta la interfaz ethernet4/1 al sistema raíz.
WebUI
1. Introducir vsys1
2. Exportar la interfaz
Zone Name: Null
Network > Interfaces: Haga clic en Export (para ethernet4/1).
(La interfaz ethernet4/1 está disponible ahora para su uso en el sistema raíz o en otro vsys).

3. Salir de vsys1
Haga clic en el botón Exit Vsys (en la parte inferior de la columna de menú) para volver al nivel raíz.
CLI
1. Introducir vsys1
2. Exportar la interfaz
ns(vsys1)-> unset interface ethernet4/1 ip
ns(vsys1)-> unset interface ethernet4/1 zone
ns(vsys1)-> unset interface ethernet4/1 import
This command will remove all objects associated with interface, continue? y/[n] y
ns(vsys1)-> save
(La interfaz ethernet4/1 está disponible ahora para su uso en el sistema raíz o en otro vsys).
3. Salir de vsys1
ns(vsys1)-> exit

Capítulo 1 Sistemas virtuales Clasificación del tráfico según VLAN
CLASIFICACIÓN DEL TRÁFICO SEGÚN VLAN

9
Con la clasificación del tráfico según VLAN, un dispositivo NetScreen utiliza el etiquetado VLAN para dirigir el
tráfico a las diversas interfaces vinculadas a los diferentes sistemas10. De forma predeterminada, un vsys tiene dos
zonas de seguridad, una zona Untrust compartida y su propia zona Trust. Cada vsys puede compartir la interfaz de
la zona Untrust con el sistema raíz y con otros sistemas virtuales. Un vsys puede también tener su propia
subinterfaz o una interfaz física dedicada (importada del sistema raíz) vinculada a la zona Untrust.
Conmutador compatible con VLAN interno
Al enrutador externo A la VLAN1 (vsys1)

Puerto troncal A la VLAN2 (vsys2)
A la VLAN3 (vsys3)
Nota: El icono del castillo representa

una interfaz en una zona de seguridad. Zonas Trust por vsys y
enrutadores virtuales por vsys
UNTRUST-VR
Trust- vsys1-vr
vlan1 vsys1
Raíz
Zona Untrust compartida
Vsys1
Internet
Trust- vsys2-vr
Vsys2 vlan2 vsys2
Vsys3
Trust-
vlan3 vsys3 vsys3-vr
Nota: Todos los sistemas virtuales se muestran compartiendo la
interfaz de la zona Untrust. También pueden tener su propia
subinterfaz o interfaz física dedicada.
9. NetScreen admite VLANs compatibles con la norma IEEE 802.1Q.

10. Se puede dedicar una interfaz física a un sistema virtual importándola del sistema raíz al sistema virtual. (Consulte “Importación y exportación de interfaces
físicas” en la página 19). Cuando se utilizan interfaces físicas, el etiquetado VLAN no es necesario para el tráfico en dicha interfaz.

VLANs
Cada VLAN se une a un sistema a través de una subinterfaz. Si un vsys comparte la interfaz de la zona Untrust con
el sistema raíz y tiene una subinterfaz vinculada a su zona Trust-vsys_name, el vsys debe asociarse a una VLAN
en la zona Trust-vsys_name. Si el vsys también tiene su propia subinterfaz vinculada a la zona Untrust, el vsys
debe también asociarse a otra VLAN en la zona Untrust.
Una subinterfaz procede de una interfaz física, que actúa como un puerto troncal. Un puerto troncal permite a un
dispositivo de red de capa 2 agrupar tráfico de varias VLAN por un único puerto físico, clasificando los paquetes por
la identidad de VLAN (VID) de los encabezados de las tramas. El entroncamiento VLAN permite que una interfaz
física admita varias subinterfaces lógicas, cada una de las cuales debe identificarse por una única etiqueta VLAN.
El identificador de VLAN (etiqueta) de una trama ethernet entrante indica su correspondiente subinterfaz y por tanto
el sistema de destino. Cuando se asocia una VLAN con una interfaz o subinterfaz, el dispositivo NetScreen
automáticamente define el puerto físico como un puerto troncal. Cuando se utilizan VLAN en el nivel raíz en modo
transparente, se deben definir manualmente todos los puertos físicos como puertos troncales con el siguiente
comando CLI: set interface vlan1 vlan trunk .
Dispositivos compatibles
VLAN
Zona Untrust Enrutadores Conmutador Conmutador Enrutadores
(Compartida) externos externo interno internos
Dispositivo
NetScreen Zona Trust
LAN
(Raíz)
Raíz
Zona
vsys 1 vlan1 Trust-vsys1
Internet
vsys 2
Zona
vlan2 Trust-vsys2
Nota: Un vsys puede compartir enrutadores con el sistema raíz o utilizar los suyos propios.
Los conmutadores externo e interno deben ser compatibles VLAN si los sistemas virtuales
tienen subinterfaces vinculadas a las zonas Untrust y Trust-vsys_name .

Cuando un vsys utiliza una subinterfaz (no una interfaz física dedicada) vinculada a la zona Trust-vsys_name, el
conmutador interno y el enrutador interno de la zona Trust-vsys_name debe ser capaz de admitir VLAN. Si se crea
más de una subinterfaz en una interfaz física, entonces se debe definir el puerto del conmutador de conexión como
puerto troncal y asociarlo a todas las VLANs que lo utilicen.
Cuando un vsys utiliza una subinterfaz (no una interfaz compartida o una interfaz física dedicada) vinculada a la
zona Untrust compartida, el conmutador y el enrutador externos que reciben su tráfico entrante y saliente deben ser
capaces de admitir VLAN. El enrutador etiqueta las tramas entrantes para que cuando lleguen al dispositivo
NetScreen, éste pueda dirigirlas a la subinterfaz correcta.
Aunque un vsys no puede estar en modo transparente, porque requiere direcciones IP de interfaz o subinterfaz
11
únicas, el sistema raíz puede estar en modo transparente . Para que el sistema raíz pueda soportar VLANs
aunque funcione en modo transparente, se utiliza el siguiente comando CLI para permitir a las interfaces físicas
vinculadas a las zonas de seguridad de capa 2 actuar como puertos troncales: set interface vlan1 vlan trunk .
Definición de subinterfaces y etiquetas VLAN

La subinterfaz de la zona Trust-vsys_name conecta un vsys a su VLAN interna. La subinterfaz de la zona Untrust
conecta un vsys a la WAN pública, normalmente la Internet. Una subinterfaz tiene los siguientes atributos:
• Una única ID VLAN (de 1 a 4095).
12
• Una dirección IP pública o privada (la dirección IP es privada de forma predeterminada).
• Una máscara de subred tipo A, B o C.
• Una VLAN asociada.
Un vsys puede tener una única subinterfaz de zona Untrust y varias subinterfaces de zona Trust-vsys_name. Si un
sistema virtual no tiene su propia subinterfaz de zona Untrust, comparte la interfaz de zona Untrust del nivel raíz.
Los dispositivos NetScreen también admiten subinterfaces y VLANs en el nivel raíz.
11. Cuando el sistema raíz está en modo transparente, no admite sistemas virtuales. No obstante, sí admite VLANs de nivel raíz.
12. Para obtener más información sobre direcciones IP públicas y privadas, consulte “Direcciones IP públicas” en la página 2 -68 y “Direcciones IP privadas”
en la página 2 -69.

vsys1 comparte la interfaz de la if = interfaz física Dispositivo NetScreen

zona Untrust con el sistema raíz. sif = subinterfaz
vsys2 y vsys100 tiene sus propias
subinterfaces dedicadas vinculadas
a la zona Untrust. if if LAN
Raíz sif VLAN.1
El sistema raíz tiene una interfaz
física y una subinterfaz vinculadas a sif VLAN.2
su zona Trust. Internet vsys1 sif VLAN.3
sif VLAN.4
vsys1 tiene tres subinterfaces
vinculadas a su zona Trust-vsys1, sif sif VLAN.5
cada una de las cuales lleva a una vsys2
VLAN diferente. sif VLAN.6
vsys2 tiene dos subinterfaces

vinculadas a su zona Trust-vsys2,
…
cada una de las cuales lleva a una
VLAN diferente.
vsys100 tiene una subinterfaz
vinculada a su zona Trust-vsys100. sif sif VLAN.292
vsys100
Nota: Todas las IDs VLAN deben ser
exclusivas de cada interfaz física.
El dispositivo NetScreen admite las etiquetas VLAN compatibles con IEEE 802.1Q. Una etiqueta es un añadido en
el encabezado de la trama Ethernet que indica su pertenencia a una VLAN particular. Al vincular una VLAN a un
vsys, la etiqueta también determina a qué vsys pertenece la trama, y por tanto, qué directiva se aplica a la trama. Si
la VLAN no está vinculada a un vsys, se aplica a la trama el conjunto de directivas del sistema raíz del dispositivo
NetScreen.
Un administrador de nivel raíz puede crear una VLAN, asignarle los elementos y vincularla a un vsys. (La
asignación de elementos a la VLAN puede realizarse por varios métodos, tipo de protocolo, dirección MAC, número
de puerto, y queda fuera del alcance de este documento). El administrador vsys, si existe, administra pues el vsys a
través de la creación de direcciones, usuarios, servicios, VPNs y directivas. Si no hay administrador vsys, entonces
un administrador de nivel raíz realiza estas tareas.
Nota: Si el administrador de nivel raíz no asocia una VLAN a un vsys, la VLAN opera dentro del sistema raíz del
dispositivo NetScreen.

Hay tres tareas que un administrador de nivel raíz debe realizar para crear una VLAN para un vsys: introducir un
sistema virtual, definir una subinterfaz y asociarla a una VLAN.
Nota: Todas las subredes de un vsys deben ser inconexas; esto es, no debe haber direcciones IP superpuestas
entre las subredes del mismo vsys. Por ejemplo: la subinterfaz1 (10.2.2.1 255.255.255.0) y la subinterfaz2
(10.2.3.1 255.255.255.0) son inconexas, y por tanto, enlazan con subredes admisibles.
Sin embargo, las subredes con las siguientes subinterfaces se superponen y no son admisibles dentro del sistema
vsys: subinterfaz1 (10.2.2.1 255.255.0.0) y subinterfaz2 (10.2.3.1 255.255.0.0).
Los rangos de direcciones de las subredes de diferentes sistemas virtuales pueden superponerse.
Ejemplo: Definición de tres subinterfaces y etiquetas VLAN

En este ejemplo, se definen las subinterfaces y las etiquetas VLAN para los tres sistemas virtuales creados en
“Ejemplo: Objetos y administradores vsys” en la página 3: vsys1, vsys2 y vsys3. Las dos primeras subinterfaces son
para dos sistemas virtuales privados que operan en modo NAT y la tercera subinterfaz para un sistema virtual
público que opera en modo de ruta. Las subinterfaces son 10.1.1.1/24, 10.2.2.1/24 y 1.3.3.1/24. Las tres
subinterfaces se crearán en ethernet3/2.
Los tres sistemas virtuales comparten la zona Untrust y su interfaz (ethernet1/1; 1.1.1.1/24) con el sistema raíz. La
zona Untrust está en el dominio de enrutamiento del untrust-vr.
WebUI
1. Subinterfaz y etiqueta VLAN para vsys1
Network > Interfaces > New Sub-IF (para ethernet3/2): Introduzca los siguientes datos y haga clic en OK :
Interface Name: ethernet3/2.1
Zone Name: Trust-vsys1

IP Address / Netmask: 10.1.1.1/24

13
VLAN Tag: 1

Network > Interfaces > New Sub-IF (para ethernet3/2): Introduzca los siguientes datos y haga clic en OK :
VLAN Tag: 2

Network > Interfaces > New Sub-IF (para ethernet3/2): Introduzca los siguientes datos y haga clic en
Apply :
VLAN Tag: 3
Seleccione Interface Mode: Route y haga clic en OK .

Haga clic en Exit Vsys para volver al nivel raíz.
13. Se pueden definir sistemas virtuales para operar en modo de ruta o en modo NAT. El modo NAT es el predeterminado y no es necesario especificarlo al
crear las dos primeras subinterfaces en este ejemplo.

CLI
ns(vsys1)-> set interface ethernet3/2.1 zone trust-vsys1
14
ns(vsys1)-> set interface ethernet3/2.1 ip 10.1.1.1/24 tag 1
ns(vsys1)-> save
ns(vsys1)-> exit
ns(vsys2)-> save
ns(vsys2)-> exit
ns(vsys3)-> set interface ethernet3/2.3 route
ns(vsys3)-> save
ns(vsys3)-> exit
14. Se pueden definir sistemas virtuales para operar en modo de ruta o en modo NAT. El modo NAT es el predeterminado y no es necesario especificarlo al
crear las dos primeras subinterfaces en este ejemplo.

Comunicación entre sistemas virtuales

Los elementos de una VLAN de un vsys no tienen restricciones a la comunicación entre sí. Los elementos de las
VLAN de sistemas virtuales diferentes no pueden comunicarse entre sí a menos que los administradores de los
vsys participantes configuren directivas específicas a tal fin.
El tráfico entre las VLANs de nivel raíz opera con los parámetros establecidos por las directivas de nivel raíz. El
tráfico entre las VLANs de sistemas virtuales opera con los parámetros establecidos por las directivas de los
15
sistemas virtuales participantes . El dispositivo NetScreen sólo deja pasar el tráfico con permiso para salir del
sistema virtual de origen y entrar en el sistema virtual de destino. En otras palabras, los administradores vsys de
ambos sistemas virtuales deben configurar directivas que permitan al tráfico fluir en la dirección apropiada, saliente
y entrante.
Ejemplo: Comunicación entre vsys

En este ejemplo, los administradores de vsys1 y vsys2 (consulte “Ejemplo: Definición de tres subinterfaces y
etiquetas VLAN” en la página 26) configuran directivas para habilitar el tráfico entre una estación de trabajo
(work_js con dirección IP 10.1.1.10/32) en VLAN 1 y un servidor (ftp_server con la dirección IP 10.2.2.20/32) en
VLAN 2. La conexión es posible si se cumplen las dos condiciones siguientes:
• El administrador vsys de vsys1 ha configurado una directiva que permite el tráfico desde la estación de
trabajo en Trust-vsys1 hacia el servidor en su zona Untrust.
• El administrador vsys de vsys2 ha configurado una directiva que permite el tráfico desde la estación de
trabajo en su zona Untrust hacia el servidor en Trust-vsys2.
Tenga en cuenta que el dispositivo de red frente a la interfaz interna del dispositivo NetScreen es un conmutador de
capa 2. Esto obliga al tráfico desde VLAN 1 hacia VLAN 2 a pasar por el conmutador hacia el dispositivo NetScreen
para el enrutamiento de capa 3. Si el dispositivo de red fuera un enrutador de capa 3, el tráfico entre VLAN1 y
VLAN2 podría pasar por el enrutador, ignorando todas las directivas del dispositivo NetScreen.
Los administradores de vsys1 y vsys2 también configuran las rutas correspondientes. La zona compartida Untrust
está en el untrust-vr y las zonas Trust en vsys1 y vsys2.
15. El conjunto de directivas del sistema raíz no afecta al conjunto de directivas de los sistemas virtuales y viceversa.

Dispositivo NetScreen
Conmutador work_js
de capa 2 10.1.1.10/32
Vsys1 VLAN 1
ftp_server
10.2.2.20/32
VLAN 2
Vsys2
WebUI
1. Vsys1
Direcciones
Address Name: work_js
Zone: Trust-vsys1
Address Name: ftp_server
Zone: Untrust

Rutas
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK :
Network Address/Netmask: 10.1.1.0/24
Next Hop Virtual Router Name: (seleccione); vsys1-vr
Network > Routing > Routing Entries > vsys1-vr New: Introduzca los siguientes datos y haga clic en OK :
Gateway: (seleccione)
Next Hop Virtual Router Name: (seleccione); untrust-vr
Directiva
Policies > (From: Trust-vsys1, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), work_js
Destination Address:
Address Book Entry: (seleccione), ftp_server
Service: FTP-Get
Action: Permit
2. Vsys2
Direcciones
Address Name: ftp_server
Zone: Trust-vsys2

Address Name: work_js
Zone: Untrust
Rutas
Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguientes datos y haga clic en OK :
Next Hop Virtual Router Name: (seleccione); vsys2-vr
Network > Routing > Routing Entries > vsys2-vr New: Introduzca los siguientes datos y haga clic en OK :
Next Hop Virtual Router Name: (seleccione); untrust-vr
Directiva
Policies > (From: Untrust, To: Trust-vsys2) New: Introduzca los siguientes datos y haga clic en OK :
Source Address:
Address Book Entry: (seleccione), work_js
Destination Address:
Address Book Entry: (seleccione), ftp_server
Service: FTP-Get
Action: Permit

CLI
1. Vsys1
Direcciones
set address trust-vsys1 work_js 10.1.1.10/32
set address untrust ftp_server 10.2.2.20/32
Rutas
set vrouter untrust-vr route 10.1.1.0/24 vrouter vsys1-vr
set vrouter vsys1-vr route 0.0.0.0/0 vrouter untrust-vr
Directiva
set policy from trust-vsys1 to untrust work_js ftp_server ftp-get permit
save
2. Vsys2
Direcciones
set address trust-vsys2 ftp_server 10.2.2.20/32
set address untrust work_js 10.1.1.10/32
3. Rutas
set vrouter untrust-vr route 10.2.2.0/24 vrouter vsys2-vr
set vrouter vsys2-vr route 0.0.0.0/0 vrouter untrust-vr
4. Directiva de vsys2
set policy from untrust to trust-vsys2 work_js ftp_server ftp-get permit
save

Capítulo 1 Sistemas virtuales Clasificación del tráfico según IP
CLASIFICACIÓN DEL TRÁFICO SEGÚN IP

La clasificación del tráfico según IP permite el uso de sistemas virtuales sin VLANs. En lugar de las etiquetas VLAN,
el dispositivo NetScreen utiliza las direcciones IP para distribuir el tráfico, asociando una subred o un rango de
direcciones IP a un sistema en concreto (raíz o vsys). Al utilizar exclusivamente la clasificación del tráfico según IP
para distribuir el tráfico, todos los sistemas comparten lo siguiente:
• El untrust-vr y un VR interno definido por el usuario.
• La zona Untrust y una zona interna definida por el usuario.
16
• Una interfaz de zona Untrust y una interfaz de zona interna definida por el usuario .
Conmutador interno
Al enrutador externo A vsys1

A vsys2
A vsys3
Interfaz de la Interfaz de la VR INTERNO COMPARTIDO

zona Untrust zona interna
compartida compartida
UNTRUST-VR COMPARTIDO 210.1.1.1/24 10.1.0.1/16 vsys1
10.1.1.0/24
Raíz
Zona Untrust compartida
Zona
vsys1 vsys2 interna
Internet 10.1.2.0/24 compartida
vsys2
vsys3 vsys3
10.1.3.0/24
Nota: Todos los sistemas comparten las zonas Untrust e interna, las
interfaces de las zonas Untrust e interna y el untrust-vr y el VR interno.
16. Aunque se utilice una clasificación del tráfico según VLAN para el tráfico interno, para el tráfico externo todos los sistemas usan la zona compartida Untrust
y, a menos que un sistema tenga una interfaz dedicada, una interfaz de zona Untrust compartida. La utilización de una interfaz compartida en un lado y una
interfaz dedicada (con etiquetado VLAN) en el otro constituye una propuesta híbrida. Las clasificaciones del tráfico según VLAN y según IP pueden coexistir
simultáneamente en el mismo sistema o en sistemas diferentes.

Para designar una subred o un rango de direcciones IP al sistema raíz o a un sistema virtual previamente creado,
se debe proceder como se indica a continuación en el nivel raíz:
WebUI
Network > Zones > Edit (para zona ) > IP Classification: Introduzca los siguientes datos y haga clic en OK :
System: (seleccione root o vsys_name_str )
Address Type: (seleccione Subnet e introduzca ip_addr/mask , o
seleccione Range e introduzca ip_addr1 – ip_addr2 )
CLI
set zone zone ip-classification net ip_addr/mask { root | vsys name_str }
set zone zone ip-classification range ip_addr1-ip_addr2 { root | vsys name_str }
Debido a que la clasificación del tráfico según IP requiere la utilización de una zona de seguridad compartida, los
sistemas virtuales no pueden utilizar direcciones IP internas superpuestas, como sí es posible con la clasificación
del tráfico según VLAN. También, debido a que todos los sistemas comparten la misma interfaz interna, los modos
de operación de la interfaz deben ser NAT o modo de ruta; no se pueden mezclar los modos de ruta y NAT para
distintos sistemas. En este sentido, el esquema de direccionamiento del planteamiento según IP no es tan flexible
como el que permite el más comúnmente utilizado según VLAN.
Además, compartir enrutadores virtuales, zonas de seguridad e interfaces es intrínsecamente menos seguro que
utilizar un enrutador virtual interno, una zona de seguridad interna e interfaces internas y externas dedicados para
cada vsys. Cuando todos los sistemas virtuales comparten las mismas interfaces, un administrador vsys de un vsys
puede utilizar el comando snoop para recopilar información sobre las actividades del tráfico de otros vsys.
También, gracias a que la suplantación de IP es posible en el lado interno, Juniper Networks recomienda que se
inhabilite la opción IP spoofing de SCREEN en la interfaz interna compartida. Para decidir qué esquema de
clasificación del tráfico utilizar, se deben sopesar la facilidad de manejo ofrecida por la opción según IP por un lado
y la mayor seguridad y flexibilidad de direccionamiento ofrecidos por la opción según VLAN por otro.

Ejemplo: Configuración de la clasificación del tráfico según IP

En este ejemplo, configurará la clasificación del tráfico según IP para los tres sistemas virtuales creados en
“Ejemplo: Objetos y administradores vsys” en la página 3. Se define el trust-vr como compartible. Se crea una
nueva zona, denominada Internal y se la vincula al trust-vr. Después se configura la zona Internal como
compartible. Se vincula ethernet3/2 a la zona compartida Internal, se asigna la dirección IP 10.1.0.1/16 y se
selecciona el modo NAT.
Se vincula ethernet1/2 a la zona compartida Untrust y se le asigna la dirección IP 210.1.1.1/24. La dirección IP de la
puerta de enlace predeterminada de la zona Untrust es 210.1.1.250. Las dos zonas Internal y Untrust se
encuentran en el dominio de enrutamiento compartido trust-vr.
Las subredes y sus respectivas asociaciones a los vsys se muestran a continuación:
• 10.1.1.0/24 – vsys1
• 10.1.2.0/24 – vsys2
• 10.1.3.0/24 – vsys3
WebUI
1. Enrutadores virtuales, zonas de seguridad e interfaces
Network > Routing > Virtual Routers > Edit (para trust-vr): Seleccione la casilla de verificación Shared and
accessible by other vsys y haga clic en OK .
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK :
Zone Name: Internal
Virtual Router Name: trust-vr
Zone Type: Layer 3
Network > Zones > Edit (para Internal): Seleccione la casilla de verificación Share Zone y haga clic en OK .
Zone Name: Internal

Zone Name: Untrust
2. Ruta
Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes datos y haga clic en OK :
Gateway: (seleccione)
Interface: ethernet1/2
Gateway IP Address: 210.1.1.250
3. Clasificación según IP de la zona Trust

Network > Zones > Edit (para Internal) > IP Classification: Introduzca los siguientes datos y haga clic en OK :
System: vsys1
Address Type:
Subnet: (seleccione); 10.1.1.0/24
System: vsys2
Address Type:
System: vsys3
Address Type:
Network > Zones > Edit (para Internal): Seleccione la casilla de verificación IP Classification y haga clic en
OK .

CLI
1. Enrutadores virtuales, zonas de seguridad e interfaces
set vrouter trust-vr shared
set zone name Internal
set zone Internal shared
set interface ethernet3/2 zone Internal
set interface ethernet3/2 ip 10.1.0.1/16
set interface ethernet3/2 nat
set interface ethernet1/2 zone untrust
set interface ethernet1/2 ip 210.1.1.1/24
2. Ruta
set vrouter trust-vr route 0.0.0.0/0 interface ethernet1/2 gateway 210.1.1.250
3. Clasificación según IP de la zona Trust
set zone Internal ip-classification net 10.1.1.0/24 vsys1
set zone Internal ip-classification
save

Capítulo 1 Sistemas virtuales Acceso como administrador vsys
ACCESO COMO ADMINISTRADOR VSYS

Mientras que un administrador de nivel raíz entra en un vsys desde el nivel raíz, un administrador vsys entra en su
vsys directamente. Cuando un administrador de nivel raíz sale de un vsys, sale al sistema raíz. Cuando un
administrador vsys sale de un vsys, la conexión se corta inmediatamente.
El siguiente ejemplo muestra cómo acceder a un vsys como administrador vsys, cambiar la contraseña y finalizar la
sesión.
Ejemplo: Acceso y cambio de la contraseña

En este ejemplo, un administrador vsys accede al vsys1 introduciendo sus nombre de inicio de sesión jsmith y
contraseña Pd50iH10 asignados. Cambia la contraseña a I6Dls13guh y finaliza la sesión.
Nota: Un administrador vsys no puede cambiar su nombre de inicio de sesión (nombre de usuario) porque el
dispositivo NetScreen utiliza su nombre, que debe ser único entre todos los administradores vsys, para enrutar la
conexión de inicio de sesión al vsys apropiado.
WebUI
1. Acceso
En el campo URL del explorador web, introduzca la dirección IP de la interfaz de la zona Untrust para
vsys1.
Cuando aparezca el cuadro de diálogo Network Password, introduzca los datos siguientes y haga clic en OK :
User Name: jsmith
Password: Pd50iH10
2. Cambio de contraseña
Configuration > Admin > Administrators: Introduzca los siguientes datos y haga clic en OK :
Vsys Admin Old Password: Pd50iH10
Vsys Admin New Password: I6Dls13guh
Confirm New Password: I6Dls13guh
3. Finalización de la sesión
Haga clic en Logout , ubicado en la parte inferior de la columna del menú.

Capítulo 1 Sistemas virtuales Acceso como administrador vsys
CLI
1. Acceso
Desde la entradilla (prompt) de la línea de comandos de una sesión de Secure Command Shell (SCS),
Telnet o HyperTerminal, se introduce la dirección IP de la interfaz de la zona Untrust de vsys1.
Acceda con los siguientes nombre de usuario y contraseña:
– User Name: jsmith
– Password: Pd50iH10
2. Cambio de contraseña
set admin password I6DIs13guh
save
3. Finalización de la sesión
exit

Índice
Índice
A N subinterfaces 24
administración nombres configuración (vsys) 24
administrador vsys 39 convenciones viii creación (vsys) 24
definición 26
C P varias subinterfaces por vsys 24
clasificación del tráfico según IP 34 puertos
CLI troncales 24 T
convenciones iv puertos troncales 24 tráfico
conjuntos de caracteres compatibles con configuración manual 23 clasificación del tráfico según VLAN 22
ScreenOS viii definición 23 clasificación, según IP 34
contraseña
tráfico de tránsito, clasificación de vsys 11–14
administrador vsys 39
convenciones
S
CLI iv
ScreenOS
sistemas virtuales, VRs 6
V
ilustración vii VIP
sistemas virtuales, zonas 7
nombres viii sistemas virtuales 10
sistema virtual 1–40
WebUI v VLANs
administradores iii, 1
cambio de la contraseña del clasificación del tráfico según VLAN 22
D administrador 3, 39 comunicación con otra VLAN 29–33
definición clasificación del tráfico 10–18 crear 26–28
subinterfaces 26 clasificación del tráfico según IP 34–38 entroncamiento 23
clasificación del tráfico según VLAN 22–33 etiqueta 24, 25
E clave software 16
creación de un objeto vsys 3
modo transparente 23, 24
estándar VLAN IEEE 802.1Q 22 exportación de una interfaz física 20 subinterfaces 24
importación de una interfaz física 19 VRs
I interfaces 8 compartidas 15
creación de un VR compartido 17
ilustración manejabilidad y seguridad 35
convenciones vii MIP 10
inicio de sesión modo transparente 23
rangos de direcciones superpuestos 26, 35
W
vsys 34, 39 WebUI
interfaces requisitos funcionales básicos 3
subredes superpuestas 26 convenciones v
compartidas 15, 34
dedicadas 15, 34 tipos de administradores 3
exportación desde vsys 20 VIP 10
VR compartido 15
Z
importación de vsys 19 zonas
VRs 6
zona compartida 15 compartidas 15
M zonas 7 vsys 7
MIP software zonas de seguridad
sistemas virtuales 10 clave, vsys 16 véase zonas
Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Virtual Systems IX-I

Índice
Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Virtual Systems IX-II

CE v9 SP

Caricato da

Informazioni sul documento

Descrizione originale:

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

CE v9 SP

Caricato da

Copyright:

Formati disponibili

NetScreen conceptos y ejemplos

Manual de referencia de ScreenOS

Volumen 9: Sistemas virtuales

FCC Statement Disclaimer

Convenciones de la interfaz de línea Importación y exportación de interfaces físicas........ 19

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales i

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales ii

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales iii

Convenciones de la interfaz de línea de comandos (CLI)

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales iv

Convenciones de la interfaz gráfica (WebUI)

1. Haga clic en Objects en la columna de menú. 3. Haga clic en List.

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales v

Nota: En este ejemplo, no hay

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales vi

Convenciones para las ilustraciones

Red de área local (LAN) con

Dominio de enrutamiento virtual Internet

Rango de direcciones IP dinámicas

Dispositivo de red genérico

Icono de conmutador (switch)

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales vii

Convenciones de nomenclatura y conjuntos de caracteres

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales viii

DOCUMENTACIÓN DE NETSCREEN DE JUNIPER NETWORKS

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales ix

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales x

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales 1

• “Clasificación del tráfico según VLAN” en la página 22

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales 2

CREACIÓN DE UN OBJETO VSYS

Ejemplo: Objetos y administradores vsys

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales 3

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales 4

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales 5

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales 6

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales 7

Tipos de interfaces de la zona Untrust Tipos de interfaces de la zona Trust

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales 8

Nota: El icono del castillo representa una interfaz de una zona de

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales 9

CLASIFICACIÓN DEL TRÁFICO

Tráfico destinado al dispositivo NetScreen

ethernet1/2, zona Untrust – El sistema raíz, vsys1,

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales 10

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales 11

Cuando un paquete llega a un dispositivo NetScreen que tiene sistemas

1 Clasificación del tráfico por interfaz

Asociar el paquete con el vsys Asociar el paquete con el vsys

La clasificación por interfaz La clasificación por interfaz

Asociar el paquete al vsys de Asociar el paquete al vsys de

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales 12

3. Asignación del tráfico al vsys

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales 13

“Ejemplo: Comunicación entre vsys” en la página 29).

Aplicar el conjunto de directivas y la tabla de rutas del

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales 14

Interfaces compartidas y dedicadas

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales 15

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales 16

Las opciones de la WebUI y la CLI son las siguientes:

Juniper Networks NetScreen conceptos y ejemplos – Volumen 9: Sistemas virtuales 17