Neue Schnittstelle, neue Zone und das Adressbuch für Teilnetz erstellen
Zuerst müssen Sie eine Schnittstelleneinheit für das VLAN erstellen und die Gateway-Adresse des Teilnetzes hinzufügen. Anschließend können Sie eine der neuen Einheit zugeordnete Sicherheitszone und den Eintrag address-book
für das
Teilnetz erstellen.
In den folgenden Beispielen wird ein vSRX -Cluster mit hoher Verfügbarkeit sowohl in einer privaten als auch in einer öffentlichen Konfiguration beschrieben. Sie müssen alle zugeordneten privaten VLANs in reth2
und alle zugeordneten
öffentlichen VLANs in reth3
konfigurieren. Nach der Bereitstellung wird die öffentliche WAN-Verbindung in reth1
und die private WAN-Verbindung in reth0
konfiguriert. Für jedes Teilnetz in einem zugeordneten
VLAN muss das Teilnetzgateway in den VLAN-Schnittstellen konfiguriert werden. Die zweite IP im Kundenteilnetz, direkt nach der Netz-ID, ist das Teilnetzgateway. Im folgenden Beispiel ist 10.186.228.145/28
das Teilnetzgateway von
10.186.228.144/28
im privaten VLAN 1898
.
Weitere Informationen zu zugeordneten VLANs finden Sie unter VLANs mit einer Gateway-Appliance verwalten.
Beispiel für Konfiguration auf privater Seite:
set interfaces reth2 vlan-tagging
set interfaces reth2 redundant-ether-options redundancy-group 1
set interfaces reth2 unit 1898 vlan-id 1898
set interfaces reth2 unit 1898 family inet address 10.186.228.145/28
set interfaces reth2 unit 1898 family inet address 10.208.110.121/29
set interfaces reth2 unit 1898 family inet address 10.208.237.97/29
set security zones security-zone SL-PRIVATE interfaces reth2.1898 host-inbound-traffic system-services all
set security address-book global address VSI_PRIV_NET 10.208.237.96/29
set security address-book global address VSI_PRIV_NET1 10.186.228.144/28
set security address-book global address VSI_PRIV_NET2 10.208.110.120/29
Beispiel für die Konfiguration der öffentlichen Seite:
set interfaces reth3 vlan-tagging
set interfaces reth3 redundant-ether-options redundancy-group 1
set interfaces reth3 unit 1523 vlan-id 1523
set interfaces reth3 unit 1523 family inet address 169.47.211.153/29
set security zones security-zone CUSTOMER-PUBLIC interfaces reth3.1523 host-inbound-traffic system-services all
set security address-book global address VSI_PUB_NET 169.47.211.152/29
Überlegungen zum Filtern nach Loopback
Der Filter PROTECT-IN
für Loopback-Blöcke (standardmäßig) den gesamten lokalen Datenverkehr zu und von der vSRX , der nicht explizit zugelassen wurde. Daher müssen die Teilnetz-Gateways zu PROTECT-IN
hinzugefügt werden,
um ein Pingsignal an die zuvor definierten Teilnetz-Gateways oder an Server in diesen Teilnetzen über die vSRX abzusetzen. Dies wird standardmäßig für die reth1
- und reth0
-IP-Adressen konfiguriert und ist der Grund,
warum auf sie nach der Bereitstellung zugegriffen werden kann.
set firewall filter PROTECT-IN term PING from destination-address 10.208.237.97/32
set firewall filter PROTECT-IN term PING from destination-address 10.208.110.121/32
set firewall filter PROTECT-IN term PING from destination-address 10.186.228.145/32
set firewall filter PROTECT-IN term PING from destination-address 169.47.211.153/32
set firewall filter PROTECT-IN term PING from protocol icmp
set firewall filter PROTECT-IN term PING then accept