Visão geral da Logical Systems
Os sistemas lógicos permitem que você partique um único dispositivo em vários contextos seguros que executam tarefas independentes. Para obter mais informações, veja os seguintes tópicos:
Entendendo sistemas lógicos para firewalls da Série SRX
Sistemas lógicos para firewalls da Série SRX permitem que você partique um único dispositivo em contextos seguros. Cada sistema lógico tem seu próprio domínio administrativo discreto, interfaces lógicas, instâncias de roteamento, firewall de segurança e outros recursos de segurança. Ao transformar um firewall da Série SRX em um dispositivo de sistemas lógicos multilocatário, você pode oferecer a vários departamentos, organizações, clientes e parceiros — dependendo do seu ambiente — o uso privado de partes de seus recursos e uma visão privada do dispositivo. Usando sistemas lógicos, você pode compartilhar sistemas e recursos físicos de máquina subjacentes entre sistemas lógicos de usuário discretos e o sistema lógico primário.
A parte superior da Figura 1 mostra os três componentes de configuração principais de um sistema lógico. A parte inferior da figura mostra um único dispositivo com um sistema lógico primário e sistemas lógicos de usuário discretos.
Os sistemas lógicos incluem sistemas lógicos primários e de usuários e seus administradores. As funções e responsabilidades do administrador primário e as de um administrador de sistema lógico do usuário diferem muito. Essa diferenciação de privilégios e responsabilidades é considerada administração e controle baseados em funções.
Os sistemas lógicos em firewalls da Série SRX oferecem muitos benefícios, permitindo que você:
Custos reduzidos. Usando sistemas lógicos, você pode reduzir o número de dispositivos físicos necessários para a sua empresa. Como você pode consolidar serviços para vários grupos de usuários em um único dispositivo, você reduz os custos de hardware e as despesas de energia.
Crie muitos sistemas lógicos em um único dispositivo e provisione recursos e serviços para eles rapidamente. Como os serviços estão convergidos, é mais fácil para o administrador primário ou raiz gerenciar um único dispositivo configurado para sistemas lógicos do que gerenciar muitos dispositivos discretos.
Você pode implantar um firewall da Série SRX executando sistemas lógicos em muitos ambientes, em particular, na empresa e no data center.
Na empresa, você pode criar e provisionar sistemas lógicos para vários departamentos e grupos.
Você pode configurar sistemas lógicos para permitir a comunicação entre grupos que compartilham o dispositivo. Quando você cria sistemas lógicos para vários departamentos no mesmo dispositivo, os usuários podem se comunicar entre si sem que o tráfego deixe o dispositivo se você tiver configurado um sistema lógico de interconexão para servir como um switch interno. Por exemplo, membros do grupo de design de produtos, do departamento de marketing e do departamento de contabilidade que compartilham um gateway de serviços da Série SRX executando sistemas lógicos podem se comunicar entre si da maneira que podiam se dispositivos separados fossem implantados em seus departamentos. Você pode configurar sistemas lógicos para interconectar por meio de interfaces internas de túnel lógico (lt-0/0/0 ). As interfaces lt-0/0/0 no sistema lógico de interconexão se conectam a uma interface lt-0/0/0 que você configura para cada sistema lógico. O sistema lógico de interconexão alterna o tráfego entre sistemas lógicos. O firewall da Série SRX que executa sistemas lógicos proporciona interação rápida e alta entre todos os sistemas lógicos criados no dispositivo quando um sistema lógico de interconexão é usado.
Sistemas lógicos no mesmo dispositivo também podem se comunicar diretamente entre si através de portas no dispositivo, como se fossem dispositivos separados. Embora esse método permita conexões diretas entre sistemas lógicos, ele consome mais recursos — você deve configurar interfaces e um switch externo — e, portanto, é mais caro.
No data center, como provedor de serviços, você pode implantar um firewall da Série SRX executando sistemas lógicos para oferecer aos seus clientes sistemas lógicos de usuário seguros e privados e uso discreto dos recursos do dispositivo.
Por exemplo, uma corporação pode exigir 10 sistemas lógicos de usuários e outra pode exigir 20. Como os sistemas lógicos são seguros, privados e autônomos, os dados pertencentes a um sistema lógico não podem ser vistos por administradores ou usuários de outros sistemas lógicos. Ou seja, os funcionários de uma corporação não conseguem ver os sistemas lógicos de outra corporação.
SRX4100 e dispositivos SRX4200 oferecem suporte ao sistema lógico no modo transparente e de roteamento.
SRX4600 dispositivo oferece suporte apenas ao sistema lógico no modo de rota.
Para usar o switch interno, que é opcional, você também deve configurar um sistema lógico de interconexão. O sistema lógico de interconexão não requer um administrador.
Veja também
Recursos e limitações dos sistemas lógicos
Este tópico abrange informações básicas sobre os recursos e limitações dos sistemas lógicos.
Você pode configurar até 32 perfis de segurança, de 1 a 32, com o ID 0 reservado para o perfil de segurança padrão configurado internamente. Quando o número máximo de perfis de segurança é alcançado, se você quiser adicionar um novo perfil de segurança, você deve primeiro excluir um ou mais perfis de segurança existentes, confirmar a configuração e, em seguida, criar o novo perfil de segurança e cometê-lo. Você não pode adicionar um novo perfil de segurança e remover um existente em um único compromisso de configuração.
Se você quiser adicionar mais de um novo perfil de segurança, a mesma regra é verdadeira. Primeiro, você deve excluir o número equivalente de perfis de segurança existentes, confirmar a configuração e, em seguida, criar os novos perfis de segurança e confirmar a configuração.
Você pode configurar um ou mais administradores primários para supervisionar a administração do dispositivo e os sistemas lógicos que eles configuram.
Como administrador primário de um gateway de serviços da Série SRX que executa sistemas lógicos, você tem controle raiz sobre o dispositivo, seus recursos e os sistemas lógicos que você cria. Você aloca recursos de segurança, rede e roteamento para sistemas lógicos do usuário. Você pode configurar um sistema lógico para servir como um switch de LAN privada virtual (VPLS) do sistema lógico de interconexão. O sistema lógico de interconexão, que não é obrigatório, não requer recursos de segurança. No entanto, se você configurar um sistema lógico de interconexão, você deve vincular um perfil de segurança fictício a ele. O administrador primário o configura e todas as interfaces lt-0/0/0 para ele.
Um sistema lógico do usuário pode ter um ou mais administradores, chamados de administradores de sistema lógico do usuário. O administrador primário cria contas de login para esses administradores e as atribui a um sistema lógico do usuário. Atualmente, o administrador principal deve configurar todos os administradores de sistema lógico do usuário. O primeiro administrador lógico de usuário designado não pode configurar administradores de sistema lógico de usuário adicionais para seu sistema lógico. Como administrador de sistema lógico do usuário, você pode configurar os recursos atribuídos ao seu sistema lógico de usuário, incluindo interfaces lógicas atribuídas pelo administrador primário, instâncias de roteamento e suas rotas e componentes de segurança. Você só pode exibir informações de configuração para o seu sistema lógico.
Um sistema lógico pode incluir mais de uma instância de roteamento com base em recursos de sistema disponíveis.
Você não pode configurar classe de serviço em interfaces lt-0/0/0.
A reversão do commit é suportada apenas no nível raiz.
A classificação de qualidade de serviço (QoS) em sistemas lógicos interconectados não funciona.
O administrador primário pode configurar gateways de camada de aplicativo (ALGs) no nível raiz. A configuração é herdada por todos os sistemas lógicos do usuário. As ALGs também podem ser configuradas de forma discreta para sistemas lógicos do usuário.
O administrador primário pode configurar políticas de IDP no nível raiz e, em seguida, aplicar uma política de IDP a um sistema lógico do usuário.
Apenas o administrador principal pode criar contas de usuário e IDs de login para usuários para todos os sistemas lógicos. O administrador primário cria essas contas de usuário no nível raiz e as atribui aos sistemas lógicos de usuário apropriados.
O mesmo nome não pode ser usado em dois sistemas lógicos separados. Por exemplo, se o sistema lógico1 inclui um usuário com Bob configurado como nome de usuário, então outros sistemas lógicos no dispositivo não podem incluir um usuário com o nome de usuário Bob.
A configuração para usuários para todos os sistemas lógicos e todos os administradores de sistemas lógicos do usuário deve ser realizada no nível raiz pelo administrador principal. Um administrador de sistema lógico do usuário não pode criar outros administradores de sistema lógico do usuário ou contas de usuário para seus sistemas lógicos.
Alguns dos parâmetros de escala são diferentes para dispositivos SRX1500. Por exemplo, você pode configurar um máximo de 512 zonas sob um sistema lógico.
Veja também
Entendendo o sistema lógico de interconexão e as interfaces lógicas de túneis
Esse tópico abrange o sistema lógico de interconexão que serve como um switch de LAN privada virtual (VPLS) que conecta um sistema lógico no dispositivo a outro. O tópico também explica como as interfaces lógicas de túnel (lt-0/0/0) são usadas para conectar sistemas lógicos através do sistema lógico de interconexão.
Um dispositivo que executa sistemas lógicos pode usar um switch VPLS interno para passar tráfego sem que ele saia do dispositivo. O sistema lógico de interconexão interconecta o tráfego em sistemas lógicos que o usam. Embora um switch virtual seja normalmente usado, ele não é obrigatório. Se você optar por usar um switch virtual, você deve configurar o sistema lógico de interconexão. Só pode haver um sistema lógico de interconexão em um dispositivo.
Para que a comunicação entre sistemas lógicos no dispositivo ocorra, você deve configurar uma interface lt-0/0/0 em cada sistema lógico que usará o switch interno, e você deve associá-lo à sua interface peer lt-0/0/0 no sistema lógico de interconexão, criando efetivamente um túnel lógico entre eles. Você define uma relação de pares em cada extremidade do túnel quando configura as interfaces lt-0/0/0 do sistema lógico.
Você pode querer que todos os sistemas lógicos do dispositivo sejam capazes de se comunicar entre si sem usar um switch externo. Alternativamente, você pode querer que alguns sistemas lógicos se conectem através do switch interno, mas não todos eles.
O sistema lógico de interconexão não requer recursos de segurança atribuídos a ele por meio de um perfil de segurança. No entanto, você deve atribuir um perfil de segurança fictício sem recursos ao sistema lógico de interconexão. Caso contrário, você não será capaz de confirmar com sucesso a configuração para ela.
Se você configurar uma interface lt-0/0/0 em qualquer sistema lógico do usuário ou no sistema lógico primário e não configurar um sistema lógico de interconexão contendo uma interface peer lt-0/0/0 para ele, o commit falhará.
Um firewall da Série SRX que executa sistemas lógicos pode ser usado em um cluster de chassi. Cada nó tem a mesma configuração, incluindo o sistema lógico de interconexão.
Veja também
Entendendo o fluxo de pacotes em sistemas lógicos para dispositivos da Série SRX
Este tópico explica como os pacotes são processados em sessões de fluxo em firewalls da Série SRX que executam sistemas lógicos. Ele descreve como um firewall da Série SRX que executa sistemas lógicos lida com o tráfego de passagem em um único sistema lógico e entre sistemas lógicos. Ele também cobre o tráfego autônomo como tráfego auto-iniciado dentro de um sistema lógico e auto-tráfego encerrado em outro sistema lógico. Antes de abordar sistemas lógicos, o tópico fornece informações básicas sobre a arquitetura da Série SRX em relação ao processamento de pacotes e sessões. Por fim, ele aborda as sessões e como mudar as características da sessão.
Os conceitos explicados neste exemplo dependem da topologia mostrada na Figura 2.
- Entendendo a arquitetura de firewalls da Série SRX do Junos OS
- Criação de sessão para dispositivos que executam sistemas lógicos
- Entendendo o fluxo em sistemas lógicos
- Entendendo a classificação de pacotes
- Lidar com o tráfego de passagem para sistemas lógicos
- Lidar com o auto-tráfego
- Entendendo o controle de limitação de sessão e portão
- Entendendo as sessões
- Sobre a configuração de sessões
Entendendo a arquitetura de firewalls da Série SRX do Junos OS
O Junos OS é um sistema distribuído de processamento paralelo de alta taxa de transferência e alto desempenho. A arquitetura de processamento paralelo distribuída dos gateways de serviços inclui vários processadores para gerenciar sessões e executar a segurança e outros processamentos de serviços. Essa arquitetura oferece maior flexibilidade e permite alta taxa de transferência e desempenho rápido.
Os dispositivos de linha SRX5000 incluem placas de E/S (IOC) e placas de processamento de serviços (SPCs) que cada uma contém unidades de processamento que processam um pacote enquanto ele atravessa o dispositivo. Uma unidade de processamento de rede (NPU) é operada em um IOC. Um IOC tem um ou mais NPUs. Uma ou mais unidades de processamento de serviços (SPUs) são executadas em um SPC.
Essas unidades de processamento têm responsabilidades diferentes. Todos os serviços baseados em fluxo para um pacote são executados em uma única SPU. Caso contrário, no entanto, as linhas não estão claramente divididas em relação aos tipos de serviços que são executados nesses processadores. (Para obter detalhes sobre o processamento baseado em fluxo, veja Entender o processamento de tráfego em dispositivos de segurança.)
Por exemplo:
Um NPU processa pacotes de forma discreta. Ele realiza verificações de sanidade e aplica algumas telas que estão configuradas para a interface, como as telas de negação de serviço (DoS) ao pacote.
Um SPU gerencia a sessão para o fluxo de pacotes e aplica recursos de segurança e outros serviços ao pacote. Ele também aplica filtros de firewall stateless baseados em pacotes, classificadores e shapers de tráfego ao pacote.
O sistema usa um processador como ponto central para cuidar da arbitragem e alocação de recursos e distribuir sessões de forma inteligente. O ponto central atribui uma SPU a ser usada para uma sessão específica quando o primeiro pacote de seu fluxo é processado.
Essas partes discretas e cooperativas do sistema, incluindo o ponto central, armazenam as informações identificando se existe uma sessão para um fluxo de pacotes e as informações contra as quais um pacote é combinado para determinar se ele pertence a uma sessão existente.
Essa arquitetura permite que o dispositivo distribua o processamento de todas as sessões em várias SPUs. Ele também permite que um NPU determine se existe uma sessão para um pacote, verificar o pacote e aplicar telas a ele. A forma como um pacote é tratado depende se é o primeiro pacote de um fluxo.
O processamento de pacotes baseados em fluxo trata pacotes relacionados, ou um fluxo de pacotes, da mesma forma. O tratamento de pacotes depende das características estabelecidas para o primeiro pacote do fluxo de pacotes quando a sessão de fluxo for estabelecida. A maioria do processamento de pacotes ocorre dentro de um fluxo. Para a arquitetura de processamento distribuída do gateway de serviços, alguns processamentos baseados em pacotes, como a modelagem de tráfego, ocorre na NPU. Alguns processamentos baseados em pacotes, como a aplicação de classificadores a um pacote, ocorre na SPU.
As configurações que determinam o destino de um pacote — como a política de segurança que se aplica a ele, o gateway de camada de aplicação (ALG) configurado para ele, se o NAT deve ser aplicado para traduzir o endereço IP de origem e/ou destino do pacote — são avaliados para o primeiro pacote de um fluxo.
Criação de sessão para dispositivos que executam sistemas lógicos
A criação de sessão para firewalls da Série SRX que executam sistemas lógicos difere de maneiras menores das firewalls da Série SRX que não executam sistemas lógicos. Apesar das complexidades que os sistemas lógicos introduzem, o tráfego é tratado de forma semelhante à forma como é tratado em firewalls da Série SRX que não executam sistemas lógicos. O processamento de pacotes baseados em fluxo, que é stateful, requer a criação de sessões. Ao considerar o processamento baseado em fluxo e o estabelecimento de sessões para sistemas lógicos, ele ajuda a pensar em cada sistema lógico no dispositivo como um dispositivo discreto em relação ao estabelecimento de sessão.
Uma sessão é criada, com base em roteamento e outras informações de classificação, para armazenar informações e alocar recursos para um fluxo. Basicamente, uma sessão é estabelecida quando o tráfego entra em uma interface lógica do sistema, a busca por rotas é realizada para identificar a interface de salto seguinte e a busca por políticas é realizada.
Opcionalmente, os sistemas lógicos permitem que você configure um switch de software interno. Este switch de LAN privada virtual (VPLS) é implementado como um sistema lógico de interconexão. Ele permite que o tráfego de trânsito e o tráfego terminados em um sistema lógico passem entre sistemas lógicos. Para permitir que o tráfego passe entre sistemas lógicos, são usadas interfaces de túnel lógico (lt-0/0/0) em todo o sistema lógico de interconexão.
A comunicação entre sistemas lógicos em todo o sistema lógico de interconexão requer o estabelecimento de duas sessões: uma para tráfego que entra em um sistema lógico e sai de sua interface lt-0/0/0, e outra para tráfego que entra na interface lt-0/0/0 de outro sistema lógico e sai do dispositivo por uma de sua interface física ou está destinado a ele.
A sequência de pacotes ocorre na entrada e nas interfaces de saída. Os pacotes que viajam entre sistemas lógicos podem não ser processados na ordem em que foram recebidos na interface física.
Entendendo o fluxo em sistemas lógicos
Para entender como o tráfego é tratado para sistemas lógicos, é útil considerar cada sistema lógico como um dispositivo discreto.
O tráfego é processado para o sistema lógico primário da mesma forma que é para os sistemas lógicos do usuário no dispositivo.
Em SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 e dispositivos da Série SRX5800, a versão J-Flow 5, a versão 8 e a versão 9 não são suportadas em sistemas lógicos.
Entendendo a classificação de pacotes
A classificação de pacotes é avaliada da mesma forma para firewalls da Série SRX em execução com ou sem sistemas lógicos. Filtros e recursos de classe de serviço são tipicamente associados a uma interface para influenciar quais pacotes podem transitar pelo sistema e aplicar ações especiais aos pacotes conforme necessário. (Em um fluxo, algum processamento baseado em pacotes também ocorre em uma SPU.)
A classificação de pacotes é baseada na interface de entrada e realizada no ponto de entrada. O tráfego para uma interface dedicada é classificado para o sistema lógico que contém essa interface. Dentro do contexto de um fluxo, a classificação de pacotes é baseada tanto na interface física quanto na interface lógica.
Lidar com o tráfego de passagem para sistemas lógicos
Para firewalls da Série SRX que não executam sistemas lógicos, o tráfego de passagem é um tráfego que entra e sai de um dispositivo. Você pode pensar no tráfego de passagem para sistemas lógicos de maneira semelhante, mas como tendo uma dimensão maior como resultado da natureza de um dispositivo multilocatário. Para os firewalls da Série SRX que executam sistemas lógicos, o tráfego de passagem pode existir dentro de um sistema lógico ou entre sistemas lógicos.
Tráfego de passagem dentro de um sistema lógico
Para tráfego de passagem dentro de um sistema lógico, o tráfego entra em uma interface pertencente a uma das instâncias de roteamento virtual do sistema lógico, e é enviado para outra de suas instâncias de roteamento virtual. Para sair do dispositivo, o tráfego é enviado uma interface pertencente à segunda instância de roteamento virtual. O tráfego não transita entre sistemas lógicos, mas sim entra e sai do dispositivo em um único sistema lógico. O tráfego de passagem em um sistema lógico é transmitido de acordo com as tabelas de roteamento em cada uma de suas instâncias de roteamento.
Considere como o tráfego de passagem é tratado dentro de um sistema lógico, dada a topologia mostrada na Figura 2.
Quando um pacote chega na interface ge-0/0/5, ele é identificado como pertencente ao sistema lógico de design de produto ls.
Como o ge-0/0/5 pertence à instância de roteamento pd-vr1, a busca por rotas é realizada em pd-vr1 com pd-vr2 identificado como o próximo salto.
Uma segunda busca de rota é realizada em pd-vr2 para identificar a interface de saída a ser usada — neste caso — ge-0/0/8.
O pacote é enviado para a rede ge-0/0/8.
A busca por políticas de segurança é realizada em design de produtos ls, e uma sessão é estabelecida.
Tráfego de passagem entre sistemas lógicos
O tráfego de passagem entre sistemas lógicos é complicado pelo fato de que cada sistema lógico tem uma entrada e uma interface de saída que o tráfego deve transitar. É como se o tráfego estivesse entrando e saindo de dois dispositivos.
Duas sessões devem ser estabelecidas para o tráfego de passagem entre sistemas lógicos. (Observe que a busca por políticas é realizada em ambos os sistemas lógicos).
No sistema lógico de entrada, uma sessão é configurada entre a interface de entrada (uma interface física) e sua interface de saída (uma interface lt-0/0/0).
No sistema lógico de saída, outra sessão é configurada entre a interface de entrada (a interface lt-0/0/0 do segundo sistema lógico) e sua interface de saída (uma interface física).
Considere como o tráfego de passagem é tratado em sistemas lógicos na topologia mostrada na Figura 2.
Uma sessão é estabelecida no sistema lógico de entrada.
Quando um pacote chega na interface ge-0/0/5, ele é identificado como pertencente ao sistema lógico de design de produto ls.
Como o ge-0/0/5 pertence à instância de roteamento pd-vr1, a busca por rotas é realizada em pd-vr1.
Como resultado da busca, a interface de saída para o pacote é identificada como lt-0/0/0,3 com o próximo salto identificado como lt-0/0/0,5, que é a interface de entrada no departamento de marketing ls.
Uma sessão é estabelecida entre ge-0/0/5 e lt-0/0/0,3.
Uma sessão é estabelecida no sistema lógico de saída.
O pacote é novamente injetado no fluxo a partir de lt-0/0/0,5, e o contexto lógico do sistema identificado como ls-marketing-dept é derivado da interface.
O processamento de pacotes continua no sistema lógico de departamento de marketing ls.
Para identificar a interface de saída, a busca por roteamento para o pacote é realizada nas instâncias de roteamento mk-vr1.
A interface de saída é identificada como ge-0/0/6, e o pacote é transmitido da interface para a rede.
Lidar com o auto-tráfego
O tráfego autônomo é um tráfego que se origina em um sistema lógico no dispositivo e é enviado para a rede a partir desse sistema lógico ou é encerrado em outro sistema lógico no dispositivo.
Tráfego auto-iniciado
O tráfego auto-iniciado é gerado a partir de um contexto lógico do sistema de origem e encaminhado diretamente para a rede a partir da interface lógica do sistema.
O processo a seguir ocorre:
Quando um pacote é gerado em um sistema lógico, um processo para lidar com o tráfego é iniciado no sistema lógico.
A busca por rotas é realizada para identificar a interface de saída, e uma sessão é estabelecida.
O sistema lógico realiza uma busca de políticas e processa o tráfego de acordo.
Se necessário, uma sessão de gerenciamento é configurada.
Considere como o tráfego auto-iniciado é tratado em sistemas lógicos, dada a topologia mostrada na Figura 2.
Um pacote é gerado no sistema lógico de design de produto ls, e um processo para lidar com o tráfego é iniciado no sistema lógico.
A busca por roteamento realizada em pd-vr2 identifica a interface de saída como ge-0/0/8.
Uma sessão está estabelecida.
O pacote é transmitido para a rede a partir de ge-0/0/8.
Tráfego encerrado em um sistema lógico
Quando um pacote entra no dispositivo em uma interface pertencente a um sistema lógico e o pacote é destinado a outro sistema lógico no dispositivo, o pacote é encaminhado entre os sistemas lógicos da mesma forma que o tráfego de passagem. No entanto, a busca por rotas no segundo sistema lógico identifica a interface de saída local como o destino dos pacotes. Consequentemente, o pacote é encerrado no segundo sistema lógico como auto-tráfego.
Para tráfego autônomo encerrado, duas buscas de políticas são realizadas e duas sessões são estabelecidas.
No sistema lógico de entrada, uma sessão é configurada entre a interface de entrada (uma interface física) e sua interface de saída (uma interface lt-0/0/0).
No sistema lógico de destino, outra sessão é configurada entre a interface de entrada (a interface lt-0/0/0 do segundo sistema lógico) e a interface local.
Considere como o auto-tráfego encerrado é tratado em sistemas lógicos na topologia mostrada na Figura 2.
Uma sessão é estabelecida no sistema lógico de entrada.
Quando um pacote chega na interface ge-0/0/5, ele é identificado como pertencente ao sistema lógico de design de produto ls.
Como o ge-0/0/5 pertence à instância de roteamento pd-vr1, a busca por rotas é realizada em pd-vr1.
Como resultado da busca, a interface de saída para o pacote é identificada como lt-0/0/0,3 com o próximo salto identificado como lt-0/0/0,5, a interface de entrada no departamento de marketing ls.
Uma sessão é estabelecida entre ge-0/0/5 e lt-0/0/0,3.
Uma sessão de gerenciamento está estabelecida no sistema lógico de destino.
O pacote é novamente injetado no fluxo a partir de lt-0/0/0,5, e o contexto lógico do sistema identificado como ls-marketing-dept é derivado da interface.
O processamento de pacotes continua no sistema lógico de departamento de marketing ls.
A busca por roteamento para o pacote é realizada na instância de roteamento mk-vr1. O pacote é encerrado no sistema lógico de destino como auto-tráfego.
Uma sessão de gerenciamento está estabelecida.
Entendendo o controle de limitação de sessão e portão
O módulo de fluxo de sistemas lógicos oferece limitação de sessão e portão para garantir que esses recursos sejam compartilhados de maneira justa entre os sistemas lógicos. A alocação de recursos e as limitações para cada sistema lógico são especificadas no perfil de segurança vinculado ao sistema lógico.
Para limitar a sessão, o sistema verifica o primeiro pacote de uma sessão em relação ao número máximo de sessões configuradas para o sistema lógico. Se o máximo for alcançado, o dispositivo derruba o pacote e registra o evento.
Para limitar o portão, o dispositivo verifica o primeiro pacote de uma sessão em relação ao número máximo de portões configurados para o sistema lógico. Se o número máximo de portões para um sistema lógico for alcançado, o dispositivo rejeitará a solicitação aberta do portão e registrará o evento.
Entendendo as sessões
As sessões são criadas com base no roteamento e outras informações de classificação para armazenar informações e alocar recursos para um fluxo. Você pode mudar algumas características das sessões, como quando uma sessão é terminada. Por exemplo, você pode querer garantir que uma tabela de sessão nunca esteja totalmente cheia para se proteger contra a tentativa de inundação da mesa de um invasor e, assim, impedir que os usuários legítimos iniciais das sessões.
Sobre a configuração de sessões
Dependendo do protocolo e do serviço, uma sessão é programada com um valor de tempo limite. Por exemplo, o tempo limite padrão para TCP é de 1800 segundos. O tempo limite padrão para UDP é de 60 segundos. Quando um fluxo é encerrado, ele é marcado como inválido, e seu tempo limite é reduzido para 10 segundos. Se nenhum tráfego usar o Se nenhum tráfego usar a sessão antes do tempo limite do serviço, a sessão será envelhecida e liberada para um pool de recursos comum para reutilização.
Você pode afetar a vida de uma sessão das seguintes maneiras:
Age as sessões, com base no quão completa é a tabela da sessão.
Definir um tempo limite explícito para o envelhecimento das sessões de TCP.
Configure uma sessão de TCP a ser invalidada quando receber uma mensagem TCP RST (reset).
Você pode configurar sessões para acomodar outros sistemas da seguinte forma:
Desativar verificações de segurança de pacotes de TCP.
Altere o tamanho máximo do segmento.
Veja também
Sistemas lógicos e sistemas de locatário oferecem suporte para firewall virtual vSRX e firewall virtual vSRX 3.0 instâncias
A partir do Junos OS Release 20.1R1, você pode configurar sistemas lógicos e sistemas de locatário em firewall virtual vSRX e instâncias vSRX Virtual Firewall 3.0.
A configuração de cada sistemas lógicos cria um processo de protocolo de roteamento extra (RPD), que é intensivo em cpu e memória. A partir do Junos OS Release 20.1R1-
Firewall virtual vSRX e instâncias vSRX3.0 com capacidade de memória inferior a 16GB de suporte a um sistema lógico raiz.
Firewall virtual vSRX e instâncias vSRX3.0 com capacidade de memória de 16GB ou mais suporta sistemas lógicos, mas limita os sistemas lógicos a oito.
A Tabela 1 descreve o número de sistemas lógicos e sistemas de locatários suportados em diferentes capacidades de memória para firewall virtual vSRX e firewall virtual vSRX 3.0.
Tipo |
4GB |
8GB |
16GB ou mais |
|---|---|---|---|
Sistemas lógicos (inclui o sistema lógico raiz) |
1 |
1 |
8 |
Sistemas de locatários |
0 |
0 |
42 |
Sistemas lógicos + sistemas de locatário (inclui o sistema lógico raiz). |
1 |
1 |
50 |
Apenas as instâncias 3.0 do firewall virtual vSRX oferecem suporte a perfis de segurança flexíveis com base na memória do dispositivo. O número máximo de perfis de segurança suportados no firewall virtual vSRX 3.0 está relacionado à sua memória. Para obter mais informações, veja perfis de segurança para sistemas lógicos.
Use o comando a seguir no nível de [edit] hierarquia para garantir que haja pelo menos duas CPUs no mecanismo de roteamento do firewall virtual vSRX e instâncias vSRX3.0: set security forwarding-options resource-manager cpu re 2.