Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Visão geral dos sistemas lógicos

Os sistemas lógicos permitem particionar um único dispositivo em vários contextos seguros que executam tarefas independentes. Para obter mais informações, consulte os seguintes tópicos:

Use o Explorador de Recursos para confirmar o suporte à plataforma e à versão para recursos específicos.

Examine a seção Comportamento do sistema lógico específico da plataforma para obter notas relacionadas à sua plataforma.

Entender os sistemas lógicos para firewalls da Série SRX

Os sistemas lógicos para firewalls da Série SRX permitem particionar um único dispositivo em contextos seguros. Cada sistema lógico tem seu próprio domínio administrativo discreto, interfaces lógicas, instâncias de roteamento, firewall de segurança e outros recursos de segurança. Ao transformar um firewall da Série SRX em um dispositivo de sistemas lógicos multilocatário, você pode dar a vários departamentos, organizações, clientes e parceiros — dependendo do seu ambiente — uso privado de partes de seus recursos e uma visão privada do dispositivo. Usando sistemas lógicos, é possível compartilhar recursos do sistema e da máquina física subjacente entre sistemas lógicos de usuário discreto e o sistema lógico primário.

A parte superior da Figura 1 mostra os três principais componentes de configuração de um sistema lógico. A parte inferior da figura mostra um único dispositivo com um sistema lógico primário e sistemas lógicos de usuário discretos.

Os sistemas lógicos incluem sistemas lógicos primários e de usuário e seus administradores. As funções e responsabilidades do administrador principal e as de um administrador de sistema lógico do usuário diferem muito. Essa diferenciação de privilégios e responsabilidades é considerada administração e controle baseados em funções.

Figura 1: Entendendo os sistemas Hierarchical structure of a network device showing security, network, and routing configurations with master and user logical systems. lógicos

Os sistemas lógicos nos firewalls da Série SRX oferecem muitos benefícios, permitindo que você:

  • Reduza os custos. Usando sistemas lógicos, você pode reduzir o número de dispositivos físicos necessários para sua empresa. Como é possível consolidar serviços para vários grupos de usuários em um único dispositivo, você reduz os custos de hardware e os gastos com energia.

  • Crie muitos sistemas lógicos em um único dispositivo e provisione recursos e serviços para eles rapidamente. Como os serviços são convergentes, é mais fácil para o administrador primário ou raiz gerenciar um único dispositivo configurado para sistemas lógicos do que gerenciar muitos dispositivos discretos.

Você pode implantar um firewall da Série SRX executando sistemas lógicos em muitos ambientes, em particular, na empresa e no data center.

  • Na empresa, é possível criar e provisionar sistemas lógicos para vários departamentos e grupos.

    Você pode configurar sistemas lógicos para permitir a comunicação entre grupos que compartilham o dispositivo. Quando você cria sistemas lógicos para vários departamentos no mesmo dispositivo, os usuários podem se comunicar uns com os outros sem que o tráfego saia do dispositivo se você tiver configurado um sistema lógico de interconexão para servir como um switch interno. Por exemplo, os membros do grupo de design de produto, do departamento de marketing e do departamento de contabilidade que compartilham um Gateway de serviços da Série SRX que executa sistemas lógicos podem se comunicar entre si da mesma forma que fariam se dispositivos separados fossem implantados em seus departamentos. Você pode configurar sistemas lógicos para interconexão por meio de interfaces internas de túnel lógico (lt-0/0/0). As interfaces lt-0/0/0 no sistema lógico de interconexão se conectam a uma interface lt-0/0/0 que você configura para cada sistema lógico. O sistema lógico de interconexão comuta o tráfego entre sistemas lógicos. O firewall da Série SRX que executa sistemas lógicos proporciona uma interação alta e rápida entre todos os sistemas lógicos criados no dispositivo quando um sistema lógico de interconexão é usado.

    Os sistemas lógicos no mesmo dispositivo também podem se comunicar entre si diretamente por meio de portas no dispositivo, como se fossem dispositivos separados. Embora esse método permita conexões diretas entre sistemas lógicos, ele consome mais recursos – você deve configurar interfaces e um switch externo – e, portanto, é mais caro.

  • No data center, como provedor de serviços, você pode implantar um firewall da Série SRX executando sistemas lógicos para oferecer aos seus clientes sistemas lógicos de usuário seguros e privados e uso discreto dos recursos do dispositivo.

    Por exemplo, uma corporação pode exigir 10 sistemas lógicos de usuário e outra pode exigir 20. Como os sistemas lógicos são seguros, privados e independentes, os dados pertencentes a um sistema lógico não podem ser visualizados por administradores ou usuários de outros sistemas lógicos. Ou seja, os funcionários de uma corporação não podem visualizar os sistemas lógicos de outra corporação.

Observação:

Para usar o switch interno, que é opcional, você também deve configurar um sistema lógico de interconexão. O sistema lógico de interconexão não requer um administrador.

Veja também

Características e limitações dos sistemas lógicos

Este tópico aborda informações básicas sobre os recursos e limitações dos sistemas lógicos.

  • Você pode configurar até 32 perfis de segurança, de 1 a 32, com a ID 0 reservada para o perfil de segurança padrão configurado internamente. Quando o número máximo de perfis de segurança for atingido, se você quiser adicionar um novo perfil de segurança, deverá primeiro excluir um ou mais perfis de segurança existentes, confirmar a configuração e, em seguida, criar o novo perfil de segurança e confirmá-lo. Não é possível adicionar um novo perfil de segurança e remover um existente em uma única confirmação de configuração.

    Se você quiser adicionar mais de um novo perfil de segurança, a mesma regra será verdadeira. Primeiro, você deve excluir o número equivalente de perfis de segurança existentes, confirmar a configuração e, em seguida, criar os novos perfis de segurança e confirmar a configuração.

  • Você pode configurar um ou mais administradores primários para supervisionar a administração do dispositivo e os sistemas lógicos que eles configuram.

    Como administrador principal de um Gateway de serviços da Série SRX que executa sistemas lógicos, você tem controle raiz sobre o dispositivo, seus recursos e os sistemas lógicos que você cria. Você aloca recursos de segurança, rede e roteamento para sistemas lógicos de usuário. Você pode configurar um sistema lógico para servir como um switch de serviço LAN privado virtual (VPLS) de sistema lógico de interconexão. O sistema lógico de interconexão, que não é obrigatório, não requer recursos de segurança. No entanto, se você configurar um sistema lógico de interconexão, deverá vincular um perfil de segurança fictício a ele. O administrador principal o configura e todas as interfaces lt-0/0/0 para ele.

  • Um sistema lógico de usuário pode ter um ou mais administradores, chamados de administradores de sistema lógico de usuário. O administrador primário cria contas de logon para esses administradores e as atribui a um sistema lógico de usuário. Atualmente, o administrador principal deve configurar todos os administradores do sistema lógico do usuário. O primeiro administrador lógico de usuário designado não pode configurar administradores de sistema lógico de usuário adicionais para seu sistema lógico. Como administrador do sistema lógico do usuário, você pode configurar os recursos designados ao seu sistema lógico do usuário, incluindo interfaces lógicas designadas pelo administrador principal, instâncias de roteamento e suas rotas e componentes de segurança. Você pode exibir informações de configuração apenas para seu sistema lógico.

  • Um sistema lógico pode incluir mais de uma instância de roteamento com base nos recursos disponíveis do sistema.

  • Você não pode configurar a classe de serviço em interfaces lt-0/0/0.

  • A reversão de confirmação é suportada apenas no nível raiz.

  • A classificação de qualidade de serviço (QoS) em sistemas lógicos interconectados não funciona.

  • O administrador principal pode configurar gateways de camada de aplicativo (ALGs) no nível raiz. A configuração é herdada por todos os sistemas lógicos do usuário. Os ALGs também podem ser configurados discretamente para sistemas lógicos do usuário.

  • O administrador principal pode configurar políticas de IDP no nível raiz e, em seguida, aplicar uma política de IDP a um sistema lógico de usuário.

  • Somente o administrador primário pode criar contas de usuário e IDs de login para usuários de todos os sistemas lógicos. O administrador primário cria essas contas de usuário no nível raiz e as atribui aos sistemas lógicos de usuário apropriados.

  • O mesmo nome não pode ser usado em dois sistemas lógicos separados. Por exemplo, se logical-system1 incluir um usuário com Bob configurado como nome de usuário, outros sistemas lógicos no dispositivo não poderão incluir um usuário com o nome de usuário Bob.

  • A configuração de usuários para todos os sistemas lógicos e todos os administradores de sistemas lógicos de usuário deve ser executada no nível raiz pelo administrador primário. Um administrador de sistema lógico de usuário não pode criar outros administradores de sistema lógico de usuário ou contas de usuário para seus sistemas lógicos.

Veja também

Entendendo o sistema lógico de interconexão e as interfaces lógicas de túnel

Este tópico aborda o sistema lógico de interconexão que serve como um switch interno de serviço LAN virtual privado (VPLS) conectando um sistema lógico no dispositivo a outro. O tópico também explica como as interfaces de túnel lógico (lt-0/0/0) são usadas para conectar sistemas lógicos por meio do sistema lógico de interconexão.

Um dispositivo que executa sistemas lógicos pode usar um switch VPLS interno para passar tráfego sem que ele saia do dispositivo. O sistema lógico de interconexão comuta o tráfego entre os sistemas lógicos que o utilizam. Embora um switch virtual seja usado normalmente, ele não é obrigatório. Se você optar por usar um switch virtual, deverá configurar o sistema lógico de interconexão. Só pode haver um sistema lógico de interconexão em um dispositivo.

Para que a comunicação entre sistemas lógicos no dispositivo ocorra, você deve configurar uma interface lt-0/0/0 em cada sistema lógico que usará o switch interno, e você deve associá-la à sua interface peer lt-0/0/0 no sistema lógico de interconexão, criando efetivamente um túnel lógico entre eles. Você define um relacionamento de peer em cada extremidade do túnel ao configurar as interfaces lt-0/0/0 do sistema lógico.

Talvez você queira que todos os sistemas lógicos no dispositivo possam se comunicar uns com os outros sem usar um comutador externo. Como alternativa, você pode querer que alguns sistemas lógicos se conectem através do switch interno, mas não todos eles.

O sistema lógico de interconexão não requer recursos de segurança atribuídos a ele por meio de um perfil de segurança. No entanto, você deve atribuir um perfil de segurança fictício que não contenha recursos ao sistema lógico de interconexão. Caso contrário, você não poderá confirmar com êxito a configuração para ele.

Atenção:

Se você configurar uma interface lt-0/0/0 em qualquer sistema lógico de usuário ou no sistema lógico primário e não configurar um sistema lógico de interconexão contendo uma interface peer lt-0/0/0 para ele, o commit falhará.

Um firewall da Série SRX executando sistemas lógicos pode ser usado em um cluster de chassi. Cada nó tem a mesma configuração, incluindo o sistema lógico de interconexão.

Veja também

Entendendo o fluxo de pacotes em sistemas lógicos para dispositivos da Série SRX

Este tópico explica como os pacotes são processados em sessões de fluxo em firewalls da Série SRX que executam sistemas lógicos. Ele descreve como um firewall da Série SRX executando sistemas lógicos lida com o tráfego de passagem em um único sistema lógico e entre sistemas lógicos. Ele também abrange o auto-tráfego como tráfego auto-iniciado dentro de um sistema lógico e o auto-tráfego terminado em outro sistema lógico. Antes de abordar sistemas lógicos, o tópico fornece informações básicas sobre a arquitetura da Série SRX em relação ao processamento de pacotes e sessões. Por fim, ele aborda as sessões e como alterar as características da sessão.

Os conceitos explicados neste exemplo dependem da topologia mostrada na Figura 2.

Figura 2: Sistemas lógicos, seus roteadores virtuais e suas interfaces Network topology diagram showing logical systems and virtual routing instances. Internet connects to vr1-root system, linking to vr-ic hub. vr-ic connects ls-product-design with pd-vr1 and pd-vr2, and ls-marketing-dept with mk-vr1. PCs connect to respective systems.

Entender a arquitetura de firewalls da Série SRX do Junos OS

O Junos OS é um sistema distribuído, de processamento paralelo, de alta taxa de transferência e alto desempenho. A arquitetura de processamento paralelo distribuído dos gateways de serviços inclui vários processadores para gerenciar sessões e executar segurança e outros processamentos de serviços. Essa arquitetura oferece maior flexibilidade e permite alta taxa de transferência e desempenho rápido.

Uma unidade de processamento de rede (NPU) é executada em um IOC. Um IOC tem uma ou mais NPUs. Uma ou mais unidades de processamento de serviços (SPUs) são executadas em um SPC.

Essas unidades de processamento têm responsabilidades diferentes. Todos os serviços baseados em fluxo para um pacote são executados em uma única SPU. Caso contrário, no entanto, as linhas não são claramente divididas em relação aos tipos de serviços executados nesses processadores. (Para obter detalhes sobre o processamento baseado em fluxo, consulte Entendendo o Processamento de Tráfego em Dispositivos de Segurança.)

Por exemplo:

  • Uma NPU processa pacotes discretamente. Ele executa verificações de sanidade e aplica algumas telas configuradas para a interface, como telas de negação de serviço (DoS), ao pacote.

  • Uma SPU gerencia a sessão para o fluxo de pacotes e aplica recursos de segurança e outros serviços ao pacote. Ele também aplica filtros de firewall stateless baseados em pacotes, classificadores e modeladores de tráfego ao pacote.

  • O sistema usa um processador como ponto central para cuidar da arbitragem e alocação de recursos e distribuir as sessões de forma inteligente. O ponto central atribui uma SPU a ser usada para uma sessão específica quando o primeiro pacote de seu fluxo é processado.

Essas partes discretas e cooperantes do sistema, incluindo o ponto central, armazenam as informações que identificam se existe uma sessão para um fluxo de pacotes e as informações com as quais um pacote é comparado para determinar se ele pertence a uma sessão existente.

Essa arquitetura permite que o dispositivo distribua o processamento de todas as sessões em várias SPUs. Ele também permite que uma NPU determine se existe uma sessão para um pacote, verifique o pacote e aplique telas a ele. A forma como um pacote é tratado depende se ele é o primeiro pacote de um fluxo.

O processamento de pacotes baseado em fluxo trata pacotes relacionados, ou um fluxo de pacotes, da mesma maneira. O tratamento de pacotes depende das características que são estabelecidas para o primeiro pacote do fluxo de pacotes quando a sessão de fluxo é estabelecida. A maior parte do processamento de pacotes ocorre dentro de um fluxo. Para a arquitetura de processamento distribuído do gateway de serviços, alguns processamentos baseados em pacotes, como a modelagem de tráfego, ocorrem na NPU. Alguns processamentos baseados em pacotes, como a aplicação de classificadores a um pacote, ocorrem na SPU.

As definições de configuração que determinam o destino de um pacote — como a política de segurança que se aplica a ele, o Gateway de Camada de aplicativo (ALG) configurado para ele, se o NAT deve ser aplicado para traduzir o endereço IP de origem e/ou destino do pacote — são avaliadas para o primeiro pacote de um fluxo.

Criação de sessão para dispositivos que executam sistemas lógicos

O estabelecimento de sessão para firewalls da Série SRX que executam sistemas lógicos difere em pequenos aspectos daquele dos firewalls da Série SRX que não executam sistemas lógicos. Apesar das complexidades que os sistemas lógicos introduzem, o tráfego é tratado de maneira semelhante à forma como é tratado nos firewalls da Série SRX que não executam sistemas lógicos. O processamento de pacotes baseado em fluxo, que é stateful, requer a criação de sessões. Ao considerar o processamento baseado em fluxo e o estabelecimento de sessão para sistemas lógicos, é útil pensar em cada sistema lógico no dispositivo como um dispositivo discreto em relação ao estabelecimento de sessão.

Uma sessão é criada, com base no roteamento e em outras informações de classificação, para armazenar informações e alocar recursos para um fluxo. Basicamente, uma sessão é estabelecida quando o tráfego entra em uma interface lógica do sistema, a pesquisa de rota é realizada para identificar a interface do próximo salto e a pesquisa de política é executada.

Opcionalmente, os sistemas lógicos permitem configurar um switch de software interno. Este switch de LAN privada virtual (VPLS) é implementado como um sistema lógico de interconexão. Ele permite que o tráfego em trânsito e o tráfego terminado em um sistema lógico passem entre sistemas lógicos. Para permitir que o tráfego passe entre sistemas lógicos, são usadas interfaces de túnel lógico (lt-0/0/0) em todo o sistema lógico de interconexão.

A comunicação entre sistemas lógicos em todo o sistema lógico de interconexão requer o estabelecimento de duas sessões: uma para o tráfego que entra em um sistema lógico e sai de sua interface lt-0/0/0, e outra para o tráfego que entra na interface lt-0/0/0 de outro sistema lógico e sai do dispositivo por meio de uma de suas interfaces físicas ou é destinado a ele.

Observação:

A sequência de pacotes ocorre nas interfaces de entrada e saída. Os pacotes que viajam entre sistemas lógicos podem não ser processados na ordem em que foram recebidos na interface física.

Entendendo o fluxo em sistemas lógicos

Para entender como o tráfego é tratado para sistemas lógicos, é útil considerar cada sistema lógico como um dispositivo discreto.

Observação:

O tráfego é processado para o sistema lógico primário da mesma forma que para os sistemas lógicos do usuário no dispositivo.

Entendendo a classificação de pacotes

A classificação de pacotes é avaliada da mesma maneira para firewalls da Série SRX executados com ou sem sistemas lógicos. Filtros e recursos de classe de serviço são normalmente associados a uma interface para influenciar quais pacotes têm permissão para transitar pelo sistema e para aplicar ações especiais aos pacotes conforme necessário. (Dentro de um fluxo, alguns processamentos baseados em pacotes também ocorrem em uma SPU.)

A classificação de pacotes é baseada na interface de entrada e realizada no ponto de entrada. O tráfego de uma interface dedicada é classificado para o sistema lógico que contém essa interface. No contexto de um fluxo, a classificação de pacotes é baseada na interface física e na interface lógica.

Manipulando o tráfego de passagem para sistemas lógicos

Para firewalls da Série SRX que não executam sistemas lógicos, o tráfego de passagem é o tráfego que entra e sai de um dispositivo. Você pode pensar no tráfego de passagem para sistemas lógicos da mesma forma, mas como tendo uma dimensão maior como resultado da natureza de um dispositivo multilocatário. Para firewalls da Série SRX que executam sistemas lógicos, o tráfego de passagem pode existir dentro de um sistema lógico ou entre sistemas lógicos.

Tráfego de passagem dentro de um sistema lógico

Para o tráfego de passagem dentro de um sistema lógico, o tráfego entra em uma interface pertencente a uma das instâncias de roteamento virtual do sistema lógico e é enviado para outra de suas instâncias de roteamento virtual. Para sair do dispositivo, o tráfego é enviado para uma interface pertencente à segunda instância de roteamento virtual. O tráfego não transita entre sistemas lógicos, mas entra e sai do dispositivo em um único sistema lógico. O tráfego de passagem dentro de um sistema lógico é transmitido de acordo com as tabelas de roteamento em cada uma de suas instâncias de roteamento.

Considere como o tráfego de passagem é tratado em um sistema lógico, considerando a topologia mostrada na Figura 2.

  • Quando um pacote chega na interface ge-0/0/5, ele é identificado como pertencente ao sistema lógico ls-product-design.

  • Como ge-0/0/5 pertence à instância de roteamento pd-vr1, a pesquisa de rota é executada em pd-vr1 com pd-vr2 identificado como o próximo salto.

  • Uma segunda pesquisa de rota é executada no pd-vr2 para identificar a interface de saída a ser usada, neste caso, ge-0/0/8.

  • O pacote é enviado ge-0/0/8 para a rede.

  • A pesquisa de política de segurança é executada em ls-product-design e uma sessão é estabelecida.

Tráfego de passagem entre sistemas lógicos

O tráfego de passagem entre sistemas lógicos é complicado pelo fato de que cada sistema lógico tem uma interface de entrada e saída que o tráfego deve transitar. É como se o tráfego entrasse e saísse de dois dispositivos.

Duas sessões devem ser estabelecidas para tráfego de passagem entre sistemas lógicos. (Observe que a pesquisa de política é executada em ambos os sistemas lógicos).

  • No sistema lógico de entrada, uma sessão é configurada entre a interface de entrada (uma interface física) e sua interface de saída (uma interface lt-0/0/0).

  • No sistema lógico de saída, outra sessão é configurada entre a interface de entrada (a interface lt-0/0/0 do segundo sistema lógico) e sua interface de saída (uma interface física).

Considere como o tráfego de passagem é tratado em sistemas lógicos na topologia mostrada na Figura 2.

  • Uma sessão é estabelecida no sistema lógico de entrada.

    • Quando um pacote chega na interface ge-0/0/5, ele é identificado como pertencente ao sistema lógico ls-product-design.

    • Como ge-0/0/5 pertence à instância de roteamento pd-vr1, a pesquisa de rota é executada em pd-vr1.

    • Como resultado da pesquisa, a interface de saída do pacote é identificada como lt-0/0/0.3 com o próximo salto identificado como lt-0/0/0.5, que é a interface de entrada no ls-marketing-dept.

    • Uma sessão é estabelecida entre ge-0/0/5 e lt-0/0/0.3.

  • Uma sessão é estabelecida no sistema lógico de saída.

    • O pacote é injetado no fluxo novamente a partir de lt-0/0/0.5, e o contexto lógico do sistema identificado como ls-marketing-dept é derivado da interface.

    • O processamento de pacotes continua no sistema lógico ls-marketing-dept.

    • Para identificar a interface de saída, a pesquisa de rota para o pacote é executada nas instâncias de roteamento mk-vr1.

    • A interface de saída é identificada como ge-0/0/6 e o pacote é transmitido da interface para a rede.

Como lidar com o tráfego próprio

O tráfego próprio é o tráfego que se origina em um sistema lógico no dispositivo e é enviado para a rede a partir desse sistema lógico ou é encerrado em outro sistema lógico no dispositivo.

Tráfego iniciado por você mesmo

O tráfego autoiniciado é gerado a partir de um contexto de sistema lógico de origem e encaminhado diretamente para a rede a partir da interface lógica do sistema.

Ocorre o seguinte processo:

  • Quando um pacote é gerado em um sistema lógico, um processo para lidar com o tráfego é iniciado no sistema lógico.

  • A pesquisa de rota é executada para identificar a interface de saída e uma sessão é estabelecida.

  • O sistema lógico executa uma pesquisa de política e processa o tráfego de acordo.

  • Se necessário, uma sessão de gerenciamento é configurada.

Considere como o tráfego autoiniciado é tratado em sistemas lógicos, considerando a topologia mostrada na Figura 2.

  • Um pacote é gerado no sistema lógico ls-product-design e um processo para lidar com o tráfego é iniciado no sistema lógico.

  • A pesquisa de rota executada no pd-vr2 identifica a interface de saída como ge-0/0/8.

  • Uma sessão é estabelecida.

  • O pacote é transmitido para a rede a partir de ge-0/0/8.

Tráfego terminado em um sistema lógico

Quando um pacote entra no dispositivo em uma interface pertencente a um sistema lógico e o pacote é destinado a outro sistema lógico no dispositivo, o pacote é encaminhado entre os sistemas lógicos da mesma maneira que o tráfego de passagem. No entanto, a pesquisa de rota no segundo sistema lógico identifica a interface de saída local como o destino do pacote. Consequentemente, o pacote é terminado no segundo sistema lógico como auto-tráfego.

  • Para o tráfego autônomo encerrado, duas pesquisas de política são executadas e duas sessões são estabelecidas.

    • No sistema lógico de entrada, uma sessão é configurada entre a interface de entrada (uma interface física) e sua interface de saída (uma interface lt-0/0/0).

    • No sistema lógico de destino, outra sessão é configurada entre a interface de entrada (a interface lt-0/0/0 do segundo sistema lógico) e a interface local.

Considere como o autotráfego terminado é tratado em sistemas lógicos na topologia mostrada na Figura 2.

  • Uma sessão é estabelecida no sistema lógico de entrada.

    • Quando um pacote chega na interface ge-0/0/5, ele é identificado como pertencente ao sistema lógico ls-product-design.

    • Como ge-0/0/5 pertence à instância de roteamento pd-vr1, a pesquisa de rota é executada em pd-vr1.

    • Como resultado da pesquisa, a interface de saída do pacote é identificada como lt-0/0/0.3 com o próximo salto identificado como lt-0/0/0.5, a interface de entrada no ls-marketing-dept.

    • Uma sessão é estabelecida entre ge-0/0/5 e lt-0/0/0.3.

  • Uma sessão de gerenciamento é estabelecida no sistema lógico de destino.

    • O pacote é injetado no fluxo novamente a partir de lt-0/0/0.5, e o contexto lógico do sistema identificado como ls-marketing-dept é derivado da interface.

    • O processamento de pacotes continua no sistema lógico ls-marketing-dept.

    • A pesquisa de rota para o pacote é executada na instância de roteamento mk-vr1. O pacote é terminado no sistema lógico de destino como tráfego próprio.

    • Uma sessão de gerenciamento é estabelecida.

Entender o controle de limitação de sessão e porta

O módulo de fluxo de sistemas lógicos fornece limitação de sessão e porta para garantir que esses recursos sejam compartilhados de forma justa entre os sistemas lógicos. A alocação e as limitações de recursos para cada sistema lógico são especificadas no perfil de segurança vinculado ao sistema lógico.

  • Para limitação de sessão, o sistema verifica o primeiro pacote de uma sessão em relação ao número máximo de sessões configuradas para o sistema lógico. Se o máximo for atingido, o dispositivo descarta o pacote e registra o evento.

  • Para limitação de portas, o dispositivo verifica o primeiro pacote de uma sessão em relação ao número máximo de portas configuradas para o sistema lógico. Se o número máximo de portas para um sistema lógico for atingido, o dispositivo rejeitará a solicitação de abertura da porta e registrará o evento.

Noções básicas sobre sessões

As sessões são criadas com base no roteamento e em outras informações de classificação para armazenar informações e alocar recursos para um fluxo. Você pode alterar algumas características das sessões, como quando uma sessão é encerrada. Por exemplo, talvez você queira garantir que uma tabela de sessão nunca esteja totalmente cheia para proteger contra a tentativa de um invasor de inundar a tabela e, assim, impedir que usuários legítimos iniciem sessões.

Sobre a configuração de sessões

Dependendo do protocolo e do serviço, uma sessão é programada com um valor de tempo limite. Por exemplo, o tempo limite padrão para TCP é de 1800 segundos. O tempo limite padrão para UDP é de 60 segundos. Quando um fluxo é encerrado, ele é marcado como inválido e seu tempo limite é reduzido para 10 segundos. Se nenhum tráfego usar o Se nenhum tráfego usar a sessão antes do tempo limite do serviço, a sessão será envelhecida e liberada para um pool de recursos comum para reutilização.

Você pode afetar a vida útil de uma sessão das seguintes maneiras:

  • Expire as sessões, com base em quão cheia a tabela de sessão está.

  • Defina um tempo limite explícito para o envelhecimento das sessões TCP.

  • Configure uma sessão TCP para ser invalidada quando receber uma mensagem TCP RST (reset).

  • Você pode configurar sessões para acomodar outros sistemas da seguinte maneira:

    • Desabilite as verificações de segurança de pacotes TCP.

    • Altere o tamanho máximo do segmento.

Veja também

Suporte a sistemas lógicos e de locatário para instâncias de Firewall virtual vSRX e Firewall virtual vSRX 3.0

A partir do Junos OS Release 20.1R1, você pode configurar sistemas lógicos e sistemas de locatários em instâncias de Firewall virtual vSRX e Firewall virtual vSRX 3.0.

A configuração de cada sistema lógico cria um processo de protocolo de roteamento (RPD) extra, que consome muita CPU e memória. A partir do Junos OS Release 20.1R1-

  • Firewall virtual vSRX e instâncias vSRX3.0 com capacidade de memória inferior a 16 GB oferecem suporte a um sistema lógico raiz.

  • Firewall virtual vSRX e instâncias vSRX3.0 com capacidade de memória de 16 GB ou mais oferecem suporte a sistemas lógicos, mas limitam os sistemas lógicos a oito.

A Tabela 1 descreve o número de sistemas lógicos e sistemas de locatário suportados em diferentes capacidades de memória para o Firewall virtual vSRX e o Firewall virtual vSRX 3.0.

Tabela 1: Sistemas lógicos e sistemas de locatário suportados em diferentes capacidades de memória para Firewall virtual vSRX e Firewall virtual vSRX 3.0.

Digite

4 GB

8 GB

16 GB ou mais

Sistemas lógicos (inclui o sistema lógico raiz)

1

1

8

Sistemas de locatário

0

0

42

Sistemas lógicos + Sistemas de locatário (inclui o sistema lógico raiz).

1

1

50
Observação:

Somente as instâncias do Firewall virtual vSRX 3.0 oferecem suporte a perfis de segurança flexíveis com base na memória do dispositivo. O número máximo de perfis de segurança suportados no Firewall virtual vSRX 3.0 está relacionado à sua memória. Para obter mais informações, consulte Perfis de Segurança para Sistemas Lógicos.

Use o seguinte comando no [edit] nível de hierarquia para garantir que haja pelo menos duas CPUs no Mecanismo de Roteamento de instâncias de Firewall virtual vSRX e vSRX3.0: set security forwarding-options resource-manager cpu re 2.

Comportamento do sistema lógico específico da plataforma

Use o Explorador de Recursos para confirmar o suporte à plataforma e à versão para recursos específicos.

Use a tabela a seguir para analisar os comportamentos específicos da plataforma:

Tabela 2: Comportamento específico da plataforma

Plataforma

Diferença

Série SRX

  • Os firewalls SRX4100 e SRX4200 que oferecem suporte a sistemas lógicos oferecem suporte ao modo transparente e de roteamento.

  • Firewalls SRX4600 que oferecem suporte a sistemas lógicos oferecem suporte apenas ao modo de roteamento.

  • Os firewalls SRX1500 que oferecem suporte a sistemas lógicos podem configurar no máximo 512 zonas.

  • A Linha SRX5000 de firewalls que oferece suporte a sistemas lógicos oferece suporte a placas de E/S (IOC) e placas de processamento de serviços (SPCs), cada uma contendo unidades de processamento que processam um pacote à medida que ele atravessa o dispositivo.