Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral dos sistemas lógicos primários

Sistemas lógicos primários podem criar um sistema lógico do usuário e configurar os recursos de segurança do sistema lógico do usuário. Os sistemas lógicos primários atribuem as interfaces lógicas aos sistemas lógicos do usuário. Para obter mais informações, veja os seguintes tópicos:

Entender os sistemas lógicos primários e a função de administrador primário

Quando, como administrador primário, você inicia um firewall da Série SRX executando sistemas lógicos, um sistema lógico primário é criado no nível raiz. Você pode fazer login no dispositivo como raiz e alterar a senha raiz.

Por padrão, todos os recursos do sistema são atribuídos ao sistema lógico primário, e o administrador primário os aloca para os sistemas lógicos do usuário.

Como administrador primário, você gerencia o dispositivo e todos os seus sistemas lógicos. Você também gerencia o sistema lógico primário e configura seus recursos atribuídos. Pode haver mais de um administrador primário gerenciando um dispositivo que executa sistemas lógicos.

  • A função e as principais responsabilidades do administrador principal incluem:

    • Criação de sistemas lógicos de usuários e configuração de seus administradores. Você pode criar um ou mais administradores de sistema lógico de usuário para cada sistema lógico de usuário.

    • Criação de contas de login para usuários para todos os sistemas lógicos e atribuição a sistemas lógicos apropriados.

    • Configurando um sistema lógico de interconexão se quiser permitir a comunicação entre sistemas lógicos no dispositivo. O sistema lógico de interconexão funciona como um switch interno. Não requer um administrador.

      Para configurar um sistema lógico de interconexão, você configura interfaces lt-0/0/0 entre o sistema lógico de interconexão e cada sistema lógico. Essas interfaces de peer permitem efetivamente a criação de túneis.

    • Configuração de perfis de segurança para provisionar partes dos recursos de segurança do sistema aos sistemas lógicos do usuário e ao sistema lógico primário.

      Somente o administrador primário pode criar, alterar e excluir perfis de segurança e vinculá-los a sistemas lógicos.

      Nota:

      Um administrador de sistema lógico do usuário pode configurar recursos de interface, roteamento e segurança alocados em seu sistema lógico.

    • Criação de interfaces lógicas para atribuir aos sistemas lógicos do usuário. (O administrador do sistema lógico do usuário configura interfaces lógicas atribuídas ao seu sistema lógico.)

    • Visualizar e gerenciar sistemas lógicos do usuário, conforme necessário, e excluir sistemas lógicos do usuário. Quando um sistema lógico do usuário é excluído, seus recursos reservados alocados são liberados para uso por outros sistemas lógicos.

    • Configuração de IDP, AppTrack, identificação de aplicativos e recursos de firewall de aplicativos. O administrador primário também pode usar rastreamento e depuração no nível raiz, e ele pode realizar rollbacks de confirmação. O administrador primário gerencia o sistema lógico primário e configura todos os recursos que um administrador de sistema lógico do usuário pode configurar para seus próprios sistemas lógicos, incluindo instâncias de roteamento, rotas estáticas, protocolos de roteamento dinâmico, zonas, políticas de segurança, telas e autenticação de firewall.

Visão geral das tarefas de configuração de administrador primário da Série SRX da Série SRX

Este tópico descreve as tarefas do administrador primário na ordem em que elas são realizadas.

Um firewall da Série SRX que executa sistemas lógicos é gerenciado por um administrador primário. O administrador primário tem os mesmos recursos que o administrador raiz de um firewall da Série SRX que não executa sistemas lógicos. No entanto, o papel e as responsabilidades do administrador principal vão além dos de outros administradores de firewall da Série SRX porque um firewall da Série SRX que executa sistemas lógicos é dividido em sistemas lógicos discretos, cada um com seus próprios recursos, configuração e preocupações de gerenciamento. O administrador principal é responsável por criar esses sistemas lógicos de usuário e provisioná-los com recursos.

Para ter uma visão geral do papel e responsabilidades do administrador principal, veja A compreensão dos sistemas lógicos primários e da função de administrador primário.

Como administrador principal, você executa as seguintes tarefas para configurar um firewall da Série SRX que executa sistemas lógicos:

  1. Configure uma senha raiz. Inicialmente, o administrador principal faz login no dispositivo como usuário raiz sem precisar especificar uma senha. Depois de fazer login no dispositivo, você deve definir uma senha raiz para uso posterior.
  2. Crie sistemas lógicos de usuários e seus administradores e usuários. Opcionalmente, crie um sistema lógico de interconexão.

    Para cada sistema lógico de usuário que você deseja configurar no dispositivo, você deve criar um sistema lógico, definir um ou mais administradores para ele e adicionar usuários a ele.

    O administrador primário configura contas de login para administradores e usuários do sistema lógico do usuário e as associa ao sistema lógico do usuário. Um sistema lógico do usuário pode ter mais de um administrador; o administrador principal deve definir e adicionar todos os administradores de sistema lógico do usuário e adicioná-los aos seus sistemas lógicos de usuário.

    O administrador principal adiciona usuários aos sistemas lógicos do usuário em nome do administrador do sistema lógico do usuário. Por exemplo, se você criou um sistema lógico de usuário para o departamento de design de produtos, você deve criar contas de usuário para os usuários que pertencem a esse departamento e associá-las ao sistema lógico do usuário. O administrador do sistema lógico do usuário não tem a capacidade de fazer isso. Em vez disso, o administrador lógico do usuário diz as contas de usuário que você deve criar e adicionar para seu sistema lógico.

  3. Configure um ou mais perfis de segurança. Os perfis de segurança atribuem recursos de segurança a sistemas lógicos. Você pode atribuir um único perfil de segurança a mais de um sistema lógico se quiser alocar os mesmos tipos e quantidades de recursos para eles.
  4. Configure interfaces, instâncias de roteamento e rotas estáticas para sistemas lógicos, conforme apropriado.
    • Se você planeja usar um sistema lógico de interconexão, configure suas interfaces lógicas de túnel e adicione-as à sua instância de roteamento virtual.

    • Configure interfaces para o sistema lógico primário. Opcionalmente, crie sua interface lógica de túnel para permitir que ele se comunique com outros sistemas lógicos no dispositivo. Crie uma instância de roteamento virtual para o sistema lógico primário e adicione suas interfaces e rotas estáticas a ele. Configure também interfaces lógicas para sistemas lógicos de usuários com tags VLAN.

      Nota:

      O administrador primário diz aos administradores do sistema lógico do usuário quais interfaces são atribuídas aos seus sistemas lógicos. É responsabilidade do administrador do sistema lógico do usuário configurar suas interfaces.

    • Opcionalmente, configure interfaces lógicas de túnel para qualquer sistema lógico de usuário que você queira permitir que se comuniquem entre si usando o switch VPLS interno. VPLS é uma tecnologia de rede privada virtual (VPN). Ele permite conectividade de túneis de camada 2 ponto a ponto.

      Ao criar uma instância de roteamento do tipo VPLS (RI), definimos um switch VPLS. O switch VPLS se comporta como um switch de ethernet L2. Atribuímos vários IFLs LT ao switch VPLS. Cada LT IFL tem encapsulamento de ethernet-vpls e isso se comporta como porta de switch L2. Para se conectar ao switch VPLS, cada sistema lógico cria um LT IFL e atribui a uma porta do switch VPLS.

      A partir do Junos OS Release 18.2R1, não é necessário definir um sistema lógico de interconexão dedicado para incluir o switch VPLS. Para facilitar, o switch VPLS é definido no sistema lógico raiz. Essa abordagem é habilitada configurando vários switches VPLS e LT IFLs por sistema lógico.

      Quando uma interface lógica LT se conecta a um switch VPLS, o mecanismo de roteamento atribui o endereço MAC exclusivo do switch VPLS do pool de endereços MAC da interface LT. Isso determina o número de LT IFLs que conectam um switch VPLS.

  5. Habilite o controle de utilização da CPU e configure a meta de controle de CPU e as cotas de CPU reservadas para sistemas lógicos. Veja exemplo: Configuração da utilização da CPU (somente administradores primários).
  6. Opcionalmente, configure protocolos de roteamento dinâmico para o sistema lógico primário. Veja exemplo: Configuração do protocolo de roteamento OSPF para os sistemas lógicos primários
  7. Configure zonas, políticas de segurança e recursos de segurança para o sistema lógico primário. Veja exemplo: Configuração de recursos de segurança para os sistemas lógicos primários.
  8. Configure o IDP para o sistema lógico primário. Veja exemplo: configuração de uma política de IDP para os sistemas lógicos primários.
  9. Configure serviços de firewall de aplicativos no sistema lógico primário. Veja a compreensão dos serviços e exemplos de firewall de aplicativos da Logical Systems: configuração de serviços de firewall de aplicativos para sistemas lógicos primários.
  10. Configure uma VPN baseada em rotas para proteger o tráfego entre um sistema lógico e um site remoto. Veja exemplo: configuração de SAs IKE e IPsec para um túnel VPN (somente administradores primários).

Exemplo: configuração de vários switches VPLS e interfaces LT para sistemas lógicos

Este exemplo mostra como interconectar vários sistemas lógicos. Isso é conseguido configurando vários sistemas lógicos com uma conexão ponto a ponto de interface logical tunnel (LT) (Encapsulation Ethernet, Encapsulation Frame-Relay e virtual Private LAN Service switch). Mais de uma interface LT sob um sistema lógico e vários switches VPLS estão configurados para passar o tráfego sem deixar um firewall da Série SRX. O encapsulamento de retransmissão de quadros adiciona informações sobre o identificador de conexão de enlace de dados (DLCI) ao quadro determinado.

Requisitos

Este exemplo usa um firewall da Série SRX executando o Junos OS com sistema lógico.

Antes de começar:

Visão geral

Neste exemplo, configuramos várias interfaces LT e vários switches VPLS em um único sistema lógico.

Neste exemplo, também configuramos a interconexão de vários sistemas lógicos com conexão ponto a ponto da interface LT (Encapsulation Ethernet e Encapsulation Frame-Relay).

A Figura 1 mostra a topologia para interconectar sistemas lógicos.

Figura 1: Configuração dos sistemas Configuring the interconnect logical systems lógicos de interconexão
  • Para o sistema lógico de interconexão com conexão ponto a ponto da interface LT (encapsulamento de ethernet), o exemplo configura interfaces lógicas de túnel lt-0/0/0. Este exemplo configura a zona de segurança e atribui interfaces aos sistemas lógicos.

    Os sistemas lógicos de interconexão lt-0/0/0 são configurados com ethernet como tipo de encapsulamento. As interfaces peer lt-0/0/0 correspondentes nos sistemas lógicos são configuradas com ethernet como tipo de encapsulamento. Um perfil de segurança é atribuído aos sistemas lógicos.

  • Para os sistemas lógicos de interconexão com conexão ponto a ponto da interface LT (encapsulamento de quadros), este exemplo configura interfaces lógicas de túnel lt-0/0/0/0. Este exemplo configura a zona de segurança e atribui interfaces aos sistemas lógicos.

    Os sistemas lógicos de interconexão lt-0/0/0 são configurados com o retransmissão de quadros como o tipo de encapsulamento. As interfaces peer lt-0/0/0 correspondentes nos sistemas lógicos são configuradas com o retransmissão de quadros como o tipo de encapsulamento. Um perfil de segurança é atribuído aos sistemas lógicos.

  • Para interconectar sistemas lógicos com vários switches VPLS, este exemplo configura interfaces lógicas de túnel lt-0/0/0 com ethernet-vpls como o tipo de encapsulamento. As interfaces e perfis de segurança peer lt-0/0/0 correspondentes são atribuídos aos sistemas lógicos. A instância de roteamento do switch VPLS 1 e VPLS switch-2 também é atribuída aos sistemas lógicos.

    A Figura 2 mostra a topologia para interconectar sistemas lógicos com switches VPLS.

    Figura 2: Configuração dos sistemas lógicos de interconexão com switches Configuring the interconnect logical systems with VPLS switches VPLS
    Nota:

    Várias interfaces LT podem ser configuradas em um sistema lógico.

Configuração

Para configurar interfaces para o sistema lógico, execute essas tarefas:

Configuração da interconexão de sistemas lógicos com conexão ponto a ponto da interface de túnel lógico (Encapsulation Ethernet)

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

  1. Defina um perfil de segurança e atribua a um sistema lógico.

  2. Definir a interface LT como ethernet de encapsulamento no sistema lógico.

  3. Configure uma relação de peer para sistemas lógicos LSYS2.

  4. Especifique o endereço IP para a interface LT.

  5. Defina a zona de segurança para a interface LT.

  6. Defina um perfil de segurança e atribua a um sistema lógico.

  7. Definir a interface LT como ethernet de encapsulamento no sistema lógico 2A.

  8. Configure uma relação de peer para sistemas lógicos LSYS2A.

  9. Especifique o endereço IP para a interface LT.

  10. Configure uma política de segurança que permita o tráfego da zona LT até a zona lt de política lt.

  11. Configure uma política de segurança que permita o tráfego a partir da política de padrão.

  12. Configure zonas de segurança.

Resultados
  • A partir do modo de configuração, confirme sua configuração entrando no show logical-systems LSYS2 comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

  • A partir do modo de configuração, confirme sua configuração entrando no show logical-systems LSYS2A comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração da interconexão de sistemas lógicos com conexão ponto a ponto da interface de túnel lógico (Encapsulation Frame-Relay)

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

  1. Defina um perfil de segurança e atribua a um sistema lógico.

  2. Definir a interface LT como um retransmissão de quadros de encapsulamento no sistema lógico.

  3. Configure a interface lógica do túnel incluindo o dlci.

  4. Configure uma relação de unidade de peer entre interfaces LT, criando assim uma conexão ponto a ponto.

  5. Especifique o endereço IP para a interface LT.

  6. Defina a zona de segurança para a interface LT.

  7. Definir a interface LT como um retransmissão de quadros de encapsulamento no sistema lógico.

  8. Configure a interface lógica do túnel incluindo o dlci.

  9. Configure uma relação de unidade de peer entre interfaces LT, criando assim uma conexão ponto a ponto.

  10. Especifique o endereço IP para a interface LT.

  11. Configure uma política de segurança que permita o tráfego da zona LT até a zona lt de política lt.

  12. Configure uma política de segurança que permita o tráfego a partir da política de padrão.

  13. Configure zonas de segurança.

Resultados
  • A partir do modo de configuração, confirme sua configuração inserindo os show logical-systems LSYS3 comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

  • A partir do modo de configuração, confirme sua configuração inserindo os show logical-systems LSYS3A comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Configuração da interconexão de sistemas lógicos com vários switches VPLS

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.

  1. Configure as interfaces lt-0/0/0.

  2. Configure a instância de roteamento para os switches VPLS e adicione interfaces a ele.

  3. Configure o LSYS1 com interface lt-0/0/0.1 e peer lt-0/0/0,11.

  4. Configure o LSYS2 com interface lt-0/0/0.2 e peer lt-0/0/0,12.

  5. Configure o LSYS3 com interface lt-0/0/0,3 e peer lt-0/0/0,13

  6. Configure o LSYS2B com interface lt-0/0/0 e peer-unit 24.

  7. Atribua o perfil de segurança para sistemas lógicos.

Resultados
  • A partir do modo de configuração, confirme sua configuração entrando no show interfaces lt-0/0/0comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la

  • A partir do modo de configuração, confirme sua configuração entrando no show routing-instancescomando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

  • A partir do modo de configuração, confirme sua configuração entrando no show logical-systems LSYS1comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

  • A partir do modo de configuração, confirme sua configuração entrando no show logical-systems LSYS2comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

  • A partir do modo de configuração, confirme sua configuração entrando no show logical-systems LSYS3comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

  • A partir do modo de configuração, confirme sua configuração entrando no show logical-systems LSYS2Bcomando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

  • A partir do modo de configuração, confirme sua configuração entrando no show system security-profilecomando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificando o perfil de segurança para todos os sistemas lógicos

Propósito

Verifique o perfil de segurança de cada sistema lógico.

Ação

A partir do modo operacional, entre no show system security-profile security-log-stream-number logical-system all comando.

Significado

A saída fornece o uso e os valores reservados para os sistemas lógicos quando o fluxo de log de segurança é configurado.

Verificando as interfaces LT para todos os sistemas lógicos

Propósito

Verifique interfaces para sistemas lógicos.

Ação

A partir do modo operacional, entre no show interfaces lt-0/0/0 terse comando.

Significado

A saída fornece o status das interfaces LT. Todas as interfaces LT estão ativas.