Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral da Tenant Systems

Um sistema de locatários oferece suporte a recursos de roteamento, serviços e segurança.

Entender sistemas de locatários

Um sistema de locatários logicamente divide o firewall físico em firewall lógico separado e isolado. Embora semelhantes aos sistemas lógicos, os sistemas de locatários têm escalabilidade muito maior e menos recursos de roteamento. Cada sistema de locatário em um dispositivo permite que você controle um domínio administrativo discreto para serviços de segurança. Ao transformar seu dispositivo em um sistema multilocatário, você pode fornecer vários departamentos, organizações, clientes e parceiros — dependendo do seu ambiente — uso privado e logicamente separado de recursos do sistema e visualizações específicas de locatários da configuração de segurança e KPIs. Um administrador primário cria e gerencia todos os sistemas de locatários. A Figura 1 mostra um único dispositivo com um sistema lógico primário e sistemas de locatários discretos.

Figura 1: Tenant Systems Tenant Systems

Diferenças entre sistemas lógicos e sistemas de locatários

A Tabela 1 descreve as principais diferenças entre sistemas lógicos e sistemas de locatários.

Tabela 1: diferenças entre sistemas lógicos e sistemas de locatários

Funcionalidade

Sistemas lógicos

Tenant Systems

Suporte para recursos

Oferece suporte a todos os recursos de roteamento para fornecer caminhos de roteamento de dados ideais.

Oferece suporte a recursos de roteamento e virtualização de segurança de alta escala para isolar ambientes de clientes.

Escalabilidade

Um máximo de 32 sistemas lógicos pode ser configurado em um firewall físico da Série SRX.

Um máximo de 500 sistemas de locatários podem ser configurados em um firewall físico da Série SRX para fornecer alta escalabilidade.

Processo de protocolo de roteamento

Todo sistema lógico precisa de uma cópia individual do processo de protocolo de roteamento para separar logicamente os recursos em um dispositivo.

O sistema lógico primário tem um único processo de protocolo de roteamento, que é compartilhado pelos sistemas de locatários. As instâncias de roteamento suportadas por esse único processo de protocolo de roteamento alcançam a separação de recursos de segurança no firewall.

Instância de roteamento

Uma instância de roteamento padrão é criada automaticamente para todos os sistemas lógicos.

A partir do Junos OS Release 19.2R1, o roteador virtual configurado em um sistema de tenant é passado como a instância de roteamento padrão para ping, telnet, ssh, traceroute, show arp, clear arp, show ipv6 neighborse clear ipv6 neighbors comandos.

Configuração lógica da interface

O administrador primário atribui as interfaces lógicas e o administrador do sistema lógico pode configurar os atributos da interface.

Um administrador de sistema de locatário não pode configurar as interfaces lógicas. O administrador primário atribui as interfaces lógicas a um sistema de tenant.

Casos de uso para sistemas lógicos e sistemas de locatários

Um sistema lógico é usado quando mais de um roteador virtual é necessário. Por exemplo, você tem várias conexões com a rede externa e elas não podem coexistir no mesmo roteador virtual. Os sistemas de locatários são usados quando você precisa separar departamentos, organizações ou clientes e cada um deles pode ser limitado a um roteador virtual. A principal diferença entre um sistema lógico e um sistema de locatário é que um sistema lógico oferece suporte a funcionalidades avançadas de roteamento usando várias instâncias de roteamento. Em comparação, um sistema de locatários oferece suporte a apenas uma instância de roteamento, mas oferece suporte à implantação de mais locatários por sistema.

Cenários de implantação para sistemas multilocatários

Você pode implantar um firewall da Série SRX executando um sistema multilocatário em muitos ambientes, como um provedor de serviços de segurança gerenciado (MSSP), uma rede empresarial ou um segmento de filial. A Tabela 2 descreve os vários cenários de implantação e os papéis desempenhados pelos sistemas de locatários nesses cenários.

Tabela 2: Cenários de implantação com relação aos sistemas de locatários

Cenários de implantação

Funções de um sistema de locatário

Provedor de serviços de segurança gerenciado (MSSP)

  • Em um provedor de serviços de segurança gerenciado (MSSP), cada cliente pode ser isolado de outro cliente para proteger a privacidade dos dados. Os clientes que exigem acordos de nível de serviço definido (SLAs) podem ser alocados em recursos de memória e sistema para atender a esses SLAs.

  • O cliente pode configurar políticas de segurança distintas para conformidade e controle por sistema tenant.

Rede empresarial

  • Um sistema de locatários pode ser atribuído a um grupo de trabalho, departamento ou outra construção organizacional dentro de uma empresa.

  • Um sistema de locatários pode definir as políticas de segurança distintas para o grupo de trabalho empresarial, departamento ou outra construção organizacional da empresa.

Segmento de filial

  • Em uma filial, um sistema de locatários pode gerenciar e segregar individualmente o tráfego corporativo e de convidados.

  • Políticas de segurança avançadas podem ser configuradas por sistema de tenant; essa abordagem permite o controle granular das políticas de segurança.

  • Um sistema de locatários oferece facilidade de gerenciamento e solução de problemas.

Benefícios da Tenant Systems

  • Reduza o custo reduzindo o número de dispositivos físicos necessários para sua organização. Você pode consolidar serviços para vários grupos de usuários em um único dispositivo e reduzir os custos de hardware, despesas de energia e espaço de rack.

  • Forneça isolamento e separação lógica no nível do sistema de locatários. Oferece a capacidade de separar sistemas de locatários com separação administrativa em grande escala na qual cada sistema de tenant pode definir seus próprios controles de segurança e restrições sem afetar outros sistemas de locatários.

Funções e responsabilidades do administrador primário e administrador do sistema de locatários

Um administrador primário cria e gerencia todos os sistemas de locatários. Um sistema lógico primário é criado no nível raiz e é alocado em um único processo de protocolo de roteamento. Embora esse processo de protocolo de roteamento seja compartilhado, os sistemas de tenant permitem a separação lógica de recursos no firewall. Por padrão, todos os recursos do sistema são atribuídos ao sistema lógico primário, e o administrador principal os aloca para os administradores do sistema de locatários.

Nota:

Na referência da linha de comando Junos OS, o sistema lógico primário é chamado de sistema lógico raiz.

Cria-se um sistema de locatários que é sub-desejado pelo sistema lógico primário. Embora todos os locatários do sistema lógico primário compartilhem um único processo de roteamento, cada sistema de tenant tem uma única instância de roteamento. A Tabela 3 descreve as funções e responsabilidades do administrador primário e do administrador do sistema de locatários.

Tabela 3: funções e responsabilidades em relação aos sistemas de locatários

Papéis

Definição

Responsabilidades

Administrador primário

Uma conta de usuário com privilégios de configuração e verificação de superusários para todos os sistemas lógicos e sistemas de locatários.

  • Veja e acesse todos os sistemas lógicos e sistemas de locatários.

  • Crie contas de login para todos os sistemas de locatários e atribua as contas de login ao sistema de locatário apropriado.

  • Crie e aloque os recursos para os sistemas de locatários.

  • Crie uma instância de roteamento personalizada sob o sistema de tenant, que atua como a instância de roteamento padrão para o sistema de locatários.

  • Crie um roteador virtual sob o sistema de locatários e atribua-o ao sistema de locatários.

  • Crie interfaces lógicas para atribuir aos sistemas de locatários.

  • Gerencie os sistemas de locatários no sistema lógico primário.

  • Garanta que nomes duplicados para sistema de locatários, logs e arquivos de rastreamento não existam.

Administrador do sistema de locatários

Uma conta de sistema de tenant com todos os privilégios de configuração e verificação.

Nota:

Os privilégios de configuração e verificação de um administrador de sistema de tenant dependem da permissão atribuída a eles pelo administrador principal enquanto cria o administrador do sistema de locatários. Vários administradores de sistema de locatários podem ser criados para um sistema de locatários com diferentes níveis de permissão com base no seu requisito.

  • Acesse e veja os recursos do sistema de locatários.

  • Configure os recursos alocados e os protocolos de roteamento.

  • Configure agendadores, perfis de segurança e recursos de segurança.

Os seguintes privilégios não são suportados pelo administrador do sistema de locatários:

  • Defina restrições de acesso e a instância de roteamento padrão para o sistema de locatários.

  • Acesse e veja os recursos de outros sistemas de locatários.

  • Modifique o número de recursos alocados para um sistema de locatários.

  • Crie interfaces lógicas, roteador virtual e opções de política.

Capacidade do sistema de tenant

O número máximo de sistemas de locatário que podem ser criados no dispositivo está listado na Tabela 4.

Tabela 4: Capacidade dos sistemas de locatários

Plataforma

Capacidade de sistemas lógicos

Capacidade do Tenant Systems para o Junos OS Versão 18.4R1

SRX1500

32

50

SRX4100 e SRX4200

32

200

SRX4600

32

300

dispositivos da Série SRX5400, SRX5600 e SRX5800 com placas SPC2

32

100

SRX5400, SRX5600 e dispositivos da Série SRX5800 com placas SPC3

32

500

dispositivos da Série SRX5400, SRX5600 e SRX5800 com placas SPC2 e SPC3

32

100

A partir do Junos OS Release 18.4R1, os sistemas de tenant podem ser suportados em um gateway de serviços de segurança de linha SRX5000 equipado com uma combinação de placas de processamento de serviço de terceira geração (SRX5K-SPC3) e placas de processamento de serviços de segunda geração (SRX5K-SPC-4-15-320). Antes do Junos OS Release 18.4R1, os sistemas de tenant eram suportados apenas no SPC2.

Visão geral da configuração do sistema de tenant

O administrador principal cria um sistema de tenant e atribui um administrador para gerenciar o sistema de locatários. Um sistema de locatários pode ter vários administradores. As funções e responsabilidades de um administrador de sistema de locatários são explicadas no Understanding Tenant Systems.

O administrador primário configura as interfaces lógicas e atribui essas interfaces ao sistema de locatários. Configure uma instância de roteamento e os protocolos de roteamento e adicione opções para a instância de roteamento. Veja a configuração de uma instância de roteamento para um sistema de locatários.

Os sistemas de locatários têm seu próprio banco de dados de configuração. Após uma configuração bem-sucedida, as mudanças são mescladas ao banco de dados principal para cada sistema de tenant. Vários sistemas de locatários podem realizar mudanças de configuração de cada vez. Você pode confirmar as mudanças para apenas um locatário de cada vez. Se o administrador principal e um administrador de sistema de locatário realizarem alterações de configuração simultaneamente, as alterações de configuração realizadas pelo administrador principal substituirão as mudanças de configuração realizadas pelo administrador do sistema de tenant.

As etapas a seguir explicam as tarefas que o administrador do sistema de locatário executa para configurar os recursos de segurança em um sistema de tenant:

  1. Use o serviço SSH para acessar o dispositivo e, em seguida, faça login no sistema de tenant com o ID de login e a senha fornecidos pelo administrador principal.

    Depois de autenticado, a presença do prompt ">" indica que você acessou ao modo operacional CLI. O prompt é precedido por uma seqüência que contém o nome de usuário, o nome de host do dispositivo e o nome do sistema de locatários. Quando a CLI começa, você está no nível superior no modo operacional.

  2. Acesse o modo de configuração entrando no configure comando.
  3. Insira o quit comando para sair do modo de configuração e retornar ao modo operacional CLI.
  4. Configure os seguintes recursos de segurança no sistema de locatários conforme necessário:

Configurando uma instância de roteamento para um sistema de locatários

Uma instância de roteamento é uma coleção de tabelas de roteamento, interfaces e parâmetros de protocolo de roteamento. Um conjunto de interfaces que pertencem à instância de roteamento e aos parâmetros de protocolo de roteamento controlam as informações na instância de roteamento. Um sistema de tenant pode configurar a instância de roteamento atribuída e as interfaces que pertencem à instância de roteamento dentro de um sistema de tenant.

Nota:

Apenas uma instância de roteamento pode ser criada para um sistema de tenant.

O procedimento a seguir descreve as etapas para configurar uma instância de roteamento e interfaces em uma tabela de roteamento para um sistema de tenant:

  1. Crie um sistema de locatários chamado TSYS1.
  2. Crie uma instância r1 de roteamento e atribua o tipo de instância de roteamento para o sistema de locatários.
  3. Especifique o nome da interface para a instância de roteamento.
  4. Especifique a opção de roteamento para a instância de roteamento.
  5. Confirmar a configuração.

Para ver a configuração do sistema TSYS1de locatário, execute o show tenants TSYS1 comando.

O show tenants TSYS1 comando exibe todos os parâmetros de instância de roteamento configurados para o sistema TSYS1de tenant.

Entender o roteamento e as interfaces para sistemas de locatários

Uma instância de roteamento é uma coleção de tabelas de roteamento, interfaces e parâmetros de protocolo de roteamento. As interfaces são usadas para encaminhar dados para a instância de roteamento e para aprender as informações de roteamento de outros pares (firewalls da Série SRX) usando protocolos de roteamento.

Uma interface lógica (IFL) pode ser definida em qualquer um dos seguintes níveis:

  • Nível global (sistema lógico raiz)

  • Nível do sistema lógico do usuário

  • Nível do sistema de locatário (a partir da versão Junos OS 18.4R1)

O IFL definido em nível global pode ser usado no sistema lógico raiz ou em um dos sistemas de tenant. O IFL definido em um sistema de locatário pode ser usado apenas nesse sistema de locatários.

A instância de roteamento padrão não está disponível para sistemas de locatários. Assim, quando uma instância de roteamento personalizada é criada para um sistema de tenant, todas as interfaces definidas nesse sistema de tenant devem ser adicionadas a essa instância de roteamento.

Visão geral: configuração de roteamento e interfaces para sistemas de locatários

Esta visão geral mostra como configurar interfaces e instâncias de roteamento para um sistema de tenant.

Requisitos

Antes de começar:

Visão geral

O procedimento a seguir descreve as etapas para configurar uma instância de roteamento e interfaces em uma tabela de roteamento dentro de um sistema de tenant.

Este tópico configura as interfaces e instâncias de roteamento descritas na Tabela 5.

Tabela 5: Interface do sistema de tenant do usuário e configuração de instância de roteamento

Recurso

Nome

Parâmetros de configuração

Interface

ge-0/0/2.1

ge-0/0/2.2

ge-0/0/2.3

  • Endereço IP 10.0.0.1/24

  • Endereço IP 10.0.0.2/24

  • Endereço IP 10.0.0.3/24

Instância de roteamento

r1

R2

  • Tipo de instância: roteador virtual

  • Inclui interfaces ge-0/0/2.1, ge-0/0/2.3 e ge-0/0/2.2

Configuração

Procedimento
Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para configurar uma interface e uma instância de roteamento em um sistema lógico do usuário:

  1. Configure as interfaces para dar suporte à marcação VLAN.

  2. Configure o IFL no nível raiz.

  3. Crie um sistema de locatários chamado TSYS1.

  4. Defina a Interface no sistema de tenant TSYS1.

  5. Crie uma instância r1 de roteamento e atribua o tipo de instância de roteamento para o sistema de locatários.

  6. Especifique o nome da interface para a instância de roteamento.

  7. Crie um sistema de locatários chamado TSYS2.

  8. Defina a Interface no sistema de tenant TSYS2.

  9. Crie uma instância r2 de roteamento e atribua o tipo de instância de roteamento para o sistema de locatários.

  10. Especifique o nome da interface para a instância de roteamento.

  11. Confirmar a configuração.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show interfaces comandos e show tenants os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

O show tenants comando exibe todas as interfaces definidas nos sistemas TSYS1 de tenant e TSYS2os parâmetros de instância de roteamento configurados para ambos os sistemas de tenant.

Entender os perfis de segurança do sistema de locatário (somente administradores primários)

Os sistemas de tenant permitem que você divida virtualmente um firewall da Série SRX suportado em vários dispositivos, protegendo-os contra invasões e ataques e protegendo-os de condições defeituosas fora de seus próprios contextos. Para proteger sistemas de locatários, os recursos de segurança são configurados de maneira semelhante à forma como eles são configurados para um dispositivo discreto. No entanto, o administrador primário atribui recursos aos sistemas de locatários.

Um firewall da Série SRX que executa sistemas de locatários pode ser dividido em sistemas de locatários, um sistema de tenant interconectado, se necessário, e o sistema lógico primário padrão. Quando o sistema é inicializado, o sistema lógico primário é criado na raiz. Todos os recursos do sistema são atribuídos a ele, criando efetivamente um perfil de segurança de sistema lógico primário padrão. Para distribuir recursos de segurança nos sistemas de locatários, o administrador principal cria perfis de segurança que especificam os recursos a serem alocados em um sistema de locatários. Apenas o administrador principal pode configurar perfis de segurança e vinculá-los aos sistemas de locatários. O administrador do sistema de locatários usa esses recursos para o respectivo sistema de locatários.

Os sistemas de tenant são definidos pelos recursos alocados a eles, incluindo componentes de segurança, interfaces, instância de roteamento, rotas estáticas e protocolos de roteamento dinâmico. O administrador principal configura os perfis de segurança e os atribui aos sistemas de locatários. Você não pode comprometer uma configuração de sistema de locatário sem um perfil de segurança atribuído a ele.

Este tópico inclui as seguintes seções:

Perfis de segurança da Tenant Systems

O administrador principal pode configurar e atribuir um perfil de segurança a um sistema de tenant específico ou a vários sistemas de locatários. O número máximo de perfis de segurança que podem ser configurados depende da capacidade de um firewall da Série SRX. Quando o número máximo de perfis de segurança foi criado, você precisa excluir um perfil de segurança e comprometer a mudança de configuração antes de poder criar e comprometer outro perfil de segurança. Em muitos casos, menos perfis de segurança são necessários porque você pode vincular um único perfil de segurança a mais de um sistema de tenant.

Os perfis de segurança permitem:

  • Compartilhe os recursos do dispositivo, incluindo políticas, zonas, endereços e livros de endereços, sessões de fluxo e várias formas de NAT, entre todos os sistemas de locatários adequadamente. Você pode atribuir várias quantidades de um recurso aos sistemas de locatários e permitir que os sistemas de locatário utilizem os recursos de maneira eficaz.

    Os perfis de segurança protegem contra um sistema de locatário esgotando um recurso que é exigido ao mesmo tempo por outros sistemas de locatários. Os perfis de segurança protegem recursos críticos do sistema e mantêm um melhor desempenho entre os sistemas de locatários quando o dispositivo está enfrentando um fluxo de tráfego pesado. Os perfis de segurança se defendem contra um sistema de locatários que domina o uso de recursos e permitem que os outros sistemas de locatários usem os recursos de maneira eficaz.

  • Configure o dispositivo de maneira escalável para permitir a criação de sistemas de locatários adicionais.

Você precisa excluir o perfil de segurança de um sistema de tenant antes de poder excluir o sistema de locatários.

Entender como o sistema avalia a atribuição e o uso de recursos em todos os sistemas de locatários

Para provisionar um sistema de tenant com recursos de segurança, o administrador principal configura um perfil de segurança que especifica o recurso para cada recurso de segurança:

  • Uma cota reservada que garante que o valor do recurso especificado esteja sempre disponível para o sistema de locatários.

  • Uma cota máxima permitida. Se um sistema de locatário exigir recursos adicionais que excedam a cota reservada, ele pode utilizar os recursos configurados para o valor máximo global se os recursos globais não forem alocados nos outros sistemas de locatários. A cota máxima permitida não garante que o valor especificado para o recurso no perfil de segurança esteja disponível. Os sistemas de locatários precisam utilizar os recursos globais efetivamente com base nos recursos disponíveis.

Se uma cota reservada não estiver configurada para um recurso, o valor padrão é 0. Se uma cota máxima permitida não for configurada para um recurso, o valor padrão é a cota do sistema global para o recurso (as cotas globais do sistema são dependentes da plataforma). O administrador primário deve configurar os valores máximos máximos permitidos apropriados nos perfis de segurança para que o uso máximo de recursos de um sistema de locatário específico não afete negativamente outros sistemas de locatário configurados no dispositivo.

O sistema mantém uma contagem de todos os recursos alocados reservados, usados e disponibilizados novamente quando um sistema de locatário é excluído. Esta contagem determina se os recursos estão disponíveis para uso para sistemas de locatários ou para aumentar a quantidade de recursos alocados em sistemas de locatários existentes por meio de seus perfis de segurança.

Os recursos configurados em perfis de segurança são caracterizados como recursos modulares estáticos ou dinâmicos. Para recursos estáticos, recomendamos definir uma cota máxima para um recurso igual ou próximo ao valor especificado como sua cota reservada, para permitir uma configuração escalável de sistemas de locatários. Uma cota máxima para um recurso dá a um sistema de locatário maior flexibilidade por meio do acesso a uma quantidade maior desse recurso, mas restringe a quantidade de recursos disponíveis para alocar a outros sistemas de locatários.

Os recursos de segurança a seguir podem ser especificados em um perfil de segurança:

  • Zonas de segurança

  • Endereços e livros de endereços para políticas de segurança

  • Conjuntos de regras de firewall de aplicativos

  • Regras do firewall de aplicativos

  • Autenticação de firewall

  • Sessões de fluxo e portões

  • NAT, incluindo:

    • Vinculações de NAT de cone

    • Regra de destino do NAT

    • Pool de destino nat

    • Endereço IP NAT no pool de origem sem tradução de endereços de porta (PAT)

      Nota:

      Os endereços IPv6 em pools de origem IPv6 sem PAT não estão incluídos em perfis de segurança.

    • Endereço IP NAT no pool de origem com PAT

    • Sobrecarga de porta NAT

    • Pool de origem do NAT

    • Regra de origem do NAT

    • Regra estática do NAT

Nota:

Todos os recursos, exceto sessões de fluxo, são estáticos.

Você pode modificar um perfil de segurança do sistema de tenant dinamicamente enquanto o perfil de segurança é atribuído a outros sistemas de locatários. No entanto, para garantir que a cota de recursos do sistema não seja excedida, o sistema toma as seguintes ações:

  • Se uma cota estática for alterada, o processo de sistema que mantém o sistema de locatários conta com recursos especificados em perfis de segurança posteriormente reavalia os perfis de segurança atribuídos ao perfil associado à cota estática. Esta verificação identifica o número de recursos atribuídos em todos os sistemas de locatários para determinar se os recursos alocados, incluindo seus valores aumentados estão disponíveis.

    Essas verificações de cotas são as mesmas verificações de cota que o sistema executa quando você adiciona um sistema de locatário e vincula um perfil de segurança a ele. Eles também são realizados quando você vincula um perfil de segurança diferente do perfil de segurança que atualmente é atribuído a ele a um sistema de locatário existente (ou ao sistema lógico primário).

  • Se uma cota dinâmica for revisada, nenhuma verificação é realizada, mas a cota revisada é imposta ao uso futuro de recursos.

Casos: avaliações de recursos reservados atribuídos por meio de perfis de segurança

Para entender como o sistema avalia a alocação de recursos reservados por meio de perfis de segurança, considere os três casos a seguir explicados na Tabela 7 e a alocação de endereços dos recursos e zonas. Para manter o exemplo simples, 10 zonas são alocadas no perfil de segurança-1: 4 zonas reservadas e 6 zonas máximas. Este exemplo pressupõe que o valor máximo especificado — seis zonas — está disponível para os sistemas de locatários. O número máximo de zonas do sistema é de 10.

Os três casos tratam da configuração em todos os sistemas de locatários. Os três casos verificam se uma configuração tem sucesso ou falha quando ela é comprometida com base na alocação de zonas.

A Tabela 6 mostra os perfis de segurança e as alocações de zona.

Tabela 6: Perfis de segurança usados para avaliações de recursos reservados

Dois perfis de segurança usados nos casos de configuração

perfil de segurança-1

  • cota reservada de zonas = 4

  • cota máxima de zonas = 6

Nota:

O administrador primário aumenta dinamicamente a contagem de zonas reservadas especificada neste perfil mais tarde.

perfil do sistema lógico primário

  • cota máxima de zonas = 10

  • sem cota reservada

A Tabela 7 mostra três casos que ilustram como o sistema avalia recursos reservados para zonas em todos os sistemas de locatários com base nas configurações de perfil de segurança.

  • A configuração para o primeiro caso é bem-sucedida porque a cota acumulada de recursos reservados para zonas configuradas nos perfis de segurança vinculados a todos os sistemas de locatários é 8, o que é menor do que a cota máxima de recursos do sistema.

  • A configuração para o segundo caso falha porque a cota acumulada de recursos reservados para zonas configuradas nos perfis de segurança vinculados a todos os sistemas lógicos é 12, o que é maior do que a cota máxima de recursos do sistema.

  • A configuração para o terceiro caso falha porque a cota acumulada de recursos reservados para zonas configuradas nos perfis de segurança vinculados a todos os sistemas de locatários é 12, o que é maior do que a cota máxima de recursos do sistema.

Tabela 7: Avaliação de alocação de recursos reservados em sistemas de locatários

Verificações de cota de recursos reservados em sistemas de locatários

Exemplo 1: sucesso

Essa configuração está dentro dos limites: 4+4+0=8, capacidade máxima =10.

Perfis de segurança usados

  • O perfil de segurança perfil-1 de segurança é vinculado a dois sistemas de locatários: tenant-system-1 e tenant-system-2.

  • O perfil do sistema lógico primário é usado exclusivamente para o sistema lógico primário.

  • tenant-system-1 = 4 zonas reservadas.

  • tenant-system-2 = 4 zonas reservadas.

  • sistema lógico primário = 0 zonas reservadas.

Exemplo 2: falha

Essa configuração está fora dos limites: 4+4+4=12, capacidade máxima =10.

  • tenant-system-1 = 4 zonas reservadas.

  • tenant-system-2 = 4 zonas reservadas.

  • sistema lógico primário = 0 zonas reservadas.

  • sistema de novos locatários = 4 zonas reservadas.

Perfis de segurança

  • O perfil de segurança perfil-1 de segurança é vinculado a dois sistemas de locatários: tenant-system-1 e tenant-system-2.

  • O perfil do sistema lógico primário está vinculado ao sistema lógico primário e usado exclusivamente para ele.

  • O administrador primário configura um novo sistema de tenant chamado new-tenant-system e vincula o perfil de segurança-1 a ele.

Exemplo 3: falha

Essa configuração está fora dos limites: 6+6=12, capacidade máxima =10.

O administrador primário modifica a cota de zonas reservadas em perfil de segurança-1, aumentando a contagem para 6.

  • tenant-system-1 = 6 zonas reservadas.

  • tenant-system-2 = 6 zonas reservadas.

  • sistema lógico primário = 0 zonas reservadas.

Exemplo: criação de sistemas de locatários, administradores de sistema de locatários e um switch VPLS de interconexão

Este exemplo mostra como criar sistemas de locatários, administradores de sistema de locatários e um switch VPLS de interconexão. Apenas o administrador principal pode criar contas de login de usuário para administradores de sistema de locatários e interconectar o switch VPLS.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Antes de começar a criar os sistemas de locatários, administradores de sistema de locatários e um switch VPLS de interconexão, leia a visão geral do Tenant Systems para entender como essa tarefa se encaixa no processo de configuração geral.

Visão geral

Este exemplo mostra como criar os sistemas TSYS1TSYS2de locatários e TSYS3os administradores do sistema de locatários para eles. Você pode criar vários administradores de sistema de locatários para um sistema de tenant com diferentes níveis de permissão com base em seus requisitos.

Esse tópico também abrange o switch de serviço de LAN privada virtual (VPLS) interconexão que conecta um sistema de tenant a outro no mesmo dispositivo. O switch VPLS permite que o tráfego de trânsito e o tráfego encerrado em um sistema de locatários passem entre sistemas de locatários. Para permitir que o tráfego passe entre sistemas de locatários, as interfaces de túnel lógico (lt-0/0/0) devem ser configuradas na mesma sub-rede.

Topologia

A Figura 2 mostra um firewall da Série SRX implantado e configurado para sistemas de locatários. O exemplo de configuração usa roteamento estático para permitir que os PCs cheguem à Internet.

Figura 2: Criação de sistemas de locatários e switch Creating Tenant Systems and Interconnect VPLS Switch VPLS de interconexão

Configuração rápida completa do SRX

Configuração de sistemas lógicos e de locatários e switch VPLS de interconexão

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha e altere todos os detalhes necessários para combinar com sua configuração de rede para incluir interfaces e senhas de usuário. Em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia e entre no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI. Só cobriremos a configuração de um locatário para o procedimento passo a passo.

  1. Crie as contas de usuário de login para cada locatário. Só mostraremos as etapas para criar a conta do usuário tenant TSYS1 .

    1. Crie a classe de login do usuário e atribua-a ao sistema de locatários.

    2. Atribua um nível de permissão à classe de login, por exemplo, usaremos o nível all que permite acesso total ao administrador do sistema de locatários.

    3. Crie uma conta do usuário e atribua-a à classe das etapas anteriores. Isso permitirá que o usuário faça login no sistema de locatários.

    4. Crie uma senha de login do usuário para a conta do usuário.

  2. Configure o switch VPLS. O switch VPLS permite que o tráfego de trânsito e o tráfego terminados em um sistema de locatários passem entre sistemas de locatários com um único túnel lógico. As interfaces lógicas de túnel devem ser configuradas na mesma sub-rede para permitir o tráfego entre sistemas de locatários.

    1. Configure as interfaces lógicas de túnel.

    2. Configure uma instância de roteamento para o switch VPLS e atribua as interfaces lógicas de túnel.

  3. Configure os sistemas de locatários. Estamos apenas mostrando a configuração para um locatário.

    1. Configure as interfaces associadas ao locatário.

    2. Configure o tenant, a instância de roteamento, o roteamento estático e atribua as interfaces.

  4. Configure os perfis de segurança. Estamos mostrando apenas a configuração mínima necessária para configurar sistemas lógicos e de locatários para este exemplo.

  5. Configure os sistemas lógicos. Este exemplo usando um switch VPLS de interconexão requer sistemas lógicos.

    1. Configure as interfaces.

    2. Configure as rotas estáticas.

  6. Configure zonas e políticas de segurança nos sistemas lógicos para permitir o fluxo de tráfego dos locatários para a Internet. Políticas de segurança adicionais podem ser configuradas nos sistemas lógicos e locatários para permitir o tráfego entre os locatários.

    1. Configure zonas de segurança.

    2. Configure políticas de segurança.

  7. Configure zonas e políticas de segurança em cada sistema de tenant para permitir o fluxo de tráfego para a Internet.

    1. Configure zonas de segurança.

    2. Configure políticas de segurança.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show tenants TSYS1 comando para verificar se o sistema de tenant é criado. Insira o show system login class TSYS1admin1 comando para visualizar o nível de permissão de cada classe que você definiu. Para garantir que os administradores do sistema de locatários sejam criados, entre no show system login user TSYS1admin1 comando. Para garantir que as interfaces para o switch VPLS de interconexão sejam criadas, entre no show interfaces comando. Entre show logical-systems para verificar a configuração de sistemas lógicos raiz.

Se a saída não exibir a configuração pretendida, repita as instruções de configuração nesses exemplos para corrigi-la. Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme que a configuração está funcionando corretamente.

Verificação de sistemas de locatários e configurações de login usando o administrador primário

Propósito

Verifique se os sistemas de locatário existem e você pode inseri-los a partir da raiz como o administrador principal. Volte do sistema de locatários para a raiz.

Ação

A partir do modo operacional, use o seguinte comando para entrar nos sistemas TSYS1de tenant:

Agora você entra nos sistemas TSYS1de locatários. Use o seguinte comando para sair dos sistemas TSYS1 de tenant para a raiz:

Significado

O sistema de tenant existe e você pode entrar no sistema de tenant a partir da raiz como o administrador principal.

Verificação de sistemas de locatários e configurações de login usando SSH

Propósito

Verifique se os sistemas de locatário que você criou existem e se os IDs e senhas de login do administrador que você criou estão corretos.

Ação

Use o SSH para fazer login em cada administrador do sistema de locatários do usuário.

  1. Execute SSH especificando o endereço IP do firewall da Série SRX.

  2. Digite o ID de login e a senha para o administrador de sistemas de tenant que você criou. Depois de fazer login, o prompt mostra o nome do administrador de sistemas de tenant. Observe como esse resultado difere do resultado produzido quando você faz login no sistema de tenant do sistema lógico primário na raiz. Repita este procedimento para todos os seus sistemas de locatários.

Significado

O administrador TSYS1admin1 do sistema de locatários existe e você pode fazer login como administrador do sistema de tenant.

Verificando a conectividade PC1 com a Internet

Propósito

Verifique a conectividade de ponta a ponta.

Ação

Ping e executar rastreamento para a Internet a partir do PC1. Em nosso exemplo, a Internet é 192.168.10.254.

  1. Execute ping do PC1.

  2. Execute o rastreamento a partir do PC1.

Significado

O PC1 é capaz de chegar à Internet.

Tabela de histórico de lançamento
Lançamento
Descrição
19.2R1
A partir do Junos OS Release 19.2R1, o roteador virtual configurado em um sistema de tenant é passado como a instância de roteamento padrão para ping, telnet, ssh, traceroute, show arp, clear arp, show ipv6 neighborse clear ipv6 neighbors comandos.