Visão geral da Tenant Systems
Um sistema de locatários oferece suporte a recursos de roteamento, serviços e segurança.
Entender sistemas de locatários
Um sistema de locatários logicamente divide o firewall físico em firewall lógico separado e isolado. Embora semelhantes aos sistemas lógicos, os sistemas de locatários têm escalabilidade muito maior e menos recursos de roteamento. Cada sistema de locatário em um dispositivo permite que você controle um domínio administrativo discreto para serviços de segurança. Ao transformar seu dispositivo em um sistema multilocatário, você pode fornecer vários departamentos, organizações, clientes e parceiros — dependendo do seu ambiente — uso privado e logicamente separado de recursos do sistema e visualizações específicas de locatários da configuração de segurança e KPIs. Um administrador primário cria e gerencia todos os sistemas de locatários. A Figura 1 mostra um único dispositivo com um sistema lógico primário e sistemas de locatários discretos.
- Diferenças entre sistemas lógicos e sistemas de locatários
- Casos de uso para sistemas lógicos e sistemas de locatários
- Cenários de implantação para sistemas multilocatários
- Benefícios da Tenant Systems
- Funções e responsabilidades do administrador primário e administrador do sistema de locatários
- Capacidade do sistema de tenant
Diferenças entre sistemas lógicos e sistemas de locatários
A Tabela 1 descreve as principais diferenças entre sistemas lógicos e sistemas de locatários.
Funcionalidade |
Sistemas lógicos |
Tenant Systems |
---|---|---|
Suporte para recursos |
Oferece suporte a todos os recursos de roteamento para fornecer caminhos de roteamento de dados ideais. |
Oferece suporte a recursos de roteamento e virtualização de segurança de alta escala para isolar ambientes de clientes. |
Escalabilidade |
Um máximo de 32 sistemas lógicos pode ser configurado em um firewall físico da Série SRX. |
Um máximo de 500 sistemas de locatários podem ser configurados em um firewall físico da Série SRX para fornecer alta escalabilidade. |
Processo de protocolo de roteamento |
Todo sistema lógico precisa de uma cópia individual do processo de protocolo de roteamento para separar logicamente os recursos em um dispositivo. |
O sistema lógico primário tem um único processo de protocolo de roteamento, que é compartilhado pelos sistemas de locatários. As instâncias de roteamento suportadas por esse único processo de protocolo de roteamento alcançam a separação de recursos de segurança no firewall. |
Instância de roteamento |
Uma instância de roteamento padrão é criada automaticamente para todos os sistemas lógicos. |
A partir do Junos OS Release 19.2R1, o roteador virtual configurado em um sistema de tenant é passado como a instância de roteamento padrão para |
Configuração lógica da interface |
O administrador primário atribui as interfaces lógicas e o administrador do sistema lógico pode configurar os atributos da interface. |
Um administrador de sistema de locatário não pode configurar as interfaces lógicas. O administrador primário atribui as interfaces lógicas a um sistema de tenant. |
Casos de uso para sistemas lógicos e sistemas de locatários
Um sistema lógico é usado quando mais de um roteador virtual é necessário. Por exemplo, você tem várias conexões com a rede externa e elas não podem coexistir no mesmo roteador virtual. Os sistemas de locatários são usados quando você precisa separar departamentos, organizações ou clientes e cada um deles pode ser limitado a um roteador virtual. A principal diferença entre um sistema lógico e um sistema de locatário é que um sistema lógico oferece suporte a funcionalidades avançadas de roteamento usando várias instâncias de roteamento. Em comparação, um sistema de locatários oferece suporte a apenas uma instância de roteamento, mas oferece suporte à implantação de mais locatários por sistema.
Cenários de implantação para sistemas multilocatários
Você pode implantar um firewall da Série SRX executando um sistema multilocatário em muitos ambientes, como um provedor de serviços de segurança gerenciado (MSSP), uma rede empresarial ou um segmento de filial. A Tabela 2 descreve os vários cenários de implantação e os papéis desempenhados pelos sistemas de locatários nesses cenários.
Cenários de implantação |
Funções de um sistema de locatário |
---|---|
Provedor de serviços de segurança gerenciado (MSSP) |
|
Rede empresarial |
|
Segmento de filial |
|
Benefícios da Tenant Systems
Reduza o custo reduzindo o número de dispositivos físicos necessários para sua organização. Você pode consolidar serviços para vários grupos de usuários em um único dispositivo e reduzir os custos de hardware, despesas de energia e espaço de rack.
Forneça isolamento e separação lógica no nível do sistema de locatários. Oferece a capacidade de separar sistemas de locatários com separação administrativa em grande escala na qual cada sistema de tenant pode definir seus próprios controles de segurança e restrições sem afetar outros sistemas de locatários.
Funções e responsabilidades do administrador primário e administrador do sistema de locatários
Um administrador primário cria e gerencia todos os sistemas de locatários. Um sistema lógico primário é criado no nível raiz e é alocado em um único processo de protocolo de roteamento. Embora esse processo de protocolo de roteamento seja compartilhado, os sistemas de tenant permitem a separação lógica de recursos no firewall. Por padrão, todos os recursos do sistema são atribuídos ao sistema lógico primário, e o administrador principal os aloca para os administradores do sistema de locatários.
Na referência da linha de comando Junos OS, o sistema lógico primário é chamado de sistema lógico raiz.
Cria-se um sistema de locatários que é sub-desejado pelo sistema lógico primário. Embora todos os locatários do sistema lógico primário compartilhem um único processo de roteamento, cada sistema de tenant tem uma única instância de roteamento. A Tabela 3 descreve as funções e responsabilidades do administrador primário e do administrador do sistema de locatários.
Papéis |
Definição |
Responsabilidades |
---|---|---|
Administrador primário |
Uma conta de usuário com privilégios de configuração e verificação de superusários para todos os sistemas lógicos e sistemas de locatários. |
|
Administrador do sistema de locatários |
Uma conta de sistema de tenant com todos os privilégios de configuração e verificação.
Nota:
Os privilégios de configuração e verificação de um administrador de sistema de tenant dependem da permissão atribuída a eles pelo administrador principal enquanto cria o administrador do sistema de locatários. Vários administradores de sistema de locatários podem ser criados para um sistema de locatários com diferentes níveis de permissão com base no seu requisito. |
Os seguintes privilégios não são suportados pelo administrador do sistema de locatários:
|
Capacidade do sistema de tenant
O número máximo de sistemas de locatário que podem ser criados no dispositivo está listado na Tabela 4.
Plataforma |
Capacidade de sistemas lógicos |
Capacidade do Tenant Systems para o Junos OS Versão 18.4R1 |
---|---|---|
SRX1500 |
32 |
50 |
SRX4100 e SRX4200 |
32 |
200 |
SRX4600 |
32 |
300 |
dispositivos da Série SRX5400, SRX5600 e SRX5800 com placas SPC2 |
32 |
100 |
SRX5400, SRX5600 e dispositivos da Série SRX5800 com placas SPC3 |
32 |
500 |
dispositivos da Série SRX5400, SRX5600 e SRX5800 com placas SPC2 e SPC3 |
32 |
100 |
A partir do Junos OS Release 18.4R1, os sistemas de tenant podem ser suportados em um gateway de serviços de segurança de linha SRX5000 equipado com uma combinação de placas de processamento de serviço de terceira geração (SRX5K-SPC3) e placas de processamento de serviços de segunda geração (SRX5K-SPC-4-15-320). Antes do Junos OS Release 18.4R1, os sistemas de tenant eram suportados apenas no SPC2.
Veja também
Visão geral da configuração do sistema de tenant
O administrador principal cria um sistema de tenant e atribui um administrador para gerenciar o sistema de locatários. Um sistema de locatários pode ter vários administradores. As funções e responsabilidades de um administrador de sistema de locatários são explicadas no Understanding Tenant Systems.
O administrador primário configura as interfaces lógicas e atribui essas interfaces ao sistema de locatários. Configure uma instância de roteamento e os protocolos de roteamento e adicione opções para a instância de roteamento. Veja a configuração de uma instância de roteamento para um sistema de locatários.
Os sistemas de locatários têm seu próprio banco de dados de configuração. Após uma configuração bem-sucedida, as mudanças são mescladas ao banco de dados principal para cada sistema de tenant. Vários sistemas de locatários podem realizar mudanças de configuração de cada vez. Você pode confirmar as mudanças para apenas um locatário de cada vez. Se o administrador principal e um administrador de sistema de locatário realizarem alterações de configuração simultaneamente, as alterações de configuração realizadas pelo administrador principal substituirão as mudanças de configuração realizadas pelo administrador do sistema de tenant.
As etapas a seguir explicam as tarefas que o administrador do sistema de locatário executa para configurar os recursos de segurança em um sistema de tenant:
Configurando uma instância de roteamento para um sistema de locatários
Uma instância de roteamento é uma coleção de tabelas de roteamento, interfaces e parâmetros de protocolo de roteamento. Um conjunto de interfaces que pertencem à instância de roteamento e aos parâmetros de protocolo de roteamento controlam as informações na instância de roteamento. Um sistema de tenant pode configurar a instância de roteamento atribuída e as interfaces que pertencem à instância de roteamento dentro de um sistema de tenant.
Apenas uma instância de roteamento pode ser criada para um sistema de tenant.
O procedimento a seguir descreve as etapas para configurar uma instância de roteamento e interfaces em uma tabela de roteamento para um sistema de tenant:
Para ver a configuração do sistema TSYS1
de locatário, execute o show tenants TSYS1
comando.
routing-instances { r1 { instance-type virtual-router; interface lt-0/0/0.101; interface xe-0/0/0.0; interface xe-0/0/1.0; routing-options { router-id 1.1.1.101; } } }
O show tenants TSYS1
comando exibe todos os parâmetros de instância de roteamento configurados para o sistema TSYS1
de tenant.
Entender o roteamento e as interfaces para sistemas de locatários
Uma instância de roteamento é uma coleção de tabelas de roteamento, interfaces e parâmetros de protocolo de roteamento. As interfaces são usadas para encaminhar dados para a instância de roteamento e para aprender as informações de roteamento de outros pares (firewalls da Série SRX) usando protocolos de roteamento.
Uma interface lógica (IFL) pode ser definida em qualquer um dos seguintes níveis:
Nível global (sistema lógico raiz)
Nível do sistema lógico do usuário
Nível do sistema de locatário (a partir da versão Junos OS 18.4R1)
O IFL definido em nível global pode ser usado no sistema lógico raiz ou em um dos sistemas de tenant. O IFL definido em um sistema de locatário pode ser usado apenas nesse sistema de locatários.
A instância de roteamento padrão não está disponível para sistemas de locatários. Assim, quando uma instância de roteamento personalizada é criada para um sistema de tenant, todas as interfaces definidas nesse sistema de tenant devem ser adicionadas a essa instância de roteamento.
Visão geral: configuração de roteamento e interfaces para sistemas de locatários
Esta visão geral mostra como configurar interfaces e instâncias de roteamento para um sistema de tenant.
Requisitos
Antes de começar:
Determine quais interfaces lógicas e, opcionalmente, quais interfaces lógicas de túnel são alocadas. Veja a visão geral da configuração do sistema de tenant.
Visão geral
O procedimento a seguir descreve as etapas para configurar uma instância de roteamento e interfaces em uma tabela de roteamento dentro de um sistema de tenant.
Este tópico configura as interfaces e instâncias de roteamento descritas na Tabela 5.
Recurso |
Nome |
Parâmetros de configuração |
---|---|---|
Interface |
ge-0/0/2.1 ge-0/0/2.2 ge-0/0/2.3 |
|
Instância de roteamento |
r1 R2 |
|
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2.3 vlan-id 103 set interfaces ge-0/0/2.3 family inet address 10.0.0.3/24 set tenants TSYS1 set tenants TSYS1 interfaces ge-0/0/2.1 vlan-id 101 set tenants TSYS1 interfaces ge-0/0/2.1 family inet address 10.0.0.1/24 set tenants TSYS1 routing-instances r1 instance-type virtual-router set tenants TSYS1 routing-instances r1 interface ge-0/0/2.1 set tenants TSYS1 routing-instances r1 interface ge-0/0/2.3 set tenants TSYS2 set tenants TSYS2 interfaces ge-0/0/2.2 vlan-id 102 set tenants TSYS2 interfaces ge-0/0/2.2 family inet address 10.0.0.2/24 set tenants TSYS2 routing-instances r2 instance-type virtual-router set tenants TSYS2 routing-instances r2 interface ge-0/0/2.2
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar uma interface e uma instância de roteamento em um sistema lógico do usuário:
Configure as interfaces para dar suporte à marcação VLAN.
[edit] user@host# set interfaces ge-0/0/2 vlan-tagging
Configure o IFL no nível raiz.
[edit] set interfaces ge-0/0/2.3 vlan-id 103 set interfaces ge-0/0/2.3 family inet address 10.0.0.3/24
Crie um sistema de locatários chamado
TSYS1
.[edit] user@host# set tenants TSYS1
Defina a Interface no sistema de tenant TSYS1.
[edit] user@host# set tenants TSYS1 interfaces ge-0/0/2.1 vlan-id 101 user@host# set tenants TSYS1 interfaces ge-0/0/2.1 family inet address 10.0.0.1/24 user@host# set tenants TSYS1 routing-instances r1 interface ge-0/0/2.3
Crie uma instância
r1
de roteamento e atribua o tipo de instância de roteamento para o sistema de locatários.[edit] user@host# set tenants TSYS1 routing-instances r1 instance-type virtual-router
Especifique o nome da interface para a instância de roteamento.
[edit] user@host# set tenants TSYS1 routing-instances r1 interface ge-0/0/2.1
Crie um sistema de locatários chamado
TSYS2
.[edit] user@host# set tenants TSYS2
Defina a Interface no sistema de tenant TSYS2.
[edit] user@host# set tenants TSYS2 interfaces ge-0/0/2.2 vlan-id 102 user@host# set tenants TSYS2 interfaces ge-0/0/2.2 family inet address 10.0.0.2/24
Crie uma instância
r2
de roteamento e atribua o tipo de instância de roteamento para o sistema de locatários.[edit] user@host# set tenants TSYS2 routing-instances r2 instance-type virtual-router
Especifique o nome da interface para a instância de roteamento.
[edit] user@host# set tenants TSYS2 routing-instances r2 interface ge-0/0/2.2
Confirmar a configuração.
[edit] user@host# commit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show interfaces
comandos e show tenants
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show interfaces ge-0/0/2 { vlan-tagging; unit 3 { vlan-id 103; family inet { address 10.0.0.3/24; } } }
[edit] user@host# show tenants TSYS1 { interfaces { ge-0/0/2 { unit 1 { vlan-id 101; family inet { address 10.0.0.1/24; } } } } routing-instances { r1 { instance-type virtual-router; interface ge-0/0/2.1; interface ge-0/0/2.3; } } } TSYS2 { interfaces { ge-0/0/2 { unit 2 { vlan-id 102; family inet { address 10.0.0.2/24; } } } } routing-instances { r2 { instance-type virtual-router; interface ge-0/0/2.2; } } }
O show tenants
comando exibe todas as interfaces definidas nos sistemas TSYS1
de tenant e TSYS2
os parâmetros de instância de roteamento configurados para ambos os sistemas de tenant.
user@host> show interfaces ge-0/0/2.1 detail Logical interface ge-0/0/2.1 (Index 89) (SNMP ifIndex 548) (Generation 161) Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.101 ] Encapsulation: ENET2 Tenant Name: TSYS1 Traffic statistics: Input bytes : 0 Output bytes : 46 Input packets: 0 Output packets: 1 Local statistics: Input bytes : 0 Output bytes : 46 Input packets: 0 Output packets: 1 Transit statistics: Input bytes : 0 0 bps Output bytes : 0 0 bps Input packets: 0 0 pps Output packets: 0 0 pps Security: Zone: Null Flow Statistics : ..............................
user@host> show interfaces ge-0/0/2.2 detail Logical interface ge-0/0/2.2 (Index 90) (SNMP ifIndex 549) (Generation 162) Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.102 ] Encapsulation: ENET2 Tenant Name: TSYS2 Traffic statistics: Input bytes : 0 Output bytes : 46 Input packets: 0 Output packets: 1 Local statistics: Input bytes : 0 Output bytes : 46 Input packets: 0 Output packets: 1 Transit statistics: Input bytes : 0 0 bps Output bytes : 0 0 bps Input packets: 0 0 pps Output packets: 0 0 pps Security: Zone: Null Flow Statistics : Flow Input statistics : Self packets : 0 ICMP packets : 0 VPN packets : ..............................
Entender os perfis de segurança do sistema de locatário (somente administradores primários)
Os sistemas de tenant permitem que você divida virtualmente um firewall da Série SRX suportado em vários dispositivos, protegendo-os contra invasões e ataques e protegendo-os de condições defeituosas fora de seus próprios contextos. Para proteger sistemas de locatários, os recursos de segurança são configurados de maneira semelhante à forma como eles são configurados para um dispositivo discreto. No entanto, o administrador primário atribui recursos aos sistemas de locatários.
Um firewall da Série SRX que executa sistemas de locatários pode ser dividido em sistemas de locatários, um sistema de tenant interconectado, se necessário, e o sistema lógico primário padrão. Quando o sistema é inicializado, o sistema lógico primário é criado na raiz. Todos os recursos do sistema são atribuídos a ele, criando efetivamente um perfil de segurança de sistema lógico primário padrão. Para distribuir recursos de segurança nos sistemas de locatários, o administrador principal cria perfis de segurança que especificam os recursos a serem alocados em um sistema de locatários. Apenas o administrador principal pode configurar perfis de segurança e vinculá-los aos sistemas de locatários. O administrador do sistema de locatários usa esses recursos para o respectivo sistema de locatários.
Os sistemas de tenant são definidos pelos recursos alocados a eles, incluindo componentes de segurança, interfaces, instância de roteamento, rotas estáticas e protocolos de roteamento dinâmico. O administrador principal configura os perfis de segurança e os atribui aos sistemas de locatários. Você não pode comprometer uma configuração de sistema de locatário sem um perfil de segurança atribuído a ele.
Este tópico inclui as seguintes seções:
- Perfis de segurança da Tenant Systems
- Entender como o sistema avalia a atribuição e o uso de recursos em todos os sistemas de locatários
- Casos: avaliações de recursos reservados atribuídos por meio de perfis de segurança
Perfis de segurança da Tenant Systems
O administrador principal pode configurar e atribuir um perfil de segurança a um sistema de tenant específico ou a vários sistemas de locatários. O número máximo de perfis de segurança que podem ser configurados depende da capacidade de um firewall da Série SRX. Quando o número máximo de perfis de segurança foi criado, você precisa excluir um perfil de segurança e comprometer a mudança de configuração antes de poder criar e comprometer outro perfil de segurança. Em muitos casos, menos perfis de segurança são necessários porque você pode vincular um único perfil de segurança a mais de um sistema de tenant.
Os perfis de segurança permitem:
Compartilhe os recursos do dispositivo, incluindo políticas, zonas, endereços e livros de endereços, sessões de fluxo e várias formas de NAT, entre todos os sistemas de locatários adequadamente. Você pode atribuir várias quantidades de um recurso aos sistemas de locatários e permitir que os sistemas de locatário utilizem os recursos de maneira eficaz.
Os perfis de segurança protegem contra um sistema de locatário esgotando um recurso que é exigido ao mesmo tempo por outros sistemas de locatários. Os perfis de segurança protegem recursos críticos do sistema e mantêm um melhor desempenho entre os sistemas de locatários quando o dispositivo está enfrentando um fluxo de tráfego pesado. Os perfis de segurança se defendem contra um sistema de locatários que domina o uso de recursos e permitem que os outros sistemas de locatários usem os recursos de maneira eficaz.
Configure o dispositivo de maneira escalável para permitir a criação de sistemas de locatários adicionais.
Você precisa excluir o perfil de segurança de um sistema de tenant antes de poder excluir o sistema de locatários.
Entender como o sistema avalia a atribuição e o uso de recursos em todos os sistemas de locatários
Para provisionar um sistema de tenant com recursos de segurança, o administrador principal configura um perfil de segurança que especifica o recurso para cada recurso de segurança:
Uma cota reservada que garante que o valor do recurso especificado esteja sempre disponível para o sistema de locatários.
Uma cota máxima permitida. Se um sistema de locatário exigir recursos adicionais que excedam a cota reservada, ele pode utilizar os recursos configurados para o valor máximo global se os recursos globais não forem alocados nos outros sistemas de locatários. A cota máxima permitida não garante que o valor especificado para o recurso no perfil de segurança esteja disponível. Os sistemas de locatários precisam utilizar os recursos globais efetivamente com base nos recursos disponíveis.
Se uma cota reservada não estiver configurada para um recurso, o valor padrão é 0. Se uma cota máxima permitida não for configurada para um recurso, o valor padrão é a cota do sistema global para o recurso (as cotas globais do sistema são dependentes da plataforma). O administrador primário deve configurar os valores máximos máximos permitidos apropriados nos perfis de segurança para que o uso máximo de recursos de um sistema de locatário específico não afete negativamente outros sistemas de locatário configurados no dispositivo.
O sistema mantém uma contagem de todos os recursos alocados reservados, usados e disponibilizados novamente quando um sistema de locatário é excluído. Esta contagem determina se os recursos estão disponíveis para uso para sistemas de locatários ou para aumentar a quantidade de recursos alocados em sistemas de locatários existentes por meio de seus perfis de segurança.
Os recursos configurados em perfis de segurança são caracterizados como recursos modulares estáticos ou dinâmicos. Para recursos estáticos, recomendamos definir uma cota máxima para um recurso igual ou próximo ao valor especificado como sua cota reservada, para permitir uma configuração escalável de sistemas de locatários. Uma cota máxima para um recurso dá a um sistema de locatário maior flexibilidade por meio do acesso a uma quantidade maior desse recurso, mas restringe a quantidade de recursos disponíveis para alocar a outros sistemas de locatários.
Os recursos de segurança a seguir podem ser especificados em um perfil de segurança:
Zonas de segurança
Endereços e livros de endereços para políticas de segurança
Conjuntos de regras de firewall de aplicativos
Regras do firewall de aplicativos
Autenticação de firewall
Sessões de fluxo e portões
NAT, incluindo:
Vinculações de NAT de cone
Regra de destino do NAT
Pool de destino nat
Endereço IP NAT no pool de origem sem tradução de endereços de porta (PAT)
Nota:Os endereços IPv6 em pools de origem IPv6 sem PAT não estão incluídos em perfis de segurança.
Endereço IP NAT no pool de origem com PAT
Sobrecarga de porta NAT
Pool de origem do NAT
Regra de origem do NAT
Regra estática do NAT
Todos os recursos, exceto sessões de fluxo, são estáticos.
Você pode modificar um perfil de segurança do sistema de tenant dinamicamente enquanto o perfil de segurança é atribuído a outros sistemas de locatários. No entanto, para garantir que a cota de recursos do sistema não seja excedida, o sistema toma as seguintes ações:
Se uma cota estática for alterada, o processo de sistema que mantém o sistema de locatários conta com recursos especificados em perfis de segurança posteriormente reavalia os perfis de segurança atribuídos ao perfil associado à cota estática. Esta verificação identifica o número de recursos atribuídos em todos os sistemas de locatários para determinar se os recursos alocados, incluindo seus valores aumentados estão disponíveis.
Essas verificações de cotas são as mesmas verificações de cota que o sistema executa quando você adiciona um sistema de locatário e vincula um perfil de segurança a ele. Eles também são realizados quando você vincula um perfil de segurança diferente do perfil de segurança que atualmente é atribuído a ele a um sistema de locatário existente (ou ao sistema lógico primário).
Se uma cota dinâmica for revisada, nenhuma verificação é realizada, mas a cota revisada é imposta ao uso futuro de recursos.
Casos: avaliações de recursos reservados atribuídos por meio de perfis de segurança
Para entender como o sistema avalia a alocação de recursos reservados por meio de perfis de segurança, considere os três casos a seguir explicados na Tabela 7 e a alocação de endereços dos recursos e zonas. Para manter o exemplo simples, 10 zonas são alocadas no perfil de segurança-1: 4 zonas reservadas e 6 zonas máximas. Este exemplo pressupõe que o valor máximo especificado — seis zonas — está disponível para os sistemas de locatários. O número máximo de zonas do sistema é de 10.
Os três casos tratam da configuração em todos os sistemas de locatários. Os três casos verificam se uma configuração tem sucesso ou falha quando ela é comprometida com base na alocação de zonas.
A Tabela 6 mostra os perfis de segurança e as alocações de zona.
Dois perfis de segurança usados nos casos de configuração |
---|
perfil de segurança-1
Nota:
O administrador primário aumenta dinamicamente a contagem de zonas reservadas especificada neste perfil mais tarde. |
perfil do sistema lógico primário
|
A Tabela 7 mostra três casos que ilustram como o sistema avalia recursos reservados para zonas em todos os sistemas de locatários com base nas configurações de perfil de segurança.
A configuração para o primeiro caso é bem-sucedida porque a cota acumulada de recursos reservados para zonas configuradas nos perfis de segurança vinculados a todos os sistemas de locatários é 8, o que é menor do que a cota máxima de recursos do sistema.
A configuração para o segundo caso falha porque a cota acumulada de recursos reservados para zonas configuradas nos perfis de segurança vinculados a todos os sistemas lógicos é 12, o que é maior do que a cota máxima de recursos do sistema.
A configuração para o terceiro caso falha porque a cota acumulada de recursos reservados para zonas configuradas nos perfis de segurança vinculados a todos os sistemas de locatários é 12, o que é maior do que a cota máxima de recursos do sistema.
Verificações de cota de recursos reservados em sistemas de locatários |
---|
Exemplo 1: sucesso Essa configuração está dentro dos limites: 4+4+0=8, capacidade máxima =10. Perfis de segurança usados
|
Exemplo 2: falha Essa configuração está fora dos limites: 4+4+4=12, capacidade máxima =10.
Perfis de segurança
|
Exemplo 3: falha Essa configuração está fora dos limites: 6+6=12, capacidade máxima =10. O administrador primário modifica a cota de zonas reservadas em perfil de segurança-1, aumentando a contagem para 6.
|
Exemplo: criação de sistemas de locatários, administradores de sistema de locatários e um switch VPLS de interconexão
Este exemplo mostra como criar sistemas de locatários, administradores de sistema de locatários e um switch VPLS de interconexão. Apenas o administrador principal pode criar contas de login de usuário para administradores de sistema de locatários e interconectar o switch VPLS.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
-
Firewall da Série SRX.
-
Junos OS Versão 18.4R1 e versões posteriores.
-
Antes de começar a criar os sistemas de locatários, administradores de sistema de locatários e um switch VPLS de interconexão, leia a visão geral do Tenant Systems para entender como essa tarefa se encaixa no processo de configuração geral.
Visão geral
Este exemplo mostra como criar os sistemas TSYS1
TSYS2
de locatários e TSYS3
os administradores do sistema de locatários para eles. Você pode criar vários administradores de sistema de locatários para um sistema de tenant com diferentes níveis de permissão com base em seus requisitos.
Esse tópico também abrange o switch de serviço de LAN privada virtual (VPLS) interconexão que conecta um sistema de tenant a outro no mesmo dispositivo. O switch VPLS permite que o tráfego de trânsito e o tráfego encerrado em um sistema de locatários passem entre sistemas de locatários. Para permitir que o tráfego passe entre sistemas de locatários, as interfaces de túnel lógico (lt-0/0/0) devem ser configuradas na mesma sub-rede.
Topologia
A Figura 2 mostra um firewall da Série SRX implantado e configurado para sistemas de locatários. O exemplo de configuração usa roteamento estático para permitir que os PCs cheguem à Internet.
Configuração rápida completa do SRX
Configuração de sistemas lógicos e de locatários e switch VPLS de interconexão
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha e altere todos os detalhes necessários para combinar com sua configuração de rede para incluir interfaces e senhas de usuário. Em seguida, copie e cole os comandos na CLI no nível de [edit]
hierarquia e entre no commit
modo de configuração.
set system login class TSYS1admin1 tenant TSYS1 set system login class TSYS1admin1 permissions all set system login class TSYS2admin1 tenant TSYS2 set system login class TSYS2admin1 permissions all set system login class TSYS3admin1 tenant TSYS3 set system login class TSYS3admin1 permissions all set system login user TSYS1admin1 uid 2001 set system login user TSYS1admin1 class TSYS1admin1 set system login user TSYS1admin1 authentication encrypted-password "$ABC123" set system login user TSYS2admin1 uid 2003 set system login user TSYS2admin1 class TSYS2admin1 set system login user TSYS2admin1 authentication encrypted-password "$ABC123" set system login user TSYS3admin1 uid 2005 set system login user TSYS3admin1 class TSYS3admin1 set system login user TSYS3admin1 authentication encrypted-password "$ABC123" set system security-profile SP0 logical-system root-ls set system security-profile SP1 tenant TSYS1 set system security-profile SP2 tenant TSYS2 set system security-profile SP3 tenant TSYS3 set logical-systems root-ls interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set logical-systems root-ls interfaces lt-0/0/0 unit 0 encapsulation ethernet set logical-systems root-ls interfaces lt-0/0/0 unit 0 peer-unit 100 set logical-systems root-ls interfaces lt-0/0/0 unit 0 family inet address 10.0.1.10/24 set logical-systems root-ls routing-options static route 192.168.1.0/24 next-hop 10.0.1.1 set logical-systems root-ls routing-options static route 192.168.2.0/24 next-hop 10.0.1.2 set logical-systems root-ls routing-options static route 192.168.3.0/24 next-hop 10.0.1.3 set logical-systems root-ls security address-book global address TSYS1 192.168.1.0/24 set logical-systems root-ls security address-book global address TSYS2 192.168.2.0/24 set logical-systems root-ls security address-book global address TSYS3 192.168.3.0/24 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS1 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS2 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS3 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match destination-address any set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match application any set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out then permit set logical-systems root-ls security zones security-zone trust host-inbound-traffic system-services ping set logical-systems root-ls security zones security-zone trust interfaces lt-0/0/0.0 set logical-systems root-ls security zones security-zone untrust host-inbound-traffic system-services ping set logical-systems root-ls security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces lt-0/0/0 unit 1 encapsulation ethernet set interfaces lt-0/0/0 unit 1 peer-unit 101 set interfaces lt-0/0/0 unit 1 family inet address 10.0.1.1/24 set interfaces lt-0/0/0 unit 2 encapsulation ethernet set interfaces lt-0/0/0 unit 2 peer-unit 102 set interfaces lt-0/0/0 unit 2 family inet address 10.0.1.2/24 set interfaces lt-0/0/0 unit 3 encapsulation ethernet set interfaces lt-0/0/0 unit 3 peer-unit 103 set interfaces lt-0/0/0 unit 3 family inet address 10.0.1.3/24 set interfaces lt-0/0/0 unit 100 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 100 peer-unit 0 set interfaces lt-0/0/0 unit 101 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 101 peer-unit 1 set interfaces lt-0/0/0 unit 102 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 102 peer-unit 2 set interfaces lt-0/0/0 unit 103 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 103 peer-unit 3 set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.254/24 set interfaces ge-0/0/2 unit 0 family inet address 192.168.2.254/24 set interfaces ge-0/0/3 unit 0 family inet address 192.168.3.254/24 set routing-instances VPLS instance-type vpls set routing-instances VPLS interface lt-0/0/0.100 set routing-instances VPLS interface lt-0/0/0.101 set routing-instances VPLS interface lt-0/0/0.102 set routing-instances VPLS interface lt-0/0/0.103 set tenants TSYS1 routing-instances vr1 instance-type virtual-router set tenants TSYS1 routing-instances vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS1 routing-instances vr1 interface lt-0/0/0.1 set tenants TSYS1 routing-instances vr1 interface ge-0/0/1.0 set tenants TSYS1 security address-book global address PC1 192.168.1.0/24 set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match source-address PC1 set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match destination-address any set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match application any set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out then permit set tenants TSYS1 security zones security-zone PC1 host-inbound-traffic system-services ping set tenants TSYS1 security zones security-zone PC1 interfaces ge-0/0/1.0 set tenants TSYS1 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS1 security zones security-zone VPLS interfaces lt-0/0/0.1 set tenants TSYS2 routing-instances vr2 instance-type virtual-router set tenants TSYS2 routing-instances vr2 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS2 routing-instances vr2 interface lt-0/0/0.2 set tenants TSYS2 routing-instances vr2 interface ge-0/0/2.0 set tenants TSYS2 security address-book global address PC2 192.168.2.0/24 set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match source-address PC2 set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match destination-address any set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match application any set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out then permit set tenants TSYS2 security zones security-zone PC2 host-inbound-traffic system-services ping set tenants TSYS2 security zones security-zone PC2 interfaces ge-0/0/2.0 set tenants TSYS2 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS2 security zones security-zone VPLS interfaces lt-0/0/0.2 set tenants TSYS3 routing-instances vr3 instance-type virtual-router set tenants TSYS3 routing-instances vr3 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS3 routing-instances vr3 interface lt-0/0/0.3 set tenants TSYS3 routing-instances vr3 interface ge-0/0/3.0 set tenants TSYS3 security address-book global address PC3 192.168.3.0/24 set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match source-address PC3 set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match destination-address any set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match application any set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out then permit set tenants TSYS3 security zones security-zone PC3 host-inbound-traffic system-services ping set tenants TSYS3 security zones security-zone PC3 interfaces ge-0/0/3.0 set tenants TSYS3 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS3 security zones security-zone VPLS interfaces lt-0/0/0.3
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI. Só cobriremos a configuração de um locatário para o procedimento passo a passo.
-
Crie as contas de usuário de login para cada locatário. Só mostraremos as etapas para criar a conta do usuário tenant
TSYS1
.-
Crie a classe de login do usuário e atribua-a ao sistema de locatários.
[edit] user@SRX# set system login class TSYS1admin1 tenant TSYS1
-
Atribua um nível de permissão à classe de login, por exemplo, usaremos o nível
all
que permite acesso total ao administrador do sistema de locatários.[edit] user@SRX# set system login class TSYS1admin1 permissions all
-
Crie uma conta do usuário e atribua-a à classe das etapas anteriores. Isso permitirá que o usuário faça login no sistema de locatários.
[edit] user@SRX# set system login user TSYS1admin1 class TSYS1admin1
-
Crie uma senha de login do usuário para a conta do usuário.
[edit] user@SRX# set system login user TSYS1admin1 authentication plain-text-password New password: "$ABC123" Retype new password: "$ABC123"
-
-
Configure o switch VPLS. O switch VPLS permite que o tráfego de trânsito e o tráfego terminados em um sistema de locatários passem entre sistemas de locatários com um único túnel lógico. As interfaces lógicas de túnel devem ser configuradas na mesma sub-rede para permitir o tráfego entre sistemas de locatários.
-
Configure as interfaces lógicas de túnel.
[edit] user@SRX# set interfaces lt-0/0/0 unit 100 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 100 peer-unit 0 user@SRX# set interfaces lt-0/0/0 unit 101 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 101 peer-unit 1 user@SRX# set interfaces lt-0/0/0 unit 102 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 102 peer-unit 2 user@SRX# set interfaces lt-0/0/0 unit 103 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 103 peer-unit 3
-
Configure uma instância de roteamento para o switch VPLS e atribua as interfaces lógicas de túnel.
[edit] user@SRX# set routing-instances VPLS instance-type vpls user@SRX# set routing-instances VPLS interface lt-0/0/0.100 user@SRX# set routing-instances VPLS interface lt-0/0/0.101 user@SRX# set routing-instances VPLS interface lt-0/0/0.102 user@SRX# set routing-instances VPLS interface lt-0/0/0.103
-
-
Configure os sistemas de locatários. Estamos apenas mostrando a configuração para um locatário.
-
Configure as interfaces associadas ao locatário.
[edit] user@SRX# set interfaces lt-0/0/0 unit 1 encapsulation ethernet user@SRX# set interfaces lt-0/0/0 unit 1 peer-unit 101 user@SRX# set interfaces lt-0/0/0 unit 1 family inet address 10.0.1.1/24 user@SRX# set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.254/24
-
Configure o tenant, a instância de roteamento, o roteamento estático e atribua as interfaces.
[edit] user@SRX# set tenants TSYS1 routing-instances vr1 instance-type virtual-router user@SRX# set tenants TSYS1 routing-instances vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 user@SRX# set tenants TSYS1 routing-instances vr1 interface lt-0/0/0.1 user@SRX# set tenants TSYS1 routing-instances vr1 interface ge-0/0/1.0
-
-
Configure os perfis de segurança. Estamos mostrando apenas a configuração mínima necessária para configurar sistemas lógicos e de locatários para este exemplo.
[edit] user@SRX# set system security-profile SP0 logical-system root-ls user@SRX# set system security-profile SP1 tenant TSYS1 user@SRX# set system security-profile SP2 tenant TSYS2 user@SRX# set system security-profile SP3 tenant TSYS3
-
Configure os sistemas lógicos. Este exemplo usando um switch VPLS de interconexão requer sistemas lógicos.
-
Configure as interfaces.
[edit] user@SRX# set logical-systems root-ls interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 encapsulation ethernet user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 peer-unit 100 user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 family inet address 10.0.1.10/24
-
Configure as rotas estáticas.
[edit] user@SRX# set logical-systems root-ls routing-options static route 192.168.1.0/24 next-hop 10.0.1.1 user@SRX# set logical-systems root-ls routing-options static route 192.168.2.0/24 next-hop 10.0.1.2 user@SRX# set logical-systems root-ls routing-options static route 192.168.3.0/24 next-hop 10.0.1.3
-
-
Configure zonas e políticas de segurança nos sistemas lógicos para permitir o fluxo de tráfego dos locatários para a Internet. Políticas de segurança adicionais podem ser configuradas nos sistemas lógicos e locatários para permitir o tráfego entre os locatários.
-
Configure zonas de segurança.
[edit] user@SRX# set logical-systems root-ls security zones security-zone trust host-inbound-traffic system-services ping user@SRX# set logical-systems root-ls security zones security-zone trust interfaces lt-0/0/0.0 user@SRX# set logical-systems root-ls security zones security-zone untrust host-inbound-traffic system-services ping user@SRX# set logical-systems root-ls security zones security-zone untrust interfaces ge-0/0/0.0
-
Configure políticas de segurança.
[edit] user@SRX# set logical-systems root-ls security address-book global address TSYS1 192.168.1.0/24 user@SRX# set logical-systems root-ls security address-book global address TSYS2 192.168.2.0/24 user@SRX# set logical-systems root-ls security address-book global address TSYS3 192.168.3.0/24 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS1 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS2 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS3 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match destination-address any user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match application any user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out then permit
-
-
Configure zonas e políticas de segurança em cada sistema de tenant para permitir o fluxo de tráfego para a Internet.
-
Configure zonas de segurança.
[edit] user@SRX# set tenants TSYS1 security zones security-zone PC1 host-inbound-traffic system-services ping user@SRX# set tenants TSYS1 security zones security-zone PC1 interfaces ge-0/0/1.0 user@SRX# set tenants TSYS1 security zones security-zone VPLS host-inbound-traffic system-services ping user@SRX# set tenants TSYS1 security zones security-zone VPLS interfaces lt-0/0/0.1
-
Configure políticas de segurança.
[edit] user@SRX# set tenants TSYS1 security address-book global address PC1 192.168.1.0/24 user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match source-address PC1 user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match destination-address any user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match application any user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out then permit
-
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show tenants TSYS1
comando para verificar se o sistema de tenant é criado. Insira o show system login class TSYS1admin1
comando para visualizar o nível de permissão de cada classe que você definiu. Para garantir que os administradores do sistema de locatários sejam criados, entre no show system login user TSYS1admin1
comando. Para garantir que as interfaces para o switch VPLS de interconexão sejam criadas, entre no show interfaces
comando. Entre show logical-systems
para verificar a configuração de sistemas lógicos raiz.
user@SRX# show tenants TSYS1 routing-instances { vr1 { instance-type virtual-router; routing-options { static { route 0.0.0.0/0 next-hop 10.0.1.10; } } interface lt-0/0/0.1; interface ge-0/0/1.0; } } security { address-book { global { address PC1 192.168.1.0/24; } } policies { from-zone PC1 to-zone VPLS { policy allow-out { match { source-address PC1; destination-address any; application any; } then { permit; } } } } zones { security-zone PC1 { host-inbound-traffic { system-services { ping; } } interfaces { ge-0/0/1.0; } } security-zone VPLS { host-inbound-traffic { system-services { ping; } } interfaces { lt-0/0/0.1; } } } }
user@SRX# show system login class TSYS1admin1 tenant TSYS1; permissions all;
user@SRX# show system login user TSYS1admin1 uid 2001; class TSYS1admin1; authentication { encrypted-password "$ABC123"; }
user@SRX# show interfaces lt-0/0/0 { unit 1 { encapsulation ethernet; peer-unit 101; family inet { address 10.0.1.1/24; } } unit 2 { encapsulation ethernet; peer-unit 102; family inet { address 10.0.1.2/24; } } unit 3 { encapsulation ethernet; peer-unit 103; family inet { address 10.0.1.3/24; } } unit 100 { encapsulation ethernet-vpls; peer-unit 0; } unit 101 { encapsulation ethernet-vpls; peer-unit 1; } unit 102 { encapsulation ethernet-vpls; peer-unit 2; } unit 103 { encapsulation ethernet-vpls; peer-unit 3; } } ge-0/0/1 { unit 0 { family inet { address 192.168.1.254/24; } } } ge-0/0/2 { unit 0 { family inet { address 192.168.2.254/24; } } } ge-0/0/3 { unit 0 { family inet { address 192.168.3.254/24; } } }
user@SRX# show logical-systems root-ls { interfaces { ge-0/0/0 { unit 0 { family inet { address 192.168.10.1/24; } } } lt-0/0/0 { unit 0 { encapsulation ethernet; peer-unit 100; family inet { address 10.0.1.10/24; } } } } routing-options { static { route 192.168.1.0/24 next-hop 10.0.1.1; route 192.168.2.0/24 next-hop 10.0.1.2; route 192.168.3.0/24 next-hop 10.0.1.3; } } security { address-book { global { address TSYS1 192.168.1.0/24; address TSYS2 192.168.2.0/24; address TSYS3 192.168.3.0/24; } } policies { from-zone trust to-zone untrust { policy allow-out { match { source-address [ TSYS1 TSYS2 TSYS3 ]; destination-address any; application any; } then { permit; } } } } zones { security-zone trust { host-inbound-traffic { system-services { ping; } } interfaces { lt-0/0/0.0; } } security-zone untrust { host-inbound-traffic { system-services { ping; } } interfaces { ge-0/0/0.0; } } } } }
Se a saída não exibir a configuração pretendida, repita as instruções de configuração nesses exemplos para corrigi-la. Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Confirme que a configuração está funcionando corretamente.
- Verificação de sistemas de locatários e configurações de login usando o administrador primário
- Verificação de sistemas de locatários e configurações de login usando SSH
- Verificando a conectividade PC1 com a Internet
Verificação de sistemas de locatários e configurações de login usando o administrador primário
Propósito
Verifique se os sistemas de locatário existem e você pode inseri-los a partir da raiz como o administrador principal. Volte do sistema de locatários para a raiz.
Ação
A partir do modo operacional, use o seguinte comando para entrar nos sistemas TSYS1
de tenant:
user@SRX> set cli tenant TSYS1 Tenant: TSYS1 user@SRX:TSYS1>
Agora você entra nos sistemas TSYS1
de locatários. Use o seguinte comando para sair dos sistemas TSYS1
de tenant para a raiz:
user@SRX:TSYS1> clear cli tenant Cleared default tenants user@SRX>
Significado
O sistema de tenant existe e você pode entrar no sistema de tenant a partir da raiz como o administrador principal.
Verificação de sistemas de locatários e configurações de login usando SSH
Propósito
Verifique se os sistemas de locatário que você criou existem e se os IDs e senhas de login do administrador que você criou estão corretos.
Ação
Use o SSH para fazer login em cada administrador do sistema de locatários do usuário.
-
Execute SSH especificando o endereço IP do firewall da Série SRX.
-
Digite o ID de login e a senha para o administrador de sistemas de tenant que você criou. Depois de fazer login, o prompt mostra o nome do administrador de sistemas de tenant. Observe como esse resultado difere do resultado produzido quando você faz login no sistema de tenant do sistema lógico primário na raiz. Repita este procedimento para todos os seus sistemas de locatários.
login: TSYS1admin1 Password: "$ABC123" TSYS1admin1@SRX: TSYS1>
Significado
O administrador TSYS1admin1
do sistema de locatários existe e você pode fazer login como administrador do sistema de tenant.
Verificando a conectividade PC1 com a Internet
Propósito
Verifique a conectividade de ponta a ponta.
Ação
Ping e executar rastreamento para a Internet a partir do PC1. Em nosso exemplo, a Internet é 192.168.10.254.
-
Execute ping do PC1.
user@PC1> ping 192.168.10.254 count 2 PING 192.168.10.254 (192.168.10.254): 56 data bytes 64 bytes from 192.168.10.254: icmp_seq=0 ttl=62 time=3.178 ms 64 bytes from 192.168.10.254: icmp_seq=1 ttl=62 time=3.082 ms --- 192.168.10.254 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.082/3.130/3.178/0.048 ms
-
Execute o rastreamento a partir do PC1.
user@PC1> traceroute 192.168.10.254 traceroute to 192.168.10.254 (192.168.10.254), 30 hops max, 52 byte packets 1 192.168.1.254 (192.168.1.254) 2.188 ms 1.779 ms 1.896 ms 2 10.0.1.10 (10.0.1.10) 1.888 ms 1.535 ms 1.661 ms 3 192.168.10.254 (192.168.10.254) 3.243 ms 15.077 ms 3.499 ms
Significado
O PC1 é capaz de chegar à Internet.
ping
,
telnet
,
ssh
,
traceroute
,
show arp
,
clear arp
,
show ipv6 neighbors
e
clear ipv6 neighbors
comandos.