Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Data center virtualizado usando sistemas lógicos

A Logical Systems permite que o projeto VDC use tecnologias de virtualização, como LANs virtuais (VLANs), roteadores virtuais, roteadores de rotas virtuais, encaminhamento de rotas inter-virtuais para fornecer isolamento flexível de tráfego. Para obter mais informações, veja os seguintes tópicos:

Solução de data center virtualizada de duas camadas para redes empresariais de grande porte

A seguir, descreve um data center virtualizado (VDC) de duas camadas, de alta velocidade e alta velocidade da Juniper Networks. Uma arquitetura de dois níveis atende aos requisitos de baixa latência de um ambiente de servidor virtualizado e oferece suporte ao mandato de segurança overlying para manter a segmentação controlada entre várias unidades de negócios.

Segmentação de tráfego de rede

O projeto VDC da Juniper Networks usa tecnologias de virtualização, como LANs virtuais (VLANs), roteadores virtuais, encaminhamento de rotas virtuais, encaminhamento de rotas inter-virtuais e sistemas lógicos para fornecer isolamento flexível de tráfego.

Um projeto de data center de duas camadas totalmente redundante consiste em switches Ethernet da Série EX da Juniper Networks na camada de acesso para conectividade de servidor, plataformas de roteamento universal 5G da Série MX como uma camada de agregação/núcleo de LAN colapsada e gateways de serviços da Série SRX agrupados para fornecer serviços de segurança de firewall nos limites de confiança do data center.

Flexibilidade

O projeto VDC da Juniper Networks usa VLANs 802.1Q, MPLS, BGP, protocolo de redundância de roteador virtual (VRRP), engenharia de tráfego e rerroteamento rápido para fornecer flexibilidade de projeto, mantendo uma abordagem baseada em padrões. O projeto também pode oferecer suporte a um serviço de LAN privada virtual (VPLS).

Segurança

O projeto VDC da Juniper Networks usa zonas de segurança para implementar os pontos de aplicação de políticas. O cluster SRX é responsável por toda a inspeção de pacotes stateful para o tráfego que ultrapassa os limites de confiança da unidade de negócios, bem como todo o tráfego de entrada e saída para o data center.

O sistema operacional Junos da Juniper Networks é configurado com diferentes contas de administrador para cada sistema lógico que oferece suporte ao acesso limitado a recursos de rede e pode ser personalizado para unidades de negócios individuais.

Acesso e disponibilidade

No projeto VDC da Juniper Networks, descrito em Exemplo: Configurando um data center virtualizado de duas camadas para grandes redes empresariais, os switches da Série EX top-of-rack (TOR) fornecem acesso aos servidores e fornecem redundância.

Todos os uplinks dos switches TOR são links de tronco de 802.1Q que são encerrados diretamente em cada um dos dispositivos da Série MX que compõem o Ponto de Entrega (POD) na camada de agregação/núcleo.

Uma instância VRRP é definida em cada VLAN dentro do dispositivo da Série MX para atuar como o roteador padrão para todos os hosts de servidor em um determinado VLAN. Para permitir que o VRRP funcione corretamente, cada domínio de ponte é estendido entre cada dispositivo da Série MX por meio de um link de interconexão. O dispositivo da Série MX usa uma interface de roteamento e ponte (IRB) integrada como a interface de Camada 3 para cada domínio de ponte, com VRRP configurado para redundância.

Um par de pacotes Ethernet agregados de 802.3ad são usados entre os dispositivos da Série MX. Cada dispositivo da Série MX é dividido em vários Sistemas Lógicos. Os sistemas lógicos do dispositivo da Série MX são usados para definir limites lógicos de confiança dentro do próprio data center e entre as respectivas unidades de negócios.

Um par agrupado de dispositivos da Série SRX que atuam como firewalls fornecem serviços de segurança nos limites de confiança do data center. Os roteadores virtuais nos dispositivos da Série SRX atuam como roteadores de borda do cliente (CE) para cada unidade de negócios.

Um único grupo de redundância para o plano de dados é definido nos gateways de serviços da Série SRX com duas interfaces Ethernet redundantes como interfaces de membro. Esse grupo de redundância lida com o failover do plano de dados do firewall da Série SRX e é configurado de maneira que qualquer perda de interfaces da Série SRX para o norte ou para o sul força um failover completo para o nó secundário. Esse failover é essencialmente um failover de Camada 1, o que significa que ele ocorre rapidamente e não interrompe a topologia de roteamento acima dele.

Escalabilidade incremental econômica

O projeto VDC da Juniper Networks oferece suporte ao dimensionamento incremental da rede. Isso permite que o VDC seja criado com custo mínimo para atender à necessidade atual.

A camada de acesso pode ser expandida adicionando switches da Série EX no topo do rack.

A agregação/camada de núcleo pode ser expandida adicionando dispositivos adicionais da Série MX em um determinado POD.

Os serviços de segurança podem ser expandidos adicionando placas Ethernet Ethernet de 4 portas de 10 Gigabit (IOCs) e placas de processamento de serviços (SPCs) nos dispositivos da Série SRX. A adição de IOCs aumenta a densidade da porta Ethernet de 10 Gigabits. A adição de cada placa SPC ao chassi adiciona mais 10 Gbps (5 Gbps de Internet mix (IMIX)), 2 milhões de sessões, e 100.000 conexões por segundo (CPS) até uma capacidade máxima de classificação para a plataforma de 150 Gbps (47,5 Gbps IMIX), 10 milhões de sessões e 350.000 CPS (conforme medido no Junos OS Release 10.2).

Orquestração e automação

O projeto VDC da Juniper Networks usa a plataforma de gerenciamento Junos Space da Juniper Networks. O Junos Space inclui um portfólio de aplicativos para dimensionar serviços, simplificar as operações de rede e automatizar o suporte para ambientes de rede complexos.

Além disso, os dispositivos de rede estão configurados para oferecer suporte a transferências de arquivos do Secure Copy Protocol (SCP) de fundo, scripts de confirmação e um site de arquivo de arquivo.

Veja também

Requisitos de um data center virtualizado de duas camadas para grandes redes empresariais

As grandes empresas têm certas necessidades específicas para o ambiente de hospedagem que o projeto de seu data center deve atender. Esta seção descreve os requisitos de uma empresa que opera como um provedor de serviços para suas unidades de negócios individuais (BUs).

Um dos principais requisitos de um data center virtualizado (VDC) para uma grande empresa é a capacidade de segmentar a rede por unidade de negócios. Isso inclui segmentação de tráfego e segmentação de controle administrativo.

Outros requisitos incluem controles de segurança entre unidades de negócios, controles de segurança entre a empresa e o mundo exterior, flexibilidade para crescer e adaptar a rede e uma maneira robusta e econômica de gerenciar toda a rede.

Segmentação de tráfego de rede

A exigência aqui descrita é que os recursos de rede sejam isolados de várias maneiras. O tráfego deve ser segmentado por unidades de negócios. Os fluxos de tráfego entre segmentos de rede devem ser proibidos, exceto quando especificamente permitidos. O isolamento do tráfego deve ser controlado em pontos de aplicação de políticas designados. Os recursos de rede devem ser dedicados a um segmento, mas a rede deve ter a flexibilidade de alterar a alocação de recursos.

Os recursos segmentados devem ser logicamente agrupados de acordo com as políticas. Por exemplo, o tráfego de teste deve ser isolado do tráfego de produção. O tráfego também deve ser isolado de acordo com entidades empresariais, requisitos contratuais, requisitos legais ou regulatórios, classificação de risco e padrões corporativos.

O projeto de segmentação de rede não deve ser disruptivo para o negócio, deve ser integrado ao projeto de rede de data center e nuvem maior, deve permitir que unidades de negócios acessem recursos de rede globalmente e devem oferecer suporte a novos recursos de negócios.

Flexibilidade

O projeto de rede deve ser flexível o suficiente para reagir às mudanças de negócios e ambientes com esforços mínimos de projeto e reengenharia. O projeto VDC deve ser flexível em termos de isolar cargas de trabalho de unidades de negócios de outras unidades de negócios e serviços e aplicativos gerais de data center. A solução de rede deve garantir que o negócio seja minimamente impactado quando mudanças de rede e segmentação ocorrem.

O VDC deve ser flexível o suficiente para ser implementado:

  • Em um único data center

  • Dentro de um data hall

  • Em dois ou mais data centers

  • Em dois ou mais data halls dentro ou entre data centers

  • Entre um data center e um provedor de serviços de nuvem externo

Segurança

O projeto de rede deve permitir que unidades de negócios sejam isoladas no ambiente de hospedagem. No caso de um incidente de segurança de rede, as unidades de negócios devem ser isoladas do ambiente de hospedagem e de outras unidades de negócios.

O fluxo de tráfego entre segmentos de unidades de negócios deve ser negado por padrão e deve ser explicitamente permitido apenas em pontos de aplicação de políticas de propriedade e controlados pelo provedor de serviços de data center.

O ponto de aplicação de políticas deve incluir recursos de controle de acesso e pode incluir recursos de proteção contra ameaças.

Acesso e disponibilidade

O VDC deve fornecer acesso a serviços comuns de data center, como computação, armazenamento, segurança, gerenciamento de tráfego, operações e aplicativos. A rede deve operar em vários provedores de serviços globais e deve entregar desempenho ideal, previsível e consistente em toda a rede. O VDC deve ser implementado em unidades de negócios de data center.

A solução de rede deve atender aos requisitos de disponibilidade da unidade de negócios conforme definido em acordos de nível de serviço.

Escalabilidade incremental econômica

O projeto de VDC deve ser econômico para que o negócio funcione e deve capacitar novos recursos de negócios. É preciso ser possível implementar a solução de rede de maneira incremental, com impacto mínimo para o negócio.

Orquestração e automação

O projeto de VDC deve incluir um sistema de gerenciamento que ofereça suporte à automação para o provisionamento, disponibilidade e monitoramento de cargas de trabalho e relatórios. Os relatórios de carga de trabalho e disponibilidade devem estar disponíveis pela unidade de negócios.

Veja também

Exemplo: configurar um data center virtualizado de duas camadas para grandes redes empresariais

Este exemplo fornece um procedimento passo a passo para configurar um data center virtualizado de duas camadas para grandes redes empresariais.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Duas plataformas de roteamento universal 5G da Série MX que executam o Junos OS Versão 10.2 ou posterior

  • Seis switches Ethernet da Série EX que executam o Junos OS Release 10.2 ou posteriores

  • Dois gateways de serviços da Série SRX que executam o Junos OS Release 10.4 ou posterior

Configuração de uma visão geral de data center virtualizada de duas camadas

Este exemplo fornece um procedimento passo a passo para configurar um data center virtualizado de duas camadas para grandes empresas. As etapas do exemplo seguem o caminho de dados de uma interface conectada a um servidor no BU2 usando o VLAN 17, até o Logical System Trust1, através do roteador virtual MX-VR2, através do roteador virtual SRX-VR2, através do VRF2 no Logical System Untrust, e para a rede central.

A rede principal neste exemplo oferece suporte simultaneamente a roteamento baseado em IP e comutação de rótulos baseada em MPLS. Os roteadores virtuais do dispositivo da Série SRX executam as funções dos roteadores de borda do cliente (CE). As instâncias de roteamento e encaminhamento de VPN (VRF) nos dispositivos da Série MX executam as funções dos roteadores de borda de provedores de serviços (PE). O protocolo OSPF serve como o protocolo de gateway interno para transportar rotas para os endereços de loopback do roteador PE que são usados como o endereço BGP next-hop para as redes baseadas em IP e MPLS suportadas por este exemplo.

Nota:

As etapas deste exemplo são representativas de toda a configuração de rede. O exemplo não mostra todas as etapas para cada dispositivo virtual.

As conexões físicas usadas neste exemplo são mostradas na Figura 1.

Figura 1: Topologia Virtualized Data Center Physical Topology física de data center virtualizada

As conexões lógicas usadas neste exemplo são mostradas na Figura 2.

Figura 2: Topologia Virtualized Data Center Logical Topology lógica de data center virtualizada

Na ilustração de topologia lógica:

  • Os usuários acessam o data center em toda a rede de núcleo empresarial mostrada no topo.

  • Os roteadores virtuais configurados no Logical System Untrust nos dispositivos da Série MX encaminham o tráfego para roteadores virtuais separados configurados na zona de segurança não confiável nos dispositivos da Série SRX. Esses roteadores virtuais atuam como roteadores de borda para as várias unidades de negócios.

  • Os roteadores virtuais configurados no dispositivo ativo da Série SRX encaminham o tráfego para as zonas de segurança confiáveis.

  • Roteadores virtuais configurados em sistemas lógicos separados nos dispositivos da Série MX encaminham o tráfego para um domínio de ponte de VLANs configurado nos dispositivos da Série EX.

  • A unidade de negócios 1 requer separação adicional. Nesse caso, o roteador virtual (VR) configurado no dispositivo da Série SRX encaminha o tráfego diretamente para o domínio da ponte nos dispositivos da Série EX.

  • Os dispositivos da Série EX mudam o tráfego para o servidor de data center.

  • Os dispositivos da Série SRX aplicam a política de segurança a todo o tráfego que atravessa os limites não confiáveis e todo o tráfego encaminhado entre sistemas lógicos.

  • Os dispositivos da Série SRX estão configurados em um cluster ativo/passivo para que apenas um nó no cluster esteja ativo no plano de encaminhamento de dados de cada vez.

  • Os dispositivos da Série SRX estão configurados com um único grupo de redundância para o plano de dados. O grupo de redundância usa duas interfaces Ethernet (reth1 e reth2 na Figura 1) como interfaces de membro.

Configuração da camada de acesso

Configure a camada de acesso fazendo o seguinte:

Configuração de interfaces

Procedimento passo a passo

Esse procedimento explica como configurar as interfaces físicas, lógicas e de gerenciamento de rede para os dispositivos de camada de acesso. Este procedimento mostra uma amostra representativa da configuração. O exemplo não mostra a configuração para cada interface.

  1. Configure as interfaces Ethernet voltadas para servidor de 10 Gigabits na camada de acesso.

    Este exemplo configura a ge-0/0/17 interface com o VLAN ID 17.

    Inclua a member declaração e especifique o ID 17 de VLAN no nível de [edit interfaces ge-0/0/17 unit 0 family ethernet-switching vlan] hierarquia.

    Repita esta etapa para cada interface voltada para servidor usando o nome da interface e o número VLAN apropriados.

  2. Configure as interfaces de tronco Ethernet de 10 Gigabit desde o dispositivo da Série EX até os dois dispositivos da Série MX.

    Este exemplo configura as interfaces e xe-0/1/0 as xe-0/1/2 interfaces.

    Inclua a port-mode declaração e especifique a opção trunk nos níveis de [edit interfaces xe-0/1/2 unit 0 family ethernet-switching] [edit interfaces xe-0/1/0 unit 0 family ethernet-switching] hierarquia.

    Inclua a members declaração e especifique a opção all nos níveis de [edit interfaces xe-0/1/2 unit 0 family ethernet-switching vlan] [edit interfaces xe-0/1/0 unit 0 family ethernet-switching] hierarquia.

    Repita esta etapa para cada interface de tronco Ethernet de 10 Gigabits usando o nome de interface apropriado.

  3. Habilite a família de endereços IPv4 para a interface lógica de loopback.

    Inclua a family declaração e especifique a opção inet de habilitar o IPv4 no nível de [edit interfaces lo0 unit 0] hierarquia.

    Repita esta etapa para cada dispositivo da Série EX usando o endereço apropriado para esse dispositivo.

  4. Configure a interface Ethernet de gerenciamento de dispositivos da Série EX.

    Este exemplo configura a unit 0 interface lógica.

    Inclua a family declaração e especifique a opção inet no nível de [edit me0 unit 0] hierarquia.

    Inclua a address declaração e especifique 10.8.108.19/24 como o endereço IPv4 no nível de [edit interfaces me0 unit 0 family inet] hierarquia.

    Repita esta etapa para todos os dispositivos da Série EX usando o endereço de interface de gerenciamento apropriado para esse dispositivo.

Configuração de VLANs na camada de acesso

Procedimento passo a passo

Este procedimento explica como configurar os nomes de VLAN e os IDs de tag e interfaces de tronco associadas com um dos dispositivos de camada de acesso. Este procedimento mostra uma amostra representativa da configuração. O exemplo não mostra a configuração para cada VLAN.

  1. Configure o nome e a tag ID (número) de VLAN para cada VLAN no dispositivo da Série EX.

    Este exemplo configura um VLAN com o nome vlan17 e a tag ID 17.

    Inclua a vlan-id declaração e especifique 17 como o ID da tag VLAN no nível de [edit vlans vlan17] hierarquia.

    Repita esta etapa para cada VLAN em cada dispositivo da Série EX usando os nomes de VLAN e IDs de tag apropriados.

  2. Associe as interfaces lógicas do tronco com cada VLAN no dispositivo da Série EX.

    Este exemplo associa interfaces lógicas xe-0/1/0.0 e xe-0/1/2.0 com vlan17.

    Inclua a interface declaração e especifique xe-0/1/0.0 no nível de [edit vlans vlan17] hierarquia.

    Inclua a interface declaração e especifique xe-0/1/2.0 no nível de [edit vlans vlan17] hierarquia.

    Repita esta etapa para cada VLAN em cada dispositivo da Série EX usando os nomes apropriados da interface do tronco.

Configurar um grupo de tronco redundante e desativar o protocolo de árvores de abrangência para as interfaces de tronco

Procedimento passo a passo

Esse procedimento explica como configurar um grupo de tronco redundante e desabilitar o Protocolo de Árvore de Abrangência Rápida (RSTP) nas interfaces do tronco.

  1. Configure as interfaces do tronco como um grupo de tronco redundante.

    Este exemplo configura as interfaces e xe-0/1/2.0 o xe-0/1/0.0 tronco em um grupo de tronco redundante chamado rtgroup1.

    Inclua a interface declaração no nível de [edit ethernet-switching-options redundant-trunk-group group rtgroup1] hierarquia e especifique o nome de cada interface do tronco.

    Inclua a primary declaração no nível de [edit ethernet-switching-options redundant-trunk-group group rtgroup1 xe-0/1/2.0] hierarquia.

    Repita esta etapa para cada grupo de tronco redundante usando os nomes de interface apropriados.

  2. Desabilitar RSTP nas interfaces do tronco.

    Em um dispositivo da Série EX, o RSTP é habilitado por padrão. O RSTP não pode ser habilitado na mesma interface que o roteamento.

    Este exemplo desativa o RSTP nas interfaces de xe-0/1/0.0 tronco e xe-0/1/2.0 tronco.

    Inclua a disable declaração nos níveis hierárquicos [edit protocols rstp interface xe-0/1/0.0] [edit protocols rstp interface xe-0/1/2.0] .

    Repita esta etapa para cada interface de tronco voltada para o núcleo usando o nome de interface apropriado.

Configuração da automação de gerenciamento

Procedimento passo a passo

Esse procedimento explica como configurar rotas estáticas para a rede de gerenciamento, um host conhecido para oferecer suporte a transferências de arquivos do Secure Copy Protocol (SCP), um script de confirmação e um site de arquivo de eventos.

  1. Configure rotas estáticas para que a interface de gerenciamento de Ethernet possa chegar à rede de gerenciamento.

    Inclua a route declaração e especifique 10.8.0.0/16 como o endereço de sub-rede IPv4 da rede de gerenciamento no [edit routing-options static] nível hierárquica.

    Inclua a next-hop declaração e especifique o endereço de host IPv4 do roteador de próximo salto no nível de [edit routing-options static route 10.8.0.0/16] hierarquia.

    Repita esta etapa para todas as interfaces de gerenciamento de Ethernet nos dispositivos da Série EX.

  2. Configure um host conhecido por SSH.

    Inclua a host declaração e especifique o endereço IPv4 e as opções-chave do host RSA para servidores confiáveis no nível de [edit security ssh-known-hosts] hierarquia. Neste exemplo, a chave de host RSA é truncada para facilitar a leitura.

    Repita esta etapa para todos os dispositivos da Série EX.

  3. Configure SSH de saída para dar suporte às transferências do Juniper Message Bundle (JMB) para o Juniper Support Systems (JSS).

    Neste exemplo, o ID do cliente está configurado como 00187D0B670D.

    Inclua a client declaração, especifique 00187D0B670D como o ID do cliente e especifique 10.8.7.32 como o endereço IPv4 no nível de [edit system services outbound-ssh] hierarquia.

    Inclua a port declaração e especifique 7804 como a porta TCP no nível de [edit system services outbound-ssh client 00187D0B670D 10.8.7.32] hierarquia.

    Inclua a device-id declaração e especifique FA022D como o ID do dispositivo no nível de [edit system services outbound-ssh client 00187D0B670D] hierarquia.

    Inclua a secret declaração no nível de [edit system services outbound-ssh client 00187D0B670D ] hierarquia.

    Inclua a services declaração e especifique netconf como o serviço disponível no nível de [edit system services outbound-ssh client 00187D0B670D ] hierarquia.

    Repita esta etapa para todos os dispositivos da Série EX.

  4. Configure um script de confirmação.

    Neste exemplo, o nome do arquivo de script é jais-activate-scripts.slax.

    Inclua a allow-transients declaração no nível de [edit system scripts commit] hierarquia.

    Inclua a optional declaração no nível de [edit system scripts commit file jais-activate-scripts.slax] hierarquia.

    Repita esta etapa para todos os dispositivos da Série EX.

  5. Configure um site de arquivo de eventos.

    Neste exemplo, o URL de arquivo é o diretório local /var/tmp/ , e o nome dado ao destino é juniper-aim.

    Inclua a archive-sites declaração e especifique a URL de arquivo no nível de [edit event-options destinations juniper-aim] hierarquia.

    Repita esta etapa para todos os dispositivos da Série EX.

Configurando a camada de agregação nos sistemas lógicos confiáveis

Configure a camada de agregação fazendo o seguinte:

Configuração de interfaces nos sistemas lógicos confiáveis

Procedimento passo a passo

Esse procedimento explica como configurar as interfaces físicas, lógicas e de roteamento de Camada 3 para o sistema lógico na zona de segurança confiável da camada de agregação. Este procedimento mostra uma amostra representativa da configuração. O exemplo não mostra a configuração para cada interface.

  1. Habilite a marcação VLAN flexível nas interfaces físicas.

    Este exemplo configura a interface xe-1/0/0física.

    Inclua a encapsulation declaração e especifique a opção flexible-ethernet-services no nível de [edit interfaces xe-1/0/0] hierarquia.

    Inclua a flexible-vlan-tagging declaração no nível de [edit interfaces xe-1/0/0] hierarquia.

    Repita esta etapa para cada interface física conectada às séries EX, Série SRX e dispositivos da Série MX usando o nome de interface apropriado.

  2. Configure as interfaces Ethernet de 10 Gigabit conectadas ao dispositivo de camada de acesso da Série EX.

    Este exemplo configura uma interface 17lógica na xe-1/0/0 interface sob o sistema lógico chamado Trust1.

    Inclua a encapsulation declaração e especifique a opção vlan-bridge no nível de [edit logical-systems Trust1 interfaces xe-1/0/0 unit 17] hierarquia.

    Inclua a vlan-id declaração e especifique 17 como o ID VLAN no nível de [edit logical-systems Trust1 interfaces xe-1/0/0 unit 17] hierarquia.

    Repita esta etapa para cada interface conectada aos dispositivos da camada de acesso usando o nome de interface apropriado, número de interface lógica, ID VLAN e nome do sistema lógico.

  3. Configure as interfaces Ethernet de 10 Gigabit conectadas ao outro dispositivo da Série MX mostrado na Figura 1.

    Este exemplo configura uma interface 17 lógica na xe-0/1/0 interface.

    Inclua a encapsulation declaração e especifique a opção vlan-bridge no nível de [edit logical-systems Trust1 interfaces xe-0/1/0 unit 17] hierarquia.

    Inclua a vlan-id declaração e especifique 17 como o ID da tag VLAN no nível de [edit logical-systems Trust1 interfaces xe-0/1/0 unit 17] hierarquia.

    Repita esta etapa para cada interface conectada ao outro dispositivo da Série MX mostrado na Figura 1 usando o nome de interface apropriado, número de interface lógica, ID VLAN e nome do sistema lógico.

  4. Configure a interface Ethernet de 10 Gigabits conectada ao dispositivo da Série SRX.

    Este exemplo configura uma interface 15 lógica na xe-1/1/0 interface. Inclua a encapsulation declaração e especifique a opção vlan-bridge no nível de [edit logical-systems Trust1 interfaces xe-1/1/0 unit 15] hierarquia.

    Inclua a vlan-id declaração e especifique 15 como o ID da tag VLAN no nível de [edit logical-systems Trust1 interfaces xe-1/1/0 unit 15] hierarquia.

    Repita esta etapa para cada interface conectada ao dispositivo da Série SRX usando o nome de interface apropriado, número de interface lógica, ID VLAN e nome do sistema lógico.

  5. Configure o endereço de interface de roteamento e ponte integrado de Camada 3 (IRB).

    Este exemplo configura a unit 17 interface lógica com 10.17.2.2/24 o endereço IPv4 sob o sistema lógico chamado Trust1. Inclua a address declaração e especifique 10.17.2.2/24 como o endereço IPv4 no nível de [edit logical-systems Trust1 interfaces irb unit 17 family inet] hierarquia.

    [edit logical-systems Trust1 interfaces irb unit 17 family inet]
user@mx# set address 10.17.2.2/24

    Repita esta etapa para cada IBR de Camada 3 usando o nome de interface lógica apropriado e o endereço IPv4.

  6. Configure a interface IRB para participar do Protocolo de Redundância de Roteador Virtual (VRRP).

    Este exemplo configura a unit 17 interface lógica com 17 o nome do grupo VRRP.

    Inclua a virtual-address declaração e especifique 10.17.2.1 como o endereço IPv4 do roteador virtual no nível de [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] hierarquia.

    Inclua a accept-data declaração no nível de [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] hierarquia para que a interface aceite pacotes destinados ao endereço IP virtual.

    Inclua a priority declaração e especifique 200 como prioridade do roteador no nível de [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] hierarquia.

    Inclua a fast-interval declaração e especifique 200 como o intervalo entre anúncios VRRP no nível de [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] hierarquia.

    Inclua a preempt declaração no nível de [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] hierarquia.

    Repita esta etapa para cada interface IBR de Camada 3 usando o nome de interface lógica apropriado, endereço IPv4, nome do grupo VRRP e prioridade.

Configuração de VLANs na camada de agregação

Procedimento passo a passo

Esse procedimento explica como configurar os nomes de VLAN e os IDs de tag e interfaces de tronco associadas e interfaces de roteamento de Camada 3 com cada VLAN. Este procedimento mostra uma amostra representativa da configuração. O exemplo não mostra a configuração para cada VLAN.

  1. Configure o nome e a tag ID (número) de VLAN para cada VLAN no dispositivo da Série MX.

    Este exemplo configura um VLAN com o nome vlan17 e o ID 17 de tag no Logical System Trust1. Inclua a vlan-id declaração e especifique 17 como o ID VLAN no nível de [edit logical-systems Trust1 bridge-domains vlan17] hierarquia.

    Repita esta etapa para cada VLAN em cada dispositivo da Série MX usando os nomes de VLAN e IDs de tag apropriados.

  2. Associe as interfaces lógicas do tronco com cada VLAN no dispositivo da Série MX.

    Este exemplo associa uma interface xe-1/0/0.17 lógica conectada ao dispositivo da Série EX e à interface xe-0/1/0.17 lógica que está conectada ao outro dispositivo da Série MX com vlan17.

    Inclua a interface declaração e especifique xe-1/0/0.17 no nível de [edit logical-systems Trust1 bridge-domains vlan17] hierarquia.

    Inclua a interface declaração e especifique xe-0/1/0.17 no nível de [edit logical-systems Trust1 bridge-domains vlan17] hierarquia.

    Repita esta etapa para cada VLAN voltado para servidor em cada dispositivo da Série MX usando os nomes apropriados da interface do tronco.

  3. Associe uma interface de Camada 3 com cada VLAN no dispositivo da Série MX.

    Este exemplo associa a interface com irb.17 vlan17.

    Inclua a routing-interface declaração e especifique irb.17 no nível de [edit logical-systems Trust1 bridge-domains vlan17] hierarquia.

    Repita esta etapa para cada VLAN voltado para servidor em cada dispositivo da Série MX usando o nome apropriado da interface de Camada 3.

  4. Associe as interfaces lógicas com cada VLAN de interconexão no dispositivo da Série MX.

    Este exemplo associa uma interface xe-1/1/0.15 lógica conectada ao dispositivo da Série SRX e à interface xe-0/1/0.15 lógica que está conectada ao outro dispositivo da Série MX com vlan15.

    Inclua a interface declaração e especifique xe-1/1/0.15 no nível de [edit logical-systems Trust1 bridge-domains vlan15] hierarquia.

    Inclua a interface declaração e especifique xe-0/1/0.15 no nível de [edit logical-systems Trust1 bridge-domains vlan15] hierarquia.

    Repita esta etapa para cada VLAN interconectado em cada dispositivo da Série MX usando os nomes apropriados da interface de interconexão.

  5. Associe uma interface de Camada 3 a cada VLAN de interconexão no dispositivo da Série MX para oferecer suporte à participação ativa no protocolo OSPF.

    Este exemplo associa a interface com irb.15 vlan15.

    Inclua a routing-interface declaração e especifique irb.15 no nível de [edit logical-systems Trust1 bridge-domains vlan15] hierarquia.

    Repita esta etapa para cada VLAN voltado para servidor em cada dispositivo da Série MX usando o nome apropriado da interface de Camada 3.

Configuração da instância de roteamento do roteador virtual

Procedimento passo a passo

Esse procedimento explica como configurar uma única instância de roteamento de roteador virtual. Este procedimento mostra uma amostra representativa da configuração do exemplo. O exemplo não mostra a configuração para cada dispositivo.

  1. Configure o tipo de instância de roteamento.

    Este exemplo configura a instância de roteamento com o nome MX-VR2. Inclua a instance-type declaração e especifique virtual-router como o tipo no nível de [edit logical-systems Trust1 routing-instances MX-VR2] hierarquia.

    Repita esta etapa para cada roteador virtual em cada dispositivo da Série MX usando o nome do roteador virtual apropriado.

  2. Adicione as interfaces IRB usadas pela instância de roteamento de roteador virtual.

    Inclua a interface declaração e especifique o nome de cada interface IRB no nível de [edit routing-instances MX-VR2] hierarquia.

    Repita esta etapa para cada roteador virtual em cada dispositivo da Série MX usando os nomes de interface apropriados.

  3. Configure a interface ativa do protocolo IGP usada pela instância de roteamento do roteador virtual para que as tabelas de roteamento possam ser povoadas com as rotas para os servidores.

    Este exemplo configura uma interface IRB para participar ativamente da área 0.0.0.0de protocolo OSPF.

    Inclua a interface declaração e especifique o nome da interface IRB no nível de [edit logical-systems Trust1 routing-instances MX-VR2 protocols ospf area 0.0.0.0] hierarquia.

    Repita esta etapa para cada roteador virtual em cada dispositivo da Série MX usando o nome do roteador virtual apropriado.

  4. Configure as interfaces passivas do protocolo de gateway interior associadas a cada VLAN na instância de roteamento do roteador virtual.

    Este exemplo configura as interfaces IRB para participar passivamente na área 0.0.0.0de protocolo OSPF.

    Inclua a passive declaração no nível de [edit logical-systems Trust1 routing-instances MX-VR2 protocols ospf area 0.0.0.0 interface irb-name] hierarquia.

    Repita esta etapa para cada roteador virtual em cada dispositivo da Série MX usando o nome do roteador virtual apropriado.

  5. Configure o identificador lógico do roteador do sistema.

    Inclua a router-id declaração e especifique 10.200.11.101 como o identificador do roteador no nível de [edit logical-systems Trust1 routing-instances MX-VR2 routing-options] hierarquia.

    Repita esta etapa para cada roteador virtual em cada dispositivo da Série MX usando o identificador de roteador apropriado.

Configuração de interfaces de gerenciamento

Procedimento passo a passo

Esse procedimento explica como configurar rotas estáticas para a rede de gerenciamento e a família de endereços IPv4 para a interface lógica de loopback. Este procedimento mostra uma amostra representativa da configuração. O exemplo não mostra a configuração para cada interface.

  1. Configure rotas estáticas para que a interface de gerenciamento de Ethernet possa chegar à rede de gerenciamento.

    Inclua a route declaração e especifique 10.0.0.0/8 como o endereço de sub-rede IPv4 da rede de gerenciamento no [edit routing-options static] nível hierárquica.

    Inclua a next-hop declaração e especifique o endereço de host IPv4 do roteador de próximo salto no nível de [edit routing-options static route 10.0.0.0/8] hierarquia.

    Inclua o e no-readvertise as retain declarações no nível hierárquica[edit routing-options static route 10.0.0.0/8].

    Repita esta etapa para todos os dispositivos da Série MX.

  2. Configure a interface Ethernet de gerenciamento de dispositivos da Série MX. Este exemplo configura a unit 0 interface lógica.

    Inclua a family declaração e especifique a opção inet no nível de [edit fxp0 unit 0] hierarquia.

    Inclua a address declaração e especifique 10.8.3.212/24 como o endereço IPv4 no nível de [edit interfaces fxp0 unit 0] hierarquia.

    Repita esta etapa para todos os dispositivos da Série MX usando o endereço de interface de gerenciamento apropriado para esse dispositivo.

  3. Configure a interface lógica de loopback.

    Inclua a family declaração e especifique a opção inet no nível de [edit interfaces lo0 unit 0] hierarquia.

    Repita esta etapa para todos os dispositivos da Série MX.

Configuração de contas de administrador de sistema lógico

Procedimento passo a passo

Esse procedimento explica como configurar as aulas de conta do administrador que estão restritas ao contexto do sistema lógico ao qual são atribuídas e contas de administrador para cada sistema lógico.

  1. Crie aulas de conta de administrador.

    Neste exemplo, a classe de trust1-admin usuários é criada com all permissões para o Trust1 sistema lógico.

    Inclua a class declaração e especifique trust1-admin como o nome de classe no nível de [edit system login] hierarquia.

    Inclua a logical-system declaração e especifique Trust1 como o nome do sistema lógico no nível de [edit system login class trust1-admin] hierarquia.

    Inclua a permissions declaração e especifique a opção all no nível de [edit system login class trust1-admin] hierarquia.

    Repita esta etapa para as aulas de administração trust2 e não confiáveis em cada dispositivo da Série MX usando o nome do sistema lógico apropriado.

  2. Crie contas de administrador que correspondam a cada sistema lógico do dispositivo da Série MX.

    Neste exemplo, a conta do trust1 usuário é criada e atribuída à trust1-admin classe.

    Inclua a class declaração e especifique trust1-admin como a classe de usuário no nível de [edit system login user trust1] hierarquia.

    Inclua a encrypted-password declaração e insira a cadeia de senha criptografada no nível de [edit system login user trust1 authentication] hierarquia.

    Repita esta etapa para as contas de usuário confiáveis2 e não confiáveis em cada dispositivo da Série MX.

Configuração da automação de gerenciamento

Procedimento passo a passo

Esse procedimento explica como configurar um host conhecido para oferecer suporte a transferências de arquivos SCP de fundo, um script de confirmação e um site de arquivo.

  1. Configure um script de confirmação.

    Neste exemplo, o nome do arquivo de script é jais-activate-scripts.slax.

    Inclua a allow-transients declaração no nível de [edit system scripts commit] hierarquia.

    Inclua a optional declaração no nível de [edit system scripts commit file jais-activate-scripts.slax] hierarquia.

  2. Configure um site de arquivo de eventos.

    Neste exemplo, a URL de arquivo é o diretório local /var/tmp/ , e o nome dado ao destino é juniper-aim.

    Inclua a archive-sites declaração e especifique a URL de arquivo no nível de [edit event-options destinations juniper-aim] hierarquia.

Configuração da camada de núcleo nos sistemas lógicos não confiáveis

Configure a camada principal fazendo o seguinte:

Configuração de interfaces nos sistemas lógicos não confiáveis

Procedimento passo a passo

Esse procedimento explica como configurar as interfaces físicas, lógicas e de roteamento de Camada 3 para o sistema lógico na zona de segurança não confiável da camada central. Este procedimento mostra uma amostra representativa da configuração. O exemplo não mostra a configuração para cada interface.

  1. Configure as interfaces Ethernet redundantes de 10 Gigabit conectadas ao outro dispositivo da Série MX mostrado na Figura 1.

    Este exemplo configura uma interface 19 lógica na xe-0/3/0 interface sob o sistema lógico indicado Untrust para participar do VLAN 19. Inclua a encapsulation declaração e especifique a opção vlan-bridge no nível de [edit logical-systems Untrust interfaces xe-0/3/0 unit 19] hierarquia.

    Inclua a vlan-id declaração e especifique 19 como o ID da tag VLAN no nível de [edit logical-systems Untrust interfaces xe-0/3/0 unit 19] hierarquia.

    Repita esta etapa para cada interface Ethernet redundante conectada ao outro dispositivo da Série MX usando o nome de interface apropriado, número de interface lógica, ID VLAN e nome do sistema lógico.

  2. Configure as interfaces Ethernet de 10 Gigabit conectadas ao dispositivo da Série SRX.

    Este exemplo configura uma interface 19 lógica na xe-2/2/0 interface sob o sistema lógico indicado Untrust para participar do VLAN 19.

    Inclua a encapsulation declaração e especifique a opção vlan-bridge no nível de [edit logical-systems Untrust interfaces xe-2/2/0 unit 19] hierarquia.

    Inclua a vlan-id declaração e especifique 19 como o ID da tag VLAN no nível de [edit logical-systems Untrust interfaces xe-2/2/0 unit 19] hierarquia.

    Repita esta etapa para cada interface Ethernet redundante conectada ao dispositivo da Série SRX usando o nome de interface apropriado, número de interface lógica, ID VLAN e nome do sistema lógico.

  3. Configure as interfaces Ethernet de 10 Gigabit conectadas à rede de núcleo baseada em IP/MPLS.

    Este exemplo configura uma interface 0 lógica na xe-1/3/0 interface sob o sistema lógico chamado Untrust.

    Inclua a address declaração e especifique 10.200.4.1/30 como o endereço IPv4 no nível de [edit logical-systems Untrust interfaces xe-1/3/0 unit 0 family inet] hierarquia.

    Inclua a family declaração e especifique a opção mpls no nível de [edit logical-systems Untrust interfaces xe-1/3/0 unit 0] hierarquia.

    Repita esta etapa para cada interface Ethernet de 10 Gigabits conectada à rede do provedor de serviços usando o nome de interface apropriado, número de interface lógica, endereço IPv4 e nome do sistema lógico.

  4. Configure o endereço da interface IRB de Camada 3.

    Este exemplo configura a unit 19 interface lógica que participa do VLAN 19 com 10.19.2.1/24 o endereço IPv4 sob o sistema lógico chamado Untrust.

    Inclua a address declaração e especifique 10.19.2.1/24 como o endereço IPv4 no nível de [edit logical-systems Untrust interfaces irb unit 19 family inet] hierarquia.

    Repita esta etapa para cada interface IRB de Camada 3 usando o nome de interface lógica apropriado e o endereço IPv4.

  5. Configure um endereço IP para a interface lógica de loopback do Logical System Untrust.

    Inclua a address declaração e especifique 10.200.11.1/32 como o endereço IPv4 no nível de [edit logical-systems Untrust interfaces lo0 unit 1 family inet] hierarquia.

    Repita esta etapa para todos os dispositivos da Série MX usando o endereço IPv4 apropriado.

Configuração de VLANs na camada de núcleo

Procedimento passo a passo

Este procedimento explica como configurar os nomes de VLAN e etiquetar IDs e interfaces associadas e interfaces de roteamento de Camada 3 com cada VLAN de interconexão central. Este procedimento mostra uma amostra representativa da configuração. O exemplo não mostra a configuração para cada VLAN.

  1. Configure o nome e a tag ID (número) de VLAN para cada VLAN de interconexão de núcleo no dispositivo da Série MX.

    Este exemplo configura um VLAN com o nome vlan14 e o ID 14 de tag no Logical System Untrust.

    Inclua a vlan-id declaração e especifique 14 como o ID VLAN no nível de [edit logical-systems Untrust bridge-domains vlan14] hierarquia.

    Repita esta etapa para cada VLAN em cada dispositivo da Série MX usando os nomes de VLAN e IDs de tag apropriados.

  2. Associe as interfaces lógicas com cada VLAN no dispositivo da Série MX.

    Este exemplo associa uma interface xe-0/3/0.14 lógica conectada ao outro dispositivo da Série MX e xe-2/2/0.14 que está conectada ao dispositivo da Série SRX com vlan14.

    Inclua a interface declaração e especifique xe-0/3/0.14 no nível de [edit logical-systems Untrust bridge-domains vlan14] hierarquia.

    Inclua a interface declaração e especifique xe-2/2/0.14 no nível de [edit logical-systems Untrust bridge-domains vlan14] hierarquia.

    Repita esta etapa para cada VLAN de interconexão principal em cada dispositivo da Série MX usando os nomes apropriados da interface.

  3. Associe uma interface de Camada 3 com cada VLAN no dispositivo da Série MX.

    Este exemplo associa a interface com irb.14 vlan14.

    Inclua a routing-interface declaração e especifique irb.14 no nível de [edit logical-systems Untrust bridge-domains vlan14] hierarquia.

    Repita esta etapa para cada VLAN de interconexão principal em cada dispositivo da Série MX usando o nome apropriado da interface de Camada 3.

Configuração de protocolos no sistema lógico não confiável

Procedimento passo a passo

Esse procedimento explica como configurar os protocolos BGP, MPLS, RSVP e OSPF para o Logical System Untrust. Este procedimento mostra uma amostra representativa da configuração. O exemplo não mostra a configuração para cada dispositivo.

  1. Adicione interfaces ao protocolo OSPF no dispositivo da Série MX.

    Este exemplo adiciona interfaces lógicas xe-1/3/0.0 e lo0.1 ao protocolo OSPF usado na rede principal.

    Inclua a interface declaração e especifique as xe-1/3/0.0 interfaces e lo0.1 o nível de [edit logical-systems Untrust protocols ospf area 0.0.0.0] hierarquia.

    Repita esta etapa para cada interface Ethernet de 10 Gigabits conectada aos dispositivos de camada central usando o nome de interface apropriado.

  2. Configure o túnel de encapsulamento de roteador genérico (GRE).

    Este exemplo permite um túnel GRE dinâmico chamado GRE1.

    Inclua a gre declaração para especificar o tipo de túnel no nível da [edit logical-systems Untrust routing-options dynamic-tunnel GRE1] hierarquia.

    Inclua a source-address declaração e especifique 10.200.11.1 como o endereço fonte IPv4 no nível de [edit logical-systems Untrust routing-options dynamic-tunnel GRE1] hierarquia.

    Inclua a destination-networks declaração e especifique 0.0.0.0/0 como o prefixo de destino no nível de [edit logical-systems Untrust routing-options dynamic-tunnel GRE1] hierarquia.

    Repita esta etapa para cada dispositivo da Série MX usando o endereço de origem apropriado.

  3. Configure o número do sistema autônomo local do Sistema Lógico e o identificador do roteador.

    Inclua a autonomous-system declaração e especifique 64500 como o número do sistema autônomo no nível de [edit logical-systems Untrust routing-options] hierarquia.

    Inclua a router-id declaração e especifique 10.200.11.101 como o identificador do roteador no nível de [edit logical-systems Untrust routing-options] hierarquia.

    Repita esta etapa para cada dispositivo da Série MX usando o identificador de roteador apropriado e o sistema autônomo número 64500.

  4. Configure o grupo de peer BGP interno.

    Inclua a type declaração e especifique a opção internal no nível de [edit logical-systems Untrust protocols bgp group int] hierarquia.

    Inclua a local-address declaração e especifique o ID do roteador (10.200.11.1) do Logical System Untrust como o endereço local no nível de [edit logical-systems Untrust protocols bgp group int] hierarquia.

    Inclua a unicast declaração nos níveis hierárquicos [edit logical-systems Untrust protocols bgp group int family inet] [edit logical-systems Untrust protocols bgp group int family inet-vpn] .

    Inclua a local-as declaração e especifique 64500 como o número do sistema autônomo local no nível de [edit logical-systems Untrust protocols bgp group int] hierarquia.

    Inclua a peer-as declaração e especifique 64500 como o número do sistema autônomo de peer no nível de [edit logical-systems Untrust protocols bgp group int] hierarquia.

    Inclua a neighbor declaração e especifique os endereços IPv4 vizinhos no nível de [edit logical-systems Untrust protocols bgp group int] hierarquia.

    Os endereços vizinhos são os endereços ID do roteador do outro dispositivo da Série MX no data center local, dispositivos da Série MX em um data center remoto e roteadores localizados na rede principal baseada em IP/MPLS.

    Repita esta etapa para todos os dispositivos da Série MX.

  5. Adicione interfaces ao protocolo MPLS usado na rede principal do provedor de serviços.

    Este exemplo adiciona as xe-1/3/0.0 interfaces conectadas xe-2/3/0.0 à rede principal do provedor de serviços.

    Inclua a interface declaração e especifique as xe-1/3/0.0 interfaces e xe-2/3/0.0 o nível de [edit logical-systems Untrust protocols mpls] hierarquia.

    Repita esta etapa para todos os dispositivos da Série MX.

  6. Crie um MPLS LSP para o roteador localizado na rede de núcleo baseada em MPLS.

    Este exemplo cria um LSP chamado to-core-router.

    Inclua a to declaração e especifique 10.200.11.3 como o endereço IPv4 do roteador principal no nível de [edit logical-systems Untrust protocols mpls label-switched-path to-core-router] hierarquia.

    Inclua a no-cspf declaração no nível de [edit logical-systems Untrust protocols mpls] hierarquia.

    Repita esta etapa para todos os dispositivos da Série MX.

  7. Adicione interfaces ao protocolo RSVP usado na rede de núcleo baseada em MPLS.

    Inclua a interface declaração e especifique as xe-1/3/0.0 interfaces e xe-2/3/0.0 o nível de [edit logical-systems Untrust protocols rsvp] hierarquia.

    Repita esta etapa para todos os dispositivos da Série MX.

Configuração do dispositivo de segurança

Os procedimentos a seguir explicam como configurar as interfaces Ethernet redundantes, cluster de nós, zonas de segurança, políticas de segurança e políticas de roteamento para a zona de segurança confiável da camada de acesso.

Configuração do grupo de agregação de enlaces de interface Ethernet redundante

Procedimento passo a passo

Esse procedimento explica como configurar o grupo de agregação de enlaces de interface Ethernet redundante. Este procedimento mostra uma amostra representativa da configuração. O exemplo não mostra a configuração para cada interface.

  1. Configure o número de interfaces Ethernet agregadas com suporte no nó.

    Este exemplo permite o suporte para duas interfaces.

    Inclua a device-count declaração e especifique 2 como o número de interfaces suportadas no nível de [edit chassis aggregated-devices ethernet] hierarquia.

    Repita esta etapa para todos os dispositivos da Série SRX usando a contagem de dispositivos apropriada.

  2. Atribua interfaces infantis Ethernet de 10 Gigabit à interface de pai Ethernet (reth) redundante.

    Este exemplo atribui a xe-1/0/0 interface infantil Ethernet de 10 Gigabit à reth1 interface dos pais no Node0.

    Inclua a redundant-parent declaração e especifique reth1 como a interface dos pais no nível hierárquico [edit interfaces xe-1/0/0 gigether-options] .

    Repita esta etapa para cada interface Ethernet redundante usando o nome de interface apropriado e o nome dos pais redundantes.

  3. Configure as opções redundantes de interface-mãe Ethernet.

    Este exemplo configura a reth1 interface dos pais redundante.

    Inclua a redundancy-group declaração e especifique 1 como o número do grupo no nível de [edit interfaces reth1 redundant-ether-options] hierarquia.

    Inclua a vlan-tagging declaração no nível de [edit interfaces reth1] hierarquia.

    Repita esta etapa para cada interface dos pais redundante usando o nome dos pais redundantes apropriado e o número do grupo de redundância.

  4. Configure as interfaces lógicas parentais Ethernet redundantes.

    Este exemplo configura a unit 15 interface lógica.

    Inclua a address declaração e especifique 10.15.2.2/24 como o endereço IPv4 no nível de [edit interfaces reth1 unit 15 family inet] hierarquia.

    Inclua a vlan-id declaração e especifique 15 como o identificador de VLAN no nível de [edit interfaces reth1 unit 15] hierarquia.

    Repita esta etapa para cada interface dos pais redundante usando o nome de pai redundante apropriado, endereço IPv4 e identificador VLAN.

Configuração do cluster da Série SRX

Procedimento passo a passo

Este procedimento explica como configurar conexões de malha entre os nós no cluster. Este procedimento mostra uma amostra representativa da configuração. O exemplo não mostra a configuração para cada interface.

  1. Configure a interface Ethernet de 10 Gigabits para servir como a malha entre os nós de cluster.

    Este exemplo configura-se xe-1/0/1 como a interface de malha infantil e fab0 como a interface de malha dos pais. A conexão é do SRX0 ao SRX1.

    Inclua a member-interfaces declaração e especifique a xe-1/0/1 interface no nível da [edit interfaces fab0 fabric-options] hierarquia.

    Repita esta etapa para cada interface Ethernet de 10 Gigabits que faz parte da malha de cluster usando o nome da interface infantil e o nome da interface dos pais.

  2. Configure o número de interfaces Ethernet redundantes que o cluster oferece suporte.

    Este exemplo configura-se 4 como o número de interfaces.

    Inclua a reth-count declaração e especifique 4 como o número de interfaces no nível de [edit chassis cluster] hierarquia.

    Repita esta etapa para todos os dispositivos da Série SRX no cluster.

  3. Configure a prioridade do nó para o grupo de redundância para determinar qual nó é primário e qual é secundário.

    Este exemplo configura-se node 0 com uma prioridade maior.

    Inclua a priority declaração e especifique 200 no nível de [edit chassis cluster redundancy-group 1 node 0] hierarquia.

    Inclua a priority declaração e especifique 100 no nível de [edit chassis cluster redundancy-group 1 node 1] hierarquia.

    Repita esta etapa para cada grupo de redundância em todos os dispositivos da Série SRX no cluster.

  4. Permita que um nó com maior prioridade inicie um failover para se tornar o nó principal para o grupo de redundância.

    Inclua a preempt declaração no nível de [edit chassis cluster redundancy-group 1] hierarquia.

    Repita esta etapa para cada grupo de redundância em todos os dispositivos da Série SRX no cluster.

  5. Habilite a recuperação do link de controle a ser feita automaticamente.

    Inclua a control-link-recovery declaração no nível de [edit chassis cluster] hierarquia.

    Repita esta etapa para cada grupo de redundância em todos os dispositivos da Série SRX no cluster.

  6. Habilite o monitoramento de interface para monitorar a integridade das interfaces e acionar o failover do grupo de redundância.

    Este exemplo configura a xe-1/0/0 interface com um peso de 255.

    Inclua a weight declaração no nível de [edit chassis cluster redundancy-group 1 interface-monitor xe-1/0/0] hierarquia.

    Repita esta etapa para cada interface de grupo de redundância em todos os dispositivos da Série SRX no cluster.

Criação de zonas de segurança e configuração da ação da política de tráfego vinculado

Procedimento passo a passo

Esse procedimento explica como configurar as zonas de segurança confiáveis e não confiáveis no dispositivo da Série SRX. Este procedimento mostra uma amostra representativa da configuração. O exemplo não mostra a configuração para cada zona.

  1. Atribua uma interface lógica Ethernet redundante a zonas confiáveis.

    Este exemplo atribui a reth1.15 interface à Trust2 zona.

    Inclua a interfaces declaração e especifique reth1.15 como a interface na zona no nível de [edit security zones security-zone Trust2] hierarquia.

    Repita esta etapa para cada zona de segurança confiável usando o nome da zona apropriada e o nome de interface lógica Ethernet redundante.

  2. Atribua uma interface lógica Ethernet redundante às zonas não confiáveis.

    Este exemplo atribui a reth2.19 interface à Untrust2 zona.

    Inclua a interfaces declaração e especifique reth2.19 como a interface na zona no nível de [edit security zones security-zone Untrust2] hierarquia.

    Repita esta etapa para cada zona de segurança não confiável usando o nome da zona apropriada e o nome de interface lógica Ethernet redundante.

  3. Habilite todo o tráfego de serviços de sistema de entrada na zona de segurança confiável.

    Este exemplo permite que todos os serviços da Trust2 zona.

    Inclua a system-services declaração e especifique a opção all no nível de [edit security zones security-zone Trust2 host-inbound-traffic] hierarquia.

    Repita esta etapa para todas as zonas de segurança do dispositivo da Série SRX, onde os serviços do sistema são permitidos.

  4. Habilite todos os protocolos para tráfego de entrada na zona de segurança confiável.

    Este exemplo permite todos os protocolos para a Trust2 zona.

    Inclua a protocols declaração e especifique a opção all no nível de [edit security zones security-zone Trust2 host-inbound-traffic] hierarquia.

    Repita esta etapa para todas as zonas de segurança do dispositivo da Série SRX, onde todos os protocolos são permitidos para tráfego de entrada.

Configuração das políticas da zona de segurança

Procedimento passo a passo

Esse procedimento explica como configurar as políticas de zona de segurança no dispositivo da Série SRX. Este procedimento mostra uma amostra representativa da configuração. O exemplo não mostra a configuração para cada política.

  1. Defina de qual zona o tráfego está vindo e de qual zona o tráfego vai para a política que está sendo criada.

    Este exemplo define a zona como Trust2 e a zona como Untrust2.

    Em uma única linha de comando, inclua a from-zone declaração e especifiqueTrust2, inclua a to-zone declaração e especifique Untrust2denyftp policy como nome da política e inclua a match declaração no nível da [edit security policies] hierarquia.

    Repita esta etapa para cada política que controle o tráfego entre zonas.

  2. Configure os critérios de correspondência de políticas para negar tráfego.

    Este exemplo corresponde ao aplicativo Junos OS FTP de qualquer fonte a qualquer endereço de destino em uma política nomeada denyftp.

    Inclua a source-address declaração e especifique any como o endereço IPv4 no nível de [edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match] hierarquia.

    Inclua a destination-address declaração e especifique any como o endereço IPv4 no nível de [edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match] hierarquia.

    Inclua a application declaração e especifique junos-ftp como o aplicativo no nível de [edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match] hierarquia.

    Repita esta etapa para cada política de correspondência de protocolo usando o protocolo correto.

  3. Bloqueie aplicativos específicos desde a passagem da zona Trust2 até a zona Inverídica2.

    Este exemplo nega o aplicativo Junos OS FTP da Trust2 zona para a Untrust2 zona.

    Inclua a deny declaração no nível de [edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp then] hierarquia.

    Repita este passo para cada política de negação.

  4. Configure os critérios de correspondência de políticas para permitir o tráfego.

    Este exemplo corresponde a qualquer aplicativo de qualquer origem a qualquer endereço de destino em uma política nomeada allow_all.

    Inclua a source-address declaração e especifique any como o endereço IPv4 no nível de [edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match] hierarquia.

    Inclua a destination-address declaração e especifique any como o endereço IPv4 no nível de [edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match] hierarquia.

    Inclua a application declaração e especifique any como o aplicativo no nível de [edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match] hierarquia.

    Repita esta etapa para cada política de correspondência de aplicativos.

  5. Permitir que qualquer tráfego de aplicativos passe da zona Trust2 para a zona Inverídica2.

    Este exemplo permite qualquer tráfego de aplicativos da Trust2 zona até a Untrust2 zona.

    Inclua a permit declaração no nível de [edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all then] hierarquia.

    Repita esta etapa para cada política de permissão.

Criação das políticas de roteamento

Procedimento passo a passo

Esse procedimento explica como criar as políticas de roteamento no dispositivo da Série SRX que podem ser aplicadas às instâncias de roteamento apropriadas. Este procedimento mostra uma amostra representativa da configuração. O exemplo não mostra a configuração para cada política.

  1. Crie uma política para definir a preferência local por rotas BGP para 120.

    Este exemplo cria uma política nomeada local-pref-120 que define o valor de preferência local bgp para rotas recebidas anunciadas pelo BGP para 120.

    Inclua a protocol declaração e especifique bgp como o valor no nível de [edit policy-options policy-statement local-pref-120 term term1 from] hierarquia.

    Inclua a local-preference declaração e especifique 120 como o valor no nível de [edit policy-options policy-statement local-pref-120 term term1 then] hierarquia.

    Repita esta etapa para cada dispositivo da Série SRX.

  2. Configure os critérios de correspondência para uma política nomeada default-ospf para aceitar todas as rotas agregadas (geradas).

    Inclua a protocol declaração e especifique aggregate como o protocolo para combinar no nível de [edit policy-options policy-statement default-ospf term term1 from] hierarquia.

    Inclua a route-filter declaração e especifique 0.0.0.0/0 exact como critérios de correspondência no nível de [edit policy-options policy-statement default-ospf term term1 from] hierarquia.

    Repita esta etapa para cada dispositivo da Série SRX.

  3. Configure a ação para uma política para definir a métrica e 0definir o tipo de rota externa para 1.

    Este exemplo configura uma política nomeada default-ospf para definir a métrica para 0, definir a rota externa para digitar 1e aceitar rotas agregadas na tabela de roteamento.

    Inclua a metric declaração e especifique 0 como o tipo externo no nível de [edit policy-options policy-statement default-ospf term term1 then] hierarquia.

    Inclua a type declaração e especifique 1 como o tipo de rota externa no nível de [edit policy-options policy-statement default-ospf term term1 then external] hierarquia.

    Inclua a accept declaração no nível de [edit policy-options policy-statement default-ospf term term1 then] hierarquia.

    Repita esta etapa para cada dispositivo da Série SRX.

  4. Crie uma política que aceita rotas OSPF com prefixos especificados.

    Este exemplo cria uma política nomeada trust2-ebgp-out que aceita rotas OSPF com os prefixos de rota que correspondem às sub-redes para cada VLAN de confiança.

    Inclua a protocol declaração e especifique ospf como o protocolo no nível de [edit policy-options policy-statement trust2-ebgp-out term term1 from] hierarquia.

    Inclua a route-filter declaração e especifique os endereços de sub-rede VLAN e a palavra-chave da exact correspondência no nível de [edit policy-options policy-statement trust2-ebgp-out term term1 from] hierarquia.

    Inclua a accept declaração no nível de [edit policy-options policy-statement trust2-ebgp-out term term1 then] hierarquia.

    Repita esta etapa para cada dispositivo da Série SRX.

  5. Crie uma política que aceita rotas BGP se o tipo de rota for externo.

    Este exemplo cria uma política nomeada check-bgp-routes que só aceita rotas BGP se o tipo de rota for externo.

    Inclua a protocol declaração e especifique bgp como o protocolo no nível de [edit policy-options policy-statement check-bgp-routes term term1 from] hierarquia.

    Inclua a route-type declaração e especifique a opção external no nível de [edit policy-options policy-statement check-bgp-routes term term1 from] hierarquia.

    Inclua a accept declaração no nível de [edit policy-options policy-statement check-bgp-routes term term1 then] hierarquia.

    Repita esta etapa para cada dispositivo da Série SRX.

  6. Crie uma política que aceita rotas de outras instâncias de roteamento de roteador virtual.

    Este exemplo cria uma política nomeada from_srx_vr1 que aceita rotas de instâncias SRX-VR1de roteamento.

    Inclua a instance declaração e especifique SRX-VR1 como o nome da instância de roteamento no nível de [edit policy-options policy-statement from_srx_vr1 term term1 from] hierarquia.

    Inclua a accept declaração no nível de [edit policy-options policy-statement from_srx_vr1 term term1 then] hierarquia.

    Repita esta etapa para cada roteador virtual em cada dispositivo da Série SRX.

Configuração da instância de roteamento do roteador virtual

Procedimento passo a passo

Esse procedimento explica como configurar uma única instância de roteamento de roteador virtual. Este procedimento mostra uma amostra representativa da configuração do exemplo. O exemplo não mostra a configuração para cada instância de roteamento de roteador virtual.

  1. Configure o tipo de instância de roteamento.

    Este exemplo configura a instância de roteamento com o nome SRX-VR2.

    Inclua a instance-type declaração e especifique virtual-router como o tipo no nível de [edit routing-instances SRX-VR2] hierarquia.

    Repita esta etapa para cada roteador virtual em cada dispositivo da Série SRX usando o nome do roteador virtual apropriado.

  2. Adicione as interfaces Ethernet redundantes usadas pela instância de roteamento de roteador virtual.

    Este exemplo adiciona reth1.15 e reth2.19 interfaces à SRX-VR2 instância de roteamento.

    Inclua a interface declaração e especifique o nome da interface Ethernet redundante no nível de [edit routing-instances SRX-VR2] hierarquia.

    Repita esta etapa para cada roteador virtual em cada dispositivo da Série SRX usando o nome e os nomes de interface do roteador virtual apropriados.

  3. Configure as opções de roteamento usadas pela instância de roteamento do roteador virtual.

    Este exemplo configura o número do sistema autônomo e permite o recurso de reinicialização gracioso na SRX-VR2 instância de roteamento.

    Inclua a autonomous-system declaração e especifique 65019 como o número do sistema autônomo no nível de [edit routing-instances SRX-VR2 routing-options] hierarquia.

    Inclua a graceful-restart declaração no nível de [edit routing-instances SRX-VR2 routing-options] hierarquia.

    Repita esta etapa para cada roteador virtual em cada dispositivo da Série SRX usando o nome e os nomes de interface do roteador virtual apropriados.

  4. Aplique a política de roteamento que aceita rotas BGP externas e as usa como rotas geradas para a instância de roteamento.

    Este exemplo aplica a política indicada check-bgp-routes para a SRX-VR2 instância de roteamento.

    Inclua a policy declaração e especifique check-bgp-routes no nível de [edit routing-instances SRX-VR2 routing-options generate route 0.0.0.0/0] hierarquia.

    Inclua a graceful-restart declaração no nível de [edit routing-instances SRX-VR2 routing-options] hierarquia.

    Repita esta etapa para cada roteador virtual em cada dispositivo da Série SRX usando o nome e os nomes de interface do roteador virtual apropriados.

  5. Aplique a política de roteamento que aceita rotas de outras instâncias de roteamento.

    Este exemplo aplica a política indicada from_srx_vr1 para a SRX-VR2 instância de roteamento.

    Inclua a instance-import declaração e especifique from_srx_vr1 no nível de [edit routing-instances SRX-VR2 routing-options] hierarquia.

    Repita esta etapa para cada roteador virtual em cada dispositivo da Série SRX, exceto na instância SRX-VR1.

  6. Configure a política de exportação de protocolo IGP usada pela instância de roteamento de roteador virtual na zona de segurança confiável.

    Este exemplo configura a default-ospf política.

    Inclua a export declaração e especifique default-ospf como o nome da política no nível de [edit routing-instances SRX-VR2 protocols ospf] hierarquia.

    Repita esta etapa para cada roteador virtual em cada dispositivo da Série SRX usando o nome e o nome da política do roteador virtual apropriado.

  7. Configure o protocolo IGP de interfaces ativas e passivas usadas pela instância de roteamento de roteador virtual na zona de segurança confiável.

    Este exemplo configura a reth1.15 interface Ethernet redundante para participar ativamente da área de protocolo OSPF 0.0.0.0 e da reth2.19 interface Ethernet redundante para participar passivamente.

    Inclua a interface declaração e especifique reth1.15 no nível de [edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0] hierarquia.

    Inclua a interface declaração e especifique reth2.19 no nível de [edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0] hierarquia.

    Inclua a passive declaração no nível de [edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0 reth2.19] hierarquia.

    Repita esta etapa para cada roteador virtual em cada dispositivo da Série SRX usando o nome e os nomes de interface do roteador virtual apropriados.

  8. Configure os grupos de peer de protocolo BGP usados pela instância de roteamento de roteador virtual na zona de segurança não confiável.

    Inclua a type declaração e especifique a opção external no nível de [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] hierarquia.

    Inclua a peer-as declaração e especifique 64500 como o número do sistema autônomo de peer no nível de [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] hierarquia.

    Inclua a neighbor declaração e especifique 10.19.2.1 como o endereço vizinho IPv4 no nível de [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] hierarquia. O endereço vizinho é o endereço de interface IRB Logical da instância de roteamento VRF no dispositivo da Série MX.

    Repita esta etapa para cada roteador virtual em cada dispositivo da Série SRX usando o nome do roteador virtual apropriado, tipo de instância, endereço vizinho e número DE peer.

  9. Configure as políticas de exportação e importação de grupos de protocolo BGP usadas pela instância de roteamento de roteador virtual na zona de segurança não confiável.

    Inclua a export declaração e especifique trust2-ebgp-out como o nome da política de exportação no [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] nível hierárquica.

    Inclua a import declaração e especifique local-pref-120 como o nome da política de importação no nível de [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] hierarquia.

    Repita esta etapa para cada roteador virtual em cada dispositivo da Série SRX usando o nome do roteador virtual apropriado, política de exportação e política de importação.

Resultados

As etapas de configuração deste exemplo foram concluídas. A seção a seguir é para sua referência.

Segue-se a configuração amostral relevante para o dispositivo da Série EX.

Dispositivo da Série EX

Segue-se a configuração amostral relevante para o dispositivo da Série MX.

Dispositivo da Série MX

Segue-se a configuração amostral relevante para o dispositivo da Série SRX.

Dispositivo da Série SRX

Veja também

Documentação relacionada