Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

逻辑系统概述

逻辑系统使您能够将单个设备划分为多个执行独立任务的安全上下文。有关更多信息,请参阅以下主题:

使用 功能资源管理器 确认平台和版本对特定功能的支持。

查看 特定于平台的逻辑系统行为 部分,了解与平台相关的注意事项。

了解 SRX 系列防火墙的逻辑系统

SRX 系列防火墙的逻辑系统使您能够将单个设备划分为安全环境。每个逻辑系统都有自己的离散管理域、逻辑接口、路由实例、安全防火墙和其他安全功能。通过将 SRX 系列防火墙转换为多租户逻辑系统设备,您可以根据您的环境为各个部门、组织、客户和合作伙伴提供部分资源的私有使用权和设备的私有视图。使用逻辑系统,您可以在离散用户逻辑系统和主逻辑系统之间共享系统和底层物理机资源。

图 1 的顶部显示了逻辑系统的三个主要配置组件。图的下部显示了具有主逻辑系统和离散用户逻辑系统的单个设备。

逻辑系统包括主逻辑系统和用户逻辑系统及其管理员。主管理员的角色和职责与用户逻辑系统管理员的角色和职责差异很大。这种特权和职责的区分被视为基于角色的管理和控制。

图 1:了解逻辑系统 Hierarchical structure of a network device showing security, network, and routing configurations with master and user logical systems.

SRX 系列防火墙上的逻辑系统具有多种优势,使您能够:

  • 削减成本。使用逻辑系统,您可以减少公司所需的物理设备数量。由于您可以在一台设备上整合为不同用户组提供的服务,因此可以降低硬件成本和功耗。

  • 在单个设备上创建多个逻辑系统,并为其快速配置资源和服务。由于服务是融合的,因此主管理员或根管理员管理为逻辑系统配置的单个设备比管理许多离散设备要容易得多。

您可以部署在许多环境中运行逻辑系统的 SRX 系列防火墙,特别是在企业和数据中心中。

  • 在企业中,您可以为各个部门和组创建和配置逻辑系统。

    您可以配置逻辑系统以启用共享设备的组之间的通信。在同一设备上为各个部门创建逻辑系统时,如果您已将互连逻辑系统配置为用作内部交换机,则用户可以相互通信,而不会有流量离开设备。例如,共享运行逻辑系统的 SRX 系列服务网关的产品设计团队、营销部门和会计部门的成员可以相互通信,就像为其部门部署单独的设备一样。您可以将逻辑系统配置为通过 逻辑隧道 (lt-0/0/0) 内部接口进行互连。互连逻辑系统上的 lt-0/0/0 接口连接到您为每个逻辑系统配置的 lt-0/0/0 接口。互连逻辑系统负责在逻辑系统之间切换流量。运行逻辑系统的 SRX 系列防火墙在使用互连逻辑系统时,可在设备上创建的所有逻辑系统之间实现高速、快速的交互。

    同一设备上的逻辑系统也可以通过设备上的端口直接相互通信,就像它们是单独的设备一样。虽然此方法允许逻辑系统之间的直接连接,但它会消耗更多资源(您必须配置接口和外部交换机),因此成本更高。

  • 在数据中心,作为服务提供商,您可以部署运行逻辑系统的 SRX 系列防火墙,为您的客户提供安全和私有的用户逻辑系统以及设备资源的离散使用。

    例如,一家公司可能需要 10 个用户逻辑系统,另一家公司可能需要 20 个用户逻辑系统。由于逻辑系统是安全的、专用的和独立的,因此属于一个逻辑系统的数据无法被其他逻辑系统的管理员或用户查看。也就是说,一家公司的员工无法查看另一家公司的逻辑系统。

注意:

要使用内部交换机(可选),还必须配置一个互连逻辑系统。互连逻辑系统不需要管理员。

也可以看看

逻辑系统的功能和局限性

本主题介绍有关逻辑系统的功能和限制的基本信息。

  • 您最多可以配置 32 个安全配置文件(从 1 到 32),ID 0 保留用于内部配置的默认安全配置文件。当达到最大安全配置文件数时,如果要添加新的安全配置文件,必须先删除一个或多个现有安全配置文件,提交配置,然后创建新的安全配置文件并提交。您无法在一次配置提交中添加新的安全配置文件并删除现有的安全配置文件。

    如果要添加多个新的安全配置文件,则适用相同的规则。您必须先删除等效数量的现有安全配置文件,提交配置,然后创建新的安全配置文件并提交配置。

  • 您可以配置一个或多个主管理员来监督设备及其配置的逻辑系统的管理。

    作为运行逻辑系统的 SRX 系列服务网关的主要管理员,您对设备、其资源和您创建的逻辑系统拥有根控制权。您可以为用户逻辑系统分配安全、网络和路由资源。您可以将一个逻辑系统配置为用作互连逻辑系统虚拟专用 LAN 服务 (VPLS) 交换机。互连逻辑系统并非必需,因此不需要安全资源。但是,如果配置互连逻辑系统,则必须将虚拟安全配置文件绑定到该系统。主管理员可配置它以及为其配置的所有 lt-0/0/0 接口。

  • 用户逻辑系统可以有一个或多个管理员,称为用户逻辑系统管理员。主管理员为这些管理员创建登录帐户并将其分配给用户逻辑系统。目前,主管理员必须配置所有用户逻辑系统管理员。第一个分配的用户逻辑管理员无法为其逻辑系统配置其他用户逻辑系统管理员。作为用户逻辑系统管理员,您可以配置分配给用户逻辑系统的资源,包括由主管理员分配的逻辑接口、路由实例及其路由以及安全组件。您只能显示逻辑系统的配置信息。

  • 根据可用的系统资源,一个逻辑系统可以包含多个路由实例。

  • 无法在 lt-0/0/0 接口上配置 服务等级

  • 提交回滚仅在根级别受支持。

  • 跨互连逻辑系统的服务质量 (QoS) 分类不起作用。

  • 主管理员可以在根级别配置应用层网关 (ALG)。所有用户逻辑系统都会继承该配置。也可以为用户逻辑系统离散配置 ALG。

  • 主管理员可以在根级别配置 IDP 策略,然后将 IDP 策略应用于用户逻辑系统。

  • 只有主管理员才能为所有逻辑系统的用户创建用户帐户和登录 ID。主管理员在根级别创建这些用户帐户,并将其分配给相应的用户逻辑系统。

  • 不能在两个单独的逻辑系统中使用相同的名称。例如,如果 logical-system1 包含用户名配置为 Bob 的用户,则设备上的其他逻辑系统不能包含用户名为 Bob 的用户。

  • 所有逻辑系统和所有用户逻辑系统管理员的用户配置必须由主管理员在根级别执行。用户逻辑系统管理员不能为其逻辑系统创建其他用户逻辑系统管理员或用户帐户。

也可以看看

了解互连逻辑系统和逻辑隧道接口

本主题介绍用作内部虚拟专用 LAN 服务 (VPLS) 交换机的互连逻辑系统,用于将设备上的一个逻辑系统连接到另一个逻辑系统。本主题还介绍了如何使用逻辑隧道 (lt-0/0/0) 接口通过互连逻辑系统连接逻辑系统。

运行逻辑系统的设备可以使用内部 VPLS 交换机来传递流量,而无需流量离开设备。互连逻辑系统在使用它的逻辑系统之间交换流量。尽管通常使用虚拟交换机,但并非必需。如果选择使用虚拟交换机,则必须配置互连逻辑系统。一台设备上只能有一个互连逻辑系统。

要在设备上的逻辑系统之间进行通信,您必须在将使用内部交换机的每个逻辑系统上配置一个 lt-0/0/0 接口,并且必须将其与互连逻辑系统上的对等方 lt-0/0/0 接口相关联,从而有效地在它们之间创建逻辑隧道。配置逻辑系统的 lt-0/0/0 接口时,可以在隧道的每一端定义对等关系。

您可能希望设备上的所有逻辑系统能够相互通信,而无需使用外部交换机。或者,您可能希望某些逻辑系统通过内部交换机进行连接,但不是全部。

互连逻辑系统不需要通过安全配置文件为其分配安全资源。但是,您必须为互连逻辑系统分配一个不包含资源的虚拟安全配置文件。否则,您将无法成功提交其配置。

警告:

如果在任何用户逻辑系统或主逻辑系统中配置 lt-0/0/0 接口,并且未配置包含对等方 lt-0/0/0 接口的互连逻辑系统,则提交将失败。

运行逻辑系统的 SRX 系列防火墙可在 机箱群集中使用。每个节点都有相同的配置,包括互连逻辑系统。

也可以看看

了解 SRX 系列设备逻辑系统中的数据包流

本主题介绍如何在运行逻辑系统的 SRX 系列防火墙上的流会话中处理数据包。它介绍了运行逻辑系统的 SRX 系列防火墙如何处理单个逻辑系统中和逻辑系统之间的直通流量。它还将自流量包括为逻辑系统内的自发起流量和在另一个逻辑系统上终止的自流量。在解决逻辑系统问题之前,本主题将提供有关 SRX 系列架构与数据包处理和会话相关的基本信息。最后,本文将讨论会话以及如何更改会话特征。

此示例中解释的概念依赖于 图 2 所示的拓扑。

图 2:逻辑系统、其虚拟路由器及其接口 Network topology diagram showing logical systems and virtual routing instances. Internet connects to vr1-root system, linking to vr-ic hub. vr-ic connects ls-product-design with pd-vr1 and pd-vr2, and ls-marketing-dept with mk-vr1. PCs connect to respective systems.

了解 Junos OS SRX 系列防火墙架构

Junos OS 是一个分布式并行处理、高吞吐量和高性能的系统。服务网关的分布式并行处理架构包括多个处理器,用于管理会话并运行安全和其他服务处理。此架构提供了更大的灵活性,并允许高吞吐量和快速性能。

网络处理单元 (NPU) 在 IOC 上运行。IOC 具有一个或多个 NPU。一个或多个服务处理单元 (SPU) 在 SPC 上运行。

这些处理单元有不同的职责。数据包的所有基于流的服务都在单个 SPU 上执行。但是,否则,在这些处理器上运行的服务类型方面没有明确划分。(有关基于流的处理的详细信息,请参阅 了解安全性设备上的流量处理。)

例如:

  • NPU 离散处理数据包。它会执行健全性检查,并将为接口配置的某些屏幕(如拒绝服务 (DoS) 屏幕)应用于数据包。

  • SPU 管理数据包流的会话,并向数据包应用安全功能和其他服务。它还对数据包应用基于数据包的无状态防火墙过滤器、分类器和流量整形器。

  • 系统以一个处理器为中心点,负责资源的仲裁和分配,并以智能方式分配会话。中心点分配一个 SPU,以便在处理其流的第一个数据包时用于特定会话。

系统的这些离散、协同的部分(包括中心点)分别存储信息,用于识别数据包流中是否存在会话的信息,以及数据包与之匹配的信息,以确定数据包是否属于现有会话。

此架构允许设备跨多个 SPU 分配所有会话的处理。它还允许 NPU 确定数据包是否存在会话、检查数据包并对其应用筛选。数据包的处理方式取决于它是否为流的第一个数据包。

基于流的数据包处理以相同的方式处理相关数据包或数据包流。数据包处理取决于在建立流会话时为数据包流的第一个数据包建立的特征。大多数数据包处理都在流中进行。对于服务网关的分布式处理架构,NPU 上会进行一些基于数据包的处理,如流量整形。SPU 上会进行一些基于数据包的处理,例如对数据包应用分类器。

对于流的第一个数据包,评估确定数据包命运的配置设置,例如适用于该数据包的安全策略、为其配置的应用层网关 (ALG)、是否应应用 NAT 来转换数据包的源和/或目标 IP 地址。

为运行逻辑系统的设备创建会话

运行逻辑系统的 SRX 系列防火墙的会话建立与不运行逻辑系统的 SRX 系列防火墙的会话建立方法略有不同。尽管逻辑系统带来了复杂性,但流量的处理方式与不运行逻辑系统的 SRX 系列防火墙的处理方式相似。基于流的数据包处理是有状态的,需要创建会话。在考虑逻辑系统的基于流的处理和会话建立时,最好将设备上的每个逻辑系统视为与会话建立相关的离散设备。

系统会根据路由和其他分类信息创建会话,用于存储信息并为流分配资源。从根本上讲,当流量进入逻辑系统接口,执行路由查找以识别下一跳接口并执行策略查找时,将建立会话。

或者,逻辑系统允许您配置内部软件交换机。此虚拟专用 LAN 交换机 (VPLS) 作为互连逻辑系统实施。它使中转流量和在逻辑系统终止的流量能够在逻辑系统之间传递。要使流量能够在逻辑系统之间传递,可使用跨互连逻辑系统的逻辑隧道 (lt-0/0/0) 接口。

跨互连逻辑系统之间的逻辑系统之间的通信需要建立两个会话:一个用于进入逻辑系统并退出其 lt-0/0/0 接口的流量,另一个用于进入另一个逻辑系统的 lt-0/0/0 接口并通过其中一个物理接口退出设备或发往设备的流量。

注意:

数据包序列发生在入口接口和出口接口。在逻辑系统之间传输的数据包可能无法按照物理接口上接收的顺序进行处理。

了解逻辑系统上的流量

要了解逻辑系统的流量处理方式,最好将每个逻辑系统视为离散设备。

注意:

处理主逻辑系统流量的方式与设备上的用户逻辑系统流量的处理方式相同。

了解数据包分类

对于使用或不使用逻辑系统运行的 SRX 系列防火墙,数据包分类的评估方法相同。过滤器和服务等级功能通常与接口相关联,以影响允许哪些数据包通过系统,并根据需要对数据包应用特殊作。(在流中,SPU 上也会进行一些基于数据包的处理。)

数据包分类基于传入接口并在入口点执行。专用接口的流量被分类到包含该接口的逻辑系统。在流环境中,数据包分类基于物理接口和 逻辑接口

处理逻辑系统的直通流量

对于不运行逻辑系统的 SRX 系列防火墙,直通流量是进出设备的流量。您可以类似地将逻辑系统的直通流量视为具有更大的维度,但由于多租户设备的性质而具有更大的维度。对于运行逻辑系统的 SRX 系列防火墙,直通流量可以存在于逻辑系统内部或逻辑系统之间。

逻辑系统内的直通流量

对于逻辑系统内的直通流量,流量进入属于逻辑系统虚拟路由实例之一的接口,然后发送到其另一个虚拟路由实例。要退出设备,流量将从属于第二个虚拟路由实例的接口发出。流量不会在逻辑系统之间传输,而是在单个逻辑系统中进出设备。逻辑系统内的直通流量是根据其每个路由实例中的路由表进行传输的。

给定图 2 所示的拓扑结构下,请考虑如何在逻辑系统内处理直通流量。

  • 当数据包到达接口 ge-0/0/5 时,该数据包会被识别为属于 ls-product-design 逻辑系统。

  • 由于 ge-0/0/5 属于 pd-vr1 路由实例,因此路由查找在 pd-vr1 中执行,并将 pd-vr2 标识为下一跃点。

  • 第二次路由查找将在 pd-vr2 中执行,以确定要使用的出口接口,在本例中为 ge-0/0/8。

  • 数据包以 ge-0/0/8 的速度发送到网络。

  • 在 ls-product-design 中执行安全策略查找,并建立一个会话。

逻辑系统之间的直通流量

逻辑系统之间的直通流量很复杂,因为每个逻辑系统都有一个流量必须通过的入口接口和出口接口。就好像流量从两台设备进出一样。

必须为逻辑系统之间的直通流量建立两个会话。(请注意,策略查找是在两个逻辑系统中执行的)。

  • 在传入逻辑系统上,入口接口(物理接口)与其出口接口(lt-0/0/0 接口)之间会建立一个会话。

  • 在出口逻辑系统上,入口接口(第二个逻辑系统的 lt-0/0/0 接口)与其出口接口(物理接口)之间会建立另一个会话。

考虑 如何在图 2 所示的拓扑中跨逻辑系统处理直通流量。

  • 将在传入逻辑系统中建立会话。

    • 当数据包到达接口 ge-0/0/5 时,该数据包会被识别为属于 ls-product-design 逻辑系统。

    • 由于 ge-0/0/5 属于 pd-vr1 路由实例,因此路由查找在 pd-vr1 中执行。

    • 查找后,数据包的出口接口标识为 lt-0/0/0.3,下一跃点标识为 lt-0/0/0.5,即 ls-marketing-dept 中的入口接口。

    • 在 ge-0/0/5 和 lt-0/0/0.3 之间建立会话。

  • 将在传出逻辑系统中建立会话。

    • 数据包从 lt-0/0/0.5 再次注入到流中,标识为 ls-marketing-dept 的逻辑系统上下文从接口派生。

    • 数据包处理在 ls-marketing-dept 逻辑系统中继续进行。

    • 为了识别出口接口,可以在 mk-vr1 路由实例中执行数据包的路由查找。

    • 传出接口标识为 ge-0/0/6,数据包从接口传输到网络。

处理自我流量

自流量是源自设备上的逻辑系统,或从该逻辑系统发送到网络,或在设备上的其他逻辑系统上终止的流量。

自发起流量

自发起流量从源逻辑系统上下文生成,然后从逻辑系统接口直接转发到网络。

将发生以下过程:

  • 在逻辑系统中生成数据包时,逻辑系统中将启动处理流量的进程。

  • 将执行路由查找以识别出口接口,并建立会话。

  • 逻辑系统会执行策略查找并相应地处理流量。

  • 如果需要,将设置管理会话。

给定图 2 所示的拓扑结构下,考虑如何跨逻辑系统处理自发起的流量。

  • ls-product-design 逻辑系统中会生成一个数据包,并在逻辑系统中启动处理流量的过程。

  • 在 pd-vr2 中执行路由查找,以将出口接口标识为 ge-0/0/8。

  • 会话已建立。

  • 数据包从 ge-0/0/8 传输到网络。

在逻辑系统上终止的流量

当数据包通过属于逻辑系统的接口进入设备,且数据包发往设备上的其他逻辑系统时,数据包将在逻辑系统之间转发,其转发方式与直通流量相同。但是,第二个逻辑系统中的路由查找会将本地出口接口识别为数据包目标。因此,数据包在第二个逻辑系统上作为自流量终止。

  • 对于已终止的自流量,将执行两次策略查找并建立两个会话。

    • 在传入逻辑系统上,入口接口(物理接口)与其出口接口(lt-0/0/0 接口)之间会建立一个会话。

    • 在目标逻辑系统上,入口接口(第二个逻辑系统的 lt-0/0/0 接口)与本地接口之间会建立另一个会话。

考虑图 2 所示拓扑中如何跨逻辑系统处理已终止的自流量。

  • 将在传入逻辑系统中建立会话。

    • 当数据包到达接口 ge-0/0/5 时,该数据包会被识别为属于 ls-product-design 逻辑系统。

    • 由于 ge-0/0/5 属于 pd-vr1 路由实例,因此路由查找在 pd-vr1 中执行。

    • 查找结果是,数据包的出口接口标识为 lt-0/0/0.3,下一跃点标识为 lt-0/0/0.5,即 ls-marketing-dept 中的入口接口。

    • 在 ge-0/0/5 和 lt-0/0/0.3 之间建立会话。

  • 管理会话将在目标逻辑系统中建立。

    • 数据包从 lt-0/0/0.5 再次注入到流中,标识为 ls-marketing-dept 的逻辑系统上下文从接口派生。

    • 数据包处理在 ls-marketing-dept 逻辑系统中继续进行。

    • 数据包的路由查找在 mk-vr1 路由实例中执行。数据包在目标逻辑系统中以自流量的形式终止。

    • 管理会话即时建立。

了解会话和门限控制

逻辑系统流模块提供会话和门限制,以确保在逻辑系统之间公平共享这些资源。每个逻辑系统的资源分配和限制在绑定到逻辑系统的安全性配置文件中指定。

  • 对于会话限制,系统根据为逻辑系统配置的最大会话数检查会话的第一个数据包。如果达到最大值,设备将丢弃数据包并记录事件。

  • 对于门限,设备根据为逻辑系统配置的最大门数检查会话的第一个数据包。如果达到逻辑系统的最大门数,设备将拒绝门打开请求并记录事件。

了解会话

系统会根据路由和其他分类信息创建会话,以存储信息并为流量分配资源。您可以更改会话的某些特征,例如会话何时终止。例如,您可能希望确保会话表永远不会完全填满,以防止攻击者试图淹没该表,从而防止合法用户启动会话。

关于配置会话

根据协议和服务,会话会使用超时值进行编程。例如,TCP 的默认超时为 1800 秒。UDP 的默认超时为 60 秒。当流量终止时,该流量将被标记为无效,并且其超时时间减少为 10 秒。如果没有流量在服务超时之前使用会话,则会话将老化并释放到公共资源池中以供重复使用。

您可以通过以下方式影响会话的生存期:

  • 根据会话表的满度对会话进行老化。

  • 设置过期 TCP 会话的显式超时。

  • 将 TCP 会话配置为在收到 TCP RST(重置)消息时失效。

  • 您可以按如下方式配置会话以容纳其他系统:

    • 禁用 TCP 数据包安全检查。

    • 更改最大区段大小。

也可以看看

vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0 实例支持逻辑系统和租户系统

从 Junos OS 20.1R1 版开始,您可以在 vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0 实例上配置逻辑系统和租户系统。

配置每个逻辑系统都会创建一个额外的路由协议进程 (RPD),这会占用大量 CPU 和内存资源。从 Junos OS 20.1R1 版开始

  • 内存容量小于 16GB 的 vSRX 虚拟防火墙和 vSRX3.0 实例支持一个根逻辑系统。

  • 内存容量为 16GB 或以上的 vSRX 虚拟防火墙和 vSRX3.0 实例支持逻辑系统,但逻辑系统数量限制为 8 个。

表 1 介绍了 vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0 在不同内存容量下支持的逻辑系统和租户系统的数量。

表 1: vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0 在不同内存容量下支持逻辑系统和租户系统。

类型

4GB

8GB

16GB 或更多

逻辑系统(包括根逻辑系统)

1

1

8

租户系统

0

0

42

逻辑系统 + 租户系统(包括根逻辑系统)。

1

1

50
注意:

只有 vSRX 虚拟防火墙 3.0 实例支持基于设备内存的灵活安全配置文件。vSRX 虚拟防火墙 3.0 上支持的最大安全配置文件数与其内存有关。有关详细信息,请参阅 逻辑系统的安全性配置文件

在层次结构级别使用 [edit] 以下命令,确保 vSRX 虚拟防火墙和 vSRX3.0 实例的路由引擎中至少有两个 CPU: set security forwarding-options resource-manager cpu re 2

特定于平台的逻辑系统行为

使用 功能资源管理器 确认平台和版本对特定功能的支持。

使用下表查看平台的特定于平台的行为:

表 2:特定于平台的行为

平台

差异

SRX 系列

  • 支持逻辑系统的 SRX4100 和 SRX4200 防火墙同时支持透明模式和路由模式。

  • 支持逻辑系统的 SRX4600 防火墙仅支持路由模式。

  • 支持逻辑系统的 SRX1500 防火墙最多可配置 512 个区域。

  • SRX5000 系列防火墙支持逻辑系统,支持 I/O 卡 (IOC) 和服务处理卡 (SPC),每个防火墙都包含处理单元,用于在数据包遍历设备时对其进行处理。