Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

逻辑系统概述

通过逻辑系统,您可以将单个设备划分为多个安全上下文,由这些上下文执行独立任务。有关更多信息,请参阅以下主题:

了解 SRX 系列防火墙的逻辑系统

SRX 系列防火墙的逻辑系统允许您将单个设备划分为安全环境。每个逻辑系统都有其自己的独立管理域、逻辑接口、路由实例、安全防火墙和其他安全功能。通过将 SRX 系列防火墙转换为多租户逻辑系统设备,您可以向各个部门、组织、客户和合作伙伴(具体取决于您的环境)提供其部分资源的私人使用权和设备的专用视图。使用逻辑系统,可以在离散用户逻辑系统和主逻辑系统之间共享系统和底层物理计算机资源。

图 1 的顶部显示了逻辑系统的三个主要配置组件。图的下半部分显示了具有主逻辑系统和离散用户逻辑系统的单个设备。

逻辑系统包括主逻辑系统和用户逻辑系统及其管理员。主管理员和用户逻辑系统管理员的角色和职责有很大不同。这种特权和职责的区分被认为是基于角色的管理和控制。

图 1:了解逻辑系统 Understanding Logical Systems

SRX 系列防火墙上的逻辑系统具有多种优势,使您能够:

  • 削减成本。使用逻辑系统,您可以减少公司所需的物理设备数量。由于您可以在一台设备上整合各种用户组的服务,因此可以降低硬件成本和电力消耗。

  • 在单个设备上创建多个逻辑系统,并快速为其配置资源和服务。由于服务是融合的,因此主管理员(即根管理员)管理为逻辑系统配置的单个设备比管理许多离散设备要容易得多。

您可以在许多环境中部署运行逻辑系统的 SRX 系列防火墙,特别是在企业和数据中心中。

  • 在企业中,您可以为各个部门和组创建和调配逻辑系统。

    您可以配置逻辑系统,以便在共享设备的组之间启用通信。在同一设备上为各个部门创建逻辑系统时,如果已将互连逻辑系统配置为内部交换机,则用户之间可以相互通信,而不会有流量离开设备。例如,产品设计组、营销部门和会计部门的成员共享一个运行逻辑系统的 SRX 系列服务网关,他们之间可以相互通信,就像为他们的部门部署了单独的设备一样。您可以将逻辑系统配置为通过 逻辑隧道 (lt-0/0/0) 内部接口进行互连。互连逻辑系统上的 lt-0/0/0 接口连接到您为每个逻辑系统配置的 lt-0/0/0 接口。互连逻辑系统在逻辑系统之间切换流量。当使用互连逻辑系统时,运行逻辑系统的 SRX 系列防火墙可在设备上创建的所有逻辑系统之间提供快速的高速交互。

    同一设备上的逻辑系统也可以通过设备上的端口直接相互通信,就好像它们是独立的设备一样。虽然此方法允许在逻辑系统之间建立直接连接,但它消耗更多资源(您必须配置接口和外部交换机),因此成本更高。

  • 在数据中心,作为服务提供商,您可以部署运行逻辑系统的 SRX 系列防火墙,为客户提供安全且私密的用户逻辑系统,并实现设备资源的离散使用。

    例如,一家公司可能需要 10 个用户逻辑系统,而另一家公司可能需要 20 个用户逻辑系统。由于逻辑系统具有安全、专用和独立的特点,因此管理员或其他逻辑系统的用户无法查看属于一个逻辑系统的数据。也就是说,一家公司的员工无法查看另一家公司的逻辑系统。

  • SRX4100和SRX4200设备在透明和路由模式下均支持逻辑系统。

  • SRX4600设备仅支持路由模式下的逻辑系统。

注意:

要使用内部交换机(可选),还必须配置互连逻辑系统。互连逻辑系统不需要管理员。

逻辑系统的功能和限制

本主题介绍有关逻辑系统功能和限制的基本信息。

  • 您最多可以配置 32 个安全配置文件(从 1 到 32),其中 ID 0 保留用于内部配置的默认安全配置文件。当达到最大安全配置文件数时,如果要添加新的安全配置文件,必须先删除一个或多个现有安全配置文件,提交配置,然后创建新的安全配置文件并提交。您不能在单次配置提交中添加新的安全配置文件并删除现有配置文件。

    如果要添加多个新的安全配置文件,则适用相同的规则。您必须先删除等量的现有安全配置文件,提交配置,然后创建新的安全配置文件并提交配置。

  • 您可以配置一个或多个主管理员来监督设备及其配置的逻辑系统的管理。

    作为运行逻辑系统的 SRX 系列服务网关的主管理员,您对设备、其资源和您创建的逻辑系统拥有根控制权。将安全、网络和路由资源分配给用户逻辑系统。您可以将一个逻辑系统配置为充当互连逻辑系统虚拟专用 LAN 服务 (VPLS) 交换机。互连逻辑系统不是必需的,不需要安全资源。但是,如果配置互连逻辑系统,则必须为其绑定一个虚拟安全配置文件。主管理员为其配置它以及所有 lt-0/0/0 接口。

  • 用户逻辑系统可以有一个或多个管理员,他们称为用户逻辑系统管理员。主管理员为这些管理员创建登录帐户,并将其分配给用户逻辑系统。目前,主管理员必须配置所有用户逻辑系统管理员。第一个分配的用户逻辑管理员无法为其逻辑系统配置其他用户逻辑系统管理员。作为用户逻辑系统管理员,您可以配置分配给用户逻辑系统的资源,包括主管理员分配的逻辑接口、路由实例及其路由和安全组件。您只能显示逻辑系统的配置信息。

  • 根据可用的系统资源,逻辑系统可以包含多个路由实例。

  • 无法在 lt-0/0/0 接口上配置 服务等级

  • 仅在根级别支持提交回滚。

  • 无法跨互连逻辑系统进行服务质量 (QoS) 分类。

  • 主管理员可以在根级别配置应用层网关 (ALG)。该配置由所有用户逻辑系统继承。还可以为用户逻辑系统离散配置 ALG。

  • 主管理员可以在根级别配置 IDP 策略,然后将 IDP 策略应用于用户逻辑系统。

  • 只有主管理员才能为所有逻辑系统的用户创建用户帐户和登录 ID。主管理员在根级别创建这些用户帐户,并将其分配给相应的用户逻辑系统。

  • 不能在两个单独的逻辑系统中使用相同的名称。例如,如果 logical-system1 包含一个将 Bob 配置为用户名的用户,则设备上的其他逻辑系统不能包含用户名为 Bob 的用户。

  • 所有逻辑系统和所有用户逻辑系统管理员的用户配置必须由主管理员在根级别执行。用户逻辑系统管理员无法为其逻辑系统创建其他用户逻辑系统管理员或用户帐户。

  • 对于SRX1500设备,某些扩展参数会有所不同。例如,一个逻辑系统最多可以配置 512 个区域。

了解互连逻辑系统和逻辑隧道接口

本主题介绍互连逻辑系统,该系统用作将设备上的一个逻辑系统连接到另一个逻辑系统的内部虚拟专用 LAN 服务 (VPLS) 交换机。本主题还将说明如何使用逻辑隧道 (lt-0/0/0) 接口通过互连逻辑系统连接逻辑系统。

运行逻辑系统的设备可以使用内部 VPLS 交换机传递流量,而无需让流量离开设备。互连逻辑系统在使用它的逻辑系统之间切换流量。虽然通常使用虚拟交换机,但并非必需的。如果选择使用虚拟交换机,则必须配置互连逻辑系统。设备上只能有一个互连逻辑系统。

要在设备上的逻辑系统之间进行通信,必须在将使用内部交换机的每个逻辑系统上配置一个 lt-0/0/0 接口,并且必须将其与互连逻辑系统上的对等 lt-0/0/0 接口相关联,从而在它们之间有效地创建逻辑隧道。配置逻辑系统的 lt-0/0/0 接口时,可以在隧道的每一端定义对等关系。

您可能希望设备上的所有逻辑系统都能相互通信,而无需使用外部交换机。或者,您可能希望某些逻辑系统通过内部交换机进行连接,但不是所有逻辑系统。

互连逻辑系统不需要通过安全配置文件为其分配安全资源。但是,您必须将不包含任何资源的虚拟安全配置文件分配给互连逻辑系统。否则,您将无法成功为其提交配置。

警告:

如果在任何用户逻辑系统或主逻辑系统中配置 lt-0/0/0 接口,并且未为其配置包含对等方 lt-0/0/0 接口的互连逻辑系统,则提交将失败。

运行逻辑系统的 SRX 系列防火墙可在 机箱群集中使用。每个节点具有相同的配置,包括互连逻辑系统。

了解 SRX 系列设备逻辑系统中的数据包流

本主题介绍如何在运行逻辑系统的 SRX 系列防火墙上的流会话中处理数据包。它描述了运行逻辑系统的 SRX 系列防火墙如何处理单个逻辑系统中和逻辑系统之间的直通流量。它还将自我流量作为逻辑系统内的自启动流量和在另一个逻辑系统上终止的自我流量。在讨论逻辑系统之前,本主题将提供有关 SRX 系列架构在数据包处理和会话方面的基本信息。最后,它解决了会话以及如何更改会话特征。

此示例中解释的概念依赖于 图 2 所示的拓扑。

图 2:逻辑系统、其虚拟路由器及其接口 Logical Systems, Their Virtual Routers, and Their Interfaces

了解 Junos OS SRX 系列防火墙架构

Junos OS 是一个分布式并行处理、高吞吐量和高性能系统。服务网关的分布式并行处理架构包括多个处理器,用于管理会话并运行安全和其他服务处理。这种架构提供了更大的灵活性,并允许高吞吐量和快速性能。

SRX5000 系列设备包括 I/O 卡 (IOC) 和服务处理卡 (SPC),每个设备都包含用于处理数据包的处理单元。网络处理单元 (NPU) 在 IOC 上运行。IOC 有一个或多个 NPU。一个或多个服务处理单元 (SPC) 在 SPC 上运行。

这些处理单元有不同的职责。针对数据包的所有基于流的服务都在单个 SPU 上执行。但是,除此以外,对于在这些处理器上运行的服务类型,这些行并没有明确划分。(有关基于流的处理的详细信息,请参阅 了解安全设备上的流量处理

例如:

  • NPU 离散处理数据包。它会执行健全性检查,并会针对数据包应用为接口配置的一些筛选,例如拒绝服务 (DoS) 筛选。

  • SPU 管理数据包流的会话,并对数据包应用安全功能和其他服务。它还会对数据包应用基于数据包的无状态防火墙过滤器、分类器和流量整形器。

  • 系统使用一个处理器作为中心点,负责仲裁和资源分配,并以智能方式分配会话。中心点会分配一个 SPU,以便在处理其流量的第一个数据包时用于特定会话。

系统的这些离散的合作部分(包括中心点)每个部分都存储标识数据包流是否存在会话的信息,以及与数据包匹配的信息,以确定数据包是否属于现有会话。

此架构允许设备在多个 SPU 之间分配所有会话的处理。它还允许 NPU 确定数据包是否存在会话,检查数据包并对其应用筛选。如何处理数据包取决于它是否为流中的第一个数据包。

基于流的数据包处理以相同的方式处理相关数据包或数据包流。数据包处理取决于在建立流会话时为数据包流的第一个数据包建立的特征。大多数数据包处理发生在一个流程中。对于服务网关的分布式处理架构,一些基于数据包的处理(如流量整形)发生在 NPU 上。某些基于数据包的处理(如对数据包应用分类器)发生在 SPU 上。

对于流的第一个数据包,我们会评估确定数据包命运的配置设置,例如应用于数据包的安全策略、为其配置的应用层网关 (ALG)、如果应应用 NAT 来转换数据包的源和/或目标 IP 地址。

为运行逻辑系统的设备创建会话

运行逻辑系统的 SRX 系列防火墙的会话建立与不运行逻辑系统的 SRX 系列防火墙的会话建立方式略有不同。尽管逻辑系统带来了复杂性,但流量的处理方式与未运行逻辑系统的 SRX 系列防火墙的处理方式类似。基于流的数据包处理是有状态的,需要创建会话。在考虑逻辑系统的基于流的处理和会话建立时,在会话建立方面,将设备上的每个逻辑系统视为离散设备会有所帮助。

基于路由和其他分类信息创建会话,用于存储信息并为流分配资源。基本上,当流量进入逻辑系统接口,执行路由查找以识别下一跳接口,然后执行策略查找时,将建立会话。

或者,您可以使用逻辑系统配置内部软件交换机。此虚拟专用 LAN 交换机 (VPLS) 是作为互连逻辑系统实现的。它支持在逻辑系统之间传递传输流量和终止于逻辑系统的流量。要使流量能够在逻辑系统之间传递,可以使用跨互连逻辑系统的逻辑隧道 (lt-0/0/0) 接口。

跨互连逻辑系统实现逻辑系统之间的通信需要建立两个会话:一个用于进入逻辑系统并退出其 lt-0/0/0 接口的流量,另一个用于进入另一个逻辑系统的 lt-0/0/0 接口,然后通过其中一个物理接口退出设备或向该逻辑系统发送的流量。

注意:

数据包序列发生在入口和出口接口上。在逻辑系统之间传输的数据包可能不会按照物理接口上的接收顺序进行处理。

了解逻辑系统上的流

要了解如何处理逻辑系统的流量,将每个逻辑系统视为一个离散设备会很有帮助。

注意:

主逻辑系统流量的处理方式与设备上用户逻辑系统的流量处理方式相同。

注意:

在 SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600、SRX5400、SRX5600 和 SRX5800 系列设备上,逻辑系统不支持 J-Flow 版本 5、版本 8 和版本 9。

了解数据包分类

对于使用或不使用逻辑系统运行的 SRX 系列防火墙,评估数据包分类的方法相同。过滤器和服务等级功能通常与接口相关联,以影响允许哪些数据包在系统中传输,并根据需要对数据包应用特殊操作。(在流中,一些基于数据包的处理也会在 SPU 上进行。)

数据包分类基于传入接口并在入口点执行。专用接口的流量分类到包含该接口的逻辑系统。在流的上下文中,数据包分类基于物理接口和 逻辑接口

处理逻辑系统的直通流量

对于未运行逻辑系统的 SRX 系列防火墙,直通流量是指进出设备的流量。您可以类似地考虑逻辑系统的直通流量,但由于多租户设备的性质,直通流量的维度更大。对于运行逻辑系统的 SRX 系列防火墙,直通流量可以存在于逻辑系统内部,也可以存在于逻辑系统之间。

逻辑系统内的直通流量

对于逻辑系统内的直通流量,流量进入属于该逻辑系统其中一个虚拟路由实例的接口,然后被发送到该接口的另一个虚拟路由实例。要退出设备,流量将发出属于第二个虚拟路由实例的接口。流量不会在逻辑系统之间传输,而是在单个逻辑系统中进出设备。逻辑系统内的直通流量根据其每个路由实例中的路由表进行传输。

给定图 2 所示的拓扑结构下,考虑如何处理逻辑系统内的直通流量。

  • 当数据包到达接口 ge-0/0/5 时,它被识别为属于 ls-product-design 逻辑系统。

  • 由于 ge-0/0/5 属于 pd-vr1 路由实例,因此在 pd-vr1 中执行路由查找,并将 pd-vr2 标识为下一跃点。

  • 在 pd-vr2 中执行第二个路由查找,以识别要使用的出口接口(在本例中为 ge-0/0/8)。

  • 数据包以 ge-0/0/8 的格式发送到网络。

  • 在 ls-product-design 中执行安全策略查找,并建立一个会话。

逻辑系统之间的直通流量

由于每个逻辑系统都有一个入口接口和出口接口,因此逻辑系统之间的直通流量很复杂。就好像流量在两个设备之间进出一样。

必须为逻辑系统之间的直通流量建立两个会话。(请注意,策略查找是在两个逻辑系统中执行的)。

  • 在传入逻辑系统上,入口接口(物理接口)与其出口接口(lt-0/0/0 接口)之间会建立一个会话。

  • 在出口逻辑系统上,会在入口接口(第二个逻辑系统的 lt-0/0/0 接口)与其出口接口(物理接口)之间建立另一个会话。

考虑在 图 2 所示的拓扑中如何处理跨逻辑系统处理直通流量。

  • 会话将在传入逻辑系统中建立。

    • 当数据包到达接口 ge-0/0/5 时,它被识别为属于 ls-product-design 逻辑系统。

    • 由于 ge-0/0/5 属于 pd-vr1 路由实例,因此在 pd-vr1 中执行路由查找。

    • 查找的结果是,数据包的出口接口被标识为 lt-0/0/0.3,下一跃点标识为 lt-0/0/0.5,即 ls-marketing-dept 中的入口接口。

    • 在 ge-0/0/5 和 lt-0/0/0.3 之间建立会话。

  • 会话将在传出逻辑系统中建立。

    • 数据包再次从 lt-0/0/0.5 注入到流中,标识为 ls-marketing-dept 的逻辑系统上下文从接口派生。

    • 数据包处理在 ls-marketing-dept 逻辑系统中继续进行。

    • 要识别出口接口,将在 mk-vr1 路由实例中执行数据包的路由查找。

    • 传出接口标识为 ge-0/0/6,数据包从接口传输到网络。

处理自身流量

自流量是指源自设备上的逻辑系统,从该逻辑系统发送到网络,或在设备上的其他逻辑系统上终止的流量。

自发起流量

自启动流量从源逻辑系统上下文生成,并通过逻辑系统接口直接转发到网络。

将发生以下过程:

  • 在逻辑系统中生成数据包时,将在逻辑系统中启动处理流量的进程。

  • 执行路由查找以识别出口接口,并建立会话。

  • 逻辑系统将执行策略查找并相应地处理流量。

  • 如果需要,将设置管理会话。

给定图 2 所示的拓扑结构下,考虑如何处理跨逻辑系统处理自启动的流量。

  • 在 ls-product-design 逻辑系统中生成数据包,并在逻辑系统中启动处理流量的进程。

  • 在 pd-vr2 中执行路由查找,以将出口接口标识为 ge-0/0/8。

  • 会话已建立。

  • 数据包从 ge-0/0/8 传输到网络。

在逻辑系统上终止的流量

当数据包通过属于逻辑系统的接口进入设备,而数据包发往设备上的另一个逻辑系统时,数据包将在逻辑系统之间转发,转发方式与直通流量相同。但是,第二个逻辑系统中的路由查找会将本地出口接口识别为数据包目标。因此,数据包将作为自流量在第二个逻辑系统上终止。

  • 对于已终止的自身流量,将执行两次策略查找,并建立两个会话。

    • 在传入逻辑系统上,入口接口(物理接口)与其出口接口(lt-0/0/0 接口)之间会建立一个会话。

    • 在目标逻辑系统上,入口接口(第二个逻辑系统的 lt-0/0/0 接口)和本地接口之间会建立另一个会话。

考虑在 图 2 所示的拓扑中,如何处理已终止的自我流量。

  • 会话将在传入逻辑系统中建立。

    • 当数据包到达接口 ge-0/0/5 时,它被识别为属于 ls-product-design 逻辑系统。

    • 由于 ge-0/0/5 属于 pd-vr1 路由实例,因此在 pd-vr1 中执行路由查找。

    • 查找的结果是,数据包的出口接口被标识为 lt-0/0/0.3,下一跃点标识为 lt-0/0/0.5,即 ls-marketing-dept 中的入口接口。

    • 在 ge-0/0/5 和 lt-0/0/0.3 之间建立会话。

  • 管理会话将在目标逻辑系统中建立。

    • 数据包再次从 lt-0/0/0.5 注入到流中,标识为 ls-marketing-dept 的逻辑系统上下文从接口派生。

    • 数据包处理在 ls-marketing-dept 逻辑系统中继续进行。

    • 在 mk-vr1 路由实例中执行数据包的路由查找。数据包在目标逻辑系统中作为自流量终止。

    • 建立管理会话。

了解会话和门限制控制

逻辑系统流模块提供会话和门限制,以确保这些资源在逻辑系统之间公平共享。每个逻辑系统的资源分配和限制都在绑定到逻辑系统的安全配置文件中指定。

  • 对于会话限制,系统根据为逻辑系统配置的最大会话数检查会话的第一个数据包。如果达到最大值,设备将丢弃数据包并记录事件。

  • 对于门限制,设备根据为逻辑系统配置的最大门数检查会话的第一个数据包。如果达到逻辑系统的最大门数,设备将拒绝门打开请求并记录事件。

了解会话

基于路由和其他分类信息创建会话,用于存储信息并为流分配资源。您可以更改会话的某些特征,例如会话的终止时间。例如,您可能希望确保会话表永远不会完全满,以防止攻击者试图淹没该表,从而阻止合法用户启动会话。

关于配置会话

根据协议和服务的不同,会话会使用超时值进行编程。例如,TCP 的默认超时为 1800 秒。UDP 的默认超时为 60 秒。终止流时,它将被标记为无效,并且其超时时间将减少到 10 秒。如果没有流量使用,如果没有流量在服务超时之前使用会话,则会话将过期并释放到公共资源池中供重用。

您可以通过以下方式影响会话的生存期:

  • 根据会话表的满度使会话老化。

  • 为老化的 TCP 会话设置显式超时。

  • 将 TCP 会话配置为在收到 TCP RST(重置)消息时失效。

  • 您可以按如下方式配置会话以适应其他系统:

    • 禁用 TCP 数据包安全检查。

    • 更改最大区段大小。

vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0 实例支持逻辑系统和租户系统

从 Junos OS 20.1R1 版开始,您可以在 vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0 实例上配置逻辑系统和租户系统。

配置每个逻辑系统会创建一个额外的路由协议进程 (RPD),这会占用大量 CPU 和内存。从 Junos OS 20.1R1 版开始-

  • 内存容量小于 16GB 的 vSRX 虚拟防火墙和 vSRX3.0 实例支持一个根逻辑系统。

  • 内存容量为 16GB 或以上的 vSRX 虚拟防火墙和 vSRX3.0 实例支持逻辑系统,但将逻辑系统限制为 8 个。

表 1 介绍了 vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0 在不同内存容量上支持的逻辑系统和租户系统的数量。

表 1: vSRX 虚拟防火墙和 vSRX 虚拟防火墙 3.0 在不同内存容量上支持的逻辑系统和租户系统。

类型

4GB

8GB

16GB 或更大

逻辑系统(包括根逻辑系统)

1

1

8

租户系统

0

0

42

逻辑系统 + 租户系统(包括根逻辑系统)。

1

1

50

注意:

只有 vSRX 虚拟防火墙 3.0 实例支持基于设备内存的灵活安全配置文件。vSRX 虚拟防火墙 3.0 上支持的最大安全配置文件数与其内存相关。有关更多信息,请参阅 逻辑系统的安全配置文件

[edit] 层次结构级别使用以下命令确保 vSRX 虚拟防火墙和 vSRX3.0 实例的路由引擎中至少有两个 CPU: set security forwarding-options resource-manager cpu re 2