Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

主逻辑系统概述

主逻辑系统可以创建用户逻辑系统并配置用户逻辑系统的安全资源。主逻辑系统将逻辑接口分配给用户逻辑系统。有关更多信息,请参阅以下主题:

了解主逻辑系统和主管理员角色

作为主管理员初始化运行逻辑系统的 SRX 系列防火墙时,将在根级别创建主逻辑系统。您可以以 root 身份登录到设备并更改 root 密码。

默认情况下,所有系统资源都分配给主逻辑系统,主管理员会将其分配给用户逻辑系统。

作为主管理员,您管理设备及其所有逻辑系统。您还可以管理主逻辑系统并为其分配的资源进行配置。可以有多个主管理员管理运行逻辑系统的设备。

  • 主管理员的角色和主要职责包括:

    • 创建用户逻辑系统并配置其管理员。您可以为每个用户逻辑系统创建一个或多个用户逻辑系统管理员。

    • 为所有逻辑系统的用户创建登录帐户并将其分配到相应的逻辑系统。

    • 如果希望允许设备上的逻辑系统之间进行通信,请配置互连逻辑系统。互连逻辑系统充当内部交换机。它不需要管理员。

      要配置互连逻辑系统,请在互连逻辑系统和每个逻辑系统之间配置 lt-0/0/0 接口。这些对等接口有效地允许建立隧道。

    • 配置安全配置文件,以便将部分系统安全资源配置到用户逻辑系统和主逻辑系统。

      只有主管理员可以创建、更改和删除安全配置文件并将其绑定到逻辑系统。

      注意:

      用户逻辑系统管理员可以配置分配给其逻辑系统的接口、路由和安全资源。

    • 创建要分配给用户逻辑系统的逻辑接口。(用户逻辑系统管理员可配置分配给其逻辑系统的逻辑接口。)

    • 根据需要查看和管理用户逻辑系统,以及删除用户逻辑系统。删除用户逻辑系统后,将释放其分配的预留资源以供其他逻辑系统使用。

    • 配置 IDP、AppTrack、应用标识和应用防火墙功能。主管理员还可以在根级别使用跟踪和调试,并且可以执行提交回滚。主管理员管理主逻辑系统,并配置用户逻辑系统管理员可为其自己的逻辑系统配置的所有功能,包括路由实例、静态路由、动态路由协议、区域、安全策略、筛选和防火墙身份验证。

也可以看看

SRX 系列逻辑系统主管理员配置任务概述

本文将按主管理员的任务执行顺序进行介绍。

运行逻辑系统的 SRX 系列防火墙由主管理员管理。主管理员与不运行逻辑系统的 SRX 系列防火墙的根管理员具有相同的功能。但是,主要管理员的角色和职责超出了其他 SRX 系列防火墙管理员的职责,因为运行逻辑系统的 SRX 系列防火墙被划分为多个离散逻辑系统,每个系统都有自己的资源、配置和管理问题。主管理员负责创建这些用户逻辑系统并为其配置资源。

有关主管理员的角色和职责的概述,请参阅 了解主逻辑系统和主管理员角色

作为主管理员,您可以执行以下任务来配置运行逻辑系统的 SRX 系列防火墙:

  1. 配置 root 密码。最初,主管理员以 root 用户身份登录设备,无需指定密码。登录设备后,您必须定义一个 root 密码以供以后使用。

    有关配置信息,请参阅 示例:为逻辑系统配置 root 密码

  2. 创建用户逻辑系统及其管理员和用户。(可选)创建互连逻辑系统。

    对于要在设备上配置的每个用户逻辑系统,您必须创建一个逻辑系统,为其定义一个或多个管理员,并向其中添加用户。

    主管理员为用户逻辑系统管理员和用户配置登录帐户,并将其与用户逻辑系统进行关联。一个用户逻辑系统可以有多个管理员;主管理员必须定义并添加所有用户逻辑系统管理员,并将其添加到其用户逻辑系统中。

    主管理员代表用户逻辑系统管理员将用户添加到用户逻辑系统。例如,如果您为产品设计部门创建了用户逻辑系统,则必须为属于该部门的用户创建用户帐户,并将其与用户逻辑系统相关联。用户逻辑系统管理员无法执行此作。相反,用户逻辑管理员会告诉您必须为其逻辑系统创建和添加的用户帐户。

  3. 配置一个或多个安全配置文件。安全性配置文件将安全资源分配给逻辑系统。如果您打算将相同种类和数量的资源分配给多个逻辑系统,则可以将单个安全配置文件分配给多个逻辑系统。
  4. 根据需要为逻辑系统配置接口、路由实例和静态路由。

    • 如果您计划使用互连逻辑系统,请配置其逻辑隧道接口并将其添加到其虚拟路由实例中。

    • 为主逻辑系统配置接口。(可选)创建其逻辑隧道接口,以允许其与设备上的其他逻辑系统进行通信。为主逻辑系统创建虚拟路由实例,并向其中添加其接口和静态路由。此外,还可以使用 VLAN 标记为用户逻辑系统配置逻辑接口。

      注意:

      主管理员告知用户逻辑系统管理员将哪些接口分配给其逻辑系统。用户逻辑系统管理员负责配置其接口。

    • (可选)为您希望允许使用内部 VPLS 交换机相互通信的任何用户逻辑系统配置逻辑隧道接口。VPLS 是一种虚拟专用网络 (VPN) 技术。它支持点对点第 2 层隧道连接。

      通过创建 VPLS 类型的路由实例 (RI),我们定义了 VPLS 交换机。VPLS 交换机的行为类似于 L2 以太网交换机。我们将多个 LT IFL 分配给 VPLS 交换机。每个 LT IFL 都有封装 ethernet-vpls,其行为类似于 L2 交换机端口。要连接到 VPLS 交换机,每个逻辑系统都会创建一个 LT IFL 并将其分配给 VPLS 交换机的一个端口。

      从 Junos OS 18.2R1 版开始,无需定义专用的互连逻辑系统即可包含 VPLS 交换机。为便于起见,VPLS 交换机在根逻辑系统中定义。这种方法是为每个逻辑系统配置多个 VPLS 交换机和 LT IFL。

      当一个 LT 逻辑接口连接到 VPLS 交换机时,路由引擎会从 LT 接口的 MAC 地址池中为 VPLS 交换机分配唯一的 MAC 地址。这决定了连接 VPLS 交换机的 LT IFL 数量。

  5. 开启CPU利用率控制,为逻辑系统配置CPU控制目标和预留CPU配额。请参阅示例:配置 CPU 利用率(仅限主管理员)。
  6. (可选)为主逻辑系统配置动态路由协议。请参阅 示例:为主逻辑系统配置 OSPF 路由协议
  7. 为主逻辑系统配置区域、安全策略和安全功能。请参阅 示例:为主逻辑系统配置安全性功能
  8. 为主逻辑系统配置 IDP。请参阅 示例:为主逻辑系统配置 IDP 策略
  9. 在主逻辑系统上配置应用防火墙服务。请参阅 了解逻辑系统、应用防火墙服务示例:为主逻辑系统配置应用防火墙服务
  10. 配置基于路由的 VPN,以保护逻辑系统与远程站点之间的流量安全。请参阅示例:为 VPN 隧道配置 IKE 和 IPsec SA(仅限主管理员)。

也可以看看

示例:为逻辑系统配置多个 VPLS 交换机和 LT 接口

此示例说明如何互连多个逻辑系统。这是通过使用逻辑隧道 (LT) 接口点对点连接(封装以太网、封装帧中继和虚拟专用 LAN 服务交换机)配置多个逻辑系统来实现的。逻辑系统下的多个 LT 接口和多个 VPLS 交换机均已配置为在不离开 SRX 系列防火墙的情况下传递流量。帧中继封装将数据链路连接标识符 (DLCI) 信息添加到给定帧。

要求

此示例使用运行 Junos OS 和逻辑系统的 SRX 系列防火墙。

开始之前:

概述

在此示例中,我们将在一个逻辑系统下配置多个 LT 接口和多个 VPLS 交换机。

在此示例中,我们还配置了具有 LT 接口点对点连接(封装以太网和封装帧中继)的多个逻辑系统互连。

图 1 显示了逻辑系统互连的拓扑结构。

图 1:配置互连逻辑系统 SRX Series device network topology with VPLS connecting logical systems LSYS1, LSYS2, and LSYS3 using logical tunnel interfaces.

  • 对于具有 LT 接口点对点连接(封装以太网)的互连逻辑系统,此示例配置逻辑隧道接口 LT-0/0/0。此示例配置安全区域并为逻辑系统分配接口。

    互连逻辑系统 lt-0/0/0 接口配置以太网作为封装类型。逻辑系统中对应的对等方 lt-0/0/0 接口配置了以太网作为封装类型。安全配置文件将分配给逻辑系统。

  • 对于具有 LT 接口点对点连接(封装帧中继)的逻辑互连系统,此示例配置逻辑隧道接口 LT-0/0/0。此示例配置安全区域并为逻辑系统分配接口。

    互连逻辑系统 lt-0/0/0 接口配置时,帧中继作为封装类型。逻辑系统中相应的对等方 lt-0/0/0 接口配置了帧中继作为封装类型。安全配置文件将分配给逻辑系统。

  • 对于具有多个 VPLS 交换机的互连逻辑系统,此示例将逻辑隧道接口 lt-0/0/0 配置为 ethernet-vpls 作为封装类型。相应的对等方 lt-0/0/0 接口和安全配置文件将分配给逻辑系统。VPLS 交换机 1 和 VPLS 交换机 2 的路由实例也会分配给逻辑系统。

    图 2 显示了逻辑系统与 VPLS 交换机互连的拓扑。

    图 2:使用 VPLS 交换机 Network topology diagram showing Juniper SRX Series devices LSYS1, LSYS2, LSYS2A, LSYS2B, LSYS3, LSYS3A, and VPLS Switches. Devices connect via logical interfaces lt-0/0/x with subnets at the bottom: 192.255.0.0/24, 192.255.2.0/30, 192.255.3.0/30, 192.255.4.0/30.配置互连逻辑系统
    注意:

    一个逻辑系统中可以配置多个 LT 接口。

配置

要为逻辑系统配置接口,请执行以下作:

配置逻辑系统与逻辑隧道接口互连 点对点连接(封装以太网)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器

  1. 定义安全配置文件并分配给逻辑系统。

  2. 将 LT 接口设置为逻辑系统中的封装以太网。

  3. 为逻辑系统 LSYS2 配置对等关系。

  4. 指定 LT 接口的 IP 地址。

  5. 为 LT 接口设置安全区域。

  6. 定义安全配置文件并分配给逻辑系统。

  7. 在逻辑系统 2A 中将 LT 接口设置为封装以太网。

  8. 为逻辑系统 LSYS2A 配置对等关系。

  9. 指定 LT 接口的 IP 地址。

  10. 配置一个安全策略,以允许从 LT 区域到 LT 策略 LT 区域的流量。

  11. 配置允许来自 default-policy 的流量的安全策略。

  12. 配置安全区域。

结果

  • 在配置模式下,输入 show logical-systems LSYS2 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

  • 在配置模式下,输入 show logical-systems LSYS2A 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

配置逻辑系统与逻辑隧道接口互连 点对点连接(封装帧中继)

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅在 配置模式下使用 CLI 编辑器

  1. 定义安全配置文件并分配给逻辑系统。

  2. 在逻辑系统中将 LT 接口设置为封装帧中继。

  3. 通过包含 dlci 来配置逻辑隧道接口。

  4. 在 LT 接口之间配置对等单元关系,从而创建点对点连接。

  5. 指定 LT 接口的 IP 地址。

  6. 为 LT 接口设置安全区域。

  7. 在逻辑系统中将 LT 接口设置为封装帧中继。

  8. 通过包含 dlci 来配置逻辑隧道接口。

  9. 在 LT 接口之间配置对等单元关系,从而创建点对点连接。

  10. 指定 LT 接口的 IP 地址。

  11. 配置一个安全策略,以允许从 LT 区域到 LT 策略 LT 区域的流量。

  12. 配置允许来自 default-policy 的流量的安全策略。

  13. 配置安全区域。

结果

  • 在配置模式下,输入 show logical-systems LSYS3 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

  • 在配置模式下,输入 show logical-systems LSYS3A 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

配置逻辑系统与多个 VPLS 交换机互连

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入。commit

分步程序

下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅在 配置模式下使用 CLI 编辑器

  1. 配置 lt-0/0/0 接口。

  2. 为 VPLS 交换机配置路由实例,并为其添加接口。

  3. 使用 lt-0/0/0.1 接口和对等方 lt-0/0/0.11 配置 LSYS1。

  4. 使用 lt-0/0/0.2 接口和对等方 lt-0/0/0.12 配置 LSYS2。

  5. 使用 lt-0/0/0.3 接口和对等方 lt-0/0/0.13 配置 LSYS3

  6. 使用 lt-0/0/0 接口和对等单元 24 配置 LSYS2B。

  7. 为逻辑系统分配安全配置文件。

结果

  • 在配置模式下,输入 show interfaces lt-0/0/0,命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正

  • 在配置模式下,输入 show routing-instances,命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

  • 在配置模式下,输入 show logical-systems LSYS1,命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

  • 在配置模式下,输入 show logical-systems LSYS2,命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

  • 在配置模式下,输入 show logical-systems LSYS3,命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

  • 在配置模式下,输入 show logical-systems LSYS2B,命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

  • 在配置模式下,输入 show system security-profile,命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。

如果完成设备配置,请从配置模式进入。commit

验证

要确认配置工作正常,请执行以下任务:

验证所有逻辑系统的安全性配置文件

目的

验证每个逻辑系统的安全配置文件。

行动

在作模式下,输入命令 show system security-profile security-log-stream-number logical-system all

意义

配置 security-log-stream 时,输出提供逻辑系统的使用情况和保留值。

验证所有逻辑系统的 LT 接口

目的

验证逻辑系统的接口。

行动

在作模式下,输入命令 show interfaces lt-0/0/0 terse

意义

输出提供 LT 接口的状态。所有 LT 接口均已开启。

也可以看看