主逻辑系统概述
主逻辑系统可以创建用户逻辑系统并配置用户逻辑系统的安全资源。主逻辑系统将逻辑接口分配给用户逻辑系统。有关更多信息,请参阅以下主题:
了解主要逻辑系统和主要管理员角色
当您作为主管理员初始化运行逻辑系统的 SRX 系列防火墙时,在根级别创建主逻辑系统。您可以以 root 身份登录设备并更改 root 密码。
默认情况下,所有系统资源均分配给主逻辑系统,而主管理员将其分配给用户逻辑系统。
作为主管理员,您可以管理设备及其所有逻辑系统。您还可以管理主逻辑系统并配置其分配的资源。管理一个运行逻辑系统的设备时,可以有不止一个主管理员。
主要管理员的角色和主要职责包括:
创建用户逻辑系统并配置其管理员。您可以为每个用户逻辑系统创建一个或多个用户逻辑系统管理员。
为所有逻辑系统创建用户登录帐户,并将其分配给相应的逻辑系统。
如果希望允许设备上的逻辑系统之间进行通信,请配置互连逻辑系统。互连逻辑系统充当内部交换机。它不需要管理员。
要配置互连逻辑系统,请在互连逻辑系统和每个逻辑系统之间配置 lt-0/0/0 接口。这些对等接口有效地允许建立隧道。
配置安全配置文件,以便将系统的安全资源部分调配到用户逻辑系统和主逻辑系统。
只有主管理员可以创建、更改和删除安全配置文件,并将这些配置文件绑定到逻辑系统。
注意:用户逻辑系统管理员可以配置分配给其逻辑系统的接口、路由和安全资源。
创建要分配给用户逻辑系统的逻辑接口。(用户逻辑系统管理员配置分配给其逻辑系统的逻辑接口。)
根据需要查看和管理用户逻辑系统,以及删除用户逻辑系统。删除用户逻辑系统时,将释放其分配的保留资源,供其他逻辑系统使用。
配置 IDP、AppTrack、应用程序识别和应用程序防火墙功能。主管理员还可以在根级别使用跟踪和调试,还可以执行提交回滚。主管理员管理主逻辑系统,并配置用户逻辑系统管理员可以为自己的逻辑系统配置的所有功能,包括路由实例、静态路由、动态路由协议、区域、安全策略、筛选和防火墙身份验证。
另请参阅
SRX 系列逻辑系统主管理员配置任务概述
本主题按执行顺序介绍主管理员的任务。
运行逻辑系统的 SRX 系列防火墙由主管理员管理。主管理员与不运行逻辑系统的 SRX 系列防火墙的根管理员具有相同的功能。但是,主要管理员的角色和职责不仅限于其他 SRX 系列防火墙管理员,因为运行逻辑系统的 SRX 系列防火墙被划分为不同的逻辑系统,每个系统都有自己的资源、配置和管理问题。主要管理员负责创建这些用户逻辑系统,并为其调配资源。
有关主管理员角色和职责的概述,请参阅 了解主要逻辑系统和主管理员角色。
作为主管理员,请执行以下任务以配置运行逻辑系统的 SRX 系列防火墙:
另请参阅
示例:为逻辑系统配置多个 VPLS 交换机和 LT 接口
此示例说明如何互连多个逻辑系统。这是通过使用逻辑隧道 (LT) 接口点对点连接(封装以太网、封装帧中继和虚拟专用 LAN 服务交换机)配置多个逻辑系统来实现的。将逻辑系统和多个 VPLS 交换机下的多个 LT 接口配置为在不离开 SRX 系列防火墙的情况下传输流量。帧中继封装会将数据链路连接标识符 (DLCI) 信息添加到给定帧中。
要求
概述
在此示例中,我们将在一个逻辑系统下配置多个 LT 接口和多个 VPLS 交换机。
在此示例中,我们还配置了使用 LT 接口点对点连接(封装以太网和封装帧中继)互连的多个逻辑系统。
图 1 显示了用于互连逻辑系统的拓扑。
对于具有 LT 接口点对点连接(封装以太网)的互连逻辑系统,示例配置了逻辑隧道接口 lt-0/0/0。此示例配置安全区域并将接口分配给逻辑系统。
互连逻辑系统 lt-0/0/0 接口配置为以太网作为封装类型。逻辑系统中相应的对等方 lt-0/0/0 接口配置以太网作为封装类型。安全配置文件被分配给逻辑系统。
对于具有 LT 接口点到点连接(封装帧中继)的互连逻辑系统,此示例配置逻辑隧道接口 lt-0/0/0。此示例配置安全区域并将接口分配给逻辑系统。
互连逻辑系统 lt-0/0/0 接口配置为帧中继作为封装类型。逻辑系统中相应的对等方 lt-0/0/0 接口配置为帧中继作为封装类型。安全配置文件被分配给逻辑系统。
对于具有多个 VPLS 交换机的互连逻辑系统,此示例将逻辑隧道接口 lt-0/0/0 使用 ethernet-vpls 作为封装类型。相应的对等方 lt-0/0/0 接口和安全配置文件被分配给逻辑系统。VPLS 交换机 1 和 VPLS 交换机 2 的路由实例也会分配给逻辑系统。
图 2 显示了逻辑系统与 VPLS 交换机互连的拓扑。
图 2:使用 VPLS 交换机 配置互连逻辑系统注意:可以在一个逻辑系统中配置多个 LT 接口。
配置
要为逻辑系统配置接口,请执行以下操作:
配置逻辑系统与逻辑隧道接口点对点连接(封装以太网)互连
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit]
CLI 中,然后从配置模式进入 commit
。
set system security-profile SP-user logical-system LSYS2 set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 peer-unit 21 set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 family inet address 192.255.2.1/30 set logical-systems LSYS2 security zones security-zone LT interfaces lt-0/0/0.20 set system security-profile SP-user logical-system LSYS2A set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 encapsulation ethernet set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 peer-unit 20 set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 family inet address 192.255.2.2/30 set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match source-address any set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match destination-address any set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match application any set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT then permit set logical-systems LSYS2A security policies default-policy permit-all set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic system-services all set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic protocols all set logical-systems LSYS2A security zones security-zone LT interfaces lt-0/0/0.21
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
定义安全配置文件并分配给逻辑系统。
[edit] user@host# set system security-profile SP-user logical-system LSYS2
将 LT 接口设置为逻辑系统中的封装以太网。
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 encapsulation ethernet
配置逻辑系统 LSYS2 的对等关系。
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 peer-unit 21
指定 LT 接口的 IP 地址。
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 family inet address 192.255.2.1/30
为 LT 接口设置安全区域。
[edit] user@host# set logical-systems LSYS2 security zones security-zone LT interfaces lt-0/0/0.20
定义安全配置文件并分配给逻辑系统。
[edit] user@host# set system security-profile SP-user logical-system LSYS2A
将 LT 接口设置为逻辑系统 2A 中的封装以太网。
[edit] user@host# set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 encapsulation ethernet
为逻辑系统 LSYS2A 配置对等关系。
[edit] user@host# set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 peer-unit 20
指定 LT 接口的 IP 地址。
[edit] user@host# set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 family inet address 192.255.2.2/30
配置一个安全策略,以允许从 LT 区域到 LT 策略 LT 区域的流量。
[edit] user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match source-address any user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match destination-address any user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match application any user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT then permit
配置允许来自默认策略的流量的安全策略。
[edit] user@host# set logical-systems LSYS2A security policies default-policy permit-all
配置安全区域。
[edit] user@host# set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic system-services all user@host# set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic protocols all user@host# set logical-systems LSYS2A security zones security-zone LT interfaces lt-0/0/0.21
结果
在配置模式下,输入命令以确认
show logical-systems LSYS2
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。[edit] user@host# show logical-systems LSYS2 interfaces { lt-0/0/0 { unit 20 { encapsulation ethernet; peer-unit 21; family inet { address 192.255.2.1/30; } } unit 22 { encapsulation ethernet; peer-unit 23; family inet { address 192.255.4.1/30; } } } } security { zones { security-zone LT { interfaces { lt-0/0/0.22; lt-0/0/0.20; } } } }
在配置模式下,输入命令以确认
show logical-systems LSYS2A
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。[edit] user@host# show logical-systems LSYS2A interfaces { lt-0/0/0 { unit 21 { encapsulation ethernet; peer-unit 20; family inet { address 192.255.2.2/30; } } } } security { policies { from-zone LT to-zone LT { policy LT { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { permit-all; } } zones { security-zone LT { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.21; } } } }
完成设备配置后,请从配置模式进入 commit
。
配置逻辑系统与逻辑隧道接口点对点连接(封装帧中继)互连
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit]
CLI 中,然后从配置模式进入 commit
。
set system security-profile SP-user logical-system LSYS3A set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 encapsulation frame-relay set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 dlci 16 set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 peer-unit 31 set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 family inet address 192.255.3.1/30 set logical-systems LSYS3 security zones security-zone LT interfaces lt-0/0/0.30 set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 encapsulation frame-relay set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 dlci 16 set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 peer-unit 30 set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 family inet address 192.255.3.2/30 set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match source-address any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match destination-address any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match application any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT then permit set logical-systems LSYS3A security policies default-policy permit-all set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic system-services all set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic protocols all set logical-systems LSYS3A security zones security-zone LT interfaces lt-0/0/0.31
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关操作说明,请参阅 在配置模式下使用 CLI 编辑器。
定义安全配置文件并分配给逻辑系统。
[edit] user@host# set system security-profile SP-user logical-system LSYS3A
将 LT 接口设置为逻辑系统中的封装帧中继。
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 encapsulation frame-relay
通过包含 dlci 来配置逻辑隧道接口。
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 dlci 16
配置 LT 接口之间的对等单元关系,从而创建点对点连接。
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 peer-unit 31
指定 LT 接口的 IP 地址。
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 family inet address 192.255.3.1/30
为 LT 接口设置安全区域。
[edit] user@host# set logical-systems LSYS3 security zones security-zone LT interfaces lt-0/0/0.30
将 LT 接口设置为逻辑系统中的封装帧中继。
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 encapsulation frame-relay
通过包含 dlci 来配置逻辑隧道接口。
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 dlci 16
配置 LT 接口之间的对等单元关系,从而创建点对点连接。
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 peer-unit 30
指定 LT 接口的 IP 地址。
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 family inet address 192.255.3.2/30
配置一个安全策略,以允许从 LT 区域到 LT 策略 LT 区域的流量。
[edit] user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match source-address any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match destination-address any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match application any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT then permit
配置允许来自默认策略的流量的安全策略。
[edit] user@host# set logical-systems LSYS3A security policies default-policy permit-all
配置安全区域。
[edit] user@host# set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic system-services all user@host# set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic protocols all user@host# set logical-systems LSYS3A security zones security-zone LT interfaces lt-0/0/0.31
结果
在配置模式下,输入命令以确认
show logical-systems LSYS3
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。[edit] user@host# show logical-systems LSYS3 interfaces { lt-0/0/0 { unit 30 { encapsulation frame-relay; dlci 16; peer-unit 31; family inet { address 192.255.3.1/30; } } } } security { zones { security-zone LT { interfaces { lt-0/0/0.30; } } } }
在配置模式下,输入命令以确认
show logical-systems LSYS3A
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。[edit] user@host# show logical-systems LSYS3A
interfaces { lt-0/0/0 { unit 31 { encapsulation frame-relay; dlci 16; peer-unit 30; family inet { address 192.255.3.2/30; } } } } security { policies { from-zone LT to-zone LT { policy LT { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { permit-all; } } zones { security-zone LT { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.31; } } } }
完成设备配置后,请从配置模式进入 commit
。
配置与多个 VPLS 交换机互连的逻辑系统
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit]
CLI 中,然后从配置模式进入 commit
。
set interfaces lt-0/0/0 unit 11 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 11 peer-unit 1 set interfaces lt-0/0/0 unit 12 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 12 peer-unit 2 set interfaces lt-0/0/0 unit 13 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 13 peer-unit 3 set interfaces lt-0/0/0 unit 23 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 23 peer-unit 22 set interfaces lt-0/0/0 unit 25 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 25 peer-unit 24 set routing-instances vpls-switch-1 instance-type vpls set routing-instances vpls-switch-1 interface lt-0/0/0.11 set routing-instances vpls-switch-1 interface lt-0/0/0.12 set routing-instances vpls-switch-1 interface lt-0/0/0.13 set routing-instances vpls-switch-2 instance-type vpls set routing-instances vpls-switch-2 interface lt-0/0/0.23 set routing-instances vpls-switch-2 interface lt-0/0/0.25 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 11 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 192.255.0.1/24 set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 peer-unit 12 set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 family inet address 192.255.0.2/24 set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 peer-unit 23 set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 family inet address 192.255.4.1/30 set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 encapsulation ethernet set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 peer-unit 13 set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 family inet address 192.255.0.3/24 set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 encapsulation ethernet set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 peer-unit 25 set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 family inet address 192.255.4.2/30 set system security-profile SP-user policy maximum 100 set system security-profile SP-user policy reserved 50 set system security-profile SP-user zone maximum 60 set system security-profile SP-user zone reserved 10 set system security-profile SP-user flow-session maximum 100 set system security-profile SP-user flow-session reserved 50 set system security-profile SP-user logical-system LSYS1 set system security-profile SP-user logical-system LSYS2 set system security-profile SP-user logical-system LSYS3 set system security-profile SP-user logical-system LSYS2B
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关操作说明,请参阅 在配置模式下使用 CLI 编辑器。
配置 lt-0/0/0 接口。
[edit] user@host# set interfaces lt-0/0/0 unit 11 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 11 peer-unit 1 user@host# set interfaces lt-0/0/0 unit 12 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 12 peer-unit 2 user@host# set interfaces lt-0/0/0 unit 13 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 13 peer-unit 3 user@host# set interfaces lt-0/0/0 unit 23 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 23 peer-unit 22 user@host# set interfaces lt-0/0/0 unit 25 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 25 peer-unit 24
为 VPLS 交换机配置路由实例并为其添加接口。
[edit] user@host# set routing-instances vpls-switch-1 instance-type vpls user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.11 user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.12 user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.13 user@host# set routing-instances vpls-switch-2 instance-type vpls user@host# set routing-instances vpls-switch-2 interface lt-0/0/0.23 user@host# set routing-instances vpls-switch-2 interface lt-0/0/0.25
使用 lt-0/0/0.1 接口和对等 lt-0/0/0.11 配置 LSYS1。
[edit] user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 11 user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 192.255.0.1/24
使用 lt-0/0/0.2 接口和对等 lt-0/0/0.12 配置 LSYS2。
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 encapsulation ethernet user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 peer-unit 12 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 family inet address 192.255.0.2/24 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 encapsulation ethernet user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 peer-unit 23 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 family inet address 192.255.4.1/30
使用 lt-0/0/0.3 接口和对等 lt-0/0/0.13 配置 LSYS3
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 encapsulation ethernet user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 peer-unit 13 user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 family inet address 192.255.0.3/24
使用 lt-0/0/0 接口和 peer-unit 24 配置 LSYS2B。
[edit] user@host# set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 encapsulation ethernet user@host# set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 peer-unit 25 user@host# set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 family inet address 192.255.4.2/30
为逻辑系统分配安全配置文件。
[edit] user@host# set system security-profile SP-user policy maximum 100 user@host# set system security-profile SP-user policy reserved 50 user@host# set system security-profile SP-user zone maximum 60 user@host# set system security-profile SP-user zone reserved 10 user@host# set system security-profile SP-user flow-session maximum 100 user@host#set system security-profile SP-user flow-session reserved 50 user@host# set system security-profile SP-user logical-system LSYS1 user@host# set system security-profile SP-user logical-system LSYS2 user@host# set system security-profile SP-user logical-system LSYS3 user@host# set system security-profile SP-user logical-system LSYS2B
结果
在配置模式下,输入 、 命令以确认
show interfaces lt-0/0/0
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正[edit] user@host# show interfaces lt-0/0/0 unit 11 { encapsulation ethernet-vpls; peer-unit 1; } unit 12 { encapsulation ethernet-vpls; peer-unit 2; } unit 13 { encapsulation ethernet-vpls; peer-unit 3; } unit 23 { encapsulation ethernet-vpls; peer-unit 22; } unit 25 { encapsulation ethernet-vpls; peer-unit 24; }
在配置模式下,输入 、 命令以确认
show routing-instances
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。[edit] user@host# show routing-instances vpls-switch-1 { instance-type vpls; interface lt-0/0/0.11; interface lt-0/0/0.12; interface lt-0/0/0.13; } vpls-switch-2 { instance-type vpls; interface lt-0/0/0.23; interface lt-0/0/0.25; }
在配置模式下,输入 、 命令以确认
show logical-systems LSYS1
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。[edit] user@host# show logical-systems LSYS1 interfaces { lt-0/0/0 { unit 1 { encapsulation ethernet; peer-unit 11; family inet { address 192.255.0.1/24; } } } }
在配置模式下,输入 、 命令以确认
show logical-systems LSYS2
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。[edit] user@host# show logical-systems LSYS2 interfaces { lt-0/0/0 { unit 2 { encapsulation ethernet; peer-unit 12; family inet { address 192.255.0.2/24; } } unit 22 { encapsulation ethernet; peer-unit 23; family inet { address 192.255.4.1/30; } } } }
在配置模式下,输入 、 命令以确认
show logical-systems LSYS3
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。[edit] user@host# show logical-systems LSYS3 interfaces { lt-0/0/0 { unit 3 { encapsulation ethernet; peer-unit 13; family inet { address 192.255.0.3/24; } } } }
在配置模式下,输入 、 命令以确认
show logical-systems LSYS2B
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。[edit] user@host# show logical-systems LSYS2B interfaces { lt-0/0/0 { unit 24 { encapsulation ethernet; peer-unit 25; family inet { address 192.255.4.2/30; } } } }
在配置模式下,输入 、 命令以确认
show system security-profile
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。[edit] user@host# show system security-profile SP-user { policy { maximum 100; reserved 50; } zone { maximum 60; reserved 10; } flow-session { maximum 100; reserved 50; } logical-system [ LSYS1 LSYS2 LSYS3 LSYS2B ]; }
完成设备配置后,请从配置模式进入 commit
。
验证
要确认配置工作正常,请执行以下任务:
验证所有逻辑系统的安全配置文件
目的
验证每个逻辑系统的安全配置文件。
行动
在操作模式下,输入 show system security-profile security-log-stream-number logical-system all
命令。
user@host> show system security-profile security-log-stream-number logical-system all
logical system name security profile name usage reserved maximum root-logical-system Default-Profile 2 0 2000 LSYS1 SP-user 1 10 60 LSYS2 SP-user 1 10 60 LSYS2B SP-user 1 10 60 LSYS3 SP-user 1 10 60
意义
配置安全日志流时,输出为逻辑系统提供使用和保留值。
验证所有逻辑系统的 LT 接口
目的
验证逻辑系统的接口。
行动
在操作模式下,输入 show interfaces lt-0/0/0 terse
命令。
user@host> show interfaces lt-0/0/0 terse
Interface Admin Link Proto Local Remote lt-0/0/0 up up lt-0/0/0.1 up up inet 192.255.0.1/24 lt-0/0/0.2 up up inet 192.255.0.2/24 lt-0/0/0.3 up up inet 192.255.0.3/24 lt-0/0/0.11 up up vpls lt-0/0/0.12 up up vpls lt-0/0/0.13 up up vpls lt-0/0/0.22 up up inet 192.255.4.1/30 lt-0/0/0.23 up up vpls lt-0/0/0.24 up up inet 192.255.4.2/30 lt-0/0/0.25 up up vpls lt-0/0/0.32767 up up
意义
输出提供 LT 接口的状态。所有 LT 接口都已启动。