Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

主逻辑系统概述

主逻辑系统可以创建用户逻辑系统并配置用户逻辑系统的安全资源。主逻辑系统将逻辑接口分配给用户逻辑系统。有关更多信息,请参阅以下主题:

了解主要逻辑系统和主要管理员角色

当您作为主管理员初始化运行逻辑系统的 SRX 系列防火墙时,在根级别创建主逻辑系统。您可以以 root 身份登录设备并更改 root 密码。

默认情况下,所有系统资源均分配给主逻辑系统,而主管理员将其分配给用户逻辑系统。

作为主管理员,您可以管理设备及其所有逻辑系统。您还可以管理主逻辑系统并配置其分配的资源。管理一个运行逻辑系统的设备时,可以有不止一个主管理员。

  • 主要管理员的角色和主要职责包括:

    • 创建用户逻辑系统并配置其管理员。您可以为每个用户逻辑系统创建一个或多个用户逻辑系统管理员。

    • 为所有逻辑系统创建用户登录帐户,并将其分配给相应的逻辑系统。

    • 如果希望允许设备上的逻辑系统之间进行通信,请配置互连逻辑系统。互连逻辑系统充当内部交换机。它不需要管理员。

      要配置互连逻辑系统,请在互连逻辑系统和每个逻辑系统之间配置 lt-0/0/0 接口。这些对等接口有效地允许建立隧道。

    • 配置安全配置文件,以便将系统的安全资源部分调配到用户逻辑系统和主逻辑系统。

      只有主管理员可以创建、更改和删除安全配置文件,并将这些配置文件绑定到逻辑系统。

      注意:

      用户逻辑系统管理员可以配置分配给其逻辑系统的接口、路由和安全资源。

    • 创建要分配给用户逻辑系统的逻辑接口。(用户逻辑系统管理员配置分配给其逻辑系统的逻辑接口。)

    • 根据需要查看和管理用户逻辑系统,以及删除用户逻辑系统。删除用户逻辑系统时,将释放其分配的保留资源,供其他逻辑系统使用。

    • 配置 IDP、AppTrack、应用程序识别和应用程序防火墙功能。主管理员还可以在根级别使用跟踪和调试,还可以执行提交回滚。主管理员管理主逻辑系统,并配置用户逻辑系统管理员可以为自己的逻辑系统配置的所有功能,包括路由实例、静态路由、动态路由协议、区域、安全策略、筛选和防火墙身份验证。

SRX 系列逻辑系统主管理员配置任务概述

本主题按执行顺序介绍主管理员的任务。

运行逻辑系统的 SRX 系列防火墙由主管理员管理。主管理员与不运行逻辑系统的 SRX 系列防火墙的根管理员具有相同的功能。但是,主要管理员的角色和职责不仅限于其他 SRX 系列防火墙管理员,因为运行逻辑系统的 SRX 系列防火墙被划分为不同的逻辑系统,每个系统都有自己的资源、配置和管理问题。主要管理员负责创建这些用户逻辑系统,并为其调配资源。

有关主管理员角色和职责的概述,请参阅 了解主要逻辑系统和主管理员角色

作为主管理员,请执行以下任务以配置运行逻辑系统的 SRX 系列防火墙:

  1. 配置 root 密码。初始主管理员以 root 用户身份登录设备,无需指定密码。登录设备后,必须定义 root 密码,以便以后使用。

    请参阅 示例:为逻辑系统配置 root 密码 ,了解配置信息。

  2. 创建用户逻辑系统及其管理员和用户。或者,创建互连逻辑系统。

    对于要在设备上配置的每个用户逻辑系统,您必须创建一个逻辑系统,为其定义一个或多个管理员,然后向其中添加用户。

    主管理员为用户逻辑系统管理员和用户配置登录帐户,并将其与用户逻辑系统相关联。一个用户逻辑系统可以有不止一个管理员;主管理员必须定义并添加所有用户逻辑系统管理员,并将其添加到他们的用户逻辑系统中。

    主管理员代表用户逻辑系统管理员将用户添加到用户逻辑系统中。例如,如果您为产品设计部门创建了用户逻辑系统,则必须为属于该部门的用户创建用户帐户,并将其与用户逻辑系统相关联。用户逻辑系统管理员无法做到这一点。相反,用户逻辑管理员会告诉您您必须为其逻辑系统创建和添加的用户帐户。

  3. 配置一个或多个安全配置文件。安全配置文件将安全资源分配给逻辑系统。如果打算为多个逻辑系统分配相同种类和数量的资源,则可以将单个安全配置文件分配给多个逻辑系统。
  4. 根据需要为逻辑系统配置接口、路由实例和静态路由。
    • 如果计划使用互连逻辑系统,请配置其逻辑隧道接口,并将其添加到其虚拟路由实例中。

    • 为主逻辑系统配置接口。或者,创建其逻辑隧道接口,以使其能够与设备上的其他逻辑系统通信。为主逻辑系统创建虚拟路由实例,并为其添加接口和静态路由。此外,还可以为带有 VLAN 标记的用户逻辑系统配置逻辑接口。

      注意:

      主管理员会告诉用户逻辑系统管理员为他们的逻辑系统分配了哪些接口。用户逻辑系统管理员负责配置其接口。

    • 或者,为希望允许使用内部 VPLS 交换机相互通信的任何用户逻辑系统配置逻辑隧道接口。VPLS 是一种虚拟专用网络 (VPN) 技术。它允许点对点第 2 层隧道连接。

      通过创建 VPLS 类型路由实例 (RI),我们定义 VPLS 交换机。VPLS 交换机的行为类似于 L2 以太网交换机。我们将多个 LT IFL 分配给 VPLS 交换机。每个 LT IFL 都有封装以太网-vpls,这充当 L2 交换机端口。要连接到 VPLS 交换机,每个逻辑系统都会创建一个 LT IFL 并分配给 VPLS 交换机的端口。

      从 Junos OS 18.2R1 版开始,无需为包括 VPLS 交换机在内的专用互连逻辑系统定义。为便于使用,VPLS 交换机在根逻辑系统中进行了定义。此方法可通过为每个逻辑系统配置多个 VPLS 交换机和 LT IFL 来实现。

      当一个 LT 逻辑接口连接到 VPLS 交换机时,路由引擎将从 LT 接口的 MAC 地址池中分配 VPLS 交换机唯一的 MAC 地址。这决定了连接 VPLS 交换机的 LT IFL 的数量。

  5. 启用 CPU 利用率控制并配置 CPU 控制目标,并为逻辑系统保留 CPU 配额。请参阅示例:配置 CPU 利用率(仅限主管理员)。
  6. 或者,为主逻辑系统配置动态路由协议。请参阅 示例:为主逻辑系统配置 OSPF 路由协议
  7. 为主逻辑系统配置区域、安全策略和安全功能。请参阅 示例:为主逻辑系统配置安全功能
  8. 为主逻辑系统配置 IDP。请参阅 示例:为主逻辑系统配置 IDP 策略
  9. 在主逻辑系统上配置应用程序防火墙服务。请参阅了解逻辑系统应用程序防火墙服务和示例:为主逻辑系统配置应用程序防火墙服务
  10. 配置基于路由的 VPN,以保护逻辑系统和远程站点之间的流量。请参阅示例:为 VPN 隧道配置 IKE 和 IPsec SA(仅限主管理员)。

示例:为逻辑系统配置多个 VPLS 交换机和 LT 接口

此示例说明如何互连多个逻辑系统。这是通过使用逻辑隧道 (LT) 接口点对点连接(封装以太网、封装帧中继和虚拟专用 LAN 服务交换机)配置多个逻辑系统来实现的。将逻辑系统和多个 VPLS 交换机下的多个 LT 接口配置为在不离开 SRX 系列防火墙的情况下传输流量。帧中继封装会将数据链路连接标识符 (DLCI) 信息添加到给定帧中。

要求

此示例使用运行具有逻辑系统的 Junos OS 的 SRX 系列防火墙。

开始之前:

概述

在此示例中,我们将在一个逻辑系统下配置多个 LT 接口和多个 VPLS 交换机。

在此示例中,我们还配置了使用 LT 接口点对点连接(封装以太网和封装帧中继)互连的多个逻辑系统。

图 1 显示了用于互连逻辑系统的拓扑。

图 1:配置互连逻辑系统 Configuring the interconnect logical systems
  • 对于具有 LT 接口点对点连接(封装以太网)的互连逻辑系统,示例配置了逻辑隧道接口 lt-0/0/0。此示例配置安全区域并将接口分配给逻辑系统。

    互连逻辑系统 lt-0/0/0 接口配置为以太网作为封装类型。逻辑系统中相应的对等方 lt-0/0/0 接口配置以太网作为封装类型。安全配置文件被分配给逻辑系统。

  • 对于具有 LT 接口点到点连接(封装帧中继)的互连逻辑系统,此示例配置逻辑隧道接口 lt-0/0/0。此示例配置安全区域并将接口分配给逻辑系统。

    互连逻辑系统 lt-0/0/0 接口配置为帧中继作为封装类型。逻辑系统中相应的对等方 lt-0/0/0 接口配置为帧中继作为封装类型。安全配置文件被分配给逻辑系统。

  • 对于具有多个 VPLS 交换机的互连逻辑系统,此示例将逻辑隧道接口 lt-0/0/0 使用 ethernet-vpls 作为封装类型。相应的对等方 lt-0/0/0 接口和安全配置文件被分配给逻辑系统。VPLS 交换机 1 和 VPLS 交换机 2 的路由实例也会分配给逻辑系统。

    图 2 显示了逻辑系统与 VPLS 交换机互连的拓扑。

    图 2:使用 VPLS 交换机 Configuring the interconnect logical systems with VPLS switches配置互连逻辑系统
    注意:

    可以在一个逻辑系统中配置多个 LT 接口。

配置

要为逻辑系统配置接口,请执行以下操作:

配置逻辑系统与逻辑隧道接口点对点连接(封装以太网)互连

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器

  1. 定义安全配置文件并分配给逻辑系统。

  2. 将 LT 接口设置为逻辑系统中的封装以太网。

  3. 配置逻辑系统 LSYS2 的对等关系。

  4. 指定 LT 接口的 IP 地址。

  5. 为 LT 接口设置安全区域。

  6. 定义安全配置文件并分配给逻辑系统。

  7. 将 LT 接口设置为逻辑系统 2A 中的封装以太网。

  8. 为逻辑系统 LSYS2A 配置对等关系。

  9. 指定 LT 接口的 IP 地址。

  10. 配置一个安全策略,以允许从 LT 区域到 LT 策略 LT 区域的流量。

  11. 配置允许来自默认策略的流量的安全策略。

  12. 配置安全区域。

结果
  • 在配置模式下,输入命令以确认 show logical-systems LSYS2 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

  • 在配置模式下,输入命令以确认 show logical-systems LSYS2A 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

配置逻辑系统与逻辑隧道接口点对点连接(封装帧中继)互连

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关操作说明,请参阅 在配置模式下使用 CLI 编辑器

  1. 定义安全配置文件并分配给逻辑系统。

  2. 将 LT 接口设置为逻辑系统中的封装帧中继。

  3. 通过包含 dlci 来配置逻辑隧道接口。

  4. 配置 LT 接口之间的对等单元关系,从而创建点对点连接。

  5. 指定 LT 接口的 IP 地址。

  6. 为 LT 接口设置安全区域。

  7. 将 LT 接口设置为逻辑系统中的封装帧中继。

  8. 通过包含 dlci 来配置逻辑隧道接口。

  9. 配置 LT 接口之间的对等单元关系,从而创建点对点连接。

  10. 指定 LT 接口的 IP 地址。

  11. 配置一个安全策略,以允许从 LT 区域到 LT 策略 LT 区域的流量。

  12. 配置允许来自默认策略的流量的安全策略。

  13. 配置安全区域。

结果
  • 在配置模式下,输入命令以确认 show logical-systems LSYS3 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

  • 在配置模式下,输入命令以确认 show logical-systems LSYS3A 您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

配置与多个 VPLS 交换机互连的逻辑系统

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关操作说明,请参阅 在配置模式下使用 CLI 编辑器

  1. 配置 lt-0/0/0 接口。

  2. 为 VPLS 交换机配置路由实例并为其添加接口。

  3. 使用 lt-0/0/0.1 接口和对等 lt-0/0/0.11 配置 LSYS1。

  4. 使用 lt-0/0/0.2 接口和对等 lt-0/0/0.12 配置 LSYS2。

  5. 使用 lt-0/0/0.3 接口和对等 lt-0/0/0.13 配置 LSYS3

  6. 使用 lt-0/0/0 接口和 peer-unit 24 配置 LSYS2B。

  7. 为逻辑系统分配安全配置文件。

结果
  • 在配置模式下,输入 、 命令以确认 show interfaces lt-0/0/0您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正

  • 在配置模式下,输入 、 命令以确认 show routing-instances您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

  • 在配置模式下,输入 、 命令以确认 show logical-systems LSYS1您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

  • 在配置模式下,输入 、 命令以确认 show logical-systems LSYS2您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

  • 在配置模式下,输入 、 命令以确认 show logical-systems LSYS3您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

  • 在配置模式下,输入 、 命令以确认 show logical-systems LSYS2B您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

  • 在配置模式下,输入 、 命令以确认 show system security-profile您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证

要确认配置工作正常,请执行以下任务:

验证所有逻辑系统的安全配置文件

目的

验证每个逻辑系统的安全配置文件。

行动

在操作模式下,输入 show system security-profile security-log-stream-number logical-system all 命令。

意义

配置安全日志流时,输出为逻辑系统提供使用和保留值。

验证所有逻辑系统的 LT 接口

目的

验证逻辑系统的接口。

行动

在操作模式下,输入 show interfaces lt-0/0/0 terse 命令。

意义

输出提供 LT 接口的状态。所有 LT 接口都已启动。