租户系统概述
租户系统支持路由、服务和安全功能。
了解租户系统
租户系统将物理防火墙逻辑分区为独立和隔离的逻辑防火墙。租户系统与逻辑系统类似,但可扩展性更高,路由功能更少。设备上的每个租户系统都允许您控制安全服务的离散管理域。通过将您的设备转换为多租户系统,您可以根据您的环境为各个部门、组织、客户和合作伙伴提供系统资源的专用和逻辑独立使用,以及特定于租户的安全配置和 KPI 视图。主管理员创建和管理所有租户系统。 图 1 显示了具有主逻辑系统和离散租户系统的单个设备。
逻辑系统和租户系统之间的区别
表 1 介绍了逻辑系统和租户系统之间的主要差异。
功能 |
逻辑系统 |
租户系统 |
---|---|---|
功能支持 |
支持所有路由功能,提供最佳数据路由路径。 |
支持路由功能和大规模安全虚拟化,以隔离客户环境。 |
可 伸缩 性 |
在物理 SRX 系列防火墙上最多可以配置 32 个逻辑系统。 |
在物理 SRX 系列防火墙上最多可配置 500 个租户系统,以提供高可扩展性。 |
路由协议进程 |
每个逻辑系统都需要路由协议流程的单独副本,以逻辑方式分离设备上的资源。 |
主逻辑系统有一个路由协议进程,由租户系统共享。此单一路由协议进程支持的路由实例可实现防火墙上的安全资源分离。 |
路由实例 |
系统会自动为每个逻辑系统创建一个默认路由实例。 |
从 Junos OS 19.2R1 版开始,在租户系统中配置的虚拟路由器将作为默认路由实例 |
逻辑接口配置 |
主管理员分配逻辑接口,逻辑系统管理员可以配置接口属性。 |
租户系统管理员无法配置逻辑接口。主管理员将逻辑接口分配给租户系统。 |
逻辑系统和租户系统的用例
需要多个虚拟路由器时,将使用逻辑系统。例如,您有多个与外部网络的连接,并且这些连接不能共存于同一虚拟路由器中。当您需要分离部门、组织或客户时,可以使用租户系统,而且每个部门或客户都可以限制为一个虚拟路由器。逻辑系统和租户系统之间的主要区别在于,逻辑系统支持使用多个路由实例的高级路由功能。相比之下,租户系统仅支持一个路由实例,但支持在每系统部署大量租户。
多租户系统的部署场景
您可以在托管安全服务提供商 (MSSP)、企业网络或分支机构网段等许多环境中部署运行多租户系统的 SRX 系列防火墙。 表 2 介绍了各种部署方案,以及租户系统在这种场景中扮演的角色。
部署场景 |
租户系统的角色 |
---|---|
托管安全服务提供商 (MSSP) |
|
企业网络 |
|
分支机构部门 |
|
租户系统的优势
通过减少组织所需的物理设备数量来降低成本。您可以在单个设备上整合针对各种用户组的服务,从而降低硬件成本、功耗支出和机架空间。
在租户系统级别提供隔离和逻辑隔离。提供大规模管理分离的租户系统的能力,其中每个租户系统都可以定义自己的安全控制和限制,而不会影响其他租户系统。
主管理员和租户系统管理员的角色和职责
主管理员创建和管理所有租户系统。主逻辑系统在根级别创建并分配了单个路由协议进程。尽管此路由协议进程是共享的,但租户系统还是能够在防火墙上实现逻辑资源分离。默认情况下,所有系统资源均分配给主逻辑系统,主管理员将其分配给租户系统管理员。
在 Junos OS 命令行参考中,主逻辑系统称为根逻辑系统。
创建的租户系统由主逻辑系统子化。尽管主逻辑系统下的所有租户共享一个路由进程,但每个租户系统都有一个路由实例。 表 3 介绍了主要管理员和租户系统管理员的角色和职责。
角色 |
定义 |
责任 |
---|---|---|
主管理员 |
具有所有逻辑系统和租户系统的超级用户帐户配置和验证权限。 |
|
租户系统管理员 |
具有所有配置和验证权限的租户系统帐户。
注意:
租户系统管理员的配置和验证权限取决于主管理员在创建租户系统管理员时分配给他们的权限。您可以根据自己的要求为具有不同权限级别的租户系统创建多个租户系统管理员。 |
租户系统管理员不支持以下权限:
|
租户系统容量
表 4 列出了可在设备上创建的最大租户系统数。
平台 |
逻辑系统容量 |
Junos OS 18.4R1 版的租户系统容量 |
---|---|---|
SRX1500 |
32 |
50 |
SRX4100和SRX4200 |
32 |
200 |
SRX4600 |
32 |
300 |
带 SPC2 卡的 SRX5400、SRX5600 和 SRX5800 系列设备 |
32 |
100 |
带 SPC3 卡的 SRX5400、SRX5600 和 SRX5800 系列设备 |
32 |
500 |
配备 SPC2 和 SPC3 卡的 SRX5400、SRX5600 和 SRX5800 系列设备 |
32 |
100 |
从 Junos OS 18.4R1 版开始,可以在配备第三代服务处理卡 (SRX5K-SPC3) 和第二代服务处理卡 (SRX5K-SPC-4-15-320) 的SRX5000线路安全服务网关上受支持。在 Junos OS 18.4R1 版之前,租户系统仅在 SPC2 上受支持。
另请参阅
租户系统配置概述
主管理员创建租户系统并分配管理员来管理租户系统。一个租户系统可以有多个管理员。 了解租户系统介绍了租户系统管理员的角色和职责。
主管理员配置逻辑接口,并将这些接口分配给租户系统。配置一个路由实例和路由协议,并为路由实例添加选项。请参阅 为租户系统配置路由实例。
租户系统有自己的配置数据库。配置成功后,更改将合并到每个租户系统的主数据库。多个租户系统一次可以执行配置更改。一次只能为一个租户提交更改。如果主管理员和租户系统管理员同时执行配置更改,则主管理员执行的配置更改将覆盖租户系统管理员执行的配置更改。
以下步骤介绍了租户系统管理员在租户系统中配置安全功能时执行的任务:
为租户系统配置路由实例
路由实例是路由表、接口和路由协议参数的集合。属于路由实例的一组接口和路由协议参数控制路由实例中的信息。租户系统可以配置分配的路由实例以及属于租户系统内路由实例的接口。
只能为租户系统创建一个路由实例。
以下过程介绍了在租户系统的路由表中配置路由实例和接口的步骤:
要查看租户系统的 TSYS1
配置,请运行 show tenants TSYS1
命令。
routing-instances { r1 { instance-type virtual-router; interface lt-0/0/0.101; interface xe-0/0/0.0; interface xe-0/0/1.0; routing-options { router-id 1.1.1.101; } } }
命令 show tenants TSYS1
将显示为租户系统 TSYS1
配置的所有路由实例参数。
了解租户系统的路由和接口
路由实例是路由表、接口和路由协议参数的集合。接口用于转发路由实例的数据,以及使用路由协议从其他对等方(SRX 系列防火墙)学习路由信息。
逻辑接口 (IFL) 可以在以下任一级别上定义:
全局级别(根逻辑系统)
用户逻辑系统级别
租户系统级别(从 Junos OS 18.4R1 版开始)
在全局级别定义的 IFL 可以在根逻辑系统或其中一个租户系统中使用。租户系统中定义的 IFL 只能在该租户系统中使用。
默认路由实例不适用于租户系统。因此,当为租户系统创建自定义路由实例时,应将该租户系统中定义的所有接口添加到该路由实例中。
概述:为租户系统配置路由和接口
本概述说明如何为租户系统配置接口和路由实例。
要求
开始之前:
确定分配哪些逻辑接口以及可选择分配哪些逻辑隧道接口。请参阅 租户系统配置概述。
概述
以下过程介绍了在租户系统内的路由表中配置路由实例和接口的步骤。
本主题配置 表 5 中描述的接口和路由实例。
特征 |
名字 |
配置参数 |
---|---|---|
接口 |
ge-0/0/2.1 ge-0/0/2.2 ge-0/0/2.3 |
|
路由实例 |
r1 R 2 |
|
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit]
CLI 中,然后从配置模式进入 commit
。
set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2.3 vlan-id 103 set interfaces ge-0/0/2.3 family inet address 10.0.0.3/24 set tenants TSYS1 set tenants TSYS1 interfaces ge-0/0/2.1 vlan-id 101 set tenants TSYS1 interfaces ge-0/0/2.1 family inet address 10.0.0.1/24 set tenants TSYS1 routing-instances r1 instance-type virtual-router set tenants TSYS1 routing-instances r1 interface ge-0/0/2.1 set tenants TSYS1 routing-instances r1 interface ge-0/0/2.3 set tenants TSYS2 set tenants TSYS2 interfaces ge-0/0/2.2 vlan-id 102 set tenants TSYS2 interfaces ge-0/0/2.2 family inet address 10.0.0.2/24 set tenants TSYS2 routing-instances r2 instance-type virtual-router set tenants TSYS2 routing-instances r2 interface ge-0/0/2.2
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 Junos OS CLI 用户指南 中的在配置模式下使用 CLI 编辑器 。
要配置用户逻辑系统中的接口和路由实例,
将接口配置为支持 VLAN 标记。
[edit] user@host# set interfaces ge-0/0/2 vlan-tagging
在根级别配置 IFL。
[edit] set interfaces ge-0/0/2.3 vlan-id 103 set interfaces ge-0/0/2.3 family inet address 10.0.0.3/24
创建名为的
TSYS1
租户系统。[edit] user@host# set tenants TSYS1
在租户系统 TSYS1 中定义接口。
[edit] user@host# set tenants TSYS1 interfaces ge-0/0/2.1 vlan-id 101 user@host# set tenants TSYS1 interfaces ge-0/0/2.1 family inet address 10.0.0.1/24 user@host# set tenants TSYS1 routing-instances r1 interface ge-0/0/2.3
创建路由实例
r1
并为租户系统分配路由实例类型。[edit] user@host# set tenants TSYS1 routing-instances r1 instance-type virtual-router
指定路由实例的接口名称。
[edit] user@host# set tenants TSYS1 routing-instances r1 interface ge-0/0/2.1
创建名为的
TSYS2
租户系统。[edit] user@host# set tenants TSYS2
在租户系统 TSYS2 中定义接口。
[edit] user@host# set tenants TSYS2 interfaces ge-0/0/2.2 vlan-id 102 user@host# set tenants TSYS2 interfaces ge-0/0/2.2 family inet address 10.0.0.2/24
创建路由实例
r2
并为租户系统分配路由实例类型。[edit] user@host# set tenants TSYS2 routing-instances r2 instance-type virtual-router
指定路由实例的接口名称。
[edit] user@host# set tenants TSYS2 routing-instances r2 interface ge-0/0/2.2
提交配置。
[edit] user@host# commit
结果
在配置模式下,输入和 show tenants
命令以确认show interfaces
您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit] user@host# show interfaces ge-0/0/2 { vlan-tagging; unit 3 { vlan-id 103; family inet { address 10.0.0.3/24; } } }
[edit] user@host# show tenants TSYS1 { interfaces { ge-0/0/2 { unit 1 { vlan-id 101; family inet { address 10.0.0.1/24; } } } } routing-instances { r1 { instance-type virtual-router; interface ge-0/0/2.1; interface ge-0/0/2.3; } } } TSYS2 { interfaces { ge-0/0/2 { unit 2 { vlan-id 102; family inet { address 10.0.0.2/24; } } } } routing-instances { r2 { instance-type virtual-router; interface ge-0/0/2.2; } } }
命令 show tenants
会显示在租户系统和 TSYS1
中定义的所有接口, TSYS2
以及为两个租户系统配置的路由实例参数。
user@host> show interfaces ge-0/0/2.1 detail Logical interface ge-0/0/2.1 (Index 89) (SNMP ifIndex 548) (Generation 161) Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.101 ] Encapsulation: ENET2 Tenant Name: TSYS1 Traffic statistics: Input bytes : 0 Output bytes : 46 Input packets: 0 Output packets: 1 Local statistics: Input bytes : 0 Output bytes : 46 Input packets: 0 Output packets: 1 Transit statistics: Input bytes : 0 0 bps Output bytes : 0 0 bps Input packets: 0 0 pps Output packets: 0 0 pps Security: Zone: Null Flow Statistics : ..............................
user@host> show interfaces ge-0/0/2.2 detail Logical interface ge-0/0/2.2 (Index 90) (SNMP ifIndex 549) (Generation 162) Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.102 ] Encapsulation: ENET2 Tenant Name: TSYS2 Traffic statistics: Input bytes : 0 Output bytes : 46 Input packets: 0 Output packets: 1 Local statistics: Input bytes : 0 Output bytes : 46 Input packets: 0 Output packets: 1 Transit statistics: Input bytes : 0 0 bps Output bytes : 0 0 bps Input packets: 0 0 pps Output packets: 0 0 pps Security: Zone: Null Flow Statistics : Flow Input statistics : Self packets : 0 ICMP packets : 0 VPN packets : ..............................
了解租户系统安全配置文件(仅限主管理员)
租户系统允许您将受支持的 SRX 系列防火墙以虚拟方式划分为多个设备,从而保护设备免受入侵和攻击,并保护设备免受自身环境之外故障情况的影响。为了保护租户系统,安全资源的配置方式类似于为离散设备配置它们的方式。但是,主管理员向租户系统分配资源。
运行租户系统的 SRX 系列防火墙可以划分为租户系统、互连租户系统(如有必要)和默认主逻辑系统。系统初始化后,主逻辑系统在根处创建。系统会为其分配所有系统资源,从而有效地创建默认的主逻辑系统安全配置文件。要跨租户系统分配安全资源,主管理员需创建安全配置文件,以指定要分配给租户系统的资源。只有主管理员才能配置安全配置文件并将其绑定到租户系统。租户系统管理员将这些资源用于相应的租户系统。
租户系统由分配给它们的资源定义,包括安全组件、接口、路由实例、静态路由和动态路由协议。主管理员配置安全配置文件并将其分配给租户系统。如果没有为租户分配安全配置文件,就无法提交租户系统配置。
本主题包含以下部分:
租户系统安全配置文件
主管理员可以配置安全配置文件并将其分配给特定租户系统或多个租户系统。可配置的最大安全配置文件数量取决于 SRX 系列防火墙的容量。创建最大安全配置文件数后,需要删除安全配置文件并提交配置更改,然后才能创建并提交其他安全配置文件。在许多情况下,由于您可以将单个安全配置文件绑定到多个租户系统,因此需要的安全配置文件更少。
安全配置文件允许您:
在所有租户系统之间适当地共享设备的资源,包括策略、区域、地址和地址簿、流会话以及各种形式的 NAT。您可以为租户系统分配各种数量的资源,并允许租户系统有效地利用这些资源。
安全配置文件可防止一个租户系统耗尽其他租户系统同时需要的资源。当设备流量大时,安全配置文件可保护关键系统资源,并在租户系统之间保持更好的性能。安全配置文件可抵御主导资源的一个租户系统,并允许其他租户系统有效地使用这些资源。
以可扩展方式配置设备,以便创建其他租户系统。
您需要先删除租户系统的安全配置文件,然后才能删除该租户系统。
了解系统如何评估整个租户系统的资源分配和使用
要配置具有安全功能的租户系统,主管理员将配置一个安全配置文件,用于为每个安全功能指定资源:
保留的配额可确保租户系统始终可以使用指定的资源量。
允许的最大配额。如果租户系统需要超过保留配额的其他资源,则如果全局资源未分配给其他租户系统,则它可以利用为全局最大数量配置的资源。允许的最大配额不保证为安全配置文件中的资源指定数量可用。租户系统需要基于可用资源有效地利用全局资源。
如果未为资源配置保留配额,则默认值为 0。如果未为资源配置允许的最大配额,则默认值为该资源的全局系统配额(全局系统配额取决于平台)。主管理员必须在安全配置文件中配置相应的允许的最大配额值,以便特定租户系统的最大资源使用情况不会对设备上配置的其他租户系统产生负面影响。
系统维护所有分配的资源计数,这些资源在删除租户系统时将保留、使用和再次可用。此计数确定资源是否可用于租户系统,还是通过租户系统的安全配置文件增加分配给现有租户系统的资源量。
在安全配置文件中配置的资源的特点是静态模块化资源或动态资源。对于静态资源,我们建议将资源的最大配额设置为等于或接近其保留配额指定的数量,以便允许租户系统的可扩展配置。资源的最大配额通过访问更多资源为租户系统提供了更大的灵活性,但它限制了可分配给其他租户系统的资源量。
可以在安全配置文件中指定以下安全功能资源:
安全区域
用于安全策略的地址和地址簿
应用程序防火墙规则集
应用程序防火墙规则
防火墙身份验证
流会话和门
NAT,包括:
圆锥 NAT 绑定
NAT 目标规则
NAT 目标池
源池中的 NAT IP 地址,不带端口地址转换 (PAT)
注意:没有 PAT 的 IPv6 源池中的 IPv6 地址不包括在安全配置文件中。
使用 PAT 的源池中的 NAT IP 地址
NAT 端口过载
NAT 源池
NAT 源规则
NAT 静态规则
流会话以外的所有资源都是静态的。
当该安全配置文件分配给其他租户系统时,您可以动态修改租户系统安全配置文件。但是,为了确保不会超过系统资源配额,系统将采取以下措施:
如果静态配额发生变化,则维护租户系统对安全配置文件中指定资源计数的系统进程随后将重新评估分配给与静态配额关联的配置文件的安全配置文件。此检查会识别跨所有租户系统分配的资源数量,以确定分配的资源(包括增加的资源数量)是否可用。
这些配额检查与添加租户系统并将安全配置文件绑定到该租户系统时执行的配额检查相同。当您将当前分配给它的安全配置文件与当前分配给它的安全配置文件绑定到现有租户系统(或主逻辑系统)时,也会执行这些配置文件。
如果修订了动态配额,则不会执行检查,但将对未来的资源使用施加修订后的配额。
案例:评估通过安全配置文件分配的保留资源
要了解系统如何通过安全配置文件评估保留资源的分配,请考虑 表 7 中介绍的以下三种情况以及资源和区域的地址分配。为简化示例,在安全配置文件-1:4 个保留区域和最多 6 个区域中分配了 10 个区域。此示例假定为租户系统指定的最大数量(6 个区域)可用。系统最大区域数为 10。
这三种情况解决了整个租户系统的配置问题。这三种情况验证配置在根据区域分配提交时是成功还是失败。
表 6 显示了安全配置文件及其区域分配。
配置案例中使用的两个安全配置文件 |
---|
安全配置文件-1
注意:
主管理员稍后会动态增加此配置文件指定的保留区域计数。 |
主逻辑系统配置文件
|
表 7 显示了三个案例,说明了系统如何根据安全配置文件配置评估租户系统内区域预留资源。
第一个案例的配置会成功,因为在绑定到所有租户系统的安全配置文件中配置的区域的累计保留资源配额为 8,低于系统最大资源配额。
第二种情况的配置失败,因为在绑定到所有逻辑系统的安全配置文件中配置的区域的累计保留资源配额为 12,大于系统最大资源配额。
第三种情况的配置失败,因为在绑定到所有租户系统的安全配置文件中配置的区域的累计保留资源配额为 12,大于系统最大资源配额。
跨租户系统的保留资源配额检查 |
---|
示例 1:成功 此配置在边界内:4+4+0=8,最大容量 = 10。 使用的安全配置文件
|
示例 2:失败 此配置超出限制:4+4+4=12,最大容量 = 10。
安全配置文件
|
示例 3:失败 此配置超出限制:6+6=12,最大容量 = 10。 主管理员修改安全配置文件 1 中的保留区域配额,将计数增加到 6。
|
示例:创建租户系统、租户系统管理员和互连 VPLS 交换机
此示例说明如何创建租户系统、租户系统管理员和互连 VPLS 交换机。只有主管理员可以为租户系统管理员创建用户登录帐户,并互连 VPLS 交换机。
要求
此示例使用以下硬件和软件组件:
-
SRX 系列防火墙。
-
Junos OS 18.4R1 及更高版本。
-
开始创建租户系统、租户系统管理员和互连 VPLS 交换机之前,请阅读 租户系统概述 ,了解此任务如何适合整个配置过程。
概述
此示例说明如何创建租户系统 TSYS1
、 TSYS2
和 TSYS3
以及租户系统管理员。您可以根据您的要求为具有不同权限级别的租户系统创建多个租户系统管理员。
本主题还介绍了将一个租户系统连接到同一设备上的另一个租户系统的互连虚拟专用 LAN 服务 (VPLS) 交换机。VPLS 交换机支持在租户系统终止的传输流量和流量在租户系统之间传输。要允许流量在租户系统之间传输,应在同一子网中配置逻辑隧道 (lt-0/0/0) 接口。
完整 SRX 快速配置
配置逻辑系统和租户系统,以及互连 VPLS 交换机
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,并将详细信息更改为与网络配置匹配的详细信息,以包括接口和用户密码。然后将命令复制并粘贴到层级的 [edit]
CLI 中,然后从配置模式进入 commit
。
set system login class TSYS1admin1 tenant TSYS1 set system login class TSYS1admin1 permissions all set system login class TSYS2admin1 tenant TSYS2 set system login class TSYS2admin1 permissions all set system login class TSYS3admin1 tenant TSYS3 set system login class TSYS3admin1 permissions all set system login user TSYS1admin1 uid 2001 set system login user TSYS1admin1 class TSYS1admin1 set system login user TSYS1admin1 authentication encrypted-password "$ABC123" set system login user TSYS2admin1 uid 2003 set system login user TSYS2admin1 class TSYS2admin1 set system login user TSYS2admin1 authentication encrypted-password "$ABC123" set system login user TSYS3admin1 uid 2005 set system login user TSYS3admin1 class TSYS3admin1 set system login user TSYS3admin1 authentication encrypted-password "$ABC123" set system security-profile SP0 logical-system root-ls set system security-profile SP1 tenant TSYS1 set system security-profile SP2 tenant TSYS2 set system security-profile SP3 tenant TSYS3 set logical-systems root-ls interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set logical-systems root-ls interfaces lt-0/0/0 unit 0 encapsulation ethernet set logical-systems root-ls interfaces lt-0/0/0 unit 0 peer-unit 100 set logical-systems root-ls interfaces lt-0/0/0 unit 0 family inet address 10.0.1.10/24 set logical-systems root-ls routing-options static route 192.168.1.0/24 next-hop 10.0.1.1 set logical-systems root-ls routing-options static route 192.168.2.0/24 next-hop 10.0.1.2 set logical-systems root-ls routing-options static route 192.168.3.0/24 next-hop 10.0.1.3 set logical-systems root-ls security address-book global address TSYS1 192.168.1.0/24 set logical-systems root-ls security address-book global address TSYS2 192.168.2.0/24 set logical-systems root-ls security address-book global address TSYS3 192.168.3.0/24 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS1 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS2 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS3 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match destination-address any set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match application any set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out then permit set logical-systems root-ls security zones security-zone trust host-inbound-traffic system-services ping set logical-systems root-ls security zones security-zone trust interfaces lt-0/0/0.0 set logical-systems root-ls security zones security-zone untrust host-inbound-traffic system-services ping set logical-systems root-ls security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces lt-0/0/0 unit 1 encapsulation ethernet set interfaces lt-0/0/0 unit 1 peer-unit 101 set interfaces lt-0/0/0 unit 1 family inet address 10.0.1.1/24 set interfaces lt-0/0/0 unit 2 encapsulation ethernet set interfaces lt-0/0/0 unit 2 peer-unit 102 set interfaces lt-0/0/0 unit 2 family inet address 10.0.1.2/24 set interfaces lt-0/0/0 unit 3 encapsulation ethernet set interfaces lt-0/0/0 unit 3 peer-unit 103 set interfaces lt-0/0/0 unit 3 family inet address 10.0.1.3/24 set interfaces lt-0/0/0 unit 100 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 100 peer-unit 0 set interfaces lt-0/0/0 unit 101 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 101 peer-unit 1 set interfaces lt-0/0/0 unit 102 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 102 peer-unit 2 set interfaces lt-0/0/0 unit 103 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 103 peer-unit 3 set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.254/24 set interfaces ge-0/0/2 unit 0 family inet address 192.168.2.254/24 set interfaces ge-0/0/3 unit 0 family inet address 192.168.3.254/24 set routing-instances VPLS instance-type vpls set routing-instances VPLS interface lt-0/0/0.100 set routing-instances VPLS interface lt-0/0/0.101 set routing-instances VPLS interface lt-0/0/0.102 set routing-instances VPLS interface lt-0/0/0.103 set tenants TSYS1 routing-instances vr1 instance-type virtual-router set tenants TSYS1 routing-instances vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS1 routing-instances vr1 interface lt-0/0/0.1 set tenants TSYS1 routing-instances vr1 interface ge-0/0/1.0 set tenants TSYS1 security address-book global address PC1 192.168.1.0/24 set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match source-address PC1 set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match destination-address any set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match application any set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out then permit set tenants TSYS1 security zones security-zone PC1 host-inbound-traffic system-services ping set tenants TSYS1 security zones security-zone PC1 interfaces ge-0/0/1.0 set tenants TSYS1 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS1 security zones security-zone VPLS interfaces lt-0/0/0.1 set tenants TSYS2 routing-instances vr2 instance-type virtual-router set tenants TSYS2 routing-instances vr2 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS2 routing-instances vr2 interface lt-0/0/0.2 set tenants TSYS2 routing-instances vr2 interface ge-0/0/2.0 set tenants TSYS2 security address-book global address PC2 192.168.2.0/24 set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match source-address PC2 set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match destination-address any set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match application any set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out then permit set tenants TSYS2 security zones security-zone PC2 host-inbound-traffic system-services ping set tenants TSYS2 security zones security-zone PC2 interfaces ge-0/0/2.0 set tenants TSYS2 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS2 security zones security-zone VPLS interfaces lt-0/0/0.2 set tenants TSYS3 routing-instances vr3 instance-type virtual-router set tenants TSYS3 routing-instances vr3 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS3 routing-instances vr3 interface lt-0/0/0.3 set tenants TSYS3 routing-instances vr3 interface ge-0/0/3.0 set tenants TSYS3 security address-book global address PC3 192.168.3.0/24 set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match source-address PC3 set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match destination-address any set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match application any set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out then permit set tenants TSYS3 security zones security-zone PC3 host-inbound-traffic system-services ping set tenants TSYS3 security zones security-zone PC3 interfaces ge-0/0/3.0 set tenants TSYS3 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS3 security zones security-zone VPLS interfaces lt-0/0/0.3
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。我们将仅为分步过程提供一个租户的配置。
-
为每个租户创建登录用户帐户。我们将仅显示创建租户
TSYS1
用户帐户的步骤。-
创建用户登录类并将其分配给租户系统。
[edit] user@SRX# set system login class TSYS1admin1 tenant TSYS1
-
为登录类分配一个权限级别,对于此示例,我们将使用允许租户系统管理员完全访问的级别
all
。[edit] user@SRX# set system login class TSYS1admin1 permissions all
-
创建用户帐户并将其分配给之前步骤中的类。这样用户就可以登录租户系统。
[edit] user@SRX# set system login user TSYS1admin1 class TSYS1admin1
-
为用户帐户创建用户登录密码。
[edit] user@SRX# set system login user TSYS1admin1 authentication plain-text-password New password: "$ABC123" Retype new password: "$ABC123"
-
-
配置 VPLS 交换机。VPLS 交换机支持在租户系统上终止的传输流量和流量使用单一逻辑隧道在租户系统之间传递。逻辑隧道接口应配置在同一子网中,以允许租户系统之间的流量。
-
配置逻辑隧道接口。
[edit] user@SRX# set interfaces lt-0/0/0 unit 100 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 100 peer-unit 0 user@SRX# set interfaces lt-0/0/0 unit 101 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 101 peer-unit 1 user@SRX# set interfaces lt-0/0/0 unit 102 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 102 peer-unit 2 user@SRX# set interfaces lt-0/0/0 unit 103 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 103 peer-unit 3
-
为 VPLS 交换机配置路由实例并分配逻辑隧道接口。
[edit] user@SRX# set routing-instances VPLS instance-type vpls user@SRX# set routing-instances VPLS interface lt-0/0/0.100 user@SRX# set routing-instances VPLS interface lt-0/0/0.101 user@SRX# set routing-instances VPLS interface lt-0/0/0.102 user@SRX# set routing-instances VPLS interface lt-0/0/0.103
-
-
配置租户系统。我们仅显示一个租户的配置。
-
配置与租户关联的接口。
[edit] user@SRX# set interfaces lt-0/0/0 unit 1 encapsulation ethernet user@SRX# set interfaces lt-0/0/0 unit 1 peer-unit 101 user@SRX# set interfaces lt-0/0/0 unit 1 family inet address 10.0.1.1/24 user@SRX# set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.254/24
-
配置租户、路由实例、静态路由并分配接口。
[edit] user@SRX# set tenants TSYS1 routing-instances vr1 instance-type virtual-router user@SRX# set tenants TSYS1 routing-instances vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 user@SRX# set tenants TSYS1 routing-instances vr1 interface lt-0/0/0.1 user@SRX# set tenants TSYS1 routing-instances vr1 interface ge-0/0/1.0
-
-
配置 安全配置文件。我们仅显示了为此示例配置逻辑系统和租户系统所需的最低配置。
[edit] user@SRX# set system security-profile SP0 logical-system root-ls user@SRX# set system security-profile SP1 tenant TSYS1 user@SRX# set system security-profile SP2 tenant TSYS2 user@SRX# set system security-profile SP3 tenant TSYS3
-
配置逻辑系统。此示例使用互连 VPLS 交换机需要逻辑系统。
-
配置接口。
[edit] user@SRX# set logical-systems root-ls interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 encapsulation ethernet user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 peer-unit 100 user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 family inet address 10.0.1.10/24
-
配置静态路由。
[edit] user@SRX# set logical-systems root-ls routing-options static route 192.168.1.0/24 next-hop 10.0.1.1 user@SRX# set logical-systems root-ls routing-options static route 192.168.2.0/24 next-hop 10.0.1.2 user@SRX# set logical-systems root-ls routing-options static route 192.168.3.0/24 next-hop 10.0.1.3
-
-
在逻辑系统中配置安全区域和策略,以允许流量从租户流向互联网。可以在逻辑系统和租户系统上配置其他安全策略,以允许租户之间的流量。
-
配置安全区域。
[edit] user@SRX# set logical-systems root-ls security zones security-zone trust host-inbound-traffic system-services ping user@SRX# set logical-systems root-ls security zones security-zone trust interfaces lt-0/0/0.0 user@SRX# set logical-systems root-ls security zones security-zone untrust host-inbound-traffic system-services ping user@SRX# set logical-systems root-ls security zones security-zone untrust interfaces ge-0/0/0.0
-
配置安全策略。
[edit] user@SRX# set logical-systems root-ls security address-book global address TSYS1 192.168.1.0/24 user@SRX# set logical-systems root-ls security address-book global address TSYS2 192.168.2.0/24 user@SRX# set logical-systems root-ls security address-book global address TSYS3 192.168.3.0/24 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS1 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS2 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS3 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match destination-address any user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match application any user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out then permit
-
-
在每个租户系统中配置安全区域和策略,以允许流量流向互联网。
-
配置安全区域。
[edit] user@SRX# set tenants TSYS1 security zones security-zone PC1 host-inbound-traffic system-services ping user@SRX# set tenants TSYS1 security zones security-zone PC1 interfaces ge-0/0/1.0 user@SRX# set tenants TSYS1 security zones security-zone VPLS host-inbound-traffic system-services ping user@SRX# set tenants TSYS1 security zones security-zone VPLS interfaces lt-0/0/0.1
-
配置安全策略。
[edit] user@SRX# set tenants TSYS1 security address-book global address PC1 192.168.1.0/24 user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match source-address PC1 user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match destination-address any user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match application any user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out then permit
-
结果
在配置模式下,输入 show tenants TSYS1
命令以验证是否已创建租户系统,以确认您的配置。输入命令以查看 show system login class TSYS1admin1
您定义的每个类的权限级别。要确保创建租户系统管理员,请输入 show system login user TSYS1admin1
命令。要确保创建 VPLS 交换机互连接口,请输入 show interfaces
命令。Enter show logical-systems
以验证根逻辑系统配置。
user@SRX# show tenants TSYS1 routing-instances { vr1 { instance-type virtual-router; routing-options { static { route 0.0.0.0/0 next-hop 10.0.1.10; } } interface lt-0/0/0.1; interface ge-0/0/1.0; } } security { address-book { global { address PC1 192.168.1.0/24; } } policies { from-zone PC1 to-zone VPLS { policy allow-out { match { source-address PC1; destination-address any; application any; } then { permit; } } } } zones { security-zone PC1 { host-inbound-traffic { system-services { ping; } } interfaces { ge-0/0/1.0; } } security-zone VPLS { host-inbound-traffic { system-services { ping; } } interfaces { lt-0/0/0.1; } } } }
user@SRX# show system login class TSYS1admin1 tenant TSYS1; permissions all;
user@SRX# show system login user TSYS1admin1 uid 2001; class TSYS1admin1; authentication { encrypted-password "$ABC123"; }
user@SRX# show interfaces lt-0/0/0 { unit 1 { encapsulation ethernet; peer-unit 101; family inet { address 10.0.1.1/24; } } unit 2 { encapsulation ethernet; peer-unit 102; family inet { address 10.0.1.2/24; } } unit 3 { encapsulation ethernet; peer-unit 103; family inet { address 10.0.1.3/24; } } unit 100 { encapsulation ethernet-vpls; peer-unit 0; } unit 101 { encapsulation ethernet-vpls; peer-unit 1; } unit 102 { encapsulation ethernet-vpls; peer-unit 2; } unit 103 { encapsulation ethernet-vpls; peer-unit 3; } } ge-0/0/1 { unit 0 { family inet { address 192.168.1.254/24; } } } ge-0/0/2 { unit 0 { family inet { address 192.168.2.254/24; } } } ge-0/0/3 { unit 0 { family inet { address 192.168.3.254/24; } } }
user@SRX# show logical-systems root-ls { interfaces { ge-0/0/0 { unit 0 { family inet { address 192.168.10.1/24; } } } lt-0/0/0 { unit 0 { encapsulation ethernet; peer-unit 100; family inet { address 10.0.1.10/24; } } } } routing-options { static { route 192.168.1.0/24 next-hop 10.0.1.1; route 192.168.2.0/24 next-hop 10.0.1.2; route 192.168.3.0/24 next-hop 10.0.1.3; } } security { address-book { global { address TSYS1 192.168.1.0/24; address TSYS2 192.168.2.0/24; address TSYS3 192.168.3.0/24; } } policies { from-zone trust to-zone untrust { policy allow-out { match { source-address [ TSYS1 TSYS2 TSYS3 ]; destination-address any; application any; } then { permit; } } } } zones { security-zone trust { host-inbound-traffic { system-services { ping; } } interfaces { lt-0/0/0.0; } } security-zone untrust { host-inbound-traffic { system-services { ping; } } interfaces { ge-0/0/0.0; } } } } }
如果输出未显示预期的配置,请重复这些示例中的配置说明,以便进行更正。完成设备配置后,请从配置模式进入 commit
。
验证
确认配置工作正常。
使用主管理员验证租户系统和登录配置
目的
验证租户系统是否存在,以及是否可以以主管理员身份从 root 输入它们。从租户系统返回到根节点。
行动
在操作模式下,使用以下命令进入租户系统 TSYS1
:
user@SRX> set cli tenant TSYS1 Tenant: TSYS1 user@SRX:TSYS1>
现在,您已进入租户系统 TSYS1
。使用以下命令从租户系统 TSYS1
退出到 root:
user@SRX:TSYS1> clear cli tenant Cleared default tenants user@SRX>
意义
租户系统存在,您可以从根进入租户系统,以主管理员身份。
使用 SSH 验证租户系统和登录配置
目的
验证您创建的租户系统是否存在,以及您创建的管理员登录 ID 和密码是否正确。
行动
使用 SSH 登录到每个用户租户系统管理员。
-
运行 SSH,指定 SRX 系列防火墙的 IP 地址。
-
输入您创建的租户系统管理员的登录 ID 和密码。登录后,提示显示租户系统管理员姓名。请注意此结果与从根主逻辑系统登录到租户系统时产生的结果有何不同。对所有租户系统重复此过程。
login: TSYS1admin1 Password: "$ABC123" TSYS1admin1@SRX: TSYS1>
意义
租户系统管理员 TSYS1admin1
存在,您可以以租户系统管理员的身份登录。
验证 PC1 与互联网的连接
目的
验证端到端连接。
行动
Ping 并运行从 PC1 到互联网的 traceroute。在我们的示例中,互联网是 192.168.10.254。
-
从 PC1 运行 ping。
user@PC1> ping 192.168.10.254 count 2 PING 192.168.10.254 (192.168.10.254): 56 data bytes 64 bytes from 192.168.10.254: icmp_seq=0 ttl=62 time=3.178 ms 64 bytes from 192.168.10.254: icmp_seq=1 ttl=62 time=3.082 ms --- 192.168.10.254 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.082/3.130/3.178/0.048 ms
-
从 PC1 运行 traceroute。
user@PC1> traceroute 192.168.10.254 traceroute to 192.168.10.254 (192.168.10.254), 30 hops max, 52 byte packets 1 192.168.1.254 (192.168.1.254) 2.188 ms 1.779 ms 1.896 ms 2 10.0.1.10 (10.0.1.10) 1.888 ms 1.535 ms 1.661 ms 3 192.168.10.254 (192.168.10.254) 3.243 ms 15.077 ms 3.499 ms
意义
PC1 能够接入互联网。
ping
传递到 、
telnet
、 、
ssh
、
traceroute
show arp
、
clear arp
、
show ipv6 neighbors
和
clear ipv6 neighbors
命令。