使用逻辑系统的虚拟化数据中心
逻辑系统支持 VDC 设计使用虚拟化技术,如虚拟 VPN (VNS)、虚拟路由器、虚拟路由转发器、虚拟间路由转发,以提供灵活的流量隔离。有关详细信息,请参阅以下主题:
适用于大型企业网络的双层虚拟化数据中心解决方案
下面介绍了一瞻博网络层、高速、多服务虚拟化数据中心 (VDC)。两层架构可满足虚拟化服务器环境的低延迟要求,并支持保持不同业务部门之间控制分段的过度安全性要求。
网络流量分段
瞻博网络 VDC 设计使用虚拟化技术,如虚拟 VPN (VNS)、虚拟路由器、虚拟路由转发器、虚拟间路由转发和逻辑系统,以提供灵活的流量隔离。
完全冗余的两层数据中心设计包含位于接入层的 瞻博网络 EX 系列 以太网交换机 用于服务器连接,MX 系列 5G 通用路由平台 作为折叠式 LAN 聚合/核心层,以及群集式 SRX 系列服务网关,用于跨数据中心信任边界提供防火墙安全服务。
灵活性
瞻博网络 VDC 设计使用 802.1Q VLAN、MPLS、BGP、虚拟路由器冗余协议 (VRRP)、流量工程和快速重新路由来提供设计灵活性,同时保持基于标准的方法。设计还可以支持虚拟专用 LAN 服务 (VPLS)。
安全
VDC 瞻博网络设计使用安全区域来实施策略实施点。SRX 群集负责对跨业务部门信任边界的流量以及数据中心的所有入口和出口流量执行所有状态数据包检测。
每个瞻博网络 Junos 操作系统系统都配置了不同的管理员帐户,该逻辑系统支持对网络资源的受限访问,并且可针对个别业务单位进行自定义。
接入和可用性
在 瞻博网络 VDC 设计中,如 示例: 为大型企业网络配置双层虚拟化数据中心 ,架顶式 (TOR) EX 系列交换机提供对服务器的访问并提供冗余。
TOR 交换机的所有上行链路都是 802.1Q 中继链路,直接端接在聚合/核心层中作为交付点 (POD) 的每个 MX 系列设备中。
VRRP 实例在 MX 系列设备内的每个 VLAN 上定义,用作给定 VLAN 中所有服务器主机的默认路由器。为了允许 VRRP 正常工作,每个桥接域都通过互连链路在每个 MX 系列设备之间扩展。MX 系列设备使用集成路由和桥接 (IRB) 接口作为每个桥接域的第 3 层接口,并且 VRRP 配置为冗余。
MX 系列设备之间使用一对 802.3ad 聚合以太网束。每个 MX 系列设备都分为多个逻辑系统。MX 系列设备中的逻辑系统用于定义数据中心自身内部以及各个业务部门之间的逻辑信任边界。
作为防火墙的一对群集 SRX 系列设备跨数据中心信任边界提供安全服务。SRX 系列设备上虚拟路由器用作每个业务部门的客户边缘 (客户边缘) 路由器。
数据平面的单个冗余组在 SRX 系列服务网关上定义,两个冗余以太网接口作为成员接口。此冗余组处理 SRX 系列防火墙的数据平面故障切换,其配置使北向或南向 SRX 系列接口的任何丢失都迫使到辅助节点执行完全故障切换。这种故障切换本质上是一种第 1 层故障转移,这意味着它可快速发生,并且不会中断上述路由拓扑。
经济高效的增量式扩展
VDC 瞻博网络 VDC 设计支持网络的增量扩展。这允许以最低成本创建 VDC,以满足当前需求。
接入层可在机架顶部添加 EX 系列交换机以扩展。
聚合/核心层可以通过在给定 POD 中添加额外的 MX 系列设备来扩展。
安全服务可以通过在 SRX 系列设备中添加 4 端口 10 千兆位以太网 I/O 卡 (IPC) 和服务处理卡 (SPC) 来扩展。IPC 的添加提高了 10 千兆位以太网端口密度。将每个 SPC 卡添加到机箱后,机箱又增加了 10 Gbps (5 Gbps Internet mix (IMIX))、200 万个会话, 150 Gbps (47.5 Gbps IMIX)、1000 万个会话和 350,000 CPS(在 Junos OS 版本 10.2 中测量),最高可达到最大额定容量。
编排和自动化
VDC 瞻博网络采用 瞻博网络 Junos Space管理平台。Junos Space包括用于扩展服务、简化网络操作以及实现复杂网络环境支持自动化的应用程序产品组合。
此外,网络设备配置为支持后台安全复制协议 (SCP) 文件传输、提交脚本和文件存档网站。
另请参阅
大型企业网络的两层虚拟化数据中心要求
大型企业对于其数据中心设计必须满足的托管环境具有一定的特定需求。本节介绍作为服务提供商运营的公司的各业务部门 (BUS) 的要求。
大型企业的虚拟化数据中心 (VDC) 的主要要求之一就是能够按业务部门分段网络。这包括流量分段和管理控制分段。
其他要求包括业务单位之间的安全控制、公司与外部环境之间的安全控制、增长和适应网络的灵活性,以及管理整个网络强大且经济高效的方式。
网络流量分段
此处介绍的要求是,通过几种方式隔离网络资源。信息流必须按业务单位分段。除非特别允许,否则必须禁止网段之间的流量。流量隔离必须在指定的策略实施点进行控制。网络资源必须专用于一个分段,但网络必须灵活更改资源分配。
分段的资源必须从逻辑上根据策略进行分组。例如,测试流量必须从生产流量隔离。还必须根据业务实体、合同要求、法律或法规要求、风险评级和企业标准隔离流量。
网络分段设计不得破坏业务,必须与更大的数据中心和云网络设计集成,允许业务单位访问全球网络资源,并且必须支持新的业务功能。
灵活性
网络设计必须足够灵活,以最少的设计和再工程工作对业务和环境变化作出反应。VDC 设计必须灵活,将业务部门工作负载与其他业务部门和一般数据中心服务和应用隔离。网络解决方案必须确保发生网络和分段变更时,业务受到影响最小。
VDC 必须足够灵活,必须可以实施:
在单个数据中心内
在数据厅内
跨两个或多个数据中心
跨两个或多个数据中心内部或跨数据中心之间的数据中心
在数据中心与外部云服务提供商之间
安全
网络设计必须允许业务部门在托管环境内隔离。发生网络安全事件时,业务部门必须独立于托管环境和其他业务部门。
默认情况下,业务部门网段之间的流量必须拒绝,并且仅在数据中心服务提供商拥有和控制的策略实施点明确允许。
策略实施点必须包含访问控制功能,可能包括威胁防御功能。
接入和可用性
VDC 必须提供对通用数据中心服务的访问,如计算、存储、安全、流量管理、操作和应用程序。网络必须在多家全球服务提供商之间运行,并且必须在整个网络中提供最优、可预测性和一致的性能。VDC 必须跨数据中心业务部门实施。
网络解决方案必须满足服务级别协议中定义的业务部门可用性要求。
经济高效的增量式扩展
VDC 设计必须经济高效,企业才能运行,并且必须支持新的业务功能。必须以增量方式实施网络解决方案,同时对业务的影响降至最低。
编排和自动化
VDC 设计必须包含支持调配、可用性和工作负载监控及报告自动化的管理系统。工作负载和可用性报告必须由业务部门提供。
另请参阅
示例:为大型企业网络配置双层虚拟化数据中心
此示例提供为大型企业网络配置双层虚拟化数据中心的逐步过程。
要求
此示例具有以下硬件和软件组件:
在 10.2 通用路由平台版Junos OS运行两个 MX 系列 5G 系列
六个 EX 系列以太网交换机版本 10.2 Junos OS版本运行
两个运行于 10.4 Junos OS更高版本的 SRX 系列服务网关
配置双层虚拟化数据中心概述
此示例提供为大型企业配置双层虚拟化数据中心的逐步过程。该示例中的步骤遵循以下步骤:从使用 VLAN 17 连接到 BU2 中的服务器的接口,到逻辑系统 Trust1,通过虚拟路由器 MX-VR2,通过虚拟路由器 SRX-VR2,到逻辑系统不信任的 VRF2,然后连接到核心网络。
此示例的核心网络同时支持基于 IP 的路由和MPLS标签交换。SRX 系列设备上虚拟路由器执行客户边缘 (客户边缘) 路由器的功能。MX 系列设备的 VPN 路由和转发 (VRF) 路由实例执行服务提供商边缘 (PE) 路由器的功能。OSPF 协议用作内部网关协议,以将路由承载至 PE 路由器环路地址,该地址用作此示例支持的基于 IP 和 MPLS 的网络的 BGP 下一跳跃地址。
此示例中的步骤代表整个网络配置。该示例未显示每个虚拟设备的每一个步骤。
此示例中使用的物理连接如图 1 所示。
此示例中使用的逻辑连接如图 2 所示。
在逻辑拓扑图中:
用户跨企业核心网络(如顶部所示)访问数据中心。
在逻辑系统中配置的虚拟路由器 对 MX 系列设备不信任将流量转发至 SRX 系列设备上不可信安全区域中配置的单独虚拟路由器。这些虚拟路由器用作各个业务部门的边缘路由器。
在活动 SRX 系列设备上配置的虚拟路由器将流量转发至可信安全区域。
在 MX 系列设备上独立逻辑系统中配置的虚拟路由器将流量转发至 EX 系列设备上配置的 VLA 的桥接域。
业务部门 1 需要额外分离。在这种情况下,在 SRX 系列设备上配置的虚拟路由器 (VR) 将流量直接转发至 EX 系列设备的桥接域。
EX 系列设备将流量切换至数据中心服务器。
SRX 系列设备将安全策略应用于通过不信任边界的所有流量以及逻辑系统之间转发的所有流量。
SRX 系列设备在主动/被动群集中配置,使集群中一次只有一个节点在数据转发平面上处于活动状态。
SRX 系列设备配置了数据平面的单一冗余组。冗余组使用两个以太网接口( 和 图
reth1reth21)作为成员接口。
配置接入层
通过执行以下操作来配置访问层:
配置接口
逐步过程
此过程介绍如何配置接入层设备的物理、逻辑和网络管理接口。此过程显示了配置的一个代表示例。示例未显示每个接口的配置。
配置接入层面向服务器的 10 千兆位以太网接口。
此示例使用 VLAN ID
ge-0/0/17配置接口17。包括
member语句,在 层次结构级别指定 VLAN17[edit interfaces ge-0/0/17 unit 0 family ethernet-switching vlan]ID。[edit interfaces ge-0/0/17 unit 0] user@ex# set family ethernet-switching vlan members 17
使用相应的接口名称和 VLAN 编号,对每个面向服务器的接口重复此步骤。
将 EX 系列设备的 10 千兆位以太网中继接口配置为两台 MX 系列设备。
此示例配置 和
xe-0/1/2xe-0/1/0接口。包括
port-mode语句,在trunk和 层次结构[edit interfaces xe-0/1/2 unit 0 family ethernet-switching]级别指定[edit interfaces xe-0/1/0 unit 0 family ethernet-switching]选项。包括
members语句,在all和 层次结构[edit interfaces xe-0/1/2 unit 0 family ethernet-switching vlan]级别[edit interfaces xe-0/1/0 unit 0 family ethernet-switching]指定 选项。[edit interfaces xe-0/1/2 unit 0] user@ex# set family ethernet-switching port-mode trunk user@ex# set family ethernet-switching vlan members all
[edit interfaces xe-0/1/0 unit 0] user@ex# set family ethernet-switching port-mode trunk user@ex# set family ethernet-switching vlan members all
使用相应的接口名称,对每个 10 千兆位以太网中继接口重复此步骤。
为环路逻辑接口启用 IPv4 地址族。
包括
family语句并指定inet选项以在层级启用 IPv4。[edit interfaces lo0 unit 0][edit interfaces lo0 unit 0] user@ex# set family inet
使用相应设备地址,对每个 EX 系列设备重复此步骤。
配置 EX 系列设备管理以太网接口。
此示例配置逻辑
unit 0接口。包括
family语句,在inet层级指定[edit me0 unit 0]选项。包括
address语句,在10.8.108.19/24层次结构级别指定为 IPv4[edit interfaces me0 unit 0 family inet]地址。[edit interfaces me0 unit 0] user@ex# set family inet address 10.8.108.19/24
使用相应管理接口地址,对每个 EX 系列设备重复此步骤。
在接入层中配置 VLAN
逐步过程
此过程介绍如何配置 VLAN 名称和标记 ID,并将中继接口与其中一个接入层设备关联。此过程显示了配置的一个代表示例。示例未显示每个 VLAN 的配置。
为 EX 系列设备上每个 VLAN 配置 VLAN 名称和标记 ID(编号)。
此示例使用名称和标记 ID 配置
vlan1717VLAN。包括
vlan-id语句,在 层次结构级别指定为17VLAN 标记[edit vlans vlan17]ID。[edit vlans vlan17] user@ex# set vlan-id 17
使用相应的 VLAN 名称和标记 ID,对每个 EX 系列设备上每个 VLAN 都重复此步骤。
将逻辑中继接口与 EX 系列设备上每个 VLAN 进行关联。
此示例将逻辑接口和
xe-0/1/0.0xe-0/1/2.0vlan17关联到 。在
interface层次结构xe-0/1/0.0级别中包括 语句[edit vlans vlan17]并指定 。包括
interface语句,xe-0/1/2.0在 层次结构[edit vlans vlan17]级别中指定 。[edit vlans vlan17] user@ex# set interface xe-0/1/0.0 user@ex# set interface xe-0/1/2.0
使用相应的中继接口名称,对每个 EX 系列设备上每个 VLAN 重复此步骤。
配置冗余中继组并禁用中继接口的生成树协议
逐步过程
此过程介绍如何在中继接口上配置冗余中继组并禁用快速生成树协议 (RSTP)。
将中继接口配置为冗余中继组。
此示例在名为
xe-0/1/0.0的冗余中继组中配置 和xe-0/1/2.0中继接口rtgroup1。在
interface层次结构级别[edit ethernet-switching-options redundant-trunk-group group rtgroup1]中包括 语句,并指定每个中继接口名称。在
primary层次结构级别[edit ethernet-switching-options redundant-trunk-group group rtgroup1 xe-0/1/2.0]中包括 语句。[edit ethernet-switching-options redundant-trunk-group group rtgroup1] user@ex# set interface xe-0/1/0.0 user@ex# set interface xe-0/1/2.0 primary
使用相应的接口名称,对每个冗余中继组重复此步骤。
禁用中继接口上的 RSTP。
在 EX 系列设备上,默认情况下会启用 RSTP。RSTP 不能与路由在相同的接口上启用。
此示例禁用 和 中继接口上的
xe-0/1/0.0RSTP。xe-0/1/2.0在
disable和 层次结构[edit protocols rstp interface xe-0/1/0.0]级别[edit protocols rstp interface xe-0/1/2.0]中包括 语句。[edit protocols rstp] user@ex# set interface xe-0/1/0.0 disable user@ex# set interface xe-0/1/2.0 disable
使用相应的接口名称,对每个面向核心的中继接口重复此步骤。
配置管理自动化
逐步过程
此过程介绍如何配置到管理网络的静态路由、支持后台安全复制协议 (SCP) 文件传输的已知主机、commit 脚本和事件存档网站。
配置静态路由,以便以太网管理接口可以到达管理网络。
包括
route语句,并10.8.0.0/16指定为层级管理网络的 IPv4[edit routing-options static]子网地址。包括 语句,并指定层级下一跃点路由器的
next-hopIPv4[edit routing-options static route 10.8.0.0/16]主机地址。[edit routing-options static] user@ex# set route 10.8.0.0/16 next-hop 10.8.108.254
为 EX 系列设备上每个以太网管理接口重复此步骤。
配置 SSH 已知主机。
包括
host语句,并指定 IPv4 地址和 RSA 主机在层次结构级别可信任服务器[edit security ssh-known-hosts]的关键选项。此示例将截短 RSA 主机密钥,使其更易于阅读。[edit security ssh-known-hosts] user@ex# set host 127.0.0.1 rsa-key AAAAB3NzaC1yc2
对每个 EX 系列设备重复此步骤。
配置出站 SSH 以支持瞻博网络服务支持系统 (JSS) 消息瞻博网络 (JMB) 传输。
此示例将客户端 ID 配置为
00187D0B670D。包括
client语句,00187D0B670D指定作为客户端 ID,在层次结构10.8.7.32级别指定为 IPv4[edit system services outbound-ssh]地址。包括
port语句,在7804层次结构级别指定 作为 TCP[edit system services outbound-ssh client 00187D0B670D 10.8.7.32]端口。在 层次结构级别中包括 语句并指定为设备
device-idFA022D[edit system services outbound-ssh client 00187D0B670D]ID。在
secret层次结构级别[edit system services outbound-ssh client 00187D0B670D ]中包括 语句。包括
services语句,在netconf层次结构级别指定 作为[edit system services outbound-ssh client 00187D0B670D ]可用服务。[edit system services outbound-ssh client 00187D0B670D] user@ex# set 10.8.7.32 port 7804 user@ex# set device-id FA022D user@ex# set secret "$ABC123" user@ex# set services netconf
对每个 EX 系列设备重复此步骤。
配置 commit 脚本。
此示例中的脚本文件名为
jais-activate-scripts.slax。在
allow-transients层次结构级别[edit system scripts commit]中包括 语句。在
optional层次结构级别[edit system scripts commit file jais-activate-scripts.slax]中包括 语句。[edit system scripts commit] user@ex# set allow-transients user@ex# set file jais-activate-scripts.slax optional
对每个 EX 系列设备重复此步骤。
配置事件存档网站。
在此例中,存档 URL 是本地
/var/tmp/目录,并且指定至目标的名称为juniper-aim。包括
archive-sites语句,在 层次结构级别指定[edit event-options destinations juniper-aim]存档 URL。[edit event-options destinations juniper-aim] user@ex# set archive-sites "scp://admin@127.0.0.1://var/tmp" password “12345”
对每个 EX 系列设备重复此步骤。
在可信逻辑系统中配置聚合层
通过执行以下操作来配置聚合层:
在可信逻辑系统中配置接口
逐步过程
此过程介绍如何在聚合层可信安全区域为逻辑系统配置物理、逻辑和 3 层路由接口。此过程显示了配置的一个代表示例。示例未显示每个接口的配置。
在物理接口上启用灵活的 VLAN 标记。
此示例配置物理接口
xe-1/0/0。包括
encapsulation语句,在flexible-ethernet-services层级指定[edit interfaces xe-1/0/0]选项。在
flexible-vlan-tagging层次结构级别[edit interfaces xe-1/0/0]中包括 语句。[edit interfaces xe-1/0/0] user@mx# set encapsulation flexible-ethernet-services user@mx# set flexible-vlan-tagging
为连接到 EX 系列、SRX 系列和 MX 系列设备且使用相应接口名称的物理接口重复此步骤。
配置连接到 EX 系列接入层设备的 10 千兆位以太网接口。
此示例在名为 的逻辑系统下
17xe-1/0/0配置接口上的逻辑接口Trust1。包括
encapsulation语句,在vlan-bridge层级指定[edit logical-systems Trust1 interfaces xe-1/0/0 unit 17]选项。包括
vlan-id语句,在17层次结构级别指定为 VLAN[edit logical-systems Trust1 interfaces xe-1/0/0 unit 17]ID。[edit logical-systems Trust1 interfaces xe-1/0/0 unit 17] user@mx# set encapsulation vlan-bridge user@mx# set vlan-id 17
使用相应的接口名称、逻辑接口编号、VLAN ID 和逻辑系统名称,为连接到接入层设备的每一个接口重复此步骤。
配置连接到图 1 中所示的其他 MX 系列设备的 10千兆位以太网接口。
此示例在接口上
17配置逻辑xe-0/1/0接口。包括
encapsulation语句,在vlan-bridge层级指定[edit logical-systems Trust1 interfaces xe-0/1/0 unit 17]选项。包括
vlan-id语句,并17指定为 层级的 VLAN 标记[edit logical-systems Trust1 interfaces xe-0/1/0 unit 17]ID。[edit logical-systems Trust1 interfaces xe-0/1/0 unit 17] user@mx# set encapsulation vlan-bridge user@mx# set vlan-id 17
使用相应的接口名称、逻辑接口编号、VLAN ID 和逻辑系统名称,为连接到图 1 中所示的其他 MX 系列设备的每一个接口重复此步骤。
配置连接到 SRX 系列设备的 10 千兆位以太网接口。
此示例在接口上
15配置逻辑xe-1/1/0接口。包括encapsulation语句,在vlan-bridge层级指定[edit logical-systems Trust1 interfaces xe-1/1/0 unit 15]选项。包括
vlan-id语句,并15指定为 层级的 VLAN 标记[edit logical-systems Trust1 interfaces xe-1/1/0 unit 15]ID。[edit logical-systems Trust1 interfaces xe-1/1/0 unit 15] user@mx# set encapsulation vlan-bridge user@mx# set vlan-id 15
使用相应的接口名称、逻辑接口编号、VLAN ID 和逻辑系统名称,为连接到 SRX 系列设备的每一个接口重复此步骤。
配置第 3 层集成路由和桥接 (IRB) 接口地址。
此示例将逻辑接口配置为 名为 的逻辑系统
unit 1710.17.2.2/24下的 IPv4 地址Trust1。包括address语句,在10.17.2.2/24层次结构级别指定为 IPv4[edit logical-systems Trust1 interfaces irb unit 17 family inet]地址。[edit logical-systems Trust1 interfaces irb unit 17 family inet] user@mx# set address 10.17.2.2/24
使用适当的逻辑接口名称和 IPv4 地址,对每个第 3 层 IBR 重复此步骤。
配置 IRB 接口以加入虚拟路由器冗余协议 (VRRP)。
此示例将逻辑
unit 17接口配置为17VRRP 组名称。包括
virtual-address语句,并指定为 层级的虚拟路由器10.17.2.1的 IPv4[edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17]地址。在
accept-data层次结构级别中包括 语句,以便接口接受发往虚拟 IP 地址[edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17]的数据包。包括
priority语句,200并指定作为路由器在层级的[edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17]优先级。包括
fast-interval该语句,并200指定为 层级的 VRRP 通告[edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17]之间的间隔。在
preempt层次结构级别[edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17]中包括 语句。[edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] user@mx# set virtual-address 10.17.2.1 user@mx# set accept-data user@mx# set priority 200 user@mx# set fast-interval 200 user@mx# set preempt
使用适当的逻辑接口名称、IPv4 地址、VRRP 组名称和优先级,对每个第 3 层 IBR 接口重复此步骤。
在聚合层中配置 VLA
逐步过程
此过程介绍如何配置 VLAN 名称和标记 ID,并将中继接口以及第 3 层路由接口与每个 VLAN 进行关联。此过程显示了配置的一个代表示例。示例未显示每个 VLAN 的配置。
为 MX 系列设备上每个 VLAN 配置 VLAN 名称和标记 ID(编号)。
此示例使用逻辑系统中的名称和标记 ID
vlan1717配置Trust1VLAN。包括vlan-id语句,在17层次结构级别指定为 VLAN[edit logical-systems Trust1 bridge-domains vlan17]ID。[edit logical-systems Trust1 bridge-domains vlan17] user@mx# set vlan-id 17
使用相应的 VLAN 名称和标记 ID,对每个 MX 系列设备上的每个 VLAN 重复此步骤。
将逻辑中继接口与 MX 系列设备上每个 VLAN 进行关联。
此示例将连接到 EX 系列设备和逻辑接口的逻辑接口关联,该逻辑接口连接到 与 的其他
xe-1/0/0.17xe-0/1/0.17MX 系列设备vlan17。包括
interface语句,xe-1/0/0.17在 层次结构[edit logical-systems Trust1 bridge-domains vlan17]级别中指定 。在
interface层次结构xe-0/1/0.17级别中包括 语句[edit logical-systems Trust1 bridge-domains vlan17]并指定 。[edit logical-systems Trust1 bridge-domains vlan17] user@mx# set interface xe-1/0/0.17 user@mx# set interface xe-0/1/0.17
使用相应的中继接口名称,对每个 MX 系列设备上面向服务器的 VLAN 重复此步骤。
将第 3 层接口与 MX 系列设备上每个 VLAN 进行关联。
此示例将
irb.17接口关联到vlan17。在
routing-interface层次结构irb.17级别中包括 语句[edit logical-systems Trust1 bridge-domains vlan17]并指定 。[edit logical-systems Trust1 bridge-domains vlan17] user@mx# set routing-interface irb.17
使用相应的第 3 层接口名称,对每个 MX 系列设备上面向服务器的 VLAN 重复此步骤。
将逻辑接口与 MX 系列设备上每个互连 VLAN 进行关联。
此示例将连接到 SRX 系列设备和逻辑接口的逻辑接口关联,该逻辑接口连接到 与 的其他
xe-1/1/0.15xe-0/1/0.15MX 系列设备vlan15。包括
interface语句,xe-1/1/0.15在 层次结构[edit logical-systems Trust1 bridge-domains vlan15]级别中指定 。在
interface层次结构xe-0/1/0.15级别中包括 语句[edit logical-systems Trust1 bridge-domains vlan15]并指定 。[edit logical-systems Trust1 bridge-domains vlan15] user@mx# set interface xe-1/1/0.15 user@mx# set interface xe-0/1/0.15
使用相应的互连接口名称,对每个 MX 系列设备上每个互连 VLAN 重复此步骤。
将第 3 层接口与 MX 系列设备上每个互连 VLAN 进行关联,以支持主动参与OSPF协议。
此示例将
irb.15接口关联到vlan15。包括
routing-interface语句,irb.15在 层次结构[edit logical-systems Trust1 bridge-domains vlan15]级别中指定 。[edit logical-systems Trust1 bridge-domains vlan15] user@mx# set routing-interface irb.15
使用相应的第 3 层接口名称,对每个 MX 系列设备上面向服务器的 VLAN 重复此步骤。
配置虚拟路由器路由实例
逐步过程
此过程介绍如何配置单个虚拟路由器路由实例。此过程显示了示例配置的一个代表示例。示例未显示每个设备的配置。
配置路由实例类型。
此示例使用 名称配置路由实例
MX-VR2。在 层次结构级别中包括 语句并指定为instance-typevirtual-router[edit logical-systems Trust1 routing-instances MX-VR2]类型。[edit logical-systems Trust1 routing-instances MX-VR2] user@mx# set instance-type virtual-router
使用相应的虚拟路由器名称,对每个 MX 系列设备中的每个虚拟路由器重复此步骤。
添加虚拟路由器路由实例使用的 IRB 接口。
包括
interface语句并指定层级下每个 IRB 接口[edit routing-instances MX-VR2]的名称。[edit logical-systems Trust1 routing-instances MX-VR2] user@mx# set interface irb.15 user@mx# set interface irb.16 user@mx# set interface irb.17 user@mx# set interface irb.18 user@mx# set interface irb.1002
使用相应的接口名称,对每个 MX 系列设备中的每个虚拟路由器重复此步骤。
配置IGP路由器路由实例使用的路由协议活动接口,以便路由表可以填充到服务器的路由。
此示例配置了一个 IRB 接口以积极参与此OSPF区域
0.0.0.0。包括
interface语句并指定 层级的 IRB 接口[edit logical-systems Trust1 routing-instances MX-VR2 protocols ospf area 0.0.0.0]名称。[edit routing-instances MX-VR2 protocols ospf area 0.0.0.0] user@mx# set interface irb.15
使用相应的虚拟路由器名称,对每个 MX 系列设备中的每个虚拟路由器重复此步骤。
配置与虚拟路由器路由实例内每个 VLAN 关联的内部网关协议被动接口。
此示例将 IRB 接口配置为被动加入 OSPF 协议区域
0.0.0.0。在
passive层次结构级别[edit logical-systems Trust1 routing-instances MX-VR2 protocols ospf area 0.0.0.0 interface irb-name]中包括 语句。[edit logical-systems Trust1 routing-instances MX-VR2 protocols ospf area 0.0.0.0] user@mx# set interface irb.16 passive user@mx# set interface irb.17 passive user@mx# set interface irb.18 passive user@mx# set interface irb.1002 passive
使用相应的虚拟路由器名称,对每个 MX 系列设备中的每个虚拟路由器重复此步骤。
配置逻辑系统路由器标识符。
包括
router-id语句,并10.200.11.101指定为 层级的路由器[edit logical-systems Trust1 routing-instances MX-VR2 routing-options]标识符。[edit logical-systems Trust1 routing-instances MX-VR2 routing-options] user@mx# set router-id 10.200.11.101
使用相应的路由器标识符,对每个 MX 系列设备中的每个虚拟路由器重复此步骤。
配置管理接口
逐步过程
此过程介绍如何配置到管理网络的静态路由以及环路逻辑接口的 IPv4 地址族。此过程显示了配置的一个代表示例。示例未显示每个接口的配置。
配置静态路由,以便以太网管理接口可以到达管理网络。
包括
route该语句,并10.0.0.0/8指定为层级管理网络的 IPv4[edit routing-options static]子网地址。包括 语句,并指定层级下一跃点路由器的
next-hopIPv4[edit routing-options static route 10.0.0.0/8]主机地址。在
retain层次结构no-readvertise级别中包括 和[edit routing-options static route 10.0.0.0/8]语句。[edit routing-options static] user@mx# set route 10.0.0.0/8 next-hop 10.8.3.254 user@mx# set route 10.0.0.0/8 retain user@mx# set route 10.0.0.0/8 no-readvertise
对每个 MX 系列设备重复此步骤。
配置 MX 系列设备管理以太网接口。此示例配置逻辑
unit 0接口。包括
family语句,在inet层级指定[edit fxp0 unit 0]选项。包括
address语句,在10.8.3.212/24层次结构级别指定为 IPv4[edit interfaces fxp0 unit 0]地址。[edit interfaces fxp0 unit 0] user@mx# set family inet address 10.8.3.212/24
使用相应管理接口地址,对每个 MX 系列设备重复此步骤。
配置环路逻辑接口。
包括
family语句,在inet层级指定[edit interfaces lo0 unit 0]选项。[edit interfaces lo0 unit 0] user@mx# set family inet
对每个 MX 系列设备重复此步骤。
配置逻辑系统管理员帐户
逐步过程
此过程介绍如何配置仅限于其被分配的逻辑系统环境以及每个逻辑系统的管理员帐户类。
创建管理员帐户类别。
此示例使用
trust1-admin逻辑系统的权限all创建Trust1用户类。包括
class语句,在trust1-admin层次结构级别指定 为[edit system login]类名称。包括
logical-system语句,并Trust1指定为 层级的逻辑[edit system login class trust1-admin]系统名称。包括
permissions语句,在all层级指定[edit system login class trust1-admin]选项。[edit system] user@mx# set login class trust1-admin logical-system Trust1 user@mx# set login class trust1-admin permissions all
使用合适的逻辑系统名称,对每个 MX 系列设备的 trust2-admin 和不信任管理员类重复此步骤。
创建与 MX 系列设备中每个逻辑系统对应的管理员帐户。
此示例将
trust1创建用户帐户并分配类trust1-admin。包括
class语句,在trust1-admin层次结构级别指定 为[edit system login user trust1]用户类。包括
encrypted-password语句,在 层次结构级别输入加密[edit system login user trust1 authentication]密码字符串。[edit system] user@mx# set login user trust1 class trust1-admin user@mx# set login user trust1 authentication encrypted-password 12345
对每个 MX 系列设备的 trust2 和不信任用户帐户重复此步骤。
配置管理自动化
逐步过程
此过程介绍如何配置已知主机以支持后台 SCP 文件传输、commit 脚本和存档网站。
配置 commit 脚本。
此示例中,脚本文件名为
jais-activate-scripts.slax。在
allow-transients层次结构级别[edit system scripts commit]中包括 语句。在
optional层次结构级别[edit system scripts commit file jais-activate-scripts.slax]中包括 语句。[edit system scripts commit] user@mx# set allow-transients user@mx# set file jais-activate-scripts.slax optional
配置事件存档网站。
在此例中,存档 URL 是本地
/var/tmp/目录,并且指定至目标的名称为juniper-aim。包括
archive-sites语句,在 层次结构级别指定[edit event-options destinations juniper-aim]存档 URL。[edit event-options destinations juniper-aim] user@mx# set archive-sites "scp://admin@127.0.0.1://var/tmp" password “12345”
在不受信任逻辑系统中配置核心层
通过执行以下操作来配置核心层:
在不受信任逻辑系统中配置接口
逐步过程
此过程介绍如何在核心层不可信安全区域为逻辑系统配置物理、逻辑和 3 层路由接口。此过程显示了配置的一个代表示例。示例未显示每个接口的配置。
配置连接到图 1 中所示的其他 MX 系列设备的 10千兆位冗余以太网接口。
此示例将配置名为 加入 VLAN 19 的逻辑系统下接口
19xe-0/3/0Untrust上的逻辑接口。包括encapsulation语句,在vlan-bridge层级指定[edit logical-systems Untrust interfaces xe-0/3/0 unit 19]选项。包括
vlan-id语句,并19指定为 层级的 VLAN 标记[edit logical-systems Untrust interfaces xe-0/3/0 unit 19]ID。[edit logical-systems Untrust interfaces xe-0/3/0 unit 19] user@mx# set encapsulation vlan-bridge user@mx# set vlan-id 19
使用相应的接口名称、逻辑接口编号、VLAN ID 和逻辑系统名称,为连接到其他 MX 系列设备的每一个冗余以太网接口重复此步骤。
配置连接到 SRX 系列设备的 10 千兆位以太网接口。
此示例将配置名为 加入 VLAN 19 的逻辑系统下接口
19xe-2/2/0Untrust上的逻辑接口。包括
encapsulation语句,在vlan-bridge层级指定[edit logical-systems Untrust interfaces xe-2/2/0 unit 19]选项。包括
vlan-id语句,在 层次结构级别指定为19VLAN 标记[edit logical-systems Untrust interfaces xe-2/2/0 unit 19]ID。[edit logical-systems Untrust interfaces xe-2/2/0 unit 19] user@mx# set encapsulation vlan-bridge user@mx# set vlan-id 19
使用适当的接口名称、逻辑接口编号、VLAN ID 和逻辑系统名称,为连接到 SRX 系列设备的每一个冗余以太网接口重复此步骤。
配置连接到基于 IP/MPLS核心网络的 10 千兆位以太网接口。
此示例在名为 的逻辑系统下
0xe-1/3/0配置接口上的逻辑接口Untrust。包括
address语句,在10.200.4.1/30层次结构级别指定为 IPv4[edit logical-systems Untrust interfaces xe-1/3/0 unit 0 family inet]地址。包括
family语句,在mpls层级指定[edit logical-systems Untrust interfaces xe-1/3/0 unit 0]选项。[edit logical-systems Untrust interfaces xe-1/3/0 unit 0] user@mx# set family inet address 10.200.4.1/30 user@mx# set family mpls
使用相应的接口名称、逻辑接口编号、IPv4 地址和逻辑系统名称,对连接到服务提供商网络的每一个 10 千兆以太网接口重复此步骤。
配置第 3 层 IRB 接口地址。
此示例将参与 VLAN 19 的逻辑接口配置为名为 的逻辑系统下的
unit 1910.19.2.1/24IPv4 地址Untrust。包括
address语句,在10.19.2.1/24层次结构级别指定为 IPv4[edit logical-systems Untrust interfaces irb unit 19 family inet]地址。[edit logical-systems Untrust interfaces irb unit 19 family inet] user@mx# set address 10.19.2.1/24
使用适当的逻辑接口名称和 IPv4 地址,对每个第 3 层 IRB 接口重复此步骤。
为逻辑系统的环路逻辑接口配置 IP 地址
Untrust。包括
address语句,在10.200.11.1/32层次结构级别指定为 IPv4[edit logical-systems Untrust interfaces lo0 unit 1 family inet]地址。[edit logical-systems Untrust interfaces lo0 unit 1 family inet] user@mx# set address 10.200.11.1/32
使用相应的 IPv4 地址,对每个 MX 系列设备重复此步骤。
在核心层配置 VLA
逐步过程
此过程介绍如何为每个核心互连 VLAN 配置 VLAN 名称和标记 ID 以及关联接口以及第 3 层路由接口。此过程显示了配置的一个代表示例。示例未显示每个 VLAN 的配置。
为 MX 系列设备上每个核心互连 VLAN 配置 VLAN 名称和标记 ID(编号)。
此示例使用逻辑系统中的名称和标记 ID
vlan1414配置UntrustVLAN。包括
vlan-id语句,在14层次结构级别指定为 VLAN[edit logical-systems Untrust bridge-domains vlan14]ID。[edit logical-systems Untrust bridge-domains vlan14] user@mx# set vlan-id 14
使用相应的 VLAN 名称和标记 ID,对每个 MX 系列设备上的每个 VLAN 重复此步骤。
将逻辑接口与 MX 系列设备上每个 VLAN 进行关联。
此示例将连接到其他 MX 系列设备且连接到 与
xe-0/3/0.14的xe-2/2/0.14SRX 系列设备的逻辑接口关联vlan14。在
interface层次结构xe-0/3/0.14级别中包括 语句[edit logical-systems Untrust bridge-domains vlan14]并指定 。包括
interface语句,xe-2/2/0.14在 层次结构[edit logical-systems Untrust bridge-domains vlan14]级别中指定 。[edit logical-systems Untrust bridge-domains vlan14] user@mx# set interface xe-0/3/0.14 user@mx# set interface xe-2/2/0.14
使用相应的接口名称,对每个 MX 系列设备上每个核心互连 VLAN 重复此步骤。
将第 3 层接口与 MX 系列设备上每个 VLAN 进行关联。
此示例将
irb.14接口关联到vlan14。包括
routing-interface语句,irb.14在 层次结构[edit logical-systems Untrust bridge-domains vlan14]级别中指定 。[edit logical-systems Untrust bridge-domains vlan14] user@mx# set routing-interface irb.14
使用相应的第 3 层接口名称,对每个 MX 系列设备上每个核心互连 VLAN 重复此步骤。
在不受信任逻辑系统中配置协议
逐步过程
此过程介绍如何为逻辑系统不信任BGP、MPLS、RSVP 和 OSPF协议。此过程显示了配置的一个代表示例。示例未显示每个设备的配置。
向 MX 系列OSPF协议添加接口。
此示例会将逻辑接口
xe-1/3/0.0和添加到OSPFlo0.1网络中使用的路由协议。包括
interface语句,在 层次结构级别指定 和xe-1/3/0.0lo0.1[edit logical-systems Untrust protocols ospf area 0.0.0.0]接口。[edit logical-systems Untrust protocols ospf area 0.0.0.0] user@mx# set interface xe-1/3/0.0 user@mx# set interface lo0.1
使用相应的接口名称,为连接到核心层设备的每一个 10 千兆以太网接口重复此步骤。
配置通用路由器封装 (GRE) 隧道。
此示例启用名为 的动态 GRE 隧道
GRE1。包括
gre语句以在 层次结构级别指定[edit logical-systems Untrust routing-options dynamic-tunnel GRE1]隧道类型。包括
source-address语句,在 层次结构级别指定10.200.11.1作为 IPv4[edit logical-systems Untrust routing-options dynamic-tunnel GRE1]源地址。包括
destination-networks语句,在0.0.0.0/0层次结构级别指定 作为[edit logical-systems Untrust routing-options dynamic-tunnel GRE1]目标前缀。[edit logical-systems Untrust routing-options dynamic-tunnel GRE1] user@mx# set source-address 10.200.11.1 user@mx# set gre user@mx# set destination-networks 0.0.0.0/0
使用相应的源地址,对每个 MX 系列设备重复此步骤。
配置逻辑系统本地自治系统编号和路由器标识符。
包括
autonomous-system语句,并64500指定为 层级的自治[edit logical-systems Untrust routing-options]系统编号。在
router-id层次结构级别中包括 语句并10.200.11.101指定为路由器[edit logical-systems Untrust routing-options]标识符。[edit logical-systems Untrust] user@mx# set routing-options autonomous-system 64500 user@mx# set routing-options router-id 10.200.11.101
使用相应的路由器标识符和自治系统编号 64500,对每个 MX 系列设备重复此步骤。
配置内部 BGP 对等体 组。
包括
type语句,在internal层级指定[edit logical-systems Untrust protocols bgp group int]选项。包括
local-address语句,并指定逻辑系统不信任的路由器 ID (10.200.11.1) 作为层次结构级别的本地[edit logical-systems Untrust protocols bgp group int]地址。在
unicast和 层次结构[edit logical-systems Untrust protocols bgp group int family inet]级别[edit logical-systems Untrust protocols bgp group int family inet-vpn]中包括 语句。包括
local-as语句,在64500层次结构级别指定为本地自治[edit logical-systems Untrust protocols bgp group int]系统编号。包括
peer-as语句,并64500指定为 层级的对等自治系统[edit logical-systems Untrust protocols bgp group int]编号。包括
neighbor语句,在 层次结构级别指定邻接节点 IPv4[edit logical-systems Untrust protocols bgp group int]地址。邻接方地址是本地数据中心内其他 MX 系列设备的路由器 ID 地址、远程数据中心中的 MX 系列设备以及位于基于 IP/MPLS 核心网络的路由器。
[edit logical-systems Untrust protocols bgp group int] user@mx# set type internal user@mx# set local-address 10.200.11.1 user@mx# set family inet unicast user@mx# set family inet-vpn unicast user@mx# set local-as 64500 user@mx# set peer-as 64500 user@mx# set neighbor 10.200.11.2 user@mx# set neighbor 10.200.11.3 user@mx# set neighbor 10.200.11.4
对每个 MX 系列设备重复此步骤。
将接口MPLS服务提供商核心网络中使用的路由协议。
此示例添加了 连接到服务提供商核心网络的 和
xe-1/3/0.0xe-2/3/0.0接口。包括
interface语句,在 层次结构级别指定 和xe-1/3/0.0xe-2/3/0.0[edit logical-systems Untrust protocols mpls]接口。[edit logical-systems Untrust protocols mpls] user@mx# set interface xe-1/3/0.0 user@mx# set interface xe-2/3/0.0
对每个 MX 系列设备重复此步骤。
创建MPLS LSP 到位于基于 MPLS 核心网络的路由器。
此示例将创建名为
to-core-router的 LSP。包括
to语句,并10.200.11.3指定为 层次结构级别中核心路由器的 IPv4[edit logical-systems Untrust protocols mpls label-switched-path to-core-router]地址。在
no-cspf层次结构级别[edit logical-systems Untrust protocols mpls]中包括 语句。[edit logical-systems Untrust protocols mpls] user@mx# set label-switched-path to-core-router to 10.200.11.3 user@mx# set no-cspf
对每个 MX 系列设备重复此步骤。
将接口添加到基于路由的核心网络中MPLS RSVP 协议。
包括
interface语句,在 层次结构级别指定 和xe-1/3/0.0xe-2/3/0.0[edit logical-systems Untrust protocols rsvp]接口。[edit logical-systems Untrust protocols rsvp] user@mx# set interface xe-1/3/0.0 user@mx# set interface xe-2/3/0.0
对每个 MX 系列设备重复此步骤。
配置安全设备
以下步骤将介绍如何为接入层信任的安全区域配置冗余以太网接口、节点群集、安全区域、安全策略和路由策略。
配置冗余以太网接口链路聚合组
逐步过程
此过程介绍如何配置冗余以太网接口链路聚合组。此过程显示了配置的一个代表示例。示例未显示每个接口的配置。
配置节点上支持的聚合以太网接口数量。
此示例支持两个接口。
包括
device-count语句,2并指定 为 层级支持的[edit chassis aggregated-devices ethernet]接口数量。[edit chassis aggregated-devices ethernet] user@srx# set device-count 2
使用相应的设备计数,对每个 SRX 系列设备重复此步骤。
将 10 千兆位以太网子接口分配给冗余以太网 (reth) 父接口。
此示例将
xe-1/0/010 千兆位以太网子接口分配给reth1Node0 上的父层接口。包括
redundant-parent语句,并reth1指定为 层级的父[edit interfaces xe-1/0/0 gigether-options]接口。[edit interfaces xe-1/0/0 gigether-options] user@srx# set redundant-parent reth1
使用相应的接口名称和冗余父层名称,对每个冗余以太网接口重复此步骤。
配置冗余以太网父接口选项。
此示例配置冗余
reth1父接口。包括
redundancy-group语句,在1层次结构级别指定 为[edit interfaces reth1 redundant-ether-options]组号。在
vlan-tagging层次结构级别[edit interfaces reth1]中包括 语句。[edit interfaces reth1] user@srx# set redundant-ether-options redundancy-group 1 user@srx# set vlan-tagging
使用适当的冗余父层名称和冗余组编号,对每个冗余父接口重复此步骤。
配置冗余以太网父层逻辑接口。
此示例配置逻辑
unit 15接口。包括
address语句,在10.15.2.2/24层次结构级别指定为 IPv4[edit interfaces reth1 unit 15 family inet]地址。包括
vlan-id语句,在15层次结构级别指定为 VLAN[edit interfaces reth1 unit 15]标识符。[edit interfaces reth1 unit 15] user@srx# set family inet address 10.15.2.2/24 user@srx# set vlan-id 15
使用适当的冗余父层名称、IPv4 地址和 VLAN 标识符,对每个冗余父接口重复此步骤。
配置 SRX 系列群集
逐步过程
此过程介绍如何在群集中的节点之间配置结构连接。此过程显示了配置的一个代表示例。示例未显示每个接口的配置。
将 10 千兆位以太网接口配置为群集节点之间的交换矩阵。
此示例配置为
xe-1/0/1子结构接口和fab0父结构接口。连接从 SRX0 到 SRX1。包括
member-interfaces语句,在xe-1/0/1层次结构级别[edit interfaces fab0 fabric-options]指定接口。[edit interfaces fab0 fabric-options] user@srx# set member-interfaces xe-1/0/1
使用相应的子接口名称和父层接口名称,为集群结构内的每一个 10 千兆以太网接口重复此步骤。
配置群集支持的冗余以太网接口数量。
此示例配置为
4接口数量。包括
reth-count语句,并4指定为 层级的接口[edit chassis cluster]数量。[edit chassis cluster] user@srx# set reth-count 4
为集群中的每个 SRX 系列设备重复此步骤。
配置冗余组的节点优先级,确定哪个节点是主节点,哪个是次要节点。
此示例配置
node 0优先级更高。在
priority层次结构200级别中包括 语句[edit chassis cluster redundancy-group 1 node 0]并指定 。包括
priority语句,100在 层次结构[edit chassis cluster redundancy-group 1 node 1]级别中指定 。[edit chassis cluster redundancy-group 1] user@srx# set node 0 priority 200 user@srx# set node 1 priority 100
为集群中每个 SRX 系列设备上每个冗余组重复此步骤。
允许优先级更高的节点启动故障切换,成为冗余组的主节点。
在
preempt层次结构级别[edit chassis cluster redundancy-group 1]中包括 语句。[edit chassis cluster redundancy-group 1] user@srx# set preempt
为集群中每个 SRX 系列设备上每个冗余组重复此步骤。
自动执行控制链路恢复。
在
control-link-recovery层次结构级别[edit chassis cluster]中包括 语句。[edit chassis cluster] user@srx# set control-link-recovery
为集群中每个 SRX 系列设备上每个冗余组重复此步骤。
启用接口监控以监控接口的运行状况并触发冗余组故障切换。
此示例配置了
xe-1/0/0权重为255的接口。在
weight层次结构级别[edit chassis cluster redundancy-group 1 interface-monitor xe-1/0/0]中包括 语句。[edit chassis cluster redundancy-group 1 interface-monitor xe-1/0/0] user@srx# set weight 255
为集群中每个 SRX 系列设备上每个冗余组接口重复此步骤。
创建安全区域和配置绑定流量策略操作
逐步过程
此过程介绍如何在 SRX 系列设备上配置可信和不可信安全区域。此过程显示了配置的一个代表示例。示例未显示每个区域的配置。
为可信区域分配冗余以太网逻辑接口。
此示例将接口
reth1.15分配给Trust2区域。在 层次结构级别中包括 语句,并指定为
interfacesreth1.15区域[edit security zones security-zone Trust2]中的接口。[edit security zones security-zone Trust2] user@srx# set interfaces reth1.15
使用相应的区域名称和冗余以太网逻辑接口名称,对每个可信安全区域重复此步骤。
为不受信任区域分配冗余以太网逻辑接口。
此示例将接口
reth2.19分配给Untrust2区域。在 层次结构级别中包括 语句,并指定为
interfacesreth2.19区域[edit security zones security-zone Untrust2]中的接口。[edit security zones security-zone Untrust2] user@srx# set interfaces reth2.19
使用相应的区域名称和冗余以太网逻辑接口名称,对每个不可信安全区域重复此步骤。
在可信安全区域启用所有入站系统服务流量。
此示例为区域启用所有
Trust2服务。包括
system-services语句,在all层级指定[edit security zones security-zone Trust2 host-inbound-traffic]选项。[edit security zones security-zone Trust2 host-inbound-traffic] user@srx# set system-services all
为允许使用系统服务的 SRX 系列设备上每个安全区域重复此步骤。
为受信任安全区域中的入站信息流启用所有协议。
此示例为区域启用所有
Trust2协议。包括
protocols语句,在all层级指定[edit security zones security-zone Trust2 host-inbound-traffic]选项。[edit security zones security-zone Trust2 host-inbound-traffic] user@srx# set protocols all
为 SRX 系列设备上允许入站流量使用所有协议的所有安全区域重复此步骤。
配置安全区策略
逐步过程
此过程介绍如何在 SRX 系列设备上配置安全区策略。此过程显示了配置的一个代表示例。示例未显示每个策略的配置。
定义正在创建的策略来自哪些区域流量,以及要进入哪个区域流量。
此示例将 from zone as 和 to
Trust2zone 定义为Untrust2。在单个命令行中,包括 语句并指定 ,包括 语句并指定 , 包括 语句并指定 作为策略名称 ,并包括 层次结构
from-zoneTrust2级别的to-zoneUntrust2policydenyftpmatch[edit security policies]语句。[edit security policies] user@srx# set from-zone Trust2 to-zone Untrust2 policy denyftp match
为控制区域间流量的每一个策略重复此步骤。
配置策略匹配标准以拒绝流量。
此示例将 FTP Junos OS从任何来源到名为 的策略中的任意目标地址
denyftp匹配。包括
source-address语句,在any层次结构级别指定为 IPv4[edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match]地址。包括
destination-address语句,在any层次结构级别指定为 IPv4[edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match]地址。在
application层次结构级别中包括 语句并指定为junos-ftp[edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match]应用程序。[edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match] user@srx# set source-address any user@srx# set destination-address any user@srx# set application junos-ftp
使用正确的协议,对每个协议匹配策略都重复此步骤。
阻止特定应用程序从 Trust2 区域传递到 Untrust2 区域。
此示例将拒绝从Junos OS到区域
Trust2的应用程序的 FTPUntrust2应用程序。在
deny层次结构级别[edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp then]中包括 语句。[edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp then] user@srx# set deny
对每个拒绝策略重复此步骤。
配置策略匹配标准以允许流量。
此示例将任何来源的任何应用程序与名为 的策略中任何目标地址匹配
allow_all。包括
source-address语句,在any层次结构级别指定为 IPv4[edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match]地址。包括
destination-address语句,在any层次结构级别指定为 IPv4[edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match]地址。包含
application语句,在any层次结构级别指定[edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match]为 应用程序。[edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match] user@srx# set source-address any user@srx# set destination-address any user@srx# set application any
对每个应用程序匹配策略都重复此步骤。
允许任何应用程序流量从 Trust2 区域传递到 Untrust2 区域。
此示例允许从区域到
Trust2区域的任何应用程序Untrust2流量。在
permit层次结构级别[edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all then]中包括 语句。[edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all then] user@srx# set permit
对每个允许策略重复此步骤。
创建路由策略
逐步过程
此过程介绍如何在 SRX 系列设备上创建可应用于相应路由实例的路由策略。此过程显示了配置的一个代表示例。示例未显示每个策略的配置。
创建策略以将路由的本地优先级BGP 120。
此示例将创建名为 的策略,用于设置BGP播发至 的已接收路由BGP本地
local-pref-120优先级120值。包括
protocol语句,在bgp层次结构级别指定[edit policy-options policy-statement local-pref-120 term term1 from]为 值。包括
local-preference语句,在120层次结构级别指定 为[edit policy-options policy-statement local-pref-120 term term1 then]值。[edit policy-options policy-statement local-pref-120] user@srx# set term term1 from protocol bgp user@srx# set term term1 then local-preference 120
对每个 SRX 系列设备重复此步骤。
配置名为 接受所有聚合(生成)路由的策略
default-ospf的匹配标准。包括
protocol语句,aggregate并指定为在层次结构级别匹配的[edit policy-options policy-statement default-ospf term term1 from]协议。包括
route-filter语句,并0.0.0.0/0 exact指定为 层级的[edit policy-options policy-statement default-ospf term term1 from]匹配标准。[edit policy-options policy-statement default-ospf term term1 from] user@srx# set protocol aggregate user@srx# set route-filter 0.0.0.0/0 exact
对每个 SRX 系列设备重复此步骤。
配置策略的操作,将度量值设置为
0,将外部路由类型设置为1。此示例配置了名为 的策略,将度量值设置 到 ,设置要键入的外部路由,并接受路由表中的
default-ospf01聚合路由。包括
metric语句,在0层次结构级别指定 为[edit policy-options policy-statement default-ospf term term1 then]外部类型。包括
type语句,在1层次结构级别指定 为外部[edit policy-options policy-statement default-ospf term term1 then external]路由类型。在
accept层次结构级别[edit policy-options policy-statement default-ospf term term1 then]中包括 语句。[edit policy-options policy-statement default-ospf term term1 then] user@srx# set metric 0 user@srx# set external type 1 user@srx# set accept
对每个 SRX 系列设备重复此步骤。
创建接受特定路由OSPF指定前缀的策略。
此示例创建名为 的策略,该策略接受OSPF路由,其路由前缀与每个信任 VLAN 的子网
trust2-ebgp-out对应。在
protocol层次结构ospf级别中包括 语句并指定为[edit policy-options policy-statement trust2-ebgp-out term term1 from]协议。添加
route-filter语句并指定层级的 VLAN 子网地址exact和[edit policy-options policy-statement trust2-ebgp-out term term1 from]匹配关键字。在
accept层次结构级别[edit policy-options policy-statement trust2-ebgp-out term term1 then]中包括 语句。[edit policy-options policy-statement trust2-ebgp-out term term1] user@srx# set from protocol ospf user@srx# set from route-filter 10.16.2.0/24 exact user@srx# set from route-filter 10.17.2.0/24 exact user@srx# set from route-filter 10.18.2.0/24 exact user@srx# set then accept
对每个 SRX 系列设备重复此步骤。
如果路由类型为外部BGP,则创建接受所有路由的策略。
此示例将创建一个名为 的策略
check-bgp-routes,仅在路由类型为外部BGP时接受该路由。包括
protocol语句,在bgp层次结构级别指定 作为[edit policy-options policy-statement check-bgp-routes term term1 from]协议。包括
route-type语句,在external层级指定[edit policy-options policy-statement check-bgp-routes term term1 from]选项。在
accept层次结构级别[edit policy-options policy-statement check-bgp-routes term term1 then]中包括 语句。[edit policy-options policy-statement check-bgp-routes term term1] user@srx# set from protocol bgp user@srx# set from route-type external user@srx# set then accept
对每个 SRX 系列设备重复此步骤。
创建接受其他虚拟路由器路由实例中的路由的策略。
此示例将创建一个名为 接受
from_srx_vr1路由实例中的路由的策略SRX-VR1。包括
instance语句,并SRX-VR1指定为 层级的路由[edit policy-options policy-statement from_srx_vr1 term term1 from]实例名称。在
accept层次结构级别[edit policy-options policy-statement from_srx_vr1 term term1 then]中包括 语句。[edit policy-options policy-statement from_srx_vr1 term term1] user@srx# set from instance SRX-VR1 user@srx# set then accept
对每个 SRX 系列设备中的每个虚拟路由器重复此步骤。
配置虚拟路由器路由实例
逐步过程
此过程介绍如何配置单个虚拟路由器路由实例。此过程显示了示例配置的一个代表示例。示例未显示每个虚拟路由器路由实例的配置。
配置路由实例类型。
此示例使用名称 SRX-VR2 配置路由实例。
在 层次结构级别中包括 语句并指定为
instance-typevirtual-router[edit routing-instances SRX-VR2]类型。[edit routing-instances SRX-VR2] user@srx# set instance-type virtual-router
使用相应的虚拟路由器名称,对每个 SRX 系列设备中的每个虚拟路由器重复此步骤。
添加虚拟路由器路由实例使用的冗余以太网接口。
此示例向
reth1.15reth2.19路由实例添加了 和SRX-VR2接口。包括
interface语句并指定 层级的冗余以太网接口[edit routing-instances SRX-VR2]的名称。[edit routing-instances SRX-VR2] user@srx# set interface reth1.15 user@srx# set interface reth2.19
使用相应的虚拟路由器名称和接口名称,对每个 SRX 系列设备中的每个虚拟路由器重复此步骤。
配置虚拟路由器路由实例使用的路由选项。
此示例配置自治系统编号,并启用路由实例上的平稳
SRX-VR2重新启动功能。包括
autonomous-system语句,并65019指定为 层级的自治[edit routing-instances SRX-VR2 routing-options]系统编号。在
graceful-restart层次结构级别[edit routing-instances SRX-VR2 routing-options]中包括 语句。[edit routing-instances SRX-VR2 routing-options] user@srx# set autonomous-system 65019 user@srx# set graceful-restart
使用相应的虚拟路由器名称和接口名称,对每个 SRX 系列设备中的每个虚拟路由器重复此步骤。
应用接受外部路由和BGP的路由策略,并使用它们作为路由实例生成的路由。
此示例将名为 的策略
check-bgp-routes应用于SRX-VR2路由实例。在
policy层次结构check-bgp-routes级别中包括 语句[edit routing-instances SRX-VR2 routing-options generate route 0.0.0.0/0]并指定 。在
graceful-restart层次结构级别[edit routing-instances SRX-VR2 routing-options]中包括 语句。[edit routing-instances SRX-VR2 routing-options] user@srx# set generate route 0.0.0.0/0 policy user@srx# set graceful-restart
使用相应的虚拟路由器名称和接口名称,对每个 SRX 系列设备中的每个虚拟路由器重复此步骤。
应用从其他路由实例接受路由的路由策略。
此示例将名为 的策略
from_srx_vr1应用于SRX-VR2路由实例。包括
instance-import语句,from_srx_vr1在 层次结构[edit routing-instances SRX-VR2 routing-options]级别中指定 。[edit routing-instances SRX-VR2 routing-options] user@srx# set instance-import from_srx_vr1
对每个 SRX 系列设备(SRX-VR1 实例除外)中的每个虚拟路由器都重复此步骤。
配置IGP安全区域中虚拟路由器路由实例使用的路由协议导出策略。
此示例配置
default-ospf策略。包括
export语句,在default-ospf层次结构级别指定 作为[edit routing-instances SRX-VR2 protocols ospf]策略名称。[edit routing-instances SRX-VR2 protocols ospf] user@srx# set export default-ospf
使用相应的虚拟路由器名称和策略名称,对每个 SRX 系列设备中的每个虚拟路由器重复此步骤。
配置IGP安全区域中虚拟路由器路由实例使用的虚拟协议主动和被动接口。
此示例将冗余以太网接口配置为主动参与 OSPF
reth1.15协议区域 0.0.0.0,以及被动参与的冗余以太网reth2.19接口。在
interface层次结构reth1.15级别中包括 语句[edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0]并指定 。包括
interface语句,reth2.19在 层次结构[edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0]级别中指定 。在
passive层次结构级别[edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0 reth2.19]中包括 语句。[edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0] user@srx# set interface reth1.15 user@srx# set interface reth2.19 passive
使用相应的虚拟路由器名称和接口名称,对每个 SRX 系列设备中的每个虚拟路由器重复此步骤。
配置不BGP安全区域中虚拟路由器路由实例使用的组协议对等方组。
包括
type语句,在external层级指定[edit routing-instances SRX-VR2 protocols bgp group MX0-vrf]选项。包括
peer-as语句,并64500指定为 层级的对等自治系统[edit routing-instances SRX-VR2 protocols bgp group MX0-vrf]编号。包括
neighbor语句,在10.19.2.1层次结构级别指定为 IPv4 邻[edit routing-instances SRX-VR2 protocols bgp group MX0-vrf]接地址。邻接地址是 MX 系列设备上 VRF 路由实例的 IRB 逻辑接口地址。[edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] user@srx# set type external user@srx# set peer-as 64500 user@srx# set neighbor 10.19.2.1
使用相应的虚拟路由器名称、实例类型、邻接方地址和对等方编号,为每台 SRX 系列设备的每个虚拟路由器AS此步骤。
配置不BGP安全区域中虚拟路由器路由实例使用的源协议对等方组导出和导入策略。
包括
export语句,在trust2-ebgp-out层次结构级别指定作为导出策略[edit routing-instances SRX-VR2 protocols bgp group MX0-vrf]名称。包括
import语句,并local-pref-120指定为 层级的导入[edit routing-instances SRX-VR2 protocols bgp group MX0-vrf]策略名称。[edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] user@srx# set export trust2-ebgp-out user@srx# set import local-pref-120
使用相应的虚拟路由器名称、导出策略和导入策略,对每个 SRX 系列设备中的每个虚拟路由器重复此步骤。
结果
此示例的配置步骤已完成。以下部分仅供参考。
EX 系列设备的相关样本配置如下所示。
EX 系列设备
system {
scripts {
commit {
allow-transients;
file jais-activate-scripts.slax {
optional;
}
}
}
services {
ftp;
ssh;
telnet;
outbound-ssh {
client 00187D0B670D {
device-id FA022D;
secret "$ABC123"; ## SECRET-DATA
services netconf;
10.8.7.32 port 7804;
}
}
}
}
interfaces {
ge-0/0/17 {
unit 0 {
family ethernet-switching {
vlan {
members 17;
}
}
}
}
xe-0/1/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members all;
}
}
}
}
xe-0/1/2 {
unit 0 {
enable;
family ethernet-switching {
port-mode trunk;
vlan {
members all;
}
}
}
}
lo0 {
unit 0 {
family inet {
address 127.0.0.1/32;
}
}
}
me0 {
unit 0 {
family inet {
address 10.8.108.19/24;
}
}
}
}
event-options {
destinations {
juniper-aim {
archive-sites {
"scp://admin@127.0.0.1://var/tmp" password "$ABC123"; ## SECRET-DATA
}
}
}
}
routing-options {
static {
route 10.8.0.0/16 next-hop 10.8.108.254;
}
}
protocols {
rstp {
interface xe-0/1/0.0 {
disable;
}
interface xe-0/1/2.0 {
disable;
}
}
}
security {
ssh-known-hosts {
host 127.0.0.1 {
rsa-key AAAAB3NzaC1yc2;
}
}
}
ethernet-switching-options {
redundant-trunk-group {
group rtgroup1 {
interface xe-0/1/0.0;
interface xe-0/1/2.0 {
primary;
}
}
}
}
vlans {
vlan17 {
vlan-id 17;
interface {
xe-0/1/0.0;
xe-0/1/2.0;
}
}
}
以下为 MX 系列设备的相关样本配置。
MX 系列设备
groups {
re0 {
system {
host-name MX0;
}
}
re1 {
system {
host-name MX0re1;
}
}
}
apply-groups [re0 re1 ];
system {
scripts {
commit {
allow-transients;
file jais-activate-scripts.slax {
optional;
}
}
}
login {
class trust1-admin {
logical-system Trust1;
permissions all;
}
user trust1 {
uid 2000;
class trust1-admin;
authentication {
encrypted-password 12345; ## SECRET-DATA
}
}
}
}
logical-systems {
Trust1 {
interfaces {
xe-0/1/0 {
unit 17 {
encapsulation vlan-bridge;
vlan-id 17;
}
}
xe-1/0/0 {
unit 17 {
encapsulation vlan-bridge;
vlan-id 17;
}
}
xe-1/1/0 {
unit 15 {
encapsulation vlan-bridge;
vlan-id 15;
}
}
irb {
unit 15 {
family inet {
address 10.15.2.3/24;
}
}
unit 17 {
family inet {
address 10.17.2.2/24 {
vrrp-group 17 {
virtual-address 10.17.2.1;
priority 200;
fast-interval 200;
preempt;
accept-data;
}
}
}
}
}
}
routing-instances {
MX-VR2 {
instance-type virtual-router;
interface irb.15;
interface irb.16;
interface irb.17;
interface irb.18;
interface irb.1002;
protocols {
ospf {
area 0.0.0.0 {
interface irb.16 {
passive;
}
interface irb.17 {
passive;
}
interface irb.18 {
passive;
}
interface irb.1002 {
passive;
}
}
}
}
}
}
bridge-domains {
vlan15 {
vlan-id 15;
interface xe-1/1/0.15;
interface xe-0/1/0.15; ## 'xe-0/1/0.15' is not defined
routing-interface irb.15;
}
vlan17 {
vlan-id 17;
interface xe-1/0/0.17;
interface xe-0/1/0.17;
routing-interface irb.17;
}
}
}
Untrust {
interfaces {
xe-0/3/0 {
unit 19 {
encapsulation vlan-bridge;
vlan-id 19;
}
}
xe-1/3/0 {
unit 0 {
family inet {
address 10.200.4.1/30;
}
family mpls;
}
}
xe-2/2/0 {
unit 19 {
encapsulation vlan-bridge;
vlan-id 19;
}
}
irb {
unit 19 {
family inet {
address 10.19.2.1/24;
}
}
}
lo0 {
unit 1 {
family inet {
address 10.200.11.1/32;
}
}
}
}
protocols {
rsvp {
interface xe-1/3/0.0;
interface xe-2/3/0.0;
}
mpls {
no-cspf;
label-switched-path to-core-router {
to 10.200.11.3;
}
interface xe-1/3/0.0;
interface xe-2/3/0.0;
}
bgp {
group int {
type internal;
local-address 10.200.11.1;
family inet {
unicast;
}
family inet-vpn {
unicast;
}
peer-as 64500;
local-as 64500;
neighbor 10.200.11.2;
neighbor 10.200.11.3;
neighbor 10.200.11.4;
}
}
ospf {
area 0.0.0.0 {
interface xe-1/3/0.0;
interface lo0.1;
}
}
}
routing-options {
router-id 10.200.11.101;
autonomous-system 64500;
dynamic-tunnels {
GRE1 {
source-address 10.200.11.1;
gre;
destination-networks {
0.0.0.0/0;
}
}
}
}
bridge-domains {
vlan14 {
vlan-id 14;
interface xe-0/3/0.14;
interface xe-2/2/0.14;
routing-interface irb.14;
}
}
}
}
interfaces {
xe-0/1/0 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
}
xe-0/3/0 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
}
xe-1/0/0 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
}
xe-1/1/0 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
}
xe-2/2/0 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
}
fxp0 {
unit 0 {
family inet {
address 10.8.3.212/24;
}
}
}
lo0 {
unit 0 {
family inet;
}
}
}
event-options {
destinations {
juniper-aim {
archive-sites {
"scp://admin@127.0.0.1://var/tmp" password "$ABC123"; ## SECRET-DATA
}
}
}
}
routing-options {
static {
route 10.0.244.8/30 next-hop 10.0.134.10;
route 10.0.0.0/8 {
next-hop 10.8.3.254;
retain;
no-readvertise;
}
}
}
SRX 系列设备的相关样本配置如下所示。
SRX 系列设备
system {
host-name srx0;
chassis {
cluster {
control-link-recovery;
reth-count 4;
redundancy-group 1 {
node 0 priority 200;
node 1 priority 100;
preempt;
interface-monitor {
xe-1/0/0 weight 255;
}
}
}
}
}
interfaces {
xe-1/0/0 {
gigether-options {
redundant-parent reth1;
}
}
fab0 {
fabric-options {
member-interfaces {
xe-1/0/1;
}
}
}
lo0 {
unit 0 {
family inet {
address 127.0.0.1/32;
}
}
}
reth1 {
vlan-tagging;
redundant-ether-options {
redundancy-group 1;
}
unit 15 {
family inet {
address 10.15.2.2/24;
}
vlan-id 15;
}
}
}
policy-options {
policy-statement check-bgp-routes {
term term1 {
from {
protocol bgp;
route-type external;
}
then accept;
}
}
policy-statement default-ospf {
term term1 {
from {
protocol aggregate;
route-filter 0.0.0.0/0 exact;
}
then {
metric 0;
external {
type 1;
}
accept;
}
}
}
policy-statement from_srx_vr1 {
term term1 {
from instance SRX-VR1;
then accept;
}
}
policy-statement local-pref-120 {
term term1 {
from protocol bgp;
then {
local-preference 120;
}
}
}
policy-statement trust2-ebgp-out {
term term1 {
from {
protocol ospf;
route-filter 10.16.2.0/24 exact;
route-filter 10.17.2.0/24 exact;
route-filter 10.18.2.0/24 exact;
}
then accept;
}
}
}
security {
policies {
from-zone Trust2 to-zone Untrust2 {
policy denyftp {
match {
source-address any;
destination-address any;
application junos-ftp;
}
then {
deny;
}
}
policy allow_all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone Trust2 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth1.15;
}
}
security-zone Untrust2 {
interfaces reth2.19;
}
}
}
routing-instances {
SRX-VR2 {
instance-type virtual-router;
interface reth1.15;
interface reth2.19;
routing-options {
graceful-restart;
autonomous-system 65019;
instance-import from_srx_vr1;
}
protocols {
bgp {
group MX0-vrf {
import local-pref-120;
export trust2-ebgp-out;
}
}
ospf {
export default-ospf;
area 0.0.0.0 {
interface reth1.15;
interface reth2.19 {
passive;
}
}
}
}
}
}