Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Übersicht über logische Systeme

Logische Systeme ermöglichen es Ihnen, ein einzelnes Gerät in mehrere sichere Kontexte zu partitionieren, die unabhängige Aufgaben ausführen. Weitere Informationen finden Sie in den folgenden Themen:

Verwenden Sie den Feature-Explorer , um die Plattform- und Release-Unterstützung für bestimmte Funktionen zu bestätigen.

Im Abschnitt Plattformspezifisches logisches Systemverhalten finden Sie Hinweise zu Ihrer Plattform.

Logische Systeme für Sicherheitsgeräte verstehen

Logische Systeme für Sicherheitsgeräte ermöglichen es Ihnen, ein einzelnes Gerät in sichere Kontexte zu partitionieren. Jedes logische System verfügt über eine eigene separate Verwaltungsdomäne, logische Schnittstellen, Routing-Instanzen, eine Sicherheits-Firewall und andere Sicherheitsfunktionen. Durch die Umwandlung eines Sicherheitsgeräts in ein multimandantenfähiges logisches Systemgerät können Sie verschiedenen Abteilungen, Organisationen, Kunden und Partnern – je nach Umgebung – die private Nutzung von Teilen seiner Ressourcen und eine private Ansicht des Geräts gewähren. Mithilfe logischer Systeme können Sie System- und zugrunde liegende physische Maschinenressourcen zwischen diskreten logischen Benutzersystemen und dem primären logischen System gemeinsam nutzen.

Der obere Teil von Abbildung 1 zeigt die drei Hauptkonfigurationskomponenten eines logischen Systems. Der untere Teil der Abbildung zeigt ein einzelnes Gerät mit einem primären logischen System und diskreten logischen Benutzersystemen.

Logische Systeme umfassen sowohl primäre als auch benutzerlogische Systeme und deren Administratoren. Die Rollen und Verantwortlichkeiten des primären Administrators und die eines benutzerlogischen Systemadministrators unterscheiden sich stark. Diese Unterscheidung von Berechtigungen und Verantwortlichkeiten wird als rollenbasierte Verwaltung und Kontrolle betrachtet.

Abbildung 1: Logische Systeme Hierarchical structure of a network device showing security, network, and routing configurations with master and user logical systems. verstehen

Logische Systeme auf Sicherheitsgeräten bieten viele Vorteile:

  • Reduzieren Sie die Kosten. Durch den Einsatz logischer Systeme können Sie die Anzahl der physischen Geräte reduzieren, die für Ihr Unternehmen benötigt werden. Da Sie Services für verschiedene Benutzergruppen auf einem einzigen Gerät konsolidieren können, reduzieren Sie sowohl die Hardwarekosten als auch den Stromverbrauch.

  • Erstellen Sie viele logische Systeme auf einem einzigen Gerät und Bereitstellung Ressourcen und Services für sie schnell. Da Services konvergiert sind, ist es für den primären oder Root-Administrator einfacher, ein einzelnes Gerät zu verwalten, das für logische Systeme konfiguriert ist, als viele einzelne Geräte.

Sie können ein Sicherheitsgerät mit logischen Systemen in vielen Umgebungen bereitstellen, insbesondere im Unternehmen und im Datencenter.

  • Im Unternehmen können Sie logische Systeme für verschiedene Abteilungen und Gruppen erstellen und Bereitstellung.

    Sie können logische Systeme konfigurieren, um die Kommunikation zwischen Gruppen zu ermöglichen, die das Gerät gemeinsam nutzen. Wenn Sie logische Systeme für verschiedene Abteilungen auf demselben Gerät erstellen, können Benutzer miteinander kommunizieren, ohne dass der Datenverkehr das Gerät verlässt, wenn Sie ein logisches Interconnect-System so konfiguriert haben, dass es als interner Switch dient. Beispielsweise können Mitglieder der Produktdesigngruppe, der Marketingabteilung und der Buchhaltungsabteilung, die sich ein Sicherheitsgerät mit logischen Systemen teilen, miteinander kommunizieren, als ob separate Geräte für ihre Abteilungen bereitgestellt würden. Sie können logische Systeme so konfigurieren, dass sie über interne Schnittstellen für logische Tunnel (lt-0/0/0) miteinander verbunden sind. Die lt-0/0/0-Schnittstellen auf dem logischen Interconnect-System stellen eine Verbindung zu einer lt-0/0/0-Schnittstelle her, die Sie für jedes logische System konfigurieren. Das logische Interconnect-System wechselt den Datenverkehr zwischen logischen Systemen. Das Sicherheitsgerät, auf dem logische Systeme ausgeführt werden, ermöglicht eine hohe und schnelle Interaktion zwischen allen logischen Systemen, die auf dem Gerät erstellt werden, wenn ein logisches Interconnect-System verwendet wird.

    Logische Systeme auf demselben Gerät können auch direkt über Ports auf dem Gerät miteinander kommunizieren, als wären sie separate Geräte. Diese Methode ermöglicht zwar direkte Verbindungen zwischen logischen Systemen, verbraucht aber mehr Ressourcen – Sie müssen Schnittstellen und einen externen Switch konfigurieren – und ist daher teurer.

  • Im Datencenter können Sie als Service Provider ein Sicherheitsgerät bereitstellen, auf dem logische Systeme ausgeführt werden, um Ihren Kunden sichere und private logische Systeme für Benutzer und die diskrete Nutzung der Geräteressourcen anzubieten.

    Beispielsweise benötigt ein Unternehmen möglicherweise 10 logische Benutzersysteme und ein anderes 20. Da logische Systeme sicher, privat und in sich geschlossen sind, können Daten, die zu einem logischen System gehören, von Administratoren oder Benutzern anderer logischer Systeme nicht eingesehen werden. Das heißt, Mitarbeiter eines Unternehmens können die logischen Systeme eines anderen Unternehmens nicht einsehen.

Hinweis:

Um den internen Switch zu verwenden, der optional ist, müssen Sie auch ein logisches Interconnect-System konfigurieren. Das logische Interconnect-System erfordert keinen Administrator.

Siehe auch

Funktionen und Einschränkungen logischer Systeme

In diesem Thema werden grundlegende Informationen zu den Features und Einschränkungen von logischen Systemen behandelt.

  • Sie können bis zu 32 Sicherheitsprofile konfigurieren, von 1 bis 32, wobei die ID 0 für das intern konfigurierte Standardsicherheitsprofil reserviert ist. Wenn die maximale Anzahl von Sicherheitsprofilen erreicht ist und Sie ein neues Sicherheitsprofil hinzufügen möchten, müssen Sie zuerst ein oder mehrere vorhandene Sicherheitsprofile löschen, die Konfiguration bestätigen und dann das neue Sicherheitsprofil erstellen und bestätigen. Sie können kein neues Sicherheitsprofil hinzufügen und ein vorhandenes innerhalb eines einzigen Konfigurations-Commits entfernen.

    Wenn Sie mehr als ein neues Sicherheitsprofil hinzufügen möchten, gilt die gleiche Regel. Sie müssen zuerst die entsprechende Anzahl vorhandener Sicherheitsprofile löschen, die Konfiguration bestätigen, dann die neuen Sicherheitsprofile erstellen und die Konfiguration bestätigen.

  • Sie können einen oder mehrere primäre Administratoren konfigurieren, um die Verwaltung des Geräts und der von ihnen konfigurierten logischen Systeme zu überwachen.

    Als primärer Administrator für ein Sicherheitsgerät, auf dem logische Systeme ausgeführt werden, haben Sie die Stammkontrolle über das Gerät, seine Ressourcen und die logischen Systeme, die Sie erstellen. Sie weisen Sicherheits-, Netzwerk- und Routing-Ressourcen benutzerlogischen Systemen zu. Sie können ein logisches System so konfigurieren, dass es als Switch für den virtuellen privaten LAN-Service (VPLS) des logischen Systems dient. Das logische Interconnect-System, das nicht obligatorisch ist, erfordert keine Sicherheitsressourcen. Wenn Sie jedoch ein logisches Interconnect-System konfigurieren, müssen Sie ein Dummy-Sicherheitsprofil daran binden. Der primäre Administrator konfiguriert sie und alle lt-0/0/0-Schnittstellen dafür.

  • Ein logisches Benutzersystem kann einen oder mehrere Administratoren haben, die als logische Systemadministratoren bezeichnet werden. Der primäre Administrator erstellt Anmeldekonten für diese Administratoren und weist sie einem logischen Benutzersystem zu. Derzeit muss der primäre Administrator alle logischen Systemadministratoren des Benutzers konfigurieren. Der zuerst zugewiesene logische Benutzeradministrator kann keine zusätzlichen logischen Systemadministratoren für sein logisches System konfigurieren. Als Administrator des logischen Benutzersystems können Sie die Ressourcen konfigurieren, die Ihrem logischen Benutzersystem zugewiesen sind, einschließlich der vom primären Administrator zugewiesenen logischen Schnittstellen, der Routing-Instanzen und ihrer Routen sowie der Sicherheitskomponenten. Sie können Konfigurationsinformationen nur für Ihr logisches System anzeigen.

  • Ein logisches System kann basierend auf den verfügbaren Systemressourcen mehr als eine Routing-Instanz enthalten.

  • Sie können Class of Service auf lt-0/0/0-Schnittstellen nicht konfigurieren.

  • Das Commit-Rollback wird nur auf der Stammebene unterstützt.

  • Die Quality-of-Service (QoS)-Klassifizierung über miteinander verbundene logische Systeme hinweg funktioniert nicht.

  • Der primäre Administrator kann Gateways auf Anwendungsebene (ALGs) auf Stammebene konfigurieren. Die Konfiguration wird von allen logischen Benutzersystemen vererbt. ALGs können auch diskret für benutzerlogische Systeme konfiguriert werden.

  • Der primäre Administrator kann IDP-Richtlinien auf der Stammebene konfigurieren und dann eine IDP-Richtlinie auf ein logisches Benutzersystem anwenden.

  • Nur der primäre Administrator kann Benutzerkonten und Anmelde-IDs für Benutzer für alle logischen Systeme erstellen. Der primäre Administrator erstellt diese Benutzerkonten auf der Stammebene und weist sie den entsprechenden logischen Benutzersystemen zu.

  • Derselbe Name kann nicht in zwei getrennten logischen Systemen verwendet werden. Wenn z. B. logical-system1 einen Benutzer mit Bob als Benutzernamen enthält, können andere logische Systeme auf dem Gerät keinen Benutzer mit dem Benutzernamen Bob enthalten.

  • Die Konfiguration für Benutzer für alle logischen Systeme und alle Administratoren logischer Benutzersysteme muss auf der Stammebene vom primären Administrator durchgeführt werden. Ein logischer Systemadministrator kann keine anderen logischen Systemadministratoren oder Benutzerkonten für seine logischen Systeme erstellen.

Siehe auch

Grundlegendes zum logischen Interconnect-System und den logischen Tunnelschnittstellen

In diesem Thema wird das logische Interconnect-System behandelt, das als interner VPLS-Switch (Virtual Private LAN Service) dient und ein logisches System auf dem Gerät mit einem anderen verbindet. In diesem Thema wird auch erläutert, wie logische Tunnelschnittstellen (lt-0/0/0) verwendet werden, um logische Systeme über das logische Interconnect-System zu verbinden.

Ein Gerät, auf dem logische Systeme ausgeführt werden, kann einen internen VPLS-Switch verwenden, um Datenverkehr weiterzuleiten, ohne dass er das Gerät verlässt. Das logische Interconnect-System wechselt Datenverkehr zwischen logischen Systemen, die es verwenden. Obwohl ein virtueller Switch in der Regel verwendet wird, ist er nicht zwingend erforderlich. Wenn Sie sich für die Verwendung eines virtuellen Switches entscheiden, müssen Sie das logische Interconnect-System konfigurieren. Es kann nur ein logisches Interconnect-System auf einem Gerät geben.

Damit die Kommunikation zwischen logischen Systemen auf dem Gerät stattfinden kann, müssen Sie auf jedem logischen System, das den internen Switch verwendet, eine lt-0/0/0-Schnittstelle konfigurieren und sie mit der Peer-lt-0/0/0-Schnittstelle auf dem logischen Interconnect-System verknüpfen, wodurch effektiv ein logischer Tunnel zwischen ihnen erstellt wird. Sie definieren eine Peer-Beziehung an jedem Ende des Tunnels, wenn Sie die lt-0/0/0-Schnittstellen des logischen Systems konfigurieren.

Möglicherweise möchten Sie, dass alle logischen Systeme auf dem Gerät miteinander kommunizieren können, ohne einen externen Switch zu verwenden. Alternativ möchten Sie möglicherweise, dass einige logische Systeme über den internen Switch verbunden werden, aber nicht alle.

Für das logische Interconnect-System sind keine Sicherheitsressourcen erforderlich, die ihm über ein Sicherheitsprofil zugewiesen werden. Sie müssen dem logischen Interconnect-System jedoch ein Dummy-Sicherheitsprofil zuordnen, das keine Ressourcen enthält. Andernfalls können Sie die Konfiguration dafür nicht erfolgreich bestätigen.

Warnung:

Wenn Sie eine lt-0/0/0-Schnittstelle in einem logischen Benutzersystem oder im primären logischen System konfigurieren und kein logisches Interconnect-System konfigurieren, das eine Peer-lt-0/0/0-Schnittstelle dafür enthält, schlägt der Commit fehl.

Ein Sicherheitsgerät, auf dem logische Systeme ausgeführt werden, kann in einem Chassis-Cluster verwendet werden. Jeder Knoten verfügt über dieselbe Konfiguration, einschließlich des logischen Interconnect-Systems.

Siehe auch

Verständnis des Paketflusses in logischen Systemen für Sicherheitsgeräte

In diesem Thema wird erläutert, wie Pakete in Datenstromsitzungen auf Sicherheitsgeräten verarbeitet werden, auf denen logische Systeme ausgeführt werden. Es beschreibt, wie ein Sicherheitsgerät, auf dem logische Systeme ausgeführt werden, den Pass-Through-Datenverkehr in einem einzelnen logischen System und zwischen logischen Systemen verarbeitet. Sie deckt auch den Eigenverkehr als selbst initiierten Datenverkehr innerhalb eines logischen Systems und den Selbstverkehr ab, der auf einem anderen logischen System beendet wird. Bevor auf logische Systeme eingegangen wird, enthält dieses Thema grundlegende Informationen über die Firewall-Architektur in Bezug auf Paketverarbeitung und Sitzungen. Schließlich befasst es sich mit Sitzungen und der Änderung von Sitzungsmerkmalen.

Die in diesem Beispiel erläuterten Konzepte basieren auf der in Abbildung 2 dargestellten Topologie.

Abbildung 2: Logische Systeme, ihre virtuellen Router und ihre Schnittstellen Network topology diagram showing logical systems and virtual routing instances. Internet connects to vr1-root system, linking to vr-ic hub. vr-ic connects ls-product-design with pd-vr1 and pd-vr2, and ls-marketing-dept with mk-vr1. PCs connect to respective systems.

Grundlegendes zur Architektur von Junos OS-Sicherheitsgeräten

Junos OS ist ein verteiltes Parallelverarbeitungssystem mit hohem Durchsatz und hoher Leistung. Die verteilte Parallelverarbeitungsarchitektur der Services Gateways umfasst mehrere Prozessoren zur Verwaltung von Sitzungen und zur Ausführung der Sicherheits- und anderen Serviceverarbeitung. Diese Architektur bietet mehr Flexibilität und ermöglicht einen hohen Durchsatz und eine schnelle Leistung.

Eine Netzwerkverarbeitungseinheit (NPU) wird auf einem IOC ausgeführt. Ein IOC verfügt über eine oder mehrere NPUs. Eine oder mehrere Services Processing Units (SPUs) werden auf einer SPC ausgeführt.

Diese Verarbeitungseinheiten haben unterschiedliche Zuständigkeiten. Alle ablaufbasierten Services für ein Paket werden auf einer einzigen SPU ausgeführt. Ansonsten sind die Linien jedoch nicht klar getrennt in Bezug auf die Arten von Diensten, die auf diesen Prozessoren laufen. (Weitere Informationen zur ablaufbasierten Verarbeitung finden Sie unter Grundlegendes zur Datenverkehrsverarbeitung auf Sicherheitsgeräten.)

Zum Beispiel:

  • Eine NPU verarbeitet Pakete diskret. Es führt Plausibilitätsprüfungen durch und wendet einige für die Schnittstelle konfigurierte Bildschirme, wie z. B. Denial-of-Service-Bildschirme (DoS), auf das Paket an.

  • Eine SPU verwaltet die Sitzung für den Paketfluss und wendet Sicherheitsfunktionen und andere Services auf das Paket an. Außerdem werden paketbasierte zustandslose Firewall-Filter, Klassifikatoren und Traffic-Shaper auf das Paket angewendet.

  • Das System verwendet einen Prozessor als zentralen Punkt, um die Schlichtung und Zuweisung von Ressourcen zu übernehmen und Sitzungen auf intelligente Weise zu verteilen. Der zentrale Punkt weist eine SPU zu, die für eine bestimmte Sitzung verwendet wird, wenn das erste Paket ihres Datenstroms verarbeitet wird.

Diese diskreten, kooperierenden Teile des Systems, einschließlich des zentralen Punktes, speichern jeweils die Informationen, die angeben, ob eine Sitzung für einen Paketstrom existiert, und die Informationen, mit denen ein Paket abgeglichen wird, um festzustellen, ob es zu einer bestehenden Sitzung gehört.

Diese Architektur ermöglicht es dem Gerät, die Verarbeitung aller Sitzungen auf mehrere SPUs zu verteilen. Außerdem kann eine NPU feststellen, ob eine Sitzung für ein Paket existiert, das Paket überprüfen und Bildschirme darauf anwenden. Wie ein Paket behandelt wird, hängt davon ab, ob es sich um das erste Paket eines Datenstroms handelt.

Bei der ablaufbasierten Paketverarbeitung werden verwandte Pakete oder ein Datenstrom von Paketen auf die gleiche Weise behandelt. Die Paketbehandlung hängt von Merkmalen ab, die für das erste Paket des Paketstroms festgelegt werden, wenn die Datenstromsitzung eingerichtet wird. Der Großteil der Paketverarbeitung findet innerhalb eines Datenstroms statt. Bei der verteilten Verarbeitungsarchitektur des Services Gateways erfolgt ein Teil paketbasierter Verarbeitung, z. B. Traffic Shaping, auf der NPU. Einige paketbasierte Verarbeitungen, wie z. B. das Anwenden von Klassifizierern auf ein Paket, erfolgen auf der SPU.

Konfigurationseinstellungen, die über das Schicksal eines Pakets entscheiden – z. B. die für das Paket geltende Sicherheitsrichtlinie, Anwendungsebene dafür konfigurierte Gateways (ALG)s, ob NAT zur Übersetzung der Quell- und/oder Ziel-IP-Adresse des Pakets angewendet werden sollen – werden für das erste Paket eines Datenstroms bewertet.

Sitzungserstellung für Geräte, auf denen logische Systeme ausgeführt werden

Die Sitzungseinrichtung für Sicherheitsgeräte, auf denen logische Systeme ausgeführt werden, unterscheidet sich geringfügig von der für Sicherheitsgeräte, auf denen keine logischen Systeme ausgeführt werden. Trotz der Komplexität, die logische Systeme mit sich bringen, wird der Datenverkehr auf ähnliche Weise gehandhabt wie auf Sicherheitsgeräten, auf denen keine logischen Systeme ausgeführt werden. Die flussbasierte Paketverarbeitung, die zustandsbehaftet ist, erfordert die Erstellung von Sitzungen. Bei der Betrachtung der ablaufbasierten Verarbeitung und des Sitzungsaufbaus für logische Systeme ist es hilfreich, sich jedes logische System auf dem Gerät als separates Gerät in Bezug auf den Sitzungsaufbau vorzustellen.

Basierend auf Routing- und anderen Klassifizierungsinformationen wird eine Sitzung erstellt, um Informationen zu speichern und Ressourcen für einen Flow zuzuweisen. Grundsätzlich wird eine Sitzung eingerichtet, wenn der Datenverkehr eine logische Systemschnittstelle erreicht, eine Routensuche durchgeführt wird, um die Schnittstelle des nächsten Hops zu identifizieren, und eine Richtliniensuche durchgeführt wird.

Optional können Sie mit logischen Systemen einen internen Software-Switch konfigurieren. Dieser virtuelle private LAN-Switch (VPLS) ist als logisches Interconnect-System implementiert. Es ermöglicht sowohl Transitdatenverkehr als auch Datenverkehr, der an einem logischen System terminiert wird, zwischen logischen Systemen zu wechseln. Damit der Datenverkehr zwischen logischen Systemen übertragen werden kann, werden logische Tunnel-Schnittstellen (lt-0/0/0) über das logische Interconnect-System verwendet.

Die Kommunikation zwischen logischen Systemen über das logische Interconnect-System erfordert die Einrichtung von zwei Sitzungen: eine für Datenverkehr, der in ein logisches System eintritt und seine lt-0/0/0-Schnittstelle verlässt, und eine für Datenverkehr, der in die lt-0/0/0-Schnittstelle eines anderen logischen Systems eintritt und das Gerät entweder über eine seiner physischen Schnittstellen verlässt oder für diese bestimmt ist.

Hinweis:

Die Paketreihenfolge erfolgt an den Eingangs- und Ausgangsschnittstellen. Pakete, die zwischen logischen Systemen übertragen werden, werden möglicherweise nicht in der Reihenfolge verarbeitet, in der sie auf der physischen Schnittstelle empfangen wurden.

Verstehen von Datenströmen auf logischen Systemen

Um zu verstehen, wie der Datenverkehr für logische Systeme gehandhabt wird, ist es hilfreich, jedes logische System als separates Gerät zu betrachten.

Hinweis:

Der Datenverkehr wird für das primäre logische System auf die gleiche Weise verarbeitet wie für logische Benutzersysteme auf dem Gerät.

Grundlegendes zur Paketklassifizierung

Die Paketklassifizierung wird für Sicherheitsgeräte, die mit oder ohne logische Systeme betrieben werden, auf die gleiche Weise bewertet. Filter und Class-of-Service-Funktionen sind in der Regel mit einer Schnittstelle verknüpft, um zu beeinflussen, welche Pakete das System passieren dürfen, und um bei Bedarf spezielle Aktionen auf Pakete anzuwenden. (Innerhalb eines Datenflusses findet auch ein Teil der paketbasierten Verarbeitung auf einer SPU statt.)

Die Paketklassifizierung basiert auf der eingehenden Schnittstelle und wird am Eingangspunkt durchgeführt. Der Datenverkehr für eine dedizierte Schnittstelle wird dem logischen System zugeordnet, das diese Schnittstelle enthält. Im Kontext eines Datenstroms basiert die Paketklassifizierung sowohl auf der physischen als auch auf der logischen Schnittstelle.

Verarbeitung von Pass-Through-Datenverkehr für logische Systeme

Bei Sicherheitsgeräten, auf denen keine logischen Systeme ausgeführt werden, ist Pass-Through-Datenverkehr der Datenverkehr, der in ein Gerät ein- und ausgeht. Sie können sich Pass-Through-Datenverkehr für logische Systeme ähnlich vorstellen, aber aufgrund der Beschaffenheit eines mehrinstanzenfähigen Geräts eine größere Dimension haben. Bei Sicherheitsgeräten, auf denen logische Systeme ausgeführt werden, kann Pass-Through-Datenverkehr innerhalb eines logischen Systems oder zwischen logischen Systemen vorhanden sein.

Pass-Through-Datenverkehr innerhalb eines logischen Systems

Bei Pass-Through-Datenverkehr innerhalb eines logischen Systems kommt der Datenverkehr über eine Schnittstelle an, die zu einer der virtuellen Routing-Instanzen des logischen Systems gehört, und wird an eine andere seiner virtuellen Routing-Instanzen gesendet. Zum Verlassen des Geräts wird der Datenverkehr über eine Schnittstelle gesendet, die zur zweiten virtuellen Routing-Instanz gehört. Der Datenverkehr wird nicht zwischen logischen Systemen übertragen, sondern in einem einzigen logischen System in das Gerät ein- und ausgeschieden. Pass-Through-Datenverkehr innerhalb eines logischen Systems wird gemäß den Routing-Tabellen in jeder seiner Routing-Instanzen übertragen.

Betrachten Sie, wie Pass-Through-Datenverkehr in einem logischen System anhand der in Abbildung 2 dargestellten Topologie gehandhabt wird.

  • Wenn ein Paket an der Schnittstelle ge-0/0/5 eintrifft, wird es als zum logischen System ls-product-design zugehörig identifiziert.

  • Da ge-0/0/5 zur pd-vr1-Routing-Instanz gehört, wird die Routensuche in pd-vr1 durchgeführt, wobei pd-vr2 als nächster Hop identifiziert wird.

  • Eine zweite Routensuche wird in pd-vr2 durchgeführt, um die zu verwendende Ausgangsschnittstelle zu identifizieren – in diesem Fall – ge-0/0/8.

  • Das Paket wird ge-0/0/8 an das Netzwerk gesendet.

  • Die Suche nach Sicherheitsrichtlinien wird in ls-product-design durchgeführt, und es wird eine Sitzung eingerichtet.

Pass-Through-Datenverkehr zwischen logischen Systemen

Der Pass-Through-Datenverkehr zwischen logischen Systemen wird durch die Tatsache erschwert, dass jedes logische System eine Eingangs- und eine Ausgangsschnittstelle hat, die der Datenverkehr passieren muss. Es ist, als ob Datenverkehr von zwei Geräten ein- und ausgehen würde.

Für den Pass-Through-Datenverkehr zwischen logischen Systemen müssen zwei Sitzungen eingerichtet werden. (Beachten Sie, dass die Richtliniensuche in beiden logischen Systemen durchgeführt wird).

  • Auf dem eingehenden logischen System wird eine Sitzung zwischen der Eingangsschnittstelle (einer physischen Schnittstelle) und ihrer Ausgangsschnittstelle (einer lt-0/0/0-Schnittstelle) eingerichtet.

  • Auf dem ausgehenden logischen System wird eine weitere Sitzung zwischen der Eingangsschnittstelle (der lt-0/0/0-Schnittstelle des zweiten logischen Systems) und ihrer Ausgangsschnittstelle (einer physischen Schnittstelle) eingerichtet.

Betrachten Sie in der in Abbildung 2 dargestellten Topologie, wie Pass-Through-Datenverkehr über logische Systeme hinweg gehandhabt wird.

  • Im eingehenden logischen System wird eine Sitzung aufgebaut.

    • Wenn ein Paket an der Schnittstelle ge-0/0/5 eintrifft, wird es als zum logischen System ls-product-design zugehörig identifiziert.

    • Da ge-0/0/5 zur pd-vr1-Routing-Instanz gehört, wird die Routensuche in pd-vr1 durchgeführt.

    • Als Ergebnis der Suche wird die Ausgangsschnittstelle für das Paket als lt-0/0/0.3 identifiziert, während der nächste Hop als lt-0/0/0.5 identifiziert wird, was die Eingangsschnittstelle in der ls-marketing-abteilung ist.

    • Eine Sitzung wird zwischen ge-0/0/5 und lt-0/0/0.3 eingerichtet.

  • Eine Sitzung wird im ausgehenden logischen System eingerichtet.

    • Das Paket wird von lt-0/0/0.5 erneut in den Fluss eingespeist, und der logische Systemkontext, der als ls-marketing-dept identifiziert wird, wird von der Schnittstelle abgeleitet.

    • Die Paketverarbeitung wird im logischen System ls-marketing-dept fortgesetzt.

    • Um die Ausgangsschnittstelle zu identifizieren, wird in den mk-vr1-Routing-Instanzen eine Routensuche für das Paket durchgeführt.

    • Die ausgehende Schnittstelle wird als ge-0/0/6 identifiziert und das Paket wird von der Schnittstelle an das Netzwerk übertragen.

Umgang mit Eigenverkehr

Selbstdatenverkehr ist Datenverkehr, der von einem logischen System auf dem Gerät stammt und entweder von diesem logischen System an das Netzwerk gesendet oder auf einem anderen logischen System auf dem Gerät beendet wird.

Selbst initiierter Datenverkehr

Selbst initiierter Datenverkehr wird aus einem logischen Quellsystemkontext generiert und von der logischen Systemschnittstelle direkt an das Netzwerk weitergeleitet.

Der folgende Prozess läuft ab:

  • Wenn ein Paket in einem logischen System generiert wird, wird ein Prozess zur Verarbeitung des Datenverkehrs im logischen System gestartet.

  • Eine Routensuche wird durchgeführt, um die Ausgangsschnittstelle zu identifizieren, und eine Sitzung wird eingerichtet.

  • Das logische System führt eine Richtliniensuche durch und verarbeitet den Datenverkehr entsprechend.

  • Bei Bedarf wird eine Managementsitzung eingerichtet.

Betrachten Sie, wie selbst initiierter Datenverkehr in logischen Systemen anhand der in Abbildung 2 dargestellten Topologie gehandhabt wird.

  • Im logischen System ls-product-design wird ein Paket generiert, und im logischen System wird ein Prozess zur Verarbeitung des Datenverkehrs gestartet.

  • Die in PD-VR2 durchgeführte Routensuche identifiziert die Ausgangsschnittstelle als ge-0/0/8.

  • Eine Sitzung wird eingerichtet.

  • Das Paket wird von ge-0/0/8 an das Netzwerk übertragen.

Datenverkehr, der auf einem logischen System terminiert wird

Wenn ein Paket auf einer Schnittstelle, die zu einem logischen System gehört, in das Gerät gelangt und das Paket für ein anderes logisches System auf dem Gerät bestimmt ist, wird das Paket auf die gleiche Weise wie der Pass-Through-Datenverkehr zwischen den logischen Systemen weitergeleitet. Die Routensuche im zweiten logischen System identifiziert jedoch die lokale Ausgangsschnittstelle als Paketziel. Folglich wird das Paket auf dem zweiten logischen System als Eigenverkehr beendet.

  • Für beendeten Eigenverkehr werden zwei Richtlinienabfragen durchgeführt und zwei Sitzungen eingerichtet.

    • Auf dem eingehenden logischen System wird eine Sitzung zwischen der Eingangsschnittstelle (einer physischen Schnittstelle) und ihrer Ausgangsschnittstelle (einer lt-0/0/0-Schnittstelle) eingerichtet.

    • Auf dem logischen Zielsystem wird eine weitere Sitzung zwischen der Eingangsschnittstelle (der lt-0/0/0-Schnittstelle des zweiten logischen Systems) und der lokalen Schnittstelle eingerichtet.

Betrachten Sie in der in Abbildung 2 dargestellten Topologie, wie terminierter Eigenverkehr über logische Systeme hinweg gehandhabt wird.

  • Im eingehenden logischen System wird eine Sitzung aufgebaut.

    • Wenn ein Paket an der Schnittstelle ge-0/0/5 eintrifft, wird es als zum logischen System ls-product-design zugehörig identifiziert.

    • Da ge-0/0/5 zur pd-vr1-Routing-Instanz gehört, wird die Routensuche in pd-vr1 durchgeführt.

    • Als Ergebnis der Suche wird die Ausgangsschnittstelle für das Paket als lt-0/0/0.3 identifiziert, während der nächste Hop als lt-0/0/0.5, die Eingangsschnittstelle in der ls-marketing-abteilung, identifiziert wird.

    • Eine Sitzung wird zwischen ge-0/0/5 und lt-0/0/0.3 eingerichtet.

  • Im logischen Zielsystem wird eine Verwaltungssitzung eingerichtet.

    • Das Paket wird von lt-0/0/0.5 erneut in den Fluss eingespeist, und der logische Systemkontext, der als ls-marketing-dept identifiziert wird, wird von der Schnittstelle abgeleitet.

    • Die Paketverarbeitung wird im logischen System ls-marketing-dept fortgesetzt.

    • Die Routensuche für das Paket wird in der mk-vr1-Routing-Instanz durchgeführt. Das Paket wird im logischen Zielsystem als Eigenverkehr beendet.

    • Eine Managementsitzung wird eingerichtet.

Grundlegendes zur Sitzungs- und Gate-Begrenzungssteuerung

Das Datenstrom-Modul für logische Systeme bietet Sitzungs- und Gate-Begrenzung, um sicherzustellen, dass diese Ressourcen fair zwischen den logischen Systemen aufgeteilt werden. Die Ressourcenzuweisung und -beschränkungen für jedes logische System werden in dem an das logische System gebundenen Sicherheitsprofil festgelegt.

  • Bei der Sitzungsbegrenzung vergleicht das System das erste Paket einer Sitzung mit der maximalen Anzahl von Sitzungen, die für das logische System konfiguriert sind. Wenn das Maximum erreicht ist, verwirft das Gerät das Paket und protokolliert das Ereignis.

  • Bei der Gate-Begrenzung vergleicht das Gerät das erste Paket einer Sitzung mit der maximalen Anzahl von Gates, die für das logische System konfiguriert sind. Wenn die maximale Anzahl von Gattern für ein logisches System erreicht ist, lehnt das Gerät die Anforderung zum Öffnen des Gatters ab und protokolliert das Ereignis.

Grundlegendes zu Sitzungen

Sitzungen werden auf der Grundlage von Routing- und anderen Klassifizierungsinformationen erstellt, um Informationen zu speichern und Ressourcen für einen Flow zuzuweisen. Sie können einige Merkmale von Sitzungen ändern, z. B. wann eine Sitzung beendet wird. Sie können z. B. sicherstellen, dass eine Sitzungstabelle nie vollständig gefüllt ist, um sich vor dem Versuch eines Angreifers zu schützen, die Tabelle zu überfluten und dadurch legitime Benutzer daran zu hindern, Sitzungen zu starten.

Informationen zum Konfigurieren von Sitzungen

Je nach Protokoll und Dienst wird eine Sitzung mit einem Timeout-Wert programmiert. Das Standard-Timeout für TCP beträgt beispielsweise 1800 Sekunden. Das Standard-Timeout für UDP beträgt 60 Sekunden. Wenn ein Flow beendet wird, wird er als ungültig markiert und sein Timeout wird auf 10 Sekunden reduziert. Wenn kein Datenverkehr die Sitzung vor dem Dienst-Timeout verwendet, wird die Sitzung freigegeben und zur Wiederverwendung in einen gemeinsamen Ressourcenpool freigegeben.

Sie können den Lebenszyklus einer Sitzung auf folgende Weise beeinflussen:

  • Alterung der Sitzungen, basierend darauf, wie voll die Sitzungstabelle ist.

  • Legen Sie ein explizites Timeout für das Ausaltern von TCP-Sitzungen fest.

  • Konfigurieren Sie eine TCP-Sitzung so, dass sie ungültig wird, wenn sie eine TCP-RST-Nachricht (Reset) empfängt.

  • Sie können Sitzungen wie folgt für andere Systeme konfigurieren:

    • Deaktivieren Sie die TCP-Paketsicherheitsprüfungen.

    • Ändern Sie die maximale Segmentgröße.

Siehe auch

Unterstützung für logische Systeme und Mandantensysteme für Virtual Firewall und Virtual Firewall 3.0 Instanzen

Durch die Konfiguration der einzelnen logischen Systeme entsteht ein zusätzlicher Routing-Protokollprozess (RPD), der CPU- und Arbeitsspeicher intensiv ist.

  • Virtual Firewall- und Virtual Firewall 3.0-Instanzen mit einer Speicherkapazität von weniger als 16 GB unterstützen ein logisches Root-System.

  • Virtual Firewall und Virtual Firewall 3.0-Instanzen mit einer Speicherkapazität von 16 GB oder mehr unterstützen logische Systeme, beschränken die logischen Systeme jedoch auf acht.

In Tabelle 1 wird die Anzahl der logischen Systeme und Mandantensysteme beschrieben, die auf verschiedenen Speicherkapazitäten für Virtual Firewall und Virtual Firewall 3.0 unterstützt werden.

Tabelle 1: Logische Systeme und Mandantensysteme, die auf verschiedenen Speicherkapazitäten für Virtual Firewall und Virtual Firewall 3.0 unterstützt werden.

Typ

4 GB

8 GB

16 GB oder mehr

Logische Systeme (einschließlich des logischen Stammsystems)

1

1

8

Mandanten-Systeme

0

0

42

Logische Systeme + Mandantensysteme (einschließlich des logischen Stammsystems).

1

1

50
Hinweis:

Nur Instanzen der virtuellen Firewall 3.0 unterstützen flexible Sicherheitsprofile, die auf dem Gerätespeicher basieren. Die maximale Anzahl der unterstützten Sicherheitsprofile für Virtual Firewall 3.0 hängt vom Arbeitsspeicher ab. Weitere Informationen finden Sie unter Sicherheitsprofile für logische Systeme.

Verwenden Sie den folgenden Befehl auf Hierarchieebene [edit] , um sicherzustellen, dass mindestens zwei CPUs in der Routing-Engine der Instanzen der virtuellen Firewall und der virtuellen Firewall 3.0 vorhanden sind: set security forwarding-options resource-manager cpu re 2.

Plattformspezifisches logisches Systemverhalten

Verwenden Sie den Feature-Explorer , um die Plattform- und Release-Unterstützung für bestimmte Funktionen zu bestätigen.

Verwenden Sie die folgende Tabelle, um plattformspezifische Verhaltensweisen für Ihre Plattform zu überprüfen:

Tabelle 2: Plattformspezifisches Verhalten

Plattform

Unterschied

SRX-Serie

  • Die Firewalls SRX4100 und SRX4200, die logische Systeme unterstützen, unterstützen sowohl den transparenten Modus als auch den Routing-Modus.

  • SRX4600-Firewalls, die logische Systeme unterstützen, unterstützen nur den Routing-Modus.

  • SRX1500-Firewalls, die logische Systeme unterstützen, können maximal 512 Zonen konfigurieren.

  • Die Firewalls der SRX5000-Reihe, die logische Systeme unterstützen, unterstützen E/A-Karten (IOC) und Services Processing Cards (SPCs), wobei jede Verarbeitungseinheit Einheiten enthält, die ein Paket verarbeiten, während es das Gerät durchläuft.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Veröffentlichung
Beschreibung
20.2R1
Ab Junos OS Version 20.1R1 können Sie logische Systeme und Mandantensysteme auf den Instanzen der Virtuelle Firewall vSRX und der Virtuelle Firewall vSRX 3.0 konfigurieren.