Primär logische Systeme – Übersicht
Primäre logische Systeme können ein logisches Benutzersystem erstellen und die Sicherheitsressourcen des logischen Benutzersystems konfigurieren. Primäre logische Systeme weisen die logischen Schnittstellen den logischen Systemen des Benutzers zu. Weitere Informationen finden Sie in den folgenden Themen:
Grundlegendes zu den primären logischen Systemen und der primären Administratorrolle
Wenn Sie als primärer Administrator eine Firewall der SRX-Serie mit logischen Systemen initialisieren, wird ein primäres logisches System auf der Root-Ebene erstellt. Sie können sich bei dem Gerät als root anmelden und das Root-Passwort ändern.
Standardmäßig sind alle Systemressourcen dem primären logischen System zugewiesen, und der primäre Administrator weist sie den logischen Systemen des Benutzers zu.
Als Primäradministrator verwalten Sie das Gerät und alle logischen Systeme. Sie verwalten auch das primäre logische System und konfigurieren seine zugewiesenen Ressourcen. Es kann mehr als ein primärer Administrator sein, der ein Gerät verwaltet, auf dem logische Systeme ausgeführt wird.
Die Rolle und die Hauptverantwortung des primären Administrators umfassen:
Erstellen logischer Benutzersysteme und Konfiguration ihrer Administratoren. Sie können für jedes logische System eines Benutzers einen oder mehrere Benutzeradministratoren für logische Systeme erstellen.
Das Erstellen von Anmeldekonten für Benutzer für alle logischen Systeme und die Zuordnung zu den entsprechenden logischen Systemen.
Konfigurieren eines logischen Interconnect-Systems, wenn Sie die Kommunikation zwischen logischen Systemen auf dem Gerät zulassen möchten. Das logische Interconnect-System fungiert als interner Switch. Es ist kein Administrator erforderlich.
Um ein logisches Interconnect-System zu konfigurieren, konfigurieren Sie lt-0/0/0-Schnittstellen zwischen dem logischen Interconnect-System und jedem logischen System. Diese Peer-Schnittstellen ermöglichen die Einrichtung von Tunneln.
Konfigurieren von Sicherheitsprofilen zur Bereitstellung von Teilen der Sicherheitsressourcen des Systems für logische Benutzersysteme und das primäre logische System.
Nur der primäre Administrator kann Sicherheitsprofile erstellen, ändern und löschen und an logische Systeme binden.
Hinweis:Ein benutzerlogischer Systemadministrator kann Schnittstellen-, Routing- und Sicherheitsressourcen konfigurieren, die seinem logischen System zugewiesen sind.
Erstellen logischer Schnittstellen zur Zuweisung logischer Benutzersysteme. (Der benutzer logische Systemadministrator konfiguriert logische Schnittstellen, die seinem logischen System zugewiesen sind.)
Anzeigen und Verwalten logischer Benutzersysteme nach Bedarf und Löschen logischer Benutzersysteme. Wenn ein logisches Benutzersystem gelöscht wird, werden die zugewiesenen reservierten Ressourcen für die Verwendung durch andere logische Systeme freigegeben.
Konfigurieren von IDP, AppTrack, Anwendungsidentifizierung und Anwendungs-Firewall-Funktionen. Der Primäradministrator kann auch Trace und Debugging auf der Root-Ebene verwenden, und er kann Commit-Rollbacks durchführen. Der primäre Administrator verwaltet das primäre logische System und konfiguriert alle Funktionen, die ein logischer Systemadministrator eines Benutzers für seine eigenen logischen Systeme konfigurieren kann, einschließlich Routing-Instanzen, statische Routen, dynamische Routing-Protokolle, Zonen, Sicherheitsrichtlinien, Bildschirme und Firewall-Authentifizierung.
Siehe auch
Übersicht über konfigurationsaufgaben für logische Systeme der SRX-Serie Für primäre Administrator
In diesem Thema werden die Aufgaben des primären Administrators in der Reihenfolge beschrieben, in der sie ausgeführt werden.
Eine Firewall der SRX-Serie, auf der logische Systeme ausgeführt wird, wird von einem primären Administrator verwaltet. Der primäre Administrator verfügt über die gleichen Funktionen wie der Root-Administrator einer Firewall der SRX-Serie, die keine logischen Systeme ausführt. Die Rolle und Verantwortung des primären Administrators geht jedoch über die anderer Firewall-Administratoren der SRX-Serie hinaus, da eine Firewall der SRX-Serie, auf der logische Systeme ausgeführt wird, in separate logische Systeme mit jeweils eigenen Ressourcen, Konfigurationen und Verwaltungsproblemen partitioniert wird. Der primäre Administrator ist für die Erstellung dieser logischen Benutzersysteme und die Bereitstellung mit Ressourcen verantwortlich.
Einen Überblick über die Rolle und Verantwortlichkeiten des primären Administrators finden Sie unter Grundlegendes zu den primären logischen Systemen und der Rolle des primären Administrators.
Als Primäradministrator führen Sie die folgenden Aufgaben aus, um eine Firewall der SRX-Serie zu konfigurieren, die auf logischen Systemen ausgeführt wird:
Siehe auch
Beispiel: Konfigurieren mehrerer VPLS-Switches und LT-Schnittstellen für logische Systeme
Dieses Beispiel zeigt, wie mehrere logische Systeme miteinander verbunden werden. Dies wird durch die Konfiguration mehrerer logischer Systeme mit einer Point-to-Point-Verbindung (Logical Tunnel) erreicht (Encapsulation Ethernet, Encapsulation Frame-Relay und Virtual Private LAN Service Switch). Mehr als eine LT-Schnittstelle in einem logischen System und mehrere VPLS-Switches sind so konfiguriert, dass sie den Datenverkehr leiten, ohne eine Firewall der SRX-Serie zu verlassen. Die Frame-Relay-Kapselung fügt dem angegebenen Frame DLCI-Informationen (Data-Link Connection Identifier) hinzu.
Anforderungen
In diesem Beispiel wird eine Firewall der SRX-Serie mit Junos OS mit logischem System verwendet.
Bevor Sie beginnen:
Lesen Sie die Übersicht über die Konfigurationsaufgaben für primäre Administrator der SRX-Serie , um zu erfahren, wie und wo dieses Verfahren in den gesamten Konfigurationsprozess des primären Administrators passt.
Lesen Sie das Beispiel: Erstellen logischer Benutzersysteme, deren Administratoren, deren Benutzer und ein logisches Interconnect-System
Lesen Sie das Verständnis des logischen Interconnect-Systems und der logischen Tunnelschnittstellen
Übersicht
In diesem Beispiel konfigurieren wir mehrere LT-Schnittstellen und mehrere VPLS-Switches in einem logischen System.
In diesem Beispiel konfigurieren wir auch die Verbindung mehrerer logischer Systeme mit LT-Schnittstellenpunktverbindung (Encapsulation Ethernet und Encapsulation Frame-Relay).
Abbildung 1 zeigt die Topologie für die Verbindung logischer Systeme.
Für das logische Interconnect-System mit PUNKT-zu-Punkt-Verbindung (Kapselungs-Ethernet) der LT-Schnittstelle (Kapselungs-Ethernet) konfiguriert das Beispiel logische Tunnelschnittstellen lt-0/0/0. In diesem Beispiel werden Sicherheitszonen konfiguriert und den logischen Systemen Schnittstellen zugewiesen.
Die Interconnect-Schnittstellen für logische Systeme lt-0/0/0 sind mit Ethernet als Kapselungstyp konfiguriert. Die entsprechenden Peer lt-0/0/0-Schnittstellen in den logischen Systemen werden mit Ethernet als Kapselungstyp konfiguriert. Den logischen Systemen wird ein Sicherheitsprofil zugewiesen.
Für die logischen Interconnect-Systeme mit DER LT-Schnittstellen-Punkt-zu-Punkt-Verbindung (Kapselungs-Frame-Relay) konfiguriert dieses Beispiel logische Tunnelschnittstellen lt-0/0/0. In diesem Beispiel werden Sicherheitszonen konfiguriert und den logischen Systemen Schnittstellen zugewiesen.
Die Logischen Interconnect-Systeme lt-0/0/0-Schnittstellen werden mit Frame-Relay als Kapselungstyp konfiguriert. Die entsprechenden Peer lt-0/0/0-Schnittstellen in den logischen Systemen werden mit Frame-Relay als Kapselungstyp konfiguriert. Den logischen Systemen wird ein Sicherheitsprofil zugewiesen.
Für die Verbindung logischer Systeme mit mehreren VPLS-Switches konfiguriert dieses Beispiel logische Tunnelschnittstellen lt-0/0/0 mit Ethernet-vpls als Kapselungstyp. Die entsprechenden Peer lt-0/0/0/0-Schnittstellen und Sicherheitsprofile werden den logischen Systemen zugewiesen. Die Routing-Instanz für VPLS-Switch-1 und VPLS-Switch-2 sind ebenfalls den logischen Systemen zugewiesen.
Abbildung 2 zeigt die Topologie für die Verbindung logischer Systeme mit VPLS-Switches.
Abbildung 2: Konfiguration der logischen Interconnect-Systeme mit VPLS-Switches
Hinweis:In einem logischen System können mehrere LT-Schnittstellen konfiguriert werden.
Konfiguration
Führen Sie die folgenden Aufgaben aus, um Schnittstellen für das logische System zu konfigurieren:
- Konfigurieren der Verbindung logischer Systeme mit Logischer Tunnelschnittstelle (Punkt-zu-Punkt-Verbindung) (Encapsulation Ethernet)
- Konfiguration der Verbindung logischer Systeme mit Point-to-Point-Verbindung der logischen Tunnelschnittstelle (Encapsulation Frame-Relay)
- Konfiguration der Verbindung logischer Systeme mit mehreren VPLS-Switches
Konfigurieren der Verbindung logischer Systeme mit Logischer Tunnelschnittstelle (Punkt-zu-Punkt-Verbindung) (Encapsulation Ethernet)
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set system security-profile SP-user logical-system LSYS2 set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 peer-unit 21 set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 family inet address 192.255.2.1/30 set logical-systems LSYS2 security zones security-zone LT interfaces lt-0/0/0.20 set system security-profile SP-user logical-system LSYS2A set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 encapsulation ethernet set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 peer-unit 20 set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 family inet address 192.255.2.2/30 set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match source-address any set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match destination-address any set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match application any set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT then permit set logical-systems LSYS2A security policies default-policy permit-all set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic system-services all set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic protocols all set logical-systems LSYS2A security zones security-zone LT interfaces lt-0/0/0.21
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
Definieren Sie ein Sicherheitsprofil und weisen Sie es einem logischen System zu.
[edit] user@host# set system security-profile SP-user logical-system LSYS2
Legen Sie die LT-Schnittstelle als Kapselungs-Ethernet im logischen System fest.
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 encapsulation ethernet
Konfigurieren Sie eine Peer-Beziehung für logische Systeme LSYS2.
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 peer-unit 21
Geben Sie die IP-Adresse für die LT-Schnittstelle an.
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 family inet address 192.255.2.1/30
Legen Sie die Sicherheitszone für die LT-Schnittstelle fest.
[edit] user@host# set logical-systems LSYS2 security zones security-zone LT interfaces lt-0/0/0.20
Definieren Sie ein Sicherheitsprofil und weisen Sie es einem logischen System zu.
[edit] user@host# set system security-profile SP-user logical-system LSYS2A
Setzen Sie die LT-Schnittstelle als Kapselungs-Ethernet im logischen System 2A.
[edit] user@host# set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 encapsulation ethernet
Konfigurieren Sie eine Peerbeziehung für logische Systeme LSYS2A.
[edit] user@host# set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 peer-unit 20
Geben Sie die IP-Adresse für die LT-Schnittstelle an.
[edit] user@host# set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 family inet address 192.255.2.2/30
Konfigurieren Sie eine Sicherheitsrichtlinie, die den Datenverkehr von der LT-Zone zur LT-Richtlinienzone zulässt.
[edit] user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match source-address any user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match destination-address any user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match application any user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der Standardrichtlinie zulässt.
[edit] user@host# set logical-systems LSYS2A security policies default-policy permit-all
Konfigurieren Sie Sicherheitszonen.
[edit] user@host# set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic system-services all user@host# set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic protocols all user@host# set logical-systems LSYS2A security zones security-zone LT interfaces lt-0/0/0.21
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den
show logical-systems LSYS2Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.[edit] user@host# show logical-systems LSYS2 interfaces { lt-0/0/0 { unit 20 { encapsulation ethernet; peer-unit 21; family inet { address 192.255.2.1/30; } } unit 22 { encapsulation ethernet; peer-unit 23; family inet { address 192.255.4.1/30; } } } } security { zones { security-zone LT { interfaces { lt-0/0/0.22; lt-0/0/0.20; } } } }
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den
show logical-systems LSYS2ABefehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.[edit] user@host# show logical-systems LSYS2A interfaces { lt-0/0/0 { unit 21 { encapsulation ethernet; peer-unit 20; family inet { address 192.255.2.2/30; } } } } security { policies { from-zone LT to-zone LT { policy LT { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { permit-all; } } zones { security-zone LT { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.21; } } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfiguration der Verbindung logischer Systeme mit Point-to-Point-Verbindung der logischen Tunnelschnittstelle (Encapsulation Frame-Relay)
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set system security-profile SP-user logical-system LSYS3A set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 encapsulation frame-relay set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 dlci 16 set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 peer-unit 31 set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 family inet address 192.255.3.1/30 set logical-systems LSYS3 security zones security-zone LT interfaces lt-0/0/0.30 set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 encapsulation frame-relay set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 dlci 16 set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 peer-unit 30 set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 family inet address 192.255.3.2/30 set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match source-address any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match destination-address any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match application any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT then permit set logical-systems LSYS3A security policies default-policy permit-all set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic system-services all set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic protocols all set logical-systems LSYS3A security zones security-zone LT interfaces lt-0/0/0.31
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
Definieren Sie ein Sicherheitsprofil und weisen Sie es einem logischen System zu.
[edit] user@host# set system security-profile SP-user logical-system LSYS3A
Legen Sie die LT-Schnittstelle als Kapselungs-Frame-Relay im logischen System fest.
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 encapsulation frame-relay
Konfigurieren Sie die logische Tunnelschnittstelle durch Einbeziehung der dlci.
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 dlci 16
Konfigurieren Sie eine Peer-Unit-Beziehung zwischen LT-Schnittstellen und erstellen Sie so eine Punkt-zu-Punkt-Verbindung.
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 peer-unit 31
Geben Sie die IP-Adresse für die LT-Schnittstelle an.
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 family inet address 192.255.3.1/30
Legen Sie die Sicherheitszone für die LT-Schnittstelle fest.
[edit] user@host# set logical-systems LSYS3 security zones security-zone LT interfaces lt-0/0/0.30
Legen Sie die LT-Schnittstelle als Kapselungs-Frame-Relay im logischen System fest.
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 encapsulation frame-relay
Konfigurieren Sie die logische Tunnelschnittstelle durch Einbeziehung der dlci.
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 dlci 16
Konfigurieren Sie eine Peer-Unit-Beziehung zwischen LT-Schnittstellen und erstellen Sie so eine Punkt-zu-Punkt-Verbindung.
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 peer-unit 30
Geben Sie die IP-Adresse für die LT-Schnittstelle an.
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 family inet address 192.255.3.2/30
Konfigurieren Sie eine Sicherheitsrichtlinie, die den Datenverkehr von der LT-Zone zur LT-Richtlinienzone zulässt.
[edit] user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match source-address any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match destination-address any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match application any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT then permit
Konfigurieren Sie eine Sicherheitsrichtlinie, die Datenverkehr von der Standardrichtlinie zulässt.
[edit] user@host# set logical-systems LSYS3A security policies default-policy permit-all
Konfigurieren Sie Sicherheitszonen.
[edit] user@host# set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic system-services all user@host# set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic protocols all user@host# set logical-systems LSYS3A security zones security-zone LT interfaces lt-0/0/0.31
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die
show logical-systems LSYS3Befehle eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.[edit] user@host# show logical-systems LSYS3 interfaces { lt-0/0/0 { unit 30 { encapsulation frame-relay; dlci 16; peer-unit 31; family inet { address 192.255.3.1/30; } } } } security { zones { security-zone LT { interfaces { lt-0/0/0.30; } } } }
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die
show logical-systems LSYS3ABefehle eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.[edit] user@host# show logical-systems LSYS3A
interfaces { lt-0/0/0 { unit 31 { encapsulation frame-relay; dlci 16; peer-unit 30; family inet { address 192.255.3.2/30; } } } } security { policies { from-zone LT to-zone LT { policy LT { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { permit-all; } } zones { security-zone LT { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.31; } } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Konfiguration der Verbindung logischer Systeme mit mehreren VPLS-Switches
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces lt-0/0/0 unit 11 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 11 peer-unit 1 set interfaces lt-0/0/0 unit 12 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 12 peer-unit 2 set interfaces lt-0/0/0 unit 13 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 13 peer-unit 3 set interfaces lt-0/0/0 unit 23 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 23 peer-unit 22 set interfaces lt-0/0/0 unit 25 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 25 peer-unit 24 set routing-instances vpls-switch-1 instance-type vpls set routing-instances vpls-switch-1 interface lt-0/0/0.11 set routing-instances vpls-switch-1 interface lt-0/0/0.12 set routing-instances vpls-switch-1 interface lt-0/0/0.13 set routing-instances vpls-switch-2 instance-type vpls set routing-instances vpls-switch-2 interface lt-0/0/0.23 set routing-instances vpls-switch-2 interface lt-0/0/0.25 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 11 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 192.255.0.1/24 set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 peer-unit 12 set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 family inet address 192.255.0.2/24 set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 peer-unit 23 set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 family inet address 192.255.4.1/30 set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 encapsulation ethernet set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 peer-unit 13 set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 family inet address 192.255.0.3/24 set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 encapsulation ethernet set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 peer-unit 25 set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 family inet address 192.255.4.2/30 set system security-profile SP-user policy maximum 100 set system security-profile SP-user policy reserved 50 set system security-profile SP-user zone maximum 60 set system security-profile SP-user zone reserved 10 set system security-profile SP-user flow-session maximum 100 set system security-profile SP-user flow-session reserved 50 set system security-profile SP-user logical-system LSYS1 set system security-profile SP-user logical-system LSYS2 set system security-profile SP-user logical-system LSYS3 set system security-profile SP-user logical-system LSYS2B
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
Konfigurieren Sie die lt-0/0/0-Schnittstellen.
[edit] user@host# set interfaces lt-0/0/0 unit 11 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 11 peer-unit 1 user@host# set interfaces lt-0/0/0 unit 12 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 12 peer-unit 2 user@host# set interfaces lt-0/0/0 unit 13 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 13 peer-unit 3 user@host# set interfaces lt-0/0/0 unit 23 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 23 peer-unit 22 user@host# set interfaces lt-0/0/0 unit 25 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 25 peer-unit 24
Konfigurieren Sie die Routing-Instanz für die VPLS-Switches und fügen Sie Schnittstellen hinzu.
[edit] user@host# set routing-instances vpls-switch-1 instance-type vpls user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.11 user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.12 user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.13 user@host# set routing-instances vpls-switch-2 instance-type vpls user@host# set routing-instances vpls-switch-2 interface lt-0/0/0.23 user@host# set routing-instances vpls-switch-2 interface lt-0/0/0.25
Konfigurieren Sie LSYS1 mit lt-0/0/0/0.1-Schnittstelle und Peer lt-0/0/0.11.
[edit] user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 11 user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 192.255.0.1/24
Konfigurieren Sie LSYS2 mit lt-0/0/0/0.2-Schnittstelle und Peer lt-0/0/0.12.
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 encapsulation ethernet user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 peer-unit 12 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 family inet address 192.255.0.2/24 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 encapsulation ethernet user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 peer-unit 23 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 family inet address 192.255.4.1/30
Konfigurieren Sie LSYS3 mit lt-0/0/0/0.3-Schnittstelle und Peer lt-0/0/0.13
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 encapsulation ethernet user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 peer-unit 13 user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 family inet address 192.255.0.3/24
Konfigurieren Sie LSYS2B mit lt-0/0/0-Schnittstelle und Peer-Unit 24.
[edit] user@host# set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 encapsulation ethernet user@host# set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 peer-unit 25 user@host# set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 family inet address 192.255.4.2/30
Zuweisen eines Sicherheitsprofils für logische Systeme.
[edit] user@host# set system security-profile SP-user policy maximum 100 user@host# set system security-profile SP-user policy reserved 50 user@host# set system security-profile SP-user zone maximum 60 user@host# set system security-profile SP-user zone reserved 10 user@host# set system security-profile SP-user flow-session maximum 100 user@host#set system security-profile SP-user flow-session reserved 50 user@host# set system security-profile SP-user logical-system LSYS1 user@host# set system security-profile SP-user logical-system LSYS2 user@host# set system security-profile SP-user logical-system LSYS3 user@host# set system security-profile SP-user logical-system LSYS2B
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den
show interfaces lt-0/0/0Befehl , eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.[edit] user@host# show interfaces lt-0/0/0 unit 11 { encapsulation ethernet-vpls; peer-unit 1; } unit 12 { encapsulation ethernet-vpls; peer-unit 2; } unit 13 { encapsulation ethernet-vpls; peer-unit 3; } unit 23 { encapsulation ethernet-vpls; peer-unit 22; } unit 25 { encapsulation ethernet-vpls; peer-unit 24; }Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den
show routing-instancesBefehl , eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.[edit] user@host# show routing-instances vpls-switch-1 { instance-type vpls; interface lt-0/0/0.11; interface lt-0/0/0.12; interface lt-0/0/0.13; } vpls-switch-2 { instance-type vpls; interface lt-0/0/0.23; interface lt-0/0/0.25; }Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den
show logical-systems LSYS1Befehl , eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.[edit] user@host# show logical-systems LSYS1 interfaces { lt-0/0/0 { unit 1 { encapsulation ethernet; peer-unit 11; family inet { address 192.255.0.1/24; } } } }Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den
show logical-systems LSYS2Befehl , eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.[edit] user@host# show logical-systems LSYS2 interfaces { lt-0/0/0 { unit 2 { encapsulation ethernet; peer-unit 12; family inet { address 192.255.0.2/24; } } unit 22 { encapsulation ethernet; peer-unit 23; family inet { address 192.255.4.1/30; } } } }Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den
show logical-systems LSYS3Befehl , eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.[edit] user@host# show logical-systems LSYS3 interfaces { lt-0/0/0 { unit 3 { encapsulation ethernet; peer-unit 13; family inet { address 192.255.0.3/24; } } } }Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den
show logical-systems LSYS2BBefehl , eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.[edit] user@host# show logical-systems LSYS2B interfaces { lt-0/0/0 { unit 24 { encapsulation ethernet; peer-unit 25; family inet { address 192.255.4.2/30; } } } }Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den
show system security-profileBefehl , eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.[edit] user@host# show system security-profile SP-user { policy { maximum 100; reserved 50; } zone { maximum 60; reserved 10; } flow-session { maximum 100; reserved 50; } logical-system [ LSYS1 LSYS2 LSYS3 LSYS2B ]; }
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
Führen Sie die folgenden Aufgaben durch, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfung des Sicherheitsprofils für alle logischen Systeme
- Überprüfung der LT-Schnittstellen für alle logischen Systeme
Überprüfung des Sicherheitsprofils für alle logischen Systeme
Zweck
Überprüfen Sie das Sicherheitsprofil für jedes logische System.
Aktion
Geben Sie im Betriebsmodus den show system security-profile security-log-stream-number logical-system all Befehl ein.
user@host> show system security-profile security-log-stream-number logical-system all
logical system name security profile name usage reserved maximum root-logical-system Default-Profile 2 0 2000 LSYS1 SP-user 1 10 60 LSYS2 SP-user 1 10 60 LSYS2B SP-user 1 10 60 LSYS3 SP-user 1 10 60
Bedeutung
Die Ausgabe liefert die Verwendungs- und reservierten Werte für die logischen Systeme, wenn security-log-stream konfiguriert ist.
Überprüfung der LT-Schnittstellen für alle logischen Systeme
Zweck
Überprüfen sie Schnittstellen für logische Systeme.
Aktion
Geben Sie im Betriebsmodus den show interfaces lt-0/0/0 terse Befehl ein.
user@host> show interfaces lt-0/0/0 terse
Interface Admin Link Proto Local Remote lt-0/0/0 up up lt-0/0/0.1 up up inet 192.255.0.1/24 lt-0/0/0.2 up up inet 192.255.0.2/24 lt-0/0/0.3 up up inet 192.255.0.3/24 lt-0/0/0.11 up up vpls lt-0/0/0.12 up up vpls lt-0/0/0.13 up up vpls lt-0/0/0.22 up up inet 192.255.4.1/30 lt-0/0/0.23 up up vpls lt-0/0/0.24 up up inet 192.255.4.2/30 lt-0/0/0.25 up up vpls lt-0/0/0.32767 up up
Bedeutung
Die Ausgabe liefert den Status der LT-Schnittstellen. Alle LT-Schnittstellen sind verfügbar.