Mandantensysteme im Überblick
Ein Mandantensystem unterstützt Routing-, Service- und Sicherheitsfunktionen.
Grundlegendes zu Mandantensystemen
Ein Mandantensystem partitioniert die physische Firewall logisch in eine separate und isolierte logische Firewall. Obwohl sie den logischen Systemen ähneln, verfügen Mandantensysteme über eine viel höhere Skalierbarkeit und weniger Routing-Funktionen. Mit jedem Mandantensystem auf einem Gerät können Sie eine separate Administrative Domäne für Sicherheitsservices steuern. Indem Sie Ihr Gerät in ein mandantenfähiges System umwandeln, können Sie verschiedene Abteilungen, Organisationen, Kunden und Partner – je nach Ihrer Umgebung – private und logisch getrennte Nutzung von Systemressourcen und mandantenspezifische Ansichten der Sicherheitskonfiguration und KPIs bereitstellen. Ein Primäradministrator erstellt und verwaltet alle Mandantensysteme. Abbildung 1 zeigt ein einzelnes Gerät mit einem primären logischen System und diskreten Mandantensystemen.
- Unterschiede zwischen logischen Systemen und Mandantensystemen
- Anwendungsfälle für logische Systeme und Mandantensysteme
- Bereitstellungsszenarien für Mandantenfähige Systeme
- Vorteile von Mandantensystemen
- Rollen und Verantwortlichkeiten des Primären Administrators und des Mandantensystemadministrators
- Mandantensystemkapazität
Unterschiede zwischen logischen Systemen und Mandantensystemen
Tabelle 1 beschreibt die wichtigsten Unterschiede zwischen logischen Systemen und Mandantensystemen.
Funktionalität |
Logische Systeme |
Mandantensysteme |
|---|---|---|
Funktionsunterstützung |
Unterstützt alle Routing-Funktionen, um optimale Daten-Routing-Pfade bereitzustellen. |
Unterstützt Routing-Funktionen und hoch skalierbare Sicherheitsvirtualisierung zur Isolierung von Kundenumgebungen. |
Skalierbarkeit |
Auf einer physischen Firewall der SRX-Serie können maximal 32 logische Systeme konfiguriert werden. |
Es können maximal 500 Mandantensysteme auf einer physischen Firewall der SRX-Serie konfiguriert werden, um eine hohe Skalierbarkeit zu gewährleisten. |
Routing-Protokollprozess |
Jedes logische System benötigt eine individuelle Kopie des Routing-Protokollprozesses, um die Ressourcen auf einem Gerät logisch zu trennen. |
Das primäre logische System verfügt über einen einzigen Routing-Protokollprozess, der von den Mandantensystemen gemeinsam genutzt wird. Routing-Instanzen, die von diesem einzelnen Routing-Protokollprozess unterstützt werden, erreichen die Trennung von Sicherheitsressourcen in der Firewall. |
Routing-Instanz |
Für jedes logische System wird automatisch eine Standard-Routing-Instanz erstellt. |
Ab Junos OS Version 19.2R1 wird der in einem Mandantensystem konfigurierte virtuelle Router als Standard-Routing-Instanz an |
Konfiguration der logischen Schnittstelle |
Der primäre Administrator weist die logischen Schnittstellen zu, und der logische Systemadministrator kann die Schnittstellenattribute konfigurieren. |
Ein Mandantensystemadministrator kann die logischen Schnittstellen nicht konfigurieren. Der primäre Administrator weist die logischen Schnittstellen einem Mandantensystem zu. |
Anwendungsfälle für logische Systeme und Mandantensysteme
Ein logisches System wird verwendet, wenn mehr als ein virtueller Router erforderlich ist. Sie haben beispielsweise mehrere Verbindungen zu dem externen Netzwerk und diese können nicht in demselben virtuellen Router koexistieren. Mandantensysteme werden verwendet, wenn Abteilungen, Organisationen oder Kunden voneinander getrennt werden müssen und jeder von ihnen kann auf einen virtuellen Router beschränkt werden. Der Hauptunterschied zwischen einem logischen System und einem Mandantensystem besteht darin, dass ein logisches System erweiterte Routing-Funktionen unterstützt, die mehrere Routing-Instanzen verwenden. Im Vergleich dazu unterstützt ein Mandantensystem nur eine Routing-Instanz, aber die Bereitstellung von deutlich mehr Mandanten pro System.
Bereitstellungsszenarien für Mandantenfähige Systeme
Sie können eine Firewall der SRX-Serie mit einem Mandantenfähigkeitssystem in vielen Umgebungen bereitstellen, z. B. in einem Managed Security Service Provider (MSSP), einem Unternehmensnetzwerk oder einem Zweigstellensegment. Tabelle 2 beschreibt die verschiedenen Bereitstellungsszenarien und die Rollen, die die Mandantensysteme in solchen Szenarien spielen.
Bereitstellungsszenarien |
Rollen eines Mandantensystems |
|---|---|
Managed Security Service Provider (MSSP) |
|
Unternehmensnetzwerk |
|
Zweigstellensegment |
|
Vorteile von Mandantensystemen
Reduzieren Sie die Kosten, indem Sie die Anzahl der für Ihr Unternehmen erforderlichen physischen Geräte reduzieren. Sie können Services für verschiedene Benutzergruppen auf einem einzigen Gerät konsolidieren und die Hardwarekosten, den Stromverbrauch und den Rack-Platz reduzieren.
Bieten Sie Isolierung und logische Trennung auf Mandantensystemebene. Bietet die Möglichkeit, Mandantensysteme mit administrativer Trennung in großem Maßstab zu trennen, in denen jedes Mandantensystem seine eigenen Sicherheitskontrollen und -einschränkungen definieren kann, ohne andere Mandantensysteme zu beeinträchtigen.
Rollen und Verantwortlichkeiten des Primären Administrators und des Mandantensystemadministrators
Ein Primäradministrator erstellt und verwaltet alle Mandantensysteme. Ein primäres logisches System wird auf der Root-Ebene erstellt und einem einzigen Routingprotokollprozess zugewiesen. Obwohl dieser Routing-Protokollprozess gemeinsam genutzt wird, ermöglichen Mandantensysteme eine logische Ressourcentrennung in der Firewall. Standardmäßig sind alle Systemressourcen dem primären logischen System zugewiesen, und der primäre Administrator weist sie den Mandantensystemadministratoren zu.
In der Junos OS-Befehlszeilenreferenz wird das primäre logische System als logisches Root-System bezeichnet.
Es wird ein Mandantensystem erstellt, das vom primären logischen System unteraufsichtigt wird. Obwohl alle Mandanten unter dem primären logischen System einen einzigen Routing-Prozess gemeinsam haben, verfügt jedes Mandantensystem über eine einzige Routing-Instanz. Tabelle 3 beschreibt die Rollen und Verantwortlichkeiten des primären Und Mandantensystemadministrators.
Rollen |
Definition |
Verantwortung |
|---|---|---|
Primäradministrator |
Ein Benutzerkonto mit Superuser-Konfigurations- und Überprüfungsberechtigungen für alle logischen Systeme und Mandantensysteme. |
|
Mandantensystemadministrator |
Ein Mandantensystemkonto mit allen Konfigurations- und Überprüfungsberechtigungen.
Hinweis:
Die Konfigurations- und Überprüfungsberechtigungen eines Mandantensystemadministrators hängen von der Berechtigung ab, die ihm vom primären Administrator beim Erstellen des Mandantensystemadministrators zugewiesen wird. Für ein Mandantensystem können mehrere Mandantensystemadministratoren mit unterschiedlichen Berechtigungsstufen basierend auf Ihren Anforderungen erstellt werden. |
Die folgenden Berechtigungen werden vom Mandantensystemadministrator nicht unterstützt:
|
Mandantensystemkapazität
Die maximale Anzahl von Mandantensystemen, die auf dem Gerät erstellt werden können, ist in Tabelle 4 aufgeführt.
| Plattform |
Kapazität logischer Systeme |
Mandantensystemkapazität für Junos OS Version 18.4R1 |
|---|---|---|
| SRX1500 |
32 |
50 |
| SRX4100 und SRX4200 |
32 |
200 |
| SRX4600 |
32 |
300 |
| Geräte der Serie SRX5400, SRX5600 und SRX5800 mit SPC2-Karten |
32 |
100 |
| Geräte der SRX5400-, SRX5600- und SRX5800-Serie mit SPC3-Karten |
32 |
500 |
| Geräte der Serie SRX5400, SRX5600 und SRX5800 mit SPC2- und SPC3-Karten |
32 |
100 |
Ab Junos OS Version 18.4R1 können Mandantensysteme auf einem SRX5000 Line Security Services Gateway unterstützt werden, das mit einer Kombination aus Service Processing Cards der dritten Generation (SRX5K-SPC3) und Service Processing Cards der zweiten Generation (SRX5K-SPC-4-15-320) ausgestattet ist. Vor Junos OS Version 18.4R1 wurden Mandantensysteme nur auf SPC2 unterstützt.
Siehe auch
Mandantensystemkonfiguration – Übersicht
Der primäre Administrator erstellt ein Mandantensystem und weist einen Administrator für die Verwaltung des Mandantensystems zu. Ein Mandantensystem kann mehrere Administratoren haben. Die Rollen und Verantwortlichkeiten eines Mandantensystemadministrators werden unter Understanding Tenant Systems erläutert.
Der primäre Administrator konfiguriert die logischen Schnittstellen und weist diese Schnittstellen dem Mandantensystem zu. Konfigurieren Sie eine Routing-Instanz und die Routing-Protokolle, und fügen Sie Optionen für die Routing-Instanz hinzu. Siehe Konfigurieren einer Routing-Instanz für ein Mandantensystem.
Mandantensysteme verfügen über eine eigene Konfigurationsdatenbank. Nach erfolgreicher Konfiguration werden die Änderungen mit der primären Datenbank für jedes Mandantensystem zusammengeführt. Mehrere Mandantensysteme können Konfigurationsänderungen nach und nach vornehmen. Sie können die Änderungen nur für einen Mandanten auf einmal festlegen. Wenn der primäre Administrator und ein Mandantensystemadministrator gleichzeitig Konfigurationsänderungen vornimmt, überschreiben die Konfigurationsänderungen, die vom primären Administrator durchgeführt werden, die Konfigurationsänderungen, die vom Mandantensystemadministrator durchgeführt werden.
In den folgenden Schritten werden die Aufgaben erläutert, die der Mandantensystemadministrator zur Konfiguration der Sicherheitsfunktionen in einem Mandantensystem ausführt:
Konfigurieren einer Routing-Instanz für ein Mandantensystem
Eine Routing-Instanz ist eine Sammlung von Routing-Tabellen, Schnittstellen und Routingprotokollparametern. Eine Reihe von Schnittstellen, die zur Routing-Instanz gehören, und die Routing-Protokollparameter steuern die Informationen in der Routing-Instanz. Ein Mandantensystem kann die zugewiesene Routing-Instanz und die Schnittstellen, die zur Routing-Instanz gehören, innerhalb eines Mandantensystems konfigurieren.
Für ein Mandantensystem kann nur eine Routing-Instanz erstellt werden.
Im folgenden Verfahren werden die Schritte zur Konfiguration einer Routing-Instanz und -Schnittstellen in einer Routingtabelle für ein Mandantensystem beschrieben:
Führen Sie den Befehl aus, um die Konfiguration für das show tenants TSYS1 Mandantensystem TSYS1anzuzeigen.
routing-instances {
r1 {
instance-type virtual-router;
interface lt-0/0/0.101;
interface xe-0/0/0.0;
interface xe-0/0/1.0;
routing-options {
router-id 1.1.1.101;
}
}
}
Der show tenants TSYS1 Befehl zeigt alle Routing-Instanzparameter an, die für das Mandantensystem TSYS1konfiguriert sind.
Verständnis von Routing und Schnittstellen für Mandantensysteme
Eine Routing-Instanz ist eine Sammlung von Routing-Tabellen, Schnittstellen und Routingprotokollparametern. Die Schnittstellen werden verwendet, um Daten für die Routing-Instanz weiterzuleiten und die Routing-Informationen von anderen Peers (Firewalls der SRX-Serie) mithilfe von Routing-Protokollen zu lernen.
Eine logische Schnittstelle (IFL) kann auf einer der folgenden Ebenen definiert werden:
Globale Ebene (logisches Root-System)
Logische Systemebene des Benutzers
Mandantensystemebene (ab Version Junos OS 18.4R1)
Die auf globaler Ebene definierte IFL kann entweder im logischen Root-System oder in einem der Mandantensysteme verwendet werden. Die in einem Mandantensystem definierte IFL kann nur in diesem Mandantensystem verwendet werden.
Die Standard-Routing-Instanz ist für Mandantensysteme nicht verfügbar. Wenn also eine benutzerdefinierte Routing-Instanz für ein Mandantensystem erstellt wird, sollten alle in diesem Mandantensystem definierten Schnittstellen zu dieser Routing-Instanz hinzugefügt werden.
Übersicht: Konfigurieren von Routing und Schnittstellen für Mandantensysteme
In dieser Übersicht erfahren Sie, wie Sie Schnittstellen und Routing-Instanzen für ein Mandantensystem konfigurieren.
Anforderungen
Bevor Sie beginnen:
Legen Sie fest, welche logischen Schnittstellen und optional welche logischen Tunnelschnittstellen zugewiesen werden. Siehe Mandantensystemkonfigurationsübersicht.
Übersicht
Im folgenden Verfahren werden die Schritte zur Konfiguration einer Routing-Instanz und der Schnittstellen in einer Routingtabelle innerhalb eines Mandantensystems beschrieben.
In diesem Thema werden die in Tabelle 5 beschriebenen Schnittstellen und Routinginstanzen konfiguriert.
Feature |
Namen |
Konfigurationsparameter |
|---|---|---|
Schnittstelle |
ge-0/0/2.1 ge-0/0/2.2 ge-0/0/2.3 |
|
Routing-Instanz |
r1 R2 |
|
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2.3 vlan-id 103 set interfaces ge-0/0/2.3 family inet address 10.0.0.3/24 set tenants TSYS1 set tenants TSYS1 interfaces ge-0/0/2.1 vlan-id 101 set tenants TSYS1 interfaces ge-0/0/2.1 family inet address 10.0.0.1/24 set tenants TSYS1 routing-instances r1 instance-type virtual-router set tenants TSYS1 routing-instances r1 interface ge-0/0/2.1 set tenants TSYS1 routing-instances r1 interface ge-0/0/2.3 set tenants TSYS2 set tenants TSYS2 interfaces ge-0/0/2.2 vlan-id 102 set tenants TSYS2 interfaces ge-0/0/2.2 family inet address 10.0.0.2/24 set tenants TSYS2 routing-instances r2 instance-type virtual-router set tenants TSYS2 routing-instances r2 interface ge-0/0/2.2
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie eine Schnittstelle und eine Routing-Instanz in einem logischen Benutzersystem:
Konfigurieren Sie die Schnittstellen zur Unterstützung von VLAN-Tagging.
[edit] user@host# set interfaces ge-0/0/2 vlan-tagging
Konfigurieren Sie das IFL auf der Root-Ebene.
[edit] set interfaces ge-0/0/2.3 vlan-id 103 set interfaces ge-0/0/2.3 family inet address 10.0.0.3/24
Erstellen Sie ein Mandantensystem mit dem Namen
TSYS1.[edit] user@host# set tenants TSYS1
Definieren Sie die Schnittstelle im Mandantensystem TSYS1.
[edit] user@host# set tenants TSYS1 interfaces ge-0/0/2.1 vlan-id 101 user@host# set tenants TSYS1 interfaces ge-0/0/2.1 family inet address 10.0.0.1/24 user@host# set tenants TSYS1 routing-instances r1 interface ge-0/0/2.3
Erstellen Sie eine Routing-Instanz
r1, und weisen Sie den Routing-Instanztyp für das Mandantensystem zu.[edit] user@host# set tenants TSYS1 routing-instances r1 instance-type virtual-router
Geben Sie den Schnittstellennamen für die Routing-Instanz an.
[edit] user@host# set tenants TSYS1 routing-instances r1 interface ge-0/0/2.1
Erstellen Sie ein Mandantensystem mit dem Namen
TSYS2.[edit] user@host# set tenants TSYS2
Definieren Sie die Schnittstelle im Mandantensystem TSYS2.
[edit] user@host# set tenants TSYS2 interfaces ge-0/0/2.2 vlan-id 102 user@host# set tenants TSYS2 interfaces ge-0/0/2.2 family inet address 10.0.0.2/24
Erstellen Sie eine Routing-Instanz
r2, und weisen Sie den Routing-Instanztyp für das Mandantensystem zu.[edit] user@host# set tenants TSYS2 routing-instances r2 instance-type virtual-router
Geben Sie den Schnittstellennamen für die Routing-Instanz an.
[edit] user@host# set tenants TSYS2 routing-instances r2 interface ge-0/0/2.2
Commit der Konfiguration.
[edit] user@host# commit
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die Befehle und show tenants die show interfaces Befehle eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/2 {
vlan-tagging;
unit 3 {
vlan-id 103;
family inet {
address 10.0.0.3/24;
}
}
}
[edit]
user@host# show tenants
TSYS1 {
interfaces {
ge-0/0/2 {
unit 1 {
vlan-id 101;
family inet {
address 10.0.0.1/24;
}
}
}
}
routing-instances {
r1 {
instance-type virtual-router;
interface ge-0/0/2.1;
interface ge-0/0/2.3;
}
}
}
TSYS2 {
interfaces {
ge-0/0/2 {
unit 2 {
vlan-id 102;
family inet {
address 10.0.0.2/24;
}
}
}
}
routing-instances {
r2 {
instance-type virtual-router;
interface ge-0/0/2.2;
}
}
}
Der show tenants Befehl zeigt alle Schnittstellen an, die in den Mandantensystemen TSYS1 und , und TSYS2die Für beide Mandantensysteme konfigurierten Routing-Instanzparameter definiert sind.
user@host> show interfaces ge-0/0/2.1 detail
Logical interface ge-0/0/2.1 (Index 89) (SNMP ifIndex 548) (Generation 161)
Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.101 ] Encapsulation: ENET2
Tenant Name: TSYS1
Traffic statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Local statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Security: Zone: Null
Flow Statistics :
..............................
user@host> show interfaces ge-0/0/2.2 detail
Logical interface ge-0/0/2.2 (Index 90) (SNMP ifIndex 549) (Generation 162)
Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.102 ] Encapsulation: ENET2
Tenant Name: TSYS2
Traffic statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Local statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Security: Zone: Null
Flow Statistics :
Flow Input statistics :
Self packets : 0
ICMP packets : 0
VPN packets : ..............................
Grundlegendes zu Mandantensystemsicherheitsprofilen (nur primäre Administratoren)
Mandantensysteme ermöglichen es Ihnen, eine unterstützte Firewall der SRX-Serie virtuell in mehrere Geräte aufzuteilen, sie vor Eindringversuchen und Angriffen zu schützen und sie vor fehlerhaften Bedingungen außerhalb ihrer eigenen Kontexte zu schützen. Zum Schutz von Mandantensystemen werden Sicherheitsressourcen ähnlich konfiguriert wie für ein einzelnes Gerät. Der primäre Administrator weist den Mandantensystemen jedoch Ressourcen zu.
Eine Firewall der SRX-Serie mit Mandantensystemen kann bei Bedarf in Mandantensysteme, ein miteinander verbundenes Mandantensystem und das primäre logische Standardsystem partitioniert werden. Wenn das System initialisiert wird, wird das primäre logische System im Stammverzeichnis erstellt. Alle Systemressourcen werden ihm zugewiesen, wodurch ein standardmäßiges primäres logisches Systemsicherheitsprofil erstellt wird. Um Sicherheitsressourcen auf die Mandantensysteme zu verteilen, erstellt der primäre Administrator Sicherheitsprofile, die die Ressourcen angeben, die einem Mandantensystem zugewiesen werden sollen. Nur der primäre Administrator kann Sicherheitsprofile konfigurieren und an die Mandantensysteme binden. Der Mandantensystemadministrator verwendet diese Ressourcen für das jeweilige Mandantensystem.
Die Mandantensysteme werden durch die ihnen zugewiesenen Ressourcen definiert, einschließlich Sicherheitskomponenten, Schnittstellen, Routing-Instanz, statische Routen und dynamische Routing-Protokolle. Der Primäradministrator konfiguriert die Sicherheitsprofile und weist sie den Mandantensystemen zu. Sie können eine Mandantensystemkonfiguration nicht ohne zugewiesenes Sicherheitsprofil festlegen.
Dieses Thema umfasst die folgenden Abschnitte:
- Sicherheitsprofile für Mandantensysteme
- Verstehen, wie das System die Zuweisung und Nutzung von Ressourcen in den Mandantensystemen bewertet
- Fallbeispiele: Bewertung reservierter Ressourcen, die über Sicherheitsprofile zugewiesen werden
Sicherheitsprofile für Mandantensysteme
Der primäre Administrator kann ein Sicherheitsprofil konfigurieren und einem bestimmten Mandantensystem oder mehreren Mandantensystemen zuweisen. Die maximale Anzahl von Sicherheitsprofilen, die konfiguriert werden können, hängt von der Kapazität einer Firewall der SRX-Serie ab. Wenn die maximale Anzahl von Sicherheitsprofilen erstellt wurde, müssen Sie ein Sicherheitsprofil löschen und die Konfigurationsänderung bestätigen, bevor Sie ein anderes Sicherheitsprofil erstellen und festlegen können. In vielen Fällen sind weniger Sicherheitsprofile erforderlich, da Sie ein einzelnes Sicherheitsprofil an mehr als ein Mandantensystem binden können.
Mit Sicherheitsprofilen können Sie:
Teilen Sie die Ressourcen des Geräts, einschließlich Richtlinien, Zonen, Adressen und Adressbüchern, Flusssitzungen und verschiedene Arten von NAT, angemessen für alle Mandantensysteme. Sie können den Mandantensystemen verschiedene Ressourcenbeträge zuweisen und es den Mandantensystemen ermöglichen, die Ressourcen effektiv zu nutzen.
Sicherheitsprofile schützen vor einem Mandantensystem, das eine Ressource verbraucht, die gleichzeitig von anderen Mandantensystemen benötigt wird. Sicherheitsprofile schützen kritische Systemressourcen und sorgen bei starkem Datenverkehr auf dem Gerät für eine bessere Leistung der Mandantensysteme. Sicherheitsprofile schützen vor einem Mandantensystem, das die Nutzung von Ressourcen dominiert und es den anderen Mandantensystemen ermöglicht, die Ressourcen effektiv zu nutzen.
Konfigurieren Sie das Gerät auf skalierbare Weise, um die Erstellung weiterer Mandantensysteme zu ermöglichen.
Sie müssen das Sicherheitsprofil eines Mandantensystems löschen, bevor Sie das Mandantensystem löschen können.
Verstehen, wie das System die Zuweisung und Nutzung von Ressourcen in den Mandantensystemen bewertet
Um ein Mandantensystem mit Sicherheitsfunktionen bereitzustellen, konfiguriert der primäre Administrator ein Sicherheitsprofil, das die Ressource für jedes Sicherheitsfeature angibt:
Ein reserviertes Kontingent, das garantiert, dass der angegebene Ressourcenbetrag für das Mandantensystem immer verfügbar ist.
Ein maximal zulässiges Kontingent. Wenn ein Mandantensystem zusätzliche Ressourcen benötigt, die das reservierte Kontingent überschreiten, kann es die Für den globalen Maximalbetrag konfigurierten Ressourcen verwenden, wenn die globalen Ressourcen nicht den anderen Mandantensystemen zugewiesen werden. Das maximal zulässige Kontingent garantiert nicht, dass der für die Ressource im Sicherheitsprofil angegebene Betrag verfügbar ist. Die Mandantensysteme müssen die globalen Ressourcen effektiv nutzen, basierend auf den verfügbaren Ressourcen.
Wenn ein reserviertes Kontingent für eine Ressource nicht konfiguriert ist, ist der Standardwert 0. Wenn ein maximal zulässiges Kontingent für eine Ressource nicht konfiguriert ist, ist der Standardwert das globale Systemkontingent für die Ressource (globale Systemkontingente sind plattformabhängig). Der Primäradministrator muss die entsprechenden maximal zulässigen Kontingentwerte in den Sicherheitsprofilen konfigurieren, damit die maximale Ressourcenauslastung eines bestimmten Mandantensystems keine negativen Auswirkungen auf andere auf dem Gerät konfigurierte Mandantensysteme hat.
Das System behält eine Anzahl aller zugewiesenen Ressourcen bei, die reserviert, verwendet und wieder zur Verfügung gestellt werden, wenn ein Mandantensystem gelöscht wird. Diese Anzahl bestimmt, ob Ressourcen für Mandantensysteme zur Verfügung stehen oder um die Menge der Ressourcen, die vorhandenen Mandantensystemen über deren Sicherheitsprofile zugewiesen werden, zu erhöhen.
In Sicherheitsprofilen konfigurierte Ressourcen werden als statische modulare Ressourcen oder dynamische Ressourcen charakterisiert. Für statische Ressourcen empfehlen wir, ein maximales Kontingent für eine Ressource in der Nähe des als reservierten Kontingent angegebenen Betrags festzulegen, um eine skalierbare Konfiguration von Mandantensystemen zu ermöglichen. Ein maximales Kontingent für eine Ressource gibt einem Mandantensystem mehr Flexibilität durch den Zugriff auf eine größere Menge dieser Ressource, aber es beschränkt die Anzahl der Ressourcen, die für die Zuweisung an andere Mandantensysteme zur Verfügung stehen.
Die folgenden Ressourcen für Sicherheitsfunktionen können in einem Sicherheitsprofil angegeben werden:
Sicherheitszonen
Adressen und Adressbücher für Sicherheitsrichtlinien
Anwendungs-Firewall-Regelsätze
Anwendungs-Firewall-Regeln
Firewall-Authentifizierung
Flow-Sitzungen und -Gates
NAT, einschließlich:
Kegel-NAT-Bindungen
NAT-Zielregel
NAT-Zielpool
NAT-IP-Adresse im Quellpool ohne Port Address Translation (PAT)
Hinweis:IPv6-Adressen in IPv6-Quellpools ohne PAT sind nicht in Sicherheitsprofilen enthalten.
NAT-IP-Adresse im Quellpool mit PAT
NAT-Portüberlastung
NAT-Quellpool
NAT-Quellregel
Statische NAT-Regel
Alle Ressourcen mit Ausnahme von Datenstromsitzungen sind statisch.
Sie können ein Mandantensystemsicherheitsprofil dynamisch ändern, während das Sicherheitsprofil anderen Mandantensystemen zugewiesen wird. Um jedoch sicherzustellen, dass das Systemressourcenkontingent nicht überschritten wird, führt das System die folgenden Aktionen aus:
Wenn ein statisches Kontingent geändert wird, zählt der Systemprozess, der das Mandantensystem beibehält, für die in Sicherheitsprofilen angegebenen Ressourcen anschließend die Sicherheitsprofile, die dem Dem statischen Kontingent zugeordneten Profil zugewiesen sind. Bei dieser Prüfung wird die Anzahl der Ressourcen ermittelt, die allen Mandantensystemen zugewiesen sind, um zu bestimmen, ob die zugewiesenen Ressourcen einschließlich ihrer erhöhten Mengen verfügbar sind.
Bei diesen Kontingentprüfungen handelt es sich um die gleichen Kontingentsprüfungen, die vom System durchgeführt werden, wenn Sie ein Mandantensystem hinzufügen und ein Sicherheitsprofil daran binden. Sie werden auch durchgeführt, wenn Sie ein anderes Sicherheitsprofil von dem Sicherheitsprofil, das derzeit einem vorhandenen Mandantensystem (oder dem primären logischen System) zugewiesen ist, binden.
Wenn ein dynamisches Kontingent überarbeitet wird, wird keine Prüfung durchgeführt, sondern das überarbeitete Kontingent wird für die zukünftige Ressourcennutzung aufgezwungen.
Fallbeispiele: Bewertung reservierter Ressourcen, die über Sicherheitsprofile zugewiesen werden
Um zu verstehen, wie das System die Zuweisung reservierter Ressourcen anhand von Sicherheitsprofilen bewertet, betrachten Sie die folgenden drei in Tabelle 7 erläuterten Fälle und die Zuweisung der Ressourcen und Zonen. Um das Beispiel einfach zu halten, werden 10 Zonen im Sicherheitsprofil-1 zugewiesen: 4 reservierte Zonen und 6 maximale Zonen. In diesem Beispiel wird vorausgesetzt, dass der maximal angegebene Betrag – sechs Zonen – für die Mandantensysteme verfügbar ist. Die maximale Anzahl von Zonen des Systems ist 10.
Die drei Fälle befassen sich mit der Konfiguration in den Mandantensystemen. In den drei Fällen wird anhand der Zonenzuweisung überprüft, ob eine Konfiguration erfolgreich ist oder fehlschlägt, wenn sie festgelegt wird.
Tabelle 6 zeigt die Sicherheitsprofile und deren Zonenzuweisungen.
Zwei Sicherheitsprofile, die in den Konfigurationsfällen verwendet werden |
|---|
Sicherheitsprofil-1
Hinweis:
Der primäre Administrator erhöht die Anzahl der in diesem Profil angegebenen reservierten Zonen dynamisch. |
Primär-logisches Systemprofil
|
Tabelle 7 zeigt drei Fälle, in denen veranschaulicht wird, wie das System reservierte Ressourcen für Zonen in den Mandantensystemen basierend auf den Sicherheitsprofilkonfigurationen bewertet.
Die Konfiguration für den ersten Fall ist erfolgreich, da das kumulative reservierte Ressourcenkontingent für Zonen, die in den an alle Mandantensysteme gebundenen Sicherheitsprofilen konfiguriert sind, 8 beträgt, was geringer ist als das maximale Ressourcenkontingent des Systems.
Die Konfiguration für den zweiten Fall schlägt fehl, weil das kumulative reservierte Ressourcenkontingent für Zonen, die in den an alle logischen Systeme gebundenen Sicherheitsprofilen konfiguriert sind, 12 beträgt, was größer ist als das maximale Ressourcenkontingent des Systems.
Die Konfiguration für den dritten Fall schlägt fehl, weil das kumulative reservierte Ressourcenkontingent für Zonen, die in sicherheitsprofilen konfiguriert sind, die an alle Mandantensysteme gebunden sind, 12 beträgt, was größer ist als das maximale Ressourcenkontingent des Systems.
Überprüfung reservierter Ressourcenkontingente über Mandantensysteme hinweg |
|---|
Beispiel 1: Erfolgreich Diese Konfiguration ist in grenzen: 4+4+0=8, maximale Kapazität =10. Verwendete Sicherheitsprofile
|
Beispiel 2: Schlägt fehl Diese Konfiguration ist außerhalb der Grenzen: 4+4+4=12, maximale Kapazität =10.
Sicherheitsprofile
|
Beispiel 3: Schlägt fehl Diese Konfiguration ist außerhalb der Grenzen: 6+6=12, maximale Kapazität =10. Der primäre Administrator ändert das Kontingent für reservierte Zonen in Sicherheitsprofil-1 und erhöht die Anzahl auf 6.
|
Beispiel: Erstellen von Mandantensystemen, Mandantensystemadministratoren und einem Interconnect VPLS-Switch
Dieses Beispiel zeigt, wie Sie Mandantensysteme, Mandantensystemadministratoren und einen Interconnect-VPLS-Switch erstellen. Nur der primäre Administrator kann Benutzeranmeldungskonten für Mandantensystemadministratoren und interconnect VPLS-Switch erstellen.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
-
Firewall der SRX-Serie.
-
Junos OS Version 18.4R1 und höher.
-
Bevor Sie mit dem Erstellen von Mandantensystemen, Mandantensystemadministratoren und einem interconnect-VPLS-Switch beginnen, lesen Sie die Übersicht über Mandantensysteme , um zu verstehen, wie diese Aufgabe in den gesamten Konfigurationsprozess passt.
Übersicht
Dieses Beispiel zeigt, wie Sie die Mandantensysteme TSYS1, TSYS2und , und TSYS3, und die Mandantensystemadministratoren für sie erstellen. Sie können mehrere Mandantensystemadministratoren für ein Mandantensystem mit unterschiedlichen Berechtigungsstufen basierend auf Ihren Anforderungen erstellen.
In diesem Thema geht es auch um den Interconnect Virtual Private LAN Service (VPLS)-Switch, der ein Mandantensystem mit einem anderen auf demselben Gerät verbindet. Der VPLS-Switch ermöglicht es sowohl Transit-Datenverkehr als auch Datenverkehr, der an einem Mandantensystem beendet wird, zwischen Mandantensystemen zu übertragen. Damit der Datenverkehr zwischen Mandantensystemen übertragen werden kann, sollten logische Tunnelschnittstellen (lt-0/0/0) im selben Subnetz konfiguriert werden.
Topologie
Abbildung 2 zeigt eine Firewall der SRX-Serie, die für Mandantensysteme bereitgestellt und konfiguriert wird. Im Konfigurationsbeispiel wird statisches Routing verwendet, damit die PCs das Internet erreichen können.
Vollständige SRX-Schnellkonfiguration
Konfiguration logischer und Mandantensysteme und Interconnect VPLS-Switch
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen sie alle Zeilenumbrüche und ändern alle Details, die zur Anpassung Ihrer Netzwerkkonfiguration erforderlich sind, um Schnittstellen und Benutzerpasswörter einzubeziehen. Kopieren Sie dann die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie commit sie aus dem Konfigurationsmodus ein.
set system login class TSYS1admin1 tenant TSYS1 set system login class TSYS1admin1 permissions all set system login class TSYS2admin1 tenant TSYS2 set system login class TSYS2admin1 permissions all set system login class TSYS3admin1 tenant TSYS3 set system login class TSYS3admin1 permissions all set system login user TSYS1admin1 uid 2001 set system login user TSYS1admin1 class TSYS1admin1 set system login user TSYS1admin1 authentication encrypted-password "$ABC123" set system login user TSYS2admin1 uid 2003 set system login user TSYS2admin1 class TSYS2admin1 set system login user TSYS2admin1 authentication encrypted-password "$ABC123" set system login user TSYS3admin1 uid 2005 set system login user TSYS3admin1 class TSYS3admin1 set system login user TSYS3admin1 authentication encrypted-password "$ABC123" set system security-profile SP0 logical-system root-ls set system security-profile SP1 tenant TSYS1 set system security-profile SP2 tenant TSYS2 set system security-profile SP3 tenant TSYS3 set logical-systems root-ls interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set logical-systems root-ls interfaces lt-0/0/0 unit 0 encapsulation ethernet set logical-systems root-ls interfaces lt-0/0/0 unit 0 peer-unit 100 set logical-systems root-ls interfaces lt-0/0/0 unit 0 family inet address 10.0.1.10/24 set logical-systems root-ls routing-options static route 192.168.1.0/24 next-hop 10.0.1.1 set logical-systems root-ls routing-options static route 192.168.2.0/24 next-hop 10.0.1.2 set logical-systems root-ls routing-options static route 192.168.3.0/24 next-hop 10.0.1.3 set logical-systems root-ls security address-book global address TSYS1 192.168.1.0/24 set logical-systems root-ls security address-book global address TSYS2 192.168.2.0/24 set logical-systems root-ls security address-book global address TSYS3 192.168.3.0/24 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS1 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS2 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS3 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match destination-address any set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match application any set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out then permit set logical-systems root-ls security zones security-zone trust host-inbound-traffic system-services ping set logical-systems root-ls security zones security-zone trust interfaces lt-0/0/0.0 set logical-systems root-ls security zones security-zone untrust host-inbound-traffic system-services ping set logical-systems root-ls security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces lt-0/0/0 unit 1 encapsulation ethernet set interfaces lt-0/0/0 unit 1 peer-unit 101 set interfaces lt-0/0/0 unit 1 family inet address 10.0.1.1/24 set interfaces lt-0/0/0 unit 2 encapsulation ethernet set interfaces lt-0/0/0 unit 2 peer-unit 102 set interfaces lt-0/0/0 unit 2 family inet address 10.0.1.2/24 set interfaces lt-0/0/0 unit 3 encapsulation ethernet set interfaces lt-0/0/0 unit 3 peer-unit 103 set interfaces lt-0/0/0 unit 3 family inet address 10.0.1.3/24 set interfaces lt-0/0/0 unit 100 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 100 peer-unit 0 set interfaces lt-0/0/0 unit 101 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 101 peer-unit 1 set interfaces lt-0/0/0 unit 102 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 102 peer-unit 2 set interfaces lt-0/0/0 unit 103 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 103 peer-unit 3 set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.254/24 set interfaces ge-0/0/2 unit 0 family inet address 192.168.2.254/24 set interfaces ge-0/0/3 unit 0 family inet address 192.168.3.254/24 set routing-instances VPLS instance-type vpls set routing-instances VPLS interface lt-0/0/0.100 set routing-instances VPLS interface lt-0/0/0.101 set routing-instances VPLS interface lt-0/0/0.102 set routing-instances VPLS interface lt-0/0/0.103 set tenants TSYS1 routing-instances vr1 instance-type virtual-router set tenants TSYS1 routing-instances vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS1 routing-instances vr1 interface lt-0/0/0.1 set tenants TSYS1 routing-instances vr1 interface ge-0/0/1.0 set tenants TSYS1 security address-book global address PC1 192.168.1.0/24 set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match source-address PC1 set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match destination-address any set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match application any set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out then permit set tenants TSYS1 security zones security-zone PC1 host-inbound-traffic system-services ping set tenants TSYS1 security zones security-zone PC1 interfaces ge-0/0/1.0 set tenants TSYS1 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS1 security zones security-zone VPLS interfaces lt-0/0/0.1 set tenants TSYS2 routing-instances vr2 instance-type virtual-router set tenants TSYS2 routing-instances vr2 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS2 routing-instances vr2 interface lt-0/0/0.2 set tenants TSYS2 routing-instances vr2 interface ge-0/0/2.0 set tenants TSYS2 security address-book global address PC2 192.168.2.0/24 set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match source-address PC2 set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match destination-address any set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match application any set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out then permit set tenants TSYS2 security zones security-zone PC2 host-inbound-traffic system-services ping set tenants TSYS2 security zones security-zone PC2 interfaces ge-0/0/2.0 set tenants TSYS2 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS2 security zones security-zone VPLS interfaces lt-0/0/0.2 set tenants TSYS3 routing-instances vr3 instance-type virtual-router set tenants TSYS3 routing-instances vr3 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS3 routing-instances vr3 interface lt-0/0/0.3 set tenants TSYS3 routing-instances vr3 interface ge-0/0/3.0 set tenants TSYS3 security address-book global address PC3 192.168.3.0/24 set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match source-address PC3 set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match destination-address any set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match application any set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out then permit set tenants TSYS3 security zones security-zone PC3 host-inbound-traffic system-services ping set tenants TSYS3 security zones security-zone PC3 interfaces ge-0/0/3.0 set tenants TSYS3 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS3 security zones security-zone VPLS interfaces lt-0/0/0.3
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch. Wir werden nur die Konfiguration eines Mandanten für das Schrittweise-Verfahren abdecken.
-
Erstellen Sie die Anmeldebenutzerkonten für jeden Mandanten. Wir zeigen nur die Schritte zum Erstellen des Mandantenbenutzerkontos
TSYS1.-
Erstellen Sie die Benutzeranmeldungsklasse, und weisen Sie sie dem Mandantensystem zu.
[edit] user@SRX# set system login class TSYS1admin1 tenant TSYS1
-
Weisen Sie der Anmeldeklasse eine Berechtigungsstufe zu, in diesem Beispiel verwenden wir die Ebene
all, die den vollständigen Zugriff auf den Mandantensystemadministrator ermöglicht.[edit] user@SRX# set system login class TSYS1admin1 permissions all
-
Erstellen Sie ein Benutzerkonto, und weisen Sie es der Klasse aus den vorherigen Schritten zu. Auf diese Weise kann sich der Benutzer beim Mandantensystem anmelden.
[edit] user@SRX# set system login user TSYS1admin1 class TSYS1admin1
-
Erstellen Sie ein Benutzeranmeldungskennwort für das Benutzerkonto.
[edit] user@SRX# set system login user TSYS1admin1 authentication plain-text-password New password: "$ABC123" Retype new password: "$ABC123"
-
-
Konfigurieren Sie den VPLS-Switch. Der VPLS-Switch ermöglicht es sowohl Transit-Datenverkehr als auch Datenverkehr, der an einem Mandantensystem beendet wird, zwischen Mandantensystemen mit einem einzigen logischen Tunnel zu passieren. Logische Tunnelschnittstellen sollten im selben Subnetz konfiguriert werden, um Datenverkehr zwischen Mandantensystemen zu ermöglichen.
-
Konfigurieren Sie die logischen Tunnelschnittstellen.
[edit] user@SRX# set interfaces lt-0/0/0 unit 100 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 100 peer-unit 0 user@SRX# set interfaces lt-0/0/0 unit 101 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 101 peer-unit 1 user@SRX# set interfaces lt-0/0/0 unit 102 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 102 peer-unit 2 user@SRX# set interfaces lt-0/0/0 unit 103 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 103 peer-unit 3
-
Konfigurieren Sie eine Routing-Instanz für den VPLS-Switch und weisen Sie die logischen Tunnelschnittstellen zu.
[edit] user@SRX# set routing-instances VPLS instance-type vpls user@SRX# set routing-instances VPLS interface lt-0/0/0.100 user@SRX# set routing-instances VPLS interface lt-0/0/0.101 user@SRX# set routing-instances VPLS interface lt-0/0/0.102 user@SRX# set routing-instances VPLS interface lt-0/0/0.103
-
-
Konfigurieren Sie die Mandantensysteme. Wir zeigen nur die Konfiguration für einen Mandanten.
-
Konfigurieren Sie die Schnittstellen, die dem Mandanten zugeordnet sind.
[edit] user@SRX# set interfaces lt-0/0/0 unit 1 encapsulation ethernet user@SRX# set interfaces lt-0/0/0 unit 1 peer-unit 101 user@SRX# set interfaces lt-0/0/0 unit 1 family inet address 10.0.1.1/24 user@SRX# set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.254/24
-
Konfigurieren Sie den Mandanten, die Routing-Instanz und das statische Routing und weisen Sie die Schnittstellen zu.
[edit] user@SRX# set tenants TSYS1 routing-instances vr1 instance-type virtual-router user@SRX# set tenants TSYS1 routing-instances vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 user@SRX# set tenants TSYS1 routing-instances vr1 interface lt-0/0/0.1 user@SRX# set tenants TSYS1 routing-instances vr1 interface ge-0/0/1.0
-
-
Konfigurieren Sie die Sicherheitsprofile. Wir zeigen nur die minimale Konfiguration, die für die Konfiguration von logischen und Mandantensystemen für dieses Beispiel erforderlich ist.
[edit] user@SRX# set system security-profile SP0 logical-system root-ls user@SRX# set system security-profile SP1 tenant TSYS1 user@SRX# set system security-profile SP2 tenant TSYS2 user@SRX# set system security-profile SP3 tenant TSYS3
-
Konfigurieren Sie die logischen Systeme. Dieses Beispiel mit einem Interconnect-VPLS-Switch erfordert ein logisches System.
-
Konfigurieren Sie die Schnittstellen.
[edit] user@SRX# set logical-systems root-ls interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 encapsulation ethernet user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 peer-unit 100 user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 family inet address 10.0.1.10/24
-
Konfigurieren Sie die statischen Routen.
[edit] user@SRX# set logical-systems root-ls routing-options static route 192.168.1.0/24 next-hop 10.0.1.1 user@SRX# set logical-systems root-ls routing-options static route 192.168.2.0/24 next-hop 10.0.1.2 user@SRX# set logical-systems root-ls routing-options static route 192.168.3.0/24 next-hop 10.0.1.3
-
-
Konfigurieren Sie Sicherheitszonen und Richtlinien in den logischen Systemen, damit Datenverkehr von den Mandanten zum Internet fließen kann. Zusätzliche Sicherheitsrichtlinien können sowohl auf dem logischen als auch auf dem Mandantensystem konfiguriert werden, um datenverkehr zwischen Mandanten zu ermöglichen.
-
Konfigurieren Sie Sicherheitszonen.
[edit] user@SRX# set logical-systems root-ls security zones security-zone trust host-inbound-traffic system-services ping user@SRX# set logical-systems root-ls security zones security-zone trust interfaces lt-0/0/0.0 user@SRX# set logical-systems root-ls security zones security-zone untrust host-inbound-traffic system-services ping user@SRX# set logical-systems root-ls security zones security-zone untrust interfaces ge-0/0/0.0
-
Konfigurieren Sie Sicherheitsrichtlinien.
[edit] user@SRX# set logical-systems root-ls security address-book global address TSYS1 192.168.1.0/24 user@SRX# set logical-systems root-ls security address-book global address TSYS2 192.168.2.0/24 user@SRX# set logical-systems root-ls security address-book global address TSYS3 192.168.3.0/24 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS1 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS2 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS3 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match destination-address any user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match application any user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out then permit
-
-
Konfigurieren Sie Sicherheitszonen und Richtlinien in jedem Mandantensystem, um den Datenverkehr zum Internet zu ermöglichen.
-
Konfigurieren Sie Sicherheitszonen.
[edit] user@SRX# set tenants TSYS1 security zones security-zone PC1 host-inbound-traffic system-services ping user@SRX# set tenants TSYS1 security zones security-zone PC1 interfaces ge-0/0/1.0 user@SRX# set tenants TSYS1 security zones security-zone VPLS host-inbound-traffic system-services ping user@SRX# set tenants TSYS1 security zones security-zone VPLS interfaces lt-0/0/0.1
-
Konfigurieren Sie Sicherheitsrichtlinien.
[edit] user@SRX# set tenants TSYS1 security address-book global address PC1 192.168.1.0/24 user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match source-address PC1 user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match destination-address any user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match application any user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out then permit
-
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show tenants TSYS1 Befehl eingeben, um zu überprüfen, ob das Mandantensystem erstellt wurde. Geben Sie den show system login class TSYS1admin1 Befehl ein, um die Berechtigungsstufe für jede klasse anzuzeigen, die Sie definiert haben. Geben Sie den Befehl ein, um sicherzustellen, dass die show system login user TSYS1admin1 Mandantensystemadministratoren erstellt werden. Geben Sie den Befehl ein show interfaces , um sicherzustellen, dass die Schnittstellen für Interconnect-VPLS-Switch erstellt sind. Geben Sie die Eingabe show logical-systems ein, um die Konfiguration des logischen Root-Systems zu überprüfen.
user@SRX# show tenants TSYS1
routing-instances {
vr1 {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.1.10;
}
}
interface lt-0/0/0.1;
interface ge-0/0/1.0;
}
}
security {
address-book {
global {
address PC1 192.168.1.0/24;
}
}
policies {
from-zone PC1 to-zone VPLS {
policy allow-out {
match {
source-address PC1;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone PC1 {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPLS {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
lt-0/0/0.1;
}
}
}
}
user@SRX# show system login class TSYS1admin1 tenant TSYS1; permissions all;
user@SRX# show system login user TSYS1admin1
uid 2001;
class TSYS1admin1;
authentication {
encrypted-password "$ABC123";
}
user@SRX# show interfaces
lt-0/0/0 {
unit 1 {
encapsulation ethernet;
peer-unit 101;
family inet {
address 10.0.1.1/24;
}
}
unit 2 {
encapsulation ethernet;
peer-unit 102;
family inet {
address 10.0.1.2/24;
}
}
unit 3 {
encapsulation ethernet;
peer-unit 103;
family inet {
address 10.0.1.3/24;
}
}
unit 100 {
encapsulation ethernet-vpls;
peer-unit 0;
}
unit 101 {
encapsulation ethernet-vpls;
peer-unit 1;
}
unit 102 {
encapsulation ethernet-vpls;
peer-unit 2;
}
unit 103 {
encapsulation ethernet-vpls;
peer-unit 3;
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.168.1.254/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 192.168.2.254/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.3.254/24;
}
}
}
user@SRX# show logical-systems
root-ls {
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
lt-0/0/0 {
unit 0 {
encapsulation ethernet;
peer-unit 100;
family inet {
address 10.0.1.10/24;
}
}
}
}
routing-options {
static {
route 192.168.1.0/24 next-hop 10.0.1.1;
route 192.168.2.0/24 next-hop 10.0.1.2;
route 192.168.3.0/24 next-hop 10.0.1.3;
}
}
security {
address-book {
global {
address TSYS1 192.168.1.0/24;
address TSYS2 192.168.2.0/24;
address TSYS3 192.168.3.0/24;
}
}
policies {
from-zone trust to-zone untrust {
policy allow-out {
match {
source-address [ TSYS1 TSYS2 TSYS3 ];
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
lt-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
}
}
}
Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesen Beispielen, um sie zu korrigieren. Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfung von Mandantensystemen und Anmeldekonfigurationen mit dem primären Administrator
- Überprüfung von Mandantensystemen und Anmeldekonfigurationen mit SSH
- Überprüfung der PC1-Konnektivität mit dem Internet
Überprüfung von Mandantensystemen und Anmeldekonfigurationen mit dem primären Administrator
Zweck
Stellen Sie sicher, dass die Mandantensysteme vorhanden sind, und Sie können sie von root als primären Administrator eingeben. Kehren Sie vom Mandantensystem zum Root zurück.
Aktion
Verwenden Sie im Betriebsmodus den folgenden Befehl, um die Mandantensysteme TSYS1einzugeben:
user@SRX> set cli tenant TSYS1 Tenant: TSYS1 user@SRX:TSYS1>
Jetzt werden Sie in die Mandantensysteme TSYS1eingegeben. Verwenden Sie den folgenden Befehl, um die Mandantensysteme auf das Root-System TSYS1 zu beenden:
user@SRX:TSYS1> clear cli tenant Cleared default tenants user@SRX>
Bedeutung
Das Mandantensystem ist vorhanden, und Sie können das Mandantensystem über den Root als primären Administrator eingeben.
Überprüfung von Mandantensystemen und Anmeldekonfigurationen mit SSH
Zweck
Stellen Sie sicher, dass die von Ihnen erstellten Mandantensysteme vorhanden sind und dass die von Ihnen erstellten Administrator-Anmelde-IDs und Kennwörter korrekt sind.
Aktion
Verwenden Sie SSH, um sich bei jedem Benutzer-Mandantensystemadministrator anzumelden.
-
Führen Sie SSH aus und geben Sie die IP-Adresse Ihrer Firewall der SRX-Serie an.
-
Geben Sie die Anmelde-ID und das Kennwort für den Mandantensystemadministrator ein, den Sie erstellt haben. Nach der Anmeldung zeigt die Eingabeaufforderung den Namen des Mandantensystemadministrators an. Beachten Sie, wie sich dieses Ergebnis von dem Ergebnis unterscheidet, das bei der Anmeldung beim Mandantensystem vom primären logischen System im Root-System erzeugt wird. Wiederholen Sie diese Prozedur für alle Ihre Mandantensysteme.
login: TSYS1admin1 Password: "$ABC123" TSYS1admin1@SRX: TSYS1>
Bedeutung
Mandantensystemadministrator TSYS1admin1 ist vorhanden und Sie können sich als Mandantensystemadministrator anmelden.
Überprüfung der PC1-Konnektivität mit dem Internet
Zweck
Überprüfen Sie die End-to-End-Konnektivität.
Aktion
Ping und führen Sie traceroute zum Internet von PC1 aus. In unserem Beispiel ist das Internet 192.168.10.254.
-
Führen Sie Ping von PC1 aus.
user@PC1> ping 192.168.10.254 count 2 PING 192.168.10.254 (192.168.10.254): 56 data bytes 64 bytes from 192.168.10.254: icmp_seq=0 ttl=62 time=3.178 ms 64 bytes from 192.168.10.254: icmp_seq=1 ttl=62 time=3.082 ms --- 192.168.10.254 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.082/3.130/3.178/0.048 ms
-
Führen Sie Traceroute von PC1 aus.
user@PC1> traceroute 192.168.10.254 traceroute to 192.168.10.254 (192.168.10.254), 30 hops max, 52 byte packets 1 192.168.1.254 (192.168.1.254) 2.188 ms 1.779 ms 1.896 ms 2 10.0.1.10 (10.0.1.10) 1.888 ms 1.535 ms 1.661 ms 3 192.168.10.254 (192.168.10.254) 3.243 ms 15.077 ms 3.499 ms
Bedeutung
PC1 ist in der Lage, das Internet zu erreichen.
ping, ,
telnet
ssh
traceroute,
clear arp
show arp
show ipv6 neighborsund
clear ipv6 neighbors Befehle übergeben.