Mandantensysteme im Überblick
Ein Mandantensystem unterstützt Routing, Services und Sicherheitsfunktionen.
Verwenden Sie den Feature-Explorer , um die Plattform- und Release-Unterstützung für bestimmte Funktionen zu bestätigen.
Im Abschnitt Plattformspezifisches logisches System und Mandantensystemverhalten finden Sie Hinweise zu Ihrer Plattform.
Weitere Informationen finden Sie im Abschnitt Zusätzliche Plattforminformationen .
Grundlegendes zu Mandantensystemen
Ein Mandantensystem partitioniert die physische Firewall logisch in eine separate und eine isolierte logische Firewall. Obwohl sie logischen Systemen ähneln, weisen Mandantensysteme eine viel höhere Skalierbarkeit und weniger Routingfunktionen auf. Jedes Mandantensystem auf einem Gerät ermöglicht es Ihnen, eine diskrete Verwaltungsdomäne für Sicherheitsdienste zu steuern. Indem Sie Ihr Gerät in ein mandantenfähiges System umwandeln, können Sie verschiedenen Abteilungen, Organisationen, Kunden und Partnern – je nach Umgebung – eine private und logisch getrennte Nutzung von Systemressourcen sowie mandantenspezifische Ansichten der Sicherheitskonfiguration und KPIs zur Verfügung stellen. Ein primärer Administrator erstellt und verwaltet alle Mandantensysteme. Abbildung 1 zeigt ein einzelnes Gerät mit einem primären logischen System und diskreten Mandantensystemen.
- Unterschiede zwischen logischen Systemen und Mandantensystemen
- Anwendungsfälle für logische Systeme und Mandantensysteme
- Bereitstellungsszenarien für mandantenfähige Systeme
- Vorteile von Mandantensystemen
- Rollen und Verantwortlichkeiten des primären Administrators und des Mandantensystemadministrators
Unterschiede zwischen logischen Systemen und Mandantensystemen
In Tabelle 1 werden die wichtigsten Unterschiede zwischen logischen Systemen und Mandantensystemen beschrieben.
| Funktionalität |
Logische Systeme |
Mandanten-Systeme |
|---|---|---|
| Unterstützte Funktionen |
Unterstützt alle Routing-Funktionen, um optimale Datenrouting-Pfade bereitzustellen. |
Unterstützt Routing-Funktionen und hochskalierte Sicherheits-Virtualisierung zur Isolierung von Kundenumgebungen. |
| Prozess des Routing-Protokolls |
Jedes logische System benötigt eine individuelle Kopie des Routing-Protokollprozesses, um die Ressourcen auf einem Gerät logisch zu trennen. |
Das primäre logische System verfügt über einen einzelnen Routingprotokollprozess, der von den Mandantensystemen gemeinsam genutzt wird. Routing-Instanzen, die von diesem einzigen Routing-Protokollprozess unterstützt werden, erreichen die Trennung von Sicherheitsressourcen auf der Firewall. |
| Routing-Instanz |
Für jedes logische System wird automatisch eine Standard-Routing-Instanz erstellt. |
Der in einem Mandantensystem konfigurierte virtuelle Router wird als Standard-Routing-Instanz an |
| Konfiguration der logischen Schnittstelle |
Der primäre Administrator ordnet die logischen Schnittstellen zu und der logische Systemadministrator kann die Schnittstellenattribute konfigurieren. |
Ein Mandantensystemadministrator kann die logischen Schnittstellen nicht konfigurieren. Der primäre Administrator weist die logischen Schnittstellen einem Mandantensystem zu. |
Anwendungsfälle für logische Systeme und Mandantensysteme
Ein logisches System wird verwendet, wenn mehr als ein virtueller Router benötigt wird. Beispiel: Sie haben mehrere Verbindungen mit dem externen Netzwerk, die nicht im selben virtuellen Router koexistieren können. Mandantensysteme werden verwendet, wenn Sie Abteilungen, Organisationen oder Kunden trennen müssen, und jedes von ihnen kann auf einen virtuellen Router beschränkt werden. Der Hauptunterschied zwischen einem logischen System und einem Mandantensystem besteht darin, dass ein logisches System erweiterte Routingfunktionen mit mehreren Routinginstanzen unterstützt. Im Vergleich dazu unterstützt ein Mandantensystem nur eine Routinginstanz, unterstützt aber die Bereitstellung von deutlich mehr Mandanten pro System.
Bereitstellungsszenarien für mandantenfähige Systeme
Sie können eine Firewall der SRX-Serie mit einem mandantenfähigen System in vielen Umgebungen bereitstellen, z. B. bei einem Managed Security Service Provider (MSSP), einem Unternehmensnetzwerk oder einem Zweigstellensegment. Tabelle 2 beschreibt die verschiedenen Bereitstellung-Szenarien und die Rollen, die die Mandantensysteme in solchen Szenarien spielen.
| Bereitstellungsszenarien |
Rollen eines Mandantensystems |
|---|---|
| Managed Security Service Provider (MSSP) |
|
| Unternehmensnetzwerk |
|
| Segment Zweigstellen |
|
Vorteile von Mandantensystemen
-
Reduzieren Sie die Kosten, indem Sie die Anzahl der physischen Geräte reduzieren, die für Ihr Unternehmen erforderlich sind. Sie können Services für verschiedene Benutzergruppen auf einem einzigen Gerät konsolidieren und so die Hardwarekosten, den Stromverbrauch und den Platzbedarf im Rack reduzieren.
-
Bereitstellung von Isolierung und logischer Trennung auf Mandantensystemebene. Bietet die Möglichkeit, Mandantensysteme mit administrativer Trennung in großem Umfang zu trennen, wobei jedes Mandantensystem seine eigenen Sicherheitskontrollen und -einschränkungen definieren kann, ohne andere Mandantensysteme zu beeinträchtigen.
Rollen und Verantwortlichkeiten des primären Administrators und des Mandantensystemadministrators
Ein primärer Administrator erstellt und verwaltet alle Mandantensysteme. Auf der Stammebene wird ein primäres logisches System erstellt, dem ein einzelner Routing-Protokollprozess zugewiesen wird. Obwohl dieser Routingprotokollprozess gemeinsam genutzt wird, ermöglichen Mandantensysteme die logische Ressourcentrennung auf der Firewall. Standardmäßig werden alle Systemressourcen dem primären logischen System zugewiesen, und der primäre Administrator weist sie den Mandantensystemadministratoren zu.
In der Junos OS-Befehlszeilenreferenz wird das primäre logische System als logisches Root-System bezeichnet.
Es wird ein Mandantensystem erstellt, das vom primären logischen System unterstützt wird. Obwohl alle Mandanten unter dem primären logischen System einen einzigen Routingprozess gemeinsam nutzen, verfügt jedes Mandantensystem über eine einzelne Routinginstanz. In Tabelle 3 werden die Rollen und Verantwortlichkeiten des primären Administrators und des Mandantensystemadministrators beschrieben.
| Rollen |
Begriffsbestimmung |
Aufgaben |
|---|---|---|
| Primärer Administrator |
Ein Benutzerkonto mit Superuser-Konfiguration und Verifizierungsberechtigungen für alle logischen Systeme und Mandantensysteme. |
|
| Systemadministrator des Mandanten |
Ein Mandantensystemkonto mit allen Konfigurations- und Verifizierungsberechtigungen.
Hinweis:
Die Konfigurations- und Überprüfungsberechtigungen eines Mandantensystemadministrators hängen von der Berechtigung ab, die ihm vom primären Administrator beim Erstellen des Mandantensystemadministrators zugewiesen wurde. Für ein Mandantensystem können je nach Anforderung mehrere Mandantensystemadministratoren mit unterschiedlichen Berechtigungsstufen erstellt werden. |
Die folgenden Berechtigungen werden vom Mandantensystemadministrator nicht unterstützt:
|
Siehe auch
Übersicht über die Konfiguration des Mandantensystems
Der primäre Administrator erstellt ein Mandantensystem und weist einen Administrator für die Verwaltung des Mandantensystems zu. Ein Mandantensystem kann mehrere Administratoren haben. Die Rollen und Verantwortlichkeiten eines Mandantensystemadministrators werden unter Grundlegendes zu Mandantensystemen erläutert.
Der primäre Administrator konfiguriert die logischen Schnittstellen und weist diese Schnittstellen dem Mandantensystem zu. Konfigurieren Sie eine Routing-Instanz und die Routing-Protokolle und fügen Sie Optionen für die Routing-Instanz hinzu. Siehe Konfigurieren einer Routing-Instanz für ein Mandantensystem.
Mandantensysteme verfügen über eine eigene Konfigurationsdatenbank. Nach erfolgreicher Konfiguration werden die Änderungen in der primären Datenbank für jedes Mandantensystem zusammengeführt. Systeme mit mehreren Mandanten können gleichzeitig Konfigurationsänderungen durchführen. Sie können die Änderungen jeweils nur für einen Mandanten bestätigen. Wenn der primäre Administrator und ein Mandantensystemadministrator gleichzeitig Konfigurationsänderungen vornehmen, überschreiben die vom primären Administrator vorgenommenen Konfigurationsänderungen die vom Mandantensystemadministrator vorgenommenen Konfigurationsänderungen.
In den folgenden Schritten werden die Aufgaben erläutert, die der Mandantensystemadministrator ausführt, um die Sicherheitsfeatures in einem Mandantensystem zu konfigurieren:
Konfigurieren einer Routing-Instanz für ein Mandantensystem
Eine Routing-Instanz ist eine Sammlung von Routing-Tabellen, Schnittstellen und Routing-Protokollparametern. Eine Reihe von Schnittstellen, die zur Routing-Instanz gehören, und die Routing-Protokollparameter steuern die Informationen in der Routing-Instanz. Ein Mandantensystem kann die zugewiesene Routing-Instanz und die Schnittstellen, die zur Routing-Instanz gehören, innerhalb eines Mandantensystems konfigurieren.
Für ein Mandantensystem kann nur eine Routinginstanz erstellt werden.
Im folgenden Verfahren werden die Schritte zum Konfigurieren einer Routinginstanz und Schnittstellen in einer Routing-Tabelle für ein Mandantensystem beschrieben:
Um die Konfiguration für das Mandantensystem TSYS1anzuzeigen, führen Sie den show tenants TSYS1 Befehl aus.
routing-instances {
r1 {
instance-type virtual-router;
interface lt-0/0/0.101;
interface xe-0/0/0.0;
interface xe-0/0/1.0;
routing-options {
router-id 1.1.1.101;
}
}
}
Der show tenants TSYS1 Befehl zeigt alle für das Mandantensystem TSYS1konfigurierten Routing-Instanzparameter an.
Grundlegendes zu Routing und Schnittstellen für Mandantensysteme
Eine Routing-Instanz ist eine Sammlung von Routing-Tabellen, Schnittstellen und Routing-Protokollparametern. Die Schnittstellen werden zum Weiterleiten von Daten für die Routing-Instanz und zum Erlernen der Routing-Informationen von anderen Peers (Firewalls der SRX-Serie) mithilfe von Routing-Protokollen verwendet.
Eine logische Schnittstelle (IFL) kann auf einer der folgenden Ebenen definiert werden:
Globale Ebene (logisches Grundsystem)
Logische Systemebene des Benutzers
Mandantensystemebene (ab Version Junos OS 18.4R1)
Die auf globaler Ebene definierte IFL kann entweder im logischen Stammsystem oder in einem der Mandantensysteme verwendet werden. Die in einem Mandantensystem definierte IFL kann nur in diesem Mandantensystem verwendet werden.
Die Standardroutinginstanz ist für Mandantensysteme nicht verfügbar. Wenn also eine benutzerdefinierte Routinginstanz für ein Mandantensystem erstellt wird, sollten alle in diesem Mandantensystem definierten Schnittstellen zu dieser Routinginstanz hinzugefügt werden.
Übersicht: Konfigurieren von Routing und Schnittstellen für Mandantensysteme
Diese Übersicht zeigt, wie Schnittstellen und Routinginstanzen für ein Mandantensystem konfiguriert werden.
Anforderungen
Bevor Sie beginnen:
Bestimmen Sie, welche logischen Schnittstellen und optional welche logischen Tunnel-Schnittstellen zugewiesen werden. Weitere Informationen finden Sie unter Übersicht über die Konfiguration des Mandantensystems.
Überblick
Im folgenden Verfahren werden die Schritte zum Konfigurieren einer Routinginstanz und -schnittstellen in einer Routing-Tabelle innerhalb eines Mandantensystems beschrieben.
In diesem Thema werden die in Tabelle 4 beschriebenen Schnittstellen und Routinginstanzen konfiguriert.
Funktion |
Bezeichnung |
Konfigurationsparameter |
|---|---|---|
Schnittstelle |
GE-0/0/2.1 GE-0/0/2.2 GE-0/0/2.3 |
|
Routing-Instanz |
R1 R2 |
|
Konfiguration
Vorgehensweise
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie mit Ihrer Netzwerkkonfiguration übereinstimmen, kopieren Sie die Befehle, fügen Sie sie [edit] in die CLI auf Hierarchieebene ein und geben Sie sie dann im Konfigurationsmodus ein commit .
set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2.3 vlan-id 103 set interfaces ge-0/0/2.3 family inet address 10.0.0.3/24 set tenants TSYS1 set tenants TSYS1 interfaces ge-0/0/2.1 vlan-id 101 set tenants TSYS1 interfaces ge-0/0/2.1 family inet address 10.0.0.1/24 set tenants TSYS1 routing-instances r1 instance-type virtual-router set tenants TSYS1 routing-instances r1 interface ge-0/0/2.1 set tenants TSYS1 routing-instances r1 interface ge-0/0/2.3 set tenants TSYS2 set tenants TSYS2 interfaces ge-0/0/2.2 vlan-id 102 set tenants TSYS2 interfaces ge-0/0/2.2 family inet address 10.0.0.2/24 set tenants TSYS2 routing-instances r2 instance-type virtual-router set tenants TSYS2 routing-instances r2 interface ge-0/0/2.2
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie eine Schnittstelle und eine Routing-Instanz in einem benutzerlogischen System:
Konfigurieren Sie die Schnittstellen für die Unterstützung von VLAN-Tagging.
[edit] user@host# set interfaces ge-0/0/2 vlan-tagging
Konfigurieren Sie die IFL auf der Stammebene.
[edit] set interfaces ge-0/0/2.3 vlan-id 103 set interfaces ge-0/0/2.3 family inet address 10.0.0.3/24
Erstellen Sie ein Mandantensystem mit dem Namen
TSYS1.[edit] user@host# set tenants TSYS1
Definieren Sie die Schnittstelle im Mandantensystem TSYS1.
[edit] user@host# set tenants TSYS1 interfaces ge-0/0/2.1 vlan-id 101 user@host# set tenants TSYS1 interfaces ge-0/0/2.1 family inet address 10.0.0.1/24 user@host# set tenants TSYS1 routing-instances r1 interface ge-0/0/2.3
Erstellen Sie eine Routing-Instanz
r1, und weisen Sie den Routing-Instanztyp für das Mandantensystem zu.[edit] user@host# set tenants TSYS1 routing-instances r1 instance-type virtual-router
Geben Sie den Schnittstellennamen für die Routing-Instanz an.
[edit] user@host# set tenants TSYS1 routing-instances r1 interface ge-0/0/2.1
Erstellen Sie ein Mandantensystem mit dem Namen
TSYS2.[edit] user@host# set tenants TSYS2
Definieren Sie die Schnittstelle im Mandantensystem TSYS2.
[edit] user@host# set tenants TSYS2 interfaces ge-0/0/2.2 vlan-id 102 user@host# set tenants TSYS2 interfaces ge-0/0/2.2 family inet address 10.0.0.2/24
Erstellen Sie eine Routing-Instanz
r2, und weisen Sie den Routing-Instanztyp für das Mandantensystem zu.[edit] user@host# set tenants TSYS2 routing-instances r2 instance-type virtual-router
Geben Sie den Schnittstellennamen für die Routing-Instanz an.
[edit] user@host# set tenants TSYS2 routing-instances r2 interface ge-0/0/2.2
Bestätigen Sie die Konfiguration.
[edit] user@host# commit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration durch Eingabe der show interfaces show tenants und-Befehle. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/2 {
vlan-tagging;
unit 3 {
vlan-id 103;
family inet {
address 10.0.0.3/24;
}
}
}
[edit]
user@host# show tenants
TSYS1 {
interfaces {
ge-0/0/2 {
unit 1 {
vlan-id 101;
family inet {
address 10.0.0.1/24;
}
}
}
}
routing-instances {
r1 {
instance-type virtual-router;
interface ge-0/0/2.1;
interface ge-0/0/2.3;
}
}
}
TSYS2 {
interfaces {
ge-0/0/2 {
unit 2 {
vlan-id 102;
family inet {
address 10.0.0.2/24;
}
}
}
}
routing-instances {
r2 {
instance-type virtual-router;
interface ge-0/0/2.2;
}
}
}
Der show tenants Befehl zeigt alle Schnittstellen an, die in den Mandantensystemen TSYS1 und TSYS2definiert sind, sowie die für beide Mandantensysteme konfigurierten Routing-Instanzparameter.
user@host> show interfaces ge-0/0/2.1 detail
Logical interface ge-0/0/2.1 (Index 89) (SNMP ifIndex 548) (Generation 161)
Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.101 ] Encapsulation: ENET2
Tenant Name: TSYS1
Traffic statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Local statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Security: Zone: Null
Flow Statistics :
..............................
user@host> show interfaces ge-0/0/2.2 detail
Logical interface ge-0/0/2.2 (Index 90) (SNMP ifIndex 549) (Generation 162)
Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.102 ] Encapsulation: ENET2
Tenant Name: TSYS2
Traffic statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Local statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Security: Zone: Null
Flow Statistics :
Flow Input statistics :
Self packets : 0
ICMP packets : 0
VPN packets : ..............................
Grundlegendes zu den Sicherheitsprofilen für Mandantensysteme (nur primäre Administratoren)
Mandantensysteme ermöglichen es Ihnen, eine unterstützte Firewall der SRX-Serie virtuell in mehrere Geräte aufzuteilen, sie vor Eindringlingen und Angriffen zu schützen und sie vor fehlerhaften Bedingungen außerhalb ihres eigenen Kontexts zu schützen. Zum Schutz von Mandantensystemen werden Sicherheitsressourcen ähnlich wie für ein einzelnes Gerät konfiguriert. Der primäre Administrator weist den Mandantensystemen jedoch Ressourcen zu.
Eine Firewall der SRX-Serie, auf der Mandantensysteme ausgeführt werden, kann in Mandantensysteme, ein vernetztes Mandantensystem, falls erforderlich, und das primäre logische Standardsystem unterteilt werden. Wenn das System initialisiert wird, wird das primäre logische System im Stammverzeichnis erstellt. Ihm werden alle Systemressourcen zugewiesen, wodurch effektiv ein primäres logisches Systemsicherheitsprofil erstellt wird. Um Sicherheitsressourcen auf die Mandantensysteme zu verteilen, erstellt der primäre Administrator Sicherheitsprofile, die die Ressourcen angeben, die einem Mandantensystem zugewiesen werden sollen. Nur der primäre Administrator kann Sicherheitsprofile konfigurieren und an die Mandantensysteme binden. Der Mandantensystemadministrator verwendet diese Ressourcen für das jeweilige Mandantensystem.
Die Mandantensysteme werden durch die ihnen zugewiesenen Ressourcen definiert, einschließlich Sicherheitskomponenten, Schnittstellen, Routing-Instanz, statische Routen und dynamische Routing-Protokolle. Der primäre Administrator konfiguriert die Sicherheitsprofile und weist sie den Mandantensystemen zu. Sie können eine Mandantensystemkonfiguration nicht bestätigen, ohne ihr ein Sicherheitsprofil zugewiesen zu haben.
Dieses Thema enthält die folgenden Abschnitte:
- Sicherheitsprofile für Mandantensysteme
- verstehen, wie das System die Ressourcenzuweisung und -nutzung in den Mandantensystemen bewertet
- Fälle: Bewertungen von reservierten Ressourcen, die über Sicherheitsprofile zugewiesen wurden
Sicherheitsprofile für Mandantensysteme
Der primäre Administrator kann ein Sicherheitsprofil konfigurieren und einem bestimmten Mandantensystem oder mehreren Mandantensystemen zuweisen. Die maximale Anzahl von Sicherheitsprofilen, die konfiguriert werden können, hängt von der Kapazität einer Firewall der SRX-Serie ab. Wenn die maximale Anzahl von Sicherheitsprofilen erstellt wurde, müssen Sie ein Sicherheitsprofil löschen und die Konfigurationsänderung bestätigen, bevor Sie ein weiteres Sicherheitsprofil erstellen und committen. In vielen Fällen sind weniger Sicherheitsprofile erforderlich, da Sie ein einzelnes Sicherheitsprofil an mehr als ein Mandantensystem binden können.
Mit Sicherheitsprofilen können Sie:
Teilen Sie die Ressourcen des Geräts, einschließlich Richtlinien, Zonen, Adressen und Adressbücher, Flow-Sitzungen und verschiedene Formen von NAT, auf alle Mandantensysteme entsprechend. Sie können den Mandantensystemen verschiedene Mengen einer Ressource zuweisen und den Mandantensystemen erlauben, die Ressourcen effektiv zu nutzen.
Sicherheitsprofile schützen davor, dass ein Mandantensystem eine Ressource erschöpft, die gleichzeitig von anderen Mandantensystemen benötigt wird. Sicherheitsprofile schützen kritische Systemressourcen und sorgen für eine bessere Leistung unter den Mandantensystemen, wenn das Gerät einem starken Datenverkehrsfluss ausgesetzt ist. Sicherheitsprofile schützen davor, dass ein Mandantensystem die Nutzung von Ressourcen dominiert, und ermöglichen es den anderen Mandantensystemen, die Ressourcen effektiv zu nutzen.
Konfigurieren Sie das Gerät skalierbar, um die Erstellung zusätzlicher Mandantensysteme zu ermöglichen.
Sie müssen das Sicherheitsprofil eines Mandantensystems löschen, bevor Sie das Mandantensystem löschen können.
verstehen, wie das System die Ressourcenzuweisung und -nutzung in den Mandantensystemen bewertet
Zur Bereitstellung eines Mandantensystems mit Sicherheitsfeatures konfiguriert der primäre Administrator ein Sicherheitsprofil, das die Ressource für jedes Sicherheitsfeature angibt:
Ein reserviertes Kontingent, das garantiert, dass die angegebene Ressourcenmenge immer für das Mandantensystem verfügbar ist.
Ein maximal zulässiges Kontingent. Wenn ein Mandantensystem zusätzliche Ressourcen benötigt, die das reservierte Kontingent überschreiten, kann es die für die globale Höchstmenge konfigurierten Ressourcen verwenden, wenn die globalen Ressourcen nicht den anderen Mandantensystemen zugeordnet sind. Das maximal zulässige Kontingent garantiert nicht, dass die für die Ressource im Sicherheitsprofil angegebene Menge verfügbar ist. Die Mandantensysteme müssen die globalen Ressourcen basierend auf den verfügbaren Ressourcen effektiv nutzen.
Wenn für eine Ressource kein reserviertes Kontingent konfiguriert ist, ist der Standardwert 0. Wenn für eine Ressource kein maximal zulässiges Kontingent konfiguriert ist, ist der Standardwert das globale Systemkontingent für die Ressource (globale Systemkontingente sind plattformabhängig). Der primäre Administrator muss die entsprechenden maximal zulässigen Kontingentwerte in den Sicherheitsprofilen konfigurieren, damit sich die maximale Ressourcennutzung eines bestimmten Mandantensystems nicht negativ auf andere auf dem Gerät konfigurierte Mandantensysteme auswirkt.
Das System verwaltet die Anzahl aller zugeordneten Ressourcen, die reserviert, verwendet und wieder verfügbar gemacht werden, wenn ein Mandantensystem gelöscht wird. Diese Anzahl bestimmt, ob Ressourcen für Mandantensysteme verfügbar sind oder ob die Anzahl der Ressourcen, die vorhandenen Mandantensystemen über ihre Sicherheitsprofile zugewiesen sind, erhöht werden kann.
In Sicherheitsprofilen konfigurierte Ressourcen werden als statische, modulare Ressourcen oder dynamische Ressourcen bezeichnet. Für statische Ressourcen wird empfohlen, ein maximales Kontingent für eine Ressource festzulegen, das dem als reserviertes Kontingent angegebenen Betrag entspricht oder nahe kommt, um eine skalierbare Konfiguration von Mandantensystemen zu ermöglichen. Ein maximales Kontingent für eine Ressource gibt einem Mandantensystem mehr Flexibilität durch den Zugriff auf eine größere Menge dieser Ressource, schränkt jedoch die Menge der Ressourcen ein, die anderen Mandantensystemen zugewiesen werden können.
Die folgenden Sicherheitsfeatureressourcen können in einem Sicherheitsprofil angegeben werden:
Sicherheits-Zonen
Adressen und Adressbücher für Sicherheitsrichtlinien
Regelsätze für Anwendungs-Firewalls
Regeln für Anwendungs-Firewalls
Firewall-Authentifizierung
Flow-Sitzungen und -Gates
NAT, einschließlich:
Cone NAT Bindungen
NAT-Zielregel
NAT-Zielpool
NAT-IP-Adresse im Quellpool ohne Port Address Translation (PAT)
Hinweis:IPv6-Adressen in IPv6-Quellpools ohne PAT sind nicht in Sicherheitsprofilen enthalten.
NAT-IP-Adresse im Quellpool mit PAT
Überlastung von NAT-Ports
NAT-Quell-Pool
NAT-Quellregel
Statische NAT-Regel
Alle Ressourcen mit Ausnahme von Flusssitzungen sind statisch.
Sie können ein Sicherheitsprofil für ein Mandantensystem dynamisch ändern, während das Sicherheitsprofil anderen Mandantensystemen zugewiesen ist. Um jedoch sicherzustellen, dass das Systemressourcenkontingent nicht überschritten wird, führt das System die folgenden Aktionen aus:
Wenn ein statisches Kontingent geändert wird, wertet der Systemprozess, der die Anzahl des Mandantensystems für in Sicherheitsprofilen angegebene Ressourcen verwaltet, anschließend die Sicherheitsprofile neu aus, die dem Profil zugewiesen sind, das dem statischen Kontingent zugeordnet ist. Diese Prüfung identifiziert die Anzahl der Ressourcen, die in allen Mandantensystemen zugewiesen sind, um festzustellen, ob die zugewiesenen Ressourcen, einschließlich ihrer erhöhten Mengen, verfügbar sind.
Diese Kontingentüberprüfungen sind die gleichen Kontingentüberprüfungen, die das System durchführt, wenn Sie ein Mandantensystem hinzufügen und ein Sicherheitsprofil daran binden. Sie werden auch ausgeführt, wenn Sie ein anderes Sicherheitsprofil als das Sicherheitsprofil, das ihm derzeit zugewiesen ist, an ein vorhandenes Mandantensystem (oder das primäre logische System) binden.
Wenn ein dynamisches Kontingent überarbeitet wird, wird keine Prüfung durchgeführt, aber das überarbeitete Kontingent wird auf die zukünftige Ressourcennutzung angewendet.
Fälle: Bewertungen von reservierten Ressourcen, die über Sicherheitsprofile zugewiesen wurden
Um zu verstehen, wie das System die Zuweisung reservierter Ressourcen anhand von Sicherheitsprofilen bewertet, betrachten Sie die folgenden drei in Tabelle 6 erläuterten Fälle, die sich mit der Zuordnung der Ressourcen und Zonen befassen. Um das Beispiel einfach zu halten, werden im security-profile-1 10 Zonen zugewiesen: 4 reservierte Zonen und 6 maximale Zonen. In diesem Beispiel wird davon ausgegangen, dass die angegebene Höchstmenge – sechs Zonen – für die Mandantensysteme verfügbar ist. Die maximale Anzahl der Zonen beträgt 10.
Die drei Fälle befassen sich mit der Konfiguration der Mandantensysteme. In den drei Fällen wird überprüft, ob eine Konfiguration erfolgreich ist oder fehlschlägt, wenn sie basierend auf der Zuweisung von Zonen festgeschrieben wird.
Tabelle 5 zeigt die Sicherheitsprofile und ihre Zonenzuweisungen.
Zwei in den Konfigurationsfällen verwendete Sicherheitsprofile |
|---|
SICHERHEITSPROFIL-1
Hinweis:
Der primäre Administrator erhöht die in diesem Profil angegebene Anzahl reservierter Zonen später dynamisch. |
Primäres-logisches-Systemprofil
|
Tabelle 6 zeigt drei Fälle, die veranschaulichen, wie das System reservierte Ressourcen für Zonen in den Mandantensystemen basierend auf den Sicherheitsprofilkonfigurationen bewertet.
Die Konfiguration für den ersten Fall ist erfolgreich, da das kumulative reservierte Ressourcenkontingent für Zonen, die in den Sicherheitsprofilen konfiguriert sind, die an alle Mandantensysteme gebunden sind, 8 beträgt, was weniger ist als das maximale Ressourcenkontingent des Systems.
Die Konfiguration für den zweiten Fall schlägt fehl, da das kumulative reservierte Ressourcenkontingent für Zonen, die in den an alle logische Systeme gebundenen Sicherheitsprofilen konfiguriert sind, 12 beträgt, was größer als das maximale Ressourcenkontingent des Systems ist.
Die Konfiguration für den dritten Fall schlägt fehl, da das kumulative reservierte Ressourcenkontingent für Zonen, die in den Sicherheitsprofilen konfiguriert sind, die an alle Mandantensysteme gebunden sind, 12 beträgt, was größer ist als das maximale Ressourcenkontingent des Systems.
Kontingentprüfungen für reservierte Ressourcen in Mandantensystemen |
|---|
Beispiel 1: Erfolgreich Diese Konfiguration liegt innerhalb der Grenzen: 4+4+0=8, maximale Kapazität =10. Verwendete Sicherheitsprofile
|
Beispiel 2: Fehler Diese Konfiguration ist außerhalb der Grenzen: 4+4+4=12, maximale Kapazität = 10.
Sicherheits-Profile
|
Beispiel 3: Fehler Diese Konfiguration ist außerhalb der Grenzen: 6+6=12, maximale Kapazität =10. Der primäre Administrator ändert das Kontingent für reservierte Zonen in security-profile-1 und erhöht die Anzahl auf 6.
|
Beispiel: Erstellen von Mandantensystemen, Mandantensystemadministratoren und einem Interconnect-VPLS-Switch
Dieses Beispiel zeigt, wie Mandantensysteme, Mandantensystemadministratoren und einen Interconnect-VPLS-Switch erstellt werden. Nur der primäre Administrator kann Benutzeranmeldekonten für Mandantensystemadministratoren erstellen und VPLS-Switches verbinden.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
-
Firewall der SRX-Serie.
-
Junos OS Version 18.4R1 und höhere Versionen.
-
Bevor Sie mit dem Erstellen der Mandantensysteme, der Mandantensystemadministratoren und eines Interconnect-VPLS-Switches beginnen, lesen Sie Übersicht über Mandantensysteme , um zu verstehen, wie diese Aufgabe in den gesamten Konfigurationsprozess passt.
Überblick
In diesem Beispiel wird gezeigt, wie Sie die Mandantensysteme TSYS1, TSYS2und TSYS3, und die Mandantensystemadministratoren für sie erstellen. Sie können mehrere Mandantensystemadministratoren für ein Mandantensystem mit unterschiedlichen Berechtigungsstufen basierend auf Ihren Anforderungen erstellen.
In diesem Thema wird auch der Interconnect-VPLS-Switch (Virtual Private LAN Service) behandelt, der ein Mandantensystem mit einem anderen auf demselben Gerät verbindet. Der VPLS-Switch ermöglicht sowohl Transitdatenverkehr als auch Datenverkehr, der an einem Mandantensystem terminiert wird, zwischen Mandantensystemen zu wechseln. Damit Datenverkehr zwischen Mandantensystemen übertragen werden kann, sollten logische Tunnelschnittstellen (lt-0/0/0) im selben Subnetz konfiguriert werden.
Topologie
Abbildung 2 zeigt eine Firewall der SRX-Serie, die für Mandantensysteme bereitgestellt und konfiguriert ist. Im Konfigurationsbeispiel wird statisches Routing verwendet, damit die PCs das Internet erreichen können.
Vollständige SRX-Schnellkonfiguration
Konfiguration von logischen und Mandantensystemen und Vernetzung des VPLS-Switches
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, und ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, um Schnittstellen und Benutzerkennwörter einzuschließen. Kopieren Sie dann die Befehle, fügen Sie sie in die CLI auf Hierarchieebene [edit] ein und geben Sie sie im Konfigurationsmodus ein commit .
set system login class TSYS1admin1 tenant TSYS1 set system login class TSYS1admin1 permissions all set system login class TSYS2admin1 tenant TSYS2 set system login class TSYS2admin1 permissions all set system login class TSYS3admin1 tenant TSYS3 set system login class TSYS3admin1 permissions all set system login user TSYS1admin1 uid 2001 set system login user TSYS1admin1 class TSYS1admin1 set system login user TSYS1admin1 authentication encrypted-password "$ABC123" set system login user TSYS2admin1 uid 2003 set system login user TSYS2admin1 class TSYS2admin1 set system login user TSYS2admin1 authentication encrypted-password "$ABC123" set system login user TSYS3admin1 uid 2005 set system login user TSYS3admin1 class TSYS3admin1 set system login user TSYS3admin1 authentication encrypted-password "$ABC123" set system security-profile SP0 logical-system root-ls set system security-profile SP1 tenant TSYS1 set system security-profile SP2 tenant TSYS2 set system security-profile SP3 tenant TSYS3 set logical-systems root-ls interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set logical-systems root-ls interfaces lt-0/0/0 unit 0 encapsulation ethernet set logical-systems root-ls interfaces lt-0/0/0 unit 0 peer-unit 100 set logical-systems root-ls interfaces lt-0/0/0 unit 0 family inet address 10.0.1.10/24 set logical-systems root-ls routing-options static route 192.168.1.0/24 next-hop 10.0.1.1 set logical-systems root-ls routing-options static route 192.168.2.0/24 next-hop 10.0.1.2 set logical-systems root-ls routing-options static route 192.168.3.0/24 next-hop 10.0.1.3 set logical-systems root-ls security address-book global address TSYS1 192.168.1.0/24 set logical-systems root-ls security address-book global address TSYS2 192.168.2.0/24 set logical-systems root-ls security address-book global address TSYS3 192.168.3.0/24 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS1 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS2 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS3 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match destination-address any set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match application any set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out then permit set logical-systems root-ls security zones security-zone trust host-inbound-traffic system-services ping set logical-systems root-ls security zones security-zone trust interfaces lt-0/0/0.0 set logical-systems root-ls security zones security-zone untrust host-inbound-traffic system-services ping set logical-systems root-ls security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces lt-0/0/0 unit 1 encapsulation ethernet set interfaces lt-0/0/0 unit 1 peer-unit 101 set interfaces lt-0/0/0 unit 1 family inet address 10.0.1.1/24 set interfaces lt-0/0/0 unit 2 encapsulation ethernet set interfaces lt-0/0/0 unit 2 peer-unit 102 set interfaces lt-0/0/0 unit 2 family inet address 10.0.1.2/24 set interfaces lt-0/0/0 unit 3 encapsulation ethernet set interfaces lt-0/0/0 unit 3 peer-unit 103 set interfaces lt-0/0/0 unit 3 family inet address 10.0.1.3/24 set interfaces lt-0/0/0 unit 100 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 100 peer-unit 0 set interfaces lt-0/0/0 unit 101 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 101 peer-unit 1 set interfaces lt-0/0/0 unit 102 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 102 peer-unit 2 set interfaces lt-0/0/0 unit 103 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 103 peer-unit 3 set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.254/24 set interfaces ge-0/0/2 unit 0 family inet address 192.168.2.254/24 set interfaces ge-0/0/3 unit 0 family inet address 192.168.3.254/24 set routing-instances VPLS instance-type vpls set routing-instances VPLS interface lt-0/0/0.100 set routing-instances VPLS interface lt-0/0/0.101 set routing-instances VPLS interface lt-0/0/0.102 set routing-instances VPLS interface lt-0/0/0.103 set tenants TSYS1 routing-instances vr1 instance-type virtual-router set tenants TSYS1 routing-instances vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS1 routing-instances vr1 interface lt-0/0/0.1 set tenants TSYS1 routing-instances vr1 interface ge-0/0/1.0 set tenants TSYS1 security address-book global address PC1 192.168.1.0/24 set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match source-address PC1 set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match destination-address any set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match application any set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out then permit set tenants TSYS1 security zones security-zone PC1 host-inbound-traffic system-services ping set tenants TSYS1 security zones security-zone PC1 interfaces ge-0/0/1.0 set tenants TSYS1 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS1 security zones security-zone VPLS interfaces lt-0/0/0.1 set tenants TSYS2 routing-instances vr2 instance-type virtual-router set tenants TSYS2 routing-instances vr2 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS2 routing-instances vr2 interface lt-0/0/0.2 set tenants TSYS2 routing-instances vr2 interface ge-0/0/2.0 set tenants TSYS2 security address-book global address PC2 192.168.2.0/24 set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match source-address PC2 set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match destination-address any set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match application any set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out then permit set tenants TSYS2 security zones security-zone PC2 host-inbound-traffic system-services ping set tenants TSYS2 security zones security-zone PC2 interfaces ge-0/0/2.0 set tenants TSYS2 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS2 security zones security-zone VPLS interfaces lt-0/0/0.2 set tenants TSYS3 routing-instances vr3 instance-type virtual-router set tenants TSYS3 routing-instances vr3 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS3 routing-instances vr3 interface lt-0/0/0.3 set tenants TSYS3 routing-instances vr3 interface ge-0/0/3.0 set tenants TSYS3 security address-book global address PC3 192.168.3.0/24 set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match source-address PC3 set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match destination-address any set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match application any set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out then permit set tenants TSYS3 security zones security-zone PC3 host-inbound-traffic system-services ping set tenants TSYS3 security zones security-zone PC3 interfaces ge-0/0/3.0 set tenants TSYS3 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS3 security zones security-zone VPLS interfaces lt-0/0/0.3
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch. Wir werden nur die Konfiguration eines Mandanten für das Schritt-für-Schritt-Verfahren behandeln.
-
Erstellen Sie die Anmeldebenutzerkonten für jeden Mandanten. Wir zeigen nur die Schritte zum Erstellen des Mandantenbenutzerkontos
TSYS1.-
Erstellen Sie die Benutzeranmeldeklasse und weisen Sie sie dem Mandantensystem zu.
[edit] user@SRX# set system login class TSYS1admin1 tenant TSYS1
-
Weisen Sie der Login-Klasse eine Berechtigungsstufe zu, in diesem Beispiel verwenden wir die Ebene
all, die dem Mandantensystemadministrator vollen Zugriff gewährt.[edit] user@SRX# set system login class TSYS1admin1 permissions all
-
Erstellen Sie ein Benutzerkonto und weisen Sie es der Klasse aus den vorherigen Schritten zu. Dadurch kann sich der Benutzer beim Mandantensystem anmelden.
[edit] user@SRX# set system login user TSYS1admin1 class TSYS1admin1
-
Erstellen Sie ein Benutzeranmeldekennwort für das Benutzerkonto.
[edit] user@SRX# set system login user TSYS1admin1 authentication plain-text-password New password: "$ABC123" Retype new password: "$ABC123"
-
-
Konfigurieren Sie den VPLS-Switch. Der VPLS-Switch ermöglicht es sowohl Transitdatenverkehr als auch Datenverkehr, der an einem Mandantensystem terminiert wird, mit einem einzigen logischen Tunnel zwischen Mandantensystemen zu passieren. Logische Tunnelschnittstellen sollten im selben Subnetz konfiguriert werden, um Datenverkehr zwischen Mandantensystemen zuzulassen.
-
Konfigurieren Sie die logischen Tunnelschnittstellen.
[edit] user@SRX# set interfaces lt-0/0/0 unit 100 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 100 peer-unit 0 user@SRX# set interfaces lt-0/0/0 unit 101 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 101 peer-unit 1 user@SRX# set interfaces lt-0/0/0 unit 102 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 102 peer-unit 2 user@SRX# set interfaces lt-0/0/0 unit 103 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 103 peer-unit 3
-
Konfigurieren Sie eine Routing-Instanz für den VPLS-Switch und weisen Sie die logischen Tunnel-Schnittstellen zu.
[edit] user@SRX# set routing-instances VPLS instance-type vpls user@SRX# set routing-instances VPLS interface lt-0/0/0.100 user@SRX# set routing-instances VPLS interface lt-0/0/0.101 user@SRX# set routing-instances VPLS interface lt-0/0/0.102 user@SRX# set routing-instances VPLS interface lt-0/0/0.103
-
-
Konfigurieren Sie die Mandantensysteme. Wir zeigen nur die Konfiguration für einen Mandanten an.
-
Konfigurieren Sie die Schnittstellen, die dem Mandanten zugeordnet sind.
[edit] user@SRX# set interfaces lt-0/0/0 unit 1 encapsulation ethernet user@SRX# set interfaces lt-0/0/0 unit 1 peer-unit 101 user@SRX# set interfaces lt-0/0/0 unit 1 family inet address 10.0.1.1/24 user@SRX# set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.254/24
-
Konfigurieren Sie den Mandanten, die Routing-Instanz, das statische Routing und weisen Sie die Schnittstellen zu.
[edit] user@SRX# set tenants TSYS1 routing-instances vr1 instance-type virtual-router user@SRX# set tenants TSYS1 routing-instances vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 user@SRX# set tenants TSYS1 routing-instances vr1 interface lt-0/0/0.1 user@SRX# set tenants TSYS1 routing-instances vr1 interface ge-0/0/1.0
-
-
Konfigurieren Sie die Sicherheitsprofile. Wir zeigen nur die minimale Konfiguration, die für die Konfiguration logischer und Mandantensysteme für dieses Beispiel erforderlich ist.
[edit] user@SRX# set system security-profile SP0 logical-system root-ls user@SRX# set system security-profile SP1 tenant TSYS1 user@SRX# set system security-profile SP2 tenant TSYS2 user@SRX# set system security-profile SP3 tenant TSYS3
-
Konfigurieren Sie die logischen Systeme. Dieses Beispiel mit einem Interconnect-VPLS-Switch erfordert ein logisches System.
-
Konfigurieren Sie die Schnittstellen.
[edit] user@SRX# set logical-systems root-ls interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 encapsulation ethernet user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 peer-unit 100 user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 family inet address 10.0.1.10/24
-
Konfigurieren Sie die statischen Routen.
[edit] user@SRX# set logical-systems root-ls routing-options static route 192.168.1.0/24 next-hop 10.0.1.1 user@SRX# set logical-systems root-ls routing-options static route 192.168.2.0/24 next-hop 10.0.1.2 user@SRX# set logical-systems root-ls routing-options static route 192.168.3.0/24 next-hop 10.0.1.3
-
-
Konfigurieren Sie Sicherheitszonen und Richtlinien in den logischen Systemen, um den Datenverkehr von den Mandanten ins Internet zu ermöglichen. Zusätzliche Sicherheitsrichtlinien können sowohl auf dem logischen als auch auf dem Mandantensystem konfiguriert werden, um den Datenverkehr zwischen den Mandanten zuzulassen.
-
Konfigurieren Sie Sicherheitszonen.
[edit] user@SRX# set logical-systems root-ls security zones security-zone trust host-inbound-traffic system-services ping user@SRX# set logical-systems root-ls security zones security-zone trust interfaces lt-0/0/0.0 user@SRX# set logical-systems root-ls security zones security-zone untrust host-inbound-traffic system-services ping user@SRX# set logical-systems root-ls security zones security-zone untrust interfaces ge-0/0/0.0
-
Konfigurieren Sie Sicherheitsrichtlinien.
[edit] user@SRX# set logical-systems root-ls security address-book global address TSYS1 192.168.1.0/24 user@SRX# set logical-systems root-ls security address-book global address TSYS2 192.168.2.0/24 user@SRX# set logical-systems root-ls security address-book global address TSYS3 192.168.3.0/24 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS1 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS2 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS3 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match destination-address any user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match application any user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out then permit
-
-
Konfigurieren Sie Sicherheitszonen und Richtlinien in den Systemen der einzelnen Mandanten, um den Datenverkehr ins Internet zu ermöglichen.
-
Konfigurieren Sie Sicherheitszonen.
[edit] user@SRX# set tenants TSYS1 security zones security-zone PC1 host-inbound-traffic system-services ping user@SRX# set tenants TSYS1 security zones security-zone PC1 interfaces ge-0/0/1.0 user@SRX# set tenants TSYS1 security zones security-zone VPLS host-inbound-traffic system-services ping user@SRX# set tenants TSYS1 security zones security-zone VPLS interfaces lt-0/0/0.1
-
Konfigurieren Sie Sicherheitsrichtlinien.
[edit] user@SRX# set tenants TSYS1 security address-book global address PC1 192.168.1.0/24 user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match source-address PC1 user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match destination-address any user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match application any user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out then permit
-
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show tenants TSYS1 Befehl eingeben, um zu überprüfen, ob das Mandantensystem erstellt wurde. Geben Sie den show system login class TSYS1admin1 Befehl ein, um die Berechtigungsstufe für jede von Ihnen definierte Klasse anzuzeigen. Um sicherzustellen, dass die Mandantensystemadministratoren erstellt werden, geben Sie den show system login user TSYS1admin1 Befehl ein. Um sicherzustellen, dass die Schnittstellen für die Verbindung des VPLS-Switches erstellt werden, geben Sie den show interfaces Befehl ein. Geben Sie diese ein show logical-systems , um die Konfiguration der logischen Root-Systeme zu überprüfen.
user@SRX# show tenants TSYS1
routing-instances {
vr1 {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.1.10;
}
}
interface lt-0/0/0.1;
interface ge-0/0/1.0;
}
}
security {
address-book {
global {
address PC1 192.168.1.0/24;
}
}
policies {
from-zone PC1 to-zone VPLS {
policy allow-out {
match {
source-address PC1;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone PC1 {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPLS {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
lt-0/0/0.1;
}
}
}
}
user@SRX# show system login class TSYS1admin1 tenant TSYS1; permissions all;
user@SRX# show system login user TSYS1admin1
uid 2001;
class TSYS1admin1;
authentication {
encrypted-password "$ABC123";
}
user@SRX# show interfaces
lt-0/0/0 {
unit 1 {
encapsulation ethernet;
peer-unit 101;
family inet {
address 10.0.1.1/24;
}
}
unit 2 {
encapsulation ethernet;
peer-unit 102;
family inet {
address 10.0.1.2/24;
}
}
unit 3 {
encapsulation ethernet;
peer-unit 103;
family inet {
address 10.0.1.3/24;
}
}
unit 100 {
encapsulation ethernet-vpls;
peer-unit 0;
}
unit 101 {
encapsulation ethernet-vpls;
peer-unit 1;
}
unit 102 {
encapsulation ethernet-vpls;
peer-unit 2;
}
unit 103 {
encapsulation ethernet-vpls;
peer-unit 3;
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.168.1.254/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 192.168.2.254/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.3.254/24;
}
}
}
user@SRX# show logical-systems
root-ls {
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
lt-0/0/0 {
unit 0 {
encapsulation ethernet;
peer-unit 100;
family inet {
address 10.0.1.10/24;
}
}
}
}
routing-options {
static {
route 192.168.1.0/24 next-hop 10.0.1.1;
route 192.168.2.0/24 next-hop 10.0.1.2;
route 192.168.3.0/24 next-hop 10.0.1.3;
}
}
security {
address-book {
global {
address TSYS1 192.168.1.0/24;
address TSYS2 192.168.2.0/24;
address TSYS3 192.168.3.0/24;
}
}
policies {
from-zone trust to-zone untrust {
policy allow-out {
match {
source-address [ TSYS1 TSYS2 TSYS3 ];
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
lt-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
}
}
}
Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesen Beispielen, um sie zu korrigieren. Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen von Mandantensystemen und Anmeldekonfigurationen mit dem primären Administrator
- Überprüfen von Mandantensystemen und Anmeldekonfigurationen mit SSH
- Überprüfen der PC1-Konnektivität zum Internet
Überprüfen von Mandantensystemen und Anmeldekonfigurationen mit dem primären Administrator
Zweck
Stellen Sie sicher, dass die Mandantensysteme vorhanden sind und Sie sie von root als primären Administrator eingeben können. Kehren Sie vom Mandantensystem zum Stamm zurück.
Aktion
Verwenden Sie im Betriebsmodus den folgenden Befehl, um die Mandantensysteme aufzurufen TSYS1:
user@SRX> set cli tenant TSYS1 Tenant: TSYS1 user@SRX:TSYS1>
Nun sind Sie in den Mandantensystemen TSYS1eingetragen. Verwenden Sie den folgenden Befehl, um Mandantensysteme TSYS1 zum Stamm zu verlassen:
user@SRX:TSYS1> clear cli tenant Cleared default tenants user@SRX>
Bedeutung
Das Mandantensystem ist vorhanden, und Sie können das Mandantensystem vom Stamm aus als primärer Administrator betreten.
Überprüfen von Mandantensystemen und Anmeldekonfigurationen mit SSH
Zweck
Stellen Sie sicher, dass die von Ihnen erstellten Mandantensysteme vorhanden sind und dass die von Ihnen erstellten Administratoranmelde-IDs und Kennwörter korrekt sind.
Aktion
Verwenden Sie SSH, um sich bei jedem Systemadministrator der Benutzermandanten anzumelden.
-
Führen Sie SSH aus und geben Sie die IP-Adresse Ihrer Firewall der SRX-Serie an.
-
Geben Sie die Anmelde-ID und das Kennwort für den Mandantensystemadministrator ein, den Sie erstellt haben. Nachdem Sie sich angemeldet haben, wird der Name des Mandanten-Systemadministrators angezeigt. Beachten Sie, wie sich dieses Ergebnis von dem Ergebnis unterscheidet, das erzeugt wird, wenn Sie sich vom primären logischen System im Stamm beim Mandantensystem anmelden. Wiederholen Sie diesen Vorgang für alle Ihre Mandantensysteme.
login: TSYS1admin1 Password: "$ABC123" TSYS1admin1@SRX: TSYS1>
Bedeutung
Der Mandantensystemadministrator TSYS1admin1 ist vorhanden und Sie können sich als Mandantensystemadministrator anmelden.
Überprüfen der PC1-Konnektivität zum Internet
Zweck
Überprüfen Sie die End-to-End-Konnektivität.
Aktion
Pingen Sie und führen Sie die Traceroute zum Internet von PC1 aus aus. In unserem Beispiel ist das Internet 192.168.10.254.
-
Führen Sie ping von PC1 aus.
user@PC1> ping 192.168.10.254 count 2 PING 192.168.10.254 (192.168.10.254): 56 data bytes 64 bytes from 192.168.10.254: icmp_seq=0 ttl=62 time=3.178 ms 64 bytes from 192.168.10.254: icmp_seq=1 ttl=62 time=3.082 ms --- 192.168.10.254 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.082/3.130/3.178/0.048 ms
-
Führen Sie traceroute von PC1 aus aus.
user@PC1> traceroute 192.168.10.254 traceroute to 192.168.10.254 (192.168.10.254), 30 hops max, 52 byte packets 1 192.168.1.254 (192.168.1.254) 2.188 ms 1.779 ms 1.896 ms 2 10.0.1.10 (10.0.1.10) 1.888 ms 1.535 ms 1.661 ms 3 192.168.10.254 (192.168.10.254) 3.243 ms 15.077 ms 3.499 ms
Bedeutung
PC1 ist in der Lage, das Internet zu erreichen.
Plattformspezifisches logisches System- und Mandantensystemverhalten
Verwenden Sie den Feature-Explorer , um die Plattform- und Release-Unterstützung für bestimmte Funktionen zu bestätigen.
Weitere Informationen finden Sie im Abschnitt Zusätzliche Plattforminformationen .
Verwenden Sie die folgende Tabelle, um plattformspezifische Verhaltensweisen für Ihre Plattform zu überprüfen:
| Plattform |
Unterschied |
|---|---|
| SRX-Serie |
|
Zusätzliche Informationen zur Plattform
Verwenden Sie den Feature-Explorer , um die Plattform- und Release-Unterstützung für bestimmte Funktionen zu bestätigen. Weitere Plattformen können unterstützt werden.
Im Abschnitt Plattformspezifisches logisches System und Mandantensystemverhalten finden Sie Hinweise zu Ihrer Plattform.
| Kapazität | SRX1500 | SRX1600 | SRX2300, SRX4120 | SRX4100 | SRX4200 | SRX4600 | SRX5400 SRX5600 SRX5800 Firewalls mit SPC2-Karten | SRX5400 SRX5600 SRX5800 Firewalls mit SPC3-Karten | SRX5400 SRX5600 SRX5800 Firewalls mit SPC2- und SPC3-Karten | vSRX virtuelle Firewalls |
|---|---|---|---|---|---|---|---|---|---|---|
| Logische Systemkapazität |
27 |
32 |
32 |
32 |
27 |
32 |
32 |
32 |
32 |
8 |
| Mandantensystemkapazität ab Junos OS Version 20.1R1 | 50 |
200 | 200 | 300 | 100 | 500 | 100 | 42 | ||
| Mandantensystemkapazität ab Junos OS Version 23.4R1 | 50 | 200 |
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.
ping, , ,
ssh
traceroute,
show arp,
clear arp, und
show ipv6 neighbors
clear ipv6 neighbors Befehle
telnetübergeben.