Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Virtualisiertes Datencenter mit logischen Systemen

Logische Systeme ermöglichen das VDC-Design verwendet Virtualisierungstechnologien wie virtuelle LANs (VLANs), virtuelle Router, virtuelle Routenweiterleitungen, intervirtuelle Routenweiterleitung, um eine flexible Datenverkehrsisolierung zu gewährleisten. Weitere Informationen finden Sie in den folgenden Themen:

Zweistufige virtualisierte Datencenter-Lösung für große Unternehmensnetzwerke

Im Folgenden wird ein virtualisiertes Hochgeschwindigkeits-Multiservice-Datencenter (VDC) von Juniper Networks beschrieben. Eine zweischichtige Architektur erfüllt die niedrigen Latenzanforderungen einer virtualisierten Serverumgebung und unterstützt den übergeordneten Sicherheitsauftrag, eine kontrollierte Segmentierung zwischen verschiedenen Geschäftseinheiten aufrechtzuerhalten.

Segmentierung des Netzwerkdatenverkehrs

Das VDC-Design von Juniper Networks verwendet Virtualisierungstechnologien wie virtuelle LANs (VLANs), virtuelle Router, virtuelle Routenweiterleitungen, Weiterleitung virtueller Routen und logische Systeme, um eine flexible Datenverkehrsisolierung zu gewährleisten.

Ein vollständig redundantes, zweistufiges Datencenter-Design besteht aus Ethernet-Switches der EX-Serie von Juniper Networks auf der Zugriffsebene für die Serverkonnektivität, universellen 5G-Routing-Plattformen der MX-Serie als ausgeblendete LAN-Aggregations-/Core-Ebene und geclusterten Firewalls der SRX-Serie zur Bereitstellung von Firewall-Sicherheitsservices über die Vertrauensgrenzen des Datencenters hinweg.

Flexibilität

Das VDC-Design von Juniper Networks verwendet 802.1Q-VLANs, MPLS, BGP, Virtual Router Redundancy Protocol (VRRP), Traffic Engineering und Fast Reroute, um Designflexibilität zu bieten und gleichzeitig einen standardbasierten Ansatz beizubehalten. Das Design kann auch einen Virtual Private LAN Service (VPLS) unterstützen.

Sicherheit

Das VDC-Design von Juniper Networks verwendet Sicherheitszonen, um die Punkte zur Richtlinienerzwingung zu implementieren. Der SRX-Cluster ist für die gesamte zustandsbehaftete Paketprüfung für Datenverkehr verantwortlich, der die Grenzen der Vertrauensstellung von Geschäftseinheiten überschreitet, sowie für den gesamten ein- und ausgehenden Datenverkehr für das Datencenter.

Das Betriebssystem Junos von Juniper Networks ist mit unterschiedlichen Administratorkonten für jedes logische System konfiguriert, das den eingeschränkten Zugriff auf Netzwerkressourcen unterstützt und für einzelne Geschäftseinheiten angepasst werden kann.

Zugang und Verfügbarkeit

Im VDC-Design von Juniper Networks, beschrieben unter Beispiel: Konfigurieren eines zweischichtigen virtualisierten Datencenters für große Unternehmensnetzwerke, bieten Top-of-Rack (TOR) Switches der EX-Serie Zugriff auf die Server und bieten Redundanz.

Alle Uplinks von den TOR-Switches sind 802.1Q-Trunk-Links, die direkt mit jedem der Geräte der MX-Serie abgeschlossen sind, die den Point of Delivery (POD) auf der Aggregations-/Core-Ebene bilden.

In jedem VLAN innerhalb des Geräts der MX-Serie wird eine VRRP-Instanz definiert, die als Standardrouter für alle Serverhosts in einem bestimmten VLAN fungiert. Damit VRRP ordnungsgemäß funktioniert, wird jede Bridge-Domäne zwischen den einzelnen Geräten der MX-Serie über eine Verbindungsverbindung erweitert. Das Gerät der MX-Serie verwendet eine integrierte Routing- und Bridging-Schnittstelle (IRB) als Layer-3-Schnittstelle für jede Bridge-Domäne, wobei VRRP für Redundanz konfiguriert ist.

Zwischen den Geräten der MX-Serie wird ein Paar aggregierter 802.3ad-Ethernet-Bundles verwendet. Jedes Gerät der MX-Serie ist in eine Reihe logischer Systeme unterteilt. Logische Systeme in den Geräten der MX-Serie werden verwendet, um logische Vertrauensgrenzen innerhalb des Datencenters selbst und zwischen den jeweiligen Geschäftseinheiten zu definieren.

Ein geclustertes Paar von Firewalls der SRX-Serie, die als Firewalls fungieren, bietet Sicherheitsdienste über die Vertrauensgrenzen des Datencenters hinweg. Virtuelle Router auf den Firewalls der SRX-Serie fungieren als Kunden-Edge-Router (CE) für jede Geschäftseinheit.

Auf den Firewalls der SRX-Serie ist eine einzige Redundanzgruppe für die Datenebene mit zwei redundanten Ethernet-Schnittstellen als Mitgliedsschnittstellen definiert. Diese Redundanzgruppe handhabt das Data-Plane-Failover der Firewall der SRX-Serie und ist so konfiguriert, dass jeder Verlust von Northbound- oder Southbound-Schnittstellen der SRX-Serie ein vollständiges Failover auf den sekundären Knoten erzwingt. Bei diesem Failover handelt es sich im Wesentlichen um ein Layer-1-Failover, was bedeutet, dass es schnell erfolgt und die darüber liegende Routingtopologie nicht unterbricht.

Kostengünstige inkrementelle Skalierung

Das VDC-Design von Juniper Networks unterstützt die inkrementelle Skalierung des Netzwerks. Dadurch kann das VDC mit minimalen Kosten erstellt werden, um den aktuellen Bedarf zu decken.

Die Zugriffsebene kann erweitert werden, indem Switches der EX-Serie an der Oberseite des Racks angebracht werden.

Die Aggregations-/Core-Schicht kann erweitert werden, indem zusätzliche Geräte der MX-Serie innerhalb eines bestimmten POD hinzugefügt werden.

Die Sicherheitsservices können durch Hinzufügen von 4-Port-10-Gigabit-Ethernet-E/A-Karten (IOCs) und Services Processing Cards (SPCs) in den Firewalls der SRX-Serie erweitert werden. Durch das Hinzufügen von IOCs wird die 10-Gigabit-Ethernet-Portdichte erhöht. Durch Hinzufügen jeder SPC-Karte zum Gehäuse werden weitere 10 Gbit/s (5 Gbit/s Internet-Mix (IMIX)), 2 Millionen Sitzungen und 100.000 Verbindungen pro Sekunde (CPS) bis zu einer maximalen Nennkapazität für die Plattform von 150 Gbit/s (47,5  Gbit/s IMIX), 10 Millionen Sitzungen und 350.000 CPS (gemessen in Junos OS Version 10.2   ) hinzugefügt.

Orchestrierung und Automatisierung

Das VDC-Design von Juniper Networks verwendet die Junos Space-Managementplattform von Juniper Networks. Junos Space umfasst ein Portfolio von Anwendungen für die Skalierung von Services, die Vereinfachung des Netzwerkbetriebs und die Automatisierung der Unterstützung für komplexe Netzwerkumgebungen.

Darüber hinaus sind die Netzwerkgeräte so konfiguriert, dass sie Hintergrund-SCP-Dateiübertragungen (Secure Copy Protocol), Commit-Skripts und eine Dateiarchiv-Site unterstützen.

Siehe auch

Anforderungen an ein zweistufiges virtualisiertes Datencenter für große Unternehmensnetzwerke

Große Unternehmen haben bestimmte spezifische Anforderungen an die Hosting-Umgebung, die das Design ihres Datencenters erfüllen muss. In diesem Abschnitt werden die Anforderungen eines Unternehmens beschrieben, das als Service Provider für seine einzelnen Geschäftseinheiten (BUs) tätig ist.

Eine der Hauptanforderungen an ein virtualisiertes Datencenter (VDC) für ein großes Unternehmen ist die Möglichkeit, das Netzwerk nach Geschäftsbereichen zu segmentieren. Dazu gehören die Segmentierung des Datenverkehrs und die Segmentierung der administrativen Steuerung.

Zu den weiteren Anforderungen gehören Sicherheitskontrollen zwischen den Geschäftsbereichen, Sicherheitskontrollen zwischen dem Unternehmen und der Außenwelt, Flexibilität für Wachstum und Anpassung des Netzwerks sowie eine robuste und kostengünstige Möglichkeit, das gesamte Netzwerk zu verwalten.

Segmentierung des Netzwerkdatenverkehrs

Die hier beschriebene Anforderung besteht darin, dass Netzwerkressourcen auf verschiedene Weise isoliert werden müssen. Der Datenverkehr muss nach Geschäftsbereichen segmentiert werden. Datenverkehrsströme zwischen Netzwerksegmenten müssen verboten werden, es sei denn, dies ist ausdrücklich zulässig. Die Isolation des Datenverkehrs muss an ausgewiesenen Punkten zur Durchsetzung von Richtlinien kontrolliert werden. Netzwerkressourcen müssen einem Segment zugewiesen werden, aber das Netzwerk muss flexibel genug sein, um die Zuweisung von Ressourcen zu ändern.

Segmentierte Ressourcen müssen logisch nach Richtlinien gruppiert werden. Beispielsweise muss der Testdatenverkehr vom Produktionsdatenverkehr isoliert werden. Der Datenverkehr muss außerdem entsprechend Geschäftseinheiten, vertraglichen Anforderungen, gesetzlichen oder behördlichen Anforderungen, Risikoeinstufung und Unternehmensstandards isoliert werden.

Das Design der Netzwerksegmentierung darf das Geschäft nicht stören, muss in das Design des größeren Datencenters und Cloud-Netzwerks integriert sein, muss den Geschäftseinheiten den globalen Zugriff auf Netzwerkressourcen ermöglichen und muss neue Geschäftsfunktionen unterstützen.

Flexibilität

Das Netzwerkdesign muss flexibel genug sein, um mit minimalem Design- und Re-Engineering-Aufwand auf Geschäfts- und Umgebungsänderungen reagieren zu können. Das VDC-Design muss flexibel sein, um die Workloads der Geschäftseinheiten von anderen Geschäftseinheiten und allgemeinen Datencenter-Services und -Anwendungen zu isolieren. Die Netzwerklösung muss sicherstellen, dass das Geschäft bei Netzwerk- und Segmentierungsänderungen so wenig wie möglich beeinträchtigt wird.

Das VDC muss flexibel genug sein, um implementiert zu werden:

  • In einem einzigen Datencenter

  • In einer Datenhalle

  • In zwei oder mehr Datencentern

  • Über zwei oder mehr Datenhallen innerhalb oder zwischen Datencentern

  • Zwischen einem Datencenter und einem externen Cloud-Service-Provider

Sicherheit

Das Netzwerkdesign muss es ermöglichen, Geschäftseinheiten innerhalb der Hosting-Umgebung zu isolieren. Im Falle eines Netzwerksicherheitsvorfalls müssen die Geschäftsbereiche von der Hosting-Umgebung und anderen Geschäftseinheiten isoliert werden.

Der Datenverkehrsfluss zwischen Geschäftsbereichssegmenten muss standardmäßig verweigert werden und darf ausdrücklich nur an Richtliniendurchsetzungspunkten zugelassen werden, die sich im Besitz des Datencenter-Service-Providers befinden und von diesem kontrolliert werden.

Der Punkt zur Richtliniendurchsetzung muss Zugriffssteuerungsfunktionen und möglicherweise Funktionen zum Schutz vor Bedrohungen enthalten.

Zugang und Verfügbarkeit

Das virtuelle Rechenzentrum muss Zugriff auf allgemeine Datencenter-Services wie Berechnung, Speicherung, Sicherheit, Datenverkehrsmanagement, Betrieb und Anwendungen bieten. Das Netzwerk muss über mehrere globale Service Provider hinweg betrieben werden und eine optimale, vorhersehbare und konsistente Leistung im gesamten Netzwerk bieten. Das VDC muss in allen Geschäftsbereichen des Datencenters implementiert werden.

Die Netzwerklösung muss die in Service-Level-Agreements definierten Anforderungen an die Verfügbarkeit von Geschäftsbereichen erfüllen.

Kostengünstige inkrementelle Skalierung

Das VDC-Design muss für den Betrieb des Unternehmens kostengünstig sein und neue Geschäftsfunktionen ermöglichen. Die Implementierung der Netzwerklösung muss schrittweise und mit minimalen Auswirkungen auf das Unternehmen möglich sein.

Orchestrierung und Automatisierung

Das VDC-Design muss ein Managementsystem umfassen, das die Automatisierung für Bereitstellung, Verfügbarkeits- und Workload-Überwachung sowie Berichterstellung unterstützt. Workload- und Verfügbarkeitsberichte müssen nach Geschäftsbereich verfügbar sein.

Siehe auch

Beispiel: Konfigurieren eines zweistufigen virtualisierten Datencenters für große Unternehmensnetzwerke

Dieses Beispiel bietet eine Schritt-für-Schritt-Anleitung für die Konfiguration eines zweischichtigen virtualisierten Datencenters für große Unternehmensnetzwerke.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Zwei universelle 5G-Routing-Plattformen der MX-Serie mit Junos OS Version 10.2 oder höher

  • Sechs Ethernet-Switches der EX-Serie mit Junos OS Version 10.2 oder höher

  • Zwei Firewalls der SRX-Serie mit Junos OS Version 10.4 oder höher

Übersicht über die Konfiguration eines zweistufigen virtualisierten Datencenters

Dieses Beispiel bietet eine Schritt-für-Schritt-Anleitung für die Konfiguration eines zweistufigen virtualisierten Datencenters für große Unternehmen. Die Schritte im Beispiel folgen dem Datenpfad von einer Schnittstelle, die über VLAN 17 mit einem Server in BU2 verbunden ist, über Logical System Trust1, über den Virtual Router MX-VR2, über den Virtual Router SRX-VR2, durch VRF2 in der Logical System Untrust und hinaus zum Corenetzwerk.

Das Core-Netzwerk in diesem Beispiel unterstützt gleichzeitig IP-basiertes Routing und MPLS-basiertes Label Switching. Die virtuellen Router auf der Firewall der SRX-Serie führen die Funktionen von Kunden-Edge-Routern (CE) aus. Die VPN-Routing- und Weiterleitungs-Routing-Instanzen (VRF) auf den Geräten der MX-Serie führen die Funktionen von Service Provider Edge (PE)-Routern aus. Das OSPF-Protokoll dient als internes Gateway-Protokoll für die Übertragung von Routen zu den Loopback-Adressen des PE-Routers, die als BGP-Next-Hop-Adresse für die IP- und MPLS-basierten Netzwerke verwendet werden, die in diesem Beispiel unterstützt werden.

Hinweis:

Die Schritte in diesem Beispiel sind repräsentativ für die gesamte Netzwerkkonfiguration. Im Beispiel werden nicht alle Schritte für jedes virtuelle Gerät angezeigt.

Die in diesem Beispiel verwendeten physischen Verbindungen sind in Abbildung 1 dargestellt.

Abbildung 1: Physische Topologie Virtualized Data Center Physical Topology des virtualisierten Datencenters

Die in diesem Beispiel verwendeten logischen Verbindungen sind in Abbildung 2 dargestellt.

Abbildung 2: Logische Topologie Virtualized Data Center Logical Topology des virtualisierten Datencenters

In der Abbildung der logischen Topologie:

  • Benutzer greifen über das oben angezeigte Core-Netzwerk des Unternehmens auf das Datencenter zu.

  • Virtuelle Router, die auf den Geräten der MX-Serie unter "Logisches System nicht vertrauenswürdig" konfiguriert sind, leiten den Datenverkehr an separate virtuelle Router weiter, die in der Sicherheitszone "Nicht vertrauenswürdig" auf den Firewalls der SRX-Serie konfiguriert sind. Diese virtuellen Router fungieren als Edge-Router für die verschiedenen Geschäftsbereiche.

  • Virtuelle Router, die auf der aktiven Firewall der SRX-Serie konfiguriert sind, leiten den Datenverkehr an die vertrauenswürdigen Sicherheitszonen weiter.

  • Virtuelle Router, die in separaten logischen Systemen auf den Geräten der MX-Serie konfiguriert sind, leiten den Datenverkehr an eine Bridge-Domäne von VLANs weiter, die auf den Geräten der EX-Serie konfiguriert sind.

  • Der Geschäftsbereich 1 benötigt eine zusätzliche Trennung. In diesem Fall leitet der auf der Firewall der SRX-Serie konfigurierte virtuelle Router (VR) den Datenverkehr direkt an die Bridge-Domäne auf den Geräten der EX-Serie weiter.

  • Die Geräte der EX-Serie leiten den Datenverkehr auf den Server des Datencenters um.

  • Die Firewalls der SRX-Serie wenden Sicherheitsrichtlinien auf den gesamten Datenverkehr an, der die Grenze zwischen nicht vertrauenswürdig und vertrauenswürdig überschreitet, sowie auf den gesamten Datenverkehr, der zwischen logischen Systemen weitergeleitet wird.

  • Die Firewalls der SRX-Serie werden in einem Aktiv/Passiv-Cluster so konfiguriert, dass jeweils nur ein Knoten im Cluster auf der Datenweiterleitungsebene aktiv ist.

  • Die Firewalls der SRX-Serie sind mit einer einzigen Redundanzgruppe für die Datenebene konfiguriert. Die Redundanzgruppe verwendet zwei Ethernet-Schnittstellen (reth1 und reth2 in Abbildung 1) als Memberschnittstellen.

Konfigurieren der Zugriffsebene

Konfigurieren Sie die Zugriffsebene, indem Sie die folgenden Schritte ausführen:

Schnittstellen konfigurieren

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie die physischen, logischen und Netzwerkverwaltungsschnittstellen für die Geräte der Zugriffsebene konfiguriert werden. Dieses Verfahren zeigt ein repräsentatives Beispiel der Konfiguration. Das Beispiel zeigt nicht die Konfiguration für jede Schnittstelle.

  1. Konfigurieren Sie die serverseitigen 10-Gigabit-Ethernet-Schnittstellen der Zugriffsebene.

    In diesem Beispiel wird die Schnittstelle mit der ge-0/0/17 VLAN-ID 17konfiguriert.

    Fügen Sie die Anweisung ein, und geben Sie die member VLAN-ID 17 auf Hierarchieebene [edit interfaces ge-0/0/17 unit 0 family ethernet-switching vlan] an.

    Wiederholen Sie diesen Schritt für jede serverseitige Schnittstelle, indem Sie den entsprechenden Schnittstellennamen und die VLAN-Nummer verwenden.

  2. Konfigurieren Sie die 10-Gigabit-Ethernet-Trunk-Schnittstellen vom Gerät der EX-Serie zu den beiden Geräten der MX-Serie.

    In diesem Beispiel werden die xe-0/1/2 Schnittstellen und xe-0/1/0 konfiguriert.

    Fügen Sie die Anweisung ein, und geben Sie die port-mode trunk Option auf der [edit interfaces xe-0/1/2 unit 0 family ethernet-switching] Hierarchieebene und [edit interfaces xe-0/1/0 unit 0 family ethernet-switching] an.

    Fügen Sie die Anweisung ein, und geben Sie die members all Option auf der [edit interfaces xe-0/1/2 unit 0 family ethernet-switching vlan] Hierarchieebene und [edit interfaces xe-0/1/0 unit 0 family ethernet-switching] an.

    Wiederholen Sie diesen Schritt für jede 10-Gigabit-Ethernet-Trunk-Schnittstelle, indem Sie den entsprechenden Schnittstellennamen verwenden.

  3. Aktivieren Sie die IPv4-Adressfamilie für die logische Loopback-Schnittstelle.

    Fügen Sie die Anweisung ein, und geben Sie die family inet Option zum Aktivieren von IPv4 auf Hierarchieebene [edit interfaces lo0 unit 0] an.

    Wiederholen Sie diesen Schritt für jedes Gerät der EX-Serie, indem Sie die entsprechende Adresse für dieses Gerät verwenden.

  4. Konfigurieren Sie die Ethernet-Schnittstelle für die Geräteverwaltung der EX-Serie.

    In diesem Beispiel wird die unit 0 logische Schnittstelle konfiguriert.

    Fügen Sie die Anweisung ein, und geben Sie die family inet Option auf Hierarchieebene [edit me0 unit 0] an.

    Fügen Sie die address Anweisung ein, und geben Sie sie als IPv4-Adresse auf Hierarchieebene [edit interfaces me0 unit 0 family inet] an10.8.108.19/24.

    Wiederholen Sie diesen Schritt für jedes Gerät der EX-Serie, indem Sie die entsprechende Adresse der Verwaltungsschnittstelle für dieses Gerät verwenden.

Konfigurieren von VLANs in der Zugriffsebene

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie Sie die VLAN-Namen und Tag-IDs konfigurieren und Trunk-Schnittstellen einem der Geräte der Zugriffsebene zuordnen. Dieses Verfahren zeigt ein repräsentatives Beispiel der Konfiguration. Das Beispiel zeigt nicht die Konfiguration für jedes VLAN.

  1. Konfigurieren Sie den VLAN-Namen und die Tag-ID (Nummer) für jedes VLAN auf dem Gerät der EX-Serie.

    In diesem Beispiel wird ein VLAN mit dem Namen vlan17 und der Tag-ID 17konfiguriert.

    Fügen Sie die vlan-id Anweisung ein, und geben Sie sie als VLAN-Tag-ID auf Hierarchieebene [edit vlans vlan17] an17.

    Wiederholen Sie diesen Schritt für jedes VLAN auf jedem Gerät der EX-Serie, indem Sie die entsprechenden VLAN-Namen und Tag-IDs verwenden.

  2. Ordnen Sie die logischen Trunk-Schnittstellen jedem VLAN auf dem Gerät der EX-Serie zu.

    In diesem Beispiel werden logische Schnittstellen xe-0/1/0.0 und xe-0/1/2.0 mit vlan17.

    Fügen Sie die interface Anweisung ein, und geben Sie sie auf Hierarchieebene [edit vlans vlan17] anxe-0/1/0.0.

    Fügen Sie die interface Anweisung ein, und geben Sie sie auf Hierarchieebene [edit vlans vlan17] anxe-0/1/2.0.

    Wiederholen Sie diesen Schritt für jedes VLAN auf jedem Gerät der EX-Serie, indem Sie die entsprechenden Namen für die Trunk-Schnittstellen verwenden.

Konfigurieren einer redundanten Trunk-Gruppe und Deaktivieren des Spanning Tree-Protokolls für die Trunk-Schnittstellen

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie Sie eine redundante Trunk-Gruppe konfigurieren und das Rapid Spanning Tree Protocol (RSTP) auf den Trunk-Schnittstellen deaktivieren.

  1. Konfigurieren Sie die Trunk-Schnittstellen als redundante Trunk-Gruppe.

    In diesem Beispiel werden die Schnittstellen und xe-0/1/2.0 Trunk xe-0/1/0.0 in einer redundanten Trunk-Gruppe mit dem Namen rtgroup1.

    Fügen Sie die interface Anweisung auf Hierarchieebene [edit ethernet-switching-options redundant-trunk-group group rtgroup1] ein, und geben Sie den Namen der einzelnen Trunkschnittstellen an.

    Fügen Sie die primary Anweisung auf Hierarchieebene [edit ethernet-switching-options redundant-trunk-group group rtgroup1 xe-0/1/2.0] ein.

    Wiederholen Sie diesen Schritt für jede redundante Trunk-Gruppe, indem Sie die entsprechenden Schnittstellennamen verwenden.

  2. Deaktivieren Sie RSTP auf den Trunk-Schnittstellen.

    Auf Geräten der EX-Serie ist RSTP standardmäßig aktiviert. RSTP kann nicht auf derselben Schnittstelle wie das Routing aktiviert werden.

    In diesem Beispiel wird RSTP auf der und der xe-0/1/0.0 xe-0/1/2.0 Trunk-Schnittstelle deaktiviert.

    Fügen Sie die disable Anweisung auf der [edit protocols rstp interface xe-0/1/0.0] Hierarchieebene und [edit protocols rstp interface xe-0/1/2.0] ein.

    Wiederholen Sie diesen Schritt für jede Core-zugewandte Trunk-Schnittstelle, indem Sie den entsprechenden Schnittstellennamen verwenden.

Konfigurieren der Verwaltungsautomatisierung

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie statische Routen zum Verwaltungsnetzwerk, zu einem bekannten Host zur Unterstützung von SCP-Dateiübertragungen (Secure Copy Protocol) im Hintergrund, zu einem Commitskript und zu einer Ereignisarchivsite konfiguriert werden.

  1. Konfigurieren Sie statische Routen so, dass die Ethernet-Verwaltungsschnittstelle das Verwaltungsnetzwerk erreichen kann.

    Fügen Sie die route Anweisung ein, und geben Sie als IPv4-Subnetzadresse des Verwaltungsnetzwerks auf Hierarchieebene [edit routing-options static] an10.8.0.0/16.

    Fügen Sie die Anweisung ein, und geben Sie die next-hop IPv4-Hostadresse des Next-Hop-Routers auf Hierarchieebene [edit routing-options static route 10.8.0.0/16] an.

    Wiederholen Sie diesen Schritt für jede Ethernet-Managementschnittstelle auf den Geräten der EX-Serie.

  2. Konfigurieren Sie einen bekannten SSH-Host.

    Fügen Sie die Anweisung ein, und geben Sie die IPv4-Adresse und die host RSA-Hostschlüsseloptionen für vertrauenswürdige Server auf Hierarchieebene [edit security ssh-known-hosts] an. In diesem Beispiel wird der RSA-Hostschlüssel gekürzt, um das Lesen zu erleichtern.

    Wiederholen Sie diesen Schritt für jedes Gerät der EX-Serie.

  3. Konfigurieren Sie ausgehende SSH so, dass Übertragungen von Juniper Message Bundle (JMB) an Juniper Support Systems (JSS) unterstützt werden.

    In diesem Beispiel wird die Client-ID als 00187D0B670Dkonfiguriert.

    Fügen Sie die client Anweisung ein, geben Sie als Client-ID an, und geben Sie 00187D0B670D als IPv4-Adresse auf Hierarchieebene [edit system services outbound-ssh] an10.8.7.32.

    Fügen Sie die port Anweisung ein, und geben Sie sie als TCP-Port auf Hierarchieebene [edit system services outbound-ssh client 00187D0B670D 10.8.7.32] an7804.

    Fügen Sie die device-id Anweisung ein, und geben Sie sie als Geräte-ID auf Hierarchieebene [edit system services outbound-ssh client 00187D0B670D] anFA022D.

    Fügen Sie die secret Anweisung auf Hierarchieebene [edit system services outbound-ssh client 00187D0B670D ] ein.

    Fügen Sie die services Anweisung ein, und geben Sie sie als verfügbaren Dienst auf der [edit system services outbound-ssh client 00187D0B670D ] Hierarchieebene annetconf.

    Wiederholen Sie diesen Schritt für jedes Gerät der EX-Serie.

  4. Konfigurieren Sie ein Commit-Skript.

    In diesem Beispiel lautet jais-activate-scripts.slaxder Name der Skriptdatei .

    Fügen Sie die allow-transients Anweisung auf Hierarchieebene [edit system scripts commit] ein.

    Fügen Sie die optional Anweisung auf Hierarchieebene [edit system scripts commit file jais-activate-scripts.slax] ein.

    Wiederholen Sie diesen Schritt für alle Geräte der EX-Serie.

  5. Konfigurieren Sie eine Ereignisarchiv-Site.

    In diesem Beispiel ist die Archiv-URL das lokale /var/tmp/ Verzeichnis, und der Name des Ziels lautet juniper-aim.

    Fügen Sie die Anweisung ein, und geben Sie die archive-sites Archiv-URL auf Hierarchieebene [edit event-options destinations juniper-aim] an.

    Wiederholen Sie diesen Schritt für jedes Gerät der EX-Serie.

Konfiguration der Aggregationsschicht in den vertrauenswürdigen logischen Systemen

Konfigurieren Sie die Aggregationsschicht, indem Sie wie folgt vorgehen:

Schnittstellen in den vertrauenswürdigen logischen Systemen konfigurieren

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie die physischen, logischen und Layer-3-Routingschnittstellen für das logische System in der vertrauenswürdigen Sicherheitszone der Aggregationsschicht konfiguriert werden. Dieses Verfahren zeigt ein repräsentatives Beispiel der Konfiguration. Das Beispiel zeigt nicht die Konfiguration für jede Schnittstelle.

  1. Ermöglichen Sie flexibles VLAN-Tagging auf den physischen Schnittstellen.

    In diesem Beispiel wird die physische Schnittstelle xe-1/0/0konfiguriert.

    Fügen Sie die Anweisung ein, und geben Sie die encapsulation flexible-ethernet-services Option auf Hierarchieebene [edit interfaces xe-1/0/0] an.

    Fügen Sie die flexible-vlan-tagging Anweisung auf Hierarchieebene [edit interfaces xe-1/0/0] ein.

    Wiederholen Sie diesen Schritt für jede physische Schnittstelle, die mit den Geräten der EX-, SRX- und MX-Serie verbunden ist, und verwenden Sie den entsprechenden Schnittstellennamen.

  2. Konfigurieren Sie die 10-Gigabit-Ethernet-Schnittstellen, die mit dem Access-Layer-Gerät der EX-Serie verbunden sind.

    In diesem Beispiel wird die logische Schnittstelle auf der xe-1/0/0 Schnittstelle 17unter dem logischen System mit dem Namen .Trust1

    Fügen Sie die Anweisung ein, und geben Sie die encapsulation vlan-bridge Option auf Hierarchieebene [edit logical-systems Trust1 interfaces xe-1/0/0 unit 17] an.

    Fügen Sie die vlan-id Anweisung ein, und geben Sie sie als VLAN-ID auf Hierarchieebene [edit logical-systems Trust1 interfaces xe-1/0/0 unit 17] an17.

    Wiederholen Sie diesen Schritt für jede Schnittstelle, die mit den Geräten der Zugriffsebene verbunden ist, indem Sie den entsprechenden Schnittstellennamen, die logische Schnittstellennummer, die VLAN-ID und den logischen Systemnamen verwenden.

  3. Konfigurieren Sie die 10-Gigabit-Ethernet-Schnittstellen, die mit den anderen Geräten der MX-Serie verbunden sind, wie in Abbildung 1 dargestellt.

    In diesem Beispiel wird die logische Schnittstelle auf der xe-0/1/0 Schnittstelle 17 konfiguriert.

    Fügen Sie die Anweisung ein, und geben Sie die encapsulation vlan-bridge Option auf Hierarchieebene [edit logical-systems Trust1 interfaces xe-0/1/0 unit 17] an.

    Fügen Sie die vlan-id Anweisung ein, und geben Sie sie als VLAN-Tag-ID auf Hierarchieebene [edit logical-systems Trust1 interfaces xe-0/1/0 unit 17] an17.

    Wiederholen Sie diesen Schritt für jede Schnittstelle, die mit dem anderen in Abbildung 1 gezeigten Gerät der MX-Serie verbunden ist, indem Sie den entsprechenden Schnittstellennamen, die logische Schnittstellennummer, die VLAN-ID und den logischen Systemnamen verwenden.

  4. Konfigurieren Sie die 10-Gigabit-Ethernet-Schnittstelle, die mit der Firewall der SRX-Serie verbunden ist.

    In diesem Beispiel wird die logische Schnittstelle auf der xe-1/1/0 Schnittstelle 15 konfiguriert. Fügen Sie die Anweisung ein, und geben Sie die encapsulation vlan-bridge Option auf Hierarchieebene [edit logical-systems Trust1 interfaces xe-1/1/0 unit 15] an.

    Fügen Sie die vlan-id Anweisung ein, und geben Sie sie als VLAN-Tag-ID auf Hierarchieebene [edit logical-systems Trust1 interfaces xe-1/1/0 unit 15] an15.

    Wiederholen Sie diesen Schritt für jede Schnittstelle, die mit der Firewall der SRX-Serie verbunden ist, indem Sie den entsprechenden Schnittstellennamen, die logische Schnittstellennummer, die VLAN-ID und den logischen Systemnamen verwenden.

  5. Konfigurieren Sie die Adresse der Layer 3-IRB-Schnittstelle (Integrated Routing and Bridging).

    In diesem Beispiel wird die unit 17 logische Schnittstelle mit als IPv4-Adresse unter dem logischen System mit 10.17.2.2/24 dem Namen konfiguriertTrust1. Fügen Sie die address Anweisung ein, und geben Sie sie als IPv4-Adresse auf Hierarchieebene [edit logical-systems Trust1 interfaces irb unit 17 family inet] an10.17.2.2/24.

    Wiederholen Sie diesen Schritt für jede Layer-3-IBR, indem Sie den entsprechenden logischen Schnittstellennamen und die IPv4-Adresse verwenden.

  6. Konfigurieren Sie die IRB-Schnittstelle für die Teilnahme am Virtual Router Redundancy Protocol (VRRP).

    In diesem Beispiel wird die unit 17 logische Schnittstelle mit 17 als VRRP-Gruppenname konfiguriert.

    Fügen Sie die virtual-address Anweisung ein, und geben Sie als IPv4-Adresse des virtuellen Routers auf Hierarchieebene [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] an10.17.2.1.

    Fügen Sie die Anweisung auf Hierarchieebene [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] ein, damit die Schnittstelle Pakete akzeptiert, die für die accept-data virtuelle IP-Adresse bestimmt sind.

    Fügen Sie die priority Anweisung ein, und geben Sie die Priorität des Routers auf Hierarchieebene [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] an200.

    Fügen Sie die fast-interval Anweisung ein, und geben Sie das Intervall zwischen VRRP-Ankündigungen auf Hierarchieebene [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] an200.

    Fügen Sie die preempt Anweisung auf Hierarchieebene [edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] ein.

    Wiederholen Sie diesen Schritt für jede Layer-3-IBR-Schnittstelle, indem Sie den entsprechenden logischen Schnittstellennamen, die IPv4-Adresse, den VRRP-Gruppennamen und die Priorität verwenden.

Konfigurieren von VLANs in der Aggregationsschicht

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie Sie die VLAN-Namen und Tag-IDs konfigurieren und jedem VLAN Trunk-Schnittstellen und Layer-3-Routing-Schnittstellen zuordnen. Dieses Verfahren zeigt ein repräsentatives Beispiel der Konfiguration. Das Beispiel zeigt nicht die Konfiguration für jedes VLAN.

  1. Konfigurieren Sie den VLAN-Namen und die Tag-ID (Nummer) für jedes VLAN auf dem Gerät der MX-Serie.

    In diesem Beispiel wird ein VLAN mit dem Namen vlan17 und der Tag-ID 17 im logischen System Trust1konfiguriert. Fügen Sie die vlan-id Anweisung ein, und geben Sie sie als VLAN-ID auf Hierarchieebene [edit logical-systems Trust1 bridge-domains vlan17] an17.

    Wiederholen Sie diesen Schritt für jedes VLAN auf jedem Gerät der MX-Serie, indem Sie die entsprechenden VLAN-Namen und Tag-IDs verwenden.

  2. Ordnen Sie die logischen Trunk-Schnittstellen jedem VLAN auf dem Gerät der MX-Serie zu.

    In diesem Beispiel werden die logische Schnittstelle, die mit dem Gerät der EX-Serie verbunden ist, und die logische Schnittstelle xe-1/0/0.17 xe-0/1/0.17 , die mit dem anderen Gerät der MX-Serie verbunden ist, zugeordnet vlan17.

    Fügen Sie die interface Anweisung ein, und geben Sie sie auf Hierarchieebene [edit logical-systems Trust1 bridge-domains vlan17] anxe-1/0/0.17.

    Fügen Sie die interface Anweisung ein, und geben Sie sie auf Hierarchieebene [edit logical-systems Trust1 bridge-domains vlan17] anxe-0/1/0.17.

    Wiederholen Sie diesen Schritt für jedes serverseitige VLAN auf jedem Gerät der MX-Serie, indem Sie die entsprechenden Namen der Trunk-Schnittstellen verwenden.

  3. Ordnen Sie jedem VLAN auf dem Gerät der MX-Serie eine Layer-3-Schnittstelle zu.

    In diesem Beispiel wird die irb.17 Schnittstelle mit vlan17.

    Fügen Sie die routing-interface Anweisung ein, und geben Sie sie auf Hierarchieebene [edit logical-systems Trust1 bridge-domains vlan17] anirb.17.

    Wiederholen Sie diesen Schritt für jedes serverseitige VLAN auf jedem Gerät der MX-Serie, indem Sie den entsprechenden Layer-3-Schnittstellennamen verwenden.

  4. Ordnen Sie die logischen Schnittstellen jedem Verbindungs-VLAN auf dem Gerät der MX-Serie zu.

    In diesem Beispiel werden die logische Schnittstelle xe-1/1/0.15 , die mit der Firewall der SRX-Serie verbunden ist, und die logische Schnittstelle xe-0/1/0.15 , die mit dem anderen Gerät der MX-Serie verbunden ist, mit vlan15verknüpft.

    Fügen Sie die interface Anweisung ein, und geben Sie sie auf Hierarchieebene [edit logical-systems Trust1 bridge-domains vlan15] anxe-1/1/0.15.

    Fügen Sie die interface Anweisung ein, und geben Sie sie auf Hierarchieebene [edit logical-systems Trust1 bridge-domains vlan15] anxe-0/1/0.15.

    Wiederholen Sie diesen Schritt für jedes Interconnect-VLAN auf jedem Gerät der MX-Serie, indem Sie die entsprechenden Interconnect-Schnittstellennamen verwenden.

  5. Verknüpfen Sie jedes Verbindungs-VLAN auf dem Gerät der MX-Serie mit einer Layer-3-Schnittstelle, um die aktive Teilnahme am OSPF-Protokoll zu unterstützen.

    In diesem Beispiel wird die irb.15 Schnittstelle mit vlan15.

    Fügen Sie die routing-interface Anweisung ein, und geben Sie sie auf Hierarchieebene [edit logical-systems Trust1 bridge-domains vlan15] anirb.15.

    Wiederholen Sie diesen Schritt für jedes serverseitige VLAN auf jedem Gerät der MX-Serie, indem Sie den entsprechenden Layer-3-Schnittstellennamen verwenden.

Konfigurieren der Routinginstanz des virtuellen Routers

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie Sie eine einzelne Routinginstanz eines virtuellen Routers konfigurieren. Dieses Verfahren zeigt ein repräsentatives Beispiel der Beispielkonfiguration. Das Beispiel zeigt nicht die Konfiguration für jedes Gerät.

  1. Konfigurieren Sie den Routing-Instance-Typ.

    In diesem Beispiel wird die Routinginstanz mit dem Namen MX-VR2. Fügen Sie die instance-type Anweisung ein, und geben Sie sie als Typ auf der [edit logical-systems Trust1 routing-instances MX-VR2] Hierarchieebene anvirtual-router.

    Wiederholen Sie diesen Schritt für jeden virtuellen Router in jedem Gerät der MX-Serie, indem Sie den entsprechenden Namen des virtuellen Routers verwenden.

  2. Fügen Sie die IRB-Schnittstellen hinzu, die von der Routing-Instanz des virtuellen Routers verwendet werden.

    Fügen Sie die interface Anweisung ein, und geben Sie den Namen jeder IRB-Schnittstelle auf Hierarchieebene [edit routing-instances MX-VR2] an.

    Wiederholen Sie diesen Schritt für jeden virtuellen Router in jedem Gerät der MX-Serie, indem Sie die entsprechenden Schnittstellennamen verwenden.

  3. Konfigurieren Sie die aktive IGP-Protokollschnittstelle, die von der Routing-Instanz des virtuellen Routers verwendet wird, sodass die Routing-Tabellen mit den Routen zu den Servern gefüllt werden können.

    In diesem Beispiel wird eine IRB-Schnittstelle so konfiguriert, dass sie aktiv am OSPF-Protokollbereich 0.0.0.0teilnimmt.

    Fügen Sie die interface Anweisung ein, und geben Sie den Namen der IRB-Schnittstelle auf Hierarchieebene [edit logical-systems Trust1 routing-instances MX-VR2 protocols ospf area 0.0.0.0] an.

    Wiederholen Sie diesen Schritt für jeden virtuellen Router in jedem Gerät der MX-Serie, indem Sie den entsprechenden Namen des virtuellen Routers verwenden.

  4. Konfigurieren Sie die passiven Schnittstellen des Interior Gateway Protocol, die jedem VLAN innerhalb der Routing-Instanz des virtuellen Routers zugeordnet sind.

    In diesem Beispiel werden die IRB-Schnittstellen so konfiguriert, dass sie passiv am OSPF-Protokollbereich 0.0.0.0teilnehmen.

    Fügen Sie die passive Anweisung auf Hierarchieebene [edit logical-systems Trust1 routing-instances MX-VR2 protocols ospf area 0.0.0.0 interface irb-name] ein.

    Wiederholen Sie diesen Schritt für jeden virtuellen Router in jedem Gerät der MX-Serie, indem Sie den entsprechenden Namen des virtuellen Routers verwenden.

  5. Konfigurieren Sie die Kennung des logischen Systemrouters.

    Fügen Sie die router-id Anweisung ein, und geben Sie sie als Router-ID auf Hierarchieebene [edit logical-systems Trust1 routing-instances MX-VR2 routing-options] an10.200.11.101.

    Wiederholen Sie diesen Schritt für jeden virtuellen Router in jedem Gerät der MX-Serie, indem Sie die entsprechende Router-ID verwenden.

Konfigurieren von Verwaltungsschnittstellen

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie statische Routen zum Verwaltungsnetzwerk und die IPv4-Adressfamilie für die logische Loopbackschnittstelle konfiguriert werden. Dieses Verfahren zeigt ein repräsentatives Beispiel der Konfiguration. Das Beispiel zeigt nicht die Konfiguration für jede Schnittstelle.

  1. Konfigurieren Sie statische Routen so, dass die Ethernet-Verwaltungsschnittstelle das Verwaltungsnetzwerk erreichen kann.

    Fügen Sie die route Anweisung ein, und geben Sie sie als IPv4-Subnetzadresse des Verwaltungsnetzwerks auf Hierarchieebene [edit routing-options static] an10.0.0.0/8.

    Fügen Sie die Anweisung ein, und geben Sie die next-hop IPv4-Hostadresse des Next-Hop-Routers auf Hierarchieebene [edit routing-options static route 10.0.0.0/8] an.

    Fügen Sie die retain no-readvertise und-Anweisungen auf der [edit routing-options static route 10.0.0.0/8] Hierarchieebene ein.

    Wiederholen Sie diesen Schritt für jedes Gerät der MX-Serie.

  2. Konfigurieren Sie die Ethernet-Schnittstelle für die Geräteverwaltung der MX-Serie. In diesem Beispiel wird die unit 0 logische Schnittstelle konfiguriert.

    Fügen Sie die Anweisung ein, und geben Sie die family inet Option auf Hierarchieebene [edit fxp0 unit 0] an.

    Fügen Sie die address Anweisung ein, und geben Sie sie als IPv4-Adresse auf Hierarchieebene [edit interfaces fxp0 unit 0] an10.8.3.212/24.

    Wiederholen Sie diesen Schritt für jedes Gerät der MX-Serie, indem Sie die entsprechende Adresse der Verwaltungsschnittstelle für dieses Gerät verwenden.

  3. Konfigurieren Sie die logische Loopback-Schnittstelle.

    Fügen Sie die Anweisung ein, und geben Sie die family inet Option auf Hierarchieebene [edit interfaces lo0 unit 0] an.

    Wiederholen Sie diesen Schritt für jedes Gerät der MX-Serie.

Konfigurieren von Administratorkonten für logische Systeme

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie Administratorkontoklassen konfiguriert werden, die auf den Kontext des logischen Systems beschränkt sind, dem sie zugewiesen sind, sowie Administratorkonten für jedes logische System.

  1. Erstellen Sie Administratorkontoklassen.

    In diesem Beispiel wird die trust1-admin Benutzerklasse mit all Berechtigungen für das Trust1 logische System erstellt.

    Fügen Sie die class Anweisung ein, und geben Sie sie als Klassennamen auf der [edit system login] Hierarchieebene antrust1-admin.

    Fügen Sie die logical-system Anweisung ein, und geben Sie sie als logischen Systemnamen auf der [edit system login class trust1-admin] Hierarchieebene anTrust1.

    Fügen Sie die Anweisung ein, und geben Sie die permissions all Option auf Hierarchieebene [edit system login class trust1-admin] an.

    Wiederholen Sie diesen Schritt für die Klassen trust2-admin und untrust-admin auf jedem Gerät der MX-Serie, indem Sie den entsprechenden Namen des logischen Systems verwenden.

  2. Erstellen Sie Administratorkonten, die jedem logischen System auf dem Gerät der MX-Serie entsprechen.

    In diesem Beispiel wird das trust1 Benutzerkonto erstellt und der trust1-admin Klasse zugewiesen.

    Fügen Sie die class Anweisung ein, und geben Sie sie als Benutzerklasse auf Hierarchieebene [edit system login user trust1] antrust1-admin.

    Fügen Sie die Anweisung ein, und geben Sie die encrypted-password verschlüsselte Kennwortzeichenfolge auf Hierarchieebene [edit system login user trust1 authentication] ein.

    Wiederholen Sie diesen Schritt für die Benutzerkonten trust2 und nicht vertrauenswürdig auf jedem Gerät der MX-Serie.

Konfigurieren der Verwaltungsautomatisierung

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie ein bekannter Host so konfiguriert wird, dass er SCP-Dateiübertragungen im Hintergrund, ein Commit-Skript und eine Archiv-Site unterstützt.

  1. Konfigurieren Sie ein Commit-Skript.

    In diesem Beispiel lautet jais-activate-scripts.slaxder Name der Skriptdatei .

    Fügen Sie die allow-transients Anweisung auf Hierarchieebene [edit system scripts commit] ein.

    Fügen Sie die optional Anweisung auf Hierarchieebene [edit system scripts commit file jais-activate-scripts.slax] ein.

  2. Konfigurieren Sie eine Ereignisarchiv-Site.

    In diesem Beispiel ist die Archiv-URL das lokale /var/tmp/ Verzeichnis, und der Name des Ziels lautet juniper-aim.

    Fügen Sie die Anweisung ein, und geben Sie die archive-sites Archiv-URL auf Hierarchieebene [edit event-options destinations juniper-aim] an.

Konfigurieren der Core-Schicht in den nicht vertrauenswürdigen logischen Systemen

Konfigurieren Sie den Core-Layer, indem Sie wie folgt vorgehen:

Konfigurieren von Schnittstellen in nicht vertrauenswürdigen logischen Systemen

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie die physischen, logischen und Layer-3-Routing-Schnittstellen für das logische System in der nicht vertrauenswürdigen Sicherheitszone der Core-Schicht konfiguriert werden. Dieses Verfahren zeigt ein repräsentatives Beispiel der Konfiguration. Das Beispiel zeigt nicht die Konfiguration für jede Schnittstelle.

  1. Konfigurieren Sie die redundanten 10-Gigabit-Ethernet-Schnittstellen, die mit dem anderen Gerät der MX-Serie verbunden sind, wie in Abbildung 1 dargestellt.

    In diesem Beispiel wird die logische Schnittstelle auf der xe-0/3/0 Schnittstelle 19 unter dem logischen System konfiguriert, das für die Teilnahme an VLAN 19 benannt Untrust ist. Fügen Sie die Anweisung ein, und geben Sie die encapsulation vlan-bridge Option auf Hierarchieebene [edit logical-systems Untrust interfaces xe-0/3/0 unit 19] an.

    Fügen Sie die vlan-id Anweisung ein, und geben Sie sie als VLAN-Tag-ID auf Hierarchieebene [edit logical-systems Untrust interfaces xe-0/3/0 unit 19] an19.

    Wiederholen Sie diesen Schritt für jede redundante Ethernet-Schnittstelle, die mit dem anderen Gerät der MX-Serie verbunden ist, indem Sie den entsprechenden Schnittstellennamen, die logische Schnittstellennummer, die VLAN-ID und den logischen Systemnamen verwenden.

  2. Konfigurieren Sie die 10-Gigabit-Ethernet-Schnittstellen, die mit der Firewall der SRX-Serie verbunden sind.

    In diesem Beispiel wird die logische Schnittstelle auf der xe-2/2/0 Schnittstelle 19 unter dem logischen System konfiguriert, das für die Teilnahme an VLAN 19 benannt Untrust ist.

    Fügen Sie die Anweisung ein, und geben Sie die encapsulation vlan-bridge Option auf Hierarchieebene [edit logical-systems Untrust interfaces xe-2/2/0 unit 19] an.

    Fügen Sie die vlan-id Anweisung ein, und geben Sie sie als VLAN-Tag-ID auf Hierarchieebene [edit logical-systems Untrust interfaces xe-2/2/0 unit 19] an19.

    Wiederholen Sie diesen Schritt für jede redundante Ethernet-Schnittstelle, die mit der Firewall der SRX-Serie verbunden ist, indem Sie den entsprechenden Schnittstellennamen, die logische Schnittstellennummer, die VLAN-ID und den logischen Systemnamen verwenden.

  3. Konfigurieren Sie die 10-Gigabit-Ethernet-Schnittstellen, die mit dem IP-basierten/MPLS-basierten Kernnetzwerk verbunden sind.

    In diesem Beispiel wird die logische Schnittstelle auf der xe-1/3/0 Schnittstelle 0 unter dem logischen System mit dem Namen .Untrust

    Fügen Sie die address Anweisung ein, und geben Sie sie als IPv4-Adresse auf Hierarchieebene [edit logical-systems Untrust interfaces xe-1/3/0 unit 0 family inet] an10.200.4.1/30.

    Fügen Sie die Anweisung ein, und geben Sie die family mpls Option auf Hierarchieebene [edit logical-systems Untrust interfaces xe-1/3/0 unit 0] an.

    Wiederholen Sie diesen Schritt für jede 10-Gigabit-Ethernet-Schnittstelle, die mit dem Service Provider-Netzwerk verbunden ist, indem Sie den entsprechenden Schnittstellennamen, die logische Schnittstellennummer, die IPv4-Adresse und den logischen Systemnamen verwenden.

  4. Konfigurieren Sie die Adresse der Layer-3-IRB-Schnittstelle.

    In diesem Beispiel wird die logische Schnittstelle, die unit 19 an VLAN 19 teilnimmt, als 10.19.2.1/24 IPv4-Adresse unter dem logischen System mit dem Namen konfiguriert Untrust.

    Fügen Sie die address Anweisung ein, und geben Sie sie als IPv4-Adresse auf Hierarchieebene [edit logical-systems Untrust interfaces irb unit 19 family inet] an10.19.2.1/24.

    Wiederholen Sie diesen Schritt für jede Layer-3-IRB-Schnittstelle, indem Sie den entsprechenden logischen Schnittstellennamen und die IPv4-Adresse verwenden.

  5. Konfigurieren Sie eine IP-Adresse für die logische Loopback-Schnittstelle des logischen Systems Untrust.

    Fügen Sie die address Anweisung ein, und geben Sie sie als IPv4-Adresse auf Hierarchieebene [edit logical-systems Untrust interfaces lo0 unit 1 family inet] an10.200.11.1/32.

    Wiederholen Sie diesen Schritt für jedes Gerät der MX-Serie, indem Sie die entsprechende IPv4-Adresse verwenden.

Konfigurieren von VLANs im Core Layer

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie Sie die VLAN-Namen und Tag-IDs konfigurieren und Schnittstellen und Layer-3-Routing-Schnittstellen jedem Core-Interconnect-VLAN zuordnen. Dieses Verfahren zeigt ein repräsentatives Beispiel der Konfiguration. Das Beispiel zeigt nicht die Konfiguration für jedes VLAN.

  1. Konfigurieren Sie den VLAN-Namen und die Tag-ID (Nummer) für jedes Core-Interconnect-VLAN auf dem Gerät der MX-Serie.

    In diesem Beispiel wird ein VLAN mit dem Namen vlan14 und der Tag-ID 14 im logischen System Untrustkonfiguriert.

    Fügen Sie die vlan-id Anweisung ein, und geben Sie sie als VLAN-ID auf Hierarchieebene [edit logical-systems Untrust bridge-domains vlan14] an14.

    Wiederholen Sie diesen Schritt für jedes VLAN auf jedem Gerät der MX-Serie, indem Sie die entsprechenden VLAN-Namen und Tag-IDs verwenden.

  2. Ordnen Sie die logischen Schnittstellen jedem VLAN auf dem Gerät der MX-Serie zu.

    In diesem Beispiel wird die logische Schnittstelle xe-0/3/0.14 , die mit dem anderen Gerät xe-2/2/0.14 der MX-Serie und der Firewall der SRX-Serie verbunden ist, mit vlan14verknüpft.

    Fügen Sie die interface Anweisung ein, und geben Sie sie auf Hierarchieebene [edit logical-systems Untrust bridge-domains vlan14] anxe-0/3/0.14.

    Fügen Sie die interface Anweisung ein, und geben Sie sie auf Hierarchieebene [edit logical-systems Untrust bridge-domains vlan14] anxe-2/2/0.14.

    Wiederholen Sie diesen Schritt für jedes Core-Interconnect-VLAN auf jedem Gerät der MX-Serie, indem Sie die entsprechenden Schnittstellennamen verwenden.

  3. Ordnen Sie jedem VLAN auf dem Gerät der MX-Serie eine Layer-3-Schnittstelle zu.

    In diesem Beispiel wird die irb.14 Schnittstelle mit vlan14.

    Fügen Sie die routing-interface Anweisung ein, und geben Sie sie auf Hierarchieebene [edit logical-systems Untrust bridge-domains vlan14] anirb.14.

    Wiederholen Sie diesen Schritt für jedes Core-Interconnect-VLAN auf jedem Gerät der MX-Serie, indem Sie den entsprechenden Layer-3-Schnittstellennamen verwenden.

Protokolle im nicht vertrauenswürdigen logischen System konfigurieren

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie die Protokolle BGP, MPLS, RSVP und OSPF für die Aufhebung der Vertrauenswürdigkeit logischer Systeme konfiguriert werden. Dieses Verfahren zeigt ein repräsentatives Beispiel der Konfiguration. Das Beispiel zeigt nicht die Konfiguration für jedes Gerät.

  1. Fügen Sie dem OSPF-Protokoll auf dem Gerät der MX-Serie Schnittstellen hinzu.

    In diesem Beispiel werden logische Schnittstellen xe-1/3/0.0 und lo0.1 das im Kernnetzwerk verwendete OSPF-Protokoll hinzugefügt.

    Fügen Sie die Anweisung ein, und geben Sie die interface xe-1/3/0.0 Schnittstellen und lo0.1 auf Hierarchieebene [edit logical-systems Untrust protocols ospf area 0.0.0.0] an.

    Wiederholen Sie diesen Schritt für jede 10-Gigabit-Ethernet-Schnittstelle, die mit den Core-Layer-Geräten verbunden ist, indem Sie den entsprechenden Schnittstellennamen verwenden.

  2. Konfigurieren Sie den GRE-Tunnel (Generic Router Encapsulation).

    In diesem Beispiel wird ein dynamischer GRE-Tunnel mit dem Namen GRE1.

    Fügen Sie die gre Anweisung ein, um den Tunneltyp auf Hierarchieebene [edit logical-systems Untrust routing-options dynamic-tunnel GRE1] anzugeben.

    Fügen Sie die source-address Anweisung ein, und geben Sie sie als IPv4-Quelladresse auf Hierarchieebene [edit logical-systems Untrust routing-options dynamic-tunnel GRE1] an10.200.11.1.

    Fügen Sie die destination-networks Anweisung ein, und geben Sie sie als Zielpräfix auf Hierarchieebene [edit logical-systems Untrust routing-options dynamic-tunnel GRE1] an0.0.0.0/0.

    Wiederholen Sie diesen Schritt für jedes Gerät der MX-Serie, indem Sie die entsprechende Quelladresse verwenden.

  3. Konfigurieren Sie die lokale autonome Systemnummer des logischen Systems und die Router-ID.

    Fügen Sie die autonomous-system Anweisung ein und geben Sie sie als autonome Systemnummer auf der [edit logical-systems Untrust routing-options] Hierarchieebene an64500.

    Fügen Sie die router-id Anweisung ein, und geben Sie sie als Router-ID auf Hierarchieebene [edit logical-systems Untrust routing-options] an10.200.11.101.

    Wiederholen Sie diesen Schritt für jedes Gerät der MX-Serie, indem Sie die entsprechende Router-ID und die autonome Systemnummer 64500 verwenden.

  4. Konfigurieren Sie die interne BGP-Peergruppe.

    Fügen Sie die Anweisung ein, und geben Sie die type internal Option auf Hierarchieebene [edit logical-systems Untrust protocols bgp group int] an.

    Fügen Sie die Anweisung ein, und geben Sie die local-address Router-ID (10.200.11.1) von Logical System Untrust als lokale Adresse auf Hierarchieebene [edit logical-systems Untrust protocols bgp group int] an.

    Fügen Sie die unicast Anweisung auf der [edit logical-systems Untrust protocols bgp group int family inet] Hierarchieebene und [edit logical-systems Untrust protocols bgp group int family inet-vpn] ein.

    Fügen Sie die local-as Anweisung ein, und geben Sie sie als lokale autonome Systemnummer auf Hierarchieebene [edit logical-systems Untrust protocols bgp group int] an64500.

    Fügen Sie die Anweisung ein, und geben Sie die peer-as Nummer des Peerautonomen Systems auf Hierarchieebene [edit logical-systems Untrust protocols bgp group int] an64500.

    Fügen Sie die Anweisung ein, und geben Sie die neighbor benachbarten IPv4-Adressen auf Hierarchieebene [edit logical-systems Untrust protocols bgp group int] an.

    Bei den Nachbaradressen handelt es sich um die Router-ID-Adressen der anderen Geräte der MX-Serie im lokalen Datencenter, der Geräte der MX-Serie in einem Remote-Datencenter und der Router im IP-basierten/MPLS-basierten Core-Netzwerk.

    Wiederholen Sie diesen Schritt für jedes Gerät der MX-Serie.

  5. Fügen Sie dem MPLS-Protokoll, das im Core-Netzwerk des Service Providers verwendet wird, Schnittstellen hinzu.

    In diesem Beispiel werden die xe-1/3/0.0 Schnittstellen und xe-2/3/0.0 hinzugefügt, die mit dem Kernnetzwerk des Service Providers verbunden sind.

    Fügen Sie die Anweisung ein, und geben Sie die interface xe-1/3/0.0 Schnittstellen und xe-2/3/0.0 auf Hierarchieebene [edit logical-systems Untrust protocols mpls] an.

    Wiederholen Sie diesen Schritt für jedes Gerät der MX-Serie.

  6. Erstellen Sie einen MPLS-LSP für den Router, der sich im MPLS-basierten Kernnetzwerk befindet.

    In diesem Beispiel wird ein LSP mit dem Namen to-core-router.

    Fügen Sie die to Anweisung ein und geben Sie als IPv4-Adresse des Core-Routers auf Hierarchieebene [edit logical-systems Untrust protocols mpls label-switched-path to-core-router] an10.200.11.3.

    Fügen Sie die no-cspf Anweisung auf Hierarchieebene [edit logical-systems Untrust protocols mpls] ein.

    Wiederholen Sie diesen Schritt für jedes Gerät der MX-Serie.

  7. Fügen Sie dem RSVP-Protokoll, das im MPLS-basierten Core-Netzwerk verwendet wird, Schnittstellen hinzu.

    Fügen Sie die Anweisung ein, und geben Sie die interface xe-1/3/0.0 Schnittstellen und xe-2/3/0.0 auf Hierarchieebene [edit logical-systems Untrust protocols rsvp] an.

    Wiederholen Sie diesen Schritt für jedes Gerät der MX-Serie.

Konfigurieren des Sicherheitsgeräts

In den folgenden Verfahren wird erläutert, wie redundante Ethernet-Schnittstellen, Knotencluster, Sicherheitszonen, Sicherheitsrichtlinien und Routing-Richtlinien für die vertrauenswürdige Sicherheitszone der Zugriffsschicht konfiguriert werden.

Konfigurieren der Link Aggregation-Gruppe für redundante Ethernet-Schnittstellen

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie die redundante Ethernet-Schnittstellen-Link-Aggregationsgruppe konfiguriert wird. Dieses Verfahren zeigt ein repräsentatives Beispiel der Konfiguration. Das Beispiel zeigt nicht die Konfiguration für jede Schnittstelle.

  1. Konfigurieren Sie die Anzahl der aggregierten Ethernet-Schnittstellen, die auf dem Knoten unterstützt werden.

    In diesem Beispiel wird die Unterstützung für zwei Schnittstellen aktiviert.

    Fügen Sie die device-count Anweisung ein, und geben Sie als Anzahl der Schnittstellen an 2 , die auf der [edit chassis aggregated-devices ethernet] Hierarchieebene unterstützt werden.

    Wiederholen Sie diesen Schritt für jede Firewall der SRX-Serie, indem Sie die entsprechende Geräteanzahl verwenden.

  2. Weisen Sie der übergeordneten redundanten Ethernet-Schnittstelle (reth) untergeordnete 10-Gigabit-Ethernet-Schnittstellen zu.

    In diesem Beispiel wird die xe-1/0/0 untergeordnete 10-Gigabit-Ethernet-Schnittstelle der reth1 übergeordneten Schnittstelle auf Node0 zugewiesen.

    Fügen Sie die redundant-parent Anweisung ein, und geben Sie sie als übergeordnete Schnittstelle auf der [edit interfaces xe-1/0/0 gigether-options] Hierarchieebene anreth1.

    Wiederholen Sie diesen Schritt für jede redundante Ethernet-Schnittstelle, indem Sie den entsprechenden Schnittstellennamen und den redundanten übergeordneten Namen verwenden.

  3. Konfigurieren Sie die Optionen für redundante übergeordnete Ethernet-Schnittstellen.

    In diesem Beispiel wird die reth1 redundante übergeordnete Schnittstelle konfiguriert.

    Fügen Sie die redundancy-group Anweisung ein und geben Sie sie als Gruppennummer auf Hierarchieebene [edit interfaces reth1 redundant-ether-options] an1.

    Fügen Sie die vlan-tagging Anweisung auf Hierarchieebene [edit interfaces reth1] ein.

    Wiederholen Sie diesen Schritt für jede redundante übergeordnete Schnittstelle, indem Sie den entsprechenden redundanten übergeordneten Namen und die entsprechende Redundanzgruppennummer verwenden.

  4. Konfigurieren Sie die redundanten übergeordneten logischen Ethernet-Schnittstellen.

    In diesem Beispiel wird die unit 15 logische Schnittstelle konfiguriert.

    Fügen Sie die address Anweisung ein, und geben Sie sie als IPv4-Adresse auf Hierarchieebene [edit interfaces reth1 unit 15 family inet] an10.15.2.2/24.

    Fügen Sie die vlan-id Anweisung ein, und geben Sie sie als VLAN-Kennung auf Hierarchieebene [edit interfaces reth1 unit 15] an15.

    Wiederholen Sie diesen Schritt für jede redundante übergeordnete Schnittstelle, indem Sie den entsprechenden redundanten übergeordneten Namen, die IPv4-Adresse und die VLAN-Kennung verwenden.

Konfigurieren des Clusters der SRX-Serie

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie Fabricverbindungen zwischen den Knoten im Cluster konfiguriert werden. Dieses Verfahren zeigt ein repräsentatives Beispiel der Konfiguration. Das Beispiel zeigt nicht die Konfiguration für jede Schnittstelle.

  1. Konfigurieren Sie die 10-Gigabit-Ethernet-Schnittstelle so, dass sie als Fabric zwischen den Clusterknoten dient.

    In diesem Beispiel wird als untergeordnete Fabricschnittstelle und fab0 als übergeordnete Fabricschnittstelle konfiguriertxe-1/0/1. Die Verbindung ist von SRX0 zu SRX1.

    Fügen Sie die Anweisung ein, und geben Sie die member-interfaces xe-1/0/1 Schnittstelle auf Hierarchieebene [edit interfaces fab0 fabric-options] an.

    Wiederholen Sie diesen Schritt für jede 10-Gigabit-Ethernet-Schnittstelle, die Teil der Cluster-Fabric ist, indem Sie den entsprechenden Namen der untergeordneten und übergeordneten Schnittstelle verwenden.

  2. Konfigurieren Sie die Anzahl der redundanten Ethernet-Schnittstellen, die der Cluster unterstützt.

    In diesem Beispiel wird die Anzahl der Schnittstellen konfiguriert 4 .

    Fügen Sie die reth-count Anweisung ein und geben Sie als Anzahl der Schnittstellen auf der [edit chassis cluster] Hierarchieebene an4.

    Wiederholen Sie diesen Schritt für jede Firewall der SRX-Serie im Cluster.

  3. Konfigurieren Sie die Knotenpriorität für die Redundanzgruppe, um zu bestimmen, welcher Knoten primär und welcher sekundär ist.

    In diesem Beispiel wird mit einer höheren Priorität konfiguriert node 0 .

    Fügen Sie die priority Anweisung ein, und geben Sie sie auf Hierarchieebene [edit chassis cluster redundancy-group 1 node 0] an200.

    Fügen Sie die priority Anweisung ein, und geben Sie sie auf Hierarchieebene [edit chassis cluster redundancy-group 1 node 1] an100.

    Wiederholen Sie diesen Schritt für jede Redundanzgruppe auf jeder Firewall der SRX-Serie im Cluster.

  4. Zulassen, dass ein Knoten mit einer höheren Priorität ein Failover initiiert, um der primäre Knoten für die Redundanzgruppe zu werden.

    Fügen Sie die preempt Anweisung auf Hierarchieebene [edit chassis cluster redundancy-group 1] ein.

    Wiederholen Sie diesen Schritt für jede Redundanzgruppe auf jeder Firewall der SRX-Serie im Cluster.

  5. Aktivieren Sie die automatische Wiederherstellung der Steuerverbindung.

    Fügen Sie die control-link-recovery Anweisung auf Hierarchieebene [edit chassis cluster] ein.

    Wiederholen Sie diesen Schritt für jede Redundanzgruppe auf jeder Firewall der SRX-Serie im Cluster.

  6. Aktivieren Sie die Schnittstellenüberwachung, um den Zustand der Schnittstellen zu überwachen und ein Redundanzgruppen-Failover auszulösen.

    In diesem Beispiel wird die xe-1/0/0 Schnittstelle mit einer Gewichtung von .255

    Fügen Sie die weight Anweisung auf Hierarchieebene [edit chassis cluster redundancy-group 1 interface-monitor xe-1/0/0] ein.

    Wiederholen Sie diesen Schritt für jede Redundanzgruppenschnittstelle auf jeder Firewall der SRX-Serie im Cluster.

Erstellen von Sicherheitszonen und Konfigurieren der Richtlinienaktion für eingehenden Datenverkehr

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie die vertrauenswürdigen und nicht vertrauenswürdigen Sicherheitszonen in der Firewall der SRX-Serie konfiguriert werden. Dieses Verfahren zeigt ein repräsentatives Beispiel der Konfiguration. Das Beispiel zeigt nicht die Konfiguration für jede Zone.

  1. Weisen Sie einer vertrauenswürdigen Zone eine redundante logische Ethernet-Schnittstelle zu.

    In diesem Beispiel wird die reth1.15 Schnittstelle der Trust2 Zone zugewiesen.

    Fügen Sie die interfaces Anweisung ein, und geben Sie sie als Schnittstelle in der Zone auf Hierarchieebene [edit security zones security-zone Trust2] anreth1.15.

    Wiederholen Sie diesen Schritt für jede vertrauenswürdige Sicherheitszone, indem Sie den entsprechenden Zonennamen und den Namen der redundanten logischen Ethernet-Schnittstelle verwenden.

  2. Weisen Sie den nicht vertrauenswürdigen Zonen eine redundante logische Ethernet-Schnittstelle zu.

    In diesem Beispiel wird die reth2.19 Schnittstelle der Untrust2 Zone zugewiesen.

    Fügen Sie die interfaces Anweisung ein, und geben Sie sie als Schnittstelle in der Zone auf Hierarchieebene [edit security zones security-zone Untrust2] anreth2.19.

    Wiederholen Sie diesen Schritt für jede nicht vertrauenswürdige Sicherheitszone, indem Sie den entsprechenden Zonennamen und den Namen der redundanten logischen Ethernet-Schnittstelle verwenden.

  3. Aktivieren Sie den gesamten eingehenden Systemdienstdatenverkehr in der Zone der vertrauenswürdigen Sicherheit.

    In diesem Beispiel werden alle Dienste für die Trust2 Zone aktiviert.

    Fügen Sie die Anweisung ein, und geben Sie die system-services all Option auf Hierarchieebene [edit security zones security-zone Trust2 host-inbound-traffic] an.

    Wiederholen Sie diesen Schritt für jede Sicherheitszone in der Firewall der SRX-Serie, in der Systemdienste zulässig sind.

  4. Aktivieren Sie alle Protokolle für eingehenden Datenverkehr in der vertrauenswürdigen Sicherheitszone.

    In diesem Beispiel werden alle Protokolle für die Trust2 Zone aktiviert.

    Fügen Sie die Anweisung ein, und geben Sie die protocols all Option auf Hierarchieebene [edit security zones security-zone Trust2 host-inbound-traffic] an.

    Wiederholen Sie diesen Schritt für jede Sicherheitszone in der Firewall der SRX-Serie, in der alle Protokolle für eingehenden Datenverkehr zugelassen sind.

Konfigurieren der Sicherheitszonenrichtlinien

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie die Sicherheitszonenrichtlinien für die Firewall der SRX-Serie konfiguriert werden. Dieses Verfahren zeigt ein repräsentatives Beispiel der Konfiguration. Das Beispiel zeigt nicht die Konfiguration für jede Richtlinie.

  1. Definieren Sie, aus welcher Zone der Datenverkehr kommt und in welche Zone der Datenverkehr für die zu erstellende Richtlinie geleitet wird.

    In diesem Beispiel wird die Von-Zone Trust2 als und die Bis-Zone als Untrust2definiert.

    Fügen Sie in einer einzelnen Befehlszeile die Anweisung ein und geben Sie an, schließen Sie die Anweisung ein und geben Sie an, schließen Sie die Anweisung ein und geben Sie sie als Richtliniennamen an, und schließen Sie Trust2Untrust2die policy to-zone match from-zone Anweisung auf Hierarchieebene [edit security policies] ein.denyftp

    Wiederholen Sie diesen Schritt für jede Richtlinie, die den Datenverkehr zwischen Zonen steuert.

  2. Konfigurieren Sie die Richtlinienübereinstimmungskriterien für die Verweigerung des Datenverkehrs.

    In diesem Beispiel wird die FTP-Anwendung von Junos OS von einer beliebigen Quell- zu einer beliebigen Zieladresse in einer Richtlinie mit dem Namen denyftp.

    Fügen Sie die source-address Anweisung ein, und geben Sie sie als IPv4-Adresse auf Hierarchieebene [edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match] anany.

    Fügen Sie die destination-address Anweisung ein, und geben Sie sie als IPv4-Adresse auf Hierarchieebene [edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match] anany.

    Fügen Sie die application Anweisung ein und geben Sie sie als Anwendung auf der [edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match] Hierarchieebene anjunos-ftp.

    Wiederholen Sie diesen Schritt für jede Protokollübereinstimmungsrichtlinie, indem Sie das richtige Protokoll verwenden.

  3. Blockieren Sie den Übergang bestimmter Anwendungen von der Trust2-Zone in die Untrust2-Zone.

    In diesem Beispiel wird die FTP-Anwendung von Junos OS von der Trust2 Zone zur Zone verweigert Untrust2 .

    Fügen Sie die deny Anweisung auf Hierarchieebene [edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp then] ein.

    Wiederholen Sie diesen Schritt für jede Ablehnungsrichtlinie.

  4. Konfigurieren Sie die Richtlinienübereinstimmungskriterien für das Zulassen von Datenverkehr.

    In diesem Beispiel wird eine beliebige Anwendung von einer beliebigen Quelle mit einer beliebigen Zieladresse in einer Richtlinie mit dem Namen allow_all.

    Fügen Sie die source-address Anweisung ein, und geben Sie sie als IPv4-Adresse auf Hierarchieebene [edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match] anany.

    Fügen Sie die destination-address Anweisung ein, und geben Sie sie als IPv4-Adresse auf Hierarchieebene [edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match] anany.

    Fügen Sie die application Anweisung ein und geben Sie sie als Anwendung auf der [edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match] Hierarchieebene anany.

    Wiederholen Sie diesen Schritt für jede Anwendung, die mit der Richtlinie übereinstimmt.

  5. Lassen Sie zu, dass jeglicher Anwendungsdatenverkehr von der Trust2-Zone zur Untrust2-Zone geleitet wird.

    In diesem Beispiel wird jeglicher Anwendungsdatenverkehr von der Trust2 Zone zur Untrust2 Zone zugelassen.

    Fügen Sie die permit Anweisung auf Hierarchieebene [edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all then] ein.

    Wiederholen Sie diesen Schritt für jede Genehmigungsrichtlinie.

Erstellen der Routing-Richtlinien

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie Routing-Richtlinien auf der Firewall der SRX-Serie erstellt werden, die auf die entsprechenden Routing-Instanzen angewendet werden können. Dieses Verfahren zeigt ein repräsentatives Beispiel der Konfiguration. Das Beispiel zeigt nicht die Konfiguration für jede Richtlinie.

  1. Erstellen Sie eine Richtlinie, um die lokale Einstellung für BGP-Routen auf 120 festzulegen.

    In diesem Beispiel wird eine Richtlinie mit dem Namen local-pref-120 erstellt, die den lokalen BGP-Einstellungswert für empfangene Routen, die von BGP angekündigt werden, auf festlegt 120.

    Fügen Sie die protocol Anweisung ein, und geben Sie sie als Wert auf der Hierarchieebene [edit policy-options policy-statement local-pref-120 term term1 from] anbgp.

    Fügen Sie die local-preference Anweisung ein, und geben Sie sie als Wert auf der Hierarchieebene [edit policy-options policy-statement local-pref-120 term term1 then] an120.

    Wiederholen Sie diesen Schritt für jede Firewall der SRX-Serie.

  2. Konfigurieren Sie die Übereinstimmungskriterien für eine Richtlinie, die so benannt ist default-ospf , dass sie alle aggregierten (generierten) Routen akzeptiert.

    Fügen Sie die protocol Anweisung ein, und geben Sie als Protokoll an aggregate , das auf der [edit policy-options policy-statement default-ospf term term1 from] Hierarchieebene abgeglichen werden soll.

    Fügen Sie die route-filter Anweisung ein, und geben Sie sie als Übereinstimmungskriterium auf Hierarchieebene [edit policy-options policy-statement default-ospf term term1 from] an0.0.0.0/0 exact.

    Wiederholen Sie diesen Schritt für jede Firewall der SRX-Serie.

  3. Konfigurieren Sie die Aktion für eine Richtlinie so, dass die Metrik auf festgelegt wird, und legen Sie den externen Routentyp auf 01fest.

    In diesem Beispiel wird eine Richtlinie mit dem Namen default-ospf konfiguriert, die die Metrik auf festlegt, die externe Route auf 0den Typ 1festlegt und aggregierte Routen in der Routingtabelle akzeptiert.

    Schließen Sie die metric Anweisung ein, und geben Sie sie als externen Typ auf der [edit policy-options policy-statement default-ospf term term1 then] Hierarchieebene an0.

    Fügen Sie die type Anweisung ein, und geben Sie sie als externen Routentyp auf Hierarchieebene [edit policy-options policy-statement default-ospf term term1 then external] an1.

    Fügen Sie die accept Anweisung auf Hierarchieebene [edit policy-options policy-statement default-ospf term term1 then] ein.

    Wiederholen Sie diesen Schritt für jede Firewall der SRX-Serie.

  4. Erstellen Sie eine Richtlinie, die OSPF-Routen mit angegebenen Präfixen akzeptiert.

    In diesem Beispiel wird eine Richtlinie mit dem Namen erstellt, die OSPF-Routen mit trust2-ebgp-out den Routenpräfixen akzeptiert, die den Subnetzen für jedes Vertrauens-VLAN entsprechen.

    Fügen Sie die protocol Anweisung ein und geben Sie sie als Protokoll auf der [edit policy-options policy-statement trust2-ebgp-out term term1 from] Hierarchieebene anospf.

    Fügen Sie die Anweisung ein, und geben Sie die route-filter VLAN-Subnetzadressen und das exact Schlüsselwort match auf Hierarchieebene [edit policy-options policy-statement trust2-ebgp-out term term1 from] an.

    Fügen Sie die accept Anweisung auf Hierarchieebene [edit policy-options policy-statement trust2-ebgp-out term term1 then] ein.

    Wiederholen Sie diesen Schritt für jede Firewall der SRX-Serie.

  5. Erstellen Sie eine Richtlinie, die BGP-Routen akzeptiert, wenn der Routentyp extern ist.

    In diesem Beispiel wird eine Richtlinie mit dem Namen check-bgp-routes erstellt, die BGP-Routen nur akzeptiert, wenn der Routentyp extern ist.

    Fügen Sie die protocol Anweisung ein und geben Sie sie als Protokoll auf der [edit policy-options policy-statement check-bgp-routes term term1 from] Hierarchieebene anbgp.

    Fügen Sie die Anweisung ein, und geben Sie die route-type external Option auf Hierarchieebene [edit policy-options policy-statement check-bgp-routes term term1 from] an.

    Fügen Sie die accept Anweisung auf Hierarchieebene [edit policy-options policy-statement check-bgp-routes term term1 then] ein.

    Wiederholen Sie diesen Schritt für jede Firewall der SRX-Serie.

  6. Erstellen Sie eine Richtlinie, die Routen von anderen Routing-Instanzen des virtuellen Routers akzeptiert.

    In diesem Beispiel wird eine Richtlinie mit dem Namen from_srx_vr1 erstellt, die Routen von Routinginstanzen SRX-VR1akzeptiert.

    Fügen Sie die instance Anweisung ein, und geben Sie den Namen der Routinginstanz auf Hierarchieebene [edit policy-options policy-statement from_srx_vr1 term term1 from] anSRX-VR1.

    Fügen Sie die accept Anweisung auf Hierarchieebene [edit policy-options policy-statement from_srx_vr1 term term1 then] ein.

    Wiederholen Sie diesen Schritt für jeden virtuellen Router in jeder Firewall der SRX-Serie.

Konfigurieren der Routinginstanz des virtuellen Routers

Schritt-für-Schritt-Anleitung

In diesem Verfahren wird erläutert, wie Sie eine einzelne Routinginstanz eines virtuellen Routers konfigurieren. Dieses Verfahren zeigt ein repräsentatives Beispiel der Beispielkonfiguration. Das Beispiel zeigt nicht die Konfiguration für jede Routinginstanz des virtuellen Routers.

  1. Konfigurieren Sie den Routing-Instance-Typ.

    In diesem Beispiel wird die Routinginstanz mit dem Namen SRX-VR2 konfiguriert.

    Fügen Sie die instance-type Anweisung ein, und geben Sie sie als Typ auf der [edit routing-instances SRX-VR2] Hierarchieebene anvirtual-router.

    Wiederholen Sie diesen Schritt für jeden virtuellen Router in jeder Firewall der SRX-Serie, indem Sie den entsprechenden Namen des virtuellen Routers verwenden.

  2. Fügen Sie die redundanten Ethernet-Schnittstellen hinzu, die von der Routing-Instanz des virtuellen Routers verwendet werden.

    In diesem Beispiel wird der SRX-VR2 Routinginstanz eine reth2.19 Schnittstelle hinzugefügtreth1.15.

    Fügen Sie die interface Anweisung ein, und geben Sie den Namen der redundanten Ethernet-Schnittstelle auf Hierarchieebene [edit routing-instances SRX-VR2] an.

    Wiederholen Sie diesen Schritt für jeden virtuellen Router in jeder Firewall der SRX-Serie, indem Sie den entsprechenden Namen des virtuellen Routers und die entsprechenden Schnittstellennamen verwenden.

  3. Konfigurieren Sie die Routing-Optionen, die von der Routing-Instanz des virtuellen Routers verwendet werden.

    In diesem Beispiel wird die autonome Systemnummer konfiguriert und die Funktion für einen ordnungsgemäßen Neustart auf der SRX-VR2 Routing-Instanz aktiviert.

    Fügen Sie die autonomous-system Anweisung ein und geben Sie sie als autonome Systemnummer auf der [edit routing-instances SRX-VR2 routing-options] Hierarchieebene an65019.

    Fügen Sie die graceful-restart Anweisung auf Hierarchieebene [edit routing-instances SRX-VR2 routing-options] ein.

    Wiederholen Sie diesen Schritt für jeden virtuellen Router in jeder Firewall der SRX-Serie, indem Sie den entsprechenden Namen des virtuellen Routers und die entsprechenden Schnittstellennamen verwenden.

  4. Wenden Sie die Routing-Richtlinie an, die externe BGP-Routen akzeptiert und als generierte Routen für die Routing-Instanz verwendet.

    In diesem Beispiel wird die benannte check-bgp-routes Richtlinie auf die SRX-VR2 Routinginstanz angewendet.

    Fügen Sie die policy Anweisung ein, und geben Sie sie auf Hierarchieebene [edit routing-instances SRX-VR2 routing-options generate route 0.0.0.0/0] ancheck-bgp-routes.

    Fügen Sie die graceful-restart Anweisung auf Hierarchieebene [edit routing-instances SRX-VR2 routing-options] ein.

    Wiederholen Sie diesen Schritt für jeden virtuellen Router in jeder Firewall der SRX-Serie, indem Sie den entsprechenden Namen des virtuellen Routers und die entsprechenden Schnittstellennamen verwenden.

  5. Wenden Sie die Routing-Richtlinie an, die Routen von anderen Routing-Instanzen akzeptiert.

    In diesem Beispiel wird die benannte from_srx_vr1 Richtlinie auf die SRX-VR2 Routinginstanz angewendet.

    Fügen Sie die instance-import Anweisung ein, und geben Sie sie auf Hierarchieebene [edit routing-instances SRX-VR2 routing-options] anfrom_srx_vr1.

    Wiederholen Sie diesen Schritt für jeden virtuellen Router in jeder Firewall der SRX-Serie mit Ausnahme der SRX-VR1-Instanz.

  6. Konfigurieren Sie die IGP-Protokollexportrichtlinie, die von der Routing-Instanz des virtuellen Routers in der vertrauenswürdigen Sicherheitszone verwendet wird.

    In diesem Beispiel wird die default-ospf Richtlinie konfiguriert.

    Fügen Sie die export Anweisung ein, und geben Sie sie als Richtliniennamen auf Hierarchieebene [edit routing-instances SRX-VR2 protocols ospf] andefault-ospf.

    Wiederholen Sie diesen Schritt für jeden virtuellen Router in jeder Firewall der SRX-Serie, indem Sie den entsprechenden Namen des virtuellen Routers und den entsprechenden Richtliniennamen verwenden.

  7. Konfigurieren Sie die aktiven und passiven Schnittstellen des IGP-Protokolls, die von der Routing-Instanz des virtuellen Routers in der vertrauenswürdigen Sicherheitszone verwendet werden.

    In diesem Beispiel wird die redundante Ethernet-Schnittstelle so konfiguriert, dass sie aktiv am OSPF-Protokollbereich 0.0.0.0 teilnimmt, und die redundante Ethernet-Schnittstelle für die reth1.15 reth2.19 passive Teilnahme.

    Fügen Sie die interface Anweisung ein, und geben Sie sie auf Hierarchieebene [edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0] anreth1.15.

    Fügen Sie die interface Anweisung ein, und geben Sie sie auf Hierarchieebene [edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0] anreth2.19.

    Fügen Sie die passive Anweisung auf Hierarchieebene [edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0 reth2.19] ein.

    Wiederholen Sie diesen Schritt für jeden virtuellen Router in jeder Firewall der SRX-Serie, indem Sie den entsprechenden Namen des virtuellen Routers und die entsprechenden Schnittstellennamen verwenden.

  8. Konfigurieren Sie die BGP-Protokoll-Peergruppen, die von der Routing-Instanz des virtuellen Routers in der nicht vertrauenswürdigen Sicherheitszone verwendet werden.

    Fügen Sie die Anweisung ein, und geben Sie die type external Option auf Hierarchieebene [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] an.

    Fügen Sie die Anweisung ein, und geben Sie die peer-as Nummer des Peerautonomen Systems auf Hierarchieebene [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] an64500.

    Fügen Sie die neighbor Anweisung ein, und geben Sie sie als IPv4-Nachbaradresse auf Hierarchieebene [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] an10.19.2.1. Die Nachbaradresse ist die Adresse der logischen IRB-Schnittstelle der VRF-Routing-Instanz auf dem Gerät der MX-Serie.

    Wiederholen Sie diesen Schritt für jeden virtuellen Router in jeder Firewall der SRX-Serie, indem Sie den entsprechenden Namen des virtuellen Routers, den Instance-Typ, die Nachbaradresse und die Peer-AS-Nummer verwenden.

  9. Konfigurieren Sie die Export- und Importrichtlinien für BGP-Protokoll-Peergruppen, die von der Routing-Instanz des virtuellen Routers in der nicht vertrauenswürdigen Sicherheitszone verwendet werden.

    Fügen Sie die export Anweisung ein, und geben Sie den Namen der Exportrichtlinie auf Hierarchieebene [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] antrust2-ebgp-out.

    Fügen Sie die import Anweisung ein, und geben Sie den Namen der Importrichtlinie auf Hierarchieebene [edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] anlocal-pref-120.

    Wiederholen Sie diesen Schritt für jeden virtuellen Router in jeder Firewall der SRX-Serie, indem Sie den entsprechenden Namen des virtuellen Routers, die Exportrichtlinie und die Importrichtlinie verwenden.

Ergebnisse

Die Konfigurationsschritte dieses Beispiels wurden abgeschlossen. Der folgende Abschnitt dient als Referenz.

Es folgt die entsprechende Beispielkonfiguration für das Gerät der EX-Serie.

Gerät der EX-Serie

Es folgt die entsprechende Beispielkonfiguration für das Gerät der MX-Serie.

Gerät der MX-Serie

Es folgt die entsprechende Beispielkonfiguration für die Firewall der SRX-Serie.

Firewall der SRX-Serie

Siehe auch

Zugehörige Dokumentation