Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Présentation des systèmes logiques

Les systèmes logiques vous permettent de partitionner un seul équipement en plusieurs contextes sécurisés qui exécutent des tâches indépendantes. Pour plus d’informations, consultez les rubriques suivantes :

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques.

Consultez la section Comportement du système logique spécifique à la plate-forme pour obtenir des notes relatives à votre plate-forme.

Comprendre les systèmes logiques des équipements de sécurité

Les systèmes logiques des appareils de sécurité vous permettent de partitionner un seul équipement en contextes sécurisés. Chaque système logique possède son propre domaine d’administration distinct, ses interfaces logiques, ses instances de routage, son pare-feu de sécurité et d’autres fonctionnalités de sécurité. En transformant un équipement de sécurité en appareil de système logique mutualisé, vous pouvez donner à divers départements, organisations, clients et partenaires, en fonction de votre environnement, l’utilisation privée d’une partie de ses ressources et une vue privée de l’équipement. À l’aide de systèmes logiques, vous pouvez partager le système et les ressources physiques de la machine sous-jacente entre les systèmes logiques d’utilisateur discrets et le système logique principal.

La partie supérieure de la figure 1 montre les trois principaux composants de configuration d’un système logique. La partie inférieure de la figure montre un seul périphérique avec un système logique principal et des systèmes logiques utilisateur distincts.

Les systèmes logiques comprennent les systèmes logiques principaux et utilisateurs ainsi que leurs administrateurs. Les rôles et responsabilités de l’administrateur principal et ceux de l’administrateur système logique de l’utilisateur diffèrent considérablement. Cette différenciation des privilèges et des responsabilités est considérée comme une administration et un contrôle basés sur les rôles.

Figure 1 : Comprendre les systèmes Hierarchical structure of a network device showing security, network, and routing configurations with master and user logical systems. logiques

Les systèmes logiques sur les équipements de sécurité offrent de nombreux avantages, vous permettant de :

  • Réduire les coûts. À l’aide de systèmes logiques, vous pouvez réduire le nombre d’appareils physiques nécessaires à votre entreprise. Comme vous pouvez consolider les services de différents groupes d’utilisateurs sur un seul appareil, vous réduisez à la fois les coûts matériels et les dépenses énergétiques.

  • Créez de nombreux systèmes logiques sur un seul appareil et provisionnez rapidement des ressources et des services pour eux. Étant donné que les services sont convergés, il est plus facile pour l’administrateur principal (ou racine) de gérer un seul équipement configuré pour les systèmes logiques que de gérer plusieurs équipements distincts.

Vous pouvez déployer un équipement de sécurité exécutant des systèmes logiques dans de nombreux environnements, en particulier dans l’entreprise et dans le centre de données.

  • Dans l’entreprise, vous pouvez créer et provisionner des systèmes logiques pour différents services et groupes.

    Vous pouvez configurer des systèmes logiques pour permettre la communication entre les groupes partageant l’appareil. Lorsque vous créez des systèmes logiques pour différents services sur le même appareil, les utilisateurs peuvent communiquer entre eux sans que le trafic ne quitte l’appareil si vous avez configuré un système logique d’interconnexion pour servir de commutateur interne. Par exemple, les membres du groupe de conception de produits, du service marketing et du service comptable qui partagent un équipement de sécurité exécutant des systèmes logiques peuvent communiquer entre eux comme ils le feraient si des appareils distincts étaient déployés pour leurs services. Vous pouvez configurer les systèmes logiques pour qu’ils s’interconnectent via des interfaces internes de tunnel logique (lt-0/0/0). Les interfaces lt-0/0/0 du système logique d’interconnexion se connectent à une interface lt-0/0/0 que vous configurez pour chaque système logique. Le système logique d’interconnexion commute le trafic entre les systèmes logiques. L’équipement de sécurité exécutant des systèmes logiques permet une interaction élevée et rapide entre tous les systèmes logiques créés sur l’équipement lorsqu’un système logique d’interconnexion est utilisé.

    Les systèmes logiques d’un même appareil peuvent également communiquer entre eux directement via les ports de l’appareil, comme s’il s’agissait d’appareils distincts. Bien que cette méthode permette des connexions directes entre les systèmes logiques, elle consomme plus de ressources (vous devez configurer des interfaces et un commutateur externe) et est donc plus coûteuse.

  • Dans le datacenter, en tant que fournisseur de services, vous pouvez déployer un équipement de sécurité exécutant des systèmes logiques pour offrir à vos clients des systèmes logiques utilisateur sécurisés et privés et une utilisation discrète des ressources de l’appareil.

    Par exemple, une entreprise peut avoir besoin de 10 systèmes logiques utilisateur et une autre de 20. Les systèmes logiques étant sécurisés, privés et autonomes, les données appartenant à un système logique ne peuvent pas être consultées par les administrateurs ou les utilisateurs d’autres systèmes logiques. En d’autres termes, les employés d’une société ne peuvent pas voir les systèmes logiques d’une autre société.

Remarque :

Pour utiliser le commutateur interne, qui est facultatif, vous devez également configurer un système logique d’interconnexion. Le système logique d’interconnexion ne nécessite pas d’administrateur.

Voir aussi

Fonctionnalités et limites des systèmes logiques

Cette rubrique présente des informations de base sur les fonctionnalités et les limites des systèmes logiques.

  • Vous pouvez configurer jusqu’à 32 profils de sécurité, de 1 à 32, l’ID 0 étant réservé au profil de sécurité par défaut configuré en interne. Lorsque le nombre maximal de profils de sécurité est atteint, si vous souhaitez ajouter un nouveau profil de sécurité, vous devez d’abord supprimer un ou plusieurs profils de sécurité existants, valider la configuration, puis créer le nouveau profil de sécurité et le valider. Vous ne pouvez pas ajouter un nouveau profil de sécurité et supprimer un profil existant dans une seule validation de configuration.

    Si vous souhaitez ajouter plusieurs nouveaux profils de sécurité, la même règle s’applique. Vous devez d’abord supprimer le nombre équivalent de profils de sécurité existants, valider la configuration, puis créer les nouveaux profils de sécurité et valider la configuration.

  • Vous pouvez configurer un ou plusieurs administrateurs principaux pour superviser l’administration de l’appareil et des systèmes logiques qu’ils configurent.

    En tant qu’administrateur principal d’un équipement de sécurité exécutant des systèmes logiques, vous avez le contrôle racine sur l’appareil, ses ressources et les systèmes logiques que vous créez. Vous allouez des ressources de sécurité, de mise en réseau et de routage aux systèmes logiques des utilisateurs. Vous pouvez configurer un système logique pour qu’il serve de système logique d’interconnexion VPLS (Virtual Private LAN Service). Le système logique d’interconnexion, qui n’est pas obligatoire, ne nécessite pas de ressources de sécurité. Toutefois, si vous configurez un système logique d’interconnexion, vous devez lui lier un profil de sécurité fictif. L’administrateur principal le configure ainsi que toutes les interfaces lt-0/0/0.

  • Un système logique utilisateur peut avoir un ou plusieurs administrateurs, appelés administrateurs de système logique utilisateur. L’administrateur principal crée des comptes de connexion pour ces administrateurs et les affecte à un système logique utilisateur. Actuellement, l’administrateur principal doit configurer tous les administrateurs système logiques de l’utilisateur. Le premier administrateur logique utilisateur affecté ne peut pas configurer d’administrateurs de système logique d’utilisateur supplémentaires pour son système logique. En tant qu’administrateur de système logique utilisateur, vous pouvez configurer les ressources affectées à votre système logique utilisateur, y compris les interfaces logiques attribuées par l’administrateur principal, les instances de routage et leurs routes, ainsi que les composants de sécurité. Vous pouvez afficher les informations de configuration uniquement pour votre système logique.

  • Un système logique peut inclure plusieurs instances de routage en fonction des ressources système disponibles.

  • Vous ne pouvez pas configurer la classe de service sur les interfaces lt-0/0/0.

  • La restauration de la validation n’est prise en charge qu’au niveau racine.

  • La classification de la qualité de service (QoS) entre les systèmes logiques interconnectés ne fonctionne pas.

  • L’administrateur principal peut configurer les passerelles de couche applicative (ALG) au niveau racine. La configuration est héritée par tous les systèmes logiques utilisateur. Les ALG peuvent également être configurés discrètement pour les systèmes logiques des utilisateurs.

  • L’administrateur principal peut configurer les stratégies IDP au niveau racine, puis appliquer une stratégie IDP à un système logique utilisateur.

  • Seul l’administrateur principal peut créer des comptes d’utilisateur et des ID de connexion pour les utilisateurs de tous les systèmes logiques. L’administrateur principal crée ces comptes d’utilisateur au niveau racine et les affecte aux systèmes logiques d’utilisateur appropriés.

  • Le même nom ne peut pas être utilisé dans deux systèmes logiques distincts. Par exemple, si logical-system1 inclut un utilisateur dont le nom d’utilisateur est Bob, les autres systèmes logiques de l’appareil ne peuvent pas inclure un utilisateur portant le nom d’utilisateur Bob.

  • La configuration des utilisateurs pour tous les systèmes logiques et tous les administrateurs de systèmes logiques utilisateur doit être effectuée au niveau racine par l’administrateur principal. Un administrateur de système logique utilisateur ne peut pas créer d’autres administrateurs de système logique utilisateur ou comptes d’utilisateur pour leurs systèmes logiques.

Voir aussi

Présentation du système logique d’interconnexion et des interfaces de tunnel logique

Cette rubrique couvre le système logique d’interconnexion qui sert de commutateur VPLS (Virtual Private LAN Service) interne reliant un système logique de l’appareil à un autre. La rubrique explique également comment les interfaces de tunnel logique (lt-0/0/0) sont utilisées pour connecter des systèmes logiques via le système logique d’interconnexion.

Un équipement exécutant des systèmes logiques peut utiliser un commutateur VPLS interne pour transmettre le trafic sans qu’il ne quitte l’équipement. Le système logique d’interconnexion commute le trafic entre les systèmes logiques qui l’utilisent. Bien qu’un commutateur virtuel soit généralement utilisé, il n’est pas obligatoire. Si vous choisissez d’utiliser un commutateur virtuel, vous devez configurer le système logique d’interconnexion. Il ne peut y avoir qu’un seul système logique d’interconnexion sur un équipement.

Pour que la communication entre les systèmes logiques de l’appareil se produise, vous devez configurer une interface lt-0/0/0 sur chaque système logique qui utilisera le commutateur interne, et vous devez l’associer à son homologue lt-0/0/0 sur le système logique d’interconnexion, créant ainsi un tunnel logique entre eux. Vous définissez une relation d’homologue à chaque extrémité du tunnel lorsque vous configurez les interfaces lt-0/0/0 du système logique.

Vous souhaiterez peut-être que tous les systèmes logiques de l’appareil puissent communiquer entre eux sans utiliser de commutateur externe. Vous pouvez également souhaiter que certains systèmes logiques se connectent sur le commutateur interne, mais pas tous.

Le système logique d’interconnexion ne nécessite pas de ressources de sécurité qui lui sont affectées par le biais d’un profil de sécurité. Toutefois, vous devez affecter un profil de sécurité fictif ne contenant aucune ressource au système logique d’interconnexion. Sinon, vous ne pourrez pas valider correctement la configuration pour celui-ci.

Avertissement :

Si vous configurez une interface lt-0/0/0 dans un système logique utilisateur ou le système logique principal et que vous ne configurez pas un système logique d’interconnexion contenant une interface lt-0/0/0 homologue pour celui-ci, la validation échouera.

Un équipement de sécurité exécutant des systèmes logiques peut être utilisé dans un cluster de châssis. Chaque nœud a la même configuration, y compris le système logique d’interconnexion.

Voir aussi

Comprendre le flux de paquets dans les systèmes logiques pour les équipements de Sécurité

Cette rubrique explique comment les paquets sont traités dans les sessions de flux sur les équipements de sécurité exécutant des systèmes logiques. Il décrit comment un dispositif de sécurité exécutant des systèmes logiques gère le trafic pass-through dans un système logique unique et entre systèmes logiques. Elle couvre également le trafic autonome en tant que trafic initié automatiquement au sein d’un système logique et le trafic autonome terminé sur un autre système logique. Avant d’aborder les systèmes logiques, la rubrique fournit des informations de base sur l’architecture du pare-feu en ce qui concerne le traitement des paquets et les sessions. Enfin, il aborde les sessions et la façon de modifier les caractéristiques de session.

Les concepts expliqués dans cet exemple reposent sur la topologie illustrée à la Figure 2.

Figure 2 : Systèmes logiques, leurs routeurs virtuels et leurs interfaces Network topology diagram showing logical systems and virtual routing instances. Internet connects to vr1-root system, linking to vr-ic hub. vr-ic connects ls-product-design with pd-vr1 and pd-vr2, and ls-marketing-dept with mk-vr1. PCs connect to respective systems.

Comprendre l’architecture des équipements de sécurité de Junos OS

Junos OS est un système distribué de traitement parallèle à haut débit et hautes performances. L’architecture de traitement parallèle distribué des passerelles de services comprend plusieurs processeurs pour gérer les sessions et exécuter le traitement de la sécurité et d’autres services. Cette architecture offre une plus grande flexibilité et permet un débit élevé et des performances rapides.

Une unité de traitement réseau (NPU) s’exécute sur un IOC. Un IOC a un ou plusieurs NPU. Une ou plusieurs unités de traitement de services (SPU) s’exécutent sur un SPC.

Ces unités de traitement ont des responsabilités différentes. Tous les services basés sur les flux d’un paquet sont exécutés sur une seule SPU. Sinon, cependant, les lignes ne sont pas clairement divisées en ce qui concerne les types de services qui fonctionnent sur ces processeurs. (Pour plus de détails sur le traitement basé sur les flux, voir Présentation du traitement du trafic sur les équipements de sécurité.)

Par exemple :

  • Une NPU traite les paquets discrètement. Il effectue des contrôles d’intégrité et applique au paquet certains écrans configurés pour l’interface, tels que les écrans de déni de service (DoS).

  • Une unité de protection individuelle gère la session pour le flux de paquets et applique des fonctions de sécurité et d’autres services au paquet. Il applique également des filtres de pare-feu sans état basés sur les paquets, des classificateurs et des traffic shapers au paquet.

  • Le système utilise un processeur comme point central pour s’occuper de l’arbitrage et de l’allocation des ressources et distribuer les sessions de manière intelligente. Le point central attribue une SPU à utiliser pour une session particulière lorsque le premier paquet de son flux est traité.

Ces parties distinctes et coopérantes du système, y compris le point central, stockent chacune les informations identifiant l’existence d’une session pour un flux de paquets et les informations par rapport auxquelles un paquet est mis en correspondance pour déterminer s’il appartient à une session existante.

Cette architecture permet à l’équipement de répartir le traitement de toutes les sessions entre plusieurs SPU. Il permet également à un NPU de déterminer si une session existe pour un paquet, de vérifier le paquet et de lui appliquer des écrans. La façon dont un paquet est traité varie selon qu’il s’agit ou non du premier paquet d’un flux.

Le traitement des paquets basé sur les flux traite les paquets associés ou un flux de paquets de la même manière. Le traitement des paquets dépend des caractéristiques établies pour le premier paquet du flux de paquets lorsque la session de flux est établie. La plupart des traitements de paquets ont lieu au sein d’un flux. Pour l’architecture de traitement distribué de la passerelle de services, une partie du traitement basé sur les paquets, comme la modélisation du trafic, a lieu sur le NPU. Certains traitements basés sur les paquets, tels que l’application de classificateurs à un paquet, ont lieu sur le SPU.

Les paramètres de configuration qui déterminent le sort d’un paquet (tels que la stratégie de sécurité qui s’applique à celui-ci, les passerelles de couche applicative (ALG) configurées pour celui-ci, si le NAT doit être appliqué pour traduire l’adresse IP source et/ou de destination du paquet, sont évalués pour le premier paquet d’un flux.

Création de sessions pour les équipements exécutant des systèmes logiques

L’établissement de sessions pour les équipements de sécurité exécutant des systèmes logiques diffère de manière mineure de celui des équipements de sécurité n’exécutant pas de systèmes logiques. Malgré la complexité des systèmes logiques, le trafic est traité de la même manière que sur les équipements de sécurité n’exécutant pas de systèmes logiques. Le traitement des paquets basé sur les flux, qui est dynamique, nécessite la création de sessions. Lorsque l’on considère le traitement basé sur les flux et l’établissement de sessions pour les systèmes logiques, il est utile de considérer chaque système logique de l’appareil comme un périphérique distinct par rapport à l’établissement de session.

Une session est créée, en fonction des informations de routage et d’autres informations de classification, pour stocker des informations et allouer des ressources à un flux. Fondamentalement, une session est établie lorsque le trafic pénètre dans une interface du système logique, une recherche de route est effectuée pour identifier l’interface de saut suivante et une recherche de stratégie est effectuée.

En option, les systèmes logiques vous permettent de configurer un commutateur logiciel interne. Ce commutateur LAN privé virtuel (VPLS) est implémenté en tant que système logique d’interconnexion. Elle permet au trafic de transit et au trafic terminé par un système logique de passer d’un système logique à l’autre. Pour permettre au trafic de passer d’un système logique à un autre, des interfaces de tunnel logique (lt-0/0/0) sont utilisées à travers le système logique d’interconnexion.

La communication entre les systèmes logiques sur le système logique d’interconnexion nécessite l’établissement de deux sessions : une pour le trafic qui entre dans un système logique et sort de son interface lt-0/0/0, et une pour le trafic qui entre dans l’interface lt-0/0/0 d’un autre système logique et quitte l’équipement via l’une de ses interfaces physiques ou lui est destiné.

Remarque :

La séquence des paquets se produit aux interfaces d’entrée et de sortie. Les paquets voyageant entre les systèmes logiques peuvent ne pas être traités dans l’ordre dans lequel ils ont été reçus sur l’interface physique.

Comprendre le flux sur les systèmes logiques

Pour comprendre comment le trafic est géré pour les systèmes logiques, il est utile de considérer chaque système logique comme un périphérique distinct.

Remarque :

Le trafic est traité pour le système logique principal de la même manière que pour les systèmes logiques utilisateur sur l’équipement.

Comprendre la classification des paquets

La classification des paquets est évaluée de la même manière pour les dispositifs de sécurité fonctionnant avec ou sans systèmes logiques. Les filtres et les fonctionnalités de classe de service sont généralement associés à une interface afin d’influencer les paquets autorisés à transiter par le système et d’appliquer des actions spéciales aux paquets si nécessaire. (Au sein d’un flux, une partie du traitement basé sur les paquets a également lieu sur une SPU.)

La classification des paquets est basée sur l’interface entrante et effectuée au point d’entrée. Le trafic d’une interface dédiée est classé dans le système logique qui contient cette interface. Dans le contexte d’un flux, la classification des paquets repose à la fois sur l’interface physique et sur l’interface logique.

Gestion du trafic pass-through pour les systèmes logiques

Pour les appareils de sécurité qui n’exécutent pas de systèmes logiques, le trafic pass-through est le trafic qui entre dans un équipement et en sort. Vous pouvez considérer le trafic pass-through pour les systèmes logiques de la même manière, mais comme ayant une dimension plus grande en raison de la nature d’un équipement mutualisé. Pour les appareils de sécurité exécutant des systèmes logiques, le trafic pass-through peut exister au sein d’un système logique ou entre systèmes logiques.

Trafic pass-through au sein d’un système logique

Pour le trafic pass-through au sein d’un système logique, le trafic arrive sur une interface appartenant à l’une des instances de routage virtuelles du système logique et est envoyé à une autre de ses instances de routage virtuelles. Pour quitter l’appareil, le trafic est envoyé vers une interface appartenant à la deuxième instance de routage virtuel. Le trafic ne transite pas entre les systèmes logiques, mais entre et sort de l’équipement dans un système logique unique. Le trafic pass-through au sein d’un système logique est transmis en fonction des tables de routage de chacune de ses instances de routage.

Examinons comment le trafic pass-through est géré au sein d’un système logique, compte tenu de la topologie illustrée à la Figure 2.

  • Lorsqu’un paquet arrive sur l’interface ge-0/0/5, il est identifié comme appartenant au système logique ls-product-design.

  • Étant donné que ge-0/0/5 appartient à l’instance de routage-vr1, la recherche de route est effectuée dans-vr1 avec-vr2 identifié comme le saut suivant.

  • Une deuxième recherche de route est effectuée dans-vr2 pour identifier l’interface de sortie à utiliser, dans ce cas ge-0/0/8.

  • Le paquet est envoyé ge-0/0/8 au réseau.

  • La recherche de stratégie de sécurité est effectuée dans ls-product-design et une session est établie.

Trafic pass-through entre les systèmes logiques

Le trafic pass-through entre les systèmes logiques est compliqué par le fait que chaque système logique possède une interface d’entrée et une interface de sortie que le trafic doit transiter. C’est comme si le trafic entrait et sortait de deux appareils.

Deux sessions doivent être établies pour le trafic pass-through entre les systèmes logiques. (Notez que la recherche de stratégie est effectuée dans les deux systèmes logiques).

  • Sur le système logique entrant, une session est établie entre l’interface entrante (une interface physique) et son interface de sortie (une interface lt-0/0/0).

  • Sur le système logique de sortie, une autre session est établie entre l’interface entrante (l’interface lt-0/0/0 du second système logique) et son interface de sortie (une interface physique).

Considérez comment le trafic pass-through est géré entre les systèmes logiques dans la topologie illustrée à la Figure 2.

  • Une session est établie dans le système logique entrant.

    • Lorsqu’un paquet arrive sur l’interface ge-0/0/5, il est identifié comme appartenant au système logique ls-product-design.

    • Étant donné que ge-0/0/5 appartient à l’instance de routage-vr1, la recherche de route est effectuée dans-vr1.

    • À la suite de la recherche, l’interface de sortie du paquet est identifiée comme lt-0/0/0.3 et le saut suivant est identifié comme lt-0/0/0.5, qui est l’interface d’entrée dans ls-marketing-dept.

    • Une session est établie entre ge-0/0/5 et lt-0/0/0.3.

  • Une session est établie dans le système logique sortant.

    • Le paquet est réinjecté dans le flux à partir de lt-0/0/0.5, et le contexte du système logique identifié comme ls-marketing-dept est dérivé de l’interface.

    • Le traitement des paquets se poursuit dans le système logique ls-marketing-dept.

    • Pour identifier l’interface de sortie, une recherche de route pour le paquet est effectuée dans les instances de routage mk-vr1.

    • L’interface sortante est identifiée comme ge-0/0/6 et le paquet est transmis de l’interface au réseau.

Gestion du trafic autonome

Le trafic autonome est le trafic qui provient d’un système logique sur l’appareil et qui est envoyé au réseau à partir de ce système logique ou se termine sur un autre système logique de l’appareil.

Trafic auto-initié

Le trafic auto-initié est généré à partir d’un contexte de système logique source et transféré directement au réseau à partir de l’interface du système logique.

Le processus suivant se produit :

  • Lorsqu’un paquet est généré dans un système logique, un processus de gestion du trafic est lancé dans le système logique.

  • Une recherche de route est effectuée pour identifier l’interface de sortie, puis une session est établie.

  • Le système logique effectue une recherche de stratégie et traite le trafic en conséquence.

  • Si nécessaire, une session de gestion est configurée.

Considérez comment le trafic auto-initié est géré sur les systèmes logiques en fonction de la topologie illustrée à la Figure 2.

  • Un paquet est généré dans le système logique ls-product-design et un processus de gestion du trafic est démarré dans le système logique.

  • Recherche de route effectuée dans-vr2 pour identifier l’interface de sortie comme ge-0/0/8.

  • Une session est établie.

  • Le paquet est transmis au réseau à partir de ge-0/0/8.

Trafic terminé sur un système logique

Lorsqu’un paquet pénètre dans l’appareil sur une interface appartenant à un système logique et qu’il est destiné à un autre système logique de l’appareil, le paquet est transféré entre les systèmes logiques de la même manière que le trafic pass-through. Toutefois, la recherche de route dans le deuxième système logique identifie l’interface de sortie locale comme destination du paquet. Par conséquent, le paquet est terminé sur le deuxième système logique en tant que trafic autonome.

  • Pour le trafic autonome terminé, deux recherches de stratégie sont effectuées et deux sessions sont établies.

    • Sur le système logique entrant, une session est établie entre l’interface entrante (une interface physique) et son interface de sortie (une interface lt-0/0/0).

    • Sur le système logique de destination, une autre session est établie entre l’interface entrante (l’interface lt-0/0/0 du deuxième système logique) et l’interface locale.

Considérez comment le trafic autonome terminé est géré entre les systèmes logiques dans la topologie illustrée à la figure 2.

  • Une session est établie dans le système logique entrant.

    • Lorsqu’un paquet arrive sur l’interface ge-0/0/5, il est identifié comme appartenant au système logique ls-product-design.

    • Étant donné que ge-0/0/5 appartient à l’instance de routage-vr1, la recherche de route est effectuée dans-vr1.

    • À la suite de la recherche, l’interface de sortie du paquet est identifiée comme lt-0/0/0.3 avec le saut suivant identifié comme lt-0/0/0.5, l’interface entrante dans ls-marketing-dept.

    • Une session est établie entre ge-0/0/5 et lt-0/0/0.3.

  • Une session de gestion est établie dans le système logique de destination.

    • Le paquet est réinjecté dans le flux à partir de lt-0/0/0.5, et le contexte du système logique identifié comme ls-marketing-dept est dérivé de l’interface.

    • Le traitement des paquets se poursuit dans le système logique ls-marketing-dept.

    • La recherche de route pour le paquet est effectuée dans l’instance de routage mk-vr1. Le paquet se termine dans le système logique de destination en tant que trafic autonome.

    • Une session de gestion est établie.

Comprendre le contrôle de limitation de session et de porte

Le module de flux des systèmes logiques limite les sessions et les portes pour garantir que ces ressources sont partagées équitablement entre les systèmes logiques. L’allocation des ressources et les limitations pour chaque système logique sont spécifiées dans le profil de sécurité lié au système logique.

  • Pour la limitation de session, le système vérifie le premier paquet d’une session par rapport au nombre maximal de sessions configurées pour le système logique. Si le maximum est atteint, l’équipement abandonne le paquet et consigne l’événement.

  • Pour la limitation de portes, l’appareil vérifie le premier paquet d’une session par rapport au nombre maximal de portes configurées pour le système logique. Si le nombre maximal de portes d’un système logique est atteint, l’équipement rejette la demande d’ouverture de porte et journalise l’événement.

Comprendre les sessions

Les sessions sont créées en fonction des informations de routage et d’autres informations de classification pour stocker des informations et allouer des ressources à un flux. Vous pouvez modifier certaines caractéristiques des sessions, par exemple lorsqu’une session est terminée. Par exemple, vous pouvez vous assurer qu’une table de session n’est jamais entièrement pleine pour vous protéger contre la tentative d’un attaquant de l’inonder et ainsi empêcher les utilisateurs légitimes de démarrer des sessions.

A propos de la configuration des sessions

En fonction du protocole et du service, une session est programmée avec une valeur de délai d’expiration. Par exemple, le délai d’expiration par défaut pour TCP est de 1800 secondes. Le délai d’expiration par défaut pour UDP est de 60 secondes. Lorsqu’un flux est arrêté, il est marqué comme non valide et son délai d’expiration est réduit à 10 secondes. Si aucun trafic n’utilise le Si aucun trafic n’utilise la session avant le délai d’expiration du service, la session est vieillie et libérée dans un pool de ressources commun pour être réutilisée.

Vous pouvez affecter la durée d’une session des manières suivantes :

  • Âgez les sessions, en fonction du niveau de remplissage de la table des sessions.

  • Définissez un délai d’expiration explicite pour les sessions TCP vieillissantes.

  • Configurez une session TCP pour qu’elle soit invalidée lorsqu’elle reçoit un message TCP RST (réinitialisation).

  • Vous pouvez configurer les sessions pour prendre en charge d’autres systèmes comme suit :

    • Désactivez les contrôles de sécurité des paquets TCP.

    • Modifiez la taille maximale du segment.

Voir aussi

Prise en charge des systèmes logiques et des systèmes de location pour les instances de pare-feu virtuel et de pare-feu virtuel 3.0

La configuration de chaque système logique crée un processus RPD (Routing Protocol Process) supplémentaire, qui consomme beaucoup de ressources CPU et mémoire.

  • Les instances de pare-feu virtuel et de pare-feu virtuel 3.0 avec une capacité de mémoire inférieure à 16 Go prennent en charge un système logique racine.

  • Les instances de pare-feu virtuel et de pare-feu virtuel 3.0 d’une capacité de mémoire de 16 Go ou plus prennent en charge les systèmes logiques, mais limitent les systèmes logiques à huit.

Le Tableau 1 décrit le nombre de systèmes logiques et de systèmes de location pris en charge sur différentes capacités de mémoire pour le pare-feu virtuel et le pare-feu virtuel 3.0.

Tableau 1 : Systèmes logiques et systèmes de location pris en charge sur différentes capacités de mémoire pour Virtual Firewall et Virtual Firewall 3.0.

Le type

4 Go

8 Go

16 Go ou plus

Systèmes logiques (y compris le système logique racine)

1

1

8

Systèmes de location

0

0

42

Systèmes logiques + Systèmes de locataires (comprend le système logique racine).

1

1

50
Remarque :

Seules les instances du pare-feu virtuel 3.0 prennent en charge les profils de sécurité flexibles basés sur la mémoire de l’appareil. Le nombre maximal de profils de sécurité pris en charge sur le pare-feu virtuel 3.0 est lié à sa mémoire. Pour plus d’informations, consultez Profils de sécurité pour les systèmes logiques.

Utilisez la commande suivante au niveau de la hiérarchie pour vous assurer qu’il [edit] y a au moins deux CPU dans le moteur de routage des instances Virtual Firewall et Virtual Firewall 3.0 : set security forwarding-options resource-manager cpu re 2.

Comportement du système logique spécifique à la plate-forme

Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques.

Utilisez le tableau suivant pour passer en revue les comportements spécifiques à votre plateforme :

Tableau 2 : comportement spécifique à la plate-forme

Plate-forme

Différence

SRX Series

  • Les pare-feu SRX4100 et SRX4200 qui prennent en charge les systèmes logiques prennent en charge les modes transparent et de routage.

  • Les pare-feu SRX4600 qui prennent en charge les systèmes logiques prennent en charge uniquement le mode de routage.

  • Les pare-feu SRX1500 qui prennent en charge les systèmes logiques peuvent configurer un maximum de 512 zones.

  • Gamme SRX5000 de pare-feu prenant en charge les systèmes logiques prend en charge les cartes d’E/S (IOC) et les cartes de traitement des services (SPC), chacune contenant des unités de traitement qui traitent un paquet lorsqu’il traverse l’appareil.

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libération
Descriptif
20.2R1
À partir de la version 20.1R1 de Junos OS, vous pouvez configurer les systèmes logiques et les systèmes de location sur les instances du pare-feu virtuel vSRX et du pare-feu virtuel vSRX 3.0.