Présentation des systèmes logiques principaux
Les systèmes logiques principaux peuvent créer un système logique utilisateur et configurer les ressources de sécurité du système logique utilisateur. Les systèmes logiques principaux affectent les interfaces logiques aux systèmes logiques utilisateur. Pour plus d’informations, consultez les rubriques suivantes :
Comprendre les systèmes logiques principaux et le rôle d’administrateur principal
Lorsque, en tant qu’administrateur principal, vous initialisez un pare-feu SRX Series exécutant des systèmes logiques, un système logique principal est créé au niveau racine. Vous pouvez vous connecter à l’appareil en tant que root et modifier le mot de passe root.
Par défaut, toutes les ressources système sont affectées au système logique principal et l’administrateur principal les alloue aux systèmes logiques utilisateur.
En tant qu’administrateur principal, vous gérez l’équipement et tous ses systèmes logiques. Vous gérez également le système logique principal et configurez les ressources qui lui sont affectées. Plusieurs administrateurs principaux peuvent gérer un équipement exécutant des systèmes logiques.
Le rôle et les principales responsabilités de l’administrateur principal sont les suivants :
Création de systèmes logiques utilisateur et configuration de leurs administrateurs. Vous pouvez créer un ou plusieurs administrateurs de système logique utilisateur pour chaque système logique utilisateur.
Créer des comptes de connexion pour les utilisateurs de tous les systèmes logiques et les affecter aux systèmes logiques appropriés.
Configuration d’un système logique d’interconnexion si vous souhaitez autoriser la communication entre les systèmes logiques de l’appareil. Le système logique d’interconnexion agit comme un commutateur interne. Il ne nécessite pas d’administrateur.
Pour configurer un système logique d’interconnexion, vous configurez des interfaces lt-0/0/0 entre le système logique d’interconnexion et chaque système logique. Ces interfaces homologues permettent d’établir des tunnels.
Configuration de profils de sécurité pour provisionner des parties des ressources de sécurité du système vers les systèmes logiques des utilisateurs et le système logique principal.
Seul l’administrateur principal peut créer, modifier et supprimer des profils de sécurité et les lier à des systèmes logiques.
Remarque :Un administrateur de système logique utilisateur peut configurer l’interface, le routage et les ressources de sécurité allouées à son système logique.
Création d’interfaces logiques à attribuer aux systèmes logiques des utilisateurs. (L’administrateur du système logique de l’utilisateur configure les interfaces logiques affectées à son système logique.)
Affichage et gestion des systèmes logiques utilisateur, selon les besoins, et suppression des systèmes logiques utilisateur. Lorsqu’un système logique utilisateur est supprimé, ses ressources réservées allouées sont libérées pour être utilisées par d’autres systèmes logiques.
Configuration des fonctionnalités d’IDP, d’AppTrack, d’identification des applications et de pare-feu d’application. L’administrateur principal peut également utiliser la trace et le débogage au niveau racine, et il peut effectuer des restaurations de validation. L’administrateur principal gère le système logique principal et configure toutes les fonctionnalités qu’un administrateur de système logique utilisateur peut configurer pour ses propres systèmes logiques, notamment les instances de routage, les routes statiques, les protocoles de routage dynamique, les zones, les stratégies de sécurité, les écrans et l’authentification du pare-feu.
Voir aussi
Systèmes logiques SRX Series Présentation des tâches de configuration de l’administrateur principal
Cette rubrique décrit les tâches de l’administrateur principal dans l’ordre dans lequel elles sont exécutées.
Un pare-feu SRX Series exécutant des systèmes logiques est géré par un administrateur principal. L’administrateur principal dispose des mêmes fonctionnalités que l’administrateur racine d’un pare-feu SRX Series qui n’exécute pas de systèmes logiques. Toutefois, le rôle et les responsabilités de l’administrateur principal s’étendent au-delà de ceux des autres administrateurs de pare-feu SRX Series, car un pare-feu SRX Series exécutant des systèmes logiques est partitionné en systèmes logiques distincts, chacun ayant ses propres ressources, configurations et problèmes de gestion. L’administrateur principal est responsable de la création de ces systèmes logiques utilisateur et de leur provisionnement en ressources.
Pour obtenir une vue d’ensemble du rôle et des responsabilités de l’administrateur principal, consultez Présentation des systèmes logiques principaux et du rôle d’administrateur principal.
En tant qu’administrateur principal, vous effectuez les tâches suivantes pour configurer un pare-feu SRX Series exécutant des systèmes logiques :
Voir aussi
Exemple : configuration de plusieurs commutateurs VPLS et interfaces LT pour des systèmes logiques
Cet exemple montre comment interconnecter plusieurs systèmes logiques. Pour ce faire, il faut configurer plusieurs systèmes logiques avec une interface de tunnel logique (LT) et connexion point à point (Ethernet d’encapsulation, relais de trame d’encapsulation et commutateur de service LAN privé virtuel). Plusieurs interfaces LT sous un système logique et plusieurs commutateurs VPLS sont configurés pour transmettre le trafic sans quitter un pare-feu SRX Series. L’encapsulation frame-relay ajoute des informations DLCI (data-link connection identifier) à la trame donnée.
Exigences
Cet exemple utilise un pare-feu SRX Series exécutant Junos OS avec système logique.
Avant de commencer :
-
Lisez la présentation des tâches de configuration de l’administrateur principal des systèmes logiques de la gamme SRX Series pour comprendre comment et où cette procédure s’intègre dans le processus global de configuration de l’administrateur principal.
-
Lisez Comprendre le système logique d’interconnexion et les interfaces de tunnel logique
Vue d’ensemble
Dans cet exemple, nous configurons plusieurs interfaces LT et plusieurs commutateurs VPLS dans un seul système logique.
Dans cet exemple, nous configurons également l’interconnexion de plusieurs systèmes logiques avec une connexion point à point d’interface LT (Encapsulation Ethernet et Encapsulation Frame-Relay).
La figure 1 montre la topologie de l’interconnexion des systèmes logiques.
logiques d’interconnexion
-
Pour le système logique d’interconnexion avec connexion point à point d’interface LT (encapsulation Ethernet), l’exemple configure les interfaces de tunnel logique lt-0/0/0. Cet exemple configure security-zone et affecte des interfaces aux systèmes logiques.
Les interfaces lt-0/0/0 des systèmes logiques d’interconnexion sont configurées avec Ethernet comme type d’encapsulation. Les interfaces lt-0/0/0 homologues correspondantes dans les systèmes logiques sont configurées avec Ethernet comme type d’encapsulation. Un profil de sécurité est affecté aux systèmes logiques.
-
Pour les systèmes logiques d’interconnexion avec connexion point à point d’interface LT (encapsulation frame-relay), cet exemple configure les interfaces de tunnel logique lt-0/0/0. Cet exemple configure security-zone et affecte des interfaces aux systèmes logiques.
Les interfaces lt-0/0/0 des systèmes logiques d’interconnexion sont configurées avec le relais de trame comme type d’encapsulation. Les interfaces lt-0/0/0 homologues correspondantes dans les systèmes logiques sont configurées avec Frame-Relay comme type d’encapsulation. Un profil de sécurité est affecté aux systèmes logiques.
-
Pour l’interconnexion de systèmes logiques avec plusieurs commutateurs VPLS, cet exemple configure les interfaces de tunnel logique lt-0/0/0 avec ethernet-vpls comme type d’encapsulation. Les interfaces et les profils de sécurité lt-0/0/0 correspondants sont affectés aux systèmes logiques. Les instances de routage des commutateurs VPLS-1 et VPLS-2 sont également affectées aux systèmes logiques.
La figure 2 montre la topologie des systèmes logiques d’interconnexion avec les commutateurs VPLS.
Figure 2 : configuration des systèmes logiques d’interconnexion avec les commutateurs
VPLS
Remarque :Plusieurs interfaces LT peuvent être configurées au sein d’un système logique.
La configuration
Pour configurer les interfaces du système logique, effectuez les tâches suivantes :
- Configuration de l’interconnexion des systèmes logiques avec l’interface de tunnel logique Connexion point à point (Encapsulation Ethernet)
- Configuration des systèmes logiques Interconnexion avec une interface de tunnel logique Connexion point à point (Encapsulation Frame-Relay)
- Configuration de l’interconnexion des systèmes logiques avec plusieurs commutateurs VPLS
Configuration de l’interconnexion des systèmes logiques avec l’interface de tunnel logique Connexion point à point (Encapsulation Ethernet)
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set system security-profile SP-user logical-system LSYS2 set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 peer-unit 21 set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 family inet address 192.255.2.1/30 set logical-systems LSYS2 security zones security-zone LT interfaces lt-0/0/0.20 set system security-profile SP-user logical-system LSYS2A set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 encapsulation ethernet set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 peer-unit 20 set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 family inet address 192.255.2.2/30 set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match source-address any set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match destination-address any set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match application any set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT then permit set logical-systems LSYS2A security policies default-policy permit-all set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic system-services all set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic protocols all set logical-systems LSYS2A security zones security-zone LT interfaces lt-0/0/0.21
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
-
Définissez un profil de sécurité et attribuez-le à un système logique.
[edit] user@host# set system security-profile SP-user logical-system LSYS2
-
Définissez l’interface LT en tant qu’encapsulation Ethernet dans le système logique.
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 encapsulation ethernet
-
Configurez une relation d’homologue pour les systèmes logiques LSYS2.
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 peer-unit 21
-
Spécifiez l’adresse IP de l’interface LT.
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 family inet address 192.255.2.1/30
-
Définissez la zone de sécurité de l’interface LT.
[edit] user@host# set logical-systems LSYS2 security zones security-zone LT interfaces lt-0/0/0.20
-
Définissez un profil de sécurité et attribuez-le à un système logique.
[edit] user@host# set system security-profile SP-user logical-system LSYS2A
-
Définissez l’interface LT comme encapsulation ethernet dans le système logique 2A.
[edit] user@host# set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 encapsulation ethernet
-
Configurez une relation d’homologue pour les systèmes logiques LSYS2A.
[edit] user@host# set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 peer-unit 20
-
Spécifiez l’adresse IP de l’interface LT.
[edit] user@host# set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 family inet address 192.255.2.2/30
-
Configurez une stratégie de sécurité qui autorise le trafic de la zone LT vers la zone LT de la stratégie LT.
[edit] user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match source-address any user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match destination-address any user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match application any user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT then permit
-
Configurez une stratégie de sécurité qui autorise le trafic à partir de la stratégie par défaut.
[edit] user@host# set logical-systems LSYS2A security policies default-policy permit-all
-
Configurez les zones de sécurité.
[edit] user@host# set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic system-services all user@host# set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic protocols all user@host# set logical-systems LSYS2A security zones security-zone LT interfaces lt-0/0/0.21
Résultats
-
À partir du mode configuration, confirmez votre configuration en entrant la
show logical-systems LSYS2commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show logical-systems LSYS2 interfaces { lt-0/0/0 { unit 20 { encapsulation ethernet; peer-unit 21; family inet { address 192.255.2.1/30; } } unit 22 { encapsulation ethernet; peer-unit 23; family inet { address 192.255.4.1/30; } } } } security { zones { security-zone LT { interfaces { lt-0/0/0.22; lt-0/0/0.20; } } } }
-
À partir du mode configuration, confirmez votre configuration en entrant la
show logical-systems LSYS2Acommande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show logical-systems LSYS2A interfaces { lt-0/0/0 { unit 21 { encapsulation ethernet; peer-unit 20; family inet { address 192.255.2.2/30; } } } } security { policies { from-zone LT to-zone LT { policy LT { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { permit-all; } } zones { security-zone LT { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.21; } } } }
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Configuration des systèmes logiques Interconnexion avec une interface de tunnel logique Connexion point à point (Encapsulation Frame-Relay)
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set system security-profile SP-user logical-system LSYS3A set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 encapsulation frame-relay set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 dlci 16 set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 peer-unit 31 set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 family inet address 192.255.3.1/30 set logical-systems LSYS3 security zones security-zone LT interfaces lt-0/0/0.30 set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 encapsulation frame-relay set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 dlci 16 set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 peer-unit 30 set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 family inet address 192.255.3.2/30 set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match source-address any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match destination-address any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match application any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT then permit set logical-systems LSYS3A security policies default-policy permit-all set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic system-services all set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic protocols all set logical-systems LSYS3A security zones security-zone LT interfaces lt-0/0/0.31
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
-
Définissez un profil de sécurité et attribuez-le à un système logique.
[edit] user@host# set system security-profile SP-user logical-system LSYS3A
-
Définissez l’interface LT en tant que relais de trame d’encapsulation dans le système logique.
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 encapsulation frame-relay
-
Configurez l’interface de tunnel logique en incluant le dlci.
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 dlci 16
-
Configurez une relation d’unité homologue entre les interfaces LT, créant ainsi une connexion point à point.
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 peer-unit 31
-
Spécifiez l’adresse IP de l’interface LT.
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 family inet address 192.255.3.1/30
-
Définissez la zone de sécurité de l’interface LT.
[edit] user@host# set logical-systems LSYS3 security zones security-zone LT interfaces lt-0/0/0.30
-
Définissez l’interface LT en tant que relais de trame d’encapsulation dans le système logique.
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 encapsulation frame-relay
-
Configurez l’interface de tunnel logique en incluant le dlci.
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 dlci 16
-
Configurez une relation d’unité homologue entre les interfaces LT, créant ainsi une connexion point à point.
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 peer-unit 30
-
Spécifiez l’adresse IP de l’interface LT.
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 family inet address 192.255.3.2/30
-
Configurez une stratégie de sécurité qui autorise le trafic de la zone LT vers la zone LT de la stratégie LT.
[edit] user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match source-address any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match destination-address any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match application any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT then permit
-
Configurez une stratégie de sécurité qui autorise le trafic à partir de la stratégie par défaut.
[edit] user@host# set logical-systems LSYS3A security policies default-policy permit-all
-
Configurez les zones de sécurité.
[edit] user@host# set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic system-services all user@host# set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic protocols all user@host# set logical-systems LSYS3A security zones security-zone LT interfaces lt-0/0/0.31
Résultats
-
Depuis le mode configuration, confirmez votre configuration en entrant les
show logical-systems LSYS3commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show logical-systems LSYS3 interfaces { lt-0/0/0 { unit 30 { encapsulation frame-relay; dlci 16; peer-unit 31; family inet { address 192.255.3.1/30; } } } } security { zones { security-zone LT { interfaces { lt-0/0/0.30; } } } }
-
Depuis le mode configuration, confirmez votre configuration en entrant les
show logical-systems LSYS3Acommandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show logical-systems LSYS3A
interfaces { lt-0/0/0 { unit 31 { encapsulation frame-relay; dlci 16; peer-unit 30; family inet { address 192.255.3.2/30; } } } } security { policies { from-zone LT to-zone LT { policy LT { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { permit-all; } } zones { security-zone LT { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.31; } } } }
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Configuration de l’interconnexion des systèmes logiques avec plusieurs commutateurs VPLS
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set interfaces lt-0/0/0 unit 11 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 11 peer-unit 1 set interfaces lt-0/0/0 unit 12 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 12 peer-unit 2 set interfaces lt-0/0/0 unit 13 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 13 peer-unit 3 set interfaces lt-0/0/0 unit 23 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 23 peer-unit 22 set interfaces lt-0/0/0 unit 25 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 25 peer-unit 24 set routing-instances vpls-switch-1 instance-type vpls set routing-instances vpls-switch-1 interface lt-0/0/0.11 set routing-instances vpls-switch-1 interface lt-0/0/0.12 set routing-instances vpls-switch-1 interface lt-0/0/0.13 set routing-instances vpls-switch-2 instance-type vpls set routing-instances vpls-switch-2 interface lt-0/0/0.23 set routing-instances vpls-switch-2 interface lt-0/0/0.25 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 11 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 192.255.0.1/24 set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 peer-unit 12 set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 family inet address 192.255.0.2/24 set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 peer-unit 23 set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 family inet address 192.255.4.1/30 set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 encapsulation ethernet set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 peer-unit 13 set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 family inet address 192.255.0.3/24 set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 encapsulation ethernet set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 peer-unit 25 set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 family inet address 192.255.4.2/30 set system security-profile SP-user policy maximum 100 set system security-profile SP-user policy reserved 50 set system security-profile SP-user zone maximum 60 set system security-profile SP-user zone reserved 10 set system security-profile SP-user flow-session maximum 100 set system security-profile SP-user flow-session reserved 50 set system security-profile SP-user logical-system LSYS1 set system security-profile SP-user logical-system LSYS2 set system security-profile SP-user logical-system LSYS3 set system security-profile SP-user logical-system LSYS2B
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode configuration.
-
Configurez les interfaces lt-0/0/0.
[edit] user@host# set interfaces lt-0/0/0 unit 11 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 11 peer-unit 1 user@host# set interfaces lt-0/0/0 unit 12 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 12 peer-unit 2 user@host# set interfaces lt-0/0/0 unit 13 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 13 peer-unit 3 user@host# set interfaces lt-0/0/0 unit 23 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 23 peer-unit 22 user@host# set interfaces lt-0/0/0 unit 25 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 25 peer-unit 24
-
Configurez l’instance de routage pour les commutateurs VPLS et ajoutez-y des interfaces.
[edit] user@host# set routing-instances vpls-switch-1 instance-type vpls user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.11 user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.12 user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.13 user@host# set routing-instances vpls-switch-2 instance-type vpls user@host# set routing-instances vpls-switch-2 interface lt-0/0/0.23 user@host# set routing-instances vpls-switch-2 interface lt-0/0/0.25
-
Configurez LSYS1 avec l’interface lt-0/0/0.1 et l’homologue lt-0/0/0.11.
[edit] user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 11 user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 192.255.0.1/24
-
Configurez LSYS2 avec l’interface lt-0/0/0.2 et l’homologue lt-0/0/0.12.
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 encapsulation ethernet user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 peer-unit 12 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 family inet address 192.255.0.2/24 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 encapsulation ethernet user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 peer-unit 23 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 family inet address 192.255.4.1/30
-
Configurer LSYS3 avec l’interface lt-0/0/0.3 et l’homologue lt-0/0/0.13
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 encapsulation ethernet user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 peer-unit 13 user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 family inet address 192.255.0.3/24
-
Configurez LSYS2B avec l’interface lt-0/0/0 et l’unité homologue 24.
[edit] user@host# set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 encapsulation ethernet user@host# set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 peer-unit 25 user@host# set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 family inet address 192.255.4.2/30
-
Attribuez un profil de sécurité aux systèmes logiques.
[edit] user@host# set system security-profile SP-user policy maximum 100 user@host# set system security-profile SP-user policy reserved 50 user@host# set system security-profile SP-user zone maximum 60 user@host# set system security-profile SP-user zone reserved 10 user@host# set system security-profile SP-user flow-session maximum 100 user@host#set system security-profile SP-user flow-session reserved 50 user@host# set system security-profile SP-user logical-system LSYS1 user@host# set system security-profile SP-user logical-system LSYS2 user@host# set system security-profile SP-user logical-system LSYS3 user@host# set system security-profile SP-user logical-system LSYS2B
Résultats
-
En mode configuration, confirmez votre configuration en entrant la
show interfaces lt-0/0/0commande , . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger[edit] user@host# show interfaces lt-0/0/0 unit 11 { encapsulation ethernet-vpls; peer-unit 1; } unit 12 { encapsulation ethernet-vpls; peer-unit 2; } unit 13 { encapsulation ethernet-vpls; peer-unit 3; } unit 23 { encapsulation ethernet-vpls; peer-unit 22; } unit 25 { encapsulation ethernet-vpls; peer-unit 24; } -
En mode configuration, confirmez votre configuration en entrant la
show routing-instancescommande , . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show routing-instances vpls-switch-1 { instance-type vpls; interface lt-0/0/0.11; interface lt-0/0/0.12; interface lt-0/0/0.13; } vpls-switch-2 { instance-type vpls; interface lt-0/0/0.23; interface lt-0/0/0.25; } -
En mode configuration, confirmez votre configuration en entrant la
show logical-systems LSYS1commande , . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show logical-systems LSYS1 interfaces { lt-0/0/0 { unit 1 { encapsulation ethernet; peer-unit 11; family inet { address 192.255.0.1/24; } } } } -
En mode configuration, confirmez votre configuration en entrant la
show logical-systems LSYS2commande , . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show logical-systems LSYS2 interfaces { lt-0/0/0 { unit 2 { encapsulation ethernet; peer-unit 12; family inet { address 192.255.0.2/24; } } unit 22 { encapsulation ethernet; peer-unit 23; family inet { address 192.255.4.1/30; } } } } -
En mode configuration, confirmez votre configuration en entrant la
show logical-systems LSYS3commande , . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show logical-systems LSYS3 interfaces { lt-0/0/0 { unit 3 { encapsulation ethernet; peer-unit 13; family inet { address 192.255.0.3/24; } } } } -
En mode configuration, confirmez votre configuration en entrant la
show logical-systems LSYS2Bcommande , . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show logical-systems LSYS2B interfaces { lt-0/0/0 { unit 24 { encapsulation ethernet; peer-unit 25; family inet { address 192.255.4.2/30; } } } } -
En mode configuration, confirmez votre configuration en entrant la
show system security-profilecommande , . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show system security-profile SP-user { policy { maximum 100; reserved 50; } zone { maximum 60; reserved 10; } flow-session { maximum 100; reserved 50; } logical-system [ LSYS1 LSYS2 LSYS3 LSYS2B ]; }
Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Pour confirmer que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification du profil de sécurité pour tous les systèmes logiques
- Vérification des interfaces LT pour tous les systèmes logiques
Vérification du profil de sécurité pour tous les systèmes logiques
Objet
Vérifiez le profil de sécurité de chaque système logique.
Mesures à prendre
À partir du mode opérationnel, entrez la show system security-profile security-log-stream-number logical-system all commande.
user@host> show system security-profile security-log-stream-number logical-system all
logical system name security profile name usage reserved maximum root-logical-system Default-Profile 2 0 2000 LSYS1 SP-user 1 10 60 LSYS2 SP-user 1 10 60 LSYS2B SP-user 1 10 60 LSYS3 SP-user 1 10 60
Signification
La sortie fournit l’utilisation et les valeurs réservées pour les systèmes logiques lorsque security-log-stream est configuré.
Vérification des interfaces LT pour tous les systèmes logiques
Objet
Vérifiez les interfaces des systèmes logiques.
Mesures à prendre
À partir du mode opérationnel, entrez la show interfaces lt-0/0/0 terse commande.
user@host> show interfaces lt-0/0/0 terse
Interface Admin Link Proto Local Remote lt-0/0/0 up up lt-0/0/0.1 up up inet 192.255.0.1/24 lt-0/0/0.2 up up inet 192.255.0.2/24 lt-0/0/0.3 up up inet 192.255.0.3/24 lt-0/0/0.11 up up vpls lt-0/0/0.12 up up vpls lt-0/0/0.13 up up vpls lt-0/0/0.22 up up inet 192.255.4.1/30 lt-0/0/0.23 up up vpls lt-0/0/0.24 up up inet 192.255.4.2/30 lt-0/0/0.25 up up vpls lt-0/0/0.32767 up up
Signification
La sortie fournit l’état des interfaces LT. Toutes les interfaces LT sont opérationnelles.