Présentation des systèmes logiques primaires
Les systèmes logiques primaires peuvent créer un système logique utilisateur et configurer les ressources de sécurité du système logique utilisateur. Les systèmes logiques primaires attribuent les interfaces logiques aux systèmes logiques de l’utilisateur. Pour plus d’informations, consultez les sujets suivants :
Comprendre les systèmes logiques primaires et le rôle d’administrateur principal
Lorsque, en tant qu’administrateur principal, vous initialisez un pare-feu SRX Series exécutant des systèmes logiques, un système logique principal est créé au niveau racine. Vous pouvez vous connecter à l’équipement en tant que root et modifier le mot de passe racine.
Par défaut, toutes les ressources système sont attribuées au système logique principal et l’administrateur principal les alloue aux systèmes logiques des utilisateurs.
En tant qu’administrateur principal, vous gérez l’équipement et tous ses systèmes logiques. Vous gérez également le système logique principal et configurez les ressources qui lui sont attribuées. Plusieurs administrateurs principaux peuvent gérer un équipement exécutant des systèmes logiques.
Le rôle et les principales responsabilités de l’administrateur principal comprennent :
Créer des systèmes logiques utilisateur et configurer leurs administrateurs. Vous pouvez créer un ou plusieurs administrateurs système logiques d’utilisateur pour chaque système logique utilisateur.
Créer des comptes de connexion pour les utilisateurs pour tous les systèmes logiques et les affecter aux systèmes logiques appropriés.
Configurer un système logique d’interconnexion si vous souhaitez autoriser la communication entre les systèmes logiques sur l’équipement. Le système logique d’interconnexion agit comme un commutateur interne. Il ne nécessite pas d’administrateur.
Pour configurer un système logique d’interconnexion, vous configurez des interfaces lt-0/0/0 entre le système logique d’interconnexion et chaque système logique. Ces interfaces homologues permettent de mettre en place des tunnels.
Configuration des profils de sécurité pour provisionner des portions des ressources de sécurité du système aux systèmes logiques des utilisateurs et au système logique principal.
Seul l’administrateur principal peut créer, modifier et supprimer des profils de sécurité et les lier aux systèmes logiques.
Note:Un administrateur système logique utilisateur peut configurer l’interface, le routage et les ressources de sécurité allouées à son système logique.
Créer des interfaces logiques à attribuer aux systèmes logiques des utilisateurs. (L’administrateur système logique utilisateur configure des interfaces logiques attribuées à son système logique.)
Afficher et gérer les systèmes logiques des utilisateurs, selon les besoins, et supprimer les systèmes logiques utilisateur. Lorsqu’un système logique utilisateur est supprimé, ses ressources réservées allouées sont libérées pour être utilisées par d’autres systèmes logiques.
Configurer IDP, AppTrack, l’identification des applications et les fonctionnalités de pare-feu d’application. L’administrateur principal peut également utiliser le traçage et le débogage au niveau racine, et il peut effectuer des restaurations de validation. L’administrateur principal gère le système logique principal et configure toutes les fonctionnalités qu’un administrateur système logique utilisateur peut configurer pour ses propres systèmes logiques, notamment les instances de routage, les routes statiques, les protocoles de routage dynamique, les zones, les stratégies de sécurité, les écrans et l’authentification pare-feu.
Voir aussi
Présentation des tâches de configuration de l’administrateur principal des systèmes logiques SRX Series
Cette rubrique décrit les tâches de l’administrateur principal dans l’ordre dans lequel elles sont exécutées.
Un pare-feu SRX Series exécutant des systèmes logiques est géré par un administrateur principal. L’administrateur principal dispose des mêmes capacités que l’administrateur racine d’un pare-feu SRX Series qui n’exécute pas de systèmes logiques. Cependant, le rôle et les responsabilités de l’administrateur principal s’étendent au-delà de ceux des autres administrateurs de pare-feu SRX Series, car un pare-feu SRX Series exécutant des systèmes logiques est partitionné en systèmes logiques distincts, chacun avec ses propres ressources, configuration et gestion. L’administrateur principal est responsable de créer ces systèmes logiques utilisateur et de les provisionner avec des ressources.
Pour une présentation du rôle et des responsabilités de l’administrateur principal, voir Comprendre les systèmes logiques principaux et le rôle d’administrateur principal.
En tant qu’administrateur principal, vous effectuez les tâches suivantes pour configurer un pare-feu SRX Series exécutant des systèmes logiques :
Voir aussi
Exemple : configuration de plusieurs commutateurs VPLS et interfaces LT pour les systèmes logiques
Cet exemple montre comment interconnecter plusieurs systèmes logiques. Pour ce faire, plusieurs systèmes logiques sont configurés avec une connexion point à point d’interface de tunnel logique (LT) (Encapsulation Ethernet, Encapsulation Frame-Relay et commutateur de service LAN privé virtuel). Plus d’une interface LT sous un système logique et plusieurs commutateurs VPLS sont configurés pour passer le trafic sans quitter un pare-feu SRX Series. L’encapsulation trame-relais ajoute des informations d’identification de connexion de liaison de données (DLCI) à la trame donnée.
Exigences
Cet exemple utilise un pare-feu SRX Series exécutant Junos OS avec un système logique.
Avant de commencer :
Lisez la présentation des tâches de configuration de l’administrateur principal des systèmes logiques SRX Series pour comprendre comment et où cette procédure s’intègre dans le processus de configuration de l’administrateur principal.
Lisez le guide Comprendre les interfaces du système logique d’interconnexion et des tunnels logiques
Aperçu
Dans cet exemple, nous configurons plusieurs interfaces LT et plusieurs commutateurs VPLS sous un seul système logique.
Dans cet exemple, nous configurons également l’interconnexion de plusieurs systèmes logiques avec une connexion point à point d’interface LT (Encapsulation Ethernet et Encapsulation Frame-Relay).
La figure 1 illustre la topologie de l’interconnexion des systèmes logiques.
logiques d’interconnexion
Pour le système logique d’interconnexion avec connexion point à point d’interface LT (ethernet d’encapsulation), l’exemple configure des interfaces de tunnel logique lt-0/0/0. Cet exemple configure une zone de sécurité et attribue des interfaces aux systèmes logiques.
Les interfaces lt-0/0/0 des systèmes logiques d’interconnexion sont configurées avec Ethernet comme type d’encapsulation. Les interfaces peer lt-0/0/0 correspondantes dans les systèmes logiques sont configurées avec Ethernet comme type d’encapsulation. Un profil de sécurité est assigné aux systèmes logiques.
Pour les systèmes logiques d’interconnexion avec connexion point à point d’interface LT (encapsulation frame-relais), cet exemple configure des interfaces de tunnel logique lt-0/0/0. Cet exemple configure une zone de sécurité et attribue des interfaces aux systèmes logiques.
Les interfaces lt-0/0/0 des systèmes logiques d’interconnexion sont configurées avec trame-relais comme type d’encapsulation. Les interfaces peer lt-0/0/0 correspondantes dans les systèmes logiques sont configurées avec le type trame-relais comme type d’encapsulation. Un profil de sécurité est assigné aux systèmes logiques.
Pour interconnecter des systèmes logiques avec plusieurs commutateurs VPLS, cet exemple configure des interfaces de tunnel logique lt-0/0/0 avec des ethernet-vpls comme type d’encapsulation. Les interfaces et profils de sécurité peer lt-0/0 correspondants sont assignés aux systèmes logiques. Les instances de routage des commutateurs VPLS-1 et VPLS-2 sont également assignés aux systèmes logiques.
La figure 2 illustre la topologie des systèmes logiques d’interconnexion avec les commutateurs VPLS.
Figure 2 : Configuration des systèmes logiques d’interconnexion avec des commutateurs
VPLS
Note:Plusieurs interfaces LT peuvent être configurées dans un système logique.
Configuration
Pour configurer les interfaces du système logique, effectuez les tâches suivantes :
- Configuration de l’interconnexion des systèmes logiques avec connexion point à point d’interface de tunnel logique (Ethernet d’encapsulation)
- Configuration de l’interconnexion des systèmes logiques avec connexion point à point d’interface de tunnel logique (encapsulation frame-relais)
- Configuration de l’interconnexion des systèmes logiques avec plusieurs commutateurs VPLS
Configuration de l’interconnexion des systèmes logiques avec connexion point à point d’interface de tunnel logique (Ethernet d’encapsulation)
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set system security-profile SP-user logical-system LSYS2 set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 peer-unit 21 set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 family inet address 192.255.2.1/30 set logical-systems LSYS2 security zones security-zone LT interfaces lt-0/0/0.20 set system security-profile SP-user logical-system LSYS2A set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 encapsulation ethernet set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 peer-unit 20 set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 family inet address 192.255.2.2/30 set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match source-address any set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match destination-address any set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match application any set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT then permit set logical-systems LSYS2A security policies default-policy permit-all set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic system-services all set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic protocols all set logical-systems LSYS2A security zones security-zone LT interfaces lt-0/0/0.21
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface CLI Junos OS.
Définir un profil de sécurité et l’affecter à un système logique.
[edit] user@host# set system security-profile SP-user logical-system LSYS2
Définissez l’interface LT comme ethernet d’encapsulation dans le système logique.
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 encapsulation ethernet
Configurez une relation peer pour les systèmes logiques LSYS2.
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 peer-unit 21
Spécifiez l’adresse IP de l’interface LT.
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 family inet address 192.255.2.1/30
Définissez la zone de sécurité pour l’interface LT.
[edit] user@host# set logical-systems LSYS2 security zones security-zone LT interfaces lt-0/0/0.20
Définir un profil de sécurité et l’affecter à un système logique.
[edit] user@host# set system security-profile SP-user logical-system LSYS2A
Définissez l’interface LT comme ethernet d’encapsulation dans le système logique 2A.
[edit] user@host# set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 encapsulation ethernet
Configurez une relation peer pour les systèmes logiques LSYS2A.
[edit] user@host# set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 peer-unit 20
Spécifiez l’adresse IP de l’interface LT.
[edit] user@host# set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 family inet address 192.255.2.2/30
Configurez une stratégie de sécurité qui autorise le trafic de la zone LT à la zone LT de stratégie LT.
[edit] user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match source-address any user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match destination-address any user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match application any user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT then permit
Configurez une stratégie de sécurité qui autorise le trafic à partir de la stratégie par défaut.
[edit] user@host# set logical-systems LSYS2A security policies default-policy permit-all
Configurez des zones de sécurité.
[edit] user@host# set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic system-services all user@host# set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic protocols all user@host# set logical-systems LSYS2A security zones security-zone LT interfaces lt-0/0/0.21
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la
show logical-systems LSYS2commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show logical-systems LSYS2 interfaces { lt-0/0/0 { unit 20 { encapsulation ethernet; peer-unit 21; family inet { address 192.255.2.1/30; } } unit 22 { encapsulation ethernet; peer-unit 23; family inet { address 192.255.4.1/30; } } } } security { zones { security-zone LT { interfaces { lt-0/0/0.22; lt-0/0/0.20; } } } }
À partir du mode configuration, confirmez votre configuration en entrant la
show logical-systems LSYS2Acommande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show logical-systems LSYS2A interfaces { lt-0/0/0 { unit 21 { encapsulation ethernet; peer-unit 20; family inet { address 192.255.2.2/30; } } } } security { policies { from-zone LT to-zone LT { policy LT { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { permit-all; } } zones { security-zone LT { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.21; } } } }
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Configuration de l’interconnexion des systèmes logiques avec connexion point à point d’interface de tunnel logique (encapsulation frame-relais)
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set system security-profile SP-user logical-system LSYS3A set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 encapsulation frame-relay set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 dlci 16 set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 peer-unit 31 set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 family inet address 192.255.3.1/30 set logical-systems LSYS3 security zones security-zone LT interfaces lt-0/0/0.30 set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 encapsulation frame-relay set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 dlci 16 set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 peer-unit 30 set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 family inet address 192.255.3.2/30 set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match source-address any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match destination-address any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match application any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT then permit set logical-systems LSYS3A security policies default-policy permit-all set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic system-services all set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic protocols all set logical-systems LSYS3A security zones security-zone LT interfaces lt-0/0/0.31
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la manière d’y parvenir, consultez utilisation de l’éditeur cli en mode de configuration.
Définir un profil de sécurité et l’affecter à un système logique.
[edit] user@host# set system security-profile SP-user logical-system LSYS3A
Définissez l’interface LT comme trame-relais d’encapsulation dans le système logique.
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 encapsulation frame-relay
Configurez l’interface de tunnel logique en incluant le dlci.
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 dlci 16
Configurez une relation d’unité pair entre les interfaces LT, créant ainsi une connexion point à point.
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 peer-unit 31
Spécifiez l’adresse IP de l’interface LT.
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 family inet address 192.255.3.1/30
Définissez la zone de sécurité pour l’interface LT.
[edit] user@host# set logical-systems LSYS3 security zones security-zone LT interfaces lt-0/0/0.30
Définissez l’interface LT comme trame-relais d’encapsulation dans le système logique.
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 encapsulation frame-relay
Configurez l’interface de tunnel logique en incluant le dlci.
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 dlci 16
Configurez une relation d’unité pair entre les interfaces LT, créant ainsi une connexion point à point.
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 peer-unit 30
Spécifiez l’adresse IP de l’interface LT.
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 family inet address 192.255.3.2/30
Configurez une stratégie de sécurité qui autorise le trafic de la zone LT à la zone LT de stratégie LT.
[edit] user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match source-address any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match destination-address any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match application any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT then permit
Configurez une stratégie de sécurité qui autorise le trafic à partir de la stratégie par défaut.
[edit] user@host# set logical-systems LSYS3A security policies default-policy permit-all
Configurez des zones de sécurité.
[edit] user@host# set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic system-services all user@host# set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic protocols all user@host# set logical-systems LSYS3A security zones security-zone LT interfaces lt-0/0/0.31
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les
show logical-systems LSYS3commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show logical-systems LSYS3 interfaces { lt-0/0/0 { unit 30 { encapsulation frame-relay; dlci 16; peer-unit 31; family inet { address 192.255.3.1/30; } } } } security { zones { security-zone LT { interfaces { lt-0/0/0.30; } } } }
À partir du mode de configuration, confirmez votre configuration en entrant les
show logical-systems LSYS3Acommandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show logical-systems LSYS3A
interfaces { lt-0/0/0 { unit 31 { encapsulation frame-relay; dlci 16; peer-unit 30; family inet { address 192.255.3.2/30; } } } } security { policies { from-zone LT to-zone LT { policy LT { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { permit-all; } } zones { security-zone LT { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.31; } } } }
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Configuration de l’interconnexion des systèmes logiques avec plusieurs commutateurs VPLS
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set interfaces lt-0/0/0 unit 11 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 11 peer-unit 1 set interfaces lt-0/0/0 unit 12 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 12 peer-unit 2 set interfaces lt-0/0/0 unit 13 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 13 peer-unit 3 set interfaces lt-0/0/0 unit 23 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 23 peer-unit 22 set interfaces lt-0/0/0 unit 25 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 25 peer-unit 24 set routing-instances vpls-switch-1 instance-type vpls set routing-instances vpls-switch-1 interface lt-0/0/0.11 set routing-instances vpls-switch-1 interface lt-0/0/0.12 set routing-instances vpls-switch-1 interface lt-0/0/0.13 set routing-instances vpls-switch-2 instance-type vpls set routing-instances vpls-switch-2 interface lt-0/0/0.23 set routing-instances vpls-switch-2 interface lt-0/0/0.25 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 11 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 192.255.0.1/24 set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 peer-unit 12 set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 family inet address 192.255.0.2/24 set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 peer-unit 23 set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 family inet address 192.255.4.1/30 set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 encapsulation ethernet set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 peer-unit 13 set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 family inet address 192.255.0.3/24 set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 encapsulation ethernet set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 peer-unit 25 set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 family inet address 192.255.4.2/30 set system security-profile SP-user policy maximum 100 set system security-profile SP-user policy reserved 50 set system security-profile SP-user zone maximum 60 set system security-profile SP-user zone reserved 10 set system security-profile SP-user flow-session maximum 100 set system security-profile SP-user flow-session reserved 50 set system security-profile SP-user logical-system LSYS1 set system security-profile SP-user logical-system LSYS2 set system security-profile SP-user logical-system LSYS3 set system security-profile SP-user logical-system LSYS2B
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la manière d’y parvenir, consultez utilisation de l’éditeur cli en mode de configuration.
Configurez les interfaces lt-0/0/0.
[edit] user@host# set interfaces lt-0/0/0 unit 11 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 11 peer-unit 1 user@host# set interfaces lt-0/0/0 unit 12 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 12 peer-unit 2 user@host# set interfaces lt-0/0/0 unit 13 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 13 peer-unit 3 user@host# set interfaces lt-0/0/0 unit 23 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 23 peer-unit 22 user@host# set interfaces lt-0/0/0 unit 25 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 25 peer-unit 24
Configurez l’instance de routage pour les commutateurs VPLS et ajoutez-y des interfaces.
[edit] user@host# set routing-instances vpls-switch-1 instance-type vpls user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.11 user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.12 user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.13 user@host# set routing-instances vpls-switch-2 instance-type vpls user@host# set routing-instances vpls-switch-2 interface lt-0/0/0.23 user@host# set routing-instances vpls-switch-2 interface lt-0/0/0.25
Configurez LSYS1 avec l’interface lt-0/0/0.1 et peer lt-0/0/0.11.
[edit] user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 11 user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 192.255.0.1/24
Configurez LSYS2 avec l’interface lt-0/0/0.2 et peer lt-0/0/0.12.
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 encapsulation ethernet user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 peer-unit 12 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 family inet address 192.255.0.2/24 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 encapsulation ethernet user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 peer-unit 23 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 family inet address 192.255.4.1/30
Configurez LSYS3 avec l’interface lt-0/0/0.3 et peer lt-0/0/0.13
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 encapsulation ethernet user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 peer-unit 13 user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 family inet address 192.255.0.3/24
Configurez LSYS2B avec l’interface lt-0/0 et l’unité pair 24.
[edit] user@host# set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 encapsulation ethernet user@host# set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 peer-unit 25 user@host# set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 family inet address 192.255.4.2/30
Attribuez un profil de sécurité aux systèmes logiques.
[edit] user@host# set system security-profile SP-user policy maximum 100 user@host# set system security-profile SP-user policy reserved 50 user@host# set system security-profile SP-user zone maximum 60 user@host# set system security-profile SP-user zone reserved 10 user@host# set system security-profile SP-user flow-session maximum 100 user@host#set system security-profile SP-user flow-session reserved 50 user@host# set system security-profile SP-user logical-system LSYS1 user@host# set system security-profile SP-user logical-system LSYS2 user@host# set system security-profile SP-user logical-system LSYS3 user@host# set system security-profile SP-user logical-system LSYS2B
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant la
show interfaces lt-0/0/0commande , . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger[edit] user@host# show interfaces lt-0/0/0 unit 11 { encapsulation ethernet-vpls; peer-unit 1; } unit 12 { encapsulation ethernet-vpls; peer-unit 2; } unit 13 { encapsulation ethernet-vpls; peer-unit 3; } unit 23 { encapsulation ethernet-vpls; peer-unit 22; } unit 25 { encapsulation ethernet-vpls; peer-unit 24; }À partir du mode de configuration, confirmez votre configuration en entrant la
show routing-instancescommande , . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show routing-instances vpls-switch-1 { instance-type vpls; interface lt-0/0/0.11; interface lt-0/0/0.12; interface lt-0/0/0.13; } vpls-switch-2 { instance-type vpls; interface lt-0/0/0.23; interface lt-0/0/0.25; }À partir du mode de configuration, confirmez votre configuration en entrant la
show logical-systems LSYS1commande , . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show logical-systems LSYS1 interfaces { lt-0/0/0 { unit 1 { encapsulation ethernet; peer-unit 11; family inet { address 192.255.0.1/24; } } } }À partir du mode de configuration, confirmez votre configuration en entrant la
show logical-systems LSYS2commande , . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show logical-systems LSYS2 interfaces { lt-0/0/0 { unit 2 { encapsulation ethernet; peer-unit 12; family inet { address 192.255.0.2/24; } } unit 22 { encapsulation ethernet; peer-unit 23; family inet { address 192.255.4.1/30; } } } }À partir du mode de configuration, confirmez votre configuration en entrant la
show logical-systems LSYS3commande , . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show logical-systems LSYS3 interfaces { lt-0/0/0 { unit 3 { encapsulation ethernet; peer-unit 13; family inet { address 192.255.0.3/24; } } } }À partir du mode de configuration, confirmez votre configuration en entrant la
show logical-systems LSYS2Bcommande , . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show logical-systems LSYS2B interfaces { lt-0/0/0 { unit 24 { encapsulation ethernet; peer-unit 25; family inet { address 192.255.4.2/30; } } } }À partir du mode de configuration, confirmez votre configuration en entrant la
show system security-profilecommande , . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.[edit] user@host# show system security-profile SP-user { policy { maximum 100; reserved 50; } zone { maximum 60; reserved 10; } flow-session { maximum 100; reserved 50; } logical-system [ LSYS1 LSYS2 LSYS3 LSYS2B ]; }
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
- Vérification du profil de sécurité pour tous les systèmes logiques
- Vérification des interfaces LT pour tous les systèmes logiques
Vérification du profil de sécurité pour tous les systèmes logiques
But
Vérifiez le profil de sécurité de chaque système logique.
Action
Depuis le mode opérationnel, saisissez la show system security-profile security-log-stream-number logical-system all commande.
user@host> show system security-profile security-log-stream-number logical-system all
logical system name security profile name usage reserved maximum root-logical-system Default-Profile 2 0 2000 LSYS1 SP-user 1 10 60 LSYS2 SP-user 1 10 60 LSYS2B SP-user 1 10 60 LSYS3 SP-user 1 10 60
Sens
La sortie fournit l’utilisation et les valeurs réservées pour les systèmes logiques lorsque le flux de journalisation de la sécurité est configuré.
Vérification des interfaces LT pour tous les systèmes logiques
But
Vérifiez les interfaces pour les systèmes logiques.
Action
Depuis le mode opérationnel, saisissez la show interfaces lt-0/0/0 terse commande.
user@host> show interfaces lt-0/0/0 terse
Interface Admin Link Proto Local Remote lt-0/0/0 up up lt-0/0/0.1 up up inet 192.255.0.1/24 lt-0/0/0.2 up up inet 192.255.0.2/24 lt-0/0/0.3 up up inet 192.255.0.3/24 lt-0/0/0.11 up up vpls lt-0/0/0.12 up up vpls lt-0/0/0.13 up up vpls lt-0/0/0.22 up up inet 192.255.4.1/30 lt-0/0/0.23 up up vpls lt-0/0/0.24 up up inet 192.255.4.2/30 lt-0/0/0.25 up up vpls lt-0/0/0.32767 up up
Sens
Le résultat fournit l’état des interfaces LT. Toutes les interfaces LT sont disponibles.