Présentation des systèmes de location
Un système de location prend en charge le routage, les services et les fonctionnalités de sécurité.
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques.
Consultez la section Système logique spécifique à la plate-forme et Comportement du système de location pour les notes relatives à votre plate-forme.
Voir la section Informations supplémentaires sur la plate-forme pour plus d’informations.
Comprendre les systèmes de location
Un système de locataire partitionne logiquement le pare-feu physique en pare-feu logiques distincts et isolés. Bien que similaires aux systèmes logiques, les systèmes de location présentent une évolutivité beaucoup plus élevée et moins de fonctionnalités de routage. Chaque système de locataire d’un appareil vous permet de contrôler un domaine d’administration distinct pour les services de sécurité. En transformant votre appareil en système mutualisé, vous pouvez permettre à divers services, organisations, clients et partenaires, en fonction de votre environnement, d’utiliser les ressources système de manière privée et logiquement séparée, et d’afficher la configuration de sécurité et les KPI spécifiques aux locataires. Un administrateur principal crée et gère tous les systèmes de location. La figure 1 montre un seul équipement avec un système logique principal et des systèmes de locataires distincts.
de location
- Différences entre les systèmes logiques et les systèmes de location
- Cas d’utilisation des systèmes logiques et des systèmes de location
- Scénarios de déploiement de systèmes multilocataires
- Avantages des systèmes de location
- Rôles et responsabilités de l’administrateur principal et de l’administrateur système du locataire
Différences entre les systèmes logiques et les systèmes de location
Le Tableau 1 décrit les principales différences entre les systèmes logiques et les systèmes de location.
| Fonctionnalité |
Systèmes logiques |
Systèmes de location |
|---|---|---|
| Prise en charge des fonctionnalités |
Prend en charge toutes les fonctionnalités de routage pour fournir des chemins de routage de données optimaux. |
Prend en charge les fonctionnalités de routage et la virtualisation de la sécurité à grande échelle pour isoler les environnements clients. |
| Processus de protocole de routage |
Chaque système logique a besoin d’une copie individuelle du processus du protocole de routage pour séparer logiquement les ressources d’un équipement. |
Le système logique principal dispose d’un processus de protocole de routage unique, qui est partagé par les systèmes locataires. Les instances de routage prises en charge par ce processus de protocole de routage unique permettent de séparer les ressources de sécurité sur le pare-feu. |
| Instance de routage |
Une instance de routage par défaut est automatiquement créée pour chaque système logique. |
Le routeur virtuel configuré dans un système de location est transmis en tant qu’instance de routage par défaut aux |
| Configuration de l’interface logique |
L’administrateur principal affecte les interfaces logiques et l’administrateur du système logique peut configurer les attributs d’interface. |
Un administrateur système de locataire ne peut pas configurer les interfaces logiques. L’administrateur principal affecte les interfaces logiques à un système de location. |
Cas d’utilisation des systèmes logiques et des systèmes de location
Un système logique est utilisé lorsque plusieurs routeurs virtuels sont requis. Par exemple, vous avez plusieurs connexions au réseau externe et elles ne peuvent pas coexister dans le même routeur virtuel. Les systèmes de location sont utilisés lorsque vous devez séparer des départements, des organisations ou des clients et chacun d’entre eux peut être limité à un seul routeur virtuel. La principale différence entre un système logique et un système de location est qu’un système logique prend en charge des fonctionnalités de routage avancées à l’aide de plusieurs instances de routage. En comparaison, un système de locataires ne prend en charge qu’une seule instance de routage, mais prend en charge le déploiement d’un nombre beaucoup plus élevé de locataires par système.
Scénarios de déploiement de systèmes multilocataires
Vous pouvez déployer un pare-feu SRX Series exécutant un système mutualisé dans de nombreux environnements, tels qu’un fournisseur de services de sécurité gérés (MSSP), un réseau d’entreprise ou un segment de filiale. Le Tableau 2 décrit les différents scénarios de déploiement et les rôles joués par les systèmes locataires dans ces scénarios.
| Scénarios de déploiement |
Rôles d’un système de location |
|---|---|
| Fournisseur de services de sécurité gérés (MSSP) |
|
| Réseau d’entreprise |
|
| Segment des filiales |
|
Avantages des systèmes de location
-
Réduisez les coûts en réduisant le nombre d’appareils physiques requis pour votre organisation. Vous pouvez consolider les services de différents groupes d’utilisateurs sur un seul appareil et réduire les coûts matériels, les dépenses énergétiques et l’espace rack.
-
Assurer l’isolation et la séparation logique au niveau du système de location. Offre la possibilité de séparer les systèmes de locataires avec une séparation administrative à grande échelle, dans laquelle chaque système de locataires peut définir ses propres contrôles et restrictions de sécurité sans affecter les autres systèmes de location.
Rôles et responsabilités de l’administrateur principal et de l’administrateur système du locataire
Un administrateur principal crée et gère tous les systèmes de location. Un système logique principal est créé au niveau racine et se voit attribuer un processus de protocole de routage unique. Bien que ce processus de protocole de routage soit partagé, les systèmes de location permettent la séparation logique des ressources sur le pare-feu. Par défaut, toutes les ressources système sont affectées au système logique principal et l’administrateur principal les alloue aux administrateurs du système de location.
Dans la référence de ligne de commande de Junos OS, le système logique principal est appelé système logique racine.
Un système de locataire est créé et sous-tend le système logique principal. Bien que tous les locataires du système logique principal partagent un processus de routage unique, chaque système de locataire dispose d’une seule instance de routage. Le Tableau 3 décrit les rôles et responsabilités de l’administrateur principal et de l’administrateur système du locataire.
| Rôles |
Définition |
Responsabilités |
|---|---|---|
| Administrateur principal |
Un compte d’utilisateur avec des privilèges de configuration et de vérification de superutilisateur pour tous les systèmes logiques et de location. |
|
| Administrateur système du locataire |
Un compte système de locataire avec tous les privilèges de configuration et de vérification.
Remarque :
Les privilèges de configuration et de vérification d’un administrateur système de locataire dépendent de l’autorisation qui lui a été attribuée par l’administrateur principal lors de la création de l’administrateur de système de locataire. Plusieurs administrateurs système de locataire peuvent être créés pour un système de locataire avec différents niveaux d’autorisation en fonction de vos besoins. |
Les privilèges suivants ne sont pas pris en charge par l’administrateur système du locataire :
|
Voir aussi
Présentation de la configuration du système de location
L’administrateur principal crée un système de location et désigne un administrateur pour la gestion de la gestion de la structure de location. Un système de location peut avoir plusieurs administrateurs. Les rôles et responsabilités d’un administrateur de système de locataire sont expliqués dans la section Présentation des systèmes de locataires.
L’administrateur principal configure les interfaces logiques et les affecte au système de location. Configurez une instance de routage et les protocoles de routage, et ajoutez des options pour l’instance de routage. Reportez-vous à la section Configuration d’une instance de routage pour un système de location.
Les systèmes de location disposent de leur propre base de données de configuration. Une fois la configuration réussie, les modifications sont fusionnées dans la base de données principale de chaque système de locataire. Plusieurs systèmes de locataires peuvent effectuer des modifications de configuration à la fois. Vous ne pouvez valider les modifications que pour un seul locataire à la fois. Si l’administrateur principal et un administrateur système de locataire effectuent simultanément des modifications de configuration, les modifications de configuration effectuées par l’administrateur principal remplacent les modifications de configuration effectuées par l’administrateur système de locataire.
Les étapes suivantes expliquent les tâches que l’administrateur du système de location effectue pour configurer les fonctionnalités de sécurité d’un système de location :
Configuration d’une instance de routage pour un système de location
Une instance de routage est un ensemble de tables de routage, d’interfaces et de paramètres de protocole de routage. Un ensemble d’interfaces appartenant à l’instance de routage et les paramètres du protocole de routage contrôlent les informations de l’instance de routage. Un système de location peut configurer l’instance de routage affectée et les interfaces qui appartiennent à l’instance de routage au sein d’un système de location.
Une seule instance de routage peut être créée pour un système de location.
La procédure suivante décrit les étapes de configuration d’une instance de routage et d’interfaces dans une table de routage pour un système de locataire :
Pour afficher la configuration du système TSYS1de location, exécutez la show tenants TSYS1 commande.
routing-instances {
r1 {
instance-type virtual-router;
interface lt-0/0/0.101;
interface xe-0/0/0.0;
interface xe-0/0/1.0;
routing-options {
router-id 1.1.1.101;
}
}
}
La show tenants TSYS1 commande affiche tous les paramètres d’instance de routage configurés pour le système TSYS1de location.
Comprendre le routage et les interfaces pour les systèmes de location
Une instance de routage est un ensemble de tables de routage, d’interfaces et de paramètres de protocole de routage. Les interfaces sont utilisées pour transférer les données de l’instance de routage et pour apprendre les informations de routage d’autres homologues (pare-feu SRX Series) à l’aide de protocoles de routage.
Une interface logique (IFL) peut être définie à l’un des niveaux suivants :
Niveau global (système logique racine)
Au niveau du système logique de l’utilisateur
Au niveau du système de location (à partir de la version 18.4R1 de Junos OS)
L’IFL définie au niveau global peut être utilisée soit dans le système logique racine, soit dans l’un des systèmes de locataire. L’IFL définie dans un système de location ne peut être utilisée que dans ce système de location.
L’instance de routage par défaut n’est pas disponible pour les systèmes de location. Ainsi, lorsqu’une instance de routage personnalisée est créée pour un système de locataire, toutes les interfaces définies dans ce système de locataire doivent être ajoutées à cette instance de routage.
Présentation : configuration du routage et des interfaces pour les systèmes de location
Cette présentation montre comment configurer les interfaces et les instances de routage pour un système de location.
Exigences
Avant de commencer :
Déterminez quelles interfaces logiques et, éventuellement, quelles interfaces de tunnel logique sont allouées. Voir Vue d’ensemble de la configuration du système de location.
Vue d’ensemble
La procédure suivante décrit les étapes de configuration d’une instance de routage et d’interfaces dans une table de routage au sein d’un système de location.
Cette rubrique configure les interfaces et les instances de routage décrites dans le Tableau 4.
Fonctionnalité |
Nom |
Paramètres de configuration |
|---|---|---|
Interface utilisateur |
GE-0/0/2.1 GE-0/0/2.2 GE-0/0/2.3 |
|
Instance de routage |
R1 R2 |
|
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit en mode configuration.
set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2.3 vlan-id 103 set interfaces ge-0/0/2.3 family inet address 10.0.0.3/24 set tenants TSYS1 set tenants TSYS1 interfaces ge-0/0/2.1 vlan-id 101 set tenants TSYS1 interfaces ge-0/0/2.1 family inet address 10.0.0.1/24 set tenants TSYS1 routing-instances r1 instance-type virtual-router set tenants TSYS1 routing-instances r1 interface ge-0/0/2.1 set tenants TSYS1 routing-instances r1 interface ge-0/0/2.3 set tenants TSYS2 set tenants TSYS2 interfaces ge-0/0/2.2 vlan-id 102 set tenants TSYS2 interfaces ge-0/0/2.2 family inet address 10.0.0.2/24 set tenants TSYS2 routing-instances r2 instance-type virtual-router set tenants TSYS2 routing-instances r2 interface ge-0/0/2.2
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
Pour configurer une interface et une instance de routage dans un système logique utilisateur :
Configurez les interfaces pour prendre en charge le balisage VLAN.
[edit] user@host# set interfaces ge-0/0/2 vlan-tagging
Configurez l’IFL au niveau racine.
[edit] set interfaces ge-0/0/2.3 vlan-id 103 set interfaces ge-0/0/2.3 family inet address 10.0.0.3/24
Créez un système de location nommé
TSYS1.[edit] user@host# set tenants TSYS1
Définissez l’interface dans le système de location TSYS1.
[edit] user@host# set tenants TSYS1 interfaces ge-0/0/2.1 vlan-id 101 user@host# set tenants TSYS1 interfaces ge-0/0/2.1 family inet address 10.0.0.1/24 user@host# set tenants TSYS1 routing-instances r1 interface ge-0/0/2.3
Créez une instance
r1de routage et attribuez le type d’instance de routage au système de location.[edit] user@host# set tenants TSYS1 routing-instances r1 instance-type virtual-router
Spécifiez le nom de l’interface de l’instance de routage.
[edit] user@host# set tenants TSYS1 routing-instances r1 interface ge-0/0/2.1
Créez un système de location nommé
TSYS2.[edit] user@host# set tenants TSYS2
Définissez l’interface dans le système de location TSYS2.
[edit] user@host# set tenants TSYS2 interfaces ge-0/0/2.2 vlan-id 102 user@host# set tenants TSYS2 interfaces ge-0/0/2.2 family inet address 10.0.0.2/24
Créez une instance
r2de routage et attribuez le type d’instance de routage au système de location.[edit] user@host# set tenants TSYS2 routing-instances r2 instance-type virtual-router
Spécifiez le nom de l’interface de l’instance de routage.
[edit] user@host# set tenants TSYS2 routing-instances r2 interface ge-0/0/2.2
Validez la configuration.
[edit] user@host# commit
Résultats
En mode configuration, confirmez votre configuration en entrant les show interfaces commandes and show tenants . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show interfaces
ge-0/0/2 {
vlan-tagging;
unit 3 {
vlan-id 103;
family inet {
address 10.0.0.3/24;
}
}
}
[edit]
user@host# show tenants
TSYS1 {
interfaces {
ge-0/0/2 {
unit 1 {
vlan-id 101;
family inet {
address 10.0.0.1/24;
}
}
}
}
routing-instances {
r1 {
instance-type virtual-router;
interface ge-0/0/2.1;
interface ge-0/0/2.3;
}
}
}
TSYS2 {
interfaces {
ge-0/0/2 {
unit 2 {
vlan-id 102;
family inet {
address 10.0.0.2/24;
}
}
}
}
routing-instances {
r2 {
instance-type virtual-router;
interface ge-0/0/2.2;
}
}
}
La show tenants commande affiche toutes les interfaces définies dans les systèmes TSYS1 de location et TSYS2, ainsi que les paramètres d’instance de routage configurés pour les deux systèmes de location.
user@host> show interfaces ge-0/0/2.1 detail
Logical interface ge-0/0/2.1 (Index 89) (SNMP ifIndex 548) (Generation 161)
Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.101 ] Encapsulation: ENET2
Tenant Name: TSYS1
Traffic statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Local statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Security: Zone: Null
Flow Statistics :
..............................
user@host> show interfaces ge-0/0/2.2 detail
Logical interface ge-0/0/2.2 (Index 90) (SNMP ifIndex 549) (Generation 162)
Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.102 ] Encapsulation: ENET2
Tenant Name: TSYS2
Traffic statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Local statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Security: Zone: Null
Flow Statistics :
Flow Input statistics :
Self packets : 0
ICMP packets : 0
VPN packets : ..............................
Présentation des profils de sécurité des systèmes de locataires (administrateurs principaux uniquement)
Les systèmes de location vous permettent de diviser virtuellement un pare-feu SRX Series pris en charge en plusieurs appareils, de les protéger contre les intrusions et les attaques, et de les protéger contre les conditions défectueuses en dehors de leur propre contexte. Pour protéger les systèmes de location, les ressources de sécurité sont configurées de la même manière que pour un périphérique distinct. Cependant, l’administrateur principal affecte des ressources aux systèmes de location.
Un pare-feu SRX Series exécutant des systèmes de locataires peut être partitionné en systèmes de locataires, systèmes de locataires interconnectés, si nécessaire, et système logique principal par défaut. Lorsque le système est initialisé, le système logique principal est créé à la racine. Toutes les ressources système lui sont affectées, créant ainsi un profil de sécurité du système logique principal par défaut. Pour distribuer les ressources de sécurité entre les systèmes de location, l’administrateur principal crée des profils de sécurité qui spécifient les ressources à allouer à un système de location. Seul l’administrateur principal peut configurer les profils de sécurité et les lier aux systèmes de location. L’administrateur du système de location utilise ces ressources pour le système de location respectif.
Les systèmes de location sont définis par les ressources qui leur sont allouées, notamment les composants de sécurité, les interfaces, l’instance de routage, les routes statiques et les protocoles de routage dynamique. L’administrateur principal configure les profils de sécurité et les affecte aux systèmes de location. Vous ne pouvez pas valider une configuration de système de locataire sans qu’un profil de sécurité ne lui soit affecté.
Cette rubrique comprend les sections suivantes :
- Profils de sécurité des systèmes de location
- Comprendre comment le système évalue l’affectation et l’utilisation des ressources sur les systèmes locataires
- Cas : Évaluations des ressources réservées attribuées par le biais de profils de sécurité
Profils de sécurité des systèmes de location
L’administrateur principal peut configurer et affecter un profil de sécurité à un ou plusieurs systèmes de locataires spécifiques. Le nombre maximal de profils de sécurité pouvant être configurés dépend de la capacité d’un pare-feu SRX Series. Lorsque le nombre maximal de profils de sécurité a été créé, vous devez supprimer un profil de sécurité et valider la modification de configuration avant de pouvoir créer et valider un autre profil de sécurité. Dans de nombreux cas, moins de profils de sécurité sont nécessaires, car vous pouvez lier un seul profil de sécurité à plusieurs systèmes locataires.
Les profils de sécurité vous permettent de :
Partagez de manière appropriée les ressources de l’appareil, y compris les stratégies, les zones, les adresses et les carnets d’adresses, les sessions de flux et diverses formes de NAT, entre tous les systèmes de location. Vous pouvez affecter différentes quantités d’une ressource aux systèmes de location et permettre aux systèmes de location d’utiliser efficacement les ressources.
Les profils de sécurité empêchent un système de locataire d’épuiser une ressource requise en même temps par d’autres systèmes de locataire. Les profils de sécurité protègent les ressources système critiques et maintiennent de meilleures performances parmi les systèmes des locataires lorsque l’équipement subit un flux de trafic important. Les profils de sécurité empêchent un système locataire de dominer l’utilisation des ressources et permettent aux autres systèmes locataires d’utiliser efficacement les ressources.
Configurez l’appareil de manière évolutive pour permettre la création de systèmes de location supplémentaires.
Vous devez supprimer le profil de sécurité d’un système de location avant de pouvoir supprimer le système de location.
Comprendre comment le système évalue l’affectation et l’utilisation des ressources sur les systèmes locataires
Pour provisionner un système de location avec des fonctionnalités de sécurité, l’administrateur principal configure un profil de sécurité qui spécifie la ressource pour chaque fonctionnalité de sécurité :
Quota réservé qui garantit que la quantité de ressources spécifiée est toujours disponible pour le système de location.
Quota maximal autorisé. Si un système de location nécessite des ressources supplémentaires qui dépassent le quota réservé, il peut utiliser les ressources configurées pour la quantité maximale globale si les ressources globales ne sont pas allouées aux autres systèmes de location. Le quota maximal autorisé ne garantit pas que la quantité spécifiée pour la ressource dans le profil de sécurité est disponible. Les systèmes de location doivent utiliser efficacement les ressources globales en fonction des ressources disponibles.
Si aucun quota réservé n’est configuré pour une ressource, la valeur par défaut est 0. Si aucun quota maximal autorisé n’est configuré pour une ressource, la valeur par défaut est le quota système global pour la ressource (les quotas système globaux dépendent de la plate-forme). L’administrateur principal doit configurer les valeurs de quota maximum autorisées appropriées dans les profils de sécurité afin que l’utilisation maximale des ressources d’un système de locataire spécifique n’ait pas d’impact négatif sur les autres systèmes de locataire configurés sur l’appareil.
Le système tient à jour un décompte de toutes les ressources allouées qui sont réservées, utilisées et rendues à nouveau disponibles lorsqu’un système de location est supprimé. Ce nombre détermine si des ressources sont disponibles pour les systèmes de locataires ou pour augmenter la quantité de ressources allouées aux systèmes de locataires existants par le biais de leurs profils de sécurité.
Les ressources configurées dans les profils de sécurité sont caractérisées en ressources statiques, modulaires ou dynamiques. Pour les ressources statiques, nous vous recommandons de définir un quota maximal pour une ressource égal ou proche de la quantité spécifiée comme quota réservé, afin de permettre une configuration évolutive des systèmes de location. Un quota maximal pour une ressource donne au système de locataires une plus grande flexibilité en accédant à une plus grande quantité de cette ressource, mais il limite la quantité de ressources disponibles pour les allouer à d’autres systèmes de locataires.
Les ressources de fonctionnalités de sécurité suivantes peuvent être spécifiées dans un profil de sécurité :
Zones de sécurité
Adresses et carnets d’adresses pour les stratégies de sécurité
Ensembles de règles de pare-feu applicatifs
Règles de pare-feu applicatifs
Authentification par pare-feu
Sessions de flux et portes
NAT, y compris :
Fixations NAT coniques
Règle de destination NAT
Pool de destination NAT
Adresse IP NAT dans le pool source sans traduction d’adresse de port (PAT)
Remarque :Les adresses IPv6 dans les pools sources IPv6 sans PAT ne sont pas incluses dans les profils de sécurité.
Adresse IP NAT dans le pool source avec PAT
Surcharge de ports NAT
Pool source NAT
Règle source NAT
Règle statique NAT
Toutes les ressources, à l’exception des sessions de flux, sont statiques.
Vous pouvez modifier dynamiquement le profil de sécurité d’un système de location lorsque le profil de sécurité est affecté à d’autres systèmes de location. Toutefois, pour s’assurer que le quota de ressources système n’est pas dépassé, le système prend les mesures suivantes :
Si un quota statique est modifié, le processus système qui gère le nombre de ressources spécifiées dans les profils de sécurité réévalue ensuite les profils de sécurité affectés au profil associé au quota statique. Cette vérification identifie le nombre de ressources affectées sur tous les systèmes de location pour déterminer si les ressources allouées, y compris leurs montants accrus, sont disponibles.
Ces vérifications de quota sont les mêmes que celles effectuées par le système lorsque vous ajoutez un système de locataire et que vous lui liez un profil de sécurité. Ils sont également effectués lorsque vous liez un profil de sécurité différent du profil de sécurité qui lui est actuellement affecté à un système de locataire existant (ou au système logique principal).
Si un quota dynamique est révisé, aucun contrôle n’est effectué, mais le quota révisé est imposé à l’utilisation future des ressources.
Cas : Évaluations des ressources réservées attribuées par le biais de profils de sécurité
Pour comprendre comment le système évalue l’allocation des ressources réservées par le biais de profils de sécurité, considérez les trois cas suivants, expliqués dans le tableau 6 , qui traitent de l’allocation des ressources et des zones. Pour garder l’exemple simple, 10 zones sont allouées dans security-profile-1 : 4 zones réservées et 6 zones maximales. Cet exemple suppose que la quantité maximale spécifiée (six zones) est disponible pour les systèmes de location. Le nombre maximal de zones du système est de 10.
Les trois cas concernent la configuration des systèmes de location. Les trois cas vérifient la réussite ou l’échec d’une configuration lorsqu’elle est validée en fonction de l’allocation des zones.
Le Tableau 5 présente les profils de sécurité et leur répartition des zones.
Deux profils de Sécurité utilisés dans les cas de configuration |
|---|
profil_de_sécurité-1
Remarque :
L’administrateur principal augmente dynamiquement le nombre de zones réservées spécifié dans ce profil ultérieurement. |
profil de système logique primaire
|
Le Tableau 6 illustre la façon dont le système évalue les ressources réservées pour les zones des systèmes de locataires en fonction des configurations des profils de sécurité.
La configuration du premier cas réussit, car le quota de ressources réservées cumulées pour les zones configurées dans les profils de sécurité liés à tous les systèmes de locataires est de 8, ce qui est inférieur au quota de ressources maximal du système.
La configuration du second cas échoue car le quota de ressources réservées cumulées pour les zones configurées dans les profils de sécurité liés à tous les systèmes logiques est de 12, ce qui est supérieur au quota de ressources maximal du système.
La configuration du troisième cas échoue, car le quota de ressources réservées cumulées pour les zones configurées dans les profils de sécurité liés à tous les systèmes de locataire est de 12, ce qui est supérieur au quota de ressources maximal du système.
Vérification des quotas de ressources réservées sur les systèmes de location |
|---|
Exemple 1 : Réussite Cette configuration est limitée : 4+4+0=8, capacité maximale =10. Profils de sécurité utilisés
|
Exemple 2 : Échecs Cette configuration est hors limites : 4+4+4=12, capacité maximale =10.
Profils de sécurité
|
Exemple 3 : Échecs Cette configuration est hors limites : 6+6=12, capacité maximale =10. L’administrateur principal modifie le quota de zones réservées dans security-profile-1, ce qui porte le nombre à 6.
|
Exemple : Création de systèmes de location, d’administrateurs de systèmes de location et d’un commutateur VPLS d’interconnexion
Cet exemple montre comment créer des systèmes de location, des administrateurs de système de location et un commutateur VPLS d’interconnexion. Seul l’administrateur principal peut créer des comptes de connexion utilisateur pour les administrateurs système des locataires et interconnecter le commutateur VPLS.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
-
Pare-feu SRX Series.
-
Junos OS version 18.4R1 et versions ultérieures.
-
Avant de commencer à créer les systèmes de location, les administrateurs de système de location et un commutateur VPLS d’interconnexion, lisez Présentation des systèmes de location pour comprendre comment cette tâche s’intègre dans le processus de configuration global.
Vue d’ensemble
Cet exemple montre comment créer les systèmes TSYS1de location , TSYS2et TSYS3, ainsi que les administrateurs de système de location correspondants. Vous pouvez créer plusieurs administrateurs de système de location pour un système de location avec différents niveaux d’autorisation en fonction de vos besoins.
Cette rubrique couvre également l’interconnexion du commutateur VPLS (Virtual Private LAN Service) qui relie un système de locataire à un autre sur le même appareil. Le commutateur VPLS permet au trafic de transit et au trafic terminé sur un système locataire de passer d’un système à l’autre. Pour permettre au trafic de passer entre les systèmes locataires, des interfaces de tunnel logique (lt-0/0/0) doivent être configurées dans le même sous-réseau.
Topologie
La figure 2 montre un pare-feu SRX Series déployé et configuré pour les systèmes de location. L’exemple de configuration utilise le routage statique pour permettre aux PC d’atteindre Internet.
VPLS
Configuration rapide complète de SRX
Configuration des systèmes logiques et de location, et interconnexion des commutateurs VPLS
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne et modifiez tous les détails nécessaires pour correspondre à votre configuration réseau afin d’inclure les interfaces et les mots de passe utilisateur. Copiez et collez ensuite les commandes dans la CLI au niveau de la [edit] hiérarchie et entrez en commit mode configuration.
set system login class TSYS1admin1 tenant TSYS1 set system login class TSYS1admin1 permissions all set system login class TSYS2admin1 tenant TSYS2 set system login class TSYS2admin1 permissions all set system login class TSYS3admin1 tenant TSYS3 set system login class TSYS3admin1 permissions all set system login user TSYS1admin1 uid 2001 set system login user TSYS1admin1 class TSYS1admin1 set system login user TSYS1admin1 authentication encrypted-password "$ABC123" set system login user TSYS2admin1 uid 2003 set system login user TSYS2admin1 class TSYS2admin1 set system login user TSYS2admin1 authentication encrypted-password "$ABC123" set system login user TSYS3admin1 uid 2005 set system login user TSYS3admin1 class TSYS3admin1 set system login user TSYS3admin1 authentication encrypted-password "$ABC123" set system security-profile SP0 logical-system root-ls set system security-profile SP1 tenant TSYS1 set system security-profile SP2 tenant TSYS2 set system security-profile SP3 tenant TSYS3 set logical-systems root-ls interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set logical-systems root-ls interfaces lt-0/0/0 unit 0 encapsulation ethernet set logical-systems root-ls interfaces lt-0/0/0 unit 0 peer-unit 100 set logical-systems root-ls interfaces lt-0/0/0 unit 0 family inet address 10.0.1.10/24 set logical-systems root-ls routing-options static route 192.168.1.0/24 next-hop 10.0.1.1 set logical-systems root-ls routing-options static route 192.168.2.0/24 next-hop 10.0.1.2 set logical-systems root-ls routing-options static route 192.168.3.0/24 next-hop 10.0.1.3 set logical-systems root-ls security address-book global address TSYS1 192.168.1.0/24 set logical-systems root-ls security address-book global address TSYS2 192.168.2.0/24 set logical-systems root-ls security address-book global address TSYS3 192.168.3.0/24 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS1 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS2 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS3 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match destination-address any set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match application any set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out then permit set logical-systems root-ls security zones security-zone trust host-inbound-traffic system-services ping set logical-systems root-ls security zones security-zone trust interfaces lt-0/0/0.0 set logical-systems root-ls security zones security-zone untrust host-inbound-traffic system-services ping set logical-systems root-ls security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces lt-0/0/0 unit 1 encapsulation ethernet set interfaces lt-0/0/0 unit 1 peer-unit 101 set interfaces lt-0/0/0 unit 1 family inet address 10.0.1.1/24 set interfaces lt-0/0/0 unit 2 encapsulation ethernet set interfaces lt-0/0/0 unit 2 peer-unit 102 set interfaces lt-0/0/0 unit 2 family inet address 10.0.1.2/24 set interfaces lt-0/0/0 unit 3 encapsulation ethernet set interfaces lt-0/0/0 unit 3 peer-unit 103 set interfaces lt-0/0/0 unit 3 family inet address 10.0.1.3/24 set interfaces lt-0/0/0 unit 100 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 100 peer-unit 0 set interfaces lt-0/0/0 unit 101 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 101 peer-unit 1 set interfaces lt-0/0/0 unit 102 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 102 peer-unit 2 set interfaces lt-0/0/0 unit 103 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 103 peer-unit 3 set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.254/24 set interfaces ge-0/0/2 unit 0 family inet address 192.168.2.254/24 set interfaces ge-0/0/3 unit 0 family inet address 192.168.3.254/24 set routing-instances VPLS instance-type vpls set routing-instances VPLS interface lt-0/0/0.100 set routing-instances VPLS interface lt-0/0/0.101 set routing-instances VPLS interface lt-0/0/0.102 set routing-instances VPLS interface lt-0/0/0.103 set tenants TSYS1 routing-instances vr1 instance-type virtual-router set tenants TSYS1 routing-instances vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS1 routing-instances vr1 interface lt-0/0/0.1 set tenants TSYS1 routing-instances vr1 interface ge-0/0/1.0 set tenants TSYS1 security address-book global address PC1 192.168.1.0/24 set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match source-address PC1 set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match destination-address any set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match application any set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out then permit set tenants TSYS1 security zones security-zone PC1 host-inbound-traffic system-services ping set tenants TSYS1 security zones security-zone PC1 interfaces ge-0/0/1.0 set tenants TSYS1 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS1 security zones security-zone VPLS interfaces lt-0/0/0.1 set tenants TSYS2 routing-instances vr2 instance-type virtual-router set tenants TSYS2 routing-instances vr2 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS2 routing-instances vr2 interface lt-0/0/0.2 set tenants TSYS2 routing-instances vr2 interface ge-0/0/2.0 set tenants TSYS2 security address-book global address PC2 192.168.2.0/24 set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match source-address PC2 set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match destination-address any set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match application any set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out then permit set tenants TSYS2 security zones security-zone PC2 host-inbound-traffic system-services ping set tenants TSYS2 security zones security-zone PC2 interfaces ge-0/0/2.0 set tenants TSYS2 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS2 security zones security-zone VPLS interfaces lt-0/0/0.2 set tenants TSYS3 routing-instances vr3 instance-type virtual-router set tenants TSYS3 routing-instances vr3 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS3 routing-instances vr3 interface lt-0/0/0.3 set tenants TSYS3 routing-instances vr3 interface ge-0/0/3.0 set tenants TSYS3 security address-book global address PC3 192.168.3.0/24 set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match source-address PC3 set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match destination-address any set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match application any set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out then permit set tenants TSYS3 security zones security-zone PC3 host-inbound-traffic system-services ping set tenants TSYS3 security zones security-zone PC3 interfaces ge-0/0/3.0 set tenants TSYS3 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS3 security zones security-zone VPLS interfaces lt-0/0/0.3
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, consultez Utilisation de l’éditeur CLI en mode Configuration dans le Guide de l’utilisateur de la CLI. Nous ne couvrirons que la configuration d’un seul locataire pour la procédure étape par étape.
-
Créez les comptes d’utilisateur de connexion pour chaque locataire. Nous montrerons uniquement les étapes de création du compte d’utilisateur locataire
TSYS1.-
Créez la classe de connexion utilisateur et attribuez-la au système de location.
[edit] user@SRX# set system login class TSYS1admin1 tenant TSYS1
-
Attribuez un niveau d’autorisations à la classe de connexion, pour cet exemple, nous utiliserons le niveau
allqui permet un accès complet à l’administrateur système du locataire.[edit] user@SRX# set system login class TSYS1admin1 permissions all
-
Créez un compte d’utilisateur et attribuez-le à la classe à partir des étapes précédentes. Cela permettra à l’utilisateur de se connecter au système de location.
[edit] user@SRX# set system login user TSYS1admin1 class TSYS1admin1
-
Créez un mot de passe de connexion utilisateur pour le compte utilisateur.
[edit] user@SRX# set system login user TSYS1admin1 authentication plain-text-password New password: "$ABC123" Retype new password: "$ABC123"
-
-
Configurez le commutateur VPLS. Le commutateur VPLS permet au trafic de transit et au trafic terminé sur un système locataire de passer d’un système à l’autre au moyen d’un seul tunnel logique. Les interfaces de tunnel logique doivent être configurées dans le même sous-réseau pour autoriser le trafic entre les systèmes de location.
-
Configurez les interfaces de tunnel logiques.
[edit] user@SRX# set interfaces lt-0/0/0 unit 100 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 100 peer-unit 0 user@SRX# set interfaces lt-0/0/0 unit 101 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 101 peer-unit 1 user@SRX# set interfaces lt-0/0/0 unit 102 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 102 peer-unit 2 user@SRX# set interfaces lt-0/0/0 unit 103 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 103 peer-unit 3
-
Configurez une instance de routage pour le commutateur VPLS et attribuez les interfaces de tunnel logiques.
[edit] user@SRX# set routing-instances VPLS instance-type vpls user@SRX# set routing-instances VPLS interface lt-0/0/0.100 user@SRX# set routing-instances VPLS interface lt-0/0/0.101 user@SRX# set routing-instances VPLS interface lt-0/0/0.102 user@SRX# set routing-instances VPLS interface lt-0/0/0.103
-
-
Configurez les systèmes de location. Nous n’affichons la configuration que pour un seul locataire.
-
Configurez les interfaces associées au locataire.
[edit] user@SRX# set interfaces lt-0/0/0 unit 1 encapsulation ethernet user@SRX# set interfaces lt-0/0/0 unit 1 peer-unit 101 user@SRX# set interfaces lt-0/0/0 unit 1 family inet address 10.0.1.1/24 user@SRX# set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.254/24
-
Configurez le locataire, l’instance de routage, le routage statique et attribuez les interfaces.
[edit] user@SRX# set tenants TSYS1 routing-instances vr1 instance-type virtual-router user@SRX# set tenants TSYS1 routing-instances vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 user@SRX# set tenants TSYS1 routing-instances vr1 interface lt-0/0/0.1 user@SRX# set tenants TSYS1 routing-instances vr1 interface ge-0/0/1.0
-
-
Configurez les profils de sécurité. Pour cet exemple, nous montrons uniquement la configuration minimale nécessaire pour configurer les systèmes logiques et locataires.
[edit] user@SRX# set system security-profile SP0 logical-system root-ls user@SRX# set system security-profile SP1 tenant TSYS1 user@SRX# set system security-profile SP2 tenant TSYS2 user@SRX# set system security-profile SP3 tenant TSYS3
-
Configurez les systèmes logiques. Cet exemple utilisant un commutateur VPLS d’interconnexion nécessite un système logique.
-
Configurez les interfaces.
[edit] user@SRX# set logical-systems root-ls interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 encapsulation ethernet user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 peer-unit 100 user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 family inet address 10.0.1.10/24
-
Configurez les routes statiques.
[edit] user@SRX# set logical-systems root-ls routing-options static route 192.168.1.0/24 next-hop 10.0.1.1 user@SRX# set logical-systems root-ls routing-options static route 192.168.2.0/24 next-hop 10.0.1.2 user@SRX# set logical-systems root-ls routing-options static route 192.168.3.0/24 next-hop 10.0.1.3
-
-
Configurez les zones de sécurité et les stratégies dans les systèmes logiques pour permettre le flux de trafic des locataires vers Internet. Des politiques de sécurité supplémentaires peuvent être configurées sur les systèmes logiques et locataires pour autoriser le trafic entre les locataires.
-
Configurez les zones de sécurité.
[edit] user@SRX# set logical-systems root-ls security zones security-zone trust host-inbound-traffic system-services ping user@SRX# set logical-systems root-ls security zones security-zone trust interfaces lt-0/0/0.0 user@SRX# set logical-systems root-ls security zones security-zone untrust host-inbound-traffic system-services ping user@SRX# set logical-systems root-ls security zones security-zone untrust interfaces ge-0/0/0.0
-
Configurez les politiques de sécurité.
[edit] user@SRX# set logical-systems root-ls security address-book global address TSYS1 192.168.1.0/24 user@SRX# set logical-systems root-ls security address-book global address TSYS2 192.168.2.0/24 user@SRX# set logical-systems root-ls security address-book global address TSYS3 192.168.3.0/24 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS1 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS2 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS3 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match destination-address any user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match application any user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out then permit
-
-
Configurez les zones de sécurité et les politiques dans chaque système de location pour permettre au trafic de circuler vers Internet.
-
Configurez les zones de sécurité.
[edit] user@SRX# set tenants TSYS1 security zones security-zone PC1 host-inbound-traffic system-services ping user@SRX# set tenants TSYS1 security zones security-zone PC1 interfaces ge-0/0/1.0 user@SRX# set tenants TSYS1 security zones security-zone VPLS host-inbound-traffic system-services ping user@SRX# set tenants TSYS1 security zones security-zone VPLS interfaces lt-0/0/0.1
-
Configurez les politiques de sécurité.
[edit] user@SRX# set tenants TSYS1 security address-book global address PC1 192.168.1.0/24 user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match source-address PC1 user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match destination-address any user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match application any user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out then permit
-
Résultats
En mode configuration, confirmez votre configuration en entrant la show tenants TSYS1 commande pour vérifier que le système de location est créé. Entrez la show system login class TSYS1admin1 commande pour afficher le niveau d’autorisation pour chaque classe que vous avez définie. Pour vous assurer que les administrateurs système de location sont créés, entrez la show system login user TSYS1admin1 commande. Pour vous assurer que les interfaces pour le commutateur VPLS d’interconnexion sont créées, entrez la show interfaces commande. Entrée show logical-systems pour vérifier la configuration des systèmes logiques racines.
user@SRX# show tenants TSYS1
routing-instances {
vr1 {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.1.10;
}
}
interface lt-0/0/0.1;
interface ge-0/0/1.0;
}
}
security {
address-book {
global {
address PC1 192.168.1.0/24;
}
}
policies {
from-zone PC1 to-zone VPLS {
policy allow-out {
match {
source-address PC1;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone PC1 {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPLS {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
lt-0/0/0.1;
}
}
}
}
user@SRX# show system login class TSYS1admin1 tenant TSYS1; permissions all;
user@SRX# show system login user TSYS1admin1
uid 2001;
class TSYS1admin1;
authentication {
encrypted-password "$ABC123";
}
user@SRX# show interfaces
lt-0/0/0 {
unit 1 {
encapsulation ethernet;
peer-unit 101;
family inet {
address 10.0.1.1/24;
}
}
unit 2 {
encapsulation ethernet;
peer-unit 102;
family inet {
address 10.0.1.2/24;
}
}
unit 3 {
encapsulation ethernet;
peer-unit 103;
family inet {
address 10.0.1.3/24;
}
}
unit 100 {
encapsulation ethernet-vpls;
peer-unit 0;
}
unit 101 {
encapsulation ethernet-vpls;
peer-unit 1;
}
unit 102 {
encapsulation ethernet-vpls;
peer-unit 2;
}
unit 103 {
encapsulation ethernet-vpls;
peer-unit 3;
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.168.1.254/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 192.168.2.254/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.3.254/24;
}
}
}
user@SRX# show logical-systems
root-ls {
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
lt-0/0/0 {
unit 0 {
encapsulation ethernet;
peer-unit 100;
family inet {
address 10.0.1.10/24;
}
}
}
}
routing-options {
static {
route 192.168.1.0/24 next-hop 10.0.1.1;
route 192.168.2.0/24 next-hop 10.0.1.2;
route 192.168.3.0/24 next-hop 10.0.1.3;
}
}
security {
address-book {
global {
address TSYS1 192.168.1.0/24;
address TSYS2 192.168.2.0/24;
address TSYS3 192.168.3.0/24;
}
}
policies {
from-zone trust to-zone untrust {
policy allow-out {
match {
source-address [ TSYS1 TSYS2 TSYS3 ];
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
lt-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
}
}
}
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de ces exemples pour la corriger. Si vous avez terminé de configurer l’appareil, entrez en commit mode configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des systèmes de location et des configurations de connexion à l’aide de l’administrateur principal
- Vérification des systèmes de location et des configurations de connexion à l’aide de SSH
- Vérification de la connectivité de PC1 à Internet
Vérification des systèmes de location et des configurations de connexion à l’aide de l’administrateur principal
Objet
Vérifiez que les systèmes de location existent et que vous pouvez les saisir à partir de la racine en tant qu’administrateur principal. Retournez du système de location à la racine.
Mesures à prendre
Depuis le mode opérationnel, utilisez la commande suivante pour accéder aux systèmes TSYS1de location :
user@SRX> set cli tenant TSYS1 Tenant: TSYS1 user@SRX:TSYS1>
Vous êtes maintenant entré dans les systèmes TSYS1de location . Utilisez la commande suivante pour quitter les systèmes TSYS1 de location vers la racine :
user@SRX:TSYS1> clear cli tenant Cleared default tenants user@SRX>
Signification
Le système de location existe et vous pouvez accéder au système de location à partir de la racine en tant qu’administrateur principal.
Vérification des systèmes de location et des configurations de connexion à l’aide de SSH
Objet
Vérifiez que les systèmes de location que vous avez créés existent et que les ID de connexion et les mots de passe d’administrateur que vous avez créés sont corrects.
Mesures à prendre
Utilisez SSH pour vous connecter à chaque administrateur système de locataire utilisateur.
-
Exécutez SSH en spécifiant l’adresse IP de votre pare-feu SRX Series.
-
Entrez l’ID de connexion et le mot de passe de l’administrateur des systèmes de location que vous avez créé. Une fois connecté, l’invite affiche le nom de l’administrateur des systèmes de location. Notez en quoi ce résultat diffère du résultat produit lorsque vous vous connectez au système de location à partir du système logique principal à la racine. Répétez cette procédure pour tous vos systèmes de location.
login: TSYS1admin1 Password: "$ABC123" TSYS1admin1@SRX: TSYS1>
Signification
L’administrateur TSYS1admin1 système du locataire existe et vous pouvez vous connecter en tant qu’administrateur du système du locataire.
Vérification de la connectivité de PC1 à Internet
Objet
Vérifiez la connectivité de bout en bout.
Mesures à prendre
Ping et exécutez traceroute vers Internet à partir de PC1. Dans notre exemple, Internet est 192.168.10.254.
-
Exécutez ping depuis PC1.
user@PC1> ping 192.168.10.254 count 2 PING 192.168.10.254 (192.168.10.254): 56 data bytes 64 bytes from 192.168.10.254: icmp_seq=0 ttl=62 time=3.178 ms 64 bytes from 192.168.10.254: icmp_seq=1 ttl=62 time=3.082 ms --- 192.168.10.254 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.082/3.130/3.178/0.048 ms
-
Exécutez traceroute à partir du PC1.
user@PC1> traceroute 192.168.10.254 traceroute to 192.168.10.254 (192.168.10.254), 30 hops max, 52 byte packets 1 192.168.1.254 (192.168.1.254) 2.188 ms 1.779 ms 1.896 ms 2 10.0.1.10 (10.0.1.10) 1.888 ms 1.535 ms 1.661 ms 3 192.168.10.254 (192.168.10.254) 3.243 ms 15.077 ms 3.499 ms
Signification
PC1 est capable d’accéder à Internet.
Comportement du système logique et du système de location spécifiques à la plate-forme
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques.
Voir la section Informations supplémentaires sur la plate-forme pour plus d’informations.
Utilisez le tableau suivant pour passer en revue les comportements spécifiques à votre plateforme :
| Plate-forme |
Différence |
|---|---|
| SRX Series |
|
Informations supplémentaires sur la plate-forme
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de la plate-forme et de la version pour des fonctionnalités spécifiques. D’autres plates-formes peuvent être prises en charge.
Consultez la section Système logique spécifique à la plate-forme et Comportement du système de location pour les notes relatives à votre plate-forme.
| Capacité | SRX1500 | SRX1600 SRX2300, SRX4120 | SRX4100 SRX4200 | SRX4600 | SRX5400 SRX5600 pare-feu SRX5800 avec cartes SPC2 | SRX5400 pare-feu SRX5600 SRX5800 avec cartes SPC3 SRX5400 pare-feu | SRX5600 SRX5800 avec cartes SPC2 et SPC3 | vSRX pare-feu virtuels | ||
|---|---|---|---|---|---|---|---|---|---|---|
| Capacité des systèmes logiques |
27 |
32 |
32 |
32 |
27 |
32 |
32 |
32 |
32 |
8 |
| Capacité des systèmes de location à partir de la version 20.1R1 de Junos OS | 50 |
200 | 200 | 300 | 100 | 500 | 100 | 42 | ||
| Capacité des systèmes de location à partir de la version 23.4R1 de Junos OS | 50 | 200 |
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
pingcommandes ,
show arp
telnet
traceroute
clear arp
ssh
show ipv6 neighbors, et .
clear ipv6 neighbors