Présentation des systèmes locataires
Un système locataire prend en charge le routage, les services et les fonctionnalités de sécurité.
Comprendre les systèmes locataires
Un système locataire partitionne logiquement le pare-feu physique en pare-feu logique distinct et isolé. Bien que semblables aux systèmes logiques, les systèmes locataires ont une évolutivité beaucoup plus élevée et moins de fonctionnalités de routage. Chaque système de locataire sur un équipement vous permet de contrôler un domaine administratif distinct pour les services de sécurité. En transformant votre équipement en un système mutualisant, vous pouvez fournir à divers services, organisations, clients et partenaires, en fonction de votre environnement, une utilisation privée et logiquement séparée des ressources système, ainsi que des vues spécifiques aux locataires de la configuration de la sécurité et des KPI. Un administrateur principal crée et gère tous les systèmes locataires. La figure 1 montre un seul équipement avec un système logique primaire et des systèmes locataires distincts.
- Différences entre les systèmes logiques et les systèmes locataires
- Cas d’utilisation pour les systèmes logiques et les systèmes locataires
- Scénarios de déploiement pour les systèmes mutualistes
- Avantages des systèmes locataires
- Rôles et responsabilités de l’administrateur principal et de l’administrateur système locataire
- Capacité du système locataire
Différences entre les systèmes logiques et les systèmes locataires
Le tableau 1 décrit les principales différences entre les systèmes logiques et les systèmes locataires.
Fonctionnalité |
Systèmes logiques |
Systèmes locataires |
|---|---|---|
Prise en charge des fonctionnalités |
Prend en charge toutes les fonctionnalités de routage pour fournir des chemins de routage de données optimaux. |
Prend en charge les fonctionnalités de routage et la virtualisation de sécurité à grande échelle pour isoler les environnements des clients. |
Évolutivité |
Un maximum de 32 systèmes logiques peuvent être configurés sur un pare-feu SRX Series physique. |
Un maximum de 500 systèmes locataires peuvent être configurés sur un pare-feu SRX Series physique pour offrir une haute évolutivité. |
Processus de protocole de routage |
Chaque système logique a besoin d’une copie individuelle du processus de protocole de routage pour séparer logiquement les ressources sur un équipement. |
Le système logique principal dispose d’un seul processus de protocole de routage, qui est partagé par les systèmes locataires. Les instances de routage prises en charge par ce processus de protocole de routage unique réalisent la séparation des ressources de sécurité sur le pare-feu. |
Instance de routage |
Une instance de routage par défaut est automatiquement créée pour chaque système logique. |
À partir de la version 19.2R1 de Junos OS, le routeur virtuel configuré dans un système locataire est transmis en tant qu’instance de routage par défaut à |
Configuration d’interface logique |
L’administrateur principal attribue les interfaces logiques et l’administrateur système logique peut configurer les attributs de l’interface. |
Un administrateur système locataire ne peut pas configurer les interfaces logiques. L’administrateur principal attribue les interfaces logiques à un système locataire. |
Cas d’utilisation pour les systèmes logiques et les systèmes locataires
Un système logique est utilisé lorsque plusieurs routeurs virtuels sont nécessaires. Par exemple, vous avez plusieurs connexions au réseau externe et elles ne peuvent pas coexister dans le même routeur virtuel. Les systèmes locataires sont utilisés lorsque vous avez besoin de séparer les services, l’organisation ou les clients, et chacun d’entre eux peut être limité à un seul routeur virtuel. La principale différence entre un système logique et un système locataire est qu’un système logique prend en charge des fonctionnalités de routage avancées utilisant plusieurs instances de routage. En comparaison, un système locataire ne prend en charge qu’une seule instance de routage, mais prend en charge le déploiement d’un nombre nettement plus élevé de locataires par système.
Scénarios de déploiement pour les systèmes mutualistes
Vous pouvez déployer un pare-feu SRX Series exécutant un système mutualisés dans de nombreux environnements tels qu’un fournisseur de services de sécurité gérés (MSSP), un réseau d’entreprise ou un segment de filiales. Le tableau 2 décrit les différents scénarios de déploiement et le rôle joué par les systèmes locataires dans ces scénarios.
Scénarios de déploiement |
Rôles d’un système de locataire |
|---|---|
Fournisseur de services de sécurité gérés (MSSP) |
|
Réseau d’entreprise |
|
Segment des filiales |
|
Avantages des systèmes locataires
Réduisez les coûts en réduisant le nombre d’équipements physiques requis pour votre entreprise. Vous pouvez consolider les services pour divers groupes d’utilisateurs sur un seul équipement et réduire les coûts matériels, les dépenses d’énergie et l’espace rack.
Fournissez une isolation et une séparation logique au niveau du système du locataire. Permet de séparer les systèmes de locataires avec une séparation administrative à grande échelle dans laquelle chaque système locataire peut définir ses propres contrôles et restrictions de sécurité sans impacter les autres systèmes locataires.
Rôles et responsabilités de l’administrateur principal et de l’administrateur système locataire
Un administrateur principal crée et gère tous les systèmes locataires. Un système logique primaire est créé au niveau racine et est affecté à un seul processus de protocole de routage. Bien que ce processus de protocole de routage soit partagé, les systèmes de locataires permettent la séparation logique des ressources sur le pare-feu. Par défaut, toutes les ressources système sont attribuées au système logique principal et l’administrateur principal les alloue aux administrateurs système locataires.
Dans la référence de la ligne de commande Junos OS, le système logique principal est appelé système logique racine.
Un système de locataire est créé qui est sous-locataire par le système logique principal. Bien que tous les locataires du système logique principal partagent un seul processus de routage, chaque système locataire dispose d’une seule instance de routage. Le tableau 3 décrit les rôles et les responsabilités de l’administrateur principal et de l’administrateur système locataire.
Rôles |
Définition |
Responsabilités |
|---|---|---|
Administrateur principal |
Un compte utilisateur avec des privilèges de configuration et de vérification superutilisateurs pour tous les systèmes logiques et les systèmes locataires. |
|
Administrateur système locataire |
Un compte système de locataire avec tous les privilèges de configuration et de vérification.
Note:
Les droits de configuration et de vérification d’un administrateur système locataire dépendent de l’autorisation qui lui est attribuée par l’administrateur principal lors de la création de l’administrateur système locataire. Plusieurs administrateurs système de locataires peuvent être créés pour un système locataire avec différents niveaux d’autorisation en fonction de vos besoins. |
Les privilèges suivants ne sont pas pris en charge par l’administrateur système locataire :
|
Capacité du système locataire
Le nombre maximal de systèmes locataires pouvant être créés sur l’équipement est répertorié dans le tableau 4.
| Plate-forme |
Capacité des systèmes logiques |
Capacité des systèmes locataires pour Junos OS version 18.4R1 |
|---|---|---|
| SRX1500 |
32 |
50 |
| SRX4100 et SRX4200 |
32 |
200 |
| SRX4600 |
32 |
300 |
| SRX5400, SRX5600 et SRX5800 Series avec cartes SPC2 |
32 |
100 |
| SRX5400, SRX5600 et SRX5800 Series avec cartes SPC3 |
32 |
500 |
| Équipements SRX5400, SRX5600 et SRX5800 Series avec cartes SPC2 et SPC3 |
32 |
100 |
À partir de la version 18.4R1 de Junos OS, les systèmes locataires peuvent être pris en charge sur une passerelle de services de sécurité de la ligne SRX5000 équipée d’une combinaison de cartes de traitement de services de troisième génération (SRX5K-SPC3) et de cartes de traitement de services de deuxième génération (SRX5K-SPC-4-15-320). Avant la version 18.4R1 de Junos OS, les systèmes locataires étaient pris en charge uniquement sur SPC2.
Voir aussi
Présentation de la configuration du système du locataire
L’administrateur principal crée un système de locataire et affecte un administrateur pour gérer le système locataire. Un système locataire peut avoir plusieurs administrateurs. Les rôles et responsabilités d’un administrateur système locataire sont expliqués dans La présentation des systèmes locataires.
L’administrateur principal configure les interfaces logiques et les assigne au système locataire. Configurez une instance de routage et les protocoles de routage, et ajoutez des options pour l’instance de routage. Voir Configuration d’une instance de routage pour un système locataire.
Les systèmes locataires disposent de leur propre base de données de configuration. Une fois la configuration réussie, les modifications sont fusionnées dans la base de données principale de chaque système locataire. Plusieurs systèmes locataires peuvent effectuer des modifications de configuration à la fois. Vous ne pouvez valider les modifications que pour un seul locataire à la fois. Si l’administrateur principal et l’administrateur système du locataire effectuent simultanément des modifications de configuration, les modifications de configuration effectuées par l’administrateur principal remplacent les modifications de configuration effectuées par l’administrateur système locataire.
Les étapes suivantes expliquent les tâches que l’administrateur système du locataire effectue pour configurer les fonctionnalités de sécurité d’un système locataire :
Configuration d’une instance de routage pour un système locataire
Une instance de routage est un ensemble de tables de routage, d’interfaces et de paramètres de protocole de routage. Un ensemble d’interfaces appartenant à l’instance de routage et les paramètres du protocole de routage contrôlent les informations de l’instance de routage. Un système locataire peut configurer l’instance de routage attribuée et les interfaces qui appartiennent à l’instance de routage au sein d’un système locataire.
Une seule instance de routage peut être créée pour un système locataire.
La procédure suivante décrit les étapes de configuration d’une instance de routage et des interfaces dans une table de routage pour un système locataire :
Pour afficher la configuration du système TSYS1locataire , exécutez la show tenants TSYS1 commande.
routing-instances {
r1 {
instance-type virtual-router;
interface lt-0/0/0.101;
interface xe-0/0/0.0;
interface xe-0/0/1.0;
routing-options {
router-id 1.1.1.101;
}
}
}
La show tenants TSYS1 commande affiche tous les paramètres d’instance de routage configurés pour le système TSYS1locataire .
Comprendre le routage et les interfaces pour les systèmes locataires
Une instance de routage est un ensemble de tables de routage, d’interfaces et de paramètres de protocole de routage. Les interfaces sont utilisées pour transférer les données de l’instance de routage et pour apprendre les informations de routage auprès d’autres pairs (pare-feu SRX Series) à l’aide de protocoles de routage.
Une interface logique (IFL) peut être définie à l’un des niveaux suivants :
Niveau global (système logique racine)
Au niveau du système logique utilisateur
Au niveau du système locataire (à partir de la version Junos OS 18.4R1)
L’IFL défini au niveau global peut être utilisé soit dans un système logique racine, soit dans l’un des systèmes locataires. L’IFL défini dans un système de locataire ne peut être utilisé que dans ce système locataire.
L’instance de routage par défaut n’est pas disponible pour les systèmes locataires. Ainsi, lorsqu’une instance de routage personnalisée est créée pour un système locataire, toutes les interfaces définies dans ce système locataire doivent être ajoutées à cette instance de routage.
Présentation : configuration du routage et des interfaces pour les systèmes locataires
Cette présentation montre comment configurer des interfaces et des instances de routage pour un système locataire.
Exigences
Avant de commencer :
Déterminez quelles interfaces logiques et, éventuellement, quelles interfaces de tunnel logique sont allouées. Consultez la présentation de la configuration du système des locataires.
Aperçu
La procédure suivante décrit les étapes de configuration d’une instance de routage et des interfaces dans une table de routage au sein d’un système locataire.
Cette rubrique configure les interfaces et les instances de routage décrites dans le tableau 5.
Fonction |
Nom |
Paramètres de configuration |
|---|---|---|
Interface |
ge-0/0/2.1 ge-0/0/2.2 ge-0/0/2.3 |
|
Instance de routage |
r1 R2 |
|
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2.3 vlan-id 103 set interfaces ge-0/0/2.3 family inet address 10.0.0.3/24 set tenants TSYS1 set tenants TSYS1 interfaces ge-0/0/2.1 vlan-id 101 set tenants TSYS1 interfaces ge-0/0/2.1 family inet address 10.0.0.1/24 set tenants TSYS1 routing-instances r1 instance-type virtual-router set tenants TSYS1 routing-instances r1 interface ge-0/0/2.1 set tenants TSYS1 routing-instances r1 interface ge-0/0/2.3 set tenants TSYS2 set tenants TSYS2 interfaces ge-0/0/2.2 vlan-id 102 set tenants TSYS2 interfaces ge-0/0/2.2 family inet address 10.0.0.2/24 set tenants TSYS2 routing-instances r2 instance-type virtual-router set tenants TSYS2 routing-instances r2 interface ge-0/0/2.2
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface CLI Junos OS.
Pour configurer une interface et une instance de routage dans un système logique utilisateur :
Configurez les interfaces pour prendre en charge le balisage VLAN.
[edit] user@host# set interfaces ge-0/0/2 vlan-tagging
Configurez l’IFL au niveau racine.
[edit] set interfaces ge-0/0/2.3 vlan-id 103 set interfaces ge-0/0/2.3 family inet address 10.0.0.3/24
Créez un système de locataire nommé
TSYS1.[edit] user@host# set tenants TSYS1
Définissez l’interface dans le système locataire TSYS1.
[edit] user@host# set tenants TSYS1 interfaces ge-0/0/2.1 vlan-id 101 user@host# set tenants TSYS1 interfaces ge-0/0/2.1 family inet address 10.0.0.1/24 user@host# set tenants TSYS1 routing-instances r1 interface ge-0/0/2.3
Créez une instance
r1de routage et attribuez le type d’instance de routage au système locataire.[edit] user@host# set tenants TSYS1 routing-instances r1 instance-type virtual-router
Spécifiez le nom de l’interface de l’instance de routage.
[edit] user@host# set tenants TSYS1 routing-instances r1 interface ge-0/0/2.1
Créez un système de locataire nommé
TSYS2.[edit] user@host# set tenants TSYS2
Définissez l’interface dans le système locataire TSYS2.
[edit] user@host# set tenants TSYS2 interfaces ge-0/0/2.2 vlan-id 102 user@host# set tenants TSYS2 interfaces ge-0/0/2.2 family inet address 10.0.0.2/24
Créez une instance
r2de routage et attribuez le type d’instance de routage au système locataire.[edit] user@host# set tenants TSYS2 routing-instances r2 instance-type virtual-router
Spécifiez le nom de l’interface de l’instance de routage.
[edit] user@host# set tenants TSYS2 routing-instances r2 interface ge-0/0/2.2
Validez la configuration.
[edit] user@host# commit
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show interfaces commandes et show tenants . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show interfaces
ge-0/0/2 {
vlan-tagging;
unit 3 {
vlan-id 103;
family inet {
address 10.0.0.3/24;
}
}
}
[edit]
user@host# show tenants
TSYS1 {
interfaces {
ge-0/0/2 {
unit 1 {
vlan-id 101;
family inet {
address 10.0.0.1/24;
}
}
}
}
routing-instances {
r1 {
instance-type virtual-router;
interface ge-0/0/2.1;
interface ge-0/0/2.3;
}
}
}
TSYS2 {
interfaces {
ge-0/0/2 {
unit 2 {
vlan-id 102;
family inet {
address 10.0.0.2/24;
}
}
}
}
routing-instances {
r2 {
instance-type virtual-router;
interface ge-0/0/2.2;
}
}
}
La show tenants commande affiche toutes les interfaces définies dans les systèmes TSYS1 locataires et , ainsi TSYS2que les paramètres d’instance de routage configurés pour les deux systèmes locataires.
user@host> show interfaces ge-0/0/2.1 detail
Logical interface ge-0/0/2.1 (Index 89) (SNMP ifIndex 548) (Generation 161)
Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.101 ] Encapsulation: ENET2
Tenant Name: TSYS1
Traffic statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Local statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Security: Zone: Null
Flow Statistics :
..............................
user@host> show interfaces ge-0/0/2.2 detail
Logical interface ge-0/0/2.2 (Index 90) (SNMP ifIndex 549) (Generation 162)
Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.102 ] Encapsulation: ENET2
Tenant Name: TSYS2
Traffic statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Local statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Security: Zone: Null
Flow Statistics :
Flow Input statistics :
Self packets : 0
ICMP packets : 0
VPN packets : ..............................
Comprendre les profils de sécurité système des locataires (administrateurs principaux uniquement)
Les systèmes de locataires vous permettent de diviser virtuellement un pare-feu SRX Series en plusieurs équipements, de les sécuriser contre les intrusions et les attaques et de les protéger des conditions défaillantes en dehors de leur propre contexte. Pour protéger les systèmes locataires, les ressources de sécurité sont configurées de la même manière que pour un équipement distinct. Toutefois, l’administrateur principal affecte des ressources aux systèmes locataires.
Un pare-feu SRX Series exécutant des systèmes locataires peut être partitionné dans des systèmes locataires, un système de locataire interconnecté, si nécessaire, et le système logique principal par défaut. Lorsque le système est initialisé, le système logique principal est créé à la racine. Toutes les ressources système lui sont attribuées, créant ainsi un profil de sécurité du système logique principal par défaut. Pour distribuer les ressources de sécurité sur les systèmes locataires, l’administrateur principal crée des profils de sécurité qui spécifient les ressources à allouer au système d’un locataire. Seul l’administrateur principal peut configurer les profils de sécurité et les lier aux systèmes locataires. L’administrateur système du locataire utilise ces ressources pour le système locataire respectif.
Les systèmes locataires sont définis par les ressources qui leur sont allouées, notamment les composants de sécurité, les interfaces, l’instance de routage, les routes statiques et les protocoles de routage dynamique. L’administrateur principal configure les profils de sécurité et les attribue aux systèmes locataires. Vous ne pouvez pas valider la configuration d’un système de locataire sans un profil de sécurité qui lui est assigné.
Cette rubrique comprend les sections suivantes :
- Profils de sécurité des systèmes des locataires
- Comprendre comment le système évalue l’attribution et l’utilisation des ressources sur l’ensemble des systèmes locataires
- Cas : évaluation des ressources réservées attribuées via des profils de sécurité
Profils de sécurité des systèmes des locataires
L’administrateur principal peut configurer et affecter un profil de sécurité à un système locataire spécifique ou à plusieurs systèmes locataires. Le nombre maximal de profils de sécurité pouvant être configurés dépend de la capacité d’un pare-feu SRX Series. Lorsque le nombre maximal de profils de sécurité a été créé, vous devez supprimer un profil de sécurité et valider le changement de configuration avant de pouvoir créer et valider un autre profil de sécurité. Dans de nombreux cas, vous avez besoin de moins de profils de sécurité, car vous pouvez lier un seul profil de sécurité à plusieurs systèmes de locataire.
Les profils de sécurité vous permettent de :
Partagez les ressources de l’équipement, y compris les stratégies, les zones, les adresses et les carnets d’adresses, les sessions de flux et diverses formes de NAT, entre tous les systèmes locataires. Vous pouvez affecter diverses quantités d’une ressource aux systèmes locataires et permettre aux systèmes locataires d’utiliser les ressources efficacement.
Les profils de sécurité protègent contre l’épuisement d’un système locataire qui épuise une ressource requise en même temps par les autres systèmes locataires. Les profils de sécurité protègent les ressources système critiques et maintiennent de meilleures performances entre les systèmes locataires lorsque l’équipement rencontre un flux de trafic important. Les profils de sécurité se défendent contre un système de locataire dominant l’utilisation des ressources et permettent aux autres systèmes locataires d’utiliser les ressources efficacement.
Configurez l’équipement de manière évolutive pour permettre la création de systèmes locataires supplémentaires.
Vous devez supprimer le profil de sécurité d’un système de locataire avant de pouvoir supprimer le système locataire.
Comprendre comment le système évalue l’attribution et l’utilisation des ressources sur l’ensemble des systèmes locataires
Pour provisionner un système locataire avec des fonctionnalités de sécurité, l’administrateur principal configure un profil de sécurité qui spécifie la ressource pour chaque fonctionnalité de sécurité :
Un quota réservé qui garantit que la quantité de ressources spécifiée est toujours disponible pour le système de locataire.
Un quota maximal autorisé. Si un système locataire nécessite des ressources supplémentaires qui dépassent le quota réservé, il peut utiliser les ressources configurées pour le montant total maximal si les ressources globales ne sont pas allouées aux autres systèmes locataires. Le quota maximal autorisé ne garantit pas que la quantité spécifiée pour la ressource dans le profil de sécurité est disponible. Les systèmes locataires doivent utiliser efficacement les ressources globales en fonction des ressources disponibles.
Si un quota réservé n’est pas configuré pour une ressource, la valeur par défaut est 0. Si un quota maximal autorisé n’est pas configuré pour une ressource, la valeur par défaut est le quota système global pour la ressource (les quotas système globaux dépendent de la plate-forme). L’administrateur principal doit configurer les valeurs de quota maximales autorisées appropriées dans les profils de sécurité afin que l’utilisation maximale des ressources d’un système locataire spécifique n’ait pas d’impact négatif sur les autres systèmes locataires configurés sur l’équipement.
Le système comptabilise toutes les ressources allouées qui sont réservées, utilisées et mises à disposition à nouveau lorsqu’un système locataire est supprimé. Ce nombre détermine si les ressources sont disponibles pour les systèmes locataires ou pour augmenter la quantité de ressources allouées aux systèmes locataires existants via leurs profils de sécurité.
Les ressources configurées dans les profils de sécurité sont caractérisées comme des ressources modulaires statiques ou des ressources dynamiques. Pour les ressources statiques, nous recommandons de définir un quota maximal pour une ressource égale ou proche de la quantité spécifiée dans son quota réservé, afin de permettre une configuration évolutive des systèmes locataires. Un quota maximal pour une ressource donne au système locataire une plus grande flexibilité grâce à l’accès à une plus grande quantité de cette ressource, mais il limite la quantité de ressources disponibles à allouer aux autres systèmes locataires.
Les ressources des fonctionnalités de sécurité suivantes peuvent être spécifiées dans un profil de sécurité :
Zones de sécurité
Adresses et carnets d’adresses pour les stratégies de sécurité
Ensembles de règles de pare-feu applicatif
Règles de pare-feu applicatif
Authentification du pare-feu
Sessions de flux et portails
NAT, y compris :
Liaisons NAT cônes
Règle de destination NAT
Pool de destination NAT
Adresse IP NAT dans le pool de sources sans traduction d’adresse de port (PAT)
Note:Les adresses IPv6 des pools de sources IPv6 sans PAT ne sont pas incluses dans les profils de sécurité.
Adresse IP NAT dans le pool source avec PAT
Surcharge des ports NAT
Pool de sources NAT
Règle source NAT
Règle statique NAT
Toutes les ressources, à l’exception des sessions de flux, sont statiques.
Vous pouvez modifier dynamiquement le profil de sécurité d’un système de locataire pendant que le profil de sécurité est assigné à d’autres systèmes locataires. Toutefois, pour s’assurer que le quota de ressources système n’est pas dépassé, le système prend les mesures suivantes :
Si un quota statique est modifié, le processus système qui maintient le système locataire compte pour les ressources spécifiées dans les profils de sécurité réévalue ensuite les profils de sécurité assignés au profil associé au quota statique. Cette vérification identifie le nombre de ressources attribuées sur tous les systèmes locataires afin de déterminer si les ressources allouées, y compris leurs montants accrus, sont disponibles.
Ces vérifications de quota sont les mêmes que celles que le système effectue lorsque vous ajoutez un système locataire et que vous liez un profil de sécurité. Elles sont également effectuées lorsque vous liez un profil de sécurité différent du profil de sécurité qui lui est actuellement assigné à un système locataire existant (ou au système logique principal).
Si un quota dynamique est révisé, aucune vérification n’est effectuée, mais le quota révisé est imposé sur l’utilisation future des ressources.
Cas : évaluation des ressources réservées attribuées via des profils de sécurité
Pour comprendre comment le système évalue l’allocation des ressources réservées via des profils de sécurité, examinez les trois cas suivants expliqués dans le tableau 7 et qui concernent l’allocation des ressources et des zones. Pour que l’exemple soit simple, 10 zones sont allouées dans security-profile-1 : 4 zones réservées et 6 zones maximum. Cet exemple suppose que le nombre maximal spécifié (six zones) est disponible pour les systèmes locataires. Le nombre maximal de zones du système est de 10.
Les trois cas concernent la configuration sur l’ensemble des systèmes locataires. Les trois cas vérifient si une configuration réussit ou échoue lorsqu’elle est validée en fonction de l’attribution des zones.
Le tableau 6 présente les profils de sécurité et leurs allocations de zones.
Deux profils de sécurité utilisés dans les cas de configuration |
|---|
profil de sécurité-1
Note:
L’administrateur principal augmente dynamiquement le nombre de zones réservées spécifiées ultérieurement dans ce profil. |
profil système logique primaire
|
Le tableau 7 illustre trois cas qui illustrent comment le système évalue les ressources réservées pour les zones des systèmes locataires en fonction des configurations de profil de sécurité.
La configuration du premier cas réussit, car le quota de ressources réservées cumulé pour les zones configurées dans les profils de sécurité liés à tous les systèmes locataires est de 8, ce qui est inférieur au quota maximal de ressources du système.
La configuration du deuxième cas échoue, car le quota de ressources réservées cumulé pour les zones configurées dans les profils de sécurité liés à tous les systèmes logiques est de 12, ce qui est supérieur au quota de ressources maximal du système.
La configuration du troisième cas échoue, car le quota de ressources réservées cumulé pour les zones configurées dans les profils de sécurité liés à tous les systèmes locataires est de 12, ce qui est supérieur au quota maximal de ressources du système.
Vérification des quotas de ressources réservées sur les systèmes locataires |
|---|
Exemple 1 : Réussite Cette configuration est dans les limites : 4+4+0=8, capacité maximale =10. Profils de sécurité utilisés
|
Exemple 2 : Échec Cette configuration est hors limites : 4+4+4=12, capacité maximale =10.
Profils de sécurité
|
Exemple 3 : Échec Cette configuration est hors limites : 6+6=12, capacité maximale =10. L’administrateur principal modifie le quota de zones réservées dans security-profile-1, ce qui augmente le nombre à 6.
|
Exemple : création de systèmes de locataires, d’administrateurs système de locataires et d’un commutateur VPLS d’interconnexion
Cet exemple montre comment créer des systèmes locataires, des administrateurs système locataires et un commutateur VPLS d’interconnexion. Seul l’administrateur principal peut créer des comptes d’identification utilisateur pour les administrateurs système locataires et interconnecter le commutateur VPLS.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
-
Pare-feu SRX Series.
-
Versions Junos OS 18.4R1 et ultérieures.
-
Avant de commencer à créer les systèmes locataires, les administrateurs système des locataires et un commutateur VPLS d’interconnexion, lisez la présentation des systèmes locataires pour comprendre comment cette tâche s’intègre dans le processus de configuration global.
Aperçu
Cet exemple montre comment créer les systèmes TSYS1locataires , TSYS2et TSYS3les administrateurs système locataires pour eux. Vous pouvez créer plusieurs administrateurs système locataires pour un système locataire avec différents niveaux d’autorisation en fonction de vos besoins.
Cette rubrique couvre également le commutateur VPLS (Interconnect Virtual Private LAN Service) qui connecte un système locataire à un autre sur le même équipement. Le commutateur VPLS permet à la fois au trafic de transit et au trafic qui se termine au niveau d’un système locataire de passer entre les systèmes locataires. Pour permettre au trafic de passer entre les systèmes locataires, les interfaces de tunnel logique (lt-0/0/0) doivent être configurées dans le même sous-réseau.
Topologie
La figure 2 montre un pare-feu SRX Series déployé et configuré pour les systèmes locataires. L’exemple de configuration utilise le routage statique pour permettre aux PC d’atteindre Internet.
VPLS
Configuration rapide srX complète
Configuration des systèmes logiques et locataires, et interconnexion du commutateur VPLS
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne et modifiez tous les détails nécessaires pour correspondre à votre configuration réseau afin d’inclure des interfaces et des mots de passe utilisateur. Ensuite, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis saisissez commit à partir du mode de configuration.
set system login class TSYS1admin1 tenant TSYS1 set system login class TSYS1admin1 permissions all set system login class TSYS2admin1 tenant TSYS2 set system login class TSYS2admin1 permissions all set system login class TSYS3admin1 tenant TSYS3 set system login class TSYS3admin1 permissions all set system login user TSYS1admin1 uid 2001 set system login user TSYS1admin1 class TSYS1admin1 set system login user TSYS1admin1 authentication encrypted-password "$ABC123" set system login user TSYS2admin1 uid 2003 set system login user TSYS2admin1 class TSYS2admin1 set system login user TSYS2admin1 authentication encrypted-password "$ABC123" set system login user TSYS3admin1 uid 2005 set system login user TSYS3admin1 class TSYS3admin1 set system login user TSYS3admin1 authentication encrypted-password "$ABC123" set system security-profile SP0 logical-system root-ls set system security-profile SP1 tenant TSYS1 set system security-profile SP2 tenant TSYS2 set system security-profile SP3 tenant TSYS3 set logical-systems root-ls interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set logical-systems root-ls interfaces lt-0/0/0 unit 0 encapsulation ethernet set logical-systems root-ls interfaces lt-0/0/0 unit 0 peer-unit 100 set logical-systems root-ls interfaces lt-0/0/0 unit 0 family inet address 10.0.1.10/24 set logical-systems root-ls routing-options static route 192.168.1.0/24 next-hop 10.0.1.1 set logical-systems root-ls routing-options static route 192.168.2.0/24 next-hop 10.0.1.2 set logical-systems root-ls routing-options static route 192.168.3.0/24 next-hop 10.0.1.3 set logical-systems root-ls security address-book global address TSYS1 192.168.1.0/24 set logical-systems root-ls security address-book global address TSYS2 192.168.2.0/24 set logical-systems root-ls security address-book global address TSYS3 192.168.3.0/24 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS1 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS2 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS3 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match destination-address any set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match application any set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out then permit set logical-systems root-ls security zones security-zone trust host-inbound-traffic system-services ping set logical-systems root-ls security zones security-zone trust interfaces lt-0/0/0.0 set logical-systems root-ls security zones security-zone untrust host-inbound-traffic system-services ping set logical-systems root-ls security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces lt-0/0/0 unit 1 encapsulation ethernet set interfaces lt-0/0/0 unit 1 peer-unit 101 set interfaces lt-0/0/0 unit 1 family inet address 10.0.1.1/24 set interfaces lt-0/0/0 unit 2 encapsulation ethernet set interfaces lt-0/0/0 unit 2 peer-unit 102 set interfaces lt-0/0/0 unit 2 family inet address 10.0.1.2/24 set interfaces lt-0/0/0 unit 3 encapsulation ethernet set interfaces lt-0/0/0 unit 3 peer-unit 103 set interfaces lt-0/0/0 unit 3 family inet address 10.0.1.3/24 set interfaces lt-0/0/0 unit 100 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 100 peer-unit 0 set interfaces lt-0/0/0 unit 101 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 101 peer-unit 1 set interfaces lt-0/0/0 unit 102 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 102 peer-unit 2 set interfaces lt-0/0/0 unit 103 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 103 peer-unit 3 set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.254/24 set interfaces ge-0/0/2 unit 0 family inet address 192.168.2.254/24 set interfaces ge-0/0/3 unit 0 family inet address 192.168.3.254/24 set routing-instances VPLS instance-type vpls set routing-instances VPLS interface lt-0/0/0.100 set routing-instances VPLS interface lt-0/0/0.101 set routing-instances VPLS interface lt-0/0/0.102 set routing-instances VPLS interface lt-0/0/0.103 set tenants TSYS1 routing-instances vr1 instance-type virtual-router set tenants TSYS1 routing-instances vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS1 routing-instances vr1 interface lt-0/0/0.1 set tenants TSYS1 routing-instances vr1 interface ge-0/0/1.0 set tenants TSYS1 security address-book global address PC1 192.168.1.0/24 set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match source-address PC1 set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match destination-address any set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match application any set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out then permit set tenants TSYS1 security zones security-zone PC1 host-inbound-traffic system-services ping set tenants TSYS1 security zones security-zone PC1 interfaces ge-0/0/1.0 set tenants TSYS1 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS1 security zones security-zone VPLS interfaces lt-0/0/0.1 set tenants TSYS2 routing-instances vr2 instance-type virtual-router set tenants TSYS2 routing-instances vr2 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS2 routing-instances vr2 interface lt-0/0/0.2 set tenants TSYS2 routing-instances vr2 interface ge-0/0/2.0 set tenants TSYS2 security address-book global address PC2 192.168.2.0/24 set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match source-address PC2 set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match destination-address any set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match application any set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out then permit set tenants TSYS2 security zones security-zone PC2 host-inbound-traffic system-services ping set tenants TSYS2 security zones security-zone PC2 interfaces ge-0/0/2.0 set tenants TSYS2 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS2 security zones security-zone VPLS interfaces lt-0/0/0.2 set tenants TSYS3 routing-instances vr3 instance-type virtual-router set tenants TSYS3 routing-instances vr3 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS3 routing-instances vr3 interface lt-0/0/0.3 set tenants TSYS3 routing-instances vr3 interface ge-0/0/3.0 set tenants TSYS3 security address-book global address PC3 192.168.3.0/24 set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match source-address PC3 set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match destination-address any set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match application any set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out then permit set tenants TSYS3 security zones security-zone PC3 host-inbound-traffic system-services ping set tenants TSYS3 security zones security-zone PC3 interfaces ge-0/0/3.0 set tenants TSYS3 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS3 security zones security-zone VPLS interfaces lt-0/0/0.3
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour obtenir des instructions sur la façon d’y parvenir, reportez-vous à la section Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI. Nous ne couvrirons la configuration d’un locataire que pour la procédure étape par étape.
-
Créez les comptes utilisateur de connexion pour chaque locataire. Nous vous montrerons uniquement les étapes de création du compte utilisateur du locataire
TSYS1.-
Créez la classe de connexion utilisateur et attribuez-la au système locataire.
[edit] user@SRX# set system login class TSYS1admin1 tenant TSYS1
-
Attribuez un niveau d’autorisation à la classe de connexion, dans cet exemple, nous utiliserons le niveau
allqui permet un accès complet à l’administrateur système du locataire.[edit] user@SRX# set system login class TSYS1admin1 permissions all
-
Créez un compte utilisateur et attribuez-le à la classe des étapes précédentes. Cela permettra à l’utilisateur de se connecter au système du locataire.
[edit] user@SRX# set system login user TSYS1admin1 class TSYS1admin1
-
Créez un mot de passe d’identification utilisateur pour le compte utilisateur.
[edit] user@SRX# set system login user TSYS1admin1 authentication plain-text-password New password: "$ABC123" Retype new password: "$ABC123"
-
-
Configurez le commutateur VPLS. Le commutateur VPLS permet à la fois au trafic de transit et au trafic qui se termine au niveau d’un système locataire de passer entre les systèmes locataires à l’aide d’un seul tunnel logique. Les interfaces de tunnel logique doivent être configurées dans le même sous-réseau pour autoriser le trafic entre les systèmes locataires.
-
Configurez les interfaces de tunnel logique.
[edit] user@SRX# set interfaces lt-0/0/0 unit 100 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 100 peer-unit 0 user@SRX# set interfaces lt-0/0/0 unit 101 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 101 peer-unit 1 user@SRX# set interfaces lt-0/0/0 unit 102 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 102 peer-unit 2 user@SRX# set interfaces lt-0/0/0 unit 103 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 103 peer-unit 3
-
Configurez une instance de routage pour le commutateur VPLS et attribuez les interfaces de tunnel logique.
[edit] user@SRX# set routing-instances VPLS instance-type vpls user@SRX# set routing-instances VPLS interface lt-0/0/0.100 user@SRX# set routing-instances VPLS interface lt-0/0/0.101 user@SRX# set routing-instances VPLS interface lt-0/0/0.102 user@SRX# set routing-instances VPLS interface lt-0/0/0.103
-
-
Configurez les systèmes locataires. Nous ne montrons la configuration que pour un seul locataire.
-
Configurez les interfaces associées au locataire.
[edit] user@SRX# set interfaces lt-0/0/0 unit 1 encapsulation ethernet user@SRX# set interfaces lt-0/0/0 unit 1 peer-unit 101 user@SRX# set interfaces lt-0/0/0 unit 1 family inet address 10.0.1.1/24 user@SRX# set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.254/24
-
Configurez le locataire, l’instance de routage, le routage statique et attribuez les interfaces.
[edit] user@SRX# set tenants TSYS1 routing-instances vr1 instance-type virtual-router user@SRX# set tenants TSYS1 routing-instances vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 user@SRX# set tenants TSYS1 routing-instances vr1 interface lt-0/0/0.1 user@SRX# set tenants TSYS1 routing-instances vr1 interface ge-0/0/1.0
-
-
Configurez les profils de sécurité. Nous ne montrons que la configuration minimale nécessaire pour configurer les systèmes logiques et locataires pour cet exemple.
[edit] user@SRX# set system security-profile SP0 logical-system root-ls user@SRX# set system security-profile SP1 tenant TSYS1 user@SRX# set system security-profile SP2 tenant TSYS2 user@SRX# set system security-profile SP3 tenant TSYS3
-
Configurez les systèmes logiques. Dans cet exemple, l’utilisation d’un commutateur VPLS d’interconnexion nécessite un système logique.
-
Configurez les interfaces.
[edit] user@SRX# set logical-systems root-ls interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 encapsulation ethernet user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 peer-unit 100 user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 family inet address 10.0.1.10/24
-
Configurez les routes statiques.
[edit] user@SRX# set logical-systems root-ls routing-options static route 192.168.1.0/24 next-hop 10.0.1.1 user@SRX# set logical-systems root-ls routing-options static route 192.168.2.0/24 next-hop 10.0.1.2 user@SRX# set logical-systems root-ls routing-options static route 192.168.3.0/24 next-hop 10.0.1.3
-
-
Configurez des zones et des stratégies de sécurité dans les systèmes logiques pour permettre au trafic de passer des locataires à Internet. Des stratégies de sécurité supplémentaires peuvent être configurées sur les systèmes logiques et locataires pour autoriser le trafic entre les locataires.
-
Configurez des zones de sécurité.
[edit] user@SRX# set logical-systems root-ls security zones security-zone trust host-inbound-traffic system-services ping user@SRX# set logical-systems root-ls security zones security-zone trust interfaces lt-0/0/0.0 user@SRX# set logical-systems root-ls security zones security-zone untrust host-inbound-traffic system-services ping user@SRX# set logical-systems root-ls security zones security-zone untrust interfaces ge-0/0/0.0
-
Configurez les stratégies de sécurité.
[edit] user@SRX# set logical-systems root-ls security address-book global address TSYS1 192.168.1.0/24 user@SRX# set logical-systems root-ls security address-book global address TSYS2 192.168.2.0/24 user@SRX# set logical-systems root-ls security address-book global address TSYS3 192.168.3.0/24 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS1 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS2 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS3 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match destination-address any user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match application any user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out then permit
-
-
Configurez des zones et des stratégies de sécurité dans chaque système locataire pour permettre le flux de trafic vers Internet.
-
Configurez des zones de sécurité.
[edit] user@SRX# set tenants TSYS1 security zones security-zone PC1 host-inbound-traffic system-services ping user@SRX# set tenants TSYS1 security zones security-zone PC1 interfaces ge-0/0/1.0 user@SRX# set tenants TSYS1 security zones security-zone VPLS host-inbound-traffic system-services ping user@SRX# set tenants TSYS1 security zones security-zone VPLS interfaces lt-0/0/0.1
-
Configurez les stratégies de sécurité.
[edit] user@SRX# set tenants TSYS1 security address-book global address PC1 192.168.1.0/24 user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match source-address PC1 user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match destination-address any user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match application any user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out then permit
-
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant la show tenants TSYS1 commande pour vérifier que le système de locataire est créé. Saisissez la show system login class TSYS1admin1 commande pour afficher le niveau d’autorisation pour chaque classe que vous avez définie. Pour vous assurer que les administrateurs système locataires sont créés, saisissez la show system login user TSYS1admin1 commande. Pour vous assurer que les interfaces d’interconnexion du commutateur VPLS sont créées, saisissez la show interfaces commande. Entrez show logical-systems pour vérifier la configuration des systèmes logiques racines.
user@SRX# show tenants TSYS1
routing-instances {
vr1 {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.1.10;
}
}
interface lt-0/0/0.1;
interface ge-0/0/1.0;
}
}
security {
address-book {
global {
address PC1 192.168.1.0/24;
}
}
policies {
from-zone PC1 to-zone VPLS {
policy allow-out {
match {
source-address PC1;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone PC1 {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPLS {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
lt-0/0/0.1;
}
}
}
}
user@SRX# show system login class TSYS1admin1 tenant TSYS1; permissions all;
user@SRX# show system login user TSYS1admin1
uid 2001;
class TSYS1admin1;
authentication {
encrypted-password "$ABC123";
}
user@SRX# show interfaces
lt-0/0/0 {
unit 1 {
encapsulation ethernet;
peer-unit 101;
family inet {
address 10.0.1.1/24;
}
}
unit 2 {
encapsulation ethernet;
peer-unit 102;
family inet {
address 10.0.1.2/24;
}
}
unit 3 {
encapsulation ethernet;
peer-unit 103;
family inet {
address 10.0.1.3/24;
}
}
unit 100 {
encapsulation ethernet-vpls;
peer-unit 0;
}
unit 101 {
encapsulation ethernet-vpls;
peer-unit 1;
}
unit 102 {
encapsulation ethernet-vpls;
peer-unit 2;
}
unit 103 {
encapsulation ethernet-vpls;
peer-unit 3;
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.168.1.254/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 192.168.2.254/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.3.254/24;
}
}
}
user@SRX# show logical-systems
root-ls {
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
lt-0/0/0 {
unit 0 {
encapsulation ethernet;
peer-unit 100;
family inet {
address 10.0.1.10/24;
}
}
}
}
routing-options {
static {
route 192.168.1.0/24 next-hop 10.0.1.1;
route 192.168.2.0/24 next-hop 10.0.1.2;
route 192.168.3.0/24 next-hop 10.0.1.3;
}
}
security {
address-book {
global {
address TSYS1 192.168.1.0/24;
address TSYS2 192.168.2.0/24;
address TSYS3 192.168.3.0/24;
}
}
policies {
from-zone trust to-zone untrust {
policy allow-out {
match {
source-address [ TSYS1 TSYS2 TSYS3 ];
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
lt-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
}
}
}
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de ces exemples pour la corriger. Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des systèmes locataires et des configurations de connexion à l’aide de l’administrateur principal
- Vérification des systèmes locataires et des configurations de connexion à l’aide de SSH
- Vérification de la connectivité pc1 à Internet
Vérification des systèmes locataires et des configurations de connexion à l’aide de l’administrateur principal
But
Vérifiez que les systèmes locataires existent et que vous pouvez les saisir à partir de la racine en tant qu’administrateur principal. Revenez du système locataire à la racine.
Action
À partir du mode opérationnel, utilisez la commande suivante pour accéder aux systèmes TSYS1locataires :
user@SRX> set cli tenant TSYS1 Tenant: TSYS1 user@SRX:TSYS1>
Vous êtes maintenant entré dans les systèmes TSYS1locataires . Utilisez la commande suivante pour quitter les systèmes TSYS1 locataires vers la racine :
user@SRX:TSYS1> clear cli tenant Cleared default tenants user@SRX>
Sens
Le système de locataire existe et vous pouvez entrer dans le système locataire à partir de la racine en tant qu’administrateur principal.
Vérification des systèmes locataires et des configurations de connexion à l’aide de SSH
But
Vérifiez que les systèmes locataires que vous avez créés existent et que les identifiants et mots de passe de l’administrateur que vous avez créés sont corrects.
Action
Utilisez SSH pour vous connecter à chaque administrateur système locataire.
-
Exécutez SSH en spécifiant l’adresse IP de votre pare-feu SRX Series.
-
Saisissez l’ID d’identification et le mot de passe de l’administrateur système locataire que vous avez créé. Une fois que vous vous êtes connecté, l’invite affiche le nom de l’administrateur système du locataire. Notez en quoi ce résultat diffère du résultat produit lorsque vous vous connectez au système locataire à partir du système logique principal à la racine. Répétez cette procédure pour tous vos systèmes locataires.
login: TSYS1admin1 Password: "$ABC123" TSYS1admin1@SRX: TSYS1>
Sens
L’administrateur TSYS1admin1 système des locataires existe et vous pouvez vous connecter en tant qu’administrateur système locataire.
Vérification de la connectivité pc1 à Internet
But
Vérifiez la connectivité de bout en bout.
Action
Ping et exécutez le traceroute vers Internet à partir de PC1. Dans notre exemple, Internet est 192.168.10.254.
-
Exécutez ping depuis PC1.
user@PC1> ping 192.168.10.254 count 2 PING 192.168.10.254 (192.168.10.254): 56 data bytes 64 bytes from 192.168.10.254: icmp_seq=0 ttl=62 time=3.178 ms 64 bytes from 192.168.10.254: icmp_seq=1 ttl=62 time=3.082 ms --- 192.168.10.254 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.082/3.130/3.178/0.048 ms
-
Exécutez le traceroute depuis PC1.
user@PC1> traceroute 192.168.10.254 traceroute to 192.168.10.254 (192.168.10.254), 30 hops max, 52 byte packets 1 192.168.1.254 (192.168.1.254) 2.188 ms 1.779 ms 1.896 ms 2 10.0.1.10 (10.0.1.10) 1.888 ms 1.535 ms 1.661 ms 3 192.168.10.254 (192.168.10.254) 3.243 ms 15.077 ms 3.499 ms
Sens
PC1 est capable d’atteindre Internet.
ping,
telnet,
ssh
show arp
traceroute, ,
clear arp
show ipv6 neighborset
clear ipv6 neighbors aux commandes.