テナントシステムのフロー
このトピックでは、テナント システムで設定されたデバイス上のフロー セッションでパケットがどのように処理されるかについて説明します。テナント システムを実行するデバイスが、テナント システム間のパススルー トラフィックをどのように処理するかを説明します。このトピックでは、テナント システム内の自己トラフィックと、別のテナント システムで終端した自己トラフィックについても取り上げます。テナント システムに対応する前に、このトピックでは、パケット処理とセッションに関する SRX シリーズ アーキテクチャに関する基本的な情報を提供します。最後に、セッションとセッション特性の変更方法に取り組みます。
テナントシステムを実行するデバイスのセッション作成
ルーティングやその他の分類情報に基づいて、情報を保存し、フローにリソースを割り当てるためのセッションが作成されます。基本的に、トラフィックがテナント システム インターフェイスに入ったときにセッションが確立され、ネクスト ホップ インターフェイスを識別するためにルート ルックアップが実行され、ポリシー ルックアップが実行されます。
必要に応じて、テナント システムで内部ソフトウェア スイッチを設定できます。仮想プライベートLANスイッチ(VPLS)は、テナントシステムの相互接続として実装されます。VPLSにより、テナントシステムで終了したトランジットトラフィックと、テナントシステム間を通過するトラフィックの両方が可能になります。トラフィックをテナントシステム間またはテナントシステムと論理システム間で通過させるためには、相互接続テナントシステム全体の論理トンネル(lt-0/0/0)インターフェイスが使用されます。
パケットシーケンスは、イングレスインターフェイスとエグレスインターフェイスで発生します。テナント システム間を通過するパケットは、物理インターフェイスで受信した順序で処理されない場合があります。
- パケット分類を理解する
- VPLSスイッチと論理トンネルインターフェイスについて
- テナント システムのパススルー トラフィックの処理
- セルフトラフィックの処理
- セッションとゲートの制限制御について
- セッションの設定について
パケット分類を理解する
フローベース処理のパケット分類は、物理インターフェイスと 論理 インターフェイスの両方に基づき、受信インターフェイスに依存します。パケット分類はイングレスポイントで実行され、フロー内ではパケットベースの処理もSPUで行われる場合があります。
パケット分類は、テナント システムの有無にかかわらず設定されたデバイスに対して、同じ方法で評価されます。専用インターフェイスのトラフィックは、そのインターフェイスを含むテナントシステムに分類されます。通常、フィルターとサービスクラスの機能は、デバイスの転送が許可されるパケットに影響を与え、必要に応じてパケットに特別なアクションを適用するインターフェイスに関連付けられています。
VPLSスイッチと論理トンネルインターフェイスについて
このトピックでは、デバイス上の1つのテナントシステムを別のテナントシステムに接続する内部仮想プライベートLANサービス(VPLS)スイッチとして機能する相互接続テナントシステムについて説明します。また、論理トンネル(lt-0/0/0)インターフェイスを使用して相互接続テナント システムを介してテナント システムを接続する方法についても説明します。
テナントシステムを実行するデバイスは、内部VPLSスイッチを使用して、デバイスを離れることなくトラフィックを渡すことができます。デバイス上のテナントシステム間の通信を行うには、内部スイッチを使用する各テナントシステムでlt-0/0/0インターフェイスを設定し、相互接続テナントシステム上のピアlt-0/0/0インターフェイスに関連付け、効果的にそれらの間に論理トンネルを作成する必要があります。テナントシステムの lt-0/0/0 インターフェイスを設定する場合、トンネルの各エンドでピア関係を定義します。
デバイス上のすべてのテナント システムが、外部スイッチを使用せずに相互に通信できるようにしたい場合があります。あるいは、一部のテナント システムを内部スイッチを介して接続したいが、それらすべてには接続しない場合があります。
テナントシステムでlt-0/0/0インターフェイスを設定し、それに対してピアlt-0/0/0インターフェイスを含むVPLSスイッチを設定しない場合、コミットは失敗します。
テナント システムを実行する SRX シリーズ ファイアウォールは、 シャーシ クラスタ で使用でき、各ノードの設定は同じです。
シャーシ クラスタ内のテナント システムで設定された SRX シリーズ ファイアウォールを使用する場合、シャーシ クラスタ内の各ノードに同じ数のライセンスを購入してインストールする必要があります。テナントシステムライセンスは、シャーシクラスタ内の単一シャーシまたはノードに関連し、クラスタ全体とは関係しません。
テナント システムのパススルー トラフィックの処理
テナント システムを実行する SRX シリーズ ファイアウォールの場合、パススルー トラフィックはテナント システム内またはテナント システム間に存在できます。
テナント システム間のパススルー トラフィック
各テナントシステムには、トラフィックが通過しなければならないイングレスおよびエグレスインターフェイスを備え、テナントシステム間のパススルートラフィックは複雑です。まるで、2台のデバイスからトラフィックが出入りしているかのように見えます。 図 1 に示すトポロジーで指定されたテナント システム間でパススルー トラフィックをどのように処理するかを検討します。
テナント システム間のパススルー トラフィックには、2 つのセッションを確立する必要があります。(ポリシー ルックアップは両方のテナント システムで実行されることに注意してください)。
受信テナントシステムでは、イングレスインターフェイス(物理インターフェイス)とエグレスインターフェイス(lt-0/0/0インターフェイス)の間に1つのセッションが設定されます。
エグレステナントシステムでは、イングレスインターフェイス(第2テナントシステムのlt-0/0/0インターフェイス)とそのエグレスインターフェイス(物理インターフェイス)の間に別のセッションが設定されます。
図 1 に示すトポロジーのテナント システム全体で、パススルー トラフィックをどのように処理するかを検討します。
受信テナント システムでセッションが確立されます。
パケットがインターフェイス ge-0/0/5 に到着すると、テナント製品設計テナント システムに属すると識別されます。
ge-0/0/5 は pd-vr1 ルーティング インスタンスに属しているため、pd-vr1 でルート ルックアップが実行されます。
ルックアップの結果、パケットのエグレスインターフェイスはlt-0/0/0.3として識別され、ネクストホップはテナントマーケティング部門のイングレスインターフェイスであるlt-0/0/0.5と識別されます。
ge-0/0/5とlt-0/0/0.3の間でセッションが確立されます。
セッションは、発信テナント システムで確立されます。
パケットは lt-0/0/0.5 からフローに再びインジェクトされ、テナント マーケティング部門として識別されるテナント システム コンテキストはインターフェイスから派生します。
テナントマーケティング部門のテナントシステムでは、パケット処理が続行されます。
エグレス インターフェイスを識別するために、mk-vr1 ルーティング インスタンスでパケットのルート ルックアップが実行されます。
発信インターフェイスは ge-0/0/6 として識別され、パケットはインターフェイスからネットワークに送信されます。
セルフトラフィックの処理
セルフトラフィックとは、デバイス上のテナント システムから発信され、そのテナント システムからネットワークに送信されるか、デバイス上の別のテナント システムで終了するトラフィックです。
自発トラフィック
自律的なトラフィックは、ソーステナントシステムコンテキストから生成され、テナントシステムインターフェイスからネットワークに直接転送されます。
次のプロセスが発生します。
テナント システムでパケットが生成されると、そのトラフィックを処理するプロセスがテナント システムで開始されます。
ルートルックアップは、エグレスインターフェイスを識別するために実行され、セッションが確立されます。
テナント システムはポリシー ルックアップを実行し、それに応じてトラフィックを処理します。
図 1 に示すトポロジーを考えると、テナント システム間で自己開始トラフィックをどのように処理するかを検討します。
テナント製品設計テナント システムでパケットが生成され、そのトラフィックを処理するプロセスがテナント システムで開始されます。
ルート ルックアップは pd-vr2 で実行され、エグレス インターフェイスは ge-0/0/8 として識別されます。
セッションが確立されます。
パケットは ge-0/0/8 からネットワークに送信されます。
テナント システムで終了したトラフィック
パケットがテナント システムに属するインターフェイス上のデバイスに入り、パケットがデバイス上の別のテナント システムに向かう場合、パケットはパススルー トラフィックと同じ方法でテナント システム間に転送されます。ただし、2番目のテナントシステムのルート検索では、ローカルのエグレスインターフェイスがパケット宛先として識別されます。その結果、2 番目のテナント システムで自己トラフィックとしてパケットが終了します。
終了した自己トラフィックの場合、2 つのポリシー ルックアップが実行され、2 つのセッションが確立されます。
受信テナントシステムでは、イングレスインターフェイス(物理インターフェイス)とエグレスインターフェイス(lt-0/0/0インターフェイス)の間に1つのセッションが設定されます。
宛先テナントシステムでは、イングレスインターフェイス(第2テナントシステムのlt-0/0/0インターフェイス)とローカルインターフェイスの間に別のセッションが設定されます。
図 1 に示すトポロジーのテナント システム間で、終了した自己トラフィックをどのように処理するかを検討します。
受信テナント システムでセッションが確立されます。
パケットがインターフェイス ge-0/0/5 に到着すると、テナント製品設計テナント システムに属すると識別されます。
ge-0/0/5 は pd-vr1 ルーティング インスタンスに属しているため、pd-vr1 でルート ルックアップが実行されます。
ルックアップの結果、パケットのエグレス インターフェイスは lt-0/0/0.3 として識別され、ネクスト ホップは ls-marketing-dept のイングレス インターフェイスである lt-0/0/0.5 と識別されます。
ge-0/0/5とlt-0/0/0.3の間でセッションが確立されます。
管理セッションは、宛先テナント システムで確立されます。
パケットは lt-0/0/0.5 からフローに再びインジェクトされ、テナント マーケティング部門として識別されるテナント システム コンテキストはインターフェイスから派生します。
テナントマーケティング部門のテナントシステムでは、パケット処理が続行されます。
パケットのルート ルックアップは、mk-vr1 ルーティング インスタンスで実行されます。パケットは、宛先テナント システムで自己トラフィックとして終了します。
セッションとゲートの制限制御について
セッションは、ルーティングやその他の分類情報に基づいて作成され、情報を格納し、フローにリソースを割り当てます。テナント システム フロー モジュールは、これらのリソースをテナント システム間で共有できるように、セッションとゲートの制限を提供します。各テナント システムのリソース割り当てと制限は、テナント システムにバインドされたセキュリティ プロファイルで指定されます。
セッション制限の場合、システムはセッションの最初のパケットをテナント システムに設定された最大セッション数と照合します。セッションの上限に達すると、デバイスはパケットをドロップしてイベントをログに記録します。
ゲート制限の場合、デバイスはセッションの最初のパケットをテナント システムに設定されたゲートの最大数と照合します。テナント システムのゲートの最大数に達した場合、デバイスはゲートオープンリクエストを拒否し、イベントを記録します。
セッションの設定について
プロトコルとサービスに応じて、セッションはタイムアウト値でプログラムされます。例えば、TCP のデフォルトのタイムアウトは 1800 秒です。UDP のデフォルト タイムアウトは 60 秒です。フローが終了すると、無効とマークされ、タイムアウトは 10 秒に短縮されます。トラフィックが使用されていない場合、 サービスタイムアウト前にトラフィックがセッションを使用しない場合、セッションはエージングアウトされ、共通のリソースプールに解放されて再利用されます。
以下の方法でセッションの寿命に影響を与えることができます。
セッション テーブルのフル数に基づいて、セッションをエージング アウトします。
TCP セッションのエージング アウトの明示的なタイムアウトを設定します。
TCP RST(リセット)メッセージを受信したときに、TCP セッションを無効にするように設定します。
セッションを設定して、他のシステムに対応するには、次の手順に従います。
TCPパケットセキュリティチェックを無効にします。
最大セグメント サイズを変更します。
論理システムとテナント システムの設定複数の VPLS スイッチによる相互接続
この例では、論理システムとテナント システムを複数の VPLS スイッチと相互接続する方法を示します。これは、テナントシステム下に複数の論理トンネル(LT)インターフェイスを持つ複数の論理システムとテナントシステム、およびSRXシリーズファイアウォールを離れることなくトラフィックを通過するように設定された複数のVPLSスイッチを設定することで実現します。
要件
この例では、論理システムとテナントシステムでJunos OSを実行するSRXシリーズファイアウォールを使用しています。
概要
この例では、1つのテナントシステムで複数のLTインターフェイスと複数のVPLSスイッチを設定します。
この例では、LTインタフェースポイントツーポイント接続(カプセル化イーサネットとカプセル化フレームリレー)を使用して、複数の論理システムとテナントシステム間の相互接続も設定します。
複数のVPLSスイッチを持つ相互接続された論理システムとテナントシステムの場合、この例では、論理トンネルインターフェイスlt-0/0/0をカプセル化タイプとしてイーサネット-vplsで設定します。対応するピア lt-0/0/0 インターフェイスとセキュリティ プロファイルが、論理システムとテナント システムに割り当てられます。VPLSスイッチ-1とVPLSスイッチ-2のルーティングインスタンスも、論理システムとテナントシステムに割り当てられます。
図 2 は、相互接続された論理システムと、複数の VPLS スイッチを持つテナント システムのトポロジーを示しています。
構成
論理システムとテナント システムのインターフェイスを設定するには、次のタスクを実行します。
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set interfaces lt-0/0/0 unit 11 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 11 peer-unit 1 set interfaces lt-0/0/0 unit 12 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 12 peer-unit 2 set interfaces lt-0/0/0 unit 13 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 13 peer-unit 3 set interfaces lt-0/0/0 unit 23 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 23 peer-unit 22 set interfaces lt-0/0/0 unit 25 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 25 peer-unit 24 set routing-instances vpls-switch-1 instance-type vpls set routing-instances vpls-switch-1 interface lt-0/0/0.11 set routing-instances vpls-switch-1 interface lt-0/0/0.12 set routing-instances vpls-switch-1 interface lt-0/0/0.13 set routing-instances vpls-switch-2 instance-type vpls set routing-instances vpls-switch-2 interface lt-0/0/0.23 set routing-instances vpls-switch-2 interface lt-0/0/0.25 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 11 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 192.168.0.1/24 set interfaces lt-0/0/0 unit 2 encapsulation ethernet set interfaces lt-0/0/0 unit 2 peer-unit 12 set interfaces lt-0/0/0 unit 2 family inet address 192.168.0.2/24 set interfaces lt-0/0/0 unit 22 encapsulation ethernet set interfaces lt-0/0/0 unit 22 peer-unit 23 set interfaces lt-0/0/0 unit 22 family inet address 192.168.4.1/30 set tenants TSYS1 routing-instances vr11 instance-type virtual-router set tenants TSYS1 routing-instances vr11 interface lt-0/0/0.2 set tenants TSYS1 routing-instances vr11 interface lt-0/0/0.22 set interfaces lt-0/0/0 unit 3 encapsulation ethernet set interfaces lt-0/0/0 unit 3 peer-unit 13 set interfaces lt-0/0/0 unit 3 family inet address 192.168.0.3/24 set tenants TSYS2 routing-instances vr12 instance-type virtual-router set tenants TSYS2 routing-instances vr12 interface lt-0/0/0.3 set logical-systems LSYS2 interfaces lt-0/0/0 unit 24 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 24 peer-unit 25 set logical-systems LSYS2 interfaces lt-0/0/0 unit 24 family inet address 192.168.4.2/30 set system security-profile SP-user policy maximum 100 set system security-profile SP-user policy reserved 50 set system security-profile SP-user zone maximum 60 set system security-profile SP-user zone reserved 10 set system security-profile SP-user flow-session maximum 100 set system security-profile SP-user flow-session reserved 50 set system security-profile SP-user logical-system LSYS1 set system security-profile SP-user tenant TSYS1 set system security-profile SP-user tenant TSYS2 set system security-profile SP-user logical-system LSYS2
手順
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
lt-0/0/0インターフェイスを設定します。
[edit] user@host# set interfaces lt-0/0/0 unit 11 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 11 peer-unit 1 user@host# set interfaces lt-0/0/0 unit 12 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 12 peer-unit 2 user@host# set interfaces lt-0/0/0 unit 13 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 13 peer-unit 3 user@host# set interfaces lt-0/0/0 unit 23 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 23 peer-unit 22 user@host# set interfaces lt-0/0/0 unit 25 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 25 peer-unit 24
VPLSスイッチのルーティングインスタンスを設定し、それにインターフェイスを追加します。
[edit] user@host# set routing-instances vpls-switch-1 instance-type vpls user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.11 user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.12 user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.13 user@host# set routing-instances vpls-switch-2 instance-type vpls user@host# set routing-instances vpls-switch-2 interface lt-0/0/0.23 user@host# set routing-instances vpls-switch-2 interface lt-0/0/0.25
LSYS1をlt-0/0/0.1インターフェイスとピアlt-0/0/0.11で設定します。
[edit] user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 11 user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 192.168.0.1/24
TSYS1をlt-0/0/0.2インターフェイスとピアlt-0/0/0.12で設定します。
[edit] user@host# set interfaces lt-0/0/0 unit 2 encapsulation ethernet user@host# set interfaces lt-0/0/0 unit 2 peer-unit 12 user@host# set interfaces lt-0/0/0 unit 2 family inet address 192.168.0.2/24 user@host# set interfaces lt-0/0/0 unit 22 encapsulation ethernet user@host# set interfaces lt-0/0/0 unit 22 peer-unit 23 user@host# set interfaces lt-0/0/0 unit 22 family inet address 192.168.4.1/30 user@host# set tenants TSYS1 routing-instances vr11 instance-type virtual-router user@host# set tenants TSYS1 routing-instances vr11 interface lt-0/0/0.2 user@host# set tenants TSYS1 routing-instances vr11 interface lt-0/0/0.22
TSYS2をlt-0/0/0.3インターフェイスおよびピアlt-0/0/0.13で設定する
[edit] user@host# set interfaces lt-0/0/0 unit 3 encapsulation ethernet user@host# set interfaces lt-0/0/0 unit 3 peer-unit 13 user@host# set interfaces lt-0/0/0 unit 3 family inet address 192.168.0.3/24 user@host# set tenants TSYS2 routing-instances vr12 instance-type virtual-router user@host# set tenants TSYS2 routing-instances vr12 interface lt-0/0/0.3
LSYS2をlt-0/0/0インターフェイスとピアユニット24で設定します。
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 24 encapsulation ethernet user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 24 peer-unit 25 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 24 family inet address 192.168.4.2/30
論理システムにセキュリティプロファイルを割り当てます。
[edit] user@host# set system security-profile SP-user policy maximum 100 user@host# set system security-profile SP-user policy reserved 50 user@host# set system security-profile SP-user zone maximum 60 user@host# set system security-profile SP-user zone reserved 10 user@host# set system security-profile SP-user flow-session maximum 100 user@host#set system security-profile SP-user flow-session reserved 50 user@host# set system security-profile SP-user logical-system LSYS1 user@host# set system security-profile SP-user tenant TSYS1 user@host# set system security-profile SP-user tenant TSYS2 user@host# set system security-profile SP-user logical-system LSYS2
結果
設定モードから、 、 コマンドを入力して設定を
show interfaces lt-0/0/0
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。unit 2 { encapsulation ethernet; peer-unit 12; family inet { address 192.168.0.2/24; } } unit 3 { encapsulation ethernet; peer-unit 13; family inet { address 192.168.0.3/24; } } unit 11 { encapsulation ethernet-vpls; peer-unit 1; } unit 12 { encapsulation ethernet-vpls; peer-unit 2; } unit 13 { encapsulation ethernet-vpls; peer-unit 3; } unit 22 { encapsulation ethernet; peer-unit 23; family inet { address 192.168.4.1/30; } } unit 23 { encapsulation ethernet-vpls; peer-unit 22; } unit 25 { encapsulation ethernet-vpls; peer-unit 24; }
設定モードから、 、 コマンドを入力して設定を
show routing-instances
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show routing-instances vpls-switch-1 { instance-type vpls; interface lt-0/0/0.11; interface lt-0/0/0.12; interface lt-0/0/0.13; } vpls-switch-2 { instance-type vpls; interface lt-0/0/0.23; interface lt-0/0/0.25; }
設定モードから、 、 コマンドを入力して設定を
show logical-systems LSYS1
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS1 interfaces { lt-0/0/0 { unit 1 { encapsulation ethernet; peer-unit 11; family inet { address 192.168.0.1/24; } } } }
設定モードから、 、 コマンドを入力して設定を
show logical-systems LSYS2
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show tenants TSYS1 routing-instances { vr11 { instance-type virtual-router; interface lt-0/0/0.2; interface lt-0/0/0.22; } }
設定モードから、 、 コマンドを入力して設定を
show logical-systems LSYS3
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show tenants TSYS2 routing-instances { vr12 { instance-type virtual-router; interface lt-0/0/0.3; } }
設定モードから、 、 コマンドを入力して設定を
show logical-systems LSYS2
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS2 interfaces { lt-0/0/0 { unit 24 { encapsulation ethernet; peer-unit 25; family inet { address 192.168.4.2/30; } } } }
設定モードから、 、 コマンドを入力して設定を
show system security-profile
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show system security-profile SP-user { policy { maximum 100; reserved 50; } zone { maximum 60; reserved 10; } flow-session { maximum 100; reserved 50; } logical-system [ LSYS1 LSYS2 ]; tenant [ TSYS1 TSYS2 ]; }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
論理システムのセキュリティプロファイルの検証
目的
各論理システムのセキュリティ プロファイルを検証します。
アクション
動作モードから、 コマンドを show system security-profile security-log-stream-number logical-system all
入力します。
user@host> show system security-profile assignment summary
Total Maximum security-profiles 1 65 logical-systems 1 32 tenants 0 32 logical-systems and tenants 1 64
意味
セキュリティログストリームが設定されている場合、出力は論理システムの使用率と予約された値を提供します。
論理システムの LT インターフェースの検証
目的
論理システムのインターフェイスを検証します。
アクション
動作モードから、 コマンドを show interfaces lt-0/0/0 terse
入力します。
user@host> show interfaces lt-0/0/0 terse
Interface Admin Link Proto Local Remote lt-0/0/0 up up lt-0/0/0.1 up up inet 192.168.0.1/24 lt-0/0/0.2 up up inet 192.168.0.2/24 lt-0/0/0.3 up up inet 192.168.0.3/24 lt-0/0/0.11 up up vpls lt-0/0/0.12 up up vpls lt-0/0/0.13 up up vpls lt-0/0/0.22 up up inet 192.168.4.1/30 lt-0/0/0.23 up up vpls lt-0/0/0.24 up up inet 192.168.4.2/30 lt-0/0/0.25 up up vpls lt-0/0/0.32767 up up
意味
出力は、LTインタフェースのステータスを提供します。すべてのLTインターフェイスが稼働しています。
テナント システムの設定論理トンネル インターフェイスとの相互接続ポイントツーポイント接続
この例では、ポイントツーポイント接続でテナントシステムを論理トンネル(LT)インターフェイスと相互接続する方法を示しています。
要件
この例では、論理システムとテナントシステムでJunos OSを実行するSRXシリーズファイアウォールを使用しています。
概要
この例では、ポイントツーポイント接続でテナントシステムを論理トンネル(LT)インターフェイスと相互接続する方法を示しています。
ポイントツーポイント接続(カプセル化フレームリレー)LTインターフェイスを持つ相互接続されたテナントシステムでは、この例では論理トンネルインターフェイスlt-0/0/0を設定します。この例では、セキュリティゾーンを設定し、論理システムにインターフェイスを割り当てます。
相互接続された論理システム lt-0/0/0 インターフェイスは、カプセル化タイプとして frame-relay で設定されています。テナントシステムの対応するピアlt-0/0/0インターフェイスは、カプセル化タイプとしてframe-relayで設定されています。テナント システムにセキュリティ プロファイルが割り当てられます。
図3 は、ポイントツーポイント接続LTインターフェイスで相互接続されたテナントシステムのトポロジーを示しています。
構成
セキュリティゾーンを設定し、テナントシステムにインターフェイスを割り当てるには、以下のタスクを実行します。
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set system security-profile sp1 tenant TSYS1 set system security-profile sp2 tenant TSYS1A set interfaces xe-0/0/5 gigether-options redundant-parent reth0 set interfaces xe-0/0/6 gigether-options redundant-parent reth1 set interfaces xe-1/0/5 gigether-options redundant-parent reth0 set interfaces xe-1/0/6 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 2 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces lt-0/0/0 unit 20 encapsulation ethernet set interfaces lt-0/0/0 unit 20 peer-unit 21 set interfaces lt-0/0/0 unit 20 family inet address 198.51.1.20/24 set interfaces reth0 unit 0 family inet address 198.51.100.1/24 set interfaces lt-0/0/0 unit 21 encapsulation ethernet set interfaces lt-0/0/0 unit 21 peer-unit 20 set interfaces lt-0/0/0 unit 21 family inet address 198.51.1.21/24 set interfaces reth1 unit 0 family inet address 192.0.2.1/24 set tenants TSYS1 routing-instances vr11 instance-type virtual-router set tenants TSYS1 routing-instances vr11 interface lt-0/0/0.20 set tenants TSYS1 routing-instances vr11 interface reth0.0 set tenants TSYS1 routing-instances vr11 routing-options static route 192.0.2.0/24 next-hop 198.51.1.21 set tenants TSYS1 security policies default-policy permit-all set tenants TSYS1 security zones security-zone trust host-inbound-traffic system-services all set tenants TSYS1 security zones security-zone trust host-inbound-traffic protocols all set tenants TSYS1 security zones security-zone trust interfaces reth0.0 set tenants TSYS1 security zones security-zone untrust host-inbound-traffic system-services all set tenants TSYS1 security zones security-zone untrust host-inbound-traffic protocols all set tenants TSYS1 security zones security-zone untrust interfaces lt-0/0/0.20 set tenants TSYS1A routing-instances vr12 instance-type virtual-router set tenants TSYS1A routing-instances vr12 interface lt-0/0/0.21 set tenants TSYS1A routing-instances vr12 interface reth1.0 set tenants TSYS1A routing-instances vr12 routing-options static route 198.51.100.0/24 next-hop 198.51.1.20 set tenants TSYS1A security policies default-policy permit-all set tenants TSYS1A security zones security-zone trust host-inbound-traffic system-services all set tenants TSYS1A security zones security-zone trust host-inbound-traffic protocols all set tenants TSYS1A security zones security-zone trust interfaces reth1.0 set tenants TSYS1A security zones security-zone untrust host-inbound-traffic system-services all set tenants TSYS1A security zones security-zone untrust host-inbound-traffic protocols all set tenants TSYS1A security zones security-zone untrust interfaces lt-0/0/0.21
[項目] の設定
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
セキュリティプロファイルsp1を定義し、テナントシステムTNIに割り当てます。別のセキュリティー・プロファイル sp1 を定義し、テナント・システムに割り当てる TSYS1A
[edit] user@host# set system security-profile sp1 tenant TSYS1 user@host# set system security-profile sp2 tenant TSYS1A
reth0 と reth1 のインターフェイスを設定し、リダンダンシー グループ 1 と冗長グループ 2 に割り当てます。
[edit] set interfaces xe-0/0/5 gigether-options redundant-parent reth0 set interfaces xe-0/0/6 gigether-options redundant-parent reth1 set interfaces xe-1/0/5 gigether-options redundant-parent reth0 set interfaces xe-1/0/6 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 2 set interfaces reth1 redundant-ether-options redundancy-group 1
テナントシステムTSYS1で、LTインタフェースをカプセル化イーサネットとして設定します。
[edit] user@host# set interfaces lt-0/0/0 unit 20 encapsulation ethernet
LTインタフェース間のピアユニット関係を設定し、ポイントツーポイント接続を作成します。
[edit] user@host# set interfaces lt-0/0/0 unit 20 peer-unit 21
LTインタフェースのIPアドレスを指定します。
[edit] user@host# set interfaces lt-0/0/0 unit 20 family inet address 198.51.1.20/24
reth0 の IP アドレスを指定します。
[edit] user@host# set interfaces reth0 unit 0 family inet address 198.51.100.1/24
テナントシステムTSYS1Aで、LTインタフェースをカプセル化イーサネットとして設定します。
[edit] user@host# set interfaces lt-0/0/0 unit 21 encapsulation ethernet
LTインタフェース間のピアユニット関係を設定し、ポイントツーポイント接続を作成します。
[edit] user@host# set interfaces lt-0/0/0 unit 21 peer-unit 20
LTインタフェースのIPアドレスを指定します。
[edit] user@host# set interfaces lt-0/0/0 unit 21 family inet address 198.51.1.21/24
reth1 の IP アドレスを指定します。
[edit] user@host# set interfaces reth1 unit 0 family inet address 192.0.2.1/24
TSYS1 のルーティング・インスタンスを定義します。
[edit] set tenants TSYS1 routing-instances vr11 instance-type virtual-router set tenants TSYS1 routing-instances vr11 interface lt-0/0/0.20 set tenants TSYS1 routing-instances vr11 interface reth0.0 set tenants TSYS1 routing-instances vr11 routing-options static route 192.0.2.0/24 next-hop 198.51.1.21
すべてのトラフィックを許可するセキュリティポリシーを設定します。
[edit] user@host# set tenants TSYS1 security policies default-policy permit-all
セキュリティ ゾーンを設定します。
[edit] set tenants TSYS1 security zones security-zone trust host-inbound-traffic system-services all set tenants TSYS1 security zones security-zone trust host-inbound-traffic protocols all set tenants TSYS1 security zones security-zone trust interfaces reth0.0 set tenants TSYS1 security zones security-zone untrust host-inbound-traffic system-services all set tenants TSYS1 security zones security-zone untrust host-inbound-traffic protocols all set tenants TSYS1 security zones security-zone untrust interfaces lt-0/0/0.20
TSYS1A のルーティングインスタンスを定義します。
[edit] set tenants TSYS1A routing-instances vr12 instance-type virtual-router set tenants TSYS1A routing-instances vr12 interface lt-0/0/0.21 set tenants TSYS1A routing-instances vr12 interface reth1.0 set tenants TSYS1A routing-instances vr12 routing-options static route 198.51.100.0/24 next-hop 198.51.1.20
すべてのトラフィックを許可するセキュリティポリシーを設定します。
[edit] set tenants TSYS1A security policies default-policy permit-all
セキュリティ ゾーンを設定します。
[edit] set tenants TSYS1A security zones security-zone trust host-inbound-traffic system-services all set tenants TSYS1A security zones security-zone trust host-inbound-traffic protocols all set tenants TSYS1A security zones security-zone trust interfaces reth1.0 set tenants TSYS1A security zones security-zone untrust host-inbound-traffic system-services all set tenants TSYS1A security zones security-zone untrust host-inbound-traffic protocols all set tenants TSYS1A security zones security-zone untrust interfaces lt-0/0/0.21
結果
設定モードから、 コマンドを入力して設定を
show tenants TSYS1
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show tenants TSYS1 routing-instances { vr11 { instance-type virtual-router; interface lt-0/0/0.20; interface reth0.0; routing-options { static { route 192.0.2.0/24 next-hop 198.51.1.21; } } } } security { policies { default-policy { permit-all; } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.20; } } } }
設定モードから、 コマンドを入力して設定を
show tenants TSYS1A
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show tenants TSYS1A routing-instances { vr12 { instance-type virtual-router; interface lt-0/0/0.21; interface reth1.0; routing-options { static { route 198.51.100.0/24 next-hop 198.51.1.20; } } } } security { policies { default-policy { permit-all; } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth1.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.21; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
すべてのテナント システムのセキュリティ プロファイルの検証
目的
各論理システムのセキュリティ プロファイルを検証します。
アクション
動作モードから、 コマンドを show system security-profile zone tenant al
入力します。
user@host> show system security-profile zone tenant al
logical-system tenant name security profile name usage reserved maximum T1 bronze 1 0 2048 T1A pX 0 0 2048
意味
セキュリティログストリームが設定されている場合、出力は論理システムの使用率と予約された値を提供します。
論理トンネル インターフェイスポイントツーポイント接続による論理システムとテナント システム相互接続の設定
この例では、ポイントツーポイント接続で論理システムとテナントシステムを論理トンネル(LT)インターフェイスと相互接続する方法を示しています。
要件
この例では、論理システムとテナントシステムでJunos OSを実行するSRXシリーズファイアウォールを使用しています。
概要
この例では、論理システムとテナントシステムを LT(論理トンネル)インターフェイスポイントツーポイント接続で相互接続する方法を示します。
ポイントツーポイント接続 LT インターフェイスを使用して論理システムとテナント システムを相互接続する場合、この例では論理トンネル インターフェイス lt-0/0/0 を設定します。この例では、セキュリティゾーンを設定し、インターフェイスを論理システムに割り当てます。
論理システムとテナントシステムを相互接続するために、lt-0/0/0インターフェイスはカプセル化タイプとしてイーサネットで設定されています。対応するピア lt-0/0/0 インターフェイスは、カプセル化タイプとしてイーサネットで設定されています。セキュリティ プロファイルが論理システムとテナント システムに割り当てられます。
図4 は、LTインタフェースポイントツーポイント接続で相互接続された論理システムとテナントシステムのトポロジーを示しています。
構成
セキュリティゾーンを設定し、インターフェイスを論理システムに割り当てるには、以下のタスクを実行します。
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set system security-profile SP-user tenant TSYS2 set interfaces lt-0/0/0 unit 30 encapsulation ethernet set interfaces lt-0/0/0 unit 30 peer-unit 31 set interfaces lt-0/0/0 unit 30 family inet address 192.255.2.1/30 set tenants TSYS2 routing-instances vr11 instance-type virtual-router set tenants TSYS2 routing-instances vr11 interface lt-0/0/0.30 set security zones security-zone LT interfaces lt-0/0/0.30 set system security-profile SP-user logical-system LSYS3A set logical-systems LSYS3A interfaces lt-0/0/0 unit 21 encapsulation ethernet set logical-systems LSYS3A interfaces lt-0/0/0 unit 21 peer-unit 20 set logical-systems LSYS3A interfaces lt-0/0/0 unit 21 family inet address 192.255.2.2/30 set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match source-address any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match destination-address any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match application any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT then permit set logical-systems LSYS3A security policies default-policy permit-all set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic system-services all set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic protocols all set logical-systems LSYS3A security zones security-zone LT interfaces lt-0/0/0.31
手順
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
セキュリティ プロファイルを定義し、テナント システムに割り当てます。
[edit] user@host# set system security-profile SP-user tenant TSYS2
LTインタフェースをテナントシステムのカプセル化イーサネットとして設定します。
[edit] user@host# set interfaces lt-0/0/0 unit 20 encapsulation ethernet
テナントシステムTSYS2のピア関係を設定します。
[edit] user@host# set interfaces lt-0/0/0 unit 20 peer-unit 21
LTインタフェースのIPアドレスを指定します。
[edit] user@host# set interfaces lt-0/0/0 unit 20 family inet address 192.255.2.1/30
LTインタフェースのセキュリティゾーンを設定します。
[edit] user@host# set logical-systems LSYS2 security zones security-zone LT interfaces lt-0/0/0.30
セキュリティー プロファイルを定義し、論理システムに割り当てます。
[edit] user@host# set system security-profile SP-user logical-system LSYS3A
TSYS2 のルーティング・インスタンスを定義します。
[edit] set tenants TSYS2 routing-instances vr11 instance-type virtual-router set tenants TSYS2 routing-instances vr11 interface lt-0/0/0.30
LTインタフェースを論理システム3Aのカプセル化イーサネットとして設定します。
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 21 encapsulation ethernet
論理システム LSYS3A のピア関係を設定します。
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 21 peer-unit 20
LTインタフェースのIPアドレスを指定します。
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 21 family inet address 192.255.2.2/30
LTゾーンからLTポリシーゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit] user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match source-address any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match destination-address any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match application any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT then permit
デフォルトポリシーからのトラフィックを許可するセキュリティポリシーを設定します。
[edit] user@host# set logical-systems LSYS3A security policies default-policy permit-all
セキュリティ ゾーンを設定します。
[edit] user@host# set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic system-services all user@host# set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic protocols all user@host# set logical-systems LSYS3A security zones security-zone LT interfaces lt-0/0/0.31
結果
設定モードから、 コマンドを入力して設定を
show tenants TSYS2
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show tenants TSYS2 routing-instances { vr11 { instance-type virtual-router; interface lt-0/0/0.30; } }
設定モードから、 コマンドを入力して設定を
show logical-systems LSYS3A
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS3A interfaces { lt-0/0/0 { unit 21 { encapsulation ethernet; peer-unit 20; family inet { address 192.255.2.2/30; } } } } security { policies { from-zone LT to-zone LT { policy LT { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { permit-all; } } zones { security-zone LT { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.31; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
すべての論理システムとテナントシステムのLTインターフェイスの検証
目的
論理システムのインターフェイスを検証します。
アクション
動作モードから、 コマンドを show system security-profile zone all-logical-systems-tenants
入力します。
user@host> show system security-profile zone all-logical-systems-tenants
logical-system tenant name security profile name usage reserved maximum root-logical-system Default-Profile 1 0 2048 LSYS3A1 gold 1 0 2048 TSYS23 bronze 1 0 2048
意味
出力は、LTインタフェースのステータスを提供します。すべてのLTインターフェイスが稼働しています。
すべての論理システムのセキュリティプロファイルの検証
目的
各論理システムのセキュリティ プロファイルを検証します。
アクション
動作モードから、 コマンドを show system security-profile security-log-stream-number logical-system all
入力します。
user@host> show system security-profile security-log-stream-number logical-system all
logical system name security profile name usage reserved maximum root-logical-system Default-Profile 2 0 2000 LSYS3A SP-user 1 10 60
意味
セキュリティログストリームが設定されている場合、出力は論理システムの使用率と予約された値を提供します。