プライマリ論理システムの概要
プライマリ論理システムでは、ユーザー論理システムを作成し、ユーザー論理システムのセキュリティリソースを設定することができます。プライマリ論理システムは、論理インターフェイスをユーザーの論理システムに割り当てます。詳細については、次のトピックを参照してください。
プライマリ論理システムとプライマリ管理者の役割について
プライマリ管理者が論理システムを実行しているSRXシリーズファイアウォールを初期化すると、プライマリ論理システムがルートレベルに作成されます。root としてデバイスにログインし、root パスワードを変更できます。
デフォルトでは、すべてのシステムリソースがプライマリ論理システムに割り当てられ、プライマリ管理者はそれらをユーザ論理システムに割り当てます。
プライマリ管理者は、デバイスとそのすべての論理システムを管理します。また、プライマリ論理システムを管理し、割り当てられたリソースを設定します。論理システムを実行するデバイスを管理するプライマリ管理者は、複数存在できます。
プライマリ管理者の役割と主な責任は次のとおりです。
ユーザー論理システムの作成とその管理者の設定ユーザー論理システムごとに、1つ以上のユーザー論理システム管理者を作成できます。
すべての論理システムのユーザーのログイン アカウントを作成し、適切な論理システムに割り当てます。
デバイス上の論理システム間の通信を許可する場合、相互接続論理システムを設定します。相互接続論理システムは、内部スイッチとして機能します。管理者は必要ありません。
相互接続論理システムを設定するには、相互接続論理システムと各論理システムの間にlt-0/0/0インターフェイスを設定します。これらのピアインターフェイスは、トンネルの確立を効果的に許可します。
システムのセキュリティリソースの一部をユーザー論理システムとプライマリ論理システムにプロビジョニングするためのセキュリティプロファイルを設定します。
セキュリティプロファイルを作成、変更、削除し、論理システムにバインドできるのはプライマリ管理者だけです。
注:ユーザーの論理システム管理者は、自分の論理システムに割り当てられたインターフェイス、ルーティング、セキュリティリソースを設定できます。
ユーザーの論理システムに割り当てる論理インターフェイスの作成。(ユーザーの論理システム管理者は、自分の論理システムに割り当てられた論理インターフェイスを設定します。)
必要に応じてユーザー論理システムを表示および管理し、ユーザー論理システムを削除します。ユーザー論理システムが削除されると、割り当てられた予約済みリソースが他の論理システムが使用できるように解放されます。
IDP、AppTrack、アプリケーション識別、アプリケーションファイアウォール機能を設定します。プライマリ管理者は、ルート レベルでトレースとデバッグを使用し、コミット ロールバックを実行することもできます。プライマリ管理者はプライマリ論理システムを管理し、ルーティングインスタンス、静的ルート、動的ルーティングプロトコル、ゾーン、セキュリティポリシー、スクリーン、ファイアウォール認証など、ユーザーの論理システム管理者が自分の論理システムに設定できるすべての機能を設定します。
関連項目
SRXシリーズ論理システム プライマリ管理者の設定タスクの概要
このトピックでは、プライマリ管理者のタスクを実行された順序で説明します。
論理システムを実行するSRXシリーズファイアウォールは、プライマリ管理者によって管理されます。プライマリ管理者は、論理システムを実行していないSRXシリーズファイアウォールのルート管理者と同じ機能を持っています。ただし、論理システムを実行するSRXシリーズファイアウォールは個別の論理システムに分割されており、それぞれに独自のリソース、設定、管理上の懸念事項があるため、プライマリ管理者の役割と責任は他のSRXシリーズファイアウォール管理者の役割と責任を超えています。プライマリ管理者は、これらのユーザー論理システムの作成とリソースのプロビジョニングを担当します。
プライマリ管理者の役割と責任の概要については、 プライマリ論理システムとプライマリ管理者のロールについてを参照してください。
プライマリ管理者は、以下のタスクを実行して、論理システムを実行しているSRXシリーズファイアウォールを設定します。
関連項目
例:論理システム向けの複数のVPLSスイッチとLTインターフェイスの設定
この例では、複数の論理システムを相互接続する方法を示しています。これは、論理トンネル(LT)インターフェイスのポイントツーポイント接続(カプセル化イーサネット、カプセル化フレームリレー、仮想プライベートLANサービススイッチ)で複数の論理システムを設定することで実現されます。論理システムと複数のVPLSスイッチの下に複数のLTインターフェイスがあり、SRXシリーズファイアウォールを離れることなくトラフィックを渡すように設定されています。フレームリレーのカプセル化により、指定されたフレームにDLCI(データリンク接続識別子)情報が追加されます。
要件
この例では、論理システムを備えたJunos OSを実行するSRXシリーズファイアウォールを使用します。
始める前に:
-
SRXシリーズ論理システムプライマリ管理者設定タスクの概要を参照して、この手順がプライマリ管理者設定プロセス全体の中でどのように、どこに位置するかを理解してください。
概要
この例では、1つの論理システムの下で複数のLTインターフェイスと複数のVPLSスイッチを設定します。
この例では、LTインターフェイスのポイントツーポイント接続(カプセル化イーサネットとカプセル化フレームリレー)を使用して複数の論理システムを相互接続することも設定します。
図1は、論理システムを相互接続するためのトポロジーを示しています。
-
LT インターフェイスのポイントツーポイント接続(カプセル化イーサネット)を備えた相互接続論理システムについて、この例では論理トンネル インターフェイス lt-0/0/0 を設定します。この例では、セキュリティゾーンを設定し、論理システムにインターフェイスを割り当てます。
相互接続論理システムlt-0/0/0インターフェイスは、カプセル化タイプとしてイーサネットで設定されています。論理システム内の対応するピアlt-0/0/0インターフェイスは、カプセル化タイプとしてイーサネットで設定されます。セキュリティプロファイルが論理システムに割り当てられます。
-
LTインターフェイスのポイントツーポイント接続(カプセル化フレームリレー)を持つ相互接続論理システムに対して、この例では論理トンネルインターフェイスlt-0/0/0を設定します。この例では、セキュリティゾーンを設定し、論理システムにインターフェイスを割り当てます。
相互接続論理システムlt-0/0/0インターフェイスは、カプセル化タイプとしてフレームリレーで設定されています。論理システム内の対応するピア lt-0/0/0 インターフェイスは、カプセル化タイプとしてフレームリレーで設定されます。セキュリティプロファイルが論理システムに割り当てられます。
-
この例では、複数のVPLSスイッチを備えた相互接続論理システム向けに、カプセル化タイプとしてethernet-vplsを使用して論理トンネルインターフェイスlt-0/0/0を設定します。対応するピア lt-0/0/0 インターフェイスとセキュリティ プロファイルが論理システムに割り当てられます。VPLSスイッチ1およびVPLSスイッチ2のルーティングインスタンスも論理システムに割り当てられます。
図2は、VPLSスイッチを使用して論理システムを相互接続するためのトポロジーを示しています。
図2:VPLSスイッチによる相互接続論理システムの設定
注:論理システム内で複数のLTインターフェイスを設定できます。
設定
論理システムのインターフェイスを設定するには、以下のタスクを実行します。
- 論理システムの構成 論理トンネルインターフェイスとの相互接続 ポイントツーポイント接続(カプセル化イーサネット)
- 論理システムの設定 論理トンネルインターフェイスとの相互接続 ポイントツーポイント接続(カプセル化フレームリレー)
- 複数のVPLSスイッチと相互接続する論理システムの構成
論理システムの構成 論理トンネルインターフェイスとの相互接続 ポイントツーポイント接続(カプセル化イーサネット)
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set system security-profile SP-user logical-system LSYS2 set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 peer-unit 21 set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 family inet address 192.255.2.1/30 set logical-systems LSYS2 security zones security-zone LT interfaces lt-0/0/0.20 set system security-profile SP-user logical-system LSYS2A set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 encapsulation ethernet set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 peer-unit 20 set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 family inet address 192.255.2.2/30 set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match source-address any set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match destination-address any set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match application any set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT then permit set logical-systems LSYS2A security policies default-policy permit-all set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic system-services all set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic protocols all set logical-systems LSYS2A security zones security-zone LT interfaces lt-0/0/0.21
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
-
セキュリティプロファイルを定義し、論理システムに割り当てます。
[edit] user@host# set system security-profile SP-user logical-system LSYS2
-
論理システムでLTインターフェイスをカプセル化イーサネットとして設定します。
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 encapsulation ethernet
-
論理システム LSYS2 のピア関係を設定します。
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 peer-unit 21
-
LT インターフェースの IP アドレスを指定します。
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 family inet address 192.255.2.1/30
-
LTインターフェイスのセキュリティゾーンを設定します。
[edit] user@host# set logical-systems LSYS2 security zones security-zone LT interfaces lt-0/0/0.20
-
セキュリティプロファイルを定義し、論理システムに割り当てます。
[edit] user@host# set system security-profile SP-user logical-system LSYS2A
-
論理システム2Aで、LTインターフェイスをカプセル化イーサネットとして設定します。
[edit] user@host# set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 encapsulation ethernet
-
論理システムLSYS2Aのピア関係を設定します。
[edit] user@host# set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 peer-unit 20
-
LT インターフェースの IP アドレスを指定します。
[edit] user@host# set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 family inet address 192.255.2.2/30
-
LTゾーンからLTポリシーLTゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit] user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match source-address any user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match destination-address any user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match application any user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT then permit
-
default-policyからのトラフィックを許可するセキュリティポリシーを設定します。
[edit] user@host# set logical-systems LSYS2A security policies default-policy permit-all
-
セキュリティゾーンを設定します。
[edit] user@host# set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic system-services all user@host# set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic protocols all user@host# set logical-systems LSYS2A security zones security-zone LT interfaces lt-0/0/0.21
結果
-
設定モードから、
show logical-systems LSYS2コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS2 interfaces { lt-0/0/0 { unit 20 { encapsulation ethernet; peer-unit 21; family inet { address 192.255.2.1/30; } } unit 22 { encapsulation ethernet; peer-unit 23; family inet { address 192.255.4.1/30; } } } } security { zones { security-zone LT { interfaces { lt-0/0/0.22; lt-0/0/0.20; } } } }
-
設定モードから、
show logical-systems LSYS2Aコマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS2A interfaces { lt-0/0/0 { unit 21 { encapsulation ethernet; peer-unit 20; family inet { address 192.255.2.2/30; } } } } security { policies { from-zone LT to-zone LT { policy LT { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { permit-all; } } zones { security-zone LT { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.21; } } } }
デバイスの設定が完了したら、設定モードから commit を入力します。
論理システムの設定 論理トンネルインターフェイスとの相互接続 ポイントツーポイント接続(カプセル化フレームリレー)
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set system security-profile SP-user logical-system LSYS3A set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 encapsulation frame-relay set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 dlci 16 set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 peer-unit 31 set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 family inet address 192.255.3.1/30 set logical-systems LSYS3 security zones security-zone LT interfaces lt-0/0/0.30 set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 encapsulation frame-relay set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 dlci 16 set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 peer-unit 30 set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 family inet address 192.255.3.2/30 set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match source-address any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match destination-address any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match application any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT then permit set logical-systems LSYS3A security policies default-policy permit-all set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic system-services all set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic protocols all set logical-systems LSYS3A security zones security-zone LT interfaces lt-0/0/0.31
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
-
セキュリティプロファイルを定義し、論理システムに割り当てます。
[edit] user@host# set system security-profile SP-user logical-system LSYS3A
-
論理システムで、LT インターフェイスをカプセル化フレームリレーとして設定します。
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 encapsulation frame-relay
-
dlciを含めて論理トンネルインターフェイスを設定します。
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 dlci 16
-
LTインターフェイス間のピアユニット関係を設定し、ポイントツーポイント接続を作成します。
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 peer-unit 31
-
LT インターフェースの IP アドレスを指定します。
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 family inet address 192.255.3.1/30
-
LTインターフェイスのセキュリティゾーンを設定します。
[edit] user@host# set logical-systems LSYS3 security zones security-zone LT interfaces lt-0/0/0.30
-
論理システムで、LT インターフェイスをカプセル化フレームリレーとして設定します。
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 encapsulation frame-relay
-
dlciを含めて論理トンネルインターフェイスを設定します。
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 dlci 16
-
LTインターフェイス間のピアユニット関係を設定し、ポイントツーポイント接続を作成します。
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 peer-unit 30
-
LT インターフェースの IP アドレスを指定します。
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 family inet address 192.255.3.2/30
-
LTゾーンからLTポリシーLTゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit] user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match source-address any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match destination-address any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match application any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT then permit
-
default-policyからのトラフィックを許可するセキュリティポリシーを設定します。
[edit] user@host# set logical-systems LSYS3A security policies default-policy permit-all
-
セキュリティゾーンを設定します。
[edit] user@host# set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic system-services all user@host# set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic protocols all user@host# set logical-systems LSYS3A security zones security-zone LT interfaces lt-0/0/0.31
結果
-
設定モードから、
show logical-systems LSYS3コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS3 interfaces { lt-0/0/0 { unit 30 { encapsulation frame-relay; dlci 16; peer-unit 31; family inet { address 192.255.3.1/30; } } } } security { zones { security-zone LT { interfaces { lt-0/0/0.30; } } } }
-
設定モードから、
show logical-systems LSYS3Aコマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS3A
interfaces { lt-0/0/0 { unit 31 { encapsulation frame-relay; dlci 16; peer-unit 30; family inet { address 192.255.3.2/30; } } } } security { policies { from-zone LT to-zone LT { policy LT { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { permit-all; } } zones { security-zone LT { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.31; } } } }
デバイスの設定が完了したら、設定モードから commit を入力します。
複数のVPLSスイッチと相互接続する論理システムの構成
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set interfaces lt-0/0/0 unit 11 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 11 peer-unit 1 set interfaces lt-0/0/0 unit 12 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 12 peer-unit 2 set interfaces lt-0/0/0 unit 13 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 13 peer-unit 3 set interfaces lt-0/0/0 unit 23 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 23 peer-unit 22 set interfaces lt-0/0/0 unit 25 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 25 peer-unit 24 set routing-instances vpls-switch-1 instance-type vpls set routing-instances vpls-switch-1 interface lt-0/0/0.11 set routing-instances vpls-switch-1 interface lt-0/0/0.12 set routing-instances vpls-switch-1 interface lt-0/0/0.13 set routing-instances vpls-switch-2 instance-type vpls set routing-instances vpls-switch-2 interface lt-0/0/0.23 set routing-instances vpls-switch-2 interface lt-0/0/0.25 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 11 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 192.255.0.1/24 set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 peer-unit 12 set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 family inet address 192.255.0.2/24 set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 peer-unit 23 set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 family inet address 192.255.4.1/30 set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 encapsulation ethernet set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 peer-unit 13 set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 family inet address 192.255.0.3/24 set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 encapsulation ethernet set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 peer-unit 25 set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 family inet address 192.255.4.2/30 set system security-profile SP-user policy maximum 100 set system security-profile SP-user policy reserved 50 set system security-profile SP-user zone maximum 60 set system security-profile SP-user zone reserved 10 set system security-profile SP-user flow-session maximum 100 set system security-profile SP-user flow-session reserved 50 set system security-profile SP-user logical-system LSYS1 set system security-profile SP-user logical-system LSYS2 set system security-profile SP-user logical-system LSYS3 set system security-profile SP-user logical-system LSYS2B
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
-
lt-0/0/0インターフェイスを設定します。
[edit] user@host# set interfaces lt-0/0/0 unit 11 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 11 peer-unit 1 user@host# set interfaces lt-0/0/0 unit 12 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 12 peer-unit 2 user@host# set interfaces lt-0/0/0 unit 13 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 13 peer-unit 3 user@host# set interfaces lt-0/0/0 unit 23 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 23 peer-unit 22 user@host# set interfaces lt-0/0/0 unit 25 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 25 peer-unit 24
-
VPLS スイッチのルーティング インスタンスを設定し、インターフェイスを追加します。
[edit] user@host# set routing-instances vpls-switch-1 instance-type vpls user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.11 user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.12 user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.13 user@host# set routing-instances vpls-switch-2 instance-type vpls user@host# set routing-instances vpls-switch-2 interface lt-0/0/0.23 user@host# set routing-instances vpls-switch-2 interface lt-0/0/0.25
-
LSYS1をlt-0/0/0.1インターフェイスとピアlt-0/0/0.11で設定します。
[edit] user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 11 user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 192.255.0.1/24
-
LSYS2をlt-0/0/0.2インターフェイスとピアlt-0/0/0.12で設定します。
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 encapsulation ethernet user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 peer-unit 12 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 family inet address 192.255.0.2/24 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 encapsulation ethernet user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 peer-unit 23 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 family inet address 192.255.4.1/30
-
LSYS3をlt-0/0/0.3インターフェイスおよびピアlt-0/0/0.13で設定します。
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 encapsulation ethernet user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 peer-unit 13 user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 family inet address 192.255.0.3/24
-
LSYS2B を lt-0/0/0 インターフェイスとピアユニット 24 で設定します。
[edit] user@host# set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 encapsulation ethernet user@host# set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 peer-unit 25 user@host# set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 family inet address 192.255.4.2/30
-
論理システムにセキュリティプロファイルを割り当てます。
[edit] user@host# set system security-profile SP-user policy maximum 100 user@host# set system security-profile SP-user policy reserved 50 user@host# set system security-profile SP-user zone maximum 60 user@host# set system security-profile SP-user zone reserved 10 user@host# set system security-profile SP-user flow-session maximum 100 user@host#set system security-profile SP-user flow-session reserved 50 user@host# set system security-profile SP-user logical-system LSYS1 user@host# set system security-profile SP-user logical-system LSYS2 user@host# set system security-profile SP-user logical-system LSYS3 user@host# set system security-profile SP-user logical-system LSYS2B
結果
-
設定モードから、
show interfaces lt-0/0/0、コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します[edit] user@host# show interfaces lt-0/0/0 unit 11 { encapsulation ethernet-vpls; peer-unit 1; } unit 12 { encapsulation ethernet-vpls; peer-unit 2; } unit 13 { encapsulation ethernet-vpls; peer-unit 3; } unit 23 { encapsulation ethernet-vpls; peer-unit 22; } unit 25 { encapsulation ethernet-vpls; peer-unit 24; } -
設定モードから、
show routing-instances、コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show routing-instances vpls-switch-1 { instance-type vpls; interface lt-0/0/0.11; interface lt-0/0/0.12; interface lt-0/0/0.13; } vpls-switch-2 { instance-type vpls; interface lt-0/0/0.23; interface lt-0/0/0.25; } -
設定モードから、
show logical-systems LSYS1、コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS1 interfaces { lt-0/0/0 { unit 1 { encapsulation ethernet; peer-unit 11; family inet { address 192.255.0.1/24; } } } } -
設定モードから、
show logical-systems LSYS2、コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS2 interfaces { lt-0/0/0 { unit 2 { encapsulation ethernet; peer-unit 12; family inet { address 192.255.0.2/24; } } unit 22 { encapsulation ethernet; peer-unit 23; family inet { address 192.255.4.1/30; } } } } -
設定モードから、
show logical-systems LSYS3、コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS3 interfaces { lt-0/0/0 { unit 3 { encapsulation ethernet; peer-unit 13; family inet { address 192.255.0.3/24; } } } } -
設定モードから、
show logical-systems LSYS2B、コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS2B interfaces { lt-0/0/0 { unit 24 { encapsulation ethernet; peer-unit 25; family inet { address 192.255.4.2/30; } } } } -
設定モードから、
show system security-profile、コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show system security-profile SP-user { policy { maximum 100; reserved 50; } zone { maximum 60; reserved 10; } flow-session { maximum 100; reserved 50; } logical-system [ LSYS1 LSYS2 LSYS3 LSYS2B ]; }
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
すべての論理システムのセキュリティプロファイルの検証
目的
各論理システムのセキュリティプロファイルを確認します。
アクション
動作モードから、 show system security-profile security-log-stream-number logical-system all コマンドを入力します。
user@host> show system security-profile security-log-stream-number logical-system all
logical system name security profile name usage reserved maximum root-logical-system Default-Profile 2 0 2000 LSYS1 SP-user 1 10 60 LSYS2 SP-user 1 10 60 LSYS2B SP-user 1 10 60 LSYS3 SP-user 1 10 60
意味
出力は、security-log-streamが設定されている場合の論理システムの使用量と予約値を提供します。
すべての論理システムに対する LT インターフェイスの検証
目的
論理システムのインターフェイスを検証します。
アクション
動作モードから、 show interfaces lt-0/0/0 terse コマンドを入力します。
user@host> show interfaces lt-0/0/0 terse
Interface Admin Link Proto Local Remote lt-0/0/0 up up lt-0/0/0.1 up up inet 192.255.0.1/24 lt-0/0/0.2 up up inet 192.255.0.2/24 lt-0/0/0.3 up up inet 192.255.0.3/24 lt-0/0/0.11 up up vpls lt-0/0/0.12 up up vpls lt-0/0/0.13 up up vpls lt-0/0/0.22 up up inet 192.255.4.1/30 lt-0/0/0.23 up up vpls lt-0/0/0.24 up up inet 192.255.4.2/30 lt-0/0/0.25 up up vpls lt-0/0/0.32767 up up
意味
出力は、LT インターフェイスのステータスを提供します。すべてのLTインターフェイスが起動しています。