プライマリ論理システムの概要
1 次論理システムは、ユーザー論理システムを作成し、ユーザー論理システムのセキュリティー・リソースを構成できます。1 次論理システムは、ユーザー論理システムに論理インターフェイスを割り当てます。詳細については、以下のトピックを参照してください。
プライマリ論理システムとプライマリ管理者ロールについて
プライマリ管理者として、論理システムを実行しているSRXシリーズファイアウォールを初期化すると、ルートレベルでプライマリ論理システムが作成されます。root としてデバイスにログインし、root パスワードを変更できます。
デフォルトでは、すべてのシステム・リソースが 1 次論理システムに割り当てられ、1 次管理者はそれらをユーザー論理システムに割り当てます。
プライマリ管理者は、デバイスとそのすべての論理システムを管理します。また、プライマリ論理システムを管理し、割り当てられたリソースを設定します。論理システムを実行するデバイスを管理する 1 つ以上のプライマリ管理者が存在する可能性があります。
主な管理者の役割と主な責任は以下のとおりです。
ユーザー論理システムの作成と管理者の構成。各ユーザー論理システムに対して、1 つ以上のユーザー論理システム管理者を作成できます。
すべての論理システムのユーザー用ログイン アカウントを作成し、適切な論理システムに割り当てます。
デバイス上の論理システム間の通信を許可する場合は、相互接続論理システムを設定します。相互接続論理システムは、内部スイッチとして機能します。管理者は必要ありません。
相互接続論理システムを設定するには、相互接続論理システムと各論理システム間のlt-0/0/0インターフェイスを設定します。これらのピア インターフェイスは、トンネルの確立を効果的に可能にします。
セキュリティー・プロファイルを構成して、システムのセキュリティー・リソースの一部をユーザー論理システムおよび 1 次論理システムにプロビジョニングします。
セキュリティー プロファイルの作成、変更、削除を行い、それらを論理システムにバインドできるのは、プライマリ管理者だけです。
メモ:ユーザー論理システム管理者は、自分の論理システムに割り当てられたインターフェイス、ルーティング、およびセキュリティリソースを設定できます。
ユーザー論理システムに割り当てる論理インターフェイスの作成。(ユーザー論理システム管理者は、論理システムに割り当てられた論理インターフェイスを設定します。
必要に応じてユーザー論理システムを表示および管理し、ユーザー論理システムを削除する。ユーザー論理システムが削除されると、割り当てられた予約済みリソースは、他の論理システムが使用するために解放されます。
IDP、AppTrack、アプリケーション識別、アプリケーションファイアウォール機能の設定。プライマリ管理者は、ルート レベルでトレースとデバッグを使用して、コミット ロールバックを実行することもできます。プライマリ管理者は、プライマリ論理システムを管理し、ユーザー論理システム管理者がルーティングインスタンス、静的ルート、ダイナミックルーティングプロトコル、ゾーン、セキュリティポリシー、スクリーン、ファイアウォール認証など、自分の論理システムに対して設定できるすべての機能を設定します。
「」も参照
SRX シリーズ論理システムプライマリ管理者の構成タスクの概要
このトピックでは、プライマリ管理者のタスクを実行する順序で説明します。
論理システムを実行する SRX シリーズ ファイアウォールは、プライマリ管理者によって管理されます。プライマリ管理者は、論理システムを実行していないSRXシリーズファイアウォールのルート管理者と同じ機能を持っています。ただし、論理システムを実行する SRX シリーズ ファイアウォールは個別の論理システムに分割され、それぞれに独自のリソース、構成、管理上の懸念があるため、プライマリ管理者の役割と責任は他の SRX シリーズ ファイアウォール管理者の役割と責任を超えて広がります。プライマリ管理者は、これらのユーザー論理システムを作成し、リソースを使用してプロビジョニングする必要があります。
プライマリ管理者の役割と責任の概要については、「 プライマリ論理システムとプライマリ管理者の役割について」を参照してください。
プライマリ管理者は、以下のタスクを実行して、論理システムを実行する SRX シリーズ ファイアウォールを設定します。
「」も参照
例:論理システム用の複数のVPLSスイッチとLTインターフェイスの設定
この例では、複数の論理システムを相互接続する方法を示します。これは、LT(論理トンネル)インターフェイスポイントツーポイント接続(カプセル化イーサネット、カプセル化フレームリレー、仮想プライベートLANサービススイッチ)で複数の論理システムを設定することで実現されます。論理システム下の複数の LT インターフェイスと、SRX シリーズ ファイアウォールを離れることなく、複数の VPLS スイッチがトラフィックを通過するように設定されています。フレームリレーカプセル化は、特定のフレームにデータリンク接続識別子(DLCI)情報を追加します。
要件
この例では、論理システムを備えたJunos OSを実行するSRXシリーズファイアウォールを使用しています。
開始する前に、以下を行います。
SRX シリーズ論理システムのプライマリ管理者設定タスクの概要を読み、この手順がプライマリ管理者の設定プロセス全体にどのように適合するかを確認します。
概要
この例では、1つの論理システムの下に複数のLTインターフェイスと複数のVPLSスイッチを設定します。
この例では、LTインタフェースのポイントツーポイント接続(カプセル化イーサネットとカプセル化フレームリレー)を使用して、相互接続複数の論理システムを設定します。
図 1 は、論理システムを相互接続するためのトポロジーを示しています。
の設定
LTインターフェイスポイントツーポイント接続(カプセル化イーサネット)を使用する相互接続論理システムでは、論理トンネルインターフェイスlt-0/0/0を設定します。この例では、セキュリティゾーンを設定し、論理システムにインターフェイスを割り当てます。
相互接続論理システム lt-0/0/0 インターフェイスは、カプセル化タイプとしてイーサネットで設定されています。論理システムの対応するピアlt-0/0/0インターフェイスは、カプセル化タイプとしてイーサネットで設定されています。セキュリティプロファイルが論理システムに割り当てられます。
この例では、LTインタフェースポイントツーポイント接続(カプセル化フレームリレー)を持つ相互接続論理システムでは、論理トンネルインターフェイスlt-0/0/0を設定します。この例では、セキュリティゾーンを設定し、論理システムにインターフェイスを割り当てます。
相互接続論理システム lt-0/0/0 インターフェイスは、カプセル化タイプとして frame-relay で設定されています。論理システムの対応するピア lt-0/0/0 インターフェイスは、カプセル化タイプとして frame-relay で設定されています。セキュリティプロファイルが論理システムに割り当てられます。
複数のVPLSスイッチを持つ相互接続論理システムの場合、この例では、論理トンネルインターフェイスlt-0/0/0をカプセル化タイプとしてイーサネットvplsで設定します。対応するピア lt-0/0/0 インターフェイスとセキュリティ プロファイルが論理システムに割り当てられます。VPLSスイッチ-1およびVPLSスイッチ-2のルーティングインスタンスも論理システムに割り当てられます。
図 2 は、VPLS スイッチを使用して論理システムを相互接続するためのトポロジーを示しています。
図 2:VPLS スイッチを使用した相互接続論理システムの設定
メモ:論理システム内に複数のLTインターフェイスを設定できます。
構成
論理システムのインターフェイスを設定するには、以下のタスクを実行します。
- 論理トンネルインターフェイスを使用した論理システム相互接続のポイントツーポイント接続(カプセル化イーサネット)の設定
- 論理トンネルインターフェイスによる論理システム相互接続のポイントツーポイント接続の設定(カプセル化フレームリレー)
- 複数のVPLSスイッチによる論理システム相互接続の設定
論理トンネルインターフェイスを使用した論理システム相互接続のポイントツーポイント接続(カプセル化イーサネット)の設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set system security-profile SP-user logical-system LSYS2 set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 peer-unit 21 set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 family inet address 192.255.2.1/30 set logical-systems LSYS2 security zones security-zone LT interfaces lt-0/0/0.20 set system security-profile SP-user logical-system LSYS2A set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 encapsulation ethernet set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 peer-unit 20 set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 family inet address 192.255.2.2/30 set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match source-address any set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match destination-address any set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match application any set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT then permit set logical-systems LSYS2A security policies default-policy permit-all set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic system-services all set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic protocols all set logical-systems LSYS2A security zones security-zone LT interfaces lt-0/0/0.21
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
セキュリティー プロファイルを定義し、論理システムに割り当てます。
[edit] user@host# set system security-profile SP-user logical-system LSYS2
LTインタフェースを論理システムのカプセル化イーサネットとして設定します。
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 encapsulation ethernet
論理システム LSYS2 のピア関係を設定します。
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 peer-unit 21
LTインタフェースのIPアドレスを指定します。
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 20 family inet address 192.255.2.1/30
LTインタフェースのセキュリティゾーンを設定します。
[edit] user@host# set logical-systems LSYS2 security zones security-zone LT interfaces lt-0/0/0.20
セキュリティー プロファイルを定義し、論理システムに割り当てます。
[edit] user@host# set system security-profile SP-user logical-system LSYS2A
LTインタフェースを論理システム2Aのカプセル化イーサネットとして設定します。
[edit] user@host# set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 encapsulation ethernet
論理システム LSYS2A のピア関係を設定します。
[edit] user@host# set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 peer-unit 20
LTインタフェースのIPアドレスを指定します。
[edit] user@host# set logical-systems LSYS2A interfaces lt-0/0/0 unit 21 family inet address 192.255.2.2/30
LTゾーンからLTポリシーゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit] user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match source-address any user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match destination-address any user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT match application any user@host# set logical-systems LSYS2A security policies from-zone LT to-zone LT policy LT then permit
デフォルトポリシーからのトラフィックを許可するセキュリティポリシーを設定します。
[edit] user@host# set logical-systems LSYS2A security policies default-policy permit-all
セキュリティ ゾーンを設定します。
[edit] user@host# set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic system-services all user@host# set logical-systems LSYS2A security zones security-zone LT host-inbound-traffic protocols all user@host# set logical-systems LSYS2A security zones security-zone LT interfaces lt-0/0/0.21
結果
設定モードから、 コマンドを入力して設定を
show logical-systems LSYS2確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS2 interfaces { lt-0/0/0 { unit 20 { encapsulation ethernet; peer-unit 21; family inet { address 192.255.2.1/30; } } unit 22 { encapsulation ethernet; peer-unit 23; family inet { address 192.255.4.1/30; } } } } security { zones { security-zone LT { interfaces { lt-0/0/0.22; lt-0/0/0.20; } } } }
設定モードから、 コマンドを入力して設定を
show logical-systems LSYS2A確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS2A interfaces { lt-0/0/0 { unit 21 { encapsulation ethernet; peer-unit 20; family inet { address 192.255.2.2/30; } } } } security { policies { from-zone LT to-zone LT { policy LT { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { permit-all; } } zones { security-zone LT { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.21; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit 。
論理トンネルインターフェイスによる論理システム相互接続のポイントツーポイント接続の設定(カプセル化フレームリレー)
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set system security-profile SP-user logical-system LSYS3A set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 encapsulation frame-relay set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 dlci 16 set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 peer-unit 31 set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 family inet address 192.255.3.1/30 set logical-systems LSYS3 security zones security-zone LT interfaces lt-0/0/0.30 set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 encapsulation frame-relay set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 dlci 16 set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 peer-unit 30 set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 family inet address 192.255.3.2/30 set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match source-address any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match destination-address any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match application any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT then permit set logical-systems LSYS3A security policies default-policy permit-all set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic system-services all set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic protocols all set logical-systems LSYS3A security zones security-zone LT interfaces lt-0/0/0.31
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
セキュリティー プロファイルを定義し、論理システムに割り当てます。
[edit] user@host# set system security-profile SP-user logical-system LSYS3A
論理システムで LT インタフェースをカプセル化フレームリレーとして設定します。
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 encapsulation frame-relay
dlciを含めて論理トンネルインターフェイスを設定します。
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 dlci 16
LTインタフェース間のピアユニット関係を設定し、ポイントツーポイント接続を作成します。
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 peer-unit 31
LTインタフェースのIPアドレスを指定します。
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 30 family inet address 192.255.3.1/30
LTインタフェースのセキュリティゾーンを設定します。
[edit] user@host# set logical-systems LSYS3 security zones security-zone LT interfaces lt-0/0/0.30
論理システムで LT インタフェースをカプセル化フレームリレーとして設定します。
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 encapsulation frame-relay
dlciを含めて論理トンネルインターフェイスを設定します。
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 dlci 16
LTインタフェース間のピアユニット関係を設定し、ポイントツーポイント接続を作成します。
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 peer-unit 30
LTインタフェースのIPアドレスを指定します。
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 31 family inet address 192.255.3.2/30
LTゾーンからLTポリシーゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit] user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match source-address any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match destination-address any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match application any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT then permit
デフォルトポリシーからのトラフィックを許可するセキュリティポリシーを設定します。
[edit] user@host# set logical-systems LSYS3A security policies default-policy permit-all
セキュリティ ゾーンを設定します。
[edit] user@host# set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic system-services all user@host# set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic protocols all user@host# set logical-systems LSYS3A security zones security-zone LT interfaces lt-0/0/0.31
結果
設定モードから、 コマンドを入力して設定を
show logical-systems LSYS3確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS3 interfaces { lt-0/0/0 { unit 30 { encapsulation frame-relay; dlci 16; peer-unit 31; family inet { address 192.255.3.1/30; } } } } security { zones { security-zone LT { interfaces { lt-0/0/0.30; } } } }
設定モードから、 コマンドを入力して設定を
show logical-systems LSYS3A確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS3A
interfaces { lt-0/0/0 { unit 31 { encapsulation frame-relay; dlci 16; peer-unit 30; family inet { address 192.255.3.2/30; } } } } security { policies { from-zone LT to-zone LT { policy LT { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { permit-all; } } zones { security-zone LT { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.31; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit 。
複数のVPLSスイッチによる論理システム相互接続の設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set interfaces lt-0/0/0 unit 11 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 11 peer-unit 1 set interfaces lt-0/0/0 unit 12 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 12 peer-unit 2 set interfaces lt-0/0/0 unit 13 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 13 peer-unit 3 set interfaces lt-0/0/0 unit 23 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 23 peer-unit 22 set interfaces lt-0/0/0 unit 25 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 25 peer-unit 24 set routing-instances vpls-switch-1 instance-type vpls set routing-instances vpls-switch-1 interface lt-0/0/0.11 set routing-instances vpls-switch-1 interface lt-0/0/0.12 set routing-instances vpls-switch-1 interface lt-0/0/0.13 set routing-instances vpls-switch-2 instance-type vpls set routing-instances vpls-switch-2 interface lt-0/0/0.23 set routing-instances vpls-switch-2 interface lt-0/0/0.25 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 11 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 192.255.0.1/24 set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 peer-unit 12 set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 family inet address 192.255.0.2/24 set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 peer-unit 23 set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 family inet address 192.255.4.1/30 set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 encapsulation ethernet set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 peer-unit 13 set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 family inet address 192.255.0.3/24 set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 encapsulation ethernet set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 peer-unit 25 set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 family inet address 192.255.4.2/30 set system security-profile SP-user policy maximum 100 set system security-profile SP-user policy reserved 50 set system security-profile SP-user zone maximum 60 set system security-profile SP-user zone reserved 10 set system security-profile SP-user flow-session maximum 100 set system security-profile SP-user flow-session reserved 50 set system security-profile SP-user logical-system LSYS1 set system security-profile SP-user logical-system LSYS2 set system security-profile SP-user logical-system LSYS3 set system security-profile SP-user logical-system LSYS2B
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
lt-0/0/0インターフェイスを設定します。
[edit] user@host# set interfaces lt-0/0/0 unit 11 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 11 peer-unit 1 user@host# set interfaces lt-0/0/0 unit 12 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 12 peer-unit 2 user@host# set interfaces lt-0/0/0 unit 13 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 13 peer-unit 3 user@host# set interfaces lt-0/0/0 unit 23 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 23 peer-unit 22 user@host# set interfaces lt-0/0/0 unit 25 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 25 peer-unit 24
VPLSスイッチのルーティングインスタンスを設定し、それにインターフェイスを追加します。
[edit] user@host# set routing-instances vpls-switch-1 instance-type vpls user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.11 user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.12 user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.13 user@host# set routing-instances vpls-switch-2 instance-type vpls user@host# set routing-instances vpls-switch-2 interface lt-0/0/0.23 user@host# set routing-instances vpls-switch-2 interface lt-0/0/0.25
LSYS1をlt-0/0/0.1インターフェイスとピアlt-0/0/0.11で設定します。
[edit] user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 11 user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 192.255.0.1/24
LSYS2をlt-0/0/0.2インターフェイスとピアlt-0/0/0.12で設定します。
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 encapsulation ethernet user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 peer-unit 12 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 2 family inet address 192.255.0.2/24 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 encapsulation ethernet user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 peer-unit 23 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 22 family inet address 192.255.4.1/30
LSYS3をlt-0/0/0.3インターフェイスとピアlt-0/0/0.13で設定する
[edit] user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 encapsulation ethernet user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 peer-unit 13 user@host# set logical-systems LSYS3 interfaces lt-0/0/0 unit 3 family inet address 192.255.0.3/24
LSYS2Bをlt-0/0/0インターフェイスとピアユニット24で設定します。
[edit] user@host# set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 encapsulation ethernet user@host# set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 peer-unit 25 user@host# set logical-systems LSYS2B interfaces lt-0/0/0 unit 24 family inet address 192.255.4.2/30
論理システムにセキュリティプロファイルを割り当てます。
[edit] user@host# set system security-profile SP-user policy maximum 100 user@host# set system security-profile SP-user policy reserved 50 user@host# set system security-profile SP-user zone maximum 60 user@host# set system security-profile SP-user zone reserved 10 user@host# set system security-profile SP-user flow-session maximum 100 user@host#set system security-profile SP-user flow-session reserved 50 user@host# set system security-profile SP-user logical-system LSYS1 user@host# set system security-profile SP-user logical-system LSYS2 user@host# set system security-profile SP-user logical-system LSYS3 user@host# set system security-profile SP-user logical-system LSYS2B
結果
設定モードから、 、 コマンドを入力して設定を
show interfaces lt-0/0/0確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show interfaces lt-0/0/0 unit 11 { encapsulation ethernet-vpls; peer-unit 1; } unit 12 { encapsulation ethernet-vpls; peer-unit 2; } unit 13 { encapsulation ethernet-vpls; peer-unit 3; } unit 23 { encapsulation ethernet-vpls; peer-unit 22; } unit 25 { encapsulation ethernet-vpls; peer-unit 24; }設定モードから、 、 コマンドを入力して設定を
show routing-instances確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show routing-instances vpls-switch-1 { instance-type vpls; interface lt-0/0/0.11; interface lt-0/0/0.12; interface lt-0/0/0.13; } vpls-switch-2 { instance-type vpls; interface lt-0/0/0.23; interface lt-0/0/0.25; }設定モードから、 、 コマンドを入力して設定を
show logical-systems LSYS1確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS1 interfaces { lt-0/0/0 { unit 1 { encapsulation ethernet; peer-unit 11; family inet { address 192.255.0.1/24; } } } }設定モードから、 、 コマンドを入力して設定を
show logical-systems LSYS2確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS2 interfaces { lt-0/0/0 { unit 2 { encapsulation ethernet; peer-unit 12; family inet { address 192.255.0.2/24; } } unit 22 { encapsulation ethernet; peer-unit 23; family inet { address 192.255.4.1/30; } } } }設定モードから、 、 コマンドを入力して設定を
show logical-systems LSYS3確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS3 interfaces { lt-0/0/0 { unit 3 { encapsulation ethernet; peer-unit 13; family inet { address 192.255.0.3/24; } } } }設定モードから、 、 コマンドを入力して設定を
show logical-systems LSYS2B確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show logical-systems LSYS2B interfaces { lt-0/0/0 { unit 24 { encapsulation ethernet; peer-unit 25; family inet { address 192.255.4.2/30; } } } }設定モードから、 、 コマンドを入力して設定を
show system security-profile確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。[edit] user@host# show system security-profile SP-user { policy { maximum 100; reserved 50; } zone { maximum 60; reserved 10; } flow-session { maximum 100; reserved 50; } logical-system [ LSYS1 LSYS2 LSYS3 LSYS2B ]; }
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
すべての論理システムのセキュリティプロファイルの検証
目的
各論理システムのセキュリティ プロファイルを検証します。
アクション
動作モードから、 コマンドを show system security-profile security-log-stream-number logical-system all 入力します。
user@host> show system security-profile security-log-stream-number logical-system all
logical system name security profile name usage reserved maximum root-logical-system Default-Profile 2 0 2000 LSYS1 SP-user 1 10 60 LSYS2 SP-user 1 10 60 LSYS2B SP-user 1 10 60 LSYS3 SP-user 1 10 60
意味
セキュリティログストリームが設定されている場合、出力は論理システムの使用率と予約された値を提供します。
すべての論理システムの LT インターフェースの検証
目的
論理システムのインターフェイスを検証します。
アクション
動作モードから、 コマンドを show interfaces lt-0/0/0 terse 入力します。
user@host> show interfaces lt-0/0/0 terse
Interface Admin Link Proto Local Remote lt-0/0/0 up up lt-0/0/0.1 up up inet 192.255.0.1/24 lt-0/0/0.2 up up inet 192.255.0.2/24 lt-0/0/0.3 up up inet 192.255.0.3/24 lt-0/0/0.11 up up vpls lt-0/0/0.12 up up vpls lt-0/0/0.13 up up vpls lt-0/0/0.22 up up inet 192.255.4.1/30 lt-0/0/0.23 up up vpls lt-0/0/0.24 up up inet 192.255.4.2/30 lt-0/0/0.25 up up vpls lt-0/0/0.32767 up up
意味
出力は、LTインタフェースのステータスを提供します。すべてのLTインターフェイスが稼働しています。