テナントシステムの概要
テナントシステムは、ルーティング、サービス、セキュリティ機能をサポートします。
テナントシステムについて
テナント システムは、物理ファイアウォールを分離された独立した論理ファイアウォールに論理的にパーティション化します。論理システムと同様ですが、テナント システムの方が拡張性が大幅に高く、ルーティング機能が少なくて済みます。デバイス上の各テナント システムでは、セキュリティ サービス用に個別の管理ドメインを制御できます。デバイスをマルチテナント システムに変換することで、環境に応じて、さまざまな部門、組織、顧客、パートナーを提供できます。システム リソースの使用と、セキュリティ設定と KPI のテナント固有のビューは、プライベートおよび論理的に分離されています。プライマリ管理者は、すべてのテナント システムを作成および管理します。 図 1 は、プライマリ論理システムと個別のテナント システムを持つ単一のデバイスを示しています。
- 論理システムとテナント システムの違い
- 論理システムとテナント システムの使用事例
- マルチテナント システムの導入シナリオ
- テナントシステムのメリット
- プライマリ管理者とテナント システム管理者の役割と責任
- テナント システムの容量
論理システムとテナント システムの違い
表 1 は、論理システムとテナント システムの主な違いを示しています。
機能 |
論理システム |
テナントシステム |
|---|---|---|
機能のサポート |
すべてのルーティング機能をサポートし、最適なデータルーティングパスを提供します。 |
ルーティング機能と高度なセキュリティ仮想化をサポートし、お客様の環境を分離します。 |
スケーラビリティ |
物理 SRX シリーズ ファイアウォールでは、最大 32 個の論理システムを設定できます。 |
物理 SRX シリーズ ファイアウォール上に最大 500 個のテナント システムを設定して、高い拡張性を実現できます。 |
ルーティング プロトコル プロセス |
すべての論理システムは、デバイス上のリソースを論理的に分離するために、ルーティングプロトコルプロセスの個々のコピーを必要とします。 |
プライマリ論理システムには、単一のルーティングプロトコルプロセスがあり、テナントシステムで共有されます。この単一のルーティング プロトコル プロセスでサポートされるルーティング インスタンスは、ファイアウォール上でセキュリティ リソースの分離を実現します。 |
ルーティング インスタンス |
デフォルトのルーティングインスタンスは、すべての論理システムに対して自動的に作成されます。 |
Junos OS リリース 19.2R1 以降、テナント システムで設定された仮想ルーターは、 、 |
論理インターフェイス設定 |
プライマリ管理者は論理インターフェイスを割り当て、論理システム管理者はインターフェイス属性を設定できます。 |
テナントシステム管理者は、論理インターフェイスを設定できません。プライマリ管理者は、論理インターフェイスをテナントシステムに割り当てます。 |
論理システムとテナント システムの使用事例
論理システムは、複数の仮想ルーターが必要な場合に使用されます。例えば、外部ネットワークに複数の接続があり、それらが同じ仮想ルーターに共存することはできません。テナント システムは、部門、組織、顧客を分離する必要がある場合に使用され、各テナントを 1 台の仮想ルーターに制限できます。論理システムとテナント システムの主な違いは、論理システムが複数のルーティング インスタンスを使用して高度なルーティング機能をサポートしていることです。一方、テナント システムはルーティング インスタンスを 1 つだけサポートしますが、システムごとにかなり多くのテナントの導入をサポートします。
マルチテナント システムの導入シナリオ
マルチテナント システムを実行する SRX シリーズ ファイアウォールは、マネージド セキュリティ サービス プロバイダ(MSSP)、エンタープライズ ネットワーク、支社セグメントなど、多くの環境に導入できます。 表 2 は、さまざまな導入シナリオと、そのようなシナリオにおけるテナント システムが果たす役割を示しています。
導入シナリオ |
テナント システムの役割 |
|---|---|
マネージド セキュリティ サービス プロバイダ(MSSP) |
|
エンタープライズ ネットワーク |
|
支社セグメント |
|
テナントシステムのメリット
組織に必要な物理デバイスの数を減らすことで、コストを削減します。1台のデバイスでさまざまなユーザーグループのサービスを統合し、ハードウェアのコスト、電力費、ラックスペースを削減できます。
テナントシステムレベルで分離と論理的分離を提供します。各テナント システムが他のテナント システムに影響を与えることなく独自のセキュリティ制御と制限を定義できる、大規模な管理上の分離によってテナント システムを分離する機能を提供します。
プライマリ管理者とテナント システム管理者の役割と責任
プライマリ管理者は、すべてのテナント システムを作成および管理します。1 つのプライマリ論理システムがルート レベルで作成され、単一のルーティング プロトコル プロセスが割り当てられます。このルーティング プロトコル プロセスは共有されますが、テナント システムによってファイアウォール上で論理的なリソースを分離できます。デフォルトでは、すべてのシステム・リソースが 1 次論理システムに割り当てられ、1 次管理者はそれらをテナント・システム管理者に割り当てます。
Junos OS コマンドライン リファレンスでは、プライマリ論理システムは root 論理システムと呼ばれます。
テナント システムは、プライマリ論理システムによってサブインテントされたテナント システムが作成されます。プライマリ論理システムの下のすべてのテナントは単一のルーティングプロセスを共有しますが、各テナントシステムには単一のルーティングインスタンスがあります。 表 3 は、プライマリ管理者とテナント システム管理者の役割と責任を示しています。
役割 |
定義 |
責任 |
|---|---|---|
プライマリ管理者 |
すべての論理システムとテナント システムに対するスーパーユーザー設定および検証権限を持つユーザー アカウント。 |
|
テナント システム管理者 |
すべての構成と検証権限を持つテナント システム アカウント。
メモ:
テナント システム管理者の構成および検証権限は、テナント システム管理者の作成時に 1 次管理者が割り当てた権限によって異なります。要件に基づいてアクセス許可レベルが異なるテナント システムに対して、複数のテナント システム管理者を作成できます。 |
テナント システム管理者は、以下の権限をサポートしていません。
|
テナント システムの容量
デバイスで作成できるテナント システムの最大数を 表 4 に示します。
| プラットフォーム |
論理システムの容量 |
Junos OS リリース 18.4R1 のテナント システム容量 |
|---|---|---|
| SRX1500 |
32 |
50 |
| SRX4100とSRX4200 |
32 |
200 |
| SRX4600 |
32 |
300 |
| SPC2カードを搭載したSRX5400、SRX5600、SRX5800シリーズのデバイス |
32 |
100 |
| SPC3カードを搭載したSRX5400、SRX5600、SRX5800シリーズのデバイス |
32 |
500 |
| SPC2およびSPC3カードを搭載したSRX5400、SRX5600、SRX5800シリーズのデバイス |
32 |
100 |
Junos OSリリース18.4R1以降、テナントシステムは、第3世代サービス処理カード(SRX5K-SPC3)と第2世代サービス処理カード(SRX5K-SPC-4-15-320)を組み合わせて装備したSRX5000ラインセキュリティサービスゲートウェイでサポートできます。Junos OS リリース 18.4R1 以前は、テナント システムは SPC2 でのみサポートされていました。
「」も参照
テナントシステム構成の概要
プライマリ管理者はテナント システムを作成し、テナント システムを管理するための管理者を割り当てます。1 つのテナント システムに複数の管理者を設定できます。テナント システム管理者の役割と責任については、「 テナント システムについて」を参照 してください。
プライマリ管理者は、論理インターフェイスを設定し、これらのインターフェイスをテナントシステムに割り当てます。1つのルーティングインスタンスとルーティングプロトコルを設定し、ルーティングインスタンスのオプションを追加します。 テナントシステムのルーティングインスタンスの設定を参照してください。
テナント システムには、独自の設定データベースがあります。設定に成功すると、各テナント システムのプライマリ データベースに変更がマージされます。複数のテナントシステムで、一度に設定変更を実行できます。一度に1つのテナントに対してのみ変更をコミットできます。1 次管理者とテナント・システム管理者が構成変更を同時に実行すると、1 次管理者が実行した構成変更によって、テナント・システム管理者が行った構成変更が上書きされます。
次の手順では、テナント システム管理者がテナント システムのセキュリティ機能を構成するために実行するタスクについて説明します。
テナントシステムのルーティングインスタンスの設定
ルーティングインスタンスは、ルーティングテーブル、インターフェイス、ルーティングプロトコルパラメーターの集合です。ルーティング インスタンスに属する一連のインターフェイスとルーティング プロトコル パラメーターは、ルーティング インスタンス内の情報を制御します。テナントシステムは、割り当てられたルーティングインスタンスと、テナントシステム内のルーティングインスタンスに属するインターフェイスを設定できます。
1 つのテナント システムに対して作成できるルーティング インスタンスは 1 つだけです。
以下の手順では、テナントシステムのルーティングテーブルでルーティングインスタンスとインターフェイスを設定する手順を説明します。
テナント システム TSYS1の設定を表示するには、 コマンドを show tenants TSYS1 実行します。
routing-instances {
r1 {
instance-type virtual-router;
interface lt-0/0/0.101;
interface xe-0/0/0.0;
interface xe-0/0/1.0;
routing-options {
router-id 1.1.1.101;
}
}
}
コマンドは show tenants TSYS1 、テナント システム TSYS1に設定されたすべてのルーティング インスタンス パラメーターを表示します。
テナント システムのルーティングとインターフェイスについて
ルーティングインスタンスは、ルーティングテーブル、インターフェイス、ルーティングプロトコルパラメーターの集合です。インターフェイスは、ルーティングインスタンスのデータ転送や、ルーティングプロトコルを使用して他のピア(SRXシリーズファイアウォール)からルーティング情報を学習するために使用されます。
論理インターフェイス(IFL)は、以下のいずれかのレベルで定義できます。
グローバル レベル(ルート論理システム)
ユーザー論理システム レベル
テナント システム レベル(リリース Junos OS 18.4R1 以降)
グローバル レベルで定義された IFL は、ルート論理システムまたはいずれかのテナント システムで使用できます。テナント システムで定義された IFL は、そのテナント システムでのみ使用できます。
テナント システムでは、デフォルトのルーティング インスタンスを使用できません。そのため、テナント システム用にカスタム ルーティング インスタンスを作成する場合、そのテナント システムで定義されたすべてのインターフェイスを、そのルーティング インスタンスに追加する必要があります。
概要: テナント システムのルーティングとインターフェイスの設定
この概要では、テナント システムのインターフェイスとルーティング インスタンスを設定する方法を示します。
要件
開始する前に、以下を行います。
どの論理インターフェイスと、オプションで割り当てられる論理トンネル インターフェイスを決定します。 テナントシステム構成の概要を参照してください。
概要
以下の手順では、テナントシステム内のルーティングテーブルにルーティングインスタンスとインターフェイスを設定する手順を説明します。
このトピックでは、 表 5 で説明するインターフェイスとルーティング インスタンスを設定します。
機能 |
名前 |
設定パラメータ |
|---|---|---|
インターフェイス |
ge-0/0/2.1 ge-0/0/2.2 ge-0/0/2.3 |
|
ルーティング インスタンス |
r1 R2 |
|
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2.3 vlan-id 103 set interfaces ge-0/0/2.3 family inet address 10.0.0.3/24 set tenants TSYS1 set tenants TSYS1 interfaces ge-0/0/2.1 vlan-id 101 set tenants TSYS1 interfaces ge-0/0/2.1 family inet address 10.0.0.1/24 set tenants TSYS1 routing-instances r1 instance-type virtual-router set tenants TSYS1 routing-instances r1 interface ge-0/0/2.1 set tenants TSYS1 routing-instances r1 interface ge-0/0/2.3 set tenants TSYS2 set tenants TSYS2 interfaces ge-0/0/2.2 vlan-id 102 set tenants TSYS2 interfaces ge-0/0/2.2 family inet address 10.0.0.2/24 set tenants TSYS2 routing-instances r2 instance-type virtual-router set tenants TSYS2 routing-instances r2 interface ge-0/0/2.2
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
ユーザー論理システムでインターフェイスとルーティングインスタンスを設定するには:
VLANタグ付けをサポートするようにインターフェイスを設定します。
[edit] user@host# set interfaces ge-0/0/2 vlan-tagging
ルート レベルで IFL を設定します。
[edit] set interfaces ge-0/0/2.3 vlan-id 103 set interfaces ge-0/0/2.3 family inet address 10.0.0.3/24
という名前のテナント システムを作成します
TSYS1。[edit] user@host# set tenants TSYS1
テナント システム TSYS1 でインターフェイスを定義します。
[edit] user@host# set tenants TSYS1 interfaces ge-0/0/2.1 vlan-id 101 user@host# set tenants TSYS1 interfaces ge-0/0/2.1 family inet address 10.0.0.1/24 user@host# set tenants TSYS1 routing-instances r1 interface ge-0/0/2.3
ルーティングインスタンス
r1を作成し、テナントシステムにルーティングインスタンスタイプを割り当てます。[edit] user@host# set tenants TSYS1 routing-instances r1 instance-type virtual-router
ルーティングインスタンスのインターフェイス名を指定します。
[edit] user@host# set tenants TSYS1 routing-instances r1 interface ge-0/0/2.1
という名前のテナント システムを作成します
TSYS2。[edit] user@host# set tenants TSYS2
テナント システム TSYS2 でインターフェイスを定義します。
[edit] user@host# set tenants TSYS2 interfaces ge-0/0/2.2 vlan-id 102 user@host# set tenants TSYS2 interfaces ge-0/0/2.2 family inet address 10.0.0.2/24
ルーティングインスタンス
r2を作成し、テナントシステムにルーティングインスタンスタイプを割り当てます。[edit] user@host# set tenants TSYS2 routing-instances r2 instance-type virtual-router
ルーティングインスタンスのインターフェイス名を指定します。
[edit] user@host# set tenants TSYS2 routing-instances r2 interface ge-0/0/2.2
設定をコミットします。
[edit] user@host# commit
結果
設定モードから、 および show tenants コマンドを入力して設定をshow interfaces確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show interfaces
ge-0/0/2 {
vlan-tagging;
unit 3 {
vlan-id 103;
family inet {
address 10.0.0.3/24;
}
}
}
[edit]
user@host# show tenants
TSYS1 {
interfaces {
ge-0/0/2 {
unit 1 {
vlan-id 101;
family inet {
address 10.0.0.1/24;
}
}
}
}
routing-instances {
r1 {
instance-type virtual-router;
interface ge-0/0/2.1;
interface ge-0/0/2.3;
}
}
}
TSYS2 {
interfaces {
ge-0/0/2 {
unit 2 {
vlan-id 102;
family inet {
address 10.0.0.2/24;
}
}
}
}
routing-instances {
r2 {
instance-type virtual-router;
interface ge-0/0/2.2;
}
}
}
コマンドはshow tenants、テナント システムで定義されているすべてのインターフェイスと、TSYS2両方のテナント システムTSYS1に設定されたルーティング インスタンス パラメーターを表示します。
user@host> show interfaces ge-0/0/2.1 detail
Logical interface ge-0/0/2.1 (Index 89) (SNMP ifIndex 548) (Generation 161)
Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.101 ] Encapsulation: ENET2
Tenant Name: TSYS1
Traffic statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Local statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Security: Zone: Null
Flow Statistics :
..............................
user@host> show interfaces ge-0/0/2.2 detail
Logical interface ge-0/0/2.2 (Index 90) (SNMP ifIndex 549) (Generation 162)
Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.102 ] Encapsulation: ENET2
Tenant Name: TSYS2
Traffic statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Local statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Security: Zone: Null
Flow Statistics :
Flow Input statistics :
Self packets : 0
ICMP packets : 0
VPN packets : ..............................
テナント システム セキュリティ プロファイルについて(プライマリ管理者のみ)
テナントシステムでは、サポートされているSRXシリーズファイアウォールを複数のデバイスに事実上分割し、侵入や攻撃から保護し、独自のコンテキスト外の障害状態から保護することができます。テナントシステムを保護するために、セキュリティリソースは、個別のデバイスに対して設定する方法と同様の方法で設定されます。ただし、1 次管理者はリソースをテナント・システムに割り当てます。
テナントシステムを実行するSRXシリーズファイアウォールは、テナントシステム、必要に応じて相互接続されたテナントシステム、デフォルトのプライマリ論理システムに分割できます。システムを初期化すると、ルートに 1 次論理システムが作成されます。すべてのシステム リソースが割り当てられ、デフォルトの 1 次論理システム セキュリティー プロファイルが効果的に作成されます。テナント・システム全体にセキュリティー・リソースを分散するために、1 次管理者は、テナント・システムに割り振られるリソースを指定するセキュリティー・プロファイルを作成します。セキュリティプロファイルを設定し、テナントシステムにバインドできるのは、プライマリ管理者だけです。テナント システム管理者は、対応するテナント システムにこれらのリソースを使用します。
テナント システムは、セキュリティ コンポーネント、インターフェイス、ルーティング インスタンス、静的ルート、動的ルーティング プロトコルなど、割り当てられたリソースによって定義されます。1 次管理者がセキュリティー・プロファイルを構成し、それらをテナント・システムに割り当てます。セキュリティ プロファイルが割り当てられないテナント システム設定はコミットできません。
このトピックには、以下のセクションが含まれています。
- テナント システム セキュリティ プロファイル
- システムがテナント システム全体のリソース割り当てと使用を評価する方法を理解する
- ケース: セキュリティ プロファイルによって割り当てられた予約済みリソースの評価
テナント システム セキュリティ プロファイル
プライマリ管理者は、特定のテナントシステムまたは複数のテナントシステムにセキュリティプロファイルを設定し、割り当てることができます。設定可能なセキュリティ プロファイルの最大数は、SRX シリーズ ファイアウォールの容量によって異なります。セキュリティ プロファイルの最大数が作成されている場合は、別のセキュリティ プロファイルを作成してコミットする前に、セキュリティ プロファイルを削除して設定変更をコミットする必要があります。多くの場合、1 つのセキュリティー プロファイルを複数のテナント システムにバインドできるため、必要なセキュリティ プロファイルが少なくて済みます。
セキュリティ プロファイルを使用すると、次のことができるようになります。
ポリシー、ゾーン、アドレスとアドレス帳、フロー セッション、各種形式の NAT など、デバイスのリソースをすべてのテナント システムで適切に共有します。さまざまなリソースをテナント システムに割り当て、テナント システムがリソースを効果的に利用できるようにすることができます。
セキュリティ プロファイルは、他のテナント システムが同時に必要とするリソースを使い果たす 1 つのテナント システムから保護します。セキュリティ プロファイルは、重要なシステム リソースを保護し、デバイスのトラフィック フローが重いときにテナント システム間のパフォーマンスを向上させます。セキュリティ プロファイルは、リソースの使用が支配する一方のテナント システムから保護し、他のテナント システムがリソースを効果的に使用できるようにします。
追加のテナント システムを作成できるように、拡張性に優れた方法でデバイスを構成します。
テナント システムを削除する前に、テナント システムのセキュリティ プロファイルを削除する必要があります。
システムがテナント システム全体のリソース割り当てと使用を評価する方法を理解する
テナント システムにセキュリティ機能を備えたプロビジョニングを行うために、プライマリ管理者は、各セキュリティ機能のリソースを指定するセキュリティ プロファイルを設定します。
指定されたリソース量がテナント システムで常に使用可能であることを保証する予約済みクォータ。
割り当て可能な最大クォータ。テナントシステムが、予約済みクォータを超える追加リソースを必要とする場合、グローバルリソースが他のテナントシステムに割り当てられない場合、グローバル最大量に設定されたリソースを利用できます。最大許容クォータによって、セキュリティー・プロファイル内のリソースに指定された量が使用可能であるとは限りません。テナントシステムは、利用可能なリソースに基づいてグローバルリソースを効果的に活用する必要があります。
リソースに対して予約済みクォータが構成されていない場合、デフォルト値は 0 です。リソースに対して許可される最大クォータが構成されていない場合、デフォルト値はリソースのグローバル システム クォータになります(グローバル システム クォータはプラットフォームに依存します)。1 次管理者は、特定のテナント・システムのリソース使用率の最大化がデバイス上に構成されている他のテナント・システムに悪影響を及ぼさないように、セキュリティー・プロファイルに適切な最大許容クォータ値を構成する必要があります。
システムは、テナント システムが削除されたときに予約され、使用され、再び使用可能になる、割り当てられたすべてのリソースの数を維持します。このカウントによって、リソースをテナント システムに使用するか、セキュリティ プロファイルを通じて既存のテナント システムに割り当てられるリソースの量を増やすかが決まります。
セキュリティ プロファイルで構成されるリソースは、静的モジュラー 型リソースまたは動的リソースとして特徴付けられます。静的リソースの場合は、テナント システムの拡張可能な構成を可能にするために、予約済みクォータとして指定された量またはそれに近いリソースに対して最大クォータを設定することをお勧めします。リソースの最大クォータでは、そのリソースの多くへのアクセスを通じてテナント システムに柔軟性が高くなりますが、他のテナント システムに割り当てるためのリソースの量が制約されます。
セキュリティ プロファイルでは、以下のセキュリティ機能リソースを指定できます。
セキュリティ ゾーン
セキュリティ ポリシー用のアドレスとアドレスブック
アプリケーション ファイアウォール ルール セット
アプリケーション ファイアウォール ルール
ファイアウォール認証
フロー セッションとゲート
NATには以下が含まれます。
円錐形 NAT バインディング
NAT 宛先ルール
NAT 宛先プール
PAT(ポート アドレス変換)を使用しないソース プール内の NAT IP アドレス
メモ:PAT なしの IPv6 ソース プール内の IPv6 アドレスは、セキュリティ プロファイルには含まれません。
PAT を使用したソース プール内の NAT IP アドレス
NAT ポート 過負荷
NAT ソース プール
NAT ソース ルール
NAT 静的ルール
フロー セッションを除くすべてのリソースは静的です。
セキュリティ プロファイルが他のテナント システムに割り当てられている間、テナント システム セキュリティ プロファイルを動的に変更できます。ただし、システム リソースのクォータを超過しないように、システムは次のアクションを実行します。
静的クォータが変更された場合、セキュリティ プロファイルで指定されたリソースのテナント システム カウントを維持するシステム プロセスは、その後、静的クォータに関連付けられたプロファイルに割り当てられたセキュリティ プロファイルを再評価します。このチェックでは、すべてのテナント システムに割り当てられたリソースの数を識別して、割り当てられたリソース(増加したリソースを使用できるかどうかを含む)を判断します。
これらのクォータ チェックは、テナント システムを追加してセキュリティ プロファイルをバインドするときにシステムが実行するクォータ チェックと同じです。また、現在割り当てられているセキュリティ プロファイルから別のセキュリティ プロファイルを既存のテナント システム(またはプライマリ論理システム)にバインドする場合にも実行されます。
動的クォータが改訂された場合、チェックは実行されませんが、将来のリソース使用に対して改訂クォータが適用されます。
ケース: セキュリティ プロファイルによって割り当てられた予約済みリソースの評価
システムがセキュリティ プロファイルを使用して予約済みリソースの割り当てを評価する方法を理解するには、 表 7 で説明する次の 3 つのケースと、リソースとゾーンの割り当てについて検討してください。この例をシンプルにするため、security-profile-1 には 10 のゾーンが割り当てられます。4 つの予約ゾーンと最大 6 つのゾーン。この例では、指定された最大量(6 つのゾーン)がテナント システムで使用可能であると仮定しています。ゾーンの最大数はシステムで 10 です。
3 つのケースは、テナント システム全体の設定に対応します。3 つのケースでは、ゾーンの割り当てに基づいて設定がコミットされたときに構成が成功するか失敗するかを確認します。
表 6 は、セキュリティ プロファイルとそのゾーン割り当てを示しています。
設定ケースで使用される 2 つのセキュリティ プロファイル |
|---|
security-profile-1
メモ:
プライマリ管理者は、後でこのプロファイルで指定された予約ゾーン数を動的に増やします。 |
プライマリ-論理-システムプロファイル
|
表 7 は、 セキュリティ プロファイルの設定に基づいて、システムがテナント システム全体のゾーンの予約済みリソースを評価する方法を示す 3 つのケースを示しています。
すべてのテナント システムにバインドされたセキュリティ プロファイルで構成されたゾーンの累積予約リソース クォータが 8 で、システムの最大リソース クォータより小さいため、最初のケースの構成は成功します。
すべての論理システムにバインドされたセキュリティ プロファイルで構成されたゾーンの累積予約リソース クォータが 12 で、システムの最大リソース クォータを超えるため、2 番目のケースの構成は失敗します。
すべてのテナント システムにバインドされたセキュリティ プロファイルで構成されたゾーンの累積予約リソース クォータが 12 で、システムの最大リソース クォータを超えるため、3 番目のケースの構成は失敗します。
テナント システム全体の予約済みリソース クォータ チェック |
|---|
例 1: 成功 この設定は制限内です:4+4+0=8、最大容量 =10。 使用されるセキュリティ プロファイル
|
例2:失敗 この設定は範囲外です:4+4+4=12、最大容量 =10。
セキュリティ プロファイル
|
例 3: 失敗 この設定は範囲外です:6+6=12、最大容量 =10。 一次管理者は、security-profile-1 で予約済みゾーンのクォータを変更し、カウントを 6 に増やします。
|
例:テナントシステム、テナントシステム管理者、相互接続VPLSスイッチの作成
この例では、テナントシステム、テナントシステム管理者、相互接続VPLSスイッチを作成する方法を示しています。テナントシステム管理者のユーザーログインアカウントを作成し、VPLSスイッチを相互接続できるのは、プライマリ管理者だけです。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
-
SRXシリーズファイアウォール。
-
Junos OS リリース 18.4R1 以降のリリース。
-
テナント システム、テナント システム管理者、相互接続 VPLS スイッチの作成を開始する前に、 テナント システムの概要 を読んで、このタスクが全体の構成プロセスにどのように適合するかを理解してください。
概要
この例では、テナント システム 、TSYS2および TSYS3のテナント システムTSYS1管理者を作成する方法を示します。要件に応じて異なる権限レベルを持つテナント システムに対して、複数のテナント システム管理者を作成できます。
このトピックでは、同じデバイス上の別のテナント システムを接続する仮想プライベート LAN サービス(VPLS)スイッチの相互接続についても取り上げます。VPLSスイッチは、テナントシステムで終了したトランジットトラフィックと、テナントシステム間を通過するトラフィックの両方を有効にします。トラフィックがテナントシステム間を通過できるようにするには、同じサブネット内に論理トンネル(lt-0/0/0)インターフェイスを設定する必要があります。
トポロジ
図 2 は、テナント システムに導入および設定された SRX シリーズ ファイアウォールを示しています。この設定例では、静的ルーティングを使用してPCがインターネットに到達できるようにします。
の相互接続
フルSRXクイック構成
論理システムとテナントシステムの設定、VPLSスイッチの相互接続
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更して、インターフェイスとユーザー パスワードを含めます。次に、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストし、設定モードから を入力 commit します。
set system login class TSYS1admin1 tenant TSYS1 set system login class TSYS1admin1 permissions all set system login class TSYS2admin1 tenant TSYS2 set system login class TSYS2admin1 permissions all set system login class TSYS3admin1 tenant TSYS3 set system login class TSYS3admin1 permissions all set system login user TSYS1admin1 uid 2001 set system login user TSYS1admin1 class TSYS1admin1 set system login user TSYS1admin1 authentication encrypted-password "$ABC123" set system login user TSYS2admin1 uid 2003 set system login user TSYS2admin1 class TSYS2admin1 set system login user TSYS2admin1 authentication encrypted-password "$ABC123" set system login user TSYS3admin1 uid 2005 set system login user TSYS3admin1 class TSYS3admin1 set system login user TSYS3admin1 authentication encrypted-password "$ABC123" set system security-profile SP0 logical-system root-ls set system security-profile SP1 tenant TSYS1 set system security-profile SP2 tenant TSYS2 set system security-profile SP3 tenant TSYS3 set logical-systems root-ls interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set logical-systems root-ls interfaces lt-0/0/0 unit 0 encapsulation ethernet set logical-systems root-ls interfaces lt-0/0/0 unit 0 peer-unit 100 set logical-systems root-ls interfaces lt-0/0/0 unit 0 family inet address 10.0.1.10/24 set logical-systems root-ls routing-options static route 192.168.1.0/24 next-hop 10.0.1.1 set logical-systems root-ls routing-options static route 192.168.2.0/24 next-hop 10.0.1.2 set logical-systems root-ls routing-options static route 192.168.3.0/24 next-hop 10.0.1.3 set logical-systems root-ls security address-book global address TSYS1 192.168.1.0/24 set logical-systems root-ls security address-book global address TSYS2 192.168.2.0/24 set logical-systems root-ls security address-book global address TSYS3 192.168.3.0/24 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS1 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS2 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS3 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match destination-address any set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match application any set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out then permit set logical-systems root-ls security zones security-zone trust host-inbound-traffic system-services ping set logical-systems root-ls security zones security-zone trust interfaces lt-0/0/0.0 set logical-systems root-ls security zones security-zone untrust host-inbound-traffic system-services ping set logical-systems root-ls security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces lt-0/0/0 unit 1 encapsulation ethernet set interfaces lt-0/0/0 unit 1 peer-unit 101 set interfaces lt-0/0/0 unit 1 family inet address 10.0.1.1/24 set interfaces lt-0/0/0 unit 2 encapsulation ethernet set interfaces lt-0/0/0 unit 2 peer-unit 102 set interfaces lt-0/0/0 unit 2 family inet address 10.0.1.2/24 set interfaces lt-0/0/0 unit 3 encapsulation ethernet set interfaces lt-0/0/0 unit 3 peer-unit 103 set interfaces lt-0/0/0 unit 3 family inet address 10.0.1.3/24 set interfaces lt-0/0/0 unit 100 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 100 peer-unit 0 set interfaces lt-0/0/0 unit 101 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 101 peer-unit 1 set interfaces lt-0/0/0 unit 102 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 102 peer-unit 2 set interfaces lt-0/0/0 unit 103 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 103 peer-unit 3 set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.254/24 set interfaces ge-0/0/2 unit 0 family inet address 192.168.2.254/24 set interfaces ge-0/0/3 unit 0 family inet address 192.168.3.254/24 set routing-instances VPLS instance-type vpls set routing-instances VPLS interface lt-0/0/0.100 set routing-instances VPLS interface lt-0/0/0.101 set routing-instances VPLS interface lt-0/0/0.102 set routing-instances VPLS interface lt-0/0/0.103 set tenants TSYS1 routing-instances vr1 instance-type virtual-router set tenants TSYS1 routing-instances vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS1 routing-instances vr1 interface lt-0/0/0.1 set tenants TSYS1 routing-instances vr1 interface ge-0/0/1.0 set tenants TSYS1 security address-book global address PC1 192.168.1.0/24 set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match source-address PC1 set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match destination-address any set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match application any set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out then permit set tenants TSYS1 security zones security-zone PC1 host-inbound-traffic system-services ping set tenants TSYS1 security zones security-zone PC1 interfaces ge-0/0/1.0 set tenants TSYS1 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS1 security zones security-zone VPLS interfaces lt-0/0/0.1 set tenants TSYS2 routing-instances vr2 instance-type virtual-router set tenants TSYS2 routing-instances vr2 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS2 routing-instances vr2 interface lt-0/0/0.2 set tenants TSYS2 routing-instances vr2 interface ge-0/0/2.0 set tenants TSYS2 security address-book global address PC2 192.168.2.0/24 set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match source-address PC2 set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match destination-address any set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match application any set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out then permit set tenants TSYS2 security zones security-zone PC2 host-inbound-traffic system-services ping set tenants TSYS2 security zones security-zone PC2 interfaces ge-0/0/2.0 set tenants TSYS2 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS2 security zones security-zone VPLS interfaces lt-0/0/0.2 set tenants TSYS3 routing-instances vr3 instance-type virtual-router set tenants TSYS3 routing-instances vr3 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS3 routing-instances vr3 interface lt-0/0/0.3 set tenants TSYS3 routing-instances vr3 interface ge-0/0/3.0 set tenants TSYS3 security address-book global address PC3 192.168.3.0/24 set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match source-address PC3 set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match destination-address any set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match application any set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out then permit set tenants TSYS3 security zones security-zone PC3 host-inbound-traffic system-services ping set tenants TSYS3 security zones security-zone PC3 interfaces ge-0/0/3.0 set tenants TSYS3 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS3 security zones security-zone VPLS interfaces lt-0/0/0.3
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。ここでは、1 つのテナントの構成について順を追った手順について説明します。
-
各テナントのログイン ユーザーアカウントを作成します。テナント
TSYS1ユーザー アカウントを作成するための手順のみを示します。-
ユーザーログインクラスを作成し、テナントシステムに割り当てます。
[edit] user@SRX# set system login class TSYS1admin1 tenant TSYS1
-
ログインクラスにパーミッションレベルを割り当てます。この例では、テナントシステム管理者へのフルアクセスを許可するレベル
allを使用します。[edit] user@SRX# set system login class TSYS1admin1 permissions all
-
ユーザー アカウントを作成し、前の手順のクラスに割り当てます。これにより、ユーザーはテナント システムにログインできます。
[edit] user@SRX# set system login user TSYS1admin1 class TSYS1admin1
-
ユーザーアカウントのユーザーログインパスワードを作成します。
[edit] user@SRX# set system login user TSYS1admin1 authentication plain-text-password New password: "$ABC123" Retype new password: "$ABC123"
-
-
VPLSスイッチを設定します。VPLS スイッチにより、テナント システムで終了したトランジット トラフィックとトラフィックの両方が、単一の論理トンネルを持つテナント システム間を通過できます。テナント システム間のトラフィックを許可するために、同じサブネット内に論理トンネル インターフェイスを設定する必要があります。
-
論理トンネル インターフェイスを設定します。
[edit] user@SRX# set interfaces lt-0/0/0 unit 100 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 100 peer-unit 0 user@SRX# set interfaces lt-0/0/0 unit 101 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 101 peer-unit 1 user@SRX# set interfaces lt-0/0/0 unit 102 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 102 peer-unit 2 user@SRX# set interfaces lt-0/0/0 unit 103 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 103 peer-unit 3
-
VPLSスイッチのルーティングインスタンスを設定し、論理トンネルインターフェイスを割り当てます。
[edit] user@SRX# set routing-instances VPLS instance-type vpls user@SRX# set routing-instances VPLS interface lt-0/0/0.100 user@SRX# set routing-instances VPLS interface lt-0/0/0.101 user@SRX# set routing-instances VPLS interface lt-0/0/0.102 user@SRX# set routing-instances VPLS interface lt-0/0/0.103
-
-
テナントシステムを設定します。1つのテナントの設定のみを表示しています
-
テナントに関連付けられたインターフェイスを設定します。
[edit] user@SRX# set interfaces lt-0/0/0 unit 1 encapsulation ethernet user@SRX# set interfaces lt-0/0/0 unit 1 peer-unit 101 user@SRX# set interfaces lt-0/0/0 unit 1 family inet address 10.0.1.1/24 user@SRX# set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.254/24
-
テナント、ルーティングインスタンス、スタティックルーティングを設定し、インターフェイスを割り当てます。
[edit] user@SRX# set tenants TSYS1 routing-instances vr1 instance-type virtual-router user@SRX# set tenants TSYS1 routing-instances vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 user@SRX# set tenants TSYS1 routing-instances vr1 interface lt-0/0/0.1 user@SRX# set tenants TSYS1 routing-instances vr1 interface ge-0/0/1.0
-
-
セキュリティプロファイルを設定します。この例では、論理システムとテナントシステムの設定に必要な最小限の構成のみを示しています。
[edit] user@SRX# set system security-profile SP0 logical-system root-ls user@SRX# set system security-profile SP1 tenant TSYS1 user@SRX# set system security-profile SP2 tenant TSYS2 user@SRX# set system security-profile SP3 tenant TSYS3
-
論理システムを設定します。相互接続 VPLS スイッチを使用するこの例では、論理システムが必要です。
-
インターフェイスを設定します。
[edit] user@SRX# set logical-systems root-ls interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 encapsulation ethernet user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 peer-unit 100 user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 family inet address 10.0.1.10/24
-
静的ルートを設定します。
[edit] user@SRX# set logical-systems root-ls routing-options static route 192.168.1.0/24 next-hop 10.0.1.1 user@SRX# set logical-systems root-ls routing-options static route 192.168.2.0/24 next-hop 10.0.1.2 user@SRX# set logical-systems root-ls routing-options static route 192.168.3.0/24 next-hop 10.0.1.3
-
-
論理システムにセキュリティ ゾーンとポリシーを設定し、テナントからインターネットへのトラフィック フローを許可します。論理システムとテナント システムの両方に追加のセキュリティ ポリシーを設定して、テナント間のトラフィックを許可できます。
-
セキュリティ ゾーンを設定します。
[edit] user@SRX# set logical-systems root-ls security zones security-zone trust host-inbound-traffic system-services ping user@SRX# set logical-systems root-ls security zones security-zone trust interfaces lt-0/0/0.0 user@SRX# set logical-systems root-ls security zones security-zone untrust host-inbound-traffic system-services ping user@SRX# set logical-systems root-ls security zones security-zone untrust interfaces ge-0/0/0.0
-
セキュリティポリシーを設定します。
[edit] user@SRX# set logical-systems root-ls security address-book global address TSYS1 192.168.1.0/24 user@SRX# set logical-systems root-ls security address-book global address TSYS2 192.168.2.0/24 user@SRX# set logical-systems root-ls security address-book global address TSYS3 192.168.3.0/24 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS1 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS2 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS3 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match destination-address any user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match application any user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out then permit
-
-
各テナントシステムでセキュリティゾーンとポリシーを設定し、インターネットへのトラフィックフローを許可します。
-
セキュリティ ゾーンを設定します。
[edit] user@SRX# set tenants TSYS1 security zones security-zone PC1 host-inbound-traffic system-services ping user@SRX# set tenants TSYS1 security zones security-zone PC1 interfaces ge-0/0/1.0 user@SRX# set tenants TSYS1 security zones security-zone VPLS host-inbound-traffic system-services ping user@SRX# set tenants TSYS1 security zones security-zone VPLS interfaces lt-0/0/0.1
-
セキュリティポリシーを設定します。
[edit] user@SRX# set tenants TSYS1 security address-book global address PC1 192.168.1.0/24 user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match source-address PC1 user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match destination-address any user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match application any user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out then permit
-
結果
設定モードから、 コマンドを入力して設定を show tenants TSYS1 確認し、テナントシステムが作成されていることを確認します。コマンドを show system login class TSYS1admin1 入力して、定義した各クラスのパーミッション レベルを表示します。テナント システム管理者が作成されるようにするには、 コマンドを show system login user TSYS1admin1 入力します。相互接続 VPLS スイッチ用のインターフェイスが作成されるようにするには、 コマンドを show interfaces 入力します。を入力 show logical-systems して、ルート論理システムの設定を確認します。
user@SRX# show tenants TSYS1
routing-instances {
vr1 {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.1.10;
}
}
interface lt-0/0/0.1;
interface ge-0/0/1.0;
}
}
security {
address-book {
global {
address PC1 192.168.1.0/24;
}
}
policies {
from-zone PC1 to-zone VPLS {
policy allow-out {
match {
source-address PC1;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone PC1 {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPLS {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
lt-0/0/0.1;
}
}
}
}
user@SRX# show system login class TSYS1admin1 tenant TSYS1; permissions all;
user@SRX# show system login user TSYS1admin1
uid 2001;
class TSYS1admin1;
authentication {
encrypted-password "$ABC123";
}
user@SRX# show interfaces
lt-0/0/0 {
unit 1 {
encapsulation ethernet;
peer-unit 101;
family inet {
address 10.0.1.1/24;
}
}
unit 2 {
encapsulation ethernet;
peer-unit 102;
family inet {
address 10.0.1.2/24;
}
}
unit 3 {
encapsulation ethernet;
peer-unit 103;
family inet {
address 10.0.1.3/24;
}
}
unit 100 {
encapsulation ethernet-vpls;
peer-unit 0;
}
unit 101 {
encapsulation ethernet-vpls;
peer-unit 1;
}
unit 102 {
encapsulation ethernet-vpls;
peer-unit 2;
}
unit 103 {
encapsulation ethernet-vpls;
peer-unit 3;
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.168.1.254/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 192.168.2.254/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.3.254/24;
}
}
}
user@SRX# show logical-systems
root-ls {
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
lt-0/0/0 {
unit 0 {
encapsulation ethernet;
peer-unit 100;
family inet {
address 10.0.1.10/24;
}
}
}
}
routing-options {
static {
route 192.168.1.0/24 next-hop 10.0.1.1;
route 192.168.2.0/24 next-hop 10.0.1.2;
route 192.168.3.0/24 next-hop 10.0.1.3;
}
}
security {
address-book {
global {
address TSYS1 192.168.1.0/24;
address TSYS2 192.168.2.0/24;
address TSYS3 192.168.3.0/24;
}
}
policies {
from-zone trust to-zone untrust {
policy allow-out {
match {
source-address [ TSYS1 TSYS2 TSYS3 ];
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
lt-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
}
}
}
出力に意図した設定が表示されない場合は、これらの例の設定手順を繰り返して修正します。デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正しく機能していることを確認します。
プライマリ管理者を使用したテナント システムとログイン設定の検証
目的
テナントシステムが存在し、プライマリ管理者としてルートからテナントを入力できることを確認します。テナント システムからルートに戻ります。
アクション
運用モードから、以下のコマンドを使用してテナント システムに入ります TSYS1。
user@SRX> set cli tenant TSYS1 Tenant: TSYS1 user@SRX:TSYS1>
これで、テナント システムに入ります TSYS1。テナント システム TSYS1 からルートに向けて出る場合は、以下のコマンドを使用します。
user@SRX:TSYS1> clear cli tenant Cleared default tenants user@SRX>
意味
テナント システムが存在し、プライマリ管理者としてルートからテナント システムに入ることができます。
SSHを使用したテナントシステムとログイン設定の検証
目的
作成したテナント システムが存在し、作成した管理者ログイン ID とパスワードが正しいことを確認します。
アクション
SSHを使用して各ユーザーテナントシステム管理者にログインします。
-
SRXシリーズファイアウォールのIPアドレスを指定したSSHを実行します。
-
作成したテナント システム管理者のログイン ID とパスワードを入力します。ログイン後、プロンプトにテナント システム管理者名が表示されます。この結果は、ルートにあるプライマリ論理システムからテナント システムにログインしたときに生成される結果とどのように異なっているかに注意してください。すべてのテナント システムについて、この手順を繰り返します。
login: TSYS1admin1 Password: "$ABC123" TSYS1admin1@SRX: TSYS1>
意味
テナント システム管理者 TSYS1admin1 が存在し、テナント システム管理者としてログインできます。
インターネットへの PC1 接続の検証
目的
エンドツーエンドの接続性を検証します。
アクション
ping を実行し、PC1 からインターネットへの traceroute を実行します。この例では、インターネットは192.168.10.254です。
-
PC1 から ping を実行します。
user@PC1> ping 192.168.10.254 count 2 PING 192.168.10.254 (192.168.10.254): 56 data bytes 64 bytes from 192.168.10.254: icmp_seq=0 ttl=62 time=3.178 ms 64 bytes from 192.168.10.254: icmp_seq=1 ttl=62 time=3.082 ms --- 192.168.10.254 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.082/3.130/3.178/0.048 ms
-
PC1 から traceroute を実行します。
user@PC1> traceroute 192.168.10.254 traceroute to 192.168.10.254 (192.168.10.254), 30 hops max, 52 byte packets 1 192.168.1.254 (192.168.1.254) 2.188 ms 1.779 ms 1.896 ms 2 10.0.1.10 (10.0.1.10) 1.888 ms 1.535 ms 1.661 ms 3 192.168.10.254 (192.168.10.254) 3.243 ms 15.077 ms 3.499 ms
意味
PC1 はインターネットに接続できます。
traceroute
show ipv6 neighbors
telnet
ssh
show arp
clear arpおよび
clear ipv6 neighbors のコマンドに
pingデフォルトのルーティングインスタンスとして渡されます。