Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

논리적 시스템 개요

논리적 시스템을 사용하면 단일 디바이스를 독립적인 작업을 수행하는 여러 보안 컨텍스트로 분할할 수 있습니다. 자세한 내용은 다음 항목을 참조하십시오.

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인하십시오.

플랫폼과 관련된 참고 사항은 플랫폼별 논리적 시스템 동작 섹션을 검토합니다.

SRX 시리즈 방화벽의 논리적 시스템 이해

SRX 시리즈 방화벽을 위한 논리적 시스템을 사용하면 단일 디바이스를 보안 컨텍스트로 분할할 수 있습니다. 각 논리적 시스템에는 고유한 개별 관리 도메인, 논리적 인터페이스, 라우팅 인스턴스, 보안 방화벽 및 기타 보안 기능이 있습니다. SRX 시리즈 방화벽을 멀티테넌트 논리적 시스템 디바이스로 전환함으로써 환경에 따라 다양한 부서, 조직, 고객 및 파트너에게 리소스의 일부를 비공개로 사용하고 디바이스를 비공개로 볼 수 있도록 할 수 있습니다. 논리적 시스템을 사용하면 개별 사용자 논리적 시스템과 기본 논리적 시스템 간에 시스템 및 기본 물리적 시스템 리소스를 공유할 수 있습니다.

그림 1의 상단에는 논리적 시스템의 세 가지 주요 구성 요소가 나와 있습니다. 그림의 하단에는 기본 논리적 시스템과 개별 사용자 논리적 시스템이 있는 단일 디바이스가 나와 있습니다.

논리 시스템에는 기본 및 사용자 논리 시스템과 해당 관리자가 모두 포함됩니다. 기본 관리자의 역할과 책임과 사용자 논리적 시스템 관리자의 역할과 책임은 크게 다릅니다. 이러한 권한과 책임의 구분은 역할 기반 관리 및 제어로 간주됩니다.

그림 1: 논리적 시스템 Hierarchical structure of a network device showing security, network, and routing configurations with master and user logical systems. 이해

SRX 시리즈 방화벽의 논리적 시스템은 다음과 같은 많은 이점을 제공합니다.

  • 비용 절감. 논리적 시스템을 사용하면 회사에 필요한 물리적 디바이스의 수를 줄일 수 있습니다. 다양한 사용자 그룹에 대한 서비스를 단일 디바이스에 통합할 수 있기 때문에 하드웨어 비용과 전력 소비를 모두 줄일 수 있습니다.

  • 단일 디바이스에 여러 논리적 시스템을 생성하고 리소스와 서비스를 신속하게 프로비저닝할 수 있습니다. 서비스가 통합되기 때문에 기본 또는 루트 관리자가 여러 개별 디바이스를 관리하는 것보다 논리적 시스템에 대해 구성된 단일 디바이스를 관리하는 것이 더 쉽습니다.

논리적 시스템을 실행하는 SRX 시리즈 방화벽은 다양한 환경, 특히 엔터프라이즈와 데이터센터에서 구축할 수 있습니다.

  • 엔터프라이즈에서 다양한 부서 및 그룹에 대한 논리적 시스템을 생성하고 프로비저닝할 수 있습니다.

    디바이스를 공유하는 그룹 간의 통신을 활성화하도록 논리적 시스템을 구성할 수 있습니다. 동일한 디바이스에서 다양한 부서를 위한 논리적 시스템을 생성할 때, 내부 스위치 역할을 하도록 상호 연결 논리적 시스템을 구성한 경우 사용자는 디바이스를 떠나는 트래픽 없이 서로 통신할 수 있습니다. 예를 들어, 논리적 시스템을 실행하는 SRX 시리즈 서비스 게이트웨이를 공유하는 제품 설계 그룹, 마케팅 부서 및 회계 부서의 구성원은 부서에 별도의 디바이스를 구축하는 경우와 마찬가지로 서로 통신할 수 있습니다. 논리 터널(lt-0/0/0) 내부 인터페이스를 통해 상호 연결하도록 논리 시스템을 구성할 수 있습니다. 상호 연결 논리적 시스템의 lt-0/0/0 인터페이스는 각 논리적 시스템에 대해 구성하는 lt-0/0/0 인터페이스에 연결됩니다. 상호 연결 논리적 시스템은 논리적 시스템 간의 트래픽을 전환합니다. 논리적 시스템을 실행하는 SRX 시리즈 방화벽은 상호 연결 논리적 시스템이 사용될 때 디바이스에서 생성된 모든 논리적 시스템 간에 빠르고 빠른 상호 작용을 제공합니다.

    동일한 디바이스의 논리적 시스템은 마치 별도의 디바이스인 것처럼 디바이스의 포트를 통해 서로 직접 통신할 수도 있습니다. 이 방법을 사용하면 논리적 시스템 간의 직접 연결이 가능하지만 더 많은 리소스를 소비하므로 인터페이스와 외부 스위치를 구성해야 하므로 비용이 더 많이 듭니다.

  • 서비스 프로바이더로서 데이터센터에서 논리적 시스템을 실행하는 SRX 시리즈 방화벽을 구축하여 고객에게 안전하고 비공개적인 사용자 논리적 시스템과 디바이스 리소스의 개별적 사용을 제공할 수 있습니다.

    예를 들어, 한 회사에는 10개의 사용자 논리적 시스템이 필요하고 다른 회사에는 20개의 사용자가 필요할 수 있습니다. 논리적 시스템은 안전하고 비공개이며 독립적이기 때문에 하나의 논리적 시스템에 속한 데이터는 다른 논리적 시스템의 관리자나 사용자가 볼 수 없습니다. 즉, 한 법인의 직원은 다른 법인의 논리적 시스템을 볼 수 없습니다.

참고:

선택 사항인 내부 스위치를 사용하려면 상호 연결 논리적 시스템도 구성해야 합니다. 상호 연결 논리 시스템에는 관리자가 필요하지 않습니다.

또한보십시오

논리적 시스템의 기능 및 한계

이 주제는 논리적 시스템의 기능 및 제한 사항에 대한 기본 정보를 다룹니다.

  • 내부적으로 구성된 기본 보안 프로필에 대해 예약된 ID 0을 사용하여 1에서 32까지 최대 32개의 보안 프로필을 구성할 수 있습니다. 최대 보안 프로필 수에 도달했을 때 새 보안 프로필을 추가하려면 먼저 하나 이상의 기존 보안 프로필을 삭제하고 구성을 커밋한 다음 새 보안 프로필을 만들어 커밋해야 합니다. 단일 구성 커밋 내에서 새 보안 프로필을 추가하고 기존 프로필을 제거할 수 없습니다.

    새 보안 프로필을 두 개 이상 추가하려는 경우에도 동일한 규칙이 적용됩니다. 먼저 동일한 수의 기존 보안 프로필을 삭제하고 구성을 커밋한 다음 새 보안 프로필을 생성하고 구성을 커밋해야 합니다.

  • 한 명 이상의 기본 관리자를 구성하여 디바이스 및 디바이스가 구성하는 논리적 시스템의 관리를 감독할 수 있습니다.

    논리적 시스템을 실행하는 SRX 시리즈 서비스 게이트웨이의 주 관리자는 디바이스, 해당 리소스 및 사용자가 생성하는 논리적 시스템에 대한 루트 제어를 가집니다. 보안, 네트워킹 및 라우팅 리소스를 사용자 논리적 시스템에 할당합니다. 하나의 논리적 시스템을 구성하여 상호 연결 논리적 시스템 가상 프라이빗 LAN 서비스(VPLS) 스위치 역할을 할 수 있습니다. 의무 사항이 아닌 상호 연결 논리적 시스템은 보안 리소스가 필요하지 않습니다. 그러나 상호 연결 논리적 시스템을 구성하는 경우 더미 보안 프로필을 바인딩해야 합니다. 주 관리자는 그것과 그것에 대한 모든 lt-0/0/0 인터페이스를 구성합니다.

  • 사용자 논리적 시스템은 사용자 논리적 시스템 관리자라고 하는 한 명 이상의 관리자를 가질 수 있습니다. 주 관리자는 이러한 관리자에 대한 로그인 계정을 생성하고 사용자 논리적 시스템에 할당합니다. 현재 주 관리자는 모든 사용자 논리적 시스템 관리자를 구성해야 합니다. 첫 번째로 할당된 사용자 논리적 관리자는 자신의 논리적 시스템에 대해 추가 사용자 논리적 시스템 관리자를 구성할 수 없습니다. 사용자 논리적 시스템 관리자는 기본 관리자가 할당한 논리적 인터페이스, 라우팅 인스턴스 및 해당 경로, 보안 구성 요소를 포함하여 사용자 논리적 시스템에 할당된 리소스를 구성할 수 있습니다. 논리적 시스템에 대한 구성 정보만 표시할 수 있습니다.

  • 논리적 시스템은 사용 가능한 시스템 리소스를 기반으로 둘 이상의 라우팅 인스턴스를 포함할 수 있습니다.

  • lt-0/0/0 인터페이스에서는 서비스 등급 을 구성할 수 없습니다.

  • 커밋 롤백은 루트 수준에서만 지원됩니다.

  • 상호 연결된 논리적 시스템 전반의 QoS(Quality of Service) 분류는 작동하지 않습니다.

  • 주 관리자는 루트 수준에서 ALG(애플리케이션 레이어 게이트웨이)를 구성할 수 있습니다. 구성은 모든 사용자 논리적 시스템에 의해 상속됩니다. ALG는 또한 사용자 논리적 시스템에 대해 개별적으로 구성할 수 있습니다.

  • 주 관리자는 루트 수준에서 IDP 정책을 구성한 다음 사용자 논리적 시스템에 IDP 정책을 적용할 수 있습니다.

  • 기본 관리자만 모든 논리적 시스템의 사용자에 대한 사용자 계정 및 로그인 ID를 생성할 수 있습니다. 주 관리자는 루트 수준에서 이러한 사용자 계정을 생성하고 적절한 사용자 논리적 시스템에 할당합니다.

  • 동일한 이름을 두 개의 개별 논리 시스템에서 사용할 수 없습니다. 예를 들어, logical-system1에 사용자 이름으로 구성된 Bob의 사용자가 포함된 경우, 디바이스의 다른 논리 시스템은 사용자 이름이 Bob인 사용자를 포함할 수 없습니다.

  • 모든 논리적 시스템 및 모든 사용자 논리적 시스템 관리자에 대한 사용자 구성은 기본 관리자가 루트 수준에서 수행해야 합니다. 사용자 논리적 시스템 관리자는 자신의 논리적 시스템에 대해 다른 사용자, 논리적 시스템 관리자 또는 사용자 계정을 생성할 수 없습니다.

또한보십시오

논리적 시스템 및 논리적 터널 인터페이스의 상호 연결 이해

이 주제는 디바이스의 한 논리 시스템을 다른 논리 시스템으로 연결하는 내부 VPLS(Virtual Private LAN Service) 스위치 역할을 하는 상호 연결 논리 시스템에 대해 다룹니다. 또한 이 주제에서는 논리적 터널(lt-0/0/0) 인터페이스를 사용하여 상호 연결 논리적 시스템을 통해 논리적 시스템을 연결하는 방법에 대해서도 설명합니다.

논리적 시스템을 실행하는 디바이스는 내부 VPLS 스위치를 사용하여 디바이스를 떠나지 않고도 트래픽을 전달할 수 있습니다. 상호 연결 논리적 시스템은 이를 사용하는 논리적 시스템 간에 트래픽을 전환합니다. 가상 스위치가 일반적으로 사용되지만 필수는 아닙니다. 가상 스위치를 사용하기로 선택한 경우 상호 연결 논리 시스템을 구성해야 합니다. 디바이스에는 하나의 상호 연결 논리 시스템만 있을 수 있습니다.

디바이스의 논리적 시스템 간에 통신이 발생하려면 내부 스위치를 사용할 각 논리적 시스템에 lt-0/0/0 인터페이스를 구성해야 하며, 이를 상호 연결 논리적 시스템의 피어 lt-0/0/0 인터페이스와 연결하여 이들 사이에 논리적 터널을 효과적으로 생성해야 합니다. 논리적 시스템의 lt-0/0/0 인터페이스를 구성할 때 터널의 각 끝에서 피어 관계를 정의합니다.

디바이스의 모든 논리적 시스템이 외부 스위치를 사용하지 않고도 서로 통신할 수 있기를 원할 수 있습니다. 또는 일부 논리 시스템이 내부 스위치를 통해 연결되 전부는 연결하지 않기를 원할 수도 있습니다.

상호 연결 논리적 시스템은 보안 프로필을 통해 할당된 보안 리소스가 필요하지 않습니다. 그러나 리소스를 포함하지 않는 더미 보안 프로필을 상호 연결 논리 시스템에 할당해야 합니다. 그렇지 않으면 해당 구성을 성공적으로 커밋할 수 없습니다.

경고:

사용자 논리적 시스템 또는 기본 논리적 시스템에서 lt-0/0/0 인터페이스를 구성하고 이에 대한 피어 lt-0/0/0 인터페이스를 포함하는 상호 연결 논리적 시스템을 구성하지 않으면 커밋이 실패합니다.

논리적 시스템을 실행하는 SRX 시리즈 방화벽은 섀시 클러스터에서 사용할 수 있습니다. 각 노드는 상호 연결 논리 시스템을 포함하여 동일한 구성을 갖습니다.

또한보십시오

SRX 시리즈 디바이스용 논리적 시스템의 패킷 플로우 이해

이 주제는 논리적 시스템을 실행하는 SRX 시리즈 방화벽의 플로우 세션에서 패킷이 어떻게 처리되는지 설명합니다. 여기에는 논리적 시스템을 실행하는 SRX 시리즈 방화벽이 단일 논리적 시스템과 논리적 시스템 간 패스스루 트래픽을 처리하는 방법에 대해 설명합니다. 또한 논리적 시스템 내에서 자체 시작 트래픽으로 자체 트래픽과 다른 논리적 시스템에서 종료된 자체 트래픽을 포함합니다. 논리적 시스템을 다루기 전에 이 주제에서는 패킷 처리 및 세션과 관련하여 SRX 시리즈 아키텍처에 대한 기본 정보를 제공합니다. 마지막으로 세션과 세션 특성을 변경하는 방법에 대해 설명합니다.

이 예에서 설명한 개념은 그림 2에 표시된 토폴로지를 사용합니다.

그림 2: 논리적 시스템, 가상 라우터 및 인터페이스 Network topology diagram showing logical systems and virtual routing instances. Internet connects to vr1-root system, linking to vr-ic hub. vr-ic connects ls-product-design with pd-vr1 and pd-vr2, and ls-marketing-dept with mk-vr1. PCs connect to respective systems.

Junos OS SRX 시리즈 방화벽 아키텍처 이해

Junos OS는 분산 병렬 처리, 높은 처리량 및 고성능 시스템입니다. 서비스 게이트웨이의 분산 병렬 처리 아키텍처에는 세션을 관리하고 보안 및 기타 서비스 처리를 실행하는 여러 프로세서가 포함되어 있습니다. 이 아키텍처는 뛰어난 유연성을 제공하며, 높은 처리량과 빠른 성능을 제공합니다.

네트워크 처리 장치(NPU)는 IOC에서 실행됩니다. IOC에는 하나 이상의 NPU가 있습니다. 하나 이상의 SPU(Services Processing Unit)가 SPC에서 실행됩니다.

이러한 처리 장치는 서로 다른 책임을 가지고 있습니다. 패킷에 대한 모든 플로우 기반 서비스는 단일 SPU에서 실행됩니다. 그러나 그렇지 않으면 이러한 프로세서에서 실행되는 서비스의 종류와 관련하여 선이 명확하게 구분되지 않습니다. (플로우 기반 처리에 대한 자세한 내용은 보안 디바이스의 트래픽 처리 이해를 참조하십시오.)

예를 들어:

  • NPU는 패킷을 개별적으로 처리합니다. 온전성 검사를 수행하고 서비스 거부(DoS) 화면과 같은 인터페이스에 구성된 일부 화면을 패킷에 적용합니다.

  • SPU는 패킷 플로우에 대한 세션을 관리하고 보안 기능 및 기타 서비스를 패킷에 적용합니다. 또한 패킷 기반 무상태 방화벽 필터, 분류기 및 트래픽 셰이퍼를 패킷에 적용합니다.

  • 시스템은 하나의 프로세서를 중앙 지점으로 사용하여 중재 및 리소스 할당을 처리하고 지능적인 방식으로 세션을 배포합니다. 중앙 지점은 플로우의 첫 번째 패킷이 처리될 때 특정 세션에 사용할 SPU를 할당합니다.

중앙 지점을 포함하여 시스템의 이러한 개별적이고 협력적인 부분은 각각 패킷 스트림에 대한 세션이 존재하는지 여부를 식별하는 정보와 패킷이 기존 세션에 속하는지 여부를 결정하기 위해 패킷이 일치하는 정보를 저장합니다.

이 아키텍처를 통해 디바이스는 모든 세션의 처리를 여러 SPU에 분산할 수 있습니다. 또한 NPU가 패킷에 대한 세션이 존재하는지 확인하고, 패킷을 확인하고, 화면을 적용할 수 있습니다. 패킷이 처리되는 방법은 패킷이 플로우의 첫 번째 패킷인지 여부에 따라 다릅니다.

플로우 기반 패킷 처리는 관련 패킷 또는 패킷 스트림을 동일한 방식으로 처리합니다. 패킷 처리는 플로우 세션이 설정될 때 패킷 스트림의 첫 번째 패킷에 대해 설정된 특성에 따라 다릅니다. 대부분의 패킷 처리는 플로우 내에서 발생합니다. 서비스 게이트웨이의 분산 처리 아키텍처의 경우, 트레픽 셰이핑과 같은 일부 패킷 기반 처리가 NPU에서 발생합니다. 패킷에 대한 분류자 적용과 같은 일부 패킷 기반 처리는 SPU에서 발생합니다.

패킷의 운명을 결정하는 구성 설정(예: 패킷에 적용되는 보안 정책, 패킷에 구성된 ALG(애플리케이션 레이어 게이트웨이), 패킷의 소스 및/또는 대상 IP 주소를 변환하기 위해 NAT를 적용해야 하는 경우 플로우의 첫 번째 패킷에 대해 평가됩니다.

논리적 시스템을 실행하는 디바이스에 대한 세션 생성

논리적 시스템을 실행하는 SRX 시리즈 방화벽의 세션 설정은 논리적 시스템을 실행하지 않는 SRX 시리즈 방화벽의 세션 설정과 약간 다릅니다. 논리적 시스템이 도입하는 복잡성에도 불구하고 트래픽은 논리적 시스템을 실행하지 않는 SRX 시리즈 방화벽에서 처리되는 방식과 유사한 방식으로 처리됩니다. 스테이트풀인 플로우 기반 패킷 처리는 세션 생성이 필요합니다. 논리적 시스템에 대한 플로우 기반 처리 및 세션 설정을 고려할 때, 디바이스의 각 논리적 시스템을 세션 설정과 관련하여 개별 디바이스로 생각하는 것이 도움이 됩니다.

라우팅 및 기타 분류 정보를 기반으로 세션이 생성되어 정보를 저장하고 흐름에 대한 리소스를 할당합니다. 기본적으로 트래픽이 논리적 시스템 인터페이스에 들어갈 때 세션이 설정되고, 다음 홉 인터페이스를 식별하기 위해 경로 조회가 수행되며, 정책 조회가 수행됩니다.

선택적으로 논리적 시스템을 사용하여 내부 소프트웨어 스위치를 구성할 수 있습니다. 이 가상 프라이빗 LAN 스위치(VPLS)는 상호 연결 논리적 시스템으로 구현됩니다. 이는 전송 트래픽과 논리적 시스템에서 종료된 트래픽 모두 논리적 시스템 사이를 통과할 수 있도록 합니다. 논리적 시스템 간에 트래픽이 통과할 수 있도록 하기 위해 상호 연결 논리적 시스템 전반에 걸쳐 논리적 터널(lt-0/0/0) 인터페이스가 사용됩니다.

상호 연결 논리적 시스템 전반의 논리적 시스템 간의 통신은 두 개의 세션을 설정해야 합니다. 하나는 논리적 시스템에 들어와 lt-0/0/0 인터페이스를 나가는 트래픽에 대한 것이고, 다른 논리적 시스템의 lt-0/0/0 인터페이스에 들어오고 물리적 인터페이스 중 하나를 통해 디바이스를 나가거나 목적지가 되는 트래픽에 대한 세션입니다.

참고:

패킷 시퀀스는 수신 및 송신 인터페이스에서 발생합니다. 논리적 시스템 간에 이동하는 패킷은 물리적 인터페이스에서 수신된 순서대로 처리되지 않을 수 있습니다.

논리적 시스템의 플로우 이해

논리적 시스템에 대한 트래픽 처리 방식을 이해하려면 각 논리적 시스템을 개별 디바이스로 간주하는 것이 도움이 됩니다.

참고:

기본 논리적 시스템에 대한 트래픽은 디바이스의 사용자 논리적 시스템과 동일한 방식으로 처리됩니다.

패킷 분류 이해

패킷 분류는 논리적 시스템 유무에 관계없이 실행되는 SRX 시리즈 방화벽에 대해 동일한 방식으로 평가됩니다. 필터 및 서비스 등급 기능은 일반적으로 인터페이스와 연결되어 시스템을 통과할 수 있는 패킷에 영향을 미치고 필요에 따라 패킷에 특수 작업을 적용합니다. (플로우 내에서 일부 패킷 기반 처리도 SPU에서 발생합니다.)

패킷 분류는 수신 인터페이스를 기반으로 하며 수신 지점에서 수행됩니다. 전용 인터페이스에 대한 트래픽은 해당 인터페이스를 포함하는 논리적 시스템으로 분류됩니다. 플로우의 컨텍스트 내에서 패킷 분류는 물리적 인터페이스와 논리적 인터페이스 모두를 기반으로 합니다.

논리적 시스템에 대한 패스스루 트래픽 처리

논리적 시스템을 실행하지 않는 SRX 시리즈 방화벽의 경우, 패스스루 트래픽은 디바이스를 드나드는 트래픽입니다. 논리적 시스템의 패스스루 트래픽도 비슷하게 생각할 수 있지만 멀티테넌트 디바이스의 특성상 더 큰 차원을 갖는 것으로 생각할 수 있습니다. 논리적 시스템을 실행하는 SRX 시리즈 방화벽의 경우, 패스스루 트래픽은 논리적 시스템 내 또는 논리적 시스템 사이에 존재할 수 있습니다.

논리적 시스템 내의 패스스루 트래픽

논리적 시스템 내의 패스스루 트래픽의 경우, 트래픽은 논리적 시스템의 가상 라우팅 인스턴스 중 하나에 속하는 인터페이스로 들어오고 또 다른 가상 라우팅 인스턴스로 전송됩니다. 디바이스를 종료하기 위해 트래픽은 두 번째 가상 라우팅 인스턴스에 속하는 인터페이스로 전송됩니다. 트래픽은 논리적 시스템 간에 전송되지 않고 단일 논리적 시스템에서 디바이스를 출입합니다. 논리적 시스템 내의 패스스루 트래픽은 각 라우팅 인스턴스의 라우팅 테이블에 따라 전송됩니다.

그림 2에 표시된 토폴로지를 고려하여 논리적 시스템 내에서 패스스루 트래픽이 처리되는 방식을 고려하십시오.

  • 패킷이 인터페이스 ge-0/0/5에 도착하면 ls-product-design 논리적 시스템에 속하는 것으로 식별됩니다.

  • ge-0/0/5는 pd-vr1 라우팅 인스턴스에 속하기 때문에 경로 조회는 pd-vr2가 다음 홉으로 식별된 pd-vr1에서 수행됩니다.

  • 두 번째 경로 조회는 pd-vr2에서 수행되어 사용할 송신 인터페이스(이 경우, ge-0/0/8)를 식별합니다.

  • 패킷은 ge-0/0/8에서 네트워크로 전송됩니다.

  • 보안 정책 조회는 ls-product-design에서 수행되며 하나의 세션이 설정됩니다.

논리적 시스템 간의 패스스루 트래픽

논리적 시스템 간의 패스스루 트래픽은 각 논리적 시스템이 트래픽이 통과해야 하는 수신 및 송신 인터페이스를 가지고 있다는 사실로 인해 복잡합니다. 마치 트래픽이 두 디바이스에서 들어오고 나가는 것과 같습니다.

논리적 시스템 간의 패스스루 트래픽을 위해 두 개의 세션을 설정해야 합니다. (정책 조회는 두 논리적 시스템 모두에서 수행됩니다.)

  • 들어오는 논리적 시스템에서 수신 인터페이스(물리적 인터페이스)와 송신 인터페이스(lt-0/0/0 인터페이스) 사이에 하나의 세션이 설정됩니다.

  • 송신 논리적 시스템에서는 수신 인터페이스(두 번째 논리적 시스템의 lt-0/0/0 인터페이스)와 송신 인터페이스(물리적 인터페이스) 사이에 또 다른 세션이 설정됩니다.

그림 2에 표시된 토폴로지에서 논리적 시스템 전체에서 패스스루 트래픽이 처리되는 방식을 고려하십시오.

  • 들어오는 논리적 시스템에서 세션이 설정됩니다.

    • 패킷이 인터페이스 ge-0/0/5에 도착하면 ls-product-design 논리적 시스템에 속하는 것으로 식별됩니다.

    • ge-0/0/5는 pd-vr1 라우팅 인스턴스에 속하므로 경로 조회는 pd-vr1에서 수행됩니다.

    • 조회 결과, 패킷의 송신 인터페이스는 lt-0/0/0.3으로 식별되고 다음 홉은 lt-0/0/0.5로 식별되며, 이는 ls-marketing-dept의 수신 인터페이스입니다.

    • 세션은 ge-0/0/5와 lt-0/0/0.3 사이에 설정됩니다.

  • 발신 논리적 시스템에서 세션이 설정됩니다.

    • 패킷은 lt-0/0/0.5에서 플로우로 다시 주입되고, ls-marketing-dept로 식별된 논리적 시스템 컨텍스트가 인터페이스에서 파생됩니다.

    • 패킷 처리는 ls-marketing-dept 논리적 시스템에서 계속됩니다.

    • 송신 인터페이스를 식별하기 위해 패킷에 대한 경로 조회는 mk-vr1 라우팅 인스턴스에서 수행됩니다.

    • 발신 인터페이스는 ge-0/0/6으로 식별되며, 패킷은 인터페이스에서 네트워크로 전송됩니다.

자체 트래픽 처리

자체 트래픽은 디바이스의 논리적 시스템에서 시작되어 해당 논리적 시스템에서 네트워크로 전송되거나 디바이스의 다른 논리적 시스템에서 종료되는 트래픽입니다.

자체 시작 트래픽

자체 시작 트래픽은 소스 논리적 시스템 컨텍스트에서 생성되며 논리적 시스템 인터페이스에서 네트워크로 직접 전달됩니다.

다음 프로세스가 발생합니다.

  • 논리적 시스템에서 패킷이 생성되면 논리적 시스템에서 트래픽 처리 프로세스가 시작됩니다.

  • 경로 조회가 수행되어 송신 인터페이스를 식별하고 세션이 설정됩니다.

  • 논리적 시스템은 정책 조회를 수행하고 그에 따라 트래픽을 처리합니다.

  • 필요한 경우 관리 세션이 설정됩니다.

그림 2에 표시된 토폴로지를 고려할 때 논리적 시스템에서 자체 시작 트래픽이 어떻게 처리되는지 고려하십시오.

  • ls-product-design 논리적 시스템에서 패킷이 생성되고 논리적 시스템에서 트래픽 처리 프로세스가 시작됩니다.

  • 경로 조회는 송신 인터페이스를 ge-0/0/8로 식별하기 위해 pd-vr2에서 수행되었습니다.

  • 세션이 설정되었습니다.

  • 패킷은 ge-0/0/8에서 네트워크로 전송됩니다.

논리적 시스템에서 종료된 트래픽

패킷이 논리적 시스템에 속하는 인터페이스의 디바이스에 들어가고 패킷이 디바이스의 다른 논리적 시스템으로 향하는 경우, 패킷은 패스스루 트래픽과 동일한 방식으로 논리적 시스템 간에 전달됩니다. 그러나 두 번째 논리적 시스템의 경로 조회는 로컬 송신 인터페이스를 패킷 대상으로 식별합니다. 결과적으로 패킷은 두 번째 논리적 시스템에서 자체 트래픽으로 종료됩니다.

  • 종료된 자체 트래픽의 경우, 두 개의 정책 조회가 수행되고 두 개의 세션이 설정됩니다.

    • 들어오는 논리적 시스템에서 수신 인터페이스(물리적 인터페이스)와 송신 인터페이스(lt-0/0/0 인터페이스) 사이에 하나의 세션이 설정됩니다.

    • 대상 논리적 시스템에서는 수신 인터페이스(두 번째 논리적 시스템의 lt-0/0/0 인터페이스)와 로컬 인터페이스 사이에 또 다른 세션이 설정됩니다.

종료된 자체 트래픽이 그림 2에 표시된 토폴로지의 논리적 시스템 전체에서 어떻게 처리되는지 고려하십시오.

  • 들어오는 논리적 시스템에서 세션이 설정됩니다.

    • 패킷이 인터페이스 ge-0/0/5에 도착하면 ls-product-design 논리적 시스템에 속하는 것으로 식별됩니다.

    • ge-0/0/5는 pd-vr1 라우팅 인스턴스에 속하므로 경로 조회는 pd-vr1에서 수행됩니다.

    • 조회 결과, 패킷의 송신 인터페이스는 lt-0/0/0.3으로 식별되고 다음 홉은 ls-marketing-dept의 수신 인터페이스인 lt-0/0/0.5로 식별됩니다.

    • 세션은 ge-0/0/5와 lt-0/0/0.3 사이에 설정됩니다.

  • 관리 세션이 대상 논리적 시스템에 설정됩니다.

    • 패킷은 lt-0/0/0.5에서 플로우로 다시 주입되고, ls-marketing-dept로 식별된 논리적 시스템 컨텍스트가 인터페이스에서 파생됩니다.

    • 패킷 처리는 ls-marketing-dept 논리적 시스템에서 계속됩니다.

    • 패킷에 대한 경로 조회는 mk-vr1 라우팅 인스턴스에서 수행됩니다. 패킷은 대상 논리적 시스템에서 자체 트래픽으로 종료됩니다.

    • 관리 세션이 설정됩니다.

세션 및 게이트 제한 제어 이해

논리적 시스템 플로우 모듈은 세션 및 게이트 제한을 제공하여 이러한 리소스가 논리적 시스템 간에 공정하게 공유되도록 합니다. 각 논리적 시스템에 대한 리소스 할당 및 제한 사항은 논리적 시스템에 바인딩된 보안 프로필에 지정됩니다.

  • 세션 제한의 경우, 시스템은 논리적 시스템에 대해 구성된 최대 세션 수에 대해 세션의 첫 번째 패킷을 확인합니다. 최대값에 도달하면 디바이스는 패킷을 삭제하고 이벤트를 기록합니다.

  • 게이트 제한의 경우, 디바이스는 논리적 시스템에 대해 구성된 최대 게이트 수에 대해 세션의 첫 번째 패킷을 확인합니다. 논리적 시스템의 최대 게이트 수에 도달하면 디바이스는 게이트 개방 요청을 거부하고 이벤트를 기록합니다.

세션 이해

세션은 정보를 저장하고 흐름에 대한 리소스를 할당하기 위해 라우팅 및 기타 분류 정보를 기반으로 생성됩니다. 세션이 종료되는 경우와 같은 세션의 일부 특성을 변경할 수 있습니다. 예를 들어 세션 테이블이 완전히 가득 차지 않도록 하여 테이블을 플러딩하려는 공격자의 시도로부터 보호하여 합법적인 사용자가 세션을 시작하지 못하도록 할 수 있습니다.

세션 구성 정보

프로토콜 및 서비스에 따라 세션은 시간 초과 값으로 프로그래밍됩니다. 예를 들어, TCP의 기본 타임아웃은 1800초입니다. UDP의 기본 타임아웃은 60초입니다. 플로우가 종료되면 유효하지 않은 것으로 표시되고 시간 초과가 10초로 줄어듭니다. 트래픽이 없는 경우 서비스 시간 초과 전에 세션을 사용하는 트래픽이 없으면 세션이 만료되고 재사용을 위해 공통 리소스 풀로 해제됩니다.

다음과 같은 방법으로 세션 수명에 영향을 줄 수 있습니다.

  • 세션 테이블이 얼마나 꽉 찼는지에 따라 세션을 에이징 아웃합니다.

  • TCP 세션의 에이징에 대한 명시적 시간 제한을 설정합니다.

  • TCP RST(재설정) 메시지를 수신할 때 무효화되도록 TCP 세션을 구성합니다.

  • 다음과 같이 다른 시스템을 수용하도록 세션을 구성할 수 있습니다.

    • TCP 패킷 보안 검사를 비활성화합니다.

    • 최대 세그먼트 크기를 변경합니다.

또한보십시오

vSRX 가상 방화벽 및 vSRX 가상 방화벽 3.0 인스턴스에 대한 논리적 시스템 및 테넌트 시스템 지원

Junos OS 릴리스 20.1R1부터 vSRX 가상 방화벽 및 vSRX 가상 방화벽 3.0 인스턴스에서 논리적 시스템 및 테넌트 시스템을 구성할 수 있습니다.

각 논리적 시스템을 구성하면 CPU 및 메모리 집약적인 추가 라우팅 프로토콜 프로세스(RPD)가 생성됩니다. Junos OS 릴리스 20.1R1부터-

  • 메모리 용량이 16GB 미만인 vSRX 가상 방화벽 및 vSRX3.0 인스턴스는 하나의 루트 논리적 시스템을 지원합니다.

  • 메모리 용량이 16GB 이상인 vSRX 가상 방화벽 및 vSRX3.0 인스턴스는 논리적 시스템을 지원하지만 논리적 시스템을 8개로 제한합니다.

표 1 에는 vSRX 가상 방화벽 및 vSRX 가상 방화벽 3.0의 다양한 메모리 용량에서 지원되는 논리적 시스템 및 테넌트 시스템의 수가 나와 있습니다.

표 1: vSRX 가상 방화벽 및 vSRX 가상 방화벽 3.0의 다양한 메모리 용량에서 지원되는 논리적 시스템 및 테넌트 시스템.

유형

4기가바이트

8기가바이트(GB)

16GB 이상

논리적 시스템(루트 논리적 시스템 포함)

1

1

8

테넌트 시스템

0

0

42

논리적 시스템 + 테넌트 시스템(루트 논리적 시스템 포함).

1

1

50
참고:

vSRX 가상 방화벽 3.0 인스턴스만 디바이스 메모리를 기반으로 유연한 보안 프로필을 지원합니다. vSRX 가상 방화벽 3.0에서 지원되는 최대 보안 프로필 수는 메모리와 관련이 있습니다. 자세한 내용은 논리적 시스템의 보안 프로필을 참조하십시오.

계층 수준에서 [edit] 다음 명령을 사용하여 vSRX 가상 방화벽 및 vSRX3.0 인스턴스의 라우팅 엔진에 최소 2개의 CPU가 있는지 확인합니다. set security forwarding-options resource-manager cpu re 2

플랫폼별 논리적 시스템 동작

기능 탐색기를 사용하여 특정 기능에 대한 플랫폼 및 릴리스 지원을 확인하십시오.

다음 표를 사용하여 플랫폼의 플랫폼별 동작을 검토하십시오.

표 2: 플랫폼별 동작

플랫폼

차이

SRX 시리즈

  • 논리적 시스템을 지원하는 SRX4100 및 SRX4200 방화벽은 투명 모드와 경로 모드를 모두 지원합니다.

  • 논리적 시스템을 지원하는 SRX4600 방화벽은 경로 모드만 지원합니다.

  • 논리적 시스템을 지원하는 SRX1500 방화벽은 최대 512개의 영역을 구성할 수 있습니다.

  • 논리적 시스템을 지원하는 SRX5000 라인 방화벽은 I/O 카드(IOC) 및 서비스 처리 카드(SPC)를 지원하며, 각각 패킷이 디바이스를 통과할 때 패킷을 처리하는 처리 장치를 포함하고 있습니다.