논리적 시스템 개요
논리적 시스템을 사용하면 단일 디바이스를 독립적인 작업을 수행하는 여러 보안 컨텍스트로 분할할 수 있습니다. 자세한 내용은 다음 항목을 참조하세요.
SRX 시리즈 방화벽의 논리적 시스템 이해하기
SRX 시리즈 방화벽용 논리 시스템을 사용하면 단일 디바이스를 보안 컨텍스트로 분할할 수 있습니다. 각 논리적 시스템에는 고유한 개별 관리 도메인, 논리적 인터페이스, 라우팅 인스턴스, 보안 방화벽 및 기타 보안 기능이 있습니다. SRX 시리즈 방화벽을 멀티테넌트 논리적 시스템 디바이스로 변환함으로써 환경에 따라 다양한 부서, 조직, 고객 및 파트너에게 리소스의 일부를 비공개로 사용하고 디바이스에 대한 비공개 보기를 제공할 수 있습니다. 논리적 시스템을 사용하면 개별 사용자 논리적 시스템과 기본 논리적 시스템 간에 시스템 및 기본 물리적 시스템 리소스를 공유할 수 있습니다.
그림 1의 상단 부분에는 논리적 시스템의 세 가지 주요 구성 요소가 나와 있습니다. 그림의 하단은 기본 논리적 시스템과 개별 사용자 논리적 시스템이 있는 단일 디바이스를 보여줍니다.
논리적 시스템에는 기본 및 사용자 논리적 시스템과 해당 관리자가 모두 포함됩니다. 기본 관리자의 역할과 책임은 사용자 논리적 시스템 관리자의 역할과 책임이 매우 다릅니다. 이러한 권한과 책임의 차별화는 역할 기반 관리 및 제어로 간주됩니다.
이해
SRX 시리즈 방화벽의 논리적 시스템은 다음과 같은 많은 이점을 제공합니다.
비용 절감. 논리적 시스템을 사용하여 회사에 필요한 물리적 디바이스의 수를 줄일 수 있습니다. 단일 디바이스에서 다양한 사용자 그룹의 서비스를 통합할 수 있기 때문에 하드웨어 비용과 전력 소비를 모두 줄일 수 있습니다.
단일 디바이스에 여러 논리적 시스템을 생성하고 이를 위한 리소스와 서비스를 신속하게 프로비저닝합니다. 서비스가 통합되기 때문에 기본 또는 루트 관리자가 여러 개별 디바이스를 관리하는 것보다 논리적 시스템에 대해 구성된 단일 디바이스를 관리하는 것이 더 쉽습니다.
많은 환경, 특히 엔터프라이즈 및 데이터센터에서 논리적 시스템을 실행하는 SRX 시리즈 방화벽을 구축할 수 있습니다.
엔터프라이즈에서는 다양한 부서 및 그룹을 위한 논리적 시스템을 생성하고 프로비저닝할 수 있습니다.
디바이스를 공유하는 그룹 간의 통신을 활성화하도록 논리적 시스템을 구성할 수 있습니다. 동일한 디바이스에서 다양한 부서에 대한 논리적 시스템을 생성할 때, 상호 연결 논리적 시스템을 내부 스위치 역할로 구성한 경우 사용자는 디바이스에서 트래픽이 나가지 않고 서로 통신할 수 있습니다. 예를 들어, 논리적 시스템을 실행하는 SRX 시리즈 서비스 게이트웨이를 공유하는 제품 설계 그룹, 마케팅 부서 및 회계 부서의 구성원은 해당 부서에 별도의 디바이스를 구축한 경우와 마찬가지로 서로 통신할 수 있습니다. 논리 터널(lt-0/0/0) 내부 인터페이스를 통해 상호 연결하도록 논리 시스템을 구성할 수 있습니다. 상호 연결 논리적 시스템의 lt-0/0/0 인터페이스는 각 논리적 시스템에 대해 구성하는 lt-0/0/0 인터페이스에 연결됩니다. 상호 연결 논리적 시스템은 논리적 시스템 간에 트래픽을 전환합니다. 논리적 시스템을 실행하는 SRX 시리즈 방화벽은 상호 연결 논리적 시스템이 사용될 때 디바이스에서 생성된 모든 논리적 시스템 간에 빠르고 높은 수준의 상호 작용을 제공합니다.
동일한 디바이스의 논리적 시스템은 마치 별도의 디바이스인 것처럼 디바이스의 포트를 통해 서로 직접 통신할 수도 있습니다. 이 방법은 논리적 시스템 간의 직접 연결을 허용하지만 더 많은 리소스를 소비하고(인터페이스와 외부 스위치를 구성해야 함) 비용이 더 많이 듭니다.
서비스 프로바이더는 데이터센터에서 논리적 시스템을 실행하는 SRX 시리즈 방화벽을 구축하여 고객에게 안전한 프라이빗 사용자 논리적 시스템과 디바이스 리소스의 개별 사용을 제안할 수 있습니다.
예를 들어, 한 회사에는 10개의 사용자 논리적 시스템이 필요하고 다른 회사에는 20개가 필요할 수 있습니다. 논리적 시스템은 안전하고 비공개이며 독립적이기 때문에 하나의 논리적 시스템에 속한 데이터는 다른 논리적 시스템의 관리자나 사용자가 볼 수 없습니다. 즉, 한 회사의 직원은 다른 회사의 논리적 시스템을 볼 수 없습니다.
SRX4100 및 SRX4200 디바이스는 투명 모드와 경로 모드 모두에서 논리적 시스템을 지원합니다.
SRX4600 디바이스는 경로 모드에서만 논리 시스템을 지원합니다.
선택 사항인 내부 스위치를 사용하려면 상호 연결 논리적 시스템도 구성해야 합니다. 상호 연결 논리적 시스템에는 관리자가 필요하지 않습니다.
참조
논리적 시스템의 특징 및 한계
이 주제는 논리적 시스템의 기능 및 제한 사항에 대한 기본 정보를 다룹니다.
1부터 32까지 최대 32개의 보안 프로필을 구성할 수 있으며, ID 0은 내부적으로 구성된 기본 보안 프로필용으로 예약되어 있습니다. 최대 보안 프로필 수에 도달했을 때 새 보안 프로필을 추가하려면 먼저 하나 이상의 기존 보안 프로필을 삭제하고 구성을 커밋한 다음 새 보안 프로필을 생성하고 커밋해야 합니다. 단일 구성 커밋 내에서 새 보안 프로필을 추가하고 기존 프로필을 제거할 수 없습니다.
둘 이상의 새 보안 프로필을 추가하려는 경우에도 동일한 규칙이 적용됩니다. 먼저 해당하는 수의 기존 보안 프로필을 삭제하고 구성을 커밋한 다음 새 보안 프로필을 생성하고 구성을 커밋해야 합니다.
한 명 이상의 기본 관리자를 구성하여 디바이스 및 이들이 구성하는 논리적 시스템의 관리를 감독할 수 있습니다.
논리적 시스템을 실행하는 SRX 시리즈 서비스 게이트웨이의 기본 관리자는 디바이스, 리소스 및 생성한 논리적 시스템에 대한 루트 제어 권한이 있습니다. 보안, 네트워킹 및 라우팅 리소스를 사용자 논리적 시스템에 할당합니다. 하나의 논리적 시스템을 구성하여 상호 연결 논리적 시스템 가상 프라이빗 LAN 서비스(VPLS) 스위치로 사용할 수 있습니다. 필수가 아닌 상호 연결 논리적 시스템에는 보안 리소스가 필요하지 않습니다. 그러나 상호 연결 논리적 시스템을 구성하는 경우, 더미 보안 프로필을 여기에 바인딩해야 합니다. 기본 관리자가 이를 구성하고 이를 위해 모든 lt-0/0/0 인터페이스를 구성합니다.
사용자 논리적 시스템에는 사용자 논리적 시스템 관리자라고 하는 한 명 이상의 관리자가 있을 수 있습니다. 기본 관리자는 이러한 관리자에 대한 로그인 계정을 생성하여 사용자 논리적 시스템에 할당합니다. 현재 기본 관리자는 모든 사용자 논리적 시스템 관리자를 구성해야 합니다. 첫 번째로 할당된 사용자 논리적 관리자는 자신의 논리적 시스템에 대해 추가적인 사용자 논리적 시스템 관리자를 구성할 수 없습니다. 사용자 논리적 시스템 관리자는 기본 관리자가 할당한 논리적 인터페이스, 라우팅 인스턴스 및 해당 경로, 보안 구성 요소를 포함하여 사용자 논리적 시스템에 할당된 리소스를 구성할 수 있습니다. 논리적 시스템에 대한 구성 정보만 표시할 수 있습니다.
논리적 시스템은 사용 가능한 시스템 리소스를 기반으로 하나 이상의 라우팅 인스턴스를 포함할 수 있습니다.
lt-0/0/0 인터페이스에서는 서비스 등급을 구성할 수 없습니다.
커밋 롤백은 루트 수준에서만 지원됩니다.
상호 연결된 논리적 시스템 간의 QoS(Quality-of-Service) 분류는 작동하지 않습니다.
기본 관리자는 루트 수준에서 ALG(애플리케이션 레이어 게이트웨이)를 구성할 수 있습니다. 구성은 모든 사용자 논리적 시스템에 의해 상속됩니다. ALG는 사용자 논리 시스템에 대해서도 개별적으로 구성할 수 있습니다.
기본 관리자는 루트 수준에서 침입 탐지 및 방지(IDP) 정책을 구성한 다음 사용자 논리적 시스템에 침입 탐지 및 방지(IDP) 정책을 적용할 수 있습니다.
기본 관리자만 모든 논리적 시스템의 사용자에 대한 사용자 계정 및 로그인 ID를 생성할 수 있습니다. 기본 관리자는 루트 수준에서 이러한 사용자 계정을 생성하고 적절한 사용자 논리적 시스템에 할당합니다.
동일한 이름을 두 개의 개별 논리적 시스템에서 사용할 수 없습니다. 예를 들어 논리 시스템1에 Bob이 사용자 이름으로 구성된 사용자가 포함된 경우 디바이스의 다른 논리 시스템은 사용자 이름이 Bob인 사용자를 포함할 수 없습니다.
모든 논리적 시스템 및 모든 사용자 논리적 시스템 관리자에 대한 사용자 구성은 기본 관리자가 루트 수준에서 수행해야 합니다. 사용자 논리적 시스템 관리자는 자신의 논리적 시스템에 대해 다른 사용자 논리적 시스템 관리자 또는 사용자 계정을 생성할 수 없습니다.
일부 크기 조정 매개 변수는 SRX1500 디바이스마다 다릅니다. 예를 들어, 논리적 시스템에서 최대 512개의 영역을 구성할 수 있습니다.
참조
Interconnect 논리적 시스템 및 논리적 터널 인터페이스 이해하기
이 주제는 디바이스의 하나의 논리적 시스템을 다른 논리적 시스템에 연결하는 내부 VPLS(가상 프라이빗 LAN 서비스) 스위치 역할을 하는 상호 연결 논리적 시스템을 다룹니다. 또한 논리 터널(lt-0/0/0) 인터페이스를 사용하여 상호 연결 논리 시스템을 통해 논리 시스템을 연결하는 방법도 설명합니다.
논리적 시스템을 실행하는 디바이스는 내부 VPLS 스위치를 사용하여 디바이스를 떠나지 않고 트래픽을 전달할 수 있습니다. 상호 연결 논리적 시스템은 이를 사용하는 논리적 시스템 간에 트래픽을 전환합니다. 일반적으로 가상 스위치가 사용되지만 필수는 아닙니다. 가상 스위치 사용을 선택하는 경우 상호 연결 논리적 시스템을 구성해야 합니다. 디바이스에는 오직 하나의 상호 연결 논리적 시스템만 있을 수 있습니다.
디바이스의 논리적 시스템 간 통신이 발생하려면 내부 스위치를 사용할 각 논리적 시스템에서 lt-0/0/0 인터페이스를 구성하고, 상호 연결 논리적 시스템의 피어 lt-0/0/0 인터페이스와 연결하여 이들 사이에 논리적 터널을 효과적으로 생성해야 합니다. 논리적 시스템의 lt-0/0/0 인터페이스를 구성할 때 터널의 각 끝에서 피어 관계를 정의합니다.
외부 스위치를 사용하지 않고 디바이스의 모든 논리적 시스템이 서로 통신할 수 있기를 원할 수 있습니다. 또는 일부 논리 시스템을 내부 스위치 전체에 연결하되 전부는 연결하지 않을 수 있습니다.
상호 연결 논리적 시스템에는 보안 프로필을 통해 할당된 보안 리소스가 필요하지 않습니다. 그러나 리소스를 포함하지 않는 더미 보안 프로파일을 상호 연결 논리적 시스템에 할당해야 합니다. 그렇지 않으면 구성을 성공적으로 커밋할 수 없습니다.
모든 사용자 논리적 시스템 또는 기본 논리적 시스템에서 lt-0/0/0 인터페이스를 구성하고 이를 위한 피어 lt-0/0/0 인터페이스를 포함하는 상호 연결 논리적 시스템을 구성하지 않으면, 커밋이 실패합니다.
논리적 시스템을 실행하는 SRX 시리즈 방화벽은 섀시 클러스터에서 사용할 수 있습니다. 각 노드는 상호 연결 논리적 시스템을 포함하여 동일한 구성을 갖습니다.
참조
SRX 시리즈 디바이스용 논리적 시스템의 패킷 플로우 이해
이 주제는 논리적 시스템을 실행하는 SRX 시리즈 방화벽의 플로우 세션에서 패킷이 처리되는 방법을 설명합니다. 논리적 시스템을 실행하는 SRX 시리즈 방화벽이 단일 논리적 시스템 내에서, 그리고 논리적 시스템 간에 패스스루 트래픽을 처리하는 방법을 설명합니다. 또한 논리적 시스템 내에서 자체 시작 트래픽으로서의 셀프 트래픽과 다른 논리적 시스템에서 종료된 셀프 트래픽도 다룹니다. 논리적 시스템을 다루기 전에 이 주제는 패킷 처리 및 세션과 관련하여 에서 SRX 시리즈 아키텍처에 대한 기본 정보를 제공합니다. 마지막으로, 세션과 세션 특성을 변경하는 방법에 대해 설명합니다.
이 예에서 설명하는 개념은 그림 2에 표시된 토폴로지에 의존합니다.
- Junos OS SRX 시리즈 방화벽 아키텍처 이해
- 논리적 시스템을 실행하는 디바이스를 위한 세션 생성
- 논리적 시스템의 플로우 이해
- 패킷 분류 이해
- 논리적 시스템에 대한 패스스루 트래픽 처리
- 자체 트래픽 처리
- 세션 및 게이트 제한 제어에 대한 이해
- 세션 이해하기
- 세션 구성 정보
Junos OS SRX 시리즈 방화벽 아키텍처 이해
Junos OS는 분산된 병렬 처리, 높은 처리량, 고성능 시스템입니다. 서비스 게이트웨이의 분산 병렬 처리 아키텍처에는 세션을 관리하고 보안 및 기타 서비스 처리를 실행하기 위한 여러 프로세서가 포함됩니다. 이 아키텍처는 더 큰 유연성을 제공하고 높은 처리량과 빠른 성능을 허용합니다.
SRX5000 라인 디바이스에는 I/O 카드(IOC) 및 서비스 처리 카드(SPC)가 포함되며, 각 디바이스에는 디바이스를 통과할 때 패킷을 처리하는 처리 장치가 포함되어 있습니다. NPU(Network Processing Unit)는 IOC에서 실행됩니다. IOC에는 하나 이상의 NPU가 있습니다. SPC에서 실행되는 하나 이상의 서비스 처리 단위(SPU).
이러한 처리 장치에는 서로 다른 책임이 있습니다. 패킷에 대한 모든 플로우 기반 서비스는 단일 SPU에서 실행됩니다. 그러나 그렇지 않으면 이러한 프로세서에서 실행되는 서비스의 종류와 관련하여 라인이 명확하게 구분되지 않습니다. (플로우 기반 처리에 대한 자세한 내용은 보안 디바이스의 트래픽 처리 이해를 참조하십시오.)
예를 들어:
NPU는 패킷을 개별적으로 처리합니다. 온전성 검사를 수행하고 DoS(Denial-of-Service) 화면과 같은 인터페이스에 대해 구성된 일부 화면을 패킷에 적용합니다.
SPU는 패킷 플로우에 대한 세션을 관리하고 보안 기능 및 기타 서비스를 패킷에 적용합니다. 또한 패킷 기반 스테이트리스 방화벽 필터, 분류자 및 트래픽 셰이퍼를 패킷에 적용합니다.
시스템은 하나의 프로세서를 중앙 지점으로 사용하여 중재 및 리소스 할당을 처리하고 지능적인 방식으로 세션을 분배합니다. 중앙 지점은 플로우의 첫 번째 패킷이 처리될 때 특정 세션에 사용할 SPU를 할당합니다.
중심점을 포함하여 시스템의 이러한 개별적이고 협력하는 부분은 각각 패킷 스트림에 대한 세션이 존재하는지 여부를 식별하는 정보와 패킷이 일치하는 정보를 저장하여 기존 세션에 속하는지 여부를 확인합니다.
이 아키텍처를 통해 디바이스는 모든 세션의 처리를 여러 SPU에 분산할 수 있습니다. 또한 NPU는 패킷에 대한 세션이 존재하는지 확인하고, 패킷을 확인하며, 스크린을 적용할 수 있습니다. 패킷이 처리되는 방식은 플로우의 첫 번째 패킷인지 여부에 따라 다릅니다.
플로우 기반 패킷 처리는 관련 패킷 또는 패킷 스트림을 동일한 방식으로 처리합니다. 패킷 처리는 플로우 세션이 설정될 때 패킷 스트림의 첫 번째 패킷에 대해 설정된 특성에 따라 달라집니다. 대부분의 패킷 처리는 플로우 내에서 발생합니다. 서비스 게이트웨이의 분산 처리 아키텍처의 경우, 트레픽 셰이핑과 같은 일부 패킷 기반 처리가 NPU에서 발생합니다. 패킷에 분류기를 적용하는 것과 같은 일부 패킷 기반 처리는 SPU에서 발생합니다.
패킷의 운명을 결정하는 구성 설정(예: 패킷에 적용되는 보안 정책, 패킷의 소스 및/또는 대상 IP 주소를 변환하기 위해 NAT을 적용해야 하는 경우 패킷에 대해 구성된 ALG(Aplication Layer Gateway))은 플로우의 첫 번째 패킷에 대해 평가됩니다.
논리적 시스템을 실행하는 디바이스를 위한 세션 생성
논리적 시스템을 실행하는 SRX 시리즈 방화벽의 세션 설정은 논리적 시스템을 실행하지 않는 SRX 시리즈 방화벽의 세션 설정과 사소한 차이가 있습니다. 논리적 시스템에 의한 복잡성에도 불구하고 트래픽은 논리적 시스템을 실행하지 않는 SRX 시리즈 방화벽에서 처리되는 방식과 유사한 방식으로 처리됩니다. 상태 저장인 플로우 기반 패킷 처리에는 세션 생성이 필요합니다. 논리적 시스템에 대한 플로우 기반 처리 및 세션 설정을 고려할 때 세션 설정과 관련하여 디바이스의 각 논리적 시스템을 개별 디바이스로 생각하는 것이 도움이 됩니다.
라우팅 및 기타 분류 정보를 기반으로 세션이 생성되어 흐름을 위한 정보를 저장하고 리소스를 할당합니다. 기본적으로 트래픽이 논리적 시스템 인터페이스에 진입할 때 세션이 설정되고, 다음 홉 인터페이스를 식별하기 위해 경로 조회가 수행되며, 정책 조회가 수행됩니다.
선택적으로 논리적 시스템을 사용하여 내부 소프트웨어 스위치를 구성할 수 있습니다. 이 VPLS(Virtual Private LAN Switch)는 상호 연결 논리적 시스템으로 구현됩니다. 전송 트래픽과 논리적 시스템에서 종료된 트래픽이 논리적 시스템 사이를 통과할 수 있습니다. 논리적 시스템 간 트래픽 통과를 활성화하기 위해 상호 연결 논리적 시스템 전반의 논리적 터널(lt-0/0/0) 인터페이스가 사용됩니다.
상호 연결 논리적 시스템에서 논리적 시스템 간의 통신은 논리적 시스템에 진입하여 lt-0/0/0 인터페이스를 나가는 트래픽과 다른 논리적 시스템의 lt-0/0/0 인터페이스에 들어와 물리적 인터페이스 중 하나를 통해 디바이스를 종료하거나 목적지로 향하는 트래픽의 두 세션을 설정해야 합니다.
패킷 시퀀스는 수신 및 송신 인터페이스에서 발생합니다. 논리적 시스템 사이를 이동하는 패킷은 물리적 인터페이스에서 수신된 순서대로 처리되지 않을 수 있습니다.
논리적 시스템의 플로우 이해
논리적 시스템에 대한 트래픽 처리 방법을 이해하려면 각 논리적 시스템을 개별 디바이스로 고려하는 것이 좋습니다.
디바이스의 사용자 논리적 시스템과 동일한 방식으로 기본 논리적 시스템에 대한 트래픽이 처리됩니다.
SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 및 SRX5800 시리즈 디바이스에서 J-Flow 버전 5, 버전 8 및 버전 9는 논리적 시스템에서 지원되지 않습니다.
패킷 분류 이해
패킷 분류는 논리적 시스템과 함께 또는 논리적 시스템 없이 실행되는 SRX 시리즈 방화벽에 대해 동일한 방식으로 평가됩니다. 필터 및 CoS(Class of Service) 기능은 일반적으로 인터페이스와 연결되어 시스템을 통과할 수 있는 패킷에 영향을 미치고 필요에 따라 패킷에 특수 작업을 적용할 수 있습니다. (플로우 내에서 일부 패킷 기반 처리도 SPU에서 발생합니다.)
패킷 분류는 수신 인터페이스를 기반으로 하고 수신 지점에서 수행됩니다. 전용 인터페이스의 트래픽은 해당 인터페이스를 포함하는 논리적 시스템으로 분류됩니다. 플로우의 컨텍스트 내에서 패킷 분류는 물리적 인터페이스와 논리적 인터페이스 모두를 기반으로 합니다.
논리적 시스템에 대한 패스스루 트래픽 처리
논리적 시스템을 실행하지 않는 SRX 시리즈 방화벽의 경우, 패스스루 트래픽은 디바이스에 들어오고 나가는 트래픽입니다. 논리적 시스템에 대한 패스스루 트래픽도 비슷하게 생각할 수 있지만, 멀티테넌트 디바이스의 특성으로 인해 더 큰 차원을 갖는 것으로 간주할 수 있습니다. 논리적 시스템을 실행하는 SRX 시리즈 방화벽의 경우, 논리적 시스템 내부 또는 논리적 시스템 간에 통과 트래픽이 존재할 수 있습니다.
논리적 시스템 내의 통과 트래픽
논리적 시스템 내의 패스스루 트래픽의 경우, 트래픽은 논리적 시스템의 가상 라우팅 인스턴스 중 하나에 속하는 인터페이스에서 들어오고 다른 가상 라우팅 인스턴스로 전송됩니다. 디바이스를 나가기 위해 트래픽은 두 번째 가상 라우팅 인스턴스에 속하는 인터페이스로 전송됩니다. 트래픽은 논리적 시스템 간에 전송되지 않고 단일 논리적 시스템에서 디바이스를 출입합니다. 논리적 시스템 내의 패스스루 트래픽은 각 라우팅 인스턴스의 라우팅 테이블에 따라 전송됩니다.
그림 2에 표시된 토폴로지를 고려하면 논리적 시스템 내에서 패스스루 트래픽이 어떻게 처리되는지 생각해 볼 수 있습니다.
패킷이 인터페이스 ge-0/0/5에 도착하면 ls-product-design 논리 시스템에 속하는 것으로 식별됩니다.
ge-0/0/5는 pd-vr1 라우팅 인스턴스에 속하기 때문에 경로 조회는 pd-vr1에서 수행되며 pd-vr2는 다음 홉으로 식별됩니다.
사용할 송신 인터페이스(이 경우: ge-0/0/8)를 식별하기 위해 pd-vr2에서 두 번째 경로 조회를 수행합니다.
패킷은 ge-0/0/8로 네트워크로 전송됩니다.
보안 정책 조회는 ls-product-design에서 수행되며 한 개의 세션이 설정됩니다.
논리적 시스템 간 통과 트래픽
논리적 시스템 간의 통과 트래픽은 각 논리적 시스템이 트래픽이 통과해야 하는 수신 및 송신 인터페이스를 가지고 있기 때문에 복잡합니다. 이는 마치 트래픽이 두 개의 디바이스에서 들어오고 나가는 것과 같습니다.
논리적 시스템 간의 통과 트래픽에 대해 두 개의 세션을 설정해야 합니다. (정책 조회는 두 논리적 시스템 모두에서 수행됩니다.)
수신 논리적 시스템에서는 수신 인터페이스(물리적 인터페이스)와 송신 인터페이스(lt-0/0/0 인터페이스) 사이에 하나의 세션이 설정됩니다.
송신 논리적 시스템에서는 수신 인터페이스(두 번째 논리적 시스템의 lt-0/0/0 인터페이스)와 송신 인터페이스(물리적 인터페이스) 사이에 다른 세션이 설정됩니다.
그림 2에 표시된 토폴로지에서 논리적 시스템 전반에서 패스스루 트래픽이 어떻게 처리되는지 고려하십시오.
수신 논리적 시스템에 세션이 설정됩니다.
패킷이 인터페이스 ge-0/0/5에 도착하면 ls-product-design 논리 시스템에 속하는 것으로 식별됩니다.
ge-0/0/5는 pd-vr1 라우팅 인스턴스에 속하므로 pd-vr1에서 경로 조회가 수행됩니다.
조회 결과, 패킷의 송신 인터페이스는 lt-0/0/0.3으로 식별되고 다음 홉은 lt-0/0/0.5로 식별되며, 이는 ls-marketing-dept의 수신 인터페이스입니다.
ge-0/0/5와 lt-0/0/0.3 사이에 세션이 설정됩니다.
세션이 나가는 논리적 시스템에 설정됩니다.
패킷은 lt-0/0/0.5에서 flow에 다시 삽입되고 ls-marketing-dept로 식별되는 논리적 시스템 컨텍스트가 인터페이스에서 파생됩니다.
패킷 처리는 ls-marketing-dept 논리적 시스템에서 계속됩니다.
송신 인터페이스를 식별하기 위해 패킷에 대한 경로 조회가 mk-vr1 라우팅 인스턴스에서 수행됩니다.
나가는 인터페이스는 ge-0/0/6으로 식별되고 패킷은 인터페이스에서 네트워크로 전송됩니다.
자체 트래픽 처리
셀프 트래픽은 디바이스의 논리적 시스템에서 시작되어 해당 논리적 시스템에서 네트워크로 전송되거나 디바이스의 다른 논리적 시스템에서 종료되는 트래픽입니다.
자체 시작 트래픽
자체 시작 트래픽은 소스 논리적 시스템 컨텍스트에서 생성되어 논리적 시스템 인터페이스에서 네트워크로 직접 전달됩니다.
다음 프로세스가 발생합니다.
논리적 시스템에서 패킷이 생성되면 논리적 시스템에서 트래픽을 처리하는 프로세스가 시작됩니다.
송신 인터페이스를 식별하기 위해 경로 조회가 수행되고 세션이 설정됩니다.
논리적 시스템은 정책 조회를 수행하고 그에 따라 트래픽을 처리합니다.
필요한 경우 관리 세션이 설정됩니다.
그림 2에 표시된 토폴로지를 고려하여 논리적 시스템 전반에서 자체 시작 트래픽이 어떻게 처리되는지 생각해 보십시오.
ls-product-design 논리적 시스템에서 패킷이 생성되고 논리적 시스템에서 트래픽 처리 프로세스가 시작됩니다.
송신 인터페이스를 ge-0/0/8로 식별하기 위해 pd-vr2에서 수행된 경로 조회.
세션이 설정됩니다.
패킷은 ge-0/0/8에서 네트워크로 전송됩니다.
논리적 시스템에서 종료된 트래픽
패킷이 논리적 시스템에 속하는 인터페이스의 디바이스에 진입하고 패킷이 디바이스의 다른 논리적 시스템을 목적지로 하는 경우, 패킷은 통과 트래픽과 동일한 방식으로 논리적 시스템 간에 전달됩니다. 그러나 두 번째 논리적 시스템의 경로 조회는 로컬 송신 인터페이스를 패킷 대상으로 식별합니다. 결과적으로 패킷은 두 번째 논리적 시스템에서 자체 트래픽으로 종료됩니다.
종료된 셀프 트래픽의 경우 두 개의 정책 조회가 수행되고 두 개의 세션이 설정됩니다.
수신 논리적 시스템에서는 수신 인터페이스(물리적 인터페이스)와 송신 인터페이스(lt-0/0/0 인터페이스) 사이에 하나의 세션이 설정됩니다.
대상 논리적 시스템에서는 수신 인터페이스(두 번째 논리적 시스템의 lt-0/0/0 인터페이스)와 로컬 인터페이스 사이에 다른 세션이 설정됩니다.
그림 2에 표시된 토폴로지의 논리적 시스템 전반에서 종료된 셀프 트래픽이 어떻게 처리되는지 고려하십시오.
수신 논리적 시스템에 세션이 설정됩니다.
패킷이 인터페이스 ge-0/0/5에 도착하면 ls-product-design 논리 시스템에 속하는 것으로 식별됩니다.
ge-0/0/5는 pd-vr1 라우팅 인스턴스에 속하므로 pd-vr1에서 경로 조회가 수행됩니다.
조회 결과, 패킷의 송신 인터페이스는 lt-0/0/0.3으로 식별되고 다음 홉은 lt-0/0/0.5로 식별되며, ls-marketing-dept의 수신 인터페이스입니다.
ge-0/0/5와 lt-0/0/0.3 사이에 세션이 설정됩니다.
관리 세션이 대상 논리적 시스템에 설정됩니다.
패킷은 lt-0/0/0.5에서 flow에 다시 삽입되고 ls-marketing-dept로 식별되는 논리적 시스템 컨텍스트가 인터페이스에서 파생됩니다.
패킷 처리는 ls-marketing-dept 논리적 시스템에서 계속됩니다.
패킷에 대한 경로 조회는 mk-vr1 라우팅 인스턴스에서 수행됩니다. 패킷은 대상 논리적 시스템에서 자체 트래픽으로 종료됩니다.
관리 세션이 설정됩니다.
세션 및 게이트 제한 제어에 대한 이해
논리적 시스템 flow 모듈은 세션 및 게이트 제한을 제공하여 이러한 리소스가 논리적 시스템 간에 공평하게 공유되도록 합니다. 각 논리적 시스템에 대한 리소스 할당 및 제한은 논리적 시스템에 바인딩된 보안 프로파일에 명시됩니다.
세션 제한의 경우, 시스템은 논리적 시스템에 대해 구성된 최대 세션 수에 대해 세션의 첫 번째 패킷을 확인합니다. 최대값에 도달하면 디바이스가 패킷을 삭제하고 이벤트를 기록합니다.
게이트 제한의 경우, 디바이스는 논리적 시스템에 대해 구성된 최대 게이트 수에 대해 세션의 첫 번째 패킷을 확인합니다. 논리적 시스템의 최대 게이트 수에 도달하면 디바이스는 게이트 열림 요청을 거부하고 이벤트를 기록합니다.
세션 이해하기
세션은 라우팅 및 기타 분류 정보를 기반으로 생성되어 정보를 저장하고 플로우에 리소스를 할당합니다. 세션이 종료되는 경우와 같은 세션의 일부 특성을 변경할 수 있습니다. 예를 들어 세션 테이블이 완전히 꽉 차지 않도록 하여 공격자가 테이블을 플러딩하려는 시도로부터 보호하여 합법적인 사용자가 세션을 시작하지 못하도록 할 수 있습니다.
세션 구성 정보
프로토콜 및 서비스에 따라 세션은 시간 제한 값으로 프로그래밍됩니다. 예를 들어 TCP의 기본 시간 제한은 1800초입니다. UDP의 기본 타임아웃은 60초입니다. 흐름이 종료되면 유효하지 않은 것으로 표시되고 시간 초과가 10초로 줄어듭니다. 트래픽이 서비스 시간 초과 전에 세션을 사용하는 트래픽이 없는 경우 세션이 에이징되고 재사용을 위해 공통 리소스 풀로 해제됩니다.
다음과 같은 방법으로 세션의 수명에 영향을 줄 수 있습니다.
세션 테이블이 얼마나 꽉 찼는지에 따라 세션을 에이징합니다.
에이징 아웃된 TCP 세션에 대한 명시적 시간 제한을 설정합니다.
TCP RST(재설정) 메시지를 수신할 때 무효화될 TCP 세션을 구성합니다.
다음과 같이 다른 시스템을 수용하도록 세션을 구성할 수 있습니다.
TCP 패킷 보안 검사를 비활성화합니다.
최대 세그먼트 크기를 변경합니다.
참조
vSRX 가상 방화벽 및 vSRX 가상 방화벽 3.0 인스턴스에 대한 논리적 시스템 및 테넌트 시스템 지원
Junos OS 릴리스 20.1R1부터 vSRX 가상 방화벽 및 vSRX 가상 방화벽 3.0 인스턴스에서 논리적 시스템과 테넌트 시스템을 구성할 수 있습니다.
각 논리적 시스템을 구성하면 추가 라우팅 프로토콜 프로세스(RPD)가 생성되며, 이는 CPU와 메모리를 많이 사용합니다. Junos OS 릴리스 20.1R1부터
메모리 용량이 16GB 미만인 vSRX 가상 방화벽 및 vSRX3.0 인스턴스는 하나의 루트 논리적 시스템을 지원합니다.
메모리 용량이 16GB 이상인 vSRX 가상 방화벽 및 vSRX3.0 인스턴스는 논리적 시스템을 지원하지만 논리적 시스템을 8개로 제한합니다.
표 1 에는 vSRX 가상 방화벽 및 vSRX 가상 방화벽 3.0의 서로 다른 메모리 용량에서 지원되는 논리적 시스템 및 테넌트 시스템의 수가 나와 있습니다.
형 |
4기가바이트 |
8기가바이트 |
16GB 이상 |
|---|---|---|---|
논리적 시스템(루트 논리적 시스템 포함) |
1 |
1 |
8 |
테넌트 시스템 |
0 |
0 |
42 |
논리적 시스템 + 테넌트 시스템(루트 논리적 시스템 포함) |
1 |
1 |
50 |
vSRX 가상 방화벽 3.0 인스턴스만이 디바이스 메모리를 기반으로 유연한 보안 프로필을 지원합니다. vSRX 가상 방화벽 3.0에서 지원되는 최대 보안 프로필 수는 메모리와 관련이 있습니다. 자세한 내용은 논리적 시스템에 대한 보안 프로필을 참조하십시오.
계층 수준에서 [edit] 다음 명령을 사용하여 vSRX 가상 방화벽 및 vSRX3.0 인스턴스 set security forwarding-options resource-manager cpu re 2의 라우팅 엔진에 CPU가 2개 이상 있는지 확인합니다.