Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

기본 논리적 시스템 개요

기본 논리적 시스템은 사용자 논리적 시스템을 생성하고 사용자 논리적 시스템의 보안 리소스를 구성할 수 있습니다. 기본 논리적 시스템은 논리적 인터페이스를 사용자 논리적 시스템에 할당합니다. 자세한 내용은 다음 항목을 참조하십시오.

기본 논리적 시스템 및 기본 관리자 역할 이해

기본 관리자로서 논리적 시스템을 실행하는 SRX 시리즈 방화벽을 초기화할 때, 기본 논리적 시스템이 루트 수준에서 생성됩니다. 디바이스에 루트로 로그인하고 루트 비밀번호를 변경할 수 있습니다.

기본적으로 모든 시스템 리소스는 기본 논리적 시스템에 할당되며 기본 관리자는 이를 사용자 논리적 시스템에 할당합니다.

주 관리자는 디바이스와 모든 논리적 시스템을 관리합니다. 또한 기본 논리적 시스템을 관리하고 할당된 리소스를 구성합니다. 논리적 시스템을 실행하는 디바이스를 관리하는 기본 관리자가 두 명 이상 있을 수 있습니다.

  • 주 관리자의 역할과 주요 책임은 다음과 같습니다.

    • 사용자 논리적 시스템 생성 및 관리자 구성. 각 사용자 논리적 시스템에 대해 하나 이상의 사용자 논리적 시스템 관리자를 생성할 수 있습니다.

    • 모든 논리적 시스템에 대한 사용자에 대한 로그인 계정을 생성하고 적절한 논리적 시스템에 할당합니다.

    • 디바이스의 논리적 시스템 간의 통신을 허용하려는 경우 상호 연결 논리적 시스템 구성. 상호 연결 논리적 시스템은 내부 스위치 역할을 합니다. 관리자가 필요하지 않습니다.

      상호 연결 논리 시스템을 구성하려면 상호 연결 논리 시스템과 각 논리 시스템 간에 lt-0/0/0 인터페이스를 구성합니다. 이러한 피어 인터페이스를 통해 터널을 효과적으로 설정할 수 있습니다.

    • 시스템 보안 리소스의 일부를 사용자 논리적 시스템 및 기본 논리적 시스템에 프로비저닝하도록 보안 프로필을 구성합니다.

      주 관리자만 보안 프로필을 생성, 변경 및 삭제하고 논리적 시스템에 바인딩할 수 있습니다.

      참고:

      사용자 논리적 시스템 관리자는 자신의 논리적 시스템에 할당된 인터페이스, 라우팅 및 보안 리소스를 구성할 수 있습니다.

    • 사용자 논리적 시스템에 할당할 논리적 인터페이스를 생성합니다. (사용자 논리적 시스템 관리자는 자신의 논리적 시스템에 할당된 논리적 인터페이스를 구성합니다.)

    • 필요에 따라 사용자 논리적 시스템을 보고 관리하고 사용자 논리적 시스템을 삭제합니다. 사용자 논리적 시스템이 삭제되면 할당된 예약 리소스가 다른 논리적 시스템에서 사용할 수 있도록 해제됩니다.

    • IDP, AppTrack, 애플리케이션 식별, 애플리케이션 방화벽 기능 구성. 주 관리자는 또한 루트 수준에서 추적 및 디버그를 사용할 수 있으며 커밋 롤백을 수행할 수 있습니다. 기본 관리자는 기본 논리적 시스템을 관리하고 라우팅 인스턴스, 정적 경로, 동적 라우팅 프로토콜, 영역, 보안 정책, 화면 및 방화벽 인증을 포함하여 사용자 논리적 시스템 관리자가 자신의 논리적 시스템에 대해 구성할 수 있는 모든 기능을 구성합니다.

또한보십시오

SRX 시리즈 논리적 시스템 기본 관리자 구성 작업 개요

이 항목에서는 기본 관리자의 작업을 수행되는 순서대로 설명합니다.

논리적 시스템을 실행하는 SRX 시리즈 방화벽은 주 관리자가 관리합니다. 주 관리자는 논리적 시스템을 실행하지 않는 SRX 시리즈 방화벽의 루트 관리자와 동일한 기능을 가집니다. 그러나 논리적 시스템을 실행하는 SRX 시리즈 방화벽은 각각 고유한 리소스, 구성 및 관리 문제가 있는 개별 논리적 시스템으로 분할되기 때문에 주 관리자의 역할과 책임은 다른 SRX 시리즈 방화벽 관리자보다 더 확장됩니다. 주 관리자는 이러한 사용자 논리적 시스템을 생성하고 리소스로 프로비저닝할 책임이 있습니다.

기본 관리자의 역할 및 책임에 대한 개요는 기본 논리적 시스템 및 기본 관리자 역할 이해를 참조하십시오.

기본 관리자는 다음 작업을 수행하여 논리적 시스템을 실행하는 SRX 시리즈 방화벽을 구성합니다.

  1. 루트 암호를 구성합니다. 처음에는 기본 관리자가 비밀번호를 지정할 필요 없이 루트 사용자로 디바이스에 로그인합니다. 디바이스에 로그인한 후 나중에 사용할 루트 암호를 정의해야 합니다.

    구성 정보는 예: 논리적 시스템에 대한 루트 암호 구성을 참조하십시오.

  2. 사용자 논리적 시스템과 해당 관리자 및 사용자를 생성합니다. 선택적으로 상호 연결 논리적 시스템을 생성합니다.

    디바이스에서 구성하려는 각 사용자 논리적 시스템에 대해 논리적 시스템을 생성하고, 하나 이상의 관리자를 정의하고, 사용자를 추가해야 합니다.

    기본 관리자는 사용자, 논리적 시스템 관리자 및 사용자에 대한 로그인 계정을 구성하고 이를 사용자 논리적 시스템과 연결합니다. 사용자 논리적 시스템에는 둘 이상의 관리자가 있을 수 있습니다. 기본 관리자는 모든 사용자 논리적 시스템 관리자를 정의 및 추가하고 사용자 논리적 시스템에 추가해야 합니다.

    기본 관리자는 사용자 논리적 시스템 관리자를 대신하여 사용자 논리적 시스템에 사용자를 추가합니다. 예를 들어, 제품 설계 부서에 대한 사용자 논리적 시스템을 생성한 경우 해당 부서에 속한 사용자에 대한 사용자 계정을 생성하고 이를 사용자 논리적 시스템과 연결해야 합니다. 사용자 논리적 시스템 관리자는 이 작업을 수행할 수 없습니다. 오히려 사용자 논리적 관리자는 자신의 논리적 시스템에 대해 생성하고 추가해야 하는 사용자 계정을 알려줍니다.

  3. 하나 이상의 보안 프로필을 구성합니다. 보안 프로필은 논리적 시스템에 보안 리소스를 할당합니다. 동일한 종류와 양의 리소스를 할당하려는 경우 단일 보안 프로필을 둘 이상의 논리 시스템에 할당할 수 있습니다.
  4. 논리적 시스템에 대한 인터페이스, 라우팅 인스턴스 및 정적 경로를 적절하게 구성합니다.

    • 상호 연결 논리 시스템을 사용하려는 경우 논리 터널 인터페이스를 구성하고 가상 라우팅 인스턴스에 추가합니다.

    • 기본 논리적 시스템에 대한 인터페이스를 구성합니다. 선택적으로 논리 터널 인터페이스를 생성하여 디바이스의 다른 논리 시스템과 통신할 수 있습니다. 기본 논리적 시스템에 대한 가상 라우팅 인스턴스를 생성하고 해당 인터페이스와 정적 경로를 추가합니다. 또한 VLAN 태깅을 사용하여 사용자 논리적 시스템에 대한 논리적 인터페이스를 구성합니다.

      참고:

      기본 관리자는 사용자 논리적 시스템 관리자에게 논리적 시스템에 할당된 인터페이스를 알려줍니다. 인터페이스를 구성하는 것은 사용자 논리적 시스템 관리자의 책임입니다.

    • 선택적으로 내부 VPLS 스위치를 사용하여 서로 통신하도록 허용하려는 모든 사용자 논리적 시스템에 대해 논리적 터널 인터페이스를 구성합니다. VPLS는 가상 사설망(VPN) 기술입니다. 포인트 투 포인트 레이어 2 터널 연결을 허용합니다.

      VPLS 유형 RI(routing-instance)를 생성하여 VPLS 스위치를 정의합니다. VPLS 스위치는 L2 이더넷 스위치처럼 작동합니다. VPLS 스위치에 여러 LT IFL을 할당합니다. 각 LT IFL에는 캡슐화 ethernet-vpls가 있으며 이것은 L2 스위치 포트로 작동합니다. VPLS 스위치에 연결하기 위해 각 논리적 시스템은 LT IFL을 생성하고 VPLS 스위치의 포트에 할당합니다.

      Junos OS 릴리스 18.2R1부터는 VPLS 스위치를 포함하기 위한 전용 상호 연결 논리적 시스템을 정의할 필요가 없습니다. 편의성을 위해 VPLS 스위치는 루트 논리적 시스템에 정의되어 있습니다. 이 접근 방식은 논리적 시스템당 여러 VPLS 스위치 및 LT IFL을 구성하여 활성화됩니다.

      하나의 LT 논리적 인터페이스가 VPLS 스위치에 연결되면 라우팅 엔진은 LT 인터페이스의 MAC 주소 풀에서 VPLS 스위치에 고유한 MAC 주소를 할당합니다. 이에 따라 VPLS 스위치를 연결하는 LT IFL의 수가 결정됩니다.

  5. CPU 활용률 제어를 활성화하고 논리적 시스템에 대한 CPU 제어 대상 및 예약된 CPU 할당량을 구성합니다. 예: CPU 사용률 구성(기본 관리자만 해당)을 참조하십시오.
  6. 선택적으로 기본 논리적 시스템에 대한 동적 라우팅 프로토콜을 구성합니다. 예: 기본 논리적 시스템에 대한 OSPF 라우팅 프로토콜 구성을 참조하십시오
  7. 기본 논리적 시스템에 대한 영역, 보안 정책 및 보안 기능을 구성합니다. 예: 기본 논리적 시스템에 대한 보안 기능 구성을 참조하십시오.
  8. 기본 논리적 시스템에 대한 IDP를 구성합니다. 예: 기본 논리적 시스템에 대한 IDP 정책 구성을 참조하십시오.
  9. 기본 논리적 시스템에서 애플리케이션 방화벽 서비스를 구성합니다. 논리적 시스템 애플리케이션 방화벽 서비스 이해예: 기본 논리적 시스템에 대한 애플리케이션 방화벽 서비스 구성을 참조하십시오.
  10. 논리적 시스템과 원격 사이트 간의 트래픽을 보호하도록 경로 기반 VPN을 구성합니다. 예: VPN 터널에 대한 IKE 및 IPsec SA 구성(기본 관리자만 해당)을 참조하십시오.

또한보십시오

예: 논리적 시스템을 위한 다중 VPLS 스위치 및 LT 인터페이스 구성

이 예는 여러 논리적 시스템을 상호 연결하는 방법을 보여줍니다. 이는 논리 터널(LT) 인터페이스 포인트 투 포인트 연결(캡슐화 이더넷, 캡슐화 프레임 릴레이 및 가상 프라이빗 LAN 서비스 스위치)을 사용하여 여러 논리 시스템을 구성함으로써 달성됩니다. 논리적 시스템 아래에 두 개 이상의 LT 인터페이스가 있고 여러 VPLS 스위치가 SRX 시리즈 방화벽을 벗어나지 않고 트래픽을 전달하도록 구성됩니다. 프레임 릴레이 캡슐화는 주어진 프레임에 DLCI(Data-Link Connection Identifier) 정보를 추가합니다.

요구 사항

이 예에서는 논리적 시스템과 함께 Junos OS를 실행하는 SRX 시리즈 방화벽을 사용합니다.

시작하기 전에:

개요

이 예에서는 하나의 논리적 시스템 아래에 여러 LT 인터페이스와 여러 VPLS 스위치를 구성합니다.

이 예에서는 LT 인터페이스 point-to-point 연결(캡슐화 이더넷 및 캡슐화 프레임 릴레이)을 통해 여러 논리적 시스템을 상호 연결합니다.

그림 1 은 논리적 시스템을 상호 연결하기 위한 토폴로지를 보여줍니다.

그림 1: 상호 연결 논리적 시스템 SRX Series device network topology with VPLS connecting logical systems LSYS1, LSYS2, and LSYS3 using logical tunnel interfaces. 구성

  • LT 인터페이스 포인트 투 포인트 연결(캡슐화 이더넷)이 있는 상호 연결 논리 시스템의 경우, 이 예에서는 논리 터널 인터페이스 lt-0/0/0을 구성합니다. 이 예에서는 security-zone을 구성하고 논리적 시스템에 인터페이스를 할당합니다.

    상호 연결 논리 시스템 lt-0/0/0 인터페이스는 캡슐화 유형으로 이더넷으로 구성됩니다. 논리적 시스템의 해당 피어 lt-0/0/0 인터페이스는 이더넷을 캡슐화 유형으로 구성합니다. 보안 프로필이 논리적 시스템에 할당됩니다.

  • LT 인터페이스 포인트 투 포인트 연결(캡슐화 프레임 릴레이)을 통한 상호 연결 논리 시스템의 경우, 이 예에서는 논리 터널 인터페이스 lt-0/0/0을 구성합니다. 이 예에서는 security-zone을 구성하고 논리적 시스템에 인터페이스를 할당합니다.

    상호 연결 논리 시스템 lt-0/0/0 인터페이스는 캡슐화 유형으로 frame-relay로 구성됩니다. 논리적 시스템의 해당 피어 lt-0/0/0 인터페이스는 캡슐화 유형으로 frame-relay로 구성됩니다. 보안 프로필이 논리적 시스템에 할당됩니다.

  • 여러 VPLS 스위치가 있는 논리적 시스템을 상호 연결하기 위해, 이 예에서는 캡슐화 유형으로 ethernet-vpls를 사용하여 논리 터널 인터페이스 lt-0/0/0을 구성합니다. 해당 피어 lt-0/0/0 인터페이스 및 보안 프로필이 논리적 시스템에 할당됩니다. VPLS 스위치-1 및 VPLS 스위치-2에 대한 라우팅 인스턴스도 논리적 시스템에 할당됩니다.

    그림 2 는 VPLS 스위치와 논리적 시스템을 상호 연결하기 위한 토폴로지를 보여줍니다.

    그림 2: VPLS 스위치 Network topology diagram showing Juniper SRX Series devices LSYS1, LSYS2, LSYS2A, LSYS2B, LSYS3, LSYS3A, and VPLS Switches. Devices connect via logical interfaces lt-0/0/x with subnets at the bottom: 192.255.0.0/24, 192.255.2.0/30, 192.255.3.0/30, 192.255.4.0/30. 로 논리적 시스템 상호 연결 구성
    참고:

    논리적 시스템 내에서 여러 LT 인터페이스를 구성할 수 있습니다.

구성

논리적 시스템에 대한 인터페이스를 구성하려면 다음 작업을 수행합니다.

논리적 시스템 구성 논리적 터널과 상호 연결 인터페이스 포인트 투 포인트 연결(캡슐화 이더넷)

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .

단계별 절차

다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 자세한 내용은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

  1. 보안 프로필을 정의하고 논리적 시스템에 할당합니다.

  2. 논리적 시스템에서 LT 인터페이스를 캡슐화 이더넷으로 설정합니다.

  3. 논리적 시스템 LSYS2에 대한 피어 관계를 구성합니다.

  4. LT 인터페이스의 IP 주소를 지정합니다.

  5. LT 인터페이스의 보안 영역을 설정합니다.

  6. 보안 프로필을 정의하고 논리적 시스템에 할당합니다.

  7. 논리적 시스템 2A에서 LT 인터페이스를 캡슐화 이더넷으로 설정합니다.

  8. 논리 시스템 LSYS2A에 대한 피어 관계를 구성합니다.

  9. LT 인터페이스의 IP 주소를 지정합니다.

  10. LT 영역에서 LT 정책 LT 영역으로 트래픽을 허용하는 보안 정책을 구성합니다.

  11. default-policy의 트래픽을 허용하는 보안 정책을 구성합니다.

  12. 보안 영역을 구성합니다.

결과

  • 구성 모드에서 명령을 입력하여 구성을 확인합니다. show logical-systems LSYS2 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

  • 구성 모드에서 명령을 입력하여 구성을 확인합니다. show logical-systems LSYS2A 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .

논리적 시스템 구성 논리적 터널과 상호 연결 인터페이스 포인트 투 포인트 연결(캡슐화 프레임 릴레이)

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .

단계별 절차

다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

  1. 보안 프로필을 정의하고 논리적 시스템에 할당합니다.

  2. 논리적 시스템에서 LT 인터페이스를 캡슐화 프레임 릴레이로 설정합니다.

  3. dlci를 포함하여 논리 터널 인터페이스를 구성합니다.

  4. LT 인터페이스 간의 피어 유닛 관계를 구성하여 포인트 투 포인트 연결을 생성합니다.

  5. LT 인터페이스의 IP 주소를 지정합니다.

  6. LT 인터페이스의 보안 영역을 설정합니다.

  7. 논리적 시스템에서 LT 인터페이스를 캡슐화 프레임 릴레이로 설정합니다.

  8. dlci를 포함하여 논리 터널 인터페이스를 구성합니다.

  9. LT 인터페이스 간의 피어 유닛 관계를 구성하여 포인트 투 포인트 연결을 생성합니다.

  10. LT 인터페이스의 IP 주소를 지정합니다.

  11. LT 영역에서 LT 정책 LT 영역으로 트래픽을 허용하는 보안 정책을 구성합니다.

  12. default-policy의 트래픽을 허용하는 보안 정책을 구성합니다.

  13. 보안 영역을 구성합니다.

결과

  • 구성 모드에서 명령을 입력하여 구성을 확인합니다. show logical-systems LSYS3 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

  • 구성 모드에서 명령을 입력하여 구성을 확인합니다. show logical-systems LSYS3A 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .

논리적 시스템 구성 여러 VPLS 스위치와 상호 연결

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 [edit] 명령을 복사하여 CLI에 붙여 넣은 다음, 구성 모드에서 들어갑니다 commit .

단계별 절차

다음 예에서는 구성 계층에서 다양한 수준을 탐색해야 합니다. 자세한 내용은 구성 모드에서 CLI 편집기 사용을 참조하십시오.

  1. lt-0/0/0 인터페이스를 구성합니다.

  2. VPLS 스위치에 대한 라우팅 인스턴스를 구성하고 인터페이스를 추가합니다.

  3. lt-0/0/0.1 인터페이스 및 피어 lt-0/0/0.11로 LSYS1을 구성합니다.

  4. lt-0/0/0.2 인터페이스 및 피어 lt-0/0/0.12로 LSYS2를 구성합니다.

  5. lt-0/0/0.3 인터페이스 및 피어 lt-0/0/0.13으로 LSYS3을 구성합니다

  6. lt-0/0/0 인터페이스 및 peer-unit 24로 LSYS2B를 구성합니다.

  7. 논리 시스템에 대한 보안 프로필을 할당합니다.

결과

  • 구성 모드에서 , 명령을 입력 show interfaces lt-0/0/0하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다

  • 구성 모드에서 , 명령을 입력 show routing-instances하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

  • 구성 모드에서 , 명령을 입력 show logical-systems LSYS1하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

  • 구성 모드에서 , 명령을 입력 show logical-systems LSYS2하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

  • 구성 모드에서 , 명령을 입력 show logical-systems LSYS3하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

  • 구성 모드에서 , 명령을 입력 show logical-systems LSYS2B하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

  • 구성 모드에서 , 명령을 입력 show system security-profile하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 들어갑니다 commit .

검증

구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.

모든 논리 시스템에 대한 보안 프로파일 확인

목적

각 논리적 시스템에 대한 보안 프로필을 확인합니다.

작업

운영 모드에서 명령을 입력합니다.show system security-profile security-log-stream-number logical-system all

의미

출력은 security-log-stream이 구성될 때 논리적 시스템에 대한 사용량 및 예약된 값을 제공합니다.

모든 논리적 시스템에 대한 LT 인터페이스 확인

목적

논리적 시스템에 대한 인터페이스를 확인합니다.

작업

운영 모드에서 명령을 입력합니다.show interfaces lt-0/0/0 terse

의미

출력은 LT 인터페이스의 상태를 제공합니다. 모든 LT 인터페이스가 작동 중입니다.

또한보십시오