테넌트 시스템 개요
테넌트 시스템은 라우팅, 서비스 및 보안 기능을 지원합니다.
테넌트 시스템 이해
테넌트 시스템은 물리적 방화벽을 논리적으로 분리된 논리적 방화벽으로 분할합니다. 테넌트 시스템은 논리적 시스템과 유사하지만 훨씬 더 높은 확장성과 더 적은 라우팅 기능을 갖습니다. 디바이스의 각 테넌트 시스템을 사용하면 보안 서비스를 위해 개별 관리 도메인을 제어할 수 있습니다. 디바이스를 멀티테넌트 시스템으로 전환하여 환경에 따라 사적 및 논리적으로 분리된 시스템 리소스 사용, 보안 구성 및 KPI에 대한 테넌트별 뷰 등 다양한 부서, 조직, 고객 및 파트너를 제공할 수 있습니다. 기본 관리자는 모든 테넌트 시스템을 생성하고 관리합니다. 그림 1 은 기본 논리적 시스템 및 개별 테넌트 시스템이 있는 단일 디바이스를 보여줍니다.
- 논리적 시스템과 테넌트 시스템의 차이점
- 논리적 시스템 및 테넌트 시스템의 사용 사례
- 멀티테넌트 시스템을 위한 구축 시나리오
- 테넌트 시스템의 이점
- 기본 관리자 및 테넌트 시스템 관리자의 역할 및 책임
- 테넌트 시스템 용량
논리적 시스템과 테넌트 시스템의 차이점
표 1 에서는 논리적 시스템과 테넌트 시스템 간의 주요 차이점을 설명합니다.
기능 |
논리적 시스템 |
테넌트 시스템 |
---|---|---|
기능 지원 |
모든 라우팅 기능을 지원하여 최적의 데이터 라우팅 경로를 제공합니다. |
라우팅 기능과 대규모 보안 가상화를 지원하여 고객 환경을 격리합니다. |
확장성 |
물리적 SRX 시리즈 방화벽에서 최대 32개 논리 시스템을 구성할 수 있습니다. |
높은 확장성을 제공하기 위해 물리적 SRX 시리즈 방화벽에 최대 500개 테넌트 시스템을 구성할 수 있습니다. |
라우팅 프로토콜 프로세스 |
모든 논리적 시스템에는 디바이스의 리소스를 논리적으로 분리하기 위해 라우팅 프로토콜 프로세스의 개별 복사본이 필요합니다. |
기본 논리적 시스템에는 테넌트 시스템이 공유하는 단일 라우팅 프로토콜 프로세스가 있습니다. 이 단일 라우팅 프로토콜 프로세스에서 지원되는 라우팅 인스턴스는 방화벽에서 보안 리소스를 분리합니다. |
라우팅 인스턴스 |
모든 논리적 시스템에 대해 기본 라우팅 인스턴스가 자동으로 생성됩니다. |
릴리스 19.2R1 Junos OS 테넌트 시스템에서 구성된 가상 라우터는 , |
논리적 인터페이스 구성 |
기본 관리자는 논리적 인터페이스를 할당하고 논리적 시스템 관리자는 인터페이스 속성을 구성할 수 있습니다. |
테넌트 시스템 관리자는 논리적 인터페이스를 구성할 수 없습니다. 기본 관리자는 테넌트 시스템에 논리적 인터페이스를 할당합니다. |
논리적 시스템 및 테넌트 시스템의 사용 사례
하나 이상의 가상 라우터 필요할 때 논리적 시스템이 사용됩니다. 예를 들어, 외부 네트워크에 여러 개의 연결이 있으며 동일한 가상 라우터 공존할 수 없습니다. 테넌트 시스템은 부서, 조직 또는 고객을 분리해야 할 때 사용되며 각 테넌트는 하나의 가상 라우터 제한될 수 있습니다. 논리적 시스템과 테넌트 시스템의 가장 큰 차이점은 논리적 시스템이 여러 라우팅 인스턴스를 사용하여 고급 라우팅 기능을 지원한다는 것입니다. 이에 비해 테넌트 시스템은 하나의 라우팅 인스턴스만 지원하지만 시스템당 훨씬 더 많은 테넌트의 구축을 지원합니다.
멀티테넌트 시스템을 위한 구축 시나리오
매니지드 보안 서비스 프로바이더(MSSP), 엔터프라이즈 네트워크 또는 브랜치 오피스 세그먼트와 같은 여러 환경에서 멀티테넌트 시스템을 실행하는 SRX 시리즈 방화벽을 구축할 수 있습니다. 표 2 에서는 다양한 구축 시나리오와 이러한 시나리오에서 테넌트 시스템이 수행하는 역할에 대해 설명합니다.
구축 시나리오 |
테넌트 시스템의 역할 |
---|---|
매니지드 보안 서비스 프로바이더(MSSP) |
|
엔터프라이즈 네트워크 |
|
지사 부문 |
|
테넌트 시스템의 이점
조직에 필요한 물리적 디바이스의 수를 줄여 비용을 절감하십시오. 단일 디바이스에서 다양한 사용자 그룹에 대한 서비스를 통합하고 하드웨어 비용, 전력 지출 및 랙 공간을 줄일 수 있습니다.
테넌트 시스템 수준에서 격리 및 논리적 분리를 제공합니다. 각 테넌트 시스템이 다른 테넌트 시스템에 영향을 미치지 않고 자체 보안 제어 및 제한을 정의할 수 있는 대규모의 관리 분리를 통해 테넌트 시스템을 분리할 수 있는 기능을 제공합니다.
기본 관리자 및 테넌트 시스템 관리자의 역할 및 책임
기본 관리자는 모든 테넌트 시스템을 생성하고 관리합니다. 기본 논리적 시스템은 루트 수준에서 생성되며 단일 라우팅 프로토콜 프로세스를 할당합니다. 이 라우팅 프로토콜 프로세스가 공유되지만 테넌트 시스템은 방화벽에서 논리적 리소스를 분리할 수 있습니다. 기본적으로 모든 시스템 리소스는 기본 논리적 시스템에 할당되며, 기본 관리자는 이를 테넌트 시스템 관리자에게 할당합니다.
Junos OS 명령줄 참조에서 기본 논리적 시스템을 루트 논리적 시스템이라고 합니다.
기본 논리적 시스템에 의해 하위되는 테넌트 시스템이 생성됩니다. 기본 논리적 시스템의 모든 테넌트가 단일 라우팅 프로세스를 공유하지만 각 테넌트 시스템에는 단일 라우팅 인스턴스가 있습니다. 표 3 에서는 기본 관리자와 테넌트 시스템 관리자의 역할과 책임에 대해 설명합니다.
역할 |
정의 |
책임 |
---|---|---|
기본 관리자 |
모든 논리적 시스템 및 테넌트 시스템에 대한 슈퍼유저 구성 및 검증 권한이 있는 사용자 계정. |
|
테넌트 시스템 관리자 |
모든 구성 및 검증 권한이 있는 테넌트 시스템 계정.
참고:
테넌트 시스템 관리자의 구성 및 검증 권한은 테넌트 시스템 관리자를 생성하는 동안 기본 관리자가 할당한 권한에 따라 달라집니다. 요구 사항에 따라 다른 권한 수준을 가진 테넌트 시스템에 대해 여러 테넌트 시스템 관리자를 생성할 수 있습니다. |
테넌트 시스템 관리자는 다음과 같은 권한을 지원하지 않습니다.
|
테넌트 시스템 용량
디바이스에서 생성할 수 있는 테넌트 시스템의 최대 수는 표 4에 나열되어 있습니다.
플랫폼 |
논리적 시스템 용량 |
Junos OS 릴리스 18.4R1을 위한 테넌트 시스템 용량 |
---|---|---|
SRX1500 |
32 |
50 |
SRX4100 및 SRX4200 |
32 |
200 |
SRX4600 |
32 |
300 |
SPC2 카드가 있는 SRX5400, SRX5600 및 SRX5800 시리즈 디바이스 |
32 |
100 |
SPC3 카드가 있는 SRX5400, SRX5600 및 SRX5800 시리즈 디바이스 |
32 |
500 |
SPC2 및 SPC3 카드가 있는 SRX5400, SRX5600 및 SRX5800 시리즈 디바이스 |
32 |
100 |
Junos OS 릴리스 18.4R1부터 테넌트 시스템은 3세대 서비스 프로세싱 카드(SRX5K-SPC3) 및 2세대 서비스 프로세싱 카드(SRX5K-SPC-4-15-320)가 결합된 SRX5000 라인 보안 서비스 게이트웨이에서 지원될 수 있습니다. 릴리스 18.4R1 Junos OS 이전에는 테넌트 시스템이 SPC2에서만 지원되었습니다.
더 보기
테넌트 시스템 구성 개요
기본 관리자는 테넌트 시스템을 생성하고 테넌트 시스템을 관리하기 위해 관리자를 할당합니다. 테넌트 시스템에는 여러 명의 관리자가 있을 수 있습니다. 테넌트 시스템 관리자의 역할과 책임은 테넌트 시스템 이해에 설명되어 있습니다.
기본 관리자는 논리적 인터페이스를 구성하고 이러한 인터페이스를 테넌트 시스템에 할당합니다. 하나의 라우팅 인스턴스와 라우팅 프로토콜을 구성하고 라우팅 인스턴스에 옵션을 추가합니다. 테넌트 시스템에 대한 라우팅 인스턴스 구성을 참조하십시오.
테넌트 시스템에는 자체 구성 데이터베이스가 있습니다. 성공적으로 구성된 후 변경 사항은 각 테넌트 시스템의 기본 데이터베이스에 병합됩니다. 여러 테넌트 시스템은 한 번에 구성 변경을 수행할 수 있습니다. 한 번에 하나의 테넌트만 변경 사항을 커밋할 수 있습니다. 기본 관리자와 테넌트 시스템 관리자가 구성 변경을 동시에 수행하는 경우, 기본 관리자가 수행하는 구성 변경은 테넌트 시스템 관리자가 수행하는 구성 변경을 재정의합니다.
다음 단계는 테넌트 시스템 관리자가 테넌트 시스템에서 보안 기능을 구성하기 위해 수행하는 작업을 설명합니다.
테넌트 시스템에 대한 라우팅 인스턴스 구성
라우팅 인스턴스는 라우팅 테이블, 인터페이스 및 라우팅 프로토콜 매개 변수의 모음입니다. 라우팅 인스턴스에 속하는 인터페이스 집합과 라우팅 프로토콜 매개 변수가 라우팅 인스턴스의 정보를 제어합니다. 테넌트 시스템은 할당된 라우팅 인스턴스와 테넌트 시스템 내 라우팅 인스턴스에 속하는 인터페이스를 구성할 수 있습니다.
테넌트 시스템에 대해 하나의 라우팅 인스턴스만 생성할 수 있습니다.
다음 절차에서는 테넌트 시스템에 대한 라우팅 테이블 라우팅 인스턴스 및 인터페이스를 구성하는 단계를 설명합니다.
테넌트 시스템의 TSYS1
구성을 보려면 명령을 실행합니다 show tenants TSYS1
.
routing-instances { r1 { instance-type virtual-router; interface lt-0/0/0.101; interface xe-0/0/0.0; interface xe-0/0/1.0; routing-options { router-id 1.1.1.101; } } }
show tenants TSYS1
명령은 테넌트 시스템에 TSYS1
대해 구성된 모든 라우팅 인스턴스 매개 변수를 표시합니다.
테넌트 시스템을 위한 라우팅 및 인터페이스 이해하기
라우팅 인스턴스는 라우팅 테이블, 인터페이스 및 라우팅 프로토콜 매개 변수의 모음입니다. 인터페이스는 라우팅 인스턴스에 대한 데이터를 포워딩하고 라우팅 프로토콜을 사용하여 다른 피어(SRX 시리즈 방화벽)의 라우팅 정보를 학습하는 데 사용됩니다.
논리적 인터페이스(IFL)는 다음 수준 중 하나에서 정의할 수 있습니다.
전역 수준(루트 논리적 시스템)
사용자 논리적 시스템 수준
테넌트 시스템 수준(릴리스 Junos OS 18.4R1부터 시작)
전역 수준에서 정의된 IFL은 루트 논리적 시스템 또는 테넌트 시스템 중 하나에서 사용할 수 있습니다. 테넌트 시스템에 정의된 IFL은 해당 테넌트 시스템에서만 사용할 수 있습니다.
테넌트 시스템에서는 기본 라우팅 인스턴스를 사용할 수 없습니다. 따라서 테넌트 시스템에 대한 사용자 지정 라우팅 인스턴스가 생성되면 해당 테넌트 시스템에 정의된 모든 인터페이스를 해당 라우팅 인스턴스에 추가해야 합니다.
개요: 테넌트 시스템을 위한 라우팅 및 인터페이스 구성
이 개요는 테넌트 시스템에 대한 인터페이스 및 라우팅 인스턴스를 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에 다음을 수행합니다.
어떤 논리적 인터페이스와 선택적으로 어떤 논리적 터널 인터페이스가 할당되는지 결정합니다. 테넌트 시스템 구성 개요를 참조하십시오.
개요
다음 절차에서는 테넌트 시스템 내의 라우팅 테이블 라우팅 인스턴스 및 인터페이스를 구성하는 단계를 설명합니다.
이 주제는 표 5에 설명된 인터페이스 및 라우팅 인스턴스를 구성합니다.
기능 |
이름 |
구성 매개 변수 |
---|---|---|
인터페이스 |
ge-0/0/2.1 ge-0/0/2.2 ge-0/0/2.3 |
|
라우팅 인스턴스 |
r1 R2 |
|
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit]
로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit
합니다.
set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2.3 vlan-id 103 set interfaces ge-0/0/2.3 family inet address 10.0.0.3/24 set tenants TSYS1 set tenants TSYS1 interfaces ge-0/0/2.1 vlan-id 101 set tenants TSYS1 interfaces ge-0/0/2.1 family inet address 10.0.0.1/24 set tenants TSYS1 routing-instances r1 instance-type virtual-router set tenants TSYS1 routing-instances r1 interface ge-0/0/2.1 set tenants TSYS1 routing-instances r1 interface ge-0/0/2.3 set tenants TSYS2 set tenants TSYS2 interfaces ge-0/0/2.2 vlan-id 102 set tenants TSYS2 interfaces ge-0/0/2.2 family inet address 10.0.0.2/24 set tenants TSYS2 routing-instances r2 instance-type virtual-router set tenants TSYS2 routing-instances r2 interface ge-0/0/2.2
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
사용자 논리적 시스템에서 인터페이스 및 라우팅 인스턴스를 구성하려면 다음을 수행합니다.
VLAN 태깅을 지원하도록 인터페이스를 구성합니다.
[edit] user@host# set interfaces ge-0/0/2 vlan-tagging
루트 수준에서 IFL을 구성합니다.
[edit] set interfaces ge-0/0/2.3 vlan-id 103 set interfaces ge-0/0/2.3 family inet address 10.0.0.3/24
라는
TSYS1
테넌트 시스템을 생성합니다.[edit] user@host# set tenants TSYS1
테넌트 시스템 TSYS1에서 인터페이스를 정의합니다.
[edit] user@host# set tenants TSYS1 interfaces ge-0/0/2.1 vlan-id 101 user@host# set tenants TSYS1 interfaces ge-0/0/2.1 family inet address 10.0.0.1/24 user@host# set tenants TSYS1 routing-instances r1 interface ge-0/0/2.3
라우팅 인스턴스
r1
를 생성하고 테넌트 시스템에 대한 라우팅 인스턴스 유형을 할당합니다.[edit] user@host# set tenants TSYS1 routing-instances r1 instance-type virtual-router
라우팅 인스턴스의 인터페이스 이름을 지정합니다.
[edit] user@host# set tenants TSYS1 routing-instances r1 interface ge-0/0/2.1
라는
TSYS2
테넌트 시스템을 생성합니다.[edit] user@host# set tenants TSYS2
테넌트 시스템 TSYS2에서 인터페이스를 정의합니다.
[edit] user@host# set tenants TSYS2 interfaces ge-0/0/2.2 vlan-id 102 user@host# set tenants TSYS2 interfaces ge-0/0/2.2 family inet address 10.0.0.2/24
라우팅 인스턴스
r2
를 생성하고 테넌트 시스템에 대한 라우팅 인스턴스 유형을 할당합니다.[edit] user@host# set tenants TSYS2 routing-instances r2 instance-type virtual-router
라우팅 인스턴스의 인터페이스 이름을 지정합니다.
[edit] user@host# set tenants TSYS2 routing-instances r2 interface ge-0/0/2.2
구성을 커밋합니다.
[edit] user@host# commit
결과
구성 모드에서 및 show tenants
명령을 입력하여 구성을 show interfaces
확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
[edit] user@host# show interfaces ge-0/0/2 { vlan-tagging; unit 3 { vlan-id 103; family inet { address 10.0.0.3/24; } } }
[edit] user@host# show tenants TSYS1 { interfaces { ge-0/0/2 { unit 1 { vlan-id 101; family inet { address 10.0.0.1/24; } } } } routing-instances { r1 { instance-type virtual-router; interface ge-0/0/2.1; interface ge-0/0/2.3; } } } TSYS2 { interfaces { ge-0/0/2 { unit 2 { vlan-id 102; family inet { address 10.0.0.2/24; } } } } routing-instances { r2 { instance-type virtual-router; interface ge-0/0/2.2; } } }
show tenants
명령은 테넌트 시스템 및 에 정의된 모든 인터페이스와 TSYS2
테넌트 시스템 TSYS1
모두에 대해 구성된 라우팅 인스턴스 매개 변수를 표시합니다.
user@host> show interfaces ge-0/0/2.1 detail Logical interface ge-0/0/2.1 (Index 89) (SNMP ifIndex 548) (Generation 161) Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.101 ] Encapsulation: ENET2 Tenant Name: TSYS1 Traffic statistics: Input bytes : 0 Output bytes : 46 Input packets: 0 Output packets: 1 Local statistics: Input bytes : 0 Output bytes : 46 Input packets: 0 Output packets: 1 Transit statistics: Input bytes : 0 0 bps Output bytes : 0 0 bps Input packets: 0 0 pps Output packets: 0 0 pps Security: Zone: Null Flow Statistics : ..............................
user@host> show interfaces ge-0/0/2.2 detail Logical interface ge-0/0/2.2 (Index 90) (SNMP ifIndex 549) (Generation 162) Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.102 ] Encapsulation: ENET2 Tenant Name: TSYS2 Traffic statistics: Input bytes : 0 Output bytes : 46 Input packets: 0 Output packets: 1 Local statistics: Input bytes : 0 Output bytes : 46 Input packets: 0 Output packets: 1 Transit statistics: Input bytes : 0 0 bps Output bytes : 0 0 bps Input packets: 0 0 pps Output packets: 0 0 pps Security: Zone: Null Flow Statistics : Flow Input statistics : Self packets : 0 ICMP packets : 0 VPN packets : ..............................
테넌트 시스템 보안 프로필 이해(기본 관리자 전용)
테넌트 시스템을 사용하면 지원되는 SRX 시리즈 방화벽을 여러 디바이스로 사실상 분할하여 침입 및 공격으로부터 보호하고, 컨텍스트 외부의 잘못된 조건으로부터 보호할 수 있습니다. 테넌트 시스템을 보호하기 위해 보안 리소스는 개별 디바이스에 대해 구성된 방식과 유사한 방식으로 구성됩니다. 그러나 기본 관리자는 테넌트 시스템에 리소스를 할당합니다.
테넌트 시스템을 실행하는 SRX 시리즈 방화벽은 테넌트 시스템, 필요한 경우 상호 연결된 테넌트 시스템 및 기본 기본 기본 논리적 시스템으로 분할될 수 있습니다. 시스템이 초기화되면 루트에서 기본 논리적 시스템이 생성됩니다. 모든 시스템 리소스가 할당되어 기본 기본 논리적 시스템 보안 프로파일을 효과적으로 생성합니다. 테넌트 시스템에 보안 리소스를 배포하기 위해 기본 관리자는 테넌트 시스템에 할당할 리소스를 지정하는 보안 프로필을 만듭니다. 기본 관리자만 보안 프로필을 구성하고 테넌트 시스템에 바인딩할 수 있습니다. 테넌트 시스템 관리자는 이러한 리소스를 해당 테넌트 시스템에 사용합니다.
테넌트 시스템은 보안 구성 요소, 인터페이스, 라우팅 인스턴스, 정적 경로 및 동적 라우팅 프로토콜을 포함하여 할당된 리소스에 의해 정의됩니다. 기본 관리자는 보안 프로필을 구성하고 테넌트 시스템에 할당합니다. 보안 프로필이 할당되어 있다면 테넌트 시스템 구성을 커밋할 수 없습니다.
이 주제에는 다음 섹션이 포함됩니다.
테넌트 시스템 보안 프로필
기본 관리자는 특정 테넌트 시스템 또는 여러 테넌트 시스템에 보안 프로필을 구성하고 할당할 수 있습니다. 구성할 수 있는 최대 보안 프로필 수는 SRX 시리즈 방화벽의 용량에 따라 다릅니다. 최대 보안 프로필 수가 생성되면 보안 프로필을 삭제하고 다른 보안 프로필을 생성하고 커밋하기 전에 구성 변경을 커밋해야 합니다. 단일 보안 프로필을 둘 이상의 테넌트 시스템에 바인딩할 수 있기 때문에 필요한 보안 프로필이 적은 경우가 많습니다.
보안 프로파일을 사용하면 다음을 수행할 수 있습니다.
모든 테넌트 시스템 간에 정책, 영역, 주소록 및 주소록, 플로우 세션 및 다양한 형태의 NAT를 포함한 디바이스 리소스를 공유합니다. 테넌트 시스템에 다양한 리소스를 할당하고 테넌트 시스템이 리소스를 효과적으로 활용할 수 있도록 할 수 있습니다.
보안 프로필은 다른 테넌트 시스템에서 동시에 필요한 리소스가 고갈되는 하나의 테넌트 시스템으로부터 보호합니다. 보안 프로필은 디바이스의 트래픽 흐름이 짙은 경우 중요한 시스템 리소스를 보호하고 테넌트 시스템 간에 더 나은 성능을 유지합니다. 보안 프로필은 리소스 사용을 지배하는 하나의 테넌트 시스템을 방어하고 다른 테넌트 시스템이 리소스를 효과적으로 사용할 수 있도록 합니다.
추가 테넌트 시스템을 생성할 수 있도록 확장 가능한 방식으로 디바이스를 구성합니다.
테넌트 시스템을 삭제하려면 테넌트 시스템의 보안 프로필을 삭제해야 합니다.
시스템이 테넌트 시스템 전반에서 리소스 할당 및 사용을 평가하는 방법 이해하기
테넌트 시스템에 보안 기능을 프로비저닝하기 위해 기본 관리자는 각 보안 기능에 대한 리소스를 지정하는 보안 프로필을 구성합니다.
지정된 리소스 양을 항상 테넌트 시스템에서 사용할 수 있도록 보장하는 예약 할당량입니다.
허용되는 최대 할당량. 테넌트 시스템에 예약 할당량을 초과하는 추가 리소스가 필요한 경우 글로벌 리소스가 다른 테넌트 시스템에 할당되지 않은 경우 글로벌 최대 금액에 구성된 리소스를 활용할 수 있습니다. 허용되는 최대 할당량이 보안 프로파일의 리소스에 대해 지정된 양을 사용할 수 있음을 보장하지는 않습니다. 테넌트 시스템은 사용 가능한 리소스를 기반으로 글로벌 리소스를 효과적으로 활용해야 합니다.
리소스에 대해 예약된 할당량이 구성되지 않은 경우, 기본값은 0입니다. 리소스에 대해 허용되는 최대 할당량이 구성되지 않은 경우, 기본 값은 리소스에 대한 전역 시스템 할당량입니다(글로벌 시스템 할당량은 플랫폼에 따라 달라함). 기본 관리자는 특정 테넌트 시스템의 최대 리소스 사용이 디바이스에서 구성된 다른 테넌트 시스템에 부정적인 영향을 미치지 않도록 보안 프로필에서 허용되는 적절한 최대 할당량 값을 구성해야 합니다.
시스템은 테넌트 시스템이 삭제되면 예약, 사용 및 다시 사용할 수 있는 할당된 모든 리소스의 수를 유지합니다. 이 카운트는 테넌트 시스템에 사용할 수 있는 리소스인지 또는 보안 프로필을 통해 기존 테넌트 시스템에 할당된 리소스의 양을 늘릴 수 있는지를 결정합니다.
보안 프로필에서 구성된 리소스는 정적 모듈형 리소스 또는 동적 리소스로 특징지어지게 됩니다. 정적 리소스의 경우 테넌트 시스템의 확장 가능한 구성을 허용하기 위해 예약된 할당량으로 지정된 양과 같거나 가까운 리소스에 대해 최대 할당량을 설정하는 것이 좋습니다. 리소스에 대한 최대 할당량은 테넌트 시스템에 더 많은 리소스에 대한 액세스를 통해 더 큰 유연성을 제공하지만 다른 테넌트 시스템에 할당할 수 있는 리소스의 양을 제한합니다.
다음 보안 기능 리소스는 보안 프로필에 지정할 수 있습니다.
보안 영역
보안 정책을 위한 주소 및 주소록
애플리케이션 방화벽 규칙 세트
애플리케이션 방화벽 규칙
방화벽 인증
플로우 세션 및 게이트
NAT, 포함:
Cone NAT 바인딩
NAT 대상 규칙
NAT 대상 풀
PAT(Port Address Translation) 없는 소스 풀의 NAT IP 주소
참고:PAT가 없는 IPv6 소스 풀의 IPv6 주소는 보안 프로필에 포함되지 않습니다.
PAT가 있는 소스 풀의 NAT IP 주소
NAT 포트 오버로드
NAT 소스 풀
NAT 소스 규칙
NAT 정적 규칙
플로우 세션을 제외한 모든 리소스는 정적입니다.
보안 프로필이 다른 테넌트 시스템에 할당되는 동안 테넌트 시스템 보안 프로필을 동적으로 수정할 수 있습니다. 그러나 시스템 리소스 할당량을 초과하지 않도록 하려면 시스템은 다음 작업을 수행합니다.
정적 할당량이 변경되면 보안 프로필에 지정된 리소스에 대한 테넌트 시스템 수를 유지하는 시스템 프로세스는 이후에 정적 할당량과 관련된 프로필에 할당된 보안 프로필을 재평가합니다. 이 검사는 모든 테넌트 시스템에 할당된 리소스 수를 식별하여 증가된 양을 포함하여 할당된 리소스를 사용할 수 있는지 여부를 결정합니다.
이러한 할당량 검사는 테넌트 시스템을 추가하고 보안 프로필을 바인딩할 때 시스템이 수행하는 것과 동일한 할당량 검사입니다. 또한 현재 보안 프로파일에 할당된 보안 프로필과 다른 보안 프로파일을 기존 테넌트 시스템(또는 기본 논리적 시스템)에 바인딩할 때도 수행됩니다.
동적 할당량이 개정되면 수표가 수행되지 않지만 개정된 할당량은 향후 리소스 사용에 부과됩니다.
사례: 보안 프로필을 통해 할당된 예약 리소스 평가
시스템이 보안 프로필을 통해 예약 리소스 할당을 평가하는 방법을 이해하려면 표 7 에 설명된 다음 세 가지 사례와 리소스 및 영역의 주소 할당을 고려하십시오. 예를 단순하게 유지하기 위해 security-profile-1: 예약된 영역 4개와 최대 영역 6개에 10개의 영역이 할당됩니다. 이 예에서는 지정된 최대 금액(6개의 영역)이 테넌트 시스템에 사용할 수 있다고 가정합니다. 시스템 최대 영역 수는 10입니다.
세 가지 경우는 테넌트 시스템 전반의 구성을 해결합니다. 세 가지 경우는 영역 할당을 기반으로 구성이 커밋된 경우 구성이 성공하는지 또는 실패하는지 확인합니다.
표 6 은 보안 프로필과 해당 영역 할당을 보여줍니다.
구성 사례에 사용되는 두 가지 보안 프로필 |
---|
Security-profile-1
참고:
기본 관리자는 나중에 이 프로필에 지정된 예약된 영역 수를 동적으로 증가합니다. |
기본 논리적 시스템 프로파일
|
표 7 은 시스템이 보안 프로필 구성을 기반으로 테넌트 시스템 전반의 영역에 대한 예약 리소스를 평가하는 방법을 보여주는 세 가지 사례를 보여줍니다.
모든 테넌트 시스템에 바인딩된 보안 프로파일에서 구성된 영역에 대한 누적 예약 리소스 할당량은 시스템 최대 리소스 할당량보다 적은 8이기 때문에 첫 번째 사례의 구성은 성공합니다.
모든 논리 시스템에 바인딩된 보안 프로파일에서 구성된 영역에 대한 누적 예약 리소스 할당량은 시스템 최대 리소스 할당량보다 큰 12이기 때문에 두 번째 사례에 대한 구성이 실패합니다.
모든 테넌트 시스템에 바인딩된 보안 프로파일에서 구성된 영역에 대한 누적 예약 리소스 할당량은 시스템 최대 리소스 할당량보다 큰 12이기 때문에 세 번째 사례에 대한 구성이 실패합니다.
테넌트 시스템 전반에서 예약된 리소스 할당량 검사 |
---|
예 1: 성공 이 구성은 범위 내에 있습니다: 4+4+0=8, 최대 용량 =10. 사용된 보안 프로필
|
예 2: 실패 이 구성은 경계를 벗어났습니다: 4+4+4=12, 최대 용량 =10.
보안 프로필
|
예 3: 실패 이 구성은 경계를 벗어났습니다: 6+6=12, 최대 용량 =10. 기본 관리자는 security-profile-1에서 예약된 영역 할당량을 수정하여 수를 6으로 늘렸습니다.
|
예: 테넌트 시스템 생성, 테넌트 시스템 관리자 및 Interconnect VPLS 스위치
이 예는 테넌트 시스템, 테넌트 시스템 관리자 및 상호 연결된 VPLS 스위치를 만드는 방법을 보여줍니다. 기본 관리자만 테넌트 시스템 관리자를 위한 사용자 로그인 계정을 생성하고 VPLS 스위치를 상호 연결할 수 있습니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
-
SRX 시리즈 방화벽.
-
릴리스 18.4R1 이상에서 Junos OS.
-
테넌트 시스템, 테넌트 시스템 관리자 및 상호 연결된 VPLS 스위치 생성을 시작하기 전에 테넌트 시스템 개요 를 읽고 이 작업이 전체 구성 프로세스에 어떻게 적합한지 알아보십시오.
개요
이 예는 테넌트 시스템 TSYS1
, TSYS2
및 TSYS3
테넌트 시스템 관리자를 만드는 방법을 보여줍니다. 요구 사항에 따라 다른 권한 수준을 가진 테넌트 시스템에 대해 여러 테넌트 시스템 관리자를 생성할 수 있습니다.
또한 한 테넌트 시스템을 동일한 디바이스의 다른 테넌트 시스템에 연결하는 상호 연결된 가상 프라이빗 LAN 서비스(VPLS) 스위치에 대해서도 다룹니다. VPLS 스위치를 사용하면 테넌트 시스템에서 종료된 전송 트래픽과 트래픽이 모두 테넌트 시스템 사이를 통과할 수 있습니다. 테넌트 시스템 간에 트래픽을 통과하도록 허용하려면 동일한 서브넷에서 논리적 터널(lt-0/0/0) 인터페이스를 구성해야 합니다.
토폴로지
그림 2는 테넌트 시스템에 구축 및 구성된 방화벽의 SRX 시리즈 보여줍니다. 구성 예는 정적 라우팅을 사용하여 PC가 인터넷에 연결할 수 있도록 합니다.
전체 SRX 빠른 구성
논리적 및 테넌트 시스템 구성 및 VPLS 스위치 상호 연결
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 줄 바꿈을 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하여 인터페이스와 사용자 암호를 포함합니다. 그런 다음 명령을 복사하여 계층 수준에서 CLI [edit]
에 붙여 넣은 다음 구성 모드에서 을(를) 입력합니다 commit
.
set system login class TSYS1admin1 tenant TSYS1 set system login class TSYS1admin1 permissions all set system login class TSYS2admin1 tenant TSYS2 set system login class TSYS2admin1 permissions all set system login class TSYS3admin1 tenant TSYS3 set system login class TSYS3admin1 permissions all set system login user TSYS1admin1 uid 2001 set system login user TSYS1admin1 class TSYS1admin1 set system login user TSYS1admin1 authentication encrypted-password "$ABC123" set system login user TSYS2admin1 uid 2003 set system login user TSYS2admin1 class TSYS2admin1 set system login user TSYS2admin1 authentication encrypted-password "$ABC123" set system login user TSYS3admin1 uid 2005 set system login user TSYS3admin1 class TSYS3admin1 set system login user TSYS3admin1 authentication encrypted-password "$ABC123" set system security-profile SP0 logical-system root-ls set system security-profile SP1 tenant TSYS1 set system security-profile SP2 tenant TSYS2 set system security-profile SP3 tenant TSYS3 set logical-systems root-ls interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set logical-systems root-ls interfaces lt-0/0/0 unit 0 encapsulation ethernet set logical-systems root-ls interfaces lt-0/0/0 unit 0 peer-unit 100 set logical-systems root-ls interfaces lt-0/0/0 unit 0 family inet address 10.0.1.10/24 set logical-systems root-ls routing-options static route 192.168.1.0/24 next-hop 10.0.1.1 set logical-systems root-ls routing-options static route 192.168.2.0/24 next-hop 10.0.1.2 set logical-systems root-ls routing-options static route 192.168.3.0/24 next-hop 10.0.1.3 set logical-systems root-ls security address-book global address TSYS1 192.168.1.0/24 set logical-systems root-ls security address-book global address TSYS2 192.168.2.0/24 set logical-systems root-ls security address-book global address TSYS3 192.168.3.0/24 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS1 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS2 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS3 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match destination-address any set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match application any set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out then permit set logical-systems root-ls security zones security-zone trust host-inbound-traffic system-services ping set logical-systems root-ls security zones security-zone trust interfaces lt-0/0/0.0 set logical-systems root-ls security zones security-zone untrust host-inbound-traffic system-services ping set logical-systems root-ls security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces lt-0/0/0 unit 1 encapsulation ethernet set interfaces lt-0/0/0 unit 1 peer-unit 101 set interfaces lt-0/0/0 unit 1 family inet address 10.0.1.1/24 set interfaces lt-0/0/0 unit 2 encapsulation ethernet set interfaces lt-0/0/0 unit 2 peer-unit 102 set interfaces lt-0/0/0 unit 2 family inet address 10.0.1.2/24 set interfaces lt-0/0/0 unit 3 encapsulation ethernet set interfaces lt-0/0/0 unit 3 peer-unit 103 set interfaces lt-0/0/0 unit 3 family inet address 10.0.1.3/24 set interfaces lt-0/0/0 unit 100 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 100 peer-unit 0 set interfaces lt-0/0/0 unit 101 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 101 peer-unit 1 set interfaces lt-0/0/0 unit 102 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 102 peer-unit 2 set interfaces lt-0/0/0 unit 103 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 103 peer-unit 3 set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.254/24 set interfaces ge-0/0/2 unit 0 family inet address 192.168.2.254/24 set interfaces ge-0/0/3 unit 0 family inet address 192.168.3.254/24 set routing-instances VPLS instance-type vpls set routing-instances VPLS interface lt-0/0/0.100 set routing-instances VPLS interface lt-0/0/0.101 set routing-instances VPLS interface lt-0/0/0.102 set routing-instances VPLS interface lt-0/0/0.103 set tenants TSYS1 routing-instances vr1 instance-type virtual-router set tenants TSYS1 routing-instances vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS1 routing-instances vr1 interface lt-0/0/0.1 set tenants TSYS1 routing-instances vr1 interface ge-0/0/1.0 set tenants TSYS1 security address-book global address PC1 192.168.1.0/24 set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match source-address PC1 set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match destination-address any set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match application any set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out then permit set tenants TSYS1 security zones security-zone PC1 host-inbound-traffic system-services ping set tenants TSYS1 security zones security-zone PC1 interfaces ge-0/0/1.0 set tenants TSYS1 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS1 security zones security-zone VPLS interfaces lt-0/0/0.1 set tenants TSYS2 routing-instances vr2 instance-type virtual-router set tenants TSYS2 routing-instances vr2 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS2 routing-instances vr2 interface lt-0/0/0.2 set tenants TSYS2 routing-instances vr2 interface ge-0/0/2.0 set tenants TSYS2 security address-book global address PC2 192.168.2.0/24 set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match source-address PC2 set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match destination-address any set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match application any set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out then permit set tenants TSYS2 security zones security-zone PC2 host-inbound-traffic system-services ping set tenants TSYS2 security zones security-zone PC2 interfaces ge-0/0/2.0 set tenants TSYS2 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS2 security zones security-zone VPLS interfaces lt-0/0/0.2 set tenants TSYS3 routing-instances vr3 instance-type virtual-router set tenants TSYS3 routing-instances vr3 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS3 routing-instances vr3 interface lt-0/0/0.3 set tenants TSYS3 routing-instances vr3 interface ge-0/0/3.0 set tenants TSYS3 security address-book global address PC3 192.168.3.0/24 set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match source-address PC3 set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match destination-address any set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match application any set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out then permit set tenants TSYS3 security zones security-zone PC3 host-inbound-traffic system-services ping set tenants TSYS3 security zones security-zone PC3 interfaces ge-0/0/3.0 set tenants TSYS3 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS3 security zones security-zone VPLS interfaces lt-0/0/0.3
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오. 단계별 절차를 위해 하나의 테넌트 구성만 다룹니다.
-
각 테넌트마다 로그인 사용자 계정을 생성합니다. 테넌트
TSYS1
사용자 계정을 만드는 단계만 보여줍니다.-
사용자 로그인 클래스를 생성하고 테넌트 시스템에 할당합니다.
[edit] user@SRX# set system login class TSYS1admin1 tenant TSYS1
-
로그인 클래스에 사용 권한 수준을 할당합니다. 이 예에서는 테넌트 시스템 관리자에게 완전한 액세스를 허용하는 수준을
all
사용합니다.[edit] user@SRX# set system login class TSYS1admin1 permissions all
-
사용자 계정을 생성하고 이전 단계에서 클래스에 할당합니다. 이를 통해 사용자는 테넌트 시스템에 로그인할 수 있습니다.
[edit] user@SRX# set system login user TSYS1admin1 class TSYS1admin1
-
사용자 계정에 대한 사용자 로그인 비밀번호를 생성합니다.
[edit] user@SRX# set system login user TSYS1admin1 authentication plain-text-password New password: "$ABC123" Retype new password: "$ABC123"
-
-
VPLS 스위치를 구성합니다. VPLS 스위치를 사용하면 테넌트 시스템에서 종료된 전송 트래픽과 트래픽이 모두 단일 논리적 터널을 사용하여 테넌트 시스템 사이를 통과할 수 있습니다. 테넌트 시스템 간의 트래픽을 허용하려면 동일한 서브넷에서 논리적 터널 인터페이스를 구성해야 합니다.
-
논리적 터널 인터페이스를 구성합니다.
[edit] user@SRX# set interfaces lt-0/0/0 unit 100 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 100 peer-unit 0 user@SRX# set interfaces lt-0/0/0 unit 101 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 101 peer-unit 1 user@SRX# set interfaces lt-0/0/0 unit 102 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 102 peer-unit 2 user@SRX# set interfaces lt-0/0/0 unit 103 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 103 peer-unit 3
-
VPLS 스위치에 대한 라우팅 인스턴스를 구성하고 논리적 터널 인터페이스를 할당합니다.
[edit] user@SRX# set routing-instances VPLS instance-type vpls user@SRX# set routing-instances VPLS interface lt-0/0/0.100 user@SRX# set routing-instances VPLS interface lt-0/0/0.101 user@SRX# set routing-instances VPLS interface lt-0/0/0.102 user@SRX# set routing-instances VPLS interface lt-0/0/0.103
-
-
테넌트 시스템을 구성합니다. 테넌트 하나에 대한 구성만 보여주고 있습니다.
-
테넌트와 연결된 인터페이스를 구성합니다.
[edit] user@SRX# set interfaces lt-0/0/0 unit 1 encapsulation ethernet user@SRX# set interfaces lt-0/0/0 unit 1 peer-unit 101 user@SRX# set interfaces lt-0/0/0 unit 1 family inet address 10.0.1.1/24 user@SRX# set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.254/24
-
테넌트, 라우팅 인스턴스, 정적 라우팅을 구성하고 인터페이스를 할당합니다.
[edit] user@SRX# set tenants TSYS1 routing-instances vr1 instance-type virtual-router user@SRX# set tenants TSYS1 routing-instances vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 user@SRX# set tenants TSYS1 routing-instances vr1 interface lt-0/0/0.1 user@SRX# set tenants TSYS1 routing-instances vr1 interface ge-0/0/1.0
-
-
보안 프로필을 구성합니다. 이 예에서는 논리 및 테넌트 시스템을 구성하는 데 필요한 최소 구성만 보여주고 있습니다.
[edit] user@SRX# set system security-profile SP0 logical-system root-ls user@SRX# set system security-profile SP1 tenant TSYS1 user@SRX# set system security-profile SP2 tenant TSYS2 user@SRX# set system security-profile SP3 tenant TSYS3
-
논리적 시스템을 구성합니다. 상호 연결된 VPLS 스위치를 사용하는 이 예에는 논리적 시스템이 필요합니다.
-
인터페이스를 구성합니다.
[edit] user@SRX# set logical-systems root-ls interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 encapsulation ethernet user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 peer-unit 100 user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 family inet address 10.0.1.10/24
-
정적 경로를 구성합니다.
[edit] user@SRX# set logical-systems root-ls routing-options static route 192.168.1.0/24 next-hop 10.0.1.1 user@SRX# set logical-systems root-ls routing-options static route 192.168.2.0/24 next-hop 10.0.1.2 user@SRX# set logical-systems root-ls routing-options static route 192.168.3.0/24 next-hop 10.0.1.3
-
-
테넌트에서 인터넷으로의 트래픽 흐름을 허용하도록 논리적 시스템에서 보안 영역 및 정책을 구성합니다. 테넌트 간의 트래픽을 허용하기 위해 논리적 및 테넌트 시스템 모두에 추가 보안 정책을 구성할 수 있습니다.
-
보안 영역을 구성합니다.
[edit] user@SRX# set logical-systems root-ls security zones security-zone trust host-inbound-traffic system-services ping user@SRX# set logical-systems root-ls security zones security-zone trust interfaces lt-0/0/0.0 user@SRX# set logical-systems root-ls security zones security-zone untrust host-inbound-traffic system-services ping user@SRX# set logical-systems root-ls security zones security-zone untrust interfaces ge-0/0/0.0
-
보안 정책을 구성합니다.
[edit] user@SRX# set logical-systems root-ls security address-book global address TSYS1 192.168.1.0/24 user@SRX# set logical-systems root-ls security address-book global address TSYS2 192.168.2.0/24 user@SRX# set logical-systems root-ls security address-book global address TSYS3 192.168.3.0/24 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS1 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS2 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS3 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match destination-address any user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match application any user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out then permit
-
-
각 테넌트 시스템에서 보안 영역과 정책을 구성하여 인터넷으로의 트래픽 흐름을 허용합니다.
-
보안 영역을 구성합니다.
[edit] user@SRX# set tenants TSYS1 security zones security-zone PC1 host-inbound-traffic system-services ping user@SRX# set tenants TSYS1 security zones security-zone PC1 interfaces ge-0/0/1.0 user@SRX# set tenants TSYS1 security zones security-zone VPLS host-inbound-traffic system-services ping user@SRX# set tenants TSYS1 security zones security-zone VPLS interfaces lt-0/0/0.1
-
보안 정책을 구성합니다.
[edit] user@SRX# set tenants TSYS1 security address-book global address PC1 192.168.1.0/24 user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match source-address PC1 user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match destination-address any user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match application any user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out then permit
-
결과
구성 모드에서 명령을 입력하여 구성을 show tenants TSYS1
확인하여 테넌트 시스템이 생성되었는지 확인합니다. show system login class TSYS1admin1
명령을 입력하여 정의한 각 클래스의 권한 수준을 확인합니다. 테넌트 시스템 관리자가 생성되었는지 확인하려면 명령을 입력합니다 show system login user TSYS1admin1
. 상호 연결 VPLS 스위치의 인터페이스가 생성되도록 하려면 명령을 입력합니다 show interfaces
. 루트 논리적 시스템 구성을 확인하기 위해 을(를) 입력 show logical-systems
합니다.
user@SRX# show tenants TSYS1 routing-instances { vr1 { instance-type virtual-router; routing-options { static { route 0.0.0.0/0 next-hop 10.0.1.10; } } interface lt-0/0/0.1; interface ge-0/0/1.0; } } security { address-book { global { address PC1 192.168.1.0/24; } } policies { from-zone PC1 to-zone VPLS { policy allow-out { match { source-address PC1; destination-address any; application any; } then { permit; } } } } zones { security-zone PC1 { host-inbound-traffic { system-services { ping; } } interfaces { ge-0/0/1.0; } } security-zone VPLS { host-inbound-traffic { system-services { ping; } } interfaces { lt-0/0/0.1; } } } }
user@SRX# show system login class TSYS1admin1 tenant TSYS1; permissions all;
user@SRX# show system login user TSYS1admin1 uid 2001; class TSYS1admin1; authentication { encrypted-password "$ABC123"; }
user@SRX# show interfaces lt-0/0/0 { unit 1 { encapsulation ethernet; peer-unit 101; family inet { address 10.0.1.1/24; } } unit 2 { encapsulation ethernet; peer-unit 102; family inet { address 10.0.1.2/24; } } unit 3 { encapsulation ethernet; peer-unit 103; family inet { address 10.0.1.3/24; } } unit 100 { encapsulation ethernet-vpls; peer-unit 0; } unit 101 { encapsulation ethernet-vpls; peer-unit 1; } unit 102 { encapsulation ethernet-vpls; peer-unit 2; } unit 103 { encapsulation ethernet-vpls; peer-unit 3; } } ge-0/0/1 { unit 0 { family inet { address 192.168.1.254/24; } } } ge-0/0/2 { unit 0 { family inet { address 192.168.2.254/24; } } } ge-0/0/3 { unit 0 { family inet { address 192.168.3.254/24; } } }
user@SRX# show logical-systems root-ls { interfaces { ge-0/0/0 { unit 0 { family inet { address 192.168.10.1/24; } } } lt-0/0/0 { unit 0 { encapsulation ethernet; peer-unit 100; family inet { address 10.0.1.10/24; } } } } routing-options { static { route 192.168.1.0/24 next-hop 10.0.1.1; route 192.168.2.0/24 next-hop 10.0.1.2; route 192.168.3.0/24 next-hop 10.0.1.3; } } security { address-book { global { address TSYS1 192.168.1.0/24; address TSYS2 192.168.2.0/24; address TSYS3 192.168.3.0/24; } } policies { from-zone trust to-zone untrust { policy allow-out { match { source-address [ TSYS1 TSYS2 TSYS3 ]; destination-address any; application any; } then { permit; } } } } zones { security-zone trust { host-inbound-traffic { system-services { ping; } } interfaces { lt-0/0/0.0; } } security-zone untrust { host-inbound-traffic { system-services { ping; } } interfaces { ge-0/0/0.0; } } } } }
출력이 의도한 구성을 표시하지 않으면 다음 예의 구성 지침을 반복하여 수정합니다. 디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit
.
확인
구성이 제대로 작동하는지 확인합니다.
기본 관리자를 사용하여 테넌트 시스템 및 로그인 구성 확인
목적
테넌트 시스템이 존재하는지 확인하고 루트에서 기본 관리자로 입력할 수 있습니다. 테넌트 시스템에서 루트로 돌아갑니다.
작업
운영 모드에서 다음 명령을 사용하여 테넌트 시스템을 입력합니다 TSYS1
.
user@SRX> set cli tenant TSYS1 Tenant: TSYS1 user@SRX:TSYS1>
이제 테넌트 시스템에 TSYS1
들어갑니다. 테넌트 시스템에서 TSYS1
루트로 종료하려면 다음 명령을 사용합니다.
user@SRX:TSYS1> clear cli tenant Cleared default tenants user@SRX>
의미
테넌트 시스템이 존재하며 루트에서 테넌트 시스템에 기본 관리자로 입력할 수 있습니다.
SSH를 사용한 테넌트 시스템 및 로그인 구성 확인
목적
생성한 테넌트 시스템이 있는지, 관리자가 생성한 ID와 암호가 올바른지 확인합니다.
작업
SSH를 사용하여 각 사용자 테넌트 시스템 관리자에게 로그인합니다.
-
SRX 시리즈 방화벽의 IP 주소를 지정하는 SSH를 실행합니다.
-
생성한 테넌트 시스템 관리자의 로그인 ID와 암호를 입력합니다. 로그인한 후 프롬프트에 테넌트 시스템 관리자 이름이 표시됩니다. 이 결과는 테넌트 시스템에 로그인할 때 생성되는 결과와 루트의 기본 논리적 시스템과 어떻게 다른지 확인합니다. 모든 테넌트 시스템에 대해 이 절차를 반복합니다.
login: TSYS1admin1 Password: "$ABC123" TSYS1admin1@SRX: TSYS1>
의미
테넌트 시스템 관리자 TSYS1admin1
가 존재하며 테넌트 시스템 관리자로 로그인할 수 있습니다.
인터넷에 대한 PC1 연결 확인
목적
엔드 투 엔드 연결을 확인합니다.
작업
PC1에서 인터넷으로 트레이스라우트를 핑하고 실행합니다. 예를 들어 인터넷은 192.168.10.254입니다.
-
PC1에서 핑을 실행합니다.
user@PC1> ping 192.168.10.254 count 2 PING 192.168.10.254 (192.168.10.254): 56 data bytes 64 bytes from 192.168.10.254: icmp_seq=0 ttl=62 time=3.178 ms 64 bytes from 192.168.10.254: icmp_seq=1 ttl=62 time=3.082 ms --- 192.168.10.254 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.082/3.130/3.178/0.048 ms
-
PC1에서 traceroute를 실행합니다.
user@PC1> traceroute 192.168.10.254 traceroute to 192.168.10.254 (192.168.10.254), 30 hops max, 52 byte packets 1 192.168.1.254 (192.168.1.254) 2.188 ms 1.779 ms 1.896 ms 2 10.0.1.10 (10.0.1.10) 1.888 ms 1.535 ms 1.661 ms 3 192.168.10.254 (192.168.10.254) 3.243 ms 15.077 ms 3.499 ms
의미
PC1은 인터넷에 연결할 수 있습니다.
traceroute
show ipv6 neighbors
telnet
ssh
show arp
clear arp
및
clear ipv6 neighbors
명령에 대한 기본 라우팅 인스턴스
ping
로 전달됩니다.