Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

테넌트 시스템 개요

테넌트 시스템은 라우팅, 서비스 및 보안 기능을 지원합니다.

테넌트 시스템 이해

테넌트 시스템은 물리적 방화벽을 논리적으로 분리된 논리적 방화벽으로 분할합니다. 테넌트 시스템은 논리적 시스템과 유사하지만 훨씬 더 높은 확장성과 더 적은 라우팅 기능을 갖습니다. 디바이스의 각 테넌트 시스템을 사용하면 보안 서비스를 위해 개별 관리 도메인을 제어할 수 있습니다. 디바이스를 멀티테넌트 시스템으로 전환하여 환경에 따라 사적 및 논리적으로 분리된 시스템 리소스 사용, 보안 구성 및 KPI에 대한 테넌트별 뷰 등 다양한 부서, 조직, 고객 및 파트너를 제공할 수 있습니다. 기본 관리자는 모든 테넌트 시스템을 생성하고 관리합니다. 그림 1 은 기본 논리적 시스템 및 개별 테넌트 시스템이 있는 단일 디바이스를 보여줍니다.

그림 1: 테넌트 시스템 Tenant Systems

논리적 시스템과 테넌트 시스템의 차이점

표 1 에서는 논리적 시스템과 테넌트 시스템 간의 주요 차이점을 설명합니다.

표 1: 논리적 시스템과 테넌트 시스템의 차이점

기능

논리적 시스템

테넌트 시스템

기능 지원

모든 라우팅 기능을 지원하여 최적의 데이터 라우팅 경로를 제공합니다.

라우팅 기능과 대규모 보안 가상화를 지원하여 고객 환경을 격리합니다.

확장성

물리적 SRX 시리즈 방화벽에서 최대 32개 논리 시스템을 구성할 수 있습니다.

높은 확장성을 제공하기 위해 물리적 SRX 시리즈 방화벽에 최대 500개 테넌트 시스템을 구성할 수 있습니다.

라우팅 프로토콜 프로세스

모든 논리적 시스템에는 디바이스의 리소스를 논리적으로 분리하기 위해 라우팅 프로토콜 프로세스의 개별 복사본이 필요합니다.

기본 논리적 시스템에는 테넌트 시스템이 공유하는 단일 라우팅 프로토콜 프로세스가 있습니다. 이 단일 라우팅 프로토콜 프로세스에서 지원되는 라우팅 인스턴스는 방화벽에서 보안 리소스를 분리합니다.

라우팅 인스턴스

모든 논리적 시스템에 대해 기본 라우팅 인스턴스가 자동으로 생성됩니다.

릴리스 19.2R1 Junos OS 테넌트 시스템에서 구성된 가상 라우터는 , tracerouteshow ipv6 neighborstelnetsshshow arpclear arpclear ipv6 neighbors 명령에 대한 기본 라우팅 인스턴스ping로 전달됩니다.

논리적 인터페이스 구성

기본 관리자는 논리적 인터페이스를 할당하고 논리적 시스템 관리자는 인터페이스 속성을 구성할 수 있습니다.

테넌트 시스템 관리자는 논리적 인터페이스를 구성할 수 없습니다. 기본 관리자는 테넌트 시스템에 논리적 인터페이스를 할당합니다.

논리적 시스템 및 테넌트 시스템의 사용 사례

하나 이상의 가상 라우터 필요할 때 논리적 시스템이 사용됩니다. 예를 들어, 외부 네트워크에 여러 개의 연결이 있으며 동일한 가상 라우터 공존할 수 없습니다. 테넌트 시스템은 부서, 조직 또는 고객을 분리해야 할 때 사용되며 각 테넌트는 하나의 가상 라우터 제한될 수 있습니다. 논리적 시스템과 테넌트 시스템의 가장 큰 차이점은 논리적 시스템이 여러 라우팅 인스턴스를 사용하여 고급 라우팅 기능을 지원한다는 것입니다. 이에 비해 테넌트 시스템은 하나의 라우팅 인스턴스만 지원하지만 시스템당 훨씬 더 많은 테넌트의 구축을 지원합니다.

멀티테넌트 시스템을 위한 구축 시나리오

매니지드 보안 서비스 프로바이더(MSSP), 엔터프라이즈 네트워크 또는 브랜치 오피스 세그먼트와 같은 여러 환경에서 멀티테넌트 시스템을 실행하는 SRX 시리즈 방화벽을 구축할 수 있습니다. 표 2 에서는 다양한 구축 시나리오와 이러한 시나리오에서 테넌트 시스템이 수행하는 역할에 대해 설명합니다.

표 2: 테넌트 시스템과 관련된 구축 시나리오

구축 시나리오

테넌트 시스템의 역할

매니지드 보안 서비스 프로바이더(MSSP)

  • 매니지드 보안 서비스 프로바이더(MSSP)에서는 각 고객을 다른 고객으로부터 격리하여 데이터 프라이버시를 보호할 수 있습니다. 정의된 SLA(Service Level Agreements)가 필요한 고객은 이러한 SLA를 충족하기 위해 메모리와 시스템 리소스를 할당할 수 있습니다.

  • 고객은 테넌트 시스템별 규정 준수 및 제어를 위해 고유한 보안 정책을 구성할 수 있습니다.

엔터프라이즈 네트워크

  • 테넌트 시스템은 엔터프라이즈 내 워크그룹, 부서 또는 기타 조직 구조에 할당될 수 있습니다.

  • 테넌트 시스템은 엔터프라이즈 워크그룹, 부서 또는 엔터프라이즈의 다른 조직 구조에 대한 고유한 보안 정책을 정의할 수 있습니다.

지사 부문

  • 지사에서 테넌트 시스템은 기업 및 게스트 트래픽을 개별적으로 관리하고 분리할 수 있습니다.

  • 테넌트 시스템당 고급 보안 정책을 구성할 수 있습니다. 이 접근 방식을 통해 보안 정책을 세분화하여 제어할 수 있습니다.

  • 테넌트 시스템은 관리 및 문제 해결의 용이성을 제공합니다.

테넌트 시스템의 이점

  • 조직에 필요한 물리적 디바이스의 수를 줄여 비용을 절감하십시오. 단일 디바이스에서 다양한 사용자 그룹에 대한 서비스를 통합하고 하드웨어 비용, 전력 지출 및 랙 공간을 줄일 수 있습니다.

  • 테넌트 시스템 수준에서 격리 및 논리적 분리를 제공합니다. 각 테넌트 시스템이 다른 테넌트 시스템에 영향을 미치지 않고 자체 보안 제어 및 제한을 정의할 수 있는 대규모의 관리 분리를 통해 테넌트 시스템을 분리할 수 있는 기능을 제공합니다.

기본 관리자 및 테넌트 시스템 관리자의 역할 및 책임

기본 관리자는 모든 테넌트 시스템을 생성하고 관리합니다. 기본 논리적 시스템은 루트 수준에서 생성되며 단일 라우팅 프로토콜 프로세스를 할당합니다. 이 라우팅 프로토콜 프로세스가 공유되지만 테넌트 시스템은 방화벽에서 논리적 리소스를 분리할 수 있습니다. 기본적으로 모든 시스템 리소스는 기본 논리적 시스템에 할당되며, 기본 관리자는 이를 테넌트 시스템 관리자에게 할당합니다.

참고:

Junos OS 명령줄 참조에서 기본 논리적 시스템을 루트 논리적 시스템이라고 합니다.

기본 논리적 시스템에 의해 하위되는 테넌트 시스템이 생성됩니다. 기본 논리적 시스템의 모든 테넌트가 단일 라우팅 프로세스를 공유하지만 각 테넌트 시스템에는 단일 라우팅 인스턴스가 있습니다. 표 3 에서는 기본 관리자와 테넌트 시스템 관리자의 역할과 책임에 대해 설명합니다.

표 3: 테넌트 시스템과 관련된 역할 및 책임

역할

정의

책임

기본 관리자

모든 논리적 시스템 및 테넌트 시스템에 대한 슈퍼유저 구성 및 검증 권한이 있는 사용자 계정.

  • 모든 논리적 시스템과 테넌트 시스템을 보고 액세스합니다.

  • 모든 테넌트 시스템에 대한 로그인 계정을 생성하고 로그인 계정을 적절한 테넌트 시스템에 할당합니다.

  • 테넌트 시스템에 리소스를 생성하고 할당합니다.

  • 테넌트 시스템의 기본 라우팅 인스턴스 역할을 하는 테넌트 시스템에서 하나의 사용자 지정 라우팅 인스턴스를 생성합니다.

  • 테넌트 시스템 아래에 가상 라우터 생성하고 테넌트 시스템에 할당합니다.

  • 테넌트 시스템에 할당할 논리적 인터페이스를 생성합니다.

  • 기본 논리적 시스템에서 테넌트 시스템을 관리합니다.

  • 테넌트 시스템, 로그 및 추적 파일의 중복 이름이 존재하지 않도록 합니다.

테넌트 시스템 관리자

모든 구성 및 검증 권한이 있는 테넌트 시스템 계정.

참고:

테넌트 시스템 관리자의 구성 및 검증 권한은 테넌트 시스템 관리자를 생성하는 동안 기본 관리자가 할당한 권한에 따라 달라집니다. 요구 사항에 따라 다른 권한 수준을 가진 테넌트 시스템에 대해 여러 테넌트 시스템 관리자를 생성할 수 있습니다.

  • 테넌트 시스템의 리소스에 액세스하고 볼 수 있습니다.

  • 할당 및 라우팅 프로토콜 리소스를 구성합니다.

  • 스케줄러, 보안 프로필 및 보안 기능을 구성합니다.

테넌트 시스템 관리자는 다음과 같은 권한을 지원하지 않습니다.

  • 테넌트 시스템에 대한 액세스 제한 및 기본 라우팅 인스턴스를 정의합니다.

  • 다른 테넌트 시스템의 리소스에 액세스하고 볼 수 있습니다.

  • 테넌트 시스템에 할당된 리소스 수를 수정합니다.

  • 논리적 인터페이스, 가상 라우터 및 정책 옵션을 생성합니다.

테넌트 시스템 용량

디바이스에서 생성할 수 있는 테넌트 시스템의 최대 수는 표 4에 나열되어 있습니다.

표 4: 테넌트 시스템 용량

플랫폼

논리적 시스템 용량

Junos OS 릴리스 18.4R1을 위한 테넌트 시스템 용량

SRX1500

32

50

SRX4100 및 SRX4200

32

200

SRX4600

32

300

SPC2 카드가 있는 SRX5400, SRX5600 및 SRX5800 시리즈 디바이스

32

100

SPC3 카드가 있는 SRX5400, SRX5600 및 SRX5800 시리즈 디바이스

32

500

SPC2 및 SPC3 카드가 있는 SRX5400, SRX5600 및 SRX5800 시리즈 디바이스

32

100

Junos OS 릴리스 18.4R1부터 테넌트 시스템은 3세대 서비스 프로세싱 카드(SRX5K-SPC3) 및 2세대 서비스 프로세싱 카드(SRX5K-SPC-4-15-320)가 결합된 SRX5000 라인 보안 서비스 게이트웨이에서 지원될 수 있습니다. 릴리스 18.4R1 Junos OS 이전에는 테넌트 시스템이 SPC2에서만 지원되었습니다.

테넌트 시스템 구성 개요

기본 관리자는 테넌트 시스템을 생성하고 테넌트 시스템을 관리하기 위해 관리자를 할당합니다. 테넌트 시스템에는 여러 명의 관리자가 있을 수 있습니다. 테넌트 시스템 관리자의 역할과 책임은 테넌트 시스템 이해에 설명되어 있습니다.

기본 관리자는 논리적 인터페이스를 구성하고 이러한 인터페이스를 테넌트 시스템에 할당합니다. 하나의 라우팅 인스턴스와 라우팅 프로토콜을 구성하고 라우팅 인스턴스에 옵션을 추가합니다. 테넌트 시스템에 대한 라우팅 인스턴스 구성을 참조하십시오.

테넌트 시스템에는 자체 구성 데이터베이스가 있습니다. 성공적으로 구성된 후 변경 사항은 각 테넌트 시스템의 기본 데이터베이스에 병합됩니다. 여러 테넌트 시스템은 한 번에 구성 변경을 수행할 수 있습니다. 한 번에 하나의 테넌트만 변경 사항을 커밋할 수 있습니다. 기본 관리자와 테넌트 시스템 관리자가 구성 변경을 동시에 수행하는 경우, 기본 관리자가 수행하는 구성 변경은 테넌트 시스템 관리자가 수행하는 구성 변경을 재정의합니다.

다음 단계는 테넌트 시스템 관리자가 테넌트 시스템에서 보안 기능을 구성하기 위해 수행하는 작업을 설명합니다.

  1. SSH 서비스를 사용하여 디바이스에 액세스한 다음 기본 관리자가 제공하는 로그인 ID 및 비밀번호를 사용하여 테넌트 시스템에 로그인합니다.

    인증된 후에는 ">" 프롬프트가 있으면 CLI 운영 모드에 액세스했음을 나타냅니다. 프롬프트는 사용자 이름, 디바이스의 호스트 이름 및 테넌트 시스템 이름을 포함하는 문자열 앞에 입니다. CLI가 시작되면 운영 모드에서 최상위 수준에 도달하게 됩니다.

  2. 명령을 입력하여 구성 모드에 액세스합니다 configure .
  3. quit 명령을 입력하여 구성 모드를 종료하고 CLI 운영 모드로 돌아갑니다.
  4. 필요에 따라 테넌트 시스템에서 다음과 같은 보안 기능을 구성합니다.

테넌트 시스템에 대한 라우팅 인스턴스 구성

라우팅 인스턴스는 라우팅 테이블, 인터페이스 및 라우팅 프로토콜 매개 변수의 모음입니다. 라우팅 인스턴스에 속하는 인터페이스 집합과 라우팅 프로토콜 매개 변수가 라우팅 인스턴스의 정보를 제어합니다. 테넌트 시스템은 할당된 라우팅 인스턴스와 테넌트 시스템 내 라우팅 인스턴스에 속하는 인터페이스를 구성할 수 있습니다.

참고:

테넌트 시스템에 대해 하나의 라우팅 인스턴스만 생성할 수 있습니다.

다음 절차에서는 테넌트 시스템에 대한 라우팅 테이블 라우팅 인스턴스 및 인터페이스를 구성하는 단계를 설명합니다.

  1. 라는 TSYS1테넌트 시스템을 생성합니다.
  2. 라우팅 인스턴스 r1 를 생성하고 테넌트 시스템에 대한 라우팅 인스턴스 유형을 할당합니다.
  3. 라우팅 인스턴스의 인터페이스 이름을 지정합니다.
  4. 라우팅 인스턴스에 대한 라우팅 옵션을 지정합니다.
  5. 구성을 커밋합니다.

테넌트 시스템의 TSYS1구성을 보려면 명령을 실행합니다 show tenants TSYS1 .

show tenants TSYS1 명령은 테넌트 시스템에 TSYS1대해 구성된 모든 라우팅 인스턴스 매개 변수를 표시합니다.

테넌트 시스템을 위한 라우팅 및 인터페이스 이해하기

라우팅 인스턴스는 라우팅 테이블, 인터페이스 및 라우팅 프로토콜 매개 변수의 모음입니다. 인터페이스는 라우팅 인스턴스에 대한 데이터를 포워딩하고 라우팅 프로토콜을 사용하여 다른 피어(SRX 시리즈 방화벽)의 라우팅 정보를 학습하는 데 사용됩니다.

논리적 인터페이스(IFL)는 다음 수준 중 하나에서 정의할 수 있습니다.

  • 전역 수준(루트 논리적 시스템)

  • 사용자 논리적 시스템 수준

  • 테넌트 시스템 수준(릴리스 Junos OS 18.4R1부터 시작)

전역 수준에서 정의된 IFL은 루트 논리적 시스템 또는 테넌트 시스템 중 하나에서 사용할 수 있습니다. 테넌트 시스템에 정의된 IFL은 해당 테넌트 시스템에서만 사용할 수 있습니다.

테넌트 시스템에서는 기본 라우팅 인스턴스를 사용할 수 없습니다. 따라서 테넌트 시스템에 대한 사용자 지정 라우팅 인스턴스가 생성되면 해당 테넌트 시스템에 정의된 모든 인터페이스를 해당 라우팅 인스턴스에 추가해야 합니다.

개요: 테넌트 시스템을 위한 라우팅 및 인터페이스 구성

이 개요는 테넌트 시스템에 대한 인터페이스 및 라우팅 인스턴스를 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에 다음을 수행합니다.

  • 어떤 논리적 인터페이스와 선택적으로 어떤 논리적 터널 인터페이스가 할당되는지 결정합니다. 테넌트 시스템 구성 개요를 참조하십시오.

개요

다음 절차에서는 테넌트 시스템 내의 라우팅 테이블 라우팅 인스턴스 및 인터페이스를 구성하는 단계를 설명합니다.

이 주제는 표 5에 설명된 인터페이스 및 라우팅 인스턴스를 구성합니다.

표 5: 사용자 테넌트 시스템 인터페이스 및 라우팅 인스턴스 구성

기능

이름

구성 매개 변수

인터페이스

ge-0/0/2.1

ge-0/0/2.2

ge-0/0/2.3

  • IP 주소 10.0.0.1/24

  • IP 주소 10.0.0.2/24

  • IP 주소 10.0.0.3/24

라우팅 인스턴스

r1

R2

  • 인스턴스 유형: 가상 라우터

  • 인터페이스 ge-0/0/2.1, ge-0/0/2.3 및 ge-0/0/2.2 포함

구성

절차
CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

사용자 논리적 시스템에서 인터페이스 및 라우팅 인스턴스를 구성하려면 다음을 수행합니다.

  1. VLAN 태깅을 지원하도록 인터페이스를 구성합니다.

  2. 루트 수준에서 IFL을 구성합니다.

  3. 라는 TSYS1테넌트 시스템을 생성합니다.

  4. 테넌트 시스템 TSYS1에서 인터페이스를 정의합니다.

  5. 라우팅 인스턴스 r1 를 생성하고 테넌트 시스템에 대한 라우팅 인스턴스 유형을 할당합니다.

  6. 라우팅 인스턴스의 인터페이스 이름을 지정합니다.

  7. 라는 TSYS2테넌트 시스템을 생성합니다.

  8. 테넌트 시스템 TSYS2에서 인터페이스를 정의합니다.

  9. 라우팅 인스턴스 r2 를 생성하고 테넌트 시스템에 대한 라우팅 인스턴스 유형을 할당합니다.

  10. 라우팅 인스턴스의 인터페이스 이름을 지정합니다.

  11. 구성을 커밋합니다.

결과

구성 모드에서 및 show tenants 명령을 입력하여 구성을 show interfaces 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

show tenants 명령은 테넌트 시스템 및 에 정의된 모든 인터페이스와 TSYS2테넌트 시스템 TSYS1 모두에 대해 구성된 라우팅 인스턴스 매개 변수를 표시합니다.

테넌트 시스템 보안 프로필 이해(기본 관리자 전용)

테넌트 시스템을 사용하면 지원되는 SRX 시리즈 방화벽을 여러 디바이스로 사실상 분할하여 침입 및 공격으로부터 보호하고, 컨텍스트 외부의 잘못된 조건으로부터 보호할 수 있습니다. 테넌트 시스템을 보호하기 위해 보안 리소스는 개별 디바이스에 대해 구성된 방식과 유사한 방식으로 구성됩니다. 그러나 기본 관리자는 테넌트 시스템에 리소스를 할당합니다.

테넌트 시스템을 실행하는 SRX 시리즈 방화벽은 테넌트 시스템, 필요한 경우 상호 연결된 테넌트 시스템 및 기본 기본 기본 논리적 시스템으로 분할될 수 있습니다. 시스템이 초기화되면 루트에서 기본 논리적 시스템이 생성됩니다. 모든 시스템 리소스가 할당되어 기본 기본 논리적 시스템 보안 프로파일을 효과적으로 생성합니다. 테넌트 시스템에 보안 리소스를 배포하기 위해 기본 관리자는 테넌트 시스템에 할당할 리소스를 지정하는 보안 프로필을 만듭니다. 기본 관리자만 보안 프로필을 구성하고 테넌트 시스템에 바인딩할 수 있습니다. 테넌트 시스템 관리자는 이러한 리소스를 해당 테넌트 시스템에 사용합니다.

테넌트 시스템은 보안 구성 요소, 인터페이스, 라우팅 인스턴스, 정적 경로 및 동적 라우팅 프로토콜을 포함하여 할당된 리소스에 의해 정의됩니다. 기본 관리자는 보안 프로필을 구성하고 테넌트 시스템에 할당합니다. 보안 프로필이 할당되어 있다면 테넌트 시스템 구성을 커밋할 수 없습니다.

이 주제에는 다음 섹션이 포함됩니다.

테넌트 시스템 보안 프로필

기본 관리자는 특정 테넌트 시스템 또는 여러 테넌트 시스템에 보안 프로필을 구성하고 할당할 수 있습니다. 구성할 수 있는 최대 보안 프로필 수는 SRX 시리즈 방화벽의 용량에 따라 다릅니다. 최대 보안 프로필 수가 생성되면 보안 프로필을 삭제하고 다른 보안 프로필을 생성하고 커밋하기 전에 구성 변경을 커밋해야 합니다. 단일 보안 프로필을 둘 이상의 테넌트 시스템에 바인딩할 수 있기 때문에 필요한 보안 프로필이 적은 경우가 많습니다.

보안 프로파일을 사용하면 다음을 수행할 수 있습니다.

  • 모든 테넌트 시스템 간에 정책, 영역, 주소록 및 주소록, 플로우 세션 및 다양한 형태의 NAT를 포함한 디바이스 리소스를 공유합니다. 테넌트 시스템에 다양한 리소스를 할당하고 테넌트 시스템이 리소스를 효과적으로 활용할 수 있도록 할 수 있습니다.

    보안 프로필은 다른 테넌트 시스템에서 동시에 필요한 리소스가 고갈되는 하나의 테넌트 시스템으로부터 보호합니다. 보안 프로필은 디바이스의 트래픽 흐름이 짙은 경우 중요한 시스템 리소스를 보호하고 테넌트 시스템 간에 더 나은 성능을 유지합니다. 보안 프로필은 리소스 사용을 지배하는 하나의 테넌트 시스템을 방어하고 다른 테넌트 시스템이 리소스를 효과적으로 사용할 수 있도록 합니다.

  • 추가 테넌트 시스템을 생성할 수 있도록 확장 가능한 방식으로 디바이스를 구성합니다.

테넌트 시스템을 삭제하려면 테넌트 시스템의 보안 프로필을 삭제해야 합니다.

시스템이 테넌트 시스템 전반에서 리소스 할당 및 사용을 평가하는 방법 이해하기

테넌트 시스템에 보안 기능을 프로비저닝하기 위해 기본 관리자는 각 보안 기능에 대한 리소스를 지정하는 보안 프로필을 구성합니다.

  • 지정된 리소스 양을 항상 테넌트 시스템에서 사용할 수 있도록 보장하는 예약 할당량입니다.

  • 허용되는 최대 할당량. 테넌트 시스템에 예약 할당량을 초과하는 추가 리소스가 필요한 경우 글로벌 리소스가 다른 테넌트 시스템에 할당되지 않은 경우 글로벌 최대 금액에 구성된 리소스를 활용할 수 있습니다. 허용되는 최대 할당량이 보안 프로파일의 리소스에 대해 지정된 양을 사용할 수 있음을 보장하지는 않습니다. 테넌트 시스템은 사용 가능한 리소스를 기반으로 글로벌 리소스를 효과적으로 활용해야 합니다.

리소스에 대해 예약된 할당량이 구성되지 않은 경우, 기본값은 0입니다. 리소스에 대해 허용되는 최대 할당량이 구성되지 않은 경우, 기본 값은 리소스에 대한 전역 시스템 할당량입니다(글로벌 시스템 할당량은 플랫폼에 따라 달라함). 기본 관리자는 특정 테넌트 시스템의 최대 리소스 사용이 디바이스에서 구성된 다른 테넌트 시스템에 부정적인 영향을 미치지 않도록 보안 프로필에서 허용되는 적절한 최대 할당량 값을 구성해야 합니다.

시스템은 테넌트 시스템이 삭제되면 예약, 사용 및 다시 사용할 수 있는 할당된 모든 리소스의 수를 유지합니다. 이 카운트는 테넌트 시스템에 사용할 수 있는 리소스인지 또는 보안 프로필을 통해 기존 테넌트 시스템에 할당된 리소스의 양을 늘릴 수 있는지를 결정합니다.

보안 프로필에서 구성된 리소스는 정적 모듈형 리소스 또는 동적 리소스로 특징지어지게 됩니다. 정적 리소스의 경우 테넌트 시스템의 확장 가능한 구성을 허용하기 위해 예약된 할당량으로 지정된 양과 같거나 가까운 리소스에 대해 최대 할당량을 설정하는 것이 좋습니다. 리소스에 대한 최대 할당량은 테넌트 시스템에 더 많은 리소스에 대한 액세스를 통해 더 큰 유연성을 제공하지만 다른 테넌트 시스템에 할당할 수 있는 리소스의 양을 제한합니다.

다음 보안 기능 리소스는 보안 프로필에 지정할 수 있습니다.

  • 보안 영역

  • 보안 정책을 위한 주소 및 주소록

  • 애플리케이션 방화벽 규칙 세트

  • 애플리케이션 방화벽 규칙

  • 방화벽 인증

  • 플로우 세션 및 게이트

  • NAT, 포함:

    • Cone NAT 바인딩

    • NAT 대상 규칙

    • NAT 대상 풀

    • PAT(Port Address Translation) 없는 소스 풀의 NAT IP 주소

      참고:

      PAT가 없는 IPv6 소스 풀의 IPv6 주소는 보안 프로필에 포함되지 않습니다.

    • PAT가 있는 소스 풀의 NAT IP 주소

    • NAT 포트 오버로드

    • NAT 소스 풀

    • NAT 소스 규칙

    • NAT 정적 규칙

참고:

플로우 세션을 제외한 모든 리소스는 정적입니다.

보안 프로필이 다른 테넌트 시스템에 할당되는 동안 테넌트 시스템 보안 프로필을 동적으로 수정할 수 있습니다. 그러나 시스템 리소스 할당량을 초과하지 않도록 하려면 시스템은 다음 작업을 수행합니다.

  • 정적 할당량이 변경되면 보안 프로필에 지정된 리소스에 대한 테넌트 시스템 수를 유지하는 시스템 프로세스는 이후에 정적 할당량과 관련된 프로필에 할당된 보안 프로필을 재평가합니다. 이 검사는 모든 테넌트 시스템에 할당된 리소스 수를 식별하여 증가된 양을 포함하여 할당된 리소스를 사용할 수 있는지 여부를 결정합니다.

    이러한 할당량 검사는 테넌트 시스템을 추가하고 보안 프로필을 바인딩할 때 시스템이 수행하는 것과 동일한 할당량 검사입니다. 또한 현재 보안 프로파일에 할당된 보안 프로필과 다른 보안 프로파일을 기존 테넌트 시스템(또는 기본 논리적 시스템)에 바인딩할 때도 수행됩니다.

  • 동적 할당량이 개정되면 수표가 수행되지 않지만 개정된 할당량은 향후 리소스 사용에 부과됩니다.

사례: 보안 프로필을 통해 할당된 예약 리소스 평가

시스템이 보안 프로필을 통해 예약 리소스 할당을 평가하는 방법을 이해하려면 표 7 에 설명된 다음 세 가지 사례와 리소스 및 영역의 주소 할당을 고려하십시오. 예를 단순하게 유지하기 위해 security-profile-1: 예약된 영역 4개와 최대 영역 6개에 10개의 영역이 할당됩니다. 이 예에서는 지정된 최대 금액(6개의 영역)이 테넌트 시스템에 사용할 수 있다고 가정합니다. 시스템 최대 영역 수는 10입니다.

세 가지 경우는 테넌트 시스템 전반의 구성을 해결합니다. 세 가지 경우는 영역 할당을 기반으로 구성이 커밋된 경우 구성이 성공하는지 또는 실패하는지 확인합니다.

표 6 은 보안 프로필과 해당 영역 할당을 보여줍니다.

표 6: 예약된 리소스 평가에 사용되는 보안 프로필

구성 사례에 사용되는 두 가지 보안 프로필

Security-profile-1

  • 영역 예약 할당량 = 4

  • 영역 최대 할당량 = 6

참고:

기본 관리자는 나중에 이 프로필에 지정된 예약된 영역 수를 동적으로 증가합니다.

기본 논리적 시스템 프로파일

  • 영역 최대 할당량 = 10

  • 예약 할당량 없음

표 7 은 시스템이 보안 프로필 구성을 기반으로 테넌트 시스템 전반의 영역에 대한 예약 리소스를 평가하는 방법을 보여주는 세 가지 사례를 보여줍니다.

  • 모든 테넌트 시스템에 바인딩된 보안 프로파일에서 구성된 영역에 대한 누적 예약 리소스 할당량은 시스템 최대 리소스 할당량보다 적은 8이기 때문에 첫 번째 사례의 구성은 성공합니다.

  • 모든 논리 시스템에 바인딩된 보안 프로파일에서 구성된 영역에 대한 누적 예약 리소스 할당량은 시스템 최대 리소스 할당량보다 큰 12이기 때문에 두 번째 사례에 대한 구성이 실패합니다.

  • 모든 테넌트 시스템에 바인딩된 보안 프로파일에서 구성된 영역에 대한 누적 예약 리소스 할당량은 시스템 최대 리소스 할당량보다 큰 12이기 때문에 세 번째 사례에 대한 구성이 실패합니다.

표 7: 테넌트 시스템 전반의 예약된 리소스 할당 평가

테넌트 시스템 전반에서 예약된 리소스 할당량 검사

예 1: 성공

이 구성은 범위 내에 있습니다: 4+4+0=8, 최대 용량 =10.

사용된 보안 프로필

  • 보안 프로필 security-profile-1은 테넌트 시스템-1 및 테넌트 시스템-2의 두 테넌트 시스템에 결합됩니다.

  • 기본 논리적 시스템 프로필은 기본 논리적 시스템에만 사용됩니다.

  • 테넌트-시스템-1 = 4개의 예약된 영역.

  • 테넌트-시스템-2 = 4개의 예약된 영역.

  • primary-logical-system = 0개의 예약된 영역.

예 2: 실패

이 구성은 경계를 벗어났습니다: 4+4+4=12, 최대 용량 =10.

  • 테넌트-시스템-1 = 4개의 예약된 영역.

  • 테넌트-시스템-2 = 4개의 예약된 영역.

  • primary-logical-system = 0개의 예약된 영역.

  • new-tenant-system = 4개의 예약된 영역.

보안 프로필

  • 보안 프로필 security-profile-1은 테넌트 시스템-1 및 테넌트 시스템-2의 두 테넌트 시스템에 결합됩니다.

  • 기본 논리적 시스템 프로필은 기본 논리적 시스템에 바인딩되며 이를 위해 독점적으로 사용됩니다.

  • 기본 관리자는 새로운 테넌트 시스템이라는 새로운 테넌트 시스템을 구성하고 Security-profile-1을 연결합니다.

예 3: 실패

이 구성은 경계를 벗어났습니다: 6+6=12, 최대 용량 =10.

기본 관리자는 security-profile-1에서 예약된 영역 할당량을 수정하여 수를 6으로 늘렸습니다.

  • 테넌트-시스템-1 = 6개의 예약된 영역.

  • 테넌트-시스템-2 = 6개의 예약된 영역.

  • primary-logical-system = 0개의 예약된 영역.

예: 테넌트 시스템 생성, 테넌트 시스템 관리자 및 Interconnect VPLS 스위치

이 예는 테넌트 시스템, 테넌트 시스템 관리자 및 상호 연결된 VPLS 스위치를 만드는 방법을 보여줍니다. 기본 관리자만 테넌트 시스템 관리자를 위한 사용자 로그인 계정을 생성하고 VPLS 스위치를 상호 연결할 수 있습니다.

요구 사항

이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.

  • 테넌트 시스템, 테넌트 시스템 관리자 및 상호 연결된 VPLS 스위치 생성을 시작하기 전에 테넌트 시스템 개요 를 읽고 이 작업이 전체 구성 프로세스에 어떻게 적합한지 알아보십시오.

개요

이 예는 테넌트 시스템 TSYS1, TSYS2TSYS3테넌트 시스템 관리자를 만드는 방법을 보여줍니다. 요구 사항에 따라 다른 권한 수준을 가진 테넌트 시스템에 대해 여러 테넌트 시스템 관리자를 생성할 수 있습니다.

또한 한 테넌트 시스템을 동일한 디바이스의 다른 테넌트 시스템에 연결하는 상호 연결된 가상 프라이빗 LAN 서비스(VPLS) 스위치에 대해서도 다룹니다. VPLS 스위치를 사용하면 테넌트 시스템에서 종료된 전송 트래픽과 트래픽이 모두 테넌트 시스템 사이를 통과할 수 있습니다. 테넌트 시스템 간에 트래픽을 통과하도록 허용하려면 동일한 서브넷에서 논리적 터널(lt-0/0/0) 인터페이스를 구성해야 합니다.

토폴로지

그림 2는 테넌트 시스템에 구축 및 구성된 방화벽의 SRX 시리즈 보여줍니다. 구성 예는 정적 라우팅을 사용하여 PC가 인터넷에 연결할 수 있도록 합니다.

그림 2: 테넌트 시스템 생성 및 VPLS 스위치 Creating Tenant Systems and Interconnect VPLS Switch 상호 연결

전체 SRX 빠른 구성

논리적 및 테넌트 시스템 구성 및 VPLS 스위치 상호 연결

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 줄 바꿈을 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하여 인터페이스와 사용자 암호를 포함합니다. 그런 다음 명령을 복사하여 계층 수준에서 CLI [edit] 에 붙여 넣은 다음 구성 모드에서 을(를) 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오. 단계별 절차를 위해 하나의 테넌트 구성만 다룹니다.

  1. 각 테넌트마다 로그인 사용자 계정을 생성합니다. 테넌트 TSYS1 사용자 계정을 만드는 단계만 보여줍니다.

    1. 사용자 로그인 클래스를 생성하고 테넌트 시스템에 할당합니다.

    2. 로그인 클래스에 사용 권한 수준을 할당합니다. 이 예에서는 테넌트 시스템 관리자에게 완전한 액세스를 허용하는 수준을 all 사용합니다.

    3. 사용자 계정을 생성하고 이전 단계에서 클래스에 할당합니다. 이를 통해 사용자는 테넌트 시스템에 로그인할 수 있습니다.

    4. 사용자 계정에 대한 사용자 로그인 비밀번호를 생성합니다.

  2. VPLS 스위치를 구성합니다. VPLS 스위치를 사용하면 테넌트 시스템에서 종료된 전송 트래픽과 트래픽이 모두 단일 논리적 터널을 사용하여 테넌트 시스템 사이를 통과할 수 있습니다. 테넌트 시스템 간의 트래픽을 허용하려면 동일한 서브넷에서 논리적 터널 인터페이스를 구성해야 합니다.

    1. 논리적 터널 인터페이스를 구성합니다.

    2. VPLS 스위치에 대한 라우팅 인스턴스를 구성하고 논리적 터널 인터페이스를 할당합니다.

  3. 테넌트 시스템을 구성합니다. 테넌트 하나에 대한 구성만 보여주고 있습니다.

    1. 테넌트와 연결된 인터페이스를 구성합니다.

    2. 테넌트, 라우팅 인스턴스, 정적 라우팅을 구성하고 인터페이스를 할당합니다.

  4. 보안 프로필을 구성합니다. 이 예에서는 논리 및 테넌트 시스템을 구성하는 데 필요한 최소 구성만 보여주고 있습니다.

  5. 논리적 시스템을 구성합니다. 상호 연결된 VPLS 스위치를 사용하는 이 예에는 논리적 시스템이 필요합니다.

    1. 인터페이스를 구성합니다.

    2. 정적 경로를 구성합니다.

  6. 테넌트에서 인터넷으로의 트래픽 흐름을 허용하도록 논리적 시스템에서 보안 영역 및 정책을 구성합니다. 테넌트 간의 트래픽을 허용하기 위해 논리적 및 테넌트 시스템 모두에 추가 보안 정책을 구성할 수 있습니다.

    1. 보안 영역을 구성합니다.

    2. 보안 정책을 구성합니다.

  7. 각 테넌트 시스템에서 보안 영역과 정책을 구성하여 인터넷으로의 트래픽 흐름을 허용합니다.

    1. 보안 영역을 구성합니다.

    2. 보안 정책을 구성합니다.

결과

구성 모드에서 명령을 입력하여 구성을 show tenants TSYS1 확인하여 테넌트 시스템이 생성되었는지 확인합니다. show system login class TSYS1admin1 명령을 입력하여 정의한 각 클래스의 권한 수준을 확인합니다. 테넌트 시스템 관리자가 생성되었는지 확인하려면 명령을 입력합니다 show system login user TSYS1admin1 . 상호 연결 VPLS 스위치의 인터페이스가 생성되도록 하려면 명령을 입력합니다 show interfaces . 루트 논리적 시스템 구성을 확인하기 위해 을(를) 입력 show logical-systems 합니다.

출력이 의도한 구성을 표시하지 않으면 다음 예의 구성 지침을 반복하여 수정합니다. 디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인합니다.

기본 관리자를 사용하여 테넌트 시스템 및 로그인 구성 확인

목적

테넌트 시스템이 존재하는지 확인하고 루트에서 기본 관리자로 입력할 수 있습니다. 테넌트 시스템에서 루트로 돌아갑니다.

작업

운영 모드에서 다음 명령을 사용하여 테넌트 시스템을 입력합니다 TSYS1.

이제 테넌트 시스템에 TSYS1들어갑니다. 테넌트 시스템에서 TSYS1 루트로 종료하려면 다음 명령을 사용합니다.

의미

테넌트 시스템이 존재하며 루트에서 테넌트 시스템에 기본 관리자로 입력할 수 있습니다.

SSH를 사용한 테넌트 시스템 및 로그인 구성 확인

목적

생성한 테넌트 시스템이 있는지, 관리자가 생성한 ID와 암호가 올바른지 확인합니다.

작업

SSH를 사용하여 각 사용자 테넌트 시스템 관리자에게 로그인합니다.

  1. SRX 시리즈 방화벽의 IP 주소를 지정하는 SSH를 실행합니다.

  2. 생성한 테넌트 시스템 관리자의 로그인 ID와 암호를 입력합니다. 로그인한 후 프롬프트에 테넌트 시스템 관리자 이름이 표시됩니다. 이 결과는 테넌트 시스템에 로그인할 때 생성되는 결과와 루트의 기본 논리적 시스템과 어떻게 다른지 확인합니다. 모든 테넌트 시스템에 대해 이 절차를 반복합니다.

의미

테넌트 시스템 관리자 TSYS1admin1 가 존재하며 테넌트 시스템 관리자로 로그인할 수 있습니다.

인터넷에 대한 PC1 연결 확인

목적

엔드 투 엔드 연결을 확인합니다.

작업

PC1에서 인터넷으로 트레이스라우트를 핑하고 실행합니다. 예를 들어 인터넷은 192.168.10.254입니다.

  1. PC1에서 핑을 실행합니다.

  2. PC1에서 traceroute를 실행합니다.

의미

PC1은 인터넷에 연결할 수 있습니다.

릴리스 기록 테이블
릴리스
설명
19.2R1
릴리스 19.2R1 Junos OS 테넌트 시스템에서 구성된 가상 라우터는 , traceroute show ipv6 neighbors telnet ssh show arp clear arpclear ipv6 neighbors 명령에 대한 기본 라우팅 인스턴스 ping로 전달됩니다.