Flujo para sistemas de inquilinos
En este tema se explica cómo se procesan los paquetes en las sesiones de flujo en dispositivos configurados con sistemas inquilinos. Describe cómo el dispositivo que ejecuta sistemas de inquilinos administra el tráfico de paso entre los sistemas de inquilinos. En este tema también se trata el tráfico autónomo como tráfico autoiniciado dentro de un sistema de inquilinos y el tráfico autónomo que termina en otro sistema de inquilinos. Antes de abordar los sistemas de inquilinos, el tema proporciona información básica acerca de la arquitectura de la serie SRX con respecto al procesamiento de paquetes y las sesiones. Finalmente, aborda las sesiones y cómo cambiar las características de la sesión.
Creación de sesión para dispositivos que ejecutan sistemas de inquilinos
Se crea una sesión, basada en el enrutamiento y otra información de clasificación, para almacenar información y asignar recursos para un flujo. Básicamente, se establece una sesión cuando un tráfico entra en una interfaz del sistema de inquilinos, se realiza una búsqueda de ruta para identificar la interfaz del siguiente salto y se realiza una búsqueda de políticas.
Opcionalmente, los sistemas de inquilinos permiten configurar un conmutador de software interno. Un conmutador LAN privado virtual (VPLS) se implementa como una interconexión en el sistema de inquilinos. El VPLS permite que tanto el tráfico de tránsito como el tráfico terminado en un sistema de inquilinos pase entre sistemas de inquilinos. Para permitir que el tráfico pase entre los sistemas de inquilinos o entre el sistema de inquilinos y el sistema lógico, se usan interfaces de túnel lógico (lt-0/0/0) a través del sistema de inquilinos de interconexión.
La secuencia de paquetes se produce en las interfaces de entrada y salida. Es posible que los paquetes que atraviesan entre sistemas inquilinos no se procesen en el orden en que se recibieron en la interfaz física.
- Descripción de la clasificación de paquetes
- Descripción del conmutador VPLS y las interfaces de túnel lógico
- Manejo del tráfico de paso para sistemas de inquilinos
- Manejo del autotráfico
- Descripción del control de limitación de sesión y puerta
- Acerca de la configuración de sesiones
Descripción de la clasificación de paquetes
La clasificación de paquetes para un procesamiento basado en flujos se basa tanto en la interfaz física como en la interfaz lógica , y depende de la interfaz entrante. La clasificación de paquetes se realiza en el punto de entrada y, dentro de un flujo, el procesamiento basado en paquetes también tiene lugar en una SPU a veces.
La clasificación de paquetes se evalúa de la misma manera para los dispositivos configurados con o sin sistemas inquilinos. El tráfico de una interfaz dedicada se clasifica en el sistema de inquilinos que contiene esa interfaz. Los filtros y las características de clase de servicio suelen estar asociados a una interfaz para influir en qué paquetes pueden transitar el dispositivo y aplicar acciones especiales a los paquetes según sea necesario.
Descripción del conmutador VPLS y las interfaces de túnel lógico
En este tema se trata el sistema de inquilinos de interconexión que sirve como conmutador interno de servicio de LAN privada virtual (VPLS) que conecta un sistema de inquilinos del dispositivo con otro. En el tema también se explica cómo se usan las interfaces de túnel lógico (lt-0/0/0) para conectar sistemas de inquilinos a través del sistema de inquilinos de interconexión.
Un dispositivo que ejecute sistemas de inquilinos puede utilizar un conmutador VPLS interno para pasar tráfico sin que salga del dispositivo. Para que se produzca la comunicación entre los sistemas de inquilinos en el dispositivo, debe configurar una interfaz lt-0/0/0 en cada sistema de inquilinos que usará el conmutador interno y asociarla con su interfaz lt-0/0/0 par en el sistema de inquilinos de interconexión, creando efectivamente un túnel lógico entre ellos. Se define una relación par en cada extremo del túnel cuando se configuran las interfaces lt-0/0/0 del sistema de inquilinos.
Es posible que desee que todos los sistemas de inquilinos del dispositivo puedan comunicarse entre sí sin usar un conmutador externo. Como alternativa, es posible que desee que algunos sistemas de inquilinos se conecten a través del conmutador interno, pero no todos.
Si configura una interfaz lt-0/0/0 en cualquier sistema de inquilinos y no configura un conmutador VPLS que contenga una interfaz lt-0/0/0 par para ella, se producirá un error en la confirmación.
Un firewall serie SRX que ejecute sistemas de inquilinos se puede usar en un clúster de chasis y cada nodo tiene la misma configuración.
Cuando utilice firewalls de la serie SRX configurados con sistemas de inquilinos dentro de un clúster de chasis, debe comprar e instalar el mismo número de licencias para cada nodo del clúster de chasis. Las licencias de sistemas de inquilinos pertenecen a un único chasis, o nodo, dentro de un clúster de chasis y no al clúster colectivamente.
Manejo del tráfico de paso para sistemas de inquilinos
En el caso de los firewalls de la serie SRX que ejecutan sistemas de inquilinos, el tráfico de paso a través puede existir dentro de un sistema de inquilinos o entre sistemas de inquilinos.
Tráfico de paso entre sistemas de inquilinos
El tráfico de paso entre sistemas de inquilinos se complica por el hecho de que cada sistema de inquilinos tiene una interfaz de entrada y una interfaz de salida por la que el tráfico debe transitar. Es como si el tráfico entrara y saliera de dos dispositivos. Considere cómo se maneja el tráfico de paso a través entre los sistemas de inquilinos dada en la topología que se muestra en la Figura 1.
Se deben establecer dos sesiones para el tráfico de paso entre los sistemas de inquilinos. (Tenga en cuenta que la búsqueda de directivas se realiza en ambos sistemas de inquilinos).
En el sistema de inquilino entrante, se configura una sesión entre la interfaz de entrada (una interfaz física) y su interfaz de salida (una interfaz lt-0/0/0).
En el sistema de inquilino de salida, se configura otra sesión entre la interfaz de entrada (la interfaz lt-0/0/0 del segundo sistema de inquilino) y su interfaz de salida (una interfaz física).
Considere cómo se maneja el tráfico de paso a través de los sistemas de inquilinos en la topología que se muestra en la figura 1.
Se establece una sesión en el sistema de inquilinos entrantes.
Cuando un paquete llega a la interfaz ge-0/0/5, se identifica como perteneciente al sistema inquilino-producto-diseño.
Dado que ge-0/0/5 pertenece a la instancia de enrutamiento pd-vr1, la búsqueda de rutas se realiza en pd-vr1.
Como resultado de la búsqueda, la interfaz de salida para el paquete se identifica como lt-0/0/0.3 con el siguiente salto identificado como lt-0/0/0.5, que es la interfaz de entrada en el departamento de marketing de inquilinos.
Se establece una sesión entre ge-0/0/5 y lt-0/0/0.3.
Se establece una sesión en el sistema de inquilinos salientes.
El paquete se inyecta de nuevo en el flujo desde lt-0/0/0.5, y el contexto del sistema de inquilinos identificado como tenant-marketing-dept se deriva de la interfaz.
El procesamiento de paquetes continúa en el sistema de inquilinos del departamento de marketing de inquilinos.
Para identificar la interfaz de salida, la búsqueda de ruta del paquete se realiza en las instancias de enrutamiento mk-vr1.
La interfaz saliente se identifica como ge-0/0/6 y el paquete se transmite desde la interfaz a la red.
Manejo del autotráfico
El tráfico autónomo es el tráfico que se origina en un sistema de inquilinos en un dispositivo y se envía a la red desde ese sistema de inquilinos o finaliza en otro sistema de inquilinos del dispositivo.
Tráfico autoiniciado
El tráfico autoiniciado se genera desde un contexto del sistema de inquilinos de origen y se reenvía directamente a la red desde la interfaz del sistema de inquilinos.
Se produce el siguiente proceso:
Cuando se genera un paquete en un sistema de inquilinos, se inicia un proceso para controlar el tráfico en el sistema de inquilinos.
La búsqueda de ruta se realiza para identificar la interfaz de salida y se establece una sesión.
El sistema de inquilinos realiza una búsqueda de políticas y procesa el tráfico en consecuencia.
Considere cómo se maneja el tráfico autoiniciado en los sistemas de inquilinos dada la topología que se muestra en la figura 1.
Se genera un paquete en el sistema de inquilinos de diseño de producto de inquilino y se inicia un proceso para controlar el tráfico en el sistema de inquilinos.
La búsqueda de ruta se realiza en pd-vr2 y la interfaz de salida se identifica como ge-0/0/8.
Se establece una sesión.
El paquete se transmite a la red desde ge-0/0/8.
Tráfico terminado en un sistema de inquilinos
Cuando un paquete entra en el dispositivo en una interfaz que pertenece a un sistema inquilino y el paquete está destinado a otro sistema inquilino en el dispositivo, el paquete se reenvía entre los sistemas inquilinos de la misma manera que el tráfico de paso. Sin embargo, la búsqueda de ruta en el sistema de segundo inquilino identifica la interfaz de salida local como el destino del paquete. En consecuencia, el paquete termina en el segundo sistema inquilino como tráfico propio.
Para el tráfico propio terminado, se realizan dos búsquedas de políticas y se establecen dos sesiones.
En el sistema de inquilino entrante, se configura una sesión entre la interfaz de entrada (una interfaz física) y su interfaz de salida (una interfaz lt-0/0/0).
En el sistema de inquilinos de destino, se configura otra sesión entre la interfaz de entrada (la interfaz lt-0/0/0 del segundo sistema de inquilinos) y la interfaz local.
Considere cómo se maneja el tráfico propio terminado en los sistemas de inquilinos en la topología que se muestra en la figura 1.
Se establece una sesión en el sistema de inquilinos entrantes.
Cuando un paquete llega a la interfaz ge-0/0/5, se identifica como perteneciente al sistema inquilino-producto-diseño.
Dado que ge-0/0/5 pertenece a la instancia de enrutamiento pd-vr1, la búsqueda de rutas se realiza en pd-vr1.
Como resultado de la búsqueda, la interfaz de salida para el paquete se identifica como lt-0/0/0.3 con el siguiente salto identificado como lt-0/0/0.5, la interfaz de entrada en ls-marketing-dept.
Se establece una sesión entre ge-0/0/5 y lt-0/0/0.3.
Se establece una sesión de administración en el sistema de inquilinos de destino.
El paquete se inyecta de nuevo en el flujo desde lt-0/0/0.5, y el contexto del sistema de inquilinos identificado como tenant-marketing-dept se deriva de la interfaz.
El procesamiento de paquetes continúa en el sistema de inquilinos del departamento de marketing de inquilinos.
La búsqueda de ruta del paquete se realiza en la instancia de enrutamiento mk-vr1. El paquete termina en el sistema de inquilinos de destino como tráfico propio.
Descripción del control de limitación de sesión y puerta
Las sesiones se crean en función del enrutamiento y otra información de clasificación para almacenar información y asignar recursos para un flujo. El módulo de flujo de sistemas de inquilinos proporciona limitación de sesión y puerta para garantizar que estos recursos se compartan entre los sistemas de inquilinos. La asignación de recursos y las limitaciones para cada sistema inquilino se especifican en el perfil de seguridad enlazado al sistema inquilino.
Para la limitación de sesión, el sistema compara el primer paquete de una sesión con el número máximo de sesiones configuradas para el sistema inquilino. Cuando se alcanza el límite máximo de sesión, el dispositivo descarta el paquete y registra el evento.
Para la limitación de puertas, el dispositivo comprueba el primer paquete de una sesión con el número máximo de puertas configuradas para el sistema inquilino. Si se alcanza el número máximo de puertas para un sistema de inquilinos, el dispositivo rechaza la solicitud de apertura de puerta y registra el evento.
Acerca de la configuración de sesiones
Según el protocolo y el servicio, una sesión se programa con un valor de tiempo de espera. Por ejemplo, el tiempo de espera predeterminado para TCP es de 1800 segundos. El tiempo de espera predeterminado para UDP es de 60 segundos. Cuando se termina un flujo, se marca como no válido y su tiempo de espera se reduce a 10 segundos. Si ningún tráfico utiliza la opción Si ningún tráfico utiliza la sesión antes del tiempo de espera del servicio, la sesión caduca y se libera en un grupo de recursos común para su reutilización.
Puede afectar la duración de una sesión de las siguientes maneras:
Edad de las sesiones, en función de lo llena que esté la tabla de sesiones.
Establezca un tiempo de espera explícito para la antigüedad de las sesiones TCP.
Configure una sesión TCP para que se invalide cuando reciba un mensaje TCP RST (restablecimiento).
Puede configurar sesiones para adaptarse a otros sistemas de la siguiente manera:
Deshabilite las comprobaciones de seguridad de paquetes TCP.
Cambie el tamaño máximo del segmento.
Configuración de sistemas lógicos e interconexión de sistemas de inquilinos con varios conmutadores VPLS
En este ejemplo, se muestra cómo interconectar sistemas lógicos y sistemas inquilinos con varios conmutadores VPLS. Esto se logra configurando varios sistemas lógicos y sistemas inquilinos con más de una interfaz de túnel lógico (LT) bajo un sistema inquilino y múltiples conmutadores VPLS configurados para pasar el tráfico sin salir de un firewall de la serie SRX.
Requisitos
En este ejemplo se utiliza un firewall de la serie SRX que ejecuta Junos OS con sistemas lógicos y sistemas de inquilinos.
Visión general
En este ejemplo, configuramos varias interfaces LT y varios conmutadores VPLS en un solo sistema de inquilinos.
En este ejemplo, también configuramos la interconexión entre varios sistemas lógicos y sistemas inquilinos con conexiones punto a punto de interfaz LT (Ethernet de encapsulación y relé de trama de encapsulación).
Para sistemas lógicos interconectados y sistemas de inquilinos con varios conmutadores VPLS, en este ejemplo se configuran interfaces de túnel lógico lt-0/0/0 con ethernet-vpls como tipo de encapsulación. Las interfaces lt-0/0/0 pares correspondientes y los perfiles de seguridad se asignan a los sistemas lógicos y a los sistemas inquilinos. La instancia de enrutamiento para los conmutadores VPLS-1 y VPLS-2 también se asignan a los sistemas lógicos y a los sistemas inquilinos.
La figura 2 muestra la topología de los sistemas lógicos interconectados y los sistemas de inquilinos con varios conmutadores VPLS.
Configuración
Para configurar interfaces para el sistema lógico y el sistema inquilino, realice estas tareas:
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set interfaces lt-0/0/0 unit 11 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 11 peer-unit 1 set interfaces lt-0/0/0 unit 12 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 12 peer-unit 2 set interfaces lt-0/0/0 unit 13 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 13 peer-unit 3 set interfaces lt-0/0/0 unit 23 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 23 peer-unit 22 set interfaces lt-0/0/0 unit 25 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 25 peer-unit 24 set routing-instances vpls-switch-1 instance-type vpls set routing-instances vpls-switch-1 interface lt-0/0/0.11 set routing-instances vpls-switch-1 interface lt-0/0/0.12 set routing-instances vpls-switch-1 interface lt-0/0/0.13 set routing-instances vpls-switch-2 instance-type vpls set routing-instances vpls-switch-2 interface lt-0/0/0.23 set routing-instances vpls-switch-2 interface lt-0/0/0.25 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 11 set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 192.168.0.1/24 set interfaces lt-0/0/0 unit 2 encapsulation ethernet set interfaces lt-0/0/0 unit 2 peer-unit 12 set interfaces lt-0/0/0 unit 2 family inet address 192.168.0.2/24 set interfaces lt-0/0/0 unit 22 encapsulation ethernet set interfaces lt-0/0/0 unit 22 peer-unit 23 set interfaces lt-0/0/0 unit 22 family inet address 192.168.4.1/30 set tenants TSYS1 routing-instances vr11 instance-type virtual-router set tenants TSYS1 routing-instances vr11 interface lt-0/0/0.2 set tenants TSYS1 routing-instances vr11 interface lt-0/0/0.22 set interfaces lt-0/0/0 unit 3 encapsulation ethernet set interfaces lt-0/0/0 unit 3 peer-unit 13 set interfaces lt-0/0/0 unit 3 family inet address 192.168.0.3/24 set tenants TSYS2 routing-instances vr12 instance-type virtual-router set tenants TSYS2 routing-instances vr12 interface lt-0/0/0.3 set logical-systems LSYS2 interfaces lt-0/0/0 unit 24 encapsulation ethernet set logical-systems LSYS2 interfaces lt-0/0/0 unit 24 peer-unit 25 set logical-systems LSYS2 interfaces lt-0/0/0 unit 24 family inet address 192.168.4.2/30 set system security-profile SP-user policy maximum 100 set system security-profile SP-user policy reserved 50 set system security-profile SP-user zone maximum 60 set system security-profile SP-user zone reserved 10 set system security-profile SP-user flow-session maximum 100 set system security-profile SP-user flow-session reserved 50 set system security-profile SP-user logical-system LSYS1 set system security-profile SP-user tenant TSYS1 set system security-profile SP-user tenant TSYS2 set system security-profile SP-user logical-system LSYS2
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Configure las interfaces lt-0/0/0.
[edit] user@host# set interfaces lt-0/0/0 unit 11 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 11 peer-unit 1 user@host# set interfaces lt-0/0/0 unit 12 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 12 peer-unit 2 user@host# set interfaces lt-0/0/0 unit 13 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 13 peer-unit 3 user@host# set interfaces lt-0/0/0 unit 23 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 23 peer-unit 22 user@host# set interfaces lt-0/0/0 unit 25 encapsulation ethernet-vpls user@host# set interfaces lt-0/0/0 unit 25 peer-unit 24
Configure la instancia de enrutamiento para los conmutadores VPLS y agréguele interfaces.
[edit] user@host# set routing-instances vpls-switch-1 instance-type vpls user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.11 user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.12 user@host# set routing-instances vpls-switch-1 interface lt-0/0/0.13 user@host# set routing-instances vpls-switch-2 instance-type vpls user@host# set routing-instances vpls-switch-2 interface lt-0/0/0.23 user@host# set routing-instances vpls-switch-2 interface lt-0/0/0.25
Configure LSYS1 con interfaz lt-0/0/0.1 y par lt-0/0/0.11.
[edit] user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 encapsulation ethernet user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 peer-unit 11 user@host# set logical-systems LSYS1 interfaces lt-0/0/0 unit 1 family inet address 192.168.0.1/24
Configure TSYS1 con interfaz lt-0/0/0.2 y par lt-0/0/0.12.
[edit] user@host# set interfaces lt-0/0/0 unit 2 encapsulation ethernet user@host# set interfaces lt-0/0/0 unit 2 peer-unit 12 user@host# set interfaces lt-0/0/0 unit 2 family inet address 192.168.0.2/24 user@host# set interfaces lt-0/0/0 unit 22 encapsulation ethernet user@host# set interfaces lt-0/0/0 unit 22 peer-unit 23 user@host# set interfaces lt-0/0/0 unit 22 family inet address 192.168.4.1/30 user@host# set tenants TSYS1 routing-instances vr11 instance-type virtual-router user@host# set tenants TSYS1 routing-instances vr11 interface lt-0/0/0.2 user@host# set tenants TSYS1 routing-instances vr11 interface lt-0/0/0.22
Configurar TSYS2 con interfaz lt-0/0/0.3 y par lt-0/0/0.13
[edit] user@host# set interfaces lt-0/0/0 unit 3 encapsulation ethernet user@host# set interfaces lt-0/0/0 unit 3 peer-unit 13 user@host# set interfaces lt-0/0/0 unit 3 family inet address 192.168.0.3/24 user@host# set tenants TSYS2 routing-instances vr12 instance-type virtual-router user@host# set tenants TSYS2 routing-instances vr12 interface lt-0/0/0.3
Configure LSYS2 con interfaz lt-0/0/0 y unidad par 24.
[edit] user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 24 encapsulation ethernet user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 24 peer-unit 25 user@host# set logical-systems LSYS2 interfaces lt-0/0/0 unit 24 family inet address 192.168.4.2/30
Asigne un perfil de seguridad para los sistemas lógicos.
[edit] user@host# set system security-profile SP-user policy maximum 100 user@host# set system security-profile SP-user policy reserved 50 user@host# set system security-profile SP-user zone maximum 60 user@host# set system security-profile SP-user zone reserved 10 user@host# set system security-profile SP-user flow-session maximum 100 user@host#set system security-profile SP-user flow-session reserved 50 user@host# set system security-profile SP-user logical-system LSYS1 user@host# set system security-profile SP-user tenant TSYS1 user@host# set system security-profile SP-user tenant TSYS2 user@host# set system security-profile SP-user logical-system LSYS2
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el
show interfaces lt-0/0/0comando , Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlaunit 2 { encapsulation ethernet; peer-unit 12; family inet { address 192.168.0.2/24; } } unit 3 { encapsulation ethernet; peer-unit 13; family inet { address 192.168.0.3/24; } } unit 11 { encapsulation ethernet-vpls; peer-unit 1; } unit 12 { encapsulation ethernet-vpls; peer-unit 2; } unit 13 { encapsulation ethernet-vpls; peer-unit 3; } unit 22 { encapsulation ethernet; peer-unit 23; family inet { address 192.168.4.1/30; } } unit 23 { encapsulation ethernet-vpls; peer-unit 22; } unit 25 { encapsulation ethernet-vpls; peer-unit 24; }Desde el modo de configuración, confirme la configuración introduciendo el
show routing-instancescomando , Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.[edit] user@host# show routing-instances vpls-switch-1 { instance-type vpls; interface lt-0/0/0.11; interface lt-0/0/0.12; interface lt-0/0/0.13; } vpls-switch-2 { instance-type vpls; interface lt-0/0/0.23; interface lt-0/0/0.25; }Desde el modo de configuración, confirme la configuración introduciendo el
show logical-systems LSYS1comando , Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.[edit] user@host# show logical-systems LSYS1 interfaces { lt-0/0/0 { unit 1 { encapsulation ethernet; peer-unit 11; family inet { address 192.168.0.1/24; } } } }Desde el modo de configuración, confirme la configuración introduciendo el
show logical-systems LSYS2comando , Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.[edit] user@host# show tenants TSYS1 routing-instances { vr11 { instance-type virtual-router; interface lt-0/0/0.2; interface lt-0/0/0.22; } }Desde el modo de configuración, confirme la configuración introduciendo el
show logical-systems LSYS3comando , Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.[edit] user@host# show tenants TSYS2 routing-instances { vr12 { instance-type virtual-router; interface lt-0/0/0.3; } }Desde el modo de configuración, confirme la configuración introduciendo el
show logical-systems LSYS2comando , Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.[edit] user@host# show logical-systems LSYS2 interfaces { lt-0/0/0 { unit 24 { encapsulation ethernet; peer-unit 25; family inet { address 192.168.4.2/30; } } } }Desde el modo de configuración, confirme la configuración introduciendo el
show system security-profilecomando , Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.[edit] user@host# show system security-profile SP-user { policy { maximum 100; reserved 50; } zone { maximum 60; reserved 10; } flow-session { maximum 100; reserved 50; } logical-system [ LSYS1 LSYS2 ]; tenant [ TSYS1 TSYS2 ]; }
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificación del perfil de seguridad para sistemas lógicos
- Verificación de las interfaces LT para sistemas lógicos
Verificación del perfil de seguridad para sistemas lógicos
Propósito
Compruebe el perfil de seguridad de cada sistema lógico.
Acción
Desde el modo operativo, ingrese el show system security-profile security-log-stream-number logical-system all comando.
user@host> show system security-profile assignment summary
Total Maximum security-profiles 1 65 logical-systems 1 32 tenants 0 32 logical-systems and tenants 1 64
Significado
El resultado proporciona los valores de uso y reservados para los sistemas lógicos cuando se configura security-log-stream.
Verificación de las interfaces LT para sistemas lógicos
Propósito
Compruebe las interfaces para los sistemas lógicos.
Acción
Desde el modo operativo, ingrese el show interfaces lt-0/0/0 terse comando.
user@host> show interfaces lt-0/0/0 terse
Interface Admin Link Proto Local Remote lt-0/0/0 up up lt-0/0/0.1 up up inet 192.168.0.1/24 lt-0/0/0.2 up up inet 192.168.0.2/24 lt-0/0/0.3 up up inet 192.168.0.3/24 lt-0/0/0.11 up up vpls lt-0/0/0.12 up up vpls lt-0/0/0.13 up up vpls lt-0/0/0.22 up up inet 192.168.4.1/30 lt-0/0/0.23 up up vpls lt-0/0/0.24 up up inet 192.168.4.2/30 lt-0/0/0.25 up up vpls lt-0/0/0.32767 up up
Significado
El resultado proporciona el estado de las interfaces LT. Todas las interfaces LT están activas.
Configuración de sistemas de inquilinos Interconexión con interfaz de túnel lógico conexión punto a punto
En este ejemplo se muestra cómo interconectar sistemas de inquilinos con interfaces de túnel lógico (LT) en una conexión punto a punto.
Requisitos
En este ejemplo se utiliza un firewall de la serie SRX que ejecuta Junos OS con sistemas lógicos y sistemas de inquilinos.
Visión general
En este ejemplo, mostramos cómo interconectar sistemas de inquilinos con una interfaz de túnel lógico (LT) en una conexión punto a punto.
Para los sistemas de inquilinos interconectados con una interfaz LT de conexión punto a punto (encapsulation frame-relay), en este ejemplo se configura la interfaz de túnel lógico lt-0/0/0. En este ejemplo se configura la zona de seguridad y se asignan interfaces a los sistemas lógicos.
La interfaz lt-0/0/0 del sistema lógico interconectado está configurada con frame-relay como tipo de encapsulación. Las interfaces del mismo nivel lt-0/0/0 correspondientes en los sistemas de inquilinos están configuradas con frame-relay como tipo de encapsulación. Se asigna un perfil de seguridad a los sistemas de inquilinos.
La figura 3 muestra la topología de los sistemas de inquilinos interconectados con una interfaz LT de conexión punto a punto.
LT de conexión punto a punto
Configuración
Para configurar la zona de seguridad y asignar interfaces a los sistemas de inquilinos, realice estas tareas:
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set system security-profile sp1 tenant TSYS1 set system security-profile sp2 tenant TSYS1A set interfaces xe-0/0/5 gigether-options redundant-parent reth0 set interfaces xe-0/0/6 gigether-options redundant-parent reth1 set interfaces xe-1/0/5 gigether-options redundant-parent reth0 set interfaces xe-1/0/6 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 2 set interfaces reth1 redundant-ether-options redundancy-group 1 set interfaces lt-0/0/0 unit 20 encapsulation ethernet set interfaces lt-0/0/0 unit 20 peer-unit 21 set interfaces lt-0/0/0 unit 20 family inet address 198.51.1.20/24 set interfaces reth0 unit 0 family inet address 198.51.100.1/24 set interfaces lt-0/0/0 unit 21 encapsulation ethernet set interfaces lt-0/0/0 unit 21 peer-unit 20 set interfaces lt-0/0/0 unit 21 family inet address 198.51.1.21/24 set interfaces reth1 unit 0 family inet address 192.0.2.1/24 set tenants TSYS1 routing-instances vr11 instance-type virtual-router set tenants TSYS1 routing-instances vr11 interface lt-0/0/0.20 set tenants TSYS1 routing-instances vr11 interface reth0.0 set tenants TSYS1 routing-instances vr11 routing-options static route 192.0.2.0/24 next-hop 198.51.1.21 set tenants TSYS1 security policies default-policy permit-all set tenants TSYS1 security zones security-zone trust host-inbound-traffic system-services all set tenants TSYS1 security zones security-zone trust host-inbound-traffic protocols all set tenants TSYS1 security zones security-zone trust interfaces reth0.0 set tenants TSYS1 security zones security-zone untrust host-inbound-traffic system-services all set tenants TSYS1 security zones security-zone untrust host-inbound-traffic protocols all set tenants TSYS1 security zones security-zone untrust interfaces lt-0/0/0.20 set tenants TSYS1A routing-instances vr12 instance-type virtual-router set tenants TSYS1A routing-instances vr12 interface lt-0/0/0.21 set tenants TSYS1A routing-instances vr12 interface reth1.0 set tenants TSYS1A routing-instances vr12 routing-options static route 198.51.100.0/24 next-hop 198.51.1.20 set tenants TSYS1A security policies default-policy permit-all set tenants TSYS1A security zones security-zone trust host-inbound-traffic system-services all set tenants TSYS1A security zones security-zone trust host-inbound-traffic protocols all set tenants TSYS1A security zones security-zone trust interfaces reth1.0 set tenants TSYS1A security zones security-zone untrust host-inbound-traffic system-services all set tenants TSYS1A security zones security-zone untrust host-inbound-traffic protocols all set tenants TSYS1A security zones security-zone untrust interfaces lt-0/0/0.21
Configuración de [item]
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Defina un perfil de seguridad sp1 y asígnelo a un sistema inquilino TNI. Definir otro perfil de seguridad sp1 y asignarlo a un sistema de inquilinos TSYS1A
[edit] user@host# set system security-profile sp1 tenant TSYS1 user@host# set system security-profile sp2 tenant TSYS1A
Establezca la interfaz para reth0 y reth1 y asígnela al grupo de redundancia 1 y al grupo de redundancia 2.
[edit] set interfaces xe-0/0/5 gigether-options redundant-parent reth0 set interfaces xe-0/0/6 gigether-options redundant-parent reth1 set interfaces xe-1/0/5 gigether-options redundant-parent reth0 set interfaces xe-1/0/6 gigether-options redundant-parent reth1 set interfaces reth0 redundant-ether-options redundancy-group 2 set interfaces reth1 redundant-ether-options redundancy-group 1
Establezca la interfaz LT como Ethernet de encapsulación en el sistema de inquilinos TSYS1.
[edit] user@host# set interfaces lt-0/0/0 unit 20 encapsulation ethernet
Configure una relación de unidad par entre interfaces LT, creando así una conexión punto a punto.
[edit] user@host# set interfaces lt-0/0/0 unit 20 peer-unit 21
Especifique la dirección IP para la interfaz LT.
[edit] user@host# set interfaces lt-0/0/0 unit 20 family inet address 198.51.1.20/24
Especifique la dirección IP para reth0.
[edit] user@host# set interfaces reth0 unit 0 family inet address 198.51.100.1/24
Establezca la interfaz LT como Ethernet de encapsulación en el sistema de inquilinos TSYS1A.
[edit] user@host# set interfaces lt-0/0/0 unit 21 encapsulation ethernet
Configure una relación de unidad par entre interfaces LT, creando así una conexión punto a punto.
[edit] user@host# set interfaces lt-0/0/0 unit 21 peer-unit 20
Especifique la dirección IP para la interfaz LT.
[edit] user@host# set interfaces lt-0/0/0 unit 21 family inet address 198.51.1.21/24
Especifique la dirección IP para el reth1.
[edit] user@host# set interfaces reth1 unit 0 family inet address 192.0.2.1/24
Defina las instancias de enrutamiento para TSYS1.
[edit] set tenants TSYS1 routing-instances vr11 instance-type virtual-router set tenants TSYS1 routing-instances vr11 interface lt-0/0/0.20 set tenants TSYS1 routing-instances vr11 interface reth0.0 set tenants TSYS1 routing-instances vr11 routing-options static route 192.0.2.0/24 next-hop 198.51.1.21
Configure una política de seguridad que permita todos los tráficos.
[edit] user@host# set tenants TSYS1 security policies default-policy permit-all
Configure zonas de seguridad.
[edit] set tenants TSYS1 security zones security-zone trust host-inbound-traffic system-services all set tenants TSYS1 security zones security-zone trust host-inbound-traffic protocols all set tenants TSYS1 security zones security-zone trust interfaces reth0.0 set tenants TSYS1 security zones security-zone untrust host-inbound-traffic system-services all set tenants TSYS1 security zones security-zone untrust host-inbound-traffic protocols all set tenants TSYS1 security zones security-zone untrust interfaces lt-0/0/0.20
Defina las instancias de enrutamiento para TSYS1A.
[edit] set tenants TSYS1A routing-instances vr12 instance-type virtual-router set tenants TSYS1A routing-instances vr12 interface lt-0/0/0.21 set tenants TSYS1A routing-instances vr12 interface reth1.0 set tenants TSYS1A routing-instances vr12 routing-options static route 198.51.100.0/24 next-hop 198.51.1.20
Configure una política de seguridad que permita todos los tráficos.
[edit] set tenants TSYS1A security policies default-policy permit-all
Configure zonas de seguridad.
[edit] set tenants TSYS1A security zones security-zone trust host-inbound-traffic system-services all set tenants TSYS1A security zones security-zone trust host-inbound-traffic protocols all set tenants TSYS1A security zones security-zone trust interfaces reth1.0 set tenants TSYS1A security zones security-zone untrust host-inbound-traffic system-services all set tenants TSYS1A security zones security-zone untrust host-inbound-traffic protocols all set tenants TSYS1A security zones security-zone untrust interfaces lt-0/0/0.21
Resultados
Desde el modo de configuración, confirme su configuración introduciendo los
show tenants TSYS1comandos. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.[edit] user@host# show tenants TSYS1 routing-instances { vr11 { instance-type virtual-router; interface lt-0/0/0.20; interface reth0.0; routing-options { static { route 192.0.2.0/24 next-hop 198.51.1.21; } } } } security { policies { default-policy { permit-all; } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth0.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.20; } } } }
Desde el modo de configuración, confirme su configuración introduciendo los
show tenants TSYS1Acomandos. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.[edit] user@host# show tenants TSYS1A routing-instances { vr12 { instance-type virtual-router; interface lt-0/0/0.21; interface reth1.0; routing-options { static { route 198.51.100.0/24 next-hop 198.51.1.20; } } } } security { policies { default-policy { permit-all; } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { reth1.0; } } security-zone untrust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.21; } } } }
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Comprobación del perfil de seguridad para todos los sistemas de inquilinos
Propósito
Compruebe el perfil de seguridad de cada sistema lógico.
Acción
Desde el modo operativo, ingrese el show system security-profile zone tenant al comando.
user@host> show system security-profile zone tenant al
logical-system tenant name security profile name usage reserved maximum T1 bronze 1 0 2048 T1A pX 0 0 2048
Significado
El resultado proporciona los valores de uso y reservados para los sistemas lógicos cuando se configura security-log-stream.
Configuración de la interconexión del sistema lógico y del sistema de inquilinos con una conexión punto a punto de interfaz de túnel lógico
En este ejemplo se muestra cómo interconectar sistemas lógicos y sistemas inquilinos con interfaz de túnel lógico (LT) en una conexión punto a punto.
Requisitos
En este ejemplo se utiliza un firewall de la serie SRX que ejecuta Junos OS con sistemas lógicos y sistemas de inquilinos.
Visión general
En este ejemplo, mostramos cómo interconectar sistemas lógicos y sistemas inquilinos con una interfaz de túnel lógico (LT) de conexión punto a punto.
Para el sistema lógico de interconexión y el sistema inquilino con una interfaz LT de conexión punto a punto, en el ejemplo se configuran las interfaces de túnel lógico lt-0/0/0. En este ejemplo se configura la zona de seguridad y se asignan interfaces a los sistemas lógicos
Para interconectar el sistema lógico y el sistema del inquilino, las interfaces lt-0/0/0 se configuran con Ethernet como tipo de encapsulación. Las interfaces del par lt-0/0/0 correspondientes están configuradas con Ethernet como tipo de encapsulación. Se asigna un perfil de seguridad al sistema lógico y al sistema de inquilinos
La figura 4 muestra la topología de los sistemas lógicos interconectados y los sistemas inquilinos con interfaz LT de conexión punto a punto.
LT de conexión punto a punto
Configuración
Para configurar la zona de seguridad y asignar interfaces a sistemas lógicos, realice estas tareas:
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set system security-profile SP-user tenant TSYS2 set interfaces lt-0/0/0 unit 30 encapsulation ethernet set interfaces lt-0/0/0 unit 30 peer-unit 31 set interfaces lt-0/0/0 unit 30 family inet address 192.255.2.1/30 set tenants TSYS2 routing-instances vr11 instance-type virtual-router set tenants TSYS2 routing-instances vr11 interface lt-0/0/0.30 set security zones security-zone LT interfaces lt-0/0/0.30 set system security-profile SP-user logical-system LSYS3A set logical-systems LSYS3A interfaces lt-0/0/0 unit 21 encapsulation ethernet set logical-systems LSYS3A interfaces lt-0/0/0 unit 21 peer-unit 20 set logical-systems LSYS3A interfaces lt-0/0/0 unit 21 family inet address 192.255.2.2/30 set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match source-address any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match destination-address any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match application any set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT then permit set logical-systems LSYS3A security policies default-policy permit-all set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic system-services all set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic protocols all set logical-systems LSYS3A security zones security-zone LT interfaces lt-0/0/0.31
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Defina un perfil de seguridad y asígnelo a un sistema de inquilinos.
[edit] user@host# set system security-profile SP-user tenant TSYS2
Establezca la interfaz LT como Ethernet de encapsulación en el sistema inquilino.
[edit] user@host# set interfaces lt-0/0/0 unit 20 encapsulation ethernet
Configure una relación par para los sistemas de inquilinos TSYS2.
[edit] user@host# set interfaces lt-0/0/0 unit 20 peer-unit 21
Especifique la dirección IP para la interfaz LT.
[edit] user@host# set interfaces lt-0/0/0 unit 20 family inet address 192.255.2.1/30
Establezca la zona de seguridad para la interfaz LT.
[edit] user@host# set logical-systems LSYS2 security zones security-zone LT interfaces lt-0/0/0.30
Defina un perfil de seguridad y asígnelo a un sistema lógico.
[edit] user@host# set system security-profile SP-user logical-system LSYS3A
Defina las instancias de enrutamiento para TSYS2.
[edit] set tenants TSYS2 routing-instances vr11 instance-type virtual-router set tenants TSYS2 routing-instances vr11 interface lt-0/0/0.30
Establezca la interfaz LT como Ethernet de encapsulación en el sistema lógico 3A.
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 21 encapsulation ethernet
Configure una relación par para sistemas lógicos LSYS3A.
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 21 peer-unit 20
Especifique la dirección IP para la interfaz LT.
[edit] user@host# set logical-systems LSYS3A interfaces lt-0/0/0 unit 21 family inet address 192.255.2.2/30
Configure una política de seguridad que permita el tráfico desde la zona LT a la zona LT de política LT.
[edit] user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match source-address any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match destination-address any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT match application any user@host# set logical-systems LSYS3A security policies from-zone LT to-zone LT policy LT then permit
Configure una política de seguridad que permita el tráfico desde default-policy.
[edit] user@host# set logical-systems LSYS3A security policies default-policy permit-all
Configure zonas de seguridad.
[edit] user@host# set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic system-services all user@host# set logical-systems LSYS3A security zones security-zone LT host-inbound-traffic protocols all user@host# set logical-systems LSYS3A security zones security-zone LT interfaces lt-0/0/0.31
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el
show tenants TSYS2comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.[edit] user@host# show tenants TSYS2 routing-instances { vr11 { instance-type virtual-router; interface lt-0/0/0.30; } }Desde el modo de configuración, confirme la configuración introduciendo el
show logical-systems LSYS3Acomando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.[edit] user@host# show logical-systems LSYS3A interfaces { lt-0/0/0 { unit 21 { encapsulation ethernet; peer-unit 20; family inet { address 192.255.2.2/30; } } } } security { policies { from-zone LT to-zone LT { policy LT { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { permit-all; } } zones { security-zone LT { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { lt-0/0/0.31; } } } }
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Comprobación de las interfaces LT para todos los sistemas lógicos y de inquilinos
- Verificación del perfil de seguridad para todos los sistemas lógicos
Comprobación de las interfaces LT para todos los sistemas lógicos y de inquilinos
Propósito
Compruebe las interfaces para los sistemas lógicos.
Acción
Desde el modo operativo, ingrese el show system security-profile zone all-logical-systems-tenants comando.
user@host> show system security-profile zone all-logical-systems-tenants
logical-system tenant name security profile name usage reserved maximum root-logical-system Default-Profile 1 0 2048 LSYS3A1 gold 1 0 2048 TSYS23 bronze 1 0 2048
Significado
El resultado proporciona el estado de las interfaces LT. Todas las interfaces LT están activas.
Verificación del perfil de seguridad para todos los sistemas lógicos
Propósito
Compruebe el perfil de seguridad de cada sistema lógico.
Acción
Desde el modo operativo, ingrese el show system security-profile security-log-stream-number logical-system all comando.
user@host> show system security-profile security-log-stream-number logical-system all
logical system name security profile name usage reserved maximum root-logical-system Default-Profile 2 0 2000 LSYS3A SP-user 1 10 60
Significado
El resultado proporciona los valores de uso y reservados para los sistemas lógicos cuando se configura security-log-stream.