Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general de Logical Systems

Los sistemas lógicos le permiten dividir un único dispositivo en varios contextos seguros que realizan tareas independientes. Para obtener más información, consulte los temas siguientes:

Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas.

Revise la sección Comportamiento del sistema lógico específico de la plataforma para ver notas relacionadas con la plataforma.

Descripción de los sistemas lógicos para firewalls de la serie SRX

Los sistemas lógicos para firewalls de la serie SRX le permiten particionar un solo dispositivo en contextos seguros. Cada sistema lógico tiene su propio dominio administrativo discreto, interfaces lógicas, instancias de enrutamiento, firewall de seguridad y otras funciones de seguridad. Al transformar un firewall de la serie SRX en un dispositivo de sistemas lógicos multitenencia, puede dar a varios departamentos, organizaciones, clientes y socios, dependiendo de su entorno, un uso privado de partes de sus recursos y una vista privada del dispositivo. Mediante el uso de sistemas lógicos, puede compartir recursos del sistema y de la máquina física subyacente entre los sistemas lógicos de usuario discretos y el sistema lógico primario.

En la parte superior de la Figura 1 se muestran los tres componentes principales de configuración de un sistema lógico. En la parte inferior de la figura se muestra un único dispositivo con un sistema lógico principal y sistemas lógicos de usuario discretos.

Los sistemas lógicos incluyen sistemas lógicos primarios y de usuario y sus administradores. Las funciones y responsabilidades del administrador principal y las de un administrador de sistema lógico de usuario difieren mucho. Esta diferenciación de privilegios y responsabilidades se considera administración y control basados en roles.

Figura 1: Descripción de los sistemas lógicos Hierarchical structure of a network device showing security, network, and routing configurations with master and user logical systems.

Los sistemas lógicos en los firewalls de la serie SRX ofrecen muchos beneficios, lo que le permite:

  • Reduzca los costos. Con los sistemas lógicos, puede reducir la cantidad de dispositivos físicos necesarios para su empresa. Dado que puede consolidar servicios para varios grupos de usuarios en un solo dispositivo, reduce tanto los costos de hardware como el gasto de energía.

  • Cree muchos sistemas lógicos en un solo dispositivo y aprovisione recursos y servicios para ellos rápidamente. Dado que los servicios convergen, es más fácil para el administrador principal, o raíz, administrar un único dispositivo configurado para sistemas lógicos que administrar muchos dispositivos discretos.

Puede desplegar un firewall de la serie SRX que ejecute sistemas lógicos en muchos entornos, en particular, en la empresa y en el centro de datos.

  • En la empresa, puede crear y aprovisionar sistemas lógicos para varios departamentos y grupos.

    Puede configurar sistemas lógicos para habilitar la comunicación entre grupos que comparten el dispositivo. Cuando se crean sistemas lógicos para varios departamentos en el mismo dispositivo, los usuarios pueden comunicarse entre sí sin que el tráfico salga del dispositivo si configuró un sistema lógico de interconexión para que sirva como conmutador interno. Por ejemplo, los miembros del grupo de diseño de productos, el departamento de marketing y el departamento de contabilidad que comparten una puerta de enlace de enlace de servicios de la serie SRX que ejecutan sistemas lógicos pueden comunicarse entre sí tal como lo harían si se implementaran dispositivos separados para sus departamentos. Puede configurar sistemas lógicos para que se interconecten a través de interfaces internas de túnel lógico (lt-0/0/0). Las interfaces lt-0/0/0 del sistema lógico de interconexión se conectan a una interfaz lt-0/0/0 que se configura para cada sistema lógico. El sistema lógico de interconexión cambia el tráfico entre sistemas lógicos. El firewall de la serie SRX que ejecuta sistemas lógicos proporciona una interacción alta y rápida entre todos los sistemas lógicos creados en el dispositivo cuando se usa un sistema lógico de interconexión.

    Los sistemas lógicos en el mismo dispositivo también pueden comunicarse entre sí directamente a través de puertos en el dispositivo, como si fueran dispositivos separados. Aunque este método permite conexiones directas entre sistemas lógicos, consume más recursos (debe configurar interfaces y un conmutador externo) y, por lo tanto, es más costoso.

  • En el centro de datos, como proveedor de servicios, puede desplegar un firewall de la serie SRX que ejecuta sistemas lógicos para ofrecer a sus clientes sistemas lógicos de usuario seguros y privados y un uso discreto de los recursos del dispositivo.

    Por ejemplo, una corporación puede requerir 10 sistemas lógicos de usuario y otra puede requerir 20. Dado que los sistemas lógicos son seguros, privados y autónomos, los administradores o usuarios de otros sistemas lógicos no pueden ver los datos que pertenecen a un sistema lógico. Es decir, los empleados de una corporación no pueden ver los sistemas lógicos de otra corporación.

Nota:

Para usar el conmutador interno, que es opcional, también debe configurar un sistema lógico de interconexión. El sistema lógico de interconexión no requiere un administrador.

Ver también

Características y limitaciones de los sistemas lógicos

En este tema se trata información básica acerca de las características y limitaciones de los sistemas lógicos.

  • Puede configurar hasta 32 perfiles de seguridad, del 1 al 32, con el ID 0 reservado para el perfil de seguridad predeterminado configurado internamente. Cuando se alcanza el número máximo de perfiles de seguridad, si desea agregar un nuevo perfil de seguridad, primero debe eliminar uno o varios perfiles de seguridad existentes, confirmar la configuración y, luego, crear el nuevo perfil de seguridad y confirmarlo. No puede agregar un nuevo perfil de seguridad y eliminar uno existente con una sola confirmación de configuración.

    Si desea agregar más de un perfil de seguridad nuevo, se aplica la misma regla. Primero debe eliminar el número equivalente de perfiles de seguridad existentes, confirmar la configuración y, luego, crear los nuevos perfiles de seguridad y confirmar la configuración.

  • Puede configurar uno o varios administradores principales para supervisar la administración del dispositivo y los sistemas lógicos que configuran.

    Como administrador principal de una puerta de enlace de servicios de la serie SRX que ejecuta sistemas lógicos, tiene control raíz sobre el dispositivo, sus recursos y los sistemas lógicos que crea. Usted asigna recursos de seguridad, redes y enrutamiento a los sistemas lógicos de usuario. Puede configurar un sistema lógico para que sirva como conmutador de servicio LAN privado virtual (VPLS) del sistema lógico de interconexión. El sistema lógico de interconexión, que no es obligatorio, no requiere recursos de seguridad. Sin embargo, si configura un sistema lógico de interconexión, debe enlazar un perfil de seguridad ficticio a él. El administrador principal lo configura junto con todas las interfaces lt-0/0/0 para él.

  • Un sistema lógico de usuario puede tener uno o más administradores, denominados administradores del sistema lógico de usuario. El administrador principal crea cuentas de inicio de sesión para estos administradores y las asigna a un sistema lógico de usuario. Actualmente, el administrador principal debe configurar todos los administradores del sistema lógico de usuario. El primer administrador lógico de usuario asignado no puede configurar administradores de sistema lógico de usuario adicionales para su sistema lógico. Como administrador de un sistema lógico de usuario, puede configurar los recursos asignados al sistema lógico de usuario, incluidas las interfaces lógicas asignadas por el administrador principal, las instancias de enrutamiento y sus rutas, y los componentes de seguridad. Solo puede mostrar la información de configuración del sistema lógico.

  • Un sistema lógico puede incluir más de una instancia de enrutamiento según los recursos del sistema disponibles.

  • No puede configurar la clase de servicio en interfaces lt-0/0/0.

  • La reversión de confirmación solo se admite a nivel de raíz.

  • La clasificación de la calidad del servicio (QoS) en sistemas lógicos interconectados no funciona.

  • El administrador principal puede configurar puertas de enlace de capa de aplicación (ALG) en el nivel raíz. Todos los sistemas lógicos del usuario heredan la configuración. Los ALG también se pueden configurar discretamente para sistemas lógicos de usuario.

  • El administrador principal puede configurar políticas de DPI en el nivel de raíz y, luego, aplicar una política de DPI a un sistema lógico de usuario.

  • Solo el administrador principal puede crear cuentas de usuario e ID de inicio de sesión para los usuarios de todos los sistemas lógicos. El administrador principal crea estas cuentas de usuario en el nivel raíz y las asigna a los sistemas lógicos de usuario adecuados.

  • El mismo nombre no se puede utilizar en dos sistemas lógicos independientes. Por ejemplo, si logical-system1 incluye un usuario con Bob configurado como nombre de usuario, otros sistemas lógicos del dispositivo no pueden incluir un usuario con el nombre de usuario Bob.

  • La configuración para los usuarios de todos los sistemas lógicos y todos los administradores de sistemas lógicos de usuario debe realizarla en el nivel raíz por el administrador principal. Un administrador de sistema lógico de usuario no puede crear otros administradores de sistema lógico de usuario o cuentas de usuario para sus sistemas lógicos.

Ver también

Descripción del sistema lógico de interconexión y las interfaces de túnel lógico

En este tema se trata el sistema lógico de interconexión que sirve como un conmutador interno de servicio LAN privado virtual (VPLS) que conecta un sistema lógico del dispositivo a otro. En el tema también se explica cómo se usan las interfaces de túnel lógico (lt-0/0/0) para conectar sistemas lógicos mediante el sistema lógico de interconexión.

Un dispositivo que ejecuta sistemas lógicos puede usar un conmutador VPLS interno para pasar tráfico sin que salga del dispositivo. El sistema lógico de interconexión cambia el tráfico a través de los sistemas lógicos que lo utilizan. Aunque normalmente se usa un conmutador virtual, no es obligatorio. Si decide utilizar un conmutador virtual, debe configurar el sistema lógico de interconexión. Solo puede haber un sistema lógico de interconexión en un dispositivo.

Para que se produzca la comunicación entre sistemas lógicos en el dispositivo, debe configurar una interfaz lt-0/0/0 en cada sistema lógico que vaya a usar el conmutador interno y debe asociarla con su interfaz par lt-0/0/0 en el sistema lógico de interconexión, creando efectivamente un túnel lógico entre ellos. Defina una relación par en cada extremo del túnel cuando configure las interfaces lt-0/0/0 del sistema lógico.

Es posible que desee que todos los sistemas lógicos del dispositivo puedan comunicarse entre sí sin usar un conmutador externo. Alternativamente, es posible que desee que algunos sistemas lógicos se conecten a través del conmutador interno, pero no todos.

El sistema lógico de interconexión no requiere recursos de seguridad asignados a través de un perfil de seguridad. Sin embargo, debe asignar un perfil de seguridad ficticio que no contenga recursos al sistema lógico de interconexión. De lo contrario, no podrá confirmar correctamente la configuración para él.

Advertencia:

Si configura una interfaz lt-0/0/0 en cualquier sistema lógico de usuario o en el sistema lógico principal y no configura un sistema lógico de interconexión que contenga una interfaz lt-0/0/0 par para él, se producirá un error en la confirmación.

Un firewall de la serie SRX que ejecuta sistemas lógicos se puede utilizar en un clúster de chasis. Cada nodo tiene la misma configuración, incluido el sistema lógico de interconexión.

Ver también

Descripción del flujo de paquetes en sistemas lógicos para dispositivos de la serie SRX

En este tema se explica cómo se procesan los paquetes en las sesiones de flujo en firewalls de la serie SRX que ejecutan sistemas lógicos. Describe cómo un firewall de la serie SRX que ejecuta sistemas lógicos controla el tráfico de paso en un único sistema lógico y entre sistemas lógicos. También cubre el tráfico automático como tráfico autoiniciado dentro de un sistema lógico y el tráfico automático terminado en otro sistema lógico. Antes de abordar los sistemas lógicos, en el tema se proporciona información básica acerca de la arquitectura de la serie SRX en relación con el procesamiento de paquetes y las sesiones. Finalmente, aborda las sesiones y cómo cambiar las características de las sesiones.

Los conceptos explicados en este ejemplo se basan en la topología mostrada en la Figura 2.

Figura 2: Sistemas lógicos, sus enrutadores virtuales y sus interfaces Network topology diagram showing logical systems and virtual routing instances. Internet connects to vr1-root system, linking to vr-ic hub. vr-ic connects ls-product-design with pd-vr1 and pd-vr2, and ls-marketing-dept with mk-vr1. PCs connect to respective systems.

Descripción de la arquitectura de los firewalls de la serie SRX de Junos OS

Junos OS es un sistema distribuido de procesamiento paralelo, alta transferencia de datos y alto rendimiento. La arquitectura de procesamiento paralelo distribuido de las puertas de enlace de servicios incluye múltiples procesadores para administrar sesiones y ejecutar el procesamiento de seguridad y otros servicios. Esta arquitectura ofrece una mayor flexibilidad y permite una alta transferencia de datos y un rendimiento rápido.

Una unidad de procesamiento de red (NPU) se ejecuta en una IOC. Una IOC tiene una o más NPU. Una o más unidades de procesamiento de servicios (SPU) se ejecutan en una SPC.

Estas unidades de procesamiento tienen diferentes responsabilidades. Todos los servicios basados en flujo para un paquete se ejecutan en una sola SPU. De lo contrario, sin embargo, las líneas no están claramente divididas con respecto a los tipos de servicios que se ejecutan en estos procesadores. (Para obtener más información sobre el procesamiento basado en flujos, consulte Descripción del procesamiento de tráfico en dispositivos de seguridad.)

Por ejemplo:

  • Una NPU procesa los paquetes de manera discreta. Realiza comprobaciones de cordura y aplica algunas pantallas configuradas para la interfaz, como las pantallas de denegación de servicio (DS), al paquete.

  • Una SPU administra la sesión para el flujo de paquetes y aplica funciones de seguridad y otros servicios al paquete. También aplica filtros de firewall sin estado basados en paquetes, clasificadores y formadores de tráfico al paquete.

  • El sistema utiliza un procesador como punto central para encargarse del arbitraje y la asignación de recursos y distribuir las sesiones de manera inteligente. El punto central asigna una SPU para que se utilice en una sesión determinada cuando se procese el primer paquete de su flujo.

Cada una de estas partes discretas y cooperantes del sistema, incluido el punto central, almacena la información que identifica si existe una sesión para un flujo de paquetes y la información con la que se compara un paquete para determinar si pertenece a una sesión existente.

Esta arquitectura permite que el dispositivo distribuya el procesamiento de todas las sesiones en varias SPU. También permite a una NPU determinar si existe una sesión para un paquete, comprobar el paquete y aplicarle pantallas. La forma en que se maneja un paquete depende de si es el primer paquete de un flujo.

El procesamiento de paquetes basado en flujo trata a los paquetes relacionados, o a una secuencia de paquetes, de la misma manera. El tratamiento de paquetes depende de las características que se establecen para el primer paquete de la secuencia de paquetes cuando se establece la sesión de flujo. La mayor parte del procesamiento de paquetes se produce dentro de un flujo. Para la arquitectura de procesamiento distribuido de la puerta de enlace de servicios, algunos procesamientos basados en paquetes, como la formación de tráfico, se producen en la NPU. Algunos procesamientos basados en paquetes, como la aplicación de clasificadores a un paquete, se producen en la SPU.

Las opciones de configuración que determinan el destino de un paquete, como la política de seguridad que se le aplica, la puerta de enlace de la capa de aplicación (ALG) configurada para él, si se debe aplicar TDR para traducir la dirección IP de origen o destino del paquete, se evalúan para el primer paquete de un flujo.

Creación de sesiones para dispositivos que ejecutan sistemas lógicos

El establecimiento de sesión para firewalls de la serie SRX que ejecutan sistemas lógicos difiere en aspectos menores del de los firewalls de la serie SRX que no ejecutan sistemas lógicos. A pesar de las complejidades que presentan los sistemas lógicos, el tráfico se maneja de manera similar a cómo se maneja en los firewalls de la serie SRX que no ejecutan sistemas lógicos. El procesamiento de paquetes basado en el flujo, que tiene estado, requiere la creación de sesiones. Al considerar el procesamiento basado en flujo y el establecimiento de sesión para sistemas lógicos, es útil pensar en cada sistema lógico en el dispositivo como un dispositivo discreto con respecto al establecimiento de sesión.

Se crea una sesión, basada en el enrutamiento y otra información de clasificación, para almacenar información y asignar recursos para un flujo. Básicamente, se establece una sesión cuando el tráfico entra en una interfaz de sistema lógico, se realiza una búsqueda de ruta para identificar el siguiente salto de interfaz y se realiza una búsqueda de política.

Opcionalmente, los sistemas lógicos le permiten configurar un conmutador de software interno. Este conmutador de LAN privado virtual (VPLS) se implementa como un sistema lógico de interconexión. Permite que tanto el tráfico de tránsito como el tráfico terminado en un sistema lógico pasen entre sistemas lógicos. Para permitir que el tráfico pase entre sistemas lógicos, se utilizan interfaces de túnel lógico (lt-0/0/0) a través del sistema lógico de interconexión.

La comunicación entre sistemas lógicos a través del sistema lógico de interconexión requiere el establecimiento de dos sesiones: una para el tráfico que entra en un sistema lógico y sale de su interfaz lt-0/0/0, y otra para el tráfico que entra en la interfaz lt-0/0/0 de otro sistema lógico y sale del dispositivo a través de una de sus interfaces físicas o está destinado a ella.

Nota:

La secuencia de paquetes se produce en las interfaces de entrada y salida. Es posible que los paquetes que viajan entre sistemas lógicos no se procesen en el orden en que se recibieron en la interfaz física.

Descripción del flujo en sistemas lógicos

Para comprender cómo se gestiona el tráfico de los sistemas lógicos, es útil considerar cada sistema lógico como un dispositivo discreto.

Nota:

El tráfico se procesa para el sistema lógico principal de la misma manera que para los sistemas lógicos de usuario en el dispositivo.

Descripción de la clasificación de paquetes

La clasificación de paquetes se evalúa de la misma manera para los firewalls de la serie SRX que se ejecutan con o sin sistemas lógicos. Los filtros y las características de clase de servicio generalmente se asocian con una interfaz para influir en qué paquetes pueden transitar por el sistema y para aplicar acciones especiales a los paquetes según sea necesario. (Dentro de un flujo, también tiene lugar algún procesamiento basado en paquetes en una SPU).

La clasificación de paquetes se basa en la interfaz entrante y se realiza en el punto de entrada. El tráfico de una interfaz dedicada se clasifica en el sistema lógico que contiene esa interfaz. En el contexto de un flujo, la clasificación de paquetes se basa tanto en la interfaz física como en la interfaz lógica.

Manejo del tráfico de paso para sistemas lógicos

En el caso de los firewalls de la serie SRX que no ejecutan sistemas lógicos, el tráfico de paso es el tráfico que entra y sale de un dispositivo. Puede pensar en el tráfico de paso para sistemas lógicos de manera similar, pero con una dimensión mayor como resultado de la naturaleza de un dispositivo multiinquilino. Para los firewalls de la serie SRX que ejecutan sistemas lógicos, el tráfico de paso puede existir dentro de un sistema lógico o entre sistemas lógicos.

Tráfico de paso dentro de un sistema lógico

Para el tráfico de paso a través dentro de un sistema lógico, el tráfico entra en una interfaz que pertenece a una de las instancias de enrutamiento virtual del sistema lógico y se envía a otra de sus instancias de enrutamiento virtual. Para salir del dispositivo, el tráfico se envía a una interfaz que pertenece a la segunda instancia de enrutamiento virtual. El tráfico no transita entre sistemas lógicos, sino que entra y sale del dispositivo en un único sistema lógico. El tráfico de paso dentro de un sistema lógico se transmite de acuerdo con las tablas de enrutamiento en cada una de sus instancias de enrutamiento.

Considere cómo se maneja el tráfico de paso dentro de un sistema lógico dada la topología que se muestra en la Figura 2.

  • Cuando un paquete llega a la interfaz ge-0/0/5, se identifica como perteneciente al sistema lógico ls-product-design.

  • Dado que ge-0/0/5 pertenece a la instancia de enrutamiento pd-vr1, la búsqueda de ruta se realiza en pd-vr1 con pd-vr2 identificado como el siguiente salto.

  • Se realiza una segunda búsqueda de ruta en pd-vr2 para identificar la interfaz de salida que se va a utilizar, en este caso, ge-0/0/8.

  • El paquete se envía ge-0/0/8 a la red.

  • La búsqueda de políticas de seguridad se realiza en ls-product-design y se establece una sesión.

Tráfico de paso entre sistemas lógicos

El tráfico de paso entre sistemas lógicos se complica por el hecho de que cada sistema lógico tiene una interfaz de entrada y una de salida por las que debe transitar el tráfico. Es como si el tráfico entrara y saliera de dos dispositivos.

Se deben establecer dos sesiones para el tráfico de paso entre sistemas lógicos. (Tenga en cuenta que la búsqueda de políticas se realiza en ambos sistemas lógicos).

  • En el sistema lógico entrante, se configura una sesión entre la interfaz de entrada (una interfaz física) y su interfaz de salida (una interfaz lt-0/0/0).

  • En el sistema lógico de salida, se configura otra sesión entre la interfaz de entrada (la interfaz lt-0/0/0 del segundo sistema lógico) y su interfaz de salida (una interfaz física).

Considere cómo se maneja el tráfico de paso a través de los sistemas lógicos en la topología que se muestra en la Figura 2.

  • Se establece una sesión en el sistema lógico entrante.

    • Cuando un paquete llega a la interfaz ge-0/0/5, se identifica como perteneciente al sistema lógico ls-product-design.

    • Dado que ge-0/0/5 pertenece a la instancia de enrutamiento pd-vr1, la búsqueda de ruta se realiza en pd-vr1.

    • Como resultado de la búsqueda, la interfaz de salida para el paquete se identifica como lt-0/0/0.3 y el siguiente salto se identifica como lt-0/0/0.5, que es la interfaz de entrada en ls-marketing-dept.

    • Se establece una sesión entre ge-0/0/5 y lt-0/0/0.3.

  • Se establece una sesión en el sistema lógico de salida.

    • El paquete se inyecta de nuevo en el flujo desde lt-0/0/0.5 y el contexto del sistema lógico identificado como ls-marketing-dept se deriva de la interfaz.

    • El procesamiento de paquetes continúa en el sistema lógico ls-marketing-dept.

    • Para identificar la interfaz de salida, se realiza una búsqueda de ruta para el paquete en las instancias de enrutamiento mk-vr1.

    • La interfaz de salida se identifica como ge-0/0/6 y el paquete se transmite desde la interfaz a la red.

Manejo del tráfico automático

El tráfico propio es el tráfico que se origina en un sistema lógico del dispositivo y se envía a la red desde ese sistema lógico o finaliza en otro sistema lógico del dispositivo.

Tráfico autoiniciado

El tráfico iniciado automáticamente se genera a partir de un contexto del sistema lógico de origen y se reenvía directamente a la red desde la interfaz del sistema lógico.

Se produce el siguiente proceso:

  • Cuando se genera un paquete en un sistema lógico, se inicia un proceso para controlar el tráfico en el sistema lógico.

  • La búsqueda de ruta se realiza para identificar la interfaz de salida y se establece una sesión.

  • El sistema lógico realiza una búsqueda de políticas y procesa el tráfico en consecuencia.

  • Si es necesario, se configura una sesión de administración.

Considere cómo se maneja el tráfico autoiniciado a través de sistemas lógicos dada la topología que se muestra en la Figura 2.

  • Se genera un paquete en el sistema lógico ls-product-design y se inicia un proceso para controlar el tráfico en el sistema lógico.

  • Búsqueda de ruta realizada en pd-vr2 para identificar la interfaz de salida como ge-0/0/8.

  • Se establece una sesión.

  • El paquete se transmite a la red desde ge-0/0/8.

Tráfico terminado en un sistema lógico

Cuando un paquete entra en el dispositivo en una interfaz que pertenece a un sistema lógico y el paquete está destinado a otro sistema lógico en el dispositivo, el paquete se reenvía entre los sistemas lógicos de la misma manera que el tráfico de paso. Sin embargo, la búsqueda de ruta en el segundo sistema lógico identifica la interfaz de salida local como el destino del paquete. Por lo tanto, el paquete termina en el segundo sistema lógico como tráfico propio.

  • Para el autotráfico terminado, se realizan dos búsquedas de políticas y se establecen dos sesiones.

    • En el sistema lógico entrante, se configura una sesión entre la interfaz de entrada (una interfaz física) y su interfaz de salida (una interfaz lt-0/0/0).

    • En el sistema lógico de destino, se configura otra sesión entre la interfaz de entrada (la interfaz lt-0/0/0 del segundo sistema lógico) y la interfaz local.

Considere cómo se maneja el autotráfico terminado en los sistemas lógicos en la topología que se muestra en la Figura 2.

  • Se establece una sesión en el sistema lógico entrante.

    • Cuando un paquete llega a la interfaz ge-0/0/5, se identifica como perteneciente al sistema lógico ls-product-design.

    • Dado que ge-0/0/5 pertenece a la instancia de enrutamiento pd-vr1, la búsqueda de ruta se realiza en pd-vr1.

    • Como resultado de la búsqueda, la interfaz de salida del paquete se identifica como lt-0/0/0.3 y el siguiente salto se identifica como lt-0/0/0.5, la interfaz de entrada en ls-marketing-dept.

    • Se establece una sesión entre ge-0/0/5 y lt-0/0/0.3.

  • Se establece una sesión de administración en el sistema lógico de destino.

    • El paquete se inyecta de nuevo en el flujo desde lt-0/0/0.5 y el contexto del sistema lógico identificado como ls-marketing-dept se deriva de la interfaz.

    • El procesamiento de paquetes continúa en el sistema lógico ls-marketing-dept.

    • La búsqueda de ruta para el paquete se realiza en la instancia de enrutamiento mk-vr1. El paquete termina en el sistema lógico de destino como tráfico propio.

    • Se establece una sesión de administración.

Descripción del control de limitación de sesiones y puertas

El módulo de flujo de sistemas lógicos proporciona limitación de sesión y puerta para garantizar que estos recursos se compartan equitativamente entre los sistemas lógicos. La asignación de recursos y las limitaciones de cada sistema lógico se especifican en el perfil de seguridad enlazado al sistema lógico.

  • Para la limitación de sesiones, el sistema compara el primer paquete de una sesión con el número máximo de sesiones configuradas para el sistema lógico. Si se alcanza el máximo, el dispositivo descarta el paquete y registra el evento.

  • Para la limitación de puertas, el dispositivo compara el primer paquete de una sesión con el número máximo de puertas configuradas para el sistema lógico. Si se alcanza el número máximo de puertas para un sistema lógico, el dispositivo rechaza la solicitud de puerta abierta y registra el evento.

Descripción de las sesiones

Las sesiones se crean en función del enrutamiento y otra información de clasificación para almacenar información y asignar recursos para un flujo. Puede cambiar algunas características de las sesiones, como cuándo finaliza una sesión. Por ejemplo, es posible que desee asegurarse de que una tabla de sesiones nunca esté completamente llena para protegerse contra el intento de un atacante de inundar la tabla y, por lo tanto, evitar que los usuarios legítimos inicien sesiones.

Acerca de la configuración de sesiones

Según el protocolo y el servicio, una sesión se programa con un valor de tiempo de espera. Por ejemplo, el tiempo de espera predeterminado para TCP es de 1800 segundos. El tiempo de espera predeterminado para UDP es de 60 segundos. Cuando se finaliza un flujo, se marca como no válido y su tiempo de espera se reduce a 10 segundos. Si no hay tráfico utiliza el Si ningún tráfico utiliza la sesión antes del tiempo de espera del servicio, la sesión caduca y se libera en un grupo de recursos comunes para su reutilización.

Puede afectar la duración de una sesión de las siguientes maneras:

  • Sesiones de antigüedad, en función de qué tan llena esté la tabla de sesiones.

  • Establezca un tiempo de espera explícito para las sesiones TCP de antigüedad.

  • Configure una sesión TCP para que se invalide cuando reciba un mensaje TCP RST (restablecimiento).

  • Puede configurar sesiones para dar cabida a otros sistemas de la siguiente manera:

    • Desactive las comprobaciones de seguridad de paquetes TCP.

    • Cambie el tamaño máximo de segmento.

Ver también

Sistemas lógicos y de inquilinos Compatibilidad con instancias de firewall virtual vSRX y firewall virtual vSRX 3.0

A partir de la versión 20.1R1 de Junos OS, puede configurar sistemas lógicos y sistemas de inquilinos en instancias de Firewall virtual vSRX y Firewall virtual vSRX 3.0.

La configuración de cada sistema lógico crea un proceso de protocolo de enrutamiento (RPD) adicional, que consume mucha CPU y memoria. A partir de la versión 20.1R1 de Junos OS-

  • Las instancias de firewall virtual vSRX y vSRX3.0 con una capacidad de memoria de menos de 16 GB admiten un sistema lógico raíz.

  • Las instancias de firewall virtual vSRX y vSRX3.0 con una capacidad de memoria de 16 GB o más admiten sistemas lógicos, pero limitan los sistemas lógicos a ocho.

En la tabla 1 se describe la cantidad de sistemas lógicos y sistemas de inquilinos admitidos en diferentes capacidades de memoria para el firewall virtual vSRX y el firewall virtual vSRX 3.0.

Tabla 1: Sistemas lógicos y de inquilinos compatibles con diferentes capacidades de memoria para el firewall virtual vSRX y el firewall virtual vSRX 3.0.

Tipo

4 GB

8 GB

16 GB o más

Sistemas lógicos (incluye el sistema lógico raíz)

1

1

8

Sistemas de inquilinos

0

0

42

Sistemas lógicos + sistemas de inquilinos (incluye el sistema lógico raíz).

1

1

50
Nota:

Solo las instancias del firewall virtual vSRX 3.0 admiten perfiles de seguridad flexibles basados en la memoria del dispositivo. El número máximo de perfiles de seguridad admitidos en el firewall virtual vSRX 3.0 está relacionado con su memoria. Para obtener más información, consulte Perfiles de seguridad para sistemas lógicos.

Utilice el siguiente comando en el [edit] nivel de jerarquía para asegurarse de que haya al menos dos CPU en el motor de enrutamiento de las instancias de firewall virtual vSRX y vSRX3.0: set security forwarding-options resource-manager cpu re 2.

Comportamiento del sistema lógico específico de la plataforma

Use el Explorador de características para confirmar la compatibilidad de plataforma y versión para características específicas.

Utilice la siguiente tabla para revisar los comportamientos específicos de la plataforma para su plataforma:

Tabla 2: Comportamiento específico de la plataforma

Plataforma

Diferencia

serie SRX

  • Los firewalls SRX4100 y SRX4200 compatibles con sistemas lógicos admiten el modo transparente y el modo de ruta.

  • Los firewalls SRX4600 que admiten sistemas lógicos solo admiten el modo de ruta.

  • Los firewalls SRX1500 que admiten sistemas lógicos pueden configurar un máximo de 512 zonas.

  • La línea SRX5000 de firewalls compatibles con sistemas lógicos admite tarjetas de E/S (IOC) y tarjetas de procesamiento de servicios (SPC), cada una de las cuales contiene unidades de procesamiento que procesan un paquete a medida que atraviesa el dispositivo.