Descripción general de los sistemas lógicos
Los sistemas lógicos permiten particionar un único dispositivo en varios contextos seguros que realizan tareas independientes. Para obtener más información, consulte los temas siguientes:
Descripción de los sistemas lógicos para firewalls de la serie SRX
Los sistemas lógicos para firewalls de la serie SRX le permiten particionar un único dispositivo en contextos seguros. Cada sistema lógico tiene su propio dominio administrativo discreto, interfaces lógicas, instancias de enrutamiento, firewall de seguridad y otras características de seguridad. Al transformar un firewall de la serie SRX en un dispositivo de sistemas lógicos multiinquilino, puede proporcionar a varios departamentos, organizaciones, clientes y socios, según su entorno, uso privado de partes de sus recursos y una vista privada del dispositivo. Mediante los sistemas lógicos, puede compartir los recursos del sistema y de la máquina física subyacentes entre los sistemas lógicos de usuario discretos y el sistema lógico principal.
La parte superior de la Figura 1 muestra los tres componentes principales de configuración de un sistema lógico. La parte inferior de la figura muestra un solo dispositivo con un sistema lógico primario y sistemas lógicos de usuario discretos.
Los sistemas lógicos incluyen sistemas lógicos primarios y de usuario y sus administradores. Las funciones y responsabilidades del administrador principal y las de un administrador del sistema lógico de usuario difieren enormemente. Esta diferenciación de privilegios y responsabilidades se considera administración y control basados en roles.
lógicos
Los sistemas lógicos de los firewalls de la serie SRX ofrecen muchas ventajas, lo que le permite:
Reducir costos. Mediante el uso de sistemas lógicos, puede reducir el número de dispositivos físicos necesarios para su empresa. Dado que puede consolidar servicios para varios grupos de usuarios en un solo dispositivo, reduce tanto los costos de hardware como los gastos de energía.
Cree muchos sistemas lógicos en un solo dispositivo y aprovisione recursos y servicios para ellos rápidamente. Dado que los servicios son convergentes, es más fácil para el administrador principal o raíz administrar un único dispositivo configurado para sistemas lógicos que administrar muchos dispositivos discretos.
Puede implementar un firewall de la serie SRX que ejecute sistemas lógicos en muchos entornos, en particular, en la empresa y en el centro de datos.
En la empresa, puede crear y aprovisionar sistemas lógicos para varios departamentos y grupos.
Puede configurar sistemas lógicos para habilitar la comunicación entre los grupos que comparten el dispositivo. Cuando se crean sistemas lógicos para varios departamentos en el mismo dispositivo, los usuarios pueden comunicarse entre sí sin que el tráfico salga del dispositivo si ha configurado un sistema lógico de interconexión para que actúe como conmutador interno. Por ejemplo, los miembros del grupo de diseño de productos, el departamento de marketing y el departamento de contabilidad que comparten una puerta de enlace de servicios de la serie SRX que ejecuta sistemas lógicos pueden comunicarse entre sí del mismo modo que lo harían si se implementaran dispositivos separados para sus departamentos. Puede configurar sistemas lógicos para que se interconecten a través de interfaces internas de túnel lógico (lt-0/0/0). Las interfaces lt-0/0/0 del sistema lógico de interconexión se conectan a una interfaz lt-0/0/0 que configure para cada sistema lógico. El sistema lógico de interconexión cambia el tráfico entre sistemas lógicos. El firewall de la serie SRX que ejecuta sistemas lógicos proporciona una interacción alta y rápida entre todos los sistemas lógicos creados en el dispositivo cuando se utiliza un sistema lógico de interconexión.
Los sistemas lógicos en el mismo dispositivo también pueden comunicarse entre sí directamente a través de los puertos del dispositivo, como si fueran dispositivos separados. Aunque este método permite conexiones directas entre sistemas lógicos, consume más recursos (se deben configurar interfaces y un conmutador externo) y, por lo tanto, es más costoso.
En el centro de datos, como proveedor de servicios, puede implementar un firewall de la serie SRX que ejecute sistemas lógicos para ofrecer a sus clientes sistemas lógicos de usuario seguros y privados y un uso discreto de los recursos del dispositivo.
Por ejemplo, una corporación puede requerir 10 sistemas lógicos de usuario y otra puede requerir 20. Dado que los sistemas lógicos son seguros, privados y autónomos, los administradores o usuarios de otros sistemas lógicos no pueden ver los datos que pertenecen a un sistema lógico. Es decir, los empleados de una corporación no pueden ver los sistemas lógicos de otra corporación.
SRX4100 y SRX4200 dispositivos admiten el sistema lógico tanto en modo transparente como en modo de ruta.
SRX4600 dispositivo solo admite el sistema lógico en modo de ruta.
Para utilizar el conmutador interno, que es opcional, también debe configurar un sistema lógico de interconexión. El sistema lógico de interconexión no requiere un administrador.
Ver también
Características y limitaciones de los sistemas lógicos
En este tema se trata información básica acerca de las características y limitaciones de los sistemas lógicos.
Puede configurar hasta 32 perfiles de seguridad, del 1 al 32, con el ID 0 reservado para el perfil de seguridad predeterminado configurado internamente. Cuando se alcanza el número máximo de perfiles de seguridad, si desea agregar un nuevo perfil de seguridad, primero debe eliminar uno o varios perfiles de seguridad existentes, confirmar la configuración y, a continuación, crear el nuevo perfil de seguridad y confirmarlo. No puede agregar un nuevo perfil de seguridad ni quitar uno existente dentro de una sola confirmación de configuración.
Si desea agregar más de un perfil de seguridad nuevo, se cumple la misma regla. Primero debe eliminar el número equivalente de perfiles de seguridad existentes, confirmar la configuración y, a continuación, crear los nuevos perfiles de seguridad y confirmar la configuración.
Puede configurar uno o varios administradores principales para supervisar la administración del dispositivo y de los sistemas lógicos que configuran.
Como administrador principal de una puerta de enlace de servicios de la serie SRX que ejecuta sistemas lógicos, tiene control raíz sobre el dispositivo, sus recursos y los sistemas lógicos que cree. Los recursos de seguridad, redes y enrutamiento se asignan a los sistemas lógicos de usuario. Puede configurar un sistema lógico para que actúe como conmutador de servicio de LAN privada virtual (VPLS) de sistema lógico de interconexión. El sistema lógico de interconexión, que no es obligatorio, no requiere recursos de seguridad. Sin embargo, si configura un sistema lógico de interconexión, debe enlazar un perfil de seguridad ficticio a él. El administrador principal lo configura y todas las interfaces lt-0/0/0 para él.
Un sistema lógico de usuario puede tener uno o más administradores, denominados administradores de sistemas lógicos de usuario. El administrador principal crea cuentas de inicio de sesión para estos administradores y las asigna a un sistema lógico de usuario. Actualmente, el administrador principal debe configurar todos los administradores del sistema lógico de usuario. El primer administrador lógico de usuario asignado no puede configurar administradores de sistema lógico de usuario adicionales para su sistema lógico. Como administrador del sistema lógico de usuario, puede configurar los recursos asignados al sistema lógico de usuario, incluidas las interfaces lógicas asignadas por el administrador principal, las instancias de enrutamiento y sus rutas, y los componentes de seguridad. Solo puede mostrar información de configuración para el sistema lógico.
Un sistema lógico puede incluir más de una instancia de enrutamiento en función de los recursos del sistema disponibles.
No puede configurar la clase de servicio en interfaces lt-0/0/0.
La reversión de confirmación solo se admite en el nivel raíz.
La clasificación de la calidad de servicio (QoS) en sistemas lógicos interconectados no funciona.
El administrador principal puede configurar puertas de enlace de capa de aplicación (ALG) en el nivel raíz. Todos los sistemas lógicos de usuario heredan la configuración. Las ALG también se pueden configurar discretamente para sistemas lógicos de usuario.
El administrador principal puede configurar directivas de IDP en el nivel raíz y, a continuación, aplicar una directiva de IDP a un sistema lógico de usuario.
Solo el administrador principal puede crear cuentas de usuario e ID de inicio de sesión para usuarios de todos los sistemas lógicos. El administrador principal crea estas cuentas de usuario en el nivel raíz y las asigna a los sistemas lógicos de usuario adecuados.
El mismo nombre no se puede utilizar en dos sistemas lógicos independientes. Por ejemplo, si logical-system1 incluye un usuario con Bob configurado como nombre de usuario, entonces otros sistemas lógicos del dispositivo no pueden incluir un usuario con el nombre de usuario Bob.
La configuración de los usuarios para todos los sistemas lógicos y todos los administradores de sistemas lógicos de usuario debe realizarla en el nivel raíz por el administrador principal. Un administrador de sistema lógico de usuario no puede crear otros administradores de sistemas lógicos de usuario o cuentas de usuario para sus sistemas lógicos.
Algunos de los parámetros de escala son diferentes para SRX1500 dispositivos. Por ejemplo, puede configurar un máximo de 512 zonas en un sistema lógico.
Ver también
Descripción del sistema lógico de interconexión y las interfaces de túnel lógico
En este tema se trata el sistema lógico de interconexión que sirve como conmutador interno de servicio de LAN privada virtual (VPLS) que conecta un sistema lógico del dispositivo a otro. En el tema también se explica cómo se utilizan las interfaces de túnel lógico (lt-0/0/0) para conectar sistemas lógicos a través del sistema lógico de interconexión.
Un dispositivo que ejecuta sistemas lógicos puede utilizar un conmutador VPLS interno para pasar tráfico sin que salga del dispositivo. El sistema lógico de interconexión cambia el tráfico entre los sistemas lógicos que lo utilizan. Aunque normalmente se utiliza un conmutador virtual, no es obligatorio. Si elige utilizar un conmutador virtual, debe configurar el sistema lógico de interconexión. Solo puede haber un sistema lógico de interconexión en un dispositivo.
Para que se produzca la comunicación entre los sistemas lógicos del dispositivo, debe configurar una interfaz lt-0/0/0 en cada sistema lógico que vaya a utilizar el conmutador interno y asociarla con su interfaz lt-0/0/0 del mismo nivel en el sistema lógico de interconexión, creando efectivamente un túnel lógico entre ellos. Se define una relación par en cada extremo del túnel cuando se configuran las interfaces lt-0/0/0 del sistema lógico.
Es posible que desee que todos los sistemas lógicos del dispositivo puedan comunicarse entre sí sin usar un conmutador externo. Como alternativa, es posible que desee que algunos sistemas lógicos se conecten a través del conmutador interno, pero no todos.
El sistema lógico de interconexión no requiere recursos de seguridad asignados a través de un perfil de seguridad. Sin embargo, debe asignar un perfil de seguridad ficticio que no contenga recursos al sistema lógico de interconexión. De lo contrario, no podrá confirmar correctamente la configuración para ello.
Si configura una interfaz lt-0/0/0 en cualquier sistema lógico de usuario o en el sistema lógico principal y no configura un sistema lógico de interconexión que contenga una interfaz lt-0/0/0 par para ella, se producirá un error en la confirmación.
Un firewall serie SRX que ejecute sistemas lógicos se puede utilizar en un clúster de chasis. Cada nodo tiene la misma configuración, incluido el sistema lógico de interconexión.
Ver también
Descripción del flujo de paquetes en sistemas lógicos para dispositivos de la serie SRX
En este tema se explica cómo se procesan los paquetes en las sesiones de flujo en firewalls de la serie SRX que ejecutan sistemas lógicos. Describe cómo un firewall de la serie SRX que ejecuta sistemas lógicos maneja el tráfico de paso a través en un solo sistema lógico y entre sistemas lógicos. También cubre el tráfico autónomo como tráfico autoiniciado dentro de un sistema lógico y el tráfico propio terminado en otro sistema lógico. Antes de abordar los sistemas lógicos, el tema proporciona información básica acerca de la arquitectura de la serie SRX con respecto al procesamiento de paquetes y las sesiones. Finalmente, aborda las sesiones y cómo cambiar las características de la sesión.
Los conceptos explicados en este ejemplo se basan en la topología que se muestra en la figura 2.
- Descripción de la arquitectura de los firewalls de la serie SRX de Junos OS
- Creación de sesiones para dispositivos que ejecutan sistemas lógicos
- Descripción del flujo en sistemas lógicos
- Descripción de la clasificación de paquetes
- Manejo del tráfico de paso para sistemas lógicos
- Manejo del autotráfico
- Descripción del control de limitación de sesión y puerta
- Comprender las sesiones
- Acerca de la configuración de sesiones
Descripción de la arquitectura de los firewalls de la serie SRX de Junos OS
Junos OS es un sistema distribuido de procesamiento paralelo de alto rendimiento y alto rendimiento. La arquitectura de procesamiento paralelo distribuido de las puertas de enlace de servicios incluye varios procesadores para administrar sesiones y ejecutar procesamiento de seguridad y otros servicios. Esta arquitectura proporciona una mayor flexibilidad y permite un alto rendimiento y un rendimiento rápido.
Los dispositivos de línea SRX5000 incluyen tarjetas de E/S (IOC) y tarjetas de procesamiento de servicios (SPC) que contienen unidades de procesamiento que procesan un paquete a medida que atraviesa el dispositivo. Una unidad de procesamiento de red (NPU) se ejecuta en una IOC. Un COI tiene una o más NPU. Una o más unidades de procesamiento de servicios (SPU) se ejecutan en una SPC.
Estas unidades de procesamiento tienen diferentes responsabilidades. Todos los servicios basados en flujo para un paquete se ejecutan en una sola SPU. De lo contrario, sin embargo, las líneas no están claramente divididas con respecto a los tipos de servicios que se ejecutan en estos procesadores. (Para obtener más información sobre el procesamiento basado en flujos, consulte Descripción del procesamiento de tráfico en dispositivos de seguridad).
Por ejemplo:
Una NPU procesa paquetes discretamente. Realiza comprobaciones de cordura y aplica algunas pantallas configuradas para la interfaz, como las pantallas de denegación de servicio (DoS), al paquete.
Una SPU administra la sesión para el flujo de paquetes y aplica características de seguridad y otros servicios al paquete. También aplica filtros, clasificadores y moldeadores de tráfico de firewall sin estado basados en paquetes al paquete.
El sistema utiliza un procesador como punto central para encargarse del arbitraje y la asignación de recursos y distribuir las sesiones de forma inteligente. El punto central asigna una SPU que se utilizará para una sesión determinada cuando se procese el primer paquete de su flujo.
Estas partes discretas y cooperantes del sistema, incluido el punto central, almacenan la información que identifica si existe una sesión para un flujo de paquetes y la información con la que se compara un paquete para determinar si pertenece a una sesión existente.
Esta arquitectura permite que el dispositivo distribuya el procesamiento de todas las sesiones en varias SPU. También permite que una NPU determine si existe una sesión para un paquete, verifique el paquete y le aplique pantallas. La forma en que se maneja un paquete depende de si es el primer paquete de un flujo.
El procesamiento de paquetes basado en flujos trata los paquetes relacionados, o una secuencia de paquetes, de la misma manera. El tratamiento de paquetes depende de las características que se establecen para el primer paquete de la secuencia de paquetes cuando se establece la sesión de flujo. La mayor parte del procesamiento de paquetes ocurre dentro de un flujo. Para la arquitectura de procesamiento distribuido de la puerta de enlace de servicios, parte del procesamiento basado en paquetes, como la formación del tráfico, se produce en la NPU. Parte del procesamiento basado en paquetes, como la aplicación de clasificadores a un paquete, se produce en la SPU.
Los valores de configuración que determinan el destino de un paquete, como la política de seguridad que se le aplica, la puerta de enlace de capa de aplicación (ALG) configurada para él, si se debe aplicar NAT para traducir la dirección IP de origen o destino del paquete, se evalúan para el primer paquete de un flujo.
Creación de sesiones para dispositivos que ejecutan sistemas lógicos
El establecimiento de sesiones para los firewalls de la serie SRX que ejecutan sistemas lógicos difiere en aspectos menores del de los firewalls de la serie SRX que no ejecutan sistemas lógicos. A pesar de las complejidades que introducen los sistemas lógicos, el tráfico se maneja de manera similar a como se maneja en los firewalls de la serie SRX que no ejecutan sistemas lógicos. El procesamiento de paquetes basado en flujos, que tiene estado, requiere la creación de sesiones. Al considerar el procesamiento basado en flujos y el establecimiento de sesiones para sistemas lógicos, ayuda pensar en cada sistema lógico en el dispositivo como un dispositivo discreto con respecto al establecimiento de la sesión.
Se crea una sesión, basada en el enrutamiento y otra información de clasificación, para almacenar información y asignar recursos para un flujo. Básicamente, se establece una sesión cuando el tráfico entra en una interfaz lógica del sistema, se realiza una búsqueda de ruta para identificar la interfaz del siguiente salto y se realiza una búsqueda de políticas.
Opcionalmente, los sistemas lógicos permiten configurar un conmutador de software interno. Este conmutador LAN privado virtual (VPLS) se implementa como un sistema lógico de interconexión. Permite que tanto el tráfico de tránsito como el tráfico terminado en un sistema lógico pasen entre sistemas lógicos. Para permitir que el tráfico pase entre sistemas lógicos, se utilizan interfaces de túnel lógico (lt-0/0/0) a través del sistema lógico de interconexión.
La comunicación entre sistemas lógicos a través del sistema lógico de interconexión requiere el establecimiento de dos sesiones: una para el tráfico que entra en un sistema lógico y sale de su interfaz lt-0/0/0, y otra para el tráfico que entra en la interfaz lt-0/0/0 de otro sistema lógico y sale del dispositivo a través de una de sus interfaces físicas o está destinado a ello.
La secuencia de paquetes se produce en las interfaces de entrada y salida. Es posible que los paquetes que viajan entre sistemas lógicos no se procesen en el orden en que se recibieron en la interfaz física.
Descripción del flujo en sistemas lógicos
Para comprender cómo se maneja el tráfico para los sistemas lógicos, es útil considerar cada sistema lógico como un dispositivo discreto.
El tráfico se procesa para el sistema lógico principal de la misma manera que para los sistemas lógicos de usuario en el dispositivo.
En los dispositivos de las series SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX4600, SRX5400, SRX5600 y SRX5800, J-Flow versión 5, versión 8 y versión 9 no son compatibles con los sistemas lógicos.
Descripción de la clasificación de paquetes
La clasificación de paquetes se evalúa de la misma manera para los firewalls de la serie SRX que se ejecutan con o sin sistemas lógicos. Los filtros y las características de clase de servicio suelen estar asociados a una interfaz para influir en qué paquetes pueden transitar por el sistema y aplicar acciones especiales a los paquetes según sea necesario. (Dentro de un flujo, parte del procesamiento basado en paquetes también tiene lugar en una SPU).
La clasificación de paquetes se basa en la interfaz entrante y se realiza en el punto de entrada. El tráfico de una interfaz dedicada se clasifica en el sistema lógico que contiene esa interfaz. En el contexto de un flujo, la clasificación de paquetes se basa tanto en la interfaz física como en la interfaz lógica.
Manejo del tráfico de paso para sistemas lógicos
Para los firewalls de la serie SRX que no ejecutan sistemas lógicos, el tráfico de paso es el tráfico que entra y sale de un dispositivo. Puede pensar en el tráfico de paso a través para sistemas lógicos de manera similar, pero como si tuviera una dimensión mayor como resultado de la naturaleza de un dispositivo multiinquilino. Para los firewalls de la serie SRX que ejecutan sistemas lógicos, el tráfico de paso puede existir dentro de un sistema lógico o entre sistemas lógicos.
Tráfico de paso a través dentro de un sistema lógico
Para el tráfico de paso a través dentro de un sistema lógico, el tráfico entra en una interfaz que pertenece a una de las instancias de enrutamiento virtual del sistema lógico y se envía a otra de sus instancias de enrutamiento virtual. Para salir del dispositivo, el tráfico se envía a una interfaz que pertenece a la segunda instancia de enrutamiento virtual. El tráfico no transita entre sistemas lógicos, sino que entra y sale del dispositivo en un único sistema lógico. El tráfico de paso dentro de un sistema lógico se transmite de acuerdo con las tablas de enrutamiento en cada una de sus instancias de enrutamiento.
Considere cómo se maneja el tráfico de paso a través dentro de un sistema lógico dada la topología que se muestra en la Figura 2.
Cuando un paquete llega a la interfaz ge-0/0/5, se identifica como perteneciente al sistema lógico ls-product-design.
Dado que ge-0/0/5 pertenece a la instancia de enrutamiento pd-vr1, la búsqueda de ruta se realiza en pd-vr1 con pd-vr2 identificado como el siguiente salto.
Se realiza una segunda búsqueda de ruta en pd-vr2 para identificar la interfaz de salida que se va a utilizar, en este caso, ge-0/0/8.
El paquete se envía ge-0/0/8 a la red.
La búsqueda de políticas de seguridad se realiza en ls-product-design y se establece una sesión.
Tráfico de paso entre sistemas lógicos
El tráfico de paso a través entre sistemas lógicos se complica por el hecho de que cada sistema lógico tiene una interfaz de entrada y una interfaz de salida que el tráfico debe transitar. Es como si el tráfico entrara y saliera de dos dispositivos.
Se deben establecer dos sesiones para el tráfico de paso a través entre sistemas lógicos. (Tenga en cuenta que la búsqueda de políticas se realiza en ambos sistemas lógicos).
En el sistema lógico entrante, se configura una sesión entre la interfaz de entrada (una interfaz física) y su interfaz de salida (una interfaz lt-0/0/0).
En el sistema lógico de salida, se configura otra sesión entre la interfaz de entrada (la interfaz lt-0/0/0 del segundo sistema lógico) y su interfaz de salida (una interfaz física).
Considere cómo se maneja el tráfico de paso a través de los sistemas lógicos en la topología que se muestra en la figura 2.
Se establece una sesión en el sistema lógico entrante.
Cuando un paquete llega a la interfaz ge-0/0/5, se identifica como perteneciente al sistema lógico ls-product-design.
Dado que ge-0/0/5 pertenece a la instancia de enrutamiento pd-vr1, la búsqueda de rutas se realiza en pd-vr1.
Como resultado de la búsqueda, la interfaz de salida para el paquete se identifica como lt-0/0/0.3 con el siguiente salto identificado como lt-0/0/0.5, que es la interfaz de entrada en ls-marketing-dept.
Se establece una sesión entre ge-0/0/5 y lt-0/0/0.3.
Se establece una sesión en el sistema lógico saliente.
El paquete se inyecta de nuevo en el flujo desde lt-0/0/0.5, y el contexto lógico del sistema identificado como ls-marketing-dept se deriva de la interfaz.
El procesamiento de paquetes continúa en el sistema lógico ls-marketing-dept.
Para identificar la interfaz de salida, la búsqueda de ruta del paquete se realiza en las instancias de enrutamiento mk-vr1.
La interfaz saliente se identifica como ge-0/0/6 y el paquete se transmite desde la interfaz a la red.
Manejo del autotráfico
El tráfico propio es el tráfico que se origina en un sistema lógico en el dispositivo y se envía a la red desde ese sistema lógico o termina en otro sistema lógico del dispositivo.
Tráfico autoiniciado
El tráfico autoiniciado se genera desde un contexto de sistema lógico de origen y se reenvía directamente a la red desde la interfaz lógica del sistema.
Se produce el siguiente proceso:
Cuando se genera un paquete en un sistema lógico, se inicia un proceso para controlar el tráfico en el sistema lógico.
La búsqueda de ruta se realiza para identificar la interfaz de salida y se establece una sesión.
El sistema lógico realiza una búsqueda de políticas y procesa el tráfico en consecuencia.
Si es necesario, se configura una sesión de administración.
Considere cómo se maneja el tráfico autoiniciado en los sistemas lógicos dada la topología que se muestra en la Figura 2.
Se genera un paquete en el sistema lógico ls-product-design y se inicia un proceso para controlar el tráfico en el sistema lógico.
Búsqueda de rutas realizada en pd-vr2 para identificar la interfaz de salida como ge-0/0/8.
Se establece una sesión.
El paquete se transmite a la red desde ge-0/0/8.
Tráfico terminado en un sistema lógico
Cuando un paquete entra en el dispositivo en una interfaz que pertenece a un sistema lógico y el paquete está destinado a otro sistema lógico en el dispositivo, el paquete se reenvía entre los sistemas lógicos de la misma manera que el tráfico de paso. Sin embargo, la búsqueda de ruta en el segundo sistema lógico identifica la interfaz de salida local como el destino del paquete. En consecuencia, el paquete termina en el segundo sistema lógico como tráfico propio.
Para el tráfico propio terminado, se realizan dos búsquedas de políticas y se establecen dos sesiones.
En el sistema lógico entrante, se configura una sesión entre la interfaz de entrada (una interfaz física) y su interfaz de salida (una interfaz lt-0/0/0).
En el sistema lógico de destino, se configura otra sesión entre la interfaz de entrada (la interfaz lt-0/0/0 del segundo sistema lógico) y la interfaz local.
Considere cómo se maneja el tráfico propio terminado en los sistemas lógicos en la topología que se muestra en la figura 2.
Se establece una sesión en el sistema lógico entrante.
Cuando un paquete llega a la interfaz ge-0/0/5, se identifica como perteneciente al sistema lógico ls-product-design.
Dado que ge-0/0/5 pertenece a la instancia de enrutamiento pd-vr1, la búsqueda de rutas se realiza en pd-vr1.
Como resultado de la búsqueda, la interfaz de salida para el paquete se identifica como lt-0/0/0.3 con el siguiente salto identificado como lt-0/0/0.5, la interfaz de entrada en ls-marketing-dept.
Se establece una sesión entre ge-0/0/5 y lt-0/0/0.3.
Se establece una sesión de administración en el sistema lógico de destino.
El paquete se inyecta de nuevo en el flujo desde lt-0/0/0.5, y el contexto lógico del sistema identificado como ls-marketing-dept se deriva de la interfaz.
El procesamiento de paquetes continúa en el sistema lógico ls-marketing-dept.
La búsqueda de ruta del paquete se realiza en la instancia de enrutamiento mk-vr1. El paquete termina en el sistema lógico de destino como tráfico propio.
Se establece una sesión de gestión.
Descripción del control de limitación de sesión y puerta
El módulo de flujo de sistemas lógicos proporciona limitación de sesión y puerta para garantizar que estos recursos se compartan equitativamente entre los sistemas lógicos. La asignación de recursos y las limitaciones para cada sistema lógico se especifican en el perfil de seguridad enlazado al sistema lógico.
Para la limitación de sesiones, el sistema comprueba el primer paquete de una sesión con el número máximo de sesiones configuradas para el sistema lógico. Si se alcanza el máximo, el dispositivo descarta el paquete y registra el evento.
Para la limitación de puertas, el dispositivo comprueba el primer paquete de una sesión con el número máximo de puertas configuradas para el sistema lógico. Si se alcanza el número máximo de puertas para un sistema lógico, el dispositivo rechaza la solicitud de apertura de puerta y registra el evento.
Comprender las sesiones
Las sesiones se crean en función del enrutamiento y otra información de clasificación para almacenar información y asignar recursos para un flujo. Puede cambiar algunas características de las sesiones, como cuando se termina una sesión. Por ejemplo, es posible que desee asegurarse de que una tabla de sesión nunca esté completamente llena para protegerse contra el intento de un atacante de inundar la tabla y, por lo tanto, evitar que los usuarios legítimos inicien sesiones.
Acerca de la configuración de sesiones
Según el protocolo y el servicio, una sesión se programa con un valor de tiempo de espera. Por ejemplo, el tiempo de espera predeterminado para TCP es de 1800 segundos. El tiempo de espera predeterminado para UDP es de 60 segundos. Cuando se termina un flujo, se marca como no válido y su tiempo de espera se reduce a 10 segundos. Si ningún tráfico utiliza la opción Si ningún tráfico utiliza la sesión antes del tiempo de espera del servicio, la sesión caduca y se libera en un grupo de recursos común para su reutilización.
Puede afectar la duración de una sesión de las siguientes maneras:
Edad de las sesiones, en función de lo llena que esté la tabla de sesiones.
Establezca un tiempo de espera explícito para la antigüedad de las sesiones TCP.
Configure una sesión TCP para que se invalide cuando reciba un mensaje TCP RST (restablecimiento).
Puede configurar sesiones para adaptarse a otros sistemas de la siguiente manera:
Deshabilite las comprobaciones de seguridad de paquetes TCP.
Cambie el tamaño máximo del segmento.
Ver también
Compatibilidad de sistemas lógicos y sistemas de inquilinos con instancias de firewall virtual vSRX y firewall virtual vSRX 3.0
A partir de Junos OS versión 20.1R1, puede configurar sistemas lógicos y sistemas inquilinos en instancias de vSRX Virtual Firewall y vSRX Virtual Firewall 3.0.
La configuración de cada sistema lógico crea un proceso de protocolo de enrutamiento (RPD) adicional, que consume mucha memoria y CPU. A partir de Junos OS versión 20.1R1-
Las instancias de firewall virtual vSRX y vSRX3.0 con una capacidad de memoria inferior a 16 GB admiten un sistema lógico raíz.
Las instancias de vSRX Virtual Firewall y vSRX3.0 con una capacidad de memoria de 16 GB o más admiten sistemas lógicos, pero limitan los sistemas lógicos a ocho.
En la Tabla 1 se describe el número de sistemas lógicos y sistemas inquilinos admitidos en diferentes capacidades de memoria para el firewall virtual vSRX y el firewall virtual vSRX 3.0.
Tipo |
4 GB |
8 GB |
16 GB o más |
|---|---|---|---|
Sistemas lógicos (incluye el sistema lógico raíz) |
1 |
1 |
8 |
Sistemas de inquilinos |
0 |
0 |
42 |
Sistemas lógicos + Sistemas inquilinos (incluye el sistema lógico raíz). |
1 |
1 |
50 |
Solo las instancias de vSRX Virtual Firewall 3.0 admiten perfiles de seguridad flexibles basados en la memoria del dispositivo. El número máximo de perfiles de seguridad admitidos en vSRX Virtual Firewall 3.0 está relacionado con su memoria. Para obtener más información, vea Perfiles de seguridad para sistemas lógicos.
Utilice el siguiente comando en el [edit] nivel de jerarquía para asegurarse de que haya al menos dos CPU en el motor de enrutamiento de las instancias de vSRX Virtual Firewall y vSRX3.0: set security forwarding-options resource-manager cpu re 2.