Descripción general de los sistemas de inquilinos
Un sistema de inquilinos admite enrutamiento, servicios y funciones de seguridad.
Descripción de los sistemas de inquilinos
Un sistema de inquilinos particiona lógicamente el firewall físico en un firewall lógico independiente y aislado. Aunque son similares a los sistemas lógicos, los sistemas de inquilinos tienen una escalabilidad mucho mayor y menos funciones de enrutamiento. Cada sistema de inquilinos en un dispositivo le permite controlar un dominio administrativo discreto para los servicios de seguridad. Al transformar su dispositivo en un sistema de multiinquilino, puede proporcionar a varios departamentos, organizaciones, clientes y socios, según su entorno, un uso privado y separado lógicamente de recursos del sistema y vistas específicas de los inquilinos de la configuración de seguridad y los KPI. Un administrador principal crea y administra todos los sistemas de inquilinos. La Figura 1 muestra un solo dispositivo con un sistema lógico principal y sistemas de inquilinos discretos.
- Diferencias entre los sistemas lógicos y los sistemas de inquilinos
- Casos de uso para sistemas lógicos y sistemas de inquilinos
- Escenarios de despliegue para sistemas multiinteniente
- Beneficios de los sistemas de inquilinos
- Funciones y responsabilidades del administrador principal y del administrador del sistema de inquilinos
- Capacidad del sistema de inquilinos
Diferencias entre los sistemas lógicos y los sistemas de inquilinos
En la tabla 1 se describen las diferencias clave entre los sistemas lógicos y los sistemas de inquilinos.
Funcionalidad |
Sistemas lógicos |
Sistemas de inquilinos |
|---|---|---|
Compatibilidad con funciones |
Admite todas las funciones de enrutamiento para proporcionar rutas de enrutamiento de datos óptimas. |
Admite funciones de enrutamiento y virtualización de seguridad a alta escala para aislar los entornos de los clientes. |
Escalabilidad |
Se pueden configurar un máximo de 32 sistemas lógicos en un firewall físico de la serie SRX. |
Se pueden configurar un máximo de 500 sistemas de inquilinos en un firewall de la serie SRX físico para ofrecer una alta escalabilidad. |
Proceso de protocolo de enrutamiento |
Cada sistema lógico necesita una copia individual del proceso de protocolo de enrutamiento para separar lógicamente los recursos de un dispositivo. |
El sistema lógico principal tiene un proceso de protocolo de enrutamiento único, que es compartido por los sistemas de inquilinos. Las instancias de enrutamiento compatibles con este proceso de protocolo de enrutamiento único logran la separación de recursos de seguridad en el firewall. |
Instancia de enrutamiento |
Se crea automáticamente una instancia de enrutamiento predeterminada para cada sistema lógico. |
A partir de Junos OS versión 19.2R1, el enrutador virtual configurado en un sistema de inquilinos se pasa como la instancia de enrutamiento predeterminada a |
Configuración de interfaz lógica |
El administrador principal asigna las interfaces lógicas y el administrador del sistema lógico puede configurar los atributos de interfaz. |
Un administrador del sistema de inquilinos no puede configurar las interfaces lógicas. El administrador principal asigna las interfaces lógicas a un sistema de inquilinos. |
Casos de uso para sistemas lógicos y sistemas de inquilinos
Se utiliza un sistema lógico cuando se requiere más de un enrutador virtual. Por ejemplo, tiene varias conexiones a la red externa y no pueden coexistir en el mismo enrutador virtual. Los sistemas de inquilinos se utilizan cuando se necesita separar departamentos, organización o clientes, y cada uno de ellos puede estar limitado a un enrutador virtual. La principal diferencia entre un sistema lógico y un sistema de inquilinos es que un sistema lógico admite la funcionalidad de enrutamiento avanzado mediante varias instancias de enrutamiento. En comparación, un sistema de inquilinos solo admite una instancia de enrutamiento, pero admite la implementación de mucho más inquilinos por sistema.
Escenarios de despliegue para sistemas multiinteniente
Puede implementar un firewall de la serie SRX que ejecuta un sistema multiteniente en muchos entornos, como un proveedor de servicios de seguridad administrado (MSSP), una red empresarial o un segmento de sucursales. En la tabla 2 se describen los distintos escenarios de despliegue y las funciones que desempeñan los sistemas de inquilinos en dichos escenarios.
Escenarios de despliegue |
Funciones de un sistema de inquilinos |
|---|---|
Proveedor de servicios de seguridad administrada (MSSP) |
|
Red empresarial |
|
Segmento de sucursales |
|
Beneficios de los sistemas de inquilinos
Reduzca los costos mediante la reducción de la cantidad de dispositivos físicos necesarios para su organización. Puede consolidar servicios para varios grupos de usuarios en un solo dispositivo y reducir los costos de hardware, los gastos de energía y el espacio del bastidor.
Proporcione aislamiento y separación lógica en el nivel del sistema del inquilino. Proporciona la capacidad de separar sistemas de inquilinos con separación administrativa a gran escala en la que cada sistema de inquilino puede definir sus propios controles y restricciones de seguridad sin afectar a otros sistemas de inquilinos.
Funciones y responsabilidades del administrador principal y del administrador del sistema de inquilinos
Un administrador principal crea y administra todos los sistemas de inquilinos. Se crea un sistema lógico principal en el nivel raíz y se asigna un único proceso de protocolo de enrutamiento. Aunque este proceso de protocolo de enrutamiento se comparte, los sistemas de inquilinos permiten la separación lógica de recursos en el firewall. De forma predeterminada, todos los recursos del sistema se asignan al sistema lógico principal y el administrador principal los asigna a los administradores del sistema de inquilinos.
En la referencia de línea de comandos de Junos OS, el sistema lógico principal se denomina sistema lógico raíz.
Se crea un sistema de inquilinos que está subtendido por el sistema lógico principal. Aunque todos los inquilinos bajo el sistema lógico principal comparten un único proceso de enrutamiento, cada sistema de inquilinos tiene una única instancia de enrutamiento. En la tabla 3 se describen las funciones y responsabilidades del administrador principal y del administrador del sistema de inquilinos.
Papeles |
Definición |
Responsabilidades |
|---|---|---|
Administrador principal |
Una cuenta de usuario con configuración de superusuario y privilegios de verificación para todos los sistemas lógicos y de inquilinos. |
|
Administrador del sistema de inquilinos |
Una cuenta del sistema de inquilinos con todos los privilegios de configuración y verificación.
Nota:
Los privilegios de configuración y verificación de un administrador de sistema de inquilinos dependen del permiso que les asigne el administrador principal al crear el administrador del sistema de inquilinos. Se pueden crear varios administradores del sistema de inquilinos para un sistema de inquilinos con diferentes niveles de permiso según sus requisitos. |
El administrador del sistema de inquilinos no admite los siguientes privilegios:
|
Capacidad del sistema de inquilinos
En la tabla 4 se enumera la cantidad máxima de sistemas de inquilinos que se pueden crear en el dispositivo.
| Plataforma |
Capacidad de los sistemas lógicos |
Capacidad de sistemas de inquilinos para Junos OS versión 18.4R1 |
|---|---|---|
| SRX1500 |
32 |
50 |
| SRX4100 y SRX4200 |
32 |
200 |
| SRX4600 |
32 |
300 |
| dispositivos de la serie SRX5400, SRX5600 y SRX5800 con tarjetas SPC2 |
32 |
100 |
| dispositivos de la serie SRX5400, SRX5600 y SRX5800 con tarjetas SPC3 |
32 |
500 |
| dispositivos de la serie SRX5400, SRX5600 y SRX5800 con tarjetas SPC2 y SPC3 |
32 |
100 |
A partir de Junos OS versión 18.4R1, los sistemas de inquilinos se pueden admitir en una puerta de enlace de servicios de seguridad de línea SRX5000 equipada con una combinación de tarjetas de procesamiento de servicios de tercera generación (SRX5K-SPC3) y tarjetas de procesamiento de servicio de segunda generación (SRX5K-SPC-4-15-320). Antes de la versión 18.4R1 de Junos OS, los sistemas de inquilinos solo eran compatibles con SPC2.
Ver también
Descripción general de la configuración del sistema de inquilinos
El administrador principal crea un sistema de inquilinos y asigna un administrador para administrar el sistema de inquilinos. Un sistema de inquilinos puede tener varios administradores. Las funciones y responsabilidades de un administrador del sistema de inquilinos se explican en Descripción de los sistemas de inquilinos.
El administrador principal configura las interfaces lógicas y las asigna al sistema de inquilinos. Configure una instancia de enrutamiento y los protocolos de enrutamiento, y agregue opciones para la instancia de enrutamiento. Consulte Configurar una instancia de enrutamiento para un sistema de inquilinos.
Los sistemas de inquilinos tienen su propia base de datos de configuración. Después de la configuración correcta, los cambios se fusionan en la base de datos principal para cada sistema de inquilinos. Varios sistemas de inquilinos pueden realizar cambios de configuración a la vez. Puede confirmar los cambios solo para un inquilino a la vez. Si el administrador principal y un administrador del sistema de inquilinos realizan cambios de configuración simultáneamente, los cambios de configuración realizados por el administrador principal invalidan los cambios de configuración realizados por el administrador del sistema de inquilinos.
En los siguientes pasos se explican las tareas que realiza el administrador del sistema de inquilinos para configurar las funciones de seguridad en un sistema de inquilinos:
Configuración de una instancia de enrutamiento para un sistema de inquilinos
Una instancia de enrutamiento es una colección de tablas de enrutamiento, interfaces y parámetros de protocolo de enrutamiento. Un conjunto de interfaces que pertenecen a la instancia de enrutamiento y los parámetros del protocolo de enrutamiento controlan la información en la instancia de enrutamiento. Un sistema de inquilinos puede configurar la instancia de enrutamiento asignada y las interfaces que pertenecen a la instancia de enrutamiento dentro de un sistema de inquilinos.
Solo se puede crear una instancia de enrutamiento para un sistema de inquilinos.
En el siguiente procedimiento se describen los pasos para configurar una instancia de enrutamiento e interfaces en una tabla de enrutamiento para un sistema de inquilinos:
Para ver la configuración del sistema TSYS1de inquilinos, ejecute el show tenants TSYS1 comando.
routing-instances {
r1 {
instance-type virtual-router;
interface lt-0/0/0.101;
interface xe-0/0/0.0;
interface xe-0/0/1.0;
routing-options {
router-id 1.1.1.101;
}
}
}
El show tenants TSYS1 comando muestra todos los parámetros de instancia de enrutamiento configurados para el sistema TSYS1de inquilinos.
Descripción del enrutamiento y las interfaces para sistemas de inquilinos
Una instancia de enrutamiento es una colección de tablas de enrutamiento, interfaces y parámetros de protocolo de enrutamiento. Las interfaces se utilizan para reenviar datos para la instancia de enrutamiento y para aprender la información de enrutamiento de otros pares (firewalls serie SRX) mediante protocolos de enrutamiento.
Una interfaz lógica (IFL) se puede definir en uno de los siguientes niveles:
Nivel global (sistema lógico raíz)
Nivel de sistema lógico del usuario
Nivel del sistema de inquilinos (a partir de la versión Junos OS 18.4R1)
La IFL definida a nivel global se puede usar en el sistema lógico raíz o en uno de los sistemas de inquilinos. La IFL definida en un sistema de inquilinos se puede usar solo en ese sistema de inquilinos.
La instancia de enrutamiento predeterminada no está disponible para los sistemas de inquilinos. Por lo tanto, cuando se crea una instancia de enrutamiento personalizado para un sistema de inquilinos, todas las interfaces definidas en ese sistema de inquilinos se deben agregar a esa instancia de enrutamiento.
Descripción general: Configuración de enrutamiento e interfaces para sistemas de inquilinos
En esta descripción general, se muestra cómo configurar interfaces e instancias de enrutamiento para un sistema de inquilinos.
Requisitos
Antes de empezar:
Determine qué interfaces lógicas y, opcionalmente, qué interfaces de túnel lógico se asignan. Consulte Descripción general de la configuración del sistema de inquilinos.
Visión general
En el siguiente procedimiento se describen los pasos para configurar una instancia de enrutamiento e interfaces en una tabla de enrutamiento dentro de un sistema de inquilinos.
En este tema se configuran las interfaces y las instancias de enrutamiento descritas en la tabla 5.
Característica |
Nombre |
Parámetros de configuración |
|---|---|---|
Interfaz |
ge-0/0/2.1 ge-0/0/2.2 ge-0/0/2.3 |
|
Instancia de enrutamiento |
r1 R2 |
|
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2.3 vlan-id 103 set interfaces ge-0/0/2.3 family inet address 10.0.0.3/24 set tenants TSYS1 set tenants TSYS1 interfaces ge-0/0/2.1 vlan-id 101 set tenants TSYS1 interfaces ge-0/0/2.1 family inet address 10.0.0.1/24 set tenants TSYS1 routing-instances r1 instance-type virtual-router set tenants TSYS1 routing-instances r1 interface ge-0/0/2.1 set tenants TSYS1 routing-instances r1 interface ge-0/0/2.3 set tenants TSYS2 set tenants TSYS2 interfaces ge-0/0/2.2 vlan-id 102 set tenants TSYS2 interfaces ge-0/0/2.2 family inet address 10.0.0.2/24 set tenants TSYS2 routing-instances r2 instance-type virtual-router set tenants TSYS2 routing-instances r2 interface ge-0/0/2.2
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.
Para configurar una interfaz y una instancia de enrutamiento en un sistema lógico de usuario:
Configure las interfaces para admitir el etiquetado de VLAN.
[edit] user@host# set interfaces ge-0/0/2 vlan-tagging
Configure la IFL en el nivel raíz.
[edit] set interfaces ge-0/0/2.3 vlan-id 103 set interfaces ge-0/0/2.3 family inet address 10.0.0.3/24
Cree un sistema de inquilinos denominado
TSYS1.[edit] user@host# set tenants TSYS1
Defina la interfaz en el sistema de inquilinos TSYS1.
[edit] user@host# set tenants TSYS1 interfaces ge-0/0/2.1 vlan-id 101 user@host# set tenants TSYS1 interfaces ge-0/0/2.1 family inet address 10.0.0.1/24 user@host# set tenants TSYS1 routing-instances r1 interface ge-0/0/2.3
Cree una instancia
r1de enrutamiento y asigne el tipo de instancia de enrutamiento para el sistema de inquilinos.[edit] user@host# set tenants TSYS1 routing-instances r1 instance-type virtual-router
Especifique el nombre de interfaz para la instancia de enrutamiento.
[edit] user@host# set tenants TSYS1 routing-instances r1 interface ge-0/0/2.1
Cree un sistema de inquilinos denominado
TSYS2.[edit] user@host# set tenants TSYS2
Defina la interfaz en el sistema de inquilinos TSYS2.
[edit] user@host# set tenants TSYS2 interfaces ge-0/0/2.2 vlan-id 102 user@host# set tenants TSYS2 interfaces ge-0/0/2.2 family inet address 10.0.0.2/24
Cree una instancia
r2de enrutamiento y asigne el tipo de instancia de enrutamiento para el sistema de inquilinos.[edit] user@host# set tenants TSYS2 routing-instances r2 instance-type virtual-router
Especifique el nombre de interfaz para la instancia de enrutamiento.
[edit] user@host# set tenants TSYS2 routing-instances r2 interface ge-0/0/2.2
Confirme la configuración.
[edit] user@host# commit
Resultados
Desde el modo de configuración, ingrese los comandos y show tenants para confirmar la show interfaces configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show interfaces
ge-0/0/2 {
vlan-tagging;
unit 3 {
vlan-id 103;
family inet {
address 10.0.0.3/24;
}
}
}
[edit]
user@host# show tenants
TSYS1 {
interfaces {
ge-0/0/2 {
unit 1 {
vlan-id 101;
family inet {
address 10.0.0.1/24;
}
}
}
}
routing-instances {
r1 {
instance-type virtual-router;
interface ge-0/0/2.1;
interface ge-0/0/2.3;
}
}
}
TSYS2 {
interfaces {
ge-0/0/2 {
unit 2 {
vlan-id 102;
family inet {
address 10.0.0.2/24;
}
}
}
}
routing-instances {
r2 {
instance-type virtual-router;
interface ge-0/0/2.2;
}
}
}
El show tenants comando muestra todas las interfaces definidas en los sistemas TSYS1 de inquilinos y , y TSYS2los parámetros de instancia de enrutamiento configurados para ambos sistemas de inquilinos.
user@host> show interfaces ge-0/0/2.1 detail
Logical interface ge-0/0/2.1 (Index 89) (SNMP ifIndex 548) (Generation 161)
Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.101 ] Encapsulation: ENET2
Tenant Name: TSYS1
Traffic statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Local statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Security: Zone: Null
Flow Statistics :
..............................
user@host> show interfaces ge-0/0/2.2 detail
Logical interface ge-0/0/2.2 (Index 90) (SNMP ifIndex 549) (Generation 162)
Flags: Up SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.102 ] Encapsulation: ENET2
Tenant Name: TSYS2
Traffic statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Local statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Security: Zone: Null
Flow Statistics :
Flow Input statistics :
Self packets : 0
ICMP packets : 0
VPN packets : ..............................
Descripción de los perfiles de seguridad del sistema de inquilinos (solo administradores principales)
Los sistemas de inquilinos le permiten dividir virtualmente un firewall de la serie SRX compatible en varios dispositivos, protegiéndolos de intrusiones y ataques, y protegiéndolos de condiciones defectuosas fuera de sus propios contextos. Para proteger los sistemas de inquilinos, los recursos de seguridad se configuran de manera similar a como se configuran para un dispositivo discreto. Sin embargo, el administrador principal asigna recursos a los sistemas de inquilinos.
Un firewall serie SRX que ejecuta sistemas de inquilinos se puede particionar en sistemas de inquilinos, un sistema de inquilinos interconectado, si es necesario, y el sistema lógico principal predeterminado. Cuando se inicializa el sistema, el sistema lógico principal se crea en la raíz. Se le asignan todos los recursos del sistema, lo que crea efectivamente un perfil de seguridad de sistema lógico principal predeterminado. Para distribuir los recursos de seguridad entre los sistemas de inquilinos, el administrador principal crea perfiles de seguridad que especifican los recursos que se asignarán a un sistema de inquilinos. Solo el administrador principal puede configurar perfiles de seguridad y enlazarlos a los sistemas de inquilinos. El administrador del sistema de inquilinos usa estos recursos para el respectivo sistema de inquilinos.
Los sistemas de inquilinos se definen por los recursos asignados, incluidos los componentes de seguridad, las interfaces, la instancia de enrutamiento, las rutas estáticas y los protocolos de enrutamiento dinámico. El administrador principal configura los perfiles de seguridad y los asigna a los sistemas de inquilinos. No puede confirmar una configuración de sistema de inquilino sin un perfil de seguridad asignado.
Este tema incluye las siguientes secciones:
- Perfiles de seguridad de los sistemas de inquilinos
- Descripción de cómo el sistema evalúa la asignación y el uso de recursos en los sistemas de inquilinos
- Casos: Evaluaciones de recursos reservados asignados a través de perfiles de seguridad
Perfiles de seguridad de los sistemas de inquilinos
El administrador principal puede configurar y asignar un perfil de seguridad a un sistema de inquilino específico o a varios sistemas de inquilinos. La cantidad máxima de perfiles de seguridad que se pueden configurar depende de la capacidad de un firewall serie SRX. Cuando se haya creado la cantidad máxima de perfiles de seguridad, debe eliminar un perfil de seguridad y confirmar el cambio de configuración para poder crear y confirmar otro perfil de seguridad. En muchos casos, se necesitan menos perfiles de seguridad, ya que puede enlazar un único perfil de seguridad a más de un sistema de inquilinos.
Los perfiles de seguridad le permiten:
Comparta los recursos del dispositivo, incluidas políticas, zonas, direcciones y libretas de direcciones, sesiones de flujo y varias formas de TDR, entre todos los sistemas de inquilinos de manera adecuada. Puede asignar varias cantidades de un recurso a los sistemas de inquilinos y permitir que los sistemas de inquilinos utilicen los recursos de manera eficaz.
Los perfiles de seguridad protegen contra un sistema de inquilinos que agota un recurso que otros sistemas de inquilinos requieren al mismo tiempo. Los perfiles de seguridad protegen los recursos críticos del sistema y mantienen un mejor rendimiento entre los sistemas de inquilinos cuando el dispositivo experimenta un flujo de tráfico pesado. Los perfiles de seguridad se defienden de un sistema de inquilinos que domina el uso de recursos y permiten que los otros sistemas de inquilinos usen los recursos de manera efectiva.
Configure el dispositivo de una manera escalable para permitir la creación de sistemas de inquilinos adicionales.
Debe eliminar el perfil de seguridad de un sistema de inquilinos antes de poder eliminar el sistema de inquilinos.
Descripción de cómo el sistema evalúa la asignación y el uso de recursos en los sistemas de inquilinos
Para aprovisionar un sistema de inquilinos con funciones de seguridad, el administrador principal configura un perfil de seguridad que especifica el recurso para cada característica de seguridad:
Una cuota reservada que garantiza que la cantidad de recursos especificada siempre esté disponible para el sistema de inquilinos.
Una cuota máxima permitida. Si un sistema de inquilinos requiere recursos adicionales que superen la cuota reservada, puede utilizar los recursos configurados para la cantidad máxima global si los recursos globales no se asignan a los otros sistemas de inquilinos. La cuota máxima permitida no garantiza que la cantidad especificada para el recurso en el perfil de seguridad esté disponible. Los sistemas de inquilinos deben utilizar los recursos globales de manera efectiva en función de los recursos disponibles.
Si una cuota reservada no está configurada para un recurso, el valor predeterminado es 0. Si no se configura una cuota máxima permitida para un recurso, el valor predeterminado es la cuota de sistema global para el recurso (las cuotas del sistema global dependen de la plataforma). El administrador principal debe configurar los valores de cuota máxima permitida adecuados en los perfiles de seguridad para que el uso máximo de recursos de un sistema de inquilino específico no afecte negativamente a otros sistemas de inquilinos configurados en el dispositivo.
El sistema mantiene un recuento de todos los recursos asignados que se reservan, utilizan y vuelven a estar disponibles cuando se elimina un sistema de inquilinos. Este recuento determina si los recursos están disponibles para usar en los sistemas de inquilinos o para aumentar la cantidad de recursos asignados a los sistemas de inquilinos existentes mediante sus perfiles de seguridad.
Los recursos configurados en los perfiles de seguridad se caracterizan por ser recursos modulares estáticos o dinámicos. En el caso de los recursos estáticos, se recomienda establecer una cuota máxima para un recurso igual o cercano a la cantidad especificada como su cuota reservada, para permitir la configuración escalable de sistemas de inquilinos. Una cuota máxima para un recurso le da al sistema de inquilinos una mayor flexibilidad mediante el acceso a una mayor cantidad de ese recurso, pero limita la cantidad de recursos disponibles para asignar a otros sistemas de inquilinos.
Se pueden especificar los siguientes recursos de características de seguridad en un perfil de seguridad:
Zonas de seguridad
Direcciones y libretas de direcciones para políticas de seguridad
Conjuntos de reglas de firewall de aplicaciones
Reglas de firewall de aplicación
Autenticación de firewall
Puertas y sesiones de flujo
TDR, incluyendo:
Enlaces TDR cono
Regla de destino TDR
Grupo de destino TDR
Dirección IP TDR en el grupo de origen sin traducción de direcciones de puerto (PAT)
Nota:Las direcciones IPv6 en grupos de origen IPv6 sin PAT no se incluyen en los perfiles de seguridad.
Dirección IP TDR en el conjunto de fuentes con PAT
Sobrecarga de puerto TDR
Grupo de origen TDR
Regla de origen TDR
Regla estática TDR
Todos los recursos, excepto las sesiones de flujo, son estáticos.
Puede modificar un perfil de seguridad del sistema de inquilinos dinámicamente mientras que el perfil de seguridad se asigna a otros sistemas de inquilinos. Sin embargo, para garantizar que no se supere la cuota de recursos del sistema, el sistema realiza las siguientes acciones:
Si se cambia una cuota estática, el proceso del sistema que mantiene el sistema de inquilinos cuenta para los recursos especificados en perfiles de seguridad reevaluará posteriormente los perfiles de seguridad asignados al perfil asociado con la cuota estática. Esta comprobación identifica la cantidad de recursos asignados en todos los sistemas de inquilinos para determinar si los recursos asignados, incluidos sus montos crecientes, están disponibles.
Estas comprobaciones de cuota son las mismas que el sistema realiza al agregar un sistema de inquilinos y enlazar un perfil de seguridad a él. También se realizan cuando se vincula un perfil de seguridad diferente del perfil de seguridad que se le asigna actualmente a un sistema de inquilinos existente (o al sistema lógico principal).
Si se revisa una cuota dinámica, no se realiza ninguna comprobación, pero la cuota revisada se impone al uso futuro de los recursos.
Casos: Evaluaciones de recursos reservados asignados a través de perfiles de seguridad
Para comprender cómo el sistema evalúa la asignación de recursos reservados a través de perfiles de seguridad, considere los tres casos que se explican a continuación en el cuadro 7 y que abordan la asignación de los recursos y zonas. Para simplificar el ejemplo, se asignan 10 zonas en perfil de seguridad 1: 4 zonas reservadas y 6 zonas máximas. En este ejemplo, se da por sentado que la cantidad máxima especificada (seis zonas) está disponible para los sistemas de inquilinos. El número máximo de zonas del sistema es 10.
Los tres casos abordan la configuración en los sistemas de inquilinos. Los tres casos verifican si una configuración se realiza correctamente o se produce un error cuando se confirma en función de la asignación de zonas.
En la Tabla 6 se muestran los perfiles de seguridad y sus asignaciones de zonas.
Dos perfiles de seguridad utilizados en los casos de configuración |
|---|
perfil de seguridad 1
Nota:
El administrador principal aumenta dinámicamente el recuento de zonas reservadas especificado en este perfil más adelante. |
perfil de sistema lógico principal
|
En la tabla 7, se muestran tres casos que ilustran cómo el sistema evalúa los recursos reservados para las zonas en los sistemas de inquilinos en función de las configuraciones del perfil de seguridad.
La configuración para el primer caso se realiza correctamente porque la cuota de recursos reservados acumulativa para las zonas configuradas en los perfiles de seguridad vinculados a todos los sistemas de inquilinos es 8, que es menor que la cuota de recursos máximo del sistema.
La configuración para el segundo caso se produce un error porque la cuota acumulada de recursos reservados para las zonas configuradas en los perfiles de seguridad vinculados a todos los sistemas lógicos es 12, que es mayor que la cuota de recursos máximos del sistema.
La configuración para el tercer caso se produce un error porque la cuota acumulada de recursos reservados para las zonas configuradas en los perfiles de seguridad vinculados a todos los sistemas de inquilinos es 12, que es mayor que la cuota de recursos máximos del sistema.
Comprobaciones de cuota de recursos reservados en los sistemas de inquilinos |
|---|
Ejemplo 1: Tiene éxito Esta configuración está dentro de los límites: 4+4+0=8, capacidad máxima =10. Perfiles de seguridad utilizados
|
Ejemplo 2: Error Esta configuración está fuera de límites: 4+4+4=12, capacidad máxima =10.
Perfiles de seguridad
|
Ejemplo 3: Error Esta configuración está fuera de límites: 6+6=12, capacidad máxima =10. El administrador principal modifica la cuota de zonas reservadas en security-profile-1, aumentando el recuento a 6.
|
Ejemplo: Creación de sistemas de inquilinos, administradores de sistema de inquilinos y un conmutador VPLS de interconexión
En este ejemplo, se muestra cómo crear sistemas de inquilinos, administradores de sistema de inquilinos y un conmutador VPLS de interconexión. Solo el administrador principal puede crear cuentas de inicio de sesión de usuario para los administradores del sistema de inquilinos y el conmutador VPLS de interconexión.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
-
Firewall serie SRX.
-
Junos OS versión 18.4R1 y versiones posteriores.
-
Antes de comenzar a crear los sistemas de inquilinos, los administradores del sistema de inquilinos y un conmutador VPLS de interconexión, lea Descripción general de sistemas de inquilinos para comprender cómo encaja esta tarea en el proceso de configuración general.
Visión general
En este ejemplo, se muestra cómo crear los sistemas TSYS1de inquilinos TSYS2y , TSYS3y los administradores del sistema de inquilinos para ellos. Puede crear varios administradores de sistemas de inquilinos para un sistema de inquilinos con diferentes niveles de permiso según sus requisitos.
En este tema también se trata el conmutador del servicio DE LAN privada virtual (VPLS) de interconexión que conecta un sistema de inquilino a otro en el mismo dispositivo. El conmutador VPLS permite que tanto el tráfico de tránsito como el tráfico terminado en un sistema de inquilino pasen entre sistemas de inquilinos. Para permitir que el tráfico pase entre sistemas de inquilinos, las interfaces de túnel lógico (lt-0/0/0) se deben configurar en la misma subred.
Topología
La Figura 2 muestra un firewall serie SRX implementado y configurado para sistemas de inquilinos. El ejemplo de configuración usa enrutamiento estático para permitir que los equipos alcancen a Internet.
VPLS
Configuración rápida completa de SRX
Configuración de sistemas lógicos y de inquilinos, e interconexión del conmutador VPLS
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea y cambie los detalles necesarios para que coincidan con su configuración de red para incluir interfaces y contraseñas de usuario. A continuación, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía y ingrese commit desde el modo de configuración.
set system login class TSYS1admin1 tenant TSYS1 set system login class TSYS1admin1 permissions all set system login class TSYS2admin1 tenant TSYS2 set system login class TSYS2admin1 permissions all set system login class TSYS3admin1 tenant TSYS3 set system login class TSYS3admin1 permissions all set system login user TSYS1admin1 uid 2001 set system login user TSYS1admin1 class TSYS1admin1 set system login user TSYS1admin1 authentication encrypted-password "$ABC123" set system login user TSYS2admin1 uid 2003 set system login user TSYS2admin1 class TSYS2admin1 set system login user TSYS2admin1 authentication encrypted-password "$ABC123" set system login user TSYS3admin1 uid 2005 set system login user TSYS3admin1 class TSYS3admin1 set system login user TSYS3admin1 authentication encrypted-password "$ABC123" set system security-profile SP0 logical-system root-ls set system security-profile SP1 tenant TSYS1 set system security-profile SP2 tenant TSYS2 set system security-profile SP3 tenant TSYS3 set logical-systems root-ls interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 set logical-systems root-ls interfaces lt-0/0/0 unit 0 encapsulation ethernet set logical-systems root-ls interfaces lt-0/0/0 unit 0 peer-unit 100 set logical-systems root-ls interfaces lt-0/0/0 unit 0 family inet address 10.0.1.10/24 set logical-systems root-ls routing-options static route 192.168.1.0/24 next-hop 10.0.1.1 set logical-systems root-ls routing-options static route 192.168.2.0/24 next-hop 10.0.1.2 set logical-systems root-ls routing-options static route 192.168.3.0/24 next-hop 10.0.1.3 set logical-systems root-ls security address-book global address TSYS1 192.168.1.0/24 set logical-systems root-ls security address-book global address TSYS2 192.168.2.0/24 set logical-systems root-ls security address-book global address TSYS3 192.168.3.0/24 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS1 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS2 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS3 set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match destination-address any set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match application any set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out then permit set logical-systems root-ls security zones security-zone trust host-inbound-traffic system-services ping set logical-systems root-ls security zones security-zone trust interfaces lt-0/0/0.0 set logical-systems root-ls security zones security-zone untrust host-inbound-traffic system-services ping set logical-systems root-ls security zones security-zone untrust interfaces ge-0/0/0.0 set interfaces lt-0/0/0 unit 1 encapsulation ethernet set interfaces lt-0/0/0 unit 1 peer-unit 101 set interfaces lt-0/0/0 unit 1 family inet address 10.0.1.1/24 set interfaces lt-0/0/0 unit 2 encapsulation ethernet set interfaces lt-0/0/0 unit 2 peer-unit 102 set interfaces lt-0/0/0 unit 2 family inet address 10.0.1.2/24 set interfaces lt-0/0/0 unit 3 encapsulation ethernet set interfaces lt-0/0/0 unit 3 peer-unit 103 set interfaces lt-0/0/0 unit 3 family inet address 10.0.1.3/24 set interfaces lt-0/0/0 unit 100 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 100 peer-unit 0 set interfaces lt-0/0/0 unit 101 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 101 peer-unit 1 set interfaces lt-0/0/0 unit 102 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 102 peer-unit 2 set interfaces lt-0/0/0 unit 103 encapsulation ethernet-vpls set interfaces lt-0/0/0 unit 103 peer-unit 3 set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.254/24 set interfaces ge-0/0/2 unit 0 family inet address 192.168.2.254/24 set interfaces ge-0/0/3 unit 0 family inet address 192.168.3.254/24 set routing-instances VPLS instance-type vpls set routing-instances VPLS interface lt-0/0/0.100 set routing-instances VPLS interface lt-0/0/0.101 set routing-instances VPLS interface lt-0/0/0.102 set routing-instances VPLS interface lt-0/0/0.103 set tenants TSYS1 routing-instances vr1 instance-type virtual-router set tenants TSYS1 routing-instances vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS1 routing-instances vr1 interface lt-0/0/0.1 set tenants TSYS1 routing-instances vr1 interface ge-0/0/1.0 set tenants TSYS1 security address-book global address PC1 192.168.1.0/24 set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match source-address PC1 set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match destination-address any set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match application any set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out then permit set tenants TSYS1 security zones security-zone PC1 host-inbound-traffic system-services ping set tenants TSYS1 security zones security-zone PC1 interfaces ge-0/0/1.0 set tenants TSYS1 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS1 security zones security-zone VPLS interfaces lt-0/0/0.1 set tenants TSYS2 routing-instances vr2 instance-type virtual-router set tenants TSYS2 routing-instances vr2 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS2 routing-instances vr2 interface lt-0/0/0.2 set tenants TSYS2 routing-instances vr2 interface ge-0/0/2.0 set tenants TSYS2 security address-book global address PC2 192.168.2.0/24 set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match source-address PC2 set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match destination-address any set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out match application any set tenants TSYS2 security policies from-zone PC2 to-zone VPLS policy allow-out then permit set tenants TSYS2 security zones security-zone PC2 host-inbound-traffic system-services ping set tenants TSYS2 security zones security-zone PC2 interfaces ge-0/0/2.0 set tenants TSYS2 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS2 security zones security-zone VPLS interfaces lt-0/0/0.2 set tenants TSYS3 routing-instances vr3 instance-type virtual-router set tenants TSYS3 routing-instances vr3 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 set tenants TSYS3 routing-instances vr3 interface lt-0/0/0.3 set tenants TSYS3 routing-instances vr3 interface ge-0/0/3.0 set tenants TSYS3 security address-book global address PC3 192.168.3.0/24 set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match source-address PC3 set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match destination-address any set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out match application any set tenants TSYS3 security policies from-zone PC3 to-zone VPLS policy allow-out then permit set tenants TSYS3 security zones security-zone PC3 host-inbound-traffic system-services ping set tenants TSYS3 security zones security-zone PC3 interfaces ge-0/0/3.0 set tenants TSYS3 security zones security-zone VPLS host-inbound-traffic system-services ping set tenants TSYS3 security zones security-zone VPLS interfaces lt-0/0/0.3
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI. Solo cubriremos la configuración de un inquilino para el procedimiento paso a paso.
-
Cree las cuentas de usuario de inicio de sesión para cada inquilino. Solo mostraremos los pasos para crear la cuenta de usuario del inquilino
TSYS1.-
Cree la clase de inicio de sesión de usuario y asígnela al sistema de inquilinos.
[edit] user@SRX# set system login class TSYS1admin1 tenant TSYS1
-
Asigne un nivel de permisos a la clase de inicio de sesión, para este ejemplo usaremos el nivel
allque permite el acceso completo al administrador del sistema de inquilinos.[edit] user@SRX# set system login class TSYS1admin1 permissions all
-
Cree una cuenta de usuario y asígnela a la clase a partir de los pasos anteriores. Esto permitirá que el usuario inicie sesión en el sistema del inquilino.
[edit] user@SRX# set system login user TSYS1admin1 class TSYS1admin1
-
Cree una contraseña de inicio de sesión de usuario para la cuenta de usuario.
[edit] user@SRX# set system login user TSYS1admin1 authentication plain-text-password New password: "$ABC123" Retype new password: "$ABC123"
-
-
Configure el conmutador VPLS. El conmutador VPLS permite que tanto el tráfico de tránsito como el tráfico terminado en un sistema de inquilino pasen entre sistemas de inquilinos con un único túnel lógico. Las interfaces de túnel lógico se deben configurar en la misma subred para permitir el tráfico entre sistemas de inquilinos.
-
Configure las interfaces de túnel lógico.
[edit] user@SRX# set interfaces lt-0/0/0 unit 100 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 100 peer-unit 0 user@SRX# set interfaces lt-0/0/0 unit 101 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 101 peer-unit 1 user@SRX# set interfaces lt-0/0/0 unit 102 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 102 peer-unit 2 user@SRX# set interfaces lt-0/0/0 unit 103 encapsulation ethernet-vpls user@SRX# set interfaces lt-0/0/0 unit 103 peer-unit 3
-
Configure una instancia de enrutamiento para el conmutador VPLS y asigne las interfaces de túnel lógico.
[edit] user@SRX# set routing-instances VPLS instance-type vpls user@SRX# set routing-instances VPLS interface lt-0/0/0.100 user@SRX# set routing-instances VPLS interface lt-0/0/0.101 user@SRX# set routing-instances VPLS interface lt-0/0/0.102 user@SRX# set routing-instances VPLS interface lt-0/0/0.103
-
-
Configure los sistemas de inquilinos. Solo mostramos la configuración de un inquilino.
-
Configure las interfaces asociadas con el inquilino.
[edit] user@SRX# set interfaces lt-0/0/0 unit 1 encapsulation ethernet user@SRX# set interfaces lt-0/0/0 unit 1 peer-unit 101 user@SRX# set interfaces lt-0/0/0 unit 1 family inet address 10.0.1.1/24 user@SRX# set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.254/24
-
Configure el inquilino, la instancia de enrutamiento, el enrutamiento estático y asigne las interfaces.
[edit] user@SRX# set tenants TSYS1 routing-instances vr1 instance-type virtual-router user@SRX# set tenants TSYS1 routing-instances vr1 routing-options static route 0.0.0.0/0 next-hop 10.0.1.10 user@SRX# set tenants TSYS1 routing-instances vr1 interface lt-0/0/0.1 user@SRX# set tenants TSYS1 routing-instances vr1 interface ge-0/0/1.0
-
-
Configure los perfiles de seguridad. Solo mostramos la configuración mínima necesaria para configurar sistemas lógicos y de inquilino para este ejemplo.
[edit] user@SRX# set system security-profile SP0 logical-system root-ls user@SRX# set system security-profile SP1 tenant TSYS1 user@SRX# set system security-profile SP2 tenant TSYS2 user@SRX# set system security-profile SP3 tenant TSYS3
-
Configure los sistemas lógicos. En este ejemplo, el uso de un conmutador VPLS de interconexión requiere un sistema lógico.
-
Configure las interfaces.
[edit] user@SRX# set logical-systems root-ls interfaces ge-0/0/0 unit 0 family inet address 192.168.10.1/24 user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 encapsulation ethernet user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 peer-unit 100 user@SRX# set logical-systems root-ls interfaces lt-0/0/0 unit 0 family inet address 10.0.1.10/24
-
Configure las rutas estáticas.
[edit] user@SRX# set logical-systems root-ls routing-options static route 192.168.1.0/24 next-hop 10.0.1.1 user@SRX# set logical-systems root-ls routing-options static route 192.168.2.0/24 next-hop 10.0.1.2 user@SRX# set logical-systems root-ls routing-options static route 192.168.3.0/24 next-hop 10.0.1.3
-
-
Configure las zonas y políticas de seguridad en los sistemas lógicos para permitir que el tráfico fluya desde los inquilinos hacia Internet. Se pueden configurar políticas de seguridad adicionales en los sistemas lógicos y de inquilinos para permitir el tráfico entre inquilinos.
-
Configure zonas de seguridad.
[edit] user@SRX# set logical-systems root-ls security zones security-zone trust host-inbound-traffic system-services ping user@SRX# set logical-systems root-ls security zones security-zone trust interfaces lt-0/0/0.0 user@SRX# set logical-systems root-ls security zones security-zone untrust host-inbound-traffic system-services ping user@SRX# set logical-systems root-ls security zones security-zone untrust interfaces ge-0/0/0.0
-
Configure políticas de seguridad.
[edit] user@SRX# set logical-systems root-ls security address-book global address TSYS1 192.168.1.0/24 user@SRX# set logical-systems root-ls security address-book global address TSYS2 192.168.2.0/24 user@SRX# set logical-systems root-ls security address-book global address TSYS3 192.168.3.0/24 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS1 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS2 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match source-address TSYS3 user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match destination-address any user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out match application any user@SRX# set logical-systems root-ls security policies from-zone trust to-zone untrust policy allow-out then permit
-
-
Configure las zonas y políticas de seguridad en cada sistema de inquilinos para permitir que el tráfico fluya a Internet.
-
Configure zonas de seguridad.
[edit] user@SRX# set tenants TSYS1 security zones security-zone PC1 host-inbound-traffic system-services ping user@SRX# set tenants TSYS1 security zones security-zone PC1 interfaces ge-0/0/1.0 user@SRX# set tenants TSYS1 security zones security-zone VPLS host-inbound-traffic system-services ping user@SRX# set tenants TSYS1 security zones security-zone VPLS interfaces lt-0/0/0.1
-
Configure políticas de seguridad.
[edit] user@SRX# set tenants TSYS1 security address-book global address PC1 192.168.1.0/24 user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match source-address PC1 user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match destination-address any user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out match application any user@SRX# set tenants TSYS1 security policies from-zone PC1 to-zone VPLS policy allow-out then permit
-
Resultados
Desde el modo de configuración, ingrese el show tenants TSYS1 comando para confirmar que se creó el sistema de inquilinos. Escriba el show system login class TSYS1admin1 comando para ver el nivel de permiso para cada clase que haya definido. Para asegurarse de que se crearon los administradores del sistema de inquilinos, escriba el show system login user TSYS1admin1 comando. Para asegurarse de que se crean las interfaces para interconectar el conmutador VPLS, escriba el show interfaces comando. Ingrese show logical-systems para comprobar la configuración de los sistemas lógicos raíz.
user@SRX# show tenants TSYS1
routing-instances {
vr1 {
instance-type virtual-router;
routing-options {
static {
route 0.0.0.0/0 next-hop 10.0.1.10;
}
}
interface lt-0/0/0.1;
interface ge-0/0/1.0;
}
}
security {
address-book {
global {
address PC1 192.168.1.0/24;
}
}
policies {
from-zone PC1 to-zone VPLS {
policy allow-out {
match {
source-address PC1;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone PC1 {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone VPLS {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
lt-0/0/0.1;
}
}
}
}
user@SRX# show system login class TSYS1admin1 tenant TSYS1; permissions all;
user@SRX# show system login user TSYS1admin1
uid 2001;
class TSYS1admin1;
authentication {
encrypted-password "$ABC123";
}
user@SRX# show interfaces
lt-0/0/0 {
unit 1 {
encapsulation ethernet;
peer-unit 101;
family inet {
address 10.0.1.1/24;
}
}
unit 2 {
encapsulation ethernet;
peer-unit 102;
family inet {
address 10.0.1.2/24;
}
}
unit 3 {
encapsulation ethernet;
peer-unit 103;
family inet {
address 10.0.1.3/24;
}
}
unit 100 {
encapsulation ethernet-vpls;
peer-unit 0;
}
unit 101 {
encapsulation ethernet-vpls;
peer-unit 1;
}
unit 102 {
encapsulation ethernet-vpls;
peer-unit 2;
}
unit 103 {
encapsulation ethernet-vpls;
peer-unit 3;
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.168.1.254/24;
}
}
}
ge-0/0/2 {
unit 0 {
family inet {
address 192.168.2.254/24;
}
}
}
ge-0/0/3 {
unit 0 {
family inet {
address 192.168.3.254/24;
}
}
}
user@SRX# show logical-systems
root-ls {
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.10.1/24;
}
}
}
lt-0/0/0 {
unit 0 {
encapsulation ethernet;
peer-unit 100;
family inet {
address 10.0.1.10/24;
}
}
}
}
routing-options {
static {
route 192.168.1.0/24 next-hop 10.0.1.1;
route 192.168.2.0/24 next-hop 10.0.1.2;
route 192.168.3.0/24 next-hop 10.0.1.3;
}
}
security {
address-book {
global {
address TSYS1 192.168.1.0/24;
address TSYS2 192.168.2.0/24;
address TSYS3 192.168.3.0/24;
}
}
policies {
from-zone trust to-zone untrust {
policy allow-out {
match {
source-address [ TSYS1 TSYS2 TSYS3 ];
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
lt-0/0/0.0;
}
}
security-zone untrust {
host-inbound-traffic {
system-services {
ping;
}
}
interfaces {
ge-0/0/0.0;
}
}
}
}
}
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en estos ejemplos para corregirla. Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Verificar los sistemas de inquilinos y las configuraciones de inicio de sesión mediante el administrador principal
- Verificar sistemas de inquilinos y configuraciones de inicio de sesión mediante SSH
- Verificar la conectividad de PC1 a Internet
Verificar los sistemas de inquilinos y las configuraciones de inicio de sesión mediante el administrador principal
Propósito
Compruebe que los sistemas de inquilinos existen y puede ingresarlos desde la raíz como administrador principal. Vuelva del sistema de inquilinos a la raíz.
Acción
Desde el modo operativo, utilice el siguiente comando para entrar en los sistemas TSYS1de inquilinos:
user@SRX> set cli tenant TSYS1 Tenant: TSYS1 user@SRX:TSYS1>
Ahora se ingresa en los sistemas TSYS1de inquilinos. Utilice el siguiente comando para salir de los sistemas TSYS1 de inquilinos a la raíz:
user@SRX:TSYS1> clear cli tenant Cleared default tenants user@SRX>
Significado
El sistema de inquilinos existe y puede entrar en el sistema de inquilinos desde la raíz como administrador principal.
Verificar sistemas de inquilinos y configuraciones de inicio de sesión mediante SSH
Propósito
Compruebe que los sistemas de inquilinos que creó existen y que los ID de inicio de sesión y las contraseñas de administrador que creó son correctos.
Acción
Use SSH para iniciar sesión en cada administrador del sistema de inquilinos de usuario.
-
Ejecute SSH especificando la dirección IP del firewall serie SRX.
-
Escriba el ID de inicio de sesión y la contraseña para el administrador de sistemas de inquilinos que creó. Después de iniciar sesión, el indicador muestra el nombre del administrador de sistemas del inquilino. Observe cómo este resultado difiere del resultado producido al iniciar sesión en el sistema de inquilinos desde el sistema lógico principal en raíz. Repita este procedimiento para todos los sistemas de inquilinos.
login: TSYS1admin1 Password: "$ABC123" TSYS1admin1@SRX: TSYS1>
Significado
Existe el administrador TSYS1admin1 del sistema de inquilinos y puede iniciar sesión como administrador del sistema de inquilinos.
Verificar la conectividad de PC1 a Internet
Propósito
Verifique la conectividad de extremo a extremo.
Acción
Ping y ejecutar traceroute a Internet desde PC1. En nuestro ejemplo, Internet es 192.168.10.254.
-
Ejecute ping desde PC1.
user@PC1> ping 192.168.10.254 count 2 PING 192.168.10.254 (192.168.10.254): 56 data bytes 64 bytes from 192.168.10.254: icmp_seq=0 ttl=62 time=3.178 ms 64 bytes from 192.168.10.254: icmp_seq=1 ttl=62 time=3.082 ms --- 192.168.10.254 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 3.082/3.130/3.178/0.048 ms
-
Ejecute traceroute desde PC1.
user@PC1> traceroute 192.168.10.254 traceroute to 192.168.10.254 (192.168.10.254), 30 hops max, 52 byte packets 1 192.168.1.254 (192.168.1.254) 2.188 ms 1.779 ms 1.896 ms 2 10.0.1.10 (10.0.1.10) 1.888 ms 1.535 ms 1.661 ms 3 192.168.10.254 (192.168.10.254) 3.243 ms 15.077 ms 3.499 ms
Significado
Pc1 es capaz de comunicarse con Internet.
ping,
telnet,
traceroute
show arp
ssh,
clear arp
show ipv6 neighborsy
clear ipv6 neighbors comandos.