Logical Systems und Tenant Systems auf Juniper SRX

28.05.2026 Zuletzt aktualisiert: 01.06.2026 4 Min. Lesezeit

Mandantentrennung richtig umgesetzt

Mit der zunehmenden Konsolidierung von IT-Infrastrukturen steigt der Bedarf, mehrere logisch getrennte Umgebungen auf einer gemeinsamen Hardwareplattform zu betreiben. Während Virtualisierung im Serverbereich längst selbstverständlich geworden ist, bieten moderne Netzwerk- und Security-Plattformen vergleichbare Funktionen für die Trennung von Kunden, Geschäftsbereichen oder Sicherheitsdomänen. Auf Juniper SRX-Systemen kommen hierfür insbesondere Logical Systems und Tenant Systems zum Einsatz.

Für Administratoren und Architekten sind beide Technologien von besonderem Interesse, da sie eine zentrale Rolle in Multi-Tenant-Umgebungen spielen und gleichzeitig zu den regelmäßig abgefragten Themen der JNCIP-SEC-Zertifizierung gehören.

Warum überhaupt Multi-Tenancy?

Traditionell wurden unterschiedliche Sicherheitsdomänen häufig durch separate Firewalls voneinander getrennt. Dieses Modell bietet zwar eine klare Trennung, verursacht jedoch hohe Kosten für Hardware, Lizenzen, Wartung und Betrieb.

Mit steigender Leistungsfähigkeit moderner SRX-Plattformen entstand daher die Möglichkeit, mehrere voneinander isolierte Umgebungen auf einem einzelnen Gerät bereitzustellen. Jeder Mandant erhält dabei eigene Routing-Tabellen, eigene Sicherheitsrichtlinien und eigene Verwaltungszugänge, während die physische Hardware gemeinsam genutzt wird.

Typische Einsatzszenarien sind Managed Security Services, Hosting-Provider, Rechenzentren, Universitäten oder große Unternehmen mit mehreren Tochtergesellschaften.

Logical Systems – die klassische Virtualisierung der SRX

Logical Systems stellen die ursprüngliche Form der Virtualisierung innerhalb von Junos dar. Ein Logical System kann man sich als eine eigenständige Instanz innerhalb eines physischen Geräts vorstellen.

Jedes Logical System verfügt über eigene Interfaces, Routing-Prozesse, Security Policies und Administrationsrechte. Aus Sicht eines Administrators wirkt ein Logical System häufig wie ein separates Gerät, obwohl mehrere Instanzen auf derselben Hardware laufen.

Ein wesentlicher Vorteil liegt in der klaren Trennung der Konfiguration. Änderungen innerhalb eines Logical Systems beeinflussen andere Instanzen nicht direkt. Dadurch können unterschiedliche Teams unabhängig voneinander arbeiten.

Die Ressourcenverwaltung erfolgt jedoch weiterhin auf Systemebene. CPU, Speicher und weitere Hardware-Ressourcen werden zwischen allen Logical Systems geteilt. Eine harte Ressourcentrennung existiert nicht.

Kommunikation zwischen Logical Systems

In vielen Umgebungen müssen Mandanten trotz Isolation miteinander kommunizieren. Hierfür unterstützt Junos sogenannte Interconnect-Mechanismen.

Über spezielle Verbindungen können Routing-Informationen oder Datenverkehr zwischen Logical Systems ausgetauscht werden. Dabei bleibt die administrative Trennung erhalten, während definierte Kommunikationspfade geschaffen werden.

Gerade in Service-Provider-Umgebungen ermöglicht dieses Modell eine saubere Segmentierung von Kundenumgebungen bei gleichzeitig kontrollierter Kommunikation zu gemeinsamen Diensten wie DNS, DHCP oder Management-Netzwerken.

Aus Prüfungssicht sollte verstanden werden, dass die Isolation standardmäßig aktiv ist und eine Kommunikation zwischen Logical Systems explizit konfiguriert werden muss.

Tenant Systems – die nächste Evolutionsstufe

Mit neueren SRX-Plattformen führte Juniper Tenant Systems ein. Diese Technologie geht deutlich weiter als klassische Logical Systems.

Während Logical Systems primär eine Konfigurationstrennung darstellen, bieten Tenant Systems eine wesentlich stärkere Isolation von Prozessen und Ressourcen. Jeder Tenant besitzt eigene Sicherheitsdomänen, eigene Routing-Instanzen und weitgehend unabhängige Control-Plane-Komponenten.

Dadurch eignet sich das Konzept besonders für Managed-Service-Provider und Cloud-Umgebungen, in denen mehrere Kunden dieselbe Hardware nutzen.

Die Architektur orientiert sich stärker an modernen Virtualisierungsansätzen und reduziert das Risiko, dass Probleme eines Mandanten Auswirkungen auf andere Instanzen haben.

Security Profiles als Grundlage

Tenant Systems nutzen Security Profiles zur Definition von Ressourcen und Berechtigungen.

Innerhalb eines Security Profiles werden beispielsweise maximale Interface-Anzahlen, Session-Kapazitäten oder andere Ressourcengrenzen definiert. Dadurch kann verhindert werden, dass ein einzelner Tenant unverhältnismäßig viele Ressourcen verbraucht.

Für Betreiber großer Multi-Tenant-Umgebungen ist dies ein wichtiger Vorteil gegenüber klassischen Logical Systems.

In der JNCIP-SEC-Prüfung wird häufig getestet, welche Aufgaben Security Profiles übernehmen und wie sie einem Tenant zugeordnet werden.

Administrative Modelle

Ein weiterer wichtiger Unterschied betrifft die Administration.

Bei Logical Systems erfolgt die Verwaltung häufig durch Administratoren des Host-Systems. Zwar können Berechtigungen delegiert werden, die zentrale Kontrolle verbleibt jedoch beim Systemadministrator.

Tenant Systems ermöglichen dagegen eine stärkere Delegation. Mandantenadministratoren erhalten Zugriff auf ihre eigene Instanz, ohne Konfigurationen anderer Tenants einsehen oder verändern zu können.

Diese Trennung entspricht den Anforderungen moderner Service-Provider- und Cloud-Umgebungen.

Troubleshooting in Multi-Tenant-Umgebungen

Viele Fehlerbilder entstehen nicht durch fehlerhafte Security Policies, sondern durch eine unzureichende Zuordnung von Interfaces oder Routing-Komponenten.

Zu den häufigsten Problemen gehören falsch zugewiesene Interfaces, fehlende Routing-Einträge zwischen Instanzen oder unvollständige Administratorberechtigungen.

Bei der Fehlersuche empfiehlt es sich daher, zunächst die Zuordnung von Ressourcen zum jeweiligen Logical System oder Tenant zu überprüfen. Erst anschließend sollten Security Policies und Routing-Prozesse analysiert werden.

Auch die Interpretation von Show-Kommandos gehört zu den typischen Aufgabenstellungen in der JNCIP-SEC-Prüfung. Kandidaten müssen erkennen können, in welchem Kontext ein bestimmter Befehl ausgeführt wurde und welche Auswirkungen dies auf die angezeigten Informationen hat.

Logical Systems oder Tenant Systems?

Beide Technologien verfolgen dasselbe Grundziel: die sichere Trennung mehrerer Umgebungen auf einer gemeinsamen Hardwareplattform.

Logical Systems eignen sich vor allem für klassische Enterprise- und Service-Provider-Szenarien, in denen eine logische Trennung der Konfiguration ausreicht.

Tenant Systems adressieren dagegen moderne Multi-Tenant-Anforderungen mit stärkerer Isolation und besserer Ressourcenkontrolle.

Die Wahl hängt letztlich von den Anforderungen an Skalierung, Mandantentrennung und Administrationsmodell ab.

Fazit

Logical Systems und Tenant Systems gehören zu den wichtigsten Virtualisierungstechnologien innerhalb der SRX-Plattform. Während Logical Systems seit vielen Jahren etablierte Werkzeuge für die Segmentierung von Netzwerken darstellen, bieten Tenant Systems eine deutlich weitergehende Isolation und eignen sich besonders für moderne Cloud- und Managed-Service-Umgebungen.

Für die JNCIP-SEC-Prüfung ist es entscheidend, die Unterschiede zwischen beiden Ansätzen zu verstehen, typische Einsatzszenarien einordnen zu können und die Auswirkungen auf Administration, Ressourcenverwaltung und Troubleshooting zu kennen. Wer diese Konzepte beherrscht, legt gleichzeitig die Grundlage für zahlreiche weitere Themenbereiche innerhalb der SRX-Architektur.

Artikelserie JNCIP-SEC Zertifizierung
Schlagworte Juniper JNCIP-SEC SRX logical systems tenant systems Firewall