Configuração do Junos OS no SRX320

O firewall SRX320 é enviado com o sistema operacional Junos (Junos OS) da Juniper Networks pré-instalado e está pronto para ser configurado quando o SRX320 estiver ligado. Você pode realizar a configuração inicial de software do SRX320 usando um dos seguintes métodos:

Interface de linha de comando (CLI)
Provisionamento zero touch (ZTP) com um serviço de provisionamento baseado em nuvem
J-Web GUI

Antes de configurar seu novo SRX320, recomendamos que você entenda a configuração padrão de fábrica. Em muitos casos, você é capaz de aproveitar os padrões de fábrica para simplificar suas tarefas de configuração. Em outros casos, você pode achar mais fácil começar com uma configuração em branco quando descobre que os padrões não estão alinhados com o uso planejado. Veja as configurações padrão padrão de fábrica do firewall SRX320 para obter detalhes sobre a configuração padrão de fábrica.

Configuração inicial usando o CLI

Você pode usar a série ou a porta mini-USB do console no dispositivo.

Conecte-se à porta do console serial
Conecte-se à porta do console Mini-USB
Configure o SRX320 usando o CLI

Conecte-se à porta do console serial

Para se conectar à porta do console serial:

Conecte uma extremidade do cabo Ethernet no adaptador de porta serial RJ-45 a DB-9.
Nota:
Não incluímos mais o cabo do console como parte do pacote do dispositivo. Se o cabo e o adaptador do console não estiverem incluídos no pacote do seu dispositivo ou se você precisar de um tipo diferente de adaptador, você pode solicitar o seguinte separadamente:
- Adaptador RJ-45 a DB-9 (JNP-CBL-RJ45-DB9)
- Adaptador RJ-45 para USB-A (JNP-CBL-RJ45-USBA)
- Adaptador RJ-45 a USB-C (JNP-CBL-RJ45-USBC)
Se você quiser usar OJ-45 para USB-A ou RJ-45 para adaptador USB-C, você deve ter o driver de porta VIRTUAL COM (VCP) X64 (64-Bit) instalado em seu PC. Veja https://ftdichip.com/drivers/vcp-drivers/ baixar o driver.
Conecte o adaptador de porta serial RJ-45 a DB-9 na porta serial do dispositivo de gerenciamento.
Conecte a outra extremidade do cabo Ethernet à porta de console serial no SRX320.

Figura 1: Conecte-se à porta do console no SRX320
Inicie seu aplicativo de emulação de terminal assíncronos (como o Microsoft Windows HyperTerminal) e selecione a porta COM apropriada para usar (por exemplo, COM1).
Configure as configurações da porta serial com os seguintes valores:
- Taxa de baud — 9600
- Paridade — N
- Bits de dados — 8
- Stop bits — 1
- Controle de fluxo — nenhum

Conecte-se à porta do console Mini-USB

Para se conectar à porta mini-USB do console:

Baixe o driver USB para o dispositivo de gerenciamento a partir da página Downloads. Para baixar o driver para o Sistema Operacional Windows, selecione 6.5 na lista de quedas da versão. Para baixar o driver para macOS, selecione 4.10 na lista de quedas da versão.
Instale o software do driver do console USB:
Nota:
Instale o software do driver do console USB antes de tentar estabelecer uma conexão física entre o SRX320 e o dispositivo de gerenciamento, caso contrário a conexão falhará.
1. Copie e extraia o arquivo de .zip em sua pasta local.
2. Clique duas vezes no arquivo .exe . A tela do instalador aparece.
3. Clique em Instalar.
4. Clique em Continuar de qualquer maneira na próxima tela para concluir a instalação.
  
  Se você optar por interromper a instalação a qualquer momento durante o processo, tudo ou parte do software falhará na instalação. Nesse caso, recomendamos que você desinstale o driver do console USB e depois reinstale-o.
5. Clique em OK quando a instalação estiver concluída.
Conecte a parte grande do cabo USB fornecido com o SRX320 em uma porta USB no dispositivo de gerenciamento.
Conecte a outra extremidade do cabo USB à porta mini-USB do console no SRX320.
Inicie seu aplicativo de emulação de terminal assíncronos (como o Microsoft Windows HyperTerminal) e selecione a nova porta COM instalada pelo software do driver do console USB. Na maioria dos casos, esta é a porta COM com mais numeração no menu de seleção.

Você pode localizar a porta COM em portas (COM e LPT) no Gerenciador de dispositivos Windows após a instalação e inicialização do driver. Isso pode levar vários segundos.
Configure as configurações da porta com os seguintes valores:
- Bits por segundo — 9600
- Paridade — Nenhuma
- Bits de dados — 8
- Stop bits — 1
- Controle de fluxo — nenhum
Caso ainda não tenha feito isso, conecte o SRX320 pressionando o botão Power no painel frontal. Verifique se o LED PWR no painel frontal fica verde.

A tela de emulação terminal em seu dispositivo de gerenciamento exibe a sequência de inicialização. Quando o SRX320 terminar de iniciar, um prompt de login aparece.

Configure o SRX320 usando o CLI

Esta seção pressupõe que você esteja realizando a configuração inicial de um novo SRX320 executando uma configuração padrão de fábrica. Mostramos como aproveitar os padrões para colocar o SRX320 rapidamente na internet e ser gerenciado local ou remotamente. Veja as configurações padrão padrão de fábrica do firewall SRX320 para obter detalhes sobre os padrões de fábrica SRX320.

Para esta seção, no entanto, assumimos que o provedor de serviços não oferece suporte à atribuição de endereços DHCP na interface WAN. Isso nos permite mostrar como configurar uma interface e uma rota estática usando o Junos CLI.

Para executar a configuração inicial no SRX320 usando a CLI:

Faça login como usuário raiz e inicie a CLI. Nenhuma senha é necessária ao executar o padrão de fábrica.
Nota:
Você pode visualizar a configuração atual, seja padrão de fábrica ou não, usando o comando do show configuration modo operacional.
Insira o modo de configuração.
Remova a configuração ZTP e configure a autenticação raiz do usuário.
A configuração ZTP não é necessária ao realizar a configuração inicial usando a CLI. A remoção da configuração ZTP impede as mensagens de log periódicas que relatam o status de ZTP no console.

Defina a senha de autenticação raiz usando um valor de texto claro. Você não pode confirmar a mudança que desativa o ZTP a menos que você também defina a senha raiz.
Comprometa a configuração para ativar as mudanças que removeram o ZTP e configuraram a senha raiz.
Configure a interface de gerenciamento. Dadas as configurações padrão da fábrica, recomendamos usar a interface ge-0/0/0 para o gerenciamento remoto do SRX320 na rede WAN. Você também pode gerenciar localmente o SRX320 usando uma das portas LAN (ge-0/0/1 até ge-0/0/6).
Se o provedor de serviços WAN oferece suporte à atribuição de endereço IP DHCP, você ignora esta etapa e deixa as configurações padrão da fábrica funcionarem para você. Neste exemplo, o provedor de Internet requer uma configuração de endereço IP estático. Você deve remover a configuração padrão do cliente DHCP para configurar o endereço IP manualmente.
Se o provedor de serviços WAN oferecer suporte à atribuição DHCP de uma rota padrão, você pulará esta etapa e deixar as configurações padrão da fábrica funcionarem para você. Neste exemplo, o provedor de Internet não oferece suporte a DHCP. Portanto, você configura uma rota padrão estática para fornecer a interface de gerenciamento. Essa rota é usada para chegar a destinos remotos, como um serviço de provisionamento de nuvem ou a estação de gerenciamento remoto.
Habilite o protocolo SSH para acesso remoto. Por padrão, o usuário raiz não pode fazer login remotamente. Você também habilita o login raiz no SSH nesta etapa.
Habilite o suporte de host SSH para a interface ge-0/0/0. Lembre-se que na configuração padrão a interface ge-0/0/0 está na zona não confiável, e que a zona não confiável não oferece suporte ao SSH vinculado ao host.

Configure o nome de host.

(Opcional) Configure a resolução de nomes de domínio, o fuso horário e uma fonte de relógio baseada em NTP.

É isso! A configuração inicial está completa. Comprometa a configuração para ativar as mudanças no SRX320.
A conectividade resultante é mostrada abaixo.

Algumas coisas a se ter em mente sobre sua nova rede de filial SRX320:

• Você acessa a interface do usuário SRX CLI ou J-Web localmente usando o endereço 192.168.1.1. Para acessar o SRX remotamente, especifique o endereço IP atribuído pelo provedor de WAN. Basta emitir uma interface de show ge-0/0/0 terse CLI para confirmar o endereço em uso pela interface WAN.

• Dispositivos conectados às portas LAN estão configurados para usar DHCP. Eles recebem a configuração de rede do SRX. Esses dispositivos obtêm um endereço IP do pool de endereços 192.168.1.0/24 e usam o SRX como gateway padrão.

• Todas as portas LAN estão na mesma sub-rede com conectividade de Camada 2. Todo o tráfego é permitido entre todas as interfaces de zona de confiança.

• Todo tráfego originado na zona de confiança é permitido na zona não confiável. O tráfego de resposta correspondente é permitido de volta da zona de confiança não confiável. O tráfego que se origina da zona não confiável está bloqueado da zona de confiança.

•O SRX executa NAT de origem (S-NAT) usando o IP da interface WAN para tráfego enviado à WAN que se originou na zona de confiança.

O tráfego associado a serviços de sistema específicos (HTTPS, DHCP, TFTP e SSH) é permitido da zona não confiável para o host local. Todos os serviços e protocolos de host locais são permitidos para tráfego originado na zona de confiança.

Configure o SRX320 usando a J-Web

Realize a configuração inicial usando a J-Web
Gerencie o SRX320 usando a J-Web

Realize a configuração inicial usando a J-Web

A interface de usuário J-Web oferece suporte a um assistente de configuração, que você pode usar para realizar a configuração inicial do dispositivo.

Conecte uma extremidade do cabo Ethernet a qualquer uma das portas de rede numeradas de 0/1 a 0/6 no dispositivo.

Nota:
As interfaces ge-0/0/0 e ge-0/0/7 (portas 0/0 e 0/7) são interfaces WAN. Não use essas portas para o procedimento de configuração inicial.
Conecte a outra extremidade do cabo Ethernet ao dispositivo de gerenciamento.

Figura 2: Conecte o SRX320 a um dispositivo de gerenciamento

O SRX320 funciona como um servidor DHCP e atribui automaticamente um endereço IP ao laptop.
Garanta que o dispositivo de gerenciamento adquira um endereço IP na rede 192.168.1.0/24 do dispositivo.

Se um endereço IP não for atribuído ao dispositivo de gerenciamento, configure manualmente um endereço IP na rede 192.168.1.0/24.

Nota:
Não atribua o endereço IP 192.168.1.1 ao dispositivo de gerenciamento, pois este endereço IP é atribuído ao SRX320.
Abra um navegador e insira https://192.168.1.1 como URL-alvo. A tela da J-Web aparece. Para obter informações sobre o acesso à interface J-Web, consulte Acesse a Interface J-Web. Para obter informações sobre o uso da J-Web para realizar a configuração inicial, consulte o Assistente de configuração J-Web.

Gerencie o SRX320 usando a J-Web

Após a configuração inicial do dispositivo ser concluída, você pode usar a J-Web para realizar o monitoramento contínuo de configuração, gerenciamento e integridade do seu dispositivo SRX320.

Para obter mais informações, consulte a documentação do SRX J-Web para sua versão em https://www.juniper.net/documentation/product/us/en/j-web-srx-series.

Configure o dispositivo usando ZTP com o controlador de serviços de rede da Juniper Networks

Nota:

Você pode configurar usando ZTP para o Junos OS Release 19.2 e versões anteriores.

Você pode usar o ZTP para concluir automaticamente a configuração inicial do SRX320 em sua rede, com intervenção mínima.

O Network Service Controller é um componente da plataforma Contrail Service Orchestration da Juniper Networks que simplifica e automatiza o projeto e a implementação de serviços de rede personalizados que usam uma estrutura aberta.

Para obter mais informações, consulte a seção controlador de serviços de rede na folha de dados http://www.juniper.net/assets/us/en/local/pdf/datasheets/1000559-en.pdf.

Para configurar o dispositivo automaticamente usando ZTP: