Etapa 1: verificar e proteger a conectividade local das filiais
Não há melhor maneira de conhecer seu SRX do que apenas entrar e começar a usá-lo. Primeiro, vamos usar a CLI para verificar o estado operacional do seu SRX. Essa etapa pressupõe que você tenha feito a configuração inicial usando os padrões de fábrica, conforme descrito no guia Day One+. Neste ponto, você deve ter conectividade local e internet para sua filial.
Entenda a conectividade padrão da linha SRX300
A Figura 1 mostra o estado final de sua filial depois de ter feito a configuração inicial. Mostraremos como aproveitar a configuração padrão de fábrica do SRX para colocar a filial on-line rapidamente.
Como observamos na Tabela 1, alguns modelos de linha SRX300 têm interfaces de gerenciamento dedicadas, enquanto outros modelos não. Isso afeta a sub-rede IP usada para as portas LAN trust. O diagrama abaixo é baseado em um modelo SRX com interfaces de gerenciamento dedicadas, especificamente um SRX380. Se seu SRX não tiver uma interface de gerenciamento dedicada, basta alterar a sub-rede IRB mostrada para refletir 192.168.1.0/24. Você terá que ter essa mudança em mente enquanto segue o guia.
Nossa conectividade padrão é baseada em um SRX380, que, mais uma vez, tem uma interface de gerenciamento dedicada. Se seu dispositivo não tiver uma interface de gerenciamento, suas portas LAN de confiança usam 192.168.1.0/24.
Primeiro, alguns lembretes sobre o estado final do Day One+ para seu dispositivo de linha SRX300:
Como acessar a CLI
Existem várias maneiras de acessar o SRX CLI. Em todos os casos, você faz login como usuário raiz usando a senha configurada no procedimento Day One+:
- Acesso direto ao console com uma porta serial
-
Acesso ao SSH:
Acesso por meio de um dispositivo de zona de confiança
Você pode SSH a 192.168.2.1 de um dispositivo conectado a uma porta LAN local no Trust VLAN.Acesso por uma interface de gerenciamento
Se o SRX tiver uma interface de gerenciamento dedicada (fxp0), SSH a 192.168.1.1.1 de um dispositivo conectado à rede de gerenciamento de banda.Acesso remoto
Para acessar o SRX remotamente, use o endereço IP atribuído pelo provedor de WAN à interface ge-0/0/0. Basta emitir oshow interfaces ge-0/0/0 terse
comando no SRX para confirmar o endereço atribuído pelo provedor à interface wan.
Configuração padrão da porta LAN
- Dispositivos conectados às portas LAN estão configurados para usar DHCP. Eles recebem sua configuração de rede do SRX. Esses dispositivos obtêm um endereço IP do pool de endereços 192.168.2.0/24 usando o SRX como gateway padrão.
- As trust portas LAN da zona estão na mesma sub-rede com conectividade de Camada 2. Todo o tráfego é permitido entre trust interfaces.
- Todo o tráfego originado na trust zona é permitido na untrust zona. O tráfego de resposta correspondente é permitido de volta da untrust zona para a trust zona. O tráfego que se origina da untrust zona está bloqueado da trust zona.
- O SRX executa a tradução de rede de origem (NAT de origem) usando o endereço IP da interface WAN para tráfego originário da trust zona e enviado para a zona wan untrust .
- O tráfego associado a serviços de sistema específicos (HTTPS, DHCP, TFTP e SSH) é permitido da untrust zona até o host local. Todos os serviços e protocolos locais de hospedagem são permitidos para tráfego que se origina na trust zona.