Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Etapa 1: verificar e proteger a conectividade local das filiais

Não há melhor maneira de conhecer seu SRX do que apenas entrar e começar a usá-lo. Primeiro, vamos usar a CLI para verificar o estado operacional do seu SRX. Essa etapa pressupõe que você tenha feito a configuração inicial usando os padrões de fábrica, conforme descrito no guia Day One+. Neste ponto, você deve ter conectividade local e internet para sua filial.

Entenda a conectividade padrão da linha SRX300

A Figura 1 mostra o estado final de sua filial depois de ter feito a configuração inicial. Mostraremos como aproveitar a configuração padrão de fábrica do SRX para colocar a filial on-line rapidamente.

Nota:

Como observamos na Tabela 1, alguns modelos de linha SRX300 têm interfaces de gerenciamento dedicadas, enquanto outros modelos não. Isso afeta a sub-rede IP usada para as portas LAN trust. O diagrama abaixo é baseado em um modelo SRX com interfaces de gerenciamento dedicadas, especificamente um SRX380. Se seu SRX não tiver uma interface de gerenciamento dedicada, basta alterar a sub-rede IRB mostrada para refletir 192.168.1.0/24. Você terá que ter essa mudança em mente enquanto segue o guia.

Figura 1: Conectividade padrão da linha SRX300 (SRX380) SRX300 Line Default Connectivity (SRX380)

Nossa conectividade padrão é baseada em um SRX380, que, mais uma vez, tem uma interface de gerenciamento dedicada. Se seu dispositivo não tiver uma interface de gerenciamento, suas portas LAN de confiança usam 192.168.1.0/24.

Primeiro, alguns lembretes sobre o estado final do Day One+ para seu dispositivo de linha SRX300:

Como acessar a CLI

Existem várias maneiras de acessar o SRX CLI. Em todos os casos, você faz login como usuário raiz usando a senha configurada no procedimento Day One+:

  • Acesso direto ao console com uma porta serial
  • Acesso ao SSH:

    • Acesso por meio de um dispositivo de zona de confiança

      Você pode SSH a 192.168.2.1 de um dispositivo conectado a uma porta LAN local no Trust VLAN.
    • Acesso por uma interface de gerenciamento

      Se o SRX tiver uma interface de gerenciamento dedicada (fxp0), SSH a 192.168.1.1.1 de um dispositivo conectado à rede de gerenciamento de banda.
    • Acesso remoto

      Para acessar o SRX remotamente, use o endereço IP atribuído pelo provedor de WAN à interface ge-0/0/0. Basta emitir o show interfaces ge-0/0/0 terse comando no SRX para confirmar o endereço atribuído pelo provedor à interface wan.

Configuração padrão da porta LAN

  • Dispositivos conectados às portas LAN estão configurados para usar DHCP. Eles recebem sua configuração de rede do SRX. Esses dispositivos obtêm um endereço IP do pool de endereços 192.168.2.0/24 usando o SRX como gateway padrão.
  • As trust portas LAN da zona estão na mesma sub-rede com conectividade de Camada 2. Todo o tráfego é permitido entre trust interfaces.
  • Todo o tráfego originado na trust zona é permitido na untrust zona. O tráfego de resposta correspondente é permitido de volta da untrust zona para a trust zona. O tráfego que se origina da untrust zona está bloqueado da trust zona.
  • O SRX executa a tradução de rede de origem (NAT de origem) usando o endereço IP da interface WAN para tráfego originário da trust zona e enviado para a zona wan untrust .
  • O tráfego associado a serviços de sistema específicos (HTTPS, DHCP, TFTP e SSH) é permitido da untrust zona até o host local. Todos os serviços e protocolos locais de hospedagem são permitidos para tráfego que se origina na trust zona.