Configure redes para firewalls da Série SRX

As redes são fontes da solicitação em seu projeto Juniper WAN Assurance. No firewall da Série SRX da Juniper®, as redes criam livros de endereços usados como fonte para políticas de segurança e políticas avançadas de roteamento baseado em políticas (APBR).

As redes permitem que você defina grupos de usuários. Em um design WAN, você precisa identificar as fontes que acessam seus aplicativos pelo segmento de LAN e configurar os usuários. Os usuários são endereços de origem, que você pode usar mais tarde nas políticas do aplicativo.

Depois de ter criado redes no portal de nuvem Juniper Mist™, você pode usar redes em toda a organização do portal. O design do WAN Assurance usa redes como fonte na política do aplicativo.

Para configurar redes:

No portal de nuvem juniper Mist, clique em Organization > WAN > Networks.
Uma lista de redes existentes, se houver, aparece.

Clique em Adicionar redes no canto superior direito.

A janela Add Network aparece. A Tabela 1 resume as opções que você pode definir em uma rede.

Tabela 1: Opções de rede
Descrição dos	campos
Nome	Insira um nome exclusivo para a rede. O nome pode conter caracteres alfanuméricos, sublinhados e hífens, e deve ter menos de 32 caracteres de comprimento.
Endereço IP da sub-rede	Digite o endereço IP da rede. Você pode usar valores absolutos (exemplo: 192.0.2.0) ou usar variáveis (exemplo:{{SPOKE_LAN1_PFX}}.0 ).
Comprimento do prefixo	Insira a duração do prefixo do endereço, de 0 a 32. Você também pode usar variáveis para o comprimento do prefixo. Exemplo: {{PFX1}}
VLAN ID	(Opcional) Insira o ID VLAN associado à rede. Se o seu dispositivo estiver usando uma interface não registrada, você deve usar 1 como ID VLAN em vez da variável.
Prefixo do grupo NAT de origem	(Opcional) Digite o prefixo IPv4 para NAT de origem. O NAT de origem traduz o endereço IP de origem do tráfego (que é um endereço IP privado) para um endereço IP público.
Acesso à Mist Cloud	Verifique a opção de permitir que serviços em firewalls da Série SRX acessem a nuvem Juniper Mist.
Anunciado via Overlay	Verifique a opção de anunciar a rede para os dispositivos hub através dos túneis overlay. Essa opção anuncia a rede por meio do iBGP. Os campos de comprimento de endereço IP e prefixo abaixo da opção são preenchidos automaticamente.
Usuários	(Opcional) Redes ou usuários adicionais. Exemplo: redes remotas ou usuários conectados à rede principal. Clique na opção Adicionar usuário e digite o nome e o prefixo IP do usuário adicional.
NAT estático	(Opcional) Realize um mapeamento estático único do endereço original de origem do host privado em um endereço de origem pública.
NAT de destino	(Opcional) Traduza o endereço IP de destino de um pacote.

Preencha a configuração de acordo com os detalhes disponíveis na Tabela 2.

Nesta tarefa, você usa as variáveis para o endereço IP de sub-rede e campos de comprimento de prefixo para configurar três redes: SPOKE-LAN1, HUB1-LAN1 e HUB2-LAN1.

Tabela 2: Exemplo de configuração de rede
Fields	Network 1	Network 2	Network 3
Nome	SPOKE-LAN1	HUB1-LAN1	HUB2-LAN1
Endereço IP da sub-rede	{{SPOKE_LAN1_PFX}}.0	{{HUB1_LAN1_PFX}}.0	{{HUB2_LAN1_PFX}}.0
Comprimento do prefixo	24	24	24
VLAN ID	{{SPOKE_LAN1_VLAN}}	{{HUB1_LAN1_VLAN}}	{{HUB2_LAN1_VLAN}}
Acesso à Mist Cloud	Verificado	Verificado	Verificado
Anunciado via Overlay	Verificado	Verificado	Verificado
Usuários	Nome=Tudo Prefixos IP=10,0,0,0/8	-	-

Nota:

O usuário "All" com prefixo IP 10.0.0.0/8 serve como curinga para todos os segmentos de LAN futuros da gama. O firewall da Série SRX em hubs pode usar o mesmo nome de usuário (All) e prefixo IP (10.0.0.8) para identificar todas as interfaces de LAN spoke usando uma única regra.

Nota:

Quando você usa variáveis, não assuma que o sistema importa todos os segmentos de LAN no site do hub automaticamente. Às vezes, o sistema pode aplicar uma máscara de qualquer rede, que tem um escopo amplo e pode gerar problemas de segurança.

Clique em Adicionar.

A Figura 1 mostra a lista de redes recém-criadas.

Figura 1: Resumo das redes

Variáveis do site

Você pode configurar as variáveis do site em cada site. As variáveis do site permitem que você use a mesma definição de rede com valores diferentes para cada site sem precisar definir várias redes. As variáveis têm o formato {{variable_name}}. Definir redes com variáveis é uma prática comum na configuração do modelo de borda de WAN.

Ponta: Ao trabalhar em telas de configuração, procure os indicadores do VAR. Campos com este indicador permitem variáveis de site.

Os campos com este rótulo também exibem as variáveis de correspondência (se configuradas) quando você começa a digitar uma variável específica nele. Esse campo lista variáveis de todos os sites da organização.

A lista de variáveis em toda a organização pode ser visualizada usando GET /api/v1/orgs/:org_id/vars/search?var=*. Esta lista é povoada conforme as variáveis são adicionadas nas configurações do site.

A Figura 2 mostra duas amostras de configuração de uma rede usando valores absolutos e variáveis de local.

Figura 2: Configuração de redes com valores e variáveis absolutos Configuring Networks with Absolute Values and Variables

Você pode definir as variáveis de site no painel de configuração de site da Organização > administrador>.

Figura 3: Painel de configurações de variáveis de site Site Variables Settings Pane

Esta tarefa usa variáveis para o ID VLAN e endereço IP de sub-rede. As variáveis do site que contêm os três primeiros octets substituem os valores variáveis de endereço IP da sub-rede conforme mostrado na Figura 4.

Figura 4: Variáveis de site exibidas na página Site Variables Displayed on the Site Configuration Page

de configuração do site

Configure redes para firewalls da Série SRX

Documentação relacionada