Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Paramètres d’usine par défaut du pare-feu SRX320

Le SRX320 est livré avec les paramètres d’usine par défaut suivants :

Tableau 1 : stratégies de sécurité

Source Zone

Destination Zone

Mesures à prendre

confiance

confiance

permettre

confiance

défiance

permettre
Tableau 2 : règles NAT

Source Zone

Destination Zone

Mesures à prendre

confiance

défiance

NAT source vers l’interface de zone non approuvée
Tableau 3 : interfaces Ethernet

Étiquette de port

Interface

Zone de sécurité

État DHCP

Adresse IP

0/0 et 0/7

GE-0/0/0 et GE-0/0/7

défiance

Client

Non attribué

0/1 à 0/6

Interface VLAN irb.0 (ge-0/0/1 à ge-0/0/6)

confiance

Serveur

192.168.1.1/24
Tableau 4 : interfaces LTE

Interface

Zone de sécurité

Adresse IP

CL-1/0/0

N/A

N/A

DL0 (logique)

défiance

FAI assigné*

*Uniquement si le Mini-PIM LTE est présent

Le SRX320 est livré avec les services et protocoles suivants activés par défaut :

Tableau 5 : services, protocoles et mode de démarrage

Services

Protocole

Mode de démarrage de l’appareil

SSH (en anglais)

HTTPS (en anglais)

RSTP (toutes les interfaces)

Transistor
Note:

À partir de Junos OS version 25.2R1, la configuration d’usine par défaut de l’équipement n’inclut pas l’instruction netconf ssh au niveau de la [edit system services] hiérarchie.

Pour sécuriser le trafic, un ensemble d’écrans de base est configuré sur la zone de non-confiance. En outre, la stratégie de sécurité par défaut empêche le trafic provenant d’une interface de zone non approuvée de passer à la zone de confiance.

Comment charger et afficher les paramètres d’usine par défaut

Votre appareil est livré avec un ensemble de fichiers de configuration d’usine par défaut. Pour afficher les paramètres d’usine par défaut sur votre appareil :

  1. Connectez-vous en tant qu’utilisateur root et fournissez vos informations d’identification.

  2. Consultez la liste complète des fichiers de configuration par défaut pour les différentes plates-formes matérielles :

  3. Pour afficher le contenu d’un fichier de configuration par défaut spécifique :

Lorsque vous validez les modifications apportées à la configuration, un nouveau fichier de configuration est créé, qui devient la configuration active. Vous pouvez toujours charger une nouvelle configuration d’usine par défaut à l’aide de la load factory-default commande configuration mode pour revenir à la configuration d’usine par défaut. Le logiciel Junos sélectionne la configuration par défaut correcte pour la plate-forme matérielle lorsque vous exécutez la commande load factory-default configuration.

Vous utilisez la commande du show configuration mode opérationnel, ou simplement la show commande en mode configuration, pour afficher les paramètres.

Note:

Vous pouvez également charger une configuration d’usine par défaut à l’aide du bouton RESET CONFIG du panneau avant. Reportez-vous à la section Utilisation du bouton RESET CONFIG de la passerelle de services SRX320.

Plug and play pour le provisionnement basé sur le cloud

Cette section vous montre comment exploiter les paramètres d’usine par défaut du SRX320 pour la connectivité Internet Plug and Play. Cette connectivité vous permet de gérer et de configurer le SRX320 à distance, manuellement ou via un service de provisionnement basé sur le cloud.

Suivez ces étapes pour connecter rapidement votre SRX320 à Internet et accéder aux services de provisionnement basés sur le cloud tels que Juniper Mist Cloud ou Contrail Service Orchestration (CSO). La connectivité Plug and Play du SRX320 avec une configuration d’usine par défaut est illustrée ci-dessous.

Plug and Play for Cloud-Based Provisioning
  1. Connectez le réseau WAN au port 0/0 (ge-0/0/0). Dans la configuration par défaut, ge-0/0/0 est votre interface WAN. Dans la configuration par défaut, cette interface est placée dans la zone d’approbation et est configurée en tant que client DHCP. Ces paramètres permettent au SRX de recevoir une adresse IP et un itinéraire par défaut du fournisseur de services.
  2. Configurez vos clients LAN (PC, ordinateurs portables, points d’accès, etc.) pour l’attribution d’adresses DHCP. Connectez ces périphériques à n’importe quel port LAN de 0/1 à 0/6 (ge-0/0/1 à ge-0/0/6). Ça y est, vous avez terminé !

    Dans la configuration par défaut, les ports LAN sont configurés dans un VLAN de confiance avec une interface IRB associée. Les services DHCP sont fournis au VLAN d’approbation par le biais de cette interface IRB, qui est également placée dans la zone de confiance. Par conséquent, tous les ports LAN partagent un sous-réseau IP commun avec une connectivité de couche 2 (non balisée) complète via le SRX. Au niveau de la couche 3, l’interface IRB associe le LAN à un sous-réseau 192.168.1.0/24, l’adresse 192.168.1.1 étant réservée à elle-même.

    Une adresse IP et une passerelle par défaut sont attribuées aux périphériques LAN à partir du sous-réseau 192.168.1.0/24 via DHCP.

  3. Vérifiez que le SRX320 dispose d’une connectivité Internet. Ouvrez un navigateur sur un périphérique connecté à un port LAN et pointez-le vers http://www.juniper.net. Si la page ne se charge pas, vérifiez la connexion Internet.

    Pour isoler les défauts, procédez comme suit :

    • Redémarrez le modem WAN. Vérifiez que le modem se connecte correctement au fournisseur de services.
    • Envoyez une requête ping à une destination Internet à partir du SRX320 à l’aide de la CLI pour tester la connectivité Internet. Assurez-vous que la destination est autorisée à répondre aux pings et essayez d’utiliser à la fois un nom et une adresse IP pour isoler le DNS des problèmes de connectivité.
    • Générez un ping à partir d’un périphérique LAN vers l’adresse 192.168.1.1 attribuée à l’interface IRB sur le SRX. Une réponse positive valide la connectivité DHCP et de couche 2 entre les périphériques LAN et le SRX.
    • Utilisez la show dhcp server binding commande pour vérifier les attributions d’adresses du serveur DHCP côté LAN.

    À ce stade, les équipements SRX320 et LAN ont accès à Internet. La stratégie par défaut autorise tout le trafic de la zone de confiance vers la zone de non-confiance. La stratégie par défaut effectue également un SNAT sur le trafic quittant le WAN. Par défaut, tout le trafic de réponse est autorisé à retourner de la zone de non-confiance à la zone de confiance. Le trafic provenant de la zone d’accès non fiable (WAN) est bloqué dans la zone de confiance. Le trafic HTTPS, TFTP et DHCP est autorisé à provenir de la zone non approuvée et à être envoyé à l’hôte local.

    Vous pouvez accéder au SRX à l’aide de J-Web pour effectuer la configuration initiale à la fois localement et à distance. Pour l’accès local, utilisez une machine connectée à un port LAN et pointez votre navigateur vers https://191.168.1.1. Pour y accéder à distance, via l’interface WAN, vous devez connaître l’adresse IP attribuée au SRX par le fournisseur WAN. Reportez-vous à l’assistant d’installation de J-Web pour plus de détails sur l’exécution de la configuration initiale à l’aide de l’assistant d’installation de J-Web. Vous pouvez toujours accéder au SRX320 localement à l’aide du port console pour effectuer des configurations supplémentaires. Reportez-vous à SRX320 Day One+ pour plus de détails sur l’utilisation de la CLI pour la configuration initiale.

    Note:

    Dans la configuration par défaut, aucun mot de passe n’est nécessaire pour accéder au SRX320 à l’aide de J-Web, que ce soit localement ou à distance. Vous devez soit intégrer le SRX dans un service de provisionnement cloud, soit configurer manuellement un mot de passe root (à l’aide de J-Web ou de l’interface de ligne de commande Junos) dès que possible après avoir connecté votre SRX à Internet.