Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Paramètres par défaut du pare-feu SRX320

Le SRX320 est livré avec les paramètres d’usine par défaut suivants :

Tableau 1 : Stratégies de sécurité

Source Zone

Destination Zone

Mesures stratégiques

Confiance

Confiance

Permis

Confiance

Untrust

Permis
Tableau 2 : Règles NAT

Source Zone

Destination Zone

Mesures stratégiques

Confiance

Untrust

Nat source vers interface de non-confiance
Tableau 3 : Interfaces Ethernet

Étiquette de port

Interface

Zone de sécurité

État DHCP

Adresse IP

0/0 et 0/7

ge-0/0/0 et ge-0/0/7

Untrust

Client

Non attribué

0/1 à 0/6

Interface VLAN irb.0 (ge-0/0/1 à ge-0/0/6)

Confiance

Serveur

192.168.1.1/24
Tableau 4 : Interfaces LTE

Interface

Zone de sécurité

Adresse IP

cl-1/0/0

S.A.

S.A.

dl0 (logique)

Untrust

FAI assigné*

*Uniquement si le mini-PIM LTE est présent

Le SRX320 est livré avec les services et protocoles suivants activés par défaut :

Tableau 5 : Services, protocoles et mode de démarrage

Services

Protocoles

Mode de démarrage de l’équipement

SSH

HTTPS

NETCONF sur SSH

RSTP (toutes les interfaces)

Commutation

Pour sécuriser le trafic, un ensemble d’écrans de base sont configurés sur la zone de non confiance. En outre, la stratégie de sécurité par défaut empêche le trafic provenant de n’importe quelle interface de zone de confiance de passer à la zone de confiance.

Comment charger et afficher les paramètres d’usine par défaut

Votre équipement est livré avec un ensemble de fichiers de configuration par défaut. Pour afficher les paramètres d’usine par défaut sur votre équipement :

  1. Connectez-vous en tant qu’utilisateur racine et fournissez vos informations d’identification.

  2. Consultez la liste complète des fichiers de configuration par défaut des différentes plates-formes matérielles :

  3. Pour afficher le contenu d’un fichier de configuration par défaut spécifique :

Lorsque vous validez des modifications à la configuration, un nouveau fichier de configuration est créé, qui devient la configuration active. Vous pouvez toujours charger une nouvelle configuration d’usine par défaut avec la commande du load factory-default mode de configuration pour revenir à la configuration d’usine par défaut. Le logiciel Junos sélectionne la bonne configuration par défaut pour la plate-forme matérielle lorsque vous émettez la commande de configuration par défaut de charge en usine .

Vous utilisez la commande du show configuration mode opérationnel, ou simplement la show commande en mode configuration, pour afficher les paramètres.

Note:

Vous pouvez également charger une configuration d’usine par défaut à l’aide du bouton RÉINITIALISATION DE LA CONFIGURATION du panneau avant. Voir Utiliser le bouton RESET CONFIG sur la passerelle de services SRX320.

Plug-and-Play pour le provisionnement basé sur le cloud

Cette section vous montre comment exploiter les paramètres d’usine du SRX320 pour la connectivité Internet plug-and-play. Vous utilisez cette connectivité pour gérer et configurer à distance le SRX320, soit manuellement, soit via un service de provisionnement basé sur le cloud.

Suivez ces étapes pour obtenir rapidement votre SRX320 sur Internet pour accéder à des services de provisionnement cloud tels que Juniper Mist Cloud ou Contrail Service Orchestration (CSO). La connectivité plug-and-play du SRX320 avec une configuration d’usine par défaut est indiquée ci-dessous.

Plug and Play for Cloud-Based Provisioning
  1. Connectez le réseau WAN au port 0/0 (ge-0/0/0). Dans la configuration par défaut, le ge-0/0 est votre interface WAN. Dans la configuration par défaut, cette interface est placée dans la zone de non confiance et est configurée en tant que client DHCP. Ces paramètres permettent au SRX de recevoir une adresse IP et un routage par défaut du fournisseur de services.
  2. Configurez vos clients LAN (PC, ordinateurs portables, points d’accès, etc.) pour l’attribution d’adresses DHCP. Connectez ces équipements à n’importe quel port LAN de 0/1 à 0/6 (ge-0/0/1 à ge-0/0/6). Voilà, c'est fini !

    Dans la configuration par défaut, les ports LAN sont configurés dans un VLAN de confiance avec une interface IRB associée. Les services DHCP sont fournis au VLAN de confiance via cette interface IRB, qui est également placée dans la zone de confiance. Résultat : tous les ports LAN partagent un sous-réseau IP commun avec une connectivité complète de couche 2 (sans décalage) via le SRX. Au niveau de la couche 3, l’interface IRB associe le LAN à un sous-réseau 192.168.1.0/24, l’adresse 192.168.1.1 étant réservée à elle-même.

    Les équipements LAN se voient attribuer une adresse IP et une passerelle par défaut à partir du sous-réseau 192.168.1.0/24 via DHCP.

  3. Vérifiez que le SRX320 fournit une connectivité Internet. Ouvrez un navigateur sur un équipement connecté à un port LAN et pointez-le vers http://www.juniper.net. Si la page ne se charge pas, vérifiez la connexion Internet.

    Pour isoler les pannes, procédez comme suit :

    • Cycle d’alimentation du modem WAN. Vérifiez que le modem se connecte correctement au fournisseur de services.
    • Ping sur une destination Internet à partir du SRX320 à l’aide de l’interface CLI pour tester la connectivité Internet. Assurez-vous que la destination est autorisée à répondre aux pings et essayez d’utiliser à la fois un nom et une adresse IP pour isoler le DNS des problèmes de connectivité.
    • Générez un ping depuis un équipement LAN vers l’adresse 192.168.1.1 attribuée à l’interface IRB sur le SRX. Une réponse réussie valide la connectivité DHCP et de couche 2 entre les équipements LAN et SRX.
    • Utilisez la show dhcp server binding commande pour vérifier l’attribution des adresses DHCP côté LAN.

    À ce stade, les équipements SRX320 et LAN disposent tous deux d’un accès Internet. La stratégie par défaut autorise tout le trafic de la zone d’approbation à non confiance. La stratégie par défaut exécute également le SNAT sur le trafic sortant du WAN. Par défaut, tout le trafic de réponse est autorisé à revenir de la zone non fiable vers la zone de confiance. Le trafic provenant de la zone de non confiance (WAN) est bloqué à partir de la zone de confiance. Le trafic HTTPS, TFTP et DHCP peut provenir de la zone non fiable et être envoyé à l’hôte local.

    Vous pouvez accéder au SRX à l’aide de J-Web pour effectuer une configuration initiale à la fois localement et à distance. Pour l’accès local, utilisez une machine connectée à un port LAN et pointez votre navigateur vers https://191.168.1.1. Pour accéder à distance, via l’interface WAN, vous devez connaître l’adresse IP attribuée au SRX par le fournisseur WAN. Consultez L’assistant de configuration J-Web pour plus de détails sur l’exécution de la configuration initiale à l’aide de l’assistant de configuration J-Web. Vous pouvez toujours accéder au SRX320 en local à l’aide du port de console pour effectuer une configuration supplémentaire. Reportez-vous à la section SRX320 Day One+ pour plus d’informations sur l’utilisation de la CLI pour la configuration initiale.

    Note:

    Dans la configuration par défaut, aucun mot de passe n’est nécessaire pour accéder au SRX320 à l’aide de J-Web, que ce soit localement ou à distance. Vous devez soit adopter le SRX dans un service de provisionnement cloud, soit configurer manuellement un mot de passe racine (à l’aide de J-Web ou de junos CLI), dès que possible après avoir connecté votre SRX à Internet.