Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Étape 1 : Vérifier et sécuriser la connectivité des filiales locales

Il n’y a pas de meilleur moyen de connaître votre SRX que d’intervenir et de commencer à l’utiliser. Tout d'abord, utilisons la CLI pour vérifier l'état opérationnel de votre SRX. Cette étape suppose que vous avez effectué la configuration initiale en utilisant les paramètres d'usine par défaut, comme décrit dans le guide Day One+. À ce stade, vous devriez disposer d’une connectivité à la fois locale et Internet pour votre filiale.

Comprendre la connectivité par défaut de la gamme SRX300

La figure 1 montre l'état final de votre filiale après avoir effectué la configuration initiale. Nous allons vous montrer comment exploiter la configuration srX par défaut pour mettre rapidement la filiale en ligne.

Note:

Comme nous l'avons noté dans le tableau 1, certains modèles SRX300 Line disposent d'interfaces de gestion dédiées, tandis que d'autres modèles ne le font pas. Cela impacte le sous-réseau IP utilisé pour les ports LAN de confiance. Le schéma ci-dessous est basé sur un modèle SRX avec une interface de gestion dédiée, en particulier une SRX380. Si votre SRX ne dispose pas d’interface de gestion dédiée, modifiez simplement le sous-réseau IRB qui reflète 192.168.1.0/24. Vous devrez garder ce changement à l’esprit au fur et à mesure que vous passerez par le guide.

Figure 1 : connectivité par défaut de la ligne SRX300 (SRX380) SRX300 Line Default Connectivity (SRX380)

Notre connectivité par défaut est basée sur un SRX380, qui, là encore, dispose d’une interface de gestion dédiée. Si votre équipement ne dispose pas d’interface de gestion, vos ports LAN de confiance utilisent 192.168.1.0/24.

Tout d’abord, quelques rappels sur l’état de fin day one+ de votre équipement SRX300 Line :

Comment accéder à la CLI

Il existe plusieurs façons d’accéder à la CLI SRX. Dans tous les cas, vous vous connectez en tant qu’utilisateur racine à l’aide du mot de passe configuré dans la procédure Day One+ :

  • Accès direct à la console avec un port série

  • Accès SSH :

    • Accès via un équipement de zone de confiance

      Vous pouvez ssh vers 192.168.2.1 à partir d’un équipement connecté à un port LAN local dans le VLAN Trust.

    • Accès via une interface de gestion

      Si le SRX dispose d’une interface de gestion dédiée (fxp0), SSH vers 192.168.1.1 à partir d’un équipement connecté au réseau de gestion hors bande.

    • Accès distant

      Pour accéder au SRX à distance, utilisez l’adresse IP attribuée par le fournisseur WAN à l’interface ge-0/0/0. Il suffit d’émettre la show interfaces ge-0/0/0 terse commande sur le SRX pour confirmer l’adresse attribuée par le fournisseur à l’interface WAN.

Configuration de port LAN par défaut

  • Les équipements connectés aux ports LAN sont configurés pour utiliser DHCP. Ils reçoivent leur configuration réseau du SRX. Ces équipements obtiennent une adresse IP à partir du pool d’adresses 192.168.2.0/24 en utilisant le SRX comme passerelle par défaut.
  • Les trust ports LAN de zone sont dans le même sous-réseau avec connectivité de couche 2. Tout le trafic est autorisé entre trust les interfaces.
  • Tout le trafic en provenance de la trust zone est autorisé dans la untrust zone. Le trafic de réponse correspondant est autorisé à revenir de la untrust zone à la trust zone. Le trafic en provenance de la untrust zone est bloqué à partir de la trust zone.
  • Le SRX effectue la traduction du réseau source (NAT source) à l’aide de l’adresse IP de l’interface WAN pour le trafic provenant de la trust zone et envoyé à la zone WAN untrust .
  • Le trafic associé à des services système spécifiques (HTTPS, DHCP, TFTP et SSH) est autorisé de la untrust zone à l’hôte local. Tous les services et protocoles d’hôte local sont autorisés pour le trafic qui provient de la trust zone.