Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurer les réseaux pour les pare-feu SRX Series

Suivez ces étapes pour configurer les réseaux de vos pare-feu SRX Series.

Les réseaux sont les sources de la demande dans votre conception Juniper WAN Assurance. Sur le pare-feu Juniper® SRX Series, les réseaux créent des carnets d’adresses qui servent de source pour les stratégies de sécurité et les stratégies APBR (Advanced Policy Based Routing).

Les réseaux vous permettent de définir des groupes d’utilisateurs. Dans une conception WAN, vous devez identifier les sources accédant à vos applications sur le segment LAN et configurer les utilisateurs. Les utilisateurs sont des adresses source, que vous pouvez utiliser ultérieurement dans les stratégies d’application.

Une fois que vous avez créé des réseaux dans le portail cloud Juniper Mist™, vous pouvez utiliser les réseaux de l’ensemble de l’organisation dans le portail. La conception de WAN Assurance utilise les réseaux comme source dans la stratégie d’application.

Pour configurer les réseaux :

  1. Dans le portail cloud Juniper Mist, cliquez sur Organization > WAN > Networks.
    Une liste des réseaux existants, le cas échéant, s’affiche.
  2. Cliquez sur Ajouter des réseaux dans le coin supérieur droit.
    Le Ajouter un réseau fenêtre s’affiche. Tableau 1 Récapitule les options que vous pouvez définir dans un réseau.
    Tableau 1 : options réseau
    Description des champs
    Nom Entrez un nom unique pour le réseau. Le nom peut contenir des caractères alphanumériques, des traits de soulignement et des traits d’union, et doit comporter moins de 32 caractères.
    Adresse IP du sous-réseau Saisissez l’adresse IP du réseau. Vous pouvez utiliser des valeurs absolues (exemple : 192.0.2.0) ou des variables (exemple :{{SPOKE_LAN1_PFX}}.0 ).
    Longueur du préfixe Entrez la longueur du préfixe d’adresse, comprise entre 0 et 32. Vous pouvez également utiliser des variables pour la longueur du préfixe. Exemple : {{PFX1}}
    VLAN ID

    (Facultatif) Saisissez l’ID de VLAN associé au réseau.

    Si votre appareil utilise une interface non balisée, vous devez utiliser 1 comme ID VLAN au lieu de la variable.
    Préfixe du pool NAT source

    (Facultatif) Entrez le préfixe IPv4 pour le NAT source. Le NAT source convertit l’adresse IP source du trafic (qui est une adresse IP privée) en une adresse IP publique.
    Accès à Mist Cloud

    Cochez cette option pour autoriser d’autres appareils du réseau défini à se connecter au cloud Mist pour une gestion via le pare-feu SRX Series.

    Les équipements WAN Edge disposent de stratégies intégrées pour se connecter aux services cloud Mist à l’aide d’interfaces WAN. Si vous accordez l’accès à Mist cloud à l’aide de cette option, le réseau pourra utiliser les stratégies intégrées pour se connecter à Mist.

    Exemple de cas d’utilisation : gestion des réseaux LAN pour les équipements Mist gérés.
    Annoncez sur l’overlay

    Cochez l’option permettant d’annoncer le réseau aux périphériques du hub via les tunnels de superposition. Lorsque vous sélectionnez cette option, le système affiche les options supplémentaires suivantes pour la publicité :

    • Advertise to Other Spokes (Annoncer à d’autres rayons) : réseau permettant d’annoncer le préfixe réseau à d’autres spokes (option par défaut).

      Si vous souhaitez que le réseau annonce le préfixe uniquement aux hubs (et non aux autres rayons), désactivez l’option par défaut.

    • Advertise to Hub LAN BGP Neighbor (Annoncer au voisin BGP du hub) : réseau permettant d’annoncer le préfixe réseau à n’importe quel voisin BGP LAN au niveau du hub (option par défaut). Si vous ne souhaitez pas faire de publicité, désactivez l’option par défaut.
    • Advertise to Hub LAN OSPF Neighbor (SRX Only) : réseau permettant d’annoncer le préfixe réseau à n’importe quel voisin OSPF LAN au niveau du hub (option par défaut). Si vous ne souhaitez pas faire de publicité, désactivez l’option par défaut.
    • Remplacer le préfixe pour faire de la publicité : activez cette option lorsque le préfixe à annoncer sur les hubs n’est pas le réseau d’origine, mais un préfixe différent. Cette option est généralement utilisée lors de l’activation des options NAT. Lorsque vous sélectionnez cette option, entrez l’adresse IP et la longueur du préfixe.

    Le portail affiche également les options de synthèse d’itinéraire suivantes :

    • Résumé de la superposition du hub : permet au réseau de récapituler le préfixe réseau annoncé sur la superposition. Par exemple : Juniper Mist portail peut résumer 192.168.1.0/24 à 192.168.0.0/16. Cette fonctionnalité limite le nombre de mises à jour BGP reçues par un hub de chaque rayon et renvoyées par le hub à tous les autres rayons.
    • Résumé BGP du LAN du hub : permet au réseau de synthétiser le préfixe réseau annoncé au voisin BGP du LAN. Par exemple : Juniper Mist portail peut résumer 192.168.1.0/24 à 192.168.0.0/16.
    • Résumé OSPF du LAN du hub : permet au réseau de synthétiser le préfixe réseau annoncé au voisin OSPF du LAN. Par exemple : Juniper Mist portail peut résumer 192.168.1.0/24 à 192.168.0.0/16.
    • Route Summarization (Résumé des itinéraires) : synthétise les itinéraires locaux vers la superposition. Vous pouvez spécifier les adresses IP et la longueur du préfixe des routes résumées. Pour Session Smart, les routeurs prennent en charge la synthèse lorsque le réseau est connecté au spoke uniquement.

    Les réseaux ne sont pas directement connectés (SSR uniquement)

    Sélectionnez les réseaux qui ne sont pas des réseaux directement connectés qui arrivent sur ce réseau assigné à un réseau local.
    Utilisateurs

    (Facultatif) Réseaux ou utilisateurs supplémentaires. Exemple : réseaux distants ou utilisateurs connectés au réseau principal.

    Cliquez sur l’option Ajouter un utilisateur et entrez le nom et le préfixe IP de l’utilisateur supplémentaire.
    NAT statique

    (Facultatif) Effectuez un mappage statique un à un de l’adresse source de l’hôte privé d’origine vers une adresse source publique.

    Cliquez sur l’option Ajouter un NAT statique et entrez le nom , l’adresse IP interne, l’adresse IP externe et sélectionnez l’option à appliquer au trafic sortant sur l’underlay ou l’overlay. Saisissez le nom WAN des équipements SRX Series.
    Destination NAT

    (Facultatif) Traduisez l’adresse IP de destination d’un paquet.

    Cliquez sur l’option Ajouter un NAT de destination et entrez le nom , l’adresse IP interne, le port interne, l’adresse IP externe, le port externe et sélectionnez l’option à appliquer au trafic sortant sur l’underlay ou l’overlay. Saisissez le nom WAN des équipements SRX Series.
  3. Complétez la configuration en suivant les instructions du Tableau 2.
    Dans cette tâche, vous allez utiliser les variables des champs Adresse IP du sous-réseau et Longueur du préfixe pour configurer trois réseaux : SPOKE-LAN1, HUB1-LAN1 et HUB2-LAN1.
    Tableau 2 : exemple de configuration réseau
    Champs Réseau 1 Réseau 2 Réseau 3
    Nom RAYONS-LAN1 HUB1-LAN1 HUB2-LAN1
    Adresse IP du sous-réseau {{SPOKE_LAN1_PFX}}.0 {{HUB1_LAN1_PFX}}.0 {{HUB2_LAN1_PFX}}.0
    Longueur du préfixe 24 24 24
    VLAN ID {{SPOKE_LAN1_VLAN}} {{HUB1_LAN1_VLAN}} {{HUB2_LAN1_VLAN}}
    Accès à Mist Cloud Vérifié Vérifié Vérifié
    Annoncé via Overlay Vérifié Vérifié Vérifié
    Utilisateurs
    • Nom=Tous
    • Préfixes IP = 10.0.0.0/8
    		 - -
    Note:

    L’utilisateur « Tous » avec le préfixe IP 10.0.0.0/8 sert de caractère générique pour tous les futurs segments LAN de la plage. Dans les hubs, le pare-feu SRX Series peut utiliser le même nom d’utilisateur (Tous) et le même préfixe IP (10.0.0.8) pour identifier toutes les interfaces LAN spoke à l’aide d’une seule règle.

    Note:

    Lorsque vous utilisez des variables, ne partez pas du principe que le système importe automatiquement tous les segments LAN sur le site hub. Parfois, le système peut appliquer un masque de réseau N’importe lequel, qui a une large portée et peut générer des problèmes de sécurité.
  4. Cliquez sur Ajouter.

    La figure 1 montre la liste des réseaux nouvellement créés.

    Figure 1 : Résumé Networks Summary des réseaux

Site Variables

Vous pouvez configurer les variables de site par site. Les variables de site vous permettent d’utiliser la même définition de réseau avec des valeurs différentes pour chaque site sans avoir à définir plusieurs réseaux. Les variables ont le format {{variable_name}}. Il est courant de définir des réseaux avec des variables dans la configuration de modèles de périphérie WAN.

Pourboire: Lorsque vous travaillez sur les écrans de configuration, recherchez les indicateurs VAR. Les champs avec cet indicateur autorisent les variables de site.

Les champs portant cette étiquette affichent également les variables correspondantes (si elles sont configurées) lorsque vous commencez à y taper une variable spécifique. Ce champ répertorie les variables de tous les sites de l’organisation.

La liste des variables à l’échelle de l’organisation peut être consultée à l’aide de GET /api/v1/orgs/ :org_id/vars/search ?var=*. Cette liste est renseignée au fur et à mesure que des variables sont ajoutées sous les paramètres du site.

La figure 2 illustre deux exemples de configuration d’un réseau à l’aide de valeurs absolues et de variables de site.

Figure 2 : configuration de réseaux avec des valeurs absolues et des variables Configuring Networks with Absolute Values and Variables

Vous pouvez définir les variables de site dans le volet Organisation > Admin> Configuration du site .

Figure 3 : volet Site Variables Settings Pane Paramètres des variables de site

Cette tâche utilise des variables pour l’ID VLAN et l’adresse IP du sous-réseau. Les variables de site qui contiennent les trois premiers octets remplacent les valeurs des variables d’adresse IP de sous-réseau, comme illustré à la Figure 4.

Figure 4 : Variables de site affichées sur la page Site Variables Displayed on the Site Configuration Page de configuration du site

Documentation connexe