Configurer des sites et des variables pour les pare-feu SRX Series
Procédez comme suit pour ajouter un site, attribuer un mot de passe racine et configurer des variables de site afin de simplifier le processus de configuration de vos pare-feu SRX Series.
Un site est un sous-ensemble de votre organisation dans le cloud Juniper Mist™. Vous avez besoin d’un site unique pour chaque emplacement physique (ou logique) du réseau. Les utilisateurs disposant des privilèges requis peuvent configurer et modifier des sites. Les modifications de configuration dans les sites sont automatiquement appliquées (ou du moins disponibles) à tous les appareils inclus dans le site.
En outre, le pare-feu Juniper® SRX Series doit disposer d’une licence de sécurité des applications (AppSecure est une suite de services de sécurité conscients des applications qui offre une visibilité et un contrôle sur les types d’applications traversant les réseaux, ce qui permet au cloud Juniper Mist de suivre et de signaler les applications qui traversent l’appareil).
Dans cette tâche, vous allez également créer des variables de site. Les variables de site offrent simplicité et flexibilité pour le déploiement à grande échelle. Les variables de site sont configurées pour chaque site. Lors de la planification d’une conception de réseau, vous pouvez créer des modèles standard pour des périphériques de périphérie WAN spécifiques et utiliser des variables dans les modèles ou sur la page de configuration de la périphérie WAN.
Les variables de site permettent d’utiliser des balises (telles que « WAN1_PUBIP ») pour représenter des valeurs réelles (par exemple, 192.168.200.254) afin que la valeur puisse varier en fonction du contexte dans lequel vous utilisez la variable. Par exemple, pour le site 1, vous pouvez définir WAN1_PUBIP comme étant 192.168.200.254, tandis que pour le site 2, la valeur que vous WAN1_PUBIP donnez est 192.168.1.10. Vous pouvez ensuite utiliser la balise pour remplacer l’adresse IP pour les configurations cloud Juniper Mist, telles que dans le modèle de périphérie WAN. En d’autres termes, lorsque vous attachez le modèle à différents sites, Juniper Mist cloud utilise automatiquement l’adresse IP appropriée sur chaque site lorsque la configuration est rendue et envoyée à l’appareil.
Vous pouvez également définir des sous-réseaux IP entiers des trois premiers octets dans des variables, en laissant une configuration minimale sur chaque appareil.
Vous pouvez définir la variable de site à l’aide de doubles crochets pour mettre en forme le nom de la variable. Exemple : {{SPOKE_LAN1_PFX}}
- Faites défiler la page vers le bas jusqu’au volet Paramètres de gestion des commutateurs et de gestion de la périphérie WAN, puis configurez le mot de passe racine.
Figure 1 : définition du mot de passe
root
Assurez-vous de toujours définir un mot de passe root pour les périphériques et commutateurs de périphérie WAN sur le site.
- Faites défiler la page vers le bas jusqu’à la section Visibilité des applications WAN Edge, puis activez l’option de licence WAN Edge devices have an APP Track (Les appareils WAN Edge disposent d’une licence APP Track).
Figure 2 : activation de la visibilité
des applications
Note:Une licence de sécurité applicative est obligatoire pour tous les pare-feu SRX Series dotés d’un WAN défini par logiciel (SD-WAN). Assurez-vous qu’une licence valide est installée sur l’appareil.
- Faites défiler l’écran vers le bas jusqu’au volet Paramètres des variables de site .
-
Cliquez sur le bouton Ajouter une variable .
-
Dans l’écran contextuel qui s’affiche, saisissez le nom de la variable et spécifiez la valeur qu’elle représente.
Figure 3 : configuration des variables
Tableau 1 : paramètres variables pour les sites Valeur variable du nom du site spoke1-site {{SPOKE_LAN1_PFX}} 10.99.99 {{SPOKE_LAN1_VLAN}} 1099 {{WAN0_PFX}} 192.168.173 {{WAN1_PFX}} 192.168.170 spoke2-site {{SPOKE_LAN1_PFX}} 10.88.88 {{SPOKE_LAN1_VLAN}} 1088 {{WAN0_PFX}} 192.168.133 {{WAN1_PFX}} 192.168.130 spoke3-site {{SPOKE_LAN1_PFX}} 10.77.77 {{SPOKE_LAN1_VLAN}} 1077 {{WAN0_PFX}} 192.168.153 {{WAN1_PFX}} 192.168.150 hub1-site {{HUB1_LAN1_PFX}} 10.66.66 {{HUB1_LAN1_VLAN}} 1066 {{WAN0_PFX}} 192.168.191 {{WAN1_PFX}} 192.168.190 {{WAN0_PUBIP}} 192.168.129.191 {{WAN1_PUBIP}} 192.168.190.254 hub2-site {{HUB2_LAN1_PFX}} 10.55.55 {{HUB2_LAN1_VLAN}} 1055 {{WAN0_PFX}} 192.168.201 {{WAN1_PFX}} 192.168.200 {{WAN0_PUBIP}} 192.168.129.201 {{WAN1_PUBIP}} 192.168.200.254 -
Les variables telles que {{SPOKE_LAN1_PFX}}, {{HUB1_LAN1_PFX}}, {{HUB2_LAN1_PFX}}, {{WAN0_PFX}} et {{WAN1_PFX}} représentent les trois premiers octets d’une adresse IP ou d’un préfixe.
-
Les variables telles que {{SPOKE_LAN1_VLAN}}, {{HUB1_LAN1_VLAN}}, {{HUB2_LAN1_VLAN}} contiennent les ID VLAN individuels. Dans cet exemple, utilisez le balisage VLAN pour diviser le domaine de diffusion et séparer le trafic.
-
Les variables {{WAN0_PUBIP}} et {{WAN1_PUBIP}} définies pour les interfaces WAN des hubs utilisent l’adresse IP publique :
-
L’adresse IP des interfaces sur le chemin Internet est au format 192.168.129.x. Vous pouvez configurer des règles de traduction d’adresses réseau (NAT) pour l’interface.
-
L’adresse IP des interfaces sur le chemin MPLS est 192.168.x.254.
-
- Utilisez le masque de sous-réseau /24 et ne créez pas de variable pour ce champ.
Pour les champs restants, utilisez les valeurs par défaut, sauf lorsque vous définissez vos variables de site. -
- Cliquez sur Enregistrer pour ajouter la variable à la liste.
La figure 4 montre la liste des variables nouvellement créées.
Figure 4 : Exemple de
variables de site
- Cliquez sur Enregistrer pour enregistrer les modifications apportées au site.
La figure 5 montre la liste des sites nouvellement créés.Figure 5 : sites
nouvellement créés