SUR CETTE PAGE
Comprendre la configuration par défaut du pare-feu virtuel vSRX
Importation et exportation d’une configuration de pare-feu virtuel vSRX
Exportation d’une partie de la configuration du pare-feu virtuel vSRX
Importation de toute la configuration du pare-feu virtuel vSRX
Importation d’une partie de la configuration du pare-feu virtuel vSRX
Configuration par défaut du pare-feu virtuel vSRX
Comprendre la configuration par défaut du pare-feu virtuel vSRX
Les équipements de pare-feu virtuel vSRX d’IBM Cloud™ Juniper sont dotés de la configuration par défaut suivante :
SSH et Ping sont autorisés sur les adresses IP des passerelles publiques et privées vSRX Virtual Firewall
L’accès à l’interface utilisateur De Juniper Web Management (J-Web) est autorisé sur le port HTTPS 8443 pour les adresses IP des passerelles publiques et privées
Un service défini d’adresses est prédéfini pour les réseaux de services IBM
Deux zones de sécurité : SL-PRIVATE et SL-PUBLIC sont prédéfinies.
L’accès de la zone SL-PRIVATE à tous les services est fourni par IBM et service défini d’adresses est autorisé
Tous les autres accès réseau sont refusés
Deux groupes de redondance sont configurés sont illustrés ci-dessous :
Groupe de redondance |
Fonction de groupe de redondance |
|---|---|
groupe de redondance 0 |
Groupe de redondance pour le plan de contrôle |
groupe de redondance 1 |
Groupe de redondance pour le plan de données |
La priorité dans le groupe de redondance décide quel nœud de pare-feu virtuel vSRX est actif. Par défaut, le nœud 0 est actif à la fois pour le plan de contrôle et le plan de données.
Exemples de configuration par défaut de référence
Importation et exportation d’une configuration de pare-feu virtuel vSRX
Le processus de mise à niveau du pare-feu virtuel vSRX d’IBM Cloud™ Juniper préserve la configuration originale du pare-feu virtuel vSRX tout au long du processus, tant que les recharges requises sont effectuées une à la fois. Toutefois, il est fortement recommandé d’exporter et de sauvegarder les paramètres de configuration de votre pare-feu virtuel vSRX avant de commencer la mise à niveau.
Une fois le processus de mise à niveau terminé pour les serveurs autonomes, vous devez importer la configuration d’origine que vous avez enregistrée si vous souhaitez la restaurer. Pour les configurations haute disponibilité, vous devez restaurer la configuration manuellement à partir de votre fichier exporté uniquement si la mise à niveau échoue ou si vous passez d’une architecture à l’autre. Pour plus d’informations sur la migration des configurations 1G de l’architecture héritée vers l’architecture actuelle, voir Migration des configurations héritées vers l’architecture vSRX actuelle.
Considérations
Le processus de mise à niveau du standalone et de la haute disponibilité (HA) est différent. Voir mise à niveau du vSRX.
L’interface J-Web vous permet d’afficher, de modifier et de télécharger la configuration actuelle rapidement et facilement sans utiliser l’interface CLI Junos OS. Consultez la documentation J-Web pour SRX Series pour plus de détails.
Une mise à niveau de la version vSRX Virtual Firewall 15.1 vers une version plus récente du pare-feu virtuel vSRX, telle que 19.4, entraîne des modifications des mappages d’interface du pare-feu virtuel vSRX dans le fichier de configuration. Par conséquent, lorsque vous importez les paramètres de votre pare-feu virtuel vSRX d’origine, assurez-vous que la nouvelle section « interfaces » n’est pas modifiée. Il existe deux façons d’y parvenir : soit importer des sous-sections autres que la section « interfaces », soit importer l’ensemble de la configuration et restaurer manuellement les interfaces SR-IOV 19.4.
La nouvelle configuration d’interface par défaut du pare-feu virtuel vSRX pour les ponts Linux et SR-IOV doit être préservée après l’importation de leurs configurations. Par exemple, pour sr-IOV, les interfaces GE ont des mappages spécifiques à l’hôte qui doivent être préservés pour activer SR-IOV. Ces interfaces sont trouvées dans la CLI à l’aide des interfaces de configuration de commande show. Pour plus d’informations sur les mappages SR-IOV, consultez la section configurations vSRX par défaut . Voir Migration des configurations héritées vers l’architecture vSRX actuelle pour plus d’informations sur la migration des configurations 1G de l’architecture héritée vers l’architecture actuelle.
Si vous préférez utiliser l’interface cli Junos OS, le contenu suivant fournit différentes méthodes d’exportation et d’importation de vos paramètres de configuration, selon que vous souhaitez exporter ou importer la totalité ou une partie de la configuration. Pour gérer les paramètres de configuration, accédez au mode CLI, puis exécutez la commande configure pour entrer en mode de configuration. Ensuite, pour valider vos modifications, exécutez la commande commit.
Exportation d’une partie de la configuration du pare-feu virtuel vSRX
Pour exporter seulement une partie de la configuration du pare-feu virtuel vSRX :
Entrez en mode configuration et assurez-vous d’être en haut de l’arbre de configuration : modifier puis top
Puis exécutez la
show <section>commande pour obtenir la configuration actuelle, enfermée dans des accolades.Par exemple, vous pouvez exécuter des interfaces d’exposition pour afficher toutes les configurations d’interfaces. Ou, si vous préférez afficher la sortie en mode défini, exécutez la
show <section> | display setcommande.Le résultat doit être similaire à ce qui suit :
# show interfaces | display set set interfaces ge-0/0/0 description PRIVATE_VLANs set interfaces ge-0/0/0 flexible-vlan-tagging set interfaces ge-0/0/0 native-vlan-id 925 set interfaces ge-0/0/0 mtu 9000 ... [edit]
Pointe:Le mode de configuration affiche la configuration sous la forme d’une série de commandes de mode de configuration requises pour recréer la configuration. Cela est utile si vous n’êtes pas familier avec l’utilisation des commandes du mode de configuration ou si vous souhaitez couper, coller et modifier la configuration affichée.
Copiez et enregistrez la sortie dans votre espace de travail local pour une utilisation ultérieure.
Importation de toute la configuration du pare-feu virtuel vSRX
La nouvelle configuration d’interface par défaut du pare-feu virtuel vSRX pour les ponts Linux et SR-IOV doit être préservée après l’importation de leurs configurations. Par exemple, pour sr-IOV, les interfaces GE ont des mappages spécifiques à l’hôte qui doivent être préservés pour activer SR-IOV. Ces interfaces se trouvent dans la CLI à l’aide de la show configuration interfaces commande. Pour plus d’informations sur les mappages SR-IOV, consultez configuration vSRX par défaut.
Pour importer toute la configuration du pare-feu virtuel vSRX :
Après avoir mis à niveau le pare-feu virtuel vSRX, copiez le fichier de configuration que vous avez enregistré précédemment dans le dossier /var/tmp.
Exécutez le remplacement de charge /var/tmp/backup.txt dans le mode de configuration pour remplacer l’ensemble de la configuration actuelle par le contenu que vous avez enregistré sous le dossier /var/tmp.
Importation d’une partie de la configuration du pare-feu virtuel vSRX
La nouvelle configuration d’interface par défaut du pare-feu virtuel vSRX pour les ponts Linux et SR-IOV doit être préservée après l’importation de leurs configurations. Par exemple, pour sr-IOV, les interfaces GE ont des mappages spécifiques à l’hôte qui doivent être préservés pour activer SR-IOV. Ces interfaces se trouvent dans la CLI à l’aide de la show configuration interfaces commande. Pour plus d’informations sur les mappages SR-IOV, consultez configuration vSRX par défaut.
Pour importer seulement une partie de la configuration du pare-feu virtuel vSRX :
À partir du mode de configuration, exécutez-la
edit <section>pour atteindre le niveau d’arbre de configuration que vous souhaitez.Copiez les paramètres de configuration que vous avez enregistrés et exécutez le terminal de fusion de charge de commande relatif à la fusion de la configuration avec la configuration actuelle.
Collez le contenu, appuyez sur Entrée pour accéder à une nouvelle ligne, puis tapez Contrôle + D pour terminer l’entrée.
Le résultat doit être similaire à ce qui suit :
# load merge terminal relative [Type ^D at a new line to end input] family inet { filter { input PROTECT-IN; } } load complete [edit interfaces lo0 unit 0]
Vous pouvez également :
Remplacez la configuration au lieu de la fusionner, en supprimant d’abord la configuration par la commande delete sous ce niveau d’arbre de configuration, puis en effectuant un terminal de fusion de charge relatif au copier-coller de votre configuration précédente.
Modifiez la configuration en mode défini, en exécutant le terminal défini au lieu de charger le terminal de fusion de charge relatif. Ensuite, copiez et collez le contenu que vous avez enregistré en mode défini.
Note:Assurez-vous de toujours exécuter le
load set terminalat the top.