Paso 1: Verificar y proteger la conectividad de la sucursal local
No hay mejor manera de conocer su SRX que simplemente entrar y empezar a usarlo. Primero, usemos la CLI para verificar el estado operativo de su SRX. En este paso, se da por sentado que ha realizado la configuración inicial con los valores predeterminados de fábrica, como se describe en la guía de Day One+. En este punto, debe tener conectividad local y a Internet para su sucursal.
Comprender la conectividad predeterminada de la línea SRX300
La figura 1 muestra el estado final de la sucursal después de haber realizado la configuración inicial. Le mostraremos cómo aprovechar la configuración predeterminada de fábrica de SRX para que la sucursal esté en línea rápidamente.
Como señalamos en la Tabla 1, algunos modelos de la línea SRX300 tienen interfaces de administración dedicadas, mientras que otros modelos no. Esto afecta a la subred IP utilizada para los puertos LAN de confianza. El siguiente diagrama se basa en un modelo SRX con una interfaz de administración dedicada, específicamente en una SRX380. Si su SRX no tiene una interfaz de administración dedicada, simplemente modifique la subred IRB que se muestra para reflejar 192.168.1.0/24. Tendrá que tener en cuenta este cambio a medida que avanza en la guía.
Nuestra conectividad predeterminada se basa en un SRX380, que, de nuevo, tiene una interfaz de administración dedicada. Si su dispositivo no tiene una interfaz de administración, entonces sus puertos LAN de confianza usan 192.168.1.0/24.
Primero, algunos recordatorios sobre el estado final de Day One+ para su dispositivo de la línea SRX300:
Cómo acceder a la CLI
Hay varias formas de acceder a la CLI de SRX. En todos los casos, inicie sesión como usuario raíz mediante la contraseña que configuró en el procedimiento Day One+:
- Acceso directo a la consola con un puerto serie
-
Acceso SSH:
Acceso a través de un dispositivo de zona de confianza
Puede SSH a 192.168.2.1 desde un dispositivo conectado a un puerto LAN local en la VLAN de confianza.Acceso a través de una interfaz de administración
Si el SRX tiene una interfaz de administración dedicada (fxp0), SSH a 192.168.1.1 desde un dispositivo conectado a la red de administración fuera de banda.Acceso remoto
Para acceder al SRX de forma remota, utilice la dirección IP asignada por el proveedor de WAN a la interfaz ge-0/0/0. Simplemente emita elshow interfaces ge-0/0/0 terse
comando en el SRX para confirmar la dirección asignada por el proveedor a la interfaz WAN.
Configuración predeterminada del puerto LAN
- Los dispositivos conectados a los puertos LAN están configurados para usar DHCP. Reciben su configuración de red del SRX. Estos dispositivos obtienen una dirección IP del conjunto de direcciones 192.168.2.0/24 mediante el SRX como puerta de enlace predeterminada.
- Los trust puertos LAN de la zona están en la misma subred con conectividad de capa 2. Todo el tráfico está permitido entre trust interfaces.
- Todo el tráfico que se origine en la trust zona está permitido en la untrust zona. Se permite hacer coincidir el untrust tráfico de respuesta de la zona a la trust zona. El tráfico que se origina en la untrust zona está bloqueado desde la trust zona.
- El SRX realiza la traducción de red de origen (TDR de origen) mediante la dirección IP de la interfaz WAN para el tráfico que se origina en la trust zona y se envía a la zona WAN untrust .
- Se permite el tráfico asociado con servicios de sistema específicos (HTTPS, DHCP, TFTP y SSH) desde la untrust zona hasta el host local. Todos los servicios y protocolos de host local están permitidos para el tráfico que se origina en la trust zona.