Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configurar un conector de borde seguro para firewalls de la serie SRX

Juniper® Secure Edge ofrece capacidades de borde de servicio de seguridad (SSE) de pila completa para proteger el acceso a aplicaciones web, SaaS y en las instalaciones. Estas capacidades también proporcionan una protección contra amenazas consistente, una experiencia de red optimizada y políticas de seguridad que siguen a los usuarios dondequiera que vayan. Secure Edge actúa como un escáner de seguridad avanzado basado en la nube. Permite a las organizaciones proteger los datos y proporcionar a los usuarios un acceso a la red consistente y seguro, ya sea que los usuarios estén en la oficina, en el campus o en movimiento.

Mist trabaja con Juniper Secure Edge al proporcionar un conector Secure Edge (SEC) que puede establecer un túnel seguro con el servicio en la nube Juniper Secure Edge.

Figura 1: Borde Secure Edge seguro

Todas las capacidades de Secure Edge son administradas por Juniper Security Director Cloud, la experiencia de administración simple y sin problemas de Juniper que se ofrece en una sola interfaz de usuario (UI).

Figura 2: Inspección de tráfico por Juniper Secure Edge Traffic Inspection by Juniper Secure Edge

Para obtener más información, consulte Juniper Secure Edge.

Descripción general de Secure Edge Connector

La nube Juniper Mist™ funciona con Juniper® Secure Edge para realizar inspecciones de tráfico desde dispositivos perimetrales mediante la función de conector Secure Edge. Esta función permite que el firewall de la serie SRX de Juniper Networks®, desplegado como dispositivo de borde WAN, envíe una parte del tráfico a Juniper Secure Edge para una inspección.

En esta tarea, se envía el tráfico enlazado a Internet desde el lado LAN de un dispositivo radial o concentrador a Secure Edge para una inspección antes de que el tráfico llegue a Internet.

Para que Secure Edge realice una inspección de tráfico:

  • En Security Director Cloud, cree y configure las ubicaciones de servicio, los perfiles IPsec, los sitios y las políticas de Secure Edge. Estos son los recursos basados en la nube que proporcionan servicios de seguridad y conectividad para los dispositivos de borde WAN.

  • En la nube de Mist, cree y configure los dispositivos de borde WAN, como el firewall de la serie SRX, que se conectan a las redes LAN. Estos son los dispositivos que proporcionan capacidades de enrutamiento, conmutación y SD-WAN para las sucursales o campus.

  • En Mist WAN-Edge, cree y configure los túneles de Secure Edge que conectan los dispositivos de borde WAN con las ubicaciones de servicio. Estos son los túneles IPsec que proporcionan un transporte seguro y confiable para el tráfico que Secure Edge debe inspeccionar.

  • En la nube de Mist, asigne los túneles de Secure Edge a los sitios o perfiles de dispositivo que correspondan a los dispositivos de borde WAN. Esto permite que el tráfico se dirija desde las redes LAN a la nube Secure Edge en función de las políticas de datos definidas y otros criterios de coincidencia.

Los temas de la tabla siguiente presentan la información general que necesita para usar la seguridad basada en la nube de Secure Edge con la nube de Juniper Mist™.

Tabla 1: Flujo de trabajo de configuración del conector Secure Edge
Paso Tarea Descripción
1 Acceda a Juniper Security Director Cloud y compruebe las suscripciones activas Acceda a Juniper Security Director Cloud, vaya a la cuenta de su organización y compruebe las suscripciones de Secure Edge. La suscripción le da derecho a configurar servicios Secure Edge para sus despliegues.
2 Configurar una ubicación de servicio en la nube de Juniper Security Director

Crear ubicaciones de servicio. Aquí es donde el borde de WAN basado en vSRX crea conexiones seguras entre diferentes redes.
3 Generar certificados de dispositivo en Juniper Security Director Cloud Genere certificados digitales para Juniper Secure Edge a fin de establecer comunicaciones seguras entre Secure Edge y los puntos finales de usuario.
4 Crear un perfil IPsec en Juniper Security Director Cloud Cree perfiles IPsec para establecer túneles IPsec para la comunicación entre los dispositivos de borde WAN en su red en la nube de Juniper Mist™ con instancia de Secure Edge.
5 Crear un sitio en Juniper Security Director Cloud Cree un sitio que aloje un dispositivo perimetral WAN, como un firewall de servicios de la serie SRX de Juniper. El tráfico del dispositivo se reenvía a la instancia de Secure Edge a través de un túnel seguro para una inspección.
6 Implemente una política de borde seguro en la nube de Juniper Security Director Configurar directivas que definan las reglas y acciones de seguridad para el tráfico que se origina en el sitio o que está destinado a él
7 Obtenga parámetros de configuración de túnel IPsec para aplicar en Juniper Security Director Cloud Anote los detalles, como la dirección IP o el nombre de host de la ubicación del servicio, el nombre del perfil IPsec y la clave previamente compartida. Necesita estos detalles para configurar túneles IPsec desde el lado de Juniper Mist.
8 Cree conectores de borde seguros en el portal de la nube de Juniper Mist Cree conectores de Secure Edge en el portal de la nube de Juniper Mist. Esta tarea completa la configuración en el lado de la nube de Mist de los túneles para establecer un túnel IPsec entre la instancia de Mist y Secure Edge.
9 Modificar una directiva de aplicación Cree una política de aplicación nueva o cambie una existente para dirigir el tráfico de las sucursales a Internet a través de Juniper Security Director Cloud, en lugar de pasar por un concentrador para obtener acceso centralizado.
10 Verificar la configuración Confirme si su configuración funciona comprobando los túneles IPsec establecidos en:
  • WAN Insights en el portal de Mist
  • Panel de control de Security Director Cloud
  • Flujo de tráfico de túnel en la CLI del dispositivo perimetral WAN.

Antes de empezar

Acceda a Juniper Security Director Cloud y compruebe las suscripciones activas

Un inquilino en Juniper Secure Edge es una cuenta de organización que se crea para acceder al portal de Juniper Security Director Cloud y administrar sus servicios de Secure Edge. Un inquilino está asociado a una dirección de correo electrónico única y a un plan de suscripción. Un inquilino puede tener varias ubicaciones de servicio, que son borde WAN basado en vSRX alojado en una nube pública para su organización.

Un inquilino puede tener una o varias ubicaciones de servicio, que son los puntos de conexión para los usuarios finales. Para crear un inquilino, debe tener una cuenta en Juniper Security Director Cloud. Consulte Creación del inquilino de Secure Edge para obtener más información.

Después de crear su inquilino de Secure Edge en el portal de Juniper Security Director Cloud, acceda al portal y compruebe sus suscripciones.

Para acceder a Juniper Security Director Cloud y comprobar las suscripciones activas:

  1. Abra la URL de Juniper Security Director Cloud. Ingrese su dirección de correo electrónico y contraseña para iniciar sesión y comenzar a usar el portal de Juniper Security Director Cloud.
    Figura 3: Acceso a Juniper Security Director Cloud Access Juniper Security Director Cloud
  2. Seleccione el inquilino necesario en la esquina superior derecha del portal para continuar.
  3. Seleccione Administración > Suscripciones para acceder a la página Suscripciones de Juniper Security Director Cloud.
    Figura 4: Suscripciones Secure Edge Subscriptions de Secure Edge
  4. Desplácese hasta la sección Suscripciones de Secure Edge para comprobar si tiene una suscripción activa.
    Nota: No es necesario que haga clic en la ficha Suscripción de administración SRX, incluso si utiliza un firewall de la serie SRX de Juniper Networks®. En esta tarea, no utiliza Juniper Security Director Cloud para administrar dispositivos de borde WAN.

    Para obtener más información, consulte Acerca de la página Suscripciones.

    Suponiendo que tiene suscripciones activas, continúe con los pasos siguientes.

Configurar una ubicación de servicio en la nube de Juniper Security Director

Después de asegurarse de que tiene una licencia activa para Juniper Security Director Cloud, configure una ubicación de servicio. Esta es su primera tarea principal al configurar un conector Secure Edge para firewalls de la serie SRX.

Una ubicación de servicio en Juniper Security Director Cloud también se conoce como POP (punto de presencia) y representa una instancia de Juniper® Secure Edge en una ubicación de nube. La ubicación del servicio es el punto de conexión (acceso) para los usuarios locales y móviles.

Las ubicaciones de servicio son lugares donde vSRX crea conexiones seguras entre diferentes redes mediante un servicio de nube pública. La dirección IP pública (única por inquilino y ubicación de servicio) se usa para:

  • Configure un túnel IPsec entre el dispositivo de sucursal y Juniper Security Director Cloud.

  • Distribuya centralmente el tráfico cuando el destino esté en Internet.

Para configurar una ubicación de servicio en Juniper Security Director Cloud:

  1. En el menú Juniper Security Director Cloud, seleccione Secure Edge >Service Management>Service Locations.

    Aparecerá la página Ubicaciones de servicio.

  2. Haga clic en el icono Agregar (+) para crear una nueva ubicación de servicio.
    Introduzca los detalles de los campos siguientes:

    • Región: elija la región geográfica en la que desea crear una instancia de Secure Edge.

    • PoP: seleccione la ubicación del borde seguro en la región.

    • Número de usuarios: especifique el número total posible de usuarios que esta ubicación de servicio puede necesitar servir.

    La Tabla 2 muestra ejemplos de ubicaciones de servicios.

    Tabla 2: Ejemplos de ubicación de servicio
    Ubicación de servicio local 1 Ubicación de servicio 2
    Región América del Norte América del Norte
    Pop Ohio Oregón
    Número de usuarios 50 50
  3. Haga clic en Aceptar.

    Security Director Cloud crea una nueva ubicación de servicio y la muestra en la página Ubicaciones de servicio.

    El estado de la ubicación de servicio muestra En curso hasta que la instancia de Secure Edge se implemente por completo, como se muestra en la figura 5.

    Figura 5: Estado de la ubicación del Service Location Status servicio

    Cuando se crea una nueva ubicación de servicio, el sistema inicia la implementación de dos instancias de vSRX como bordes WAN para el sistema de inquilinos. En esta implementación, las instancias de vSRX no se comparten con otros inquilinos.

Generar certificados de dispositivo en Juniper Security Director Cloud

Ahora que ha configurado las ubicaciones de servicio en Juniper Security Director Cloud, puede generar certificados de dispositivo para proteger el tráfico de red.

Utilice un certificado TLS/SSL (Transport Layer Security/Secure Sockets Layer) para establecer comunicaciones seguras entre Secure Edge y dispositivos de borde WAN. Todos los exploradores cliente de su red deben confiar en los certificados firmados por Juniper Networks y los firewalls de la serie SRX para usar un proxy SSL.

En Juniper Security Director Cloud, tiene las siguientes opciones para generar certificados:

  • Cree una nueva solicitud de firma de certificado (CSR) y su propia entidad de certificación (CA) puede usar la CSR para generar un nuevo certificado.

  • Seleccione la opción para que Juniper Networks cree un nuevo certificado.

Nota:

En este tema se describe cómo generar un certificado TLS/SSL. La forma de importar y usar el certificado depende de los requisitos de administración de clientes de su empresa y está fuera del ámbito de este tema.

Para generar certificados de dispositivo en Juniper Security Director Cloud:

  1. Seleccione Administración perimetral segura>administración de servicios>Administración de certificados.

    Aparecerá la página Administración de certificados.

    En la lista Generar , puede generar una nueva solicitud de firma de certificado (CSR) o un certificado emitido por Juniper.

    Figura 6: Administración de Certificate Management certificados
  2. Seleccione la opción correspondiente:
    1. Si su empresa tiene su propia CA y desea generar una CSR, haga clic en Solicitud de firma de certificado.

      Después de que Juniper Secure Edge genere CSR, descargue la CSR y envíela a su CA para generar un nuevo certificado. Una vez generado, haga clic en Cargar para cargar el certificado en la página Administración de certificados.

    2. Si su empresa no tiene su propia CA, haga clic en Certificado emitido por Juniper y, a continuación, haga clic en Generar para generar el certificado. Juniper Networks generará y mantendrá el certificado en el sistema.
      En esta tarea, seleccione el certificado emitido por Juniper y continúe con el paso siguiente.
  3. Introduzca los detalles del certificado. En el campo Nombre común, use el nombre de dominio completo (FQDN) del certificado.
    Figura 7: Generar un certificado emitido por Juniper Generate a Juniper-Issued Certificate

    La página Administración de certificados se abre con un mensaje que indica que el certificado se ha creado correctamente.

  4. Descargue el certificado generado.
    Figura 8: Descargar el certificado Download the Certificate

    En el ejemplo siguiente se muestra el certificado descargado:

    Después de descargar el certificado en el sistema, agréguelo a los exploradores cliente.

Crear un perfil IPsec en Juniper Security Director Cloud

Después de generar los certificados para establecer comunicaciones seguras entre Secure Edge y los dispositivos de borde WAN, estará listo para crear perfiles IPsec.

Los perfiles IPsec definen los parámetros con los que se establece un túnel IPsec cuando los dispositivos de borde WAN de la red en la nube de Juniper Mist™ comienzan a comunicarse con la instancia de Secure Edge.

Para crear un perfil IPsec en Juniper Security Director Cloud:

  1. En el portal de Juniper Security Director Cloud, seleccione Perfiles IPsec de Secure Edge > Service Management > .
  2. Haga clic en el icono Agregar (+) para crear un perfil IPsec.
    Aparecerá la página Crear perfil IPsec.
  3. Para el nombre de perfil, utilice default-ipsec. Conservar todos los valores predeterminados para Intercambio de claves por Internet (IKE) e IPsec; actualmente, no se pueden configurar en el portal de la nube de Juniper Mist.
    Figura 9: Crear un perfil Create an IPsec Profile IPsec
  4. Haga clic en Aceptar.

    Utilice este perfil IPsec para crear un sitio en la siguiente tarea. En la página Crear sitio, si selecciona IPsec como tipo de túnel en la ficha Reenvío de tráfico, adjuntará el perfil IPsec.

Crear un sitio en Juniper Security Director Cloud

Ahora ha creado perfiles IPsec. Estos perfiles definen los parámetros del túnel IPsec entre los dispositivos de borde WAN en la red en la nube de Juniper Mist™ y la instancia de Secure Edge.

En este punto, debe crear un sitio en Juniper Security Director Cloud. Un sitio representa una ubicación que hospeda un dispositivo perimetral WAN, como un firewall de servicios de la serie SRX. El tráfico del dispositivo de borde WAN se reenvía a la instancia de Secure Edge a través de un túnel seguro y, a continuación, los servicios en la nube de Secure Edge lo inspeccionan y aplican.

Puede configurar para reenviar parte o todo el tráfico vinculado a Internet desde los sitios del cliente a la nube de Juniper Secure Edge a través de túneles de encapsulación de enrutamiento genérico (GRE) o IPsec desde los dispositivos de borde WAN en el sitio.

Los sitios suelen ser firewalls de la serie SRX de Juniper Networks® que utilizan ubicaciones de servicio de Juniper Security Director Cloud.

Nota:

Las direcciones de sucursal superpuestas no son compatibles con el mismo POP dentro de Secure Edge cuando se usa un firewall con estado en ubicaciones de sucursal (ejemplo: firewalls de la serie SRX). El tráfico de ruta inversa a estas IP superpuestas se enrutará utilizando múltiples rutas de igual costo (ECMP) en todas las conexiones. El tráfico se enruta mediante ECMP en lugar de enrutamiento por sesión a la interfaz desde la que se originó el tráfico. Tenga en cuenta el tráfico de ruta inversa a través de ECMP cuando configure las redes protegidas para un sitio.

Para crear un sitio en Juniper Security Director Cloud:

  1. En el portal de Juniper Security Director Cloud, seleccione Secure Edge >Service Management > Sites.

    Aparecerá la página Sitios.

  2. Haga clic en el icono Agregar (+) para crear un sitio.
  3. Complete la página Detalles del sitio de la siguiente manera:

    1. Introduzca un nombre de sitio único y una descripción.

    2. Seleccione el país correspondiente de la lista donde se encuentra el sitio.

    3. (Opcional) Ingrese el código postal donde se encuentra la sucursal del cliente.

    4. (Opcional) Introduzca la ubicación (dirección) del sitio.

    5. Seleccione el número de usuarios que pueden usar la red en el sitio.

    6. En el campo Redes protegidas, haga clic en el icono Agregar (+) para agregar el intervalo de direcciones IP privadas de la interfaz que se utilizará para el flujo de tráfico a través del túnel.

    La Figura 10 y la Tabla 3 muestran un ejemplo de un sitio.
    Figura 10: Ejemplo Site-Creation Sample de creación de sitios
    Tabla 3: Detalles de creación del sitio
    Valores de campos
    Ubicación de servicio principal JSEC-Oregón
    Ubicación de servicio secundario JSEC-OHIO
    Número de usuarios 10
    Nombre spoke1-sitio
    País Alemania
    Redes protegidas 10.99.99.0/24 (red LAN)
  4. Haga clic en Siguiente.
  5. En la página Reenvío de tráfico, introduzca los detalles según la información proporcionada en la tabla 4.
    Figura 11: Crear sitio: detalles Create Site: Traffic-Forwarding Details de reenvío de tráfico
    Tabla 4: Crear sitio: detalles de reenvío de tráfico
    Valor del campo
    Tipo de túnel IPsec
    Tipo de dirección IP Dinámico

    Para el tipo de dirección IP estática, debe proporcionar la dirección IP del dispositivo en el campo Dirección IP del sitio.
    Perfil IPsec ipsec predeterminado

    Si no tiene un perfil IPsec preconfigurado, haga clic en Crear perfil IPsec para crear un perfil IPsec.
    Clave precompartida

    Defina un PSK único para cada sitio. Ejemplo: Juniper!1
    IKE ID site1@example.com (se asemeja a una dirección de correo electrónico y debe ser un valor único para cada sitio)
  6. En la página Configuración del sitio, en Tipo de dispositivo, seleccione Dispositivo que no es de Juniper.
    Figura 12: Crear configuración Create Site-Site Configuration de sitio a sitio

    Debe seleccionar esta opción porque los dispositivos que administra el portal de nube de Juniper Mist no tienen su configuración insertada a través de Juniper Security Director Cloud.

  7. Haga clic en Siguiente.
  8. En la página Resumen, revise la configuración.
    Figura 13: Crear resumen Create Site SummaryNo hyphen in common noun phrases like del sitio
  9. Haga clic en Atrás para editar los campos o en Finalizar para crear el nuevo sitio.
  10. Agregue dos sitios más mediante el mismo procedimiento. En los párrafos siguientes se describen los detalles que se deben incluir en cada sitio.
    1. Cree un segundo sitio con los detalles que se muestran en la Tabla 5 y la Tabla 6
      Tabla 5: Crear segundo sitio: detalles del sitio
      Valor de los campos
      Ubicación de servicio principal JSEC-Oregón
      Ubicación de servicio secundario JSEC-OHIO
      Número de usuarios 10
      Nombre spoke2-sitio
      País Alemania
      Redes protegidas 10.88.88.0/24 (red LAN)
      Tabla 6: Crear un segundo sitio: detalles de reenvío de tráfico
      Valor del campo
      Tipo de túnel IPsec
      Tipo de dirección IP Dinámico
      Perfil IPsec ipsec predeterminado
      Clave precompartida

      Defina un PSK único para cada sitio. Ejemplo: Juniper!1
      IKE ID site2@example.com (se asemeja a una dirección de correo electrónico y debe ser un valor único para cada sitio)
    2. Seleccione Tipo de dispositivo=Dispositivo no Juniper.
    3. Cree un tercer sitio con los detalles que se muestran en la Tabla 7 y la Tabla 8.
      Tabla 7: Crear un tercer sitio: detalles del sitio
      Valor de los campos
      Ubicación de servicio principal JSEC-Oregón
      Ubicación de servicio secundario JSEC-OHIO
      Número de usuarios 10
      Nombre spoke3-sitio
      País Alemania
      Redes protegidas 10.77.77.0/24 (red LAN)
      Tabla 8: Crear un tercer sitio: detalles del reenvío de tráfico
      Valor del campo
      Tipo de túnel IPsec
      Tipo de dirección IP Dinámico
      Perfil IPsec ipsec predeterminado
      Clave precompartida

      Defina un PSK único para cada sitio. Ejemplo: Juniper!1
      IKE ID site3@example.com (Se parece a una dirección de correo electrónico y debe ser un valor único para cada sitio)
    4. Seleccione Tipo de dispositivo=Dispositivo no Juniper .
  11. Revise la página Resumen. Modifique las entradas incorrectas.

    La figura 14 muestra la lista de sitios que ha creado.

    Figura 14: Resumen de sitios Summary of Created Sites creados

Implemente una política de borde seguro en la nube de Juniper Security Director

Ahora que ha creado sitios en Juniper Security Director Cloud, es hora de implementar una o varias políticas de Juniper® Secure Edge.

Las políticas de Secure Edge especifican cómo la red enruta el tráfico. De forma predeterminada, cuando se crea un nuevo inquilino, Security Director Cloud crea un conjunto de reglas de política de Secure Edge con reglas predefinidas.

Nota:

Incluso si no cambia el conjunto de reglas predeterminado, debe usar la opción Implementar para cargar las reglas en las ubicaciones de servicio.

Para implementar una política de borde seguro en Juniper Security Director Cloud:

  1. En el portal de Juniper Security Director Cloud, haga clic en Borde seguro > Políticas de seguridad.

    Aparecerá una página de política de Secure Edge con reglas predeterminadas. Modificar el conjunto de directivas de seguridad predeterminadas para una mejor depuración. El conjunto de reglas predeterminado no permite pings ICMP al exterior (Internet), lo que le impide hacer ping a cualquier cosa a través de la nube.

    Figura 15: Detalles de la Secure Edge Policy Details política de Secure Edge
  2. Haga clic en el icono Agregar (+) para crear una nueva regla, o seleccione la regla existente y haga clic en el icono de lápiz para editar la regla.
  3. Asigne a la nueva regla la regla Name=Allow-ICMP.
  4. Haga clic en Agregar (+) para agregar orígenes.
    En Orígenes, use los siguientes valores predeterminados:

    • Direcciones=Cualquiera

    • Grupos de usuarios=Cualquiera

  5. Haga clic en Agregar (+) para agregar destinos.
    En Destinos, en Direcciones, use el valor predeterminado =Any.
  6. En Aplicaciones o servicios, configure los siguientes valores:

    • Aplicaciones=Cualquiera

    • Servicios=Específico (a través de búsqueda)

    • Servicio específico = icmp-all

    Con la flecha derecha (>), mueva service =icmp-all específico al panel derecho para activarlo antes de hacer clic en Aceptar.

  7. Configure Action=Permit y conserve los valores predeterminados para los campos restantes.

    El sistema coloca la nueva regla en la parte inferior de la lista de reglas y la trata como la última regla del conjunto de reglas. Si la regla se coloca después de una regla global (que niega todo el tráfico), nunca se aplicará, porque la regla global detiene todo el tráfico posterior. Por lo tanto, para este ejemplo se cambia la posición de la regla seleccionándola. A continuación, utilice las opciones Mover > Mover > Mover arriba para mover la regla seleccionada a la parte superior del conjunto de reglas. Mover la regla a la parte superior del conjunto de reglas garantiza que el sistema aplique esta regla primero.

    Nota:

    Siempre que modifique un conjunto de reglas, asegúrese de usar el botón Implementar para completar la tarea. De lo contrario, las ubicaciones de servicio seguirán usando los conjuntos de reglas obsoletos.

  8. Haga clic en Implementar.
  9. En la página Implementar, active la opción Ejecutar ahora y haga clic en Aceptar.

    Las ubicaciones de servicio obtienen el conjunto de reglas actualizado después de unos minutos.

  10. Seleccione Administración > Trabajos para ver el estado y el progreso del trabajo implementado.

Obtener parámetros de configuración de túnel IPsec para aplicar en la configuración de borde seguro

En las tareas anteriores, completó varias acciones para configurar túneles IPsec en Juniper Secure Edge y desplegó la política de Secure Edge en Juniper Security Director Cloud. El último paso en Security Director Cloud es recopilar datos de configuración para cada sitio. Necesitará estos detalles para completar la configuración del conector de Secure Edge (Crear conectores de Secure Edge en el portal de nube de Juniper Mist) en la nube de Juniper Mist™ para configurar un túnel IPsec. En este paso, anotará los detalles de los sitios que creó.

Nota:

No está disponible una inserción de configuración automatizada para sincronizar entre Juniper Security Director Cloud y Juniper Mist cloud.

Para obtener parámetros de configuración de túnel IPsec para aplicar en Juniper Security Director Cloud:

  1. En el portal de Juniper Security Director Cloud, seleccione Secure Edge >Service Management > Sites.
    Se abre la página Sitio, que muestra los detalles del sitio implementado.
    Figura 16: Detalles de Tunnel Configuration Details configuración del túnel
  2. Para cada sitio radial, haga clic en la opción Configuración del túnel en Estado desplegado y, a continuación, consulte la ficha Dispositivo administrado de MIST para obtener información.

    Anote los siguientes detalles, que utilizará en Crear conectores de borde seguro en el portal de nube de Juniper Mist:

    • Clave precompartida

    • Local ID

    • Dirección IP e ID remoto de cada túnel de ubicación de servicio

    Los siguientes ejemplos muestran información extraída de los tres sitios que creó en Crear un sitio en Juniper Security Director Cloud:

    El siguiente ejemplo es de la información extraída para site2:

    El siguiente ejemplo es de la información extraída para el sitio3:

    Necesitará estos detalles del sitio cuando configure túneles en el portal de nube de Mist.

Cree conectores de borde seguros en el portal de la nube de Juniper Mist

Está a mitad de camino hacia su objetivo final: configurar un conector Secure Edge para firewalls serie SRX en Juniper Mist™.

Los conectores de Secure Edge se crean en el portal de la nube de Juniper Mist. Esta tarea completa la configuración en el lado de la nube de Mist de los túneles para establecer un túnel IPsec entre los dispositivos de borde WAN administrados por Mist y Security Director Cloud. Antes de crear los conectores, asegúrese de que el sitio tenga un firewall de la serie SRX implementado.

Para crear conectores de Secure Edge:

  1. En el portal de la nube de Juniper Mist, haga clic en Bordes de WAN.

    La página Bordes de WAN muestra los detalles del sitio.

    Figura 17: Configuración del borde WAN Configure WAN Edge
  2. Seleccione un sitio con un dispositivo de sucursal implementado.
  3. En el panel Conectores perimetrales seguros, haga clic en Agregar proveedor.
    Figura 18: Configuración del Secure Edge Connector Configuration conector Secure Edge
  4. Introduzca los detalles del conector Secure Edge según los detalles proporcionados en la tabla 9.
    Nota:

    Recuerde que estos son los mismos detalles que recopiló en Obtener parámetros de configuración de túnel IPsec para aplicar en la configuración de borde seguro.
    Figura 19: Detalles del Secure Edge Connector Details conector Secure Edge
    Tabla 9: Detalles del conector Secure Edge
    Valor del campo
    Nombre Sitio1 a SDCLOUD
    Proveedor Juniper Secure Edge
    Local ID site1@example.com
    Clave precompartida Juniper!1 (ejemplo)
    Primario
    IP o nombre de host <Dirección IP> (de la configuración del túnel de Juniper Security Director Cloud)
    IP de sondeo -
    ID remoto <UUID>.jsec-gen.juniper.net (de Juniper Security Director Cloud tunnel configuration)
    Interfaz WAN

    • WAN0=INET

    • WAN1=MPLS
    Secundario
    IP o nombre de host <dirección IP> desde (configuración del túnel de Juniper Security Director Cloud)
    IP de sondeo -
    ID remoto <UUID>.jsec-gen.juniper.net (de Juniper Security Director Cloud tunnel configuration)
    Interfaz WAN

    • WAN0=INET

    • WAN1=MPLS
    Modo Activo en espera
    Nota:

    No es necesario introducir los valores de IP de la sonda. Los túneles IPsec no necesitan supervisión adicional como GRE.
    Nota:

    El sistema genera automáticamente descripciones de texto, aplicaciones y correos electrónicos.
  5. Compruebe que el portal de nube de Mist haya agregado el conector de Secure Edge que acaba de configurar.
    Figura 20: Conector Secure Edge agregado Secure Edge Connector Added
  6. Agregue las rutas de dirección del tráfico.

    Agregue una nueva ruta de dirección de tráfico en la plantilla de borde de WAN o en el dispositivo de borde de WAN, según los valores proporcionados en la tabla 10.

    Figura 21: Agregar opciones de dirección de tráfico para Secure Edge Add Traffic-Steering Options for Secure Edge
    Tabla 10: Configuración de la ruta de dirección del tráfico
    Valor de los campos
    Nombre Nube
    Estrategia Ordenado
    Caminos Seleccione el tipo y el destino
    Tipo Conector de borde seguro
    Proveedor Juniper Secure Edge
    Nombre Sitio1 a SDCLOUD

    La figura 22 muestra las rutas de dirección de tráfico configuradas.

    Figura 22: Trayectorias Traffic-Steering Paths de dirección del tráfico

Modificar una directiva de aplicación

Después de crear conectores Secure Edge en el portal de la nube de Juniper Mist™, el siguiente paso es modificar las políticas de aplicación en el dispositivo de sucursal. Por ejemplo, puede permitir el tráfico de un dispositivo radial a un dispositivo concentrador. También puede permitir el tráfico de un dispositivo radial a otro dispositivo radial en el túnel VPN. Después de eso, puede enviar tráfico desde radios a Internet a través de Juniper Security Director Cloud en lugar de enviar tráfico desde radios a un concentrador para una ruptura central.

Para modificar una directiva de aplicación:

  1. En el portal de la nube de Juniper Mist, seleccione Organización > Política de aplicaciones > WAN.
    Se abre la página Políticas de aplicación.
    Figura 23: Cambiar las políticas de la Change Application Policies aplicación
  2. Seleccione la directiva que desea modificar y aplique los siguientes cambios

    • Marque la opción Anular configuración de plantilla .

    • Cambie la dirección de tráfico a nube en la última regla (Internet-via-cloud-CBO).

  3. Guarde los cambios.

    La nube de Juniper Mist crea nuevos túneles a Juniper Security Director Cloud.

Verificar la configuración

Después de modificar la directiva de la aplicación, ahora es el momento de confirmar que la configuración funciona como se esperaba.
Una vez guardada la configuración deseada, puede verificar si la nube de Juniper Mist enruta el tráfico con destino a Internet desde los radios a Juniper Security Director Cloud en lugar de enrutarlo a un concentrador para obtener una conexión central.

Para verificar la configuración:

  1. (Opcional) En función de su entorno, puede ver la comunicación del túnel IPsec hacia las ubicaciones de servicio en Juniper Security Director Cloud en la CLI.
  2. Verifique los detalles de los túneles establecidos WAN Insights del dispositivo en el portal de nube de Juniper Mist.
    Figura 24: Conector de borde seguro con detalles Secure Edge Connector with Tunnel Details de túnel
    También puede consultar los túneles establecidos en el panel de control de Juniper Security Director Cloud y en la ubicación del servicio.
  3. Compruebe el nuevo flujo de tráfico mediante un escritorio de VM conectado al dispositivo de sucursal. Puede comprobar el flujo de tráfico mediante pings a Internet.
    Nota:

    Un ping a Internet solo funciona si ha implementado la regla adecuada (allow-ICMP) en el poral de Juniper Security Director Cloud seleccionando la opción Política de seguridad de Secure Edge > para permitir ICMP como se describe en Implementación de una política de Secure Edge en Juniper Security Director Cloud.
    Nota:

    Puede experimentar latencia dependiendo de la distancia física entre el dispositivo perimetral WAN y la ubicación del servicio Juniper Secure Edge.
  4. Abra un explorador en un escritorio de máquina virtual y navegue hasta https://whatismyipaddress.com/ para ver detalles sobre la dirección IP de origen utilizada para enrutar el tráfico de red de Juniper Mist desde una ubicación de servicio hacia Internet.

    La figura 25 y la figura 26 muestran el tráfico desde las ubicaciones de servicio principal y secundario.

    Figura 25: Tráfico desde la ubicación Traffic from Primary Service Location del servicio primario
    Figura 26: Tráfico desde la ubicación Traffic from Secondary Service Location del servicio secundario

    Una de las dos direcciones IP de la ubicación de servicio es una dirección IP pública y sirve para dos propósitos:

    • Finaliza el túnel IPsec

    Puede ver esta misma dirección IP pública en las capturas de paquetes que muestran el túnel establecido a la ubicación del servicio mediante Juniper Security Director Cloud. Consulte Verificar la configuración.

    Recuerde que una ubicación de servicio en Juniper Security Director Cloud también se conoce como POP y representa una instancia de Juniper® Secure Edge en una ubicación de nube. La ubicación del servicio es el punto de conexión (acceso) para los usuarios locales y móviles.

Aprovisionamiento automático del conector Secure Edge

Prerrequisitos

Mire el siguiente vídeo para saber cómo configurar el aprovisionamiento automático del conector Secure Edge:

Agregar credenciales de Juniper Secure Edge Connector en Juniper Mist Portal

  1. Proporcione los detalles de la credencial de Juniper Secure Edge en el portal de Juniper Mist.
    • En el portal de Juniper Mist, seleccione Configuración del > de la organización.
    • Desplácese hacia abajo hasta el panel Integración segura del borde de WAN y haga clic en Agregar credenciales.
    • En la ventana Agregar proveedor , ingrese los detalles.
      Figura 27: Agregar credenciales para Juniper Secure Edge Add Credentials for Juniper Secure Edge
      • Proveedor: seleccione JSE.
      • Dirección de correo electrónico: escriba el nombre de usuario (dirección de correo electrónico) (credenciales del usuario creado en el portal de Juniper Secure Edge)
      • Contraseña: escriba la contraseña para el nombre de usuario.
    • Haga clic en Agregar para continuar.

Configurar el aprovisionamiento automático del túnel de borde seguro de Juniper

  1. En el portal de Juniper Mist, vaya a Plantillas de borde WAN > de la organización y haga clic en una plantilla existente.
  2. Desplácese hacia abajo hasta Conector de borde seguro.
  3. Haga clic en Agregar proveedores.
    Figura 28: Agregar proveedor Add Provider
  4. En la ventana Agregar proveedor , seleccione Juniper Secure Edge (Auto) para el aprovisionamiento automático.
    Figura 29: Seleccione Juniper Secure Edge como proveedor Select Juniper Secure Edge as Provider
    Introduzca los siguientes datos:
    • Nombre: escriba un nombre para el túnel JSE.
    • Proveedor: seleccione Juniper Secure Edge (Auto).
    • IP de sondeo: introduzca las IP de sondeo (principal y secundaria). Introduzca la IP de la sonda 8.8.8.8 o cualquier otra dirección IP de sonda conocida.
    • Interfaz WAN: asigne interfaces WAN en los detalles del túnel primario y secundario para el aprovisionamiento de túneles primarios y secundarios.
  5. Haga clic en Agregar.
  6. En la configuración de aprovisionamiento automático del conector de borde seguro, introduzca los detalles. Esta opción solo está disponible si configuró Juniper Secure Edge como proveedor en el paso anterior.
    Figura 30: Configuración de Secure Edge Connector Auto Provision Settings aprovisionamiento automático del conector Secure Edge

    • Número de usuarios: introduzca el número máximo de usuarios admitidos por el túnel JSE.

    • Nombre de la organización: introduzca el nombre de la organización. El cuadro desplegable muestra todas las organizaciones asociadas con el nombre de usuario en la cuenta de Juniper Secure Edge. Este es el mismo nombre de usuario que ingresó en la credencial de Juniper Secure Edge en Configuración del > de la organización. Consulte el paso 1 para obtener más información.

  7. Haga clic en Agregar para continuar.

Cuando asigna una plantilla habilitada con la opción Juniper Secure Edge (Auto) a un sitio, se crea automáticamente un sitio JSE asociado (objeto de ubicación) y se abre un túnel desde el dispositivo hasta el punto de presencia de red (POP) más cercano.

Para que la configuración del conector de Secure Edge surta efecto, debe crear una política de aplicación con la dirección de tráfico de Mist Secure Edge Connector a Juniper Secure Edge.

Verificar los túneles de borde seguro de Juniper

En el portal de Juniper Mist, puede verificar los detalles de los túneles establecidos en WAN Insights del dispositivo una vez que aparezca el evento Aprovisionamiento automático del túnel perimetral de WAN en Eventos de borde de WAN.

Figura 31: Eventos WAN Edge Events de borde de WAN

Obtenga los detalles del estado de los túneles establecidos en la página de WAN Edges > WAN Edge Insights del portal de nube de Juniper Mist.

Figura 32: Túneles Established Secure Edge Tunnels de borde seguro establecidos

Puede consultar los túneles establecidos en el panel de control de Juniper Security Director Cloud y en la ubicación del servicio.

Ver también