EN ESTA PÁGINA
Descripción de la configuración predeterminada del firewall virtual vSRX
Importación y exportación de una configuración de firewall virtual vSRX
Exportar parte de la configuración del firewall virtual vSRX
Importación de toda la configuración del firewall virtual vSRX
Importación de parte de la configuración del firewall virtual vSRX
Trabajar con las configuraciones predeterminadas del firewall virtual vSRX
Descripción de la configuración predeterminada del firewall virtual vSRX
Los dispositivos de firewall virtual vSRX de IBM Cloud™ Juniper vienen con la siguiente configuración predeterminada:
SSH y Ping se permiten en las direcciones IP de puerta de enlace pública y privada de firewall virtual vSRX
Se permite el acceso a la interfaz de usuario de administración web de Juniper (J-Web) en el puerto HTTPS 8443 para direcciones IP de puerta de enlace pública y privada
Un SERVICIO de conjunto de direcciones está predefinido para las redes de servicio de IBM
Se predefinin dos zonas de seguridad: SL-PRIVATE y SL-PUBLIC.
Ibm proporciona acceso desde la zona SL-PRIVATE a todos los servicios, y se permite el SERVICIO de conjunto de direcciones
Todos los demás accesos de red se niegan
A continuación se muestran dos grupos de redundancia configurados:
Grupo de redundancia |
Función de grupo de redundancia |
---|---|
grupo de redundancia 0 |
Grupo de redundancia para plano de control |
grupo de redundancia 1 |
Grupo de redundancia para el plano de datos |
La prioridad en el grupo de redundancia decide qué nodo de firewall virtual vSRX está activo. De forma predeterminada, el nodo 0 está activo tanto para el plano de control como para el plano de datos.
Ejemplos de configuración predeterminada de referencia
Importación y exportación de una configuración de firewall virtual vSRX
El proceso de actualización del firewall virtual vSRX de IBM Cloud™ Juniper conserva la configuración original del firewall virtual vSRX durante todo el proceso, siempre y cuando se realicen las recargas necesarias de una a la vez. Sin embargo, aún se recomienda exportar y hacer una copia de seguridad de la configuración del firewall virtual vSRX antes de iniciar la actualización.
Después de que se complete el proceso de actualización para servidores independientes, debe importar la configuración original que guardó si desea restaurarla. Para configuraciones de alta disponibilidad, debe restaurar la configuración manualmente desde el archivo exportado solo si se produce un error en la actualización o si se mueve entre arquitecturas. Para obtener más información sobre cómo migrar configuraciones de 1G de la arquitectura heredada a la actual, consulte Migración de configuraciones heredadas a la arquitectura vSRX actual.
Consideraciones
El proceso de actualización para autónomos y de alta disponibilidad (AD) son diferentes. Consulte Actualización del vSRX.
La interfaz J-Web le permite mostrar, editar y cargar la configuración actual rápida y fácilmente sin usar la CLI de Junos OS. Consulte J-Web para ver la documentación de la serie SRX para obtener más detalles.
Una actualización de la versión 15.1 del Firewall virtual vSRX a una versión más reciente del firewall virtual vSRX, como 19.4, da como resultado cambios en las asignación de interfaz del firewall virtual vSRX en el archivo de configuración. Como resultado, al importar la configuración original del firewall virtual vSRX, asegúrese de que la nueva sección "interfaces" no se modifique. Hay dos formas de hacerlo: importar subsecciones distintas a la sección "interfaces", o importar toda la configuración y restaurar manualmente las interfaces SR-IOV 19.4.
La nueva configuración predeterminada de interfaz del firewall virtual vSRX para Linux Bridge y SR-IOV debe conservarse después de la importación de sus configuraciones. Por ejemplo, para SR-IOV, las interfaces GE tienen asignaciones específicas para el host que se deben conservar para habilitar SR-IOV. Estas interfaces se encuentran en la CLI mediante el comando mostrar interfaces de configuración. Consulte la sección configuraciones predeterminadas de vSRX para obtener más información sobre las asignaciones SR-IOV. Consulte Migración de configuraciones heredadas a la arquitectura vSRX actual para obtener detalles sobre la migración de configuraciones 1G de la arquitectura heredada a la arquitectura actual.
Si prefiere usar la CLI de Junos OS, el siguiente contenido proporciona diferentes métodos para exportar e importar sus ajustes de configuración, dependiendo de si desea exportar o importar toda la configuración o solo una parte de ella. Para administrar los valores de configuración, ingrese al modo de CLI y, a continuación, ejecute el comando configure para entrar en el modo de configuración. Luego, para confirmar los cambios, ejecute el comando confirmar.
Exportar parte de la configuración del firewall virtual vSRX
Para exportar solo una parte de la configuración del firewall virtual vSRX:
Ingrese al modo de configuración y asegúrese de que está en la parte superior del árbol de configuración: editar, luego, arriba
A continuación, ejecute el
show <section>
comando para obtener la configuración actual, adjuntada en llaves.Por ejemplo, puede ejecutar show interfaces para mostrar toda la configuración de interfaces. O bien, si prefiere mostrar la salida en el modo set, ejecute el
show <section> | display set
comando.El resultado debe ser similar al siguiente:
# show interfaces | display set set interfaces ge-0/0/0 description PRIVATE_VLANs set interfaces ge-0/0/0 flexible-vlan-tagging set interfaces ge-0/0/0 native-vlan-id 925 set interfaces ge-0/0/0 mtu 9000 ... [edit]
Propina:El modo set muestra la configuración como una serie de comandos de modo de configuración necesarios para volver a crear la configuración. Esto es útil si no está familiarizado con cómo usar los comandos del modo de configuración o si desea cortar, pegar y editar la configuración mostrada.
Copie y guarde la salida en su espacio de trabajo local para su uso posterior.
Importación de toda la configuración del firewall virtual vSRX
La nueva configuración predeterminada de interfaz del firewall virtual vSRX para Linux Bridge y SR-IOV debe conservarse después de la importación de sus configuraciones. Por ejemplo, para SR-IOV, las interfaces GE tienen asignaciones específicas para el host que se deben conservar para habilitar SR-IOV. Estas interfaces se encuentran en la CLI mediante el show configuration interfaces
comando. Para obtener más información sobre las asignaciones SR-IOV, consulte configuración predeterminada de vSRX.
Para importar toda la configuración del firewall virtual vSRX:
Después de actualizar el firewall virtual vSRX, copie el archivo de configuración que guardó anteriormente en la carpeta /var/tmp.
Ejecute load override /var/tmp/backup.txt en el modo de configuración para reemplazar toda la configuración actual con el contenido que guardó en la carpeta /var/tmp.
Importación de parte de la configuración del firewall virtual vSRX
La nueva configuración predeterminada de interfaz del firewall virtual vSRX para Linux Bridge y SR-IOV debe conservarse después de la importación de sus configuraciones. Por ejemplo, para SR-IOV, las interfaces GE tienen asignaciones específicas para el host que se deben conservar para habilitar SR-IOV. Estas interfaces se encuentran en la CLI mediante el show configuration interfaces
comando. Para obtener más información sobre las asignaciones SR-IOV, consulte configuración predeterminada de vSRX.
Para importar solo una parte de la configuración del firewall virtual vSRX:
Desde el modo de configuración, ejecute
edit <section>
para ir al nivel de árbol de configuración que desee.Copie las opciones de configuración que ha guardado y ejecute el terminal de combinación de carga de comandos relativo para combinar la configuración con la actual.
Pegue el contenido, presione Intro para ir a una nueva línea, luego escriba Control + D para finalizar la entrada.
El resultado debe ser similar al siguiente:
# load merge terminal relative [Type ^D at a new line to end input] family inet { filter { input PROTECT-IN; } } load complete [edit interfaces lo0 unit 0]
Alternativamente, también puede:
Reemplace la configuración en lugar de fusionarla, eliminando primero la configuración con el comando delete en este nivel de árbol de configuración y, luego, realizando una terminal de fusión de carga relativa para copiar y pegar la configuración anterior.
Edite la configuración en modo set, ejecutando el terminal de conjunto de carga en lugar del relativo del terminal de combinación de carga. A continuación, copie y pegue el contenido que guardó en el modo establecido.
Nota:Asegúrese de que siempre se ejecuta en la
load set terminal
parte superior.