Download - CONFIGURACIÓN SRX240
-
2015
Configuracin Juniper SRX COMINF.net
Communications, Informatic and Network
-
Tabla de contenido
1 Configuracin de acceso a internet ..........................................................................................1
2 Configuracin para una VPN ............................................................................................................3
2.1 Configuracin de la Fase 1 ....................................................................................................3
2.2 Configuracin de la Fase 2 ....................................................................................................7
2.3 Configuracin del POLICY (trust to untrust) ............................................................ 11
2.4 Configuracin del POLICY (untrust to trust) ............................................................ 13
3 Configuracin de NAT esttica .................................................................................................. 15
4 Load Balance (Balanceo de carga) ............................................................................................ 18
5 Redes virtuales (VLAN) .................................................................................................................. 19
5.1 Configuracin para una troncal VLAN ............................................................................. 19
-
Pgina 1 de 18
CONFIGURACIN SRX240
1 Configuracin de acceso a internet
Figura 1: Conexin de un SRX210 a Internet
Para asignar una direccin IP y la puerta de enlace a travs de DHCP:
Configurar interfaz ge-0/0/0 para obtener una direccin IP y puerta de enlace
predeterminada de un servidor DHCP:
[edit]
root@host# set interfaces ge-0/0/0 unit 0 family inet dhcp
Para asignar una direccin IP y puerta de enlace de forma manual:
Configurar una ruta esttica por defecto que apunta al router de Internet con la
direccin IP del siguiente salto:
[edit]
-
Pgina 2 de 18
root@host# set interfaces ge-0/0/0 unit 0 family inet address 1.1.1.1/29
root@host# set routing-options static route 0.0.0.0/0 next-hop 1.1.1.2
Introduzca las direcciones IP de uno o ms servidores de nombres DNS. Si su ISP
no soporta DHCP, entonces es posible que tenga que configurar estticamente.
[edit]
root@host# set system name-server 11.11.11.11
Para habilitar el servicio DNS a los puertos que pertenecen a cierta vlan se
debe ejecutar lo siguiente:
[edit]
root@host# set system services dns dns-proxy interface vlan.0
En el caso de querer asignar el servicio DNS a una interfaz en especfico:
[edit]
root@host# set system services dns dns-proxy interface ge-0/0/1.0
Para asignar un rango de IPs por medio del DHCP debe configurar el dispositivo
SRX de la siguiente manera:
[edit]
root@host# set system services dhcp router 192.168.0.1
[edit]
root@host# set system services dhcp pool 192.168.0.0/24 address-range low 192.168.0.200 high
192.168.0.254
[edit]
root@host# set system services dhcp propagate-settings fe-0/0/0.0
-
Pgina 3 de 18
2 Configuracin para una VPN
Accedemos por la interfaz web para poder configurar la VPN
2.1 Configuracin de la Fase 1
Ingresamos en la parte de Configure > IPSec VPN > Auto Tunnel > Phase I en la pestaa Proposal pulsamos el botn Add.
-
Pgina 4 de 18
Llenamos todos los campos marcados con los mismos atributos del otro firewall.
Pulsamos OK y nos dirigimos a la pestaa IKE Policy.(Name el nombre que usted
desee)
Pulsamos el botn Add.
-
Pgina 5 de 18
Llenamos los campos marcados y nos dirigimos a la pestaa IKE Policy Options.
(Name el nombre que usted desee)
Ingresamos el Key que deseamos asignar (esta clave tiene que ser bien recordada)
y presionamos OK.
-
Pgina 6 de 18
En la pestaa Gateway pulsamos el botn Add.
En la pestaa IKE GGateway llenamos los campos marcados teniendo cuidado de NO
seleccionar el combo de IKE Version. Pulsamos OK. (Name el nombre que usted
desee)
-
Pgina 7 de 18
2.2 Configuracin de la Fase 2
Ingresamos en la parte de Configure > IPSec VPN > Auto Tunnel > Phase II en la pestaa Proposal pulsamos el botn Add.
-
Pgina 8 de 18
Llenamos los campos marcados con los datos de fase II que tiene configurado el
otro firewall. Pulsamos el botn OK. (Name el nombre que usted desee)
Dentro de la pestaa IPSec Policy pulsamos el botn Add.
Llenamos los campos marcados y pulsamos el botn OK. No olvidar que se debe
igualar estos campos con los datos del otro firewall.
-
Pgina 9 de 18
Dentro de la pestaa Auto Key VPN pulsamos el botn Add.
Llenamos los campos marcados y pulsamos OK. (Name el nombre que usted desee)
-
Pgina 10 de 18
-
Pgina 11 de 18
2.3 Configuracin del POLICY (trust to untrust)
Ingresamos en la parte de Configure > Security > Policy > Apply Policy y pulsamos el botn Add.
En el caso de no tener las redes de origen y destino se debe hacer clic en el
link Add new source/destination address.
-
Pgina 12 de 18
Seleccionamos los campos marcados. Luego nos dirigimos a la pestaa Permit
Action.
En la pestaa de permit action seleccionamos la VPN y le ponemos un nombre.
-
Pgina 13 de 18
No olvidar llevar el Policy al primero de la lista.
2.4 Configuracin del POLICY (untrust to trust)
Ingresamos en la parte de Configure > Security > Policy > Apply Policy y pulsamos el botn Add.
-
Pgina 14 de 18
En la pestaa de permit action seleccionamos la VPN y le ponemos un
nombre.Pulsamos OK.
No olvidar llevar el Policy al primero de la lista.
-
Pgina 15 de 18
3 Configuracin de NAT esttica
Para ello accedemos en modo consola al SRX, en el modo edit realizamos lo
siguiente:
[edit]
root@host# set security nat static rule-set rs1 from zone untrust
root@host# set security nat static rule-set rs1 rule r1 match destination-address 1.1.1.200/32
root@host# set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32
-
Pgina 16 de 18
root@host# set security nat proxy-arp interface ge-0/0/0.0 address 1.1.1.200/32
root@host# set security zones security-zone trust address-book address server-1 1.1.1.200/32
root@host# set security policies from-zone trust to-zone untrust policy permit-all match source-
address server-1
root@host# set security policies from-zone trust to-zone untrust policy permit-all match destination-
address any
root@host# set security policies from-zone trust to-zone untrust policy permit-all match application
any
root@host# set security policies from-zone trust to-zone untrust policy permit-all then permit
root@host# set security policies from-zone untrust to-zone trust policy server-access match
source-address any
root@host# set security policies from-zone untrust to-zone trust policy server-access match
destination-address server-1
root@host# set security policies from-zone untrust to-zone trust policy server-access match
application any
root@host# set security policies from-zone untrust to-zone trust policy server-access then permit
Para el caso de querer restringir distintos tipos de aplicaciones de acceso al servidor que tiene la NAT esttica se realiza lo siguiente:
En el men Confihgure > Security > Policy > Apply Policy, seleccionamos la poltica agregada por los comandos anteriores y seleccionamos el botn Edit.
En el recuadro de Aplicaciones trasladamos las aplicaciones que deseamos
permitir al recuadro de la derecha, una vez terminado la seleccin de
aplicaciones pulsamos el boton ok. (Este procedimiento es el mismo para la
-
Pgina 17 de 18
politica de trust to zone untrust como tambin de la zona untrust to zone
trust).
No debemos olvidar llevar al principio la poltica para que esta se cumpla.
-
Pgina 18 de 18
Para ello accedemos en modo consola al SRX, en el modo edit realizamos lo
siguiente:
4 Load Balance (Balanceo de carga)
Para ello accedemos en modo consola al SRX, en el modo edit realizamos lo
siguiente:
[edit]
root@host# set policy-options policy-statement LOAD-BALANCE then load-balance per-packet
root@host# set routing-options static route 0.0.0.0/0 next-hop 1.1.1.1
root@host# set routing-options static route 0.0.0.0/0 next-hop 2.2.2.1
root@host# set routing-options forwarding-table export LOAD-BALANCE
root@host# set forwarding-options hash-key family inet layer-3
root@host# set forwarding-options hash-key family inet layer-4
NOTA: se debe tener en cuenta que para el uso correcto del balanceo de carga por
parte del SRX los proveedores deben tener la conexin a internet de lo contrario
se recomienda retirar el patch cord del modem que se encuentre sin internet
hasta que se vuelva a tener el servicio, posteriormente volver a conectar el
patch cord al modem.
-
Pgina 19 de 18
5 Redes virtuales (VLAN)
Para crear una red virtual accedemos en modo consola al SRX, en el modo edit realizamos lo siguiente:
[edit]
root@host# set vlans vlan-100 vlan-id 100
root@host# set vlans vlan-100 l3-interface vlan.100
root@host# set interfaces vlan unit 100 family inet address 192.168.10.1/24
root@host# set interfaces interface-range interfaces-vlan100 member fe-0/0/2
root@host# set security zones security-zone trust interfaces vlan.100
5.1 Configuracin para una troncal VLAN
Para la configuracin de una troncal se debe ejecutar lo siguiente:
[edit]
root@host# set interfaces unit 0 family Ethernet-switching port-mode trunk
root@host# set interfaces unit 0 family Ethernet-switching vlan members all