Guide de mise en route de la passerelle de services SRX100 Suivez les instructions décrites dans le présent guide de mise en route pour connecter la passerelle de services SRX100 à votre réseau. Pour plus d'informations, consultez le manuel SRX100 Services Gateway Hardware Guide, à l'adresse http://www.juniper.net/techpubs/en_US/release-independent/junos/information-products/ pathway-pages/srx-series/product/index.html. Panneau avant de la passerelle de services SRX100 Modèles de passerelle de services SRX100 Le modèle de passerelle de services SRX100 suivant est disponible : Unité Mémoire DDR Mémoire flash NAND SRX100H2 2 Go 2 Go Connexion et configuration de l’unité SRX Series Suivez les instructions ci-dessous pour connecter et configurer la passerelle de services SRX100 afin de protéger votre réseau. Observez les DEL à l'avant de l’unité pour en déterminer l’état. g031001 Présentation Pour fonctionner correctement, la passerelle de services SRX100 nécessite les paramètres de configuration de base suivants : Vous devez attribuer des adresses IP aux interfaces. Vous devez associer les interfaces à des zones. Vous devez configurer des règles autorisant ou refusant la transmission du trafic entre les zones. Vous devez définir les règles NAT source. Référence Description Référence Description 1 Bouton d’alimentation 4 Port USB 2 DEL : ALARM, POWER, STATUS et HA 5 Port de console 3 Bouton RESET CONFIG 6 Ports Fast Ethernet Lorsque vous mettez l’unité sous tension pour la première fois, elle utilise la configuration par défaut décrite ci-après. Vous pouvez utiliser l'unité sans effectuer de configuration initiale. Paramètres par défaut définis en usine : Panneau arrière de la passerelle de services SRX100 N° de port Interface Zone de sécurité État DHCP Adresse IP 0/0 fe-0/0/0 non sécurisée client non attribuée de 0/1 à 0/7 de fe-0/0/1 à fe-0/0/7 sécurisée serveur 192.168.1.1/24 g031002 Paramètres par défaut définis en usine pour les règles de sécurité : Référence Description Référence 1 Fente de verrouillage du câble 3 de sécurité Supports de câble 2 Point de mise à la terre Connecteur d'alimentation 4 Description Zone source Zone de destination Action de règle sécurisée non sécurisée autorisée sécurisée sécurisée autorisée non sécurisée sécurisée refusée Paramètres par défaut définis en usine pour les règles NAT : Zone source Zone de destination Action de règle sécurisée non sécurisée règle NAT source appliquée à l'interface de la zone non sécurisée Tâche 1 : Raccordement du câble d’alimentation à l’unité Tâche 3 : Vérification de l’attribution d’une adresse IP au dispositif de gestion Reliez l’unité au secteur à l’aide du câble d’alimentation. L’utilisation d’un dispositif de protection contre les surtensions est recommandée. Notez les points suivants : DEL d'alimentation (POWER) (verte) : l'unité est alimentée. DEL d'état (STATUS) (verte) : l'unité fonctionne normalement. DEL d'alarme (ALARM) (orange) : l’unité fonctionne normalement, mais la DEL peut s'allumer en orange si aucune configuration de sauvegarde n’a encore été définie. Il ne s’agit pas d’un cas d’alerte. REMARQUE : si une configuration de sauvegarde est définie, une DEL d’alarme orange indique une alarme mineure et une DEL d'alarme de couleur rouge fixe indique un problème majeur sur la passerelle de services. REMARQUE : lorsque vous mettez l’unité sous tension, la procédure d’amorçage peut prendre de cinq à sept minutes. Avant de passer à la tâche suivante, veuillez patienter jusqu’à ce que la DEL d’état soit verte. Une fois le dispositif de gestion connecté à la passerelle de services, le processus du serveur DHCP sur cette passerelle attribue automatiquement une adresse IP au dispositif. Assurez-vous que le dispositif de gestion reçoit bien une adresse IP sur le sous-réseau 192.168.1.0/24 (autre que 192.168.1.1) de l'unité. Tâche 2 : Connexion du dispositif de gestion Connectez le dispositif de gestion à la passerelle de services en utilisant l’une des méthodes suivantes : À l’aide d’un câble RJ-45 (câble Ethernet), reliez l’un des ports 0/1 et 0/7 (interfaces fe-0/0/1 à fe-0/0/7) du panneau avant de l’unité au port Ethernet du dispositif de gestion (poste de travail ou ordinateur portable). Nous vous recommandons d'utiliser cette méthode. Si vous optez pour cette méthode de connexion, rendez-vous à la Tâche 3. À l’aide d’un câble RJ-45 (câble Ethernet), reliez le port CONSOLE du panneau avant à l’adaptateur DB-9 fourni, puis connectez ce dernier au port série du dispositif de gestion. (Paramètres du port série : 9600 8-N-1.) Si vous optez pour cette méthode de connexion, reportez-vous aux instructions de configuration de l’interface de ligne de commande indiquées dans le guide Branch SRX Series Services Gateways Golden Configurations, disponible à l’adresse www.juniper.net/us/en/local/pdf/app-notes/3500153-en.pdf. Reportez-vous à l'illustration suivante pour plus de détails sur la connexion de l'interface de gestion à l'aide des ports Ethernet. La passerelle de services se comporte comme un serveur DHCP et attribue une adresse IP au dispositif de gestion. Si aucune adresse IP n’est attribuée au dispositif de gestion, configurez-en une manuellement sur le sous-réseau 192.168.1.0/24. N’attribuez pas l’adresse IP 192.168.1.1 au dispositif de gestion, car elle est déjà attribuée à la passerelle de services. Par défaut, le serveur DHCP est activé sur l’interface de VLAN de couche 3, à savoir (IRB) vlan.0 (interface fe-0/0/1 à fe-0/0/7), qui est configurée avec l’adresse IP 192.168.1.1/24. Lors de la première mise sous tension de la passerelle de services SRX100, elle démarre en utilisant la configuration par défaut définie en usine. Tâche 4 : Accès à l’interface J-Web 1. Lancez un navigateur Web depuis le dispositif de gestion. REMARQUE : L'assistant est optimisé pour Mozilla Firefox version 15.x ou ultérieure. 2. Saisissez http://192.168.1.1 dans le champ d'adresse URL. La page de bienvenue s’affiche. Port Ethernet g031007 Port Ethernet REMARQUE : Tâche 5 : Sélection du mode de configuration Pour configurer la passerelle de services, optez pour l'un des modes de configuration suivants : Page 2 Guided Setup : ce mode vous permet de définir une configuration de sécurité personnalisée pour la passerelle de services. Dans ce mode, vous pouvez sélectionner l'option Débutant ou Expert. Si vous choisissez ce mode, rendez-vous à la Tâche 7. Default Setup : ce mode vous permet de configurer rapidement une passerelle de services dans la configuration par défaut. Dans ce mode, vous pouvez configurer les paramètres de base du système, tels que le mot de passe de l'administrateur, et télécharger les licences achetées. Des configurations supplémentaires peuvent être effectuées une fois la configuration de l'assistant terminée. Si vous choisissez ce mode, rendez-vous à la Tâche 6. 9. Si vous disposez d'un compte d'assistance, entrez votre adresse électronique et votre mot de passe. Cliquez sur Next. La page Licences s’affiche. Sélectionnez I Agree pour accepter la licence, puis cliquez sur Done. REMARQUE : Si vous ne disposez pas d'un compte d'assistance, vous pouvez en créer un : Tâche 6 : Définition des paramètres de base dans le mode Configuration par défaut (méthode 1) Entrez votre adresse électronique et sélectionnez Create New Account. Cliquez sur Next. Dans la page Nouveau compte, entrez les informations de votre compte. Cliquez sur Next. La page Licence de l'utilisateur final s'affiche. Sélectionnez I AGREE pour accepter la licence, puis cliquez sur Next. Notez par écrit les nouveaux nom d’utilisateur et mot de passe. Cliquez sur OK. Vous pouvez modifier le mot de passe en vous connectant à http://juniper.net/support. Vous pouvez configurer les paramètres de base, tels que le nom d'unité et le mot de passe racine, de la passerelle de services. Avant de commencer le processus de configuration, vous devez obtenir une adresse IP dynamique sur votre passerelle de services. Connectez-vous à votre fournisseur d’accès Internet (FAI) via le port 0/0 (interface fe-0/0/0). Votre FAI va utiliser le processus DHCP pour attribuer une adresse IP à l’unité. Si votre demande d'autorisation d'accès est acceptée et qu'un accès vous est accordé, vous en serez informé par courrier électronique dans les 24 heures. Vous pouvez télécharger la licence uniquement lorsque votre accès est accepté. 10. Cliquez sur Download Now pour récupérer vos licences. Les informations de licence s'affiche dans une fenêtre contextuelle. REMARQUE : Vous devez configurer uniquement le nom d'utilisateur et le mot de passe racine. Vous pouvez ignorer toutes les autres étapes en cliquant sur Next pour accéder directement à la page Confirmer et appliquer et appliquer la configuration (Tâche 8). 11. Vérifiez les licences téléchargées. Cliquez sur OK, puis sur Next. 12. Rendez-vous à la Tâche 8. 1. Tâche 7 : Définition des paramètres dans le mode Configuration guidée (méthode 2) 2. 3. Dans la page de bienvenue, cliquez sur Default Setup. Un message d'avertissement s'affiche. Cliquez sur Yes pour accepter le mode de configuration par défaut. Dans la page Informations relatives à l'unité de l'assistant, saisissez les informations suivantes : Nom d'unité de la passerelle de services ; SRX100, par exemple. Saisissez le mot de passe racine et confirmez-le. REMARQUE : Lors de la saisie, l'outil d'évaluation indique le niveau de sécurité du mot de passe. Nous vous recommandons d'utiliser un mot de passe complexe comportant 12 caractères minimum, ainsi que des majuscules, des minuscules, des chiffres et des symboles. 4. 5. 6. 7. 8. Pour ajouter des utilisateurs, cliquez sur Add. Entrez le nom d'utilisateur, le mot de passe et le rôle. Cliquez sur Done. Le nom d'utilisateur s'affiche dans la zone de liste Comptes d'administration. Cliquez sur Next. La page Heure de l'unité apparaît. Utilisez l’une des options suivantes pour configurer l’heure du système : Time Server : saisissez l’adresse IP ou le nom du serveur NTP. Manual : entrez la date et l'heure. Cliquez sur Next. La page Résumé s’affiche. Cliquez sur Next. La page Licences s’affiche. Si vous disposez de licences achetées, entrez votre code d'autorisation et cliquez sur Download pour récupérer la licence automatiquement. La page d'ouverture de session du système de gestion des licences apparaît. Avant de commencer le processus de configuration, vous devez obtenir une adresse IP statique sur votre passerelle de services. Connectez-vous à votre fournisseur d’accès Internet via le port 0/0 (interface fe-0/0/0). Votre FAI va vous communiquer une adresse IP statique. Il n’utilisera pas le processus DHCP pour vous attribuer une adresse IP. REMARQUE : Vous devez configurer uniquement le nom d'utilisateur et le mot de passe racine. Vous pouvez ignorer toutes les autres étapes en cliquant sur Next pour accéder directement à la page Confirmer et appliquer et appliquer la configuration (Tâche 8). 1. Dans la page de bienvenue, cliquez sur Guided Setup, puis cliquez sur Next. La page Niveau d'expérience apparaît. 2. Sélectionnez parmi les icônes suivantes celle qui correspond le mieux à votre niveau d'expérience, puis cliquez sur Next : Débutant Expert Le tableau suivant compare les niveaux Débutant et Expert : Débutant Expert Peut configurer uniquement trois zones internes Peut configurer plus de trois zones internes Peut configurer une adresse IP statique et une adresse IP dynamique pour la zone Internet Peut configurer une adresse IP statique, un pool statique et une adresse IP dynamique pour la zone Internet Ne peut pas configurer de service de zone interne Peut configurer un service de zone interne Ne peut pas configurer de règle NAT de destination interne Peut configurer une règle NAT de destination interne Page 3 3. b. c. 4. a. Dans la page de présentation de la règle de sécurité, cliquez sur Next. La page Licences s’affiche. b. Téléchargez la licence. Reportez-vous aux étapes 8 à 11 de la tâche 6. REMARQUE : Lors de la saisie, l'outil d'évaluation indique le niveau de sécurité du mot de passe. Nous vous recommandons d'utiliser un mot de passe complexe comportant 12 caractères minimum, ainsi que des majuscules, des minuscules, des chiffres et des symboles. c. Si vous avez configuré la zone DMZ, configurez la règle DMZ relative au trafic entre la zone Internet et la zone DMZ. Cliquez sur Next. d. Configurez la règle interne relative au trafic entre la zone Internet et les zones internes. Cliquez sur Next. Utilisez l’une des options suivantes pour configurer l’heure du système : e. Si vous avez configuré la zone DMZ, configurez la règle DMZ relative au trafic entre les zones internes et la zone DMZ. f. Configurez la règle de sécurité pour l'interface Gestion des unités par zone. g. Indiquez si vous souhaitez fournir un accès distant à vos zones internes et à la zone DMZ. Si vous sélectionnez Yes, configurez les paramètres d'accès distant. Entrez la plage de pool d'adresses IP du client distant et les comptes utilisateur distants. h. Cliquez sur Next dans la page Résumé. La page de présentation de la traduction d’adresse de réseau s'affiche. Configurez les options de base : a. Entrez le nom d'unité et le mot de passe racine dans la page Informations sur l'unité. Cliquez sur Next. La page Heure de l'unité apparaît. Time Server : saisissez l’adresse IP ou le nom du serveur NTP. Manual : entrez la date et l'heure. Cliquez sur Next. La page Résumé récapitule les informations de configuration de base de l'unité. d. Cliquez sur Next. La page de présentation de la topologie de sécurité s'affiche. Configurez la topologie de sécurité : a. Dans la page de présentation de la topologie de sécurité, cliquez sur Next. La page Configuration de la zone Internet s'affiche. b. c. Indiquez si votre réseau interne est connecté à Internet, puis cliquez sur Next. Sélectionnez l'unité (SRX) pour laquelle vous souhaitez configurer la connexion PPPoE (Point-to-Point Protocol over Ethernet), puis cliquez sur Next. La page Configuration s’affiche. REMARQUE : Si vous sélectionnez Sans objet ou Modem DSL, une adresse IP standard est configurée. Passez à l'étape e. 5. 6. Configurez la traduction NAT : La section Traduction d’adresse de réseau vous permet d'activer la règle NAT source et la règle NAT de destination. REMARQUE : L'assistant vous recommande de configurer des règles NAT de destination en fonction des services de zone activés dans la zone DMZ ou la topologie interne. d. Saisissez le nom d’utilisateur et le mot de passe. Confirmez le mot de passe et cliquez sur Next. a. Dans la page de présentation de la traduction d'adresse de réseau, cliquez sur Next. La page NAT source interne s'affiche. e. Configurez la zone Internet. Sélectionnez l’option Statique. Cliquez sur Add IP pour saisir l'adresse IP statique fournie par votre FAI, puis cliquez sur Done. Sélectionnez le port à utiliser, puis cliquez sur Next. La page Configuration DMZ s'affiche. b. Sélectionnez les zones internes pour lesquelles la règle NAT source doit être ajoutée. Cliquez sur Next. c. Ajoutez la règle NAT de destination interne, puis cliquez sur Next. f. Si vous utilisez la zone DMZ, cliquez sur Yes, puis configurez la zone DMZ de votre réseau en suivant les instructions à l'écran. Dans le cas contraire, cliquez sur No et passez à l'étape g. g. Dans la page Configuration de la zone interne, sélectionnez la topologie qui représente le mieux votre réseau, puis cliquez sur Next. h. Configurez les zones internes. Saisissez le nom de la zone, sélectionnez le port à utiliser avec cette zone, puis cliquez sur Next. i. Configurez le serveur DHCP de la zone interne. Cliquez sur Done. La page Résumé affiche les détails de configuration de la topologie de sécurité. REMARQUE : L'option de configuration NAT de destination interne est disponible uniquement pour le niveau Expert. d. Ajoutez la règle NAT de destination pour la zone DMZ, puis cliquez sur Next. La page Résumé s’affiche. j. Cliquez sur Next. La page de présentation de la règle de sécurité s'affiche. Configurez la règle de sécurité : La section Règle de sécurité vous permet de configurer des règles entre Internet, la zone DMZ et les zones internes. REMARQUE : L'assistant vous recommande de configurer des règles de sécurité en fonction de la topologie de sécurité que vous avez définie. Page 4 REMARQUE : Pour apporter des modifications, cliquez sur le bouton Edit ou accédez à la section correspondante dans le menu déroulant situé en haut de la page. Tâche 9 : Vérification de la configuration Accédez au site http://www.juniper.net pour vérifier votre connexion Internet. Cette connectivité garantit que vous pouvez transmettre du trafic via la passerelle de services. REMARQUE : Si la page http://www.juniper.net ne se charge pas, examinez vos paramètres de configuration et vérifiez que vous avez appliqué la configuration. Une fois ces vérifications terminées, vous pouvez transmettre des données depuis n’importe quel port sécurisé vers le port non sécurisé. Mise hors tension de l’unité Vous pouvez mettre hors tension l’unité en suivant l’une des procédures suivantes : Arrêt normal : appuyez sur le bouton d’alimentation puis relâchez-le immédiatement. L’unité commence à fermer normalement le système d’exploitation. Arrêt forcé : maintenez le bouton d’alimentation enfoncé pendant 10 secondes. L’unité s’arrête immédiatement. Appuyez une nouvelle fois sur le bouton d’alimentation pour rallumer l’unité. Pour redémarrer ou arrêter le système dans l’interface J-Web, sélectionner Maintain > Reboot. e. Cliquez sur Next. La page Confirmer et appliquer apparaît. Tâche 8 : Application de la configuration de base Pour appliquer les paramètres de configuration à la passerelle de services : 1. Assurez-vous que les paramètres de configuration sont corrects, puis cliquez sur Next. La page Validation de la configuration s’affiche. 2. Cliquez sur Apply Settings pour appliquer les paramètres de configuration à la passerelle de services. REMARQUE : Vérifiez la connectivité à la passerelle de services, car elle peut être perdue si vous avez modifié l'adresse IP de la zone de gestion. Cliquez sur l'URL pour accéder aux instructions permettant de vous reconnecter à l'unité. 3. Cliquez sur Done pour achever la configuration. Une fois la configuration réussie, vous êtes redirigé sur l'interface J-Web. IMPORTANT : Une fois la configuration initiale terminée, vous pouvez relancer l'assistant de configuration J-Web en cliquant sur Tasks > Run Setup Wizard. Vous pouvez modifier une configuration existante ou en créer une nouvelle. Si vous choisissez de créer une configuration, la configuration actuelle sera entièrement supprimée dans la passerelle de services. REMARQUE : pour modifier la configuration de l’interface, consultez le manuel Branch SRX Series Services Gateways Golden Configurations, à l'adresse http://www.juniper.net/us/en/local/pdf/app-notes/3500153-en.pdf. REMARQUE : Utilisez la méthode d'arrêt normal pour mettre hors tension ou redémarrer la passerelle de services. Utilisez la méthode d'arrêt forcé en dernier recours pour récupérer la passerelle de services si le système d'exploitation de celle-ci ne répond pas à la méthode d'arrêt normal. Pour plus d'informations sur la configuration, consultez le manuel Branch SRX Series Services Gateways Golden Configurations, à l'adresse http://www.juniper.net/us/en/local/pdf/app-notes/3500153-en.pdf. Pour plus d’informations sur la configuration logicielle, consultez la documentation correspondante disponible à l’adresse http://www.juniper.net/techpubs/en_US/release-independent/junos/information-products/ pathway-pages/srx-series/product/index.html. Utilisation du bouton Reset Config (Réinitialisation de la configuration) Si la configuration ne fonctionne pas correctement ou refuse l’accès de gestion à la passerelle de services, vous pouvez utiliser le bouton Reset Config (Réinitialisation de la configuration) pour rétablir la configuration par défaut définie en usine de l’unité ou une configuration de sauvegarde. Par exemple, si quelqu'un valide accidentellement une configuration qui refuse l'accès de gestion à la passerelle de services, vous pouvez supprimer la configuration incorrecte pour la remplacer par la configuration de sauvegarde, en appuyant sur le bouton Reset Config (Réinitialisation de la configuration). La configuration de sauvegarde est une configuration correcte qui a été validée au préalable. Vous devez avoir précédemment défini la configuration de sauvegarde via l'interface J-Web ou l'interface de ligne de commande. Page 5 REMARQUE : Le bouton Reset Config (Réinitialisation de la configuration) est placé en retrait pour éviter toute activation accidentelle. Pour appuyer sur le bouton Reset Config (Réinitialisation de la configuration), insérez un trombone déplié ou un objet similaire dans le trou d’épingle du panneau avant. Réinitialisation de la configuration de sauvegarde sur l’unité Pour rétablir la configuration de sauvegarde, maintenez le bouton Reset Config (Réinitialisation de la configuration) enfoncé pendant quelques secondes, puis relâchez-le. L’unité charge la configuration de sauvegarde, puis la valide. Réinitialisation de la configuration définie en usine sur l’unité Pour rétablir la configuration par défaut définie en usine, maintenez le bouton Reset Config (Réinitialisation de la configuration) enfoncé pendant au moins 15 secondes, jusqu’à ce que la DEL d’état (STATUS) passe à l'orange. Cette action supprime toutes les configurations sur l'unité, y compris les configurations secondaires et la configuration de sauvegarde, charge la configuration prédéfinie en usine, puis la valide. Pour plus d'informations sur le bouton Reset Config (Réinitialisation de la configuration), notamment sur la modification de son comportement par défaut, consultez le manuel du matériel de votre unité. Contacter Juniper Networks Pour obtenir une assistance technique, accédez à la page www.juniper.net/support/requesting-support.html. Juniper Networks, Junos, Steel-Belted Radius, NetScreen et ScreenOS sont des marques déposées de Juniper Networks, Inc. aux États-Unis et dans d’autres pays. Le logo Juniper Networks, le logo Junos et JunosE sont des marques commerciales de Juniper Networks, Inc. Toutes les autres marques commerciales, marques de service, marques déposées ou marques de service déposées sont la propriété de leurs détenteurs respectifs. Juniper Networks décline toute responsabilité quant aux éventuelles inexactitudes présentes dans ce document. Juniper Networks se réserve le droit de modifier, transférer ou réviser de toute autre manière cette publication sans préavis. Les produits fabriqués ou vendus par Juniper Networks ou les composants de ces produits peuvent être protégés par un ou plusieurs des brevets suivants, qui appartiennent à Juniper Networks ou font l’objet d’une licence Juniper Networks : n° de brevets aux États-Unis : 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312, 6,429,706, 6,459,579, 6,493,347, 6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186 et 6,590,785. Copyright © 2013, Juniper Networks, Inc. Tous droits réservés. Imprimé aux États-Unis. Référence : 530-049771, Révision 01, juin 2013. ">
Enlace público actualizado
El enlace público a tu chat ha sido actualizado.