Guide de mise en route de la passerelle de services SRX210 Suivez les instructions décrites dans le présent guide de mise en route pour connecter la passerelle de services SRX210 à votre réseau. Pour plus d'informations, consultez le manuel SRX210 Services Gateway Hardware Guide, à l'adresse http://www.juniper.net/techpubs/en_US/release-independent/junos/information-products/p athway-pages/srx-series/product/index.html. Modèles de passerelle de services SRX210 Les modèles de passerelle de services SRX210 suivants sont disponibles : Unité Mémoire DDR Mémoire flash NAND SRX210HE2 2 Go 2 Go SRX210HE2-POE 2 Go 2 Go Panneau avant de la passerelle de services SRX210 g031132 Sur le modèle SRX210HE2-POE, quatre ports (0/0, 0/1, 0/2 et 0/3) prennent en charge la fonctionnalité d'alimentation via Ethernet (PoE, Power over Ethernet) d'une puissance de 50 watts. Pour vos passerelles de services, vous devez utiliser les adaptateurs électriques suivants (qui sont fournis) : Référence Description Référence Description 1 Fentes Mini-PIM 5 Ports USB 2 Bouton d’alimentation 6 Port de console 3 DEL : ALARM, POWER, 7 STATUS, HA, mPIM et EXPCARD 4 Bouton RESET CONFIG Adaptateurs électriques 54 V 200 watts pour le modèle PoE Adaptateurs électriques 12 V 60 watts pour le modèle non PoE Connexion et configuration de l’unité SRX Series Ports Gigabit Ethernet (0/0 et 0/1) et Fast Ethernet (de 0/2 à 0/7) Suivez les instructions ci-dessous pour connecter et configurer la passerelle de services SRX210 afin de protéger votre réseau. Observez les DEL à l'avant de l’unité pour en déterminer l’état. Présentation Pour fonctionner correctement, la passerelle de services SRX210 nécessite les paramètres de configuration de base suivants : Panneau arrière de la passerelle de services SRX210 Vous devez attribuer des adresses IP aux interfaces. Vous devez associer les interfaces à des zones. Vous devez configurer des règles autorisant ou refusant la transmission du trafic entre les zones. Vous devez définir les règles NAT des adresses source. g031113 Lors de la première mise sous tension de l’unité, celle-ci utilise la configuration par défaut décrite ci-après. Pour utiliser l'unité, aucune configuration initiale n’est nécessaire. Référence Description Référence Description 1 Connecteur d'alimentation 4 Verrou du câble de sécurité 2 Supports de câble 5 Fente ExpressCard 3 Point de mise à la terre Paramètres par défaut définis en usine : N° de port Interface Zone de sécurité État DHCP Adresse IP 0/0 ge-0/0/0 non sécurisée client non attribuée 0/1 et de 0/2 à 0/7 ge-0/0/1 et de fe-0/0/2 à fe-0/0/7 sécurisée serveur 192.168.1.1/24 Paramètres par défaut définis en usine pour les règles de sécurité : Zone source Zone de destination Action de règle sécurisée non sécurisée autorisée sécurisée sécurisée autorisée non sécurisée sécurisée refusée Paramètres par défaut définis en usine pour les règles NAT : Zone source Zone de destination Action de règle sécurisée non sécurisée règle NAT source appliquée à l'interface de la zone non sécurisée À l’aide d’un câble RJ-45 (câble Ethernet), reliez le port CONSOLE de l’unité à l’adaptateur DB-9 fourni, puis connectez ce dernier au port série du dispositif de gestion (paramètres du port série : 9600 8-N-1). Si vous optez pour cette méthode de connexion, reportez-vous aux instructions de configuration de l’interface de ligne de commande décrites dans le guide Branch SRX Series Services Gateways Golden Configurations, disponible à l'adresse http://www.juniper.net/us/en/local/pdf/app-notes/3500153-en.pdf. Reportez-vous à l'illustration suivante pour plus de détails sur la connexion de l'interface de gestion à l'aide des ports Ethernet. REMARQUE : La règle NAT traduit les adresses source en adresse IP publique, pour les paquets issus d'un nombre quelconque d'hôtes d'un réseau privé. Tâche 1 : Raccordement du câble d’alimentation à l’unité Connectez l’adaptateur électrique à une prise d'alimentation de l'unité et reliez-le au secteur. L’utilisation d’un dispositif de protection contre les surtensions est recommandée. Sécurisez le connecteur à la prise d'alimentation en plaçant une attache de câble autour du passage de câble et du support de câble adjacent. Notez les points suivants : DEL d'alimentation (POWER) (verte) : l'unité est alimentée. DEL d'état (STATUS) (verte) : l'unité fonctionne normalement. DEL d'alarme (ALARM) (orange) : l’unité fonctionne normalement, mais la DEL peut s'allumer en orange si aucune configuration de sauvegarde n’a été définie. Il ne s’agit pas d’un cas d’alerte. DEL mPIM (éteinte) : le minimodule d’interface physique (mPIM) est absent ou l’unité ne l’a pas détecté. Une lumière verte fixe indique que le minimodule d’interface physique fonctionne correctement. REMARQUE : si une configuration de sauvegarde est définie, une DEL d’alarme orange indique une alarme mineure et une DEL d'alarme de couleur rouge fixe indique un problème majeur sur la passerelle de services. REMARQUE : lorsque vous mettez l’unité sous tension, la procédure d’amorçage peut prendre de cinq à sept minutes. Avant de passer à la tâche suivante, veuillez patienter jusqu’à ce que la DEL d’état soit verte. Tâche 3 : Vérification de l’attribution d’une adresse IP au dispositif de gestion Une fois le dispositif de gestion connecté à la passerelle de services, le processus du serveur DHCP sur cette passerelle attribue automatiquement une adresse IP au dispositif. Assurez-vous que le dispositif de gestion reçoit bien une adresse IP sur le sous-réseau 192.168.1.0/24 (autre que 192.168.1.1) de la passerelle de services. REMARQUE : La passerelle de services se comporte comme un serveur DHCP et attribue une adresse IP au dispositif de gestion. Si aucune adresse IP n’est attribuée au dispositif de gestion, configurez-en une manuellement sur le sous-réseau 192.168.1.0/24. N’attribuez pas l’adresse IP 192.168.1.1 au dispositif de gestion, car elle est déjà attribuée à la passerelle de services. Par défaut, le serveur DHCP est activé sur l’interface de VLAN de couche 3, à savoir (IRB) vlan.0 (ge-0/0/1 et de fe-0/0/2 à fe-0/0/7), qui est configurée avec l’adresse IP 192.168.1.1/24. Lors de la première mise sous tension de la passerelle de services SRX210, elle démarre en utilisant la configuration par défaut définie en usine. Tâche 2 : Connexion du dispositif de gestion Connectez le dispositif de gestion à la passerelle de services en utilisant l’une des méthodes suivantes : À l’aide d’un câble RJ-45 (câble Ethernet), reliez l’un des ports suivants du panneau avant de l’unité au port Ethernet du dispositif de gestion (poste de travail ou ordinateur portable) : 0/1 (interface ge-0/0/1) de 0/2 à 0/7 (interfaces fe-0/0/2 à fe-0/0/7) Cette méthode est recommandée. Si vous optez pour cette méthode de connexion, rendez-vous à la Tâche 3. Port Ethernet g031118 Port Ethernet Page 2 Tâche 4 : Accès à l’interface J-Web 1. Lancez un navigateur Web depuis le dispositif de gestion. REMARQUE : L'assistant est optimisé pour Mozilla Firefox version 15.x ou ultérieure. 2. Saisissez http://192.168.1.1 dans le champ d'adresse URL. La page de bienvenue s’affiche. Tâche 6 : Définition des paramètres de base dans le mode Configuration par défaut (méthode 1) Avant de commencer le processus de configuration, vous devez obtenir une adresse IP dynamique. Connectez-vous à votre fournisseur d’accès Internet (FAI) via le port 0/0 (interface ge-0/0/0). Votre FAI va utiliser le processus DHCP pour attribuer une adresse IP à l’unité. REMARQUE : Vous devez configurer uniquement le nom d'utilisateur et le mot de passe racine. Vous pouvez ignorer toutes les autres étapes en cliquant sur Next pour accéder directement à la page Confirmer et appliquer et appliquer la configuration (Tâche 8). 1. Dans la page de bienvenue, cliquez sur Default Setup. Un message d'avertissement s'affiche. 2. Cliquez sur Yes pour accepter le mode de configuration par défaut. 3. Dans la page Informations relatives à l'unité de l'assistant, saisissez les informations suivantes : Nom d'unité de la passerelle de services ; SRX210, par exemple. Saisissez le mot de passe racine et confirmez-le. REMARQUE : Lors de la saisie, l'outil d'évaluation indique le niveau de sécurité du mot de passe. Nous vous recommandons d'utiliser un mot de passe complexe comportant 12 caractères minimum, ainsi que des majuscules, des minuscules, des chiffres et des symboles. 4. 5. Tâche 5 : Sélection du mode de configuration Pour configurer la passerelle de services, optez pour l'un des modes de configuration suivants : Guided Setup : ce mode vous permet de définir une configuration de sécurité personnalisée pour la passerelle de services. Dans ce mode, vous pouvez sélectionner l'option Débutant ou Expert. Si vous choisissez ce mode, rendez-vous à la Tâche 7. Default Setup : ce mode vous permet de configurer rapidement une passerelle de services dans la configuration par défaut. Dans ce mode, vous pouvez configurer les paramètres de base du système, tels que le mot de passe de l'administrateur, et télécharger les licences achetées. Des configurations supplémentaires peuvent être effectuées une fois la configuration de l'assistant terminée. Si vous choisissez ce mode, rendez-vous à la Tâche 6. 6. 7. 8. 9. Pour ajouter des utilisateurs, cliquez sur Add. Entrez le nom d'utilisateur, le mot de passe et le rôle. Cliquez sur Done. Le nom d'utilisateur s'affiche dans la zone de liste Comptes d'administration. Cliquez sur Next. La page Heure de l'unité apparaît. Utilisez l’une des options suivantes pour configurer l’heure du système : Time Server : saisissez l’adresse IP ou le nom du serveur NTP. Manual : entrez la date et l'heure. Cliquez sur Next. La page Résumé s’affiche. Cliquez sur Next. La page Licences s’affiche. Si vous disposez de licences achetées, entrez votre code d'autorisation et cliquez sur Download pour récupérer la licence automatiquement. La page d'ouverture de session du système de gestion des licences apparaît. Si vous disposez d'un compte d'assistance, entrez votre adresse électronique et votre mot de passe. Cliquez sur Next. La page Licences s’affiche. Sélectionnez I Agree pour accepter la licence, puis cliquez sur Done. REMARQUE : Si vous ne disposez pas d'un compte d'assistance, vous pouvez en créer un : Entrez votre adresse électronique et sélectionnez Create New Account. Cliquez sur Next. Dans la page Nouveau compte, entrez les informations de votre compte. Cliquez sur Next. La page Licence de l'utilisateur final s'affiche. Sélectionnez I AGREE pour accepter la licence, puis cliquez sur Next. Page 3 c. d. Notez par écrit les nouveaux nom d’utilisateur et mot de passe. Cliquez sur OK. Vous pouvez modifier le mot de passe en vous connectant à http://juniper.net/support. Si votre demande d'autorisation d'accès est acceptée et qu'un accès vous est accordé, vous en serez informé par courrier électronique dans les 24 heures. Vous pouvez télécharger la licence uniquement lorsque votre accès est accepté. e. 10. Cliquez sur Download Now pour récupérer vos licences. Les informations de licence s'affiche dans une fenêtre contextuelle. 11. Vérifiez les licences téléchargées. Cliquez sur OK, puis sur Next. 4. 12. Rendez-vous à la Tâche 8. Tâche 7 : Définition des paramètres dans le mode Configuration guidée (méthode 2) b. Indiquez si votre réseau interne est connecté à Internet, puis cliquez sur Next. c. Sélectionnez l'unité (SRX) pour laquelle vous souhaitez configurer la connexion PPPoE (Point-to-Point Protocol over Ethernet), puis cliquez sur Next. La page Configuration s’affiche. REMARQUE : Si vous sélectionnez Sans objet ou Modem DSL, une adresse IP standard est configurée. Passez à l'étape e. REMARQUE : Vous devez configurer uniquement le nom d'utilisateur et le mot de passe racine. Vous pouvez ignorer toutes les autres étapes en cliquant sur Next pour accéder directement à la page Confirmer et appliquer et appliquer la configuration (Tâche 8). Dans la page de bienvenue, cliquez sur Guided Setup, puis cliquez sur Next. La page Niveau d'expérience apparaît. 2. Sélectionnez parmi les icônes suivantes celle qui correspond le mieux à votre niveau d'expérience, puis cliquez sur Next : Débutant Expert d. Saisissez le nom d’utilisateur et le mot de passe. Confirmez le mot de passe et cliquez sur Next. e. Configurez la zone Internet. Sélectionnez l’option Statique. Cliquez sur Add IP pour saisir l'adresse IP statique fournie par votre FAI, puis cliquez sur Done. Sélectionnez le port à utiliser, puis cliquez sur Next. La page Configuration DMZ s'affiche. f. Si vous utilisez la zone DMZ, cliquez sur Yes, puis configurez la zone DMZ de votre réseau en suivant les instructions à l'écran. Dans le cas contraire, cliquez sur Non et passez à l'étape g. g. Dans la page Configuration de la zone interne, sélectionnez la topologie qui représente le mieux votre réseau, puis cliquez sur Next. h. Configurez les zones internes. Saisissez le nom de la zone, sélectionnez le port à utiliser avec cette zone, puis cliquez sur Next. i. Configurez le serveur DHCP de la zone interne. Cliquez sur Done. La page Résumé affiche les détails de configuration de la topologie de sécurité. j. Cliquez sur Next. La page de présentation de la règle de sécurité s'affiche. Le tableau suivant compare les niveaux Débutant et Expert : Débutant Expert Peut configurer uniquement trois zones internes Peut configurer plus de trois zones internes Peut configurer une adresse IP statique et une adresse IP dynamique pour la zone Internet Peut configurer une adresse IP statique, un pool statique et une adresse IP dynamique pour la zone Internet Ne peut pas configurer de service de zone interne Peut configurer un service de zone interne Ne peut pas configurer de règle NAT de destination interne Peut configurer une règle NAT de destination interne 3. Configurez les options de base : a. Entrez le nom d'unité et le mot de passe racine dans la page Informations sur l'unité. REMARQUE : Lors de la saisie, l'outil d'évaluation indique le niveau de sécurité du mot de passe. Nous vous recommandons d'utiliser un mot de passe complexe comportant 12 caractères minimum, ainsi que des majuscules, des minuscules, des chiffres et des symboles. b. Pour ajouter des utilisateurs, cliquez sur Add. Entrez le nom d'utilisateur, le mot de passe et le rôle. Cliquez sur Done. Le nom d'utilisateur s'affiche dans la zone de liste Comptes d'administration. Time Server : saisissez l’adresse IP ou le nom du serveur NTP. Manual : entrez la date et l'heure. Cliquez sur Next. La page Résumé récapitule les informations de configuration de base de l'unité. f. Cliquez sur Next. La page de présentation de la topologie de sécurité s'affiche. Configurez la topologie de sécurité : a. Dans la page de présentation de la topologie de sécurité, cliquez sur Next. La page Configuration de la zone Internet s'affiche. Avant de commencer le processus de configuration, vous devez obtenir une adresse IP statique sur votre passerelle de services. Connectez-vous à votre fournisseur d’accès Internet via le port 0/0 (interface ge-0/0/0). Votre FAI va vous communiquer une adresse IP statique. Il n’utilisera pas le processus DHCP pour vous attribuer une adresse IP. 1. Cliquez sur Next. La page Heure de l'unité apparaît. Utilisez l’une des options suivantes pour configurer l’heure du système : 5. Configurez la règle de sécurité : La section Règle de sécurité vous permet de configurer des règles entre Internet, la zone DMZ et les zones internes. REMARQUE : L'assistant vous recommande de configurer des règles de sécurité en fonction de la topologie de sécurité que vous avez définie. a. Dans la page de présentation de la règle de sécurité, cliquez sur Next. La page Licences s’affiche. b. Téléchargez la licence. Reportez-vous aux étapes 8 à 11 de la tâche 6. c. Si vous avez configuré la zone DMZ, configurez la règle DMZ relative au trafic entre la zone Internet et la zone DMZ. Cliquez sur Next. d. Configurez la règle interne relative au trafic entre la zone Internet et les zones internes. Cliquez sur Next. Page 4 e. 6. Si vous avez configuré la zone DMZ, configurez la règle DMZ relative au trafic entre les zones internes et la zone DMZ. f. Configurez la règle de sécurité pour l'interface Gestion des unités par zone. g. Indiquez si vous souhaitez fournir un accès distant à vos zones internes et à la zone DMZ. Si vous sélectionnez Yes, configurez les paramètres d'accès distant. Entrez la plage de pool d'adresses IP du client distant et les comptes utilisateur distants. h. Cliquez sur Next dans la page Résumé. La page de présentation de la traduction d’adresse de réseau s'affiche. Configurez la traduction NAT : La section Traduction d’adresse de réseau vous permet d'activer la règle NAT source et la règle NAT de destination. REMARQUE : L'assistant vous recommande de configurer des règles NAT de destination en fonction des services de zone activés dans la zone DMZ ou la topologie interne. a. b. c. d. Dans la page de présentation de la traduction d'adresse de réseau, cliquez sur Next. La page NAT source interne s'affiche. Sélectionnez les zones internes pour lesquelles la règle NAT source doit être ajoutée. Cliquez sur Next. Ajoutez la règle NAT de destination interne, puis cliquez sur Next. REMARQUE : L'option de configuration NAT de destination interne est disponible uniquement pour le niveau Expert. Ajoutez la règle NAT de destination pour la zone DMZ, puis cliquez sur Next. La page Résumé s’affiche. REMARQUE : Pour apporter des modifications, cliquez sur le bouton Edit ou accédez à la section correspondante dans le menu déroulant situé en haut de la page. e. Cliquez sur Next. La page Confirmer et appliquer apparaît. Tâche 8 : Application de la configuration de base Pour appliquer les paramètres de configuration à la passerelle de services : 1. Assurez-vous que les paramètres de configuration sont corrects, puis cliquez sur Next. La page Validation de la configuration s’affiche. 2. Cliquez sur Apply Settings pour appliquer les paramètres de configuration à la passerelle de services. REMARQUE : Vérifiez la connectivité à la passerelle de services, car elle peut être perdue si vous avez modifié l'adresse IP de la zone de gestion. Cliquez sur l'URL pour accéder aux instructions permettant de vous reconnecter à l'unité. 3. Cliquez sur Done pour achever la configuration. Une fois la configuration réussie, vous êtes redirigé sur l'interface J-Web. IMPORTANT : Une fois la configuration initiale terminée, vous pouvez relancer l'assistant de configuration J-Web en cliquant sur Tasks > Run Setup Wizard. Vous pouvez modifier une configuration existante ou en créer une nouvelle. Si vous choisissez de créer une configuration, la configuration actuelle sera entièrement supprimée dans la passerelle de services. REMARQUE : pour modifier la configuration de l’interface, consultez le manuel Branch SRX Series Services Gateways Golden Configurations, à l'adresse http://www.juniper.net/us/en/local/pdf/app-notes/3500153-en.pdf. Tâche 9 : Vérification de la configuration Accédez au site http://www.juniper.net pour vérifier votre connexion Internet. Cette connectivité garantit que vous pouvez transmettre du trafic via la passerelle de services. REMARQUE : Si la page http://www.juniper.net ne se charge pas, examinez vos paramètres de configuration et vérifiez que vous avez appliqué la configuration. Une fois ces vérifications terminées, vous pouvez transmettre des données depuis n’importe quel port sécurisé vers le port non sécurisé. Mise hors tension de l’unité Vous pouvez mettre hors tension l’unité en suivant l’une des procédures suivantes : Arrêt normal : appuyez sur le bouton d’alimentation puis relâchez-le immédiatement. L’unité commence à fermer normalement le système d’exploitation. Arrêt forcé : maintenez le bouton d’alimentation enfoncé pendant 10 secondes. L’unité s’arrête immédiatement. Appuyez une nouvelle fois sur le bouton d’alimentation pour rallumer l’unité. Pour redémarrer ou arrêter le système dans l’interface J-Web, sélectionner Maintain > Reboot. REMARQUE : Utilisez la méthode d'arrêt normal pour arrêter, mettre hors tension ou redémarrer la passerelle de services. Utilisez la méthode d'arrêt forcé en dernier recours pour récupérer la passerelle de services si le système d'exploitation de celle-ci ne répond pas à la méthode d'arrêt normal. Page 5 Pour plus d'informations sur la configuration, consultez le manuel Branch SRX Series Services Gateways Golden Configurations, à l'adresse http://www.juniper.net/us/en/local/pdf/app-notes/3500153-en.pdf. Pour plus d’informations sur la configuration logicielle, consultez la documentation correspondante disponible à l’adresse http://www.juniper.net/techpubs/en_US/release-independent/junos/information-products/ pathway-pages/srx-series/product/index.html. Utilisation du bouton Reset Config (Réinitialisation de la configuration) Si la configuration ne fonctionne pas correctement ou refuse l’accès de gestion à la passerelle de services, vous pouvez utiliser le bouton Reset Config (Réinitialisation de la configuration) pour rétablir la configuration par défaut définie en usine de l’unité ou une configuration de sauvegarde. Par exemple, si quelqu'un valide accidentellement une configuration qui refuse l'accès de gestion à la passerelle de services, vous pouvez supprimer la configuration incorrecte pour la remplacer par la configuration de sauvegarde, en appuyant sur le bouton Reset Config (Réinitialisation de la configuration). REMARQUE : Le bouton Reset Config (Réinitialisation de la configuration) est placé en retrait pour éviter toute activation accidentelle. La configuration de sauvegarde est une configuration correcte qui a été validée au préalable. Vous devez avoir précédemment défini la configuration de sauvegarde via l'interface J-Web ou l'interface de ligne de commande. Pour appuyer sur le bouton Reset Config (Réinitialisation de la configuration), insérez un trombone déplié ou un objet similaire dans le trou d’épingle du panneau avant. Par défaut, une pression prolongée pendant quelques instants sur le bouton Reset Config (Réinitialisation de la configuration) permet de charger et de valider la configuration de sauvegarde via l'interface J-Web ou l'interface de ligne de commande. La DEL d'état (STATUS) passe à l'orange pendant cette opération. Par défaut, maintenir le bouton Reset Config (Réinitialisation de la configuration) enfoncé pendant au moins 15 secondes, jusqu’à ce que la DEL d’état (STATUS) passe à l'orange, permet de supprimer toutes les configurations sur l'unité, y compris les configurations secondaires et la configuration de sauvegarde, de charger la configuration prédéfinie en usine, puis de la valider. Pour plus d'informations sur la gestion et la surveillance de votre unité, consultez les manuels Junos OS Administration Guide et Junos OS CLI Reference Guide. Contacter Juniper Networks Pour obtenir une assistance technique, accédez à la page http://www.juniper.net/support/requesting-support.html. Juniper Networks, Junos, Steel-Belted Radius, NetScreen et ScreenOS sont des marques déposées de Juniper Networks, Inc. aux États-Unis et dans d’autres pays. Le logo Juniper Networks, le logo Junos et JunosE sont des marques commerciales de Juniper Networks, Inc. Toutes les autres marques commerciales, marques de service, marques déposées ou marques de service déposées sont la propriété de leurs détenteurs respectifs. Juniper Networks décline toute responsabilité quant aux éventuelles inexactitudes présentes dans ce document. Juniper Networks se réserve le droit de modifier, transférer ou réviser de toute autre manière cette publication sans préavis. Les produits fabriqués ou vendus par Juniper Networks ou les composants de ces produits peuvent être protégés par un ou plusieurs des brevets suivants, qui appartiennent à Juniper Networks ou font l’objet d’une licence Juniper Networks : n° de brevets aux États-Unis : 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312, 6,429,706, 6,459,579, 6,493,347, 6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186 et 6,590,785. Copyright © 2013, Juniper Networks, Inc. Tous droits réservés. Imprimé aux États-Unis. Référence : 530-049773, Révision 01, juin 2013. ">
Öffentlicher Link aktualisiert
Der öffentliche Link zu Ihrem Chat wurde aktualisiert.