Простое руководство по настройке Интернет шлюза Juniper SRX 240




Полезная ссылка: О нас и наших клиентах

 

 

Простое руководство установки Интернет шлюза Juniper SRX 240  

 

Это руководство написано для тех, кто хочет настроить брандмауэр Juniper SRX в качестве простого домашнего или бизнес Интернет шлюза. Но нужно немного разбираться в подобных технологиях, поскольку я написал руководство для CLI, а не J-Web, чтобы сделать его кратким и по существу.


В этом примере я использовал SRX210, однако это практически универсальная инструкция и для вашей модели брандмауэра нужно внести только незначительные изменения.

 

Полезная ссылка: Консультация и заказ настройки оборудования Juniper SRX

 

Общая конфигурация Juniper SRX 240 


То, на что следует обратить внимание, прежде чем начать процесс.


set system host-name Internet_Gateway
set system root-authentication plain-text-password

 
#Мне нравиться иметь службы имен доменов, поэтому я делаю разрешение имен (resolution), хотя это на самом деле не обязательно.

 
set system name-server 8.8.8.8
#Настроить пользователя для администрации очень полезно, так как нехорошо, чтобы корень подключался удаленно.

 
set system login user admin uid 2000
set system login user admin class super-user
set system login user admin authentication plain-text-password

 
#Для точных даты и времени в журналах следует настроить сервер NTP, в моем случае я использовал публично доступный сервер.

 
set system ntp server 192.95.20.208


Настройка интерфейса Juniper SRX 240 


# Это ссылка для Интернета, с её помощью мы получим конфигурацию IP через DHCP от нашего поставщика.

 
set interfaces ge-0/0/0 description Internet_Link
set interfaces ge-0/0/0 unit 0 family inet dhcp update-server

 
#Я хочу сделать интерфейсы fe-0/0/2 до 0/0/7 частью VLAN 100 и чтобы они исполняли функции переключателя.

 
set interfaces interface-range interface-trust member fe-0/0/2
set interfaces interface-range interface-trust member fe-0/0/3
set interfaces interface-range interface-trust member fe-0/0/4
set interfaces interface-range interface-trust member fe-0/0/5
set interfaces interface-range interface-trust member fe-0/0/6
set interfaces interface-range interface-trust member fe-0/0/7

 
#Семейные Ethernet-коммутации позволят диапазону портов вести себя как переключатели, в то время как они принадлежат к vlan-trust, где они найдут шлюз IP

 
set interfaces interface-range interface-trust unit 0 family ethernet-switching vlan members vlan-trust

 
#Это будет шлюз для устройств LAN на fe-0/0/2 до 0/0/7.

 
set interfaces vlan unit 100 family inet address 192.168.1.1/24

 
#Создаем VLAN-trust и подключаем vlan.100, который был интерфейсом L3, который мы создали выше.

 
set vlans vlan-trust vlan-id 100
set vlans vlan-trust l3-interface vlan.100


Тест


Чтобы убедиться, что DHCP работает на ge-0/0/0, следующая команда поможет увидеть информацию IP от вас поставщику Интернет-услуг.


admin@Internet_Gateway show system services dhcp client 

 Logical Interface name         ge-0/0/0.0
        Hardware address        80:71:1f:b4:07:c0
        Client status           bound
        Address obtained        10.5.5.5
        Update server           enabled
        Lease obtained at       2013-05-08 19:14:06 UTC
        Lease expires at        2013-05-08 23:14:06 UTC

DHCP options:
    Name: server-identifier, Value: 10.5.5.254
    Code: 1, Type: ip-address, Value: 255.255.255.0
    Name: router, Value: [ 10.5.5.1 ]
    Name: domain-name, Value: corp.test.com
    Name: name-server, Value: [ 10.5.5.253 ]


LAN DHCP Juniper SRX 240 


Так как мы только что закончили настройку LAN, нужно установить DHCP, который будет предоставлять локальные адреса для устройств в сети VLAN-trust.

 

set system services dhcp pool 192.168.1.0/24 address-range low 192.168.1.50
set system services dhcp pool 192.168.1.0/24 address-range high 192.168.1.200
set system services dhcp pool 192.168.1.0/24 default-lease-time 3600
set system services dhcp pool 192.168.1.0/24 router 192.168.1.1

 
#Эти параметры получат конфигурацию с клиентского DHCP на ge-0/0/0, если не указано иное, самое главное имя сервера, который изменяется от провайдера (ISP) к провайдеру (ISP), иначе разрешения имен (name resolutions) на LAN работать не будут.

 

set system services dhcp pool 192.168.1.0/24 propagate-settings ge-0/0/0.0


Тест


Давайте посмотрим, если компьютер(ы) подключенные к портам fa-0/02 до 0/0/7 получают DHCP аренды.


admin@Internet_Gateway> show system services dhcp binding 
IP address       Hardware address   Type     Lease expires at
192.168.1.50     32:aa:a7:5e:17:45  dynamic  2013-05-08 20:14:02 UTC


Зоны безопасности Juniper SRX 240 


Настроим зону LAN (Trust) и Интернет (Untrust)
set security zones security-zone untrust description "Internet Link - DHCP Configured"
#Примечание: мы разрешаем DHCP поскольку интерфейс Интернета будет клиентом.

 
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services dhcp


#Разрешаем все обслуживания / протоколы к внутреннему интерфейсу.
set security zones security-zone trust description "Local Area Network"
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
#Подключите vlan.100 в зону trust.
set security zones security-zone trust interfaces vlan.100


Source NAT


Так как 19.168.1.0/24 является приватным и не будет направляться в Интернете, нам нужно будет преобразовать эту внутреннюю подсеть с помощью source NAT на наш выходной в Интернет интерфейс.


set security nat source rule-set internal-to-internet description "NAT anything from trust zone to untrust (LAN to Internet)"
set security nat source rule-set internal-to-internet from zone trust
set security nat source rule-set internal-to-internet to zone untrust
set security nat source rule-set internal-to-internet rule internet-access match source-address 0.0.0.0/0
set security nat source rule-set internal-to-internet rule internet-access match destination-address 0.0.0.0/0
set security nat source rule-set internal-to-internet rule internet-access then source-nat interface


Политики безопасности Juniper SRX 240 


Разрешите передачу данных из зоны Trust в зону Untrust (LAN к Интернету), поскольку по умолчанию трафик из зоны Trust в зону Untrust будет автоматически обрываться, и здесь не нужна политика.


set security policies from-zone trust to-zone untrust policy defaul-permit match source-address any
set security policies from-zone trust to-zone untrust policy defaul-permit match destination-address any
set security policies from-zone trust to-zone untrust policy defaul-permit match application any
set security policies from-zone trust to-zone untrust policy defaul-permit then permit


Управление


Этот Интернет шлюз простой, поэтому нужно включить только SSH и HTTPS доступы из внутреннего LAN.
set system services ssh protocol-version v2
set system services web-management https system-generated-certificate
set system services web-management https interface vlan.100



Полная конфигурация Juniper SRX 240 


Для тех, кто просто хочет скопировать и вставить всю конфигурацию в SRX
set system host-name Serenity
set system root-authentication encrypted-password "$1$QgzUP4DH$dbmMYIKqw.I0b2KSIK1gB0"
set system name-server 8.8.8.8
set system login user lleroux uid 2000
set system login user lleroux class super-user
set system login user lleroux authentication encrypted-password "$1$FKKuZxhz$j0Yu8AYMW0x4JbH0CxkVZ1"
set system services ssh protocol-version v2
set system services web-management https system-generated-certificate
set system services web-management https interface vlan.100
set system services dhcp pool 192.168.1.0/24 address-range low 192.168.1.50
set system services dhcp pool 192.168.1.0/24 address-range high 192.168.1.200
set system services dhcp pool 192.168.1.0/24 default-lease-time 3600
set system services dhcp pool 192.168.1.0/24 router 192.168.1.1
set system services dhcp pool 192.168.1.0/24 propagate-settings ge-0/0/0.0
set system ntp server 192.95.20.208
set interfaces interface-range interface-trust member fe-0/0/2
set interfaces interface-range interface-trust member fe-0/0/3
set interfaces interface-range interface-trust member fe-0/0/4
set interfaces interface-range interface-trust member fe-0/0/5
set interfaces interface-range interface-trust member fe-0/0/6
set interfaces interface-range interface-trust member fe-0/0/7
set interfaces interface-range interface-trust unit 0 family ethernet-switching vlan members vlan-trust
set interfaces ge-0/0/0 description Internet_Link
set interfaces ge-0/0/0 unit 0 family inet dhcp update-server
set interfaces vlan unit 100 family inet address 192.168.1.1/24
set security nat source rule-set internal-to-internet description "NAT anything from trust zone to untrust (LAN to Internet)"
set security nat source rule-set internal-to-internet from zone trust
set security nat source rule-set internal-to-internet to zone untrust
set security nat source rule-set internal-to-internet rule internet-access match source-address 0.0.0.0/0
set security nat source rule-set internal-to-internet rule internet-access match destination-address 0.0.0.0/0
set security nat source rule-set internal-to-internet rule internet-access then source-nat interface
set security policies from-zone trust to-zone untrust policy defaul-permit match source-address any
set security policies from-zone trust to-zone untrust policy defaul-permit match destination-address any
set security policies from-zone trust to-zone untrust policy defaul-permit match application any
set security policies from-zone trust to-zone untrust policy defaul-permit then permit
set security zones security-zone untrust description "Internet Link - DHCP Configured"
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services dhcp
set security zones security-zone trust description "Local Area Network"
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone trust interfaces vlan.100
set vlans vlan-trust vlan-id 100
set vlans vlan-trust l3-interface vlan.100



Обновлен 12 июл 2014. Создан 02 апр 2014



  Комментарии       
Имя или Email


При указании email на него будут отправляться ответы
Как имя будет использована первая часть email до @
Сам email нигде не отображается!
Зарегистрируйтесь, чтобы писать под своим ником

____

______
Яндекс.Метрика