Hola!
En el artículo anterior está el link para descargarte la virtual de vSRX
Agregar 2 o más placas de red a la virtual. Luego ingresa a la consola y empezamos… root@% cli root> edit root# Crear un hostname al equipo: root# set host-name rt-junos-01 Establecer una password para el usuario root: root# set system root-authentication plain-text-password Creamos un usuario, es éste caso será “toor” con class “super-user”: root# set system login user toor class super-user authentication plain-text-password Setear Time-Zone: root# set system time-zone America/Buenos_Aires Declaramos cuál será nuestro NTP Server: root# set system ntp server x.x.x.x Setear DNS Server: root# set system name-server x.x.x.x Acceso remoto vía telnet/ssh, a modo de ejemplo habilitaremos ambos: root# edit system services telnet [edit system services telnet] root# set system services telnet connection-limit 5 root# set system services telnet rate-limit 5
root# edit system services ssh [edit system services ssh] root# set root-login deny root# set protocol-version v2 root# set client-alive-count-max 5 root# set client-alive-interval 20 Setear IPs a las interfaces Primero verificamos cuántas interfaces tenemos y cuáles son las que deberíamos configurar para eso utilizamos el siguiente comando dentro de “Operational Mode”:
root> show interfaces terse Interface Admin Link Proto Local Remote cbp0 up up demux0 up up dsc up up ge-0/0/0 up up ge-0/0/1 up up gre up up ipip up up irb up up lo0 up up lo0.16384 up up inet 127.0.0.1--> 0/0 lo0.16385 up up inet 128.0.0.4 --> 0/0 inet6 fe80::a00:270f:fc6e:236d lsi up up mtun up up pimd up up pime up up pip0 up up pp0 up up tap up up
En nuestro caso agregamos dos interfaces a la máquina virtual, son g0/0/0 y g0/0/1. Para asignar IP a una interfaz:
root> edit interfaces ge-0/0/0 unit 0 [edit interfaces g0/0/0 unit 0] root# set description LAN root# set family inet address x.x.x.x/24 root# exit root> edit interfaces ge-0/0/1 unit 0 [edit interfaces em0 unit 0] root# set description INET root# set family inet address x.x.x.x/24 root# exit
Configurar SNMP
Habilitar SNMP es opcional, ya que nos permitira monitorear el dispositivo remotamente. Para esto:
Configurar el nombre (Para poner espacios en el nombre, agregar comillas): root# set name “JunOS LAB” Espicificar una locación: root# set location “Rack 2” Establecer un contacto: root# set contact ejemplo@lab.com.ar Setear una comunidad snmp solo lectura: root# set community public authorization read-only Crear una lista de IPs permitidas para lanzar queries SNMP: root# set client-list list0 xx.xx.xx.xx/xx root# set community public client-list-name list0
Si necesitamos activar el envío de TRAPs, configurar un grupo de traps en donde se especifique el puerto y la IP de destino: root# set trap-group “lab-traps” destination-port 162 targets xx.xx.xx.xx
Agregar un rutas estáticas
root# edit routing-options static
[edit routing-options static]
root#set route xx.xx.xx.xx/xx next-hop xx.xx.xx.xx
NAT
Si tienes experiencia administrando Linux o Mikrotik, entonces los NATs en JunOS te van a resultar muy familiares. Para tratar el tema de un modo simplista, ya que suponemos que estás realizando tus primeras configuraciones sobre JunOS, podríamos decir que siempre que se hable de “Source NAT” se está nateado en origen, por ejemplo, la salida hacia Internet, un tunnel VPN u otra interfaz en el mismo equipo, cuando se hable de “Destination NAT” se está nateando el destino, por ejemplo, algo muy común es publicar un web server en algúna IP de nuestro rango público.
Dejo un Link , en donde se explica en detalle, las posibles configuraciones con NAT en JunOS. En los próximos artículos voy a estar tratando en profundidad ese tema.
Configuración básica, natear la salida a internet
Datos de ejemplo: Rango público 200.12.27.0/29 IP Asiganada a nuestra interfaz de salida: 200.12.27.6/29 Gateway 200.12.27.1 Lan Interna 192.168.88.0/24
Bindeamos cada interfaz a una zona de seguridad
Primero la interfaz LAN g0/0/0 root# edit security zones [edit security zones] root# set security-zone trust interfaces g0/0/0 La interfaz g0/0/1 será nuestra WAN root# set security-zone untrust interfaces g0/0/1
Comenzamos a configurar NAT. La idea es que todo el tráfico que salga de nuestra zona trust hacia la zona untrust debería salir nateado con la ip de la interfaz es decir 200.12.27.6 root# edit edit security nat source
[edit security nat source]
Root#set rule-set rs1 from zone trust Root#set rule-set rs1 to zone untrust Root#set rule-set rs1 rule r1 match source-address 192.168.88.0/24 Root#set rule-set rs1 rule r1 match destination-address 0.0.0.0/0 Root#set rule-set rs1 rule r1 then source-nat interface
Por último creamos una política que permita el tráfico desde las redes en la zona trust hacia la zona untrust root# edit security policies from-zone trust to-zone untrust [edit security policies from-zone trust to-zone untrust] Root#set policy internet-access match source-address any destination-address any application any Root#set policy internet-access then permit
Ahora que ya tenemos nuestra configurición básica chequeamos los cambios y por último los guardamos!
Root# commit check Root# commit
Para realizar un troubleshooting sobre NAT pueden utilizer el siguiente commando: root# run show security flow session [option] [IP]
Listo! Esto fue un ejemplo de una configuración inicial básica para un juniper vSRX…
Commentaires