Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de Junos OS en SRX320

El firewall SRX320 se suministra con el sistema operativo Junos de Juniper Networks (Junos OS) preinstalado y está listo para configurarse cuando se enciende el SRX320. Puede realizar la configuración inicial del software del SRX320 mediante uno de los métodos siguientes:

  • Interfaz de línea de comandos (CLI)

  • Aprovisionamiento sin intervención (ZTP) con un servicio de aprovisionamiento basado en la nube

  • J-Web GUI

Antes de configurar el nuevo SRX320, le recomendamos que comprenda la configuración predeterminada de fábrica. En muchos casos, puede aprovechar los valores predeterminados de fábrica para simplificar sus tareas de configuración. En otros casos, puede que le resulte más fácil comenzar con una configuración en blanco cuando descubra que los valores predeterminados no se alinean con el uso planificado. Consulte Configuración predeterminada de fábrica del firewall SRX320 para obtener detalles sobre la configuración predeterminada de fábrica.

Configuración inicial mediante la CLI

Puede utilizar el puerto de consola serie o miniUSB del dispositivo.

Conéctese al puerto de la consola serie

Para conectarse al puerto de la consola serie:

  1. Conecte un extremo del cable Ethernet al adaptador de puerto serie RJ-45 a DB-9.
    Nota:

    Ya no incluimos el cable de la consola como parte del paquete del dispositivo. Si el cable y el adaptador de la consola no están incluidos en el paquete del dispositivo, o si necesita otro tipo de adaptador, puede solicitar lo siguiente por separado:

    • Adaptador de RJ-45 a DB-9 (JNP-CBL-RJ45-DB9)

    • Adaptador RJ-45 a USB-A (JNP-CBL-RJ45-USBA)

    • Adaptador RJ-45 a USB-C (JNP-CBL-RJ45-USBC)

    Si desea utilizar el adaptador RJ-45 a USB-A o RJ-45 a USB-C, debe tener un controlador de puerto COM virtual (VCP) X64 (64 bits) instalado en su PC. Consulte https://ftdichip.com/drivers/vcp-drivers/ para descargar el controlador.
  2. Conecte el adaptador de puerto serie RJ-45 a DB-9 en el puerto serie del dispositivo de administración.
  3. Conecte el otro extremo del cable Ethernet al puerto de la consola serie del SRX320.
    Figura 1: Conéctese al puerto de consola en el SRX320 Connect to the Console Port on the SRX320
  4. Inicie la aplicación de emulación de terminal asincrónica (como Microsoft Windows HyperTerminal) y seleccione el puerto COM adecuado que desea utilizar (por ejemplo, COM1).
  5. Configure las opciones del puerto serie con los siguientes valores:

    • Velocidad en baudios: 9600

    • Paridad: N

    • Bits de datos: 8

    • Bits de parada: 1

    • Control de flujo: ninguno

Conéctese al puerto de consola miniUSB

Para conectarse al puerto de consola miniUSB:

  1. Descargue el controlador USB en el dispositivo de administración desde la página Descargas. Para descargar el controlador para el sistema operativo Windows, seleccione 6.5 en la lista desplegable Versión. Para descargar el controlador para macOS, seleccione 4.10 en la lista desplegable Versión.
  2. Instale el software del controlador de la consola USB:
    Nota:

    Instale el software del controlador de la consola USB antes de intentar establecer una conexión física entre el SRX320 y el dispositivo de administración; de lo contrario, la conexión fallará.

    1. Copie y extraiga el archivo .zip en la carpeta local.

    2. Haga doble clic en el archivo .exe . Aparecerá la pantalla del instalador.

    3. Haga clic en Instalar.

    4. Haga clic en Continuar de todos modos en la siguiente pantalla para completar la instalación.

      Si elige detener la instalación en cualquier momento durante el proceso, todo o parte del software no se instalará. En tal caso, le recomendamos que desinstale el controlador de la consola USB y, a continuación, vuelva a instalarlo.

    5. Haga clic en Aceptar cuando finalice la instalación.

  3. Conecte el extremo grande del cable USB suministrado con el SRX320 a un puerto USB del dispositivo de administración.
  4. Conecte el otro extremo del cable USB al puerto de consola miniUSB del SRX320.
  5. Inicie su aplicación de emulación de terminal asincrónica (como Microsoft Windows HyperTerminal) y seleccione el nuevo puerto COM instalado por el software del controlador de consola USB. En la mayoría de los casos, este es el puerto COM con el número más alto en el menú de selección.

    Puede localizar el puerto COM en Puertos (COM y LPT) en el Administrador de dispositivos de Windows después de instalar e inicializar el controlador. Esto puede tardar varios segundos.

  6. Configure las opciones del puerto con los siguientes valores:

    • Bits por segundo: 9600

    • Paridad: ninguna

    • Bits de datos: 8

    • Bits de parada: 1

    • Control de flujo: ninguno

  7. Si aún no lo ha hecho, encienda el SRX320 presionando el botón de encendido en el panel frontal. Verifique que el LED PWR del panel frontal se vuelva verde.

    La pantalla de emulación de terminal del dispositivo de administración muestra la secuencia de inicio. Cuando el SRX320 haya terminado de iniciarse, aparecerá un mensaje de inicio de sesión.

Configurar el SRX320 mediante la CLI

En esta sección se supone que está realizando la configuración inicial de un nuevo SRX320 que ejecuta una configuración predeterminada de fábrica. Le mostramos cómo aprovechar los valores predeterminados para obtener rápidamente el SRX320 en Internet y poder administrarse de forma local o remota. Consulte Configuración predeterminada de fábrica del firewall SRX320 para obtener más información sobre los valores predeterminados de fábrica de SRX320.

Sin embargo, para esta sección, asumimos que el proveedor de servicios no admite la asignación de direcciones DHCP en la interfaz WAN. Esto nos permite mostrarle cómo configurar una interfaz y una ruta estática mediante la CLI de Junos.

Para realizar la configuración inicial en el SRX320 mediante la CLI:

  1. Inicie sesión como usuario raíz e inicie la CLI. No se necesita ninguna contraseña cuando se ejecuta el valor predeterminado de fábrica.
    Nota:

    Puede ver la configuración actual, ya sea predeterminada de fábrica o no, mediante el comando del show configuration modo operativo.
  2. Ingrese al modo de configuración.
  3. Elimine la configuración ZTP y establezca la autenticación de usuario raíz.

    La configuración ZTP no es necesaria cuando se realiza la configuración inicial mediante la CLI. Al quitar la configuración de ZTP, se detienen los mensajes de registro periódicos que informan del estado de ZTP en la consola.

    Establezca la contraseña de autenticación raíz mediante un valor de texto sin formato. No puede confirmar el cambio que desactiva ZTP a menos que también establezca la contraseña raíz.

  4. Confirme la configuración para activar los cambios que eliminaron ZTP y configuraron la contraseña raíz.
  5. Configure la interfaz de administración. Dada la configuración predeterminada de fábrica, recomendamos utilizar la interfaz ge-0/0/0 para la administración remota del SRX320 a través de la red WAN. También puede administrar localmente el SRX320 mediante uno de los puertos LAN (ge-0/0/1 a ge-0/0/6).

    Si el proveedor de servicios WAN admite la asignación de direcciones IP DHCP, omita este paso y deje que la configuración predeterminada de fábrica funcione para usted. En este ejemplo, el proveedor de Internet requiere una configuración de dirección IP estática. Debe quitar la configuración predeterminada del cliente DHCP para configurar la dirección IP manualmente.

  6. Si el proveedor de servicios WAN admite la asignación DHCP de una ruta predeterminada, omita este paso y deje que la configuración predeterminada de fábrica trabaje para usted. En este ejemplo, el proveedor de Internet no admite DHCP. Por lo tanto, configure una ruta predeterminada estática para proporcionar la interfaz de administración. Esta ruta se utiliza para llegar a destinos remotos, como un servicio de aprovisionamiento en la nube o la estación de administración remota.
  7. Habilite el protocolo SSH para el acceso remoto. De forma predeterminada, el usuario raíz no puede iniciar sesión de forma remota. También habilita el inicio de sesión raíz a través de SSH en este paso.
  8. Habilite la compatibilidad con host SSH para la interfaz ge-0/0/0. Recuerde que en la configuración predeterminada la interfaz ge-0/0/0 se encuentra en la zona de no confianza y que la zona de no confianza no admite SSH enlazado al host.
  9. Configure el nombre de host.
  10. (Opcional) Configure la resolución de nombres de dominio, la zona horaria y un origen de reloj basado en NTP.
  11. ¡Eso es todo! La configuración inicial se ha completado. Confirme la configuración para activar los cambios en el SRX320.

    La conectividad resultante se muestra a continuación.

    Algunas cosas que debe tener en cuenta acerca de su nueva red de sucursales SRX320:

    • Puede acceder a la interfaz de usuario de SRX CLI o J-Web localmente utilizando la dirección 192.168.1.1. Para acceder al SRX de forma remota, especifique la dirección IP asignada por el proveedor de WAN. Simplemente emita un comando CLI de show interfaces ge-0/0/0 conciso para confirmar la dirección en uso por la interfaz WAN.

    • Los dispositivos conectados a los puertos LAN están configurados para utilizar DHCP. Reciben su configuración de red del SRX. Estos dispositivos obtienen una dirección IP del grupo de direcciones 192.168.1.0/24 y utilizan SRX como puerta de enlace predeterminada.

    • Todos los puertos LAN están en la misma subred con conectividad de capa 2. Se permite todo el tráfico entre todas las interfaces de zona de confianza.

    • Todo el tráfico que se origina en la zona de confianza está permitido en la zona de no confianza. El tráfico de respuesta coincidente se permite de vuelta desde la zona de no confianza a la zona de confianza. El tráfico que se origina en la zona de no confianza se bloquea desde la zona de confianza.

    •El SRX realiza NAT de origen (S-NAT) utilizando la IP de la interfaz WAN para el tráfico enviado a la WAN que se originó desde la zona de confianza.

    •El tráfico asociado con servicios específicos del sistema (HTTPS, DHCP, TFTP y SSH) está permitido desde la zona de no confianza al host local. Todos los servicios y protocolos de host local están permitidos para el tráfico que se origina en la zona de confianza.

Configurar el SRX320 mediante J-Web

Realizar la configuración inicial mediante J-Web

La interfaz de usuario de J-Web admite un asistente de configuración, que puede utilizar para realizar la configuración inicial del dispositivo.

  1. Conecte un extremo del cable Ethernet a cualquiera de los puertos de red numerados del 0/1 al 0/6 del dispositivo.
    Nota:

    Las interfaces ge-0/0/0 y ge-0/0/7 (puertos 0/0 y 0/7) son interfaces WAN. No utilice estos puertos para el procedimiento de configuración inicial.
  2. Conecte el otro extremo del cable Ethernet al dispositivo de administración.
    Figura 2: Conecte el SRX320 a un dispositivo Connect the SRX320 to a Management Device de administración

    El SRX320 funciona como un servidor DHCP y asigna automáticamente una dirección IP a la computadora portátil.

  3. Asegúrese de que el dispositivo de administración adquiera una dirección IP en la red 192.168.1.0/24 del dispositivo.

    Si no se asigna una dirección IP al dispositivo de administración, configure manualmente una dirección IP en la red 192.168.1.0/24.

    Nota:

    No asigne la dirección IP 192.168.1.1 al dispositivo de administración, ya que esta dirección IP está asignada al SRX320.
  4. Abra un navegador e introdúzcalo https://192.168.1.1 como URL de destino. Aparecerá la pantalla J-Web. Para obtener información sobre cómo acceder a la interfaz J-Web, consulte Acceso a la interfaz J-Web. Para obtener información sobre el uso de J-Web para realizar la configuración inicial, consulte El asistente de configuración de J-Web.

Administrar SRX320 mediante J-Web

Una vez completada la configuración inicial del dispositivo, puede usar J-Web para realizar la configuración, la administración y la supervisión del estado continuos del dispositivo SRX320.

Para obtener más información, consulte la documentación de SRX J-Web para su lanzamiento en https://www.juniper.net/documentation/product/us/en/j-web-srx-series.

Configurar el dispositivo mediante ZTP con el controlador de servicio de red de Juniper Networks

Nota:

Puede configurar mediante ZTP para Junos OS versión 19.2 y versiones anteriores.

Puede utilizar ZTP para completar la configuración inicial del SRX320 en su red automáticamente, con una intervención mínima.

Network Service Controller es un componente de la plataforma Contrail Service Orchestration de Juniper Networks que simplifica y automatiza el diseño y la implementación de servicios de red personalizados que utilizan un marco abierto.

Para obtener más información, consulte la sección Controlador de servicio de red en la hoja de datos en http://www.juniper.net/assets/us/en/local/pdf/datasheets/1000559-en.pdf.

Para configurar el dispositivo automáticamente mediante ZTP:

Nota:

Para completar el proceso ZTP, asegúrese de que el SRX320 esté conectado a Internet.

  • Si ya tiene el código de autenticación, introdúzcalo en la página web que se muestra.

    Figura 3: Página Authentication Code Page de códigos de autenticación

    Si la autenticación se realiza correctamente, la configuración inicial se aplica y se confirma en el SRX320. Opcionalmente, se instala la imagen más reciente de Junos OS en el SRX320 antes de aplicar la configuración inicial.

  • Si no tiene el código de autenticación, puede utilizar el asistente de instalación de J-Web para configurar el SRX320. Haga clic en Saltar a J-Web y configure el SRX320 mediante J-Web.

Documentación relacionada