Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurar redes para firewalls de la serie SRX

Las redes son las fuentes de la solicitud en su diseño de Garantía de WAN de Juniper. En el firewall de la serie SRX de Juniper®, las redes crean libretas de direcciones que se usan como origen para las políticas de seguridad y las políticas de enrutamiento avanzado basado en políticas (APBR).

Las redes permiten definir grupos de usuarios. En un diseño WAN, debe identificar las fuentes que acceden a sus aplicaciones a través del segmento LAN y configurar los usuarios. Los usuarios son direcciones de origen, que puede usar más adelante en las directivas de la aplicación.

Una vez que haya creado redes en el portal de la nube de Juniper Mist™, puede usar redes de toda la organización en el portal. El diseño de garantía de WAN usa redes como origen en la directiva de aplicación.

Para configurar redes:

  1. En el portal de la nube de Juniper Mist, haga clic en Organización > WAN > Networks.
    Aparecerá una lista de redes existentes, si las hubiera.
  2. Haga clic en Agregar redes en la esquina superior derecha.
    El Agregar red aparecerá la ventana. Cuadro 1 resume las opciones que puede definir en una red.
    Tabla 1: Opciones de red
    Descripción de los campos
    Nombre Escriba un nombre único para la red. El nombre puede contener caracteres alfanuméricos, guiones bajos y guiones, y debe tener menos de 32 caracteres.
    Dirección IP de subred Introduzca la dirección IP de la red. Puede usar valores absolutos (ejemplo: 192.0.2.0) o variables (ejemplo:{{SPOKE_LAN1_PFX}}.0 ).
    Longitud del prefijo Introduzca la longitud del prefijo de dirección, del 0 al 32. También puede utilizar variables para la longitud del prefijo. Ejemplo: {{PFX1}}
    VLAN ID

    (Opcional) Introduzca el ID de VLAN asociado a la red.

    Si su dispositivo utiliza una interfaz sin etiquetar, debe usar 1 como ID de VLAN en lugar de la variable.
    Prefijo de grupo NAT de origen

    (Opcional) Introduzca el prefijo IPv4 para NAT de origen. NAT de origen traduce la dirección IP de origen del tráfico (que es una dirección IP privada) a una dirección IP pública.
    Acceso a la nube de Mist

    Marque la opción para permitir que los servicios de los firewalls de la serie SRX accedan a la nube de Juniper Mist.

    Anúnciese en la superposición

    Marque la opción para anunciar la red a los dispositivos centrales a través de los túneles superpuestos. Al seleccionar esta opción, el sistema muestra las siguientes opciones adicionales para la publicidad:

    • Anunciar a otros radios: red para anunciar el prefijo de red a otros radios (opción predeterminada).

      Si desea que la red anuncie el prefijo solo para concentradores (no para otros radios), desactive la opción predeterminada.

    • Anúnciese a vecino BGP de LAN de concentrador: red para anunciar el prefijo de red a cualquier vecino de BGP de LAN en el concentrador (opción predeterminada). Si no desea hacer publicidad, desactive la opción predeterminada.
    • Anúnciese a vecino OSPF de LAN de concentrador (solo SRX): red para anunciar el prefijo de red a cualquier vecino de OSPF de LAN en el concentrador (opción predeterminada). Si no desea hacer publicidad, desactive la opción predeterminada.
    • Anular prefijo para anunciar: habilite esta opción cuando el prefijo para anunciar en los concentradores no sea la red original, sino un prefijo diferente. Esto se usa normalmente cuando se habilitan las opciones de NAT. Cuando seleccione esta opción, introduzca la dirección IP y la longitud del prefijo.

    El portal también muestra las siguientes opciones de resumen de rutas:

    • Resumen de superposición de concentrador: permite que la red resuma el prefijo de red anunciado en la superposición. Por ejemplo: el portal de Juniper Mist puede resumir 192.168.1.0/24 a 192.168.0.0/16. Esta función limita el número de actualizaciones de BGP que recibe un hub desde cada radio y que el hub envía de vuelta a todos los demás radios.
    • Resumen de BGP de LAN Hub: permite que la red resuma el prefijo de red anunciado para el vecino de BGP de LAN. Por ejemplo: el portal de Juniper Mist puede resumir 192.168.1.0/24 a 192.168.0.0/16.
    • Resumen de OSPF de Hub LAN: permite que la red resuma el prefijo de red anunciado para el vecino de OSPF de LAN. Por ejemplo: el portal de Juniper Mist puede resumir 192.168.1.0/24 a 192.168.0.0/16.
    • Resumen de rutas: resume las rutas locales hacia la superposición. Puede especificar las direcciones IP y la longitud del prefijo de las rutas resumidas. Para los enrutadores de Session Smart, admite el resumen cuando la red está conectada únicamente al radio.

    Las redes no están conectadas directamente (solo SSR)

    Seleccione las redes que no son redes conectadas directamente y que llegan a esta red asignada a una LAN.
    Usuarios

    (Opcional) Redes o usuarios adicionales. Ejemplo: redes remotas o usuarios conectados a la red principal.

    Haga clic en la opción Agregar usuario e introduzca el nombre y el prefijo IP del usuario adicional.
    NAT estática

    (Opcional) Realice una asignación estática individual de la dirección de origen del host privado original a una dirección de origen pública.

    Haga clic en la opción Agregar NAT estática e ingrese el Nombre , IP interna, IP externa y seleccione la opción para aplicar al tráfico saliente en Underlay o Overlay. Escriba el nombre WAN para los dispositivos de la serie SRX.
    TDR de destino

    (Opcional) Traducir la dirección IP de destino de un paquete.

    Haga clic en la opción Agregar NAT de destino e ingrese el Nombre, Puerto interno de IP, IP externa, Puerto externo y seleccione la opción para aplicar al tráfico saliente en Subyacente o Superposición. Escriba el nombre WAN para los dispositivos de la serie SRX.
  3. Complete la configuración de acuerdo con los detalles disponibles en la Tabla 2.
    En esta tarea, se utilizan las variables para los campos dirección IP de subred y longitud de prefijo para configurar tres redes: SPOKE-LAN1, HUB1-LAN1 y HUB2-LAN1.
    Tabla 2: Ejemplo de configuración de red
    Campos Red 1 Red 2 Red 3
    Nombre LAN1 RADIO-1 HUB1-LAN1 HUB2-LAN1
    Dirección IP de subred {{SPOKE_LAN1_PFX}}.0 {{HUB1_LAN1_PFX}}.0 {{HUB2_LAN1_PFX}}.0
    Longitud del prefijo 24 24 24
    VLAN ID {{SPOKE_LAN1_VLAN}} {{HUB1_LAN1_VLAN}} {{HUB2_LAN1_VLAN}}
    Acceso a la nube de Mist Comprobado Comprobado Comprobado
    Anunciado a través de Superposición Comprobado Comprobado Comprobado
    Usuarios
    • Nombre=Todos
    • Prefijos IP=10.0.0.0/8
    		 - -
    Nota:

    El usuario "Todos" con el prefijo IP 10.0.0.0/8 sirve como comodín para todos los futuros segmentos LAN de la gama. El firewall de la serie SRX en concentradores puede utilizar el mismo nombre de usuario (Todos) y el mismo prefijo IP (10.0.0.8) para identificar todas las interfaces LAN radiales mediante una sola regla.

    Nota:

    Cuando utilice variables, no asuma que el sistema importa automáticamente todos los segmentos LAN del sitio del concentrador. A veces, el sistema puede aplicar una máscara de red Any, que tiene un amplio alcance y puede generar problemas de seguridad.
  4. Haga clic en Agregar.

    La figura 1 muestra la lista de redes recién creadas.

    Figura 1: Resumen Networks Summary de redes

Variables del sitio

Puede configurar las variables de sitio por sitio. Las variables de sitio permiten utilizar la misma definición de red con valores diferentes para cada sitio sin tener que definir varias redes. Las variables tienen el formato {{variable_name}}. Definir redes con variables es una práctica común en la configuración de plantillas de borde de WAN.

Propina: Cuando trabaje en pantallas de configuración, busque los indicadores VAR. Los campos con este indicador permiten variables de sitio.

Los campos con esta etiqueta también muestran las variables coincidentes (si están configuradas) a medida que comienza a escribir una variable específica en ella. Este campo enumera las variables de todos los sitios de la organización.

La lista de variables de toda la organización se puede ver usando GET /api/v1/orgs/:org_id/vars/search?var=*. Esta lista se rellena a medida que se agregan variables en la configuración del sitio.

La figura 2 muestra dos ejemplos de configuración de una red mediante valores absolutos y variables de sitio.

Figura 2: Configuración de redes con valores absolutos y variables Configuring Networks with Absolute Values and Variables

Puede definir las variables de sitio en el panel Configuración del sitio > administrador > organización.

Figura 3: Panel Site Variables Settings Pane de configuración de variables del sitio

Esta tarea utiliza variables para el ID de VLAN y la dirección IP de subred. Las variables de sitio que contienen los tres primeros octetos sustituyen los valores de las variables de dirección IP de subred, como se muestra en la figura 4.

Figura 4: Variables del sitio mostradas en la página Site Variables Displayed on the Site Configuration Page de configuración del sitio

Documentación relacionada