Configuracin Juniper SRX

COMINF.net
Communications, Informatic and Network

2015

Tabla de contenido
1

Configuracin de acceso a internet ..........................................................................................1

Configuracin para una VPN ............................................................................................................3

2.1

Configuracin de la Fase 1 ....................................................................................................3

2.2

Configuracin de la Fase 2 ....................................................................................................7

2.3

Configuracin del POLICY (trust to untrust) ............................................................ 11

2.4

Configuracin del POLICY (untrust to trust) ............................................................ 13

Configuracin de NAT esttica .................................................................................................. 15

Load Balance (Balanceo de carga) ............................................................................................ 18

Redes virtuales (VLAN) .................................................................................................................. 19

5.1

Configuracin para una troncal VLAN ............................................................................. 19

CONFIGURACIN SRX240
1 Configuracin de acceso a internet
Figura 1: Conexin de un SRX210 a Internet

Para asignar una direccin IP y la puerta de enlace a travs de DHCP:

Configurar interfaz ge-0/0/0 para obtener una direccin IP y puerta de enlace
predeterminada de un servidor DHCP:
[edit]
root@host# set interfaces ge-0/0/0 unit 0 family inet dhcp

Para asignar una direccin IP y puerta de enlace de forma manual:

Configurar una ruta esttica por defecto que apunta al router de Internet con la
direccin IP del siguiente salto:
[edit]

Pgina 1 de 18

root@host# set interfaces ge-0/0/0 unit 0 family inet address 1.1.1.1/29

root@host# set routing-options static route 0.0.0.0/0 next-hop 1.1.1.2

Introduzca las direcciones IP de uno o ms servidores de nombres DNS. Si su ISP

no soporta DHCP, entonces es posible que tenga que configurar estticamente.
[edit]
root@host# set system name-server 11.11.11.11

Para habilitar el servicio DNS a los puertos que pertenecen a cierta vlan se
debe ejecutar lo siguiente:
[edit]
root@host# set system services dns dns-proxy interface vlan.0

En el caso de querer asignar el servicio DNS a una interfaz en especfico:

[edit]
root@host# set system services dns dns-proxy interface ge-0/0/1.0

Para asignar un rango de IPs por medio del DHCP debe configurar el dispositivo
SRX de la siguiente manera:
[edit]
root@host# set system services dhcp router 192.168.0.1
[edit]
root@host# set system services dhcp pool 192.168.0.0/24 address-range low 192.168.0.200 high
192.168.0.254
[edit]
root@host# set system services dhcp propagate-settings fe-0/0/0.0

Pgina 2 de 18

2 Configuracin para una VPN

Accedemos por la interfaz web para poder configurar la VPN

2.1 Configuracin de la Fase 1

Ingresamos en la parte de Configure > IPSec VPN > Auto Tunnel > Phase I en la
pestaa Proposal pulsamos el botn Add.

Pgina 3 de 18

Llenamos todos los campos marcados con los mismos atributos del otro firewall.
Pulsamos OK y nos dirigimos a la pestaa IKE Policy.(Name el nombre que usted
desee)

Pulsamos el botn Add.

Pgina 4 de 18

Llenamos los campos marcados y nos dirigimos a la pestaa IKE Policy Options.
(Name el nombre que usted desee)

Ingresamos el Key que deseamos asignar (esta clave tiene que ser bien recordada)
y presionamos OK.

Pgina 5 de 18

En la pestaa Gateway pulsamos el botn Add.

En la pestaa IKE GGateway llenamos los campos marcados teniendo cuidado de NO

seleccionar el combo de IKE Version. Pulsamos OK. (Name el nombre que usted
desee)

Pgina 6 de 18

2.2 Configuracin de la Fase 2

Ingresamos en la parte de Configure > IPSec VPN > Auto Tunnel > Phase II en la
pestaa Proposal pulsamos el botn Add.

Pgina 7 de 18

Llenamos los campos marcados con los datos de fase II que tiene configurado el
otro firewall. Pulsamos el botn OK. (Name el nombre que usted desee)

Dentro de la pestaa IPSec Policy pulsamos el botn Add.

Llenamos los campos marcados y pulsamos el botn OK. No olvidar que se debe
igualar estos campos con los datos del otro firewall.
Pgina 8 de 18

Dentro de la pestaa Auto Key VPN pulsamos el botn Add.

Llenamos los campos marcados y pulsamos OK. (Name el nombre que usted desee)

Pgina 9 de 18

Pgina 10 de 18

2.3 Configuracin del POLICY (trust to untrust)

Ingresamos en la parte de Configure > Security > Policy > Apply Policy y
pulsamos el botn Add.

En el caso de no tener las redes de origen y destino se debe hacer clic en el

link Add new source/destination address.

Pgina 11 de 18

Seleccionamos los campos marcados. Luego nos dirigimos a la pestaa Permit

Action.

En la pestaa de permit action seleccionamos la VPN y le ponemos un nombre.

Pgina 12 de 18

No olvidar llevar el Policy al primero de la lista.

2.4 Configuracin del POLICY (untrust to trust)

Ingresamos en la parte de Configure > Security > Policy > Apply Policy y
pulsamos el botn Add.

Pgina 13 de 18

En la pestaa de
nombre.Pulsamos OK.

permit

action

seleccionamos

la

VPN

le

ponemos

un

No olvidar llevar el Policy al primero de la lista.

Pgina 14 de 18

3 Configuracin de NAT esttica

Para ello accedemos en modo consola al SRX, en el modo edit realizamos lo

siguiente:
[edit]
root@host# set security nat static rule-set rs1 from zone untrust
root@host# set security nat static rule-set rs1 rule r1 match destination-address 1.1.1.200/32
root@host# set security nat static rule-set rs1 rule r1 then static-nat prefix 192.168.1.200/32

Pgina 15 de 18

root@host# set security nat proxy-arp interface ge-0/0/0.0 address 1.1.1.200/32

root@host# set security zones security-zone trust address-book address server-1 1.1.1.200/32
root@host# set security policies from-zone trust to-zone untrust policy permit-all match sourceaddress server-1
root@host# set security policies from-zone trust to-zone untrust policy permit-all match destinationaddress any
root@host# set security policies from-zone trust to-zone untrust policy permit-all match application
any
root@host# set security policies from-zone trust to-zone untrust policy permit-all then permit
root@host# set security policies from-zone untrust to-zone trust policy server-access match
source-address any
root@host# set security policies from-zone untrust to-zone trust policy server-access match
destination-address server-1
root@host# set security policies from-zone untrust to-zone trust policy server-access match
application any
root@host# set security policies from-zone untrust to-zone trust policy server-access then permit

Para el caso de querer restringir distintos tipos de aplicaciones de acceso al

servidor que tiene la NAT esttica se realiza lo siguiente:
En el men Confihgure > Security > Policy > Apply Policy, seleccionamos la
poltica agregada por los comandos anteriores y seleccionamos el botn Edit.

En el recuadro de Aplicaciones trasladamos las aplicaciones que deseamos

permitir al recuadro de la derecha, una vez terminado la seleccin de
aplicaciones pulsamos el boton ok. (Este procedimiento es el mismo para la
Pgina 16 de 18

politica de trust to zone untrust como tambin de la zona untrust to zone

trust).

No debemos olvidar llevar al principio la poltica para que esta se cumpla.

Pgina 17 de 18

Para ello accedemos en modo consola al SRX, en el modo edit realizamos lo

siguiente:

4 Load Balance (Balanceo de carga)

Para ello accedemos en modo consola al SRX, en el modo edit realizamos lo

siguiente:
[edit]
root@host# set policy-options policy-statement LOAD-BALANCE then load-balance per-packet
root@host# set routing-options static route 0.0.0.0/0 next-hop 1.1.1.1
root@host# set routing-options static route 0.0.0.0/0 next-hop 2.2.2.1
root@host# set routing-options forwarding-table export LOAD-BALANCE
root@host# set forwarding-options hash-key family inet layer-3
root@host# set forwarding-options hash-key family inet layer-4

NOTA: se debe
parte del SRX
se recomienda
hasta que se
patch cord al

tener en cuenta que para el uso correcto del balanceo de carga por
los proveedores deben tener la conexin a internet de lo contrario
retirar el patch cord del modem que se encuentre sin internet
vuelva a tener el servicio, posteriormente volver a conectar el
modem.

Pgina 18 de 18

5 Redes virtuales (VLAN)

Para crear una red virtual accedemos en modo consola al SRX, en el modo edit
realizamos lo siguiente:
[edit]
root@host# set vlans vlan-100 vlan-id 100
root@host# set vlans vlan-100 l3-interface vlan.100
root@host# set interfaces vlan unit 100 family inet address 192.168.10.1/24
root@host# set interfaces interface-range interfaces-vlan100 member fe-0/0/2
root@host# set security zones security-zone trust interfaces vlan.100

5.1 Configuracin para una troncal VLAN

Para la configuracin de una troncal se debe ejecutar lo siguiente:
[edit]
root@host# set interfaces unit 0 family Ethernet-switching port-mode trunk
root@host# set interfaces unit 0 family Ethernet-switching vlan members all

Pgina 19 de 18