Comprendre la configuration par défaut de vSRX
Les périphériques IBM Cloud® Juniper vSRX sont livrés avec la configuration par défaut ci-dessous :
- SSH et Ping sont autorisés sur les adresses IP de passerelle publique et privée vSRX
- L'accès à l'interface utilisateur de gestion Web de Juniper (J-Web) est autorisé sur le port HTTPS 8443 pour les adresses IP de passerelle publique et privée
- Un ensemble d'adresses
SERVICEest prédéfini pour les réseaux de service IBM - Deux zones de sécurité,
SL-PRIVATEetSL-PUBLIC, sont prédéfinies - L'accès depuis la zone
SL-PRIVATEà tous les services est fourni par IBM et l'ensemble d'adressesSERVICEest autorisé - Tous les autres accès réseau sont refusés
Deux groupes de redondance sont configurés. Le tableau ci-dessous illustre ces groupes de redondance :
| Groupe de redondance | Fonction du groupe de redondance |
|---|---|
| redundancy-group 0 | Groupe de redondance pour le pan de contrôle |
| redundancy-group 1 | Groupe de redondance pour le plan de données |
La priorité au sein du groupe de redondance détermine quel noeud vSRX est actif. Par défaut, le noeud 0 est actif pour le plan de contrôle et le plan de données.
Configuration par défaut d'un exemple de passerelle vSRX 1G autonome SR-IOV publique et privée
Les exemples de code suivants proviennent de la dernière version du code.
## Last commit: 2020-04-28 00:32:27 UTC by root
version 18.4R1-S1.3;
system {
login {
class security {
permissions [ security-control view-configuration ];
}
user admin {
uid 2000;
class super-user;
authentication {
encrypted-password "$6$5gPuIk9u$JPzyjh5zVz0tf4P3.POWv4UWGDfowbzirGmnpiBUW0tDWLf1ZfvP.YwN88Mc8.cyOIvgDMrksbCYsmZxf4f3p."; ## SECRET-DATA
}
}
}
root-authentication {
encrypted-password "$6$q9tQzuqT$/TFQLkHK.woO.Qv9YcZ1nnJqZqhLBqXeg7L3xkUWXVmq8fn4N7mClTpckoCKhombXucxU6StRKOiHTDUeTdd91"; ## SECRET-DATA
}
services {
ssh {
root-login allow;
}
netconf {
ssh {
port 830;
}
}
web-management {
http {
interface fxp0.0;
}
https {
port 8443;
system-generated-certificate;
interface [ fxp0.0 ae0.0 ae1.0 ge-0/0/0.0 ge-0/0/1.0 ];
}
session {
session-limit 100;
}
}
}
host-name asloma-swap-18-1g-sa0-vsrx-vSRX;
name-server {
10.0.80.11;
10.0.80.12;
}
syslog {
user * {
any emergency;
}
file messages {
any any;
authorization info;
}
file interactive-commands {
interactive-commands any;
}
}
ntp {
server 10.0.77.54;
}
}
chassis {
aggregated-devices {
ethernet {
device-count 10;
}
}
}
security {
log {
mode stream;
report;
}
address-book {
global {
address SL8 10.1.192.0/20;
address SL9 10.1.160.0/20;
address SL4 10.2.128.0/20;
address SL5 10.1.176.0/20;
address SL6 10.1.64.0/19;
address SL7 10.1.96.0/19;
address SL1 10.0.64.0/19;
address SL2 10.1.128.0/19;
address SL3 10.0.86.0/24;
address SL20 10.3.80.0/20;
address SL18 10.2.176.0/20;
address SL19 10.3.64.0/20;
address SL16 10.2.144.0/20;
address SL17 10.2.48.0/20;
address SL14 10.1.208.0/20;
address SL15 10.2.80.0/20;
address SL12 10.2.112.0/20;
address SL13 10.2.160.0/20;
address SL10 10.2.32.0/20;
address SL11 10.2.64.0/20;
address SL_PRIV_MGMT 10.188.111.70/32;
address SL_PUB_MGMT 169.60.101.121/32;
address-set SERVICE {
address SL8;
address SL9;
address SL4;
address SL5;
address SL6;
address SL7;
address SL1;
address SL2;
address SL3;
address SL20;
address SL18;
address SL19;
address SL16;
address SL17;
address SL14;
address SL15;
address SL12;
address SL13;
address SL10;
address SL11;
}
}
}
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
queue-size 2000; ## Warning: 'queue-size' is deprecated
timeout 20;
}
land;
}
}
}
policies {
from-zone SL-PRIVATE to-zone SL-PRIVATE {
policy Allow_Management {
match {
source-address any;
destination-address [ SL_PRIV_MGMT SERVICE ];
application any;
}
then {
permit;
}
}
}
from-zone SL-PUBLIC to-zone SL-PUBLIC {
policy Allow_Management {
match {
source-address any;
destination-address SL_PUB_MGMT;
application [ junos-ssh junos-https junos-http junos-icmp-ping ];
}
then {
permit;
}
}
}
}
zones {
security-zone SL-PRIVATE {
interfaces {
ae0.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone SL-PUBLIC {
interfaces {
ae1.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
}
}
interfaces {
ge-0/0/0 {
ether-options {
802.3ad ae0;
}
}
ge-0/0/1 {
ether-options {
802.3ad ae1;
}
}
ge-0/0/2 {
ether-options {
802.3ad ae0;
}
}
ge-0/0/3 {
ether-options {
802.3ad ae1;
}
}
ae0 {
description PRIVATE_VLANs;
flexible-vlan-tagging;
native-vlan-id 925;
unit 0 {
vlan-id 925;
family inet {
address 10.188.111.70/26;
}
}
}
ae1 {
description PUBLIC_VLAN;
flexible-vlan-tagging;
native-vlan-id 985;
unit 0 {
vlan-id 985;
family inet {
address 169.60.101.121/28;
}
family inet6 {
address 2607:f0d0:3901:0063:0000:0000:0000:000f/64;
}
}
}
fxp0 {
unit 0;
}
lo0 {
unit 0 {
family inet {
filter {
input PROTECT-IN;
}
address 127.0.0.1/32;
}
}
}
}
firewall {
filter PROTECT-IN {
term PING {
from {
destination-address {
169.60.101.121/32;
10.188.111.70/32;
}
protocol icmp;
}
then accept;
}
term SSH {
from {
destination-address {
169.60.101.121/32;
10.188.111.70/32;
}
protocol tcp;
destination-port ssh;
}
then accept;
}
term WEB {
from {
destination-address {
169.60.101.121/32;
10.188.111.70/32;
}
protocol tcp;
port 8443;
}
then accept;
}
term DNS {
from {
protocol udp;
source-port 53;
}
then accept;
}
}
}
routing-options {
static {
route 166.9.0.0/16 next-hop 10.188.111.65;
route 0.0.0.0/0 next-hop 169.60.101.113;
route 161.26.0.0/16 next-hop 10.188.111.65;
route 10.0.0.0/8 next-hop 10.188.111.65;
}
}
Le tableau ci-dessous illustre les définitions d'interface réseau pour la configuration précédente :
| Nom de l'interface | Fonction de l'interface |
|---|---|
| ge-0/0/0 | Interface Gigabit Ethernet pour VLAN de transit SL-PRIVATE |
| ge-0/0/1 | Interface Gigabit Ethernet pour VLAN de transit SL-PUBLIC |
| ge-0/0/2 | Interface Gigabit Ethernet pour VLAN de transit SL-PRIVATE |
| ge-0/0/3 | Interface Gigabit Ethernet pour VLAN de transit SL-PUBLIC |
| ae0.0 | Interface Ethernet agrégée |
| ae1.0 | Interface Ethernet agrégée |
| fxp0 | Interface de gestion |
| lo0 | interface de bouclage |
Configuration par défaut d'un exemple de passerelle vSRX 10G haute disponibilité SR-IOV publique et privée
## Last commit: 2020-04-21 17:22:34 UTC by root
version 18.4R1-S1.3;
groups {
node0 {
system {
host-name asloma-tc1b-18-10g-pubpriv-dual-ha1-vsrx-vSRX-Node0;
}
}
node1 {
system {
host-name asloma-tc1b-18-10g-pubpriv-dual-ha1-vsrx-vSRX-Node1;
}
}
}
apply-groups "${node}";
system {
login {
class security {
permissions [ security-control view-configuration ];
}
user admin {
uid 2000;
class super-user;
authentication {
encrypted-password "xxx"; ## SECRET-DATA
}
}
}
root-authentication {
encrypted-password "xxx”;## SECRET-DATA
}
services {
ssh {
root-login allow;
}
netconf {
ssh {
port 830;
}
}
web-management {
http {
interface fxp0.0;
}
https {
port 8443;
system-generated-certificate;
interface [ fxp0.0 reth1.0 reth0.0 ];
}
session {
session-limit 100;
}
}
}
name-server {
10.0.80.11;
10.0.80.12;
}
syslog {
user * {
any emergency;
}
file messages {
any any;
authorization info;
}
file interactive-commands {
interactive-commands any;
}
}
ntp {
server 10.0.77.54;
}
}
chassis {
cluster {
control-link-recovery;
reth-count 4;
heartbeat-interval 2000;
heartbeat-threshold 8;
redundancy-group 0 {
node 0 priority 100;
node 1 priority 1;
}
redundancy-group 1 {
node 0 priority 100;
node 1 priority 1;
inactive: preempt;
interface-monitor {
ge-0/0/3 weight 130;
ge-0/0/4 weight 130;
ge-7/0/3 weight 130;
ge-7/0/4 weight 130;
}
}
}
}
security {
log {
mode stream;
report;
}
address-book {
global {
address SL8 10.1.192.0/20;
address SL9 10.1.160.0/20;
address SL4 10.2.128.0/20;
address SL5 10.1.176.0/20;
address SL6 10.1.64.0/19;
address SL7 10.1.96.0/19;
address SL1 10.0.64.0/19;
address SL2 10.1.128.0/19;
address SL3 10.0.86.0/24;
address SL20 10.3.80.0/20;
address SL18 10.2.176.0/20;
address SL19 10.3.64.0/20;
address SL16 10.2.144.0/20;
address SL17 10.2.48.0/20;
address SL14 10.1.208.0/20;
address SL15 10.2.80.0/20;
address SL12 10.2.112.0/20;
address SL13 10.2.160.0/20;
address SL10 10.2.32.0/20;
address SL11 10.2.64.0/20;
address SL_PRIV_MGMT 10.87.40.36/32;
address SL_PUB_MGMT 169.62.79.21/32;
address-set SERVICE {
address SL8;
address SL9;
address SL4;
address SL5;
address SL6;
address SL7;
address SL1;
address SL2;
address SL3;
address SL20;
address SL18;
address SL19;
address SL16;
address SL17;
address SL14;
address SL15;
address SL12;
address SL13;
address SL10;
address SL11;
}
}
}
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
queue-size 2000; ## Warning: 'queue-size' is deprecated
timeout 20;
}
land;
}
}
}
policies {
from-zone SL-PRIVATE to-zone SL-PRIVATE {
policy Allow_Management {
match {
source-address any;
destination-address [ SL_PRIV_MGMT SERVICE ];
application any;
}
then {
permit;
}
}
}
from-zone SL-PUBLIC to-zone SL-PUBLIC {
policy Allow_Management {
match {
source-address any;
destination-address SL_PUB_MGMT;
application [ junos-ssh junos-https junos-http junos-icmp-ping ];
}
then {
permit;
}
}
}
}
zones {
security-zone SL-PRIVATE {
interfaces {
reth0.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
security-zone SL-PUBLIC {
interfaces {
reth1.0 {
host-inbound-traffic {
system-services {
all;
}
}
}
}
}
}
}
interfaces {
ge-0/0/1 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/2 {
gigether-options {
redundant-parent reth0;
}
}
ge-0/0/3 {
gigether-options {
redundant-parent reth1;
}
}
ge-0/0/4 {
gigether-options {
redundant-parent reth1;
}
}
ge-0/0/5 {
gigether-options {
redundant-parent reth2;
}
}
ge-0/0/6 {
gigether-options {
redundant-parent reth2;
}
}
ge-0/0/7 {
gigether-options {
redundant-parent reth3;
}
}
ge-0/0/8 {
gigether-options {
redundant-parent reth3;
}
}
ge-7/0/1 {
gigether-options {
redundant-parent reth0;
}
}
ge-7/0/2 {
gigether-options {
redundant-parent reth0;
}
}
ge-7/0/3 {
gigether-options {
redundant-parent reth1;
}
}
ge-7/0/4 {
gigether-options {
redundant-parent reth1;
}
}
ge-7/0/5 {
gigether-options {
redundant-parent reth2;
}
}
ge-7/0/6 {
gigether-options {
redundant-parent reth2;
}
}
ge-7/0/7 {
gigether-options {
redundant-parent reth3;
}
}
ge-7/0/8 {
gigether-options {
redundant-parent reth3;
}
}
fab0 {
fabric-options {
member-interfaces {
ge-0/0/0;
ge-0/0/9;
}
}
}
fab1 {
fabric-options {
member-interfaces {
ge-7/0/0;
ge-7/0/9;
}
}
}
lo0 {
unit 0 {
family inet {
filter {
input PROTECT-IN;
}
address 127.0.0.1/32;
}
}
}
reth0 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
description "SL PRIVATE VLAN INTERFACE";
family inet {
address 10.87.40.36/26;
}
}
}
reth1 {
redundant-ether-options {
redundancy-group 1;
}
unit 0 {
description "SL PUBLIC VLAN INTERFACE";
family inet {
address 169.62.79.21/29;
}
family inet6 {
address 2607:f0d0:2901:002e:0000:0000:0000:0003/64;
}
}
}
reth2 {
vlan-tagging;
redundant-ether-options {
redundancy-group 1;
}
}
reth3 {
vlan-tagging;
redundant-ether-options {
redundancy-group 1;
}
}
}
firewall {
filter PROTECT-IN {
term PING {
from {
destination-address {
169.62.79.21/32;
10.87.40.36/32;
}
protocol icmp;
}
then accept;
}
term SSH {
from {
destination-address {
169.62.79.21/32;
10.87.40.36/32;
}
protocol tcp;
destination-port ssh;
}
then accept;
}
term WEB {
from {
destination-address {
169.62.79.21/32;
10.87.40.36/32;
}
protocol tcp;
port 8443;
}
then accept;
}
term DNS {
from {
protocol udp;
source-port 53;
}
then accept;
}
}
}
routing-options {
static {
route 166.9.0.0/16 next-hop 10.87.40.1;
route 0.0.0.0/0 next-hop 169.62.79.17;
route 161.26.0.0/16 next-hop 10.87.40.1;
route 10.0.0.0/8 next-hop 10.87.40.1;
}
}
Les informations du tableau suivant représentent la configuration ci-dessus :
| Nom de l'interface | Fonction de l'interface | Interface redondante |
|---|---|---|
| ge-0/0/1 / ge-0/0/2 | Interface Gigabit Ethernet pour VLAN de transit SL-PRIVATE sur le noeud 0 | reth0 |
| ge-0/0/3 / ge-0/0/4 | Interface Gigabit Ethernet pour VLAN de transit SL-PUBLIC sur le noeud 0 | reth1 |
| ge-0/0/5 / ge-0/0/6 | Interface Gigabit Ethernet pour VLAN client privé sur le nœud 0 | reth2 |
| ge-0/0/7 / ge-0/0/8 | Interface Gigabit Ethernet pour VLAN client public sur le nœud 0 | reth3 |
| ge-7/0/1 / ge-7/0/2 | Interface Gigabit Ethernet pour VLAN de transit SL-PRIVATE sur le noeud 1 | reth0 |
| ge-7/0/3 / ge-7/0/4 | Interface Gigabit Ethernet pour VLAN de transit SL-PUBLIC sur le noeud 1 | reth1 |
| ge-7/0/5 / ge-7/0/6 | Interface Gigabit Ethernet pour les VLAN client privés sur le nœud 1 | reth2 |
| ge-7/0/7 / ge-7/0/8 | Interface Gigabit Ethernet pour les VLAN client publics sur le nœud 1 | reth3 |
| fab0 | La liaison de matrice du cluster de châssis utilise ge-0/0/0 et ge-0/0/9 | |
| fab1 | La liaison de matrice du cluster de châssis utilise ge-7/0/0 et ge-7/0/9 | |
| fxp0 | Interface de gestion | |
| lo0 | interface de bouclage |
Configurations de l'interface
L'ancienne architecture de ces configurations s'appuyait sur la passerelle Linux de l'hyperviseur hôte Ubuntu. Depuis, IBM est passé à une nouvelle architecture pour ses passerelles qui exploite SR-IOV sur l'hôte. Cela a entraîné dans de nombreux cas une modification du mappage de l'interface de la configuration vSRX. Les différences dans la configuration de l'interface sont également influencées par le fait que le vSRX soit :
- de 10G ou 1G
- autonome ou haute disponibilité
- public et privé, ou uniquement privé
- et de la version du vSRX :
- Tous les vSRX basés sur la version 15.1 utilisent l'ancienne architecture
- Certains vSRX basés sur la version 18.4 utilisent également l'architecture existante
L'ancienne architecture et l'architecture actuelle sont décrites en détail dans les sections ci-dessous.
Interfaces vSRX haute disponibilité (architecture actuelle)
| Interface | 10G Pub+Priv | 10G Priv uniq | 1G Pub+Priv | 1G Priv uniq |
|---|---|---|---|---|
| ge-0/0/0 | fab0 | fab0 | fab0 | fab0 |
| ge-0/0/1 | reth0 | reth0 | reth0 | reth0 |
| ge-0/0/2 | reth0 | reth0 | reth0 | reth0 |
| ge-0/0/3 | reth1 | reth2 | reth1 | reth2 |
| ge-0/0/4 | reth1 | reth2 | reth1 | reth2 |
| ge-0/0/5 | reth2 | fab0 | reth2 | fab0 |
| ge-0/0/6 | reth2 | Inexistant | reth2 | Inexistant |
| ge-0/0/7 | reth3 | Inexistant | reth3 | Inexistant |
| ge-0/0/8 | reth3 | Inexistant | reth3 | Inexistant |
| ge-0/0/9 | fab0 | Inexistant | fab0 | Inexistant |
| ge-7/0/0 | fab1 | fab1 | fab1 | fab1 |
| ge-7/0/1 | reth0 | reth0 | reth0 | reth0 |
| ge-7/0/2 | reth0 | reth0 | reth0 | reth0 |
| ge-7/0/3 | reth1 | reth2 | reth1 | reth2 |
| ge-7/0/4 | reth1 | reth2 | reth1 | reth2 |
| ge-7/0/5 | reth2 | fab1 | reth2 | fab1 |
| ge-7/0/6 | reth2 | Inexistant | reth2 | Inexistant |
| ge-7/0/7 | reth3 | Inexistant | reth3 | Inexistant |
| ge-7/0/8 | reth3 | Inexistant | reth3 | Inexistant |
| ge-7/0/9 | fab1 | Inexistant | fab1 | Inexistant |
Interfaces autonomes vSRX (architecture en cours)
| Interface | 10G Pub+Priv | 10G Priv uniq | 1G Pub+Priv | 1G Priv uniq |
|---|---|---|---|---|
| ge-0/0/0 | ae0 | ae0 | ae0 | ae0 |
| ge-0/0/1 | ae1 | ae0 | ae1 | ae0 |
| ge-0/0/2 | ae0 | Inexistant | ae0 | Inexistant |
| ge-0/0/3 | ae1 | Inexistant | ae1 | Inexistant |
Interfaces vSRX haute disponibilité (ancienne architecture)
| Interface | 10G Priv+Pub | 10G Priv uniq | 1G Priv + Pub | 1G Priv uniq |
|---|---|---|---|---|
| ge-0/0/0 | fab0 | fab0 | fab0 | fab0 |
| ge-0/0/1 | reth0 | reth0 | reth0 | reth0 |
| ge-0/0/2 | reth0 | reth0 | reth2 | reth2 |
| ge-0/0/3 | reth1 | reth2 | reth1 | Non utilisé |
| ge-0/0/4 | reth1 | reth2 | reth3 | Non utilisé |
| ge-0/0/5 | reth2 | Non utilisé | Inexistant | Inexistant |
| ge-0/0/6 | reth2 | Non utilisé | Inexistant | Inexistant |
| ge-0/0/7 | reth3 | Non utilisé | Inexistant | Inexistant |
| ge-0/0/8 | reth3 | Non utilisé | Inexistant | Inexistant |
| ge-7/0/0 | fab1 | fab1 | fab1 | fab1 |
| ge-7/0/1 | reth0 | reth0 | reth0 | reth0 |
| ge-7/0/2 | reth0 | reth0 | reth2 | reth2 |
| ge-7/0/3 | reth1 | reth2 | reth1 | Non utilisé |
| ge-7/0/4 | reth1 | reth2 | reth3 | Non utilisé |
| ge-7/0/5 | reth2 | Non utilisé | Inexistant | Inexistant |
| ge-7/0/6 | reth2 | Non utilisé | Inexistant | Inexistant |
| ge-7/0/7 | reth3 | Non utilisé | Inexistant | Inexistant |
| ge-7/0/8 | reth3 | Non utilisé | Inexistant | Inexistant |
Interfaces vSRX autonomes (ancienne architecture)
| Interface | 10G Pub+Priv | 10G Priv uniq | 1G Pub+Priv | 1G Priv uniq |
|---|---|---|---|---|
| ge-0/0/0 | ae0 | ae0 | ge-0/0/0 | ge-0/0/0 |
| ge-0/0/1 | ae1 | ae0 | ge-0/0/1 | Inexistant |
| ge-0/0/2 | ae0 | Inexistant | Inexistant | Inexistant |
| ge-0/0/3 | ae1 | Inexistant | Inexistant | Inexistant |