Prise en Main des équipements JUNIPER

Présentation et prise en main des équipements Juniper

1

Présentation et prise en main des équipements

Juniper

Présenté par:Hermann GBILIMAKO

Sous la direction de:Dr. Youssef Khlil

vendredi 3 juillet 2015

05/03/2023Présentation et prise en main des équipements Juniper

2 Introduction Les entreprise disposant de plusieurs sites situés sur des

points géographiques différents ont toujours ce besoin d’interconnecter leurs sites.

Plusieurs solutions d’interconnexion existent:• Les liaisons spécialisées (Cout élevé, peu flexible, topologie

WAN)• Les réseaux virtuels privés (VPN faible cout, plus flexible,

topologie tunnel sécurisé); Nous traiterons dans les lignes qui suivent de la mise en

place de la seconde solution.


3 Plan

I. Présentation de JuniperII.Prise en main des équipements III. Configuration d’un VPN nomadeConclusion


4 I. Présentation de JuniperJuniper a été fondée par Pradeep Sindhu, Dennis

Ferguson, et Bjorn Liencres en février 1996 en Californie.

C’est une société spécialisée en équipements de télécommunication. Elle produit des solutions de réseau et de sécurité.

En partenariat avec Ericsson et Siemens AG, elle fournit des solutions réseau sur IP/MPLS


5 I. Présentation de Juniper

Juniper dispose de plusieurs gammes de produits à savoir:

Produits de sécurité Juniper:

• Firewall (gamme NetScreen - SSG - SRX - ISG);• VPN SSL (gamme SA - Secure Acces, MAG);• Contrôle d'accès au réseau : gamme UAC (Unified

Access Control), MAG;• Détection et prévention d'intrusion (sondes IDP);


6 I. Présentation de JuniperPlates-formes réseaux Juniper :• Routeurs J-Series;• Routeurs M-Series;• Routeurs MX-Series;• Commutateurs E-Series;

Tous ces équipements utilisent Screen OS comme système d’exploitation;

Cependant, Juniper dispose également de l’OS junos pour outil de virtualisation;


7Firewall JUNIPER


8Les concepts de Screen OS

Zone de sécurité:• Le screen OS permet une division logique du réseaux

en différentes zones• Il existe des zones par défaut (trust, untrust, DMZ)• Possibilité de définir de nouvelle zone;Virtual System (VSYS):• Possibilités de configurer plusieurs pare-feu virtuels

sur un même équipement physique


9Les concepts de Screen OS


10 Architecture logique d’un équipement JUNIPER


11 II. Prise en main d’un équipement Juniper

La configuration initiale peut se faire en utilisant deux méthodes:Le port console;L’interface web: http://@ip-équipement

Username=netscreenPassword=netsecreenAdresse ip par défaut: 192.168.1.1

http://@xn--ip-quipement-deb





12 Prise en main via l’interface Web

Nous utiliserons dans la suite un outil virtuel qui est Junos.C’est un outil permettant de virtualiser les firewalls juniper. Pour cela nous devons créer des cartes réseaux sur VMWARE comme indiqué sur la capture ci-dessous

Cliquer sur « Change Settings » pour permettre d’ajouter la carte

Lancez VMWARE puis au niveau de l’onglet « edit », on choisissez « Virtual Network Editor »



Choisir le numéro de la carte

Cliquez sur Add Network

On doit créér tant de carte selon les besoins.Car chaque firewall utilise au moins deux cartes réseaux

Vous remarquerez que d’autres cartes ont été déjà créées.



Affecter les cartes réseaux au firewall Junos que vous avez importé sous VMWARE

Cliquer sur « Apply » pour enregistrer la carte


15 Prise en main via l’interface WebTapez cette commande pour vérifier l’adresse ip des interfaces

Démarrage du firewall. Le login par défaut est « root » et il n’y a pas de mot de passe

On voit que le firewall a une adresse qui par défaut: 192.168.1.1/24


16 Prise en main via l’interface WebL’adresse 192.168.1.1 est attribué par défaut à la première interface du firewall, c’est-à-dire celle qui est sur VMNet1 (Voir page 18). Donc il suffit de mettre une machine cliente sur la carte VMNet1 et lui donner une adresse se trouvant dans le réseau 192.168.1.0/24 comme suit:

Ouvrir le navigateur et taper l’adresse 192.168.1.1 pour accéder à l’interface web du firewall

Affectation de l’adresse à la machine cliente



Choix du type de configuration.On accède à l’interface web initiale du firewall. Cliquer sur « next » pour commencer la configuration



Ajout d’un utilisateurAffectation d’un nom à l’équipement et un mot de passe à « root ». Cliquer sur add pour ajouter un autre utilisateur



Réglage de l’heure et de la dateOn voit que l’utlisateur a été ajouté



Configuration de la topologie et des zones de sécurité

Résumé des paramètres de baseCliquer sur « next » pour continuer



Moyen utilisé pour se connecter à internetChoisir le type de topologie



Affectation d’une adresse ip à l’interface externe du firewall. La passerelle est l’adresse du routeur du FAI

Configuration de la zone internetCliquer Add pour attribuer une adresse ip à l’interface



Cliquer sur « yes » si on veut créér une DMZ mais nous on fait « no » car on en a pas besoin

Choisir le port 1 comme port externet et cocher « Responding to ping »



Attribuer le « port 0 » à la zone interne et une adresse ipOn a aussi la possibilité d’activer le serveur DHCP sur l’interface

Choix du type de topologie à utiliser interne



Configuration de la politique de sécurité inter-zone

Résumé de la configuration de la topologie



Configuration de la politique de communication inter-zone. Cliquer sur « Edit »

Activation de la licence



Choix des méthodes d’administration du firewallVérifier que la communication entre

les Zone se fait dans les deux sens

Par la suite, on vous demandera de configurer un vpn nomade. Cliquer sur « No » car on en a pas besoin pour l’instant



Configuration de la translation d’adresse

Résumé de la configuration de la politique de sécurité



Résumé de la configuration de la translationChoix du réseau source à translater



Cliquer « Apply Settings » pour enregister la configurationRésumé de toutes les configurations



Fin de l’enregistrement de la configuration.Enregistrement de la configuration en

cours



Accès à l’interface de connexion. Entrer le nom d’utilisateur créé précédemment et son mot de passer pour vous connecter

Une fois la configuration initiale finie, il suffit de mettre la machine cliente dans le réseau 192.168.10.0/24 et d’accéder au firewall comme suit



Accès à l’interface d’administration


34 Avant de passer à la prise en main via le console, voici quelques commandes de base

cli :permet de passer en mode de fonctionnement routeur;configure : permet de passer en mode de configuration;set system root-authentication plaintext-password : permet

de donner un mot de passe à l’utilisateur root;set system login user hermann class super-user

authentication plain-text-password : permet de créer un utilisateur;

set system host-name dakar : permet de changer le nom du firewall;


35set system services web-management http : permet d’activer

l’administration du routeur via le http;set interfaces ge-0/0/0 unit 0 family inet address

192.168.0.2/24 : permet de donner une adresse à une interface;

set routing-options static route 0.0.0.0/0 next-hop 192.168.0.1: Ajout d’une route par défaut;

Set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 : routage ospf;commit check : permet la vérification des configurations;commit : permet d’enregistrer les configurations;

set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic protocols ospf


36Prise en main via la console

Permet de passer en mode de config routeur ou firewall

Passer en mode de configuration

Attribuer un mot de passe à l’utilisateur root

Nommer l’équipement


37

Création d’un utilisateur

Attribution d’adresse à une interface

Activer le management de l’équipement via http

Prise en main via la console


38

Vérification de la configuration

Enregistrement de la configuration

Après l’enregistrement, il faut aller sur l’interface web configurer les politiques de communication inter-zone (policy).

Prise en main via la console


39Configuration de la politique de communication interzone

Accès à l’interface web de l’équipement


40

Cliquer sur Apply Policy

Cliquer sur add pour ajouter un policy

Configuration de la politique de communication interzone


41

Création d’une policy entre la zone internet et internal

Configuration de la politique de communication interzone


42 III. Mise en place du VPN site to site


43 Avant la configuration du VPN, configurez d’abord les firewalls JUNIPER1 et

JUNIPER2 selon l’une des méthodes de configuration présentées ci-haut.

Une fois la configuration des firewalls réalisée, nous allons maintenant configurer les routeurs

Nous utiliserons un routage OSPF entre les routeurs et une route statique vers les réseaux d’extrémité que nous allons distribuer via OSPF

Attribuer une adresse ip à l’interface F0/0 du routeur R1

Attribuer une adresse IP à l’interface série de R1


44 Attribution d’une adresse à l’interface f0/0 de R2

Attribution d’une adresse à l’interface série de R2

Configuration d’une route statique vers le réseaux 192.168.10.0/24 à partir de R1

Configuration d’une route statique vers le réseaux 192.168.20.0/24 à partir de R2


45Configuration de OSPF sur R1 avec la redistribution des routes statiques

Configuration de OSPF avec la redistribution des routes statique au niveau de R2


46

Vérification de la table de routage ospf au niveau de R1. On voit que R1 a réçu la route statique annoncéé sur R2

Vérification de la table de routage ospf au niveau de R2. On voit que R2 a réçu la route statique annoncéé sur R1

Accéder donc à l’interface Web du premier firewall pour la configuration du VPN


47Se connecter via l’interface Web du firewall pour commencer la configuration du VPN


48 III. Mise en place du VPN site to site

Cliquer sur Configure VPN pour lancer la configuration Choix du type de VPN à configurer

Au niveau de JUNIPER1


49

Renseigner:• le nom du vpn; • la zone du réseau

local et son adresse ip;

• l’interface du routeur qui est relier au réseau WAN;

III. Mise en place du VPN site to site


50

Indiquer l’adresse ip public de l’interface du routeur distant et l’adresse du réseau local distant

Choix de la politique de sécurité



51

Choix du type de trafic pouvant transiter sur le réseau;



52

Cliquer sur Commit pour enregistrer la configuration



53 III. Mise en place du VPN

De la même manière, on doit aussi configurer le VPN au niveau de l’équipement JUNIPER2 en précisant l’adresse WAN de JUNIPER1 et le réseau distant;


54 TEST Ecoute du trafic entre JUNIPER1 et JUNIPER2 avec wiresharck


55 IV. VPN NOMADE


56 IV. VPN NOMADEChoix du type de VPN


57 IV. VPN NOMADEIndiquer l’adresse du réseau local à protéger

Et l’interface connecté au WAN


58 IV. VPN NOMADE

Choix de la politique de sécurité


59 IV. VPN NOMADE

Création des utilisateurs Et de la plage d’adresse à attribuer aux hotes


60 IV. VPN NOMADE

Résumé des paramètres

Cliquer sur commit pour enregister la configuration


61 IV. VPN NOMADEIci on doit configurer le client VPN. Le client est junos_pulse

Cliquer su le signe + pour ajouter une nouvelle connexion

Renseigner le nom de la connexion et l’adresse WAN du firewall


62 IV. VPN NOMADE

Avertissement de sécurité sur le certificat

Cliquer sur connexion

Se connecter en utilisant un des utilisateurs crée


63

Prise en Main des équipements JUNIPER

Technology

Transcript of Prise en Main des équipements JUNIPER