1. Présenté par:
Hermann GBILIMAKO
Sous la direction de:
Dr. Youssef Khlil
vendredi 3 juillet 2015
Présentation et prise en main des équipements Juniper
1
2. Introduction
Les entreprise disposant de plusieurs sites situés sur des points
géographiques différents ont toujours ce besoin d’interconnecter leurs
sites.
Plusieurs solutions d’interconnexion existent:
• Les liaisons spécialisées (Cout élevé, peu flexible, topologie WAN)
• Les réseaux virtuels privés (VPN faible cout, plus flexible, topologie
tunnel sécurisé);
Nous traiterons dans les lignes qui suivent de la mise en place de la
seconde solution.
12/1/2015Présentation et prise en main des équipements Juniper
2
3. Plan
I. Présentation de Juniper
II.Prise en main des équipements
III. Configuration d’un VPN nomade
Conclusion
12/1/2015Présentation et prise en main des équipements Juniper
3
4. I. Présentation de Juniper
12/1/2015Présentation et prise en main des équipements Juniper
4
Juniper a été fondée par Pradeep Sindhu, Dennis Ferguson, et Bjorn
Liencres en février 1996 en Californie.
C’est une société spécialisée en équipements de télécommunication.
Elle produit des solutions de réseau et de sécurité.
En partenariat avec Ericsson et Siemens AG, elle fournit des
solutions réseau sur IP/MPLS
5. I. Présentation de Juniper
12/1/2015Présentation et prise en main des équipements Juniper
5
Juniper dispose de plusieurs gammes de produits à savoir:
Produits de sécurité Juniper:
• Firewall (gamme NetScreen - SSG - SRX - ISG);
• VPN SSL (gamme SA - Secure Acces, MAG);
• Contrôle d'accès au réseau : gamme UAC (Unified Access Control),
MAG;
• Détection et prévention d'intrusion (sondes IDP);
6. I. Présentation de Juniper
12/1/2015Présentation et prise en main des équipements Juniper
6
Plates-formes réseaux Juniper :
• Routeurs J-Series;
• Routeurs M-Series;
• Routeurs MX-Series;
• Commutateurs E-Series;
Tous ces équipements utilisent Screen OS comme système
d’exploitation;
Cependant, Juniper dispose également de l’OS junos pour outil de
virtualisation;
8. Les concepts de Screen OS
Zone de sécurité:
• Le screen OS permet une division logique du réseaux en
différentes zones
• Il existe des zones par défaut (trust, untrust, DMZ)
• Possibilité de définir de nouvelle zone;
Virtual System (VSYS):
• Possibilités de configurer plusieurs pare-feu virtuels sur un même
équipement physique
12/1/2015Présentation et prise en main des équipements Juniper
8
9. Les concepts de Screen OS
12/1/2015Présentation et prise en main des équipements Juniper
9
10. Architecture logique d’un équipement JUNIPER
12/1/2015Présentation et prise en main des équipements Juniper
10
11. II. Prise en main d’un équipement Juniper
La configuration initiale peut se faire en utilisant deux
méthodes:
Le port console;
L’interface web:
http://@ip-équipement
Username=netscreen
Password=netsecreen
Adresse ip par défaut: 192.168.1.1
12/1/2015Présentation et prise en main des équipements Juniper
11
12. Prise en main via l’interface Web
Nous utiliserons dans la suite un outil virtuel qui est Junos.
C’est un outil permettant de virtualiser les firewalls juniper.
Pour cela nous devons créer des cartes réseaux sur VMWARE comme indiqué sur la capture ci-
dessous
12/1/2015Présentation et prise en main des équipements Juniper
12
Cliquer sur « Change Settings » pour
permettre d’ajouter la carte
Lancez VMWARE puis au niveau de
l’onglet « edit », on choisissez « Virtual
Network Editor »
13. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
13
Choisir le numéro de la carte
Cliquez sur Add Network
On doit créér tant de carte selon les besoins.
Car chaque firewall utilise au moins deux cartes
réseaux
Vous remarquerez que d’autres cartes ont été déjà
créées.
14. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
14
Affecter les cartes réseaux au firewall Junos
que vous avez importé sous VMWARE
Cliquer sur « Apply » pour enregistrer la
carte
15. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
15
Tapez cette commande
pour vérifier l’adresse
ip des interfaces
Démarrage du firewall. Le login
par défaut est « root » et il n’y a
pas de mot de passe
On voit que le firewall a une adresse qui par défaut: 192.168.1.1/24
16. Prise en main via l’interface Web
L’adresse 192.168.1.1 est attribué par défaut à la première interface du firewall, c’est-à-dire celle
qui est sur VMNet1 (Voir page 18). Donc il suffit de mettre une machine cliente sur la carte
VMNet1 et lui donner une adresse se trouvant dans le réseau 192.168.1.0/24 comme suit:
12/1/2015Présentation et prise en main des équipements Juniper
16
Ouvrir le navigateur et taper l’adresse
192.168.1.1 pour accéder à l’interface
web du firewall
Affectation de l’adresse à la
machine cliente
17. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
17
Choix du type de configuration.On accède à l’interface web initiale du
firewall. Cliquer sur « next » pour
commencer la configuration
18. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
18
Ajout d’un utilisateur
Affectation d’un nom à l’équipement et
un mot de passe à « root ». Cliquer sur
add pour ajouter un autre utilisateur
19. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
19
Réglage de l’heure et de la dateOn voit que l’utlisateur a été ajouté
20. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
20
Configuration de la topologie et des
zones de sécurité
Résumé des paramètres de base
Cliquer sur « next » pour continuer
21. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
21
Moyen utilisé pour se connecter à
internet
Choisir le type de topologie
22. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
22
Affectation d’une adresse ip à
l’interface externe du firewall. La
passerelle est l’adresse du routeur du
FAI
Configuration de la zone internet
Cliquer Add pour attribuer une adresse ip à
l’interface
23. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
23
Cliquer sur « yes » si on veut créér une
DMZ mais nous on fait « no » car on en
a pas besoin
Choisir le port 1 comme port externet et
cocher « Responding to ping »
24. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
24
Attribuer le « port 0 » à la zone
interne et une adresse ip
On a aussi la possibilité d’activer le
serveur DHCP sur l’interface
Choix du type de topologie à utiliser
interne
25. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
25
Configuration de la politique de
sécurité inter-zone
Résumé de la configuration de la topologie
26. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
26
Configuration de la politique de
communication inter-zone. Cliquer
sur « Edit »
Activation de la licence
27. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
27
Choix des méthodes d’administration
du firewallVérifier que la communication entre les
Zone se fait dans les deux sens
Par la suite, on vous demandera de configurer un vpn nomade. Cliquer sur « No » car on en a
pas besoin pour l’instant
28. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
28
Configuration de la translation
d’adresse
Résumé de la configuration de la
politique de sécurité
29. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
29
Résumé de la configuration de la
translation
Choix du réseau source à translater
30. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
30
Cliquer « Apply Settings » pour
enregister la configuration
Résumé de toutes les configurations
31. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
31
Fin de l’enregistrement de la
configuration.Enregistrement de la configuration en
cours
32. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
32
Accès à l’interface de connexion.
Entrer le nom d’utilisateur créé
précédemment et son mot de passer
pour vous connecter
Une fois la configuration initiale finie, il suffit de mettre la machine cliente dans le
réseau 192.168.10.0/24 et d’accéder au firewall comme suit
33. Prise en main via l’interface Web
12/1/2015Présentation et prise en main des équipements Juniper
33
Accès à l’interface d’administration
34. Avant de passer à la prise en main via le console, voici quelques
commandes de base
12/1/2015Présentation et prise en main des équipements Juniper
34
cli :permet de passer en mode de fonctionnement routeur;
configure : permet de passer en mode de configuration;
set system root-authentication plaintext-password : permet de
donner un mot de passe à l’utilisateur root;
set system login user hermann class super-user
authentication plain-text-password : permet de créer un
utilisateur;
set system host-name dakar : permet de changer le nom du
firewall;
35. 12/1/2015Présentation et prise en main des équipements Juniper
35
set system services web-management http : permet d’activer
l’administration du routeur via le http;
set interfaces ge-0/0/0 unit 0 family inet address
192.168.0.2/24 : permet de donner une adresse à une interface;
set routing-options static route 0.0.0.0/0 next-hop 192.168.0.1:
Ajout d’une route par défaut;
Set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 : routage ospf;
commit check : permet la vérification des configurations;
commit : permet d’enregistrer les configurations;
set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic protocols ospf
36. Prise en main via la console
12/1/2015Présentation et prise en main des équipements Juniper
36
Permet de passer en mode de config routeur ou
firewall
Passer en mode de configuration
Attribuer un mot de passe à l’utilisateur
root
Nommer l’équipement
37. 12/1/2015Présentation et prise en main des équipements Juniper
37
Création d’un utilisateur
Attribution d’adresse à une
interface
Activer le management de
l’équipement via http
Prise en main via la console
38. 12/1/2015Présentation et prise en main des équipements Juniper
38
Vérification de la configuration
Enregistrement de la configuration
Après l’enregistrement, il faut aller sur l’interface web configurer les politiques de communication
inter-zone (policy).
Prise en main via la console
39. Configuration de la politique de communication interzone
12/1/2015Présentation et prise en main des équipements Juniper
39
Accès à l’interface web de
l’équipement
40. 12/1/2015Présentation et prise en main des équipements Juniper
40
Cliquer sur Apply Policy
Cliquer sur add pour ajouter un policy
Configuration de la politique de communication interzone
41. 12/1/2015Présentation et prise en main des équipements Juniper
41
Création d’une
policy entre la
zone internet et
internal
Configuration de la politique de communication interzone
42. III. Mise en place du VPN site to site
12/1/2015Présentation et prise en main des équipements Juniper
42
43. 12/1/2015Présentation et prise en main des équipements Juniper
43
Avant la configuration du VPN, configurez d’abord les firewalls JUNIPER1 et JUNIPER2 selon
l’une des méthodes de configuration présentées ci-haut.
Une fois la configuration des firewalls réalisée, nous allons maintenant configurer les routeurs
Nous utiliserons un routage OSPF entre les routeurs et une route statique vers les réseaux
d’extrémité que nous allons distribuer via OSPF
Attribuer une adresse ip à l’interface
F0/0 du routeur R1
Attribuer une adresse IP à l’interface
série de R1
44. 12/1/2015Présentation et prise en main des équipements Juniper
44
Attribution d’une adresse à l’interface
f0/0 de R2
Attribution d’une adresse à
l’interface série de R2
Configuration d’une route statique vers
le réseaux 192.168.10.0/24 à partir de R1
Configuration d’une route statique vers
le réseaux 192.168.20.0/24 à partir de R2
45. 12/1/2015Présentation et prise en main des équipements Juniper
45
Configuration de OSPF sur R1 avec la
redistribution des routes statiques
Configuration de OSPF avec la
redistribution des routes statique au
niveau de R2
46. 12/1/2015Présentation et prise en main des équipements Juniper
46
Vérification de la table de
routage ospf au niveau de R1.
On voit que R1 a réçu la route
statique annoncéé sur R2
Vérification de la table de
routage ospf au niveau de R2.
On voit que R2 a réçu la route
statique annoncéé sur R1
Accéder donc à l’interface Web du premier firewall pour la configuration du VPN
47. 12/1/2015Présentation et prise en main des équipements Juniper
47
Se connecter via l’interface Web du firewall pour commencer la
configuration du VPN
48. III. Mise en place du VPN site to site
12/1/2015Présentation et prise en main des équipements Juniper
48
Cliquer sur
Configure VPN pour
lancer la
configuration Choix du type de VPN à configurer
Au niveau de JUNIPER1
49. 12/1/2015Présentation et prise en main des équipements Juniper
49
Renseigner:
• le nom du vpn;
• la zone du réseau local et
son adresse ip;
• l’interface du routeur qui
est relier au réseau WAN;
III. Mise en place du VPN site to site
50. 12/1/2015Présentation et prise en main des équipements Juniper
50
Indiquer l’adresse ip public de l’interface du
routeur distant et l’adresse du réseau local distant Choix de la politique de sécurité
III. Mise en place du VPN site to site
51. 12/1/2015Présentation et prise en main des équipements Juniper
51
Choix du type de trafic
pouvant transiter sur le
réseau;
III. Mise en place du VPN site to site
52. 12/1/2015Présentation et prise en main des équipements Juniper
52
Cliquer sur Commit
pour enregistrer la
configuration
III. Mise en place du VPN site to site
53. III. Mise en place du VPN
12/1/2015Présentation et prise en main des équipements Juniper
53
De la même manière, on doit aussi configurer le VPN au niveau de l’équipement JUNIPER2 en
précisant l’adresse WAN de JUNIPER1 et le réseau distant;
57. IV. VPN NOMADE
12/1/2015Présentation et prise en main des équipements Juniper
57
Indiquer
l’adresse du
réseau local à
protéger
Et l’interface
connecté au
WAN
59. IV. VPN NOMADE
12/1/2015Présentation et prise en main des équipements Juniper
59
Création des
utilisateurs
Et de la plage
d’adresse à attribuer
aux hotes
60. IV. VPN NOMADE
12/1/2015Présentation et prise en main des équipements Juniper
60
Résumé des
paramètres
Cliquer sur commit
pour enregister la
configuration
61. IV. VPN NOMADE
12/1/2015Présentation et prise en main des équipements Juniper
61
Ici on doit configurer le client VPN. Le client est junos_pulse
Cliquer su le signe + pour ajouter
une nouvelle connexion
Renseigner le nom de la connexion et
l’adresse WAN du firewall
62. IV. VPN NOMADE
12/1/2015Présentation et prise en main des équipements Juniper
62
Avertissement de sécurité sur
le certificat
Cliquer sur connexion
Se connecter en utilisant un
des utilisateurs crée