TTDTiến Thành DigitechCông nghệ số • Hạ tầng • An ninh • Tự động hóa

Router

Hướng dẫn cấu hình router Juniper cho doanh nghiệp

Khung cấu hình Juniper SRX/Junos cho doanh nghiệp: bảo mật quản trị, WAN, LAN, VLAN, DHCP, security zone, policy, NAT, VPN, routing và logging.

Tiến Thành Digitech8 phút đọc
Router Juniper trong hạ tầng mạng doanh nghiệp

Chia sẻ bài viết

Gửi nhanh bài viết qua Facebook, Zalo, LinkedIn hoặc email.

Tư duy cấu hình Junos

Junos dùng cấu hình dạng phân cấp và chỉ áp dụng sau lệnh commit. Điều này giúp kiểm tra cấu hình trước khi chạy thật, đồng thời có thể rollback khi cấu hình sai.

Trước khi cấu hình, cần xác định interface WAN, interface LAN, VLAN, zone trust/untrust/dmz, chính sách truy cập, NAT, VPN, DHCP và route.

Bảo mật quản trị

Các cấu hình nền tảng gồm set system host-name, set system root-authentication encrypted-password, tạo user admin, bật services ssh và tắt dịch vụ quản trị không cần thiết.

Nên giới hạn quản trị theo địa chỉ IP hoặc zone nội bộ, dùng SSH thay vì Telnet, đặt NTP, syslog và banner nếu doanh nghiệp có quy định vận hành.

Interface, VLAN và DHCP

WAN có thể dùng DHCP hoặc IP tĩnh trên ge-0/0/0. LAN có thể dùng interface vật lý hoặc VLAN IRB tùy model và thiết kế switch.

Ví dụ logic: set interfaces ge-0/0/0 unit 0 family inet dhcp cho WAN; set interfaces irb unit 10 family inet address 192.168.10.1/24 cho VLAN nhân viên; cấu hình system services dhcp-local-server hoặc access address-assignment tùy phiên bản Junos.

Security zone và policy

Cần gán interface vào zone, ví dụ WAN vào untrust, LAN vào trust, DMZ vào dmz. Policy quyết định zone nào được truy cập zone nào, ứng dụng nào được phép và có log hay không.

Nguyên tắc an toàn là deny mặc định và chỉ allow đúng nhu cầu. Guest zone không nên truy cập trust, camera zone chỉ nên đi tới NVR hoặc dịch vụ cần thiết.

Source NAT, destination NAT và route

Source NAT cho LAN ra internet thường cấu hình từ zone trust đến untrust, source-address nội bộ, then source-nat interface. Destination NAT chỉ mở dịch vụ nội bộ khi có yêu cầu rõ và cần policy đi kèm.

Default route thường dùng set routing-options static route 0.0.0.0/0 next-hop <gateway>. Nếu dùng nhiều WAN, cần thiết kế route preference, RPM tracking hoặc giải pháp failover phù hợp.

VPN, logging và commit an toàn

Juniper hỗ trợ IPsec site-to-site mạnh, với IKE proposal, IPsec proposal, gateway, VPN, proxy-identity hoặc route-based VPN tùy thiết kế. Cần thống nhất thông số với đầu đối diện.

Sau cấu hình, dùng commit check, commit confirmed và theo dõi log. Nếu mất kết nối sau commit confirmed mà không xác nhận lại, thiết bị sẽ tự rollback theo thời gian đã đặt.

Câu hỏi thường gặp

Juniper SRX khác router thông thường ở điểm nào?

SRX là thiết bị security gateway, cấu hình dựa nhiều vào security zone, policy và NAT. Cách tư duy nên là phân vùng và cho phép đúng luồng truy cập, không chỉ cấu hình route.

Junos có rollback cấu hình không?

Có. Junos hỗ trợ commit confirmed và rollback, rất hữu ích khi cấu hình từ xa. Nên dùng commit confirmed khi thay đổi firewall hoặc routing có nguy cơ mất kết nối.