NETSCREEN-ISG 2000 User’s Guide Version 5.0 P/N 093-1488-000 Rev.
Copyright Notice Copyright © 2004 Juniper Networks, Inc. All rights reserved. Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc.
Language Contents English ..................................................................................................................... 1 French ...................................................................................................................
Language Contents iv User’s Guide
Contents Preface .................................................................................................................... 1 Guide Organization .................................................................................... 1 Command Line Interface (CLI) Conventions ............................................... 2 Juniper Networks NetScreen Publications ................................................... 2 Chapter 1 Overview .................................................................
Contents Viewing Current Interface Settings ............................................................31 Setting the IP Address of the Management Interface ...............................31 Setting the IP Address for the Trust Zone Interface .....................................31 Setting the IP Address for the Untrust Zone Interface .................................32 Allowing Outbound Traffic .........................................................................
Preface The Juniper Networks NetScreen-ISG 2000 is a purpose-built, high-performance security system designed to provide a flexible solution to medium and large enterprise central sites and service providers. The NetScreen-ISG 2000 security system integrates firewall, deep inspection, VPN, and traffic management functionality in a low-profile, modular chassis.
Preface COMMAND LINE INTERFACE (CLI) CONVENTIONS The following conventions are used when presenting the syntax of a command line interface (CLI) command: • Anything inside square brackets [ ] is optional. • Anything inside braces { } is required. • If there is more than one choice, each choice is separated by a pipe ( | ). For example, set interface { ether1/1 | ether1/2 | ether2/2 } manage means “set the management options for the ether1/1, ether1/2, or ether2/2 interface”.
1 Chapter 1 Overview This chapter provides detailed descriptions of the NetScreen-ISG 2000 chassis.
Chapter 1 Overview THE FRONT PANEL The front panel of the NetScreen-ISG 2000 has the following: • An LED dashboard • Four removable, replaceable interface modules • A compact flash card slot • Management, console, and modem ports • A fan module LED Dashboard The LED dashboard displays up-to-date information about critical NetScreen-ISG 2000 functions.
The Front Panel The LEDs in the dashboard are as follows: LED Purpose Color Meaning POWER Power Supply green Power supply is functioning correctly. off System is not receiving power. red There is a problem with the power. blinking red • Continuous blinking indicates a self-test failure during the ScreenOS bootup. May also occur due to certain algorithm and ACL failures. ALARM System Alarm • Blinks once for each software attack.
Chapter 1 Overview LED Purpose MOD3 FLASH Compact Flash Status Color Meaning green Security module is installed. off No card installed. green PC card is installed in compact flash slot. blinking green Read-write activity is detected. off Compact flash slot is empty. Note: To change the Alarm LED from red to green but keep the alarm message(s) in the menu system, use the CLI command clear led alarm. When you turn on the NetScreen-ISG 2000, the Status LED changes from off to blinking green.
The Front Panel TX/RX LED: Dark: Not Active Orange: Active Link Activity Link LED: Dark: Not Linked Green: Linked Link Status The Mini-GBIC Interface Connector Module The mini-GBIC interface module provides connectivity to fiber-based, gigabit ethernet LANs. Connect the module using an optical single mode or multi mode cable.
Chapter 1 Overview Compact Flash The compact flash slot is for downloading or uploading system software or configuration files, and for saving log files to a compact flash card. To download or upload, execute the CLI command save: save { software | config } from { flash | slot1 filename } to { flash | slot1 filename } where flash refers to internal flash memory, slot1 refers to the compact flash slot, and filename is the name of the software or configuration file on the card.
The Front Panel High Availability Interfaces There are no dedicated High Availability (HA) interfaces on the NetScreen-ISG 2000; therefore, you must select and configure the HA ports once the system is running. The HA ports allow you to cable two devices together, and configure them to work as a redundant group. A redundant group consists of a master device and one backup device. If the master device fails, the backup device takes over as the new master, thus avoiding interruption of services.
Chapter 1 Overview THE REAR PANEL The rear panel of the NetScreen-ISG 2000 contains the power supplies. Power Supplies The NetScreen-ISG 2000 supports two redundant, fault-tolerant and auto-switching power supplies. The power supplies are hot-swappable, so you can remove or replace one power supply without interrupting device operation. You can order the NetScreen-ISG 2000 with one or two power supplies: DC and AC.
The Rear Panel The DC Power Supply The DC power supply weighs about three pounds. The faceplate contains a power LED, a power switch, a cooling fan vent, and three DC power terminal blocks that connect to power cables. The following figure shows the NetScreen-ISG 2000 DC power supply. Thumbscrew Power LED Terminal Blocks Power Switch Hex Nut The AC Power Supply The AC power supply weighs about three pounds. The faceplate contains a power LED, a power switch, a cooling fan vent, and a male power outlet.
Chapter 1 Overview 12 User’s Guide
2 Chapter 2 Installing the Device This chapter describes how to install a NetScreen-ISG 2000 in an equipment rack.
Chapter 2 Installing the Device GENERAL INSTALLATION GUIDELINES Observing the following precautions can prevent injuries, equipment failures, and shutdowns. • Never assume that the power supply is disconnected from a power source. Always check first. • Room temperature might not be sufficient to keep equipment at acceptable temperatures without an additional circulation system. Ensure that the room in which you operate the device has adequate air circulation.
Equipment Rack Mounting Equipment Rack Accessories and Required Tools Rack mounting requires the following accessories and tools: • 1 Phillips-head screwdriver (not provided) • 4 screws to match the rack (if the thread size of the screws provided in the NetScreen-ISG 2000 product package do not fit the thread size of the rack) • The included rear slide mount kit (for the rear-and-front-mount method) Rear Slide Mount Kit Slides (2) Rear mount brackets (2) 10-32 x ½” Screws (8) M4 Screws (6) There a
Chapter 2 Installing the Device Mid-Mount To mid-mount the NetScreen-ISG 2000: 16 1. Screw the left and right plates to the middle of each side of the NetScreen-ISG 2000 chassis. 2. Slide the NetScreen-ISG 2000 in the rack. 3. Screw the left and right plates to the rack.
Equipment Rack Mounting Rear-and-Front Mount To mount the NetScreen-ISG 2000 with support from the rear and front, use the rear slide mount kit. 1. Screw the left and right plates to the front of each side of the NetScreen-ISG 2000 chassis. 2. Screw the rear mount bracket to the rear rack posts. 3. With the indented groove that runs the length of each slide facing outward, screw the slides to the middle of each side of the NetScreen-ISG 2000 chassis.
Chapter 2 Installing the Device INSTALLING AND CONNECTING THE AC POWER SUPPLY To install and connect the AC power supply to the NetScreen-ISG 2000: 1. Slide the power supply into one of the power compartments in the back of the system. 2. Fasten the power supply to the system by tightening the corner screws into the eyelets on the sides of the power supply. (If you want to install two power supplies, repeat steps 1 and 2 for the other power supply.) 3.
Installing and Wiring a DC Power Supply 3. Connect the other end of the grounding lug wire to a grounding point at your site. To connect DC power feeds to the terminal blocks: 1. Loosen the retaining screws on each terminal block. 2. Insert the 0V DC (positive voltage) return wire into the center COM connector and the -48V DC power feed wire into either the left or right connector. 3. Fasten the screws over the connectors. 4. Turn on the power switch.
Chapter 2 Installing the Device 20 User’s Guide
3 Chapter 3 Configuring the Device This chapter describes how to connect a NetScreen-ISG 2000 to your network and perform initial configuration on the device.
Chapter 3 Configuring the Device OPERATIONAL MODES The NetScreen-ISG 2000 supports two device modes: Transparent mode and Route mode. The default mode is Route. Note: Because you enable NAT capability by configuring interfaces and creating security policies, NAT is not considered a device mode. To configure your device for NAT, the device must be in Route mode. Transparent Mode In Transparent mode, the NetScreen-ISG 2000 operates as a Layer-2 bridge.
The NetScreen-ISG 2000 Interfaces THE NETSCREEN-ISG 2000 INTERFACES The NetScreen-ISG 2000 provides physical ports, each of which can serve as a physical interface. In addition, you can configure Ethernet ports to serve as virtual (logical) interfaces.
Chapter 3 Configuring the Device Interfaces to Change During Initial Configuration The default IP address and subnet mask settings for NetScreen-ISG 2000 interfaces are 0.0.0.0 and 0.0.0.0, respectively. The exception is MGT, a special interface used only for device management. The default IP address and subnet mask settings for the MGT interface are 192.168.1.1 and 255.255.255.0, respectively.
Connecting the Device to a Network Connecting the NetScreen-ISG 2000 as a Single Security System The following illustration shows typical cabling for 10/100 Base-T networks. (For fiber optic networks, use optical cables for all network connections.) Internet External Router Power Cable DMZ Switch DMZ LAN Internal Switch Trusted LAN Note: The cabling instructions given below reproduce the configuration shown here. However, this is not the only possible configuration.
Chapter 3 Configuring the Device 4. Connect an RJ-45 cross-over cable from the far right interface of Module 3 (ethernet3/8) to the internal switch, router, or hub. Note: Check your router, hub, switch, or computer documentation to see if these devices require any further configuration for your trust and untrust zones. In addition, see if it is necessary to switch off the power to any new device you add to the LAN. 5.
Connecting the Device to a Network Internet Primary Router Secondary Router 802.1Q Trunk “Third” Switch 1 “Third” Switch 2 HA2 (Secondary Path) HA1 “First” Switch 2 “First” Switch 1 Trusted LAN “Second” Switch 1 “Second” Switch 2 DMZ LAN Note: The provided cabling instructions reproduce the configuration shown above; however, this is not the only possible HA configuration. In addition, the instructions assume that all physical ports and interfaces are still set at their default settings.
Chapter 3 Configuring the Device 3. Connect the power cables to each NetScreen-ISG 2000 power supply and connect them to a power source. Note: Whenever you deploy both power supplies in a NetScreen-ISG 2000, connect each power supply to a different power source, if possible. If one power source fails, the other source might still be operational. 4. Connect a 10/100 Base-T cross-over cable from the preferred HA1 port on one device to the preferred HA1 on the second device. 5.
Performing Initial Connection and Configuration 16. Cable the routers to the “Third” switches (which are connected to the ethernet1/1 ports). Note: The switch ports must be defined as 802.1Q trunk ports, and the external routers must be able to use either Hot Standby Router Protocol (HSRP) or Virtual Router Redundancy Protocol (VRRP). For the best configuration method, see the documentation for your switch or router. 17. Turn on both NetScreen-ISG 2000.
Chapter 3 Configuring the Device 3. Launch a Command Line Interface (CLI) session between your computer and the NetScreen-ISG 2000 using a standard serial terminal emulation program such as Hilgraeve Hyperterminal (provided with your Windows operating system). The settings should be as follows: • Baud Rate to 9600 • Parity to No • Data Bits to 8 • Stop Bit to 1 • Flow Control to none 4. Press the enter key to see the login prompt. 5. At the login prompt, type netscreen. 6.
Performing Initial Connection and Configuration Setting Port and Interface IP Addresses Through the CLI, you can execute commands that set IP address and subnet mask values for most of the physical interfaces. Use the CLI save command to store your configuration. Viewing Current Interface Settings To view current interface settings: get interface This command displays current port names, IP addresses, MAC addresses, and other useful information.
Chapter 3 Configuring the Device 3. To set the IP address and subnet mask: set interface ethernet3/8 ip ip_addr/mask where ip_addr is the IP address and mask is the subnet mask. For example, to set the IP address and subnet mask of the ethernet3/8 interface to 10.250.2.1/16: set interface ethernet3/8 ip 10.250.2.1/16 4.
Configuring the Device for Telnet and WebUI Sessions The following CLI command creates an access policy that permits all kinds of outbound traffic, from any host in your trusted LAN to any device on the untrusted network. set policy from trust to untrust any any any permit Use the save command to store changed information. Important: Your network might require a more restrictive policy than the one created in the previous example. The example is NOT a requirement for initial configuration.
Chapter 3 Configuring the Device Starting a Console Session Using Dialup Each NetScreen-ISG 2000 provides a modem port that allows you to establish a remote console session using a dialup connection through a 9600 bps modem. Dialing into the modem establishes a dialup console connection. Note: The Terminal type for dialup sessions must be vt100. For example, in Hilgraeve HyperTerminal (a commonly-used terminal application), select Connect > Remote System > vt100 from the Term Type menu.
Using CLI Commands to Reset the Device Configuring the Chassis Alarm The NetScreen-ISG 2000 allows you to configure the chassis alarm, an audible warning that sounds when a system failure or hazardous event occurs. To specify which failures and events trigger the chassis alarm: 1. Configure the audible alarms by executing the following command: set chassis audible-alarm string where string can be any of the following keywords: 2. all Enables all chassis alarms.
Chapter 3 Configuring the Device 3. Press the y key. The following message appears: !! Reconfirm Lost Password Reset !! If you continue, the entire configuration of the device will be erased. In addition, a permanent counter will be incremented to signify that this device has been reset. This is your last chance to cancel this command. If you proceed, the device will return to factory default configuration, which is: System IP: 192.168.1.1; username: netscreen; password: netscreen.
4 Chapter 4 Servicing the Device This chapter describes service and maintenance procedures for your NetScreen-ISG 2000.
Chapter 4 Servicing the Device REMOVING AND INSERTING INTERFACE MODULES The NetScreen-ISG 2000 has four interface module bays. The supplied modules are preinstalled, although they are removable and replaceable. There are three types of interface modules: • 10/100 Base-T module (four ports) • 10/100 Base-T module (eight ports) • Mini-GBIC interface connector module (two ports) You can use these interface modules in whatever combination and arrangement suits the needs of your network infrastructure.
Removing and Inserting Interface Modules 3. Grip the levers, then gently slide the card straight out. Warning: When inserting and removing a card in bay 2, take care that the electromagnetic interference (EMI) fingers located along the top edge of the front wall of the interface module do not catch on the lower edge of the card above it in bay 1.
Chapter 4 Servicing the Device Important: If you push the latch before it contacts the ridge on the bay wall, the locking tab clicks into place prematurely and you will not be able to seat the interface module properly. 4. Screw in the thumbscrews on each side of the interface module. INSTALLING POWER SUPPLIES Although the NetScreen-ISG 2000 can run with one power supply, it is advisable to install two.
Installing Power Supplies 3. Fasten the screws over the connectors. 4. Turn on the power switches. Note: If there are multiple power supplies in the NetScreen-ISG 2000 and any of them are off, the Alarm LED on the management module glows red. This warning indicates that maximum system stability requires all installed power supplies to be operational. Replacing a DC Power Supply Warning: You must shut off current to the DC feed wires leading to the power supply that you want to replace.
Chapter 4 Servicing the Device REPLACING THE FAN MODULE Note: During the one-year warranty period, you can obtain a replacement fan module by contacting NetScreen Technical support. After the warranty period, contact the NetScreen Sales department. You only need to replace the fan module when a failure occurs. When this happens, the Fan LED glows red, and the device generates an event alarm and an SNMP trap. Fan Front Fan Module Fan Lever To remove the fan module: 1.
Replacing the Fan Module 3. Insert the new fan module in the fan bay, then push it straight in. 4. Secure the fan module in place by pushing the fan lever flat against the front panel. Replacing the Fan Tray Filter Before you replace the fan tray filter, make sure you have the following tools: • Flashlight or other light source • 18-inch wooden ruler To replace the fan tray filter: 1. Remove the fan tray (See “Replacing the Fan Module” on page 42). 2.
Chapter 4 Servicing the Device 6. Carefully insert a new filter into the chassis. Use the wooden ruler as an aid to guide the back edge of the filter to reach the end of the Velcro wall. 7. Once the filter is fully inserted, push the wooden ruler against the filters surface several times to insure that the filter is secure against the chassis wall. Note: Make sure that the filter is secure against the Velcro wall; otherwise the filter will tear when you reinstall the fan. 8.
Removing and Installing a Mini-GBIC Transceiver 3. Using your thumb, gently press the clip ejector on top of the clip, down, then forward. This action loosens the clip from the transceiver port. 4. Gently but firmly, pull the clip from the transceiver port. REMOVING AND INSTALLING A MINI-GBIC TRANSCEIVER To remove a mini-GBIC transceiver from a module: 1. Push in the blue ejector (located on the underside of the transceiver) until it locks into place, disengaging the transceiver. 2.
Chapter 4 Servicing the Device 46 User’s Guide
Appendix A Specifications A This appendix provides general system specifications for the NetScreen-ISG 2000: • “NetScreen-ISG 2000 Attributes” on page A-48 • “Electrical Specification” on page A-48 • “Environmental” on page A-48 • “NEBS Certifications” on page A-48 • “Safety Certifications” on page A-48 • “EMI Certifications” on page A-49 • “Connectors” on page A-49 NetScreen-ISG 2000 47
Appendix A Specifications NETSCREEN-ISG 2000 ATTRIBUTES Height: 3.5 inches (8.9 centimeters) Depth: 23.25 inches (59 centimeters) Width: 17.5 inches (44.5 centimeters) Weight: 42 pounds (19 kilograms) ELECTRICAL SPECIFICATION AC voltage: 100 - 240 VAC +/- 10% DC voltage: -36 to -60 VDC AC Power: 250 Watts DC Power: 250 Watts AC Input frequency: 47 - 63 Hz Fuse Rating: DC PS: 12 Amps / 250 Volts; AC PS: 6.3 Amps / 250 Volts ENVIRONMENTAL The following table provides the environmental specifications.
EMI CERTIFICATIONS FCC class A, BSMI, CE class A, C-Tick, VCCI class A CONNECTORS The following table lists the RJ-45 connector pin out. Pin Signal DIR 1 RTS OUT 2 DTR OUT 3 TX OUT 4 GDN 5 N.C. 6 RX IN 7 DSR IN 8 CTS IN The mini-Gigabit transceivers are compatible with the IEEE 802.3z Gigabit Ethernet standard. The following table lists media types and distances for the different types of interfaces used in the NetScreen-ISG 2000.
Appendix A Specifications 50 User’s Guide
Index Index A L AC power supply 11 admin name, changing 30 aggregate ports 35 asset recovery 35 LEDs Alarm 5 Fan 5 HA 5 Status 5, 7 Temp 5 logging on 34 C cabling network interfaces 26, 33 power supply 25, 28 changing admin name and password 30 configuring aggregate ports 35 connecting serial connection 34 system to other devices 19, 41 the power supply 17 console changing timeout 30, 33 using a dialup connection 34 D DC power supply, wiring 18 dialup connection 34 F fan assembly 42–43 G guide orga
Index S V Status LEDs 7 ventilation 14 viewing port settings 31 T transparent mode 22 52 User’s Guide
Table des matières Préface .................................................................................................................. 53 Organisation du manuel .......................................................................... 53 Conventions relatives à l’interface de ligne de commande (CLI) ............ 54 Publications Juniper Networks NetScreen ................................................. 54 Chapitre 1 Présentation générale ............................................................
Table des matières Modification de votre nom et de votre mot de passe d’administrateur........ 83 Configuration des adresses IP de port et d’interface .................................... 84 Affichage des paramètres d’interface actuels .........................................84 Configuration de l’adresse IP de l’interface de gestion ............................84 Configuration de l’adresse IP pour l’interface de la zone Trust .................
Préface Juniper Networks NetScreen-ISG 2000 est un système de sécurité ciblé intégré haute performance, conçu pour proposer une solution flexible aux fournisseurs de services et sites centraux des moyennes et grandes entreprises. Le système de sécurité NetScreenISG 2000 intègre des fonctionnalités de pare-feu, d’inspection détaillée, de réseau privé virtuel et de gestion du trafic dans un ensemble modulaire, de demi-hauteur.
Préface CONVENTIONS RELATIVES À L’INTERFACE DE LIGNE DE COMMANDE (CLI) Les conventions adoptées pour présenter la syntaxe des commandes de l’interface de ligne de commande (CLI) sont les suivantes : • Les informations présentées entre crochets [ ] sont facultatives. • Les informations présentées entre accolades { } sont obligatoires. • Si plusieurs choix sont possibles, ils sont séparés par un trait vertical ( | ).
1 Chapitre 1 Présentation générale Vous trouverez dans ce chapitre la description détaillée de l’ensemble NetScreen-ISG 2000.
Chapitre 1 Présentation générale PANNEAU AVANT Le panneau avant de NetScreen-ISG 2000 est équipé des éléments suivants : • un panneau de commande à diodes électroluminescentes (ou DEL), • quatre modules d’interface amovibles et interchangeables, • un connecteur pour carte compact flash, • des ports pour la gestion, la console et le modem, • un module de ventilation.
Panneau avant Les DEL du panneau de commande se présentent de la manière suivante : DEL Utilisation ALIMENTATION Bloc (POWER) d’alimentation ALARME (ALARM) Alarme du système Couleur Signification verte Le bloc d’alimentation fonctionne correctement. éteinte L’alimentation ne parvient pas jusqu’au système. rouge L’alimentation présente un problème. rouge clignotante • Un clignotement permanent indique un échec du test automatique lors de l’amorçage ScreenOS.
Chapitre 1 Présentation générale DEL Utilisation Couleur Signification VENTILATION (FAN) État des ventilateurs verte Tous les ventilateurs fonctionnent correctement. rouge Un ou plusieurs ventilateurs présentent une anomalie ou l’alimentation ne parvient pas jusqu’au sous-système de ventilation. verte Le module de sécurité est installé. éteinte Aucune carte n’est installée. verte Le module de sécurité est installé. éteinte Aucune carte n’est installée.
Panneau avant Modules d’interface Le panneau avant de NetScreen-ISG 2000 dispose de quatre connecteurs pour modules d’interface. Chaque module d’interface est équipé de deux, quatre ou huit ports. Deux diodes électroluminescentes sont affectées à chaque port. Remarque : vous pouvez utiliser simultanément des cartes 10/100 et GBIC dans le NetScreen-ISG 2000. Il n’existe aucune limitation quant aux associations possibles. Les cartes ne peuvent cependant pas être remplacées à chaud.
Chapitre 1 Présentation générale Module du connecteur d’interface mini-GBIC Le module d’interface mini-GBIC assure la connectivité vers les réseaux locaux d’entreprise Ethernet, gigabits, basés sur des fibres. Connectez le module à l’aide d’un câble optique à mode simple ou multiple.
Panneau avant Interfaces de gestion NetScreen-ISG 2000 dispose de trois interfaces de gestion : Port Description Console Ce port en série RJ-45 permet de procéder à l’administration et à la configuration locales à l’aide de l’interface de ligne de commande. Connectez le port de la console à votre station de travail à l’aide d’un câble intermédiaire en série RJ-45 femelle/DB-9 mâle. Modem Ce port en série RJ-45 permet de procéder à la connexion à un modem.
Chapitre 1 Présentation générale Module de ventilation NetScreen-ISG 2000 dispose d’un module équipé de trois ventilateurs, auquel vous pouvez accéder à partir du côté avant gauche du châssis. Avant ventilation Module de ventilation Levier ventilation Avertissement : lorsqu’un ventilateur s’arrête en raison d’une anomalie ou d’un remplacement, le système continue à fonctionner.
Panneau arrière Vous pouvez commander le NetScreen-ISG 2000 avec un ou deux blocs d’alimentation : CC et CA. Le NetScreen-ISG 2000 peut fonctionner avec un bloc d’alimentation, il est néanmoins conseillé d’installer deux blocs. Une telle opération permet de réduire les risques d’anomalie du système occasionnée par un problème au niveau du seul bloc d’alimentation présent.
Chapitre 1 Présentation générale Bloc d’alimentation CA Le bloc d’alimentation courant alternatif pèse environ trois livres. Le panneau avant dispose d’une diode électroluminescente d’alimentation, d’un commutateur d’alimentation, d’un ventilateur d’air froid et d’une prise électrique mâle. L’illustration suivante représente le bloc d’alimentation CA de NetScreen-ISG 2000.
2 Chapitre 2 Installation de l’unité Dans ce chapitre, vous trouverez la description de la procédure d’installation du NetScreen-ISG 2000 dans une baie d’équipement.
Chapitre 2 Installation de l’unité INSTRUCTIONS D’INSTALLATION GÉNÉRALES Afin de prévenir toute blessure corporelle et d’éviter toute défaillance et panne du matériel, respectez les précautions suivantes. • • • • Ne partez jamais du principe que le bloc d’alimentation est déconnecté de sa source d’alimentation. Vous devez systématiquement vérifier que tel est le cas. La température ambiante peut ne pas être adéquate au maintien du matériel à des températures acceptables.
Installation de la baie d’équipement • Des déflecteurs peuvent isoler l’air sortant de l’air entrant. Le meilleur positionnement des déflecteurs dépend des circuits de cheminement de l’air dans la baie.
Chapitre 2 Installation de l’unité Montage à mi-hauteur Pour monter à mi-hauteur l’unité NetScreen-ISG 2000 : 68 1. Vissez les plaques de gauche et de droite au centre de chaque côté de l’ensemble NetScreen-ISG 2000. 2. Faites glisser NetScreen-ISG 2000 dans la baie. 3. Vissez les plaques de gauche et de droite sur la baie.
Installation de la baie d’équipement Montage avant et arrière Pour monter l’unité NetScreen-ISG 2000 avec un point de support à l’avant et à l'arrière, utilisez le kit de montage pour glissière arrière. 1. Vissez les plaques de gauche et de droite à l’avant de chaque côté de l’ensemble NetScreen-ISG 2000. 2. Vissez le support de fixation arrière sur les montants arrière de la baie. 3.
Chapitre 2 Installation de l’unité INSTALLATION ET CONNEXION DU BLOC D’ALIMENTATION CA Pour installer et connecter le bloc d’alimentation courant alternatif de NetScreen-ISG 2000 : 1. Faites glisser le bloc d’alimentation dans l’un des compartiments d’alimentation à l’arrière du système. 2.
Installation et câblage d’un bloc d’alimentation CC Pour connecter le bloc d’alimentation CC au niveau d’un point de mise à la terre de votre site : 1. Retirez l’écrou hexagonal de la vis de mise à la terre. 2. Placez la cosse de terre sur la vis et serrez fermement l’écrou hexagonal. 3. Reliez l’autre extrémité du fil de la cosse de terre à un point de mise à la terre de votre site. Pour connecter l’alimentation CC aux borniers : 1. Desserrez les vis de fixation des borniers. 2.
Chapitre 2 Installation de l’unité 72 Manuel de l’utilisateur
3 Chapitre 3 Configuration de l’unité Dans ce chapitre, vous trouverez la description de la connexion au réseau et de l’exécution de la configuration initiale duNetScreen-ISG 2000.
Chapitre 3 Configuration de l’unité MODES DE FONCTIONNEMENT NetScreen-ISG 2000 prend en charge deux modes d’unité : le mode Transparent et le mode Route. Le mode par défaut est « Route ». Remarque : la fonctionnalité NAT étant activée lors de la configuration des interfaces et de la création des politiques de sécurité, elle n’est pas considérée comme un mode d’unité. Si vous souhaitez configurer votre unité pour la fonctionnalité NAT, le mode Route doit être activé.
Interfaces NetScreen-ISG 2000 INTERFACES NETSCREEN-ISG 2000 NetScreen-ISG 2000 dispose de ports physiques qui peuvent être utilisés comme interfaces physiques. En outre, vous pouvez configurer les ports Ethernet pour qu’ils hébergent plusieurs interfaces (logiques) virtuelles.
Chapitre 3 Configuration de l’unité Interfaces à modifier au cours de la configuration initiale Les paramètres par défaut de l’adresse IP et du masque de sous-réseau des interfaces NetScreen-ISG 2000 sont respectivement 0.0.0.0 et 0.0.0.0. MGT, interface spécifique utilisée uniquement dans le cadre de la gestion de l’unité, constitue l’exception. Les paramètres par défaut de l’adresse IP et du masque de sous-réseau de l’interface de gestion sont respectivement 192.168.1.1 et 255.255.255.0.
Connexion de l’unité à un réseau Connexion de NetScreen-ISG 2000 en tant que système de sécurité unique L’illustration suivante représente un câblage typique des réseaux 10/100 Base-T (pour les réseaux avec optique à fibres, utilisez des câbles optiques pour l’ensemble des connexions réseau).
Chapitre 3 Configuration de l’unité 3. Connectez le câble d’alimentation, fourni dans l’emballage du produit, au bloc d’alimentation de NetScreen-ISG 2000 et à une source d’alimentation. Remarque : lorsque vous déployez deux blocs d’alimentation au niveau d’un même NetScreen-ISG 2000, connectez les blocs à une source d’alimentation différente (dans la mesure du possible). Si une source d’alimentation présente une anomalie, il est possible que l’autre soit toujours opérationnelle. 4.
Connexion de l’unité à un réseau Connexion de NetScreen-ISG 2000 pour la fonction de haute disponibilité Il n’existe aucune interface haute disponibilité (HA) dédiée sur le NetScreen-ISG 2000. Par conséquent, vous devez sélectionner et configurer les ports HA une fois le système en fonctionnement. Les ports HA vous permettent de relier deux périphériques ou plus et de les configurer de manière à ce qu’ils fonctionnent comme un groupe redondant.
Chapitre 3 Configuration de l’unité Internet Routeur primaire Routeur secondaire Jonction 802.1Q « Troisième » commutateur 1 « Troisième » commutateur 2 HA2 (chemin secondaire) HA1 « Premier » commutateur 1 Réseau local certifié « Deuxième » commutateur 1 « Premier » commutateur 2 « Deuxième » commutateur 2 Réseau local DMZ Remarque : les instructions de câblage fournies reproduisent la configuration illustrée cidessus. Il ne s’agit cependant pas de la seule configuration HA possible.
Connexion de l’unité à un réseau 2. 3. Assurez-vous que tous les commutateurs des blocs d’alimentation sont désactivés. Connectez les câbles d’alimentation aux différents blocs d’alimentation NetScreen-ISG 2000 et à une source d’alimentation. Remarque : lorsque vous déployez deux blocs d’alimentation au niveau d’un même NetScreen-ISG 2000, connectez les blocs à une source d’alimentation différente (dans la mesure du possible).
Chapitre 3 Configuration de l’unité 14. 15. 16. Reliez les « deuxièmes » commutateurs (connectés aux ports ethernet2/2) ensemble. Reliez les « troisièmes » commutateurs (connectés aux ports ethernet1/1) ensemble. Reliez les routeurs aux « troisièmes » commutateurs (connectés aux ports ethernet1/1). Remarque : les ports des commutateurs doivent être définis en tant que ports de jonction 802.
Exécution de la connexion et de la configuration initiales 3. Lancez une session d’interface de ligne de commande entre votre ordinateur et NetScreen-ISG 2000 à l’aide d’un programme d’émulation de terminaux en série standard, tel que Hilgraeve Hyperterminal (fourni avec le système d’exploitation Windows). Le paramétrage doit être le suivant : • Débit (en bauds) : 9600 • Parité : No (non) • Bits de données : 8 • Bit d’arrêt : 1 • Contrôle de flux : none (aucun) 4.
Chapitre 3 Configuration de l’unité Configuration des adresses IP de port et d’interface À l’aide de l’interface de ligne de commande, vous pouvez exécuter des commandes qui définissent les valeurs d’adresse IP et de masque de sous-réseau pour la plupart des interfaces physiques. Utilisez la commande save de l’interface de ligne de commande pour stocker votre configuration.
Exécution de la connexion et de la configuration initiales 3. Pour définir l’adresse IP et le masque de sous-réseau : set interface ethernet3/8 ip adr_ip/masque où adr_ip est l’adresse IP et masque est le masque de sous-réseau. Par exemple, pour paramétrer l’adresse IP et le masque de sous-réseau de l’interface ethernet3/8 sur 10.250.2.1/16: set interface ethernet3/8 ip 10.250.2.1/16 4.
Chapitre 3 Configuration de l’unité Utilisez la commande save pour stocker les informations modifiées. Important : votre réseau peut requérir une règle plus restrictive que celle créée dans l’exemple précédent. Cet exemple n’est pas une exigence pour la configuration initiale. Pour obtenir des informations détaillées sur les règles d’accès, reportez-vous au manuel NetScreen Concepts and Examples ScreenOS Reference Guide.
Configuration de l’unité pour les sessions Telnet et d’interface utilisateur Web 5. (Facultatif) Par défaut, la session de la console arrive à expiration et s’arrête automatiquement après 10 minutes d’inactivité. Pour modifier ce délai d’expiration : set console timeout nombre où nombre est la durée d’inactivité de la session en minutes avant l’arrêt de la session. Pour empêcher tout arrêt de session automatique, spécifiez la valeur 0.
Chapitre 3 Configuration de l’unité 3. Entrez netscreen dans les deux champs de Admin Name (nom d’administrateur) et de Password (mot de passe), puis cliquez sur Login (Connexion). (N’utilisez que des lettres minuscules. Les champs du nom et du mot de passe de l’administrateur sont tous les deux sensibles à la casse.) La fenêtre de l’application de l’interface utilisateur Web de NetScreen s’affiche.
Utilisation des commandes d’interface de ligne de commande pour réinitialiser l’unité Utilisation des commandes d’interface de ligne de commande pour réinitialiser l’unité Si vous perdez votre mot de passe d’administrateur, vous pouvez utiliser la procédure suivante pour rétablir les paramètres par défaut de l’unité NetScreen. Cela écrase les configurations existantes mais restaure l’accès à l’unité.
Chapitre 3 Configuration de l’unité 90 Manuel de l’utilisateur
4 Chapitre 4 Entretien de l’unité Dans ce chapitre, vous trouverez la description détaillée de l’entretien et de la maintenance de votre NetScreen-ISG 2000.
Chapitre 4 Entretien de l’unité RETRAIT ET RÉINSTALLATION DES MODULES D’INTERFACE NetScreen-ISG 2000 dispose de quatre emplacements pour modules d’interface. Les modules fournis sont installés au préalable, ils peuvent néanmoins être retirés et remplacés. Il existe trois types de modules d’interface : • module 10/100 Base-T (quatre ports), • module 10/100 Base-T (huit ports), • module de connecteur d’interface mini-GBIC (deux ports).
Retrait et réinstallation des modules d’interface 3. Saisissez les leviers et faites doucement sortir la carte. Avertissement : lors de l’insertion ou du retrait d’une carte dans l’emplacement 2, veillez à ce que les pattes d’interférences électromagnétiques, situées sur la partie supérieure de la paroi avant du module d’interface n’entrent pas en contact avec le bord inférieur de la carte située dans l’emplacement au-dessus, l’emplacement 1.
Chapitre 4 Entretien de l’unité 2. Insérez la carte jusqu’à ce que vous sentiez une résistance. Avertissement : lors de l’insertion ou de la dépose d’une carte dans l’emplacement 2, veillez à ce que les pattes d’interférences électromagnétiques, situées sur la partie supérieure de la paroi avant du module d’interface n’entrent pas en contact avec le bord inférieur de la carte située dans l’emplacement audessus, l’emplacement 1. 3.
Installation des blocs d’alimentation INSTALLATION DES BLOCS D’ALIMENTATION Le NetScreen-ISG 2000 peut fonctionner avec un bloc d’alimentation, il est néanmoins conseillé d’installer deux blocs. Une telle opération permet de réduire les risques d’anomalie du système occasionnée par un problème au niveau du seul bloc d’alimentation présent. Ne mélangez pas les blocs d’alimentation.
Chapitre 4 Entretien de l’unité 6. Fixez le bloc d’alimentation en resserrant la vis de serrage à main dans le sens des aiguilles d’une montre. 7. Activez le bloc d’alimentation. Reconnectez les câbles conformément à la section « Raccordement des blocs d’alimentation CC », page 95. Remplacement d’un bloc d’alimentation CA Pour remplacer un bloc d’alimentation courant alternatif : 96 1. Éteignez le bloc d’alimentation. 2. Débranchez le câble du bloc d’alimentation. 3.
Remplacement du bloc de ventilation REMPLACEMENT DU BLOC DE VENTILATION Remarque : pendant la période de garantie (un an), contactez le support technique de NetScreen pour obtenir un module de ventilation de remplacement. Après expiration de la période de garantie, contactez le service commercial de NetScreen. Vous ne devez remplacer le module de ventilation que lorsqu’une anomalie se présente.
Chapitre 4 Entretien de l’unité 3. Insérez le nouveau module de ventilation dans la baie de ventilation et poussezle à fond. 4. Fixez le module de ventilation en plaçant le levier du ventilateur à plat contre le panneau avant. Remplacement du filtre du bloc de ventilation Avant de remplacer le filtre du bloc de ventilation, veillez à disposer des outils suivants : • Lampe torche ou autre source de lumière • Règle en bois de 18 pouces Pour remplacer le filtre du bloc de ventilation : 1.
Connexion et déconnexion des câbles Gigabit Ethernet 6. Insérez doucement un filtre neuf dans l’ensemble. Utilisez la règle en bois pour guider le bord arrière du filtre vers l’extrémité de la paroi en velcro. 7. Une fois le filtre entièrement inséré, poussez plusieurs fois la règle en bois contre la surface du filtre afin de vous assurer que le filtre est bien placé contre la paroi de l’ensemble.
Chapitre 4 Entretien de l’unité Pour retirer le câble du port du transmetteur : 1. Assurez-vous que le dispositif de dégagement bleu du transmetteur se trouve en position de verrouillage sécurisée (le levier bleu est placé à plat contre le panneau avant). Sinon, lorsque vous tenterez de retirer le câble, il est possible que le dispositif soit extrait alors que le câble est toujours fixé. 2.
Annexe A Spécifications A Cette annexe vous indique les spécifications système générales pour NetScreen-ISG 2000 : • « Attributs de NetScreen-ISG 2000 », page 102 • « Spécifications électriques », page 102 • « Spécifications environnementales », page 102 • « Certifications NEBS », page 102 • « Certifications de conformité », page 102 • « Certifications EMI », page 103 • « Connecteurs », page 103 NetScreen-ISG 2000 101
Annexe A Spécifications ATTRIBUTS DE NETSCREEN-ISG 2000 Hauteur : 13,3 centimètres Profondeur : 59 centimètres Largeur : 44,5 centimètres Poids : 19 kilogrammes SPÉCIFICATIONS ÉLECTRIQUES Tension CA : 100 - 240 V c.a. +/- 10 % Tension CC : de -36 à -60 V c.c.
CERTIFICATIONS EMI FCC classe A, BSMI, CE classe A, C-Tick, VCCI classe A CONNECTEURS Le tableau suivant détaille le brochage du connecteur RJ-45. Broche Signal DIR 1 RTS OUT 2 DTR OUT 3 TX OUT 4 GDN 5 N.C. 6 RX IN 7 DSR IN 8 CTS IN Les transmetteurs mini-Gigabit sont conformes à la norme Gigabit Ethernet IEEE 802.3z. Le tableau suivant répertorie les types de support et les distances correspondant aux différents types d’interfaces utilisées par NetScreen-ISG 2000.
Annexe A Spécifications 104 Manuel de l’utilisateur
Index Index configuration 79-82 A affichage des paramètres de port 84 I B installation des modules 62 instructions d’installation 66 baie montage 66 bloc d’alimentation CA 64 bloc d’alimentation CC, câblage 70 blocs d’alimentation 95 CA 64 CA, remplacement 96 CC 63 connexion au système 69 installation 69 C câblage bloc d’alimentation 78, 81 interfaces réseau 78, 86 configuration de ports agrégés 88 connexion bloc d’alimentation 69 connexion série 87 système à d’autres périphériques 71, 95 connexion p
Index 106 NetScreen-ISG 2000
