SRX安全網(wǎng)關(guān)操作手冊102

1、SRX安全網(wǎng)關(guān)操作手冊神州數(shù)碼（中國）有限公司二零一零年六月目 錄1.總體概述71.1.文檔術(shù)語72.SRX基本操作82.1.通過Console線纜連接路由器82.2.設(shè)備關(guān)閉102.3.設(shè)備重啟102.4.JUNOS升級112.5.密碼恢復(fù)113.SRX基本管理配置介紹123.1.JUNOS CLI124.SRX開機(jī)配置過程144.1.SRX硬件設(shè)備簡介144.1.1SRX 240面板圖144.1.2SRX 210面板圖154.1.3SRX 100面板圖154.2.SRX安裝流程154.3.開始配置154.3.1開機(jī)登錄164.3.2清空默認(rèn)配置164.3.3從所有配置清空后開始配置175.

2、常用故障診斷命令20查看端口狀態(tài)20查看路由表20查看OSPF鄰居關(guān)系20Ping21Traceroute21監(jiān)控接口流量21監(jiān)控RE CPU利用率22監(jiān)控并發(fā)會話數(shù)22冷卻系統(tǒng)故障檢查22機(jī)箱硬件組件故障檢查236. 設(shè)備日常維護(hù)24日常維護(hù)步驟24配置文件查看24配置文件提交247.SRX常用功能及典型配置257.1 SRX常用功能配置257.2 SRX一個典型配置286.硬件返修及CASE信息34一般性免責(zé)說明：神州數(shù)碼（中國）有限公司力求確保Juniper SRX防火墻快速安裝手冊中信息的準(zhǔn)確性，但不對信息的準(zhǔn)確性承擔(dān)任何責(zé)任。神州數(shù)碼（中國）有限公司可能隨時更改本手冊中提到的產(chǎn)品或調(diào)

3、試命令等技術(shù)，恕不另行通知。神州數(shù)碼（中國）有限公司及其供應(yīng)商不對因使用本手冊或任何Juniper網(wǎng)絡(luò)公司產(chǎn)品或服務(wù)而導(dǎo)致的任何間接、特殊、引致或意外損失而承擔(dān)任何責(zé)任，包括但不限于利潤或收入損失、替換產(chǎn)品或服務(wù)的成本、數(shù)據(jù)丟失或破壞，或使用或依賴使用本文提供的信息而造成的損失，即使Juniper 網(wǎng)絡(luò)公司或其供應(yīng)商事先已得知發(fā)生此類損失的可能性。本手冊中介紹的許多Juniper 網(wǎng)絡(luò)公司產(chǎn)品和服務(wù)都提供了書面軟件許可和有限保修。這些許可和保修為此類產(chǎn)品的購買者提供某些權(quán)利。本手冊不應(yīng)被視為擴(kuò)展、更改或修改Juniper 網(wǎng)絡(luò)公司為任何Juniper 網(wǎng)絡(luò)公司產(chǎn)品提供的任何保證或許可、或創(chuàng)建任

4、何新的或附加的保證或許可。前言Juniper網(wǎng)絡(luò)公司介紹Juniper網(wǎng)絡(luò)公司致力于實現(xiàn)網(wǎng)絡(luò)商務(wù)模式的轉(zhuǎn)型。作為全球領(lǐng)先的聯(lián)網(wǎng)解決方案和安全性解決方案供應(yīng)商,Juniper網(wǎng)絡(luò)公司對依賴網(wǎng)絡(luò)獲得戰(zhàn)略性收益的客戶一直給予密切關(guān)注。該公司的客戶來自于全球各行各業(yè),包括第一流的網(wǎng)絡(luò)運(yùn)營商、企業(yè)、政府機(jī)構(gòu)以及研究和教育機(jī)構(gòu)等。Juniper網(wǎng)絡(luò)公司推出的一系列聯(lián)網(wǎng)解決方案, 提供所需的安全性和性能來支持全球最大型、最復(fù)雜、要求最嚴(yán)格的關(guān)鍵網(wǎng)絡(luò), 其中包括全球頂尖的25 家服務(wù)供應(yīng)商和財富全球500 強(qiáng)企業(yè)前15強(qiáng)中的8個企業(yè)。Juniper網(wǎng)絡(luò)公司成立的唯一宗旨是預(yù)測并解決業(yè)內(nèi)最高難度的聯(lián)網(wǎng)及安全性問

5、題。今天, Juniper網(wǎng)絡(luò)公司通過以下努力, 幫助全球客戶轉(zhuǎn)變他們的網(wǎng)絡(luò)經(jīng)濟(jì)模式, 從而建立強(qiáng)大的競爭優(yōu)勢：l 保護(hù)網(wǎng)絡(luò)安全, 以抵御日益頻繁復(fù)雜的攻擊l 利用網(wǎng)絡(luò)應(yīng)用和服務(wù)來取得市場競爭優(yōu)勢l 為客戶和業(yè)務(wù)合作伙伴提供安全的定制方式來接入遠(yuǎn)程資源Juniper網(wǎng)絡(luò)公司通過其專用平臺及先進(jìn)軟件, 推動業(yè)界邁出了創(chuàng)新的一步。Juniper網(wǎng)絡(luò)公司被公認(rèn)是開發(fā)用于高性能智能網(wǎng)絡(luò)的半導(dǎo)體及軟件的佼佼者，一直走在業(yè)界創(chuàng)新的前沿，并通過這些創(chuàng)新不斷推動其所支持的網(wǎng)絡(luò)及企業(yè)實現(xiàn)轉(zhuǎn)型。神州數(shù)碼控股有限公司概述神州數(shù)碼控股有限公司（以下簡稱”神州數(shù)碼”或”集團(tuán)”，股票代碼：00861.香港）是中國領(lǐng)先的整

6、合IT服務(wù)提供商。集團(tuán)由原聯(lián)想集團(tuán)分拆而來，并于二零零一年六月一日在香港聯(lián)合交易所有限公司主板獨立上市。神州數(shù)碼致力于為中國用戶提供先進(jìn)、適用的信息技術(shù)應(yīng)用，以科技驅(qū)動工作與生活的創(chuàng)新，推進(jìn)數(shù)字化中國進(jìn)程。為此，集團(tuán)努力將自身打造成為中國最廣大用戶提供最為全面IT服務(wù)的首選供貨商。集團(tuán)業(yè)務(wù)主要包括IT規(guī)劃、流程外包、應(yīng)用開發(fā)、系統(tǒng)集成、硬件基礎(chǔ)設(shè)施服務(wù)、維保、硬件安裝、分銷及零售等八類業(yè)務(wù)，面向中國市場，為行業(yè)客戶、企業(yè)級客戶、中小企業(yè)與個人消費(fèi)者提供全方位的IT服務(wù)。集團(tuán)在全國19個主要城市設(shè)有區(qū)域中心。同超過100家全球頂尖IT品牌擁有良好的戰(zhàn)略合作伙伴關(guān)系，覆蓋全國超過1萬家代理合作伙伴

7、，為中國用戶提供最優(yōu)質(zhì)便捷的IT服務(wù)。集團(tuán)依靠多年經(jīng)驗積累的行業(yè)應(yīng)用服務(wù)能力，在金融、電信、政府等行業(yè)的IT服務(wù)領(lǐng)域建立了領(lǐng)先優(yōu)勢。同時，神州數(shù)碼亦在IT產(chǎn)品分銷領(lǐng)域保持了多年市場第一的地位。神州數(shù)碼企業(yè)系統(tǒng)本部神州數(shù)碼企業(yè)系統(tǒng)本部是以企業(yè)數(shù)據(jù)中心建設(shè)為目標(biāo)，重點覆蓋網(wǎng)絡(luò)、主機(jī)、存儲、軟件4大業(yè)務(wù)領(lǐng)域，致力于為客戶提供國際上主流的企業(yè)級軟硬件產(chǎn)品、骨干網(wǎng)絡(luò)、基礎(chǔ)網(wǎng)絡(luò)設(shè)備和全面產(chǎn)品解決方案。自1997年率先進(jìn)入高端增值服務(wù)市場，經(jīng)過不斷的探索和努力，增值服務(wù)業(yè)務(wù)取得了高速增長，是國內(nèi)第一的增值服務(wù)提供商，目前已成為神州數(shù)碼集團(tuán)重要利潤支柱之一。與近50家國際著名IT廠商建立長期戰(zhàn)略合作伙伴關(guān)系，

8、合作的渠道伙伴超過4500家,目前已搭建由渠道市場、產(chǎn)品市場、解決方案及行業(yè)市場、技術(shù)支持、維修支持、培訓(xùn)支持構(gòu)成的渠道支持系統(tǒng)，形成以北京、上海、廣州三大區(qū)域銷售中心、全國十五大平臺、八個辦事處為分銷平臺的銷售網(wǎng)絡(luò)，區(qū)域覆蓋達(dá)40余個地市。神州數(shù)碼系統(tǒng)網(wǎng)絡(luò)事業(yè)部神州數(shù)碼系統(tǒng)網(wǎng)絡(luò)事是全球領(lǐng)先的網(wǎng)絡(luò)和安全解決方案供應(yīng)商Juniper網(wǎng)絡(luò)公司的總分銷商，是全球知名提供通訊服務(wù)的西門子公司在中國的總代理，是智能應(yīng)用交換機(jī)全球領(lǐng)導(dǎo)者Radware公司和世界領(lǐng)先的下一代企業(yè)移動系統(tǒng)供應(yīng)商Aruba無線網(wǎng)絡(luò)公司在中國的總分銷商。同時，系統(tǒng)網(wǎng)絡(luò)事業(yè)部是Juniper NetworksSPG產(chǎn)品在中國地區(qū)唯一

9、的授權(quán)認(rèn)證培訓(xùn)中心和最主要的授權(quán)服務(wù)中心。系統(tǒng)網(wǎng)絡(luò)事業(yè)部有遍布全國的銷售網(wǎng)絡(luò)和技術(shù)服務(wù)體系。一直致力于追蹤安全網(wǎng)絡(luò)領(lǐng)域的新技術(shù)，構(gòu)建安全網(wǎng)絡(luò)聯(lián)盟體系，提供安全網(wǎng)絡(luò)產(chǎn)品及解決方案，推廣安全網(wǎng)絡(luò)的標(biāo)準(zhǔn)化服務(wù)。為客戶提供：Juniper Networks從安全系列（防火墻、VPN、入侵檢測和防御等一系列易于管理的安全設(shè)備和系統(tǒng)）到路由器、Infranet控制器和應(yīng)用加速平臺等全線聯(lián)網(wǎng)和安全性產(chǎn)品及解決方案；Radware負(fù)載均衡和網(wǎng)絡(luò)安全防護(hù)產(chǎn)品及解決方案；Aruba由移動控制器、接入點和Aruba移動管理系統(tǒng)組成的移動邊緣產(chǎn)品和解決方案。1. 總體概述本文檔為神州數(shù)碼公司編寫。用于說明Junipe

10、r SRX產(chǎn)品基本命令配置和硬件操作指導(dǎo)。更多的信息請參考下面的網(wǎng)站：JUNOS 9.6 : SRX 硬件手冊 :  1.1. 文檔術(shù)語Air Filter空氣過濾網(wǎng)ESD Point靜電釋放點Fan Tray風(fēng)扇盤PEM(Power Equipment Modules)電源模塊Craft Interface控制面板RE：Routing Engine路由引擎SFB: Switch Fabric Board 交換矩陣板PFE：Packet Forwarding Engine轉(zhuǎn)發(fā)引擎FRU：Field-replaceable unit可現(xiàn)場更換部件DPC：Dense

11、Port Concentrators高密度接口卡FPC：Flexible PIC Concentrator物理接口匯聚卡PIC：Physical Interface Card物理接口卡SPC：Services Processing Cards 業(yè)務(wù)處理卡NPC：Network Processing Cards網(wǎng)絡(luò)處理卡IOC ：Input Output cards 接口卡SFP：Small Factor Pluggable小型可插拔光收發(fā)器，適用千兆以太網(wǎng)2. SRX基本操作JUNOS軟件是專門為互聯(lián)網(wǎng)設(shè)計的第一種路由操作系統(tǒng)。它運(yùn)行在Juniper網(wǎng)絡(luò)公司的所有T-系列、M/MX系

12、列和J-系列路由器以及SRX系列集成安全網(wǎng)關(guān)上，被部署在全球最大、增長最迅速的網(wǎng)絡(luò)中。它提供的全套具有工業(yè)強(qiáng)度的路由協(xié)議、靈活的策略語言和領(lǐng)先的功能特性，可以高效地擴(kuò)展支持極大數(shù)量的網(wǎng)絡(luò)接口和路由。 基于標(biāo)準(zhǔn)的JUNOS軟件可以支持互聯(lián)網(wǎng)路由協(xié)議，同時控制路由器及其接口并實現(xiàn)對各種規(guī)模的網(wǎng)絡(luò)的系統(tǒng)管理。簡便易用的界面使您可以配置路由協(xié)議和接口屬性、監(jiān)控路由、檢測并排除協(xié)議和網(wǎng)絡(luò)連接故障。本節(jié)將描述設(shè)備的一些應(yīng)急操作，這些操作都會影響設(shè)備的正常功能，操作時請謹(jǐn)慎使用：n 通過Console線纜連接路由器n 設(shè)備關(guān)閉n 設(shè)備重啟n JUNOS升級n 密碼恢復(fù)2.1. 通過Console線纜連接路由

13、器使用下面的步驟連接路由器的Console接口：1. 準(zhǔn)備好Juniper路由設(shè)備自帶的Console線纜2. 將Console線纜的DB9插頭一頭插到PC或者筆記本電腦的COM口上，另外一端插到SRX的的CONSOLE口上，SRX的console口如下圖的標(biāo)號5的RJ45端口。3. 打開計算機(jī)中的終端軟件工具。例如：SecureCRT或者Windows自帶的超級終端。設(shè)置如下：n 端口：選擇第二步中Console線纜插入到PC上的端口，通常為COM 1或者COM 2n 波特率：9600n 數(shù)據(jù)位：8位n 停止位：1位n 流控：無4. 打開配置到的SecureCRT或者超級終端，按“Enter

14、”鍵，屏幕出現(xiàn)登陸的提示符，即連接成功。如果沒有顯示，請檢查線纜或者終端的配置是否正確。5. 默認(rèn)用戶名和密碼為：用戶名：root，密碼為空6. 如果密碼丟失，可以按著前面板的reset按鈕15秒以上，然后設(shè)備會自動重啟，并將所有配置恢復(fù)成出廠默認(rèn)值，此時的用戶名為：root，密碼為空如果出現(xiàn)任何現(xiàn)場無法解決的問題，請尋求Juniper TAC的幫助，參閱尋求JTAC幫助。2.2. 設(shè)備關(guān)閉Juniper設(shè)備關(guān)閉必須按照下面的步驟進(jìn)行操作，否則容易導(dǎo)致設(shè)備損壞：1. 用Console或Telnet/SSH連接到主用路由引擎上2. 使用具有足夠權(quán)限的用戶名和密碼登陸CLI命令行界面。3. 在提示

15、符下輸入下面的命令：userhost> request system haltThe operating system has halted.Please press any key to reboot4. 等待console設(shè)備的出現(xiàn)上面的輸出，確認(rèn)設(shè)備軟件已經(jīng)停止運(yùn)行。5. 關(guān)閉機(jī)箱背后電源模塊電源。如果出現(xiàn)任何現(xiàn)場無法解決的問題，請咨詢Juniper TAC的幫助，參閱尋求JTAC幫助。2.3. 設(shè)備重啟Juniper設(shè)備重啟必須按照下面的步驟進(jìn)行操作：1. 用Console或Telnet/SSH連接到主用路由引擎上2. 使用具有足夠權(quán)限的用戶名和密碼登陸CLI命令行界面。3. 在

16、提示符下輸入下面的命令：userhost> request system reboot4. 等待console設(shè)備的輸出，確認(rèn)設(shè)備軟件已經(jīng)重新啟動。如果要進(jìn)行電源關(guān)閉的重新啟動，請參閱“設(shè)備關(guān)閉”，在重新開啟電源之前必須等待60秒。如果出現(xiàn)任何現(xiàn)場無法解決的問題，請咨詢Juniper TAC的幫助，參閱尋求JTAC幫助。2.4. JUNOS升級Juniper設(shè)備在出廠時一般的設(shè)備軟件版本都比較低，因此一般建議使用比較新的版本，如10.0以上版本，軟件版本升級時不能跨過3個版本進(jìn)行，如9.*的需要升級到10.0以上的，必須先升級到9.6，再升級至10.0，否則會提示升級失敗。Juniper

17、設(shè)備JUNOS軟件升級必須按照下面的步驟進(jìn)行操作：1. 用Console或Telnet/SSH連接到設(shè)備console上2. 下載新的JUNOS軟件，放置到FTP服務(wù)器上。3. 安裝新的JUNOS軟件，這個升級過程大概為15-25分鐘：userhost> request system software add ftp/:username:password/ junos-srxsme-9.6R2.11-domestic.tgz no-copy unlink4. 重新啟動設(shè)備：userhost> request system rebootReboot the sy

18、stem ? yes,no (no) yes如果出現(xiàn)任何現(xiàn)場無法解決的問題，請尋求Juniper TAC的幫助，參閱尋求JTAC幫助。2.5. 密碼恢復(fù)如果設(shè)備的Root密碼丟失，而且沒有其他的超級用戶權(quán)限，那么就需要執(zhí)行密碼恢復(fù)，該操作需要中斷設(shè)備的正常功能。要進(jìn)行密碼恢復(fù)，請按照下面操作進(jìn)行：1. 斷電后再加電以重新啟動設(shè)備。在啟動過程中，按住設(shè)備前的reset按鈕15秒以上再放手，則設(shè)備密碼及配置會自動恢復(fù)成出廠默認(rèn)配置2. 進(jìn)入配置模式，設(shè)置新的root密碼：root> configure Entering configuration modeeditroot# set syst

19、em root-authentication plain-text-password New password:Retype new password:3. 重新啟動后，設(shè)備恢復(fù)正常。3. SRX基本管理配置介紹3.1. JUNOS CLIShell模式用root用戶登錄時，先進(jìn)入的是shell模式，提示符為：%，必須輸入cli命令后才能進(jìn)入用戶模式進(jìn)行對設(shè)備的操作；如果以非root用戶登錄，則直接進(jìn)入用戶模式。用戶模式userhost>#用戶模式在用戶模式下可以顯示SRX設(shè)備的配置、端口狀態(tài)、路由信息等。登錄到SRX上即進(jìn)入路由器的用戶模式：Example: BJ-BJ-JA-NSN-

20、A-1-RE1 (ttyp6)login: NSNPassword: NSNBJ-BJ-JA-NSN-A-1-RE1>配置模式userhost#配置模式通過在用戶模式使用edit命令進(jìn)入配置模式：Example: NSNBJ-BJ-JA-NSN-A-1-RE1> edit Entering configuration modemastereditNSNBJ-BJ-JA-NSN-A-1-RE1#設(shè)置系統(tǒng)時間userhost> set date(YYYYMMDDhhmm.ss)#配置日期及時間Example: NSNBJ-BJ-JA-NSN-A-1-RE1> set dat

21、e 201006061030.30如果出現(xiàn)任何現(xiàn)場無法解決的問題，請咨詢Juniper相關(guān)工程師，或者尋求Juniper TAC的幫助，參閱尋求JTAC幫助。4. SRX開機(jī)配置過程4.1. SRX硬件設(shè)備簡介SRX系列共有以下產(chǎn)品線：SRX 100、SRX 210、SRX 240、SRX 650、SRX 3400/3600、SRX 5600/5800該產(chǎn)品線對應(yīng)目前的SSG系列的簡單對照圖為：4.1.1 SRX 240面板圖4.1.2 SRX 210面板圖4.1.3 SRX 100面板圖4.2. SRX安裝流程CLI命令行對于路由器硬件、軟件、路由協(xié)議、網(wǎng)絡(luò)連接性的控制和故障檢查，JUNOS

22、的CLI命令行是主要的使用工具。CLI命令行可以顯示路由表信息，路由協(xié)議的信息，使用ping和traceroute工具體現(xiàn)的網(wǎng)絡(luò)連接信息?？梢酝ㄟ^連接設(shè)備上的CONSOLE、ETHERNET、AUX口進(jìn)入CLI命令行接口。4.3. 開始配置根據(jù)此版本開機(jī)配置可以實現(xiàn)小型分支機(jī)構(gòu)的網(wǎng)絡(luò)基本連通，內(nèi)網(wǎng)的私網(wǎng)地址可以通過源NAT為外網(wǎng)接口地址訪問Internet。4.3.1 開機(jī)登錄1. 第一次開機(jī)登錄用戶名為root，密碼為空。（如何連上console詳見System_management.docx）Console輸出如下：Amnesiac (ttyu0)login: root- JUNOS 10

23、.1R2.8 built 2010-05-11 05:02:14 UTC2. 登錄之后，我們在shell 模式下，輸入cli進(jìn)入用戶模式，然后輸入configure進(jìn)入配置模式：root%root% cliroot> root> configure Entering configuration modeeditroot#4.3.2 清空默認(rèn)配置1. 剛進(jìn)入配置模式下，通過show命令可以看到設(shè)備原有的配置，這是初始默認(rèn)配置，包括以后用reset鍵恢復(fù)配置，恢復(fù)出來的都是出廠默認(rèn)配置。此默認(rèn)配置對SRX進(jìn)行了基本連通性的配置，其中fe-0/0/0為外網(wǎng)口，接廣域網(wǎng)出口，fe-0/0/

24、1-7為內(nèi)網(wǎng)口，地位等同，接內(nèi)網(wǎng)交換機(jī)。同時，防火墻對內(nèi)網(wǎng)開啟DHCP服務(wù)，網(wǎng)段為/24。默認(rèn)策略放開所有由內(nèi)到外的數(shù)據(jù)，拒絕所有從外到內(nèi)的主動訪問。2. 一般情況下這份配置不要保留使用，為了方便日后故障排查，我們需要將其刪除，重新配置：root# delete This will delete the entire configurationDelete everything under this level? yes,no (no) yes配置root根用戶密碼，這個必須配置，否則無法commit提交生效配置。root# set system root-authent

25、ication plain-text-password New password:Retype new password:root# commit4.3.3 從所有配置清空后開始配置1. 配置root根用戶密碼，這個必須配置，否則無法commit提交生效配置。root# set system root-authentication plain-text-password New password:Retype new password:2. 配置hostnameeditroot# set system host-name SRX1003. 配置時區(qū)editroot# set system ti

26、me-zone GMT+84. 配置登錄登錄權(quán)限及用戶名密碼，這里配置了一個名為lab，權(quán)限為超級用戶的登錄用戶。Junos系統(tǒng)的要求密碼最少為六位，而且必須包含字母和數(shù)字。set system login class super idle-timeout 20set system login class super permissions all set system login user lab class super set system login user lab authentication plain-text-password new password:retype new p

27、assword:5. 配置telnet、web管理服務(wù)，這個需要在將來的zone的配置中進(jìn)一步放行流量。默認(rèn)情況下，系統(tǒng)禁止所有流量。在這里，針對fe-0/0/1接口開啟web管理服務(wù)。editroot# set system services telnetroot# set system services web-management http interface fe-0/0/16. 配置接口地址，這里配置外網(wǎng)接口fe-0/0/0地址為/24，內(nèi)網(wǎng)接口fe-0/0/1地址為/24。對于SRX210，對應(yīng)前兩個接口為千兆口，所以端口命名為:ge-0/0/

28、0和ge-0/0/1，其余的為fe-。editroot# set interfaces fe-0/0/0 unit 0 family inet address /24 editroot# set interfaces fe-0/0/1 unit 0 family inet address /247. 將接口放到對應(yīng)的zone中，這里是將fe-0/0/0放到untrust zone，fe-0/0/1放到trust zone。editroot# set security zones security-zone untrust interfaces fe-0/0

29、/0 editroot# set security zones security-zone trust interfaces fe-0/0/18. 在內(nèi)網(wǎng)區(qū)域trust zone內(nèi)放行系統(tǒng)管理的流量，默認(rèn)情況下，外網(wǎng)口禁止telnet和web管理的訪問流量。editroot#set security zones security-zone trust host-inbound-traffic system-services telneteditroot# set security zones security-zone trust host-inbound-traffic system-ser

30、vices http9. 配置允許內(nèi)網(wǎng)到外網(wǎng)的流量和策略。editroot#set security zones security-zone trust host-inbound-traffic protocols alleditroot#set security policies from-zone trust to-zone untrust policy trust_to_untrust match source-address anyeditroot#set security policies from-zone trust to-zone untrust policy trust_to

31、_untrust match destination-address anyeditroot#set security policies from-zone trust to-zone untrust policy trust_to_untrust match application anyeditroot#set security policies from-zone trust to-zone untrust policy trust_to_untrust then permit10. 配置出口默認(rèn)路由。editroot# set routing-options static route

32、/0 next-hop 11. 配置基于出口的源nat，所有內(nèi)網(wǎng)ip經(jīng)過fe-0/0/0出口后的數(shù)據(jù)包，全部轉(zhuǎn)換為fe-0/0/0的地址路由到公網(wǎng)上。editroot#set security nat source rule-set trust-to-untrust from zone trusteditroot#set security nat source rule-set trust-to-untrust to zone untrusteditroot#set security nat source rule-set trust-to-untrust rul

33、e source-nat-rule match source-address /0editroot#set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface12. 提交配置，使當(dāng)前配置生效。寫完配置一定要提交，否則配置不生效。editroot#commitcommit complete5. 常用故障診斷命令查看端口狀態(tài)labSRX> show interfaces terse Interface Admin Link Proto Local

34、 Remotege-0/0/0 up up ge-0/0/1 up down查看路由表labSRX> show route terse inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden)+ = Active Route, - = Last Active, * = BothA Destination P Prf Metric 1 Metric 2 Next hop AS path* /0 S 5 >* /24 D 0 >ge-0/0/9.0 查看

35、OSPF鄰居關(guān)系labr1> show ospf neighbor Address Interface State ID Pri Dead fe-0/0/0.12 Full 128 36 fe-0/0/0.13 Full 128 35Pinglabsrx> ping PING (): 56 data bytes64 bytes from : icmp_seq=0 ttl=61 time=4.967 msl

36、absrx> ping rapid PING (): 56 data bytes!labSRX# run ping rapid count 1000 size 1000 PING (): 1000 data bytes!1000 packets transmitted, 1000 packets received, 0% packet lossround-trip min/avg/max/stddev = 4.746/7.515/322.176/15

37、.056 msTraceroutelabsrx> traceroute traceroute to (), 30 hops max, 40 byte packets 1 3 (3) 158.691 ms 186.093 ms 106.141 ms2 () 4.935 ms 7.819 ms 5.172 ms監(jiān)控接口流量labsrx> monitor interface fe-0/0/1監(jiān)控RE CPU利用率labsrx>s

38、how chassis routing-engine監(jiān)控并發(fā)會話數(shù)labsrx>show security flow session summary冷卻系統(tǒng)故障檢查冷卻系統(tǒng)包含安裝在機(jī)箱側(cè)面的風(fēng)扇盤來保證SRX工作在一個可以接受的溫度環(huán)境下。要檢查風(fēng)扇盤，執(zhí)行下面的步驟：n 通過CLI命令行檢查電源模塊狀態(tài)。通過下面的命令，觀察輸出的Status域的狀態(tài)：userhost> show chassis environment .n 如果有風(fēng)扇盤發(fā)生故障，可以通過觀察判斷出哪一個風(fēng)扇除了問題。然后再處理。機(jī)箱硬件組件故障檢查對機(jī)箱組件進(jìn)行故障檢查，使用下面的指導(dǎo)：n 通過查看各板卡上相

39、應(yīng)的LED，可以檢查出相應(yīng)板卡的狀態(tài)。n 使用CLI可以查看各板卡的狀態(tài)，使用下面的命令：userhost> show chassis hardware6. 設(shè)備日常維護(hù)本章節(jié)描述了如何維護(hù)SRX中的各種硬件組件。日常維護(hù)步驟為優(yōu)化設(shè)備的性能，有規(guī)律的執(zhí)行下面的預(yù)防步驟：n 檢查設(shè)備所在的機(jī)房的條件：濕度、電源線、數(shù)據(jù)線纜以及空氣過濾網(wǎng)是否有過多的灰塵。同時應(yīng)保證路由器的通風(fēng)條件，設(shè)備本身的進(jìn)出風(fēng)口沒有距離過近的阻擋。n 檢查設(shè)備Craft Interface上的狀態(tài)報告，看看是否有系統(tǒng)告警，LED顯示是否正常。配置文件查看配置文件可從維護(hù)模式(>提示符)下查看labSRX>

40、 show configuration配置文件也可從配置模式(#提示符)下查看,注意配置模式下看得配置文件是當(dāng)前正在編輯的配置文件,跟系統(tǒng)當(dāng)前運(yùn)行的配置文件不一定一致.labSRX# showJUNOS默認(rèn)情況下用層次化的結(jié)構(gòu)來顯示配置，不同層次間用區(qū)分，如果管理員習(xí)慣看直接輸入的命令格式，可以通過管道符把輸出送到display options里去改變格式，比如：labSRX> show configuration | display set配置文件提交每次配置更改后都需要”commit”提交7.SRX常用功能及典型配置安全策略是在SRX上定義的一系列規(guī)則告訴SRX如何處理在各個安全域(

41、zone)之間或同一安全域內(nèi)各個接口之間轉(zhuǎn)發(fā)的報文應(yīng)該如何處理，比如對其進(jìn)行轉(zhuǎn)發(fā)(permit)，丟棄(deny), NAT，IPsec VPN加解密, IPS入侵防御檢查或防病毒檢查等等。7.1 SRX常用功能配置7.1.1安全域zone配置Zone是共享相同安全級別的一組網(wǎng)絡(luò)接口的集合。SRX3K/5K的所有接口默認(rèn)都放在null zone內(nèi)。Null zone是一種系統(tǒng)預(yù)定義的特殊的安全域，null zone內(nèi)的接口不能接受外界的任何報文，也不能對外發(fā)送任何報文，即null zone內(nèi)的接口是不參與業(yè)務(wù)轉(zhuǎn)發(fā)的。因此要配置安全策略，必須先創(chuàng)建zone，并把接口分配到相應(yīng)的zone里去配置舉

42、例：1. 創(chuàng)建安全域zoneset security zones security-zone trustset security zones security-zone untrust 2. 分配接口到相應(yīng)安全域zoneset security zones security-zone trust interfaces ge-0/0/0.0set security zones security-zone untrust interfaces ge-0/0/1.0每個安全域都有自己的一套自定義屬性，包括是否允許接受管理流量？接受那些類型的管理流量？是否接受路由信令？接受那些路由信令等？這些都是在s

43、ecurity zone下面相應(yīng)zone的host-inbound-traffic里配置。SRX自己發(fā)出去的流量是不受限制的。配置舉例：3. 允許trust zone接受telnet/ssh管理流量set security zones security-zone trust host-inbound-traffic system-services sshset security zones security-zone trust host-inbound-traffic system-services telnet4. 允許trust zone接受ospf/bgp路由信令set securit

44、y zones security-zone trust host-inbound-traffic protocols ospfset security zones security-zone trust host-inbound-traffic protocols bgp每個zone還可以定義自己的DDoS防護(hù)選項，這是通過Screen配置來實現(xiàn)的7.1.2 安全域zone的地址本配置SRX安全策略里不能直接使用IPv4/IPv6的prefix作為策略匹配的源地址和目標(biāo)地址，必須先在相關(guān)zone的地址本里創(chuàng)建地址本對象，再在安全策略里引用這些對象。配置舉例：set security zones

45、 security-zone trust address-book address internal-/24 /24set security zones security-zone untrust address-book address webserver /32address-book還支持創(chuàng)建address-set來包含多個離散的地址，以方便策略引用7.1.3 application配置SRX安全策略里不允許直接使用協(xié)議號，源端口，目標(biāo)端口來匹配業(yè)務(wù)應(yīng)用，只能使用application下系統(tǒng)預(yù)定義的應(yīng)用類型或用戶自定義的業(yè)務(wù)類

46、型。系統(tǒng)預(yù)定義的業(yè)務(wù)類型名字都是以”junos-“開頭的。Application同樣允許通過定義application-set來包含多個application，以方便策略引用。配置舉例：set applications application http8080 protocol tcpset applications application http8080 source-port 1-65535set applications application http8080 destination-port 80807.1.4安全策略配置SRX的安全策略配置里必須包含以下要素：l From-zon

47、el To-zonel Policy namel Match source-addressl Match destination-addressl Match applicationl Then action(permit,deny,log,idp policy等等)配置舉例：set security policies from-zone trust to-zone untrust policy 1020 match source-address internal-/24set security policies from-zone trust to-zone untru

48、st policy 1020 match destination-address webserverset security policies from-zone trust to-zone untrust policy 1020 match application http8080set security policies from-zone trust to-zone untrust policy 1020 match application junos-httpset security policies from-zone trust to-zone untrust policy 102

49、0 then permitset security policies from-zone trust to-zone untrust policy 1020 then log session-close7.1.5 SRX NAT配置介紹SRX的NAT配置與ScreenOS顯著不同，為保證系統(tǒng)的靈活性，SRX把NAT配置從安全策略里剝離出來，單獨成為一個層次：即在SRX JUNOS中安全策略只負(fù)責(zé)控制業(yè)務(wù)數(shù)據(jù)的轉(zhuǎn)發(fā)與否，NAT策略只控制業(yè)務(wù)數(shù)據(jù)的源地址和端口的翻譯規(guī)則，兩者各自獨立。SRX的NAT配置分為源地址翻譯(source NAT), 目標(biāo)地址翻譯(destination NAT)和靜態(tài)地

50、址翻譯(static NAT)三種，其配置語法都類似，只是nat rule必須被放到rule-set里使用，任意兩個zone或任意兩個網(wǎng)絡(luò)邏輯接口之間只允許有一個rule-set。值得注意的是SRX不會自動為NAT規(guī)則生成proxy-arp配置，因此如果NAT地址翻譯之后的地址跟出向接口地址不同但在同一網(wǎng)絡(luò)內(nèi)時，必須手工配置相應(yīng)接口proxy-arp以代理相關(guān)IP地址的ARP查詢回應(yīng)，否則下一條設(shè)備會由于不能通過ARP得到NAT地址的MAC地址而不能構(gòu)造完整的二層以太網(wǎng)幀頭導(dǎo)致通信失敗。配置舉例：set security nat source rule-set src-nat from zon

51、e trustset security nat source rule-set src-nat to zone untrustset security nat source rule-set src-nat rule src-1 match source-address /24set security nat source rule-set src-nat rule src-1 then source-nat interfaceset security nat destination pool 10-26-105-172-p1812 address

52、72/32set security nat destination pool 10-26-105-172-p1812 address port 1812set security nat destination rule-set dst-nat from zone ggsnset security nat destination rule-set dst-nat rule 30 match destination-address 73/32set security nat destination rule-set dst-nat rule 30 match destination

53、-port 1645set security nat destination rule-set dst-nat rule 30 then destination-nat pool 10-26-105-172-p1812set security nat destination rule-set dst-nat rule 40 match destination-address 73/32set security nat static rule-set static from zone cmnetset security nat static rule-set static rul

54、e static-10 match destination-address 7/32set security nat static rule-set static rule static-10 then static-nat prefix 70/32set security nat proxy-arp interface fe-0/0/1.0 address 7/32set security nat proxy-arp interface fe-0/0/00.0 address 73/327.2 SRX一個典型配置此配置包括以下內(nèi)容：1、定義登錄的用戶名、密碼及idle時間；2、配置 Static NAT/Src-NAT/Dst-NAT；3、配置ALG、Application；4、配置Base route VPN/