Juniper SRX防火墻配置手冊-命令行模式

1、IU目錄 TOC o 1-5 h z 一、JUNOS操作系統(tǒng)介紹31.1層次化配置結(jié)構(gòu)3 HYPERLINK l bookmark26 o Current Document JunOS配置管理4 HYPERLINK l bookmark30 o Current Document SRX主要配置內(nèi)容5二、SRX防火墻配置對照說明62.1初始安裝6 HYPERLINK l bookmark34 o Current Document 登陸6 HYPERLINK l bookmark40 o Current Document 2.1.2設(shè)置root用戶口令62.1.3設(shè)置遠(yuǎn)程登陸管理用戶 72.1.4

2、遠(yuǎn)程管理SRX相關(guān)配置7 HYPERLINK l bookmark46 o Current Document Policy8 HYPERLINK l bookmark50 o Current Document NAT8Interface based NAT9Pool based SourceNAT 10Pool base destination NAT11Pool base Static NAT 12IPSEC VPN 13 HYPERLINK l bookmark67 o Current Document Application and ALG 15 HYPERLINK l bookmark

3、71 o Current Document JSRP 15 HYPERLINK l bookmark97 o Current Document 三、SRX防火墻常規(guī)操作與維護(hù) 19 HYPERLINK l bookmark100 o Current Document 3.1設(shè)備關(guān)機(jī) 19設(shè)備重啟 20操作系統(tǒng)升級 20 HYPERLINK l bookmark116 o Current Document 密碼恢復(fù) 21 HYPERLINK l bookmark123 o Current Document 常用監(jiān)控維護(hù)命令 22Juniper SRX防火墻簡明配置手冊nJSRX系列防火墻是Jun

4、iper公司基于JUNOS操作系統(tǒng)的安全系列產(chǎn)品，JUNOS集成了路由、 交換、安全性和一系列豐富的網(wǎng)絡(luò)服務(wù)。目前Juniper公司的全系列路由器產(chǎn)品、交換機(jī)產(chǎn)品 和SRX安全產(chǎn)品均采用統(tǒng)一源代碼的JUNOS操作系統(tǒng)，JUNOS是全球首款將轉(zhuǎn)發(fā)與控制功能相 隔離，并采用模塊化軟件架構(gòu)的網(wǎng)絡(luò)操作系統(tǒng)。JUNOS作為電信級產(chǎn)品的精髓是Juniper真正 成功的基石，它讓企業(yè)級產(chǎn)品同樣具有電信級的不間斷運(yùn)營特性，更好的安全性和管理特性， JUNOS軟件創(chuàng)新的分布式架構(gòu)為高性能、高可用、高可擴(kuò)展的網(wǎng)絡(luò)奠定了基礎(chǔ)?；贜P架構(gòu)的 SRX系列產(chǎn)品產(chǎn)品同時(shí)提供性能優(yōu)異的防火墻、NAT、IPSEC、IPS、S

5、SL VPN和UTM等全系列安 全功能，其安全功能主要來源于已被廣泛證明的ScreenOS操作系統(tǒng)。本文旨在為熟悉Netscreen防火墻ScreenOS操作系統(tǒng)的工程師提供SRX防火墻參考配置， 以便于大家能夠快速部署和維護(hù)SRX防火墻，文檔介紹JUNOS操作系統(tǒng)，并參考ScreenOS配 置介紹SRX防火墻配置方法，最后對SRX防火墻常規(guī)操作與維護(hù)做簡要說明。一、JUNOS操作系統(tǒng)介紹1-1層次化配置結(jié)構(gòu)JUNOS采用基于FreeBSD內(nèi)核的軟件模塊化操作系統(tǒng)，支持CLI命令行和WEBUI兩種接 口配置方式，本文主要對CLI命令行方式進(jìn)行配置說明。JUNOS CLI使用層次化配置結(jié)構(gòu)，分

6、為操作(operational)和配置(configure)兩類模式，在操作模式下可對當(dāng)前配置、設(shè)備運(yùn)行狀 態(tài)、路由及會話表等狀態(tài)進(jìn)行查看及設(shè)備運(yùn)維操作，并通過執(zhí)行config或edit命令進(jìn)入配置模 式，在配置模式下可對各相關(guān)模塊進(jìn)行配置并能夠執(zhí)行操作模式下的所有命令(run)。在配置 模式下JUNOS采用分層分級模塊下配置結(jié)構(gòu)，如下圖所示，edit命令進(jìn)入下一級配置(類似unix cd命令)，exit命令退回上一級，top命令回到根級。JunOS配置管理JUNOS通過set語句進(jìn)行配置，配置輸入后并不會立即生效，而是作為候選配置 (CandidateConfig)等待管理員提交確認(rèn)，管理員

7、通過輸入commit命令來提交配置，配置內(nèi) 容在通過SRX語法檢查后才會生效，一旦commit通過后當(dāng)前配置即成為有效配置(Active config)。另外，JUNOS允許執(zhí)行commit命令時(shí)要求管理員對提交的配置進(jìn)行兩次確認(rèn)，如執(zhí) 行commit confirmed 2命令要求管理員必須在輸入此命令后2分鐘內(nèi)再次輸入commit以確認(rèn)提 交，否則2分鐘后配置將自動回退，這樣可以避免遠(yuǎn)程配置變更時(shí)管理員失去對SRX的遠(yuǎn)程連 接風(fēng)險(xiǎn)。在執(zhí)行commit命令前可通過配置模式下show命令查看當(dāng)前候選配置(Candidate Config)，在 執(zhí)行commit后配置模式下可通過run show

8、 config命令查看當(dāng)前有效配置(Active config)。此外 可通過執(zhí)行show | compare比對候選配置和有效配置的差異。SRX上由于配備大容量硬盤存儲器，缺省按先后commit順序自動保存50份有效配置，并可通 過執(zhí)行rolback和commit命令返回到以前配置(如rollback 0/commit可返回到前一 commit配置)； 也可以直接通過執(zhí)行save configname.conf手動保存當(dāng)前配置，并執(zhí)行l(wèi)oad override configname.conf / commit調(diào)用前期手動保存的配置。執(zhí)行l(wèi)oad factory-default / commi

9、t命令可恢 復(fù)到出廠缺省配置。SRX可對模塊化配置進(jìn)行功能關(guān)閉與激活，如執(zhí)行deactivate security nat/comit命令可使NAT 相關(guān)配置不生效，并可通過執(zhí)行activate security nat/commit使NAT配置再次生效。SRX通過set語句來配置防火墻，通過delete語句來刪除配置，如delete security nat和edit security nat / delete 一樣，均可刪除security防火墻層級下所有NAT相關(guān)配置，刪除配置和ScreenOS不 同，配置過程中需加以留意。SRX主要配置內(nèi)容部署SRX防火墻主要有以下幾個(gè)方面需要進(jìn)行配置

10、：System：主要是系統(tǒng)級內(nèi)容配置，如主機(jī)名、管理員賬號口令及權(quán)限、時(shí)鐘時(shí)區(qū)、Syslog、SNMP、 系統(tǒng)級開放的遠(yuǎn)程管理服務(wù)（如telnet）等內(nèi)容。Interface:接口相關(guān)配置內(nèi)容。Security:是SRX防火墻的主要配置內(nèi)容，安全相關(guān)部分內(nèi)容全部在Security層級下完成配置， 如 NAT、Zone、Policy Address-book、Ipsec、Screen、Idp 等，可簡單理解為 ScreenOS 防火墻 安全相關(guān)內(nèi)容都遷移至此配置層次下，除了 Application自定義服務(wù)。Application：自定義服務(wù)單獨(dú)在此進(jìn)行配置，配置內(nèi)容與ScreenOS基本一致。

11、routing-options：配置靜態(tài)路由或router-id等系統(tǒng)全局路由屬性配置。二、SRX防火墻配置對照說明2.1初始安裝2.1.1登陸Console（通用超級終端缺省配置）連接SRX, root用戶登陸，密碼為空login: rootPassword:-JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTCroot% cli/*進(jìn)入操作模式*/rootroot configureEntering configuration mode/*進(jìn)入配置模式 */editRoot#2.1.2設(shè)置root用戶口令設(shè)置root用戶口令root# set system

12、 root-authentication plain-text-passwordroot# new password : root123root# retype new password: root123密碼將以密文方式顯示root# show system root-authenticationencrypted-password $1$xavDeUe6$fNM6olGU.8.M7B62u05D6.”; # SECRET-DATA注意：強(qiáng)烈建議不要使用其它加密選項(xiàng)來加密root和其它user 口令（encrypted-password加密方式），此配置參數(shù)要求輸入的口令應(yīng)是經(jīng)加密算法加密后的

13、字符串，采用這種加密方式手工輸入時(shí)存在密碼無法通過驗(yàn)證風(fēng)險(xiǎn)。注：root用戶僅用于console連接本地管理SRX,不能通過遠(yuǎn)程登陸管理SRX,必須成功設(shè)置root 口令后，才能執(zhí)行commit提交后續(xù)配置命令。2.1.3設(shè)置遠(yuǎn)程登陸管理用戶root# set system login user labclass super-user authentication plain-text-passwordroot# new password : lab123root# retype new password: lab123注：此lab用戶擁有超級管理員權(quán)限，可用于console和遠(yuǎn)程管理訪問，另

14、也可自行靈活定義 其它不同管理權(quán)限用戶。2.1.4遠(yuǎn)程管理SRX相關(guān)配置/*設(shè)置系統(tǒng)時(shí)鐘*/*設(shè)置時(shí)區(qū)為上海*/*設(shè)置主機(jī)名*/*設(shè)置DNS服務(wù)器*/run set date YYYYMMDDhhmm.ssset system time-zone Asia/Shanghaiset system host-name SRX3400-Aset system name-server set system services ftp set system services telnetset system services web-management http/*在系統(tǒng)級開啟ftp/telnet/ht

15、tp遠(yuǎn)程接入管理服務(wù)*/ set interfaces ge-0/0/0.0 family inet address /24或 set interfaces ge-0/0/0 unit 0 family inet address /24set interfaces ge-0/0/1 unit 0 family inet address /24set routing-options static route /0 next-hop /* 配置邏輯接口地址及 缺省路由，SRX接口要求IP地址必須配置在邏輯接口下（類似ScreenOS的子接口），通常使用 邏輯接口 0即可*/set security

16、 zones security-zone untrust interfaces ge-0/0/0.0/*將 ge-0/0/0.0 接 口放到 untrust zone 去，類似 ScreenOS*/set security zones security-zone untrust host-inbound-traffic system-services pingset security zones security-zone untrust host-inbound-traffic system-services httpset security zones security-zone untr

17、ust host-inbound-traffic system-services telnet/*在untrust zone打開允許遠(yuǎn)程登陸管理服務(wù)，ScreenOS要求基于接口開放服務(wù)，SRX要求 基于Zone開放，從SRX主動訪問出去流量開啟服務(wù)，類似ScreenOS*/PolicyPolicy配置方法與ScreenOS基本一致，僅在配置命令上有所區(qū)別，其中策略的允許/拒絕的動作 （Action）需要額外配置一條then語句（將ScreenOS的一條策略分解成兩條及以上配置語句）。Policy需要手動配置policy name，policy name可以是字符串，也可以是數(shù)字（與Scree

18、nOS的 policy ID類似，只不過需要手工指定）。set security zones security-zone trust address-book address pci 0/32set security zones security-zone untrust address-book address server1 /32/*與ScreenOS 一樣，在trust和untrust zone下分別定義地址對象便于策略調(diào)用，地址對象的 名稱可以是地址/掩碼形式*/set security zones security-zone trust address-book address-s

19、et addr-group1 address pc1/*在trust zone下定義名稱為add-groupl的地址組，并將pci地址放到該地址組中*/set security policies from-zone trust to-zone untrust policy 001 match source-address addr-group1 destination-address server1 application anyset security policies from-zone trust to-zone untrust policy 001 then permit/*定義從tr

20、ust到untrust方向permit策略，允許addr-groupl組的源地址訪問serverl地址any 服務(wù)*/NATSRX NAT較ScreenOS在功能實(shí)現(xiàn)方面基本保持一致，但在功能配置上有較大區(qū)別，配置的主 要差異在于ScreenOS的NAT與policy是綁定的，無論是MIP/VIP/DIP還是基于策略的NAT， 在policy中均要體現(xiàn)出NAT內(nèi)容（除了缺省基于untrust接口的Souec-NAT模式外）,而SRX的 NAT則作為網(wǎng)絡(luò)層面基礎(chǔ)內(nèi)容進(jìn)行獨(dú)立配置（獨(dú)立定義地址映射的方向、映射關(guān)系及地址范圍）， Policy中不再包含NAT相關(guān)配置信息，這樣的好處是易于理解、簡化運(yùn)

21、維，當(dāng)網(wǎng)絡(luò)拓樸和NAT 映射關(guān)系發(fā)生改變時(shí)，無需調(diào)整Policy配置內(nèi)容。SRX NAT和Policy執(zhí)行先后順序?yàn)椋耗康牡刂忿D(zhuǎn)換一目的地址路由查找一執(zhí)行策略檢查一源地 址轉(zhuǎn)換，結(jié)合這個(gè)執(zhí)行順序，在配置Policy時(shí)需注意：Policy中源地址應(yīng)是轉(zhuǎn)換前的源地址， 而目的地址應(yīng)該是轉(zhuǎn)換后的目的地址，換句話說，Policy中的源和目的地址應(yīng)該是源和目的兩 端的真實(shí)IP地址，這一點(diǎn)和ScreenOS存在區(qū)別，需要加以注意。SRX中不再使用MIP/VIP/DIP這些概念，其中MIP被Static靜態(tài)地址轉(zhuǎn)換取代，兩者在功能上 完全一致；DIP被Source NAT取代；基于Policy的目的地址轉(zhuǎn)換

22、及VIP被Destination NAT取 代。ScreenOS中基于Untrust zone接口的源地址轉(zhuǎn)換被保留下來，但在SRX中不再是缺省模式 （SRX中Trust Zone接口沒有NAT模式概念），需要手工配置。類似ScreenOS，Static屬于雙 向NAT，其他類型均屬于單向NAT，此外，SRX還多了一個(gè)proxy-arp概念，如果定義的IP Pool （可用于源或目的地址轉(zhuǎn)換）與接 口 IP在同一子網(wǎng)時(shí)，需配置SRX對這個(gè)Pool內(nèi)的地址提供ARP代理功能，這樣對端設(shè)備能夠 解析到IP Pool地址的MAC地址（使用接口 MAC地址響應(yīng)對方），以便于返回報(bào)文能夠送達(dá) SRX。下

23、面是配置舉例及相關(guān)說明：2.3.1 Interface based NATINTERNET10,12.0.2410.12/ge-O/O： I.24IJNTRUSTTRUSTgM.O.ONAT：set security nat source rule-set 1 from zone trustset security nat source rule-set 1 to zone untrustset security nat source rule-set 1 rule rule1 match source-address /0 destination-address/0set security

24、nat source rule-set 1 rule rulel then source-nat interface上述配置定義NAT源地址映射規(guī)則，從Trust Zone訪問Untrust Zone的所有流量用Untrust Zone 接口 IP做源地址轉(zhuǎn)換。Policy:set security policies from-zone trust to-zone untrust policy 1 match source-address set security policies from-zone trust to-zone untrust policy 1 match destinati

25、on-address anyset security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配置定義Policy策略，允許Trust zone 地址訪問Untrust方向任何地址，根據(jù)前面 的NAT配置，SRX在建立session時(shí)自動執(zhí)行接口源地址轉(zhuǎn)換。2.3.2 Pool based Source NATNAT：set security

26、nat source pool pool-1 address 0 to 0set security nat source rule-set 1 from zone trustset security nat source rule-set 1 to zone untrustset security nat source rule-set 1 rule rule1 match source-address /0 destination-address /0set security nat source rule-set 1 rule rule1 then source-nat pool pool

27、-1set security nat proxy-arp interface ge-0/0/2 address 0 to 0上述配置表示從trust方向(any)到untrust方向(any)訪問時(shí)提供源地址轉(zhuǎn)換，源地址池為 pool1(0 -0)，同時(shí) ge-0/0/2 接口為此 pool IP 提供 ARP 代理。需要注意的是： 定義Pool時(shí)不需要與Zone及接口進(jìn)行關(guān)聯(lián)。配置proxy-arp目的是讓返回包能夠送達(dá)SRX，如 果Pool與出接口 IP不在同一子網(wǎng)，則對端設(shè)備需要配置指向的Pool地址路由。Policy：set security policies from-zone tr

28、ust to-zone untrust policy 1 match source-address set security policies from-zone trust to-zone untrust policy 1 match destination-address anyset security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit

29、上述配置定義Policy策略，允許Trust zone 地址訪問Untrust方向任何地址，根據(jù)前面 的NAT配置，SRX在建立session時(shí)自動執(zhí)行源地址轉(zhuǎn)換。Pool base destination NATset security nat destination pool 111 address 00/32set security nat destination rule-set 1 from zone untrustset security nat destination rule-set 1 rule 111 match source-address /0set security

30、nat destination rule-set 1 rule 111 match destination-address 00/32set security nat destination rule-set 1 rule 111 then destination-nat pool 111上述配置將外網(wǎng)any訪問00地址映射到內(nèi)網(wǎng)00地址，注意：定義的 Dst Pool是內(nèi)網(wǎng)真實(shí)IP地址，而不是映射前的公網(wǎng)地址。這點(diǎn)和Src-NAT Pool有所區(qū)別。Policy：set security policies from-zone trust to-zone untrust policy 1 ma

31、tch source-address anyset security policies from-zone trust to-zone untrust policy 1 match destination-address 00set security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配置定義Policy策略，允許Untrust方向任何地

32、址訪問Trust方向00，根據(jù)前面 的NAT配置，公網(wǎng)訪問00時(shí)，SRX自動執(zhí)行到00的目的地址轉(zhuǎn)換。ScreenOS VIP 功能對應(yīng)的 SRX Dst-nat 配置：set security nat destination pool 222 address 00/32 port 8000set security nat destination rule-set 1 from zone untrustset security nat destination rule-set 1 rule 111 match source-address /0set security nat destinat

33、ion rule-set 1 rule 111 match destination-address 00/32set security nat destination rule-set 1 rule 111 match destination-port 8000set security nat destination rule-set 1 rule 111 then destination-nat pool 222上述NAT配置定義：訪問00地址8000端口映射至00地址8000端口， 功能與ScreenOS VIP端口映射一致。Pool base Static NATsAt security

34、 nat static rule-sAt static-nat from zone untrust set security nat static rule-set static-nat rule rulel match destination-address 00 set security nat static rule-set static-nat rule rule1 then static-nat prefix 00Policy:set security policies from-zone trust to-zone untrust policy 1 match source-add

35、ress anyset security policies from-zone trust to-zone untrust policy 1 match destination-address 00set security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permitStatic NAT概念與ScreenOS MIP 一致，屬于靜態(tài)雙向一對一NAT，上

36、述配置表示訪問00 時(shí)轉(zhuǎn)換為 00，當(dāng) 00 訪問 Internet 時(shí)自動轉(zhuǎn)換為 00。IPSEC VPNSRX IPSEC VPN 支持 Site-to-Site VPN 和基于 NS-remote 的撥號 VPN，和 ScreenOS 一樣， site-to-site VPN也支持路由模式和Policy模式，在配置方面也和ScreenOS基本一致。SRX中的 加密/驗(yàn)證算法在命名上和ScreenOS存在一些區(qū)別，配置過程中建議選擇ike和ipsec的proposal 為standard模式，standard中包含SRX支持的全部加密/驗(yàn)證算法，只要對端設(shè)備支持其中任何 一種即可。SRX中

37、通道接口使用st0接口，對應(yīng)ScreenOS中的tunnel虛擬接口。下面是圖中左側(cè)SRX基于路由方式Site-to-site VPN配置：set interfaces st0 unit 0 family inet address /24set security zones security-zone untrust interfaces st0.0set routing-options static route /24 next-hop st0.0定義st0 tunnel接口地址/Zone及通過VPN通道到對端網(wǎng)絡(luò)路由set security ike policy ABC mode main

38、set security ike policy ABC proposal-set standardset security ike policy ABC pre-shared-key ascii-text juniper定義 IKE Phasel policy 參數(shù)，main mode，standard proposal 及預(yù)共享密鑰方式set security ike gateway gw1 ike-policy ABCset security ike gateway gw1 address set security ike gateway gw1 external-interface ge

39、-0/0/1.0定義IKE gaeway參數(shù)，預(yù)共享密鑰認(rèn)證，對端網(wǎng)關(guān)，出接口 ge-0/0/1 （位于untrust zone）set security ipsec policy AAA proposal-set standardset security ipsec vpn vpn1 bind-interface st0.0set security ipsec vpn vpn1 ike gateway gw1set security ipsec vpn vpn1 ike ipsec-policy AAAset security ipsec vpn vpn1 establish-tunnels

40、 immediately定義 ipsec Phase 2 VPN 參數(shù)：standard proposal、與 st0.0 接 口綁定，調(diào)用 Phase 1 gw1 ike 網(wǎng)關(guān)。set security policies from-zone untrust to-zone trust policy vpn-policy match source-address anyset security policies from-zone untrust to-zone trust policy vpn-policy match destination-address anyset security

41、policies from-zone untrust to-zone trust policy vpn-policy match application anyset security policies from-zone untrust to-zone trust policy vpn-policy then permitset security policies from-zone trust to-zone untrust policy vpn-policy match source-address anyset security policies from-zone trust to-

42、zone untrust policy vpn-policy match destination-address anyset security policies from-zone trust to-zone untrust policy vpn-policy match application anyset security policies from-zone trust to-zone untrust policy vpn-policy then permit開啟雙向policy以允許VPN流量通過Application and ALGSRX中自定義服務(wù)及ALG使用方法與ScreenO

43、S保持一致，系統(tǒng)缺省開啟FTP ALG為TCP 21 服務(wù)提供FTP應(yīng)用人16。自定義服務(wù)如果屬于FTP類應(yīng)用，需要將此自定義服務(wù)（非TCP 21 端口）與FTP應(yīng)用進(jìn)行關(guān)聯(lián)。下面舉例定義一個(gè)FTP類服務(wù)ftp-test，使用目的端口為TCP 2100， 服務(wù)超時(shí)時(shí)間為3600秒，并將此自定義服務(wù)與FTP應(yīng)用關(guān)聯(lián)（ALG），系統(tǒng)將識別此服務(wù)為FTP 應(yīng)用并開啟FTP ALG來處理該應(yīng)用流量。set applications application ftp-test protocol tcp destination-port 2100 inactivity-timeout 3600set app

44、lications application ftp-test application-protocol ftpJSRPJSRP是Juniper SRX的私有HA協(xié)議，對應(yīng)ScreenOS的NSRP雙機(jī)集群協(xié)議，支持A/P和A/A 模式，JSRP對ScreenOS NSRP協(xié)議和JUNOS Cluster集群技術(shù)進(jìn)行了整合集成，熟悉NSRP協(xié) 議有助于對JSRP協(xié)議的理解。JSRP和NSRP最大的區(qū)別在于JSRP是完全意義上的Cluster概 念，兩臺設(shè)備完全當(dāng)作一臺設(shè)備來看待，兩臺設(shè)備的接口板卡順序編號、運(yùn)維變更將對兩臺設(shè)備同時(shí)進(jìn)行操作，無需額外執(zhí)行ScreenOS的配置和會話同步等操作，而S

45、creenOS NSRP可看 作在同步配置和動態(tài)對象（session）基礎(chǔ)上獨(dú)立運(yùn)行的兩臺單獨(dú)設(shè)備。JSRP要求兩臺設(shè)備在軟件版本、硬件型號、板卡數(shù)量、插槽位置及端口使用方面嚴(yán)格一一對應(yīng)。 由于SRX是轉(zhuǎn)發(fā)與控制層面完全分裂架構(gòu)，JSRP需要控制層面（配置同步）和數(shù)據(jù)層面（Session 同步）兩個(gè)平面的互聯(lián)，建議控制和數(shù)據(jù)層面互聯(lián)鏈路使用光纖鏈路直連（部分平臺強(qiáng)制要求光 纖鏈路直連）。Control Plane ConnectionSPC to SPCData Plane ConnectionIOC to IOCJSRP接口命名方式采用多個(gè)機(jī)箱抽象成一個(gè)邏輯機(jī)箱之后再統(tǒng)一為各個(gè)槽位進(jìn)行編號，

46、如上所 示的SRX5800，每個(gè)SRX5800機(jī)箱有12個(gè)業(yè)務(wù)槽位，節(jié)點(diǎn)0槽位號從0開始編號，節(jié)點(diǎn)1槽 位號從12開始往后編。整個(gè)JSRP配置過程包括如下7個(gè)步驟配置Cluster id和Node id （對應(yīng)ScreenOS NSRP的cluster id并需手工指定設(shè)備使用節(jié)點(diǎn)id）指定Control Port（指定控制層面使用接口，用于配置同步及心跳） 指定 Fabric Link Port（指定數(shù)據(jù)層面使用接口，主要session等RTO 同步） 配置 Redundancy Group（類似NSRP的VSD group，優(yōu)先級與搶占等配置）每個(gè)機(jī)箱的個(gè)性化配置IP地址等）（單機(jī)無需同步

47、的個(gè)性化配置，如主機(jī)名、帶外管理口 配置 Redundant Ethernet Interface（類似NSRP的Redundant冗余接口）配置 Interface Monitoring據(jù)）（類似NSRP interface monitor，是RG數(shù)據(jù)層面切換依SRX JSRP配置樣例：配置 Cluster id 和 Node idSRX-Aset chassis cluster cluster-id 1 node 0 reboot （注意該命令需在 operational 模式下輸入，Cluster ID 取值范圍為 1 -15,當(dāng) Cluster ID = 0 時(shí)將 unsets the

48、 cluster）SRX-Bset chassis cluster cluster-id 1 node 1 reboot指定Control Port （如果主控板RE上有固定control-ports，則無需指定）：set chassis cluster control-ports fpc 11 port 0set chassis cluster control-ports fpc 23 port 0指定 Fabric Link Portset interfaces fab0 fabric-options member-interfaces ge-1/0/0set interfaces fab

49、1 fabric-options member-interfaces ge-13/0/0注：Fabric Link中的Fab0固定用于node 0，F(xiàn)ab1固定用于node 1配置 Redundancy GroupRG0固定用于主控板RE切換，RG1以后用于redundant interface切換，RE切換獨(dú)立于接口切 換set chassis cluster reth-count 10（指定整個(gè) Cluster 中 redundant ethernet interface 最多數(shù)量）set chassis cluster redundancy-group 0 node 0 priority

50、 200 （高值優(yōu)先，與 NSRP 相反）set chassis cluster redundancy-group 0 node 1 priority 100set chassis cluster redundancy-group 1 node 0 priority 200 （高值優(yōu)先，與 NSRP 相反）set chassis cluster redundancy-group 1 node 1 priority 100每個(gè)機(jī)箱的個(gè)性化配置，便于對兩臺設(shè)備的區(qū)分與管理set groups node0 system host-name SRX-Aset groups node0 interfac

51、es fxp0 unit 0 family inet address /24 （帶外網(wǎng)管口名稱為 fxp0，區(qū)別 ScreenOS 的 MGT 口）set groups nodel system host-name SRX-Bset groups nodel interfaces fxp0 unit 0 family inet address /24set apply-groups $node （應(yīng)用上述 groups 配置）配置 Redundant Ethernet InterfaceRedundant Ethernet Interface 類似 ScreenOS 里的 redundant

52、interface，只不過 Redundant Ethernet interface是分布在不同的機(jī)箱上（這一特性又類似ScreenOS的VSI接口）。Set interface ge-0/0/0 gigether-options redundant-parent reth0（node 1 的 ge-0/0/0 接口）Set interface ge-13/0/0 gigether-options redundant-parent reth0（node 1 的 ge-0/0/0 接口）Set interface reth0 redundant-ether-options redundancy-

53、group 1（reth0 屬于 RG1）Set interface reth0 unit 0 family inet address /24配置Interface Monitoring，被監(jiān)控的接口 Down掉后，RG1將自動進(jìn)行主備切換（與ScreenOS 類似），Set cluster redundancy-group 1 interface-monitor ge-0/0/0 weight 255Set cluster redundancy-group 1 interface-monitor ge-0/0/1 weight 255Set cluster redundancy-group

54、1 interface-monitor ge-13/0/0 weight 255Set cluster redundancy-group 1 interface-monitor ge-13/0/1 weight 255JSRP維護(hù)命令a）手工切換 JSRP Master， RG1 原 backup 將成為 Masterrootsrx5800a request chassis cluster failover redundancy-group 1 node 1b）手工恢復(fù)JSRP狀態(tài)，按照優(yōu)先級重新確定主備關(guān)系（高值優(yōu)先）rootsrx5800b request chassis cluster

55、failover reset redundancy-group 1c）查看 cluster interfacerootrouter show chassis cluster interfacesd)查看cluster狀態(tài)、節(jié)點(diǎn)狀態(tài)、主備關(guān)系labsrx5800a# run show chassis cluster statuse）取消cluster配置srx5800a# set chassis cluster disable rebootf）升級JSRP軟件版本SRX目前暫不支持軟件在線升級（ISSU）,升級過程會中斷業(yè)務(wù)。升級步驟如下:1.升級node 0，注意不要重啟系統(tǒng) 2.升級node

56、 1，注意不要重啟系統(tǒng).同時(shí)重啟兩個(gè)系統(tǒng)g) 恢復(fù)處于disabled狀態(tài)的node當(dāng)control port或fabric link出現(xiàn)故障時(shí)，為避免出現(xiàn)雙master (split-brain)現(xiàn)象，JSRP會把 出現(xiàn)故障前狀態(tài)為secdonary的node設(shè)為disabled狀態(tài)，即除了 RE，其余部件都不工作。 想要恢復(fù)必須reboot該node。三、SRX防火墻常規(guī)操作與維護(hù)3.1設(shè)備關(guān)機(jī)SRX因?yàn)橹骺匕迳嫌写笕萘坑脖P，為防止強(qiáng)行斷電關(guān)機(jī)造成硬件故障，要求設(shè)備關(guān)機(jī)必須 按照下面的步驟進(jìn)行操作：管理終端連接SRX console 口。使用具有足夠權(quán)限的用戶名和密碼登陸CLI命令行界面。

57、在提示符下輸入下面的命令：userhost request system haltThe operating system has halted.Please press any key to reboot除非需要重啟設(shè)備，此時(shí)不要敲任何鍵，否 則設(shè)備將進(jìn)行重啟）等待console輸出上面提示信息后，確認(rèn)操作系統(tǒng)已停止運(yùn)行，關(guān)閉機(jī)箱背后電源模 塊電源。3.2設(shè)備重啟SRX重啟必須按照下面的步驟進(jìn)行操作：管理終端連接SRX console 口。使用具有足夠權(quán)限的用戶名和密碼登陸CLI命令行界面。在提示符下輸入下面的命令：userhost request system reboot等待console設(shè)備的輸出，操作系統(tǒng)已經(jīng)重新啟動。3.3操作系統(tǒng)升級SRX操作系統(tǒng)軟件升級必須按照下面的步驟進(jìn)行操作：管理終端連接SRX console 口，便于升級過程中查看設(shè)備重啟和軟件加載狀態(tài)。SRX上開啟FTP服務(wù)，并使用具有超級用戶權(quán)限的非root用戶通過FTP客戶端將下 載的升級軟件介質(zhì)上傳到SRX上。升級前，執(zhí)行下面的命令備份舊的軟件及設(shè)定：