JuniperSRX配置手册.docx

1、JuniperSRX配置手册Juniper SRX防火墙配置手册之迟辟智美创作一、JUNOS把持系统介绍 1.1 条理化配置结构 JUNOS采纳基于FreeBSD内核的软件模块化把持系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明.JUNOS CLI使用条理化配置结构，分为把持（operational）和配置（configure）两类模式，在把持模式下可对以后配置、设备运行状态、路由及会话表等状态进行检查及设备运维把持，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行把持模式下的所有命令（run）.在配置模

2、式下JUNOS采纳分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd命令）,exit命令退回上一级，top命令回到根级.1.2 JunOS配置管理 JUNOS通过set语句进行配置，配置输入后其实不会立即生效，而是作为候选配置（Candidate Config）等候管理员提交确认，管理员通过输入commit命令来提交配置，配置内容在通过SRX语法检查后才会生效，一旦commit通过后以后配置即成为有效配置（Active config）.另外，JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commit confirmed 2命令要求

3、管理员必需在输入此命令后2分钟内再次输入commit以确认提交，否则2分钟后配置将自动回退，这样可以防止远程配置变更时管理员失去对SRX的远程连接风险.在执行commit命令前可通过配置模式下show命令检查以后候选配置（Candidate Config），在执行commit后配置模式下可通过run show config命令检查以后有效配置（Active config）.另外可通过执行show | compare比对候选配置和有效配置的不同. SRX上由于配备年夜容量硬盘存储器，缺省按先后commit顺序自动保管50份有效配置，并可通过执行rolback和commit命令返回到以前配置（如r

4、ollback 0/commit可返回到前一commit配置）；也可以直接通过执行save configname.conf手动保管以后配置，并执行load override configname.conf / commit调用前期手动保管的配置.执行load factorydefault / commit命令可恢复到出厂缺省配置. SRX可对模块化配置进行功能关闭与激活，如执行deactivate security nat/comit命令可使NAT相关配置不生效，并可通过执行activate security nat/commit使NAT配置再次生效. SRX通过set语句来配置防火墙，通过d

5、elete语句来删除配置，如delete security nat和edit security nat / delete一样，均可删除security防火墙层级下所有NAT相关配置，删除配置和ScreenOS分歧，配置过程中需加以留意.1.3 SRX主要配置内容 布置SRX防火墙主要有以下几个方面需要进行配置： System：主要是系统级内容配置，如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务（如telnet）等外容. Interface:接口相关配置内容. Security: 是SRX防火墙的主要配置内容，平安相关部份内容全部在Security层级

6、下完成配置，如NAT、Zone、Policy、Addressbook、Ipsec、Screen、Idp等，可简单理解为ScreenOS防火墙平安相关内容都迁移至此配置条理下，除Application自界说服务. Application：自界说服务独自在此进行配置，配置内容与ScreenOS基本一致. routingoptions： 配置静态路由或routerid等系统全局路由属性配置.二、SRX防火墙配置对比说明 战略处置流程图2.1 初始装置 2.1.1 登岸 Console口(通用超级终端缺省配置)连接SRX，root用户登岸，密码为空 login: root Password: JUNO

7、S 9.5R1.8 built 0716 15:04:30 UTC root% cli /进入把持模式root root configure /进入配置模式edit Root# 2.1.2 设置root用户口令 设置root用户口令 root# set system rootauthentication plaintextpassword root# new password : root123 root# retype new password: root123 editroot# set system login class superuser idletimeout 3 设置以后用户超时

8、时间密码将以密文方式显示 root# show system rootauthentication encryptedpassword $1$xavDeUe6$fNM6olGU.8.M7B62u05D6.; # SECRETDATA注意：强烈建议不要使用其它加密选项来加密root和其它user口令(如encryptedpassword加密方式)，此配置参数要求输入的口令应是经加密算法加密后的字符串，采纳这种加密方式手工输入时存在密码无法通过验证风险. 2.1.3 设置远程登岸管理用户 root# set system login user labclass superuser authenti

9、cation plaintextpassword /创立用户labroot# new password : lab123 /配置用户lab密码root# retype new password: lab123 注：此lab用户拥有超级管理员权限，可用于console和远程管理访问，另也可自行灵活界说其它分歧管理权限用户.2.1.4 管理SRX相关配置rootshow system uptime/检查时间root#run set date YYYYMMDDhhmm.ss /设置系统时钟root#set system timezone Asia/beijing/设置时区为北京root#set sy

10、stem hostname SRX3400A/设置主机名root#set system ntp server 202.120.2.101 /设置NTP服务器rootshow ntp associations rootshow ntp status /检查NTProotshow security alg status/检查ALG状态ALG Status : DNS : Enabled FTP : Enabled H323 : Enabled MGCP : Enabled MSRPC : Enabled PPTP : Enabled RSH : Enabled RTSP : Enabled SCC

11、P : Enabled SIP : Enabled SQL : Enabled SUNRPC : Enabled TALK : Enabled TFTP : Enabled IKEESP : Disabledroot#set system services ftp root#set system services telnet root#set system services webmanagement http /在系统级开启ftp/telnet/http远程接入管理服务rootrequest system reboot /重启系统rootrequest system poweroff /

12、关闭系统rootshow version/检查版本信息Model: srx210bJUNOS Software Release 10.4R5.5rootshow system uptime /检查系统启动时间 Current time: 0811 05:09:15 UTCSystem booted: 0811 01:12:48 UTC (03:56:27 ago)Protocols started: 0811 01:15:28 UTC (03:53:47 ago)Last configured: 0811 03:11:08 UTC (01:58:07 ago) by rootrootShow

13、chassis haredware/检查硬件板卡及序列号 Hardware inventory:Item Version Part number Serial number DescriptionChassis AC5210AA0079 SRX210bRouting Engine REV 40 750021778 AACN5249 RESRX210BFPC 0 FPC PIC 0 2x GE, 6x FE, 1x 3GPower Supply 0root show chassis environment /检查硬件板卡以后状态 Class Item Status MeasurementTemp

14、 Routing Engine OK 52 degrees C / 125 degrees F Routing Engine CPU Absent Fans SRX210 Chassis fan OK Spinning at normal speedPower Power Supply 0 OK rootshow chassis routingengine /检查主控板（RE）资源使用及状态Routing Engine status: Temperature 52 degrees C / 125 degrees F Total memory 512 MB Max 415 MB used ( 8

15、1 percent) Control plane memory 336 MB Max 306 MB used ( 91 percent) Data plane memory 176 MB Max 107 MB used ( 61 percent) CPU utilization: User 4 percent Background 0 percent Kernel 5 percent Interrupt 0 percent Idle 91 percent Model RESRX210B Serial ID AACN5249 Start time 0811 01:12:47 UTC Uptime

16、 4 hours, 17 minutes, 57 seconds Last reboot reason 0x200:chassis control reset Load averages: 1 minute 5 minute 15 minuterootshow system license /检查授权License usage: Licenses Licenses Licenses Expiry Feature name used installed needed ax411wlanap 0 2 0 permanentrootshow system processes extensive/检查

17、系统利用率last pid: 1968; load averages: 0.01, 0.03, 0.00 up 0+04:20:28 05:32:46111 processes: 17 running, 83 sleeping, 11 waitingMem: 120M Active, 87M Inact, 231M Wired, 30M Cache, 61M Buf, 1356K FreeSwap:PID USERNAME THR PRI NICE SIZE RES STATE C TIME WCPU COMMAND 1097 root 4 76 0 194M 34836K select 0

18、298:05 98.44% flowd_octeon 22 root 1 171 52 0K 16K RUN 0 203:47 84.96% idle: cpu0 24 root 1 20 139 0K 16K RUN 0 5:42 0.00% swi7: clock 21 root 1 171 52 0K 16K RUN 1 2:21 0.00% idle: cpu1 5 root 1 84 0 0K 16K rtfifo 0 1:02 0.00% rtfifo_kern_recv 1109 root 1 76 0 9724K 3796K select 0 0:46 0.00% rtlogd

19、 868 root 1 76 0 7004K 2588K select 0 0:37 0.00% eventd 52 root 1 8 0 0K 16K mdwait 0 0:34 0.00% md0 1085 root 1 76 0 16984K 10676K select 0 0:29 0.00% snmpd 1088 root 1 76 0 14288K 4788K select 0 0:23 0.00% l2ald 1090 root 2 76 0 4K 6476K select 0 0:22 0.00% pfed 1115 root 1 76 0 4180K 1104K select

20、 0 0:19 0.00% licensecheck 1087 root 1 4 0 39620K 2K kqread 0 0:15 0.00% rpd 23 root 1 40 159 0K 16K WAIT 0 0:15 0.00% swi2: net(more 39%)rootmonitor interface ge0/0/0/静态统计接口数据包转发信息Interface: ge0/0/0.0, Enabled, Link is UpFlags: SNMPTrapsEncapsulation: ENET2Local statistics: Current delta Input byte

21、s: 2986416 4121 Output bytes: 47303 90 Input packets: 47631 64 Output packets: 969 1Remote statistics: Input bytes: 94404820 (1896 bps) 6685 Output bytes: 9553700 (952 bps) 2078 Input packets: 111689 (4 pps) 50 Output packets: 59369 (2 pps) 29Traffic statistics: Input bytes: 97391236 Output bytes: ,

22、 10806 Next=n, Quit=q or ESC, Freeze=f, Thaw=t, Clear=c, Interface=irootmonitor traffic interface ge0/0/0/静态报文抓取verbose output suppressed, use or for full protocol decodeAddress resolution is ON. Use to avoid any reverse lookup delay.Address resolution timeout is 4s.Listening on ge0/0/0.0, capture s

23、ize 96 bytesReverse lookup for 172.56.1.23 failed (check DNS reachability).Other reverse lookup failures will not be reported.Use to avoid reverse lookups on IP addresses.05:41:02.884849 In IPX 00000000.00:13:8f:74:bc:19.0455 00000000.ff:ff:ff:ff:ff:ff.0455: ipxnetbios 5005:41:03.509837 Out IP trunc

24、atedip 10 bytes missing! 172.56.3.34.55730 .domain: 51866+|domain05:41:03.568547 In STP 802.1d, Config, Flags none, bridgeid 8000.00:06:53:48:8a:80.8010, length 4305:41:03.678096 In IPX 00000000.00:13:8f:74:bc:19.0455 00000000.ff:ff:ff:ff:ff:ff.0455: ipxnetbios 502.1.5 接口的初始化接口说明：root% cli/进入把持模式roo

25、t rootshow interfaces /检查接口状态调整输出详细水平rootshow intefaces terserootshow interfaces briefrootshow interfaces detailrootshow interfaces extensive /由上到下检查接口的信息越来越详细rootshow interfaces detail | match fe0/0/0 /使用管道符匹配特定关键字roothelp reference security policysecurity /检查配置参考信息root help apropos security /帮手搜索关

26、键字相关的把持命令root configure /进入配置模式edit root# root# show interfaces /检查接口配置状态为接口配置IP地址的两种方法：set配置：root#show interfaces ge0/0/0.0 family inet /检查接口配置address 1.1.1.1./24edit 配置直接指定到某个层级：edit root#edit interfaces ge0/0/0.0 family inet /在该层级下为接口配置edit interfaces ge0/0/0.0 family inetedit interfaces ge0/0/0.

27、0 family inetroot#up /返回上一级，一层一层的退出（也可以使用exit和top退出到edit）edit interfacesRoot#showroot # set system syslog file monitorlog any any/创立名字为monitorlog的日志root # set system syslog file monitorlog match 172.56.3.34 /监控接口root #run monitor start monitorlog /开始监控root #run monitor stop/停止监控删除配置：root#delete inte

28、rfaces ge0/0/0.0 /普通删除配置命令root#wildcard delete interfaces fe0* /通配符匹配删除配置命令matched：fe0/0/0matched：fe0/0/1matched：fe0/0/2matched：fe0/0/3matched：fe0/0/4matched：fe0/0/5matched：fe0/0/6matched：fe0/0/7delete 8 objecgts?yes,no(no)yes配置addressbook（addressbook就是为地址命名，以便调用）editroot# edit security zones securi

29、tyzone outside / 配置outside区域addressbookedit security zones securityzone outsideedit security zones securityzone outsideroot# up edit security zonesroot#edit securityzone inside /配置inside区域addressbookedit security zones securityzone insideedit security zones securityzone insideroot# exit edit securit

30、y zonesroot# exit配置applicationeditroot# edit applications application tcp1752 /界说服务名字edit applications application tcp1752root# set protocol tcp sourceport 1752 destinationport 1752 /界说协议及端口号editroot# show applicationsapplication tcp1752 protocol tcp; sourceport 1752; destinationport 1752;配置applicationseteditroot# set applications applicationset webmgt application junosssh /配置应用服务集webmgteditroot# set applications applicationset webmgt application junospingeditroot# set applications applicationset webmgtapplication junospcanywhereeditroot# set applications