JuniperSRX配置手册.docx

JuniperSRX配置手册.docx

《JuniperSRX配置手册.docx》由会员分享，可在线阅读，更多相关《JuniperSRX配置手册.docx（29页珍藏版）》请在冰点文库上搜索。

JuniperSRX配置手册

JuniperSRX防火墙配置手册之迟辟智美创作

一、JUNOS把持系统介绍

1.1条理化配置结构

JUNOS采纳基于FreeBSD内核的软件模块化把持系统，支持CLI命令行和WEBUI两种接

口配置方式，本文主要对CLI命令行方式进行配置说明.JUNOSCLI使用条理化配置结构，分为把持（operational）和配置（configure）两类模式，在把持模式下可对以后配置、设备运行状态、路由及会话表等状态进行检查及设备运维把持，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行把持模式下的所有命令（run）.在配置模式下JUNOS采纳分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unixcd命令）,exit命令退回上一级，top命令回到根级.

1.2JunOS配置管理

JUNOS通过set语句进行配置，配置输入后其实不会立即生效，而是作为候选配置（Candidate

Config）等候管理员提交确认，管理员通过输入commit命令来提交配置，配置内容在通过SRX语法检查后才会生效，一旦commit通过后以后配置即成为有效配置（Activeconfig）.另外，JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commitconfirmed2命令要求管理员必需在输入此命令后2分钟内再次输入commit以确认提交，否则2分钟后配置将自动回退，这样可以防止远程配置变更时管理员失去对SRX的远程连接风险.

在执行commit命令前可通过配置模式下show命令检查以后候选配置（CandidateConfig），在执行commit后配置模式下可通过runshowconfig命令检查以后有效配置（Activeconfig）.另外可通过执行show|compare比对候选配置和有效配置的不同.

SRX上由于配备年夜容量硬盘存储器，缺省按先后commit顺序自动保管50份有效配置，并可通过执行rolback和commit命令返回到以前配置（如rollback0/commit可返回到前一commit配置）；也可以直接通过执行saveconfigname.conf手动保管以后配置，并执行loadoverrideconfigname.conf/commit调用前期手动保管的配置.执行loadfactorydefault/commit命令可恢复到出厂缺省配置.

SRX可对模块化配置进行功能关闭与激活，如执行deactivatesecuritynat/comit命令可使NAT

相关配置不生效，并可通过执行activatesecuritynat/commit使NAT配置再次生效.

SRX通过set语句来配置防火墙，通过delete语句来删除配置，如deletesecuritynat和editsecuritynat/delete一样，均可删除security防火墙层级下所有NAT相关配置，删除配置和ScreenOS分歧，配置过程中需加以留意.

1.3SRX主要配置内容

布置SRX防火墙主要有以下几个方面需要进行配置：

System：

主要是系统级内容配置，如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务（如telnet）等外容.

Interface:

接口相关配置内容.

Security:

是SRX防火墙的主要配置内容，平安相关部份内容全部在Security层级下完成配置，

如NAT、Zone、Policy、Addressbook、Ipsec、Screen、Idp等，可简单理解为ScreenOS防火墙平安相关内容都迁移至此配置条理下，除Application自界说服务.

Application：

自界说服务独自在此进行配置，配置内容与ScreenOS基本一致.

routingoptions：

配置静态路由或routerid等系统全局路由属性配置.

二、SRX防火墙配置对比说明

战略处置流程图

2.1初始装置

2.1.1登岸

Console口（通用超级终端缺省配置）连接SRX，root用户登岸，密码为空

login:

root

Password:

JUNOS9.5R1.8built071615:

04:

30UTC

root%cli//进入把持模式

root>

root>configure//进入配置模式

[edit]

Root#

2.1.2设置root用户口令

设置root用户口令

root#setsystemrootauthenticationplaintextpassword

root#newpassword:

root123

root#retypenewpassword:

root123

[edit]

root#setsystemloginclasssuperuseridletimeout3设置以后用户超时时间

密码将以密文方式显示

root#showsystemrootauthentication

encryptedpassword"$1$xavDeUe6$fNM6olGU.8.M7B62u05D6.";#SECRETDATA

注意：

强烈建议不要使用其它加密选项来加密root和其它user口令（如encryptedpassword加密方式），此配置参数要求输入的口令应是经加密算法加密后的字符串，采纳这种加密方式手工输入时存在密码无法通过验证风险.

2.1.3设置远程登岸管理用户

root#setsystemloginuserlabclasssuperuserauthenticationplaintextpassword//创立用户lab

root#newpassword:

lab123//配置用户lab密码

root#retypenewpassword:

lab123

注：

此lab用户拥有超级管理员权限，可用于console和远程管理访问，另也可自行灵活界说其它分歧管理权限用户.

2.1.4管理SRX相关配置

root>showsystemuptime//检查时间

root#runsetdateYYYYMMDDhhmm.ss//设置系统时钟

root#setsystemtimezoneAsia/beijing//设置时区为北京

root#setsystemhostnameSRX3400A//设置主机名

root#setsystemntpserver202.120.2.101//设置NTP服务器

root>showntpassociations

root>showntpstatus//检查NTP

root>showsecurityalgstatus//检查ALG状态

ALGStatus:

DNS:

Enabled

FTP:

Enabled

H323:

Enabled

MGCP:

Enabled

MSRPC:

Enabled

PPTP:

Enabled

RSH:

Enabled

RTSP:

Enabled

SCCP:

Enabled

SIP:

Enabled

SQL:

Enabled

SUNRPC:

Enabled

TALK:

Enabled

TFTP:

Enabled

IKEESP:

Disabled

root#setsystemservicesftp

root#setsystemservicestelnet

root#setsystemserviceswebmanagementhttp

//在系统级开启ftp/telnet/http远程接入管理服务

root>requestsystemreboot//重启系统

root>requestsystempoweroff//关闭系统

root>showversion//检查版本信息

Model:

srx210b

JUNOSSoftwareRelease[10.4R5.5]

root>showsystemuptime//检查系统启动时间

Currenttime:

081105:

09:

15UTC

Systembooted:

081101:

12:

48UTC（03:

56:

27ago）

Protocolsstarted:

081101:

15:

28UTC（03:

53:

47ago）

Lastconfigured:

081103:

11:

08UTC（01:

58:

07ago）byroot

root>Showchassisharedware//检查硬件板卡及序列号

Hardwareinventory:

ItemVersionPartnumberSerialnumberDescription

ChassisAC5210AA0079SRX210b

RoutingEngineREV40750021778AACN5249RESRX210B

FPC0FPC

PIC02xGE,6xFE,1x3G

PowerSupply0

root>showchassisenvironment//检查硬件板卡以后状态

ClassItemStatusMeasurement

TempRoutingEngineOK52degreesC/125degreesF

RoutingEngineCPUAbsent

FansSRX210ChassisfanOKSpinningatnormalspeed

PowerPowerSupply0OK

root>showchassisroutingengine//检查主控板（RE）资源使用及状态

RoutingEnginestatus:

Temperature52degreesC/125degreesF

Totalmemory512MBMax415MBused（81percent）

Controlplanememory336MBMax306MBused（91percent）

Dataplanememory176MBMax107MBused（61percent）

CPUutilization:

User4percent

Background0percent

Kernel5percent

Interrupt0percent

Idle91percent

ModelRESRX210B

SerialIDAACN5249

Starttime081101:

12:

47UTC

Uptime4hours,17minutes,57seconds

Lastrebootreason0x200:

chassiscontrolreset

Loadaverages:

1minute5minute15minute

root>showsystemlicense//检查授权

Licenseusage:

LicensesLicensesLicensesExpiry

Featurenameusedinstalledneeded

ax411wlanap020permanent

root>showsystemprocessesextensive//检查系统利用率

lastpid:

1968;loadaverages:

0.01,0.03,0.00up0+04:

20:

2805:

32:

46

111processes:

17running,83sleeping,11waiting

Mem:

120MActive,87MInact,231MWired,30MCache,61MBuf,1356KFree

Swap:

PIDUSERNAMETHRPRINICESIZERESSTATECTIMEWCPUCOMMAND

1097root4760194M34836Kselect0298:

0598.44%flowd_octeon

22root1171520K16KRUN0203:

4784.96%idle:

cpu0

24root1201390K16KRUN05:

420.00%swi7:

clock

21root1171520K16KRUN12:

210.00%idle:

cpu1

5root18400K16Krtfifo01:

020.00%rtfifo_kern_recv

1109root17609724K3796Kselect00:

460.00%rtlogd

868root17607004K2588Kselect00:

370.00%eventd

52root1800K16Kmdwait00:

340.00%md0

1085root176016984K10676Kselect00:

290.00%snmpd

1088root176014288K4788Kselect00:

230.00%l2ald

1090root27604K6476Kselect00:

220.00%pfed

1115root17604180K1104Kselect00:

190.00%licensecheck

1087root14039620K2Kkqread00:

150.00%rpd

23root1401590K16KWAIT00:

150.00%swi2:

net

（more39%）

root>monitorinterfacege0/0/0//静态统计接口数据包转发信息

Interface:

ge0/0/0.0,Enabled,LinkisUp

Flags:

SNMPTraps

Encapsulation:

ENET2

Localstatistics:

Currentdelta

Inputbytes:

2986416[4121]

Outputbytes:

47303[90]

Inputpackets:

47631[64]

Outputpackets:

969[1]

Remotestatistics:

Inputbytes:

94404820（1896bps）[6685]

Outputbytes:

9553700（952bps）[2078]

Inputpackets:

111689（4pps）[50]

Outputpackets:

59369（2pps）[29]

Trafficstatistics:

Inputbytes:

97391236Outputbytes:

[10806]

Next='n',Quit='q'orESC,Freeze='f',Thaw='t',Clear='c',Interface='i'

root>monitortrafficinterfacege0/0/0//静态报文抓取

verboseoutputsuppressed,useorforfullprotocoldecode

AddressresolutionisON.Usetoavoidanyreverselookupdelay.

Addressresolutiontimeoutis4s.

Listeningonge0/0/0.0,capturesize96bytes

Reverselookupfor172.56.1.23failed（checkDNSreachability）.

Otherreverselookupfailureswillnotbereported.

UsetoavoidreverselookupsonIPaddresses.

05:

41:

02.884849InIPX00000000.00:

13:

8f:

74:

bc:

19.0455>00000000.ff:

ff:

ff:

ff:

ff:

ff.0455:

ipxnetbios50

05:

41:

03.509837OutIPtruncatedip10bytesmissing!

172.56.3.34.55730>.domain:

51866+[|domain]

05:

41:

03.568547InSTP802.1d,Config,Flags[none],bridgeid8000.00:

06:

53:

48:

8a:

80.8010,length43

05:

41:

03.678096InIPX00000000.00:

13:

8f:

74:

bc:

19.0455>00000000.ff:

ff:

ff:

ff:

ff:

ff.0455:

ipxnetbios50

2.1.5接口的初始化

接口说明：

root%cli//进入把持模式

root>

root>showinterfaces//检查接口状态

调整输出详细水平

root>showintefacesterse

root>showinterfacesbrief

root>showinterfacesdetail

root>showinterfacesextensive//由上到下检查接口的信息越来越详细

root>showinterfacesdetail|matchfe0/0/0//使用管道符匹配特定关键字

root>helpreferencesecuritypolicysecurity//检查配置参考信息

root>helpapropossecurity//帮手搜索关键字相关的把持命令

root>configure//进入配置模式

[edit]

root#

root#showinterfaces//检查接口配置状态

为接口配置IP地址的两种方法：

set配置：

root#showinterfacesge0/0/0.0familyinet//检查接口配置

address1.1.1.1./24

edit配置直接指定到某个层级：

[edit]

root#editinterfacesge0/0/0.0familyinet//在该层级下为接口配置

[editinterfacesge0/0/0.0familyinet]

[editinterfacesge0/0/0.0familyinet]

root#up//返回上一级，一层一层的退出（也可以使用exit和top退出到[edit]）

[editinterfaces]

Root#show

root#setsystemsyslogfilemonitorloganyany//创立名字为monitorlog的日志

root#setsystemsyslogfilemonitorlogmatch"172.56.3.34"//监控接口

root#runmonitorstartmonitorlog//开始监控

root#runmonitorstop//停止监控

删除配置：

root#deleteinterfacesge0/0/0.0//普通删除配置命令

root#wildcarddeleteinterfacesfe0*//通配符匹配删除配置命令

matched：

fe0/0/0

matched：

fe0/0/1

matched：

fe0/0/2

matched：

fe0/0/3

matched：

fe0/0/4

matched：

fe0/0/5

matched：

fe0/0/6

matched：

fe0/0/7

delete8objecgts?

[yes,no]（no）yes

配置addressbook（addressbook就是为地址命名，以便调用）

[edit]

root#editsecurityzonessecurityzoneoutside//配置outside区域addressbook

[editsecurityzonessecurityzoneoutside]

[editsecurityzonessecurityzoneoutside]

root#up

[editsecurityzones]

root#editsecurityzoneinside//配置inside区域addressbook

[editsecurityzonessecurityzoneinside]

[editsecurityzonessecurityzoneinside]

root#exit

[editsecurityzones]

root#exit

配置application

[edit]

root#editapplicationsapplicationtcp1752//界说服务名字

[editapplicationsapplicationtcp1752]

root#setprotocoltcpsourceport1752destinationport1752//界说协议及端口号

[edit]

root#showapplications

applicationtcp1752{

protocoltcp;

sourceport1752;

destinationport1752;

配置applicationset

[edit]

root#setapplicationsapplicationsetwebmgtapplicationjunosssh//配置应用服务集webmgt

[edit]

root#setapplicationsapplicationsetwebmgtapplicationjunosping

[edit]

root#setapplicationsapplicationsetwebmgtapplicationjunospcanywhere

[edit]

root#setapplications