Juniper SRX防火墙简明配置手册
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。://yzmbk.blog.51cto.//
Juniper SRX防火墙简明配置手册
SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。
本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。
JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),exit命令退回上一级,top命令回到根级。
JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate
Config)等待管理员提交确认,管理员通过输入mit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦mit通过后当前配置即成为有效配置(Active config)。另外,JUNOS允许执行mit命令时要求管理员对提交的配置进行两次确认,如执行mit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入mit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
在执行mit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config),在执行mit后配置模式下可通过run show config命令查看当前有效配置(Active config)。此外可通过执行show | pare比对候选配置和有效配置的差异。
SRX上由于配备大容量硬盘存储器,缺省按先后mit顺序自动保存50份有效配置,并可通过执行rolback和mit命令返回到以前配置(如rollback 0/mit可返回到前一mit配置);也可以直接通过执行save configname.conf手动保存当前配置,并执行load override configname.conf / mit调用前期手动保存的配置。执行load factory-default / mit命令可恢复到出厂缺省配置。
SRX可对模块化配置进行功能关闭与激活,如执行deactivate security nat/it命令可使NAT相关配置不生效,并可通过执行activate security nat/mit使NAT配置再次生效。
SRX通过set语句来配置防火墙,通过delete语句来删除配置,如delete security nat和edit security nat / delete一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。
部署SRX防火墙主要有以下几个方面需要进行配置:
System:主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务(如tel)等内容。
Interface:接口相关配置内容。
Security: 是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下完成配置,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等,可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下,除了Application自定义服务。
Application:自定义服务单独在此进行配置,配置内容与ScreenOS基本一致。
routing-options: 配置静态路由或router-id等系统全局路由属性配置。
--- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTC
root% cli /***进入操作模式***/
root>
root> configure
Entering configuration mode /***进入配置模式***/
[edit]
Root#
2.1.2设置root用户口令
设置root用户口令
root# set system root-authentication plain-text-password
root# new password : root123
root# retype new password: root123
密码将以密文方式显示
root# show system root-authentication
encrypted-password "$1$xavDeUe6$fNM6olGU.8.M7B62u05D6."; # SECRET-DATA
注意:强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式),此配置参数要求输入的口令应是经加密算法加密后的字符串,采用这种加密方式手工输入时存在密码无法通过验证风险。
注:root用户仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必须成功设置root口令后,才能执行mit提交后续配置命令。
2.1.3设置远程登陆管理用户
root# set system login user lab class super-user authentication plain-text-password
root# new password : lab123
root# retype new password: lab123
注:此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。
2.1.4远程管理SRX相关配置
run set date YYYYMMDDhhmm.ss /***设置系统时钟***/
set system time-zone Asia/Shanghai /***设置时区为上海***/
set system host-name SRX3400-A /***设置主机名***/
set system name-server 1.1.1.1 /***设置DNS服务器***/
set system services ftp
set system services tel
set system services web-management
/***在系统级开启ftp/tel/远程接入管理服务***/
set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
/***配置逻辑接口地址及缺省路由,SRX接口要求IP地址必须配置在逻辑接口下(类似ScreenOS的子接口),通常使用逻辑接口0即可***/
set security zones security-zone untrust interfaces ge-0/0/0.0
/***将ge-0/0/0.0接口放到untrust zone去,类似ScreenOS***/
set security zones security-zone untrust host-inbound-traffic system-services ping
set security zones security-zone untrust host-inbound-traffic system-services
set security zones security-zone untrust host-inbound-traffic system-services tel
/***在untrust zone打开允许远程登陆管理服务,ScreenOS要求基于接口开放服务,SRX要求基于Zone开放,从SRX主动访问出去流量开启服务,类似ScreenOS***/
Policy配置方法与ScreenOS基本一致,仅在配置命令上有所区别,其中策略的允许/拒绝的动作(Action)需要额外配置一条then语句(将ScreenOS的一条策略分解成两条及以上配置语句)。Policy需要手动配置policy name,policy name可以是字符串,也可以是数字(与ScreenOS的policy ID类似,只不过需要手工指定)。
set security zones security-zone untrust address-book address server1 10.0.2.1/32
/***与ScreenOS一样,在trust和untrust zone下分别定义地址对象便于策略调用,地址对象的名称可以是地址/掩码形式***/
set security zones security-zone trust address-book address-set addr-group1 address pc1
/***在trust zone下定义名称为add-group1的地址组,并将pc1地址放到该地址组中***/
set security policies from-zone trust to-zone untrust policy 001 match source-address addr-group1 destination-address server1 application any
set security policies from-zone trust to-zone untrust policy 001 then permit
/***定义从trust 到untrust方向permit策略,允许addr-group1组的源地址访问server1地址any服务***/
SRX NAT较ScreenOS在功能实现方面基本保持一致,但在功能配置上有较大区别,配置的主要差异在于ScreenOS的NAT与policy是绑定的,无论是MIP/VIP/DIP还是基于策略的NAT,在policy中均要体现出NAT内容(除了缺省基于untrust接口的Souec-NAT模式外),而SRX 的NAT则作为网络层面基础内容进行独立配置(独立定义地址映射的方向、映射关系及地址范围),Policy中不再包含NAT相关配置信息,这样的好处是易于理解、简化运维,当网络拓朴和NAT映射关系发生改变时,无需调整Policy配置内容。
SRX NAT和Policy执行先后顺序为:目的地址转换-目的地址路由查找-执行策略检查-源地址转换,结合这个执行顺序,在配置Policy时需注意:Policy中源地址应是转换前的源地址,而目的地址应该是转换后的目的地址,换句话说,Policy中的源和目的地址应该是源和目的两端的真实IP地址,这一点和ScreenOS存在区别,需要加以注意。
SRX中不再使用MIP/VIP/DIP这些概念,其中MIP被Static静态地址转换取代,两者在功能上完全一致;DIP被Source NAT取代;基于Policy的目的地址转换及VIP被 Destination NAT取代。ScreenOS中基于Untrust zone接口的源地址转换被保留下来,但在SRX中不再是缺省模式(SRX中Trust Zone接口没有NAT模式概念),需要手工配置。类似ScreenOS,Static属于双向NAT,其他类型均属于单向NAT,
此外,SRX还多了一个proxy-arp概念,如果定义的IP Pool(可用于源或目的地址转换)与接口IP在同一子网时,需配置SRX对这个Pool内的地址提供ARP代理功能,这样对端设备能够解析到IP Pool地址的MAC地址(使用接口MAC地址响应对方),以便于返回报文能够送达SRX。下面是配置举例及相关说明:
2.3.1 Interface based NAT
NAT:
set security nat source rule-set 1 from zone trust
set security nat source rule-set 1 to zone untrust
set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0
set security nat source rule-set 1 rule rule1 then source-nat interface
上述配置定义NAT源地址映射规则,从Trust Zone访问Untrust Zone的所有流量用Untrust Zone接口IP做源地址转换。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address 10.1.2.2
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定义Policy策略,允许Trust zone 10.1.2.2地址访问Untrust方向任何地址,根据前面的NAT配置,SRX在建立session时自动执行接口源地址转换。
2.3.2 Pool based Source NAT
NAT:
set security nat source pool pool-1 address 100.1.1.10 to 100.1.1.20
set security nat source rule-set 1 from zone trust
set security nat source rule-set 1 to zone untrust
set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0
set security nat source rule-set 1 rule rule1 then source-nat pool pool-1
set security nat proxy-arp interface ge-0/0/2 address 100.1.1.10 to 100.1.1.20
上述配置表示从trust方向(any)到untrust方向(any)访问时提供源地址转换,源地址池为pool1(100.1.1.10 -100.1.1.20),同时ge-0/0/2接口为此pool IP提供ARP代理。需要注意的是:定义Pool时不需要与Zone及接口进行关联。配置proxy-arp目的是让返回包能够送达SRX,如果Pool与出接口IP不在同一子网,则对端设备需要配置指向100.1.1.1的Pool地址路由。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address 10.1.1.2
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定义Policy策略,允许Trust zone 10.1.2.2地址访问Untrust方向任何地址,根据前面的NAT配置,SRX在建立session时自动执行源地址转换。
2.3.3 Pool base destination NAT
NAT:
set security nat destination pool 111 address 192.168.1.100/32
set security nat destination rule-set 1 from zone untrust
set security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0
set security nat destination rule-set 1 rule 111 match destination-address 100.100.100.100/32
set security nat destination rule-set 1 rule 111 then destination-nat pool 111
上述配置将外网any访问100.100.100.100地址映射到内网192.168.1.100地址,注意:定义的Dst Pool是内网真实IP地址,而不是映射前的公网地址。这点和Src-NAT Pool有所区别。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address 192.168.1.100
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定义Policy策略,允许Untrust方向任何地址访问Trust方向192.168.1.100,根据前面的NAT配置,公网访问100.100.100.100时,SRX自动执行到192.168.1.100的目的地址转换。
ScreenOS VIP功能对应的SRX Dst-nat配置:
set security nat destination pool 222 address 192.168.1.200/32 port 8000
set security nat destination rule-set 1 from zone untrust
set security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0
set security nat destination rule-set 1 rule 111 match destination-address 100.100.100.100/32
set security nat destination rule-set 1 rule 111 match destination-port 8000
set security nat destination rule-set 1 rule 111 then destination-nat pool 222
上述NAT配置定义:访问100.100.100.100地址8000端口映射至192.168.1.200地址8000端口,功能与ScreenOS VIP端口映射一致。
2.3.4 Pool base Static NAT
NAT:
set security nat static rule-set static-nat from zone untrust
set security nat static rule-set static-nat rule rule1 match destination-address 100.100.100.100
set security nat static rule-set static-nat rule rule1 then static-nat prefix 192.168.1.200
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address 192.168.1.200
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
Static NAT概念与ScreenOS MIP一致,属于静态双向一对一NAT,上述配置表示访问100.100.100.100时转换为192.168.1.200,当192.168.1.200访问Inter时自动转换为100.100.100.100。
SRX IPSEC VPN支持Site-to-Site VPN 和基于NS-remote的拨号VPN,和ScreenOS一样,site-to-site VPN也支持路由模式和Policy模式,在配置方面也和ScreenOS基本一致。SRX中的加密/验证算法在命名上和ScreenOS存在一些区别,配置过程中建议选择ike和ipsec的proposal为 standard模式,standard中包含SRX支持的全部加密/验证算法,只要对端设备支持其中任何一种即可。SRX中通道接口使用st0接口,对应ScreenOS中的tunnel虚拟接口。
下面是图中左侧SRX基于路由方式Site-to-site VPN配置:
set routing-options static route 10.1.2.0/24 next-hop st0.0
定义st0 tunnel接口地址/Zone及通过VPN通道到对端网络路由
set security ike policy ABC mode main
set security ike policy ABC proposal-set standard
set security ike policy ABC pre-shared-key ascii-text juniper
定义IKE Phase1 policy参数,main mode,standard proposal及预共享密钥方式
set security ike gateway gw1 ike-policy ABC
set security ike gateway gw1 address 10.0.2.1
set security ike gateway gw1 external-interface ge-0/0/1.0
定义IKE gaeway参数,预共享密钥认证,对端网关10.0.2.1,出接口ge-0/0/1(位于untrust zone)
set security ipsec policy AAA proposal-set standard
set security ipsec 1 bind-interface st0.0
set security ipsec 1 ike gateway gw1
set security ipsec 1 ike ipsec-policy AAA
set security ipsec 1 establish-tunnels immediately
定义ipsec Phase 2 VPN参数:standard proposal、与st0.0接口绑定,调用Phase 1 gw1 ike网关。
set security policies from-zone untrust to-zone trust policy -policy match source-address any
set security policies from-zone untrust to-zone trust policy -policy match destination-address any
set security policies from-zone untrust to-zone trust policy -policy match application any
set security policies from-zone untrust to-zone trust policy -policy then permit
set security policies from-zone trust to-zone untrust policy -policy match source-address any
set security policies from-zone trust to-zone untrust policy -policy match destination-address any
set security policies from-zone trust to-zone untrust policy -policy match application any
set security policies from-zone trust to-zone untrust policy -policy then permit
开启双向policy以允许VPN流量通过
SRX中自定义服务及ALG使用方法与ScreenOS保持一致,系统缺省开启FTP ALG,为TCP 21服务提供FTP应用ALG。自定义服务如果属于FTP类应用,需要将此自定义服务(非TCP 21端口)与FTP应用进行关联。下面举例定义一个FTP类服务ftp-test,使用目的端口为TCP 2100,服务超时时间为3600秒,并将此自定义服务与FTP应用关联(ALG),系统将识别此服务为FTP应用并开启FTP ALG来处理该应用流量。
set applications application ftp-test protocol tcp destination-port 2100 inactivity-timeout 3600
set applications application ftp-test application-protocol ftp
JSRP是Juniper SRX的私有HA协议,对应ScreenOS的NSRP双机集群协议,支持A/P和A/A模式,JSRP对ScreenOS NSRP协议和JUNOS Cluster集群技术进行了整合集成,熟悉NSRP协议有助于对JSRP协议的理解。JSRP和NSRP最大的区别在于JSRP是完全意义上的Cluster概念,两台设备完全当作一台设备来看待,两台设备的接口板卡顺序编号、运维变更将对两台设备同时进行操作,无需额外执行ScreenOS的配置和会话同步等操作,而ScreenOS NSRP可看作在同步配置和动态对象(session)基础上独立运行的两台单独设备。
JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应。由于SRX 是转发与控制层面完全分裂架构,JSRP需要控制层面 (配置同步)和数据层面(Session同步)两个平面的互联,建议控制和数据层面互联链路使用光纤链路直连(部分平台强制要求光纤链路直连)。
JSRP接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号,如上所示的SRX5800,每个SRX5800机箱有12个业务槽位,节点0槽位号从0开始编号,节点1槽位号从12开始往后编。
整个JSRP配置过程包括如下7个步骤
l 配置Cluster id和Node id (对应ScreenOS NSRP 的cluster id并需手工指定设备使用节点id)
l 指定Control Port (指定控制层面使用接口,用于配置同步及心跳)
l 指定Fabric Link Port (指定数据层面使用接口,主要session等RTO同步)
l 配置Redundancy Group (类似NSRP的VSD group,优先级与抢占等配置)
l 每个机箱的个性化配置 (单机无需同步的个性化配置,如主机名、带外管理口IP地址等)
l 配置Redundant Ether Interface (类似NSRP的Redundant冗余接口)
l 配置Interface Monitoring (类似NSRP interface monitor,是RG数据层面切换依据)
SRX JSRP配置样例:
l 配置Cluster id和Node id
SRX-A>set chassis cluster cluster-id 1 node 0 reboot(注意该命令需在operational模式下输入,Cluster ID取值范围为1 15,当Cluster ID = 0时将unsets the cluster)
SRX-B>set chassis cluster cluster-id 1 node 1 reboot
l 指定Control Port(如果主控板RE上有固定control-ports,则无需指定):
set chassis cluster control-ports fpc 11 port 0
set chassis cluster control-ports fpc 23 port 0
l 指定Fabric Link Port
set interfaces fab0 fabric-options member-interfaces ge-1/0/0
set interfaces fab1 fabric-options member-interfaces ge-13/0/0
注:Fabric Link中的Fab0固定用于node 0,Fab1固定用于node 1
l 配置Redundancy Group
RG0固定用于主控板RE切换,RG1以后用于redundant interface切换,RE切换独立于接口切换
set chassis cluster reth-count 10 (指定整个Cluster中redundant ether interface最多数量)
set chassis cluster redundancy-group 0 node 0 priority 200 (高值优先,与NSRP相反)
set chassis cluster redundancy-group 0 node 1 priority 100
set chassis cluster redundancy-group 1 node 0 priority 200 (高值优先,与NSRP相反)
set chassis cluster redundancy-group 1 node 1 priority 100
l 每个机箱的个性化配置,便于对两台设备的区分与管理
set groups node0 system host-name SRX-A
set groups node0 interfaces fxp0 unit 0 family i address 1.1.1.1/24 (带外网管口名称为fxp0,区别ScreenOS的MGT口)
set groups node1 system host-name SRX-B
set groups node1 interfaces fxp0 unit 0 family i address 1.1.1.2/24
set apply-groups ${node} (应用上述groups配置)
l 配置Redundant Ether Interface
Redundant Ether Interface类似ScreenOS里的redundant interface,只不过Redundant Ether interface是分布在不同的机箱上 (这一特性又类似ScreenOS 的VSI接口)。云服务器租用
Set interface ge-0/0/0 gigether-options redundant-parent reth0 (node 1的ge-0/0/0接口)
Set interface ge-13/0/0 gigether-options redundant-parent reth0 (node 1的ge-0/0/0接口)
Set interface reth0 redundant-ether-options redundancy-group 1 (reth0属于RG1)
Set interface reth0 unit 0 family i address 192.168.0.1/24
l 配置Interface Monitoring,被监控的接口Down掉后,RG1将自动进行主备切换(与ScreenOS类似),
Set cluster redundancy-group 1 interface-monitor ge-0/0/0 weight 255
Set cluster redundancy-group 1 interface-monitor ge-0/0/1 weight 255
Set cluster redundancy-group 1 interface-monitor ge-13/0/1 weight 255
l JSRP维护命令
a) 手工切换JSRP Master,RG1 原backup将成为Master
root@srx5800a> request chassis cluster failover redundancy-group 1 node 1
b) 手工恢复JSRP状态,按照优先级重新确定主备关系(高值优先)
root@srx5800b> request chassis cluster failover reset redundancy-group 1
c) 查看cluster interface
root@router> show chassis cluster interfaces
d) 查看cluster 状态、节点状态、主备关系
lab@srx5800a# run show chassis cluster status
e) 取消cluster配置
srx5800a# set chassis cluster disable reboot
f) 升级JSRP软件版本
SRX目前暂不支持软件在线升级(ISSU),升级过程会中断业务。
升级步骤如下:
1.升级node 0,注意不要重启系统
2.升级node 1,注意不要重启系统.
3.同时重启两个系统
g) 恢复处于disabled状态的node
当control port或fabric link出现故障时,为避免出现双master (split-brain)现象,JSRP会把出现故障前状态为secdonary的node设为disabled状态,即除了RE,其余部件都不工作。想要恢复必须reboot该node。
3.1 设备关机
SRX因为主控板上有大容量硬盘,为防止强行断电关机造成硬件故障,要求设备关机必须按照下面的步骤进行操作:
1. 管理终端连接SRX console口。
2. 使用具有足够权限的用户名和密码登陆CLI命令行界面。
3. 在提示符下输入下面的命令:
Please press any key to reboot(除非需要重启设备,此时不要敲任何键,否则设备将进行重启)
4. 等待console输出上面提示信息后,确认操作系统已停止运行,关闭机箱背后电源模块电源。
3.2 设备重启
SRX重启必须按照下面的步骤进行操作:
1. 管理终端连接SRX console口。
2. 使用具有足够权限的用户名和密码登陆CLI命令行界面。
3. 在提示符下输入下面的命令:
4. 等待console设备的输出,操作系统已经重新启动。
3.3 操作系统升级
SRX操作系统软件升级必须按照下面的步骤进行操作:
1. 管理终端连接SRX console口,便于升级过程中查看设备重启和软件加载状态。
2. SRX上开启FTP服务,并使用具有超级用户权限的非root用户通过FTP客户端将下载的升级软件介质上传到SRX上。
3. 升级前,执行下面的命令备份旧的软件及设定:
5. 软件加载成功后, SRX将自动重启,重启完成后检查系统当前软件版本号:
3.4 密码恢复
SRX Root密码丢失,并且没有其他的超级用户权限,那么就需要执行密码恢复,该操作需要中断设备正常运行,但不会丢失配置信息,这点与ScreenOS存在区别。
要进行密码恢复,请按照下面操作进行:
1. Console口连接SRX,然后重启SRX。
2. 在启动过程中,console上出现下面的提示的时候,按空格键中断正常启动方式,然后再进入单用户状态,并输入:boot -s
Loading /boot/defaults/loader.conf
/kernel data=… … syms=[… …]
Hit [Enter] to boot immediately, or space bar for mand prompt.
loader>
loader> boot -s
3. 执行密码恢复:在以下提示文字后输入recovery,设备将自动进行重启
Enter full pathname of shell or 'recovery' for root password recovery or RETURN for /bin/sh: recovery
4. 进入配置模式,删除root密码,并重现设置root密码:
user@host> configure
Entering configuration mode
user@host#delete system root-authentication
user@host#set system root-authentication plain-text-password
user@host#New password:
user@host#Retype new password:
user@host# mit
mit plete
下列操作命令在操作模式下使用,或在配置模式下run show…
l show system software 查看当前软件版本号
l show system uptime 查看系统启动时间
l show chassis haredware 查看硬件板卡及序列号
l show chassis environment 查看硬件板卡当前状态
l show chassis routing-engine 查看主控板(RE)资源使用及状态
l show route 查看路由表
l show arp 查看ARP表
l show log messages 查看系统日志
l show interface terse 查看所有接口运行状态
l show interface ge-x/y/z detail 查看接口运行细节信息
l monitor interface ge-x/y/z 动态统计接口数据包转发信息
l monitor traffic interface ge-x/y/z 动态报文抓取(Tcpdump,类似ScreenOS snoop命令)
l show security flow session summary 查看当前防火墙并发会话数
l show security flow session 查看当前防火墙具体并发会话
l clear security flow session all 清除当前session
l show security alg status 检查全局ALG开启情况
l SRX对应ScreenOS debug flow basic跟踪报文处理路径的命令:
§ set security flow traceoptions flag basic-datapath 开启SRX基本报文处理Debug
§ set security flow traceoptions file filename.log 将输出信息记录到指定文件中
§ set security flow traceoptions file filename.log size 设置该文件大
小,缺省128k
§ set security flow traceoptions packet-filter filter1 destination-prefix 5.5.5.2
设置报文跟踪过滤器
§ run file show filename.log 查看该Log输出信息
l SRX对应ScreenOS get tech命令,开Case时需要抓取的信息:request support information
本文出自“高森网络 技术交流论坛” 博客,请务必保留此出处://yzmbk.blog.51cto.//
Juniper SRX防火墙简明配置手册
SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。
本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。
JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),exit命令退回上一级,top命令回到根级。
JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate
Config)等待管理员提交确认,管理员通过输入mit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦mit通过后当前配置即成为有效配置(Active config)。另外,JUNOS允许执行mit命令时要求管理员对提交的配置进行两次确认,如执行mit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入mit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
在执行mit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config),在执行mit后配置模式下可通过run show config命令查看当前有效配置(Active config)。此外可通过执行show | pare比对候选配置和有效配置的差异。
SRX上由于配备大容量硬盘存储器,缺省按先后mit顺序自动保存50份有效配置,并可通过执行rolback和mit命令返回到以前配置(如rollback 0/mit可返回到前一mit配置);也可以直接通过执行save configname.conf手动保存当前配置,并执行load override configname.conf / mit调用前期手动保存的配置。执行load factory-default / mit命令可恢复到出厂缺省配置。
SRX可对模块化配置进行功能关闭与激活,如执行deactivate security nat/it命令可使NAT相关配置不生效,并可通过执行activate security nat/mit使NAT配置再次生效。
SRX通过set语句来配置防火墙,通过delete语句来删除配置,如delete security nat和edit security nat / delete一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。
部署SRX防火墙主要有以下几个方面需要进行配置:
System:主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务(如tel)等内容。
Interface:接口相关配置内容。
Security: 是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下完成配置,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等,可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下,除了Application自定义服务。
Application:自定义服务单独在此进行配置,配置内容与ScreenOS基本一致。
routing-options: 配置静态路由或router-id等系统全局路由属性配置。
--- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTC
root% cli /***进入操作模式***/
root>
root> configure
Entering configuration mode /***进入配置模式***/
[edit]
Root#
2.1.2设置root用户口令
设置root用户口令
root# set system root-authentication plain-text-password
root# new password : root123
root# retype new password: root123
密码将以密文方式显示
root# show system root-authentication
encrypted-password "$1$xavDeUe6$fNM6olGU.8.M7B62u05D6."; # SECRET-DATA
注意:强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式),此配置参数要求输入的口令应是经加密算法加密后的字符串,采用这种加密方式手工输入时存在密码无法通过验证风险。
注:root用户仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必须成功设置root口令后,才能执行mit提交后续配置命令。
2.1.3设置远程登陆管理用户
root# set system login user lab class super-user authentication plain-text-password
root# new password : lab123
root# retype new password: lab123
注:此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。
2.1.4远程管理SRX相关配置
run set date YYYYMMDDhhmm.ss /***设置系统时钟***/
set system time-zone Asia/Shanghai /***设置时区为上海***/
set system host-name SRX3400-A /***设置主机名***/
set system name-server 1.1.1.1 /***设置DNS服务器***/
set system services ftp
set system services tel
set system services web-management
/***在系统级开启ftp/tel/远程接入管理服务***/
set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
/***配置逻辑接口地址及缺省路由,SRX接口要求IP地址必须配置在逻辑接口下(类似ScreenOS的子接口),通常使用逻辑接口0即可***/
set security zones security-zone untrust interfaces ge-0/0/0.0
/***将ge-0/0/0.0接口放到untrust zone去,类似ScreenOS***/
set security zones security-zone untrust host-inbound-traffic system-services ping
set security zones security-zone untrust host-inbound-traffic system-services
set security zones security-zone untrust host-inbound-traffic system-services tel
/***在untrust zone打开允许远程登陆管理服务,ScreenOS要求基于接口开放服务,SRX要求基于Zone开放,从SRX主动访问出去流量开启服务,类似ScreenOS***/
Policy配置方法与ScreenOS基本一致,仅在配置命令上有所区别,其中策略的允许/拒绝的动作(Action)需要额外配置一条then语句(将ScreenOS的一条策略分解成两条及以上配置语句)。Policy需要手动配置policy name,policy name可以是字符串,也可以是数字(与ScreenOS的policy ID类似,只不过需要手工指定)。
set security zones security-zone untrust address-book address server1 10.0.2.1/32
/***与ScreenOS一样,在trust和untrust zone下分别定义地址对象便于策略调用,地址对象的名称可以是地址/掩码形式***/
set security zones security-zone trust address-book address-set addr-group1 address pc1
/***在trust zone下定义名称为add-group1的地址组,并将pc1地址放到该地址组中***/
set security policies from-zone trust to-zone untrust policy 001 match source-address addr-group1 destination-address server1 application any
set security policies from-zone trust to-zone untrust policy 001 then permit
/***定义从trust 到untrust方向permit策略,允许addr-group1组的源地址访问server1地址any服务***/
SRX NAT较ScreenOS在功能实现方面基本保持一致,但在功能配置上有较大区别,配置的主要差异在于ScreenOS的NAT与policy是绑定的,无论是MIP/VIP/DIP还是基于策略的NAT,在policy中均要体现出NAT内容(除了缺省基于untrust接口的Souec-NAT模式外),而SRX 的NAT则作为网络层面基础内容进行独立配置(独立定义地址映射的方向、映射关系及地址范围),Policy中不再包含NAT相关配置信息,这样的好处是易于理解、简化运维,当网络拓朴和NAT映射关系发生改变时,无需调整Policy配置内容。
SRX NAT和Policy执行先后顺序为:目的地址转换-目的地址路由查找-执行策略检查-源地址转换,结合这个执行顺序,在配置Policy时需注意:Policy中源地址应是转换前的源地址,而目的地址应该是转换后的目的地址,换句话说,Policy中的源和目的地址应该是源和目的两端的真实IP地址,这一点和ScreenOS存在区别,需要加以注意。
SRX中不再使用MIP/VIP/DIP这些概念,其中MIP被Static静态地址转换取代,两者在功能上完全一致;DIP被Source NAT取代;基于Policy的目的地址转换及VIP被 Destination NAT取代。ScreenOS中基于Untrust zone接口的源地址转换被保留下来,但在SRX中不再是缺省模式(SRX中Trust Zone接口没有NAT模式概念),需要手工配置。类似ScreenOS,Static属于双向NAT,其他类型均属于单向NAT,
此外,SRX还多了一个proxy-arp概念,如果定义的IP Pool(可用于源或目的地址转换)与接口IP在同一子网时,需配置SRX对这个Pool内的地址提供ARP代理功能,这样对端设备能够解析到IP Pool地址的MAC地址(使用接口MAC地址响应对方),以便于返回报文能够送达SRX。下面是配置举例及相关说明:
2.3.1 Interface based NAT
NAT:
set security nat source rule-set 1 from zone trust
set security nat source rule-set 1 to zone untrust
set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0
set security nat source rule-set 1 rule rule1 then source-nat interface
上述配置定义NAT源地址映射规则,从Trust Zone访问Untrust Zone的所有流量用Untrust Zone接口IP做源地址转换。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address 10.1.2.2
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定义Policy策略,允许Trust zone 10.1.2.2地址访问Untrust方向任何地址,根据前面的NAT配置,SRX在建立session时自动执行接口源地址转换。
2.3.2 Pool based Source NAT
NAT:
set security nat source pool pool-1 address 100.1.1.10 to 100.1.1.20
set security nat source rule-set 1 from zone trust
set security nat source rule-set 1 to zone untrust
set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0
set security nat source rule-set 1 rule rule1 then source-nat pool pool-1
set security nat proxy-arp interface ge-0/0/2 address 100.1.1.10 to 100.1.1.20
上述配置表示从trust方向(any)到untrust方向(any)访问时提供源地址转换,源地址池为pool1(100.1.1.10 -100.1.1.20),同时ge-0/0/2接口为此pool IP提供ARP代理。需要注意的是:定义Pool时不需要与Zone及接口进行关联。配置proxy-arp目的是让返回包能够送达SRX,如果Pool与出接口IP不在同一子网,则对端设备需要配置指向100.1.1.1的Pool地址路由。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address 10.1.1.2
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定义Policy策略,允许Trust zone 10.1.2.2地址访问Untrust方向任何地址,根据前面的NAT配置,SRX在建立session时自动执行源地址转换。
2.3.3 Pool base destination NAT
NAT:
set security nat destination pool 111 address 192.168.1.100/32
set security nat destination rule-set 1 from zone untrust
set security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0
set security nat destination rule-set 1 rule 111 match destination-address 100.100.100.100/32
set security nat destination rule-set 1 rule 111 then destination-nat pool 111
上述配置将外网any访问100.100.100.100地址映射到内网192.168.1.100地址,注意:定义的Dst Pool是内网真实IP地址,而不是映射前的公网地址。这点和Src-NAT Pool有所区别。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address 192.168.1.100
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定义Policy策略,允许Untrust方向任何地址访问Trust方向192.168.1.100,根据前面的NAT配置,公网访问100.100.100.100时,SRX自动执行到192.168.1.100的目的地址转换。
ScreenOS VIP功能对应的SRX Dst-nat配置:
set security nat destination pool 222 address 192.168.1.200/32 port 8000
set security nat destination rule-set 1 from zone untrust
set security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0
set security nat destination rule-set 1 rule 111 match destination-address 100.100.100.100/32
set security nat destination rule-set 1 rule 111 match destination-port 8000
set security nat destination rule-set 1 rule 111 then destination-nat pool 222
上述NAT配置定义:访问100.100.100.100地址8000端口映射至192.168.1.200地址8000端口,功能与ScreenOS VIP端口映射一致。
2.3.4 Pool base Static NAT
NAT:
set security nat static rule-set static-nat from zone untrust
set security nat static rule-set static-nat rule rule1 match destination-address 100.100.100.100
set security nat static rule-set static-nat rule rule1 then static-nat prefix 192.168.1.200
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address 192.168.1.200
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
Static NAT概念与ScreenOS MIP一致,属于静态双向一对一NAT,上述配置表示访问100.100.100.100时转换为192.168.1.200,当192.168.1.200访问Inter时自动转换为100.100.100.100。
SRX IPSEC VPN支持Site-to-Site VPN 和基于NS-remote的拨号VPN,和ScreenOS一样,site-to-site VPN也支持路由模式和Policy模式,在配置方面也和ScreenOS基本一致。SRX中的加密/验证算法在命名上和ScreenOS存在一些区别,配置过程中建议选择ike和ipsec的proposal为 standard模式,standard中包含SRX支持的全部加密/验证算法,只要对端设备支持其中任何一种即可。SRX中通道接口使用st0接口,对应ScreenOS中的tunnel虚拟接口。
下面是图中左侧SRX基于路由方式Site-to-site VPN配置:
set routing-options static route 10.1.2.0/24 next-hop st0.0
定义st0 tunnel接口地址/Zone及通过VPN通道到对端网络路由
set security ike policy ABC mode main
set security ike policy ABC proposal-set standard
set security ike policy ABC pre-shared-key ascii-text juniper
定义IKE Phase1 policy参数,main mode,standard proposal及预共享密钥方式
set security ike gateway gw1 ike-policy ABC
set security ike gateway gw1 address 10.0.2.1
set security ike gateway gw1 external-interface ge-0/0/1.0
定义IKE gaeway参数,预共享密钥认证,对端网关10.0.2.1,出接口ge-0/0/1(位于untrust zone)
set security ipsec policy AAA proposal-set standard
set security ipsec 1 bind-interface st0.0
set security ipsec 1 ike gateway gw1
set security ipsec 1 ike ipsec-policy AAA
set security ipsec 1 establish-tunnels immediately
定义ipsec Phase 2 VPN参数:standard proposal、与st0.0接口绑定,调用Phase 1 gw1 ike网关。
set security policies from-zone untrust to-zone trust policy -policy match source-address any
set security policies from-zone untrust to-zone trust policy -policy match destination-address any
set security policies from-zone untrust to-zone trust policy -policy match application any
set security policies from-zone untrust to-zone trust policy -policy then permit
set security policies from-zone trust to-zone untrust policy -policy match source-address any
set security policies from-zone trust to-zone untrust policy -policy match destination-address any
set security policies from-zone trust to-zone untrust policy -policy match application any
set security policies from-zone trust to-zone untrust policy -policy then permit
开启双向policy以允许VPN流量通过
SRX中自定义服务及ALG使用方法与ScreenOS保持一致,系统缺省开启FTP ALG,为TCP 21服务提供FTP应用ALG。自定义服务如果属于FTP类应用,需要将此自定义服务(非TCP 21端口)与FTP应用进行关联。下面举例定义一个FTP类服务ftp-test,使用目的端口为TCP 2100,服务超时时间为3600秒,并将此自定义服务与FTP应用关联(ALG),系统将识别此服务为FTP应用并开启FTP ALG来处理该应用流量。
set applications application ftp-test protocol tcp destination-port 2100 inactivity-timeout 3600
set applications application ftp-test application-protocol ftp
JSRP是Juniper SRX的私有HA协议,对应ScreenOS的NSRP双机集群协议,支持A/P和A/A模式,JSRP对ScreenOS NSRP协议和JUNOS Cluster集群技术进行了整合集成,熟悉NSRP协议有助于对JSRP协议的理解。JSRP和NSRP最大的区别在于JSRP是完全意义上的Cluster概念,两台设备完全当作一台设备来看待,两台设备的接口板卡顺序编号、运维变更将对两台设备同时进行操作,无需额外执行ScreenOS的配置和会话同步等操作,而ScreenOS NSRP可看作在同步配置和动态对象(session)基础上独立运行的两台单独设备。
JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应。由于SRX 是转发与控制层面完全分裂架构,JSRP需要控制层面 (配置同步)和数据层面(Session同步)两个平面的互联,建议控制和数据层面互联链路使用光纤链路直连(部分平台强制要求光纤链路直连)。
JSRP接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号,如上所示的SRX5800,每个SRX5800机箱有12个业务槽位,节点0槽位号从0开始编号,节点1槽位号从12开始往后编。
整个JSRP配置过程包括如下7个步骤
l 配置Cluster id和Node id (对应ScreenOS NSRP 的cluster id并需手工指定设备使用节点id)
l 指定Control Port (指定控制层面使用接口,用于配置同步及心跳)
l 指定Fabric Link Port (指定数据层面使用接口,主要session等RTO同步)
l 配置Redundancy Group (类似NSRP的VSD group,优先级与抢占等配置)
l 每个机箱的个性化配置 (单机无需同步的个性化配置,如主机名、带外管理口IP地址等)
l 配置Redundant Ether Interface (类似NSRP的Redundant冗余接口)
l 配置Interface Monitoring (类似NSRP interface monitor,是RG数据层面切换依据)
SRX JSRP配置样例:
l 配置Cluster id和Node id
SRX-A>set chassis cluster cluster-id 1 node 0 reboot(注意该命令需在operational模式下输入,Cluster ID取值范围为1 15,当Cluster ID = 0时将unsets the cluster)
SRX-B>set chassis cluster cluster-id 1 node 1 reboot
l 指定Control Port(如果主控板RE上有固定control-ports,则无需指定):
set chassis cluster control-ports fpc 11 port 0
set chassis cluster control-ports fpc 23 port 0
l 指定Fabric Link Port
set interfaces fab0 fabric-options member-interfaces ge-1/0/0
set interfaces fab1 fabric-options member-interfaces ge-13/0/0
注:Fabric Link中的Fab0固定用于node 0,Fab1固定用于node 1
l 配置Redundancy Group
RG0固定用于主控板RE切换,RG1以后用于redundant interface切换,RE切换独立于接口切换
set chassis cluster reth-count 10 (指定整个Cluster中redundant ether interface最多数量)
set chassis cluster redundancy-group 0 node 0 priority 200 (高值优先,与NSRP相反)
set chassis cluster redundancy-group 0 node 1 priority 100
set chassis cluster redundancy-group 1 node 0 priority 200 (高值优先,与NSRP相反)
set chassis cluster redundancy-group 1 node 1 priority 100
l 每个机箱的个性化配置,便于对两台设备的区分与管理
set groups node0 system host-name SRX-A
set groups node0 interfaces fxp0 unit 0 family i address 1.1.1.1/24 (带外网管口名称为fxp0,区别ScreenOS的MGT口)
set groups node1 system host-name SRX-B
set groups node1 interfaces fxp0 unit 0 family i address 1.1.1.2/24
set apply-groups ${node} (应用上述groups配置)
l 配置Redundant Ether Interface
Redundant Ether Interface类似ScreenOS里的redundant interface,只不过Redundant Ether interface是分布在不同的机箱上 (这一特性又类似ScreenOS 的VSI接口)。云服务器租用
Set interface ge-0/0/0 gigether-options redundant-parent reth0 (node 1的ge-0/0/0接口)
Set interface ge-13/0/0 gigether-options redundant-parent reth0 (node 1的ge-0/0/0接口)
Set interface reth0 redundant-ether-options redundancy-group 1 (reth0属于RG1)
Set interface reth0 unit 0 family i address 192.168.0.1/24
l 配置Interface Monitoring,被监控的接口Down掉后,RG1将自动进行主备切换(与ScreenOS类似),
Set cluster redundancy-group 1 interface-monitor ge-0/0/0 weight 255
Set cluster redundancy-group 1 interface-monitor ge-0/0/1 weight 255
Set cluster redundancy-group 1 interface-monitor ge-13/0/1 weight 255
l JSRP维护命令
a) 手工切换JSRP Master,RG1 原backup将成为Master
root@srx5800a> request chassis cluster failover redundancy-group 1 node 1
b) 手工恢复JSRP状态,按照优先级重新确定主备关系(高值优先)
root@srx5800b> request chassis cluster failover reset redundancy-group 1
c) 查看cluster interface
root@router> show chassis cluster interfaces
d) 查看cluster 状态、节点状态、主备关系
lab@srx5800a# run show chassis cluster status
e) 取消cluster配置
srx5800a# set chassis cluster disable reboot
f) 升级JSRP软件版本
SRX目前暂不支持软件在线升级(ISSU),升级过程会中断业务。
升级步骤如下:
1.升级node 0,注意不要重启系统
2.升级node 1,注意不要重启系统.
3.同时重启两个系统
g) 恢复处于disabled状态的node
当control port或fabric link出现故障时,为避免出现双master (split-brain)现象,JSRP会把出现故障前状态为secdonary的node设为disabled状态,即除了RE,其余部件都不工作。想要恢复必须reboot该node。
3.1 设备关机
SRX因为主控板上有大容量硬盘,为防止强行断电关机造成硬件故障,要求设备关机必须按照下面的步骤进行操作:
1. 管理终端连接SRX console口。
2. 使用具有足够权限的用户名和密码登陆CLI命令行界面。
3. 在提示符下输入下面的命令:
Please press any key to reboot(除非需要重启设备,此时不要敲任何键,否则设备将进行重启)
4. 等待console输出上面提示信息后,确认操作系统已停止运行,关闭机箱背后电源模块电源。
3.2 设备重启
SRX重启必须按照下面的步骤进行操作:
1. 管理终端连接SRX console口。
2. 使用具有足够权限的用户名和密码登陆CLI命令行界面。
3. 在提示符下输入下面的命令:
4. 等待console设备的输出,操作系统已经重新启动。
3.3 操作系统升级
SRX操作系统软件升级必须按照下面的步骤进行操作:
1. 管理终端连接SRX console口,便于升级过程中查看设备重启和软件加载状态。
2. SRX上开启FTP服务,并使用具有超级用户权限的非root用户通过FTP客户端将下载的升级软件介质上传到SRX上。
3. 升级前,执行下面的命令备份旧的软件及设定:
5. 软件加载成功后, SRX将自动重启,重启完成后检查系统当前软件版本号:
3.4 密码恢复
SRX Root密码丢失,并且没有其他的超级用户权限,那么就需要执行密码恢复,该操作需要中断设备正常运行,但不会丢失配置信息,这点与ScreenOS存在区别。
要进行密码恢复,请按照下面操作进行:
1. Console口连接SRX,然后重启SRX。
2. 在启动过程中,console上出现下面的提示的时候,按空格键中断正常启动方式,然后再进入单用户状态,并输入:boot -s
Loading /boot/defaults/loader.conf
/kernel data=… … syms=[… …]
Hit [Enter] to boot immediately, or space bar for mand prompt.
loader>
loader> boot -s
3. 执行密码恢复:在以下提示文字后输入recovery,设备将自动进行重启
Enter full pathname of shell or 'recovery' for root password recovery or RETURN for /bin/sh: recovery
4. 进入配置模式,删除root密码,并重现设置root密码:
user@host> configure
Entering configuration mode
user@host#delete system root-authentication
user@host#set system root-authentication plain-text-password
user@host#New password:
user@host#Retype new password:
user@host# mit
mit plete
下列操作命令在操作模式下使用,或在配置模式下run show…
l show system software 查看当前软件版本号
l show system uptime 查看系统启动时间
l show chassis haredware 查看硬件板卡及序列号
l show chassis environment 查看硬件板卡当前状态
l show chassis routing-engine 查看主控板(RE)资源使用及状态
l show route 查看路由表
l show arp 查看ARP表
l show log messages 查看系统日志
l show interface terse 查看所有接口运行状态
l show interface ge-x/y/z detail 查看接口运行细节信息
l monitor interface ge-x/y/z 动态统计接口数据包转发信息
l monitor traffic interface ge-x/y/z 动态报文抓取(Tcpdump,类似ScreenOS snoop命令)
l show security flow session summary 查看当前防火墙并发会话数
l show security flow session 查看当前防火墙具体并发会话
l clear security flow session all 清除当前session
l show security alg status 检查全局ALG开启情况
l SRX对应ScreenOS debug flow basic跟踪报文处理路径的命令:
§ set security flow traceoptions flag basic-datapath 开启SRX基本报文处理Debug
§ set security flow traceoptions file filename.log 将输出信息记录到指定文件中
§ set security flow traceoptions file filename.log size 设置该文件大
小,缺省128k
§ set security flow traceoptions packet-filter filter1 destination-prefix 5.5.5.2
设置报文跟踪过滤器
§ run file show filename.log 查看该Log输出信息
l SRX对应ScreenOS get tech命令,开Case时需要抓取的信息:request support information
本文出自“高森网络 技术交流论坛” 博客,请务必保留此出处://yzmbk.blog.51cto.//