Juniper虚拟防火墙vSRX部署初体验
正文共:1234 字 19 图,预估阅读时间:2 分钟
最近意外接触到了一款Juniper SRX3400的防火墙,需求是配置IPsec VPN。通过查询官网发现该设备已经是EOL状态了,也没有了技术支持,但是业务还是要配的。经过搜索,阿里云官网有相关配置对接的案例,但是有瑕疵,应该是环境的问题,配置之后无法触发协商。
那就只能在Juniper官网搜一下资料了,最新的版本资料对应的是2017年的Junos OS 15.1X49-D80版本,但是后面的压缩包大小应该是不对,显示有834 MB,实际下载的压缩包大小为87 MB,解压之后也才132 MB。
有了这个,再就是找一个模拟环境了。在Juniper官网SRX系列防火墙介绍页面,有一款vSRX虚拟防火墙,以虚拟化的形式提供了与物理SRX系列防火墙相同的丰富功能集,且支持下一代防火墙(next-generation firewall,NGFW)功能、网络和自动化生命周期管理。安全服务可根据网络需求进行扩展,在VMware或KVM虚拟化环境中,最高支持17核VCPU、64 GB内存,转发性能最高可达200 Gbps,最高支持28 M个会话。
vSRX支持Juniper Contrail Networking和第三方软件定义网络(software-defined networking,SDN)解决方案,还可以与OpenStack等云编排工具集成。带策略执行器的Junipe安全控制器可以自动执行策略,并通过通用界面提供物理和虚拟资产的集中可见性和管理。
我们可以在以下链接获取vSRX虚拟防火墙的部署镜像:
Juniper.https://support.juniper.net/support/downloads/?p=vsrx3
有些遗憾的是,官网可以下载的vSRX版本介于2020年的20.2版本和2023年的23.4之间,远高于硬件设备的15.1版本,那就只能先用最新版本简单测试一下了。
最下面有两个.ova文件,其中一个是IDE类型的虚拟磁盘,另一个是SCSI类型的虚拟磁盘;如果是VMware环境,推荐使用SCSI类型。
点击文件列表后面的链接完成下载(仅需要使用邮箱注册账号即可)。
然后只要在VMware中加载下载的ova文件即可。以Workstation为例,在主页点击“打开虚拟机”,然后选中下载的ova文件,点击打开。
和飞塔一样,需要先同意用户许可协议。
然后会有一个默认的虚拟机名称,按需进行调整,点击“导入”即可。
部署完成之后,我们发现使用的系统配置为2核CPU、4 GB内存、18 GB系统盘,配置了3块网卡,不过都是桥接模式;如果是Workstation环境,建议改成NAT模式,方便获取IP地址。
然后启动虚拟机,加载时间稍微长一点。启动完成之后,使用root账号登录命令行,默认没有设置密码。
登录后,进入到类似于Linux命令行的视图。可以通过命令cli进入到操作员视图,可以执行查看操作,比如查看系统信息。
可以看到系统版本是23.4R1.9,系列是JunOS-es。
然后我们看一下系统接口和外部接口之间的对应关系。
show interfaces
通过对比接口的MAC地址,可以看到,接口ge-0/0/0和网络适配器2是对应的,ge-0/0/0是第一个流量接口。
接口ge-0/0/1和网络适配器3是对应的,ge-0/0/1是第二个流量接口;如果有多个接口,以此类推。
接口fxp0和网络适配器1是对应的。fxp0接口通常指的是设备上的第一个快速以太网接口(Fast Ethernet Port),在Juniper网络设备中,这个接口作为出厂默认的带外管理接口存在,用于设备的初始配置、远程管理和监控。
当然,还可以使用命令查看简要配置,brief不如terse简洁。
show interfaces terse
现在看来,这三个能联通外网的三个接口都没有IP地址;查看一下接口的配置。
接口下配置为空,通过命令configure进入到配置模式,为接口配置一个IP地址。
set interfaces fxp0 unit 0 family inet address 192.168.55.55/24
在提交配置之前,需要为root账号设置一个密码。
set system root-authentication plain-text-password
同时,建议在设备上再配置一个管理员帐户。
set system login user admin class super-user authentication plain-text-password然后使用commit命令提交、激活配置。
再次查看接口IP地址配置。
配置成功,测试一下访问是否正常。
可以看到,虽然不配置root密码无法提交配置,但root被禁止远程登录,所以配置一个新的管理员帐户还是很有必要的。
长按二维码
关注我们吧
如何在最新版的HCL 5.10.0中导入NFV镜像?
HCL中虚拟设备的转发性能怎么样?今天我们来测一下
手撸一个自动搭建openVPN服务器的SHELL脚本
ESXi的超线程状态为“已禁用”,是谁动了我的服务器?
添加E1000网卡进行测试,只有VMXNET3性能的四分之一
TensorFlow识别GPU难道就这么难吗?还是我的GPU有问题?
CentOS 7配置Bonding网卡绑定
H3C交换机S6850配置M-LAG基本功能
H3C交换机S6850配置M-LAG三层转发
SRv6典型配置
付出总有回报,全国SRv6组网实验成功了!
来模仿一下?EVE-NG 5.0还是有希望做SRv6全国组网实验的
如果学不会SRv6,那就学一下VSR的抓包吧