Juniper SRX防火牆簡明配置手冊
阿新 • • 發佈:2018-12-22
原創作品,允許轉載,轉載時請務必以超連結形式標明文章 原始出處 、作者資訊和本宣告。否則將追究法律責任。://yzmbk.blog.51cto.//
Juniper SRX防火牆簡明配置手冊
SRX系列防火牆是Juniper公司基於JUNOS作業系統的安全系列產品,JUNOS集成了路由、交換、安全性和一系列豐富的網路服務。目前Juniper公司的全系列路由器產品、交換機產品和SRX安全產品均採用統一原始碼的JUNOS作業系統,JUNOS是全球首款將轉發與控制功能相隔離,並採用模組化軟體架構的網路作業系統。JUNOS作為電信級產品的精髓是Juniper真正成功的基石,它讓企業級產品同樣具有電信級的不間斷運營特性,更好的安全性和管理特性,JUNOS軟體創新的分散式架構為高效能、高可用、高可擴充套件的網路奠定了基礎。基於NP架構的SRX系列產品產品同時提供效能優異的防火牆
本文旨在為熟悉Netscreen防火牆ScreenOS作業系統的工程師提供SRX防火牆參考配置,以便於大家能夠快速部署和維護SRX防火牆,文件介紹JUNOS作業系統,並參考ScreenOS配置介紹SRX防火牆配置方法,最後對SRX防火牆常規操作與維護做簡要說明。
JUNOS採用基於FreeBSD核心的軟體模組化作業系統,支援CLI命令列和WEBUI兩種介面配置方式,本文主要對CLI命令列方式進行配置說明。JUNOS CLI使用層次化配置結構,分為操作(operational)和配置(configure)兩類模式,在操作模式下可對當前配置、裝置執行狀態、路由及會話表等狀態進行檢視及裝置運維操作,並通過執行config或edit命令進入配置模式,在配置模式下可對各相關模組進行配置並能夠執行操作模式下的所有命令(run)。在配置模式下JUNOS採用分層分級模組下配置結構,如下圖所示,edit命令進入下一級配置(類似unix cd命令),exit命令退回上一級,top命令回到根級。
JUNOS通過set語句進行配置,配置輸入後並不會立即生效,而是作為候選配置(Candidate
Config)
在執行mit命令前可通過配置模式下show命令檢視當前候選配置(Candidate Config),在執行mit後配置模式下可通過run show config命令檢視當前有效配置(Active config)。此外可通過執行show | pare比對候選配置和有效配置的差異。
SRX上由於配備大容量硬碟儲存器,預設按先後mit順序自動儲存50份有效配置,並可通過執行rolback和mit命令返回到以前配置(如rollback 0/mit可返回到前一mit配置);也可以直接通過執行save configname.conf手動儲存當前配置,並執行load override configname.conf / mit呼叫前期手動儲存的配置。執行load factory-default / mit命令可恢復到出廠預設配置。
SRX可對模組化配置進行功能關閉與啟用,如執行deactivate security nat/it命令可使NAT相關配置不生效,並可通過執行activate security nat/mit使NAT配置再次生效。
SRX通過set語句來配置防火牆,通過delete語句來刪除配置,如delete security nat和edit security nat / delete一樣,均可刪除security防火牆層級下所有NAT相關配置,刪除配置和ScreenOS不同,配置過程中需加以留意。
部署SRX防火牆主要有以下幾個方面需要進行配置:
System:
Interface:介面相關配置內容。
Security: 是SRX防火牆的主要配置內容,安全相關部分內容全部在Security層級下完成配置,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等,可簡單理解為ScreenOS防火牆安全相關內容都遷移至此配置層次下,除了Application自定義服務。
Application:自定義服務單獨在此進行配置,配置內容與ScreenOS基本一致。
routing-options: 配置靜態路由或router-id等系統全域性路由屬性配置。
--- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTC
root% cli /***進入操作模式***/
root>
root> configure
Entering configuration mode /***進入配置模式***/
[edit]
Root#
2.1.2設定root使用者口令
設定root使用者口令
root# set system root-authentication plain-text-password
root# new password : root123
root# retype new password: root123
密碼將以密文方式顯示
root# show system root-authentication
encrypted-password "$1$xavDeUe6$fNM6olGU.8.M7B62u05D6."; # SECRET-DATA
注意:強烈建議不要使用其它加密選項來加密root和其它user口令(如encrypted-password加密方式),此配置引數要求輸入的口令應是經加密演算法加密後的字串,採用這種加密方式手工輸入時存在密碼無法通過驗證風險。
注:root使用者僅用於console連線本地管理SRX,不能通過遠端登陸管理SRX,必須成功設定root口令後,才能執行mit提交後續配置命令。
2.1.3設定遠端登陸管理使用者
root# set system login user lab class super-user authentication plain-text-password
root# new password : lab123
root# retype new password: lab123
注:此lab使用者擁有超級管理員許可權,可用於console和遠端管理訪問,另也可自行靈活定義其它不同管理許可權使用者。
2.1.4遠端管理SRX相關配置
run set date YYYYMMDDhhmm.ss /***設定系統時鐘***/
set system time-zone Asia/Shanghai /***設定時區為上海***/
set system host-name SRX3400-A /***設定主機名***/
set system name-server 1.1.1.1 /***設定DNS伺服器***/
set system services ftp
set system services tel
set system services web-management
/***在系統級開啟ftp/tel/遠端接入管理服務***/
set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
/***配置邏輯介面地址及預設路由,SRX介面要求IP地址必須配置在邏輯介面下(類似ScreenOS的子介面),通常使用邏輯介面0即可***/
set security zones security-zone untrust interfaces ge-0/0/0.0
/***將ge-0/0/0.0介面放到untrust zone去,類似ScreenOS***/
set security zones security-zone untrust host-inbound-traffic system-services ping
set security zones security-zone untrust host-inbound-traffic system-services
set security zones security-zone untrust host-inbound-traffic system-services tel
/***在untrust zone開啟允許遠端登陸管理服務,ScreenOS要求基於介面開放服務,SRX要求基於Zone開放,從SRX主動訪問出去流量開啟服務,類似ScreenOS***/
Policy配置方法與ScreenOS基本一致,僅在配置命令上有所區別,其中策略的允許/拒絕的動作(Action)需要額外配置一條then語句(將ScreenOS的一條策略分解成兩條及以上配置語句)。Policy需要手動配置policy name,policy name可以是字串,也可以是數字(與ScreenOS的policy ID類似,只不過需要手工指定)。
set security zones security-zone untrust address-book address server1 10.0.2.1/32
/***與ScreenOS一樣,在trust和untrust zone下分別定義地址物件便於策略呼叫,地址物件的名稱可以是地址/掩碼形式***/
set security zones security-zone trust address-book address-set addr-group1 address pc1
/***在trust zone下定義名稱為add-group1的地址組,並將pc1地址放到該地址組中***/
set security policies from-zone trust to-zone untrust policy 001 match source-address addr-group1 destination-address server1 application any
set security policies from-zone trust to-zone untrust policy 001 then permit
/***定義從trust 到untrust方向permit策略,允許addr-group1組的源地址訪問server1地址any服務***/
SRX NAT較ScreenOS在功能實現方面基本保持一致,但在功能配置上有較大區別,配置的主要差異在於ScreenOS的NAT與policy是繫結的,無論是MIP/VIP/DIP還是基於策略的NAT,在policy中均要體現出NAT內容(除了預設基於untrust介面的Souec-NAT模式外),而SRX 的NAT則作為網路層面基礎內容進行獨立配置(獨立定義地址對映的方向、對映關係及地址範圍),Policy中不再包含NAT相關配置資訊,這樣的好處是易於理解、簡化運維,當網路拓樸和NAT對映關係發生改變時,無需調整Policy配置內容。
SRX NAT和Policy執行先後順序為:目的地址轉換-目的地址路由查詢-執行策略檢查-源地址轉換,結合這個執行順序,在配置Policy時需注意:Policy中源地址應是轉換前的源地址,而目的地址應該是轉換後的目的地址,換句話說,Policy中的源和目的地址應該是源和目的兩端的真實IP地址,這一點和ScreenOS存在區別,需要加以注意。
SRX中不再使用MIP/VIP/DIP這些概念,其中MIP被Static靜態地址轉換取代,兩者在功能上完全一致;DIP被Source NAT取代;基於Policy的目的地址轉換及VIP被 Destination NAT取代。ScreenOS中基於Untrust zone介面的源地址轉換被保留下來,但在SRX中不再是預設模式(SRX中Trust Zone介面沒有NAT模式概念),需要手工配置。類似ScreenOS,Static屬於雙向NAT,其他型別均屬於單向NAT,
此外,SRX還多了一個proxy-arp概念,如果定義的IP Pool(可用於源或目的地址轉換)與介面IP在同一子網時,需配置SRX對這個Pool內的地址提供ARP代理功能,這樣對端裝置能夠解析到IP Pool地址的MAC地址(使用介面MAC地址響應對方),以便於返回報文能夠送達SRX。下面是配置舉例及相關說明:
2.3.1 Interface based NAT
NAT:
set security nat source rule-set 1 from zone trust
set security nat source rule-set 1 to zone untrust
set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0
set security nat source rule-set 1 rule rule1 then source-nat interface
上述配置定義NAT源地址對映規則,從Trust Zone訪問Untrust Zone的所有流量用Untrust Zone介面IP做源地址轉換。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address 10.1.2.2
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定義Policy策略,允許Trust zone 10.1.2.2地址訪問Untrust方向任何地址,根據前面的NAT配置,SRX在建立session時自動執行介面源地址轉換。
2.3.2 Pool based Source NAT
NAT:
set security nat source pool pool-1 address 100.1.1.10 to 100.1.1.20
set security nat source rule-set 1 from zone trust
set security nat source rule-set 1 to zone untrust
set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0
set security nat source rule-set 1 rule rule1 then source-nat pool pool-1
set security nat proxy-arp interface ge-0/0/2 address 100.1.1.10 to 100.1.1.20
上述配置表示從trust方向(any)到untrust方向(any)訪問時提供源地址轉換,源地址池為pool1(100.1.1.10 -100.1.1.20),同時ge-0/0/2介面為此pool IP提供ARP代理。需要注意的是:定義Pool時不需要與Zone及介面進行關聯。配置proxy-arp目的是讓返回包能夠送達SRX,如果Pool與出介面IP不在同一子網,則對端裝置需要配置指向100.1.1.1的Pool地址路由。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address 10.1.1.2
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定義Policy策略,允許Trust zone 10.1.2.2地址訪問Untrust方向任何地址,根據前面的NAT配置,SRX在建立session時自動執行源地址轉換。
2.3.3 Pool base destination NAT
NAT:
set security nat destination pool 111 address 192.168.1.100/32
set security nat destination rule-set 1 from zone untrust
set security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0
set security nat destination rule-set 1 rule 111 match destination-address 100.100.100.100/32
set security nat destination rule-set 1 rule 111 then destination-nat pool 111
上述配置將外網any訪問100.100.100.100地址對映到內網192.168.1.100地址,注意:定義的Dst Pool是內網真實IP地址,而不是對映前的公網地址。這點和Src-NAT Pool有所區別。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address 192.168.1.100
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定義Policy策略,允許Untrust方向任何地址訪問Trust方向192.168.1.100,根據前面的NAT配置,公網訪問100.100.100.100時,SRX自動執行到192.168.1.100的目的地址轉換。
ScreenOS VIP功能對應的SRX Dst-nat配置:
set security nat destination pool 222 address 192.168.1.200/32 port 8000
set security nat destination rule-set 1 from zone untrust
set security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0
set security nat destination rule-set 1 rule 111 match destination-address 100.100.100.100/32
set security nat destination rule-set 1 rule 111 match destination-port 8000
set security nat destination rule-set 1 rule 111 then destination-nat pool 222
上述NAT配置定義:訪問100.100.100.100地址8000埠對映至192.168.1.200地址8000埠,功能與ScreenOS VIP埠對映一致。
2.3.4 Pool base Static NAT
NAT:
set security nat static rule-set static-nat from zone untrust
set security nat static rule-set static-nat rule rule1 match destination-address 100.100.100.100
set security nat static rule-set static-nat rule rule1 then static-nat prefix 192.168.1.200
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address 192.168.1.200
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
Static NAT概念與ScreenOS MIP一致,屬於靜態雙向一對一NAT,上述配置表示訪問100.100.100.100時轉換為192.168.1.200,當192.168.1.200訪問Inter時自動轉換為100.100.100.100。
SRX IPSEC VPN支援Site-to-Site VPN 和基於NS-remote的撥號VPN,和ScreenOS一樣,site-to-site VPN也支援路由模式和Policy模式,在配置方面也和ScreenOS基本一致。SRX中的加密/驗證演算法在命名上和ScreenOS存在一些區別,配置過程中建議選擇ike和ipsec的proposal為 standard模式,standard中包含SRX支援的全部加密/驗證演算法,只要對端裝置支援其中任何一種即可。SRX中通道介面使用st0介面,對應ScreenOS中的tunnel虛擬介面。
下面是圖中左側SRX基於路由方式Site-to-site VPN配置:
set routing-options static route 10.1.2.0/24 next-hop st0.0
定義st0 tunnel介面地址/Zone及通過VPN通道到對端網路路由
set security ike policy ABC mode main
set security ike policy ABC proposal-set standard
set security ike policy ABC pre-shared-key ascii-text juniper
定義IKE Phase1 policy引數,main mode,standard proposal及預共享金鑰方式
set security ike gateway gw1 ike-policy ABC
set security ike gateway gw1 address 10.0.2.1
set security ike gateway gw1 external-interface ge-0/0/1.0
定義IKE gaeway引數,預共享金鑰認證,對端閘道器10.0.2.1,出介面ge-0/0/1(位於untrust zone)
set security ipsec policy AAA proposal-set standard
set security ipsec vpn vpn1 bind-interface st0.0
set security ipsec vpn vpn1 ike gateway gw1
set security ipsec vpn vpn1 ike ipsec-policy AAA
set security ipsec vpn vpn1 establish-tunnels immediately
定義ipsec Phase 2 VPN引數:standard proposal、與st0.0介面繫結,呼叫Phase 1 gw1 ike閘道器。
set security policies from-zone untrust to-zone trust policy vpn-policy match source-address any
set security policies from-zone untrust to-zone trust policy vpn-policy match destination-address any
set security policies from-zone untrust to-zone trust policy vpn-policy match application any
set security policies from-zone untrust to-zone trust policy vpn-policy then permit
set security policies from-zone trust to-zone untrust policy vpn-policy match source-address any
set security policies from-zone trust to-zone untrust policy vpn-policy match destination-address any
set security policies from-zone trust to-zone untrust policy vpn-policy match application any
set security policies from-zone trust to-zone untrust policy vpn-policy then permit
開啟雙向policy以允許VPN流量通過
SRX中自定義服務及ALG使用方法與ScreenOS保持一致,系統預設開啟FTP ALG,為TCP 21服務提供FTP應用ALG。自定義服務如果屬於FTP類應用,需要將此自定義服務(非TCP 21埠)與FTP應用進行關聯。下面舉例定義一個FTP類服務ftp-test,使用目的埠為TCP 2100,服務超時時間為3600秒,並將此自定義服務與FTP應用關聯(ALG),系統將識別此服務為FTP應用並開啟FTP ALG來處理該應用流量。
set applications application ftp-test protocol tcp destination-port 2100 inactivity-timeout 3600
set applications application ftp-test application-protocol ftp
JSRP是Juniper SRX的私有HA協議,對應ScreenOS的NSRP雙機叢集協議,支援A/P和A/A模式,JSRP對ScreenOS NSRP協議和JUNOS Cluster叢集技術進行了整合整合,熟悉NSRP協議有助於對JSRP協議的理解。JSRP和NSRP最大的區別在於JSRP是完全意義上的Cluster概念,兩臺裝置完全當作一臺裝置來看待,兩臺裝置的介面板卡順序編號、運維變更將對兩臺裝置同時進行操作,無需額外執行ScreenOS的配置和會話同步等操作,而ScreenOS NSRP可看作在同步配置和動態物件(session)基礎上獨立執行的兩臺單獨裝置。
JSRP要求兩臺裝置在軟體版本、硬體型號、板卡數量、插槽位置及埠使用方面嚴格一一對應。由於SRX 是轉發與控制層面完全分裂架構,JSRP需要控制層面 (配置同步)和資料層面(Session同步)兩個平面的互聯,建議控制和資料層面互聯鏈路使用光纖鏈路直連(部分平臺強制要求光纖鏈路直連)。
JSRP介面命名方式採用多個機箱抽象成一個邏輯機箱之後再統一為各個槽位進行編號,如上所示的SRX5800,每個SRX5800機箱有12個業務槽位,節點0槽位號從0開始編號,節點1槽位號從12開始往後編。
整個JSRP配置過程包括如下7個步驟
l 配置Cluster id和Node id (對應ScreenOS NSRP 的cluster id並需手工指定裝置使用節點id)
l 指定Control Port (指定控制層面使用介面,用於配置同步及心跳)
l 指定Fabric Link Port (指定資料層面使用介面,主要session等RTO同步)
l 配置Redundancy Group (類似NSRP的VSD group,優先順序與搶佔等配置)
l 每個機箱的個性化配置 (單機無需同步的個性化配置,如主機名、帶外管理口IP地址等)
l 配置Redundant Ether Interface (類似NSRP的Redundant冗餘介面)
l 配置Interface Monitoring (類似NSRP interface monitor,是RG資料層面切換依據)
SRX JSRP配置樣例:
l 配置Cluster id和Node id
SRX-A>set chassis cluster cluster-id 1 node 0 reboot(注意該命令需在operational模式下輸入,Cluster ID取值範圍為1 15,當Cluster ID = 0時將unsets the cluster)
SRX-B>set chassis cluster cluster-id 1 node 1 reboot
l 指定Control Port(如果主控板RE上有固定control-ports,則無需指定):
set chassis cluster control-ports fpc 11 port 0
set chassis cluster control-ports fpc 23 port 0
l 指定Fabric Link Port
set interfaces fab0 fabric-options member-interfaces ge-1/0/0
set interfaces fab1 fabric-options member-interfaces ge-13/0/0
注:Fabric Link中的Fab0固定用於node 0,Fab1固定用於node 1
l 配置Redundancy Group
RG0固定用於主控板RE切換,RG1以後用於redundant interface切換,RE切換獨立於介面切換
set chassis cluster reth-count 10 (指定整個Cluster中redundant ether interface最多數量)
set chassis cluster redundancy-group 0 node 0 priority 200 (高值優先,與NSRP相反)
set chassis cluster redundancy-group 0 node 1 priority 100
set chassis cluster redundancy-group 1 node 0 priority 200 (高值優先,與NSRP相反)
set chassis cluster redundancy-group 1 node 1 priority 100
l 每個機箱的個性化配置,便於對兩臺裝置的區分與管理
set groups node0 system host-name SRX-A
set groups node0 interfaces fxp0 unit 0 family i address 1.1.1.1/24 (帶外網管口名稱為fxp0,區別ScreenOS的MGT口)
set groups node1 system host-name SRX-B
set groups node1 interfaces fxp0 unit 0 family i address 1.1.1.2/24
set apply-groups ${node} (應用上述groups配置)
l 配置Redundant Ether Interface
Redundant Ether Interface類似ScreenOS裡的redundant interface,只不過Redundant Ether interface是分佈在不同的機箱上 (這一特性又類似ScreenOS 的VSI介面)。雲伺服器租用
Set interface ge-0/0/0 gigether-options redundant-parent reth0 (node 1的ge-0/0/0介面)
Set interface ge-13/0/0 gigether-options redundant-parent reth0 (node 1的ge-0/0/0介面)
Set interface reth0 redundant-ether-options redundancy-group 1 (reth0屬於RG1)
Set interface reth0 unit 0 family i address 192.168.0.1/24
l 配置Interface Monitoring,被監控的介面Down掉後,RG1將自動進行主備切換(與ScreenOS類似),
Set cluster redundancy-group 1 interface-monitor ge-0/0/0 weight 255
Set cluster redundancy-group 1 interface-monitor ge-0/0/1 weight 255
Set cluster redundancy-group 1 interface-monitor ge-13/0/1 weight 255
l JSRP維護命令
a) 手工切換JSRP Master,RG1 原backup將成為Master
[email protected]> request chassis cluster failover redundancy-group 1 node 1
b) 手工恢復JSRP狀態,按照優先順序重新確定主備關係(高值優先)
[email protected]> request chassis cluster failover reset redundancy-group 1
c) 檢視cluster interface
[email protected]> show chassis cluster interfaces
d) 檢視cluster 狀態、節點狀態、主備關係
[email protected]# run show chassis cluster status
e) 取消cluster配置
srx5800a# set chassis cluster disable reboot
f) 升級JSRP軟體版本
SRX目前暫不支援軟體線上升級(ISSU),升級過程會中斷業務。
升級步驟如下:
1.升級node 0,注意不要重啟系統
2.升級node 1,注意不要重啟系統.
3.同時重啟兩個系統
g) 恢復處於disabled狀態的node
當control port或fabric link出現故障時,為避免出現雙master (split-brain)現象,JSRP會把出現故障前狀態為secdonary的node設為disabled狀態,即除了RE,其餘部件都不工作。想要恢復必須reboot該node。
3.1 裝置關機
SRX因為主控板上有大容量硬碟,為防止強行斷電關機造成硬體故障,要求裝置關機必須按照下面的步驟進行操作:
1. 管理終端連線SRX console口。
2. 使用具有足夠許可權的使用者名稱和密碼登陸CLI命令列介面。
3. 在提示符下輸入下面的命令:
Please press any key to reboot(除非需要重啟裝置,此時不要敲任何鍵,否則裝置將進行重啟)
4. 等待console輸出上面提示資訊後,確認作業系統已停止執行,關閉機箱背後電源模組電源。
3.2 裝置重啟
SRX重啟必須按照下面的步驟進行操作:
1. 管理終端連線SRX console口。
2. 使用具有足夠許可權的使用者名稱和密碼登陸CLI命令列介面。
3. 在提示符下輸入下面的命令:
4. 等待console裝置的輸出,作業系統已經重新啟動。
3.3 作業系統升級
SRX作業系統軟體升級必須按照下面的步驟進行操作:
1. 管理終端連線SRX console口,便於升級過程中檢視裝置重啟和軟體載入狀態。
2. SRX上開啟FTP服務,並使用具有超級使用者許可權的非root使用者通過FTP客戶端將下載的升級軟體介質上傳到SRX上。
3. 升級前,執行下面的命令備份舊的軟體及設定:
5. 軟體載入成功後, SRX將自動重啟,重啟完成後檢查系統當前軟體版本號:
3.4 密碼恢復
SRX Root密碼丟失,並且沒有其他的超級使用者許可權,那麼就需要執行密碼恢復,該操作需要中斷裝置正常執行,但不會丟失配置資訊,這點與ScreenOS存在區別。
要進行密碼恢復,請按照下面操作進行:
1. Console口連線SRX,然後重啟SRX。
2. 在啟動過程中,console上出現下面的提示的時候,按空格鍵中斷正常啟動方式,然後再進入單使用者狀態,並輸入:boot -s
Loading /boot/defaults/loader.conf
/kernel data=… … syms=[… …]
Hit [Enter] to boot immediately, or space bar for mand prompt.
loader>
loader> boot -s
3. 執行密碼恢復:在以下提示文字後輸入recovery,裝置將自動進行重啟
Enter full pathname of shell or 'recovery' for root password recovery or RETURN for /bin/sh: recovery
4. 進入配置模式,刪除root密碼,並重現設定root密碼:
[email protected]> configure
Entering configuration mode
[email protected]#delete system root-authentication
[email protected]#set system root-authentication plain-text-password
[email protected]#New password:
[email protected]#Retype new password:
[email protected]# mit
mit plete
下列操作命令在操作模式下使用,或在配置模式下run show…
l show system software 檢視當前軟體版本號
l show system uptime 檢視系統啟動時間
l show chassis haredware 檢視硬體板卡及序列號
l show chassis environment 檢視硬體板卡當前狀態
l show chassis routing-engine 檢視主控板(RE)資源使用及狀態
l show route 檢視路由表
l show arp 檢視ARP表
l show log messages 檢視系統日誌
l show interface terse 檢視所有介面執行狀態
l show interface ge-x/y/z detail 檢視介面執行細節資訊
l monitor interface ge-x/y/z 動態統計介面資料包轉發資訊
l monitor traffic interface ge-x/y/z 動態報文抓取(Tcpdump,類似ScreenOS snoop命令)
l show security flow session summary 檢視當前防火牆併發會話數
l show security flow session 檢視當前防火牆具體併發會話
l clear security flow session all 清除當前session
l show security alg status 檢查全域性ALG開啟情況
l SRX對應ScreenOS debug flow basic跟蹤報文處理路徑的命令:
§ set security flow traceoptions flag basic-datapath 開啟SRX基本報文處理Debug
§ set security flow traceoptions file filename.log 將輸出資訊記錄到指定檔案中
§ set security flow traceoptions file filename.log size 設定該檔案大
小,預設128k
§ set security flow traceoptions packet-filter filter1 destination-prefix 5.5.5.2
設定報文跟蹤過濾器
§ run file show filename.log 檢視該Log輸出資訊
l SRX對應ScreenOS get tech命令,開Case時需要抓取的資訊:request support information
本文出自“高森網路 技術交流論壇” 部落格,請務必保留此出處://yzmbk.blog.51cto.//
Juniper SRX防火牆簡明配置手冊
SRX系列防火牆是Juniper公司基於JUNOS作業系統的安全系列產品,JUNOS集成了路由、交換、安全性和一系列豐富的網路服務。目前Juniper公司的全系列路由器產品、交換機產品和SRX安全產品均採用統一原始碼的JUNOS作業系統,JUNOS是全球首款將轉發與控制功能相隔離,並採用模組化軟體架構的網路作業系統。JUNOS作為電信級產品的精髓是Juniper真正成功的基石,它讓企業級產品同樣具有電信級的不間斷運營特性,更好的安全性和管理特性,JUNOS軟體創新的分散式架構為高效能、高可用、高可擴充套件的網路奠定了基礎。基於NP架構的SRX系列產品產品同時提供效能優異的防火牆
本文旨在為熟悉Netscreen防火牆ScreenOS作業系統的工程師提供SRX防火牆參考配置,以便於大家能夠快速部署和維護SRX防火牆,文件介紹JUNOS作業系統,並參考ScreenOS配置介紹SRX防火牆配置方法,最後對SRX防火牆常規操作與維護做簡要說明。
JUNOS採用基於FreeBSD核心的軟體模組化作業系統,支援CLI命令列和WEBUI兩種介面配置方式,本文主要對CLI命令列方式進行配置說明。JUNOS CLI使用層次化配置結構,分為操作(operational)和配置(configure)兩類模式,在操作模式下可對當前配置、裝置執行狀態、路由及會話表等狀態進行檢視及裝置運維操作,並通過執行config或edit命令進入配置模式,在配置模式下可對各相關模組進行配置並能夠執行操作模式下的所有命令(run)。在配置模式下JUNOS採用分層分級模組下配置結構,如下圖所示,edit命令進入下一級配置(類似unix cd命令),exit命令退回上一級,top命令回到根級。
JUNOS通過set語句進行配置,配置輸入後並不會立即生效,而是作為候選配置(Candidate
Config)
在執行mit命令前可通過配置模式下show命令檢視當前候選配置(Candidate Config),在執行mit後配置模式下可通過run show config命令檢視當前有效配置(Active config)。此外可通過執行show | pare比對候選配置和有效配置的差異。
SRX上由於配備大容量硬碟儲存器,預設按先後mit順序自動儲存50份有效配置,並可通過執行rolback和mit命令返回到以前配置(如rollback 0/mit可返回到前一mit配置);也可以直接通過執行save configname.conf手動儲存當前配置,並執行load override configname.conf / mit呼叫前期手動儲存的配置。執行load factory-default / mit命令可恢復到出廠預設配置。
SRX可對模組化配置進行功能關閉與啟用,如執行deactivate security nat/it命令可使NAT相關配置不生效,並可通過執行activate security nat/mit使NAT配置再次生效。
SRX通過set語句來配置防火牆,通過delete語句來刪除配置,如delete security nat和edit security nat / delete一樣,均可刪除security防火牆層級下所有NAT相關配置,刪除配置和ScreenOS不同,配置過程中需加以留意。
部署SRX防火牆主要有以下幾個方面需要進行配置:
System:
Interface:介面相關配置內容。
Security: 是SRX防火牆的主要配置內容,安全相關部分內容全部在Security層級下完成配置,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等,可簡單理解為ScreenOS防火牆安全相關內容都遷移至此配置層次下,除了Application自定義服務。
Application:自定義服務單獨在此進行配置,配置內容與ScreenOS基本一致。
routing-options: 配置靜態路由或router-id等系統全域性路由屬性配置。
--- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTC
root% cli /***進入操作模式***/
root>
root> configure
Entering configuration mode /***進入配置模式***/
[edit]
Root#
2.1.2設定root使用者口令
設定root使用者口令
root# set system root-authentication plain-text-password
root# new password : root123
root# retype new password: root123
密碼將以密文方式顯示
root# show system root-authentication
encrypted-password "$1$xavDeUe6$fNM6olGU.8.M7B62u05D6."; # SECRET-DATA
注意:強烈建議不要使用其它加密選項來加密root和其它user口令(如encrypted-password加密方式),此配置引數要求輸入的口令應是經加密演算法加密後的字串,採用這種加密方式手工輸入時存在密碼無法通過驗證風險。
注:root使用者僅用於console連線本地管理SRX,不能通過遠端登陸管理SRX,必須成功設定root口令後,才能執行mit提交後續配置命令。
2.1.3設定遠端登陸管理使用者
root# set system login user lab class super-user authentication plain-text-password
root# new password : lab123
root# retype new password: lab123
注:此lab使用者擁有超級管理員許可權,可用於console和遠端管理訪問,另也可自行靈活定義其它不同管理許可權使用者。
2.1.4遠端管理SRX相關配置
run set date YYYYMMDDhhmm.ss /***設定系統時鐘***/
set system time-zone Asia/Shanghai /***設定時區為上海***/
set system host-name SRX3400-A /***設定主機名***/
set system name-server 1.1.1.1 /***設定DNS伺服器***/
set system services ftp
set system services tel
set system services web-management
/***在系統級開啟ftp/tel/遠端接入管理服務***/
set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
/***配置邏輯介面地址及預設路由,SRX介面要求IP地址必須配置在邏輯介面下(類似ScreenOS的子介面),通常使用邏輯介面0即可***/
set security zones security-zone untrust interfaces ge-0/0/0.0
/***將ge-0/0/0.0介面放到untrust zone去,類似ScreenOS***/
set security zones security-zone untrust host-inbound-traffic system-services ping
set security zones security-zone untrust host-inbound-traffic system-services
set security zones security-zone untrust host-inbound-traffic system-services tel
/***在untrust zone開啟允許遠端登陸管理服務,ScreenOS要求基於介面開放服務,SRX要求基於Zone開放,從SRX主動訪問出去流量開啟服務,類似ScreenOS***/
Policy配置方法與ScreenOS基本一致,僅在配置命令上有所區別,其中策略的允許/拒絕的動作(Action)需要額外配置一條then語句(將ScreenOS的一條策略分解成兩條及以上配置語句)。Policy需要手動配置policy name,policy name可以是字串,也可以是數字(與ScreenOS的policy ID類似,只不過需要手工指定)。
set security zones security-zone untrust address-book address server1 10.0.2.1/32
/***與ScreenOS一樣,在trust和untrust zone下分別定義地址物件便於策略呼叫,地址物件的名稱可以是地址/掩碼形式***/
set security zones security-zone trust address-book address-set addr-group1 address pc1
/***在trust zone下定義名稱為add-group1的地址組,並將pc1地址放到該地址組中***/
set security policies from-zone trust to-zone untrust policy 001 match source-address addr-group1 destination-address server1 application any
set security policies from-zone trust to-zone untrust policy 001 then permit
/***定義從trust 到untrust方向permit策略,允許addr-group1組的源地址訪問server1地址any服務***/
SRX NAT較ScreenOS在功能實現方面基本保持一致,但在功能配置上有較大區別,配置的主要差異在於ScreenOS的NAT與policy是繫結的,無論是MIP/VIP/DIP還是基於策略的NAT,在policy中均要體現出NAT內容(除了預設基於untrust介面的Souec-NAT模式外),而SRX 的NAT則作為網路層面基礎內容進行獨立配置(獨立定義地址對映的方向、對映關係及地址範圍),Policy中不再包含NAT相關配置資訊,這樣的好處是易於理解、簡化運維,當網路拓樸和NAT對映關係發生改變時,無需調整Policy配置內容。
SRX NAT和Policy執行先後順序為:目的地址轉換-目的地址路由查詢-執行策略檢查-源地址轉換,結合這個執行順序,在配置Policy時需注意:Policy中源地址應是轉換前的源地址,而目的地址應該是轉換後的目的地址,換句話說,Policy中的源和目的地址應該是源和目的兩端的真實IP地址,這一點和ScreenOS存在區別,需要加以注意。
SRX中不再使用MIP/VIP/DIP這些概念,其中MIP被Static靜態地址轉換取代,兩者在功能上完全一致;DIP被Source NAT取代;基於Policy的目的地址轉換及VIP被 Destination NAT取代。ScreenOS中基於Untrust zone介面的源地址轉換被保留下來,但在SRX中不再是預設模式(SRX中Trust Zone介面沒有NAT模式概念),需要手工配置。類似ScreenOS,Static屬於雙向NAT,其他型別均屬於單向NAT,
此外,SRX還多了一個proxy-arp概念,如果定義的IP Pool(可用於源或目的地址轉換)與介面IP在同一子網時,需配置SRX對這個Pool內的地址提供ARP代理功能,這樣對端裝置能夠解析到IP Pool地址的MAC地址(使用介面MAC地址響應對方),以便於返回報文能夠送達SRX。下面是配置舉例及相關說明:
2.3.1 Interface based NAT
NAT:
set security nat source rule-set 1 from zone trust
set security nat source rule-set 1 to zone untrust
set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0
set security nat source rule-set 1 rule rule1 then source-nat interface
上述配置定義NAT源地址對映規則,從Trust Zone訪問Untrust Zone的所有流量用Untrust Zone介面IP做源地址轉換。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address 10.1.2.2
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定義Policy策略,允許Trust zone 10.1.2.2地址訪問Untrust方向任何地址,根據前面的NAT配置,SRX在建立session時自動執行介面源地址轉換。
2.3.2 Pool based Source NAT
NAT:
set security nat source pool pool-1 address 100.1.1.10 to 100.1.1.20
set security nat source rule-set 1 from zone trust
set security nat source rule-set 1 to zone untrust
set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0
set security nat source rule-set 1 rule rule1 then source-nat pool pool-1
set security nat proxy-arp interface ge-0/0/2 address 100.1.1.10 to 100.1.1.20
上述配置表示從trust方向(any)到untrust方向(any)訪問時提供源地址轉換,源地址池為pool1(100.1.1.10 -100.1.1.20),同時ge-0/0/2介面為此pool IP提供ARP代理。需要注意的是:定義Pool時不需要與Zone及介面進行關聯。配置proxy-arp目的是讓返回包能夠送達SRX,如果Pool與出介面IP不在同一子網,則對端裝置需要配置指向100.1.1.1的Pool地址路由。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address 10.1.1.2
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定義Policy策略,允許Trust zone 10.1.2.2地址訪問Untrust方向任何地址,根據前面的NAT配置,SRX在建立session時自動執行源地址轉換。
2.3.3 Pool base destination NAT
NAT:
set security nat destination pool 111 address 192.168.1.100/32
set security nat destination rule-set 1 from zone untrust
set security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0
set security nat destination rule-set 1 rule 111 match destination-address 100.100.100.100/32
set security nat destination rule-set 1 rule 111 then destination-nat pool 111
上述配置將外網any訪問100.100.100.100地址對映到內網192.168.1.100地址,注意:定義的Dst Pool是內網真實IP地址,而不是對映前的公網地址。這點和Src-NAT Pool有所區別。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address 192.168.1.100
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定義Policy策略,允許Untrust方向任何地址訪問Trust方向192.168.1.100,根據前面的NAT配置,公網訪問100.100.100.100時,SRX自動執行到192.168.1.100的目的地址轉換。
ScreenOS VIP功能對應的SRX Dst-nat配置:
set security nat destination pool 222 address 192.168.1.200/32 port 8000
set security nat destination rule-set 1 from zone untrust
set security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0
set security nat destination rule-set 1 rule 111 match destination-address 100.100.100.100/32
set security nat destination rule-set 1 rule 111 match destination-port 8000
set security nat destination rule-set 1 rule 111 then destination-nat pool 222
上述NAT配置定義:訪問100.100.100.100地址8000埠對映至192.168.1.200地址8000埠,功能與ScreenOS VIP埠對映一致。
2.3.4 Pool base Static NAT
NAT:
set security nat static rule-set static-nat from zone untrust
set security nat static rule-set static-nat rule rule1 match destination-address 100.100.100.100
set security nat static rule-set static-nat rule rule1 then static-nat prefix 192.168.1.200
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address 192.168.1.200
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
Static NAT概念與ScreenOS MIP一致,屬於靜態雙向一對一NAT,上述配置表示訪問100.100.100.100時轉換為192.168.1.200,當192.168.1.200訪問Inter時自動轉換為100.100.100.100。
SRX IPSEC VPN支援Site-to-Site VPN 和基於NS-remote的撥號VPN,和ScreenOS一樣,site-to-site VPN也支援路由模式和Policy模式,在配置方面也和ScreenOS基本一致。SRX中的加密/驗證演算法在命名上和ScreenOS存在一些區別,配置過程中建議選擇ike和ipsec的proposal為 standard模式,standard中包含SRX支援的全部加密/驗證演算法,只要對端裝置支援其中任何一種即可。SRX中通道介面使用st0介面,對應ScreenOS中的tunnel虛擬介面。
下面是圖中左側SRX基於路由方式Site-to-site VPN配置:
set routing-options static route 10.1.2.0/24 next-hop st0.0
定義st0 tunnel介面地址/Zone及通過VPN通道到對端網路路由
set security ike policy ABC mode main
set security ike policy ABC proposal-set standard
set security ike policy ABC pre-shared-key ascii-text juniper
定義IKE Phase1 policy引數,main mode,standard proposal及預共享金鑰方式
set security ike gateway gw1 ike-policy ABC
set security ike gateway gw1 address 10.0.2.1
set security ike gateway gw1 external-interface ge-0/0/1.0
定義IKE gaeway引數,預共享金鑰認證,對端閘道器10.0.2.1,出介面ge-0/0/1(位於untrust zone)
set security ipsec policy AAA proposal-set standard
set security ipsec vpn vpn1 bind-interface st0.0
set security ipsec vpn vpn1 ike gateway gw1
set security ipsec vpn vpn1 ike ipsec-policy AAA
set security ipsec vpn vpn1 establish-tunnels immediately
定義ipsec Phase 2 VPN引數:standard proposal、與st0.0介面繫結,呼叫Phase 1 gw1 ike閘道器。
set security policies from-zone untrust to-zone trust policy vpn-policy match source-address any
set security policies from-zone untrust to-zone trust policy vpn-policy match destination-address any
set security policies from-zone untrust to-zone trust policy vpn-policy match application any
set security policies from-zone untrust to-zone trust policy vpn-policy then permit
set security policies from-zone trust to-zone untrust policy vpn-policy match source-address any
set security policies from-zone trust to-zone untrust policy vpn-policy match destination-address any
set security policies from-zone trust to-zone untrust policy vpn-policy match application any
set security policies from-zone trust to-zone untrust policy vpn-policy then permit
開啟雙向policy以允許VPN流量通過
SRX中自定義服務及ALG使用方法與ScreenOS保持一致,系統預設開啟FTP ALG,為TCP 21服務提供FTP應用ALG。自定義服務如果屬於FTP類應用,需要將此自定義服務(非TCP 21埠)與FTP應用進行關聯。下面舉例定義一個FTP類服務ftp-test,使用目的埠為TCP 2100,服務超時時間為3600秒,並將此自定義服務與FTP應用關聯(ALG),系統將識別此服務為FTP應用並開啟FTP ALG來處理該應用流量。
set applications application ftp-test protocol tcp destination-port 2100 inactivity-timeout 3600
set applications application ftp-test application-protocol ftp
JSRP是Juniper SRX的私有HA協議,對應ScreenOS的NSRP雙機叢集協議,支援A/P和A/A模式,JSRP對ScreenOS NSRP協議和JUNOS Cluster叢集技術進行了整合整合,熟悉NSRP協議有助於對JSRP協議的理解。JSRP和NSRP最大的區別在於JSRP是完全意義上的Cluster概念,兩臺裝置完全當作一臺裝置來看待,兩臺裝置的介面板卡順序編號、運維變更將對兩臺裝置同時進行操作,無需額外執行ScreenOS的配置和會話同步等操作,而ScreenOS NSRP可看作在同步配置和動態物件(session)基礎上獨立執行的兩臺單獨裝置。
JSRP要求兩臺裝置在軟體版本、硬體型號、板卡數量、插槽位置及埠使用方面嚴格一一對應。由於SRX 是轉發與控制層面完全分裂架構,JSRP需要控制層面 (配置同步)和資料層面(Session同步)兩個平面的互聯,建議控制和資料層面互聯鏈路使用光纖鏈路直連(部分平臺強制要求光纖鏈路直連)。
JSRP介面命名方式採用多個機箱抽象成一個邏輯機箱之後再統一為各個槽位進行編號,如上所示的SRX5800,每個SRX5800機箱有12個業務槽位,節點0槽位號從0開始編號,節點1槽位號從12開始往後編。
整個JSRP配置過程包括如下7個步驟
l 配置Cluster id和Node id (對應ScreenOS NSRP 的cluster id並需手工指定裝置使用節點id)
l 指定Control Port (指定控制層面使用介面,用於配置同步及心跳)
l 指定Fabric Link Port (指定資料層面使用介面,主要session等RTO同步)
l 配置Redundancy Group (類似NSRP的VSD group,優先順序與搶佔等配置)
l 每個機箱的個性化配置 (單機無需同步的個性化配置,如主機名、帶外管理口IP地址等)
l 配置Redundant Ether Interface (類似NSRP的Redundant冗餘介面)
l 配置Interface Monitoring (類似NSRP interface monitor,是RG資料層面切換依據)
SRX JSRP配置樣例:
l 配置Cluster id和Node id
SRX-A>set chassis cluster cluster-id 1 node 0 reboot(注意該命令需在operational模式下輸入,Cluster ID取值範圍為1 15,當Cluster ID = 0時將unsets the cluster)
SRX-B>set chassis cluster cluster-id 1 node 1 reboot
l 指定Control Port(如果主控板RE上有固定control-ports,則無需指定):
set chassis cluster control-ports fpc 11 port 0
set chassis cluster control-ports fpc 23 port 0
l 指定Fabric Link Port
set interfaces fab0 fabric-options member-interfaces ge-1/0/0
set interfaces fab1 fabric-options member-interfaces ge-13/0/0
注:Fabric Link中的Fab0固定用於node 0,Fab1固定用於node 1
l 配置Redundancy Group
RG0固定用於主控板RE切換,RG1以後用於redundant interface切換,RE切換獨立於介面切換
set chassis cluster reth-count 10 (指定整個Cluster中redundant ether interface最多數量)
set chassis cluster redundancy-group 0 node 0 priority 200 (高值優先,與NSRP相反)
set chassis cluster redundancy-group 0 node 1 priority 100
set chassis cluster redundancy-group 1 node 0 priority 200 (高值優先,與NSRP相反)
set chassis cluster redundancy-group 1 node 1 priority 100
l 每個機箱的個性化配置,便於對兩臺裝置的區分與管理
set groups node0 system host-name SRX-A
set groups node0 interfaces fxp0 unit 0 family i address 1.1.1.1/24 (帶外網管口名稱為fxp0,區別ScreenOS的MGT口)
set groups node1 system host-name SRX-B
set groups node1 interfaces fxp0 unit 0 family i address 1.1.1.2/24
set apply-groups ${node} (應用上述groups配置)
l 配置Redundant Ether Interface
Redundant Ether Interface類似ScreenOS裡的redundant interface,只不過Redundant Ether interface是分佈在不同的機箱上 (這一特性又類似ScreenOS 的VSI介面)。雲伺服器租用
Set interface ge-0/0/0 gigether-options redundant-parent reth0 (node 1的ge-0/0/0介面)
Set interface ge-13/0/0 gigether-options redundant-parent reth0 (node 1的ge-0/0/0介面)
Set interface reth0 redundant-ether-options redundancy-group 1 (reth0屬於RG1)
Set interface reth0 unit 0 family i address 192.168.0.1/24
l 配置Interface Monitoring,被監控的介面Down掉後,RG1將自動進行主備切換(與ScreenOS類似),
Set cluster redundancy-group 1 interface-monitor ge-0/0/0 weight 255
Set cluster redundancy-group 1 interface-monitor ge-0/0/1 weight 255
Set cluster redundancy-group 1 interface-monitor ge-13/0/1 weight 255
l JSRP維護命令
a) 手工切換JSRP Master,RG1 原backup將成為Master
[email protected]> request chassis cluster failover redundancy-group 1 node 1
b) 手工恢復JSRP狀態,按照優先順序重新確定主備關係(高值優先)
[email protected]> request chassis cluster failover reset redundancy-group 1
c) 檢視cluster interface
[email protected]> show chassis cluster interfaces
d) 檢視cluster 狀態、節點狀態、主備關係
[email protected]# run show chassis cluster status
e) 取消cluster配置
srx5800a# set chassis cluster disable reboot
f) 升級JSRP軟體版本
SRX目前暫不支援軟體線上升級(ISSU),升級過程會中斷業務。
升級步驟如下:
1.升級node 0,注意不要重啟系統
2.升級node 1,注意不要重啟系統.
3.同時重啟兩個系統
g) 恢復處於disabled狀態的node
當control port或fabric link出現故障時,為避免出現雙master (split-brain)現象,JSRP會把出現故障前狀態為secdonary的node設為disabled狀態,即除了RE,其餘部件都不工作。想要恢復必須reboot該node。
3.1 裝置關機
SRX因為主控板上有大容量硬碟,為防止強行斷電關機造成硬體故障,要求裝置關機必須按照下面的步驟進行操作:
1. 管理終端連線SRX console口。
2. 使用具有足夠許可權的使用者名稱和密碼登陸CLI命令列介面。
3. 在提示符下輸入下面的命令:
Please press any key to reboot(除非需要重啟裝置,此時不要敲任何鍵,否則裝置將進行重啟)
4. 等待console輸出上面提示資訊後,確認作業系統已停止執行,關閉機箱背後電源模組電源。
3.2 裝置重啟
SRX重啟必須按照下面的步驟進行操作:
1. 管理終端連線SRX console口。
2. 使用具有足夠許可權的使用者名稱和密碼登陸CLI命令列介面。
3. 在提示符下輸入下面的命令:
4. 等待console裝置的輸出,作業系統已經重新啟動。
3.3 作業系統升級
SRX作業系統軟體升級必須按照下面的步驟進行操作:
1. 管理終端連線SRX console口,便於升級過程中檢視裝置重啟和軟體載入狀態。
2. SRX上開啟FTP服務,並使用具有超級使用者許可權的非root使用者通過FTP客戶端將下載的升級軟體介質上傳到SRX上。
3. 升級前,執行下面的命令備份舊的軟體及設定:
5. 軟體載入成功後, SRX將自動重啟,重啟完成後檢查系統當前軟體版本號:
3.4 密碼恢復
SRX Root密碼丟失,並且沒有其他的超級使用者許可權,那麼就需要執行密碼恢復,該操作需要中斷裝置正常執行,但不會丟失配置資訊,這點與ScreenOS存在區別。
要進行密碼恢復,請按照下面操作進行:
1. Console口連線SRX,然後重啟SRX。
2. 在啟動過程中,console上出現下面的提示的時候,按空格鍵中斷正常啟動方式,然後再進入單使用者狀態,並輸入:boot -s
Loading /boot/defaults/loader.conf
/kernel data=… … syms=[… …]
Hit [Enter] to boot immediately, or space bar for mand prompt.
loader>
loader> boot -s
3. 執行密碼恢復:在以下提示文字後輸入recovery,裝置將自動進行重啟
Enter full pathname of shell or 'recovery' for root password recovery or RETURN for /bin/sh: recovery
4. 進入配置模式,刪除root密碼,並重現設定root密碼:
[email protected]> configure
Entering configuration mode
[email protected]#delete system root-authentication
[email protected]#set system root-authentication plain-text-password
[email protected]#New password:
[email protected]#Retype new password:
[email protected]# mit
mit plete
下列操作命令在操作模式下使用,或在配置模式下run show…
l show system software 檢視當前軟體版本號
l show system uptime 檢視系統啟動時間
l show chassis haredware 檢視硬體板卡及序列號
l show chassis environment 檢視硬體板卡當前狀態
l show chassis routing-engine 檢視主控板(RE)資源使用及狀態
l show route 檢視路由表
l show arp 檢視ARP表
l show log messages 檢視系統日誌
l show interface terse 檢視所有介面執行狀態
l show interface ge-x/y/z detail 檢視介面執行細節資訊
l monitor interface ge-x/y/z 動態統計介面資料包轉發資訊
l monitor traffic interface ge-x/y/z 動態報文抓取(Tcpdump,類似ScreenOS snoop命令)
l show security flow session summary 檢視當前防火牆併發會話數
l show security flow session 檢視當前防火牆具體併發會話
l clear security flow session all 清除當前session
l show security alg status 檢查全域性ALG開啟情況
l SRX對應ScreenOS debug flow basic跟蹤報文處理路徑的命令:
§ set security flow traceoptions flag basic-datapath 開啟SRX基本報文處理Debug
§ set security flow traceoptions file filename.log 將輸出資訊記錄到指定檔案中
§ set security flow traceoptions file filename.log size 設定該檔案大
小,預設128k
§ set security flow traceoptions packet-filter filter1 destination-prefix 5.5.5.2
設定報文跟蹤過濾器
§ run file show filename.log 檢視該Log輸出資訊
l SRX對應ScreenOS get tech命令,開Case時需要抓取的資訊:request support information
本文出自“高森網路 技術交流論壇” 部落格,請務必保留此出處://yzmbk.blog.51cto.//