2.1.4 远程管理SRX相关配置
run set date YYYYMMDDhhmm.ss /***设置系统时钟***/ set system time-zone Asia/Shanghai /***设置时区为上海***/ set system host-name SRX3400-A /***设置主机名***/ set system name-server 1.1.1.1 /***设置DNS服务器***/ set system services ftp set system services telnet set system services web-management http
/***在系统级开启ftp/telnet/http远程接入管理服务***/
2.2 Policy
Policy配置方法与ScreenOS基本一致,仅在配置命令上有所区别,其中策略的允许/拒绝的动作(Action)需要额外配置一条then语句(将ScreenOS的一条策略分解成两条及以上配置语句)。Policy需要手动配置policy name,policy name可以是字符串,也可以是数字(与ScreenOS的policy ID类似,只不过需要手工指定)。
set security policies from-zone trust to-zone trust-to-untrust match source-address any
set security policies from-zone trust to-zone trust-to-untrust match destination-address any
set security policies from-zone trust to-zone trust-to-untrust match application any
set security policies from-zone trust to-zone trust-to-untrust then permit
untrust policy untrust policy untrust policy untrust policy
2.3 NAT
SRX NAT较ScreenOS在功能实现方面基本保持一致,但在功能配置上有较大区别,配置的主要差异在于ScreenOS的NAT与policy是绑定的,无论是MIP/VIP/DIP还是基于策略的NAT,在policy中均要体现出NAT内容(除了缺省基于untrust接口的Souec-NAT模式外),而SRX 的NAT则作为网络层面基础内容进行独立配置(独立定义地址映射的方向、映射关系及地址范围),Policy中不再包含NAT相关配置信息,这样的好处是易于理解、简化运维,当网络拓朴和NAT映射关系发生改变时,无需调整Policy配置内容。
SRX NAT和Policy执行先后顺序为:目的地址转换-目的地址路由查找-执行策略检查-源地址转换,结合这个执行顺序,在配置Policy时需注意:Policy中源地址应是转换前的源地址,而目的地址应该是转换后的目的地址,换句话说,Policy中的源和目的地址应该是源和目的两端的真实IP地址,这一点和ScreenOS存在区别,需要加以注意。
第 6 页 共 11 页
SRX中不再使用MIP/VIP/DIP这些概念,其中MIP被Static静态地址转换取代,两者在功能上完全一致;DIP被Source NAT取代;基于Policy的目的地址转换及VIP被 Destination NAT取代。ScreenOS中基于Untrust zone接口的源地址转换被保留下来,但在SRX中不再是缺省模式(SRX中Trust Zone接口没有NAT模式概念),需要手工配置。类似ScreenOS,Static属于双向NAT,其他类型均属于单向NAT,
此外,SRX还多了一个proxy-arp概念,如果定义的IP Pool(可用于源或目的地址转换)与接口IP在同一子网时,需配置SRX对这个Pool内的地址提供ARP代理功能,这样对端设备能够解析到IP Pool地址的MAC地址(使用接口MAC地址响应对方),以便于返回报文能够送达SRX。下面是配置举例及相关说明:
2.3.1 Pool base Static NAT
NAT:
set security nat source rule-set trust-to-untrust from zone trust set security nat source rule-set trust-to-untrust to zone untrust
set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0 set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface Policy:
set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit
2.4 IPSEC VPN
SRX IPSEC VPN支持Site-to-Site VPN 和基于NS-remote的拨号VPN,和ScreenOS一样,site-to-site VPN也支持路由模式和Policy模式,在配置方面也和ScreenOS基本一致。SRX中的加密/验证算法在命名上和ScreenOS存在一些区别,配置过程中建议选择ike和ipsec的proposal
第 7 页 共 11 页
为 standard模式,standard中包含SRX支持的全部加密/验证算法,只要对端设备支持其中任何一种即可。SRX中通道接口使用st0接口,对应ScreenOS中的tunnel虚拟接口。
下面是图中左侧SRX基于路由方式IPSEC-VPN方式配置:
set security ike proposal ike-prop1 authentication-method pre-shared-keys set security ike proposal ike-prop1 dh-group group2
set security ike proposal ike-prop1 authentication-algorithm md5 set security ike proposal ike-prop1 encryption-algorithm des-cbc set security ike proposal ike-prop1 lifetime-seconds 86400
set security ipsec policy ipsec-dyn-vpn-policy perfect-forward-secrecy keys group2 set security ipsec policy ipsec-dyn-vpn-policy proposal-set compatible
2.5 HA模式
描述本项目中Juniper防火墙HA特有模式
Junos操作系统服务冗余协议(JSRP)是SRX系列的一个核心特性。利用JSRP,一对SRX系统能够轻松集成到一个高可用性网络架构,并在系统和相邻网络交换机之间提供冗余的物理连接。通过链接冗余,瞻博网络可以解决许多常见的系统故障,例如物理端口恶化或电缆松脱,从而保证连接的可用性,而不需要对整个系统进行故障切换。这与路由永续性协议典型的主用/备用特点是一致的。
当把SRX系列业务网关配置为一对高可用性的主用/主用网关时,会自动对流量和配置进行镜像,从而在发生故障时保持活跃的防火墙和VPN会话。此时,分支办事处SRX系列产品可同步配置和运行时信息。结果是,在故障切换期间,下列信息的同步是共享的:连接/会话状态和流量信息、IPSec安全关联、网络地址转换(NAT)流量、地址薄信息、配置变更等。与典型的路由器主用/备用永续性协议(如虚拟路由器冗余协议(VRRP))相反的是,如果发生故障切换,全部动态流和会话信息都会丢失,必须重建。部分或全部网络会话必须重启,这取决于链接或节点的收敛时间。通过保持状态,不仅可保持会话,而且安全性也毫发无损。在不稳定网络中,这种主用/主用配置还能够减轻影响会话性能的链路摆动。 lab@ Juniper> show chassis cluster status Cluster ID: 1
Node Priority Status Preempt Manual failover
Redundancy group: 0 , Failover count: 1
第 8 页 共 11 页
node0 200 primary no no node1 100 secondary no no
Redundancy group: 1 , Failover count: 1
node0 200 primary yes no node1 100 secondary yes no
三、SRX防火墙常规操作与维护
3.1 设备关机
SRX因为主控板上有大容量硬盘,为防止强行断电关机造成硬件故障,要求设备关机必须按照下面的步骤进行操作:
1. 管理终端连接SRX console口。
2. 使用具有足够权限的用户名和密码登陆CLI命令行界面。 3. 在提示符下输入下面的命令:
user@host> request system halt
…
The operating system has halted.
Please press any key to reboot(除非需要重启设备,此时不要敲任何键,否则设备将进行重启)
4. 等待console输出上面提示信息后,确认操作系统已停止运行,关闭机箱背后电源模
块电源。
3.2 设备重启
SRX重启必须按照下面的步骤进行操作: 1. 管理终端连接SRX console口。
2. 使用具有足够权限的用户名和密码登陆CLI命令行界面。 3. 在提示符下输入下面的命令:
user@host> request system reboot 4. 等待console设备的输出,操作系统已经重新启动。
第 9 页 共 11 页
3.3 操作系统升级
SRX操作系统软件升级必须按照下面的步骤进行操作:
1. 管理终端连接SRX console口,便于升级过程中查看设备重启和软件加载状态。 2. SRX上开启FTP服务,并使用具有超级用户权限的非root用户通过FTP客户端将下
载的升级软件介质上传到SRX上。
3. 升级前,执行下面的命令备份旧的软件及设定:
user@host> request system snapshot 4. 加载新的SRX软件:
user@host> request system software add validate filename.tgz reboot
5. 软件加载成功后, SRX将自动重启,重启完成后检查系统当前软件版本号:
user@host> show system software
3.4 密码恢复
SRX Root密码丢失,并且没有其他的超级用户权限,那么就需要执行密码恢复,该操作需要中断设备正常运行,但不会丢失配置信息,这点与ScreenOS存在区别。
要进行密码恢复,请按照下面操作进行:
1. Console口连接SRX,然后重启SRX。
2. 在启动过程中,console上出现下面的提示的时候,按空格键中断正常启动方式,然后
再进入单用户状态,并输入:boot -s
Loading /boot/defaults/loader.conf /kernel data=… … syms=[… …]
Hit [Enter] to boot immediately, or space bar for command prompt. loader>
loader> boot -s
3. 执行密码恢复:在以下提示文字后输入recovery,设备将自动进行重启
Enter full pathname of shell or 'recovery' for root password recovery or RETURN for /bin/sh: recovery 4. 进入配置模式,删除root密码,并重现设置root密码:
user@host> configure
Entering configuration mode
user@host#delete system root-authentication
user@host#set system root-authentication plain-text-password user@host#New password:
user@host#Retype new password:
第 10 页 共 11 页
user@host# commit commit complete
3.5 常用监控维护命令
下列操作命令在操作模式下使用,或在配置模式下run show…
? Show system software 查看当前软件版本号 ? show system uptime 查看系统启动时间
? Show chassis haredware 查看硬件板卡及序列号 ? show chassis environment 查看硬件板卡当前状态
? show chassis routing-engine 查看主控板(RE)资源使用及状态 ? show route 查看路由表 ? show arp 查看ARP表 ? show log messages 查看系统日志
? show interface terse 查看所有接口运行状态 ? show interface ge-x/y/z detail 查看接口运行细节信息
? monitor interface ge-x/y/z 动态统计接口数据包转发信息
? monitor traffic interface ge-x/y/z 动态报文抓取(Tcpdump,类似ScreenOS snoop
命令)
? show security flow session summary 查看当前防火墙并发会话数 ? show security flow session 查看当前防火墙具体并发会话 ? clear security flow session all 清除当前session
? show security alg status 检查全局ALG开启情况
? SRX对应ScreenOS debug flow basic跟踪报文处理路径的命令:
? set security flow traceoptions flag basic-datapath 开启SRX基本报文处理Debug ? set security flow traceoptions file filename.log 将输出信息记录到指定文件中 ? set security flow traceoptions file filename.log size
小,缺省128k
? set security flow traceoptions packet-filter filter1 destination-prefix 5.5.5.2
设置报文跟踪过滤器
? run file show filename.log 查看该Log输出信息
? SRX对应ScreenOS get tech命令,开Case时需要抓取的信息:request support
information
第 11 页 共 11 页