Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

在 SRX300 上配置 Junos OS

服务网关随附的瞻博网络 Junos 操作系统 (Junos OS) 已预安装,准备在设备开机时进行配置。您可以使用基于浏览器的设置向导或使用命令行界面 (CLI) 来执行服务网关的初始软件配置。

SRX300 防火墙出厂默认设置

SRX300 设备随附的出厂默认设置如下:

表 1:安全策略

源区域

目标区域

策略操作

信任

信任

许可证

信任

untrust

许可证
表 2:NAT 规则

源区域

目标区域

策略操作

信任

untrust

将 NAT 源到不可信区域接口
表 3:接口

端口标签

接口

安全区域

DHCP 状态

IP 地址

0/0 和 0/7

ge-0/0/0 和 ge-0/0/7

untrust

客户

未分配

0/1 到 0/6

VLAN 接口 irb.0(ge-0/0/1 到 ge-0/0/6)

信任

服务器

192.168.1.1/24

SRX300 设备默认启用以下服务和协议。

表 4:服务、协议和启动模式

服务

协议

设备启动模式

Ssh

HTTPS

通过 SSH 的 NETCONF

RSTP(所有接口)

开关

为了提供安全流量,在不信任区域上配置了一组基本屏幕。

如何查看出厂默认设置

要查看设备上的出厂默认设置:

  1. 以 root 用户身份登录并提供您的凭据。

  2. 查看默认配置文件列表:

  3. 查看所需的默认配置文件。

对配置提交更改时,将创建新的配置文件,该配置文件将成为活动配置。如果当前活动配置失败,您可以使用 load factory-default 命令恢复到出厂默认配置。

使用 CLI 进行初始配置

您可以使用设备上的串行端口或 mini-USB 控制台端口。

连接到串行控制台端口

要连接到串行控制台端口,

  1. 将以太网电缆的一端插入 RJ-45 到 DB-9 串行端口适配器。
    注意:

    我们不再将 DB-9 到 RJ-45 电缆或 DB-9 到 RJ-45 适配器以及 CAT5E 铜缆作为设备封装的一部分。如果需要控制台电缆,可以使用部件号 JNP-CBL-RJ45-DB9(DB-9 到 RJ-45 适配器,使用 CAT5E 铜缆)单独订购。
  2. 将 RJ-45 到 DB-9 串行端口适配器插入管理设备上的串行端口。
  3. 将以太网电缆的另一端连接到 SRX300 上的串行控制台端口。
    图 1:连接到 SRX300 Connect to the Console Port on the SRX300 上的控制台端口
  4. 启动异步终端仿真应用程序(如 Microsoft Windows HyperTerminal)并选择相应的 COM 端口(例如 COM1)。
  5. 使用以下值配置串行端口设置:

    • 波特率 — 9600

    • 奇偶校验 — N

    • 数据位 — 8

    • 停止位 — 1

    • 流控制 — 无

连接到 Mini-USB 控制台端口

要连接到 mini-USB 控制台端口:

  1. 下载页面将 USB 驱动程序下载到管理设备。要下载适用于 Windows OS 的驱动程序,请从版本6.5下拉列表中选择。要下载适用于 macOS 的驱动程序,请4.10版本下拉列表中选择。
  2. 安装 USB 控制台驱动程序软件:
    注意:

    在尝试在 SRX300 和管理设备之间建立物理连接之前,安装 USB 控制台驱动程序软件,否则连接将失败。

    1. .zip 文件复制并提取到本地文件夹。

    2. 双击 .exe 文件。将显示安装器屏幕。

    3. 单击 “安装”。

    4. 在下一屏幕上单击 “继续 ”以完成安装。

      如果您选择在此过程中随时停止安装,则软件的全部或部分安装都将无法安装。在这种情况下,我们建议您卸载 USB 控制台驱动程序,然后重新安装。

    5. 安装完成后单击 OK

  3. 将 SRX300 随附的 USB 电缆大端插入管理设备上的 USB 端口。
  4. 将 USB 电缆的另一端连接到 SRX300 上的 mini-USB 控制台端口。
  5. 启动异步终端仿真应用程序(如 Microsoft Windows HyperTerminal),并选择由 USB 控制台驱动程序软件安装的新 COM 端口。在大多数情况下,这是选择菜单中编号最高的 COM 端口。

    安装并初始化驱动程序后,您可以在 Windows 设备管理器中的端口 (COM 和 LPT) 下找到 COM 端口。这可能需要几秒钟。

  6. 使用以下值配置端口设置:

    • 位/秒 — 9600

    • 奇偶校验 — 无

    • 数据位 — 8

    • 停止位 — 1

    • 流控制 — 无

  7. 如果尚未启动,按前面板上的 电源 按钮,即可启动 SRX300。验证前面板上的 PWR LED 是否变为绿色。

    管理设备上的终端仿真屏幕会显示启动顺序。SRX300 启动完毕后,将显示登录提示。

使用 CLI 配置 SRX300

要使用 CLI 配置 SRX300:

  1. 启动 CLI。
    注意:

    您可以使用命令查看出厂默认设置 show configuration
  2. 进入配置模式。
  3. 通过输入明文密码、加密密码或 SSH 公钥字符串(DSA 或 RSA),设置 root 身份验证密码。
  4. 提交配置,在设备上将其激活。

使用 J-Web 进行初始配置

使用 J-Web 配置

要使用 J-Web 配置设备:

  1. 将以太网电缆的一端连接到设备上编号为 0/10/6 的任何网络端口。
    注意:

    ge-0/0/0 和 ge-0/0/7 接口(端口 0/00/7)是 WAN 接口。请勿将这些端口用于初始配置过程。
  2. 将以太网电缆的另一端连接到管理设备。
    图 2:将 SRX300 连接到管理设备 Connect the SRX300 to a Management Device

    SRX300 可作为 DHCP 服务器,并自动为笔记本电脑分配 IP 地址。

  3. 确保管理设备从设备获取 192.168.1.0/24 网络上的 IP 地址。

    如果未将 IP 地址分配给管理设备,请在 192.168.1.0/24 网络中手动配置 IP 地址。

    注意:

    请勿将 192.168.1.1 IP 地址分配给管理设备,因为此 IP 地址已分配给 SRX300。
  4. 打开浏览器并键入 https://192.168.1.1。电话主客户端页面将显示。

  5. 要配置设备:
  6. 在“跳至 J-Web”页面设置 root 身份验证密码,然后单击“ 提交”。

    将显示 J-Web 登录页面。SRX300 已配置出厂默认设置,使其成为即插即用设备。因此,要启动并运行 SRX300,您需要做的就是将其连接到 LAN 和 WAN 网络。

  7. 将 WAN 网络连接到端口 0/0 ,以获取动态 IP 地址。
  8. 将 LAN 网络连接到从 0/10/6 的任何端口。
  9. 检查 SRX300 是否连接到互联网。转至 http://www.juniper.net。如果页面未加载,请检查互联网连接。

    完成这些步骤后,您可以立即开始在网络上使用 SRX300。

您可以通过登录 J-Web 并选择适合您的配置模式继续自定义设置。然后,您可以按照“设置”向导中显示的屏幕操作。

自定义 Junos OS 19.2 版的配置

您可以选择任意一种配置模式来自定义配置:

  • 标准 — 为 SRX300 配置基本安全设置。

  • 群集 (HA) — 在机箱群集模式下设置 SRX300。

  • 被动 — 在分接模式下设置 SRX300。利用分接模式,SRX300 可以被动监控网络上的流量。

自定义 Junos OS 15.1X49-D170 版的配置

您可以选择任意一种配置模式来自定义配置:

  • 引导式设置(使用动态 IP 地址)— 允许您在自定义安全配置中设置 SRX300。您可以选择基本选项或专家选项。

    下表比较了基本级别和专家级别:

    选项

    基本

    专家

    允许的内部区域数

    3

    ≥ 3

    互联网区域配置选项

    • 静态 IP

    • 动态 IP

    • 静态 IP

    • 静态池

    • 动态 IP

    内部区域服务配置

    允许

    允许

    内部目标 NAT 配置

    不允许

    允许
    注意:

    如果更改笔记本电脑连接到的端口的 IP 地址,则当在“引导设置”模式下应用配置时,您可能会失去与设备的连接。要再次访问 J-Web,请打开新的浏览器窗口并键入 https://new IP address

  • 默认设置(使用动态 IP 地址)— 允许您使用默认配置快速设置 SRX300。完成向导设置后,可以执行任何其他配置。

  • 高可用性 — 允许您使用默认基本配置设置机箱群集。

使用 ZTP 和瞻博网络网络服务控制器配置设备

注意:

您可以使用 ZTP 进行配置,适用于 Junos OS 19.2 及更早版本。

您可以使用 ZTP 在网络中自动完成 SRX300 的初始配置,最少的干预。

网络服务控制器是瞻博网络 Contrail 服务编排平台的一个组件,可通过开放式框架简化和自动化自定义网络服务的设计和实施。

有关更多信息,请参阅 http://www.juniper.net/assets/us/en/local/pdf/datasheets/1000559-en.pdf 产品介绍中的“网络服务控制器”部分。

要使用 ZTP 自动配置设备:

注意:

要完成 ZTP 流程,请确保 SRX300 已连接到互联网。

  • 如果您已有身份验证代码,请在显示的网页中输入验证码。

    图 3:身份验证代码页面 Authentication Code Page

    成功身份验证后,在 SRX300 上应用并提交初始配置。或者,在应用初始配置之前,将最新的 Junos OS 映像安装在 SRX300 上。

  • 如果没有身份验证代码,可以使用 J-Web 设置向导配置 SRX300。单击 跳至 J-Web 并使用 J-Web 配置 SRX300。