Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

SRX320 防火墙出厂默认设置

SRX320 提供以下出厂默认设置:

表 1:安全策略

源区

目标区域

策略作

信任

信任

许可证

信任

不信任

许可证
表 2:NAT 规则

源区

目标区域

策略作

信任

不信任

源 NAT 到不信任区域接口
表 3:以太网接口

端口标签

接口

安全区段

DHCP 状态

IP地址

0/0 和 0/7

ge-0/0/0 和 ge-0/0/7

不信任

客户

未分配

0/1 到 0/6

VLAN 接口 IRB.0(ge-0/0/1 至 ge-0/0/6)

信任

服务器

192.168.1.1/24
表 4:LTE 接口

接口

安全区段

IP地址

CL-1/0/0型

不适用

不适用

dl0(逻辑)

不信任

分配的 ISP*

*仅当存在 LTE Mini-PIM 时

SRX320 出厂时默认启用以下服务和协议:

表 5:服务、协议和启动模式

服务业

协议

设备启动模式

SSH

HTTPS

RSTP(所有接口)

开关
注意:

从 Junos OS 25.2R1 版开始,出厂默认设备配置在[edit system services]层次结构级别不包含语netconf ssh句。

为了提供安全流量,会在不信任区域上配置一组基本的筛选。此外,默认安全策略还会阻止源自任何不信任区域接口的流量传递到信任区域。

如何加载和查看出厂默认设置

您的设备附带一组出厂默认配置文件。要查看设备上的出厂默认设置:

  1. 以 root 用户身份登录并提供您的凭据。

  2. 查看各种硬件平台的默认配置文件的完整列表:

  3. 要显示特定默认配置文件的内容:

对配置执行更改时,将创建新的配置文件,它将成为活动配置。您随时可以使用 load factory-default 配置模式命令加载新的出厂默认配置,以恢复到出厂默认配置。当您发出 load factory-default 配置命令时,Junos 软件会为硬件平台选择正确的默认配置。

您可以使用 show configuration 作模式命令(或者在配置模式下仅使用 show 命令)来查看设置。

注意:

您还可以使用前面板 RESET CONFIG 按钮加载出厂默认配置。请参阅 使用 SRX320 服务网关上的重置配置按钮

即插即用,实现基于云的配置

本节介绍如何利用 SRX320 出厂默认设置实现即插即用互联网连接。您可以使用此连接手动或通过基于云的配置服务远程管理和配置 SRX320。

按照以下步骤作,可让您的 SRX320 快速上网,以访问基于云的配置服务,例如瞻博网络 Mist 云或 Contrail 服务编排 (CSO)。采用出厂默认配置的 SRX320 即插即用连接如下所示。

Plug and Play for Cloud-Based Provisioning
  1. 将 WAN 网络连接到端口 0/0 (ge-0/0/0)。在默认配置中,ge-0/0/0 是您的 WAN 接口。在默认配置中,此接口被置于不信任区域中,并配置为 DHCP 客户端。这些设置允许 SRX 从服务提供商处接收 IP 地址和默认路由。
  2. 配置 LAN 客户端(PC、笔记本电脑、接入点等)以进行 DHCP 地址分配。将这些设备连接到从 0/1 到 0/6(ge-0/0/1 到 ge-0/0/6)的任何 LAN 端口。就是这样,大功告成!

    在默认配置中,LAN 端口配置在具有关联 IRB 接口的信任 VLAN 中。DHCP 服务通过该 IRB 接口提供给信任 VLAN,而该接口也被置于信任区域中。结果是,所有 LAN 端口共享一个公共 IP 子网,并通过 SRX 实现完整的第 2 层(未标记)连接。在第 3 层,IRB 接口将 LAN 与 192.168.1.0/24 子网相关联,并为其自身保留 192.168.1.1 地址。

    通过 DHCP,为 LAN 设备分配来自 192.168.1.0/24 子网的 IP 地址和默认网关。

  3. 验证 SRX320 是否正在提供互联网连接。在连接到 LAN 端口的设备上打开浏览器并将其指向 http://www.juniper.net。如果页面未加载,请检查 Internet 连接。

    若要隔离任何故障,请尝试以下步骤:

    • 重新启动 WAN 调制解调器。验证调制解调器是否正确连接到服务提供商。
    • 使用 CLI 从 SRX320 对互联网目标执行 Ping 命令,以测试互联网连接。确保允许目标回复 ping,并尝试使用名称和 IP 地址将 DNS 与连接问题隔离开来。
    • 生成从 LAN 设备到分配给 SRX 上 IRB 接口的 192.168.1.1 地址的 ping。成功回复将验证 LAN 设备与 SRX 之间的 DHCP 和第 2 层连接。
    • show dhcp server binding使用命令检查 LAN 端 DHCP 服务器地址分配。

    此时,SRX320 和 LAN 设备都可以访问互联网。默认策略允许从信任区域到不信任区域的所有流量。默认策略还会对离开 WAN 的流量执行 SNAT。默认情况下,允许所有响应流量从不信任区返回到信任区。源自不信任 (WAN) 区域的流量将被阻止来自信任区域。允许 HTTPS、TFTP 和 DHCP 流量源自不信任区域并发送到本地主机。

    您可以使用 J-Web 访问 SRX,以在本地和远程执行初始配置。对于本地访问,请使用连接到 LAN 端口的计算机并将浏览器指向 https://191.168.1.1。要通过 WAN 接口进行远程访问,您需要知道 WAN 提供商分配给 SRX 的 IP 地址。有关使用 J-Web 安装向导执行初始设置的详细信息,请参阅 J-Web 安装向导 。您始终可以使用控制台端口在本地访问 SRX320,以执行其他配置。有关使用 CLI 进行初始配置的详细信息,请参阅 SRX320 Day One+

    注意:

    在默认配置中,使用 J-Web 本地或远程访问 SRX320 不需要密码。将 SRX 连接到互联网后,您应尽快将 SRX 纳入云配置服务,或者手动配置 root 密码(使用 J-Web 或 Junos CLI)。