Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

SRX320 防火墙出厂默认设置

SRX320 的出厂默认设置如下:

表 1:安全策略

源区域

目标区域

策略操作

信任

信任

许可证

信任

untrust

许可证
表 2:NAT 规则

源区域

目标区域

策略操作

信任

untrust

将 NAT 源到不可信区域接口
表 3:以太网接口

端口标签

接口

安全区域

DHCP 状态

IP 地址

0/0 和 0/7

ge-0/0/0 和 ge-0/0/7

untrust

客户

未分配

0/1 到 0/6

VLAN 接口 irb.0(ge-0/0/1 到 ge-0/0/6)

信任

服务器

192.168.1.1/24
表 4:LTE 接口

接口

安全区域

IP 地址

cl-1/0/0

不适用

不适用

dl0(逻辑)

untrust

已分配 ISP*

*仅当 LTE 小型 PIM 存在时

SRX320 随附默认情况下启用的以下服务和协议:

表 5:服务、协议和启动模式

服务

协议

设备启动模式

Ssh

HTTPS

通过 SSH 的 NETCONF

RSTP(所有接口)

开关

为了提供安全流量,在不信任区域上配置了一组基本屏幕。此外,默认安全策略会阻止来自任何不信任区域接口的流量传递到信任区域。

如何加载和查看出厂默认设置

您的设备随附一组出厂默认配置文件。要查看设备上的出厂默认设置:

  1. 以 root 用户身份登录并提供您的凭据。

  2. 查看各种硬件平台的默认配置文件的完整列表:

  3. 要显示特定默认配置文件的内容:

对配置提交更改时,将创建新的配置文件,该配置文件将成为活动配置。您始终可以使用配置 load factory-default 模式命令加载新的出厂默认配置,以恢复到出厂默认配置。当您发出 load factory-default 配置命令时,Junos 软件会为硬件平台选择正确的默认配置。

show configuration您可以使用操作模式命令,或者在配置模式下使用show命令来查看设置。

注意:

您还可以使用前面板 RESET CONFIG 按钮加载出厂默认配置。请参阅 使用 SRX320 服务网关上的 RESET CONFIG 按钮

即插即用,实现基于云的配置

本部分介绍如何利用 SRX320 出厂默认设置进行即插即用互联网连接。您可以使用这种连接来手动或通过基于云的配置服务远程管理和配置 SRX320。

按照以下步骤快速将 SRX320 接入互联网,以访问基于云的配置服务,如瞻博网络 Mist 云或 Contrail 服务编排 (CSO)。出厂默认配置的 SRX320 即插即用连接如下所示。

Plug and Play for Cloud-Based Provisioning
  1. 将 WAN 网络连接到端口 0/0 (ge-0/0/0)。在默认配置中,ge-0/0/0 是 WAN 接口。在默认配置中,此接口被放置在不信任区域,并配置为 DHCP 客户端。这些设置允许 SRX 从服务提供商接收 IP 地址和默认路由。
  2. 为 DHCP 地址分配配置 LAN 客户端(PC、笔记本电脑、接入点等)。将这些设备连接到 0/1 到 0/6(ge-0/0/1 到 ge-0/0/6)的任何 LAN 端口。就这样,您就完成了!

    在默认配置中,LAN 端口配置在具有关联 IRB 接口的信任 VLAN 中。DHCP 服务通过该 IRB 接口提供给信任 VLAN,该接口也已放入信任区域。结果是,所有 LAN 端口共享一个公共 IP 子网,并通过 SRX 实现完整的第 2 层(未标记)连接。在第 3 层,IRB 接口将 LAN 与 192.168.1.0/24 子网关联,并将 192.168.1.1 地址保留给自己。

    通过 DHCP 为 LAN 设备分配来自 192.168.1.1.0/24 子网的 IP 地址和默认网关。

  3. 验证 SRX320 是否提供互联网连接。在连接到 LAN 端口的设备上打开浏览器,并将其指向 http://www.juniper.net。如果页面未加载,请检查互联网连接。

    要隔离任何故障,请尝试以下步骤:

    • 重新启动 WAN 调制解调器。验证调制解调器是否正确连接到服务提供商。
    • 使用 CLI 从 SRX320 对互联网目标执行 Ping 操作,以测试互联网连接。确保允许目标回复 ping,并尝试同时使用名称和 IP 地址将 DNS 与连接问题隔离。
    • 生成从 LAN 设备到分配给 SRX 上 IRB 接口的 192.168.1.1 地址的 ping。成功回复将验证 LAN 设备和 SRX 之间的 DHCP 和第 2 层连接。
    • show dhcp server binding使用命令检查 LAN 端 DHCP 服务器地址分配。

    此时,SRX320 和 LAN 设备均可接入互联网。默认策略允许从信任到不信任区域的所有流量。默认策略还会对离开 WAN 的流量执行 SNAT。默认情况下,所有响应流量均被允许从不信任区域返回到信任区域。不信任 (WAN) 区域发起的流量将从信任区域拦截。HTTPS、TFTP 和 DHCP 流量可源自不信任区域并发送至本地主机。

    您可以使用 J-Web 访问 SRX,以在本地和远程执行初始配置。对于本地访问,请使用连接到 LAN 端口的计算机,并将浏览器指向 https://191.168.1.1。要通过 WAN 接口远程访问,您需要知道 WAN 提供商分配给 SRX 的 IP 地址。有关使用 J-Web 设置向导 执行初始设置的详细信息,请参阅 J-Web 设置向导。您始终可以使用控制台端口在本地访问 SRX320 以执行其他配置。有关使用 CLI 进行初始配置的详细信息,请参阅 SRX320 Day One+

    注意:

    在默认配置中,使用 J-Web 在本地或远程访问 SRX320 不需要密码。在将 SRX 连接到互联网后,应尽快将 SRX 纳入云调配服务,或者手动配置 root 密码(使用 J-Web 或 Junos CLI)。