Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

在 SRX320 上配置 Junos OS

SRX320 防火墙随附预装瞻博网络 Junos 操作系统 (Junos OS),可在 SRX320 开机时进行配置。您可以使用下列方法之一执行 SRX320 的初始软件配置:

  • 命令行界面 (CLI)

  • 通过基于云的配置服务实现零接触配置 (ZTP)

  • J-Web 图形用户界面

在配置新的 SRX320 之前,建议您了解出厂默认配置。在许多情况下,您可以利用出厂默认设置来简化配置任务。在其他情况下,当您发现默认值与计划的使用情况不一致时,您可能会发现从空白配置开始更容易。有关出厂默认配置的详细信息,请参阅 SRX320 防火墙出厂默认设置

使用 CLI 进行初始配置

您可以使用设备上的串行或迷你 USB 控制台端口。

连接到串行控制台端口

要连接到串行控制台端口,请执行以下操作:

  1. 将以太网电缆的一端插入 RJ-45 到 DB-9 串行端口适配器。
    注意:

    我们不再将控制台电缆作为设备包的一部分包含在内。如果设备包装中未包含控制台电缆和适配器,或者您需要不同类型的适配器,则可以单独订购:

    • RJ-45 到 DB-9 适配器 (JNP-CBL-RJ45-DB9)

    • RJ-45 转 USB-A 适配器 (JNP-CBL-RJ45-USBA)

    • RJ-45 转 USB-C 适配器 (JNP-CBL-RJ45-USBC)

    如果要使用 RJ-45 到 USB-A 或 RJ-45 到 USB-C 适配器,则必须在电脑上安装 X64(64 位)虚拟 COM 端口 (VCP) 驱动程序。请参阅 https://ftdichip.com/drivers/vcp-drivers/ 以下载驱动程序。
  2. 将 RJ-45 到 DB-9 串行端口适配器插入管理设备上的串行端口。
  3. 将以太网电缆的另一端连接到 SRX320 上的串行控制台端口。
    图 1:连接到 SRX320 Connect to the Console Port on the SRX320 上的控制台端口
  4. 启动异步终端仿真应用程序(如 Microsoft Windows 超级终端)并选择要使用的相应 COM 端口(例如 COM1)。
  5. 使用以下值配置串行端口设置:

    • 波特率—9600

    • 奇偶校验 - N

    • 数据位 - 8

    • 停止位 - 1

    • 流控制 - 无

连接到迷你 USB 控制台端口

要连接到迷你 USB 控制台端口,请执行以下操作:

  1. 下载页面将 USB 驱动程序下载到管理设备。要下载适用于 Windows 操作系统的驱动程序,请从“版本”下拉列表中选择6.5。要下载适用于 macOS 的驱动程序,请从版本下拉列表中选择4.10
  2. 安装 USB 控制台驱动程序软件:
    注意:

    在尝试在 SRX320 和管理设备之间建立物理连接之前,请先安装 USB 控制台驱动程序软件,否则连接将失败。

    1. .zip 文件复制并解压缩到本地文件夹。

    2. 双击 .exe 文件。此时将显示安装程序屏幕。

    3. 单击 安装

    4. 单击下一个屏幕上的 “仍然继续 ”以完成安装。

      如果您选择在此过程中随时停止安装,则全部或部分软件将无法安装。在这种情况下,我们建议您卸载 USB 控制台驱动程序,然后重新安装它。

    5. 安装完成后,单击 “确定 ”。

  3. 将 SRX320 随附的 USB 电缆的大端插入管理设备上的 USB 端口。
  4. 将 USB 电缆的另一端连接到 SRX320 上的迷你 USB 控制台端口。
  5. 启动异步终端仿真应用程序(如 Microsoft Windows 超级终端),然后选择由 USB 控制台驱动程序软件安装的新 COM 端口。在大多数情况下,这是选择菜单中编号最高的 COM 端口。

    安装和初始化驱动程序后,您可以在Windows设备管理器中的端口(COM和LPT)下找到COM端口。这可能需要几秒钟。

  6. 使用以下值配置端口设置:

    • 位/秒 - 9600

    • 奇偶校验 - 无

    • 数据位 - 8

    • 停止位 - 1

    • 流控制 - 无

  7. 如果尚未执行此操作,请按前面板上的电源按钮打开 SRX320 的电源。验证前面板上的 PWR LED 是否变为绿色。

    管理设备上的终端仿真屏幕将显示启动顺序。SRX320 完成启动后,将显示登录提示。

使用 CLI 配置 SRX320

本节假设您正在执行运行出厂默认配置的新 SRX320 的初始配置。我们将向您展示如何利用默认值快速将 SRX320 接入互联网,并在本地或远程进行管理。有关 SRX320 出厂默认设置的详细信息,请参阅 SRX320 防火墙出厂默认设置

但是,对于本节,我们假设服务提供商不支持 WAN 接口上的 DHCP 地址分配。这使我们能够向您展示如何使用 Junos CLI 配置接口和静态路由。

要使用 CLI 在 SRX320 上执行初始配置:

  1. 以 root 用户身份登录并启动 CLI。运行出厂默认设置时不需要密码。
    注意:

    您可以使用操作模式命令查看 show configuration 当前配置(无论是否为出厂默认设置)。
  2. 进入配置模式。
  3. 移除 ZTP 配置并设置 root 用户身份验证。

    使用 CLI 执行初始配置时,不需要 ZTP 配置。删除 ZTP 配置将停止在控制台上报告 ZTP 状态的定期日志消息。

    使用明文值设置 root 身份验证密码。除非同时设置 root 密码,否则无法提交停用 ZTP 的更改。

  4. 提交配置以激活删除 ZTP 并配置 root 密码的更改。
  5. 配置管理接口。鉴于出厂默认设置,我们建议使用 ge-0/0/0 接口通过 WAN 网络远程管理 SRX320。您还可以使用其中一个 LAN 端口(ge-0/0/1 到 ge-0/0/6)在本地管理 SRX320。

    如果 WAN 服务提供商支持 DHCP IP 地址分配,则可以跳过此步骤,让出厂默认设置为您所用。在此示例中,互联网提供商需要静态 IP 地址配置。您必须删除默认的 DHCP 客户端设置才能手动配置 IP 地址。

  6. 如果 WAN 服务提供商支持默认路由的 DHCP 分配,则可以跳过此步骤,让出厂默认设置为您所用。在此示例中,互联网提供商不支持 DHCP。因此,您可以配置静态默认路由以提供管理接口。此路由用于到达远程目标,例如云预配服务或远程管理站。
  7. 启用 SSH 协议以进行远程访问。默认情况下,root 用户无法远程登录。您还可以在此步骤中通过 SSH 启用 root 登录。
  8. 为 ge-0/0/0 接口启用 SSH 主机支持。回想一下,在默认配置中,ge-0/0/0 接口位于不信任区域中,并且不信任区域不支持主机绑定的 SSH。
  9. 配置主机名。
  10. (可选)配置域名解析、时区和基于 NTP 的时钟源。
  11. 就是这样!初始配置已完成。提交配置以激活 SRX320 上的更改。

    生成的连接如下所示。

    关于新的 SRX320 分支机构网络,需要记住的几点:

    • 使用 192.168.1.1 地址在本地访问 SRX CLI 或 J-Web 用户界面。要远程访问 SRX,请指定 WAN 提供商分配的 IP 地址。只需发出 show interfaces ge-0/0/0 简洁 CLI 命令,即可确认 WAN 接口正在使用的地址。

    • 连接到 LAN 端口的设备配置为使用 DHCP。他们从 SRX 接收网络配置。这些设备从 192.168.1.0/24 地址池获取 IP 地址,并将 SRX 用作其默认网关。

    • 所有 LAN 端口都位于具有第 2 层连接的同一子网中。所有信任区域接口之间都允许所有流量。

    • 不允许在非信任区域中发出信任区域的所有流量。允许匹配的响应流量从不信任区域返回到信任区域。来自不信任区域的流量将被阻止来自信任区域。

    •对于从信任区域发送到 WAN 的流量,SRX 使用 WAN 接口的 IP 执行源 NAT (S-NAT)。

    •允许与特定系统服务(HTTPS、DHCP、TFTP 和 SSH)关联的流量从不信任区域流向本地主机。对于源自信任区域的流量,允许所有本地主机服务和协议。

使用 J-Web 配置 SRX320

使用 J-Web 执行初始配置

J-Web 用户界面支持设置向导,您可以使用该向导执行设备的初始配置。

  1. 将以太网电缆的一端连接到设备上编号为 0/10/6 的任何网络端口。
    注意:

    ge-0/0/0 和 ge-0/0/7 接口(端口 0/00/7)是 WAN 接口。请勿将这些端口用于初始配置过程。
  2. 将以太网电缆的另一端连接到管理设备。
    图 2:将 SRX320 连接到管理设备 Connect the SRX320 to a Management Device

    SRX320 可用作 DHCP 服务器,并自动为笔记本电脑分配 IP 地址。

  3. 确保管理设备从该设备获取 192.168.1.0/24 网络上的 IP 地址。

    如果未为管理设备分配 IP 地址,请在 192.168.1.0/24 网络中手动配置 IP 地址。

    注意:

    请勿将 192.168.1.1 IP 地址分配给管理设备,因为此 IP 地址已分配给 SRX320。
  4. 打开浏览器并输入https://192.168.1.1作为目标 URL。此时将显示 J-Web 屏幕。有关访问 J-Web 界面的信息,请参阅访问 J-Web 界面。有关使用 J-Web 执行初始配置的信息,请参阅 J-Web 设置向导

使用 J-Web 管理 SRX320

初始设备配置完成后,您可以使用 J-Web 对 SRX320 设备执行持续的配置、管理和运行状况监控。

有关更多信息,请参阅 SRX J-Web 文档,了解您的版本,网址为 https://www.juniper.net/documentation/product/us/en/j-web-srx-series

将 ZTP 与瞻博网络网络服务控制器结合使用,配置设备

注意:

您可以使用 ZTP 对 Junos OS 19.2 版及更早版本进行配置。

您可以使用 ZTP 自动完成网络中 SRX320 的初始配置,只需最少的干预。

网络服务控制器是瞻博网络 Contrail 服务编排平台的一个组件,可简化和自动化使用开放框架的自定义网络服务的设计和实施。

有关详细信息,请参阅 http://www.juniper.net/assets/us/en/local/pdf/datasheets/1000559-en.pdf 处产品介绍中的网络服务控制器部分。

要使用 ZTP 自动配置设备,请执行以下操作:

注意:

要完成 ZTP 进程,请确保 SRX320 已连接到互联网。

  • 如果您已有验证码,请在显示的网页中输入验证码。

    图 3:身份验证代码页 Authentication Code Page

    身份验证成功后,将在 SRX320 上应用并提交初始配置。或者,在应用初始配置之前,将在 SRX320 上安装最新的 Junos OS 映像。

  • 如果没有验证码,可以使用 J-Web 设置向导配置 SRX320。单击 跳至 J-Web ,然后使用 J-Web 配置 SRX320。

相关文档