在 SRX345 上配置 Junos OS
服务网关随附的瞻博网络 Junos 操作系统 (Junos OS) 已预安装,准备在设备开机时进行配置。您可以使用基于浏览器的设置向导或使用命令行界面 (CLI) 来执行服务网关的初始软件配置。
SRX345 防火墙出厂默认设置
SRX345 设备出厂默认设置如下:
源区域 |
目标区域 |
策略操作 |
---|---|---|
信任 |
信任 |
许可证 |
信任 |
untrust |
许可证 |
源区域 |
目标区域 |
策略操作 |
---|---|---|
信任 |
untrust |
将 NAT 源到不可信区域接口 |
端口标签 |
接口 |
安全区域 |
DHCP 状态 |
IP 地址 |
---|---|---|---|---|
0/0 和 0/15 |
ge-0/0/0 和 ge-0/0/15 |
untrust |
客户 |
未分配 |
0/1 到 0/14 |
VLAN 接口 irb.0(ge-0/0/1 到 ge-0/0/14) |
信任 |
服务器 |
192.168.2.1/24 |
MGMT |
fxp0 |
|
服务器 |
192.168.1.1/24 |
接口 |
安全区域 |
IP 地址 |
---|---|---|
cl-1/0/0 |
不适用 |
不适用 |
dl0(逻辑) |
untrust |
已分配 ISP* |
仅当 LTE 小型 PIM 存在时 |
SRX345 设备默认启用以下服务和协议:
服务 |
协议 |
设备启动模式 |
---|---|---|
Ssh HTTPS 通过 SSH 的 NETCONF |
RSTP(所有接口) |
开关 |
为了提供安全流量,在不信任区域上配置了一组基本屏幕。
如果当前活动配置失败,您可以使用 load factory-default
命令恢复到出厂默认配置。
如何查看出厂默认设置
要查看设备上的出厂默认设置:
以 root 用户身份登录并提供您的凭据。
查看默认配置文件列表:
user@host> file list /etc/config
查看所需的默认配置文件。
user@host> file show /etc/config/<config file name>
对配置提交更改时,将创建新的配置文件,该配置文件将成为活动配置。如果当前活动配置失败,您可以使用 load factory-default
命令恢复到出厂默认配置。
使用 CLI 进行初始配置
您可以使用设备上的串行端口或 mini-USB 控制台端口。
连接到串行控制台端口
要连接到串行控制台端口,
连接到 Mini-USB 控制台端口
要连接到 mini-USB 控制台端口:
使用 CLI 配置 SRX345
要使用 CLI 配置 SRX345:
使用 J-Web 进行初始配置
使用 J-Web 配置
要使用 J-Web 配置设备:
您可以通过登录 J-Web 并选择适合您的配置模式继续自定义设置。然后,您可以按照“设置”向导中显示的屏幕操作。
要自定义 Junos OS 19.2 版中的配置,请参阅 自定义 Junos OS 19.2 版的配置。
要自定义 Junos OS 15.1X49-D170 版中的配置,请参阅 自定义 Junos OS 15.1X49-D170 版的配置。
自定义 Junos OS 19.2 版的配置
您可以选择任意一种配置模式来自定义配置:
标准 — 为 SRX345 配置基本安全设置。
群集 (HA) — 在机箱群集模式下设置 SRX345。
被动 — 在分路模式下设置 SRX345。利用分接模式,SRX345 可以被动监控网络上的流量。
自定义 Junos OS 15.1X49-D170 版的配置
您可以选择任意一种配置模式来自定义配置:
引导式设置(使用动态 IP 地址)— 允许您在自定义安全配置中设置 SRX345。您可以选择基本选项或专家选项。
下表比较了基本级别和专家级别:
选项
基本
专家
允许的内部区域数
3
≥ 3
互联网区域配置选项
静态 IP
动态 IP
静态 IP
静态池
动态 IP
内部区域服务配置
允许
允许
内部目标 NAT 配置
不允许
允许
注意:如果更改笔记本电脑连接到的端口的 IP 地址,则当在“引导设置”模式下应用配置时,您可能会失去与设备的连接。要再次访问 J-Web,请打开新的浏览器窗口并键入 https://new IP address。
默认设置(使用动态 IP 地址)— 允许您使用默认配置快速设置 SRX345。完成向导设置后,可以执行任何其他配置。
高可用性 — 允许您使用默认基本配置设置机箱群集。
使用 ZTP 和瞻博网络网络服务控制器配置设备
您可以使用 ZTP 进行配置,适用于 Junos OS 19.2 及更早版本。
您可以使用 ZTP 自动完成网络中 SRX345 的初始配置,而干预最少。
网络服务控制器是瞻博网络 Contrail 服务编排平台的一个组件,可通过开放式框架简化和自动化自定义网络服务的设计和实施。
有关更多信息,请参阅 http://www.juniper.net/assets/us/en/local/pdf/datasheets/1000559-en.pdf 产品介绍中的“网络服务控制器”部分。
要使用 ZTP 自动配置设备:
要完成 ZTP 流程,请确保 SRX345 已连接到互联网。
如果您已有身份验证代码,请在显示的网页中输入验证码。
图 3:身份验证代码页面成功身份验证后,在 SRX345 上应用并提交初始配置。或者,在应用初始配置之前,将最新的 Junos OS 映像安装在 SRX345 上。
如果没有身份验证代码,可以使用 J-Web 设置向导配置 SRX345。单击 跳至 J-Web 并使用 J-Web 配置 SRX345。