Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

步骤 1:验证本地分支机构连接并保护

了解您的 SRX,没有比加入并开始使用 SRX 更好的方法了。首先,我们使用 CLI 来验证 SRX 的运行状态。如 Day One+ 指南所述,这一步假定您已完成出厂默认设置的初始配置。此时,您应该为分支机构提供本地和互联网连接。

了解 SRX300 系列默认连接

图 1 显示了完成初始配置后分支机构的结束状态。我们将向您展示如何利用 SRX 出厂默认配置使分支机构快速上线。

注意:

正如我们在 表 1 中指出的,某些 SRX300 系列型号具有专用的管理接口,而其他型号则没有。这会影响用于信任 LAN 端口的 IP 子网。下图基于具有专用管理接口的 SRX 模型,特别是 SRX380。如果您的 SRX 没有专用管理接口,只需更改显示的 IRB 子网,以反映 192.168.1.0/24。在继续阅读指南时,您必须记住这种变化。

图 1:SRX300 线路默认连接 (SRX380) SRX300 Line Default Connectivity (SRX380)

默认连接基于 SRX380,SRX380 同样具有专用管理接口。如果设备没有管理接口,则信任 LAN 端口将使用 192.168.1.0/24。

首先,关于 SRX300 系列设备的 Day One+ 结束状态的一些提醒:

如何访问 CLI

有多种方式可以访问 SRX CLI。在所有情况下,您都可使用在 Day One+ 过程中配置的密码以 root 用户身份登录:

  • 通过串行端口直接访问控制台
  • SSH 访问:

    • 通过信任区域设备访问

      您可以从连接到信任 VLAN 中本地 LAN 端口的设备 SSH 到 192.168.2.1。
    • 通过管理界面访问

      如果 SRX 有专用管理接口 (fxp0),则从连接到带外管理网络的设备 SSH 到 192.168.1.1。
    • 远程访问

      要远程访问 SRX,请使用 WAN 提供商分配给 ge-0/0/0 接口的 IP 地址。只需在 show interfaces ge-0/0/0 terse SRX 上发出命令,即可确认提供商分配给 WAN 接口的地址。

默认 LAN 端口配置

  • 连接到 LAN 端口的设备配置为使用 DHCP。它们从 SRX 接收其网络配置。这些设备使用 SRX 作为默认网关从 192.168.2.0/24 地址池获取 IP 地址。
  • 区域 trust LAN 端口在第 2 层连接位于同一子网中。接口之间 trust 允许所有流量。
  • 该区域允许untrust来自该trust区域的所有流量。允许匹配的响应流量从untrust区域返回到区域trust。来自该untrust区域的流量将被trust阻止。
  • SRX 使用 WAN 接口的 IP 地址对源自 trust 该区域并发送到 WAN 区域的流量执行源网络转换(源 NAT untrust )。
  • 与特定系统服务(HTTPS、DHCP、TFTP 和 SSH)关联的流量被允许从 untrust 区域传输到本地主机。所有本地主机服务和协议均允许源自该区域的 trust 流量。