步骤 1:验证本地分支机构连接并保护
了解您的 SRX,没有比加入并开始使用 SRX 更好的方法了。首先,我们使用 CLI 来验证 SRX 的运行状态。如 Day One+ 指南所述,这一步假定您已完成出厂默认设置的初始配置。此时,您应该为分支机构提供本地和互联网连接。
了解 SRX300 系列默认连接
图 1 显示了完成初始配置后分支机构的结束状态。我们将向您展示如何利用 SRX 出厂默认配置使分支机构快速上线。
注意:
正如我们在 表 1 中指出的,某些 SRX300 系列型号具有专用的管理接口,而其他型号则没有。这会影响用于信任 LAN 端口的 IP 子网。下图基于具有专用管理接口的 SRX 模型,特别是 SRX380。如果您的 SRX 没有专用管理接口,只需更改显示的 IRB 子网,以反映 192.168.1.0/24。在继续阅读指南时,您必须记住这种变化。
图 1:SRX300 线路默认连接 (SRX380)
默认连接基于 SRX380,SRX380 同样具有专用管理接口。如果设备没有管理接口,则信任 LAN 端口将使用 192.168.1.0/24。
首先,关于 SRX300 系列设备的 Day One+ 结束状态的一些提醒:
如何访问 CLI
有多种方式可以访问 SRX CLI。在所有情况下,您都可使用在 Day One+ 过程中配置的密码以 root 用户身份登录:
- 通过串行端口直接访问控制台
-
SSH 访问:
通过信任区域设备访问
您可以从连接到信任 VLAN 中本地 LAN 端口的设备 SSH 到 192.168.2.1。通过管理界面访问
如果 SRX 有专用管理接口 (fxp0),则从连接到带外管理网络的设备 SSH 到 192.168.1.1。远程访问
要远程访问 SRX,请使用 WAN 提供商分配给 ge-0/0/0 接口的 IP 地址。只需在show interfaces ge-0/0/0 terse
SRX 上发出命令,即可确认提供商分配给 WAN 接口的地址。
默认 LAN 端口配置
- 连接到 LAN 端口的设备配置为使用 DHCP。它们从 SRX 接收其网络配置。这些设备使用 SRX 作为默认网关从 192.168.2.0/24 地址池获取 IP 地址。
- 区域 trust LAN 端口在第 2 层连接位于同一子网中。接口之间 trust 允许所有流量。
- 该区域允许untrust来自该trust区域的所有流量。允许匹配的响应流量从untrust区域返回到区域trust。来自该untrust区域的流量将被trust阻止。
- SRX 使用 WAN 接口的 IP 地址对源自 trust 该区域并发送到 WAN 区域的流量执行源网络转换(源 NAT untrust )。
- 与特定系统服务(HTTPS、DHCP、TFTP 和 SSH)关联的流量被允许从 untrust 区域传输到本地主机。所有本地主机服务和协议均允许源自该区域的 trust 流量。