Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

添加设备

概述

您可以通过以下方式将设备添加到 Juniper Security Director Cloud

开始之前

  • 确保每个 SRX 系列防火墙端口都可以与 Juniper Security Director Cloud FQDN 通信。每个区域的 FQDN 都不同。

    用于
    表 1:区域到 FQDN 的映射
    区域 用途 端口 用于 IPv4 的 FQDNIPv6 的 FQDN

    美国北弗吉尼亚州

    ZTP

    443

    jsec2-virginia.juniperclouds.net

    出站 SSH

    7804

    srx.sdcloud.juniperclouds.net

    srx-v6.sdcloud.juniperclouds.net

    系统日志 TLS

    6514

    srx.sdcloud.juniperclouds.net

    srx-v6.sdcloud.juniperclouds.net

    美国俄亥俄州

    ZTP

    443

    jsec2-ohio.juniperclouds.net

    出站 SSH

    7804

    srx.jsec2-ohio.juniperclouds.net

    srx-v6.jsec2-ohio.juniperclouds.net

    系统日志 TLS

    6514

    srx.jsec2-ohio.juniperclouds.net

    srx-v6.jsec2-ohio.juniperclouds.net

    加拿大蒙特利尔

    ZTP

    443

    jsec-montreal2.juniperclouds.net

    出站 SSH

    7804

    srx.jsec-montreal2.juniperclouds.net

    srx-v6.jsec-montreal2.juniperclouds.net

    系统日志 TLS

    6514

    srx.jsec-montreal2.juniperclouds.net

    srx-v6.jsec-montreal2.juniperclouds.net

    德国,法兰克福

    ZTP

    443

    jsec-frankfurt.juniperclouds.net

    出站 SSH

    7804

    srx.jsec-frankfurt.juniperclouds.net

    srx-v6.jsec-frankfurt.juniperclouds.net

    系统日志 TLS

    6514

    srx.jsec-frankfurt.juniperclouds.net

    srx-v6.jsec-frankfurt.juniperclouds.net

  • 使用 TCP 端口 53 和 UDP 端口 53 连接到 Google DNS 服务器(IP 地址 - 8.8.8.8 和 8.8.4.4)。在 SRX 系列防火墙的出厂设置中,Google DNS 服务器被指定为默认服务器。使用 ZTP 加入防火墙时,必须使用这些默认 DNS 服务器。使用其他方法载入防火墙时,可以使用专用 DNS 服务器。请注意,您必须确保专用 DNS 服务器可以解析 Juniper Security Director Cloud FQDN。

  • 如果您使用自定义路由实例连接到 Juniper Security Director Cloud,请运行以下 CLI 命令,将 IDP 安全包从 Juniper Security Director Cloud 下载并安装到设备:

    独立设备、 设备群集、 MNHA 配对设备

    set security idp security-package routing-instance <custom routing-instance>

    • set groups node0 security idp security-package routing-instance <custom routing-instance>

    • set groups node1 security idp security-package routing-instance <custom routing-instance>

    对于 MNHA 对中的每台设备:

    set security idp security-package routing-instance <custom routing-instance>

使用命令添加独立设备、设备群集或 MNHA 对设备

Juniper Security Director Cloud 会生成用于添加独立设备、设备群集或多节点高可用性 (MNHA) 对设备的命令。您可以将命令复制粘贴并提交到设备控制台,然后发现设备并将其添加到 Juniper Security Director 云中。有关 MNHA 的详细信息,请参阅 《高可用性用户指南》。

注意:

Juniper Security Director Cloud 支持运行 Junos OS 22.4R1 或更高版本的 MNHA 对设备。
  1. 单击 Inventory > Devices
    此时将显示“设备”页面。
  2. 单击 +。
    此时将显示“添加设备”页面。
  3. 单击“采用 SRX 设备”。
  4. 选择以下选项之一:
    • SRX 设备以 添加独立设备。
    • SRX 群集, 以添加设备群集。
    • SRX 多节点高可用性 (MNHA) 来添加 MNHA 对。
  5. 输入要添加的独立设备、设备群集或 MNHA 对的数量,然后单击确定
    注意:

    一次最多可以添加 50 个独立设备、设备群集或 MNHA 对。一对 MNHA 由 2 个设备组成。因此,如果输入 1,则将添加 MNHA 对中的两个设备。

  6. 选择设备用于建立与 Juniper Security Director Cloud 的连接的 IPv4 或 IPv6 协议。
    将显示一条成功消息,并且独立设备、设备群集或 MNHA 对及其设备将显示在“设备”页面上。
    注意:

    目前, Juniper Security Director云 尚未完全添加设备。因此,“管理状态”列显示“ 发现未启动 ”状态。
  7. 在“管理状态”列中,单击“采用设备”或“采用集群”。
    注意:

    如果添加了 MNHA 对,则会为每个 MNHA 对设备显示“ 采用设备 ”链接。
    此时将打开“采用设备”页面,其中包含需要提交至设备的命令。
  8. 如果您使用自定义路由实例连接到 Juniper Security Director Cloud,请启用“路由实例”选项,为您的设备生成路由实例配置。
    注意:在生成路由实例配置之前,先配置路由实例。
    1. 添加已为您的设备配置的路由实例的名称,然后单击生成 RI 配置

      以下 CLI 命令将添加到默认生成的命令中。

      独立设备、 设备群集、 MNHA 配对设备

      set system services outbound-ssh routing-instance <custom routing-instance>

      • set groups node0 system services outbound-ssh routing-instance <custom routing-instance>

      • set groups node1 system services outbound-ssh routing-instance <custom routing-instance>

      对于 MNHA 对中的每台设备:

      set system services outbound-ssh routing-instance <custom routing-instance>
  9. 如果使用代理服务器,请启用代理服务器并单击生成代理服务器配置以使用代理服务器配置更新设备配置。

    单击 配置 以配置代理服务器。

    注意:在生成代理服务器配置之前,先配置静态或 DHCP 代理服务器。请参阅 配置代理服务器以进行设备管理

    默认情况下,以下 CLI 命令将添加到默认生成的设备配置命令中。

    独立设备、 设备群集、 MNHA 配对设备

    set system services outbound-ssh client <outbound-ssh client name> proxy-server <static or DHCP proxy-server> host <host name> port <port number>

    • set groups node0 system services outbound-ssh client <outbound-ssh client name> proxy-server <static or DHCP proxy-server> host <host name> port <port number>

    • set groups node1 system services outbound-ssh client <outbound-ssh client name> proxy-server <static or DHCP proxy-server> host <host name> port <port number>

    对于 MNHA 对中的每台设备:

    set system services outbound-ssh client <outbound-ssh client name> proxy-server <static or DHCP proxy-server> host <host name> port <port number>
  10. 命令复制并粘贴到设备编辑提示符,然后按 Enter。如果要添加设备群集,请将命令粘贴到群集的主设备的 CLI。如果要添加 MNHA 对,请将命令粘贴到对中的每个设备。

    • 配置的路由实例将另存为设备的默认管理路由实例,并用于自动和手册签名安装、映像暂存和部署。

    • 配置的代理服务器将保存为入网设备和所有设备出站流量的默认代理。

  11. 键入 Commit,然后按 Enter 将更改提交到设备。
    设备发现过程在 Juniper Security Director Cloud 中启动。您可以刷新设备页面,并在管理状态列中查看正在 进行的发现 状态。您可以在 “作业” 页面上查看作业状态。

    发现完成后,“管理状态”列中的状态将更改为 “运行”。如果发现失败,则会显示 发现失败状态 。将鼠标悬停在 “发现失败 ”状态上,以查看失败的原因。

    • 如果 MNHA 对的作业失败,则 MNHA 对名称旁边不会显示部署模式。您可以再次删除并添加 MNHA 对,也可以再次启动发现过程。

    • 如果 MNHA 对中的设备上的安全证书安装作业失败,请从 Jobs 页面重试作业,然后从 Devices 页面重新启动设备的安全日志配置。

  12. 自选。使用自定义路由实例时,运行以下 CLI 命令可在 Juniper Security Director Cloud 上接收日志流:

    • 独立设备: set security log stream sd-cloud-logs host routing-instance <custom routing-instance>

    • 设备群集:

      • set groups node0 security log stream sd-cloud-logs host routing-instance <custom routing-instance>

      • set groups node1 security log stream sd-cloud-logs host routing-instance <custom routing-instance>

    • 对于 MNHA 对中的每台设备: set security log stream sd-cloud-logs host routing-instance <custom routing-instance>

添加到 Juniper Security Director Cloud 的设备上的自动导入行为

如果已在组织选项卡下选择自动导入选项,并且使用采用设备方法和设备发现配置文件管理设备,则将自动导入安全策略、NAT 和引用的对象。请参阅 关于组织页面

  • 自动导入过程会创建与 Juniper Security Director Cloud 中的现有对象冲突的对象的副本。

  • 自动导入过程不会覆盖 Juniper Security Director Cloud 中的默认内容安全性设置。将考虑现有内容安全性配置,而不是导入的设备配置。建议您在管理设备之前,先查看并配置 Juniper Security Director Cloud 中的内容安全性设置。请参阅 配置内容安全性设置

使用 ZTP 添加设备

您可以使用 ZTP 自动配置和配置设备。全自动部署 (ZTP) 减少了将设备添加到网络时的手册干预。为确保通过 ZTP 入网有效设备,您可以配置 Juniper Security Director Cloud 来提示您批准或拒绝入网请求。

有关受支持的 SRX 系列防火墙,请参阅 Juniper Security Director Cloud 支持的防火墙

注意:

要添加其他设备型号,请配置基本设备设置和连接,然后使用添加 独立设备、设备群集或 MNHA 对设备 使用命令添加设备。
打开设备开机以添加到 Juniper Security Director Cloud
  1. 单击 Inventory > Devices
    此时将显示“设备”页面。
  2. 单击添加设备
    此时将显示“添加设备”页面。
  3. 要手动输入设备详细信息,请单击为 ZTP 注册 SRX 设备,然后执行以下作:
    1. 输入设备的序列号。
    2. 设备设置至少六个字母数字和特殊字符(不含空格)的 root 密码。
    3. 要添加多个设备,请单击 + 并输入设备详细信息。
    4. 要对所有设备使用相同的 root 密码,请选择对设备 1 中的所有设备使用此密码
    5. 选择设备用于建立与 Juniper Security Director Cloud 的连接的 IPv4 或 IPv6 协议。
    6. 单击确定
  4. 要将设备信息上传为 CSV 文件,请单击“为 ZTP 注册设备”>“上传 CSV 文件”,然后执行以下作:
    1. 单击下载示例 CSV 文件以下载 CSV 文件模板以输入设备详细信息。
    2. CSV 文件中添加设备的序列号、root 密码和 IPv6 协议(true 或 false)。
    3. 点击浏览并上传 CSV 文件。
    4. 单击确定

设备将添加并显示在 “设备” 页面上,并启动设备发现过程。

如果将 Juniper Security Director Cloud 配置为提示您通过 ZTP 批准或拒绝设备上线请求,则“ 管理状态” 列中将显示批准或拒绝请求的链接。请参阅 批准或拒绝 ZTP 设备的入网请求

通过扫描二维码添加设备

您可以通过扫描防火墙上的二维码,将云就绪SRX 系列防火墙添加到 Juniper Security Director 云 。如果您的 SRX 系列防火墙的正面或背面面板上有二维码声明代码,则该防火墙是云就绪的。

确保以下几点:

  • 防火墙已打开。

  • 组织中尚未添加防火墙。您只能在一个组织中添加防火墙。

  1. 使用连接到互联网的移动设备扫描 SRX 系列防火墙上的二维码。
  2. 单击显示的链接以转到 Juniper Security Director Cloud 登录页面。
  3. 输入您的帐户电子邮件地址和密码,然后单击登录
    如果您没有帐户,请转到其他设备上的 https://sdcloud.juniperclouds.net ,创建一个帐户,然后重试。
  4. 选择要添加防火墙的组织。
  5. 输入防火墙的 root 密码(至少 6 个字符不带空格),然后单击添加设备
    防火墙将添加到 Juniper Security Director云 中,设备发现也会自动启动。发现完成后,您可以登录到门户并管理防火墙。
    注意:

    登录后,会话的有效期为 60 分钟。在此期间,无需输入帐户电子邮件地址和密码即可添加多个防火墙。

批准或拒绝 ZTP 设备的上线请求

必须启用“组织”页上的“批准/拒绝设备载入请求”切换按钮才能接收载入请求。

全自动部署 (ZTP) 减少了将设备添加到网络时的手册干预。但是,为了确保通过 ZTP 入网有效设备,您可以配置 Juniper Security Director Cloud ,使其提示您批准或拒绝设备上线请求。

如果输入的序列号不正确,则不会生成入网请求。它确保仅将具有有效序列号的设备添加到 Juniper Security Director Cloud 中。

  1. 在设备的“管理状态”列中,将鼠标悬停在“载入请求”链接上。
    将显示批准或拒绝请求的选项。
    注意:

    您必须在 14 天内批准或拒绝请求。14 天后,设备会自动从 Juniper Security Director 云中移除。
  2. 要批准请求并启动设备发现,请执行以下步骤:
    1. 单击批准载入请求
      系统会提示您确认是否要批准该请求。
    2. 单击确定
      设备发现过程将启动,并且 “管理状态”列中将显示“ 正在发现”状态。发现完成后,“ 运行”和“ 同步”状态将分别显示在 “管理状态”和“ 库存状态”列中。如果发现失败,可以在 作业页面查看详细信息。
      注意:

      在发现过程启动之前,您可以随时拒绝请求。如果启动发现,则只能从 Juniper Security Director Cloud 中删除设备。请参阅 删除设备
  3. 要拒绝请求,请单击拒绝载入请求
    已拒绝载入请求状态显示为链接。您可以将鼠标悬停在链接上,稍后批准请求。
    注意:

    您必须在 14 天内批准或拒绝请求。14 天后,设备会自动从 Juniper Security Director 云中移除。

也可以看看