Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

添加设备

概述

您可以通过以下方式将设备添加到 瞻博网络 Security Director Cloud

准备工作

  • 确保每个 SRX 系列防火墙端口均可与瞻 博网络 Security Director Cloud FQDN 通信。每个区域的 FQDN 不同。

    表 1:区域到 FQDN 的映射
    区域 用途 端口 FQDN

    美国北弗吉尼亚州

    全自动部署 (ZTP)

    443

    jsec2-virginia.juniperclouds.net

    出站 SSH

    7804

    srx.sdcloud.juniperclouds.net

    系统日志 TLS

    6514

    srx.sdcloud.juniperclouds.net

    美国俄亥俄州

    全自动部署 (ZTP)

    443

    jsec2-ohio.juniperclouds.net

    出站 SSH

    7804

    srx.jsec2-ohio.juniperclouds.net

    系统日志 TLS

    6514

    srx.jsec2-ohio.juniperclouds.net

    加拿大蒙特利尔

    全自动部署 (ZTP)

    443

    jsec-montreal2.juniperclouds.net

    出站 SSH

    7804

    srx.jsec-montreal2.juniperclouds.net

    系统日志 TLS

    6514

    srx.jsec-montreal2.juniperclouds.net

    德国,法兰克福

    全自动部署 (ZTP)

    443

    jsec-frankfurt.juniperclouds.net

    出站 SSH

    7804

    srx.jsec-frankfurt.juniperclouds.net

    系统日志 TLS

    6514

    srx.jsec-frankfurt.juniperclouds.net

  • 使用 TCP 端口 53 和 UDP 端口 53 连接到 Google DNS 服务器(IP 地址 - 8.8.8.8 和 8.8.4.4)。在 SRX 系列防火墙的出厂设置中,系统会将 Google DNS 服务器指定为默认服务器。使用 ZTP 加入防火墙时,必须使用这些默认 DNS 服务器。在使用其他方法载入防火墙时,可以使用专用 DNS 服务器。请注意,您必须确保专用 DNS 服务器可以解析 瞻博网络 Security Director Cloud FQDN。

  • 要从 瞻博网络 Security Director Cloud 发现和管理设备,请确保 netconf 设备上的和 ssh 速率限制设置为 32 或更高。有关更多信息,请参阅 Junos CLI 参考

使用命令添加独立设备、设备群集或 MNHA 对设备

Juniper Security Director Cloud 可生成命令,用于添加独立设备、设备群集或多节点高可用性 (MNHA) 对设备。您可以将命令复制粘贴并提交到设备控制台中,然后发现设备并将其添加到瞻 博网络 Security Director Cloud 中。有关 MNHA 的详细信息,请参阅 高可用性用户指南

  1. 单击 SRX >设备管理>设备
    此时将显示“设备”页面。
  2. 单击 +。
    此时将显示“添加设备”页面。
  3. 单击采用 SRX 设备
  4. 选择以下选项之一:
    • SRX 设备以 添加独立设备。
    • SRX 群集以 添加设备群集。
    • SRX 多节点高可用性 (MNHA), 用于添加 MNHA 对。
  5. 输入要添加的独立设备、设备集群或 MNHA 对的数量,然后单击确定
    注意:

    一次最多可以添加 50 个独立设备、设备群集或 MNHA 对。一对 MNHA 由 2 台设备组成。因此,如果输入 1,则添加 MNHA 对中的两个设备。

    此时将显示一条成功消息,并在 [设备] 页面上显示独立设备、设备群集或 MNHA 对及其设备。
    注意:

    此时, Juniper Security Director Cloud 尚未完全添加设备。因此,“管理状态”列显示 “发现未启动 ”状态。
  6. 在“管理状态”列中,单击“采用设备”或“采用集群”
    注意:

    如果添加了 MNHA 对,则会为每个 MNHA 对设备显示 采用设备 链接。
    此时将打开“采用设备”页面,其中包含需要提交到设备的命令。
  7. 将命令复制并粘贴到设备编辑提示符中,然后按 Enter。如果要添加设备群集,请将命令粘贴到群集的主设备的 CLI 中。如果要添加 MNHA 对,请将命令粘贴到对中的每台设备。
  8. 键入 Commit 并按 Enter 键以将更改提交到设备。
    设备发现过程在 瞻博网络 Security Director Cloud 中启动。可以刷新“设备”页,并在“管理状态”列中查看 状态“发现正在进行中 ”。您可以在 “作业” 页面上查看作业状态。

发现完成后,“管理状态”列中的状态将更改为 “已启动”。如果发现失败,则显示 发现失败 状态。将鼠标悬停在 “发现失败 ”状态上可查看失败的原因。

  • 如果 MNHA 对的作业失败,则 MNHA 对名称旁边不会显示部署模式。您可以再次删除和添加 MNHA 对,也可以再次启动发现过程。

  • 如果 MNHA 对中的设备上的安全证书安装作业失败,请从 “作业” 页面重试该作业,然后从 “设备 ” 页面重新启动设备的安全日志配置。

添加到 Juniper Security Director Cloud 的设备上的自动导入行为

如果在“组织”选项卡下选择了“自动导入”选项,并且使用采用设备方法和设备发现配置文件管理设备,则这将自动导入安全策略、NAT 和引用的对象。请参阅 关于组织页面

  • 自动导入过程会创建与 Juniper Security Director Cloud 中的现有对象冲突的对象副本。

  • 自动导入过程不会覆盖 Juniper Security Director Cloud 中的默认内容安全设置。考虑的是现有内容安全配置,而不是导入的设备配置。我们建议您在管理设备之前,先查看并配置 瞻博网络 Security Director Cloud 中的内容安全设置。请参阅 配置内容安全设置

使用全自动部署添加设备

您可以使用全自动部署 (ZTP) 自动配置和配置设备。全自动部署减少了将设备添加到网络的手动干预。为确保通过 ZTP 载入有效设备,您可以将 Juniper Security Director Cloud 配置为提示您批准或拒绝载入请求。

有关受支持的云就绪 SRX 系列防火墙,请参阅 瞻博网络 Security Director Cloud 支持的防火墙

注意:

要添加其他设备型号,请配置基本设备设置和连接,然后使用 使用命令添加独立设备、设备群集或 MNHA 对设备添加设备。
打开设备电源,以添加到 Juniper Security Director Cloud
  1. 单击 SRX >设备管理>设备
    此时将显示“设备”页面。
  2. 单击添加设备
    此时将显示“添加设备”页面。
  3. 要手动输入设备详细信息,请单击注册 SRX 设备以进行 ZTP,然后执行以下作:
    1. 输入设备的序列号。
    2. 为设备设置至少 6 个字母数字和特殊字符(不带空格)的 root 密码。
    3. 要添加多个设备,请单击 + 并输入设备详细信息。
    4. 若要对所有设备使用相同的 root 密码,请选择“对设备 1 中的所有设备使用此密码”。
    5. 单击“确定”
  4. 要将设备信息上传为 CSV 文件,请单击“为 ZTP 注册设备>“上传 CSV 文件”,然后执行以下作:
    1. 单击下载示例CSV文件,下载CSV文件模板,输入设备详细信息。
    2. 在 CSV 文件中添加设备的序列号和 root 密码。
    3. 单击浏览并上传 CSV 文件。
    4. 单击“确定”

设备将被添加并显示在 “设备” 页面上,并启动设备发现过程。

如果 将 Juniper Security Director Cloud 配置为提示您通过 ZTP 批准或拒绝设备的入网请求,则“ 管理状态 ”列中会显示批准或拒绝请求的链接。请参阅 批准或拒绝 ZTP 设备的加入请求

通过扫描二维码添加设备

您可以通过扫描防火墙上提供的二维码,将云就绪的 SRX 系列防火墙添加到瞻 博网络 Security Director Cloud 。如果您的 SRX 系列防火墙正面或后面板上有二维码,则该防火墙已进入云就绪。

确保以下各项:

  • 防火墙已通电。

  • 组织中尚未添加防火墙。您只能在一个组织中添加防火墙。

  1. 使用连接到互联网的移动设备扫描 SRX 系列防火墙上的二维码。
  2. 单击显示的链接,进入瞻博网络 Security Director Cloud 登录页面。
  3. 输入您的帐户电子邮件地址和密码,然后单击登录
    如果您没有帐户,请转到其他设备上的 https://sdcloud.juniperclouds.net ,创建一个帐户,然后重试。
  4. 选择要添加防火墙的组织。
  5. 输入防火墙的 root 密码,至少包含六个字符(不带空格),然后单击添加设备
    防火墙将添加到 Juniper Security Director Cloud ,并自动启动设备发现。发现完成后,您可以登录到门户并管理防火墙。
    注意:

    登录后,会话有效期为 60 分钟。在此期间,您可以添加多个防火墙,而无需输入帐户电子邮件地址和密码。

批准或拒绝 ZTP 设备的加入请求

必须启用“组织”页面上的“批准/拒绝设备载入请求”切换按钮才能接收载入请求。

全自动部署 (ZTP) 减少了将设备添加到网络的手动干预。但是,为确保通过 ZTP 载入有效设备,您可以将 Juniper Security Director Cloud 配置为提示您批准或拒绝设备的载入请求。

如果输入的序列号不正确,则不会生成载入请求。它确保只有具有有效序列号的设备才会添加到 瞻博网络 Security Director Cloud 中。

  1. 在设备的“管理状态”列中,将鼠标悬停在“载入请求”链接上。
    将显示批准或拒绝请求的选项。
    注意:

    您必须在 14 天内批准或拒绝请求。14 天后,设备会自动从 Juniper Security Director Cloud 中移除。
  2. 若要批准请求并启动设备发现,请执行以下步骤:
    1. 单击批准载入请求
      系统会提示您确认是否要批准该请求。
    2. 单击“确定”
      设备发现过程将启动,并且“ 发现正在进行中 ”状态将显示在 “管理状态” 列中。发现完成后,“ 已启动 ”和 “同步 ”状态将分别显示在 “管理状态 ”和 “库存状态” 列中。如果发现失败,可以在 “作业 ”页面上查看详细信息。
      注意:

      在发现过程启动之前,您可以随时拒绝请求。如果启动发现,您只能从 瞻博网络 Security Director Cloud 中删除设备。请参阅 删除设备
  3. 要拒绝请求,请单击拒绝载入请求
    载入请求已拒绝状态显示为链接。您可以将鼠标悬停在链接上,稍后批准请求。
    注意:

    您必须在 14 天内批准或拒绝请求。14 天后,设备会自动从 Juniper Security Director Cloud 中移除。

另见