Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

使用 vSRX 虚拟防火墙默认配置

了解 vSRX 虚拟防火墙默认配置

IBM Cloud™ Juniper vSRX 虚拟防火墙设备具有以下默认配置:

  • vSRX 虚拟防火墙公共和私有网关 IP 地址均允许 SSH 和 Ping

  • HTTPS 端口 8443 允许对公共和私有网关 IP 地址进行瞻博网络 Web 管理 (J-Web) UI 访问

  • 为 IBM 服务网络预定义了地址集服务

  • 预定义了两个安全区域:SL-PRIVATE 和 SL-PUBLIC。

  • IBM 提供从区域 SL-PRIVATE 到所有服务的访问,并允许地址集服务

  • 所有其他网络访问均被拒绝

配置了两个冗余组,如下所示:

冗余组

冗余组功能

冗余组 0

控制平面的冗余组

冗余组 1

数据平面冗余组

冗余组中的优先级决定了哪个 vSRX 虚拟防火墙节点处于活动状态。默认情况下,节点 0 对控制平面和数据平面都是活动的。

导入和导出 vSRX 虚拟防火墙配置

IBM Cloud™ Juniper vSRX 虚拟防火墙升级流程将在整个过程中保留 vSRX 虚拟防火墙的原始配置,只要一次一个重新加载。但是,强烈建议在开始升级之前导出和备份 vSRX 虚拟防火墙配置设置。

独立服务器的升级过程完成后,如果要还原原始配置,应导入保存的原始配置。对于高可用性配置,只有在升级失败或在架构之间切换时,才应从导出的文件手动还原配置。有关将 1G 配置从传统架构迁移到当前架构的更多信息,请参阅 将传统配置迁移到当前的 vSRX 架构

考虑

  • 独立和高可用性 (HA) 的升级过程不同。请参阅 升级 vSRX

  • J-Web 界面允许您快速轻松地显示、编辑和上传当前配置,而无需使用 Junos OS CLI。有关详细信息 ,请参阅 J-Web for SRX 系列文档

  • 从 vSRX 虚拟防火墙 15.1 版本升级到更新的 vSRX 虚拟防火墙版本(如 19.4),会导致配置文件中的 vSRX 虚拟防火墙接口映射发生变化。因此,在导入原始 vSRX 虚拟防火墙设置时,请确保新的“接口”部分未修改。有两种方法:导入“接口”部分以外的子部分,或导入整个配置并手动还原 19.4 SR-IOV 接口。

导入其配置后,必须保留 Linux 网桥和 SR-IOV 的新 vSRX 虚拟防火墙默认接口配置。例如,对于 SR-IOV,GE 接口具有与主机的特定映射,必须保留这些映射才能启用 SR-IOV。这些接口在 CLI 中找到,使用命令 show 配置接口。有关 SR-IOV 映射的详细信息,请参阅 vSRX 默认配置 部分。有关将 1G 配置从传统架构迁移到当前架构 的详细信息,请参阅将传统配置迁移到当前的 vSRX 架构。

如果您喜欢使用 Junos OS CLI,则根据是要导出还是导入整个配置,还是只是其中的一部分,以下内容提供了不同的方法来导出和导入您的配置设置。要管理配置设置,请进入 CLI 模式,然后运行命令配置以进入配置模式。然后,要提交更改,请运行命令 commit。

导出部分 vSRX 虚拟防火墙配置

要仅导出部分 vSRX 虚拟防火墙配置:

  1. 进入配置模式,确保您位于配置树的顶部:编辑,然后顶部

  2. 然后, show <section> 运行命令获取当前配置,用括号括起来。

    例如,您可以运行 show interfaces 来显示所有接口配置。或者,如果您希望在 set 模式下显示输出,请 show <section> | display set 运行命令。

    输出应类似于以下内容:

    提示:

    集模式将配置显示为重新创建配置所需的一系列配置模式命令。如果您不熟悉如何使用配置模式命令,或者想要剪切、粘贴和编辑显示的配置,此功能会很有用。

  3. 将输出复制并保存到本地工作区,以便以后使用。

导入整个 vSRX 虚拟防火墙配置

导入其配置后,必须保留 Linux 网桥和 SR-IOV 的新 vSRX 虚拟防火墙默认接口配置。例如,对于 SR-IOV,GE 接口具有与主机的特定映射,必须保留这些映射才能启用 SR-IOV。可以使用命令在 CLI show configuration interfaces 中找到这些接口。有关 SR-IOV 映射的更多信息,请参阅 vSRX 默认配置

要导入整个 vSRX 虚拟防火墙配置:

  1. 升级 vSRX 虚拟防火墙后,将之前保存的配置文件复制回 /var/tmp 文件夹。

  2. 在配置模式下运行负载覆盖 /var/tmp/backup.txt,将整个当前配置替换为您在 /var/tmp 文件夹下保存的内容。

导入部分 vSRX 虚拟防火墙配置

导入其配置后,必须保留 Linux 网桥和 SR-IOV 的新 vSRX 虚拟防火墙默认接口配置。例如,对于 SR-IOV,GE 接口具有与主机的特定映射,必须保留这些映射才能启用 SR-IOV。可以使用命令在 CLI show configuration interfaces 中找到这些接口。有关 SR-IOV 映射的更多信息,请参阅 vSRX 默认配置

要仅导入部分 vSRX 虚拟防火墙配置:

  1. 在配置模式下,运行 edit <section> 以转至所需的配置树级别。

  2. 复制保存的配置设置,并运行命令加载合并终端,以将配置与当前配置合并。

  3. 粘贴内容,点击 Enter 进入新行,然后键入 Control + D 以结束输入。

    输出应类似于以下内容:

或者,您还可以:

  1. 替换配置,而不是合并配置,首先在此配置树级别下使用命令 delete 删除配置,然后相对于复制并粘贴以前的配置执行加载合并终端。

  2. 在 set 模式下,通过运行 load set 终端(而不是负载合并终端相对)来编辑配置。然后复制并粘贴在设置模式下保存的内容。

    注意:

    确保您始终在顶部运行 load set terminal