使用 vSRX 虚拟防火墙默认配置
了解 vSRX 虚拟防火墙默认配置
IBM Cloud™ Juniper vSRX 虚拟防火墙设备具有以下默认配置:
vSRX 虚拟防火墙公共和私有网关 IP 地址均允许 SSH 和 Ping
HTTPS 端口 8443 允许对公共和私有网关 IP 地址进行瞻博网络 Web 管理 (J-Web) UI 访问
为 IBM 服务网络预定义了地址集服务
预定义了两个安全区域:SL-PRIVATE 和 SL-PUBLIC。
IBM 提供从区域 SL-PRIVATE 到所有服务的访问,并允许地址集服务
所有其他网络访问均被拒绝
配置了两个冗余组,如下所示:
冗余组 |
冗余组功能 |
---|---|
冗余组 0 |
控制平面的冗余组 |
冗余组 1 |
数据平面冗余组 |
冗余组中的优先级决定了哪个 vSRX 虚拟防火墙节点处于活动状态。默认情况下,节点 0 对控制平面和数据平面都是活动的。
导入和导出 vSRX 虚拟防火墙配置
IBM Cloud™ Juniper vSRX 虚拟防火墙升级流程将在整个过程中保留 vSRX 虚拟防火墙的原始配置,只要一次一个重新加载。但是,强烈建议在开始升级之前导出和备份 vSRX 虚拟防火墙配置设置。
独立服务器的升级过程完成后,如果要还原原始配置,应导入保存的原始配置。对于高可用性配置,只有在升级失败或在架构之间切换时,才应从导出的文件手动还原配置。有关将 1G 配置从传统架构迁移到当前架构的更多信息,请参阅 将传统配置迁移到当前的 vSRX 架构。
考虑
独立和高可用性 (HA) 的升级过程不同。请参阅 升级 vSRX。
J-Web 界面允许您快速轻松地显示、编辑和上传当前配置,而无需使用 Junos OS CLI。有关详细信息 ,请参阅 J-Web for SRX 系列文档 。
从 vSRX 虚拟防火墙 15.1 版本升级到更新的 vSRX 虚拟防火墙版本(如 19.4),会导致配置文件中的 vSRX 虚拟防火墙接口映射发生变化。因此,在导入原始 vSRX 虚拟防火墙设置时,请确保新的“接口”部分未修改。有两种方法:导入“接口”部分以外的子部分,或导入整个配置并手动还原 19.4 SR-IOV 接口。
导入其配置后,必须保留 Linux 网桥和 SR-IOV 的新 vSRX 虚拟防火墙默认接口配置。例如,对于 SR-IOV,GE 接口具有与主机的特定映射,必须保留这些映射才能启用 SR-IOV。这些接口在 CLI 中找到,使用命令 show 配置接口。有关 SR-IOV 映射的详细信息,请参阅 vSRX 默认配置 部分。有关将 1G 配置从传统架构迁移到当前架构 的详细信息,请参阅将传统配置迁移到当前的 vSRX 架构。
如果您喜欢使用 Junos OS CLI,则根据是要导出还是导入整个配置,还是只是其中的一部分,以下内容提供了不同的方法来导出和导入您的配置设置。要管理配置设置,请进入 CLI 模式,然后运行命令配置以进入配置模式。然后,要提交更改,请运行命令 commit。
导出部分 vSRX 虚拟防火墙配置
要仅导出部分 vSRX 虚拟防火墙配置:
进入配置模式,确保您位于配置树的顶部:编辑,然后顶部
然后,
show <section>
运行命令获取当前配置,用括号括起来。例如,您可以运行 show interfaces 来显示所有接口配置。或者,如果您希望在 set 模式下显示输出,请
show <section> | display set
运行命令。输出应类似于以下内容:
# show interfaces | display set set interfaces ge-0/0/0 description PRIVATE_VLANs set interfaces ge-0/0/0 flexible-vlan-tagging set interfaces ge-0/0/0 native-vlan-id 925 set interfaces ge-0/0/0 mtu 9000 ... [edit]
提示:集模式将配置显示为重新创建配置所需的一系列配置模式命令。如果您不熟悉如何使用配置模式命令,或者想要剪切、粘贴和编辑显示的配置,此功能会很有用。
将输出复制并保存到本地工作区,以便以后使用。
导入整个 vSRX 虚拟防火墙配置
导入其配置后,必须保留 Linux 网桥和 SR-IOV 的新 vSRX 虚拟防火墙默认接口配置。例如,对于 SR-IOV,GE 接口具有与主机的特定映射,必须保留这些映射才能启用 SR-IOV。可以使用命令在 CLI show configuration interfaces
中找到这些接口。有关 SR-IOV 映射的更多信息,请参阅 vSRX 默认配置。
要导入整个 vSRX 虚拟防火墙配置:
升级 vSRX 虚拟防火墙后,将之前保存的配置文件复制回 /var/tmp 文件夹。
在配置模式下运行负载覆盖 /var/tmp/backup.txt,将整个当前配置替换为您在 /var/tmp 文件夹下保存的内容。
导入部分 vSRX 虚拟防火墙配置
导入其配置后,必须保留 Linux 网桥和 SR-IOV 的新 vSRX 虚拟防火墙默认接口配置。例如,对于 SR-IOV,GE 接口具有与主机的特定映射,必须保留这些映射才能启用 SR-IOV。可以使用命令在 CLI show configuration interfaces
中找到这些接口。有关 SR-IOV 映射的更多信息,请参阅 vSRX 默认配置。
要仅导入部分 vSRX 虚拟防火墙配置:
在配置模式下,运行
edit <section>
以转至所需的配置树级别。复制保存的配置设置,并运行命令加载合并终端,以将配置与当前配置合并。
粘贴内容,点击 Enter 进入新行,然后键入 Control + D 以结束输入。
输出应类似于以下内容:
# load merge terminal relative [Type ^D at a new line to end input] family inet { filter { input PROTECT-IN; } } load complete [edit interfaces lo0 unit 0]
或者,您还可以:
替换配置,而不是合并配置,首先在此配置树级别下使用命令 delete 删除配置,然后相对于复制并粘贴以前的配置执行加载合并终端。
在 set 模式下,通过运行 load set 终端(而不是负载合并终端相对)来编辑配置。然后复制并粘贴在设置模式下保存的内容。
注意:确保您始终在顶部运行
load set terminal
。