Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren von Junos OS auf dem SRX300

Im Lieferumfang des Services Gateways ist das Betriebssystem Junos (Junos OS) von Juniper Networks vorinstalliert und kann beim Einschalten des Geräts konfiguriert werden. Sie können die anfängliche Softwarekonfiguration des Services Gateways mithilfe des browserbasierten Setup-Assistenten oder mithilfe der Befehlszeilenschnittstelle (CLI) durchführen.

Firewall SRX300 – Werkseinstellungen

Das SRX300-Gerät wird mit den folgenden werkseitigen Standardeinstellungen ausgeliefert:

Tabelle 1: Sicherheitsrichtlinien

Quellzone

Zielzone

Politische Maßnahmen

vertrauen

vertrauen

erlauben

vertrauen

Nicht vertrauenswürdig

erlauben
Tabelle 2: NAT-Regeln

Quellzone

Zielzone

Politische Maßnahmen

vertrauen

Nicht vertrauenswürdig

Quell-NAT an Schnittstelle für nicht vertrauenswürdige Zone
Tabelle 3: Schnittstellen

Port-Label

Schnittstelle

Sicherheitszone

DHCP-Status

IP-Adresse

0/0 und 0/7

GE-0/0/0 und GE-0/0/7

Nicht vertrauenswürdig

Kunde

Unbestimmt

0/1 bis 0/6

VLAN-Schnittstelle irb.0 (ge-0/0/1 bis ge-0/0/6)

vertrauen

Server

192.168.1.1/24

Im Lieferumfang der SRX300 sind die folgenden Services und Protokolle standardmäßig aktiviert.

Tabelle 4: Services, Protokolle und Startmodus

Dienste

Protokolle

Startmodus des Geräts

SSH

HTTPS

RSTP (alle Schnittstellen)

Umschaltung
Anmerkung:

Ab Junos OS Version 25.2R1 enthält die werkseitige Gerätekonfiguration die netconf ssh Anweisung auf Hierarchieebene [edit system services] nicht.

Um einen sicheren Datenverkehr zu gewährleisten, wird in der nicht vertrauenswürdigen Zone eine Reihe von Bildschirmen konfiguriert.

So zeigen Sie die werkseitigen Standardeinstellungen an

So zeigen Sie die werkseitigen Standardeinstellungen auf Ihrem Gerät an:

  1. Melden Sie sich als Root-Benutzer an und geben Sie Ihre Anmeldeinformationen ein.

  2. Sehen Sie sich die Liste der Standardkonfigurationsdateien an:

  3. Zeigen Sie die erforderliche Standardkonfigurationsdatei an.

Wenn Sie Änderungen an der Konfiguration vornehmen, wird eine neue Konfigurationsdatei erstellt, die zur aktiven Konfiguration wird. Wenn die aktuell aktive Konfiguration fehlschlägt, können Sie den load factory-default Befehl verwenden, um die werkseitige Standardkonfiguration wiederherzustellen.

Erstkonfiguration über die CLI

Sie können entweder den seriellen oder den Mini-USB-Konsolenanschluss des Geräts verwenden.

Herstellen einer Verbindung mit dem seriellen Konsolenport

So stellen Sie eine Verbindung zum seriellen Konsolenport her:

  1. Stecken Sie ein Ende des Ethernet-Kabels in den Adapter für den seriellen Anschluss RJ-45 auf DB-9.
    Anmerkung:

    Das Konsolenkabel ist nicht mehr Teil des Gerätepakets. Wenn das Konsolenkabel und der Adapter nicht in Ihrem Gerätepaket enthalten sind oder wenn Sie einen anderen Adaptertyp benötigen, können Sie Folgendes separat bestellen:

    • RJ-45-auf-DB-9-Adapter (JNP-CBL-RJ45-DB9)

    • RJ-45-zu-USB-A-Adapter (JNP-CBL-RJ45-USBA)

    • RJ-45-zu-USB-C-Adapter (JNP-CBL-RJ45-USBC)

    Wenn Sie einen RJ-45-zu-USB-A- oder RJ-45-zu-USB-C-Adapter verwenden möchten, muss der X64-Bit-Treiber für den virtuellen COM-Port (VCP) auf Ihrem PC installiert sein. Weitere Informationen finden Sie unter https://ftdichip.com/drivers/vcp-drivers/ zum Herunterladen des Treibers.
  2. Schließen Sie den Adapter für die serielle Schnittstelle RJ-45 auf DB-9 an den seriellen Anschluss des Verwaltungsgeräts an.
  3. Verbinden Sie das andere Ende des Ethernet-Kabels mit dem seriellen Konsolenport des SRX300.
    Abbildung 1: Anschließen an den Konsolenport der SRX300 Connect to the Console Port on the SRX300
  4. Starten Sie die asynchrone Terminalemulationsanwendung (z. B. Microsoft Windows HyperTerminal), und wählen Sie den entsprechenden COM-Port aus (z. B. COM1).
  5. Konfigurieren Sie die Einstellungen für die serielle Schnittstelle mit den folgenden Werten:

    • Baudrate: 9600

    • Parität – N

    • Datenbits—8

    • Stoppbits – 1

    • Datenstromsteuerung – keine

Anschließen an den Mini-USB-Konsolenport

So stellen Sie eine Verbindung zum Mini-USB-Konsolenanschluss her:

  1. Laden Sie den USB-Treiber von der Download-Seite auf das Verwaltungsgerät herunter. Um den Treiber für das Windows-Betriebssystem herunterzuladen, wählen Sie aus der Dropdown-Liste Version aus6.5. Um den Treiber für macOS herunterzuladen, wählen Sie aus der Dropdown-Liste Version aus4.10.
  2. Installieren Sie die USB-Konsolentreibersoftware:
    Anmerkung:

    Installieren Sie die USB-Konsolentreibersoftware, bevor Sie versuchen, eine physische Verbindung zwischen der SRX300 und dem Verwaltungsgerät herzustellen. Andernfalls schlägt die Verbindung fehl.

    1. Kopieren und extrahieren Sie die .zip Datei in Ihren lokalen Ordner.

    2. Doppelklicken Sie auf die Datei .exe . Der Bildschirm des Installationsprogramms wird angezeigt.

    3. Klicken Sie auf Installieren.

    4. Klicken Sie auf dem nächsten Bildschirm auf Trotzdem fortfahren , um die Installation abzuschließen.

      Wenn Sie die Installation zu einem beliebigen Zeitpunkt während des Vorgangs stoppen, kann die Software ganz oder teilweise nicht installiert werden. In einem solchen Fall empfehlen wir Ihnen, den USB-Konsolentreiber zu deinstallieren und anschließend neu zu installieren.

    5. Klicken Sie auf OK , wenn die Installation abgeschlossen ist.

  3. Schließen Sie das große Ende des mit dem SRX300 gelieferten USB-Kabels an einen USB-Port des Verwaltungsgeräts an.
  4. Schließen Sie das andere Ende des USB-Kabels an den Mini-USB-Konsolenport des SRX300 an.
  5. Starten Sie die asynchrone Terminalemulationsanwendung (z. B. Microsoft Windows HyperTerminal), und wählen Sie den neuen COM-Port aus, der von der USB-Konsolentreibersoftware installiert wird. In den meisten Fällen ist dies der COM-Port mit der höchsten Nummer im Auswahlmenü.

    Sie finden den COM-Anschluss unter Ports (COM & LPT) im Windows-Geräte-Manager , nachdem der Treiber installiert und initialisiert wurde. Dies kann einige Sekunden dauern.

  6. Konfigurieren Sie die Porteinstellungen mit den folgenden Werten:

    • Bits pro Sekunde – 9600

    • Parität – keine

    • Datenbits—8

    • Stoppbits – 1

    • Datenstromsteuerung – Keine

  7. Falls Sie dies noch nicht getan haben, schalten Sie das SRX300 ein, indem Sie die Ein-/Aus-Taste auf der Vorderseite drücken. Vergewissern Sie sich, dass die PWR-LED an der Vorderseite grün leuchtet.

    Auf dem Bildschirm für die Terminalemulation auf Ihrem Verwaltungsgerät wird die Startsequenz angezeigt. Wenn der Start der SRX300 abgeschlossen ist, wird eine Anmeldeaufforderung angezeigt.

Konfigurieren der SRX300 mithilfe der CLI

So konfigurieren Sie die SRX300 mithilfe der CLI:

  1. Starten Sie die CLI.
    Anmerkung:

    Sie können die werkseitigen Standardeinstellungen mit dem show configuration Befehl anzeigen.
  2. Wechseln Sie in den Konfigurationsmodus.
  3. Legen Sie das Kennwort für die Stammauthentifizierung fest, indem Sie ein Klartextkennwort, ein verschlüsseltes Kennwort oder eine SSH-Zeichenfolge für den öffentlichen Schlüssel (DSA oder RSA) eingeben.
  4. Bestätigen Sie die Konfiguration, um sie auf dem Gerät zu aktivieren.

Erstkonfiguration mit J-Web

Konfigurieren mit J-Web

So konfigurieren Sie das Gerät mithilfe von J-Web:

  1. Schließen Sie ein Ende des Ethernet-Kabels an einen der Netzwerkports mit den Nummern 0/1 bis 0/6 des Geräts an.
    Anmerkung:

    Die Schnittstellen ge-0/0/0 und ge-0/0/7 (Ports 0/0 und 0/7) sind WAN-Schnittstellen. Verwenden Sie diese Ports nicht für die Erstkonfiguration.
  2. Verbinden Sie das andere Ende des Ethernet-Kabels mit dem Verwaltungsgerät.
    Abbildung 2: Anschließen der SRX300 an ein Verwaltungsgerät Connect the SRX300 to a Management Device

    Das SRX300 fungiert als DHCP-Server und weist dem Laptop automatisch eine IP-Adresse zu.

  3. Stellen Sie sicher, dass das Verwaltungsgerät eine IP-Adresse im Netzwerk 192.168.1.0/24 vom Gerät abruft.

    Wenn dem Verwaltungsgerät keine IP-Adresse zugewiesen ist, konfigurieren Sie manuell eine IP-Adresse im Netzwerk 192.168.1.0/24.

    Anmerkung:

    Weisen Sie dem Management-Gerät nicht die IP-Adresse 192.168.1.1 zu, da diese IP-Adresse dem SRX300 zugewiesen ist.
  4. Öffnen Sie einen Browser, und geben Sie https://192.168.1.1 ein. Die Seite "Phone Home Client" wird angezeigt.

  5. So konfigurieren Sie das Gerät:
  6. Legen Sie auf der Seite Skip to J-Web ein Passwort für die Root-Authentifizierung fest und klicken Sie auf Submit.

    Die J-Web-Anmeldeseite wird angezeigt. Die SRX300 verfügt bereits über werkseitige Standardeinstellungen, die sie zu einem Plug-and-Play-Gerät machen. Alles, was Sie tun müssen, um die SRX300 zum Laufen zu bringen, ist, sie mit Ihrem LAN- und WAN-Netzwerk zu verbinden.

  7. Verbinden Sie das WAN-Netzwerk mit Port 0/0 , um eine dynamische IP-Adresse zu erhalten.
  8. Verbinden Sie das LAN-Netzwerk mit einem der Ports von 0/1 bis 0/6.
  9. Prüfen Sie, ob die SRX300 mit dem Internet verbunden ist. Wechseln Sie zu http://www.juniper.net. Wenn die Seite nicht geladen wird, überprüfen Sie die Internetverbindung.

    Nachdem Sie diese Schritte ausgeführt haben, können Sie die SRX300 sofort in Ihrem Netzwerk verwenden.

Sie können die Einstellungen weiter anpassen, indem Sie sich bei J-Web anmelden und den für Sie passenden Konfigurationsmodus auswählen. Sie können dann den Bildschirmen folgen, wie sie im Setup-Assistenten angezeigt werden.

Anpassen der Konfiguration für Junos OS Version 19.2

Sie können einen der Konfigurationsmodi auswählen, um die Konfiguration anzupassen:

  • Standard: Konfigurieren Sie grundlegende Sicherheitseinstellungen für die SRX300.

  • Cluster (HA): Richten Sie die SRX300 im Chassis-Cluster-Modus ein.

  • Passiv: Richten Sie die SRX300 im Tap-Modus ein. Mit dem Tap-Modus kann das SRX300 den Datenverkehr in einem Netzwerk passiv überwachen.

Anpassen der Konfiguration für Junos OS Version 15.1X49-D170

Sie können einen der Konfigurationsmodi auswählen, um die Konfiguration anzupassen:

  • Geführte Einrichtung (verwendet eine dynamische IP-Adresse): Ermöglicht es Ihnen, die SRX300 in einer benutzerdefinierten Sicherheitskonfiguration einzurichten. Sie können entweder die Option "Basic" oder "Expert" auswählen.

    In der folgenden Tabelle werden die Basic- und Expert-Stufen miteinander verglichen:

    Optionen

    Grundlegend

    Experte

    Anzahl der zulässigen internen Zonen

    3

    ≥ 3

    Konfigurationsoptionen für Internetzonen

    • Statische IP-Adresse

    • Dynamische IP-Adresse

    • Statische IP-Adresse

    • Statischer Pool

    • Dynamische IP-Adresse

    Konfiguration des internen Zonenservice

    Erlaubt

    Erlaubt

    Interne Ziel-NAT-Konfiguration

    Unstatthaft

    Erlaubt
    Anmerkung:

    Wenn Sie die IP-Adresse des Anschlusses ändern, an den der Laptop angeschlossen ist, verlieren Sie möglicherweise die Verbindung zum Gerät, wenn Sie die Konfiguration im Modus "Geführte Einrichtung" anwenden. Um wieder auf J-Web zuzugreifen, öffnen Sie ein neues Browserfenster und geben Sie https://new IP address ein.

  • Standard-Setup (verwendet eine dynamische IP-Adresse): Ermöglicht Ihnen eine schnelle Einrichtung der SRX300 mit der Standardkonfiguration. Jede zusätzliche Konfiguration kann nach Abschluss der Einrichtung des Assistenten vorgenommen werden.

  • Hochverfügbarkeit: Ermöglicht die Einrichtung eines Gehäuse-Clusters mit einer standardmäßigen Grundkonfiguration.

Konfigurieren des Geräts mithilfe von ZTP mit Juniper Networks Network Service Controller

Anmerkung:

Sie können ZTP für Junos OS Version 19.2 und frühere Versionen konfigurieren.

Mit ZTP können Sie die Erstkonfiguration der SRX300 in Ihrem Netzwerk automatisch und mit minimalen Eingriffen durchführen.

Network Service Controller ist eine Komponente der Juniper Networks Contrail Service Orchestration-Plattform, die das Design und die Implementierung von benutzerdefinierten Netzwerkservices, die ein offenes Framework verwenden, vereinfacht und automatisiert.

Weitere Informationen finden Sie im Abschnitt Network Service Controller im Datenblatt unter http://www.juniper.net/assets/us/en/local/pdf/datasheets/1000559-en.pdf.

So konfigurieren Sie das Gerät automatisch mit ZTP:

Anmerkung:

Stellen Sie sicher, dass die SRX300 mit dem Internet verbunden ist, um den ZTP-Vorgang abzuschließen.

  • Wenn Sie bereits über den Authentifizierungscode verfügen, geben Sie den Code auf der angezeigten Webseite ein.

    Abbildung 3: Authentifizierungscodepage Authentication Code Page

    Nach erfolgreicher Authentifizierung wird die Erstkonfiguration auf das SRX300 angewendet und bestätigt. Optional wird das neueste Junos OS-Image auf dem SRX300 installiert, bevor die Erstkonfiguration angewendet wird.

  • Wenn Sie den Authentifizierungscode nicht haben, können Sie den J-Web-Setup-Assistenten verwenden, um die SRX300 zu konfigurieren. Klicken Sie auf Skip to J-Web (Zu J-Web übergehen ), und konfigurieren Sie die SRX300 mit J-Web.