Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Konfigurieren von Junos OS auf dem SRX300

Im Lieferumfang des Services Gateway ist das Juniper Networks Junos-Betriebssystem (Junos OS) vorinstalliert und kann beim Einschalten des Geräts konfiguriert werden. Sie können die anfängliche Softwarekonfiguration des Services Gateways mithilfe des browserbasierten Setup-Assistenten oder mithilfe der Befehlszeilenschnittstelle (CLI) durchführen.

SRX300 Firewall – Werkseinstellungen

Das SRX300-Gerät wird mit den folgenden werkseitigen Standardeinstellungen ausgeliefert:

Tabelle 1: Sicherheitsrichtlinien

Quellgebiet

Zielzone

Politische Maßnahmen

Vertrauen

Vertrauen

Genehmigung

Vertrauen

Unglaubwürdigkeit

Genehmigung
Tabelle 2: NAT-Regeln

Quellgebiet

Zielzone

Politische Maßnahmen

Vertrauen

Unglaubwürdigkeit

Quell-NAT zur Schnittstelle der nicht vertrauenswürdigen Zone
Tabelle 3: Schnittstellen

Port-Beschriftung

Schnittstelle

Sicherheitszone

DHCP-Status

IP-Adresse

0/0 und 0/7

GE-0/0/0 und GE-0/0/7

Unglaubwürdigkeit

Kunde

Nicht zugewiesen

0/1 bis 0/6

VLAN-Schnittstelle irb.0 (ge-0/0/1 bis ge-0/0/6)

Vertrauen

Server

192.168.1.1/24

Im Lieferumfang des SRX300-Geräts sind standardmäßig die folgenden Dienste und Protokolle aktiviert.

Tabelle 4: Dienste, Protokolle und Startmodus

Dienstleistungen

Protokolle

Gerätestartmodus

SSH

HTTPS

NETCONF über SSH

RSTP (alle Schnittstellen)

Umschalten

Um sicheren Datenverkehr bereitzustellen, wird eine grundlegende Reihe von Bildschirmen in der nicht vertrauenswürdigen Zone konfiguriert.

So zeigen Sie die werkseitigen Standardeinstellungen an

So zeigen Sie die werkseitigen Standardeinstellungen auf Ihrem Gerät an:

  1. Melden Sie sich als Root-Benutzer an und geben Sie Ihre Anmeldeinformationen ein.

  2. Zeigen Sie die Liste der Standardkonfigurationsdateien an:

  3. Zeigen Sie die erforderliche Standardkonfigurationsdatei an.

Wenn Sie Änderungen an der Konfiguration übernehmen, wird eine neue Konfigurationsdatei erstellt, die zur aktiven Konfiguration wird. Wenn die aktuell aktive Konfiguration fehlschlägt, können Sie den load factory-default Befehl verwenden, um die werkseitige Standardkonfiguration wiederherzustellen.

Erstkonfiguration über die CLI

Sie können entweder den seriellen oder den Mini-USB-Konsolenanschluss am Gerät verwenden.

Verbinden Sie sich mit dem seriellen Konsolenport

So stellen Sie eine Verbindung zum seriellen Konsolenport her:

  1. Stecken Sie ein Ende des Ethernet-Kabels in den Adapter für serielle Anschlüsse RJ-45 auf DB-9.
    Hinweis:

    Das Konsolenkabel ist nicht mehr im Lieferumfang enthalten. Wenn das Konsolenkabel und der Adapter nicht im Lieferumfang des Geräts enthalten sind oder Sie einen anderen Adaptertyp benötigen, können Sie Folgendes separat bestellen:

    • RJ-45 auf DB-9 Adapter (JNP-CBL-RJ45-DB9)

    • RJ-45-auf-USB-A-Adapter (JNP-CBL-RJ45-USBA)

    • RJ-45-auf-USB-C-Adapter (JNP-CBL-RJ45-USBC)

    Wenn Sie RJ-45 auf USB-A oder RJ-45 auf USB-C Adapter verwenden möchten, müssen Sie den X64 (64-Bit) Virtual COM Port (VCP)-Treiber auf Ihrem PC installiert haben. Weitere Informationen finden Sie unter https://ftdichip.com/drivers/vcp-drivers/ zum Herunterladen des Treibers.
  2. Stecken Sie den Adapter für serielle RJ-45-auf-DB-9-Schnittstelle in die serielle Schnittstelle des Verwaltungsgeräts.
  3. Schließen Sie das andere Ende des Ethernet-Kabels an den seriellen Konsolenport des SRX300 an.
    Abbildung 1: Herstellen einer Verbindung mit dem Konsolenport des SRX300 Connect to the Console Port on the SRX300
  4. Starten Sie die Anwendung für die asynchrone Terminalemulation (z. B. Microsoft Windows HyperTerminal), und wählen Sie den entsprechenden COM-Port aus (z. B. COM1).
  5. Konfigurieren Sie die Einstellungen für die serielle Schnittstelle mit den folgenden Werten:

    • Baudrate—9600

    • Parität—N

    • Datenbits: 8

    • Stoppbits—1

    • Flusskontrolle – keine

Anschluss an den Mini-USB-Konsolenanschluss

So stellen Sie eine Verbindung zum Mini-USB-Konsolenanschluss her:

  1. Laden Sie den USB-Treiber von der Seite Downloads auf das Verwaltungsgerät herunter. Um den Treiber für das Windows-Betriebssystem herunterzuladen, wählen Sie aus der Dropdown-Liste Version aus6.5. Um den Treiber für macOS herunterzuladen, wählen Sie aus der Dropdown-Liste Version aus4.10.
  2. Installieren Sie die Treibersoftware für die USB-Konsole:
    Hinweis:

    Installieren Sie die Treibersoftware der USB-Konsole, bevor Sie versuchen, eine physische Verbindung zwischen dem SRX300 und dem Verwaltungsgerät herzustellen, da andernfalls die Verbindung fehlschlägt.

    1. Kopieren und extrahieren Sie die .zip Datei in Ihren lokalen Ordner.

    2. Doppelklicken Sie auf die .exe Datei. Der Installationsbildschirm wird angezeigt.

    3. Klicken Sie auf Installieren.

    4. Klicken Sie auf dem nächsten Bildschirm auf Trotzdem fortfahren , um die Installation abzuschließen.

      Wenn Sie die Installation zu einem beliebigen Zeitpunkt während des Vorgangs beenden, kann die Software ganz oder teilweise nicht installiert werden. In einem solchen Fall empfehlen wir, den USB-Konsolentreiber zu deinstallieren und dann neu zu installieren.

    5. Klicken Sie auf OK , wenn die Installation abgeschlossen ist.

  3. Stecken Sie das große Ende des mit dem SRX300 gelieferten USB-Kabels in einen USB-Anschluss des Verwaltungsgeräts.
  4. Schließen Sie das andere Ende des USB-Kabels an den Mini-USB-Konsolenanschluss des SRX300 an.
  5. Starten Sie Ihre asynchrone Terminalemulationsanwendung (z. B. Microsoft Windows HyperTerminal), und wählen Sie den neuen COM-Port aus, der von der Treibersoftware der USB-Konsole installiert wurde. In den meisten Fällen ist dies der COM-Port mit der höchsten Nummer im Auswahlmenü.

    Sie finden den COM-Port unter Ports (COM & LPT) im Windows-Geräte-Manager , nachdem der Treiber installiert und initialisiert wurde. Dies kann einige Sekunden dauern.

  6. Konfigurieren Sie die Porteinstellungen mit den folgenden Werten:

    • Bits pro Sekunde—9600

    • Parität – Keine

    • Datenbits: 8

    • Stoppbits—1

    • Flusssteuerung: Keine

  7. Wenn Sie dies noch nicht getan haben, schalten Sie den SRX300 ein, indem Sie die Ein-/Aus-Taste an der Vorderseite drücken. Vergewissern Sie sich, dass die PWR-LED an der Vorderseite grün leuchtet.

    Auf dem Bildschirm für die Terminalemulation auf Ihrem Verwaltungsgerät wird die Startsequenz angezeigt. Wenn der SRX300 vollständig gestartet ist, wird eine Anmeldeaufforderung angezeigt.

Konfigurieren des SRX300 über die CLI

So konfigurieren Sie den SRX300 mithilfe der CLI:

  1. Starten Sie die CLI.
    Hinweis:

    Sie können die werkseitigen Standardeinstellungen anzeigen, indem Sie den show configuration Befehl verwenden.
  2. Wechseln Sie in den Konfigurationsmodus.
  3. Legen Sie das Kennwort für die Stammauthentifizierung fest, indem Sie ein Klartextkennwort, ein verschlüsseltes Kennwort oder eine SSH-Zeichenfolge für den öffentlichen Schlüssel (DSA oder RSA) eingeben.
  4. Bestätigen Sie die Konfiguration, um sie auf dem Gerät zu aktivieren.

Erstkonfiguration mit J-Web

Konfigurieren mit J-Web

So konfigurieren Sie das Gerät mithilfe von J-Web:

  1. Schließen Sie ein Ende des Ethernet-Kabels an einen der Netzwerkanschlüsse mit den Nummern 0/1 bis 0/6 des Geräts an.
    Hinweis:

    Die Schnittstellen ge-0/0/0 und ge-0/0/7 (Ports 0/0 und 0/7) sind WAN-Schnittstellen. Verwenden Sie diese Ports nicht für die Erstkonfiguration.
  2. Schließen Sie das andere Ende des Ethernet-Kabels an das Verwaltungsgerät an.
    Abbildung 2: Verbinden des SRX300 mit einem Managementgerät Connect the SRX300 to a Management Device

    Das SRX300 fungiert als DHCP-Server und weist dem Laptop automatisch eine IP-Adresse zu.

  3. Stellen Sie sicher, dass das Verwaltungsgerät eine IP-Adresse im Netzwerk 192.168.1.0/24 vom Gerät abruft.

    Wenn dem Verwaltungsgerät keine IP-Adresse zugewiesen ist, konfigurieren Sie manuell eine IP-Adresse im Netzwerk 192.168.1.0/24.

    Hinweis:

    Weisen Sie dem Verwaltungsgerät nicht die IP-Adresse 192.168.1.1 zu, da diese IP-Adresse dem SRX300 zugewiesen wird.
  4. Öffnen Sie einen Browser und geben Sie https://192.168.1.1 ein. Die Seite Phone Home Client wird angezeigt.

  5. So konfigurieren Sie das Gerät:
  6. Legen Sie auf der Seite "Skip to J-Web" ein Root-Authentifizierungskennwort fest und klicken Sie auf "Senden".

    Die J-Web-Anmeldeseite wird angezeigt. Der SRX300 verfügt bereits über werkseitig konfigurierte Standardeinstellungen, um ihn zu einem Plug-and-Play-Gerät zu machen. Alles, was Sie tun müssen, um den SRX300 zum Laufen zu bringen, ist, ihn mit Ihren LAN- und WAN-Netzwerken zu verbinden.

  7. Verbinden Sie das WAN-Netzwerk mit Port 0/0 , um eine dynamische IP-Adresse zu erhalten.
  8. Verbinden Sie das LAN-Netzwerk mit einem der Ports von 0/1 bis 0/6.
  9. Überprüfen Sie, ob das SRX300 mit dem Internet verbunden ist. Gehen Sie zu http://www.juniper.net. Wenn die Seite nicht geladen wird, überprüfen Sie die Internetverbindung.

    Nachdem Sie diese Schritte ausgeführt haben, können Sie das SRX300 sofort in Ihrem Netzwerk verwenden.

Sie können die Einstellungen weiter anpassen, indem Sie sich bei J-Web anmelden und den für Sie passenden Konfigurationsmodus auswählen. Sie können dann den Bildschirmen folgen, wie sie im Setup-Assistenten angezeigt werden.

Anpassen der Konfiguration für Junos OS Version 19.2

Sie können einen der Konfigurationsmodi auswählen, um die Konfiguration anzupassen:

  • Standard: Konfigurieren Sie grundlegende Sicherheitseinstellungen für den SRX300.

  • Cluster (HA): Richten Sie das SRX300 im Chassis-Cluster-Modus ein.

  • Passiv: Richten Sie den SRX300 im Tap-Modus ein. Der Tap-Modus ermöglicht es dem SRX300, den Datenverkehrsfluss über ein Netzwerk passiv zu überwachen.

Anpassen der Konfiguration für Junos OS Version 15.1X49-D170

Sie können einen der Konfigurationsmodi auswählen, um die Konfiguration anzupassen:

  • Geführte Einrichtung (verwendet eine dynamische IP-Adresse): Ermöglicht die Einrichtung des SRX300 in einer benutzerdefinierten Sicherheitskonfiguration. Sie können entweder die Option "Basic" oder "Expert" auswählen.

    In der folgenden Tabelle werden die Stufen "Basic" und "Expert" verglichen:

    Optionen

    Basic

    Experte

    Anzahl der zulässigen internen Zonen

    3

    ≥ 3

    Konfigurationsoptionen für Internetzonen

    • Statische IP-Adresse

    • Dynamische IP

    • Statische IP-Adresse

    • Statischer Pool

    • Dynamische IP

    Konfiguration des internen Zonendiensts

    Erlaubt

    Erlaubt

    Interne Ziel-NAT-Konfiguration

    Nicht zulässig

    Erlaubt
    Hinweis:

    Wenn Sie die IP-Adresse des Ports ändern, an den der Laptop angeschlossen ist, verlieren Sie möglicherweise die Verbindung zum Gerät, wenn Sie die Konfiguration im Modus "Geführte Einrichtung" anwenden. Um erneut auf J-Web zuzugreifen, öffnen Sie ein neues Browserfenster und geben Sie https://new IP address ein.

  • Standardkonfiguration (verwendet eine dynamische IP-Adresse): Ermöglicht die schnelle Einrichtung des SRX300 mit der Standardkonfiguration. Jede weitere Konfiguration kann nach Abschluss der Einrichtung des Assistenten vorgenommen werden.

  • Hochverfügbarkeit: Ermöglicht das Einrichten eines Chassis-Clusters mit einer standardmäßigen Basiskonfiguration.

Konfigurieren des Geräts mithilfe von ZTP mit dem Netzwerkservice-Controller von Juniper Networks

Hinweis:

Sie können die Konfiguration mit ZTP für Junos OS Version 19.2 und frühere Versionen vornehmen.

Mit ZTP können Sie die Erstkonfiguration des SRX300 in Ihrem Netzwerk automatisch und mit minimalem Eingriff abschließen.

Network Service Controller ist eine Komponente der Contrail Service Orchestration-Plattform von Juniper Networks, die das Design und die Implementierung von benutzerdefinierten Netzwerkservices, die ein offenes Framework verwenden, vereinfacht und automatisiert.

Weitere Informationen finden Sie im Abschnitt Network Service Controller im Datenblatt unter http://www.juniper.net/assets/us/en/local/pdf/datasheets/1000559-en.pdf.

So konfigurieren Sie das Gerät automatisch mit ZTP:

Hinweis:

Um den ZTP-Vorgang abzuschließen, stellen Sie sicher, dass das SRX300 mit dem Internet verbunden ist.

  • Wenn Sie den Authentifizierungscode bereits haben, geben Sie den Code auf der angezeigten Webseite ein.

    Abbildung 3: Authentifizierungscodepage Authentication Code Page

    Nach erfolgreicher Authentifizierung wird die Erstkonfiguration auf dem SRX300 angewendet und festgeschrieben. Optional wird das neueste Junos OS-Image auf dem SRX300 installiert, bevor die Erstkonfiguration angewendet wird.

  • Wenn Sie nicht über den Authentifizierungscode verfügen, können Sie den J-Web-Setup-Assistenten verwenden, um das SRX300 zu konfigurieren. Klicken Sie auf Zu J-Web springen und konfigurieren Sie das SRX300 mit J-Web.