Konfigurieren von Junos OS auf dem SRX320

Im Lieferumfang der SRX320-Firewall ist das Juniper Networks Junos-Betriebssystem (Junos OS) vorinstalliert und kann nach dem Einschalten des SRX320 konfiguriert werden. Sie können die anfängliche Softwarekonfiguration des SRX320 mit einer der folgenden Methoden durchführen:

Befehlszeilenschnittstelle (CLI)
Zero Touch Provisioning (ZTP) mit einem Cloud-basierten Provisioning-Service
J-Web-GUI

Bevor Sie Ihre neue SRX320 konfigurieren, empfehlen wir Ihnen, die werkseitige Standardkonfiguration zu verstehen. In vielen Fällen können Sie die Werkseinstellungen nutzen, um Ihre Konfigurationsaufgaben zu vereinfachen. In anderen Fällen ist es möglicherweise einfacher, mit einer leeren Konfiguration zu beginnen, wenn Sie feststellen, dass die Standardeinstellungen nicht mit der geplanten Verwendung übereinstimmen. Weitere Informationen zur werkseitigen Konfiguration finden Sie unter SRX320 Firewall Factory-Default-Settings .

Erstkonfiguration über die CLI

Sie können entweder den seriellen oder den Mini-USB-Konsolenanschluss am Gerät verwenden.

Verbinden Sie sich mit dem seriellen Konsolenport
Anschluss an den Mini-USB-Konsolenanschluss
Konfigurieren des SRX320 über die CLI

Verbinden Sie sich mit dem seriellen Konsolenport

So stellen Sie eine Verbindung zum seriellen Konsolenport her:

Stecken Sie ein Ende des Ethernet-Kabels in den Adapter für serielle Anschlüsse RJ-45 auf DB-9.
Hinweis:
Das Konsolenkabel ist nicht mehr im Lieferumfang enthalten. Wenn das Konsolenkabel und der Adapter nicht im Lieferumfang des Geräts enthalten sind oder Sie einen anderen Adaptertyp benötigen, können Sie Folgendes separat bestellen:
- RJ-45 auf DB-9 Adapter (JNP-CBL-RJ45-DB9)
- RJ-45-auf-USB-A-Adapter (JNP-CBL-RJ45-USBA)
- RJ-45-auf-USB-C-Adapter (JNP-CBL-RJ45-USBC)
Wenn Sie RJ-45 auf USB-A oder RJ-45 auf USB-C Adapter verwenden möchten, müssen Sie den X64 (64-Bit) Virtual COM Port (VCP)-Treiber auf Ihrem PC installiert haben. Weitere Informationen finden Sie unter https://ftdichip.com/drivers/vcp-drivers/ zum Herunterladen des Treibers.
Stecken Sie den Adapter für serielle RJ-45-auf-DB-9-Schnittstelle in die serielle Schnittstelle des Verwaltungsgeräts.
Schließen Sie das andere Ende des Ethernet-Kabels an den seriellen Konsolenport des SRX320 an.

Abbildung 1: Herstellen einer Verbindung mit dem Konsolenport des SRX320
Starten Sie die Anwendung für die asynchrone Terminalemulation (z. B. Microsoft Windows HyperTerminal), und wählen Sie den entsprechenden COM-Port aus (z. B. COM1).
Konfigurieren Sie die Einstellungen für die serielle Schnittstelle mit den folgenden Werten:
- Baudrate—9600
- Parität—N
- Datenbits: 8
- Stoppbits—1
- Flusskontrolle – keine

Anschluss an den Mini-USB-Konsolenanschluss

So stellen Sie eine Verbindung zum Mini-USB-Konsolenanschluss her:

Laden Sie den USB-Treiber von der Seite Downloads auf das Verwaltungsgerät herunter. Um den Treiber für das Windows-Betriebssystem herunterzuladen, wählen Sie aus der Dropdown-Liste Version aus6.5. Um den Treiber für macOS herunterzuladen, wählen Sie aus der Dropdown-Liste Version aus4.10.
Installieren Sie die Treibersoftware für die USB-Konsole:
Hinweis:
Installieren Sie die Treibersoftware für die USB-Konsole, bevor Sie versuchen, eine physische Verbindung zwischen dem SRX320 und dem Verwaltungsgerät herzustellen, da sonst die Verbindung fehlschlägt.
1. Kopieren und extrahieren Sie die .zip Datei in Ihren lokalen Ordner.
2. Doppelklicken Sie auf die .exe Datei. Der Installationsbildschirm wird angezeigt.
3. Klicken Sie auf Installieren.
4. Klicken Sie auf dem nächsten Bildschirm auf Trotzdem fortfahren , um die Installation abzuschließen.
  
  Wenn Sie die Installation zu einem beliebigen Zeitpunkt während des Vorgangs beenden, kann die Software ganz oder teilweise nicht installiert werden. In einem solchen Fall empfehlen wir, den USB-Konsolentreiber zu deinstallieren und dann neu zu installieren.
5. Klicken Sie auf OK , wenn die Installation abgeschlossen ist.
Stecken Sie das große Ende des mit dem SRX320 gelieferten USB-Kabels in einen USB-Anschluss des Verwaltungsgeräts.
Schließen Sie das andere Ende des USB-Kabels an den Mini-USB-Konsolenanschluss des SRX320 an.
Starten Sie Ihre asynchrone Terminalemulationsanwendung (z. B. Microsoft Windows HyperTerminal), und wählen Sie den neuen COM-Port aus, der von der Treibersoftware der USB-Konsole installiert wurde. In den meisten Fällen ist dies der COM-Port mit der höchsten Nummer im Auswahlmenü.

Sie finden den COM-Port unter Ports (COM & LPT) im Windows-Geräte-Manager , nachdem der Treiber installiert und initialisiert wurde. Dies kann einige Sekunden dauern.
Konfigurieren Sie die Porteinstellungen mit den folgenden Werten:
- Bits pro Sekunde—9600
- Parität – Keine
- Datenbits: 8
- Stoppbits—1
- Flusssteuerung: Keine
Wenn Sie dies noch nicht getan haben, schalten Sie den SRX320 ein, indem Sie die Ein-/Aus-Taste an der Vorderseite drücken. Vergewissern Sie sich, dass die PWR-LED an der Vorderseite grün leuchtet.

Auf dem Bildschirm für die Terminalemulation auf Ihrem Verwaltungsgerät wird die Startsequenz angezeigt. Wenn der SRX320 vollständig gestartet ist, wird eine Anmeldeaufforderung angezeigt.

Konfigurieren des SRX320 über die CLI

In diesem Abschnitt wird davon ausgegangen, dass Sie die Erstkonfiguration eines neuen SRX320 mit einer werkseitigen Standardkonfiguration durchführen. Wir zeigen Ihnen, wie Sie die Standardeinstellungen nutzen können, um den SRX320 schnell ins Internet zu bringen und lokal oder aus der Ferne verwaltet werden zu können. Weitere Informationen zu den werkseitigen Standardeinstellungen der SRX320-Firewall finden Sie unter SRX320 Factory-Default-Settings .

Für diesen Abschnitt gehen wir jedoch davon aus, dass der Dienstanbieter die DHCP-Adresszuweisung auf der WAN-Schnittstelle nicht unterstützt. Auf diese Weise können wir Ihnen zeigen, wie Sie eine Schnittstelle und eine statische Route mithilfe der Junos CLI konfigurieren.

So führen Sie die Erstkonfiguration auf dem SRX320 mithilfe der CLI durch:

Melden Sie sich als Root-Benutzer an und starten Sie die CLI. Es ist kein Kennwort erforderlich, wenn Sie die Werkseinstellungen ausführen.
Hinweis:
Sie können die aktuelle Konfiguration, unabhängig davon, ob sie werkseitig voreingestellt ist oder nicht, mit dem show configuration Befehl Betriebsmodus anzeigen.
Wechseln Sie in den Konfigurationsmodus.
Entfernen Sie die ZTP-Konfiguration, und legen Sie die Root-Benutzerauthentifizierung fest.
Die ZTP-Konfiguration ist nicht erforderlich, wenn die Erstkonfiguration mithilfe der CLI durchgeführt wird. Durch das Entfernen der ZTP-Konfiguration werden die regelmäßigen Protokollmeldungen beendet, die den ZTP-Status auf der Konsole melden.

Legen Sie das Kennwort für die Root-Authentifizierung mithilfe eines Klartextwerts fest. Sie können die Änderung, die ZTP deaktiviert, nur dann übernehmen, wenn Sie auch das Root-Kennwort festlegen.
Bestätigen Sie die Konfiguration, um die Änderungen zu aktivieren, durch die ZTP entfernt und das Root-Kennwort konfiguriert wurde.
Konfigurieren Sie die Verwaltungsschnittstelle. In Anbetracht der werkseitigen Standardeinstellungen empfehlen wir die Verwendung der ge-0/0/0-Schnittstelle für die Fernverwaltung des SRX320 über das WAN-Netzwerk. Sie können den SRX320 auch lokal über einen der LAN-Ports (ge-0/0/1 bis ge-0/0/6) verwalten.
Wenn der WAN-Dienstanbieter die DHCP-IP-Adresszuweisung unterstützt, überspringen Sie diesen Schritt und lassen Sie die werkseitigen Standardeinstellungen für Sie arbeiten. In diesem Beispiel erfordert der Internetanbieter eine statische IP-Adresskonfiguration. Sie müssen die Standardeinstellung des DHCP-Clients entfernen, um die IP-Adresse manuell konfigurieren zu können.
Wenn der WAN-Dienstanbieter die DHCP-Zuweisung einer Standardroute unterstützt, überspringen Sie diesen Schritt und lassen Sie die werkseitigen Standardeinstellungen für sich arbeiten. In diesem Beispiel unterstützt der Internetanbieter DHCP nicht. Daher konfigurieren Sie eine statische Standardroute zum Bereitstellen der Verwaltungsschnittstelle. Diese Route wird verwendet, um entfernte Ziele zu erreichen, z. B. einen Cloud-Bereitstellungsdienst oder die Remote-Management-Station.
Aktivieren Sie das SSH-Protokoll für den Fernzugriff. Standardmäßig kann sich der Root-Benutzer nicht aus der Ferne anmelden. In diesem Schritt aktivieren Sie auch die Root-Anmeldung über SSH.
Aktivieren Sie die SSH-Host-Unterstützung für die ge-0/0/0-Schnittstelle. Denken Sie daran, dass sich in der Standardkonfiguration die ge-0/0/0-Schnittstelle in der nicht vertrauenswürdigen Zone befindet und dass die nicht vertrauenswürdige Zone hostgebundenes SSH nicht unterstützt.

Konfigurieren Sie den Hostnamen.

(Optional) Konfigurieren Sie die Domänennamenauflösung, die Zeitzone und eine NTP-basierte Uhrquelle.

Das wars! Die Erstkonfiguration ist abgeschlossen. Führen Sie einen Commit für die Konfiguration durch, um die Änderungen auf dem SRX320 zu aktivieren.
Die resultierende Konnektivität ist unten dargestellt.

Einige Dinge, die Sie bei Ihrem neuen SRX320-Zweigstellennetzwerk beachten sollten:

• Sie greifen lokal über die Adresse 192.168.1.1 auf die SRX CLI- oder J-Web-Benutzeroberfläche zu. Um remote auf die SRX zuzugreifen, geben Sie die vom WAN-Anbieter zugewiesene IP-Adresse an. Geben Sie einfach den knappen CLI-Befehl show interfaces ge-0/0/0 ein, um die von der WAN-Schnittstelle verwendete Adresse zu bestätigen.

• Geräte, die an die LAN-Ports angeschlossen sind, sind für die Verwendung von DHCP konfiguriert. Sie erhalten ihre Netzwerkkonfiguration vom SRX. Diese Geräte beziehen eine IP-Adresse aus dem Adresspool 192.168.1.0/24 und verwenden SRX als Standard-Gateway.

• Alle LAN-Ports befinden sich im selben Subnetz mit Layer-2-Konnektivität. Der gesamte Datenverkehr zwischen allen Schnittstellen der Vertrauenszone ist zulässig.

• Der gesamte Datenverkehr, der aus der vertrauenswürdigen Zone stammt, wird in der nicht vertrauenswürdigen Zone zugelassen. Übereinstimmender Antwortdatenverkehr wird von der nicht vertrauenswürdigen Zone in die vertrauenswürdige Zone zurückgelassen. Datenverkehr, der aus der nicht vertrauenswürdigen Zone stammt, wird von der vertrauenswürdigen Zone blockiert.

•Die SRX führt Quell-NAT (S-NAT) unter Verwendung der IP der WAN-Schnittstelle für Datenverkehr aus, der aus der Vertrauenszone an das WAN gesendet wird.

•Datenverkehr, der bestimmten Systemdiensten (HTTPS, DHCP, TFTP und SSH) zugeordnet ist, wird von der nicht vertrauenswürdigen Zone zum lokalen Host zugelassen. Alle lokalen Hostdienste und Protokolle sind für Datenverkehr zulässig, der aus der Vertrauenszone stammt.

Erstkonfiguration mit J-Web durchführen

Die J-Web-Benutzeroberfläche unterstützt einen Setup-Assistenten, mit dem Sie die Erstkonfiguration des Geräts vornehmen können.

Schließen Sie ein Ende des Ethernet-Kabels an einen der Netzwerkanschlüsse mit den Nummern 0/1 bis 0/6 des Geräts an.

Hinweis:
Die Schnittstellen ge-0/0/0 und ge-0/0/7 (Ports 0/0 und 0/7) sind WAN-Schnittstellen. Verwenden Sie diese Ports nicht für die Erstkonfiguration.
Schließen Sie das andere Ende des Ethernet-Kabels an das Verwaltungsgerät an.

Abbildung 2: Verbinden des SRX320 mit einem Managementgerät

Das SRX320 fungiert als DHCP-Server und weist dem Laptop automatisch eine IP-Adresse zu.
Stellen Sie sicher, dass das Verwaltungsgerät eine IP-Adresse im Netzwerk 192.168.1.0/24 vom Gerät abruft.

Wenn dem Verwaltungsgerät keine IP-Adresse zugewiesen ist, konfigurieren Sie manuell eine IP-Adresse im Netzwerk 192.168.1.0/24.

Hinweis:
Weisen Sie dem Verwaltungsgerät nicht die IP-Adresse 192.168.1.1 zu, da diese IP-Adresse dem SRX320 zugewiesen ist.
Öffnen Sie einen Browser und geben Sie als Ziel-URL einhttps://192.168.1.1. Der J-Web-Bildschirm wird angezeigt. Weitere Informationen zum Zugriff auf die J-Web-Schnittstelle finden Sie unter Zugriff auf die J-Web-Schnittstelle. Weitere Informationen zur Verwendung von J-Web zum Ausführen der Erstkonfiguration finden Sie unter Der J-Web-Setup-Assistent.

Verwalten des SRX320 mit J-Web

Nachdem die Erstkonfiguration des Geräts abgeschlossen ist, können Sie J-Web verwenden, um die fortlaufende Konfiguration, Verwaltung und Zustandsüberwachung Ihres SRX320-Geräts durchzuführen.

Weitere Informationen finden Sie in der SRX J-Web-Dokumentation zu Ihrer Version unter https://www.juniper.net/documentation/product/us/en/j-web-srx-series.

Konfigurieren des Geräts mithilfe von ZTP mit dem Netzwerkservice-Controller von Juniper Networks

Hinweis:

Sie können die Konfiguration mit ZTP für Junos OS Version 19.2 und frühere Versionen vornehmen.

Mit ZTP können Sie die Erstkonfiguration des SRX320 in Ihrem Netzwerk automatisch und mit minimalem Eingriff abschließen.

Network Service Controller ist eine Komponente der Contrail Service Orchestration-Plattform von Juniper Networks, die das Design und die Implementierung von benutzerdefinierten Netzwerkservices, die ein offenes Framework verwenden, vereinfacht und automatisiert.

Weitere Informationen finden Sie im Abschnitt Network Service Controller im Datenblatt unter http://www.juniper.net/assets/us/en/local/pdf/datasheets/1000559-en.pdf.

So konfigurieren Sie das Gerät automatisch mit ZTP: