Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

1. Schritt: Überprüfen und Sichern der Konnektivität lokaler Zweigstellen

Es gibt keine bessere Möglichkeit, Ihre SRX kennenzulernen, als einfach nur einzuspringen und es zu nutzen. Zuerst verwenden wir die CLI, um den Betriebszustand Ihrer SRX zu überprüfen. In diesem Schritt wird vorausgesetzt, dass Sie die erste Konfiguration mit den werksseitigen Standardeinstellungen durchgeführt haben, wie im Day One+-Leitfaden beschrieben. An diesem Punkt sollten Sie sowohl lokale als auch Internetverbindungen für Ihre Zweigstelle haben.

Grundlegendes zur Standardkonnektivität der SRX300-Reihe

Abbildung 1 zeigt den Endstatus Ihrer Zweigstelle nach der Ersten Konfiguration. Wir zeigen Ihnen, wie Sie die SRX-Standardkonfiguration nutzen können, um die Zweigstelle schnell online zu machen.

Hinweis:

Wie in Tabelle 1 bereits erwähnt, verfügen einige Modelle der SRX300-Serie über dedizierte Verwaltungsschnittstellen, andere nicht. Dies wirkt sich auf das IP-Subnetz aus, das für die vertrauenswürdigen LAN-Ports verwendet wird. Das nachstehende Diagramm basiert auf einem SRX-Modell mit dedizierten Verwaltungsschnittstellen, insbesondere einem SRX380. Wenn Ihre SRX keine dedizierte Verwaltungsschnittstelle hat, ändern Sie einfach das IRB-Subnetz, das 192.168.1.0/24 angezeigt wird. Sie müssen diese Änderung im Auge behalten, während Sie den Leitfaden durchgehen.

Abbildung 1: Standardkonnektivität der SRX300-Reihe (SRX380) SRX300 Line Default Connectivity (SRX380)

Unsere Standardkonnektivität basiert auf einem SRX380, das wiederum über eine dedizierte Verwaltungsschnittstelle verfügt. Wenn Ihr Gerät keine Verwaltungsschnittstelle hat, verwenden Ihre Trust-LAN-Ports 192.168.1.0/24.

Zunächst ein paar Erinnerungen an den Day One+-Endzustand Ihres Geräts der SRX300-Serie:

Zugriff auf die CLI

Es gibt mehrere Möglichkeiten, auf die SRX-CLI zuzugreifen. In allen Fällen melden Sie sich als Root-Benutzer mit dem Kennwort an, das Sie in der Day One+-Prozedur konfiguriert haben:

  • Direkter Konsolenzugriff über einen seriellen Port

  • SSH-Zugriff:

    • Zugriff über ein Trust Zone-Gerät

      Sie können SSH zu 192.168.2.1 von einem Gerät aus, das an einen lokalen LAN-Port im Trust-VLAN angeschlossen ist.

    • Zugriff über eine Verwaltungsschnittstelle

      Wenn die SRX über eine dedizierte Verwaltungsschnittstelle (fxp0) verfügt, wird SSH zu 192.168.1.1 von einem Gerät, das an das Out-of-Band-Verwaltungsnetzwerk angeschlossen ist.

    • Ras

      Verwenden Sie für den Remote-Zugriff auf die SRX die IP-Adresse, die der GE-0/0/0-Schnittstelle vom WAN-Provider zugewiesen wurde. Geben Sie einfach den show interfaces ge-0/0/0 terse Befehl auf der SRX aus, um die Adresse zu bestätigen, die der WAN-Schnittstelle vom Anbieter zugewiesen wurde.

Standardkonfiguration des LAN-Ports

  • Geräte, die an die LAN-Ports angeschlossen sind, sind für die Verwendung von DHCP konfiguriert. Sie erhalten ihre Netzwerkkonfiguration von der SRX. Diese Geräte erhalten eine IP-Adresse aus dem Adressenpool 192.168.2.0/24 mithilfe der SRX als Standard-Gateway.
  • Die trust ZONEN-LAN-Ports befinden sich im selben Subnetz mit Layer-2-Konnektivität. Der gesamte Datenverkehr zwischen Schnittstellen ist zulässig trust .
  • Der gesamte Datenverkehr, der aus der trust Zone stammt, ist in der untrust Zone zulässig. Der passende Antwortdatenverkehr wird von der untrust Zone zur trust Zone zurückgelassen. Datenverkehr, der aus der untrust Zone stammt, wird von der trust Zone blockiert.
  • Die SRX führt Source Network Translation (Quell-NAT) unter Verwendung der IP-Adresse der WAN-Schnittstelle für Datenverkehr aus der Zone durch, der trust an die WAN-Zone untrust gesendet wird.
  • Datenverkehr, der mit bestimmten Systemservices (HTTPS, DHCP, TFTP und SSH) verknüpft ist, ist von der untrust Zone zum lokalen Host zulässig. Alle lokalen Host-Services und Protokolle sind für den Datenverkehr zugelassen, der aus der trust Zone stammt.