Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRX320 방화벽 공장 기본 설정

SRX320은 다음과 같은 공장 기본 설정과 함께 제공됩니다.

표 1: 보안 정책

소스 영역

대상 영역

정책 작업

신뢰

신뢰

허용

신뢰

신뢰할 수 없는

허용

표 2: NAT 규칙

소스 영역

대상 영역

정책 작업

신뢰

신뢰할 수 없는

소스 NAT를 신뢰할 수 없는 영역 인터페이스로

표 3: 이더넷 인터페이스

포트 레이블

인터페이스

보안 영역

DHCP 상태

IP 주소

0/0 및 0/7

ge-0/0/0 및 ge-0/0/7

신뢰할 수 없는

클라이언트

할당

0/1 ~ 0/6

VLAN 인터페이스 irb.0(ge-0/0/1 ~ ge-0/0/6)

신뢰

서버

192.168.1.1/24

표 4: LTE 인터페이스

인터페이스

보안 영역

IP 주소

cl-1/0/0

해당(N/A)

해당(N/A)

dl0(논리적)

신뢰할 수 없는

ISP 할당*

*LTE Mini-PIM이 존재하는 경우에만

SRX320은 기본적으로 다음과 같은 서비스 및 프로토콜을 제공합니다.

표 5: 서비스, 프로토콜 및 시작 모드

서비스

프로토콜

디바이스 시작 모드

Ssh

HTTPS

SSH를 둘러싼 NETCONF

RSTP(모든 인터페이스)

전환

안전한 트래픽을 제공하기 위해 기본 화면 세트가 신뢰할 수 없는 영역에 구성됩니다. 또한 기본 보안 정책은 신뢰할 수 없는 영역 인터페이스에서 발생하는 트래픽이 트러스트 영역으로 전달되지 못하도록 차단합니다.

공장 기본 설정을 로드 및 보는 방법

디바이스에는 공장 기본 구성 파일 집합이 함께 표시됩니다. 디바이스의 공장 기본 설정을 보려면 다음을 수행합니다.

  1. 루트 사용자로 로그인하여 자격 증명을 제공합니다.

  2. 다양한 하드웨어 플랫폼에 대한 기본 구성 파일 전체 목록을 확인합니다.

  3. 특정 기본 구성 파일의 내용을 표시하려면 다음을 수행합니다.

구성에 대한 변경을 커밋할 때 활성 구성이 되는 새로운 구성 파일이 생성됩니다. 구성 모드 명령을 사용하여 항상 새로운 공장 기본 구성을 load factory-default 로드하여 공장 기본 구성으로 되돌아갈 수 있습니다. Junos 소프트웨어는 로드 공장 기본 구성 명령을 실행할 때 하드웨어 플랫폼에 대한 올바른 기본 구성을 선택합니다.

구성 모드에서 show configuration 운영 모드 명령 또는 명령을 간단하게 show 사용하여 설정을 볼 수 있습니다.

참고:

또한 전면 패널 RESET CONFIG 버튼을 사용하여 공장 기본 구성을 로드할 수도 있습니다. SRX320 서비스 게이트웨이 리셋 CONFIG 버튼 사용을 참조하십시오.

클라우드 기반 프로비저닝을 위한 플러그 앤 플레이

이 섹션에서는 플러그 앤 플레이 인터넷 연결에 대한 SRX320 공장 기본값을 활용하는 방법을 보여줍니다. 이 연결을 사용하여 수동으로 또는 클라우드 기반 프로비저닝 서비스를 통해 SRX320을 원격으로 관리하고 구성할 수 있습니다.

다음 단계에 따라 인터넷에서 SRX320을 통해 Juniper Mist Cloud 또는 CSO(Contrail Service Orchestration)와 같은 클라우드 기반 프로비저닝 서비스에 빠르게 액세스할 수 있습니다. 공장 기본 구성으로 SRX320의 플러그 앤 플레이 연결은 아래에 표시됩니다.

Plug and Play for Cloud-Based Provisioning
  1. WAN 네트워크를 포트 0/0(ge-0/0/0)에 연결합니다. 기본 구성에서 ge-0/0/0은 WAN 인터페이스입니다. 기본 구성에서 이 인터페이스는 신뢰할 수 없는 영역에 배치되고 DHCP 클라이언트로 구성됩니다. 이러한 설정을 통해 SRX는 서비스 프로바이더로부터 IP 주소와 기본 경로를 수신할 수 있습니다.
  2. DHCP 주소 할당을 위해 LAN 클라이언트(PC, 노트북, AP 등)를 구성합니다. 이러한 디바이스를 0/1에서 0/6(ge-0/0/1 ~ ge-0/0/6)까지 모든 LAN 포트에 연결합니다. 끝났어!

    기본 구성에서 LAN 포트는 연결된 IRB 인터페이스를 가진 트러스트 VLAN에서 구성됩니다. DHCP 서비스는 신뢰 영역에도 배치되는 IRB 인터페이스를 통해 트러스트 VLAN에 제공됩니다. 그 결과 모든 LAN 포트가 SRX를 통해 전체 레이어 2(태그 처리되지 않은) 연결이 있는 공통 IP 서브넷을 공유합니다. 레이어 3에서 IRB 인터페이스는 LAN을 192.168.1.0/24 서브넷과 연결하고, 자체에 대해 예약된 192.168.1.1 주소와 연결합니다.

    LAN 디바이스에는 DHCP를 통해 192.168.1.0/24 서브넷의 IP 주소와 기본 게이트웨이가 할당됩니다.

  3. SRX320이 인터넷 연결을 제공하는지 확인합니다. LAN 포트에 연결된 디바이스에서 브라우저를 열고 해당 브라우저를 http://www.juniper.net. 페이지가 로드되지 않으면 인터넷 연결을 확인합니다.

    장애를 격리하려면 다음 단계를 수행하십시오.

    • WAN 모뎀의 전원 사이클. 모뎀이 서비스 프로바이더에 올바르게 연결되었는지 확인합니다.
    • 인터넷 연결을 테스트하기 위해 CLI를 사용하여 SRX320에서 인터넷 대상을 Ping합니다. 목적지가 핑에 응답할 수 있는지 확인하고 이름과 IP 주소를 모두 사용하여 DNS를 연결 문제로부터 격리해 보십시오.
    • LAN 디바이스에서 SRX의 IRB 인터페이스에 할당된 192.168.1.1 주소로 핑을 생성합니다. 성공적인 응답은 LAN 디바이스와 SRX 간의 DHCP 및 레이어 2 연결을 검증합니다.
    • show dhcp server binding 명령을 사용하여 LAN 측 DHCP 서버 주소 할당을 확인합니다.

    이 시점에서 SRX320과 LAN 디바이스 모두 인터넷에 액세스할 수 있습니다. 기본 정책은 트러스트에서 신뢰할 수 없는 영역으로의 모든 트래픽을 허용합니다. 또한 기본 정책은 WAN을 나가는 트래픽에 대해 SNAT를 수행합니다. 기본적으로 모든 응답 트래픽은 신뢰할 수 없는 영역에서 트러스트 영역으로 다시 허용됩니다. 신뢰할 수 없는(WAN) 영역에서 발생하는 트래픽은 트러스트 영역에서 차단됩니다. HTTPS, TFTP 및 DHCP 트래픽은 신뢰할 수 없는 영역에서 시작되어 로컬 호스트로 전송될 수 있습니다.

    J-Web을 사용하여 SRX에 액세스하여 로컬 및 원격으로 초기 구성을 수행할 수 있습니다. 로컬 액세스를 위해 LAN 포트에 연결된 기계를 사용하고 브라우저를 https://191.168.1.1. 원격으로 액세스하려면 WAN 인터페이스를 통해 WAN 프로바이더가 SRX에 할당한 IP 주소를 알아야 합니다. J-Web 설정 마법사를 사용하여 초기 설정 수행에 대한 자세한 내용은 J-Web 설정 마법사를 참조하십시오. 콘솔 포트를 사용하여 항상 로컬로 SRX320에 액세스하여 추가 구성을 수행할 수 있습니다. 초기 구성을 위해 CLI를 사용하는 것에 대한 자세한 내용은 SRX320 Day One+ 을 참조하십시오.

    참고:

    기본 구성에서는 로컬 또는 원격으로 J-Web을 사용하여 SRX320에 액세스하는 데 암호가 필요하지 않습니다. SRX를 클라우드 프로비저닝 서비스에 도입하거나 SRX를 인터넷에 연결한 후 가능한 빨리 루트 암호(J-Web 또는 Junos CLI 사용)를 수동으로 구성해야 합니다.