Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

在 SRX300 上配置 Junos OS

服务网关随附预装瞻博网络Junos作系统 (Junos OS),可在设备开机时进行配置。您可以使用基于浏览器的安装向导或命令行界面 (CLI) 来执行服务网关的初始软件配置。

SRX300 防火墙出厂默认设置

SRX300 设备提供以下出厂默认设置:

表 1:安全策略

源区

目标区域

策略作

信任

信任

许可证

信任

不信任

许可证
表 2:NAT 规则

源区

目标区域

策略作

信任

不信任

源 NAT 到不信任区域接口
表 3:接口

端口标签

接口

安全区段

DHCP 状态

IP地址

0/0 和 0/7

ge-0/0/0 和 ge-0/0/7

不信任

客户

未分配

0/1 到 0/6

VLAN 接口 IRB.0(ge-0/0/1 至 ge-0/0/6)

信任

服务器

192.168.1.1/24

SRX300 设备在出厂时默认启用以下服务和协议。

表 4:服务、协议和启动模式

服务业

协议

设备启动模式

SSH

HTTPS

RSTP(所有接口)

开关
注意:

从 Junos OS 25.2R1 版开始,出厂默认设备配置在[edit system services]层次结构级别不包含语netconf ssh句。

为了提供安全流量,会在不信任区域上配置一组基本的筛选。

如何查看出厂默认设置

要查看设备上的出厂默认设置:

  1. 以 root 用户身份登录并提供您的凭据。

  2. 查看默认配置文件列表:

  3. 查看所需的默认配置文件。

对配置执行更改时,将创建新的配置文件,它将成为活动配置。如果当前活动配置失败,您可以使用 load factory-default 命令恢复到出厂默认配置。

使用 CLI 进行初始配置

您可以使用设备上的串行端口或 mini-USB 控制台端口。

连接到串行控制台端口

要连接到串行控制台端口,请执行以下步骤:

  1. 将以太网线缆的一端插入 RJ-45 到 DB-9 串行端口适配器。
    注意:

    我们不再将控制台电缆作为设备包的一部分包含在内。如果设备包中不包含控制台电缆和适配器,或者需要不同类型的适配器,则可以单独订购以下产品:

    • RJ-45 到 DB-9 适配器 (JNP-CBL-RJ45-DB9)

    • RJ-45 转 USB-A 适配器 (JNP-CBL-RJ45-USBA)

    • RJ-45 转 USB-C 适配器 (JNP-CBL-RJ45-USBC)

    如果要使用 RJ-45 转 USB-A 或 RJ-45 转 USB-C 适配器,则必须在 PC 上安装 X64(64 位)虚拟 COM 端口 (VCP) 驱动程序。请参阅 https://ftdichip.com/drivers/vcp-drivers/ 下载驱动程序。
  2. 将 RJ-45 到 DB-9 串行端口适配器插入管理设备上的串行端口。
  3. 将以太网线缆的另一端连接到 SRX300 上的串行控制台端口。
    图 1:连接到 SRX300 Connect to the Console Port on the SRX300 上的控制台端口
  4. 启动您的异步终端仿真应用程序(如 Microsoft Windows HyperTerminal)并选择要使用的相应 COM 端口(例如 COM1)。
  5. 使用以下值配置串行端口设置:

    • 波特率 - 9600

    • 奇偶校验 (Chiity—N)

    • 数据位 - 8

    • 停止位 - 1

    • 流控制 - 无

连接到 Mini-USB 控制台端口

要连接到 mini-USB 控制台端口:

  1. “下载”页面将 USB 驱动程序下载到管理设备。要下载适用于 Windows作系统的驱动程序,请从“版本”下拉列表中进行选择6.5。要下载适用于 macOS 的驱动程序,请从“版本”下拉列表中进行选择4.10
  2. 安装 USB 控制台驱动程序软件:
    注意:

    尝试在 SRX300 与管理设备之间建立物理连接之前,请先安装 USB 控制台驱动程序软件,否则连接将失败。

    1. .zip 文件复制并解压缩到本地文件夹。

    2. 双击 .exe 文件。将显示安装程序屏幕。

    3. 单击 “安装”

    4. 单击下一个屏幕上的 “仍然继续 ”以完成安装。

      如果您选择在此过程中的任何时间停止安装,则全部或部分软件将无法安装。在这种情况下,我们建议您卸载 USB 控制台驱动程序,然后重新安装它。

    5. 安装完成后,单击“ 确定 ”。

  3. 将 SRX300 随附的 USB 电缆的大端插入管理设备上的 USB 端口。
  4. 将 USB 线缆的另一端连接到 SRX300 上的 mini-USB 控制台端口。
  5. 启动您的异步终端仿真应用程序(如 Microsoft Windows HyperTerminal)并选择由 USB 控制台驱动程序软件安装的新 COM 端口。在大多数情况下,这是选择菜单中编号最高的 COM 端口。

    安装并初始化驱动程序后,您可以在 Windows 设备管理器中的“端口 (COM & LPT)”下找到 COM 端口。这可能需要几秒钟的时间。

  6. 使用以下值配置端口设置:

    • 位/秒 - 9600

    • 奇偶校验 - 无

    • 数据位 - 8

    • 停止位 - 1

    • 流控制 - 无

  7. 如果尚未执行此作,请按前面板上的 电源 按钮打开 SRX300 的电源。验证前面板上的 PWR LED 是否变为绿色。

    管理设备上的终端仿真屏幕可显示启动顺序。SRX300 完成启动后,将显示登录提示。

使用 CLI 配置 SRX300

要使用 CLI 配置 SRX300,请执行以下作:

  1. 启动 CLI。
    注意:

    您可以使用 show configuration 命令查看出厂默认设置。
  2. 进入配置模式。
  3. 通过输入明文密码、加密密码或 SSH 公钥字符串(DSA 或 RSA)来设置 root 身份验证密码。
  4. 提交配置以便在设备上将其激活。

使用 J-Web 进行初始配置

使用 J-Web 进行配置

要使用 J-Web 配置设备,请执行以下作:

  1. 将以太网线缆的一端连接到设备上编号为 0/10/6 的任意网络端口。
    注意:

    ge-0/0/0 和 ge-0/0/7 接口(端口 0/00/7)是 WAN 接口。请勿将这些端口用于初始配置过程。
  2. 将以太网线缆的另一端连接到管理设备。
    图 2:将 SRX300 连接到管理设备 Connect the SRX300 to a Management Device

    SRX300 可用作 DHCP 服务器,并自动为笔记本电脑分配 IP 地址。

  3. 确保管理设备从设备获取 192.168.1.0/24 网络上的 IP 地址。

    如果管理设备未分配IP地址,请在192.168.1.0/24网络中手动配置IP地址。

    注意:

    请勿将 192.168.1.1 IP 地址分配给管理设备,因为此 IP 地址已分配给 SRX300。
  4. 打开浏览器并键入 https://192.168.1.1。此时将显示“Phone Home Client”页面。

  5. 要配置设备,请执行以下作:
  6. 在“跳到 J-Web”页面中设置 root 身份验证密码,然后单击 “提交”。

    将会显示 J-Web 登录页面。SRX300 已配置出厂默认设置,使其成为即插即用设备。因此,要让 SRX300 启动并开始运行,您所要做的就是将其连接到您的 LAN 和 WAN 网络。

  7. 将 WAN 网络连接到端口 0/0 以获取动态 IP 地址。
  8. 将 LAN 网络连接到 0/10/6 之间的任意端口。
  9. 检查 SRX300 是否已连接到互联网。转到 http://www.juniper.net。如果页面未加载,请检查 Internet 连接。

    完成这些步骤后,您可以立即开始在网络上使用 SRX300。

您可以登录 J-Web 并选择适合您的配置模式,继续自定义设置。然后,您可以按照设置向导中显示的屏幕进行作。

自定义 Junos OS 19.2 版的配置

您可以选择任何一种配置模式来自定义配置:

  • 标准 — 为 SRX300 配置基本安全设置。

  • 群集 (HA) — 在机箱群集模式下设置 SRX300。

  • 被动 — 在 Tap 模式下设置 SRX300。分接模式使 SRX300 能够被动监控网络中的流量。

自定义 Junos OS 15.1X49-D170 版的配置

您可以选择任何一种配置模式来自定义配置:

  • 引导式设置(使用动态 IP 地址)— 允许您在自定义安全配置中设置 SRX300。您可以选择“基本”或“专家”选项。

    下表比较了“基本”和“专家”级别:

    选项

    基本

    专家

    允许的内部区域数

    3

    ≥ 3

    Internet 区域配置选项

    • 静态 IP

    • 动态 IP

    • 静态 IP

    • 静态池

    • 动态 IP

    内部区域服务配置

    允许

    允许

    内部目标 NAT 配置

    不允许

    允许
    注意:

    如果更改笔记本电脑连接端口的 IP 地址,则在引导式设置模式下应用配置时,可能会断开与设备的连接。要再次访问 J-Web,请打开新的浏览器窗口并键入 https://new IP address

  • 默认设置(使用动态 IP 地址)— 让您能够使用默认配置快速设置 SRX300。向导设置完成后,可以执行任何其他配置。

  • 高可用性 — 允许您使用默认基本配置设置机箱群集。

借助 ZTP 和瞻博网络网络服务控制器配置设备

注意:

您可以对 Junos OS 19.2 及更低版本使用 ZTP 进行配置。

您可以使用 ZTP 在网络中自动完成 SRX300 的初始配置,只需最少的干预。

网络服务控制器是瞻博网络 Contrail 服务编排平台的一个组件,可简化和自动化使用开放框架的自定义网络服务的设计和实施。

有关详细信息,请参阅 http://www.juniper.net/assets/us/en/local/pdf/datasheets/1000559-en.pdf 上数据表中的“网络服务控制器”部分。

要使用 ZTP 自动配置设备:

注意:

要完成 ZTP 过程,请确保 SRX300 已连接到互联网。

  • 如果您已经有验证码,请在显示的网页中输入该验证码。

    图 3:身份验证代码页 Authentication Code Page

    身份验证成功后,将在 SRX300 上应用并提交初始配置。或者,在应用初始配置之前,最新的 Junos OS 映像会安装在 SRX300 上。

  • 如果没有验证码,可以使用 J-Web 安装向导配置 SRX300。单击 “跳至 J-Web ”,然后使用 J-Web 配置 SRX300。