Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

在 SRX300 上配置 Junos OS

服务网关随附预装的瞻博网络 Junos 操作系统 (Junos OS),可在设备开机时进行配置。您可以使用基于浏览器的安装向导或使用命令行界面 (CLI) 来执行服务网关的初始软件配置。

SRX300 防火墙出厂默认设置

SRX300 设备随附以下出厂默认设置:

表 1:安全策略

源区域

目标区域

策略操作

信任

信任

许可证

信任

不信任

许可证
表 2:NAT 规则

源区域

目标区域

策略操作

信任

不信任

源 NAT 到不信任区域接口
表 3:接口

端口标签

接口

安全区域

DHCP 状态

IP 地址

0/0 和 0/7

ge-0/0/0 和 ge-0/0/7

不信任

客户

未分配

0/1 至 0/6

VLAN 接口 irb.0(ge-0/0/1 至 ge-0/0/6)

信任

服务器

192.168.1.1/24

SRX300 设备出厂时默认启用以下服务和协议。

表 4:服务、协议和启动模式

服务

协议

设备启动模式

Ssh

HTTPS

NETCONF over SSH

RSTP(所有接口)

开关

为了提供安全流量,在不信任区域上配置了一组基本的屏幕。

如何查看出厂默认设置

要查看设备上的出厂默认设置,请执行以下操作:

  1. 以 root 用户身份登录并提供您的凭证。

  2. 查看默认配置文件列表:

  3. 查看所需的默认配置文件。

提交对配置的更改时,将创建新的配置文件,该文件将成为活动配置。如果当前活动配置失败,您可以使用命令 load factory-default 恢复为出厂默认配置。

使用 CLI 进行初始配置

您可以使用设备上的串行或迷你 USB 控制台端口。

连接到串行控制台端口

要连接到串行控制台端口,请执行以下操作:

  1. 将以太网电缆的一端插入 RJ-45 到 DB-9 串行端口适配器。
    注意:

    我们不再将控制台电缆作为设备包的一部分包含在内。如果设备包装中未包含控制台电缆和适配器,或者您需要不同类型的适配器,则可以单独订购:

    • RJ-45 到 DB-9 适配器 (JNP-CBL-RJ45-DB9)

    • RJ-45 转 USB-A 适配器 (JNP-CBL-RJ45-USBA)

    • RJ-45 转 USB-C 适配器 (JNP-CBL-RJ45-USBC)

    如果要使用 RJ-45 到 USB-A 或 RJ-45 到 USB-C 适配器,则必须在电脑上安装 X64(64 位)虚拟 COM 端口 (VCP) 驱动程序。请参阅 https://ftdichip.com/drivers/vcp-drivers/ 以下载驱动程序。
  2. 将 RJ-45 到 DB-9 串行端口适配器插入管理设备上的串行端口。
  3. 将以太网电缆的另一端连接到 SRX300 上的串行控制台端口。
    图 1:连接到 SRX300 Connect to the Console Port on the SRX300 上的控制台端口
  4. 启动异步终端仿真应用程序(如 Microsoft Windows 超级终端)并选择要使用的相应 COM 端口(例如 COM1)。
  5. 使用以下值配置串行端口设置:

    • 波特率—9600

    • 奇偶校验 - N

    • 数据位 - 8

    • 停止位 - 1

    • 流控制 - 无

连接到迷你 USB 控制台端口

要连接到迷你 USB 控制台端口,请执行以下操作:

  1. 下载页面将 USB 驱动程序下载到管理设备。要下载适用于 Windows 操作系统的驱动程序,请从“版本”下拉列表中选择6.5。要下载适用于 macOS 的驱动程序,请从版本下拉列表中选择4.10
  2. 安装 USB 控制台驱动程序软件:
    注意:

    在尝试在 SRX300 和管理设备之间建立物理连接之前,请先安装 USB 控制台驱动程序软件,否则连接将失败。

    1. .zip 文件复制并解压缩到本地文件夹。

    2. 双击 .exe 文件。此时将显示安装程序屏幕。

    3. 单击 安装

    4. 单击下一个屏幕上的 “仍然继续 ”以完成安装。

      如果您选择在此过程中随时停止安装,则全部或部分软件将无法安装。在这种情况下,我们建议您卸载 USB 控制台驱动程序,然后重新安装它。

    5. 安装完成后,单击 “确定 ”。

  3. 将 SRX300 随附的 USB 电缆的大端插入管理设备上的 USB 端口。
  4. 将 USB 电缆的另一端连接到 SRX300 上的迷你 USB 控制台端口。
  5. 启动异步终端仿真应用程序(如 Microsoft Windows 超级终端),然后选择由 USB 控制台驱动程序软件安装的新 COM 端口。在大多数情况下,这是选择菜单中编号最高的 COM 端口。

    安装和初始化驱动程序后,您可以在Windows设备管理器中的端口(COM和LPT)下找到COM端口。这可能需要几秒钟。

  6. 使用以下值配置端口设置:

    • 位/秒 - 9600

    • 奇偶校验 - 无

    • 数据位 - 8

    • 停止位 - 1

    • 流控制 - 无

  7. 如果尚未执行此操作,请按前面板上的 电源 按钮打开 SRX300 的电源。验证前面板上的 PWR LED 是否变为绿色。

    管理设备上的终端仿真屏幕将显示启动顺序。SRX300 完成启动后,将显示登录提示。

使用 CLI 配置 SRX300

要使用 CLI 配置 SRX300:

  1. 启动 CLI。
    注意:

    您可以使用命令查看 show configuration 出厂默认设置。
  2. 进入配置模式。
  3. 通过输入明文密码、加密密码或 SSH 公钥字符串(DSA 或 RSA)来设置 root 身份验证密码。
  4. 提交配置以在设备上将其激活。

使用 J-Web 进行初始配置

使用 J-Web 进行配置

要使用 J-Web 配置设备,请执行以下操作:

  1. 将以太网电缆的一端连接到设备上编号为 0/10/6 的任何网络端口。
    注意:

    ge-0/0/0 和 ge-0/0/7 接口(端口 0/00/7)是 WAN 接口。请勿将这些端口用于初始配置过程。
  2. 将以太网电缆的另一端连接到管理设备。
    图 2:将 SRX300 连接到管理设备 Connect the SRX300 to a Management Device

    SRX300 用作 DHCP 服务器,并自动为笔记本电脑分配 IP 地址。

  3. 确保管理设备从该设备获取 192.168.1.0/24 网络上的 IP 地址。

    如果未为管理设备分配 IP 地址,请在 192.168.1.0/24 网络中手动配置 IP 地址。

    注意:

    请勿将 192.168.1.1 IP 地址分配给管理设备,因为此 IP 地址已分配给 SRX300。
  4. 打开浏览器并键入 https://192.168.1.1。此时将显示“电话主页客户端”页面。

  5. 要配置设备:
  6. 在跳到 J-Web 页面中设置 root 身份验证密码,然后单击 提交

    此时将显示 J-Web 登录页面。SRX300 已配置出厂默认设置,使其成为即插即用设备。因此,要启动并运行 SRX300,您只需将其连接到您的 LAN 和 WAN 网络即可。

  7. 将 WAN 网络连接到端口 0/0 以获取动态 IP 地址。
  8. 将 LAN 网络连接到从 0/10/6 的任何端口。
  9. 检查 SRX300 是否已连接到互联网。转到 http://www.juniper.net。如果页面未加载,请检查互联网连接。

    完成这些步骤后,您可以立即开始在网络上使用 SRX300。

您可以通过登录 J-Web 并选择适合您的配置模式来继续自定义设置。然后,您可以按照设置向导中显示的屏幕进行操作。

自定义 Junos OS 19.2 版的配置

您可以选择任一配置模式来自定义配置:

  • 标准 — 配置 SRX300 的基本安全设置。

  • 群集 (HA) — 在机箱群集模式下设置 SRX300。

  • 被动 — 在分路模式下设置 SRX300。分路模式使 SRX300 能够被动监控网络中的流量。

自定义 Junos OS 版本 15.1X49-D170 的配置

您可以选择任一配置模式来自定义配置:

  • 引导式设置(使用动态 IP 地址)— 使您能够在自定义安全配置中设置 SRX300。您可以选择“基本”或“专家”选项。

    下表比较了基本级别和专家级别:

    选项

    基本

    专家

    允许的内部区域数

    3

    ≥ 3

    互联网区域配置选项

    • 静态 IP

    • 动态 IP

    • 静态 IP

    • 静态池

    • 动态 IP

    内部区域服务配置

    允许

    允许

    内部目标 NAT 配置

    不允许

    允许
    注意:

    如果更改笔记本电脑所连接端口的 IP 地址,则在引导式设置模式下应用配置时,可能会失去与设备的连接。要再次访问 J-Web,请打开新的浏览器窗口并键入 https://new IP address

  • 默认设置(使用动态 IP 地址)— 使您能够使用默认配置快速设置 SRX300。任何其他配置都可以在向导设置完成后完成。

  • 高可用性 — 使您能够使用默认基本配置设置机箱群集。

将 ZTP 与瞻博网络网络服务控制器结合使用,配置设备

注意:

您可以使用 ZTP 对 Junos OS 19.2 版及更早版本进行配置。

您可以使用 ZTP 自动完成网络中 SRX300 的初始配置,只需最少的干预。

网络服务控制器是瞻博网络 Contrail 服务编排平台的一个组件,可简化和自动化使用开放框架的自定义网络服务的设计和实施。

有关详细信息,请参阅 http://www.juniper.net/assets/us/en/local/pdf/datasheets/1000559-en.pdf 处产品介绍中的网络服务控制器部分。

要使用 ZTP 自动配置设备,请执行以下操作:

注意:

要完成 ZTP 进程,请确保 SRX300 已连接到互联网。

  • 如果您已有验证码,请在显示的网页中输入验证码。

    图 3:身份验证代码页 Authentication Code Page

    身份验证成功后,将在 SRX300 上应用并提交初始配置。或者,在应用初始配置之前,将在 SRX300 上安装最新的 Junos OS 映像。

  • 如果没有验证码,可以使用 J-Web 设置向导配置 SRX300。单击 跳至 J-Web 并使用 J-Web 配置 SRX300。