Juniper_SRX_配置手册

第 1 页 共 16 页 Juniper SRX 防火墙简明配置手册防火墙简明配置手册 第 2 页 共 16 页 目录目录 一 JUNOS 操作系统介绍 3 1 1 层次化配置结构 3 1 2 JunOS 配置管理 4 1 3 SRX 主要配置内容 4 二 SRX 防火墙配置对照说明 5 2 1 初始安装 5 2 1 1 登陆 5 2 1 2 设置 root 用户口令 5 2 1 3 设置远程登陆管理用户 5 2 1 4 远程管理 SRX 相关配置 6 2 2 Policy 6 2 3 NAT 7 2 3 1 Interface based NAT 8 2 3 2 Pool based Source NAT 8 2 3 3 Pool base destination NAT 9 2 3 4 Pool base Static NAT 10 2 4 IPSEC VPN 11 2 5 Application and ALG 12 2 6 JSRP 12 三 SRX 防火墙常规操作与维护 15 3 1 设备关机 15 3 2设备重启 15 3 3操作系统升级 15 3 4密码恢复 16 3 5常用监控维护命令 16 第 3 页 共 16 页 Juniper SRX 防火墙简明配置手册防火墙简明配置手册 SRX 系列防火墙是 Juniper 公司基于 JUNOS 操作系统的安全系列产品 JUNOS 集成了路由 交换 安全性和 一系列丰富的网络服务 目前 Juniper 公司的全系列路由器产品 交换机产品和 SRX 安全产品均采用统一源代码 的 JUNOS 操作系统 JUNOS 是全球首款将转发与控制功能相隔离 并采用模块化软件架构的网络操作系统 JUNOS 作为电信级产品的精髓是 Juniper 真正成功的基石 它让企业级产品同样具有电信级的不间断运营特性 更好的 安全性和管理特性 JUNOS 软件创新的分布式架构为高性能 高可用 高可扩展的网络奠定了基础 基于 NP 架构 的 SRX 系列产品产品同时提供性能优异的防火墙 NAT IPSEC IPS SSL VPN 和 UTM 等全系列安全功能 其安全 功能主要来源于已被广泛证明的 ScreenOS 操作系统 本文旨在为熟悉 Netscreen 防火墙 ScreenOS 操作系统的工程师提供 SRX 防火墙参考配置 以便于大家能够 快速部署和维护 SRX 防火墙 文档介绍 JUNOS 操作系统 并参考 ScreenOS 配置介绍 SRX 防火墙配置方法 最 后对 SRX 防火墙常规操作与维护做简要说明 一 一 JUNOS 操作系统介绍操作系统介绍 1 1 层次化配置结构层次化配置结构 JUNOS 采用基于 FreeBSD 内核的软件模块化操作系统 支持 CLI 命令行和 WEBUI 两种接口配置方式 本 文主要对 CLI 命令行方式进行配置说明 JUNOS CLI 使用层次化配置结构 分为操作 operational 和配置 configure 两类模式 在操作模式下可对当前配置 设备运行状态 路由及会话表等状态进行查看及设备运维 操作 并通过执行 config 或 edit 命令进入配置模式 在配置模式下可对各相关模块进行配置并能够执行操作模式 下的所有命令 run 在配置模式下 JUNOS 采用分层分级模块下配置结构 如下图所示 edit 命令进入下一级配 置 类似 unix cd 命令 exit 命令退回上一级 top 命令回到根级 1 2 JunOS 配置管理配置管理 JUNOS 通过 set 语句进行配置 配置输入后并不会立即生效 而是作为候选配置 Candidate Config 等待管理员提交确认 管理员通过输入 commit 命令来提交配置 配置内容在通过 SRX 语法检查后才会 生效 一旦 commit 通过后当前配置即成为有效配置 Active config 另外 JUNOS 允许执行 commit 命令时要 第 4 页 共 16 页 求管理员对提交的配置进行两次确认 如执行 commit confirmed 2 命令要求管理员必须在输入此命令后 2 分钟内 再次输入 commit 以确认提交 否则 2 分钟后配置将自动回退 这样可以避免远程配置变更时管理员失去对 SRX 的远程连接风险 在执行 commit 命令前可通过配置模式下 show 命令查看当前候选配置 Candidate Config 在执行 commit 后配 置模式下可通过 run show config 命令查看当前有效配置 Active config 此外可通过执行 show compare 比对 候选配置和有效配置的差异 SRX 上由于配备大容量硬盘存储器 缺省按先后 commit 顺序自动保存 50 份有效配置 并可通过执行 rolback 和 commit 命令返回到以前配置 如 rollback 0 commit 可返回到前一 commit 配置 也可以直接通过执行 save configname conf 手动保存当前配置 并执行 load override configname conf commit 调用前期手动保存的配置 执 行 load factory default commit 命令可恢复到出厂缺省配置 SRX 可对模块化配置进行功能关闭与激活 如执行 deactivate security nat comit 命令可使 NAT 相关配置不生效 并可通过执行 activate security nat commit 使 NAT 配置再次生效 SRX 通过 set 语句来配置防火墙 通过 delete 语句来删除配置 如 delete security nat 和 edit security nat delete 一 样 均可删除 security 防火墙层级下所有 NAT 相关配置 删除配置和 ScreenOS 不同 配置过程中需加以留意 1 3 SRX 主要配置内容主要配置内容 部署 SRX 防火墙主要有以下几个方面需要进行配置 System 主要是系统级内容配置 如主机名 管理员账号口令及权限 时钟时区 Syslog SNMP 系统级开放 的远程管理服务 如 telnet 等内容 Interface 接口相关配置内容 Security 是 SRX 防火墙的主要配置内容 安全相关部分内容全部在 Security 层级下完成配置 如 NAT Zone Policy Address book Ipsec Screen Idp 等 可简单理解为 ScreenOS 防火墙安全相关内容都迁移 至此配置层次下 除了 Application 自定义服务 Application 自定义服务单独在此进行配置 配置内容与 ScreenOS 基本一致 routing options 配置静态路由或 router id 等系统全局路由属性配置 第 5 页 共 16 页 二 二 SRX 防火墙配置对照说明防火墙配置对照说明 2 1 初始安装初始安装 2 1 12 1 1 登陆登陆 Console口 通用超级终端缺省配置 连接SRX root用户登陆 密码为空 login root Password JUNOS 9 5R1 8 built 2009 07 16 15 04 30 UTC root cli 进入操作模式进入操作模式 root root configure Entering configuration mode 进入配置模式进入配置模式 edit Root 2 1 22 1 2 设置设置 rootroot 用户口令用户口令 设置root用户口令 root set system root authentication plain text password root new password root123 root retype new password root123 密码将以密文方式显示 root show system root authentication encrypted password 1 xavDeUe6 fNM6olGU 8 M7B62u05D6 SECRET DATA 注意 强烈建议不要使用其它加密选项来加密注意 强烈建议不要使用其它加密选项来加密root和其它和其它user口令口令 如如encrypted password加密方式加密方式 此配置参数 要求输入的口令应是经加密算法加密后的字符串 采用这种加密方式手工输入时存在密码无法通过验证风险 注 root用户仅用于console连接本地管理SRX 不能通过远程登陆管理SRX 必须成功设置root口令后 才能执 行commit提交后续配置命令 2 1 32 1 3 设置远程登陆管理用户设置远程登陆管理用户 root set system login user lab class super user authentication plain text password root new password lab123 root retype new password lab123 注 此 lab 用户拥有超级管理员权限 可用于 console 和远程管理访问 另也可自行灵活定义其它不同管理权限 用户 第 6 页 共 16 页 2 1 42 1 4 远程管理远程管理 SRXSRX 相关配置相关配置 runrun setset datedate YYYYMMDDhhmm ssYYYYMMDDhhmm ss 设置系统时钟 setset systemsystem time zonetime zone Asia ShanghaiAsia Shanghai 设置时区为上海 setset systemsystem host namehost name SRX3400 ASRX3400 A 设置主机名 setset systemsystem name servername server 1 1 1 11 1 1 1 设置 DNS 服务器 setset systemsystem servicesservices ftpftp setset systemsystem servicesservices telnettelnet setset systemsystem servicesservices web managementweb management httphttp 在系统级开启 ftp telnet http 远程接入管理服务 setset interfacesinterfaces ge 0 0 0 0ge 0 0 0 0 familyfamily inetinet addressaddress 10 1 1 1 2410 1 1 1 24 或 setset interfacesinterfaces ge 0 0 0ge 0 0 0 unitunit 0 0 familyfamily inetinet addressaddress 10 1 1 1 2410 1 1 1 24 setset interfacesinterfaces ge 0 0 1ge 0 0 1 unitunit 0 0 familyfamily inetinet addressaddress 10 1 2 1 2410 1 2 1 24 setset routing optionsrouting options staticstatic routeroute 0 0 0 0 00 0 0 0 0 next hopnext hop 10 1 1 110 1 1 1 配置逻辑接口地址及缺省路由 SRX 接口要求 IP 地址必须配置在逻辑接口下 类似 ScreenOS 的子接口 通 常使用逻辑接口 0 即可 setset securitysecurity zoneszones security zonesecurity zone untrustuntrust interfacesinterfaces ge 0 0 0 0ge 0 0 0 0 将 ge 0 0 0 0 接口放到 untrust zone 去 类似 ScreenOS setset securitysecurity zoneszones security zonesecurity zone untrustuntrust host inbound traffichost inbound traffic system servicessystem services pingping setset securitysecurity zoneszones security zonesecurity zone untrustuntrust host inbound traffichost inbound traffic system servicessystem services httphttp setset securitysecurity zoneszones security zonesecurity zone untrustuntrust host inbound traffichost inbound traffic system servicessystem services telnettelnet 在 untrust zone 打开允许远程登陆管理服务 ScreenOS 要求基于接口开放服务 SRX 要求基于 Zone 开放 从 SRX 主动访问出去流量开启服务 类似 ScreenOS 2 2 Policy 策略策略 Policy 配置方法与 ScreenOS 基本一致 仅在配置命令上有所区别 其中策略的允许 拒绝的动作 Action 需要 额外配置一条 then 语句 将 ScreenOS 的一条策略分解成两条及以上配置语句 Policy 需要手动配置 policy name policy name 可以是字符串 也可以是数字 与 ScreenOS 的 policy ID 类似 只不过需要手工指定 set security zones security zone trust address book address pc1 10 1 1 10 32 set security zones security zone untrust address book address server1 10 0 2 1 32 与 ScreenOS 一样 在 trust 和 untrust zone 下分别定义地址对象便于策略调用 地址对象的名称可以是地址 掩 码形式 set security zones security zone trust address book address set addr group1 address pc1 在 trust zone 下定义名称为 add group1 的地址组 并将 pc1 地址放到该地址组中 set security policies from zone trust to zone untrust policy 001 match source address addr group1 destination address server1 application any set security policies from zone trust to zone untrust policy 001 then permit 定义从 trust 到 untrust 方向 permit 策略 允许 addr group1 组的源地址访问 server1 地址 any 服务 第 7 页 共 16 页 2 3 NAT SRX NAT 较 ScreenOS 在功能实现方面基本保持一致 但在功能配置上有较大区别 配置的主要差异在于 ScreenOS 的 NAT 与 policy 是绑定的 无论是 MIP VIP DIP 还是基于策略的 NAT 在 policy 中均要体现出 NAT 内容 除了缺省基于 untrust 接口的 Souec NAT 模式外 而 SRX 的 NAT 则作为网络层面基础内容进行独立配 置 独立定义地址映射的方向 映射关系及地址范围 Policy 中不再包含 NAT 相关配置信息 这样的好处是易 于理解 简化运维 当网络拓朴和 NAT 映射关系发生改变时 无需调整 Policy 配置内容 SRX NAT 和 Policy 执行先后顺序为 目的地址转换 目的地址路由查找 执行策略检查 源地址转换 结合这 个执行顺序 在配置 Policy 时需注意 Policy 中源地址应是转换前的源地址 而目的地址应该是转换后的目的地中源地址应是转换前的源地址 而目的地址应该是转换后的目的地 址址 换句话说 换句话说 Policy 中的源和目的地址应该是源和目的两端的真实中的源和目的地址应该是源和目的两端的真实 IP 地址 地址 这一点和 ScreenOS 存在区别 需 要加以注意 SRX 中不再使用 MIP VIP DIP 这些概念 其中 MIP 被 Static 静态地址转换取代 两者在功能上完全一致 DIP 被 Source NAT 取代 基于 Policy 的目的地址转换及 VIP 被 Destination NAT 取代 ScreenOS 中基于 Untrust zone 接口的源地址转换被保留下来 但在 SRX 中不再是缺省模式 SRX 中 Trust Zone 接口没有 NAT 模式概念 需 要手工配置 类似 ScreenOS Static 属于双向 NAT 其他类型均属于单向 NAT 此外 SRX 还多了一个 proxy arp 概念 如果定义的 IP Pool 可用于源或目的地址转换 与接口 IP 在同一子网时 需配置 SRX 对这个 Pool 内的地址提供 ARP 代理功能 这样对端设备能够解析到 IP Pool 地址的 MAC 地址 使 用接口 MAC 地址响应对方 以便于返回报文能够送达 SRX 下面是配置举例及相关说明 2 3 12 3 1 InterfaceInterface basedbased NATNAT NAT set security nat source rule set 1 from zone trust set security nat source rule set 1 to zone untrust set security nat source rule set 1 rule rule1 match source address 0 0 0 0 0 destination address 0 0 0 0 0 set security nat source rule set 1 rule rule1 then source nat interface 上述配置定义 NAT 源地址映射规则 从 Trust Zone 访问 Untrust Zone 的所有流量用 Untrust Zone 接口 IP 做源地 址转换 Policy set security policies from zone trust to zone untrust policy 1 match source address 10 1 2 2 第 8 页 共 16 页 set security policies from zone trust to zone untrust policy 1 match destination address any set security policies from zone trust to zone untrust policy 1 match application any set security policies from zone trust to zone untrust policy 1 then permit 上述配置定义 Policy 策略 允许 Trust zone 10 1 2 2 地址访问 Untrust 方向任何地址 根据前面的 NAT 配置 SRX 在建立 session 时自动执行接口源地址转换 2 3 22 3 2 PoolPool basedbased SourceSource NATNAT NAT set security nat source pool pool 1 address 100 1 1 10 to 100 1 1 20 set security nat source rule set 1 from zone trust set security nat source rule set 1 to zone untrust set security nat source rule set 1 rule rule1 match source address 0 0 0 0 0 destination address 0 0 0 0 0 set security nat source rule set 1 rule rule1 then source nat pool pool 1 set security nat proxy arp interface ge 0 0 2 address 100 1 1 10 to 100 1 1 20 上述配置表示从 trust 方向 any 到 untrust 方向 any 访问时提供源地址转换 源地址池为 pool1 100 1 1 10 100 1 1 20 同时 ge 0 0 2 接口为此 pool IP 提供 ARP 代理 需要注意的是 定义 Pool 时不需要与 Zone 及接口进 行关联 配置 proxy arp 目的是让返回包能够送达 SRX 如果 Pool 与出接口 IP 不在同一子网 则对端设备需要 配置指向 100 1 1 1 的 Pool 地址路由 Policy set security policies from zone trust to zone untrust policy 1 match source address 10 1 1 2 set security policies from zone trust to zone untrust policy 1 match destination address any set security policies from zone trust to zone untrust policy 1 match application any set security policies from zone trust to zone untrust policy 1 then permit 上述配置定义 Policy 策略 允许 Trust zone 10 1 2 2 地址访问 Untrust 方向任何地址 根据前面的 NAT 配置 SRX 在建立 session 时自动执行源地址转换 第 9 页 共 16 页 2 3 32 3 3 PoolPool basebase destinationdestination NATNAT NAT set security nat destination pool 111 address 192 168 1 100 32 set security nat destination rule set 1 from zone untrust set security nat destination rule set 1 rule 111 match source address 0 0 0 0 0 set security nat destination rule set 1 rule 111 match destination address 100 100 100 100 32 set security nat destination rule set 1 rule 111 then destination nat pool 111 上述配置将外网 any 访问 100 100 100 100 地址映射到内网 192 168 1 100 地址 注意 定义的注意 定义的 Dst Pool 是内网真是内网真 实实 IP 地址地址 而不是映射前的公网地址 这点和 Src NAT Pool 有所区别 Policy set security policies from zone trust to zone untrust policy 1 match source address any set security policies from zone trust to zone untrust policy 1 match destination address 192 168 1 100 set security policies from zone trust to zone untrust policy 1 match application any set security policies from zone trust to zone untrust policy 1 then permit 上述配置定义 Policy 策略 允许 Untrust 方向任何地址访问 Trust 方向 192 168 1 100 根据前面的 NAT 配置 公 网访问 100 100 100 100 时 SRX 自动执行到 192 168 1 100 的目的地址转换 ScreenOS VIP 功能对应的功能对应的 SRX Dst nat 配置 配置 set security nat destination pool 222 address 192 168 1 200 32 port 8000 set security nat destination rule set 1 from zone untrust set security nat destination rule set 1 rule 111 match source address 0 0 0 0 0 set security nat destination rule set 1 rule 111 match destination address 100 100 100 100 32 set security nat destination rule set 1 rule 111 match destination port 8000 set security nat destination rule set 1 rule 111 then destination nat pool 222 上述 NAT 配置定义 访问 100 100 100 100 地址 8000 端口映射至 192 168 1 200 地址 8000 端口 功能与 ScreenOS VIP 端口映射一致 第 10 页 共 16 页 2 3 42 3 4 PoolPool basebase StaticStatic NATNAT NAT set security nat static rule set static nat from zone untrust set security nat static rule set static nat rule rule1 match destination address 100 100 100 100 set security nat static rule set static nat rule rule1 then static nat prefix 192 168 1 200 Policy set security policies from zone trust to zone untrust policy 1 match source address any set security policies from zone trust to zone untrust policy 1 match destination address 192 168 1 200 set security policies from zone trust to zone untrust policy 1 match application any set security policies from zone trust to zone untrust policy 1 then permit Static NAT 概念与 ScreenOS MIP 一致 属于静态双向一对一 NAT 上述配置表示访问 100 100 100 100 时转换为 192 168 1 200 当 192 168 1 200 访问 Internet 时自动转换为 100 100 100 100 2 4 IPSEC VPN SRX IPSEC VPN 支持 Site to Site VPN 和基于 NS remote 的拨号 VPN 和 ScreenOS 一样 site to site VPN 也支 持路由模式和 Policy 模式 在配置方面也和 ScreenOS 基本一致 SRX 中的加密 验证算法在命名上和 ScreenOS 存在一些区别 配置过程中建议选择 ike 和 ipsec 的 proposal 为 standard 模式 standard 中包含 SRX 支持的全部 加密 验证算法 只要对端设备支持其中任何一种即可 SRX 中通道接口使用 st0 接口 对应 ScreenOS 中的 tunnel 虚拟接口 第 11 页 共 16 页 下面是图中左侧 SRX 基于路由方式 Site to site VPN 配置 set interfaces st0 unit 0 family inet address 10 2 0 1 24 set security zones security zone untrust interfaces st0 0 set routing options static route 10 1 2 0 24 next hop st0 0 定义 st0 tunnel 接口地址 Zone 及通过 VPN 通道到对端网络路由 set security ike policy ABC mode main set security ike policy ABC proposal set standard set security ike policy ABC pre shared key ascii text juniper 定义 IKE Phase1 policy 参数 main mode standard proposal 及预共享密钥方式 set security ike gateway gw1 ike policy ABC set security ike gateway gw1 address 10 0 2 1 set security ike gateway gw1 external interface ge 0 0 1 0 定义 IKE gaeway 参数 预共享密钥认证 对端网关 10 0 2 1 出接口 ge 0 0 1 位于 untrust zone set security ipsec policy AAA proposal set standard set security ipsec vpn vpn1 bind interface st0 0 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec policy AAA set security ipsec vpn vpn1 establish tunnels immediately 定义 ipsec Phase 2 VPN 参数 standard proposal 与 st0 0 接口绑定 调用 Phase 1 gw1 ike 网关 set security policies from zone untrust to zone trust policy vpn policy match source address any set security policies from zone untrust to zone trust policy vpn policy match destination address any set security policies from zone untrust to zone trust policy vpn policy match application any set security policies from zone untrust to zone trust policy vpn policy then permit set security policies from zone trust to zone untrust policy vpn policy match source address any set security policies from zone trust to zone untrust policy vpn policy match destination address any set security policies from zone trust to zone untrust policy vpn policy match application any set security policies from zone trust to zone untrust policy vpn policy then permit 开启双向 policy 以允许 VPN 流量通过 2 5 Application and ALG SRX 中自定义服务及 ALG 使用方法与 ScreenOS 保持一致 系统缺省开启 FTP ALG 为 TCP 21 服务提供 FTP 应用 ALG 自定义服务如果属于 FTP 类应用 需要将此自定义服务 非 TCP 21 端口 与 FTP 应用进行关联 下面举例定义一个 FTP 类服务 ftp test 使用目的端口为 TCP 2100 服务超时时间为 3600 秒 并将此自定义服务 与 FTP 应用关联 ALG 系统将识别此服务为 FTP 应用并开启 FTP ALG 来处理该应用流量 set applications application ftp test protocol tcp destination port 2100 inactivity timeout 3600 set applications application ftp test application protocol ftp 第 12 页 共 16 页 2 6 JSRP JSRP 是 Juniper SRX 的私有 HA 协议 对应 ScreenOS 的 NSRP 双机集群协议 支持 A P 和 A A 模式 JSRP 对 ScreenOS NSRP 协议和 JUNOS Cluster 集群技术进行了整合集成 熟悉 NSRP 协议有助于对 JSRP 协议的理解 JSRP 和 NSRP 最大的区别在于 JSRP 是完全意义上的 Cluster 概念 两台设备完全当作一台设备来看待 两台设 备的接口板卡顺序编号 运维变更将对两台设备同时进行操作 无需额外执行 ScreenOS 的配置和会话同步等操 作 而 ScreenOS NSRP 可看作在同步配置和动态对象 session 基础上独立运行的两台单独设备 JSRP 要求两台设备在软件版本 硬件型号 板卡数量 插槽位置及端口使用方面严格一一对应 由于 SRX 是转 发与控制层面完全分裂架构 JSRP 需要控制层面 配置同步 和数据层面 Session 同步 两个平面的互联 建议控 制和数据层面互联链路使用光纤链路直连 部分平台强制要求光纤链路直连 JSRP 接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号 如上所示的 SRX5800 每个 SRX5800 机箱有 12 个业务槽位 节点 0 槽位号从 0 开始编号 节点 1 槽位号从 12 开始往后编 整个 JSRP 配置过程包括如下 7 个步骤 配置 Cluster id 和 Node id 对应 ScreenOS NSRP 的 cluster id 并需手工指定设备使用节点 id 指定 Control Port 指定控制层面使用接口 用于配置同步及心跳 指定 Fabric Link Port 指定数据层面使用接口 主要 session 等 RTO 同步 配置 Redundancy Group 类似 NSRP 的 VSD group 优先级与抢占等配置 每个机箱的个性化配置 单机无需同步的个性化配置 如主机名 带外管理口 IP 地址等 配置 Redundant Ethernet Interface 类似 NSRP 的 Redundant 冗余接口 配置 Interface Monitoring 类似 NSRP interface monitor 是 RG 数据层面切换依据 SRX JSRP 配置样例 配置样例 配置 Cluster id 和 Node id SRX A set chassis cluster cluster id 1 node 0 reboot 注意该命令需在 operational 模式下输入 Cluster ID 取值范 围为 1 15 当 Cluster ID 0 时将 unsets the cluster SRX B set chassis cluster cluster id 1 node 1 reboot 指定 Control Port 如果主控板 RE 上有固定 control ports 则无需指定 第 13 页 共 16 页 set chassis cluster control ports fpc 11 port 0 set chassis cluster control ports fpc 23 port 0 指定 Fabric Link Port set interfaces fab0 fabric options member interfaces ge 1 0 0 set interfaces fab1 fabric options member interfaces ge 13 0 0 注 Fabric Link 中的 Fab0 固定用于 node 0 Fab1 固定用于 node 1 配置 Redundancy Group RG0 固定用于主控板 RE 切换 RG1 以后用于 redundant interface 切换 RE 切换独立于接口切换 set chassis cluster reth count 10 指定整个 Cluster 中 redundant ethernet interface 最多数量 set chassis cluster redundancy group 0 node 0 priority 200 高值优先 与 NSRP 相反 set chassis cluster redundancy group 0 node 1 priority 100 set chassis cluster redundancy group 1 node 0 priority 200 高值优先 与 NSRP 相反 set chassis cluster redundancy group 1 node 1 priority 100 每个机箱的个性化配置 便于对两台设备的区分与管理 set groups node0 system host name SRX A set groups node0 interfaces fxp0 unit 0 family inet address 1 1 1 1 24 带外网管口名称为 fxp0 区别 ScreenOS 的 MGT 口 set groups node1 system host name SRX B set groups node1 interfaces fxp0 unit 0 family inet address 1 1 1 2 24 set apply groups node 应用上述 groups 配置 配置 Redundant Ethernet Interface Redundant Ethernet Interface 类似 ScreenOS 里的 redundant interface 只不过 Redundant Ethernet interface 是分布在 不同的机箱上 这一特性又类似 ScreenOS 的 VSI 接口 Set interface ge 0 0 0 gigether options redundant parent reth0 node 1 的 ge 0 0 0 接口 Set interface ge 13 0 0 gigether options redundant parent reth0 node 1 的 ge 0 0 0 接口 Set interface reth0 redundant ether options redundancy group 1 reth0 属于 RG1 Set interface reth0 unit 0 family inet address 192 168 0 1 24 配置 Interface Monitoring 被监控的接口 Down 掉后 RG1 将自动进行主备切换 与 ScreenOS 类似 Set cluster redundancy group 1 interface monitor ge 0 0 0 weight 255 Set cluster redundancy group 1 interface monitor ge 0 0 1 weight 255 Set cluster redundancy group 1 interface monitor ge 13 0 0 weight 255 Set cluster redundancy group 1 interface monitor ge 13 0 1 weight 255 JSRP 维护命令 a 手工切换 JSRP Master RG1 原 backup 将成为 Master root srx5800a request chassis cluster failover redundancy group 1 node 1 b 手工恢复 JSRP 状态 按照优先级重新确定主备关系 高值优先 root srx5800b request ch