JuniperSRX1400产品配置维护手册课件

Juniper_SRX1400_产品配置维护手册2022/12/19JuniperSRX1400产品配置维护手册Juniper_SRX1400_产品配置维护手册2022/11

目录一、SRX1400产品介绍二、JUNOS基本命令介绍三、SRX1400配置介绍及演示四、SRX1400日常维护JuniperSRX1400产品配置维护手册

目2

目录一、SRX1400产品介绍二、JUNOS基本命令介绍三、SRX1400配置介绍及演示四、SRX1400日常维护JuniperSRX1400产品配置维护手册

目3SRX1400机箱式设计(3U)4个插槽最大1块IOC;1块NSPC;1块RE;1块SYSIOC(GEorXGE)固定接口(SYSIOC)GE型号6-10/100/1000,6SFPXGE型号6-10/100/1000,3SFP,3SFP+模块化接口16-10/100/1000;16-SFP;2-XFP多核架构2电源冗余(1+1)性能防火墙吞吐率(大包)–10Gbps并发连接数–1.5Million*最少需配1NSPC或1SPC+1NPCJuniperSRX1400产品配置维护手册SRX1400机箱式设计(3U)*最少需配1NSPC或14SRX1400CardsNetworkProcessingCard(NPC)SingleNetworkProcessor(NP)subsystem-10GigthroughputServicesProcessingCard(SPC)SingleHD-CPUsubsystem/10GigthroughputNetworkServicesProcessingCard(NSPC)1GHz,4GBmemory/CPU/10GigthroughputRoutingEngine(RE)1.2Ghzprocessor/w1GBmemoryCompleteseparationofcontrol/dataplanesIncludesCPP(centralPFEcontroller)andCB(controlboard)I/OCards(IOC)3versionsatFRS:2-port10GE-XFP(SR,LR,ER)16-portGE-SFP(SX,LX,LH,T)16-port10/100/1000Copper10Gigfull-duplexthroughput(oversubscribed)JuniperSRX1400产品配置维护手册SRX1400CardsJuniperSRX1400产品5

目录一、SRX1400产品介绍二、JUNOS基本命令介绍(演示)三、SRX1400配置介绍及演示四、SRX1400组网讨论JuniperSRX1400产品配置维护手册

目6内容JUNOS基础知识基本命令介绍基本配置JuniperSRX1400产品配置维护手册内容JUNOS基础知识JuniperSRX1400产品配置维7操作模式shell模式$用户模式>配置模式#cli/exitstartshellconfigure/editexitJuniperSRX1400产品配置维护手册操作模式shell模式$用户模式>配置模式#cli/exit8配置模式配置模式提示符号是“#“

在>模式下键入config进入配置模式#提示符还由用户名和主机名共同组成如:user@host#JuniperSRX1400产品配置维护手册配置模式JuniperSRX1400产品配置维护手册9配置模式你编辑的配置文件叫candidate配置文件配置修改不是马上生效，必须通过commit命令提交之后才生效commit提交之后,candidate配置变成active配置文件，然后新的candidate会被再次创建JuniperSRX1400产品配置维护手册配置模式你编辑的配置文件叫candidate配置文件Jun10基本命令-show使用show命令来查看candidate配置文件在哪一层就显示哪一层的配置在最外层就显示所有配置可以在最外层直接指定需要显示的层次#showsystem#showinterfaces#showinterfacesfxp1#showrouting-options#showprotocolsJuniperSRX1400产品配置维护手册基本命令-show使用show命令来查看candidat11set命令使用set增加或者改变配置set参数有些是增加，有些是覆盖#setsystemhost-nameDenver覆盖#setinterfacefxp0unit0familyinetaddress/24增加#setrouting-optionsrouter-id覆盖set用法有两种：(1)一种是用edit进入参数层进行修改(2)一种是在最外层直接写完所有层次参数如下面的例子：JuniperSRX1400产品配置维护手册set命令使用set增加或者改变配置JuniperS12set命令方法一：ab@SRX#editsystem[editsystem]lab@SRX#editlogin[editsystemlogin]lab@SRX#edituserlab[editsystemloginuserlab]lab@SRX#setuid2002[editsystemloginuserlab]lab@SRX#方法一配置繁琐，但是简单明了不容易出错，适合入门者使用方法二：setsystemloginuserlabuid2002方法二操作简单，命令输入量少，并且可以直接粘贴，适合熟练者使用JuniperSRX1400产品配置维护手册set命令方法一：JuniperSRX1400产品配13基本命令-commit使用commit命令来使修改后的内容生效commit-检查配置语法并且激活修改后的内容commitcheck-仅仅进行语法检查，不真正激活配置commitand-quit–如果提交成功就退出commitconfirmed–nextpage…

JuniperSRX1400产品配置维护手册基本命令-commit使用commit命令来使修改后的内14基本命令-rollback使用rollback命令来恢复commit以前的配置rollback只是将配置恢复到Candidat配置erollback或者rollback0恢复上次commit之前的配置rollback1上两次commit之前的配置总共可以恢复49份配置，rollback后面可以0-49rollback?可以显示每次commit的时间，确定恢复那份配置runfileshow/config/juniper.conf.n.gzn为1-3，可以查看需要恢复配置的内容，对应于rollback1-3runfileshow/config/juniper.conf.gz对应rollback0runfileshow/var/db/config/juniper.conf.n.gzn为4-49，可以查看需要恢复配置的内容，对应于rollback4-49JuniperSRX1400产品配置维护手册基本命令-rollback使用rollback命令来恢复15配置文件比较ShowdifferencesbetweencandidateconfigurationfileandActiveconfiguration“Rollback”configurationAnysavedconfigurationfile#show|comparerollbacknumber#show|comparefilenameConfigurationmodeonlyLikeUnixdiffJuniperSRX1400产品配置维护手册配置文件比较Showdifferencesbetween16加载配置文件ConfigurationinformationcancomefromanASCIIfilepreparedofflineSyntaxload(replace|merge|override)filename只改变candidate配置需要commit来生效UsetheloadcommandtoOverride覆盖已经存在的配置要覆盖整个配置，使用override选项merge新的配置语句合并到已经存在的配置文件中replace用新的配置替代已经存在的配置JuniperSRX1400产品配置维护手册加载配置文件Configurationinformatio17JUNOSSoftwareVersion?CLIcommandstodisplayinstalledpackagesshowversionJuniperSRX1400产品配置维护手册JUNOSSoftwareVersion?CLIcom18

目录一、SRX1400产品介绍二、JUNOS基本命令介绍三、SRX1400配置介绍及演示Zone

SecurityPolicies

NetworkAddressTranslationHighAvailabilityClustering

四、SRX1400日常维护JuniperSRX1400产品配置维护手册

目19ZonesJuniperSRX1400产品配置维护手册ZonesJuniperSRX1400产品配置维护手册20JuniperNetworksDeviceRoutingInstance1RoutingInstance2RoutingInstanceF.T.F.T.ForwardingTableZoneAZoneBZoneCZoneDZonesInterfacesInterfaces、zones、routinginstances之间的关系示意图JuniperSRX1400产品配置维护手册JuniperNetworksDeviceRouting21ZoneTypesZoneTypesUser-Defined

(canbeconfigured)System-Defined

(cannotbeconfigured)SecurityFunctionaljunos-globalNullJuniperSRX1400产品配置维护手册ZoneTypesZoneTypesUser-Defin22ZoneConfigurationProcedureSteps:DefineasecurityorafunctionalzoneAddlogicalinterfacestothezoneOptionally,addservicesandprotocolsthatmustbepermittedintotheservicesgatewaythroughtheinterfacebelongingtothezoneIfthisstepisomitted,notrafficdestinedfortheservicesgatewayispermittedJuniperSRX1400产品配置维护手册ZoneConfigurationProcedureSt23SecurityPoliciesJuniperSRX1400产品配置维护手册SecurityPoliciesJuniperSRX14024SecurityPolicyDefinedWhatisasecuritypolicy?定义策略组合用于SRX，使其能根据策略来决定zone之间的数据传输WhatshouldIdoifapacketcomesinmatching

CriterionA?JuniperSRX1400产品配置维护手册SecurityPolicyDefinedWhatis25TransitTrafficExaminationSRX设备会根据securitypolicies来判断数据传输的转发

Doesasecuritypolicymatchthetraffic?ApplydefaultpolicynoPacketinApplypolicyactions

yesJuniperSRX1400产品配置维护手册TransitTrafficExaminationSRX26DefaultSecurityPoliciesSystem-defaultsecuritypolicy:denyalltrafficthroughtheSRX-seriesservicesgatewayYoucanchangethedefaultpolicytopermitalltrafficFactory-defaultconfigurationhasthreesecuritypolicies:Trusttotrust:permitallTrusttountrust:permitallUntrusttotrust:denyallX123System-defaultsecurity

policiesbehaviorDenyALLtransit

traffic

Factory-defaultsecurity

policiesbehaviortrustzone

untrust

zoneJuniperSRX1400产品配置维护手册DefaultSecurityPoliciesSyste27PolicyComponentsSummaryfrom-zoneandto-zonecontextMatchingcriteriaMatchingcriteriaActionAction[editsecuritypolicies]from-zonezone-nameto-zonezone-name

{policyname1

{match{source-addressaddress-name1;destination-addressaddress-name1;applicationapplication-name1;}then{<action>;}}policyname2

{match{source-addressaddress-name2;destination-addressaddress-name2;applicationapplication-name2;}then{<action>;}}…}JuniperSRX1400产品配置维护手册PolicyComponentsSummaryfrom-28HighAvailabilityClusteringJuniperSRX1400产品配置维护手册HighAvailabilityClusteringJu29HighAvailabilityCharacteristicsOverviewHAprovides:Active-passivecontrolanddataplaneredundancyStatefulsessionfailover:NATALGIPsecAuthenticationSynchronization:ConfigurationSessionstateChassisclusterJuniperSRX1400产品配置维护手册HighAvailabilityCharacterist30ChassisClusterComponentsOverviewChassisclustercomponents:Clusteredservicesgatewaysaregroupedbya

cluster-ididNodeswithinaclusterareidentifiedbyanode

idRedundancygroupsChassisclusterinterfaces:fxp1fxp0fabrethJuniperSRX1400产品配置维护手册ChassisClusterComponentsOve31cluster-idDetailsSetusingcluster-idid

cluster-idvaluesrangefrom1–15AroutercanbelongtoonlyoneclusteratanygiventimeIfcluster-id=0,HAconfigurationisignoredServicesgatewaywithinaclusterissetbyanodeidChangeincluster-ididandnode

idrequiresservicesgatewayreboot:user@host#setchassisclustercluster-id1node0

warning:ArebootisrequiredforchassisclustertobeenabledJuniperSRX1400产品配置维护手册cluster-idDetailsSetusingcl32node

id

Detailsnode

iduniquelyidentifiestheservicesgatewaywithinaclusterRangesfrom0–1DeterminesoffsetoftheFPCslotvalueintheinterfacenameofaservicesgatewayuser@host>setchassisclustercluster-ididnodeidreboot

Successfullyenabledchassiscluster.Goingtorebootnow...JuniperSRX1400产品配置维护手册nodeidDetailsnodeiduniquel33ChassisClusterInterfaces—rethRedundantinterfacecharacteristics:Anewethernetpseudo-interface,calledrethBundlestwophysicalinterfaces(children),onefromeachmemberoftheclusterMemberinterfacesinheritpropertiesofreth,asconfiguredbytheuserMemberinterfacescanbeineitheractiveorpassivemode,butnotinbothThefailoverpropertiesofthememberinterfacesareinheritedfromtheRG-1configurationrethinterfacehasavirtualMACaddress BasedonclusterandinterfaceIDJuniperSRX1400产品配置维护手册ChassisClusterInterfaces—ret34ChassisClusterInterfaces—fxp0fxp0interfaceUsedforout-of-bandmanagementAllowsaccesstoeachnodeofaclusterItisgoodpracticeforeachnodetohaveauniqueIPaddressforfxp0interfacerequiresgroupsconfigurationJuniperSRX1400产品配置维护手册ChassisClusterInterfaces—fxp35ChassisClusterInterfaces—fxp1fxp1interfaceConfiguredSPCportsusedforchassisclustercontrolplanege-0/0/10andge-0/0/11onSYSIOCJUNOSsoftwareassignsaninternalIPaddresstofxp1TrivialNetworkProtocolrunsontheinterfaceJUNOSsoftwaretransmitsheartbeatsignalstodeterminethehealthofthecontrollink—ifthenumberofmissedheartbeatsreachestheconfiguredthreshold,thesystemfailsoverIffxp1fails,JUNOSsoftwaredisablesthesecondarynodeNodeconfigurationfilesareautomaticallysynchronizedoverfxp1JuniperSRX1400产品配置维护手册ChassisClusterInterfaces—fxp36ChassisClusterInterfaces—fabfabn=2GigabitEthernetor10GigabitEthernet,usedforHAdataplaneFabricinterfaceisformedn

reflectsthenodeIDandstartsfrom0TwonodesofaclustermusthavefabnonthesameLANfabinterfacespecifics:interfacedoesnotsupportfilters,policies,logicalinterfaces,orservicesMemberinterfacesmustbeofthesametypeJumboframesaresupportedFragmentationisnotsupportedJuniperSRX1400产品配置维护手册ChassisClusterInterfaces—fab37ChassisClusterInterfaceSummaryfabnNode0Node1Clusterfxp1fxp0fxp0rethmrethmControlplaneDataplaneManagementManagementRedundantinterfacesa.b.c/24JuniperSRX1400产品配置维护手册ChassisClusterInterfaceSumm38MonitoringClusterStatisticsuser@node0-host>showchassisclusterstatistics

Initialhold:10

RethInformation:rethstatusredundancy-groupreth0downnotconfiguredreth1up1ServicesSynchronized:Service-nameRtos-sentRtos-receivedTranslationContext00IncomingNAT00ResourceManager50Session-create00Session-close00Session-change00Gate-create00Session-Ageout-refresh-request00Session-Ageout-refresh-reply00VPN00FirewallUserAuthentication00MGCPAlg00...InterfaceMonitoring:InterfaceWeightStatusRedundancy-groupge-12/0/0100up1ge-0/0/0100up1chassis-clusterinterfaces:Controllink:up6606heartbeatssent13729heartbeatsreceived1200msinterval5thresholdchassis-clusterinterfaces:Fabriclink:up15505heartbeatpacketssentonfabric-linkinterface13728heartbeatpacketsreceivedonfabric-linkinterfaceJuniperSRX1400产品配置维护手册MonitoringClusterStatisticsu39ManualFailoveruser@node0-host>showchassisclusterstatusredundancy-group1

Cluster:1,Redundancy-Group:1DevicenamePriorityStatusPreemptManualfailovernode0200PrimaryNoNonode1100SecondaryNoNo

user@node0-host>requestchassisclusterfailoverredundancy-group1node1node1:Initiatedmanualfailoverforredundancygroup1user@node0-host>showchassisclusterstatusredundancy-group1

Cluster:1,Redundancy-Group:1DevicenamePriorityStatusPreemptManualfailovernode0200SecondaryNoYesnode1255PrimaryNoYesVerifystatus:Initiatefailover:JuniperSRX1400产品配置维护手册ManualFailoveruser@node0-host40

目录一、SRX1400产品介绍二、JUNOS基本命令介绍三、SRX1400配置介绍及演示四、SRX1400日常维护JuniperSRX1400产品配置维护手册

目41使用故障检查资源冷却系统故障检查日常性能检查应急预案JuniperSRX1400产品配置维护手册使用故障检查资源JuniperSRX1400产品配置维护手册42

CLI命令行

使用故障检查资源

对于SRX的硬件、软件、路由协议、网络连接性的控制和故障检查、，JUNOS的CLI命令行是主要的使用工具。CLI命令行可以显示路由表信息，路由协议的信息，使用ping和traceroute工具体现的网络连接信息。可以通过连接路由引擎上的CONSOLE、ETHERNET、AUX口进入CLI命令行接口。关于使用CLI显示端口和机箱产生的告警信息，请参阅“硬件和端口告警信息”。JuniperSRX1400产品配置维护手册

CLI命令行

使用故障检查资源

JuniperS43

LED下面描述的LED位于各个组件上，用于显示各个组件的状态。CraftInterfaceLED：SRX1400前面板由一个Craft面板指示系统状态，Craft面板上包括路由引擎状态指示灯，电源状态指示灯，风扇状态指示灯和告警指示灯等等ComponentLED：SRX1400的各个系统组件还有自己单独的状态指示灯，比如IOC上的每个端口都有一个LED指示端口状态

使用故障检查资源

JuniperSRX1400产品配置维护手册

LED

使用故障检查资源

JuniperSRX144

硬件和端口告警信息当路由引擎检测到一个告警的时候，会将前面板上相应的红色或者黄色的告警LED点亮。可以在命令行中使用showchassisalarms显示详细的告警描述。uer@host>showchassisalarms这里将描述两类告警消息：机箱告警（Chassisalarms）——指示机箱组件的告警信息，例如冷却系统或者电源系统，详情请查阅下面的表格。端口告警（Interfacealarms）——指示某个端口的问题，详情请查阅下面的表格。下面的两个表格中的信息为使用命令showchassisalarms输出的结果。表格3‑6：机箱告警消息

使用故障检查资源JuniperSRX1400产品配置维护手册

硬件和端口告警信息

使用故障检查资源Junipe45冷却系统故障检查冷却系统故障检查冷却系统包含安装在机箱侧面的风扇盘来保证SRX工作在一个可以接受的温度环境下。要检查风扇盘，执行下面的步骤：通过CLI命令行检查电源模块状态。通过下面的命令，观察输出的Status域的状态：root@FW02>showchassisenvironmentClassItemStatusMeasurementFansLeftFan1OKSpinningatnormalspeedLeftFan2OKSpinningatnormalspeedLeftFan3OKSpinningatnormalspeedLeftFan4OKSpinningatnormalspeed...如果有风扇盘发生故障，可以通过观察判断出哪一个风扇除了问题。然后再处理。JuniperSRX1400产品配置维护手册冷却系统故障检查冷却系统故障检查JuniperSRX140046日常性能检查

监控RECPU利用率SRX1400的路由引擎主要工作是维护路由协议和路由表root@FW02>showchassisrouting-engineroot@FW02>showchassisrouting-enginenode0:RoutingEnginestatus:Slot0:CurrentstateMasterElectionpriorityMaster(default)DRAM1023MBMemoryutilization29percentCPUutilization:User2percentBackground0percentKernel8percentInterrupt2percentIdle88percentModelRE-SRX1400Starttime2010-01-1922:15:50CSTUptime7days,16hours,45minutes,20secondsLastrebootreason0x1:powercycle/failureLoadaverages:1minute5minute15minute0.010.050.07JuniperSRX1400产品配置维护手册日常性能检查

监控RECPU利用率SRX1400的路由引47

日常性能检查

监控SPU利用率由于SRX1400的会话查找，维护都是SPC负责的，因此需要监控SPC板卡的利用率。正常工作状态下，SPC的CPU利用率应该在60%以下，如出现CPU利用率过高情况需给予足够重视，应检查Session使用情况和各类告警信息，并检查网络中是否存在攻击流量。SRX防火墙对内存采用“预分配”机制，空载时内存使用率为约50-70%，随着流量不断增长，内存的使用率应基本保持稳定。如果出现内存使用率高达90％时，则需检查网络中是否存在攻击流量。root@FW02>showsecuritymonitoringfpc6#”6”是SPC所在的槽位编号node0:FPC6PIC0CPUutilization:13%（SPC的CPU利用率）Memoryutilization:64%（SPC的内存利用率）Currentflowsession:73155Maxflowsession:524288CurrentCPsession:461767MaxCPsession:2359296node1:JuniperSRX1400产品配置维护手册

日常性能检查

监控SPU利用率由于SRX1400的会话查48日常性能检查

监控并发会话数root@FW02>showsecuritymonitoringfpc6#”6”是SPC所在的槽位编号root@FW02>showsecuritymonitoringfpc6node0:FPC6PIC0CPUutilization:13%Memoryutilization:64%Currentflowsession:73155Maxflowsession:524288CurrentCPsession:461767

（当前并发为461767）MaxCPsession:2359296JuniperSRX1400产品配置维护手册日常性能检查

监控并发会话数root@FW02>show49日常性能检查

监控双机状态正常情况（优先级为1-255，数值高则优先级高）root@FW02>showchassisclusterstatusClusterID:1NodePriorityStatusPreemptManualfailoverRedundancygroup:0,Failovercount:3node0254primarynoyesnode1100secondarynoyesRedundancygroup:1,Failovercount:3node0254primarynononode1100secondarynonoJuniperSRX1400产品配置维护手册日常性能检查

监控双机状态正常情况（优先级为1-255，数值50日常性能检查

切换双机状态方法一：CLI方式root@FW02>requestchassisclusterfailovernode1redundancy-group1(将nod1变为group1的主机)root@FW02>requestchassisclusterfailoverresetredundancy-group1（将nod1的优先级恢复为254）方法二：物理方式，直接拔线JuniperSRX1400产品配置维护手册日常性能检查

切换双机状态方法一：CLI方式Junipe51日常性能检查

防火墙的debug（用于判断防火墙内部对数据包的处理过程）root@SRX1400#setsecurityflowtraceoptionsfileflow-trace(定义抓报文件名，此处为flow-trace)root@SRX1400#setsecurityflowtraceoptionsflagbasic-datapath(定义只捕获设备处理flow的信息)root@SRX1400#setsecurityflowtraceoptionspacket-filterdebugsource-prefix/32destination-prefix/32

(定义需要捕获报文的条件)root@SRX1400#commit(注意所有配置都需要commit)root@SRX1400#runmonitorstartflow-trace(启动该debug功能)(发送测试报文)root@SRX1400#runmonitorstopflow-tace(停止debug功能)root@SRX1400#runshowlogflow-trace(查看捕获报文的信息)JuniperSRX1400产品配置维护手册日常性能检查

防火墙的debugJuniperSRX140052应急处理当网络出现故障时，应迅速检查防火墙状态并判断是否存在攻击流量，定位故障是否与防火墙有关。如果故障与防火墙有关，可在防火墙上打开debug功能跟踪包处理过程，检验策略配置是否存在问题。一旦定位防火墙故障，可通过命令进行双机切换。在故障明确定位前建议不要关闭或重起防火墙。1、检查设备运行状态网络出现故障时，应快速判断防火墙设备运行状态，通过Console口登陆到防火墙上，快速查看CPU、Memory、Session、Interface以及告警信息，初步排除防火墙硬件故障并判断是否存在攻击行为。2、2、跟踪防火墙对数据包处理情况如果出现部分网络无法正常访问，顺序检查接口状态、路由和策略配置是否有误，在确认上述配置无误后，通过debug命令检查防火墙对特定网段数据报处理情况。部分地址无法通过防火墙往往与策略配置有关。（debug命令见常见故障诊断命令）3、检查是否存在攻击流量通过查看告警信息确认是否有异常信息，同时在上行交换机中通过端口镜像捕获进出网络的数据包，据此确认异常流量和攻击类型，并在Screen选项中启用对应防护措施来屏蔽攻击流量。4、检查双机工作状态使用showchassisclusterstatus命令检查jsrp集群工作状态，如jsrp状态出现异常或发生切换，需进一步确认引起切换的原因，引起jsrp切换原因通常为链路故障，交换机端口故障，设备断电或重启。设备运行时务请不要断开HA心跳线缆。防火墙发生故障时处理方法如果出现以下情况可初步判断防火墙存在故障：无法使用console口登陆防火墙，防火墙反复启动、接口状态始终为Down、无法进行配置调整等现象。为快速恢复业务，可通过调整上下行设备路由指向，快速将防火墙旁路，同时联系供应商进行故障诊断。JuniperSRX1400产品配置维护手册应急处理当网络出现故障时，应迅速检查防火墙状态并判断是否存在53故障需收集的基本信息A、requestsupportinformationB、收集log信息：showlogjsrpdJuniperSRX1400产品配置维护手册故障需收集的基本信息JuniperSRX1400产品配置维护54演讲完毕，谢谢听讲!再见，seeyouagain2022/12/19JuniperSRX1400产品配置维护手册演讲完毕，谢谢听讲!再见，seeyouagain202255Juniper_SRX1400_产品配置维护手册2022/12/19JuniperSRX1400产品配置维护手册Juniper_SRX1400_产品配置维护手册2022/156

目录一、SRX1400产品介绍二、JUNOS基本命令介绍三、SRX1400配置介绍及演示四、SRX1400日常维护JuniperSRX1400产品配置维护手册

目57

目录一、SRX1400产品介绍二、JUNOS基本命令介绍三、SRX1400配置介绍及演示四、SRX1400日常维护JuniperSRX1400产品配置维护手册

目58SRX1400机箱式设计(3U)4个插槽最大1块IOC;1块NSPC;1块RE;1块SYSIOC(GEorXGE)固定接口(SYSIOC)GE型号6-10/100/1000,6SFPXGE型号6-10/100/1000,3SFP,3SFP+模块化接口16-10/100/1000;16-SFP;2-XFP多核架构2电源冗余(1+1)性能防火墙吞吐率(大包)–10Gbps并发连接数–1.5Million*最少需配1NSPC或1SPC+1NPCJuniperSRX1400产品配置维护手册SRX1400机箱式设计(3U)*最少需配1NSPC或159SRX1400CardsNetworkProcessingCard(NPC)SingleNetworkProcessor(NP)subsystem-10GigthroughputServicesProcessingCard(SPC)SingleHD-CPUsubsystem/10GigthroughputNetworkServicesProcessingCard(NSPC)1GHz,4GBmemory/CPU/10GigthroughputRoutingEngine(RE)1.2Ghzprocessor/w1GBmemoryCompleteseparationofcontrol/dataplanesIncludesCPP(centralPFEcontroller)andCB(controlboard)I/OCards(IOC)3versionsatFRS:2-port10GE-XFP(SR,LR,ER)16-portGE-SFP(SX,LX,LH,T)16-port10/100/1000Copper10Gigfull-duplexthroughput(oversubscribed)JuniperSRX1400产品配置维护手册SRX1400CardsJuniperSRX1400产品60

目录一、SRX1400产品介绍二、JUNOS基本命令介绍(演示)三、SRX1400配置介绍及演示四、SRX1400组网讨论JuniperSRX1400产品配置维护手册

目61内容JUNOS基础知识基本命令介绍基本配置JuniperSRX1400产品配置维护手册内容JUNOS基础知识JuniperSRX1400产品配置维62操作模式shell模式$用户模式>配置模式#cli/exitstartshellconfigure/editexitJuniperSRX1400产品配置维护手册操作模式shell模式$用户模式>配置模式#cli/exit63配置模式配置模式提示符号是“#“

在>模式下键入config进入配置模式#提示符还由用户名和主机名共同组成如:user@host#JuniperSRX1400产品配置维护手册配置模式JuniperSRX1400产品配置维护手册64配置模式你编辑的配置文件叫candidate配置文件配置修改不是马上生效，必须通过commit命令提交之后才生效commit提交之后,candidate配置变成active配置文件，然后新的candidate会被再次创建JuniperSRX1400产品配置维护手册配置模式你编辑的配置文件叫candidate配置文件Jun65基本命令-show使用show命令来查看candidate配置文件在哪一层就显示哪一层的配置在最外层就显示所有配置可以在最外层直接指定需要显示的层次#showsystem#showinterfaces#showinterfacesfxp1#showrouting-options#showprotocolsJuniperSRX1400产品配置维护手册基本命令-show使用show命令来查看candidat66set命令使用set增加或者改变配置set参数有些是增加，有些是覆盖#setsystemhost-nameDenver覆盖#setinterfacefxp0unit0familyinetaddress/24增加#setrouting-optionsrouter-id覆盖set用法有两种：(1)一种是用edit进入参数层进行修改(2)一种是在最外层直接写完所有层次参数如下面的例子：JuniperSRX1400产品配置维护手册set命令使用set增加或者改变配置JuniperS67set命令方法一：ab@SRX#editsystem[editsystem]lab@SRX#editlogin[editsystemlogin]lab@SRX#edituserlab[editsystemloginuserlab]lab@SRX#setuid2002[editsystemloginuserlab]lab@SRX#方法一配置繁琐，但是简单明了不容易出错，适合入门者使用方法二：setsystemloginuserlabuid2002方法二操作简单，命令输入量少，并且可以直接粘贴，适合熟练者使用JuniperSRX1400产品配置维护手册set命令方法一：JuniperSRX1400产品配68基本命令-commit使用commit命令来使修改后的内容生效commit-检查配置语法并且激活修改后的内容commitcheck-仅仅进行语法检查，不真正激活配置commitand-quit–如果提交成功就退出commitconfirmed–nextpage…

JuniperSRX1400产品配置维护手册基本命令-commit使用commit命令来使修改后的内69基本命令-rollback使用rollback命令来恢复commit以前的配置rollback只是将配置恢复到Candidat配置erollback或者rollback0恢复上次commit之前的配置rollback1上两次commit之前的配置总共可以恢复49份配置，rollback后面可以0-49rollback?可以显示每次commit的时间，确定恢复那份配置runfileshow/config/juniper.conf.n.gzn为1-3，可以查看需要恢复配置的内容，对应于rollback1-3runfileshow/config/juniper.conf.gz对应rollback0runfileshow/var/db/config/juniper.conf.n.gzn为4-49，可以查看需要恢复配置的内容，对应于rollback4-49JuniperSRX1400产品配置维护手册基本命令-rollback使用rollback命令来恢复70配置文件比较ShowdifferencesbetweencandidateconfigurationfileandActiveconfiguration“Rollback”configurationAnysavedconfigurationfile#show|comparerollbacknumber#show|comparefilenameConfigurationmodeonlyLikeUnixdiffJuniperSRX1400产品配置维护手册配置文件比较Showdifferencesbetween71加载配置文件ConfigurationinformationcancomefromanASCIIfilepreparedofflineSyntaxload(replace|merge|override)filename只改变candidate配置需要commit来生效UsetheloadcommandtoOverride覆盖已经存在的配置要覆盖整个配置，使用override选项merge新的配置语句合并到已经存在的配置文件中replace用新的配置替代已经存在的配置JuniperSRX1400产品配置维护手册加载配置文件Configurationinformatio72JUNOSSoftwareVersion?CLIcommandstodisplayinstalledpackagesshowversionJuniperSRX1400产品配置维护手册JUNOSSoftwareVersion?CLIcom73

目录一、SRX1400产品介绍二、JUNOS基本命令介绍三、SRX1400配置介绍及演示Zone

SecurityPolicies

NetworkAddressTranslationHighAvailabilityClustering

四、SRX1400日常维护JuniperSRX1400产品配置维护手册

目74ZonesJuniperSRX1400产品配置维护手册ZonesJuniperSRX1400产品配置维护手册75JuniperNetworksDeviceRoutingInstance1RoutingInstance2RoutingInstanceF.T.F.T.ForwardingTableZoneAZoneBZoneCZoneDZonesInterfacesInterfaces、zones、routinginstances之间的关系示意图JuniperSRX1400产品配置维护手册JuniperNetworksDeviceRouting76ZoneTypesZoneTypesUser-Defined

(canbeconfigured)System-Defined

(cannotbeconfigured)SecurityFunctionaljunos-globalNullJuniperSRX1400产品配置维护手册ZoneTypesZoneTypesUser-Defin77ZoneConfigurationProcedureSteps:DefineasecurityorafunctionalzoneAddlogicalinterfacestothezoneOptionally,addservicesandprotocolsthatmustbepermittedintotheservicesgatewaythroughtheinterfacebelongingtothezoneIfthisstepisomitted,notrafficdestinedfortheservicesgatewayispermittedJuniperSRX1400产品配置维护手册ZoneConfigurationProcedureSt78SecurityPoliciesJuniperSRX1400产品配置维护手册SecurityPoliciesJuniperSRX14079SecurityPolicyDefinedWhatisasecuritypolicy?定义策略组合用于SRX，使其能根据策略来决定zone之间的数据传输WhatshouldIdoifapacketcomesinmatching

CriterionA?JuniperSRX1400产品配置维护手册SecurityPolicyDefinedWhatis80TransitTrafficExaminationSRX设备会根据securitypolicies来判断数据传输的转发

Doesasecuritypolicymatchthetraffic?ApplydefaultpolicynoPacketinApplypolicyactions

yesJuniperSRX1400产品配置维护手册TransitTrafficExaminationSRX81DefaultSecurityPoliciesSystem-defaultsecuritypolicy:denyalltrafficthroughtheSRX-seriesservicesgatewayYoucanchangethedefaultpolicytopermitalltrafficFactory-defaultconfigurationhasthreesecuritypolicies:Trusttotrust:permitallTrusttountrust:permitallUntrusttotrust:denyallX123System-defaultsecurity

policiesbehaviorDenyALLtransit

traffic

Factory-defaultsecurity

policiesbehaviortrustzone

untrust

zoneJuniperSRX1400产品配置维护手册DefaultSecurityPoliciesSyste82PolicyComponentsSummaryfrom-zoneandto-zonecontextMatchingcriteriaMatchingcriteriaActionAction[editsecuritypolicies]from-zonezone-nameto-zonezone