JuniperSRX防火墙配置管理手册

年4月19日JuniperSRX防火墙配置管理手册文档仅供参考JuniperSRX系列防火墙配置管理手册目录一、JUNOS操作系统介绍 31.1层次化配置结构 31.2JunOS配置管理 41.3SRX主要配置内容 4二、SRX防火墙配置操作举例说明 52.1初始安装 52.1.1设备登陆 52.1.2设备恢复出厂介绍 52.1.3设置root用户口令 52.1.4设置远程登陆管理用户 62.1.5远程管理SRX相关配置 62.2配置操作实验拓扑 72.3策略相关配置说明 72.3.1策略地址对象定义 82.3.2策略服务对象定义 82.3.3策略时间调度对象定义 82.3.4添加策略配置举例 92.3.5策略删除 102.3.6调整策略顺序 102.3.7策略失效与激活 102.4地址转换 102.4.1InterfacebasedNAT基于接口的源地址转换 112.4.2PoolbasedSourceNAT基于地址池的源地址转换 122.4.3PoolbasedestinationNAT基于地址池的目标地址转换 122.4.4PoolbaseStaticNAT基于地址池的静态地址转换 132.5路由协议配置 14静态路由配置 14OSPF配置 15交换机Firewall限制功能 22限制IP地 22限制MAC地址 22三、SRX防火墙常规操作与维护 233.2 设备关机 233.3 设备重启 233.4 操作系统升级 243.5 密码恢复 243.6 常见监控维护命令 25JuniperSRXBranch系列防火墙配置管理手册说明SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。当前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置，以便于大家能够快速部署和维护SRX防火墙，文档介绍JUNOS操作系统，并参考ScreenOS配置介绍SRX防火墙配置方法，最后对SRX防火墙常规操作与维护做简要说明。鉴于SRX系列防火墙低端<Branch>系列与高端3K、5K系列在功能配置与包处理流程有所差异,本人主要以低端系列功能配置介绍为主,Branch系列型号当前包含：SRX100\210\240\650将来会有新的产品加入到Branch家族,请随时关注官方网站动态，配置大同小异。一、JUNOS操作系统介绍1.1层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。JUNOSCLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并经过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unixcd命令）,SRXit命令退回上一级，top命令回到根级。1.2JunOS配置管理JUNOS经过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（CandidateConfig）等待管理员提交确认，管理员经过输入commit命令来提交配置，配置内容在经过SRX语法检查后才会生效，一旦commit经过后当前配置即成为有效配置（Activeconfig）。另外，JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commitconfirmed2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交，否则2分钟后配置将自动回退，这样能够避免远程配置变更时管理员失去对SRX的远程连接风险。在执行commit命令前可经过配置模式下show命令查看当前候选配置（CandidateConfig），在执行commit后配置模式下可经过runshowconfig命令查看当前有效配置（Activeconfig）。另外可经过执行show|compare比对候选配置和有效配置的差异。SRX上由于配备大容量存储器，缺省按先后commit顺序自动保存50份有效配置，并可经过执行rolback和commit命令返回到以前配置（如rollback0/commit可返回到前一commit配置）；也能够直接经过执行saveconfigname.conf手动保存当前配置，并执行loadoverrideconfigname.conf/commit调用前期手动保存的配置。执行loadfactory-default/commit命令可恢复到出厂缺省配置。SRX可对模块化配置进行功能关闭与激活，如执行deactivatesecuritynat/comit命令可使NAT相关配置不生效，并可经过执行activatesecuritynat/commit使NAT配置再次生效。SRX经过set语句来配置防火墙，经过delete语句来删除配置，如deletesecuritynat和editsecuritynat/delete一样，均可删除security防火墙层级下所有NAT相关配置，删除配置和ScreenOS不同，配置过程中需加以留意。1.3SRX主要配置内容部署SRX防火墙主要有以下几个方面需要进行配置：System：主要是系统级内容配置，如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务（如telnet）等内容。Interface:接口相关配置内容。Security:是SRX防火墙的主要配置内容，安全相关部分内容全部在Security层级下完成配置，如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp、UTM等，可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下，除了Application自定义服务。Application：自定义服务单独在此进行配置，配置内容与ScreenOS基本一致。routing-options：配置静态路由或router-id等系统全局路由属性配置。二、SRX防火墙配置操作举例说明2.1初始安装2.1.1设备登陆Console口(通用超级终端缺省配置)连接SRX，root用户登陆，密码为空<初始第一次登陆>login:rootPassword:JUNOS9.5R1.8built-07-1615:04:30UTCroot%cli/***进入操作模式***/root>root>configureEnteringconfigurationmode/***进入配置模式***/[edit]Root#2.1.2设备恢复出厂介绍首先根据上述操作进入到配置模式,执行下列命令：root#loadfactory-defaultwarning:activatingfactoryconfiguration/***系统激活出厂配置***/恢复出厂后,必须马上设置ROOT帐号密码<默认密码至少6位数：字母加数字>root#setsystemroot-authenticationplain-tSRXt-passwordNewpassword:当设置完ROOT帐号密码以后,进行保存激活配置root#commitcommitcomplete在此需要提醒配置操作员注意，系统恢复出厂后并不代表没有任何配置,系统缺省配置有Screen\DHCP\Policy等相关配置,你如果需要完整的删除,能够执行命令delete删除相关配置。经过show来查看系统是否还有遗留不需要的配置,能够一一进行删除,直到符合你的要求,然后再重新根据实际需求进行配置。2.1.3设置root用户口令设置root用户口令root#setsystemroot-authenticationplain-tSRXt-passwordroot#newpassword:root123 root#retypenewpassword:root123密码将以密文方式显示root#showsystemroot-authenticationencrypted-password"$1$xavDeUe6$fNM6olGU.8.M7B62u05D6.";#SECRET-DATA注意：强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式)，此配置参数要求输入的口令是经加密算法加密后的字符串，采用这种加密方式手工输入时存在密码无法经过验证风险。注：root用户仅用于console连接本地管理SRX，不能经过远程登陆管理SRX，必须成功设置root口令后，才能执行commit提交后续配置命令。2.1.4设置远程登陆管理用户root#setsystemloginuserlabclasssuper-userauthenticationplain-tSRXt-passwordroot#newpassword:lab123 root#retypenewpassword:lab123注：此lab用户拥有超级管理员权限，可用于console和远程管理访问，另也可自行灵活定义其它不同管理权限用户。2.1.5远程管理SRX相关配置runsetdateYYYYMMDDhhmm.ss/***设置系统时钟***/setsystemtime-zoneAsia/Shanghai/***设置时区为上海***/setsystemhost-nameSRX-650-1/***设置主机名***/setsystemname-server/***设置DNS服务器***/setsystemservicesftpsetsystemservicestelnetsetsystemservicesweb-managementhttp/***在系统级开启ftp/telnet/http远程接入管理服务***/setinterfacesge-0/0/0.0familyinetaddress/24或setinterfacesge-0/0/0unit0familyinetaddress/24setinterfacesge-0/0/1unit0familyinetaddress/24setrouting-optionsstaticroute/0nSRXt-hop/***配置逻辑接口地址及缺省路由，SRX接口要求IP地址必须配置在逻辑接口下（类似ScreenOS的子接口），一般使用逻辑接口0即可***/setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/0.0/***将ge-0/0/0.0接口放到安全区域中，类似ScreenOS***/setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicespingsetsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-serviceshttpsetsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicestelnet/***在untrustzone打开允许远程登陆管理服务，ScreenOS要求基于接口开放服务，SRX要求基于Zone开放，从SRX主动访问出去流量开启服务，类似ScreenOS***/本次实验拓扑中使用的设备的版本如下：SRX100-HM系统版本与J-WEB版本均为：10.1.R2.8SSG防火墙版本为6.1.0R7测试客户端包含WINDOWS7\XP2.2配置操作实验拓扑2.3策略相关配置说明安全设备的缺省行为是拒绝安全区段之间的所有信息流(区段之间信息流)允许绑定到同一区段的接口间的所有信息流(区段内部信息流)。为了允许选定的区段之间信息流经过安全设备，必须创立覆盖缺省行为的区段之间策略。同样，为了防止选定的区段内部信息流经过安全设备，必须创立区段内部策略。基本元素允许、拒绝或设置两点间指定类型单向信息流通道的策略。信息流(或“服务”)的类型、两端点的位置以及调用的动作构成了策略的基本元素。尽管能够有其它组件，可是共同构成策略核心部分的必要元素如下:策略名称-两个安全区段间(从源区段到目的区段)间信息流的方向/***必须配置***/源地址-信息流发起的地址/***必须配置***/目标地址-信息流发送到的地址/***必须配置***/服务-信息流传输的类型/***必须配置***/动作-安全设备接收到满足头四个标准的信息流时执行的动作/***必须配置***/这些动作为:deny、permit、reject或tunnel注意tunnel、firewall-authentication、application-services<IDP\UAC\WX\UTM策略>在permit下一级,如下：root#setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicyt-uthenpermit?>Firewall-authentication>tunnel另外还包括其它的策略元素,比如记录日志、流量统计、时间调度对象等三种类型的策略可经过以下三种策略控制信息流的流动:经过创立区段之间策略，能够管理允许从一个安全区段到另一个安全区段的信息流的种类。经过创立区段内部策略，也能够控制允许经过绑定到同一区段的接口间的信息流的类型。经过创立全局策略，能够管理地址间的信息流，而不考虑它们的安全区段。2.3.1策略地址对象定义SRX服务网关地址对象需要自定义后才能够在策略中进行引用,默认只有any对象自定义单个地址对象如下：root#setsecurityzonessecurity-zonetrustaddress-bookaddresspc-100/32root#setsecurityzonessecurity-zonetrustaddress-bookaddresspc-210/32自定义单个地址组对象如下：setsecurityzonessecurity-zonetrustaddress-bookaddress-setpc-groupaddresspc-1setsecurityzonessecurity-zonetrustaddress-bookaddress-setpc-groupaddresspc-22.3.2策略服务对象定义SRX服务网关部分服务对象需要自定义后才能够在策略中进行引用,默认仅有预定义常见服务对象自定义单个服务对象如下：setapplicationsapplicationtcp-3389protocoltcp定义服务对象协议<TCP\UDP\ICMP\OTHER>setapplicationsapplicationtcp-3389source-port1-65535定义服务对象源端口setapplicationsapplicationtcp-3389destination-port3389-3389定义服务对象目标地址setapplicationsapplicationtcp-3389inactivity-timeoutnever可选定义服务对象timeout时长setapplicationsapplicationtcp-8080protocoltcpsetapplicationsapplicationtcp-8080source-port1-65535setapplicationsapplicationtcp-8080destination-port8080-8080setapplicationsapplicationtcp-8080inactivity-timeout3600自定义单个服务组对象如下：setapplicationsapplication-setaaplications-groupapplicationtcp-8080setapplicationsapplication-setaaplications-groupapplicationtcp-33892.3.3策略时间调度对象定义SRX服务网关时间调度对象需要自定义后才能够在策略中进行引用,默认没有预定义时间调度对象自定义单个时间调度对象如下：setschedulersschedulerwork-timedailystart-time09:00:00stop-time18:00:00setschedulersschedulerhappy-timesundaystart-time00:00:00stop-time23:59:59setschedulersschedulerhappy-timesaturdaystart-time00:00:00stop-time23:59:59注意：时间调度服务生效参考设备系统时间,因此需要关注设备系统时间是否正常。2.3.4添加策略配置举例Policy配置方法与ScreenOS基本一致，仅在配置命令上有所区别，其中策略的允许/拒绝的动作（Action）需要额外配置一条then语句(将ScreenOS的一条策略分解成两条及以上配置语句)。Policy需要手动配置policyname，policyname能够是字符串，也能够是数字（与ScreenOS的policyID类似,只不过需要手工指定）。首先需要注意系统缺省策略配置：root#showsecuritypoliciesdefault-policy查看当前系统缺省策略动作root#setsecuritypoliciesdefault-policy?设置系统缺省策略动作Possiblecompletions:deny-allDenyalltrafficifnopolicymatchpermit-allPermitalltrafficifnopolicymatch根据实验拓扑进行策略配置举例说明setsecurityzonessecurity-zonetrustaddress-bookaddresspc100/32setsecurityzonessecurity-zoneuntrustaddress-bookaddressserver100/32/***与ScreenOS一样，在trust和untrustzone下分别定义地址对象便于策略调用，地址对象的名称能够是地址/掩码形式***/setsecurityzonessecurity-zonetrustaddress-bookaddress-setaddr-group1addresspc1/***在trustzone下定义名称为add-group1的地址组，并将pc1地址放到该地址组中***/Setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001matchsource-addressaddr-group1destination-addressserver1applicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001thenpermit/***定义从trust到untrust方向permit策略，允许addr-group1组的源地址访问server1地址any服务***/setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001thenlogsession-initsetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001thenlogsession-closesetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001thencount<可选配置>/***定义从trust到untrust方向策略，针对当前策略记录日志并统计策略流量root#setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001scheduler-namehappy-timeroot#setsecuritypoliciesfrom-zonetrustto-zonedmzpolicy001scheduler-namework-time<可选配置>/***定义当前策略，引用时间调度对象，符合时间条件策略生效，否则策略将处于非工作状态root#setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicyt-uthenpermitapplication-services?Possiblecompletions:+apply-groupsGroupsfromwhichtoinheritconfigurationdata+apply-groups-SRXceptDon'tinheritconfigurationdatafromthesegroupsgprs-gtp-profileSpecifyGPRSTunnelingProtocolprofilenameidpIntrusiondetectionandpreventionredirect-wxSetWXredirectionreverse-redirect-wxSetWXreverseredirectionuac-policyEnableunifiedaccesscontrolenforcementofpolicyutm-policySpecifyutmpolicyname[edit]<可选配置>/***定义当前策略，选择是否客气IDP\UAC\UTM等操作,如果针对策略开启相应的检查，请先定义好相应的功能。2.3.5策略删除删除SRX防火墙策略命令，在JUNOS系统中删除全部都使用delete命令，因此删除策略的命令如下：srx3400@root#deletesecuritypoliciesfromtrusttountrustpolicy1/***删除从trust到untrust策略ID为1的策略***/命令如下：srx3400@root#deletesecuritypoliciesfromzone-nametozone-namepolicypolicy-idZone-name:表示自定义或者预定义的zone名字。例如：trust、untrust、dmz等Policy-id：表示策略的ID号，例如：1、2、3、4、n。注意：如果不加策略ID将表示删除从From-zone到TOzone的全部策略2.3.6调整策略顺序SRX防火墙的策略执行顺序是自上而下，逐一检查进行匹配。新添加的策略将排列在策略的最后一个，默认策略是全部阻止，因此如果前面有模糊匹配的策略，精确匹配策略将不再执行，因此需要调整策略顺序。命令如下：(1)srx3400@root#insertsecuritypoliciesfromtrusttountrustpolicy1beforepolicy2/***将从trust区域到untrust区域的策略1插入到策略2的前面***/(2)srx3400@root#insertsecuritypoliciesfromtrusttountrustpolicy1afterpolicy2/***将从trust区域到untrust区域的策略1插入到策略2的后面***/命令格式：srx3400@root#insertsecuritypoliciesfromzone-nametozone-namepolicypolicy-idbeforepolicypolicy-idsrx3400@root#insertsecuritypoliciesfromzone-nametozone-namepolicypolicy-idafterpolicypolicy-id2.3.7策略失效与激活在SRX防火墙中准备暂停某条策略，等待测试结束后再激活启用，使用如下命令进行设置命令如下：策略失效(1)srx3400@root#deactivesecuritypoliciesfromtrusttountrustpolicy1/***将从trust区域到untrust区域的策略1暂时停用***/策略激活（2）srx3400@root#activesecuritypoliciesfromtrusttountrustpolicy1/***将从trust区域到untrust区域的策略1激活***/激活和失效配置完成后都要进行commit操作。命令如下：srx3400@root#commit2.4地址转换SRXNAT较ScreenOS在功能实现方面基本保持一致，但在功能配置上有较大区别，配置的主要差异在于ScreenOS的NAT与policy是绑定的，无论是MIP/VIP/DIP还是基于策略的NAT，在policy中均要体现出NAT内容（除了缺省基于untrust接口的Souec-NAT模式外），而SRX的NAT则作为网络层面基础内容进行独立配置（独立定义地址映射的方向、映射关系及地址范围），Policy中不再包含NAT相关配置信息，这样的好处是易于理解、简化运维，当网络拓朴和NAT映射关系发生改变时，无需调整Policy配置内容。SRXNAT和Policy执行先后顺序为：目的地址转换－目的地址路由查找－执行策略检查－源地址转换，结合这个执行顺序，在配置Policy时需注意：Policy中源地址应是转换前的源地址，而目的地址应该是转换后的目的地址，换句话说，Policy中的源和目的地址应该是源和目的两端的真实IP地址，这一点和ScreenOS存在区别，需要加以注意。SRX中不再使用MIP/VIP/DIP这些概念，其中MIP被Static静态地址转换取代，两者在功能上完全一致；DIP被SourceNAT取代；基于Policy的目的地址转换及VIP被DestinationNAT取代。ScreenOS中基于Untrustzone接口的源地址转换被保留下来，但在SRX中不再是缺省模式（SRX中TrustZone接口没有NAT模式概念），需要手工配置。类似ScreenOS，Static属于双向NAT，其它类型均属于单向NAT。另外，SRX还多了一个proxy-arp概念，如果定义的IPPool（可用于源或目的地址转换）需配置SRX对这个Pool内的地址提供ARP代理功能，这样对端设备能够解析到IPPool地址的MAC地址（使用接口MAC地址响应对方），以便于返回报文能够送达SRX。下面是配置举例及相关说明：2.4.1InterfacebasedNAT基于接口的源地址转换图片仅供参考,下列配置参考实验拓扑NAT配置：setsecuritynatsourcerule-set1fromzonetrust指定源区域setsecuritynatsourcerule-set1tozoneuntrust指定目标区域setsecuritynatsourcerule-set1rulerule1matchsource-address/0destination-address/0指定源和目标匹配的地址或者地址段,0.0.0./0代表所有setsecuritynatsourcerule-set1rulerule1thensource-natinterface指定经过接口IP进行源翻译上述配置定义NAT源地址映射规则，从TrustZone访问UntrustZone的所有流量用UntrustZone接口IP做源地址转换。Policy配置:setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchsource-addresspc-1setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchdestination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchapplicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1thenpermit上述配置定义Policy策略，允许Trustzone地址访问Untrust方向任何地址，根据前面的NAT配置，SRX在建立session时自动执行接口源地址转换。2.4.2PoolbasedSourceNAT基于地址池的源地址转换图片仅供参考,下列配置参考实验拓扑NAT配置：setsecuritynatsourcepoolpool-1address0to50setsecuritynatsourcerule-set1fromzonetrustsetsecuritynatsourcerule-set1tozoneuntrustsetsecuritynatsourcerule-set1rulerule1matchsource-address/0destination-address/0setsecuritynatsourcerule-set1rulerule1thensource-natpoolpool-1setsecuritynatproxy-arpinterfacege-0/0/0address0to50上述配置表示从trust方向（any）到untrust方向(any)访问时提供源地址转换，源地址池为pool1(0-50)，同时fe-0/0/0接口为此poolIP提供ARP代理。需要注意的是：定义Pool时不需要与Zone及接口进行关联。配置proxy-arp目的是让返回包能够送达SRX，如果Pool与出接口IP不在同一子网，则对端设备需要配置指向fe-0/0/0接口的Pool地址路由。Policy：setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchsource-addresspc-1setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchdestination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchapplicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1thenpermit上述配置定义Policy策略，允许Trustzone地址访问Untrust方向任何地址，根据前面的NAT配置，SRX在建立session时自动执行源地址转换。2.4.3PoolbasedestinationNAT基于地址池的目标地址转换图片仅供参考,下列配置参考实验拓扑NAT配置：setsecuritynatdestinationpool111address00/32setsecuritynatdestinationrule-set1fromzoneuntrustsetsecuritynatdestinationrule-set1rule111matchsource-address/0setsecuritynatdestinationrule-set1rule111matchdestination-address50/32setsecuritynatdestinationrule-set1rule111thendestination-natpool111上述配置将外网any访问50地址映射到内网00地址，注意：定义的DstPool是内网真实IP地址，而不是映射前的公网地址。这点和Src-NATPool有所区别。Policy：setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchsource-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchdestination-addressPC-1setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchapplicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1thenpermit上述配置定义Policy策略，允许Untrust方向任何地址访问Trust方向PC-1：00，根据前面的NAT配置，公网访问50时，SRX自动执行到00的目的地址转换。ScreenOSVIP功能对应的SRXDst-nat配置：setsecuritynatdestinationpool222address00/32port8080setsecuritynatdestinationrule-set1fromzoneuntrustsetsecuritynatdestinationrule-set1rule111matchsource-address/0setsecuritynatdestinationrule-set1rule111matchdestination-address50/32setsecuritynatdestinationrule-set1rule111matchdestination-port8080setsecuritynatdestinationrule-set1rule111thendestination-natpool222上述NAT配置定义：访问50地址8080端口映射至00地址8080端口，功能与ScreenOSVIP端口映射一致。2.4.4PoolbaseStaticNAT基于地址池的静态地址转换

图片仅供参考,下列配置参考实验拓扑NAT：setsecuritynatstaticrule-setstatic-natfromzoneuntrustsetsecuritynatstaticrule-setstatic-natrulerule1matchdestination-address50setsecuritynatstaticrule-setstatic-natrulerule1thenstatic-natprefix00Policy:setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchsource-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchdestination-addresspc-1setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchapplicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1thenpermitStaticNAT概念与ScreenOSMIP一致，属于静态双向一对一NAT，上述配置表示访问50时转换为00，当00访问Internet时自动转换为50，而且优先级比其它类型NAT高。2.5路由协议配置静态路由配置在设置静态路由的时候，能够经过nSRXt-hop和qualified-nSRXt-hop来指定下一跳地址，它们之间的区别是nSRXt-hop后面仅仅能够跟IP地址，而qualified-nSRXt-hop除了能够跟下一条IP地址之外，还能够指定下一跳的端口。添加静态路由#设置/24网段指向下一跳地址53lab@SRX-1#top[edit]lab@SRX-1#setrouting-optionsstaticroute/24nSRXt-hop53删除静态路由lab@SRX-1#top[edit]lab@SRX-1#deleterouting-optionsstaticroute/24调整静态路由优先值lab@SRX-1#top[edit]lab@SRX-1#setrouting-optionsstaticroute/24nSRXt-hop设置备份静态路由#设置主用路由优先值为100lab@SRX-1#top[edit]lab@SRX-1#setrouting-optionsstaticroute/24nSRXt-hop#设置备份路由优先值为200，注意只能用qualified-nSRXt-hop指定下一跳地址lab@SRX-1#setrouting-optionsstaticroute/0qualified-nSRXt-hoppreference200指定静态路由下一跳端口lab@SRX-1#top[edit]lab@SRX-1#setrouting-optionsstaticroute/0qualified-nSRXt-hopinterfacege-0/0/1.0OSPF配置JuniperSRX交换机中，如果启用了OSPF协议，那么SRX交换机不会自动将本机上的静态路由/直连路由等通告给邻居，因此需要编写policy进行路由重分布OSPF配置步骤配置routerid配置启动ospf协议配置OSPF端口参数配置OSPFSRXport策略(路由重定向)OSPF命令层次结构：/*配置router-id*/routing-options{router-id[router-id];graceful-restart;//启动GracefulRestart技术}/*启动OSPF*/protocols{ospf{/*调整OSPF管理距离*/preference[preference];SRXternal-preference[SRXt-preference];/*启动graceful-restart*/graceful-restart{notify-duration[notify-seconds];restart-duration[restart-seconds];}/*设置骨干或一般区域*/area[area-id]{/*定义认证方式*/authentication-type[auth-type];/*设置OSPF逻辑端口*/interface[interface-name]{[disable];[passive];/*设置认证*/authentication{[auth-type][key-id]key“[key-value]”;}hello-interval[hello-interval];dead-interval[dead-interval];retransmit-interval[retransmit-interval];priority[priority-number];}}area[area-id]{authentication-type[auth-type];/*将区域设置为NSSA*/nssa{area-range[network/mask-length];default-lsa{default-metric[metric];//设定缺省路由的Metric值metric-type[metric_type];//设定外部路由的类型，1或者2type-7;//如果配置了no-summaries，则产生Type7的缺省LSA}/*控制SummaryLSA进入NSSA区域*/[no-summaries|summaries];}interface[interface-name]{[disable];[passive];authentication{[auth-type][key-id]key"[key-value]";}hello-interval[hello-interval];dead-interval[dead-interval];retransmit-interval[retransmit-interval];priority[priority-number];/*启动BFD加快OSPF收敛*/bfd-liveness-detection{minimum-interval[int-msec];minimum-receive-interval[rx-msec];minimum-transmit-interval[tx-msec];multiplier[multiply-number];}}}}}重要参数说明：参数名称参数说明参数规范router-idrouter-id地址preference内部OSPF管理距离0–255，缺省值：10SRXt-preference外部OSPF管理距离0–255，缺省值：150notify-seconds送出purgedLSA的秒数缺省值：30秒restart-seconds重新建立full邻居的秒数缺省值：180秒area-id区域ID：表示为骨干区域auth-type认证编码方式md5或者simpleinterface-name需要运行OSPF的逻辑端口名disable关闭逻辑端口OSPF的运行缺省值：无（表示启动OSPF）passive将逻辑端口设置为被动端口key-id认证id范围0–255，相连两端口key-id值必须相同key-value认证密码长度1–16字元（使用MD5时）hello-intervalHelloPacket的间隔秒数建议值：5秒dead-interval持续为收到Hello，认定邻居为down的秒数建议值：20秒必须为hello-interval的4倍retransmit-interval当没有收到LSACK时，重新送出LSA的秒数缺省值：5秒priority-numberDR的priority缺省值为128int-msecBFD传送及接收的最小间隔毫秒数rx-msecBFD接收的最小间隔毫秒数tx-msecBFD传送的最小间隔毫秒数multiply-numberBFD侦测为失效的间隔时间倍数network/mask-length网络地址及掩码长度no-summaries|summaries允许或防止SummaryLSA进入NSSA区域OSPF配置实例下面网络结构中，两台交换机利用ae0聚合端口经过Trunk连接，其中SW2交换机配置了VLAN20网关地址以及vlan10地址53/24(用于跟OSPF互联)：实现步骤：Step1：创立VLAN，设置三层地址SW1配置：lab@SRX-1#editvlans[editvlans]lab@SRX-1#setvlan10vlan-id10description"VLAN10"lab@SRX-1#setvlan10interfacege-0/0/0.0lab@SRX-1#setvlan10l3-interfacevlan.10lab@SRX-1#top{master}[edit]lab@SRX-1#setinterfacesge-0/0/0unit0familyethernet-switchingport-modeaccesslab@SRX-1#setinterfacesae0unit0familyethernet-switchingport-modetrunklab@SRX-1#setinterfacesae0unit0familyethernet-switchingvlanmembers10SW2配置：lab@SRX-1#editvlans[editvlans]lab@SRX-1#setvlan10vlan-id10description"VLAN10"lab@SRX-1#setvlan10interfacege-0/0/0.0lab@SRX-1#setvlan10l3-interfacevlan.10lab@SRX-1#setvlan20vlan-id20description"VLAN20"lab@SRX-1#setvlan20interfacege-0/0/1.0lab@SRX-1#setvlan20l3-interfacevlan.20lab@SRX-1#top{master}[edit]lab@SRX-1#setinterfacesge-0/0/0unit0familyethernet-switchingport-modeaccesslab@SRX-1#setinterfacesge-0/0/1unit0familyethernet-switchingport-modeaccesslab@SRX-1#setinterfacesae0unit0familyethernet-switchingport-modetrunklab@SRX-1#setinterfacesae0unit0familyethernet-switchingvlanmembers10Step2：配置三层端口信息SW1交换机：lab@SRX-1#top[edit]lab@SRX-1#setinterfacesvlanunit10familyinetaddress54/24SW2交换机：lab@SRX-1#top[edit]lab@SRX-1#setinterfacesvlanunit10familyinetaddress53/24lab@SRX-1#setinterfacesvlanunit20familyinetaddress54/24Step3：配置OSPF#设置rooterid，一般设置为loopback地址lab@SRX-1#top[edit]lab@SRX-1#setrouting-optionsrouter-id54#“设置router-id"lab@SRX-1#editprotocolsospflab@SRX-1#setpreference200#“调整OSPF的管理距离，缺省为10"#"将策略中的指定路由发布给OSPF邻居，SRXp_ospf是策略名字，在后面定义"lab@SRX-1#seSRXportSRXp_ospf#"设置送出purgedLSA的秒数，缺省是30秒"lab@SRX-1#setgraceful-restartnotify-duration100#"设置重新建立full邻居的秒数，缺省是180秒"lab@SRX-1#setgraceful-restartrestart-duration200#"设置area0参数"lab@SRX-1#editarea0{master}[editprotocolsospfarea]#"设置OSPF端口优先值为100，缺省是128"lab@SRX-1#editinterfacevlan.10#"设置OSPF当没有收到LSACK时，重新送出LSA的秒数，缺省是5秒"lab@SRX-1#setretransmit-interval10#"设置HelloPacket的间隔秒数"lab@SRX-1#sethello-interval5#"设置持续为收到Hello，认定邻居为down的秒数"lab@SRX-1#setdead-interval10#"设置认证方式和密码，认证方式分为MDF和simple-password"lab@SRX-1#setauthenticationsimple-password"zte"#"将逻辑端口设置为被动端，假设ge-0/0/11.0是三层端口"lab@SRX-1#setge-0/0/11.0passive#"定义需要发布的路由策略"lab@SRX-1#top{master}[edit]lab@SRX-1#setpolicy-optionspolicy-statementSRXp_ospffromprotocoldirectlab@SRX-1#setpolicy-optionspolicy-statementSRXp_ospfthenaccept分别在三台交换机上检查OSPF路由协议是否正常，检查命令：showrouteshowospfneighbor交换机Firewall限制功能限制IP地#建立过滤策略#"指定过滤条件：源IP"setfirewallfamilyEthernet-switchingfilteripfilterterm1fromsource-address#"指定过滤符合条件：目的IP"setfirewallfamilyEthernet-switchingfilteripfilterterm1fromdestination-address54#"指定符合条件的流量所做的动作：accept或者discard"setfirewallfamilyEthernet-switchingfilteripfilterterm1thenaccept#"指定其它不符合条件的动作"setfirewallfamilyEthernet-switchingfilteripfilterterm2discard#"将过滤条件应用到端口上"setinterfacege-0/0/10unit0familyEthernet-switchingfilterinputipfilter限制MAC地址#"建立过滤策略"#"指定过滤条件：源MAC"setfirewallfamilyEthernet-switchingfiltermacfilterterm1fromsource-mac-addressaa:aa:aa:aa:aa:aa#"指定过滤符合条件：目的MAC"setfirewallfamilyEthernet-switchingfiltermacfilterterm1fromdestination-mac-addressbb:bb:bb:bb:bb:bb#"指定符合条件的流量所做的动作：accept或者discard"setfirewallfamilyEthernet-switchingfiltermacfilterterm1thenaccept#"指定其它不符合条件的动作"setfirewallfamilyEthernet-switchingfiltermacfilterterm2discard#"将过滤条件应用到端口上"setinterfacege-0/0/10unit0familyEthernet-switchingfilterinputmacfilter三、SRX防火墙常规操作与维护设备关机SRX因为主控板上有大容量存储，为防止强行断电关机造成硬件故障，要求设备关机必须按照下面的步骤进行操作：管理终端连接SRXconsole口。使用具有足够权限的用户名和密码登陆CLI命令行界面。在提示符下输入下面的命令：user@host>requestsystemhalt…Theoperatingsystemhashalted.Pleasepressanykeytoreboot(除非需要重启设备，此时不要敲任何键，否则设备将进行重启)等待console输出上面提示信息后，确认操作系统已停止运行，关闭机箱背后电源模块电源。设备重启SRX重启必须按照下面的步骤进行操作：管理终端连接SRXconsole口。使用具有足够权限的用户名和密码登陆CLI命令行界面。在提示符下输入下面的命令：user@host>requestsystemreboot等待console设备的输出，操作系统已经重新启动。设备配置倒入

1）：用户模式下输入

configure

进入配置模式

例：lab@SRX3400>

configure

回车

2）：输入load

merge

terminal，并将附件中的脚本粘贴进去(打开配置脚本时请取消记事本里的“格式-自动换行”)

例：lab@SRX3400#load

merge

terminal

//目录树模式的配置倒入粘贴完毕后敲回车键，并按ctrl+D完成粘贴

或者

输入loadsetterminal命令，并将附件中的脚本粘贴进去(打开配置脚本时请取消记事本里的“格式-自动换行”)例：lab@SRX3400#load

set

terminal

//set命令模式的配置倒入粘贴完毕后敲回车键，并按ctrl+D完成粘贴

4）：最后在配置