SRX安全网关操作手册

《SRX安全网关操作手册》由会员分享，可在线阅读，更多相关《SRX安全网关操作手册（11页珍藏版）》请在装配图网上搜索。

1、SRX 安全网关操作手册神州数码（中国）有限公司二零一零年六月目录1. 总体概述 71.1. 文档术语 72. SRX 基本操作 82.1. 通过 Console 线缆连接路由器 82.2. 设备关闭 102.3. 设备重启 102.4. JUNOS 升级 112.5. 密码恢复 113. SRX 基本管理配置介绍 123.1. JUNOS CLI 124. SRX 开机配置过程 144.1. SRX 硬件设备简介 144.1.1 SRX 240 面板图 144.1.2 SRX 210 面板图 154.1.3 SRX 100 面板图 154.2. SRX 安装流程 154.3. 开始配置 15

2、4.3.1 开机登录 164.3.2 清空默认配置 164.3.3 从所有配置清空后开始配置 175. 常用故障诊断命令 20查看端口状态 20查看路由表 20查看 OSPF 邻居关系 20Ping 21Traceroute 21监控接口流量 21监控 RE CPU 利用率 22监控并发会话数 22冷却系统故障检查 22机箱硬件组件故障检查 236. 设备日常维护 24日常维护步骤 24配置文件查看 24配置文件提交 247.SRX 常用功能及典型配置 257.1 SRX 常用功能配置 257.2 SRX 一个典型配置 286. 硬件返修及 CASE 信息 34般性免责说明：神州数码（中国）有

3、限公司力求确保 Juniper SRX 防火墙快速安装手册中信息的 准确性， 但不对信息的准确性承担任何责任。 神州数码（中国）有限公司可能随时更改本 手 册中提到的产品或调试命令等技术，恕不另行通知。神州数码（中国）有限公司及其供应商不对因使用本手册或任何 Juniper 网络公 司产品或服务而导致的任何间接、 特殊、 引致或意外损失而承担任何责任， 包括但不限于利 润或收入损失、 替换产品或服务的成本、 数据丢失或破坏， 或使用或依赖使用本文提供的信 息而造成的损失，即使 Juniper 网络公司或其供应商事先已得知发生此类损失的可能性。本手册中介绍的许多 Juniper 网络公司产品和服

4、务都提供了书面软件许可和有限 保修。这些许可和保修为此类产品的购买者提供某些权利。本手册不应被视为扩展、更 改或修改 Juniper 网络公司为任何 Juniper 网络公司产品提供的任何保证或许可、或创 建任何新的或附加的保证或许可。、八前言Juniper 网络公司介绍Juniper 网络公司致力于实现网络商务模式的转型。作为全球领先的联网解决方案和 安全性解决方案供应商 ,Juniper 网络公司对依赖网络获得战略性收益的客户一直给予密 切关注。该公司的客户来自于全球各行各业, 包括第一流的网络运营商、企业、政府机构以及研究和教育机构等。 Juniper 网络公司推出的一系列联网解决方案

5、, 提供所需的安全性 和性能来支持全球最大型、 最复杂、 要求最严格的关键网络 , 其中包括全球顶尖的 25 家服 务供应商和财富全球 500 强企业前 15 强中的 8 个企业。Juniper 网络公司成立的唯一宗旨是预测并解决业内最高难度的联网及安全性问 题。今天 , Juniper 网络公司通过以下努力 , 帮助全球客户转变他们的网络经济模式 , 从 而建立强大的竞争优势：保护网络安全 , 以抵御日益频繁复杂的攻击利用网络应用和服务来取得市场竞争优势 为客户和业务合作伙伴提供安全的定制方式来接入远程资源Juniper 网络公司通过其专用平台及先进软件 , 推动业界迈出了创新的一步。 Ju

6、niper 网络公司被公认是开发用于高性能智能网络的半导体及软件的佼佼者，一直走在 业界创新的前沿，并通过这些创新不断推动其所支持的网络及企业实现转型。神州数码控股有限公司概述神州数码控股有限公司 （以下简称”神州数码”或”集团”， 股票代码： 00861. 香港） 是中国领先的整合 IT 服务提供商。集团由原联想集团分拆而来，并于二零零一年六月一日 在香港联合交易所有限公司主板独立上市。 神州数码致力于为中国用户提供先进、 适用的信 息技术应用，以科技驱动工作与生活的创新， 推进数字化中国进程。为此， 集团努力将自身 打造成为中国最广大用户提供最为全面 IT 服务的首选供货商。集团业务主要包

7、括 IT 规划、流程外包、应用开发、系统集成、硬件基础设施服务、维 保、硬件安装、分销及零售等八类业务，面向中国市场，为行业客户、企业级客户、中小企 业与个人消费者提供全方位的 IT 服务。集团在全国 19个主要城市设有区域中心。同超过 100家全球顶尖 IT 品牌拥有良好的战 略合作伙伴关系， 覆盖全国超过 1 万家代理合作伙伴， 为中国用户提供最优质便捷的 IT 服务。集团依靠多年经验积累的行业应用服务能力，在金融、电信、政府等行业的 IT 服务领域建立了领先优势。同时，神州数码亦在 IT 产品分销领域保持了多年市场第一的地位。神州数码 企业系统本部神州数码企业系统本部是以企业数据中心建设

8、为目标，重点覆盖网络、 主机、 存储、 软 件4大业务领域，致力于为客户提供国际上主流的企业级软硬件产品、骨干网络、基础网络 设备和全面产品解决方案。自 1997 年率先进入高端增值服务市场， 经过不断的探索和努力， 增值服务业务取得了 高速增长， 是国内第一的增值服务提供商， 目前已成为神州数码集团重要利润支柱之一。 与 近 50 家国际著名 IT 厂商建立长期战略合作伙伴关系， 合作的渠道伙伴超过 4500 家 , 目前 已搭建由渠道市场、产品市场、解决方案及行业市场、技术支持、维修支持、培训支持构成 的渠道支持系统，形成以北京、上海、广州三大区域销售中心、全国十五大平台、八个办事 处为分

9、销平台的销售网络，区域覆盖达 40 余个地市。神州数码系统网络事业部神州数码系统网络事是全球领先的网络和安全解决方案供应商 Juniper 网络公司的总 分销商， 是全球知名提供通讯服务的西门子公司在中国的总代理， 是智能应用交换机全球领 导者 Radware 公司和世界领先的下一代企业移动系统供应商Aruba 无线网络公司在中国的总分销商。同时，系统网络事业部是Ju niper NetworksSPG产品在中国地区唯一的授权认证培训中心和最主要的授权服务中心。系统网络事业部有遍布全国的销售网络和技术服务体系。 一直致力于追踪安全网络领域 的新技术， 构建安全网络联盟体系， 提供安全网络产品及

10、解决方案， 推广安全网络的标准化 服务。为客户提供：Jun iper Networks 从安全系列（防火墙、 VPN、入侵检测和防御等 一系列易于管理的安全设备和系统） 到路由器、 Infranet 控制器和应用加速平台等全线联 网和安全性产品及解决方案； Radware 负载均衡和网络安全防护产品及解决方案； Aruba 由移动控制器、接入点和 Aruba 移动管理系统组成的移动边缘产品和解决方案。1. 总体概述本文档为神州数码公司编写。用于说明Juniper SRX产品基本命令配置和硬件操作指导。更多的信息请参考下面的网站：JUNOS 9.6 : niper. net/techpubs/s

11、oftware/ju nos/ju no s96/i ndex.htmlSRX 硬件手册:1.1. 文档术语Air FilterESD Poi ntFan TrayPEM(Power Equipme nt Modules)Craft In terfaceRE： Routing EngineSFB: Switch Fabric BoardPFE： Packet Forwarding Engine FRU : Field-replaceable unitDPC: Dense Port Concentrators FPC : Flexible PIC Concentrator PIC: Physic

12、al In terface CardSPC：NPC:IOC :SFP：空气过滤网 静电释放点 风扇盘 电源模块 控制面板 路由引擎 交换矩阵板 转发引擎 可现场更换部件 高密度接口卡 物理接口汇聚卡 物理接口卡Services Process ing Cards 业务处理卡 Network Process ing CardsIn put Output cardsSmall Factor Pluggable网络处理卡 接口卡 小型可插拔光收发器，适用千兆以太网2. SRX基本操作JUNOS软件是专门为互联网设计的第一种路由操作系统。它运行在Juniper网络公司的所有T-系列、M/MX系列和J-

13、系列路由器以及 SRX系列集成安全网关上，被部署在全球最 大、增长最迅速的网络中。它提供的全套具有工业强度的路由协议、灵活的策略语言和领先的功能特性，可以高效地扩展支持极大数量的网络接口和路由。基于标准的JUNOS软件可以支持互联网路由协议，同时控制路由器及其接口并实现对各种规模的网络的系统管理。简便易用的界面使您可以配置路由协议和接口属性、监控路由、检测并排除协议和网络连接故障。本节将描述设备的一些应急操作，这些操作都会影响设备的正常功能，操作时请谨慎使用：通过Console线缆连接路由器设备关闭设备重启JUNOS升级密码恢复2.1. 通过Console线缆连接路由器使用下面的步骤连接路由器

14、的Con sole接口：1. 准备好Ju niper路由设备自带的 Con sole线缆2. 将Con sole线缆的DB9插头一头插到 PC或者笔记本电脑的 COM 口上，另外一端 插到SRX的的CONSOLE 口上，SRX的console 口如下图的标号 5的RJ45端口。Figure 2： SRX240 Services Gateway Front Panelas删p* S*9罔Tablv 5: SRX240 Services Gateway Front PanelhlumberComponentMmi-PIM 5lo request system haltThe operati ng

15、system has halted.Please press any key to reboot4. 等待con sole设备的出现上面的输出，确认设备软件已经停止运行。5. 关闭机箱背后电源模块电源。如果出现任何现场无法解决的问题，请咨询Juniper TAC的帮助，参阅寻求JTAC帮助。2.3.设备重启Ju niper设备重启必须按照下面的步骤进行操作：1. 用Con sole或Tel net/SSH连接到主用路由引擎上2. 使用具有足够权限的用户名和密码登陆CLI命令行界面。3. 在提示符下输入下面的命令：userhost request system reboot4. 等待con so

16、le设备的输出，确认设备软件已经重新启动。如果要进行电源关闭的重新启动，请参阅“设备关闭”,在重新开启电源之前必须等待60秒。如果出现任何现场无法解决的问题，请咨询Juniper TAC的帮助，参阅寻求JTAC帮助。24 JUNOS 升级Jun iper设备在出厂时一般的设备软件版本都比较低，因此一般建议使用比较新的版本，如10.0以上版本，软件版本升级时不能跨过3个版本进行，如9.*的需要升级到10.0以上的,必须先升级到9.6，再升级至10.0，否则会提示升级失败。Juniper设备JUNOS软件升级必须按照下面的步骤进行操作：1. 用 Co nsole 或 Tel net/SSH 连接到

17、设备 con sole 上2. 下载新的JUNOS软件，放置到FTP服务器上。3. 安装新的JUNOS软件，这个升级过程大概为15-25分钟：userhost request system software add4. 重新启动设备：userhost request system rebootReboot the system ? yes ,no (no)yes如果出现任何现场无法解决的问题，请寻求Juniper TAC的帮助，参阅寻求JTAC帮助。2.5.密码恢复如果设备的Root密码丢失，而且没有其他的超级用户权限，那么就需要执行密码恢复，该操作需要中断设备的正常功能。要进行密码恢复，请按

18、照下面操作进行：1. 断电后再加电以重新启动设备。在启动过程中，按住设备前的reset按钮15秒以上再放手，则设备密码及配置会自 动恢复成出厂默认配置2. 进入配置模式，设置新的root密码：root con figureEntering configuration modeeditroot# set system root-authe nticati on pla in-text-passwordNew password:Retype new password:3. 重新启动后，设备恢复正常。3. SRX基本管理配置介绍3.1. JUNOS CLIShell模式用root用户登录时，先进入的是shell模式，提示符为：%，必须输入cli命令后才能进入用户模式进行对设备的操作；如果以非root用户登录，则直接进入用户模式。用户模式userhost#用户模式在用户模式下可以显示 SRX设备的配置、端口状态、路由信息等。登录到SRX上即进入路由器的用户模式：BJ-BJ-JA-NSN-A-1-RE1 (ttyp6) login: NSNPassword:NSNBJ-BJ-JA-NSN-A-1-RE1配置模式userhost#配置模式