Juniper SRX 高端防火墙简明配置手册 - 图文(2)

建议：此次SRX3600防火墙配置两个SPC、一个NPC，为了设备能有更好的散热性，让设备空出中间槽位，建议把SPC板卡安装在设备的后面板的Slot7与Slot9槽位上（下图红色方框位置），NPC板卡安装在后面板的Slot12槽位上（下图蓝色方框）。

2. SRX5800

第 6 页 共 32 页

SRX5800机箱标配有2块SCB插槽，除SCB以外设备左右方0-5和6-11共有12 个扩展插槽，其中插槽6比较特殊，可作为冗余SCB插槽SCB2或插槽6来使用。IOC与SPC共用相同的接口插槽, 可安装在从左至右编号为0 到5 或7 到11的任意插槽中。

第 7 页 共 32 页

建议：此次SRX5800防火墙配置两个SPC，建议把SPC板卡安装在设备的Slot10与Slot11槽位上，IOC板卡安装在0-5上。

2.1.2 登陆

Console口(通用超级终端缺省配置)连接SRX，root用户登陆，密码为空 login: root Password:

--- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTC root% cli /***进入操作模式***/ root>

root> configure

Entering configuration mode /***进入配置模式***/ [edit] Root#

第 8 页 共 32 页

2.1.3 设置root用户口令

设置root用户口令

root# set system root-authentication plain-text-password root# new password : root123

root# retype new password: root123 密码将以密文方式显示

root# show system root-authentication

encrypted-password \

注意：强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式)，此配置参数要求输入的口令应是经加密算法加密后的字符串，采用这种加密方式手工输入时存在密码无法通过验证风险。

注：root用户仅用于console连接本地管理SRX，不能通过远程登陆管理SRX，必须成功设置root口令后，才能执行commit提交后续配置命令。

2.1.4 JSRP初始化配置

JSRP是Juniper SRX的私有HA协议，对应ScreenOS的NSRP双机集群协议，支持A/P和A/A模式，JSRP对ScreenOS NSRP协议和JUNOS Cluster集群技术进行了整合集成，熟悉NSRP协议有助于对JSRP协议的理解。JSRP和NSRP最大的区别在于JSRP是完全意义上的Cluster概念，两台设备完全当作一台设备来看待，两台设备的接口板卡顺序编号、运维变更将对两台设备同时进行操作，无需额外执行ScreenOS的配置和会话同步等操作，而ScreenOS NSRP可看作在同步配置和动态对象（session）基础上独立运行的两台单独设备。

JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应。由于SRX 是转发与控制层面完全分裂架构，JSRP需要控制层面 (配置同步)和数据层面(Session同步)两个平面的互联，建议控制和数据层面互联链路使用光纤链路直连（部分平台强制要求光纤链路直连）。

1. SRX3600 JSRP 配置

第 9 页 共 32 页

JSRP接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号，如上所示的SRX3600，每个SRX3600机箱可扩展有12个槽位，节点0槽位号从0开始编号，节点1槽位号从13开始往后编。

防火墙的的心跳连线分为两种，一个是控制心跳线（Control Plane connection），一个是数据心跳线(Data Plane Connection)。

SRK3000系列的SFB上已设计有专门的Control Port (通过内部总线直接连接到RE)，不需要单独指定，目前版本只支持port 0 互连，如下图：

2. SRX5800 JSRP配置

JSRP接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号，如上所示的SRX5800，每个SRX5800机箱有12个业务槽位，节点0槽位号从0开始编号，节点1槽位号从12开始往后编。

防火墙的的心跳连线分为两种，一个是控制心跳线（Control Plane connection），一个是数据心跳线(Data Plane Connection)。

采用一个16口千兆板卡+一个4口万兆的防火墙对接方式：

控制心跳线的连接，是通过SPC卡上的接口互联，采用一条千兆光纤互联。由于插在标号较小的槽位上的SPC同时要负责总体协调所有其他SPC的流量分担工作，为了减少对此SPC的压力，建议采用标号较大槽位上的SPC卡用来做控制心跳线的互联。

第 10 页 共 32 页