100.100.100.100时转换为192.168.1.200,当192.168.1.200访问Internet时自动转换为100.100.100.100。
2.4 IPSEC VPN
SRX IPSEC VPN支持Site-to-Site VPN 和基于NS-remote的拨号VPN,和ScreenOS一样,site-to-site VPN也支持路由模式和Policy模式,在配置方面也和ScreenOS基本一致。SRX中的加密/验证算法在命名上和ScreenOS存在一些区别,配置过程中建议选择ike和ipsec的proposal为 standard模式,standard中包含SRX支持的全部加密/验证算法,只要对端设备支持其中任何一种即可。SRX中通道接口使用st0接口,对应ScreenOS中的tunnel虚拟接口。
下面是图中左侧SRX基于路由方式Site-to-site VPN配置:
set interfaces st0 unit 0 family inet address 10.2.0.1/24 set security zones security-zone untrust interfaces st0.0 set routing-options static route 10.1.2.0/24 next-hop st0.0
定义st0 tunnel接口地址/Zone及通过VPN通道到对端网络路由 set security ike policy ABC mode main
set security ike policy ABC proposal-set standard
set security ike policy ABC pre-shared-key ascii-text juniper
定义IKE Phase1 policy参数,main mode,standard proposal及预共享密钥方式 set security ike gateway gw1 ike-policy ABC set security ike gateway gw1 address 10.0.2.1
set security ike gateway gw1 external-interface ge-0/0/1.0 定义IKE gaeway参数,预共享密钥认证,对端网关10.0.2.1,出接口ge-0/0/1(位于untrust zone)
set security ipsec policy AAA proposal-set standard set security ipsec vpn vpn1 bind-interface st0.0 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec-policy AAA
set security ipsec vpn vpn1 establish-tunnels immediately
定义ipsec Phase 2 VPN参数:standard proposal、与st0.0接口绑定,调用Phase 1 gw1 ike网关。 set security policies from-zone untrust to-zone trust policy vpn-policy match source-address any set security policies from-zone untrust to-zone trust policy vpn-policy match destination-address any
第 21 页 共 32 页
set security policies from-zone untrust to-zone trust policy vpn-policy match application any set security policies from-zone untrust to-zone trust policy vpn-policy then permit
set security policies from-zone trust to-zone untrust policy vpn-policy match source-address any set security policies from-zone trust to-zone untrust policy vpn-policy match destination-address any set security policies from-zone trust to-zone untrust policy vpn-policy match application any set security policies from-zone trust to-zone untrust policy vpn-policy then permit 开启双向policy以允许VPN流量通过
2.5 Application and ALG
SRX中自定义服务及ALG使用方法与ScreenOS保持一致,系统缺省开启FTP ALG,为TCP 21服务提供FTP应用ALG。自定义服务如果属于FTP类应用,需要将此自定义服务(非TCP 21端口)与FTP应用进行关联。下面举例定义一个FTP类服务ftp-test,使用目的端口为TCP 2100,服务超时时间为3600秒,并将此自定义服务与FTP应用关联(ALG),系统将识别此服务为FTP应用并开启FTP ALG来处理该应用流量。
set applications application ftp-test protocol tcp destination-port 2100 inactivity-timeout 3600 set applications application ftp-test application-protocol ftp
三、SRX防火墙常规操作与维护
3.1 单机设备关机
SRX因为主控板上有大容量硬盘,为防止强行断电关机造成硬件故障,要求设备关机必须按照下面的步骤进行操作:
1. 管理终端连接SRX console口。
2. 使用具有足够权限的用户名和密码登陆CLI命令行界面。 3. 在提示符下输入下面的命令:
> request system halt
…
The operating system has halted.
Please press any key to reboot(除非需要重启设备,此时不要敲任何键,否则设备将进行重启)
4. 等待console输出上面提示信息后,确认操作系统已停止运行,关闭机箱背后电源模
块电源。
第 22 页 共 32 页
3.2 单机设备重启
SRX重启必须按照下面的步骤进行操作: 1. 管理终端连接SRX console口。
2. 使用具有足够权限的用户名和密码登陆CLI命令行界面。 3. 在提示符下输入下面的命令:
> request system reboot
4. 等待console设备的输出,操作系统已经重新启动。
3.3 单机操作系统升级
SRX操作系统软件升级必须按照下面的步骤进行操作:
1. 管理终端连接SRX console口,便于升级过程中查看设备重启和软件加载状态。 2. 升级前,执行下面的命令备份旧的软件及设定:
> request system snapshot 3. 加载新的SRX软件:
> ftp 10.1.1.1
输入用户名密码后,通过get命令下载os, ftp> ls ftp> bin
ftp> get filename.tgz
os的默认下载目录为登录用户的主目录/var/home/username 4. 升级新下载的SRX OS
> request system software add no-validate no-copy filename.tgz reboot
5. 软件加载成功后, SRX将自动重启,重启完成后检查系统当前软件版本号:
> show system software
也可以在防火墙上开启FTP service,通过客户端用put方式将OS软件上传至防火墙。
3.4 双机模式下主备SRX关机
双机模式下关机方式与单机方式一致,备件关机需要登录备机的fxp0地址。登录防火墙后,通过命令request system halt对主备防火墙分别进行关机操作。
第 23 页 共 32 页
3.5 双机模式下主备设备重启
双机模式下关机方式与单机方式一致,备件重启需要登录备机的fxp0地址进行操作。登录防火墙后,通过命令request system reboot对主备防火墙分别进行重启操作。
3.6 双机模式下操作系统升级
SRX操作系统软件升级必须按照下面的步骤进行操作: 1. 通过FTP将OS上传至主防火墙
> ftp 10.1.1.1 ftp> ls ftp> bin
ftp> get filename.tgz
2. 升级前,执行下面的命令备份旧的软件及设定:
> request system snapshot 3. 输入命令开始ISSU升级
> request system software in-service-upgrade filename.tgz reboot 4. ISSU过程中,将先自动升级备墙,当备墙升级完成后会自动重启。备墙重启恢复正
常后,转发层面将切换到备墙;然后主防火墙开始版本升级,并重启。在备墙恢复工作时,可通过命令确认备墙的工作状态,查看升级中是否有错误 > show chassis cluster status > show chassis alarms > show system alarms
> show log messages | grep issu
5. 主墙升级完成后,需要通过手工方式恢复原主备关系。
> request chassis cluster failover redundancy-group 0 node 0 > request chassis cluster failover redundancy-group 1 node 0 > request chassis cluster failover reset redundancy-group 0 > request chassis cluster failover reset redundancy-group 1 6. 若ISSU升级失败,只有一台设备完成升级,则可在已升级设备上通过如下命令回退
> request chassis cluster in-service-upgrade abort > request system software rollback > request system reboot
第 24 页 共 32 页
3.7 双机转发平面主备切换及切换后恢复
SRX转发层面切换及恢复按照下面的步骤进行操作:
1. 检查双机状态正常后,在防火墙上执行以下命令进行转发平面主备切换:
> request chassis cluster failover redundancy-group 1 node 1 > request chassis cluster failover reset redundancy-group 1 2. 在防火墙上确认切换是否正常:
> show chassis cluster status 3. 恢复原转发平面的主备关系:
> request chassis cluster failover redundancy-group 1 node 0 > request chassis cluster failover reset redundancy-group 1 4. 在防火墙上确认是否正常恢复原有状态:
> show chassis cluster status
3.8 双机控制平面主备切换及切换后恢复
SRX控制层面切换及恢复按照下面的步骤进行操作:
1. 检查双机状态正常后,在防火墙上执行以下命令进行转发平面主备切换:
> request chassis cluster failover redundancy-group 0 node 1 > request chassis cluster failover reset redundancy-group 0 2. 在防火墙上确认切换是否正常:
> show chassis cluster status 3. 恢复原转发平面的主备关系:
> request chassis cluster failover redundancy-group 0 node 0 > request chassis cluster failover reset redundancy-group 0 4. 在防火墙上确认是否正常恢复原有状态:
> show chassis cluster status
3.9 双机模式下更换备SRX
SRX双机模式下更换备墙按照下面的步骤进行操作: 1. 在备墙上执行命令,将备墙关机
> request system halt
2. 将备墙上所有连接线缆取下,并将备墙下架。将新的备墙上架后,开机确认硬件运行
正常,并恢复原有的线路链接
第 25 页 共 32 页