JUNIPER防火墻培訓(xùn)2012年07月深圳市奧怡軒實業(yè)有限公司議程基本配置規(guī)范13Junos簡介2SRX3400硬件結(jié)構(gòu)基本維護(hù)操作命令4議程XXXXXXXX13XXXXXXXX2SRX3400硬件結(jié)構(gòu)XXXXXXXX4SRX3400硬件結(jié)構(gòu)SRX3400機(jī)箱是剛性金屬結(jié)構(gòu)，用于其他部件的放置,JuniperSRX3400插槽位分別位于SRX3400的前后面板上，如圖1和圖2所示：圖1前面板插槽位圖2后面板插槽位根據(jù)SRX3400對RE、SFB、SPC、NPC和IOC對應(yīng)插槽位的要求，IOC只能插在前面板的Slot1到Slot4的插槽中，NPC只能插在Slot5到Slot7的插槽位上，而SPC可以插在Slot1到Slot7任何一個插槽位中。SRX3400硬件結(jié)構(gòu)交換矩陣和控制板(SCB)交換矩陣和控制板(SCB)是動態(tài)業(yè)務(wù)架構(gòu)的核心組件，可將機(jī)箱從簡單的模塊容器轉(zhuǎn)變?yōu)楦咝У木W(wǎng)狀網(wǎng)絡(luò)。SCB旨在支持機(jī)箱中的所有模塊通過極高的帶寬發(fā)送流量。路由引擎(RE)路由引擎(RE)與SCB緊密集成，就好比整個架構(gòu)的中樞神經(jīng)系統(tǒng)。RE是機(jī)箱的控制平面，為系統(tǒng)管理員提供完整的管理和通信支持，還能為路由網(wǎng)絡(luò)流量計算路由表。服務(wù)處理卡(SPC)作為SRX3000業(yè)務(wù)網(wǎng)關(guān)背后的“大腦”，服務(wù)處理卡(SPC)旨在處理網(wǎng)關(guān)上的所有可用的服務(wù)。由于無需購買專用硬件來支持特定服務(wù)或功能，因而不會出現(xiàn)某些硬件的使用超出極限，而其他硬件卻處于空閑狀態(tài)的情況。SPC的所有處理能力均可用于支持網(wǎng)關(guān)上的任意或全部服務(wù)和功能。SRX3600和SRX3400業(yè)務(wù)網(wǎng)關(guān)上使用了相同的SPC。（注：要想實現(xiàn)正常的系統(tǒng)功能，至少需要1個NPC和1個SPC）SRX3400硬件結(jié)構(gòu)-名詞解釋網(wǎng)絡(luò)處理卡(NPC)為了確保實現(xiàn)最大的處理性能和靈活性，SRX3000業(yè)務(wù)網(wǎng)關(guān)系列利用網(wǎng)絡(luò)處理卡(NPC)來將進(jìn)出的流量分配給相應(yīng)的SPC和IOC，同時應(yīng)用QoS功能，以及執(zhí)行DoS/DDoS防護(hù)功能。SRX3600可配置用于支持1到3個NPC，而SRX3400可配置用于支持1到2個NPC。向這些網(wǎng)關(guān)添加更多NPC可支持企業(yè)定制解決方案，以滿足其特定的性能要求。（注：要想實現(xiàn)正常的系統(tǒng)功能，至少需要1個NPC和1個SPC）輸入/輸出卡(IOC)除了能夠完美支持內(nèi)置銅線端口、小型可熱插拔(SFP)端口和高可用性(HA)端口的組合外，與同類產(chǎn)品相比，SRX3000系列還可實現(xiàn)最大的I/O端口密度。每一個SRX3000業(yè)務(wù)網(wǎng)關(guān)均可以安裝一個或多個輸入/輸出卡(IOC)，每一個IOC可以支持16個千兆位接口（16個銅線或光纖千兆以太網(wǎng)），或者20個千兆位接口（2個萬兆XFP以太網(wǎng)）。憑借能夠添加更多IOC的出色靈活性，SRX3000業(yè)務(wù)網(wǎng)關(guān)系列可支持在接口和處理能力之間實現(xiàn)最佳平衡。（注：要想實現(xiàn)正常的系統(tǒng)功能，至少需要1個NPC和1個SPC）SRX3400硬件結(jié)構(gòu)-名稱解釋Junos簡介SRX系列防火墻是Juniper公司基于JUNOS操作系統(tǒng)的安全系列產(chǎn)品，JUNOS集成了路由、交換、安全性和一系列豐富的網(wǎng)絡(luò)服務(wù)。目前Juniper公司的全系列路由器產(chǎn)品、交換機(jī)產(chǎn)品和SRX安全產(chǎn)品均采用統(tǒng)一源代碼的JUNOS操作系統(tǒng)，JUNOS是全球首款將轉(zhuǎn)發(fā)與控制功能相隔離，并采用模塊化軟件架構(gòu)的網(wǎng)絡(luò)操作系統(tǒng)。JUNOS作為電信級產(chǎn)品的精髓是Juniper真正成功的基石，它讓企業(yè)級產(chǎn)品同樣具有電信級的不間斷運(yùn)營特性，更好的安全性和管理特性，JUNOS軟件創(chuàng)新的分布式架構(gòu)為高性能、高可用、高可擴(kuò)展的網(wǎng)絡(luò)奠定了基礎(chǔ)。基于NP架構(gòu)的SRX系列產(chǎn)品產(chǎn)品同時提供性能優(yōu)異的防火墻、NAT、IPSEC、IPS、UTM等全系列安全功能，其安全功能主要來源于已被廣泛證明的ScreenOS操作系統(tǒng)。Junos簡介2議程XXXXXXXX3XXXXXXXX4XXXXXXXX1Junos簡介-層次化配置結(jié)構(gòu)JUNOS采用基于FreeBSD內(nèi)核的軟件模塊化操作系統(tǒng)，支持CLI命令行和WEBUI兩種接口配置方式。JUNOSCLI使用層次化配置結(jié)構(gòu)，分為操作（operational）和配置（configure）兩類模式，在操作模式下可對當(dāng)前配置、設(shè)備運(yùn)行狀態(tài)、路由及會話表等狀態(tài)進(jìn)行查看及設(shè)備運(yùn)維操作，并通過執(zhí)行config或edit命令進(jìn)入配置模式，在配置模式下可對各相關(guān)模塊進(jìn)行配置并能夠執(zhí)行操作模式下的所有命令（run）。Junos簡介-配置管理JUNOS通過set語句進(jìn)行配置，配置輸入后并不會立即生效，而是作為候選配置（CandidateConfig）等待管理員提交確認(rèn)，管理員通過輸入commit命令來提交配置，配置內(nèi)容在通過SRX語法檢查后才會生效，一旦commit通過后當(dāng)前配置即成為有效配置（Activeconfig）。

在執(zhí)行commit命令前可通過配置模式下show命令查看當(dāng)前候選配置（CandidateConfig），在執(zhí)行commit后配置模式下可通過runshowconfig命令查看當(dāng)前有效配置（Activeconfig）。此外可通過執(zhí)行show|compare比對候選配置和有效配置的差異。另外，JUNOS允許執(zhí)行commit命令時要求管理員對提交的配置進(jìn)行兩次確認(rèn)，如執(zhí)行commitconfirmed2命令要求管理員必須在輸入此命令后2分鐘內(nèi)再次輸入commit以確認(rèn)提交，否則2分鐘后配置將自動回退，這樣可以避免遠(yuǎn)程配置變更時管理員失去對SRX的遠(yuǎn)程連接風(fēng)險。4213SRX可對模塊化配置進(jìn)行功能關(guān)閉與激活，如執(zhí)行deactivate命令可使相關(guān)配置不生效，并可通過執(zhí)行activatesecurity使配置再次生效。SRX通過set語句來配置防火墻，通過delete語句來刪除配置，如deletesecuritynat和editsecuritynat/delete一樣，均可刪除security防火墻層級下所有NAT相關(guān)配置，刪除配置和ScreenOS不同，配置過程中需加以留意。XXXXXXXX基本配置規(guī)范13XXXXXXXX2XXXXXXXXXXXXXXXX4基本配置規(guī)范設(shè)備關(guān)機(jī)在提示符下輸入下面的命令：user@host>requestsystemhalt…Theoperatingsystemhashalted.Pleasepressanykeytoreboot(除非需要重啟設(shè)備，此時不要敲任何鍵，否則設(shè)備將進(jìn)行重啟)設(shè)備重啟在提示符下輸入下面的命令：user@host>requestsystemreboot密碼恢復(fù)SRXRoot密碼丟失，并且沒有其他的超級用戶權(quán)限，那么就需要執(zhí)行密碼恢復(fù)，該操作需要中斷設(shè)備正常運(yùn)行，但不會丟失配置信息，這點與ScreenOS存在區(qū)別?；九渲靡?guī)范SRX主要配置內(nèi)容：部署SRX防火墻主要有以下幾個方面需要進(jìn)行配置：System：主要是系統(tǒng)級內(nèi)容配置，如主機(jī)名、管理員賬號口令及權(quán)限、時鐘時區(qū)、Syslog、SNMP、系統(tǒng)級開放的遠(yuǎn)程管理服務(wù)（如telnet）等內(nèi)容。Interface:接口相關(guān)配置內(nèi)容Security:是SRX防火墻的主要配置內(nèi)容，Security層級下完成配置，如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等，可簡單理解為ScreenOS防火墻安全相關(guān)內(nèi)容都遷移至此配置層次下，除了Application自定義服務(wù)。Application：自定義服務(wù)單獨在此進(jìn)行配置，配置內(nèi)容與ScreenOS基本一致。routing-options：配置靜態(tài)路由或router-id等系統(tǒng)全局路由屬性配置。基本配置規(guī)范1、設(shè)置root用戶口令root#setsystemroot-authenticationplain-text-passwordroot#newpassword:root123 root#retypenewpassword:root123注意：默認(rèn)情況下root用戶是沒有設(shè)置密碼，在沒有設(shè)置root密碼的時候，無法執(zhí)行Commit來提交配置文件.默認(rèn)情況下root用戶只能通過Console方式來登錄，如果需要通過WEB或TELNET的方式來登錄SRX設(shè)備，需要設(shè)置一個遠(yuǎn)程用戶強(qiáng)烈建議不要使用其它加密選項來加密root和其它user口令(如encrypted-password加密方式),采用這種加密方式手工輸入時存在密碼無法通過驗證風(fēng)險.2、設(shè)置遠(yuǎn)程登陸管理用戶root#setsystemloginuserlabclasssuper-userauthenticationplain-text-passwordroot#newpassword:lab123 root#retypenewpassword:lab123基本配置規(guī)范-PolicyPolicy策略四要素Ip地址執(zhí)行動作服務(wù)端口定義流量基本配置規(guī)范-JSRPJSRP是JuniperSRX的私有HA協(xié)議，對應(yīng)ScreenOS的NSRP雙機(jī)集群協(xié)議，支持A/P和A/A模式.JSRP和NSRP最大的區(qū)別在于JSRP是完全意義上的Cluster概念，兩臺設(shè)備完全當(dāng)作一臺設(shè)備來看待,JSRP要求兩臺設(shè)備在軟件版本、硬件型號、板卡數(shù)量、插槽位置及端口使用方面嚴(yán)格一一對應(yīng)。整個JSRP配置過程包括如下7個步驟：配置Clusterid和Nodeid(對應(yīng)ScreenOSNSRP的clusterid并需手工指定設(shè)備使用節(jié)點id）指定ControlPort（指定控制層面使用接口，用于配置同步及心跳）指定FabricLinkPort（指定數(shù)據(jù)層面使用接口，主要session等RTO同步）配置RedundancyGroup（類似NSRP的VSDgroup，優(yōu)先級與搶占等配置）每個機(jī)箱的個性化配置（單機(jī)無需同步的個性化配置，如主機(jī)名、帶外管理口IP地址等）配置RedundantEthernetInterface（類似NSRP的Redundant冗余接口）配置InterfaceMonitoring（類似NSRPinterfacemonitor，是RG數(shù)據(jù)層面切換依據(jù)）基本配置規(guī)范-JSRPJSRP維護(hù)命令a) 手工切換JSRPMaster，RG1原backup將成為Masterroot@srx5800a>requestchassisclusterfailoverredundancy-group1node1b) 手工恢復(fù)JSRP狀態(tài)，按照優(yōu)先級重新確定主備關(guān)系（高值優(yōu)先）root@srx5800b>requestchassisclusterfailoverresetredundancy-group1c) 查看clusterinterfaceroot@router>showchassisclusterinterfacesd) 查看cluster狀態(tài)、節(jié)點狀態(tài)、主備關(guān)系lab@srx5800a#runshowchassisclusterstatuse) 取消cluster配置srx5800a#setchassisclusterdisablerebootf) 恢復(fù)處于disabled狀態(tài)的node當(dāng)controlport或fabriclink出現(xiàn)故障時，為避免出現(xiàn)雙master(split-brain)現(xiàn)象，JSRP會把出現(xiàn)故障前狀態(tài)為secdonary的node設(shè)為disabled狀態(tài)，即除了RE，其余部件都不工作。想要恢復(fù)必須reboot該node。基本配置規(guī)范-SYSLOGSRX的日志分為兩類:events和stream(trafficlog)Events是設(shè)備自身產(chǎn)生的log，比如設(shè)備接口up/down,設(shè)備板卡online/offline，管理員登錄記錄，RPD/MGD等系統(tǒng)進(jìn)程狀態(tài)發(fā)生變化等等.Stream與設(shè)備無關(guān)，是由穿越防火墻的業(yè)務(wù)流量產(chǎn)生的日志記錄，記錄信息包括會話開始/結(jié)束的時間，源地址/端口，目標(biāo)地址/端口，傳輸協(xié)議號，NAT前后的地址，傳輸?shù)陌鼈€數(shù)/字節(jié)數(shù)，命中的安全策略名稱等等，這類事件日志稱為Stream(TrafficLog)。Stream的配置。setsecuritylogmodestreamsetsecuritylogformatsd-syslogsetsecuritylogsource-addressX.X.X.XsetsecuritylogstreamsyslogseveritywarningsetsecuritylogstreamsyslogformatsyslogsetsecuritylogstreamsyslogcategoryallsetsecuritylogstreamsysloghostX.X.X.XEvents的配置setsystemsysloghost10.250.65.125anyanysetsystemsyslogfilemessagesanynoticesetsystemsyslogfilemessagesanyinfosetsystemsyslogfileinteractive-commandsinteractive-commandsanyXXXXXXXXXXXXXXXX13XXXXXXXX2XXXXXXXX基本維護(hù)操作命令4下列操作命令在操作模式下使用，或在配置模式下runshow… Showsystemsof