JuniperSRX防火墻簡明配置手冊

1、Juniper SRX防火墻簡明配置手冊目錄一、JUNOS操作系統(tǒng)介紹31.1 層次化配置結(jié)構(gòu)31.2 JunOS配置管理41.3 SRX主要配置內(nèi)容4二、SRX防火墻配置對照說明52.1 初始安裝52.1.1 登陸52.1.2 設(shè)置root用戶口令52.1.3 設(shè)置遠(yuǎn)程登陸管理用戶52.1.4 遠(yuǎn)程管理SRX相關(guān)配置62.2 Policy62.3 NAT72.3.1 Interface based NAT82.3.2 Pool based Source NAT82.3.3 Pool base destination NAT92.3.4 Pool base Static NAT102.4 IP

2、SEC VPN112.5 Application and ALG122.6 JSRP12三、SRX防火墻常規(guī)操作與維護(hù)153.1 設(shè)備關(guān)機(jī)153.2設(shè)備重啟153.3操作系統(tǒng)升級153.4密碼恢復(fù)163.5常用監(jiān)控維護(hù)命令16Juniper SRX防火墻簡明配置手冊SRX系列防火墻是Juniper公司基于JUNOS操作系統(tǒng)的安全系列產(chǎn)品，JUNOS集成了路由、交換、安全性和一系列豐富的網(wǎng)絡(luò)服務(wù)。目前Juniper公司的全系列路由器產(chǎn)品、交換機(jī)產(chǎn)品和SRX安全產(chǎn)品均采用統(tǒng)一源代碼的JUNOS操作系統(tǒng)，JUNOS是全球首款將轉(zhuǎn)發(fā)與控制功能相隔離，并采用模塊化軟件架構(gòu)的網(wǎng)絡(luò)操作系統(tǒng)。JUNOS作為電

3、信級產(chǎn)品的精髓是Juniper真正成功的基石，它讓企業(yè)級產(chǎn)品同樣具有電信級的不間斷運(yùn)營特性，更好的安全性和管理特性，JUNOS軟件創(chuàng)新的分布式架構(gòu)為高性能、高可用、高可擴(kuò)展的網(wǎng)絡(luò)奠定了基礎(chǔ)。基于NP架構(gòu)的SRX系列產(chǎn)品產(chǎn)品同時提供性能優(yōu)異的防火墻、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要來源于已被廣泛證明的ScreenOS操作系統(tǒng)。 本文旨在為熟悉Netscreen防火墻ScreenOS操作系統(tǒng)的工程師提供SRX防火墻參考配置，以便于大家能夠快速部署和維護(hù)SRX防火墻，文檔介紹JUNOS操作系統(tǒng)，并參考ScreenOS配置介紹SRX防火墻配置方法，最后

4、對SRX防火墻常規(guī)操作與維護(hù)做簡要說明。一、JUNOS操作系統(tǒng)介紹1.1 層次化配置結(jié)構(gòu)JUNOS采用基于FreeBSD內(nèi)核的軟件模塊化操作系統(tǒng)，支持CLI命令行和WEBUI兩種接口配置方式，本文主要對CLI命令行方式進(jìn)行配置說明。JUNOS CLI使用層次化配置結(jié)構(gòu)，分為操作（operational）和配置（configure）兩類模式，在操作模式下可對當(dāng)前配置、設(shè)備運(yùn)行狀態(tài)、路由及會話表等狀態(tài)進(jìn)行查看及設(shè)備運(yùn)維操作，并通過執(zhí)行config或edit命令進(jìn)入配置模式，在配置模式下可對各相關(guān)模塊進(jìn)行配置并能夠執(zhí)行操作模式下的所有命令（run）。在配置模式下JUNOS采用分層分級模塊下配置結(jié)構(gòu)，

5、如下圖所示，edit命令進(jìn)入下一級配置（類似unix cd命令）,exit命令退回上一級，top命令回到根級。1.2 JunOS配置管理JUNOS通過set語句進(jìn)行配置，配置輸入后并不會立即生效，而是作為候選配置（CandidateConfig）等待管理員提交確認(rèn)，管理員通過輸入commit命令來提交配置，配置內(nèi)容在通過SRX語法檢查后才會生效，一旦commit通過后當(dāng)前配置即成為有效配置（Active config）。另外，JUNOS允許執(zhí)行commit命令時要求管理員對提交的配置進(jìn)行兩次確認(rèn)，如執(zhí)行commit confirmed 2命令要求管理員必須在輸入此命令后2分鐘內(nèi)再次輸入comm

6、it以確認(rèn)提交，否則2分鐘后配置將自動回退，這樣可以避免遠(yuǎn)程配置變更時管理員失去對SRX的遠(yuǎn)程連接風(fēng)險。在執(zhí)行commit命令前可通過配置模式下show命令查看當(dāng)前候選配置（Candidate Config），在執(zhí)行commit后配置模式下可通過run show config命令查看當(dāng)前有效配置（Active config）。此外可通過執(zhí)行show | compare比對候選配置和有效配置的差異。SRX上由于配備大容量硬盤存儲器，缺省按先后commit順序自動保存50份有效配置，并可通過執(zhí)行rolback和commit命令返回到以前配置（如rollback 0/commit可返回到前一comm

7、it配置）；也可以直接通過執(zhí)行save configname.conf手動保存當(dāng)前配置，并執(zhí)行l(wèi)oad override configname.conf / commit調(diào)用前期手動保存的配置。執(zhí)行l(wèi)oad factory-default / commit命令可恢復(fù)到出廠缺省配置。SRX可對模塊化配置進(jìn)行功能關(guān)閉與激活，如執(zhí)行deactivate security nat/comit命令可使NAT相關(guān)配置不生效，并可通過執(zhí)行activate security nat/commit使NAT配置再次生效。SRX通過set語句來配置防火墻，通過delete語句來刪除配置，如delete securi

8、ty nat和edit security nat / delete一樣，均可刪除security防火墻層級下所有NAT相關(guān)配置，刪除配置和ScreenOS不同，配置過程中需加以留意。1.3 SRX主要配置內(nèi)容部署SRX防火墻主要有以下幾個方面需要進(jìn)行配置：System：主要是系統(tǒng)級內(nèi)容配置，如主機(jī)名、管理員賬號口令及權(quán)限、時鐘時區(qū)、Syslog、SNMP、系統(tǒng)級開放的遠(yuǎn)程管理服務(wù)（如telnet）等內(nèi)容。Interface:接口相關(guān)配置內(nèi)容。Security: 是SRX防火墻的主要配置內(nèi)容，安全相關(guān)部分內(nèi)容全部在Security層級下完成配置，如NAT、Zone、Policy、Address-

9、book、Ipsec、Screen、Idp等，可簡單理解為ScreenOS防火墻安全相關(guān)內(nèi)容都遷移至此配置層次下，除了Application自定義服務(wù)。Application：自定義服務(wù)單獨(dú)在此進(jìn)行配置，配置內(nèi)容與ScreenOS基本一致。routing-options： 配置靜態(tài)路由或router-id等系統(tǒng)全局路由屬性配置。二、SRX防火墻配置對照說明2.1 初始安裝2.1.1 登陸Console口(通用超級終端缺省配置)連接SRX，root用戶登陸，密碼為空login: rootPassword:- JUNOS built 2009-07-16 15:04:30 UTCroot% cli

10、 /*進(jìn)入操作模式*/root> root> configureEntering configuration mode /*進(jìn)入配置模式*/editRoot#2.1.2 設(shè)置root用戶口令設(shè)置root用戶口令root# set system root-authentication plain-text-passwordroot# new password : root123root# retype new password: root123密碼將以密文方式顯示root# show system root-authentication encrypted-password &quo

11、t;$1$xavDeUe6$fNM6olGU.8.M7B62u05D6." # SECRET-DATA注意：強(qiáng)烈建議不要使用其它加密選項(xiàng)來加密root和其它user口令(如encrypted-password加密方式)，此配置參數(shù)要求輸入的口令應(yīng)是經(jīng)加密算法加密后的字符串，采用這種加密方式手工輸入時存在密碼無法通過驗(yàn)證風(fēng)險。注：root用戶僅用于console連接本地管理SRX，不能通過遠(yuǎn)程登陸管理SRX，必須成功設(shè)置root口令后，才能執(zhí)行commit提交后續(xù)配置命令。2.1.3 設(shè)置遠(yuǎn)程登陸管理用戶root# set system login user lab class sup

12、er-user authentication plain-text-passwordroot# new password : lab123root# retype new password: lab123注：此lab用戶擁有超級管理員權(quán)限，可用于console和遠(yuǎn)程管理訪問，另也可自行靈活定義其它不同管理權(quán)限用戶。 遠(yuǎn)程管理SRX相關(guān)配置run set date YYYYMMDDhhmm.ss/*設(shè)置系統(tǒng)時鐘*/set system time-zone Asia/Shanghai/*設(shè)置時區(qū)為上海*/set system host-name SRX3400-A/*設(shè)置主機(jī)名*/set syst

13、em name-server .1 /*設(shè)置DNS服務(wù)器*/set system services ftpset system services telnet set system services web-management http /*在系統(tǒng)級開啟ftp/telnet/http遠(yuǎn)程接入管理服務(wù)*/set interfaces ge-0/0/0.0 family inet address .1/24或set interfaces ge-0/0/0 unit 0 family inet address /24set interfaces ge-0/0/1 unit 0 fa

14、mily inet address /24set routing-options static route .0/0 next-hop /*配置邏輯接口地址及缺省路由，SRX接口要求IP地址必須配置在邏輯接口下（類似ScreenOS的子接口），通常使用邏輯接口0即可*/set security zones security-zone untrust interfaces ge-0/0/0.0/*將ge-0/0/0.0接口放到untrust zone去，類似ScreenOS*/set security zones security-zone untrust hos

15、t-inbound-traffic system-services pingset security zones security-zone untrust host-inbound-traffic system-services httpset security zones security-zone untrust host-inbound-traffic system-services telnet/*在untrust zone打開允許遠(yuǎn)程登陸管理服務(wù)，ScreenOS要求基于接口開放服務(wù)，SRX要求基于Zone開放，從SRX主動訪問出去流量開啟服務(wù)，類似ScreenOS*/2.2 Po

16、licyPolicy配置方法與ScreenOS基本一致，僅在配置命令上有所區(qū)別，其中策略的允許/拒絕的動作（Action）需要額外配置一條then語句(將ScreenOS的一條策略分解成兩條及以上配置語句)。Policy需要手動配置policy name，policy name可以是字符串，也可以是數(shù)字（與ScreenOS的policy ID類似,只不過需要手工指定）。set security zones security-zone trust address-book address pc1 .10/32set security zones security-zone untrust add

17、ress-book address server1 .1/32/*與ScreenOS一樣，在trust和untrust zone下分別定義地址對象便于策略調(diào)用，地址對象的名稱可以是地址/掩碼形式*/set security zones security-zone trust address-book address-set addr-group1 address pc1/*在trust zone下定義名稱為add-group1的地址組，并將pc1地址放到該地址組中*/set security policies from-zone trust to-zone untrust policy 001

18、 match source-address addr-group1 destination-address server1 application anyset security policies from-zone trust to-zone untrust policy 001 then permit/*定義從trust 到untrust方向permit策略，允許addr-group1組的源地址訪問server1地址any服務(wù)*/2.3 NATSRX NAT較ScreenOS在功能實(shí)現(xiàn)方面基本保持一致，但在功能配置上有較大區(qū)別，配置的主要差異在于ScreenOS的NAT與policy是綁定

19、的，無論是MIP/VIP/DIP還是基于策略的NAT，在policy中均要體現(xiàn)出NAT內(nèi)容（除了缺省基于untrust接口的Souec-NAT模式外），而SRX 的NAT則作為網(wǎng)絡(luò)層面基礎(chǔ)內(nèi)容進(jìn)行獨(dú)立配置（獨(dú)立定義地址映射的方向、映射關(guān)系及地址范圍），Policy中不再包含NAT相關(guān)配置信息，這樣的好處是易于理解、簡化運(yùn)維，當(dāng)網(wǎng)絡(luò)拓樸和NAT映射關(guān)系發(fā)生改變時，無需調(diào)整Policy配置內(nèi)容。SRX NAT和Policy執(zhí)行先后順序?yàn)椋耗康牡刂忿D(zhuǎn)換目的地址路由查找執(zhí)行策略檢查源地址轉(zhuǎn)換，結(jié)合這個執(zhí)行順序，在配置Policy時需注意：Policy中源地址應(yīng)是轉(zhuǎn)換前的源地址，而目的地址應(yīng)該是轉(zhuǎn)換后的

20、目的地址，換句話說，Policy中的源和目的地址應(yīng)該是源和目的兩端的真實(shí)IP地址，這一點(diǎn)和ScreenOS存在區(qū)別，需要加以注意。SRX中不再使用MIP/VIP/DIP這些概念，其中MIP被Static靜態(tài)地址轉(zhuǎn)換取代，兩者在功能上完全一致；DIP被Source NAT取代；基于Policy的目的地址轉(zhuǎn)換及VIP被 Destination NAT取代。ScreenOS中基于Untrust zone接口的源地址轉(zhuǎn)換被保留下來，但在SRX中不再是缺省模式（SRX中Trust Zone接口沒有NAT模式概念），需要手工配置。類似ScreenOS，Static屬于雙向NAT，其他類型均屬于單向NAT，

21、此外，SRX還多了一個proxy-arp概念，如果定義的IP Pool（可用于源或目的地址轉(zhuǎn)換）與接口IP在同一子網(wǎng)時，需配置SRX對這個Pool內(nèi)的地址提供ARP代理功能，這樣對端設(shè)備能夠解析到IP Pool地址的MAC地址（使用接口MAC地址響應(yīng)對方），以便于返回報文能夠送達(dá)SRX。下面是配置舉例及相關(guān)說明： Interface based NATNAT：set security nat source rule-set 1 from zone trustset security nat source rule-set 1 to zone untrustset security nat so

22、urce rule-set 1 rule rule1 match source-address set security nat source rule-set 1 rule rule1 then source-nat interface上述配置定義NAT源地址映射規(guī)則，從Trust Zone訪問Untrust Zone的所有流量用Untrust Zone接口IP做源地址轉(zhuǎn)換。Policy:set security policies from-zone trust to-zone untrust policy 1 match source-address set securit

23、y policies from-zone trust to-zone untrust policy 1 match destination-address anyset security policies from-zone trust to-zone untrust policy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配置定義Policy策略，允許Trust zone .2地址訪問Untrust方向任何地址，根據(jù)前面的NAT配置，SR

24、X在建立session時自動執(zhí)行接口源地址轉(zhuǎn)換。2.3.2 Pool based Source NATNAT：set security nat source pool pool-1 address 0 to 0set security nat source rule-set 1 from zone trustset security nat source rule-set 1 to zone untrustset security nat source rule-set 1 rule rule1 match source-address set securi

25、ty nat source rule-set 1 rule rule1 then source-nat pool pool-1set security nat proxy-arp interface ge-0/0/2 address 0 to 0上述配置表示從trust方向（any）到untrust方向(any)訪問時提供源地址轉(zhuǎn)換，源地址池為pool1(0 -0)，同時ge-0/0/2接口為此pool IP提供ARP代理。需要注意的是：定義Pool時不需要與Zone及接口進(jìn)行關(guān)聯(lián)。配置proxy-arp目的是讓返回包能夠

26、送達(dá)SRX，如果Pool與出接口IP不在同一子網(wǎng)，則對端設(shè)備需要配置指向的Pool地址路由。Policy：set security policies from-zone trust to-zone untrust policy 1 match source-address .2set security policies from-zone trust to-zone untrust policy 1 match destination-address anyset security policies from-zone trust to-zone untrust policy

27、 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permit上述配置定義Policy策略，允許Trust zone .2地址訪問Untrust方向任何地址，根據(jù)前面的NAT配置，SRX在建立session時自動執(zhí)行源地址轉(zhuǎn)換。2.3.3 Pool base destination NATNAT：set security nat destination pool 111 address 1/32set security nat destination rule-

28、set 1 from zone untrustset security nat destination rule-set 1 rule 111 match source-address .0/0set security nat destination rule-set 1 rule 111 match destination-address /32set security nat destination rule-set 1 rule 111 then destination-nat pool 111上述配置將外網(wǎng)any訪問00地址映射到內(nèi)網(wǎng)00

29、地址，注意：定義的Dst Pool是內(nèi)網(wǎng)真實(shí)IP地址，而不是映射前的公網(wǎng)地址。這點(diǎn)和Src-NAT Pool有所區(qū)別。Policy：set security policies from-zone untrust to-zone trust policy 1 match source-address anyset security policies from-zone untrust to-zone trust policy 1 match destination-address 1set security policies from-zone untrust to-zone trust pol

30、icy 1 match application anyset security policies from-zone untrust to-zone trust policy 1 then permit上述配置定義Policy策略，允許Untrust方向任何地址訪問Trust方向00，根據(jù)前面的NAT配置，公網(wǎng)訪問00時，SRX自動執(zhí)行到00的目的地址轉(zhuǎn)換。ScreenOS VIP功能對應(yīng)的SRX Dst-nat配置：set security nat destination pool 222 address 192.168.

31、1.200/32 port 8000set security nat destination rule-set 1 from zone untrustset security nat destination rule-set 1 rule 111 match source-address .0/0set security nat destination rule-set 1 rule 111 match destination-port 8000set security nat destination rule-set 1 rule 111 then destination-nat pool

32、222上述NAT配置定義：訪問00地址8000端口映射至00地址8000端口，功能與ScreenOS VIP端口映射一致。2.3.4 Pool base Static NATNAT：set security nat static rule-set static-nat from zone untrustset security nat static rule-set static-nat rule rule1 match destination-address set security nat static rule-set static-nat

33、 rule rule1 then static-nat prefix 00Policy:set security policies from-zone trust to-zone untrust policy 1 match source-address anyset security policies from-zone trust to-zone untrust policy 1 match destination-address 00set security policies from-zone trust to-zone untrust po

34、licy 1 match application anyset security policies from-zone trust to-zone untrust policy 1 then permitStatic NAT概念與ScreenOS MIP一致，屬于靜態(tài)雙向一對一NAT，上述配置表示訪問00時轉(zhuǎn)換為00，當(dāng)00訪問Internet時自動轉(zhuǎn)換為00。2.4 IPSEC VPNSRX IPSEC VPN支持Site-to-Site VPN 和基于NS-remote的撥號VPN，和Scree

35、nOS一樣，site-to-site VPN也支持路由模式和Policy模式，在配置方面也和ScreenOS基本一致。SRX中的加密/驗(yàn)證算法在命名上和ScreenOS存在一些區(qū)別，配置過程中建議選擇ike和ipsec的proposal為 standard模式，standard中包含SRX支持的全部加密/驗(yàn)證算法，只要對端設(shè)備支持其中任何一種即可。SRX中通道接口使用st0接口，對應(yīng)ScreenOS中的tunnel虛擬接口。下面是圖中左側(cè)SRX基于路由方式Site-to-site VPN配置：set interfaces st0 unit 0 family inet address .1/24

36、set security zones security-zone untrust interfaces st0.0 set routing-options static route .0/24 next-hop st0.0 定義st0 tunnel接口地址/Zone及通過VPN通道到對端網(wǎng)絡(luò)路由set security ike policy ABC mode mainset security ike policy ABC proposal-set standardset security ike policy ABC pre-shared-key ascii-text juniper定義IKE

37、 Phase1 policy參數(shù)，main mode，standard proposal及預(yù)共享密鑰方式set security ike gateway gw1 ike-policy ABCset security ike gateway gw1 address 1.1set security ike gateway gw1 external-interface ge-0/0/1.0定義IKE gaeway參數(shù)，預(yù)共享密鑰認(rèn)證，對端網(wǎng)關(guān).1，出接口ge-0/0/1（位于untrust zone）set security ipsec policy AAA proposal-set standar

38、dset security ipsec vpn vpn1 bind-interface st0.0set security ipsec vpn vpn1 ike gateway gw1set security ipsec vpn vpn1 ike ipsec-policy AAAset security ipsec vpn vpn1 establish-tunnels immediately定義ipsec Phase 2 VPN參數(shù)：standard proposal、與st0.0接口綁定，調(diào)用Phase 1 gw1 ike網(wǎng)關(guān)。set security policies from-zone

39、untrust to-zone trust policy vpn-policy match source-address anyset security policies from-zone untrust to-zone trust policy vpn-policy match destination-address anyset security policies from-zone untrust to-zone trust policy vpn-policy match application anyset security policies from-zone untrust to

40、-zone trust policy vpn-policy then permit set security policies from-zone trust to-zone untrust policy vpn-policy match source-address anyset security policies from-zone trust to-zone untrust policy vpn-policy match destination-address anyset security policies from-zone trust to-zone untrust policy

41、vpn-policy match application anyset security policies from-zone trust to-zone untrust policy vpn-policy then permit開啟雙向policy以允許VPN流量通過2.5 Application and ALGSRX中自定義服務(wù)及ALG使用方法與ScreenOS保持一致，系統(tǒng)缺省開啟FTP ALG，為TCP 21服務(wù)提供FTP應(yīng)用ALG。自定義服務(wù)如果屬于FTP類應(yīng)用，需要將此自定義服務(wù)（非TCP 21端口）與FTP應(yīng)用進(jìn)行關(guān)聯(lián)。下面舉例定義一個FTP類服務(wù)ftp-test，使用目的端口為

42、TCP 2100，服務(wù)超時時間為3600秒，并將此自定義服務(wù)與FTP應(yīng)用關(guān)聯(lián)（ALG），系統(tǒng)將識別此服務(wù)為FTP應(yīng)用并開啟FTP ALG來處理該應(yīng)用流量。set applications application ftp-test protocol tcp destination-port 2100 inactivity-timeout 3600set applications application ftp-test application-protocol ftp2.6 JSRPJSRP是Juniper SRX的私有HA協(xié)議，對應(yīng)ScreenOS的NSRP雙機(jī)集群協(xié)議，支持A/P和A/A模式

43、，JSRP對ScreenOS NSRP協(xié)議和JUNOS Cluster集群技術(shù)進(jìn)行了整合集成，熟悉NSRP協(xié)議有助于對JSRP協(xié)議的理解。JSRP和NSRP最大的區(qū)別在于JSRP是完全意義上的Cluster概念，兩臺設(shè)備完全當(dāng)作一臺設(shè)備來看待，兩臺設(shè)備的接口板卡順序編號、運(yùn)維變更將對兩臺設(shè)備同時進(jìn)行操作，無需額外執(zhí)行ScreenOS的配置和會話同步等操作，而ScreenOS NSRP可看作在同步配置和動態(tài)對象（session）基礎(chǔ)上獨(dú)立運(yùn)行的兩臺單獨(dú)設(shè)備。JSRP要求兩臺設(shè)備在軟件版本、硬件型號、板卡數(shù)量、插槽位置及端口使用方面嚴(yán)格一一對應(yīng)。由于SRX 是轉(zhuǎn)發(fā)與控制層面完全分裂架構(gòu)，JSRP需

44、要控制層面 (配置同步)和數(shù)據(jù)層面(Session同步)兩個平面的互聯(lián)，建議控制和數(shù)據(jù)層面互聯(lián)鏈路使用光纖鏈路直連（部分平臺強(qiáng)制要求光纖鏈路直連）。JSRP接口命名方式采用多個機(jī)箱抽象成一個邏輯機(jī)箱之后再統(tǒng)一為各個槽位進(jìn)行編號，如上所示的SRX5800，每個SRX5800機(jī)箱有12個業(yè)務(wù)槽位，節(jié)點(diǎn)0槽位號從0開始編號，節(jié)點(diǎn)1槽位號從12開始往后編。整個JSRP配置過程包括如下7個步驟l 配置Cluster id和Node id (對應(yīng)ScreenOS NSRP 的cluster id并需手工指定設(shè)備使用節(jié)點(diǎn)id）l 指定Control Port （指定控制層面使用接口，用于配置同步及心跳）l

45、指定Fabric Link Port （指定數(shù)據(jù)層面使用接口，主要session等RTO同步）l 配置Redundancy Group （類似NSRP的VSD group，優(yōu)先級與搶占等配置）l 每個機(jī)箱的個性化配置 （單機(jī)無需同步的個性化配置，如主機(jī)名、帶外管理口IP地址等）l 配置Redundant Ethernet Interface （類似NSRP的Redundant冗余接口）l 配置Interface Monitoring （類似NSRP interface monitor，是RG數(shù)據(jù)層面切換依據(jù)）SRX JSRP配置樣例：l 配置Cluster id和Node idSRX-A>

46、;set chassis cluster cluster-id 1 node 0 reboot（注意該命令需在operational模式下輸入，Cluster ID取值范圍為1 15，當(dāng)Cluster ID = 0時將unsets the cluster）SRX-B>set chassis cluster cluster-id 1 node 1 rebootl 指定Control Port（如果主控板RE上有固定control-ports，則無需指定）：set chassis cluster control-ports fpc 11 port 0set chassis cluster c

47、ontrol-ports fpc 23 port 0l 指定Fabric Link Port set interfaces fab0 fabric-options member-interfaces ge-1/0/0set interfaces fab1 fabric-options member-interfaces ge-13/0/0注：Fabric Link中的Fab0固定用于node 0，F(xiàn)ab1固定用于node 1l 配置Redundancy GroupRG0固定用于主控板RE切換，RG1以后用于redundant interface切換，RE切換獨(dú)立于接口切換set chassis

48、 cluster reth-count 10 （指定整個Cluster中redundant ethernet interface最多數(shù)量）set chassis cluster redundancy-group 0 node 0 priority 200 （高值優(yōu)先，與NSRP相反）set chassis cluster redundancy-group 0 node 1 priority 100set chassis cluster redundancy-group 1 node 0 priority 200 （高值優(yōu)先，與NSRP相反）set chassis cluster redunda

49、ncy-group 1 node 1 priority 100l 每個機(jī)箱的個性化配置，便于對兩臺設(shè)備的區(qū)分與管理set groups node0 system host-name SRX-Aset groups node0 interfaces fxp0 unit 0 family inet address .1/24 （帶外網(wǎng)管口名稱為fxp0，區(qū)別ScreenOS的MGT口）set groups node1 system host-name SRX-Bset groups node1 interfaces fxp0 unit 0 family inet address .2/24set

50、apply-groups $node （應(yīng)用上述groups配置）l 配置Redundant Ethernet InterfaceRedundant Ethernet Interface類似ScreenOS里的redundant interface，只不過Redundant Ethernet interface是分布在不同的機(jī)箱上 (這一特性又類似ScreenOS 的VSI接口)。Set interface ge-0/0/0 gigether-options redundant-parent reth0 （node 1的ge-0/0/0接口）Set interface ge-13/0/0 gi

51、gether-options redundant-parent reth0 （node 1的ge-0/0/0接口）Set interface reth0 redundant-ether-options redundancy-group 1 （reth0屬于RG1）Set interface reth0 unit 0 l 配置Interface Monitoring，被監(jiān)控的接口Down掉后，RG1將自動進(jìn)行主備切換（與ScreenOS類似），Set cluster redundancy-group 1 interface-monitor ge-0/0/0 weight 255Set clust

52、er redundancy-group 1 interface-monitor ge-0/0/1 weight 255Set cluster redundancy-group 1 interface-monitor ge-13/0/0 weight 255Set cluster redundancy-group 1 interface-monitor ge-13/0/1 weight 255l JSRP維護(hù)命令a) 手工切換JSRP Master，RG1 原backup將成為Masterrootsrx5800a> request chassis cluster failover redu

53、ndancy-group 1 node 1b) 手工恢復(fù)JSRP狀態(tài)，按照優(yōu)先級重新確定主備關(guān)系（高值優(yōu)先）rootsrx5800b> request chassis cluster failover reset redundancy-group 1c) 查看cluster interfacerootrouter> show chassis cluster interfacesd) 查看cluster 狀態(tài)、節(jié)點(diǎn)狀態(tài)、主備關(guān)系labsrx5800a# run show chassis cluster status e) 取消cluster配置srx5800a# set c

54、hassis cluster disable rebootf) 升級JSRP軟件版本SRX目前暫不支持軟件在線升級（ISSU），升級過程會中斷業(yè)務(wù)。升級步驟如下：1.升級node 0，注意不要重啟系統(tǒng)2.升級node 1，注意不要重啟系統(tǒng).3.同時重啟兩個系統(tǒng)g) 恢復(fù)處于disabled狀態(tài)的node當(dāng)control port或fabric link出現(xiàn)故障時，為避免出現(xiàn)雙master (split-brain)現(xiàn)象，JSRP會把出現(xiàn)故障前狀態(tài)為secdonary的node設(shè)為disabled狀態(tài)，即除了RE，其余部件都不工作。想要恢復(fù)必須reboot該node。三、SRX防火墻常規(guī)操作與維

55、護(hù)3.1 設(shè)備關(guān)機(jī)SRX因?yàn)橹骺匕迳嫌写笕萘坑脖P，為防止強(qiáng)行斷電關(guān)機(jī)造成硬件故障，要求設(shè)備關(guān)機(jī)必須按照下面的步驟進(jìn)行操作：1. 管理終端連接SRX console口。2. 使用具有足夠權(quán)限的用戶名和密碼登陸CLI命令行界面。3. 在提示符下輸入下面的命令：userhost> request system haltThe operating system has halted.Please press any key to reboot(除非需要重啟設(shè)備，此時不要敲任何鍵，否則設(shè)備將進(jìn)行重啟)4. 等待console輸出上面提示信息后，確認(rèn)操作系統(tǒng)已停止運(yùn)行，關(guān)閉機(jī)箱背后電源模塊電源。3.

56、2 設(shè)備重啟SRX重啟必須按照下面的步驟進(jìn)行操作：1. 管理終端連接SRX console口。2. 使用具有足夠權(quán)限的用戶名和密碼登陸CLI命令行界面。3. 在提示符下輸入下面的命令：userhost> request system reboot4. 等待console設(shè)備的輸出，操作系統(tǒng)已經(jīng)重新啟動。3.3 操作系統(tǒng)升級SRX操作系統(tǒng)軟件升級必須按照下面的步驟進(jìn)行操作：1. 管理終端連接SRX console口，便于升級過程中查看設(shè)備重啟和軟件加載狀態(tài)。2. SRX上開啟FTP服務(wù)，并使用具有超級用戶權(quán)限的非root用戶通過FTP客戶端將下載的升級軟件介質(zhì)上傳到SRX上。3. 升級前，執(zhí)行下面的命令備份舊的軟件及設(shè)定：userhost> request system snapshot4. 加載新的SRX軟件：userhost> request system software add validate filename.tgz reboot5. 軟件加載成功后， SRX將自動重啟，重啟完成后檢查系統(tǒng)當(dāng)前軟件版本號：userhost> show system sof