Juniper-SRX防火墻測試方案

JuniperSRX3400防火墻測試方案2012年11月

文檔屬性文檔屬性內(nèi)容項目/任務(wù)名稱項目/任務(wù)編號文檔名稱文檔編號文檔版本號文檔狀態(tài)文檔編寫完成日期作者文檔變更歷史清單文檔版本號變更日期修改人備注目錄目錄1測試目的 32測試工具和環(huán)境 32.1測試工具 32.2測試環(huán)境 43測試內(nèi)容（測試以CLI方式為主，web方式為輔助） 53.1系統(tǒng)版本管理 53.1.1系統(tǒng)版本升級 53.1.2系統(tǒng)版本降級 63.1.3不間斷軟件升級（ISSU） 73.2配置管理 83.2.1配置備份導(dǎo)出 83.2.2配置導(dǎo)入恢復(fù) 93.2.3在線配置對比 103.3設(shè)備可管理性 113.3.1CONSOLE管理 113.3.2TELNET管理 123.3.3SSH管理 123.3.4HTTP管理 133.3.5HTTPS管理 133.3.6限制可管理源IP地址 143.3.7登錄信息提示 153.4可網(wǎng)管性 163.4.1SYSLOG本地查看及輸出 163.4.2TrafficLog本地查看及輸出 173.4.3SNMP管理（版本及源地址限制）未測試 193.4.4CPU數(shù)值采集未測試 193.4.5MEM數(shù)值采集未測試 193.4.6并發(fā)連接數(shù)值采集未測試 203.4.7接口流量數(shù)值采集未測試 203.4.8接口丟包數(shù)據(jù)采集未測試 213.4.9NTP時間同步（認(rèn)證和非認(rèn)證兩種模式）未測試 213.5用戶認(rèn)證功能 213.5.1本地用戶認(rèn)證 213.5.2多用戶等級控制 223.5.3Radius認(rèn)證 233.5.4Tacacs+認(rèn)證、授權(quán)及記帳 253.5.5本地密碼恢復(fù)未測試 273.6路由配置 283.6.1靜態(tài)路由配置 283.7JSRPHA測試 293.7.1JSRP狀態(tài)查看 293.7.2JSRP接口故障切換 303.7.3雙HA線路 313.7.4JSRP會話同步 373.7.5JSRP手工切換 393.7.6RED接口定義及監(jiān)控 443.8策略配置（不支持中文） 473.8.1自定義地址、地址組 473.8.2在用地址、地址組的修改和刪除 483.8.3自定義服務(wù)、服務(wù)組 493.8.4在用服務(wù)、服務(wù)組的修改和刪除 503.8.5自定義Schedule 513.8.6在用schedule修改和刪除 523.8.7FTPALG未測試ftp被動模式 533.8.8新建策略 543.8.9編輯已有策略 553.8.10刪除已有策略 563.8.1禁用已有策略 563.8.2調(diào)整策略位置 573.8.3Service定義的默認(rèn)timeout時間 593.8.4查看策略命中情況及流量信息 603.9NAT地址轉(zhuǎn)換 613.9.1靜態(tài)NAT 613.9.2源地址轉(zhuǎn)換 633.9.3目的地址轉(zhuǎn)換 643.10日常維護(hù) 653.10.1策略校驗 653.10.2端口流量動態(tài)統(tǒng)計 663.10.3管理流量實時分析 683.10.4常用維護(hù)命令測試 693.10.5軟件版本應(yīng)急回退 703.10.6配置文件應(yīng)急回退 703.10.7常用應(yīng)急命令測試 714測試總結(jié) 724.1總體情況 72

測試目的深航引入SRX3400防火墻為辦公網(wǎng)絡(luò)提供安全防護(hù)。SRX防火墻使用JUNOS操作系統(tǒng)，在硬件和軟件上都與現(xiàn)在使用的NETSCREEN防火墻有較大的區(qū)別。為了保證SRX防火墻在網(wǎng)絡(luò)順利部署計劃進(jìn)行此次測試。此次測試的拓?fù)湟陨詈椒阑饓?biāo)準(zhǔn)的部署結(jié)構(gòu)為基礎(chǔ)，測試內(nèi)容包括了深航可能用到的基本功能。并且以此份測試報告為基礎(chǔ)可以生成SRX防火墻在深航部署的標(biāo)準(zhǔn)配置模版和維護(hù)手冊。測試工具和環(huán)境測試工具工具配置數(shù)量SRX3400版本10.4R4.52安裝模塊SRX3K-NPCSRX3K-SPC-1-10-40SRX3K-2XGE-XFPSRX3K-RE-12-10Ex4200版本10.2R1.82安裝模塊Cisco3560版本c3560-ipservices-mz.122-50.SE11安裝模塊Cisco3560版本c3560-ipservicesk9-mz.122-25.SEE31安裝模塊筆記本電腦測試環(huán)境使用EX4200交換機(jī)模擬core區(qū)域核心交換機(jī)，使用cisco3560交換機(jī)模擬IRA區(qū)域核心交換機(jī)，連接拓?fù)洳捎每谧中瓦B接。在每個區(qū)域部署一臺筆記本電腦模擬client和server端。本次測試未測試萬兆接口。測試內(nèi)容（測試以CLI方式為主，web方式為輔助）系統(tǒng)版本管理系統(tǒng)版本升級測試項目：版本升級測試目的：對JunOS防火墻版本升級到目標(biāo)版本進(jìn)行安裝性測試測試拓?fù)洌簻y試方法：將目標(biāo)版本junos-srx1k3k-10.4R4.5-domestic.tgz通過FTP上傳到A機(jī)上，將版本加載到文件系統(tǒng)后重啟；觀察防火墻啟動過程，驗證升級后版本號預(yù)期結(jié)果：防火墻啟動正常，重啟后showver命令看到屏幕輸出結(jié)果中顯示的版本號為要升級的目標(biāo)版本號測試結(jié)果符合要求測試記錄（命令行方式）將版本通過FTP上傳到/var/tmp目錄下：root@SRX-cluster>ftp00Connectedto00.2203Com3CDaemonFTPServerVersion2.0Name(00:root):congdong331Usernameok,needpasswordPassword:230UserloggedinRemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>bin200TypesettoI.ftp>hashHashmarkprintingon(1024bytes/hashmark).ftp>getjunos-srx1k3k-10.4R4.5-domestic.tgz/var/tmp執(zhí)行命令requestsystemsoftwareaddjunos-srx1k3k-10.4R4.5-domestic.tgzno-validatereboot，版本升級之后自動重啟重啟完成后查看新版本root@SRX-cluster>showversionnode0:Hostname:SRX-clusterModel:srx3400JUNOSSoftwareRelease[10.4R4.5]測試記錄（WEB方式）測試人員測試確認(rèn)系統(tǒng)版本降級測試項目：版本降級安裝測試目的：對JunOS防火墻設(shè)備進(jìn)行版本降級測試拓?fù)洌和蠝y試方法：將目標(biāo)版本junos-srx1k3k-10.4R3.4-domestic.tgz通過FTP上傳到A機(jī)上，將版本加載到文件系統(tǒng)后重啟；觀察防火墻啟動過程，驗證升級后版本號預(yù)期結(jié)果：防火墻啟動正常，重啟后showver命令看到屏幕輸出結(jié)果中顯示的版本號為要降級的目標(biāo)版本號測試結(jié)果符合結(jié)果測試記錄（命令行方式）執(zhí)行命令requestsystemsoftwareaddjunos-srx1k3k-10.4R3.4-domestic.tgzno-validatereboot，降級后自動重啟。重啟完成后，查看版本root@SRX-cluster>showversionnode0:Hostname:SRX-clusterModel:srx3400JUNOSSoftwareRelease[10.4R3.4]測試記錄（WEB方式）測試人員測試確認(rèn)不間斷軟件升級（ISSU）測試項目：不間斷軟件升級（ISSU）測試目的：驗證防火墻支持不間斷軟件升級測試拓?fù)洌和蠝y試方法：將版本文件上傳到A上，執(zhí)行ISSU,觀察雙機(jī)升級過程預(yù)期結(jié)果：執(zhí)行ISSU后，雙機(jī)自動完成版本升級測試結(jié)果符合要求測試記錄（命令行方式）將版本文件上傳到A上（B機(jī)不用上傳），在A機(jī)執(zhí)行requestsystemsoftwarein-service-upgradejunos-srx1k3k-10.4R4.5-domestic.tgzreboot。B機(jī)自動加載版本重啟，B機(jī)重啟后自動進(jìn)行狀態(tài)檢測和session同步，當(dāng)B成功升級之后，在B上查看狀態(tài)為:sdb@SRX-cluster>showversionnode1:Hostname:SRX-clusterModel:srx3400JUNOSSoftwareRelease[10.4R4.5]B機(jī)升級完成后，自動主備切換，然后A自動升級，直至升級完成。ISSU升級過程中發(fā)生故障后，可以執(zhí)行版本回退，操作步驟為：在將被回退的設(shè)備上執(zhí)行以下命令：1、requestchassisclusterin-service-upgradeabort中斷ISSU進(jìn)程2、requestsystemsoftwarerollback版本回退3、requestsystemreboot重啟設(shè)備后成為升級前版本注：升級時間較長。測試記錄（WEB方式）無測試人員測試確認(rèn)配置管理配置備份導(dǎo)出測試項目：配置備份導(dǎo)出測試目的：驗證防火墻配置備份導(dǎo)出功能測試拓?fù)洌和蠝y試方法：首先將防火墻配置保存到本地flash上，再將配置上傳到文件服務(wù)器上。預(yù)期結(jié)果：配置保存成功測試結(jié)果符合要求測試記錄（命令行方式）將配置保存到flash：root@SRX-cluster#save/var/tmp/config-backup-2011-5-23查看保存的配置：root@SRX-cluster>startshellroot@SRX-cluster%more/var/tmp/config-backup-2011-5-23

將配置保存到ftp服務(wù)器上：ftp>putconfig-backup-2011-5-23測試記錄（WEB方式）測試人員測試確認(rèn)配置導(dǎo)入恢復(fù)測試項目：配置導(dǎo)入恢復(fù)測試目的：驗證防火墻配置備份導(dǎo)入恢復(fù)功能測試拓?fù)洌和蠝y試方法：首先將文件服務(wù)器中的配置上傳到防火墻，再將配置導(dǎo)入。預(yù)期結(jié)果：配置導(dǎo)入恢復(fù)成功測試結(jié)果符合要求測試記錄（命令行方式）修改fxp0接口IP地址:show|displayset|matchfxpsetgroupsnode0interfacesfxp0unit0familyinetaddress21/24將之前保存的配置恢復(fù)，查看配置是否恢復(fù)：loadoverride/var/tmp/config-backup-2011-5-23show|displayset|matchfxpsetgroupsnode0interfacesfxp0unit0familyinetaddress25/24loadoverride

通過正在裝載的文件完全替代當(dāng)前的候選配置。因此，當(dāng)您保存了整個配置后，可使用這個選項。loadmerge

可將保存好的文件添加到現(xiàn)有的候選配置中。您在添加全新的配置文件片斷時可使用這個選項。例如向原來不提供BGP配置文件的[editprotocols]級別添加BGP配置。loadupdate

可將候選配置與您正在裝載的配置進(jìn)行比較，以便只更改與新配置存在出入的候選配置片斷。例如，當(dāng)您正在裝載的文件將會改變現(xiàn)有的BGP配置時，您應(yīng)使用這個命令。loadreplace

用于查找您添加到已裝載文件中的替換(:)標(biāo)簽并通過標(biāo)簽中規(guī)定的內(nèi)容來替換候選配置中的某些內(nèi)容。如果您希望更嚴(yán)格地控制變化，可使用這個選項。測試記錄（WEB方式）Maintain->configmanagement->upload此處為覆蓋原先配置。測試人員測試確認(rèn)在線配置對比測試項目：在線配置比對測試目的：驗證JunOS防火墻支持在線比對功能測試拓?fù)洌和蠝y試方法：步驟1：將當(dāng)前配置和以前保存的配置比較show|compareconfig-backup-2011-5-23步驟2：當(dāng)前的配置和上一次commit的配置比較show|comparerollback1步驟3：比較系統(tǒng)里面兩個存儲的配置filecomparefilesconfig-backup-2011-5-23.1預(yù)期結(jié)果：JunOS防火墻支持在線比對功能，可以將系統(tǒng)內(nèi)的存儲配置進(jìn)行比對測試結(jié)果符合要求測試記錄（命令行方式）通過步驟1、2、3，比較前后兩份配置的差異（”+”、”>”表示新增配置，”-”、”<”表示減少的配置）root@SRX-cluster#show|compareconfig-backup-2011-5-23[editgroupsnode0interfacesfxp0unit0familyinet]address25/24{...}+address21/24;root@SRX-cluster#show|comparerollback1[editgroupsnode0interfacesfxp0unit0familyinet]!address25/24{...}lab@SRX3600-A#runfilecomparefilesconfig-backup-2011-5-23config-backup-2011-5-23.11c1<##Lastchanged:2011-05-2308:00:49UTC>##Lastchanged:2011-05-2308:55:13UTC33a34>address21/24;測試記錄（WEB方式）Maintain->configmanagement->history選擇Current和1進(jìn)行compare測試人員測試確認(rèn)設(shè)備可管理性CONSOLE管理測試項目：CONSOLE管理測試目的：驗證防火墻CONSOLE管理測試拓?fù)洌和蠝y試方法：驗證能否用CONSOLE方式登陸管理預(yù)期結(jié)果：可以通過CONSOLE方式登陸管理防火墻測試結(jié)果符合要求測試記錄可以CONSOLE方式登陸管理測試人員測試確認(rèn)TELNET管理測試項目：TELNET管理測試目的：驗證防火墻支持TELNET管理測試拓?fù)洌和蠝y試方法：配置防火墻TELNET管理模式，驗證能否用TELNET方式登陸管理預(yù)期結(jié)果：可以通過TELNET方式登陸管理防火墻測試結(jié)果符合要求測試記錄（命令行方式）Setsystemservicetelnet配置完成后可以TELNET登陸管理防火墻以上配置針對fxp接口，若是做帶內(nèi)管理還需要在zone上配置允許測試記錄（WEB方式）Configure->SystemProperties->ManagementAccess->edit->service測試人員測試確認(rèn)SSH管理測試項目：SSH管理測試目的：驗證防火墻支持SSH管理測試拓?fù)洌和蠝y試方法：配置防火墻SSH管理模式，驗證能否用SSH方式登陸管理預(yù)期結(jié)果：可以通過SSH方式登陸管理防火墻測試結(jié)果符合要求測試記錄（命令行方式）Setsystemservicessh配置完成后可以SSH方式登陸管理以上配置針對fxp接口，若是做帶內(nèi)管理還需要在zone上配置允許。測試記錄（WEB方式）Configure->SystemProperties->ManagementAccess->edit->service測試人員測試確認(rèn)HTTP管理測試項目：HTTP管理測試目的：驗證防火墻支持HTTP管理測試拓?fù)洌和蠝y試方法：配置防火墻HTTP管理模式，驗證能否用HTTP界面登陸管理預(yù)期結(jié)果：可以通過HTTP界面登陸管理測試結(jié)果符合要求測試記錄（命令行方式）Setsystemserviceweb-managementhttp配置完成后可以http方式登陸管理以上配置針對fxp接口，若是做帶內(nèi)管理還需要在zone上配置允許。在雙機(jī)HA的情況下，只能http，https登錄REactive防火墻的fxp接口，登錄standby防火墻fxp接口失敗。測試記錄（WEB方式）Configure->SystemProperties->ManagementAccess->edit->service測試人員測試確認(rèn)HTTPS管理測試項目：HTTPS管理測試目的：驗證防火墻支持HTTPS管理測試拓?fù)洌和蠝y試方法：配置防火墻HTTPS管理模式，驗證能否用HTTPS界面登陸管理預(yù)期結(jié)果：可以通過HTTPS界面登陸管理測試結(jié)果符合要求測試記錄（命令行方式）Setsystemserviceweb-managementhttpssystem-generated-certificate配置完成后可以https方式登陸管理以上配置針對fxp接口，若是做帶內(nèi)管理還需要在zone上配置允許在雙機(jī)HA的情況下，只能http，https登錄REactive防火墻的fxp接口，登錄standby防火墻fxp接口失敗。測試記錄（WEB方式）Configure->SystemProperties->ManagementAccess->edit->service測試人員測試確認(rèn)限制可管理源IP地址測試項目：帶外管理控制測試目的：驗證防火墻帶外管理控制功能測試拓?fù)洌和蠝y試方法：配置帶外管理接口并連接筆記本，從PC上telnet登陸防火墻，測試是否可以管理防火墻預(yù)期結(jié)果：能通過帶外管理口進(jìn)行管理測試結(jié)果符合要求測試記錄（命令行方式）配置帶外管理接口后通過帶外網(wǎng)管登入，測試show查看和set配置等命令無問題，配置filter對帶外管理的源地址進(jìn)行限制，功能正常。定義一個filter，限制從帶外telnet訪問到防火墻的源地址root@SRX-cluster#show|displayset|matchfiltersetgroupsnode0interfacesfxp0unit0familyinetfilterinputmanager-ipsetfirewallfiltermanager-iptermmgtfromsource-address00/32setfirewallfiltermanager-iptermmgtthenacceptsetfirewallfiltermanager-iptermicmpfromprotocolicmpsetfirewallfiltermanager-iptermicmpthenaccept將client地址改為00可以訪問fxp0接口地址25將client地址改為01除了icmp，其他協(xié)議不能訪問fxp0接口地址25符合filter的定義。測試記錄（WEB方式）測試人員測試確認(rèn)登錄信息提示測試項目：登錄信息提示測試目的：驗證防火墻登錄信息提示功能測試拓?fù)洌和蠝y試方法：配置登錄信息提示，然后通過telnet，ssh，http，https等方式登錄防火墻，查看登錄信息預(yù)期結(jié)果：可以看到登錄信息測試結(jié)果符合要求測試記錄（命令行方式）setsystemloginmessage"\t\tSRXFireWallTesting\n"測試記錄（WEB方式）這個不算web這個不算web方式，只是在GUI里面進(jìn)行命令行配置。測試人員測試確認(rèn)可網(wǎng)管性SYSLOG本地查看及輸出測試項目：SYSLOG配置測試目的：測試防火墻帶內(nèi)、帶外syslog測試拓?fù)洌和蠝y試方法：配置防火墻的syslog，指向syslog服務(wù)器，確認(rèn)syslog發(fā)送正常。預(yù)期結(jié)果：服務(wù)器能正常接收防火墻syslog。測試結(jié)果符合要求測試記錄（命令行方式）1、在防火墻上配置syslog。在PC上開3CD，啟用syslog服務(wù)。root@SRX-cluster#showsystemsyslog|displaysetsetsystemsysloghost00anyanysetsystemsysloghost00source-address25setsystemsysloghostanyanysetsystemsysloghostsource-address分別將PC接交換機(jī)（帶內(nèi)管理）和防火墻管理口（帶外管理），服務(wù)器收到防火墻發(fā)出的syslog信息測試記錄（WEB方式）測試人員測試確認(rèn)TrafficLog本地查看及輸出測試項目：TrafficLog配置測試目的：測試防火墻帶內(nèi)、帶外trafficlog測試拓?fù)洌和蠝y試方法：配置防火墻的trafficlog，指向syslog服務(wù)器，確認(rèn)syslog發(fā)送正常。預(yù)期結(jié)果：服務(wù)器能正常接收防火墻trafficlog信息。測試結(jié)果符合要求測試記錄（命令行方式）在防火墻上配置trafficlog,PC接交換機(jī)（trafficlog不能通過帶外管理口發(fā)送，只能通過帶內(nèi)管理口發(fā)送）sdb@SRX-cluster#showsecuritylogmodestream;formatsd-syslog;source-address;streamserver{severityinfo;host{00;}}sdb@SRX-cluster#showsecuritypoliciesfrom-zoneIRAto-zonecore{policyicmp{match{source-addressany;destination-addressany;application[junos-icmp-pingjunos-telnet];}then{permit;log{session-init;session-close;}}}}從終端C發(fā)起到終端B的ping和telnet，可以在syslog服務(wù)器上看到info級別的log信息。測試記錄（WEB方式）WEB界面上看不到log記錄測試人員測試確認(rèn)SNMP管理（版本及源地址限制）未測試測試項目：SNMP測試目的：驗證防火墻snmp功能測試拓?fù)洌和蠝y試方法：在防火墻上進(jìn)行標(biāo)準(zhǔn)的snmp配置。通過SNMP服務(wù)器采集設(shè)備的CPU、內(nèi)存、連接數(shù)、端口流量、端口丟包數(shù)等信息，與防火墻上命令看到的結(jié)果進(jìn)行比較。預(yù)期結(jié)果：從網(wǎng)管的snmp服務(wù)器上能看到采集到的防火墻設(shè)備相關(guān)狀態(tài)信息。采集到的數(shù)據(jù)與防火墻上命令看到的結(jié)果基本一致。測試結(jié)果測試記錄（命令行方式）測試記錄（WEB方式）測試人員CPU數(shù)值采集未測試測試項目：CPU數(shù)值采集測試目的：測試防火墻CPU數(shù)值采集功能測試拓?fù)洌和蠝y試方法：通過SNMP服務(wù)器采集設(shè)備的CPU，與防火墻上命令看到的結(jié)果進(jìn)行比較預(yù)期結(jié)果：通過SNMP服務(wù)器采集設(shè)備的CPU與防火墻上命令看到的結(jié)果基本一致測試結(jié)果測試記錄命令：showchassisrouting-engineJuniper提供命令和OID值測試人員MEM數(shù)值采集未測試測試項目：MEM數(shù)值采集測試目的：測試防火墻MEM數(shù)值采集功能測試拓?fù)洌和蠝y試方法：通過SNMP服務(wù)器采集設(shè)備的MEM，與防火墻上命令看到的結(jié)果進(jìn)行比較預(yù)期結(jié)果：通過SNMP服務(wù)器采集設(shè)備的MEM與防火墻上命令看到的結(jié)果基本一致測試結(jié)果測試記錄Juniper提供命令和OID值測試人員并發(fā)連接數(shù)值采集未測試測試項目：并發(fā)連接數(shù)值采集測試目的：測試防火墻并發(fā)連接采集功能測試拓?fù)洌和蠝y試方法：通過SNMP服務(wù)器采集設(shè)備的并發(fā)連接數(shù)，與防火墻上命令看到的結(jié)果進(jìn)行比較預(yù)期結(jié)果：通過SNMP服務(wù)器采集設(shè)備的并發(fā)連接數(shù)與防火墻上命令看到的結(jié)果基本一致測試結(jié)果測試記錄Juniper提供命令和OID值測試人員接口流量數(shù)值采集未測試測試項目：接口流量數(shù)值采集測試目的：測試防火墻接口流量數(shù)值采集功能測試拓?fù)洌和蠝y試方法：預(yù)期結(jié)果：測試結(jié)果測試記錄Juniper提供命令和OID值測試人員接口丟包數(shù)據(jù)采集未測試測試項目：接口丟包數(shù)據(jù)采集測試目的：測試防火墻接口丟包數(shù)據(jù)采集功能測試拓?fù)洌和蠝y試方法：預(yù)期結(jié)果：通過SNMP服務(wù)器采集設(shè)備的接口丟包數(shù)與防火墻實際丟包數(shù)基本一致。測試結(jié)果測試記錄Juniper提供命令和OID值測試人員NTP時間同步（認(rèn)證和非認(rèn)證兩種模式）未測試測試項目：NTP配置測試目的：驗證防火墻NTP同步功能測試拓?fù)洌和蠝y試方法：模擬NTPserver，在防火墻進(jìn)行ntp配置。檢查防火墻時鐘是否和NTPserver時鐘同步。預(yù)期結(jié)果：防火墻配置NTP后能與NTPserver時間進(jìn)行同步測試結(jié)果測試記錄（命令行方式）測試記錄（WEB方式）測試人員用戶認(rèn)證功能本地用戶認(rèn)證測試項目：本地用戶認(rèn)證測試目的：驗證防火墻對本地用戶認(rèn)證的支持測試拓?fù)洌和蠝y試方法：在防火墻上建立本地管理員用戶和只讀用戶，設(shè)置密碼。測試新建用戶能正常登陸。登陸后能取得相應(yīng)權(quán)限。預(yù)期結(jié)果：用本地用戶可以正常登陸并獲得相應(yīng)權(quán)限。測試結(jié)果符合要求測試記錄（命令行方式）本地建立的管理員用戶能登錄和配置管理防火墻設(shè)備，只讀用戶能登陸和查看防火墻setsystemloginuserreaduid2002setsystemloginuserreadclassread-onlysetsystemloginuserreadauthenticationencrypted-password"$1$p/QUo5/4$TGxtV5NHCfH36TW2vkyVc1"setsystemloginusersdbuid2000setsystemloginusersdbclasssuper-usersetsystemloginusersdbauthenticationencrypted-password"$1$qXSkPq8N$shtn2gJWoMZaIFEi8SIDc."測試記錄（WEB方式）測試人員測試確認(rèn)多用戶等級控制測試項目：多用戶等級控制測試目的：驗證防火墻支持多用戶等級控制測試拓?fù)洌和蠝y試方法：在防火墻上建立多個用戶，分別配置不同的class權(quán)限，測試用戶是否具備設(shè)定的權(quán)限。預(yù)期結(jié)果：用戶可以取得各自的class權(quán)限測試結(jié)果符合要求測試記錄（命令行方式）用不同Class級別的用戶登錄防火墻，進(jìn)行命令測試，都可以獲得class中定義的權(quán)限。setsystemloginclassread-sdbidle-timeout10setsystemloginclassread-sdbpermissionsnetworksetsystemloginclassread-sdbpermissionsviewsetsystemloginclassread-sdbpermissionsview-configurationsetsystemloginuserreaduid2002setsystemloginuserreadclassread-sdbsetsystemloginuserreadauthenticationencrypted-password"$1$p/QUo5/4$TGxtV5NHCfH36TW2vkyVc1"測試記錄（WEB方式）測試人員測試確認(rèn)Radius認(rèn)證測試項目：RADIUS認(rèn)證測試目的：測試防火墻RADIUS認(rèn)證功能測試拓?fù)洌和蠝y試方法：在防火墻上進(jìn)行Radius認(rèn)證配置，在AAA服務(wù)器上配置用戶分級策略。測試用戶登入狀態(tài)預(yù)期結(jié)果：多個用戶都能登入到防火墻，并匹配到各自權(quán)限測試結(jié)果符合要求測試記錄（命令行方式）在防火墻上定義只讀用戶read；在radius上定義其他用戶名radius-test，然后在用戶的vsa屬性里指定防火墻本地用戶的用戶名，以繼承該用戶名的權(quán)限類別；防火墻上配置aaaserver指向和通訊key；進(jìn)行用戶登陸測試，aaa用戶可以登陸防火墻并獲得相應(yīng)的權(quán)限。在防火墻上定義radius：setgroupsnode0systemauthentication-orderradiussetgroupsnode0systemradius-server05secret"$9$N6Vs4UjqQF/aZF/CtIR-Vw"setgroupsnode0systemradius-server05timeout5setgroupsnode0systemradius-server05source-address25能不能直接在system下面配置radius能不能直接在system下面配置radius服務(wù)setsystemloginuserreaduid2002setsystemloginuserreadclassread-sdb注：要使用Radius上的Junipervsa繼承屬性，與Netscreen配置不一樣，需要在acs配置的interfaceconfiguration下面的Radius（Juniper）選項下，勾選“Juniper-Local-User-Name”選項，如下圖所示：然后在ACS上定義用戶radius-test的時候，選擇繼承防火墻本地的用戶屬性即可，如下圖所示：測試記錄（WEB方式）測試人員測試確認(rèn)Tacacs+認(rèn)證、授權(quán)及記帳測試項目：Tacacs+認(rèn)證測試目的：測試防火墻Tacacs+證功能測試拓?fù)洌和蠝y試方法：在防火墻上進(jìn)行Tacacs+認(rèn)證配置，在防火墻上定義用戶的權(quán)限，在AAA服務(wù)器上配置用戶。測試用戶登入狀態(tài)預(yù)期結(jié)果：用戶登錄認(rèn)證通過AAA服務(wù)器認(rèn)證，用戶的權(quán)限由防火墻本地授權(quán)，在AAA服務(wù)器上能記錄到accouting信息。測試結(jié)果符合要求測試記錄（命令行方式）防火墻Tacacs+配置：setgroupsnode0systemauthentication-ordertacplussetgroupsnode0systemtacplus-server05secret"$9$FIMz6CuRhr8X-O1X-VwaJ369"setgroupsnode0systemtacplus-server05timeout5setgroupsnode0systemtacplus-server05source-address25setgroupsnode0systemaccountingeventsloginsetgroupsnode0systemaccountingeventschange-logsetgroupsnode0systemaccountingeventsinteractive-commandssetgroupsnode0systemaccountingdestinationtacplusserver05secret"$9$dbw2ajHmFnCZUnCtuEhVwY"setgroupsnode0systemaccountingdestinationtacplusserver05timeout5setgroupsnode0systemaccountingdestinationtacplusserver05source-address25防火墻用戶配置：setsystemloginusertestuid2003setsystemloginusertestclassread-sdb在AAA服務(wù)器上定義test用戶，使用靜態(tài)密碼sdb123使用test用戶登錄防火墻，登錄成功，權(quán)限為read-sdb在AAA服務(wù)器上能看到認(rèn)證信息和accouting信息測試記錄（WEB方式）測試人員測試確認(rèn)本地密碼恢復(fù)未測試測試項目：密碼恢復(fù)測試目的：驗證密碼丟失情況下系統(tǒng)恢復(fù)功能測試拓?fù)洌和蠝y試方法：重啟防火墻，按照提示進(jìn)入單用戶模式，重置密碼預(yù)期結(jié)果：重置密碼成功，可以登陸設(shè)備測試結(jié)果符合要求測試記錄Console口連接SRX，然后重啟SRX。在啟動過程中，console上出現(xiàn)下面的提示的時候，按空格鍵中斷正常啟動方式，然后再進(jìn)入單用戶狀態(tài)，并輸入：boot-sLoading/boot/defaults/loader.conf/kerneldata=……syms=[……]Hit[Enter]tobootimmediately,orspacebarforcommandprompt.loader>loader>boot-s執(zhí)行密碼恢復(fù)：在以下提示文字后輸入recovery，設(shè)備將自動進(jìn)行重啟Enterfullpathnameofshellor'recovery'forrootpasswordrecoveryorRETURNfor/bin/sh:recovery進(jìn)入配置模式，刪除root密碼，并重現(xiàn)設(shè)置root密碼：user@host>configureEnteringconfigurationmodeuser@host#deletesystemroot-authenticationuser@host#setsystemroot-authenticationplain-text-passworduser@host#Newpassword:user@host#Retypenewpassword:user@host#commitcommitcomplete完成后用root密碼登陸防火墻成功。Showconfig查看配置無丟失。測試人員測試確認(rèn)路由配置靜態(tài)路由配置測試項目：靜態(tài)路由測試目的：驗證防火墻支持靜態(tài)路由測試拓?fù)洌簻y試方法：配置防火墻接口zone和地址，配置相關(guān)policy，并開啟靜態(tài)路由。從終端C能ping終端B預(yù)期結(jié)果：驗證靜態(tài)路由能通測試結(jié)果符合要求測試記錄（命令行方式）1.配置靜態(tài)路由sdb@SRX-cluster>showconfiguration|displayset|matchstatsetrouting-optionsstaticroute/24next-hop4setrouting-optionsstaticroute/24next-hop42.配置ICMP策略setsecuritypoliciesfrom-zoneIRAto-zonecorepolicyicmpmatchsource-addressanysetsecuritypoliciesfrom-zoneIRAto-zonecorepolicyicmpmatchdestination-addressanysetsecuritypoliciesfrom-zoneIRAto-zonecorepolicyicmpmatchapplicationjunos-icmp-pingsetsecuritypoliciesfrom-zoneIRAto-zonecorepolicyicmpthenpermit配置完成后，從終端Cping通終端B，可以ping通。測試記錄（WEB方式）測試人員JSRPHA測試JSRP狀態(tài)查看測試項目：JSRP狀態(tài)查看測試目的：測試防火墻JSRP冗余協(xié)議測試拓?fù)洌簻y試方法確認(rèn)兩臺防火墻心跳線連接正常，防火墻雙機(jī)進(jìn)行HAJSRP配置。完成后showchassisclusterstatus查看JSRP狀態(tài)。預(yù)期結(jié)果：JSRP狀態(tài)已經(jīng)生效測試結(jié)果符合要求測試記錄（命令行方式）showchassisclusterstatus后可看到防火墻管理層和轉(zhuǎn)發(fā)側(cè)的主備狀態(tài)，以及各節(jié)點的priority設(shè)置值sdb@SRX-cluster>showchassisclusterstatusClusterID:1NodePrioritytatusPreemptManualfailoverRedundancygroup:0,Failovercount:1node0200primarynononode1100secondarynonoRedundancygroup:1,Failovercount:2node0200primarynononode1100secondarynono{primary:node0}測試記錄（WEB方式）未提供此功能。測試人員測試確認(rèn)JSRP接口故障切換測試項目：JSRP接口故障切換測試目的：驗證JSRP接口監(jiān)控功能測試拓?fù)洌簻y試方法：將接口monitor權(quán)重配置成255，檢驗防火墻主設(shè)備上斷開接口情況下設(shè)備是否發(fā)生切換預(yù)期結(jié)果：Shut與主用防火墻連接交換機(jī)端口時，防火墻HA切換測試結(jié)果符合要求測試記錄（命令行方式）配置接口權(quán)重：setchassisclusterredundancy-group1interface-monitorge-0/0/0weight255setchassisclusterredundancy-group1interface-monitorge-8/0/0weight255setchassisclusterredundancy-group1interface-monitorge-0/0/2weight255setchassisclusterredundancy-group1interface-monitorge-8/0/2weight255一個redundancy-group里面定義多個接口的monitor一個redundancy-group里面定義多個接口的monitor，權(quán)重都為255的話會有問題。只要有一個接口down掉，會引起RG的切換。如果每臺防火墻各down掉一個口，會引起整個RG故障。JSRP初始狀態(tài)：root@SRX-cluster#runshowchassisclusterstatusClusterID:1NodePriorityStatusPreemptManualfailoverRedundancygroup:0,Failovercount:1node0200primarynononode1100secondarynonoRedundancygroup:1,Failovercount:13node0200primarynononode1100secondarynono{primary:node0}[edit]Shut與主用防火墻連接交換機(jī)端口時，防火墻HA切換root@SRX-cluster#runshowchassisclusterstatusClusterID:1NodePriorityStatusPreemptManualfailoverRedundancygroup:0,Failovercount:1node0200primarynononode1100secondarynonoRedundancygroup:1,Failovercount:14node00secondarynononode1100primarynono{primary:node0}[edit]測試記錄（WEB方式）測試人員測試確認(rèn)雙HA線路測試項目：雙HA線路測試目的：驗證防火墻的雙HA線路測試拓?fù)洌簻y試方法：拔除雙HA線路中的DATA-LINK，驗證防火墻雙機(jī)狀態(tài)；拔除雙HA線路中的CONTROL-LINK，驗證防火墻雙機(jī)狀態(tài)；同時拔兩個HA線路，驗證防火墻雙機(jī)狀態(tài)；關(guān)閉主機(jī)，驗證切換情況。預(yù)期結(jié)果：DATA-LINK或CONTROL-LINK中斷時，不影響防火墻主備狀態(tài)；同時拔兩個HA線路后，防火墻雙主；關(guān)閉主機(jī)后，備機(jī)變?yōu)橹?，將主機(jī)重新加電后，主備關(guān)系不變。測試結(jié)果符合要求測試記錄1、拔除DATA-LINK時，主防火墻狀態(tài)不變，備防火墻狀態(tài)不變；session無法同步到備機(jī)，恢復(fù)DATA-LINK后狀態(tài)恢復(fù)正常node0狀態(tài)為：root@SRX-cluster>showchassisclusterstatusClusterID:1NodePriorityStatusPreemptManualfailoverRedundancygroup:0,Failovercount:3node0200primarynononode1100secondarynonoRedundancygroup:1,Failovercount:203node0200primarynononode1100secondarynononode1狀態(tài)為：sdb@SRX-cluster>showchassisclusterstatusClusterID:1NodePriorityStatusPreemptManualfailoverRedundancygroup:0,Failovercount:2node0200primarynononode1100secondarynonoRedundancygroup:1,Failovercount:202node0200primarynononode1100secondarynono主防火墻session：root@SRX-cluster>showsecurityflowsessionnode0:FlowSessionsonFPC6PIC0:Totalsessions:0FlowSessionsonFPC7PIC0:SessionID:140120039,Policyname:icmp/4,State:Active,Timeout:1798,ValidIn:01/61441-->01/23;tcp,If:reth1.0,Pkts:10,Bytes:454Out:01/23-->01/61441;tcp,If:reth0.0,Pkts:8,Bytes:393Totalsessions:1node1:FlowSessionsonFPC6PIC0:Totalsessions:0FlowSessionsonFPC7PIC0:Totalsessions:0{primary:node0}備防火墻session：sdb@SRX-cluster>showsecurityflowsessionnode0:FlowSessionsonFPC6PIC0:Totalsessions:0FlowSessionsonFPC7PIC0:SessionID:140120039,Policyname:icmp/4,State:Active,Timeout:1794,ValidIn:01/61441-->01/23;tcp,If:reth1.0,Pkts:11,Bytes:494Out:01/23-->01/61441;tcp,If:reth0.0,Pkts:9,Bytes:476Totalsessions:1node1:FlowSessionsonFPC6PIC0:Totalsessions:0FlowSessionsonFPC7PIC0:Totalsessions:0{secondary:node1}2、拔除CONTROL-LINK時，在node0上顯示node0狀態(tài)不變?yōu)閜rimary，顯示node1狀態(tài)為lost；在node1上顯示node0狀態(tài)為lost，node1狀態(tài)先為ineligible，最后為disable；恢復(fù)CONTROL-LINK時，備機(jī)自動重啟，重啟后狀態(tài)恢復(fù)正常node0狀態(tài)為：root@SRX-cluster>showchassisclusterstatusClusterID:1NodePriorityStatusPreemptManualfailoverRedundancygroup:0,Failovercount:3node0200primarynononode10lostn/an/aRedundancygroup:1,Failovercount:203node0200primarynononode10lostn/an/a{primary:node0}node1狀態(tài)先為：sdb@SRX-cluster>showchassisclusterstatusClusterID:1NodePriorityStatusPreemptManualfailoverRedundancygroup:0,Failovercount:2node00lostn/an/anode1100ineligiblenonoRedundancygroup:1,Failovercount:202node00lostn/an/anode1100ineligiblenono{ineligible:node1}然后為：sdb@SRX-cluster>showchassisclusterstatusClusterID:1NodePriorityStatusPreemptManualfailoverRedundancygroup:0,Failovercount:2node00lostn/an/anode1100disablednonoRedundancygroup:1,Failovercount:202node00lostn/an/anode1100disablednono{disabled:node1}在node0上查看session：root@SRX-cluster>showsecurityflowsessionnode0:FlowSessionsonFPC6PIC0:SessionID:120060545,Policyname:icmp/4,State:Active,Timeout:1798,ValidIn:01/25089-->01/23;tcp,If:reth1.0,Pkts:10,Bytes:454Out:01/23-->01/25089;tcp,If:reth0.0,Pkts:8,Bytes:393Totalsessions:1FlowSessionsonFPC7PIC0:Totalsessions:0{primary:node0}root@SRX-cluster>{primary:node0}在node1上查看session：sdb@SRX-cluster>showsecurityflowsessionnode1:error:usp_ipc_client_open:failedtoconnecttotheserverafter1retries{disabled:node1}3、同時拔兩個HA時，防火墻變?yōu)殡p主，兩個防火墻上看對方都為lost狀態(tài)node0狀態(tài)為：sdb@SRX-cluster>showchassisclusterstatusClusterID:1NodePriorityStatusPreemptManualfailoverRedundancygroup:0,Failovercount:3node0200primarynononode10lostn/an/aRedundancygroup:1,Failovercount:203node0200primarynononode10lostn/an/a{primary:node0}node1狀態(tài)為：{primary:node1}sdb@SRX-cluster>showchassisclusterstatusClusterID:1NodePriorityStatusPreemptManualfailoverRedundancygroup:0,Failovercount:1node00lostn/an/anode1100primarynonoRedundancygroup:1,Failovercount:1node00lostn/an/anode1100primarynono4、對node0主機(jī)斷電：備機(jī)node1變成主狀態(tài)，node0為lost狀態(tài)。{primary:node1}sdb@SRX-cluster>showchassisclusterstatusClusterID:1NodePriorityStatusPreemptManualfailoverRedundancygroup:0,Failovercount:3node00lostn/an/anode1100primarynonoRedundancygroup:1,Failovercount:5node00lostn/an/anode10primarynono待給主機(jī)node0上電之后，node0為備機(jī)，不再切換回來。{secondary:node0}sdb@SRX-cluster>showchassisclusterstatusClusterID:1NodePriorityStatusPreemptManualfailoverRedundancygroup:0,Failovercount:0node0200secondarynononode1100primarynonoRedundancygroup:1,Failovercount:0node00secondarynononode10primarynono{primary:node1}sdb@SRX-cluster>showchassisclusterstatusClusterID:1NodePriorityStatusPreemptManualfailoverRedundancygroup:0,Failovercount:3node0200secondarynononode1100primarynonoRedundancygroup:1,Failovercount:5node00secondarynononode10primarynono測試人員測試確認(rèn)JSRP會話同步測試項目：JSRP會話同步測試目的：測試防火墻會話同步機(jī)制測試拓?fù)洌和蠝y試方法：模擬IRA到CORE流量，分別在雙機(jī)NODE0和NODE1上查看會話是否同步預(yù)期結(jié)果：防火墻session能自動同步測試結(jié)果符合要求測試記錄（命令行方式）觀察雙機(jī)會話同步在node0上查看：{secondary:node0}sdb@SRX-cluster>showsecurityflowsessionnode0:FlowSessionsonFPC6PIC0:SessionID:120000001,Policyname:icmp/4,State:Backup,Timeout:14386,ValidIn:01/50689-->01/23;tcp,If:reth1.0,Pkts:0,Bytes:0Out:01/23-->01/50689;tcp,If:reth0.0,Pkts:0,Bytes:0Totalsessions:1FlowSessionsonFPC7PIC0:Totalsessions:0node1:FlowSessionsonFPC6PIC0:SessionID:120000266,Policyname:icmp/4,State:Active,Timeout:1782,ValidIn:01/50689-->01/23;tcp,If:reth1.0,Pkts:10,Bytes:454Out:01/23-->01/50689;tcp,If:reth0.0,Pkts:8,Bytes:393Totalsessions:1FlowSessionsonFPC7PIC0:Totalsessions:0在node1上查看：{primary:node1}sdb@SRX-cluster>showsecurityflowsessionnode0:FlowSessionsonFPC6PIC0:SessionID:120000001,Policyname:icmp/4,State:Backup,Timeout:14402,ValidIn:01/50689-->01/23;tcp,If:reth1.0,Pkts:0,Bytes:0Out:01/23-->01/50689;tcp,If:reth0.0,Pkts:0,Bytes:0Totalsessions:1FlowSessionsonFPC7PIC0:Totalsessions:0node1:FlowSessionsonFPC6PIC0:SessionID:120000266,Policyname:icmp/4,State:Active,Timeout:1798,ValidIn:01/50689-->01/23;tcp,If:reth1.0,Pkts:10,Bytes:454Out:01/23-->01/50689;tcp,If:reth0.0,Pkts:8,Bytes:393Totalsessions:1FlowSessionsonFPC7PIC0:Totalsessions:0測試記錄（WEB方式）測試人員測試確認(rèn)JSRP手工切換測試項目：雙機(jī)手工切換測試目的：測試防火墻雙機(jī)手工切換功能測試拓?fù)洌簻y試方法：手工執(zhí)行主備切換命令。完成后查看主備狀態(tài)，檢查mac地址是否發(fā)生變化。再對當(dāng)前主設(shè)備的priority值進(jìn)行重置。預(yù)期結(jié)果：主防火墻上執(zhí)行數(shù)據(jù)轉(zhuǎn)發(fā)層切換命令后，showchassisclusterstatus看到RG1的secondry結(jié)點變?yōu)镻rimary且Priority變?yōu)?55，手工恢復(fù)Priority值后不發(fā)生切換。，切換前后防火墻mac地址不變測試結(jié)果符合要求測試記錄（命令行方式）切換前初始狀態(tài){primary:node0}sdb@SRX-cluster>showchassisclusterstatusClusterID:1NodePriorityStatusPreemptManualfailoverRedundancygroup:0,Failovercount:1node0200primarynononode1