《Juniper SRX 防火墙透明模式配置手册》由会员分享,可在线阅读,更多相关《Juniper SRX 防火墙透明模式配置手册(13页珍藏版)》请在金锄头文库上搜索。
1、Juniper SRX防火墙配置手册上海神州数码有限公司系统网络技术部Juniper 防火墙安装手册项目编号Juniper200909文档名称JuniperSRX防火墙安装手册编写人樊超完成日期20091001文档修订记录:日期修订版本修订内容修订人一、透明模式配置说明硬件型号SRX3400软件版本 9.6R1.13配置案例图 在上图中ge-0/0/0, ge-0/0/10, ge-0/0/8均让VLAN 199-223穿过。 GSR和cisco 3750,6509之间通过上述vlan连通。 在GSR、3750和6509之间运行3层协议(如ospf、static等) 根据需求,在SRX上运行p
2、olicy实现trust、DMZ和untrust流量控制 Juniper防火墙作为透明模式部署需要建立3个区域,分别、1.1 设置node ID和cluster ID#在操作模式下输入,后面没有注明的则默认是在配置模式下操作#SRX3400-1_L2配置为set chassis cluster node 0 cluster-id 1 reboot#SRX3400-2_L2配置为set chassis cluster node 1 cluster-id 1 reboot1.2 防火墙系统全局配置(初始化配置)#设置root的用户名和密码system root-authentication enc
3、rypted-password $1$R7QtWpjt$OsUXw/4GC.7AiGO2bFHUz.; # SECRET-DATA #添加用户名为lab的用户和密码 login user lab uid 2000; class superuser; authentication encrypted-password $1$h54Sa7e3$cjwdMDkIcvEN89jSZ8eSa/; # SECRET-DATA #设置防火墙自己开启的服务 services ftp; telnet; web-management http; syslog user * any emergency; file
4、messages any notice; authorization info; 1.3 建立集群#双机配置,设置node0为主,node1为备。#设置node0主机名groups node0 system host-name SRX3400-1_L2; backup-router 192.168.2.1 destination 0.0.0.0/0; #设置带外管理地址和带外管理的网关 interfaces fxp0 unit 0 family inet address 192.168.2.254/24; routing-options static route 0.0.0.0/0 next-
5、hop 192.168.2.1; retain; no-readvertise; #设置node1主机名,带外管理地址和带外管理的网关 node1 system host-name SRX3400-2_L2; backup-router 192.168.2.1 destination 0.0.0.0/0; interfaces fxp0 unit 0 family inet address 192.168.2.253/24; routing-options static route 0.0.0.0/0 next-hop 192.168.2.1; retain; no-readvertise;
6、apply-groups $node;1.4 设置cluster冗余组和接口对象#设置reth-count 数目及主机单元的优先级,并设置监控的端口和权重chassis cluster reth-count 3; heartbeat-interval 1000; heartbeat-threshold 3;#redundancy-group 0为引擎组对象,此处将所有业务接口都放到此组中,这样#设置的结果就是只要有一个业务接口down了,则引擎也进行切换,防止出现#业务接口进行了切换,而引擎没有切换的结果 redundancy-group 0 node 0 priority 100; node
7、 1 priority 1; interface-monitor ge-0/0/10 weight 255; ge-0/0/8 weight 255; ge-8/0/8 weight 255; ge-8/0/10 weight 255; ge-0/0/0 weight 255; ge-8/0/0 weight 255; redundancy-group 1 node 0 priority 100; node 1 priority 1; interface-monitor ge-0/0/8 weight 255; ge-8/0/8 weight 255; ge-0/0/10 weight 255
8、; ge-8/0/10 weight 255; ge-0/0/0 weight 255; ge-8/0/0 weight 255; #设置相关的物理接口与相应的logical接口reth关联interfaces ge-0/0/0 gigether-options redundant-parent reth2; ge-0/0/8 gigether-options no-auto-negotiation; redundant-parent reth0; ge-0/0/10 gigether-options no-auto-negotiation; redundant-parent reth1; ge-8/0/0 gigether-options redundant-parent reth2; ge-8/0/8 gigether-options no-auto-negotiation; redundant-parent reth0; ge-8/0/10 gigether-options redundant-parent reth1; #设置两台防火墙互联的接口 fab0 fabric-options member-interfaces ge-0/0/7; fab1 fabric-options member-interfaces ge-8/0/7; irb
