Juniper SRX 設備恢復出廠配置


Juniper SRX (Junos OS)設備恢復出廠配置


在什麼情況下我們需要將SRX防火牆恢復出廠設定呢?
一、當您忘記密碼無法登入管理設備時
其實忘記密碼我們還有另一個選擇,就是透過密碼恢復程序來重新設定密碼,請參考下列之網路連結:
二、要重新配置系統時


恢復出廠配置後SRX防火牆設備的狀態:
SRX100/210恢復出廠配置後,系統預設端口0/0WAN(廣域網路,也就是上網的端口)0/1~0/7LAN(區域網路,接個人電腦用)
系統預設登入帳號為 root ,密碼為空(即不須輸入任何密碼)
這時只要WAN端口所接入的設備能自動分派IP(具有DHCP功能),不須任何設定,您就可以透過恢復出廠配置後SRX設備來上網。
此時任何人都可以從LAN端口透過WebUI(J-Web)SSH或是telnet介面,利用root帳號來登入SRX設備,並取得設備的最高控制權。這代表者此時SRX防火牆設備是非常不安全的,因此,若您要為SRX設備進行恢復出廠配置的動作時,請記得要先將設備置於封閉安全的網路環境才行。
恢復出廠配置後SRX防火牆設備會為連接LAN端口的電腦自動分派192.168.1.xxIP位址,且其預設(默認)閘道為192.168.1.1,當然您的電腦必須設定成自動取得IP才行。
當您透過SSH或是telnet介面來登入SRX設備時,只要將遠端IP位址射設定為192.168.1.1,帳號為 root ,密碼為空,即可登入。
若透過WebUI(J-Web)介面來登入SRX設備(在瀏覽器輸入位址192.168.1.1)

則登入後您就會直接看到以下的Setup Wizard的歡迎畫面:


注意:關於後續的初始化設定,您可以參考下列之網路連結:
若您是老手,習慣使用CLI命令列來維護SRX設備,則建議您從CLI命令列來進行初始化的動作,可幫您節省不少的時間:







Juniper SRX防火牆要讓設備恢復出廠設定有兩種方式:
一、使用Reset Config重設組態按鈕:
當然,這個前提是您能進入機房並直接接觸到SRX防火牆設備才行。
預設情況下,在SRX100/210設備的前面板上,按住 "重設組態Reset Config" 按鈕15秒鐘或更短-直到狀態指示燈呈穩定琥珀色-這將刪除設備上的所有配置,包括備份配置和救援配置,及載入並提交(commit)出廠預設配置(此時的登入帳號為root,密碼為空,也就是僅輸入帳號就能登入系統)

在按住 "重設組態Reset Config" 按鈕的同時,console上會顯示以下之訊息:
Broadcast Message from root@srx100
        (no tty) at 23:57 CST...
Config button pressed
Committing factory default configuration

關於Reset Config重設組態按鈕的詳細運用請參考下列的網路連結:




二、CLI命令列執行load factory-default命令
若您無法進入機房並直接接觸到SRX防火牆設備,但是您擁有超級管理員的帳號,那您就可以從遠端透過TELNET或是SSH來登入系統,並使用CLI來配置系統。
登入後進入到CLI的配置模式,執行下列命令來恢復出廠配置:
root@srx100# load factory-default
warning: activating factory configuration   /***系統將啟動出廠配置***/
恢復出廠後,必須立刻設置root 帳號密碼<默認密碼至少6 位數:包含字母加數字
root@srx100# set system root-authentication plain-text-password
New password:
Retype new password:
當設置完ROOT 帳號密碼以後,進行提交(commit)以保存並實行配置
root@srx100# commit
commit complete



關於SRX防火牆設備恢復出廠設定後,前面板ALARM會亮紅燈的問題。
SRX100/210設備恢復出廠設定後,前面板ALARM會亮紅燈,我們只要執行以下命令就會恢復成綠燈:
root@srx100> request system autorecovery state save
Saving config recovery information
Saving license recovery information
Saving BSD label recovery information
root@srx100>

關於 request system autorecovery state save 命令的用途請參考下列之網路連結:





恢復出廠設定後可直接載入備用的配置檔
CLI介面
以上敘述乃介紹如何將srx設備恢復出廠設定,而一但恢復了出廠設定,就必須登入WebUI並將設定精靈的流程走完才行,這得花10分鐘左右非常浪費時間,若您已有設定好的配置檔,則可放在FTP上直接載入即可:
root@srx100# load override ftp://user:123456@192.168.1.11/srx-ok.conf
/var/tmp//...transferring.file.........xSaAZR/100% of 5596  B 1646 kBps
load complete
[edit]
root@srx100# commit
commit complete
[edit]
root@srx100#


J-Web介面
當設備恢復出廠配置後,SRX設備會在我們登入J-Web時,強制我們執行設定精靈(Setup Wizard)是因為下列4行命令:
set system autoinstallation delete-upon-commit
set system autoinstallation traceoptions level verbose
set system autoinstallation traceoptions flag all
set system autoinstallation interfaces fe-0/0/0 bootp
若您想要在登入系統後跳過設定精靈(Setup Wizard),直接進入一般設定介面,好載入備分的配置檔,那您可以在CLI命令列執行下列的命令來刪除:
[edit]
root@srx100# delete system autoinstallation 
[edit]
root@srx100# commit
commit complete
[edit]
root@srx100#
之後您再透過WebUI(J-Web)介面來登入SRX設備(在瀏覽器輸入位址192.168.1.1)即可。








SRX防火牆設備恢復出廠設定後的預設配置
若您此時在CLI命令列輸入show | no-more則可以看到出廠預設之配置如下:
root@srx100> show configuration | no-more
## Last commit: 2018-05-05 07:31:36 GMT+8 by root
version 12.1X46-D81;
system {
    autoinstallation {    ##因為這個語句導致您透過J-Web介面來登入時會進入設定精靈畫面
        delete-upon-commit; ## Deletes [system autoinstallation] upon change/commit
        traceoptions {
            level verbose;
            flag {
                all;
            }
        }
        interfaces {
            fe-0/0/0 {
                bootp;    ##因為這個語句讓WAN端口能取得上網IP
            }
        }
    }
    name-server {    ##預設的DNS Server設定,我們可以將其改成我們ISP提供的DNS伺服器
        208.67.222.222;
        208.67.220.220;
    }
    services {    ##預設開啟SSH TELNET HTTP HTTPS DHCP服務
        ssh;
        telnet;
        xnm-clear-text;
        web-management {
            http {
                interface vlan.0;
            }
            https {
                system-generated-certificate;
                interface vlan.0;
            }
        }
        dhcp {
            router {
                192.168.1.1;
            }
            pool 192.168.1.0/24 {
                address-range low 192.168.1.2 high 192.168.1.254;
            }
            propagate-settings fe-0/0/0.0;
        }
    }
    syslog {    ##預設的本機系統日誌設定
        archive size 100k files 3;
        user * {
            any emergency;
        }
        file messages {
            any critical;
            authorization info;
        }
        file interactive-commands {
            interactive-commands error;
        }
    }
    max-configurations-on-flash 5;
    max-configuration-rollbacks 5;
    license {
        autoupdate {
            url https://ae1.juniper.net/junos/key_retrieval;
        }
    }
    ## Warning: missing mandatory statement(s): 'root-authentication'
}
interfaces {
    fe-0/0/0 {    ##WAN端口
        unit 0 {
            family inet;
        }
    }
    fe-0/0/1 {    ##端口1—7LAN端口
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    fe-0/0/2 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    fe-0/0/3 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    fe-0/0/4 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    fe-0/0/5 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    fe-0/0/6 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    fe-0/0/7 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    vlan {
        unit 0 {
            family inet {
                address 192.168.1.1/24;
            }
        }
    }
}
protocols {
    stp;    ##預設開啟STP協定,會讓接入網路端口時等待30
}
security {
    screen {    ##預設開啟的WANDDoS防護
        ids-option untrust-screen {
            icmp {
                ping-death;
            }
            ip {
                source-route-option;
                tear-drop;
            }
            tcp {
                syn-flood {
                    alarm-threshold 1024;
                    attack-threshold 200;
                    source-threshold 1024;
                    destination-threshold 2048;
                    timeout 20;
                }
                land;
            }
        }
    }
    nat {
        source {
            rule-set trust-to-untrust {    ##預設所有由內向外的通訊流量都要透過NAT轉換
                from zone trust;
                to zone untrust;
                rule source-nat-rule {
                    match {
                        source-address 0.0.0.0/0;
                    }
                    then {
                        source-nat {
                            interface;
                        }
                    }
                }
            }
        }
    }
    policies {
        from-zone trust to-zone untrust {
            policy trust-to-untrust {    ##預設開放所有由內向外的通訊流量
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
    }
    zones {
        security-zone trust {    ##LAN端口預設開放所有的通訊流量進入
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                vlan.0;
            }
        }
        security-zone untrust {    ##WAN端口預設開放dhcptftp的通訊流量進入
            screen untrust-screen;
            interfaces {
                fe-0/0/0.0 {
                    host-inbound-traffic {
                        system-services {
                            dhcp;
                            tftp;
                        }
                    }
                }
            }
        }
    }
}
vlans {
    vlan-trust {
        vlan-id 3;
        l3-interface vlan.0;
    }
}

root@srx100>





這個網誌中的熱門文章

如何測試網路連線--網路斷線了怎麼辦?

筆記電腦刷BIOS失敗無法開機—用CH341A編程器重刷BIOS教學!

查理王的電腦部落格-首頁