Juniper SRX 初始化安裝(J-Web模式)
Juniper SRX (Junos
OS)初始化安裝(J-Web模式)
本範例使用Juniper SRX100來示範初始化流程。
初始化作業的目的是對設備進行初步的設定,讓SRX防火牆設備達到能上網的需求。
當有下列情況發生時,我們就需要進行初始化安裝作業:
1.剛拿到新購買的juniper srx安全設備。
2.設備恢復出廠設定。
關於要讓 SRX防火牆設備恢復出廠設定您可參考下列的網路連結:
在執行設定精靈(Setup Wizard)之前,請先確保WAN端口已經指派了
IP 位址。
請使用以下其中一種方法取得SRX防火牆的 IP 位址:
方法 1:取得SRX防火牆的動態 IP 位址
使用 0/0 連接埠連線至您的「網際網路服務供應商」(ISP),例如連接到中華電信小烏龜。您的 ISP 會使用DHCP 程序指派一個 IP 位址。
方法 2:取得SRX防火牆的靜態 IP 位址
使用 0/0 連接埠連線至您的 ISP。您的 ISP 將已提供靜態 IP 位址。您將不會接收到使用 DHCP 程序指派的 IP 位址。
您可以在CLI命令列執行下列的命令來設定靜態 IP 位址:
delete interfaces
fe-0/0/0 unit 0 family inet
set interfaces fe-0/0/0
unit 0 family inet address 192.168.168.11
commit
注意:0/0 連接埠(端口)在SRX100為fe-0/0/0,在SRX210以上設備則為ge-0/0/0。
注意:要查看0/0介面(interface)是否取得ip,我們可以執行下列之CLI命令:
root@srx100> show interfaces fe-0/0/0.0
root@srx100> show interfaces fe-0/0/0.0
注意:務必要將 0/0 連接埠連線至設備上,並取得動態 IP 位址或是指派一個靜態 IP 位址,否則當設定精靈(Setup Wizard)在套用您配置好的設定時,會出現如下圖的錯誤,並導致設定失敗。
接下來我們開始介紹如何利用 J-WEB (WebUI介面) 來進行初始化設定,總共分成五個工作階段(工作一到工作五):
工作
1:訪問
J-Web 介面
1. 將網路線連接到SRX設備上,Junper SRX100出廠預設
0/0端口為WAN(網際網路,連接中華電信小烏龜用),0/1~0/7端口為LAN(區域網路,連接電腦用),請使用網路線將其連接。
2. 檢查電腦是否取得IP位址,在WINDOWS 7電腦按住 視窗鍵+R鍵,接著便會跳出”執行”視窗,請在“開啟(O)”欄位輸入
cmd,接者會跳出CMD(dos模式)視窗,請輸入ipconfig /all 命令,查看是否取得192.168.1.xx的ip位址(DHCP已啟用 必須為:是,若否則為手動設定ip,請將其更改成自動取得ip,也就是讓DHCP已啟用),若是則進行下一步驟,否則您可以執行
ipconfig /relese 以及 ipconfig /renew 命令來重新取得ip位址。
3. 從管理裝置啟動 Web 瀏覽器。
注意:精靈最適合搭配 Mozilla Firefox 版本 15.x 或更新版本使用。
4. 在 URL 位址欄位中輸入http://192.168.1.1 。接下來會顯示歡迎頁面。
工作 2:選取設定模式
使用以下其中一種設定模式來設定服務閘道:
Guided Setup [引導設定] - 可讓您在自訂的安全性組態中設定服務閘道。在此模式中,您可以選取 Basic [基本] 或 Expert [專家] 選項。基於我們的目的只是要讓設備達到能夠正常上網的功能,因此如果選擇了此模式,請您自行參考 SRX100 服務閘道快速入門.pdf (
SRX100 Services Gateway Quick Start.pdf )中的說明。
Default Setup [預設設定] - 可讓您在預設組態中快速設定服務閘道。在此模式中,您可以設定管理員密碼等基本的系統設定,並下載所購買的授權。完成設定精靈後,即可設定任何其他的組態。如果選擇此模式,請接著進行工作 3。
關於Guided
Setup與Default Setup在設定上的差異:
jUNIPER SRX設定精靈(Setup Wizard)的引導設定與預設設定在設定上的差異
|
||
|
Guided Setup
[引導設定]
|
Default Setup
[預設設定]
|
網路端口指定
|
可指定任一端口為WAN端口,剩下其餘的端口可任意加入LAN端口。
|
系統預設端口0/0為WAN(廣域網路,也就是上網的端口),0/1~0/7端口為LAN(區域網路,接個人電腦用)
|
設定root及加入新的帳號
|
ˇ
|
ˇ
|
設定裝置時間
|
ˇ
|
ˇ
|
設定Licenses 授權資訊
|
ˇ
|
ˇ
|
設定可管理設備的介面(Interface)
|
ˇ
|
X
|
設定對內或向外流量的安全性政策(Security Policy)
|
ˇ
|
X
|
設定來源、目的與靜態NAT
|
ˇ
|
X
|
設定Remote VPN
|
ˇ
|
X
|
設定DMZ安全區資訊
|
ˇ
|
X
|
設定內部安全區形式(1 ZONE、2 ZONES、3 ZONES)
|
ˇ
|
X
|
內部安全區的DHCP配置
|
ˇ
|
X
|
設定PPPoE上網
|
ˇ
|
X
|
工作 3:在預設設定模式中進行基本設定 (方式 1)
您可以為服務閘道進行基本設定,例如裝置名稱和根密碼。
開始設定程式之前,請先取得服務閘道上的動態 IP 位址。使用標示為 0/0 (介面 fe-0/0/0)的連接埠 連接到您的網際網路服務供應商 (ISP)。ISP 會使用 DHCP 程式指派一個 IP 位元址。
注意:僅限設定裝置名稱和根密碼。您可以按一下
Next [下一頁] 直接前往 Confirm & Apply [確認並套用] 頁面套用組態 (工作 4)。
1. 從歡迎頁面,按一下 Default Setup [預設設定]。接下來會顯示警告訊息。
2. 按一下 Yes [是] 以接受預設設定模式。
3. 從精靈的 Device Information [裝置資訊] 頁面,輸入下列資訊:
服務閘道的裝置名稱;例如 SRX100。 輸入並確認根密碼。
注意:輸入密碼時,密碼評估工具會指出密碼強度。建議您使用強式密碼,其中應包含 12
個或更多個字元,包括大寫與小寫字母、數字與符號。
若要新增使用者,按一下 Add [新增]。輸入使用者名稱、密碼和角色。按一下 Done [完成]。使用者名稱接下來會顯示在 Administrative Accounts list [管理帳戶清單] 方塊中。因為 JUNOS 預設 telnet 與 Untrust(包括web)
管理不能使用 root 用戶,但是管理web 與Console可以,所以我們在此新增一個超級用戶,用來遠端管理設備之用。
4. 按一下 Next [下一頁]。接下來會顯示 Device Time [裝置時間] 頁面。
5. 使用下列其中一個選項設定系統時間:
Time Server [時間伺服器] -
輸入 NTP 伺服器時間或 IP
位址。在此我們輸入本地最大ISP的Time Server。
Manual [手動] -
輸入日期和時間。除非您無法上網,否則不建議此選項。
6. 按一下 Next [下一頁]。接下來會顯示 Summary [摘要] 頁面。若您想修改之前的設定,則您可以按 Edit 按鈕。通常我們會直接按 Next [下一頁] 進行下一步驟。
7. 按一下 Next [下一頁]。接下來會顯示 Licenses [授權] 頁面。
8. 如果您已購買授權,請輸入授權碼,然後按一下 Download [下載] 自動擷取授權。
接下來會顯示 Sign-in to License Management System [登入授權管理系統] 頁面。
9. 如果您有現有的支援帳戶,請輸入您的電子郵件地址和密碼。按一下 Next [下一頁]。
接下來會顯示 Licenses [授權] 頁面。選取 I Agree [我同意] 接受授權,然後按一下 Done [完成]。
注意:如果您沒有支援帳戶,可以建立一個新帳戶:
輸入您的電子郵件地址,然後選取 Create New Account [建立新帳戶]。按一下 Next [下一頁]。
從 Create Account [建立帳戶] 頁面,輸入您的帳戶資訊。按一下 Next [下一頁]。
接下來會顯示 End User License [使用者授權] 頁面。
選取 I Agree [我同意] 接受授權,然後按一下 Next [下一頁]。
提交存取授權要求後,如果核准了您的存取,即可在 24
小時內收到電子郵件。只有在核准了您的存取之後,才可下載授權。
10. 按一下 Download Now [立即下載] 以擷取您的授權。顯示授權資訊的快顯視窗接下來會顯示。
11. 檢視下載的授權。按一下 OK [確定],然後按一下 Next [下一頁]。
工作
4:套用基本組態
要套用服務閘道的組態設定:
1. 審閱並確定組態設定是正確的,然後按一下 Next [下一頁]。接下來會顯示 Commit Configuration [認可組態] 頁面。
2. 按一下 Apply Settings [套用設定] 將組態變更套用到服務閘道。
注意:檢查服務閘道的連線,因為如果變更了管理區域 IP,您可能會失去連線。按一下重新連線指示的網址,瞭解如何重新連線到裝置。
3. 按一下 Done [完成] 以完成設定。
成功完成設定後,系統會將您重新導向到 J-Web 介面。
重要:在完成了初始設定組態之後,您仍然可以透過按一下 Tasks > Run Setup Wizard [工作
> 執行設定精靈],來重新啟動 J-Web 安裝精靈。您可以選擇要編輯現有的組態或是要建立新組態。請注意,如果您選擇要建立新組態,則目前在SRX網路設備上的所有組態都會被刪除。
工作
5:驗證組態
訪問 http://www.Juniper.net,以確保您已連線至網際網路。此連線可確保您可以透過服務閘道傳送通訊流量。
注意:如果 http://www.Juniper.net 頁面未載入,請驗證組態,並確保您已套用該組態。完成這些步驟後,您可以將通訊流量從任何「信任區域(Trust zone)」連接埠傳送至「不信任區域(Untrust zone)」連接埠。