[筆記]SRX300 基本設定

此次借測主要是想了解SRX如何完成基本設置

第一個練習架構會是如下圖簡單的架構一個內部網段及一條isp 對外連線，基本設定完成後讓內部用戶端可以連線上網。 網段192.168.3.0/24

預設這一台IP是https://192.168.1.1，可用firefix或瀏覽器進行相關基本設定

第一次連線就會進入精靈模式(如下圖)，首先點: Guided Setu

接著選擇基本設定(Enable basic options)

接著此頁面設定該SRX的Device Name，並設定 root 密碼，若有需求可以新增其他管理帳號

新增其他管理帳號，輸入名稱密碼及該帳號隸屬的權限

新增完畢點選[Next]

接著設定時區及時間

設定完畢後，可以看到前面幾個步驟設定那些東西的統整沒問題點選[Next]

再來要設定的部分就是Zone，也就是界面上trust untrust DMZ 劃分

選擇架構，該LAB選左邊，他會建立兩個zone internal & internet (相當於trust & untrust)

設定連線internet裝置如果是pppoe 或是固定IP 就選DSL/Cable Modem(該LAB選此)

目前環境是固定IP，選擇Static > Add IP 下方點選該isp線路要接在哪一個port

設定IP相關資訊

IP設定後點選[Next]

接著選擇是否要設定DMZ 此範例選No

設定internal (trust zone) 選擇，目前LAB只規劃一個網段所以選擇左上

設定internal IP也就是用戶端的GW (192.168.3.254)，及實體線路連接port

接著出現相關設定的summary

接著設定相關policy

Licenses因該台設定是借測所以直接略過

設定用戶連線policy，點選add

輸入policy name(自訂) : user-internet-access

下方選擇方向性 internal -> internet (也就是LAN to Internet)

設定允許的通過服務在此設定http https dns-udp

新增完畢

Policy 建立完畢如下圖

接著設定管理port連線的方式，指的就是internet & intetnal 要開放那些方式連線到SRX來進行管理

Internal 可以連線管理方式設定http https ssh telnet

目前設定inetnet 連線管理的方式開放https ssh

Remove VPN 需求不設定點No

設定完畢summary

設定NAT，內部網路

設定內部網路上internet 要做NAT，勾選internal(trust zone)就可以

沒問題點選apply setting

點選完成

以上就是使用精靈模式完成基本設定完畢後，在SRX ge-0/0/5 設接isp 線路，ge-0/04 接到內部switch

192.168.3.0/24 網段，但是精靈設定他不會將路由設定上去，所以可以連web管理介面新增static Routing 。

路由新增OK

用戶設定的ip及gw : 192.168.3.254 就可以順利連上internet。

在SRX設定中不管是在UI上或指令模式修改相關設定都不會生效

如果以UI設定必須點選網頁的commit 選項，去做套用若設定有問題就會跳出訊息，沒問題設定才會生效，若是指令模式就是下commit。

延續上個LAB將L2交換器更換為L3核心交換器: (L3以cisco3750為範例相關設定不詳細說明)

L3切2 各VLAN的規劃，基本上沿用上一個的設定檔來修改就可以

假設L3交換器有切2各vlan，一個就是之前的192.168.3.0/24 ，一個是192.168.2.0/24網段

L3上面設定一筆default route 0.0.0.0/0 192.168.3.254

Vlan 20 : 192.168.2.0/24 ，該vlan IP 設定192.168.2.254(這也就是用戶端的GW)

Vlan 30 : 192.168.3.0/24 ，該 vlan IP 設定192.168.2.253(這也就是用戶端的GW)

SRX300 Internal (trust)介面IP就是前面練習設定的192.168.3.254

架構圖

SRX和L3接法就是:

SRX internal port 接L3 switch設定access vlan 30 的port就可以。

SRX需要的設定:

因為原來192.168.3.0/24 的IP可以連上internet所以大致上沒有問題，但是新增的192.168.2.0/24網段

要出internet也是OK，但是當封包要回來時srx 會不知道要丟哪邊因為他的介面只認得192.168.3.0/24
所以要在srx上新增一個靜態路由 192.168.2.0/24網段往L3丟 192.168.3.253如下圖。

以上設定好，用戶端PC接在相對應的vlan port 設定IP後就可以上internet。

最後測試新增一條上網線路當作被原設定方式:

前面的練習ge-0/0/4是內網ge-0/0/5是isp線路

所以如果要再新增一條isp線路我可以找其他空port來定義即可。我用ge-0/0/3

先將網路線接上去，在管理介面上看到up但是尚未設定IP。

此次我用指令來設定他的IP位址: (這條線路其實是住處房東線路發放取得的IP所以我拿來設定)

set interfaces ge-0/0/3 unit 0 family inet address 192.168.1.109/24

接下來就是定義這個介面為外部網路也就是設定一個security zone並且將ge-0/0/3介面指派為internet1 securityzone，一樣使用指令來做 (另一條線路事前用用精靈模式設定的Internet zone)

set security zones security-zone internet1 interfaces ge-0/0/3

最後ping 一下 這條線路gw，會通應該就沒問題了

設定備援路由指令如下 (192.168.1.1就是該條備援線路gw)

set routing-options static route 0.0.0.0/0 qualified-next-hop 192.168.1.1 preference 6

設定policy 讓內網可以由備援線路上internet

連上web管理介面，可以看到原來已經設定的policy是允許走第一條線路

點選add，輸入名稱，來源及目的網段及允許通過的服務，設定完畢記得點選commit寫入設定。

最後一個步驟就是NAT設定，因為要轉換為public IP 才行上網，原來第一條有做(精靈畫面做的)

在web介面點NAT > Secure 可以看到原來有一條設定，點該條設定然後再點Edit

將目的zone加入internet1

以上就完成備援線路設定，當地一條線路故障就會自動走第二條線路，若第一條線路復原就會自動切回。

其他相關

指令模式修改root 密碼:

set system root-authentication plain-text-password

恢復預設值指令:

load factory-default

查看目前所有設定指令:

show configuration | display set

PS:

感謝前輩動用人脈，幫我借這一台機器讓我可以了解一下SRX基本設定

本篇瀏覽人數: 19113