此次借測主要是想了解SRX如何完成基本設置
第一個練習架構會是如下圖簡單的架構一個內部網段及一條isp 對外連線,基本設定完成後讓內部用戶端可以連線上網。 網段192.168.3.0/24
預設這一台IP是https://192.168.1.1,可用firefix或瀏覽器進行相關基本設定
第一次連線就會進入精靈模式(如下圖),首先點: Guided Setu
接著選擇基本設定(Enable basic options)
接著此頁面設定該SRX的Device Name,並設定 root 密碼,若有需求可以新增其他管理帳號
新增其他管理帳號,輸入名稱密碼及該帳號隸屬的權限
新增完畢點選[Next]
接著設定時區及時間
設定完畢後,可以看到前面幾個步驟設定那些東西的統整沒問題點選[Next]
再來要設定的部分就是Zone,也就是界面上trust untrust DMZ 劃分
選擇架構,該LAB選左邊,他會建立兩個zone internal & internet (相當於trust & untrust)
設定連線internet裝置如果是pppoe 或是固定IP 就選DSL/Cable Modem(該LAB選此)
目前環境是固定IP,選擇Static > Add IP 下方點選該isp線路要接在哪一個port
設定IP相關資訊
IP設定後點選[Next]
接著選擇是否要設定DMZ 此範例選No
設定internal (trust zone) 選擇,目前LAB只規劃一個網段所以選擇左上
設定internal IP也就是用戶端的GW (192.168.3.254),及實體線路連接port
接著出現相關設定的summary
接著設定相關policy
Licenses因該台設定是借測所以直接略過
設定用戶連線policy,點選add
輸入policy name(自訂) : user-internet-access
下方選擇方向性 internal -> internet (也就是LAN to Internet)
設定允許的通過服務在此設定http https dns-udp
新增完畢
Policy 建立完畢如下圖
接著設定管理port連線的方式,指的就是internet & intetnal 要開放那些方式連線到SRX來進行管理
Internal 可以連線管理方式設定http https ssh telnet
目前設定inetnet 連線管理的方式開放https ssh
Remove VPN 需求不設定點No
設定完畢summary
設定NAT,內部網路
設定內部網路上internet 要做NAT,勾選internal(trust zone)就可以
沒問題點選apply setting
點選完成
以上就是使用精靈模式完成基本設定完畢後,在SRX ge-0/0/5 設接isp 線路,ge-0/04 接到內部switch
192.168.3.0/24 網段,但是精靈設定他不會將路由設定上去,所以可以連web管理介面新增static Routing 。
路由新增OK
用戶設定的ip及gw : 192.168.3.254 就可以順利連上internet。
在SRX設定中不管是在UI上或指令模式修改相關設定都不會生效
如果以UI設定必須點選網頁的commit 選項,去做套用若設定有問題就會跳出訊息,沒問題設定才會生效,若是指令模式就是下commit。
延續上個LAB將L2交換器更換為L3核心交換器: (L3以cisco3750為範例相關設定不詳細說明)
L3切2 各VLAN的規劃,基本上沿用上一個的設定檔來修改就可以
假設L3交換器有切2各vlan,一個就是之前的192.168.3.0/24 ,一個是192.168.2.0/24網段
L3上面設定一筆default route 0.0.0.0/0 192.168.3.254
Vlan 20 : 192.168.2.0/24 ,該vlan IP 設定192.168.2.254(這也就是用戶端的GW)
Vlan 30 : 192.168.3.0/24 ,該 vlan IP 設定192.168.2.253(這也就是用戶端的GW)
SRX300 Internal (trust)介面IP就是前面練習設定的192.168.3.254
架構圖
SRX和L3接法就是:
SRX internal port 接L3 switch設定access vlan 30 的port就可以。
SRX需要的設定:
因為原來192.168.3.0/24 的IP可以連上internet所以大致上沒有問題,但是新增的192.168.2.0/24網段
要出internet也是OK,但是當封包要回來時srx 會不知道要丟哪邊因為他的介面只認得192.168.3.0/24
所以要在srx上新增一個靜態路由 192.168.2.0/24網段往L3丟 192.168.3.253如下圖。
以上設定好,用戶端PC接在相對應的vlan port 設定IP後就可以上internet。
最後測試新增一條上網線路當作被原設定方式:
前面的練習ge-0/0/4是內網ge-0/0/5是isp線路
所以如果要再新增一條isp線路我可以找其他空port來定義即可。我用ge-0/0/3
先將網路線接上去,在管理介面上看到up但是尚未設定IP。
此次我用指令來設定他的IP位址: (這條線路其實是住處房東線路發放取得的IP所以我拿來設定)
set interfaces ge-0/0/3 unit 0 family inet address 192.168.1.109/24
接下來就是定義這個介面為外部網路也就是設定一個security zone並且將ge-0/0/3介面指派為internet1 securityzone,一樣使用指令來做 (另一條線路事前用用精靈模式設定的Internet zone)
set security zones security-zone internet1 interfaces ge-0/0/3
最後ping 一下 這條線路gw,會通應該就沒問題了
設定備援路由指令如下 (192.168.1.1就是該條備援線路gw)
set routing-options static route 0.0.0.0/0 qualified-next-hop 192.168.1.1 preference 6
設定policy 讓內網可以由備援線路上internet
連上web管理介面,可以看到原來已經設定的policy是允許走第一條線路
點選add,輸入名稱,來源及目的網段及允許通過的服務,設定完畢記得點選commit寫入設定。
最後一個步驟就是NAT設定,因為要轉換為public IP 才行上網,原來第一條有做(精靈畫面做的)
在web介面點NAT > Secure 可以看到原來有一條設定,點該條設定然後再點Edit
將目的zone加入internet1
以上就完成備援線路設定,當地一條線路故障就會自動走第二條線路,若第一條線路復原就會自動切回。
其他相關
指令模式修改root 密碼:
set system root-authentication plain-text-password
恢復預設值指令:
load factory-default
查看目前所有設定指令:
show configuration | display set
PS:
感謝前輩動用人脈,幫我借這一台機器讓我可以了解一下SRX基本設定
本篇瀏覽人數: 19073
你好,你這篇文章對我在設定這台防火牆的部分幫助很大,有些問題想請問一下,這台是否可以設定不同的port(如port1~5)都在同一網域(如192.168.1.x)內嗎?
第二個問題是,可以設定port 0/1為intermal,port 0/5為DMZ,internal跟DMZ可以是使用同樣的192.168.1.x的ip設定嗎?
您好
1.因為我沒有這樣設定過,不過我想應該是OK的,把她都設定為internal 應該可以,測試看看囉
2. internal跟DMZ 應該要不同網段喔
你好,文章簡單易明,但我最近也購買了一台SRX300,請教授一下如何設定禁止進入指定網頁(如禁止進入yahoo.com),因為不懂如可設定或指教一下應該在那裏可以找到,因我找了很多網站也找不到,謝謝!
您好
應該沒辦法,除非這台有類似web filter的功能,不然就是你要找出所有該網站的IP位置,直接在policy擋掉IP了
您好,
想确認文中的
A)Vlan 20 : 192.168.2.0/24 ,該vlan IP 設定192.168.2.254(這也就是用戶端的GW)
Vlan 30 : 192.168.3.0/24 ,該 vlan IP 設定192.168.2.253(這也就是用戶端的GW)
是否應為
Vlan 20 : 192.168.2.0/24 ,該vlan IP 設定192.168.2.254(這也就是用戶端的GW)
Vlan 30 : 192.168.3.0/24 ,該 vlan IP 設定192.168.3.253(這也就是用戶端的GW)
^3
B)想請教—下,如图接上電腦,可在那個設備啓動DHCP,及設定的parameter是甚麼?
謝謝。
您好
您說的沒有錯喔
如果要架設dhcp,可以在L3上看有沒有dhcp功能,通常我是自己設設一台windows or linux DHCP
您好,我依照本文的說明步驟進行設定,結束後可正常 ping 但卻無法瀏覽網站,請問有可能是哪個地方沒有設定正確嗎?
您好
我猜測應該是dns 沒辦法向外查詢,或許你在policy設定一下放行dns 通訊協定