[筆記]SRX300 基本設定

此次借測主要是想了解SRX如何完成基本設置

srx300

第一個練習架構會是如下圖簡單的架構一個內部網段及一條isp 對外連線,基本設定完成後讓內部用戶端可以連線上網。 網段192.168.3.0/24

clip_image001

預設這一台IP是https://192.168.1.1,可用firefix或瀏覽器進行相關基本設定

第一次連線就會進入精靈模式(如下圖),首先點: Guided Setuclip_image003

接著選擇基本設定(Enable basic options)

clip_image005

接著此頁面設定該SRX的Device Name,並設定 root 密碼,若有需求可以新增其他管理帳號

clip_image007

新增其他管理帳號,輸入名稱密碼及該帳號隸屬的權限

clip_image009

新增完畢點選[Next]

clip_image011

接著設定時區及時間

clip_image013

設定完畢後,可以看到前面幾個步驟設定那些東西的統整沒問題點選[Next]

clip_image015

再來要設定的部分就是Zone,也就是界面上trust untrust DMZ 劃分

clip_image017

選擇架構,該LAB選左邊,他會建立兩個zone internal & internet (相當於trust & untrust)

clip_image019

設定連線internet裝置如果是pppoe 或是固定IP 就選DSL/Cable Modem(該LAB選此)

clip_image021

目前環境是固定IP,選擇Static > Add IP 下方點選該isp線路要接在哪一個port

clip_image023

設定IP相關資訊

clip_image025

IP設定後點選[Next]

clip_image027

接著選擇是否要設定DMZ 此範例選No

clip_image029

設定internal (trust zone) 選擇,目前LAB只規劃一個網段所以選擇左上

clip_image031

設定internal IP也就是用戶端的GW (192.168.3.254),及實體線路連接port

clip_image033

接著出現相關設定的summary

clip_image035clip_image037

接著設定相關policy

clip_image039

Licenses因該台設定是借測所以直接略過

clip_image041

設定用戶連線policy,點選add

clip_image043

輸入policy name(自訂) : user-internet-access

下方選擇方向性 internal -> internet (也就是LAN to Internet)

clip_image045

設定允許的通過服務在此設定http https dns-udp

clip_image047

新增完畢

clip_image049

Policy 建立完畢如下圖

clip_image051

接著設定管理port連線的方式,指的就是internet & intetnal 要開放那些方式連線到SRX來進行管理

Internal 可以連線管理方式設定http https ssh telnet

clip_image053

目前設定inetnet 連線管理的方式開放https ssh

clip_image055

Remove VPN 需求不設定點No

clip_image057

設定完畢summary

clip_image059

clip_image061

設定NAT,內部網路

clip_image063

設定內部網路上internet 要做NAT,勾選internal(trust zone)就可以

clip_image065

clip_image067

clip_image069

沒問題點選apply setting

clip_image071

點選完成

clip_image073

以上就是使用精靈模式完成基本設定完畢後,在SRX ge-0/0/5 設接isp 線路,ge-0/04 接到內部switch

192.168.3.0/24 網段,但是精靈設定他不會將路由設定上去,所以可以連web管理介面新增static Routing 。

clip_image075

clip_image076

clip_image077

路由新增OK

clip_image079

用戶設定的ip及gw : 192.168.3.254 就可以順利連上internet。

在SRX設定中不管是在UI上或指令模式修改相關設定都不會生效

如果以UI設定必須點選網頁的commit 選項,去做套用若設定有問題就會跳出訊息,沒問題設定才會生效,若是指令模式就是下commit。

clip_image081

延續上個LAB將L2交換器更換為L3核心交換器: (L3以cisco3750為範例相關設定不詳細說明)

L3切2 各VLAN的規劃,基本上沿用上一個的設定檔來修改就可以

假設L3交換器有切2各vlan,一個就是之前的192.168.3.0/24 ,一個是192.168.2.0/24網段

L3上面設定一筆default route 0.0.0.0/0 192.168.3.254

Vlan 20 : 192.168.2.0/24 ,該vlan IP 設定192.168.2.254(這也就是用戶端的GW)

Vlan 30 : 192.168.3.0/24 ,該 vlan IP 設定192.168.2.253(這也就是用戶端的GW)

SRX300 Internal (trust)介面IP就是前面練習設定的192.168.3.254

架構圖

clip_image082

SRX和L3接法就是:

SRX internal port 接L3 switch設定access vlan 30 的port就可以。

SRX需要的設定:

因為原來192.168.3.0/24 的IP可以連上internet所以大致上沒有問題,但是新增的192.168.2.0/24網段

要出internet也是OK,但是當封包要回來時srx 會不知道要丟哪邊因為他的介面只認得192.168.3.0/24
所以要在srx上新增一個靜態路由 192.168.2.0/24網段往L3丟 192.168.3.253如下圖。

clip_image084

以上設定好,用戶端PC接在相對應的vlan port 設定IP後就可以上internet。

最後測試新增一條上網線路當作被原設定方式:

前面的練習ge-0/0/4是內網ge-0/0/5是isp線路

clip_image085

所以如果要再新增一條isp線路我可以找其他空port來定義即可。我用ge-0/0/3

先將網路線接上去,在管理介面上看到up但是尚未設定IP。

clip_image087

此次我用指令來設定他的IP位址: (這條線路其實是住處房東線路發放取得的IP所以我拿來設定)

set interfaces ge-0/0/3 unit 0 family inet address 192.168.1.109/24

clip_image088

接下來就是定義這個介面為外部網路也就是設定一個security zone並且將ge-0/0/3介面指派為internet1 securityzone,一樣使用指令來做 (另一條線路事前用用精靈模式設定的Internet zone)

set security zones security-zone internet1 interfaces ge-0/0/3

clip_image089

最後ping 一下 這條線路gw,會通應該就沒問題了

clip_image090

設定備援路由指令如下 (192.168.1.1就是該條備援線路gw)

set routing-options static route 0.0.0.0/0 qualified-next-hop 192.168.1.1 preference 6

clip_image091

設定policy 讓內網可以由備援線路上internet

連上web管理介面,可以看到原來已經設定的policy是允許走第一條線路

clip_image093

點選add,輸入名稱,來源及目的網段及允許通過的服務,設定完畢記得點選commit寫入設定。

clip_image095

最後一個步驟就是NAT設定,因為要轉換為public IP 才行上網,原來第一條有做(精靈畫面做的)

在web介面點NAT > Secure 可以看到原來有一條設定,點該條設定然後再點Edit

clip_image097

將目的zone加入internet1

clip_image098

clip_image100

以上就完成備援線路設定,當地一條線路故障就會自動走第二條線路,若第一條線路復原就會自動切回。

其他相關

指令模式修改root 密碼:

set system root-authentication plain-text-password

恢復預設值指令:

load factory-default

查看目前所有設定指令:

show configuration | display set

PS:

感謝前輩動用人脈,幫我借這一台機器讓我可以了解一下SRX基本設定



本篇瀏覽人數: 10277
分類: Juniper篇, SRX-300。這篇內容的永久連結

在〈[筆記]SRX300 基本設定〉中有 8 則留言

  1. Conrad表示:

    你好,你這篇文章對我在設定這台防火牆的部分幫助很大,有些問題想請問一下,這台是否可以設定不同的port(如port1~5)都在同一網域(如192.168.1.x)內嗎?
    第二個問題是,可以設定port 0/1為intermal,port 0/5為DMZ,internal跟DMZ可以是使用同樣的192.168.1.x的ip設定嗎?

    • 榮哥表示:

      您好

      1.因為我沒有這樣設定過,不過我想應該是OK的,把她都設定為internal 應該可以,測試看看囉

      2. internal跟DMZ 應該要不同網段喔

  2. Dicky Choi表示:

    你好,文章簡單易明,但我最近也購買了一台SRX300,請教授一下如何設定禁止進入指定網頁(如禁止進入yahoo.com),因為不懂如可設定或指教一下應該在那裏可以找到,因我找了很多網站也找不到,謝謝!

    • 榮哥表示:

      您好
      應該沒辦法,除非這台有類似web filter的功能,不然就是你要找出所有該網站的IP位置,直接在policy擋掉IP了

  3. 大A表示:

    您好,

    想确認文中的

    A)Vlan 20 : 192.168.2.0/24 ,該vlan IP 設定192.168.2.254(這也就是用戶端的GW)

    Vlan 30 : 192.168.3.0/24 ,該 vlan IP 設定192.168.2.253(這也就是用戶端的GW)

    是否應為

    Vlan 20 : 192.168.2.0/24 ,該vlan IP 設定192.168.2.254(這也就是用戶端的GW)

    Vlan 30 : 192.168.3.0/24 ,該 vlan IP 設定192.168.3.253(這也就是用戶端的GW)
    ^3
    B)想請教—下,如图接上電腦,可在那個設備啓動DHCP,及設定的parameter是甚麼?

    謝謝。

    • 榮哥表示:

      您好
      您說的沒有錯喔
      如果要架設dhcp,可以在L3上看有沒有dhcp功能,通常我是自己設設一台windows or linux DHCP

  4. Hongru表示:

    您好,我依照本文的說明步驟進行設定,結束後可正常 ping 但卻無法瀏覽網站,請問有可能是哪個地方沒有設定正確嗎?

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *