Juniper SRX路由器命令配置手册

Juniper SRX配置手册目录一、JUNOS操作系统介绍 (3)1.1 层次化配置结构 (3)1.2 JunOS配置管理 (3)1.3 SRX主要配置内容 (4)二、SRX防火墙配置对照说明 (5)2.1 初始安装 (5)2.1.1 登陆 (5)2.1.2 设置root用户口令 (5)2.1.3 设置远程登陆管理用户 (5)2.1.4 远程管理SRX相关配置 (6)2.2 Policy (6)2.3 NAT (7)2.3.1 Interface based NAT (7)2.3.2 Pool based Source NAT (8)2.3.3 Pool base destination NAT (9)2.3.4 Pool base Static NAT (10)2.4 IPSEC VPN (10)2.5 Application and ALG (12)2.6 JSRP (12)三、SRX防火墙常规操作与维护 (14)3.1 设备关机 (14)3.2 设备重启 (15)3.3 操作系统升级 (15)3.4 密码恢复 (15)3.5 常用监控维护命令 (16)Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。

JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。

基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

前言、版本说明 (3)一、界面菜单管理 (5)2、WEB管理界面 (6)（1）Web管理界面需要浏览器支持Flash控件。

(6)（2）输入用户名密码登陆： (7)（3）仪表盘首页 (7)3、菜单目录 (10)二、接口配置 (16)1、接口静态IP (16)2、PPPoE (17)3、DHCP (18)三、路由配置 (20)1、静态路由 (20)2、动态路由 (21)四、区域设置Zone (23)五、策略配置 (25)1、策略元素定义 (25)2、防火墙策略配置 (29)3、安全防护策略 (31)六、地址转换 (32)1、源地址转换-建立地址池 (33)2、源地址转换规则设置 (35)七、VPN配置 (37)1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (38)2、建立第一阶段IKE策略 (39)3、建立第一阶段IKE Gateway (40)4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (41)5、建立第一阶段IKE策略 (42)6、建立VPN策略 (43)八、Screen防攻击 (46)九、双机 (48)十、故障诊断 (49)前言、版本说明产品：Juniper SRX240 SH版本：JUNOS Software Release [9.6R1.13]注：测试推荐使用此版本。

此版本对浏览速度、保存速度提高了一些，并且CPU占用率明显下降很多。

9.5R2.7版本（CPU持续保持在60%以上，甚至90%）9.6R1.13版本（对菜单操作或者保存配置时，仍会提升一部分CPU）一、界面菜单管理1、管理方式JuniperSRX系列防火墙出厂默认状态下，登陆用户名为root密码为空，所有接口都已开启Web管理，但无接口地址。

终端连接防火墙后，输入用户名(root)、密码(空)，显示如下：rootsrx240-1%输入cli命令进入JUNOS访问模式：rootsrx240-1% clirootsrx240-1>输入configure进入JUNOS配置模式：rootsrx240-1% clirootsrx240-1> configureEntering configuration mode[edit]rootsrx240-1#防火墙至少要进行以下配置才可以正常使用：(1)设置root密码（否则无法保存配置）(2)开启ssh/telnet/http服务(3)添加用户（root权限不能作为远程telnet，可以使用SHH方式）(4)分配新的用户权限2、WEB管理界面（1）Web管理界面需要浏览器支持Flash控件。

前言、版本说明 (2)一、界面菜单管理 (4)2、WEB管理界面 (4)（1）Web管理界面需要浏览器支持Flash控件。

(4)（2）输入用户名密码登陆： (4)（3）仪表盘首页 (5)3、菜单目录 (7)二、接口配置 (12)1、接口静态IP (12)2、PPPoE (13)3、DHCP (14)三、路由配置 (16)1、静态路由 (16)2、动态路由 (16)四、区域设置Zone (18)五、策略配置 (20)1、策略元素定义 (20)2、防火墙策略配置 (22)3、安全防护策略 (25)六、地址转换 (26)1、源地址转换-建立地址池 (26)2、源地址转换规则设置 (27)七、VPN配置 (30)1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (30)2、建立第一阶段IKE策略 (31)3、建立第一阶段IKE Gateway (32)4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (33)5、建立第一阶段IKE策略 (34)6、建立VPN策略 (35)八、Screen防攻击 (37)九、双机 (38)十、故障诊断 (38)前言、版本说明产品：Juniper SRX240 SH版本：JUNOS Software Release [9.6R1.13]注：测试推荐使用此版本。

此版本对浏览速度、保存速度提高了一些，并且CPU占用率明显下降很多。

9.5R2.7版本（CPU持续保持在60%以上，甚至90%）9.6R1.13版本（对菜单操作或者保存配置时，仍会提升一部分CPU）一、界面菜单管理1、管理方式JuniperSRX系列防火墙出厂默认状态下，登陆用户名为root密码为空，所有接口都已开启Web管理，但无接口地址。

终端连接防火墙后，输入用户名(root)、密码(空)，显示如下：root@srx240-1%输入cli命令进入JUNOS访问模式：root@srx240-1% cliroot@srx240-1>输入configure进入JUNOS配置模式：root@srx240-1% cliroot@srx240-1> configureEntering configuration mode[edit]root@srx240-1#防火墙至少要进行以下配置才可以正常使用：(1)设置root密码（否则无法保存配置）(2)开启ssh/telnet/http服务(3)添加用户（root权限不能作为远程telnet帐户，可以使用SHH方式）(4)分配新的用户权限2、WEB管理界面（1）Web管理界面需要浏览器支持Flash控件。

Juniper路由器配置命令介绍Juniper路由器配置命令介绍⒈系统配置命令⑴ `set system hostname`：设置设备的主机名。

⑵ `set system domn-name`：设置设备的域名。

⑶ `set system login user`：设置设备的登录用户信息。

⒉接口配置命令⑴ `set interfaces interface-name unit logical-unit-number family inet address ip-address/subnet-mask`：配置接口的IP地址和子网掩码。

⑵ `set interfaces interface-name unit logical-unit-number family inet6 address ipv6-address/prefix-length`：配置接口的IPv6地址和前缀长度。

⑶ `set interfaces interface-name unit logical-unit-number vlan-id vlan-tagged`：配置接口的VLAN标签。

⒊路由配置命令⑴ `set routing-options static route destination next-hop`：配置静态路由。

⑵ `set protocols ospf area area-id`：配置OSPF路由协议。

⒋安全配置命令⑴ `set security zones security-zone zone-nameinterfaces interface-name`：将接口分配给安全区域。

⑵ `set security policies from-zone source-zone to-zone destination-zone policy policy-name then permit`：配置安全策略以允许数据流动。

⒌ VPN配置命令⑴ `set security ike proposal proposal-name authentication-method pre-shared-keys`：配置IKE提议的预共享密钥认证方法。

JUNIPer配置说明〉操作模式#配置模式#show interface#show interface deatil | math fe‐0/0/0>hlpe apropes arp>config ３种模式#edit interface 一层一层配置#up 退出#show |display set （显示所有可刷的命令）#edit security nat source#rename rule‐set trust‐to‐untrust to rule‐set inside‐to‐outside (重命令nat名字) #rollback (恢复到以前的配置，可选５０份)#commit at 201207200800(定时提交)>clear system commit (清除未提交的配置)#commit comment "beyond"（为提交的配置进行说明）# run show system commit（查看提交的配置说明，用于快速恢复的配置） #commit confirmed (十分钟之内不对配置进行确认，自动恢复配置到提交之前) #copy interface ge‐0/0/1 to ge0/0/3 （复制配置）#show system update (查看系统时间)>request system reboot (重启系统)>request system power‐off (关闭系统)#edit sytem login user class ? (设置用户，有４种权限)#edit system service (设置系统服务)#set ssh /telnet /web‐ma….>show system license (查看授权)>request system license add terminal (加载授权信息)> show system processes extensive（查看系统进程）> restart chassis‐control gracefully（重启系统进程）> load update xxx (加载以前的配置文件)run show security flow session summary（查看防火墙会话数）run show security flow session（查看防火墙具体会话数）1, root密码设置set system root‐authentication plain‐text‐passworderpo@66982, 远程登录用户set system login user erpo class super‐user authentication plain‐text‐passworderpo6698３，设置时间run set date 201207091908４，设置时区为上海set system time‐zone Asia/shanghai５，设置主机名set system host‐name FW６，设置ＮＤＳ服和器Set system name‐server 208.67.222.222; 208.67.220.220;７，端口交换机属性设置root@ex2200# edit vlans test #新建vlan名称为testroot@ex2200# set vlan-id 10 #设置vlan idroot@ex2200# set description “Test VLAN” #设置vlan描述root@ex2200# set mac-limit 200 #设置mac数量,范围是(1..65535)，通常可以不配置root@ex2200# set mac-table-aging-time 600 #”设置mac生存时间(秒)，范围是(60-1000000) ”root@ex2200# set l3-interface vlan.10 #”将绑定三层逻辑子端口”root@ex2200# set interface ge-0/0/1.0 #”将端口加入到VLAN中”root@ex2200# set interface ge-0/0/2.0 #”将端口加入到VLAN中”(2)创建三层逻辑子端口root@ex2200# top #”回到最外层菜单”root@ex2200# set interfaces vlan unit 10 family inet address 192.168.1.1/24 #设置网关(3)将交换机端口修改为access模式并加入到新创建的VLAN中root@ex2200# top #”回到最外层菜单”root@ex2200# set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode accessroot@ex2200# set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 10root@ex2200# set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode accessroot@ex2200# set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members 10(4)commit提交：root@ex2200#commit８， DHCP 配置(DHCP Server)set system services dhcp pool 192.168.1.0/24 address-range low 192.168.1.33set system services dhcp pool 192.168.1.0/24 address-range high 192.168.1.64et system services dhcp pool 192.168.1.0/24 domain-name set system services dhcp pool 192.168.1.0/24 name-server 192.168.1.1set system services dhcp pool 192.168.1.0/24 router 192.168.1.1set system services dhcp pool 192.168.1.0/24 default-lease-time 3600set security zones security-zone untrust interfaces fe-0/0/5.0 host-inbound-traffic system-services dhcpuser@host# set security zones security-zone untrust interfaces fe-0/0/6.0 host-inbound-traffic system-services dhcp user@host# set interfaces fe-0/0/6 unit 0 family inet address 192.168.1.1/24DHCP设置(DHCP Client)user@host# set interfaces fe‐0/0/7 unit 0 family inet dhcpuser@host# set security zones security‐zone untrust interfaces fe‐0/0/7.0 host‐inbound‐traffic system‐services dhcpDHCP设置（DHCP Relay）user@host# set forwarding‐options helpers bootp description "Global DHCP relay service"user@host# set forwarding‐options helpers bootp server 192.18.24.38user@host# set forwarding‐options helpers bootp maximum‐hop‐count 4user@host# set forwarding‐options helpers bootp interface fe‐0/0/7.0user@host# set security zones security‐zone untrust interfaces fe‐0/0/7 host‐inbound‐traffic system‐services dhcpuser@host# set security zones security‐zone untrust interfaces fe‐0/0/8 host‐inbound‐traffic system‐services dhcp９，接口设置user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.168.20.2/24或者set interfaces ge-0/0/1.0 family inet address 192.168.20.2/249.2 设置区域user@host# set security zones security-zone trustuser@host# set security zones security-zone trust interfaces ge-0/0/1.0…ge-0/0/1.0 host-inbound-traffic system-services http (允许的服务)10, 静态路由user@host# set routing-options static route 10.2.2.0/24 next-hop 10.1.1.254user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.25411,在系统级开启ftp/telnet/http远程接入管理服务Set system services ftpSet system services sshSet system services telnetSet system services web‐management http12, 在untrust zone 打开允许远程登录管理服务Set security zones security‐zone untrnst host‐inbound‐traffic system‐services ssh13,防火墙策略安全设备的缺省行为是拒绝安全区段之间的所有信息流，允许绑定到同一区段的接口间的所有信息流。

SRX WEB模式实验手册前言、版本说明 (2)一、界面菜单管理 (4)2、WEB管理界面 (4)（1）Web管理界面需要浏览器支持Flash控件。

(4)（2)输入用户名密码登陆： (5)（3）仪表盘首页 (5)3、菜单目录 (7)二、接口配置 (11)1、接口静态IP (11)2、PPPoE (13)3、DHCP (13)三、路由配置 (14)1、静态路由 (14)2、动态路由 (15)四、区域设置Zone (16)五、策略配置 (17)1、策略元素定义 (17)2、防火墙策略配置 (20)3、安全防护策略 (23)六、地址转换 (23)1、源地址转换—建立地址池 (24)2、源地址转换规则设置 (25)七、VPN配置 (27)1、建立第一阶段加密建议IKE Proposal (Phase 1） (或者用默认提议). 282、建立第一阶段IKE策略 (29)3、建立第一阶段IKE Gateway (30)4、建立第二阶段加密提议IKE Proposal (Phase 2） (或者用默认提议）315、建立第一阶段IKE策略 (32)6、建立VPN策略 (32)八、Screen防攻击 (34)前言、版本说明产品：Juniper SRX240 SH版本：JUNOS Software Release [9。

6R1.13]注：测试推荐使用此版本。

此版本对浏览速度、保存速度提高了一些，并且CPU占用率明显下降很多。

9.5R2.7版本(CPU持续保持在60％以上，甚至90%)9。

6R1.13版本（对菜单操作或者保存配置时，仍会提升一部分CPU）一、界面菜单管理1、管理方式JuniperSRX系列防火墙出厂默认状态下，登陆用户名为root密码为空，所有接口都已开启Web管理，但无接口地址。

终端连接防火墙后，输入用户名(root）、密码(空），显示如下：root＠srx240-1%输入cli命令进入JUNOS访问模式：root@srx240—1％ cliroot@srx240—1〉输入configure进入JUNOS配置模式：root＠srx240—1% cliroot＠srx240-1〉 configureEntering configuration mode[edit]root@srx240-1#防火墙至少要进行以下配置才可以正常使用：(1）设置root密码（否则无法保存配置）（2）开启ssh/telnet/http服务(3）添加用户（root权限不能作为远程telnet帐户,可以使用SHH方式）(4)分配新的用户权限2、WEB管理界面(1）Web管理界面需要浏览器支持Flash控件。

Juniper SRX防火墙配置手册1系统配置 (1)1。

1 配置ROOT帐号密码 (1)1。

2 配置用户名和密码 (2)2接口配置 (7)2。

1 IPV4地址配置 (8)2.2 接口T RUNK模式配置 (12)2。

3 接口A CCESS模式配置 (13)3VLAN配置 (14)3。

1 创建VLAN配置 (14)4路由配置 (18)4。

1 静态路由配置 (20)5自定义应用配置 (21)5。

1 自定义服务配置 (21)5。

2 应用组配置 (22)6地址组配置 (23)6。

1 地址簿配置 (23)6.2 地址组配置 (24)7日程表配置 (26)8NAT配置 (29)8.1 S TATIC NAT配置 (29)1 系统配置1.1 配置root帐号密码首次登陆设备时，需要采用console方式，登陆用户名为:root，密码为空，登陆到cli下以后,执行如下命令，设置root帐号的密码。

root＃ set system root—authentication plain-text—passwordroot# new password ： root123root＃ retype new password： root123密码将以密文方式显示。

注意：必须要首先配置root帐号密码，否则后续所有配置的修改都无法提交。

SRX系列低端设备在开机后，系统会加载一个默认配置，设备的第一个接口被划分在trust 区域，配置一个ip地址192。

168.1.1,允许ping、telnet、web等管理方式，可以通过该地址登陆设备.登陆后显示页面如下:在该页面上，可以看到设备的基本情况,在左边的chassis view中可以看到端口up/down 情况，在system identification中可以看到设备序列号、设备名称、软件版本等信息，在resource utilization中可以看到cpu、menory、session、存储空间等信息，在security resources中可以看到当前的会话统计、策略数量统计等信息。

简略目录关于本指南 (xxxix)第一部分基于流和基于数据包的处理第一章处理概述 (3)第二章基于流的处理 (11)第三章IPV6基于流的处理 (55)第四章基于数据包的处理 (99)第二部分安全区段和接口第五章安全区段和接口 (127)第三部分通讯簿和地址集第六章通讯簿和地址集 (149)第四部分安全策略第七章安全策略 (163)第八章安全全局策略 (191)第九章安全策略时间表 (199)第十章安全策略应用 (205)第五部分应用层网关第十一章ALG (231)第十二章H.323ALG (239)第十三章用于IKE和ESP的ALG (271)第十四章SIP ALG (281)第十五章SCCP ALG (335)第十六章MGCP ALG (355)第十七章RPC ALG (385)第六部分用户认证第十八章防火墙用户认证 (395)第十九章Infranet认证 (425)Junos OS安全配置指南第七部分虚拟专用网第二十章互联网协议安全性 (453)第二十一章证书公开密钥密码术 (637)第二十二章动态VPN (663)第二十三章组VPN (721)第八部分入侵检测和防护第二十四章IDP策略 (765)第二十五章应用级分布式拒绝服务 (823)第二十六章IDP特征数据库 (835)第二十七章IDP应用识别 (851)第二十八章IDP SSL检查 (859)第二十九章IDP服务类别操作 (865)第三十章IDP性能与容量调整 (873)第三十一章IDP日志记录 (875)第九部分统一威胁管理第三十二章统一威胁管理概述 (891)第三十三章反垃圾邮件过滤 (897)第三十四章完全防病毒保护 (915)第三十五章快速防病毒保护 (971)第三十六章Sophos防病毒保护 (991)第三十七章内容过滤 (1009)第三十八章Web过滤 (1023)第三十九章机箱集群中的统一威胁管理支持 (1061)第十部分攻击检测和防护第四十章攻击检测和防护 (1067)第四十一章侦查威慑 (1069)第四十二章可疑数据包属性 (1097)第四十三章拒绝服务攻击 (1107)第十一部分应用标识第四十四章Junos OS应用标识 (1141)第四十五章应用防火墙 (1167)第四十六章AppTrack应用跟踪 (1177)第四十七章应用服务质量 (1183)第十二部分机箱集群第四十八章机箱集群 (1195)简略目录第十三部分IP监控第四十九章IP监控 (1375)第十四部分网络地址转换第五十章网络地址转换 (1381)第十五部分GPRS第五十一章通用分组无线业务 (1483)第五十二章流控制传输协议 (1539)第十六部分索引索引 (1553)Junos OS安全配置指南目录关于本指南 (xxxix)J系列和SRX系列文档和发行说明 (xxxix)目标 (xxxix)读者..............................................................xl支持的路由平台.....................................................xl文档约定...........................................................xl文档反馈.........................................................xlii请求技术支持.....................................................xlii自助在线工具和资源.............................................xlii使用JTAC打开案例.............................................xlii 第一部分基于流和基于数据包的处理第一章处理概述 (3)Juniper Networks设备处理概述 (3)了解基于流的处理 (4)区段和策略 (4)流和会话 (5)了解基于数据包的处理 (5)无状态防火墙过滤器 (5)服务等级功能 (5)筛选 (6)了解SRX系列服务网关中心点架构 (6)组合模式下的负载分布 (7)在组合模式下共享处理能力和内存 (7)按设备扩展会话容量 (7)在SRX3400或SRX3600设备上扩展会话容量 (8)在SRX5800设备上扩展会话容量 (8)了解中心点会话扩展 (9)在SRX5800设备上恢复缺省的会话容量 (9)验证当前的会话容量 (9)了解J系列服务路由器的状态式和无状态数据处理 (10)第二章基于流的处理 (11)SRX系列服务网关的会话 (11)SRX系列服务网关的会话特征 (11)了解SRX系列服务网关的会话特征 (11)示例：控制SRX系列服务网关的会话终止 (12)示例：禁用SRX系列服务网关的TCP数据包安全检查 (13)示例：为SRX系列服务网关的所有TCP会话设置最大片段大小 (14)了解按策略进行TCP会话检查 (15)Junos OS安全配置指南示例：配置按策略进行TCP数据包安全检查 (16)监控SRX系列服务网关会话 (17)了解如何获取SRX系列服务网关的会话信息 (17)显示所有SRX系列服务网关全局会话参数 (20)显示SRX系列服务网关的会话摘要 (20)显示SRX系列服务网关会话和与会话有关的流信息 (21)显示SRX系列服务网关会话和与特定会话有关的流信息 (21)使用过滤器显示SRX系列服务网关的会话和流信息 (22)SRX系列服务网关的会话日志中提供的信息 (22)清除SRX系列服务网关会话 (26)终止SRX系列服务网关会话 (26)终止SRX系列服务网关的特定会话 (26)使用过滤器指定要终止的SRX系列服务网关会话 (27)SRX5600和SRX5800服务网关处理概述 (27)了解第一个数据包的处理 (28)了解快速路径处理 (29)了解单播会话的数据路径 (30)会话查找和数据包匹配标准 (30)了解会话创建：第一个数据包处理 (30)了解快速路径处理 (32)了解数据包处理 (34)了解服务处理单元 (35)了解时间表的特征 (35)了解网络处理器捆绑 (35)网络处理器捆绑限制 (35)SRX1400、SRX3400和SRX3600服务网关处理概述 (36)参与会话设置的组件 (36)了解单播会话的数据路径 (37)会话查找和数据包匹配标准 (37)了解会话创建：第一个数据包处理 (37)了解快速路径处理 (39)服务卸载概述 (39)示例：在策略中启用服务卸载 (40)SRX210服务网关处理概述 (42)了解流处理和会话管理 (42)了解第一个数据包的处理 (42)了解会话创建 (42)了解快速路径处理 (43)了解J系列服务路由器的状态式和无状态数据处理 (44)J系列服务路由器的会话特征 (44)了解J系列服务路由器的会话特征 (44)示例：控制J系列服务路由器的会话终止 (45)示例：禁用J系列服务路由器的TCP数据包安全检查 (47)示例：调节J系列服务路由器的端到端TCP通信 (48)了解J系列服务路由器的数据路径 (50)了解转发处理 (51)了解基于会话的处理 (51)会话查找 (51)第一个数据包路径处理 (51)目录快速路径处理 (52)了解转发功能 (52)了解主动会话超时 (53)第三章IPV6基于流的处理 (55)了解IP版本6(IPv6) (56)关于IPv6地址空间、编址和地址类型 (56)关于IPv6地址类型以及用于SRX系列服务网关和J系列设备的Junos OS如何使用它们 (57)关于IPv6地址格式 (58)IPv6数据包包头和SRX系列与J系列设备概述 (58)关于IPv6基本数据包包头 (59)了解IPv6数据包包头扩展名 (60)关于由SRX系列和J系列设备的流模块执行的IPv6数据包包头验证 (61)IPv6高级流 (62)了解IPv6双栈Lite (63)示例：配置IPv6双栈Lite (66)了解SRX系列和J系列设备处理ICMPv6数据包的方式 (68)了解用于IPv6数据包的路径MTU消息 (69)了解SRX系列和J系列设备如何处理IPv6流的数据包分片 (70)了解IPv6流会话 (71)了解SRX5600和SRX5800架构和流处理 (71)为IPv6信息流启用基于流的处理 (73)使用过滤器显示SRX系列服务网关的IPv6会话和流信息 (75)IPv6NAT (79)IPv6NAT概述 (79)受IPv6NAT支持的源NAT转换 (79)受IPv6NAT支持的目标NAT映射 (80)受IPv6NAT支持的静态NAT映射 (80)IPv6NAT PT概述 (81)IPv6NAT-PT通信概述 (82)示例：使用缺省目标地址前缀静态映射配置由IPv4发起到IPv6节点的连接 (82)示例：使用静态目标地址一对一映射配置由IPv4发起到IPv6节点的连接 (85)示例：使用缺省目标地址前缀静态映射配置由IPv6发起到IPv4节点的连接 (88)示例：使用静态目标地址一对一映射配置由IPv6发起到IPv4节点的连接 (91)IPv6ALG (94)用于路由、NAT和NAT-PT的IPv6DNS ALG (94)NAT模式下的IPv6DNS ALG信息流 (94)NAT-PT模式下的IPv6DNS ALG信息流 (94)用于路由的IPv6FTP ALG (95)针对IPv6的FTP ALG支持 (95)EPRT模式 (96)EPSV模式 (96)TFTP ALG支持IPv6 (96)了解针对ICMP的IPV6ALG支持 (96)ICMP错误消息 (97)ICMP ALG功能 (97)Junos OS安全配置指南第四章基于数据包的处理 (99)了解基于数据包的处理 (99)了解选择性无状态基于数据包的服务 (100)选择性无状态基于数据包的服务配置概述 (101)示例：配置选择性无状态基于数据包的服务，用于端到端基于数据包的转发 (103)示例：配置选择性无状态基于数据包的服务，用于基于数据包到基于流的转发 (112)了解服务卸载解决方案 (120)服务卸载许可证概述 (122)第二部分安全区段和接口第五章安全区段和接口 (127)安全区段和接口概述 (127)了解安全区段接口 (127)了解接口端口 (128)安全区段 (128)了解功能区段 (128)了解安全区段 (129)示例：创建安全区段 (129)主机入站信息流 (131)了解如何根据信息流类型控制入站信息流 (131)支持的主机入站信息流系统服务 (132)示例：根据信息流类型控制入站信息流 (134)协议 (136)了解如何根据协议控制入站信息流 (136)示例：根据协议控制入站信息流 (137)TCP-Reset参数 (139)了解如何使用TCP-Reset参数识别重复的会话 (139)示例：配置TCP-Reset参数 (139)DNS (140)DNS概述 (141)DNS组件 (141)DNS服务器缓存 (141)示例：配置DNS服务器缓存的TTL值 (141)DNSSEC概述 (142)示例：配置DNSSEC (142)示例：配置DNSSEC密钥 (143)示例：配置DNSSEC安全域和可信任密钥 (143)第三部分通讯簿和地址集第六章通讯簿和地址集 (149)了解通讯簿 (149)预定义地址 (149)通讯簿中的网络前缀 (149)通讯簿中的通配符地址 (150)通讯簿中的DNS名称 (150)了解全局通讯簿 (150)了解地址集 (151)目录配置地址和地址集 (151)地址和地址集 (151)通讯簿和安全区段 (152)通讯簿和安全策略 (152)可用于安全策略的地址 (153)将策略应用于地址集 (153)通讯簿和NAT (154)示例：配置通讯簿和地址集 (155)地址和地址集的限制 (159)第四部分安全策略第七章安全策略 (163)安全策略概述 (163)了解安全策略规则 (165)了解通配符地址 (167)了解安全策略元素 (168)了解自信息流的安全策略 (169)安全策略配置概述 (169)使用防火墙向导配置策略 (170)示例：配置安全策略以允许或拒绝所有信息流 (170)示例：配置安全策略以允许或拒绝选定信息流 (174)示例：配置安全策略以允许或拒绝通配符地址信息流 (178)了解安全策略排序 (181)示例：策略重新排序 (182)安全策略故障排除 (183)检查安全策略提交失败 (183)验证安全策略提交 (184)调试策略查找 (184)监控策略统计信息 (184)匹配安全策略 (185)了解审核日志的搜索和排序 (186)了解数据包流报警和审核 (187)示例：在响应策略违规时生成安全报警 (188)第八章安全全局策略 (191)全局策略概述 (191)示例：配置全局策略 (192)在高端SRX系列设备上定义策略的最佳实践 (194)检查内存状态 (196)第九章安全策略时间表 (199)安全策略时间表概述 (199)示例：配置时间表 (200)验证预定的策略 (202)Junos OS安全配置指南第十章安全策略应用 (205)安全策略应用概述 (205)策略应用集概述 (206)示例：配置应用和应用集 (206)定制策略应用 (208)了解定制策略应用 (208)定制应用映射 (208)示例：添加和修改定制策略应用 (209)示例：定义定制ICMP应用 (210)策略应用超时 (212)了解策略应用超时配置和查找 (212)了解策略应用超时意外情况 (213)示例：设置策略应用超时 (214)了解ICMP预定义策略应用 (215)ICMP不可访问错误的缺省行为 (218)了解与互联网相关的预定义策略应用 (219)了解Microsoft预定义策略应用 (220)了解动态路由协议预定义策略应用 (221)了解流视频预定义策略应用 (222)了解Sun RPC预定义策略应用 (222)了解安全和通道预定义策略应用 (223)了解与IP相关的预定义策略应用 (224)了解即时消息传递预定义策略应用 (224)了解管理预定义策略应用 (225)了解邮件预定义策略应用 (226)了解UNIX预定义策略应用 (227)了解其他预定义策略应用 (227)第五部分应用层网关第十一章ALG (231)ALG概述 (231)了解ALG类型 (232)了解VoIP DSCP重写规则 (233)示例：配置VoIP DSCP重写规则 (234)了解DNS修正 (235)禁用DNS修正（CLI过程） (236)第十二章H.323ALG (239)了解H.323ALG (239)了解Avaya H.323ALG (241)Avaya H.323ALG特有功能 (241)Avaya H.323ALG中的呼叫流详细信息 (241)H.323ALG配置概述 (242)H.323ALG端点注册超时 (243)了解H.323ALG端点注册超时 (243)示例：设置H.323ALG端点注册超时 (243)H.323ALG媒体源端口范围 (244)了解H.323ALG媒体源端口范围 (244)示例：设置H.323ALG媒体源端口范围 (245)H.323ALG DoS攻击保护 (246)了解H.323ALG DoS攻击保护 (246)示例：配置H.323ALG DoS攻击保护 (246)H.323ALG未知消息类型 (247)了解H.323ALG未知消息类型 (247)示例：允许未知H.323ALG消息类型 (248)示例：允许H.323ALG信息流通过专用区段中的关守 (249)示例：允许H.323ALG信息流通过外部区段中的关守 (254)示例：结合使用NAT和H.323ALG来启用内向呼叫 (259)示例：结合使用NAT和H.323ALG来启用外向呼叫 (265)第十三章用于IKE和ESP的ALG (271)了解用于IKE和ESP的ALG (271)了解用于IKE和ESP的ALG操作 (272)示例：配置IKE与ESP ALG (272)示例：启用IKE与ESP ALG并设置超时 (277)第十四章SIP ALG (281)了解SIP ALG (281)SIP ALG操作 (282)SDP会话说明 (283)针孔创建 (283)了解SIP ALG请求方法 (285)SIP ALG配置概述 (286)SIP ALG呼叫持续时间和超时 (286)了解SIP ALG呼叫持续时间和超时 (286)示例：设置SIP ALG呼叫持续时间和超时 (287)SIP ALG DoS攻击保护 (288)了解SIP ALG DoS攻击保护 (289)示例：配置SIP ALG DoS攻击保护 (289)SIP ALG未知消息类型 (290)了解SIP ALG未知消息类型 (290)示例：允许未知SIP ALG消息类型 (291)SIP ALG暂停资源 (292)了解SIP ALG暂停资源 (292)保留SIP ALG暂停资源（J-Web过程） (292)保留SIP ALG暂停资源（CLI过程） (293)SIP ALG和NAT (293)了解SIP ALG和NAT (293)外向呼叫 (294)内向呼叫 (294)已转移呼叫 (295)呼叫终止 (295)呼叫Re-INVITE消息 (295)呼叫会话计时器 (295)呼叫取消 (295)分支 (295)SIP消息 (295)SIP包头 (296)SIP正文 (298)SIP NAT场景 (298)SIP响应的类别 (300)了解使用SIP Registrar和NAT的内向SIP ALG呼叫支持 (302)示例：为内向SIP呼叫配置接口源NAT (303)示例：为内向SIP呼叫配置源NAT池 (308)示例：为内向SIP呼叫配置静态NAT (313)示例：配置专用区段中的SIP代理和公共区段中的NAT (318)示例：配置三区段SIP ALG和NAT场景 (323)验证SIP ALG配置 (330)验证SIP ALG (330)验证SIP ALG呼叫 (330)验证SIP ALG呼叫详细信息 (331)验证SIP ALG计数器 (331)验证SIP ALG消息的速率 (332)第十五章SCCP ALG (335)了解SCCP ALG (335)SCCP安全性 (336)SCCP组件 (336)SCCP客户端 (336)呼叫管理器 (337)集群 (337)SCCP事务 (337)客户端初始化 (337)客户端注册 (337)呼叫设置 (338)媒体设置 (338)SCCP控制消息和RTP流 (338)SCCP消息 (339)SCCP ALG配置概述 (340)SCCP ALG静止媒体超时 (340)了解SCCP ALG静止媒体超时 (340)示例：设置SCCP ALG静止媒体超时 (341)SCCP ALG未知消息类型 (342)了解SCCP ALG未知消息类型 (342)示例：允许未知SCCP ALG消息类型 (342)SCCP ALG DoS攻击保护 (343)了解SCCP ALG DoS攻击保护 (343)示例：配置SCCP ALG DoS攻击保护 (344)示例：在专用区段中配置SCCP ALG呼叫管理器或TFTP服务器 (345)验证SCCP ALG配置 (351)验证SCCP ALG (351)验证SCCP呼叫 (352)验证SCCP呼叫详细信息 (352)验证SCCP计数器 (353)第十六章MGCP ALG (355)了解MGCP ALG (355)MGCP安全性 (356)MGCP中的实体 (356)端点 (356)连接 (356)呼叫 (357)呼叫代理 (357)命令 (357)响应代码 (359)MGCP ALG配置概述 (360)MGCP ALG呼叫持续时间和超时 (360)了解MGCP ALG呼叫持续时间和超时 (361)示例：设置MGCP ALG呼叫持续时间 (361)示例：设置MGCP ALG静止媒体超时 (363)示例：设置MGCP ALG事务超时 (364)MGCP ALG DoS攻击保护 (365)了解MGCP ALG DoS攻击保护 (365)示例：配置MGCP ALG DoS攻击保护 (365)MGCP ALG未知消息类型 (366)了解MGCP ALG未知消息类型 (366)示例：允许未知MGCP ALG消息类型 (367)示例：使用MGCP ALG配置用户家中的媒体网关 (368)示例：使用MGCP ALG和NAT配置ISP托管三区段服务 (375)第十七章RPC ALG (385)了解RPC ALG (385)Sun RPC ALG (385)了解Sun RPC ALG (386)启用Sun RPC ALG（J-Web过程） (386)启用Sun RPC ALG（CLI过程） (387)Sun RPC服务和应用程序 (387)了解Sun RPC服务 (387)自定义Sun RPC应用程序（CLI过程） (388)Microsoft RPC ALG (389)了解Microsoft RPC ALG (389)启用Microsoft RPC ALG（J-Web过程） (389)启用Microsoft RPC ALG（CLI过程） (390)Microsoft RPC服务和应用程序 (390)了解Microsoft RPC服务 (390)自定义Microsoft RPC应用程序（CLI过程） (390)验证Microsoft RPC ALG表 (391)第六部分用户认证第十八章防火墙用户认证 (395)防火墙用户认证概述 (395)传递认证 (396)了解传递认证 (396)示例：配置传递认证 (397)Web认证 (402)了解Web认证 (402)示例：配置Web认证 (404)外部认证 (410)了解外部认证服务器 (410)了解SecurID用户认证 (410)示例：配置RADIUS和LDAP用户认证 (411)示例：配置SecurID用户认证 (415)示例：删除SecurID节点机密文件 (418)用于防火墙认证的客户端组 (419)了解用于防火墙认证的客户端组 (419)示例：为客户端组配置本地用户 (420)防火墙认证标题自定义 (421)了解防火墙认证标题自定义 (421)示例：自定义防火墙认证标题 (422)第十九章Infranet认证 (425)UAC和Junos OS (425)了解Junos OS环境中的UAC (425)在Junos OS环境中启用UAC（CLI程序） (427)Junos OS执行器和IC系列UAC设备通信 (427)了解Junos OS执行器和IC系列UAC设备之间的通信 (427)配置Junos OS执行器和IC系列UAC设备之间的通信（CLI程序） (428)Junos OS执行器策略执行 (429)了解Junos OS执行器策略执行 (430)使用仅测试模式测试Junos OS执行器策略访问决定（CLI程序） (431)验证Junos OS执行器策略执行 (431)显示来自Junos OS执行器的IC系列UAC设备认证表条目 (431)显示来自Junos OS执行器的IC系列UAC设备资源访问策略 (431)Junos OS执行器和IPsec (432)了解使用IPsec的Junos OS执行器实施 (432)示例：将设备配置为使用IPsec的Junos OS执行器(CLI) (433)Junos OS执行器和Infranet代理端点安全 (440)了解使用Infranet代理与Junos OS执行器的端点安全 (440)配置使用Infranet代理与Junos OS执行器的端点安全 (440)Junos OS执行器和捕获门户 (440)了解Junos OS执行器上的捕获门户 (441)了解Junos OS执行器上的捕获门户配置 (442)示例：在Junos OS执行器上创建捕获门户策略 (443)了解捕获门户重定向URL选项 (445)示例：配置捕获门户的重定向URL (446)Junos OS执行器和IC系列UAC设备集群故障切换 (447)了解Junos OS执行器与IC系列UAC设备集群之间的通信 (448)配置Junos OS执行器故障切换选项（CLI程序） (448)第七部分虚拟专用网第二十章互联网协议安全性 (453)VPN概述 (453)IPsec VPN拓扑 (454)比较基于策略的VPN与基于路由的VPN (454)安全关联 (455)IPsec密钥管理 (456)手动密钥 (456)自动密钥IKE (456)Diffie-Hellman交换 (457)IPsec安全协议 (457)AH协议 (457)ESP协议 (458)IPsec通道协商 (458)SRX系列服务网关中的分布式VPN (459)了解IKE和IPsec数据包处理 (459)通道模式下的数据包处理 (459)IKE数据包处理 (461)IPsec数据包处理 (464)了解IKE通道协商的阶段1 (466)主模式 (467)积极模式 (467)了解IKE通道协商的阶段2 (468)代理ID (468)完全向前保密 (469)回放攻击保护 (469)了解互联网密钥交换版本2 (469)基于路由的VPN (470)了解基于路由的IPsec VPN (470)示例：配置基于路由的VPN (471)示例：为IKEv2配置基于路由的VPN (487)基于策略的VPN (503)了解基于策略的IPsec VPN (503)示例：配置基于策略的VPN (503)集中星型VPN (520)了解集中星型VPN (520)示例：配置集中星型VPN (521)NAT穿透 (551)了解NAT-T (551)示例：在仅响应方位于NAT之后时配置基于路由的VPN (552)示例：在发起方和响应方均位于NAT设备之后时配置基于策略的VPN (575)使用VPN向导配置IPsec VPN (600)了解IPv6IKE和IPsec数据包处理 (600)IPv66in6通道模式下的数据包处理 (601)IPv6IKE数据包处理 (601)IPv6IPsec数据包处理 (602)IPv6中的AH协议 (602)IPv6中的ESP协议 (603)IPv6中的完整性校验值(ICV)计算 (603)IPv6通道模式下的包头结构 (603)IPv6IPsec配置概述 (604)示例：配置IPv6IPsec手动VPN (605)示例：配置IPv6自动密钥IKE基于策略的VPN (607)全局SPI和VPN监控功能 (623)了解全局SPI和VPN监控功能 (623)示例：配置全局SPI和VPN监控功能 (623)针对基于路由的VPN的虚拟路由器支持 (624)示例：在虚拟路由器中配置st0接口 (625)了解虚拟路由器限制 (629)了解VPN报警和审核 (629)示例：配置FIPS自检 (631)示例：设置声音警报作为安全报警的通知 (633)示例：生成安全报警以响应潜在的违反情况 (634)第二十一章证书公开密钥密码术 (637)了解证书和PKI (637)证书签名和验证 (638)公开密钥基础 (638)PKI管理和实施 (640)互联网密钥交换 (641)数字证书配置概述 (641)在线启用数字证书：配置概述 (642)手动生成数字证书：配置概述 (642)公钥-私钥对 (643)了解公开密钥密码术 (643)示例：生成公钥-私钥对 (643)CA配置文件 (644)了解证书授权机构配置文件 (644)示例：配置CA配置文件 (645)证书注册 (646)了解在线CA证书注册 (646)使用SCEP在线注册CA证书 (646)示例：使用SCEP在线注册本地证书。

Juniper SRX防火墙配置手册一、JUNOS操作系统介绍1.1 层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。

JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。

在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd 命令）,exit命令退回上一级，top命令回到根级。

1.2 JunOS配置管理JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（Candidate Config）等待管理员提交确认，管理员通过输入commit命令来提交配置，配置内容在通过SRX 语法检查后才会生效，一旦commit通过后当前配置即成为有效配置（Active config）。

另外，JUNOS 允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交，否则2分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。

在执行commit命令前可通过配置模式下show命令查看当前候选配置（Candidate Config），在执行commit后配置模式下可通过run show config命令查看当前有效配置（Active config）。

此外可通过执行show | compare比对候选配置和有效配置的差异。

SRX上由于配备大容量硬盘存储器，缺省按先后commit顺序自动保存50份有效配置，并可通过执行rolback和commit命令返回到以前配置（如rollback 0/commit可返回到前一commit配置）；也可以直接通过执行save configname.conf手动保存当前配置，并执行load override configname.conf / commit调用前期手动保存的配置。

Juniper SRX防火墙简明配置手册1.登录web管理界面工程师站网卡ip设置为10.5.241.0网段的地址，子网255.255.255.0，网线直连防火墙第一个接口，打开web浏览器输入地址10.5.241.29，输入用户名：root 密码：zaq1@WSX 点击log in如下图：2.配置接口地址点击configure-interfaces-ports-ge0/0/0-add添加ge0/0/0接口地址为10.5.241.29/24,zone选择untrust：点击configure-interfaces-ports-ge0/0/1-add添加ge0/0/1接口地址为10.56.21.29/24,zone选择trust：3.配置静态nat点击nat-staticnat-add 配置rule名称，from选择untrust，rules点击add添加静态路由，如下图：4.配置proxy点击nat-proxy-add，interface选择ge0/0/0,将映射的外网ip地址添加进来，如下图：5.配置静态路由点击Routing-StaticRouting-Add，route配置为0.0.0.0，next-hop配置为10.5.241.1（外网网关地址）6.配置zone策略点击security-zones/screens-add配置zone name为untrust,binding screen选择untrust-screen，interface in the zone选择接口ge0/0/0.0，host inbound traffic-zone里配置好允许访问的服务端口。

点击security-zones/screens-add配置zone name为trust,interface in the zone选择接口ge0/0/1.0，host inbound traffic-zone里配置好允许访问的服务端口。

Juniper SRX防火墙配置手册欧阳歌谷（2021.02.01）一、JUNOS操作系统介绍1.1 层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI 命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。

JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。

在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd命令）,exit命令退回上一级，top命令回到根级。

1.2 JunOS配置管理JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（CandidateConfig）等待管理员提交确认，管理员通过输入commit命令来提交配置，配置内容在通过SRX语法检查后才会生效，一旦commit通过后当前配置即成为有效配置（Active config）。

另外，JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交，否则2分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。

在执行commit命令前可通过配置模式下show命令查看当前候选配置（Candidate Config），在执行commit后配置模式下可通过run show config命令查看当前有效配置（Active config）。

此外可通过执行show | compare比对候选配置和有效配置的差异。

Juniper SRX防火墙配置手册之五兆芳芳创作一、JUNOS操纵系统介绍1.1 条理化配置结构JUNOS采取基于FreeBSD内核的软件模块化操纵系统，支持CLI命令行和WEBUI两种接口配置方法，本文主要对CLI命令行方法进行配置说明.JUNOS CLI使用条理化配置结构，分为操纵（operational）和配置（configure）两类模式，在操纵模式下可对当前配置、设备运行状态、路由及会话表等状态进行查抄及设备运维操纵，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操纵模式下的所有命令（run）.在配置模式下JUNOS采取分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd命令）,exit命令退回上一级，top命令回到根级.1.2 JunOS配置办理JUNOS通过set语句进行配置，配置输入后其实不会立即生效，而是作为候选配置（CandidateConfig）等待办理员提交确认，办理员通过输入commit命令来提交配置，配置内容在通过SRX语法查抄后才会生效，一旦commit通当时当前配置即成为有效配置（Active config）.另外，JUNOS允许执行commit命令时要求办理员对提交的配置进行两次确认，如执行commit confirmed 2命令要求办理员必须在输入此命令后2分钟内再次输入commit以确认提交，不然2分钟后配置将自动回退，这样可以避免远程配置变动时办理员失去对SRX的远程连接风险.在执行commit命令前可通过配置模式下show命令查抄当前候选配置（Candidate Config），在执行commit后配置模式下可通过run show config命令查抄当前有效配置（Active config）.此外可通过执行show | compare比对候选配置和有效配置的差别.SRX上由于配备大容量硬盘存储器，缺省按先后commit顺序自动保管50份有效配置，并可通过执行rolback和commit命令前往到以前配置（如rollback 0/commit可前往到前一commit 配置）；也可以直接通过执行save configname.conf手动保管当前配置，并执行load override configname.conf / commit调用前期手动保管的配置.执行load factorydefault / commit命令可恢复到出厂缺省配置.SRX可对模块化配置进行功效封闭与激活，如执行deactivate security nat/comit命令可使NAT相关配置不生效，并可通过执行activate security nat/commit使NAT配置再次生效.SRX通过set语句来配置防火墙，通过delete语句来删除配置，如delete security nat和edit security nat / delete一样，均可删除security防火墙层级下所有NAT相关配置，删除配置和ScreenOS不合，配置进程中需加以留意.1.3 SRX主要配置内容安排SRX防火墙主要有以下几个方面需要进行配置：System：主要是系统级内容配置，如主机名、办理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程办理办事（如telnet）等内容.Interface:接口相关配置内容.Security: 是SRX防火墙的主要配置内容，平安相关部分外容全部在Security层级下完成配置，如NAT、Zone、Policy、Addressbook、Ipsec、Screen、Idp 等，可复杂理解为ScreenOS防火墙平安相关内容都迁移至此配置条理下，除了Application自定义办事.Application：自定义办事单独在此进行配置，配置内容与ScreenOS根本一致.routingoptions：配置静态路由或routerid等系统全局路由属性配置.二、SRX防火墙配置对照说明战略处理流程图2.1 初始装置2.1.1 登陆Console口(通用超等终端缺省配置)连接SRX，root用户登陆，密码为空login: rootPassword:JUNOS 9.5R1.8 built 0716 15:04:30 UTCroot% cli //进入操纵模式root>root> configure //进入配置模式[edit]Root#2.1.2 设置root用户口令设置root用户口令root# set system rootauthentication plaintextpasswordroot# new password : root123root# retype new password: root123[edit]root# set system login class superuser idletimeout 3 设置当前用户超时时间密码将以密文方法显示root# show system rootauthenticationencryptedpassword "$1$xavDeUe6$fNM6olGU.8.M7B62u05D6."; # SECRETDATA注意：强烈建议不要使用其它加密选项来加密root和其它user 口令(如encryptedpassword加密方法)，此配置参数要求输入的口令应是经加密算法加密后的字符串，采取这种加密方法手工输入时存在密码无法通过验证风险.2.1.3 设置远程登陆办理用户root# set system login user labclass superuser authentication plaintextpassword //创建用户labroot# new password : lab123 //配置用户lab密码root# retype new password: lab123注：此lab用户拥有超等办理员权限，可用于console和远程办理拜访，另也可自行灵活定义其它不合办理权限用户.2.1.4 办理SRX相关配置root>show system uptime//查抄时间root#run set date YYYYMMDDhhmm.ss //设置系统时钟root#set system timezone Asia/beijing//设置时区为北京root#set system hostname SRX3400A//设置主机名root#set system ntp server 202.120.2.101 //设置NTP办事器root>show ntp associationsroot>show ntp status //查抄NTProot>show security alg status//查抄ALG状态ALG Status :DNS : EnabledFTP : EnabledH323 : EnabledMGCP : EnabledMSRPC : EnabledPPTP : EnabledRSH : EnabledRTSP : EnabledSCCP : EnabledSIP : EnabledSQL : EnabledSUNRPC : EnabledTALK : EnabledTFTP : EnabledIKEESP : Disabledroot#set system services ftproot#set system services telnetroot#set system services webmanagement http//在系统级开启ftp/telnet/http远程接入办理办事root>request system reboot //重启系统root>request system poweroff // 封闭系统root>show version//查抄版本信息Model: srx210bJUNOS Software Release [10.4R5.5]root>show system uptime //查抄系统启动时间Current time: 0811 05:09:15 UTCSystem booted: 0811 01:12:48 UTC (03:56:27 ago)Protocols started: 0811 01:15:28 UTC (03:53:47 ago)Last configured: 0811 03:11:08 UTC (01:58:07 ago) by rootroot>Show chassis haredware//查抄硬件板卡及序列号Hardware inventory:Item Version Part number Serial number Description Chassis AC5210AA0079 SRX210bRouting Engine REV 40 750021778 AACN5249 RESRX210BFPC 0 FPCPIC 0 2x GE, 6x FE, 1x 3GPower Supply 0root> show chassis environment //查抄硬件板卡当前状态Class Item Status MeasurementTemp Routing Engine OK 52 degrees C / 125 degrees FRouting Engine CPU AbsentFans SRX210 Chassis fan OK Spinning at normal speedPower Power Supply 0 OKroot>show chassis routingengine //查抄主控板（RE）资源使用及状态Routing Engine status:Temperature 52 degrees C / 125 degrees FTotal memory 512 MB Max 415 MB used ( 81 percent) Control plane memory 336 MB Max 306 MB used ( 91 percent)Data plane memory 176 MB Max 107 MB used ( 61 percent)CPU utilization:User 4 percentBackground 0 percentKernel 5 percentInterrupt 0 percentIdle 91 percentModel RESRX210BSerial ID AACN5249Start time 0811 01:12:47 UTCUptime 4 hours, 17 minutes, 57 secondsLast reboot reason 0x200:chassis control resetLoad averages: 1 minute 5 minute 15 minuteroot>show system license //查抄授权License usage:Licenses Licenses Licenses ExpiryFeature name used installed neededax411wlanap 0 2 0 permanentroot>show system processes extensive//查抄系统利用率last pid: 1968; load averages: 0.01, 0.03, 0.00 up 0+04:20:28 05:32:46111 processes: 17 running, 83 sleeping, 11 waitingMem: 120M Active, 87M Inact, 231M Wired, 30M Cache, 61M Buf, 1356K FreeSwap:PID USERNAME THR PRI NICE SIZE RES STATE C TIME WCPU COMMAND1097 root 4 76 0 194M 34836K select 0 298:05 98.44%flowd_octeon22 root 1 171 52 0K 16K RUN 0 203:47 84.96% idle: cpu024 root 1 20 139 0K 16K RUN 0 5:42 0.00% swi7: clock21 root 1 171 52 0K 16K RUN 1 2:21 0.00% idle: cpu15 root 1 84 0 0K 16K rtfifo 0 1:02 0.00% rtfifo_kern_recv1109 root 1 76 0 9724K 3796K select 0 0:46 0.00% rtlogd868 root 1 76 0 7004K 2588K select 0 0:37 0.00% eventd52 root 1 8 0 0K 16K mdwait 0 0:34 0.00% md01085 root 1 76 0 16984K 10676K select 0 0:29 0.00% snmpd1088 root 1 76 0 14288K 4788K select 0 0:23 0.00% l2ald1090 root 2 76 0 4K 6476K select 0 0:22 0.00% pfed1115 root 1 76 0 4180K 1104K select 0 0:19 0.00% licensecheck1087 root 1 4 0 39620K 2K kqread 0 0:15 0.00% rpd23 root 1 40 159 0K 16K WAIT 0 0:15 0.00% swi2: net(more 39%)root>monitor interface ge0/0/0//动态统计接口数据包转发信息Interface: ge0/0/0.0, Enabled, Link is UpFlags: SNMPTrapsEncapsulation: ENET2Local statistics: Current deltaInput bytes: 2986416 [4121]Output bytes: 47303 [90]Input packets: 47631 [64]Output packets: 969 [1]Remote statistics:Input bytes: 94404820 (1896 bps) [6685]Output bytes: 9553700 (952 bps) [2078]Input packets: 111689 (4 pps) [50]Output packets: 59369 (2 pps) [29] Traffic statistics:Input bytes: 97391236 Output bytes: , [10806] Next='n', Quit='q' or ESC, Freeze='f', Thaw='t', Clear='c', Interface='i'root>monitor traffic interface ge0/0/0//动态报文抓取verbose output suppressed, use <detail> or <extensive> for full protocol decodeAddress resolution is ON. Use <noresolve> to avoid any reverse lookup delay.Address resolution timeout is 4s.Listening on ge0/0/0.0, capture size 96 bytesReverse lookup for 172.56.1.23 failed (check DNS reachability). Other reverse lookup failures will not be reported.Use <noresolve> to avoid reverse lookups on IP addresses.05:41:02.884849 In IPX 00000000.00:13:8f:74:bc:19.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455: ipxnetbios 5005:41:03.509837 Out IP truncatedip 10 bytes missing! 172.56.3.34.55730 > .domain: 51866+[|domain] 05:41:03.568547 In STP 802.1d, Config, Flags [none], bridgeid 8000.00:06:53:48:8a:80.8010, length 4305:41:03.678096 In IPX 00000000.00:13:8f:74:bc:19.0455 > 00000000.ff:ff:ff:ff:ff:ff.0455: ipxnetbios 502.1.5 接口的初始化接口说明：root% cli//进入操纵模式root>root>show interfaces //查抄接口状态调整输出详细程度root>show intefaces terseroot>show interfaces briefroot>show interfaces detailroot>show interfaces extensive //由上到下查抄接口的信息越来越详细root>show interfaces detail | match fe0/0/0 //使用管道符匹配特定关头字root>help reference security policysecurity //查抄配置参考信息root> help apropos security //帮忙搜索关头字相关的操纵命令root> configure //进入配置模式[edit]root#root# show interfaces //查抄接口配置状态为接口配置IP地址的两种办法：set配置：root#show interfaces ge0/0/0.0 family inet //查抄接口配置address 1.1.1.1./24edit 配置直接指定到某个层级：[edit ]root#edit interfaces ge0/0/0.0 family inet //在该层级下为接口配置[edit interfaces ge0/0/0.0 family inet][edit interfaces ge0/0/0.0 family inet]root#up //前往上一级，一层一层的退出（也可以使用exit和top退出到[edit]）[edit interfaces]Root#showroot # set system syslog file monitorlog any any//创建名字为monitorlog的日志root # set system syslog file monitorlog match "172.56.3.34" //监控接口root #run monitor start monitorlog //开始监控root #run monitor stop//停止监控删除配置：root#delete interfaces ge0/0/0.0 //普通删除配置命令root#wildcard delete interfaces fe0* //通配符匹配删除配置命令matched：fe0/0/0matched：fe0/0/1matched：fe0/0/2matched：fe0/0/3matched：fe0/0/4matched：fe0/0/5matched：fe0/0/6matched：fe0/0/7delete 8 objecgts?[yes,no](no)yes配置addressbook（addressbook就是为地址命名，以便调用）[edit]root# edit security zones securityzone outside // 配置outside区域addressbook[edit security zones securityzone outside][edit security zones securityzone outside]root# up[edit security zones]root#edit securityzone inside //配置inside区域addressbook [edit security zones securityzone inside][edit security zones securityzone inside]root# exit[edit security zones]root# exit配置application[edit]root# edit applications application tcp1752 //定义办事名字[edit applications application tcp1752]root# set protocol tcp sourceport 1752 destinationport 1752 //定义协议及端口号[edit]root# show applicationsapplication tcp1752 {protocol tcp;sourceport 1752;destinationport 1752;配置applicationset[edit]root# set applications applicationset webmgt application junosssh //配置应用办事集webmgt[edit]root# set applications applicationset webmgt application junosping [edit]root# set applications applicationset webmgtapplication junospcanywhere[edit]root# set applications applicationset webmgt application junoshttp [edit]root# set applications applicationset webmgt application junosftp root# show applications //查抄applications applicationset webmgt {application junosssh;application junosping;application junospcanywhere;application junoshttp;application junosftp;}替换配置：root# show interfaces ge0/0/0ge0/0/0 {unit 0 {family inet {root#WordStr pattern ge0/0/0 with ge0/0/1//一个接口取代另一个接口的配置root# show interfaces ge0/0/1ge0/0/1{unit 0 {family inet {复制配置：root#set interfaces ge0/0/0.0 familyEthernetswithing vlanroot#copy interfaces ge0/0/0.0 to ge0/0/1.0 //复制接口配置配置模式下的showroot#show //查抄配置root#show | display set // 查抄set格局的配置set system timezone asia/beijingset system rootauthentication encryptedpassword "$1$XyydlG84$f46l82dR8C/JHUvzFuq9o."set system login user lab uidset system login user lab class superuserset system login user lab authentication encryptedpassword "$1$Y0X8gbap$GZNvirOuGhW.4ZAq4xwHF."set system services sshset system services telnetset system services webmanagement https systemgeneratedcertificateset system syslog file natlog any anyset system syslog file natlog match RT_FLOW_SESSIONset system syslog file monitorlog any any(more)根本提交与恢复配置命令：root#commit //最根本的提交配置命令root#show | compare //查抄待提交的配置与当前运行的配置不同(+暗示增加的，暗示削减的)encryptedpassword "$1$XyydlG84$f46l82dR8C/JHUvzFuq9o."; ## SECRETDATA+ encryptedpassword "$1$PRX8HyIJ$X0uFTlOJ4yn.DQYeDiHl10"; ## SECRETDATA [edit system services webmanagement http]interface [ vlan.0 ge0/0/1.0 vlan.3 ge0/0/0.0 fe0/0/3.0 ];+ interface [ vlan.0 ge0/0/1.0 vlan.3 ge0/0/0.0 fe0/0/4.0 ];[edit interfaces]+ fe0/0/4 {+ unit 0 {+ family inet;+ family ethernetswitching;+ }+ }[edit security zones securityzone inside interfaces]vlan.3 { ... }+ fe0/0/4.0 {+ hostinboundtraffic {+ systemservices {+ http;+ }+ }+ }fe0/0/3.0 {hostinboundtraffic {systemservices {http;root#rollback ？//查抄可恢复的配置（注意：使用load facrotydefault命令恢复到出厂配置）Possible completions:<[Enter]> Execute this command0 0811 03:11:08 UTC by lab via cli1 0810 09:39:44 UTC by lab via cli2 0810 07:48:34 UTC by lab via cli3 0810 07:40:08 UTC by lab via cli4 0810 07:36:20 UTC by lab via cli5 0810 07:31:18 UTC by lab via cli6 0810 07:25:45 UTC by lab via cli7 0810 07:21:26 UTC by lab via cli8 0810 07:20:15 UTC by lab via cli9 0810 06:51:14 UTC by lab via cli10 0810 06:50:16 UTC by lab via cli11 0810 06:31:23 UTC by lab via cli12 0810 06:29:02 UTC by lab via cli[abort](more 42%)[edit]root#rollback 4 // 恢复某一配置（注意：需要commit之后恢复配置才干生效）root#commit at “0101 18:00:00”//在某一日期或时间提交配置命令root>clear system commit //清除未被提交的配置root#commit comment “onlyconfigurationinterfaces”//为提交的配置进行说明调换战略顺序Insert security policies fromzone zonename tozone zonename policy name [before | after ] policy name配置SNMP2.1.6 配置平安战略图解：定义outside属于Internet，inside属于内部局域网，通过juniper拜访Internet.接口的配置及创建不合的区域：//为接口ge0/0/0、ge0/0/1配置IP地址// 把接口放在不合的区域(outside /inside)中root#commit //提交配置root# show interfaces // 查抄接口配置信息ge0/0/0 {unit 0 {family inet {address 172.56.3.34/16 }}}ge0/0/1 {unit 0 {family inet {;}root # show security zones //查抄zones的配置信息securityzone inside {interfaces {ge0/0/1.0;}}securityzone outside {interfaces {ge0/0/0.0;}配置路由:[edit]root# edit routingoptions[edit routingoptions]root#commit[edit routingoptions]root # show //查抄路由条目static {route 0.0.0.0/0 nexthop [172.56.0.1 ];}root# run show route //查抄路由inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)+ = Active Route, = Last Active, * = Both0.0.0.0/0 *[Static/5] 00:34:1710.1.1.0/24 *[Direct/0] 00:34:1610.1.1.1/32 *[Local/0] 00:34:23172.56.0.0/16 *[Direct/0] 00:34:17172.56.3.34/32 *[Local/0] 00:34:23配置战略:[edit]root# edit security policies fromzone inside tozone outside policy permitall//定义zone inside到zone outside的战略[edit security policies fromzone inside tozone outside policy permitall]root# set match sourceaddress any //设置源地址为any[edit security policies fromzone inside tozone outside policy permitall]root# set match destinationaddress any //设置目标地址为any [edit security policies fromzone inside tozone outside policy permitall]root# set match application any //设置战略允许的办事为any [edit security policies fromzone inside tozone outside policy permitall]root# set then permit//设置的动作是允许通过root#commit[edit]root# show security policies //查抄平安战略fromzone inside tozone outside {policy permitall {match {sourceaddress any;destinationaddress any;application any;}then {permit;}Example 1 : 源地址转换(NAT)多对一，使得所有出向的流量源IP地址转换为外部接口地址IP[edit]root # edit security nat source ruleset natpolicy//定义名字为natpolicy的nat战略[edit security nat source ruleset natpolicy]root # set from zone insideto zone outside //设置战略来自inside 去往outside[edit security nat source ruleset natpolicy]root # edit rule insidetooutsidenat//定义法则名字为insidetooutsidenat[edit security nat source ruleset natpolicy rule insidetooutsidenat] [edit security nat source ruleset natpolicy rule insidetooutsidenat] root # set then sourcenat interface//设置转换源的nat[edit security nat source ruleset natpolicy rule insidetooutsidenat] root #set then log sessioninit sessionclose //设置启用日志,记实会话开始与结束[edit security nat source ruleset natpolicy]root # exit[edit]root #edit system syslog file natlog //设置一个日志文件名字为natlog[edit system syslog file natlog]root #set any any //匹配任何logroot #set match RT_FLOW_SESSION //匹配日志中关头字RT_FLOW_SESSIONroot #run show security flow session// 查抄会话的状态信息In: 10.1.1.2/55249 > 172.56.0.101/161;udp, If: ge0/0/1.0, Pkts: 166, Bytes: 17596Out: 172.56.0.101/161 > 10.1.1.2/55249;udp, If: ge0/0/0.0, Pkts: 0, Bytes: 0Session ID: 50, Policy name: permitall/4, Timeout: 52, ValidIn: 10.1.1.2/55249 > 172.56.1.100/161;udp, If: ge0/0/1.0, Pkts: 167, Bytes: 17702Out: 172.56.1.100/161 > 10.1.1.2/55249;udp, If: ge0/0/0.0, Pkts: 0, Bytes: 0Total sessions: 2root #run show security flow session summary// 查抄会话数Unicastsessions: 4Multicastsessions: 0Failedsessions: 0Sessionsinuse: 10Valid sessions: 4Pending sessions: 0Invalidated sessions: 6Sessions in other states: 0Maximumsessions: 32768root #run show log natlog //查抄日志信息Aug 2 17:46:45 RT_FLOW: RT_FLOW_SESSION_CLOSE: session closed unset: 10.1.1.2/52896>202.96.134.133/53 junosdnsudp 10.1.1.2/52896>202.96.134.133/53 None None 17 permitall inside outside 3048 1(61) 1(180) 3root # show security nat //查抄nat的战略信息source {ruleset natpolicy {from zone inside;to zone outside ;rule insidetooutsidenat {match {destinationaddress [172.56.3.34/16 ];}then {sourcenat {interface;}[edit]root # edit security policies fromzone inside tozone outside[edit security policies fromzone inside tozone outside]root #edit policy permitall[edit security policies fromzone inside tozone outside policy permitall]root #set then count // 为policy配置count行动[edit security policies fromzone inside tozone outside policy permitall]root # commitcommit complete[edit security policies fromzone inside tozone outside policy permitall]root # showmatch {sourceaddress any;destinationaddress any;application any;}then {permit;log {sessioninit;sessionclose;}count;root> show security policies policyname permitall detail //使用show查抄count结果Policy: permitall, actiontype: permit, State: enabled, Index: 4, Scope Policy: 0Policy Type: ConfiguredSequence number: 1From zone: inside, To zone: outsideSource addresses:anyipv6: ::/0Destination addresses:anyipv6: ::/0Application: anyIP protocol: 0, ALG: 0, Inactivity timeout: 0Source port range: [00]Destination port range: [00]Per policy TCP Options: SYN check: No, SEQ check: NoSession log: atcreate, atclosePolicy statistics:Input bytes : 2696984 14509 bps Output bytes : 2683338 14443 bps Input packets : 4537 28 ppsOutput packets : 4433 27 pps Session rate : 234 1 spsActive sessions : 9Session deletions: 225Policy lookups : 230配置:[edit security nat source]root# showpool A {address {207.17.137.1/24 to 207.17.137.254/24;}hostaddressbase 10.1.10.5/24;}ruleset 1A {from zone inside;to zone outside;rule 1 {match {sourceaddress 10.1.10.0/24;}then {sourcenat pool A;root> show security flow sessionSession ID: 57737, Policy name: defaultpermit/4, Timeout: 1772 root> show security nat source pool allTotal pools: 1Pool name : APool id : 4Routing instance : defaultPort : no translationTotal addresses : 254Translation hits : 6Example 3 :目的地址转换（NAT）一对一，使所有进标的目的拜访公网IP（100.0.0.1/32）地址的流量都转换为内网的一个IP(10.1.10.5/32)地址配置：[edit security nat destination]root# showaddress 10.1.10.5/24;}ruleset 1 {from zone outside;rule 1A {match {destinationaddress 100.0.0.1/32;}Then {destinationnat pool A;Example4 :目的地址转换（NAT）一对多，使所有进标的目的拜访公网IP（100.0.0.1/32port：80/81）地址的流量都转换为内网的多个IP(10.1.10.5/32port：8080 10.1.10.6/32port：8181)地址图解：将拜访公网ip 100.0.0.1 port 80转换为内网ip 10.1.10.5 port 8080将拜访公网ip 100.0.0.1 port 81转换为内网ip 10.1.10.6 port 8181配置：[edit security nat destination]root# showaddress 10.1.10.5/24 port 8080;pool B{address 10.1.10.5/24 port 8181;}ruleset 1 {from zone outside;rule 1A {match {destinationaddress 100.0.0.1/32;destinationport 80;}then {destinationnat pool A;rule 1B {match {destinationaddress 100.0.0.1/32;destinationport 81;}then {destinationnat pool B;root> show security flow sessionSession ID: 12554, Policy name: defaultpermit/4, Timeout: 14 Out: 10.1.10.5/8080 > 1.1.70.6/58204;tcp, If: ge0/0/2.01 sessions displayedSession ID: 12554, Policy name: defaultpermit/4, Timeout: 14 Out: 10.1.10.5/8181 > 1.1.70.6/58304;tcp, If: ge0/0/2.01 sessions displayed2.2 透明模式的配置1.配置Bridge Domains桥接域（Bridge Domains）:属于同一泛洪或播送域的一组逻辑接口.在同一个Vlan里，桥接域可以跨越多个设备的一个或多个接口.默认情况下，每个桥接域都维护着自己的MAC地址转颁发，从属于本桥接域的接口接受的数据包.在桥接域里转发的数据包，必须是一个0已经被打上Vlan ID的数据包，并且这个Vlan ID 是属于这个桥接域的.CLI命令配置举例：root# set bridgedomains bd1 domaintype bridge vlanidlist 1,10//配置桥接域bd1,并且指定模式为桥模式，属于这个桥接域的vlan ID 1和10root# set bridgedomains bd2 domaintype bridge vlanid 2//配置桥接域bd2,并且指定模式为桥模式，属于这个桥接域的vlan ID 2注：如果要配置多个vlan ID时，使用vlanidlist.root# set protocols l2learning globalmaclimit 64000 packetaction drop//配置在一个逻辑接口上学习到的最大MAC地址数量2.配置Layer 2 逻辑接口layer2接口模式有2种模式，trunk和access.CLI命令配置举例：root# set interfaces ge3/0/0 unit 0 family bridge interfacemode trunk vlanidlist 1–10//将接口ge3/0/0配置为2层trunk模式，并转发来自vlan 110数据包root# set interfaces ge3/0/0 unit 0 family bridge interfacemode access vlanid 1//将接口ge3/0/0配置为2层access模式，并转发来自vlan 1数据包root# set interfaces ge3/0/0 vlantagging nativevlanid 10//对于来自物理接口没有vlan标识的数据包打上vlan 10 3.配置layer 2区域CLI命令配置举例：root# set security zones securityzone l2–zone1 interfaces ge3/0/0.0root# set security zones securityzone l2–zone2 interfaces ge3/0/1.0 root# set security zones securityzone l2–zone2 hostinboundtraffic systemservices all//允许所有支持的应用作为hostinbound traffic通过“l2–zone2”（例如SSH, Telnet, SNMP, 以及其他应用）CLI命令配置举例：root# set security policies fromzone l2–zone1 tozone l2–zone2 policy p1 match application httproot# set security policies fromzone l2–zone1 tozone l2–zone2 policy p1 then permit5.配置集成路由桥接口（Integrated Routing and Bridging Interfaces）（可选）irb接口其实就是原来在screenOS平台下的vlan 1 接口，起一个办理的作用.CLI命令配置举例：//将irb接口放到桥接域bd2里root# set system services webmanagement http//打开SRX的web办理办事注：irb接口必须是在桥接域配置为单个vlan ID才干配置.当桥接域里配置是vlanidlist时，irb是不克不及配置的.SRX不支持路由与透明模式同时运行，初始时是运行在路由模式下，当配置成透明时必须要重启设备.日志转发转发syslog到一台日志办事器systemsyslog {host 192.168.1.100 {user info;changelog notice;interactivecommands notice;match"(UI_COMMIT:)|(UI_COMMIT_AT_COMPLETED)|(FLOW_SESSION_CREATE)|(FLOW_SESSION_DENY)";logprefix SecureTrack_SRX_3;转发traffic log到一台日志办事器security {log {format sdsyslog;sourceaddress 192.168.1.1;stream trafficlog {severity info;format sdsyslog; host {192.168.1.120;}}stream trafficlogtest {severity info;format sdsyslog;host {192.168.1.100;}。

Juniper SRX标准配置第一节系统配置 (3)1.1、设备初始化 (3)1.1.1登陆 (3)1.1.2设置 root 用户口令 (3)1.1.3设置远程登陆管理用户 (3)2、系统管理 (4)1.2.1选择时区 (4)1.2.2系统时间 (4)1.2.3DNS服务器 (5)1.2.4系统重启 (5)1.2.5Alarm 告警处理 (5)1.2.6Root 密码重置 (6)第二节网络设置 (7)2.1、 Interface (7)2.1.1 PPPOE (7)2.1.2 Manual (8)2.1.3 DHCP (8)2.2、 Routing (9)Static Route (9)2.3、 SNMP (9)第三节高级设置 (9)3.1.1修改服务端口 (9)3.1.2检查硬件序列号 (9)3.1.3内外网接口启用端口服务 (10)3.1.4创建端口服务 (10)3.1.5VIP 端口映射 (10)3.1.6MIP 映射 (11)3.1.7 禁用 console 口 (12)3.1.8Juniper SRX带源 ping 外网默认不通，需要做源地址 NAT (12)3.1.9设置 SRX管理 IP (12)3.2.0配置回退 (13)3.2.1 UTM 调用 (13)3.2.2网络访问缓慢解决 (13)第四节 VPN 设置 (14)4.1、点对点 IPSec VPN (14)4.1.1Route Basiced (14)4.1.2Policy Basiced (17)4.2、 Remote VPN (19)4.2.1SRX端配置 (19)4.2.2客户端配置 (20)第一节系统配置1.1 、设备初始化1.1.1 登陆首次登录需要使用Console 口连接 SRX， root 用户登陆，密码为空login: rootPassword:--- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTCroot% cli/***进入操作模式***/root>root> configureEntering configuration mode/*** 进入配置模式 ***/[edit]Root#1.1.2 设置 root 用户口令（必须配置root 帐号密码，否则后续所有配置及修改都无法提交）root# set system root-authentication plain-text-passwordroot# new password : root123root# retype new password: root123密码将以密文方式显示root# show system root-authenticationencrypted-password "$1$xavDeUe6$fNM6olGU.8.M7B62u05D6."; # SECRET-DATA注意：强烈建议不要使用其它加密选项来加密root 和其它 user 口令 (如 encrypted-password 加密方式 )，此配置参数要求输入的口令应是经加密算法加密后的字符串，采用这种加密方式手工输入时存在密码无法通过验证风险。

Juniper路由器配置命令介绍本文档是关于Juniper路由器配置命令的介绍，旨在帮助用户快速了解和使用Juniper路由器的各种命令。

以下是文档的详细内容。

第一章：登录和基本配置1.登录Juniper路由器- 进入路由器的命令行界面- 输入用户名和密码进行登录2.基本配置命令- 配置路由器的主机名- 配置管理接口的IP地质- 设置路由器的时钟- 保存配置更改第二章：接口配置1.配置物理接口- 激活和禁用接口- 配置接口IP地质- 配置接口子网掩码- 配置接口速率和双工模式- 配置接口上的ACL（访问控制列表）2.配置逻辑接口- 配置VLAN接口- 配置子接口- 配置隧道接口第三章：路由配置1.配置静态路由- 添加静态路由- 删除静态路由- 配置默认路由- 查看路由表2.配置动态路由- 配置OSPF（开放最短路径优先）协议 - 配置BGP（边界网关协议）协议- 配置RIP（路由信息协议）协议第四章：安全配置1.配置防火墙规则- 添加入站规则- 添加出站规则- 配置地质转换（NAT）2.配置VPN- 配置IPSec VPN- 配置SSL VPN第五章：监控和故障排除1.监控命令- 查看接口状态- 查看路由器 CPU 和内存使用情况 - 查看硬盘使用情况2.故障排除命令- 执行连通性测试- 查看日志信息- 跟踪路由本文档涉及附件：附件1：Juniper路由器配置示例文件（示例配置文件，供参考使用）本文所涉及的法律名词及注释：1.ACL（访问控制列表）：用于控制网络流量的一种机制，可以限制特定源IP地质或目的IP地质的访问权限。

2.OSPF（开放最短路径优先）：一种用于动态路由选择的内部网关协议，使用最短路径优先算法确定最佳路由。

3.BGP（边界网关协议）：一种用于在互联网自治系统之间交换路由信息的外部网关协议。

4.RIP（路由信息协议）：一种用于在小型网络中交换路由信息的距离矢量路由协议。

juniper_srx650配置⼿册buhui配置前准备⼯作：SRX默认出⼚设置：⽤户名：root 密码为空；Console⼝：Srx% 输⼊cliSrx>进⼊配置状态srx>configSrx#恢复出⼚默认：srx# load factory-default配置root密码：Set system root-authentication plain-text-password#root密码最少6位并且有字母及数字提交配置commit#所有操作必须执⾏commit 后才能⽣效Commit check #配置的检测清空所有配置：srx#delete设置irb.99 为管理电信IP：set system services web-management http interface irb.99set system services web-management https system-generated-certificateset system services web-management https interface irb.99设置irb.199 为管理电信IP：set system services web-management http interface irb.199set system services web-management https system-generated-certificate set system services web-management https interface irb.199设置irb.99的管理地址set interfaces irb unit 99 family inet address 192.168.2.99/32set routing-options static route 0.0.0.0/0 next-hop 192.168.2.1设置irb.199的管理地址set interfaces irb unit 99 family inet address 192.168.10.199/32set routing-options static route 0.0.0.0/0 next-hop 192.168.10.199.1设置ge-0/0/0 和ge-0/0/2 为同⼀vlan-id10中，作为联通线路的通道set interfaces ge-0/0/0 unit 0 family bridge interface-mode access#透明模式set interfaces ge-0/0/0 unit 0 family bridge vlan-id 10set interfaces ge-0/0/2 unit 0 family bridge interface-mode accessset interfaces ge-0/0/2 unit 0 family bridge vlan-id 10设置ge-0/0/1 和ge-0/0/3 为同⼀vlan-id 11中，作为电信线路的通道set interfaces ge-0/0/1 unit 0 family bridge interface-mode accessset interfaces ge-0/0/1 unit 0 family bridge vlan-id 11set interfaces ge-0/0/3 unit 0 family bridge interface-mode accessset interfaces ge-0/0/3 unit 0 family bridge vlan-id 11将端⼝划分到不同区域并开启相关服务set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services allset security zones security-zone luntrust interfaces ge-0/0/1.0 host-inbound-traffic system-services allset security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services allset security zones security-zone ltrust interfaces ge-0/0/3.0 host-inbound-traffic system-services allset bridge-domains jcn vlan-id 10set bridge-domains jcn routing-interface irb.199set bridge-domains ltj vlan-id 11set bridge-domains jcn routing-interface irb.99set bridge-domains jcn domain-type bridgeset bridge-domains ltj domain-type bridgecommit# 注意irb ⼦接⼝创建的再多也没⽤通⼀个vlan-id内只有⼀个irb ⼦接⼝的⽣效，即新创建的那个是有效的。

Juniper SRX 初始配置登陆Console口(通用超级终端缺省配置)连接SRX，root用户登陆，密码为空login: rootPassword:--- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTCroot% cli /***进入操作模式***/root>root>configureEntering configuration mode /***进入配置模式***/[edit]Root#设置root用户口令设置root用户口令root# set system root-authentication plain-text-passwordroot# new password : root123root# retype new password: root123密码将以密文方式显示root# show system root-authenticationencrypted-password "$1$xavDeUe6$fNM6olGU.8.M7B62u05D6."; # SECRET-DATA注意：强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password 加密方式)，此配置参数要求输入的口令应是经加密算法加密后的字符串，采用这种加密方式手工输入时存在密码无法通过验证风险。

注：root用户仅用于console连接本地管理SRX，不能通过远程登陆管理SRX，必须成功设置root口令后，才能执行commit提交后续配置命令。

设置远程登陆管理用户root# set system login user lab class super-user authentication plain-text-passwordroot# new password : lab123root# retype new password: lab123注：此lab用户拥有超级管理员权限，可用于console和远程管理访问，另也可自行灵活定义其它不同管理权限用户。