Juniper SRX防火墙通过boot loader升级junos

Juniper(netscreen)防火墙TFTP升级过程Juniper(netscreen)防火墙每三个月左右就会发出一个新的OS版本，修复以前版本的bug，增加新的功能，并且有些新的版本会极大提高防火墙的性能，因此，在保修期内充分利用版本升级服务是不错的选择。

基于Web的升级非常简单，但有的OS版本升级需要升级bootloader，因此需要在命令行状态下通过TFTP升级。

升级Juniper新的UTM产品SSG550、SSG520到最新的OS版本ScreenOS6.0就需要作这样的升级。

手上有SSG520，和新的bootloader，OS，做个升级试验。

第一步：升级防火墙bootloader文件。

1. 下载boot loader 镜像文件(boot2.v.1.0.3)，拷贝文件到TFTP服务器的根目录下，启动TFTP server。

2。

通过网线连接TFTP服务器（笔记本或台式机）和SSG 520的eth 0/0口；3。

通过console线连接console端口和笔记本。

4. 重启防火墙（在CLI模式下输入reset命令.）5.防火墙出现ScreenOS Saipanloader V1.0.2Built Jan 19 2006/17:57:03watchdog_probe, 1046 bus/dev/fn = 0/248 ich = 2640boot_drive = 80start1 = 0768, start2 = 3840Hit 'X' and 'A' to upgrade bootloadermounting这时候按下大写的X和A，要大写，第一次没注意，升级失败了。

按完之后提示File Name [boot2.1.0.2]: boot2.1.0.3 ；输入文件名Self IP Address [192.168.1.1]: ；输入防火墙地址，随便写TFTP IP Address [192.168.1.2]: ；输入TFTP服务器地址，注意跟防火墙地址同一网段；按回车，然后看到以下系统信息:Save loader config (112 bytes)... DoneLoading file "boot2.1.0.3".../Loaded successfully! (size = 125,512 bytes)Ignore image authentication!..........................Done.升级成功。

JuniperSRX恢复主分区引导系统
突然停电或者非正常关机后Juniper OS的主分区受损重启失败后会从备件分区启动系统，并收到如下的提示：
注：以下操作是在超级终端完成的，以及所有命令是在命令模式（>）下进行的.
1.首先可以查看是在那个分区启动系统
命令：show system storage partitions
如下图所示是在备份分区启动的：
2.查看备份分区系统版本和主分区系统版本，因为还原后会把主分区版本覆盖
命令：show system snapshot media internal
3.可通过下面的命令从备份分区恢复JunOS 镜象到主分区：
request system snapshot internal slice alternate
4.还原后，用下面的命令重启设置，以让其从主分区启动
命令：request system reboot media internal
注：官网的例子版是10.4R3，用的命令是request system reboot slice alternate media internal 但我的12.1的版是无效的。

5.重启完成后可验证是否从主分区启动
命令：show system storage partitions。

目录1.计划 (2)1.1. 选择正确的版本 (2)1.2. 中断时间的估计 (2)2.准备 (2)3.升级的步骤 (5)3.1. 备份RE的升级步骤 (6)3.1.1.在远程PC上，通过主RE登录备份RE (6)3.1.2.让现场工程师用串行线连接PC机到备份RE控制口 (6)3.1.3.备份FLASH当前JUNOS和配置到硬盘上 (6)3.1.4.升级软件 (7)3.1.5.启动这个RE以完成升级 (8)3.1.6.登录到这个刚才完成升级的RE并检查RE是否正常启动 (13)3.1.7.对硬盘进行重新分区 (13)3.1.8.恢复mirror-flash-on-disk配置（如果原来无此配置，请忽略此步骤） (16)3.1.9.在双RE系统上切换升级了的备份RE到主用状态 (16)3.1.10.确认现在作为主用的这个RE工作一切正常 (16)3.1.11.备份FLASH当前JUNOS和配置到硬盘上 (17)3.2. 现在的备份RE(即原先的主RE)的升级步骤 (17)3.3. 在双RE系统上去除“B ACKUP RE ACTIVE”告警 (17)4.备份和应急措施 (17)4.1. 如果需要退回到原先的版本 (18)4.2. 从FLASH启动失败 (18)4.3. RE切换不正常 (18)5.各种路由器的面板图 (19)5.1. M320 (19)5.2. M160 (20)5.3. M40E (21)5.4. M20 (22)5.5. T640/T320 (22)1.计划1.1.选择正确的版本软件升级用于提供BUG的修正及支持新的功能(比如新的硬件或软件功能)。

请查阅JUNOS Release Notes 以选择适当的JUNOS版本，并且检查Release Notes 中是否有关于该版本的特别的升级步骤。

在这本资料中我们假定使用6.4。

1.2.中断时间的估计每个RE需要两次启动(在配置了“system mirror-flash-on-disk”的情况下需要4次)。

JunOS系统及SRX防火墙基础配置介绍JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI 命令行和WEBUI两种接口配置方式。

JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的命令（run）。

在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd命令）,exit命令退回上一级，top命令回到根级。

JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（Candidate Config）等待管理员提交确认，管理员通过输入commit 命令来提交配置，配置内容在通过SRX语法检查后才会生效，一旦commit通过后当前配置即成为有效配置（Active config）。

另外，JUNOS 允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commit comfirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit 以确认提交，否则2分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。

在执行commit 命令前可通过配置模式下show 命令查看当前候选配置（Candidate Config）,在执行commit 后配置模式下可通过run show config命令查看当前有效配置（Active config）。

此处可通过执行 show | compare比对候选配置和有效配置的差异。

SRX上由于配备大容量硬盘存储器，缺省按先后commit顺序自动保存50份有效配置，并可通过执行rollback和commit命令返回到以前配置（如rollback O/commit 可返回到前一commit 配置）;也可以直接通过执行save configname.conf 手动保存当前配置，并执行load override configname.conf/commit调用前期手动保存的配置。

Juniper防火墙升级指导手册2013-03-21
一、详细升级步骤
有两种升级方式，通过IE 或CLI 命令行。

下面将详细介绍：
1、登陆防火墙
输入帐号和密码
2、获取版本信息
A、输入get system获取现有防火墙的版本
如上所示，版本是5.0.0r9.2
IE 方式
3、备份防火墙的配置文件
通过Web打开防火墙的管理界面，在configuration->update->config file
并点击save to file按钮，通过Web方式将配置保存到本地电脑
1、将版本文件解压：将版本文件（如NS-ISG1000_5.0.0r10d.2.zip）拷贝到本地，同时通过
WinRAR软件将文件解压（如NS-ISG1000_5.0.0r10d.2）
2、通过Web升级：（Web方式和TFTP方式任选一个）
打开Web管理界面进入配置界面后，进入configuration->update->screenOS中，选择update screenOS version。

并在浏览里面输入已解压的文件和路径。

并点击apply
3、通过TFTP升级：
在本地电脑中启动TFTP软件，将版本文件拷贝到制定的TFTP目录中，进入防火墙的命令行，输入以下命令：
Save software from tftp 192.168.1.11 NS-ISG1000_5.0.0r10d.2 to flash
并重启防火墙，输入save和reset；
命令行中输入get system，确认防火墙是否已经升级成功
本次需要升级的版本。

Juniper SRX系列防火墙配置管理手册目录一、JUNOS操作系统介绍31。

1 层次化配置结构31.2 JunOS配置管理31。

3 SRX主要配置内容4二、SRX防火墙配置操作举例说明52.1 初始安装52。

1。

1 设备登陆52.1。

2 设备恢复出厂介绍52.1。

3 设置root用户口令52.1。

4 设置远程登陆管理用户62。

1。

5 远程管理SRX相关配置62。

2 配置操作实验拓扑72.3 策略相关配置说明72.3.1 策略地址对象定义82。

3.2 策略服务对象定义82.3.3 策略时间调度对象定义82.3。

4 添加策略配置举例92.3.5 策略删除102.3。

6 调整策略顺序102.3。

7 策略失效与激活102.4 地址转换112.4.1 Interface based NAT 基于接口的源地址转换112。

4。

2 Pool based Source NAT基于地址池的源地址转换122。

4。

3 Pool base destination NAT基于地址池的目标地址转换13 2。

4。

4 Pool base Static NAT基于地址池的静态地址转换142.5 路由协议配置14静态路由配置14OSPF配置15交换机Firewall限制功能22限制IP地22限制MAC地址23三、SRX防火墙常规操作与维护233。

2设备关机233.3设备重启243。

4操作系统升级243。

5密码恢复253.6常用监控维护命令26Juniper SRX Branch系列防火墙配置管理手册说明SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。

JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础.基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

今天升级两台QFX10002的版本，从15.1的版本升级到17.1，将系统版本考进去交换机然后直接升级失败，听juniper 的人反映，10002从15.1到17.1跨版本升级会出现这样的情况，如果从16.1升级到17.1就没事。

无奈这下只能去机房用U盘安装17.1的系统了。

从juniper官方网站copy了升级的操作步骤，分享给大家。

To create an emergency boot device:#创建启动设备，就是把17.1版本系统先装到U盘里，提示下，U盘的格式建议用FAT32不要用ntfs，我用ntfs格式的U盘搞了半天都没有搞好。

#首先需要在一台linux上去把系统镜像装进USB的U盘里e FTP to copy the installation media image into the /var/tmp directoryon the device.#将系统镜像copy到任意一台linux系统的 /var/tmp2.Insert a USB device into the USB port.#插入USB接口的U盘3.From the Junos OS command-line interface (CLI), start the shell:#这里选取了一台juniper交换机的作为linux系统进行U盘安装镜像user@device> start shell%4.Switch to the root account using the su command:#一定要用root用户进行操作5.Enter the following command on the device:root@device% dd if=/var/tmp/filename of=/dev/da1 bs=1m#取得root用户权限以后执行这条命令，将镜像安装到U盘里The device writes the installation media image to the USB device:root@device% dd if=install-media-qfx-5e-15.1X53-D30.5-domestic.imgof=/dev/da0 bs=1m 1399+0 records in 1399+0 records out 1466957824bytes transferred in 394.081902 secs (3722469 bytes/sec)#上面是操作实例6.Log out of the shell:root@device% exit% exituser@device>#安装完成之后，将U盘取出，接入到你要安装的交换机上面，接通电源之后，进入系统的时候，回弹出来一个框，上面选第二个选项安装juniper操作系统，选择以后就可以不用理了，它自动会安装完成。

Juniper防火墙的配置方法为防止Juniper防火墙设备故障情况下造成网络中断，保障用户业务不间断运行，现针对Juniper防火墙故障情况下的快速恢复做具体描述。

一、设备重启动：Juniper防火墙在工作期间出现运行异常时，如需进行系统复位，可通过console线缆使用reset命令对防火墙进行重启，重启动期间可以在操作终端上查看防火墙相关启动信息。

二、操作系统备份：日常维护期间可将防火墙操作系统ScreenOS备份到本地设备，操作方式为：启动tftp 服务器并在命令行下执行：save software from flash to tftp x.x.x.x filename。

三、操作系统恢复：当防火墙工作发生异常时，可通过两种方式快速恢复防火墙操作系统，命令行方式：save software from tftp x.x.x.x filename to flash，或通过web方式：Configuration > Update > ScreenOS/Keys下选中Firmware Update (ScreenOS)选项，并在Load File栏选中保存在本地的ScreenOS文件，然后点击apply按钮，上传ScreenOS后防火墙将自动进行重启。

四、配置文件备份：日常维护期间可将防火墙配置信息备份到本地以便于故障时的恢复，操作方式有三种：1、启动tftp 服务器并在命令行下执行：save config from flash to tftp x.x.x.x filename。

2、通过超级终端远程telnet/ssh到防火墙，通过log记录方式将get config配置信息记录到本地。

3、通过web页面进行配置文件备份：Configuration > Update > Config File，点击save to file。

五、配置文件恢复：防火墙当前配置信息若存在错误，需进行配置信息快速恢复，操作方式有三种：1、启动tftp 服务器并在命令行下执行：save config from tftp x.x.x.x filename to flash，配置文件上传后需执行reset命令进行重启。

J u n i p e r S R X防火墙简明配置手册卞同超Juniper服务工程师JuniperNetworks,Inc.北京市东城区东长安街1号东方经贸城西三办公室15层1508室邮编:100738目录JuniperSRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS 是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。

JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。

基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSLVPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置，以便于大家能够快速部署和维护SRX防火墙，文档介绍JUNOS操作系统，并参考ScreenOS配置介绍SRX防火墙配置方法，最后对SRX防火墙常规操作与维护做简要说明。

一、JUNOS操作系统介绍1.1层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI 两种接口配置方式，本文主要对CLI命令行方式进行配置说明。

JUNOSCLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。

1.升级前先保存配置文件，以免由于升级的过程导致配置不可用，一般情况下升级os是
不会修改配置的。

以防万一，先保存，如果有问题可以用保存的配置恢复。

保存配置在configration---update---config file.，使用save to file 保存到本地。

2.升级os在configration---update---screenos/key下，使用默认值firmware update选项，在
load file通过本地加载os，apply应用完成升级。

升级完成后防火墙会自动重启，重启完后可以查看os版本是否升级成功。

恢复出厂方法
用console命令行输入unset all，提示yes或no时输入yes. 再输入reset，提示yes或no时输入no，接着会再提示输入yes或no选择yes，防火墙就重启了，也就恢复出厂了。

默认设备第一个接口地址为192.168.1.1，可以通过http：//192.168.1.1 去管理，用户密码都是netscreen. 恢复出厂后第一次登陆时，会提示配置向导，选择最后一项直接进入用户名密码登陆界面，最后登陆设备进行配置。

为什么要升级Juniper防火墙的OS？一般情况下是升级新版本取得新的功能，提高性能，运行更稳定。

还有一种情况是降级使用ScreenOS，新版本的os不稳定，可以降级到稳定的低版本。

升级ScreenOS的方法有两种，一是通过Web界面，二是通过命令行界面。

通过Web界面升级ScreenOS通过web登陆Juniper防火墙，在左边的导航栏依次找到configuration---update---ScreenOS/k ey 就可以看到下面的界面了。

浏览你要升级的ScreenOS文件，点击“apply”，升级好之后重启防火墙就可以了，升级Scre enOS就是这么简单。

需要注意的是通过Web界面升级OS时要谨慎，首先要查看相关OS的upgrade Release No tes。

一般来说，在跨大版本升级时，一定要分段升级。

例如，将一台Netscreen 50从3.0.1升级到5.4.0版本时，就一定要分段升级。

首先把版本升级到3.0.3r9a.1，重启防火墙，然后再升到4.0.0，重启防火墙，然后再升到4.0.3，重启防火墙，然后再升到5.0.0，重启防火墙，然后再升到5.2.0，重启防火墙，然后再升到5.4.0。

这样才能保证安全，否则将可能导致设备不可用。

升级ScreenOS如果版本跨度不是很大的话原有的配置还是会保留的，但是还是建议在升级ScreenOS前作一下配置的备份。

通TFTP使用CLI命令行界面升级固件通过console口升级，使用Console线和网线将防火墙与PC机连接起来。

使用超级终端（默认波特率9600bps，数据位8bit，无校验位，1bit停止位，无流控制）登陆防火墙的命令行界面。

打开TFTP软件，设置好软件的upload and download directory。

将防火墙的一个接口地址设为与PC机地址同一网段。

例如，将ethernet 1接口设为192.168.3.1/24，自己的PC机设为192.168.3.180/24。

Juniper SRX系列防火墙配置管理手册目录一、JUNOS操作系统介绍 (3)层次化配置结构 (3)JunOS配置管理 (4)SRX主要配置内容 (4)二、SRX防火墙配置操作举例说明 (5)初始安装 (5)设备登陆 (5)设备恢复出厂介绍 (5)设置root用户口令 (5)设置远程登陆管理用户 (6)远程管理SRX相关配置 (6)配置操作实验拓扑 (7)策略相关配置说明 (7)策略地址对象定义 (8)策略服务对象定义 (8)策略时间调度对象定义 (8)添加策略配置举例 (9)策略删除 (10)调整策略顺序 (10)策略失效与激活 (10)地址转换 (10)Interface based NAT 基于接口的源地址转换 (11)Pool based Source NAT基于地址池的源地址转换 (12)Pool base destination NAT基于地址池的目标地址转换 (12)Pool base Static NAT基于地址池的静态地址转换 (13)路由协议配置 (14)静态路由配置 (14)OSPF配置 (15)交换机Firewall限制功能 (22)限制IP地 (22)限制MAC地址 (22)三、SRX防火墙常规操作与维护 (23)设备关机 (23)设备重启 (23)操作系统升级 (24)密码恢复 (24)常用监控维护命令 (25)Juniper SRX Branch系列防火墙配置管理手册说明SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。

JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。

Juniper SRX防火墙配置手册一、JUNOS操作系统介绍1.1 层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。

JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。

在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd 命令）,exit命令退回上一级，top命令回到根级。

1.2 JunOS配置管理JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（Candidate Config）等待管理员提交确认，管理员通过输入commit命令来提交配置，配置内容在通过SRX 语法检查后才会生效，一旦commit通过后当前配置即成为有效配置（Active config）。

另外，JUNOS 允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交，否则2分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。

在执行commit命令前可通过配置模式下show命令查看当前候选配置（Candidate Config），在执行commit后配置模式下可通过run show config命令查看当前有效配置（Active config）。

此外可通过执行show | compare比对候选配置和有效配置的差异。

SRX上由于配备大容量硬盘存储器，缺省按先后commit顺序自动保存50份有效配置，并可通过执行rolback和commit命令返回到以前配置（如rollback 0/commit可返回到前一commit配置）；也可以直接通过执行save configname.conf手动保存当前配置，并执行load override configname.conf / commit调用前期手动保存的配置。

Juniper SRX防火墙简明配置手册Juniper Networks, Inc.北京市东城区东长安街1号东方经贸城西三办公室15层1508室邮编:100738电话:65288800目录一、JUNOS操作系统介绍 (3)1.1 层次化配置结构 (3)1.2 JunOS配置管理 (3)1.3 SRX主要配置内容 (4)二、SRX防火墙配置对照说明 (5)2.1 初始安装 (5)2.1.1 登陆 (5)2.1.2 设置root用户口令 (5)2.1.3 设置远程登陆管理用户 (5)2.1.4 远程管理SRX相关配置 (6)2.2 Policy (6)2.3 NAT (6)2.3.1 Interface based NAT............................................................. 错误！未定义书签。

2.3.2 Pool based Source NAT......................................................... 错误！未定义书签。

2.3.3 Pool base destination NAT................................................. 错误！未定义书签。

2.3.4 Pool base Static NAT (7)2.4 IPSEC VPN (7)2.5 Application and ALG (8)2.6 JSRP ........................................................................................................ 错误！未定义书签。

三、SRX防火墙常规操作与维护 (9)3.1 设备关机 (9)3.2 设备重启 (9)3.3 操作系统升级 (10)3.4 密码恢复 (10)3.5 常用监控维护命令 (11)Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。