SRX license升级和更新操作

前言、版本说明 (2)一、界面菜单管理 (4)2、WEB管理界面 (4)（1）Web管理界面需要浏览器支持Flash控件。

(4)（2）输入用户名密码登陆： (4)（3）仪表盘首页 (5)3、菜单目录 (7)二、接口配置 (12)1、接口静态IP (12)2、PPPoE (13)3、DHCP (14)三、路由配置 (16)1、静态路由 (16)2、动态路由 (16)四、区域设置Zone (18)五、策略配置 (20)1、策略元素定义 (20)2、防火墙策略配置 (22)3、安全防护策略 (25)六、地址转换 (26)1、源地址转换-建立地址池 (26)2、源地址转换规则设置 (27)七、VPN配置 (30)1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (30)2、建立第一阶段IKE策略 (31)3、建立第一阶段IKE Gateway (32)4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (33)5、建立第一阶段IKE策略 (34)6、建立VPN策略 (35)八、Screen防攻击 (38)九、双机 (39)十、故障诊断 (39)前言、版本说明产品：Juniper SRX240 SH版本：JUNOS Software Release [9.6R1.13]注：测试推荐使用此版本。

此版本对浏览速度、保存速度提高了一些，并且CPU占用率明显下降很多。

9.5R2.7版本（CPU持续保持在60%以上，甚至90%）9.6R1.13版本（对菜单操作或者保存配置时，仍会提升一部分CPU）一、界面菜单管理1、管理方式JuniperSRX系列防火墙出厂默认状态下，登陆用户名为root密码为空，所有接口都已开启Web管理，但无接口地址。

终端连接防火墙后，输入用户名(root)、密码(空)，显示如下：root@srx240-1%输入cli命令进入JUNOS访问模式：root@srx240-1% cliroot@srx240-1>输入configure进入JUNOS配置模式：root@srx240-1% cliroot@srx240-1> configureEntering configuration mode[edit]root@srx240-1#防火墙至少要进行以下配置才可以正常使用：(1)设置root密码（否则无法保存配置）(2)开启ssh/telnet/http服务(3)添加用户（root权限不能作为远程telnet帐户，可以使用SHH方式）(4)分配新的用户权限2、WEB管理界面（1）Web管理界面需要浏览器支持Flash控件。

Juniper SRX防火墙简明配置手册目录一、 JUNOS 操作系统介绍 (3)1.1层次化配置结构 (3)1.2 JunOS 配置管理 (4)1.3 SRX 主要配置内容 (4)二、 SRX 防火墙配置说明 (5)2.1初始安装 (5)2.1.1登陆 (5)2.1.2设置 root 用户口令 (9)2.1.3JSRP 初始化配置 (9)2.1.4设置远程登陆管理用户 (14)2.1.5远程管理 SRX相关配置 (15)2.1.6ZONE 及相关接口的配置 (15)2.2 Policy (16)2.3 NAT (17)2.3.1Interface based NAT (18)2.3.2Pool based Source NAT (18)2.3.3Pool base destination NAT (19)2.3.4Pool base Static NAT (20)2.4 IPSEC VPN (21)2.5 Application and ALG (22)三、 SRX 防火墙常规操作与维护 (22)3.1单机设备关机 (22)3.2单机设备重启 (23)3.3单机操作系统升级 (23)3.4双机模式下主备 SRX 关机 (23)3.5双机模式下主备设备重启 (24)3.6双机模式下操作系统升级 (24)3.7双机转发平面主备切换及切换后恢复 (25)3.8双机控制平面主备切换及切换后恢复 (25)3.9双机模式下更换备SRX (25)3.10双机模式下更换主SRX (26)3.11双机模式更换电源 (27)3.12双机模式更换故障板卡 (27)3.13配置备份及还原方法 (27)3.14密码修改方法 (28)3.15磁盘文件清理方法 (28)3.16密码恢复 (28)3.17常用监控维护命令 (29)四、 SRX 防火墙介绍 (31)Juniper SRX防火墙简明配置手册SRX系列防火墙是 Juniper 公司基于 JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

今天升级两台QFX10002的版本，从15.1的版本升级到17.1，将系统版本考进去交换机然后直接升级失败，听juniper 的人反映，10002从15.1到17.1跨版本升级会出现这样的情况，如果从16.1升级到17.1就没事。

无奈这下只能去机房用U盘安装17.1的系统了。

从juniper官方网站copy了升级的操作步骤，分享给大家。

To create an emergency boot device:#创建启动设备，就是把17.1版本系统先装到U盘里，提示下，U盘的格式建议用FAT32不要用ntfs，我用ntfs格式的U盘搞了半天都没有搞好。

#首先需要在一台linux上去把系统镜像装进USB的U盘里e FTP to copy the installation media image into the /var/tmp directoryon the device.#将系统镜像copy到任意一台linux系统的 /var/tmp2.Insert a USB device into the USB port.#插入USB接口的U盘3.From the Junos OS command-line interface (CLI), start the shell:#这里选取了一台juniper交换机的作为linux系统进行U盘安装镜像user@device> start shell%4.Switch to the root account using the su command:#一定要用root用户进行操作5.Enter the following command on the device:root@device% dd if=/var/tmp/filename of=/dev/da1 bs=1m#取得root用户权限以后执行这条命令，将镜像安装到U盘里The device writes the installation media image to the USB device:root@device% dd if=install-media-qfx-5e-15.1X53-D30.5-domestic.imgof=/dev/da0 bs=1m 1399+0 records in 1399+0 records out 1466957824bytes transferred in 394.081902 secs (3722469 bytes/sec)#上面是操作实例6.Log out of the shell:root@device% exit% exituser@device>#安装完成之后，将U盘取出，接入到你要安装的交换机上面，接通电源之后，进入系统的时候，回弹出来一个框，上面选第二个选项安装juniper操作系统，选择以后就可以不用理了，它自动会安装完成。

SRX 650/240/210 在线升级步骤1.FTP 上载设备上打开管理终端的桌面的FTP Server：3comDaemon，该软件已配置好用户名、密码：123/1234562.分别登录在两台srx上，用户名、密码：lab/lab123lab@SRX-1> start shelllab@SRX-1% pwd应该在/var/home/lablab@SRX-1% ftp 192.168.0.100Connected to 192.168.0.100.220 3Com 3CDaemon FTP Server Version 2.0Name (192.168.0.100:lab): 123331 User name ok, need passwordPassword: 123456230 User logged inRemote system type is UNIX.Using binary mode to transfer files.ftp> ls200 PORT command successful.150 File status OK ; about to open data connectiondrwxrwxrwx 1 owner group 0 Jan 23 14:06 .drwxrwxrwx 1 owner group 0 Jan 23 14:06 ..-rwxrwxrwx 1 owner group 170257225 Jan 23 11:39junos-srxsme-10.0R2.10-domestic.tgz226 Closing data connectionftp> binftp> get junos-srxsme-10.0R2.10-domestic.tgz150 File status OK ; about to open data connection100%|************************************************************************** *************************************************************************** | 8230 KB 00:00 ETA226 Closing data connection; File transfer successful.8427520 bytes sent in 2.32 seconds (3.47 MB/s)ftp> byelab@SRX-1% exit执行同样的操作，将软件分别ftp至两台srx上3.分别在2个RE上做好FLASH到硬盘的备份 request system snapshot；4.确认当前配置和新软件版本兼容request system software validate junos-srxsme-10.0R2.10-domestic.tgz 如果是新设备的话，可以不做配置的校验如果储存空间不够的话，可以先进行存储整理检查存储空间：lab@srx-2> show system storagenode0:--------------------------------------------------------------------------Filesystem Size Used Avail Capacity Mounted on/dev/da0s1a 898M 350M 477M 42% /删除没用的文件：lab@srx-2> request system storage cleanup5.确认哪个是主设备A、RG 0和 RG 1都在同一个设备上的情况：lab@SRX-1> show chassis cluster statusNode Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 9node0 254 secondary no nonode1 100 primary no noRedundancy group: 1 , Failover count: 19node0 254 secondary no no node1 100 primary no no从以上可以看到，RG 0 和RG 1的主均在node 1上，即现在的RE1 为主，RE0为备B、RG 0和 RG 1不在同一个设备上的情况：root@BJTDFW01BZX> show chassis cluster statusCluster ID: 1Node Priority Status Preempt Manual failoverRedundancy group: 0 , Failover count: 6node0 254 secondary no nonode1 100 primary no noRedundancy group: 1 , Failover count: 11node0 254 primary no nonode1 100 secondary no no从上可以看到，RG 0的主在node 1，而RG 1的主在Node 0，此时的RE1 为主，RE0为备，但由于RG 1的主在node 1上，因此在升级前一定要将RG 1的主切换至RG 0：将node 1设置为 RG 1的主lab@SRX-1> request chassis cluster failover redundancy-group 1 node 1lab@SRX-1> request chassis cluster failover reset redundancy-group 1完成后，RG 0和RG 1的主都应该在node 1上了：lab@SRX-1> show chassis cluster statusCluster ID: 1Node Priority Status Preempt Manual failover Redundancy group: 0 , Failover count: 9node1 100 primary no noRedundancy group: 1 , Failover count: 19node0 254 secondary no nonode1 100 primary no no6.升级备份设备由于此时的备份RE为 node 0，因此登录到node 0上做升级，此时最好接console至node0来做，可以观察升级的过程：如果是新设备的话，可以不做配置的校验，并且由于低端设备的存储容量比较小，因此可以不做软件的备份：参数解析：validate 检查配置的兼容性； no-validate不检查配置的兼容性unlink：升级成功后将软件包删除no-copy：保存升级包检查配置的软件兼容性并加载软件：request system software add junos-srxsme-10.0R2.10-domestic.tgz validate request system reboot不检查配置的软件兼容性并加载软件：request system software add junos-srxsme-10.0R2.10-domestic.tgz no-validate request system reboot在所有的升级完成并业务正常后，进行存储空间的清理工作：lab@srx-2> show system storagelab@srx-2> request system storage cleanup此升级加载时间大概15分钟，重启完后所有板卡加载完后大概为5分钟，一定要确认HA工作正常后再执行后续步骤：lab@SRX-1> show chassis cluster statusCluster ID: 1Redundancy group: 0 , Failover count: 9node0 254 secondary no nonode1 100 primary no noRedundancy group: 1 , Failover count: 19node0 254 secondary no nonode1 100 primary no no7.将系统切换到升级后的备用系统一定要先切换RG 1，然后看HA状态正常后（大概几秒钟），再切换RG 0lab@SRX-1> request chassis cluster failover node 0 redundancy-group 1 lab@SRX-1> request chassis cluster failover reset redundancy-group 1lab@SRX-1> show chassis cluster statusCluster ID: 1Node Priority Status Preempt Manual failoverRedundancy group: 0 , Failover count: 9node0 254 secondary no nonode1 100 primary no noRedundancy group: 1 , Failover count: 19node0 254 primary no nonode1 100 secondary no no 切换RG 0至node 0：lab@SRX-1> request chassis cluster failover node 0 redundancy-group 0 lab@SRX-1> request chassis cluster failover reset redundancy-group 0此时的node 1的状态是从primary –》secondary-hold –》secondary从secondary-hold –》secondary的时间大概在15分钟左右，此时一定不能继续做后续的升级操作。

XenDesktop/XenApp更新试用授权
说明：笔记本环境XenDesktop/XenApp的授权为升腾可分发的90天的试用授权，90天后需要更新1次；用户企业可以单独向Citrix签署合作伙伴协议，并获取1年，且可续订的合作伙伴授权，授权只归合作伙伴的企业使用，无再次分发授权的许可。

进行XenDesktop与XenApp进行授权管理，至少需要启动Srv-AD与Srv-DDC这2台虚拟服务器，在另外1台windows PC或windows 笔记本上
输入IE：http://192.168.100.102:8082
出现授权管理服务器的界面:
点击Administrator, log on输入用户名：centermcloud\administrator, 密码：1;
导入授权文件；授权文件的位置指定您本地的文件的地址后，就会上传到授权服务器内生效；
重启服务器中的AD 与DDC虚拟机即可生效。

1.升级前先保存配置文件，以免由于升级的过程导致配置不可用，一般情况下升级os是
不会修改配置的。

以防万一，先保存，如果有问题可以用保存的配置恢复。

保存配置在configration---update---config file.，使用save to file 保存到本地。

2.升级os在configration---update---screenos/key下，使用默认值firmware update选项，在
load file通过本地加载os，apply应用完成升级。

升级完成后防火墙会自动重启，重启完后可以查看os版本是否升级成功。

恢复出厂方法
用console命令行输入unset all，提示yes或no时输入yes. 再输入reset，提示yes或no时输入no，接着会再提示输入yes或no选择yes，防火墙就重启了，也就恢复出厂了。

默认设备第一个接口地址为192.168.1.1，可以通过http：//192.168.1.1 去管理，用户密码都是netscreen. 恢复出厂后第一次登陆时，会提示配置向导，选择最后一项直接进入用户名密码登陆界面，最后登陆设备进行配置。

JuniperSRX防火墙通过bootloader升级junos通过boot loader升级junos实验设备：SRX240实验版本：10.0R2.10注意事项：在loader下贯入junos，会导致配置和日志全部丢失，因为这种操作相当于重新格式化硬盘。

操作步骤####先进入loader模式设置接口地址和tftp地址，这点与netscreen类似，只不过junoses需####要我们手工写环境变量。

其实也可以在u boot模式下设置环境变量（提示符为=>）Loading /boot/defaults/loader.conf/kernel data=0x90ca48+0xc6ac4 syms=[0x4+0x74470+0x4+0xa4910]Hit [Enter] to boot immediately, or space bar for command prompt.####按空格键进入loader模式Type '?' for a list of commands, 'help' for more detailed help.loader>####查看目前全局的环境变量设置loader> showLINES=24autoboot_delay=2autoload=nbaudrate=9600bf=bootoct bf480000 forceboot numcores=$(numcores)boot.btsq.len=0x00002000boot.btsq.start=0x003fa000boot.env.size=0x00002000boot.upgrade.loader=0xbfe00000boot.upgrade.uboot=0xbfc00000boot.ver=U-Boot 1.1.6 (Apr 9 2009 - 22:30:21)bootcmd=cp.b 0xbfe00000 0x100000 0x100000; bootelf 0x100000bootdelay=1bootfile=/kernel;/kernel.oldcomconsole_speed=9600console=comconsolecurrdev=disk0:env_addr=0xbfffe000env_size=0x2000ethact=octeth0ethaddr=00:26:88:0b:58:00flash_base_addr=0xbfc00000flash_size=0x400000gatewayip=192.168.168.99interpret=OKipaddr=192.168.168.114kernel=/kernelkernel_options=kernelname=/kernelloadaddr=0x20000000loaddev=disk0:=FreeBSD/MIPS U-Boot bootstrap loaderloader.version=0.1mac_ifoff=NOmodule_path=/boot//kernel;/boot/modulesnetmask=255.255.255.0numcores=4post.eeprom=PASSEDb=PASSEDprompt=loader>serverip=192.168.168.99stderr=serialstdin=serialstdout=serialuplinkSpeed=1G####更改环境变量设置loader> set ipaddr=192.168.1.2loader> set serverip=192.168.1.9loader> set netmask=255.255.255.0loader> save####注意不要更改默认的防火墙接口eth0，否则如果设置其他接口的话，就会挂死，就只有####重起设备了，说明目前防火墙和早期netscreen类似，只是接受eth0作为tftp客户端接####口####导入junos系统loader> install tftp://192.168.1.9/junos-srxsme-10.0R2.10-domestic.tgzocteth0: Up 1000 Mbps Full duplex (port 0)####此时tftp服务器还是不能ping通防火墙接口地址的####中间省略输出####直到出现如下字符时才可以ping通******* Working on device /dev/da0 *******Labeling Slice 1:bsdlabel: write to disk label supressed - label was as follows: # /dev/da0s1:8 partitions:####附上详细操作日志。

JuniperSRX详细配置手册（含注释）Juniper SRX标准配置第一节系统配置 (3)1.1、设备初始化 (3)1.1.1登陆 (3)1.1.2设置root用户口令 (3)1.1.3设置远程登陆管理用户 (3)2、系统管理 (4)1.2.1 选择时区 (4)1.2.2 系统时间 (4)1.2.3 DNS服务器 (5)1.2.4系统重启 (5)1.2.5 Alarm告警处理 (5)1.2.6 Root密码重置 (6)第二节网络设置 (7)2.1、Interface (7)2.1.1 PPPOE (7)2.1.2 Manual (8)2.1.3 DHCP (8)2.2、Routing (9)Static Route (9)2.3、SNMP (9)第三节高级设置 (9)3.1.1 修改服务端口 (9)3.1.2 检查硬件序列号 (9)3.1.3 内外网接口启用端口服务 (10)3.1.4 创建端口服务 (10)3.1.5 VIP端口映射 (10)3.1.6 MIP映射 (11)3.1.7禁用console口 (12)3.1.8 Juniper SRX带源ping外网默认不通，需要做源地址NAT (12)3.1.9 设置SRX管理IP (12)3.2.0 配置回退 (13)3.2.1 UTM调用 (13)3.2.2 网络访问缓慢解决 (13)第四节VPN设置 (14)4.1、点对点IPSec VPN (14)4.1.1 Route Basiced (14)4.1.2 Policy Basiced (17)4.2、Remote VPN (19)4.2.1 SRX端配置 (19)4.2.2 客户端配置 (20)第一节系统配置1.1、设备初始化1.1.1登陆首次登录需要使用Console口连接SRX，root用户登陆，密码为空login: rootPassword:--- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTCroot% cli /***进入操作模式***/root>root> configureEntering configuration mode /***进入配置模式***/[edit]Root#1.1.2设置root用户口令（必须配置root帐号密码，否则后续所有配置及修改都无法提交）root# set system root-authentication plain-text-passwordroot# new password : root123root# retype new password: root123密码将以密文方式显示root# show system root-authenticationencrypted-password"$1$xavDeUe6$fNM6olGU.8.M7B62u05D6."; # SECRET-DATA 注意：强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password 加密方式)，此配置参数要求输入的口令应是经加密算法加密后的字符串，采用这种加密方式手工输入时存在密码无法通过验证风险。

JuniperOS升级步骤JUNOS升级步骤版本 1.0.5日期: 2005年1月25日目录1.计划 (2)1.1. 选择正确的版本 (2)1.2. 中断时间的估计 (2)2.准备 (2)3.升级的步骤 (5)3.1. 备份RE的升级步骤 (6)3.1.1.在远程PC上，通过主RE登录备份RE (6)3.1.2.让现场工程师用串行线连接PC机到备份RE控制口 (6)3.1.3.备份FLASH当前JUNOS和配置到硬盘上 (6)3.1.4.升级软件 (7)3.1.5.启动这个RE以完成升级 (8)3.1.6.登录到这个刚才完成升级的RE并检查RE是否正常启动 (13)3.1.7.对硬盘进行重新分区 (13)3.1.8.恢复mirror-flash-on-disk配置（如果原来无此配置，请忽略此步骤） (16)3.1.9.在双RE系统上切换升级了的备份RE到主用状态 (16)3.1.10.确认现在作为主用的这个RE工作一切正常 (16)3.1.11.备份FLASH当前JUNOS和配置到硬盘上 (17)3.2. 现在的备份RE(即原先的主RE)的升级步骤 (17)3.3. 在双RE系统上去除“B ACKUP RE ACTIVE”告警 (17)4.备份和应急措施 (17)4.1. 如果需要退回到原先的版本 (17)4.2. 从FLASH启动失败 (18)4.3. RE切换不正常 (18)5.各种路由器的面板图 (19)5.1. M320 (19)5.2. M160 (20)5.3. M40E (21)5.4. M20 (22)5.5. T640/T320 (22)1.计划1.1.选择正确的版本软件升级用于提供BUG的修正及支持新的功能(比如新的硬件或软件功能)。

请查阅JUNOS Release Notes 以选择适当的JUNOS版本，并且检查Release Notes 中是否有关于该版本的特别的升级步骤。