Juniper SRX3000工程开工指导书

Juniper防火墙工程开通指导书

//注6：JUNOS 9.5中一个RG最多容纳15个redundant Ethernet interface，而整个JSRP系统支持最多128个RG

3.1.5.6配置Interface Monitoring

默认情况下，接口故障只会触发Redundant Ethernet interface内部主备接口切换，这时异步路由流量会从Fabric Link送到egress接口所在的node；如果希望避免这种状况 (比如Fabric Link带宽不够) 则可以通过配置interface monitoring来监控物理接口的存亡，并触发整个Redundancy Group的切换。每个被监控的成员接口需要被赋予一个权重(weight)，当累积的weight超过threshold (default为255)时则可触发整个Redundancy Group切换。

配置如下：

set chassis cluster redundancy-group 1 interface-monitor ge-0/0/8 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-0/0/9 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-13/0/8 weight 255 set chassis cluster redundancy-group 1 interface-monitor ge-13/0/9 weight 255 commit

至此一个基本的JSRP配置已经完成，其余安全策略部分的配置跟单机类似。

3.1.4 端口参数配置

3.1.6.1设置端口速率和工作模式

JUNIPER安全设备的接口速率和双工模式均为自适应。 CLI

设置端口为双工模式，

set interfaces ge-0/0/0 link-mode full-duplex

设置端口速率为100M

set interfaces ge-0/0/0 speed 100m

关闭端口协商模式

set interfaces ge-0/0/0 gigether-options no-auto-negotiation

3.1.6.2主端口配置

第29页

Juniper防火墙工程开通指导书

配置属于trust接口参数

set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.2/24 –配置连接trust的接口IP

set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services ping (该接口允许ping)

set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic system-services http （该接口允许http访问）

设置连接外网网络接口参数

set interfaces ge-0/0/1 unit 0 family inet address 192.168.2.2/24 setsecurity zones security-zone untrust interfaces ge-0/0/1.0 host-inbound-traffic system-services ping（ 该接口允许ping）

检查接口配置

show interfaces terse

Interface Admin Link Proto Local Remote ge-0/0/0 up down

ge-0/0/0.0 up down inet 192.168.0.148/24 multiservice ge-0/0/1 up up

ge-0/0/1.0 up up inet 192.168.1.148/24 multiservice 聚合接口

SRX3000允许将一对或多对物理端口的吞吐量联合成一个单独的虚拟端口。此虚拟端口称作聚合接口。聚合端口最大支持16个物理端口聚合为一个逻辑端口。设备最大支持128个聚合端口，命名如下： ae0、ae1、ae2、ae127。

在下例中，将两个“千兆位以太网”端口 (每个端口运行速度为 1 Gbps) 组合成一个聚合接口 ae0 ( 运行速度为 2-Gbps)。

CLI

set chassis aggregated-devices ethernet device-count 2 （设备支持2个聚合口） set interfaces ge-0/0/3 gigether-options 802.3ad ae0 set interfaces ge-0/0/4 gigether-options 802.3ad ae0 set interfaces ae0 aggregated-ether-options lacp active （互联设备启用lacp的情况需要该配置）

set interfaces ae0 unit 0 family inet address 192.168.4.1/24 set security zones security-zone untrust interfaces ae0.0

第30页

Juniper防火墙工程开通指导书

3.1.6.3子端口配置

SRX 接口支持子接口配置，需要在该接口启用802.1Q的配置，及允许打tag。 以下已ge-0/0/5为例，建立子接口，vlan-tag 为 5 set interfaces ge-0/0/5 vlan-tagging set interfaces ge-0/0/5 unit 5 vlan-id 5

set interfaces ge-0/0/5 unit 5 family inet address 192.168.5.5/24 删除子接口 CLI

delete interfaces ge-0/0/5 unit 5 3.1.7路由配置

3.1.7.1静态路由

增加默认路由

set routing-options static route 0.0.0.0/0 next-hop 192.168.2.1

创建 OSPF 实例

连接trust区域的接口启用ospf，属于area 0

CLI

set routing-options router-id 10.201.71.11 （路由器 ID） set protocols ospf area 0.0.0.0 interface ge-0/0/0.0

set security zones security-zone trust interfaces ge-0/0/0.0 host-inbound-traffic protocols ospf （接口允许接收ospf hello信息及LSA等）

3.1.7.2等价路由多下一跳

配置等开销多路径路由

Juniper Networks 安全设备在每会话基础上支持等开销多路径 (ECMP) 路由。等开销的路由具有相同的优先级和度量值。安全设备将某个会话与某个路由相关联后，安全设备就使用该路由，直到获知了更好的路由或当前的路由不可用为止。符合条件的路由必须有属于同一区段的出接口。

ECMP 帮助实现对相同目标地址的两个到四个路由中的负载均衡，或在两个或更多目标地址中增加有效的带宽使用。SRX的等价路由是在其转发表中实现基于session的负载均衡

CLI 配置如下：

set routing-options forwarding-table export load-balance

set policy-options policy-statement load-balance then load-balance per-packet

第31页

Juniper防火墙工程开通指导书

set routing-options static route 0.0.0.0/0 qualified-next-hop 220.1.1.254 set routing-options static route 0.0.0.0/0 qualified-next-hop 221.1.1.254

3.1.8配置NAT（Src\\Dst\\ Static）

SRX的NAT配置分为源地址翻译(source NAT), 目标地址翻译(destination NAT)和静态地址翻译(static NAT)三种，其配置语法都类似，只是nat rule必须被放到rule-set里使用，任意两个zone或任意两个网络逻辑接口之间只允许有一个rule-set。

SRX NAT 和Policy 执行先后顺序为：目的地址转换－目的地址路由查找－执行策略检查－源地址转换，结合这个执行顺序，在配置Policy 时需注意：Policy 中源地址应是转换前的源地址，而目的地址应该是转换后的目的地址，换句话说，Policy 中的源和目的地址应该是源和目的两端的真实IP 地址

SRX还多了一个proxy-arp概念，如果定义的IP Pool（可用于源或目的地址转换）与接口IP在同一子网时，需配置SRX对这个Pool内的地址提供ARP代理功能，这样对端设备能够解析到IP Pool地址的MAC地址（使用接口MAC地址响应对方），以便于返回报文能够送达SRX。

3.1.8.1Interface based NAT

NAT：

set security nat source rule-set 1 from zone trust set security nat source rule-set 1 to zone untrust

set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0

set security nat source rule-set 1 rule rule1 then source-nat interface

上述配置定义NAT源地址映射规则，从Trust Zone访问Untrust Zone的所有流量用Untrust Zone接口IP做源地址转换。 Policy:

set security policies from-zone trust to-zone untrust policy 1 match source-address 10.1.2.2 set security policies from-zone trust to-zone untrust policy 1 match destination-address any set security policies from-zone trust to-zone untrust policy 1 match application any

第32页