SRX基本配置.docx

SRX基本配置.docx

《SRX基本配置.docx》由会员分享，可在线阅读，更多相关《SRX基本配置.docx（8页珍藏版）》请在冰豆网上搜索。

SRX基本配置

SRX300配置上网（WLAN与VLAN都为内部IP）

环境介绍

设备ge-0/0/0口为外网口,即第一个口，地址/24，下一跳地址

设备ge-0/0/2口为内网口即第三个口，地址/24，内网口作为PC网关来用，设置DHCP，DHCP设置参数如下：

地址段-

网关

DNS；

设置源NAT，用、两个地址做转换NAT地址

设置策略允许内网上网

创建超级用户root密码TS…….

具体步骤

用串口线连接设备console口，设置参数如下：

这台设备是有配置的，所以要先清空设备配置，清空完设备配置，需要直接设备初始超级用户的密码，然后保存，才可以完成恢复出厂设置

登入设备出现以下

root@root>

root@root>configure进入配置模式

Enteringconfigurationmode

[edit]

root@root#loadfactory-default恢复出厂设备

warning:

activatingfactoryconfiguration

[edit]

root@root#setsystemroot-authenticationplain-text-password设置超级用户密码

Newpassword:

Retypenewpassword:

[edit]

root@root#commit

commitcomplete

[edit]此时回复出厂设置完成，下一步开始配置

login:

root输入默认用户名root

Password:

输入重置设备前输入的密码

root@root%cli敲入cli进入执行模式

root@root>configure敲入configure进入配置模式，执行模式代表符号“>”

Enteringconfigurationmode

[edit]

root@root#配置模式“#”

root@root#setsystemloginuserlvlinclasssuper-userauthenticationplain-text-password建立用户名为“wangjian”的超级用户

Newpassword:

为用户“root”设置密码

Retypenewpassword:

重复输入密码

[edit]

root@root#deleteinterfacesge-0/0/删除接口相关配置，接口默认处于交换

[edit]模式Ethernet-switching模式下，要想设置成三层必须先把这个属

root@root#deleteinterfacesfe-0/0/2unit0性删除，“.0”和unit0在意义上一样

[edit]

wangjian#setinterfacesge-0/0/familyinetaddress/24

[edit]设置ge-0/0/为三层接口地址

setinterfacesge-0/0/familyinetaddress/24

wangjian#setinterfacesfe-0/0/familyinetaddress/24

[edit]设置Ge-0/0/为三层接口地址

wangjian#setrouting-optionsstaticroute/0next-hop

setrouting-optionsstaticroute/0next-hop

[edit]设置默认路由

wangjian#setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/

[edit]设置ge-0/0/口为untrust安全域接口

wangjian#setsecurityzonessecurity-zonetrustinterfacesge-0/0/

[edit]设置fe-0/0/口为trust安全域接口

wangjian#deletesecuritynatsourcerule-settrust-to-untrust

[edit]删除系统自带的源nat规则

wangjian#setsecuritynatsourcepoolwangjianaddressto设置源nat地址池

setsecuritynatsourcepoolwangjianaddressto

[edit]

wangjian#setsecuritynatsourcerule-setwangjiannatfromzonetrust

[edit]设置nat源安全域

wangjian#setsecuritynatsourcerule-setwangjiannattozoneuntrust

[edit]设置nat目的安全域

wangjian#setsecuritynatsourcerule-setwangjiannatrulewangjiannat1matchsource-address/0设置nat源地址

[edit]

wangjian#setsecuritynatsourcerule-setwangjiannatrulewangjiannat1thensource-natpoolwangjian设置nat关联地址池

[edit]

wangjian#setsecurityzonessecurity-zoneuntrustinterfacege-0/0/host-inbound-trafficsystem-serviceshttp

[edit]打开接口http管理

wangjian#setsystemservicesweb-managementhttp

[edit]打开http全局开关

wangjian#deletesecuritypoliciesfrom-zonetrustto-zoneuntrustpolicytrust-tountrust删除系统自带策略

deletesecuritypoliciesfrom-zonetrustto-zoneuntrustpolicytrust-tountrust

[edit]

wangjian#setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicywangjianmatchsource-addressany

[edit]配置策略源地址

wangjian#setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicywangjianmatchdestination-addressany配置策略目的地址

[edit]

wangjian#setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicywangjianmatchapplicationany配置策略应用

[edit]

wangjian#setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicywangjianthenpermit配置策略动作

[edit]

wangjian#setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicywangjianthenlogsession-init开启策略日志—会话开始

[edit]

wangjian#setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicywangjianthenlogsession-close开启策略日志—会话结束

[edit]

wangjian#deletesystemservicesdhcp

[edit]删除系统默认dhcp

wangjian#setsystemservicesdhcprouter

[edit]DHCP参数默认网关

wangjian#setsystemservicesdhcppool/24address-rangelowDHCP参数地址池开始地址

[edit]

wangjian#setsystemservicesdhcppool/24address-rangehighDHCP参数地址池结束地址

[edit]

wangjian#setsystemservicesdhcpmaximum-lease-time95

[edit]DHCP参数分配地址租约时间

wangjian#setsystemservicesdhcpname-server

[edit]DHCP参数DNS服务器

wangjian#setsystemservicesdhcpname-server

[edit]DHCP参数DNS服务器

wangjian#setsystemservicesdhcppropagate-settingsge-0/0/

[edit]设置DHCP信号发散端口

wangjian#deleteinterfacesge-0/0/

[edit]删除接口fe-0/0/所有属性

wangjian#setsecurityzonessecurity-zonetrustinterfacesge-0/0/host-inbound-trafficsystem-servicesall

[edit]设置接口ge-0/0/接口为trust安全域

wangjian#setsecuritynatproxy-arpinterfacege-0/0/0addresstonat地址池地址在外网接口上做arp代理

setsecuritynatproxy-arpinterfacege-0/0/0addressto

[edit]

wangjian#deleteinterfacesvlan

[edit]删除vlan接口

wangjian#deleteinterfacesge-0/0/3

[edit]删除物理接口属性

wangjian#deleteinterfacesfe-0/0/4

[edit]

wangjian#deleteinterfacesfe-0/0/5

[edit]

wangjian#deleteinterfacesfe-0/0/6

[edit]

wangjian#deleteinterfacesfe-0/0/7

[edit]

wangjian#deleteinterfacesge-0/0/1

[edit]

wangjian#deletevlans

[edit]删除vlan

这样就可以了，DHCP获取到地址

Ping外网

附加show命令

wangjian#runshowinterfacesterse查看物理接口属性

InterfaceAdminLinkProtoLocalRemote

ge-0/0/0upup

ge-0/0/upupinet/24

gr-0/0/0upup

ip-0/0/0upup

lsq-0/0/0upup

lt-0/0/0upup

mt-0/0/0upup

sp-0/0/0upup

sp-0/0/upupinet

sp-0/0/upupinet-->

-->0/0

-->

-->0/0

ge-0/0/1updown

fe-0/0/2upup

fe-0/0/upupinet/24

fe-0/0/3updown

fe-0/0/4updown

fe-0/0/5updown

fe-0/0/6updown

fe-0/0/7updown

fxp2upup

upuptnp0x1

greupup

ipipupup

irbupup

lo0upup

upupinet-->0/0

upupinet-->0/0

-->0/0

-->0/0

-->0/0

-->0/0

upup

lsiupup

mtunupup

pimdupup

pimeupup

pp0upup

ppd0upup

ppe0upup

st0upup

tapupup

vlanupup

[edit]

wangjian#show|compare跟上次commit前对比敲过的命令

[editsecurityzonessecurity-zoneuntrustinterfaces]

ge-0/0/{...}

+ge-0/0/;

[edit]

wangjian#rollback0返回上次commit时的配置

loadcomplete

[edit]