Juniper SRX 防火墙基础上网配置

已于 2024-03-22 14:02:42 修改
阅读量268 收藏 3
点赞数 10
分类专栏: Juniper 文章标签: 网络 运维 ip 安全
于 2024-03-22 14:00:21 首次发布
By songxwn.com
本文链接:https://blog.csdn.net/u010151855/article/details/136939217
版权

简介

基于PNET-LAB模拟器,使用 vSRX-NG 23.4R1.9 镜像进行实验。

博客:https://songxwn.com/Juniper-SRX-snat/

实验需求

配置WAN口 LAN口,实现基础的上网功能。配置NAT、DHCP。

ISP 路由器使用Cisco IOS模拟,与SRX对接口配置 1.1.1.2,Lookback0配置114.114.114.114/32

实验步骤

实验拓扑

基础配置 - root密码、主机名、时区NTP。

set system root-authentication plain-text-password
# vSRX 默认无root密码,会强制要求配置一个。
set system host-name SRX01
# 配置设备的主机名,方便标识。
set system time-zone Asia/Shanghai
# 配置设备时区,可能需要手动导入时区文件。https://www.juniper.net/documentation/cn/zh/software/junos/time-mgmt/topics/topic-map/configure-time-zone.html
set system ntp server 1.1.1.1 
# 配置NTP服务器地址。如果目标是域名,需要配置DNS服务器。(安全类产品时间很重要)
show | compare 
commit
# 最后查看要提交的配置,然后提交生效。

配置公/内网接口地址,默认路由。

set interfaces ge-0/0/0 description LAN1
set interfaces ge-0/0/0 unit 0 family inet address 192.168.0.1/24
set interfaces ge-0/0/1 description WAN1
set interfaces ge-0/0/1 unit 0 family inet address 1.1.1.1/24
# 配置接口描述、配置IP地址。
set routing-options static route 0.0.0.0/0 next-hop 1.1.1.2  
# 配置默认路由指向公网出口网关。
show route 
inet.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0          *[Static/5] 00:00:33
                    >  to 1.1.1.2 via ge-0/0/1.0
1.1.1.0/24         *[Direct/0] 00:02:15
                    >  via ge-0/0/1.0
1.1.1.1/32         *[Local/0] 00:02:15
                       Local via ge-0/0/1.0
192.168.0.0/24     *[Direct/0] 00:02:46
                    >  via ge-0/0/0.0
192.168.0.1/32     *[Local/0] 00:02:46
                       Local via ge-0/0/0.0
192.168.1.1/32     *[Local/0] 00:18:13
                       Reject
# 查看路由表验证。
ping 114.114.114.114 
# Ping ISP路由器的LookBack0验证。

配置安全区域并关联接口

安全区域(Security Zone):它是一个或多个接口的集合,是防火墙区别于路由器的主要特性。 防火墙通过安全区域来划分网络、标识报文流动的“路线”,当报文在不同的安全区域之间流动时,才会触发安全检查。 相同区域不受限制,不同区域必须按照安全策略进行控制。

set security zones security-zone LAN
set security zones security-zone LAN host-inbound-traffic system-services all
set security zones security-zone LAN host-inbound-traffic protocols all
set security zones security-zone LAN interfaces ge-0/0/0.0
# 内网区域配置允许所有服务、允许所有协议进入,并把 ge-0/0/0.0 加入内网区域。
set security zones security-zone WAN       
set security zones security-zone WAN host-inbound-traffic system-services ping
set security zones security-zone WAN interfaces ge-0/0/1.0  
# 外网区域配置只允许ICMP进入区域,并把 ge-0/0/1.0 加入外网区域

配置 SNAT 规则

set security nat source rule-set LAN_to_WAN_SNAT from zone LAN
# 配置NAT源区域
set security nat source rule-set LAN_to_WAN_SNAT to zone WAN
# 配置NAT目标区域
set security nat source rule-set LAN_to_WAN_SNAT rule Default_NAT match source-address 0.0.0.0/0
# 不限制源地址
set security nat source rule-set LAN_to_WAN_SNAT rule Default_NAT then source-nat interface
# 配置NAT地址为接口IP。

配置安全策略规则LAN 到 WAN

set security policies from-zone trust to-zone untrust policy default-permit then permit
set security policies from-zone LAN to-zone WAN policy Default-Permit match source-address any
set security policies from-zone LAN to-zone WAN policy Default-Permit match destination-address any
set security policies from-zone LAN to-zone WAN policy Default-Permit match application any
set security policies from-zone LAN to-zone WAN policy Default-Permit then permit
# 配置LAN区域到WAN区域允许所有IP和APP。

配置DHCP,为LAN口下联终端分配IP

set system services dhcp pool 192.168.0.0/24 address-range low 192.168.0.101
set system services dhcp pool 192.168.0.0/24 address-range high 192.168.0.200

# 配置地址池192.168.0.0/24 配置分配地址范围。

set system services dhcp pool 192.168.0.0/24 name-server 114.114.114.114

# 配置DNS服务器

set system services dhcp pool 192.168.0.0/24 router 192.168.0.1

# 配置默认网关

set system services dhcp pool 192.168.0.0/24 default-lease-time 3600

# 配置IP地址保留时间

set security zones security-zone LAN interfaces ge-0/0/0.0 host-inbound-traffic system-services dhcp

# 配置LAN区域指定接口允许DHCP服务通过。

PS:接口的 IP 地址必须与 DHCP 池位于同网段中。配置完成之后,会自动关联。

DHCP服务验证

show system services dhcp pool 

# 查看所有Pool

show system services dhcp binding

IP address       Hardware address   Type     Lease expires at
192.168.0.101    50:11:1b:00:97:00  dynamic  2024-03-22 06:50:12 UTC

# 查看已分配IP


show system services dhcp statistics

# 查看状态

最终验证

最终win-PC 可以DHCP自动获取到IP,并可以ping通 114.114.114.114;

Songxwn
关注
  • 10
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
锐捷防火墙(WEB)——WAN优化——单机模式
君逍遥o
09-27 166
配置基本上网功能,并启用web 缓存功能。
Juniper SRX基于路由的IPSEC ×××
weixin_34288121的博客
05-16 519
由于在实际工作中有时会遇到SRX系列的路由器防火墙模块设备,在网上能到的资料大多也是一些界面文档或者以Netscreen为主的资料,官方资料大部分都是英文的,有时候排错或者配置,真的很头痛;开两台VmSRXSRX1:第一步:配置IP:set interfaces ge-0/0/0 unit 0 family inetaddress 10.247.171.1/24set in...
juniper防火墙详细配置手册.pdf
05-06
juniper防火墙详细配置手册
Juniper 防火墙简明配置手册
Jian Sun_的博客
01-17 7936
 Juniper SRX防火墙简明配置手册   SRX系列防火墙Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软.
Juniper SRX340防火墙配置
Jian Sun_的博客
05-23 1766
直接上配置IP地址/端口根据具体需求配置。 admin@SRX340> show configuration | display set | no-more set version 15.1X49-D150.2 set system host-name SRX340 set system time-zone Asia/Shanghai set system default-address-selection set system no-redirects set system no-ping-re
Juniper SRX防火墙简明配置手册
ztejiagn的专栏
04-19 1万+
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。://yzmbk.blog.51cto.//   Juniper SRX防火墙简明配置手册    SRX系列防火墙Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换
junper srx配置思路
weixin_34416754的博客
09-22 225
juniper配置思路: 1、配置zone 2、配置接口 接口IP、vlan等 3、配置nat 4、配置策略 转载于:https://blog.51cto.com/2526575/1003002
JuniperSRX防火墙命令配置手册.doc
07-05
juniperSRX配置手册
Juniper SRX防火墙故障排查命令指导
06-30
Juniper-SRX防火墙包含低中高型号,不管是SRX100,还是SRX5800,都是基于Junos操作系统,因此在操作配置上并无明显差别。当防火墙遇到故障时,部分型号也有些排查的命令可能不被支持,但此文档也作了一定的区分...
junipersrx防火墙web配置说明.pdf
07-13
junipersrx防火墙web配置说明.pdfjunipersrx防火墙web配置说明.pdfjunipersrx防火墙web配置说明.pdfjunipersrx防火墙web配置说明.pdfjunipersrx防火墙web配置说明.pdfjunipersrx防火墙web配置说明.pdf
JuniperSRX防火墙简明配置手册.docx
02-05
JuniperSRX防火墙简明配置手册.docx
    Junipersrx100防火墙配置指导
weixin_33735077的博客
05-29 1081
Junipersrx100防火墙配置指导#一、初始化安装1.1设备登录Juniper SRX系列防火墙。开机之后,第一次必须通过console 口(通用超级终端缺省配置)连接SRX , 输入root 用户名登陆,密码为空,进入到SRX设备之后可以开始加载基线配置。特别注意:SRX低端系列防火墙,在第一次登陆时,执行命令 “sho...
防火墙的简单介绍
weixin_45734926的博客
11-15 1129
Firewall
lan口和wan口的配置
weixin_30399821的博客
11-09 1294
  路由器的一排网线接口,分为 lan 和 wan .但不是谁生来就是lan口 或者 wan口 .   也没有谁规定就一个wan口 就只有一个.   网口就是网口, 决定它是 lan口 还是 wan口 ,是由我们自己决定的 .    用这次 openwrt x86的使用, 来讲述一下 lan 和 wan 是如何配置的, 怎么才可以上网, 而防火墙又是什么 . 图1. x86...
路由器WAN口和LAN口详解
热门推荐
Change
03-21 3万+
前一阵子做路由器的联网,由于利用了Openwrt操作系统,做起来虽然方便,但是很多原理细节都被忽略了。所以这里再来老生常谈一下wan口和lan口的区别,以及他们之间的工作原理。 首先百度一下,基本知识: 熟悉网络的朋友都知道WAN是英文Wide Area Network的首字母所写,即代表广域网;而LAN则是Local Area Network的所写,即本地(或叫局域网)。那么我们不妨给路
juniper srx相关附件
weixin_33797791的博客
07-24 153
1. 安全域(zone)和接口 1.1接口配置 由于在内网启用了3个vlan,而且每个vlan的网关都在防火墙上,所以在内网接口启用了tagging,ge-0/0/1为内网接口,划分出3个子接口,子接口1对应vlan10(192.68.100.0/24网段),子接口2对应vlan2(192.168.1.0/24网段),子接口3对应vlan3(172.16....
juniper SRX防火墙DHCP配置
weixin_34416754的博客
08-10 1251
set system services dhcp pool 192.168.68.0/24 address-range low 192.168.68.2set system services dhcp pool 192.168.68.0/24 address-range high 192.168.68.254set system services dhcp pool 192.168.68.0/24...
从零开始做题:logtime
最新发布
weixin_44626085的博客
07-10 250
给出1个pcapng文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值