Wednesday, January 18, 2012

Juniper SRX Configuration Steps

1
先介绍下SRX3600的配置步骤

加电后引导系统后,输入用户名和密码。由于是第一次加电,因此只能使用root用户,密码默认为空

登录后,首先是shell模式,因为JUNOS是一个在基于BSD系统上开发的,因此常用的linux命令在JUNOS的shell模式下都可以使用,包括pwd, ls, vi等

输入cli进入维护模式(operational mode),该模式下可以做一些维护操作,可以查看系统的状态、硬件的状态,电源模块的状态等。

如果让一个SRX3k完全工作,必须做一些简单的配置,这个时候需要进入配置模式(configuration mode)

在维护模式输入configure进入配置模式。

在配置模式可以进行zone, interface, address book, security policy, application,rule set, proxy-arp, NAT, chassis cluster的配置,后续再进行详细的说明


进入配置模式后,首先需要进行root密码的配置,在这里我们使用如下命令进行配置
set system root-authentication plain-text-password

这里配置的是明文的密码,也可以根据其他选项,选择使用加密的密码,具体的用法可以使用帮助,或者使用?来看支持那些选项
例如:

# set system root-authentication ?
Possible completions:
+ apply-groups Groups from which to inherit configuration data
+ apply-groups-except Don't inherit configuration data from these groups
encrypted-password Encrypted password string
load-key-file File (URL) containing one or more ssh keys
plain-text-password Prompt for plain text password (autoencrypted)
> ssh-dsa Secure shell (ssh) DSA public key string
> ssh-rsa Secure shell (ssh) RSA public key string



这里需要强调的是,root密码只能用来console的配置和管理,如果需要使用远程管理博阿奎ssh或者telnet必须配置一个管理用户,因此我们使用如下命令来配置一个remote maintenance user

在下面的语句中,我们配置一个名字为admin的远程维护用户,在创建用户的时候可以选择用户所属的类,同时定义不同的权限。
set system login user admin class super-user authentication
plain-text-password

目前创建的用户支持如下的类,或者我们可以理解为系统自己定义的priviledge group
operator permissions [ clear network reset trace view ]
read-only permissions [ view ]
super-user permissions [ all ]
unauthorized permissions [ none ]

对刚才的用户进行设置密码
[email protected]# set system root-authentication plain-text-password


完成上述配置后,必须使用commit命令提交,否则该配置不会生效。在提交之前,系统会自己进行语法的检查,如果语法没有问题,才会真正的提交,否则会提示错误。


进行system basic configuration,包括hostname,DNS server,ntp server,out-of-band management interface, default router, interface , zone , policy等。


黑色粗字体需要自己根据实际情况进行配置:
  1. 配置hostname
set system host-name host-name

配置带外管理口
set interfaces fxp0 unit 0 family inet address address/prefix-length

配置业务接口
set interfaces ge-0/0/0 unit 0 family inet address address/prefix-length
set interfaces ge-0/0/1 unit 0 family inet address address/prefix-length
配置默认路由
set routing-options static route 0.0.0.0/0 next-hop gateway

配置zone并将interface绑定在zone上
set security zones security-zone trust interfaces ge-0/0/0
set security zones security-zone untrust interfaces ge-0/0/1

配置策略
我们在下面配置了一个让从trust到untrust都可以访问的,包括任何的程序。

set security policies from-zone trust to-zone untrust policy policy-name
match source-address any destination-address any application any
set security policies from-zone trust to-zone untrust policy policy-name
then permit

配置完毕后后,不要忘记提交
commit

这样配置才能生效


上周简单介绍了下SRX3k系列的基本配置,本周将重点介绍SRX3k系列的HA配置

先介绍最常用的active standby模式的配置。目前SRX3K系列的HA配置,主要是将2个node的SRX device,配置成一个cluster,对外提供服务。

这里需要强调,2个node组成cluster后,第二个node的interface name将会被发生变化,简单的来说,原来的ge-0/0/0,在SRX3400变成ge-8/0/0,因为是一个cluster了,所以要连其来。第二个节点的interface name,要顺序增加,增加的值为SRX3k支持的最大槽位。SRX3400为8, srx3600应该为13


第一步

首先要硬件连线确保是OK的,由于SRX3k系列组成cluster要求很严格,必须same hardware model, same version, same FPC, SPC slot,所有的必须一致。

激活cluster,分别登录srx,在operation执行如下命令,然后重启,这样2个node就会组成cluster
在节点1上激活cluster
set chassis cluster cluster-id 1 node 0

重启节点1
request system reboot


在节点2上激活cluster
set chassis cluster cluster-id 1 node 1

重启节点2
request system reboot


这样两台SRX3400就配置成cluster,使用show chassis cluster status看双机状态。
SRX> show chassis cluster status 
Cluster ID: 1 
Node Priority Status Preempt Manual failover

Redundancy group: 0 , Failover count: 0
node0 200 primary no no 
node1 100 secondary no no 

Redundancy group: 1 , Failover count: 10
node0 200 primary no no 
node1 100 secondary no no 

{primary:node0}
SRX>

先介绍配置的基本步骤:
step 2:
configure the control port

setp 3:
configure the fabric port

set interfaces fab0 fabric-options member-interfaces ge-0/0/1
set interfaces fab1 fabric-options member-interfaces ge-8/0/1

step 4: 
configure the redundant group
set chassis cluster redundancy-group 0 node 0 priority 100 
set chassis cluster redundancy-group 0 node 1 priority 1
set chassis cluster redundancy-group 1 node 0 priority 100
set chassis cluster redundancy-group 1 node 1 priority 1

step 5:
configure the redundant ethernet interface

step 6:
configure the monitor interface

setp 7: 
configure the basic and unique configuration for every node 

these the main steps for SRX3K HA configuration

No comments: