juniper srx防火墙简明配置手册

《juniper srx防火墙简明配置手册》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

JuniperSRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSLVPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。   本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置，以便于大家能够快速部署和维护SRX防火墙，文档介绍JUNOS操作系统，并参考ScreenOS配置介绍SRX防火墙配置方法，最后对SRX防火墙常规操作与维护做简要说明。一、JUNOS操作系统介绍1.1层次化配置结构JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。JUNOSCLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unixcd命令）,exit命令退回上一级，top命令回到根级。  1.2JunOS配置管理JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（CandidateConfig）等待管理员提交确认，管理员通过输入commit命令来提交配置，配置内容在通过SRX语法检查后才会生效，一旦commit通过后当前配置即成为有效配置（Activeconfig）。另外，JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认，如执行commitconfirmed2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交，否则2分钟后配置将自动回退，这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。 在执行commit命令前可通过配置模式下show命令查看当前候选配置（CandidateConfig），在执行commit后配置模式下可通过runshowconfig命令查看当前有效配置（Activeconfig）。此外可通过执行show | compare比对候选配置和有效配置的差异。 SRX上由于配备大容量硬盘存储器，缺省按先后commit顺序自动保存50份有效配置，并可通过执行rolback和commit命令返回到以前配置（如rollback0/commit可返回到前一commit配置）；也可以直接通过执行saveconfigname.conf手动保存当前配置，并执行loadoverrideconfigname.conf/commit调用前期手动保存的配置。执行loadfactory-default/commit命令可恢复到出厂缺省配置。 SRX可对模块化配置进行功能关闭与激活，如执行deactivatesecuritynat/comit命令可使NAT相关配置不生效，并可通过执行activatesecuritynat/commit使NAT配置再次生效。  SRX通过set语句来配置防火墙，通过delete语句来删除配置，如deletesecuritynat和editsecuritynat/delete一样，均可删除security防火墙层级下所有NAT相关配置，删除配置和ScreenOS不同，配置过程中需加以留意。 1.3SRX主要配置内容部署SRX防火墙主要有以下几个方面需要进行配置：System：主要是系统级内容配置，如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务（如telnet）等内容。Interface:接口相关配置内容。Security:是SRX防火墙的主要配置内容，安全相关部分内容全部在Security层级下完成配置，如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等，可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下，除了Application自定义服务。Application：自定义服务单独在此进行配置，配置内容与ScreenOS基本一致。routing-options：配置静态路由或router-id等系统全局路由属性配置。         二、SRX防火墙配置对照说明2.1初始安装2.1.1登陆Console口(通用超级终端缺省配置)连接SRX，root用户登陆，密码为空login:rootPassword:---JUNOS9.5R1.8built2009-07-1615:04:30UTCroot%cli                  /***进入操作模式***/root>root>configureEnteringconfigurationmode  /***进入配置模式***/[edit]Root#2.1.2设置root用户口令设置root用户口令root#setsystemroot-authenticationplain-text-passwordroot#newpassword:root123     root#retypenewpassword:root123密码将以密文方式显示root#showsystemroot-authenticationencrypted-password"$1$xavDeUe6$fNM6olGU.8.M7B62u05D6.";#SECRET-DATA 注意：强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式)，此配置参数要求输入的口令应是经加密算法加密后的字符串，采用这种加密方式手工输入时存在密码无法通过验证风险。注：root用户仅用于console连接本地管理SRX，不能通过远程登陆管理SRX，必须成功设置root口令后，才能执行commit提交后续配置命令。2.1.3设置远程登陆管理用户root#setsystemloginuserlabclasssuper-userauthenticationplain-text-passwordroot#newpassword:lab123root#retypenewpassword:lab123注：此lab用户拥有超级管理员权限，可用于console和远程管理访问，另也可自行灵活定义其它不同管理权限用户。 2.1.4远程管理SRX相关配置runsetdateYYYYMMDDhhmm.ss　　　　　　/***设置系统时钟***/setsystemtime-zoneAsia/Shanghai　　　/***设置时区为上海***/setsystemhost-nameSRX3400-A　　　　　/***设置主机名***/setsystemname-server1.1.1.1  　　 /***设置DNS服务器***/setsystemservicesftp　　　　　　　　setsystemservicestelnet            setsystemservicesweb-managementhttp/***在系统级开启ftp/telnet/http远程接入管理服务***/  setinterfacesge-0/0/0.0familyinetaddress10.1.1.1/24或setinterfacesge-0/0/0unit0familyinetaddress10.1.1.1/24setinterfacesge-0/0/1unit0familyinetaddress10.1.2.1/24setrouting-optionsstaticroute0.0.0.0/0next-hop10.1.1.1/***配置逻辑接口地址及缺省路由，SRX接口要求IP地址必须配置在逻辑接口下（类似ScreenOS的子接口），通常使用逻辑接口0即可***/setsecurityzonessecurity-zoneuntrustinterfacesge-0/0/0.0/***将ge-0/0/0.0接口放到untrustzone去，类似ScreenOS***/setsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicespingsetsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-serviceshttpsetsecurityzonessecurity-zoneuntrusthost-inbound-trafficsystem-servicestelnet/***在untrustzone打开允许远程登陆管理服务，ScreenOS要求基于接口开放服务，SRX要求基于Zone开放，从SRX主动访问出去流量开启服务，类似ScreenOS***/ 2.2PolicyPolicy配置方法与ScreenOS基本一致，仅在配置命令上有所区别，其中策略的允许/拒绝的动作（Action）需要额外配置一条then语句(将ScreenOS的一条策略分解成两条及以上 配置语句)。Policy需要手动配置policyname，policyname可以是字符串，也可以是数字（与ScreenOS的policyID类似,只不过需要手工指定）。 setsecurityzonessecurity-zonetrustaddress-bookaddresspc110.1.1.10/32setsecurityzonessecurity-zoneuntrustaddress-bookaddressserver110.0.2.1/32/***与ScreenOS一样，在trust和untrustzone下分别定义地址对象便于策略调用，地址对象的名称可以是地址/掩码形式***/setsecurityzonessecurity-zonetrustaddress-bookaddress-setaddr-group1addresspc1/***在trustzone下定义名称为add-group1的地址组，并将pc1地址放到该地址组中***/setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001matchsource-addressaddr-group1destination-addressserver1applicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy001thenpermit/***定义从trust到untrust方向permit策略，允许addr-group1组的源地址访问server1地址any服务***/ 2.3NATSRXNAT较ScreenOS在功能实现方面基本保持一致，但在功能配置上有较大区别，配置的主要差异在于ScreenOS的NAT与policy是绑定的，无论是MIP/VIP/DIP还是基于策略的NAT，在policy中均要体现出NAT内容（除了缺省基于untrust接口的Souec-NAT模式外），而SRX的NAT则作为网络层面基础内容进行独立配置（独立定义地址映射的方向、映射关 系及地址范围），Policy中不再包含NAT相关配置信息，这样的好处是易于理解、简化运维，当网络拓朴和NAT映射关系发生改变时，无需调整Policy配置内容。 SRXNAT和Policy执行先后顺序为：目的地址转换－目的地址路由查找－执行策略检查－源地址转换，结合这个执行顺序，在配置Policy时需注意：Policy中源地址应是转换前的源地址，而目的地址应该是转换后的目的地址，换句话说，Policy中的源和目的地址应该是源和目的两端的真实IP地址，这一点和ScreenOS存在区别，需要加以注意。 SRX中不再使用MIP/VIP/DIP这些概念，其中MIP被Static静态地址转换取代，两者在功能上完全一致；DIP被SourceNAT取代；基于Policy的目的地址转换及VIP被DestinationNAT取代。ScreenOS中基于Untrustzone接口的源地址转换被保留下来，但在SRX中不再是缺省模式（SRX中TrustZone接口没有NAT模式概念），需要手工配置。类似ScreenOS，Static属于双向NAT，其他类型均属于单向NAT， 此外，SRX还多了一个proxy-arp概念，如果定义的IPPool（可用于源或目的地址转换）与接口IP在同一子网时，需配置SRX对这个Pool内的地址提供ARP代理功能，这样对端设备能够解析到IPPool地址的MAC地址（使用接口MAC地址响应对方），以便于返回报文能够送达SRX。下面是配置举例及相关说明：2.3.1InterfacebasedNATNAT：setsecuritynatsourcerule-set1fromzonetrustsetsecuritynatsourcerule-set1tozoneuntrust setsecuritynatsourcerule-set1rulerule1matchsource-address0.0.0.0/0destination-address0.0.0.0/0setsecuritynatsourcerule-set1rulerule1thensource-natinterface上述配置定义NAT源地址映射规则，从TrustZone访问UntrustZone的所有流量用UntrustZone接口IP做源地址转换。Policy:setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchsource-address10.1.2.2setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchdestination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchapplicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1thenpermit上述配置定义Policy策略，允许Trustzone10.1.2.2地址访问Untrust方向任何地址，根据前面的NAT配置，SRX在建立session时自动执行接口源地址转换。 2.3.2PoolbasedSourceNAT 　　　　NAT：setsecuritynatsourcepoolpool-1address100.1.1.10to100.1.1.20setsecuritynatsourcerule-set1fromzonetrust setsecuritynatsourcerule-set1tozoneuntrustsetsecuritynatsourcerule-set1rulerule1matchsource-address0.0.0.0/0destination-address0.0.0.0/0setsecuritynatsourcerule-set1rulerule1thensource-natpoolpool-1setsecuritynatproxy-arpinterfacege-0/0/2address100.1.1.10to100.1.1.20上述配置表示从trust方向（any）到untrust方向(any)访问时提供源地址转换，源地址池为pool1(100.1.1.10-100.1.1.20)，同时ge-0/0/2接口为此poolIP提供ARP代理。需要注意的是：定义Pool时不需要与Zone及接口进行关联。配置proxy-arp目的是让返回包能够送达SRX，如果Pool与出接口IP不在同一子网，则对端设备需要配置指向100.1.1.1的Pool地址路由。 Policy：setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchsource-address10.1.1.2setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchdestination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchapplicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1thenpermit上述配置定义Policy策略，允许Trustzone10.1.2.2地址访问Untrust方向任何地址，根据前面的NAT配置，SRX在建立session时自动执行源地址转换。2.3.3PoolbasedestinationNAT  NAT：setsecuritynatdestinationpool111address192.168.1.100/32setsecuritynatdestinationrule-set1fromzoneuntrustsetsecuritynatdestinationrule-set1rule111matchsource-address0.0.0.0/0setsecuritynatdestinationrule-set1rule111matchdestination-address100.100.100.100/32setsecuritynatdestinationrule-set1rule111thendestination-natpool111上述配置将外网any访问100.100.100.100地址映射到内网192.168.1.100地址，注意：定义的DstPool是内网真实IP地址，而不是映射前的公网地址。这点和Src-NATPool有所区别。 Policy：setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchsource-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchdestination-address192.168.1.100setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchapplicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1thenpermit 上述配置定义Policy策略，允许Untrust方向任何地址访问Trust方向192.168.1.100，根据前面的NAT配置，公网访问100.100.100.100时，SRX自动执行到192.168.1.100的目的地址转换。 ScreenOSVIP功能对应的SRXDst-nat配置：setsecuritynatdestinationpool222address192.168.1.200/32port8000setsecuritynatdestinationrule-set1fromzoneuntrustsetsecuritynatdestinationrule-set1rule111matchsource-address0.0.0.0/0setsecuritynatdestinationrule-set1rule111matchdestination-address100.100.100.100/32setsecuritynatdestinationrule-set1rule111matchdestination-port8000setsecuritynatdestinationrule-set1rule111thendestination-natpool222上述NAT配置定义：访问100.100.100.100地址8000端口映射至192.168.1.200地址8000端口，功能与ScreenOSVIP端口映射一致。2.3.4PoolbaseStaticNAT NAT：setsecuritynatstaticrule-setstatic-natfromzoneuntrustsetsecuritynatstaticrule-setstatic-natrulerule1matchdestination-address100.100.100.100 setsecuritynatstaticrule-setstatic-natrulerule1thenstatic-natprefix192.168.1.200Policy:setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchsource-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchdestination-address192.168.1.200setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1matchapplicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicy1thenpermitStaticNAT概念与ScreenOSMIP一致，属于静态双向一对一NAT，上述配置表示访问100.100.100.100时转换为192.168.1.200，当192.168.1.200访问Internet时自动转换为100.100.100.100。 2.4IPSECVPNSRXIPSECVPN支持Site-to-SiteVPN和基于NS-remote的拨号VPN，和ScreenOS一样，site-to-siteVPN也支持路由模式和Policy模式，在配置方面也和ScreenOS基本一致。SRX中的加密/验证算法在命名上和ScreenOS存在一些区别，配置过程中建议选择ike和ipsec的proposal为standard模式，standard中包含SRX支持的全部加密/验证算法，只要对端设备支持其中任何一种即可。SRX中通道接口使用st0接口，对应ScreenOS中的tunnel虚拟接口。下面是图中左侧SRX基于路由方式Site-to-siteVPN配置：  setinterfacesst0unit0familyinetaddress10.2.0.1/24setsecurityzonessecurity-zoneuntrustinterfacesst0.0setrouting-optionsstaticroute10.1.2.0/24next-hopst0.0定义st0tunnel接口地址/Zone及通过VPN通道到对端网络路由setsecurityikepolicyABCmodemainsetsecurityikepolicyABCproposal-setstandardsetsecurityikepolicyABCpre-shared-keyascii-textjuniper定义IKEPhase1policy参数，mainmode，standardproposal及预共享密钥方式setsecurityikegatewaygw1ike-policyABCsetsecurityikegatewaygw1address10.0.2.1setsecurityikegatewaygw1external-interfacege-0/0/1.0定义IKEgaeway参数，预共享密钥认证，对端网关10.0.2.1，出接口ge-0/0/1（位于untrustzone） setsecurityipsecpolicyAAAproposal-setstandardsetsecurityipsecvpnvpn1bind-interfacest0.0setsecurityipsecvpnvpn1ikegatewaygw1setsecurityipsecvpnvpn1ikeipsec-policyAAAsetsecurityipsecvpnvpn1establish-tunnelsimmediately定义ipsecPhase2VPN参数：standardproposal、与st0.0接口绑定，调用Phase1gw1ike网关。 setsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicyvpn-policymatchsource-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicyvpn-policymatchdestination-addressanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicyvpn-policymatchapplicationanysetsecuritypoliciesfrom-zoneuntrustto-zonetrustpolicyvpn-policythenpermit                             setsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicyvpn-policymatchsource-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicyvpn-policymatchdestination-addressanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicyvpn-policymatchapplicationanysetsecuritypoliciesfrom-zonetrustto-zoneuntrustpolicyvpn-policythenpermit开启双向policy以允许VPN流量通过 2.5ApplicationandALGSRX中自定义服务及ALG使用方法与ScreenOS保持一致，系统缺省开启FTPALG，为TCP21服务提供FTP应用ALG。自定义服务如果属于FTP类应用，需要将此自定义服务（非TCP21端口）与FTP应用进行关联。下面举例定义一个FTP类服务ftp-test，使用目的端口为TCP 2100，服务超时时间为3600秒，并将此自定义服务与FTP应用关联（ALG），系统将识别此服务为FTP应用并开启FTPALG来处理该应用流量。setapplicationsapplicationftp-testprotocoltcpdestination-port2100inactivity-timeout3600setapplicationsapplicationftp-testapplication-protocolftp 2.6JSRPJSRP是JuniperSRX的私有HA协议，对应ScreenOS的NSRP双机集群协议，支持A/P和A/A模式，JSRP对ScreenOSNSRP协议和JUNOSCluster集群技术进行了整合集成，熟悉NSRP协议有助于对JSRP协议的理解。JSRP和NSRP最大的区别在于JSRP是完全意义上的Cluster概念，两台设备完全当作一台设备来看待，两台设备的接口板卡顺序编号、运维变更将对两台设备同时进行操作，无需额外执行ScreenOS的配置和会话同步等操作，而ScreenOSNSRP可看作在同步配置和动态对象（session）基础上独立运行的两台单独设备。 JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应。由于SRX是转发与控制层面完全分裂架构，JSRP需要控制层面(配置同步)和数据层面(Session同步)两个平面的互联，建议控制和数据层面互联链路使用光纤链路直连（部分平台强制要求光纤链路直连）。 JSRP接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号，如上所示的SRX5800，每个SRX5800机箱有12个业务槽位，节点0槽位号从0开始编号，节点1槽位号从12开始往后编。  整个JSRP配置过程包括如下7个步骤l        配置Clusterid和Nodeid(对应ScreenOSNSRP的clusterid并需手工指定设备使用节点id）l        指定ControlPort    （指定控制层面使用接口，用于配置同步及心跳）l        指定FabricLinkPort          （指定数据层面使用接口，主要session等RTO同步）l        配置RedundancyGroup        （类似NSRP的VSDgroup，优先级与抢占等配置）l        每个机箱的个性化配置         （单机无需同步的个性化配置，如主机名、带外管理口IP地址等）l        配置RedundantEthernetInterface （类似NSRP的Redundant冗余接口）l        配置InterfaceMonitoring        （类似NSRPinterfacemonitor，是RG数据层面切换依据） SRXJSRP配置样例：l        配置Clusterid和NodeidSRX-A>setchassisclustercluster-id1node0reboot（注意该命令需在operational模式下输入，ClusterID取值范围为1–15，当ClusterID=0时将unsetsthecluster） SRX-B>setchassisclustercluster-id1node1rebootl        指定ControlPort（如果主控板RE上有固定control-ports，则无需指定）：setchassisclustercontrol-portsfpc11port0setchassisclustercontrol-portsfpc23port0l        指定FabricLinkPort setinterfacesfab0fabric-optionsmember-interfacesge-1/0/0setinterfacesfab1fabric-optionsmember-interfacesge-13/0/0注：FabricLink中的Fab0固定用于node0，Fab1固定用于node1l        配置RedundancyGroupRG0固定用于主控板RE切换，RG1以后用于redundantinterface切换，RE切换独立于接口切换setchassisclusterreth-count10 （指定整个Cluster中redundantethernetinterface最多数量）setchassisclusterredundancy-group0node0priority200（高值优先，与NSRP相反）setchassisclusterredundancy-group0node1priority100setchassisclusterredundancy-group1node0priority200（高值优先，与NSRP相反）setchassisclusterredundancy-group1node1priority100l        每个机箱的个性化配置，便于对两台设备的区分与管理setgroupsnode0systemhost-nameSRX-Asetgroupsnode0interfacesfxp0unit0familyinetaddress1.1.1.1/24（带外网管口名称为fxp0，区别ScreenOS的MGT口） setgroupsnode1systemhost-nameSRX-Bsetgroupsnode1interfacesfxp0unit0familyinetaddress1.1.1.2/24setapply-groups${node}    （应用上述groups配置）l        配置RedundantEthernetInterfaceRedundantEthernetInterface类似ScreenOS里的redundantinterface，只不过RedundantEthernetinterface是分布在不同的机箱上(这一特性又类似ScreenOS的VSI接口)。Setinterfacege-0/0/0gigether-optionsredundant-parentreth0  （node1的ge-0/0/0接口）Setinterfacege-13/0/0gigether-optionsredundant-parentreth0 （node1的ge-0/0/0接口）Setinterfacereth0redundant-ether-optionsredundancy-group1     （reth0属于RG1）Setinterfacereth0unit0familyinetaddress192.168.0.1/24l        配置InterfaceMonitoring，被监控的接口Down掉后，RG1将自动进行主备切换（与ScreenOS类似），Setclusterredundancy-group1interface-monitorge-0/0/0weight255Setclusterredundancy-group1interface-monitorge-0/0/1weight255Setclusterredundancy-group1interface-monitorge-13/0/0weight255Setclusterredundancy-group1interface-monitorge-13/0/1weight255l        JSRP维护命令a)        手工切换JSRPMaster，RG1原backup将成为Master root@srx5800a>requestchassisclusterfailoverredundancy-group1node1b)       手工恢复JSRP状态，按照优先级重新确定主备关系（高值优先）root@srx5800b>requestchassisclusterfailoverresetredundancy-group1c)       查看clusterinterfaceroot@router>showchassisclusterinterfacesd)       查看cluster状态、节点状态、主备关系lab@srx5800a#runshowchassisclusterstatuse)        取消cluster配置srx5800a# setchassisclusterdisablerebootf)        升级JSRP软件版本SRX目前暂不支持软件在线升级（ISSU），升级过程会中断业务。升级步骤如下：1.升级node0，注意不要重启系统2.升级node1，注意不要重启系统.3.同时重启两个系统g)       恢复处于disabled状态的node当controlport或fabriclink出现故障时，为避免出现双master(split-brain)现象，JSRP会把出现故障前状态为secdonary的node设为disabled状态，即除了RE，其余部件都不工作。想要恢复必须reboot该node。三、SRX防火墙常规操作与维护3.1设备关机 SRX因为主控板上有大容量硬盘，为防止强行断电关机造成硬件故障，要求设备关机必须按照下面的步骤进行操作：1.        管理终端连接SRXconsole口。2.        使用具有足够权限的用户名和密码登陆CLI命令行界面。3.        在提示符下输入下面的命令：user@host>requestsystemhalt…Theoperatingsystemhashalted.Pleasepressanykeytoreboot(除非需要重启设备，此时不要敲任何键，否则设备将进行重启)4.        等待console输出上面提示信息后，确认操作系统已停止运行，关闭机箱背后电源模块电源。3.2        设备重启SRX重启必须按照下面的步骤进行操作：1.        管理终端连接SRXconsole口。2.        使用具有足够权限的用户名和密码登陆CLI命令行界面。3.        在提示符下输入下面的命令：user@host>requestsystemreboot4.        等待console设备的输出，操作系统已经重新启动。3.3        操作系统升级SRX操作系统软件升级必须按照下面的步骤进行操作： 1.        管理终端连接SRXconsole口，便于升级过程中查看设备重启和软件加载状态。2.        SRX上开启FTP服务，并使用具有超级用户权限的非root用户通过FTP客户端将下载的升级软件介质上传到SRX上。3.        升级前，执行下面的命令备份旧的软件及设定：user@host>requestsystemsnapshot4.        加载新的SRX软件： user@host>requestsystemsoftwareaddvalidatefilename.tgzreboot5.        软件加载成功后，SRX将自动重启，重启完成后检查系统当前软件版本号：user@host>showsystemsoftware3.4        密码恢复SRXRoot密码丢失，并且没有其他的超级用户权限，那么就需要执行密码恢复，该操作需要中断设备正常运行，但不会丢失配置信息，这点与ScreenOS存在区别。要进行密码恢复，请按照下面操作进行：1.        Console口连接SRX，然后重启SRX。2.        在启动过程中，console上出现下面的提示的时候，按空格键中断正常启动方式，然后再进入单用户状态，并输入：boot-sLoading/boot/defaults/loader.conf/kerneldata=……syms=[……] Hit[Enter]tobootimmediately,orspacebarforcommandprompt.loader>  loader>boot-s3.        执行密码恢复：在以下提示文字后输入recovery，设备将自动进行重启Enterfullpathnameofshellor'recovery'forrootpasswordrecoveryorRETURNfor/bin/sh:recovery4.        进入配置模式，删除root密码，并重现设置root密码：user@host>configureEnteringconfigurationmodeuser@host#deletesystemroot-authenticationuser@host#setsystemroot-authenticationplain-text-passworduser@host#Newpassword:user@host#Retypenewpassword:user@host#commitcommitcomplete3.5        常用监控维护命令下列操作命令在操作模式下使用，或在配置模式下runshow…l        showsystemsoftware查看当前软件版本号l        showsystemuptime     查看系统启动时间l        showchassisharedware  查看硬件板卡及序列号l        showchassisenvironment查看硬件板卡当前状态 l        showchassisrouting-engine查看主控板（RE）资源使用及状态l        showroute             查看路由表l        showarp              查看ARP表l        showlogmessages      查看系统日志l        showinterfaceterse     查看所有接口运行状态l        showinterfacege-x/y/zdetail查看接口运行细节信息l        monitorinterfacege-x/y/z   动态统计接口数据包转发信息l        monitortrafficinterfacege-x/y/z动态报文抓取（Tcpdump，类似ScreenOSsnoop命令）l        showsecurityflowsessionsummary查看当前防火墙并发会话数l        showsecurityflowsession        查看当前防火墙具体并发会话l        clearsecurityflowsessionall     清除当前sessionl        showsecurityalgstatus         检查全局ALG开启情况l        SRX对应ScreenOSdebugflowbasic跟踪报文处理路径的命令：§          setsecurityflowtraceoptionsflagbasic-datapath开启SRX基本报文处理Debug§          setsecurityflowtraceoptionsfilefilename.log  将输出信息记录到指定文件中§          setsecurityflowtraceoptionsfilefilename.log size设置该文件大小，缺省128k §          setsecurityflowtraceoptionspacket-filterfilter1destination-prefix5.5.5.2设置报文跟踪过滤器§          runfileshowfilename.log查看该Log输出信息l        SRX对应ScreenOSgettech命令，开Case时需要抓取的信息：requestsupportinformation