Ju niper SRX 防火墙配置手册 一、JUNOS 操作系统介绍 1.1 层次化配置结构 JUNOS 采用基于 FreeBSD 内核的软件模块化操作系统,支持 CLI 命令行和 WEBUI 两种接 口配置方式,本文主要对 CLI 命令行方式进行配置说明。JUNOS CLI 使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行 config 或 edit 命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下 JUNOS 采用分层分级模块下配置结构,如下图所示,edit 命令进入下一级配置(类似 unix cd命令),exit 命令退回上一级,top 命令回到根级。 1.2 Ju nOS 配置管理 JUNOS 通过 set 语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate Config)等待管理员提交确认,管理员通过输入 commit 命令来提交配置,配置内容在通过 SRX语法检查后才会生效,一旦 commit 通过后当前配置即成为有效配置(Active config)。另外,JUNOS允许执行 commit 命令时要求管理员对提交的配置进行两次确认,如执行 commit confirmed 2 命令要求管理员必须在输入此命令后 2 分钟内再次输入 commit 以确认提交,否则 2 分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对 SRX 的远程连接风险。 在执行commit 命令前可通过配置模式下show 命令查看当前候选配置(Candidate Config),在执行commit 后配置模式下可通过run show config 命令查看当前有效配置(Active config)。此外可通过执行show | compare 比对候选配置和有效配置的差异。 SRX 上由于配备大容量硬盘存储器,缺省按先后commit 顺序自动保存50 份有效配置,并可通过执行rolback 和commit命令返回到以前配置(如rollback 0/commit 可返回到前一commit 配置);也可以直接通过执行save configname.conf 手动保存当前配置,并执行load override configname.conf / commit 调用前期手动保存的配置。执行load factory-default / commit 命令可恢复到出厂缺省配置。 SRX 可对模块化配置进行功能关闭与激活,如执行deactivate security nat/comit 命令可使NAT 相关配置不生效,并可通过执行activate security nat/commit 使NAT 配置再次生效。 S...
