Step3：配置OSPF

#设置rooter id，通常设置为loopback地址 lab@SRX-1# top [edit]

lab@SRX-1#set routing-options router-id 192.168.1.254 # “设置router-id \lab@SRX-1#edit protocols ospf

lab@SRX-1#set preference 200 # “调整OSPF的管理距离，缺省为10 \

# \将策略中的指定路由发布给OSPF邻居，SRXp_ospf是策略名字，在后面定义\lab@SRX-1#se SRXport SRXp_ospf

# \设置送出purged LSA的秒数，缺省是30秒\

lab@SRX-1# set graceful-restart notify-duration 100

# \设置重新建立full邻居的秒数，缺省是180秒\

lab@SRX-1#set graceful-restart restart-duration 200

# \设置area0参数\

lab@SRX-1#edit area 0

{master}[edit protocols ospf area 0.0.0.0]

# \设置OSPF端口优先值为100，缺省是128 \lab@SRX-1#edit interface vlan.10

# \设置OSPF当没有收到LS ACK时，重新送出LSA的秒数，缺省是5秒\lab@SRX-1#set retransmit-interval 10

# \设置Hello Packet的间隔秒数 \lab@SRX-1#set hello-interval 5

# \设置持续为收到Hello，认定邻居为down的秒数\lab@SRX-1#set dead-interval 10

# \设置认证方式和密码，认证方式分为MDF和simple-password \lab@SRX-1#set authentication simple-password \

# \将逻辑端口设置为被动端，假设ge-0/0/11.0是三层端口\lab@SRX-1#set ge-0/0/11.0 passive

# \定义需要发布的路由策略\

第 21 页 共 26 页

lab@SRX-1# top

{master}[edit]

lab@SRX-1#set policy-options policy-statement SRXp_ospf from protocol direct lab@SRX-1#set policy-options policy-statement SRXp_ospf then accept

1． 分别在三台交换机上检查OSPF路由协议是否正常，检查命令：

show route

show ospf neighbor

交换机Firewall限制功能 限制IP地

#建立过滤策略

#\指定过滤条件：源IP\

set firewall family Ethernet-switching filter ipfilter term 1 from source-address 192.168.1.1

#\指定过滤符合条件：目的IP\

set firewall family Ethernet-switching filter ipfilter term 1 from destination-address 192.168.1.254

#\指定符合条件的流量所做的动作：accept或者discard\

set firewall family Ethernet-switching filter ipfilter term 1 then accept

#\指定其它不符合条件的动作\

set firewall family Ethernet-switching filter ipfilter term 2 discard

#\将过滤条件应用到端口上 \

set interface ge-0/0/10 unit 0 family Ethernet-switching filter input ipfilter

限制MAC地址

#\建立过滤策略\

#\指定过滤条件：源MAC\

set firewall family Ethernet-switching filter macfilter term 1 from source-mac-address aa:aa:aa:aa:aa:aa

#\指定过滤符合条件：目的MAC\

第 22 页 共 26 页

set firewall family Ethernet-switching filter macfilter term destination-mac-address bb:bb:bb:bb:bb:bb

#\指定符合条件的流量所做的动作：accept或者discard\

set firewall family Ethernet-switching filter macfilter term 1 then accept

#\指定其它不符合条件的动作\

set firewall family Ethernet-switching filter macfilter term 2 discard

#\将过滤条件应用到端口上 \

set interface ge-0/0/10 unit 0 family Ethernet-switching filter input macfilter

1 from

三、SRX防火墙常规操作与维护 3.2 设备关机

SRX因为主控板上有大容量存储，为防止强行断电关机造成硬件故障，要求设备关机必须按照下面的步骤进行操作：

1. 管理终端连接SRX console口。

2. 使用具有足够权限的用户名和密码登陆CLI命令行界面。 3. 在提示符下输入下面的命令：

user@host> request system halt

…

The operating system has halted.

Please press any key to reboot(除非需要重启设备，此时不要敲任何键，否则设备将进行重启)

4. 等待console输出上面提示信息后，确认操作系统已停止运行，关闭机箱背后电源模

块电源。

3.3 设备重启

SRX重启必须按照下面的步骤进行操作： 1. 管理终端连接SRX console口。

2. 使用具有足够权限的用户名和密码登陆CLI命令行界面。

第 23 页 共 26 页

3. 在提示符下输入下面的命令：

user@host> request system reboot 4. 等待console设备的输出，操作系统已经重新启动。

3.4 设备配置倒入

1）：用户模式下输入 configure 进入配置模式 例：lab@SRX3400> configure 回车

2）：输入 load merge terminal ，并将附件中的脚本粘贴进去(打开配置脚本时请取消记事本里的“格式-自动换行”)

例：lab@SRX3400#load merge terminal //目录树模式的配置倒入

粘贴完毕后敲回车键，并按ctrl+D完成粘贴 或者

输入load set terminal命令，并将附件中的脚本粘贴进去(打开配置脚本时请取消记事本里的“格式-自动换行”)

例：lab@SRX3400#load set terminal //set命令模式的配置倒入

粘贴完毕后敲回车键，并按ctrl+D完成粘贴

4）：最后在配置模式下输入commit 命令，使配置生效并保存

例：lab@SRX3400#commit

注意：配置模式下输入 load factory-default 清空现有配置

例：lab@SRX3400# load factory-default (恢复出厂设置)

3.5 设备抓包

主要解决业务流量是否穿越防火墙，配置命令如下： set security flow traceoptions file flow-test set security flow traceoptions file size 20m

set security flow traceoptions file world-readable set security flow traceoptions flag basic-datapath

set security flow traceoptions packet-filter packet source-prefix xxxx destination-prefix xxxx commit

show log flow-test

3.6 操作系统升级

SRX操作系统软件升级必须按照下面的步骤进行操作：

1. 管理终端连接SRX console口，便于升级过程中查看设备重启和软件加载状态。 2. SRX上开启FTP服务，并使用具有超级用户权限的非root用户通过FTP客户端将下

第 24 页 共 26 页