SRX-WebUI-配置手册.docx

目录WebUI配置前准备工作 3一、 设备系统配置 41. 接口配置(静态ip) 4(1) 创建安全Zone 5(2) 绑定相应接口 62. 接口配置(pppoe) 8(1) 封装端口为ppp-over-ether 8(2) ppp-options配置 10(3) pppoe-options配置 13(4) Family属性配置 15二、 交换机vlan模式配置 171. 创建VLAN(RVI) 182. 创建安全Zone并绑定相应RVI 21三、 NAT及其策略配置 221. 源地址NAT 22(1) 基于接口的源地址NAT 221) 创建NAT规则 232) 创建策略 24(2) 基于Pool的源地址NAT 251) 创建NAT规则 262) Proxyarp 283) 创建策略 292. 目的地址NAT 29(1) 创建NAT规则 29(2) 创建策略 321) 创建地址列表 322) 创建服务列表 333) 创建策略并调用相关地址及服务 343. AT 35(1) 创建NAT规则 35(2) 创建策略 361) 创建地址列表 362) 创建服务列表 373) 创建策略并调用相关地址及服务 38四、 IPSecVPN配置 391. Site-to-SiteVPN 39(1) 基于策略的IPSecVPN(main模式) 391) 基本配置 402) Phase1配置 40A. 创建phase1proposal 41B. 创建IKEPolicy 41C. 创建Gateway 433) Phase2配置 44A. 创建phase2proposal 44B. 创建IPSecPolicy 45C. 创建Autokey 454) 策略 46(2) 基于策略的IPSecVPN(aggressive模式) 471) 基本配置 482) Phase1配置 48A. 创建phase1proposal 48B. 创建IKEPolicy 49C. 创建Gateway 513) Phase2配置 52A. 创建phase2proposal 52B. 创建IPSecPolicy 53C. 创建Autokey 544) 策略 55(3) 基于路由的IPSecVPN(VPNWizards配置方式) 561) 基本配置 572) 使用J-Web的VPNWizards配置 572. DynamicVPN 65(1) 基本配置 65(2) Dynamicvpn配置步骤 651) 典型配置方式 65A. 定义VPN拨号用户及地址池 65B. 定义IPSecVPN 67C. 将拨号用户与VPN相关联 72D. 策略 732) VPNWizards配置方式 74(3) 登录 78WebUI配置前准备工作SRX系列设备默认是没有开启WEB服务的,因此我们需要通过console进入CLI,给设备配置一个管理IP,并开启http服务,以便于PC可以通过web界面登录至SRX进行配置管理。命令行配置参考如下:setsystemservicesweb-managementhttpsetinterfacesge-0/0/addresssetsecurityzonesfunctional-zonemanagementinterfacesge-0/0/setsecurityzonesfunctional-zonemanagementhost-inbound-trafficsystem-servicesall连接PC至SRX的ge-0/0/15口,,打开IE浏览器,输入,出现如下登录界面输入用户名、密码,点击“LogIn”即可。 点击“Dashboard”,可观察目前设备的系统状态、告警信息、资源利用率等,如下图。设备系统配置接口配置(静态ip)拓扑如下创建安全Zone根据拓扑,我们需要把Ge-0/0/4绑定至UntrustZone,Ge-0/0/3绑定至TrustZone,那么我们就需要创建2个安全Zone,分别为UntrustZone和TrustZone,并绑定相应端口。点击“Security”>“Zones/Screens”,然后点击“Add”, 在目前弹出窗口的“Zonename”文本框中,填入“untrust”,并保持“ype”默认的“security”类型不变,如下图所示为便于测试,我们还需要将ping服务打开,点击“Hostinboundtraffic-Zone”,在“Services”栏中选择“Ping”,然后点击“OK”即可。同样,我们按照相同步骤再添加一个trustzone,并开启相关services。命令行配置参考如下:setsecurityzonessecurity-zoneuntrustsetsecurityzonessecurity-zoneuntrus