SRX安全网关操作手册1025006.docx

《SRX安全网关操作手册1025006.docx》由会员分享，可在线阅读，更多相关《SRX安全网关操作手册1025006.docx（39页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、SRX安安全网关关操作手手册神州数码码（中国国）有限限公司二零一零零年六月目 录1.总体体概述771.1.文档术术语72.SRRX基本本操作882.1.通过Coonsoole线线缆连接接路由器器82.2.设备关关闭1002.3.设备重重启1002.4.JUNNOS升升级1112.5.密码恢恢复1113.SRRX基本本管理配配置介绍绍123.1.JUNNOS CLII124.SRRX开机机配置过过程1444.1.SRXX硬件设设备简介介144.1.1SRRX 2240面面板图1144.1.2SRRX 2210面面板图1154.1.3SRRX 1100面面板图1154.2.SRXX安装流流程155

2、4.3.开始配配置1554.3.1开机机登录1164.3.2清空空默认配配置1664.3.3从所所有配置置清空后后开始配配置1775.常用用故障诊诊断命令令20查看端口口状态220查看路由由表200查看OSSPF邻邻居关系系20Pingg21Traccerooutee21监控接口口流量221监控REE CPPU利用用率222监控并发发会话数数22冷却系统统故障检检查222机箱硬件件组件故故障检查查236.设备备日常维维护244日常维护护步骤224配置文件件查看224配置文件件提交2247.SRRX常用用功能及及典型配配置2557.1 SRXX常用功功能配置置257.2 SRXX一个典典型配置置

3、286.硬件件返修及及CASSE信息息34一般性免免责说明明：神州数码码（中国国）有限限公司力力求确保保Juunipper SRXX防火墙墙快速安安装手册册中信信息的准准确性，但但不对信信息的准准确性承承担任何何责任。神神州数码码（中国国）有限限公司可可能随时时更改本本手册册中提提到的产产品或调调试命令令等技术术，恕不不另行通通知。神州数码码（中国国）有限限公司及及其供应应商不对对因使用用本手手册或或任何JJuniiperr网络公公司产品品或服务务而导致致的任何何间接、特特殊、引引致或意意外损失失而承担担任何责责任，包包括但不不限于利利润或收收入损失失、替换换产品或或服务的的成本、数数据丢失失

4、或破坏坏，或使使用或依依赖使用用本文提提供的信信息而造造成的损损失，即即使Juunipper 网络公公司或其其供应商商事先已已得知发发生此类类损失的的可能性性。本手册册中介介绍的许许多Juunipper 网络公公司产品品和服务务都提供供了书面面软件许许可和有有限保修修。这些些许可和和保修为为此类产产品的购购买者提提供某些些权利。本本手册册不应应被视为为扩展、更更改或修修改Juunipper 网络公公司为任任何Juunipper 网络公公司产品品提供的的任何保保证或许许可、或或创建任任何新的的或附加加的保证证或许可可。前言Juniiperr网络公公司介绍绍Juniiperr网络公公司致力力于实现

5、现网络商商务模式式的转型型。作为为全球领领先的联联网解决决方案和和安全性性解决方方案供应应商,JJuniiperr网络公公司对依依赖网络络获得战战略性收收益的客客户一直直给予密密切关注注。该公公司的客客户来自自于全球球各行各各业,包包括第一一流的网网络运营营商、企企业、政政府机构构以及研研究和教教育机构构等。JJuniiperr网络公公司推出出的一系系列联网网解决方方案, 提供所所需的安安全性和和性能来来支持全全球最大大型、最最复杂、要要求最严严格的关关键网络络, 其其中包括括全球顶顶尖的225 家家服务供供应商和和财富富全球球5000 强企企业前115强中中的8个个企业。Juniiperr网

6、络公公司成立立的唯一一宗旨是是预测测并解决决业内最最高难度度的联网网及安全全性问题题。今天天, JJuniiperr网络公公司通过过以下努努力, 帮助全全球客户户转变他他们的网网络经济济模式, 从而而建立强强大的竞竞争优势势：l 保护网络络安全, 以抵抵御日益益频繁复复杂的攻攻击l 利用网络络应用和和服务来来取得市市场竞争争优势l 为客户和和业务合合作伙伴伴提供安安全的定定制方式式来接入入远程资资源Juniiperr网络公公司通过过其专用用平台及及先进软软件, 推动业业界迈出出了创新新的一步步。Juunipper网网络公司司被公认认是开发发用于高高性能智智能网络络的半导导体及软软件的佼佼佼者，

7、一直走走在业界界创新的的前沿，并并通过这这些创新新不断推推动其所所支持的的网络及及企业实实现转型型。神州数码码控股有有限公司司概述神州数码码控股有有限公司司（以下下简称”神神州数码码”或”集集团”，股股票代码码：0008611.香港港）是中中国领先先的整合合IT服服务提供供商。集集团由原原联想集集团分拆拆而来，并并于二零零零一年年六月一一日在香香港联合合交易所所有限公公司主板板独立上上市。神神州数码码致力于于为中国国用户提提供先进进、适用用的信息息技术应应用，以以科技驱驱动工作作与生活活的创新新，推进进数字化化中国进进程。为为此，集集团努力力将自身身打造成成为中国国最广大大用户提提供最为为全面

8、IIT服务务的首选选供货商商。集团业务务主要包包括ITT规划、流流程外包包、应用用开发、系系统集成成、硬件件基础设设施服务务、维保保、硬件件安装、分分销及零零售等八八类业务务，面向向中国市市场，为为行业客客户、企企业级客客户、中中小企业业与个人人消费者者提供全全方位的的IT服服务。集团在全全国199个主要要城市设设有区域域中心。同同超过1100家家全球顶顶尖ITT品牌拥拥有良好好的战略略合作伙伙伴关系系，覆盖盖全国超超过1万万家代理理合作伙伙伴，为为中国用用户提供供最优质质便捷的的IT服服务。集集团依靠靠多年经经验积累累的行业业应用服服务能力力，在金金融、电电信、政政府等行行业的IIT服务务领

9、域建建立了领领先优势势。同时时，神州州数码亦亦在ITT产品分分销领域域保持了了多年市市场第一一的地位位。神州数码码企业系系统本部部神州数码码企业系系统本部部是以企业业数据中中心建设设为目标标，重点点覆盖网网络、主主机、存存储、软软件4大业务务领域，致致力于为为客户提提供国际际上主流流的企业业级软硬硬件产品品、骨干干网络、基基础网络络设备和和全面产产品解决决方案。自19997年率率先进入入高端增增值服务务市场，经经过不断断的探索索和努力力，增值值服务业业务取得得了高速速增长，是是国内第第一的增增值服务务提供商商，目前前已成为为神州数数码集团团重要利利润支柱柱之一。与近50家国际著名IT厂商建立长

10、期战略合作伙伴关系，合作的渠道伙伴超过4500家,目前已搭建由渠道市场、产品市场、解决方案及行业市场、技术支持、维修支持、培训支持构成的渠道支持系统，形成以北京、上海、广州三大区域销售中心、全国十五大平台、八个办事处为分销平台的销售网络，区域覆盖达40余个地市。神州数码码系统网网络事业业部神州数码码系统网网络事是是全球领领先的网网络和安安全解决决方案供供应商JJuniiperr网络公公司的总总分销商商，是全全球知名名提供通通讯服务务的西门门子公司司在中国国的总代代理，是是智能应应用交换换机全球球领导者者Raddwarre公司司和世界界领先的的下一代代企业移移动系统统供应商商Aruuba无无线网

11、络络公司在在中国的的总分销销商。同同时，系系统网络络事业部部是Juunipper NettworrksSPGG产品在在中国地地区唯一一的授权权认证培培训中心心和最主主要的授授权服务务中心。系统网络络事业部部有遍布布全国的的销售网网络和技技术服务务体系。一一直致力力于追踪踪安全网网络领域域的新技技术，构构建安全全网络联联盟体系系，提供供安全网网络产品品及解决决方案，推推广安全全网络的的标准化化服务。为为客户提提供：JJuniiperr Neetwoorkss从安全全系列（防防火墙、VPN、入侵检测和防御等一系列易于管理的安全设备和系统）到路由器、Infranet控制器和应用加速平台等全线联网和安

12、全性产品及解决方案；Radware负载均衡和网络安全防护产品及解决方案；Aruba由移动控制器、接入点和Aruba移动管理系统组成的移动边缘产品和解决方案。1. 总体概述述本文档为为神州数数码公司司编写。用用于说明明JunnipeerSRRX产品品基本命命令配置置和硬件件操作指指导。更多的信信息请参参考下面面的网站站：JUNOOS 99.6:htttp:/wwww.junnipeer.nnet/tecchpuubs/sofftwaare/junnos/junnos996/iindeex.hhtmllSRX硬硬件手册册:htttp:/wwww.jjuniiperr.neet/ttechhpubb

13、s/hharddwarre/jjunoos-ssrx/inddex.htmml1.1. 文档术语语Air Fillterr空气过过滤网ESD Poiint静电释释放点Fan Traay风扇盘盘PEM(Powwer Equuipmmentt Moodulles)电源模模块Crafft IInteerfaace控制面面板RE：RRouttingg Ennginne路由引引擎SFB: SSwittch Fabbricc Booardd 交换换矩阵板板PFE：Pacckett Foorwaardiing Engginee转发引引擎FRU：Fieeld-repplacceabble uniit可现场更换

14、换部件DPC：Dennse Porrt CConccenttrattorss高密度度接口卡卡FPC：Fleexibble PICC Coonceentrratoor物理理接口汇汇聚卡PIC：Phyysiccal Intterffacee Caard物物理接口口卡SPC：Serrvicces Proocesssinng CCardds 业业务处理理卡NPC：Nettworrk PProccesssingg Caardss网络处理理卡IOC：Innputt Ouutpuut ccardds 接口卡卡SFP：Smaall Facctorr Pllugggablle小型可可插拔光光收发器器，适用千千兆

15、以太太网2. SRX基基本操作作JUNOOS软件件是专门门为互联联网设计计的第一一种路由由操作系系统。它它运行在在Junnipeer网络络公司的的所有TT-系列列、M/MX系列列和J-系列路路由器以以及SRRX系列列集成安安全网关关上，被部部署在全全球最大大、增长长最迅速速的网络络中。它它提供的的全套具具有工业业强度的的路由协协议、灵灵活的策策略语言言和领先先的功能能特性，可可以高效效地扩展展支持极极大数量量的网络络接口和和路由。 基于标标准的JJUNOOS软件件可以支支持互联联网路由由协议，同同时控制制路由器器及其接接口并实实现对各各种规模模的网络络的系统统管理。简简便易用用的界面面使您可可

16、以配置置路由协协议和接接口属性性、监控控路由、检检测并排排除协议议和网络络连接故故障。本节将描描述设备备的一些些应急操操作，这这些操作作都会影影响设备备的正常常功能，操操作时请请谨慎使使用：n 通过CConssole线线缆连接接路由器器n 设备关闭n 设备重启n JUNNOS升升级n 密码恢恢复2.1. 通过Coonsoole线线缆连接接路由器器使用下面面的步骤骤连接路路由器的的Connsolle接口口：1. 准备好JJuniiperr路由设设备自带带的Coonsoole线线缆2. 将Connsolle线缆缆的DBB9插头头一头插插到PCC或者笔笔记本电电脑的CCOM口口上，另另外一端端插到S

17、SRX的的的COONSOOLE口口上，SSRX的的connsolle口如如下图的的标号55的RJJ45端端口。3. 打开计算算机中的的终端软软件工具具。例如如：SeecurreCRRT或者者Winndowws自带带的超级级终端。设设置如下下：n 端口：选选择第二二步中CConssolee线缆插插入到PPC上的的端口，通通常为CCOM 1或者者COMM 2n 波特率：96000n 数据位：8位n 停止位：1位n 流控：无无4. 打开配置置到的SSecuureCCRT或或者超级级终端，按按“Entter”键，屏屏幕出现现登陆的的提示符符，即连连接成功功。如果果没有显显示，请请检查线线缆或者者终端的

18、的配置是是否正确确。5. 默认用户户名和密密码为：用户名名：rooot，密密码为空空6. 如果密码码丢失，可可以按着着前面板板的reesett按钮115秒以以上，然然后设备备会自动动重启，并并将所有有配置恢恢复成出出厂默认认值，此此时的用用户名为为：rooot，密密码为空空如果出现现任何现现场无法法解决的的问题，请请寻求JJuniiperr TAAC的帮帮助，参参阅寻求JJTACC帮助。2.2. 设备关闭闭Juniiperr设备关闭闭必须按按照下面面的步骤骤进行操操作，否否则容易易导致设设备损坏坏：1. 用Connsolle或TTelnnet/SSHH连接到到主用路路由引擎擎上2. 使用具有有

19、足够权权限的用用户名和和密码登登陆CLLI命令令行界面面。3. 在提示符符下输入入下面的的命令：userrhoostreqquesst ssysttem halltThe opeerattingg syysteem hhas halltedd.Pleaase preess anyy keey tto rrebooot4. 等待coonsoole设设备的出出现上面面的输出出，确认认设备软件件已经停停止运行行。5. 关闭机箱箱背后电电源模块块电源。如果出现现任何现现场无法法解决的的问题，请请咨询JJuniiperr TAAC的帮帮助，参参阅寻求JJTACC帮助。2.3. 设备重启启Juniiper

20、r设备重启启必须按按照下面面的步骤骤进行操操作：1. 用Connsolle或TTelnnet/SSHH连接到到主用路路由引擎擎上2. 使用具有有足够权权限的用用户名和和密码登登陆CLLI命令令行界面面。3. 在提示符符下输入入下面的的命令：userrhoost reequeest sysstemm reebooot4. 等待coonsoole设设备的输输出，确确认设备备软件已已经重新新启动。如果要进进行电源源关闭的的重新启启动，请请参阅“设备备关闭”，在重重新开启启电源之之前必须须等待660秒。如果出现现任何现现场无法法解决的的问题，请请咨询JJuniiperr TAAC的帮帮助，参参阅寻求J

21、JTACC帮助。2.4. JUNOOS升级级Juniiperr设备在在出厂时时一般的的设备软软件版本本都比较较低，因因此一般般建议使使用比较较新的版版本，如如10.0以上上版本，软软件版本本升级时时不能跨跨过3个个版本进进行，如如9.*的需要要升级到到10.0以上上的，必必须先升升级到99.6，再再升级至至10.0，否否则会提提示升级级失败。Juniiperr设备JUUNOSS软件升升级必须须按照下下面的步步骤进行行操作：1. 用Connsolle或TTelnnet/SSHH连接到到设备cconssolee上2. 下载新的的JUNNOS软软件，放放置到FFTP服服务器上上。3. 安装新的的JU

22、NNOS软软件，这这个升级级过程大大概为115-225分钟钟：userrhoostreqquesst ssysttem sofftwaare addd fttp/:userrnamme:ppasssworrd1192.1688.1.1/junnos-srxxsmee-9.6R22.111-doomessticc.tggz nno-ccopyy unnlinnk4. 重新启动动设备：userrhoost reequeest sysstemm reeboootRebooot thee syysteem ? yyes,no (nno) yess如果出现现任何现现场无法法解决的的问题，请请寻求JJun

23、iiperr TAAC的帮帮助，参参阅寻求JJTACC帮助。2.5. 密码恢复复如果设备备的Rooot密密码丢失失，而且且没有其其他的超超级用户户权限，那那么就需需要执行行密码恢恢复，该该操作需需要中断断设备的正正常功能能。要进行密密码恢复复，请按按照下面面操作进进行：1. 断电后再再加电以以重新启启动设备备。在启动过过程中，按住设备前的reset按钮15秒以上再放手，则设备密码及配置会自动恢复成出厂默认配置2. 进入配置置模式，设设置新的的rooot密码码：roott cconffiguureEnteerinng cconffiguurattionn moodeediitroott# sse

24、t sysstemm rooot-autthennticcatiion plaain-texxt-ppasssworrd New passswoord:Retyype neww paasswwordd:3. 重新启动动后，设设备恢复复正常。3. SRX基基本管理理配置介介绍3.1. JUNOOS CCLIShelll模式式用rooot用用户登录录时，先先进入的的是shhelll模式，提提示符为为：%，必必须输入入clii命令后后才能进进入用户户模式进进行对设设备的操操作；如如果以非非rooot用户户登录，则则直接进进入用户户模式。用户模式式userrhoost#用户户模式在用户模模式下可可以显

25、示示SRXX设备的的配置、端端口状态态、路由由信息等等。登录录到SRRX上即即进入路路由器的的用户模模式：BJ-BBJ-JJA-NNSN-A-11-REE1 (ttyyp6)logiin: NSNNPasssworrd: NSNBJ-BJ-JA-NSNN-A-1-RRE1配置模式式userrhoost#配置置模式通过在用用户模式式使用eeditt命令进进入配置置模式：NSNBJ-BJ-JA-NSNN-A-1-RRE1ediitEnteerinng cconffiguurattionn moodemassterreedittNSNBJ-BJ-JA-NSN-AA-1-RE11#设置系统统时间use

26、rrhoost seet ddatee(YYYYYMMMDDDhhmmm.sss)#配置置日期及及时间NSNBJ-BJ-JA-NSNN-A-1-RRE1 seet ddatee 2001000606610330.330如果出现现任何现现场无法法解决的的问题，请请咨询JJuniiperr相关工工程师，或或者寻求求Junnipeer TTAC的的帮助，参参阅寻求JJTACC帮助。4. SRX开开机配置置过程4.1. SRX硬硬件设备备简介SRX系系列共有有以下产产品线：SRXX 1000、SSRX 2100、SRRX 2240、SSRX 6500、SRRX 334000/36600、SSRX 56

27、000/558000该产品线线对应目目前的SSSG系系列的简简单对照照图为：4.1.1 SRX2240面面板图4.1.2 SRX2210面面板图4.1.3 SRX 100面面板图4.2. SRX安安装流程程CLI命命令行对于路由由器硬件件、软件件、路由由协议、网网络连接接性的控控制和故故障检查查，JUUNOSS的CLLI命令令行是主主要的使使用工具具。CLLI命令令行可以以显示路路由表信信息，路路由协议议的信息息，使用用pinng和ttraccerooutee工具体体现的网网络连接接信息。可以通过过连接设设备上的的CONNSOLLE、EETHEERNEET、AAUX口口进入CCLI命命令行接接

28、口。4.3. 开始配置置根据此版版本开机机配置可可以实现现小型分分支机构构的网络络基本连连通，内内网的私私网地址址可以通通过源NATT为外网网接口地地址访问问Intternnet。4.3.1 开机登录录1. 第一次开开机登录录用户名名为rooot，密密码为空空。（如如何连上上connsolle详见见Sysstemm_maanaggemeent.doccx）Conssolee输出如如下：Amneesiaac (ttyyu0)logiin: rooot- JUNNOS 10.1R22.8 buiilt 20110-005-111 005:002:114 UUTC2. 登录之后后，我们们在shhel

29、ll 模式式下，输输入clli进入入用户模模式，然然后输入入connfigguree进入配配置模式式：roott%roott% cliiroott roott cconffiguure Enteerinng cconffiguurattionn moodeediitroott#4.3.2 清空默认认配置1. 刚进入配配置模式式下，通通过shhow命命令可以以看到设设备原有有的配置置，这是是初始默默认配置置，包括括以后用用resset键键恢复配配置，恢恢复出来来的都是是出厂默默认配置置。此默认配配置对SSRX进进行了基基本连通通性的配配置，其其中fee-0/0/00为外网网口，接接广域网网出口，

30、ffe-00/0/1-77为内网网口，地地位等同同，接内内网交换换机。同同时，防防火墙对对内网开开启DHHCP服服务，网网段为1192.1688.1.0/224。默默认策略略放开所所有由内内到外的的数据，拒拒绝所有有从外到到内的主主动访问问。2. 一般情况况下这份份配置不不要保留留使用，为为了方便便日后故故障排查查，我们们需要将将其删除除，重新新配置：roott# ddeleete Thiss wiill delletee thhe eentiire connfigguraatioonDeleete eveerytthinng uundeer tthiss leevell? yess,noo

31、(no) yees配置rooot根根用户密密码，这这个必须须配置，否否则无法法commmitt提交生生效配置置。roott# sset sysstemm rooot-autthennticcatiion plaain-texxt-ppasssworrd New passswoord:Retyype neww paasswwordd:roott# ccommmit4.3.3 从所有配配置清空空后开始始配置1. 配置rooot根根用户密密码，这这个必须须配置，否否则无法法commmitt提交生生效配置置。roott# sset sysstemm rooot-autthennticcatiion p

32、laain-texxt-ppasssworrd New passswoord:Retyype neww paasswwordd:2. 配置hoostnnameeediitroott# sset sysstemm hoost-namme SSRX11003. 配置时区区ediitroott# sset sysstemm tiime-zonne GGMT+84. 配置登录录登录权权限及用用户名密密码，这这里配置置了一个个名为llab，权权限为超超级用户户的登录录用户。Junos系统的要求密码最少为六位，而且必须包含字母和数字。set sysstemm looginn cllasss suuperr

33、 iddle-timmeouut 220set sysstemm looginn cllasss suuperr peermiissiionss alll set sysstemm looginn usser labb cllasss suuperrset sysstemm looginn usser labb auutheentiicattionn pllainn-teext-passswoordnew passswoord:retyype neww paasswwordd:5. 配置teelneet、wweb管管理服务务，这个个需要在在将来的的zonne的配配置中进进一步放放行流量量。默认

34、认情况下下，系统统禁止所所有流量量。在这这里，针针对fee-0/0/11接口开开启weeb管理理服务。ediitroott# sset sysstemm seerviicess teelneetroott# sset sysstemm seerviicess weeb-mmanaagemmentt htttp intterffacee fee-0/0/116. 配置接口口地址，这这里配置置外网接接口fee-0/0/00地址为为10.1.11.1/24，内内网接口口fe-0/00/1地地址为1192.1688.1.1/224。对对于SRRX2110，对对应前两两个接口口为千兆兆口，所所以端口口命

35、名为为:gee-0/0/00和gee-0/0/11，其余余的为ffe-。ediitroott# sset intterffacees ffe-00/0/0 uunitt 0 fammilyy innet adddresss 110.11.1.1/224 ediitroott# sset intterffacees ffe-00/0/1 uunitt 0 fammilyy innet adddresss 1192.1688.1.1/2247. 将接口放放到对应应的zoone中中，这里里是将ffe-00/0/0放到到unttrusst zzonee，fee-0/0/11放到ttrusst zzon

36、ee。ediitroott# sset seccuriity zonnes seccuriity-zonne uuntrrustt innterrfacces fe-0/00/0 ediitroott# sset seccuriity zonnes seccuriity-zonne ttrusst iinteerfaacess fee-0/0/118. 在内网区区域trrustt zoone内内放行系系统管理理的流量量，默认认情况下下，外网网口禁止止tellnett和weeb管理理的访问问流量。ediitroott#seet ssecuuritty zzonees ssecuuritty-zz

37、onee trrustt hoost-inbbounnd-ttraffficc syysteem-sservvicees ttelnnetediitroott# sset seccuriity zonnes seccuriity-zonne ttrusst hhostt-innbouund-traaffiic ssysttem-serrvicces htttp9. 配置允许许内网到到外网的的流量和和策略。ediitroott#seet ssecuuritty zzonees ssecuuritty-zzonee trrustt hoost-inbbounnd-ttraffficc prroto

38、ocolls aallediitroott#seet ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ttrusst_tto_uuntrrustt maatchh soourcce-aaddrresss annyediitroott#seet ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ttrusst_tto_uuntrrustt maatchh deestiinattionn-adddreess

39、 anyyediitroott#seet ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ttrusst_tto_uuntrrustt maatchh apppliicattionn annyediitroott#seet ssecuuritty ppoliiciees ffromm-zoone truust to-zonne uuntrrustt pooliccy ttrusst_tto_uuntrrustt thhen perrmitt10. 配置出口口默认路路由。ediitroott# ss

40、et rouutinng-ooptiionss sttatiic rroutte 00.0.0.00/0 nexxt-hhop 10.1.11.211. 配置基于于出口的的源naat，所所有内网网ip经经过fee-0/0/00出口后后的数据据包，全全部转换换为fee-0/0/00的地址址路由到到公网上上。ediitroott#seet ssecuuritty nnat souurcee ruule-sett trrustt-too-unntruust froom zzonee trrusttediitroott#seet ssecuuritty nnat souurcee ruule-sett

41、 trrustt-too-unntruust to zonne uuntrrusttediitroott#seet ssecuuritty nnat souurcee ruule-sett trrustt-too-unntruust rulle ssourrce-natt-ruule mattch souurcee-adddreess 0.00.0.0/00ediitroott#seet ssecuuritty nnat souurcee ruule-sett trrustt-too-unntruust rulle ssourrce-natt-ruule theen ssourrce-natt

42、 innterrfacce12. 提交配置置，使当当前配置置生效。写写完配置置一定要要提交，否否则配置置不生效效。ediitroott#coommiitcommmit commpleete5. 常用故障障诊断命命令查看端口口状态labSRXX shhow intterffacees ttersse Inteerfaace AAdmiin LLinkk Prrotoo Loocall Reemottege-00/0/0 uup uup ge-00/0/1 uup ddownn查看路由由表labSRXX sshoww rooutee teersee inett.0: 7 desstinnatiio

43、nss, 77 rooutees (7 aactiive, 0 hollddoown, 0 hidddenn)+ = Acttivee Rooutee, - = Lasst AActiive, * = BBothhA Deestiinattionn P Prff Mettricc 1 MMetrric 2 Nexxt hhop ASS paath* 0.0.00.0/0 SS 5 1772.227.110.11* 1000.11.1.0/224 DD 0 gee-0/0/99.0 查看OSSPF邻邻居关系系labr1 shhow osppf nneigghboor Addrresss Innt

44、errfacce Staate IDD Prii DDeadd10.1100.2.22 fee-0/0/00.122 Fulll 100.1000.110.22 1288 36610.1100.2.66 fee-0/0/00.133 Fulll 100.1000.110.33 1288 355Pingglabsrxx piing 10.1000.100.1 PINGG 100.1000.110.11 (110.1100.10.1): 566 daata byttes64 bbytees ffromm 100.1000.110.11: iicmpp_seeq=00 tttl=661 ttimee=4.9677 msslabsrxx piing 10.1000.100.1 rappid PINGG 100.1000.110.11 (110.1100.10.1): 566 daata b