Juniper SRX防火墙上部署DHCP服务以及DHCP中继

1 实验拓扑与目标

这次主要介绍Juniper防火墙上面对于DHCP的应用，这里主要针对SRX防火墙，方便后续朋友遇到了也知道如何配置，这里讲解用WEB跟命令行方式来配置。下一期在介绍Juniper另一款防火墙产品 ScreenOS的，虽然Juniper主推SRX了，但是NS在工作中还是很常见的。

2 配置与思路

1、二层交换机初始化（划分VLAN，以及接口加入VLAN）

创建VLAN [SW-2700]vlan batch 2 to 3

接口加入对应VLAN [SW-2700]int e0/0/2 [SW-2700-Ethernet0/0/2]port link-type access [SW-2700-Ethernet0/0/2]port default vlan 2 [SW-2700-Ethernet0/0/2]stp edged-port enable

[SW-2700]interface e0/0/3 [SW-2700-Ethernet0/0/3]port link-type access [SW-2700-Ethernet0/0/3]port default vlan 3 [SW-2700-Ethernet0/0/3]stp edged-port enable 说明：交换机初始化配置，定义了2个VLAN，然后把对应的接口加入到VLAN。

Trunk接口配置 [SW-2700]interface e0/0/1 [SW-2700-Ethernet0/0/1]port link-type trunk [SW-2700-Ethernet0/0/1]port trunk allow-pass vlan 2 to 3

2、防火墙初始化

说明下接口，G0/0/0属于连接交换机的接口，这个由于是多个网段的，所以这里起VLAN-tag功能，支持多个网段，而G0/0/1则是外网接口，而G0/0/2则是作为管理接口，主要是做WEB管理用。

管理接口配置地址，并且加入Zone，打开WEB管理。 [edit] srx-root# set interfaces ge-0/0/2.0 family inet address 192.168.1.250/24 [edit] srx-root# edit security zones security-zone DMZ [edit security zones security-zone DMZ] srx-root# set interfaces ge-0/0/2.0 host-inbound-traffic system-services all [edit] srx-root# set system services web-management http interface ge-0/0/2.0

这里创建了2个子接口，对应VLAN 2与VLAN 3，作为网关，并且注意必须开启VLAN TAG功能。这里说下，unit可以随意定义的，而VLAN的话要对应下面VLAN用户的ID，比如VLAN2，那么VLANID就填写2，地址则是给下面客户端做网关用的。

这里定外网接口。

这时候初始化接口已经配置完成。

这部分的命令行截图 接口配置部分

Zone部分的配置，接口加入Zone，放行对应的流量，这里虽然图形化里面可以直接加入Zone，但是不放行任何流量

路由部分配置

3、防火墙DHCP配置

这里定义的是全局参数，比如Domain，DNS，网关（为VLAN 2与VLAN 3的网关），当然还可以定义租期，这个可以根据自己需求定义。

添加地址池

红色部分为添加地址池，而蓝色部分可以在某一个地址池内添加对应的网关、DNS、与其他信息，这个可以根据需求来，如果DNS跟Domain这些对所有部分都是统一的话，就不需要单独定义了，用全局的继承，如果是比如VLAN2的DNS与VLAN3的DNS不同，那么需要单独配置。

同样的配置方法配置2个地址池即可。

说明，在Zone下面，可以Trust，或者双击，然后把对应加入Zone的接口放行Ping 跟DHCP流量，或者是All也可以，根据需求放行对应流量。

命令行配置 DHCP配置部分

这里DNS、Domain跟网关是全局定义的，然后2个地址池定义，当然也可以把参数定义在地址池内。 接口流量放行

4、防火墙策略+NAT配置（让客户端可以上网）

这里说明下，系统默认有一条默认的策略，就是Trust访问Untrust所有流量默认是放行的，所以不需要定义，如果没有的话，可以在这里Add一次即可。

添加NAT规则

这里定义Zone的方向，从trust来的，然后去Untrust的，然后在添加规则。

这里的意思是，允许192.168.2.0与3.0网段，访问任何网段的任意接口的时候 ，转换为出接口，也就是说从Trust来的192.168.2.0与3.0访问Untrust的任何流量，则转换为出接口公网地址访问。

最终提交配置。

这里就是策略与NAT的命令行配置。

5、验证。

由于在机架实验那边，不好连接PC测试，所以就用交换机开启DHCPClient来获取地址测试下。

这里把交换机的VLAN2配置为DHCP地址获取，这里用的是一台37作为测试的，27是二层设备，所以用三层的来测试下效果更好。

可以看到获取到了地址，以及默认网关。

可以看到，访问网关，跟公网的地址没有任何问题

这里也有session出现。

把VLAN 2的地址去掉，用到VLAN3上面。

获取到了地址以及对应的默认路由。

4 DHCP中继配置

这里开启中继是必须的，然后告诉服务器在哪，然后接口定义。

至于DHCP中继工作跟DHCP如何识别的，可以参考第二篇里面有介绍。