JuniperSRX配置手册.docx
- 文档编号:23425311
- 上传时间:2023-05-17
- 格式:DOCX
- 页数:29
- 大小:25.85KB
JuniperSRX配置手册.docx
《JuniperSRX配置手册.docx》由会员分享,可在线阅读,更多相关《JuniperSRX配置手册.docx(29页珍藏版)》请在冰豆网上搜索。
JuniperSRX配置手册
JuniperSRX防火墙配置手册之迟辟智美创作
一、JUNOS把持系统介绍
1.1条理化配置结构
JUNOS采纳基于FreeBSD内核的软件模块化把持系统,支持CLI命令行和WEBUI两种接
口配置方式,本文主要对CLI命令行方式进行配置说明.JUNOSCLI使用条理化配置结构,分为把持(operational)和配置(configure)两类模式,在把持模式下可对以后配置、设备运行状态、路由及会话表等状态进行检查及设备运维把持,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行把持模式下的所有命令(run).在配置模式下JUNOS采纳分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unixcd命令),exit命令退回上一级,top命令回到根级.
1.2JunOS配置管理
JUNOS通过set语句进行配置,配置输入后其实不会立即生效,而是作为候选配置(Candidate
Config)等候管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后以后配置即成为有效配置(Activeconfig).另外,JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认,如执行commitconfirmed2命令要求管理员必需在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配置将自动回退,这样可以防止远程配置变更时管理员失去对SRX的远程连接风险.
在执行commit命令前可通过配置模式下show命令检查以后候选配置(CandidateConfig),在执行commit后配置模式下可通过runshowconfig命令检查以后有效配置(Activeconfig).另外可通过执行show|compare比对候选配置和有效配置的不同.
SRX上由于配备年夜容量硬盘存储器,缺省按先后commit顺序自动保管50份有效配置,并可通过执行rolback和commit命令返回到以前配置(如rollback0/commit可返回到前一commit配置);也可以直接通过执行saveconfigname.conf手动保管以后配置,并执行loadoverrideconfigname.conf/commit调用前期手动保管的配置.执行loadfactorydefault/commit命令可恢复到出厂缺省配置.
SRX可对模块化配置进行功能关闭与激活,如执行deactivatesecuritynat/comit命令可使NAT
相关配置不生效,并可通过执行activatesecuritynat/commit使NAT配置再次生效.
SRX通过set语句来配置防火墙,通过delete语句来删除配置,如deletesecuritynat和editsecuritynat/delete一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS分歧,配置过程中需加以留意.
1.3SRX主要配置内容
布置SRX防火墙主要有以下几个方面需要进行配置:
System:
主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务(如telnet)等外容.
Interface:
接口相关配置内容.
Security:
是SRX防火墙的主要配置内容,平安相关部份内容全部在Security层级下完成配置,
如NAT、Zone、Policy、Addressbook、Ipsec、Screen、Idp等,可简单理解为ScreenOS防火墙平安相关内容都迁移至此配置条理下,除Application自界说服务.
Application:
自界说服务独自在此进行配置,配置内容与ScreenOS基本一致.
routingoptions:
配置静态路由或routerid等系统全局路由属性配置.
二、SRX防火墙配置对比说明
战略处置流程图
2.1初始装置
2.1.1登岸
Console口(通用超级终端缺省配置)连接SRX,root用户登岸,密码为空
login:
root
Password:
JUNOS9.5R1.8built071615:
04:
30UTC
root%cli//进入把持模式
root>
root>configure//进入配置模式
[edit]
Root#
2.1.2设置root用户口令
设置root用户口令
root#setsystemrootauthenticationplaintextpassword
root#newpassword:
root123
root#retypenewpassword:
root123
[edit]
root#setsystemloginclasssuperuseridletimeout3设置以后用户超时时间
密码将以密文方式显示
root#showsystemrootauthentication
encryptedpassword"$1$xavDeUe6$fNM6olGU.8.M7B62u05D6.";#SECRETDATA
注意:
强烈建议不要使用其它加密选项来加密root和其它user口令(如encryptedpassword加密方式),此配置参数要求输入的口令应是经加密算法加密后的字符串,采纳这种加密方式手工输入时存在密码无法通过验证风险.
2.1.3设置远程登岸管理用户
root#setsystemloginuserlabclasssuperuserauthenticationplaintextpassword//创立用户lab
root#newpassword:
lab123//配置用户lab密码
root#retypenewpassword:
lab123
注:
此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活界说其它分歧管理权限用户.
2.1.4管理SRX相关配置
root>showsystemuptime//检查时间
root#runsetdateYYYYMMDDhhmm.ss//设置系统时钟
root#setsystemtimezoneAsia/beijing//设置时区为北京
root#setsystemhostnameSRX3400A//设置主机名
root#setsystemntpserver202.120.2.101//设置NTP服务器
root>showntpassociations
root>showntpstatus//检查NTP
root>showsecurityalgstatus//检查ALG状态
ALGStatus:
DNS:
Enabled
FTP:
Enabled
H323:
Enabled
MGCP:
Enabled
MSRPC:
Enabled
PPTP:
Enabled
RSH:
Enabled
RTSP:
Enabled
SCCP:
Enabled
SIP:
Enabled
SQL:
Enabled
SUNRPC:
Enabled
TALK:
Enabled
TFTP:
Enabled
IKEESP:
Disabled
root#setsystemservicesftp
root#setsystemservicestelnet
root#setsystemserviceswebmanagementhttp
//在系统级开启ftp/telnet/http远程接入管理服务
root>requestsystemreboot//重启系统
root>requestsystempoweroff//关闭系统
root>showversion//检查版本信息
Model:
srx210b
JUNOSSoftwareRelease[10.4R5.5]
root>showsystemuptime//检查系统启动时间
Currenttime:
081105:
09:
15UTC
Systembooted:
081101:
12:
48UTC(03:
56:
27ago)
Protocolsstarted:
081101:
15:
28UTC(03:
53:
47ago)
Lastconfigured:
081103:
11:
08UTC(01:
58:
07ago)byroot
root>Showchassisharedware//检查硬件板卡及序列号
Hardwareinventory:
ItemVersionPartnumberSerialnumberDescription
ChassisAC5210AA0079SRX210b
RoutingEngineREV40750021778AACN5249RESRX210B
FPC0FPC
PIC02xGE,6xFE,1x3G
PowerSupply0
root>showchassisenvironment//检查硬件板卡以后状态
ClassItemStatusMeasurement
TempRoutingEngineOK52degreesC/125degreesF
RoutingEngineCPUAbsent
FansSRX210ChassisfanOKSpinningatnormalspeed
PowerPowerSupply0OK
root>showchassisroutingengine//检查主控板(RE)资源使用及状态
RoutingEnginestatus:
Temperature52degreesC/125degreesF
Totalmemory512MBMax415MBused(81percent)
Controlplanememory336MBMax306MBused(91percent)
Dataplanememory176MBMax107MBused(61percent)
CPUutilization:
User4percent
Background0percent
Kernel5percent
Interrupt0percent
Idle91percent
ModelRESRX210B
SerialIDAACN5249
Starttime081101:
12:
47UTC
Uptime4hours,17minutes,57seconds
Lastrebootreason0x200:
chassiscontrolreset
Loadaverages:
1minute5minute15minute
root>showsystemlicense//检查授权
Licenseusage:
LicensesLicensesLicensesExpiry
Featurenameusedinstalledneeded
ax411wlanap020permanent
root>showsystemprocessesextensive//检查系统利用率
lastpid:
1968;loadaverages:
0.01,0.03,0.00up0+04:
20:
2805:
32:
46
111processes:
17running,83sleeping,11waiting
Mem:
120MActive,87MInact,231MWired,30MCache,61MBuf,1356KFree
Swap:
PIDUSERNAMETHRPRINICESIZERESSTATECTIMEWCPUCOMMAND
1097root4760194M34836Kselect0298:
0598.44%flowd_octeon
22root1171520K16KRUN0203:
4784.96%idle:
cpu0
24root1201390K16KRUN05:
420.00%swi7:
clock
21root1171520K16KRUN12:
210.00%idle:
cpu1
5root18400K16Krtfifo01:
020.00%rtfifo_kern_recv
1109root17609724K3796Kselect00:
460.00%rtlogd
868root17607004K2588Kselect00:
370.00%eventd
52root1800K16Kmdwait00:
340.00%md0
1085root176016984K10676Kselect00:
290.00%snmpd
1088root176014288K4788Kselect00:
230.00%l2ald
1090root27604K6476Kselect00:
220.00%pfed
1115root17604180K1104Kselect00:
190.00%licensecheck
1087root14039620K2Kkqread00:
150.00%rpd
23root1401590K16KWAIT00:
150.00%swi2:
net
(more39%)
root>monitorinterfacege0/0/0//静态统计接口数据包转发信息
Interface:
ge0/0/0.0,Enabled,LinkisUp
Flags:
SNMPTraps
Encapsulation:
ENET2
Localstatistics:
Currentdelta
Inputbytes:
2986416[4121]
Outputbytes:
47303[90]
Inputpackets:
47631[64]
Outputpackets:
969[1]
Remotestatistics:
Inputbytes:
94404820(1896bps)[6685]
Outputbytes:
9553700(952bps)[2078]
Inputpackets:
111689(4pps)[50]
Outputpackets:
59369(2pps)[29]
Trafficstatistics:
Inputbytes:
97391236Outputbytes:
[10806]
Next='n',Quit='q'orESC,Freeze='f',Thaw='t',Clear='c',Interface='i'
root>monitortrafficinterfacege0/0/0//静态报文抓取
verboseoutputsuppressed,use
AddressresolutionisON.Use
Addressresolutiontimeoutis4s.
Listeningonge0/0/0.0,capturesize96bytes
Reverselookupfor172.56.1.23failed(checkDNSreachability).
Otherreverselookupfailureswillnotbereported.
Use
05:
41:
02.884849InIPX00000000.00:
13:
8f:
74:
bc:
19.0455>00000000.ff:
ff:
ff:
ff:
ff:
ff.0455:
ipxnetbios50
05:
41:
03.509837OutIPtruncatedip10bytesmissing!
172.56.3.34.55730>.domain:
51866+[|domain]
05:
41:
03.568547InSTP802.1d,Config,Flags[none],bridgeid8000.00:
06:
53:
48:
8a:
80.8010,length43
05:
41:
03.678096InIPX00000000.00:
13:
8f:
74:
bc:
19.0455>00000000.ff:
ff:
ff:
ff:
ff:
ff.0455:
ipxnetbios50
2.1.5接口的初始化
接口说明:
root%cli//进入把持模式
root>
root>showinterfaces//检查接口状态
调整输出详细水平
root>showintefacesterse
root>showinterfacesbrief
root>showinterfacesdetail
root>showinterfacesextensive//由上到下检查接口的信息越来越详细
root>showinterfacesdetail|matchfe0/0/0//使用管道符匹配特定关键字
root>helpreferencesecuritypolicysecurity//检查配置参考信息
root>helpapropossecurity//帮手搜索关键字相关的把持命令
root>configure//进入配置模式
[edit]
root#
root#showinterfaces//检查接口配置状态
为接口配置IP地址的两种方法:
set配置:
root#showinterfacesge0/0/0.0familyinet//检查接口配置
address1.1.1.1./24
edit配置直接指定到某个层级:
[edit]
root#editinterfacesge0/0/0.0familyinet//在该层级下为接口配置
[editinterfacesge0/0/0.0familyinet]
[editinterfacesge0/0/0.0familyinet]
root#up//返回上一级,一层一层的退出(也可以使用exit和top退出到[edit])
[editinterfaces]
Root#show
root#setsystemsyslogfilemonitorloganyany//创立名字为monitorlog的日志
root#setsystemsyslogfilemonitorlogmatch"172.56.3.34"//监控接口
root#runmonitorstartmonitorlog//开始监控
root#runmonitorstop//停止监控
删除配置:
root#deleteinterfacesge0/0/0.0//普通删除配置命令
root#wildcarddeleteinterfacesfe0*//通配符匹配删除配置命令
matched:
fe0/0/0
matched:
fe0/0/1
matched:
fe0/0/2
matched:
fe0/0/3
matched:
fe0/0/4
matched:
fe0/0/5
matched:
fe0/0/6
matched:
fe0/0/7
delete8objecgts?
[yes,no](no)yes
配置addressbook(addressbook就是为地址命名,以便调用)
[edit]
root#editsecurityzonessecurityzoneoutside//配置outside区域addressbook
[editsecurityzonessecurityzoneoutside]
[editsecurityzonessecurityzoneoutside]
root#up
[editsecurityzones]
root#editsecurityzoneinside//配置inside区域addressbook
[editsecurityzonessecurityzoneinside]
[editsecurityzonessecurityzoneinside]
root#exit
[editsecurityzones]
root#exit
配置application
[edit]
root#editapplicationsapplicationtcp1752//界说服务名字
[editapplicationsapplicationtcp1752]
root#setprotocoltcpsourceport1752destinationport1752//界说协议及端口号
[edit]
root#showapplications
applicationtcp1752{
protocoltcp;
sourceport1752;
destinationport1752;
配置applicationset
[edit]
root#setapplicationsapplicationsetwebmgtapplicationjunosssh//配置应用服务集webmgt
[edit]
root#setapplicationsapplicationsetwebmgtapplicationjunosping
[edit]
root#setapplicationsapplicationsetwebmgtapplicationjunospcanywhere
[edit]
root#setapplications
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JuniperSRX 配置 手册