juniper防火墙基本命令汇总.docx

juniper防火墙基本命令汇总.docx

《juniper防火墙基本命令汇总.docx》由会员分享，可在线阅读，更多相关《juniper防火墙基本命令汇总.docx（12页珍藏版）》请在冰豆网上搜索。

juniper防火墙基本命令汇总

Juniper防火墙基本命令

常用查看命令

Getint查看接口配置信息

Getintethx/x查看指定接口配置信息

Getmip查看映射ip关系

Getroute查看路由表

Getpolicyidx查看指定策略

Getnsrp查看nsrp信息，后可接参数查看具体vsd组、端口监控设置等

Getpercpude查看cpu利用率信息

Getpersessionde查看每秒新建会话信息　

Getsession查看当前会话信息，后可匹配源地址、源端口、目的地址、目的端口、协议等选项

Getsessioninfo查看当前会话数量

Getsystem查看系统信息，包括当前os版本，接口信息，设备运行时间等

Getchaiss查看设备及板卡序列号，查看设备运行温度

Getcounterstat查看所有接口计数信息

Getcounterstatethx/x查看指定接口计数信息

Getcounterflowzonetrust/untrust查看指定区域数据流信息

Getcounterscreenzoneuntrust/trust查看指定区域攻击防护统计信息

Gettech-support查看设备状态命令集，一般在出现故障时，收集该信息寻求JTAC支持

常用设置命令

Setintethx/xzonetrust/untrust/dmz/ha配置指定接口进入指定区域（trust/untrust/dmz/ha等）

Setintethx/xipx.x.x.x/xx配置指定接口ip地址

Setintethx/xmanage配置指定接口管理选项，打开所有管理选项

Setintethx/xmanageweb/telnet/ssl/ssh配置指定接口指定管理选项

Setintethx/xphyfull100mb配置指定接口速率及双工方式

Setintethx/xphylink-down配置指定接口shutdown

Setnsrpvsdid0monitorinterfaceethx/x配置ha监控端口，如此端口断开，则设备发生主/备切换

Execnsrpvsd0modebackup手工进行设备主/备切换，在当前的主设备上执行

setroute0.0.0.0/0interfaceethernet1/3gateway222.92.116.33配置路由，需同时指定下一跳接口及ip地址

所有set命令，都可以通过unset命令来取消，相当于cisco中的no

所有命令都可以通过“TAB”键进行命令补全，通过“?

”来查看后续支持的命令

防火墙基本配置

createaccount[admin|user]（创建账户）回车

输入密码：

再次输入密码：

configureaccountadmin（配置账户）回车

输入密码：

再次输入密码：

2.port配置

configportsautooff{speed[10|100|1000]}duplex[half|full]autooff配置端口的限速和工作模式（全和半）

3.Vlan配置

无论是核心还是接入层，都要先创建三个Vlan，并且将所有归于DefaultVlan的端口删除：

configvlandefaultdelportall清除默认VLAN里面所有端口

createvlanServer

createvlanUser创建vlanserveruser和manger

createvlanManger

定义802.1q标记

configvlanServertag10

configvlanUsertag20

configvlanMangertag30

设定Vlan网关地址：

configvlanServeripa192.168.41.1/24

configvlanUseripa192.168.40.1/24

configvlanMangeripa192.168.*.*/24

Enableipforwarding启用ip路由转发，即vlan间路由

Trunk配置

configvlanServeraddport1-3t

configvlanUseraddport1-3t

configvlanmangeraddport1-3t

4.VRRP配置

enablevrrp开启虚拟路由冗余协议

configurevrrpaddvlanUserVlan在VLAN里面添加vrrp

configurevrrpvlanUserVlanaddmastervrid10192.168.6.254

configurevrrpvlanUserVlanauthenticationsimple-passwordextreme

configurevrrpvlanUserVlanvrid10priority200

configurevrrpvlanUserVlanvrid10advertisement-interval15

configurevrrpvlanUserVlanvrid10preempt

5.端口镜像配置

首先将端口从VLAN中删除

enablemirroringtoport3＃选择3作为镜像口

configmirroringaddport1＃把端口1的流量发送到3

configmirroringaddport1vlandefault＃把1和vlandefault的流量都发送到3

6.port-channel配置

enablesharinggrouping{port-based|address-based|round-robin}

showportsharing//查看配置

7.stp配置

enablestpd//启动生成树

createstpdstp-name//创建一个生成树

configurestpdaddvlan{ports[dot1d|emistp|pvst-plus]}

configurestpdstpd1priority16384

configurevlanmarketingaddports2-3stpdstpd1emistp

8.DHCP中继配置

enablebootprelay

configbootprelayadd

9.NAT配置

Enablenat＃启用nat

StaticNATRuleExample

confignataddout_vlan_1mapsource192.168.1.12/32to216.52.8.32/32

DynamicNATRuleExample

confignataddout_vlan_1mapsource192.168.1.0/24to216.52.8.1-216.52.8.31

PortmapNATRuleExample

confignataddout_vlan_2mapsource192.168.2.0/25to216.52.8.32/28bothportmap

PortmapMin-MaxExample

confignataddout_vlan_2mapsource192.168.2.128/25to216.52.8.64/28tcpportmap1024-8192

10.OSPF配置

enableospf启用OSPF进程

createospfarea创建OSPF区域

configureospfrouterid[automatic|]配置Routerid

configureospfaddvlan[|all]area{passive}把某个vlan加到某个Area中去，相当于Cisco中的

network的作用

configureospfareaaddrange[advertise|noadvertise]{type-3|type-7}把某个网段加到

某个Area中去，相当于Cisco中的network的作用

configureospfvlanneighboradd

OSPF中路由重发布配置

enableospfexportdirect[cost[ase-type-1|ase-type-2]{tag}|]

enableospfexportstatic[cost[ase-type-1|ase-type-2]{tag}|]

enableospforiginate-default{always}cost[ase-type-1|ase-type-2]{tag}

enableospforiginate-router-id

11.SNMP配置

enablesnmpaccess启用SNMP访问

enablesnmptraps启用SNMP限制

createaccess-profiletype[ipaddress|vlan]

configsnmpaccess-profilereadonly[|none]配置snmp的只读访问列表，none是去除

configsnmpaccess-profilereadwrite[|none]这是控制读写控制

configsnmpaddtrapreceiver{port}community{from}配置snmp接

收host和团体字符串

12.安全配置

disableip-optionloose-source-route禁止散发源路由

disableip-optionstrict-source-route禁止静态源路由

disableip-optionrecord-route禁用路由记录

disableip-optionrecord-timestamp禁止记录时间标

disableipforwardingbroadcast禁止转发广播

disableudp-echo-server禁止UPD回应

disableirdpvlan禁用VLAN发布IRDP

disableicmpredirect禁用ICMP重定向

disableweb禁用web方式访问交换机

enablecpu-dos-protect使用CPUDOS保护

13.Access－Lists配置ACL

createaccess-listicmpdestinationsource

createaccess-listipdestinationsourceports

createaccess-listtcpdestinationsourceports

createaccess-listudpdestinationsourceports

14.默认路由配置

configiprouteadddefault

15.恢复出厂值，但不包括用户改的时间和用户帐号信息

unconfigswitch{all}

16.检查配置

showversion

showconfig

showsession

showmanagement查看管理信息，以及snmp信息

showbanner

showportsconfiguration

showportsutilization?

showmemory/showcpu-monitoring

showospf

showaccess-list{|port}

showaccess-list-monitor

showospfarea

showospfareadetail

showospfase-summary

showospfinterfaces{vlan|area}

unconfigureospf{vlan|area}

switch

showswitch

showconfig

showdiag

showiparp

showiproute

showipstat

showlog

showtechall

showversiondetail

17.备份和升级软件

downloadimage[|]{primary|secondary}

uploadimage[|]{primary|secondary}

useimage[primary|secondary]

18.密码恢复。

Extreme交换机在你丢失或忘记密码后，需要重新启动交换机，常按空格键，进入Bootrom模式，输入“h”，

选择“d:

ForceFactorydefaultconfiguration”清除配置文件，最后选择“f:

Bootonboardflash”

重新启动后密码会被清除掉。

注意：

恢复密码后，以前的配置文件将会被清空。

对于extremex450e-48p进入bootrom后输入h，然后boot1回车即可

18.switchlicese的添加：

enablelicesexxxx-xxxx-xxxx-xxxx-xxxx

会提示添加成功，显示AdvancedEdge为成功

HN-HUAIHUA-ANQUAN-LS1.33#showlicenses

EnabledLicenseLevel:

AdvancedEdge

EnabledFeaturePacks:

None

步骤：

a，HN-HUAIHUA-ANQUAN-LS1.34#showversion

Switch:

800190-00-040804G-80211Rev4.0BootROM:

1.0.2.2IMG:

11.6.1.9

XGM2-1:

Image:

ExtremeXOSversion11.6.1.9v1161b9byrelease-manager

onWedNov2922:

40:

47PST2006

BootROM:

1.0.2.2

其中0804G-80211为交换机的serialnumber

b然后在装有licese的信封里找到voucherserialnumber

c根据这两个serialnumber在指定网站上查找liceses的key共16位，

d然后enablelicese输入key值即可

NS系列防火墙安装与管理

NetScreen防火墙支持多种管理方式：

WEB管理，CLI（Telnet）管理等，由于一般调试工作中，我们最常用的也就是前面两种。

（ScreenOS4.0）　首先，使用CONSOLE口进行配置

1.把配送的线的一端插在防火墙的CONSOLE口，线的另一端插在转换插头后插在PC的串行口上。

2.打开WINDOWS的附件-》通讯-》超级终端，选择插有CONSOLE线的串口连接。

（设置串口属性：

9600-8-无-硬件）

3.出现提示符号后输入帐号密码进入设置命令行界面。

（默认帐号：

Netscreen;密码Netscreen）

4.进入Netscreen命令行管理界面

Web管理连接设置

1.设置接口IP;

若所有接口均未配置IP（Netscreen设备初始化设置），需设置一个端口IP，用于连接web管理界面，这里设置trust端口;在命令行模式下输入：

ns5XT->setinttrustip*

命令说明：

A.B.C.D为IP地址，通常设置为一个内网地址，E为IP地址的掩码位，通常设为24。

此时通过getinterface命令可以看到端口状态的信息（类似CISCOSHOW　接口命令）

2.启动接口的web管理功能;

ns5XT->setinttrustmanageweb

3.连通PC和防火墙间的网络，通过浏览器的web界面进行具体功能设置DW,

建立对于NS-5,NS-10,NS-100防火墙，PC与trust口，DMZ口采用直通电缆连接，PC与untrust口的连接采用交叉线。

对于NS-25，NS-200及以上产品，PC与防火墙所有端口的连接都采用直通电缆。

注意：

将PC网卡的IP地址设置成与防火墙相应端口的管理IP同一个网段内;

打开IE浏览器，键入防火墙的管理IP，打开登陆画面;

防火墙基本设置：

1.设置访问超时时间：

Web:

　在Web中的Configuration>Admin>Management中的EnabelWebManagementIdleTimeout中填入访问超时的分钟数，并在前面打勾。

CLI:

NS5XT->setadminauthtimeout

2.Netscreen的管理权限:

设置超级管理员（Root）

WEB：

进入Configuration>Admin>Administrators，在这里可以管理所有的管理员。

CLI：

NS5XT->setadminname

NS5XT->setadminpassword

添加本地管理员

WEB：

点击New链接，打开配置页。

输入管理员登录名和密码，指定权限（可选ALL或Read_ONLY，ALL表示该管理员具有更改配置的权限，READ_ONLY表示该管理员只能查看配置，无权更改）。

CLI:

NS5XT->setadminuserpasswordprivilege

3.设置DNS

Web：

打开Network>DNS页面，可配置HostName（主机名），DomainName（域名），PrimaryDNSServer（主域名服务器），SecondDNSServer（副哉名服务器），还有DNS每天更新的时间。

配置完后按Apply按键实施。

CLI:

NS5XT->sethostnamehMRr6

NS5XT->setdomainB

NS5XT->setDNShost

4.设置Zone（安全区域）　

Web：

打开Network>Zones页面，可配置已存在于Netscreen设备的所有Zone（并不是所有Zone都可以配置，有许多默认的Zone是不允许配置的，在Configure中不会出现Edit）。

按New按键可以新增一个Zone。

CLI：

hoNS5XT->setzonevrouterOWV6jS

5.设置Interface（接口）

WEB：

打开Network>Interfaces，选择需要配置的接口对应的属性页（有四个可选接口Trust、Untrust、DMZ和Tunnel，其中Trust、Untrust和DMZ为物理接口，Tunnel接口为逻辑接口，用于VPN。

对于ns-5系列防火墙，无DMZ端口）。

点击对应接口Configure列中的Edit链接，打开接口配置窗口。

（对于不同模式的Interface，进入后的配置会不同，这里用NAT模式做例子，透明模式会少一些配置的内容）Zonename:

设置从属的安全区域;

IPAddress/Netmask：

设置接口的IP和掩码;ManageIP：

设置该接口的管理用IP，该IP必须与接口IP处在同一个网络段中，如果系统IP被设为0..0.0.0，则该ManageIP默认为接口IP。

InterfaceMode：

设置接口模式，仅trust接口具有该项。

可以选择NAT模式或Route模式。

当trust接口工作在NAT模式时，任何进入该接口的数据包都会被强制做地址转换。

当接口工作在Route模式时，防火墙的默认工作相当与一台路由器，如果要将防火墙实现基于策略的NAT功能，请将trust接口设置成此模式。

　ManagementServices：

选中或清除web、telnet、snmp等复选框可以启用或禁止该接口的相应管理功能。

如清除web复选框，再点击save按钮后，该接口的web管理功能关闭，用户无法通过该接口的管理ip进入web管理界面，同时在该接口上的所有web管理连接都将丢失。

wF=W.da2

设置完成后点击Apply按钮记录设置。

CLI：

设置接口IP：

NS5XT->setinterfaceip

设置接口网关：

$NS5XT->setinterfacegatewayJ

启动接口的管理功能：

NS5XT->setinterfacemanage

关闭接口的管理功能：

NS5XT->unsetinterfacemanage

设置Trust接口工作模式：

NS5XT->setinterfacetrust

结合CLI和WEB方式，我们能很轻松的将NS搞定。