juniper学习笔记

Juniper简单入门介绍（配置端口，静态路由，配置防火墙策略）登陆Juniper设备后，需输入edit或者configuration 命令进入系统配置模式Juniper 系统自带命令和变量可按“空格”键补齐Juniper 系统“用户自定义”变量可按TAB键补齐一、配置端口Juniper配置端口是基于物理端口下的逻辑端口进行配置，例如set interfaces ge-0/0/5 unit 0 family inet address 192.168.1.1以上命令为ge-0/0/5口添加一个ip地址为192.168.1.1，其中unit为逻辑端口单元，范围0~16385，若再执行命令set interfaces ge-0/0/5 unit 1 family inet address 192.168.2.1则ge-0/0/5现在有两个ip分别为192.168.1.1和192.168.2.1以上命令也可以写成set interfaces ge-0/0/5.0 family inet address 192.168.1.1其中.0代表unit 0二、配置静态路由举例：现有网段125.39.91.240/28Juniper ge-0/0/0.0 设置ip为192.168.88.1set routing-options static route 0.0.0.0/0 next-hop 192.168.88.1其中0.0.0.0/0 表示任意目标地址，192.168.88.1为路由器直连网关。

再举例：让所有访问192.168.77.X的路由走192.168.99.1set routing-options static route 192.168.77.0/24 next-hop 192.168.99.1以上192.168.77段，掩码为24，而192.168.99.1为路由器直连网关。

三、配置zoneJunos基于zone开放防火墙策略，zone可以自己建立，建立之后再将需要的端口划到zone里。

前言俗话说好记性不如烂笔头，最近学习了一下JUNIPER的防火墙SRX。

所以特记录一个小笔记，助于以后复习所用，但也合适一些想学习SRX入门的资料，超适合入门JUNIPER防火墙，但是最好要对防火墙有过了解，对JUNOS命令有一定的基础。

一、防火墙基本知识SRX防火墙都是基于ZONE的来操作的，流量都是需要通过policy来做策略的。

每个接口都需要划分到特定的zone，系统默认的是在null的zone。

默认流量是没有策略的。

所以在配置的时候，必须先要定义zone,把接口放到相应的zone 里。

命令：set security zones security-zone in \\建立一个名字为in的zone。

通常在每个zone（注意：是每个zone，而不是zone到zone之间）是不放行任何流量的，需要在zone里进行配置放行，比如协议、系统服务等，ospf、ping、telnet、ssh等。

命令：set security zones security-zone in interfaces ge-0/0/0.0 host-inbound-traffic system-services http \\在名字为in的zone里接口有g0/0/0,允许进入的流量是系统服务的ICMP。

set security zones security-zone in interfaces ge-0/0/0.0 host-inbound-trafficprotocols ospf \\允许这个zone和别的接口或zone建立OSPF邻居二、PolicyPOLICY,这是一个很重要的概念，在SRX防火墙里只是建立zone并不是最终目的，因为zone与zone之间是不允许任何流量跑的。

所以需要通过POLICY来放行特定的流量。

命令：（注意：在policy里，定义源的时候，必须要定义地址、应用，目的）set security policies from-zone in to-zone out policy in-out-policy match source-address anyset security policies from-zone in to-zone out policy in-out-policy match destination-address anyset security policies from-zone in to-zone out policy in-out-policy match application any执行的动作：permit、deny等set security policies from-zone in to-zone out policy in-out-policy then permit三、Security Policy3.1 Schedulers有点类似于基于时间的访问控制列表，理论与思科的没啥区别。

自己总结的一点juniper 路由器入门资料juniperbbs 2007-09-1922:41:55由于文档全是鸟语的，再加上哥们鸟语水平非常有限，所以可能在理解上有所偏差，大家将就着看吧！感谢大猫猫，红头发等前辈！访问路由器你可以通过三种管理接口访问路由器console(Db9 EIA-232 @ 9600 Bps, 8/N/1-pre-configured)、auxiliary 、f xp 0Telnet 、SSH 也可访问路由器你必须掌握需要访问路由器的密码当你第一次访问路由器时，你必须使用root 帐号登陆访问CLI(用户命令行)，然后为路由器配置一个新的帐号用户登录访问必须用户名和密码个人帐户和路由器地址帐户可控制路由器的级别必须要有管理员授权当你通过用户帐号及密码登录路由器后，你就可以顺利的进入控制平台，可以在用户名和路由器名前看到“>”提示符Juniper需要通过用户名和密码来访问，路由器管理员可以创建用户帐号和分配权限，新的Juniper路由器只有没有密码的root帐号访问，你必须使用cli命令从CLI开始配置CLI模块及其重要内容CLI操作方式编辑命令行执行命令和命令历史相关内容和帮助Unix风格的管理模式CLI的配置方式不同的操控级别不同的配置权限同级别命令集之间的跳跃配置命令的自动检错系统自动回滚功能输入多命令行的可以一次执行在配置状态中执行操作命令保存、载入、删除配置文件CLI的两种模式操作模式（opera tional mode）显示路由器当前状态、监视、检测JUNOS、网络连通性及路由器硬件可以使用monitor、ping、show、test、tr acer oute命令展示JUNOS在执行时的信息和统计信息、路由表、可以测试网络的连通性Doug@lab2>配置模式(configuration mode)配置路由器、包括接口、普通路由信息、路由协议、用户访问、系统硬件相关[edit]Doug@lab2#CLI命令层次CLI操作模式命令(user@host>状态下配置)showrequestrestartpingtracerouteclearmonitorfiletesttelnetsetsshstartquit命令类型破坏性的非破坏性的进入配置模式控制CLI环境跳出CLI监视和检错命令clear monitor ping show test traceroute连接其他的网络系统复制文件重启软件程序使用过滤/管道命令输出compare(filename|rollback n):在这里可用的配置模式只能使用show命令，可以与所选择的配置文件进行比较count:显示输出线路数量display detail:只能在配置模式里使用，显示配置内容的其他信息except regular-express ion:当搜索输出时忽视正确的表达式文本，当正确的表达式包含空间、操作、通配符信息，你必须把它封装find regular-expression: 显示首先发现的输入文本holdmatchno-moreresolvesave控制CLI环境使用set cli 命令可以配置：Screen length(lines)Screen width(columns)Idle timeout(minutes)空闲时间Pro mpt(string)提示信息Terminal(terminal type)user@host> set cli ?Possible completions:complete-on-space Toggle word completion on spaceidle-timeout Set the cli maximum idletimeprompt Set the cli command promptstringrestart-on-upgrade Set cli to prompt forrestart after asoftware upgradescreen-length Set number of lines onscreenscreen-width Set number of characters onterminal Set terminal type可编辑命令行快捷键命令配置模式进入配置：使用configure命令进入配置模式在配置水平层面之间转换：使用edit、up、top、exit命令实现显示候选配置：在配置模式里使用show命令批量配置：执行候选配置：使用commit命令执行配置配置接口命名永久接口配置接口（物理道具和逻辑道具）使用configure命令进入配置模式root@lab2> configureEntering configuration mode[edit]root@lab2#容许单一的用户进行配置和编辑，configure exclusive Configure private 容许多用户编辑候选配置多用户可以同时编辑私有的候选配置信息在执行命令时，用户的个人选择是可以在全部信息中返回的？？？？选择可执行的命令user@host# set alarm sonet lol reduser@host# delete alarm sonet pll yellow显示候选和可执行命令的不同[edit chassis]user@host# show | comparealarm {sonet {+ lol redlos red;- pll yellow;}}其他命令选项user@host# show | compare filenameuser@host# show | compare rollback number配置群声明的群能应用不同部分的配置应用相同参数的捷径方式可以配置更多的端口共同的群声明可以重复配置不同的地方想要配置的地方可以从原配置数据继承相关信息[edit]lab@San Jose-re0# show groups re0 re0 {system {host-name SanJose-re0;}interfaces {fxp0 {unit 0 {family inet {a ddr ess ;}}}}}[edit]lab@SanJose-re0# show groups re1 re1 {system {host-name SanJose-re1;}fxp0 {unit 0 {family inet {address ;}}}}}[edit]lab@SanJose-re0# showap ply-groups [ re0 re1 ];执行配置命令按你的需求使配置改变可能会破坏路由器的连通性可能会破坏网络的连通使用commit命令的缺点慢执行配置可能花费一点时间，默认10分钟假如配置是由缺陷的，路由器自动返回原来的配置可以使用rollback命令来恢复九种以保存的配置使用rollback(rollback 0)去恢复候选配置Rollback 1 载入意见的配置Rollback n[edit]user@host# rollbackload completeTo activate the configuration that you loaded, issue the commit command,as shown below.[edit]user@host# commit[edit]user@host# rollback versionload complete[edit]user@host#退出配置模式使用exit命令返回顶层使用exit configuration-mode返回其他层保存配置文件来自当前水平层面和向下的所有当前候选配置文件可以使用save命令以ASC II码的形式保存[edit]cli# save filename[edit]cli#必须指定详细的目录文件可以URL多余的路由引擎SSH user@host:filename载入配置文件Load命令不考虑现有配置Load override filename合并新的声明到现有配置Load merge filename取代现有声明在当前配置Load replace filename只选择候选配置你必须使用commit命令来执行能从终端载入Load(replace|merge|override)terminal端口配置端口contained包含PICPIC plugs堵塞FPCFPC有四个PIC插槽FPC flexible pic concentrator把交换控制板和路由器接口进行连接For example, so-1/2/3 is a SONET/SD H interface in FPC slot 1, PIC slot 2, and PIC port 3. _ at—ATM over SONET/SDH ports_ e1—E1 ports_ e3—E3 ports_ fe—Fast Ethernet ports_ so—SONET/SDH ports_ t1—T1 ports_ t3—DS-3 ports_ ge—Gigabit Ethernet ports_ ae—Aggregated合计Ethernet portslogi ca l合理的端口是设置帧中继和ATM虚拟circuit电路端口号是separate分离actual实际的DLCI ATM VC 和能获取任意值Suggest 暗示converntion协定是保持他们相同可能路由器有两个永久接口Fxp0对外管理接口管理对外以太网接口Fxp1用于信息包发送的引擎内在路由引擎连接管理对内以太网接口。