juniper实验

配置工作第一步：进行设备的配置[A3]，在配置前将两台设备无论是新机还是旧机，一律全部出厂，出厂后还会有一些出厂自带的配置，把这些一起干掉，只保留一个root的密码。

有人可能会在想，怎么把自带配置给删除呢。

就在配置模式下输入#delete 会有提示是否把配置删除，再输入yes 接着给它配置一个root的密码。

现在是不是已经完事了？做完配置后一定要commit才能生效，否则反之。

使用>show configuration | display set查看。

第一步工作完成。

接着两台设备配置主机名称和fxp0管理接口的IP地址。

配置工作第三步把fab0 、1的链路接口选择 ge-0/0/1和 ge-2/0/1 端口。

配置工作第四步冗余数是2就可以。

注意：首先先设置集群的冗余数量，如果没有配置，那么下面的冗余组优先级就会报错，所以一定要先设置集群的冗余数才往下配，这样才成功。

配置工作第五步先给端口配置逻辑接口的IP地址，然后再往下配，不然会报错。

（注IP不能与管理口一样，Fe口将1改100或其他。

）接着配置端口的监控。

以上配置已经完成配置HA，我们来查看一共配置了什么？>show configuration | display set下面有些检查集群状态的命令：以上是配置HA的命令行，那么我们来测试下配置完成后是否实验成功。

大家肯定会在想，如何测试是否才是成功呢？其实很简单，只要把主设备down了，另一台设备是否变主就可以知道是否成功。

如果把从机down的话，是实验不到的，因为目前正在工作的是主机而不是从机，默认情况下，从机不工作，只在等待。

接下来，我们来试下把主设备重启，看看是什么效果。

命令如下：#request system reboot yjsrp维护命令手动切换主备：>request chassis cluster failover redundancy-group 1 node 1恢复主备：>request chassis cluster failover reset redundancy-group 1注意：rg1是控制层面，rg0是数据层面查看cluster interface>show chassis cluster interfaces查看cluster状态、节点状态、主备关系>show chassis cluster status取消cluster配置>set chassis cluster disable reboot如果要进入WEB界面，有几个步骤要配置下的。

NETSCREEN设备测试报告单节点测试在每一个节点完成设备安装之后，集成公司的现场工程师将和用户下属机构的技术人员一起进行该节点的测试验收和割接工作。

这样，用户下属机构的工程技术人员可以接手该节点的工作，并且可以迅速将该节点并入整个数据通信运行之中。

·单节点测试验收在完成设备安装之后，集成公司将为用户提供一整套设备测试程序。

该测试程序不但用于设备验收测试，而且做为系统初验的附属工程技术文件。

·单节点割接进行系统割接的技术重点是为了保证在割接时不会影响到已经使用的通讯网路系统的正常运行、以及不会对原数据网络带宽产生虚占用。

集成公司的现场工程师将会对可能发生的技术问题予以充分考虑和技术准备，并会及时解决在单节点割接时可能会发生的技术问题。

一旦该节点成功地并入整个网络系统工程之中，该节点将被认为完成的节点初验。

一旦整个合同中的所有节点完成割接，整个系统工程将开始系统初验，而后整个系统进入系统的试运行阶段。

单节点测试验收清单式样单节点测试验收清单合同号:__________________________系统设备安装地：，系统设备型号：。

产品序列号：遗留问题说明：用户代表签字：供应商代表签字：时间：时间：系统测试系统设备测试1. 电源:检查NetScreen设备的电源是否能正常工作。

具有两个电源模块的设备，正常时分担负载，当有某个电源模块损坏时，仍可正常工作。

2. 端口状态指示:每个功能模块端口均有状态指示灯，分别显示有正常接入及数据输入输出。

分别对各端口连接设备，可通过状态指示观察是否工作正常。

3. 在线配置:NetScreen的每个网络设备都有Console口，用户可通过Console口以终端的方式访问该设备。

可通过控制端口在工作状态下，实时配置各种参数并观察端口状态。

同时，可以支持远程基于浏览器方式下的图形化管理工作。

系统设备功能测试系统基本配置最终用户：测试产品型号：测试产品序列号：产品部署地点：测试平台：PC机从NetScreen设备console口接入或工作站远程登录用户代表签字：供应商代表签字：时间：时间：系统地址翻译功能NPAT最终用户：测试产品型号：测试产品序列号：产品部署地点：用户代表签字：供应商代表签字：时间：时间：系统地址翻译功能MAP IP最终用户：测试产品型号：测试产品序列号：产品部署地点：用户代表签字：供应商代表签字：时间：时间：系统过滤策略功能( Firewall)最终用户：测试产品型号：测试产品序列号：产品部署地点：用户代表签字：供应商代表签字：时间：时间：系统路由功能( Routing)最终用户：测试产品型号：测试产品序列号：产品部署地点：用户代表签字：供应商代表签字：时间：时间：双机HA备份测试测试对象：NetScreen设备测试目的：测试NetScreen设备双机热备份功能，防止单点失效。

1.设置外网IP为112.95.134.97 ，内网IP 为172.20.50.20/24 ，设置防火墙接口及路由，使PC 172.20.50.21 能通过防火墙网关收发邮件，使用MSN，而浏览Internet则控制在周一至周五8:00至12:00、13:00至17:00以外的时间，速度限制保证最低带宽200Kbps，最大为300Kbps ，优先级为71、编辑ethernet0/0 interface trust 172.20.50.20/242、editor ethernet0/3 zone:untrust IP:112.95.134.97Interface mode :routeManagement services:只保留ping功能用于测试3、set DNS host name:SSG550 202.96.134.133 ethernet0/3172.20.30.197 ehternet0/04、set address object:Test-pc IP address:172.20.50.21/32 ZONE: Trust5、add service group:http msn mail6、add schedules :comment 172.20.50.217、set policy name:test 1 source addr:test pc destination addr:any services ???8、policy advanced set: 流量控制schedule：test1添加路由：0.0.0.0/0 GW:112.95.134.1 nexthop:ethernet0/32.创建VIP组，将172.20.50.21 的3389端口映射，使外网用户能telnet 到172.20.50.21的3389端口。

1、interface >edit>vip/vip services:Ethernet0/3:same as the interface ip adderssNew Vip services2、new policy : name test2 destination addr :vip (interface0/3)Service select TELNET3．深圳百丽与宿州百丽都可上Internet，现通过IPsec VPN将两地网络互联，使PC172.20.50.21能PING通172.20.160.199 。

搭建JUNIPER虚拟路由器实验平台1 前期准备工作 (2)1．1PC的配置要求 (2)1．2F REE BSD版本的要求 (2)1．3J UN OS版本的要求 (2)2FREEBSD4.8的安装 (2)3JUNOS的安装 (15)4开始测试JUNIPER虚拟路由器 (17)5安装注意事项 (18)1 前期准备工作1．1 PC的配置要求操作系统环境：Windows 系列所需软件： 4.8-RELEASE-i386-mini.iso、jinstall-7.4R1.7-export-signed.tgz、jinstall-8.1R1.5-export-signed.tgz、VMware6.0、DAEMON Tools、3CDaemon。

要想使用 tap 网卡，还必须有安装相关软件。

这里有一绿色版本： nptp_setup.zip 。

其它软件请网上搜索下载。

1．2 FreeBSD版本的要求JunOS是基于FreeBSD3.3之前的版本开发的，所以推荐采用FreeBSD 3.x版本，4.x也可以，5.x绝对不行。

目前我使用的是freebsd－4.8-rlease-i386-mini.iso（以下简写FreeBSD4.8），可以从ftp:///获得FreeBSD 的mini版本ISO文件。

1．3 JunOS版本的要求目前我使用的是jinstall-7.4R1.7-export-signed.tgz。

我在FreeBSD4.8上安装JunOS5.5、5.6、6.2、6.4、7.0、7.4均顺利通过。

2FreeBSD4.8的安装第一步：安装VMware6.0和DAEMON Tools后，将FreeBSD4.8的加载到虚拟光驱中，启动VMware6.0时按F2进入BOIS设置从光驱启动后，即进入安装模式：第二步：选择安装模式；一般选择“Express”模式：第三步：设置分配给FreeBSD的硬盘空间大小：说明：1）如果想将整个硬盘都给FreeBSD使用的话，那么就选择“A”即可；如果只是分配一部分硬盘空间给FreeBSD，则选择“C”，创建一个分区给FreeBSD使用：第四步：选择系统开机模式：第五步：进行磁盘分区操作：在分区完成后，选择“Q”继续进行下一步的操作；第六步：确认需要安装的组件；建议选择最小安装即可：第七步：选择源程序的方式，一般是采用光盘安装：第八步：开始安装：第九步：设置相关的参数（主要是设置root的密码和网卡的参数）：第十步：结束安装，重启电脑：3Junos的安装第一步：使用3CDaemon软件建立本地ftp，在freebsd中登陆ftp，将Junos软件copy至FreeBSD系统中。

熟悉Juniper设备的一些基本配置戎泽麟在操作模式下的一些基本命令登录Juniper路由器：输入root，再输入cli进入操作模式。

在操作模式下的show命令：最下角就是当前命令显示的百分比。

显示i字母之后的展开命令：利用了Juniper路由器的帮助命令。

再比如说更具体的isis路由协议的信息：命令补全，在Juniper路由器中，补全命令可以通过space（空格键）也可以用<tab> 我们可以对字母c来做查看：这个输出结果，我们用空格和用tab的输出都是一样的。

在操作模式下，查看某一个具体的命令内容，如查看cli：在配置了接口IP的相关命令之后，查看接口：通过管道符来查看接口下的inet类型的地址：进入配置模式输入：configure首先可以查看，在配置模式下有哪些命令可以使用：关于run命令run命令允许我们在不同的命令层级下，直接查看操作模式下的命令：配置当中并没有配置ospf协议，那么我们用show来显示看看：查看接口查看路由：查看一下当前连接的状态：在哪个命令层级下，都是可以的关于各个层级之间的切换：逐级切换：top切换：与top命令的组合使用：下面，我们来看一下，改变配置的相关内容：改变用户名首先，我们在edit层级下，输入设置host-name命令：然后我们查看当前的配置:host-name被配置为jun1；然后我们在system层级下，再做相同的配置：查看：host-name做了修改查看候选配置和主配置的区别：当前只有候选配置：将我们当前的配置写入可用于重载的文本中load override common——不考虑现有配置，也就是说之前的配置不会合并到当前配置中load merge common——合并新的声明到现有配置{将之前配置合并到现有配置中关于conmmit命令：正常情况下，commit命令是应该可以提交生效的，但是在模拟器环境下，由于我们是通过console口，第一次登录，所以需要做一个system authentication，再配置了登录密码之后，commit命令可以正常提交使用：查看commit命令的相关命令：提交后自动返回上一层级：提交检查命令：查看/config目录下的文件：file下有哪些目录：。

SRX WEB模式实验手册前言、版本说明 (2)一、界面菜单管理 (4)2、WEB管理界面 (4)（1）Web管理界面需要浏览器支持Flash控件。

(4)（2)输入用户名密码登陆： (5)（3）仪表盘首页 (5)3、菜单目录 (7)二、接口配置 (11)1、接口静态IP (11)2、PPPoE (13)3、DHCP (13)三、路由配置 (14)1、静态路由 (14)2、动态路由 (15)四、区域设置Zone (16)五、策略配置 (17)1、策略元素定义 (17)2、防火墙策略配置 (20)3、安全防护策略 (23)六、地址转换 (23)1、源地址转换—建立地址池 (24)2、源地址转换规则设置 (25)七、VPN配置 (27)1、建立第一阶段加密建议IKE Proposal (Phase 1） (或者用默认提议). 282、建立第一阶段IKE策略 (29)3、建立第一阶段IKE Gateway (30)4、建立第二阶段加密提议IKE Proposal (Phase 2） (或者用默认提议）315、建立第一阶段IKE策略 (32)6、建立VPN策略 (32)八、Screen防攻击 (34)前言、版本说明产品：Juniper SRX240 SH版本：JUNOS Software Release [9。

6R1.13]注：测试推荐使用此版本。

此版本对浏览速度、保存速度提高了一些，并且CPU占用率明显下降很多。

9.5R2.7版本(CPU持续保持在60％以上，甚至90%)9。

6R1.13版本（对菜单操作或者保存配置时，仍会提升一部分CPU）一、界面菜单管理1、管理方式JuniperSRX系列防火墙出厂默认状态下，登陆用户名为root密码为空，所有接口都已开启Web管理，但无接口地址。

终端连接防火墙后，输入用户名(root）、密码(空），显示如下：root＠srx240-1%输入cli命令进入JUNOS访问模式：root@srx240—1％ cliroot@srx240—1〉输入configure进入JUNOS配置模式：root＠srx240—1% cliroot＠srx240-1〉 configureEntering configuration mode[edit]root@srx240-1#防火墙至少要进行以下配置才可以正常使用：(1）设置root密码（否则无法保存配置）（2）开启ssh/telnet/http服务(3）添加用户（root权限不能作为远程telnet帐户,可以使用SHH方式）(4)分配新的用户权限2、WEB管理界面(1）Web管理界面需要浏览器支持Flash控件。

JuniperSRX3400 Routing-instance AAA、NTP、SYSLOG实验配置手册目录1.实验需求 (3)2.实验环境 (3)3.实验拓扑 (4)3.1.创建虚拟机 (4)3.2.虚拟机之间网络连接 (4)4.防火墙配置 (7)5.AAA配置验证 (14)5.1.1.若将防火墙source-address定义为172.16.1.1 (14)5.1.2.删除环回口lo0地址 (16)6.NTP配置验证 (17)6.1.1.若将ntp源地址设为172.16.1.1， (18)6.1.2.删除环回口lo0地址 (18)7.SYSLOG配置验证 (19)7.1.1.若将SYSLOG源地址设为172.16.1.1 (19)7.1.2.删除防火墙上lo0接口地址 (20)8.最终结论 (21)为了能够充分理解Juniper SRX 防火墙在运行routing-instance 情况下配置AAA、syslog、ntp的运行机制，通过虚拟机搭建试验环境来验证。

2.实验环境Juniper 防火墙使用虚拟机来搭建，Radius服务器使用windows 2003 + ACS v4.2，将windows 2003作为ntp server, 在windows 2003上安装Kiwi_Syslog_Server 作为syslog软件。

实验工具如下：3.1.创建虚拟机创建2个虚拟机：SRX：juniper 防火墙Radius_NTP_Syslog_server：作为radius、NTP、syslog服务器；3.2.虚拟机之间网络连接各虚拟机网卡连接方式如下：1）将虚拟机SRX网卡1与物理机网卡桥接2）将虚拟机SRX网卡3采用自定义方式，用于与两台服务器连接3）服务器网卡也采用自定义的方式，用于与SRX连接：4）配置IP地址，测试联通性按照以上拓扑图对防火墙接口、服务器网口的IP地址进行配置，并测试连通性。