⑴ 如何清空Juniper防火牆配置信息
juniper防火牆由兩種OS,screen os使用命令行清楚配置:unset all回車後使用命令reset重啟設備,在提示時,有兩個提示,選擇不保存配置重啟,後配置就恢復出廠了,想清空配置,就直接delete就可以,同樣junos os使用命令行清空配置:delete就可以,或者load factory-default恢復出廠設置
⑵ 防火牆的配置命令有哪些
1、nameif
設置介面名稱,並指定安全級別,安全級別取值范圍為1~100,數字越大安全級別越高。
使用命令:
PIX525(config)#
PIX525(config)#
PIX525(config)#nameifethernet2dmzsecurity50
2、interface
配置以太口工作狀態,常見狀態有:auto、100full、shutdown。
auto:設置網卡工作在自適應狀態。
100full:設置網卡工作在100Mbit/s,全雙工狀態。
shutdown:設置網卡介面關閉,否則為激活。
命令:
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#
3、ipaddress
配置網路介面的IP地址
4、global
指定公網地址范圍:定義地址池。
Global命令的配置語法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
其中:
(if_name):表示外網介面名稱,一般為outside。
nat_id:建立的地址池標識(nat要引用)。
ip_address-ip_address:表示一段ip地址范圍。
[netmarkglobal_mask]:表示全局ip地址的網路掩碼。
5、nat
地址轉換命令,將內網的私有ip轉換為外網公網ip。
6、route
route命令定義靜態路由。
語法:
route(if_name)00gateway_ip[metric]
7、static
配置靜態IP地址翻譯,使內部地址與外部地址一一對應。
語法:
static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
8、conit
管道conit命令用來設置允許數據從低安全級別的介面流向具有較高安全級別的介面。
語法:
conitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
9、訪問控制列表ACL
訪問控制列表的命令與couit命令類似
10、偵聽命令fixup
作用是啟用或禁止一個服務或協議,
通過指定埠設置PIX防火牆要偵聽listen服務的埠。
11、telnet
當從外部介面要telnet到PIX防火牆時,telnet數據流需要用vpn隧道ipsec提供保護或
在PIX上配置SSH,然後用SSHclient從外部到PIX防火牆。
12、顯示命令:
showinterface;查看埠狀態。
showstatic;查看靜態地址映射。
showip;查看介面ip地址。
showconfig;查看配置信息。
showrun;顯示當前配置信息。
writeterminal;將當前配置信息寫到終端。
showcpuusage;顯示CPU利用率,排查故障時常用。
showtraffic;查看流量。
showblocks;顯示攔截的數據包。
showmem;顯示內存
13、DHCP服務
PIX具有DHCP服務功能。
⑶ juniper路由器具體怎麼設置,詳細的來
Juniper SSG-5(NS-5GT)防火牆配置手冊
初始化設置 2
Internet網路設置 6
一般策略設置 15
VPN連接設置 27
初始化設置
1.將防火牆設備通電,連接網線從防火牆e0\2口連接到電腦網卡。
2.電腦本地連接設置靜態IP地址,IP地址192.168.1.2(在192.168.1.0/24都可以),子網掩碼255.255.255.0,默認網關192.168.1.1,如下圖:
3.設置好IP地址後,測試連通,在命令行ping 192.168.1.1,如下圖:
4.從IE瀏覽器登陸防火牆web頁面,在地址欄輸入192.168.1.1,如下圖向導選擇最下面No, skip——,然後點擊下面的Next:
5.在登錄頁面輸入用戶名,密碼,初始均為netscreen,如下圖:
6.登陸到web管理頁面,選擇Configuration – Date/Time,然後點擊中間右上角Sync Clock With Client選項,如下圖:
7.選擇Interfaces – List,在頁面中間點擊bgroup0最右側的Edit,如下圖:
8.此埠為Trust類型埠,建議IP設置選擇Static IP,IP Address輸入規劃好的本地內網IP地址,如192.168.22.1/24,Manage IP 192.168.22.1。之後勾選Web UI,Telnet,SSH,SNMP,SSL,Ping。如下圖:
Internet網路設置
1.修改本地IP地址為本地內網IP地址,如下圖:
2.從IE瀏覽器打開防火牆web頁面,輸入用戶名密碼登陸,如下圖:
3.選擇Interfaces – List,點擊頁面中ethernet0/0最右側的Edit選項,如下圖:
4.此埠為Untrust類型埠,設置IP地址有以下三種方法:(根據ISP提供的網路服務類型選擇)
A.第一種設置IP地址是通過DHCP端獲取IP地址,如下圖:
B.第二種設置IP地址的方法是通過PPPoE撥號連接獲取IP,如下圖,然後選擇Create new pppoe setting,
在如下圖輸入本地ADSL pppoe撥號賬號,PPPoE Instance輸入名稱,Bound to Interface選擇ethernet0/0,Username和Password輸入ADSL賬號密碼,之後OK,如下圖:
PPPoE撥號設置完畢之後,點擊Connect,如下圖:
回到Interface – List,可以看到此撥號連接的連接狀態,如下圖:ethernet0/0右側PPPoE一欄有一個紅叉,表示此連接已經設置但未連接成功,如連接成功會顯示綠勾。
C.第三種設置IP地址方法是設置固定IP地址,如下圖:選擇Static IP,輸入IP地址和Manage IP:10.10.10.1/30,勾選Web UI,Telnet,SSH,然後點OK。
設置之後顯示如下圖:
設置靜態IP地址之後,需要設置一個路由下一跳才能正常使用,選擇Routing – Destination,點擊右上角New,如下圖:
IP Address/Newmask設置0.0.0.0/0,Next Hop選擇Gateway,Interface選擇ethernet0/0,Gateway IP Address輸入ISP網關地址,此處例如為:10.10.10.2,如下圖:
設置完路由如下圖:
5.設置DNS伺服器(如果是DHCP或PPPoE可能無需設置此項),選擇Network – DNS – Host,在如下圖可以輸入主機名稱和DNS伺服器地址。
6.設置本地內網DHCP功能,選擇Network – DHCP,如下圖:點擊bgroup0右側的Edit
7.選擇DHCP Server,其他默認即可,如下圖:
8.設置之後顯示如下圖,還未分配地址池,
9.再選擇Network – DHCP,點擊Address,出現如下圖,輸入分配地址池:
10.設置完成之後如下圖:
一般策略設置
1.首先可以指定IP地址,根據IP地址作策略,選擇Policy – Policy Elements – Addresses – List,然後在中間頁面選擇Trust,然後點擊New,如下圖:
2.在Address Name為指定IP地址設置識別名稱,然後在下面輸入具體IP,如下圖:
3.設置之後如下圖:
4.再設置一個指定IP地址,如下圖:
5.設置之後兩個都可以顯示出來,如下圖:
6.設置多個指定IP組,選擇Policy – Policy Elements – Addresses – Groups,如下圖:中間頁面的Zone選擇Trust,點擊右側的New。
7.為此IP組起識別名稱,下面將需要加入組的IP添加到組里,點OK,如下圖:
8.根據需求可以自定義服務,選擇Policy – Policy Elements – Services – Customs,如下圖:點擊右側New
9.輸入此自定義服務的識別名稱,然後下面可以選擇服務類型和服務埠,如下圖:
10.設置完之後如下圖:
11.定製多個服務組,選擇Policy – Policy Elements – Services – Groups,點擊頁面中間右側的New,如下圖:
12.為此定製服務組設置識別名稱,將需要的服務添加進入,點擊OK。
13.設置完成之後如下圖:
14.策略設置,此處可以直接使用之前設置的指定IP地址(組),自定義服務(組)。選擇Policy – Polices,如下圖:選擇From Untrust to Trust(可根據需要修改),點擊右側New,
15.如也可以設置From Trust to Untrust,如下圖:
16.策略設置頁面如下圖,設置名稱,選擇源地址和目的地址,服務類型等,最後選擇允許還是拒絕。
17.設置之後如下圖:
18.也可以設置一個全拒絕的策略,如下圖:
19.設置之後如下圖:
20.可以點擊ID為1的策略右側的雙箭頭符號,出現腳本提示點確定,
21.這樣可以把ID為1的策略放到下面,如下圖策略含義為從Trust口到Untrust口的流量中,來自IT組的IP地址到任意目的地,服務類型屬於CTG-APP中的流量允許通過,其他所有流量都拒絕。
22.可以為策略設置時間表,選擇Policy – Scheles,如下圖:點擊New
23.輸入時間表名稱worktime,設置周期時間。
24.設置之後如下圖:
VPN連接設置
設置VPN網路連接,根據具體情況有多種方法可選:
A.方法一,通訊雙方埠均為靜態IP地址,配置如下:
1.設置對端網關信息,和本地Local ID(可選),如下圖:IP地址為對端公網IP,之後點擊Advanced
2.Preshared Key輸入一串共享密鑰,對端需要設置同樣密鑰才可成功連接,其他默認即可,點擊下面OK
3.設置雙端IKE VPN埠認證,選擇VPNs – AutoKey IKE,輸入VPN名稱,之後Predefined選擇已經設置好的Gateway,之後點Advanced,裡面設置logging即可,之後點OK。
4.設置完成之後顯示如下圖:
5.設置VPN連接策略,選擇Policy – Polices,From Trust to Untrust,點擊右側New,之後在如下頁面輸入源地址,目的地址,服務類型,Action選擇Tunnel,Tunnel VPN選擇設置好的VPN IKE,下面勾選Modify matching bidirectional VPN policy,勾選Logging,勾選Position at Top,之後點Advanced
6.在下面勾選Counting,其他默認,點擊OK,
7.設置完策略如下圖:
B.方法二,通訊雙方有一個埠為靜態IP地址,另一個埠IP地址為動態。
1.如果本地IP為ADSL,IP地址會發生變化,則需要使用Local ID設置Gateway,選擇VPNs – AutoKey Advanced – Gateway,輸入對端公網IP地址,選擇ACVPN-Dynamic,Local ID輸入本地名稱(如bj)
2.則對端設置Gateway時,需要如下圖設置,不輸入對端IP地址,選擇Dynamic IP
Address,Peer ID輸入對端Local ID(如bj)。之後步驟同方法一中的2-7步驟。
C.通過向導設置VPN連接
1.選擇Wizards – Router-based,出現如下圖向導頁面,選擇源埠和目的埠類型
2.選擇Make new tunnel interface,選擇ethernet0/0 (trust-vr),選擇Next
3.選擇LAN-to-LAN,如下圖:
4.根據通訊雙方埠類型,如靜態,動態IP地址,選擇下面類型,如Local Static IP – Remote Static IP
5.輸入對端公網IP地址,如192.168.25.1
6.選擇通道加密類型,之後下面輸入通訊密鑰,雙方埠要求一致
7.選擇或者輸入源地址和目的地址
8.選擇服務類型和策略雙向通訊
9.根據需要可以設置帶寬限制,默認為不做限制
10.根據需要是否選擇定製好的Schele應用到此VPN策略
11.向導設置完畢,明細如下表:
12.配置確認。點擊Finish完成。
13.根據向導做完VPN策略後,可以在路由表中看到自動添加了一條路由,選擇Network – Routing – Destination,Interface為tunnel 1,說明此為向導製作的VPN鏈路。
⑷ juniper 防火牆命令行配置詳解
虛擬路由器,
防火牆是IP必須屬於介面,介面必須屬於一個zone,zone必須屬於一個vroute,
默認都是在一個trust-vr裡面,
說白了就是這三個zone裡面的路由都是在trust-vr這個虛擬路由器裡面,是一張大的路由表,
如果需要做負載均衡和多鏈路,就必須創建多個VR,也就是多張路由表。
⑸ 如何通過Juniper防火牆設置網路連接
大概分以下幾個步驟:
1.管理電腦:把用作配置設備的電腦配製成192.168.1.x/255.255.255.0的地址(192.168.1.1除外),用網線連接電腦以及設備的後四個介面(從左向右數)中任意一個,打開IE瀏覽器,輸入http://192.168.1.1,使用賬號netscreen,口令netscreen登錄,進入管理界面;
2.到network-interface中給外介面「untrust」配置IP地址,如果是ADSL撥號,則需要先到network-pppoe中設置一個pppoe撥號的實例,這個實例中只需填寫adsl撥號的賬號和口令即可,然後再到network-interface-untrust下去調用這個pppoe實例;
3.如果是出廠狀態下的設備,只需做上面一步就行了,因為地址轉換和策略都是默認就有的,路由會在adsl撥號成功後自動生成。上面設置完畢,將電腦和設備連接好,電腦IP配置為192.168.1.x,子網掩碼255.255.255.0,默認網關192.168.1.1,DNS配置為當地ISP的DNS地址,即可實現上網了。
4.如果上面還搞不定,可以到我的博客上找些Juniper設置的資料:
http://blog.sina.com.cn/s/blog_65daf4720100he3h.html
可以到下面鏈接現在Juniper中文操作手冊:
http://blog.sina.com.cn/s/blog_65daf4720100hdjc.html
⑹ JUNIPER配置手冊上的這些用命令行怎麼敲要具體一點,本人剛接觸juniper,所以要詳細點
set interfaces fe-0/0/0 description to-RG6808-4/5 -------------給介面fe-0/0/0加描述
set interfaces fe-0/0/0 vlan-tagging -------------給介面fe-0/0/0打標記
set interefaces fe-0/0/0 unit 11 vlan-id 11 family inet address 10.10.11.2/24 --------------將介面fe-0/0/0.11加入vlan11里,並設置ip地址
set interefaces fe-0/0/0 unit 12 vlan-id 11 family inet address 10.10.12.2/24 --------------將介面fe-0/0/0.12加入vlan12里,並設置ip地址
⑺ juniper防火牆 怎麼用命令重啟
在控制台CONSOL連接情況下先掛起防火牆,命令reset—>unset,可以錯位試一下,先重設再重啟即可。
在reset重啟後登入netscreen ,密碼:netscreen,然後自己慢慢重設所要的配置。
還可以用條形碼登入方式,但要先備份一下防火牆上的所有配置,包括策略和NAT、VIP、DIP、MIP之類的。這是出廠初始化。然後重啟即可。
⑻ juniper防火牆命令 qset vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
應該是 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 set前面沒有q吧。
意思是在trust-vr 虛擬路由表中添加一條默認路由,從eth3口出去下一跳給1.1.1.250
netscreen 路由表分為 trust-vr 和 untrust-vr兩個虛擬路由表。兩個路由表的路由是相互隔離的。
想要具體資料留下郵箱
⑼ 如何通過Juniper防火牆設置網路連接
大概分以下幾個步驟: 1.管理電腦:把用作配置設備的電腦配製成192.168.1.x/255.255.255.0的地址(192.168.1.1除外),用網線連接電腦以及設備的後四個介面(從左向右數)中任意一個,打開IE瀏覽器,輸入http://192.168.1.1,使用賬號netscreen,口令netscreen登錄,進入管理界面; 2.到network-interface中給外介面「untrust」配置IP地址,如果是ADSL撥號,則需要先到network-pppoe中設置一個pppoe撥號的實例,這個實例中只需填寫adsl撥號的賬號和口令即可,然後再到network-interface-untrust下去調用這個pppoe實例; 3.如果是出廠狀態下的設備,只需做上面一步就行了,因為地址轉換和策略都是默認就有的,路由會在adsl撥號成功後自動生成。上面設置完畢,將電腦和設備連接好,電腦IP配置為192.168.1.x,子網掩碼255.255.255.0,默認網關192.168.1.1,DNS配置為當地ISP的DNS地址,即可實現上網了。 4.如果上面還搞不定,可以到我的博客上找些Juniper設置的資料: http://blog.sina.com.cn/s/blog_65daf4720100he3h.html 可以到下面鏈接現在Juniper中文操作手冊: http://blog.sina.com.cn/s/blog_65daf4720100hdjc.html