1. juniper防火牆命令 qset vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250
應該是 set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 set前面沒有q吧。
意思是在trust-vr 虛擬路由表中添加一條默認路由,從eth3口出去下一跳給1.1.1.250
netscreen 路由表分為 trust-vr 和 untrust-vr兩個虛擬路由表。兩個路由表的路由是相互隔離的。
想要具體資料留下郵箱
2. juniper與mpls/vpn相關的命令
show route forwarding-table。forwarding-table是最終要下發到pfe的轉發表,不分logical-system還是base system。show route forwarding-table裡面能看到所有logical-system的轉發表。看logical-system的路由表是show route logical-system abc。
show route protocol bgp 如果想看收到的所有路由show route recieve-protocol bgp 1.2.3.4
show route table mpls.0/inet.3/bgp.l3vpn.0
allow-as-in沒有對應的Junos配置,因為Cisco的as-path sanity check是在收端做的,所以收端可能看到自己的local as number出現在as-path裡面,從而需要allow-as-in。Junos的sanity check是在發端做的,如果發端發現as-path裡面出現對端的as number,就不發出去,除非強制用as-override解決。
有一個把IOS配置翻譯成Junos配置的工具:I2J
https://i2j.juniper.net/release/index.jsp (需要一個Juniper賬號)
使用方法:
http://kb.juniper.net/InfoCenter/index?page=content&id=KB13220&actp=search&viewlocale=en_US&searchid=1373439888363
3. juniper 交換機配置完後,保存配置的命令是什麼
junos系統 提交配置命令 commit
NS系統 保存配置命令 save
4. Juniper-Junos的基本操作命令記錄
1. 進入junos
剛進入的時候在Linux環境下
輸入cli命令可以進入查看配置的環境(操作模式)
輸入configure就可以進去全局配置(配置模式)
ping
mtrace
traceroute
help
簡略查看介面信息
show interfaces terse
查看較為詳細介面
show interfaces brief
查看比較詳細介面
show interfaces detail
查看很詳細介面
show interfaces extensive
show interfaces | match fe-0/0/0
查看幫助
help reference apropos security
查看arp能使用的命令
help apropos arp
---------------------------------
shell 模式(默認)
排除模式 configure exclusive 只能我改
私有模式 最後配置完成寫入磁碟保存,會覆蓋之前別人配置的信息
傳統set設置
set interfaces fe-0/0/0.0 family inet address 1.1.1.1/24
這兩個上下等價
set interfaces fe-0/0/0 unit 0 family inet address 1.1.1.1/24
show interfaces fe-0/0/0.0 family inet address 1.1.1.1/24
使用Edit配置
edit interfaces
show
edit fe-0/0/0.0
show
set address 1.1.1.2/24
delete address 1.1.1.1/24
使用edit模式的時候,可以使用up命令向上一級退出
刪除某一個介面的所有IP地址
delete interfaces fe-0/0/0.0
通配符匹配刪除
wildcard delete interfaces fe-0/0/*
rename
replace
interfaces fe-0/0/0 to fe-0/0/1
show security
show | display set 這個是刷配置,批量一鍵操作
加run這個命令就可以在操作模式臨時操作
run show interfaces terse
清除配置
delete vlan
delete security
最基本的提交配置命令
commit root默認沒有密碼提交不了配置
設置root密碼
set system root-authentication plain-text-password
敲擊回車輸入兩次密碼即可
查看提交配置和當前運行配置的差別
show | compare
查看可恢復的配置
注意:使用load factory-default 命令恢復出廠設置
使用rollback進行回滾
rollback 後面打問號,看看有幾次可以回滾的序號
清除未被提交的配置
clear system commit
為提交的配置進行說明
commit comment "All-Clear"
查看提交配置的說明(便於快速找到希望恢復的配置)
show system commit
確認提交配置命令
十分鍾之內不對配置進行確認,自動恢復提交之前的配置
commit confirmed
確認並且退出
commit and-quit
設置主機名
set system host-name ys-sec
設置dns伺服器
set system name-server 8.8.8.8
查看時間
show system uptime
設置時區
set system time-zone Asia/Chongqing
手動設置時間
set date 202007161800.00
設置與查看NTP
set system ntp server 202.101.1.1
show ntp associations
show ntp status
重啟系統
request system reboot
關閉系統
request system power-off
CLI切換到OS
start shell
OS切換到CLI
cli
創建普通用戶
edit system login user secys
set class super-user authentication plain-text-password
然後設置密碼即可
用戶名:secys
commit
commit confirmed
四種用戶class類型
operator
read-only
super-user
unauthorized
恢復root密碼
重啟juniper
看到如下信息開始按空格
Hit [Enter] to boot immediately , or space bar for command prompt
loader>boot -s
RETURN for /bin/sh: recovery
root>
此時可以進入配置模式,設置密碼
進入系統服務配置模式
edit system services
啟用ssh管理
set ssh
set ssh root-login deny (拒絕root通過ssh登錄)
啟用telnet管理
set telnet
啟用http管理
set web-management http interface vlan.0
啟用https管理
set web-management https interface vlan.0
set web-management https system-generated-certificate
查看版本
show version
查看授權
show system license
載入授權信息
request system license add terminal
粘貼授權信息,然後Ctrl+D
查看系統利用率
show system processes extensive
重啟系統進程
restart chassis-control gracefully
5. juniper路由器具體怎麼設置,詳細的來
Juniper SSG-5(NS-5GT)防火牆配置手冊
初始化設置 2
Internet網路設置 6
一般策略設置 15
VPN連接設置 27
初始化設置
1.將防火牆設備通電,連接網線從防火牆e0\2口連接到電腦網卡。
2.電腦本地連接設置靜態IP地址,IP地址192.168.1.2(在192.168.1.0/24都可以),子網掩碼255.255.255.0,默認網關192.168.1.1,如下圖:
3.設置好IP地址後,測試連通,在命令行ping 192.168.1.1,如下圖:
4.從IE瀏覽器登陸防火牆web頁面,在地址欄輸入192.168.1.1,如下圖向導選擇最下面No, skip——,然後點擊下面的Next:
5.在登錄頁面輸入用戶名,密碼,初始均為netscreen,如下圖:
6.登陸到web管理頁面,選擇Configuration – Date/Time,然後點擊中間右上角Sync Clock With Client選項,如下圖:
7.選擇Interfaces – List,在頁面中間點擊bgroup0最右側的Edit,如下圖:
8.此埠為Trust類型埠,建議IP設置選擇Static IP,IP Address輸入規劃好的本地內網IP地址,如192.168.22.1/24,Manage IP 192.168.22.1。之後勾選Web UI,Telnet,SSH,SNMP,SSL,Ping。如下圖:
Internet網路設置
1.修改本地IP地址為本地內網IP地址,如下圖:
2.從IE瀏覽器打開防火牆web頁面,輸入用戶名密碼登陸,如下圖:
3.選擇Interfaces – List,點擊頁面中ethernet0/0最右側的Edit選項,如下圖:
4.此埠為Untrust類型埠,設置IP地址有以下三種方法:(根據ISP提供的網路服務類型選擇)
A.第一種設置IP地址是通過DHCP端獲取IP地址,如下圖:
B.第二種設置IP地址的方法是通過PPPoE撥號連接獲取IP,如下圖,然後選擇Create new pppoe setting,
在如下圖輸入本地ADSL pppoe撥號賬號,PPPoE Instance輸入名稱,Bound to Interface選擇ethernet0/0,Username和Password輸入ADSL賬號密碼,之後OK,如下圖:
PPPoE撥號設置完畢之後,點擊Connect,如下圖:
回到Interface – List,可以看到此撥號連接的連接狀態,如下圖:ethernet0/0右側PPPoE一欄有一個紅叉,表示此連接已經設置但未連接成功,如連接成功會顯示綠勾。
C.第三種設置IP地址方法是設置固定IP地址,如下圖:選擇Static IP,輸入IP地址和Manage IP:10.10.10.1/30,勾選Web UI,Telnet,SSH,然後點OK。
設置之後顯示如下圖:
設置靜態IP地址之後,需要設置一個路由下一跳才能正常使用,選擇Routing – Destination,點擊右上角New,如下圖:
IP Address/Newmask設置0.0.0.0/0,Next Hop選擇Gateway,Interface選擇ethernet0/0,Gateway IP Address輸入ISP網關地址,此處例如為:10.10.10.2,如下圖:
設置完路由如下圖:
5.設置DNS伺服器(如果是DHCP或PPPoE可能無需設置此項),選擇Network – DNS – Host,在如下圖可以輸入主機名稱和DNS伺服器地址。
6.設置本地內網DHCP功能,選擇Network – DHCP,如下圖:點擊bgroup0右側的Edit
7.選擇DHCP Server,其他默認即可,如下圖:
8.設置之後顯示如下圖,還未分配地址池,
9.再選擇Network – DHCP,點擊Address,出現如下圖,輸入分配地址池:
10.設置完成之後如下圖:
一般策略設置
1.首先可以指定IP地址,根據IP地址作策略,選擇Policy – Policy Elements – Addresses – List,然後在中間頁面選擇Trust,然後點擊New,如下圖:
2.在Address Name為指定IP地址設置識別名稱,然後在下面輸入具體IP,如下圖:
3.設置之後如下圖:
4.再設置一個指定IP地址,如下圖:
5.設置之後兩個都可以顯示出來,如下圖:
6.設置多個指定IP組,選擇Policy – Policy Elements – Addresses – Groups,如下圖:中間頁面的Zone選擇Trust,點擊右側的New。
7.為此IP組起識別名稱,下面將需要加入組的IP添加到組里,點OK,如下圖:
8.根據需求可以自定義服務,選擇Policy – Policy Elements – Services – Customs,如下圖:點擊右側New
9.輸入此自定義服務的識別名稱,然後下面可以選擇服務類型和服務埠,如下圖:
10.設置完之後如下圖:
11.定製多個服務組,選擇Policy – Policy Elements – Services – Groups,點擊頁面中間右側的New,如下圖:
12.為此定製服務組設置識別名稱,將需要的服務添加進入,點擊OK。
13.設置完成之後如下圖:
14.策略設置,此處可以直接使用之前設置的指定IP地址(組),自定義服務(組)。選擇Policy – Polices,如下圖:選擇From Untrust to Trust(可根據需要修改),點擊右側New,
15.如也可以設置From Trust to Untrust,如下圖:
16.策略設置頁面如下圖,設置名稱,選擇源地址和目的地址,服務類型等,最後選擇允許還是拒絕。
17.設置之後如下圖:
18.也可以設置一個全拒絕的策略,如下圖:
19.設置之後如下圖:
20.可以點擊ID為1的策略右側的雙箭頭符號,出現腳本提示點確定,
21.這樣可以把ID為1的策略放到下面,如下圖策略含義為從Trust口到Untrust口的流量中,來自IT組的IP地址到任意目的地,服務類型屬於CTG-APP中的流量允許通過,其他所有流量都拒絕。
22.可以為策略設置時間表,選擇Policy – Scheles,如下圖:點擊New
23.輸入時間表名稱worktime,設置周期時間。
24.設置之後如下圖:
VPN連接設置
設置VPN網路連接,根據具體情況有多種方法可選:
A.方法一,通訊雙方埠均為靜態IP地址,配置如下:
1.設置對端網關信息,和本地Local ID(可選),如下圖:IP地址為對端公網IP,之後點擊Advanced
2.Preshared Key輸入一串共享密鑰,對端需要設置同樣密鑰才可成功連接,其他默認即可,點擊下面OK
3.設置雙端IKE VPN埠認證,選擇VPNs – AutoKey IKE,輸入VPN名稱,之後Predefined選擇已經設置好的Gateway,之後點Advanced,裡面設置logging即可,之後點OK。
4.設置完成之後顯示如下圖:
5.設置VPN連接策略,選擇Policy – Polices,From Trust to Untrust,點擊右側New,之後在如下頁面輸入源地址,目的地址,服務類型,Action選擇Tunnel,Tunnel VPN選擇設置好的VPN IKE,下面勾選Modify matching bidirectional VPN policy,勾選Logging,勾選Position at Top,之後點Advanced
6.在下面勾選Counting,其他默認,點擊OK,
7.設置完策略如下圖:
B.方法二,通訊雙方有一個埠為靜態IP地址,另一個埠IP地址為動態。
1.如果本地IP為ADSL,IP地址會發生變化,則需要使用Local ID設置Gateway,選擇VPNs – AutoKey Advanced – Gateway,輸入對端公網IP地址,選擇ACVPN-Dynamic,Local ID輸入本地名稱(如bj)
2.則對端設置Gateway時,需要如下圖設置,不輸入對端IP地址,選擇Dynamic IP
Address,Peer ID輸入對端Local ID(如bj)。之後步驟同方法一中的2-7步驟。
C.通過向導設置VPN連接
1.選擇Wizards – Router-based,出現如下圖向導頁面,選擇源埠和目的埠類型
2.選擇Make new tunnel interface,選擇ethernet0/0 (trust-vr),選擇Next
3.選擇LAN-to-LAN,如下圖:
4.根據通訊雙方埠類型,如靜態,動態IP地址,選擇下面類型,如Local Static IP – Remote Static IP
5.輸入對端公網IP地址,如192.168.25.1
6.選擇通道加密類型,之後下面輸入通訊密鑰,雙方埠要求一致
7.選擇或者輸入源地址和目的地址
8.選擇服務類型和策略雙向通訊
9.根據需要可以設置帶寬限制,默認為不做限制
10.根據需要是否選擇定製好的Schele應用到此VPN策略
11.向導設置完畢,明細如下表:
12.配置確認。點擊Finish完成。
13.根據向導做完VPN策略後,可以在路由表中看到自動添加了一條路由,選擇Network – Routing – Destination,Interface為tunnel 1,說明此為向導製作的VPN鏈路。
6. juniper如何配置埠描述
Juniper ScreenOS的介面,不支持description參數。配置三層介面一般情況下,執行以下幾條命令:
1.設定介面所屬安全域
set inter g0/2/2 trust(或其它zone)
2.設定介面IP地址、掩碼
set inter g0/2/2 ip X.X.X.X/X(或X.X.X.X X.X.X.X)
3.設定介面的管理選項
set inter g0/2/2 manage telnet(ping web ssl 等,此處留空,意味著開啟所有服務選項)
4.命令行下執行完命令別忘記保存
save
在Web頁面下,直接到Network-Interface下設置各介面的屬性。
ScreenOS最新版本的中文操作手冊,可到「成捷迅技術服務中心博客」或「成捷迅技術論壇」中下載:http://blog.sina.com.cn/s/blog_65daf4720100hdjc.html
7. juniper防火牆 怎麼用命令重啟
在控制台CONSOL連接情況下先掛起防火牆,命令reset—>unset,可以錯位試一下,先重設再重啟即可。
在reset重啟後登入netscreen ,密碼:netscreen,然後自己慢慢重設所要的配置。
還可以用條形碼登入方式,但要先備份一下防火牆上的所有配置,包括策略和NAT、VIP、DIP、MIP之類的。這是出廠初始化。然後重啟即可。
8. 用什麼命令查看juniper交換機全部的配置
操作模式下面:前面為>
show configuration | display set
配置模式下面:前面為#
show | display set
9. juniper 防火牆命令行配置詳解
虛擬路由器,
防火牆是IP必須屬於介面,介面必須屬於一個zone,zone必須屬於一個vroute,
默認都是在一個trust-vr裡面,
說白了就是這三個zone裡面的路由都是在trust-vr這個虛擬路由器裡面,是一張大的路由表,
如果需要做負載均衡和多鏈路,就必須創建多個VR,也就是多張路由表。