⑴ juniper路由器具体怎么设置,详细的来
Juniper SSG-5(NS-5GT)防火墙配置手册
初始化设置 2
Internet网络设置 6
一般策略设置 15
VPN连接设置 27
初始化设置
1.将防火墙设备通电,连接网线从防火墙e0\2口连接到电脑网卡。
2.电脑本地连接设置静态IP地址,IP地址192.168.1.2(在192.168.1.0/24都可以),子网掩码255.255.255.0,默认网关192.168.1.1,如下图:
3.设置好IP地址后,测试连通,在命令行ping 192.168.1.1,如下图:
4.从IE浏览器登陆防火墙web页面,在地址栏输入192.168.1.1,如下图向导选择最下面No, skip——,然后点击下面的Next:
5.在登录页面输入用户名,密码,初始均为netscreen,如下图:
6.登陆到web管理页面,选择Configuration – Date/Time,然后点击中间右上角Sync Clock With Client选项,如下图:
7.选择Interfaces – List,在页面中间点击bgroup0最右侧的Edit,如下图:
8.此端口为Trust类型端口,建议IP设置选择Static IP,IP Address输入规划好的本地内网IP地址,如192.168.22.1/24,Manage IP 192.168.22.1。之后勾选Web UI,Telnet,SSH,SNMP,SSL,Ping。如下图:
Internet网络设置
1.修改本地IP地址为本地内网IP地址,如下图:
2.从IE浏览器打开防火墙web页面,输入用户名密码登陆,如下图:
3.选择Interfaces – List,点击页面中ethernet0/0最右侧的Edit选项,如下图:
4.此端口为Untrust类型端口,设置IP地址有以下三种方法:(根据ISP提供的网络服务类型选择)
A.第一种设置IP地址是通过DHCP端获取IP地址,如下图:
B.第二种设置IP地址的方法是通过PPPoE拨号连接获取IP,如下图,然后选择Create new pppoe setting,
在如下图输入本地ADSL pppoe拨号账号,PPPoE Instance输入名称,Bound to Interface选择ethernet0/0,Username和Password输入ADSL账号密码,之后OK,如下图:
PPPoE拨号设置完毕之后,点击Connect,如下图:
回到Interface – List,可以看到此拨号连接的连接状态,如下图:ethernet0/0右侧PPPoE一栏有一个红叉,表示此连接已经设置但未连接成功,如连接成功会显示绿勾。
C.第三种设置IP地址方法是设置固定IP地址,如下图:选择Static IP,输入IP地址和Manage IP:10.10.10.1/30,勾选Web UI,Telnet,SSH,然后点OK。
设置之后显示如下图:
设置静态IP地址之后,需要设置一个路由下一跳才能正常使用,选择Routing – Destination,点击右上角New,如下图:
IP Address/Newmask设置0.0.0.0/0,Next Hop选择Gateway,Interface选择ethernet0/0,Gateway IP Address输入ISP网关地址,此处例如为:10.10.10.2,如下图:
设置完路由如下图:
5.设置DNS服务器(如果是DHCP或PPPoE可能无需设置此项),选择Network – DNS – Host,在如下图可以输入主机名称和DNS服务器地址。
6.设置本地内网DHCP功能,选择Network – DHCP,如下图:点击bgroup0右侧的Edit
7.选择DHCP Server,其他默认即可,如下图:
8.设置之后显示如下图,还未分配地址池,
9.再选择Network – DHCP,点击Address,出现如下图,输入分配地址池:
10.设置完成之后如下图:
一般策略设置
1.首先可以指定IP地址,根据IP地址作策略,选择Policy – Policy Elements – Addresses – List,然后在中间页面选择Trust,然后点击New,如下图:
2.在Address Name为指定IP地址设置识别名称,然后在下面输入具体IP,如下图:
3.设置之后如下图:
4.再设置一个指定IP地址,如下图:
5.设置之后两个都可以显示出来,如下图:
6.设置多个指定IP组,选择Policy – Policy Elements – Addresses – Groups,如下图:中间页面的Zone选择Trust,点击右侧的New。
7.为此IP组起识别名称,下面将需要加入组的IP添加到组里,点OK,如下图:
8.根据需求可以自定义服务,选择Policy – Policy Elements – Services – Customs,如下图:点击右侧New
9.输入此自定义服务的识别名称,然后下面可以选择服务类型和服务端口,如下图:
10.设置完之后如下图:
11.定制多个服务组,选择Policy – Policy Elements – Services – Groups,点击页面中间右侧的New,如下图:
12.为此定制服务组设置识别名称,将需要的服务添加进入,点击OK。
13.设置完成之后如下图:
14.策略设置,此处可以直接使用之前设置的指定IP地址(组),自定义服务(组)。选择Policy – Polices,如下图:选择From Untrust to Trust(可根据需要修改),点击右侧New,
15.如也可以设置From Trust to Untrust,如下图:
16.策略设置页面如下图,设置名称,选择源地址和目的地址,服务类型等,最后选择允许还是拒绝。
17.设置之后如下图:
18.也可以设置一个全拒绝的策略,如下图:
19.设置之后如下图:
20.可以点击ID为1的策略右侧的双箭头符号,出现脚本提示点确定,
21.这样可以把ID为1的策略放到下面,如下图策略含义为从Trust口到Untrust口的流量中,来自IT组的IP地址到任意目的地,服务类型属于CTG-APP中的流量允许通过,其他所有流量都拒绝。
22.可以为策略设置时间表,选择Policy – Scheles,如下图:点击New
23.输入时间表名称worktime,设置周期时间。
24.设置之后如下图:
VPN连接设置
设置VPN网络连接,根据具体情况有多种方法可选:
A.方法一,通讯双方端口均为静态IP地址,配置如下:
1.设置对端网关信息,和本地Local ID(可选),如下图:IP地址为对端公网IP,之后点击Advanced
2.Preshared Key输入一串共享密钥,对端需要设置同样密钥才可成功连接,其他默认即可,点击下面OK
3.设置双端IKE VPN端口认证,选择VPNs – AutoKey IKE,输入VPN名称,之后Predefined选择已经设置好的Gateway,之后点Advanced,里面设置logging即可,之后点OK。
4.设置完成之后显示如下图:
5.设置VPN连接策略,选择Policy – Polices,From Trust to Untrust,点击右侧New,之后在如下页面输入源地址,目的地址,服务类型,Action选择Tunnel,Tunnel VPN选择设置好的VPN IKE,下面勾选Modify matching bidirectional VPN policy,勾选Logging,勾选Position at Top,之后点Advanced
6.在下面勾选Counting,其他默认,点击OK,
7.设置完策略如下图:
B.方法二,通讯双方有一个端口为静态IP地址,另一个端口IP地址为动态。
1.如果本地IP为ADSL,IP地址会发生变化,则需要使用Local ID设置Gateway,选择VPNs – AutoKey Advanced – Gateway,输入对端公网IP地址,选择ACVPN-Dynamic,Local ID输入本地名称(如bj)
2.则对端设置Gateway时,需要如下图设置,不输入对端IP地址,选择Dynamic IP
Address,Peer ID输入对端Local ID(如bj)。之后步骤同方法一中的2-7步骤。
C.通过向导设置VPN连接
1.选择Wizards – Router-based,出现如下图向导页面,选择源端口和目的端口类型
2.选择Make new tunnel interface,选择ethernet0/0 (trust-vr),选择Next
3.选择LAN-to-LAN,如下图:
4.根据通讯双方端口类型,如静态,动态IP地址,选择下面类型,如Local Static IP – Remote Static IP
5.输入对端公网IP地址,如192.168.25.1
6.选择通道加密类型,之后下面输入通讯密钥,双方端口要求一致
7.选择或者输入源地址和目的地址
8.选择服务类型和策略双向通讯
9.根据需要可以设置带宽限制,默认为不做限制
10.根据需要是否选择定制好的Schele应用到此VPN策略
11.向导设置完毕,明细如下表:
12.配置确认。点击Finish完成。
13.根据向导做完VPN策略后,可以在路由表中看到自动添加了一条路由,选择Network – Routing – Destination,Interface为tunnel 1,说明此为向导制作的VPN链路。
⑵ juniper 交换机配置完后,保存配置的命令是什么
junos系统 提交配置命令 commit
NS系统 保存配置命令 save
⑶ Juniper - EX系列交换机
EX 系列交换机产品包括几个系列:
EX4200以太网交换机
1.Console Port: 控制台接口。交换机可以通过RJ-45接头连接到后面板的RS-232串行接口来进行配置。一台电脑可以直接连接到控制台端口并使用一个终端仿真程序来配置交换机。(我们使用它进行PC连接到此交换机)
此时仿真软件应该使用一下参数进行配置:
9600 波特率,8个数据位,无奇偶校验,1个停止位,无流控。
2.管理端口(Management Ethernet Port):简称MGMT,这是一个专用的后面板以太网RJ-45端口,位于控制台端口的左边,可用于带外(out-of-band, OOB)交换机管理。该自适应端口可以支持 10/100/1000BASE-T 连接。端口旁的两个LED显示链路活动和端口状态。管理端口需要配置一个IP地址和子网掩码来用于交换机管理和部署。
3.USB接口:存储设备如闪存驱动器可以通过后面板的USB端口直接连接到EX4200和EX3200交换机。USB闪存驱动器(俗称U盘)可用于存储和上传配置文件或者Junos软件。
4.集群交换端口(Virtual Chassis port, VCP):后面板的两个集群交换端口使得EX4200交换机可以通过专用的128Gbps高速集群交换背板互连。在配线架或者柜顶数据中心应用中部署的邻近交换机可以很容易使用集群交换线缆进行连接。
EX4200-48T 前面板
EX4200 交换机的前面板包括液晶面板,可选的上行模块插槽,以及多达48个网络端口。EX3200系列以太网交换机也有相同的特性。
液晶面板:
悲观液晶面板显示交换机的各种信息,包括引导过程中的主要阶段,交换机的主机名,交换机在集群交换配置中的角色以及交换机的当前状态。液晶面板还提供了一个菜单,用于执行一些基本操作,如交换机初始配置和重启等。
液晶按钮和状态指示灯:
液晶面板旁边的LED和按钮允许你快速了解交换机状态并执行基本操作。顶部为‘Menu’的按钮使你快速了解交换机状态并执行基本操作。顶部名为‘Menu’的按钮使你可以在若干面板菜单之间循环。底部名为‘Enter’的按钮你可以确认选择。
状态指示灯:
液晶按钮旁边,用不同的颜色来报告交换机状态。
上行模块:一个可选的现场可更换单元(field-replaceable unit, FRU)接口上行模块可以安装在位于EX4200或EX3200交换机右下角的插槽中。通过上行模块可以连接高速骨干或者实现在配线间与上游汇聚交换机之间的链路聚合连接。可以支持的模块包括:
使用SFP收发器,提供四个千兆以太网(GbE)端口。
使用XFP收发器,提供2个万兆以太网(10GbE)端口。
使用SFP+收发器,可配置为4个千兆以太网或两个万兆以太网端口。
网络接口:以太EX4200交换机在前面板有24或48个 10/100/1000BASE-T 以太网端口,通常用于连接主机。EX4200系列也有提供24个 100BASE-FX/1000BASE-X SFP 端口的型号。
EX 系列交换机可以通过Junos命令行界面(CLI)或者基于Web的界面(如Juniper网络设备管理器J-Web)来管理。可以通过两种方式访问CLI:带内或带外。
请前往 www.juniper.net/dayone
参阅《Day One: Exploring the Junos CLI》以获取如何登录到网络设备的详细步骤。
带内(In-Band)管理:
可以使用前面板的网络端口来管理和配置交换机。无论选择这种方法是处于便利还是仅仅为了遵从公司正常,带内管理值需要很少的前期配置。
这种方法不需要创建或使用一个独立的网络子网,只需要使用已分配并配置给网络端口的IP地址,以及连接管理电脑。带内管理仅当交换机启动,初始化并正确配置后才可以使用。
带外(Out-Of-Band)管理:
后面板的控制台或管理以太网端口可用于对交换机进行带外管理。
当使用控制台端口时,唯一的要求是电脑安装了终端仿真软件,且经过适当配置用于控制台访问。
如果你想使用管理端口,那么类似于带内管理,最小的配置需要一个有效的IP地址和子网掩码。
默认情况下,EX系列交换机可以使用用户名root登录,无需密码。
J-Web管理:
瞻博网络设备管理器(J-Web)是一个图形用户界面(GUI),你可以使用它来管理交换机。使用J-Web就像在典型的Web浏览器中一样,能够进行导航界面,滚动页面,展开和折叠单元等。
J-Web界面提供GUI工具来完成通过 Junos CLI 能执行的所有任务,包括一个CLI查看器来查看当前配置,一个CLI编辑器来查看和修改配置,以及"点击"CLI编辑器在所有可用的CLI语句中导航。
上面讨论了控制EX系列交换机的不同方式。采用哪种方式取决于你的偏好,没有哪种一定是正确或错误的。Junos提供了多种方法来初始化配置和部署你的EX系列以太网交换机。
瞻博网络公司的EX4200系列以太网交换机提供集群交换技术,允许多达10台EX4200交换机互连作为单台高带宽设备运作。交换机(或者集群交换的成员)互连的方式可以是通过每个交换机后面板的专用集群交换端口,可选的上行模块端口或者EX4200-24F交换机配置为集群交换接口的SFP光接口。
在一个集群交换配置中部署的所有EX4200以太网交换机是被作为单个的逻辑设备来进行管理和监测的。这种方法大大简化了网络运营,允许将分散在不同的位置的物理设备进行逻辑分组,提供了资源的有效利用。
本章介绍如何使用不同的互联方法构成集群交换配置,以及集群交换接口设计时的考虑。
集群交换配置
EX4200交换机支持以多种方式作为集群交换的一部分进行部署:在单个机架中,跨多个机架,在单个配线间以至跨越不同楼层或者不同楼宇的配线间。
有两种类型的物理集群交换配置。一种被称为‘专用配置’,表示邻接的交换机使用它的后面板的集群交换端口通过专用的集群交换端口线缆互连。
集群交换配置可以被扩展。这是通过将可选的上行端口或EX4200-24F交换机前面板的SFP光口配置为集群交换端口来完成的。 这样做可以使得两台直连的成员交换机之间有更远的距离 。通过千兆或万兆端口互连的集群交换配置被称为‘扩展配置’。
在集群交换配置中进行交换机互连有三种基本的布线选项:句话链环,编制环和扩展集群交换配置。
最佳实践:集群交换技术并不需要线缆连接为环路。然而我们强烈建议采用闭合的环形结构以提供更高的可靠性。
菊花链环配置:(没有交叉)
在菊花链环配置中,集群交换配置中的每个成员都与其相邻的成员连接,位于配置两端的成员使用长线缆来完成环形拓扑结构。
下面的示例提供了一个简单而又直观的设备互连方法:
编织环配置:(有交叉)
在采用专用集群交换线缆来构造集群交换时,你也可以使用编制环布线方法。
在编制环布线配置中,成员都是交替相连的,两端的两个成员对直接连接到对方完成环拓扑。
扩展配置:
对于扩展配置,集群交换的成员会分布在一个地理区域内。成员之间可以通过可选的千兆或万兆以太网上行链路模块相连,或者通过EX4200-24F前面板的 SFP光口 互连。端口被配置为集群交换端口,这样互连的交换机被认为是统一个交换机群的成员。多条链路可以被用于扩展配置一增加贷款和提供路径冗余。
注意:从Junos 9.6开始,扩展集群交换连接可以被捆绑为单个的逻辑组,以提供更多的集群交换带宽。
使用下面的CLI命令来讲可选的千兆或者万兆以太网上行端口配置为扩展集群交换端口:
为了给各种不同的环境提供更大的灵活性,可以组合使用专用和扩展集群交换连接来构造交换集群。
集群交换端口命名:
在每台EX4200的后面板上有两个专用的集群交换接口,分别叫做 VCP0 和 VCP1 。
当使用专用集群交换线缆来连接这些接口时,它们是默认启用的。集群交换端口没有端口号的依赖性,例如: VCP0 可以与集群交换中另一个成员交换机的VCP0或者VCP1相连接。
集群交换中每个成员交换机的网络端口编号为 x/y/z ,其中:
x 是交换机的成员编号。
y 是端口接口控制器(port interface controller, PIC)的编号。网络端口总是在PIC0上,上行模块总是在PIC1。
x 是在上行或网络端口PIC上的端口号。
例如:端口号 0/1/3 表示在集群交换配置中的第一个( 0 )成员交换机的上行模块(PIC编号1)上的第四个端口(端口号从0开始):
集群交换成员角色:
每个集群交换配置中的成员都被分配一个特定的角色,这决定它所执行的职能。在一个集群交换配置中,一个成员被指定为主控或路由引擎(RE)的角色,并负责管理在集群交换配置中的其他成员;第二个成员被指定为备份角色(BK),当主控交换机故障时接替主控角色;所有其他成员都被指定为线卡角色(LC)。系统执行一个主控权选举算法以确定成员的角色。
出厂默认配置:
使用下面方式之一来加载出厂默认配置:
1.使用一下配置模式CLI命令:
然后遵照提示配置root密码,并提交更改:
2.使用交换机上的LCD菜单:
按液晶面板旁边的Menu按钮,直至Maintenance Menu出现
按Enter键选择按Maintenance Mene
按Menu按钮,直至Load Factory菜单出现
按Enter选择
当实体时再次按Enter确认
为集群交换配置指定IP地址:
集群交换配置是作为单个的逻辑网元来进行管理的,因此它只有一个配置在虚拟管理以太网(Virtual Management Ethernet, VME)接口上的管理IP地址。
VME接口是一个逻辑IP接口,它与集群交换的内部管理VLAN相关联,该VLAN连接集群交换配置中所有成员交换机的管理以太网接口。可以使用下面的CLI配置来指定其IP地址:
为了获得更好的可靠性,我们建议为VME而不是个别的管理以太网接口(me0)配置管理IP地址。
同步集群交换成员:
每当主控交换机上的配置被更改时,应该将其传播到集群交换配置中的所有其他交换机。要做到这一点,请使用下面的配置模式CLI命令:
使用CLI命令监测操作:
集群交换配置可以使用CLI命令来检测。可以显示集群交换配置中所有成员或某个额定成员的信息。要查看在集群交换配置中的所有成员的详细资料:
网络架构的层次
一旦了解了集群交换技术的细节,你可能想知道在哪里可以实际部署一个集群交换配置。但是首先我们要讲述一些基本的网络角色。
企业局域网架构可能跨域三个层次,从将最终用户交换机和设备连接到配线间交换机的接入层到位于大型企业局域网中心的核心层。这种层次化的拓扑将网络分段为物理上的构件,简化了操作并提高了可用性。层次化基础设施内的每个层面都有其特定的作用:
本书讲述三层的局域网设计,虽然在特别小的园区或分支机构中你可以通过将汇聚层和核心层合并来实现一个两层的设计。
接入层:
接入层通过将各种设备连接到局域网来提供网络用户的网络连接,这些设备包括PC,网络打印机,IP话机和以太网供电(Power over Ethernet, PoE)摄像头等。接入层交换机通常部署在位于各个建筑物或设施的每个楼层的配线柜。
局域网供电需要以太网供电交换机提供出来。
典型的局域网使用虚拟局域网(Virtual Local Area Network, VLAN)来讲位于接入层的用户,设备或数据进行逻辑分组到逻辑网络中,这是通过软件配置而不是搬迁局域网中的设备来实现的。VLAN有助于解决如扩展性,安全性和网络管理等问题。
无论是24或者48个 10/100/1000BASE-T 端口或24个 100BASE-FX/1000BASE-X 端口的型号,支持集群交换技术的EX4200以太网交换机可以作为接入层解决方案。EX4200以太网交换机的独特优势之一是它的与时俱进设计,你可以从单台的EX4200交换机开始,然后逐步添加焦化九年级(可以多至9台)国度到集群交换配置。
每台EX4200以太网交换机支持都支持可选的上行链路,可以用来将交换机从接入层接到汇聚层。对于不需要 硬件冗余 且端口数少于48个的单机箱解决方案,EX3200和EX2200交换机是理想的选择。
汇聚层:
汇聚层,有时也称为分布层,灰机来自多个接入层交换机的连接和流量,提供到核心层的高密度连接。汇聚层交换机的主要功能是提供可扩展性,高密度和高可用性。
集群交换的EX4200,以及EX4500或EX8200系列模块化以太网交换机可以提供在汇聚层所需的性能和服务。EX4500具备40端口10GbE/1GbE2和2个模块化上行链路插槽;EX8200系列以太网交换机可以提供多达64个(8槽机箱)或128个(16槽机箱)10GbE端口。配置与集群交换中的EX4200-24F交换机提供24个 100BASE-FX/1000BASE-X 端口,并有可选的双端口万兆以太网上行链路模块,是中低密度千兆以太网汇聚层的解决方案。
带有8槽机箱的设备:
EX8200:
EX4500:
核心层
有时也称为骨干,提供在多个汇聚层(或者在简化结构网络中的接入层)之间的高速包交换矩阵。它作为网关或基础结构保证可靠性和效能。
核心层通常采用万兆以太网接口来通过大吞吐量和高性能。高可用性也是一个重要方面,核心层通常采用万兆以太网接口来通过大吞吐量和高性能。高可用性也是一个重要方面,核心层通常采用多台核心层交换机来提供系统和网络冗余。
EX8200模块化以太网交换机系列提供核心层解决方案,它具备冗余路由引擎和交换矩阵,以及冗余电源和风扇。此外,还在设备或链路发生故障时为每个核心层设备提供冗余链路。
为了提供链路冗余,在网络设备之间连接多个冗余链路是第一步;另外一种解决方案是通过使用链路聚合组将多条链路组合成单条高容量逻辑链路。
链路汇聚组:
链路汇聚组(Link Aggregation Group, LAP)是一个将多条物理链路聚合为单一逻辑链路的组合。LAG在汇聚以太网的成员链路之间进行流量均衡,有效地增加了链路带宽。链路聚合的另外一个好处是提高可用性,因为LAG由多个成员链路组成。如果一个成员链路发送故障时,LAG仍然可以通过余下的链接传送流量。
LAG通常配置在EX系列以太网交换机连接其他上游网络设备的上行链路,使下游的主机可以受益于LAG。
LAG可以是二层端口或三层端口(端口的层次模式在第3章介绍)。你可以配置静态或动态LAG,当使用动态方式时,可以使用链路聚合控制协议(LACP)。
LAG端口不需要是连续的;在集群交换配置情况下,LAG可以跨交换机成员。
链路聚合控制协议(LACP):
根据IEEE 802.3ad规范,链路聚合控制协议(Link Aggregation Control Protocol, LACP)定义了多个物理端口的捆绑。LACP提供了对错误配置的基本检查,确保LAG两端的皮遏制都是适当的,。一旦存在配置错误,LAG就不会被启用。
作为协议定义的一部分,actor(发送链路)和partner(接收链路)之间进行LACP交换。LACP的模式可以是主动或被动。
注意:如果两端都处于被动模式,它们不会交换LACP报文,从而导致LAG无法建立。默认情况下LACP协议处于被动模式。要发起LACP数据包传输从而建立LAG,LAG至少有一侧要启用主动模式。
使用LACP(链路聚合控制协议)配置动态LAG(链路汇聚组):
1.定义交换机(或集群交换配置)中LAG数量:
2.删除现有的接口配置(本例中为 ge-0/0/10 和 ge-0/0/11 ):
3.将接口配置为LAG的一部分:
4.配置LACP(使用主动模式):
5.将LAG接口配置为二层trunk来传输所有VLAN。端口模式如 access 和 trunk 将在第四章讲述。
注意:默认情况下,actor和partner每秒发送LACP报文(快速莫斯)。间隔时间可以是快速(每秒)或者慢速(每30秒)。
查看LAG中所有成员的LACP详情:
第二章讨论了物理拓扑结构(OSI模型的第1层),以及EX系列交换机可以部署在网络中的什么位置,EX8200用于核心/汇聚层;EX8200,EX4500或集群交换的EX4200用于聚集/接入层;EX2200,EX3200以及独立或集群交换的EX4200仅用于接入层。
⑷ Juniper上有没有显示敲过哪些命名的命令,类似于show history all之类的。
Juniper默认没有开键盘命令历史,但是通常会有一个专门的syslog文件记录类似的内容,叫interactive-commands。你可以用show configuration system syslog这条命令检查一下:
show configuration system syslog
archive size 100k files 3;
user * {
any emergency;
}
file messages {
any critical;
authorization info;
}
file interactive-commands {
interactive-commands error;
}
我这里只配置了记录错误的命令,如果你希望记录所有cli命令,就把interactive-commands error改成interactive-commands all。
用show log interactive-commands来检查记录内容。