JUNIPer配置说明
〉操作模式
#配置模式
#show interface
#show interface deatil | math fe‐0/0/0
>hlpe apropes arp
>config 3种模式
#edit interface 一层一层配置
#up 退出
#show |display set (显示所有可刷的命令)
#edit security nat source
#rename rule‐set trust‐to‐untrust to rule‐set inside‐to‐outside (重命令nat名字) #rollback (恢复到以前的配置,可选50份)
#commit at 201207200800(定时提交)
>clear system commit (清除未提交的配置)
#commit comment "beyond"(为提交的配置进行说明)
# run show system commit(查看提交的配置说明,用于快速恢复的配置) #commit confirmed (十分钟之内不对配置进行确认,自动恢复配置到提交之前) #copy interface ge‐0/0/1 to ge0/0/3 (复制配置)
#show system update (查看系统时间)
>request system reboot (重启系统)
>request system power‐off (关闭系统)
#edit sytem login user class ? (设置用户,有4种权限)
#edit system service (设置系统服务)
#set ssh /telnet /web‐ma….
>show system license (查看授权)
>request system license add terminal (加载授权信息)
> show system processes extensive(查看系统进程)
> restart chassis‐control gracefully(重启系统进程)
> load update xxx (加载以前的配置文件)
run show security flow session summary(查看防火墙会话数)
run show security flow session(查看防火墙具体会话数)
1, root密码设置
set system root‐authentication plain‐text‐password
erpo@6698
2, 远程登录用户
set system login user erpo class super‐user authentication plain‐text‐password
erpo6698
3,设置时间
run set date 201207091908
4,设置时区为上海
set system time‐zone Asia/shanghai
5,设置主机名
set system host‐name FW
6,设置NDS服和器
Set system name‐server 208.67.222.222; 208.67.220.220;
7,端口交换机属性设置
root@ex2200# edit vlans test #新建vlan名称为test
root@ex2200# set vlan-id 10 #设置vlan id
root@ex2200# set description “Test VLAN” #设置vlan描述
root@ex2200# set mac-limit 200 #设置mac数量,范围是(1..65535),通常可以不配置
root@ex2200# set mac-table-aging-time 600 #”设置mac生存时间(秒),范围是(60-1000000) ”
root@ex2200# set l3-interface vlan.10 #”将绑定三层逻辑子端口”
root@ex2200# set interface ge-0/0/1.0 #”将端口加入到VLAN中”
root@ex2200# set interface ge-0/0/2.0 #”将端口加入到VLAN中”
(2)创建三层逻辑子端口
root@ex2200# top #”回到最外层菜单”
root@ex2200# set interfaces vlan unit 10 family inet address 192.168.1.1/24 #设置网关
(3)将交换机端口修改为access模式并加入到新创建的VLAN中
root@ex2200# top #”回到最外层菜单”
root@ex2200# set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode access
root@ex2200# set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 10
root@ex2200# set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access
root@ex2200# set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members 10
(4)commit提交:
root@ex2200#commit
8, DHCP 配置(DHCP Server)
set system services dhcp pool 192.168.1.0/24 address-range low 192.168.1.33
set system services dhcp pool 192.168.1.0/24 address-range high 192.168.1.64
et system services dhcp pool 192.168.1.0/24 domain-name https://www.doczj.com/doc/8711598073.html,
set system services dhcp pool 192.168.1.0/24 name-server 192.168.1.1
set system services dhcp pool 192.168.1.0/24 router 192.168.1.1
set system services dhcp pool 192.168.1.0/24 default-lease-time 3600
set security zones security-zone untrust interfaces fe-0/0/5.0 host-inbound-traffic system-services dhcp
user@host# set security zones security-zone untrust interfaces fe-0/0/6.0 host-inbound-traffic system-services dhcp user@host# set interfaces fe-0/0/6 unit 0 family inet address 192.168.1.1/24
DHCP设置(DHCP Client)
user@host# set interfaces fe‐0/0/7 unit 0 family inet dhcp
user@host# set security zones security‐zone untrust interfaces fe‐0/0/7.0 host‐inbound‐traffic system‐services dhcp
DHCP设置(DHCP Relay)
user@host# set forwarding‐options helpers bootp description "Global DHCP relay service"
user@host# set forwarding‐options helpers bootp server 192.18.24.38
user@host# set forwarding‐options helpers bootp maximum‐hop‐count 4
user@host# set forwarding‐options helpers bootp interface fe‐0/0/7.0
user@host# set security zones security‐zone untrust interfaces fe‐0/0/7 host‐inbound‐traffic system‐services dhcp
user@host# set security zones security‐zone untrust interfaces fe‐0/0/8 host‐inbound‐traffic system‐services dhcp
9,接口设置
user@host# set interfaces ge-0/0/1 unit 0 family inet address 192.168.20.2/24
或者set interfaces ge-0/0/1.0 family inet address 192.168.20.2/24
9.2 设置区域
user@host# set security zones security-zone trust
user@host# set security zones security-zone trust interfaces ge-0/0/1.0
…ge-0/0/1.0 host-inbound-traffic system-services http (允许的服务)
10, 静态路由
user@host# set routing-options static route 10.2.2.0/24 next-hop 10.1.1.254
user@host# set routing-options static route 0.0.0.0/0 next-hop 10.1.1.254
11,在系统级开启ftp/telnet/http远程接入管理服务
Set system services ftp
Set system services ssh
Set system services telnet
Set system services web‐management http
12, 在untrust zone 打开允许远程登录管理服务
Set security zones security‐zone untrnst host‐inbound‐traffic system‐services ssh
13,防火墙策略
安全设备的缺省行为是拒绝安全区段之间的所有信息流,允许绑定到同一区段的接口间的所有信息流。
基本元素:允许,拒绝或设置两点间指定类型单向信息流通道的策略。信息流的类型,两端点的位置以及调用的动作构成了策略的基本元素。 策略核心组成部分:
策略名称: 两个安全区段间(从源区段到目的区段)间信息流的方向。
源地址: 信息流发起的地址
目标地址: 信息流发送到的地址
服务: 信息流传输的类型
动作: 安全设备接受到满足头4个标准的信息流时执行的动作(deny,permit,reject或tunnel)
注意tunnel,firewall‐authentication,application‐services set security policies from‐zone trust to‐zone untrust policy test then permit 三种类型的策略: 可通过以下三种策略控制信息流的流动: 通过创建区段之间策略,可以管理允许从一个安全区段到另一个安全区段的信息流的种类。 通过创建区段内部策略,也可以控制允许通过绑定到同一区段的接口间的信息流的类型。 通过创建全局策略,可以管理地址间的信息流,而不考虑它们的安全区段。 13.1 策略地址对象定义 SRX服务网关地址对象需要自定义后才可以在策略中进行引用,默认只有any对象 自定义单个地址对象如下: set security zones security‐zone trust address‐book address pc‐1 192.168.1.200/32 自定义单个地址组结象如下: set security zones security‐zone trust address‐book address‐set pc_group address pc‐1 13.2 策略服务对象定义 SRX服务网关部分服务对象需要自定义后才可以在策略中进行引用,默认仅有预定义常用服务对象 自定义单个服务对象如下: set applications application tcp‐3389 protocol tcp 定义服务对象协议(tcp\udp\icmp\other) set applications application tcp‐3389 source‐port 1‐65535 定义服务对象源端口 set applications application tcp‐3389 destination‐port3389-3389定义服务对象目标地址 set applications application tcp‐3389inactivity‐timeout never 可选定义服务对象timeout时长 自定义单个服务组对象如下: Set applications application‐set applications‐group application tcp‐3389 13.3策略时间调度对象定义 SRX服务网关时间调度对象需要自定义后才可以在策略中进行引用,默认没有预定义时间调度对象 自定义单个时间调度对象如下: set schedulers scheduler work‐time daily start‐time 09:00:00 stop‐time 18:00:00 注意:时间调度服务生效参考设备系统时间,所以需要关注设备系统时间是否正常。 13.4 Policy配置方法与screenOS基本一致,仅在配置命令有有所区别,其中策略的允许/拒绝的动作需要额外配置一条then语句。 首先需要注意系统的缺省策略配置 Show security policies set security policies from‐zone trust to‐zone untrust policy trust‐to‐untrust then permit 设置一条从trust到untrust名为trust‐to‐untrust的安全策略,执行的动作为允许所有。 erpo@XL_FW01# run show security policies Default policy: deny‐all From zone: trust, To zone: untrust Policy: trust‐to‐untrust, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source addresses: any Destination addresses: any Applications: any Action: permit set security policies default‐policy permit‐all(默认的策略,允许所有) 14地址转换 SRX的NAT作为网络层面基础内容进行独立配置(独立定义地址映射的方向,映射关系及地址范围) SRX NAT和policy执行先后顺序为:目的地址转换-目的地址路由查找-执行策略检查-源地址转换,结合这个执行顺序,在配置policy时请注意: policy中源地址应是转换前的源地址,而目的地址应该是转换后的目的地址,换句话说,policy中的源和目的地址应该是源和目的两端的真实Ip地址。这一点,与screenOS有所区别。 14.1 Interface based Nat 基于接口的源地址转换(PAT端口复用) NAT配置: set security nat source rule‐set t‐u from zone trust set security nat source rule‐set t‐u to zone untrust set security nat source rule‐set t‐u rule rulet‐u match source‐address 0.0.0.0/0 destination‐address 0.0.0.0/0 set security nat source rule‐set t‐u rule rulet‐u then source‐nat interface erpo@XL_FW01# delete system name‐server ? Possible completions: <[Enter]> Execute this command
208.67.220.220 DNS name server address
208.67.222.222 DNS name server address
15, 安全策略,只开放少量端口
15.1 Juniper默认的应用程序服务协议
set security policies from‐zone trust to‐zone untrust policy t‐u match source‐address any destination‐address any then permit
set security policies from‐zone trust to‐zone untrust policy t‐u match source‐address any destination‐address any application junos‐ping
set security policies from‐zone trust to‐zone untrust policy t‐u match source‐address any destination‐address any application junos‐dns‐udp
set security policies from‐zone trust to‐zone untrust policy t‐u match source‐address any destination‐address any application junos‐dns‐tcp
set security policies from‐zone trust to‐zone untrust policy t‐u match source‐address any destination‐address any application junos‐http
15.2 策略服务对象定义 (需要自定义后才可以在策略中进行引用,默认仅有预定义常用服务对象)
自定义单个服务对象如下:
set applications application tcp‐3389 protocol tcp 定义服务对象协议(tcp\udp\icmp\other)
set applications application tcp‐3389 source‐port 1‐65535 定义服务对象源端口
set applications application tcp‐3389 destination‐port3389‐3389 定义服务对象目标地址
set security policies from‐zone trust to‐zone untrust policy t‐u then permit 定义策略名称和执行动作
set security policies from‐zone trust to‐zone untrust policy t‐u match application tcp‐3389 在安全策略中进行引用
自定义单个服务组对象如下:
set applications application‐set port‐group application junos‐http
set applications application‐set port‐group application tcp‐3389
set applications application‐set port‐group application tcp‐8080
set security policies from‐zone trust to‐zone untrust policy t‐u then permit 定义策略名称和执行动作
set security policies from‐zone trust to‐zone untrust policy t‐u match application port‐group 在安全策略中进行引用
15.3 策略地址对象定义
SRX服务网关地址对象需要自定义后才可以在策略中进行引用,默认只有any对象
自定义单个地址对象如下:
set security zones security‐zone trust address‐book address beyond 192.168.168.2/32
set security zones security‐zone trust address‐book address yao 192.168.169.2/32
set security policies from‐zone trust to‐zone untrust policy mis then permit 定义策略名称和执行动作
set security policies from‐zone trust to‐zone untrust policy mis match source‐address beyond 在安全策略中进行引用 自定义单个地址组对象如下:
set security zones security‐zone trust address‐book address‐set ip_group address beyond
set security zones security‐zone trust address‐book address‐set ip_group address yao
set security policies from‐zone trust to‐zone untrust policy mis then permit 定义策略名称和执行动作
set security policies from‐zone trust to‐zone untrust policy mis match source‐address ip_group 在安全策略中进行引用
16SCReen 攻击防护配置说明
set security screen ids‐option untrust‐screen 可选配置
alarm‐without‐drop此动作表示仅记录攻击信息到日志,但是不拒绝攻击(可选设置)
17, 返程路由
set routing‐options static route 192.168.0.0/16 next‐hop 192.168.10.254
18,基于源地址的策略路由及双线备份
基本配置:
set interfaces ge‐0/0/0 unit 0 family inet address 192.168.15.240/24
set interfaces ge‐0/0/1 unit 0 family inet address 192.168.168.254/24
set interfaces ge‐0/0/3 unit 0 family inet address 192.168.1.240/24
18.1 创建路由实例(r ou te‐instance,并配置静态路由)
set routing‐instances CNC instance‐type forwarding
set routing‐instances CNC routing‐options static route 0.0.0.0/0 next‐hop 192.168.1.254
set routing‐instances CNC routing‐options static route 0.0.0.0/0 qualified‐next‐hop 192.168.15.254 preference 100
set routing‐instances CTC instance‐type forwarding
set routing‐instances CTC routing‐options static route 0.0.0.0/0 next‐hop 192.168.15.254
set routing‐instances CTC routing‐options static route 0.0.0.0/0 qualified‐next‐hop 192.168.1.254 preference 100
18.2 设置路由信息组
set routing‐options interface‐routes rib‐group inet ISP
set routing‐options rib‐groups ISP import‐rib inet.0
set routing‐options rib‐groups ISP import‐rib CTC.inet.0
set routing‐options rib‐groups ISP import‐rib CNC.inet.0
18.3 设置防火墙过滤,匹配数据包源地址
set firewall filter USER‐IN term 2 from source‐address 192.168.168.3/32
set firewall filter USER‐IN term 2 then routing‐instance CNC
set firewall filter USER‐IN term 3 from source‐address 192.168.168.2/32
set firewall filter USER‐IN term 3 then routing‐instance CTC
set firewall filter USER‐IN term 4 then accept
基于目的地址的策略路由
set firewall filter USER‐IN term 1 from destination‐address 58.251.51.41/32 set firewall filter USER‐IN term 1 from destination‐address 66.45.246.139/32 set firewall filter USER‐IN term 1 then routing‐instance CNC
18.4 在内网接口上应用
set interfaces ge‐0/0/1 unit 0 family inet filter input USER‐IN
18.5 后续配置
配置Source nat
set security nat source rule‐set trust‐to‐untrust from zone trust
set security nat source rule‐set trust‐to‐untrust to zone untrust
set security nat source rule‐set trust‐to‐untrust rule source‐nat‐rule match sou rce‐address 0.0.0.0/0
set security nat source rule‐set trust‐to‐untrust rule source‐nat‐rule match des tination‐address 0.0.0.0/0
set security nat source rule‐set trust‐to‐untrust rule source‐nat‐rule then sour ce‐nat interface
配置从trust to untrust策略
set security zones security‐zone untrust interfaces ge‐0/0/0.0
set security zones security‐zone untrust interfaces ge‐0/0/3.0
set security policies from‐zone trust to‐zone untrust policy t‐u match source‐ad dress any
set security policies from‐zone trust to‐zone untrust policy t‐u match destinati on‐address any
set security policies from‐zone trust to‐zone untrust policy t‐u match applicati on any
set security policies from‐zone trust to‐zone untrust policy t‐u then permit
set security alg dns disable
关于内网访问不了域名问题(PCM及pcmtest服务器架设公司内网。对外映射IP,申请域名访问,现要求内网也使用愚民访问)以下为防火墙解决方案:set security alg dns disable(这个命令没尝试过,不知是否可用)
1,设置目的地址解析
set security nat destination pool ds‐nat‐p6 address 192.168.11.11/32
set security nat destination pool ds‐nat‐p6 address port 80
set security nat destination pool ds‐nat‐p8 address 192.168.11.12/32
set security nat destination pool ds‐nat‐p8 address port 8050
2,设置角色关联相对应的pool
set security nat destination rule‐set ds‐nat‐r2 from zone trust
set security nat destination rule‐set ds‐nat‐r2 rule pcm match destination‐address 111.204.102.12/32
set security nat destination rule‐set ds‐nat‐r2 rule pcm match destination‐port 80
set security nat destination rule‐set ds‐nat‐r2 rule pcm then destination‐nat pool ds‐nat‐p6
set security nat destination rule‐set ds‐nat‐r2 rule pcmtest match destination‐address 111.204.102.12/32
set security nat destination rule‐set ds‐nat‐r2 rule pcmtest match destination‐port 8050
set security nat destination rule‐set ds‐nat‐r2 rule pcmtest then destination‐nat pool ds‐nat‐p8
3, nat源地址转换(重要理解)
3.1,创建转换pool
set security nat source pool pcm address 116.204.102.1/32
3.2,关联相对应的pool
set security nat source rule‐set pcm‐server from zone trust
set security nat source rule‐set pcm‐server to zone trust
set security nat source rule‐set pcm‐server rule pcmnat match source‐address 0.0.0.0/0
set security nat source rule‐set pcm‐server rule pcmnat match destination‐address 0.0.0.0/0
set security nat source rule‐set pcm‐server rule pcmnat then source‐nat pool pcm
4, 安全策略(允许内部互通)
set security policies from‐zone trust to‐zone trust policy t‐t match source‐address any
set security policies from‐zone trust to‐zone trust policy t‐t match destination‐address any
set security policies from‐zone trust to‐zone trust policy t‐t match application any
set security policies from‐zone trust to‐zone trust policy t‐t then permit
5, 内部接口做arp代理
set security nat proxy‐arp interface ge‐0/0/5.0 address 111.204.102.12/32
虚拟路由器配置
此项设置相当于新建立一条线路:(ADSL,CNC,CTC)配置一样。
1, 设置独立区域
set security zones security‐zone untrust‐adsl interfaces pp0.0
2, 设置nat
set security nat source rule‐set trust‐to‐uadsl from zone trust
set security nat source rule‐set trust‐to‐uadsl to zone untrust‐adsl
set security nat source rule‐set trust‐to‐uadsl rule natadsl match source‐address 0.0.0.0/0
set security nat source rule‐set trust‐to‐uadsl rule natadsl match destination‐address 0.0.0.0/0
set security nat source rule‐set trust‐to‐uadsl rule natadsl then source‐nat interface
3, 设置安全策略
set security policies from‐zone trust to‐zone untrust‐adsl policy t‐uadsl match source‐address all
set security policies from‐zone trust to‐zone untrust‐adsl policy t‐uadsl match destination‐address any
set security policies from‐zone trust to‐zone untrust‐adsl policy t‐uadsl match application any
set security policies from‐zone trust to‐zone untrust‐adsl policy t‐uadsl then permit
4, 设置routing‐instances
set routing‐instances adsl instance‐type virtual‐router
set routing‐instances adsl interface pp0.0
set routing‐instances adsl routing‐options interface‐routes rib‐group inet isp
set routing‐instances adsl routing‐options static route 0.0.0.0/0 next‐hop pp0.0
set routing‐instances adsl routing‐options static route 0.0.0.0/0 qualified‐next‐hop 123.98.168.1 preference 100
set routing‐instances adsl routing‐options static route 0.0.0.0/0 qualified‐next‐hop 111.204.102.12 preference 110
set routing‐instances adsl routing‐options static route 192.168.0.0/19 next‐hop 192.168.10.254
5, 删除旧的配置
Juniper SRX防火墙如何改变策略顺序
安全设备将所有穿越防火墙的尝试与策略进行对照检查,从列在相应列表的策略组中的第一个开始,并检查整个列表。由于安全设备将策略中指定的动作应用到列表中第一个匹配的策略,因此,必须按照从最具体到最一般的顺序安排策略。(具体策略不排除位于列表下部的更一般性策略的应用,但位于具体策略前的一般性策略会产生此排除效应。)在缺省情况下,最近创建的策略出现在策略组列表的底部。先建立策略,再插入策略到某策略之前
insert security policies from-zone zone-name to-zone zone-name policy policy-name
before policy policy-name
原ScreenOS防火墙CLI如下:
set policy move 4 before 3
实验三路由器及其基本配置 项目1 路由器基本配置命令 一.实验目的: 掌握手工对路由器进行初始配置的步骤和方法 二.实验要点: 通过控制台电缆,利用超级终端软件对路由器进行手工初始配置。 三.实验设备: 路由器Cisco 2621一台,工作站PC 一台,控制台电缆一条。 四、“路由器基本配置”实验环境 Com 口学名RS232 五.实验步骤: 1.使用控制台电缆,按图1 连接路由器Router和PC 工作站。 2.启动超级终端程序,并设置相关参数。 3.打开路由器电源,待路由器启动完毕出现“Press RETURN to get started!”提示后,按“回 车”键直到出现用户EXEC 模式提示符Router>。(若为新路由器或空配置的路由器,则在路由 器启动结束出现配置向导时键入“N”退回到路由器CLI提示符Router>)。 4.练习常用路由器基本配置命令,如下: 路由器显示命令: 设置口令: router>enable 进入特权模式 router#config terminal 进入全局配置模式 router(config)#hostname
router(config-line)#password ccc 设置控制线密码为ccc router(config-line)#line vty 0 4 进入虚拟终端virtual vty router(config-line)#login 允许登录 router(config-line)#password ddd 设置登录口令ddd router(config)# (Ctrl+z) 返回特权模式 router#exit 返回命令 六.实验总结: 1.总结如何利用超级终端控制路由器。 2.总结路由器的有关基本配置命令。 项目2 路由器的密码设置、保存与破解方法 一.实验目的: 1.掌握路由器的密码设置与保存方法。 2.熟悉路由器的密码破解方法。 二.实验要点: 1.对路由器设置密码保证路由器的登录安全。 2.能够对Cisco 2621路由器进行密码破解。 三.实验设备: 路由器Cisco 2621一台,工作站PC 一台,控制台电缆一条,交叉双绞线一条。 四、实验环境 五.实验步骤: 5.1 路由器密码设置 router>enable 进入特权模式 router#config terminal 进入全局配置模式 1. 设置特权非加密口令 router(config)#enable password aaa 2.设置特权加密口令 router(config)#enable secret bbb
Juniper SRX配置手册
目录 一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (3) 1.3 SRX主要配置内容 (4) 二、SRX防火墙配置对照说明 (5) 2.1 初始安装 (5) 2.1.1 登陆 (5) 2.1.2 设置root用户口令 (5) 2.1.3 设置远程登陆管理用户 (5) 2.1.4 远程管理SRX相关配置 (6) 2.2 Policy (6) 2.3 NAT (7) 2.3.1 Interface based NAT (7) 2.3.2 Pool based Source NAT (8) 2.3.3 Pool base destination NAT (9) 2.3.4 Pool base Static NAT (10) 2.4 IPSEC VPN (10) 2.5 Application and ALG (12) 2.6 JSRP (12) 三、SRX防火墙常规操作与维护 (14) 3.1 设备关机 (14) 3.2 设备重启 (15) 3.3 操作系统升级 (15) 3.4 密码恢复 (15) 3.5 常用监控维护命令 (16)
Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),exit命令退回上一级,top命令回到根级。 1.2 JunOS配置管理 JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate
实验一:路由器的基本配置 实验目的 1、掌握配置线、直通线、交叉线的使用 2、子网划分(地址块192.168.1.0/24) 3、路由器不同模式之间的关系和转换 4、通过超级终端对路由器进行基本配 5、路由器密码的配置 6、利用telnet登陆路由器并对其配置 7、验证并保存配置 实验设备 1、路由器1台 2、PC机4台 3、配置线(console)线1条、交叉线1条、直通线3条 实验过程分解 1、一个网段的配置 (1)目标:PC2能ping通路由器对应接口或PC1\PC0能ping通路由器对应接口 使用的命令(略) 2、两个网段的配置 (1)目标:PC0、PC1、PC2能相互ping通 (2)配置PC0、PC1、PC2网关前:PC0、PC1、PC2互ping的结果 (3)配置PC0、PC1、PC2网关后:PC0、PC1、PC2互ping的结果 实验过程 1.先向界面中添加一台router0 ,4台pc机和一台switch,先用控制线(console)连 接router0的console接口和pc0的RS232接口,用交叉线(copper cross-over)连接router0的FastEthernet 0/1接口和pc3的FastEthernet接口,用直通线(copper straight-through)连接router0的FastEthernet 0/0接口和switch,pc1,pc2的FastEthernet接口。如图(配置钱的网络拓扑)
2.点击pc0进入Desktop的Terminal,如图 3.进入Terminal后,如图 4.点击OK进入代码,进入代码编辑界面,如图
Juniper SRX防火墙基本配置手册
1SRX防火墙的PPPoE拔号配置 Juniper SRX防火墙支持PPPoE拔号,这样防火墙能够连接ADSL链路,提供给内网用户访问网络的需求。 配置拓扑如下所示: Juniper SRX240防火墙 在Juniper SRX防火墙上面设置ADSL PPPoE拔号,可以在WEB界面或者命令行下面查看PPPoE拔号接口pp0,在命令行下面的查看命令如下所示: juniper@HaoPeng# run show interfaces terse | match pp Interface Admin Link Proto Local Remote pp0 up up 在WEB界面下,也能够看到PPPoE的拔号接口pp0 配置步聚如下所示: 第一步:选择接口ge-0/0/4作为PPPoE拔号接口的物理接口,将接口封装成PPPoE To configure PPPoE encapsulation on an Ethernet interface: juniper@HaoPeng# set interfaces ge-0/0/4 unit 0 encapsulation ppp-over-ether 第二步:配置PPPoE接口PP0.0的参数 To create a PPPoE interface and configure PPPoE options: user@host# set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/4.0 auto-reconnect 100 idle-timeout 100 client
路由器基本配置_实验报告 《组网技术》实验报告 姓名学号教学班计算机网络 任课教师王丽娟指导教师王丽娟班主任 2013-6-3 实验地点广西某家具公司机房实验时间 实验项目名称:路由器基本配置 实验目标及要求: 通过CISCO路由器,了解路由器的各个接口的用途、配接方法,路由器配置命令、状态模式的功能,在此基础上通过超级终端完成对路由器的各种基本配置,如:路由器的命名、特权密码的设置、LAN接口的配置、WAN接口的配置、静态路由的配置等等。并用命令保存和查验配置信息。 实验环境及工具: CISCO路由器,PC机,网线,专用电缆(RS232,V35),CONSOLE。 实验内容及过程: 实验内容: 观察CISCO路由器,了解路由器基本知识; 学习电缆连接; 查看CISCO路由器的操作,了解路由器工作原理; 学习基本的路由器配置。 实验步骤: 配置相应的IP参数 打开计算机的“超级终端”程序 此超级终端内输入的命令都是对路由器A的操作,超级终端窗口内所有输出都是路由器A的 输出。 键入“,”列入命令提示。 7-A>? Exec commands: <1-99> Session number to resume access-enable Create a temporary Access-List entry access-profile Apply user-profile to interface clear Reset functions connect Open a terminal connection disable Turn off privileged commands disconnect Disconnect an existing network connection
前言、版本说明 (3) 一、界面菜单管理 (5) 2、WEB管理界面 (6) (1)Web管理界面需要浏览器支持Flash控件。 (6) (2)输入用户名密码登陆: (7) (3)仪表盘首页 (7) 3、菜单目录 (10) 二、接口配置 (16) 1、接口静态IP (16) 2、PPPoE (17) 3、DHCP (18) 三、路由配置 (20) 1、静态路由 (20) 2、动态路由 (21) 四、区域设置Zone (23) 五、策略配置 (25) 1、策略元素定义 (25) 2、防火墙策略配置 (29) 3、安全防护策略 (31) 六、地址转换 (32) 1、源地址转换-建立地址池 (33)
2、源地址转换规则设置 (35) 七、VPN配置 (37) 1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (38) 2、建立第一阶段IKE策略 (39) 3、建立第一阶段IKE Gateway (40) 4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (41) 5、建立第一阶段IKE策略 (42) 6、建立VPN策略 (43) 八、Screen防攻击 (46) 九、双机 (48) 十、故障诊断 (49)
前言、版本说明 产品:Juniper SRX240 SH 版本:JUNOS Software Release [9.6R1.13] 注:测试推荐使用此版本。此版本对浏览速度、保存速度提高了一些,并且CPU占用率明显下降很多。 9.5R2.7版本(CPU持续保持在60%以上,甚至90%) 9.6R1.13版本(对菜单操作或者保存配置时,仍会提升一部分CPU)
实验1 路由器的基本配置 实验目标 掌握路由器几种常用配置方法和基本配置命令; 掌握采用 Console线缆配置路由器的方法; 掌握采用 Telnet方式配置路由器的方法; 熟悉路由器不同的命令行操作模式以及各种模式之间的切换; 实验背景 作为网络管理员,须对新购进的路由器设备进行了初次配置后,希望以后在办公室或出差时可以对设备进行远程管理,现要在路由器上做适当配置。 实验拓扑: (见本实验中所附的图R1.JPG) 实验设备 Router_2621 1 台;PC 1 台;交叉线;配置线 说明:交叉线:路由器与计算机相连路由器与交换机相连 直连线:计算机与交换机相连 实验要求: 按照图R1.JPG创建packet tracer 拓扑图后进行以下各项操作: (1)在计算机上启用超级终端,并配置超级终端的参数(模拟器最好按默认的),是计算机(RS 232)与路由器通过console 接口建立连接;更改路由器的主机名为R1;计算机(FastEthernet)与路由器FastEthernet0/0接口建立连接. (2)配置路由器的管理的 IP地址为192.168.1.254,并为 Telnet 用户配置用户密码5ijsj和enable 登录口令123456。配置计算机的 IP地址192.168.1.1(与路由器管理 IP地址在同一个网段),通过网线将计算机和路由器相连,通过计算机 Telnet到路由器上对交换机进行验证; (3)先为路由器添加有串行口的模块,然后配置路由器的串行口S0/0为DCE端,并设定其时钟频率是64000 ,接口IP地址和网络掩码为 192.168.10.1,255.255.255.0. (4)保存配置信息,显示配置信息; (5)显示历史命令。 1、 按上图连线,更改路由器的主机名为R1; Router#conf terminal Router(config)#hostname R1 2、(1)配置Int F0/0 IP Router(config)#interface f0/0 Router(config-if)#ip address 192.168.1.254 255.255.255.0 Router(config-if)#no shutdown %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
Juniper SRX防火墙配置手册
Juniper SRX防火墙配置说明 1系统配置 (1) 1.1配置ROOT帐号密码 (1) 1.2配置用户名和密码 (2) 2接口配置 (8) 2.1IPV4地址配置 (9) 2.2接口T RUNK模式配置 (13) 2.3接口A CC ESS模式配置 (14) 3VLAN配置 (15) 3.1创建VLAN配置 (15) 4路由配置 (19) 4.1静态路由配置 (21) 5自定义应用配置 (22) 5.1自定义服务配置 (22) 5.2应用组配置 (23) 6地址组配置 (24) 6.1地址簿配置 (24) 6.2地址组配置 (25) 7日程表配置 (27) 8NAT配置 (30) 8.1S TA TIC NA T配置 (30)
1 系统配置 1.1 配置root帐号密码 首次登陆设备时,需要采用console方式,登陆用户名为:root,密码为空,登陆到cli下以后,执行如下命令,设置root帐号的密码。 root# set system root-authentication plain-text-password root# new password : root123 root# retype new password: root123 密码将以密文方式显示。 注意:必须要首先配置root帐号密码,否则后续所有配置的修改都无法提交。 SRX系列低端设备在开机后,系统会加载一个默认配置,设备的第一个接口被划分在trust区域,配置一个ip地址192.168.1.1,允许ping、telnet、web等管理方式,可以通过该地址登陆设备。登陆后显示页面如下:
Juniper SRX防火墙简明配置手册
目录 一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (3) 1.3 SRX主要配置内容 (4) 二、SRX防火墙配置对照说明 (5) 2.1 初始安装 (5) 2.1.1 登陆 (5) 2.1.2 设置root用户口令 (5) 2.1.3 设置远程登陆管理用户 (5) 2.1.4 远程管理SRX相关配置 (6) 2.2 Policy (6) 2.3 NAT (7) 2.3.1 Interface based NAT (7) 2.3.2 Pool based Source NAT (8) 2.3.3 Pool base destination NAT (9) 2.3.4 Pool base Static NAT (10) 2.4 IPSEC VPN (10) 2.5 Application and ALG (11) 2.6 JSRP (12) 三、SRX防火墙常规操作与维护 (14) 3.1 设备关机 (14) 3.2 设备重启 (14) 3.3 操作系统升级 (14) 3.4 密码恢复 (15) 3.5 常用监控维护命令 (16)
Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd 命令),exit命令退回上一级,top命令回到根级。 1.2 JunOS配置管理 JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate Config)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Active config)。另外,JUNOS允许执行commit命令时要求
前言、版本说明 (1) 一、界面菜单管理 (3) 2、WEB管理界面 (4) (1)Web管理界面需要浏览器支持Flash控件。 (4) (2)输入用户名密码登陆: (4) (3)仪表盘首页 (5) 3、菜单目录 (7) 二、接口配置 (12) 1、接口静态IP (12) 2、PPPoE (13) 3、DHCP (14) 三、路由配置 (16) 1、静态路由 (16) 2、动态路由 (16) 四、区域设置Zone (18) 五、策略配置 (20) 1、策略元素定义 (20) 2、防火墙策略配置 (22) 3、安全防护策略 (25) 六、地址转换 (26) 1、源地址转换-建立地址池 (26) 2、源地址转换规则设置 (27) 七、VPN配置 (30) 1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (30) 2、建立第一阶段IKE策略 (31) 3、建立第一阶段IKE Gateway (32) 4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (33) 5、建立第一阶段IKE策略 (34) 6、建立VPN策略 (35) 八、Screen防攻击 (38) 九、双机 (39) 十、故障诊断 (39) 前言、版本说明
产品:Juniper SRX240 SH 版本:JUNOS Software Release [9.6R1.13] 注:测试推荐使用此版本。此版本对浏览速度、保存速度提高了一些,并且CPU占用率明显下降很多。 9.5R2.7版本(CPU持续保持在60%以上,甚至90%) 9.6R1.13版本(对菜单操作或者保存配置时,仍会提升一部分CPU)
前言、版本说明 .............................................................................................. 错误!未定义书签。 一、界面菜单管理 ...................................................................................... 错误!未定义书签。 2、WEB管理界面 ..................................................................................... 错误!未定义书签。 (1)Web管理界面需要浏览器支持Flash控件。...................... 错误!未定义书签。 (2)输入用户名密码登陆:......................................................... 错误!未定义书签。 (3)仪表盘首页............................................................................. 错误!未定义书签。 3、菜单目录............................................................................................. 错误!未定义书签。 二、接口配置 .................................................................................................. 错误!未定义书签。 1、接口静态IP........................................................................................ 错误!未定义书签。 2、PPPoE .................................................................................................. 错误!未定义书签。 3、DHCP .................................................................................................... 错误!未定义书签。 三、路由配置 .................................................................................................. 错误!未定义书签。 1、静态路由............................................................................................. 错误!未定义书签。 2、动态路由............................................................................................. 错误!未定义书签。 四、区域设置Zone ......................................................................................... 错误!未定义书签。 五、策略配置 .................................................................................................. 错误!未定义书签。 1、策略元素定义..................................................................................... 错误!未定义书签。 2、防火墙策略配置................................................................................. 错误!未定义书签。 3、安全防护策略..................................................................................... 错误!未定义书签。 六、地址转换 .................................................................................................. 错误!未定义书签。 1、源地址转换-建立地址池................................................................... 错误!未定义书签。 2、源地址转换规则设置......................................................................... 错误!未定义书签。 七、VPN配置 ................................................................................................... 错误!未定义书签。 1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议)错误!未定义 书签。 2、建立第一阶段IKE策略..................................................................... 错误!未定义书签。 3、建立第一阶段IKE Gateway ............................................................. 错误!未定义书签。 4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议)错误!未定义 书签。 5、建立第一阶段IKE策略..................................................................... 错误!未定义书签。 6、建立VPN策略 .................................................................................... 错误!未定义书签。 八、Screen防攻击 ......................................................................................... 错误!未定义书签。 九、双机 .......................................................................................................... 错误!未定义书签。 十、故障诊断 .................................................................................................. 错误!未定义书签。前言、版本说明 产品:Juniper SRX240 SH 版本:JUNOS Software Release [ 注:测试推荐使用此版本。此版本对浏览速度、保存速度提高了一些,并且CPU占用率明显下降很多。 ,甚至90%) ,仍会提升一部分CPU) 一、界面菜单管理
宁德师范学院计算机系 实验报告 (—学年第学期) 课程名称计算机网络 实验名称实验4 路由器基本配置专业计算机科学与技术年级11级 学号姓名 指导教师 实验日期
实验目的与要求: 1、掌握路由器几种常用配置方法; 2、掌握采用Console线缆配置路由器的方法; 3、掌握采用telnet方式配置路由器的方法; 4、熟悉路由器不同的命令行操作模式以及各种模式之间的切换; 5、掌握路由器的基本配置命令; 实验设备(环境): Windows操作系统 Packet Tracer模拟器软件 实验内容: 1、新建实验拓扑图 2、熟悉路由器基本设置方式与常用命令 3、在路由器上配置IP地址 3、配置路由器远程密码 技术原理: 路由器的管理方式基本分为两种:带内管理和带外管理。通过路由器的Console口管理路由器属于带外管理,不占用路由器的网络接口,其特点是需要使用配置线缆,近距离配置。第一次配置时必须利用Console端口进行配置。 交叉线与直通线的用法:相同设备的连接要用交叉线,不同设备的连接要用直通线,此处的相同并不是以名称判断,而是以功能划分。如计算机和路由器也被认为是相同设备。 实验背景: 假设你是某公司新来的网络管理员,公司要求熟悉网络产品,首先要求你登录路由器,了解、掌握路由器的命令行操作。同时作为网管,你第一次在设备机房对路由器进行了初次配置后,希望以后再办公司或出差时也可以对设备进行远程管理,现在要在路由器上做适当的配置。 实验步骤: 路由器基本配置(一): 实验拓补图 1、用标准console线缆连接计算机的串口和路由器的console口,在计算机上启用超级终端,并配置
Juniper SRX防火墙配置手册 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接 口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unixcd 命令),exit命令退回上一级,top命令回到根级。 1.2 JunOS配置管理 JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate Config)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX 语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Active config)。另外,JUNOS 允许执行commit命令时要求管理员对提交的配置进行两次确认,如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
在执行commit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config),在执行commit后配置模式下可通过run show config命令查看当前有效配置(Active config)。此外可通过执行show | compare比对候选配置和有效配置的差异。 SRX上由于配备大容量硬盘存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit命令返回到以前配置(如rollback 0/commit可返回到前一commit配置);也可以直接通过执行save configname.conf手动保存当前配置,并执行load override configname.conf / commit调用前期手动保存的配置。执行load factory-default / commit命令可恢复到出厂缺省配置。 SRX可对模块化配置进行功能关闭与激活,如执行deactivate security nat/comit命令可使NAT 相关配置不生效,并可通过执行activate security nat/commit使NAT配置再次生效。 SRX通过set语句来配置防火墙,通过delete语句来删除配置,如delete security nat和edit security nat / delete一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。 1.3 SRX主要配置内容 部署SRX防火墙主要有以下几个方面需要进行配置: System:主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务(如telnet)等内容。 Interface:接口相关配置内容。 Security: 是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下完成配置,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等,可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下,除了Application自定义服务。 Application:自定义服务单独在此进行配置,配置内容与ScreenOS基本一致。 routing-options:配置静态路由或router-id等系统全局路由属性配置。 二、SRX防火墙配置对照说明 策略处理流程图
实验5 路由器基本配置实验 一、实验内容 1. 根据拓扑图进行网络布线 2. 对路由器进行基本的配置 二、实验目的及要求 1. 根据需要选择正确的电缆类型进行网络设备的连接 2. 掌握路由器基本的配置方法 3. 学习配置并激活以太网接口 4. 掌握测试网络连通性的方法 计划课时:4课时 三、 实验环境 PT 模拟软件 四、 基本拓扑和地址表 设备 接口 IP 地址 子网掩码 默认网关 R1 Fa0/0 192.168.1.1 255.255.255.0 不适用 S0/0/0 192.16821 255.255.255.0 不适用 R2 Fa0/0 192.168.3.1 255.255.255.0 不适用 S0/0/0 192.168.2.2 255.255.255.0 不适用 PC1 不适用 192.168.1.10 255.255.255.0 192.168.1.1 PC2 不适用 192.168.3.10 255.255.255.0 192.168.3.1 五、实验步骤 1 ?为网络中的以太网链路布线。 (1) 使用直通以太网电缆将 R1路由器的FastEthernet 0/0接口连接到S1交换机的 FastEthernet 0/1 接口。 (2) 使用直通以太网电缆将 PC1的网络接口卡(网卡)连接到 S1交换机的FastEthernet 0/24 接 口。 PC1 PC2
(3)使用交叉以太网电缆将R2路由器的FastEthernet 0/0接口连接到PC2的网卡。因为PC2和R2 路由器之间没有交换机,所以需要使用交叉电缆来直接连接 PC和路由器。 (4)将NULL串行电缆的DC錨接到R1路由器的S0/0/0接口,DTE端接到R2路由器的S0/0/0接口。 2.清除配置并重新加载路由器。 ( 1 )使用建立的超级终端会话,进入R1 的特权执行模式。 Router>enable ( 2)清除配置。 要清除配置,请使用erase startup-config 命令。当出现提示时请予以确认,并在询问是否保存更改时回答no 。结果应该类似如下所示: Router# erase startup-config Erasing the nvram filesystem will remove all files!Continue?[confirm] [OK] Erase of nvram:complete ( 3 )重新加载配置。 当返回提示符状态时,使用reload 命令。当出现提示时请予以确认。路由器完成启动过程后,选择不使用AutoInstall 功能,如下所示: Would you like to enter the initial configuration dialog?[yes/no]: no Would you like to terminate autoinstall?[yes]: Press Enter to accept default. Press RETURN to get started! ( 4)建立到路由器R2 的HyperTerminal 会话。 重复步骤 (1)到(3),清除任何可能存在的启动配置文件。 3 ?对路由器R1进行基本配置 ( 1 )将路由器名称配置为R1 。 Router(config)#hostname R1 ( 2)配置执行模式口令。 使用enable secret password 命令配置执行模式口令。使用class 替换password。 R1(config)#enable secret class ( 3)使用banner motd 命令配置当天消息标语。 R1(config)#banner motd & 标语& ( 4)在路由器上配置控制台口令。 使用123 作为口令。配置完成后,退出线路配置模式。 R1(config)#line console 0 R1(config-line)#password 123
实验三 路由器的基本配置 一、实验目的 1.掌握路由器命令行各种操作模式的区别,以及模式之间的切换。 2.学会查看路由器系统和配置信息,掌握路由器的工作状态。 二、实验设备 R1762路由器两台,PC 机一台,直连线一条,V.35线缆一条。 三、技术原理 路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互理解对方的数据,从而构成一个更大的网络。 路由器有以下四种命令行操作模式: 1.用户模式,提示符为Red-Giant >,这是进入路由器后得到的第一个模式,该模式下可以简单查看路由器的软硬件版本信息,并进行简单的测试。用户模式下输入enable 即可进入下面的特权模式。 2.特权模式,提示符为Red-Giant #,这是由用户模式进入的下一个模式,该模式下可以对路由器的配置文件进行管理和查看。特权模式下输入configure terminal 即可进入下面的全局配置模式。 3.全局配置模式,提示符为Red-Giant (config)#,属于特权模式的下一级模式,该模式下可以配置路由器的全局性参数(如主机名、登陆信息等)。全局模式下输入类似interface fastethernet 1/0即可进入下面的端口模式。 4.端口模式,提示符为Red-Giant (config-if)#,属于全局模式的下一级模式,该模式下可以对路由器的端口进行参数配置。 可以通过exit 命令退回到当前模式的上一级操作模式,通过end 命令从特权模式以下级别直接返回到特权模式。 锐捷路由器Fastethernet 接口默认情况下是10M/100M 自适应端口,双工模式也为自适应,并且在默认情况下路由器物理端口处于关闭状态。 路由器提供广域网接口(serial 高速同步串口),使用V .35线缆连接广域网接口链路。在广域网连接时一端为DCE (数据通信设备),一端为DTE (数据终端设备)。要求必须在DCE 端配置时钟频率(clock rate )才能保证链路的连通。在路由器的物理端口可以灵活配置带宽,但最大值为该端口的实际物理带宽。 四、实验步骤 1.首先熟悉路由器的命令行操作模式。实验拓扑如图3-1。 图3-1 2.依次输入以下命令熟悉路由器的各种操作模式。 Red-Giant>enable 14 !进入特权模式 Red-Giant # Red-Giant #configure terminal !进入全局配置模式 RouterA