Juniper 无线网络交换机功能测试手册手册
(Trapeze)(Version 1.0)
目录
第1章登陆无线网络交换机 (4)
1.1登录无线网络交换机方法简介 (4)
1.2 通过Console口进行本地登陆 (4)
1.3 通过SSH2或Telnet进行登陆 (5)
1.4 通过web方式登录 (6)
第2章系统基本配置 (6)
2.1配置系统名 (6)
2.2配置系统时间 (7)
2.3配置系统IP地址 (7)
2.4配置缺省路由 (7)
2.5系统初始化配置 (8)
2.6无线网络交换机密码恢复 (8)
第3章系统升级 (9)
3.1 通过WEB方式升级 (10)
3.2 通过网管软件RingMaster升级 (10)
3.3 通过CLI命令行升级 (10)
第4章 Trapeze配置实例 (11)
4.1 最简单的公共区域接入—用户不需要口令 (11)
4.2 访客使用Web-Portal接入 (12)
4.3 基于MAC地址进行认证 (14)
4.4 不同的认证加密方式 (15)
4.4.1 无需密码和用户名口令 (16)
4.4.2 wep加密,无需用户名口令认证 (17)
4.4.3 WPA-tkip加密 (17)
4.4.4 WPA2-TKIP加密 (17)
4.4.5 Wpa+WPA2-tkip (17)
4.4.6 WPA-AES (18)
4.4.7 WPA2-AES (18)
4.4.8 无加密,web-portal认证 (18)
4.4.9 wpa-tkip,web-portal认证 (19)
4.4.10 802.1X认证,WPA-tkip (19)
4.4.11 MAC-local认证,无加密 (19)
4.4.12 MAC-LOCAL认证,wpa-tkip (20)
4.5对802.1x的支持 (20)
4.6非法AP检测/分类/防护 (23)
4.7 Intra-Switch 漫游 (25)
4.8 跨交换机漫游 (26)
4.9 有线用户认证 (29)
4.10本地交换 (31)
4.11 MESH和网桥 (32)
4.12自动黑洞覆盖 (34)
4.13控制器冗余支持 (35)
4.14负载均衡 (37)
4.15 同一台MX上跨vlan漫游 (38)
第1章登陆无线网络交换机
1.1登录无线网络交换机方法简介
无线网络交换机的登陆,可以通过以下几种方式实现:
通过Console口进行本地登陆;
通过以太网端口利用SSH2进行本地或远程登陆;
通过以太网端口利用Telnet进行本地或远程登陆。
通过以太网端口利用web方式进行本地或远程登陆
1.2 通过Console口进行本地登陆
通过无线网络交换机Console口进行本地登陆是登陆无线控制器的最基本的方式,也是配置通过其他方式登陆无线网络交换机的基础。
用户终端的通信参数配置要和无线网络交换机Console 口的配置保持一致,才能通过Console口登陆到无线网络交换机上。无线网络交换机Console口的缺省配置如下:波特率设置为9600bit/s
数据位为8
无奇偶效验位
停止位为1
无数据流控制
Trapeze
无线网络交换机
管理配置主机
串口管理线
Console
如下图所示:
正确连接之后,敲回车键,就会出现“MXR-2-9792C0>”的登陆界面
其中:MXR-2为无线网络交换机的型号,9792C0为该无线网络交换机序列号的后6位。在出现上面登陆界面时输入“enable”后,屏幕提示要求输入密码,交换机默认是密码为空,直接回车就会进入交换机的特权配置模式,屏幕出示为“MXR-2-9792C0#”
1.3 通过SSH2或Telnet进行登陆
无线网络交换机支持SSH2和Telnet功能,管理员可通过SSH2或Telnet的方式对无线网络交换机进行远程管理和维护,无线交换机的缺省IP为192.168.100.1。
SSH2在缺省情况下是开启,而Telnet缺省情况下是关闭的,因此在进行Telnet管理之前需要先将无线网络交换机的Telnet功能打开,命令为:
set ip telnet server enable
想要通过SSH2和Telnet功能远程管理维护无线网络交换机,管理员必须先为”admin”账号配置密码或建立新的管理账号,命令如下:
set user username password [encrypted] string
set user admin password XXXX
1.4 通过web方式登录
浏览器输入无线网络交换机的IP地址:http://X.X.X.X
用户名为admin,密码为enablepassword(缺省为空)
第2章系统基本配置
2.1配置系统名
用户设置设备的名称。设备的名称对应于命令行接口的提示符,如设备的名称为Sysname,则CLI的提示符为Sysname#。
配置系统名的命令:
set system name string
例子:配置系统名为MX-20
MX# set system name MX-20
MX-20#
2.2配置系统时间
1.设置时区
命令:
set timezone zone-name {-hours [minutes]}
例子:设置为北京时间
MX-20# set timezone BJ 8 0
Timezone is set to 'BJ', offset from UTC is 8:0 hours.
2.设置时间
命令:
set timedate {date mmm dd yyyy [time hh:mm:ss]}
例子:
MX# set timedate date feb 29 2004 time 23:58:00
Time now is: Sun Feb 29 2004, 23:58:02 PST
2.3配置系统IP地址
系统IP地址是AP启动过程中,无线网络交换机和AP之间相互通信的IP地址。AP正常注册工作后,无线网络交换机也需要通过该IP地址发报文,以保证跟AP维持正常的通信。
命令:
set system ip-address ip-addr
例子:
MX# set system ip-address 192.168.253.1
2.4配置缺省路由
缺省路由用作跨网段访问无线网络交换机。
命令:
set ip route default ip-addr
例子:
MX# set ip route default 192.168.10.1 1
2.5系统初始化配置
在enable模式中输入quickstart可以清除已有配置。
MX-8#quickstart
This will erase any existing config. Continue? [n]: y
Answer the following questions. Enter '?' for help. ^C to break out
System Name [MX-8]:
Country Code [US]: CN #设置国家代码
System IP address : 192.168.1.100 #设置MX系统管理IP System IP address netmask []:255.255.255.0 #设置子网掩码
Default route:192.168.1.1 #设置网关
Do you need to use 802.1Q tagged ports for connectivity on the default VLAN? [n]:
Enable Webview [y]:
Admin username [admin]:
Admin password [mandatory]: 如果不设密码,此处先按空格键,再按回车键(设置密码为空)Enable password [optional]:
Do you wish to set the time? [y]: n
Do you wish to configure wireless? [y]: n
success: created keypair for ssh
success: Type "save config" to save the configuration
*MX-8#
2.6无线网络交换机密码恢复
在重启交换机的过程中,进入boot模式后,输入“boot OPT+=default”然后重启,可以实现交换机密码恢复。
在此时,迅速按下q 和ENTER键,会出现:Boot>
输入boot OPT+=default
Boot> boot OPT+=defaul t
Boot>reset
自动重启即可。
第3章系统升级
MSS升级方式有三种方式:
1)通过web方式升级;
2)通过RingMaster升级;
3)通过命令行升级
升级之前一定要详细阅读MSS_RN_X_X_X_X.pdf文档,如不能直接从MSS5.0直接升级到MSS7.0。
3.1 通过WEB方式升级
1.IE访问MX的IP
2.Maintain#-Update System Software
3.2 通过网管软件RingMaster升级
1.菜单栏Devices#右下角“Devices Operations”
2.下面添加MSS :“Image Repository”—“Add image”
3.安装新MSS:“Image Install”
3.3 通过CLI命令行升级
此方法请详细阅读MSS_RN_X_X_X_X.pdf文档
先在自己电脑上打开一个tftp server,添加准备安装的MSS版本。
然后在MX上配置:
copy tftp://192.168.0.254/WC090102.280 boot1:WC090102.280
set boot partition boot1 //指点从boot1分区启动
注:X.X.X.X是你的电脑的IP;至于boot0或boot1我们要选没有使用的boot
MX# dir 会包含如下内容,打*表示正在使用的boot
Boot:
Filename Size Created
*boot0:MX070A05.008 11 MB Jun 30 2009, 16:01:08
boot1:MX060702.008 8962 KB Mar 18 2009, 15:58:56
第4章Trapeze配置实例
4.1 最简单的公共区域接入—用户不需要口令
配置脚本
set ip route default 192.168.0.1 1 #设置网关
set system name MXR-2 #设置系统名称
set system ip-address 192.168.0.49 #设置系统IP
set system countrycode CN #设置国家代码为中国,必须设定
set timezone PRC 8 0 #设置时区
set service-profile public ssid-name public #建立一个SSID为public的service-profile
set service-profile public ssid-type clear #该SSID不加密
set service-profile public auth-fallthru last-resort #该SSID无需认证
set service-profile public attr vlan-name default #指定缺省的AAA属性(应该是该SSID对应的
VLAN)
set user admin password encrypted 0005170b0d55 #设置无线认证用户
set radio-profile default service-profile public #将service-profile与无线射频进行关联
set ap auto mode enable #将AP auto打开,允许ap自动up
set ap 9998 serial-id 0784400305 model MP-620 #设置AP(AP发现模式为二层模式)
set ap 9998 radio 1 mode enable #启动AP的802.11b/g
set ap 9998 radio 2 mode enable #启动AP的802.11a
set ip https server enable #开启web访问服务
set port poe 2 enable #开启将MXR-2的端口2的PoE功能
set security l2-restrict vlan 1 mode enable permit-mac 00:1a:70:d4:90:0f
#可选命令,二层隔离,只允许client访问网关
(00:1a:70:d4:90:0f为网关的MAC地址)
set interface 1 ip 192.168.0.49 255.255.255.0 #设置vlan 1 的interface IP
set interface 1 ip dhcp-server enable start 192.168.0.220 stop 192.168.0.230 primary-dns 219.141.136.10 default-router 192.168.0.1
#开启vlan 1的DHCP server
4.2 访客使用Web-Portal接入
set ip route default 192.168.10.1 1 #设置缺省路由
set system name Trapeze #设置系统名称
set system ip-address 192.168.10.2 #设置系统IP
set system countrycode CN #设置国家代码
set timezone cnt 8 0 #设置时区
set service-profile test ssid-name test #设置一个ssid名称为test
set service-profile test l ssid-type clear #ssid不加密
set service-profile test auth-fallthru web-portal #该ssid将采用web-portal认证方式set service-profile test cipher-tkip enable
set service-profile test auth-dot1x disable #关闭802.1x认证
set service-profile test web-portal-acl portalacl #将web-portal认证的acl与ssid关联set service-profile test attr vlan-name default #将该ssid与default vlan关联
set authentication web ssid test ** local #采用本地认证用户(MX上的user)set user admin password 12345678 #创建本地认证用户
set radio-profile default service-profile test #将service-profile与无线射频关联set ap auto mode enable #开启ap自动上线模式
set ap 30 serial-id 0775101673 model MP-422 #新建一个ap
set ap 30 radio 1 mode enable #开启ap 30的802.11b/g
set ap 30 radio 2 mode enable #开启ap 30的802.11a
set port poe 1 enable #开启所有poe端口的poe功能
set port poe 2 enable
set port poe 3 enable
set port poe 4 enable
set port poe 5 enable
set port poe 6 enable
set vlan 1 port 1 #端口所属的vlan
set vlan 1 port 2
set vlan 1 port 3
set vlan 1 port 4
set vlan 1 port 5
set vlan 1 port 6
set vlan 1 port 7
set vlan 1 port 8
set interface 1 ip 192.168.10.2 255.255.255.0 #设置vlan 1的interface ip
set interface 1 ip dhcp-server enable start 192.168.10.10 stop 192.168.10.100 primary-dns 202.96.128.86 secondary-dns 202.96.128.166 default-router 192.168.10.1
#开启MX上的dhcp server
4.3 基于MAC地址进行认证
配置脚本
set ip route default 192.168.10.1 1 #设置缺省路由
set system name Trapeze #设置系统名称
set system ip-address 192.168.10.2 #设置系统IP
set system countrycode CN #设置国家代码
set timezone cnt 8 0 #设置时区
set service-profile mac ssid-name mac #设置ssid名称为mac
set service-profile mac ssid-type clear #ssid不加密
set service-profile mac cipher-tkip enable
set service-profile mac auth-dot1x disable #关闭802.1x认证
set service-profile mac attr vlan-name default #将该ssid与default vlan关联
set authentication mac ssid mac * local #mac认证用户来自本地
set mac-user 00:11:22:33:44:55 #创建本地mac认证用户
set radio-profile default service-profile test #将service-profile与无线射频关联
set ap auto mode enable #开启ap自动上线模式
set ap 30 serial-id 0775101673 model MP-422 #新建一个ap
set ap 30 radio 1 mode enable #开启ap 30的802.11b/g
set ap 30 radio 2 mode enable #开启ap 30的802.11a
set port poe 1 enable #开启所有poe端口的poe功能
set port poe 2 enable
set port poe 3 enable
set port poe 4 enable
set port poe 5 enable
set port poe 6 enable
set vlan 1 port 1 #端口所属的vlan
set vlan 1 port 2
set vlan 1 port 3
set vlan 1 port 4
set vlan 1 port 5
set vlan 1 port 6
set vlan 1 port 7
set vlan 1 port 8
set interface 1 ip 192.168.10.2 255.255.255.0 #设置vlan 1的interface ip
set interface 1 ip dhcp-server enable start 192.168.10.10 stop 192.168.10.100 primary-dns 202.96.128.86 secondary-dns 202.96.128.166 default-router 192.168.10.1
#开启MX上的dhcp server
4.4 不同的认证加密方式
4.4.1 无需密码和用户名口令
set ip route default 192.168.0.1 1 #设置网关
set system name MXR-2 #设置系统名称
set system ip-address 192.168.0.49 #设置系统IP
set system countrycode CN #设置国家代码
set timezone PRC 8 0 #设置时区
set service-profile open ssid-name open#建立一个SSID为open的service-profile
set service-profile open ssid-type clear #该SSID不加密
set service-profile open auth-fallthru last-resort #该SSID无需认证
set service-profile open attr vlan-name default #指定缺省的AAA属性
set user admin password encrypted 0005170b0d55 #设置无线认证用户
set radio-profile default service-profile open#将service-profile与无线射频进行关联
set ap auto mode enable #将AP auto打开,允许ap自动up
set ap 9998 serial-id 0784400305 model MP-620 #设置AP
set ap 9998 radio 1 mode enable #启动AP的802.11b/g
set ap 9998 radio 2 mode enable #启动AP的802.11a
set ip https server enable #开启web访问服务
set port poe 2 enable #开启将MXR-2的端口2的PoE功能
set security l2-restrict vlan 1 mode enable permit-mac 00:1a:70:d4:90:0f
#可选命令,二层隔离,只允许client访问网关
(00:1a:70:d4:90:0f为网关的MAC地址)
set interface 1 ip 192.168.0.49 255.255.255.0 #设置vlan 1 的interface IP
set interface 1 ip dhcp-server enable start 192.168.0.220 stop 192.168.0.230 primary-dns 219.141.136.10 default-router 192.168.0.1
#开启vlan 1的DHCP server
4.4.2 wep加密,无需用户名口令认证
将4.4.1中的红色字体部分换成如下配置,即可:
set service-profile Open ssid-name open
set service-profile Open auth-fallthru last-resort
set service-profile Open wep key-index 1 key 1234567890
set service-profile Open wep key-index 2 key abcdefghij
set service-profile Open cipher-tkip enable
set service-profile Open auth-dot1x disable
set service-profile Open attr vlan-name default
4.4.3 WPA-tkip加密
将4.4.1中的红色字体部分换成如下配置,即可:
set service-profile Open ssid-name open
set service-profile Open auth-fallthru last-resort
set service-profile Open cipher-tkip enable
set service-profile Open wpa-ie enable
set service-profile Open psk-phrase 1234567890
set service-profile Open auth-psk enable
set service-profile Open auth-dot1x disable
set service-profile Open attr vlan-name default
4.4.4 WPA2-TKIP加密
将4.4.1中的红色字体部分换成如下配置,即可:
set service-profile Open ssid-name open
set service-profile Open auth-fallthru last-resort
set service-profile Open cipher-tkip enable
set service-profile Open rsn-ie enable
set service-profile Open psk-phrase 1234567890
set service-profile Open auth-psk enable
set service-profile Open auth-dot1x disable
set service-profile Open attr vlan-name default
4.4.5 Wpa+WPA2-tkip
将4.4.1中的红色字体部分换成如下配置,即可:
set service-profile Open ssid-name open
set service-profile Open auth-fallthru last-resort
set service-profile Open cipher-tkip enable
set service-profile Open wpa-ie enable
set service-profile Open rsn-ie enable
set service-profile Open psk-phrase 1234567890
set service-profile Open auth-psk enable
set service-profile Open auth-dot1x disable
set service-profile Open attr vlan-name default
4.4.6 WPA-AES
将4.4.1中的红色字体部分换成如下配置,即可:
set service-profile open ssid-name open
set service-profile open auth-fallthru last-resort
set service-profile open cipher-ccmp enable
set service-profile open wpa-ie enable
set service-profile open psk-encrypted 06005b7419195c4c014441595a512c set service-profile open auth-psk enable
set service-profile open auth-dot1x disable
set service-profile open attr vlan-name default
4.4.7 WPA2-AES
将4.4.1中的红色字体部分换成如下配置,即可:
set service-profile open ssid-name open
set service-profile open auth-fallthru last-resort
set service-profile open cipher-ccmp enable
set service-profile open rsn-ie enable
set service-profile open psk-encrypted 06005b7419195c4c014441595a512c set service-profile open auth-psk enable
set service-profile open auth-dot1x disable
set service-profile open attr vlan-name default
4.4.8 无加密,web-portal认证
将4.4.1中的红色字体部分换成如下配置,即可:
set service-profile Web-Portal ssid-name Web-Portal
set service-profile Web-Portal ssid-type clear
set service-profile Web-Portal auth-fallthru web-portal
set service-profile Web-Portal cipher-tkip enable
set service-profile Web-Portal auth-dot1x disable
set service-profile Web-Portal web-portal-acl portalacl
set service-profile Web-Portal attr vlan-name default
set authentication web ssid Web-Portal ** local
4.4.9 wpa-tkip,web-portal认证
将4.4.1中的红色字体部分换成如下配置,即可:
set service-profile Web-Portal ssid-name Web-Portal
set service-profile Web-Portal auth-fallthru web-portal
set service-profile Web-Portal cipher-tkip enable
set service-profile Web-Portal wpa-ie enable
set service-profile Web-Portal psk-encrypted 121f554e4b5a55517c79777e366
set service-profile Web-Portal auth-psk enable
set service-profile Web-Portal auth-dot1x disable
set service-profile Web-Portal web-portal-acl portalacl
set service-profile Web-Portal attr vlan-name default
set authentication web ssid Web-Portal ** local
(wpa-tkip、web-portal认证是将wpa-tkip无认证和web-portal认证无加密整合在一起)
(WPA2-tkip、web-portal认证只需将wpa-ie换成rsn-ie即可)
4.4.10 802.1X认证,WPA-tkip
将4.4.1中的红色字体部分换成如下配置,即可:
set service-profile 802.1X ssid-name 802.1X
set service-profile 802.1X cipher-tkip enable
set service-profile 802.1X wpa-ie enable
set service-profile 802.1X attr vlan-name default
set radius server server11 address 192.168.10.1 timeout 5 retransmit 3 deadtime 0 encrypted-key 0559555d751e1a5b
set server group server11-group members server11
set authentication dot1x ssid 802.1X ** pass-through server11-group
4.4.11 MAC-local认证,无加密
将4.4.1中的红色字体部分换成如下配置,即可:
set service-profile mac ssid-name mac
set service-profile mac ssid-type clear
set service-profile mac cipher-tkip enable
set service-profile mac auth-dot1x disable
set service-profile mac attr vlan-name default
set authentication mac ssid mac * local
4.4.12 MAC-LOCAL认证,wpa-tkip
将4.4.1中的红色字体部分换成如下配置,即可:
set service-profile mac ssid-name mac
set service-profile mac cipher-tkip enable
set service-profile mac wpa-ie enable
set service-profile mac psk-encrypted 1415130e5e567f79757161617b47051453 set service-profile mac auth-psk enable
set service-profile mac auth-dot1x disable
set service-profile mac attr vlan-name default
set authentication mac ssid mac * local
4.5对802.1x的支持
J u n i p e r S A基本配置手 册
Juniper SA 基本配置手册 联强国际-李铭 2009 年10 月 第一章Juniper SA 配置步骤、名词解释 (2) 第二章初始化、基本配置 (4) Console下进行初始化配 置 ......................................................................... (4) Web中管理员身份登 录......................................................................... (6) 基本配置............................................................................. ..........................................7 第三章认证服务器的配置............................................................................. 11 第四章用户角色的配置(Role) ........................................................................ ......................13 第五章用户区域的配置(Realm) ........................................................................ ...................16 第六章资源访问策略的配置(resource policy)..................................................................19 第七章用户登陆的配置(sign in policy) ........................................................................ ...23 第八章SAM的应用与配置............................................................................. .. (26) 功能SAM介 绍:........................................................................ (26) WSAM-Client Applications应用范 例 (26) WSAM Destinations 应用范 例......................................................................... (31) JSAM应用范 例......................................................................... (34)
Juniper SRX配置手册
目录 一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (3) 1.3 SRX主要配置内容 (4) 二、SRX防火墙配置对照说明 (5) 2.1 初始安装 (5) 2.1.1 登陆 (5) 2.1.2 设置root用户口令 (5) 2.1.3 设置远程登陆管理用户 (5) 2.1.4 远程管理SRX相关配置 (6) 2.2 Policy (6) 2.3 NAT (7) 2.3.1 Interface based NAT (7) 2.3.2 Pool based Source NAT (8) 2.3.3 Pool base destination NAT (9) 2.3.4 Pool base Static NAT (10) 2.4 IPSEC VPN (10) 2.5 Application and ALG (12) 2.6 JSRP (12) 三、SRX防火墙常规操作与维护 (14) 3.1 设备关机 (14) 3.2 设备重启 (15) 3.3 操作系统升级 (15) 3.4 密码恢复 (15) 3.5 常用监控维护命令 (16)
Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),exit命令退回上一级,top命令回到根级。 1.2 JunOS配置管理 JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate
Juniper SRX防火墙基本配置手册
1SRX防火墙的PPPoE拔号配置 Juniper SRX防火墙支持PPPoE拔号,这样防火墙能够连接ADSL链路,提供给内网用户访问网络的需求。 配置拓扑如下所示: Juniper SRX240防火墙 在Juniper SRX防火墙上面设置ADSL PPPoE拔号,可以在WEB界面或者命令行下面查看PPPoE拔号接口pp0,在命令行下面的查看命令如下所示: juniper@HaoPeng# run show interfaces terse | match pp Interface Admin Link Proto Local Remote pp0 up up 在WEB界面下,也能够看到PPPoE的拔号接口pp0 配置步聚如下所示: 第一步:选择接口ge-0/0/4作为PPPoE拔号接口的物理接口,将接口封装成PPPoE To configure PPPoE encapsulation on an Ethernet interface: juniper@HaoPeng# set interfaces ge-0/0/4 unit 0 encapsulation ppp-over-ether 第二步:配置PPPoE接口PP0.0的参数 To create a PPPoE interface and configure PPPoE options: user@host# set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/4.0 auto-reconnect 100 idle-timeout 100 client
前言、版本说明 (3) 一、界面菜单管理 (5) 2、WEB管理界面 (6) (1)Web管理界面需要浏览器支持Flash控件。 (6) (2)输入用户名密码登陆: (7) (3)仪表盘首页 (7) 3、菜单目录 (10) 二、接口配置 (16) 1、接口静态IP (16) 2、PPPoE (17) 3、DHCP (18) 三、路由配置 (20) 1、静态路由 (20) 2、动态路由 (21) 四、区域设置Zone (23) 五、策略配置 (25) 1、策略元素定义 (25) 2、防火墙策略配置 (29) 3、安全防护策略 (31) 六、地址转换 (32) 1、源地址转换-建立地址池 (33)
2、源地址转换规则设置 (35) 七、VPN配置 (37) 1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (38) 2、建立第一阶段IKE策略 (39) 3、建立第一阶段IKE Gateway (40) 4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (41) 5、建立第一阶段IKE策略 (42) 6、建立VPN策略 (43) 八、Screen防攻击 (46) 九、双机 (48) 十、故障诊断 (49)
前言、版本说明 产品:Juniper SRX240 SH 版本:JUNOS Software Release [9.6R1.13] 注:测试推荐使用此版本。此版本对浏览速度、保存速度提高了一些,并且CPU占用率明显下降很多。 9.5R2.7版本(CPU持续保持在60%以上,甚至90%) 9.6R1.13版本(对菜单操作或者保存配置时,仍会提升一部分CPU)
Juniper 常用配置 一、基本操作 1、登录设备 系统初始化用户名是roo t,密码是空。在用户模式下输入configure或者是edit可以进入配置模式。 2、设置用户名:set host-name EX4200。 3、配置模式下运行用户模式命令,则需要在命令前面加一个run,如:run show interface 。 4、在show 后面使用管道符号加上display set将其转换成set 格式命令show protocols ospf | display set 。 5、在需要让配置生效需要使用commit命令,在commit之前使用commit check来对配置进行语法检查。如果提交之后,可以使用rollback进行回滚,rollback 1回滚上一次提前之前的配置,rollback 2则是回滚上 2 次提交之前的配置。 6、交换机重启:request system reboot 7、交换机关机:request system halt 二、交换机基本操作 2.1 设置root密码 交换机初始化用户名是root 是没有密码的,在进行commit 之前必须修改root 密码。明文修改方式只是输入的时候是明文,在交换机中还是以密文的方式存放的。 实例: 明文修改方式: lab@EX4200-1# top [edit] lab@EX4200-1# edit system [edit system] lab@EX4200-1# set root-authentication plain-text-password 2.2 设置删除主机名 实例:
#"设置主机名为EX4200" lab@EX4200-1# edit system [edit system] lab@EX4200-1# set host-name EX4200 #”删除命令”# lab@EX4200-1# edit system [edit system] lab@EX4200-1# delete host-name EX4200 2.3 开启Telnet登陆服务 说明:在默认缺省配置下,EX 交换机只是开放了http 远程登陆方式,因此如果想通过telnet登陆到交换机上,必须在系统中打开telnet 服务。 实例: lab@EX4200-1# edit system service [edit system services] #打开Telnet 服务 lab@EX4200-1# set telnet #同时telnet 的最大连接数范围1-250 lab@EX4200-1# set telnet connection-limit 10 #每分钟同时最大连接数范围1-250 lab@EX4200-1# set telnet rate-limit 10 #删除telnet服务 lab@EX4200-1# edit system service [edit system services] lab@EX4200-1# delete telnet 2.4 开启远程ssh登陆 EX 交换机默认是没有开启SSH 服务,当你打开了SSH 服务而没有制定SSH 的版本,系统自动支持V1和V2 版本。如果你指定了SSH 的版本,则系统只允许你指定版本的SSH 登陆。 实例: lab@EX4200-1# edit system service
Juniper SRX防火墙配置手册
Juniper SRX防火墙配置说明 1系统配置 (1) 1.1配置ROOT帐号密码 (1) 1.2配置用户名和密码 (2) 2接口配置 (8) 2.1IPV4地址配置 (9) 2.2接口T RUNK模式配置 (13) 2.3接口A CC ESS模式配置 (14) 3VLAN配置 (15) 3.1创建VLAN配置 (15) 4路由配置 (19) 4.1静态路由配置 (21) 5自定义应用配置 (22) 5.1自定义服务配置 (22) 5.2应用组配置 (23) 6地址组配置 (24) 6.1地址簿配置 (24) 6.2地址组配置 (25) 7日程表配置 (27) 8NAT配置 (30) 8.1S TA TIC NA T配置 (30)
1 系统配置 1.1 配置root帐号密码 首次登陆设备时,需要采用console方式,登陆用户名为:root,密码为空,登陆到cli下以后,执行如下命令,设置root帐号的密码。 root# set system root-authentication plain-text-password root# new password : root123 root# retype new password: root123 密码将以密文方式显示。 注意:必须要首先配置root帐号密码,否则后续所有配置的修改都无法提交。 SRX系列低端设备在开机后,系统会加载一个默认配置,设备的第一个接口被划分在trust区域,配置一个ip地址192.168.1.1,允许ping、telnet、web等管理方式,可以通过该地址登陆设备。登陆后显示页面如下:
Juniper防火墙简明实用手册 (版本号:V1.0)
目录 1 juniper中文参考手册重点章节导读 (4) 1.1第二卷:基本原理 (4) 1.1.1第一章:ScreenOS 体系结构 (4) 1.1.2第二章:路由表和静态路由 (4) 1.1.3第三章:区段 (4) 1.1.4第四章:接口 (5) 1.1.5第五章:接口模式 (5) 1.1.6第六章:为策略构建块 (5) 1.1.7第七章:策略 (6) 1.1.8第八章:地址转换 (6) 1.1.9第十一章:系统参数 (6) 1.2第三卷:管理 (6) 1.2.1第一章:管理 (6) 1.2.2监控NetScreen 设备 (7) 1.3第八卷:高可用性 (7) 1.3.1NSRP (7)
1.3.2故障切换 (8) 2Juniper防火墙初始化配置和操纵 (9) 3查看系统概要信息 (10) 4主菜单常用配置选项导航 (10) 5Configration配置菜单 (12) 5.1Date/Time:日期和时间 (12) 5.2Update更新系统镜像和配置文件 (13) 5.2.1更新ScreenOS系统镜像 (13) 5.2.2更新config file配置文件 (14) 5.3Admin管理 (15) 5.3.1Administrators管理员账户管理 (15) 5.3.2Permitted IPs:允许哪些主机可以对防火墙进行管理 (16) 6Networks配置菜单 (17) 6.1Zone安全区 (17) 6.2Interfaces接口配置 (18) 6.2.1查看接口状态的概要信息 (18)
Juniper SRX防火墙简明配置手册
目录 一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (3) 1.3 SRX主要配置内容 (4) 二、SRX防火墙配置对照说明 (5) 2.1 初始安装 (5) 2.1.1 登陆 (5) 2.1.2 设置root用户口令 (5) 2.1.3 设置远程登陆管理用户 (5) 2.1.4 远程管理SRX相关配置 (6) 2.2 Policy (6) 2.3 NAT (7) 2.3.1 Interface based NAT (7) 2.3.2 Pool based Source NAT (8) 2.3.3 Pool base destination NAT (9) 2.3.4 Pool base Static NAT (10) 2.4 IPSEC VPN (10) 2.5 Application and ALG (11) 2.6 JSRP (12) 三、SRX防火墙常规操作与维护 (14) 3.1 设备关机 (14) 3.2 设备重启 (14) 3.3 操作系统升级 (14) 3.4 密码恢复 (15) 3.5 常用监控维护命令 (16)
Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd 命令),exit命令退回上一级,top命令回到根级。 1.2 JunOS配置管理 JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate Config)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Active config)。另外,JUNOS允许执行commit命令时要求
前言、版本说明 (1) 一、界面菜单管理 (3) 2、WEB管理界面 (4) (1)Web管理界面需要浏览器支持Flash控件。 (4) (2)输入用户名密码登陆: (4) (3)仪表盘首页 (5) 3、菜单目录 (7) 二、接口配置 (12) 1、接口静态IP (12) 2、PPPoE (13) 3、DHCP (14) 三、路由配置 (16) 1、静态路由 (16) 2、动态路由 (16) 四、区域设置Zone (18) 五、策略配置 (20) 1、策略元素定义 (20) 2、防火墙策略配置 (22) 3、安全防护策略 (25) 六、地址转换 (26) 1、源地址转换-建立地址池 (26) 2、源地址转换规则设置 (27) 七、VPN配置 (30) 1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (30) 2、建立第一阶段IKE策略 (31) 3、建立第一阶段IKE Gateway (32) 4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (33) 5、建立第一阶段IKE策略 (34) 6、建立VPN策略 (35) 八、Screen防攻击 (38) 九、双机 (39) 十、故障诊断 (39) 前言、版本说明
产品:Juniper SRX240 SH 版本:JUNOS Software Release [9.6R1.13] 注:测试推荐使用此版本。此版本对浏览速度、保存速度提高了一些,并且CPU占用率明显下降很多。 9.5R2.7版本(CPU持续保持在60%以上,甚至90%) 9.6R1.13版本(对菜单操作或者保存配置时,仍会提升一部分CPU)
#---表示翻译不一定准确 *---表示常用命令 >get ? Address show address book显示地址信息 admin show admin information 显示管理员信息 alarm show alarm info 显示报警信息 alg application layer gateway information 应用层网关信息 alg-portnum get ALG port num 获得ALG接口号码 alias get alias definitions 得到别名定义 arp show ARP entries 显示ARP记录 asp asp attack show attacks 显示攻击信息 auth show authentication information 显示登陆信息认证信息 auth-server authentication server settings 认证服务器设置 backu4p backup information 备份信息 chassis show chassis information 显示机架信息(机架温度….) clock show system clock 显示系统时钟 config show system configuration 显示系统配置信息 console show console parameters 显示控制台参数设置 counter show counters 显示计数器仪表 di get deep inspection parameters 深入检测参数 dialer get dialer information 得到拨号器信息 dip show all dips in a vsys or root 显示所有dip里的虚拟系统或者根dip-in show incoming dip table info 显示进入DIP表的信息 dns show dns info 显示DNS信息 domain show domain name 显示域名 dot1x display IEEE802.1X global configuration 显示IEEE802.1X全局配置driver show driver info 显示驱动信息 envar show environment variables 显示环境变量信息 event show event messages 显示事件消息 file show 显示文件信息 firewall show firewall protection information 显示防火墙保护信息 gate show gate info 阀门信息显示 global-pro global-pro settings 全局设置 # group show groups 显示组信息 group-expression group expressions details 组的表达方式详细信息 hostname show host name 显示主机名 igmp IGMP ike get IKE info 得到密钥信息 infranet Infranet Controller configuration Infranet控制器配置interface show interfaces 显示接口信息 ip get ip parameters 获得IP参数 ip-classification Show IP classification 显示IP分类 ippool get ippool info 得到IP地址池信息 ipsec get ipsec information 得到安全协议的信息 irdp show IRDP status 显示IRDP的状态地位
前言、版本说明 .............................................................................................. 错误!未定义书签。 一、界面菜单管理 ...................................................................................... 错误!未定义书签。 2、WEB管理界面 ..................................................................................... 错误!未定义书签。 (1)Web管理界面需要浏览器支持Flash控件。...................... 错误!未定义书签。 (2)输入用户名密码登陆:......................................................... 错误!未定义书签。 (3)仪表盘首页............................................................................. 错误!未定义书签。 3、菜单目录............................................................................................. 错误!未定义书签。 二、接口配置 .................................................................................................. 错误!未定义书签。 1、接口静态IP........................................................................................ 错误!未定义书签。 2、PPPoE .................................................................................................. 错误!未定义书签。 3、DHCP .................................................................................................... 错误!未定义书签。 三、路由配置 .................................................................................................. 错误!未定义书签。 1、静态路由............................................................................................. 错误!未定义书签。 2、动态路由............................................................................................. 错误!未定义书签。 四、区域设置Zone ......................................................................................... 错误!未定义书签。 五、策略配置 .................................................................................................. 错误!未定义书签。 1、策略元素定义..................................................................................... 错误!未定义书签。 2、防火墙策略配置................................................................................. 错误!未定义书签。 3、安全防护策略..................................................................................... 错误!未定义书签。 六、地址转换 .................................................................................................. 错误!未定义书签。 1、源地址转换-建立地址池................................................................... 错误!未定义书签。 2、源地址转换规则设置......................................................................... 错误!未定义书签。 七、VPN配置 ................................................................................................... 错误!未定义书签。 1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议)错误!未定义 书签。 2、建立第一阶段IKE策略..................................................................... 错误!未定义书签。 3、建立第一阶段IKE Gateway ............................................................. 错误!未定义书签。 4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议)错误!未定义 书签。 5、建立第一阶段IKE策略..................................................................... 错误!未定义书签。 6、建立VPN策略 .................................................................................... 错误!未定义书签。 八、Screen防攻击 ......................................................................................... 错误!未定义书签。 九、双机 .......................................................................................................... 错误!未定义书签。 十、故障诊断 .................................................................................................. 错误!未定义书签。前言、版本说明 产品:Juniper SRX240 SH 版本:JUNOS Software Release [ 注:测试推荐使用此版本。此版本对浏览速度、保存速度提高了一些,并且CPU占用率明显下降很多。 ,甚至90%) ,仍会提升一部分CPU) 一、界面菜单管理
root# cli #相当于cisco的en root@> cli> configure #相当于cisco的configure terminal [edit] root@# set system host-name router1 #配置路由器的名字为router1 root@# set system domain-name https://www.doczj.com/doc/9716100800.html, #配置路由器所在域为https://www.doczj.com/doc/9716100800.html, root@# set interfaces fxp0 unit 0 family inet address 192.168.15.1/24 #配置fxp0 unit 0的接口地址,fxp0代表管理接口,unit 0代表子接口,inet代表是ipv4地址。 root@# set system backup-router 192.168.15.2 #backup-router是本路由器的直连路由器,在路由器启动的时候, #JUNOS路由软件(routing protocol process, RPD)没有立即启动, #路由器将自动生成一条到back-up router的缺省路由,当路由器启动完成后再自动删除这条路由。 root@# set system name-server 192.168.15.3 #DNS的地址 root@# set system root-authentication plain-text-password #设置明文密码 New password: Retype password: #输入并且确认密码,要求字母和数字。 root@# commit #确认配置,在没有确认配置的时候所有配置都是不生效的! root@router1# exit root@router1> #保存配置用save命令 [edit] aviva@router1# save configuration-march02 Wrote 433 lines of configuration to configuration-march02 #察看保存过的文件用run file list命令 aviva@router1# run file list /var/home/aviva: .ssh/ configuration-march02 #用保存的文件载入配置用load replace命令。 load replace XXX
Juniper SRX防火墙配置手册 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接 口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unixcd 命令),exit命令退回上一级,top命令回到根级。 1.2 JunOS配置管理 JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate Config)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX 语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Active config)。另外,JUNOS 允许执行commit命令时要求管理员对提交的配置进行两次确认,如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
在执行commit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config),在执行commit后配置模式下可通过run show config命令查看当前有效配置(Active config)。此外可通过执行show | compare比对候选配置和有效配置的差异。 SRX上由于配备大容量硬盘存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit命令返回到以前配置(如rollback 0/commit可返回到前一commit配置);也可以直接通过执行save configname.conf手动保存当前配置,并执行load override configname.conf / commit调用前期手动保存的配置。执行load factory-default / commit命令可恢复到出厂缺省配置。 SRX可对模块化配置进行功能关闭与激活,如执行deactivate security nat/comit命令可使NAT 相关配置不生效,并可通过执行activate security nat/commit使NAT配置再次生效。 SRX通过set语句来配置防火墙,通过delete语句来删除配置,如delete security nat和edit security nat / delete一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。 1.3 SRX主要配置内容 部署SRX防火墙主要有以下几个方面需要进行配置: System:主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务(如telnet)等内容。 Interface:接口相关配置内容。 Security: 是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下完成配置,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等,可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下,除了Application自定义服务。 Application:自定义服务单独在此进行配置,配置内容与ScreenOS基本一致。 routing-options:配置静态路由或router-id等系统全局路由属性配置。 二、SRX防火墙配置对照说明 策略处理流程图
CLI配置: 操作模式 进入和退出操作模式: 下面的例子显示了使用用户名root登陆到路由器进入到操作模式 login: root Password: Last login: Wed Nov 28 18:40:03 from 192.168.161.250 --- JUNOS 5.0R2.4 built 2001-09-25 02:34:13 UTC root@52network> Exit the operational mode by using the quit command: root@52network> quit 52network (ttyd0) login: 设置CLI: 1. set cli命令: root@52network> set CLI ? Possible completions: complete-on-space Toggle word completion on space idle-timeout Set the CLI maximum idle time prompt Set the CLI command prompt string restart-on-upgrade Set CLI to prompt for restart after a software upgrade screen-length Set number of lines on screen screen-width Set number of characters on a line terminal Set terminal type 2.set CLI complete-on-space 这个命令将允许自动完成命令,语法如下:
SRX(9.6R1.13)测试报告 联强国际
前言、版本说明 (3) 一、界面菜单管理 (5) 2、WEB管理界面 (5) (1)Web管理界面需要浏览器支持Flash控件。 (5) (2)输入用户名密码登陆: (5) (3)仪表盘首页 (6) 3、菜单目录 (8) 二、接口配置 (13) 1、接口静态IP (13) 2、PPPoE (14) 3、DHCP (15) 三、路由配置 (17) 1、静态路由 (17) 2、动态路由 (17) 四、区域设置Zone (19) 五、策略配置 (21) 1、策略元素定义 (21) 2、防火墙策略配置 (23) 3、安全防护策略 (26) 六、地址转换 (27) 1、源地址转换-建立地址池 (27) 2、源地址转换规则设置 (28) 七、VPN配置 (31) 1、建立第一阶段加密建议IKE Proposal (Phase 1) (或者用默认提议) (31) 2、建立第一阶段IKE策略 (32) 3、建立第一阶段IKE Gateway (33) 4、建立第二阶段加密提议IKE Proposal (Phase 2) (或者用默认提议) (34) 5、建立第一阶段IKE策略 (35) 6、建立VPN策略 (36) 八、Screen防攻击 (39) 九、双机 (40) 十、故障诊断 (40)
前言、版本说明 产品:Juniper SRX240 SH 版本:JUNOS Software Release [9.6R1.13] 注:测试推荐使用此版本。此版本对浏览速度、保存速度提高了一些,并且CPU占用率明显下降很多。 9.5R2.7版本(CPU持续保持在60%以上,甚至90%) 9.6R1.13版本(对菜单操作或者保存配置时,仍会提升一部分CPU)