下载文档原格式
防火墙基本配置步骤
防火墙的基本配置分三个步骤:
1、配置接口的IP地址和接口模式。
2、配置默认路由!
3、配置允许策略,TRUST到UNTRUST的策略!
这个是接口栏的截图:单击EDIT即可进行编辑!这里需要编辑trust口和untrust口!
这是点击trust口的edit后进入的配置界面,您只要输入IP地址和掩码位即可!注意:Manage ip* 对应的空白框一定不要填入内容,截图里的是自动生成的!其他保持默认,单击下面的OK即可完成!
下图是点击untrust口的edit进入编辑,选择static ip ,填入IP地址和掩码位,这里的IP是公网IP地址,manage ip那依然保持空白,模式为route,然后在service options选项栏中,将web ui,telnet,ping;三处打勾,如图!
然后点击OK即可完成!
点击左栏的Destination选项即可出现路由界面:新建点击NEW即可!
下图为点击NEW后出现的画面:如图填入内容,ip address/netmask填入0.0.0.0/0,
Next hop处选择gateway,在interface 处的下拉菜单中选择出口,gateway ip address填入UNTRUST口IP地址的下一跳网关即可!其他默认单击OK完成!
trust,TO处选择untrust,然后点击NEW!
点击new后的配置界面,如图配置即可!source address,destination address,service三处都选择ANY,action选permit, 在logging处打勾,其他保持默认,点击OK即可!
下图为蓝影标出的这条策略就是如上图配置完成后看到的结果!。
Juniper的基本配置:root# cli#相当于cisco的enroot@>cli> configure#相当于cisco的configure terminal[edit]root@# set system host-name router1#配置路由器的名字为router1root@# set system domain-name #配置路由器所在域为root@# set interfaces fxp0 unit 0 family inet address 192.168.15.1/24#配置fxp0 unit 0的接口地址,fxp0代表管理接口,unit 0代表子接口,inet代表是ipv4地址。
root@# set system backup-router 192.168.15.2#backup-router是本路由器的直连路由器,在路由器启动的时候,#JUNOS路由软件(routing protocol process, RPD)没有立即启动,#路由器将自动生成一条到back-up router的缺省路由,当路由器启动完成后再自动删除这条路由。
root@# set system name-server 192.168.15.3#DNS的地址root@# set system root-authentication plain-text-password#设置明文密码New password:Retype password:#输入并且确认密码,要求字母和数字。
root@# commit#确认配置,在没有确认配置的时候所有配置都是不生效的!root@router1# exitroot@router1>#保存配置用save命令[edit]aviva@router1# save configuration-march02Wrote 433 lines of configuration to configuration-march02#察看保存过的文件用run file list命令aviva@router1# run file list/var/home/aviva:.ssh/configuration-march02#用保存的文件载入配置用load replace命令。
Juniper路由器配置命令介绍Juniper路由器配置命令介绍⒈系统配置命令⑴ `set system hostname`:设置设备的主机名。
⑵ `set system domn-name`:设置设备的域名。
⑶ `set system login user`:设置设备的登录用户信息。
⒉接口配置命令⑴ `set interfaces interface-name unit logical-unit-number family inet address ip-address/subnet-mask`:配置接口的IP地址和子网掩码。
⑵ `set interfaces interface-name unit logical-unit-number family inet6 address ipv6-address/prefix-length`:配置接口的IPv6地址和前缀长度。
⑶ `set interfaces interface-name unit logical-unit-number vlan-id vlan-tagged`:配置接口的VLAN标签。
⒊路由配置命令⑴ `set routing-options static route destination next-hop`:配置静态路由。
⑵ `set protocols ospf area area-id`:配置OSPF路由协议。
⒋安全配置命令⑴ `set security zones security-zone zone-nameinterfaces interface-name`:将接口分配给安全区域。
⑵ `set security policies from-zone source-zone to-zone destination-zone policy policy-name then permit`:配置安全策略以允许数据流动。
⒌ VPN配置命令⑴ `set security ike proposal proposal-name authentication-method pre-shared-keys`:配置IKE提议的预共享密钥认证方法。
Juniper路由器配置命令介绍Juniper路由器配置命令介绍目录1、简介2、配置基础命令2.1 进入操作模式2.2 配置系统参数2.3 设置管理接口2.4 配置路由表3、高级配置命令3.1 OSPF配置3.2 BGP配置3.3 VRF配置3.4 MPLS配置4、安全配置命令4.1 配置防火墙4.2 配置安全策略4.3 配置VPN4.4 配置ACL5、故障排查命令5.1 显示命令5.2 路由故障排查5.3 硬件故障排查5.4 访问控制故障排查6、性能优化命令6.1 接口配置6.2 QoS配置6.3 缓存配置6.4 动态路由配置1、简介Juniper路由器是一种支持多种网络协议的高性能路由器。
本文档介绍了Juniper路由器的配置命令,并根据功能分类进行了细化。
2、配置基础命令2.1 进入操作模式- login:登录路由器- cli:进入命令行操作模式- configure:进入配置操作模式2.2 配置系统参数- set system hostname <hostname>:设置路由器主机名- set system domn-name <domn-name>:设置路由器域名- set system time-zone <time-zone>:设置时区- set system name-server <ip-address>:设置DNS服务器2.3 设置管理接口- set interfaces <interface> unit <unit> family inet address <ip-address/mask>:配置管理接口的IP地质- set interfaces <interface> unit <unit> family inet address dhcp:使用DHCP分配管理接口的IP地质2.4 配置路由表- set routing-options static route <destination> next-hop <next-hop>:配置静态路由- set routing-options router-id <id>:配置路由器ID- set protocols ospf area <area> interface <interface>:配置接口与OSPF区域的关联3、高级配置命令3.1 OSPF配置- set protocols ospf area <area> interface <interface>:配置接口与OSPF区域的关联- show ospf neighbor:显示OSPF邻居信息- show ospf route:显示OSPF路由表3.2 BGP配置- set protocols bgp group <group-name> neighbor<neighbor-address>:配置BGP邻居- set protocols bgp group <group-name> family <family>:配置BGP邻居的地质族- show bgp neighbor:显示BGP邻居信息- show bgp summary:显示BGP邻居摘要信息3.3 VRF配置- set routing-instances <instance-name> interface<interface>:配置接口与VRF的关联- set routing-instances <instance-name> routing-options static route <destination> next-hop <next-hop>:配置静态路由3.4 MPLS配置- set protocols mpls interface <interface>:启用接口的MPLS功能- set protocols mpls label-switched-path <LSP-name> to <destination-address> : 配置LSP的路径4、安全配置命令4.1 配置防火墙- set security policies from-zone <from-zone> to-zone <to-zone> policy <policy-name> match <match-conditions> then permit/deny:配置安全策略4.2 配置安全策略- set security zones security-zone <zone-name> address-book address <address-name> <ip-address>:配置地质对象- set security zones security-zone <zone-name> host-inbound-traffic system-services <services>:配置允许进入防火墙的服务4.3 配置VPN- set security ike proposal <proposal-name> authentication-method <method>:配置IKE提议- set security ike gateway <gateway-name> ike-policy <policy-name>:配置IKE网关- set security ipsec vpn <vpn-name> bind-interface<interface>:绑定VPN到接口4.4 配置ACL- set firewall family inet filter <filter-name> term <term-name> from protocol <protocol>:配置ACL规则- set firewall family inet filter <filter-name> term <term-name> then accept/discard:配置ACL规则动作5、故障排查命令5.1 显示命令- show interfaces <interface> detl:显示接口详细信息- show route <destination> : 显示路由信息- show chassis hardware:显示硬件信息5.2 路由故障排查- show bgp summary:显示BGP邻居摘要信息- show ospf neighbor:显示OSPF邻居信息- show route protocol <protocol>:显示指定协议的路由5.3 硬件故障排查- show chassis hardware:显示硬件信息- show log messages:显示系统日志消息- request support information:收集支持信息文件5.4 访问控制故障排查- show security policies from-zone <from-zone> to-zone <to-zone> policy <policy-name>:显示安全策略信息- show security zones interfaces:显示接口与安全域的关联信息6、性能优化命令6.1 接口配置- set interfaces <interface> mtu <mtu-size>:设置接口MTU大小- set interfaces <interface> description <description>:设置接口描述6.2 QoS配置- set class-of-service interfaces <interface> unit<unit> scheduler-map <map-name>:为接口配置调度器映射- set class-of-service scheduler-maps <map-name> forwarding-class <forwarding-class> scheduler <scheduler-name>:配置调度器映射6.3 缓存配置- set forwarding-options cache hit-cache-size <size>:设置缓存大小- set forwarding-options cache timeout <timeout-value>:设置缓存超时时间6.4 动态路由配置- set protocols ospf area <area> interface <interface> passive:将接口设置为OSPF被动接口- set routing-instances <instance-name> interface <interface> passive:将接口设置为VRF被动接口附件:无法律名词及注释:无。
1.电脑网卡配置192.168.1.2,将电脑网卡接在Juniper SSG20的0/2口在IE浏览器192.168.1.1,出现以下画面用户名:netscreen 密码: netscreen2.出现下面画面,点击”Network”“Interfaces”“list”3.点击“ethnet0/0”对应的“edit”4.配置IP地址“192.168.0.2”子网掩码”255.255.255.0”点击“ok”5.点击“bgroup0”对应的“edit”6.配置IP地址“10.132.xx.xx”(根据川庆分配的IP), 子网掩码“255.255.255.240”,然后点击“ok”7.点击“DHCP”后,出现下图, 再点击“Addresses”8.点击“new”9.输入相应的DHCP 要分配IP 地址段,然后点击“ok”10.点击“Routing”“Destination”“New”11.添加默认路由0.0.0.0,掩码0; 选择“Gateway”, 然后选择“Ethernet0/0/”, 在IP地址栏输入”192.168.0.1”, 点击”ok”12.点击“Wizards”“Route-based VPN”13. 出现以下画面, 点击“Next”14.①如果以前建过基于路由的vpn,在此处会默认出现“tunnel.1”,此时选择红色框. ②如果是没有建过基于路由的vpn则选择“Make new tunnel interface”并选择”bgroup0(trust-vr)”绿色框15.选择“LAN-to-LAN”, 点击“ok”16. 选择“Local Dynamic IP <-> Remote Static IP”,并输入本地用户名,命名为专业化公司名字拼音的第一个字母加井队号,比如西钻50556队,XC-5055617.此处输入对端设备IP 如果是电信用户输入”125.69.69.107”;如果是联通用户输入”192.168.128.2”18.选择“Compatible(56-bit encryption strength”并输入密码”123456”,点击”Next”19.“Local Host Address”输入川庆分配给井队的28位掩码的IP地址段; “Romote Host Address”输入”10.0.0.0/8”, 点击”Next”20.“Service”处选择“ANY”, 点击“Next”21.点击“Next”21.点击“Next”22.点击“Next”23.点击“Next”24.点击“VPNs”“Autokey Advanced”“Gateway”,点击“Advanced”26.将下图2个选项打勾, “Keepalive Frequency”为“5”, 点击”Return”,屏幕跳转后点击”ok”27. 点击“VPNs”“Autokey IKE”“Edit”28.点击“Advanced”29.勾选“VPN Monitor”“return”,页面跳转后点击”ok”。
juniper交换机配置一、设备启动login: rootPassword:Terminal type? [vt100] yroot%cliroot>二、设备重启user@host> request system reboot三、设置ROOT密码root# set system root-authentication plain-text-password四、将配置转换成set命令lab@EX4200# show protocols ospf | display set五、设置主机名set system host-name EX4200-1 //EX4200-1为主机名六、时间设置set system time-zone Asia/Shanghai //设置时区set date 200810301407.00 //设置时间,在用户模式下配置,YYYYMMDDhhmm.ss格式七、开启远程登录set system services telnet删除命令:delete system services telnet八、创建用户set system login user zte class super-user //添加zte用户为超级用户类别set system login user zte authentication plain-text-password //设置zte密码New password:Retype new password: set system login user zte class read-only //修改zte用户为只读用户set system login user zte class read-only //修改zte用户为只读用户delete system login user zte //删除zte用户九、vlan设置创建一个VLAN,指定VLAN名称和ID号set vlans “zte_vlan” vlan id 10将交换机端口修改为access模式加入到新创建的VLAN中set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode accessset interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 10创建3层VLAN子端口,并且将子端口和VLAN关联:set interfaces vlan unit 10 family inet address 192.168.1.1/24 set vlans vlan l3-interface vlan.10 //vlan子端口和VLAN对应起来十、trunk设置允许vlan id为10和20的VLAN通过Trunkset interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members [10 20]delete interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode trunk允许vlan id为10和20的VLAN通过Trunkset interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members [10 20]禁止VLAN通过:不允许vlan 10通过delete interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 10十一、三层端口修改修改端口为L3模式delete interfaces ge-0/0/1 unit 0 family ethernet-switching //删除端口L2参数set interfaces ge-0/0/1 unit 0 family inet //设置端口为L3模式set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.1/30 //设置端口IP地址修改端口为L2模式delete interfaces ge-0/0/1 unit 0 family inet //删除端口为L3模式参数set interfaces ge-0/0/15 unit 0 family ethernet-switching //将端口设置为L2模式十二、静态路由设置172.16.1.0/24网段指向下一跳地址192.168.1.253set routing-options static route 172.16.1.0/24 next-hop 192.168.1.253delete routing-options static route 172.16.1.0/24。
Juniper的简单配置注:必须设置root密码,配置才能够提交,配置必须commit提交才会生效、、console(通过超级终端)连接SRX,root用户登录,密码为空cli------进入操作模式configure---进入配置模式、、配置root用户登录口令2.1设置root用户口令Set system root-authentication plain-text-password注:root用户仅用户console连接本地管理,不能通过远程登录管理,必须成功设置root口令后,才能执行commit提交继续配置命令。
2.2设置远程登录:Set system login user (name)class super-user authentication plain-text-passwordNew password:root123Retype new password:root123注:此用户拥有超级管理员权限,可用于console和远程及web,另也可以自行灵活定义其他管理权限用户。
2.3远程管理的相关配置:Run set date ----- 设置系统时钟Set system time-zone ------设置时区Set system host-name ------设置主机名Set system services ftpSet system services telnetSet system service web-management http ---在系统中开启ftp、远程和web管理、、接口配置Ip地址必须配置在逻辑接口下,接口必须加入zone例如:Set security zones security-zone untrust host-inbound-traffic system-service ping Set security zones security-zone untrust host-inbound-traffic system-service http Set security zones security-zone untrust host-inbound-traffic system-service telnet 基于untrust zone打开允许 ping、远程和telnet、、NATNAT 共分为3中基于目的地址的NAT:包括目的地址及端口的转换基于源地址的NAT:包括源IP地址及端口的转换Static—静态地址转换这次是基于source 做的;源地址池转换公网地址Set secu nat sou pool pool-1 add 192.168.1.50 to 192.168.1.80Set sec nat sou rule-set from zone trusSet sec nat sou rule-set 1 to zone untSet sec nat sour rule-set 1 rule rule-1 match source-add 0.0.0.0/0 destination-add0.0.0.0/0Set sec nat sou rule-set 1 rule rule1 then source-nat pool pool-1Set sec nat proxy-arp inter ge-0/0/0 address 192.168.1.50 to 192.168.1.80策略方行—策略是写在zone中的Set sec poli from-zone trust to-zone untrust policy 1 match soures-add pc-1 Set sec poli from-zone trust to-zone untrust policy 1 match destination-add any Set sec poli from-zone trust to-zone untrust policy 1 match addplication anySet sec policies from-zone trust to-zone untrust poli 1 then permit。
1.〉模式进入#模式:configure2.配置静态路由:>set route 10.1.10.0/24 int e1 gateway 10.1.1.2543.查看接口的配置:>get interface4.查看静态路由:>get route >get route ip 10.1.10.55.Ping 测试:>ping 10.1.10.56.Traceroute 测试:>trace 10.1.10.57.配置接口的模式(nat和route):>set interface e1 nat8.保存:>save9.配置文件备份:>save config from flash to tftp 1.1.7.250 15june03.cfg10.配置文件恢复:>save config from tftp 1.1.3.250 15june03.cfg to flash11.IOS备份:>save software from flash to tftp 1.1.7.250 ns208image.bin12.IOS升级:>save software from tftp 1.1.7.250 newimage to flash13.透明模式的配置:A.建立2层的安全区(在没有使用缺省安全区的情况下):>set zonename L2-Demo L2 1 // set zone name <name> L2 <vlan_tag>B.分配接口给2层安全区:>set int e3 zone L2-DemoC.为vlan1配置管理地址:>set int vlan1 manage-ip 1.1.7.100/24a.配置IP地址:>set int vlan1 ip 1.1.7.1/24b.选择广播的方法:>set vlan1 broadcast floodc.配置管理服务:(允许所有的管理服务)>set int vlan1 manageD.(可选项)配置每个安全区的管理服务:>set zone v1-dmz manage webE.在不同的安全区之间配置策略:14.透明模式的检查工具:>get int>get arp ,>get mac-learn,>get session15.透明模式是一个非常灵活的防火墙部署解决方案,可以快速实现防火墙和VPN的功能,不需要修改网络结构,建立虚拟地址(NAT),就可以实现访问控制。
JUNIPER路由器中常⽤命令总结前些⽇⼦认真看了⼀下Juniper路由器的⼀些命令。
在这⾥总结⼀下。
⽅便以后使⽤Juniper路由器的命令主要分为两个部分,⼀个是operational,主要是复杂查看⽬前⽹络的配置情况(只能查看,不能修改。
感觉权限⽐较低);另⼀个是configuration,主要⽤来查看和修改配置(感觉权限⾼⼀些)。
刚进⼊到Juniper路由器时,默认进⼊的是operation,输⼊edit命令之后,就进⼊到了[edit]⽬录下,也就是进⼊了configuration。
基础配置命令(如未说明则在[edit]⽬录下)1、配置主机名字:set system host-name router12、配置域名: set system domain-name 3、配置fxp0接⼝(以太⽹中通过这个接⼝进⾏路由器的配置)。
Set interfaces fxp0 unit 0 family inet address 192.168.15.1/2 44、配置备份路由器:set system backup-router 192.168.15.25、配置DNS服务器:set system name-server 192.168.15.36、配置root⽤户的密码:set system root-authentication plain-text-password(密码中不可以全是⼤写、全是⼩写、全是数字)7、设置ntp服务器: set system ntp server 192.168.2.28、提交修改:commit9、查看提交是否合法: commit check10、在当天特定时间进⾏提交 commit at 22:4511、在特定⽇期的特定时间提交: commit at “2005-02-26 10:45”12、取消commit的操作 clear system commit13、为了避免提交带来意外的损害采⽤:commit confirmed,会在10分钟以后⾃动回滚14、与14相同,但在⼀分钟以后⾃动回滚:commit confirmed 115、提交信息,并同步到备份路由器上: commit synchronize配置服务:1、设置ssh服务:set system services ssh2、配置ftp服务: set system services ftp3、删除ftp服务: delete system services ftp权限设置:1、设置root⽤户ssh登录的密码:set system root-authentication ssh password2、禁⽌root⽤户使⽤ssh登录:[edit system ] set services ssh root-login deny3、设置密码要求:[edit system login] set password maximun-length 20 set password minimum-length 8 set password mi nimum-changes 24、设置密码加密算法:set system login password formate md55、查看⾃⼰的权限,以及可以设置的权限: show cli authorization进⼊与退出命令:1、Edit2、修改root的配置:configure3、避免多⼈修改导致设置丢失采⽤ configure exclusive4、查看⽬前修改区域有谁在线:[edit]status(只能看见⽐你先登录的⼈,后⾯登录的信息看不见)5、强制要求别⼈下线:request system logout user mike6、进⼊到根⽬录 top7、退出configuration 模块:quit8、退出configuration模块:exit configuration-mode9、提交并退出:commit and-quit10、退出当前⽬录:exit11、进⼊到某⽬录 edit ⽬录名字查看命令:1、查看当前⽬录地下的设置 [edit]show2、查看你设置的命令 show | display set3、查看你新增的命令 show | compare(+表⽰你增加的命令,-表⽰你删除的命令。
Juniper常用配置Juniper 常用配置一、基本操作1、登录设备系统初始化用户名是roo t,密码是空。
在用户模式下输入configure或者是edit可以进入配置模式。
2、设置用户名:set host-name EX4200。
3、配置模式下运行用户模式命令,则需要在命令前面加一个run,如:run show interface 。
4、在show 后面使用管道符号加上display set将其转换成set 格式命令show protocols ospf | display set 。
5、在需要让配置生效需要使用commit命令,在commit之前使用commit check来对配置进行语法检查。
如果提交之后,可以使用rollback进行回滚,rollback 1回滚上一次提前之前的配置,rollback 2则是回滚上 2 次提交之前的配置。
6、交换机重启:request system reboot7、交换机关机:request system halt二、交换机基本操作2.1 设置root密码交换机初始化用户名是root 是没有密码的,在进行commit 之前必须修改root 密码。
明文修改方式只是输入的时候是明文,在交换机中还是以密文的方式存放的。
实例:明文修改方式:lab@EX4200-1# top[edit]lab@EX4200-1# edit system[edit system]lab@EX4200-1# set root-authentication plain-text-password2.2 设置删除主机名实例:#"设置主机名为EX4200"lab@EX4200-1# edit system[edit system]lab@EX4200-1# set host-name EX4200#”删除命令”#lab@EX4200-1# edit system[edit system]lab@EX4200-1# delete host-name EX42002.3 开启Telnet登陆服务说明:在默认缺省配置下,EX 交换机只是开放了http 远程登陆方式,因此如果想通过telnet登陆到交换机上,必须在系统中打开telnet 服务。
实例:lab@EX4200-1# edit system service[edit system services]#打开Telnet 服务lab@EX4200-1# set telnet#同时telnet 的最大连接数范围1-250lab@EX4200-1# set telnet connection-limit 10#每分钟同时最大连接数范围1-250lab@EX4200-1# set telnet rate-limit 10#删除telnet服务lab@EX4200-1# edit system service[edit system services]lab@EX4200-1# delete telnet2.4 开启远程ssh登陆EX 交换机默认是没有开启SSH 服务,当你打开了SSH 服务而没有制定SSH 的版本,系统自动支持V1和V2 版本。
如果你指定了SSH的版本,则系统只允许你指定版本的SSH 登陆。
实例:lab@EX4200-1# edit system service[edit system services]#"设置SSH 支持V1 版本"lab@EX4200-1# set ssh protocol-version v1#"设置SSH 支持V2 版本"lab@EX4200-1# set ssh protocol-version v2#最大连接数,范围1-250"lab@EX4200-1# set ssh connection-limit 10#"每分钟最大连接数,范围1-250"lab@EX4200-1# set ssh rate-limit 10查看配置:lab@EX4200-1# show sshprotocol-version [ v1 v2 ]; #"同时支持v1 和v2 两个版本,"connection-limit 10;rate-limit 10;[edit system services]lab@EX4200-1#删除ssh 配置lab@EX4200-1# edit system service[edit system services]lab@EX4200-1# delete ssh2.5 打开/关闭端口EX交换的端口可以通过disable来关闭(类似于Cisco的shutdown命令),恢复就是删除disable参数(相当于Cisco的no shutdown)。
# "关闭端口,相当于shutdown一个端口"lab@EX4200# set interfaces ge-0/0/4 disable[edit]lab@EX4200# commitcommit complete# "恢复端口,相当于no shutdown一个端口"[edit]lab@EX4200# delete interfaces ge-0/0/4 disable[edit]lab@EX4200# commit三、VLAN操作3.1 添加VLAN实例:如果创建一个名字为chai_vlan 的VLAN 10,并且网关设置为192.168.1.1/24,ge-0/0/1 属于该VLAN。
1、创建VLAN(VLAN下直接将端口加入到VLAN)#编辑vlan 信息chai_vlan 是vlan 名字,如果不存在则新建一个VLANlab@EX4200-1# edit vlans chai_vlan#"以下所有操作都是对chai_vlan 进行"[edit vlans chai_vlan]lab@EX4200-1# set vlan-id10 #"设置chai_vlan 的vlan id"lab@EX4200-1# set description"Server VLAN"#"设置vlan 描述"lab@EX4200-1# set l3-interface vlan.10 #"将绑定三层逻辑子端口"——起三层lab@EX4200-1# set interface ge-0/0/1.0 #"将端口加入到VLAN 中"lab@EX4200-1# set interface ge-0/0/2.0 #"将端口加入到VLAN 中"2、配置三层端口地址lab@EX4200-1# top #"回到最外层菜单"[edit]lab@EX4200-1# set interfaces vlan unit 10 family inet address 192.168.1.1/24# 配三层接口地址3、将交换机端口修改为access 模式并加入到新创建的VLAN 中(端口下直接加入到VLAN)lab@EX4200-1# top#"回到最外层菜单"[edit]lab@EX4200-1# set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode accesslab@EX4200-1# set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 10lab@EX4200-1# set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode accesslab@EX4200-1# set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members 104、commit 提交lab@EX4200-1#commit3.2 删除VLAN由于一个VLAN 创建之后,会被端口引用,可能还创建了三层端口,因此在删除vlan的时候需要把端口引用关系解除同时删除三层vlan子端口,删除步骤如下:1、删除端口vlanlab@EX4200-1# top[edit]lab@EX4200-1# delete interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode access lab@EX4200-1# delete interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 10 lab@EX4200-1# delete interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access lab@EX4200-1# delete interfaces ge-0/0/2 unit 0 family ethernet-switching vlanmembers 102、删除vlan 对应的L3 子端口lab@EX4200-1# top[edit]lab@EX4200-1# delete interfaces vlan unit 103、接着删除vlan 配置lab@EX4200-1# top[edit]lab@EX4200-1# delete vlan chai_vlan3.3 Trunk配置配置Trunk,首先要将交换机端口清除三层参数,并且设置为Trunk模式。
1、Trunk配置lab@EX4200-1# top#回到最外层菜单[edit]lab@EX4200-1# delete interfaces ge-0/0/1 unit 0 #"删除端口信息"lab@EX4200-1# edit interfaces ge-0/0/1 unit 0 family ethernet-switchinglab@EX4200-1# set port-mode trunk#"设置端口为Trunk模式"lab@EX4200-1# set vlan members 10 #"允许vlan 10通过"lab@EX4200-1# set vlan members 20 #"允许vlan 20通过"lab@EX4200-1# set vlan members all #"允许所有vlan通过"2、删除端口Trunk禁止单个vlan通过:lab@EX4200-1# top #"返回最外层菜单"[edit]lab@EX4200-1# edit interfaces ge-0/0/1 unit 0 family ethernet-switchinglab@EX4200-1# delete vlan members 10 #"禁止vlan 10通过"lab@EX4200-1# top #"返回最外层菜单"[edit]lab@EX4200-1# edit interfaces ge-0/0/1 unit 0 family ethernet-switchinglab@EX4200-1# delete port-mode trunk#"删除trunk"lab@EX4200-1# delete vlan members#"删除端口下所有vlan"四、路由配置4.1 静态路由配置1、添加静态路由#设置172.16.1.0/24网段指向下一跳地址192.168.1.253lab@EX4200-1# top[edit]lab@EX4200-1#set routing-options static route 172.16.1.0/24 next-hop 192.168.1.253 2、删除静态路由lab@EX4200-1# top[edit]lab@EX4200-1# delete routing-options static route 172.16.1.0/244.2 OSPF路由配置1、基本配置set protocols ospf area 0 interface ge-0/0/0 #将接口ge-0/0/0加入area 0区域set protocols ospf area 0 interface vlan.10 #如果是vlan互联则使用vlan接口例:单区域[edit]user@host# set protocols ospf area 0 interface ge-0/0/0[edit]user@host# show protocols ospfospf {area 0.0.0.0 {interface ge-0/0/0.0;}配置OSPF 多区域[edit]user@host# show protocols ospfospf {area 0.0.0.0 {interface ge-0/0/0.0;}}[edit]user@host# set protocols ospf area 1 interface at-0/1/1.100 [edit]user@host# show protocols ospfospf {area 0.0.0.0 {interface ge-0/0/0.0;}area 0.0.0.1 {interface at-0/1/1.100;}五、juniper控制列表1、建立过滤策略#"指定过滤条件:源IP"set firewall family Ethernet-switching filter ipfilter term 1 from source-address 192.168.1.1 #"指定过滤符合条件:目的IP"set firewall family Ethernet-switching filter ipfilter term 1 from destination-address 192.168.1.254#"指定符合条件的流量所做的动作:accept 或者discard"set firewall family Ethernet-switching filter ipfilter term 1 then accept#"指定其它不符合条件的动作"set firewall family Ethernet-switching filter ipfilter term 2 discard#"将过滤条件应用到端口上"set interface ge-0/0/10 unit 0 family Ethernet-switching filter input ipfilter六、常用命令Run show # 显示配置Run show interface terse # 显示接口配置。
