ジュニパーSRX100、知人

先日、待望のジュニパーSRX100を私にもたらしました。

それまでは、主にシスコと2800、800などの一連のルーターについて話しました。

私が理解している限り、私は間違っている可能性があります。この機器はハードウェアファイアウォールのクラスに近いものです。

カットの下で、この鉄片とインターネットアクセスの初期構成。





包含物



彼は、電源ボタンの存在に驚いて、コンソールケーブルを開いて設置し、接続しました。

ダウンロードにより、このデバイスはFreeBSD ARMに基づいていることがわかりました。 デフォルト構成で3分間ロードされます。

ドキュメントを読んでいません。 ログインしています。

2回目の試行で、パスワードなしでルートを推測しました。

それから次の驚きが私を待っていました。 コンソールがありました。 いいえ、cliではなく、/ bin / sh!

インターネットのどこかを見たところ、cli JunOSにアクセスするには、驚くべきことに「cli」と書く必要があることがわかりました。



screen /dev/ttyUSB0

root@hostname% whoami

--- JUNOS 11.2R4.3 built 2011-11-24 08:11:51 UTC

root

root@hostname% cli

root@hostname>









初期設定



そのため、最初にroot以外のユーザーを作成することをお勧めします。

次に、rootパスワードを変更します。



> show configuration system | display set

set system root-authentication encrypted-password ""



set system login user admin class super-user

set system login user admin authentication encrypted-password ""






コマンドの入力後にパスワードを入力する場合は、次を使用します。

暗号化された パスワードの代わりにプレーンテキストの パスワード



シスコとは異なり、コマンドはすぐには適用されません。

構成を適用するには、以下を記述する必要があります



コミットする



すべてが正しい場合、応答はコミット完了です。

エラーの場合-現在の場所を表示します。



rootパスワードを指定する必要があります! そうしないと、コミットは失敗します。



構成と動作モードを表示する




JunOSのCisco IOSには、2つの主要なコマンドラインインターフェイスモードがあるので、忘れていません。

1.コマンドを実行するには、招待は「>」で終了します

2.構成を変更するには、プロンプトが「#」で終了します



まだshがあり、それは "%"で終わりますが、近い将来、それは役に立たなくなります。



構成モードから切り替えてコマンドを実行するのが面倒な場合は、 runコマンドを先頭に追加できます。

例えば

#run ping ya.ru







構成モードの開始、コマンドの構成、コマンドモードへの終了 - 終了



両方のモードで現在の構成を表示することもできます。

チームから-

show configure





構成から

show







これらのコマンドの出力は、最も読みやすく、構造化されたテキストです。

例えば:

  show configure services
サービス{
     ssh;
     telnet
     xnm-clear-text;
    ウェブ管理{
         management-url my-jweb;         
         http {                          
            インターフェイスvlan.0;           
         }                               
         https {                         
            システム生成証明書;
         }                               
     }                                   
     dhcp {                              
        ルーター{                        
             192.168.8.1;                
         }                               
        プール192.168.8.0/24 {           
            アドレス範囲low 192.168.8.100 high 192.168.8.200;
         }                               
         propagate-settings vlan;        
     }                                   
 } 


読みやすいが、それほど簡単には適用できない。

コマンドをデバイス間で簡単に転送できるモードでコマンドを出力するには、 |を追加できます ディスプレイセット



ディスプレイセットを使用したサンプル出力:

show system services | display set

set system services ssh

set system services telnet

set system services xnm-clear-text

set system services web-management management-url my-jweb

set system services web-management http interface vlan.0

set system services web-management https system-generated-certificate

set system services dhcp router 192.168.8.1

set system services dhcp pool 192.168.8.0/24 address-range low 192.168.8.100

set system services dhcp pool 192.168.8.0/24 address-range high 192.168.8.200

set system services dhcp propagate-settings vlan









原則として、フォーマットされた出力をコピーして適用することもできます。 次に例を示します。

 root @ trans-el-service#show security nat proxy-arp                     
インターフェイスvlan.0 {
    アドレス{
         192.168.8.2/32;
         192.168.8.201/32から192.168.8.210/32;
     }
 }


load merge terminal relative





次に、コードの一部、最後にコントロール+ d



ネットワーク



インターフェース


デフォルトでは、インターフェイスはvlan0のメンバーであり、ゼロ以外はすべてです。 (fe-0 / 0/0)



vlanから最初のインターフェイスを取得して、次のように構成することにしました。

set interfaces fe-0/0/1 unit 0 family inet address 11.11.187.104/25 primary







コンピューターがスタックしているインターフェース:

set interfaces fe-0/0/2 unit 0 family ethernet-switching vlan members vlan-trust







vlan'ov自体の構成:

set vlans vlan-trust vlan-id 3

set vlans vlan-trust l3-interface vlan.0

set interfaces vlan unit 0 family inet address 192.168.8.1/24






第一人者は午後にインターフェースを切り替える機能を含む-デフォルトでvlanを設定します。 正常を把握する方法-購読解除。



デフォルトゲートウェイ:

show routing-options | display set

set routing-options static route 0.0.0.0/0 next-hop 11.11.187.1








DNSは綴られていますが、すべての消防士のために

set system name-server 8.8.8.8

set system name-server 8.8.4.4








NAT


さて、ここで最も興味深いことになります。

これからもっと簡単に説明しようと思いますが、次の記事でそれを複雑にします。

source nat、つまり、ほとんどのルーターがホームおよびsmb環境で必要とする明確なケースを始めましょう。



それで、それでも、natについて話す前に、「ゾーン」のようなものに言及する必要があります。

ゾーンは、ネットワークを記述および論理的に結合するため、および1つのゾーン内のファイアウォールルールを記述するために必要です。 デフォルトでは、2つのゾーンがあります。

1つ目はtrustであり、ローカルネットワークを担当します。

2つ目はuntrustで、インターネットを担当します。



例を挙げます。

セキュリティゾーンの信頼{
     host-inbound-traffic {
         system-services {
            すべて;
         }
        プロトコル{
            すべて;
         }
     }
    インターフェース{
         vlan.0;
     }
 }
 security-zone untrust {
    画面untrust-screen;
     host-inbound-traffic {
         system-services {
             ssh;
            池
             https;
             ping
         }
     }
    インターフェース{                        
         fe-0 / 0 / 0.0 {                    
             host-inbound-traffic {      
                 system-services {       
                     dhcp;               
                     tftp;               
                 }                       
             }                           
         }                               
         fe-0 / 0 / 1.0;                     
     }                                   
 } 


この例では、これらの非常に2つのゾーンについて説明します。

信頼ゾーンでは、インターフェースに入るすべてのトラフィックが許可されます。

untrustゾーンでは、着信ssh、ike、https、pingが許可されます。

ここでは、たとえば、ルーターがトラフィックをuntrustゾーンとして識別した場合に、ssh経由でルーターに到達できるかどうかを説明します。



次に、ゾーン間のトラフィック許可を記述する必要があります。

セキュリティポリシーを表示する
 from-zone trust to-zone untrust {
    ポリシーtrust-to-untrust {
        マッチ{
            送信元アドレスany;
            宛先アドレスany;
            アプリケーションany;
         }
        その後{
            許可;
         }
     }
 }


これにより、内部トラフィックを外部にルーティングできます。



まあ、待望のソースNAT

ソース{
    ルールセットのtrust-to-untrust {
        ゾーンの信頼から。
        ゾーンの信頼を失います。
        ルールsource-nat-rule {
            マッチ{
                送信元アドレス0.0.0.0/0;
             }
            その後{
                 source-nat {
                    インターフェース;
                 }
             }
         }
     }




完了



Habrに関する私の2番目の記事。

私は建設的な批判を受け入れ、彼女に感謝します。 まだこの機器のフローポリシーをまだ理解していないと思います。 たとえば、私はまだ画面についても読んでいません。

次のステップでは、サードパーティの機器を使用して、IPSecサイト間を構成します。 そして、ダイナミックVPN。 すでに実装されているため、作成する必要があります。

まだ実装されていませんが、私はそれをキャッチしようとします:

半径認証

2つのワンチャンネル

フェイルオーバー。



5505 ACAでも同様のタスクに直面していますが、それは別の話です。



文学



www.juniper.net/techpubs/en_US/junos11.4/information-products/pathway-pages/srx-series/index.html最初はどこに行くかです。

セキュリティ設定ガイドを特にお勧めします。

www.juniper.net/techpubs/en_US/junos11.4/information-products/topic-collections/security/software-all/security/index.html

そのバージョンをタブレットにアップロードし、集中的に読みました。



All Articles