それまでは、主にシスコと2800、800などの一連のルーターについて話しました。
私が理解している限り、私は間違っている可能性があります。この機器はハードウェアファイアウォールのクラスに近いものです。
カットの下で、この鉄片とインターネットアクセスの初期構成。
包含物
彼は、電源ボタンの存在に驚いて、コンソールケーブルを開いて設置し、接続しました。
ダウンロードにより、このデバイスはFreeBSD ARMに基づいていることがわかりました。 デフォルト構成で3分間ロードされます。
ドキュメントを読んでいません。 ログインしています。
2回目の試行で、パスワードなしでルートを推測しました。
それから次の驚きが私を待っていました。 コンソールがありました。 いいえ、cliではなく、/ bin / sh!
インターネットのどこかを見たところ、cli JunOSにアクセスするには、驚くべきことに「cli」と書く必要があることがわかりました。
screen /dev/ttyUSB0
root@hostname% whoami
--- JUNOS 11.2R4.3 built 2011-11-24 08:11:51 UTC
root
root@hostname% cli
root@hostname>
初期設定
そのため、最初にroot以外のユーザーを作成することをお勧めします。
次に、rootパスワードを変更します。
> show configuration system | display set
set system root-authentication encrypted-password ""
set system login user admin class super-user
set system login user admin authentication encrypted-password ""
コマンドの入力後にパスワードを入力する場合は、次を使用します。
暗号化された パスワードの代わりにプレーンテキストの パスワード
シスコとは異なり、コマンドはすぐには適用されません。
構成を適用するには、以下を記述する必要があります
コミットする
すべてが正しい場合、応答はコミット完了です。
エラーの場合-現在の場所を表示します。
rootパスワードを指定する必要があります! そうしないと、コミットは失敗します。
構成と動作モードを表示する
JunOSのCisco IOSには、2つの主要なコマンドラインインターフェイスモードがあるので、忘れていません。
1.コマンドを実行するには、招待は「>」で終了します
2.構成を変更するには、プロンプトが「#」で終了します
まだshがあり、それは "%"で終わりますが、近い将来、それは役に立たなくなります。
構成モードから切り替えてコマンドを実行するのが面倒な場合は、 runコマンドを先頭に追加できます。
例えば
#run ping ya.ru
構成モードの開始、コマンドの構成、コマンドモードへの終了 - 終了
両方のモードで現在の構成を表示することもできます。
チームから-
show configure
構成から
show
これらのコマンドの出力は、最も読みやすく、構造化されたテキストです。
例えば:
show configure services
サービス{
ssh;
telnet
xnm-clear-text;
ウェブ管理{
management-url my-jweb;
http {
インターフェイスvlan.0;
}
https {
システム生成証明書;
}
}
dhcp {
ルーター{
192.168.8.1;
}
プール192.168.8.0/24 {
アドレス範囲low 192.168.8.100 high 192.168.8.200;
}
propagate-settings vlan;
}
}
読みやすいが、それほど簡単には適用できない。
コマンドをデバイス間で簡単に転送できるモードでコマンドを出力するには、 |を追加できます。 ディスプレイセット
ディスプレイセットを使用したサンプル出力:
show system services | display set
set system services ssh
set system services telnet
set system services xnm-clear-text
set system services web-management management-url my-jweb
set system services web-management http interface vlan.0
set system services web-management https system-generated-certificate
set system services dhcp router 192.168.8.1
set system services dhcp pool 192.168.8.0/24 address-range low 192.168.8.100
set system services dhcp pool 192.168.8.0/24 address-range high 192.168.8.200
set system services dhcp propagate-settings vlan
原則として、フォーマットされた出力をコピーして適用することもできます。 次に例を示します。
root @ trans-el-service#show security nat proxy-arp
インターフェイスvlan.0 {
アドレス{
192.168.8.2/32;
192.168.8.201/32から192.168.8.210/32;
}
}
load merge terminal relative
次に、コードの一部、最後にコントロール+ d
ネットワーク
インターフェース
デフォルトでは、インターフェイスはvlan0のメンバーであり、ゼロ以外はすべてです。 (fe-0 / 0/0)
vlanから最初のインターフェイスを取得して、次のように構成することにしました。
set interfaces fe-0/0/1 unit 0 family inet address 11.11.187.104/25 primary
コンピューターがスタックしているインターフェース:
set interfaces fe-0/0/2 unit 0 family ethernet-switching vlan members vlan-trust
vlan'ov自体の構成:
set vlans vlan-trust vlan-id 3
set vlans vlan-trust l3-interface vlan.0
set interfaces vlan unit 0 family inet address 192.168.8.1/24
第一人者は午後にインターフェースを切り替える機能を含む-デフォルトでvlanを設定します。 正常を把握する方法-購読解除。
デフォルトゲートウェイ:
show routing-options | display set
set routing-options static route 0.0.0.0/0 next-hop 11.11.187.1
DNSは綴られていますが、すべての消防士のために
set system name-server 8.8.8.8
set system name-server 8.8.4.4
NAT
さて、ここで最も興味深いことになります。
これからもっと簡単に説明しようと思いますが、次の記事でそれを複雑にします。
source nat、つまり、ほとんどのルーターがホームおよびsmb環境で必要とする明確なケースを始めましょう。
それで、それでも、natについて話す前に、「ゾーン」のようなものに言及する必要があります。
ゾーンは、ネットワークを記述および論理的に結合するため、および1つのゾーン内のファイアウォールルールを記述するために必要です。 デフォルトでは、2つのゾーンがあります。
1つ目はtrustであり、ローカルネットワークを担当します。
2つ目はuntrustで、インターネットを担当します。
例を挙げます。
セキュリティゾーンの信頼{
host-inbound-traffic {
system-services {
すべて;
}
プロトコル{
すべて;
}
}
インターフェース{
vlan.0;
}
}
security-zone untrust {
画面untrust-screen;
host-inbound-traffic {
system-services {
ssh;
池
https;
ping
}
}
インターフェース{
fe-0 / 0 / 0.0 {
host-inbound-traffic {
system-services {
dhcp;
tftp;
}
}
}
fe-0 / 0 / 1.0;
}
}
この例では、これらの非常に2つのゾーンについて説明します。
信頼ゾーンでは、インターフェースに入るすべてのトラフィックが許可されます。
untrustゾーンでは、着信ssh、ike、https、pingが許可されます。
ここでは、たとえば、ルーターがトラフィックをuntrustゾーンとして識別した場合に、ssh経由でルーターに到達できるかどうかを説明します。
次に、ゾーン間のトラフィック許可を記述する必要があります。
セキュリティポリシーを表示する
from-zone trust to-zone untrust {
ポリシーtrust-to-untrust {
マッチ{
送信元アドレスany;
宛先アドレスany;
アプリケーションany;
}
その後{
許可;
}
}
}
これにより、内部トラフィックを外部にルーティングできます。
まあ、待望のソースNAT
ソース{
ルールセットのtrust-to-untrust {
ゾーンの信頼から。
ゾーンの信頼を失います。
ルールsource-nat-rule {
マッチ{
送信元アドレス0.0.0.0/0;
}
その後{
source-nat {
インターフェース;
}
}
}
}
完了
Habrに関する私の2番目の記事。
私は建設的な批判を受け入れ、彼女に感謝します。 まだこの機器のフローポリシーをまだ理解していないと思います。 たとえば、私はまだ画面についても読んでいません。
次のステップでは、サードパーティの機器を使用して、IPSecサイト間を構成します。 そして、ダイナミックVPN。 すでに実装されているため、作成する必要があります。
まだ実装されていませんが、私はそれをキャッチしようとします:
半径認証
2つのワンチャンネル
フェイルオーバー。
5505 ACAでも同様のタスクに直面していますが、それは別の話です。
文学
www.juniper.net/techpubs/en_US/junos11.4/information-products/pathway-pages/srx-series/index.html最初はどこに行くかです。
セキュリティ設定ガイドを特にお勧めします。
www.juniper.net/techpubs/en_US/junos11.4/information-products/topic-collections/security/software-all/security/index.html
そのバージョンをタブレットにアップロードし、集中的に読みました。