juniper路由器Word下载.docx
《juniper路由器Word下载.docx》由会员分享,可在线阅读,更多相关《juniper路由器Word下载.docx(12页珍藏版)》请在冰豆网上搜索。
setinterfacege-0/0/1hold-timeupmsdownms#配置端口up/down的damping时间
setinterfacege-0/0/1unit0familyinetaddressip-address#配置IP地址
setinterfacege-0/0/1unit0familyiso#端口允许运行ISIS
setinterfacege-0/0/1link-modefull-duplexgigether-optionsno-auto-negotiation
#配置端口模式和非协商模式
setinterfacesge-3/0/0description“to_BJ-BJ-JA-ZTE-RR-1”
setinterfacesge-3/0/0mtu9182
setinterfacesge-3/0/0hold-timeup5000down0
setinterfacesge-3/0/0unit0familyinetaddress59.43.17.65/30
setinterfacesge-3/0/0unit0familyiso
setinterfacesge-3/0/0link-modefull-duplexgigether-options
commitsynchronize
配置POS端口
setinterfaceso-slot/pic/portdescriptiondescription#配置端口描述
setinterfaceso-slot/pic/portmtumtu-number#配置端口MTU
setinterfaceso-slot/pic/porthold-timeupmsdownms#配置端口up/down的damping时间
setinterfaceso-slot/pic/portencapsultationppp#配置端口封装为PPP
setinterfaceso-slot/pic/portsonet-optionsfcs[32|16]#配置端口FCS的位数
setinterfaceso-slot/pic/portsonet-optionspayload-scrambler#配置端口打开payload-scrambler
setinterfaceso-slot/pic/portsonet-optionsrfc-2615
#配置端口FCS32,打开payload-scrambler,C2字节为0x16
setinterfaceso-slot/pic/portunit0familyinetaddressip-address#配置IP地址
setinterfaceso-slot/pic/portunit0familyiso#端口允许运行ISIS
setinterfaceso-slot/pic/portunit0familympls#端口允许运行mpls
setinterfacesso-0/0/0description“to_SN-SIA-XHM-ZTE-A-1”
setinterfacesso-0/0/0mtu9182
setinterfacesso-0/0/0hold-timeup5000down0
setinterfacesso-0/0/0encapsulationppp
setinterfacesso-0/0/0sonet-optionsfcs32
setinterfacesso-0/0/0sonet-optionspayload-scrambler
setinterfacesso-0/0/0sonet-optionsrfc-2615
setinterfacesso-0/0/0unit0familyinetaddress59.43.17.1/30
setinterfacesso-0/0/0unit0familyiso
setinterfacesso-0/0/0unit0familympls
配置端口聚合
setchassisaggregated-devicesethernetdevice-count<
count>
#定义聚合端口数量,juniper
最多支持128个聚合端口
setinterfacesge-2/0/0gigether-options802.3adae0#将物理端口定义到聚合端口ae0上
setinterfacesge-2/0/1gigether-options802.3adae0#将物理端口定义到聚合端口ae0上
setinterfacesge-2/0/2gigether-options802.3adae0#将物理端口定义到聚合端口ae0上
setinterfacesae0unit0familyinetaddress221.176.1.68/26#设置聚合端口ae0的IP地址
开启系统ftp服务
命令:
#setsystemservicesftp
#commit
系统默认是没有打开ftp功能的,只有打开ftp服务之后才能从网络上ftp到路由器。
Juniper防火墙NS140/208/520/550/2000
设置端口速率和工作模式
JUNIPER安全设备的接口速率和双工模式均为自适应。
接口能以三种不同模式运行,分别是:
网络地址转换(NAT)、路由和透明。
如果绑定到第3层区段的接口具有IP地址,则可为该接口定义NAT或路由操作模式。
绑定到第2层区段(如预定义的v1-trust、v1-untrust和v1-dmz,或用户定义的第2层区段)的接口必须为透明模式。
在配置接口时选择操作模式。
注意:
尽管可以将绑定到任意第3层区段的接口的操作模式定义为NAT,但是,安全设备只对通过该接口传递到Untrust区段的信息流执行NAT。
对于通往Untrust区段之外的其它任意区段的信息流,ScreenOS不执行NAT。
还要注意,ScreenOS允许您将Untrust区段接口设置为NAT模式,但是这样做并不会激活任何NAT操作。
主端口配置
配置连接内网接口参数
选择Network>
Interfaces>
Ethernet0/0>
Edit:
输入以下内容,单击OK
在ZoneNameTrust---------将Ethernet0/0
设置成trust安全区域
IPAddress/Netmask:
192.168.20.4/29----------输入IP地址
同时你还可以选择managementservers(ping\telnet\web\ssh\snmp\ssl)
配置连接服务区网络接口参数
Ethernet0/1>
在ZoneName:
DMZ---------将Ethernet0/1
设置成DMZ安全区域
172.16.16.1/24----------输入IP地址
设置连接外网网络接口参数
Ethernet0/2:
单击New输入以下内容,单击OK.
InterfaceName:
Ethernet0/2ZoneName:
Un-Trust---------将ethernet2/1接口设置成Trust安全区域
200.200.200.200.1/24-------输入IP地址和掩码
◆命令行配置方式(consle口连接配置)
SSG-550M-1(M)->
setinterfaceethernet0/0zonetrust---------设置接口安全区域
SSG-550M-1(M)->
setinterfaceethernet0/1zoneDMZ
setinterfaceethernet0/2zoneUntrust
setinterfaceethernet0/3zoneHA
setinterfaceethernet0/0route
setinterfaceethernet0/0ip192.168.20.4/29-----设置接口地址
setinterfaceEthernet0/0manage-ip192.168.20.5
SSG-550M-1(B)->
setinterfaceEthernet0/0manage-ip192.168.20.6
setinterfaceethernet0/1route
setinterfaceethernet0/1ip172.16.16.1/24
setinterfaceethernet0/2route
setinterfaceethernet0/2ip200.200.200.1/24
setinterfaceethernet0/0manage-ipx.x.x.x/x-------设置端口MANAGE-IP地址(两台设备都必须设置,并且此操作不通过NSRP同步,必须登录到两台设备上面进行单独配置,登录方式建议通过console接口,若其他接口也需要配置同样操作。
)
setinterfaceEthernet0/0manage(可选ping\web\telnet\ssl\ssh)
检查接口配置
getinterface
A-Active,I-Inactive,U-Up,D-Down,R-Ready
InterfacesinvsysRoot:
NameIPAddressZoneMACVLANStateVSD
eth0/0192.168.20.4/29Trust0010.dbff.2000-U0
eth0/1172.16.16.1/24DMZ0010.dbff.2050-U0
eth0/2200.200.200.1/24Untrust0010.dbff.2060-U0
eth0/30.0.0.0/0HA0021.591d.dd07-U-
vlan10.0.0.0/0VLAN0010.dbff.20f01D0
null0.0.0.0/0NullN/A-U0
当完成上述IP地址配置后,可以在网络可达的情况的下,通过MANAGE-IP地址使用IE浏览器登录到两台防火墙,显示如下界面:
(注意查看NSRP状态、接口状态、CPU、Memory等信息)。
FTP
接口的ftp服务
NS140/208/520/550/2000这些系列的防火墙的接口的FTP服务默认开启,且无法关闭
流经防火墙的ftp服务
需要通过防火墙的策略来开启或限制
WebUI
1.接口
Network>
Edit(对于ethernet0/1):
输入以下内容,然后单击
Apply:
ZoneName:
Trust
StaticIP:
(出现时选择此选项)
IPAddress/Netmask:
10.1.1.1/24
输入以下内容,然后单击OK:
InterfaceMode:
NAT
Edit(对于ethernet0/2):
OK:
DMZ
1.2.2.1/24
Edit(对于ethernet0/3):
Untrust
1.1.1.1/24
2.地址
Policy>
PolicyElements>
Addresses>
List>
New:
输入以下内容,然后单
击OK:
AddressName:
corp_net
IPAddress/DomainName:
IP/Netmask:
(选择),10.1.1.0/24
Zone:
mail_svr
(选择),1.2.2.5/32
r-mail_svr
(选择),2.2.2.5/32
3.服务组
FTP服务集成在防火墙里面,不需要再重新定义。
4.路由
Routing>
Destination>
trust-vrNew:
NetworkAddress/Netmask:
0.0.0.0/0
Gateway:
(选择)
Interface:
ethernet0/3
GatewayIPAddress:
1.1.1.250
5.策略
Policies>
(From:
Trust,To:
Untrust)>
SourceAddress:
AddressBookEntry:
(选择),corp_net
DestinationAddress:
(选择),mail_svr
Service:
FTP
Action:
Permit
deny
CLI
setinterfaceethernet0/1zonetrust
setinterfaceethernet0/1ip10.1.1.1/24
setinterfaceethernet0/2zonedmz
setinterfaceethernet0/2ip1.2.2.1/24
setinterfaceethernet0/3zoneuntrust
setinterfaceethernet0/3ip1.1.1.1/24
setaddresstrustcorp_net10.1.1.0/24
setaddressdmzmail_svr1.2.2.5/32
setaddressuntrustr-mail_svr2.2.2.5/32
ftp为防火墙自带的定义,无需重新定义
setvroutertrust-vrroute0.0.0.0/0interfaceethernet0/3gateway1.1.1.250
setpolicyfromtrusttountrustcorp_netmail_svrFTPpermit\\\开启FTP服务
setpolicyfromtrusttountrustcorp_netmail_svrFTPdeny\\\关闭FTP服务
save
CISCO路由器
启动接口,分配IP地址:
router>
enable
router#
router#configureterminal
router(config)#
router(config)#interfaceTypePort----------------------接口类型
router(config-if)#noshutdown
router(config-if)#ipaddressIP-AddressSubnet-Mask
配置FTP:
CISCO设备的FTP功能默认开启,无需配置
CISCO交换机
配置接口协商模式
switch(config)#interfacef0/1
switch(config-if)#duplex{full|half|auto}
//duplex用来配置接口的双工模式,full--全双工、half--半双工、auto--自动检测双工的模式
switch(config-if)#speed{10|100|1000|auto}
//speed命令用来配置交换机的接口速度,10--10M、100--100M、1000--1000M、auto--自动检测接口速度。
配置管理地址
交换机也允许被telnet,这时需要在交换机上配置一个IP地址,这个地址是在VLAN接
口上配置的。
如下:
switch(config)#intvlan1
switch(config-if)#ipaddress172.16.0.1255.255.0.0
switch(config-if)#noshutdown
switch(config)#ipdefault-gateway172.16.0.254
//以上在VLAN1接口上配置了管理地址,接在VLAN1上的计算机可以直接进行telnet该地址。
为了其他网段的计算机也可以telnet交换机,我们在交换机上配置了缺省网关。
配置FTP
升级会员 