1SRX 系统演变 基本配置.docx
《1SRX 系统演变 基本配置.docx》由会员分享,可在线阅读,更多相关《1SRX 系统演变 基本配置.docx(28页珍藏版)》请在冰豆网上搜索。
1SRX系统演变基本配置
IOS的改变
SRX防火墙是由juniper自主开发的一款全新系列的防火墙,他的ios和ssg的不一样.从netscreenOS迁移到JunOS
而且SRX主要以命令行为主,图形化就变得很复杂了.
1ScreenOS的弊端就是系统开启后,不能对任何一个进程进行单独关闭,所有的进程优先级一样,否则整个系统都会崩溃
2而且JunOS系统的底层是一样的,是一个模块化的系统.在这个底层上面加入路由器的模块就有路由器的功能,加入防火墙的模块就有防火墙的功能,
所以JunOS系统的命令基本是一样的
Screenos和junos性能比较
不管是screenOS和JunOS的防火墙都有Zones,而JunOS的zone也是和思科的Zonebasedfirewall
Screenos有虚拟路由器,Junos也有,不过叫做路由实例
Screens功能更两者都有
深度包检测在junos就是ips的功能了
都有natvpn动态路由协议utm(就是防御病毒,防御垃圾邮件的功能)
SRX防火墙的管理方式有命令行和网页管理
SRX产品线
第一种是分支SRX系列的,这个产品线主要是中小型企业用的,像路由器,防火墙,交换机等等
第二种是数据中心的SRX系列的,这款系列就是主要针对大型企业的,像吞吐量达到10G的数据中心和IPS
两个系列的features其实是有共同的,但是都有自己特别的feature的就是了
BranchSRX系列
BranchSRX系列特性介绍
中小型企业的srx系列设备能够支持病毒检测,垃圾邮件过滤,url过滤,而数据中心是不支持的
Ips的能力比数据中心的要弱.
而这次分支srx多了一个动态vpn的客户端的功能,它能够让客户直接打开网页,下载客户端输入密码就能够连上vpn,好方便.咋这是数据中心不支持的
有3G和wifi
有mpls
能够支持广域网接口,像帧中继,adsl这些
BranchSRXSeries授权
这个系列的SRX的授权几乎都要买的,除了BGP是永久的.其他都是要购买.
这的conbinedset是一个集合,是防病毒,防御垃圾邮件,url过滤的一个集合,
而动态vpn客户端一般来说只能并发连接时2-3个,但是要到5个或者更多的话就必须买授权
系列型号
这款SRX100的最大吞吐量是650Mbps,而且也是有两个选择,一个是512MB的内存,一个是1G内存
功能也是差老远.如果你是买了512内存的SRX100,那么你只有基本的防火墙功能和vpn功能,对应用层的过滤你是办不到的
就算买了授权也不能对病毒,垃圾邮件和url过滤,必须得将内存升级到1GB,然后再买授权才能用.
SRX100是不支持广域网模块的
SRX200这个产品和SRX100几乎差不多(就是功能上),性能还是比srx100好的.,而且多了一个广域网接口,红色框住的地方
SRX600就是一个很大的跨度了.最大吞吐量也达到了7Gbps,而却ips的吞吐量也有1.5Gpbs,很牛逼的性能
DATACenterSRX
数据中心的SRX防火墙主要是高性能,高稳定,但并不是feature多
JunOS的基本操作(命令)
操作模式介绍
在一个新的设备上面,在login的界面上直接输入root就能登录,并不需要密码,而且必须要敲cli才能进入命令行界面
admin@%cli
admin>
这个”admin>”的模式是操作模式,这个模式下面可以实现show\clear\monitor这三个操作,相当于思科的”#”模式
Showinterfaces就能看到这个设备所有接口的状态信息
然后如果要进入配置模式必须敲configure,这样就能进入配置模式
Junos的配置模式是#号的,这个模式可以进行configure\save\set\delet\load\show命令
而且这个模式也可以showinterfaces,不过这个模式下面showinterfaces是查看所有接口的配置
简单命令介绍
查看接口命令
第一句命令root>showinterfacesterse是很简略的,相当于showipintbri,能看见接口的up/down状态,地址,
第二句命令root>showinterfacesbrief就比第一条命令查看的内容详细
root>showinterfacesdetail更加详细,能够看到接口的速率,包的数目
最后一个是最详细的,root>showinterfacesextensive,这里就不显示了。
。
。
。
配合管道符查看
在思科设备上面可以showinterfaces|includef0/0来查看某样特定的信息
那么在junos里面这个命令就变成root>showinterfacesdetail|matchfe-0/0/0,而且必须是fe-0/0/0
参考配置信息
如果对某一样配置不是很懂,可以通过help的命令来看看系统提供的配置提示
就拿安全策略来说,系统会告诉你,必须建立一个policy,然后这个policy必须match应用地址等等,然后要怎么做,系统都会告诉你
相当于一个配置手册
搜索某个功能的命令
比如我想知道查看arp的命令,但是不知道,那么可以通过root>helpaproposarp这个命令来看看
系统会告诉你关于arp这个东西可以用的任何命令
配置模式
进入配置模式也有三个模式
第一种batch模式还不清楚
第二种模式是share模式,最常用的,多个人不同方式同时登陆,对设别进行修改配置,大家都能看到,一起用
第三种模式是可以允许多个人登陆,但是只有一个人可以修改配置,其他人只能查看
第四种模式是比较奇葩,比如a用私人模式登陆上去,在10点做了一个接口ip配置并且保存了,这时候b也用私人模式登陆了,创建了一个
Ospf,并且在10.10分保存了,那么最终的到配置只有ospf,那个接口ip的配置会被清除.
配置层次化
配置模式是层次化的,什么叫层次化呢.比如说,要配置一个zone,那么必须在security下配置,要配置name-server就应该在system下面配置
而且在全新空配的防火墙命令行下面直接敲show就能看到系统的默认配置
一般情况下,如果配置一个接口的命令是root#setinterfacesfe-0/0/0.1familyinetaddress1.1.1.1/24,必须这样敲.好长
加family是说ipv4的地址,而且show的时候必须是showinterfacesfe-0/0/0.1familyinet,才能看见这个接口的配置
要知道,在junos里面是不允许在物理接口下配置地址的,必须在子接口才能配置
当然,我们也可以进入setinterfaces的模式
通过命令root#editinterfaces就能够进入接口模式下,当你配置多个接口的时候就不用每次都敲setinterfaces了
并且你在这个模式下show的话只能看见所有接口的配置
现在你还可以再进入一个层级
Root#editfe-0/0/0.0就能够进入这个接口模式下面,这时候show的话就只能看到这个接口的配置了
这时候还可以继续配置第二个地址的,看到fe-0/0/0.0有两个地址了
这时候还可以再进一个层次,root#editfamilyinet,并且可以在这里删除地址,这时候可以用tab键来补全,
它会补全到address1.1.1.这个位置,然后你可以选择删除哪一个,然后回车就好了
总之junos的命令层次是很突出的.如果你要从一个层次返回外面的层次,可以用up回车就好,或者直接exit
配置删除
如果是删除整个接口的配置,那么是root#deletinterfacesfe-0/0/0.1,那么这个接口的配置都会被删除
如果是要删除一堆接口的配置
可以用root#wildcarddeletinterfacesfe-0/0/*这个命令是将匹配”fe-0/0/”的所有接口配置都删除,所以系统会向你确认是否将匹配的接口配置都删除掉
重命名
如果在思科里面创建策略,那么策略名字错了你就得将策略全部删除人后重新写过,但是junos就不用,可以讲策略直接改名字就得了
比如现在我有一个策略是基于源的nat,并且名字叫trust-to-untrust,现在要改成inside-to-outside的话也是可以的
首先进入的他层次里面root#editsecuritynatsource就能直接去到配置rule-set的位置,然后你show的时候就能看到
这个层次下的所有配置了
然后直接renamerule-setxxxxxxtoxxxxxx就ok了
替换配置
这个功能是你在发生手误的时候,将某个关键字改为你想要的
就像图上面说展示,在fe-0/0/0.1上面配置了地址的,但是其实这个地址是在fe-0/0/0.0上面做的,
那么可以replacepatternfe-0/0/0withfe-0/0/1,这样就将匹配fe-0/0/0的所有子接口的配置都变成了fe-0/0/1的子接口了
其实感觉实用性不大,你配置多了,你就觉得不好用了
复制配置
这就不解释了…
这样两个接口的配置都一样了.但是这里为什么不会报错呢?
这是因为,在junos里面你必须输入commit才能生效,生效的时候就肯定会报错.这是和思科最大的区别
而且就算他没有某一个模块,没关系,也可以敲上去,之后后面把模块插上了就能用
但是这些配置是不能刷的,你看看命令行哪有这样显示的.
如果你要刷配置,可以查看set的命令,因为所有的命令其实都是set,但是上面的命令是层次化显示,所以刷不到
通过show|displayset就能够查看可以用来刷的命令了
如果要在#模式下面查看>号模式下面的的信息的话可以用命令root#runshowinterfaces这等同于root>showinterfaces
就相当于思科设备在router(config#)下面doshinterfaces这样的情况
提交与恢复配置介绍
Junos系统必须要commit,命令才能够生效的
如果要删除全部配置其实很简单,因为他是层次化的,你只需要将最顶层的东西delet的话,那么关于这个层的所有配置就没了
比如你root#deletsecurity,那么这个security的下面所有的东西都没了.
Root#show|compare是用作比较的.你现在准备提交配置,但是你想看看自己究竟新增了什么,通过这个命令,系统会列出这次新增的配置是什么.
他是拿上次提交了的配置和这次还没提交的配置进行对比
Root#rollback功能比较牛逼,他能够将配置恢复到前50次提交的配置中的任意一次配置(系统最多会保存50次commit的配置,随你任意恢复到哪一次都没问题),当然你rollback后必须commit这个恢复的配置才能生效
这个命令root#commitat“2012-08-0818:
00:
00”的意思是说这个配置在这个时间提交,一个设定时间提交的功能
而root>clearsystemcommit是将做了但是没提交的配置取消
Root#commitcomment“xxxxxx”是对这次提交的配置打上一个标签,这样但你使用rollback的时候你就知道这个配置里面配了什么东西了
Root>showsystemcommit就可以看到你做的标记了
Root#commitconfirmed是一个比较好用的功能,比如你不保证这次提交的配置是否百分百正确,那么输入这个命令之后
必须在十分钟之内再次进入root#模式,输入commitcomplete,否则系统会自动恢复到你保存前的状态.
这个好处就是比如你配置一个东西,这个东西你手误弄错了,而且不能再登进系统,那么这个命令就能帮助你了,10分钟后让你的配置恢复到提交前的状态
基本系统配置
设置主机名:
root#setsystemhost-namexxx
设置dns服务器:
root#setsystemname-server8.8.8.8
查看系统时间:
root>showsystemuptime
设置时区:
root#setsystemtime-zoneAsia/Chongqing
手动设置时间:
root>setdate201001011800.00(2010年01月01日18:
00:
00)
设置ntp服务器:
root#setsystemntpserverx.x.x.x
查看ntp的信息root>showntpstatus
Root>showntpassociations
重启系统:
root>requestsystemreboot
关闭系统:
root>requestsystempower-offjuniper的防火墙是可以关机的.插电关机
从命令行切换到系统界面root>startshell(只有在系统界面才能够用tftp哦)
从系统界面去环到命令行root%cli
修改用户名的密码:
root#setsystemroot-authenticationplai-text-password
Newpassword:
Retypenewpassword:
一般情况下是不建议用root管理srx的,通常建议在新建一个超级用户来管理
创建普通用户
用户有四类,
第一类是操作用户,只能够做很简单的动作
第二类是只能够查看内容的
第三类是可以做任何配置
第四类是未授权的,不能登录
密码恢复
配置管理服务
Setsshroot-logindeny这个命令设置好后,root账号只能通过console口登陆
Setweb-managementhttpssystem-generated-certificate这个命令是开启https管理后必须的,是说https管理需要证书,而这个证书有系统自动产生
查看版本和授权
Showsystemlicense可以查看证书信息
如果要导入证书root>requestsystemlicenseaddterminal输入之后将证书号码贴进去,然后按回车+ctrl+D就可以了
查看系统进行可以看到进行对系统的利用率有多大
如果有些进程对cpu利用率比较高的话可以单独对这个进程进行重启,这是netscreenOS不能实现的
下面就是对chassis-control重启的命令
升级会员 