Juniper SRX 防火墙运行routinginstance AAANTPSYSLOG 配置实验.docx
《Juniper SRX 防火墙运行routinginstance AAANTPSYSLOG 配置实验.docx》由会员分享,可在线阅读,更多相关《Juniper SRX 防火墙运行routinginstance AAANTPSYSLOG 配置实验.docx(18页珍藏版)》请在冰豆网上搜索。
JuniperSRX防火墙运行routinginstanceAAANTPSYSLOG配置实验
JuniperSRX3400Routing-instance
AAA、NTP、SYSLOG
实验配置手册
目录
1.实验需求3
2.实验环境3
3.实验拓扑4
3.1.创建虚拟机4
3.2.虚拟机之间网络连接4
4.防火墙配置7
5.AAA配置验证14
5.1.1.若将防火墙source-address定义为172.16.1.114
5.1.2.删除环回口lo0地址16
6.NTP配置验证17
6.1.1.若将ntp源地址设为172.16.1.1,18
6.1.2.删除环回口lo0地址18
7.SYSLOG配置验证19
7.1.1.若将SYSLOG源地址设为172.16.1.119
7.1.2.删除防火墙上lo0接口地址20
8.最终结论21
1.实验需求
为了能够充分理解JuniperSRX防火墙在运行routing-instance情况下配置AAA、syslog、ntp的运行机制,通过虚拟机搭建试验环境来验证。
2.实验环境
Juniper防火墙使用虚拟机来搭建,Radius服务器使用windows2003+ACSv4.2,将windows2003作为ntpserver,在windows2003上安装Kiwi_Syslog_Server作为syslog软件。
实验工具如下:
软件
防火墙
junos-vsrx-12.1X44-D10.4-domestic;
服务器
WindowsServer2003EnterpriseEditionServicePack2
Radius服务器
ACSv4.2
Syslog服务器
Kiwi_Syslog_Server
登录工具
SecureCRT
VMWare
VMware-workstation-full-10.0.3-1895310.exe
PC
硬件
3.实验拓扑
3.1.创建虚拟机
创建2个虚拟机:
SRX:
juniper防火墙
Radius_NTP_Syslog_server:
作为radius、NTP、syslog服务器;
3.2.虚拟机之间网络连接
各虚拟机网卡连接方式如下:
1)将虚拟机SRX网卡1与物理机网卡桥接
2)将虚拟机SRX网卡3采用自定义方式,用于与两台服务器连接
3)服务器网卡也采用自定义的方式,用于与SRX连接:
4)配置IP地址,测试联通性
按照以上拓扑图对防火墙接口、服务器网口的IP地址进行配置,并测试连通性。
设置Radius_server_1地址:
设置Radius_server_2地址:
4.防火墙配置
system{
authentication-order[radius];//证验方式radius优先,radius失效本地帐号可登录
root-authentication{
encrypted-password"$1$XnvX8cV/$ofcHd9NOokhXfFY2vybIA.";##SECRET-DATA
}
radius-server{
172.16.1.100{//主服务器
secretjuniper;##SECRET-DATA
source-address10.0.0.100;
}
172.16.1.101{//备服务器
secretjuniper;##SECRET-DATA
source-address10.0.0.100;
}
}
accounting {//配置审计
events login;
destination {
radius {
server {
172.16.1.100 {
port 1646;
secret "$9$VdsgJikP36AGD6Ap0hcbs2"; ## SECRET-DATA
}
172.16.1.101 {
port 1646;
secret "$9$VdsgJikP36AGD6Ap0hcbs2"; ## SECRET-DATA
}
}
}
}
}
login{
classview-config{//建立只读用户权限class
idle-timeout5;
permissionsall;
deny-commands"(request)|(set)|(clear)|(configure)";//配置deny-commd
}
classsuper{//建立super用户权限class
idle-timeout15;
permissionsall;
}
userxuansw{//建立本地账户
uid2002;
classsuper;
authentication{
encrypted-password"$1$JnCi6P6j$vpWhKOfEW.mXllPzX0oOa1";##SECRET-DATA
}
useryangzz{//建立本地账户
uid2004;
classsuper;
authentication{
encrypted-password"$1$xOmWw0IM$Fj2npdjRgYutg5ZZFZ33r.";##SECRET-DATA
}
}
usercheck{/建立只读权限模板用户,模板用户不用配置密码,用于与ACS对接;
uid2010;
classview-config;
}
usersuper{//建立super权限模板用户,模板用户不用配置密码,用于与ACS对接;
uid2001;
classsuper;
}
}
}
syslog{
user*{
anyany;
}
host172.16.1.100{//指定syslog服务器地址为172.16.1.100
anynotice;
}
filemessages{
anynotice;
authorizationinfo;
explicit-priority;
}
fileinteractive-commands{
interactive-commandsany;
}
filetest4mgmt{
authorizationinfo;
explicit-priority;
}
filetraffic-log{
anyany;
matchRT_FLOW_SESSION;
}
source-address10.0.0.100;//源地址指定为lo0地址
}
ntp{
server172.16.1.100version3;//ntp服务器地址指定为172.16.1.100
source-address10.0.0.100;//源地址为10.0.0.100(lo0地址)
}
}
interfaces{
ge-0/0/1{
unit0{
familyinet{
address192.168.2.110/25;//与PC互联
}
}
}
ge-0/0/2{
unit0{
familyinet{
address172.16.1.1/24;//与服务器互联
}
}
}
lo0{
unit0{
familyinet{
address10.0.0.100/24;//环回接口
}
}
}
}
routing-options{
interface-routes{
rib-groupinetGlobal;
}
static{
route172.16.1.100/32next-tableECC-VR.inet.0;//全局路由inet.0指向服务器地址
}
rib-groups{
Global{
import-rib[inet.0ECC-VR.inet.0];//全局路由inet.0导入ECC-VR.inet.0
}
}
}
security{
policies;
zones{
security-zonetrust{
interfaces{
ge-0/0/1.0{
host-inbound-traffic{
system-services{
ping;
telnet;
ssh;
}
}
}
}
}
security-zoneuntrust{
interfaces{
ge-0/0/2.0
}
}
}
}
}
}
routing-instances{//配置routing-instancesECC-VR
ECC-VR{
instance-typevirtual-router;
interfacege-0/0/1.0;
interfacege-0/0/2.0;
routing-options{
static{
route0.0.0.0/0next-hop192.168.2.126;
}
}
}
}
5.AAA配置验证
疑问:
如下图,SRX防火墙在运行routing-instance情况下,防火墙配置AAA时,防火墙与Radius服务器通信的source-address是以下中哪一个:
1)rouing-instanceECC-VR里接口ge-0/0/2的地址172.16.1.1
2)全局下的lo0接口地址10.0.0.100
5.1.1.若将防火墙source-address定义为172.16.1.1
system{
authentication-order[radius];//证验方式radius优先,radius失效本地帐号可登录
}
radius-server{
172.16.1.100{//主服务器
secretjuniper;##SECRET-DATA
source-address172.16.1.1;//routing-instanceECC-VR里接口地址
}
}
ACS上指定客户端地址为:
172.16.1.1
在防火墙上对ge-0/0/2(防火墙与服务器互联接口)抓包如下:
此时通过radius服务器建立的账号test1无法登录,而抓包发现防火墙默认是通过防火墙全局下lo0接口地址10.0.0.100与服务器进行通信的。
若ACS上同时添加客户端地址为10.0.0.100,172.16.1.1,防火墙指定的源地址还是172.16.1.1:
在防火墙上对ge-0/0/2(防火墙与服务器互联接口)抓包如下:
此时通过radius服务器建立的账号test1可以正常登录,而抓包发现防火墙默认是通过防火墙全局下lo0接口地址10.0.0.100与服务器进行通信。
5.1.2.删除环回口lo0地址
删除防火墙上环回扣lo0接口址,source-address指定为172.16.1.1:
ACS同时添加172.16.1.1和10.0.0.100两个地址:
在防火墙上抓包,发现无数据通过,并且test1帐号无法登录:
结论:
从抓包结果可以看出,即使防火墙上指定源地址为VR上接口地址,实际上默认与radius服务器通信的地址为全局下接口地址(此处为Lo0)。
6.NTP配置验证
疑问:
如下图,SRX防火墙在运行routing-instance情况下,防火墙配置NTP时,防火墙与NTP服务器通信的source-address是以下中哪一个:
1)rouing-instanceECC-VR里接口ge-0/0/2的地址172.16.1.1
2)全局下的lo0接口地址10.0.0.100
6.1.1.若将ntp源地址设为172.16.1.1,
system{
ntp{
server172.16.1.100;//ntp服务器地址指定为172.16.1.100
source-address172.16.1.1;//routing-instanceECC-VR里接口地址
}
}
在防火墙做手动同步,并用源地址为172.16.1.1:
在防火墙抓包发现,与ntp服务器172.16.1.100通信是防火墙的lo0接口地址10.0.0.100:
6.1.2.删除环回口lo0地址
删除防火墙上环回扣lo0接口址,source-address指定为172.16.1.1:
在防火墙做手动同步发现无法同步:
结论:
从抓包结果可以看出,即使防火墙上指定源地址为VR上接口地址,实际上默认与NTP服务器通信的地址为全局下接口地址(此处为Lo0)。
7.SYSLOG配置验证
7.1.1.若将SYSLOG源地址设为172.16.1.1
syslog{
user*{
anyany;
}
host172.16.1.100{//指定syslog服务器地址为172.16.1.100
anynotice;
}
filemessages{
anynotice;
authorizationinfo;
explicit-priority;
}
fileinteractive-commands{
interactive-commandsany;
}
filetest4mgmt{
authorizationinfo;
explicit-priority;
}
filetraffic-log{
anyany;
matchRT_FLOW_SESSION;
}
source-address172.16.1.1//routing-instanceECC-VR里接口地址
}
在防火墙上抓包发现与syslog服务器通信的是全局下的环回口地址10.0.0.100:
从syslog服务器上发现与之通信的地址为10.0.0.100:
7.1.2.删除防火墙上lo0接口地址
删除防火墙上lo0接口地址,发现syslog上不再出防火墙上日志:
结论:
从抓包结果可以看出,即使防火墙上指定源地址为VR上接口地址,实际上默认与syslog服务器通信的地址为全局下接口地址(此处为Lo0)。
8.最终结论
通实验可以得出如下结论:
JuniperSRX防火墙在运行routing-instance的情况下,防火墙上AAA、NTP、SYSLOG与服务器通信的source-address默认必须是全局下的接口地址,不能通过routing-instance里的接口地址来与服务器通信。
Juniper官网说明如下:
升级会员 