Меню

Настройка времени на juniper



Как в Juniper SRX настроить время через консоль / Как Juniper SRX синхронизировать время с NTP сервером

Как в Juniper SRX настроить время через консоль / Как Juniper SRX синхронизировать время с NTP сервером

После базовой настройки Juniper (Об этом тут и тут) давайте, дальше продолжим настройку нашего Juniper SRX и зададим ему дату и время. Ранее я уже рассказывал Как задать часовой пояс в Juniper SRX через консоль, так что на этом останавливаться не будем.

И так открываем консоль первое что мы сделаем это узнаем текущее время делается это командой

Вы увидите время загрузки, текущее время и время бесперерывной работы

Как в Juniper SRX настроить время через консоль-01

Установим 29 января 2014 года 17-36 командой

Вначале год месяц число время

Теперь, давайте синхронизируем время с ntp сервером командой

Как в Juniper SRX настроить время через консоль-02

3. Способ это всегда использовать ntp сервер, выше мы единоразово синхронизировали ваш Juniper с ntp.

Идем в режим конфигурирования и вводим

Как в Juniper SRX настроить время через консоль-03

Еще можно при загрузке синхронизироваться с ntp командой

Как в Juniper SRX настроить время через консоль-04

Источник

JunOS — полезные команды

Недавно начал изучать с нуля оборудование Juniper Networks. К нам в контору пришли 3 Juniper SRX240 и SRX650. Вот собрал список команд которые мне больше всего пригодились при первоначальной настройке оборудования Juniper.

Оборудование Juniper работает на основе OS FreeBSD, при включении и прохождении аутентификации вы можете увидеть такие строки приглашения в режимы пользователя:

root@juniper% — это сам shell OS FreeBSD
после ввода команды cli мы попадаем в
root@juniper> — операционный режим, после ввода команды edit попадаем в
root@juniper# — конфигурационный режим

О назначении всех режимов я останавливаться не буду.

Команды операционного режима


Команды мониторинга и устранения неисправностей:
root@juniper> clear — очистка чего-либо
root@juniper> monitor — просмотр чего либо в реальном времени
root@juniper> ping — проверка доступности узлов ICMP-пакетами
root@juniper> show — просмотр конфигурации
root@juniper> test — тестирование сохраненных конфигураций и интерфейсов
root@juniper> traceroute — трассировка маршрута

Отображение состояния интерфейсов
root@juniper> show interface description
root@juniper> show interface terse <кратко о состоянии интерфейсов>
root@juniper> show interface detail

Сохранение резервной конфигурации
root@juniper> request system configuration rescue save

Чтобы возвратиться к спасательной конфигурации, загрузите её следующей командой:
root@juniper# rollback rescue

Удаляет не примененные команды
root@juniper> clear system commit

Показывает CPU, Mem and Temperature
root@juniper> show chassis routing-engine

Показывает статистику на интерфейсе в реальном времени
root@juniper> monitor traffic interface ge-0/0/1 <какие пакеты и куда идут на интерфейсе>
root@juniper> monitor interface traffic

Рестарт процесса
root@juniper> restart gracefully

Перегрузка оборудования
root@juniper> request system reboot

Удаление ненужных файлов
root@juniper> request system storage cleanup

Команды конфигурационного режима


Отключение ветки конфигурации
root@juniper# deactivate

Загрузка заводской конфигурации
root@juniper# load factory-default

Установка пароля на root-пользователя
root@juniper# set system root-authentication plain-text-password

Установка нового пользователя
root@juniper# set system login user <имя пользователя>class <тип пользователя: operator, read-only, super-user>authentication plain-text-password

Настройка WEB-интерфейса
root@srx# set system services web-management http interface

Включение ssh-доступ к роутеру
root@srx# set system services ssh

Переключение с одного порта на другой
(порт на который переключаешься не должен быть активен)
root@juniper# rename interfaces ge-0/0/0 to ge-0/0/1

Возвращение портов — обратная операция
root@juniper# rename interfaces ge-0/0/1 to ge-0/0/0

Что бы не удалять IP-адрес с интерфейса и присваивать другой используй команду rename
[edit interfaces]
root@juniper# rename ge-0/0/1 unit 0 family inet address 192.168.0.1/28 to address 192.168.0.2/28

Копирование части конфигурации на другую ветку
(ветка на которую копируется не должна быть создана)
root@juniper# copy interfaces ge-0/0/0 to ge-0/0/1

Возвращение на верхний уровень иерархии конфигурационного режима [edit]
[edit interfaces ge-0/0/1]
root@juniper# top

Ввод операционных команд из конфигурационного режима
root@juniper# run

Команды на применение, сохранение и откат конфигурации.

Проверка конфигурации на ошибки до коммита
root@juniper# commit check

Применение конфигурации по времени
root@juniper# commit at 12:00

Чтобы отменить операцию по времени
root@juniper> clear system commit

Применение конфигурации с откатом по времени
root@juniper# commit confitmed 100

Откат конфигураций
root@juniper# rollback <откат на последнюю конфигурацию>
root@juniper# rollback?

Просмотр изменений в конфигурации до ее применения
root@juniper# show | compare

Коммутация портов

Сделать нужные порты членами одной виртуальной локальной сети (VLAN).
root@juniper# set interfaces interface-range interfaces-trust member-range ge-0/0/1 to ge-0/0/7

Этой командой мы сказали, что интерфейсы являются портами коммутатора и принадлежат к одному VLAN под названием vlan-trust.
root@juniper# set interfaces interface-range interfaces-trust unit 0 family ethernet-switching vlan members vlan-trust

Читайте также:  Установка и настройка нового жесткого диска

Далее создаем собственно сам vlan-trust и говорим, что данный VLAN терминируется и имеет IP-адрес
root@juniper# set vlans vlan-trust vlan-id 3
root@juniper# set vlans vlan-trust l3-interface vlan.0
root@juniper# set interfaces vlan unit 0 family inet address 192.168.0.1/24

Настройка зон безопасности

Разрешаем все сервисы в зоне trust
root@juniper# set security zones security-zone trust host-inbound-traffic system-services all

Разрешаем все протоколы в зоне trust
root@juniper# set security zones security-zone trust host-inbound-traffic protocols all

Добавляем интерфейсы в зону trust
root@juniper# set security zones security-zone trust interfaces vlan.0
root@juniper# set security zones security-zone trust interfaces lo0.0
root@juniper# set security zones security-zone trust interfaces ge-0/0/1.0

Создаем переход от зоны trust к зоне trust
root@juniper# set security policies from-zone trust to-zone trust policy trust-to-trust match source-address any
root@juniper# set security policies from-zone trust to-zone trust policy trust-to-trust match destination-address any
root@juniper# set security policies from-zone trust to-zone trust policy trust-to-trust match application any
root@juniper# set security policies from-zone trust to-zone trust policy trust-to-trust then permit

Описывать зону untrast и переходы от этой к другим зонам не стал, т.к. у меня нету такой необходимости.

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

Источник

JunOS — полезные команды

Оборудование Juniper работает на основе OS FreeBSD, при включении и прохождении аутентификации вы можете увидеть такие строки приглашения в режимы пользователя:

root@juniper% — это сам shell OS FreeBSD
после ввода команды cli мы попадаем в
root@juniper> — операционный режим, после ввода команды edit попадаем в
root@juniper# — конфигурационный режим

Команды операционного режима

Команды мониторинга и устранения неисправностей:

Отображение состояния интерфейсов

Сохранение резервной конфигурации

Чтобы возвратиться к спасательной конфигурации, загрузите её следующей командой:

Удаляет не примененные команды

Показывает CPU, Mem and Temperature

Показывает статистику на интерфейсе в реальном времени

Удаление ненужных файлов

Команды конфигурационного режима

Отключение ветки конфигурации

Загрузка заводской конфигурации

Установка пароля на root-пользователя

Установка нового пользователя

Включение ssh-доступ к роутеру

Переключение с одного порта на другой
(порт на который переключаешься не должен быть активен)

Возвращение портов — обратная операция

Что бы не удалять IP-адрес с интерфейса и присваивать другой используй команду rename

Копирование части конфигурации на другую ветку
(ветка на которую копируется не должна быть создана)

Возвращение на верхний уровень иерархии конфигурационного режима [edit]

Ввод операционных команд из конфигурационного режима

Команды на применение, сохранение и откат конфигурации.

Проверка конфигурации на ошибки до коммита

Применение конфигурации по времени

Чтобы отменить операцию по времени

Применение конфигурации с откатом по времени

Просмотр изменений в конфигурации до ее применения

Коммутация портов

Сделать нужные порты членами одной виртуальной локальной сети (VLAN).

Этой командой мы сказали, что интерфейсы являются портами коммутатора и принадлежат к одному VLAN под названием vlan-trust.

Далее создаем собственно сам vlan-trust и говорим, что данный VLAN терминируется и имеет IP-адрес

Источник

Juniper серии SRX.

суббота

Конфигурирование Juniper серии SRX. Пример 1.

Здравствуйте, уважаемые коллеги, попробую описать начальные настройки junos для SRX. Для настройки предпочитаю PuTTY, сам способ подключения довольно прост, поэтому приступим к стартовой настройке.

Допустим мы только, что распаковали новый девайс, подключились к консольному порту, дальше junos попросить ввести логин, по умолчанию это root, пароля по умолчанию нет.

У Juniper есть три режима:

  • Первый режим имеет приглашение root@%, его пропускаем набрав команду cli
  • Операционный режим, используется для мониторинга, выявления неполадок, выключения устройства, перезагрузка OS, перезагрузка служб, выполнения команды ping, traceroute, просмотр состояния ipsec, ike и др., имеет приглашение root@>.
  • Конфигурационный режим, как вы догадались из названия в этом режиме происходит настройка и редактирование конфигурации. Чтобы попасть в этот режим используется команда configure или edit, обе команды работают.

Первым делом, что необходимо сделать это назначить пароль для пользователя root:

root@# set system root-authentication plain-text-password

После ввода команды не забывайте нажимать Enter, система дважды попросит ввести новый пароль. Длина пароля должна быть не менее 6 символов, пароль не должен состоять из одних цифр или букв, иначе система выведет предупреждение:

error: minimum password length is 6
error: require change of case, digits or punctuation

В конфигурации все пароли хранятся в зашифрованном виде, вы не увидите пароль открытым текстом при вводе команды show.

root@# commit (команда commit применяет внесенные изменения)

Настроим имя нашего фаервола, можно задать любое имя, в нашем случае это srx:

root@# set system host-name srx
root@#commit

Приглашение на ввод команды изменилось, добавилось имя:

root@srx#

Установка зонального времени:

root@srx# set system time-zone GMT+9

Настроим доменное имя:

root@srx# set system domain-name mydomain.com

Команда set system domain-search определяет для системы список доменов, с помощью нее можно задать порядок в котором домены исследуются (в нашем случае пропускаем)

В Juniper, серверы имен DNS уже прописаны,рекомендую добавить еще один:)

root@srx# set system name-server 8.8.8.8

По умолчанию в juniper прописан сервис ssh, telnet, web-management, для безопасности рекомендую удалить telnet и протокол http c web-management:

root@srx# delete system services telnet
root@srx# delete system services web-management http

Для ssh установить версию протокола v2 и лимит подключений (максимально допустимое количество ssh соединений 5)

root@srx# set system services ssh protocol-version v2
root@srx# set system services ssh connection-limit 5

Настроим NTP, сразу объясню для чего, при просмотре журналов и событий время должно быть синхронизировано с фактическим временем, иначе будет сложно осуществлять поиск неисправностей, и второе, при использовании планировщика необходимая политика или правило применится не в то время, которое мы запланировали.

Зададим время вручную, делается это в режиме мониторинга.

root@srx>set data 201309192356.24 (Время и дата задается в формате YYYYMMDDhhmm.ss).

Задать время руками полезно при первоначальной настройке, когда Juniper не имеет доступа к сети.

Настроим Juniper в качестве NTP клиента:

root@srx# set system ntp server 192.168.1.55 (рекомендую использовать корпоративный NTP сервер как в нашем случае, но возможно любой другой, допустим ru.pool.ntp.org )

SRX может выступать в качестве NTP сервера, но в стартовой настройке мы это рассматривать не будем.

Настроим максимальное количество резервных конфигураций. По умолчанию максимальное количество резервных конфигураций равно 5, т.е. мы можем иметь одну активную конфигурацию и не более пяти конфигураций отката. Посмотреть список сохраненных конфигураций можно командой #rollback ? Если ввести команду commit, то Ваша текущая (активная) конфигурация сохранится как rollback 1, а конфигурация кандидат (в которую мы внесли изменения и ввели команду commit) как rollback 0 и будет являться активной конфигурацией .В случае если необходимо произвести откат на конфигурацию до применения, то необходимо ввести #rollback 1. Надеюсь мне удалось объяснить:)
Теперь изменим максимальное количество резервных конфигураций:

root@srx# set system max-configuration-rollbacks 49

Смотрим:

root@srx# show system max-configuration-rollbacks
max-configuration-rollbacks 49;

Теперь давайте разберемся с командой max-configurations-on-flash. Этой командой назначаешь сколько сохраненных конфигураций будет находиться в разделе /config.
Установим значение 5:

root@srx# set system max-configurations-on-flash 5

Что же нам это дает?

Команда root@srx# set system max-configuration-rollbacks 49 -указывает максимальное количество резервных конфигураций, в нашем случае 49.

Команда root@srx# set system max-configurations-on-flash 5 — указывает максимальное количество резервных конфигураций, в нашем случае 5, которые будут храниться в разделе /config

При таких параметрах вы можете откатиться до 49 последних сохранений, при этом первые пять конфигураций будут сохранены в разделе /config, а остальные 44 в разделе /var/db/config. Посмотреть раздел /config можно командой:

[edit]
root@srx# run file list /config

Как мы видим в разделе конфиг только пять конфигурационных файлов отката + активная конфигурация, если вы заметили нумерация начинается с нуля.

Увеличивать число максимальных резервных конфигураций до 49 вопрос спорный, с одной стороны всегда можно откатиться при ошибке, с другой стороны будем ли мы восстанавливаться до 49 копии конфигурации? И не забываем, что увеличение сохраняемых копий конфигураций приведет к увеличению использования памяти на диске.

Рассмотрим простейшую топологию.

Думаю из рисунка все понятно.
Простейшая схема украденная из Интернета:)
Провайдер предоставляет статический ip -адрес допустим 50.60.70.80/24, в интерфейс fe-0/0/2, для этого интерфейса настроим зону Internet.
Наша локальная сеть будет иметь адрес 192.168.1.0/24, для локальной сети настроим зону LAN на интерфейс fe-0/0/3.
В порт fe-0/0/3 подключим switch второго уровня для соединения узлов компьютерной сети.
Задача:
1. Настроить Juniper в качестве DHCP сервера.
2. Раздать пользователям Интернет (nat, создать зоны и политики безопасности).
Почему такая простая топология?, а зачем все усложнять!
В других статьях используют зоны по умолчанию, это untrust и trust, в нашем случае зона untrust будет зоной Internet, а зона trust зоной LAN.

Для начала зададим интерфейсам адреса:

root@srx#set interfaces fe-0/0/2 unit 0 family inet address 50.60.70.80/24
root@srx#set interfaces fe-0/0/2 unit 0 description Rostelecom
— описание провайдера

root@srx#set interfaces fe-0/0/3 unit 0 family inet address 192.168.1.1/24
root@srx#set interfaces fe-0/0/3 unit 0 description Local_network
— описание сети

По умолчанию порты настроены на автоматическое согласование скорости и режима.

Настроим SRX в качестве сервера DHCP.
Создадим пул адресов 192.168.1.0/24
Для удобства при настройке перейдем на нижний уровень иерархии
с помощью команды edit:

root@srx# edit system services dhcp
[edit system services dhcp]
root@srx#set pool 192.168.1.0/24
— пул создан

Для удобства перейдем на нижний уровень иерархии

[ edit system services dhcp]
root@srx#edit pool
192.168.1.0/24
[edit system services dhcp pool 192.168.1.0/24]
root@srx#

Укажем диапазон адресов с 192.168.1.10 по 192.168.1.254

[edit system services dhcp pool 192.168.1.0/24]
root@srx#set address-range low 192.168.1.10 high 192.168.1.154

Для исключения определенных адресов из диапазона введем команду exclude-address. Допустим нам необходимо исключить адрес 192.168.1.20:

[edit system services dhcp pool 192.168.1.0/24]
root@srx#set exclude-address 192.168.1.20

Дальше назначим какие сетевые настройки Juniper будет автоматически назначать клиентам(узлам) в локальной сети:

[edit system services dhcp pool 192.168.1.0/24]
root@srx#set domain-name mydomain.com

[edit system services dhcp pool 192.168.1.0/24]
root@srx#set name-server 192.168.1.50
— корпоративный DNS

Или глобальный DNS:

[edit system services dhcp pool 192.168.1.0/24]
root@srx#set name-server 8.8.8.8
— глобальный DNS

[edit system services dhcp pool 192.168.1.0/24]
root@srx#set wins-server 192.168.1.50
— корпоративный сервер сопоставления NetBIOS имен с ip-адресами узлов.

[edit system services dhcp pool 192.168.1.0/24]
root@srx#set router 192.168.1.1
— шлюз

Время аренды адресов (в секундах) назначается командой:

[edit system services dhcp pool 192.168.1.0/24]
root@srx#set default-lease-time1209600
— 14 дней

Еще одна полезная команда, которая фиксирует ip-адрес к MAC-адресу узла, т.е. узлу будет автоматически назначаться фиксированный ip-адрес, допустим 192.168.1.15:

root@srx#set system services dhcp static-binding 01:03:05:07:09:0B fixed-address 192.168.1.15

IP- адреса для интерфейсов настроены, DHCP сервер настроен.

Укажем статический маршрут (шлюз) для выхода в Интернет:

root@srx#set routing-options static route 0.0.0.0/0 next-hop 50.60.70.1 – где 50.60.70.1 шлюз провайдера, читается так, чтобы попасть на любой адрес 0.0.0.0 с маской /0, необходимо пройти через адрес 50.60.70.1

Следующим шагом настроим зоны безопасности для интерфейсов fe-0/0/2 и fe-0/0/3, в стартовом конфиге рекомендую разрешить весь трафик, это позволит проверить правильность настроек.

Создадим зону Internet для интерфейса fe-0/0/2 и разрешим весь трафик:
root@srx# set zones security-zone Internet
root@srx# set zones security-zone Internet host-inbound-traffic system-services all
root@srx# set zones security-zone Internet host-inbound-traffic protocols all
root@srx# set zones security-zone Internet interfaces fe-0/0/2

Создадим зону LAN для интерфейса fe-0/0/3 и разрешим весь трафик:
root@srx# set zones security-zone LAN
root@srx# set zones security-zone LAN host-inbound-traffic system-services all
root@srx# set zones security-zone LAN host-inbound-traffic protocols all
root@srx# set zones security-zone LAN interfaces fe-0/0/3

При такой конфигурации разрешены все сервисы и протоколы, такие настройки зон рекомендую использовать только при стартовом конфиге, в дальнейшем разрешите только то, что необходимо, например: ping, ssh, ike , и др ..

Создадим политику для зоны LAN, разрешим весь трафик из зоны LAN в зону Internet:

root@srx# set security policies from-zone LAN to-zone Internet policy LAN-to-Internet match source-address 192.168.1.0/24

root@srx# set security policies from-zone LAN to-zone Internet policy LAN-to-Internet match destination-address any

root@srx# set security policies from-zone LAN to-zone Internet policy LAN-to-Internet match application any

root@srx# set security policies from-zone LAN to-zone Internet policy LAN-to-Internet then permit

Немного о зонах и политиках.

Команда host-inbound-traffic, в настройках зоны, позволяет задать принятие двух различных типов трафика на сам Juniper, это system-services и protocols, т.е. это трафик который обращается непосредственно к самому устройству и на нем заканчивается. К системным службам относится ping, ssh, telnet, DHCP и др. К протоколам относятся протоколы маршрутизации или другие протоколы, используемые для обмена данными с другими сетевыми устройствами (RIP, OSFP и др.).

Политика, предназначена для транзитных перевозок (трафика), допустим из зоны локальной сети в зону Интернет, и описывается в виде перехода от одной зоны в другую.

Остался NAT, название набора правил может быть любое, для простоты обозначим как LAN-to-Internet:

root@srx# set security nat source rule-set LAN-to-Internet from zone LAN

Источник

Adblock
detector