juniper路由器配置

juniper路由器配置

一．路由器网络服务安全配置：

默认情况下，系统启动了许多无用服务，这些服务在占用系统资源的同时也造成一定的安全隐患，应该在尽可能的情况下停止或限制这些服务

1． SNMP服务

使用如下命令来停止SNMP服务：

setsystemprocessessnmpdisable

使用如下命令来设置SNMP通讯字符串：setsnmpcommunitymysnmpauthorizationread-only

使用如下命令来在接口上设备SNMP通讯字符串：

setsnmpinterfacefxp0communitymysnmp

使用如下命令来在接口上禁止SNMP服务trap：

setinterfacesfxp0unit0trapsdisable

使用如下命令来限制SNMP的访问客户端：setsnmpcommunitymysnmpclients192.168.0.0/24 setsnmpcommunitymysnmpclients0.0.0.0/0restrict

上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务

2．停止接口广播转发：

广播转发容易造成smurf攻击，因此应该使用如下命令停止：

setsystemno-redirects

接口级别停止广播转发使用如下命令：

setinterfacesfxp0unit0familyinetno-redirects

3．停止dhcp-relay服务，dhcp-relay服务用于在不同网段使用同一个dhcp 服务器，如果没有使用，则应该使用如下命令停止：

setsystemdhcp-relaydisable

4．禁止IGMP服务，IGMP服务如果在没有使用的情况下应该使用如下命令禁止：setprotocolsigmpinterfacealldisable

5．禁止PIM服务（？），PIM服务如果在没有使用的情况下应该使用如下命令禁止：

setprotocolspimdisable

6．禁止SAP服务（？），SAP服务如果在没有使用的情况下应该使用如下命令禁止：

setprotocolssapdisable

7．禁止IPSourceRouting源路由

setchassisno-source-route

二．路由器登录控制：

1．设置系统登录Banner:

setsystemloginmessageWarning:ifyouNOTauthorizedtoaccessthissystem,dis connectNOW!

2．设置登录超时时间：

默认情况下，系统登录没有登录超时时间限制，应该将登录超时时间设置为15分钟：

setcliidle-timeout15

3．建议采取用户权限分级管理策略

setsystemloginclasstier1idle-timeout15

setsystemloginclasstier1permissions[configureinterfacenetworkroutings nmpsystemtraceviewfirewall]

setsystemloginclasstier2idle-timeout15

setsystemloginclasstier2permissionsall

setsystemloginuseradminfull-nameAdministrator setsystemloginuseradminuid2000

setsystemloginuseradminclasstier2 setsystemloginuseradminauthenticationencrypted-password setsystemloginusertier1uid2001

setsystemloginusertier1classtier1

setsystemloginusertier2uid2002

setsystemloginusertier2classtier2

4. 限制系统ssh、telnet服务连接数量：

以下配置将ssh,telnet连接最大数量限制为10个，并且每分钟最多有5个可以连接：

setsystemservicessshconnection-limit10rate-limit5 setsystemservicestelnetconnection-limit10rate-limit5

以下特性JUNOS5.0以上支持：

setsystemservicesroot-logindeny（禁止root远程登陆）setsystemservicesprotocol-versionv2（使用sshv2）

三．配置系统日志服务：

1．设置系统kernel级警告发到console上setsystemsyslogconsolekernelwarning

2．配置登录系统日志到单独的auth.log文件中

setsystemsyslogfileauth.logauthorizationinfo

3．配置系统配置更改日志到单独的change.log文件中setsystemsyslogfilechange.logchange-loginfo

4．配置系统所有日志到日志服务器

setsystemsysloghostx.x.x.x.anyinfo

四．路由策略安全

1．配置以下保留地址的黑洞路由

setrouting-optionsoptionsno-resolve

setrouting-optionsoptionssyslogleveldebug

setrouting-optionsstaticroute0.0.0.0/8discard

setrouting-optionsstaticroute10.0.0.0/8discard

setrouting-optionsstaticroute20.20.20.0/24discard

setrouting-optionsstaticroute127.0.0.0/8discard

setrouting-optionsstaticroute169.254.0.0/16discard

setrouting-optionsstaticroute172.16.0.0/12discard

setrouting-optionsstaticroute192.0.2.0/24discard

setrouting-optionsstaticroute192.168.0.0/16discard

setrouting-optionsstaticroute204.152.64.0/23discard

setrouting-optionsstaticroute224.0.0.0/4discard

2．设置strict模式的unicastRPF

setinterfacesso-0/0/0unit0familyinetrpf-check

3．设置相应prefix-list，禁止保留地址访问

setpolicy-optionsprefix-listreserved0.0.0.0/8

setpolicy-optionsprefix-listreserved10.0.0.0/8

setpolicy-optionsprefix-listreserved20.20.20.0/24

setpolicy-optionsprefix-listreserved127.0.0.0/8

setpolicy-optionsprefix-listreserved169.254.0.0/16

setpolicy-optionsprefix-listreserved172.16.0.0/12

setpolicy-optionsprefix-listreserved192.0.2.0/24

setpolicy-optionsprefix-listreserved204.152.64.0/23

setpolicy-optionsprefix-listreserved224.0.0.0/4 setfirewallfilterinbound-filterterm1fromprefix-listreserved setfirewallfilterinbound-filterterm1thencountspoof-inbound-reserved setfirewallfilterinbound-filterterm1thendiscard

setinterfacesge-0/0/0unit0familyinetfilterinputinbound-filter

五． Firewall-Policy设置

Firewall-Policy可以限制进入及流量主机数据包的来源、目标地址、协议、端口号、流量等，应用Firewall-Policy可以实现类似于防火墙的性能，但一般不建议在骨干路由器上使用，以下是Firewall-Policy的使用方法：

1．创建Firewall-Policy：

setfirewallfilterlocal-sectermsec-in1fromdestination-porttelnet setfirewallfilterlocal-sectermsec-in1fromdestination-address172.16.0.

1/32

setfirewallfilterlocal-sectermsec-in1fromsource-address192.168.0.0/24 setfirewallfilterlocal-sectermsec-in1thenaccept

setfirewallfilterlocal-sectermsec-in2fromdestination-porttelnet setfirewallfilterlocal-sectermsec-in2fromdestination-address172.16.0.

1/32

setfirewallfilterlocal-sectermsec-in2thendiscard

setfirewallfilterlocal-sectermsec-in3from

setfirewallfilterlocal-sectermsec-in1thenaccept

2．应用到路由器的端口上：

setinterfacesfxp0unit0familyinetfilterinputlocal-sec

以上例子不允许除192.168.0.0/24网段外所有地址telnet访问172.16.0.1，

但允许其它任何包通过。

juniper\cisco 的mpls-vpn配置简单比较

zai cisco下

ip vrf test

rd 1:1

route-target 1:1

ip route vrf test 192.168.3.0 255.255.255.0 192.168.2.1

interface fa0/0/0

ip vrf forwarding test

router bgp 1

no bgp default ipv4-unicast

no bgp default route-target filter

neighbor 10.1.1.1 remote-as 2

address-family vpn4

neighbor 10.1.1.1 active

neighbor 10.1.1.1 send-community extended

address-family ipv4 vrf test

redistribute static

redistribute connect

在juniper下

Edit routing-instances test #test是vpn的名字

{

instance-type vrf; #指定routing-instances为vrf

route-distinguisher 4809:1; #rd

vrf-target target:4809:1; #rt

set interface fe-0/0/0 # 相当于cisco下的interface fa0/0/0 ip vrf forw test

set routing-options static route 192.168.3.0/24 next-hop 192.168.2.1 # 相当于cisco中的 ip route vrf

}

Bgp的配置

set protocols bgp group vpn type internal # 因为是internal 所以不需要配置peer-as

set protocols bgp group vpn local-address 192.168.0.1

set protocols bgp group vpn neighbor 192.168.0.2 family inet-vpn unicast juniper下不需要配置重分发，因为当你在一个vpn下的路由协议起来之后他默认进行。Ospf做pe-ce的路由协议我没试过，需要验证。

juniper默认是没有route-target过滤。如果跨域采用option-b的时候如果想控制的话必须采用策略。

大概写了这么点，可能表述不清楚。

juniper防火墙配置手册

JUNIPER 防火墙快速安装手册 目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置：STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置：STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)

Juniper SRX路由器命令配置手册

Juniper SRX配置手册

目录 一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (3) 1.3 SRX主要配置内容 (4) 二、SRX防火墙配置对照说明 (5) 2.1 初始安装 (5) 2.1.1 登陆 (5) 2.1.2 设置root用户口令 (5) 2.1.3 设置远程登陆管理用户 (5) 2.1.4 远程管理SRX相关配置 (6) 2.2 Policy (6) 2.3 NAT (7) 2.3.1 Interface based NAT (7) 2.3.2 Pool based Source NAT (8) 2.3.3 Pool base destination NAT (9) 2.3.4 Pool base Static NAT (10) 2.4 IPSEC VPN (10) 2.5 Application and ALG (12) 2.6 JSRP (12) 三、SRX防火墙常规操作与维护 (14) 3.1 设备关机 (14) 3.2 设备重启 (15) 3.3 操作系统升级 (15) 3.4 密码恢复 (15) 3.5 常用监控维护命令 (16)

Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置，以便于大家能够快速部署和维护SRX防火墙，文档介绍JUNOS操作系统，并参考ScreenOS配置介绍SRX防火墙配置方法，最后对SRX防火墙常规操作与维护做简要说明。 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统，支持CLI命令行和WEBUI两种接口配置方式，本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构，分为操作（operational）和配置（configure）两类模式，在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作，并通过执行config或edit命令进入配置模式，在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令（run）。在配置模式下JUNOS采用分层分级模块下配置结构，如下图所示，edit命令进入下一级配置（类似unix cd命令）,exit命令退回上一级，top命令回到根级。 1.2 JunOS配置管理 JUNOS通过set语句进行配置，配置输入后并不会立即生效，而是作为候选配置（Candidate

juniper无线中文配置手册

Trapeze 无线网络交换机配置手册 （Version 1.0） 羿飞

目录 第1章登陆无线网络交换机 (4) 1.1登录无线网络交换机方法简介 (4) 1.2 通过Console口进行本地登陆 (4) 1.3 通过SSH2或Telnet进行登陆 (5) 1.4 通过web方式登录 (6) 第2章系统基本配置 (6) 2.1配置系统名 (6) 2.2配置系统时间 (7) 2.3配置系统IP地址 (7) 2.4配置缺省路由 (7) 2.5系统初始化配置 (8) 2.6无线网络交换机密码恢复 (8) 第3章系统升级 (9) 3.1 通过WEB方式升级 (10) 3.2 通过网管软件RingMaster升级 (10) 3.3 通过CLI命令行升级 (10) 第4章 Trapeze配置实例 (11) 4.1 最简单的公共区域接入—用户不需要口令 (11) 4.2 访客使用Web-Portal接入 (12) 4.3 基于MAC地址进行认证 (14) 4.4 不同的认证加密方式 (16) 4.4.1 无需密码和用户名口令 (16) 4.4.2 wep加密，无需用户名口令认证 (17) 4.4.3 WPA-tkip加密 (17) 4.4.4 WPA2-TKIP加密 (18) 4.4.5 Wpa+WPA2-tkip (18) 4.4.6 WPA-AES (18) 4.4.7 WPA2-AES (18)

4.4.8 无加密，web-portal认证 (19) 4.4.9 wpa-tkip，web-portal认证 (19) 4.4.10 802.1X认证，WPA-tkip (19) 4.4.11 MAC-local认证，无加密 (20) 4.4.12 MAC-LOCAL认证，wpa-tkip (20) 4.5对802.1x的支持 (20) 4.6非法AP检测/分类/防护 (24) 4.7 Intra-Switch 漫游 (25) 4.8 跨交换机漫游 (26) 4.9 有线用户认证 (30) 4.10本地交换 (32) 4.11 MESH和网桥 (33) 4.12自动黑洞覆盖 (35) 4.13控制器冗余支持 (36) 4.14负载均衡 (38) 4.15 同一台MX上跨vlan漫游 (39)

Juniper SRX防火墙简明配置手册-090721

Juniper SRX防火墙简明配置手册 卞同超 Juniper 服务工程师 Juniper Networks, Inc. 北京市东城区东长安街1号东方经贸城西三办公室15层1508室 邮编:100738 目录 一、JUNOS操作系统介绍 ............................................................................................................. 1.1 层次化配置结构........................................................................................................................ 1.2 JunOS配置管理......................................................................................................................... 1.3 SRX主要配置内容.................................................................................................................... 二、SRX防火墙配置对照说明...................................................................................................... 2.1 初始安装.................................................................................................................................... 2.1.1 登陆............................................................................................................................... 2.1.2 设置root用户口令..................................................................................................... 2.1.3 设置远程登陆管理用户............................................................................................... 2.1.4 远程管理SRX相关配置............................................................................................... 2.2 Policy .......................................................................................................................................... 2.3 NAT ............................................................................................................................................ 2.3.1 Interface based NAT................................................................................................. 2.3.2 Pool based Source NAT............................................................................................. 2.3.3 Pool base destination NAT..................................................................................... 2.3.4 Pool base Static NAT............................................................................................... 2.4 IPSEC VPN................................................................................................................................. 2.5 Application and ALG .................................................................................................................. 2.6 JSRP............................................................................................................................................ 三、SRX防火墙常规操作与维护.......................................................................................................... 3.1 设备关机................................................................................................................................ 3.2设备重启............................................................................................................................... 3.3操作系统升级 (15) 3.4密码恢复............................................................................................................................... 3.5常用监控维护命令............................................................................................................... Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

Juniper防火墙日常维护手册

Juniper防火墙维护手册

目录 1.日常维护内容 (4) 1.1.配置主机名 (4) 1.2.接口配置 (4) 1.3.路由配置 (5) 1.4.高可用性配置（双机配置） (7) 1.5.配置MIP（通过图形界面配置） (9) 1.6.配置访问策略（通过图形界面配置） (11) https://www.wendangku.net/doc/194582208.html,Screen的管理 (15) 2.1.访问方式 (15) 2.2.用户 (18) 2.3.日志 (19) 2.4.性能 (20) 2.5.其他常用维护命令 (22) 3.其他的配置 (22)

1.日常维护内容 1.1.配置主机名 NetScreen防火墙出厂配置的机器名为netscreen，为了便于区分设备和维护，在对防火墙进行配置前先对防火墙进行命名： Netscreen-> set hostname FW-1-M FW-1-M > 1.2.接口配置 配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段，用于专门对接口进行管理时用。在双机的工作状态下，因为接口的地址只存在于主防火墙上，如果不配置管理IP，则不能对备用防火墙进行登录了。一般在单机时，不需要配置接口的管理IP，但在双机时，建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。 注意：接口的工作模式可以工作在路由模式，NAT模式和透明模式。在产品线应用中，透明模式很少用，而NAT模式只有在trust到untrust的数据流才起作用，建议把防火墙的所有接口都配置成route的工作模式，用命令set interface接口名 route配置即可，缺省情况下需要在trust区段中的接口使用此命令。 本例子中，配置接口ethernet2属于Untrust区，IP地址为202.38.12.23/28，如设置管理方式是Http，命令如下： Ns204 ->set interface ethernet1 zone Trust Ns204 ->set interface ethernet1 ip 10.243.194.194/29 Ns204 ->set interface ethernet1 nat Ns204 ->set interface ethernet1 zone Untrust Ns204 ->set interface ethernet2 ip202.38.12.23/28 Ns204 ->set interface ethernet1 nat

juniper防火墙详细配置手册

Juniper防火墙简明实用手册 （版本号：）

目录 1juniper中文参考手册重点章节导读.................................... 错误!未定义书签。 第二卷：基本原理 ...................................................... 错误!未定义书签。 第一章：ScreenOS 体系结构 .......................... 错误!未定义书签。 第二章：路由表和静态路由............................ 错误!未定义书签。 第三章：区段.................................................... 错误!未定义书签。 第四章：接口.................................................... 错误!未定义书签。 第五章：接口模式............................................ 错误!未定义书签。 第六章：为策略构建块.................................... 错误!未定义书签。 第七章：策略.................................................... 错误!未定义书签。 第八章：地址转换............................................ 错误!未定义书签。 第十一章：系统参数........................................ 错误!未定义书签。 第三卷：管理 .............................................................. 错误!未定义书签。 第一章：管理.................................................... 错误!未定义书签。 监控NetScreen 设备........................................ 错误!未定义书签。 第八卷：高可用性 ...................................................... 错误!未定义书签。 NSRP ................................................................... 错误!未定义书签。 故障切换............................................................ 错误!未定义书签。2Juniper防火墙初始化配置和操纵........................................ 错误!未定义书签。3查看系统概要信息................................................................. 错误!未定义书签。4主菜单常用配置选项导航..................................................... 错误!未定义书签。5Configration配置菜单 ........................................................... 错误!未定义书签。 Date/Time:日期和时间 ............................................... 错误!未定义书签。 Update更新系统镜像和配置文件 ............................. 错误!未定义书签。 更新ScreenOS系统镜像 .................................. 错误!未定义书签。 更新config file配置文件.................................. 错误!未定义书签。 Admin管理 .................................................................. 错误!未定义书签。 Administrators管理员账户管理....................... 错误!未定义书签。 Permitted IPs：允许哪些主机可以对防火墙进行管理错误!未定

Juniper路由器安装和调测手册

Juniper T系列路由器安装和调测手册

目录

1. Juniper T系列路由器体系结构 Juniper T系列路由器包括T320、T640、TX Matrix三种型号，具体的参数见下表： 1.1. T320路由器 T320路由器设计用于机架空间有限但需要各种接口速率的地方。T320的大小只有标准19英寸设备机架的1/3，并使用更少的功耗来支持高效的小型核心应用。然而，与同类高端平台相比，T320路由器仍可提供无与伦比的密度，同时提供双倍功效。每个T320 路由器可支持多达16 个10-Gbps端口 (OC-192c/STM-64或10-Gbps千兆以太网)，同时允许在同一个机箱中建立低至信道化时隙倍数的低速连接。T320 路由器的功耗低， -48VDC时只要求60 A，最高功率为2,880瓦特，在一般配置中甚至更低。 T320平台可提供320Gbps的吞吐量和385Mpps的转发速率，可通过在多个接口上实现大量特性来提供无阻塞的任意连接以及卓越性能。它的密度、速度和规模使其非常适合用于中小型核心以及接入路由器、对等及城域以太网应用等。 T320路由器与所有M-系列、J-系列和T-系列平台一样，都使用相同的JUNOS软件，并能够共享通用的PIC, 是T640路由节点的理想辅助产品，可更好地保护投资。 T320的前面板： T320的后面板： 1.2. T640路由节点 T640路由节点的大小为19英寸宽、半机架高，虽然这个尺寸比同类产品小许多，但却可满足高可扩展的高性能核心路由需求。T640路由节点可支持多达32个10-Gbps 端口、128个OC-48c/STM-16端口，以及320个业界领先的千兆以太网端口。T640路由

Juniper防火墙故障情况下的快速恢复

为防止Juniper防火墙设备故障情况下造成网络中断，保障用户业务不间断运行，现针对Juniper防火墙故障情况下的快速恢复做具体描述。 一、设备重启动：Juniper防火墙在工作期间出现运行异常时，如需进行系统复位，可通过console线缆使用reset命令对防火墙进行重启，重启动期间可以在操作终端上查看防火墙相关启动信息。 二、操作系统备份：日常维护期间可将防火墙操作系统ScreenOS备份到本地设备，操作方式为：启动tftp 服务器并在命令行下执行：save software from flash to tftp x.x.x.x filename。 三、操作系统恢复：当防火墙工作发生异常时，可通过两种方式快速恢复防火墙操作系统，命令行方式：save software from tftp x.x.x.x filename to flash，或通过web方式：Configuration > Update > ScreenOS/Keys下选中Firmware Update (ScreenOS)选项，并在Load File栏选中保存在本地的ScreenOS文件，然后点击apply按钮，上传ScreenOS后防火墙将自动进行重启。 四、配置文件备份： 日常维护期间可将防火墙配置信息备份到本地以便于故障时的恢复，操作方式有三种： 1、启动tftp 服务器并在命令行下执行：save config from flash to tftp x.x.x.x filename。 2、通过超级终端远程telnet/ssh到防火墙，通过log记录方式将get config配置信息记录到本地。 3、通过web页面进行配置文件备份：Configuration > Update > Config File，点击save to file。 五、配置文件恢复： 防火墙当前配置信息若存在错误，需进行配置信息快速恢复，操作方式有三种： 1、启动tftp 服务器并在命令行下执行：save config from tftp x.x.x.x filename to flash，配置文件上传后需执行reset命令进行重启。 2、通过web页面进行配置文件恢复：Configuration > Update > Config File，选中Replace Current Configuration，并从本地设备中选中供恢复的备份配置文件，点击apply后系统将进行重启动使新配置生效。 3、通过超级终端远程telnet/ssh到防火墙，通过unset all 命令清除防火墙配置，并进行重启，重启后将备份的配置命令粘贴到防火墙中。 六、恢复出厂值：console线缆连接到防火墙，通过reset命令对防火墙进行重启，并使用防火墙的16位序列号作为账号/口令进行登陆，可将防火墙配置快速恢复为出厂值。 七、硬件故障处理： 当防火墙出现故障时，且已经排除配置故障和ScreenOS软件故障，可通过NSRP切换到备用设备来恢复网络运行，并进一步定位硬件故障。切换方式为1、拔掉主用防火墙的上下行网线（仅在设备关闭电源的情况下，才需要拔掉该设备的HA连线），防火墙将自动进行主备切换。2、或在主用设备上执行：exec nsrp vsd-group id 0 mode backup,手动执行防火墙主备切换。 八、设备返修（RMA）:如经Juniper公司确认防火墙发生硬件故障，请及时联系设备代理商。设备代理商将根据报修流程，由Juniper公司对保修期内的损坏部件或设备进行RMA（设备返修）。

Juniper EX交换机系统恢复

1 交换机无法正常启动的解决办法 EX交换机在突然掉电或非正常关机的情况下，设备重新启动后，可能会出现一直卡着启动进程 或OS引导失败的场景，本文列出几种常见的模式及解决方法（注：本文档中提到的操作可能出 现设备原有配置丢失情况出现，另外，对于通过命令关机时，强烈建议等到所有进程都halt时 再对进行掉电操作）。 通常，交换机无法正常启动时，通过console输出为： 1.系统直接进入Loader模式，Loader Prompt ( loader >) ； 2.系统进入Debug模式，Debug Prompt (db>) ； 3.系统进入UBoot模式，UBoot Prompt (=>)； 4.系统能正常启动，但各系统进程无法正常加载； 5.系统提示Can't load kernel error ； 2 系统直接进入Loader模式解决办法 方法一 TFTP方式恢复交换机 1.准备好TFTP服务器，然后把Junos安装文件上传至TFTP的root目录层次下； 2.用console连接交换机，并对设备进行加电； # When you see the "loading /boot/defaults/loader.conf" display hit ENTER. Then press [Enter] to boot immediately, or space bar for command prompt. Hit the space bar to enter the manual loader. The loader > prompt displays. (NOTE: There is a 1 second delay for hitting the space bar) (TIPS: you can hit space bar after you see "Loading /boot/defaults/loader.conf" message) 3.配置交换机的管理ip地址； loader> set ipaddr=192.168.100.2

Juniper 防火墙策略路由配置

Juniper 防火墙策略路由配置 一、网络拓扑图 要求： 1、默认路由走电信； 2、源地址为192.168.1.10 的pc 访问电信1.0.0.0/8 的地址，走电信，访问互联网走网通； 二、建立extended acl 1、选择network---routing---pbr---extended acl list,点击new 添加：

Extended acl id:acl 编号Sequence No.：条目编号源地址：192.168.1.10/32 目的地址：1.0.0.0/8 Protocol：选择为any 端口号选择为：1-65535 点击ok：

2、点击add seg No.再建立一条同样的acl，但protocol 为icmp，否则在trace route 的时候仍然后走默认路由:

3、建立目的地址为0.0.0.0 的acl： 切记添加一条协议为icmp 的acl； 命令行： set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocol

(完整版)JUNIPER_EX3200交换机配置

JUNIPER EX3200交换机配置 1 Ex3200开机指导 开机后： login: root Last login: Fri Jan 17 22:21:55 on ttyd0 --- JUNOS 7.2R3.3 built 2002-03-23 02:44:36 UTC Terminal type? [vt100] root@% 注意使用root用户登录的情况下，输入帐号/密码以后，默认是进入shell模式的（而只有root用户帐号有这个现象），要输入cli命令进入用户模式： root@% cli root> 2 配置模式 用户模式下输入configure命令进入配置模式，配置模式下可以对设备进行各种参数的配置 root> configure [edit] root# 2.1 设置root用户密码 命令： set system root-authentication plain-text-password 路由器初始化root用户是没有密码的，在第一次进行配置的时候必须要配置root密码才能commit成功。密码采用字母+数字方式。 Example: lab@M7i_GZ# set system root-authentication plain-text-password

New password: Retype new password: 2.2 添加系统用户 命令： set system login user juniper uid 2000 <-设置用户名为juniper用户id为2000 set system login user juniper class super-user <-设置juniper用户为超级用户 set system login user juniper authentication plain-text-password <-设置juniper用户的密码 2.3 设置主机名 命令： set system host-name M7i_GZ <-设置主机名为M7i_GZ 2.4 开启系统telnet服务 命令： set system services telnet 说明：系统默认是没有打开telnet功能的，只有打开telnet服务之后才能从网络上登陆到路由器。 2.5 设置交换机地址 命令： Edit system Set name-server 192.168.17.225 Commit 删除： Edit system Delete name-server 192.168.17.225

juniper交换机维护操作

juniper交换机维护操作 1.1 交换机启动和关闭 1.1.1 重新启动 1. 使用具有足够权限的用户名和密码登陆CLI命令行界面。 2. 在提示符下输入下面的命令： user@ex4200> request system reboot 3. 等待console设备的输出，确认交换机软件已经重新启动。 1.1.2 关闭 1. 使用具有足够权限的用户名和密码登陆CLI命令行界面。 2. 在提示符下输入下面的命令： user@ex4200> request system halt The operating system has halted. Please press any key to reboot 3. 等待console设备的出现上面的输出，确认交换机软件已经停止运行。 4. 关闭机箱背后电源模块电源。 警告：在关闭交换机电源之前必须先利用命令关闭交换机 1.2 配置备份和恢复 1.2.1 配置备份 在完成安装调试之后，可以将配置文件进行备份。备份有两种方式，一种是通过ftp备份到PC机上；另外一种是保存在交换机上(交换机默认保存50份配置文件)。

FTP备份方式 下面是通过FTP备份的操作步骤： lab@EX4200> show configuration | save EX4200CONFIG.txt Wrote 169 lines of output to 'EX4200CONFIG.txt' lab@EX4200> lab@EX4200> ftp 10.0.0.132 Connected to 10.0.0.132. 220 EX4200 FTP server (Version 6.00LS) ready. Name (10.0.0.132:zte): zte 331 Password required for zte. Password: 230 User zte logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp>asc 200 Type set to A. ftp> put EX4200CONFIG.txt local: EX4200CONFIG.txt remote: EX4200CONFIG.txt 200 PORT command successful. 150 Opening ASCII mode data connection for ' EX4200CONFIG.txt. ' 100% |********************** ***********************************| 3751 226 Transfer complete.

juniper路由器配置

juniper路由器配置 一．路由器网络服务安全配置： 默认情况下，系统启动了许多无用服务，这些服务在占用系统资源的同时也造成一定的安全隐患，应该在尽可能的情况下停止或限制这些服务 1． SNMP服务 使用如下命令来停止SNMP服务： setsystemprocessessnmpdisable 使用如下命令来设置SNMP通讯字符串：setsnmpcommunitymysnmpauthorizationread-only 使用如下命令来在接口上设备SNMP通讯字符串： setsnmpinterfacefxp0communitymysnmp 使用如下命令来在接口上禁止SNMP服务trap： setinterfacesfxp0unit0trapsdisable 使用如下命令来限制SNMP的访问客户端：setsnmpcommunitymysnmpclients192.168.0.0/24 setsnmpcommunitymysnmpclients0.0.0.0/0restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务 2．停止接口广播转发： 广播转发容易造成smurf攻击，因此应该使用如下命令停止： setsystemno-redirects 接口级别停止广播转发使用如下命令： setinterfacesfxp0unit0familyinetno-redirects 3．停止dhcp-relay服务，dhcp-relay服务用于在不同网段使用同一个dhcp 服务器，如果没有使用，则应该使用如下命令停止： setsystemdhcp-relaydisable 4．禁止IGMP服务，IGMP服务如果在没有使用的情况下应该使用如下命令禁止：setprotocolsigmpinterfacealldisable 5．禁止PIM服务（？），PIM服务如果在没有使用的情况下应该使用如下命令禁止： setprotocolspimdisable 6．禁止SAP服务（？），SAP服务如果在没有使用的情况下应该使用如下命令禁止： setprotocolssapdisable 7．禁止IPSourceRouting源路由 setchassisno-source-route 二．路由器登录控制： 1．设置系统登录Banner: setsystemloginmessageWarning:ifyouNOTauthorizedtoaccessthissystem,dis connectNOW! 2．设置登录超时时间： 默认情况下，系统登录没有登录超时时间限制，应该将登录超时时间设置为15分钟： setcliidle-timeout15

Juniper EX系列交换机命令行配置手册

JuniperEX系列交换机命令行配置手册

目录 第一章交换机基础知识 (7) 1.1认识J UNIPER交换机 (7) 1.2J UNOS操作系统基础 (9) 1.2.1 交换机配置模式 (9) 1.2.2 交换机配置结构 (10) 1.2.3 TAB和空格键的使用 (15) 1.2.4 用户模式和配置模式show的区别 (16) 1.2.5 如何将配置转换成set命令 (19) 1.2.6 commit和rollback (20) 1.3EX交换机命令菜单结构 (22) 第二章操作指导 (35) 2.1通过CONSOLE线连接交换机 (35) 2.2 SYSTEM系统参数配置 (36) 2.2.1设置root密码 (37) 2.2.2设置主机名 (37) 2.2.3设置DNS服务器 (37) 2.2.4设置日期时间 (37) 2.2.5设置NTP服务器 (38) 2.2.6开启远程Telnet登陆服务 (38) 2.2.7开启远程Ftp服务 (39) 2.2.8开启远程ssh登陆 (39) 2.2.9开启远程http登陆服务 (39) 2.2.10添加/删除用户 (40) 2.2.10.1添加用户 (40) 2.2.10.2修改用户类别 (40) 2.2.10.3 修改用户密码 (40)

2.2.11用户权限设置 (41) 2.3VLAN配置 (43) 2.3.1 VLAN配置步骤 (43) 2.3.2 VLAN配置规范要求 (44) 2.3.3 添加VLAN (44) 2.3.4 修改端口VLAN (46) 2.3.5 删除VLAN (46) 2.3.6 配置VLAN网关IP (47) 2.4T RUNK配置 (47) 2.4.1 Trunk配置步骤 (47) 2.4.2如何设置Trunk (48) 2.4.3允许/禁止VLAN通过Trunk (48) 2.5端口配置 (48) 2.5.1端口配置规范要求 (48) 2.5.2修改端口速率 (49) 2.5.3修改端口工作模式 (49) 2.5.4修改端口为L3模式 (49) 2.5.5 修改端口为L2模式 (50) 2.6生成树配置 (50) 2.6.1 RSTP协议概览 (50) 2.6.2 MSTP协议概览 (53) 2.6.3 STP配置实例（生成树） (54) 2.6.4 RSTP配置实例（快速生成树） (55) 2.6.5 MSTP配置实例（多生成树协议） (61) 2.7端口捆绑 (66) 2.7.1 端口捆绑步骤 (66)