Juniper SRX 简单命令一

Juniper为人所熟悉的一定是从netscreen开始的,作为一线防火墙品牌,还是有很高的地位。但是以前玩netscreen,都是用的网页版去配置,而且网页版做得很不错。但是现在netscreen要开始淘汰,取而代之的是SRX系列防火墙,这个家伙的网页版就是个渣,没事卡一下已经算是客气的了,很有可能卡完以后,他就再也进不去了,必须去重启这个进程,而且页面逻辑性极差,所以我也开始了SRX命令配置的学习。

这里我提几点学习中遇到的问题(我现在还在学习中。。。)

1、资料极其少

我搜索了一下百度,发现网上流传的几乎就是2个PDF,并且都是简单配置。不同网页,就是这两个PDF的复制黏贴大法。

2、书籍资料很难搞到

这是第二个很大的问题,我个人只买到过一本书,而且还是纯英文,订货,将近700rmb。

3、没有培训机构

这个真的是太吊吊的了,作为一个一线厂商,并且还有系统性的认证,居然会没有培训机构

--------------------------------------------------------------------------------------------------------------------

以上这三点,打击了我好长时间。而且我还正好需要配置一台Juniper,再度搜索,我发现一套明教教主录制的SRX教学视频,但是真的真的很基础(比网上流传的PDF好多了),但是也就草草配完了,也没遇到什么大问题。但是这始终是一个心结。通过不断的努力和搜索,终于找到了组织,大侠唐在飞---51CTO金牌讲师。这里我不推销啥,有需求就去上面找他的课程,一切都会好的。

--------------------------------------------------------------------------------------------------------------------

废话说的有点多,正片开始

这一篇讲的是简单命令,我会罗列一些平时会用到的初始化啊,清空配置啊,设置ip啥的,方便加快对junos的了解(我这里使用GNS3 2.0以上版本,进行模拟srx 12.1x47-d20.7,如果你的GNS3,模拟不了srx,可以给我留言,如果比较多,我就单独出个教程)

配置模式说明:

Junos就是srx的系统名字,他是一个深度定制的linux/unix

1、[email protected]%-----------------shell模式,这里你可以使用一些linux的命令去做一些操作

[email protected]% ls
.cshrc          .login          .profile
[email protected]% pwd
/cf/root
[email protected]% cat .profile
# $FreeBSD: src/etc/root/dot.profile,v 1.20 1999/08/27 23:24:09 peter Exp $
#
PATH=/sbin:/usr/sbin:/bin:/usr/bin:/opt/sbin:/opt/bin:/usr/local/bin
export PATH
HOME=/root
export HOME
TERM=${TERM:-cons25}
export TERM

怎么样?熟悉吧

2、root>-------本机模式,这里就类似与cisco的特权模式,主要用来查看一些主机状态

[email protected]%   cli   =》    root>

反之用exit

3、root#--------配置模式,该模式下可以对当前设备正在运行的配置的副本,进行修改。(看清楚这句话,之后会解释的)

root> configure  =》 root#

反之用exit

--------------------------------------------------命令集锦---------------------------------------------------

1、恢复出厂配置

root> request system zeroize media

*media这个参数在模拟器上是没有办法配置的。

这条命令会清空除了系统os以外的所有配置,(包括日志,许可等等)一台新的机器或者一台恢复了出厂设置的设备,默认用户名为root,没有密码。

2、加载出厂配置

root# load factory-default

注意模式变换:读取出厂配置,不会删除日志、许可、本地文件等等,但会重置root。

3、配置ROOT密码

第一种:root# set system root-authentication plain-text-password

这是交互式配置,你试一下就知道了

第二种:root# set system root-authentication encrypted-password ?  
Possible completions:
  <encrypted-password>  Encrypted password string

看我打问号显示的内容

这里后面需要加一个参数,一个已经加密的密码,什么意思?

这里后面需要跟的是已经经过MD5加密的密文(复制黏贴配置用,他不用交互)

4、覆盖当前修改的配置副本,到运行中的配置

root# commit

我之前有一句话提到,配置模式下修改的是副本,这代表,你做的一切配置都不一定会生效,commit就是把副本覆盖到当前配置的命令,顺便说一下,srx会自动保存这些配置,并且进行编号,编号从0开始,越小时间越近

5、设置主机名

[email protected]# set system host-name SRX1

6、查看版本

[email protected]> show version

7、删除当前级别下所有的配置

[email protected]# delete

8、创建用户

set system login user AAA uid 2001
set system login user AAA class super-user
set system login user AAA authentication plain-text-password

"$1$JjTpAOWR$Qdo4LZbv6vIH.9Lfrnmtp1"----这一段就是密文,也就是上面第二种秘密配置方法里要填的东西

这个大家自己看下,太简单了

------------------------------------------第一段尝试---------------------------------------------------

上面这些如果大家实验过,就会慢慢上手了,这里我总结一下

set是配置命令,后面后面跟的是配置内容

set system login user AAA uid 2001
set system login user AAA class super-user

set system login user AAA authentication plain-text-password

这里我们就会发现前面“system login user AAA”这一段是重复的

这里可以使用edit

[edit]
[email protected]# edit system login user AAA

[edit system login user AAA]
[email protected]#
发现没有,上面那个中括号,这个其实是当前路径,而edit可以配置的同时进入该路径,然后就可以在当前路径下的配置参数,这个就是junos的层级配置,试试就知道了。

--------------------------------------------------------------------------------------------------------------------

上面大家都了解以后,后面我就减少注释啦

1、设置接口ip

[edit]
[email protected]# set interfaces ge-0/0/0 unit 0 family inet address 1.1.1.2/24

这里注意几点

===========================================

1、unit就类似与子接口,srx是不允许直接在接口上配ip的

2、如果一个接口ip代表这个物理接口的ip,必须是unit 0

===========================================

2、替换IP

[edit]
[email protected]# edit interfaces ge-0/0/0

[edit interfaces ge-0/0/0]
[email protected]# replace pattern 1.1.1.2/24 with 1.1.1.3/24

自己体会一下哈

3、不启用(配置不生效)

deactivate interfaces ge-0/0/0

可以多种多样,自己尝试下就会知道

4、启用

active interfaces ge-0/0/0

5、多个端口同时设置

[edit]
[email protected]# wildcard range set interfaces ge-0/0/[0-1,3] link-mode full-duplex

interfaces {
    ge-0/0/0 {
        link-mode full-duplex;
        unit 0 {
            family inet {
                address 1.1.1.2/24;     
            }
        }
    }
    ge-0/0/1 {
        link-mode full-duplex;
    }
    ge-0/0/3 {
        link-mode full-duplex;
    }

6、删除多个

[edit]
[email protected]# wildcard delete interfaces ge-0/0/[0-1,3]

7、保护配置

protect关键字

unprotect关键字

这两个直接加层级就好,除非使用system zeroize media,不然在保护状态,是干不掉他的。

8、查看登录情况

[email protected]# run show system users        
 7:00AM  up 4:04, 1 user, load averages: 0.02, 0.02, 0.00
USER     TTY      FROM                              [email protected]  IDLE WHAT
root     d0       -                                2:59AM      - cli

9、查看谁正在配置

[email protected]# status
Users currently editing the configuration:
  root terminal d0 (pid 1291) on since 2017-07-04 03:35:02 UTC
      [edit]

10、回滚配置

[email protected]# rollback ?
Possible completions:
  <[Enter]>            Execute this command
  0                    2017-07-04 06:34:34 UTC by root via cli
  1                    2017-07-04 05:48:28 UTC by root via cli
  2                    2017-07-04 03:37:11 UTC by root via cli
  3                    2017-07-04 03:32:07 UTC by root via cli
  4                    2017-07-04 03:29:17 UTC by root via cli
  5                    2017-07-04 03:27:59 UTC by root via cli
  6                    2017-07-04 03:25:04 UTC by root via cli
  7                    2017-07-04 02:56:05 UTC by root via other
  |                    Pipe through a command
一共存多少个,可以设置

11、提交检查(不生效)

commit check

基本就是检查语法

12、给提交的配置打上标记

[email protected]# commit comment TEST1

13、查看rollback

[email protected]# run show system commit
0   2017-07-04 08:09:03 UTC by root via cli
    TEST1
1   2017-07-04 06:34:34 UTC by root via cli
2   2017-07-04 05:48:28 UTC by root via cli
3   2017-07-04 03:37:11 UTC by root via cli
4   2017-07-04 03:32:07 UTC by root via cli
5   2017-07-04 03:29:17 UTC by root via cli
6   2017-07-04 03:27:59 UTC by root via cli
7   2017-07-04 03:25:04 UTC by root via cli
8   2017-07-04 02:56:05 UTC by root via other

可以看到标记

14、设置rollback数量

[email protected]# set system max-configurations-on-rollbacks 50

[email protected]# set system max-configurations-on-flash 100                    
                                                  ^
Value 100 is not within range (0..49) at ‘100‘

可以发现最多一共可以存50个

这两条命令,其实只配第一条也是可以的,他是用来确认rollback的数量的,第二条on-flush是用来设置你有多少个配置保存在设备的config文件所属的文件夹下,但是并不是说剩下的配置他不保存,不保存的话你怎么恢复呢?剩下的其实是保存再var的一个目录下,可以去官网查一下,我看有人也提问这个问题,回复的还是很准确的。

15、查看设备时间

[email protected]# run show system uptime             
Current time: 2017-07-04 08:19:01 UTC
System booted: 2017-07-04 02:55:50 UTC (05:23:11 ago)
Protocols started: 2017-07-04 02:56:07 UTC (05:22:54 ago)
Last configured: 2017-07-04 08:09:03 UTC (00:09:58 ago) by root
 8:19AM  up 5:23, 1 user, load averages: 0.01, 0.00, 0.00

16、默认回退(后悔机制)

[email protected]# commit confirmed    
commit confirmed will be automatically rolled back in 10 minutes unless confirmed
commit complete

# commit confirmed will be rolled back in 10 minutes

默认是10分钟,如果在10分钟内没有再commit,他就会自动回滚

17、重启

[email protected]> request system reboot

18、关机

[email protected]> request system power-off

原文地址:https://www.cnblogs.com/jjp816/p/9426700.html

时间: 2024-11-09 00:51:10

Juniper SRX 简单命令一的相关文章

Juniper SRX 简单命令二

--------------------------Juniper SRX 用户管理--------------------------- Juniper的命令,其实是比较形象的,英文稍微好一点,基本都能看懂 1.添加用户 root# set system login user ? Possible completions: <user-name>          User name (login) 2.用户组设置 root# set system login user XXX class

JUNIPER srx 常用命令

ollback set interface set routing-options static 更改初始密码 set system root-authentication plain-text-password 回车 New password: retype new password: set system login user admin class super-user set system login user admin authentication plain-text-passwo

Juniper SRX(Junos)配置拨号VPN (Dynamic VPN)

1) Junper SRX 防火墙,默认 License 支持2个VPN 并发连接. 2) Juniper SRX 防火墙的软件版本需要注意下,测试时发现 12.1X46-D40.2 有问题,因为测试设备是SRX210HE,在高的版本升级不上去,使用版本 12.1X44-D60.2 没问题. 配置: set access profile dyn-vpn-access-profile client vpnuser1 firewall-user password "vpnuserpassword01

juniper srx 动态VPN 配置

juniper srx系列防火墙的动态VPN又叫dynamic vpn ,可以通过电脑客户端远程拨入到设备所在网络中.目前低端系列的防火墙如srx100 srx210 srx240 srx550 srx650设备默认支持两个动态VPN并发授权,超过两个授权需要开通相应的license .srx300系列需要高版本才能支持,前段时间测试过300系列15.1D49是不支持动态VPN的,好像需要升级到D51版本以上. 开启https set system services web-management

JUNIPER SRX系列防火墙(JUNOS12.1)HA配置说明

Chassis Cluster概述和简介: Juniper SRX系列防火墙可以通过一组相同型号的SRX系列防火墙来提供网络节点的冗余性.每一台设备必须要有相同的junos版本,每一台节点设备通过各自的 control ports相互连接来形成Chassis Cluster的控制平面,控制平面通过juniper转有的协议来同步两条节点设备之间的配置和内核状态信息,从而提供基于接口和服务的高可用性.同时,每一台节点设备通过各自的 fabric ports 接口彼此互联,用于同步彼此的回话状态和两台

juniper srx 更改默认ssh端口

juniper srx系列防火墙默认ssh管理的端口是无法更改的,但要想使用其它端口实现ssh管理,可通过将外网的其它端口映射到环回接口的22端口实现 思路: 1.新建环回接口并配置IP地址 2.将环回接口划入到loopback_zone 这个安全域,并在接口层面开放ssh管理 3.配置端口映射,将外网端口22222映射环回接口端口22上 4.放行untrust到loopbaco_zone ssh的流量 实验配置: set version 12.1X47-D20.7 set system roo

Juniper SRX防火墙系统会话链接的清除

Juniper SRX防火墙系统会话链接的清除 维护Juniper防火墙SRX系列防火墙,一段时间后,发现防火墙老是有时候登录不上去,有时候可以登录. 查看用户的时候,发现,系统挂了很多连接会话,怪不得老是无法登录,资料被消耗了. 用户并不多: {primary:node0}[email protected]> show system users node0:---------------------------------------------------------------------

五大Linux简单命令解决系统性能问题

五大Linux简单命令解决系统性能问题 2010-12-17 10:07 James Turnbull TechTarget中国 字号:T | T 管理Linux主机的性能看起来经常象是在变魔术一样.许多管理员在遇到性能问题的时候常常简单化处理,依靠硬件的更新换代,更大的内存和更强的CPU来解决问题.事实上,利用一些简单的命令,可以发现许多管理主机的细节问题并且能迅速而简单地解决性能问题. AD:2014WOT全球软件技术峰会北京站 课程视频发布 管理Linux主机的性能看起来经常象是在变魔术一

Apache 的搭建及vim的简单命令

一. vim 简单命令 pwd     当前路径 ls    当前路径所有目录 cd  目录地址   跳转到指定目录 /xxx  查找xxx x 删除当前字符 n 执行上一次查找 二.为什么使用apache 服务器 能够有一个测试的服务器,不是所有的特殊网络服务都能找到免费的!,有些特殊的服务器功能,Apache都能很好的支持 三.安装配置apache 服务器 1.给自己的电脑设置成服务器 2.电脑设置密码,要不别人也可以访问我的电脑. 3.显示mac隐藏文件  defaults write c