Juniper SRX 简单命令二

--------------------------Juniper SRX 用户管理---------------------------

Juniper的命令,其实是比较形象的,英文稍微好一点,基本都能看懂

1、添加用户

root# set system login user ?

Possible completions:

<user-name>          User name (login)

2、用户组设置

root# set system login user XXX class ?

Possible completions:

<class>              Login class

operator             permissions [ clear network reset trace view ]        //用于故障定位,但是看不了配置,也不能编辑

read-only            permissions [ view ]            //只读   就是只能看看状态

super-user           permissions [ all ]              //完全权限

unauthorized         permissions [ none ]         //为radius做模板,没有任何权限,权限在radius里添加

根据不同用途给用户设置组

3、用户UID设置

root# set system login user XXX class read-only uid ?

Possible completions:

<uid>                User identifier (uid) (100..64000)

4、root密码设置

初始话的时候,root的密码为空,必须设置一个root密码才能提交配置.

root# set system root-authentication plain-text-password         交互明文输入

或者

root# set system root-authentication encrypted-password ?     非交互密文输入

Possible completions:

<encrypted-password>  Encrypted password string

例:root# set system root-authentication encrypted-password "xxxxxxxxxxdddddddddde"

双引号里就是一个MD5加密的值

这里不明白的看看之前一篇博客

5、给用户设置密码

root# set system login user XXX authentication plain-text-password

或者

root# set system login user XXX authentication encrypted-password "xxxxx"

6、自定义用户级别组

root# set system login class test ?

Possible completions:

access-end           End time for remote access (hh:mm)

access-start         Start time for remote access (hh:mm)

allow-commands       Regular expression for commands to allow explicitly

allow-configuration  Regular expression for configure to allow explicitly

+ allow-configuration-regexps  Object path regular expressions to allow

+ allowed-days         Day(s) of week when access is allowed.

+ apply-groups         Groups from which to inherit configuration data

+ apply-groups-except  Don‘t inherit configuration data from these groups

deny-commands        Regular expression for commands to deny explicitly

deny-configuration   Regular expression for configure to deny explicitly

+ deny-configuration-regexps  Object path regular expressions to deny

idle-timeout         Maximum idle time before logout (minutes)

login-alarms         Display system alarms when logging in

login-script         Execute this login-script when logging in

login-tip            Display tip when logging in

+ permissions          Set of permitted operation categories

security-role        Common Criteria security role

可以自定义一个组,里面茫茫多的选项。。。。。。自己看看吧,反正我这里网络、服务器、桌面端、DBA就我一个人。。。。。。。。

7、查看当前用户权限

root> show cli authorization

——————————————————JuniperSRX------------------远程管理

一、SSH(安全协议)

set system services ssh root-login deny ----------------------------不允许管理员使用ssh登录

set system services ssh protocol-version v2 -----------------------使用ssh 版本2

set system services ssh connection-limit 3 -------------------------ssh最大连接数为3

set system services ssh rate-limit 3-----------------------------------每分钟尝试密码次数

二、Telnet(不安全协议)

set system services telnet connection-limit 3---------------------最大连接数

set system services telnet rate-limit 2------------------------------每分钟尝试密码次数

三、FTP(不建议开服务端)

1、作为服务端

set system services ftp connection-limit 5---------------------最大连接数

set system services ftp rate-limit 3------------------------------每分钟尝试密码次数

现在一般都不用这种,通过软件直接SCP拖拽

四、http/https

1、http

set system services web-management http port 8080---------设置打开服务并且指定8080端口

set system services web-management http interface ge-0/0/0.0------------设置通过ge-0/0/0.0接口访问

set system services web-management session idle-timeout 10------------设置超时时间10分钟

set system services web-management session session-limit 1-----------设置最大连接数

2、https

set system services web-management https port 443

set system services web-management https system-generated-certificate--------系统自动生成证书

set system services web-management https interface ge-0/0/0.0

上面设置session的那一段,是同时设置http和https的。

3、NTP

root# set system ntp server 2.2.2.2-----------设置ntp服务器

root# set system ntp source-address 1.1.1.1  ----------设置访问NTP的源地址

4、远程服务流量控制

JuniperSRX分为转发引擎(PFE---packet forwarding engine)和路由引擎(RE---routing engine)。

web  route  http 等等都是再RE上的,PFE功能简化来说就是二层转发。

FW一般作为边界设备,肯定会连接公网,上面就会有很多端口扫描的问题,(傻逼真的是多),而流量的走向都是先通过FW---->loopback0----->RE(这个是我方便描述),lo0可以理解为一个管理接口,如果你把这个接口做了流量控制,就然就可以控制web的流量了。之后我会开一个实验专题,这里就不详解了

静态路由

静态路由都是最基础,小型公司用的最多的,我直接贴配置

set routing-options static route 0.0.0.0/0 next-hop 1.1.1.1

这就是一条默认的路由,下一跳地址是1.1.1.1

JuniperSRX---------rpm配合track完成双线主备

原理就是通过rpm的ping包去检测一个目标地址  然后根据结果切换路由

services {

rpm {

probe ISP-PING {

test ISP_DNS {

target address 1.1.1.2;           目标地址

probe-count 15;                      一次测试发几个包

probe-interval 1;                     每个包间隔几秒

test-interval 1;                        每个测试间隔几秒

thresholds {

successive-loss 5;              每个测试范围内,连续丢包多少个判断链路失效

total-loss 10;                      每个测试范围内,总丢包多少个判断链路失效

}

destination-interface ge-0/0/0.0;

next-hop 1.1.1.2;

}

}

}

ip-monitoring {

policy DNS-Tracking {

match {

rpm-probe ISP-PING;          需要满足的条件

}

then {

preferred-route {

route 0.0.0.0/0 {

next-hop 3.3.3.3;         需要更换的路由下一跳

}

}

}

}

}

}

全部做完还要方形rpm的流量

host-inbound-traffic {

system-services {

rpm;

ping;

}

}

原文链接    https://blog.csdn.net/tyrantu1989/article/list/2?t=1

原文地址:https://www.cnblogs.com/jjp816/p/9426745.html

时间: 2024-11-07 08:39:50

Juniper SRX 简单命令二的相关文章

Juniper SRX 简单命令一

Juniper为人所熟悉的一定是从netscreen开始的,作为一线防火墙品牌,还是有很高的地位.但是以前玩netscreen,都是用的网页版去配置,而且网页版做得很不错.但是现在netscreen要开始淘汰,取而代之的是SRX系列防火墙,这个家伙的网页版就是个渣,没事卡一下已经算是客气的了,很有可能卡完以后,他就再也进不去了,必须去重启这个进程,而且页面逻辑性极差,所以我也开始了SRX命令配置的学习. 这里我提几点学习中遇到的问题(我现在还在学习中...) 1.资料极其少 我搜索了一下百度,发

JUNIPER srx 常用命令

ollback set interface set routing-options static 更改初始密码 set system root-authentication plain-text-password 回车 New password: retype new password: set system login user admin class super-user set system login user admin authentication plain-text-passwo

Linux的一些简单命令(二)

1.查看防火墙状态:service iptables status 2.开启防火墙:service iptables start 3.关闭防火墙:service iptables stop 4.创建目录:mkdir 文件夹名称   例如:mkdir soft,    创建多个目录:mkdir dir1 dir2.. 5.使用正则表达式创建多个目录:mkdir dir{1..5} 6.赋值文件和目录:cp   例:cp a.txt dir --> 复制文件到文件夹  cp a.txt b.txt

五大Linux简单命令解决系统性能问题

五大Linux简单命令解决系统性能问题 2010-12-17 10:07 James Turnbull TechTarget中国 字号:T | T 管理Linux主机的性能看起来经常象是在变魔术一样.许多管理员在遇到性能问题的时候常常简单化处理,依靠硬件的更新换代,更大的内存和更强的CPU来解决问题.事实上,利用一些简单的命令,可以发现许多管理主机的细节问题并且能迅速而简单地解决性能问题. AD:2014WOT全球软件技术峰会北京站 课程视频发布 管理Linux主机的性能看起来经常象是在变魔术一

ZabbixAPI+django+nginx简单的二次开发实例(三)

接上一篇博文 ZabbixAPI+django+nginx简单的二次开发实例(二) 步骤三,站点架构部分 本部分用到的软件 1,Nginx:接受访问请求,应答静态页面,转发动态请求至uwsgi 2,uwsgi:应答动态请求 3,Django:处理后台数据 4,supervisor:管理进程 首先安装Nginx yum install epel-release yum install python-devel nginx 修改配置文件 vim /etc/ngnix/ngnix.conf user

Apache 的搭建及vim的简单命令

一. vim 简单命令 pwd     当前路径 ls    当前路径所有目录 cd  目录地址   跳转到指定目录 /xxx  查找xxx x 删除当前字符 n 执行上一次查找 二.为什么使用apache 服务器 能够有一个测试的服务器,不是所有的特殊网络服务都能找到免费的!,有些特殊的服务器功能,Apache都能很好的支持 三.安装配置apache 服务器 1.给自己的电脑设置成服务器 2.电脑设置密码,要不别人也可以访问我的电脑. 3.显示mac隐藏文件  defaults write c

Kafka学习(一)配置及简单命令使用

一. Kafka中的相关概念的介绍 Kafka是一个scala实现的分布式消息中间件,其中涉及到的相关概念如下: Kafka中传递的内容称为message(消息),message 是通过topic(话题)进行分组的 topic 和message 的关系是一对多的关系 我们称发布message的进程为producer ,就是说producer生成<topic->message>对然后 丢进kafka集群 相对应的称订阅topic处理对应message的进程为consumer Kafka集群

lua学习笔记10:lua简单命令行

前面多次用了命令行,这次就好好学下命令行: 一 格式 lua [options][script][args] 二 具体命令 -e 直接将命令传个lua -l 加载一个文件 -i 进入交互模式 例如,终端输入: lua -e "print(math.sin(12))" lua学习笔记10:lua简单命令行,布布扣,bubuko.com

LINUX基础命令的使用以及vim的简单命令

一 命令提示符说明 [登录用户@主机名 工作目录]# 二 Linux命令格式 命令字  [选项]  [参数1] [参数2] [ ] 表示里面内容可有可无 选项:如果是单个字符,用-               如:# ls -l 如果是一个单词,用--              如:# ls --color 多个单个字符的选项可以合并一个-   如:# ls -l -h = # ls –lh 三 基本命令及其说明 1. 基本命令 # uname -r//查询内核 # cat /etc/redha