Juniper防火墙基本命令

Juniper 防火墙基本命令 常用查看命令 Get int 查看接口配置信息 Get int ethx x 查看指定接口配置信息 Get mip 查看映射 ip 关系 Get route 查看路由表 Get policy id x 查看指定策略 Get nsrp 查看 nsrp 信息 后可接参数查看具体 vsd 组 端口监控设置等 Get per cpu de 查看 cpu 利用率信息 Get per sessionde 查看每秒新建会话信息 Get session 查看当前会话信息 后可匹配源地址 源端口 目的地址 目的端口 协议等选项 Get session info 查看当前会话数量 Get system 查看系统信息 包括当前 os 版本 接口信息 设备运行时间等 Get chaiss 查看设备及板卡序列号 查看设备运行温度 Get counter stat 查看所有接口计数信息 Get counter stat ethx x 查看指定接口计数信息 Get counter flow zone trust untrust 查看指定区域数据流信息 Get counter screen zone untrust trust 查看指定区域攻击防护统计信息 Get tech support 查看设备状态命令集 一般在出现故障时 收集该信息寻求 JTAC 支持 常用设置命令 Set int ethx x zone trust untrust dmz ha 配置指定接口进入指定区域 trust untrust dmz ha 等 Set int ethx x ip x x x x xx 配置指定接口 ip 地址 Set int ethx x manage 配置指定接口管理选项 打开所有管理选项 Set int ethx x manage web telnet ssl ssh 配置指定接口指定管理选项 Set int ethx x phy full 100mb 配置指定接口速率及双工方式 Set int ethx x phy link down 配置指定接口 shutdown Set nsrp vsd id 0 monitor interface ethx x 配置 ha 监控端口 如此端口断开 则设备发生主 备切换 Exec nsrp vsd 0 mode backup 手工进行设备主 备切换 在当前的主设备上执行 set route 0 0 0 0 0 interface ethernet1 3 gateway 222 92 116 33 配置路由 需同时指定下一跳接口及 ip 地址 所有 set 命令 都可以通过 unset 命令来取消 相当于 cisco 中的 no 所有命令都可以通过 TAB 键进行命令补全 通过 来查看后续支持的命令 防火墙基本配置 create account admin user 回车 输入密码 再次输入密码 configure account admin 回车 输入密码 再次输入密码 2 port 配置 config ports auto off speed 10 100 1000 duplex half full auto off 3 Vlan 配置 无论是核心还是接入层 都要先创建三个 Vlan 并且将所有归于 Default Vlan 的端口删除 config vlan default del port all create vlan Server create vlan User create vlan Manger 定义 802 1q 标记 config vlan Server tag 10 config vlan User tag 20 config vlan Manger tag 30 设定 Vlan 网关地址 config vlan Server ipa 192 168 41 1 24 config vlan User ipa 192 168 40 1 24 config vlan Manger ipa 192 168 24 Enable ipforwarding 启用 ip 路由转发 即 vlan 间路由 Trunk 配置 config vlan Server add port 1 3 t config vlan User add port 1 3 t config vlan manger add port 1 3 t 4 VRRP 配置 enable vrrp configure vrrp add vlan UserVlan configure vrrp vlan UserVlan add master vrid 10192 168 6 254 configure vrrp vlan UserVlan authentication simple passwordextreme configure vrrp vlan UserVlan vrid 10 priority 200 configure vrrp vlan UserVlan vrid 10 advertisement interval15 configure vrrp vlan UserVlan vrid 10 preempt 5 端口镜像配置 首先将端口从 VLAN 中删除 enable mirroring to port 3 选择 3 作为镜像口 config mirroring add port 1 把端口 1 的流量发送到 3 config mirroring add port 1 vlan default 把 1 和 vlandefault 的流量都发送到 3 6 port channel 配置 enable sharing grouping port based address based round robin show port sharing 查看配置 7 stp 配置 enable stpd 启动生成树 create stpd stp name 创建一个生成树 configure stpd add vlan ports dot1d emistp pvst plus configure stpd stpd1 priority 16384 configure vlan marketing add ports 2 3 stpd stpd1 emistp 8 DHCP 中继配置 enable bootprelay config bootprelay add 9 NAT 配置 Enable nat 启用 nat Static NAT Rule Example config nat add out vlan 1 map source 192 168 1 12 32 to216 52 8 32 32 Dynamic NAT Rule Example config nat add out vlan 1 map source 192 168 1 0 24 to216 52 8 1 216 52 8 31 Portmap NAT Rule Example config nat add out vlan 2 map source 192 168 2 0 25 to216 52 8 32 28 both portmap Portmap Min Max Example config nat add out vlan 2 map source 192 168 2 128 25 to216 52 8 64 28 tcp portmap 1024 8192 10 OSPF 配置 enable ospf 启用 OSPF 进程 create ospf area 创建 OSPF 区域 configure ospf routerid automatic 配置 Routerid configure ospf add vlan all area passive 把某个 vlan 加到某个 Area 中去 相当于 Cisco 中的 network 的作用 configure ospf area add range advertise noadvertise type 3 type 7 把某个网段加到 某个 Area 中去 相当于 Cisco 中的 network 的作用 configure ospf vlan neighbor add OSPF 中路由重发布配置 enable ospf export direct cost ase type 1 ase type 2 tag enable ospf export static cost ase type 1 ase type 2 tag enable ospf originate default always cost ase type 1 ase type 2 tag enable ospf originate router id 11 SNMP 配置 enable snmp access enable snmp traps create access profile type ipaddress vlan config snmp access profile readonly none 配置 snmp 的只读访问列表 none 是去除 config snmp access profile readwrite none 这是控制读写控制 config snmp add trapreceiver port community from 配置 snmp 接 收 host 和团体字符串 12 安全配置 disable ip option loose source route disable ip option strict source route disable ip option record route disable ip option record timestamp disable ipforwarding broadcast disable udp echo server disable irdp vlan disable icmp redirect disable web 关闭 web 方式访问交换机 enable cpu dos protect 13 Access Lists 配置 create access list icmp destination source create access list ip destination source ports create access list tcp destination source ports create access list udp destination source ports 14 默认路由配置 config iproute add default 15 恢复出厂值 但不包括用户改的时间和用户帐号信息 unconfig switch all 16 检查配置 show version show config show session show management 查看管理信息 以及 snmp 信息 show banner show ports configuration show ports utilization show memory show cpu monitoring show ospf show access list port show access list monitor show ospf area show ospf area detail show ospf ase summary show ospf interfaces vlan area unconfigure ospf vlan area switch show switch show config show diag show iparp show iproute show ipstat show log show tech all show version detail 17 备份和升级软件 download image primary secondary upload image primary secondary use image primary secondary 18 密码恢复 Extreme 交换机在你丢失或忘记密码后 需要重新启动交换机 常按空格键 进入 Bootrom 模式 输入 h 选择 d Force Factory default configuration 清除配置文件 最后选择 f Boot onboard flash 重新启动后密码会被清除掉 注意 恢复密码后 以前的配置文件将会被清空 对于 extreme x450e 48p 进入 bootrom 后 输入 h 然后 boot 1 回车即可 18 switch licese 的添加 enable licese xxxx xxxx xxxx xxxx xxxx 会提示添加成功 显示 Advanced Edge 为成功 HN HUAIHUA ANQUAN LS1 33 show licenses Enabled License Level Advanced Edge Enabled Feature Packs None 步骤 a HN HUAIHUA ANQUAN LS1 34 show version Switch 800190 00 04 0804G 80211 Rev 4 0 BootROM 1 0 2 2 IMG 11 6 1 9 XGM2 1 Image ExtremeXOS version 11 6 1 9 v1161b9 byrelease manager on Wed Nov 29 22 40 47 PST 2006 BootROM 1 0 2 2 其中 0804G 80211 为交换机的 serial number b 然后在装有 licese 的信封里找到 voucher serial number c 根据这两个 serial number 在指定网站上查找 liceses 的 key 共 16 位 d 然后 enable licese 输入 key 值即可 NS 系列防火墙安装与管理 NetScreen 防火墙支持多种管理方式 WEB 管理 CLI Telnet 管理等 由于一般调试工作 中 我们最常用的也就是前面两种 ScreenOS 4 0 首先 使用 CONSOLE 口进行配置 1 把配送的线的一端插在防火墙的 CONSOLE 口 线的另一端插在转换插头后插在 PC 的串 行口上 2 打开 WINDOWS 的附件 通讯 超级终端 选择插有 CONSOLE 线的串口连接 设置 串口属性 9600 8 无 硬件 3 出现提示符号后输入帐号密码进入设置命令行界面 默认帐号 Netscreen 密码 Netscreen 4 进入 Netscreen 命令行管理界面 Web 管理连接设置 1 设置接口 IP 若所有接口均未配置 IP Netscreen 设备初始化设置 需设置一个端口 IP 用于连接 web 管理界面 这里设置 trust 端口 在命令行模式下输入 ns5XT set int trust ip 命令说明 A B C D 为 IP 地址 通常设置为一个内网地址 E 为 IP 地址的掩码位 通常 设为 24 此时通过 get interface 命令可以看到端口状态的信息 类似 CISCO SHOW 接口命令 2 启动接口的 web 管理功能 ns5XT set int trust manage web 3 连通 PC 和防火墙间的网络 通过浏览器的 web 界面进行具体功能设置 DW 建立对于 NS 5 NS 10 NS 100 防火墙 PC 与 trust 口 DMZ 口采用直通电缆连接 PC 与 untrust 口的连接采用交叉线 对于 NS 25 NS 200 及以上产品 PC 与防火墙所有端口的 连接都采用直通电缆 注意 将 PC 网卡的 IP 地址设置成与防火墙相应端口的管理 IP 同一个网段内 打开 IE 浏览器 键入防火墙的管理 IP 打开登陆画面 防火墙基本设置 1 设置访问超时时间 Web 在 Web 中的 Configuration Admin Management 中的 EnabelWeb Management Idle Timeout 中填入访问超时的分钟数 并在前面打勾 CLI NS5XT set admin auth timeout 2 Netscreen 的管理权限 设置超级管理员 Root WEB 进入 Configuration Admin Administrators 在这里可以管理所有的管理员 CLI D NS5XT set admin name NS5XT set admin password 添加本地管理员 WEB 点击 New 链接 打开配置页 输入管理员登录名和密码 指定权限 可选 ALL 或 Read ONLY ALL 表示该管理员具有更改配置的权限 READ ONLY 表示该管理员只能查 看配置 无权更改 CLI D NS5XT set admin user password privilege 3 设置 DNS Web 打开 Network DNS 页面 可配置 HostName 主机名 Domain Name 域名 Primary DNS Server 主域名服务器 Second DNSServer 副哉名服务器 还有 DNS 每天更新的时间 配置完后按 Apply 按键实施 NS5XT set hostname hMRr6 NS5XT set domain B NS5XT set DNS host 4 设置 Zone 安全区域 Web 打开 Network Zones 页面 可配置已存在于 Netscreen 设备的所有 Zone 并不是所有 Zone 都可以配置 有许多默认的 Zone 是不允许配置的 在 Configure 中不会出现 Edit 按 New 按键可以新增一个 Zone CLI hoNS5XT set zone vrouter OWV6jS 5 设置 Interface 接口 v WEB 打开 Network Interfaces 选择需要配置的接口对应的属性页 有四个可选接口 Trust Untrust DMZ 和 Tunnel 其中 Trust Untrust 和 DMZ 为物理接口 Tunnel 接口 为