В этой статье я постараюсь очень четко описать, что такое отладка серии juniper srx «из коробки». Что же такое juniper srx, а не просто конкретная модификация типа srx100 или sxr240? Да только из-за того, что настройки будут полностью идентичны, из-за полной одинаковости платформы-junos os. Это довольно хорошо, ведь, казалось бы, разные устройства с точки зрения стоимости и производительности настроены совершенно одинаково. В этом случае только одно из преимуществ junos os. Во-первых, я хочу погрузиться в консоль juniper. Есть, конечно, выбор начальной конфигурации через сетевой интерфейс, но это в изношенной прошивке (версия 10) в силу сложившихся обстоятельств работает не совсем корректно. И в принципе, привыкайте, почему сетевой интерфейс практически доступен, но мы хотим начать с реальных сисадминов? И часто представляете себе ситуацию, вы хотите отправиться в путешествие, вы простаиваете в транспорте, а клиент звонит и требует срочно что-то настроить на шлюзе. В вашем арсенале есть только неторопливая сотовая сеть. Если вы возьмете что-то настраивать через визуальный интерфейс сети-морду, то это займет о-о-довольно много времени. Это когда имеешь в виду еду, которую сеть-рыло извне сети может закрыть по соображениям безопасности. Чтобы создать компанию в консоли, вы действительно можете использовать консольный порт. На мой взгляд, сначала речь идет об обычном rj-45, но процесс не правильный. Действительно, такой сокет не имеет никакого сходства с портом ethernet. На этот раз он предназначен специально для координации, а не для этого. В сочетании с можжевельником, при любых обстоятельствах имеется адаптер для подключения консольного порта к com-порту компьютера. Как человек хочет творить. Появится окно, где нам нужно поставить серийный номер и гавань. Номер порта можно найти в диспетчере устройств windows, а затем как подключить маршрутизатор к ноутбуку. В современном примере это com3. Нажав кнопку «открыть», мы подключимся к можжевельнику. Однако, когда мы сначала включим его, а затем (дождавшись отправки ос) подключимся к кому-то между консольными портами, наша компания увидит не приглашение, а действительно темный экран дисплея. Это норма. Вам нужно только ввести имя пользователя с графическим ключом, и вы попадете в электронный аккаунт. Когда мы сначала подключимся к можжевельнику проводами, а после консультации включим его снова, то увидим в консоли технологический процесс загрузки junos os. Когда-нибудь схема спросит нас: «нажмите enter для немедленной загрузки или пробел для командной строки». Когда мы нажмем «дефицит» (независимо от того, что дается один момент), мы попадем в консоль восстановления. Номерной знак может быть полезен в том случае, если мы забудем пароль root. И ты можешь вспомнить. Если мы настраиваем juniper в первый раз, то нам нужно сделать это под пользователем root с пустым паролем. Тогда установка непременно потребует от вас указать ее корневой пароль. 1. Unix shel (sh) имеет предложение типа « root@srx%». Поскольку junos os основана на freebsd, первое место, которое мы получим после входа в систему, - это файл unix. Здесь, на juniper, лучше что-то сделать. Войти в cli, нажать enter и попасть просто в саму оболочку junos os.”. Это вообще режим работы debag и трекинга. Здесь можно посмотреть на последние параметры маршрутизатора, тоже в этом плане есть, например, возобновление программного обеспечения и эти операции, вплоть до перезапуска-коммутации. Когда мы вводим edit или configure, мы попадаем в самый ответственный график работы”. При таком подходе к делу осуществляется настройка маршрутизатора, т. Е. Редактирование и использование конфигурации. Это образование остается определяющим режимом, когда вам нужно вести себя. Также отсюда, для удобства, можно ли запускать команды режима работы с помощью команды run. В наличии и в дальнейшем я буду ссылаться на названия интерфейсов вида ge-0/0/x. Это гигабитные интерфейсы. Несмотря на это, juniper srx100 имеет 100-мбит интерфейсы, они обозначаются fe-0/0/x. Но конфигурация, безусловно, будет такой же, как и имена интерфейсов, вы знаете. Перейдем к начальной настройке juniper из командной строки. 1. Настройте корневую аутентификацию и необходимые параметры (dns, dhcp). 2. Настройте порты коммутатора (такие, что с помощью сервисов маршрутизаторов soho называются lan-портами) на интерфейсах ge-0/0/1 на ge-0/0/7.

3. Настройте сеть на интерфейсе ge-0/0/0. Два типа: либо ip-адрес нам дает непосредственно поставщик, либо мы получаем его между pppoe (кабельная сеть или adsl). Разделы с приемом интернета через vlan и l2tp там рассматриваться не будут. 4. Персонализация зоны безопасности и политической жизни. 5. Индивидуализируйте nat на дистрибутиве всемирной паутины в отдельную цепочку. Это делается парой способов: самостоятельно или с помощью мастера начальной настройки. Кстати, если вы не знакомы с английским языком и не разбираетесь в терминах, то получите возможность персонализировать все самостоятельно без неприятных руководств, но лучше всего дать таблицу с интерпретацией настроек. Введите имя хоста: здесь мы вводим ник juniper. Он будет отображаться в командной строке. Играет собственно визуальную роль. Нужно ли пользователям настраивать доменное имя? Захотят ли они настроить сервер имен? Нужно ли клиентам настраивать альтернативный сервер имен? Введите имя зоны безопасности, с которым будет связан этот интерфейс: в нем перечислены физические интерфейсы маршрутизатора. Вам нужно будет настроить шлюз по умолчанию? Введите ip-адрес для шлюза по умолчанию: здесь мы вводим адрес электронной почты главного шлюза, который дал нам поставщик. Вы бы предпочли создать новую учетную запись пользователя? Повторно введите пароль: здесь вы можете создать другого пользователя, кроме root (случайным образом). Это будет полезно, за исключением того, что маршрутизатор не будет настроен первым администратором. Вы предпочли бы настроить сетевое управление snmp? После завершения настройки, установки будет отображаться в окончательной конфигурации и запросить лицензию, чтобы использовать параметры (фиксации). После фиксации мы снова увидим предложение командной строки и сможем войти в cli. А теперь все, но глубже и в виде команд. Название маршрутизатора никак не влияет на нашу работу. Это чрезвычайно заметный показатель, если вы хотите не путать даже тогда, когда у людей их несколько, а можжевельников пара. Когда вы нажмете enter, схема предложит вам ввести последний логин для root пару раз. Далее следует настроить сетевой интерфейс. На котором мы будем решать ситуацию, доступную каждому, после того как поставщик предоставит нам статический белоснежный ip-адрес явно. Конфигурация интернета через pppoe будет проанализирована позже. 28 (префикс подсети). Имеет смысл отметить, что juniper не может объяснить маску подсети в ее классической октетной нотации, а просто как префикс. Настройка главного шлюза провайдера. Теперь давайте настроим интернет-интерфейс juniper. Теперь нам нужно настроить интерфейсы коммутатора (lan-порты), т. Е. Те интерфейсы, которые будут подключены к нашей локали. Кроме того, возможны варианты: мы можем назначить наш сайт одному интерфейсу, например, ge-0/0/1, так как мы упомянули электронную почту типа 192.168.1.1 и подключить корпоративные коммутаторы к этому интерфейсу, но тогда наши специалисты уже не смогут активировать клиентские компьютеры в подсеть 192.168.1.0/24. Тем более что для целей нашей задачи это несколько невыгодно и негибко, если в других ситуациях такое решение признается нормальным. Гораздо более удобным способом для нашей задачи является сделать все остальные порты juniper равными в личных правах, и это позволяет подключать сетевые устройства к чьему-то порту, в соответствии с классическими неуправляемыми коммутаторами. Для этого вам нужно взять все остальные порты в качестве членов одного и того же сетевого ethernet (vlan). С помощью этой команды мы собрали interface-range, то есть набор интерфейсов, называемых interfaces-trust, и добавили в этот диапазон порты от первого дня до 7.Этот метод группировки интерфейсов экономит нам час, потому что нам нужно будет вводить меньше команд. С помощью этой команды мы сказали, какие интерфейсы из этого набора являются портами коммутатора (семейство ethernet-swtiching), и это в совокупности относится к обычной vlan, называемой vlan-trust. Ограничения и в конце мы создаем vlan.0 интерфейс и назначить ему адрес электронной почты 192.168.1.1/24. Чье это письмо? Это адрес электронной почты juniper в такой vlan, которая также будет основным шлюзом для клиентских компьютеров, подключенных к портам коммутатора. В принципе, почему наша команда это сделала? Мы сгруппировали физические интерфейсы от ge-0/0/one до ge 0/0/7 в обычную логическую vlan.0. Настройка зон безопасности. Названия зон могут быть любые, на самом деле получаются десятки объектов, а переходы через зоны настраиваются по образу политического деятеля. Это очень удобный способ настройки вашей конфиденциальности. В моем примере здесь будет две зоны: доверие (locale) и недоверие (web). У нас есть возможность создать ненадежную зону безопасности и прикрепить интерфейс ge-0/0/0, который пыхтит во всемирной паутине на нашем сайте, MX 150 К такой зоне. Индикатор зоны хост-входящего трафика указывает, какие группы и протоколы могут в зависимости надеяться достичь самого можжевельника. Например, в этом примере мы разрешили нашему juniper пинговать внешне, а также подключаться к продукту через ssh. Когда мы хотим помочь электронной почте через dhcp, нам нужно авторизовать службу dhcp. Когда мы хотим использовать туннели ipsec между можжевельниками, имеет смысл разрешить службу ike и так далее. Это касается и протоколов маршрутизации. Например, для того, чтобы разрешить обмен валюты маршрутов ospf, вам нужно ввести хост-inboubd-трафик вариант протоколы протокол ospf. Зона доверия здесь принадлежит виртуальному интерфейсу vlan. 0, членами которого на данный момент, если вы догадались, являются физические интерфейсы от ge-0/0 / 1 до ge-0/0/7. Для зоны доверия в интернет-магазине разрешены любые сервисы и протоколы, например, например, сетевой интерфейс juniper. Невозможно попасть в наш интернет-интерфейс из сети, насколько это дано в макетах зоны недоверия. Внимательно изучите последние несколько абзацев и постарайтесь прекрасно понять задачу команды хост-входящий трафик, потому что это напрямую влияет на экологичность и безопасность нашей сети. Когда люди не хотят, чтобы наши сетевые пользователи могли прибегать к сетевому интерфейсу juniper, мы готовы уйти от ситуации как можно дальше, но запрещаем такой шаг в политике. Настройка зоны отображает их интерфейсы и разрешает трафик, направленный на сам маршрутизатор. Транзитные транспортные политики (проходящие через можжевельник) описываются в различных кредитных отделах как переходы через зоны. В этом примере все требования разрешены от частного интернета до виртуального. Когда мы хотим нарушить использование интернета посетителями этого сайта (например, запретить переписку через icq или irc), то здесь могут быть созданы соответствующие запрещающие правила. Вот стратегия, изложенная от зоны доверия к зоне доверия. Опять же, все переходы разрешены. Мы не будем описывать политику от зоны недоверия (всемирная паутина) до зоны доверия (ethernet). По той причине, что стратегия на машине-deny-all, то есть именно поэтому она явно не разрешена, она запрещена, и хосты из всемирной паутины не могут освоить быстрый доступ к хостам, защищенным juniper, верно? Во-первых, если люди не создавали политику, то это не значит, что ее вообще нет. Он доступен, он просто пуст, и поэтому он реагирует на любые переходы запретом. Последним номером в сегодняшней современной программе станет настройка nat для распространения интернета среди пользователей локальной сети. С помощью этого мы настроили source nat среди локального интернета и интернета. Теперь пользователи локали могут терпеливо прибегать к услугам всемирной паутины. Также неплохо предположить наличие системы предотвращения вторжений (idp, intrusion detection prevention). Выше вы можете узнать больше о богатых перспективах junos idp в книге junos security. В том случае, если хороший конфиг содержит какие-то опечатки или как-то у вас их нет, то профиль всегда будет сообщать нам о таких фактах. Внимательно прочитайте выходной сигнал консоли, потому что junos os максимально хорошо и недвусмысленно объясняет, что нам ничего не нужно настраивать!, Кроме того, наши настройки останутся в жизни маршрутизатора и будут актуальны. Теперь можно ли подключить клиентские устройства, проверить пинги и сеть. Эта коллекция вернет потребителей к предыдущей конфигурации, которую, кстати, вам тоже нужно зафиксировать. Эта группа применяет сегодняшнюю конфигурацию, но только на определенное количество минут, указанное с друзьями (по определению, 10). Если вы не бросаете только коммит в течение длительного времени, то по истечении этого времени juniper автоматически вернется к предыдущему конфигу. Это чрезвычайно удобно для удаленной настройки!,