Рубрика: Juniper SRX

Для сброса пароля, подключитесь консольным кабелем и включите устройство. Как только увидели строку Loading /boot/defaults/loader.conf - жмите пробел и попадете в так называемый загрузчик. loader>boot -s При этом устройство перейдет в однопользовательский режим наберите recovery System watchdog timer disabled. Enter full pathname of shell or `recovery` for root password recovery or RETURN for /bin/sh: recovery Затем наберите CLI и CONF для входа в конфигурационный режим. root@srx# set system root-authentication plain-text-password New password: juniper100500 Retype new password: И не забудьте завершить работу подтвердив изменения root@srx# commit Все, пароль сброшен, конфиг при этом остался прежним.

Существует три режима работы: root@juniper% — shellroot@juniper> — операционный режимroot@juniper# — конфигурационный режим Сброс конфигурации: root@srx# load factory-defaultПосле этого нужно задать пароль для пользователя root: root@srx# set system root-authentication plain-text-passwordroot@srx# commitroot@srx> request system reboot Сохранение резервной конфигурации: root@srx> request system configuration rescue save Удаляет не примененные команды: root@srx> clear system commit Выключение оборудования: root@srx> request system power-off Удаление ненужных файлов: root@srx> request system storage cleanup Проверка конфигурации на ошибки до commit: root@srx# commit check Применение конфигурации с откатом по времени: root@srx# commit confitmed 100 {время в минутах} Применение конфигурации по времени: root@srx# commit at 12:00 {по системному времени} Просмотр таблицы ARP: root@srx# show arp Просмотр MACов: root@srx> show ethernet-switching tableroot@srx> show ethernet-switching table | match 08:62:66:c7:b3:45 Просмотр MACов по влану: root@srx# show ethernet-switching table vlan 666 Показывает статистику на интерфейсе…

Часто бывает необходимо заблокировать определенные "подсети" или наоборот разрешить определенные IP адреса на доступ в некий VLAN. Для этого используем механизм Firewall Filter. Например, мы хотим разрешить только двум компьютерам доступ в наш VLAN. Создаем policy, в котором перечисляем разрешенные адреса компьютеров, после чего создаем непосредственно сам фильтр. policy-options { prefix-list whitelist-ip { 192.168.1.10/32; 192.168.1.10/32; } } firewall { family inet { filter whitelist-ip-allow { interface-specific; term allow { from { destination-prefix-list { whitelist-ip; } } then accept; } term other { then { discard; } } } } } Firewall filter может включать в себя несколько term, которые выполняются последовательно. Следующим шагом, мы прикручиваем фильтр, например на наш интерфейс (VLAN) vlan { unit 30 { family inet { filter { input whitelist-ip-allow; } address 10.1.30.1/24; } } } Собственно…

Итак Вы решили обновить firmware на Вашем любимом Juniper роутере. Существует два основных способа сделать это. Заливка непосредственно в роутер с дальнейшим обновлением Заливка через промежуточное устройство (USB флешка) Первый способ применяется, когда у Вас вполне достаточно памяти в роутере (или коммутаторе) для размещения новой прошивки. Но это бывает далеко не всегда. Второй способ позволяет обойти это ограничение. Для загрузки новой прошивки можно использовать FTP сервер или загружать через WinSCP. 1. Закачиваем в нужный каталог новую прошивку. Для этого запускаем WinSCP и подключаемся к нашему роутеру. Далее просто копируем файл в папку. Лучше для этого создать временную папку в Директории TMP (например /tmp/usb). Для Juniper SRX100/110 рекомендованная на сегодняшний день прошивка - junos-srxsme-12.1X44-D40.2-domestic.tgz 2. Начинаем обновление непосредственно из консоли. root@srx> request system software add validate /var/tmp/usb/junos-srxsme-12.1X44-D40.2-domestic.tgz Данная команда подразумевает проверку текущей конфигурации…

Итак, имеем почтовый и Web сервер за "роутером". Необходимо наладить его работу за NAT. Сервер подключен в порт fe-0/0/7 ,который является членом  vlan.1 (зона DMZ) Для начала сделаем "проброс" портов «снаружи», при этом используем стандартные номера портов (т.е. трансляция порт в порт). Сперва необходимо создать адресную запись (pool) set security nat destination pool HTTP address 192.168.1.200/32 set security nat destination pool HTTP address port 80 set security nat destination pool HTTPS address 192.168.1.200/32 set security nat destination pool HTTPS address port 443 set security nat destination pool SMTP address 192.168.1.200/32 set security nat destination pool SMTP address port 25 set security nat destination pool POP3S address 192.168.1.200/32 set security nat destination pool POP3S address port 995 set security nat destination pool POP3 address 192.168.1.200/32 set security nat destination pool POP3…

Конфигурирование Policer для конфигурирования делаем следующие шаги: создаем policer. [edit]user@host# edit firewall policer 4M # даем название "полисеру", допустим 4М - ограничение на 4МБит конфигурируем ограничение. [edit firewall policer 4M-policer] user@host# set if-exceeding bandwidth-limit 4M user@host# set burst-size-limit 30k # (4 000 000 * 0,005) / 8 = 2,5K - официальный расчет, но можно величину сделать и побольше. user@host# set then discard Прикручиваем полисер на интерфейс Заходим в настройки нужного нам интерфейса. [edit]user@host# edit interfaces fe-0/0/0 Применяем полисер. [edit interfaces fe-0/0/0] user@host# set unit 0 family inet policer input 4M-policer user@host# set unit 0 family inet policer output 4M-policer user@host# commit # применяем наши изменения Результат user@host# run show conf interfaces { fe-0/0/0 { unit 0 { family inet { policer { input 4M; output 4M; } address xx.xxx.xxx.xxx/24;  }  }  } ---- firewall { policer 4M { if-exceeding {  bandwidth-limit 4m;  burst-size-limit 30k; } then discard;…