Здравствуйте, уважаемые коллеги, попробую описать начальные настройки junos для SRX. Для настройки предпочитаю PuTTY, сам способ подключения довольно прост, поэтому приступим к стартовой настройке.
Допустим мы только, что распаковали новый девайс, подключились к консольному порту, дальше junos попросить ввести логин, по умолчанию это root, пароля по умолчанию нет.
У Juniper есть три режима:
root@srx# set system domain-name mydomain.com
Команда set system domain-search определяет для системы список доменов, с помощью нее можно задать порядок в котором домены исследуются (в нашем случае пропускаем)
В Juniper, серверы имен DNS уже прописаны,рекомендую добавить еще один:)
root@srx# set system name-server 8.8.8.8
По умолчанию в juniper прописан сервис ssh, telnet, web-management, для безопасности рекомендую удалить telnet и протокол http c web-management:
root@srx# delete system services telnet
root@srx# delete system services web-management http
Для ssh установить версию протокола v2 и лимит подключений (максимально допустимое количество ssh соединений 5)
root@srx# set system services ssh protocol-version v2
root@srx# set system services ssh connection-limit 5
Думаю из рисунка все понятно.
Простейшая схема украденная из Интернета:)
Провайдер предоставляет статический ip -адрес допустим 50.60.70.80/24, в интерфейс fe-0/0/2, для этого интерфейса настроим зону Internet.
Наша локальная сеть будет иметь адрес 192.168.1.0/24, для локальной сети настроим зону LAN на интерфейс fe-0/0/3.
В порт fe-0/0/3 подключим switch второго уровня для соединения узлов компьютерной сети.
Задача:
1. Настроить Juniper в качестве DHCP сервера.
2. Раздать пользователям Интернет (nat, создать зоны и политики безопасности).
Почему такая простая топология?, а зачем все усложнять!
В других статьях используют зоны по умолчанию, это untrust и trust, в нашем случае зона untrust будет зоной Internet, а зона trust зоной LAN.
Для начала зададим интерфейсам адреса:
root@srx#set interfaces fe-0/0/2 unit 0 family inet address 50.60.70.80/24
root@srx#set interfaces fe-0/0/2 unit 0 description Rostelecom - описание провайдера
root@srx#set interfaces fe-0/0/3 unit 0 family inet address 192.168.1.1/24
root@srx#set interfaces fe-0/0/3 unit 0 description Local_network - описание сети
По умолчанию порты настроены на автоматическое согласование скорости и режима.
Настроим SRX в качестве сервера DHCP.
Создадим пул адресов 192.168.1.0/24
Для удобства при настройке перейдем на нижний уровень иерархии
с помощью команды edit:
root@srx# edit system services dhcp
[edit system services dhcp]
root@srx#set pool 192.168.1.0/24 - пул создан
Для удобства перейдем на нижний уровень иерархии
[edit system services dhcp]
root@srx#edit pool 192.168.1.0/24
[edit system services dhcp pool 192.168.1.0/24]
root@srx#
Укажем диапазон адресов с 192.168.1.10 по 192.168.1.254
[edit system services dhcp pool 192.168.1.0/24]
root@srx#set address-range low 192.168.1.10 high 192.168.1.154
Для исключения определенных адресов из диапазона введем команду exclude-address. Допустим нам необходимо исключить адрес 192.168.1.20:
[edit system services dhcp pool 192.168.1.0/24]
root@srx#set exclude-address 192.168.1.20
Дальше назначим какие сетевые настройки Juniper будет автоматически назначать клиентам(узлам) в локальной сети:
[edit system services dhcp pool 192.168.1.0/24]
root@srx#set domain-name mydomain.com
[edit system services dhcp pool 192.168.1.0/24]
root@srx#set name-server 192.168.1.50 - корпоративный DNS
Или глобальный DNS:
[edit system services dhcp pool 192.168.1.0/24]
root@srx#set name-server 8.8.8.8 - глобальный DNS
[edit system services dhcp pool 192.168.1.0/24]
root@srx#set wins-server 192.168.1.50 - корпоративный сервер сопоставления NetBIOS имен с ip-адресами узлов.
[edit system services dhcp pool 192.168.1.0/24]
root@srx#set router 192.168.1.1 - шлюз
Время аренды адресов (в секундах) назначается командой:
[edit system services dhcp pool 192.168.1.0/24]
root@srx#set default-lease-time1209600 - 14 дней
Еще одна полезная команда, которая фиксирует ip-адрес к MAC-адресу узла, т.е. узлу будет автоматически назначаться фиксированный ip-адрес, допустим 192.168.1.15:
root@srx#set system services dhcp static-binding 01:03:05:07:09:0B fixed-address 192.168.1.15
IP- адреса для интерфейсов настроены, DHCP сервер настроен.
Укажем статический маршрут (шлюз) для выхода в Интернет:
root@srx#set routing-options static route 0.0.0.0/0 next-hop 50.60.70.1 – где 50.60.70.1 шлюз провайдера, читается так, чтобы попасть на любой адрес 0.0.0.0 с маской /0, необходимо пройти через адрес 50.60.70.1
Следующим шагом настроим зоны безопасности для интерфейсов fe-0/0/2 и fe-0/0/3, в стартовом конфиге рекомендую разрешить весь трафик, это позволит проверить правильность настроек.
Создадим зону Internet для интерфейса fe-0/0/2 и разрешим весь трафик:
root@srx# set zones security-zone Internet
root@srx# set zones security-zone Internet host-inbound-traffic system-services all
root@srx# set zones security-zone Internet host-inbound-traffic protocols all
root@srx# set zones security-zone Internet interfaces fe-0/0/2
Создадим зону LAN для интерфейса fe-0/0/3 и разрешим весь трафик:
root@srx# set zones security-zone LAN
root@srx# set zones security-zone LAN host-inbound-traffic system-services all
root@srx# set zones security-zone LAN host-inbound-traffic protocols all
root@srx# set zones security-zone LAN interfaces fe-0/0/3
При такой конфигурации разрешены все сервисы и протоколы, такие настройки зон рекомендую использовать только при стартовом конфиге, в дальнейшем разрешите только то, что необходимо, например: ping, ssh, ike , и др ..
Создадим политику для зоны LAN, разрешим весь трафик из зоны LAN в зону Internet:
root@srx# set security policies from-zone LAN to-zone Internet policy LAN-to-Internet match source-address 192.168.1.0/24
root@srx# set security policies from-zone LAN to-zone Internet policy LAN-to-Internet match destination-address any
root@srx# set security policies from-zone LAN to-zone Internet policy LAN-to-Internet match application any
root@srx# set security policies from-zone LAN to-zone Internet policy LAN-to-Internet then permit
Немного о зонах и политиках.
Команда host-inbound-traffic, в настройках зоны, позволяет задать принятие двух различных типов трафика на сам Juniper, это system-services и protocols, т.е. это трафик который обращается непосредственно к самому устройству и на нем заканчивается. К системным службам относится ping, ssh, telnet, DHCP и др. К протоколам относятся протоколы маршрутизации или другие протоколы, используемые для обмена данными с другими сетевыми устройствами (RIP, OSFP и др.).
Политика, предназначена для транзитных перевозок (трафика), допустим из зоны локальной сети в зону Интернет, и описывается в виде перехода от одной зоны в другую.
Остался NAT, название набора правил может быть любое, для простоты обозначим как LAN-to-Internet:
root@srx# set security nat source rule-set LAN-to-Internet from zone LAN
Теперь пользователи могут полноценно работать в глобальной сети.
Допустим мы только, что распаковали новый девайс, подключились к консольному порту, дальше junos попросить ввести логин, по умолчанию это root, пароля по умолчанию нет.
У Juniper есть три режима:
- Первый режим имеет приглашение root@%, его пропускаем набрав команду cli
- Операционный режим, используется для мониторинга, выявления неполадок, выключения устройства, перезагрузка OS, перезагрузка служб, выполнения команды ping, traceroute, просмотр состояния ipsec, ike и др., имеет приглашение root@>.
- Конфигурационный режим, как вы догадались из названия в этом режиме происходит настройка и редактирование конфигурации. Чтобы попасть в этот режим используется команда configure или edit, обе команды работают.
Первым делом, что необходимо сделать это назначить пароль для пользователя root:
root@# set system root-authentication plain-text-password
После ввода команды не забывайте нажимать Enter, система дважды попросит ввести новый пароль. Длина пароля должна быть не менее 6 символов, пароль не должен состоять из одних цифр или букв, иначе система выведет предупреждение:
error: minimum password length is 6
error: require change of case, digits or punctuation
В конфигурации все пароли хранятся в зашифрованном виде, вы не увидите пароль открытым текстом при вводе команды show.
root@# commit (команда commit применяет внесенные изменения)
Настроим имя нашего фаервола, можно задать любое имя, в нашем случае это srx:
root@# set system host-name srx
root@#commit
Приглашение на ввод команды изменилось, добавилось имя:
root@srx#
Установка зонального времени:
root@srx# set system time-zone GMT+9
root@# set system root-authentication plain-text-password
После ввода команды не забывайте нажимать Enter, система дважды попросит ввести новый пароль. Длина пароля должна быть не менее 6 символов, пароль не должен состоять из одних цифр или букв, иначе система выведет предупреждение:
error: minimum password length is 6
error: require change of case, digits or punctuation
В конфигурации все пароли хранятся в зашифрованном виде, вы не увидите пароль открытым текстом при вводе команды show.
root@# commit (команда commit применяет внесенные изменения)
Настроим имя нашего фаервола, можно задать любое имя, в нашем случае это srx:
root@# set system host-name srx
root@#commit
Приглашение на ввод команды изменилось, добавилось имя:
root@srx#
Установка зонального времени:
root@srx# set system time-zone GMT+9
или так
root@srx# set system time-zone Asia/Yakutsk
Настроим доменное имя:root@srx# set system domain-name mydomain.com
Команда set system domain-search определяет для системы список доменов, с помощью нее можно задать порядок в котором домены исследуются (в нашем случае пропускаем)
В Juniper, серверы имен DNS уже прописаны,рекомендую добавить еще один:)
root@srx# set system name-server 8.8.8.8
По умолчанию в juniper прописан сервис ssh, telnet, web-management, для безопасности рекомендую удалить telnet и протокол http c web-management:
root@srx# delete system services telnet
root@srx# delete system services web-management http
Для ssh установить версию протокола v2 и лимит подключений (максимально допустимое количество ssh соединений 5)
root@srx# set system services ssh protocol-version v2
root@srx# set system services ssh connection-limit 5
Для web-management https присвоим номер порта допустим 4430, максимальное количество одновременных пользователей 2 с 60 минутным выходом.
root@srx# set system services web-management https port 4430
root@srx# set system services web-management https system-generated-certificate (https использует генерируемый системой сертификат)
root@srx# set system services web-management session idle-timeout 60
root@srx# set system services web-management session session-limit 2
root@srx# set system services web-management https system-generated-certificate (https использует генерируемый системой сертификат)
root@srx# set system services web-management session idle-timeout 60
root@srx# set system services web-management session session-limit 2
При таких настройках любой сможет подключиться к web-интерфейсу, в том числе извне, т.к. в настройках зоны все разрешено. Лучше зарубить данную возможность при создании зоны безопасности. Но на данном этапе разрешим подключение только с fe-0/0/3 порта, т.к. switch воткнут в порт fe-0/0/3, то подключиться к web можно только изнутри.
root@srx# set system services web-management https interface fe-0/0/3.0
Смотрим:
web-management {
https {
port 4430;
system-generated-certificate;
interface fe-0/0/3.0;
}
session {
idle-timeout 60;
session-limit 2;
Могу сказать, что это моя первая статья по Juniper и была выбрана самая простая топология подключения, здесь совсем не рассматриваются вланы, более подробно о вланах описано в статье Маршрутизация между VLANs (Inter-VLAN Routing or Routed VLAN Interface)
Настроим NTP, сразу объясню для чего, при просмотре журналов и событий время должно быть синхронизировано с фактическим временем, иначе будет сложно осуществлять поиск неисправностей, и второе, при использовании планировщика необходимая политика или правило применится не в то время, которое мы запланировали.
Зададим время вручную, делается это в режиме мониторинга.
root@srx>set data 201309192356.24 (Время и дата задается в формате YYYYMMDDhhmm.ss).
Зададим время вручную, делается это в режиме мониторинга.
root@srx>set data 201309192356.24 (Время и дата задается в формате YYYYMMDDhhmm.ss).
Задать время руками полезно при первоначальной настройке, когда Juniper не имеет доступа к сети.
Настроим Juniper в качестве NTP клиента:
root@srx# set system ntp server 192.168.1.55 (рекомендую использовать корпоративный NTP сервер как в нашем случае, но возможно любой другой, допустим ru.pool.ntp.org )
SRX может выступать в качестве NTP сервера, но в стартовой настройке мы это рассматривать не будем.
Настроим максимальное количество резервных конфигураций. По умолчанию максимальное количество резервных конфигураций равно 5, т.е. мы можем иметь одну активную конфигурацию и не более пяти конфигураций отката. Посмотреть список сохраненных конфигураций можно командой #rollback ? Если ввести команду commit, то Ваша текущая (активная) конфигурация сохранится как rollback 1, а конфигурация кандидат (в которую мы внесли изменения и ввели команду commit) как rollback 0 и будет являться активной конфигурацией .В случае если необходимо произвести откат на конфигурацию до применения, то необходимо ввести #rollback 1. Надеюсь мне удалось объяснить:)
Теперь изменим максимальное количество резервных конфигураций:
root@srx# set system max-configuration-rollbacks 49
Смотрим:
root@srx# show system max-configuration-rollbacks
max-configuration-rollbacks 49;
Теперь давайте разберемся с командой max-configurations-on-flash. Этой командой назначаешь сколько сохраненных конфигураций будет находиться в разделе /config.
Установим значение 5:
root@srx# set system max-configurations-on-flash 5
Что же нам это дает?
Команда root@srx# set system max-configuration-rollbacks 49 -указывает максимальное количество резервных конфигураций, в нашем случае 49.
Команда root@srx# set system max-configurations-on-flash 5 - указывает максимальное количество резервных конфигураций, в нашем случае 5, которые будут храниться в разделе /config
При таких параметрах вы можете откатиться до 49 последних сохранений, при этом первые пять конфигураций будут сохранены в разделе /config, а остальные 44 в разделе /var/db/config. Посмотреть раздел /config можно командой:
[edit]
root@srx# run file list /config
/config:
.snap/
juniper.conf.1.gz
juniper.conf.2.gz
juniper.conf.3.gz
juniper.conf.4.gz
juniper.conf.5.gz
juniper.conf.gz
Как мы видим в разделе конфиг только пять конфигурационных файлов отката + активная конфигурация, если вы заметили нумерация начинается с нуля.
Увеличивать число максимальных резервных конфигураций до 49 вопрос спорный, с одной стороны всегда можно откатиться при ошибке, с другой стороны будем ли мы восстанавливаться до 49 копии конфигурации? И не забываем, что увеличение сохраняемых копий конфигураций приведет к увеличению использования памяти на диске.
Вступление закончено!
Рассмотрим простейшую топологию.
Настроим Juniper в качестве NTP клиента:
root@srx# set system ntp server 192.168.1.55 (рекомендую использовать корпоративный NTP сервер как в нашем случае, но возможно любой другой, допустим ru.pool.ntp.org )
SRX может выступать в качестве NTP сервера, но в стартовой настройке мы это рассматривать не будем.
Настроим максимальное количество резервных конфигураций. По умолчанию максимальное количество резервных конфигураций равно 5, т.е. мы можем иметь одну активную конфигурацию и не более пяти конфигураций отката. Посмотреть список сохраненных конфигураций можно командой #rollback ? Если ввести команду commit, то Ваша текущая (активная) конфигурация сохранится как rollback 1, а конфигурация кандидат (в которую мы внесли изменения и ввели команду commit) как rollback 0 и будет являться активной конфигурацией .В случае если необходимо произвести откат на конфигурацию до применения, то необходимо ввести #rollback 1. Надеюсь мне удалось объяснить:)
Теперь изменим максимальное количество резервных конфигураций:
root@srx# set system max-configuration-rollbacks 49
Смотрим:
root@srx# show system max-configuration-rollbacks
max-configuration-rollbacks 49;
Теперь давайте разберемся с командой max-configurations-on-flash. Этой командой назначаешь сколько сохраненных конфигураций будет находиться в разделе /config.
Установим значение 5:
root@srx# set system max-configurations-on-flash 5
Что же нам это дает?
Команда root@srx# set system max-configuration-rollbacks 49 -указывает максимальное количество резервных конфигураций, в нашем случае 49.
Команда root@srx# set system max-configurations-on-flash 5 - указывает максимальное количество резервных конфигураций, в нашем случае 5, которые будут храниться в разделе /config
При таких параметрах вы можете откатиться до 49 последних сохранений, при этом первые пять конфигураций будут сохранены в разделе /config, а остальные 44 в разделе /var/db/config. Посмотреть раздел /config можно командой:
[edit]
root@srx# run file list /config
/config:
.snap/
juniper.conf.1.gz
juniper.conf.2.gz
juniper.conf.3.gz
juniper.conf.4.gz
juniper.conf.5.gz
juniper.conf.gz
Как мы видим в разделе конфиг только пять конфигурационных файлов отката + активная конфигурация, если вы заметили нумерация начинается с нуля.
Увеличивать число максимальных резервных конфигураций до 49 вопрос спорный, с одной стороны всегда можно откатиться при ошибке, с другой стороны будем ли мы восстанавливаться до 49 копии конфигурации? И не забываем, что увеличение сохраняемых копий конфигураций приведет к увеличению использования памяти на диске.
Вступление закончено!
Рассмотрим простейшую топологию.
Думаю из рисунка все понятно.
Простейшая схема украденная из Интернета:)
Провайдер предоставляет статический ip -адрес допустим 50.60.70.80/24, в интерфейс fe-0/0/2, для этого интерфейса настроим зону Internet.
Наша локальная сеть будет иметь адрес 192.168.1.0/24, для локальной сети настроим зону LAN на интерфейс fe-0/0/3.
В порт fe-0/0/3 подключим switch второго уровня для соединения узлов компьютерной сети.
Задача:
1. Настроить Juniper в качестве DHCP сервера.
2. Раздать пользователям Интернет (nat, создать зоны и политики безопасности).
Почему такая простая топология?, а зачем все усложнять!
В других статьях используют зоны по умолчанию, это untrust и trust, в нашем случае зона untrust будет зоной Internet, а зона trust зоной LAN.
Для начала зададим интерфейсам адреса:
root@srx#set interfaces fe-0/0/2 unit 0 family inet address 50.60.70.80/24
root@srx#set interfaces fe-0/0/2 unit 0 description Rostelecom - описание провайдера
root@srx#set interfaces fe-0/0/3 unit 0 family inet address 192.168.1.1/24
root@srx#set interfaces fe-0/0/3 unit 0 description Local_network - описание сети
По умолчанию порты настроены на автоматическое согласование скорости и режима.
Настроим SRX в качестве сервера DHCP.
Создадим пул адресов 192.168.1.0/24
Для удобства при настройке перейдем на нижний уровень иерархии
с помощью команды edit:
root@srx# edit system services dhcp
[edit system services dhcp]
root@srx#set pool 192.168.1.0/24 - пул создан
Для удобства перейдем на нижний уровень иерархии
[edit system services dhcp]
root@srx#edit pool 192.168.1.0/24
[edit system services dhcp pool 192.168.1.0/24]
root@srx#
Укажем диапазон адресов с 192.168.1.10 по 192.168.1.254
[edit system services dhcp pool 192.168.1.0/24]
root@srx#set address-range low 192.168.1.10 high 192.168.1.154
Для исключения определенных адресов из диапазона введем команду exclude-address. Допустим нам необходимо исключить адрес 192.168.1.20:
[edit system services dhcp pool 192.168.1.0/24]
root@srx#set exclude-address 192.168.1.20
Дальше назначим какие сетевые настройки Juniper будет автоматически назначать клиентам(узлам) в локальной сети:
[edit system services dhcp pool 192.168.1.0/24]
root@srx#set domain-name mydomain.com
[edit system services dhcp pool 192.168.1.0/24]
root@srx#set name-server 192.168.1.50 - корпоративный DNS
Или глобальный DNS:
[edit system services dhcp pool 192.168.1.0/24]
root@srx#set name-server 8.8.8.8 - глобальный DNS
[edit system services dhcp pool 192.168.1.0/24]
root@srx#set wins-server 192.168.1.50 - корпоративный сервер сопоставления NetBIOS имен с ip-адресами узлов.
[edit system services dhcp pool 192.168.1.0/24]
root@srx#set router 192.168.1.1 - шлюз
Время аренды адресов (в секундах) назначается командой:
[edit system services dhcp pool 192.168.1.0/24]
root@srx#set default-lease-time1209600 - 14 дней
Еще одна полезная команда, которая фиксирует ip-адрес к MAC-адресу узла, т.е. узлу будет автоматически назначаться фиксированный ip-адрес, допустим 192.168.1.15:
root@srx#set system services dhcp static-binding 01:03:05:07:09:0B fixed-address 192.168.1.15
IP- адреса для интерфейсов настроены, DHCP сервер настроен.
Укажем статический маршрут (шлюз) для выхода в Интернет:
root@srx#set routing-options static route 0.0.0.0/0 next-hop 50.60.70.1 – где 50.60.70.1 шлюз провайдера, читается так, чтобы попасть на любой адрес 0.0.0.0 с маской /0, необходимо пройти через адрес 50.60.70.1
Следующим шагом настроим зоны безопасности для интерфейсов fe-0/0/2 и fe-0/0/3, в стартовом конфиге рекомендую разрешить весь трафик, это позволит проверить правильность настроек.
Создадим зону Internet для интерфейса fe-0/0/2 и разрешим весь трафик:
root@srx# set zones security-zone Internet
root@srx# set zones security-zone Internet host-inbound-traffic system-services all
root@srx# set zones security-zone Internet host-inbound-traffic protocols all
root@srx# set zones security-zone Internet interfaces fe-0/0/2
Создадим зону LAN для интерфейса fe-0/0/3 и разрешим весь трафик:
root@srx# set zones security-zone LAN
root@srx# set zones security-zone LAN host-inbound-traffic system-services all
root@srx# set zones security-zone LAN host-inbound-traffic protocols all
root@srx# set zones security-zone LAN interfaces fe-0/0/3
При такой конфигурации разрешены все сервисы и протоколы, такие настройки зон рекомендую использовать только при стартовом конфиге, в дальнейшем разрешите только то, что необходимо, например: ping, ssh, ike , и др ..
Создадим политику для зоны LAN, разрешим весь трафик из зоны LAN в зону Internet:
root@srx# set security policies from-zone LAN to-zone Internet policy LAN-to-Internet match source-address 192.168.1.0/24
root@srx# set security policies from-zone LAN to-zone Internet policy LAN-to-Internet match destination-address any
root@srx# set security policies from-zone LAN to-zone Internet policy LAN-to-Internet match application any
root@srx# set security policies from-zone LAN to-zone Internet policy LAN-to-Internet then permit
Немного о зонах и политиках.
Команда host-inbound-traffic, в настройках зоны, позволяет задать принятие двух различных типов трафика на сам Juniper, это system-services и protocols, т.е. это трафик который обращается непосредственно к самому устройству и на нем заканчивается. К системным службам относится ping, ssh, telnet, DHCP и др. К протоколам относятся протоколы маршрутизации или другие протоколы, используемые для обмена данными с другими сетевыми устройствами (RIP, OSFP и др.).
Политика, предназначена для транзитных перевозок (трафика), допустим из зоны локальной сети в зону Интернет, и описывается в виде перехода от одной зоны в другую.
Остался NAT, название набора правил может быть любое, для простоты обозначим как LAN-to-Internet:
root@srx# set security nat source rule-set LAN-to-Internet from zone LAN
root@srx# set security nat source rule-set LAN-to-Internet to zone Internet
root@srx# set security nat source rule-set LAN-to-Internet rule nat match source-address 192.168.1.0/24
root@srx# set security nat source rule-set LAN-to-Internet rule nat match destination-address 0.0.0.0/0
root@srx# set security nat source rule-set LAN-to-Internet rule nat then source-nat interface
Теперь пользователи могут полноценно работать в глобальной сети.
Коллеги, данная статья будет редактироваться в процессе познания Juniper. Если имеются замечания по конфигурации обязательно комментируйте. В дальнейшем планирую продолжить публиковать темы по настройке Juniper.
Всем спасибо за внимание!!!
