通信人家园

标题: [原创]JUNIPER SRX3K学习之路 [查看完整版帖子] [打印本页]

时间: 2011-11-12 13:02

作者: zacharyjs 标题: [原创]JUNIPER SRX3K学习之路

先介绍下SRX3600的配置步骤

加电后引导系统后，输入用户名和密码。由于是第一次加电，因此只能使用root用户，密码默认为空

登录后，首先是shell模式，因为JUNOS是一个在基于BSD系统上开发的，因此常用的linux命令在JUNOS的shell模式下都可以使用，包括pwd， ls， vi等

输入cli进入维护模式(operational mode),该模式下可以做一些维护操作，可以查看系统的状态、硬件的状态，电源模块的状态等。

如果让一个SRX3k完全工作，必须做一些简单的配置，这个时候需要进入配置模式(configuration mode)

在维护模式输入configure进入配置模式。

在配置模式可以进行zone, interface, address book, security policy, application,rule set, proxy-arp, NAT, chassis cluster的配置，后续再进行详细的说明

时间: 2011-11-12 13:03

作者: zacharyjs

进入配置模式后，首先需要进行root密码的配置，在这里我们使用如下命令进行配置
set system root-authentication plain-text-password

这里配置的是明文的密码，也可以根据其他选项，选择使用加密的密码，具体的用法可以使用帮助，或者使用？来看支持那些选项
例如：

# set system root-authentication ?
Possible completions:
+ apply-groups Groups from which to inherit configuration data
+ apply-groups-except Don't inherit configuration data from these groups
encrypted-password Encrypted password string
load-key-file File (URL) containing one or more ssh keys
plain-text-password Prompt for plain text password (autoencrypted)
> ssh-dsa Secure shell (ssh) DSA public key string
> ssh-rsa Secure shell (ssh) RSA public key string
#

这里需要强调的是，root密码只能用来console的配置和管理，如果需要使用远程管理博阿奎ssh或者telnet必须配置一个管理用户，因此我们使用如下命令来配置一个remote maintenance user

在下面的语句中，我们配置一个名字为admin的远程维护用户，在创建用户的时候可以选择用户所属的类，同时定义不同的权限。
set system login user admin class super-user authentication
plain-text-password

目前创建的用户支持如下的类，或者我们可以理解为系统自己定义的priviledge group
operator permissions [ clear network reset trace view ]
read-only permissions [ view ]
super-user permissions [ all ]
unauthorized permissions [ none ]

对刚才的用户进行设置密码
root@# set system root-authentication plain-text-password

完成上述配置后，必须使用commit命令提交，否则该配置不会生效。在提交之前，系统会自己进行语法的检查，如果语法没有问题，才会真正的提交，否则会提示错误。

时间: 2011-11-12 13:03

作者: zacharyjs

进行system basic configuration，包括hostname，DNS server，ntp server，out-of-band management interface, default router, interface , zone , policy等。

黑色粗字体需要自己根据实际情况进行配置：

配置hostname
set system host-name host-name

配置带外管理口
set interfaces fxp0 unit 0 family inet address address/prefix-length

配置业务接口
set interfaces ge-0/0/0 unit 0 family inet address address/prefix-length
set interfaces ge-0/0/1 unit 0 family inet address address/prefix-length

配置默认路由
set routing-options static route 0.0.0.0/0 next-hop gateway

配置zone并将interface绑定在zone上
set security zones security-zone trust interfaces ge-0/0/0
set security zones security-zone untrust interfaces ge-0/0/1

配置策略
我们在下面配置了一个让从trust到untrust都可以访问的，包括任何的程序。

set security policies from-zone trust to-zone untrust policy policy-name
match source-address any destination-address any application any
set security policies from-zone trust to-zone untrust policy policy-name
then permit

配置完毕后后，不要忘记提交
commit

这样配置才能生效

时间: 2012-6-26 11:15

作者: just_14

谢谢楼主分享！

通信人家园 (https://www.txrjy.com/)