Настройка Juniper SRX 210, SRX 210h, srx240, srx240h, srx240b




Полезная ссылка: О нас и наших клиентах

 

 

Настройка Juniper SRX 210, SRX 210h, srx240, srx240h, srx240b – настройки по умолчанию


Мой друг только что одолжил мне SRX210 с модулем ADSL2/2+, поэтому я подумал о том, чтобы сбросить настройки по умолчанию сюда, прежде чем начать их менять под себя. Интересно, что JTAC рекомендуют 10.4R8.5 (выпущен 5 января 2012), но устройство прибыло с 11.1R1.0. И все равно я решил установить 11.4R1.6 и посмотреть, что из этого выйдет. Это все равно, что жить на краю пропасти, да?

Полезная ссылка: Консультация и настройка оборудования Juniper SRX

 

Используйте “show configuration | no-more" для отображения настроек, чтобы не пришлось делать это страница за страницей, и это полезно для сохранения документов в текстовых файлах. Если вы не можете понять родной синтаксис Junos, можно поставить "| display set" в конце, чтобы увидеть команды в процессе их набора.

 

show configuration | no-more  

## Last commit: 2012-01-11 02:36:28 UTC by root

version 11.1R1.10;


В разделе autoinstallation можно получить IP-адрес на первый порт ethernet, так чтобы можно было настроить устройство через веб-браузер впервые. Эта часть настроек автоматически удаляется после первой попытки внести изменения, так что вы ее больше не увидите.


system {

    autoinstallation {

        delete-upon-commit; ## Deletes [system autoinstallation] upon change/commit

        traceoptions {

            level verbose;

            flag {

                all;

            }

        }

        interfaces {

            ge-0/0/0 {

                bootp;

            }

        }

    }

Настройте DNS серверы (общедоступные из opendns.com), чтобы устройство открыло доступ к именам.

    name-server {

        208.67.222.222;

        208.67.220.220;

    }

Тем не менее под system stanza, включите SSH, Telnet, незашифрованный XNM и Интернет для управления устройством. Управление Web привязано только к интерфейсу VLAN:

    services {

        ssh;

        telnet;

        xnm-clear-text;

        web-management {

            http {

                interface vlan.0;

            }

            https {

                system-generated-certificate;

                interface vlan.0;

            }

        }

Настройте DHCP-сервер, который будет раздавать IP-адреса и шлюзы по умолчанию клиентам у vlan.0. Скопируйте параметры с ge-0/0/0 (который настроен так, чтобы получить IP-адрес автоматически из вышестоящего устройства):

        dhcp {

            router {

                192.168.1.1;

            }

            pool 192.168.1.0/24 {

                address-range low 192.168.1.2 high 192.168.1.254;

            }

            propagate-settings ge-0/0/0.0;

        }

    }

Регистрация - создайте записи размером 100 байт. Отправьте аварийные сообщения всем зарегистрированным пользователям и зарегистрируйте менее критичные (less-critical) в файл сообщений. Интерактивные ошибки регистрируются в файле с именем interactive-commands:

    syslog {

        archive size 100k files 3;

        user * {

            any emergency;

        }

        file messages {

            any critical;

            authorization info;

        }

        file interactive-commands {

            interactive-commands error;

        }

    }

Сохраните 5 последних изображений возврата (rollback) и получите лицензионные ключи от URL Juniper. Так как это новое устройство, на нем еще нет конфигурации корня аутентификации (root-authentication config):

    max-configurations-on-flash 5;

    max-configuration-rollbacks 5;

    license {

        autoupdate {

            url https://ae1.juniper.net/junos/key_retrieval;

        }

    }

    ## Warning: missing mandatory statement(s): 'root-authentication'

}

ge-0/0/0 становится "WAN" - это маршрутизированный порт, получает IP адрес с сервера DHCP:

interfaces {

    ge-0/0/0 {

        unit 0;

    }

Другие интерфейсы - это интерфейсы-коммутаторы Ethernet, все участники VLAN имеют название "VLAN-trust":

    ge-0/0/1 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-trust;

                }

            }

        }

    }

    fe-0/0/2 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-trust;

                }

            }

        }

    }

    fe-0/0/3 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-trust;

                }

            }

        }

    }

    fe-0/0/4 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-trust;

                }

            }

        }

    }

    fe-0/0/5 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-trust;

                }

            }

        }

    }

    fe-0/0/6 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-trust;

                }

            }

        }

    }

    fe-0/0/7 {

        unit 0 {

            family ethernet-switching {

                vlan {

                    members vlan-trust;

                }

            }

        }

    }

Создайте интерфейс VLAN (иногда называется Routed Virtual Interface или RVI) с IP-адресом. Отметим, что этот IP-адрес получен в качестве шлюза по умолчанию в разделе DHCP:

    vlan {

        unit 0 {

            family inet {

                address 192.168.1.1/24;

            }

        }

    }

}

Мы запускаем Old Skool связующего дерева здесь, который меня удивил - я думал Junos привязан к RSTP:

protocols {

    stp;

}

Теперь мы заходим в настройки безопасности - ниже приведены некоторые скрины по умолчанию, которые применяются для защиты устройства:

security {

    screen {

        ids-option untrust-screen {

            icmp {

                ping-death;

            }

            ip {

                source-route-option;

                tear-drop;

            }

            tcp {

                syn-flood {

                    alarm-threshold 1024;

                    attack-threshold 200;

                    source-threshold 1024;

                    destination-threshold 2048;

                    timeout 20;

                }

                land;

            }

        }

    }

Создать набор правил NAT для source-NAT из выходного сетевого 192.168.1/24. Все хосты будут переведены на адрес интерфейса ge-0/0/0:

    nat {

        source {

            rule-set trust-to-untrust {

                from zone trust;

                to zone untrust;

                rule source-nat-rule {

                    match {

                        source-address 0.0.0.0/0;

                    }

                    then {

                        source-nat {

                            interface;

                        }

                    }

                }

            }

        }

    }

Так как это устройство безопасности, нам нужны политики, чтобы заставить его хоть как-то работать - сортировать данные, полученные из зоны trust (vlan.0) в Untrust (ge-0/0/0). В политике trust нет Untrust, поэтому по умолчанию весь входящий трафик блокируется:

    policies {

        from-zone trust to-zone untrust {

            policy trust-to-untrust {

                match {

                    source-address any;

                    destination-address any;

                    application any;

                }

                then {

                    permit;

                }

            }

        }

    }

Здесь мы определяем зоны. Зона trust имеет vlan.0, и пропускает весь трафик, направлен на SRX 240 (а не через SRX) - это дает нам возможность подключиться через SSH или веб к зоне trust. Но это не действительно для зоны Untrust - разрешены только DHCP и TFTP:

    zones {

        security-zone trust {

            host-inbound-traffic {

                system-services {

                    all;

                }

                protocols {

                    all;

                }

            }

            interfaces {

                vlan.0;

            }

        }

        security-zone untrust {

            screen untrust-screen;

            interfaces {

                ge-0/0/0.0 {

                    host-inbound-traffic {

                        system-services {

                            dhcp;

                            tftp;

                        }

                    }

                }

            }

        }

    }

}

PoE включается здесь - оказывается мое устройство имеет четыре порта PoE, что является бонусом ...

poe {

    interface all;

}

Теперь мы делаем VLAN фактического уровня-2, делаем ему ID и нужно установить на него интерфейс Layer-3 vlan.0:

vlans {

    vlan-trust {

        vlan-id 3;

        l3-interface vlan.0;

    }

}

root>

И это все. Все, что я должен сделать, это использовать интерфейс ADSL. Вдохновленный полезным постом Роберта Джуриса, я хочу получить туннель для SixXS - у меня есть миллионы адресов IPv6, которые я еще не использовал.



Обновлен 12 июл 2014. Создан 02 апр 2014



  Комментарии       
Имя или Email


При указании email на него будут отправляться ответы
Как имя будет использована первая часть email до @
Сам email нигде не отображается!
Зарегистрируйтесь, чтобы писать под своим ником

____

______
Яндекс.Метрика