Juniper爲人所熟悉的一定是從netscreen開始的,作爲一線防火牆品牌,還是有很高的地位。但是以前玩netscreen,都是用的網頁版去配置,而且網頁版做得很不錯。但是現在netscreen要開始淘汰,取而代之的是SRX系列防火牆,這個傢伙的網頁版就是個渣,沒事卡一下已經算是客氣的了,很有可能卡完以後,他就再也進不去了,必須去重啓這個進程,而且頁面邏輯性極差,所以我也開始了SRX命令配置的學習。
這裏我提幾點學習中遇到的問題(我現在還在學習中。。。)
1、資料極其少
我搜索了一下百度,發現網上流傳的幾乎就是2個PDF,並且都是簡單配置。不同網頁,就是這兩個PDF的複製黏貼大法。
2、書籍資料很難搞到
這是第二個很大的問題,我個人只買到過一本書,而且還是純英文,訂貨,將近700rmb。
3、沒有培訓機構
這個真的是太吊吊的了,作爲一個一線廠商,並且還有系統性的認證,居然會沒有培訓機構
--------------------------------------------------------------------------------------------------------------------
以上這三點,打擊了我好長時間。而且我還正好需要配置一臺Juniper,再度搜索,我發現一套明教教主錄製的SRX教學視頻,但是真的真的很基礎(比網上流傳的PDF好多了),但是也就草草配完了,也沒遇到什麼大問題。但是這始終是一個心結。通過不斷的努力和搜索,終於找到了組織,大俠唐在飛---51CTO金牌講師。這裏我不推銷啥,有需求就去上面找他的課程,一切都會好的。
--------------------------------------------------------------------------------------------------------------------
廢話說的有點多,正片開始
這一篇講的是簡單命令,我會羅列一些平時會用到的初始化啊,清空配置啊,設置ip啥的,方便加快對junos的瞭解(我這裏使用GNS3 2.0以上版本,進行模擬srx 12.1x47-d20.7,如果你的GNS3,模擬不了srx,可以給我留言,如果比較多,我就單獨出個教程)
配置模式說明:
Junos就是srx的系統名字,他是一個深度定製的linux/unix
1、root@%-----------------shell模式,這裏你可以使用一些linux的命令去做一些操作
root@% ls
.cshrc .login .profile
root@% pwd
/cf/root
root@% cat .profile
# $FreeBSD: src/etc/root/dot.profile,v 1.20 1999/08/27 23:24:09 peter Exp $
#
PATH=/sbin:/usr/sbin:/bin:/usr/bin:/opt/sbin:/opt/bin:/usr/local/bin
export PATH
HOME=/root
export HOME
TERM=${TERM:-cons25}
export TERM
怎麼樣?熟悉吧
2、root>-------本機模式,這裏就類似與cisco的特權模式,主要用來查看一些主機狀態
root@% cli =》 root>
反之用exit
3、root#--------配置模式,該模式下可以對當前設備正在運行的配置的副本,進行修改。(看清楚這句話,之後會解釋的)
root> configure =》 root#
反之用exit
--------------------------------------------------命令集錦---------------------------------------------------
1、恢復出廠配置
root> request system zeroize media
*media這個參數在模擬器上是沒有辦法配置的。
這條命令會清空除了系統os以外的所有配置,(包括日誌,許可等等)一臺新的機器或者一臺恢復了出廠設置的設備,默認用戶名爲root,沒有密碼。
2、加載出廠配置
root# load factory-default
注意模式變換:讀取出廠配置,不會刪除日誌、許可、本地文件等等,但會重置root。
3、配置ROOT密碼
第一種:root# set system root-authentication plain-text-password
這是交互式配置,你試一下就知道了
第二種:root# set system root-authentication encrypted-password ?
Possible completions:
<encrypted-password> Encrypted password string
看我打問號顯示的內容
這裏後面需要加一個參數,一個已經加密的密碼,什麼意思?
這裏後面需要跟的是已經經過MD5加密的密文(複製黏貼配置用,他不用交互)
4、覆蓋當前修改的配置副本,到運行中的配置
root# commit
我之前有一句話提到,配置模式下修改的是副本,這代表,你做的一切配置都不一定會生效,commit就是把副本覆蓋到當前配置的命令,順便說一下,srx會自動保存這些配置,並且進行編號,編號從0開始,越小時間越近
5、設置主機名
root@SRX1# set system host-name SRX1
6、查看版本
root@SRX1> show version
7、刪除當前級別下所有的配置
root@SRX1# delete
8、創建用戶
set system login user AAA uid 2001
set system login user AAA class super-user
set system login user AAA authentication plain-text-password
"$1$JjTpAOWR$Qdo4LZbv6vIH.9Lfrnmtp1"----這一段就是密文,也就是上面第二種祕密配置方法裏要填的東西
這個大家自己看下,太簡單了
------------------------------------------第一段嘗試---------------------------------------------------
上面這些如果大家實驗過,就會慢慢上手了,這裏我總結一下
set是配置命令,後面後面跟的是配置內容
set system login user AAA uid 2001
set system login user AAA class super-user
set system login user AAA authentication
plain-text-password
這裏我們就會發現前面“system login user AAA”這一段是重複的
這裏可以使用edit
[edit]
root@SRX1# edit system login user AAA
[edit system login user AAA]
root@SRX1#
發現沒有,上面那個中括號,這個其實是當前路徑,而edit可以配置的同時進入該路徑,然後就可以在當前路徑下的配置參數,這個就是junos的層級配置,試試就知道了。
--------------------------------------------------------------------------------------------------------------------
上面大家都瞭解以後,後面我就減少註釋啦
1、設置接口ip
[edit]
root@SRX1# set interfaces ge-0/0/0 unit 0 family inet address 1.1.1.2/24
這裏注意幾點
===========================================
1、unit就類似與子接口,srx是不允許直接在接口上配ip的
2、如果一個接口ip代表這個物理接口的ip,必須是unit 0
===========================================
2、替換IP
[edit]
root@SRX1# edit interfaces ge-0/0/0
[edit interfaces ge-0/0/0]
root@SRX1# replace pattern 1.1.1.2/24 with 1.1.1.3/24
自己體會一下哈
3、不啓用(配置不生效)
deactivate interfaces ge-0/0/0
可以多種多樣,自己嘗試下就會知道
4、啓用
active interfaces ge-0/0/0
5、多個端口同時設置
[edit]
root@SRX1# wildcard range set interfaces ge-0/0/[0-1,3] link-mode
full-duplex
interfaces {
ge-0/0/0 {
link-mode full-duplex;
unit 0 {
family inet {
address 1.1.1.2/24;
}
}
}
ge-0/0/1 {
link-mode full-duplex;
}
ge-0/0/3 {
link-mode full-duplex;
}
6、刪除多個
[edit]
root@SRX1# wildcard delete interfaces ge-0/0/[0-1,3]
7、保護配置
protect關鍵字
unprotect關鍵字
這兩個直接加層級就好,除非使用system zeroize media,不然在保護狀態,是幹不掉他的。
8、查看登錄情況
root@SRX1# run show system users
7:00AM up 4:04, 1 user, load averages: 0.02, 0.02, 0.00
USER TTY FROM LOGIN@ IDLE WHAT
root d0 - 2:59AM - cli
9、查看誰正在配置
root@SRX1# status
Users currently editing the configuration:
root terminal d0 (pid 1291) on since 2017-07-04 03:35:02 UTC
[edit]
10、回滾配置
root@SRX1# rollback ?
Possible completions:
<[Enter]> Execute this command
0 2017-07-04 06:34:34 UTC by root via cli
1 2017-07-04 05:48:28 UTC by root via cli
2 2017-07-04 03:37:11 UTC by root via cli
3 2017-07-04 03:32:07 UTC by root via cli
4 2017-07-04 03:29:17 UTC by root via cli
5 2017-07-04 03:27:59 UTC by root via cli
6 2017-07-04 03:25:04 UTC by root via cli
7 2017-07-04 02:56:05 UTC by root via other
| Pipe through a command
一共存多少個,可以設置
11、提交檢查(不生效)
commit check
基本就是檢查語法
12、給提交的配置打上標記
root@SRX1# commit comment TEST1
13、查看rollback
root@SRX1# run show system commit
0 2017-07-04 08:09:03 UTC by root via cli
TEST1
1 2017-07-04 06:34:34 UTC by root via cli
2 2017-07-04 05:48:28 UTC by root via cli
3 2017-07-04 03:37:11 UTC by root via cli
4 2017-07-04 03:32:07 UTC by root via cli
5 2017-07-04 03:29:17 UTC by root via cli
6 2017-07-04 03:27:59 UTC by root via cli
7 2017-07-04 03:25:04 UTC by root via cli
8 2017-07-04 02:56:05 UTC by root via other
可以看到標記
14、設置rollback數量
root@SRX1# set system max-configurations-on-rollbacks 50
root@SRX1# set system max-configurations-on-flash 100
^
Value 100 is not within range (0..49) at '100'
可以發現最多一共可以存50個
這兩條命令,其實只配第一條也是可以的,他是用來確認rollback的數量的,第二條on-flush是用來設置你有多少個配置保存在設備的config文件所屬的文件夾下,但是並不是說剩下的配置他不保存,不保存的話你怎麼恢復呢?剩下的其實是保存再var的一個目錄下,可以去官網查一下,我看有人也提問這個問題,回覆的還是很準確的。
15、查看設備時間
root@SRX1# run show system uptime
Current time: 2017-07-04 08:19:01 UTC
System booted: 2017-07-04 02:55:50 UTC (05:23:11 ago)
Protocols started: 2017-07-04 02:56:07 UTC (05:22:54 ago)
Last configured: 2017-07-04 08:09:03 UTC (00:09:58 ago) by root
8:19AM up 5:23, 1 user, load averages: 0.01, 0.00, 0.00
16、默認回退(後悔機制)
root@SRX1# commit confirmed
commit confirmed will be automatically rolled back in 10 minutes unless confirmed
commit complete
# commit confirmed will be rolled back in 10 minutes
默認是10分鐘,如果在10分鐘內沒有再commit,他就會自動回滾
17、重啓
root@SRX1> request system reboot
18、關機
root@SRX1> request system power-off