Juniper防火墙日常维护手册
Juniper防火墙标准配置模板和日常维护建议
的阈值为5 ,降低误报的可能性 + set nsrp monitor track-ip ip x.x.x.x method arp #x.x.x.x是本地设备地址,用
+ set interface “interface name” ip x.x.x.x/xx + set interface “interface name” manage-ip
x.x.x.y#区分NSRP主备机上的Syslog或SNMP或 NTP或Telnet 或Track-ip等管理流量的源IP所必 须具备的前提 + set interface redundant1 primary ethernet2/1 # 如果配置了redundant端口则指定主用端口
Zone配置的特例
+ #如果要求带外管理zone和数据通讯zone进行 路由隔离(企业规范要求或地址冲突等原因), 则分别使用不同的路由表,进行路由隔离, 一般情况不要如此配置,会增加维护复杂性
+ set zone “MGT” vrouter “trust-vr” “#带外管理 zone使用trust-vr路由表
arp方法检查,y.y.y.y是远端设备地址,用ping方法检查 + set nsrp monitor track-ip ip x.x.x.x weight 150 + set nsrp monitor track-ip ip y.y.y.y threshold 5 #要求同时设置两个以上的
Syslog配置
+ set syslog config “x.x.x.x“#设置syslog服务器 地址
Juniper防火墙日常维护手册
防火墙维护手册目录1.日常维护内容................................................................ 错误!未指定书签。
1.1.配置主机名................................................................ 错误!未指定书签。
1.2.接口配置.................................................................... 错误!未指定书签。
1.3.路由配置.................................................................... 错误!未指定书签。
1.4.高可用性配置(双机配置).................................... 错误!未指定书签。
1.5.配置(通过图形界面配置).................................... 错误!未指定书签。
1.6.配置访问策略(通过图形界面配置).................... 错误!未指定书签。
2.的管理............................................................................ 错误!未指定书签。
2.1.访问方式.................................................................... 错误!未指定书签。
2.2.用户............................................................................ 错误!未指定书签。
2.3.日志............................................................................ 错误!未指定书签。
juniper维护手册
Copyright © 2003 Juniper Networks, Inc.
Proprietary and Confidential
4
3.Check the system temperature and components status:
show chassis environment Class Item Status Power Power Supply 0 OK Power Supply 1 OK Power Supply 2 Absent Power Supply 3 Absent Temp Intake OK FPC 0 OK FPC 1 OK Lower Power Supplies OK Upper Power Supplies OK Upper Power Supplies OK CFEB Intake OK CFEB Exhaust OK Routing Engine 0 OK Routing Engine 1 Absent Measurement
23 degrees C / 73 degrees F 25 degrees C / 77 degrees F 25 degrees C / 77 degrees F 24 degrees C / 75 degrees F 24 degrees C / 75 degrees F 24 degrees C / 75 degrees F 25 degrees C / 77 degrees F 33 degrees C / 91 degrees F 25 degrees C / 77 degrees F
Copyright © 2003 Juniper Networks, Inc.
Proprietary and Confidential
Juniper设备常用维护命令手册
目录J unip er Netw o rks目录前言5文档目的5使用人员5内容范围5假设与告诫5相关文献6设备运行状态维护命令7show chassis alarms7show chassis environment7show chassis environment pem9show chassis environment sib10show chassis environment fpc11show chassis sibs12show chassis fabric topology13show version16show chassis hardware detail16show chassis fpc19show chassis fpc detail20show chassis fpc pic-status22show chassis pic fpc-slot <fpc> pic-slot <pic>23show chassis rouging-engine24s how chassis feb (只适用于M120)26show chassis feb detail (只适用于M120)27show chassis fpc-feb-connectivity (只适用于M120)28show ntp status29端口状态维护命令30show interfaces descriptions30show interfaces terse31show interfaces diagnostics optics32show interfaces extensive34show interfaces queue40clear interfaces statistics44路由协议状态维护命令46show route <destination>46show route summary47show route <destination> exact detail49show route forwarding-table destination <destination>51show isis hostname52show isis adjacency53show isis interface54show isis database55show configuration protocol isis57show bgp summary58show bgp neighbor <neighbor-address>59show route advertising-protocol bgp <neighbor> | match62show route receive-protocol bgp <neighbor> | match62show bgp receive-protocol bgp <neighbor> all63show route protocol bgp <destination> exact detail64show route protocol bgp aspath-regex <aspath-regex>66clear bgp neighbor <neighbor >67clear bgp neighbor soft <neighbor>67clear bgp neighbor soft-inbound <neighbor>68MPLS 相关维护命令69show mpls lsp69clear mpls lsp name <name>71show mpls interface71show rsvp interface72show ldp interface73show ldp neighbor74show ldp session75show ldp database75clear ldp neighbor <neighbor>77clear ldp session <destination>77其它相关维护命令78show system storage78request chassis pic offline79request chassis pic online79request chassis fpc offline80request chassis fpc online80request chassis cb offline80request chassis cb online81request chassis sib offline81request chassis sib online81request chassis routing-engine master switch82request routing-engine login other-routing-engine82request system halt82request system reboot83request system software add83request system snapshot84故障信息收集命令85request support information85show log messages86show log chassisd86show chassis hardware detail | no-more87show pfe statistics traffic89前言文档目的本文档是瞻博网络公司(Juniper)工程师为中国科技网网络维护人员编写的维护常用命令手册使用人员本文档资料主要面向负责中国科技网的网络维护技术人员内容范围本文档包含Juniper 路由器设备软硬件状态,配置状态,连接状态,负载状态,路由协议, QoS 状态,运行状态记录情况,故障信息收集等方面的常用命令假设与告诫假设阅读本文档的技术人员拥有本文中描述的Juniper路由产品的安装和运行经验,并了解配置⃝升级和故障排除的基本程序⃝如需进一步了解Juniper 路由器操作命令和配置,请参阅下述相关英文版文献,如本文中文内容与英文版文献有抵触之处,以英文版文献描述为准相关文献[1] JUNOS 8.5 Software Document/techpubs/software/junos/junos85/index.html设备运行状态维护命令show chassis alarms命令功能:察看当前系统的告警命令举例:关键字段说明:show chassis environment命令功能:显示设备的环境信息,包括温度⃝风扇状态⃝电源状态⃝路由引擎状态等命令举例:关键字段说明:show chassis environment pem命令功能:显示电源模块的环境状态信息,包括温度⃝电压⃝电流⃝功率⃝负载等(电流和功率只适用于T-Series 路由器)命令举例:关键字段说明:show chassis environment sib 命令功能:显示交换接口板SIB 的环境状态信息,包括温度⃝电压等命令举例:关键字段说明:show chassis environment fpc命令功能:显示FPC 板的环境状态信息,包括温度⃝电压等命令举例:关键字段说明:show chassis sibs命令功能:察看SIB 板(交换接口板,即交换矩阵)的状态命令举例:关键字段说明:show chassis fabric topology 命令功能:察看交换矩阵的拓扑及状态命令举例:关键字段说明:show version命令功能:显示主机名⃝设备型号和软件版本命令举例:关键字段说明:show chassis hardware detail 命令功能:察看设备的硬件清单⃝类型⃝序列号等信息命令举例:关键字段说明:show chassis fpc命令功能:察看 FPC(Flexible PIC Concentrator)板卡的状态⃝温度⃝CPU 利用率⃝内存利用率等信息命令举例:关键字段说明:show chassis fpc detail命令功能:察看FPC 板卡的状态⃝温度⃝内存大小⃝启动时间等信息命令举例:关键字段说明:show chassis fpc pic-status命令功能:命令举例:> show chassis fpc pic-status察看 PIC (Physical Interface Card )的状态列表UptimeSlot 6 information: 88 days, 10 hours, 9 minutes, 33 secondsState OnlineTemperatureTotal CPU DRAM 33 degrees C / 91 degrees F1024 MB Total SRAMTotal SDRAM 64 MB1280 MBStart time 2008-12-19 01:12:55 CSTUptimeSlot 7 information: 88 days, 10 hours, 9 minutes, 37 secondsStateTemperature Online23 degrees C / 73 degrees F Total CPU DRAM 256 MB Total SRAMTotal SDRAM 36 MB384 MBStart timeUptime 2008-12-19 01:12:52 CST88 days, 10 hours, 9 minutes, 40 seconds关键字段说明:show chassis pic fpc-slot <fpc> pic-slot <pic> 命令功能:命令举例:关键字段说明:show chassis rouging-engine命令功能:命令举例:> show chassis routing-engineRouting Engine status:Slot 0:Current state Election priority BackupMaster (default)Temperature 37 degrees C / 98 degrees F CPU temperatureDRAM38 degrees C / 100 degrees F2048 MB察看路由引擎(RE )的状态⃝主备关系⃝温度⃝CPU 利用率⃝内存利用率⃝型号⃝启动时间等信息察看 PIC (Physical Interface Card )的类型⃝状态⃝版本⃝Online 时间等信息关键字段说明:s how chassis feb (只适用于M120)命令功能:察看M120 路由器的FEB(Forwarding Engine Board)转发引擎板的状态⃝温度⃝CPU 利用率⃝内存利用率等信息命令举例:关键字段说明:show chassis feb detail (只适用于M120)命令功能:察看M120 路由器的FEB 板的状态⃝温度⃝内存大小⃝启动时间等信息命令举例:Uptime: 96 days, 11 hours, 41 minutes, 16 seconds 关键字段说明:show chassis fpc-feb-connectivity (只适用于M120)命令功能:察看M120 路由器FPC 板与FEB 板的对应关系命令举例:关键字段说明:FPC FPC 槽位show ntp status命令功能:察看NTP(网络时钟协议)的状态命令举例:关键字段说明:端口状态维护命令show interfaces descriptions 命令功能:显示接口描述列表命令举例:关键字段说明:show interfaces terse命令功能:命令举例:显示接口概要信息ge-3/0/1.0ge-3/0/2.0 upup To 2 GE-1up up To 2 GE-1 ge-3/0/3.0 up up To 2 GE-1 ge-3/0/4.0xe-4/0/0.0upup To DNS GE-1::AS64996::BeiJingupup To CDN 10G-1::AS64569::BeiJingxe-5/0/0 up up To BJ-BJ-JA-CC-C7609-1 10GEgr-7/0/0.10 up up to_Route Exp(2006-02-24)(linyh); gr-7/0/0.20 down up to_myFreeBSD(2006-01-10)(wanglq) gr-7/0/0.40 up up To Zhong-Ying NMC-RE linyh lo0.0 up up For Global Routing关键字段说明:show interfaces diagnostics optics命令功能:察看接口光模块信息,如发光功率⃝温度⃝电流⃝电压⃝收光功率等,此命令只适用于插有SFP 或XFP 模块的接口⃝命令举例:关键字段说明:Laser rx power low warning threshold 接收光功率警告下线show interfaces extensive命令功能:察看接口的详细扩展信息命令举例:关键字段说明:7 fcDiamond102488320005000 medium-highnoneLogical interface so-2/1/0.0 (Index 82) (SNMP ifIndex 81) (Generation 148)Description: To 2 2.5G(S-16N0003CN2)Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP Protocol inet, MTU: 9178, Generation: 172, Route table: 0 Flags: Sample-inputAddresses, Flags: Is-Preferred Is-Primary Destination:Generation: 17059.43.17.28/30, Local: 59.43.17.29, Broadcast: 59.43.17.31,Protocol iso, MTU: 9178, Generation: 173, Route table: 0Flags: NoneProtocol mpls, MTU: 9166, Generation: 174, Route table: 0show interfaces queue 命令功能:察看接口的队列统计信息命令举例:关键字段说明:clear interfaces statistics 命令功能:清除接口的统计计数器命令举例:关键字段说明:all 清楚所有接口的计数器,包括queue 的计数路由协议状态维护命令show route <destination>命令功能:察看设备的路由表,及到某条目的网段的路由信息命令举例:关键字段说明:show route summary 命令功能:显示路由表的汇总信息命令举例:关键字段说明:show route <destination> exact detail命令功能:察看某条路由的详细信息命令举例:> show route 4.0.0.0/8 exactinet.0: 300581 destinations, 602857 routes (300576 active, 2 holddown, 7 hidden) + = Active Route, - = Last Active, * = Both4.0.0.0/8 *[BGP/170] 1w5d 05:26:48, MED 0, localpref 100, from 59.43.0.2AS path: 701 3356 I> to 59.43.17.58 via so-2/2/3.0[BGP/170] 02:15:26, MED 0, localpref 100, from 59.43.2.52AS path: 1299 3356 I> to 59.43.17.58 via so-2/2/3.0> show route 4.0.0.0/8 exact detail。
Juniper防火墙日常维护
Juniper防火墙日常维护手册(v 20131112)版本说明目录版本说明1目录21. 日常操作31.1 查看硬件信息31.2 查看OS信息51.3 查看CPU/SPU使用率信息61.3.1 查看CPU/SPU使用率信息61.3.2 查看每秒CPU使用率81.4 查看内存使用率111.5 SRX RE CPU使用率/内存使用率信息(仅JunOS适用)131.6 查看Session会话信息141.6.1 查看会话总数141.6.2 查看每秒新建会话数量161.6.3 查看防火墙所有会话条目191.6.4 按过滤条件查看会话201.6.5 查看会话详细内容221.6.6 保存防火墙所有会话条目231.7 查看警告日志241.8 查看事件日志—— ScreenOS251.8.1 查看所有事件日志(仅ScreenOS适用)251.8.2 按事件级别过滤查看事件日志(仅ScreenOS适用)261.8.3 按时间过滤查看事件日志(仅ScreenOS适用)271.9 查看事件日志—— JunOS271.10 查看策略流量日志281.11 查看/备份配置301.12 查看接口状态321.12.1 查看所有接口状态321.12.2 查看单一接口详情351.13 查看ARP表361.14 查看路由361.14.1 查看全部路由361.14.2 查看特定目标地址的路由381.15 查看策略381.15.1 查看所有策略381.15.2 查看单条策略的详细内容391.16 查看防火墙主备状态401.17 查看集群接口状态(仅JunOS适用)421.18 查看配置同步状态(仅ScreenOS适用)421.19 常用排错命令431.19.1 ping431.19.2 telnet451.19.3 trace route451.19.4 收集support信息471.20 按过滤条件查看各类信息482. 应急操作492.1 清除指定IP的ARP记录492.2 清除指定源IP/目的IP的会话记录492.3 关闭和开启端口502.3.1 关闭端口502.3.2 开启端口502.4 防火墙主备状态切换512.5 同步会话(仅ScreenOS适用)522.6 重启设备523. 日常维护周期策略523.1 日巡检维护建议523.2 周巡检维护建议533.3 月巡检维护建议543.4 不定期维护建议541.日常操作1.1查看硬件信息(1)ScreenOS在CLI下命令为:get chassis示例:JP1000A-> get chassisChassis Environment:Power Supply: GoodFan Status: GoodCPU Temperature: 98'F ( 37'C)Slot Information:Slot Type S/N Assembly-No Version Temperature0 System Board 0993072011000999 0066-004 F01 86'F (30'C), 87'F (31'C)4 Management 0099082011000999 0049-004 D19 98'F (37'C)5 ASIC Board 002079351g110017 0065-002 B00Marin FPGA version 9, Jupiter ASIC version 1, Fresno FPGA version 110I/O BoardSlot Type S/N Version FPGA version2 4 port miniGBIC (0x3) 0994092011000999 B02 261 4 port 10/100/1000T 38Alarm Control Information:Power failure audible alarm: disabledFan failure audible alarm: disabledLow battery audible alarm: disabledTemperature audible alarm: disabledNormal alarm temperature is 132'F (56'C)Severe alarm temperature is 150'F (66'C)(2)JunOS在CLI - 操作模式下命令为:show chassis hardware示例:syro@JP650A> show chassis hardwareHardware inventory:Item Version Part number Serial number DescriptionChassis AJ4309AA0999 SRX650Midplane REV 08 710-023875 AAAS7310System IO REV 08 710-023209 AAAS9446 SRXSME System IO Routing Engine REV 14 750-023223 AAAW4729 RE-SRXSME-SRE6 FPC 0 FPCPIC 0 4x GE Base PIC FPC 2 REV 07 750-026182 AAAS7999 FPCPIC 0 16x GE gPIM Power Supply 0 Rev 03 740-024283 TH01999 PS 645W AC Power Supply 1 Rev 03 740-024283 TH01099 PS 645W AC1.2查看OS信息(1)ScreenOS在CLI下命令为:get system示例:JP1000A-> get systemProduct Name: NetScreen-ISG1000Serial Number: 0993072011000999, Control Number: 00000000Hardware Version: 3010(0)-(04), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0), Type: Firewall+VPNCompiled by build_master at: Wed Apr 28 23:08:24 PDT 2010File Name: default (screenos_image), Checksum: de317771, Total Memory: 1024MBDate 01/01/2013 11:50:43, Daylight Saving Time disabledThe Network Time Protocol is EnabledUp 3286 hours 23 minutes 35 seconds Since 17Aug2012:13:27:08Total Device Resets: 0(2)JunOS在CLI - 操作模式下命令为:show system software示例:syro@JP650A> show system softwareInformation for junos:Comment:JUNOS Software Release []1.3查看CPU/SPU使用率信息1.3.1查看CPU/SPU使用率信息(1)ScreenOS —— CPU在CLI下命令为:get performance cpu示例:JP1000A-> get performance cpuAverage System Utilization: 1%Last 1 minute: 2%, Last 5 minutes: 2%, Last 15 minutes: 2%(2)JunOS —— SPU当SPU使用率达到60%就要引起关注,可能网络或设备有异常。
Juniper防火墙维护手册.docx
精品文档Juniper 防火墙维护手册(版本号: V1.0)运营部网络管理室目录一、 Juniper 防火墙介绍 (5)1.1、NS5000 系列 (5)1.1.1、 NS5400 (5)1.1.2、 NS5200 (5)1.2、ISG 系列 (6)1.2.1、 ISG2000 (6)1.2.2、 ISG1000 (6)1.3、SSG500 系列 (7)1.3.1 SSG550M (7)1.3.2 SSG520 (7)1.4、SSG300 系列 (8)1.4.1 SSG350M (8)1.4.2 SSG320M (8)1.5、SSG140 系列 (8)1.5.1 SSG140 (9)1.6、SSG5/20 系列 (9)1.6.1 SSG5 (9)1.6.2 SSG20 (9)二、防火墙常用配置 (10)2.1 Juniper防火墙初始化配置和操纵 (10)2.2 查看系统概要信息 (14)2.3 主菜单常用配置选项导航 (16)2.4 Configration 配置菜单 (17)2.5 Update更新系统镜像和配置文件 (18)2.5.1 更新 ScreenOS系统镜像 (18)2.5.2 更新 config file 配置文件 (19)2.6 Admin 管理 (20)2.7.1 Zone安全区227.2 Interfaces接口配置 (24)7.2.1 查看接口状态的概要信息247.2.2 设置 interface 接口的基本信息247.2.3 设置地址转换262.7.4 设置接口 Secondary IP地址342.7.5 Routing 路由设置342.8 Policy 策略设置 (37)2.8.1 查看目前策略设置372.9 创建策略 (38)2.10 对象 Object 设置 (40)2.11 策略 Policy 报告 Report (41)四、防火墙日常应用 (42)4.1、Netscreen 冗余协议( NSRP) (42)4.1.1、 NSRP 部署建议:434.1.2NSRP常用维护命令444.2、策略配置与优化( Policy ) (45)4.3、攻击防御( Screen) (46)4.4、特殊应用处理 (48)4.4.1、长连接应用处理484.4.2、不规范 TCP 应用处理494.4.3、 VOIP 应用处理49五、防火墙日常维护 (51)5.1、常规维护 (52)5.2、常规维护建议: (54)5.3 应急处理 (56)5.3.1 检查设备运行状态565.4、总结改进 (58)六、 Juniper 防火墙设备恢复处理方法 (70)6.1 设备重启动 (70)6.2 操作系统备份 (70)6.3 操作系统恢复 (70)6.4 配置文件备份 (71)6.5 配置文件恢复 (71)6.6 恢复出厂值 (72)6.7 硬件故障处理 (72)6.8 设备返修( RMA ) (72)一、 Juniper 防火墙介绍1.1 、NS5000 系列1.1.1、NS5400性能和处理能力30 Gbps 防火墙 (>12G 64byte小包) 18MPPS 2百万同时会话数15 Gbps 3DES VPN25,000 IPSec VPN 通道1.1.2、NS5200性能和处理能力10 Gbps 防火墙 (>4G 64byte小包)1百万同时会话数5 Gbps 3DES VPN25,000 IPSec VPN 通道1.2 、ISG 系列1.2.1、ISG2000性能和处理能力4 Gbps 状态监测防火墙任何大小的数据包2 Gbps 3DES和 AES IPSec VPN 任何大小数据包防火墙数据包转发性能:3 MPPS最大在线会话数: 100 万,每秒 23,000 个新会话1.2.2、ISG1000性能和处理能力2 Gbps 状态监测防火墙任何大小的数据包1 Gbps 3DES和 AES IPSec VPN 任何大小数据包防火墙数据包转发性能: 1.5 MPPS最大在线会话数: 50 万,每秒 20,000 个新会话1.3 、SSG500系列1.3.1 SSG 550M4Gbps 的 FW IMIX / 600K pps1Gbps 的 FW IMIX / 500 Mbps IPSec VPN6 个 I/O插槽–4个可插LAN口模块双电源, DC为选项, NEBS为选项12.8 万个会话, 1,000 条 VPN 隧道1.3.2 SSG 5202Gbps 的 FW / 300K pps600 Mbps 的 FW IMIX / 300 Mbps IPSEC VPN 6 个 I/O插槽–2个可插LAN口模块单一 AC或 DC电源6.4 万个会话, 500 条 VPN 隧道1.4 、SSG300系列1.4.1 SSG 350M1.2 Gbps 的 FW / 225K pps500 Mbps 的 FW IMIX / 225 Mbps IPSec VPN 5 个 I/O插槽9.6 万个会话,每秒 2.6 万会话1.4.2 SSG 320M1.2 Gbps 的 FW / 175K pps400 Mbps 的 FW IMIX / 175 Mbps IPSec VPN 3 个 I/O插槽6.4 万个会话,每秒 2 万会话1.5 、SSG140系列1.5.1 SSG 140950Mbps 的 FW/ 100K pps300 Mbps 的 Firewall IMIX / 100 Mbps IPSec VPN4 个 I/O插槽4.8 万个会话,每秒8k 会话1.6 、SSG5/20系列1.6.1 SSG 5SSG5 是一个固定规格的平台,提供160 Mbps 的状态防火墙流量和40 Mbps 的 IPSec VPN 吞吐量。
Juniper设备常规操作与维护
J u n i p e r设备常规操作与维护1.设备操作1.1.单机设备关机因为主控板上有大容量硬盘,为防止强行断电关机造成硬件故障,要求设备关机必须按照下面的步骤进行操作:1.管理终端连接console口。
) 4.1.3.单机操作系统升级操作系统软件升级必须按照下面的步骤进行操作:1.管理终端连接console口,便于升级过程中查看设备重启和软件加载状态。
2.升级前,执行下面的命令备份旧的软件及设定:>requestsystemsnapshot3.加载新的OS软件:>输入用户名密码后,通过get命令下载os,ftp>lsftp>binftp>get filename.tgzftp>lsftp>binftp>get filename.tgz2.升级前,执行下面的命令备份旧的软件及设定:>requestsystemsnapshot3.输入命令开始ISSU升级>requestsystemsoftwarein-service-upgrade filename.tgz reboot4.ISSU过程中,将先自动升级备墙,当备墙升级完成后会自动重启。
备墙重启恢复正常后,转发层面将切换到备墙;然后主防火墙开始版本升级,并重启。
在备墙恢复工作时,可通过命令确认备墙的工作状态,查看升级中是否有错误>showchassisclusterstatus>showchassisalarms>showchassisclusterstatus3.恢复原转发平面的主备关系:>requestchassisclusterfailoverredundancy-group1node0>requestchassisclusterfailoverresetredundancy-group14.在防火墙上确认是否正常恢复原有状态:>showchassisclusterstatus1.8.双机控制平面主备切换及切换后恢复SRX控制层面切换及恢复按照下面的步骤进行操作:1.检查双机状态正常后,在防火墙上执行以下命令进行转发平面主备切换:>requestchassisclusterfailoverredundancy-group0node1>requestchassisclusterfailoverresetredundancy-group02.在防火墙上确认切换是否正常:>showchassisclusterstatus2.4.备墙重启完成后确认是否正常恢复原有状态:>showchassisclusterstatus5.在主墙上commit一次做双机配置同步#commit1.10.双机模式下更换主设备SRX双机模式下更换主墙按照下面的步骤进行操作:1.在防火墙上执行以下命令进行转发平面主备切换:>requestchassisclusterfailoverredundancy-group0node1>requestchassisclusterfailoverresetredundancy-group02.在防火墙上确认切换是否正常:>showchassisclusterstatus3.在原主墙上执行命令,将主墙关机4.1.11.双机模式更换电源双机模式下更换电源按照下面的步骤进行操作:1.在防火墙上将故障电源拔出,并更换新的电源2.在防火墙上确认电源是否工作正常:>showchassishardware3.2双机模式更换故障板卡更换故障板卡请按照下面的步骤进行操作:1.如果是更换主墙的板卡,需要将转发层面切换到备墙>requestchassisclusterfailoverredundancy-group1node12.用命令将故障板卡断电后,将板卡拔出>requestchassisfpcslot0offline还原时通过命令调取ftp服务器上的文件#loadoverride.gz#commit1.13.密码修改方法密码的修改方法通过如下命令进行操作:#setsystemloginuser admin class super-user-local authenticationplain-text-password根据提示来输入两次新密码即可生效1.14.磁盘文件清理方法防火墙内有两个存储单元,一个1G的CF卡和一个SSD硬盘(SRX3000为16G的硬盘;SRX5000为40G的硬盘)。
Juniper防火墙日常维护
Juniper防火墙日常维护手册(v )版本说明目录1. 日常操作查看硬件信息(1)ScreenOS在CLI下命令为:get chassis示例:JP1000A-> get chassisChassis Environment:Power Supply: GoodFan Status: GoodCPU Temperature: 98'F ( 37'C)Slot Information:Slot Type S/N Assembly-No Version Temperature0 System Board 01000999 0066-004 F01 86'F (30'C), 87'F (31'C)4 Management 00000999 0049-004 D19 98'F (37'C)5 ASIC Board 002079351g110017 0065-002 B00Marin FPGA version 9, Jupiter ASIC version 1, Fresno FPGA version 110I/O BoardSlot Type S/N Version FPGA version2 4 port miniGBIC (0x3) 01000999 B02 261 4 port 10/100/1000T 38Alarm Control Information:Power failure audible alarm: disabledFan failure audible alarm: disabledLow battery audible alarm: disabledTemperature audible alarm: disabledNormal alarm temperature is 132'F (56'C)Severe alarm temperature is 150'F (66'C)(2)JunOS在CLI - 操作模式下命令为:show chassis hardware示例:syro@JP650A> show chassis hardwareHardware inventory:Item Version Part number Serial number DescriptionChassis AJ4309AA0999 SRX650Midplane REV 08 710-023875 AAAS7310System IO REV 08 710-023209 AAAS9446 SRXSME System IORouting Engine REV 14 750-023223 AAAW4729 RE-SRXSME-SRE6FPC 0 FPCPIC 0 4x GE Base PICFPC 2 REV 07 750-026182 AAAS7999 FPCPIC 0 16x GE gPIMPower Supply 0 Rev 03 740-024283 TH01999 PS 645W ACPower Supply 1 Rev 03 740-024283 TH01099 PS 645W AC查看OS信息(1)ScreenOS在CLI下命令为:get system示例:JP1000A-> get systemProduct Name: NetScreen-ISG1000Serial Number: 01000999, Control Number: 00000000Hardware Version: 3010(0)-(04), FPGA checksum: 00000000, VLAN1 IP Version: Type: Firewall+VPN OS Loader Version: by build_master at: Wed Apr 28 23:08:24 PDT 2010Base Mac: Name: default (screenos_image), Checksum: de317771, Total Memory: 1024MBDate 01/01/2013 11:50:43, Daylight Saving Time disabledThe Network Time Protocol is EnabledUp 3286 hours 23 minutes 35 seconds Since 17Aug2012:13:27:08Total Device Resets: 0(2)JunOS在CLI - 操作模式下命令为:show system software示例:syro@JP650A> show system softwareInformation for junos:Comment:JUNOS Software Release [ 查看CPU/SPU使用率信息查看CPU/SPU使用率信息(1)ScreenOS —— CPU在CLI下命令为:get performance cpu示例:JP1000A-> get performance cpuAverage System Utilization: 1%Last 1 minute: 2%, Last 5 minutes: 2%, Last 15 minutes: 2%(2)JunOS —— SPU当SPU使用率达到60%就要引起关注,可能网络或设备有异常。
juniper防火墙实用手册
Juniper防火墙简明实用手册(版本号:V1.0)目录1 juniper中文参考手册重点章节导读 (3)1.1 第二卷:基本原理 (3)1.1.1 第一章:ScreenOS 体系结构 (3)1.1.2 第二章:路由表和静态路由 (3)1.1.3 第三章:区段 (3)1.1.4 第四章:接口 (3)1.1.5 第五章:接口模式 (4)1.1.6 第六章:为策略构建块 (4)1.1.7 第七章:策略 (4)1.1.8 第八章:地址转换 (4)1.1.9 第十一章:系统参数 (5)1.2 第三卷:管理 (5)1.2.1 第一章:管理 (5)1.2.2 监控NetScreen 设备 (5)1.3 第八卷:高可用性 (5)1.3.1 NSRP (5)1.3.2 故障切换 (6)2 Juniper防火墙初始化配置和操纵 (7)3 查看系统概要信息 (8)4 主菜单常用配置选项导航 (9)5 Configration配置菜单 (10)5.1 Date/Time:日期和时间 (10)5.2 Update更新系统镜像和配置文件 (11)5.2.1 更新ScreenOS系统镜像 (11)5.2.2 更新config file配置文件 (12)5.3 Admin管理 (14)5.3.1 Administrators管理员账户管理 (14)5.3.2 Permitted IPs:允许哪些主机可以对防火墙进行管理 (15)6 Networks配置菜单 (16)6.1 Zone安全区 (16)6.2 Interfaces接口配置 (18)6.2.1 查看接口状态的概要信息 (18)6.2.2 设置interface接口的基本信息 (18)6.2.3 设置地址转换 (20)6.2.4 设置接口Secondary IP地址 (24)6.3 Routing路由设置 (25)6.3.1 查看防火墙路由表设置 (25)6.3.2 创建新的路由条目 (26)7 Policy策略设置 (27)7.1 查看目前策略设置 (27)7.2 创建策略 (28)8 对象Object设置 (30)9 策略Policy报告Report (32)1juniper中文参考手册重点章节导读版本:Juniper防火墙5.0中文参考手册,内容非常庞大和繁杂,其中很多介绍和功能实际应用的可能性不大,为了让大家尽快用最短的时间内掌握Juniper 防火墙的实际操作,下面简单对参考手册中的重点章节进行一个总结和概括,掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。
juniper防火墙常用维护指南
juniper防火墙常用维护指南Netscreen 防火墙日常维护指南一、综述. 3二、Netscreen防火墙日常维护. 3常规维护:. 3应急处理. 7总结改进. 8故障处理工具. 9三、Netscreen 冗余协议(NSRP). 10NSRP部署建议. 10NSRP常用维护命令. 11四、策略配置与优化(Policy). 12五、攻击防御(Screen). 13五、特殊应用处理. 15长连接应用处理. 15不规范TCP应用处理. 16VOIP应用处理. 16附录:JUNIPER防火墙Case信息表. 17一、综述防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。
NetScreen防火墙提供了丰富的冗余保护机制和故障诊断、排查方法,通过日常管理维护可以使防火墙运行在可靠状态,在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。
本文对Netscreen防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。
二、Netscreen防火墙日常维护围绕防火墙可靠运行和出现故障时能够快速恢复为目标,Netscreen防火墙维护主要思路为:通过积极主动的日常维护将故障隐患消除在萌芽状态;故障发生时,使用恰当的诊断机制和有效的故障排查方法及时恢复网络运行;故障处理后及时进行总结与改进避免故障再次发生。
常规维护:在防火墙的日常维护中,通过对防火墙进行健康检查,能够实时了解Netscreen防火墙运行状况,检测相关告警信息,提前发现并消除网络异常和潜在故障隐患,以确保设备始终处于正常工作状态。
1、日常维护过程中,需要重点检查以下几个关键信息:Session:如已使用的Session数达到或接近系统最大值,将导致新Session不能及时建立连接,此时已经建立Session的通讯虽不会造成影响;但仅当现有session连接拆除后,释放出来的Session资源才可供新建连接使用。
Juniper日常操作手册
Juniper防火墙日常工作手册深圳市奥怡轩实业有限公司SZ Net Security Co., Ltd2010年01月页脚内容1目录1、ISG1000操作指南 (3)2、IC4000操作指南 (13)3、总结 (23)页脚内容2ISG1000操作指南一、ISG1000概述JUNIPER公司的ISG1000是全面集成的防火墙/VPN系统的高端网络设备,它是面向大型企业、数据中心和运营商网络的理想解决方案。
最多并发会话数:500000每秒新建会话数:20000最多安全策略数:1000如图(1):二、ISG1000操作1、登陆方式一般有三种登陆方式:CONSOLE、HTTP、MGT,用得较多也比较方便的方式是HTTP方式,下面我们具页脚内容3体介绍HTTP登陆方式。
2、HTTP登陆方式设备出厂默认设置是192.168.1.1/24,用HTTP登陆如下图(2):4、操作界面输入用户名和密码后我们经进入图(3)操作界面页脚内容4左边是主配置菜单。
右边最上方是系统启动以及时间信息,右上角显示主机名。
Device information:设备信息,显示设备硬软件版本、序列号以及主机名。
Interface link status:接口链路状态,显示接口所属区和链路UP/DOWN信息。
Resources Status:资源状况,显示系统CPU和内存使用率以及目前的会话和策略是系统满负荷的比例。
(其中注意内存使用率是不真实的,在系统空负荷的情况下内存占用率也会很高,是系统本身设计的问题)。
The most recent alarms:系统最近的报警信息The most recent events:系统最近的通告信息从这个界面我们可以看出防火墙的运行情况,并通过Resources Status:资源状况,可以计算出我们所需要的CPU使用率、内存使用率、对话连接数使用率。
5、主菜单配置在图3的左边是主菜单,分别由如下选项homeConfiguration:Date/Time;Update;Admin;Auth;Report SettingsNetwork:Zones;Interfaces;Routing;NSRPSecurity页脚内容5Policy: PoliciesVPNSObjects:Addresses;ServicesReports:Systems LogWizardsHelp其实只要掌握Configuration、Network 、Policey、Reports这几个就能够应付我们日常的维护和管理了。
Juniper路由器操作及维护手册
Juniper路由器操作及维护手册Juniper路由器操作及维护手册1.简介1.1 路由器概述1.2 本手册目的1.3 免责声明2.路由器基础知识2.1 路由器工作原理2.2 网络拓扑结构2.3 路由器的功能和特性3.路由器操作3.1 登录路由器3.2 接口配置3.3 静态路由配置3.4 动态路由配置3.5 ARP管理3.6 VLAN配置3.7 ACL配置3.8 VPN配置4.路由器维护4.1 硬件维护①清理设备②更换硬件组件4.2 软件维护①系统升级②配置备份与恢复4.3 故障排除①日志查看②路由器诊断工具③常见故障解决方法5.附件5.1 路由器配置示例5.2 路由器硬件规格6.法律名词及注释6.1 路由器:网络设备,用于在多个网络之间转发数据包。
6.2 VLAN:虚拟局域网,将多个物理局域网划分为多个逻辑上的局域网。
6.3 ACL:访问控制列表,用于控制网络流量的进出。
6.4 VPN:虚拟专用网,通过公共网络建立安全的连接,提供私密性和认证。
【附件】路由器配置示例:接口配置示例:接口名称:eth0/0IP地质.192.16①子网掩码.255.255.255.0默认网关.192.16②54静态路由配置示例:目标网络.192.168.2.0/24下一跳.192.16②动态路由配置示例:路由协议:OSPF区域:0.0.0.0网络.192.168.1.0/24【法律名词及注释】1.路由器:根据 IP 地质和端口号决定数据包的转发路径的网络设备。
2.VLAN:为了减少网络堆积和保证网络安全性,采用的一种网络分割技术。
3.ACL:通过配置路由器或交换机的端口,限制网络上的数据流,以保证网络能够正常运行并提供安全保护。
4.VPN:利用非专用的公共网络构建一个安全的、可靠的通信链路,实现远程办公和远程联网。
Juniper netscreen 防火墙培训维护篇
Proprietary and Confidential
‹#›
常规维护
1. 日常维护过程中,需要重点检查以下几条关键信息 日常维护过程中,
① Session(会话):当Session资源正常使用到85%时, 需要考虑设备容量限制并及时升级。 ② CPU:正常在50%以下,如果CPU利用率过高,应高 度重视,应检查Session使用情况和各类告警信息,并 检查网络中是否存在攻击流量。通常情况下CPU利用 率过高往往与攻击有关,可通过正确设置screening对 应选项进行防范。 ③ Memory:采取“预分配”机制,空载时使用率约5060%,流量不端增长,内存基本不变,如果出现使用 率高达90%,检查是否有攻击流量。是否开启DEBUG
Copyright © 2008 Juniper Networks, Inc.
Proprietary and Confidential
‹#›
攻击防护
• Netscreen防火墙利用Screening功能抵御互联网上流行 的DoS/DDoS的攻击,一些流行的攻击手法有Synflood, Udpflood,Smurf,Ping of Death,Land Attack等, 防 火墙在抵御这些攻击时,通过专用ASIC芯片来进行处理, 适当开启这些抗攻击选项对防火墙的性能不会产生太大 影响。
Copyright © 2008 Juniper Networks, Inc.
Proprietary and Confidential
‹#›
应急处理流程
1. 检查设备运行状态
• 网络出现故障时,应快速判断防速查看CPU、Memory、 Session、Interface以及告警信息,初步排除防火墙硬件 故障并判断是否存在攻击行为。
Juniper防火墙标准配置模板和日常维护建议v5
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
‹#›
Syslog配置 配置
set syslog config “x.x.x.x“#设置 设置syslog服务器地 设置 服务器地 址 set syslog config “x.x.x.x” facilities local7 local0#指定 local0#指定alarm level(emergency、alert、 指定alarm level(emergency、alert、 critical)的日志送到 )的日志送到local7,event level(error、 , ( 、 warning、notification、information、debug) 、 、 、 ) 的日志送到local0,具体 值请和syslog管理员 的日志送到 ,具体local值请和 值请和 管理员 协商 set syslog enable#启用 启用syslog服务 启用 服务
Copyright © 2007 Juniper Networks, Inc.
Proprietary and Confidential
‹#›
flow配置 配置
• set flow syn-proxy syn-cookie#仅适用于 仅适用于0S5.4以上版本 仅适用于 以上版本 • unset flow tcp-syn-check#不做 不做TCP syn检查,如果是新增防火墙,则建议启用 检查, 不做 检查 如果是新增防火墙, 以提高安全性,但是启用NAT时则一定会做 时则一定会做syn检查 以提高安全性,但是启用 时则一定会做 检查 • set flow no-tcp-seq-check#不做 不做TCP序列号检查 不做 序列号检查 • 可以通过 可以通过get flow来确认结果: 来确认结果: 来确认结果
juniper维护手册课件
OK 24 degrees C / 75 degrees F
CFEB Intake
OK 25 degrees C / 77 degrees F
CFEB Exhaust
OK 33 degrees C / 91 degrees F
Routing Engine 0
OK 25 degrees C / 77 degrees F
up
ge-1/2/0.0
up
dsc
up
fxp0
up
fxp0.0
up
fxp1
up
…….
Link Proto Local
Remote
up
up inet 21.16.0.33/30
iso
up
up inet 21.16.0.41/30
down
down
down
down
up
பைடு நூலகம்
up inet 21.16.0.237/30
Copyright © 2003 Juniper Networks, Inc. Proprietary and Confidential
2
2.Check the system alarm message:
show chassis alarms
1 alarms currently active
Alarm time
Link flags : None
CoS queues : 4 supported, 4 maximum usable queues
Hold-times : Up 0 ms, Down 0 ms
Current address: 00:19:e2:82:c4:00, Hardware address: 00:19:e2:82:c4:00
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Juniper防火墙维护手册目录1.日常维护内容 (4)1.1.配置主机名 (4)1.2.接口配置 (4)1.3.路由配置 (5)1.4.高可用性配置(双机配置) (7)1.5.配置MIP(通过图形界面配置) (9)1.6.配置访问策略(通过图形界面配置) (11)Screen的管理 (15)2.1.访问方式 (15)2.2.用户 (18)2.3.日志 (19)2.4.性能 (20)2.5.其他常用维护命令 (22)3.其他的配置 (22)1.日常维护内容1.1.配置主机名NetScreen防火墙出厂配置的机器名为netscreen,为了便于区分设备和维护,在对防火墙进行配置前先对防火墙进行命名:Netscreen-> set hostname FW-1-MFW-1-M >1.2.接口配置配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。
接口的管理IP与接口IP在同一网段,用于专门对接口进行管理时用。
在双机的工作状态下,因为接口的地址只存在于主防火墙上,如果不配置管理IP,则不能对备用防火墙进行登录了。
一般在单机时,不需要配置接口的管理IP,但在双机时,建议对trust区域的接口配置管理IP。
接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。
注意:接口的工作模式可以工作在路由模式,NAT模式和透明模式。
在产品线应用中,透明模式很少用,而NAT模式只有在trust到untrust的数据流才起作用,建议把防火墙的所有接口都配置成route的工作模式,用命令set interface接口名 route配置即可,缺省情况下需要在trust区段中的接口使用此命令。
本例子中,配置接口ethernet2属于Untrust区,IP地址为202.38.12.23/28,如设置管理方式是Http,命令如下:Ns204 ->set interface ethernet1 zone TrustNs204 ->set interface ethernet1 ip 10.243.194.194/29Ns204 ->set interface ethernet1 natNs204 ->set interface ethernet1 zone UntrustNs204 ->set interface ethernet2 ip202.38.12.23/28Ns204 ->set interface ethernet1 nat选择接口后按 Edit 键后进入以下页面进行配置接口特性:透明模式只需要将防火墙的接口配置为V1-Untrust或V1-Trust等二层的区段,不需要配置接口的IP,设置的命令如下:FW-1-M -> set interface ethernet1/1 zone V1-UnrustFW-1-M -> set interface ethernet1/2 zone V1-Trust1.3.路由配置NetScreen防火墙有路由功能,缺省情况下,内部有Untrust-vr和Trust-vr 两个路由器,为了能与外部通讯,需要在这两个虚拟路由器上配置路由。
如果untrust-vr没有使用的话,不需要在untrust-vr上配置路由。
一般应用中,配置静态路由即可满足要求。
配置静态路由时,需要配置目的网络、下一跳及出去的接口。
透明模式的防火墙不需要设置路由信息。
本例中,在trust-vr上配置默认的路由下一跳通过Untrust接口指向网关202.38.12.17Ns204 -> set route 0.0.0.0/0 interface ethernet2 gateway 211.136.202.9 用WebUI的方式配置接口,菜单:Network->routing->routing entries按New按钮可以配置一个新的路由:1.4.高可用性配置(双机配置)NetScreen双机的基本配置步骤:1、检查双机的版本是否一致,原则上两台防火墙的版本要求相同。
如果版本不同,建议升级到相同的版本。
防火墙版本的检查命令:FW-1-M ->get systemProduct Name: NetScreen-ISG1000Serial Number: 0133102006000136, Control Number: 00000000Hardware Version: 3010(0)-(04), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)Software Version: 5.3.0r7.0, Type: Firewall+VPN2、连接HA线,把接口划分到HA 区段中。
HA线是防火墙的心跳线,ISG1000没有专门的HA接口,必须设置接口来并划分到HA区段中。
如果心跳线采用光纤则只需要设置一个HA口和一根心跳线,如果采用双绞线作为心跳线,则需要设置两个HA口和两条双胶线,HA接口之间采用交叉线相连接。
本例将Eth1/3及eth1/4设置为HA接口:FW-1-M -> set interface "ethernet1/3" zone "HA"FW-1-M ->set interface "ethernet1/4" zone "HA"3、配置cluster ID号防火墙双机也叫cluster,同一个双机的cluster号应相同。
在两台防火墙上都用命令配置成同一个cluster:GM-Web(M)->set nsrp cluster id 1则两台防火墙一台会变成FW-1-M (M),另一台会变成FW-1-B (B),(M)表示主用,(B)表示备用,(I)表示初始化。
注意:在(I)状态下,防火墙是不能正常工作的,出现此状态时一定要注意。
用WebUI方式配置双机的cluster ID,菜单:Network->NSRP->Cluster4、配置VSD组及优先级虚拟安全设备VSD组用于防火墙工作在active/active方式下,缺省情况下两台NetScreen防火墙都属于VSD组0,可以设置VSD组的优先级,优先级数值越小,则越优先。
FW-1-M (M)-> set nsrp vsd-group id 0 priority 50用WebUI的方式配置VSD组的优先级,菜单:Network->NSRP->VSD Group,选择New或Edit菜单则可。
5、配置双机同步配置成双机后,把在防火墙上新增加的配置会自动同步到另一台防火墙上:注意:在配置成双机前的防火墙上的配置不会主动同步到另一台机器上;如果在防火墙1上做配置时,防火墙2是down的,则此时在防火墙1上做的配置,是不会主动同步到另一台防火墙上的。
如果要同步这些异常情况下的配置,则需要在备机上运行相应的命令。
配置RTO,RTO相当于防火墙上的连接信息,在两台防火墙上分别配置:FW-1-M (M)-> set nsrp rto-mirror sycFW-1-B (B)-> set nsrp rto-mirror syc用WebUI的方式配置同步,菜单:Network->NSRP->Synchronization1.5.配置MIP(通过图形界面配置)1、命令行Ns204 (M)->set interface eth0/2 mip 211.136.202.19 host 10.243.194.195 netmask 255.255.255.255WebUI方式选择菜单:Network->interfaces,选择eth0/2,按Edit按钮:再选择MIP进入:选择New选项,配置一个新的MIP:1.6.配置访问策略(通过图形界面配置)通过配置访问策略来控制通过防火墙的访问,1、配置地址配置地址的对象,可以是单个IP或一个网段。
选择Objects>Addresses>Configuration ,再选择你配置源IP的安全区(或目的地址的安全区),设置单个IP:设置IP段:2、配置访问ServiceNetscreen防火墙中内置了许多的Service,如HTTP,FTP等,你可以在策略中直接选择需要访问的Service,如果你需要设置自定义的Service,可按如下步骤:进入Objects>Services>Custom>Edit,本例设置的是7001端口(用于HTTP)当然,你也可以配置地址的组,将你需要的地址放入组中,并在策略中引用组。
4、配置策略本例配置从Untrust到Trust区允许Any访问172.16.1.122服务器的HTTP_7001服务,已定义172.16.1.122地址为WebServer。
进入Policies,选择源安全区Untrust到目的安全区Trust,并点击有上角New6、配置MIP访问策略步骤与上相同,本例是从Untrust访问MIP地址202.38.12.17。
Screen的管理2.1.访问方式NetScreen防火墙支持多种的管理方式:WebUI、Telnet、console、ssh、NetScreen防火墙管理软件等。
常用的有console、WebUI和Telnet。
Console是通过直接的串口线连接防火墙,对防火墙进行管理和配置;telnet 是通过终端仿真协议登录到防火墙上的可管理地址,对防火墙进行管理和配置;WebUI是通过IE或Netscape Communicator登录到防火墙的可管理地址,对防火墙进行管理和配置。
通过串口直接登录到防火墙时,超级终端的端口配置如下:-----串行通讯9600bps-----8位-----无奇偶校验-----1停止位-----无信息流控制Telnet或console登录后的命令行界面如下:WebUI登录的界面如下:注意:如果要通过telnet或WebUI登录和管理防火墙,所登录的防火墙的接口需要打开telnet或WebUI的功能;如果防火墙的接口配置了管理IP,一般只能对接口的管理IP进行telnet或WebUI,而不能直接对接口IP地址进行telnet 或WebUI(版本不支持)。
用命令行的方式检查接口是否打开telnet或WebUI功能的方式:ns204-> get inter eth2Interface ethernet2:description ethernet2number 5, if_info 10280, if_index 0, mode routelink up, phy-link up/full-duplexvsys Root, zone Untrust, vr trust-vrdhcp client disabledPPPoE disabledadmin mtu 0, operating mtu 1500, default mtu 1500*ip 211.136.202.10/30 mac 0014.f642.d475*manage ip 211.136.202.10, mac 0014.f642.d475route-deny disablepmtu-v4 disabledping enabled, telnet enabled, SSH enabled, SNMP disabledweb enabled, ident-reset disabled, SSL disabledDNS Proxy disabled, webauth disabled, webauth-ip 0.0.0.0OSPF disabled BGP disabled RIP disabled RIPng disabled mtrace disabledPIM: not configured IGMP not configuredbandwidth: physical 100000kbps, configured egress [gbw 0kbps mbw 0kbps]configured ingress mbw 0kbps, current bw 0kbpstotal allocated gbw 0kbpsDHCP-Relay disabledDHCP-server disabledNumber of SW session: 128052, hw sess err cnt 0用WebUI的方式检查接口是否打开telnet或WebUI功能的方式:选择菜单:Network->interface选择对应接口的Edit菜单:2.2.用户NetScreen 设备支持多个管理用户级别。