Juniper命令
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Juniper 防火墙的MIP/VIP/DIP
Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP、VIP和DIP,这三种常用 功能主要应用于防火墙所保护服务器提供对外服务。 MIP MIP是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网IP地址,又存在若 干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器, 可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过 策略实现对服务器所提供服务进行访问控制。 VIP MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端 口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在 只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服 务的。 DIP DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下,通过防火墙由内网 对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应 用存在一定的局限性。解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一 个连续的公网IP地址池中的IP地址。特别是在当你的网络出现双链路的时候,DIP的配置更是出色。
Juniper 防火墙的策略配置
• 在Juniper设备中策略是一个重点,因为安全设备基本上都是基于策略的管理和运行,下面就Juniper的如何配置进行 简单的说明. 在Juniper防火墙中,区域是一个比较重要的感念,一般的Juniper设备都设置了Untrust,Trust和DMZ三个区域,也可 以根据实际的需要自行定义区域,比如电信行业经常的BOSS,OA区域。 具体的使用命令: netscreenisg1000->set zone id 1000 "boss" netscreenisg1000->set zone id 1001 "oa" 然后使用命令讲相关的防火墙接口加入Zone中,具体的命令:netscreenisg1000-> set interface "ethernet2/4" zone "boss" netscreenisg1000-> set interface "ethernet2/5" zone "oa" 并且在接口上配置相关的IP地址: netscreeenisg1000-> set interface ethernet2/4 ip 10.10.161.14/25 set interface ethernet2/4 route set interface ethernet2/5 ip 192.168.19.126/28 set interface ethernet2/5 nat 然后就是需要建立MIP/VIP. 比如需要建立一个MIP,私网地址10.10.81.54,公网地址10.10.161.54, 图形界面使用比较简单,比如ethernet1/1 是一个untrust区域的接口地址。 netscreeenisg1000->set policy id 22 from "Untrust" to "Trust" "Any" "MIP(10.10.161.31)" "ANY" permit log netscreeenisg1000->set policy id 19 from "Untrust" to "Trust" "Any" "MIP(10.10.161.105)" "HTTP" permit log 关于policy就写这么多,关于MIP的是使用后面会继续手写。
•
Juniper 防火墙常见命令
• Interfaces in vsys Root: Name IP Address Zone MAC VLAN State VSD mgt 172.16.70.1/24 MGT 001b.c06a.1080 - D eth1/1 192.168.19.33/28 Trust 0010.dbff.c070 - U 0 eth1/2 192.168.19.65/28 Trust 0010.dbff.c080 - U 0 eth1/3 192.168.19.49/28 Trust 0010.dbff.c090 (3) get arp netscreenisg2000-> get arp usage: 9/8192 miss: 0 always-on-dest: disabled ----------------------------------------------------------------------------------------IP Mac VR/Interface State Age Retry PakQue Sess_cnt ----------------------------------------------------------------------------------------192.168.19.161 002255e5c490 trust-vr/eth1/4 VLD 762 0 0 1373 192.168.19.46 000fe265a846 trust-vr/eth1/1 VLD 1167 0 0 56 192.168.19.62 00127fa7e351 trust-vr/eth1/3 VLD 761 0 0 395 192.168.19.30 00000c07ac02 trust-vr/red1 VLD 964 0 0 (4)get mip netscreenisg2000-> get mip Total MIPs under Root configured:78 Max:20000. -------------------------------------------------------------------------------Map IP Host IP Interface VRouter -------------------------------------------------------------------------------219.14.172.6/32 192.168.4.3 ethernet1/5 trust-vr 219.14.172.7/32 192.168.2.80 ethernet1/5 trust-vr 219.14.172.71/32 192.168.12.23 ethernet1/5 trust-vr 219.14.172.72/32 192.168.2.101 ethernet1/5 trust-vr (5)get vip netscreeisg2000-> get vip Virtual IP Interface Port Service Server/Port 219.23.178.10 ethernet3/3 9080 9080 192.168.4.5/9080(OK) 219.23.17.10 ethernet3/3 22 SSH 192.168.4.145/22(OK)
Juniper 防火墙常见命令
• (6)get memory netscreenisg2000-> get mem Memory: allocated 600969616, left 1164828224, frag 108, fail 0 (7)get performance cpu |detail netscreenisg2000-> get performance cpu Average System Utilization: 1% Last 1 minute: 2%, Last 5 minutes: 2%, Last 15 minutes: 2% netscreenisg2000-> get performance cpu detail Average System Utilization: 1% Last 60 seconds: 59: 2 58: 2 57: 2 56: 2 55: 2 54: 2 53: 2 52: 2 51: 2 50: 2 49: 2 48: 2 47: 2 46: 2 45: 2 44: 2 43: 2 42: 2 41: 2 40: 2 39: 2 38: 2 37: 2 36: 2 35: 2 34: 2 33: 2 32: 2 31: 2 30: 2 29: 2 28: 2 27: 3 26: 2 25: 2 24: 2 23: 2 22: 2 21: 2 20: 2 19: 2 18: 2 17: 2 16: 2 15: 2 14: 2 13: 2 12: 2 11: 2 10: 2 9: 2 8: 2 7: 2 6: 2 5: 2 4: 2 3: 2 2: 2 1: 2 0: 2 (8)get session netscreenisg2000-> get session alloc 9005/max 524288, alloc failed 0, mcast alloc 0, di alloc failed 0 total reserved 0, free sessions in shared pool 515283 slot 2: hw0 alloc 8630/max 1048575 id 476549/s0*,vsys 0,flag 08200400/0000/0003,policy 64,time 180, dip 2 module 0 if 10(nspflag 800801):192.168.37.8/1730->60.2.237.157/80,6,002255e5c490,sess token 4,vlan 0,tun 0,vsd 0,route 56,wsf 0 (9)get event netscreenisg2000-> get event Total event entries = 39771 Date Time Module Level Type Description 2009-06-04 08:31:22 system crit 00436 Large ICMP packet! From 210.51.16.51 to 219.23.17.9, proto 1 (zone Untrust, int ethernet3/3). Occurred 1 times. 2009-06-04 08:30:56 system crit 00436 Large ICMP packet! From 210.51.16.51 to 219.23.17.9, proto 1 (zone Untrust, int ethernet3/3). Occurred 1 times.
•
• • • • • • • • Biblioteka Baidu •
• • • •
Juniper 防火墙的管理
• 在实际的网络工程中,Juniper的防火墙产品被大量的应用在网络环境中。但是Juniper防火墙产品的配置也是大家比 较陌生的,下面就通过Juniper防火墙的使用来说明如何配置。 本次介绍的Juniper防火墙产品全部是在Juniper netscreen-ISG1000和Juniper netscreen-ISG2000中实现的.其中 Juniper netscreen-ISG1000的版本Software Version: 5.0.0r10a.4, Type: Firewall+VPN.Juniper netscreen-ISG2000 的版本Software Version: 6.0.0r4.0, Type: Firewall+VPN 1 Juniper防火墙产品的管理 对于防火墙产品的管理和配置主要有以下几个方法: (1)console 方式 Juniper防火墙和Cisco的路由器和防火墙之类的一样,初次配置需要使用console线缆进行配置,具体的参数设置和 Cisco的路由器和防火墙一致。在这里就具体的不说了。 (2)telnet或者ssh 对于使用telnet或者ssh进行管理Juniper防火墙,首先必须配置管理地址并且启用telnet或者ssh服务。在Juniper netscreen-ISG1000中默认的管理地址192.168.1.1,就可以使用telnet或者ssh工具进行远程管理。具体的使用命令 set interface ethernet1/1 manage telnet set interface ethernet1/1 manage ssh 比如;telnet 192.168.1.1 在Juniper netscreen-ISG2000中的默认地址为172.16.70.1/24 ,建议使用命令行进行修改。 set interface mgt ip 192.168.1.1/24 set interface mgt manage telnet, set interface mgt manage ssh, set interface mgt manage web (3)web方式管理 web方式管理和使用telnet或者ssh一样,首先要配置管理地址和启用web服务。 具体的命令为: set interface ethernet1/1 ip 192.168.193.33/28 set interface ethernet1/1 manage web 然后使用http://192.168.193.33来进行管理。
•
• •
• •
Juniper 防火墙常见命令
• 常见的命令 (1)get system netscreenisg2000-> get system Product Name: NetScreen-2000 Serial Number: XXXXXXXX, Control Number: 00000000 Hardware Version: 3010(0)-(04), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0) Software Version: 6.0.0r4.0, Type: Firewall+VPN OS Loader Version: 1.1.5 Compiled by build_master at: Fri Jan 11 14:27:42 PST 2008 Base Mac: 001b.c06a.1080 File Name: default (nsISG2000.6.0.0r4.0), Checksum: 1e5d880f , Total Memory: 2048MB Date 06/04/2009 08:28:24, Daylight Saving Time disabled The Network Time Protocol is Disabled Up 805 hours 29 minutes 18 seconds Since 01May2009:18:59:06 Total Device Resets: 0 (2) get interface netscreenisg2000-> get interface A - Active, I - Inactive, U - Up, D - Down, R - Ready
Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现,包括:MIP、VIP和DIP,这三种常用 功能主要应用于防火墙所保护服务器提供对外服务。 MIP MIP是“一对一”的双向地址翻译(转换)过程。通常的情况是:当你有若干个公网IP地址,又存在若 干的对外提供网络服务的服务器(服务器使用私有IP地址),为了实现互联网用户访问这些服务器, 可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过 策略实现对服务器所提供服务进行访问控制。 VIP MIP是一个公网IP地址对应一个私有IP地址,是一对一的映射关系;而VIP是一个公网IP地址的不同端 口(协议端口如:21、25、110等)与内部多个私有IP地址的不同服务端口的映射关系。通常应用在 只有很少的公网IP地址,却拥有多个私有IP地址的服务器,并且,这些服务器是需要对外提供各种服 务的。 DIP DIP的应用一般是在内网对外网的访问方面。当防火墙内网端口部署在NAT模式下,通过防火墙由内网 对外网的访问会自动转换为防火墙设备的外网端口IP地址,并实现对外网(互联网)的访问,这种应 用存在一定的局限性。解决这种局限性的办法就是DIP,在内部网络IP地址外出访问时,动态转换为一 个连续的公网IP地址池中的IP地址。特别是在当你的网络出现双链路的时候,DIP的配置更是出色。
Juniper 防火墙的策略配置
• 在Juniper设备中策略是一个重点,因为安全设备基本上都是基于策略的管理和运行,下面就Juniper的如何配置进行 简单的说明. 在Juniper防火墙中,区域是一个比较重要的感念,一般的Juniper设备都设置了Untrust,Trust和DMZ三个区域,也可 以根据实际的需要自行定义区域,比如电信行业经常的BOSS,OA区域。 具体的使用命令: netscreenisg1000->set zone id 1000 "boss" netscreenisg1000->set zone id 1001 "oa" 然后使用命令讲相关的防火墙接口加入Zone中,具体的命令:netscreenisg1000-> set interface "ethernet2/4" zone "boss" netscreenisg1000-> set interface "ethernet2/5" zone "oa" 并且在接口上配置相关的IP地址: netscreeenisg1000-> set interface ethernet2/4 ip 10.10.161.14/25 set interface ethernet2/4 route set interface ethernet2/5 ip 192.168.19.126/28 set interface ethernet2/5 nat 然后就是需要建立MIP/VIP. 比如需要建立一个MIP,私网地址10.10.81.54,公网地址10.10.161.54, 图形界面使用比较简单,比如ethernet1/1 是一个untrust区域的接口地址。 netscreeenisg1000->set policy id 22 from "Untrust" to "Trust" "Any" "MIP(10.10.161.31)" "ANY" permit log netscreeenisg1000->set policy id 19 from "Untrust" to "Trust" "Any" "MIP(10.10.161.105)" "HTTP" permit log 关于policy就写这么多,关于MIP的是使用后面会继续手写。
•
Juniper 防火墙常见命令
• Interfaces in vsys Root: Name IP Address Zone MAC VLAN State VSD mgt 172.16.70.1/24 MGT 001b.c06a.1080 - D eth1/1 192.168.19.33/28 Trust 0010.dbff.c070 - U 0 eth1/2 192.168.19.65/28 Trust 0010.dbff.c080 - U 0 eth1/3 192.168.19.49/28 Trust 0010.dbff.c090 (3) get arp netscreenisg2000-> get arp usage: 9/8192 miss: 0 always-on-dest: disabled ----------------------------------------------------------------------------------------IP Mac VR/Interface State Age Retry PakQue Sess_cnt ----------------------------------------------------------------------------------------192.168.19.161 002255e5c490 trust-vr/eth1/4 VLD 762 0 0 1373 192.168.19.46 000fe265a846 trust-vr/eth1/1 VLD 1167 0 0 56 192.168.19.62 00127fa7e351 trust-vr/eth1/3 VLD 761 0 0 395 192.168.19.30 00000c07ac02 trust-vr/red1 VLD 964 0 0 (4)get mip netscreenisg2000-> get mip Total MIPs under Root configured:78 Max:20000. -------------------------------------------------------------------------------Map IP Host IP Interface VRouter -------------------------------------------------------------------------------219.14.172.6/32 192.168.4.3 ethernet1/5 trust-vr 219.14.172.7/32 192.168.2.80 ethernet1/5 trust-vr 219.14.172.71/32 192.168.12.23 ethernet1/5 trust-vr 219.14.172.72/32 192.168.2.101 ethernet1/5 trust-vr (5)get vip netscreeisg2000-> get vip Virtual IP Interface Port Service Server/Port 219.23.178.10 ethernet3/3 9080 9080 192.168.4.5/9080(OK) 219.23.17.10 ethernet3/3 22 SSH 192.168.4.145/22(OK)
Juniper 防火墙常见命令
• (6)get memory netscreenisg2000-> get mem Memory: allocated 600969616, left 1164828224, frag 108, fail 0 (7)get performance cpu |detail netscreenisg2000-> get performance cpu Average System Utilization: 1% Last 1 minute: 2%, Last 5 minutes: 2%, Last 15 minutes: 2% netscreenisg2000-> get performance cpu detail Average System Utilization: 1% Last 60 seconds: 59: 2 58: 2 57: 2 56: 2 55: 2 54: 2 53: 2 52: 2 51: 2 50: 2 49: 2 48: 2 47: 2 46: 2 45: 2 44: 2 43: 2 42: 2 41: 2 40: 2 39: 2 38: 2 37: 2 36: 2 35: 2 34: 2 33: 2 32: 2 31: 2 30: 2 29: 2 28: 2 27: 3 26: 2 25: 2 24: 2 23: 2 22: 2 21: 2 20: 2 19: 2 18: 2 17: 2 16: 2 15: 2 14: 2 13: 2 12: 2 11: 2 10: 2 9: 2 8: 2 7: 2 6: 2 5: 2 4: 2 3: 2 2: 2 1: 2 0: 2 (8)get session netscreenisg2000-> get session alloc 9005/max 524288, alloc failed 0, mcast alloc 0, di alloc failed 0 total reserved 0, free sessions in shared pool 515283 slot 2: hw0 alloc 8630/max 1048575 id 476549/s0*,vsys 0,flag 08200400/0000/0003,policy 64,time 180, dip 2 module 0 if 10(nspflag 800801):192.168.37.8/1730->60.2.237.157/80,6,002255e5c490,sess token 4,vlan 0,tun 0,vsd 0,route 56,wsf 0 (9)get event netscreenisg2000-> get event Total event entries = 39771 Date Time Module Level Type Description 2009-06-04 08:31:22 system crit 00436 Large ICMP packet! From 210.51.16.51 to 219.23.17.9, proto 1 (zone Untrust, int ethernet3/3). Occurred 1 times. 2009-06-04 08:30:56 system crit 00436 Large ICMP packet! From 210.51.16.51 to 219.23.17.9, proto 1 (zone Untrust, int ethernet3/3). Occurred 1 times.
•
• • • • • • • • Biblioteka Baidu •
• • • •
Juniper 防火墙的管理
• 在实际的网络工程中,Juniper的防火墙产品被大量的应用在网络环境中。但是Juniper防火墙产品的配置也是大家比 较陌生的,下面就通过Juniper防火墙的使用来说明如何配置。 本次介绍的Juniper防火墙产品全部是在Juniper netscreen-ISG1000和Juniper netscreen-ISG2000中实现的.其中 Juniper netscreen-ISG1000的版本Software Version: 5.0.0r10a.4, Type: Firewall+VPN.Juniper netscreen-ISG2000 的版本Software Version: 6.0.0r4.0, Type: Firewall+VPN 1 Juniper防火墙产品的管理 对于防火墙产品的管理和配置主要有以下几个方法: (1)console 方式 Juniper防火墙和Cisco的路由器和防火墙之类的一样,初次配置需要使用console线缆进行配置,具体的参数设置和 Cisco的路由器和防火墙一致。在这里就具体的不说了。 (2)telnet或者ssh 对于使用telnet或者ssh进行管理Juniper防火墙,首先必须配置管理地址并且启用telnet或者ssh服务。在Juniper netscreen-ISG1000中默认的管理地址192.168.1.1,就可以使用telnet或者ssh工具进行远程管理。具体的使用命令 set interface ethernet1/1 manage telnet set interface ethernet1/1 manage ssh 比如;telnet 192.168.1.1 在Juniper netscreen-ISG2000中的默认地址为172.16.70.1/24 ,建议使用命令行进行修改。 set interface mgt ip 192.168.1.1/24 set interface mgt manage telnet, set interface mgt manage ssh, set interface mgt manage web (3)web方式管理 web方式管理和使用telnet或者ssh一样,首先要配置管理地址和启用web服务。 具体的命令为: set interface ethernet1/1 ip 192.168.193.33/28 set interface ethernet1/1 manage web 然后使用http://192.168.193.33来进行管理。
•
• •
• •
Juniper 防火墙常见命令
• 常见的命令 (1)get system netscreenisg2000-> get system Product Name: NetScreen-2000 Serial Number: XXXXXXXX, Control Number: 00000000 Hardware Version: 3010(0)-(04), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0) Software Version: 6.0.0r4.0, Type: Firewall+VPN OS Loader Version: 1.1.5 Compiled by build_master at: Fri Jan 11 14:27:42 PST 2008 Base Mac: 001b.c06a.1080 File Name: default (nsISG2000.6.0.0r4.0), Checksum: 1e5d880f , Total Memory: 2048MB Date 06/04/2009 08:28:24, Daylight Saving Time disabled The Network Time Protocol is Disabled Up 805 hours 29 minutes 18 seconds Since 01May2009:18:59:06 Total Device Resets: 0 (2) get interface netscreenisg2000-> get interface A - Active, I - Inactive, U - Up, D - Down, R - Ready