Juniper的简单配置

防火墙基本配置步骤
防火墙的基本配置分三个步骤：
1、配置接口的IP地址和接口模式。

2、配置默认路由！
3、配置允许策略，TRUST到UNTRUST的策略！
这个是接口栏的截图：单击EDIT即可进行编辑！这里需要编辑trust口和untrust口！
这是点击trust口的edit后进入的配置界面，您只要输入IP地址和掩码位即可！注意：Manage ip* 对应的空白框一定不要填入内容，截图里的是自动生成的！其他保持默认，单击下面的OK即可完成！
下图是点击untrust口的edit进入编辑，选择static ip ,填入IP地址和掩码位，这里的IP是公网IP地址，manage ip那依然保持空白，模式为route,然后在service options选项栏中，将web ui,telnet,ping；三处打勾，如图！
然后点击OK即可完成！
点击左栏的Destination选项即可出现路由界面：新建点击NEW即可！
下图为点击NEW后出现的画面：如图填入内容，ip address/netmask填入0.0.0.0/0,
Next hop处选择gateway，在interface 处的下拉菜单中选择出口，gateway ip address填入UNTRUST口IP地址的下一跳网关即可！其他默认单击OK完成！
trust,TO处选择untrust，然后点击NEW！
点击new后的配置界面，如图配置即可！source address,destination address,service三处都选择ANY，action选permit, 在logging处打勾，其他保持默认，点击OK即可！
下图为蓝影标出的这条策略就是如上图配置完成后看到的结果！。

Juniper简单入门介绍（配置端口，静态路由，配置防火墙策略）登陆Juniper设备后，需输入edit或者configuration 命令进入系统配置模式Juniper 系统自带命令和变量可按“空格”键补齐Juniper 系统“用户自定义”变量可按TAB键补齐一、配置端口Juniper配置端口是基于物理端口下的逻辑端口进行配置，例如set interfaces ge-0/0/5 unit 0 family inet address 192.168.1.1以上命令为ge-0/0/5口添加一个ip地址为192.168.1.1，其中unit为逻辑端口单元，范围0~16385，若再执行命令set interfaces ge-0/0/5 unit 1 family inet address 192.168.2.1则ge-0/0/5现在有两个ip分别为192.168.1.1和192.168.2.1以上命令也可以写成set interfaces ge-0/0/5.0 family inet address 192.168.1.1其中.0代表unit 0二、配置静态路由举例：现有网段125.39.91.240/28Juniper ge-0/0/0.0 设置ip为192.168.88.1set routing-options static route 0.0.0.0/0 next-hop 192.168.88.1其中0.0.0.0/0 表示任意目标地址，192.168.88.1为路由器直连网关。

再举例：让所有访问192.168.77.X的路由走192.168.99.1set routing-options static route 192.168.77.0/24 next-hop 192.168.99.1以上192.168.77段，掩码为24，而192.168.99.1为路由器直连网关。

三、配置zoneJunos基于zone开放防火墙策略，zone可以自己建立，建立之后再将需要的端口划到zone里。

Juniper的基本配置：root# cli#相当于cisco的enroot@>cli> configure#相当于cisco的configure terminal[edit]root@# set system host-name router1#配置路由器的名字为router1root@# set system domain-name #配置路由器所在域为root@# set interfaces fxp0 unit 0 family inet address 192.168.15.1/24#配置fxp0 unit 0的接口地址，fxp0代表管理接口，unit 0代表子接口,inet代表是ipv4地址。

root@# set system backup-router 192.168.15.2#backup-router是本路由器的直连路由器，在路由器启动的时候，#JUNOS路由软件(routing protocol process, RPD)没有立即启动，#路由器将自动生成一条到back-up router的缺省路由，当路由器启动完成后再自动删除这条路由。

root@# set system name-server 192.168.15.3#DNS的地址root@# set system root-authentication plain-text-password#设置明文密码New password:Retype password:#输入并且确认密码，要求字母和数字。

root@# commit#确认配置，在没有确认配置的时候所有配置都是不生效的！root@router1# exitroot@router1>#保存配置用save命令[edit]aviva@router1# save configuration-march02Wrote 433 lines of configuration to configuration-march02#察看保存过的文件用run file list命令aviva@router1# run file list/var/home/aviva:.ssh/configuration-march02#用保存的文件载入配置用load replace命令。

Juniper常用配置Juniper 常用配置一、基本操作1、登录设备系统初始化用户名是roo t，密码是空。

在用户模式下输入configure或者是edit可以进入配置模式。

2、设置用户名：set host-name EX4200。

3、配置模式下运行用户模式命令，则需要在命令前面加一个run，如：run show interface 。

4、在show 后面使用管道符号加上display set将其转换成set 格式命令show protocols ospf | display set 。

5、在需要让配置生效需要使用commit命令，在commit之前使用commit check来对配置进行语法检查。

如果提交之后，可以使用rollback进行回滚，rollback 1回滚上一次提前之前的配置，rollback 2则是回滚上 2 次提交之前的配置。

6、交换机重启：request system reboot7、交换机关机：request system halt二、交换机基本操作2.1 设置root密码交换机初始化用户名是root 是没有密码的，在进行commit 之前必须修改root 密码。

明文修改方式只是输入的时候是明文，在交换机中还是以密文的方式存放的。

实例：明文修改方式：lab@EX4200-1# top[edit]lab@EX4200-1# edit system[edit system]lab@EX4200-1# set root-authentication plain-text-password2.2 设置删除主机名实例：#"设置主机名为EX4200"lab@EX4200-1# edit system[edit system]lab@EX4200-1# set host-name EX4200#”删除命令”#lab@EX4200-1# edit system[edit system]lab@EX4200-1# delete host-name EX42002.3 开启Telnet登陆服务说明：在默认缺省配置下，EX 交换机只是开放了http 远程登陆方式，因此如果想通过telnet登陆到交换机上，必须在系统中打开telnet 服务。

Juniper路由器配置命令介绍Juniper路由器配置命令介绍⒈系统配置命令⑴ `set system hostname`：设置设备的主机名。

⑵ `set system domn-name`：设置设备的域名。

⑶ `set system login user`：设置设备的登录用户信息。

⒉接口配置命令⑴ `set interfaces interface-name unit logical-unit-number family inet address ip-address/subnet-mask`：配置接口的IP地址和子网掩码。

⑵ `set interfaces interface-name unit logical-unit-number family inet6 address ipv6-address/prefix-length`：配置接口的IPv6地址和前缀长度。

⑶ `set interfaces interface-name unit logical-unit-number vlan-id vlan-tagged`：配置接口的VLAN标签。

⒊路由配置命令⑴ `set routing-options static route destination next-hop`：配置静态路由。

⑵ `set protocols ospf area area-id`：配置OSPF路由协议。

⒋安全配置命令⑴ `set security zones security-zone zone-nameinterfaces interface-name`：将接口分配给安全区域。

⑵ `set security policies from-zone source-zone to-zone destination-zone policy policy-name then permit`：配置安全策略以允许数据流动。

⒌ VPN配置命令⑴ `set security ike proposal proposal-name authentication-method pre-shared-keys`：配置IKE提议的预共享密钥认证方法。

1、查看设备的硬件及引擎情况引擎数？有哪些板卡？从上信息可以得出：双引擎设备，RE0是主，RE1是备。

2、查看版本从上可看出：re0的版本是【12.3R4.6】re1的版本是【12.3R4.6】3、引擎切换4、查看当前引擎运行状态设备配置管理Juniper的配置存在2个地方：第一个：其中，juniper.conf.gz是当前的配置第二个：可以查看文件的实际配置内容：查看全局配置：或查看接口查看接口匹配信息查看路由协议信息或查看系统方面的信息查看之前的历史配置信息查看运行的文件回滚载入之前的某一个配置文件批量导入配置命令：带外管理口配置：set groups re0 interfaces fxp0 unit 0 family inet address 172.18.18.30/24set system time-zone Asia/Shanghaiset system root-authentication encrypted-password "$5$hmy2W7ar$TR/KP7qIckZ37QbfzSKJWpFW1QS70m1zAPQCsK4jth0" set system login user lab uid 2000set system login user lab class super-userset system login user lab authentication encrypted-password "$5$.Us1Dtb0$dIi5e/6/xp3IAUS/EXkntfTk3fDqESpZBNBLxrWVLHB"set system services ftpset system services sshset system services telnetset system syslog user * any emergencyset system syslog file messages any noticeset system syslog file messages authorization infoset system syslog file interactive-commands interactive-commands anyset logical-systems vr101set logical-systems vr102set interfaces ge-2/0/0 description link_to_Serv1set interfaces ge-2/0/0 unit 0 family inet address 11.1.1.1/24 deactivate interfaces ge-2/0/0 unit 0set interfaces ge-2/0/1 description link_to_Serv2set interfaces ge-2/0/1 unit 0 family inet address 11.1.2.1/24 deactivate interfaces ge-2/0/1 unit 0set routing-options static route 172.0.0.0/8 next-hop 172.18.18.254set routing-options static route 10.0.0.0/8 next-hop 172.18.18.254show configuration | display set |match traceoptionshow bgp summaryshow configuration | display set | match 100.125.154.9set protocols bgp group HZ-OOB2IN75 neighbor 100.125.154.9 export rpFW-ADCN2FW-POPshow bgp neighborshow route forwarding-tableshow configuration interfacesshow configuration policy-optionsshow configuration interfaces gr-0/0/0show configuration protocols bgpping 100.125.154.126 count 100ping 14.143.27.242 rapid count 300show configuration | display set | compare rollback 5 show version detail no-forwardingshow system core-dumps no-forwardingshow chassis alarms no-forwardingshow chassis hardware detail no-forwarding show system processes extensive no-forwarding show pfe statistics errorshow pfe statistics trafficshow chassis routing-engine no-forwarding show chassis environment no-forwarding show chassis firmware no-forwardingshow chassis fpc detailshow system boot-messages no-forwarding show system storage no-forwardingshow system virtual-memory no-forwardingshow system buffer no-forwardingshow system queues no-forwardingshow system statistics no-forwardingshow configuration | except SECRET-DATA | display omit show interfaces extensive no-forwardingshow network-access aaa statistics accountingshow route forwarding-table summaryshow ppp statistics extensiveshow accounting server statisticsshow system resource-monitor summaryshow shm-ipc statisticsshow interfaces diagnostics optics et-0/1/1。

Juniper路由器配置命令介绍Juniper路由器配置命令介绍目录1、简介2、配置基础命令2.1 进入操作模式2.2 配置系统参数2.3 设置管理接口2.4 配置路由表3、高级配置命令3.1 OSPF配置3.2 BGP配置3.3 VRF配置3.4 MPLS配置4、安全配置命令4.1 配置防火墙4.2 配置安全策略4.3 配置VPN4.4 配置ACL5、故障排查命令5.1 显示命令5.2 路由故障排查5.3 硬件故障排查5.4 访问控制故障排查6、性能优化命令6.1 接口配置6.2 QoS配置6.3 缓存配置6.4 动态路由配置1、简介Juniper路由器是一种支持多种网络协议的高性能路由器。

本文档介绍了Juniper路由器的配置命令，并根据功能分类进行了细化。

2、配置基础命令2.1 进入操作模式- login：登录路由器- cli：进入命令行操作模式- configure：进入配置操作模式2.2 配置系统参数- set system hostname <hostname>：设置路由器主机名- set system domn-name <domn-name>：设置路由器域名- set system time-zone <time-zone>：设置时区- set system name-server <ip-address>：设置DNS服务器2.3 设置管理接口- set interfaces <interface> unit <unit> family inet address <ip-address/mask>：配置管理接口的IP地质- set interfaces <interface> unit <unit> family inet address dhcp：使用DHCP分配管理接口的IP地质2.4 配置路由表- set routing-options static route <destination> next-hop <next-hop>：配置静态路由- set routing-options router-id <id>：配置路由器ID- set protocols ospf area <area> interface <interface>：配置接口与OSPF区域的关联3、高级配置命令3.1 OSPF配置- set protocols ospf area <area> interface <interface>：配置接口与OSPF区域的关联- show ospf neighbor：显示OSPF邻居信息- show ospf route：显示OSPF路由表3.2 BGP配置- set protocols bgp group <group-name> neighbor<neighbor-address>：配置BGP邻居- set protocols bgp group <group-name> family <family>：配置BGP邻居的地质族- show bgp neighbor：显示BGP邻居信息- show bgp summary：显示BGP邻居摘要信息3.3 VRF配置- set routing-instances <instance-name> interface<interface>：配置接口与VRF的关联- set routing-instances <instance-name> routing-options static route <destination> next-hop <next-hop>：配置静态路由3.4 MPLS配置- set protocols mpls interface <interface>：启用接口的MPLS功能- set protocols mpls label-switched-path <LSP-name> to <destination-address> : 配置LSP的路径4、安全配置命令4.1 配置防火墙- set security policies from-zone <from-zone> to-zone <to-zone> policy <policy-name> match <match-conditions> then permit/deny：配置安全策略4.2 配置安全策略- set security zones security-zone <zone-name> address-book address <address-name> <ip-address>：配置地质对象- set security zones security-zone <zone-name> host-inbound-traffic system-services <services>：配置允许进入防火墙的服务4.3 配置VPN- set security ike proposal <proposal-name> authentication-method <method>：配置IKE提议- set security ike gateway <gateway-name> ike-policy <policy-name>：配置IKE网关- set security ipsec vpn <vpn-name> bind-interface<interface>：绑定VPN到接口4.4 配置ACL- set firewall family inet filter <filter-name> term <term-name> from protocol <protocol>：配置ACL规则- set firewall family inet filter <filter-name> term <term-name> then accept/discard：配置ACL规则动作5、故障排查命令5.1 显示命令- show interfaces <interface> detl：显示接口详细信息- show route <destination> : 显示路由信息- show chassis hardware：显示硬件信息5.2 路由故障排查- show bgp summary：显示BGP邻居摘要信息- show ospf neighbor：显示OSPF邻居信息- show route protocol <protocol>：显示指定协议的路由5.3 硬件故障排查- show chassis hardware：显示硬件信息- show log messages：显示系统日志消息- request support information：收集支持信息文件5.4 访问控制故障排查- show security policies from-zone <from-zone> to-zone <to-zone> policy <policy-name>：显示安全策略信息- show security zones interfaces：显示接口与安全域的关联信息6、性能优化命令6.1 接口配置- set interfaces <interface> mtu <mtu-size>：设置接口MTU大小- set interfaces <interface> description <description>：设置接口描述6.2 QoS配置- set class-of-service interfaces <interface> unit<unit> scheduler-map <map-name>：为接口配置调度器映射- set class-of-service scheduler-maps <map-name> forwarding-class <forwarding-class> scheduler <scheduler-name>：配置调度器映射6.3 缓存配置- set forwarding-options cache hit-cache-size <size>：设置缓存大小- set forwarding-options cache timeout <timeout-value>：设置缓存超时时间6.4 动态路由配置- set protocols ospf area <area> interface <interface> passive：将接口设置为OSPF被动接口- set routing-instances <instance-name> interface <interface> passive：将接口设置为VRF被动接口附件：无法律名词及注释：无。

Juniper路由器配置详解第一章：Juniper路由器概述Juniper Networks是全球知名的网络设备供应商之一，其路由器产品以高性能和可靠性而闻名。

本章将介绍Juniper路由器的基本概念和架构。

首先将介绍Junos操作系统，然后探讨Juniper路由器的不同系列和型号。

第二章：Juniper路由器接口配置Juniper路由器的接口配置非常重要，它决定了如何连接路由器以及与其他设备进行通信。

本章将详细讨论接口类型、接口配置命令以及不同接口的特性和用途。

第三章：基本路由配置路由是网络中数据包传输的基础，对于Juniper路由器的配置来说非常重要。

本章将介绍如何配置静态路由和动态路由，包括OSPF和BGP等常用路由协议。

第四章：高级路由配置高级路由配置允许更复杂的路由策略和动态路由选择。

本章将讨论路由策略配置和路由过滤列表等高级路由功能，以及如何实现路由红istribution和路由聚合。

第五章：安全配置网络安全对于任何企业来说都是至关重要的。

本章将介绍如何配置Juniper路由器的安全功能，包括防火墙、虚拟私有网络（VPN）和安全策略等。

我们还将谈及如何使用Juniper安全套件提供的高级保护机制来保护网络。

第六章：QoS配置服务质量（QoS）是保证网络性能的重要因素之一。

本章将详细讨论如何使用Juniper路由器的QoS功能来管理带宽、优化流量和提供最佳用户体验。

第七章：管理配置管理配置是确保Juniper路由器正常运行的关键。

本章将讨论如何配置远程访问、系统日志和故障排除等管理功能。

我们还将介绍如何使用Junos Space网络管理平台来实现集中化管理和配置。

第八章：高可用性配置高可用性是企业网络的重要要求之一。

本章将介绍如何配置Juniper路由器的高可用性功能，包括冗余路由器、Virtual Chassis和Link Aggregation等。

我们还将讨论如何实现网络故障恢复和负载均衡。

Juniper防火墙简单配置说明Netscreen-25从左向右依次为Trust Interface、DMZ Interface、Untrust Interface、Null。

其中Trust Interface相当于HUB口，下行连接内部网络设备。

Untrust Interface相当于主机口，上行连接上公网的路由器等外部网关设备；两端口速率自适应（10M/100M）。

DMZ Interface、 Null介绍从略。

下文仅简单地以马可尼网管服务器和南瑞通信综合网管系统中一台前置机通信为例。

南瑞综合网管系统前置机地址为192.168.1.4，马可尼传输网管地址为192.168.0.32。

配置完成后，实现马可尼网管只能与192.168.1.4前置机通信，其他192.168.1.X机器都无法访问马可尼网管。

配置前的准备1.先更改控制终端(如果用自己笔记本调试自己笔记本就是控制终端)的IP地址为192.168.1.X，子网255.255.255.0控制终端通过直通网线与Trust Interface相连（也就是第一个口），用IE登录设备主页（最好用IE，其他浏览器可能会出现不兼容的状况）。

在地址栏里输入192.168.1.1。

出现下图：跳跃过初始化防火墙步骤. 选择第三行,点击next.输入缺省登陆帐号: netscreen 密码:netscreen登陆后出现主页面展开左边资源树，单击Interface后，出现下图界面。

首先配置ethernet1口（即第一个口）的IP和子网掩码。

单击上图ethernet1行中的Edit，出现下图：Netscreen-25防火墙默认第一个口为Trust区，即信任区。

选择Static IP输入ethernet1端口的配置地址192.168.1.243/24后点击Apply 后单击OK。

如果不点击OK，设备重启配置则无效。

用同样方法配置第三个口Untrust区，即非信任区。

设置IP为192.168.0.243/24设置完成后点击OK，保存设置。

1．电脑网卡配置192.168.1.2,将电脑网卡接在Juniper SSG20的0/2口在IE浏览器192.168.1.1，出现以下画面用户名:netscreen 密码: netscreen2．出现下面画面,点击”Network”“Interfaces”“list”3．点击“ethnet0/0”对应的“edit”4．配置IP地址“192.168.0.2”子网掩码”255.255.255.0”点击“ok”5．点击“bgroup0”对应的“edit”6．配置IP地址“10.132.xx.xx”(根据川庆分配的IP), 子网掩码“255.255.255.240”,然后点击“ok”7．点击“DHCP”后,出现下图, 再点击“Addresses”8．点击“new”9．输入相应的DHCP 要分配IP 地址段,然后点击“ok”10．点击“Routing”“Destination”“New”11．添加默认路由0.0.0.0,掩码0; 选择“Gateway”, 然后选择“Ethernet0/0/”, 在IP地址栏输入”192.168.0.1”, 点击”ok”12．点击“Wizards”“Route-based VPN”13. 出现以下画面, 点击“Next”14．①如果以前建过基于路由的vpn,在此处会默认出现“tunnel.1”,此时选择红色框. ②如果是没有建过基于路由的vpn则选择“Make new tunnel interface”并选择”bgroup0(trust-vr)”绿色框15．选择“LAN-to-LAN”, 点击“ok”16. 选择“Local Dynamic IP <-> Remote Static IP”,并输入本地用户名,命名为专业化公司名字拼音的第一个字母加井队号,比如西钻50556队,XC-5055617．此处输入对端设备IP 如果是电信用户输入”125.69.69.107”;如果是联通用户输入”192.168.128.2”18．选择“Compatible(56-bit encryption strength”并输入密码”123456”,点击”Next”19．“Local Host Address”输入川庆分配给井队的28位掩码的IP地址段; “Romote Host Address”输入”10.0.0.0/8”, 点击”Next”20．“Service”处选择“ANY”, 点击“Next”21．点击“Next”21．点击“Next”22．点击“Next”23．点击“Next”24．点击“VPNs”“Autokey Advanced”“Gateway”,点击“Advanced”26．将下图2个选项打勾, “Keepalive Frequency”为“5”, 点击”Return”,屏幕跳转后点击”ok”27. 点击“VPNs”“Autokey IKE”“Edit”28．点击“Advanced”29．勾选“VPN Monitor”“return”,页面跳转后点击”ok”。

juniper交换机配置一、设备启动login: rootPassword:Terminal type? [vt100] yroot%cliroot>二、设备重启user@host> request system reboot三、设置ROOT密码root# set system root-authentication plain-text-password四、将配置转换成set命令lab@EX4200# show protocols ospf | display set五、设置主机名set system host-name EX4200-1 //EX4200-1为主机名六、时间设置set system time-zone Asia/Shanghai //设置时区set date 200810301407.00 //设置时间，在用户模式下配置，YYYYMMDDhhmm.ss格式七、开启远程登录set system services telnet删除命令：delete system services telnet八、创建用户set system login user zte class super-user //添加zte用户为超级用户类别set system login user zte authentication plain-text-password //设置zte密码New password:Retype new password: set system login user zte class read-only //修改zte用户为只读用户set system login user zte class read-only //修改zte用户为只读用户delete system login user zte //删除zte用户九、vlan设置创建一个VLAN，指定VLAN名称和ID号set vlans “zte_vlan” vlan id 10将交换机端口修改为access模式加入到新创建的VLAN中set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode accessset interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 10创建3层VLAN子端口，并且将子端口和VLAN关联：set interfaces vlan unit 10 family inet address 192.168.1.1/24 set vlans vlan l3-interface vlan.10 //vlan子端口和VLAN对应起来十、trunk设置允许vlan id为10和20的VLAN通过Trunkset interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members [10 20]delete interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode trunk允许vlan id为10和20的VLAN通过Trunkset interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members [10 20]禁止VLAN通过:不允许vlan 10通过delete interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 10十一、三层端口修改修改端口为L3模式delete interfaces ge-0/0/1 unit 0 family ethernet-switching //删除端口L2参数set interfaces ge-0/0/1 unit 0 family inet //设置端口为L3模式set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.1/30 //设置端口IP地址修改端口为L2模式delete interfaces ge-0/0/1 unit 0 family inet //删除端口为L3模式参数set interfaces ge-0/0/15 unit 0 family ethernet-switching //将端口设置为L2模式十二、静态路由设置172.16.1.0/24网段指向下一跳地址192.168.1.253set routing-options static route 172.16.1.0/24 next-hop 192.168.1.253delete routing-options static route 172.16.1.0/24。

1.〉模式进入#模式：configure2.配置静态路由：>set route 10.1.10.0/24 int e1 gateway 10.1.1.2543.查看接口的配置:>get interface4.查看静态路由：>get route >get route ip 10.1.10.55.Ping 测试：>ping 10.1.10.56.Traceroute 测试：>trace 10.1.10.57.配置接口的模式（nat和route）：>set interface e1 nat8.保存：>save9.配置文件备份：>save config from flash to tftp 1.1.7.250 15june03.cfg10.配置文件恢复：>save config from tftp 1.1.3.250 15june03.cfg to flash11.IOS备份：>save software from flash to tftp 1.1.7.250 ns208image.bin12.IOS升级：>save software from tftp 1.1.7.250 newimage to flash13.透明模式的配置：A.建立2层的安全区（在没有使用缺省安全区的情况下）：>set zonename L2-Demo L2 1 // set zone name <name> L2 <vlan_tag>B.分配接口给2层安全区：>set int e3 zone L2-DemoC．为vlan1配置管理地址：>set int vlan1 manage-ip 1.1.7.100/24a．配置ＩＰ地址：>set int vlan1 ip 1.1.7.1/24ｂ．选择广播的方法：>set vlan1 broadcast floodc.配置管理服务：（允许所有的管理服务）>set int vlan1 manageD．（可选项）配置每个安全区的管理服务：>set zone v1-dmz manage webE．在不同的安全区之间配置策略：14.透明模式的检查工具：>get int>get arp ,>get mac-learn,>get session15.透明模式是一个非常灵活的防火墙部署解决方案,可以快速实现防火墙和VPN的功能，不需要修改网络结构，建立虚拟地址（NAT），就可以实现访问控制。

Juniper路由器的日常基本配置为测试OSPF路由协议，需要三个路由器，其拓扑图及接口连接情况如下：∙JUNOS1, interface em0 <-> JUNOS2, interface em0∙JUNOS1, interface em1 <-> JUNOS2, interface em1∙JUNOS1, interface em4 <-> JUNOS3, interface em4∙JUNOS2, interface em3 <-> JUNOS3, interface em3确保你的路由器是出厂初始设置(使用命令 load factory-default 可以恢复到出厂初始配置).为每个路由器配置主机名、Root密码及IP地址，为节省时间，你可以直接粘贴如下命令到Putty终端窗口的配置提示符下执行(最后不要忘记执行commit 命令):JUNOS1set system host-name JUNOS1set interfaces em0 unit 0 family inet address 172.30.25.2/30set interfaces em1 unit 0 family inet address 172.30.25.6/30set interfaces em3 unit 0 family inet address 192.168.1.1/24set interfaces em4 unit 0 family inet address 172.30.25.9/30set interfaces lo0 unit 0 family inet address 10.1.1.1/24set system root-authentication plain-text-passwordJUNOS2set system host-name JUNOS2set interfaces em0 unit 0 family inet address 172.30.25.1/30set interfaces em1 unit 0 family inet address 172.30.25.5/30set interfaces em3 unit 0 family inet address 172.30.25.13/30set interfaces lo0 unit 0 family inet address 10.2.2.2/24set system root-authentication plain-text-passwordJUNOS3set system host-name JUNOS3set interfaces lo0 unit 0 family inet address 10.3.3.3/24set interfaces em3 unit 0 family inet address 172.30.25.14/30set interfaces em4 unit 0 family inet address 172.30.25.10/30set system root-authentication plain-text-password实验1 –静态路由要求1：在JUNOS1上, 配置一个缺省静态路由(0.0.0.0/0) 到下一跳172.30.25.1.方法[edit]root@JUNOS1# set routing-options static route 0.0.0.0/0 next-hop 172.30.25.1要求2：用优先级为7添加第二条缺省静态路由到下一跳172.30.25.5 以便作为一个路由备份(浮动静态路由) 并commit.方法[edit]root@JUNOS1# set routing-options static route 0.0.0.0/0qualified-next-hop 172.30.25.5 preference 7[edit]root@JUNOS1# commitcommit complete检查一下设置的工作情况:root@JUNOS1# run show route 查看路由表inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)+ = Active Route, - = Last Active, * = Both0.0.0.0/0 *[Static/5] 00:01:54> to 172.30.25.1 via em0.0[Static/7] 00:00:13> to 172.30.25.5 via em1.0...[edit]root@JUNOS1# run ping 10.2.2.2PING 10.2.2.2 (10.2.2.2): 56 data bytes64 bytes from 10.2.2.2: icmp_seq=0 ttl=64 time=1.650 ms64 bytes from 10.2.2.2: icmp_seq=1 ttl=64 time=1.272 msroot@JUNOS2# run monitor traffic interface em0...19:33:03.526742 172.30.25.2 > 10.2.2.2: ICMP echo request, id 16648, seq 0, length 64[edit]root@JUNOS1# deactivate interfaces em0 // 暂时关闭接口em0[edit]root@JUNOS1# commitcommit complete[edit]root@JUNOS1# run ping 10.2.2.2PING 10.2.2.2 (10.2.2.2): 56 data bytes64 bytes from 10.2.2.2: icmp_seq=0 ttl=64 time=3.247 ms64 bytes from 10.2.2.2: icmp_seq=1 ttl=64 time=0.658 ms[edit]root@JUNOS2# run monitor traffic interface em1...19:35:30.376370 172.30.25.6 > 10.2.2.2:ICMP echo request, id 14090, seq 7, length 64实验 2 – OSPF路由要求：对连接路由器的所有接口与环回接口配置OSPF路由，但对连接到子网172.30.25.0/30的接口(172.30.25.1 和172.30.25.2)不形成邻接关系.SolutionJUNOS1set protocols ospf area 0.0.0.0 interface em0.0 passiveset protocols ospf area 0.0.0.0 interface em1.0set protocols ospf area 0.0.0.0 interface lo0.0set protocols ospf area 0.0.0.0 interface em3.0set protocols ospf area 0.0.0.0 interface em4.0JUNOS2set protocols ospf area 0.0.0.0 interface em0.0 passiveset protocols ospf area 0.0.0.0 interface em1.0set protocols ospf area 0.0.0.0 interface lo0.0set protocols ospf area 0.0.0.0 interface em3.0JUNOS3set protocols ospf area 0.0.0.0 interface em3.0set protocols ospf area 0.0.0.0 interface em4.0set protocols ospf area 0.0.0.0 interface lo0.0检查一下配置情况:[edit]root@JUNOS1# run show ospf neighborAddress Interface State ID Pr i Dead172.30.25.5 em1.0 Full 10.2.2.2 12 8 34172.30.25.10 em4.0 Full 10.3.3.3 12 8 32[edit]root@JUNOS2# run show ospf neighborAddress Interface State ID Pr i Dead172.30.25.6 em1.0 Full 10.1.1.1 12 8 36172.30.25.14 em3.0 Full 10.3.3.3 12 8 38[edit]root@JUNOS3# run show ospf neighborAddress Interface State ID Pr i Dead172.30.25.13 em3.0 Full 10.2.2.2 12 8 36172.30.25.9 em4.0 Full 10.1.1.1 12 8 35root@JUNOS3# run show route protocol ospf...10.1.1.1/32 *[OSPF/10] 00:04:11, metric 1...10.2.2.2/32 *[OSPF/10] 00:04:11, metric 1...192.168.1.0/24 *[OSPF/10] 00:00:02, metric 2> to 172.30.25.9 via em4.0root@JUNOS3# run traceroute 192.168.1.1traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 40 byte packets 1 192.168.1.1 (192.168.1.1) 1.611 ms 0.588 ms 1.362 ms[edit]root@JUNOS3# deactivate interfaces em4[edit]root@JUNOS3# commitcommit complete[edit]root@JUNOS3# run traceroute 192.168.1.1traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 40 byte packets1 172.30.25.13 (172.30.25.13) 2.316 ms 1.479 ms 0.882 ms2 192.168.1.1 (192.168.1.1) 1.283 ms 1.300 ms 1.129 ms最后，不要忘记再激活接口em4 并commit:[edit]root@JUNOS3# activate interfaces em4[edit]root@JUNOS3# commitcommit complete。

Juniper防火墙基本配置1.将防火墙连入网络，网线连接防火墙Trust口。

将本机ip设置在192.168.1.0的网段，注意ip地址不能是192.168.1.1。

在本机IE地址栏中输入http://192.168.1.1/来访问防火墙，就可以看到如下的登陆界面了。

设备初始设定的用户名和密码都是netscreen。

2.设置防火墙的时间。

在【Configuration－Date/Time】中，点击“Sync Clock With Client”，可以让防火墙的时间和本机的时间一致；然后点击“Apply”让设置生效。

3.设置端口地址。

在【Network－Interfaces】中，可以看到防火墙各端口的ip设置。

点击Trust 同一行的“Edit”，就可以编辑Trust口的设置。

通常都会选择静态IP，就需要设置端口的ip地址、子网掩码（允许直接输入掩码的位数），再选好端口需要开启的服务。

设置完毕后，可以点击“OK”来完成设置，也可以点击“Apply”马上应用。

点击UnTrust 同一行的“Edit”，就可以编辑UnTrust口的设置。

如果选择静态IP，就设置端口的ip地址、子网掩码（允许直接输入掩码的位数）；防火墙端口还支持DHCP获得ip地址，或者通过PPOE拨号获得IP地址（ADSL就是使用这种方式的）；再选好端口需要开启的服务。

设置完毕后，可以点击“OK”来完成设置，也可以点击“Apply”马上应用。

4.设置默认路由。

在【Network－Routing－Routing Entries】中可以看到防火墙中路由的设置情况。

红框选中的为默认路由。

手动增加默认路由的方法：在【Network－Routing－Routing Entries】中，点击“New”，进入在【Network－Routing－Routing Entries－Configration】，设置地址、网关、接口，可以参照图中所示。

5.设置策略。

Juniper路由器配置命令介绍本文档是关于Juniper路由器配置命令的介绍，旨在帮助用户快速了解和使用Juniper路由器的各种命令。

以下是文档的详细内容。

第一章：登录和基本配置1.登录Juniper路由器- 进入路由器的命令行界面- 输入用户名和密码进行登录2.基本配置命令- 配置路由器的主机名- 配置管理接口的IP地质- 设置路由器的时钟- 保存配置更改第二章：接口配置1.配置物理接口- 激活和禁用接口- 配置接口IP地质- 配置接口子网掩码- 配置接口速率和双工模式- 配置接口上的ACL（访问控制列表）2.配置逻辑接口- 配置VLAN接口- 配置子接口- 配置隧道接口第三章：路由配置1.配置静态路由- 添加静态路由- 删除静态路由- 配置默认路由- 查看路由表2.配置动态路由- 配置OSPF（开放最短路径优先）协议 - 配置BGP（边界网关协议）协议- 配置RIP（路由信息协议）协议第四章：安全配置1.配置防火墙规则- 添加入站规则- 添加出站规则- 配置地质转换（NAT）2.配置VPN- 配置IPSec VPN- 配置SSL VPN第五章：监控和故障排除1.监控命令- 查看接口状态- 查看路由器 CPU 和内存使用情况 - 查看硬盘使用情况2.故障排除命令- 执行连通性测试- 查看日志信息- 跟踪路由本文档涉及附件：附件1：Juniper路由器配置示例文件（示例配置文件，供参考使用）本文所涉及的法律名词及注释：1.ACL（访问控制列表）：用于控制网络流量的一种机制，可以限制特定源IP地质或目的IP地质的访问权限。

2.OSPF（开放最短路径优先）：一种用于动态路由选择的内部网关协议，使用最短路径优先算法确定最佳路由。

3.BGP（边界网关协议）：一种用于在互联网自治系统之间交换路由信息的外部网关协议。

4.RIP（路由信息协议）：一种用于在小型网络中交换路由信息的距离矢量路由协议。

juniper防火墙简单配置（Juniper firewall simple configuration）取消重点保护使设置时钟的时区7设置时钟DST重复启动2 0 3日02:00结束平日1 0 11 02:00vrouter信任虚拟共享设置设置“不信任vrouter VR”出口集vrouter信任VR”设置自动路径导出出口集appleichat使ALG不appleichat重新装配使ALG集ALG SCTP使认证服务器设置“本地”ID 0认证服务器设置“本地”服务器名称“地方”认证服务器设置“本地”ID 1认证服务器设置“本地”服务器名称“地方”设置默认的认证服务器认证的“地方”设置认证RADIUS记帐端口1646设置管理员名称”txbfhq”设置管理员密码”npd4p / ryerllc51dfsub2fgt96d5on”设置管理访问尝试1集失败960管理员访问锁设置管理员认证网络超时0设置管理认证服务器的“本地”设置管理员认证远程根设置管理格式设置区的“信任”vrouter信任VR”设置区的“不信任”的vrouter信任VR”集区dmz vrouter信任VR”集区”vrouter VLAN”“信任VR”设置区的“不信任”的信任vrouter屯“VR”设置区的“信任”的TCP RST不带“不信任”的块不带“不信任”的TCP RST集区”管理”模块不带“V1信任“TCP RST不带“V1不信任”的TCP RST不带“DMZ”TCP RST不带“v1-dmz”TCP RST不带“VLAN”TCP RST设置区的“信任”屏幕IP欺骗基于区不带“不信任”的屏幕的泪滴不带“不信任”的屏幕SYN洪水不带“不信任”的屏幕平死不带“不信任”的屏幕的IP筛选器SRC 不带“不信任”的屏幕的土地设置区的“不信任”的屏幕区基于IP欺骗集区V1不信任”的屏幕的泪滴集区V1不信任”的屏幕SYN洪水集区V1不信任”的屏幕平死集区V1不信任”屏幕的IP筛选器SRC集区V1不信任”屏幕的土地集区dmz屏幕报警不降集区“DMZ”屏幕上的隧道集区dmz屏幕ICMP洪水集区dmz屏幕泛滥集区dmz屏幕WinNuke集区dmz屏幕端口扫描集区dmz屏幕IP扫描集区“DMZ”屏幕的泪滴集区dmz屏幕SYN洪水集区dmz屏幕IP欺骗集区dmz屏平死集区“DMZ”屏幕的IP筛选器SRC 集区“DMZ”屏幕的土地集区“DMZ”屏幕的SYN片段集区dmz屏幕TCP没有国旗集区dmz筛选未知协议集区dmz屏幕IP不坏的选择集区“DMZ”屏幕的IP记录路由集区“DMZ”屏幕选择IP时间戳集区dmz屏幕IP安全选择集区dmz屏幕IP松散的src路径集区dmz屏幕IP严格的src路径集区“DMZ”屏幕选择IP流集区dmz屏幕ICMP片段集区dmz ICMP大屏幕集区dmz屏幕同翅集区dmz屏翅无确认集区dmz屏幕限制会话的源IP集区dmz屏幕SYN ACK ACK代理集区dmz屏幕块碎片集区dmz屏幕限制会话的IP目标集区dmz屏幕组件块拉链集区dmz屏幕组件块罐集区dmz屏幕组件块EXE集区dmz屏幕组件阻止ActiveX集区dmz屏幕ICMP ID集区dmz屏幕TCP扫描集区dmz屏幕UDP扫描集区dmz屏幕IP欺骗下降RPF路由设置界面“Ethernet0 / 0区”“信任”设置界面“Ethernet0 / 1“区”非军事区”设置界面“Ethernet0 / 2区”“不信任”设置界面“Ethernet0 / 3“区”V1空”设置IP 10.0.3.9/24接口Ethernet0 / 0设置NAT接口Ethernet0 / 0设置接口VLAN1的IP设置IP 192.168.2.1/24接口Ethernet0 / 1 设置NAT接口Ethernet0 / 1设置IP 218.89.188.50/24接口Ethernet0 / 2 设置NAT接口Ethernet0 / 2设置接口VLAN1绕过其他IPSec设置接口VLAN1旁路非IP设置接口Ethernet0 / 0 IP管理设置接口Ethernet0 / 1 IP管理设置接口Ethernet0 / 2 IP管理设置接口Ethernet0 / 1管理SSH设置管理Telnet接口Ethernet0 / 1设置管理SNMP接口Ethernet0 / 1设置接口Ethernet0 / 1管理SSL设置接口Ethernet0 / 1管理网络设置接口Ethernet0 / 2管理平设置接口Ethernet0 / 2管理SSH设置管理Telnet接口Ethernet0 / 2设置管理SNMP接口Ethernet0 / 2设置接口Ethernet0 / 2管理SSL设置接口Ethernet0 / 2管理网络设置接口Ethernet0接口IP 8079 / 1 VIP“http”218.89.189.232设置接口Ethernet0接口IP 8080 / 1 VIP“http”218.89.188.50设置接口Ethernet0接口IP 8077 / 1 VIP“http”10.0.3.10设置接口Ethernet0接口IP 8078 / 1 VIP“http”10.0.3.9设置界面“Ethernet0 / 2“218.89.188.50主机子网掩码255.255.255.255 10.0.3.10 MIP VR”信任VR”设置流量没有TCP序列检查设置流SYN校验设置流TCP SYN位检查设置流量反向路径清晰的文本选择设置流量反向路由隧道总是设置默认的权限模式PKI SCEP“自动”设置默认路径部分PKI X509证书设置地址的“信任”“10.0.3.1 / 24“10.0.3.1 255.255.255.0设置地址的“信任”“218.89.189.1 / 24“218.89.189.1 255.255.255.0设置地址“DMZ”“123”192.168.2.3 255.255.255.255设置地址“DMZ”kbx”10.0.3.10 255.255.255.0设置地址“DMZ”oda1”1.2.1.8 255.255.255.255设置地址“DMZ”oda2”1.2.1.8 255.255.255.255设置用户“恒源祥”UID 3设置用户“恒源祥”型奥特湾设置用户“恒源祥”密码“rvx4ldt9nz8bftsee1cajiiyq + nq9j3hyq = =“设置用户“恒源祥”“启用”设置用户“DW”UID 4设置用户“DW”型奥特湾设置用户“DW”密码“jbbrzotvn7ma6ssjcacxvyrw9jnjo3uwmg = =“设置用户“DW”“启用”设置用户的“kbx UID 1设置用户的“kbx”型奥特湾设置用户的“kbx“密码”sbofmfycngvprksk1mcvhzgdovnjbjd5rq = =“设置用户的“kbx”“启用”设置密码策略出口设置IKE响应不良SPI 1集艾克IKEv2 IKE SA软寿命60撤消艾克ikeid枚举撤消艾克DOS保护设置访问会话启用IPSec集IPSec接入会话最大5000集IPSec接入会话上限0集IPSec接入会议门槛降低0集IPSec接入会话dead-p2-sa-timeout 0 设置IPSec接入会话日志错误设置IPSec接入会话信息交换连接设置IPSec接入会话使用错误日志设置“不信任vrouter VR”出口集vrouter信任VR”出口设置URL协议Websense出口将策略ID从“信任”设置为“信任”、“任何”、“任何”、“任何”允许日志。