Juniper SRX 简单命令二

Posted 2020-12-28 jjp816

--------------------------Juniper SRX 用户管理---------------------------

Juniper的命令，其实是比较形象的，英文稍微好一点，基本都能看懂

1、添加用户

root# set system login user ?                  
Possible completions:
  <user-name>          User name (login)

 

2、用户组设置

root# set system login user XXX class ?
Possible completions:
  <class>              Login class
  operator             permissions [ clear network reset trace view ]        //用于故障定位，但是看不了配置，也不能编辑
  read-only            permissions [ view ]            //只读   就是只能看看状态
  super-user           permissions [ all ]              //完全权限
  unauthorized         permissions [ none ]         //为radius做模板，没有任何权限，权限在radius里添加

根据不同用途给用户设置组

 

3、用户UID设置

root# set system login user XXX class read-only uid ?

Possible completions:
  <uid>                User identifier (uid) (100..64000)

 

4、root密码设置

初始话的时候，root的密码为空，必须设置一个root密码才能提交配置.

root# set system root-authentication plain-text-password         交互明文输入

或者

root# set system root-authentication encrypted-password ?     非交互密文输入
Possible completions:
  <encrypted-password>  Encrypted password string

例：root# set system root-authentication encrypted-password "xxxxxxxxxxdddddddddde"

双引号里就是一个MD5加密的值

这里不明白的看看之前一篇博客

 

5、给用户设置密码

root# set system login user XXX authentication plain-text-password

或者

root# set system login user XXX authentication encrypted-password "xxxxx"

 

6、自定义用户级别组

root# set system login class test ?
Possible completions:
  access-end           End time for remote access (hh:mm)
  access-start         Start time for remote access (hh:mm)
  allow-commands       Regular expression for commands to allow explicitly
  allow-configuration  Regular expression for configure to allow explicitly
+ allow-configuration-regexps  Object path regular expressions to allow
+ allowed-days         Day(s) of week when access is allowed.
+ apply-groups         Groups from which to inherit configuration data
+ apply-groups-except  Don‘t inherit configuration data from these groups
  deny-commands        Regular expression for commands to deny explicitly
  deny-configuration   Regular expression for configure to deny explicitly
+ deny-configuration-regexps  Object path regular expressions to deny
  idle-timeout         Maximum idle time before logout (minutes)
  login-alarms         Display system alarms when logging in
  login-script         Execute this login-script when logging in
  login-tip            Display tip when logging in
+ permissions          Set of permitted operation categories
  security-role        Common Criteria security role

可以自定义一个组，里面茫茫多的选项。。。。。。自己看看吧，反正我这里网络、服务器、桌面端、DBA就我一个人。。。。。。。。

 

7、查看当前用户权限

root> show cli authorization

 

 

——————————————————JuniperSRX------------------远程管理

一、SSH（安全协议）

set system services ssh root-login deny ----------------------------不允许管理员使用ssh登录
set system services ssh protocol-version v2 -----------------------使用ssh 版本2

set system services ssh connection-limit 3 -------------------------ssh最大连接数为3
set system services ssh rate-limit 3-----------------------------------每分钟尝试密码次数

 

二、Telnet（不安全协议）

set system services telnet connection-limit 3---------------------最大连接数
set system services telnet rate-limit 2------------------------------每分钟尝试密码次数

 

三、FTP（不建议开服务端）

1、作为服务端

set system services ftp connection-limit 5---------------------最大连接数
set system services ftp rate-limit 3------------------------------每分钟尝试密码次数

现在一般都不用这种，通过软件直接SCP拖拽

 

四、http/https

1、http

set system services web-management http port 8080---------设置打开服务并且指定8080端口
set system services web-management http interface ge-0/0/0.0------------设置通过ge-0/0/0.0接口访问

set system services web-management session idle-timeout 10------------设置超时时间10分钟
set system services web-management session session-limit 1-----------设置最大连接数

 

2、https

set system services web-management https port 443
set system services web-management https system-generated-certificate--------系统自动生成证书
set system services web-management https interface ge-0/0/0.0

上面设置session的那一段，是同时设置http和https的。

 

3、NTP

root# set system ntp server 2.2.2.2-----------设置ntp服务器

root# set system ntp source-address 1.1.1.1  ----------设置访问NTP的源地址

 

4、远程服务流量控制

JuniperSRX分为转发引擎（PFE---packet forwarding engine）和路由引擎（RE---routing engine）。

web  route  http 等等都是再RE上的，PFE功能简化来说就是二层转发。

FW一般作为边界设备，肯定会连接公网，上面就会有很多端口扫描的问题，（傻逼真的是多），而流量的走向都是先通过FW---->loopback0----->RE（这个是我方便描述），lo0可以理解为一个管理接口，如果你把这个接口做了流量控制，就然就可以控制web的流量了。之后我会开一个实验专题，这里就不详解了

 

 

静态路由

静态路由都是最基础，小型公司用的最多的，我直接贴配置

set routing-options static route 0.0.0.0/0 next-hop 1.1.1.1

这就是一条默认的路由，下一跳地址是1.1.1.1

 

JuniperSRX---------rpm配合track完成双线主备

原理就是通过rpm的ping包去检测一个目标地址  然后根据结果切换路由

services {
    rpm {
        probe ISP-PING {
            test ISP_DNS {
                target address 1.1.1.2;           目标地址
                probe-count 15;                      一次测试发几个包
                probe-interval 1;                     每个包间隔几秒
                test-interval 1;                        每个测试间隔几秒
                thresholds {
                    successive-loss 5;              每个测试范围内，连续丢包多少个判断链路失效
                    total-loss 10;                      每个测试范围内，总丢包多少个判断链路失效
                }
                destination-interface ge-0/0/0.0;
                next-hop 1.1.1.2;
            }
        }
    }
    ip-monitoring {
        policy DNS-Tracking {
            match {
                rpm-probe ISP-PING;          需要满足的条件
            }
            then {
                preferred-route {
                    route 0.0.0.0/0 {
                        next-hop 3.3.3.3;         需要更换的路由下一跳
                    }
                }
            }
        }
    }
}

 

全部做完还要方形rpm的流量

host-inbound-traffic {
                system-services {
                    rpm;
                    ping;
                }
            }

 

原文链接    https://blog.csdn.net/tyrantu1989/article/list/2?t=1