Juniper SRX 简单命令二
--------------------------Juniper SRX 用户管理---------------------------
Juniper的命令,其实是比较形象的,英文稍微好一点,基本都能看懂
1、添加用户
root# set system login user ?
Possible completions:
<user-name> User name (login)
2、用户组设置
root# set system login user XXX class ?
Possible completions:
<class> Login class
operator permissions [ clear network reset trace view ] //用于故障定位,但是看不了配置,也不能编辑
read-only permissions [ view ] //只读 就是只能看看状态
super-user permissions [ all ] //完全权限
unauthorized permissions [ none ] //为radius做模板,没有任何权限,权限在radius里添加
根据不同用途给用户设置组
3、用户UID设置
root# set system login user XXX class read-only uid ?
Possible completions:
<uid> User identifier (uid) (100..64000)
4、root密码设置
初始话的时候,root的密码为空,必须设置一个root密码才能提交配置.
root# set system root-authentication plain-text-password 交互明文输入
或者
root# set system root-authentication encrypted-password ? 非交互密文输入
Possible completions:
<encrypted-password> Encrypted password string
例:root# set system root-authentication encrypted-password "xxxxxxxxxxdddddddddde"
双引号里就是一个MD5加密的值
这里不明白的看看之前一篇博客
5、给用户设置密码
root# set system login user XXX authentication plain-text-password
或者
root# set system login user XXX authentication encrypted-password "xxxxx"
6、自定义用户级别组
root# set system login class test ?
Possible completions:
access-end End time for remote access (hh:mm)
access-start Start time for remote access (hh:mm)
allow-commands Regular expression for commands to allow explicitly
allow-configuration Regular expression for configure to allow explicitly
+ allow-configuration-regexps Object path regular expressions to allow
+ allowed-days Day(s) of week when access is allowed.
+ apply-groups Groups from which to inherit configuration data
+ apply-groups-except Don't inherit configuration data from these groups
deny-commands Regular expression for commands to deny explicitly
deny-configuration Regular expression for configure to deny explicitly
+ deny-configuration-regexps Object path regular expressions to deny
idle-timeout Maximum idle time before logout (minutes)
login-alarms Display system alarms when logging in
login-script Execute this login-script when logging in
login-tip Display tip when logging in
+ permissions Set of permitted operation categories
security-role Common Criteria security role
可以自定义一个组,里面茫茫多的选项。。。。。。自己看看吧,反正我这里网络、服务器、桌面端、DBA就我一个人。。。。。。。。
7、查看当前用户权限
root> show cli authorization
——————————————————JuniperSRX------------------远程管理
一、SSH(安全协议)
set system services ssh root-login deny ----------------------------不允许管理员使用ssh登录
set system services ssh protocol-version v2 -----------------------使用ssh 版本2
set system services ssh connection-limit 3 -------------------------ssh最大连接数为3
set system services ssh rate-limit 3-----------------------------------每分钟尝试密码次数
二、Telnet(不安全协议)
set system services telnet connection-limit 3---------------------最大连接数
set system services telnet rate-limit 2------------------------------每分钟尝试密码次数
三、FTP(不建议开服务端)
1、作为服务端
set system services ftp connection-limit 5---------------------最大连接数
set system services ftp rate-limit 3------------------------------每分钟尝试密码次数
现在一般都不用这种,通过软件直接SCP拖拽
四、http/https
1、http
set system services web-management http port 8080---------设置打开服务并且指定8080端口
set system services web-management http interface ge-0/0/0.0------------设置通过ge-0/0/0.0接口访问
set system services web-management session idle-timeout 10------------设置超时时间10分钟
set system services web-management session session-limit 1-----------设置最大连接数
2、https
set system services web-management https port 443
set system services web-management https system-generated-certificate--------系统自动生成证书
set system services web-management https interface ge-0/0/0.0
上面设置session的那一段,是同时设置http和https的。
3、NTP
root# set system ntp server 2.2.2.2-----------设置ntp服务器
root# set system ntp source-address 1.1.1.1 ----------设置访问NTP的源地址
4、远程服务流量控制
JuniperSRX分为转发引擎(PFE---packet forwarding engine)和路由引擎(RE---routing engine)。
web route http 等等都是再RE上的,PFE功能简化来说就是二层转发。
FW一般作为边界设备,肯定会连接公网,上面就会有很多端口扫描的问题,(傻逼真的是多),而流量的走向都是先通过FW---->loopback0----->RE(这个是我方便描述),lo0可以理解为一个管理接口,如果你把这个接口做了流量控制,就然就可以控制web的流量了。之后我会开一个实验专题,这里就不详解了
静态路由
静态路由都是最基础,小型公司用的最多的,我直接贴配置
set routing-options static route 0.0.0.0/0 next-hop 1.1.1.1
这就是一条默认的路由,下一跳地址是1.1.1.1
JuniperSRX---------rpm配合track完成双线主备
原理就是通过rpm的ping包去检测一个目标地址 然后根据结果切换路由
services {
rpm {
probe ISP-PING {
test ISP_DNS {
target address 1.1.1.2; 目标地址
probe-count 15; 一次测试发几个包
probe-interval 1; 每个包间隔几秒
test-interval 1; 每个测试间隔几秒
thresholds {
successive-loss 5; 每个测试范围内,连续丢包多少个判断链路失效
total-loss 10; 每个测试范围内,总丢包多少个判断链路失效
}
destination-interface ge-0/0/0.0;
next-hop 1.1.1.2;
}
}
}
ip-monitoring {
policy DNS-Tracking {
match {
rpm-probe ISP-PING; 需要满足的条件
}
then {
preferred-route {
route 0.0.0.0/0 {
next-hop 3.3.3.3; 需要更换的路由下一跳
}
}
}
}
}
}
全部做完还要方形rpm的流量
host-inbound-traffic {
system-services {
rpm;
ping;
}
}
原文链接 https://blog.csdn.net/tyrantu1989/article/list/2?t=1
Juniper SRX 简单命令二的更多相关文章
- Juniper SRX 简单命令一
Juniper为人所熟悉的一定是从netscreen开始的,作为一线防火墙品牌,还是有很高的地位.但是以前玩netscreen,都是用的网页版去配置,而且网页版做得很不错.但是现在netscreen要 ...
- Linux的一些简单命令(二)
1.查看防火墙状态:service iptables status 2.开启防火墙:service iptables start 3.关闭防火墙:service iptables stop 4.创建目 ...
- juniper srx 配置
天涯海角- juniper为人所熟悉的一定是从netscreen开始的,作为一线防火墙品牌,还是有很高的地位.但是以前玩netscreen,都是用的网页版去配置,而且网页版做得很不错.但是现在nets ...
- Juniper SRX防火墙简明配置手册(转)
在执行mit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config),在执行mit后配置模式下可通过run show config命令查看当前有效配置(Active co ...
- Apache 的搭建及vim的简单命令
一. vim 简单命令 pwd 当前路径 ls 当前路径所有目录 cd 目录地址 跳转到指定目录 /xxx 查找xxx x 删除当前字符 n 执行上一次查找 二.为什么使用apa ...
- 从零单排Linux – 1 – 简单命令
从零单排Linux – 1 – 简单命令 Posted in: Linux 从零单排Linux – 1 一.Linux的简单命令: 1.忘记root密码: 读秒时按任意键进入 – e – ↓选择第二个 ...
- Juniper srx防火墙NAT配置
一.基础操作说明: 1. 设备恢复出厂化 root# load factory-default root# set system root-authentication plain-text-pas ...
- Kafka学习(一)配置及简单命令使用
一. Kafka中的相关概念的介绍 Kafka是一个scala实现的分布式消息中间件,当中涉及到的相关概念例如以下: Kafka中传递的内容称为message(消息),message 是通过topic ...
- Kafka配置及简单命令使用
一. Kafka中的相关概念的介绍 Kafka是一个scala实现的分布式消息中间件,其中涉及到的相关概念如下: Kafka中传递的内容称为message(消息),message 是通过topic(话 ...
随机推荐
- Ubuntu16.4下RStudio1.1.447 中文输入问题的解决方案
Ubuntu16.4下RStudio1.1.447 中文输入问题的解决方案参照:https://blog.csdn.net/matteoshenl/article/details/78603528 R ...
- linux使用http代理连接服务器设置方法
连接腾讯的额cvm服务器官方给出的也有个方法,详细可以看这里:http://wiki.open.qq.com/wiki/%E4%BB%8E%E6%9C%AC%E5%9C%B0linux%E6%9C%B ...
- kafka Detailed Replication Design V3
参考,https://cwiki.apache.org/confluence/display/KAFKA/kafka+Detailed+Replication+Design+V3 Major chan ...
- 如何查看电脑最大支持多少GB内存
第一种方法: 1.打开“开始”菜单,点击“运行”按钮,也可以直接使用[Win + R]组合快捷键打开, 在弹出来的窗口输入“CMD”,然后确定或者按下回车键 2.在命令窗口输入“wmic memphy ...
- c 浮点数
一.二进制小数 十进制小数: 12.3410 == 1 * 101 + 2 * 100 + 3 * 10-1 + 4 * 10-2 = 12(34/100) (可能很多人还不知道怎么计算一个数的负幂, ...
- 隐藏Apache、nginx和PHP的版本号的配置方法
最近提示说有漏洞,暴露apache.nginx和php的版本号.网上搜了下,整理的方法如下: 首先说apache 在http.conf文件里添加下面两行,默认是没有的 ServerSignature ...
- 转:JAVA.NET.SOCKETEXCEPTION: TOO MANY OPEN FILES解决方法
最近随着网站访问量的提高把web服务器移到linux下了,在移服务器的第二天,tomcat频繁的报 java.net.SocketException: Too many open files错误,错误 ...
- 权限认证与授权(Shrio 框架)
权限概述 认证: 系统提供的用于识别用户身份的功能, 通常登录功能就是认证功能; -- 让系统知道你是谁 授权: 系统授予用户可以访问哪些功能的证书. -- 让系统知道你能做什么! 常见的权限控制方式 ...
- windows系统的对象管理
windows中的对象和高级编程语言中所说的对象还欧区别,准确来讲,windows中的对象其实指的是一种数据结构并且是一种带着“对象头(object head)” 的数据结构! 所以windows中 ...
- 6.Git代码回滚
1.代码修改并提交 我们已经成功地添加并提交了一个helloWorld.txt文件,现在,是时候继续工作了. 于是,我们继续修改helloWorld.txt文件,改成如下内容: $ vi helloW ...