Как выключить коммутатор juniper
Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности - мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз.
Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений:
1. Сетевые системы контроля доступа - межсетевые экраны Firewall и системы обнаружения/предотвращения вторжений (IPS/IDS):
- Cisco (ASA, FirePower, FTD), Juniper (SRX), Checkpoint, Palo-Alto; FortiNet, Barracuda (F-серия, X-серия), VMware (NSX);
- Cisco ISE, Windows RADIUS, Windows AD (NTLM, Kerberos, Смарт-карты, Windows PKI).
2. Безопасность данных (Data Secreсy) - сетевые системы защиты данных, в том числе на уровне конечных устройств:
- VPN: Cisco (ISR, ASR, CSR, ASA, FirePower), Juniper (SRX), Checkpoint;
- Anti-spam, anti-malware, proxy: Cisco (Ironport), Barracuda anti-spam;
- WAF: Barracuda WAF;
- DLP: IPS, SearchInform DLP, Cisco ISE (профилирование).
3. Контроль доступности данных:
- Системы резервного копирования - Veeam, HP dataProtector, VMwre SRM (Site Recovery Manager);
- Системы хранения данных с функциями зеркалирования, резервирования - NetApp (25xx, 85xx, 9xxx);
- Реализация любых других решений: AlienVault (SIEM).
Только сейчас - Бесплатная диагностика, расчёт сметы, техническая поддержка, гарантия - 2 месяца!
Также преимуществом Juniper EX2200 является возможность объединения до шести коммутаторов в единое устройство. Это гарантирует централизованное управление большим количеством портов, а также высокую отказоустойчивость всей сети в целом.
Далее будет приведена настройка основных элементов, к примеру:
- Настройка QoS (качество обслуживания);
- Virtual Chassis (объединение коммутаторов);
- Настройка сетевого интерфейса;
- Сброс на заводские настройки.
Все приведенные выше этапы помогут в создании крупной сети с большим количеством устройств при условии передачи различного трафика.
Настройка сетевого интерфейса
Первым делом необходимо начать с базы. Сетевой интерфейс - это та самая точка, которая отвечает за передачу данных между пользователем и сетью. И конечно же, это самое основное, что должен выполнять коммутатор.
Итак, этапы настройки:
Далее приведем настройку L2 и L3 интерфейсов:
Em0 - Это физический интерфейс. Family inet - выбор протокола для настройки.
Можно сразу из Configuration Mode проверить результат настройки, набрав команду "show":
Очень важно применить настройки при помощи команды:
Для проверки настроек запустим пинг.
root> ping 100.0.0.2 rapid
PING 100.0.0.2 (100.0.0.2): 56 data bytes
.
--- 100.0.0.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.402/0.719/1.306/0.343 ms
Пинг проходит, интерфейс на уровне L3 настроен.
root> configure
Entering configuration mode
Различия между вторым и третьим уровнем в следующем. L2 - это устройства, которые работают на канальном уровне. Коммутатор на данном уровне занимается кадрами (или "фреймами"). L3 коммутаторы уже работают с IP-адресами и могут отвечать за маршрутизацию. Для L3 намного больше различных параметров для настроек, поскольку и его функционал намного шире.
Настройка Virtual Chassis
Итак, когда сами интерфейсы настроены, можно приступить к объединению коммутаторов. Это действительно приводит к облегченному управлению большим количеством устройств. В случае отказа одного из них, система продолжает работать.
К сожалению, Juniper EX2200 не имеют выделенных портов VCP (Virtual Chassis Ports), поэтому берутся обычные интерфейсы и настраиваются как VCP.
Есть два способа настройки VC:
• Preprovisioned configuration - вручную определяется member ID и его роль путем привязки к серийному номеру
• Nonprovisioned configuration - вначале выбирается master (тот, кого включили первым). Все остальные роли назначаются мастером в соответствии с master election algorithm
Рассмотрим только первый способ.
Включаются все коммутаторы. Для дальнейшей работы пригодятся их серийные номера, поэтому их необходимо записать. В данном примере:
Теперь включаем только тот коммутатор, который будет в роли master switch. Делаем сброс настроек и оставляем их необходимый минимум при помощи команды:
request system zeroize
Команды после перезагрузки системы:
ezsetup
set system host-name sw_master
set system domain-name metholding.int
set system domain-search metholding.int
set system time-zone Europe/Moscow
set system root-authentication plain-text-password
set system name-server 10.10.6.26
set system name-server 10.10.6.28
set system services ssh protocol-version v2
set system ntp server 10.10.1.130 version 4
set system ntp server 10.10.1.130 prefer
set vlans Management description 10.10.45.0/24
set vlans Management vlan-id 100
set vlans Management l3-interface vlan.1
set interfaces vlan unit 1 family inet address 10.10.45.100/24
set routing-options static route 0.0.0.0/0 next-hop 10.10.45.1
set interfaces ge-0/0/47 unit 0 family ethernet-switching port-mode trunk
set interfaces ge-0/0/47 unit 0 family ethernet-switching vlan members Management
Теперь включаем preprovisioned configuration mode
set virtual-chassis preprovisioned
Заполняем всех участников стека (при помощи записанных ранее серийных номеров):
set virtual-chassis member 0 serial-number CT0216330172 role routing-engine
set virtual-chassis member 1 serial-number CV0216450257 role routing-engine
Для двух участников рекомендуется:
set virtual-chassis no-split-detection
Результат можно проверить командой:
root@sw-master> show virtual-chassis status
Наконец, включаем остальные коммутаторы. Как и ранее, рекомендуется сперва обнулить их конфигурацию через:
request system zeroize
Обязательно необходимо проверить, что их конфигурации пустые в разделе virtual-chassis. Как вариант, можно подстраховаться командой:
Далее, на каждом коммутаторе настраиваются порты VCP.
В нашем случае мы соединяем коммутаторы портами: ge-0/0/0 и ge-0/0/1 соответственно.
Команды будут следующими, их необходимо задать на обоих коммутаторах:
request virtual-chassis vc-port set pic-slot 0 port 0
request virtual-chassis vc-port set pic-slot 0 port 1
После выполнения команд должно быть следующее:
root> show interfaces terse
Interface Admin Link Proto Local Remote
vcp-255/0/0 up up
vcp-255/0/0.32768 up up
vcp-255/0/1 up up
vcp-255/0/1.32768 up up
ge-0/0/2 up down
ge-0/0/2.0 up down eth-switch
Как только мы выполним эти команды на обоих концах, второй коммутатор присоединится к первому.
show virtual-chassis status
show virtual-chassis vc-port
Также рассмотрим вариант добавления дополнительного участника к virtual-chassis.
Без физического подключения необходимо удалить все конфигурации добавляемого коммутатора, а также проверить, не являются ли его порты VCP
show interfaces terse | match vcp
Если есть, их надо удалить с командой:
request virtual-chassis vc-port delete pic-slot 0 port 0
Как и ранее, убедиться, что конфигурации пустые.
Определяем серийный номер и вносим его в конфигурацию нашего стека:
set virtual-chassis member 2 serial-number CT0217190258 role line-card
Теперь настраиваем порты нового коммутатора VCP.
В нашем случае мы соединяем коммутаторы портами: ge-0/0/0 и ge-0/0/1 соответственно.
request virtual-chassis vc-port set pic-slot 0 port 0
request virtual-chassis vc-port set pic-slot 0 port 1
Проверяем, что появились порты VCP.
show interfaces terse | match vcp
Подключаем физически все три коммутатора.
Как видно из настроек, само создание "виртуального шасси", впрочем, как и добавление нового участника - достаточно простое. Настройки немного непривычны, но по факту, все они сводятся к работе с портами и правильному их выбору.
Настройка QoS
QoS - технология, которая позволяет разделить трафик на различные классы и применить к ним свой приоритет. Это удобно в случае, когда необходимо увеличить вероятность прохождения трафика между двумя точками сети.
В примере для настройки рассматривается распределение трафика по приоритетам ip-телефонии и видеоконференцсвязи на коммутаторе при помощи изменения настроек по умолчанию class-of-service (CoS).
Итак, к коммутатору, например, подключены ip-телефоны. Для маркировки ip-пакетов от ip-PBX и других ip-телефонов используются следующие значения dscp:
• 46 - ef – медиа (rtp)
• 24 - cs3 – сигнализация (sip,h323,unistim)
• 32 - cs4 – видео с кодеков(rtp)
• 34 - af41 – видео с телефона, софтового клиента, кодека (rtp)
• 0 – весь остальной трафик без маркировки.
DSCP - это определенный элемент в архитектуре сети, который описывает механизм классификации. Обеспечивает ускорение и снижение задержек для мультимедийного трафика. DSCP использует пространство поля ToS, который является частью QoS. Грубо говоря, DSCP - это лишь помощник QoS.
Снова вернемся к настройкам.
Необходимо dscp ef и af поставить в соответствие с внутренними классами expedited-forwarding и assured-forwarding. Для этого настраивается так называемый classifiers. Можно также создать и новые классы.
ex2200> show configuration class-of-service classifiers
dscp custom-dscp forwarding-class network-control loss-priority low code-points [ cs6 cs7 ];
>
forwarding-class expedited-forwarding loss-priority low code-points ef;
>
forwarding-class assured-forwarding loss-priority low code-points [ cs3 cs4 af41 ];
>
>
Для каждого класса необходимо настроить шедулеры:
ex2200> show configuration class-of-service schedulers
sc-ef buffer-size percent 10;
priority strict-high;
>
sc-af shaping-rate 20m;
buffer-size percent 10;
>
sc-nc buffer-size percent 5;
priority strict-high;
>
sc-be shaping-rate percent 80;
buffer-size remainder;
>
>
Названия выбираются произвольно, а процент выделенных буферов - по потребностям. Соответственно, в этом и заключается основная задача QoS - распределить для определенных типов трафика (по протоколу) свои приоритеты. Здесь происходит ограничение полосы пропускания в зависимости от приоритета в очереди.
Далее шедулеры необходимо поставить в соответствие с внутренними классами. В итоге, scheduler-map и classifier необходимо применить ко всем интерфейсам, описав их как шаблон.
На интерфейсы можно применить одинаковые или индивидуальные настройки, т.е. можно написать разные scheduler и scheduler-maps для разных интерфейсов.
Итоговая конфигурация выглядит следующим образом:
ex2200> show configuration class-of-service
classifiers dscp custom-dscp forwarding-class network-control loss-priority low code-points [ cs6 cs7 ];
>
forwarding-class expedited-forwarding loss-priority low code-points ef;
>
forwarding-class assured-forwarding loss-priority low code-points [ cs3 cs4 af41 ];
>
>
>
host-outbound-traffic forwarding-class network-control;
>
interfaces ge-* scheduler-map custom-maps;
unit 0 classifiers dscp custom-dscp;
>
>
>
ae* scheduler-map custom-maps;
unit 0 classifiers dscp custom-dscp;
>
>
>
>
scheduler-maps custom-maps forwarding-class network-control scheduler sc-nc;
forwarding-class expedited-forwarding scheduler sc-ef;
forwarding-class assured-forwarding scheduler sc-af;
forwarding-class best-effort scheduler sc-be;
>
>
schedulers sc-ef buffer-size percent 10;
priority strict-high;
>
sc-af shaping-rate 20m;
buffer-size percent 10;
>
sc-nc buffer-size percent 5;
priority strict-high;
>
sc-be shaping-rate percent 80;
buffer-size remainder;
>
>
>
Перед применением конфигурации необходимо ее проверить командой commit check. Может возникнуть следующая ошибка:
[edit class-of-service interfaces]
'ge-*'
One or more "strict-high" priority queues have lower queue-numbers than priority "low" queues in custom-maps for ge-*. Ifd ge-* supports strict-high priority only on higher numbered queues.
error: configuration check-out failed
Это означает, что нельзя указать приоритет "strict-high" только для 5-ой очереди, когда у 7-ой останется приоритет "low".
И тут два варианта решения проблемы: переписать классы и изменить очередь у network-control, либо настроить для network-control приоритет "strict-high". Для данного примера был выбран второй вариант.
После применения конфигурации часть фреймов будет в очередях потеряна, поэтому надо почистить счетчики, и спустя короткое время проверить счетчики дропов, где значение отлично от нуля.
clear interfaces statistics all
show interfaces queue | match dropped | except " 0$"
Если счетчики дропов нарастают, то имеется ошибка в конфигурации. Например, если какой-то интерфейс не описан в class-of-service interfaces шаблоном или в явном виде, то трафик в классах дропнется. Ниже приведен пример нормальной работы без потерь.
ex2200> show interfaces queue ge-0/0/22
Physical interface: ge-0/0/22, Enabled, Physical link is Up
Interface index: 151, SNMP ifIndex: 531
Forwarding classes: 16 supported, 4 in use
Egress queues: 8 supported, 4 in use
Queue: 0, Forwarding classes: best-effort
Queued:
Transmitted:
Packets : 320486
Bytes : 145189648
Tail-dropped packets : 0
RL-dropped packets : 0
RL-dropped bytes : 0
Queue: 1, Forwarding classes: assured-forwarding
Queued:
Transmitted:
Packets : 317
Bytes : 169479
Tail-dropped packets : 0
RL-dropped packets : 0
RL-dropped bytes : 0
Queue: 5, Forwarding classes: expedited-forwarding
Queued:
Transmitted:
Packets : 624
Bytes : 138260
Tail-dropped packets : 0
RL-dropped packets : 0
RL-dropped bytes : 0
Queue: 7, Forwarding classes: network-control
Queued:
Transmitted:
Packets : 674
Bytes : 243314
Tail-dropped packets : 0
RL-dropped packets : 0
RL-dropped bytes : 0
Сброс на заводские настройки
Итак, основные этапы настройки приведены. В случае, если необходимо от них избавиться сразу, или действительно долго искать ошибку, то можно откатить на заводские настройки оборудования в целом и начать все заново.
Конечно, к такой операции не хотелось бы прибегать, но все же. И, кстати, есть несколько вариантов сброса на заводские настройки. Здесь предлагается самый простой и привычный вариант - через консоль. К тому же, для этого потребуется всего лишь одна команда (в режиме конфигурации):
load factory defaults
Система предупредит, что произойдет активация заводских настроек. С помощью привычной команды "commit" активируем настройки и перезагружаемся.
И напоследок
В данной статье были приведены самые полезные настройки для коммутатора Juniper EX2200, которые позволят создать надежную и гибкую сеть для различных нужд. Все настройки могут быть индивидуальными, но если понять, по какому принципу они строятся - всё получится.
Понимание show | сравнить | отображение выходных данных команды xml
Фильтр сравнивает конфигурацию кандидатов с текущей настроенной конфигурацией и отображает различия между двумя compare | display xml конфигурациями в XML. Для сравнения конфигураций введите символ "|" (|) в режиме compare | display xml работы или конфигурации.
Пример в рабочем режиме:
Пример режима конфигурации:
Можно ввести определенную иерархию конфигурации, например, непосредственно перед compare show configuration system syslog | compare | display xml фильтром. В режиме конфигурации можно перейти к иерархии, в которой применяется команда.
Отличие от функции сравнения фильтров состоит в выходных данных XML. Метка configuration запускает выходные данные. Контекст для изменений устанавливается с помощью тегов имени иерархии относительно корня сравнения. В случае изменений operation элементов атрибутом является выход в теге, в котором происходит изменение. Этот атрибут имеет create значение, delete или merge . Для изменений метаданных задано имя метаданных. Например, если утверждение помечено как неактивное, inactive="inactive" то атрибутом и значением являются выходные данные. Пространство имен nc используется при необходимости для того, чтобы указать, что атрибут находится в пространстве имен NETCONF, а не в пространстве имен операционной системы.
Начиная с Junos OS 16.2R2, команда не передает тег в выходные данные XML, если сравнение не возвращает различий или если сравнение возвращает только различия для нестандартных данных конфигурации, например для данных конфигурации, связанной с моделью данных show | compare | display xml <configuration> OpenConfig.
В следующих разделах объясняется XML, созданный для определенных типов изменений конфигурации. Для сравнения показаны соответствующие изменения текста.
Добавление утверждения (создание операции)
В следующем примере показано добавление адреса IPv4 2.2.2.2 к блоку 1.
Теги обеспечивают name контекст для добавления. Атрибут operation="create" указывает на то, что утверждение было создано unit и определено конфигурацией в unit теге.
Удаление утверждения (удаление операции)
В следующем примере показано удаление простого утверждения в иерархии конфигурации. Эти теги system обеспечивают контекст для удаления. Атрибут operation="delete" указывает на то, что утверждение было services удалено. Конфигурация, следующая services за утверждением, была удалена, но не является выходной.
В следующем примере показано удаление блока 1 из ge-0/0/0 интерфейса. Конфигурация, следующая unit за утверждением, была удалена, но не является выходной.
В следующем примере показано удаление apply-groups конфигурации. Удаленные группы не являются выходными.
Изменение утверждения (удаление и создание операций)
В следующем примере показана смена утверждения в иерархии. Теги обеспечивают system контекст изменений. Атрибут operation="delete" указывает на то, что утверждение было host-name удалено. Конфигурация, следующая host-name за утверждением, была удалена, но не является выходной. Атрибут operation="create" указывает на то, что утверждение было создано host-name и определено конфигурацией в host-name теге.
Изменение метаданных (неактивность атрибута и функционирования)
В следующем примере показана деактивация утверждения в иерархии. Теги обеспечивают system контекст изменений. Атрибут inactive="inactive" указывает, что syslog утверждение было неактивно.
В следующем примере показано добавление неактивного syslog утверждения. Атрибут указывает на то, что утверждение operation="create" было создано и syslog определено конфигурацией в syslog теге. Атрибут inactive="inactive" указывает, что syslog утверждение было неактивно.
Добавление комментария (тег комментариев и создание операции)
В следующем примере показано добавление комментария к утверждениям. Теги обеспечивают syslog контекст для примечания. Атрибут метки указывает, что в иерархию operation="create" junos:comment добавлены [edit system syslog] комментарии.
В следующем примере показано добавление комментария к утверждениям. Теги обеспечивают syslog контекст для примечания. Атрибут метки указывает, что в иерархию добавлены комментарии для вывода утверждения operation="create" junos:comment в [edit system syslog] syslog метке.
Изменение примечания (метка комментариев, удаление и создание операций)
В следующем примере показано изменение комментария для утверждения. Теги обеспечивают system контекст для примечания. Атрибут для метки указывает, что комментарий был удален operation="delete" junos:comment из [edit system] иерархии при syslog указании. Атрибут метки указывает, что комментарий добавлен в operation="create" junos:comment [edit system] иерархию для syslog этого утверждения.
Добавление утверждения внутри контейнера (создание операции, а также вставки и атрибутов ключей)
В следующем примере показано добавление утверждения file в [edit system syslog] иерархии. Теги обеспечивают syslog контекст для добавления. Атрибут operation="create" для метки file указывает, что file добавлена утверждение. Атрибут указывает, что файл был добавлен после yang:insert="after" положения, обозначенного yang:key="[name='file-1']" атрибутом. Значение file-1 представляет позицию в существующих утверждениях, где один из них file является первым файлом. В этом примере после первого file файла был добавлен новый файл.
Изменение порядка внутри контейнера (операция объединения, вставка и основные атрибуты)
В следующем примере показано изменение порядка file утверждения в [edit system syslog] иерархии. Теги обеспечивают syslog контекст изменений. Атрибут operation="merge" для метки file указывает, что существующая file утверждения была перемещена. Атрибут указывает, что файл был перемещен yang:insert="after" после файла в позиции, обозначенной yang:key="[name='file-1']" атрибутом. Значение file-1 представляет позицию в существующих утверждениях, где один из них file является первым файлом. Значение в name теге, file-3, представляет позицию в существующих утверждениях файла. В этом примере file утверждение в третьей позиции перемещено после первого файла.
Сетевое оборудование Juniper - c англ. "можжевельник" (коммутаторы, маршрутизаторы, межсетевые экраны и др.) базируется на операционной системе Junos OS (основана на FreeBSD). CLI Junos OS отличается от привычного многим CLI Cisco IOS. Ниже рассмотрим примеры настройки базового функционала устройств на основе Junos OS.
Основы CLI Junos OS/Базовая настройка устройства (Part1):
Junos OS имеет UNIX shell и 2 основных режима CLI: 1) Operational mode 2) Configuration mode
UNIX shell - UNIX составляющая Junos OS, в ней доступен только стандартный набор unix/linux команд.
Operational mode - основной режим CLI Junos OS, служит для вывода информации о состоянии устройства, протоколов и т.д. - аналог Cisco user/exec modes.
Configuration mode - режим конфигурации устройства.
Обозначение разных режимов в консоли устройства:
После загрузки устройства Junos OS попросит ввести логин и пароль:
root> configureДля того, чтобы вносить и сохранять конфигурации на устройстве обязательно требуется настроить пароль для root пользователя (без него не получится выполнить commit):
Entering configuration mode
Настройка hostname (имя устройства) выполняется командой "set system host-name":
Создание нового пользователя (admin) с root правами (class super-user):
Настройка временной зоны и NTP (имя NTP сервера должно "резолвиться", в противном случае нужно настраивать IP адрес):
Основная особенность Junos OS в том, что вся конфигурация не применяется на лету, как у Cisco, например, её обязательно нужно применять командой "commit":
Выход из режима конфигурации осуществляется командой "quit configuration-mode" или "exit configuration-mode"(с любого уровня конфигурации):
/Перезагрузка
root@SRX> request system reboot
/Выключение
root@SRX> request system halt
Основы CLI Junos OS (Part2):
1. Configuration mode:
Есть 2 вида конфигурации в Junos:
1) Active configuration - в терминологии Cisco это running-config.
2) Candidate configuration - конфигурация с неподтвержденными изменениями в ней (Uncommitted changes).
Посмотреть внесенную, но не примененную конфигурацию (uncommitted changes) в режиме конфигурации можно с использованием команды "show | compare", где "+" это конфигурация, которая будет добавлена в активную после выполнения commit, а "-" которая будет удалена.
Применение конфигурации, как уже было показано выше, выполняется командой "commit". У этой команды существуют дополнительные опции:
"commit check" - позволяет проверить внесенную конфигурацию на предмет ошибок, без применения. Junos в процессе конфигурации никогда не скажет, что что-то нельзя настроить, или что-то некорректно, все ошибки он проверяет только когда конфигурация применяется или производится проверка через "commit check".
Для просмотра конфигурации отдельного rollback используется команда "show system rollback" далее указывается его номер.
/покажет конфигурацию rollback 2rollback 0 (или просто rollback) откатит конфигурацию к последнему успешному commit (т.е. rollback 0 - вернет конфигурацию к current active configuration):
> show system rollback 2
"commit confirmed" - полезная команда, особенно когда настройка осуществляется удаленно. Применяет конфигурацию, но автоматически откатится (Junos фактически сделает rollback 1), если не будет дополнительно введена команда "commit" в течение определенного времени (по умолчанию через 10 минут)
Scheduled commit позволяет производить commit в определенное время, выполняется командой "commit at". Полезно, когда необходимо синхронизировать применение новой конфигурации на нескольких устройствах. Пример:
"clear system commit" отменяет scheduled commit:
root@SRX> clear system commit"commit synchronize" - производит commit на всех доступных RE (для устройств с несколькими RE) - по умолчанию синхронизации между RE при выполнении простого "commit" не происходит. Можно включить синхронизацию конфигурации между RE по умолчанию:
Pending commit cleared
Rescue configuration - позволяет сохранить текущую конфигурацию (active configuration) в commit database, к которой в любое время можно откатиться (не перезаписывается другими commit, живет отдельно). Данная конфигурация должна содержать root password.
- Создание rescue configuration:
root@SRX> request system configuration rescue delete
Rescue configuration рекомендуется сохранять с минимальным набором необходимых настроек!
Выход из режима конфигурации можно выполнять отдельными командами ("quit configuration- mode";"exit configuration-mode"), или можно совместить commit и выход из режима конфигурации командой "commit and-quit":
Основные команды конфигурационного режима:
- "show" - зависит от того, в каком режиме выполняется.
В Configuration mode показывает конфигурацию для того уровня иерархии в котором сейчас находимся, например show, выполненный на уровне [edit], покажет всю конфигурацию устройства - candidate configuration (аналог "do show run" в Cisco IOS)
- "edit" - служит для перемещения внутрь иерархии конфигурации
- "up" - подняться в иерархии конфигурации на уровень вверх, up 2 - на два уровня, и т.д.
- "top" - подняться с любого уровня в конфигурации до корня [edit]
- "set" - внести изменения в конфигурацию (добавить конфигурацию)
- "delete" - внести изменения в конфигурацию (удалить конфигурацию)
- "deactivate" - позволяет временно отключить часть конфигурации (сделать её неактивной), без удаления:
- "rename" - позволяет перемещать часть конфигурацию из одной секции в другую, например с одного интерфейса на другой:
Другой пример - поменять один IP адрес на интерфейсе на другой:
- "commit" - применение конфигурации (работает с любого уровня иерархии, если вы не в режиме configure private - "can only commit from top of private configuration") - "rollback" - откатиться до одной из предыдущих конфигураций
Опции входа в режим конфигурации:
По умолчанию несколько пользователей могут входить в режим конфигурации устройства и выполнять "commit".
! Если пользователь находится в режиме configure private, то второй, вошедший в режим конфигурации с помощью команды "configure" не сможет производить "commit":"error: private edits in use. Try 'configure private' or 'configure exclusive'."
! Если пользователь находится в режиме configure и уже произвел изменения в конфигурации, то второй пользователь не сможет зайти в режим конфигурации ни как "configure exclusive", ни как "configure private":"error: shared configuration database modified"
2. Operational mode:
Команда "show" в Operational mode показывает статус системы, интерфейсов, протоколов и т.д., "show configuration" покажет конфигурацию устройства - active configuration (аналог "show run" в Cisco IOS)
Уровни детализации вывода команд в Operational mode от самого краткого до наиболее подробного:
"terse"
"brief"
"detail"
"extensive"
Фильтрация вывода show команд:
| match - аналог include в Cisco IOS
| except - аналог exclude в Cisco IOS
| find - аналог begin в Cisco IOS
| display set - показывает плоскую конфигурацию устройства с использованием набора set команд:
Help команды Operational mode:
tacplus - TACACS+ server
radius - RADIUS server
password - local DB of device (всегда рекомендуется оставлять)
Local DB будет проверятся даже в том случае, если настроено authentication-order [radius tacplus], но ни один из серверов не отвечает. Если хотя бы 1 сервер отвечает (отправляет устройству accept или reject) то local DB проверяться не будет!
Базовая настройка TACACS+/RADIUS:
Авторизация пользователей (управление правами):
Класс пользователя (login class) - именованный контейнер, который группирует набор разрешающих правил. По умолчанию доступно 4:
1) super-user: All permissions
2) operator: clear, network, reset, trace, view
3) read-only: view
4) unauthorized: no permissions
Каждый пользователь может находиться только в одном login class!
Настройка интерфейсов:
В Junos OS есть понятие unit - это некий аналог subinterface в Cisco IOS. Все интерфейсы обязательно должны иметь unit. По умолчанию на интерфейсы назначен unit 0 (это можно трактовать как простой L2/L3 интерфейс в IOS). В конфигурации устройства unit разделяет собой физические свойства интерфейса (скорость, дуплекс и т.д.) и логические (ip адрес, protocol family и т.д.):
(Физические характеристики интерфейса)
unit number (Логические характеристики интерфейса)
Если необходимо настроить IP-адрес на интерфейсе (сделать его как native L3 routed интерфейс), или настроить как простой L2 switchport интерфейс (не важно Trunk или Access), то это обязательно должен быть unit 0 (так же это касается PPP и HDLC), например:
- family ethernet-switching - L2 порт (switchport in Cisco IOS)
- family inet - L3 порт IPv4 (IPv4 routed port/no switchport in Cisco IOS)
- family inet6 - L3 порт IPv6 (IPv6 routed port/no switchport in Cisco IOS)
- family mpls - MPLS
- family iso - IS-IS routing
На один интерфейс в Junos OS можно назначать несколько IP адресов, при настройке он не заменится на новый, как на оборудовании Cisco.
"preferred" - эта опция используется когда несколько IP адресов назначаются на 1 интерфейс и они принадлежат одной подсети. Preferred адрес будет использоваться как адрес источника для узлов в directly connected сети. По умолчанию (если опция не прописана) выбирается наименьший адрес из настроенных.
Вы имеете установленный и включенный маршрутизатор и необходимо сконфигурировать программное обеспечение JUNOS на начальном этапе.
Решение
Используйте следующие команды для конфигурирования маршрутизатора:
На большинстве JUNOS маршрутизаторах, программное обеспечение JUNOS инсталлировано в двух местах: flash-накопителе и жестком диске. Когда вы впервые включаете маршрутизатор, запускается версия программного обеспечения, инсталированная на flash-накопителе. Копия на жестком диске служит резервной копией. Дополнительная резервная копия предусмотрена на сменном носителе, обычно это карта PC или компактная Flash карта.
Когда вы в первый раз включаете маршрутизатор, JUNOS автоматически загружается и стартует. На некоторых устройствах выводится базовая текстовая информация о маршрутизаторе. На маршрутизаторах J-серии вы пользуетесь браузером J-Web для ввода начальной конфигурации. На этом этапе вам необходимо ввести базовую конфигурационную информацию для того, чтобы маршрутизатор мог присутствовать в сети и другие пользователи смогли на него зайти. Для ввода начальной конфигурации, вам необходимо соединиться с маршрутизатором с помощью терминала или ноутбука через консольный порт (серийный порт на лицевой стороне маршрутизатора).
Когда вы в первый раз конфигурируете маршрутизатор, вы устанавливаете ему набор базовых свойств:
Когда вы смотрите пароль командой show , CLI никогда не покажет актуальный текст, который вы вводили. Строка пароля зашифровывается, используя алгоритм MD5 и отображается в зашифрованном виде на выводе команды show . В разделе "Стратегия выбора пароля" на странице Безопасность и контроль доступа обсуждаются методы выбора безопасных паролей. На странице Управление аутентификацией root объясняется, как используется SSH аутентификация для пользователя root .
Для того, чтобы любые изменения конфигурации вступили в действие используется команда commit . Эта команда проверяет конфигурацию на наличие ошибок и затем активирует её.
Вводим конфигурационные команды находясь на уровне иерархии [edit system] :
Затем, если использовать команду show , можно видеть только разделы уровня [edit system] :
В части конфигурации, где вы используете повторно одинаковые команды с незначительными вариациями, удобно использовать "горячие клавиши", перечисленные в Таблице 1-1.
Показанная на этой странице конфигурация обеспечивает минимум необходимого для доступа к маршрутизатору из другой системы в сети. Также вы должны еще добавить несколько других свойств к конфигурации для обеспечения более крепкого уровня базовой сетевой связности:
Первая команда, set system ntp server , конфигурирует IP адрес NTP сервера, таким образом, время на маршрутизаторе будет установлено должным образом. Так как мы уже имеем сконфигурированный на DNS, можно точно определить вместо IP адреса имя сервера времени и по имени будет происходить трансляция на IP адрес. Для того, чтобы получать точное время с сервера, хорошей практикой является конфигурирование минимум четырех NTP серверов. Опционально вы можете также сконфигурить временную зону, в которой маршрутизатор находится (См. Установка временной зоны ); по умолчанию, временная зона установлена как UTC.
Команда set interfaces устанавливает IP адрес маршрутизатора путем конфигурирования адреса на loopback интерфейсе (См. Конфигурирование IP-адреса маршрутизатора ). Последние две команды создают аккаунт пользователя с индивидуальным входом на маршрутизатор (См. Конфигурирование аккаунтов ).
Если ваш маршрутизатор имеет два Routing Engine, вы также должны сконфигурить hostname и IP-адрес для второго Routing Engine (См. Управление избыточным Routing Engine ).
Снова выполняем команду commit для того, чтобы изменения конфигурации вступили в силу:
На этот момент вы авторизовались на маршрутизаторе как пользователь root и имеете на него полный доступ. Как пользователь root вы можете выполнить действия, чтобы выключить маршрутизатор или сделать его недоступным в сети. Исходя из этого, чтобы быть уверенным в нормальной работе маршрутизатора, вам необходимо добавить аккаунт пользователя в конфигурацию (См. Конфигурирование аккаунтов ), и затем перезайти на маршрутизатор, используя ваш аккаунт.
Читайте также: