Маршрутизатор juniper srx 100

Juniper SRX100, знакомство

На днях мне привезли долгожданный Juniper SRX100.
До этого времени в основном общался с Cisco и серией роутеров, типа 2800, 800.
На сколько я понял, могу ошибаться, данное оборудование ближе к классу аппаратных файрволлов.
Под катом первичная настройка данной железяки и выход в интернет.

Включение

Открыл, распоковал, подключл консольный кабель, удивился наличию кнопки power.
Загрузка показала мне, что данное устройство работает на основе FreeBSD ARM. Грузится с дефолтной конфигурацией минуты 3.
Никакой документации не читал. Логинюсь.
Со второй попытки угадал root, без пароля.
Тут меня ждало следующее удивление. Там была консоль. Нет не cli, а /bin/sh!
Подсмотрев где-то в интернете выяснилось что для попадания в cli JunOS надо написать, как ни удивительно «cli».

screen /dev/ttyUSB0
root@hostname% whoami
— JUNOS 11.2R4.3 built 2011-11-24 08:11:51 UTC
root
root@hostname% cli
root@hostname>

Первичная настройка

И так первым делом рекомендуется создать пользователя отличного от root.
Далее сменить пароль руту.

> show configuration system | display set
set system root-authentication encrypted-password «Пароль»

set system login user admin class super-user
set system login user admin authentication encrypted-password «Пароль»
В случае, если хотите ввести пароль после ввода команды — используйте:
plain-text-password вместо encrypted-password

В отличие от Cisco команды не применяются немедленно.
Для применения конфигурации необходимо написать

Если все правильно — в ответ будет commit complete.
Если ошибка — выведет где она.

Пароль руту необходимо дать обязательно! Иначе коммит не пройдет.

Просмотр конфигурации и режимы работы

Пока не забыл, как и в Сisco IOS в JunOS есть два основных режима командного интерфейса.
1. для исполнения команд, приглашение заканчивается на «>»
2. для изменения конфигурации, приглашение заканчивается на «#»

Есть еще sh, он заканчивается на «%», но в ближайшее время он нам не пригодится.

Если лень переключаться, из режима конфигурирования для исполнения какой-либо команды, можно добавить в начало команды run.
Например,
#run ping ya.ru

Переход в режим конфигурирования, команда configure, выход в командный — exit

просмотр текущей конфигурации так же возможен в обоих режимах.
из командного —
show configure
из конфигурационного
show

Выводом данных команд является наиболее читаемый, структурированный текст.
например:

show configure services services < ssh; telnet; xnm-clear-text; web-management < management-url my-jweb; http < interface vlan.0; >https < system-generated-certificate; >> dhcp < router < 192.168.8.1; >pool 192.168.8.0/24 < address-range low 192.168.8.100 high 192.168.8.200; >propagate-settings vlan; > >

Удобочитаемо, но не так легко применимо.
Для вывода команд в режиме, в котором их можно легко переносить между устройствами можно добавить | display set

Читайте также:  Роутер как ввести пароль

Пример вывода с display set:
show system services | display set
set system services ssh
set system services telnet
set system services xnm-clear-text
set system services web-management management-url my-jweb
set system services web-management http interface vlan.0
set system services web-management https system-generated-certificate
set system services dhcp router 192.168.8.1
set system services dhcp pool 192.168.8.0/24 address-range low 192.168.8.100
set system services dhcp pool 192.168.8.0/24 address-range high 192.168.8.200
set system services dhcp propagate-settings vlan

В принципе форматированный вывод так же можно скопировать и применить. Вот пример как:

root@trans-el-service# show security nat proxy-arp interface vlan.0 < address < 192.168.8.2/32; 192.168.8.201/32 to 192.168.8.210/32; >>

load merge terminal relative
далее кусок кода, и в конце control+d

Сеть

Интерфейсы

По умолчанию интерфейсы являются членами vlan0, все кроме нулевого. (fe-0/0/0 )

Первый интерфейс я решил вывести из vlan и настроил вот так:
set interfaces fe-0/0/1 unit 0 family inet address 11.11.187.104/25 primary

Интерфейс куда воткнут компьютер:
set interfaces fe-0/0/2 unit 0 family ethernet-switching vlan members vlan-trust

Настройка самих vlan’ов:
set vlans vlan-trust vlan-id 3
set vlans vlan-trust l3-interface vlan.0
set interfaces vlan unit 0 family inet address 192.168.8.1/24
Пусть меня поправят гуру, тут первая строка включает возможность коммутации между интерфейсами, втрая — назначает vlan по умолчанию. Как разберусь по нормальному — отпишусь.

Шлюз по умолчанию:
show routing-options | display set
set routing-options static route 0.0.0.0/0 next-hop 11.11.187.1

DNS были прописаны, но на всякий пожарный
set system name-server 8.8.8.8
set system name-server 8.8.4.4

NAT

Ну вот и подошли к самому интересному.
Сейчас постараюсь рассказать по проще, а усложнять буду в следующей статье.
Начнем понятное дело с source nat, то есть то что нужно большинству роутеров в домашней и smb среде.

И так, все же прежде чем рассказывать о nat, необходимо упомянуть о таком понятии как «зоны».
Зоны, нужны для описания и логического объединения сетей, а так же для описания правил файрволла внутри одной зоны. По умолчанию у нас присутствуют 2 зоны:
первая — trust, отвечает за локальную сеть,
вторая — untrust, отвечает за интернет.

security-zone trust < host-inbound-traffic < system-services < all; >protocols < all; >> interfaces < vlan.0; >> security-zone untrust < screen untrust-screen; host-inbound-traffic < system-services < ssh; ike; https; ping; >> interfaces < fe-0/0/0.0 < host-inbound-traffic < system-services < dhcp; tftp; >> > fe-0/0/1.0; > >

В данном примере описаны как раз те самые 2 зоны.
В зоне trust разрешен весь входящий на интерфейсы траффик.
В зоне untrust разрешены входящие ssh, ike, https, ping.
Здесь мы описываем например сможет ли человек попасть на роутер по ssh, если роутер определил его траффик как зона untrust.

Читайте также:  Роутер ростелеком настройки где найти

Далее мы должны описать разрешения на трафик между зонами:

show security policies from-zone trust to-zone untrust < policy trust-to-untrust < match < source-address any; destination-address any; application any; >then < permit; >> >

этим мы разрешаем маршрутизацию любого внутреннего трафика наружу наружу.

Ну и долгожданный source nat

Завершение

Вторая моя статья на хабре.
Приму любую конструктивную критику и буду ей благодарен. Уверен что во flow-policy на данном оборудовании не очень пока разобрался. Например про screens пока даже не читал.
Следующим этапом будет настройка IPSec site-to-site со сторонним оборудованием. И Dynamic-vpn. Уже реализовано, осталось написать.
Пока не реализовано, но тоже постараюсь успеть:
radius авторизация
2 wan канала
fail over.

Так же передо мной стоит подобная задача на 5505 АСA, но это уже другая история.

Источник

Безопасность Juniper SRX100

Шлюз безопасности Juniper SRX100B2

SRX services gateway 100 with 8xFE ports and base memory (On-board 1GB RAM w/ 512MB Accessible, 1GB FLASH). External power supply and cord included.

Шлюз безопасности Juniper SRX100H-TAA

SRX services gateway 100 with 8xFE ports with high memory (1GB RAM, 1GB FLASH). External power supply and cord included. TAA SKU.

Шлюз безопасности Juniper SRX100H

SRX services gateway 100 with 8xFE ports and high memory (1GB RAM, 1GB FLASH) External power supply and cord included.

Шлюз безопасности Juniper SRX100H2

SRX services gateway 100 with 8xFE ports with 2GB DRAM and 2GB Flash. External power supply and cord included.

Шлюз безопасности Juniper SRX100B

SRX services gateway 100 with 8xFE ports and base memory (On-board 1GB RAM w/ 512MB Accessible, 1GB FLASH). External power supply and cord included.

Шлюз безопасности Juniper SRX100 обеспечивает безопасность маршрутизации и поддерживает межсетевые экраны с пропускной способностью до 650 Мбит/с и IPsec VPN со скоростью 65 Мбит/с. Устройство оснащено дополнительными функциями обеспечения безопасности, Firewall и VPN, в том числе унифицированной защитой от угроз (UTM), включающей систему предотвращения вторжений (IPS), фильтры для защиты от вирусов и спама и веб-фильтрацию.

Juniper SRX100 имеет 8 Ethernet портов на борту и производительность 70 тыс. пкт/с. Как и другие устройства Juniper, шлюз безопасности SRX100 работает под управлением операционной системы Junos. Дополнительные модули и лицензии помогают расширить функционал устройств Juniper SRX100.

Читайте также:  Роутер кинетик не работает wifi

Шлюз SRX100 — оптимальное решение для защиты небольших распределенных корпоративных сетей и удаленных работников.

Источник

Шлюз безопасности Juniper SRX100H2

Juniper

SRX services gateway 100 with 8xFE ports with 2GB DRAM and 2GB Flash. External power supply and cord included.

array(8) < ["OPTIONS"]=>array(12) < ["SHOW_BASKET_ONADDTOCART"]=>bool(true) ["USE_PRODUCT_QUANTITY_LIST"]=> bool(true) ["USE_PRODUCT_QUANTITY_DETAIL"]=> bool(true) ["BUYNOPRICEGGOODS"]=> string(7) "NOTHING" ["BUYMISSINGGOODS"]=> string(3) "ADD" ["EXPRESSION_ORDER_BUTTON"]=> string(17) "Под заказ" ["EXPRESSION_ORDER_TEXT"]=> string(125) "Наши менеджеры обязательно свяжутся с вами и уточнят условия заказа" ["EXPRESSION_SUBSCRIBE_BUTTON"]=> string(22) "Подписаться" ["EXPRESSION_SUBSCRIBED_BUTTON"]=> string(20) "Отписаться" ["EXPRESSION_ADDTOBASKET_BUTTON_DEFAULT"]=> string(17) "В корзину" ["EXPRESSION_ADDEDTOBASKET_BUTTON_DEFAULT"]=> string(17) "В корзине" ["EXPRESSION_READ_MORE_OFFERS_DEFAULT"]=> string(18) "Подробнее" > ["TEXT"]=> array(2) < [0]=>string(17) "В корзину" [1]=> string(17) "В корзине" > ["HTML"]=> string(671) " В корзину В корзине " ["ACTION"]=> string(3) "ADD" ["RATIO_ITEM"]=> int(1) ["MIN_QUANTITY_BUY"]=> int(1) ["MAX_QUANTITY_BUY"]=> float(974) ["CAN_BUY"]=> bool(true) >

100% лучшая цена100% лучшая цена бесплатная доставка по Россиибесплатная доставка по России любая форма оплатылюбая форма оплаты сервисный центрсервисный центр расширенная гарантия (NBD)расширенная гарантия (NBD)

Технические характеристики Juniper SRX100H2

Описание Juniper SRX100H2

Шлюз безопасности Juniper SRX100 обеспечивает безопасность маршрутизации и поддерживает межсетевые экраны с пропускной способностью до 650 Мбит/с и IPsec VPN со скоростью 65 Мбит/с. Устройство оснащено дополнительными функциями обеспечения безопасности, Firewall и VPN, в том числе унифицированной защитой от угроз (UTM), включающей систему предотвращения вторжений (IPS), фильтры для защиты от вирусов и спама и веб-фильтрацию.

Juniper SRX100 имеет 8 Ethernet портов на борту и производительность 70 тыс. пкт/с. Как и другие устройства Juniper, шлюз безопасности SRX100 работает под управлением операционной системы Junos . Дополнительные модули и лицензии помогают расширить функционал устройств Juniper SRX100 .

Шлюз SRX100 — оптимальное решение для защиты небольших распределенных корпоративных сетей и удаленных работников.

Источник

Juniper SRX100B

Перед приобретением Juniper SRX100B по самой низкой цене, изучите характеристики, видео обзоры, плюсы и минусы модели, отзывы покупателей.

Характеристики Juniper SRX100B

Маршрутизатор *

SPI есть
NAT есть
Демилитаризованная зона (DMZ) есть
DHCP-сервер есть
Межсетевой экран (Firewall) есть

VPN *

Поддержка VPN (VPN pass through) есть
Поддержка VPN-туннелей (VPN Endpoint) есть
Поддержка L2TP есть
Поддержка IPSec есть
Поддержка PPTP есть
Число поддерживаемых VPN-туннелей 128

Мониторинг и конфигурирование *

Web-интерфейс есть
Поддержка SNMP есть
Консольный порт есть
Поддержка Telnet есть

Протоколы маршрутизации *

Статическая маршрутизация есть
Поддержка IGMP v3 есть
Поддержка OSPF есть
Поддержка RIP v1 есть
Поддержка IGMP v2 есть
Поддержка RIP v2 есть
Поддержка IGMP v1 есть

* Точные параметры уточняйте на сайте продавца.

Источник

Оцените статью
Adblock
detector