Juniper SRX100, знакомство
На днях мне привезли долгожданный Juniper SRX100.
До этого времени в основном общался с Cisco и серией роутеров, типа 2800, 800.
На сколько я понял, могу ошибаться, данное оборудование ближе к классу аппаратных файрволлов.
Под катом первичная настройка данной железяки и выход в интернет.
Включение
Открыл, распоковал, подключл консольный кабель, удивился наличию кнопки power.
Загрузка показала мне, что данное устройство работает на основе FreeBSD ARM. Грузится с дефолтной конфигурацией минуты 3.
Никакой документации не читал. Логинюсь.
Со второй попытки угадал root, без пароля.
Тут меня ждало следующее удивление. Там была консоль. Нет не cli, а /bin/sh!
Подсмотрев где-то в интернете выяснилось что для попадания в cli JunOS надо написать, как ни удивительно «cli».
screen /dev/ttyUSB0
root@hostname% whoami
— JUNOS 11.2R4.3 built 2011-11-24 08:11:51 UTC
root
root@hostname% cli
root@hostname>
Первичная настройка
И так первым делом рекомендуется создать пользователя отличного от root.
Далее сменить пароль руту.
> show configuration system | display set
set system root-authentication encrypted-password «Пароль»
set system login user admin class super-user
set system login user admin authentication encrypted-password «Пароль»
В случае, если хотите ввести пароль после ввода команды — используйте:
plain-text-password вместо encrypted-password
В отличие от Cisco команды не применяются немедленно.
Для применения конфигурации необходимо написать
Если все правильно — в ответ будет commit complete.
Если ошибка — выведет где она.
Пароль руту необходимо дать обязательно! Иначе коммит не пройдет.
Просмотр конфигурации и режимы работы
Пока не забыл, как и в Сisco IOS в JunOS есть два основных режима командного интерфейса.
1. для исполнения команд, приглашение заканчивается на «>»
2. для изменения конфигурации, приглашение заканчивается на «#»
Есть еще sh, он заканчивается на «%», но в ближайшее время он нам не пригодится.
Если лень переключаться, из режима конфигурирования для исполнения какой-либо команды, можно добавить в начало команды run.
Например,
#run ping ya.ru
Переход в режим конфигурирования, команда configure, выход в командный — exit
просмотр текущей конфигурации так же возможен в обоих режимах.
из командного —
show configure
из конфигурационного
show
Выводом данных команд является наиболее читаемый, структурированный текст.
например:
show configure services services < ssh; telnet; xnm-clear-text; web-management < management-url my-jweb; http < interface vlan.0; >https < system-generated-certificate; >> dhcp < router < 192.168.8.1; >pool 192.168.8.0/24 < address-range low 192.168.8.100 high 192.168.8.200; >propagate-settings vlan; > >
Удобочитаемо, но не так легко применимо.
Для вывода команд в режиме, в котором их можно легко переносить между устройствами можно добавить | display set
Пример вывода с display set:
show system services | display set
set system services ssh
set system services telnet
set system services xnm-clear-text
set system services web-management management-url my-jweb
set system services web-management http interface vlan.0
set system services web-management https system-generated-certificate
set system services dhcp router 192.168.8.1
set system services dhcp pool 192.168.8.0/24 address-range low 192.168.8.100
set system services dhcp pool 192.168.8.0/24 address-range high 192.168.8.200
set system services dhcp propagate-settings vlan
В принципе форматированный вывод так же можно скопировать и применить. Вот пример как:
root@trans-el-service# show security nat proxy-arp interface vlan.0 < address < 192.168.8.2/32; 192.168.8.201/32 to 192.168.8.210/32; >>
load merge terminal relative
далее кусок кода, и в конце control+d
Сеть
Интерфейсы
По умолчанию интерфейсы являются членами vlan0, все кроме нулевого. (fe-0/0/0 )
Первый интерфейс я решил вывести из vlan и настроил вот так:
set interfaces fe-0/0/1 unit 0 family inet address 11.11.187.104/25 primary
Интерфейс куда воткнут компьютер:
set interfaces fe-0/0/2 unit 0 family ethernet-switching vlan members vlan-trust
Настройка самих vlan’ов:
set vlans vlan-trust vlan-id 3
set vlans vlan-trust l3-interface vlan.0
set interfaces vlan unit 0 family inet address 192.168.8.1/24
Пусть меня поправят гуру, тут первая строка включает возможность коммутации между интерфейсами, втрая — назначает vlan по умолчанию. Как разберусь по нормальному — отпишусь.
Шлюз по умолчанию:
show routing-options | display set
set routing-options static route 0.0.0.0/0 next-hop 11.11.187.1
DNS были прописаны, но на всякий пожарный
set system name-server 8.8.8.8
set system name-server 8.8.4.4
NAT
Ну вот и подошли к самому интересному.
Сейчас постараюсь рассказать по проще, а усложнять буду в следующей статье.
Начнем понятное дело с source nat, то есть то что нужно большинству роутеров в домашней и smb среде.
И так, все же прежде чем рассказывать о nat, необходимо упомянуть о таком понятии как «зоны».
Зоны, нужны для описания и логического объединения сетей, а так же для описания правил файрволла внутри одной зоны. По умолчанию у нас присутствуют 2 зоны:
первая — trust, отвечает за локальную сеть,
вторая — untrust, отвечает за интернет.
security-zone trust < host-inbound-traffic < system-services < all; >protocols < all; >> interfaces < vlan.0; >> security-zone untrust < screen untrust-screen; host-inbound-traffic < system-services < ssh; ike; https; ping; >> interfaces < fe-0/0/0.0 < host-inbound-traffic < system-services < dhcp; tftp; >> > fe-0/0/1.0; > >
В данном примере описаны как раз те самые 2 зоны.
В зоне trust разрешен весь входящий на интерфейсы траффик.
В зоне untrust разрешены входящие ssh, ike, https, ping.
Здесь мы описываем например сможет ли человек попасть на роутер по ssh, если роутер определил его траффик как зона untrust.
Далее мы должны описать разрешения на трафик между зонами:
show security policies from-zone trust to-zone untrust < policy trust-to-untrust < match < source-address any; destination-address any; application any; >then < permit; >> >
этим мы разрешаем маршрутизацию любого внутреннего трафика наружу наружу.
Ну и долгожданный source nat
Завершение
Вторая моя статья на хабре.
Приму любую конструктивную критику и буду ей благодарен. Уверен что во flow-policy на данном оборудовании не очень пока разобрался. Например про screens пока даже не читал.
Следующим этапом будет настройка IPSec site-to-site со сторонним оборудованием. И Dynamic-vpn. Уже реализовано, осталось написать.
Пока не реализовано, но тоже постараюсь успеть:
radius авторизация
2 wan канала
fail over.
Так же передо мной стоит подобная задача на 5505 АСA, но это уже другая история.
Безопасность Juniper SRX100
SRX services gateway 100 with 8xFE ports and base memory (On-board 1GB RAM w/ 512MB Accessible, 1GB FLASH). External power supply and cord included.
SRX services gateway 100 with 8xFE ports with high memory (1GB RAM, 1GB FLASH). External power supply and cord included. TAA SKU.
SRX services gateway 100 with 8xFE ports and high memory (1GB RAM, 1GB FLASH) External power supply and cord included.
SRX services gateway 100 with 8xFE ports with 2GB DRAM and 2GB Flash. External power supply and cord included.
SRX services gateway 100 with 8xFE ports and base memory (On-board 1GB RAM w/ 512MB Accessible, 1GB FLASH). External power supply and cord included.
Шлюз безопасности Juniper SRX100 обеспечивает безопасность маршрутизации и поддерживает межсетевые экраны с пропускной способностью до 650 Мбит/с и IPsec VPN со скоростью 65 Мбит/с. Устройство оснащено дополнительными функциями обеспечения безопасности, Firewall и VPN, в том числе унифицированной защитой от угроз (UTM), включающей систему предотвращения вторжений (IPS), фильтры для защиты от вирусов и спама и веб-фильтрацию.
Juniper SRX100 имеет 8 Ethernet портов на борту и производительность 70 тыс. пкт/с. Как и другие устройства Juniper, шлюз безопасности SRX100 работает под управлением операционной системы Junos. Дополнительные модули и лицензии помогают расширить функционал устройств Juniper SRX100.
Шлюз SRX100 — оптимальное решение для защиты небольших распределенных корпоративных сетей и удаленных работников.
Шлюз безопасности Juniper SRX100H2
SRX services gateway 100 with 8xFE ports with 2GB DRAM and 2GB Flash. External power supply and cord included.
array(8) < ["OPTIONS"]=>array(12) < ["SHOW_BASKET_ONADDTOCART"]=>bool(true) ["USE_PRODUCT_QUANTITY_LIST"]=> bool(true) ["USE_PRODUCT_QUANTITY_DETAIL"]=> bool(true) ["BUYNOPRICEGGOODS"]=> string(7) "NOTHING" ["BUYMISSINGGOODS"]=> string(3) "ADD" ["EXPRESSION_ORDER_BUTTON"]=> string(17) "Под заказ" ["EXPRESSION_ORDER_TEXT"]=> string(125) "Наши менеджеры обязательно свяжутся с вами и уточнят условия заказа" ["EXPRESSION_SUBSCRIBE_BUTTON"]=> string(22) "Подписаться" ["EXPRESSION_SUBSCRIBED_BUTTON"]=> string(20) "Отписаться" ["EXPRESSION_ADDTOBASKET_BUTTON_DEFAULT"]=> string(17) "В корзину" ["EXPRESSION_ADDEDTOBASKET_BUTTON_DEFAULT"]=> string(17) "В корзине" ["EXPRESSION_READ_MORE_OFFERS_DEFAULT"]=> string(18) "Подробнее" > ["TEXT"]=> array(2) < [0]=>string(17) "В корзину" [1]=> string(17) "В корзине" > ["HTML"]=> string(671) " В корзину В корзине " ["ACTION"]=> string(3) "ADD" ["RATIO_ITEM"]=> int(1) ["MIN_QUANTITY_BUY"]=> int(1) ["MAX_QUANTITY_BUY"]=> float(974) ["CAN_BUY"]=> bool(true) >
100% лучшая цена 
бесплатная доставка по России 
любая форма оплаты 
сервисный центр 
расширенная гарантия (NBD)
Технические характеристики Juniper SRX100H2
Описание Juniper SRX100H2
Шлюз безопасности Juniper SRX100 обеспечивает безопасность маршрутизации и поддерживает межсетевые экраны с пропускной способностью до 650 Мбит/с и IPsec VPN со скоростью 65 Мбит/с. Устройство оснащено дополнительными функциями обеспечения безопасности, Firewall и VPN, в том числе унифицированной защитой от угроз (UTM), включающей систему предотвращения вторжений (IPS), фильтры для защиты от вирусов и спама и веб-фильтрацию.
Juniper SRX100 имеет 8 Ethernet портов на борту и производительность 70 тыс. пкт/с. Как и другие устройства Juniper, шлюз безопасности SRX100 работает под управлением операционной системы Junos . Дополнительные модули и лицензии помогают расширить функционал устройств Juniper SRX100 .
Шлюз SRX100 — оптимальное решение для защиты небольших распределенных корпоративных сетей и удаленных работников.
Juniper SRX100B
Перед приобретением Juniper SRX100B по самой низкой цене, изучите характеристики, видео обзоры, плюсы и минусы модели, отзывы покупателей.
Характеристики Juniper SRX100B
Маршрутизатор *
| SPI | есть |
| NAT | есть |
| Демилитаризованная зона (DMZ) | есть |
| DHCP-сервер | есть |
| Межсетевой экран (Firewall) | есть |
VPN *
| Поддержка VPN (VPN pass through) | есть |
| Поддержка VPN-туннелей (VPN Endpoint) | есть |
| Поддержка L2TP | есть |
| Поддержка IPSec | есть |
| Поддержка PPTP | есть |
| Число поддерживаемых VPN-туннелей | 128 |
Мониторинг и конфигурирование *
| Web-интерфейс | есть |
| Поддержка SNMP | есть |
| Консольный порт | есть |
| Поддержка Telnet | есть |
Протоколы маршрутизации *
| Статическая маршрутизация | есть |
| Поддержка IGMP v3 | есть |
| Поддержка OSPF | есть |
| Поддержка RIP v1 | есть |
| Поддержка IGMP v2 | есть |
| Поддержка RIP v2 | есть |
| Поддержка IGMP v1 | есть |
* Точные параметры уточняйте на сайте продавца.