Juniper防火墙基本命令.docx

Juniper防火墙基本命令.docx

《Juniper防火墙基本命令.docx》由会员分享，可在线阅读，更多相关《Juniper防火墙基本命令.docx（10页珍藏版）》请在冰点文库上搜索。

Juniper防火墙基本命令

Juniper防火墙基本命令

Juniper防火墙基本命令

常用查看命令Getint

查看接口配置信息Getintethx/x

查看指定接口配置信息Getmip

查看映射ip关系Getroute

查看路由表Getpolicyidx

查看指定策略Getnsrp

查看nsrp信息，后可接参数查看具体vsd组、端口监控设置等

Getpercpude

查看cpu利用率信息Getpersessionde

查看每秒新建会话信息　Getsession

查看当前会话信息，后可匹配源地址、源端口、目的地址、目的端口、协议等选项

　Getsessioninfo

查看当前会话数量Getsystem

查看系统信息，包括当前os版本，接口信息，设备运行时间等

Getchaiss

查看设备及板卡序列号，查看设备运行温度

Getcounterstat

查看所有接口计数信息

Getcounterstatethx/x

查看指定接口计数信息

Getcounterflowzonetrust/untrust

查看指定区域数据流信息

Getcounterscreenzoneuntrust/trust

查看指定区域攻击防护统计信息

Gettech-support

查看设备状态命令集，一般在出现故障时，收集该信息寻求JTAC支持

常用设置命令Setintethx/xzonetrust/untrust/dmz/ha

配置指定接口进入指定区域（trust/untrust/dmz/ha等）

Setintethx/xipx.x.x.x/xx

配置指定接口ip地址Setintethx/xmanage

配置指定接口管理选项，打开所有管理选项

Setintethx/xmanageweb/telnet/ssl/ssh

配置指定接口指定管理选项

Setintethx/xphyfull100mb

配置指定接口速率及双工方式

Setintethx/xphylink-down

配置指定接口shutdown

Setnsrpvsdid0monitorinterfaceethx/x

配置ha监控端口，如此端口断开，则设备发生主/备切换

Execnsrpvsd0modebackup

手工进行设备主/备切换，在当前的主设备上执行

setroute0.0.0.0/0interfaceethernet1/3gateway222.92.116.33

配置路由，需同时指定下一跳接口及ip地址

所有set命令，都可以通过unset命令来取消，相当于cisco中的no

所有命令都可以通过“TAB”键进行命令补全，通过“?

”来查看后续支持的命令

防火墙基本配置

createaccount[admin|user]回车

输入密码：

再次输入密码：

configureaccountadmin回车

输入密码：

再次输入密码：

2.port配置

configportsautooff{speed[10|100|1000]}duplex[half|full]autooff

3.Vlan配置

无论是核心还是接入层，都要先创建三个Vlan，并且将所有归于DefaultVlan的端口删除：

configvlandefaultdelportall

createvlanServer

createvlanUser

createvlanManger

定义802.1q标记

configvlanServertag10

configvlanUsertag20

configvlanMangertag30

设定Vlan网关地址：

configvlanServeripa192.168.41.1/24

configvlanUseripa192.168.40.1/24

configvlanMangeripa192.168.*.*/24

Enableipforwarding启用ip路由转发，即vlan间路由

Trunk配置

configvlanServeraddport1-3t

configvlanUseraddport1-3t

configvlanmangeraddport1-3t

4.VRRP配置

enablevrrp

configurevrrpaddvlanUserVlan

configurevrrpvlanUserVlanaddmastervrid10192.168.6.254

configurevrrpvlanUserVlanauthenticationsimple-passwordextreme

configurevrrpvlanUserVlanvrid10priority200

configurevrrpvlanUserVlanvrid10advertisement-interval15

configurevrrpvlanUserVlanvrid10preempt

5.端口镜像配置

首先将端口从VLAN中删除

enablemirroringtoport3＃选择3作为镜像口

configmirroringaddport1＃把端口1的流量发送到3

configmirroringaddport1vlandefault＃把1和vlandefault的流量都发送到3

6.port-channel配置

enablesharinggrouping{port-based|address-based|round-robin}

showportsharing//查看配置

7.stp配置

enablestpd//启动生成树

createstpdstp-name//创建一个生成树

configurestpdaddvlan{ports[dot1d|emistp|pvst-plus]}

configurestpdstpd1priority16384

configurevlanmarketingaddports2-3stpdstpd1emistp

8.DHCP中继配置

enablebootprelay

configbootprelayadd

9.NAT配置

Enablenat＃启用nat

StaticNATRuleExample

confignataddout_vlan_1mapsource192.168.1.12/32to216.52.8.32/32

DynamicNATRuleExample

confignataddout_vlan_1mapsource192.168.1.0/24to216.52.8.1-216.52.8.31

PortmapNATRuleExample

confignataddout_vlan_2mapsource192.168.2.0/25to216.52.8.32/28bothportmap

PortmapMin-MaxExample

confignataddout_vlan_2mapsource192.168.2.128/25to216.52.8.64/28tcpportmap1024-8192

10.OSPF配置

enableospf启用OSPF进程

createospfarea创建OSPF区域

configureospfrouterid[automatic|]配置Routerid

configureospfaddvlan[|all]area{passive}把某个vlan加到某个Area中去，相当于Cisco中的

network的作用

configureospfareaaddrange[advertise|noadvertise]{type-3|type-7}把某个网段加到

某个Area中去，相当于Cisco中的network的作用

configureospfvlanneighboradd

OSPF中路由重发布配置

enableospfexportdirect[cost[ase-type-1|ase-type-2]{tag}|]

enableospfexportstatic[cost[ase-type-1|ase-type-2]{tag}|]

enableospforiginate-default{always}cost[ase-type-1|ase-type-2]{tag}

enableospforiginate-router-id

11.SNMP配置

enablesnmpaccess

enablesnmptraps

createaccess-profiletype[ipaddress|vlan]

configsnmpaccess-profilereadonly[|none]配置snmp的只读访问列表，none是去除

configsnmpaccess-profilereadwrite[|none]这是控制读写控制

configsnmpaddtrapreceiver{port}community{from}配置snmp接

收host和团体字符串

12.安全配置

disableip-optionloose-source-route

disableip-optionstrict-source-route

disableip-optionrecord-route

disableip-optionrecord-timestamp

disableipforwardingbroadcast

disableudp-echo-server

disableirdpvlan

disableicmpredirect

disableweb关闭web方式访问交换机

enablecpu-dos-protect

13.Access－Lists配置

createaccess-listicmpdestinationsource

createaccess-listipdestinationsourceports

createaccess-listtcpdestinationsourceports

createaccess-listudpdestinationsourceports

14.默认路由配置

configiprouteadddefault

15.恢复出厂值，但不包括用户改的时间和用户帐号信息

unconfigswitch{all}

16.检查配置

showversion

showconfig

showsession

showmanagement查看管理信息，以及snmp信息

showbanner

showportsconfiguration

showportsutilization?

showmemory/showcpu-monitoring

showospf

showaccess-list{|port}

showaccess-list-monitor

showospfarea

showospfareadetail

showospfase-summary

showospfinterfaces{vlan|area}

unconfigureospf{vlan|area}

switch

showswitch

showconfig

showdiag

showiparp

showiproute

showipstat

showlog

showtechall

showversiondetail

17.备份和升级软件

downloadimage[|]{primary|secondary}

uploadimage[|]{primary|secondary}

useimage[primary|secondary]

18.密码恢复。

Extreme交换机在你丢失或忘记密码后，需要重新启动交换机，常按空格键，进入Bootrom模式，输入“h”，

选择“d:

ForceFactorydefaultconfiguration”清除配置文件，最后选择“f:

Bootonboardflash”

重新启动后密码会被清除掉。

注意：

恢复密码后，以前的配置文件将会被清空。

对于extremex450e-48p进入bootrom后输入h，然后boot1回车即可

19.switchlicese的添加：

enablelicesexxxx-xxxx-xxxx-xxxx-xxxx

会提示添加成功，显示AdvancedEdge为成功

HN-HUAIHUA-ANQUAN-LS1.33#showlicenses

EnabledLicenseLevel:

AdvancedEdge

EnabledFeaturePacks:

None

步骤：

a，HN-HUAIHUA-ANQUAN-LS1.34#showversion

Switch:

800190-00-040804G-80211Rev4.0BootROM:

1.0.2.2IMG:

11.6.1.9

XGM2-1:

Image:

ExtremeXOSversion11.6.1.9v1161b9byrelease-manager

onWedNov2922:

40:

47PST2006

BootROM:

1.0.2.2

其中0804G-80211为交换机的serialnumber

b然后在装有licese的信封里找到voucherserialnumber

c根据这两个serialnumber在指定网站上查找liceses的key共16位，

d然后enablelicese输入key值即可