Tìm hiểu cấu hình mặc định Juniper SRX

Discussion in 'JNCIA' started by thanhdc, Oct 7, 2014.

  1. thanhdc

    thanhdc Super Moderator

    Joined:
    Aug 10, 2014
    Messages:
    139
    Likes Received:
    1
    Trophy Points:
    18
    Dùng cáp console nối với cổng console trên Juniper SRX để bắt kết nối tới thiết bị.
    Nếu thành công bạn sẽ thấy màn hình yêu cầu nhập username và password để login vào hệ thống.

    [TABLE="class: grid, width: 800"]

    ==============================================
    Amnesiac (ttyd0)

    login: root

    --- JUNOS 12.1X47-D10.4 built 2014-08-14 22:59:01 UTC
    root@%
    root@% cli
    root> configure
    Entering configuration mode
    Users currently editing the configuration:
    root terminal v0 (pid 1229) on since 2014-10-07 11:30:52 UTC, idle 00:01:01
    [edit]

    [edit]
    root# show
    ## Last changed: 2014-10-07 11:29:53 UTC
    version 12.1X47-D10.4;
    system {
    autoinstallation {
    delete-upon-commit; ## Deletes [system autoinstallation]
    upon change/commit

    traceoptions {
    level verbose;
    flag {
    all;
    }
    }
    }
    services {
    ssh;
    web-management {
    http {
    interface ge-0/0/0.0;
    }
    }
    }
    syslog {
    user * {
    any emergency;
    }
    file messages {
    any any;
    authorization info;
    }
    file interactive-commands {
    interactive-commands any;
    }
    }
    license {
    autoupdate {
    }
    }
    ## Warning: missing mandatory statement(s): 'root-authentication'
    }

    interfaces {
    ge-0/0/0 {
    unit 0;
    }
    }

    security {
    screen {
    ids-option untrust-screen {
    icmp {
    ping-death;
    }
    ip {
    source-route-option;
    tear-drop;
    }
    tcp {
    syn-flood {
    alarm-threshold 1024;
    attack-threshold 200;
    source-threshold 1024;
    destination-threshold 2048;
    queue-size 2000; ## Warning: 'queue-size' is deprecated
    timeout 20;
    }
    land;
    }
    }
    }

    policies {
    from-zone trust to-zone trust {
    policy default-permit {
    match {
    source-address any;
    destination-address any;
    application any;
    }
    then {
    permit;
    }
    }
    }
    from-zone trust to-zone untrust {
    policy default-permit {
    match {
    source-address any;
    destination-address any;
    application any;
    }
    then {
    permit;
    }
    }
    }
    from-zone untrust to-zone trust {
    policy default-deny {
    match {
    source-address any;
    destination-address any;
    application any;
    }
    then {
    deny;
    }
    }
    }
    }

    zones {
    security-zone trust {
    tcp-rst;
    }
    security-zone untrust {
    screen untrust-screen;
    interfaces {
    ge-0/0/0.0 {
    host-inbound-traffic {
    system-services {
    http;
    https;
    ssh;
    telnet;
    dhcp;
    }
    }
    }
    }
    }
    }
    }

    [edit]
    root#

    +login vào hệ thống (mặc định password của user root là “password rỗng”




    +Vào mod cli

    +Vào mod config





    +Show tất cả cấu hình













    +Mặc định các dịch ssh được enable;

    dịch vụ web-management được enable và chỉ cho phép
    truy cập http vào cổng ge-0/0/0.0
























    +Mặc định cổng ge-0/0/0 cho phép nhận ip động, các cổng còn lại thì ko




    +Mặc định đã enable các tính năng chống dos như ping of death, tear-drop, sys-flood, land























    +Mặc định cho phép truy cập đối với các PC trong cùng zone trust









    +Mặc định cho phép truy cập từ zone trust tới zone untrust










    +Mặc định cấm truy cập từ zone untrust tới zone trust











    Mặc đinh zone trust, untrust đã được tạo sẵn
    zone trust tương tự như Inside, zone untrust tương tự như Outside bên ASA

    +zone trust:


    +zone untrust:
    cổng ge-0/0/0.0 thuộc zone untrust và chỉ cho phép các dịch vụ http, https, ssh, telnet, dhcp được phép truy cập vào
    [/TABLE]



    Mặc định cổng đầu tiên ge-0/0/0 thuộc zone untrust, và cho phép các traffic dhcp http https ssh telnet truy cập vào
    và được gán địa chỉ IP mặc định là 192.168.1.1/24

    Các cổng tiếp ge-0/0/1, ge-0/0/2,..., chưa được gán cho bất kỳ zone nào,và ko cho phép bất traffic nào truy cập vào, và được gán địa chỉ IP mặc định là 192.168.2.1/24, 192.168.3.1/24,....

    [TABLE="class: grid, width: 800"]

    root> show interfaces ge-0/0/0 brief
    Physical interface: ge-0/0/0, Enabled, Physical link is Up
    =Link-level type: Ethernet, MTU: 1514, Speed: 1000mbps, Loopback: Disabled,
    =Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled,
    =Remote fault: Online
    =Device flags : Present Running
    =Interface flags: SNMP-Traps Internal: 0x4000
    =Link flags : None

    =Logical interface ge-0/0/0.0
    ==Flags: SNMP-Traps 0x4000 Encapsulation: ENET2
    ==Security: Zone: untrust
    ==Allowed host-inbound traffic : dhcp http https ssh telnet
    ==inet 192.168.1.1/24

    root> show interfaces ge-0/0/1 brief
    Physical interface: ge-0/0/1, Enabled, Physical link is Up
    =Link-level type: Ethernet, MTU: 1514, Speed: 1000mbps, Loopback: Disabled,
    =Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled,
    =Remote fault: Online
    =Device flags : Present Running
    =Interface flags: SNMP-Traps Internal: 0x4000
    =Link flags : None

    =Logical interface ge-0/0/1.0
    ==Flags: SNMP-Traps 0x4000 Encapsulation: ENET2
    ==Security: Zone: Null
    ==inet 192.168.2.1/24

    root> show interfaces ge-0/0/2 brief
    Physical interface: ge-0/0/2, Enabled, Physical link is Up
    =Link-level type: Ethernet, MTU: 1514, Speed: 1000mbps, Loopback: Disabled,
    =Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled,
    =Remote fault: Online
    =Device flags : Present Running
    =Interface flags: SNMP-Traps Internal: 0x4000
    =Link flags : None

    =Logical interface ge-0/0/2.0
    ==Flags: SNMP-Traps 0x4000 Encapsulation: ENET2
    ==Security: Zone: Null
    ==inet 192.168.3.1/24


    [/TABLE]



    Bạn lấy 1 PC kết nối với cổng ge-0/0/0 của Juniper SRX, và gán địa IP cho card mạng của PC thuộc network 192.168.1.0/24 (vi dụ: 192.168.1.100/24) bạn ko thể ping tới địa chỉ 192.168.1.1, nhưng bạn có thể truy cập web http://192.168.1.1 để vào giao diên web-management của Juniper SRX...


    [​IMG]


    [​IMG]


    SSH vào được nhưng ko cho phép login do bạn chưa đặt password cho user root

    [​IMG]


    Để đặt password cho user root,
    khi đặt xong nhớ chạy lệnh commit để apply cấu hình

    [​IMG]


    Nhưng lưu ý là sau khi đặt xong password cho user root và commit thì tất cả các địa chỉ IP mặc định
    đã gán cho các cổng ge-0/0/0, ge-0/0/1, ge-0/0/0 … sẽ được xóa hết

    [TABLE="class: grid, width: 800"]

    root> show interfaces ge-0/0/0 terse
    Interface Admin Link Proto Local Remote
    ge-0/0/0 up up
    ge-0/0/0.0 up up

    root> show interfaces ge-0/0/1 terse
    Interface Admin Link Proto Local Remote
    ge-0/0/1 up up

    root> show interfaces ge-0/0/2 terse
    Interface Admin Link Proto Local Remote
    ge-0/0/2 up up
    [/TABLE]
     
    Last edited: Oct 7, 2014
  2. Thangddk

    Thangddk New Member

    Joined:
    Dec 28, 2015
    Messages:
    1
    Likes Received:
    0
    Trophy Points:
    0
    Occupation:
    CNTT
    Location:
    Hà Nội
    Cảm ơn bạn rất nhiều
     

Share This Page