这段时间公司买了juniper,而且是SRX系列,以前从没接触过,网上下了教程,现在终于有一点点了解,赶紧写下来,省的以后忘了,嘿嘿!

首先cli进入操作模式,然后configure进入配置模式,首先是配置口令:

设置root用户口令

root# set system root-authentication plain-text-password

root# new password : root123     

root# retype new password: root123
 
root# show system root-authentication(这条命令是让密码一密文形式显示,不至于被别人看到哈)
设置远程登陆管理用户
root# set system login user lab class super-user authentication plain-text-password
root# new password : lab123
root# retype new password: lab123
其中lab为自己定义的用户名字,随便定义哈。
 
run set date YYYYMMDDhhmm.ss      设置系统时钟
set system time-zone Asia/Shanghai       设置时区为上海
set system host-name SRX3400-A         设置主机名
set system name-server 1.1.1.1                设置DNS服务器
set system services ftp           开启ftp远程接入管理 
set system services telnet                              开启telnet管理
set system services web-management http  开启web管理
下面是配置接口的IP:
set interfaces ge-0/0/0.0 family inet address 10.1.1.1/24
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24其中的unit 0代表逻辑接口,自己认为是不存在的,嘿嘿。
 
下面是路由的配置,原理跟cisco差不多,只是命令不一样:
set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
这条命令的意思是:添加一条到任何地址(也就是0.0.0.0/0)的网关为10.1.1.1的路由。
 
在juniper中定义了zone,对于这个我这个初学者也说不上来,反正每个人又每个人的理解,也就那回事,哈哈。juniper还分为trust和untrust,分别是信任区域和非信任区域。这个不难理解,可以定义的,比如公司内部当然是trust,外部当然是untrust了。
下面一条命令就是把接口定义到信任或非信任里边:
set security zones security-zone untrust interfaces ge-0/0/0.0 
定义接口ge-0/0/0.0为untrust(非信任区域)
 
下面一条命令是在untrust zone 允许访问远程管理服务,SRX是基于zone开放的,我个人作为初学者的理解是,untrust设置了,那么相当于虽然你在上面开了远程功能,但是不能访问,只能在untrust区域中在允许,呵呵!具体命令:
set security zones security-zone untrust host-inbound-traffic system-services ping
set security zones security-zone untrust host-inbound-traffic system-services http
set security zones security-zone untrust host-inbound-traffic system-services telnet
分别允许ping,http,telnet当然你不想让ping了,就不打这条命令,如果打了想删除就把命令前面的set换成delete。
 
下面是policy:
在juniper中,policy一般套路是,首先定义trust和untrust的地址池,然后再定义trust到untrust,或者是untrust到trust,然后再定义是允许还是拒绝。
首先定义地址对象:
 
set security zones security-zone trust address-book address pc1 10.1.1.10/32
 
这条命令中 security-zone是指源地址,trust是信任区域 pc1是自己定义的名字
也就是pc1代表10.1.1.10/32.
 
set security zones security-zone untrust address-book address server1 10.0.2.1/32
 
此命令意思同上。

set security zones security-zone trust address-book address-set addr-group1 address pc1

这条命令的意思是把trust加入一个组,组的作用很多人知道,就是为了方便。

定义完后,就是该做具体策略:

set security policies from-zone trust to-zone untrust policy 001 match source-address addr-group1 destination-address server1 application any

在这条命令中:

policies                                                             策略

from-zone  trust to-zone untrust                         从信任区到非信任区

policy 001                                                         策略名字定义为001

source-address addr-group1 destination-address server1     

源地址group1到目的地址 server1(group1和server1就是上面定义的,真是的不知道能不能一条命令搞定哈!)

最后定义是信任那还是不信任哈

set security policies from-zone trust to-zone untrust policy 001 then permit

permit那就是信任了。trust untrust方向permit策略,允许addr-group1组的源地址访问server1地址any。