По настройке роутеров Juniper SRX уже есть несколько статей (например, один раз , два , три и т. д.).
В этой статье я постараюсь закрепить полезную информацию, дополнив ее приятными мелочами.
Прошу всех интересующихся под катом.
Ко мне в руки попал новенький Juniper SRX240B и к нему применимо все нижеперечисленное.
А поскольку JunOS позиционируется как единая ОС для всей серии (как минимум), то.
выводы делайте сами.
Я также использую версию JunOS 12.1X46-D20.5 (последнюю на момент публикации поста):
Для начала поставим небольшой круг задач, которые мы будем решать:cartman@gw-jsrx240# run show version Hostname: gw-jsrx240 Model: srx240b JUNOS Software Release [12.1X46-D20.5]
- Источник NAT
- DHCP-сервер
- DNS-сервер
- Усиление SSH
- МВУ, Функции безопасности
Источник NAT
Чтобы настроить исходный NAT, просто выполните следующие команды: cartman@gw-jsrx240# show security nat | display set
set security nat source rule-set trust-to-untrust from zone trust
set security nat source rule-set trust-to-untrust to zone untrust
set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0
set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface
Или как конфиг:
cartman@gw-jsrx240# show security nat
source {
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
При такой конфигурации ВСЕ сети, которые будут настроены на внутренних интерфейсах роутера, будут NATированы.
Если вам нужен NAT только какой-то, то вместо этого: set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0
нужно написать (пример приведен для сети 172.16.1.0/27): set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 172.16.1.0/27
DHCP-сервер
Теперь давайте настроим наш SRX в качестве DHCP-сервера.Предполагается, что интерфейсы уже настроены и нам нужно настроить DHCP-сервер только для интерфейса.
влан.
0 : cartman@gw-jsrx240# show system services dhcp | display set
set system services dhcp maximum-lease-time 21600
set system services dhcp default-lease-time 21600
set system services dhcp pool 172.16.1.0/27 address-range low 172.16.1.2
set system services dhcp pool 172.16.1.0/27 address-range high 172.16.1.30
set system services dhcp pool 172.16.1.0/27 router 172.16.1.1
set system services dhcp propagate-settings vlan.0
Или как конфиг: cartman@gw-jsrx240# show system services dhcp
maximum-lease-time 21600;
default-lease-time 21600;
pool 172.16.1.0/27 {
address-range low 172.16.1.2 high 172.16.1.30;
router {
172.16.1.1;
}
}
propagate-settings vlan.0;
В данном случае мы устанавливаем срок аренды равным 6 часов (6*60 мин*60 сек = 21600 сек); шлюз по умолчанию, который мы делаем 172.16.1.1 ; Начинаем раздачу адресов с 172.16.1.2 и закончить 172.16.1.30 (диапазон, в котором будет работать DHCP-сервер).
Эти параметры будут применяться только к интерфейсу влан.
0 .
При необходимости его можно заменить реальным именем интерфейса, например на ge-0/0/1 .
Статистику на DHCP-сервере можно посмотреть следующей командой: cartman@gw-jsrx240# run show system services dhcp statistics
Packets dropped:
Total 0
Messages received:
BOOTREQUEST 0
DHCPDECLINE 0
DHCPDISCOVER 0
DHCPINFORM 0
DHCPRELEASE 0
DHCPREQUEST 0
Messages sent:
BOOTREPLY 0
DHCPOFFER 0
DHCPACK 0
DHCPNAK 0
DNS-сервер
Теперь перейдем к настройке DNS-сервера.
Начиная с ОС Junos 12.1x44D10 поддерживается DNS-прокси, давайте его настроим: cartman@gw-jsrx240# show system services dns | display set
set system services dns forwarders 8.8.8.8
set system services dns forwarders 8.8.4.4
set system services dns dns-proxy interface vlan.0
set system services dns dns-proxy cache gw-jsrx240.HOME.local inet 172.16.1.1
Или как конфиг: cartman@gw-jsrx240# show system services dns
forwarders {
8.8.8.8;
8.8.4.4;
}
dns-proxy {
interface {
vlan.0;
}
cache {
gw-jsrx240.HOME.local inet 172.16.1.1;
}
}
Здесь мы настроили DNS-сервер для работы по интерфейсу vlan.0; создал запись A для gw-jsrx240.HOME.local (конечно, таких записей можно сделать несколько); и настроил серверы пересылки DNS для всех остальных запросов DNS.
Если DNS-сервер необходимо включить для всех внутренних интерфейсов, то это можно сделать следующим образом (если VLAN несколько, то настройки нужно сделать соответствующие): cartman@gw-jsrx240# show system name-server | display set
set system name-server 172.16.1.1
Или как конфиг: cartman@gw-jsrx240# show system name-server
172.16.1.1;
Статистику по DNS-запросам можно посмотреть следующим образом: cartman@gw-jsrx240# run show system services dns-proxy statistics
DNS proxy statistics :
Status : enabled
IPV4 Queries received : 0
IPV6 Queries received : 0
Responses sent : 0
Queries forwarded : 0
Negative responses : 0
Positive responses : 0
Retry requests : 0
Pending requests : 0
Server failures : 0
Interfaces : vlan.0
Посмотрите записи в DNS-кэше так (не отображая сам кеш устройства, потому что там очень много записей): cartman@gw-jsrx240# run show system services dns-proxy cache
Очистите кэш DNS следующим образом: cartman@gw-jsrx240# run clear system services dns-proxy cache
Усиление SSH
Теперь давайте попробуем обезопасить наш SSH-сервер (даже если он обращен наружу) (вместо SSH_RSA_PUBLIC_KEY вам нужно вставить свой открытый ключ SSH RSA): cartman@gw-jsrx240# show system services ssh | display set
set system services ssh root-login deny
set system services ssh protocol-version v2
set system services ssh connection-limit 5
set system services ssh rate-limit 5
cartman@gw-jsrx240# show system login | display set
set system login retry-options tries-before-disconnect 5
set system login retry-options backoff-threshold 1
set system login retry-options backoff-factor 10
set system login retry-options minimum-time 30
set system login user cartman full-name "FIRST_NAME LAST_NAME"
set system login user cartman uid 2000
set system login user cartman class super-user
set system login user cartman authentication ssh-rsa "SSH_RSA_PUBLIC_KEY"
Или как конфиг:
cartman@gw-jsrx240# show system services ssh
root-login deny;
protocol-version v2;
connection-limit 5;
rate-limit 5;
cartman@gw-jsrx240# show system login
retry-options {
tries-before-disconnect 5;
backoff-threshold 1;
backoff-factor 10;
minimum-time 30;
}
user cartman {
full-name "FIRST_NAME LAST_NAME";
uid 2000;
class super-user;
authentication {
ssh-rsa "SSH_RSA_PUBLIC_KEY"; ## SECRET-DATA
}
}
Пояснения:
- root-вход запрещен — запретить root подключаться по SSH
- версия протокола v2 — мы используем только версию протокола SSHv2
- лимит соединения 5 — максимальное количество одновременных SSH-соединений
- ограничение скорости 5 — максимальное количество SSH-соединений в минуту
- пытается перед отключением 5 — сколько раз будут разрешены попытки ввода пароля, прежде чем сессия будет завершена
- порог отсрочки 1 — после ЭTHE количества попыток ввода неправильного пароля будет включена задержка
- коэффициент отсрочки 10 — после достижения backoff-порога пользователь будет заблокирован на 10 секунд.
- минимальное время 30 — количество секунд, отведенное на ввод пароля, после которого сессия будет завершена
МВУ, Функции безопасности
cartman@gw-jsrx240# show security screen | display set
set security screen ids-option untrust-screen icmp ping-death
set security screen ids-option untrust-screen ip source-route-option
set security screen ids-option untrust-screen ip tear-drop
set security screen ids-option untrust-screen tcp syn-flood alarm-threshold 1024
set security screen ids-option untrust-screen tcp syn-flood attack-threshold 200
set security screen ids-option untrust-screen tcp syn-flood source-threshold 1024
set security screen ids-option untrust-screen tcp syn-flood destination-threshold 2048
set security screen ids-option untrust-screen tcp syn-flood timeout 20
set security screen ids-option untrust-screen tcp land
Или как конфиг:
cartman@gw-jsrx240# show security screen
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
}
}
В конце концов.
Не забудьте выполнить коммит, иначе никакие изменения не вступят в силу: cartman@gw-jsrx240# commit check
configuration check succeeds
cartman@gw-jsrx240# commit
commit complete
Общий
Окончательную конфигурацию можно увидеть ниже.Роутер имеет все необходимые функции за приемлемую цену.
cartman@gw-jsrx240# показать cartman@gw-jsrx240# показать ## Последнее изменение: 2014-07-12 20:15:48 MSK версия 12.1Х46-Д20.5; система { имя хоста gw-jsrx240; доменное имя HOME.local; поиск по домену HOME.local; часовой пояс Европа/Москва; пароль заказа аутентификации; корневая аутентификация { зашифрованный пароль "$1$ENCRYPTED_PASSWORD"; ## СЕКРЕТНЫЕ ДАННЫЕ } сервер имен { 172.16.1.1; } разрешение имени { отсутствие разрешения на входе; } авторизоваться { параметры повтора { пытается перед отключением 5; порог отсрочки 1; коэффициент отсрочки 10; минимальное время 30; } пользователь Картман { полное имя "FIRST_NAME LAST_NAME"; идентификатор 2000; класс суперпользователя; аутентификация { ssh-rsa "SSH_RSA_PUBLIC_KEY"; ## СЕКРЕТНЫЕ ДАННЫЕ } } } услуги { сш { root-вход запрещен; версия протокола v2; лимит соединения 5; ограничение скорости 5; } DNS { экспедиторы { 8.8.8.8; 8.8.4.4; } DNS-прокси { интерфейс { влан.
0; } кэш { gw-jsrx240.HOME.local инет 172.16.1.1; } } } веб-менеджмент { https { порт 443; сгенерированный системой сертификат; интерфейс vlan.0; } сессия { тайм-аут простоя 300; лимит сеанса 2; } } DHCP { максимальный срок аренды 21600; время аренды по умолчанию 21600; пул 172.16.1.0/27 { диапазон адресов низкий 172.16.1.2 высокий 172.16.1.30; маршрутизатор { 172.16.1.1; } } распространять настройки vlan.0; } } системный журнал { размер архива 100к файлов 3; пользователь * { любая чрезвычайная ситуация; } файловые сообщения { любой критический; данные авторизации; } файл интерактивных команд { ошибка интерактивных команд; } } максимальные конфигурации на флэш-памяти 5; максимальная конфигурация-откат 5; лицензия { автоматическое обновление { URL ae1.juniper.net/junos/key_retrival; } } нтп { предпочитаем сервер 0.pool.ntp.org; сервер 1.pool.ntp.org; server2.pool.ntp.org; сервер 3.pool.ntp.org; } } интерфейсы { интерфейс-диапазон интерфейсов-доверие { диапазон членов от ge-0/0/1 до ge-0/0/15; единица 0 { семейная коммутация Ethernet { влан { члены vlan-trust; } } } } ge-0/0/0 { единица 0 { семейный Интернет { DHCP; } } } ge-0/0/1 { единица 0 { семейная коммутация Ethernet { влан { члены vlan-trust; } } } } ge-0/0/2 { единица 0 { семейная коммутация Ethernet { влан { члены vlan-trust; } } } } ge-0/0/3 { единица 0 { семейная коммутация Ethernet { влан { члены vlan-trust; } } } } ge-0/0/4 { единица 0 { семейная коммутация Ethernet { Влан { члены vlan-trust; } } } } ge-0/0/5 { единица 0 { семейная коммутация Ethernet { Влан { члены vlan-trust; } } } } ge-0/0/6 { единица 0 { семейная коммутация Ethernet { Влан { члены vlan-trust; } } } } ge-0/0/7 { единица 0 { семейная коммутация Ethernet { Влан { члены vlan-trust; } } } } ge-0/0/8 { единица 0 { семейная коммутация Ethernet { влан { члены vlan-trust; } } } } ge-0/0/9 { единица 0 { семейная коммутация Ethernet { влан { члены vlan-trust; } } } } ge-0/0/10 { единица 0 { семейная коммутация Ethernet { влан { члены vlan-trust; } } } } ge-0/0/11 { единица 0 { семейная коммутация Ethernet { влан { члены vlan-trust; } } } } ge-0/0/12 { единица 0 { семейная коммутация Ethernet { влан { члены vlan-trust; } } } } ge-0/0/13 { единица 0 { семейная коммутация Ethernet { влан { члены vlan-trust; } } } } ge-0/0/14 { единица 0 { семейная коммутация Ethernet { Влан { члены vlan-trust; } } } } ge-0/0/15 { единица 0 { семейная коммутация Ethernet { Влан { члены vlan-trust; } } } } Влан { единица 0 { семейный Интернет { адрес 172.16.1.1/27; } } } } протоколы { стп; } безопасность { экран { ids-option untrust-screen { ICMP { пинг-смерть; } IP { опция исходного маршрута; слезинка; } TCP { син-наводнение { порог тревоги 1024; порог атаки 200; исходный порог 1024; порог назначения 2048; таймаут 20; } земля; } } } нац { источник { набор правил доверие-недоверие { из зоны доверия; зонировать недоверие; правило source-nat-rule { соответствовать { исходный адрес 0.0.0.0/0; } затем { источник-nat { интерфейс; } } } } } } политика { доверие из зоны в зону недоверия { политика доверия-недоверия { соответствовать { исходный адрес любой; адрес назначения любой; приложение любое; } затем { разрешать; } } } доверие из зоны доверие к зоне { политика доверия к доверию { соответствовать { исходный адрес любой; адрес назначения любой; приложение любое; } затем { разрешать; } } } } зоны { недоверие к зоне безопасности { экран недоверия-экран; интерфейсы { ge-0/0/0.0 { хост-входящий-трафик { системные службы { пинг; сш; DHCP; } } } } } доверие зоны безопасности { хост-входящий-трафик { системные службы { все; } протоколы { все; } } интерфейсы { влан.
0; } } } } виртуальные сети { vlan-доверие { идентификатор vlan 10; l3-интерфейс vlan.0; } } Если будет выдано приглашение, опишу настройки PPPoE, Dynamic VPN, Site-to-Site VPN и т.д. Теги: #Сетевые технологии #Системное администрирование #системное администрирование #juniper srx #junos
-
Рускиборг На Geekpicnike
19 Oct, 24 -
Яндекс.поиск По Блогам
19 Oct, 24
