1. 基本配置
- confreg:从NVRAM配置中加载配置。
2. 监控和性能
- show version:显示当前版本信息。
- show system:显示系统状态。
- show security policies:显示安全策略。
- show neighbors:显示邻居列表。
- traceroute:显示路由跟踪。
3. ACL
- show access-lists:显示ACL规则。
- create access-list:创建ACL规则。
- deny | permit:指定允许或拒绝特定数据包。
- edit access-list:编辑ACL规则。
4. IPsec (IKE)
- set ikednstcp-peer:配置IKE IP地址和对端。
- set ikepolicy:配置IKE策略。
5. 虚拟专用网络 (VPN)
- create vpntunnel:创建VPN隧道。
- edit vpntunnel:编辑VPN隧道。
6. 流量统计
- show traffic:显示流量统计信息。
- aggregate traffic summary:汇总流量摘要。
- show traffic graph:显示流量图形化数据。
7. 系统日志和审计
- show system activity:显示系统活动。
- create audit trail:创建审计日志。
8. 故障排除
- set password policies:配置密码策略。
- show troubleshooting and diagnostics:显示故障排除和诊断方法。
- capture traffic on a specific interface:捕获特定接口的流量。
- capture packet details:捕获数据包的详细内容。
附上Juniper其他命令:
configure terminal
end
copy running-config startup-config
delete all interfaces from security policies of this realm
help
password * (输入管理员密码)**
ping IP地址/网关地址 /路由器地址 destination-host
traceroute IP地址/网关地址 /路由器地址 destination-host
configure terminal
route add IP地址 via网关 IP地址 next hop IP地址,if-index source-interface source-interface-key destination-router destination-router-key
show version显示系统信息
show configuration查看当前配置
show interfaces查看接口信息
show interfaces extensive查看接口详细信息
show route查看路由表
show security nat source rule all查看 NAT信息
show security policies查看安全策略
show security policies hit-count查看安全策略统计信息
查看 VPN 信息
show security ike security associations
show security ipsec security-associations
restart重新启动设备
保存配置:
commit check
commit and-quit
cli进入到操作模式
config进入配置模式
edit进入下一级配置
up/exit退回上一级
top/quit退回根级
config进入配置模式
commit提交。 配置输入后并不会立即生效,commit 通过后当前配置即成为有效配置
commit confirmed 2命令要求管理员必须在输入此命令后 2 分钟内再次输入 commit 以确认提交,否则 2 分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对 SRX 的远程连接风险。
show配置模式下 show 命令查看当前候选配置
run show config配置模式下可通过 run show config 命令查看当前有效配置
show | compare比对候选配置和有效配置的差异
rollback 0/commit可返回到前一 commit 配 置
load factory-default恢复到出厂缺省配置
copy interfaces ge-0/0/1 to ge-0/0/2快速的复制命令,将一个接口的配置复制到另一个接口,使 2 个接口下的配置一样,在更换接口时非常方便。
deactivate security nat/activate security nat 命令可使NAT 相关配置失效/配置再次生效
run ping 192.168.1.1 在配置模式下,可以使用 run 命令来执行操作模式下的命令
run show security ike security-associationsike第一阶段
run show security ipsec security-associationsipsec第二阶段状态
run show security ipsec statisticsipsec第二阶段数据收发
run request system reboot重启
show | display set | match ***查询
run show version查询版本号
run show interfaces terse查询接口以及IP
run show arp查询arp数据
run show security nat查询nat
run show route查询路由表
rollback ? 回滚配置
查询全部配置
show | display set
show
run show log messages查询日志
run show security policies from-zone untrust to-zone trust查询policy
run show security flow session查看当前防火墙会话数
clear security flow session all 清除当前会话
run show system uptime查看当前设备运行时间
delete删除当前级别下所有配置
run show chassis haredware查询设备序列号
set interfaces ge-0/0/3 disable 关闭接口
delete interfaces ge-0/0/3 disable开启接口
run show security flow session | match 10.0.0.15查看某IP会话详情
run show snmp statistics查看SNMP状态
开启snmp的debug,在web界面里下载snmp-debug文件
set snmp traceoptions file snmp-debug
set snmp traceoptions file size 10m
set snmp traceoptions flag all
Set int ethx/x zone trust/untrust/dmz/ha配置指定接口进入指定区域(trust/untrust/dmz/ha等
Set int ethx/x ip x.x.x.x/xx配置指定接口 ip 地址
Set int ethx/x manage配置指定接口管理选项,打开所有管理选项
Set int ethx/x manage web/telnet/ssl/ssh 配置指定接口指定管理选项
Set int ethx/x phy ful 100mb 配置指定接口速率及双工方式
Set int ethx/x phy link-down 配置指定接口
shutdown
Set nsrp vsd id 0 monitor interface ethx/x配置 ha 监控端口,如此端口断开,则设备发生主/备切换
Exec nsrp vsd 0 mode backup手工进行设备主/备切换,在当前的主设备上执行
set route 0.0.0.0/0 interface ethernet1/3 gateway 222.92.116.33 配置路由,需同时指定下一跳接口及 ip 地址
所有 set命令,都可以通过unset命令来取消,相当于cisco 中的 no,所有命令都可以通过“TAB”键进行命令补全,通过“?”来查看后续支持的命令
Juniper Security 防火墙配置示例(部分)
- set security policies source-address ge-0/0/0 destination-address le-0/0/1 from-zone trust to-zone untrust policy Juniper_Security policy_Juniper_Security from-interface ge-0/0/0 to-interface le-0/0/1
- set security policies source-address ge-0/0/0 destination-address le-0/0/2 from-zone trust to-zone untrust policy Juniper_Security policy_Juniper_Security from-interface ge-0/0/0 to-interface le-0/0/2 apply-group Juniper_Security apply-user service-request-interface vlan2
- set neighbor Neighbor IP 地址 from-zone untrust to-zone trust policy Juniper_Security apply-interface ge-0/0/0
- set neighbor Juniper_Security remote-id Juniper_Security_ID from-security-policy Juniper_Security port-security 10
- set access-list Juniper_Security extended permit tcp host Juniper_Security_ID from-zone untrust to-zone trust destination-port 80 protocol icmp any to any permit tcp host Juniper_Security_ID from-zone untrust to-zone trust destination-port 65535 proto tcp any to any permit udp host Juniper_Security_ID from-zone untrust to-zone trust destination-port 1660 source-port any destination-port any port-range 1
- set access-list Juniper_Security policy Juniper_Security from-zone untrust to-zone trust policy Juniper_Security from-interface Any to-interface vlan2 permit tcp host 10.1.1.1 from-zone untrust to-zone trust destination-port 80 protocol icmp any to any deny tcp host port 1660 to any destination-port any port-range 1
暂无评论内容