Beruflich Dokumente
Kultur Dokumente
0 configuración junos
Como primer paso se debe tener en cuenta que el equipo de fábrica carga un sistema operativo unix y sobre este se encuentra el
sistema junos.
Comandos clave
Cli: Para entrar en modo consola de comandos
Configure : utilizado para entrar a modo configuracion
Configure Private: cuando se usa este modo todos los usuarios son forzados autilizar el modo PRIVATE para poder configurar el equipo
Configure exclusive : en este modo solo permite cambios de una sola persona.
Run: se usa para activar comandos de visualización durante la configuración
Set : Para configurar comandos
Delete: Para eliminar comandos
Show | compare : Para observar comandos configurados comparados con la configuración en el equipo
Commit check : Para chequear la correcta configuración de los comandos configurados, solo valida sintaxis
Commit : Para confirmar la configuración, guardar configuración y activar configuraciones
request system reboot : reinicio remoto de la maquina
Commandos útiles
show interfaces ge-0/0/0 statistics detail : para visualizer las estadisticas del equipo “errors y negociacion del puerto”
show chassis hardware : muestra el serial de la maquina
show firewall log detail : muestra un log de conexiones, util para ver el trafico que no pasa la politica de seguridad
show interfaces queue ge-0/0/0
show security monitoring fpc 0 : monitor de recursos del sistema
show chasis routing-engine : monitor de estado del equipo
show ethernet-switching table vlan-id : revision de direcciones mac
show arp : revision de table arp
show security flow session : revision de traslaciones de nat
show dhcp server binding : asignacion de direcciones por DHCP
request system reboot :reinicio remote de la maquina
clear ethernet-switching port-error :limpiar las estadisticas de error y ponerlas a “0”
clear interfaces statistics :borra el historico sobre las interfaces+
Antes de realizar cualquier configuración se debe cambiar el password default o el equipo no permitirá realizar ningún cambio
actualmente no se debe implementar de esta forma debido a que presenta errores L2.
habilitar servicios tag, doble tag y acceso sobre las interfaces, se debe implementar sobre cada interface por separado
se debe preparar la interface del router como modo switch de la siguiente forma.
commando para forzar una vlan en modo native dentro de una interfaz previamente forzada a trunk
al tener lista la interface en modo switch se require crear la vlan que se comunicara hacia mpls, en el equipo srx para subir esta
vlan a capa 3 se debe asociar a una interface IRB asi pues es necesario primero crear la irb con el direccionamiento y luego lo
asociamos.
set interfaces irb unit 201 family inet address 10.252.158.252/30 -> creacion de irb.102 con direccionamiento wan
set vlans vlan102 vlan-id 201 -> crea la “vlan102”, se le asigna vlan-id 102
set vlans vlan102 l3-interface irb.201 -> se asocia “vlan102” a la interface L3 irb.102
se debe eliminar la configuración de seguridad ya que el equipo es un FW y las políticas que vienen de fábrica no nos sirven.
delete security
creación de zona y políticas para los protocolos, para este ejemplo la zona se llamará “trust”, como al iniciar este paso
eliminamos todas las políticas del equipo se deben habilitar todos los servicios y protocolos de entrada.
ejemplo sobre interfaces wan ge-0/0/0.0, lan ge-0/0/1.0, loopback lo0.0 y una interface lan en l2 irb.0
creación política estándar para permitir el tráfico de cualquier fuente cualquier destino y cualquier aplicación
set security policies from-zone trust to-zone trust policy any match source-address any
set security policies from-zone trust to-zone trust policy any match destination-address any
set security policies from-zone trust to-zone trust policy any match application any
set security policies from-zone trust to-zone trust policy any then permit
se debe tener en cuenta que el comando UID se refiere al identificador único dentro del router así pues debe asociarse uno diferente
a cada usuario dentro del equipo.
paso 7 descripciones
aplicar política de bw
set interfaces ge-0/0/0 unit 0 family inet policer input 2MB output 2MB
primero rellenar el nombre correcto del cliente el comando /n significa return carrier ”enter” esto implica que al final se debe todo
sobre una misma línea, realizar este paso en un block de notas.
NOTA: EL BANNER NO PUEDE SOBREPASAR LOS 2048 CARACTERES, SI SE ELE AGREGAN MAS SE DEBE TENER CUIDADO DE NO PASAR ESTE LIMITE, EL
EQUIPO NOS ARROJARA UN EROR AL MOMENTO SE SOBREPASAR EL LIMITE.
luego se debe realizar la configuración del snmp con los siguientes comandos
se debe agregar la interface loopback creada dentro de la zona para poder permitir el paso de trafico snmp
para que el equipo reconosca los commandos de muestreo se debe configurar el servidor NTP
como es nuestro compromiso interno la seguridad de la red en los equipos es muy importante, partiendo de esto se homologa el control
de acceso al equipo de la siguiente forma.
set firewall family inet filter local_acl term terminal_access from source-address 10.252.180.249/32 DIR MPLS GESTION
set firewall family inet filter local_acl term terminal_access from source-address 10.252.180.133/32 DIR MPLS DATA
set firewall family inet filter local_acl term terminal_access from source-address 192.168.100.3/32 CISCO GESTION
set firewall family inet filter local_acl term terminal_access from protocol tcp
set firewall family inet filter local_acl term terminal_access from port ssh
set firewall family inet filter local_acl term terminal_access from port telnet
set firewall family inet filter local_acl term terminal_access then accept
set firewall family inet filter local_acl term terminal_access_denied from protocol tcp
set firewall family inet filter local_acl term terminal_access_denied from port ssh
set firewall family inet filter local_acl term terminal_access_denied from port telnet
set firewall family inet filter local_acl term terminal_access_denied then log
set firewall family inet filter local_acl term terminal_access_denied then reject
set firewall family inet filter local_acl term default-term then accept
set routing-options static route 192.168.174.236/32 next-hop 10.189.101.189 hacia la ip de MPLS CENTREX
set routing-options static route 192.168.174.237/32 next-hop 10.189.101.189 hacia la ip de MPLS CENTREX
pas 4 al finalisar y comprobar que se tiene acceso via radius server se debe eliminar la linea que habilita la autenticacion via
password
NOTA: por favor tener en cuenta que si se pierde la conectividad contra el servidor radius el equipo solicitara normalmente las
credenciales pero al no alcanzar el servidor radius solicitara la contraseña loca la cual es la configurada con el usuario.
este paso se hace necesario cuando el equipo queda con todas las sesiones activas, también se presenta si una de estas sesiones queda
en configure private ya que al estar activa no va a permitir realizar operaciones de guardado, para poder revisar el número de
terminales conectadas usamos el comando
con el comando mencionado podemos observar que terminal queremos cerrar a continuación, un ejemplo
[edit]
para habilitar el protocolo pim se debe agregar sobre las interfaces a utilizar (wan y lan) el siguiente comando
luego de habilitar el comando anterior mente dicho se debe agregar la ip RP y aplicar pim sobre cada interface o sobre todas las
interfaces del equipo. A continuación, un ejemplo interface a interface y uno donde se aplica a todas las interfaces.
luego habilitamos el flujo ipv6, al finalizar utilizamos nuevamente el comando anterior para observar si efectivamente se habilito.
[edit]
root@210# commit
warning: You have enabled/disabled inet6 flow.
You must reboot the system for your change to take effect.
If you have deployed a cluster, be sure to reboot all nodes.
commit complete
NOTA: CUANDO SE UTILIZA IPV6 SE DEBE APLCIAR POLITICA DE BW INDEPENDIENTEMENTE DE QUE SE RESTRINJA POR IPV4 EJMP:
set interfaces ge-0/0/0 unit 1 family inet6 policer input 2MB output 2MB
NOTA: cuando se crea una VRF sobre un equipo junos estas interfaces deben tener su propia zona y sus propias politicas ya que se está
virtualizando una máquina, se deben crear nuevas para estas interfaces.
paso adicional para probar el nat desde el router, para realizar pruebas desde el router se crea una política adicional donde se
realiza nat desde el chasis
NOTA: AL AGREGAR LA POLITICA SOBRE EL CHASIS PARA PROBAR LA SALIDA DESDE LAS DIRECCIONES DEL EQUIPO, EL PING HACIA LA WAN NO
FUNCIONARA YA QUE EQUIPO REALIZARA NAT DE TODAS LAS PETICIONES.
NOTA: si el servidor dhcp compoarte direccionamiento sobre una interface virtual o una subinterface, se debe aplicar el commando
primary sobre el direccionamiento,sino se aplica no funcionara.
set interfaces irb unit 0 family inet address 192.168.1.2/24 vrrp-group 1 virtual-address 192.168.1.1
set interfaces irb unit 0 family inet address 192.168.1.2/24 vrrp-group 1 priority 120
set interfaces irb unit 0 family inet address 192.168.1.2/24 vrrp-group 1 preempt
set interfaces irb unit 0 family inet address 192.168.1.2/24 vrrp-group 1 accept-data
set interfaces irb unit 0 family inet address 192.168.1.2/24 vrrp-group 1 track interface ge-0/0/0 priority-cost 40
set interfaces irb unit 0 family inet address 192.168.1.3/24 vrrp-group 1 virtual-address 192.168.1.1
set interfaces irb unit 0 family inet address 192.168.1.3/24 vrrp-group 1 priority 100
set interfaces irb unit 0 family inet address 192.168.1.3/24 vrrp-group 1 preempt
set interfaces irb unit 0 family inet address 192.168.1.3/24 vrrp-group 1 accept-data
-------------------------------------------------
configuración de ap “lo debe realizar el técnico”
-------------------------------------------------
como parámetro inicial se debe energizar el equipo y accesar a la dirección web http://dlinkrouter.local./
En esta ventana de verificación debe mostrar los parámetros completados y el cambio de clave echo al equipo.
Se reingresa al equipo con las claves que anteriormente introducimos
En esta ventana el equipo nos permite realizar una configuración avanzada, se selecciona avanzado
El equipo al reiniciarse lo accedemos nuevamente y debemos tener las opciones configuración sencilla, conexión a internet y normas de
control paterno deshabilitadas
En esta pestaña le asignamos una dirección del pool privado del cliente al equipo y ponemos como puerta de enlace predeterminada la
dirección del equipo SRX300 instalado en sitio, asignamos los dns de etb e inactivamos la casilla “activar el servidor DHCP”
Para finalizar guardamos los cambios realizados.
Al terminar esta configuración los puertos del equipo automáticamente son todos lan, el puerto que físicamente se ve como wan queda
funcionando como lan.
Éxitos en la configuración
Saludos