Guía básica versión 2.

0 configuración junos

Como primer paso se debe tener en cuenta que el equipo de fábrica carga un sistema operativo unix y sobre este se encuentra el
sistema junos.
Comandos clave
Cli: Para entrar en modo consola de comandos
Configure : utilizado para entrar a modo configuracion
Configure Private: cuando se usa este modo todos los usuarios son forzados autilizar el modo PRIVATE para poder configurar el equipo
Configure exclusive : en este modo solo permite cambios de una sola persona.
Run: se usa para activar comandos de visualización durante la configuración
Set : Para configurar comandos
Delete: Para eliminar comandos
Show | compare : Para observar comandos configurados comparados con la configuración en el equipo
Commit check : Para chequear la correcta configuración de los comandos configurados, solo valida sintaxis
Commit : Para confirmar la configuración, guardar configuración y activar configuraciones
request system reboot : reinicio remoto de la maquina
Commandos útiles
show interfaces ge-0/0/0 statistics detail : para visualizer las estadisticas del equipo “errors y negociacion del puerto”
show chassis hardware : muestra el serial de la maquina
show firewall log detail : muestra un log de conexiones, util para ver el trafico que no pasa la politica de seguridad
show interfaces queue ge-0/0/0
show security monitoring fpc 0 : monitor de recursos del sistema
show chasis routing-engine : monitor de estado del equipo
show ethernet-switching table vlan-id : revision de direcciones mac
show arp : revision de table arp
show security flow session : revision de traslaciones de nat
show dhcp server binding : asignacion de direcciones por DHCP
request system reboot :reinicio remote de la maquina
clear ethernet-switching port-error :limpiar las estadisticas de error y ponerlas a “0”
clear interfaces statistics :borra el historico sobre las interfaces+

De los pasos 1 al paso 6 se deben ser realizador por los técnicos

Antes de realizar cualquier configuración se debe cambiar el password default o el equipo no permitirá realizar ningún cambio

paso 1 cambio de password default

 set system root-authentication plain-text-password

luego de pasar el comando solicitara la contraseña y confirmación de la misma.

paso !!!!!! crear subinterfaces

actualmente no se debe implementar de esta forma debido a que presenta errores L2.

habilitar servicios tag, doble tag y acceso sobre las interfaces, se debe implementar sobre cada interface por separado

 set interfaces ge-0/0/0 flexible-vlan-tagging

 set interfaces ge-0/0/0 encapsulation flexible-ethernet-services
 set interfaces ge-0/0/0 ether-options auto-negotiation

 subinterface con direccionamiento y vlan asociada

 set interfaces ge-0/0/0 unit 0 vlan-id 100

 set interfaces ge-0/0/0 unit 0 family inet address 10.10.10.1/30

 subinterface lan sin vlan “modo acceso”

 set interfaces ge-0/0/1 unit 0 family inet address 10.245.10.2/30

paso 2 creación interface wan y/o lan

se debe preparar la interface del router como modo switch de la siguiente forma.

 set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk

 set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan201

commando para forzar una vlan en modo native dentro de una interfaz previamente forzada a trunk

set interface ge-0/0/1 native-vlan-id 2

al tener lista la interface en modo switch se require crear la vlan que se comunicara hacia mpls, en el equipo srx para subir esta
vlan a capa 3 se debe asociar a una interface IRB asi pues es necesario primero crear la irb con el direccionamiento y luego lo
asociamos.

 set interfaces irb unit 201 family inet address 10.252.158.252/30 -> creacion de irb.102 con direccionamiento wan
 set vlans vlan102 vlan-id 201 -> crea la “vlan102”, se le asigna vlan-id 102
 set vlans vlan102 l3-interface irb.201 -> se asocia “vlan102” a la interface L3 irb.102

paso 3 creación politicas

se debe eliminar la configuración de seguridad ya que el equipo es un FW y las políticas que vienen de fábrica no nos sirven.

 delete security

creación de zona y políticas para los protocolos, para este ejemplo la zona se llamará “trust”, como al iniciar este paso
eliminamos todas las políticas del equipo se deben habilitar todos los servicios y protocolos de entrada.

 set security zones security-zone trust host-inbound-traffic system-services all

 set security zones security-zone trust host-inbound-traffic protocols all
habilitar la zona segura para que las interfaces permitan el paso de los servicios "ejm: icmp,telnet y ssh", se debe habilitar
interface por interface.

ejemplo sobre interfaces wan ge-0/0/0.0, lan ge-0/0/1.0, loopback lo0.0 y una interface lan en l2 irb.0

 set security zones security-zone trust interfaces ge-0/0/0.0

 set security zones security-zone trust interfaces ge-0/0/1.0
 set security zones security-zone trust interfaces lo0.0
 set security zones security-zone trust interfaces irb.0

creación política estándar para permitir el tráfico de cualquier fuente cualquier destino y cualquier aplicación

 set security policies from-zone trust to-zone trust policy any match source-address any
 set security policies from-zone trust to-zone trust policy any match destination-address any
 set security policies from-zone trust to-zone trust policy any match application any
 set security policies from-zone trust to-zone trust policy any then permit

paso 5 hostname del equipo

 set system host-name PRUEBAS_ETB

paso 6 creación usuarios

se debe tener en cuenta que el comando UID se refiere al identificador único dentro del router así pues debe asociarse uno diferente
a cada usuario dentro del equipo.

 set system login user etb uid 2000

 set system login user etb class super-user
 set system login user etb authentication encrypted-password "$5$WI.fLwV2$MeEYewV4O3DQBS9aSXvDRvw9f6PX4gEBHHNoU5r0Gt2"

paso 7 descripciones

sobre una subinterface

 set interfaces ge-0/0/0 unit 0 description CONEXION_WAN

sobre una interface virtual

 set interfaces irb unit 0 description CONEXION_LAN

paso opcional forzar puerto

 set interfaces ge-0/0/1 speed 100m

 set interfaces ge-0/0/1 link-mode full-duplex
 set interfaces ge-0/0/1 gigether-options no-auto-negotiation

paso 8 crear política de BW

el 2MB es un nombre o etiqueta al final del comando solicita el BW

 set firewall policer 15MB if-exceeding bandwidth-limit 15m

 set firewall policer 15MB if-exceeding burst-size-limit 625k
 set firewall policer 15MB then discard

aplicar política de bw

 set interfaces ge-0/0/0 unit 0 family inet policer input 2MB output 2MB

paso 9 crear rutas

 set routing-options static route 0.0.0.0/0 next-hop 10.252.158.241

 set routing-options static route ORIGEN/MASK next-hop DESTINO

paso 10 reinicio remoto de la maquina

para reiniciar el equipo de manera remota se debe enviar el comando

 run request system reboot

paso 11 cambio de banner

primero rellenar el nombre correcto del cliente el comando /n significa return carrier ”enter” esto implica que al final se debe todo
sobre una misma línea, realizar este paso en un block de notas.

 set system login announcement "\n

!*EEEEEEEEEEEEEEEEEEEEE: ***************************\n
TEEEEEEEEEEEEEEEEEEEEEEEEEEEE * *\n
.EEEEEEEEETEEEEEE :!++: * NOMBRE DEL CLIENTE *\n
ET!. EEEEE! * SEGÚN EN SERVICE M *\n
EEEEEE +EEEET * DIRECCION COMPLETA *\n
*TEEEEEEE! :EEEEE. EEEEE. * *\n
!EEEEEEEEEEEEE: EEEEE+ EEEEE* ***************************\n
TEEEEE .TEEEE+ +EEEEE :EEEEE * *\n
*EEEEE :EEEEE! EEEEEE! *EEEEE! .TEEEE: * El acceso a este equipo *\n
EEEEE. .EEEEEE: .EEEEE: EEEEE! +EEEEEEEE+ * es solo para personal *\n
EEEEEEEEEEEEEEE: EEEEET TEEEEEEEEEEEEEEEEE* * autorizado de ETB. *\n
EEEEE++++!. TEEEEE :EEEEEEE* EEEEEE! * *\n
EEEEE EEEEE+ EEEEEE+ .EEEEET * Toda actividad sera *\n
EEEEEE: .!TE+ EEEEEE *EEEEE. EEEEEE * monitoreada y almacenada*\n
*EEEEEEEEEEEEEE .EEEEE: EEEEE! *EEEEE! * y podra ser utilizada *\n
 !EEEEEEEEE+: !EEEEET TEEEET EEEEEE: * legalmente. *\n
EEEEE* .TEEEEE! .TEEEEEET * *\n
+*+** EEEEEEEEEEEEE+ * *\n
.TEEEEEE+. ***************************\n
¡Atencion!:\n
***************************************************************************************\n
Usted esta a punto de utilizar un recursos tecnologico de ETB para HOSTMANE_EQUIPO,\n
no ingrese si no esta autorizado. Recuerde que su clave de acceso es personal e intransferible.\n
La divulgacion de la clave puede afectar la seguridad de nuestra red.\n
En caso de sospecha de divulgacion de su clave proceda a cambiarla de inmediato.\n
***************************************************************************************\n"

NOTA: EL BANNER NO PUEDE SOBREPASAR LOS 2048 CARACTERES, SI SE ELE AGREGAN MAS SE DEBE TENER CUIDADO DE NO PASAR ESTE LIMITE, EL
EQUIPO NOS ARROJARA UN EROR AL MOMENTO SE SOBREPASAR EL LIMITE.

paso 12 configuración snmp

como en los routers existentes se crea una interface loopback

 set interfaces lo0 unit 0 description GRAFICACION_GU

 set interfaces lo0 unit 0 family inet address 10.206.146.99/32

luego se debe realizar la configuración del snmp con los siguientes comandos

 set snmp community junprueba authorization read-write

 set snmp community junprueba clients 10.243.16.73/32
 set snmp community junprueba clients 10.243.16.75/32
 set snmp community junprueba clients 10.243.16.76/32
 set snmp community junprueba clients 10.243.16.78/32
 set snmp community junprueba clients 10.243.16.81/32
 set snmp community junprueba clients 192.168.170.97/32
 set snmp community junprueba clients 0.0.0.0/0 restrict
 set snmp trap-options source-address lo0
 set snmp trap-group ETB targets 10.243.16.81
 set snmp trap-group ETB targets 10.243.16.73
 set snmp trap-group ETB targets 10.243.16.75
 set snmp trap-group ETB targets 10.243.16.76
 set snmp trap-group ETB targets 10.243.16.78
 set snmp trap-group ETB targets 192.168.170.97

se debe agregar la interface loopback creada dentro de la zona para poder permitir el paso de trafico snmp

 set security zones security-zone trust interfaces lo0.0

paso opcional j-flow

 set interfaces ge-0/0/0 unit 0 family inet sampling input

 set interfaces ge-0/0/0 unit 0 family inet sampling output
 set interfaces ge-0/0/0 unit 0 family inet addres X.X.X.X/XX
 set forwarding-options sampling input rate 100 (Tiempo)
 set forwarding-options sampling family inet output flow-server 10.243.16.81 port 3552
 set forwarding-options sampling family inet output flow-server 10.243.16.81 version 5
 set forwarding-options sampling family inet output inline-jflow source-address 192.168.251.29

para que el equipo reconosca los commandos de muestreo se debe configurar el servidor NTP

paso 13 servidor de sincronización de hora NTP

 set system time-zone America/Bogota

 set system ntp boot-server 192.168.174.236
 set system ntp server 192.168.174.236 prefer

paso 14 control de acceso

como es nuestro compromiso interno la seguridad de la red en los equipos es muy importante, partiendo de esto se homologa el control
de acceso al equipo de la siguiente forma.

 set firewall family inet filter local_acl term terminal_access from source-address 10.252.180.249/32  DIR MPLS GESTION
 set firewall family inet filter local_acl term terminal_access from source-address 10.252.180.133/32  DIR MPLS DATA
 set firewall family inet filter local_acl term terminal_access from source-address 192.168.100.3/32  CISCO GESTION
 set firewall family inet filter local_acl term terminal_access from protocol tcp
 set firewall family inet filter local_acl term terminal_access from port ssh
 set firewall family inet filter local_acl term terminal_access from port telnet
 set firewall family inet filter local_acl term terminal_access then accept
 set firewall family inet filter local_acl term terminal_access_denied from protocol tcp
 set firewall family inet filter local_acl term terminal_access_denied from port ssh
 set firewall family inet filter local_acl term terminal_access_denied from port telnet
 set firewall family inet filter local_acl term terminal_access_denied then log
 set firewall family inet filter local_acl term terminal_access_denied then reject
 set firewall family inet filter local_acl term default-term then accept

paso a seguir es aplicar el filtro sobre la interface loopback de la siguiente manera

 set interfaces lo0 unit 0 family inet filter input local_acl

 set interfaces lo0 unit 0 family inet address 127.0.0.1/32  LOCAL HOST

SERVER NTP CENTREX : 192.168.174.236 SERVER NTP PUBLICO “GOOGLE” : 216.239.35.4

se debe adicionar cuando sea necesario las rutas estáticas hacia el canal de centrex, en este caso la wan fue 10.189.101.188/30 donde
el MX960 tiene asignada la dirección 10.189.101.189.

 set routing-options static route 192.168.174.236/32 next-hop 10.189.101.189  hacia la ip de MPLS CENTREX
 set routing-options static route 192.168.174.237/32 next-hop 10.189.101.189  hacia la ip de MPLS CENTREX

Paso 15 autenticación radius

Los pasos para configurar el servidor radius son los siguientes

Paso 1 activar el orden de autenticación:

 set system authentication-order radius

 set system authentication-order password- es necesario para habilitar los usuarios locales si no se alcanza radius

paso 2 parmetros del servidor y llaves

 set system radius-server 192.168.173.4 port 1645

 set system radius-server 192.168.173.4 accounting-port 1646
 set system radius-server 192.168.173.4 secret "$9$RP8cvL2gJGiqg4Di.m5TeKMX7d"
 set system radius-server 192.168.173.5 port 1645
 set system radius-server 192.168.173.5 accounting-port 1646
 set system radius-server 192.168.173.5 secret "$9$RP8cvL2gJGiqg4Di.m5TeKMX7d"
 set system radius-server 192.168.173.17 port 1645
 set system radius-server 192.168.173.17 accounting-port 1646
 set system radius-server 192.168.173.17 secret "$9$RP8cvL2gJGiqg4Di.m5TeKMX7d"

paso 3 crear el usuario remote en el equipo

 set system login user remote uid 9999

 set system login user remote class super-user

pas 4 al finalisar y comprobar que se tiene acceso via radius server se debe eliminar la linea que habilita la autenticacion via
password

 delete system authentication-order password

NOTA: por favor tener en cuenta que si se pierde la conectividad contra el servidor radius el equipo solicitara normalmente las
credenciales pero al no alcanzar el servidor radius solicitara la contraseña loca la cual es la configurada con el usuario.

paso opcional cerrar sesiones remotas

este paso se hace necesario cuando el equipo queda con todas las sesiones activas, también se presenta si una de estas sesiones queda
en configure private ya que al estar activa no va a permitir realizar operaciones de guardado, para poder revisar el número de
terminales conectadas usamos el comando

 run system users

con el comando mencionado podemos observar que terminal queremos cerrar a continuación, un ejemplo

etb@SCJ_BOG_C40K30_D# run show system users

7:18PM up 6 days, 21:01, 1 user, load averages: 0.21, 0.12, 0.09
USER TTY FROM LOGIN@ IDLE WHAT
etb p0 10.189.90.109 7:18PM - -cli (cli)

[edit]

Para este caso eliminaría la sesión p0

 run request system logout terminal p1

paso opcional configuración multicas pim

para habilitar el protocolo pim se debe agregar sobre las interfaces a utilizar (wan y lan) el siguiente comando

 set interfaces ge-0/0/0 per-unit-scheduler

 set interfaces irb per-unit-scheduler

luego de habilitar el comando anterior mente dicho se debe agregar la ip RP y aplicar pim sobre cada interface o sobre todas las
interfaces del equipo. A continuación, un ejemplo interface a interface y uno donde se aplica a todas las interfaces.

Comando para aplicar RP address

 set protocols pim rp static address 10.33.16.5

ejemplo para aplicar pim interface por interface

 set protocols pim interface ge-0/0/0.0 mode sparse

 set protocols pim interface ge-0/0/0.0 version 2
 set protocols pim interface irb.0 mode sparse
 set protocols pim interface irb.0 version 2

ejemplo para aplicar pim en todas las interfaces

 set protocols pim interface all mode sparse

 set protocols pim interface all version 2

paso opcional ipv6

para activar el enrutamiento ipv6 primero validamos el estado de flujo

 root@210> show security flow status
Flow forwarding mode:
Inet forwarding mode: flow based
Inet6 forwarding mode: drop----------------DROPEA PAQUETES IPV6
MPLS forwarding mode: drop
ISO forwarding mode: drop
Flow trace status
Flow tracing status: off

luego habilitamos el flujo ipv6, al finalizar utilizamos nuevamente el comando anterior para observar si efectivamente se habilito.

root@210# set security forwarding-options family inet6 mode flow-based

[edit]
root@210# commit
warning: You have enabled/disabled inet6 flow.
You must reboot the system for your change to take effect.
If you have deployed a cluster, be sure to reboot all nodes.
commit complete

root@210> show security flow status

Flow forwarding mode:
Inet forwarding mode: flow based
Inet6 forwarding mode: flow based---------FLUJO HABILITADO
MPLS forwarding mode: drop
ISO forwarding mode: drop
Flow trace status
Flow tracing status: off

creación rutas ipv6

 set routing-options rib inet6.0 static route ::/0 next-hop fd2e:f062:d1c6:001a::1

agregar direccionamiento sobre interface

 set interfaces ge-0/0/0 unit 1 family inet6 address fd2e:f062:d1c6:001a::2/126 “wan”

 set interfaces irb unit 0 family inet6 address 2800:026c:1b::1/64 “lan”

NOTA: CUANDO SE UTILIZA IPV6 SE DEBE APLCIAR POLITICA DE BW INDEPENDIENTEMENTE DE QUE SE RESTRINJA POR IPV4 EJMP:

 set interfaces ge-0/0/0 unit 1 family inet6 policer input 2MB output 2MB

paso opcional creación vrf

 set routing-instances L3_PRUEBAS_I description vrf_pruebas

 set routing-instances L3_PRUEBAS_I instance-type vrf
 set routing-instances L3_PRUEBAS_I route-distinguisher 1:1
 set routing-instances L3_PRUEBAS_I vrf-target target:1:1

creacion de rutas sobre vrf

 set routing-instances L3_PRUEBAS_I routing-options static route 0.0.0.0/0 next-hop 10.189.51.253

como asociar una subinterface a una vrf

 set routing-instances INTERNET2 interface ge-0/0/0.2 “wan”

 set routing-instances INTERNET2 interface irb.1 “lan”

NOTA: cuando se crea una VRF sobre un equipo junos estas interfaces deben tener su propia zona y sus propias politicas ya que se está
virtualizando una máquina, se deben crear nuevas para estas interfaces.

paso opcional creación nat

 set security nat source pool NAVEGACION address 186.154.255.73/29 to 186.154.255.78/29

 set security nat source rule-set interface from interface ge-0/0/2.0
 set security nat source rule-set interface to interface ge-0/0/0.1
 set security nat source rule-set interface rule 1 match source-address 192.168.810/24
 set security nat source rule-set interface rule 1 match destination-address 0.0.0.0/0
 set security nat source rule-set interface rule 1 then source-nat pool NAVEGACION

paso adicional para probar el nat desde el router, para realizar pruebas desde el router se crea una política adicional donde se
realiza nat desde el chasis

 set security nat source rule-set nat-chasis from routing-instance default

 set security nat source rule-set nat-chasis to interface ge-0/0/0.0
 set security nat source rule-set nat-chasis rule self-traf match source-address 192.168.1.1/24
 set security nat source rule-set nat-chasis rule self-traf match destination-address 0.0.0.0/0
 set security nat source rule-set nat-chasis rule self-traf then source-nat pool NAVEGACION

NOTA: AL AGREGAR LA POLITICA SOBRE EL CHASIS PARA PROBAR LA SALIDA DESDE LAS DIRECCIONES DEL EQUIPO, EL PING HACIA LA WAN NO
FUNCIONARA YA QUE EQUIPO REALIZARA NAT DE TODAS LAS PETICIONES.

Paso optional creacion dhcp server

 set system services dhcp-local-server group p1 interface ge-0/0/0.0

 set access address-assignment pool p1 family inet network 172.18.4.0/24
 set access address-assignment pool p1 family inet range r1 low 172.18.4.2
 set access address-assignment pool p1 family inet range r1 high 172.18.4.254
 set access address-assignment pool p1 family inet dhcp-attributes maximum-lease-time 2419200
  set access address-assignment pool p1 family inet dhcp-attributes name-server 200.75.51.132
 set access address-assignment pool p1 family inet dhcp-attributes name-server 200.75.51.133
 set access address-assignment pool p1 family inet dhcp-attributes router 172.18.4.1

NOTA: si el servidor dhcp compoarte direccionamiento sobre una interface virtual o una subinterface, se debe aplicar el commando
primary sobre el direccionamiento,sino se aplica no funcionara.

Paso opcional creación vrrp

pasos para el equipo ppal

 set interfaces irb unit 0 family inet address 192.168.1.2/24 vrrp-group 1 virtual-address 192.168.1.1
 set interfaces irb unit 0 family inet address 192.168.1.2/24 vrrp-group 1 priority 120
 set interfaces irb unit 0 family inet address 192.168.1.2/24 vrrp-group 1 preempt
 set interfaces irb unit 0 family inet address 192.168.1.2/24 vrrp-group 1 accept-data
 set interfaces irb unit 0 family inet address 192.168.1.2/24 vrrp-group 1 track interface ge-0/0/0 priority-cost 40

pasos para el equipo backup

 set interfaces irb unit 0 family inet address 192.168.1.3/24 vrrp-group 1 virtual-address 192.168.1.1
 set interfaces irb unit 0 family inet address 192.168.1.3/24 vrrp-group 1 priority 100
 set interfaces irb unit 0 family inet address 192.168.1.3/24 vrrp-group 1 preempt
 set interfaces irb unit 0 family inet address 192.168.1.3/24 vrrp-group 1 accept-data

load set terminal ------ carga de comandos set

load merge terminal ---- interface de comando tipo c++

-------------------------------------------------
configuración de ap “lo debe realizar el técnico”
-------------------------------------------------

como parámetro inicial se debe energizar el equipo y accesar a la dirección web http://dlinkrouter.local./

La primera ventana nos solicitara el modo de configuración, se selecciona manual

En esta sección se realiza la configuración de la red wifi solicitada por el cliente.

se selecciona la zona horario gmt -5 Bogota,Lima,Quito sin horario de verano

En esta ventana de verificación debe mostrar los parámetros completados y el cambio de clave echo al equipo.
Se reingresa al equipo con las claves que anteriormente introducimos

En esta ventana el equipo nos permite realizar una configuración avanzada, se selecciona avanzado

En la ventana de presentación buscamos la opción conexión inalámbrica.

En esta pestaña buscamos en los parámetros de red inalámbrica la opción “modo inalámbrico”

En el modo inalámbrico seleccionamos la opción Access Point

Paso seguido seleccionamos el botón guardar parámetros

Y reiniciamos el equipo

El equipo al reiniciarse lo accedemos nuevamente y debemos tener las opciones configuración sencilla, conexión a internet y normas de
control paterno deshabilitadas

Ingresamos a la pestaña configuración de lan

En esta pestaña le asignamos una dirección del pool privado del cliente al equipo y ponemos como puerta de enlace predeterminada la
dirección del equipo SRX300 instalado en sitio, asignamos los dns de etb e inactivamos la casilla “activar el servidor DHCP”
Para finalizar guardamos los cambios realizados.
Al terminar esta configuración los puertos del equipo automáticamente son todos lan, el puerto que físicamente se ve como wan queda
funcionando como lan.

Éxitos en la configuración

Saludos