Juniper SRX路由器命令配置手册
Juniper SRX配置手册
目录
一、JUNOS操作系统介绍 (3)
1.1 层次化配置结构 (3)
1.2 JunOS配置管理 (3)
1.3 SRX主要配置内容 (4)
二、SRX防火墙配置对照说明 (5)
2.1 初始安装 (5)
2.1.1 登陆 (5)
2.1.2 设置root用户口令 (5)
2.1.3 设置远程登陆管理用户 (5)
2.1.4 远程管理SRX相关配置 (6)
2.2 Policy (6)
2.3 NAT (7)
2.3.1 Interface based NAT (7)
2.3.2 Pool based Source NAT (8)
2.3.3 Pool base destination NAT (9)
2.3.4 Pool base Static NAT (10)
2.4 IPSEC VPN (10)
2.5 Application and ALG (12)
2.6 JSRP (12)
三、SRX防火墙常规操作与维护 (14)
3.1 设备关机 (14)
3.2 设备重启 (15)
3.3 操作系统升级 (15)
3.4 密码恢复 (15)
3.5 常用监控维护命令 (16)
Juniper SRX防火墙简明配置手册
SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。
本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。
一、JUNOS操作系统介绍
1.1 层次化配置结构
JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),exit命令退回上一级,top命令回到根级。
1.2 JunOS配置管理
JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate
Config)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX 语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Active config)。另外,JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认,如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
在执行commit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config),在执行commit后配置模式下可通过run show config命令查看当前有效配置(Active config)。此外可通过执行show | compare比对候选配置和有效配置的差异。
SRX上由于配备大容量硬盘存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit命令返回到以前配置(如rollback 0/commit可返回到前一commit配置);也可以直接通过执行save configname.conf手动保存当前配置,并执行load override configname.conf / commit调用前期手动保存的配置。执行load factory-default / commit命令可恢复到出厂缺省配置。
SRX可对模块化配置进行功能关闭与激活,如执行deactivate security nat/comit命令可使NA T 相关配置不生效,并可通过执行activate security nat/commit使NA T配置再次生效。
SRX通过set语句来配置防火墙,通过delete语句来删除配置,如delete security nat和edit security nat / delete一样,均可删除security防火墙层级下所有NA T相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。
1.3 SRX主要配置内容
部署SRX防火墙主要有以下几个方面需要进行配置:
System:主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务(如telnet)等内容。
Interface:接口相关配置内容。
Security:是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下完成配置,如NA T、Zone、Policy、Address-book、Ipsec、Screen、Idp等,可简单理解为ScreenOS防火墙安全相关内容都迁移至此配置层次下,除了Application自定义服务。
Application:自定义服务单独在此进行配置,配置内容与ScreenOS基本一致。
routing-options:配置静态路由或router-id等系统全局路由属性配置。
二、SRX防火墙配置对照说明
2.1 初始安装
2.1.1 登陆
Console口(通用超级终端缺省配置)连接SRX,root用户登陆,密码为空
login: root
Password:
--- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTC
root% cli /***进入操作模式***/
root>
root> configure
Entering configuration mode /***进入配置模式***/
[edit]
Root#
2.1.2 设置root用户口令
设置root用户口令
root# set system root-authentication plain-text-password
root# new password : root123
root# retype new password: root123
密码将以密文方式显示
root# show system root-authentication
encrypted-password "$1$xavDeUe6$fNM6olGU.8.M7B62u05D6."; # SECRET-DATA
注意:强烈建议不要使用其它加密选项来加密root和其它user口令(如encrypted-password加密方式),此配置参数要求输入的口令应是经加密算法加密后的字符串,采用这种加密方式手工输入时存在密码无法通过验证风险。
注:root用户仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必须成功设置root 口令后,才能执行commit提交后续配置命令。
2.1.3 设置远程登陆管理用户
root# set system login user lab class super-user authentication plain-text-password
root# new password : lab123
root# retype new password: lab123
注:此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。
2.1.4 远程管理SRX相关配置
run set date YYYYMMDDhhmm.ss/***设置系统时钟***/
set system time-zone Asia/Shanghai/***设置时区为上海***/
set system host-name SRX3400-A/***设置主机名***/
set system name-server 1.1.1.1 /***设置DNS服务器***/
set system services ftp
set system services telnet
set system services web-management http
/***在系统级开启ftp/telnet/http远程接入管理服务***/
set interfaces ge-0/0/0.0 family inet address 10.1.1.1/24
或
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24
set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.1/24
set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
/***配置逻辑接口地址及缺省路由,SRX接口要求IP地址必须配置在逻辑接口下(类似ScreenOS 的子接口),通常使用逻辑接口0即可***/
set security zones security-zone untrust interfaces ge-0/0/0.0
/***将ge-0/0/0.0接口放到untrust zone去,类似ScreenOS***/
set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic system-services http set security zones security-zone untrust host-inbound-traffic system-services telnet /***在untrust zone打开允许远程登陆管理服务,ScreenOS要求基于接口开放服务,SRX要求基于Zone开放,从SRX主动访问出去流量开启服务,类似ScreenOS***/
2.2 Policy
Policy配置方法与ScreenOS基本一致,仅在配置命令上有所区别,其中策略的允许/拒绝的动作(Action)需要额外配置一条then语句(将ScreenOS的一条策略分解成两条及以上配置语句)。Policy需要手动配置policy name,policy name可以是字符串,也可以是数字(与ScreenOS的policy ID类似,只不过需要手工指定)。
set security zones security-zone trust address-book address pc1 10.1.1.10/32
set security zones security-zone untrust address-book address server1 10.0.2.1/32
/***与ScreenOS一样,在trust和untrust zone下分别定义地址对象便于策略调用,地址对象的名称可以是地址/掩码形式***/
set security zones security-zone trust address-book address-set addr-group1 address pc1
/***在trust zone下定义名称为add-group1的地址组,并将pc1地址放到该地址组中***/
set security policies from-zone trust to-zone untrust policy 001 match source-address addr-group1 destination-address server1 application any
set security policies from-zone trust to-zone untrust policy 001 then permit
/***定义从trust 到untrust方向permit策略,允许addr-group1组的源地址访问server1地址any 服务***/
2.3 NAT
SRX NA T较ScreenOS在功能实现方面基本保持一致,但在功能配置上有较大区别,配置的主要差异在于ScreenOS的NA T与policy是绑定的,无论是MIP/VIP/DIP还是基于策略的NA T,在policy中均要体现出NA T内容(除了缺省基于untrust接口的Souec-NA T模式外),而SRX 的NA T则作为网络层面基础内容进行独立配置(独立定义地址映射的方向、映射关系及地址范围),Policy中不再包含NA T相关配置信息,这样的好处是易于理解、简化运维,当网络拓朴和NA T 映射关系发生改变时,无需调整Policy配置内容。
SRX NA T和Policy执行先后顺序为:目的地址转换-目的地址路由查找-执行策略检查-源地址转换,结合这个执行顺序,在配置Policy时需注意:Policy中源地址应是转换前的源地址,而目的地址应该是转换后的目的地址,换句话说,Policy中的源和目的地址应该是源和目的两端的真实IP地址,这一点和ScreenOS存在区别,需要加以注意。
SRX中不再使用MIP/VIP/DIP这些概念,其中MIP被Static静态地址转换取代,两者在功能上完全一致;DIP被Source NA T取代;基于Policy的目的地址转换及VIP被Destination NA T取代。ScreenOS中基于Untrust zone接口的源地址转换被保留下来,但在SRX中不再是缺省模式(SRX中Trust Zone接口没有NA T模式概念),需要手工配置。类似ScreenOS,Static属于双向NA T,其他类型均属于单向NA T,
此外,SRX还多了一个proxy-arp概念,如果定义的IP Pool(可用于源或目的地址转换)与接口IP在同一子网时,需配置SRX对这个Pool内的地址提供ARP代理功能,这样对端设备能够解析到IP Pool地址的MAC地址(使用接口MAC地址响应对方),以便于返回报文能够送达SRX。下面是配置举例及相关说明:
2.3.1 Interface based NAT
NAT:
set security nat source rule-set 1 from zone trust
set security nat source rule-set 1 to zone untrust
set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0
set security nat source rule-set 1 rule rule1 then source-nat interface
上述配置定义NA T源地址映射规则,从Trust Zone访问Untrust Zone的所有流量用Untrust Zone 接口IP做源地址转换。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address 10.1.2.2
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定义Policy策略,允许Trust zone 10.1.2.2地址访问Untrust方向任何地址,根据前面的NA T配置,SRX在建立session时自动执行接口源地址转换。
2.3.2 Pool based Source NAT
NAT:
set security nat source pool pool-1 address 100.1.1.10 to 100.1.1.20
set security nat source rule-set 1 from zone trust
set security nat source rule-set 1 to zone untrust
set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0
set security nat source rule-set 1 rule rule1 then source-nat pool pool-1
set security nat proxy-arp interface ge-0/0/2 address 100.1.1.10 to 100.1.1.20
上述配置表示从trust方向(any)到untrust方向(any)访问时提供源地址转换,源地址池为pool1(100.1.1.10 -100.1.1.20),同时ge-0/0/2接口为此pool IP提供ARP代理。需要注意的是:定义Pool时不需要与Zone及接口进行关联。配置proxy-arp目的是让返回包能够送达SRX,如果Pool与出接口IP不在同一子网,则对端设备需要配置指向100.1.1.1的Pool地址路由。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address 10.1.1.2
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定义Policy策略,允许Trust zone 10.1.2.2地址访问Untrust方向任何地址,根据前面的NA T配置,SRX在建立session时自动执行源地址转换。
2.3.3 Pool base destination NAT
NAT:
set security nat destination pool 111 address 192.168.1.100/32
set security nat destination rule-set 1 from zone untrust
set security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0
set security nat destination rule-set 1 rule 111 match destination-address 100.100.100.100/32
set security nat destination rule-set 1 rule 111 then destination-nat pool 111
上述配置将外网any访问100.100.100.100地址映射到内网192.168.1.100地址,注意:定义的Dst Pool是内网真实IP地址,而不是映射前的公网地址。这点和Src-NA T Pool有所区别。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address 192.168.1.100
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定义Policy策略,允许Untrust方向任何地址访问Trust方向192.168.1.100,根据前面的NA T配置,公网访问100.100.100.100时,SRX自动执行到192.168.1.100的目的地址转换。
ScreenOS VIP功能对应的SRX Dst-nat配置:
set security nat destination pool 222 address 192.168.1.200/32 port 8000
set security nat destination rule-set 1 from zone untrust
set security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0
set security nat destination rule-set 1 rule 111 match destination-address 100.100.100.100/32
set security nat destination rule-set 1 rule 111 match destination-port 8000
set security nat destination rule-set 1 rule 111 then destination-nat pool 222
上述NA T配置定义:访问100.100.100.100地址8000端口映射至192.168.1.200地址8000端口,功能与ScreenOS VIP端口映射一致。
2.3.4 Pool base Static NAT
NAT:
set security nat static rule-set static-nat from zone untrust
set security nat static rule-set static-nat rule rule1 match destination-address 100.100.100.100
set security nat static rule-set static-nat rule rule1 then static-nat prefix 192.168.1.200
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address 192.168.1.200
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
Static NA T概念与ScreenOS MIP一致,属于静态双向一对一NA T,上述配置表示访问100.100.100.100时转换为192.168.1.200,当192.168.1.200访问Internet时自动转换为100.100.100.100。
2.4 IPSEC VPN
SRX IPSEC VPN支持Site-to-Site VPN 和基于NS-remote的拨号VPN,和ScreenOS一样,site-to-site VPN也支持路由模式和Policy模式,在配置方面也和ScreenOS基本一致。SRX中的加密/验证算法在命名上和ScreenOS存在一些区别,配置过程中建议选择ike和ipsec的proposal 为standard模式,standard中包含SRX支持的全部加密/验证算法,只要对端设备支持其中任何一种即可。SRX中通道接口使用st0接口,对应ScreenOS中的tunnel虚拟接口。
下面是图中左侧SRX基于路由方式Site-to-site VPN配置:
set interfaces st0 unit 0 family inet address 10.2.0.1/24
set security zones security-zone untrust interfaces st0.0
set routing-options static route 10.1.2.0/24 next-hop st0.0
定义st0 tunnel接口地址/Zone及通过VPN通道到对端网络路由
set security ike policy ABC mode main
set security ike policy ABC proposal-set standard
set security ike policy ABC pre-shared-key ascii-text juniper
定义IKE Phase1 policy参数,main mode,standard proposal及预共享密钥方式
set security ike gateway gw1 ike-policy ABC
set security ike gateway gw1 address 10.0.2.1
set security ike gateway gw1 external-interface ge-0/0/1.0
定义IKE gaeway参数,预共享密钥认证,对端网关10.0.2.1,出接口ge-0/0/1(位于untrust zone)
set security ipsec policy AAA proposal-set standard
set security ipsec vpn vpn1 bind-interface st0.0
set security ipsec vpn vpn1 ike gateway gw1
set security ipsec vpn vpn1 ike ipsec-policy AAA
set security ipsec vpn vpn1 establish-tunnels immediately
定义ipsec Phase 2 VPN参数:standard proposal、与st0.0接口绑定,调用Phase 1 gw1 ike网关。set security policies from-zone untrust to-zone trust policy vpn-policy match source-address any set security policies from-zone untrust to-zone trust policy vpn-policy match destination-address any
set security policies from-zone untrust to-zone trust policy vpn-policy match application any
set security policies from-zone untrust to-zone trust policy vpn-policy then permit
set security policies from-zone trust to-zone untrust policy vpn-policy match source-address any set security policies from-zone trust to-zone untrust policy vpn-policy match destination-address any
set security policies from-zone trust to-zone untrust policy vpn-policy match application any
set security policies from-zone trust to-zone untrust policy vpn-policy then permit
开启双向policy以允许VPN流量通过
2.5 Application and ALG
SRX中自定义服务及ALG使用方法与ScreenOS保持一致,系统缺省开启FTP ALG,为TCP 21服务提供FTP应用ALG。自定义服务如果属于FTP类应用,需要将此自定义服务(非TCP 21端口)与FTP应用进行关联。下面举例定义一个FTP类服务ftp-test,使用目的端口为TCP 2100,服务超时时间为3600秒,并将此自定义服务与FTP应用关联(ALG),系统将识别此服务为FTP 应用并开启FTP ALG来处理该应用流量。
set applications application ftp-test protocol tcp destination-port 2100 inactivity-timeout 3600 set applications application ftp-test application-protocol ftp
2.6 JSRP
JSRP是Juniper SRX的私有HA协议,对应ScreenOS的NSRP双机集群协议,支持A/P和A/A 模式,JSRP对ScreenOS NSRP协议和JUNOS Cluster集群技术进行了整合集成,熟悉NSRP协议有助于对JSRP协议的理解。JSRP和NSRP最大的区别在于JSRP是完全意义上的Cluster概念,两台设备完全当作一台设备来看待,两台设备的接口板卡顺序编号、运维变更将对两台设备同时进行操作,无需额外执行ScreenOS的配置和会话同步等操作,而ScreenOS NSRP可看作在同步配置和动态对象(session)基础上独立运行的两台单独设备。
JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应。由于SRX 是转发与控制层面完全分裂架构,JSRP需要控制层面(配置同步)和数据层面(Session 同步)两个平面的互联,建议控制和数据层面互联链路使用光纤链路直连(部分平台强制要求光纤链路直连)。
JSRP接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号,如上所示的SRX5800,每个SRX5800机箱有12个业务槽位,节点0槽位号从0开始编号,节点1槽位号从12开始往后编。
整个JSRP配置过程包括如下7个步骤
●配置Cluster id和Node id (对应ScreenOS NSRP 的cluster id并需手工指定设备使用节点id)●指定Control Port (指定控制层面使用接口,用于配置同步及心跳)
●指定Fabric Link Port (指定数据层面使用接口,主要session等RTO同步)
●配置Redundancy Group (类似NSRP的VSD group,优先级与抢占等配置)
●每个机箱的个性化配置(单机无需同步的个性化配置,如主机名、带外管理口
IP地址等)
●配置Redundant Ethernet Interface (类似NSRP的Redundant冗余接口)
●配置Interface Monitoring (类似NSRP interface monitor,是RG数据层面切换依
据)
SRX JSRP配置样例:
●配置Cluster id和Node id
SRX-A>set chassis cluster cluster-id 1 node 0 reboot(注意该命令需在operational模式下输入,Cluster ID取值范围为1 – 15,当Cluster ID = 0时将unsets the cluster)
SRX-B>set chassis cluster cluster-id 1 node 1 reboot
●指定Control Port(如果主控板RE上有固定control-ports,则无需指定):
set chassis cluster control-ports fpc 11 port 0
set chassis cluster control-ports fpc 23 port 0
●指定Fabric Link Port
set interfaces fab0 fabric-options member-interfaces ge-1/0/0
set interfaces fab1 fabric-options member-interfaces ge-13/0/0
注:Fabric Link中的Fab0固定用于node 0,Fab1固定用于node 1
●配置Redundancy Group
RG0固定用于主控板RE切换,RG1以后用于redundant interface切换,RE切换独立于接口切换
set chassis cluster reth-count 10 (指定整个Cluster中redundant ethernet interface最多数量)set chassis cluster redundancy-group 0 node 0 priority 200(高值优先,与NSRP相反)
set chassis cluster redundancy-group 0 node 1 priority 100
set chassis cluster redundancy-group 1 node 0 priority 200(高值优先,与NSRP相反)
set chassis cluster redundancy-group 1 node 1 priority 100
●每个机箱的个性化配置,便于对两台设备的区分与管理
set groups node0 system host-name SRX-A
set groups node0 interfaces fxp0 unit 0 family inet address 1.1.1.1/24 (带外网管口名称为fxp0,区别ScreenOS的MGT口)
set groups node1 system host-name SRX-B
set groups node1 interfaces fxp0 unit 0 family inet address 1.1.1.2/24
set apply-groups ${node} (应用上述groups配置)
●配置Redundant Ethernet Interface
Redundant Ethernet Interface类似ScreenOS里的redundant interface,只不过Redundant Ethernet interface是分布在不同的机箱上(这一特性又类似ScreenOS 的VSI接口)。
Set interface ge-0/0/0 gigether-options redundant-parent reth0 (node 1的ge-0/0/0接口)Set interface ge-13/0/0 gigether-options redundant-parent reth0 (node 1的ge-0/0/0接口)Set interface reth0 redundant-ether-options redundancy-group 1(reth0属于RG1)
Set interface reth0 unit 0 family inet address 192.168.0.1/24
●配置Interface Monitoring,被监控的接口Down掉后,RG1将自动进行主备切换(与ScreenOS
类似),
Set cluster redundancy-group 1 interface-monitor ge-0/0/0 weight 255
Set cluster redundancy-group 1 interface-monitor ge-0/0/1 weight 255
Set cluster redundancy-group 1 interface-monitor ge-13/0/0 weight 255
Set cluster redundancy-group 1 interface-monitor ge-13/0/1 weight 255
●JSRP维护命令
a)手工切换JSRP Master,RG1 原backup将成为Master
root@srx5800a> request chassis cluster failover redundancy-group 1 node 1
b)手工恢复JSRP状态,按照优先级重新确定主备关系(高值优先)
root@srx5800b> request chassis cluster failover reset redundancy-group 1
c)查看cluster interface
root@router> show chassis cluster interfaces
d)查看cluster 状态、节点状态、主备关系
lab@srx5800a# run show chassis cluster status
e)取消cluster配置
srx5800a# set chassis cluster disable reboot
f)升级JSRP软件版本
SRX目前暂不支持软件在线升级(ISSU),升级过程会中断业务。
升级步骤如下:
1.升级node 0,注意不要重启系统
2.升级node 1,注意不要重启系统.
3.同时重启两个系统
g)恢复处于disabled状态的node
当control port或fabric link出现故障时,为避免出现双master (split-brain)现象,JSRP会把出现故障前状态为secdonary的node设为disabled状态,即除了RE,其余部件都不工作。
想要恢复必须reboot该node。
三、SRX防火墙常规操作与维护
3.1 设备关机
SRX因为主控板上有大容量硬盘,为防止强行断电关机造成硬件故障,要求设备关机必须按照下面的步骤进行操作:
1.管理终端连接SRX console口。
2.使用具有足够权限的用户名和密码登陆CLI命令行界面。
3.在提示符下输入下面的命令:
user@host> request system halt
…
The operating system has halted.
Please press any key to reboot(除非需要重启设备,此时不要敲任何键,否
则设备将进行重启)
4.等待console输出上面提示信息后,确认操作系统已停止运行,关闭机箱背后电源模
块电源。
3.2 设备重启
SRX重启必须按照下面的步骤进行操作:
1.管理终端连接SRX console口。
2.使用具有足够权限的用户名和密码登陆CLI命令行界面。
3.在提示符下输入下面的命令:
user@host> request system reboot
4.等待console设备的输出,操作系统已经重新启动。
3.3 操作系统升级
SRX操作系统软件升级必须按照下面的步骤进行操作:
1.管理终端连接SRX console口,便于升级过程中查看设备重启和软件加载状态。
2.SRX上开启FTP服务,并使用具有超级用户权限的非root用户通过FTP客户端将下
载的升级软件介质上传到SRX上。
3.升级前,执行下面的命令备份旧的软件及设定:
user@host> request system snapshot
4.加载新的SRX软件:
user@host>request system software add validate filename.tgz
reboot
5.软件加载成功后,SRX将自动重启,重启完成后检查系统当前软件版本号:
user@host> show system software
3.4 密码恢复
SRX Root密码丢失,并且没有其他的超级用户权限,那么就需要执行密码恢复,该操作需要中断设备正常运行,但不会丢失配置信息,这点与ScreenOS存在区别。
要进行密码恢复,请按照下面操作进行:
1.Console口连接SRX,然后重启SRX。
2.在启动过程中,console上出现下面的提示的时候,按空格键中断正常启动方式,然后
再进入单用户状态,并输入:boot -s
Loading /boot/defaults/loader.conf
/kernel data=…… syms=[……]
Hit [Enter] to boot immediately, or space bar for command prompt.
loader>
loader> boot -s
3.执行密码恢复:在以下提示文字后输入recovery,设备将自动进行重启
Enter full pathname of shell or 'recovery' for root password recovery or RETURN for /bin/sh: recovery
4.进入配置模式,删除root密码,并重现设置root密码:
user@host> configure
Entering configuration mode
user@host#delete system root-authentication
user@host#set system root-authentication plain-text-password
user@host#New password:
user@host#Retype new password:
user@host# commit
commit complete
3.5 常用监控维护命令
下列操作命令在操作模式下使用,或在配置模式下run show…
●show system software 查看当前软件版本号
●show system uptime 查看系统启动时间
●show chassis haredware 查看硬件板卡及序列号
●show chassis environment 查看硬件板卡当前状态
●show chassis routing-engine 查看主控板(RE)资源使用及状态
●show route 查看路由表
●show arp 查看ARP表
●show log messages 查看系统日志
●show interface terse 查看所有接口运行状态
●show interface ge-x/y/z detail 查看接口运行细节信息
●monitor interface ge-x/y/z 动态统计接口数据包转发信息
●monitor traffic interface ge-x/y/z 动态报文抓取(Tcpdump,类似ScreenOS snoop
命令)
●show security flow session summary 查看当前防火墙并发会话数
●show security flow session 查看当前防火墙具体并发会话
●clear security flow session all 清除当前session
●show security alg status 检查全局ALG开启情况
●SRX对应ScreenOS debug flow basic跟踪报文处理路径的命令:
?set security flow traceoptions flag basic-datapath 开启SRX基本报文处理Debug
?set security flow traceoptions file filename.log将输出信息记录到指定文件中
?set security flow traceoptions file filename.log size
?set security flow traceoptions packet-filter filter1 destination-prefix 5.5.5.2 设置报文跟踪过滤器
?run file show filename.log 查看该Log输出信息
●SRX对应ScreenOS get tech命令,开Case时需要抓取的信息:request support
information
华三华为交换机路由器配置常用命令汇总定稿版
华三华为交换机路由器 配置常用命令汇总 HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】
H3C交换机配置命令大全1、system-view 进入系统视图模式 2、sysname 为设备命名 3、display current-configuration 当前配置情况 4、 language-mode Chinese|English 中英文切换 5、interface Ethernet 1/0/1 进入以太网端口视图 6、 port link-type Access|Trunk|Hybrid 设置端口访问模式 7、 undo shutdown 打开以太网端口 8、 shutdown 关闭以太网端口
9、 quit 退出当前视图模式 10、 vlan 10 创建VLAN 10并进入VLAN 10的视图模式 11、 port access vlan 10 在端口模式下将当前端口加入到vlan 10中 12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中 13、port trunk permit vlan all 允许所有的vlan通过 H3C路由器配置命令大全华为交换机常用配置实例 H3C交换机路由器telnet和console口登录配置 2009年11月09日星期一 10:00
级别说明 Level 名称 命令 参观 ping、tracert、telnet 1 监控 display、debugging 2 配置 所有配置命令(管理级的命令除外)
H3C的路由器配置命令详解
H3C的路由器配置命令详解 en 进入特权模式 conf 进入全局配置模式 in s0 进入serial 0 端口配置 ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配enca hdlc/ppp 捆绑链路协议hdlc 或者ppp ip unn e0 exit 回到全局配置模式 in e0 进入以太接口配置 ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配exit 回到全局配置模式 ip route 0.0.0.0 0.0.0.0 s 0 添加路由表 ena password 口令 write exit 以上根据中国电信ddn 专线多数情况应用 普通用户模式 enable 转入特权用户模式 exit 退出配置 help 系统帮助简述 language 语言模式切换 ping 检查网络主机连接及主机是否可达 show 显示系统运行信息 telnet 远程登录功能 tracert 跟踪到目的地经过了哪些路由器 特权用户模式 #? clear 清除各项统计信息
clock 管理系统时钟 configure 进入全局配置模式 debug 开启调试开关 disable 返回普通用户模式 download 下载新版本软件和配置文件 erase 擦除FLASH中的配置 exec-timeout 打开EXEC超时退出开关 exit 退出配置 first-config 设置或清除初次配置标志 help 系统帮助简述 language 语言模式切换 monitor 打开用户屏幕调试信息输出开关 no 关闭调试开关 ping 检查网络主机连接及主机是否可达 reboot 路由器重启 setup 配置路由器参数 show 显示系统运行信息 telnet 远程登录功能 tracert 跟踪到目的地经过了哪些路由器unmonitor 关闭用户屏幕调试信息输出开关write 将当前配置参数保存至FLASH MEM中 全局配置模式 aaa-enable 使能配置AAA(认证,授权和计费) access-list 配置标准访问表 arp 设置静态ARP人口 chat-script 生成一个用在modem上的执行脚本custom-list 创建定制队列列表 dialer-list 创建dialer-list dram-wait 设置DRAM等待状态
Cisco路由器的基本配置命令
Cisco路由器的基本配置命令 Cisco 路由器的基本配置命令 一(实训目的 1(掌握路由器的连接方式和使用基本规则。 2(掌握路由器的基本配置命令。 二(实训器材及环境 1(安装 Windows 2000 Server 系统的计算机一台。 2(安装模拟软件 Boson Netsim 5.31。 3(模拟环境如下: 图 11-1 实验拓扑环境 三(实训理论基础 1(路由器的基本配置语句 (1)配置路由器名字和特权密码: Router1> enable Router1# conf t Router1(config)# hostname R1 R1(config)# enable secret 123456
b5E2RGbCAP
(2)配置路由器的 Ethernet 端口:
R1(config)# interface e0 R1(config-if)# ip address 192.168.1.1 255.255.255.0 p1EanqFDPw R1(config-if)# no shutdown (3)配置路由器的 Serial 端口(DTE 端):DXDiTa9E3d R1(config)# interface s0 R1(config-if)# ip address 10.0.0.1 255.0.0.0 R1(config-if)# no shutdown (4)配置路由器的 Serial 端口(DCE 端):
RTCrpUDGiT
R2(config)# interface s0 R2(config-if)# ip address 10.0.0.2 255.0.0.0 R2(config-if)# clock rate 64000 R2(config-if)# no shutdown 2(路由器可以有多种类型的端口,用于连接 不同的网络,常用的有以太网端口(Ethernet)、快速以太网端口 (FastEthernet)、高速同步串口(Serial)等。有的端口是固定端口,有的端
5PCzVD7HxA
- 1 -
路由器配置常用命令汇总
Access-enable允许路由器在动态访问列表中创建临时访问列表入口 Access-group把访问控制列表(ACL)应用到接口上 Access-list定义一个标准的IP ACL Access-template在连接的路由器上手动替换临时访问列表入口 Appn向APPN子系统发送命令 Atmsig执行ATM信令命令 B 手动引导操作系统 Bandwidth 设置接口的带宽 Banner motd 指定日期信息标语 Bfe 设置突发事件手册模式 Boot system 指定路由器启动时加载的系统映像 Calendar 设置硬件日历 Cd 更改路径 Cdp enable 允许接口运行CDP协议 Clear 复位功能 Clear counters 清除接口计数器 Clear interface 重新启动接口上的件逻辑 Clockrate 设置串口硬件连接的时钟速率,如网络接口模块和接口处理器能接受的速率Cmt 开启/关闭FDDI连接管理功能 Config-register 修改配置寄存器设置 Configure 允许进入存在的配置模式,在中心站点上维护并保存配置信息 Configure memory 从NVRAM加载配置信息 Configure terminal 从终端进行手动配置 Connect 打开一个终端连接
Copy 复制配置或映像数据 Copy flash tftp 备份系统映像文件到TFTP服务器 Copy running-config startup-config 将RAM中的当前配置存储到NVRAM Copy running-config tftp 将RAM中的当前配置存储到网络TFTP服务器上 Copy tftp flash 从TFTP服务器上下载新映像到Flash Copy tftp running-config 从TFTP服务器上下载配置文件 Debug 使用调试功能 Debug dialer 显示接口在拨什么号及诸如此类的信息 Debug ip rip 显示RIP路由选择更新数据 Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息 Debug ipx sap 显示关于SAP(业务通告协议)更新数据包信息 Debug isdn q921 显示在路由器D通道ISDN接口上发生的数据链路层(第2层)的访问过程 Debug ppp 显示在实施PPP中发生的业务和交换信息 Delete 删除文件 Deny 为一个已命名的IP ACL设置条件 Dialer idle-timeout 规定线路断开前的空闲时间的长度 Dialer map 设置一个串行接口来呼叫一个或多个地点 Dialer wait-for-carrier-time 规定花多长时间等待一个载体 Dialer-group 通过对属于一个特定拨号组的接口进行配置来访问控制 Dialer-list protocol 定义一个数字数据接受器(DDR)拨号表以通过协议或ACL与协议的组合来控制控制拨号 Dir 显示给定设备上的文件 Disable 关闭特许模式 Disconnect 断开已建立的连接
H3C路由器配置命令详解
华为H3C路由器交换机配置命令详解 2009-12-28 22:40:13| 分类: Quidway-h3c|举报|字号订阅 交换机命令 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 0/1 进入接口视图 [Quidway]interface vlan x 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0 配置VLAN的IP地址[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.65.1.2 静态路由=网关 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple 222 设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 [Quidway-Ethernet0/1]duplex {half|full|auto} 配置端口工作状态[Quidway-Ethernet0/1]speed {10|100|auto} 配置端口工作速率[Quidway-Ethernet0/1]flow-control 配置端口流控 [Quidway-Ethernet0/1]mdi {across|auto|normal} 配置端口平接扭接[Quidway-Ethernet0/1]port link-type {trunk|access|hybrid} 设置端口工作模式[Quidway-Ethernet0/1]undo shutdown 激活端口 [Quidway-Ethernet0/2]quit 退出系统视图 [Quidway]vlan 3 创建VLAN [Quidway-vlan3]port ethernet 0/1 to ethernet 0/4 在VLAN中增加端口[Quidway-Ethernet0/2]port access vlan 3 当前端口加入到VLAN [Quidway-Ethernet0/2]port trunk permit vlan {ID|All} 设trunk允许的VLAN [Quidway-Ethernet0/2]port trunk pvid vlan 3 设置trunk端口的PVID [Quidway]monitor-port 设置主vlan包括的子vlan [Quidway-Ethernet0/2]port hybrid pvid vlan
路由器常用配置命令
Cisco常用配置命令Cisco常用配置命令 一.交换机的基本配置 C2950# config terminal 进入全局配置模式 show interface fastethernet0/1 查看端口0/1的配置结果 show interface fastethernet0/1 status 查看端口0/1的状态 show mac-address-table 查看整个MAC地址表 clear mac-address-table restricted static 清除限定性地址 C2950(config)# hostname 2950A / 设置主机名为2950A interface f0/23 / 进入端口23的配置模式 enable password cisco / 设置enable password为cisco enable secret cisco1 / 设置enable secret为cisco1 ip address 192.168.1.1 255.255.255.0 / 设置交换机IP 地址 ip default-gateway 192.168.1.254 / 设置默认网关 ip domain-name https://www.sodocs.net/doc/0f519932.html, / 设置域名 ip name-server 200.0.0.1 / 设置域名服务器 配置查看MAC地址表 mac-address-table ? mac-address-table aging-time 100 / 设置超时是时间为100s mac-address-table permanent https://www.sodocs.net/doc/0f519932.html, /f0/3 加入永久地址mac-address-table restricted static 0000.0c02.bbcc / f0/6 f0/7 加入静态地址 end show mac-address-table /查看整个Mac地址表 clear mac-address-table restricted static C2950(config-if)# interface fastethernet0/1 /进入接口F0/1子配置模式 interface Ethernet0 /进入以太网口0子配置模式 no shutdown /激活接口 speed ? /查看speed命令的子命令 speed 100 /设置该端口速率为100Mb/s dulplex full/half/auto /设置该端口为全双工 description TO_PC1 /设置该端口描述为TO_PC1 show interface fastethernet 0/1 /查看端口0/1的配置结果 show interface fastethernet 0/1 status /查看端口0/1的状态 配置VTP和STP 一. 配置VTP 2950A #vlan database /进入VLAN配置子模式 show vtp status /查看VTP设置信息 show vlan /查看VLAN配置信息 copy running-config startup-config /保存配置文件 2950A(vlan)#vtp server/client /设置本交换机为server/client模式
路由器常用命令
cisco路由器常用命令 1:三大模式 router> 用户模式 router > enable 进入特权模式 router # router > enable 进入全局配置模式 router #configure terminal router (conf)# 2:其它模式 Router(config)#interface f1/0 进入接口配置模式Router(config-if)# Router(config)#interface f1/0.1 进入子接口配置模式Router(config-subif)# Router(config)#line console 0 进入line模式Router(config-line)# Router(config)#router rip 进入路由模式Router(config-router)# 3:路由器命名 hostname routera,以routerA为例 router > enable router #configure terminal router(conf)#hostname routerA routera (conf)# 4:配置各类密码 配置特权模式密码(使能口令) enable password cisco,以cisco为例 router > enable router #configure terminal router(conf)#hostname routerA routerA (conf)# enable password cisco 设置VTY(虚拟终端接口)密码 Router(config)#line vty 0 1
路由器配置命令详细列表
启动接口,分配IP地址 router> router> enable router# router# configure terminal router(config)# router(config)# interface Type Port router(config-if)# no shutdown router(config-if)# ip address IP-Address Subnet-Mask router(config-if)# ^z [编辑] 配置RIP路由协议:30秒更新一次
router(config)# router rip router(config-if)# network Network-Number <——通告标准A,B,C类网——> router(config-if)# ^z [编辑] 配置IGRP路由协议:90秒更新一次 router(config)# router igrp AS-Number <—— AS-Number范围1~65535——> router(config-if)# network Network-Number <——通告标准A,B,C类网——> router(config-if)# ^z [编辑] 配置Novell IPX路由协议:Novell RIP 60秒更新一次router(config)# ipx routing [node address] router(config)# ipx maximum-paths Paths <——设置负载平衡,范围1~512——>
router(config)# interface Type Port router(config-if)# ipx network Network-Number [encapsulation encapsulation-type] [secondary] <——通告标准A,B,C类网——> router(config-if)# ^z [编辑] 配置DDR: router(config)# dialer-list Group-Number protocol Protocol-Type permit [list ACL-Number] router(config)# interface bri 0 router(config-if)# dialer-group Group-Number router(config-if)# dialer map Protocol-Type Next-Hop-Address name Hostname Telphone-Number router(config-if)# ^z
路由基础配置命令
路由基础配置命令UTP双绞线类型: 直通线: 交叉线: 广域网线缆连接类型: DTE: DCE: 时钟速率: 路由器的接口:(作用) 1. 广域网接口: serial 2. 内网接口: fastethernet 3. 管理接口: console (控制台) AUX(备份) 连接两个设备: 1. 物理连接 2. 逻辑连接 配置网络设备: 1. 管理属性:用户名密码描述警告 2. 协议地址:IP IPX 3. 协议策略:vlan 静态访问控制 交换机直接可以应用 路由器需要初始配置才能应用 设备启动过程: 1. 加电自检 2. 查找加载操作系统 3. 查找加载配置文件 配置网络设备方式: 1. 初始配置:console 2. 初始配置后通过interface(拥有ip地址的接口): 1)telnet 2)TFTP 3)WEB 4)网络管理工具: SNA SDM 配置直接应用到内存
登陆路由器: Router> Router>enable /*进入特权模式 Router# Router#disable /*退出特权模式 Router> Router>logout /*退出路由器 Router>exit /*退出路由器 路由器IOS帮助功能:?的三个用法 1/ 直接问号 2/ Router#cl? clear clock Router#cl 3/ Router#clock % Incomplete command. Router#clock ? set Set the time and date Router#clock 问号的帮助功能:(查找路由器设置时间的命令并设置时间) Router#cl? clear clock Router#clock % Incomplete command. Router#clock ? set Set the time and date Router#clock set % Incomplete command. Router#clock set ? hh:mm:ss Current Time Router#clock set 11:04:50 % Incomplete command. Router#clock set 11:04:50 ? <1-31> Day of the month MONTH Month of the year Router#clock set 11:04:50 15
路由器配置命令大全
路由器配置命令大全 视图模式介绍: 普通视图router> 特权视图router# /在普通模式下输入enable 全局视图router(config)# /在特权模式下输入config t 接口视图router(config-if)# /在全局模式下输入int 接口名称例如int s0或int e0 路由协议视图router(config-route)# /在全局模式下输入router 动态路由协议名称 1、基本配置: router>enable /进入特权模式 router#conf t /进入全局配置模式 router(config)# hostname xxx /设置设备名称就好像给我们的计算机起个名字 router(config)#enable password /设置特权口令 router(config)#no ip domain lookup /不允许路由器缺省使用DNS解析命令 router(config)# Service password-encrypt /对所有在路由器上输入的口令进行暗文加密 router(config)#line vty 0 4 /进入设置telnet服务模式 router(config-line)#password xxx /设置telnet的密码 router(config-line)#login /使能可以登陆 router(config)#line con 0 /进入控制口的服务模式 router(config-line)#password xxx /要设置console的密码 router(config-line)#login /使能可以登陆 2、接口配置: router(config)#int s0 /进入接口配置模式serial 0 端口配置(如果是模块化的路由器前面加上槽位编号,例如serial0/0 代表这个路由器的0槽位上的第一个接口) router(config-if)#ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx /添加ip 地址和掩码 router(config-if)#enca hdlc/ppp 捆绑链路协议hdlc 或者ppp 思科缺省串口封装的链路层协议是HDLC所以在show run配置的时候接口上的配置没有,如果要封装为别的链路层协议例如PPP/FR/X25就是看到接口下的enca ppp或者enca fr router(config)#int loopback /建立环回口(逻辑接口)模拟不同的本机网段 router(config-if)#ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx /添加ip 地址和掩码给环回口 在物理接口上配置了ip地址后用no shut启用这个物理接口反之可以用shutdown管理性的关闭接口 3、路由配置: (1)静态路由 router(config)#ip route xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 下一条或自己的接口 router(config)#ip route 0.0.0.0 0.0.0.0 s 0 添加缺省路由 (2)动态路由 rip协议 router(config)#router rip /启动rip协议 router(config-router)#network xxx.xxx.xxx.xxx /宣告自己的网段 router(config-router)#version 2 转换为rip 2版本 router(config-router)#no auto-summary /关闭自动汇总功能,rip V2才有作用 router(config-router)# passive-int 接口名/启动本路由器的那个接口为被动接口 router(config-router)# nei xxx.xxx.xxx.xxx /广播转单播报文,指定邻居的接ip,
思科中路由器的基础配置命令
思科中路由器的基础配置命令。 Cd 更改路径 Cdp enable 允许接口运行CDP协议 Clear 复位功能 Clear counters 清除接口计数器 Clear interface 重新启动接口上的件逻辑 Clockrate 设置串口硬件连接的时钟速率,如网络接口模块和接口处理器能接受的速率Cmt 开启/关闭FDDI连接管理功能 Config-register 修改配置寄存器设置 Configure 允许进入存在的配置模式,在中心站点上维护并保存配置信息 Configure memory 从NVRAM加载配置信息 Configure terminal 从终端进行手动配置 Connect 打开一个终端连接 Copy 复制配置或映像数据 Copy flash tftp 备份系统映像文件到TFTP服务器 Copy running-config startup-config 将RAM中的当前配置存储到NVRAM Copy running-config tftp 将RAM中的当前配置存储到网络TFTP服务器上 Copy tftp flash 从TFTP服务器上下载新映像到Flash Copy tftp running-config 从TFTP服务器上下载配置文件 Debug 使用调试功能 Debug dialer 显示接口在拨什么号及诸如此类的信息 Debug ip rip 显示RIP路由选择更新数据
Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息 Debug ipx sap 显示关于SAP(业务通告协议)更新数据包信息 Debug isdn q921 显示在路由器D通道ISDN接口上发生的数据链路层(第2层)的访问过程 Debug ppp 显示在实施PPP中发生的业务和交换信息 Delete 删除文件 Deny 为一个已命名的IP ACL设置条件 Dialer idle-timeout 规定线路断开前的空闲时间的长度 Dialer map 设置一个串行接口来呼叫一个或多个地点 Dialer wait-for-carrier-time 规定花多长时间等待一个载体 Dialer-group 通过对属于一个特定拨号组的接口进行配置来访问控制 Dialer-list protocol 定义一个数字数据接受器(DDR)拨号表以通过协议或ACL与协议的组合来控制控制拨号 Dir 显示给定设备上的文件 Disable 关闭特许模式 Disconnect 断开已建立的连接 Enable 打开特许模式 Enable password 确定一个密码以防止对路由器非授权的访问 Enable password 设置本地口令控制不同特权级别的访问 Enable secret 为enable password命令定义额外一层安全性(强制安全,密码非明文显示) Encapsulation frame-relay 启动帧中继封装 Encapsulation novell-ether 规定在网络段上使用的Novell独一无二的格式 Encapsulation PPP 把PPP设置为由串口或ISDN接口使用的封装方法
C路由器常用基本配置命令
C路由器常用基本配置命 令 Revised by Jack on December 14,2020
H3C路由器常用基本配置命令 [Quidway]sysname router_name命名路由器(或交换机) [Quidway]delete删除Flash ROM中的配置 [Quidway]save将配置写入Flash ROM [Quidway]interface serial 0进入接口配置模式 [Quidway]quit退出接口模式到系统视图 [Quidway]shutdown/undo shutdown关闭/重启接口 [Quidway]ip address ip_address subnet_mask为接口配置IP地址和子网掩码 [Quidway]display version显示VRP版本号 [Quidway]display current-configuration显示系统运行配置信息 [Quidway]display interfaces显示接口配置信息 [Quidway]display ip routing显示路由表 [Quidway]ping ip_address测试网络连通性 [Quidway]tracert ip_address测试数据包从主机到目的地所经过的网关 [Quidway]debug all打开所有调试信息 [Quidway]undo debug all关闭所有调试信息 [Quidway]info-center enable开启调试信息输出功能 [Quidway]info-center console dubugging将调试信息输出到PC [Quidway]info-center monitor dubugging将调试信息输出到Telnet终端或哑终端 换机配置命令举例(大括号{}中的选项为单选项,斜体字部分为参数值 [Quidway]super password password修改特权模式口令 [Quidway]sysname switch_name命名交换机(或路 [Quidway]interface ethernet 0/1进入接口视图 [Quidway]quit退出系统视图 [Quidway-Ethernet0/1]duplex {half|full|auto}配置接口双工工 [Quidway-Ethernet0/1]speed {10|100|auto}配置接口速率 [Quidway-Ethernet0/1]flow-control开启流控制 [Quidway-Ethernet0/1]mdi {across|normal|auto}配置MDI/MDIX [Quidway-Ethernet0/1]shutdown/undo shutdown关闭/重启端口 VLAN基本配置命令(以Quidway S3026为例) [Quidway]vlan 3创建并进入VLAN配置模式,缺省时系统将所有端口加入VLAN 1,这个端口既不能被创建也不能被删除。 [Quidway]undo vlan 3删除一个VLAN [Quidway-vlan3]port ethernet 0/1 to ethernet 0/4给VLAN增加/删除以太网接口
交换机配置命令详解
H3C 的路由器配置命令详解SYS 进入视图配置模式in s0 进入serial 0 端口配置ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配enca hdlc/ppp 捆绑链路协议hdlc 或者ppp ip unn e0 exit 回到全局配置模式in e0 进入以太接口配置ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 添加ip 地址和掩码,电信分配exit 回到全局配置模式
ip route 0.0.0.0 0.0.0.0 s 0 添加路由表 ena password 口令 write exit 以上根据中国电信ddn 专线多数情况应用 普通用户模式 enable 转入特权用户模式 exit 退出配置 help 系统帮助简述 language 语言模式切换 ping 检查网络主机连接及主机是否可达 show 显示系统运行信息 telnet 远程登录功能 tracert 跟踪到目的地经过了哪些路由器 特权用户模式 #? clear 清除各项统计信息 clock 管理系统时钟 configure 进入全局配置模式 debug 开启调试开关 disable 返回普通用户模式 download 下载新版本软件和配置文件 erase 擦除FLASH 中的配置 exec-timeout 打开EXEC 超时退出开关
exit 退出配置 first-config 设置或清除初次配置标志 help 系统帮助简述language 语言模式切换monitor 打开用户屏幕调试信息输出开关no 关闭调试开关ping 检查网络主机连接及主机是否可达reboot 路由器重启setup 配置路由器参数show 显示系统运行信息telnet 远程登录功能tracert 跟踪到目的地经过了哪些路由器unmonitor 关闭用户屏幕调试信息输出开关write 将当前配置参数保存至FLASH MEM 中全局配置模式aaa-enable 使能配置AAA(认证,授权和计费) access-list 配置标准访问表arp 设置静态ARP 人口chat-script 生成一个用在modem 上的执行脚本custom-list 创建定制队列列表dialer-list 创建dialer-list dram-wait 设置DRAM 等待状态enable 修改ENABLE 口令exit 退出全局配置模式firewall 配置防火墙状态flow-interval 设置流量控制时间间隔frame-relay 帧中继全局配置命令集ftp-server FTP 服务器help 系统帮助命令简述host 添加主机名称和其IP 地址 hostname 修改主机名ifquelen 更改接口队列长度interface 选择配置接口ip 全局IP 配置命令子集ipx 全局IPX 配置命令子集loghost 设置日志主机IP 地址logic-channel 配置逻辑通道login 启动EXEC 登录验证modem-timeout 设置modem 超时时间multilink 配置multilink 用户使用的接口multilink-user 配置multilink 用户使用的接口natserver 设置FTP,TELNET,WWW 服务的IP 地址no 关闭某些参数开关priority-list 创建优先级队列列表router 启动路由处理settr 设置时间范围snmp-server 修改SNMP 参数tcp 配置全局TCP 参数timerange 启动或关闭时间区域user 为PPP 验证向系统中加入用户vpdn 设置VPDN vpdn-group 设置VPDN 组x25 X.25 协议分组层 H3C 交换机常用命令解释作者 :admin 日期 :2009-12-19 字体大小: 小中大 H3C 交换机常用命令注释
思科路由器基本配置与常用配置命令
思科路由器基本配置与常用配置命令(simple for CCNA) 启动接口,分配IP地址: router> router> enable router# router# configure terminal router(config)# router(config)# interface Type Port router(config-if)# no shutdown router(config-if)# ip address IP-Address Subnet-Mask router(config-if)# ^z 配置RIP路由协议:30秒更新一次 router(config)# router rip router(config-if)# network Network-Number router(config-if)# ^z 配置IGRP路由协议:90秒更新一次 router(config)# router igrp AS-Number router(config-if)# network Network-Number router(config-if)# ^z配置Novell IPX路由协议:Novell RIP 60秒更新一次 router(config)# ipx routing [node address] router(config)# ipx maximum-paths Paths router(config)# interface Type Port router(config-if)# ipx network Network-Number [encapsulation encapsulation-type] [secondary] router(config-if)# ^z配置DDR: router(config)# dialer-list Group-Number protocol Protocol-Type permit [list ACL-Number] router(config)# interface bri 0 router(config-if)# dialer-group Group-Number router(config-if)# dialer map Protocol-Type Next-Hop-Address name Hostname Telphone-Number router(config-if)# ^z配置ISDN: router(config)# isdn swith-type Swith-Type router(config-if)# ^z 配置Frame Relay: router(config-if)# encapsulation frame-relay [cisco | ietf ] router(config-if)# frame-relay lmi-type [ansi | cisco | q933a ] router(config-if)# bandwidth kilobits router(config-if)# frame-relay invers-arp [ Protocol ] [dlci ] router(config-if)# ^z配置标准ACL: router(config)# access-list Access-List-Number [ permit | deny ] source [ source-mask ] router(config)# interface Type Port router(config-if)# ip access-group Access-List-Number [ in | out ] router(config-if)# ^z配置扩展ACL: router(config)# access-list Access-List-Number [ permit | deny ] [ Protocol | Protocol-Number ] source source-wildcard [ Source-Port ] destination destination-wildcard [ Destination-Port ] [ established ]
华三华为交换机-路由器配置常用命令汇总
欢迎阅读H3C交换机配置命令大全 1、system-view 进入系统视图模式 2、sysname 为设备命名 3、display current-configuration 当前配置情况 4、language-mode Chinese|English 中英文切换 5、interface Ethernet 1/0/1 进入以太网端口视图 6、port link-type Access|Trunk|Hybrid 设置端口访问模式 7、undo shutdown 打开以太网端口 8、shutdown 关闭以太网端口 9、quit 退出当前视图模式 10、vlan 10 创建VLAN 10并进入VLAN 10的视图模式 11、port access vlan 10 在端口模式下将当前端口加入到vlan 10中 12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中 13、port trunk permit vlan all 允许所有的vlan通过 H3C路由器配置命令大全华为交换机常用配置实例 H3C交换机路由器telnet和console口登录配置 2009年11月09日星期一 10:00 级别说明 Level 名称 命令 参观 ping、tracert、telnet 1 监控 display、debugging
2 配置 所有配置命令(管理级的命令除外) 3 管理 文件系统命令、FTP命令、TFTP命令、XMODEM命令 telnet仅用密码登录,管理员权限 [Router]user-interface vty 0 4[Router-ui-vty0-4]user privilege level 3[Router-ui-vty0-4]set authentication password simple abc telnet仅用密码登录,非管理员权限 [Router]super password level 3 simple super [Router]user-interface vty 0 4[Router-ui-vty0-4]user privilege level 1[Router-ui-vty0-4]set authentication password simple abc telnet使用路由器上配置的用户名密码登录,管理员权限 [Router]local-user admin password simple admin[Router]local-user admin service-type telnet[Router]local-user admin level 3 [Router]user-interface vty 0 4[Router-ui-vty0-4]authentication-mode local telnet使用路由器上配置的用户名密码登录,非管理员权限 [Router]super password level 3 simple super [Router]local-user manage password simple manage[Router]local-user manage service-type telnet[Router]local-user manage level 2 [Router]user-interface vty 0 4[Router-ui-vty0-4]authentication-mode local 对console口设置密码,登录后使用管理员权限 [Router]user-interface con 0[Router-ui-console0]user privilege level 3[Router-ui-console0]set authentication password simple abc 对console口设置密码,登录后使用非管理员权限 [Router]super password level 3 simple super [Router]user-interface con 0[Router-ui-console0]user privilege level 1[Router-ui-console0]set authentication password simple abc 对console口设置用户名和密码,登录后使用管理员权限 [Router]local-user admin password simple admin[Router]local-user admin service-type terminal[Router]local-user admin level 3 [Router]user-interface con 0[Router-ui-console0]authentication-mode local 对console口设置用户名和密码,登录后使用非管理员权限 [Router]super password level 3 simple super [Router]local-user manage password simple manage[Router]local-user