‘壹’ juniper srx240防火墙用show interfaces terse命令看不到接口,是什么问题
设备重新启动的过程中如果FPC还没有启动完成,上面的接口是看不到的。
‘贰’ juniper srx3400防火墙如何配置SSH,TELNET登录超时
长连接应用处理
经常会遇到长连接应用,基于状态检测机制的防火墙在处理此类应用时要加以注意。缺省情况下,Netscreen防火墙对每一个会话的连接保持时间是30分钟(TCP)和1分钟(UDP),超时后状态表项将会被清除。所以在实施长连接应用策略时要配置合适的timeout值,以满足长连接应用的要求。配置常连接应用需注意地方有:
如果在长连接应用中已经设计了心跳维持机制(如每隔几分钟,客户端与服务端之间传送心跳以维持会话),此时无需防火墙上设置timeout时间,使用默认配置即可。
长连接应用中没有心跳机制时,通常情况下建议timeout值为36小时。应用通常在工作时间建立连接,这样可在下班后时间拆除连接。
在配置 timeout值时,特别提醒不要使用“never timeout”(永不超时)的选项。该选项将可能造成防火墙的session被大量消耗同时这些session处于僵死状态。如果需要超时等待的时间确实很长,建议配置一个具体的长时间段(如一周)。
网页链接
‘叁’ juniper srx240如何恢复出厂配置
进入到配置模式,执行下列命令:
root# load factory-default
warning: activating factory configuration /***系统激活出厂配置***/
恢复出厂后,必须立刻设置ROOT 帐号密码<默认密码至少6 位数:字母加数字>
root# set system root-authentication plain-text-password
New password:
当设置完ROOT 帐号密码以后,进行保存激活配置
root# commit
commit complete
在此需要提醒配置操作员注意,系统恢复出厂后并不代表没有任何配置,系统缺省配置有Screen\DHCP\Policy
等相关配置,你如果需要完整的删除,可以执行命令delete 删除相关配置。通过show 来查看系统是否还有遗留
不需要的配置,可以一一进行删除,直到符合你的要求,然后再重新根据实际需求进行配置。
‘肆’ juniper SRX 配置时按上下方向键没有历史命令
可以在>模式下,输入“ show cli history ”,即可看到防火墙输入过的命令。
‘伍’ juniper SRX如何实现分流
一、命令汇总
1. set ip next-hop { ip-address [...ip-address] | recursive ip-address }
这条命令允许写多个下一跳IP,但这些IP必须是直连路由器的接口IP。如果定义了多个下一跳IP,则当第一个下一跳关联的本地出接口DOWN掉,则自动切换到下一个next-hop
命令中,recursive next-hop(递归下一跳)特性突破了传统下一跳必须是直连路由器下一跳接口IP的限制。Recursive next-hop可以不是直连网络,只要路由表中有相关的路由可达即可。一般如果recursive next-hop不可达,数据将交由路由处理(一般就被默认路由匹配走了)。
如果在一个route-map列表的同一个序列中同时使用ip next-hop及ip next-hop recursive,则ip next-hop 有效。如果ip next-hop 挂了,则启用ip next-hop recursive,如果ip next-hop recursive和ip next-hop 都挂了,则丢给路由表处理。注意:一个route-map序列,只允许配置一个ip next-hop recursive。
2. set ip next-hop verify-availability [ next-hop-address sequence track object ]
检测下一跳的可达性,默认是关闭的。
Sequence of next hops. The acceptable range is from 1 to 65535.
此条命令可以下列方式使用:
在PBR环境下使用CDP检测下一跳IP可达性(不加后面的可选参数)
使用该特性可能会一定程度上降低设备性能,另外必须保证自己以及邻居路由器接口CDP都是开启的,最后过程交换及CEF都支持该特性,但dCEF不支持。
该特性借助设备的CDP表来判断下一跳的可达性,
如果本端开启了该特性,next-hop设备不支持CDP,则切换至下一个next-hop,如果没,则跳过PBR
如果本端没开启该特性,那么数据包要么被成功策略路由,要么永远无法正常路由出去(被丢弃)
如果仅仅想检测部分next-hop设备的可达性,则可以配置不同的route-map条目,来选择性的使用该特性(同一个route-map)。
结合object tracking来检测一个远端设备(或IP)的可达性
使用object tracking,PBR可以做的更加灵活,可依据ICMP、HTTP、路由表中某条路由的存在与否、接口的up/DOWN等来进行决策。
注意: 如若基于CDP的检测及基于object tracking的检测都应用了,则后者优先
3. set ip next-hop 与set ip default next-hop的区别比较简单,这里就不解析了
‘陆’ junipersrx300路由器备份怎么操作
默认情况他的配置文件0-4个版本都保存在/config下面,5-49个版本保存在/var/db/config下面,当然随着软件版本的更新,这个位置可能稍有变化,你通过file list命令都可以找到。还有一个办法是你在配置的最上层用save filename这个命令给你当前的配置保存一个文件名。这个文件就存在于你登陆用户名的主目录下面,下次你只要还是用这个用户名登陆就可以看到。可以通过ftp的方式传到外面的主机上。
log是保存在/var/log下面。
你可以选择通过ftp或tftp的方式将这些文件所存在的目录传出来保存。
如果只想要里面的各别文件,就用crt 记录会话就好了
‘柒’ juniper srx防火墙在web界面怎样查看日志
看不到,web有限制,而且根据版本不同,log文件存放的位置查看方式不通。
一般用cli查看,
先定义一个traceoption的文件名,和需要记录的log类型,
然后再在策略的最后面then的地方加上log记录属性。
然后用命令show log 【你taceoption定义的log名】
web查看也是需要用命令去定义,然后再在web的system文件夹下面去找这个log文件名,很麻烦
‘捌’ Juniper srx650刚买回来 哪位请教下配置口是哪个 管理地址是多少
juniper SRX的设备管理是基于区段的,即zone,如果trust和untrust,所以如果想通过http,telnet,ssh这些方式管理,需要对zone配置相应的管理方式。
针对你的现在的配置,需确认几点:
1、现在配置192.168.1.1的地址是哪个接口
2、该接口属于trust或untrust
3、目前来说,需要通过串口,console登录SRX,在CLI下配置
4、如下,通过命令查看接口是否开启了管理性和zone,如标红处
SRX> show interfaces brief
Physical interface: ge-0/0/0, Enabled, Physical link is Up
Link-level type: Ethernet, MTU: 1514, Speed: 1000mbps, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled, Remote fault: Online
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x4000
Link flags : None
Logical interface ge-0/0/0.0
Flags: SNMP-Traps 0x4000 Encapsulation: ENET2
Security: Zone: trust
Allowed host-inbound traffic : dhcp http https ping ssh telnet
inet 110.0.130.254/24
5、配置管理性
1)以上确认接口在trust内,需要进入zone模式,才能配置管理性;通过show可以查看zone当前的配置
‘玖’ juniper srx和netscreen命令一样么包括配置层次的区分
不一样