juniper

Juniper防火墙划分三个端口： 1.E0/0连接内网网络，网段是172.16.1.0/24，E0/0的端口ip地址是172.16.1.1，作为内网网络的网关 2.E0/1连接DMZ区域，网段是172.16.2.0/24，E0/1的端口ip地址是172.16.2.1，作为DMZ的网关 3.E0/2连接外网区域，网段是202.202.202.0/24，E0/2的端口ip地址是202.202.202.202，同时配置默认路由，指向202.202.202.1 划分为三个不同区域，策略如下： 1.E0/0是trust区域，trust区域能够访问DMZ和untrust区域 2.E0/1是DMZ区域，DMZ区域能够访问trust和untrust区域 3.E0/2是untrust区域，untrust区域能够访问DMZ区域 PC连接到交换机上，交换机的有个端口连接到Juniper防火墙的E0/0端口，PC的ip地址是172.16.1.5，网关是172.16.1.1，服务器连接到交换机上，交换机的有个端口连接到Juniper防火墙的E0/1端口，服务器的ip地址是172.16.2.5，网关是172.16.2.1配置完成后，出现了以下问题： 1.PC能够ping通172.16.1.1，也能够ping通202.202.202.202，也能够上网，但是不能ping通172.16.2.1 2

LOG 信息查看方法 在设备的/VAR/LOG下面存储着设备的 LOG信息，可以在 CLI中直接查看这些 LOG文件的内容，包括通过 DEBUG 命令生成的日志文件。 查看目录下的日志文件列表 srx>file list /cf/var/log 查看日志文件内容 srx> show log kmd 来源： 51CTO 作者： tuolzb 链接： https://blog.51cto.com/13001500368/2481735

Flow 的排查 通常配置完成后，发现业务访问不正常或是不通，需要使用一些方法进行排查 在接口上抓包查看实时的 Traffic 信息 lab@SRX210B> monitor traffic interface ge-0/0/0.0 no-resolve Flow 的 Debug set security flow traceoptions file flowlog #生成文件名 flowlog set security flow traceoptions flag basic-datapath set security flow traceoptions packet-filter to0 source-prefix 192.168.1.61/32 set security flow traceoptions packet-filter to0 destination-prefix 192.168.0.12/32 #上面 2 条是设置一个 packet-filter 把从源 192.168.1.61 到目标 192.168.0.12 的流量 Debug 信息记入 floglog 文件 lab@srx210B>show log filelog #查看 filelog 文件内容 lab@srx210B>clear log filelog #清除 filelog 文件内容

1、用到的设备：juniper防火墙、linux服务器、花生壳。 2、拓扑图 3、配置步骤 网络上主机与主机之间通信，是根据ip地址来寻找对方。而内网环境基本上都是私有地址，所以我们正常情况下无法访问内网的主机。就算我们知道Juniper出口的ip地址，只要Juniper重新拨号，那么这个Ip地址就会改变，但是我们又必须要用到ip地址。这时，我们就要用到“花生壳”了。购买一个域名，每当Juniper重新拨号后，它都能解析光纤最新的ip地址。然后，再利用防火墙的转发规则，我们就可以实现从内网访问外网。 假设我有一个域名“cninsure-2011.gicp.net“ ，本例中，我最终的目录是访问内网的数据库服务器，一般情况下，直接访问数据库服务器不太安全，这时，我们可以利用Linux服务器自带的iptables 对端口进行转发，譬如说我在家访问33669号端口，当数据包经过Juniper防火墙到达192.168.1.50后，根据iptables的规则，只要数据包的目的端口是33669，就将该包转发到192.168.1.228的3306号上，而数据库的常用端口就是3306，从而在外网访问数据库。 a、在Juniper防火墙上添加策略，放行目的端口是33669的数据包。如下图所示 登录Juniper的控制端，左边Policy---->Service---->Custom,然后点

https://blog.51cto.com/haorenzhang/1917227 前 言 一直以来断断续续的测过与Cisco、Juniper友商设备的互通，主要是涉及到E1/T1的链路较多，每次在测试互通的时候总是忍不住还要去翻阅手册，进行重新配置；同时不少同事在测试互通时，特别是在与Juniper互通时总来询问如何配置。因此，本人有感而发有必要做个与Cisco、Juniper E1/.T1互通总结，方便今后互通时迅速上手，同时也希望对大家在测试其他模块时有用，特别是对刚入职的新员工。 本文首先对E1/T1板卡进行简单的介绍，以在国内应用较广的E1介绍为主，大家了解清楚E1/T1板卡的使用情况后，并对典型配置作介绍，并依据自己在测试任务中搭建的实际环境详细的介绍了互通的配置。文章中有不妥之处，请指出改正。 与Cisco & Juiper E1/T1互通总结 1 E1/T1概述 20世纪60年代，随着PCM（Pulse Code Modulation，脉冲编码调制）技术的出现，TDM技术（Time Division Multiplexing，时分复用）在数字通信系统中逐渐得到广泛的应用。目前，在数字通信系统中存在两种时分复用系统，一种是ITU-T推荐的E1系统，广泛应用于欧洲以及中国；一种是由ANSI推荐的T1系统，主要应用于北美和日本（日本采用的J1，与T1基本相似

在Juniper NetScreen防火墙上设置 SSG520-> set syslog config "10.10.14.20" SSG520-> set syslog enable SSG520-> get syslog Syslog Configuration: Hostname: 10.10.14.20 Host port: 514 Security Facility: local0 Facility: local0 Traffic log: disabled Event log: enabled Transport: udp Socket number: 265 module=system: emer, alert, crit, error, warn, notif, info, debug Traffic/IDP logs on backup device: disabled Syslog is enabled. 监控端python import logging import socketserver import threading import re LOG_FILE = 'pysyslog.log' logging.basicConfig(level=logging.INFO, format='%(message)s', datefmt='', filename

1、juniper防火墙MVP MIP 是“一对一”的双向地址翻译（转换）过程。通常的情况是：当你有若干个公网 IP 地址，又存在若干的对外提供网络服务的服务器（服务器使用私有 IP 地址），为了实现互联网用户访问这些服务器，可在 Internet 出口的防火墙上建立公网 IP 地址与服务器私有 IP 地址之间的一对一映射（MIP），并通过策略实现对服务器所提供服务进行访问控制。 web下配置MIP： 1）登陆防火墙，将防火墙部署为三层模式（NAT或路由模式） 2）定义MIP：：Network=>Interface=>ethernet2=>MIP，配置实现 MIP 的地址映射。Mapped IP：公网 IP 地址，Host IP：内网服务器 IP 地址 3）定义策略：在 POLICY 中，配置由外到内的访问控制策略，以此允许来自外部网络对内部网络服务器应用的访问。 命令行方式配置MIP： 1） 配置接口参数 set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet1 nat set interface ethernet2 zone untrust set interface ethernet2 ip 1.1.1.1/24 2）定义MIP set

第一部分：介绍Juniper SRX NAT 网络地址转换(NAT) 是用于修改或转换数据包包头中的网络地址信息的一种方法。可转换数据包中的源和/或目标地址。NAT 中可包含端口号及IP 地址的转换。 NAT类型： 1、source NAT： a、基于Interface的source NAT b、基于pool的source NAT 2、destination NAT 3、static NAT NAT规则： NAT 类型决定NAT 规则的处理顺序。流的第一个数据包处理期间，将按照以下顺序应用NAT 规则： 静态NAT 规则 目标NAT 规则 路由查找 安全策略查找 反向映射静态NAT 规则 源NAT 规则 下图显示NAT规则的处理顺序 NAT规则集： 在NAT中rule set决定所有流量的方向，而rule set里面又包含有多个rule。一旦rule set 发现到有匹配的流量后，rule set 里面每个rule都会开始进行匹配计算，之后rule会为匹配的流量指定动作；而在不同类型的NAT中，rule set能匹配的条件是不一样的 规则集为信息流指定一组常规匹配条件。对于静态NAT 和目标NAT，规则集指定以下项之一： 源接口 .源区段 .源路由实例 root@Juniper-vSRX# set security nat destination rule-set dst-nat

一、实验环境介绍 1）vsrx 12.1X47-D20.7 二、实验拓扑 vSRXA1与vSRXA2之间建议Chassis Cluster ge-0/0/0为带外管理接口(系列默认，不可改) ge-0/0/1为control-link（系统配置，不可改） ge-0/0/4为data-link(手工配置，可改) control-link与data-link采用背靠背的连接方式。 在低端的SRX防火墙带外管理接口、控制接口、数据接口都是业务接口。 在高端的SRX防火墙管理接口、控制接口即为专用接口，只有数据接口为业务接口。 在HA中node1的接口序号将发生变化，在vSRX虚拟器上转为为一个7槽的设备（即slot 0、1、2、3、4、5、6） node0的接口序号为ge-0/0/0、ge-1/0/0....ge-6/0/0 node1的接口序号为ge-7/0/0、ge-8/0/0...ge-13/0/0 三、SRX 从单机模式到HA模式，需要重启防火墙 vSRXA1: set chassis cluster cluster-id 1 node 0 reboot vSRXA2: set chassis cluster cluster-id 1 node 1 reboot 2) vSRX重启后自动加入HA模式 {primary:node0} root> show chassis