Vous êtes sur la page 1sur 32

Présentation

Avoir des compétences Juniper Junos est un plus pour beaucoup de réseautage personnel, même si vous ne travaillez pas tous les jours sur Juniper vitesse, il est très intéressant d'apprendre et de comparer avec Cisco IOS par exemple. A la fin de la journée, il vous aidera à mieux comprendre les systèmes d'exploitation de réseaux et d'élargir votre point de vue.

Juniper rend facile pour vous d'étudier leur logiciel en fournissant du matériel gratuitement (après inscription). La documentation de Juniper est généralement plus facile à lire et à comprendre que la documentation Cisco.

Si vous souhaitez valider vos connaissances de Juno, vous pouvez passer la certification JNCIA-Junos qui est entrée au niveau de la certification de Juniper. Il est assez facile de passer si vous êtes sérieux à ce sujet et lire leur documentation. Pour les professionnels certifiés (Cisco ou autre), la préparation de cette certification devrait vous prendre de quelques heures (dédié) à 1 ou 2 jours au plus.Cette certification est valable pendant 2 ans et est relativement moins cher que d'autres CERT.

objectifs de l'examen sont les suivants:

Système d'exploitation Junos Fundamentals

Options de l'interface utilisateur

Junos base de configuration

Suivi et maintien en condition opérationnelle

Fondements de routage

Politique de routage et pare-feu Filtres

Class of Service

Networking Fundamentals

Voir, vraiment rien à craindre. Alors que vous pourriez passer cette certification que par la lecture de docs de Juniper, il est toujours préférable de comprendre et pratiquer ce que vous apprenez vraiment! Cela permettra de définir la différence entre vous et les autres.

Nous sommes d'accord que vous pouvez ne pas avoir accès à des routeurs Juniper, c'est là que GNS3 pénètre. Vous pouvez pratiquer tout sur votre ordinateur! Et pour rendre les choses encore plus facile, nous avons fait quelques exercices pratiques pour vous. En fait, la partie la plus difficile est que vous devez obtenir votre propre image olive JunOS. Vous pouvez en créer un en lisant cette façon d' (qui doit être mis à jour et devrait être bientôt, désolé!). Après avoir créé, ajoutez votre image GNS3 et vous êtes prêt à jouer avec JunOS.

Principes de base du système d’exploitation

Cette partie est essentiellement la théorie et la lecture du chapitre 1 du PDF de Juniper (partie 1). C'est seulement ce que vous avez besoin pour l'examen, mais il est intéressant d'avoir un aperçu de la façon dont Junos réellement bottes haut.

Tout d'abord, faire votre laboratoire dans GNS3 en connectant 2 routeurs dos à dos en utilisant leur interface em0. Conservez ce laboratoire pour tous vos exercices pour les chapitres de la partie 1.

pour tous vos exercices pour les chapitres de la partie 1. Commencez vos routeurs Juniper dans

Commencez vos routeurs Juniper dans GNS3 et consoler à eux. Comme vous l'avez appris en PDF de Juniper, JunOS est basé sur FreeBSD, un système d'exploitation UNIX open source. Cet OS est très fiable et vous obtenez également des outils supplémentaires que vous ne pouvez pas trouver sur Cisco IOS par exemple.

La première chose que vous devriez voir après JunOS départ, ce sont les modules du noyau en cours de chargement. Le noyau est la composante de base du système d'exploitation.

/ Boot / modules / text = if_bge.ko données 0xa98c = 0x364 +0 xc syms = [0x4 +0 +0 XD50 x4 +0 xd18]

/ Boot / modules / texte mac_runasnonroot.ko = 0x7b4 données = 0x4d0 syms = [0x4 +0 +0 x310 x4 +0 x39d]

Ensuite, vous avez une chance de donner des paramètres au noyau afin de changer le processus de démarrage par défaut. Cela peut être utile pour récupérer le mot de passe root par exemple, mais ce n'est pas la seule utilisation. Root est le nom donné au super administrateur sous UNIX.

Ici vous pouvez simplement attendre quelques secondes ou appuyez sur Entrée pour démarrer immédiatement, le

Ici vous pouvez simplement attendre quelques secondes ou appuyez sur Entrée pour démarrer immédiatement, le noyau est alors chargé. Il y a un grand nombre d'informations, dont la plupart ce n'est vraiment pas pertinent, mais certains pourraient être intéressantes, comme la quantité de mémoire a été détectée ou d'autres informations de la CPU.

Hit [Entrée] pour démarrer immédiatement, ou la barre d'espace pour l'invite de commande. Démarrage [/ kernel] platform_early_bootinit: M / T Series initialisation de démarrage rapide Olive CPU

Copyright (c) 1996-2010, Juniper Networks, Inc. Tous droits réservés. Copyright (c) 1992-2006 par le Projet FreeBSD.

JUNOS 10.1R1.8 # 0: 2010-02-12 17:15:05 UTC builder@queth.juniper.net :/ volume/build/junos/10.1/release/10.1R1.8/obj-

i386/bsd/sys/compile/JUNIPER

véritable mémoire = 268369920 (255 Mo) bénéficier mémoire = 248840192 (237 Mo)

Maintenant, il est temps pour les pilotes à charger, ce sont ce que l'OS a besoin d'interface avec les composants matériels. Ici vous pouvez voir que nos 6 cartes d'interface réseau (em0 à EM5) ont été détectés et ont corrects adresses MAC Ethernet, ce qui est bon! Qu'est-ce qu'un routeur utile si vous n'avez pas les interfaces réseau?

Mise en place d'opérations et attributs interface M / T platform_mastership_init: Unknown product_type 0x00000001

Mise en place d'opérations et attributs interface M / T platform_mastership_init: Unknown product_type 0x00000001 EM5: bus = 0, device = 8, fonction = 0, l'adresse Ethernet 00: ab: ae: 99: e3: 05 em4: bus = 0, device = 7, fonction = 0, l'adresse Ethernet 00: ab: ae: 99: e3: 04 EM3: bus = 0, device = 6 fonctions = 0, l'adresse Ethernet 00: ab: ae: 99: e3: 03 em2: bus = 0, device = 5, fonction = 0, l'adresse Ethernet 00: ab: ae: 99: e3: 02 em1: bus = 0, device = 4, fonction = 0, l'adresse Ethernet 00: ab: ae: 99: e3: 01 em0: bus = 0, device = 3, fonction = 0, l'adresse Ethernet 00: aa: 00: ca: A4: 00

Suivant est JunOS lui-même, livré dans des emballages différents, d'être chargées dans la mémoire via des disques virtuels (md0, MD1, etc.) Ces forfaits commencent par la lettre J et nous pouvons deviner leur fonction, comme jkernel, jroute ou jpfe (PFE) qui - si vous vous rappelez le premier chapitre - est synonyme de Packet Forwarding Engine et est une partie importante de JunOS.

Monté paquet jBase sur / dev/md0

Vérifié manifeste signé par PackageProduction_10_1_0 Vérifié jboot signé par PackageProduction_10_1_0 Vérifié jBase-10.1R1.8 signé par PackageProduction_10_1_0 Monté paquet jkernel sur / dev/md1

Vérifié manifeste signé par PackageProduction_10_1_0 Vérifié jkernel-10.1R1.8 signé par PackageProduction_10_1_0 Monté paquet jpfe on / dev/md2

Monté paquet jdocs on / dev/md3

Vérifié manifeste signé par PackageProduction_10_1_0 Jdocs-10.1R1.8 vérifiés signés par PackageProduction_10_1_0 Monté paquet jroute on / dev/md4

Vérifié manifeste signé par PackageProduction_10_1_0 Vérifié jroute-10.1R1.8 signé par PackageProduction_10_1_0 Monté paquet jcrypto on / dev/md5

Vérifié manifeste signé par PackageProduction_10_1_0 Vérifié jcrypto-10.1R1.8 signé par PackageProduction_10_1_0 Monté paquet jpfe-commun sur / dev/md6

Maintenant que JunOS est en mémoire, il est exécuté et ses modules / drivers chargé aussi.

ifpfed_ds1e1Loading E1/T1/J1 conducteur ifpfed_ds3e3Loading le module DS3 NETPFE ifpfed_eia530 ifpfed_ethLoading le module Ethernet NETPFE

Chargement Multilink services module CIP. Chargement du module NETPFE Platform M & T

Votre FreeBSD / JunOS est prêt. Si tout s'est bien passé, vous devriez voir une invite de connexion.

bien passé, vous devriez voir une invite de connexion. Rendez-vous sur l'interface utilisateur Options et

Rendez-vous sur l'interface utilisateur Options et configuration initiale pour commencer à jouer avec votre nouveau laboratoire.

Configuration initiale

Cette page est à mettre en pratique ce que vous avez appris en PDF de Juniper (partie 1), chapitre 2 et 3. Alors maintenant, il est temps de bouger et de vous connecter en tant que root sans mot de passe.

La première chose que vous remarquerez est qu’Amnesiac est le nom d'hôte par défaut. Cela signifie que nos JunOS est en marche avec la configuration d'usine par défaut (vous pouvez utiliser la commande load factory-default en mode de configuration d'avoir un JunOS dans cet état).

Vous êtes connecté en tant que root, vous devriez voir la racine UNIX invite du shell @% où vous pouvez taper des commandes UNIX comme ls ou ps mais c'est hors de notre portée. Ce que nous voulons, c'est le mode de fonctionnement prompt root> qui a commencé avec la CLI commande.

Amnesiac (ttyd0) Login: root

--- JUNOS 10.1R1.8 construite 2010-02-12 17:15:05 UTC root @% cli root>

Tapez show configuration pour afficher la configuration d'usine par défaut actuel.

root> show configuration # # Dernier commit: 2011-02-17 00:34:21 UTC par la racine La version 10.1R1.8; système { syslog { utilisateur * { toute situation d'urgence;

}

messages de fichiers {

aucun préavis; info autorisation;

}

fichier interactif-commandes { Interactive-commandes tout;

}

}

# # Attention: manquer déclaration obligatoire (s): 'root-authentication'

}

Notez l'avertissement de déclaration obligatoire manquant, cela signifie que vous ne serez pas en mesure de valider vos modifications jusqu'à ce que vous définissez un mot de passe root.

Exercice 1 - mot de passe root

Accédez au mode de configuration en utilisant la commande configuration et de tenter de faire commit la configuration du candidat actuel, puis définissez un mot de passe root et commettre à nouveau.

Solution dessous

root> configure Entering configuration mode

[edit]

root# commit

[edit] 'system' Missing mandatory statement: 'root-authentication' error: commit failed: (missing statements)

[edit] root# set system root-authentication plain-text-password New password:

Retype new password:

[edit] root# commit commit complete

Maintenant votre itinéraire JunOS est prêt pour une nouvelle commet! Voyons voir si vous pouvez appliquer la même configuration sur votre second routeur sans regarder la solution ci- dessus. Rappelez-vous, vous devez d'abord vous connecter, puis aller en mode opérationnel et en mode de configuration. La commande pour configurer le mot de passe root commence avec set system, utilisez ? pour trouver la commande complète. Enfin, n'oubliez pas de valider ou votre configuration ne sera pas actif!

root# set system ? Possible completions:

> accounting

System accounting configuration

+ apply-groups

Groups from which to inherit configuration data

> tracing

System wide option for remote tracing

Essayez aussi la commande help topic pour afficher les directives d'utilisation (si vous voulez de l'histoire tout), la commande help reference de pour afficher les informations de synthèse (le plus utile lorsque vous voulez savoir sur les options de la commande) et la commande help apropos qui affiche la contextes (généralement fixés commandes) pertinentes au niveau de la hiérarchie de configuration à laquelle vous êtes actuellement positionné (si vous voulez de l'aide seulement de votre niveau de hiérarchie en cours et rien d'autre).

[edit] root# help topic system root-authentication root# help reference system root-authentication root# help apropos root-authentication

Exercice 2 - nom d'hôte

Avez-vous remarqué? Nous avons exactement le même message sur les deux routeurs, ce qui est ennuyeux car nous voulons savoir qui est qui. Ajoutons un nom d'hôte pour deux routeurs. Nous allons vous trouver la bonne commande (astuce: utiliser set system ? )

Solution dessous

root# set system host-name JUNOS1 root# set system host-name JUNOS2

Maintenant, comparez la configuration du candidat avec la configuration active en utilisant show | compare . Le + sont des lignes qui vont être ajoutées à la configuration active lorsque vous vous engagez et - lignes allez être enlevé. Ceci est très utile de savoir exactement ce qui est sur le point d'être modifié. Faire sur les deux routeurs et commettre.

root# show | compare [edit system] + host-name JUNOS1;

[edit] root# commit commit complete

Exercice 3 - rollback

Sur JUNOS2, configurer un faux nom d'hôte, rien. Engagez votre configuration et rollback à excelui contenant le bon nom d'hôte.

Solution dessous

[edit] root# set system host-name typo

[edit] root@JUNOS2# commit commit complete

[edit] root@typo# rollback 1 load complete

[edit] root@typo# show | compare [edit system] - host-name typo; + host-name JUNOS2;

[edit]

Exercice 4 - éditer

Nous allons configurer une adresse IP pour la première interface sur notre routeur JUNOS1 en utilisant la commande edit. Placez-vous au niveau suivant: interfaces em0 unit 0 family inet. em0 est le nom de notre première interface, donnez-lui l'adresse IP et le masque:

192.168.1.1/24

Solution dessous

[edit] root@JUNOS1# edit interfaces em0 unit 0 family inet

[edit interfaces em0 unit 0 family inet] root@JUNOS1# set address 192.168.1.1/24

[edit interfaces em0 unit 0 family inet] root@JUNOS1# show address 192.168.1.1/24;

Exercice 5 - up

Remontez 3 niveaux et modifier em1 de la même façon que em0. Configurez l'adresse IP et le masque: 10.1.1.1 / 8

Solution dessous

[edit interfaces em0 unit 0 family inet] root@JUNOS1# up 3

[edit interfaces] root@JUNOS1# edit em1 unit 0 family inet

[edit interfaces em1 unit 0 family inet] root@JUNOS1# set address 10.1.1.1/8

Exercice 6 - top & commit vérifier

Aller au niveau supérieur, vérifier votre configuration et de s'engager.

Solution dessous

[edit interfaces em1 unit 0 family inet] root@JUNOS1# top

[edit] root@JUNOS1# commit check configuration check succeeds

[edit] root@JUNOS1# commit commit complete

Exercice 7 - set vs edit et mettre

Configurez l'interface em0 (unité logique 0, la famille IPv4) sur JUNOS2 routeur avec une adresse IP 192.168.1.2/24 utilisant la commande set de niveau supérieur (souvenez-vous ? est votre ami).

Solution dessous

[edit] root@JUNOS2# set interfaces em0 unit 0 family inet address 192.168.1.2/24

Configurez l'adresse IP 10.1.1.2 / 8 em1 en vous plaçant au dernier niveau à l'aide utilisé edit.

Solution dessous

[edit] root@JUNOS2# edit interfaces em1 unit 0 family inet

[edit interfaces em1 unit 0 family inet]

root@JUNOS2# set address 10.1.1.2/8

Exercice 8 - telnet

Maintenant, nous tenons à configurer Telnet (SSH serait un meilleur choix car il est fixé) pour configurer à distance JUNOS2 de JUNOS1.Vérifiez d'abord que rien n'est configuré dans system services level tout en restant à votre niveau actuel (astuce: utiliser top ).Puis modifier ce niveau sans avoir à revenir au plus haut niveau. Configurer telnet avec le jeu de commandes, quitter au plus haut niveau, vérifiez que vous êtes sur le point de changer et enfin engager.

Solution dessous

[edit interfaces em1 unit 0 family inet] root@JUNOS2# top show system services

[edit interfaces em1 unit 0 family inet] root@JUNOS2# top edit system services

[edit system services] root@JUNOS2# set telnet

[edit system services] root@JUNOS2# exit

[edit]

root@JUNOS2# show | compare [edit system]

+ services {

+ telnet;

+ }

[edit]

+ interfaces {

+ em0 {

+ unit 0 {

+ family inet {

+ address 192.168.1.2/24;

+ }

+ }

+ }

+ em1 {

+ unit 0 {

+ family inet {

+ address 10.1.1.2/8;

+ }

+ }

+ }

+ }

[edit] root@JUNOS2# commit commit complete

Ajouter un compte d'utilisateur pour accéder à ce dispositif en utilisant telnet et à nouveau commettre.

Solution dessous

[Modifier] root @ JUNOS2 # set system login user junuser classe authentification super-utilisateur plain-text-password

Exercice 9 - course

Retour à JUNOS1, sans quitter le mode configuration, ping et telnet pour JUNOS2 (adresse IP: 192.168.1.2). Utilisez Ctrl + C pour arrêter ping. Utilisez le nom d'utilisateur et mot de passe que vous avez précédemment créé pour authentifier avec JUNOS2.

Solution dessous

[edit] root@JUNOS1# run ping 192.168.1.2 PING 192.168.1.2 (192.168.1.2): 56 data bytes

64

bytes from 192.168.1.2: icmp_seq=3 ttl=64 time=1.019 ms

64

bytes from 192.168.1.2: icmp_seq=4 ttl=64 time=0.940 ms

^C --- 192.168.1.2 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.940/4.298/17.504/6.603 ms

[edit] root@JUNOS1# run telnet 192.168.1.2 Trying 192.168.1.2

Connected to 192.168.1.2. Escape character is '^]'.

JUNOS2 (ttyp0)

login: junuser

Password:

--- JUNOS 10.1R1.8 built 2010-02-12 17:15:05 UTC junuser@JUNOS2> configure Entering configuration mode Users currently editing the configuration:

root terminal d0 (pid 1392) on since 2011-12-15 18:57:48 UTC, idle 00:01:45

Exercice 10 - annulation automatique

De votre session telnet sur JUNOS2, supprimer l'énoncé telnet sous les services system level et s'engager dans un chemin que si vous perdez votre connexion à JUNOS2, la configuration est automatiquement annulée après 1 minute. Quitter les deux modes de configuration et opérationnelles pour revenir à JUNOS1. Essayez de telnet 192.168.1.2 à nouveau, ce qui ne devrait pas travailler. Attendez environ 2 minutes (prenez une pause café) et réessayez. Cette fois, il devrait fonctionner comme votre engagement précédent aurait dû être annulées.

Solution dessous

[edit] junuser@JUNOS2# delete system services telnet

[edit] junuser@JUNOS2# commit confirmed 1

commit confirmed will be automatically rolled back in 1 minutes unless confirmed commit complete

# commit confirmed will be rolled back in 1 minute

[edit] junuser@JUNOS2# exit Exiting configuration mode

# commit confirmed will be rolled back in 1 minute

junuser@JUNOS2> exit

Exercice 11 - copie et renommer

Copier la configuration em1 à em2 et renommer em2 à EM3. Désactiver EM3. Aller à interfaces levels et afficher la configuration de candidat. Notez la inactif: EM3 . Enfin commit.

Solution dessous

[edit] root@JUNOS1# copy interfaces em1 to em2

[edit] root@JUNOS1# rename interfaces em2 to em3

[edit] root@JUNOS1# deactivate interfaces em3

[edit] root@JUNOS1# edit interfaces

[edit interfaces] root@JUNOS1# show em0 { unit 0 { family inet { address 192.168.1.1/24;

}

}

}

em1 { unit 0 { family inet { address 10.1.1.1/8;

}

}

}

inactive: em3 { unit 0 { family inet { address 10.1.1.1/8;

}

}

}

[edit interfaces] root@JUNOS1# commit commit complete

Changer EM3 adresse IP de 10.1.1.1 / 8 à 10.1.1.3 / 8 (astuce: utilisez la commande rename

configuration

candidat? Utilisez show et un tuyau pour le savoir.

). Peut-être

que

vous

aimeriez

voir

quelles

commandes

produite

cette

Solution dessous

[edit interfaces] root@JUNOS1# rename em3 unit 0 family inet address 10.1.1.1/8 to address 10.1.1.3/8

[edit interfaces] root@JUNOS1# show | display set set interfaces em0 unit 0 family inet address 192.168.1.1/24 set interfaces em1 unit 0 family inet address 10.1.1.1/8 set interfaces em3 unit 0 family inet address 10.1.1.3/8 deactivate interfaces em3

Exercice 12 - annoter

Ajouter une annotation disant que EM3 est inactif. En utilisant une seule commande, s'engager avec un commentaire décrivant ce que vous venez de faire et revenir au mode opérationnel.

Solution dessous

[edit interfaces] root@JUNOS1# annotate em3 "Inactive interface"

[edit interfaces] root@JUNOS1# commit comment "Added inactive em3 interface" and-quit commit complete Exiting configuration mode

root@JUNOS1>

Comparez la configuration active avec la précédente en utilisant la commande show configuration .

Solution dessous

root@JUNOS1> show configuration | compare rollback 1 [edit interfaces]

+ /* Inactive interface */

+ inactive: em3 {

+ unit 0 {

+ family inet {

+ address 10.1.1.3/8;

+ }

+ }

+ }

Exercice 13 - sauvetage

Vous savez que votre configuration fonctionne bien (connectivité de base est établi par exemple). Par conséquent, vous voulez faire la configuration de secours en cas de problème, ce qui permettra d'accélérer la reprise. Créez la configuration de sauvetage et de le restaurer.

Solution dessous

root@JUNOS1> request system configuration rescue save

root@JUNOS1> configure Entering configuration mode

root@JUNOS1# rollback rescue load complete

[edit] root@JUNOS1# commit commit complete

Exercice 14 - Adresse IP préféré

Configurer une adresse IP supplémentaire (192.168.1.3/24) pour em0 et configurer votre

routeur

pour

qu'il

utilise

cette

adresse

IP

comme

source

lors

de

l'envoi

de

pings

JUNOS2. S'engager,

quitter

le

mode

de

fonctionnement

et

de

vérifier

avec

le show

interfaces commande qui em0 dispose de 2 adresses IP.

Solution dessous

[edit] root@JUNOS1# set interfaces em0 unit 0 family inet address 192.168.1.3/24 preferred

[edit] root@JUNOS1# show | compare

[edit interfaces em0 unit 0 family inet]

address 192.168.1.1/24 {

}

+

address 192.168.1.3/24 {

+

preferred;

+

}

[edit] root@JUNOS1# commit commit complete

[edit] root@JUNOS1# exit Exiting configuration mode

root@JUNOS1> show interfaces em0 terse

Interface

Admin Link Proto

Local

Remote

em0

up

up

em0.0

up

up

inet

192.168.1.1/24

 

192.168.1.3/24

 

Allons voir ce que JUNOS1 peut effectivement envoyer des paquets à l'aide de l'adresse de source IP 192.168.1.3. Sur JUNOS2, en mode opérationnel, utilisez la commande suivante

pour surveiller le trafic vers et à partir du routeur: monitor traffic interface

em0 (Ctrl + C

pour quitter). Puis ping à partir JUNOS1 à 192.168.1.2. Vous devriez voir que vous recevez les paquets de 192.168.1.3 (192.168.1.3> 192.168.1.2)

root@JUNOS1> ping 192.168.1.2

PING 192.168.1.2 (192.168.1.2): 56 data bytes

64

bytes from 192.168.1.2: icmp_seq=0 ttl=64 time=12.510 ms

64

bytes from 192.168.1.2: icmp_seq=1 ttl=64 time=1.665 ms

root@JUNOS2> monitor traffic interface em0 verbose output suppressed, use <detail> or <extensive> for full protocol decode Address resolution is ON. Use <no-resolve> to avoid any reverse lookup delay. Address resolution timeout is 4s. Listening on em0, capture size 96 bytes 04:37:18.543830 192.168.1.3 > 192.168.1.2: ICMP echo request, id 40718, seq 12, length 64 04:37:18.544023 192.168.1.2 > 192.168.1.3: ICMP echo reply, id 40718, seq 12, length 64

Exercice 1 - Syslog

Sur JUNOS2, mettre en place un fichier syslog pour enregistrer les modifications de configuration (indice: système syslog ). S'engager et quitter.

Solution dessous

[edit] root@JUNOS2# set system syslog file config-changes change-log info

[edit] root@JUNOS2# commit and-quit commit complete Exiting configuration mode

Maintenant, retournez au mode de configuration et de changer junuser de donner des autorisations de conduite au lieu de super-utilisateur. Encore une fois, commettre et- quit. Utilisation de la commande show, afficher le journal lié à votre engagement précédent.

Solution dessous

[edit] root@JUNOS2# commit and-quit commit complete Exiting configuration mode

root@JUNOS2> show log config-changes Dec 16 05:06:24 JUNOS2 mgd[1392]: UI_CFG_AUDIT_SET: User 'root' set:

[system login user junuser class] "super-user -> "operator"

Utilisez

(UI_CFG_AUDIT_SET).

la

commande

help

Solution dessous

syslog

pour

en

savoir

plus

sur

le

code

de

message

root@JUNOS2> help syslog UI_CFG_AUDIT_SET

Name:

UI_CFG_AUDIT_SET

Message:

User '<username>' <action>: <pathname> <delimiter><data> ->

"<value>"

Help:

Value has been set for configuration object

Description:

The indicated user set a value for a configuration object,

as

indicated.

Type:

Event: This message reports an event, not an error

Severity:

info

De JUNOS1, telnet à JUNOS2 (192.168.1.2), vous connecter et commencer à surveiller le journal des modifications fichier en temps réel.

Solution dessous

root@JUNOS1> telnet 192.168.1.2 Trying 192.168.1.2 Connected to 192.168.1.2. Escape character is '^]'.

JUNOS2 (ttyp0) login: junuser Password:

--- JUNOS 10.1R1.8 built 2010-02-12 17:15:05 UTC junuser@JUNOS2> monitor start config-changes

Utilisation de la console (connecté avec root) sur JUNOS2, supprimer la configuration em1 et annuler la configuration de votre candidat actuel en utilisant le rollback commande. L'opérateur connecté via telnet aurait dû être informé de ce qui venait de se passer. Arrêtez tous les contrôles et de sortie.

Solution dessous

[edit] root@JUNOS2# delete interfaces em1

[edit] root@JUNOS2# rollback 0 load complete

junuser@JUNOS2>

*** config-changes *** Dec 16 05:16:53 JUNOS2 mgd[1392]: UI_CFG_AUDIT_OTHER: User 'root' delete:

[interfaces em1] Dec 16 05:17:12 JUNOS2 mgd[1392]: UI_CFG_AUDIT_OTHER: User 'root' rollback: /config/juniper.conf

junuser@JUNOS2> monitor list monitor start "config-changes" (Last changed Dec 16 05:17:13)

junuser@JUNOS2> monitor stop junuser@JUNOS2> exit

Exercice 2 - FTP et sauvegarde de la configuration automatisée

Sur JUNOS2, activer FTP et commit (conseil: utiliser les services du système de consigne ).

Solution dessous

[edit] root@JUNOS2# set system services ftp

[edit] root@JUNOS2# commit commit complete

Retour à JUNOS1, le configurer pour sauvegarder toute nouvelle configuration qui devient

la

actif

sur

JUNOS2

(192.168.1.2)

utilisant

FTP

à

ftp:// junuser@192.168.1.2 (indice:

configuration se fait en configuration système d'archivage niveau). S'engager à appliquer une fois la configuration de votre candidat, l'interface de suppression EM3 et commettre à nouveau. Après quelques secondes, votre nouvelle configuration doit être sauvegardée sur JUNOS2 (utiliser la liste de fichier / var / home / junuser commande pour vérifier).

Solution dessous

[edit] root@JUNOS1# edit system archival configuration

[edit system archival configuration] root@JUNOS1# set transfer-on-commit root@JUNOS1# set archive-sites ftp://junuser@192.168.1.2 password mypassword

[edit system archival configuration] root@JUNOS1# commit commit complete

[edit system archival configuration] root@JUNOS1# top delete interfaces em3

[edit system archival configuration] root@JUNOS1# commit commit complete

[edit] root@JUNOS1# run show log messages | match juniper.conf Dec 16 07:06:20 JUNOS1 logger: transfer-file: Transferred

/var/transfer/config/JUNOS1_juniper.conf.gz_20111216_070529

root@JUNOS2> file list /var/home/junuser /var/home/junuser:

.ssh/

JUNOS1_juniper.conf.gz_20111216_070459

Pour le dernier chapitre de la première PDF de Juniper, nous allons devoir regarder de plus près comment obtenir plus d'informations sur Juno et aussi pratique, la procédure de récupération de mot de passe qui sera plus tôt et plus tard être utile pour vous.

Exercice 1 - messages de démarrage

Vous rappelez-vous le processus de démarrage dans le chapitre 1? Eh bien vous avez une commande pour voir les messages de nouveau (astuce: utiliser la commande show system).

Solution dessous

root@JUNOS1# run show system boot-messages Copyright (c) 1996-2010, Juniper Networks, Inc.

ad1: 1024MB <QEMU HARDDISK 0.11.0> at ata0-slave WDMA2 Trying to mount root from ufs:/dev/ad0s1a vn_read_compressed_block: invalid block index 550

Exercice 2 - paquets Junos

Toujours sur le processus de démarrage, nous avons vu que les paquets Junos sont chargés sur des disques de mémoire virtuelle (vous pouvez encore voir que l'utilisation de la commande show system stockage). Trouver la commande qui liste tous ces paquets, y compris leurs versions.

Solution dessous

root@JUNOS1> show version Hostname: JUNOS1 Model: olive JUNOS Base OS boot [10.1R1.8] JUNOS Base OS Software Suite [10.1R1.8] JUNOS AppId Services [10.1R1.8] JUNOS IDP Services [10.1R1.8] JUNOS Routing Software Suite [10.1R1.8]

Exercice 3 - interfaces réseau

Maintenant montrer toutes les interfaces configurées sur JUNOS1 (équivalent à show ip interface brief sur Cisco IOS), puis utiliser une commande pour afficher un maximum de détails pour l'interface em0.

Solution dessous

root@JUNOS1> show interfaces terse

Interface

Admin Link Proto

Local

Remote

em0

up

up

em0.0

up

up

inet

192.168.1.1/24

 

192.168.1.3/24

root@JUNOS1> show interfaces em0 extensive Physical interface: em0, Enabled, Physical link is Up Interface index: 8, SNMP ifIndex: 17, Generation: 134 Type: Ethernet, Link-level type: Ethernet, MTU: 1514, Clocking:

Exercice 4 - moniteur

Jouons un peu plus avec la commande monitor interface traffic. Sur JUNOS2, de surveiller tout le trafic de l'interface (statistiques) en temps réel. De JUNOS1 ping JUNOS2 (192.168.1.2) et vérifier les compteurs d'incrémentation.

Solution dessous

root@JUNOS2> monitor interface traffic

Interface

Link Input packets

(pps)

Output packets

(pps)

em0

Up

1476

1302

Exercice 5 - récupération de mot de passe

Maintenant, supposons que vous avez oublié le mot de passe root pour JUNOS2 ou peut-être

vous

de

avez

vraiment,

ne

paniquez

pas,

vous

allez

faire

une

récupération

de

mot

passe. D'abord, vous redémarrer le système et être prêt à frapper espace pour se rendre à

l'invite

la

de

commande

du

noyau. Ensuite,

suivez

la

procédure

expliquée

dans

documentation.

root@JUNOS2> request system reboot Reboot the system ? [yes,no] (no) yes

Solution dessous

Hit [Entrée] pour démarrer immédiatement, ou la barre d'espace pour l'invite de commande. <espace> Type '?' pour une liste de commandes, "aider" pour une aide plus détaillée. OK boot-s

Entrez le chemin complet du réservoir ou du «valorisation» pour la récupération de mot de passe root ou de retour pour / bin / sh: reprise

NOTE: Une fois dans la CLI, vous devrez passer en mode de configuration à l'aide REMARQUE: la commande «configure» pour faire les modifications nécessaires. Par exemple, REMARQUE: pour réinitialiser le mot de passe root, tapez:

Remarque: configurez NOTE: set système racine authentification en texte clair-passe NOTE: (entrez le nouveau mot de passe si demandé) NOTE: commettre NOTE: exit NOTE: exit NOTE: Lorsque vous quittez la CLI, il vous sera demandé si vous voulez redémarrer

REMARQUE: le système

Starting CLI

root> configure Entering configuration mode

[edit] root# set system root-authentication plain-text-password New password:

Retype new password:

[edit] root# commit error: could not open database: /var/run/db/juniper.data: No such file or directory error: Database open failed for file '/var/run/db/juniper.data': No such file or directory commit complete

[edit] root@JUNOS2# exit Exiting configuration mode

root@JUNOS2> exit Reboot the system? [y/n] y

Bravo, vous avez terminé tous les exercices pour le premier PDF de Juniper, maintenant il est temps d'aller dans des trucs plus sérieux avec le second PDF et fondamentaux de routage

Configuration des interfaces

A partir de la deuxième PDF de Juniper, nous pouvons faire un nouveau laboratoire d'essais pour les 3 prochains chapitres. Ce laboratoire est un peu plus avancé que le précédent afin de tester le protocole de routage OSPF. Vous aurez besoin de 3 routeurs Juniper, voici les liens:

JUNOS1, interface em0 <-> JUNOS2, interface em0

JUNOS1, interface em1 <-> JUNOS2, interface em1

JUNOS1, interface em4 <-> JUNOS3, interface em4

JUNOS2, interface em3 <-> JUNOS3, interface em3

Assurez-vous que les routeurs ont une configuration par défaut (utilisez la load factory-default command si vous devez). Réglez ensuite le nom d'hôte, mot de passe root et les adresses IP de chaque routeur, pour gagner du temps, vous pouvez copier et coller les commandes suivantes (n'oubliez pas de commettre):

JUNOS1

set system host-name JUNOS1 set interfaces em0 unit 0 family inet address 172.30.25.2/30 set interfaces em1 unit 0 family inet address 172.30.25.6/30 set interfaces em3 unit 0 family inet address 192.168.1.1/24 set interfaces em4 unit 0 family inet address 172.30.25.9/30 set interfaces lo0 unit 0 family inet address 10.1.1.1/24 set system root-authentication plain-text-password

JUNOS2

set system host-name JUNOS2 set interfaces em0 unit 0 family inet address 172.30.25.1/30 set interfaces em1 unit 0 family inet address 172.30.25.5/30 set interfaces em3 unit 0 family inet address 172.30.25.13/30 set interfaces lo0 unit 0 family inet address 10.2.2.2/24 set system root-authentication plain-text-password

JUNOS3

set system host-name JUNOS3 set interfaces lo0 unit 0 family inet address 10.3.3.3/24 set interfaces em3 unit 0 family inet address 172.30.25.14/30 set interfaces em4 unit 0 family inet address 172.30.25.10/30 set system root-authentication plain-text-password

Si tout s'est bien passé, la topologie de votre nouveau laboratoire devrait être comme dans l'image ci-dessous. S'il vous plaît lire le premier chapitre de la deuxième PDF de Juniper avant de poursuivre

l'image ci-dessous. S'il vous plaît lire le premier chapitre de la deuxième PDF de Juniper avant

Exercice 1 - Routage Statique

Sur JUNOS1, configurer une route statique par défaut (0.0.0.0 / 0) au saut suivant

172.30.25.1.

Solution dessous

[edit] root@JUNOS1# set routing-options static route 0.0.0.0/0 next-hop 172.30.25.1

Ajouter une seconde route statique par défaut avec une préférence de 7 à next-hop 172.30.25.5 qui devrait être utilisé comme une sauvegarde (route statique flottante) et commis.

[edit] root@JUNOS1# set routing-options static route 0.0.0.0/0 qualified-next-hop 172.30.25.5 preference 7

[edit] root@JUNOS1# commit commit complete

Nous allons vérifier que tout fonctionne comme prévu:

root@JUNOS1# run show route inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both

0.0.0.0/0

> to 172.30.25.1 via em0.0

*[Static/5] 00:01:54

[Static/7] 00:00:13

> to 172.30.25.5 via em1.0

[edit] root@JUNOS1# run ping 10.2.2.2

PING 10.2.2.2 (10.2.2.2): 56 data bytes

64

bytes from 10.2.2.2: icmp_seq=0 ttl=64 time=1.650 ms

64

bytes from 10.2.2.2: icmp_seq=1 ttl=64 time=1.272 ms

root@JUNOS2# run monitor traffic interface em0

19:33:03.526742 172.30.25.2 > 10.2.2.2: ICMP echo request, id 16648, seq 0, length 64

[edit] root@JUNOS1# deactivate interfaces em0

[edit] root@JUNOS1# commit commit complete

[edit] root@JUNOS1# run ping 10.2.2.2

PING 10.2.2.2 (10.2.2.2): 56 data bytes

64

bytes from 10.2.2.2: icmp_seq=0 ttl=64 time=3.247 ms

64

bytes from 10.2.2.2: icmp_seq=1 ttl=64 time=0.658 ms

[edit] root@JUNOS2# run monitor traffic interface em1

19:35:30.376370 172.30.25.6 > 10.2.2.2: ICMP echo request, id 14090, seq 7, length 64

Exercice 2 - routage OSPF

Configurez le routage OSPF sur toutes les interfaces de connexion des routeurs et leurs bouclages mais aucune contiguïté doit être formé sur les interfaces de raccordement au sous- réseau 172.30.25.0/30 (172.30.25.1 et 172.30.25.2).

Solution dessous

JUNOS1

set protocols ospf area 0.0.0.0 interface em0.0 passive set protocols ospf area 0.0.0.0 interface em1.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface em3.0 set protocols ospf area 0.0.0.0 interface em4.0

JUNOS2

set protocols ospf area 0.0.0.0 interface em0.0 passive set protocols ospf area 0.0.0.0 interface em1.0 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface em3.0

JUNOS3

set protocols ospf area 0.0.0.0 interface em3.0 set protocols ospf area 0.0.0.0 interface em4.0 set protocols ospf area 0.0.0.0 interface lo0.0

Nous allons vérifier que tout fonctionne comme prévu:

[edit]

root@JUNOS1# run show ospf neighbor

Address

Interface

State

ID

Pri Dead

172.30.25.5

em1.0

Full

10.2.2.2

128

34

172.30.25.10

em4.0

Full

10.3.3.3

128

32

[edit]

root@JUNOS2# run show ospf neighbor

Address

Interface

State

ID

Pri Dead

172.30.25.6

em1.0

Full

10.1.1.1

128

36

172.30.25.14

em3.0

Full

10.3.3.3

128

38

[edit] root@JUNOS3# run show ospf neighbor

Address

Interface

State

ID

Pri Dead

172.30.25.13

em3.0

Full

10.2.2.2

128

36

172.30.25.9

em4.0

Full

10.1.1.1

128

35

root@JUNOS3# run show route protocol ospf

10.1.1.1/32

*[OSPF/10] 00:04:11, metric 1

10.2.2.2/32

*[OSPF/10] 00:04:11, metric 1

192.168.1.0/24

*[OSPF/10] 00:00:02, metric 2

> to 172.30.25.9 via em4.0

root@JUNOS3# run traceroute 192.168.1.1

traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 40 byte packets

1 192.168.1.1 (192.168.1.1) 1.611 ms 0.588 ms 1.362 ms

[edit] root@JUNOS3# deactivate interfaces em4

[edit] root@JUNOS3# commit commit complete

[edit] root@JUNOS3# run traceroute 192.168.1.1

traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 40 byte packets

1 172.30.25.13 (172.30.25.13) 2.316 ms 1.479 ms 0.882 ms

2 192.168.1.1 (192.168.1.1) 1.283 ms 1.300 ms 1.129 ms

Finally, don’t forget to reactivate interface em4 and commit:

[edit] root@JUNOS3# activate interfaces em4

[edit] root@JUNOS3# commit commit complete

Filtrage et pare-feu

Nous supposons que vous avez lu le chapitre 2 de la deuxième PDF de Juniper afin que vous puissiez pratiquer la politique de routage et de filtres de pare-feu. D'abord, nous allons commencer avec une simple redistribution de la route suivie par un filtre de pare-feu pour restreindre l'accès telnet.

Exercice 1 - redistribution de route par défaut dans OSPF

Créer une politique visant à redistribuer la route par défaut existant (0.0.0.0 / 0) sur JunOS1 dans OSPF afin que d'autres routeurs peuvent utiliser.

Solution dessous

[edit] root@JUNOS1# edit policy-options

[edit policy-options] root@JUNOS1# set policy-statement default-static term accept-default-static from protocol static

[edit policy-options] root@JUNOS1# set policy-statement default-static term accept-default-static from route-filter 0.0.0.0/0 exact

[edit policy-options] root@JUNOS1# set policy-statement default-static term accept-default-static then accept

[edit policy-options] root@JUNOS1# show policy-statement default-static { term accept-default-static { from { protocol static; route-filter 0.0.0.0/0 exact;

}

then accept;

}

}

[edit policy-options] root@JUNOS1# top edit protocols ospf

[edit protocols ospf] root@JUNOS1# set export default-static

[edit] root@JUNOS1# commit

JUNOS1 annonce la route par défaut dans OSPF, vérifiez que JUNOS3 peut effectivement voir.

root@JUNOS3# run show route protocol ospf inet.0: 15 destinations, 15 routes (15 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both

0.0.0.0/0

*[OSPF/150] 00:00:05, metric 0, tag 0 to 172.30.25.9 via em4.0

Exercice 2 - filtrage pare-feu

Pour effectuer cet exercice, il faut activer le service telnet sur JUNOS1.

[edit] root@JUNOS1# set system services telnet

[edit] root@JUNOS1# set system login user junuser class super-user authentication plain-text- password

[edit] root@JUNOS1# commit commit complete

Test du service de JUNOS3 utilisant le loopback0 que l'interface de la source.

[edit] root@JUNOS3# run telnet 10.1.1.1 interface lo0 Trying 10.1.1.1 Connected to 10.1.1.1. Escape character is '^]'. JUNOS1 (ttyp0) login: junuser Password:

--- JUNOS 10.1R1.8 built 2010-02-12 17:15:05 UTC

junuser@JUNOS1> exit Connection closed by foreign host.

Connexion fermée par hôte étranger.

Maintenant, ajoutez un filtre de pare-feu pour permettre l'accès telnet à JUNOS3 loopback0 interface (10.3.3.3) seulement. Vous devez définir le filtre de pare-feu, une liste de préfixes et appliquer le filtre sur le loopback0 de JUNOS1.

Solution dessous

[edit] root@JUNOS1# edit firewall filter limit-telnet-access

[edit firewall filter limit-telnet-access] root@JUNOS1# set term telnet-accept from source-prefix-list trusted

[edit firewall filter limit-telnet-access] root@JUNOS1# set term telnet-accept from protocol tcp

[edit firewall filter limit-telnet-access] root@JUNOS1# set term telnet-accept from destination-port telnet

[edit firewall filter limit-telnet-access] root@JUNOS1# set term telnet-accept then accept

[edit firewall filter limit-telnet-access] root@JUNOS1# set term telnet-reject from protocol tcp

[edit firewall filter limit-telnet-access] root@JUNOS1# set term telnet-reject from destination-port telnet

[edit firewall filter limit-telnet-access] root@JUNOS1# set term telnet-reject then discard

[edit firewall filter limit-telnet-access] root@JUNOS1# set term telnet-reject then log

[edit firewall filter limit-telnet-access] root@JUNOS1# set term else-accept then accept

[edit firewall filter limit-telnet-access] root@JUNOS1# show term telnet-accept { from {

source-prefix-list {

trusted; ## 'trusted' is not defined

}

protocol tcp;

destination-port telnet;

}

then accept;

}

term telnet-reject { from {

protocol tcp;

destination-port telnet;

}

then {

discard;

}

}

term else-accept {

then accept;

}

[edit firewall filter limit-telnet-access] root@JUNOS1# top edit policy-options

[edit policy-options] root@JUNOS1# set prefix-list trusted 10.3.3.3

[edit policy-options] root@JUNOS1# top set interfaces lo0 unit 0 family inet filter input limit-telnet-access

Voyons maintenant nous ne pouvons connecter uniquement à partir de loopback0 interface JUNOS3. Regardez aussi le journal du pare-feu sur JUNOS1.

root@JUNOS2# run telnet 10.1.1.1 interface lo0 Trying 10.1.1.1

^C

[edit] root@JUNOS3# run telnet 10.1.1.1 interface lo0 Trying 10.1.1.1

Connected to 10.1.1.1. Escape character is '^]'.

JUNOS1 (ttyp0)

login:

root@JUNOS1# run show firewall log Log :

Time

Filter

Action Interface

Protocol

Src Addr

Dest Addr

01:42:37 limit-telnet-access D em1.0

TCP

10.2.2.2

10.1.1.1

01:42:33 limit-telnet-access D em1.0

TCP

10.2.2.2

10.1.1.1

01:42:29 limit-telnet-access D em1.0

TCP

10.2.2.2

10.1.1.1

01:42:25 limit-telnet-access D em1.0

TCP

10.2.2.2

10.1.1.1

Qualité de service

Pour ce dernier chapitre, vous allez marquer un peu de trafic.

Exercice - paquets de marquage

Votre but est de créer un filtre qui vous appliquerez sur em4 interface JUNOS1 (entrée). Ce filtre va marquer tous les paquets provenant 10.3.3.0/24 avec accéléré-forwarding :expedited- forwarding (EF) DSCP.

Solution dessous

firewall { family inet { filter apply-cos { term from-JUNOS3 { from { source-address {
firewall {
family inet {
filter apply-cos {
term from-JUNOS3 {
from {
source-address {
10.3.3.0/24;
}
}
then {
forwarding-class expedited-forwarding;
accept;
}
}
term default {
then accept;
}
}
}
em4 {
unit 0 {
family inet {
filter {
input apply-cos;
}
address 172.30.25.9/30;
}
}
}