Juniper防火墙基本命令

Juniper防火墙基本命令 常用查看命令 Get int查看接口配置信息

Get int ethx/x查看指定接口配置信息 Get mip查看映射ip关系 Get route查看路由表 Get policy id x查看指定策略

Get nsrp查看nsrp信息，后可接参数查看具体vsd组、端口监控设置等 Get per cpu de查看cpu利用率信息

Get per sessionde查看每秒新建会话信息 Get session查看当前会话信息，后可匹配源地址、源端口、目的地址、目的端口、协议等选项 Get session info查看当前会话数量

Get system查看系统信息，包括当前os版本，接口信息，设备运行时间等 Get chaiss查看设备及板卡序列号，查看设备运行温度 Get counter stat查看所有接口计数信息 Get counter stat ethx/x查看指定接口计数信息

Get counter flow zone trust/untrust查看指定区域数据流信息

Get counter screen zone untrust/trust查看指定区域攻击防护统计信息

Get tech-support查看设备状态命令集，一般在出现故障时，收集该信息寻求JTAC支持 常用设置命令

Set int ethx/x zone trust/untrust/dmz/ha配置指定接口进入指定区域(trust/untrust/dmz/ha等) Set int ethx/x ip x.x.x.x/xx配置指定接口ip地址

Set int ethx/x manage配置指定接口管理选项，打开所有管理选项 Set int ethx/x manage web/telnet/ssl/ssh配置指定接口指定管理选项 Set int ethx/x phy full 100mb配置指定接口速率及双工方式 Set int ethx/x phy link-down配置指定接口shutdown

Set nsrp vsd id 0 monitor interface ethx/x配置ha监控端口，如此端口断开，则设备发生主/备切换

Exec nsrp vsd 0 mode backup手工进行设备主/备切换，在当前的主设备上执行 set route 0.0.0.0/0 interface ethernet1/3 gateway 222.92.116.33配置路由，需同时指定下一跳接口及ip地址

所有set命令，都可以通过unset命令来取消，相当于cisco中的no

所有命令都可以通过“TAB”键进行命令补全，通过“?”来查看后续支持的命令

防火墙基本配置

create account [admin | user] （创建账户）回车 输入密码： 再次输入密码： configure account admin (配置账户)回车 输入密码： 再次输入密码： 2.port配置

config ports auto off{speed [10 | 100 | 1000]} duplex [half | full] auto off 配置端口的限速和工作模式（全和半） 3.Vlan配置

无论是核心还是接入层，都要先创建三个Vlan，并且将所有归于Default Vlan的端口删除： config vlan default del port all 清除默认VLAN里面所有端口 create vlan Server create vlan User

创建vlan server user和manger create vlan Manger 定义802.1q标记

config vlan Server tag 10 config vlan User tag 20 config vlan Manger tag 30 设定Vlan网关地址： config vlan Server ipa 192.168.41.1/24 config vlan User ipa 192.168.40.1/24 config vlan Manger ipa 192.168.*.*/24

Enable ipforwarding 启用ip路由转发，即vlan间路由 Trunk 配置

config vlan Server add port 1-3 t config vlan User add port 1-3 t config vlan manger add port 1-3 t 4.VRRP配置

enable vrrp 开启虚拟路由冗余协议

configure vrrp add vlan UserVlan 在VLAN里面添加vrrp

configure vrrp vlan UserVlan add master vrid 10 192.168.6.254 configure vrrp vlan UserVlan authentication simple-passwordextreme configure vrrp vlan UserVlan vrid 10 priority 200

configure vrrp vlan UserVlan vrid 10 advertisement-interval15 configure vrrp vlan UserVlan vrid 10 preempt 5.端口镜像配置 首先将端口从VLAN中删除

enable mirroring to port 3 ＃选择3作为镜像口 config mirroring add port 1 ＃把端口1的流量发送到3

config mirroring add port 1 vlan default ＃把1和vlandefault的流量都发送到3 6.port-channel配置

enable sharing grouping {port-based |address-based | round-robin} show port sharing //查看配置 7.stp配置 enable stpd //启动生成树

create stpd stp-name //创建一个生成树

configure stpd add vlan {ports [dot1d | emistp |pvst-plus]}

configure stpd stpd1 priority 16384

configure vlan marketing add ports 2-3 stpd stpd1 emistp 8.DHCP 中继配置 enable bootprelay config bootprelay add 9.NAT配置 Enable nat ＃启用nat Static NAT Rule Example

config nat add out_vlan_1 map source 192.168.1.12/32 to216.52.8.32/32 Dynamic NAT Rule Example

config nat add out_vlan_1 map source 192.168.1.0/24 to216.52.8.1 - 216.52.8.31 Portmap NAT Rule Example

config nat add out_vlan_2 map source 192.168.2.0/25 to216.52.8.32 /28 both portmap Portmap Min-Max Example

config nat add out_vlan_2 map source 192.168.2.128/25 to216.52.8.64/28 tcp portmap 1024 - 8192 10.OSPF配置

enable ospf 启用OSPF进程

create ospf area 创建OSPF区域

configure ospf routerid [automatic |] 配置Routerid

configure ospf add vlan [ | all] area {passive}把某个vlan加到某个Area中去，相当于Cisco中的 network的作用

configure ospf area add range [advertise | noadvertise]{type-3 | type-7} 把某个网段加到 某个Area中去，相当于Cisco中的network的作用 configure ospf vlan neighbor add OSPF中路由重发布配置

enable ospf export direct [cost [ase-type-1 | ase-type-2]{tag } |] enable ospf export static [cost [ase-type-1 | ase-type-2]{tag } |] enable ospf originate-default {always} cost [ase-type-1 | ase-type-2]{tag } enable ospf originate-router-id 11.SNMP配置

enable snmp access启用SNMP访问 enable snmp traps启用SNMP限制 create access-profile type [ipaddress | vlan]

config snmp access-profile readonly[ |none]配置snmp的只读访问列表，none是去除

config snmp access-profile readwrite[ | none]这是控制读写控制 config snmp add trapreceiver {port}

community {from} 配置snmp接 收host和团体字符串 12.安全配置

disable ip-option loose-source-route禁止散发源路由 disable ip-option strict-source-route禁止静态源路由 disable ip-option record-route 禁用路由记录

本文来源：https://www.bwwdw.com/article/wnfv.html