Juniper

Prsentation

Avoir des comptences Juniper Junos est un plus pour beaucoup de rseautage personnel,

mme si vous ne travaillez pas tous les jours sur Juniper vitesse, il est trs intressant

d'apprendre et de comparer avec Cisco IOS par exemple. A la fin de la journe, il vous aidera

mieux comprendre les systmes d'exploitation de rseaux et d'largir votre point de vue.

Juniper rend facile pour vous d'tudier leur logiciel en fournissant du matriel gratuitement

(aprs inscription). La documentation de Juniper est gnralement plus facile lire et

comprendre que la documentation Cisco.

Si vous souhaitez valider vos connaissances de Juno, vous pouvez passer la certification

JNCIA-Junos qui est entre au niveau de la certification de Juniper. Il est assez facile de

passer si vous tes srieux ce sujet et lire leur documentation. Pour les professionnels

certifis (Cisco ou autre), la prparation de cette certification devrait vous prendre de

quelques heures (ddi) 1 ou 2 jours au plus.Cette certification est valable pendant 2 ans et

est relativement moins cher que d'autres CERT.

objectifs de l'examen sont les suivants:

Systme d'exploitation Junos Fundamentals

Options de l'interface utilisateur

Junos base de configuration

Suivi et maintien en condition oprationnelle

Fondements de routage

Politique de routage et pare-feu Filtres

Class of Service

Networking Fundamentals

Voir, vraiment rien craindre. Alors que vous pourriez passer cette certification que par la

lecture de docs de Juniper, il est toujours prfrable de comprendre et pratiquer ce que vous

apprenez vraiment! Cela permettra de dfinir la diffrence entre vous et les autres.

Nous sommes d'accord que vous pouvez ne pas avoir accs des routeurs Juniper, c'est l que

GNS3 pntre. Vous pouvez pratiquer tout sur votre ordinateur! Et pour rendre les choses

encore plus facile, nous avons fait quelques exercices pratiques pour vous. En fait, la partie la

plus difficile est que vous devez obtenir votre propre image olive JunOS. Vous pouvez en

crer un en lisant cette faon d' (qui doit tre mis jour et devrait tre bientt, dsol!). Aprs

avoir cr, ajoutez votre image GNS3 et vous tes prt jouer avec JunOS.

Principes de base du systme dexploitation

Cette partie est essentiellement la thorie et la lecture du chapitre 1 du PDF de Juniper (partie

1). C'est seulement ce que vous avez besoin pour l'examen, mais il est intressant d'avoir un

aperu de la faon dont Junos rellement bottes haut.

Tout d'abord, faire votre laboratoire dans GNS3 en connectant 2 routeurs dos dos en

utilisant leur interface em0. Conservez ce laboratoire pour tous vos exercices pour les

chapitres de la partie 1.

Commencez vos routeurs Juniper dans GNS3 et consoler eux. Comme vous l'avez appris en

PDF de Juniper, JunOS est bas sur FreeBSD, un systme d'exploitation UNIX open

source. Cet OS est trs fiable et vous obtenez galement des outils supplmentaires que vous

ne pouvez pas trouver sur Cisco IOS par exemple.

La premire chose que vous devriez voir aprs JunOS dpart, ce sont les modules du noyau en

cours de chargement. Le noyau est la composante de base du systme d'exploitation.

/ Boot / modules / text = if_bge.ko donnes 0xa98c = 0x364 +0 xc syms = [0x4 +0 +0 XD50

x4 +0 xd18]

...

/ Boot / modules / texte mac_runasnonroot.ko = 0x7b4 donnes = 0x4d0 syms = [0x4 +0 +0

x310 x4 +0 x39d]

Ensuite, vous avez une chance de donner des paramtres au noyau afin de changer le

processus de dmarrage par dfaut. Cela peut tre utile pour rcuprer le mot de passe root par

exemple, mais ce n'est pas la seule utilisation. Root est le nom donn au super administrateur

sous UNIX.

Ici vous pouvez simplement attendre quelques secondes ou appuyez sur Entre pour dmarrer

immdiatement, le noyau est alors charg. Il y a un grand nombre d'informations, dont la

plupart ce n'est vraiment pas pertinent, mais certains pourraient tre intressantes, comme la

quantit de mmoire a t dtecte ou d'autres informations de la CPU.

Hit [Entre] pour dmarrer immdiatement, ou la barre d'espace pour l'invite de commande.

Dmarrage [/ kernel] ...

platform_early_bootinit: M / T Series initialisation de dmarrage rapide

Olive CPU

...

Copyright (c) 1996-2010, Juniper Networks, Inc. Tous droits rservs.

Copyright (c) 1992-2006 par le Projet FreeBSD.

...

JUNOS 10.1R1.8 # 0: 2010-02-12 17:15:05 UTC

[email protected] :/ volume/build/junos/10.1/release/10.1R1.8/obj-

i386/bsd/sys/compile/JUNIPER

...

vritable mmoire = 268369920 (255 Mo)

bnficier mmoire = 248840192 (237 Mo)

...

Maintenant, il est temps pour les pilotes charger, ce sont ce que l'OS a besoin d'interface

avec les composants matriels. Ici vous pouvez voir que nos 6 cartes d'interface rseau (em0

EM5) ont t dtects et ont corrects adresses MAC Ethernet, ce qui est bon! Qu'est-ce qu'un

routeur utile si vous n'avez pas les interfaces rseau?

Mise en place d'oprations et attributs interface M / T

platform_mastership_init: Unknown product_type 0x00000001

EM5: bus = 0, device = 8, fonction = 0, l'adresse Ethernet 00: ab: ae: 99: e3: 05

em4: bus = 0, device = 7, fonction = 0, l'adresse Ethernet 00: ab: ae: 99: e3: 04

EM3: bus = 0, device = 6 fonctions = 0, l'adresse Ethernet 00: ab: ae: 99: e3: 03



em0: bus = 0, device = 3, fonction = 0, l'adresse Ethernet 00: aa: 00: ca: A4: 00

...

Suivant est JunOS lui-mme, livr dans des emballages diffrents, d'tre charges dans la

mmoire via des disques virtuels (md0, MD1, etc.) Ces forfaits commencent par la lettre J et

nous pouvons deviner leur fonction, comme jkernel, jroute ou jpfe (PFE) qui - si vous vous

rappelez le premier chapitre - est synonyme de Packet Forwarding Engine et est une partie

importante de JunOS.

Mont paquet jBase sur / dev/md0 ...

Vrifi manifeste sign par PackageProduction_10_1_0

Vrifi jboot sign par PackageProduction_10_1_0

Vrifi jBase-10.1R1.8 sign par PackageProduction_10_1_0

Mont paquet jkernel sur / dev/md1 ...


Vrifi jkernel-10.1R1.8 sign par PackageProduction_10_1_0

Mont paquet jpfe on / dev/md2 ...

Mont paquet jdocs on / dev/md3 ...


Jdocs-10.1R1.8 vrifis signs par PackageProduction_10_1_0

Mont paquet jroute on / dev/md4 ...


Vrifi jroute-10.1R1.8 sign par PackageProduction_10_1_0

Mont paquet jcrypto on / dev/md5 ...


Vrifi jcrypto-10.1R1.8 sign par PackageProduction_10_1_0

Mont paquet jpfe-commun sur / dev/md6

...

Maintenant que JunOS est en mmoire, il est excut et ses modules / drivers charg aussi.

...

ifpfed_ds1e1Loading E1/T1/J1 conducteur

ifpfed_ds3e3Loading le module DS3 NETPFE

ifpfed_eia530 ifpfed_ethLoading le module Ethernet NETPFE

...

Chargement Multilink services module CIP.

Chargement du module NETPFE Platform M & T

...

Votre FreeBSD / JunOS est prt. Si tout s'est bien pass, vous devriez voir une invite de

connexion.

Rendez-vous sur l'interface utilisateur Options et configuration initiale pour commencer

jouer avec votre nouveau laboratoire.

Configuration initiale

Cette page est mettre en pratique ce que vous avez appris en PDF de Juniper (partie 1),

chapitre 2 et 3. Alors maintenant, il est temps de bouger et de vous connecter en tant que root

sans mot de passe.

La premire chose que vous remarquerez est quAmnesiac est le nom d'hte par dfaut. Cela signifie que nos JunOS est en marche avec la configuration d'usine par dfaut (vous pouvez

utiliser la commande load factory-default en mode de configuration d'avoir un JunOS dans cet

tat).

Vous tes connect en tant que root, vous devriez voir la racine UNIX invite du shell @% o

vous pouvez taper des commandes UNIX comme ls ou ps mais c'est hors de notre porte. Ce

que nous voulons, c'est le mode de fonctionnement prompt root> qui a commenc avec

la CLI commande.

Amnesiac (ttyd0)

Login: root

--- JUNOS 10.1R1.8 construite 2010-02-12 17:15:05 UTC

root @% cli

root>

Tapez show configuration pour afficher la configuration d'usine par dfaut actuel.

root> show configuration

# # Dernier commit: 2011-02-17 00:34:21 UTC par la racine

La version 10.1R1.8;

systme {

syslog {

utilisateur * {

toute situation d'urgence;

}

messages de fichiers {

aucun pravis;

info autorisation;

}

fichier interactif-commandes {

Interactive-commandes tout;

}

}

# # Attention: manquer dclaration obligatoire (s): 'root-authentication'

}

Notez l'avertissement de dclaration obligatoire manquant, cela signifie que vous ne serez pas

en mesure de valider vos modifications jusqu' ce que vous dfinissez un mot de passe root.

Exercice 1 - mot de passe root

Accdez au mode de configuration en utilisant la commande configuration et de tenter de

faire commit la configuration du candidat actuel, puis dfinissez un mot de passe root et

commettre nouveau.

Solution dessous

root> configure

Entering configuration mode

[edit]

root# commit

[edit]

'system'

Missing mandatory statement: 'root-authentication'

error: commit failed: (missing statements)

[edit]

root# set system root-authentication plain-text-password

New password:

Retype new password:

[edit]

root# commit

commit complete

Maintenant votre itinraire JunOS est prt pour une nouvelle commet! Voyons voir si vous

pouvez appliquer la mme configuration sur votre second routeur sans regarder la solution ci-

dessus. Rappelez-vous, vous devez d'abord vous connecter, puis aller en mode oprationnel et

en mode de configuration. La commande pour configurer le mot de passe root commence

avec set system, utilisez ? pour trouver la commande complte. Enfin, n'oubliez pas de valider

ou votre configuration ne sera pas actif!

root# set system ?

Possible completions:

> accounting System accounting configuration

+ apply-groups Groups from which to inherit configuration data

...

> tracing System wide option for remote tracing

Essayez aussi la commande help topic pour afficher les directives d'utilisation (si vous voulez

de l'histoire tout), la commande help reference de pour afficher les informations de synthse

(le plus utile lorsque vous voulez savoir sur les options de la commande) et la commande help

apropos qui affiche la contextes (gnralement fixs commandes) pertinentes au niveau de la

hirarchie de configuration laquelle vous tes actuellement positionn (si vous voulez de

l'aide seulement de votre niveau de hirarchie en cours et rien d'autre).

[edit]

root# help topic system root-authentication

root# help reference system root-authentication

root# help apropos root-authentication

Exercice 2 - nom d'hte

Avez-vous remarqu? Nous avons exactement le mme message sur les deux routeurs, ce qui

est ennuyeux car nous voulons savoir qui est qui. Ajoutons un nom d'hte pour deux

routeurs. Nous allons vous trouver la bonne commande (astuce: utiliser set system ? )

Solution dessous

root# set system host-name JUNOS1

root# set system host-name JUNOS2

Maintenant, comparez la configuration du candidat avec la configuration active en

utilisant show | compare . Le + sont des lignes qui vont tre ajoutes la configuration active

lorsque vous vous engagez et - lignes allez tre enlev. Ceci est trs utile de savoir exactement

ce qui est sur le point d'tre modifi. Faire sur les deux routeurs et commettre.

root# show | compare

[edit system]

+ host-name JUNOS1;

[edit]

root# commit

commit complete

Exercice 3 - rollback

Sur JUNOS2, configurer un faux nom d'hte, rien. Engagez votre configuration et rollback

excelui contenant le bon nom d'hte.

Solution dessous

[edit]

root# set system host-name typo

[edit]

root@JUNOS2# commit

commit complete

[edit]

root@typo# rollback 1

load complete

[edit]

root@typo# show | compare

[edit system]

- host-name typo;

+ host-name JUNOS2;

[edit]

Exercice 4 - diter

Nous allons configurer une adresse IP pour la premire interface sur notre routeur JUNOS1 en

utilisant la commande edit. Placez-vous au niveau suivant: interfaces em0 unit 0 family inet.

em0 est le nom de notre premire interface, donnez-lui l'adresse IP et le masque:

192.168.1.1/24

Solution dessous

[edit]

root@JUNOS1# edit interfaces em0 unit 0 family inet

[edit interfaces em0 unit 0 family inet]

root@JUNOS1# set address 192.168.1.1/24


root@JUNOS1# show

address 192.168.1.1/24;

Exercice 5 - up

Remontez 3 niveaux et modifier em1 de la mme faon que em0. Configurez l'adresse IP et le

masque: 10.1.1.1 / 8

Solution dessous


root@JUNOS1# up 3

[edit interfaces]

root@JUNOS1# edit em1 unit 0 family inet



Exercice 6 - top & commit vrifier

Aller au niveau suprieur, vrifier votre configuration et de s'engager.

Solution dessous


root@JUNOS1# top

[edit]

root@JUNOS1# commit check

configuration check succeeds

[edit]

root@JUNOS1# commit

commit complete

Exercice 7 - set vs edit et mettre

Configurez l'interface em0 (unit logique 0, la famille IPv4) sur JUNOS2 routeur avec une

adresse IP 192.168.1.2/24 utilisant la commande set de niveau suprieur (souvenez-vous ? est

votre ami).

Solution dessous

[edit]

root@JUNOS2# set interfaces em0 unit 0 family inet address 192.168.1.2/24

Configurez l'adresse IP 10.1.1.2 / 8 em1 en vous plaant au dernier niveau l'aide utilis edit.

Solution dessous

[edit]

root@JUNOS2# edit interfaces em1 unit 0 family inet



Exercice 8 - telnet

Maintenant, nous tenons configurer Telnet (SSH serait un meilleur choix car il est fix) pour

configurer distance JUNOS2 de JUNOS1.Vrifiez d'abord que rien n'est configur

dans system services level tout en restant votre niveau actuel (astuce: utiliser top ).Puis

modifier ce niveau sans avoir revenir au plus haut niveau. Configurer telnet avec le jeu de

commandes, quitter au plus haut niveau, vrifiez que vous tes sur le point de changer et enfin

engager.

Solution dessous


root@JUNOS2# top show system services


root@JUNOS2# top edit system services

[edit system services]

root@JUNOS2# set telnet

[edit system services]

root@JUNOS2# exit

[edit]

root@JUNOS2# show | compare

[edit system]

+ services {

+ telnet;

+ }

[edit]

+ interfaces {

+ em0 {

+ unit 0 {

+ family inet {

+ address 192.168.1.2/24;

+ }

+ }

+ }

+ em1 {

+ unit 0 {

+ family inet {

+ address 10.1.1.2/8;

+ }

+ }

+ }

+ }

[edit]

root@JUNOS2# commit

commit complete

Ajouter un compte d'utilisateur pour accder ce dispositif en utilisant telnet et nouveau

commettre.

Solution dessous

[Modifier]

root @ JUNOS2 # set system login user junuser classe authentification super-utilisateur

plain-text-password

Exercice 9 - course

Retour JUNOS1, sans quitter le mode configuration, ping et telnet pour JUNOS2 (adresse

IP: 192.168.1.2). Utilisez Ctrl + C pour arrter ping. Utilisez le nom d'utilisateur et mot de

passe que vous avez prcdemment cr pour authentifier avec JUNOS2.

Solution dessous

[edit]

root@JUNOS1# run ping 192.168.1.2

PING 192.168.1.2 (192.168.1.2): 56 data bytes

64 bytes from 192.168.1.2: icmp_seq=3 ttl=64 time=1.019 ms


^C

--- 192.168.1.2 ping statistics ---

5 packets transmitted, 5 packets received, 0% packet loss

round-trip min/avg/max/stddev = 0.940/4.298/17.504/6.603 ms

[edit]

root@JUNOS1# run telnet 192.168.1.2

Trying 192.168.1.2...

Connected to 192.168.1.2.

Escape character is '^]'.

JUNOS2 (ttyp0)

login: junuser

Password:

--- JUNOS 10.1R1.8 built 2010-02-12 17:15:05 UTC

junuser@JUNOS2> configure


Users currently editing the configuration:

root terminal d0 (pid 1392) on since 2011-12-15 18:57:48 UTC, idle 00:01:45

Exercice 10 - annulation automatique

De votre session telnet sur JUNOS2, supprimer l'nonc telnet sous les services system level

et s'engager dans un chemin que si vous perdez votre connexion JUNOS2, la configuration

est automatiquement annule aprs 1 minute. Quitter les deux modes de configuration et

oprationnelles pour revenir JUNOS1. Essayez de telnet 192.168.1.2 nouveau, ce qui ne

devrait pas travailler. Attendez environ 2 minutes (prenez une pause caf) et ressayez. Cette

fois, il devrait fonctionner comme votre engagement prcdent aurait d tre annules.

Solution dessous

[edit]

junuser@JUNOS2# delete system services telnet

[edit]

junuser@JUNOS2# commit confirmed 1

commit confirmed will be automatically rolled back in 1 minutes unless confirmed

commit complete

# commit confirmed will be rolled back in 1 minute

[edit]

junuser@JUNOS2# exit

Exiting configuration mode

# commit confirmed will be rolled back in 1 minute

junuser@JUNOS2> exit

Exercice 11 - copie et renommer

Copier la configuration em1 em2 et renommer em2 EM3. Dsactiver EM3. Aller

interfaces levels et afficher la configuration de candidat. Notez la inactif: EM3 . Enfin

commit.

Solution dessous

[edit]

root@JUNOS1# copy interfaces em1 to em2

[edit]

root@JUNOS1# rename interfaces em2 to em3

[edit]

root@JUNOS1# deactivate interfaces em3

[edit]

root@JUNOS1# edit interfaces

[edit interfaces]

root@JUNOS1# show

em0 {

unit 0 {

family inet {

address 192.168.1.1/24;

}

}

}

em1 {

unit 0 {

family inet {

address 10.1.1.1/8;

}

}

}

inactive: em3 {

unit 0 {

family inet {

address 10.1.1.1/8;

}

}

}

[edit interfaces]

root@JUNOS1# commit

commit complete

Changer EM3 adresse IP de 10.1.1.1 / 8 10.1.1.3 / 8 (astuce: utilisez la commande rename

). Peut-tre que vous aimeriez voir quelles commandes produite cette configuration

candidat? Utilisez show et un tuyau pour le savoir.

Solution dessous

[edit interfaces]

root@JUNOS1# rename em3 unit 0 family inet address 10.1.1.1/8 to address 10.1.1.3/8

[edit interfaces]

root@JUNOS1# show | display set

set interfaces em0 unit 0 family inet address 192.168.1.1/24



deactivate interfaces em3

Exercice 12 - annoter

Ajouter une annotation disant que EM3 est inactif. En utilisant une seule commande,

s'engager avec un commentaire dcrivant ce que vous venez de faire et revenir au mode

oprationnel.

Solution dessous

[edit interfaces]

root@JUNOS1# annotate em3 "Inactive interface"

[edit interfaces]

root@JUNOS1# commit comment "Added inactive em3 interface" and-quit

commit complete


root@JUNOS1>

Comparez la configuration active avec la prcdente en utilisant la commande show

configuration .

Solution dessous

root@JUNOS1> show configuration | compare rollback 1

[edit interfaces]

+ /* Inactive interface */

+ inactive: em3 {

+ unit 0 {

+ family inet {

+ address 10.1.1.3/8;

+ }

+ }

+ }

Exercice 13 - sauvetage

Vous savez que votre configuration fonctionne bien (connectivit de base est tabli par

exemple). Par consquent, vous voulez faire la configuration de secours en cas de problme,

ce qui permettra d'acclrer la reprise. Crez la configuration de sauvetage et de le restaurer.

Solution dessous

root@JUNOS1> request system configuration rescue save

root@JUNOS1> configure


root@JUNOS1# rollback rescue

load complete

[edit]

root@JUNOS1# commit

commit complete

Exercice 14 - Adresse IP prfr

Configurer une adresse IP supplmentaire (192.168.1.3/24) pour em0 et configurer votre

routeur pour qu'il utilise cette adresse IP comme source lors de l'envoi de pings

JUNOS2. S'engager, quitter le mode de fonctionnement et de vrifier avec le show

interfaces commande qui em0 dispose de 2 adresses IP.

Solution dessous

[edit]

root@JUNOS1# set interfaces em0 unit 0 family inet address 192.168.1.3/24 preferred

[edit]

root@JUNOS1# show | compare


address 192.168.1.1/24 { ... }

+ address 192.168.1.3/24 {

+ preferred;

+ }

[edit]

root@JUNOS1# commit

commit complete

[edit]

root@JUNOS1# exit


root@JUNOS1> show interfaces em0 terse

Interface Admin Link Proto Local Remote

em0 up up

em0.0 up up inet 192.168.1.1/24

192.168.1.3/24

Allons voir ce que JUNOS1 peut effectivement envoyer des paquets l'aide de l'adresse de

source IP 192.168.1.3. Sur JUNOS2, en mode oprationnel, utilisez la commande suivante

pour surveiller le trafic vers et partir du routeur: monitor traffic interface em0 (Ctrl + C

pour quitter). Puis ping partir JUNOS1 192.168.1.2. Vous devriez voir que vous recevez

les paquets de 192.168.1.3 (192.168.1.3> 192.168.1.2)

root@JUNOS1> ping 192.168.1.2

PING 192.168.1.2 (192.168.1.2): 56 data bytes



root@JUNOS2> monitor traffic interface em0

verbose output suppressed, use or for full protocol decode

Address resolution is ON. Use to avoid any reverse lookup delay.

Address resolution timeout is 4s.

Listening on em0, capture size 96 bytes

04:37:18.543830 192.168.1.3 > 192.168.1.2: ICMP echo request, id 40718, seq 12, length 64

04:37:18.544023 192.168.1.2 > 192.168.1.3: ICMP echo reply, id 40718, seq 12, length 64

la configuration du systme secondaire

Exercice 1 - Syslog

Sur JUNOS2, mettre en place un fichier syslog pour enregistrer les modifications de

configuration (indice: systme syslog ). S'engager et quitter.

Solution dessous

[edit]

root@JUNOS2# set system syslog file config-changes change-log info

[edit]

root@JUNOS2# commit and-quit

commit complete


Maintenant, retournez au mode de configuration et de changer junuser de donner des

autorisations de conduite au lieu de super-utilisateur. Encore une fois, commettre et-

quit. Utilisation de la commande show, afficher le journal li votre engagement prcdent.

Solution dessous

[edit]

root@JUNOS2# set system login user junuser class operator

[edit]

root@JUNOS2# commit and-quit

commit complete


root@JUNOS2> show log config-changes

Dec 16 05:06:24 JUNOS2 mgd[1392]: UI_CFG_AUDIT_SET: User 'root' set:

[system login user junuser class] "super-user -> "operator"

Utilisez la commande help syslog pour en savoir plus sur le code de message

(UI_CFG_AUDIT_SET).

Solution dessous

root@JUNOS2> help syslog UI_CFG_AUDIT_SET

Name: UI_CFG_AUDIT_SET

Message: User '' : ->

""

Help: Value has been set for configuration object

Description: The indicated user set a value for a configuration object,

as

indicated.

Type: Event: This message reports an event, not an error

Severity: info

De JUNOS1, telnet JUNOS2 (192.168.1.2), vous connecter et commencer surveiller

le journal des modifications fichier en temps rel.

Solution dessous

root@JUNOS1> telnet 192.168.1.2

Trying 192.168.1.2...



JUNOS2 (ttyp0)

login: junuser

Password:

--- JUNOS 10.1R1.8 built 2010-02-12 17:15:05 UTC

junuser@JUNOS2> monitor start config-changes

Utilisation de la console (connect avec root) sur JUNOS2, supprimer la configuration em1 et

annuler la configuration de votre candidat actuel en utilisant

le rollback commande. L'oprateur connect via telnet aurait d tre inform de ce qui venait

de se passer. Arrtez tous les contrles et de sortie.

Solution dessous

[edit]

root@JUNOS2# delete interfaces em1

[edit]

root@JUNOS2# rollback 0

load complete

junuser@JUNOS2>

*** config-changes ***

Dec 16 05:16:53 JUNOS2 mgd[1392]: UI_CFG_AUDIT_OTHER: User 'root' delete:

[interfaces em1]

Dec 16 05:17:12 JUNOS2 mgd[1392]: UI_CFG_AUDIT_OTHER: User 'root'

rollback: /config/juniper.conf

...

junuser@JUNOS2> monitor list

monitor start "config-changes" (Last changed Dec 16 05:17:13)

junuser@JUNOS2> monitor stop


Exercice 2 - FTP et sauvegarde de la configuration

automatise

Sur JUNOS2, activer FTP et commit (conseil: utiliser les services du systme de consigne ).

Solution dessous

[edit]

root@JUNOS2# set system services ftp

[edit]

root@JUNOS2# commit

commit complete

Retour JUNOS1, le configurer pour sauvegarder toute nouvelle configuration qui devient

actif sur JUNOS2 (192.168.1.2) utilisant FTP ftp:// [email protected] (indice: la

configuration se fait en configuration systme d'archivage niveau). S'engager appliquer une

fois la configuration de votre candidat, l'interface de suppression EM3 et commettre

nouveau. Aprs quelques secondes, votre nouvelle configuration doit tre sauvegarde sur

JUNOS2 (utiliser la liste de fichier / var / home / junuser commande pour vrifier).

Solution dessous

[edit]

root@JUNOS1# edit system archival configuration

[edit system archival configuration]

root@JUNOS1# set transfer-on-commit

root@JUNOS1# set archive-sites ftp://[email protected] password

mypassword


root@JUNOS1# commit

commit complete


root@JUNOS1# top delete interfaces em3


root@JUNOS1# commit

commit complete

[edit]

root@JUNOS1# run show log messages | match juniper.conf

Dec 16 07:06:20 JUNOS1 logger: transfer-file: Transferred

/var/transfer/config/JUNOS1_juniper.conf.gz_20111216_070529

root@JUNOS2> file list /var/home/junuser

/var/home/junuser:

.ssh/

JUNOS1_juniper.conf.gz_20111216_070459

: PROCHAINE Surveillance et maintenance oprationnelle

Pour le dernier chapitre de la premire PDF de Juniper, nous allons devoir regarder de plus

prs comment obtenir plus d'informations sur Juno et aussi pratique, la procdure de

rcupration de mot de passe qui sera plus tt et plus tard tre utile pour vous.

Exercice 1 - messages de dmarrage

Vous rappelez-vous le processus de dmarrage dans le chapitre 1? Eh bien vous avez une

commande pour voir les messages de nouveau (astuce: utiliser la commande show system).

Solution dessous

root@JUNOS1# run show system boot-messages

Copyright (c) 1996-2010, Juniper Networks, Inc.

...

ad1: 1024MB at ata0-slave WDMA2

Trying to mount root from ufs:/dev/ad0s1a

vn_read_compressed_block: invalid block index 550

Exercice 2 - paquets Junos

Toujours sur le processus de dmarrage, nous avons vu que les paquets Junos sont chargs sur

des disques de mmoire virtuelle (vous pouvez encore voir que l'utilisation de la

commande show system stockage). Trouver la commande qui liste tous ces paquets, y

compris leurs versions.

Solution dessous

root@JUNOS1> show version

Hostname: JUNOS1

Model: olive

JUNOS Base OS boot [10.1R1.8]

JUNOS Base OS Software Suite [10.1R1.8]

JUNOS AppId Services [10.1R1.8]

JUNOS IDP Services [10.1R1.8]

JUNOS Routing Software Suite [10.1R1.8]

Exercice 3 - interfaces rseau

Maintenant montrer toutes les interfaces configures sur JUNOS1 (quivalent show ip

interface brief sur Cisco IOS), puis utiliser une commande pour afficher un maximum de

dtails pour l'interface em0.

Solution dessous

root@JUNOS1> show interfaces terse

Interface Admin Link Proto Local Remote

em0 up up

em0.0 up up inet 192.168.1.1/24

192.168.1.3/24

...

root@JUNOS1> show interfaces em0 extensive

Physical interface: em0, Enabled, Physical link is Up

Interface index: 8, SNMP ifIndex: 17, Generation: 134

Type: Ethernet, Link-level type: Ethernet, MTU: 1514, Clocking:

...

Exercice 4 - moniteur

Jouons un peu plus avec la commande monitor interface traffic. Sur JUNOS2, de surveiller

tout le trafic de l'interface (statistiques) en temps rel. De JUNOS1 ping JUNOS2

(192.168.1.2) et vrifier les compteurs d'incrmentation.

Solution dessous

root@JUNOS2> monitor interface traffic

Interface Link Input packets (pps) Output packets (pps)

...

em0 Up 1476 1302

...

Exercice 5 - rcupration de mot de passe

Maintenant, supposons que vous avez oubli le mot de passe root pour JUNOS2 ou peut-tre

vous avez vraiment, ne paniquez pas, vous allez faire une rcupration de mot de

passe. D'abord, vous redmarrer le systme et tre prt frapper espace pour se rendre

l'invite de commande du noyau. Ensuite, suivez la procdure explique dans la

documentation.

root@JUNOS2> request system reboot

Reboot the system ? [yes,no] (no) yes

...

Solution dessous

Hit [Entre] pour dmarrer immdiatement, ou la barre d'espace pour l'invite de commande.

Type '?' pour une liste de commandes, "aider" pour une aide plus dtaille.

OK boot-s

...

Entrez le chemin complet du rservoir ou du valorisation pour la rcupration de mot de

passe root ou de retour pour / bin / sh: reprise

...

NOTE: Une fois dans la CLI, vous devrez passer en mode de configuration l'aide

REMARQUE: la commande configure pour faire les modifications ncessaires. Par

exemple,

REMARQUE: pour rinitialiser le mot de passe root, tapez:

Remarque: configurez

NOTE: set systme racine authentification en texte clair-passe

NOTE: (entrez le nouveau mot de passe si demand)

NOTE: commettre

NOTE: exit

NOTE: exit

NOTE: Lorsque vous quittez la CLI, il vous sera demand si vous voulez redmarrer

REMARQUE: le systme

Starting CLI ...

root> configure


[edit]

root# set system root-authentication plain-text-password

New password:

Retype new password:

[edit]

root# commit

error: could not open database: /var/run/db/juniper.data: No such file or directory

error: Database open failed for file '/var/run/db/juniper.data': No such file or directory

commit complete

[edit]

root@JUNOS2# exit


root@JUNOS2> exit

Reboot the system? [y/n] y

Bravo, vous avez termin tous les exercices pour le premier PDF de Juniper, maintenant il est

temps d'aller dans des trucs plus srieux avec le second PDF et fondamentaux de routage

Configuration des interfaces

A partir de la deuxime PDF de Juniper, nous pouvons faire un nouveau laboratoire d'essais

pour les 3 prochains chapitres. Ce laboratoire est un peu plus avanc que le prcdent afin de

tester le protocole de routage OSPF. Vous aurez besoin de 3 routeurs Juniper, voici les liens:

JUNOS1, interface em0 JUNOS2, interface em0




Assurez-vous que les routeurs ont une configuration par dfaut (utilisez la load factory-default

command si vous devez). Rglez ensuite le nom d'hte, mot de passe root et les adresses IP de

chaque routeur, pour gagner du temps, vous pouvez copier et coller les commandes suivantes

(n'oubliez pas de commettre):

JUNOS1

set system host-name JUNOS1





set interfaces lo0 unit 0 family inet address 10.1.1.1/24

set system root-authentication plain-text-password

JUNOS2







JUNOS3






Si tout s'est bien pass, la topologie de votre nouveau laboratoire devrait tre comme dans

l'image ci-dessous. S'il vous plat lire le premier chapitre de la deuxime PDF de Juniper

avant de poursuivre

Exercice 1 - Routage Statique

Sur JUNOS1, configurer une route statique par dfaut (0.0.0.0 / 0) au saut suivant

172.30.25.1.

Solution dessous

[edit]

root@JUNOS1# set routing-options static route 0.0.0.0/0 next-hop 172.30.25.1

Ajouter une seconde route statique par dfaut avec une prfrence de 7 next-hop

172.30.25.5 qui devrait tre utilis comme une sauvegarde (route statique flottante) et

commis.

[edit]

root@JUNOS1# set routing-options static route 0.0.0.0/0 qualified-next-hop 172.30.25.5

preference 7

[edit]

root@JUNOS1# commit

commit complete

Nous allons vrifier que tout fonctionne comme prvu:

root@JUNOS1# run show route

inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)

+ = Active Route, - = Last Active, * = Both

0.0.0.0/0 *[Static/5] 00:01:54

> to 172.30.25.1 via em0.0

[Static/7] 00:00:13

> to 172.30.25.5 via em1.0

...

[edit]


PING 10.2.2.2 (10.2.2.2): 56 data bytes



root@JUNOS2# run monitor traffic interface em0

...


[edit]


[edit]

root@JUNOS1# commit

commit complete

[edit]


PING 10.2.2.2 (10.2.2.2): 56 data bytes



[edit]

root@JUNOS2# run monitor traffic interface em1

...


Exercice 2 - routage OSPF

Configurez le routage OSPF sur toutes les interfaces de connexion des routeurs et leurs

bouclages mais aucune contigut doit tre form sur les interfaces de raccordement au sous-

rseau 172.30.25.0/30 (172.30.25.1 et 172.30.25.2).

Solution dessous

JUNOS1

set protocols ospf area 0.0.0.0 interface em0.0 passive

set protocols ospf area 0.0.0.0 interface em1.0

set protocols ospf area 0.0.0.0 interface lo0.0



JUNOS2

set protocols ospf area 0.0.0.0 interface em0.0 passive




JUNOS3




Nous allons vrifier que tout fonctionne comme prvu:

[edit]

root@JUNOS1# run show ospf neighbor

Address Interface State ID Pri Dead

172.30.25.5 em1.0 Full 10.2.2.2 128 34

172.30.25.10 em4.0 Full 10.3.3.3 128 32

[edit]



172.30.25.6 em1.0 Full 10.1.1.1 128 36

172.30.25.14 em3.0 Full 10.3.3.3 128 38

[edit]



172.30.25.13 em3.0 Full 10.2.2.2 128 36

172.30.25.9 em4.0 Full 10.1.1.1 128 35

root@JUNOS3# run show route protocol ospf

...

10.1.1.1/32 *[OSPF/10] 00:04:11, metric 1

...

10.2.2.2/32 *[OSPF/10] 00:04:11, metric 1

...

192.168.1.0/24 *[OSPF/10] 00:00:02, metric 2

> to 172.30.25.9 via em4.0

root@JUNOS3# run traceroute 192.168.1.1

traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 40 byte packets

1 192.168.1.1 (192.168.1.1) 1.611 ms 0.588 ms 1.362 ms

[edit]


[edit]

root@JUNOS3# commit

commit complete

[edit]

root@JUNOS3# run traceroute 192.168.1.1

traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 40 byte packets

1 172.30.25.13 (172.30.25.13) 2.316 ms 1.479 ms 0.882 ms

2 192.168.1.1 (192.168.1.1) 1.283 ms 1.300 ms 1.129 ms

Finally, dont forget to reactivate interface em4 and commit:

[edit]

root@JUNOS3# activate interfaces em4

[edit]

root@JUNOS3# commit

commit complete

Filtrage et pare-feu

Nous supposons que vous avez lu le chapitre 2 de la deuxime PDF de Juniper afin que vous

puissiez pratiquer la politique de routage et de filtres de pare-feu. D'abord, nous allons

commencer avec une simple redistribution de la route suivie par un filtre de pare-feu pour

restreindre l'accs telnet.

Exercice 1 - redistribution de route par dfaut dans OSPF

Crer une politique visant redistribuer la route par dfaut existant (0.0.0.0 / 0) sur JunOS1

dans OSPF afin que d'autres routeurs peuvent utiliser.

Solution dessous

[edit]

root@JUNOS1# edit policy-options

[edit policy-options]

root@JUNOS1# set policy-statement default-static term accept-default-static from protocol

static


root@JUNOS1# set policy-statement default-static term accept-default-static from route-filter

0.0.0.0/0 exact


root@JUNOS1# set policy-statement default-static term accept-default-static then accept


root@JUNOS1# show

policy-statement default-static {

term accept-default-static {

from {

protocol static;

route-filter 0.0.0.0/0 exact;

}

then accept;

}

}


root@JUNOS1# top edit protocols ospf

[edit protocols ospf]

root@JUNOS1# set export default-static

[edit]

root@JUNOS1# commit

JUNOS1 annonce la route par dfaut dans OSPF, vrifiez que JUNOS3 peut effectivement

voir.

root@JUNOS3# run show route protocol ospf

inet.0: 15 destinations, 15 routes (15 active, 0 holddown, 0 hidden)

+ = Active Route, - = Last Active, * = Both

0.0.0.0/0 *[OSPF/150] 00:00:05, metric 0, tag 0 to 172.30.25.9 via em4.0

Exercice 2 - filtrage pare-feu

Pour effectuer cet exercice, il faut activer le service telnet sur JUNOS1.

[edit]

root@JUNOS1# set system services telnet

[edit]

root@JUNOS1# set system login user junuser class super-user authentication plain-text-

password

[edit]

root@JUNOS1# commit

commit complete

Test du service de JUNOS3 utilisant le loopback0 que l'interface de la source.

[edit]

root@JUNOS3# run telnet 10.1.1.1 interface lo0

Trying 10.1.1.1...



JUNOS1 (ttyp0)

login: junuser

Password:

--- JUNOS 10.1R1.8 built 2010-02-12 17:15:05 UTC


Connection closed by foreign host.

Connexion ferme par hte tranger.

Maintenant, ajoutez un filtre de pare-feu pour permettre l'accs telnet JUNOS3 loopback0

interface (10.3.3.3) seulement. Vous devez dfinir le filtre de pare-feu, une liste de prfixes et

appliquer le filtre sur le loopback0 de JUNOS1.

Solution dessous

[edit]

root@JUNOS1# edit firewall filter limit-telnet-access

[edit firewall filter limit-telnet-access]

root@JUNOS1# set term telnet-accept from source-prefix-list trusted


root@JUNOS1# set term telnet-accept from protocol tcp


root@JUNOS1# set term telnet-accept from destination-port telnet


root@JUNOS1# set term telnet-accept then accept


root@JUNOS1# set term telnet-reject from protocol tcp


root@JUNOS1# set term telnet-reject from destination-port telnet


root@JUNOS1# set term telnet-reject then discard


root@JUNOS1# set term telnet-reject then log


root@JUNOS1# set term else-accept then accept


root@JUNOS1# show

term telnet-accept {

from {

source-prefix-list {

trusted; ## 'trusted' is not defined

}

protocol tcp;

destination-port telnet;

}

then accept;

}

term telnet-reject {

from {

protocol tcp;

destination-port telnet;

}

then {

discard;

}

}

term else-accept {

then accept;

}


root@JUNOS1# top edit policy-options


root@JUNOS1# set prefix-list trusted 10.3.3.3


root@JUNOS1# top set interfaces lo0 unit 0 family inet filter input limit-telnet-access

Voyons maintenant nous ne pouvons connecter uniquement partir de loopback0 interface

JUNOS3. Regardez aussi le journal du pare-feu sur JUNOS1.


Trying 10.1.1.1...

^C

[edit]


Trying 10.1.1.1...



JUNOS1 (ttyp0)

login:

root@JUNOS1# run show firewall log

Log :

Time Filter Action Interface Protocol Src Addr Dest Addr

01:42:37 limit-telnet-access D em1.0 TCP 10.2.2.2 10.1.1.1




Qualit de service

Pour ce dernier chapitre, vous allez marquer un peu de trafic.

Exercice - paquets de marquage

Votre but est de crer un filtre qui vous appliquerez sur em4 interface JUNOS1 (entre). Ce

filtre va marquer tous les paquets provenant 10.3.3.0/24 avec acclr-forwarding :expedited-

forwarding (EF) DSCP.

Solution dessous

firewall {

family inet {

filter apply-cos {

term from-JUNOS3 {

from {

source-address {

10.3.3.0/24;

}

}

then {

forwarding-class expedited-forwarding;

accept;

}

}

term default {

then accept;

}

}

}

em4 {

unit 0 {

family inet {

filter {

input apply-cos;

}

address 172.30.25.9/30;

}

}

}

Documents

Juniper