Home Kênh học tậpHệ thống mạng Hướng dẫn cấu hình thiết bị Juniper từ A đến Z
Cấu hình Backup Router Juniper

Hướng dẫn cấu hình thiết bị Juniper từ A đến Z

by admin
3348 views

Bài viết sau sẽ hướng dẫn các bạn các cấu hình thiết bị Juniper một cách hoàn chỉnh nhất. Cùng bắt đầu tìm hiểu về cách cấu hình qua bài viết dưới đây nhé.

Nội dung bài viết

Cấu hình Hostname của thiết bị Juniper bằng cách sử dụng nhóm cấu hình

Hostname của thiết bị Junos OS hoặc Junos OS Evolved là tên gọi của nó. Thiết bị mạng phải được thiết lập danh tính để có thể truy cập được trên mạng. Đó có lẽ là lý do quan trọng nhất để có một tên máy chủ, nhưng một tên máy chủ có những mục đích khác.

Phần mềm sử dụng tên máy chủ được cấu hình như một phần của dấu nhắc lệnh và để thêm trước các tệp nhật ký và thông tin kế toán khác. Hostname cũng được sử dụng ở bất kỳ nơi nào khác khi biết danh tính thiết bị là quan trọng. Vì những lý do này, chúng tôi khuyên bạn nên đặt tên máy chủ có tính mô tả và dễ nhớ.

Bạn có thể định cấu hình tên máy chủ ở cấp phân cấp [edit system], một quy trình được hiển thị trong Định cấu hình Danh tính Duy nhất của Thiết bị cho Mạng. Theo tùy chọn, thay vì định cấu hình tên máy chủ ở cấp phân cấp [edit system], bạn có thể sử dụng một nhóm cấu hình, như được hiển thị trong quy trình này. Đây là phương pháp hay nhất được khuyến nghị để định cấu hình tên máy chủ, đặc biệt nếu thiết bị có Công cụ định tuyến kép. Thủ tục này sử dụng các nhóm được gọi là re0 và re1 làm ví dụ.

Để đặt tên máy chủ bằng nhóm cấu hình:

  1. Bao gồm câu lệnh tên host-name trong cấu hình ở cấp phân cấp hệ thống [edit groups group-name system .

    Giá trị tên phải ít hơn 256 ký tự.

    [edit groups group-name system]
    host-name hostname;
    

    Ví dụ:

    [edit groups re0 system]
    root@# set host-name san-jose-router0
    
    [edit groups re1 system]
    root@# set host-name san-jose-router1
    
  2. Nếu bạn đã sử dụng một hoặc nhiều nhóm cấu hình, hãy áp dụng các nhóm cấu hình, thay thế tên nhóm thích hợp.

    Ví dụ:

    [edit]
    user@host# set apply-groups [re0 re1]
    
  3. Xác nhận các thay đổi
    [edit]
    root@# commit
    

    Tên máy chủ sau đó xuất hiện trong lời nhắc CLI của thiết bị.

    san-jose-router0#

Hiểu và cấu hình DNS khi cấu hình thiết bị Juniper

Hệ thống tên miền (Domain Name System – DNS) là một hệ thống phân cấp phân tán chuyển đổi tên máy chủ thành địa chỉ IP. DNS được chia thành các phần gọi là zone. Mỗi zone có các máy chủ định danh đáp ứng các truy vấn thuộc zone của chúng.

DNS Components

DNS bao gồm 3 thành phần chính:

  • DNS resolver: Nằm ở phía máy khách của DNS. Khi người dùng gửi yêu cầu tên máy chủ, trình phân giải sẽ gửi yêu cầu truy vấn DNS đến máy chủ định danh để yêu cầu địa chỉ IP của tên máy chủ.

  • Name servers: Xử lý các yêu cầu truy vấn DNS nhận được từ trình phân giải DNS và trả lại địa chỉ IP cho trình phân giải

  • Resource records: Các phần tử dữ liệu xác định cấu trúc và nội dung cơ bản của DNS.

DNS Server Caching

Máy chủ định danh DNS chịu trách nhiệm cung cấp địa chỉ IP của tên máy chủ cho người dùng. Trường TTL trong bản ghi tài nguyên xác định khoảng thời gian mà kết quả truy vấn DNS được lưu vào bộ nhớ cache. Khi giá trị TTL hết hạn, máy chủ định danh sẽ gửi một truy vấn DNS mới và cập nhật bộ đệm ẩn.

Máy chủ định danh Hệ thống tên miền (DNS) được sử dụng để phân giải tên máy chủ thành địa chỉ IP.

Trước khi bạn bắt đầu, hãy định cấu hình máy chủ định danh của bạn với tên máy chủ và địa chỉ IP cho thiết bị Juniper Networks của bạn. Không quan trọng địa chỉ IP nào bạn chỉ định làm địa chỉ của thiết bị trong máy chủ định danh, miễn đó là địa chỉ đến thiết bị của bạn. Thông thường, bạn sẽ sử dụng địa chỉ IP giao diện quản lý, nhưng bạn có thể chọn địa chỉ IP giao diện lặp lại, hoặc địa chỉ IP giao diện mạng, hoặc thậm chí định cấu hình nhiều địa chỉ trên máy chủ định danh.

Để dự phòng, cách tốt nhất là cấu hình quyền truy cập vào nhiều máy chủ định danh. Bạn có thể định cấu hình tối đa ba máy chủ định danh. Cách tiếp cận tương tự như cách trình duyệt Web phân giải tên của một trang Web thành địa chỉ mạng của nó. Ngoài ra, phần mềm cho phép bạn định cấu hình một hoặc nhiều tên miền, phần mềm này sử dụng để giải quyết các tên máy chủ không đủ tiêu chuẩn (nói cách khác, tên miền bị thiếu). Điều này rất tiện lợi vì bạn có thể sử dụng tên máy chủ để cấu hình và vận hành phần mềm mà không cần tham khảo tên miền đầy đủ. Sau khi thêm địa chỉ máy chủ định danh và tên miền vào cấu hình của mình, bạn có thể sử dụng tên máy chủ có thể phân giải DNS trong cấu hình và lệnh của mình thay vì địa chỉ IP.

Theo tùy chọn, thay vì định cấu hình máy chủ định danh ở cấp phân cấp [edit system] , bạn có thể sử dụng nhóm cấu hình, như được hiển thị trong quy trình này. Đây là phương pháp hay nhất được khuyến nghị để định cấu hình máy chủ định danh.

Bắt đầu từ Junos OS Release 19.2R1, bạn có thể định tuyến lưu lượng truy cập giữa phiên bản định tuyến quản lý và máy chủ định danh DNS. Định cấu hình phiên bản định tuyến ở cấp phân cấp  [edit system name-server server-ip-address]và máy chủ định danh có thể truy cập được thông qua phiên bản định tuyến này.

Để bật phiên bản định tuyến quản lý cho DNS, hãy định cấu hình như sau:

user@host# set system management-instance
user@host# set routing-instances mgmt_junos description description
user@host# set system name-server server-ip-address routing-instance mgmt_junos

Nếu bạn đã định cấu hình máy chủ định danh bằng cách sử dụng một nhóm cấu hình, hãy sử dụng cấp phân cấp [edit groups group-name system name-server], đây là phương pháp hay nhất được khuyến nghị để định cấu hình máy chủ định danh.

Để định cấu hình thiết bị để phân giải tên máy chủ thành địa chỉ:

  1. Tham khảo địa chỉ IP của máy chủ định danh của bạn.
    [edit groups group-name system]
    name-server {
        address;
    }
    

    Ví dụ sau đây cho thấy cách tham chiếu hai máy chủ định danh:

    [edit groups global system]
    user@host# set name-server 192.168.1.253
    user@host# set name-server 192.168.1.254
    user@host# show
    name server {
        192.168.1.253/32;
        192.168.1.254/32;
    }
    
  2. (Tùy chọn) Định cấu hình phiên bản định tuyến cho DNS.

    Ví dụ sau đây cho thấy cách định cấu hình phiên bản định tuyến cho một trong các máy chủ định danh:

    [edit groups global system]
    user@host# set name-server 192.168.1.253 routing-instance mgmt_junos
    

    Hãy nhớ cũng định cấu hình như sau:

    • management-instance ở cấp phân cấp [edit system]

    • routing-instance ở cấp phân cấp [edit routing-instances].

  3. (Tùy chọn) Định cấu hình tên miền chứa thiết bị.

    Đây là một thực hành tốt. Sau đó, phần mềm sử dụng tên miền được định cấu hình này làm tên miền mặc định để thêm vào các tên máy chủ không đủ điều kiện.

    [edit system]
    domain-name domain-name;
    

    Ví dụ sau đây cho thấy cách định cấu hình tên miền:

    [edit groups global system]
    user@host# set domain-name company.net
    user@host# show
    domain-name company.net;
    
  4. (Tùy chọn) Định cấu hình danh sách các miền được tìm kiếm.

    Nếu thiết bị của bạn có thể tiếp cận một số miền khác nhau, bạn có thể định cấu hình các miền này làm danh sách các miền cần tìm kiếm. Sau đó, phần mềm sử dụng danh sách này để thiết lập thứ tự gắn các tên miền khi tìm kiếm địa chỉ IP của máy chủ.

    [edit groups global system]
    domain-search [ domain-list ];
    

    Danh sách miền có thể chứa tối đa sáu tên miền, với tổng số ký tự lên đến 256.

    Ví dụ sau đây cho thấy cách định cấu hình hai miền được tìm kiếm. Ví dụ này định cấu hình phần mềm để tìm kiếm miền company.net và sau đó là miền domainone.net và sau đó là miền domainonealternate.com khi cố gắng giải quyết các máy chủ không đủ tiêu chuẩn.

    [edit groups global system]
    domain-search [ company.net domainone.net domainonealternate.com ]
    
  5. Nếu bạn đã sử dụng một nhóm cấu hình, hãy áp dụng nhóm cấu hình, thay thế toàn cục bằng tên nhóm thích hợp.
    [edit]
    user@host# set apply-groups global
    
  6. Xác nhận cấu hình
    user@host# commit
    
  7. Xác minh cấu hình

    Nếu bạn đã định cấu hình máy chủ định danh của mình với tên máy chủ và địa chỉ IP cho thiết bị của mình, bạn có thể đưa ra các lệnh sau để xác nhận rằng DNS đang hoạt động và có thể truy cập được. Bạn có thể sử dụng tên máy đã được định cấu hình để xác nhận độ phân giải cho địa chỉ IP hoặc sử dụng địa chỉ IP của thiết bị để xác nhận độ phân giải cho tên máy đã được định cấu hình.

    user@host> show host host-name
    user@host> show host host-ip-address

    Ví dụ:

    user@host> show host device.example.net
    device.example.net 
    device.example.net has address 192.168.187.1
    user@host> show host 192.168.187.1
    10.187.168.192.in-addr.arpa domain name pointer device.example.net.

Định cấu hình giá trị TTL cho DNS Server Caching

Phần này mô tả cách định cấu hình giá trị TTL cho DNS server cache để xác định khoảng thời gian mà kết quả truy vấn DNS được lưu vào bộ đệm.

Máy chủ định danh DNS lưu trữ các phản hồi truy vấn DNS trong bộ đệm ẩn của nó trong khoảng thời gian TTL được chỉ định trong trường TTL của bản ghi tài nguyên. Khi giá trị TTL hết hạn, máy chủ định danh sẽ gửi một truy vấn DNS mới và cập nhật bộ đệm ẩn. Bạn có thể định cấu hình giá trị TTL từ 0 đến 604.800 giây. Bạn cũng có thể định cấu hình giá trị TTL cho các phản hồi phủ định được lưu trong bộ nhớ cache. Bộ nhớ đệm phủ định là việc lưu trữ bản ghi mà một giá trị không tồn tại. Trong ví dụ này, bạn đặt giá trị TTL tối đa cho các phản hồi được lưu trong bộ nhớ cache (và phủ định được lưu trong bộ nhớ cache) là 86.400 giây.

Cấu hình

Để định cấu hình giá trị TTL cho DNS server cache:

  1. Chỉ định giá trị TTL tối đa cho các phản hồi được lưu trong bộ nhớ cache, tính bằng giây. (Trong ví dụ này, 86400 giây tương đương với 24 giờ.)

    [edit]
    user@host# set system services dns max-cache-ttl 86400
    
  2. Chỉ định giá trị TTL tối đa cho các phản hồi phủ định được lưu trong bộ nhớ cache, tính bằng giây.

    [edit]
    user@host# set system services dns max-ncache-ttl 86400
    
  3. Nếu bạn cấu hình xong thiết bị, hãy xác nhận cấu hình.

    [edit]
    user@host# commit
    

Xác minh

Để xác minh cấu hình hoạt động bình thường, hãy nhập lệnh show system services.

Định cấu hình danh tính duy nhất của thiết bị cho mạng

Để sử dụng một thiết bị trong mạng, bạn phải định cấu hình danh tính của thiết bị. Việc này giúp thiết bị có thể truy cập được trên mạng và người dùng khác có thể đăng nhập vào thiết bị. Bạn có thể tham khảo bất kỳ máy nào được kết nối Internet theo một trong hai cách:

  • Bằng địa chỉ IP của nó

  • Bằng hostname của nó

Khi bạn có hostname, bạn có thể:

  • Tìm địa chỉ IP

  • Sử dụng Hệ thống tên miền (DNS) để phân giải địa chỉ IP từ tên máy chủ

  • Ánh xạ thủ công tên máy chủ tới một địa chỉ IP tĩnh

Mặc dù sử dụng DNS là cách dễ dàng hơn và có thể mở rộng hơn để phân giải địa chỉ IP từ tên máy chủ, nhưng bạn có thể không có mục nhập DNS cho bộ định tuyến hoặc bạn có thể không muốn máy tính liên hệ với máy chủ DNS để phân giải một địa chỉ IP cụ thể. Trong trường hợp thứ hai này, có lẽ bạn sử dụng địa chỉ IP cụ thể này thường xuyên hoặc bạn có thể chỉ sử dụng nó cho mục đích thử nghiệm hoặc phát triển và không muốn cấp cho nó một mục nhập DNS.

Để định cấu hình danh tính duy nhất của bộ định tuyến, bạn có thể cần bao gồm một số hoặc tất cả các chi tiết sau: Tên máy chủ của bộ định tuyến, địa chỉ IP của bộ định tuyến, tên miền và địa chỉ IP cho hai hoặc ba máy chủ định danh miền.

Trong ngữ cảnh này, tên máy chủ là tên của thiết bị. Hầu hết mọi người dễ nhớ tên máy chủ hơn là địa chỉ IP. Phần mềm sử dụng tên máy chủ được định cấu hình như một phần của dấu nhắc lệnh, để thêm trước các tệp nhật ký và thông tin kế toán khác, cũng như ở những nơi khác mà việc biết danh tính thiết bị là hữu ích. Bạn cũng có thể sử dụng tên máy chủ để chuyển mạng đến một thiết bị.

Tên miền là chuỗi được nối vào các tên máy chủ không đủ điều kiện. Tên miền là tên của một mạng liên kết với một tổ chức. Đối với các trang web ở Hoa Kỳ, tên miền thường có dạng org-name.org-type — ví dụ: “Juniper.net”.

Trong trường hợp tên máy chủ và địa chỉ IP của bạn không có mục nhập DNS trong máy chủ định danh, hãy định cấu hình ánh xạ tĩnh.

Các giá trị được đưa ra trong bảng sau được sử dụng để định cấu hình từng biến này. Bạn cần thay thế dữ liệu cụ thể cho thiết bị và mạng của mình cho các giá trị này.

Table 1: Values to Use in Example

Name of Variable

Value Used in Example

Value You Substitute

domain-name domain-name

domain-name device.example.net

host-name host-name

host-name example-re0

inet ip-address

inet 172.22.147.39

name-server ip-address

name-server 172.24.16.115

name-server 192.0.2.0

Cấu hình

Cấu hình nhanh CLI trong cấu hình thiết bị Juniper

Để nhanh chóng định cấu hình một thiết bị bằng cách sử dụng ví dụ này

  • Sao chép các lệnh sau và dán chúng vào tệp văn bản

  • Xóa bất kỳ ngắt dòng nào

  • Thay đổi các giá trị được liệt kê ở đây để phù hợp với cấu hình mạng của bạn

  • Sao chép và dán các lệnh vào CLI ở cấp độ phân cấp [edit]

  • Cuối cùng, nhập commit từ chế độ cấu hình

set system domain-name device.example.net
set system host-name example-re0
set system name-server 172.24.16.115
set system name-server 192.0.2.0
set system static-host-mapping example-re0 inet 172.22.147.39

Định cấu hình danh tính của bộ định tuyến

Quy trình từng bước

Để định cấu hình cài đặt danh tính của một thiết bị:

  1. Để định cấu hình cài đặt danh tính của một thiết bị:

    [edit]
    user@host# set system domain-name device.example.net
    
  2. Định cấu hình tên máy chủ, sử dụng lệnh set system host-name.

    [edit]
    user@host# set system host-name example-re0
    
  3. Định cấu hình từ một đến ba máy chủ định danh.

    [edit]
    user@host# set system name-server 172.24.16.115
    user@host# set system name-server 192.0.2.0
    
  4. Ánh xạ từ tên máy chủ sang địa chỉ IP, sử dụng lệnh  set system static-host-mapping.

    [edit]
    user@host# set system static-host-mapping example-re0 inet 172.22.147.39
    

Kết quả

Để kiểm tra cấu hình thiết bị juniper, hãy sử dụng lệnh show system.

[edit]
user@host# show system
domain-name device.example.net;
host-name example-re0;
name-server {
    172.24.16.115;
    192.0.2.0;
}
static-host-mapping {
    example-re0 {
        inet 172.22.147.39;
    }
}

Khi bạn có cấu hình chính xác, hãy nhập commit.

Xác minh

Xác nhận tên máy chủ thiết bị và địa chỉ IP

Mục đích

Xác nhận tên máy chủ và địa chỉ IP của thiết bị như mong đợi.

Hoạt động

Đưa ra lệnh show host host-name .

user@example-re0> show host newton 
newton.device.example.net is an alias for example-re0.device.example.net.
example-re0.device.example.net has address 172.22.147.39

Xác định Static Routes

Là một phần của việc định cấu hình cá thể định tuyến mgmt_junos, bạn phải di chuyển tất cả các tuyến tĩnh có bước tiếp theo thông qua giao diện quản lý mặc định từ cá thể định tuyến mặc định sang mgmt_junos. Mỗi thiết lập là khác nhau. Trong các ví dụ này, bạn cần xác định các tuyến tĩnh có bước tiếp theo thông qua giao diện fxp0. Bước tiếp theo cho bất kỳ tuyến tĩnh nào bị ảnh hưởng sẽ có địa chỉ IP nằm trong mạng con của địa chỉ IP được định cấu hình cho fxp0.

Bạn có thể sử dụng các lệnh sau để xác định các tuyến tĩnh cần được thay đổi.

  • Sử dụng lệnh show interfaces để tìm địa chỉ IP của giao diện quản lý mặc định:

    user@host> show interfaces fxp0 terse
    
    Interface               Admin Link Proto    Local                 Remote
    fxp0                    up    up
    fxp0.0                  up    up   inet     10.102.183.152/20

    Trong trường hợp này, giao diện quản lý mặc định là fxp0, nhưng nó có thể là em0 hoặc re0: mgmt- *.

  • Sử dụng lệnh show route forwarding-table để xem bảng chuyển tiếp để biết thông tin bước tiếp theo cho các tuyến đường tĩnh (các tuyến đường tĩnh hiển thị dưới dạnguser):

    user@host> show route forwarding-table  
    
    Routing table: default.inet
    Internet:
    Enabled protocols: Bridging, 
    Destination        Type RtRef Next hop           Type Index    NhRef Netif
    default            perm     0                    rjct       36     1
    0.0.0.0/32         perm     0                    dscd       34     1
    10.0.0.0/8         user     0 0:0:5e:0:1:d0      ucst      341     6 fxp0.0
    10.0.1.0/24        intf     0                    rslv      584     1 ge-0/0/0.0
    10.0.1.0/32        dest     0 10.0.1.0           recv      582     1 ge-0/0/0.0
    10.0.1.1/32        intf     0 10.0.1.1           locl      583     2
    10.0.1.1/32        dest     0 10.0.1.1           locl      583     2
    10.0.1.255/32      dest     0 10.0.1.255         bcst      581     1 ge-0/0/0.0
    10.102.176.0/20    intf     0                    rslv      340     1 fxp0.0
    10.102.176.0/32    dest     0 10.102.176.0       recv      338     1 fxp0.0
    10.102.176.3/32    dest     1 0:50:56:9f:1b:2e   ucst      350     2 fxp0.0
    10.102.183.152/32  intf     0 10.102.183.152     locl      339     2
    10.102.183.152/32  dest     0 10.102.183.152     locl      339     2
    10.102.191.253/32  dest     0 10:e:7e:b1:b0:80   ucst      348     1 fxp0.0
    10.102.191.254/32  dest     0 0:0:5e:0:1:d0      ucst      341     6 fxp0.0
    10.102.191.255/32  dest     0 10.102.191.255     bcst      337     1 fxp0.0
    172.16.0.0/12      user     0 10.102.191.254     ucst      341     6 fxp0.0
    192.168.0.0/16     user     0 10.102.191.254     ucst      341     6 fxp0.0
    224.0.0.0/4        perm     0                    mdsc       35     1
    224.0.0.1/32       perm     0 224.0.0.1          mcst       31     1
    255.255.255.255/32 perm     0                    bcst       32     1
    
  • Một cách khác để tìm các static routes là sử dụng lệnh show route protocol static.

    user@host> show route protocol static 
    
    inet.0: 10 destinations, 10 routes (10 active, 0 holddown, 0 hidden)
    + = Active Route, - = Last Active, * = Both
    
    10.0.0.0/8         *[Static/5] 2d 21:48:36
                        > to 10.102.191.254 via fxp0.0
    172.16.0.0/12      *[Static/5] 2d 21:48:36
                        > to 10.102.191.254 via fxp0.0
    192.168.0.0/16     *[Static/5] 2d 21:48:36
                        > to 10.102.191.254 via fxp0.0
    

Bật phiên bản định tuyến mgmt_junos

Để bật phiên bản định tuyến mgmt_junos:

  1. Định cấu hình phiên bản định tuyến mgmt_junos tại [edit routing-instances hierarchy level:
    [edit]
    user@host# set routing-instances routing-instance-name description description
  2. Định cấu hình câu lệnh management-instance.
    [edit]
    user@host# set system management-instance
  3. Di chuyển các static routes sang phiên bản định tuyến mgmt_junos.
    [edit routing-instances mgmt_junos routing-option static route]
    user@host# set 10.0.0.0/8 next-hop 10.102.191.254
    user@host# set 172.16.0.0/12 next-hop 10.102.191.254
    user@host# set 192.168.0.0/16 next-hop 10.102.191.254
    

    Nếu bạn đang sử dụng nhóm cấu hình, bạn có thể muốn đặt những thay đổi này như một phần của nhóm:

    [edit groups global routing-instances mgmt_junos routing-options static route ]
    user@host# set 10.0.0.0/8 next-hop 10.102.191.254
    user@host# set s172.16.0.0/12 next-hop 10.102.191.254
    user@host# set 192.168.0.0/16 next-hop 10.102.191.254
    
  4. Commit cấu hình.
  5. Tại thời điểm này bạn đã cấu hình câu lệnh management-instance. Các bảng cho bảng mgmt_junos được thiết lập cho inet và inet6 và được đánh dấu là bảng riêng tư. Giao diện quản lý được chuyển đến bảng định tuyến mgmt_junos. Các tuyến tĩnh có bước tiếp theo đến giao diện quản lý được chuyển từ bảng định tuyến mặc định và được thêm vào phiên bản định tuyến mgmt_junos.

    Tuy nhiên, nếu bạn chưa định cấu hình tùy chọn management routing-instance trong câu lệnh máy chủ tacplus server, các gói TACACS+ chỉ tiếp tục được gửi bằng phiên bản định tuyến mặc định.

Xóa phiên bản định tuyến mgmt_junos

Khi bạn xóa phiên bản định tuyến mgmt_junos, bạn cũng phải di chuyển các tuyến tĩnh trở lại phiên bản định tuyến mặc định và xóa cài đặt TACACS + cho mgmt_junos.

Để xóa giao diện quản lý chuyên dụng:

  1. Xóa hoặc hủy kích hoạt câu lệnh routing-instance.
    [edit]
    user@host# delete system management-instance
  2. (Tùy chọn) Xóa cài đặt TACACS + cho mgmt_junos.
  3. Di chuyển các static routes trở lại phiên bản định tuyến mặc định.
    [edit routing-instances mgmt_junos routing-option static route]
    user@host# delete 10.0.0.0/8 next-hop 10.102.191.254
    user@host# delete 172.16.0.0/12 next-hop 10.102.191.254
    user@host# delete 192.168.0.0/16 next-hop 10.102.191.254
    

Định cấu hình tài khoản người dùng bằng cách sử dụng nhóm cấu hình

Vì tài khoản người dùng Junos OS và Junos OS Evolved được định cấu hình trên nhiều thiết bị, chúng thường được định cấu hình bên trong một nhóm cấu hình. Như vậy, các ví dụ được hiển thị ở đây nằm trong một nhóm cấu hình được gọi là toàn cầu. Sử dụng nhóm cấu hình cho tài khoản người dùng của bạn là tùy chọn.

Để tạo tài khoản người dùng:

  1. Thêm người dùng mới, sử dụng tên đăng nhập tài khoản được chỉ định của người dùng.
    [edit groups global]
    user@host# edit system login user username
    
  2. (Tùy chọn) Định cấu hình tên mô tả đầy đủ cho tài khoản.

    Nếu tên đầy đủ bao gồm dấu cách, hãy đặt toàn bộ tên trong dấu ngoặc kép.

    [edit groups global system login user user-name]
    user@host# set full-name complete-name
    

    Ví dụ:

    user@host# show groups
    global {
        system {
            login {
                user admin {
                    full-name "general administrator";
                }
            }
        }
    }
    
  3. (Tùy chọn) Đặt số nhận dạng người dùng (UID) cho tài khoản.

    Như với hệ thống UNIX, UID thực thi quyền của người dùng và quyền truy cập tệp. Nếu bạn không đặt UID, vì phần mềm chỉ định một UID cho bạn. Định dạng của UID là một số trong khoảng từ 100 đến 64000.

    [edit groups global system login user user-name]
    user@host# set uid uid-value
    

    Ví dụ:

    user@host# show groups
    global {
        system {
            login {
                user admin {
                    uid 9999;
                }
            }
        }
    }
    
  4. Bạn có thể xác định các lớp đăng nhập của riêng mình hoặc chỉ định một trong các lớp đăng nhập được xác định trước.

    Các lớp đăng nhập được xác định trước như sau:

    • super-user—tất cả các quyền

    • operator—quyền xóa, mạng, đặt lại, theo dõi và xem

    • read-only— quyền xem

    • unauthorized—không có quyềnChỉ định người dùng vào login class.

    [edit groups global system login user user-name]
    user@host# set class class-name
    

    Ví dụ:

    user@host# show groups
    global {
        system {
            login {
                user admin {
                    class super-user;
                }
            }
        }
    }
    
  5. Sử dụng một trong các phương pháp sau để định cấu hình thiết bị juniper mật khẩu người dùng.
    • Để nhập mật khẩu clear-text mà hệ thống mã hóa cho bạn, hãy sử dụng lệnh sau để đặt mật khẩu người dùng:

      [edit groups global system login user user-name]
      user@host# set authentication plain-text-password password
      New Password: type password here Retype new password: retype password here

      Khi bạn nhập mật khẩu ở dạng văn bản thuần túy, phần mềm sẽ mã hóa mật khẩu ngay lập tức. Bạn không phải cấu hình phần mềm để mã hóa mật khẩu như trong một số hệ thống khác. Do đó, mật khẩu văn bản thuần túy bị ẩn và được đánh dấu là## SECRET-DATA trong cấu hình.

    • Để nhập mật khẩu đã được mã hóa, hãy sử dụng lệnh sau để đặt mật khẩu người dùng:

      THẬN TRỌNG:

      Không sử dụng tuỳ chọn encrypted-password trừ khi mật khẩu đã được mã hóa và bạn đang nhập phiên bản được mã hóa của mật khẩu.

      Nếu bạn vô tình định cấu hình tùy chọn encrypted-password bằng mật khẩu plain-text hoặc có dấu ngoặc kép trống (“”), bạn sẽ không thể đăng nhập vào thiết bị với tư cách là người dùng này.

      [edit groups global system login user user-name]
      user@host# set authentication encrypted-password "password"
      
    • Để tải các khóa công khai đã tạo trước đó từ một tệp được đặt tên tại một vị trí URL được chỉ định, hãy sử dụng lệnh sau để đặt mật khẩu người dùng:

      [edit groups global system login user user-name]
      user@host# set authentication load-key-file URL filename
      
    • Để nhập một chuỗi công khai ssh, hãy sử dụng lệnh sau để đặt mật khẩu người dùng:

      [edit groups global system login user user-name]
      user@host# set authentication (ssh-ecdsa | ssh-ed25519 | ssh-rsa) authorized-key
      
  6. Ở cấp cao nhất của cấu hình, hãy áp dụng nhóm cấu hình.

    Nếu bạn sử dụng một nhóm cấu hình, bạn phải áp dụng nó để nó có hiệu lực.

    [edit]
    user@host# set apply-groups global
    
  7. Commit cấu hình.
    user@host# commit
    
  8. Để xác minh cấu hình thiết bị juniper, hãy đăng xuất và đăng nhập lại với tư cách người dùng mới.

Backup Router

Tổng quan về Backup Router

Mục đích của bộ backup router không phải để chuyển tiếp lưu lượng chuyển tiếp. Bạn (quản trị viên hệ thống) có thể sử dụng backuprouter để quản lý cục bộ thiết bị định tuyến thông qua giao diện quản lý ngoài băng tần (fxp0, em0 hoặc me0).

Quy trình giao thức định tuyến (rpd) là quy trình phần mềm chịu trách nhiệm thiết lập các tuyến đường. Rpd không chạy trong khi thiết bị định tuyến đang khởi động. Do đó, thiết bị không có các tuyến đường. Bộ định tuyến dự phòng cho phép thiết bị định tuyến cài đặt đường dẫn đến mạng quản lý trước khi rpd được thiết lập và chạy.

Bạn có thể sử dụng bộ định tuyến dự phòng trong quá trình khởi động ban đầu, trước khi bất kỳ giao thức định tuyến nào được hội tụ. Bộ định tuyến dự phòng cho phép thiết bị thiết lập kết nối Lớp 3 một cách nhanh chóng, giúp giảm thiểu khả năng quản lý. Bạn cũng có thể sử dụng bộ định tuyến dự phòng để quản lý thiết bị nếu quá trình giao thức định tuyến không khởi động đúng cách.

Bộ định tuyến dự phòng kết nối trực tiếp với thiết bị định tuyến cục bộ (nghĩa là thiết bị được kết nối trên cùng một mạng con) thông qua giao diện quản lý riêng tư của nó. Để chọn bộ định tuyến dự phòng, bạn thường chọn cổng mặc định của mạng quản lý được kết nối trực tiếp với thiết bị định tuyến của bạn. Đảm bảo rằng địa chỉ bộ định tuyến dự phòng được chỉ định có thể truy cập được và kết nối trực tiếp với giao diện quản lý.

Khi rpd khởi động, tuyến sao lưu (tuyến được tạo bởi bộ định tuyến dự phòng) sẽ bị xóa và bất kỳ tuyến mặc định, tĩnh hoặc giao thức nào được cài đặt.

Cấu hình thiết bị juniper bộ định tuyến dự phòng có thể thay đổi bảng chuyển tiếp hạt nhân Routing Engine dự phòng ngay cả khi kích hoạt không ngừng (NSR).

Cấu hình Backup Router

Để thêm bộ định tuyến dự phòng vào thiết bị của bạn, hãy định cấu hình bộ định tuyến dự phòng hoặc câu lệnh inet6-backup-router ở cấp phân cấp [hệ thống chỉnh sửa].

Bạn (quản trị viên mạng) có thể sử dụng bộ định tuyến dự phòng để truy cập mạng trong khi tải, định cấu hình và khôi phục bộ định tuyến hoặc bộ chuyển mạch mà không cần cài đặt tuyến mặc định trong bảng chuyển tiếp. Bao gồm tùy chọn đích tùy chọn và chỉ định một địa chỉ có thể truy cập được thông qua bộ định tuyến dự phòng. Sử dụng định dạng địa chỉ mạng / độ dài mặt nạ. Cấu hình này hỗ trợ cả địa chỉ IPv4 và IPv6. Tiền tố của địa chỉ đích không được trùng lặp với tiền tố đích được học từ quy trình giao thức định tuyến (rpd).

Nếu cấu hình bộ định tuyến dự phòng có nhiều tuyến tĩnh trỏ đến một cổng từ giao diện Ethernet quản lý, bạn phải định cấu hình các tiền tố cụ thể hơn các tuyến tĩnh.

Ví dụ: nếu bạn định cấu hình tuyến tĩnh 172.16.0.0/12 từ giao diện Ethernet quản lý cho mục đích quản lý, bạn phải chỉ định cấu hình bộ định tuyến dự phòng như sau:

set system backup-router 172.29.201.62 destination [172.16.0.0/13 172.16.128.0/13]

Bất kỳ đích nào được xác định bởi bộ định tuyến dự phòng sẽ không hiển thị trong bảng định tuyến. Chúng chỉ hiển thị trong bảng chuyển tiếp cục bộ khi rpd không chạy.

Trên các hệ thống có Công cụ định tuyến dự phòng kép, khả năng tiếp cận của Công cụ định tuyến dự phòng thông qua giao diện quản lý riêng chỉ dựa trên chức năng của cấu hình bộ định tuyến dự phòng. Nó không dựa trên việc rpd có đang chạy hay không. Trên cả hai Công cụ định tuyến, câu lệnh backup-router thêm tiền tố đích khi khởi động. Trên Công cụ định tuyến chính, một tuyến tĩnh yêu cầu rpd chạy trước khi tuyến tĩnh cài đặt tiền tố đích vào bảng định tuyến và chuyển tiếp.

Các tuyến đang hoạt động và các tuyến cụ thể hơn được ưu tiên hơn các tiền tố đích được xác định bằng câu lệnh backup-router.

Định cấu hình một bộ định tuyến dự phòng chạy IPv4 cho bộ định tuyến

Trong ví dụ minh họa trong Hình 1, bộ định tuyến dự phòng là cổng mặc định của mạng quản lý.

Theo yêu cầu, địa chỉ bộ định tuyến dự phòng có thể truy cập được và kết nối trực tiếp với giao diện quản lý trên hai thiết bị định tuyến (fxp0 và me0).

Hình 1: Cấu trúc liên kết mẫu của bộ định tuyến dự phòng

Cấu hình Backup Router Juniper

Theo tùy chọn, thay vì định cấu hình bộ định tuyến dự phòng ở cấp phân cấp [edit system], bạn có thể sử dụng nhóm cấu hình, như được hiển thị trong quy trình này. Đây là phương pháp hay nhất được khuyến nghị để định cấu hình bộ định tuyến dự phòng, đặc biệt nếu thiết bị có Công cụ định tuyến kép (Routing Engines). Thủ tục này sử dụng các nhóm được gọi là re0 và re1 làm ví dụ.

Để định cấu hình bộ định tuyến dự phòng chạy IPv4:

  1. Bao gồm câu lệnh backup-router ở cấp phân cấp [edit system].
    [edit groups group-name system]
    backup-router address <destination destination-address>;
    

    Ví dụ:

    [edit groups re0 system]
    backup-router 192.168.1.254 destination 172.16.1.0/24;
    
    [edit groups re1 system]
    backup-router 192.168.1.254 destination 172.16.1.0/24;
    
  2. (Tùy chọn) Định cấu hình một tuyến tĩnh đến mạng quản lý.

    Phần mềm chỉ sử dụng bộ định tuyến sao lưu trong quá trình khởi động. Nếu bạn muốn định cấu hình một bộ định tuyến dự phòng để sử dụng sau khi khởi động, bạn có thể thiết lập một static route. Static route có hiệu lực khi rpd đang chạy.

    routing-options {
        static {
            route 172.16.1.0/24 {
                next-hop 192.168.1.254;
                retain;
            }
        }
    }
    
  3. Nếu bạn đã sử dụng một hoặc nhiều nhóm cấu hình, hãy áp dụng các nhóm cấu hình, thay thế tên nhóm thích hợp.

    Ví dụ:

    [edit]
    user@host# set apply-groups [re0 re1]
    
  4. Xác nhận các thay đổi:
    [edit]
    root@# commit
    

Định cấu hình một bộ định tuyến dự phòng chạy IPv6 cho bộ định tuyến

Để định cấu hình thiết bị juniper bộ định tuyến dự phòng chạy IPv6:

  1. Bao gồm câu lệnh inet6-backup-router ở cấp độ phân cấp [edit system].
    [edit groups group-name system]
    inet6-backup-router address <destination destination-address>;
    

    Ví dụ:

    [edit groups re0 system]
    inet6-backup-router 2001:db8:10::1 destination 2001:db8::/48;
    
    [edit groups re1 system]
    inet6-backup-router 2001:db8:10::1 destination 2001:db8::/48;
    
  2. (Tùy chọn) Định cấu hình một tuyến tĩnh đến mạng quản lý.

    Phần mềm chỉ sử dụng bộ định tuyến sao lưu trong quá trình khởi động. Nếu bạn muốn định cấu hình một bộ định tuyến dự phòng để sử dụng sau khi khởi động, bạn có thể thiết lập một tuyến tĩnh. Tuyến tĩnh có hiệu lực khi rpd đang chạy.

    routing-options {
        rib inet6.0 {
            static {
                route 2001:db8::/48 {
                    next-hop 2001:db8:10::1;
                    retain;
                }
            }
        }
    }
    
  3. Nếu bạn đã sử dụng một hoặc nhiều nhóm cấu hình, hãy áp dụng các nhóm cấu hình, thay thế tên nhóm thích hợp.

    Ví dụ:

    [edit]
    user@host# set apply-groups [re0 re1]
    
  4. Xác nhận thay đổi:
    [edit]
    root@# commit
    

Định cấu hình Bộ định tuyến dự phòng cho Thiết bị Dòng SRX

Quy trình này mô tả cách quản lý hai thiết bị Sê-ri SRX ở chế độ cụm khung sử dụng cấu hình bộ định tuyến dự phòng. Địa chỉ bộ định tuyến dự phòng có thể truy cập được và được kết nối trực tiếp với các giao diện quản lý trên cụm khung SRX (fxp0).

Khi bạn định cấu hình bộ định tuyến dự phòng cho các thiết bị Sê-ri SRX ở chế độ cụm khung, cấu hình bộ định tuyến dự phòng chỉ tạo điều kiện truy cập quản lý trên nút dự phòng. Bạn cho phép truy cập vào nút chính thông qua định tuyến trên nút chính. Khi bạn định cấu hình bộ định tuyến dự phòng, Junos OS sẽ đưa một tuyến vào bảng chuyển tiếp trên nút phụ. Bạn không thể xem bảng định tuyến trên nút phụ vì hệ thống con định tuyến không chạy trên nút phụ. Ví dụ này sử dụng các nhóm node0 và node1.

  1. Bao gồm câu lệnh backup-router ở cấp phân cấp [edit system].
    [edit groups group-name system]
    backup-router address <destination destination-address>;
    

    Để định cấu hình phần này của ví dụ, hãy sao chép các lệnh sau, dán chúng vào tệp văn bản, xóa bất kỳ dấu ngắt dòng nào, thay đổi bất kỳ chi tiết nào cần thiết để phù hợp với cấu hình mạng của bạn, sao chép và dán các lệnh vào CLI ở cấp độ phân cấp [edit], và sau đó nhập commit từ configuration mode.

    set groups node0 system host-name Corp-FW0
    set groups node0 system backup-router 192.168.1.254
    set groups node0 system backup-router destination 172.16.1.1/24
    set groups node0 interfaces fxp0 unit 0 family inet address 192.0.2.0/24
    set groups node1 system host-name Corp-FW1
    set groups node1 system backup-router 192.168.1.254
    set groups node1 system backup-router destination 172.16.1.1/24
    set groups node1 interfaces fxp0 unit 0 family inet address 192.0.2.1/24
    set apply-groups "${node}"
    
  2. Xác nhận thay đổi:
    [edit]
    root@# commit
    

Trên đây là hướng dẫn cách cấu hình thiết bị Juniper chúng tôi muốn giới thiệu đến các bạn. Hy vọng bài viết sẽ cung cấp cho các bạn những thông tin bổ ích.

Xem thêm: Cách các ngăn chặn tấn công DDOS

Related Posts

error: Content is protected !!