Juniper

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 32

Prsentation

Avoir des comptences Juniper Junos est un plus pour beaucoup de rseautage personnel,
mme si vous ne travaillez pas tous les jours sur Juniper vitesse, il est trs intressant
d'apprendre et de comparer avec Cisco IOS par exemple. A la fin de la journe, il vous aidera
mieux comprendre les systmes d'exploitation de rseaux et d'largir votre point de vue.
Juniper rend facile pour vous d'tudier leur logiciel en fournissant du matriel gratuitement
(aprs inscription). La documentation de Juniper est gnralement plus facile lire et
comprendre que la documentation Cisco.
Si vous souhaitez valider vos connaissances de Juno, vous pouvez passer la certification
JNCIA-Junos qui est entre au niveau de la certification de Juniper. Il est assez facile de
passer si vous tes srieux ce sujet et lire leur documentation. Pour les professionnels
certifis (Cisco ou autre), la prparation de cette certification devrait vous prendre de
quelques heures (ddi) 1 ou 2 jours au plus.Cette certification est valable pendant 2 ans et
est relativement moins cher que d'autres CERT.
objectifs de l'examen sont les suivants:
Systme d'exploitation Junos Fundamentals
Options de l'interface utilisateur
Junos base de configuration
Suivi et maintien en condition oprationnelle
Fondements de routage
Politique de routage et pare-feu Filtres
Class of Service
Networking Fundamentals
Voir, vraiment rien craindre. Alors que vous pourriez passer cette certification que par la
lecture de docs de Juniper, il est toujours prfrable de comprendre et pratiquer ce que vous
apprenez vraiment! Cela permettra de dfinir la diffrence entre vous et les autres.
Nous sommes d'accord que vous pouvez ne pas avoir accs des routeurs Juniper, c'est l que
GNS3 pntre. Vous pouvez pratiquer tout sur votre ordinateur! Et pour rendre les choses
encore plus facile, nous avons fait quelques exercices pratiques pour vous. En fait, la partie la
plus difficile est que vous devez obtenir votre propre image olive JunOS. Vous pouvez en
crer un en lisant cette faon d' (qui doit tre mis jour et devrait tre bientt, dsol!). Aprs
avoir cr, ajoutez votre image GNS3 et vous tes prt jouer avec JunOS.


Principes de base du systme dexploitation
Cette partie est essentiellement la thorie et la lecture du chapitre 1 du PDF de Juniper (partie
1). C'est seulement ce que vous avez besoin pour l'examen, mais il est intressant d'avoir un
aperu de la faon dont Junos rellement bottes haut.
Tout d'abord, faire votre laboratoire dans GNS3 en connectant 2 routeurs dos dos en
utilisant leur interface em0. Conservez ce laboratoire pour tous vos exercices pour les
chapitres de la partie 1.

Commencez vos routeurs Juniper dans GNS3 et consoler eux. Comme vous l'avez appris en
PDF de Juniper, JunOS est bas sur FreeBSD, un systme d'exploitation UNIX open
source. Cet OS est trs fiable et vous obtenez galement des outils supplmentaires que vous
ne pouvez pas trouver sur Cisco IOS par exemple.
La premire chose que vous devriez voir aprs JunOS dpart, ce sont les modules du noyau en
cours de chargement. Le noyau est la composante de base du systme d'exploitation.
/ Boot / modules / text = if_bge.ko donnes 0xa98c = 0x364 +0 xc syms = [0x4 +0 +0 XD50
x4 +0 xd18]
...
/ Boot / modules / texte mac_runasnonroot.ko = 0x7b4 donnes = 0x4d0 syms = [0x4 +0 +0
x310 x4 +0 x39d]
Ensuite, vous avez une chance de donner des paramtres au noyau afin de changer le
processus de dmarrage par dfaut. Cela peut tre utile pour rcuprer le mot de passe root par
exemple, mais ce n'est pas la seule utilisation. Root est le nom donn au super administrateur
sous UNIX.

Ici vous pouvez simplement attendre quelques secondes ou appuyez sur Entre pour dmarrer
immdiatement, le noyau est alors charg. Il y a un grand nombre d'informations, dont la
plupart ce n'est vraiment pas pertinent, mais certains pourraient tre intressantes, comme la
quantit de mmoire a t dtecte ou d'autres informations de la CPU.
Hit [Entre] pour dmarrer immdiatement, ou la barre d'espace pour l'invite de commande.
Dmarrage [/ kernel] ...
platform_early_bootinit: M / T Series initialisation de dmarrage rapide
Olive CPU
...
Copyright (c) 1996-2010, Juniper Networks, Inc. Tous droits rservs.
Copyright (c) 1992-2006 par le Projet FreeBSD.
...
JUNOS 10.1R1.8 # 0: 2010-02-12 17:15:05 UTC
[email protected] :/ volume/build/junos/10.1/release/10.1R1.8/obj-
i386/bsd/sys/compile/JUNIPER
...
vritable mmoire = 268369920 (255 Mo)
bnficier mmoire = 248840192 (237 Mo)
...
Maintenant, il est temps pour les pilotes charger, ce sont ce que l'OS a besoin d'interface
avec les composants matriels. Ici vous pouvez voir que nos 6 cartes d'interface rseau (em0
EM5) ont t dtects et ont corrects adresses MAC Ethernet, ce qui est bon! Qu'est-ce qu'un
routeur utile si vous n'avez pas les interfaces rseau?

Mise en place d'oprations et attributs interface M / T
platform_mastership_init: Unknown product_type 0x00000001
EM5: bus = 0, device = 8, fonction = 0, l'adresse Ethernet 00: ab: ae: 99: e3: 05
em4: bus = 0, device = 7, fonction = 0, l'adresse Ethernet 00: ab: ae: 99: e3: 04
EM3: bus = 0, device = 6 fonctions = 0, l'adresse Ethernet 00: ab: ae: 99: e3: 03
em2: bus = 0, device = 5, fonction = 0, l'adresse Ethernet 00: ab: ae: 99: e3: 02
em1: bus = 0, device = 4, fonction = 0, l'adresse Ethernet 00: ab: ae: 99: e3: 01
em0: bus = 0, device = 3, fonction = 0, l'adresse Ethernet 00: aa: 00: ca: A4: 00
...
Suivant est JunOS lui-mme, livr dans des emballages diffrents, d'tre charges dans la
mmoire via des disques virtuels (md0, MD1, etc.) Ces forfaits commencent par la lettre J et
nous pouvons deviner leur fonction, comme jkernel, jroute ou jpfe (PFE) qui - si vous vous
rappelez le premier chapitre - est synonyme de Packet Forwarding Engine et est une partie
importante de JunOS.
Mont paquet jBase sur / dev/md0 ...
Vrifi manifeste sign par PackageProduction_10_1_0
Vrifi jboot sign par PackageProduction_10_1_0
Vrifi jBase-10.1R1.8 sign par PackageProduction_10_1_0
Mont paquet jkernel sur / dev/md1 ...
Vrifi manifeste sign par PackageProduction_10_1_0
Vrifi jkernel-10.1R1.8 sign par PackageProduction_10_1_0
Mont paquet jpfe on / dev/md2 ...
Mont paquet jdocs on / dev/md3 ...
Vrifi manifeste sign par PackageProduction_10_1_0
Jdocs-10.1R1.8 vrifis signs par PackageProduction_10_1_0
Mont paquet jroute on / dev/md4 ...
Vrifi manifeste sign par PackageProduction_10_1_0
Vrifi jroute-10.1R1.8 sign par PackageProduction_10_1_0
Mont paquet jcrypto on / dev/md5 ...
Vrifi manifeste sign par PackageProduction_10_1_0
Vrifi jcrypto-10.1R1.8 sign par PackageProduction_10_1_0
Mont paquet jpfe-commun sur / dev/md6
...
Maintenant que JunOS est en mmoire, il est excut et ses modules / drivers charg aussi.
...
ifpfed_ds1e1Loading E1/T1/J1 conducteur
ifpfed_ds3e3Loading le module DS3 NETPFE
ifpfed_eia530 ifpfed_ethLoading le module Ethernet NETPFE
...
Chargement Multilink services module CIP.
Chargement du module NETPFE Platform M & T
...
Votre FreeBSD / JunOS est prt. Si tout s'est bien pass, vous devriez voir une invite de
connexion.

Rendez-vous sur l'interface utilisateur Options et configuration initiale pour commencer
jouer avec votre nouveau laboratoire.

Configuration initiale
Cette page est mettre en pratique ce que vous avez appris en PDF de Juniper (partie 1),
chapitre 2 et 3. Alors maintenant, il est temps de bouger et de vous connecter en tant que root
sans mot de passe.
La premire chose que vous remarquerez est quAmnesiac est le nom d'hte par dfaut. Cela
signifie que nos JunOS est en marche avec la configuration d'usine par dfaut (vous pouvez
utiliser la commande load factory-default en mode de configuration d'avoir un JunOS dans cet
tat).
Vous tes connect en tant que root, vous devriez voir la racine UNIX invite du shell @% o
vous pouvez taper des commandes UNIX comme ls ou ps mais c'est hors de notre porte. Ce
que nous voulons, c'est le mode de fonctionnement prompt root> qui a commenc avec
la CLI commande.
Amnesiac (ttyd0)
Login: root

--- JUNOS 10.1R1.8 construite 2010-02-12 17:15:05 UTC
root @% cli
root>
Tapez show configuration pour afficher la configuration d'usine par dfaut actuel.
root> show configuration
# # Dernier commit: 2011-02-17 00:34:21 UTC par la racine
La version 10.1R1.8;
systme {
syslog {
utilisateur * {
toute situation d'urgence;
}
messages de fichiers {
aucun pravis;
info autorisation;
}
fichier interactif-commandes {
Interactive-commandes tout;
}
}
# # Attention: manquer dclaration obligatoire (s): 'root-authentication'
}
Notez l'avertissement de dclaration obligatoire manquant, cela signifie que vous ne serez pas
en mesure de valider vos modifications jusqu' ce que vous dfinissez un mot de passe root.

Exercice 1 - mot de passe root
Accdez au mode de configuration en utilisant la commande configuration et de tenter de
faire commit la configuration du candidat actuel, puis dfinissez un mot de passe root et
commettre nouveau.
Solution dessous
root> configure
Entering configuration mode

[edit]
root# commit

[edit]
'system'
Missing mandatory statement: 'root-authentication'
error: commit failed: (missing statements)

[edit]
root# set system root-authentication plain-text-password
New password:
Retype new password:

[edit]
root# commit
commit complete

Maintenant votre itinraire JunOS est prt pour une nouvelle commet! Voyons voir si vous
pouvez appliquer la mme configuration sur votre second routeur sans regarder la solution ci-
dessus. Rappelez-vous, vous devez d'abord vous connecter, puis aller en mode oprationnel et
en mode de configuration. La commande pour configurer le mot de passe root commence
avec set system, utilisez ? pour trouver la commande complte. Enfin, n'oubliez pas de valider
ou votre configuration ne sera pas actif!
root# set system ?
Possible completions:
> accounting System accounting configuration
+ apply-groups Groups from which to inherit configuration data
...
> tracing System wide option for remote tracing


Essayez aussi la commande help topic pour afficher les directives d'utilisation (si vous voulez
de l'histoire tout), la commande help referencede pour afficher les informations de synthse
(le plus utile lorsque vous voulez savoir sur les options de la commande) et la commande help
apropos qui affiche la contextes (gnralement fixs commandes) pertinentes au niveau de la
hirarchie de configuration laquelle vous tes actuellement positionn (si vous voulez de
l'aide seulement de votre niveau de hirarchie en cours et rien d'autre).
[edit]
root# help topic system root-authentication
root# help reference system root-authentication
root# help apropos root-authentication

Exercice 2 - nom d'hte
Avez-vous remarqu? Nous avons exactement le mme message sur les deux routeurs, ce qui
est ennuyeux car nous voulons savoir qui est qui. Ajoutons un nom d'hte pour deux
routeurs. Nous allons vous trouver la bonne commande (astuce: utiliser set system ? )
Solution dessous
root# set system host-name JUNOS1
root# set system host-name JUNOS2

Maintenant, comparez la configuration du candidat avec la configuration active en
utilisant show | compare. Le + sont des lignes qui vont tre ajoutes la configuration active
lorsque vous vous engagez et - lignes allez tre enlev. Ceci est trs utile de savoir exactement
ce qui est sur le point d'tre modifi. Faire sur les deux routeurs et commettre.
root# show | compare
[edit system]
+ host-name JUNOS1;

[edit]
root# commit
commit complete

Exercice 3 - rollback
Sur JUNOS2, configurer un faux nom d'hte, rien. Engagez votre configuration et rollback
excelui contenant le bon nom d'hte.
Solution dessous
[edit]
root# set system host-name typo

[edit]
root@JUNOS2# commit
commit complete

[edit]
root@typo# rollback 1
load complete

[edit]
root@typo# show | compare
[edit system]
- host-name typo;
+ host-name JUNOS2;

[edit]

Exercice 4 - diter
Nous allons configurer une adresse IP pour la premire interface sur notre routeur JUNOS1 en
utilisant la commande edit. Placez-vous au niveau suivant: interfaces em0 unit 0 family inet.
em0 est le nom de notre premire interface, donnez-lui l'adresse IP et le masque:
192.168.1.1/24
Solution dessous
[edit]
root@JUNOS1# edit interfaces em0 unit 0 family inet

[edit interfaces em0 unit 0 family inet]
root@JUNOS1# set address 192.168.1.1/24

[edit interfaces em0 unit 0 family inet]
root@JUNOS1# show
address 192.168.1.1/24;

Exercice 5 - up
Remontez 3 niveaux et modifier em1 de la mme faon que em0. Configurez l'adresse IP et le
masque: 10.1.1.1 / 8
Solution dessous
[edit interfaces em0 unit 0 family inet]
root@JUNOS1# up 3

[edit interfaces]
root@JUNOS1# edit em1 unit 0 family inet

[edit interfaces em1 unit 0 family inet]
root@JUNOS1# set address 10.1.1.1/8

Exercice 6 - top & commit vrifier
Aller au niveau suprieur, vrifier votre configuration et de s'engager.
Solution dessous
[edit interfaces em1 unit 0 family inet]
root@JUNOS1# top

[edit]
root@JUNOS1# commit check
configuration check succeeds

[edit]
root@JUNOS1# commit
commit complete

Exercice 7 - set vs edit et mettre
Configurez l'interface em0 (unit logique 0, la famille IPv4) sur JUNOS2 routeur avec une
adresse IP 192.168.1.2/24 utilisant la commande set de niveau suprieur (souvenez-vous ? est
votre ami).
Solution dessous
[edit]
root@JUNOS2# set interfaces em0 unit 0 family inet address 192.168.1.2/24
Configurez l'adresse IP 10.1.1.2 / 8 em1 en vous plaant au dernier niveau l'aide utilis edit.
Solution dessous
[edit]
root@JUNOS2# edit interfaces em1 unit 0 family inet

[edit interfaces em1 unit 0 family inet]
root@JUNOS2# set address 10.1.1.2/8

Exercice 8 - telnet
Maintenant, nous tenons configurer Telnet (SSH serait un meilleur choix car il est fix) pour
configurer distance JUNOS2 de JUNOS1.Vrifiez d'abord que rien n'est configur
dans system services level tout en restant votre niveau actuel (astuce: utiliser top ).Puis
modifier ce niveau sans avoir revenir au plus haut niveau. Configurer telnet avec le jeu de
commandes, quitter au plus haut niveau, vrifiez que vous tes sur le point de changer et enfin
engager.
Solution dessous
[edit interfaces em1 unit 0 family inet]
root@JUNOS2# top show system services

[edit interfaces em1 unit 0 family inet]
root@JUNOS2# top edit system services

[edit system services]
root@JUNOS2# set telnet

[edit system services]
root@JUNOS2# exit

[edit]
root@JUNOS2# show | compare
[edit system]
+ services {
+ telnet;
+ }
[edit]
+ interfaces {
+ em0 {
+ unit 0 {
+ family inet {
+ address 192.168.1.2/24;
+ }
+ }
+ }
+ em1 {
+ unit 0 {
+ family inet {
+ address 10.1.1.2/8;
+ }
+ }
+ }
+ }

[edit]
root@JUNOS2# commit
commit complete

Ajouter un compte d'utilisateur pour accder ce dispositif en utilisant telnet et nouveau
commettre.
Solution dessous
[Modifier]
root @ JUNOS2 # set system login user junuser classe authentification super-utilisateur
plain-text-password
Exercice 9 - course
Retour JUNOS1, sans quitter le mode configuration, ping et telnet pour JUNOS2 (adresse
IP: 192.168.1.2). Utilisez Ctrl + C pour arrter ping. Utilisez le nom d'utilisateur et mot de
passe que vous avez prcdemment cr pour authentifier avec JUNOS2.
Solution dessous
[edit]
root@JUNOS1# run ping 192.168.1.2
PING 192.168.1.2 (192.168.1.2): 56 data bytes

64 bytes from 192.168.1.2: icmp_seq=3 ttl=64 time=1.019 ms
64 bytes from 192.168.1.2: icmp_seq=4 ttl=64 time=0.940 ms
^C
--- 192.168.1.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.940/4.298/17.504/6.603 ms

[edit]
root@JUNOS1# run telnet 192.168.1.2
Trying 192.168.1.2...
Connected to 192.168.1.2.
Escape character is '^]'.

JUNOS2 (ttyp0)
login: junuser
Password:

--- JUNOS 10.1R1.8 built 2010-02-12 17:15:05 UTC
junuser@JUNOS2> configure
Entering configuration mode
Users currently editing the configuration:
root terminal d0 (pid 1392) on since 2011-12-15 18:57:48 UTC, idle 00:01:45

Exercice 10 - annulation automatique
De votre session telnet sur JUNOS2, supprimer l'nonc telnet sous les services system level
et s'engager dans un chemin que si vous perdez votre connexion JUNOS2, la configuration
est automatiquement annule aprs 1 minute. Quitter les deux modes de configuration et
oprationnelles pour revenir JUNOS1. Essayez de telnet 192.168.1.2 nouveau, ce qui ne
devrait pas travailler. Attendez environ 2 minutes (prenez une pause caf) et ressayez. Cette
fois, il devrait fonctionner comme votre engagement prcdent aurait d tre annules.
Solution dessous
[edit]
junuser@JUNOS2# delete system services telnet

[edit]
junuser@JUNOS2# commit confirmed 1
commit confirmed will be automatically rolled back in 1 minutes unless confirmed
commit complete
# commit confirmed will be rolled back in 1 minute

[edit]
junuser@JUNOS2# exit
Exiting configuration mode
# commit confirmed will be rolled back in 1 minute
junuser@JUNOS2> exit

Exercice 11 - copie et renommer
Copier la configuration em1 em2 et renommer em2 EM3. Dsactiver EM3. Aller
interfaces levels et afficher la configuration de candidat. Notez la inactif: EM3 . Enfin
commit.
Solution dessous
[edit]
root@JUNOS1# copy interfaces em1 to em2

[edit]
root@JUNOS1# rename interfaces em2 to em3

[edit]
root@JUNOS1# deactivate interfaces em3

[edit]
root@JUNOS1# edit interfaces

[edit interfaces]
root@JUNOS1# show
em0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
em1 {
unit 0 {
family inet {
address 10.1.1.1/8;
}
}
}
inactive: em3 {
unit 0 {
family inet {
address 10.1.1.1/8;
}
}
}

[edit interfaces]
root@JUNOS1# commit
commit complete

Changer EM3 adresse IP de 10.1.1.1 / 8 10.1.1.3 / 8 (astuce: utilisez la commande rename
). Peut-tre que vous aimeriez voir quelles commandes produite cette configuration
candidat? Utilisez show et un tuyau pour le savoir.
Solution dessous
[edit interfaces]
root@JUNOS1# rename em3 unit 0 family inet address 10.1.1.1/8 to address 10.1.1.3/8

[edit interfaces]
root@JUNOS1# show | display set
set interfaces em0 unit 0 family inet address 192.168.1.1/24
set interfaces em1 unit 0 family inet address 10.1.1.1/8
set interfaces em3 unit 0 family inet address 10.1.1.3/8
deactivate interfaces em3

Exercice 12 - annoter
Ajouter une annotation disant que EM3 est inactif. En utilisant une seule commande,
s'engager avec un commentaire dcrivant ce que vous venez de faire et revenir au mode
oprationnel.
Solution dessous
[edit interfaces]
root@JUNOS1# annotate em3 "Inactive interface"

[edit interfaces]
root@JUNOS1# commit comment "Added inactive em3 interface" and-quit
commit complete
Exiting configuration mode

root@JUNOS1>

Comparez la configuration active avec la prcdente en utilisant la commande show
configuration .
Solution dessous
root@JUNOS1> show configuration | compare rollback 1
[edit interfaces]
+ /* Inactive interface */
+ inactive: em3 {
+ unit 0 {
+ family inet {
+ address 10.1.1.3/8;
+ }
+ }
+ }

Exercice 13 - sauvetage
Vous savez que votre configuration fonctionne bien (connectivit de base est tabli par
exemple). Par consquent, vous voulez faire la configuration de secours en cas de problme,
ce qui permettra d'acclrer la reprise. Crez la configuration de sauvetage et de le restaurer.
Solution dessous
root@JUNOS1> request system configuration rescue save
root@JUNOS1> configure
Entering configuration mode

root@JUNOS1# rollback rescue
load complete

[edit]
root@JUNOS1# commit
commit complete

Exercice 14 - Adresse IP prfr
Configurer une adresse IP supplmentaire (192.168.1.3/24) pour em0 et configurer votre
routeur pour qu'il utilise cette adresse IP comme source lors de l'envoi de pings
JUNOS2. S'engager, quitter le mode de fonctionnement et de vrifier avec le show
interfaces commande qui em0 dispose de 2 adresses IP.
Solution dessous
[edit]
root@JUNOS1# set interfaces em0 unit 0 family inet address 192.168.1.3/24 preferred

[edit]
root@JUNOS1# show | compare
[edit interfaces em0 unit 0 family inet]
address 192.168.1.1/24 { ... }
+ address 192.168.1.3/24 {
+ preferred;
+ }

[edit]
root@JUNOS1# commit
commit complete

[edit]
root@JUNOS1# exit
Exiting configuration mode

root@JUNOS1> show interfaces em0 terse
Interface Admin Link Proto Local Remote
em0 up up
em0.0 up up inet 192.168.1.1/24
192.168.1.3/24

Allons voir ce que JUNOS1 peut effectivement envoyer des paquets l'aide de l'adresse de
source IP 192.168.1.3. Sur JUNOS2, en mode oprationnel, utilisez la commande suivante
pour surveiller le trafic vers et partir du routeur: monitor traffic interface em0 (Ctrl + C
pour quitter). Puis ping partir JUNOS1 192.168.1.2. Vous devriez voir que vous recevez
les paquets de 192.168.1.3 (192.168.1.3> 192.168.1.2)
root@JUNOS1> ping 192.168.1.2
PING 192.168.1.2 (192.168.1.2): 56 data bytes
64 bytes from 192.168.1.2: icmp_seq=0 ttl=64 time=12.510 ms
64 bytes from 192.168.1.2: icmp_seq=1 ttl=64 time=1.665 ms

root@JUNOS2> monitor traffic interface em0
verbose output suppressed, use <detail> or <extensive> for full protocol decode
Address resolution is ON. Use <no-resolve> to avoid any reverse lookup delay.
Address resolution timeout is 4s.
Listening on em0, capture size 96 bytes
04:37:18.543830 192.168.1.3 > 192.168.1.2: ICMP echo request, id 40718, seq 12, length 64
04:37:18.544023 192.168.1.2 > 192.168.1.3: ICMP echo reply, id 40718, seq 12, length 64

la configuration du systme secondaire

Exercice 1 - Syslog
Sur JUNOS2, mettre en place un fichier syslog pour enregistrer les modifications de
configuration (indice: systme syslog ). S'engager et quitter.
Solution dessous
[edit]
root@JUNOS2# set system syslog file config-changes change-log info

[edit]
root@JUNOS2# commit and-quit
commit complete
Exiting configuration mode
Maintenant, retournez au mode de configuration et de changer junuser de donner des
autorisations de conduite au lieu de super-utilisateur. Encore une fois, commettre et-
quit. Utilisation de la commande show, afficher le journal li votre engagement prcdent.
Solution dessous
[edit]
root@JUNOS2# set system login user junuser class operator

[edit]
root@JUNOS2# commit and-quit
commit complete
Exiting configuration mode

root@JUNOS2> show log config-changes
Dec 16 05:06:24 JUNOS2 mgd[1392]: UI_CFG_AUDIT_SET: User 'root' set:
[system login user junuser class] "super-user -> "operator"
Utilisez la commande help syslog pour en savoir plus sur le code de message
(UI_CFG_AUDIT_SET).
Solution dessous
root@JUNOS2> help syslog UI_CFG_AUDIT_SET
Name: UI_CFG_AUDIT_SET
Message: User '<username>' <action>: <pathname> <delimiter><data> ->
"<value>"
Help: Value has been set for configuration object
Description: The indicated user set a value for a configuration object,
as
indicated.
Type: Event: This message reports an event, not an error
Severity: info
De JUNOS1, telnet JUNOS2 (192.168.1.2), vous connecter et commencer surveiller
le journal des modifications fichier en temps rel.
Solution dessous
root@JUNOS1> telnet 192.168.1.2
Trying 192.168.1.2...
Connected to 192.168.1.2.
Escape character is '^]'.

JUNOS2 (ttyp0)
login: junuser
Password:

--- JUNOS 10.1R1.8 built 2010-02-12 17:15:05 UTC
junuser@JUNOS2> monitor start config-changes
Utilisation de la console (connect avec root) sur JUNOS2, supprimer la configuration em1 et
annuler la configuration de votre candidat actuel en utilisant
le rollback commande. L'oprateur connect via telnet aurait d tre inform de ce qui venait
de se passer. Arrtez tous les contrles et de sortie.
Solution dessous
[edit]
root@JUNOS2# delete interfaces em1

[edit]
root@JUNOS2# rollback 0
load complete

junuser@JUNOS2>
*** config-changes ***
Dec 16 05:16:53 JUNOS2 mgd[1392]: UI_CFG_AUDIT_OTHER: User 'root' delete:
[interfaces em1]
Dec 16 05:17:12 JUNOS2 mgd[1392]: UI_CFG_AUDIT_OTHER: User 'root'
rollback: /config/juniper.conf
...

junuser@JUNOS2> monitor list
monitor start "config-changes" (Last changed Dec 16 05:17:13)

junuser@JUNOS2> monitor stop
junuser@JUNOS2> exit

Exercice 2 - FTP et sauvegarde de la configuration
automatise
Sur JUNOS2, activer FTP et commit (conseil: utiliser les services du systme de consigne ).
Solution dessous
[edit]
root@JUNOS2# set system services ftp

[edit]
root@JUNOS2# commit
commit complete
Retour JUNOS1, le configurer pour sauvegarder toute nouvelle configuration qui devient
actif sur JUNOS2 (192.168.1.2) utilisant FTP ftp:// [email protected] (indice: la
configuration se fait en configuration systme d'archivage niveau). S'engager appliquer une
fois la configuration de votre candidat, l'interface de suppression EM3 et commettre
nouveau. Aprs quelques secondes, votre nouvelle configuration doit tre sauvegarde sur
JUNOS2 (utiliser la liste de fichier / var / home / junuser commande pour vrifier).
Solution dessous
[edit]
root@JUNOS1# edit system archival configuration

[edit system archival configuration]
root@JUNOS1# set transfer-on-commit
root@JUNOS1# set archive-sites ftp://[email protected] password
mypassword

[edit system archival configuration]
root@JUNOS1# commit
commit complete

[edit system archival configuration]
root@JUNOS1# top delete interfaces em3

[edit system archival configuration]
root@JUNOS1# commit
commit complete

[edit]
root@JUNOS1# run show log messages | match juniper.conf
Dec 16 07:06:20 JUNOS1 logger: transfer-file: Transferred
/var/transfer/config/JUNOS1_juniper.conf.gz_20111216_070529

root@JUNOS2> file list /var/home/junuser
/var/home/junuser:
.ssh/
JUNOS1_juniper.conf.gz_20111216_070459


: PROCHAINE Surveillance et maintenance oprationnelle

Pour le dernier chapitre de la premire PDF de Juniper, nous allons devoir regarder de plus
prs comment obtenir plus d'informations sur Juno et aussi pratique, la procdure de
rcupration de mot de passe qui sera plus tt et plus tard tre utile pour vous.
Exercice 1 - messages de dmarrage
Vous rappelez-vous le processus de dmarrage dans le chapitre 1? Eh bien vous avez une
commande pour voir les messages de nouveau (astuce: utiliser la commande show system).
Solution dessous
root@JUNOS1# run show system boot-messages
Copyright (c) 1996-2010, Juniper Networks, Inc.
...
ad1: 1024MB <QEMU HARDDISK 0.11.0> at ata0-slave WDMA2
Trying to mount root from ufs:/dev/ad0s1a
vn_read_compressed_block: invalid block index 550

Exercice 2 - paquets Junos
Toujours sur le processus de dmarrage, nous avons vu que les paquets Junos sont chargs sur
des disques de mmoire virtuelle (vous pouvez encore voir que l'utilisation de la
commande show system stockage). Trouver la commande qui liste tous ces paquets, y
compris leurs versions.
Solution dessous
root@JUNOS1> show version
Hostname: JUNOS1
Model: olive
JUNOS Base OS boot [10.1R1.8]
JUNOS Base OS Software Suite [10.1R1.8]
JUNOS AppId Services [10.1R1.8]
JUNOS IDP Services [10.1R1.8]
JUNOS Routing Software Suite [10.1R1.8]

Exercice 3 - interfaces rseau
Maintenant montrer toutes les interfaces configures sur JUNOS1 (quivalent show ip
interface brief sur Cisco IOS), puis utiliser une commande pour afficher un maximum de
dtails pour l'interface em0.
Solution dessous
root@JUNOS1> show interfaces terse
Interface Admin Link Proto Local Remote
em0 up up
em0.0 up up inet 192.168.1.1/24
192.168.1.3/24
...

root@JUNOS1> show interfaces em0 extensive
Physical interface: em0, Enabled, Physical link is Up
Interface index: 8, SNMP ifIndex: 17, Generation: 134
Type: Ethernet, Link-level type: Ethernet, MTU: 1514, Clocking:
...

Exercice 4 - moniteur
Jouons un peu plus avec la commande monitor interface traffic. Sur JUNOS2, de surveiller
tout le trafic de l'interface (statistiques) en temps rel. De JUNOS1 ping JUNOS2
(192.168.1.2) et vrifier les compteurs d'incrmentation.
Solution dessous
root@JUNOS2> monitor interface traffic
Interface Link Input packets (pps) Output packets (pps)
...
em0 Up 1476 1302
...

Exercice 5 - rcupration de mot de passe
Maintenant, supposons que vous avez oubli le mot de passe root pour JUNOS2 ou peut-tre
vous avez vraiment, ne paniquez pas, vous allez faire une rcupration de mot de
passe. D'abord, vous redmarrer le systme et tre prt frapper espace pour se rendre
l'invite de commande du noyau. Ensuite, suivez la procdure explique dans la
documentation.
root@JUNOS2> request system reboot
Reboot the system ? [yes,no] (no) yes
...

Solution dessous
Hit [Entre] pour dmarrer immdiatement, ou la barre d'espace pour l'invite de commande.
<espace>
Type '?' pour une liste de commandes, "aider" pour une aide plus dtaille.
OK boot-s
...
Entrez le chemin complet du rservoir ou du valorisation pour la rcupration de mot de
passe root ou de retour pour / bin / sh: reprise
...
NOTE: Une fois dans la CLI, vous devrez passer en mode de configuration l'aide
REMARQUE: la commande configure pour faire les modifications ncessaires. Par
exemple,
REMARQUE: pour rinitialiser le mot de passe root, tapez:
Remarque: configurez
NOTE: set systme racine authentification en texte clair-passe
NOTE: (entrez le nouveau mot de passe si demand)
NOTE: commettre
NOTE: exit
NOTE: exit
NOTE: Lorsque vous quittez la CLI, il vous sera demand si vous voulez redmarrer
REMARQUE: le systme

Starting CLI ...
root> configure
Entering configuration mode

[edit]
root# set system root-authentication plain-text-password
New password:
Retype new password:

[edit]
root# commit
error: could not open database: /var/run/db/juniper.data: No such file or directory
error: Database open failed for file '/var/run/db/juniper.data': No such file or directory
commit complete

[edit]
root@JUNOS2# exit
Exiting configuration mode

root@JUNOS2> exit
Reboot the system? [y/n] y

Bravo, vous avez termin tous les exercices pour le premier PDF de Juniper, maintenant il est
temps d'aller dans des trucs plus srieux avec le second PDF et fondamentaux de routage


Configuration des interfaces
A partir de la deuxime PDF de Juniper, nous pouvons faire un nouveau laboratoire d'essais
pour les 3 prochains chapitres. Ce laboratoire est un peu plus avanc que le prcdent afin de
tester le protocole de routage OSPF. Vous aurez besoin de 3 routeurs Juniper, voici les liens:
JUNOS1, interface em0 <-> JUNOS2, interface em0
JUNOS1, interface em1 <-> JUNOS2, interface em1
JUNOS1, interface em4 <-> JUNOS3, interface em4
JUNOS2, interface em3 <-> JUNOS3, interface em3
Assurez-vous que les routeurs ont une configuration par dfaut (utilisez la load factory-default
command si vous devez). Rglez ensuite le nom d'hte, mot de passe root et les adresses IP de
chaque routeur, pour gagner du temps, vous pouvez copier et coller les commandes suivantes
(n'oubliez pas de commettre):

JUNOS1
set system host-name JUNOS1
set interfaces em0 unit 0 family inet address 172.30.25.2/30
set interfaces em1 unit 0 family inet address 172.30.25.6/30
set interfaces em3 unit 0 family inet address 192.168.1.1/24
set interfaces em4 unit 0 family inet address 172.30.25.9/30
set interfaces lo0 unit 0 family inet address 10.1.1.1/24
set system root-authentication plain-text-password
JUNOS2
set system host-name JUNOS2
set interfaces em0 unit 0 family inet address 172.30.25.1/30
set interfaces em1 unit 0 family inet address 172.30.25.5/30
set interfaces em3 unit 0 family inet address 172.30.25.13/30
set interfaces lo0 unit 0 family inet address 10.2.2.2/24
set system root-authentication plain-text-password
JUNOS3
set system host-name JUNOS3
set interfaces lo0 unit 0 family inet address 10.3.3.3/24
set interfaces em3 unit 0 family inet address 172.30.25.14/30
set interfaces em4 unit 0 family inet address 172.30.25.10/30
set system root-authentication plain-text-password
Si tout s'est bien pass, la topologie de votre nouveau laboratoire devrait tre comme dans
l'image ci-dessous. S'il vous plat lire le premier chapitre de la deuxime PDF de Juniper
avant de poursuivre

Exercice 1 - Routage Statique
Sur JUNOS1, configurer une route statique par dfaut (0.0.0.0 / 0) au saut suivant
172.30.25.1.
Solution dessous
[edit]
root@JUNOS1# set routing-options static route 0.0.0.0/0 next-hop 172.30.25.1
Ajouter une seconde route statique par dfaut avec une prfrence de 7 next-hop
172.30.25.5 qui devrait tre utilis comme une sauvegarde (route statique flottante) et
commis.
[edit]
root@JUNOS1# set routing-options static route 0.0.0.0/0 qualified-next-hop 172.30.25.5
preference 7

[edit]
root@JUNOS1# commit
commit complete

Nous allons vrifier que tout fonctionne comme prvu:
root@JUNOS1# run show route
inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

0.0.0.0/0 *[Static/5] 00:01:54
> to 172.30.25.1 via em0.0
[Static/7] 00:00:13
> to 172.30.25.5 via em1.0
...

[edit]
root@JUNOS1# run ping 10.2.2.2
PING 10.2.2.2 (10.2.2.2): 56 data bytes
64 bytes from 10.2.2.2: icmp_seq=0 ttl=64 time=1.650 ms
64 bytes from 10.2.2.2: icmp_seq=1 ttl=64 time=1.272 ms

root@JUNOS2# run monitor traffic interface em0
...
19:33:03.526742 172.30.25.2 > 10.2.2.2: ICMP echo request, id 16648, seq 0, length 64

[edit]
root@JUNOS1# deactivate interfaces em0

[edit]
root@JUNOS1# commit
commit complete

[edit]
root@JUNOS1# run ping 10.2.2.2
PING 10.2.2.2 (10.2.2.2): 56 data bytes
64 bytes from 10.2.2.2: icmp_seq=0 ttl=64 time=3.247 ms
64 bytes from 10.2.2.2: icmp_seq=1 ttl=64 time=0.658 ms

[edit]
root@JUNOS2# run monitor traffic interface em1
...
19:35:30.376370 172.30.25.6 > 10.2.2.2: ICMP echo request, id 14090, seq 7, length 64

Exercice 2 - routage OSPF
Configurez le routage OSPF sur toutes les interfaces de connexion des routeurs et leurs
bouclages mais aucune contigut doit tre form sur les interfaces de raccordement au sous-
rseau 172.30.25.0/30 (172.30.25.1 et 172.30.25.2).
Solution dessous
JUNOS1
set protocols ospf area 0.0.0.0 interface em0.0 passive
set protocols ospf area 0.0.0.0 interface em1.0
set protocols ospf area 0.0.0.0 interface lo0.0
set protocols ospf area 0.0.0.0 interface em3.0
set protocols ospf area 0.0.0.0 interface em4.0
JUNOS2
set protocols ospf area 0.0.0.0 interface em0.0 passive
set protocols ospf area 0.0.0.0 interface em1.0
set protocols ospf area 0.0.0.0 interface lo0.0
set protocols ospf area 0.0.0.0 interface em3.0
JUNOS3
set protocols ospf area 0.0.0.0 interface em3.0
set protocols ospf area 0.0.0.0 interface em4.0
set protocols ospf area 0.0.0.0 interface lo0.0

Nous allons vrifier que tout fonctionne comme prvu:
[edit]
root@JUNOS1# run show ospf neighbor
Address Interface State ID Pri Dead
172.30.25.5 em1.0 Full 10.2.2.2 128 34
172.30.25.10 em4.0 Full 10.3.3.3 128 32

[edit]
root@JUNOS2# run show ospf neighbor
Address Interface State ID Pri Dead
172.30.25.6 em1.0 Full 10.1.1.1 128 36
172.30.25.14 em3.0 Full 10.3.3.3 128 38

[edit]
root@JUNOS3# run show ospf neighbor
Address Interface State ID Pri Dead
172.30.25.13 em3.0 Full 10.2.2.2 128 36
172.30.25.9 em4.0 Full 10.1.1.1 128 35

root@JUNOS3# run show route protocol ospf
...
10.1.1.1/32 *[OSPF/10] 00:04:11, metric 1
...
10.2.2.2/32 *[OSPF/10] 00:04:11, metric 1
...
192.168.1.0/24 *[OSPF/10] 00:00:02, metric 2
> to 172.30.25.9 via em4.0

root@JUNOS3# run traceroute 192.168.1.1
traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 40 byte packets
1 192.168.1.1 (192.168.1.1) 1.611 ms 0.588 ms 1.362 ms

[edit]
root@JUNOS3# deactivate interfaces em4

[edit]
root@JUNOS3# commit
commit complete

[edit]
root@JUNOS3# run traceroute 192.168.1.1

traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 40 byte packets
1 172.30.25.13 (172.30.25.13) 2.316 ms 1.479 ms 0.882 ms
2 192.168.1.1 (192.168.1.1) 1.283 ms 1.300 ms 1.129 ms
Finally, dont forget to reactivate interface em4 and commit:
[edit]
root@JUNOS3# activate interfaces em4

[edit]
root@JUNOS3# commit
commit complete

Filtrage et pare-feu
Nous supposons que vous avez lu le chapitre 2 de la deuxime PDF de Juniper afin que vous
puissiez pratiquer la politique de routage et de filtres de pare-feu. D'abord, nous allons
commencer avec une simple redistribution de la route suivie par un filtre de pare-feu pour
restreindre l'accs telnet.
Exercice 1 - redistribution de route par dfaut dans OSPF
Crer une politique visant redistribuer la route par dfaut existant (0.0.0.0 / 0) sur JunOS1
dans OSPF afin que d'autres routeurs peuvent utiliser.
Solution dessous
[edit]
root@JUNOS1# edit policy-options

[edit policy-options]
root@JUNOS1# set policy-statement default-static term accept-default-static from protocol
static

[edit policy-options]
root@JUNOS1# set policy-statement default-static term accept-default-static from route-filter
0.0.0.0/0 exact

[edit policy-options]
root@JUNOS1# set policy-statement default-static term accept-default-static then accept

[edit policy-options]
root@JUNOS1# show
policy-statement default-static {
term accept-default-static {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then accept;
}
}

[edit policy-options]
root@JUNOS1# top edit protocols ospf

[edit protocols ospf]
root@JUNOS1# set export default-static

[edit]
root@JUNOS1# commit
JUNOS1 annonce la route par dfaut dans OSPF, vrifiez que JUNOS3 peut effectivement
voir.
root@JUNOS3# run show route protocol ospf
inet.0: 15 destinations, 15 routes (15 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[OSPF/150] 00:00:05, metric 0, tag 0 to 172.30.25.9 via em4.0

Exercice 2 - filtrage pare-feu
Pour effectuer cet exercice, il faut activer le service telnet sur JUNOS1.
[edit]
root@JUNOS1# set system services telnet

[edit]
root@JUNOS1# set system login user junuser class super-user authentication plain-text-
password

[edit]
root@JUNOS1# commit
commit complete

Test du service de JUNOS3 utilisant le loopback0 que l'interface de la source.
[edit]
root@JUNOS3# run telnet 10.1.1.1 interface lo0
Trying 10.1.1.1...
Connected to 10.1.1.1.
Escape character is '^]'.
JUNOS1 (ttyp0)
login: junuser
Password:

--- JUNOS 10.1R1.8 built 2010-02-12 17:15:05 UTC

junuser@JUNOS1> exit
Connection closed by foreign host.
Connexion ferme par hte tranger.
Maintenant, ajoutez un filtre de pare-feu pour permettre l'accs telnet JUNOS3 loopback0
interface (10.3.3.3) seulement. Vous devez dfinir le filtre de pare-feu, une liste de prfixes et
appliquer le filtre sur le loopback0 de JUNOS1.
Solution dessous
[edit]
root@JUNOS1# edit firewall filter limit-telnet-access

[edit firewall filter limit-telnet-access]
root@JUNOS1# set term telnet-accept from source-prefix-list trusted

[edit firewall filter limit-telnet-access]
root@JUNOS1# set term telnet-accept from protocol tcp

[edit firewall filter limit-telnet-access]
root@JUNOS1# set term telnet-accept from destination-port telnet

[edit firewall filter limit-telnet-access]
root@JUNOS1# set term telnet-accept then accept

[edit firewall filter limit-telnet-access]
root@JUNOS1# set term telnet-reject from protocol tcp

[edit firewall filter limit-telnet-access]
root@JUNOS1# set term telnet-reject from destination-port telnet

[edit firewall filter limit-telnet-access]
root@JUNOS1# set term telnet-reject then discard

[edit firewall filter limit-telnet-access]
root@JUNOS1# set term telnet-reject then log

[edit firewall filter limit-telnet-access]
root@JUNOS1# set term else-accept then accept

[edit firewall filter limit-telnet-access]
root@JUNOS1# show
term telnet-accept {
from {
source-prefix-list {
trusted; ## 'trusted' is not defined
}
protocol tcp;
destination-port telnet;
}
then accept;
}
term telnet-reject {
from {
protocol tcp;
destination-port telnet;
}
then {
discard;
}
}
term else-accept {
then accept;
}

[edit firewall filter limit-telnet-access]
root@JUNOS1# top edit policy-options

[edit policy-options]
root@JUNOS1# set prefix-list trusted 10.3.3.3

[edit policy-options]
root@JUNOS1# top set interfaces lo0 unit 0 family inet filter input limit-telnet-access
Voyons maintenant nous ne pouvons connecter uniquement partir de loopback0 interface
JUNOS3. Regardez aussi le journal du pare-feu sur JUNOS1.
root@JUNOS2# run telnet 10.1.1.1 interface lo0
Trying 10.1.1.1...
^C

[edit]
root@JUNOS3# run telnet 10.1.1.1 interface lo0
Trying 10.1.1.1...
Connected to 10.1.1.1.
Escape character is '^]'.

JUNOS1 (ttyp0)
login:

root@JUNOS1# run show firewall log
Log :
Time Filter Action Interface Protocol Src Addr Dest Addr
01:42:37 limit-telnet-access D em1.0 TCP 10.2.2.2 10.1.1.1
01:42:33 limit-telnet-access D em1.0 TCP 10.2.2.2 10.1.1.1
01:42:29 limit-telnet-access D em1.0 TCP 10.2.2.2 10.1.1.1
01:42:25 limit-telnet-access D em1.0 TCP 10.2.2.2 10.1.1.1
Qualit de service
Pour ce dernier chapitre, vous allez marquer un peu de trafic.
Exercice - paquets de marquage
Votre but est de crer un filtre qui vous appliquerez sur em4 interface JUNOS1 (entre). Ce
filtre va marquer tous les paquets provenant 10.3.3.0/24 avec acclr-forwarding :expedited-
forwarding (EF) DSCP.
Solution dessous
firewall {
family inet {
filter apply-cos {
term from-JUNOS3 {
from {
source-address {
10.3.3.0/24;
}
}
then {
forwarding-class expedited-forwarding;
accept;
}
}
term default {
then accept;
}
}
}
em4 {
unit 0 {
family inet {
filter {
input apply-cos;
}
address 172.30.25.9/30;
}
}
}

Vous aimerez peut-être aussi