Dùng cáp console nối với cổng console trên Juniper SRX để bắt kết nối tới thiết bị.
Nếu thành công bạn sẽ thấy màn hình yêu cầu nhập username và password để login vào hệ thống.
[TABLE="class: grid, width: 800"]
[TR]
[TD]==============================================
Amnesiac (ttyd0)
login: root
--- JUNOS 12.1X47-D10.4 built 2014-08-14 22:59:01 UTC
root@%
root@% cli
root> configure
Entering configuration mode
Users currently editing the configuration:
root terminal v0 (pid 1229) on since 2014-10-07 11:30:52 UTC, idle 00:01:01
[edit]
[edit]
root# show
## Last changed: 2014-10-07 11:29:53 UTC
version 12.1X47-D10.4;
system {
interfaces {
security {
[edit]
root#[/TD]
[TD]
+login vào hệ thống (mặc định password của user root là “password rỗng”
+Vào mod cli
+Vào mod config
+Show tất cả cấu hình
+Mặc định các dịch ssh được enable;
dịch vụ web-management được enable và chỉ cho phép
truy cập http vào cổng ge-0/0/0.0
+Mặc định cổng ge-0/0/0 cho phép nhận ip động, các cổng còn lại thì ko
+Mặc định đã enable các tính năng chống dos như ping of death, tear-drop, sys-flood, land
+Mặc định cho phép truy cập đối với các PC trong cùng zone trust
+Mặc định cho phép truy cập từ zone trust tới zone untrust
+Mặc định cấm truy cập từ zone untrust tới zone trust
Mặc đinh zone trust, untrust đã được tạo sẵn
zone trust tương tự như Inside, zone untrust tương tự như Outside bên ASA
+zone trust:
+zone untrust:
cổng ge-0/0/0.0 thuộc zone untrust và chỉ cho phép các dịch vụ http, https, ssh, telnet, dhcp được phép truy cập vào[/TD]
[/TR]
[/TABLE]
Mặc định cổng đầu tiên ge-0/0/0 thuộc zone untrust, và cho phép các traffic dhcp http https ssh telnet truy cập vào
và được gán địa chỉ IP mặc định là 192.168.1.1/24
Các cổng tiếp ge-0/0/1, ge-0/0/2,..., chưa được gán cho bất kỳ zone nào,và ko cho phép bất traffic nào truy cập vào, và được gán địa chỉ IP mặc định là 192.168.2.1/24, 192.168.3.1/24,....
[TABLE="class: grid, width: 800"]
[TR]
[TD]root> show interfaces ge-0/0/0 brief
Physical interface: ge-0/0/0, Enabled, Physical link is Up
=Link-level type: Ethernet, MTU: 1514, Speed: 1000mbps, Loopback: Disabled,
=Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled,
=Remote fault: Online
=Device flags : Present Running
=Interface flags: SNMP-Traps Internal: 0x4000
=Link flags : None
=Logical interface ge-0/0/0.0
==Flags: SNMP-Traps 0x4000 Encapsulation: ENET2
==Security: Zone: untrust
==Allowed host-inbound traffic : dhcp http https ssh telnet
==inet 192.168.1.1/24
root> show interfaces ge-0/0/1 brief
Physical interface: ge-0/0/1, Enabled, Physical link is Up
=Link-level type: Ethernet, MTU: 1514, Speed: 1000mbps, Loopback: Disabled,
=Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled,
=Remote fault: Online
=Device flags : Present Running
=Interface flags: SNMP-Traps Internal: 0x4000
=Link flags : None
=Logical interface ge-0/0/1.0
==Flags: SNMP-Traps 0x4000 Encapsulation: ENET2
==Security: Zone: Null
==inet 192.168.2.1/24
root> show interfaces ge-0/0/2 brief
Physical interface: ge-0/0/2, Enabled, Physical link is Up
=Link-level type: Ethernet, MTU: 1514, Speed: 1000mbps, Loopback: Disabled,
=Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled,
=Remote fault: Online
=Device flags : Present Running
=Interface flags: SNMP-Traps Internal: 0x4000
=Link flags : None
=Logical interface ge-0/0/2.0
==Flags: SNMP-Traps 0x4000 Encapsulation: ENET2
==Security: Zone: Null
==inet 192.168.3.1/24
[/TD]
[/TR]
[/TABLE]
Bạn lấy 1 PC kết nối với cổng ge-0/0/0 của Juniper SRX, và gán địa IP cho card mạng của PC thuộc network 192.168.1.0/24 (vi dụ: 192.168.1.100/24) bạn ko thể ping tới địa chỉ 192.168.1.1, nhưng bạn có thể truy cập web http://192.168.1.1 để vào giao diên web-management của Juniper SRX...
SSH vào được nhưng ko cho phép login do bạn chưa đặt password cho user root
Để đặt password cho user root,
khi đặt xong nhớ chạy lệnh commit để apply cấu hình
Nhưng lưu ý là sau khi đặt xong password cho user root và commit thì tất cả các địa chỉ IP mặc định
đã gán cho các cổng ge-0/0/0, ge-0/0/1, ge-0/0/0 … sẽ được xóa hết
[TABLE="class: grid, width: 800"]
[TR]
[TD]root> show interfaces ge-0/0/0 terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up
root> show interfaces ge-0/0/1 terse
Interface Admin Link Proto Local Remote
ge-0/0/1 up up
root> show interfaces ge-0/0/2 terse
Interface Admin Link Proto Local Remote
ge-0/0/2 up up[/TD]
[/TR]
[/TABLE]
Nếu thành công bạn sẽ thấy màn hình yêu cầu nhập username và password để login vào hệ thống.
[TABLE="class: grid, width: 800"]
[TR]
[TD]==============================================
Amnesiac (ttyd0)
login: root
--- JUNOS 12.1X47-D10.4 built 2014-08-14 22:59:01 UTC
root@%
root@% cli
root> configure
Entering configuration mode
Users currently editing the configuration:
root terminal v0 (pid 1229) on since 2014-10-07 11:30:52 UTC, idle 00:01:01
[edit]
[edit]
root# show
## Last changed: 2014-10-07 11:29:53 UTC
version 12.1X47-D10.4;
system {
autoinstallation {
delete-upon-commit; ## Deletes [system autoinstallation]
upon change/commit
upon change/commit
traceoptions {
level verbose;
flag {
flag {
all;
}
}
}
services {
services {
ssh;
web-management {
web-management {
http {
interface ge-0/0/0.0;
}
}
}
syslog {
syslog {
user * {
any emergency;
}
file messages {
file messages {
any any;
authorization info;
authorization info;
}
file interactive-commands {
interactive-commands any;
}
}
license {
license {
autoupdate {
}
}
## Warning: missing mandatory statement(s): 'root-authentication'
}interfaces {
ge-0/0/0 {
unit 0;
}
}security {
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
ip {
source-route-option;
tear-drop;
tear-drop;
}
tcp {
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
queue-size 2000; ## Warning: 'queue-size' is deprecated
timeout 20;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
queue-size 2000; ## Warning: 'queue-size' is deprecated
timeout 20;
}
land;
}
}
}
}
policies {
policies {
from-zone trust to-zone trust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
destination-address any;
application any;
}
then {
then {
permit;
}
}
}
from-zone trust to-zone untrust {
from-zone trust to-zone untrust {
policy default-permit {
match {
source-address any;
destination-address any;
application any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
from-zone untrust to-zone trust {
policy default-deny {
match {
source-address any;
destination-address any;
application any;
destination-address any;
application any;
}
then {
deny;
}
}
}
}
zones {
zones {
security-zone trust {
tcp-rst;
}
security-zone untrust {
security-zone untrust {
screen untrust-screen;
interfaces {
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
http;
https;
ssh;
telnet;
dhcp;
https;
ssh;
telnet;
dhcp;
}
}
}
}
}
}
}[edit]
root#[/TD]
[TD]
+login vào hệ thống (mặc định password của user root là “password rỗng”
+Vào mod cli
+Vào mod config
+Show tất cả cấu hình
+Mặc định các dịch ssh được enable;
dịch vụ web-management được enable và chỉ cho phép
truy cập http vào cổng ge-0/0/0.0
+Mặc định cổng ge-0/0/0 cho phép nhận ip động, các cổng còn lại thì ko
+Mặc định đã enable các tính năng chống dos như ping of death, tear-drop, sys-flood, land
+Mặc định cho phép truy cập đối với các PC trong cùng zone trust
+Mặc định cho phép truy cập từ zone trust tới zone untrust
+Mặc định cấm truy cập từ zone untrust tới zone trust
Mặc đinh zone trust, untrust đã được tạo sẵn
zone trust tương tự như Inside, zone untrust tương tự như Outside bên ASA
+zone trust:
+zone untrust:
cổng ge-0/0/0.0 thuộc zone untrust và chỉ cho phép các dịch vụ http, https, ssh, telnet, dhcp được phép truy cập vào[/TD]
[/TR]
[/TABLE]
Mặc định cổng đầu tiên ge-0/0/0 thuộc zone untrust, và cho phép các traffic dhcp http https ssh telnet truy cập vào
và được gán địa chỉ IP mặc định là 192.168.1.1/24
Các cổng tiếp ge-0/0/1, ge-0/0/2,..., chưa được gán cho bất kỳ zone nào,và ko cho phép bất traffic nào truy cập vào, và được gán địa chỉ IP mặc định là 192.168.2.1/24, 192.168.3.1/24,....
[TABLE="class: grid, width: 800"]
[TR]
[TD]root> show interfaces ge-0/0/0 brief
Physical interface: ge-0/0/0, Enabled, Physical link is Up
=Link-level type: Ethernet, MTU: 1514, Speed: 1000mbps, Loopback: Disabled,
=Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled,
=Remote fault: Online
=Device flags : Present Running
=Interface flags: SNMP-Traps Internal: 0x4000
=Link flags : None
=Logical interface ge-0/0/0.0
==Flags: SNMP-Traps 0x4000 Encapsulation: ENET2
==Security: Zone: untrust
==Allowed host-inbound traffic : dhcp http https ssh telnet
==inet 192.168.1.1/24
root> show interfaces ge-0/0/1 brief
Physical interface: ge-0/0/1, Enabled, Physical link is Up
=Link-level type: Ethernet, MTU: 1514, Speed: 1000mbps, Loopback: Disabled,
=Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled,
=Remote fault: Online
=Device flags : Present Running
=Interface flags: SNMP-Traps Internal: 0x4000
=Link flags : None
=Logical interface ge-0/0/1.0
==Flags: SNMP-Traps 0x4000 Encapsulation: ENET2
==Security: Zone: Null
==inet 192.168.2.1/24
root> show interfaces ge-0/0/2 brief
Physical interface: ge-0/0/2, Enabled, Physical link is Up
=Link-level type: Ethernet, MTU: 1514, Speed: 1000mbps, Loopback: Disabled,
=Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled,
=Remote fault: Online
=Device flags : Present Running
=Interface flags: SNMP-Traps Internal: 0x4000
=Link flags : None
=Logical interface ge-0/0/2.0
==Flags: SNMP-Traps 0x4000 Encapsulation: ENET2
==Security: Zone: Null
==inet 192.168.3.1/24
[/TD]
[/TR]
[/TABLE]
Bạn lấy 1 PC kết nối với cổng ge-0/0/0 của Juniper SRX, và gán địa IP cho card mạng của PC thuộc network 192.168.1.0/24 (vi dụ: 192.168.1.100/24) bạn ko thể ping tới địa chỉ 192.168.1.1, nhưng bạn có thể truy cập web http://192.168.1.1 để vào giao diên web-management của Juniper SRX...
SSH vào được nhưng ko cho phép login do bạn chưa đặt password cho user root
Để đặt password cho user root,
khi đặt xong nhớ chạy lệnh commit để apply cấu hình
Nhưng lưu ý là sau khi đặt xong password cho user root và commit thì tất cả các địa chỉ IP mặc định
đã gán cho các cổng ge-0/0/0, ge-0/0/1, ge-0/0/0 … sẽ được xóa hết
[TABLE="class: grid, width: 800"]
[TR]
[TD]root> show interfaces ge-0/0/0 terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
ge-0/0/0.0 up up
root> show interfaces ge-0/0/1 terse
Interface Admin Link Proto Local Remote
ge-0/0/1 up up
root> show interfaces ge-0/0/2 terse
Interface Admin Link Proto Local Remote
ge-0/0/2 up up[/TD]
[/TR]
[/TABLE]
Last edited: