JUNIPER 常用命令（一）

1、初始登陆设备：root 密码为空   ； conf 模式 ；密码至少6位数，字母+数字

2、load factory-default  ; 恢复出厂默认设置--系统恢复出厂后并不代表没有任何配置,系统缺省配置有 Screen\DHCP\Policy

等相关配置,你如果需要完整的删除,可以执行命令 delete 删除相关配置。

3、set system root-authen plain-text-password  ;设置root用户口令

4、set system login user admin class super-user authen plain-text-password ;设置远程登陆管理用户

5、set system host-name ***    ; 设置主机名

6、set system name-server 8.8.8.8 ;设置dns

7、set system services ftp  

     set system services telnet

     set system services web-manage http

     set system services web-manage https

     set system services web-manage port 443 (80)  interface all

     以上命令同时完成后才能，开启ftp/telnet /http服务

8、 set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24  ；  设置逻辑接口地址；srx系列接口要求ip必须配置在逻辑接口下，通常使用逻辑接口0即可；

9、     set interfaces ge-0/0/0.0 family inet address 10.1.1.1/24

          set routing-options static route 0.0.0.0/0 next-hop 192.168.1.1   ;设置缺省路由

10、set security zones security-zone untrust interfaces ge-0/0/0.0   ;将接口放到安全区域中；

       set security zones security-zone untrust host-inbound-traffic system-services ping

       set security zones security-zone untrust host-inbound-traffic system-services http

       set security zones security-zone untrust host-inbound-traffic system-services telnet 

11、策略配置必要元素：策略名称、源地址、目标地址、服务、动作；

12、策略的三种类型：

       a、通过创建区段之间的策略，可以管理允许从一个安全区段到另一个安全区段的信息流种类。

       b、通过创建区段内部策略，也可以控制允许通过绑定到同一区段的接口间的信息流的类型；

       c、通过创建全局策略，可以管理地址间的信息流，而不考虑他们的安全区段。

13、show security policies default-policy   ;查看当前系统缺省策略动作；

14、 SRX 的 NAT 则作为网络层面基础内容进行独立配置（独立定义地址映射的方向、映射关系及地址范围） ，Policy 中不再包含 NAT 相关配置信息，这样的好处是易于理解、简化运维，当网络拓朴和 NAT 映射关系发生改变时，无需调整 Policy 配置内容。

15、SRX NAT 和 Policy 执行先后顺序为：目的地址转换－目的地址路由查找－执行策略检查－源地址转换，结合这个执行顺序，在配置 Policy 时需注意：Policy 中源地址应是转换前的源地址，而目的地址应该是转换后的目的地址Policy 中源地址应是转换前的源地址，而目的地址应该是转换后的目的地址， 换句话说，Policy 中的源和目的地址应该是源和目的两端的真实 IP 地址，这一点和 ScreenOS 存在区

别，需要加以注意。

Static 属于双向 NAT，其他类型均属于单向 NAT。

16、NAT  配置：

set security nat source rule-set 1 from zone trust  指定源区域

set security nat source rule-set 1 to zone untrust  指定目标区域

set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address

0.0.0.0/0  指定源和目标匹配的地址或者地址段,0.0.0./0 代表所有

set security nat source rule-set 1 rule rule1 then source-nat interface  指定通过接口 IP 进行源翻译

上述配置定义 NAT 源地址映射规则，从 Trust Zone 访问 Untrust Zone 的所有流量用 Untrust Zone 接口 IP 做

源地址转换。

show  security flow  session

show security  nat  source rule phypoolNAT

showsecurity nat source pool  all

从外网访问，然后查查看会话：show security flow session

查看NAT转换关系：

show security nat destination rule

show security nat static rule

17、 request system halt  设备关机

        request system reboot  设备重启

18、configuration---admin---permitted IPs ；添加白名单可以设定特定的IP登录  

      clear led alarm 清掉alarm灯

19、restart web-manage 或者 run restart web-manage 重启web登陆界面