Juniper设备防火墙运维要点

资源描述

《Juniper设备防火墙运维要点》由会员分享，可在线阅读，更多相关《Juniper设备防火墙运维要点（14页珍藏版）》请在金锄头文库上搜索。

1、JuniperJuniper设备设备- -防火墙运维防火墙运维要点要点Copyright 2008 Juniper Networks, Inc. 2设备管理访问控制设备管理访问控制Management requests terminate on the unitAs a security device, the NetScreen must qualify all management requestsMatch the management address of the arriving interfaceMatch the IP address of a trusted sourceMat

2、ch an allowed service typeMatch username/password Src Dst Mgt. RequestAddr Addr (ie. Ping)ManagementServiceFilterInterfacemanage-ipMgt. AddressAllowed servicesAuthenticationUsername/passwordmanager-ipTrusted SourceCopyright 2008 Juniper Networks, Inc. 3管理地址管理地址数据接口地址数据接口地址专用管理端口专用管理端口数据接口管理地址数据接口管理地

3、址HA配置下管理可管理主配置下管理可管理主/备机备机主主/备地址不同备地址不同数据接口地址可管理数据接口管理地址Copyright 2008 Juniper Networks, Inc. 4检查接口配置检查接口配置Network Interfacesns208- get interfaceA - Active, I - Inactive, U - Up, D - Down, R - ReadyInterfaces in vsys Root:Name IP Address Zone MAC VLAN State VSDeth1 10.1.1.1/24 Private 0010.db1d.1be0

4、 - U -eth2 0.0.0.0/0 V1-DMZ 0010.db1d.1be4 - D -eth3 0.0.0.0/0 V1-Untrust 0010.db1d.1be5 - D -eth4 0.0.0.0/0 Private 0010.db1d.1be6 - D -eth5 0.0.0.0/0 Untrust 0010.db1d.1be7 - D -eth6 0.0.0.0/0 Null 0010.db1d.1be8 - D -eth7 1.1.7.1/24 Public 0010.db1d.1be9 - U -eth8 1.1.8.1/24 External 0010.db1d.1b

5、ea - U -vlan1 0.0.0.0/0 VLAN 0010.db1d.1bef 1 D -Copyright 2008 Juniper Networks, Inc. 5 检查路由检查路由 - CLI查看路由查看路由ns208- get routeC - Connected, S - Static, A - Auto-Exported, I - ImportediB - IBGP, eB - EBGP, R - RIP, O - OSPF, E1 - OSPF external type 1E2 - OSPF external type 2trust-vr (8 entries)= ID

6、 IP-Prefix Interface Gateway P Pref Mtr Vsys-9 0.0.0.0/0 eth8 1.1.8.254 S 20 1 Root* 8 1.1.70.0/24 eth7 1.1.7.254 S 20 1 Root7 10.1.20.0/24 eth2 10.1.2.254 S 20 1 Root* 2 10.1.1.0/24 eth1 0.0.0.0 C 0 0 Root* 3 10.1.2.0/24 eth2 0.0.0.0 C 0 0 Root查看去某个查看去某个IP路由路由get route ip xxxxxCopyright 2008 Junipe

7、r Networks, Inc. 6CPU利用率利用率系统管理系统管理( task)会话管理会话管理(flow)DI,ALG(flow)get per cpu CNZUHFW01- get per cpu Average System Utilization: 1%Last 1 minute: 2%, Last 5 minutes: 2%, Last 15 minutes: 2%CNZUHFW01- get per cpu all detail Average System Utilization: 1% (flow 1 task 1)Last 60 seconds:59: 2( 1 1) 5

8、8: 2( 1 1) 57: 2( 1 1) 56: 2( 1 1) 55: 2( 1 1) 54: 2( 1 1) 53: 2( 1 1) 52: 2( 1 1) 51: 2( 1 1) 50: 2( 1 1) 49: 2( 1 1) 48: 2( 1 1) 47: 2( 1 1) 46: 2( 1 1) 45: 2( 1 1) 44: 2( 1 1) Copyright 2008 Juniper Networks, Inc. 7内存利用率内存利用率内存在系统启动时已预分配内存在系统启动时已预分配.每个模块会占用相对固定的内存空间每个模块会占用相对固定的内存空间.内存占用率不会发生太大的变化

9、内存占用率不会发生太大的变化.数据转发在数据转发在ASIC芯片完成芯片完成,不影响内存利用率不影响内存利用率Copyright 2008 Juniper Networks, Inc. 8当前会话数当前会话数web介面显示当前在线会话数介面显示当前在线会话数命令行模式下命令行模式下当前会话数当前会话数 alloc 443最大支持会话数最大支持会话数 max 64064会话创建失败统计会话创建失败统计. , alloc failed 0CNZUHFW01- get sess inf alloc 443/max 64064, alloc failed 0, mcast alloc 0, di all

10、oc failed 0total reserved 0, free sessions in shared pool 63621Copyright 2008 Juniper Networks, Inc. 9会话数性能会话数性能每秒新建会话每秒新建会话get per session CNZUHFW01- get per sess de Last 60 seconds: 0: 4 1: 4 2: 28 3: 7 4: 5 5: 6 6: 35 7: 4 8: 5 9: 4 10: 29 11: 4 12: 4 13: 4 14: 28 15: 5 16: 5 17: 5 18: 30 19: 8 2

11、0: 6 21: 7 22: 30 23: 5 24: 5 25: 5 26: 28 27: 8 28: 4 29: 3 30: 28 31: 4 32: 7 33: 4 34: 30 35: 4 36: 8 37: 6 38: 30 39: 6 40: 5 41: 4 42: 31 43: 6 44: 8 45: 4 46: 30 47: 5 48: 4 49: 5 50: 29 51: 5 52: 5 53: 6 54: 31 55: 5 56: 4 57: 5 58: 28 59: 5Copyright 2008 Juniper Networks, Inc. 10日志管理日志管理事件、配

12、置、流量日志事件、配置、流量日志日志分级日志分级-unset log module system level warning destination syslogSyslog/NSM外发存储外发存储可通过可通过MGT或业务接口外传日志或业务接口外传日志,源地址为源地址为MGT IP或或manage-ipCopyright 2008 Juniper Networks, Inc. 11NSRPpriority优先级优先级（default 100 低值主用）低值主用）Preempt抢占模式抢占模式（default disable，非同步配置），非同步配置）HA心跳线心跳线two interfac

13、e （低接口号主用）（低接口号主用）状态监控状态监控monitor interface （非同步配置）（非同步配置）NSRP Switch主备切换（主用设备上执行）主备切换（主用设备上执行） exec nsrp vsd-group 0 mode backupConfig Syn主备配置同步（备用设备上执行）主备配置同步（备用设备上执行） exec nsrp syn global-config save/reset/ignore save action/confirm reset exec nsrp syn global-config checksumGet config | in nsrp G

14、et nsrpCopyright 2008 Juniper Networks, Inc. 12运维监控运维监控Get performance cpu detailCPU负载负载Get session info并发会话并发会话Get performance session detail每秒新建每秒新建Get memory 内存使用内存使用Get alarm event告警日志告警日志Get config | in “XXXX” 配置过滤配置过滤Get chassis 机箱温度与硬件模块机箱温度与硬件模块Get clock | in date 设备时钟设备时钟Get interface 接口状态接口状态Get route 路由状态路由状态Get arp ARP表表Copyright 2008 Juniper Networks, Inc. 13故障信息补充获取故障信息补充获取Get techGet session tftp x.x.x.x filename Snoop 软件抓包防火墙内外接口软件抓包防火墙内外接口结束结束

展开阅读全文

Juniper设备防火墙运维要点

最新文档