barra de menu

viernes, 13 de marzo de 2015

4: Secondary System Configuration

AUTENTICACIÓN

Junos OS tiene tres modos de autenticación:

       - Password Local - Por defecto
       - RADIUS - UDP
       - TACACS - TCP

Radius y Tacacs son servidores externos de seguridad


Para configurar la autenticacion RADIUS O TACACS (el orden importa):

         #set system radius-server X.X.X.X secret XXXX

         #set system tacplus-server X.X.X.X secret XXXX

         #set system authentication–order [ tacplus radius password ]

        >show radius-server | tacplus-server | login user



AUTORIZACIÓN

Junos OS autoriza por defecto a todos los usuarios que no son root. 


Para crear un usuario:

       #set system login user XXXX

      #set system login user XXXX authentication plain-text-password


Para dar permisos a estos usuario tenemos que asociarlo a una clase. 

       #set system login user XXXX class X


Hay 4 clases por defecto en Junos OS.

              - super-user: todos los permisos
              - operator: clear, network, reset, trace y view permissions
              - read-only: view permissions
              - unauthorized: no permissions


Podemos crear permisos más específicos:

      #set system login class TEST permissions view-configuration

      #set system login class TEST allow-commands "show interfaces" - Opcional

      #set system login class TEST deny-commands "show route" -  Opcional

      #set system login user JNCIA class TEST


El usuario JNCIA podrá hacer show interfaces pero no show route

SYSTEM LOGGING (REGISTRO DE SISTEMA)

Aquí se registran los sucesos del sistema. El archivo se ubica en /var/log.
El archivo por defecto es messages.


Unos ejemplos de configuración de syslog

Para configurarlo: 


         #set system syslog host X.X.X.X

         #set system syslog console

         #set system syslog file XXX



Existen 8 niveles de alarma. Cuando eliges un nivel también se registran los inferiores:


7  - Any
6  - Info
    5  - Notice
          4  - Warnings
    3  - Errors
     2  - Critical
   1  - Alerts
            0  - Emergency
  --  -  None

                    #set system syslog console any critical 

                    #set system syslog host X.X.X.X any notice 

                    #set system syslog file messages any any


Para ver el syslog:

                            >show log messages | match “xxx|xxx”

                            >show log messages | find “Mar 25” | match xxx



TRACE OPTIONS


Trace options es como el debug de Cisco. Sirve para monitorizar el tráfico en tiempo real. Hay que crear un archivo. Se almacena en /var/log.




          
           #set (area) traceoptions

           #set interface traceoptions file xxx size 128k files 10

           #set interface ge0/0/0 traceoptions flag all | media | event | ipc



Para ver el archivo:


                              >show log XXX - X es el nombre del archivo


Para ver el tráfico en tiempo real que hemos configurado en el archivo:


          >monitor start | stop filename - Inicia y para el trace

          >Esc+q - para salir

          >Clear log filename - para borrar los datos del archivo

          >File delete filename - para eliminar el archivo



BACKUPS AUTOMÁTICOS


Se pueden automatizar los backups para que los envíe a un servidor externo.


Cuando hay dos servidores, no lo envía al segundo si no falla el primero


Para configurarlo:


                       #set system archival configuration transfer-interval 1440(minutos)

                       #set system archival configuration transfer-on-commit

                       #set system archival configuration archives-sites ftp://

                       #set system archival configuration archives-sites scp://



El archivo se almacena en: /var/transfer/config



Para verlo:


               >file list /var/transfer/config

               >show system storage - comprueba el espacio

               >Request system storage cleanup - muestra archivos a borrar

               >Request system storage cleanup dry-run - muestra archivos a borrar



SNMP


SNMP es un protocolo para monitorizar los equipos. Configuramos en los equipos lo que queremos monitotizar, como por ejemplo las interfaces o la temperatura. Además le configuramos el equipo a donde mandamos esta información.






La configuración por defecto es read-only (solo lectura). Podemos cambiarlo a write (escritura)





Para configurarlo:



         #set snmp community xxxx authorization read-only clients X.X.X.X/X

         #set snmp trap-group xxxx version v2 categories ( chassis, link, routing...)

         #set snmp trap-group xxxx targets X.X.X.X



NETWORK TIME PROTOCOL


Este protocolo sirve para sincronizar nuestro equipo con un servidor de hora y tiempo. Esto hace que todos los equipos tengan la misma hora y sea útil cuando surgen problemas.  Los equipos se estructuran jerárquicamente en estratos hasta 15, siendo el master el 1. Junos OS puede hacer de server o de peer pero no de master.

La sincronización tiene que ser de menos de 128ms. 

Junos OS soporta la autenticación MD5 para NTP.


Para configurarlo y verlo:


                              #set system name-server X.X.X.X

                              #set system ntp server xxxx.com

                              #set date ntp xxxx.com

                              >show ntp status

                              >show ntp association



4 comentarios:

  1. Hola buenas tardes, estoy intentando configurar via cli el juniper port profile para el port role, pero me da error cuando quiero configurarlo en desktop and Phone, no veo esa configuracion en tu blog y quisiera saber si me podrias ayudar.

    Mil Gracias

    ResponderEliminar
  2. Claro que te puedo ayudar. ¡Faltaría más! Por ahora Juniper no me ha hecho estudiar eso y por eso no está en el blog. No sé cuáles son exactamente tus problemas. Si quieres, escríbeme aquí tu email para tener una conversación más fluida (luego elimino el email). De momento he encontrado esta guía. A ver si te puede ayudar, aunque está en inglés. https://stack-systems.com.ua/media/attachment/file/j/u/juniper_modules_ex_series_overview.pdf

    ResponderEliminar
  3. Tengo configuración corporativa en una red con unos 30 sw juniper EX2300 - con OS 15.1x53-d56. creadas unas 30 vlan entre ellas una de voip, quiero usar la opción que ofrece juniper del port rol para hacer cascada desde un telefono IP a una pc, estoy emitiendo el comando desde cli:
    set interfaces ge-0/0/xx apply-macro juniper-port-profile Desktop and Phone
    y da error de syntax, lo que me molesta es que desde la página de juniper indican que así se debe emitir el comando y que desde la interface web la configuración del port rol falla, si lo configuro solo en desktop no da error, el problema es cuando configuro las dos cosas. te agradezco tu rápida respuesta y el tiempo que empleas en ayudarme.

    ResponderEliminar
    Respuestas
    1. Si te da error de syntaz poco puedo hacer. ¿has probado con la interrogacción para ver si existe la opción de meter ese comando? Otra cosa que se me ocurre es que lo apliques a una "unit", aunque Juniper diga que no es así. No se me ocurre mucho más. Por desgracia, actualmente no tengo ningún EX para probar.

      Eliminar