Лабораторная работа по Juniper №2. Создание пользователей, настройка доступа по telnet/ssh

Так как лабораторных работ достаточно много, на ранних лабораторных будет изменяться схема подключения устройств.

            root# set system host-name MX80

root# set system root-authentication plain-text-password
Задаем пароль для root-пользователя

root# set system login user TEST class super-user authentication plain-text-password
Создаем пользователя TEST с вводом пароля в «чистом» виде. Значение поля class дает определенные права в зависимости от выбранного типа пользователя. Типы пользователей:

            operator               permissions [ ]

             - обычно применяется для техподдержки

            read-only             permissions [ view ]

            super-user            permissions [ all ]

             - root

unauthorized        permissions [ none ]

root# set system login user TEST1 class operator authentication plain-text-password
Пользователь с правами operator может просматривать конфигурацию устройства и выполнять перезагрузку.

root# set interfaces ge-1/1/4 unit 0 family inet address 192.168.1.1/24

                На сетевом порту  создаем ip-адрес.

                Выполним проверку доступности коммутатора с компьютера с помощью команды ping.
                Настраиваем протокол SSH. Указываем какую использовать версию протокола

root@MX80# set system services ssh

root@MX80# set system services ssh protocol-version v2

запрещаем подключаться по ssh с логином root 

root@MX80# set system services ssh root-login deny

ограничиваем количество одновременных подключений (в примере 10) 

root@MX80# set system services ssh connection-limit 10

ограничиваем число попыток ввода пароля за одну минуту (в примере не более 5 попыток в минуту)

root@MX80# set system services ssh rate-limit 5

Настраиваем протокол telnet. Ограничиваем количество одновременных подключений (в примере 10)

root@MX80# set system services telnet connection-limit 10

ограничиваем число попыток ввода пароля за одну минуту (в примере не более 5 попыток в минуту)

root@MX80# set system services telnet rate-limit 5

Посмотрим все изменения внесенные нами в конфигурацию

root# show | compare

[edit system]

+  services {

+      ssh {

+          root-login deny;

+          protocol-version v2;

+          connection-limit 10;        

+          rate-limit 5;

+      }

+      telnet {

+          connection-limit 10;

+          rate-limit 5;

+      }

+  }

Сохраняем наши изменения

root@# commit

ssh TEST@192.168.1.1

TEST@192.168.1.1's password:

--- JUNOS 12.1R1.9 built 2012-03-24 12:52:33 UTC

TEST@MX80>

ssh TEST1@192.168.1.1

TEST@192.168.14.41's password:

--- JUNOS 12.1R1.9 built 2012-03-24 12:52:33 UTC

TEST1@MX80>
Команда configure будет не доступна.

подключение по SSH работает. Проверим подключение Telnet

telnet 192.168.1.1

Trying 192.168.1.1...

Connected to 192.168.1.1.

Escape character is '^]'.

MX80 (ttyp0)

login: TEST

Password:

--- JUNOS 12.1R1.9 built 2012-03-24 12:52:33 UTC

TEST@MX80>

Настройка простейшего листа доступа для ssh.
В примере мы разрешаем подключение к устройству по SSH только из сети 192.168.1.0/24 (это заведомо не верная настройки для демонстрации функционала).

root@MX80# set interfaces em0 unit 0 family inet filter input SSH

root@MX80# set firewall family inet filter SSH term SSH-accept from source-address 192.168.1.0/24

root@MX80# set firewall family inet filter SSH term SSH-accept from protocol tcp

root@MX80# set firewall family inet filter SSH term SSH-accept from destination-port ssh

root@MX80# set firewall family inet filter SSH term SSH-accept then accept

root@MX80# set firewall family inet filter SSH term SSH-deny from destination-port ssh

root@MX80# set firewall family inet filter SSH term SSH-deny then count Discard-SSH-Packets

root@MX80# set firewall family inet filter SSH term SSH-deny then discard

Изменения в конфигурации:

root@MX80# show | compare

[edit interfaces ge-1/1/4 unit 0 family inet]

+       filter {

+           input SSH;

+       }

[edit]

+  firewall {

+      family inet {

+          filter SSH {

+              term SSH-accept {

+                  from {

+                      source-address {

+                          192.168.1.0/24;

+                      }

+                      protocol tcp;

+                      destination-port ssh;

+                  }

+                  then accept;

+              }

+              term SSH-deny {

+                  from {

+                      destination-port ssh;

+                  }

+                  then {

+                      count Discard-SSH-Packets;

+                      discard;

+                  }

+              }

+          }

+      }

+  }

ssh TEST@192.168.1.1

ssh: connect to host 192.168.1.1 port 22: Connection timed out

и получаем сообщение об ошибке (так как наша сеть не добавлена в список разрешенных), пакеты отбрасываются: 

root@Juniper# run show firewall filter SSH    

Filter: SSH                                                   

Counters:

Name                                                Bytes              Packets

Discard-SSH-Packets                      1140                   15

Исправим это добавив нашу подсеть в фильтр 

root@MX80# set firewall family inet filter SSH term SSH-accept from source-address 192.168.1.0/24

доступ к устройству восстановился

ssh TEST@192.168.1.1

--- JUNOS 12.1R1.9 built 2012-03-24 12:52:33 UTC

TEST@MX80>

                За основу этой работы была взята работа с блога: http://jnciastepbystep.blogspot.ru/

               Курс JNCIA и прочие.

               Если вам понравился данная лабораторная и вам захотелось поблагодарить: 

               Яндекс.деньги 410011902537185

           ICQ: 402204328

           Skype: monaxgtx