Configuracin Inicial en Junos OS

Configuracin Inicial en Junos OS

Tareas:
1 Retornar un dispositivo a su configuracin de fbrica.
2 Listar y realizar tareas de configuracin inicial.
3 Configuracin de las Interfaces .
4 Autenticacin de Usuarios .
5 Configuracin del servicio Syslog,
6 Configuracin del Servicio NTP .
7 Archivado de la Configuracin.
8 Configuracin del Servicio SNMP .

1.1 Configuracin de fbrica

Permite el acceso a la cuenta root sin contrasea.
Incluye loggin a nivel del sistema para registrar eventos. Para ver los logs se
debe de ejecutar el comando show system syslog .
Contiene parmetros adicionales que dependen de la plataforma.

1.2 Cargar una configuracin de fbrica

Utilice el comando load factory-default para cargar los valores de fbrica de un dis
positivo. Debe tener privilegios de usuario root para activar esta configuracin. Du
rante la carga de los valores de fbrica nos solicitar la contrasea del usuario root
, este paso es requerido, y a continuacin se debe aplicar el cambio mediante el c
omando commit .
Ej.
user@router# load factory-default
warning: activating factory configuration
user@router# set system root-authentication plain-text-password
New password:
Retype new password:
user@router# commit
commit complete

2.1 Tareas de configuracin inicial

Encendiendo y apagando un dispositivo Junos
Check list de configuracin inicial

2.2 Encendiendo y apagando un dispositivo Junos

Siempre debemos referirnos a la documentacin especfica del dispositivo y seguir lo
s pasos indicados en la misma cuando vamos a encender un dispositivo Junos OS. U
na vez que el dispositivo ya fue encendido y el suministro de energa es interrump
ido, el dispositivo automticamente se enciende al volver el suministro de energa;
no es necesaria la intervencin para que el sistema reinicie en esta situacin.
Apagando el dispositivo: Para asegurar la integridad del sistema siempre debemos

realizar un apagado del sistema mediante la ejecucin de un comando. Cuando el si

stema es apagado a travs del Junos OS, el suministro de energa es mantenido.
Comandos:
request system halt
request system halt ?

para realizar un apagado normal.

para ver las opciones de este comando.

Ej.
user@router> request system halt ?
Possible completions:
<[Enter]> Ejecute este comando
at: hora a la cual se realizar la operacin.
in: nmero de minutos para demorar la operacin.
media: iniciar desde un medio al siguiente inicio.
message: Mensaje a desplegar a los dems usuarios logueados.
| pipe a travs del comando.

2.3 Check list de configuracin inicial

Se debe configurar la contrasea del usuario root :
user@router# set system root-authentication plain-text-password
New password:
Retype new password:
Se debe tener en cuenta que la contrasea tiene un largo mnimo de 6 caracteres, req
uiere maysculas y minsculas, dgitos o puntuacin.
.
.
.
.

Las dems tareas tpicamente incluyen lo siguiente:

Nombre de Dispositivo
Hora del Sistema
Acceso remoto a travs de los protocolos a ser usados (ej. SSH, Telnet).
Interface de administracin y ruta esttica para el trfico de administracin/gestin.

2.4 Nombre del Dispositivo

Nos logueamos en el dispositivo con usuario root (contrasea nula), nos pasamos al
modo configuracin:
Ej:
Ingreso con usuario root:
Amnesiac (ttyu0)
login: root
Me paso al modo configuracin:
root@% cli < Shell UNIX
root> < Modo Operacional
root> configure
Entring configuration mode
[edit]
root#
Ejecuto los comandos de configuracin para asignar el nombre al dispositivo y aute
nticacin:
Ej:
[edit]
root# edit system
[edit system]
root# set host-name router

[edit system]
root# set root-authentication plain-text-password
New password:
Retype new password:
Se debe tener en cuenta que la contrasea tiene un largo mnimo de 6 caracteres, req
uere maysculas y minsculas, dgitos o puntuacin.
Si bien el comando indica que la contrasea es en texto plano (palain-text-passwor
d), al igual que otros fabricantes Junos OS encripta la contrasea por nosotros. P
odemos verificar esto ejecutando el comando show root-authentication , verificando
que la misma est encriptada. Si por algn motivo perdemos la contrasea, debemos segu
ir los pasos para hacer una recuperacin, veremos esto ms adelante.

2.5 Configurar la hora del sistema

Configuraremos la zona horaria y la hora actual:
Ej.
[edit system]
root# set time-zone Ameirca/Los_Angeles
[edit system]
root# run set date 201005120900.0
Wed May 12 09:00:00 UTC 2010
Considere configurar un servicio NTP, cubriremos estos pasos en el sigueinte pos
t.

2.6 Configuramos servicios de administracin

Configurando servicios de administracin:
Ej. Telnet o SSH:
[edit system]
root# set services telnet
[edit system]
root# set services ssh
Cli Timeout:
Ej.
[edit system]
root# set cli idle-timeout 60
Idle timeout set to 60 minutes
Se pueden asignar valores de 0 a 100,000 minutos, asignar 0 a este valor deshabi
lita el idle timeout.
Mensaje de ingreso:
Ej.
[edit system]
root# set login message
[edit system]
root# commit
commit complete

Ac va el mensaje de ingreso

2.7 Configuracin de la interface de administracin

En los siguientes ejemplos veremos como configurar de la interface de administra
cin y la ruta esttica para la administracin.
Ej. Volvemos al nivel superior de configuracin con el comando
a interface de administracin y la ruta correspondiente:

top , y configuramos l

[edit system]
root# top
[edit]
root# set interface interface_name unit 0 family inet address 1.1.1.1/24
[edit system]
root# set routing-option static route 1.1.1.0/24 netx-hop 1.1.1.254
Podemos utilizar la opcin no-readvertise para esta ruta esttica para que sea marcada
como inelegible para las polticas de ruteo.
Tambin podemos configurar una ruta de respaldo en caso de que falle el router cor
respondiente a la ruta de administracin. Para esto utilizamos el comando backup-ro
uter en el nivel de configuracin [edit system].
Guardamos los cambios:
[edit system]
root# commit and-quit
commit complete
Exiting configuration mode

2.8 Visualizando la configuracin

Utilizamos el comando show configuration para ver los resultados.
[edit system]
root# show configuration

2.9 Creando una configuracin de rescate

Una configuracin de rescate es designada para restaurar conectividad bsica frente
a posible problemas de configuracin. Por defcto no existe una configuracin de resca
te, por lo que debe ser creada por el usuario:
Ej.
A continuacin se guardar la configuracin activa como configuracin de rescate:
root@router> request system configuration rescue save
Borrar actual configuracin de rescate:
root@router> request system configuration rescue delete
Cargar y activar la actual configuracin de rescate:
[edit system]
root# rollback rescue
load complete
[edit system]
root# commit
commit complete

3.1 Configuracin de las Interfaces

Las interfaces nos conectan a redes o proveen un servicio. Ej:
. Management: conecta a la red de administracin. Especfico segn la plataforma: fxp1
, em0.
. Internal: conecta el control y paneles de distribucin. Especfico segn la platafor
ma: fxp1, em0.
. Network: provee conectividad especfica a un medio; ej Ethr, SONET, ATM, etc.
. Service: provee capacidades de manipulacin de trfico antes de que sea entregado
al destino:
es: interface de encriptacin.
gr: ruta genrica para encapsular trfico.
ip: IP-over-IP para encapsular trfico.
ls: interface de servicios.
ml: interface multilink.
mo: interface de monitoreo pasiva.
mt: interface tunel multicast.
sp: interface de servicios
vt: interface loopback tunnel virtual.
. Loopback: interface lgica que siempre est arriba, todos los dispositivos Junos O
S utilizan la lo0 para designacin de su interface loopback.

3.2 Nombrando interfaces

La mayora de las interfaces son nombradas segn el tipo de medio, nmero de slot de l
a tarjeta de lnea (FPC), nmero de slot de la tarjeta (PIC), nmero de puerto.
Ej.
ge-o/2/3 = puerto 3 Gigabit Ethernet, en slot 2 en FPC 0 < El nmero de slot y puer
to comienza en 0 y no en 1.

3.3 Interfaces lgicas

Una interface fsica puede tener una o varias interfaces lgicas. La creacin de inter
faces lgicas es similar a las sub-interfaces. En el Junos OS una interface lgica e
s requerda siempre. Algunos ejemplos de ambientes que utilizan mltiples circutos vi
rtuales son redes frame-relay y ATM.
Alunos protocolos de encapsulacin soportan solo una nica interface lgica, ej PPP y
Cisco HDLC.
En nmero de identificador de circuito y unidad tienen significados diferentes. El
identificador de circuito identifica el tnel lgico o circuito, cuando el nmero de
unidad es usado para identificar la particin lgica de la interface fsica. Generalme
nte es considerada una buena prctica mantener el nmero de circuito y nmero de unida
d iguales, lo cual puede ayudar durante un troubleshooting.
Junos OS puede tener ms de una direccin en una sola interface lgica. Usando el coma
ndo set no sobre escribe el direccionamiento previo, sin que agrega bajo una unid
ad lgica.
El uso del comando rename es una excelente opcin para corregir errores de direccion
amiento (ej. rename family inet address 1.1.1.1/32 to address 1.1.1.1/24).

3.4 Propiedades de las interface

Propiedades de las interfaces fsicas: protocolo de capa de datos, link de velocid
ad y duplex, MTU.
Propiedades de las lgicas: familia de protocolos (inet, inet6, iso, mpls, eht-swi
tching), direccionamiento ipv4 e ipv6, circuitos virtuales (VLAN tag, DLCI, y VI
P o VCI).

Las propiedades de las interfaces son configuradas en su propio sub-nivel de con

figuracin (configuracin jerarquca).

3.5 Ejemplo de configuracin de una interface fsica

Capa 3:
Ej.
[edit]
user@router# show interfaces
ge-0/0/2 {
unit 0 {
family inet {
address 1.1.1.1/24;
address 1.1.1.12/24; {
preferred;
}
}
family inet6 {
address 3001::1/64;
}
}
}
lo0 {
unit 0 {
family inet {
address 2.2.2.2/24;
address 2.2.2.2/24; {
primary;
}
}
}
}
En el ejemplo se ven las opciones primary y preferred . La opcin preferred es usada cu
ando mltiples direcciones son configuradas bajo la misma subred en la misma inter
face. Esta opcin permite seleccionar que direccin ser usada como direccin origen en
los paquetes enviados por el sistema local. Por defecto es utilizada la interfac
e con menor numeracin.
La opcin primary define la direccin usada como la direccin local para enviar broadcas
t y multicast. La direccin primaria tambin es seleccionada por defecto segn su valo
r numrico, siendo la ms baja la que sea utilizada.
Verificar el estado de una interface: Usa el comando show interfaces terse para rpi
damente verificar el estado de una interface. En la salida de este comando se po
dr observar el estado del link, detalles de la familia de protocolo, e informacin
de numeracin:
Ej.
user@router> show interfaces ge-0/0/2 terse
Interface Admin Link Proto Local Remote
ge-0/0/2 up up
ge-0/0/2.0 up up inet 1.1.1.1/24
1.1.1.2/24
inet6 3001::1/64
fe80::217::cbff::fe4e:a282/64

4.1 Autenticacin de Usuarios

Base de datos local: Nombre y contrasea. Cuentas individuales y directorios de us
uario personales creados localmente en el dispositivo. El Junos OS refuerza la c
ontrasea con las siguientes restricciones: no menor a 6 caracteres; pueden inclus
caracteres alfanumricos, nmeros, caracteres especiales a excepcin de caracteres de
control, y deben contener por lo menos un caracter en minscula o mayscula. El dire
ctorio de trabajo de cada usuario puede ser cambiado con el comando set cli direc
tory directoty_name .
Radius y TACACS+: Administracin de usuario centralizada. Usuarios asignados a tem
plates de usuarios locales. Estos clientes corren en el dispositivo Junos OS, mi
entras que el servidor corre en un equipo en una red remota. Una cuenta local de
be ser definida para determinar la autorizacin. Se debe cargar el template corres
pondiente en el servidor para mapear la autorizacin de cada usuario.
Orden de autenticacin: Se intentar cada mtodo de autenticacin hasta que la password
sea aceptada. Si falla un servidor de autenticacin, la autenticacin local es siemp
re consultada.
[edit]
user@router# show system authentication-order
authentication-order [ radius tacplus password ];
Los siguientes comando muestran los parmetros de configuracin de cada modo:
[edit system]
user@router# show radius-server
3.3.3.3 secret ASdfsaf23$sdf$vasdVa$ ; ## Secret-Data
[edit system]
user@router# show tacplus-server
3.3.3.4 secret $ASDFA$asdfa3$Asdfa$ ; ## Secret-Data
[edit system]
user@router# show login user lab
class super-user;
authenticatin {
encrypted-password $sdf$asdfa$ASDFasdfadf ; ## Secret-Data
}
Componentes de Autorizacin: La actividad de la CLI de los usuarios es autorizada
o denegada basandose en los componentes de la autorizacin:
Usuarios: Miembros de una sola clase
Clases: Contiene permisos y existen 4 predefinidas: operator (permisos de clear,
network, reset, trace, y lectura), read-only (permisos de lectura), super-user
(todos los permisos), y no autorizado (no tiene permisos).
Permisos: grupo de comandos relacionados predefinidos. Define excepciones para c
omandos y pueden ser especificados mediante expreciones regulares. Ej. access: p
ermite ver configuracin de red, access-control: permite modificar la configuracin
de red, admin: permite ver las cuentas de usuario, admin-control: permite modifi
car cuentas de usuarios, all: habilita todos los permisos, view: permite ver los
valores actuales y las estadsticas, view-configuration: permite ver toda la conf
iguracin, etc.
Para definir expresiones regulares podemos usar los comandos deny-commands, allo
w-commands, deny-configuration, y allow-configuration.
Ej. En el siguiente ejemplo se crea la clase noc-admin , la cual puede ejecutar el
comando configure private , puede manipular archivos, y alterar parmetros de configu
racin en las interfaces y el firewall.

[edit system login]

root@router# show
class noc-admin {
permissions [ clear network reset view ];
allow-commands (configure private) ;
deny-commands (file) ;
allow-configuration (interfaces) | (firewall) ;
deny-configuration (groups) ;
}
user nancy {
uid 2002;
class noc-admin;
authentication {
encrypted-password $asdfASf2342rgsadvf$ ; ## Secret Data
}
}

5.1 Configuracin del servicio Syslog

Utiliza el estilo de logging de UNIX. Los archivos principales de syslog es /var/
log/messages .
Soporta varias facilities y niveles de severidades.
Provee logging remoto y local.
Para interpretar los mensajes syslog podemos usar la ayuda con el siguiente coma
ndo help syslog ID_del_Log .
Las opciones generales de configuracin incluyen lo siguiente:
host nombre o direccin IP : enviar los mensajes de syslog a un equipo remoto.
archive: configura como archivar los archivos de syslog (por defcto mantiene 10 a
rchivos con un mximo de 128 K c/u).
console: configura los tupos de mensajes syslog para ser enviados a la consola.
facility: despliega la clase del mensaje.
severity: despliega la severidad del mensaje.
file nombre : configura el nombre del archivo de logs.
files nmero : despliega el nmero mximo de archivos del sistema.
Ej.
[edit system syslog]
user@router# show
user * { < los mensajes con severidad emergencia, irn a todos los usuarios.
any emergency;
}
host 1.1.1.4 { < envia los logs a un equipo remoto.
any notice;
authorization info;
}
file messages { < archivos de syslog primario.
any any;
authorization info;
}
file interactive-commands { < loggea todos los comandos de la cli.
interactive-commands any;
}
file config-changes { < loggea cambios de configuracin.
change-log info;
}
Modo debug en Junos OS: El modo debug en Junos corresponde a

traceoptions . Habilit

ar este modo requiere configuracin, provee soporte local y remoto, y puede ser ha
bilitado estando en produccin sin impactar significativamente la performance del
sistema. Recuerde apagar este modo una vez que finalice la tarea.
Ej. En este ejemplo se habilita el modo tracing a un servidor syslog.
[edit system tracing]
user@router# show
destination-override syslog host 1.1.1.1;
Ej. En este ejemplo veremos como editar
o en particular y enviar la informacin
[edit protocol ospf]
user@router# show
traceoptions {
file ospf-trace replace size 128k files
del archivo.
flag event detail; < podemos habilitar
o que ms nos interesan.
flag error detail;
}

las opciones de tracing para un protocol

localmente a un archivo.

10 no-stamp no-world-readable; <

opciones

una bandera para los aspectos del protocol

Para deshabilitar todas las opciones de tracing podemos usar el comando

aceoptinos al nivel de jerarqua que deseemos.

delete tr

Visualizar logs y archivos trace: Usando el comando show log file_name podemos des
plegar el contenido del mismo. Podemos desplegar la ayuda mientras visualizamos
el archivo usando la tecla h . Utilizando pipe (|), puede resultar ms prctico a la ho
ra de buscar un log en particular.
Ej.
user@router> show log messages | match support info ;
o mltiples instancias de pipe:
user@router> show log messages | find Apr 1 09: | match error

Para realizar monitoreo en tiempo real debemos utilizar el comando monitor start ,
esto nos desplegar en tiempo real el nuevo contenido del archivo a monitorear. Po
demos utilizar el comando monitor list , para listar los archivos a monitorear, y t
ambin podemos usar la opcin match para filtrar y as ver solo las lneas que nos intere
an.
Ej.
user@router> monitor start file_name
Podemos manipular los archivos de logs y tracing mediante el comando

clear

Ej.
user@router> clear log file_name
user@router> file delete file_name

6.1 Configuracin del Servicio NTP

Utilizar NTP para sincronizar la hora de los dispositivos de red: timestamps cor
relativos en los logs para el anlisis, el Junos OS no puede ser un proveedor prim
ario de hora, soporte para cliente y servidor, soporta mensajes de autenticacin.
Ej. de una configuracin simple de cliente NTP:
[edit system ntp]
user@router# show
boot-server
3.3.3.3; < Es utilizado para configurar la hora inicial del sistema al iniciar.

delete :

server 3.3.3.3; <

lista los servidores para sincronizar la hora.

Para cambiar el servidor un nuevo servidor NTP de inicio utilice el comando

ate ntp ip en el modo operacional.

set d

Utilice el comando show ntp associations para confirmar el estado de sincronizacin.

Nos desplegar un smbolo al lado de la ip o nombre del servidor indicando el estad
o de ese servidor en el proceso de seleccin.
Posibles smbolos y significado:
Espacio descartado por un valor stratum mayor o fallo en el chequeo de sanidad.
x designado como falseticker por l algoritmo de insercin.
. al final de la lista de candidatos.
descartado por el argortmo de clustering.
+ incluido en la seleccin final.
# seleccionado para sincronizar, pero la distancia excede el mximo.
* seleccionado para sincronizar.
o seleccionado para sincronizar, pero la sealizacin de paquetes por segundo est en
uso.
Utilice el comando

show ntp status

para sincronizaciones futuras.

7.1 Archivado de la configuracin

Configurar al nivel [edit system archival] del dispositivo para que automticament
e respalde la configuracin en intervalos regulares o cuando es cargada una nueva
configuracin. Se puede utilizar la opcin transfer-interval para definir un intervalo
, o transfer-on-commit para transferir la configuracin cada vez que se ejecuta el c
omando commit .
Ej.
[edit system archival]
user@router# show
configration {
transfer-on-commit;
archive-sites {
ftp://user@4.4.4.4:/archive
scp://user@5.5.5.5:/archive
}
}

password $9_ ;
password $9_ ;

Verificando la transferencia: los archivos de configuracin son encolados en /var/t

ransfer/config y la transferencia es loggeada en el directorio /var/log/messages :
Ej. En este ejemplo filtramos el archivo messages para ver el resultado de la tr
ansferencia.
user@router> show log messages | match transfer
y
user@router> file list /var/transfer/config detail

8.1 Configuracin del Servicio SNMP

Junos OS soporta SNMP v1, v2, y v3. La MIB de Juniper puede ser descargada de
p://www.juniper.net/techpubs .
Ej. de configuracin:
[edit snmp]
user@router# show

htt

description Dispositivo JUNOS ;

location Ed. Central ;
contact Support ;
community cardinals {
authoritation read-only;
clients {
1.1.1.0/24;
}
}
trap-group Mi-grupo-trap {
version v2;
categories {
chassis;
link;
}
targets {
1.1.1.5;
}
}
}
Verificar la operacin de SNMP mediante el uso de las opciones trace, syslog, y co
mandos show.
MIB walk y gets estn disponibles desde la CLI: show snmp mib walk .

En el siguiente post publicaremos operaciones de monitoreo y mantenimiento.

- See more at: http://www.seguridadx.com/configuracion-inicial-en-junos-os/#stha
sh.LCnzCs0N.dpuf