Sitio para la difusión de conocimiento informático. 

Twitter RSS

Configuración Inicial en Junos OS

Configuración Inicial en Junos OS

 

Tareas:
1 – Retornar un dispositivo a su configuración de fábrica.
2 – Listar y realizar tareas de configuración inicial.
3 – Configuración de las Interfaces .
4 – Autenticación de Usuarios .
5 – Configuración del servicio Syslog,
6 – Configuración del Servicio NTP .
7 – Archivado de la Configuración.
8 – Configuración del Servicio SNMP .

 

1.1 Configuración de fábrica
– Permite el acceso a la cuenta root sin contraseña.
– Incluye loggin a nivel del sistema para registrar eventos. Para ver los logs se debe de ejecutar el comando «show system syslog».
– Contiene parámetros adicionales que dependen de la plataforma.

 

1.2 Cargar una configuración de fábrica
– Utilice el comando «load factory-default» para cargar los valores de fábrica de un dispositivo. Debe tener privilegios de usuario «root» para activar esta configuración. Durante la carga de los valores de fábrica nos solicitará la contraseña del usuario root, este paso es requerido, y a continuación se debe aplicar el cambio mediante el comando «commit».

Ej.
user@router# load factory-default
warning: activating factory configuration

user@router# set system root-authentication plain-text-password
New password:
Retype new password:

user@router# commit
commit complete

 

2.1 Tareas de configuración inicial
– Encendiendo y apagando un dispositivo Junos
– Check list de configuración inicial

 

2.2 Encendiendo y apagando un dispositivo Junos
– Siempre debemos referirnos a la documentación específica del dispositivo y seguir los pasos indicados en la misma cuando vamos a encender un dispositivo Junos OS. Una vez que el dispositivo ya fue encendido y el suministro de energía es interrumpido, el dispositivo automáticamente se enciende al volver el suministro de energía; no es necesaria la intervención para que el sistema reinicie en esta situación.

– Apagando el dispositivo: Para asegurar la integridad del sistema siempre debemos realizar un apagado del sistema mediante la ejecución de un comando. Cuando el sistema es apagado a través del Junos OS, el suministro de energía es mantenido.

Comandos:
«request system halt» – para realizar un apagado normal.
«request system halt ?» – para ver las opciones de este comando.

Ej.
user@router> request system halt ?
Possible completions:
<[Enter]> Ejecute este comando
at: hora a la cual se realizará la operación.
in: número de minutos para demorar la operación.
media: iniciar desde un medio al siguiente inicio.
message: Mensaje a desplegar a los demás usuarios logueados.
| pipe a través del comando.

 

2.3 Check list de configuración inicial
– Se debe configurar la contraseña del usuario «root»:
user@router# set system root-authentication plain-text-password
New password:
Retype new password:

Se debe tener en cuenta que la contraseña tiene un largo mínimo de 6 caracteres, requiere mayúsculas y minúsculas, dígitos o puntuación.

– Las demás tareas típicamente incluyen lo siguiente:
. Nombre de Dispositivo
. Hora del Sistema
. Acceso remoto a través de los protocolos a ser usados (ej. SSH, Telnet).
. Interface de administración y ruta estática para el tráfico de administración/gestión.

 

2.4 Nombre del Dispositivo
– Nos logueamos en el dispositivo con usuario root (contraseña nula), nos pasamos al modo configuración:
Ej:
Ingreso con usuario root:
Amnesiac (ttyu0)
login: root

Me paso al modo configuración:
root@% cli <– Shell UNIX
root> <– Modo Operacional
root> configure
Entring configuration mode
[edit]
root#

– Ejecuto los comandos de configuración para asignar el nombre al dispositivo y autenticación:
Ej:
[edit]
root# edit system
[edit system]
root# set host-name router

[edit system]
root# set root-authentication plain-text-password
New password:
Retype new password:

Se debe tener en cuenta que la contraseña tiene un largo mínimo de 6 caracteres, requere mayúsculas y minúsculas, dígitos o puntuación.

Si bien el comando indica que la contraseña es en texto plano (palain-text-password), al igual que otros fabricantes Junos OS encripta la contraseña por nosotros. Podemos verificar esto ejecutando el comando «show root-authentication», verificando que la misma está encriptada. Si por algún motivo perdemos la contraseña, debemos seguir los pasos para hacer una recuperación, veremos esto más adelante.

 

2.5 Configurar la hora del sistema
– Configuraremos la zona horaria y la hora actual:
Ej.
[edit system]
root# set time-zone Ameirca/Los_Angeles

[edit system]
root# run set date 201005120900.0
Wed May 12 09:00:00 UTC 2010

Considere configurar un servicio NTP, cubriremos estos pasos en el sigueinte post.

 

2.6 Configuramos servicios de administración
– Configurando servicios de administración:
Ej. Telnet o SSH:
[edit system]
root# set services telnet

[edit system]
root# set services ssh

– Cli Timeout:
Ej.
[edit system]
root# set cli idle-timeout 60
Idle timeout set to 60 minutes

Se pueden asignar valores de 0 a 100,000 minutos, asignar 0 a este valor deshabilita el idle timeout.

– Mensaje de ingreso:
Ej.
[edit system]
root# set login message «Acá va el mensaje de ingreso…»

[edit system]
root# commit
commit complete

 

2.7 Configuración de la interface de administración
En los siguientes ejemplos veremos como configurar de la interface de administración y la ruta estática para la administración.

Ej. Volvemos al nivel superior de configuración con el comando «top», y configuramos la interface de administración y la ruta correspondiente:

[edit system]
root# top

[edit]
root# set interface interface_name unit 0 family inet address 1.1.1.1/24

[edit system]
root# set routing-option static route 1.1.1.0/24 netx-hop 1.1.1.254

Podemos utilizar la opción «no-readvertise» para esta ruta estática para que sea marcada como inelegible para las políticas de ruteo.

También podemos configurar una ruta de respaldo en caso de que falle el router correspondiente a la ruta de administración. Para esto utilizamos el comando «backup-router» en el nivel de configuración [edit system].

Guardamos los cambios:
[edit system]
root# commit and-quit
commit complete
Exiting configuration mode

 

2.8 Visualizando la configuración
Utilizamos el comando «show configuration» para ver los resultados.
[edit system]
root# show configuration

 

2.9 Creando una configuración de rescate
Una configuración de rescate es designada para restaurar conectividad básica frente a posible problemas de configuración. Por defécto no existe una configuración de rescate, por lo que debe ser creada por el usuario:

Ej.
A continuación se guardará la configuración activa como configuración de rescate:
root@router> request system configuration rescue save

Borrar actual configuración de rescate:
root@router> request system configuration rescue delete

Cargar y activar la actual configuración de rescate:
[edit system]
root# rollback rescue
load complete

[edit system]
root# commit
commit complete

 

3.1 Configuración de las Interfaces
– Las interfaces nos conectan a redes o proveen un servicio. Ej:
. Management: conecta a la red de administración. Específico según la plataforma: fxp1, em0.
. Internal: conecta el control y paneles de distribución. Específico según la plataforma: fxp1, em0.
. Network: provee conectividad específica a un medio; ej Ethr, SONET, ATM, etc.
. Service: provee capacidades de manipulación de tráfico antes de que sea entregado al destino:
– es: interface de encriptación.
– gr: ruta genérica para encapsular tráfico.
– ip: IP-over-IP para encapsular tráfico.
– ls: interface de servicios.
– ml: interface multilink.
– mo: interface de monitoreo pasiva.
– mt: interface tunel multicast.
– sp: interface de servicios
– vt: interface loopback tunnel virtual.
. Loopback: interface lógica que siempre está arriba, todos los dispositivos Junos OS utilizan la lo0 para designación de su interface loopback.

 

3.2 Nombrando interfaces
– La mayoría de las interfaces son nombradas según el tipo de medio, número de slot de la tarjeta de línea (FPC), número de slot de la tarjeta (PIC), número de puerto.
Ej.
ge-o/2/3 = puerto 3 Gigabit Ethernet, en slot 2 en FPC 0 <– El número de slot y puerto comienza en 0 y no en 1.

 

3.3 Interfaces lógicas
– Una interface física puede tener una o varias interfaces lógicas. La creación de interfaces lógicas es similar a las sub-interfaces. En el Junos OS una interface lógica es requerída siempre. Algunos ejemplos de ambientes que utilizan múltiples circuítos virtuales son redes frame-relay y ATM.
– Alunos protocolos de encapsulación soportan solo una única interface lógica, ej PPP y Cisco HDLC.
– En número de identificador de circuito y unidad tienen significados diferentes. El identificador de circuito identifica el túnel lógico o circuito, cuando el número de unidad es usado para identificar la partición lógica de la interface física. Generalmente es considerada una buena práctica mantener el número de circuito y número de unidad iguales, lo cual puede ayudar durante un troubleshooting.
– Junos OS puede tener más de una dirección en una sola interface lógica. Usando el comando set no sobre escribe el direccionamiento previo, sinó que agrega bajo una unidad lógica.

El uso del comando «rename» es una excelente opción para corregir errores de direccionamiento (ej. rename family inet address 1.1.1.1/32 to address 1.1.1.1/24).

 

3.4 Propiedades de las interface
– Propiedades de las interfaces físicas: protocolo de capa de datos, link de velocidad y duplex, MTU.
– Propiedades de las lógicas: familia de protocolos (inet, inet6, iso, mpls, eht-switching), direccionamiento ipv4 e ipv6, circuitos virtuales (VLAN tag, DLCI, y VIP o VCI).
– Las propiedades de las interfaces son configuradas en su propio sub-nivel de configuración (configuración jerarquíca).

 

3.5 Ejemplo de configuración de una interface física
– Capa 3:
Ej.
[edit]
user@router# show interfaces
ge-0/0/2 {
unit 0 {
family inet {
address 1.1.1.1/24;
address 1.1.1.12/24; {
preferred;
}
}
family inet6 {
address 3001::1/64;
}
}
}
lo0 {
unit 0 {
family inet {
address 2.2.2.2/24;
address 2.2.2.2/24; {
primary;
}
}
}
}

En el ejemplo se ven las opciones «primary y preferred». La opción «preferred» es usada cuando múltiples direcciones son configuradas bajo la misma subred en la misma interface. Esta opción permite seleccionar que dirección será usada como dirección origen en los paquetes enviados por el sistema local. Por defecto es utilizada la interface con menor numeración.

La opción «primary» define la dirección usada como la dirección local para enviar broadcast y multicast. La dirección primaria también es seleccionada por defecto según su valor numérico, siendo la más baja la que sea utilizada.

– Verificar el estado de una interface: Usa el comando «show interfaces terse» para rápidamente verificar el estado de una interface. En la salida de este comando se podrá observar el estado del link, detalles de la familia de protocolo, e información de numeración:

Ej.
user@router> show interfaces ge-0/0/2 terse
Interface Admin Link Proto Local Remote
ge-0/0/2 up up
ge-0/0/2.0 up up inet 1.1.1.1/24
1.1.1.2/24
inet6 3001::1/64
fe80::217::cbff::fe4e:a282/64

 

4.1 Autenticación de Usuarios
– Base de datos local: Nombre y contraseña. Cuentas individuales y directorios de usuario personales creados localmente en el dispositivo. El Junos OS refuerza la contraseña con las siguientes restricciones: no menor a 6 caracteres; pueden incluís caracteres alfanuméricos, números, caracteres especiales a excepción de caracteres de control, y deben contener por lo menos un caracter en minúscula o mayúscula. El directorio de trabajo de cada usuario puede ser cambiado con el comando «set cli directory directoty_name».
– Radius y TACACS+: Administración de usuario centralizada. Usuarios asignados a templates de usuarios locales. Estos clientes corren en el dispositivo Junos OS, mientras que el servidor corre en un equipo en una red remota. Una cuenta local debe ser definida para determinar la autorización. Se debe cargar el template correspondiente en el servidor para mapear la autorización de cada usuario.
– Orden de autenticación: Se intentará cada método de autenticación hasta que la password sea aceptada. Si falla un servidor de autenticación, la autenticación local es siempre consultada.

[edit]
user@router# show system authentication-order
authentication-order [ radius tacplus password ];

Los siguientes comando muestran los parámetros de configuración de cada modo:
[edit system]
user@router# show radius-server
3.3.3.3 secret «ASdfsaf23$sdf$vasdVa$»; ## Secret-Data

[edit system]
user@router# show tacplus-server
3.3.3.4 secret «$ASDFA$asdfa3$Asdfa$»; ## Secret-Data

[edit system]
user@router# show login user lab
class super-user;
authenticatión {
encrypted-password «$sdf$asdfa$ASDFasdfadf»; ## Secret-Data
}

– Componentes de Autorización: La actividad de la CLI de los usuarios es autorizada o denegada basandose en los componentes de la autorización:

Usuarios: Miembros de una sola clase

Clases: Contiene permisos y existen 4 predefinidas: operator (permisos de clear, network, reset, trace, y lectura), read-only (permisos de lectura), super-user (todos los permisos), y no autorizado (no tiene permisos).

Permisos: grupo de comandos relacionados predefinidos. Define excepciones para comandos y pueden ser especificados mediante expreciones regulares. Ej. access: permite ver configuración de red, access-control: permite modificar la configuración de red, admin: permite ver las cuentas de usuario, admin-control: permite modificar cuentas de usuarios, all: habilita todos los permisos, view: permite ver los valores actuales y las estadísticas, view-configuration: permite ver toda la configuración, etc.

Para definir expresiones regulares podemos usar los comandos deny-commands, allow-commands, deny-configuration, y allow-configuration.

Ej. En el siguiente ejemplo se crea la clase «noc-admin», la cual puede ejecutar el comando «configure private», puede manipular archivos, y alterar parámetros de configuración en las interfaces y el firewall.

[edit system login]
root@router# show
class noc-admin {
permissions [ clear network reset view ];
allow-commands «(configure private)»;
deny-commands «(file)»;
allow-configuration «(interfaces) | (firewall)»;
deny-configuration «(groups)»;
}
user nancy {
uid 2002;
class noc-admin;
authentication {
encrypted-password «$asdfASf2342rgsadvf$»; ## Secret Data
}
}

 

5.1 Configuración del servicio Syslog
– Utiliza el estilo de logging de UNIX. Los archivos principales de syslog es «/var/log/messages».
– Soporta varias «facilities» y niveles de severidades.
– Provee logging remoto y local.
– Para interpretar los mensajes syslog podemos usar la ayuda con el siguiente comando «help syslog ID_del_Log».

Las opciones generales de configuración incluyen lo siguiente:
host «nombre o dirección IP»: enviar los mensajes de syslog a un equipo remoto.
archive: configura como archivar los archivos de syslog (por defécto mantiene 10 archivos con un máximo de 128 K c/u).
console: configura los tupos de mensajes syslog para ser enviados a la consola.
facility: despliega la clase del mensaje.
severity: despliega la severidad del mensaje.
file «nombre»: configura el nombre del archivo de logs.
files «número»: despliega el número máximo de archivos del sistema.

Ej.
[edit system syslog]
user@router# show
user * { <– los mensajes con severidad emergencia, irán a todos los usuarios.
any emergency;
}
host 1.1.1.4 { <– envia los logs a un equipo remoto.
any notice;
authorization info;
}
file messages { <– archivos de syslog primario.
any any;
authorization info;
}
file interactive-commands { <– loggea todos los comandos de la cli.
interactive-commands any;
}
file config-changes { <– loggea cambios de configuración.
change-log info;
}

– Modo debug en Junos OS: El modo debug en Junos corresponde a «traceoptions». Habilitar este modo requiere configuración, provee soporte local y remoto, y puede ser habilitado estando en producción sin impactar significativamente la performance del sistema. Recuerde apagar este modo una vez que finalice la tarea.

Ej. En este ejemplo se habilita el modo tracing a un servidor syslog.
[edit system tracing]
user@router# show
destination-override syslog host 1.1.1.1;

Ej. En este ejemplo veremos como editar las opciones de tracing para un protocolo en particular y enviar la información localmente a un archivo.
[edit protocol ospf]
user@router# show
traceoptions {
file ospf-trace replace size 128k files 10 no-stamp no-world-readable; <– opciones del archivo.
flag event detail; <– podemos habilitar una bandera para los aspectos del protocolo que más nos interesan.
flag error detail;
}

Para deshabilitar todas las opciones de tracing podemos usar el comando «delete traceoptinos» al nivel de jerarquía que deseemos.

– Visualizar logs y archivos trace: Usando el comando «show log file_name» podemos desplegar el contenido del mismo. Podemos desplegar la ayuda mientras visualizamos el archivo usando la tecla «h». Utilizando pipe (|), puede resultar más práctico a la hora de buscar un log en particular.

Ej.
user@router> show log messages | match «support info»;
o múltiples instancias de pipe:
user@router> show log messages | find «Apr 1 09:» | match error

– Para realizar monitoreo en tiempo real debemos utilizar el comando «monitor start», esto nos desplegará en tiempo real el nuevo contenido del archivo a monitorear. Podemos utilizar el comando «monitor list», para listar los archivos a monitorear, y también podemos usar la opción «match» para filtrar y así ver solo las líneas que nos interesan.

Ej.
user@router> monitor start file_name
– Podemos manipular los archivos de logs y tracing mediante el comando «clear» o «delete»:

Ej.
user@router> clear log file_name
user@router> file delete file_name

 

6.1 Configuración del Servicio NTP
– Utilizar NTP para sincronizar la hora de los dispositivos de red: timestamps correlativos en los logs para el análisis, el Junos OS no puede ser un proveedor primario de hora, soporte para cliente y servidor, soporta mensajes de autenticación.

Ej. de una configuración simple de cliente NTP:
[edit system ntp]
user@router# show
boot-server
3.3.3.3; <– Es utilizado para configurar la hora inicial del sistema al iniciar.
server 3.3.3.3; <– lista los servidores para sincronizar la hora.

Para cambiar el servidor un nuevo servidor NTP de inicio utilice el comando «set date ntp ip» en el modo operacional.

– Utilice el comando «show ntp associations» para confirmar el estado de sincronización. Nos desplegará un símbolo al lado de la ip o nombre del servidor indicando el estado de ese servidor en el proceso de selección.

Posibles símbolos y significado:
Espacio descartado por un valor stratum mayor o fallo en el chequeo de sanidad.
x designado como «falseticker» por l algoritmo de inserción.
. al final de la lista de candidatos.
– descartado por el argorítmo de clustering.
+ incluido en la selección final.
# seleccionado para sincronizar, pero la distancia excede el máximo.
* seleccionado para sincronizar.
o seleccionado para sincronizar, pero la señalización de paquetes por segundo está en uso.

– Utilice el comando «show ntp status» para sincronizaciones futuras.

 

7.1 Archivado de la configuración
– Configurar al nivel [edit system archival] del dispositivo para que automáticamente respalde la configuración en intervalos regulares o cuando es cargada una nueva configuración. Se puede utilizar la opción «transfer-interval» para definir un intervalo, o «transfer-on-commit» para transferir la configuración cada vez que se ejecuta el comando «commit».

Ej.
[edit system archival]
user@router# show
configration {
transfer-on-commit;
archive-sites {
«ftp://user@4.4.4.4:/archive» password «$9_»;
«scp://user@5.5.5.5:/archive» password «$9_»;
}
}

– Verificando la transferencia: los archivos de configuración son encolados en «/var/transfer/config» y la transferencia es loggeada en el directorio «/var/log/messages»:

Ej. En este ejemplo filtramos el archivo messages para ver el resultado de la transferencia.
user@router> show log messages | match transfer
y
user@router> file list /var/transfer/config detail

 

8.1 Configuración del Servicio SNMP
– Junos OS soporta SNMP v1, v2, y v3. La MIB de Juniper puede ser descargada de «http://www.juniper.net/techpubs».

Ej. de configuración:
[edit snmp]
user@router# show
description «Dispositivo JUNOS»;
location «Ed. Central»;
contact «Support»;
community cardinals {
authoritation read-only;
clients {
1.1.1.0/24;
}
}
trap-group Mi-grupo-trap {
version v2;
categories {
chassis;
link;
}
targets {
1.1.1.5;
}
}
}

– Verificar la operación de SNMP mediante el uso de las opciones trace, syslog, y comandos show.
– MIB walk y gets están disponibles desde la CLI: «show snmp mib walk».

 

En el siguiente post publicaremos operaciones de monitoreo y mantenimiento.

 
Home Juniper Junos OS Configuración Inicial en Junos OS