Bài viết sau sẽ hướng dẫn các bạn các cấu hình thiết bị Juniper một cách hoàn chỉnh nhất. Cùng bắt đầu tìm hiểu về cách cấu hình qua bài viết dưới đây nhé.
Hostname của thiết bị Junos OS hoặc Junos OS Evolved là tên gọi của nó. Thiết bị mạng phải được thiết lập danh tính để có thể truy cập được trên mạng. Đó có lẽ là lý do quan trọng nhất để có một tên máy chủ, nhưng một tên máy chủ có những mục đích khác.
Phần mềm sử dụng tên máy chủ được cấu hình như một phần của dấu nhắc lệnh và để thêm trước các tệp nhật ký và thông tin kế toán khác. Hostname cũng được sử dụng ở bất kỳ nơi nào khác khi biết danh tính thiết bị là quan trọng. Vì những lý do này, chúng tôi khuyên bạn nên đặt tên máy chủ có tính mô tả và dễ nhớ.
Bạn có thể định cấu hình tên máy chủ ở cấp phân cấp [edit system], một quy trình được hiển thị trong Định cấu hình Danh tính Duy nhất của Thiết bị cho Mạng. Theo tùy chọn, thay vì định cấu hình tên máy chủ ở cấp phân cấp [edit system], bạn có thể sử dụng một nhóm cấu hình, như được hiển thị trong quy trình này. Đây là phương pháp hay nhất được khuyến nghị để định cấu hình tên máy chủ, đặc biệt nếu thiết bị có Công cụ định tuyến kép. Thủ tục này sử dụng các nhóm được gọi là re0 và re1 làm ví dụ.
- Bao gồm câu lệnh tên host-name trong cấu hình ở cấp phân cấp hệ thống [edit groups group-name system .
- Nếu bạn đã sử dụng một hoặc nhiều nhóm cấu hình, hãy áp dụng các nhóm cấu hình, thay thế tên nhóm thích hợp.
- Xác nhận các thay đổi
Hệ thống tên miền (Domain Name System – DNS) là một hệ thống phân cấp phân tán chuyển đổi tên máy chủ thành địa chỉ IP. DNS được chia thành các phần gọi là zone. Mỗi zone có các máy chủ định danh đáp ứng các truy vấn thuộc zone của chúng.
DNS Components
DNS bao gồm 3 thành phần chính:
-
DNS resolver: Nằm ở phía máy khách của DNS. Khi người dùng gửi yêu cầu tên máy chủ, trình phân giải sẽ gửi yêu cầu truy vấn DNS đến máy chủ định danh để yêu cầu địa chỉ IP của tên máy chủ.
-
Name servers: Xử lý các yêu cầu truy vấn DNS nhận được từ trình phân giải DNS và trả lại địa chỉ IP cho trình phân giải
-
Resource records: Các phần tử dữ liệu xác định cấu trúc và nội dung cơ bản của DNS.
DNS Server Caching
Máy chủ định danh DNS chịu trách nhiệm cung cấp địa chỉ IP của tên máy chủ cho người dùng. Trường TTL trong bản ghi tài nguyên xác định khoảng thời gian mà kết quả truy vấn DNS được lưu vào bộ nhớ cache. Khi giá trị TTL hết hạn, máy chủ định danh sẽ gửi một truy vấn DNS mới và cập nhật bộ đệm ẩn.
Máy chủ định danh Hệ thống tên miền (DNS) được sử dụng để phân giải tên máy chủ thành địa chỉ IP.
Trước khi bạn bắt đầu, hãy định cấu hình máy chủ định danh của bạn với tên máy chủ và địa chỉ IP cho thiết bị Juniper Networks của bạn. Không quan trọng địa chỉ IP nào bạn chỉ định làm địa chỉ của thiết bị trong máy chủ định danh, miễn đó là địa chỉ đến thiết bị của bạn. Thông thường, bạn sẽ sử dụng địa chỉ IP giao diện quản lý, nhưng bạn có thể chọn địa chỉ IP giao diện lặp lại, hoặc địa chỉ IP giao diện mạng, hoặc thậm chí định cấu hình nhiều địa chỉ trên máy chủ định danh.
Để dự phòng, cách tốt nhất là cấu hình quyền truy cập vào nhiều máy chủ định danh. Bạn có thể định cấu hình tối đa ba máy chủ định danh. Cách tiếp cận tương tự như cách trình duyệt Web phân giải tên của một trang Web thành địa chỉ mạng của nó. Ngoài ra, phần mềm cho phép bạn định cấu hình một hoặc nhiều tên miền, phần mềm này sử dụng để giải quyết các tên máy chủ không đủ tiêu chuẩn (nói cách khác, tên miền bị thiếu). Điều này rất tiện lợi vì bạn có thể sử dụng tên máy chủ để cấu hình và vận hành phần mềm mà không cần tham khảo tên miền đầy đủ. Sau khi thêm địa chỉ máy chủ định danh và tên miền vào cấu hình của mình, bạn có thể sử dụng tên máy chủ có thể phân giải DNS trong cấu hình và lệnh của mình thay vì địa chỉ IP.
Theo tùy chọn, thay vì định cấu hình máy chủ định danh ở cấp phân cấp [edit system] , bạn có thể sử dụng nhóm cấu hình, như được hiển thị trong quy trình này. Đây là phương pháp hay nhất được khuyến nghị để định cấu hình máy chủ định danh.
Bắt đầu từ Junos OS Release 19.2R1, bạn có thể định tuyến lưu lượng truy cập giữa phiên bản định tuyến quản lý và máy chủ định danh DNS. Định cấu hình phiên bản định tuyến ở cấp phân cấp [edit system name-server server-ip-address]và máy chủ định danh có thể truy cập được thông qua phiên bản định tuyến này.
- Thêm người dùng mới, sử dụng tên đăng nhập tài khoản được chỉ định của người dùng.
- (Tùy chọn) Định cấu hình tên mô tả đầy đủ cho tài khoản.
- (Tùy chọn) Đặt số nhận dạng người dùng (UID) cho tài khoản.
- Sử dụng một trong các phương pháp sau để định cấu hình thiết bị juniper mật khẩu người dùng.
- Ở cấp cao nhất của cấu hình, hãy áp dụng nhóm cấu hình.
- Commit cấu hình.
- Để xác minh cấu hình thiết bị juniper, hãy đăng xuất và đăng nhập lại với tư cách người dùng mới.
Tổng quan về Backup Router
Mục đích của bộ backup router không phải để chuyển tiếp lưu lượng chuyển tiếp. Bạn (quản trị viên hệ thống) có thể sử dụng backuprouter để quản lý cục bộ thiết bị định tuyến thông qua giao diện quản lý ngoài băng tần (fxp0, em0 hoặc me0).
Quy trình giao thức định tuyến (rpd) là quy trình phần mềm chịu trách nhiệm thiết lập các tuyến đường. Rpd không chạy trong khi thiết bị định tuyến đang khởi động. Do đó, thiết bị không có các tuyến đường. Bộ định tuyến dự phòng cho phép thiết bị định tuyến cài đặt đường dẫn đến mạng quản lý trước khi rpd được thiết lập và chạy.
Bạn có thể sử dụng bộ định tuyến dự phòng trong quá trình khởi động ban đầu, trước khi bất kỳ giao thức định tuyến nào được hội tụ. Bộ định tuyến dự phòng cho phép thiết bị thiết lập kết nối Lớp 3 một cách nhanh chóng, giúp giảm thiểu khả năng quản lý. Bạn cũng có thể sử dụng bộ định tuyến dự phòng để quản lý thiết bị nếu quá trình giao thức định tuyến không khởi động đúng cách.
Bộ định tuyến dự phòng kết nối trực tiếp với thiết bị định tuyến cục bộ (nghĩa là thiết bị được kết nối trên cùng một mạng con) thông qua giao diện quản lý riêng tư của nó. Để chọn bộ định tuyến dự phòng, bạn thường chọn cổng mặc định của mạng quản lý được kết nối trực tiếp với thiết bị định tuyến của bạn. Đảm bảo rằng địa chỉ bộ định tuyến dự phòng được chỉ định có thể truy cập được và kết nối trực tiếp với giao diện quản lý.
Khi rpd khởi động, tuyến sao lưu (tuyến được tạo bởi bộ định tuyến dự phòng) sẽ bị xóa và bất kỳ tuyến mặc định, tĩnh hoặc giao thức nào được cài đặt.
Cấu hình thiết bị juniper bộ định tuyến dự phòng có thể thay đổi bảng chuyển tiếp hạt nhân Routing Engine dự phòng ngay cả khi kích hoạt không ngừng (NSR).
Cấu hình Backup Router
Để thêm bộ định tuyến dự phòng vào thiết bị của bạn, hãy định cấu hình bộ định tuyến dự phòng hoặc câu lệnh inet6-backup-router ở cấp phân cấp [hệ thống chỉnh sửa].
Bạn (quản trị viên mạng) có thể sử dụng bộ định tuyến dự phòng để truy cập mạng trong khi tải, định cấu hình và khôi phục bộ định tuyến hoặc bộ chuyển mạch mà không cần cài đặt tuyến mặc định trong bảng chuyển tiếp. Bao gồm tùy chọn đích tùy chọn và chỉ định một địa chỉ có thể truy cập được thông qua bộ định tuyến dự phòng. Sử dụng định dạng địa chỉ mạng / độ dài mặt nạ. Cấu hình này hỗ trợ cả địa chỉ IPv4 và IPv6. Tiền tố của địa chỉ đích không được trùng lặp với tiền tố đích được học từ quy trình giao thức định tuyến (rpd).
Nếu cấu hình bộ định tuyến dự phòng có nhiều tuyến tĩnh trỏ đến một cổng từ giao diện Ethernet quản lý, bạn phải định cấu hình các tiền tố cụ thể hơn các tuyến tĩnh.
Ví dụ: nếu bạn định cấu hình tuyến tĩnh 172.16.0.0/12 từ giao diện Ethernet quản lý cho mục đích quản lý, bạn phải chỉ định cấu hình bộ định tuyến dự phòng như sau:
Bất kỳ đích nào được xác định bởi bộ định tuyến dự phòng sẽ không hiển thị trong bảng định tuyến. Chúng chỉ hiển thị trong bảng chuyển tiếp cục bộ khi rpd không chạy.
Trên các hệ thống có Công cụ định tuyến dự phòng kép, khả năng tiếp cận của Công cụ định tuyến dự phòng thông qua giao diện quản lý riêng chỉ dựa trên chức năng của cấu hình bộ định tuyến dự phòng. Nó không dựa trên việc rpd có đang chạy hay không. Trên cả hai Công cụ định tuyến, câu lệnh backup-router thêm tiền tố đích khi khởi động. Trên Công cụ định tuyến chính, một tuyến tĩnh yêu cầu rpd chạy trước khi tuyến tĩnh cài đặt tiền tố đích vào bảng định tuyến và chuyển tiếp.
Các tuyến đang hoạt động và các tuyến cụ thể hơn được ưu tiên hơn các tiền tố đích được xác định bằng câu lệnh backup-router.
Định cấu hình một bộ định tuyến dự phòng chạy IPv4 cho bộ định tuyến
Trong ví dụ minh họa trong Hình 1, bộ định tuyến dự phòng là cổng mặc định của mạng quản lý.
Theo yêu cầu, địa chỉ bộ định tuyến dự phòng có thể truy cập được và kết nối trực tiếp với giao diện quản lý trên hai thiết bị định tuyến (fxp0 và me0).
Hình 1: Cấu trúc liên kết mẫu của bộ định tuyến dự phòng
Theo tùy chọn, thay vì định cấu hình bộ định tuyến dự phòng ở cấp phân cấp [edit system], bạn có thể sử dụng nhóm cấu hình, như được hiển thị trong quy trình này. Đây là phương pháp hay nhất được khuyến nghị để định cấu hình bộ định tuyến dự phòng, đặc biệt nếu thiết bị có Công cụ định tuyến kép (Routing Engines). Thủ tục này sử dụng các nhóm được gọi là re0 và re1 làm ví dụ.
Để định cấu hình bộ định tuyến dự phòng chạy IPv4:
Định cấu hình một bộ định tuyến dự phòng chạy IPv6 cho bộ định tuyến
Định cấu hình Bộ định tuyến dự phòng cho Thiết bị Dòng SRX
Quy trình này mô tả cách quản lý hai thiết bị Sê-ri SRX ở chế độ cụm khung sử dụng cấu hình bộ định tuyến dự phòng. Địa chỉ bộ định tuyến dự phòng có thể truy cập được và được kết nối trực tiếp với các giao diện quản lý trên cụm khung SRX (fxp0).
Khi bạn định cấu hình bộ định tuyến dự phòng cho các thiết bị Sê-ri SRX ở chế độ cụm khung, cấu hình bộ định tuyến dự phòng chỉ tạo điều kiện truy cập quản lý trên nút dự phòng. Bạn cho phép truy cập vào nút chính thông qua định tuyến trên nút chính. Khi bạn định cấu hình bộ định tuyến dự phòng, Junos OS sẽ đưa một tuyến vào bảng chuyển tiếp trên nút phụ. Bạn không thể xem bảng định tuyến trên nút phụ vì hệ thống con định tuyến không chạy trên nút phụ. Ví dụ này sử dụng các nhóm node0 và node1.
Trên đây là hướng dẫn cách cấu hình thiết bị Juniper chúng tôi muốn giới thiệu đến các bạn. Hy vọng bài viết sẽ cung cấp cho các bạn những thông tin bổ ích.
Xem thêm: Cách các ngăn chặn tấn công DDOS
