Configuración Inicial y de Sistema

 

El Estado de Fábrica (Factory Default)

Cuando un equipo Juniper sale de la caja (o se resetea), viene con una configuración mínima:

  • Usuario: root

  • Contraseña: No tiene (está en blanco).

  • Restricción Crítica: Junos no te permite hacer commit a ninguna configuración hasta que le pongas una contraseña al usuario root. Es una medida de seguridad obligatoria.

       

    Identidad y Acceso Básico

    Para que el equipo sea identificable en la red, configuramos los parámetros globales dentro de la jerarquía [edit system].

  • Hostname: Nombre del dispositivo.

  • Root Authentication: Método de entrada para el superusuario.

  • Mensaje del día (MOTD): El banner que aparece al conectar. 

 

  Ejemplo:

 

--- JUNOS 20.4R3.8 Kernel 64-bit  JNPR-11.0-20210618.f43645e_buil
root@JUNIPER-LAB:~ # cli

root@JUNIPER-LAB> configure

root@JUNIPER-LAB# set system host-name JUNIPER-LAB


root@JUNIPER-LAB# set system root-authentication plain-text-password
New password:
Retype new password:


root@JUNIPER-LAB# commit
commit complete

Con estos parámetros ya quedaría configurado el nombre y la contraseña.


 

Servicios del Sistema (Management)

Para la gestion eficiente se debe habilitar protocolos de gestión:

  • SSH: Para acceso remoto seguro (reemplaza a Telnet).

     

    root@JUNIPER-LAB# set system services ssh

    [edit]
    root@JUNIPER-LAB# set system services ssh connection-limit 5

    [edit]
    root@JUNIPER-LAB# set system services ssh rate-limit 3

    [edit]
    root@JUNIPER-LAB# show | compare
    [edit system services ssh]
    +    connection-limit 5;
    +    rate-limit 3;

    [edit]
    root@JUNIPER-LAB# commit
    commit complete
     

    Nota: 

     A diferencia de Cisco, no necesitas generar llaves RSA manualmente; Junos las crea automáticamente al activar el servicio.

     

  • NETCONF: Protocolo basado en XML que usan las herramientas de automatización para hablar con Juniper.

  • NTP: Sincronización de hora (vital para que los logs tengan sentido).


    [edit]
    root@JUNIPER-LAB# set system ntp server 162.159.200.1

    [edit]
    root@JUNIPER-LAB# set system ntp server 162.159.200.123 prefer
     

     [edit]
    root@JUNIPER-LAB# commit
    commit complete

     

  • Syslog: Envío de eventos a un servidor externo.

  • # Guardar eventos críticos en el archivo "messages" local
    set system syslog file messages any critical
    set system syslog file messages authorization info

    # Enviar logs a un servidor remoto (tu servidor de monitoreo)
    set system syslog host 10.10.10.50 any notice


Creación de Usuario:


jcluser@vMX-addr-0# set system login user naranjo class ?
Possible completions:
  <class>              Login class
  operator             permissions [ clear network reset trace view ]
  read-only            permissions [ view ]
  super-user           permissions [ all ]
  unauthorized         permissions [ none ]
[edit]
jcluser@vMX-addr-0# set system login user naranjo class super-user   authentication plain-text-password 

New password:   

 

Niveles de Usuario (Login Classes)

En lugar de los "privilege levels" (0-15) de Cisco, Juniper usa Login Classes. Puedes crear las tuyas o usar las predefinidas:

  1. super-user: Permiso total (equivalente a root).

  2. operator: Solo comandos de monitoreo (show), no puede configurar.

  3. read-only: Solo ver la configuración, no puede ver estadísticas de tráfico.

  4. unauthorized: Sin permisos.


     

    La Configuración de Rescate (Rescue Configuration)

     
    Es una copia de seguridad que guardas manualmente y que puedes invocar si alguien daña la configuración principal.

    Comando operativo: request system configuration rescue save

    Verificar que existe: root@JUNIPER-LAB> file list /config/rescue.conf.gz

     Para cargarla: rollback rescue 

      

     

    ConceptoComando / UbicaciónImportancia
    Password de Rootset system root-authentication...Obligatorio para el primer commit.
    Acceso Remotoset system services sshHabilita gestión por red.
    Niveles de Permisoset system login user X class YControl de acceso basado en roles.
    Rescue Configrequest system configuration rescue...Plan de emergencia ante fallos.
    Reset de Fábricaload factory-defaultBorra todo excepto el archivo de licencia.

     

     

    Estructura Raiz 

     

     [raíz]
     ┃
     ┣━━ system { }                (Identidad y Gestión del "Host")
     ┃    ┣━━ host-name            (Nombre del equipo)
     ┃    ┣━━ root-authentication  (Password de administrador - Obligatorio)
     ┃    ┣━━ services { }         (ssh, netconf, dhcp-local-server)
     ┃    ┣━━ syslog { }           (Logs locales y remotos)
     ┃    ┗━━ ntp { }              (Sincronización de tiempo)
     ┃
     ┣━━ chassis { }               (Configuración Física del Hardware)
     ┃    ┣━━ aggregated-devices   (Define cuántos 'ae' soportará el equipo)
     ┃    ┗━━ fpc / pic / slot     (Administración de tarjetas físicas)
     ┃
     ┣━━ interfaces { }            (Cables, Unidades y Direccionamiento)
     ┃    ┗━━ <nombre-interfaz>    (ge-0/0/0, xe-1/0/0, ae0)
     ┃         ┗━━ unit <#>        (Unidad lógica - Obligatoria)
     ┃              ┗━━ family     (inet, inet6, bridge, iso)
     ┃                   ┗━━ address (IP / Máscara)
     ┃
     ┣━━ routing-options { }       (Configuración Global de Enrutamiento)
     ┃    ┣━━ router-id            (Identidad para protocolos)
     ┃    ┣━━ static { }           (Rutas estáticas / Next-hops)
     ┃    ┗━━ autonomous-system    (Número de AS para BGP)
     ┃
     ┣━━ protocols { }             (Procesos de Enrutamiento Activos)
     ┃    ┣━━ ospf { }             (Áreas, Interfaces, Vecinos)
     ┃    ┣━━ bgp { }              (Grupos, Vecinos, Atributos)
     ┃    ┗━━ lldp / lacp / mpls   (Protocolos de Capa 2 y Etiquetado)
     ┃
     ┣━━ policy-options { }        (Lógica de Control de Rutas - Route Maps)
     ┃    ┗━━ policy-statement     (Filtros para importar/exportar rutas)
     ┃         ┗━━ term            (Condiciones: From / Then)
     ┃
     ┗━━ firewall { }              (Seguridad de Datos - ACLs)
          ┗━━ family <tipo>        (inet, inet6, ethernet-switching)
               ┗━━ filter <nombre> (Reglas de filtrado de paquetes)

     


Configuración de TACACS+



Definir el servidor TACACS+:

set system tacplus-server <IP-servidor> port 49 secret <secreto-compartido>


Configurar el orden de autenticación:
Establezca TACACS+ como método principal y asegúrese de incluir password (local) como respaldo.

set system authentication-order tacplus password


Configurar la dirección IP de origen (recomendado):
Para asegurar que las solicitudes salgan con una IP específica (como Loopback0).


set system tacplus-server 192.168.1.10 source-address <IP-origen>



Configurar la autorización (opcional pero recomendado):
Permite que el servidor TACACS+ asigne permisos de usuario al iniciar sesión.


set system login user <nombre-usuario> class <clase-permisos>


No hay comentarios:

Publicar un comentario

Suscribirse a: Entradas (Atom)

  ¡Bienvenido/a Si estás aquí, es porque las redes, los cables, los routers y las configuraciones ya no son un misterio… o quizá justo lo ...

  • (sin título)
      ¡Bienvenido/a Si estás aquí, es porque las redes, los cables, los routers y las configuraciones ya no son un misterio… o quizá justo lo ...