вторник, 16 декабря 2014 г.

Копирование файлов (прошивки/конфиги) на и с Cisco ISR (SSH / SCP)

Взято отсюда: http://blog.prorouting.com/2013/12/easy-transfer-of-files-tofrom-cisco.html

Easy transfer of files to/from Cisco Router

As a consultant, I'm constantly working remotely with people but still need an easy way of transferring files with a router (captures, OS files, etc).  This tip is 101 stuff but since I needed to help someone today with this I thought I would pass it along.

My little scenario here is an example using IOS routers but I've also tested it on XE.

When I need to upload or download files to/from a router, I like to use SCP to transfer the files.  I like this better then trying to stand up an FTP or TFTP server.  This is especially handy when working with devices outside the firewall.  SCP uses Secure Shell (SSH) to securely copy files.  With SCP you connect directly to the device and transfer files back and forth.  This is useful for transferring captures or OS files.

On the router, you'll need to enable SSH, AAA, and SCP.

ip domain-name company.com

hostname routername

crypto key generate rsa general-keys modulus 2048

ip ssh version 2

username someuser privilege 15 secret somepassword

aaa new-model

aaa authentication login default local

aaa authorization exec default local

Enable SCP on the router.

ip scp server enable

Starting in 6.0(2)N1(1), NX-OS also supports SCP.
Enable with:

feature scp-server

On Mac or Linux, to push or pull the files, you can use the built in command line.

You don't have to but I suggest going to the directory on your computer where the file you want to upload is or where you want to download the file to.  Open terminal on your Mac or Linux to run the commands below.

Download file:
In this example I'm downloading the file callfail to the current local directory.  In case you don't catch it, the dot at the end means the current local directory.
scp username@5.5.5.5:flash:callfail .

In this example I'm downloading the file callfail to my Documents folder.
scp username@5.5.5.5:flash:callfail Documents/


Upload file:
In this example I'm uploading the IOS from the local directory to the router.
scp c2900-universalk9-mz.SPA.151-4.M7.bin username@5.5.5.5:flash:c2900-universalk9-mz.SPA.151-4.M7.bin

If you happen to be on Windows, WinSCP and PSCP (from the makers of putty) are pretty popular.  WinSCP is a GUI based option, PSCP is CLI like above.

Cisco Reference Doc:
http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/sec_secure_copy_ps6922_TSD_Products_Configuration_Guide_Chapter.html

I recommend disabling the SCP server when not needed.

В качестве scp клиента можно пользоваться тем, что включен в пакет Putty.
 

Преобразование ознакомительных (eval) версий Windows Server 2012/2012R2 в розничные версии (corporate)

Большинство ознакомительных версий можно преобразовать в полноценные розничные версии, но способы такого преобразования зависят от конкретного выпуска. Перед попыткой преобразования версии убедитесь, что на вашем сервере действительно работает ознакомительная версия. Для этого выполните одно из следующих действий.

    В командной строке с повышенными привилегиями введите команду slmgr.vbs /dlv. В ознакомительных версиях вывод будет включать строку "EVAL".

    На начальном экране откройте Панель управления. Откройте компонент Система и безопасность, а затем страницу Система. Просмотрите состояние активации Windows в области активации Windows страницы "Система". Щелкните Подробнее об активации Windows для получения дополнительных сведений о состоянии активации вашей системы.

Если вы уже активировали Windows, на рабочем столе будет отображаться время, оставшееся для ознакомительного периода.

Если на сервере вместо ознакомительной версии установлена розничная версия, инструкции по обновлению до Windows Server 2012 см. в разделе "Обновление предыдущих лицензионных версий" этого документа.

Для Windows Server 2012 Essentials вы можете преобразовать ознакомительную версию в коммерческую, введя розничный ключ, ключ многократной установки или ключ OEM в команде slmgr.vbs.

Если на сервере установлена ознакомительная версия Windows Server 2012 Standard или Windows Server 2012 Datacenter, вы можете преобразовать ее в розничную версию следующим образом.

    Если сервер является контроллером домена, вы не можете преобразовать его в розничную версию. В этом случае установите дополнительный контроллер домена на сервере с установленной розничной версией и удалите AD DS с контроллера домена, на котором установлена ознакомительная версия. Дополнительные сведения см. в разделе http://technet.microsoft.comlibrary/hh994618.aspx.

    Прочтите условия лицензионного соглашения.

    В командной строке с повышенными привилегиями определите имя текущего выпуска с помощью команды DISM /online /Get-CurrentEdition. Запишите идентификатор выпуска, представляющий собой сокращенное имя выпуска. Затем выполните команду DISM /online /Set-Edition:<edition ID> /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula, предоставив ей идентификатор выпуска и розничный ключ продукта. Сервер дважды перезагрузится.

Вы можете также преобразовать ознакомительную версию Windows Server 2012 Standard в розничную версию Windows Server 2012 Datacenter за одно действие, используя ту же команду и соответствующий ключ продукта.

Резюмируя:
DISM /online /Get-CurrentEdition
получить что-то вроде такого: 
Cистема DISM
Версия: 6.3.9600.16384
Версия образа: 6.3.9600.16384
Текущий выпуск:
Текущий выпуск : ServerStandardEval

 DISM /online /Set-Edition:ServerStandard /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula

активироватьslmgr /ato
потом проверить
slmgr /xpr

пятница, 3 октября 2014 г.

Аналог команды netstat в cisco

В мемориззз,

раньше (сильно давно) была show ip sockets, теперь так:

show control-plane host open-ports
Active internet connections (servers and established)
Prot               Local Address             Foreign Address                  Service    State
 tcp                        *:22                         *:0               SSH-Server   LISTEN
 tcp                        *:23                         *:0                   Telnet   LISTEN
 tcp                       *:179                         *:0                      BGP   LISTEN
 tcp                       *:179                         *:0                      BGP   LISTEN
 tcp                      *:1720                         *:0                    H.225   LISTEN
 tcp                      *:5061                         *:0         CCSIP_TLS_SOCKET   LISTEN
 tcp                      *:5060                         *:0                      SIP   LISTEN
 udp                        *:69                         *:0              TFTP-Server   LISTEN
 udp                       *:123                         *:0                      NTP   LISTEN
 udp                       *:161                         *:0                  IP SNMP   LISTEN
 udp                       *:162                         *:0                  IP SNMP   LISTEN
 udp                      *:1975                         *:0                      IPC   LISTEN
 udp                     *:49153                         *:0                  IP SNMP   LISTEN

понедельник, 26 мая 2014 г.

Hitachi HUS VM/VSP включение и отключение system option 721

На память, полезная опция, чтобы не пришлось "передергивать" все диски при изменении типа RAID'а или количества дисков в PDEV'ах - SOM (system option) 721 выставляется в режиме "mode" - переход из SVP App Ctrl+Shift+m с сервисным паролем, после этого опции будут доступны для включения и отключения. Помнить! После перенастройки PDEV'ов перед отдачей в продакшен эту опцию нужно отключить!

Посмотреть WWN HBA адаптера в Windows 2012/(R2)

В мемориззз,

из PowerShell'а обращение к WMI с выборкой и переконвертацией из HEX вида:

Get-WmiObject -class MSFC_FCAdapterHBAAttributes -namespace "root\WMI" | ForEach-Object {(($_.NodeWWN) | ForEach-Object {"{0:x}" -f $_}) -join ":"}

а проще никак (((???

четверг, 27 марта 2014 г.

Включение DES в Windows 7

В мемориззз,

Запускаем оснастку secpol.msc
Local Policies / Локальные Политики
Security Options / Параметры безопасности
Network security: Configure encryption types allowed for Kerberos / Сетевая безопасность: настройка типов шифрования, разрешенных Kerberos
выбираем DES_CBC_CRC,DES_CBC_MD5,... да и остальное.


воскресенье, 16 февраля 2014 г.

Cisco ISR просмотр и создание файлов на локальном флеше

Иногда требуется удаленно сделать изменения на роутере с риском  потерять контроль над железкой, для этого можно использовать команды:
reload at _точное_время_
reload in _интервал_минут_
reload cancel (отмена предыдущих назначенных перезагрузок)
Но что делать, если точно известно, что связь потеряется (смена адресов на интерфейсе и пр.)?
Нужно создать нужный startup config на флеше и прогрузить его.
Сделать это можно с использованием встроенного интерпретатора TCL:
tclsh
puts [open "flash:test_new.cfg" w+] {_вставляем_сюда_текст_конфига_}
Стоит помнить, что используется буфер ввода команд SSH/telnet, большой конфиг нужно копипастить кусками!
для редактирования (есть геморрой с нумерацией строчек!):
puts [open "flash:test.cfg" a+] {...}
Просмотреть файлы на флеше - классической командой:
more  flash:test.cfg

Juniper SRX два провайдера и VPN NHTB

Удалось покрутить несколько SRX'ов, в результате получилось такое...:
Hints:
Рекомендуется перед commit'ами выполнять show | compare, это покажет изменения с последнего коммита.
---
Настройка VLAN
Создаем VLAN с определнным тэгом и присваиваем ему имя
set vlans VLAN20VOICE vlan-id 20
Создаем SVI интерфейс с нужным адресом
set interfaces vlan unit 20 family inet address 10.254.20.1/24
Связываем VLAN (L2) и SVI (L3)
set vlans VLAN20VOICE l3-interface vlan.20
Помещаем нужный порт в VLAN (в два приема - сначала нужно убрать из "старого" VLAN'а, а потом добавить в новый, иначе commit не пройдет)
delete interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members vlan-trust
set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members VLAN20VOICE
Для создания VLAN-транкового порта используется только unit 0 интерфейса. Сначала определяем этот порт как транковый, потом добавляем его в VLAN
set interfaces ge-0/0/6 unit 0 family ethernet-switching port-mode trunk
set interfaces ge-0/0/6 unit 0 family ethernet-switching vlan members vlan-trust
set interfaces ge-0/0/6 unit 0 family ethernet-switching vlan members VLAN20VOICE
Для определения native VLAN'а
set interfaces ge-0/0/6 unit 0 family ethernet-switching native-vlan-id 20
Настройка DHCP
set system services dhcp pool 10.254.20.0/24 address-range low 10.254.20.11 high 10.254.20.199
set system services dhcp pool 10.254.20.0/24 router 10.254.20.1
set system services dhcp pool 10.254.20.0/24 name-server 4.2.2.2
set system services dhcp pool 10.254.20.0/24 exclude-address 10.254.20.100
все настройки делаются "внутри" pool'а (можно сделать и "глобальную" настройку через просто set system services dhcp router ... и прочее)
Чтобы все "богатство" (VLAN и DHCP) таки заработало, нужно поместить интерфейсы в security zone'ы и разрешить взаимодействие.
Чтобы не париться с явными разрешениями между зонами (политики), можно сразу разрешить хождение трафика между всеми интерфейсами и зонами:
set security policies default-policy permit-all
но это потенциальная прореха в безопасности! Так что делаем правильно:
set security zones security-zone COLAN interfaces vlan.20 host-inbound-traffic system-services all
set security zones security-zone COLAN interfaces vlan.20 host-inbound-traffic protocols all
Теперь подключенный к порту 6 клиент получит по DHCP адрес и сможет получить выход в сеть.
run show system services dhcp binding
IP address Hardware address Type Lease expires at
10.254.20.11 xx:xx:xx:xx:xx:xx dynamic 201x-xx-xx 17:48:06 MSK
Также помещаем в security zone'ы интерфейсы ко внешним провайдерам:
set security zones security-zone ZISP1 interfaces ge-0/0/14.0 host-inbound-traffic system-services all
set security zones security-zone ZISP1 interfaces ge-0/0/14.0 host-inbound-traffic protocols all
set security zones security-zone ZISP2 interfaces ge-0/0/15.0 host-inbound-traffic system-services all
set security zones security-zone ZISP2 interfaces ge-0/0/15.0 host-inbound-traffic protocols all
delete interfaces ge-0/0/14 unit 0 family ethernet-switching
delete interfaces ge-0/0/15 unit 0 family ethernet-switching
set interfaces ge-0/0/14 unit 0 family inet address 10.0.14.2/24
set interfaces ge-0/0/15 unit 0 family inet address 10.0.15.2/24
Настраиваем маршруты по умолчанию на провайдеров:
set routing-options static route 0.0.0.0/0 next-hop 10.0.14.1
set routing-options static route 0.0.0.0/0 qualified-next-hop 10.0.15.1 preference 10

Настало время настройки NAT
Определим пулы адресов (можно и на интерфейс NAT'ить), несколько вариантов, даже для одного единственного адреса:
set security nat source pool ISP1POOL address 10.0.14.2/32
set security nat source pool ISP2POOL address 10.0.15.2/32 to 10.0.15.2/32
Определяем правила, по которым будет осуществляться преобразование адресов источника (Source NAT)
set security nat source rule-set LAN_to_ISP1 from zone COLAN
set security nat source rule-set LAN_to_ISP1 to zone ZISP1
set security nat source rule-set LAN_to_ISP1 rule DATA_ISP1 match source-address 10.254.10.0/24
set security nat source rule-set LAN_to_ISP1 rule DATA_ISP1 match destination-address 0.0.0.0/0
set security nat source rule-set LAN_to_ISP1 rule DATA_ISP1 then source-nat pool ISP1POOL
set security nat source rule-set LAN_to_ISP1 rule VOICE_ISP1 match source-address 10.254.20.0/24
set security nat source rule-set LAN_to_ISP1 rule VOICE_ISP1 match destination-address 0.0.0.0/0
set security nat source rule-set LAN_to_ISP1 rule VOICE_ISP1 then source-nat pool ISP1POOL
set security nat source rule-set LAN_to_ISP1 rule VIDEO_ISP1 match source-address 10.254.30.0/24
set security nat source rule-set LAN_to_ISP1 rule VIDEO_ISP1 match destination-address 0.0.0.0/0
set security nat source rule-set LAN_to_ISP1 rule VIDEO_ISP1 then source-nat pool ISP1POOL
set security nat source rule-set LAN_to_ISP2 from zone COLAN
set security nat source rule-set LAN_to_ISP2 to zone ZISP2
set security nat source rule-set LAN_to_ISP2 rule TO_ISP2 match source-address 10.254.10.0/24
set security nat source rule-set LAN_to_ISP2 rule TO_ISP2 match source-address 10.254.20.0/24
set security nat source rule-set LAN_to_ISP2 rule TO_ISP2 match source-address 10.254.30.0/24
set security nat source rule-set LAN_to_ISP2 rule TO_ISP2 then source-nat pool ISP2POOL
Варианты с несколькими правилами и с одним правилом с несколькими сетями, также можно добавить и правила, исключающие отдельные подсети (например, подсети назначения через VPN) из NAT'а. Не забываем поставить это правило ВПЕРЕДИ!!! остальных правил:
set security nat source rule-set LAN_to_ISP1 rule VPN_EXEPT match source-address 10.254.10.0/24
set security nat source rule-set LAN_to_ISP1 rule VPN_EXEPT match source-address 10.254.20.0/24
set security nat source rule-set LAN_to_ISP1 rule VPN_EXEPT match source-address 10.254.30.0/24
set security nat source rule-set LAN_to_ISP1 rule VPN_EXEPT match destination-address 172.16.0.0/12
set security nat source rule-set LAN_to_ISP1 rule VPN_EXEPT then source-nat off
ставим это правило первым:
insert security nat source rule-set LAN_to_ISP1 rule VPN_EXEPT before rule DATA_ISP1
Разрешаем трафик между зонами
set security policies from-zone COLAN to-zone ZISP1 policy INET_ISP1 match source-address any destination-address any application any
set security policies from-zone COLAN to-zone ZISP1 policy INET_ISP1 then permit
Для второго провайдера:
set security policies from-zone COLAN to-zone ZISP2 policy INET_ISP2 match source-address any destination-address any application any
set security policies from-zone COLAN to-zone ZISP2 policy INET_ISP2 then permit
Для NAT'а с пулом из нескольких адресов понадобится еще настроить proxy-arp.
Пробросы портов, например, в филиале подключены два девайса, к которым можно достучаться по портам 22 и 80:
run show system services dhcp binding
IP address Hardware address Type Lease expires at
172.16.0.72 xx:xx:xx:xx:xx:xx dynamic 201x-xx-xx 02:51:40 MSK
172.16.0.13 xx:xx:xx:xx:xx:xx dynamic 201x-xx-xx 03:18:39 MSK
SSH на 172.16.0.72 и HTTP на 172.16.0.13, пусть они будут доступны извне с адреса 10.0.16.2 с портов 65022 и 65080, соответственно. Для этого добавим записи в адресные книги для этих "серверов" и зададим правила NAT:
в филиале мы используем глобальную адресную книгу (в отличие от ЦО, где настройка должна была быть на уровне set security zones security-zone COLAN address-book address ADDRBOOKSERVER1SSH 172.16.0.72)
set security address-book global address SERVER1SSH 172.16.0.72/32
set security address-book global address SERVER2HTTP 172.16.0.13/32
Разрешаем хождение трафика
set security policies from-zone ISP1 to-zone FILIAL1LAN policy FORWARDSSH match source-address any destination-address [SERVER1SSH SERVER2HTTP] application any
set security policies from-zone ISP1 to-zone FILIAL1LAN policy FORWARDSSH then permit
добавляем пулы внутренних адресов (приватный адрес "сервера" и порт)
set security nat destination pool SSHSERV1 address 172.16.0.72 port 22
set security nat destination pool HTTPSERV2 address 172.16.0.13 port 80
создаем непосредственно правила трансляции
set security nat destination rule-set FORWARDS from zone ISP1
set security nat destination rule-set FORWARDS rule FWDSSH1 match destination-address 10.0.16.2
set security nat destination rule-set FORWARDS rule FWDSSH1 match destination-port 65022
set security nat destination rule-set FORWARDS rule FWDSSH1 then destination-nat pool SSHSERV1
set security nat destination rule-set FORWARDS rule FWDHTTP1 match destination-address 10.0.16.2
set security nat destination rule-set FORWARDS rule FWDHTTP1 match destination-port 65080
set security nat destination rule-set FORWARDS rule FWDHTTP1 then destination-nat pool HTTPSERV2

Для переключения между каналами настроим функцию ip-monitoring'а.
Сначала определим хосты, по ответам которых будет определена доступность сети через соответствующего провайдера. Для этого воспользуемся сервисом RPM (Real-time Performance Monitoring)
set services rpm probe PROBESERV test OPENDNS probe-type icmp-ping
set services rpm probe PROBESERV test OPENDNS target address 4.2.2.2
set services rpm probe PROBESERV test OPENDNS source-address 10.254.10.1
set services rpm probe PROBESERV test OPENDNS destination-interface ge-0/0/14.0
set services rpm probe PROBESERV test OPENDNS next-hop 10.0.14.1
Также нужно определить еще и параметры проверки:
- количество ping'ов за цикл проверки - probe-count,
- интервал между циклами проверок - probe-interval,
- количество неудачных проверок, прежде, чем будет применена политика - thresholds successive-loss.
set services rpm probe PROBESERV test OPENDNS probe-count 5
set services rpm probe PROBESERV test OPENDNS probe-interval 2
set services rpm probe PROBESERV test OPENDNS thresholds successive-loss 3
Самое главное - тест нужно производить не один раз, а с определенной периодичностью:
set services rpm probe PROBESERV test OPENDNS test-interval 5
Привяжем проверку к сервису ip-monitoring'а
set services ip-monitoring policy ROUTEMONITOR match rpm-probe PROBESERV
назначаем действие при непрохождении тестов (изменение предпочтительного маршрута по умолчанию
set services ip-monitoring policy ROUTEMONITOR then preferred-route route 0.0.0.0/0 next-hop 10.0.15.1

Настройка VPN с применением технологии NHTB (Next-Hop Tunnel Binding).
Для начала, мануал рекомендует создать адрессные книги (Address-book) для списков подсетей. Несмотря на указанные в доке (http://www.juniper.net/techpubs/en_US/junos-space/topics/concept/junos-space-security-design-global-address-book-overview.html) ограничения использования zone-based address-book:
Note: Beginning in Junos OS Release 12.1, zone-based address books are no longer supported. Devices running Junos OS Release 12.1 or later must use the global address book.
создаются эти зональные книги легко (JUNOS Software Release [12.1R3.5]), при этом, создать одновременно зональные и глобальную книги не получится (Zone specific address books are not allowed when there are global address books defined).
На Хабе (VPN Hub) настраиваем:
set security zones security-zone COLAN address-book address ADDRBOOKVOICE 10.254.20.0/24
set security zones security-zone COLAN address-book address ADDRBOOKDATA 10.254.10.0/24
set security zones security-zone COLAN address-book address ADDRBOOKVIDEO 10.254.30.0/24
Объединим эти адреса в набор адресов, чтобы позднее не плодить множество записей (многие-ко-многим):
set security zones security-zone COLAN address-book address-set COLANSET address ADDRBOOKDATA
set security zones security-zone COLAN address-book address-set COLANSET address ADDRBOOKVIDEO
set security zones security-zone COLAN address-book address-set COLANSET address ADDRBOOKVOICE
для филала 1
set security zones security-zone COVPNHUB address-book address ADDRBOOKF1DATA 172.16.0.0/26
set security zones security-zone COVPNHUB address-book address ADDRBOOKF1VOICE 172.16.0.64/26
set security zones security-zone COVPNHUB address-book address ADDRBOOKF1VIDEO 172.16.0.128/26
Также объединим книги в набор:
set security zones security-zone COVPNHUB address-book address-set FILIALSADDRSET address ADDRBOOKF1DATA
set security zones security-zone COVPNHUB address-book address-set FILIALSADDRSET address ADDRBOOKF1VIDEO
set security zones security-zone COVPNHUB address-book address-set FILIALSADDRSET address ADDRBOOKF1VOICE
Сделаем адресные книги для второго филиала и также добавим их в набор:
set security zones security-zone COVPNHUB address-book address ADDRBOOKF2DATA 172.16.2.0/26
set security zones security-zone COVPNHUB address-book address ADDRBOOKF2VOICE 172.16.2.64/26
set security zones security-zone COVPNHUB address-book address ADDRBOOKF2VIDEO 172.16.2.128/26
set security zones security-zone COVPNHUB address-book address-set FILIALSADDRSET address ADDRBOOKF2DATA
set security zones security-zone COVPNHUB address-book address-set FILIALSADDRSET address ADDRBOOKF2VOICE
set security zones security-zone COVPNHUB address-book address-set FILIALSADDRSET address ADDRBOOKF2VIDEO

Создадим шаблоны для фаз IPSec VPN (IKEv1, IPSec):
set security ike proposal AES256_SHA1_DH2_PSK encryption-algorithm aes-256-cbc authentication-algorithm sha1 dh-group group2 authentication-method pre-shared-keys lifetime-seconds 86400
set security ipsec proposal AES256_PFS2_SHA1 encryption-algorithm aes-256-cbc authentication-algorithm hmac-sha1-96 protocol esp lifetime-seconds 3600
Для политики IKE укажем режим работы и ключ аутентификации:
set security ike policy IKE_VPN1 mode main proposals AES256_SHA1_DH2_PSK pre-shared-key ascii-text Qwerty1!
Укажем адреса филиалов, к которым будут строиться туннели.
set security ike gateway FIL1GW ike-policy IKE_VPN1 external-interface ge-0/0/14.0 address 10.0.16.2
set security ike gateway FIL2GW ike-policy IKE_VPN1 external-interface ge-0/0/14.0 address 10.0.17.2
И свяжем с политиками IPSec и интерфейсу VPN каналов st0.0 (он работает в multipoint режиме).
set security ipsec policy COIPSECPOL proposals AES256_PFS2_SHA1 perfect-forward-secrecy keys group2
set security ipsec vpn IPSECTOFIL1 ike gateway FIL1GW ipsec-policy COIPSECPOL
set security ipsec vpn IPSECTOFIL1 bind-interface st0.0
set security ipsec vpn IPSECTOFIL2 ike gateway FIL2GW ipsec-policy COIPSECPOL
set security ipsec vpn IPSECTOFIL2 bind-interface st0.0
Настроим интерфейс каналов VPN st0.0
set interfaces st0 unit 0 multipoint
set interfaces st0 unit 0 family inet address 172.31.254.254/21
(это подсеть 172.31.248.0/21 маска 255.255.248.0 - 2048 адресов, 2046 хостов)
Добавим статические маршруты в подсети филиалов через их st0.0 интерфейсы:
set routing-options static route 172.16.0.0/26 next-hop 172.31.248.1
set routing-options static route 172.16.0.64/26 next-hop 172.31.248.1
set routing-options static route 172.16.0.128/26 next-hop 172.31.248.1

Разрешим прохождение трафика между зонами локальными, филиальными и между филиалами.
set security policies from-zone COLAN to-zone COVPNHUB policy FRMCOTOFILIALS match source-address COLANSET destination-address FILIALSADDRSET application any
set security policies from-zone COLAN to-zone COVPNHUB policy FRMCOTOFILIALS then permit
set security policies from-zone COVPNHUB to-zone COLAN policy FROMFILIALSTOCOLAN match source-address FILIALSADDRSET destination-address COLANSET application any
set security policies from-zone COVPNHUB to-zone COLAN policy FROMFILIALSTOCOLAN then permit
set security policies from-zone COVPNHUB to-zone COVPNHUB policy FILIALTOFILIAL match source-address FILIALSADDRSET destination-address FILIALSADDRSET application any
set security policies from-zone COVPNHUB to-zone COVPNHUB policy FILIALTOFILIAL then permit
Рекомендуется выставить TCP-MSS для туннелей 1350.
set security flow tcp-mss ipsec-vpn mss 1350

В филиалах производятся во многом "зеркальные" настройки.
Здесь используем глобальную адресную книгу:
для Центрального Офиса
set security address-book global address ADDRBOOKDATA 10.254.10.0/24
set security address-book global address ADDRBOOKVOICE 10.254.20.0/24
set security address-book global address ADDRBOOKVIDEO 10.254.30.0/24
set security address-book global address-set COLANSET address ADDRBOOKDATA
set security address-book global address-set COLANSET address ADDRBOOKVOICE
set security address-book global address-set COLANSET address ADDRBOOKVIDEO
И для филиалов:
set security address-book global address ADDRBOOKF1DATA 172.16.0.0/26
set security address-book global address ADDRBOOKF1VOICE 172.16.0.64/26
set security address-book global address ADDRBOOKF1VIDEO 172.16.0.128/26
set security address-book global address ADDRBOOKF2DATA 172.16.2.0/26
set security address-book global address ADDRBOOKF2VOICE 172.16.2.64/26
set security address-book global address ADDRBOOKF2VIDEO 172.16.2.128/26
set security address-book global address-set FILIALSADDRSET address ADDRBOOKF1DATA
set security address-book global address-set FILIALSADDRSET address ADDRBOOKF1VOICE
set security address-book global address-set FILIALSADDRSET address ADDRBOOKF1VIDEO
set security address-book global address-set FILIALSADDRSET address ADDRBOOKF2DATA
set security address-book global address-set FILIALSADDRSET address ADDRBOOKF2VOICE
set security address-book global address-set FILIALSADDRSET address ADDRBOOKF2VIDEO
Настроим параметры VPN'а
set security ike policy IKE_VPN1 mode main proposals AES256_SHA1_DH2_PSK pre-shared-key ascii-text Qwerty1!
set security ike gateway TOCO ike-policy IKE_VPN1 external-interface ge-0/0/15.0 address 10.0.14.2
set security ipsec policy COIPSECPOL proposals AES256_PFS2_SHA1 perfect-forward-secrecy keys group2
set security ipsec vpn IPSECTOCO ike gateway TOCO ipsec-policy COIPSECPOL
set security ipsec vpn IPSECTOCO bind-interface st0.0
set interfaces st0 unit 0 family inet address 172.31.248.1/21
set security zones security-zone F1VPN interfaces st0.0
set security zones security-zone F1VPN host-inbound-traffic system-services all
set security zones security-zone F1VPN host-inbound-traffic protocols all
Разрешим трафик между зонами.
set security policies from-zone FILIAL1LAN to-zone F1VPN policy F1LANTOVPN match source-address FILIALSADDRSET destination-address COLANSET application any
set security policies from-zone FILIAL1LAN to-zone F1VPN policy F1LANTOVPN then permit
set security policies from-zone F1VPN to-zone FILIAL1LAN policy FROMVPNTOF1 match source-address COLANSET destination-address FILIALSADDRSET application any
set security policies from-zone F1VPN to-zone FILIAL1LAN policy FROMVPNTOF1 then permit
set security policies from-zone F1VPN to-zone F1VPN policy FILIALTOFILIAL match source-address FILIALSADDRSET destination-address FILIALSADDRSET application any
set security policies from-zone F1VPN to-zone F1VPN policy FILIALTOFILIAL then permit
Исключаем трафик VPN из NAT'а
set security nat source rule-set LAN_to_ISP1 rule VPNEXEPT match source-address-name FILIALSADDRSET destination-address-name FILIALSADDRSET
set security nat source rule-set LAN_to_ISP1 rule VPNEXEPT match source-address-name FILIALSADDRSET destination-address-name COLANSET
set security nat source rule-set LAN_to_ISP1 rule VPNEXEPT then source-nat off
перемещаем это правило в самое начало:
insert security nat source rule-set LAN_to_ISP1 rule VPNEXEPT before rule NAT_ISP1
Статические маршруты на филиальном устройстве:
set routing-options static route 10.254.10.0/24 next-hop 172.31.254.254
set routing-options static route 10.254.20.0/24 next-hop 172.31.254.254
set routing-options static route 10.254.30.0/24 next-hop 172.31.254.254

Чтобы не вводить каждый раз статические маршруты, используем на маршрутизаторах протокол динамической маршрутизации, например, OSPF (не забываем об ограничениях на количество роутеров в одной зоне, но ISIS не поддерживается на st0.0 интерфейсе).
на Хабе настраиваем протокол:
set protocols ospf area 0.0.0.0 interface st0.0 interface-type p2mp
set protocols ospf area 0.0.0.0 interface st0.0 dynamic-neighbors
не обязательно:
set protocols ospf area 0.0.0.0 interface vlan.10
set protocols ospf area 0.0.0.0 interface vlan.20
set protocols ospf area 0.0.0.0 interface vlan.30
вместо этого подсети с этих интерфейсов можно анансировать через passive режим:
set protocols ospf area 0 interface vlan.10 passive
set protocols ospf area 0 interface vlan.20 passive
set protocols ospf area 0 interface vlan.30 passive
на филиальном споке:
set protocols ospf area 0.0.0.0 interface st0.0 interface-type p2mp
set protocols ospf area 0.0.0.0 interface st0.0 neighbor 172.31.254.254
не обязательно:
set protocols ospf area 0.0.0.0 interface vlan.10
set protocols ospf area 0.0.0.0 interface vlan.20
set protocols ospf area 0.0.0.0 interface vlan.30
Ананосируем passive интерфейсы.
Также, я на всякий случай, включил подсеть 224.0.0.0/8 в адресные книги зон безопасности:
set security zones security-zone COVPNHUB address-book address ROUTEPROT 224.0.0.0/8
set security zones security-zone COVPNHUB address-book address-set FILIALSADDRSET address ROUTEPROT
set security zones security-zone COLAN address-book address ROUTEPROTLAN 224.0.0.0/8
set security zones security-zone COLAN address-book address-set COLANSET address ROUTEPROTLAN
на филиале с глобальной адресной книгой:
set security address-book global address ROUTEPROT 224.0.0.0/8
set security address-book global address-set COLANSET address ROUTEPROT
set security address-book global address-set FILIALSADDRSET address ROUTEPROT
в результате получаем обмен маршрутной информацией:
на споке:
run show ospf route
Topology default Route Table:
Prefix Path Route NH Metric NextHop Nexthop
Type Type Type Interface Address/LSP
10.0.14.2 Intra Router IP 1 st0.0 172.31.254.254
10.254.20.0/24 Intra Network IP 2 st0.0 172.31.254.254
172.16.0.64/26 Intra Network IP 1 vlan.20
172.31.248.1/32 Intra Network IP 0
172.31.254.254/32 Intra Network IP 1 st0.0 172.31.254.254
на хабе:
run show ospf route
Topology default Route Table:
Prefix Path Route NH Metric NextHop Nexthop
Type Type Type Interface Address/LSP
10.0.16.2 Intra Router IP 1 st0.0 172.31.248.1
10.254.20.0/24 Intra Network IP 1 vlan.20
172.16.0.64/26 Intra Network IP 2 st0.0 172.31.248.1
172.31.248.1/32 Intra Network IP 1 st0.0 172.31.248.1
172.31.254.254/32 Intra Network IP 0
Если мы не хотим, чтобы какие-то подсети анонсировались нашим смежникам, деактивируем на интерфейсе (или группе интерфейсов) OSPF функционал:
set protocols ospf area 0 interface ge-0/0/0 disable

Бэкап конфигов девайсов:
Создадим resque конфиг
request system configuration rescue save
смотрим, какие файлы конфига вообще есть:
> file list /config
/config:
.snap/
idp-dfa-status.db
jun.conf
jun.txt
juniper.conf.1.gz
juniper.conf.2.gz
juniper.conf.3.gz
juniper.conf.4.gz
juniper.conf.5.gz
juniper.conf.gz
juniper.conf.md5*
license-status.db
rescue.conf.gz
usage.db
> file copy /config/rescue.conf.gz ftp://mik17@192.168.41.52/
Password for mik17@192.168.41.52:
Апгрейд ПО:
например, так
request system software add unlink no-copy ftp://_username_:_password_@_ip_ftp_server_/Software/Juniper/junos-jsr-12.2R1.9-domestic-patched.tgz

Сброс к дефолтовым настройкам.
Есть два варианта:
1. ввод > load factory-default, но этот вариант требует commit'а, а коммит не пройдет пока не будет введен новый root'овый пароль - set system root-authentification plain-text-password.
2. запуск процедуры обнуления > request system zeroize media, в этом случае будут вычещены все журналы, сброшены счетчики, удалена конфигурация и произведен ребут с пустым рутовым паролем.