juniper路由器配置手册Word文件下载.docx
《juniper路由器配置手册Word文件下载.docx》由会员分享,可在线阅读,更多相关《juniper路由器配置手册Word文件下载.docx(21页珍藏版)》请在冰豆网上搜索。
Root#Setsystemroot-authenticationplain-text-password
设备初次启动只有root用户,root用户为最高权限用户,缺省没有密码,配置root管理员口令,日常运维不使用root用户。
Root#Setsystemloginuser<
username>
classsuper-userauthenticationplain-text-password
设置帐号密码
增加一个用户,此用户为管理员(Super-user)级别,
classread-onlyauthenticationplain-text-password
增加一个用户,此用户为ReadOnly(read-only)级别,用来查看配置信息、机箱状况和log信息。
用户级别定义
terry#setsystemloginclasstestclasspermissionsall
增加一个用户类别名称为testcalss,其权限为所有权限,根据不同的权限组合,可以定义不同级别的管理员用户
可以定义的权限有:
access可以查看访问配置
access-control可以改变访问控制
admin可以查看用户帐号
admin-control可以改变用户帐号
all所有的要限均打开
clear可以清除学习到的路由信息
configure可以进入配置模式
control可以改变任何配置
field可以用DEBUG工具
firewall可以查看防火墙(ACL)配置
firewall-control可以改变防火墙(ACL)配置
flow-tap可以查看flow-tap配置
flow-tap-control可以改变flow-tap配置
flow-tap-operation能够tapflows
interface可以查看interface配置
interface-control可以改变interface配置
maintenance可以变成超级用户
network可以访问网络信息
reset可以reset/restart接口和进程
rollback可以回退到以前保存下来的配置s
routing可以查看routing配置
routing-control可以改变routing配置
secret可以查看加密信息
secret-control可以改变secret加密信息
security可以查看安全配置
security-control可以改变安全配置
shell进以进入shell界面
snmp可以查看SNMP配置
snmp-control可以改变SNMP配置
system可以查看system配置
system-control可以改变system配置
trace可以查看tracefile设置
trace-control可以改变tracefile设置
view可以查看当前的运行状态信息
view-configuration可以查看所有配置(不包括加密部分)
设置系统登录
terry#setsystemservicesssh
设置系统允许SSH登录
terry#setsystemservicessshprotocol-versionv2
设置登录使用的SSH版本为V2版本
terry#setsystemservicessshprotocol-versionv2rate-limit5
设置通过SSH方式每分钟最多登录进来的人数为5人
terry#setsystemservicessshrate-limit5connection-limit4
设置通过SSH方式能够同时登录进来4人
Syslog设置
Root#Setsystemsyslogfile<
file-name>
archivesize2mfiles10
设置SYSLog文件容量为2m和数量为10个。
anyinfo
设置SYSLog文件中log下来的内容
terry#setsystemsyslogfile<
interactive-commandsany
为方便审计,将管理员操作时输入的所有命令LOG下来,syslog文件名为log-com
例:
#showsystemsyslog
syslog{
user*{
anyemergency;
}
filemessages{
anynotice;
authorizationinfo;
filelog-com{
interactive-commandsany;
}
Group配置
Group配置的目的是清晰的显示目前连接的RE信息。
此配置仅对配置冗余RE的路由器有用。
Setgroupsre0systemhostname<
-RE0
Setgroupsre1systemhostname<
-RE1
Setapply-group[re0re1]
Chassis配置
Username#Editchassis;
进入Chassis配置子层
Username#Setredundancyrouting-engine0master
配置RE0为主RE
Username#Setredundancyfailoveron-loss-of-keepalive
Username#Setredundancyfailoveron-disk-failure
配置冗余RE的切换条件:
丢失Keepalive或者硬盘故障
Username#Setredundancygraceful-switchoverenable
启动RE的平滑切换功能
Username#Setalarmmanagement-ethernetlink-downignore
关闭带外网管接口linkdown的告警。
注:
本次项目不使用带外网管。
System下的应用配置
Juniper路由器在缺省情况下不打开任何服务,要开启服务,均需要管理员去开启,
Setsystemserviceftp
打开FTP服务
Setsystemservicetelnet
Setinterfacefe-0/0/0proxy-arp
在接口上打开ARPPROXY服务
Interface配置
此项配置内容最为烦杂,在配置时需特便仔细。
为了维护方便,所有端口均配置Description,标识连接的对端设备端口。
EditInterface
进入端口配置子层。
浙江电力共有以下几种端口类型:
GE:
;
POS155M/622M:
核心和骨干设备配置大量的POS端口;
POS端口需要配置描述、时钟、封装PPP、SonetOption等信息;
所有的POS接口均配置IP地址信息,打开MPLS功能。
E1/CE1:
部分路由器的互联端口,所有E1/CE1均配置Unframe格式;
FE:
GE端口配置实例:
Setge-0/0/0description“ConnectToWZ-M20-GE-0/0/0”
Setge-0/0/0mtu1600
Setge-0/0/0unit0familyinetaddress/30
Setge-0/0/0unit0familympls
POS端口配置实例:
Setso-0/1/0description“ConnectToWZ-M20-SO-0/0/0”
Setso-0/1/0clockinternal
Setso-0/1/0encapsulationppp
Setso-0/1/0sonet-optionfcs32
Setso-0/1/0sonet-optionpayload-scrambler
Setso-0/1/0sonet-optionrfc-2615
Setso-0/1/0unit0familyinetaddress/30
Setso-0/1/0unit0familyinetmpls
E1端口配置实例:
Setce1-0/3/0no-partitioninterface-typee1
Setso-0/1/0description“ConnectToNingbo-M20-E1-0/0/0”
Sete1-0/3/0e1-optionfcs16
Sete1-0/3/0e1-optionframingg704
Sete1-0/3/0encapsulationppp
Sete1-0/3/0familyinetaddress/30
Sete1-0/3/0familyinetmpls
FE端口配置实例:
Setfe-1/3/0description"
connecttovpn-rtswitch"
Setfe-1/3/0vlan-tagging
Setfe-1/3/0unit1vlan-id1familyinetaddress/30
Setfe-1/3/0unit3vlan-id3familyinetaddress/24
Setfe-1/3/0unit1vlan-id4familyinetaddress.24
Setfe-1/3/0unit1vlan-id5familyinetaddress.24
Setfe-1/3/0unit1vlan-id6familyinetaddress.24
LoopBack端口配置:
loopback端口是路由器的一个虚端口,往往用来标识路由器,作为RouteID使用。
Setunit0familyinetaddress/32
路由协议配置
OSPF协议配置
Ospf基本配置
Terry#editprotocolsospf
进入OSPF协议配置
Terry#setospfarea0interface<
interface-name>
设置路由器接口属于ospfarea0
Terry#setospfarea0interfacepassive
设置路由器loopback接口属于ospfarea0
Terry#setospfarea1interface<
metric<
number>
设置路由器接口属于ospfarea1并设置其metric值
Terry#setospfarea1nssa//stub区域设置类似,只需将nssa改为stub
设置ospfarea1为NSSA类型
Terry#setospfarea1nssadefault-lsadefault-metric10
设置ospfarea1为NSSA类型,并且为AREA1产生一个缺省路由
Terry#setospfarea1nssadefault-lsatype-7
设置ospfarea1为NSSA类型,并且不向该区发送type-3的LSA
Terry#setospfarea1nssano-summaries
设置ospfarea1为totallyNSSA类型,
Terry#setospfarea1area-range/22
将AREA1的路由归纳后,传到AREA0
OSPF邻居间认证配置
Terry#setospfarea0authentication-typemd5
在OSPF协议AREA0启用MD5认证方式
Terry#setospfarea0interfaceinterface-nameauthenticationmd510key"
$9$FJwU6CK"
在接口上设置认证密码
Terry#setarea1authentication-typesimple
在OSPF协议AREA1启用明文认证方式
Terry#setarea1interfaceinterface-nameauthenticationsimple-password"
$9$bUY4ZQO"
路由重发布
###以一个路由器把从RIP学来的路由重发布到OSPF中为例来说明###
1,配置重发布的策略
Terry#editpolicy-optionspolicy-statementrip-ospf
编辑一个策略,名字为rip-ospf,目的是把从RIP学来的路由,发布到OSPF中去
terry#setterm1fromprotocolrip//来自于RIP协议的路由
terry#setterm1thenaccept//发布到OSPF
terry#setterm2fromroute-filter/24exact//来自路由表中的一个确定的路由
terry#setterm2thenaccept//重发布到OSPF中去
terry#setterm3thenreject//其他的路由不做重发布
2,应用重发布的策略
terry#setprotocolsospfexportrip-ospf
OSPF配置示例:
protocols{
ospf{
reference-bandwidth1g;
area{
authentication-typemd5;
##Warning:
'
authentication-type'
isdeprecated
interface{
authentication{
md510key"
$9$FJwU6CuKvLX-w"
;
##SECRET-DATA
interface-typenbma;
$9$fQ39SyKvLN"
passive;
nssa{
default-lsa{
default-metric10;
metric-type2;
type-7;
no-summaries;
area-range/22;
metric20;
seprotocolsospfreference-bandwidth1g
seprotocolsospfareaauthentication-typemd5
setprotocolsospfareainterfaceauthenticationmd510key"
$9$FJwU6CuKvLX"
seprotocolsospfareainterfaceinterface-typenbma
seprotocolsospfareainterfaceauthenticationmd510key"
setprotocolsospfareainterfacepassive
setprotocolsospfareanssadefault-lsadefault-metric10
setprotocolsospfareanssadefault-lsametric-type2
setprotocolsospfareanssadefault-lsatype-7
setprotocolsospfareanssano-summaries
setprotocolsospfareaarea-range/22
setprotocolsospfareainterfacemetric20
IBGP协议配置
terry#setprotocolsbgpgroup<
group-name>
typeinternal
设置一个IBGPGROUP,类型为internal
local-address<
Local-address>
设置本地地址,一般为本机LOOPBACK地址
export<
policy-name>
设置路由重发布,把特定的路由发布到BGP中去,policy的写法见OSPF中的路由重发布
neighbor<
neighbor-address>
设置邻居地址。
一般是邻居的Loopback地址。
terry#setrouting-optionsautonomous-system65412
设置本机的AS号
案例:
terry#setprotocolsbgpgroupinternaltypeinternal
terry#setprotocolsbgpgroupinternallocal-address
terry#setprotocolsbgpgroupinternalexportibgp
terry#setprotocolsbgpgroupinternalneighbor
protocols{
bgp{
groupinternal{
typeinternal;
local-address;
exportibgp;
neighbor;
EBGP协议配置
typeexternal
设置一个IBGPGROUP,类型为external
peer-as<
peer-asnumber>
设置邻居的地址和AS号
terry#setprotocolsbgpgroupexttypeexternal
terry#setprotocolsbgpgroupextneighborpeer-as65222
RR配置
Terry#setprotocolsbgpgroup<
cluster<
cluster-id>
通过Cluster命令在BGP协议中启用RR功能,
setprotocolsbgpgroupinternaltypeinternal
setprotocolsbgpgroupinternallocal-address
setprotocolsbgpgroupinternalcluster
setprotocolsbgpgroupinternalneighbor
groupinternal{
升级会员 