JUNIPERMX多业务路由器配置与维护手册.docx

JUNIPERMX多业务路由器配置与维护手册.docx

《JUNIPERMX多业务路由器配置与维护手册.docx》由会员分享，可在线阅读，更多相关《JUNIPERMX多业务路由器配置与维护手册.docx（50页珍藏版）》请在冰豆网上搜索。

JUNIPERMX多业务路由器配置与维护手册

JUNIPERMX系列路由器

配置规范与维护手册

国脉中讯网络科技有限公司

版权所有XX

文档类别

设备维护■工程实施□流程规范□

配置案例□故障案例□行政管理□

基础理论□

文档密级

内部公开□内部限制□外部公开□

外部限制■绝密文档□

文档作者

谢京

文档审核

文档摘要

当前文档版本

V1.0

文档所属部门

文档使用对象

记修订录

版本

修订日期

修订说明

编写/修订人

V1.0

2012-9-29

第一次发布

配置规范

系统基本配置

设备名称配置

配置说明：

规范设备命名，唯一性标识网内的每台设备，用于对网内的每台设备进行区分，方便设备管理，提高可读性和可管理性。

配置规范：

单路由引擎路由器的设备名称配置：

setsystemhostnamehostname

双路由引擎路由器的设备名称配置（采用组方式进行配置，当登录RE0时显示RE0所设置的名称，当登录RE1时显示RE1所设置的名称）：

setgroupsre0systemhost-namehostname-re0

setgroupsre1systemhost-namehostname-re1

setapply-groups[re0re1]

注意如果一台路由器即配置了system层级下的名称，也配置了组方式的名称，则system层级下的名称优先，从而组方式的名称就失效。

配置验证：

配置提交后立即生效，hostname显示在配置命令行”>”或”#”提示符的左边。

系统时区配置

配置说明：

统一设备的时区配置，便于设备的管理及LOG信息的查看。

配置规范：

配置系统时区为东八区，北京时区（JUNIPER路由器中没有北京这个选项，但有上海和重庆，建议选择上海就可以了）：

setsystemtime-zoneAsia/Shanghai

配置验证：

在设备上通过以下命令查看：

showconfigurationsystemtime-zone

showsystemuptime

NTP配置

NTP基本配置

配置说明：

设置设备硬件时间与NTP服务器的时间同步，使用NTP定期同步网络上所有设备的时间，保证网络设备得到正确的时间。

配置规范：

配置主和备两组NTP服务器，版本V3（默认就为V3版本），指定本地发出NTP消息的接口loopback0：

setsystemntpserver192.168.1.1prefer/*配置主用NTP服务器*/

setsystemntpserver192.168.1.2/*配置备用NTP服务器*/

setsystemntpsource-address1.1.1.1/*配置发给NTP服务器的包的源地址，正常建议设备为lo0.0IP地址*/

配置验证：

在设备上通过以下命令查看：

showntpassociations

showntpstatus

Telnet服务配置

Telnet连接数配置

配置说明：

对同时远程登陆到设备上的session数进行限制，可以防止大量的session连接占用过多系统资源，同时便于集中运维，保证故障期间的正常处理。

配置规范：

开启telnet服务功能，配置并发连接数限制为10个

setsystemservicestelnet

setsystemservicestelnetconnection-limit10

配置验证：

showsystemconnections|match"\*.23"

tcp400*.23*.*LISTEN

在没有配置限制连接数时，连接数限制数默认为75个。

Telnet空闲时间配置

配置说明：

设置了Telnet超时功能，当空闲时间超过设定值后，Telnet线程断开，防止未被授权的人员在操作员离开后进行非法操作。

配置规范：

设置空闲时间为10分钟，在10分钟内无键盘输入将退出登录

setsystemloginclassadminidle-timeout10/*登录时间为10分钟*/

setsystemloginclassadminpermissionsall/*定义class的权限*/

setsystemloginuserabcclassadmin/*添加用户到admin组中/*

配置验证：

用新建立的用户登陆设备后

lab>showcli

CLIcomplete-on-spacesettoon

CLIidle-timeoutsetto10minutes<<<

系统用户配置

Root用户密码配置

配置说明：

对于一台新设备，默认的root超级用户的密码为空的，但在高版本的系统中，如果没有对root配置一个密码，则其它配置就提交不成功，因此在做其它配置前需要对root密码进行设置，修改密码也是通过同样的方式。

配置规范：

lab#setsystemroot-authenticationplain-text-password

Newpassword:

/*输入两次大于等6个字符，含字母和数字的密码*/

Retypenewpassword:

配置验证：

用户通过console接口使用root用户登录时，需要输入密码才能进入。

用户权限类配置

配置说明：

用户权限类配置

配置规范：

setsystemloginclasshighpermissionsall

配置验证：

showconfigurationsystemloginclass

本地用户帐号配置

配置说明：

本地用户帐号配置

配置规范：

setsystemloginusertestclasshighauthenticationplain-text-password

配置验证：

showconfigurationsystemlogin

SYSLOG配置

配置说明：

配置SYSLOG服务器地址，发送日志到制定服务器

配置规范：

设置信息级别level，禁止信息级别大于所设置的severity的信息输出。

信息中心按信息的严重等级或紧急程度划分为八个级别，如下表所示，越紧急其信息级别越小，emergencies表示的等级为0，debugging为7。

setsystemsysloghost218.73.91.66anywarning

从一台路由器发出的日志消息，默认的源地址是发送该日志消息的接口的IP地址，但用户可以通过配置命令改变这个源地址。

对不同的路由器设置不同的源地址，就可以通过源地址判断日志消息是从哪台路由器发出的，从而便于对收到的日志消息检索。

setsystemsysloghost218.73.91.66source-addressx.x.x.x#x.x.x.x为loopback地址#

配置验证：

showconfigurationsystemsyslog

SNMP配置

SNMP基本配置

配置说明：

SNMPV1、SNMPV2C采用团体名认证，与设备认可的团体名不符的SNMP报文将被丢弃。

SNMP团体（Community）由一字符串来命名，称为团体名（CommunityName）。

不同的团体可具有只读（read-only）或读写（read-write）访问模式。

具有只读权限的团体只能对设备信息进行查询，而具有读写权限的团体还可以对设备进行配置。

配置community字符串不要过于简单，一般应由字母、数字及特殊字符等组成，用于提高SNMP协议安全。

配置规范：

SNMPRead-only配置

setsnmpcommunitynms[*]111authorizationread-only

setsnmpcommunitynms[*]111clients1.1.1.1/32

MX960的SNMPcommunity字符串不支持”@”符号。

SNMPRead-write配置

setsnmpcommunityrwnms[*]111authorizationread-write

setsnmpcommunityrwnms[*]111clients2.2.2.2/32

为安全起见，不建议开启SNMP写功能

配置验证：

showconfigurationsnmp

showsnmpstatist

SNMPTRAP配置

配置说明：

Trap是被管理设备主动向NMS发送的不经请求的信息，用于报告一些紧急的重要事件。

如果需要路由器主动发送这些信息，就必须配置Trap功能。

TRAP信息是SNMP协议唯一可由被管理设备自动发出的不定期回报特殊状况信息。

配置规范：

指定SNMPTRAP服务器地址，将TRAP信息发送到制定服务器

setsnmptrap-groupnocdestination-port162

setsnmptrap-groupnoctargets192.168.1.1

配置设备SNMPTRAP消息源，可以快速定位SNMPTRAP源

setsnmptrap-optionssource-addresslo0

配置验证：

showconfigurationsnmp

showsnmpstatist

接口配置

以太网接口配置

配置说明：

以太网接口的配置，包含10M/100M的FE接口、1000M的GE接口、10GE的XE接口。

配置规范：

无封装VLAN的以太网接口配置

setinterfacesge-X/X/Xdescription"XXXX”/*主接口描述，可选*/

setinterfacesge-X/X/XmtuXXXX/*主接口MTU值，可选*/

setinterfacesge-X/X/Xgigether-optionsno-auto-negotiation/*设置为非协商模式，可选*/

setinterfacesge-X/X/Xspeed1g/*强制端口速率为1G，可选*/

setinterfacesge-X/X/Xunit0description“XXXX”/*子接口描述，可选*/

setinterfacesge-X/X/Xunit0familyinetaddressX.X.X.X/Y

封装VLAN的以太网接口配置

setinterfacesge-X/X/Xdescription"XXXX”/*主接口描述，可选*/

setinterfacesge-X/X/XmtuXXXX/*主接口MTU值，可选*/

setinterfacesge-X/X/Xgigether-optionsno-auto-negotiation/*设置为非协商模式，可选*/

setinterfacesge-X/X/Xspeed1g/*强制端口速率为1G，可选*/

setinterfacesge-X/X/Xvlan-tagging/*启用VLAN封装*/

setinterfacesge-X/X/Xunit100vlan-id100/*配置子接口封装VLAN标签号*/

setinterfacesge-X/X/Xunit100description“XXXX”/*子接口描述，可选*/

setinterfacesge-X/X/Xunit100familyinetaddressX.X.X.X/Y

配置验证：

lab#runshowinterfacesge-X/X/X

LOOPBACK配置

配置说明：

配置loopback地址作为设备的系统标识（用于某些协议）、管理地址或作为专线和宽带拨号用户的参考网关。

配置规范：

为每一个virutla-route配置一个loopback0接口，掩码为32位，做为管理地址。

setinterfaceslo0unit0familyinetaddressX.X.X.X/32

setinterfaceslo0description“XXX”/*接口描述*/

配置验证：

lab#showinterfaceslo0.0

以太网聚合接口配置

配置说明：

配置规范：

setchassisaggregated-devicesethernetdevice-count50/*设置系统最大支持的聚合端口数，设置完后系统会自动生成也设置数量的聚合端口*/

setinterfacesae0description"TO-[FZYC-BB-ICP-RT01-NE5000E]"

setinterfacesae0unit0familyinetaddress211.138.149.218/30

setinterfacesge-0/0/0descriptionTo-ae0

setinterfacesge-0/0/0gigether-options802.3adae0

setinterfacesge-0/0/1descriptionTo-ae0

setinterfacesge-0/0/1gigether-options802.3adae0

配置验证：

lab#showinterfacesae0

路由协议配置

AS号配置

配置说明：

设置路由器所在的网络的自治系统号（AS号），AS号分为全球分配的公共号，和私有的AS号。

BGP要建立邻居关系，路由器也必须配置有一个AS号。

配置规范：

setrouting-optionsautonomous-system64610

配置验证：

showconfigurationrouting-optionsautonomous-system

ROUTER-ID配置

配置说明：

配置路由器router-id，通常路由协议传递路由信息时需要。

配置规范：

setrouting-optionsrouter-id1.1.1.1

配置验证：

showconfigurationrouting-optionsrouter-id

静态路由配置

配置说明：

静态路由配置。

配置规范：

基本静态路由配置

setrouting-optionsstaticroute192.168.10.0/24next-hop192.168.1.2

打TAG的静态路由

setrouting-optionsstaticroute192.168.10.0/24tag100

浮动静态路由

setrouting-optionsstaticroute192.168.10.0/24qualified-next-hop192.168.2.2preference10

配置验证：

showconfigurationrouting-optionsstatic

showrouteprotocolstatic

聚合路由配置

配置说明：

将明细路由汇聚成一条路由发布给对端，这样可以减少路由表大小。

此聚合路由生效的前提条件是必须有一条生效的明细路由。

配置规范：

setrouting-optionsaggregateroute60.12.16.0/21

配置验证：

showconfigurationrouting-optionsaggregate

showrouteprotocolaggregate

OSPF协议配置

配置说明：

配置规范：

配置验证：

BGP协议配置

配置说明：

EBGP运行在城域网出口路由器与163、CN2骨干网路由器之间，实现城域网向骨干网发布城域网内的路由，并从骨干网接收缺省和网外路由。

IBGP运行在城域网核心层和业务接入控制层，承载用户路由。

配置规范：

关闭BGP自动路由汇总特性。

关闭IGP与BGP的同步。

开启BGPDAMPING，避免路由抑制对业务的影响。

关闭bgpalways-compare-med

宣告给163的城域网路由携带MED属性，设置MED=0。

城域网以ORIGINIGP的方式对外发布路由。

明确配置BGProuter-id为Loopback0地址。

根据需要确定BGPMultihop的TTL值，对大部分情况，配置EBGPMultihop为2，以及BGPTTLSecurity检测。

明确配置新式community格式。

记录BGP邻居变化。

BGP不采用密码建立邻居关系

EBGP和IBGP负载均衡数目配置为8。

配置BGP出方向路由过滤，宣告给省网路由尽量合并，采用PREFIX和NETWORK宣告。

使用Loopback地址与骨干核心建立EBGP关系，不使用接口建立关系，启用EBGPTTL检测。

BGPTIMER参数keepalive和Holdtime定时器统一为60s与180s。

EBGP:

setprotocolsbgpgroupEBGPtypeexternal

setprotocolsbgpgroupEBGPmultihopttl255

setprotocolsbgpgroupEBGPlocal-address220.162.235.1

setprotocolsbgpgroupEBGPimportrp_ChinaNet_To_MAN

setprotocolsbgpgroupEBGPauthentication-keyjuniper

setprotocolsbgpgroupEBGPexportBGP-OUT

setprotocolsbgpgroupEBGPpeer-as64123

setprotocolsbgpgroupEBGPmultipath

setprotocolsbgpgroupEBGPneighbor202.97.32.150descriptionXXXX

setprotocolsbgpgroupEBGPneighbor202.97.32.151descriptionXXXX

IBGP:

setprotocolsbgpgroupIBGPtypeinternal

setprotocolsbgpgroupIBGPlocal-address1.1.1.1

setprotocolsbgpgroupIBGPlog-updown

setprotocolsbgpgroupIBGPdamping

setprotocolsbgpgroupIBGPexportroute-to-bgp

setprotocolsbgpgroupIBGPcluster1.1.1.1

setprotocolsbgpgroupIBGPneighbor220.162.235.34descriptionXXXX

配置验证：

showconfigurationprotocolsbgp

showbgpsummary

showrouteprotocolbgp

MPLS协议配置

配置说明：

MPLS协议配置。

配置规范：

setinterfacesge-0/1/4unit0familympls

setprotocolsmplsinterfacege-0/1/4.0

配置验证：

showmplsinterface

showconfigurationprotocolsmpls

路由策略配置

前缀列表配置

配置说明：

前缀列表配置

配置规范：

setpolicy-optionsprefix-listpl_test58.251.57.0/24

setpolicy-optionsprefix-listpl_test58.251.58.0/24

setpolicy-optionsprefix-listpl_test58.251.59.0/24

配置验证：

showconfigurationpolicy-optionsprefix-listpl_test

AS-PATH配置

配置说明：

AS-PATH配置

配置规范：

setpolicy-optionsas-pathgame_as".*65000"

配置验证：

showconfigurationpolicy-optionsas-pathgame_as

COMMUNITY配置

配置说明：

COMMUNITY配置

配置规范：

setpolicy-optionscommunityMANmembers64724:

1991

配置验证：

showconfigurationpolicy-optionscommunityMAN

路由策略定义配置

配置说明：

路由策略定义配置

配置规范：

setpolicy-optionspolicy-statementstatic-redistributeterm1fromprotocolstatic

setpolicy-optionspolicy-statementstatic-redistributeterm1fromroute-filter192.168.1.0/24exact

setpolicy-optionspolicy-statementstatic-redistributeterm1thenaccept

配置验证：

showconfigurationpolicy-optionspolicy-statementstatic-redistribute

路由策略应用配置

配置说明：

路由策略应用配置

配置规范：

setprotocolsisisexportstatic-redistribute

配置验证：

showconfigurationprotocolsisis

ACL配置

POLICER限速配置

配置说明：

POLICER限速配置

配置规范：

setfirewallpolicer1mif-exceedingbandwidth-limit1m

setfirewallpolicer1mif-exceedingburst-size-limit50k

setfirewallpolicer1mthendiscard

配置验证：

showconfigurationfirewallpolicer1m

ACL定义配置

配置说明：

ACL定义配置

配