系统用户配置
Root用户密码配置
配置说明:
对于一台新设备,默认的root超级用户的密码为空的,但在高版本的系统中,如果没有对root配置一个密码,则其它配置就提交不成功,因此在做其它配置前需要对root密码进行设置,修改密码也是通过同样的方式。
配置规范:
lab#setsystemroot-authenticationplain-text-password
Newpassword:
/*输入两次大于等6个字符,含字母和数字的密码*/
Retypenewpassword:
配置验证:
用户通过console接口使用root用户登录时,需要输入密码才能进入。
用户权限类配置
配置说明:
用户权限类配置
配置规范:
setsystemloginclasshighpermissionsall
配置验证:
showconfigurationsystemloginclass
本地用户帐号配置
配置说明:
本地用户帐号配置
配置规范:
setsystemloginusertestclasshighauthenticationplain-text-password
配置验证:
showconfigurationsystemlogin
SYSLOG配置
配置说明:
配置SYSLOG服务器地址,发送日志到制定服务器
配置规范:
设置信息级别level,禁止信息级别大于所设置的severity的信息输出。
信息中心按信息的严重等级或紧急程度划分为八个级别,如下表所示,越紧急其信息级别越小,emergencies表示的等级为0,debugging为7。
setsystemsysloghost218.73.91.66anywarning
从一台路由器发出的日志消息,默认的源地址是发送该日志消息的接口的IP地址,但用户可以通过配置命令改变这个源地址。
对不同的路由器设置不同的源地址,就可以通过源地址判断日志消息是从哪台路由器发出的,从而便于对收到的日志消息检索。
setsystemsysloghost218.73.91.66source-addressx.x.x.x#x.x.x.x为loopback地址#
配置验证:
showconfigurationsystemsyslog
SNMP配置
SNMP基本配置
配置说明:
SNMPV1、SNMPV2C采用团体名认证,与设备认可的团体名不符的SNMP报文将被丢弃。
SNMP团体(Community)由一字符串来命名,称为团体名(CommunityName)。
不同的团体可具有只读(read-only)或读写(read-write)访问模式。
具有只读权限的团体只能对设备信息进行查询,而具有读写权限的团体还可以对设备进行配置。
配置community字符串不要过于简单,一般应由字母、数字及特殊字符等组成,用于提高SNMP协议安全。
配置规范:
SNMPRead-only配置
setsnmpcommunitynms[*]111authorizationread-only
setsnmpcommunitynms[*]111clients1.1.1.1/32
MX960的SNMPcommunity字符串不支持”@”符号。
SNMPRead-write配置
setsnmpcommunityrwnms[*]111authorizationread-write
setsnmpcommunityrwnms[*]111clients2.2.2.2/32
为安全起见,不建议开启SNMP写功能
配置验证:
showconfigurationsnmp
showsnmpstatist
SNMPTRAP配置
配置说明:
Trap是被管理设备主动向NMS发送的不经请求的信息,用于报告一些紧急的重要事件。
如果需要路由器主动发送这些信息,就必须配置Trap功能。
TRAP信息是SNMP协议唯一可由被管理设备自动发出的不定期回报特殊状况信息。
配置规范:
指定SNMPTRAP服务器地址,将TRAP信息发送到制定服务器
setsnmptrap-groupnocdestination-port162
setsnmptrap-groupnoctargets192.168.1.1
配置设备SNMPTRAP消息源,可以快速定位SNMPTRAP源
setsnmptrap-optionssource-addresslo0
配置验证:
showconfigurationsnmp
showsnmpstatist
接口配置
以太网接口配置
配置说明:
以太网接口的配置,包含10M/100M的FE接口、1000M的GE接口、10GE的XE接口。
配置规范:
无封装VLAN的以太网接口配置
setinterfacesge-X/X/Xdescription"XXXX”/*主接口描述,可选*/
setinterfacesge-X/X/XmtuXXXX/*主接口MTU值,可选*/
setinterfacesge-X/X/Xgigether-optionsno-auto-negotiation/*设置为非协商模式,可选*/
setinterfacesge-X/X/Xspeed1g/*强制端口速率为1G,可选*/
setinterfacesge-X/X/Xunit0description“XXXX”/*子接口描述,可选*/
setinterfacesge-X/X/Xunit0familyinetaddressX.X.X.X/Y
封装VLAN的以太网接口配置
setinterfacesge-X/X/Xdescription"XXXX”/*主接口描述,可选*/
setinterfacesge-X/X/XmtuXXXX/*主接口MTU值,可选*/
setinterfacesge-X/X/Xgigether-optionsno-auto-negotiation/*设置为非协商模式,可选*/
setinterfacesge-X/X/Xspeed1g/*强制端口速率为1G,可选*/
setinterfacesge-X/X/Xvlan-tagging/*启用VLAN封装*/
setinterfacesge-X/X/Xunit100vlan-id100/*配置子接口封装VLAN标签号*/
setinterfacesge-X/X/Xunit100description“XXXX”/*子接口描述,可选*/
setinterfacesge-X/X/Xunit100familyinetaddressX.X.X.X/Y
配置验证:
lab#runshowinterfacesge-X/X/X
LOOPBACK配置
配置说明:
配置loopback地址作为设备的系统标识(用于某些协议)、管理地址或作为专线和宽带拨号用户的参考网关。
配置规范:
为每一个virutla-route配置一个loopback0接口,掩码为32位,做为管理地址。
setinterfaceslo0unit0familyinetaddressX.X.X.X/32
setinterfaceslo0description“XXX”/*接口描述*/
配置验证:
lab#showinterfaceslo0.0
以太网聚合接口配置
配置说明:
配置规范:
setchassisaggregated-devicesethernetdevice-count50/*设置系统最大支持的聚合端口数,设置完后系统会自动生成也设置数量的聚合端口*/
setinterfacesae0description"TO-[FZYC-BB-ICP-RT01-NE5000E]"
setinterfacesae0unit0familyinetaddress211.138.149.218/30
setinterfacesge-0/0/0descriptionTo-ae0
setinterfacesge-0/0/0gigether-options802.3adae0
setinterfacesge-0/0/1descriptionTo-ae0
setinterfacesge-0/0/1gigether-options802.3adae0
配置验证:
lab#showinterfacesae0
路由协议配置
AS号配置
配置说明:
设置路由器所在的网络的自治系统号(AS号),AS号分为全球分配的公共号,和私有的AS号。
BGP要建立邻居关系,路由器也必须配置有一个AS号。
配置规范:
setrouting-optionsautonomous-system64610
配置验证:
showconfigurationrouting-optionsautonomous-system
ROUTER-ID配置
配置说明:
配置路由器router-id,通常路由协议传递路由信息时需要。
配置规范:
setrouting-optionsrouter-id1.1.1.1
配置验证:
showconfigurationrouting-optionsrouter-id
静态路由配置
配置说明:
静态路由配置。
配置规范:
基本静态路由配置
setrouting-optionsstaticroute192.168.10.0/24next-hop192.168.1.2
打TAG的静态路由
setrouting-optionsstaticroute192.168.10.0/24tag100
浮动静态路由
setrouting-optionsstaticroute192.168.10.0/24qualified-next-hop192.168.2.2preference10
配置验证:
showconfigurationrouting-optionsstatic
showrouteprotocolstatic
聚合路由配置
配置说明:
将明细路由汇聚成一条路由发布给对端,这样可以减少路由表大小。
此聚合路由生效的前提条件是必须有一条生效的明细路由。
配置规范:
setrouting-optionsaggregateroute60.12.16.0/21
配置验证:
showconfigurationrouting-optionsaggregate
showrouteprotocolaggregate
OSPF协议配置
配置说明:
配置规范:
配置验证:
BGP协议配置
配置说明:
EBGP运行在城域网出口路由器与163、CN2骨干网路由器之间,实现城域网向骨干网发布城域网内的路由,并从骨干网接收缺省和网外路由。
IBGP运行在城域网核心层和业务接入控制层,承载用户路由。
配置规范:
关闭BGP自动路由汇总特性。
关闭IGP与BGP的同步。
开启BGPDAMPING,避免路由抑制对业务的影响。
关闭bgpalways-compare-med
宣告给163的城域网路由携带MED属性,设置MED=0。
城域网以ORIGINIGP的方式对外发布路由。
明确配置BGProuter-id为Loopback0地址。
根据需要确定BGPMultihop的TTL值,对大部分情况,配置EBGPMultihop为2,以及BGPTTLSecurity检测。
明确配置新式community格式。
记录BGP邻居变化。
BGP不采用密码建立邻居关系
EBGP和IBGP负载均衡数目配置为8。
配置BGP出方向路由过滤,宣告给省网路由尽量合并,采用PREFIX和NETWORK宣告。
使用Loopback地址与骨干核心建立EBGP关系,不使用接口建立关系,启用EBGPTTL检测。
BGPTIMER参数keepalive和Holdtime定时器统一为60s与180s。
EBGP:
setprotocolsbgpgroupEBGPtypeexternal
setprotocolsbgpgroupEBGPmultihopttl255
setprotocolsbgpgroupEBGPlocal-address220.162.235.1
setprotocolsbgpgroupEBGPimportrp_ChinaNet_To_MAN
setprotocolsbgpgroupEBGPauthentication-keyjuniper
setprotocolsbgpgroupEBGPexportBGP-OUT
setprotocolsbgpgroupEBGPpeer-as64123
setprotocolsbgpgroupEBGPmultipath
setprotocolsbgpgroupEBGPneighbor202.97.32.150descriptionXXXX
setprotocolsbgpgroupEBGPneighbor202.97.32.151descriptionXXXX
IBGP:
setprotocolsbgpgroupIBGPtypeinternal
setprotocolsbgpgroupIBGPlocal-address1.1.1.1
setprotocolsbgpgroupIBGPlog-updown
setprotocolsbgpgroupIBGPdamping
setprotocolsbgpgroupIBGPexportroute-to-bgp
setprotocolsbgpgroupIBGPcluster1.1.1.1
setprotocolsbgpgroupIBGPneighbor220.162.235.34descriptionXXXX
配置验证:
showconfigurationprotocolsbgp
showbgpsummary
showrouteprotocolbgp
MPLS协议配置
配置说明:
MPLS协议配置。
配置规范:
setinterfacesge-0/1/4unit0familympls
setprotocolsmplsinterfacege-0/1/4.0
配置验证:
showmplsinterface
showconfigurationprotocolsmpls
路由策略配置
前缀列表配置
配置说明:
前缀列表配置
配置规范:
setpolicy-optionsprefix-listpl_test58.251.57.0/24
setpolicy-optionsprefix-listpl_test58.251.58.0/24
setpolicy-optionsprefix-listpl_test58.251.59.0/24
配置验证:
showconfigurationpolicy-optionsprefix-listpl_test
AS-PATH配置
配置说明:
AS-PATH配置
配置规范:
setpolicy-optionsas-pathgame_as".*65000"
配置验证:
showconfigurationpolicy-optionsas-pathgame_as
COMMUNITY配置
配置说明:
COMMUNITY配置
配置规范:
setpolicy-optionscommunityMANmembers64724:
1991
配置验证:
showconfigurationpolicy-optionscommunityMAN
路由策略定义配置
配置说明:
路由策略定义配置
配置规范:
setpolicy-optionspolicy-statementstatic-redistributeterm1fromprotocolstatic
setpolicy-optionspolicy-statementstatic-redistributeterm1fromroute-filter192.168.1.0/24exact
setpolicy-optionspolicy-statementstatic-redistributeterm1thenaccept
配置验证:
showconfigurationpolicy-optionspolicy-statementstatic-redistribute
路由策略应用配置
配置说明:
路由策略应用配置
配置规范:
setprotocolsisisexportstatic-redistribute
配置验证:
showconfigurationprotocolsisis
ACL配置
POLICER限速配置
配置说明:
POLICER限速配置
配置规范:
setfirewallpolicer1mif-exceedingbandwidth-limit1m
setfirewallpolicer1mif-exceedingburst-size-limit50k
setfirewallpolicer1mthendiscard
配置验证:
showconfigurationfirewallpolicer1m
ACL定义配置
配置说明:
ACL定义配置
配