juniper路由器配置手册.docx

资源描述

juniper路由器配置手册.docx

《juniper路由器配置手册.docx》由会员分享，可在线阅读，更多相关《juniper路由器配置手册.docx（21页珍藏版）》请在冰豆网上搜索。

juniper路由器配置手册.docx

juniper路由器配置手册

浙江电力信息数据网

Juniper路由器配置手册

JuniperNetworks,Inc.

2009-4-13

路由器开箱启动软硬件检测

确认设备电源连接正确，加点启动，使用Console线连接路由器Console接口，首次登陆用户名：

root，无密码。

进入根模式：

％cli

进入OperatingMode

Root>Showchassishardware

查看硬件信息，检测是否所有板卡在线，对应配置清单确认机箱、板卡配置信息是否正确，

Root>Showchassisenvironment

查看机箱温度，正常温度不应超过40摄氏度。

Root>Showchassisalarms

查看告警信息，联调阶段应该有电源模块（因为没有连接冗余电源）和带外管理接口fxp0（没有连接带外网管接口）告警，属正常。

Root>Showversion

查看JUNOS软件版本信息。

System基本配置

System配置是路由器基本信息的配置，包括路由器名称、管理员名称和口令、管理协议、Log等相关信息，

设置系统名称及时区

Root#Setsystemhostname

设置系统的主机名称

Root#Settime-zoneAsia/Shanghai

配置路由器的时区

Root#Setntpserver

配置NTPServer，

Root#Setsystemroot-authenticationplain-text-password

设备初次启动只有root用户，root用户为最高权限用户，缺省没有密码，配置root管理员口令，日常运维不使用root用户。

Root#Setsystemloginuserclasssuper-userauthenticationplain-text-password

设置帐号密码

增加一个用户，此用户为管理员（Super-user）级别，

Root#Setsystemloginuserclassread-onlyauthenticationplain-text-password

增加一个用户，此用户为ReadOnly（read-only）级别，用来查看配置信息、机箱状况和log信息。

用户级别定义

terry#setsystemloginclasstestclasspermissionsall

增加一个用户类别名称为testcalss，其权限为所有权限，根据不同的权限组合，可以定义不同级别的管理员用户

可以定义的权限有：

access可以查看访问配置

access-control可以改变访问控制

admin可以查看用户帐号

admin-control可以改变用户帐号

all所有的要限均打开

clear可以清除学习到的路由信息

configure可以进入配置模式

control可以改变任何配置

field可以用DEBUG工具

firewall可以查看防火墙（ACL）配置

firewall-control可以改变防火墙（ACL）配置

flow-tap可以查看flow-tap配置

flow-tap-control可以改变flow-tap配置

flow-tap-operation能够tapflows

interface可以查看interface配置

interface-control可以改变interface配置

maintenance可以变成超级用户

network可以访问网络信息

reset可以reset/restart接口和进程

rollback可以回退到以前保存下来的配置s

routing可以查看routing配置

routing-control可以改变routing配置

secret可以查看加密信息

secret-control可以改变secret加密信息

security可以查看安全配置

security-control可以改变安全配置

shell进以进入shell界面

snmp可以查看SNMP配置

snmp-control可以改变SNMP配置

system可以查看system配置

system-control可以改变system配置

trace可以查看tracefile设置

trace-control可以改变tracefile设置

view可以查看当前的运行状态信息

view-configuration可以查看所有配置（不包括加密部分）

设置系统登录

terry#setsystemservicesssh

设置系统允许SSH登录

terry#setsystemservicessshprotocol-versionv2

设置登录使用的SSH版本为V2版本

terry#setsystemservicessshprotocol-versionv2rate-limit5

设置通过SSH方式每分钟最多登录进来的人数为5人

terry#setsystemservicessshrate-limit5connection-limit4

设置通过SSH方式能够同时登录进来4人

Syslog设置

Root#Setsystemsyslogfilearchivesize2mfiles10

设置SYSLog文件容量为2m和数量为10个。

Root#Setsystemsyslogfileanyinfo

设置SYSLog文件中log下来的内容

terry#setsystemsyslogfileinteractive-commandsany

为方便审计，将管理员操作时输入的所有命令LOG下来,syslog文件名为log-com

例：

#showsystemsyslog

syslog{

user*{

anyemergency;

}

filemessages{

anynotice;

authorizationinfo;

}

filelog-com{

interactive-commandsany;

}

Group配置

Group配置的目的是清晰的显示目前连接的RE信息。

此配置仅对配置冗余RE的路由器有用。

Setgroupsre0systemhostname-RE0

Setgroupsre1systemhostname-RE1

Setapply-group[re0re1]

Chassis配置

Username#Editchassis；

进入Chassis配置子层

Username#Setredundancyrouting-engine0master

配置RE0为主RE

Username#Setredundancyfailoveron-loss-of-keepalive

Username#Setredundancyfailoveron-disk-failure

配置冗余RE的切换条件：

丢失Keepalive或者硬盘故障

Username#Setredundancygraceful-switchoverenable

启动RE的平滑切换功能

Username#Setalarmmanagement-ethernetlink-downignore

关闭带外网管接口linkdown的告警。

注：

本次项目不使用带外网管。

System下的应用配置

Juniper路由器在缺省情况下不打开任何服务，要开启服务，均需要管理员去开启，

Setsystemserviceftp

打开FTP服务

Setsystemservicetelnet

打开FTP服务

Setinterfacefe-0/0/0proxy-arp

在接口上打开ARPPROXY服务

Interface配置

此项配置内容最为烦杂，在配置时需特便仔细。

为了维护方便，所有端口均配置Description，标识连接的对端设备端口。

EditInterface

进入端口配置子层。

浙江电力共有以下几种端口类型：

GE：

；

POS155M/622M：

核心和骨干设备配置大量的POS端口；POS端口需要配置描述、时钟、封装PPP、SonetOption等信息；所有的POS接口均配置IP地址信息，打开MPLS功能。

E1/CE1：

部分路由器的互联端口，所有E1/CE1均配置Unframe格式；所有的POS接口均配置IP地址信息，打开MPLS功能。

FE：

GE端口配置实例：

Setge-0/0/0description“ConnectToWZ-M20-GE-0/0/0”

Setge-0/0/0mtu1600

Setge-0/0/0unit0familyinetaddress/30

Setge-0/0/0unit0familympls

POS端口配置实例：

Setso-0/1/0description“ConnectToWZ-M20-SO-0/0/0”

Setso-0/1/0clockinternal

Setso-0/1/0encapsulationppp

Setso-0/1/0sonet-optionfcs32

Setso-0/1/0sonet-optionpayload-scrambler

Setso-0/1/0sonet-optionrfc-2615

Setso-0/1/0unit0familyinetaddress/30

Setso-0/1/0unit0familyinetmpls

E1端口配置实例：

Setce1-0/3/0no-partitioninterface-typee1

Setso-0/1/0description“ConnectToNingbo-M20-E1-0/0/0”

Sete1-0/3/0e1-optionfcs16

Sete1-0/3/0e1-optionframingg704

Sete1-0/3/0encapsulationppp

Sete1-0/3/0familyinetaddress/30

Sete1-0/3/0familyinetmpls

FE端口配置实例：

Setfe-1/3/0description"connecttovpn-rtswitch"

Setfe-1/3/0vlan-tagging

Setfe-1/3/0unit1vlan-id1familyinetaddress/30

Setfe-1/3/0unit3vlan-id3familyinetaddress/24

Setfe-1/3/0unit1vlan-id4familyinetaddress.24

Setfe-1/3/0unit1vlan-id5familyinetaddress.24

Setfe-1/3/0unit1vlan-id6familyinetaddress.24

LoopBack端口配置:

loopback端口是路由器的一个虚端口，往往用来标识路由器，作为RouteID使用。

Setunit0familyinetaddress/32

路由协议配置

OSPF协议配置

Ospf基本配置

Terry#editprotocolsospf

进入OSPF协议配置

Terry#setospfarea0interface

设置路由器接口属于ospfarea0

Terry#setospfarea0interfacepassive

设置路由器loopback接口属于ospfarea0

Terry#setospfarea1interfacemetric

设置路由器接口属于ospfarea1并设置其metric值

Terry#setospfarea1nssa//stub区域设置类似,只需将nssa改为stub

设置ospfarea1为NSSA类型

Terry#setospfarea1nssadefault-lsadefault-metric10

设置ospfarea1为NSSA类型,并且为AREA1产生一个缺省路由

Terry#setospfarea1nssadefault-lsatype-7

设置ospfarea1为NSSA类型,并且不向该区发送type-3的LSA

Terry#setospfarea1nssano-summaries

设置ospfarea1为totallyNSSA类型,

Terry#setospfarea1area-range/22

将AREA1的路由归纳后，传到AREA0

OSPF邻居间认证配置

Terry#setospfarea0authentication-typemd5

在OSPF协议AREA0启用MD5认证方式

Terry#setospfarea0interfaceinterface-nameauthenticationmd510key"$9$FJwU6CK"

在接口上设置认证密码

Terry#setarea1authentication-typesimple

在OSPF协议AREA1启用明文认证方式

Terry#setarea1interfaceinterface-nameauthenticationsimple-password"$9$bUY4ZQO"

在接口上设置认证密码

路由重发布

###以一个路由器把从RIP学来的路由重发布到OSPF中为例来说明###

1，配置重发布的策略

Terry#editpolicy-optionspolicy-statementrip-ospf

编辑一个策略，名字为rip-ospf，目的是把从RIP学来的路由，发布到OSPF中去

terry#setterm1fromprotocolrip//来自于RIP协议的路由

terry#setterm1thenaccept//发布到OSPF

terry#setterm2fromroute-filter/24exact//来自路由表中的一个确定的路由

terry#setterm2thenaccept//重发布到OSPF中去

terry#setterm3thenreject//其他的路由不做重发布

2，应用重发布的策略

terry#setprotocolsospfexportrip-ospf

OSPF配置示例：

protocols{

ospf{

reference-bandwidth1g;

area{

authentication-typemd5;##Warning:

'authentication-type'isdeprecated

interface{

authentication{

md510key"$9$FJwU6CuKvLX-w";##SECRET-DATA

}

interface{

interface-typenbma;

authentication{

md510key"$9$fQ39SyKvLN";##SECRET-DATA

}

interface{

passive;

}

area{

nssa{

default-lsa{

default-metric10;

metric-type2;

type-7;

}

no-summaries;

}

area-range/22;

interface{

metric20;

}

interface{

metric20;

}

seprotocolsospfreference-bandwidth1g

seprotocolsospfareaauthentication-typemd5

setprotocolsospfareainterfaceauthenticationmd510key"$9$FJwU6CuKvLX"

seprotocolsospfareainterfaceinterface-typenbma

seprotocolsospfareainterfaceauthenticationmd510key"$9$fQ39SyKvLN"

setprotocolsospfareainterfacepassive

setprotocolsospfareanssadefault-lsadefault-metric10

setprotocolsospfareanssadefault-lsametric-type2

setprotocolsospfareanssadefault-lsatype-7

setprotocolsospfareanssano-summaries

setprotocolsospfareaarea-range/22

setprotocolsospfareainterfacemetric20

IBGP协议配置

terry#setprotocolsbgpgrouptypeinternal

设置一个IBGPGROUP，类型为internal

terry#setprotocolsbgpgrouplocal-address

设置本地地址，一般为本机LOOPBACK地址

terry#setprotocolsbgpgroupexport

设置路由重发布，把特定的路由发布到BGP中去，policy的写法见OSPF中的路由重发布

terry#setprotocolsbgpgroupneighbor

设置邻居地址。

一般是邻居的Loopback地址。

terry#setrouting-optionsautonomous-system65412

设置本机的AS号

案例：

terry#setprotocolsbgpgroupinternaltypeinternal

terry#setprotocolsbgpgroupinternallocal-address

terry#setprotocolsbgpgroupinternalexportibgp

terry#setprotocolsbgpgroupinternalneighbor

protocols{

bgp{

groupinternal{

typeinternal;

local-address;

exportibgp;

neighbor;

}

EBGP协议配置

terry#setprotocolsbgpgrouptypeexternal

设置一个IBGPGROUP，类型为external

terry#setprotocolsbgpgroupneighborpeer-as

设置邻居的地址和AS号

例：

terry#setprotocolsbgpgroupexttypeexternal

terry#setprotocolsbgpgroupextneighborpeer-as65222

RR配置

Terry#setprotocolsbgpgroupcluster

通过Cluster命令在BGP协议中启用RR功能，

例：

setprotocolsbgpgroupinternaltypeinternal

setprotocolsbgpgroupinternallocal-address

setprotocolsbgpgroupinternalcluster

setprotocolsbgpgroupinternalneighbor

groupinternal{

typeinternal;

展开阅读全文