JUNIPERMX多业务路由器配置与维护手册.docx

1、JUNIPERMX多业务路由器配置与维护手册JUNIPER M系列路由器配置规范与维护手册国脉中讯网络科技有限公司版权所有XX文档类别文档密级文档作者文档审核文档摘要当前文档版本文档所属部门设备维护工程实施口流程规范口配置案例 口故障案例口行政管理口基础理论 口内部公开 口内部限制口外部公开 口外部限制 绝密文档 口谢京V1.0文档使用对象版本 修订日期修订说明编写/修订人记修订录V1.0 2012-9-29第一次发布配置规范 5系统基本配置 5设备名称配置 5系统时区配置 6NTP配置 6Telnet服务配置 7系统用户配置 8SYSLOG配 置 10SNMP 配置 11接口配置 12以太网

2、接口配置 12LOOPBACK配置 13以太网聚合接口配置 14路由协议配置 14AS号配置 14ROUTER-ID配置 15静态路由配置 15聚合路由配置 16OSPF协议配置 16BGP协议配置 16MPLS协议配置 18路由策略配置 18前缀列表配置 18AS-PATH配置 19COMMUNITY 配置 19路由策略定义配置 20路由策略应用配置 20ACL配置 21POLICER限速配置 21ACL定义配置 21ACL应用配置 22策略路由配置 22策略路由转发实例配置 22直连路由导入转发实例配置 23策略路由ACL定义配置 23策略路由ACL应用配置 24MPLS VPN 配置 2

3、4BGP/MPLS层三 VPN 配置 24Kompella 方式层二 MPLS VPN配置 25Martini 方式层二 MPLS VPN配置 26VPLS 配置 27Rout in g-i nsta nee 配置 32Firewall 配置 34定义 access profile 35验证配置 36常用维护命令 40硬件维护查看命令 40查看设备硬件信息 40查看设备告警 41查看设备环境运行状态 41查看路由引擎运行状态 43查看 Craft面板信息 44查看交换板卡运行状态 45查看FPC状态运行状态 46查看PIC运行状态 46查看设备系统 LOG 信息 47软件维护查看命令 48查看

4、是否有近期生成的 core-dump文件 48查看软件版本信息 48查看系统存储信息 49查看CF卡与硬盘同步情况 49查看系统进程状态信息 50查看系统启动时间信息 51查看软件系统启动信息 51查看登录系统的用户信息 52踢除某一登录系统的用户 52查看系统连接状态 53配置规范系统基本配置设备名称配置配置说明：规范设备命名，唯一性标识网内的每台设备，用于对网内的每台设备进行区分，方便设备管理， 提高可读性和可管理性。配置规范：单路由引擎路由器的设备名称配置：set system hostname hostname双路由引擎路由器的设备名称配置（采用组方式进行配置，当登录 RE0时显示RE

5、0所设置的名称，当登录RE1时显示RE1所设置的名称）：set groups re0 system host-name hostname-reOset groups re1 system host-name hostname-relset apply-groups reO re1 注意如果一台路由器即配置了 system层级下的名称，也配置了组方式的名称，则 system层级下的名称优先，从而组方式的名称就失效。配置验证:配置提交后立即生效，host name显示在配置命令行”或”提示符的左边。中讯 OMTEdM系统时区配置配置说明：统一设备的时区配置，便于设备的管理及 LOG信息的查看。配置

6、规范：配置系统时区为东八区，北京时区（ JUNIPER路由器中没有北京这个选项，但有上海和重庆,建议选择上海就可以了）：set system time-zone Asia/Shanghai配置验证：在设备上通过以下命令查看：show configuration system time-zoneshow system uptimeNTP配置NTP基本配置配置说明：设置设备硬件时间与 NTP服务器的时间同步， 使用NTP定期同步网络上所有设备的时间， 保证网络设备得到正确的时间。配置规范:配置主和备两组 NTP服务器，版本 V3 （默认就为 V3版本），指定本地发出 NTP消息的接口loopbac

7、kO:set system ntp serverset system ntp server192.168.1.1prefer /* 配置主用 NTP 服务器 */192.168.1.2/* 配置备用 NTP服务器*/配置验证:在设备上通过以下命令查看:show ntp associationsshow ntp statusTelnet服务配置Tel net连接数配置配置说明：session连接占用过多系统资对同时远程登陆到设备上的 session数进行限制，可以防止大量的源，同时便于集中运维，保证故障期间的正常处理。配置规范：开启tel net服务功能，配置并发连接数限制为 10个set sy

8、stem services telnetset system services telnet connection-limit 10配置验证：show system connections | match *.23tcp4 0 0 *.23 *.*LISTEN在没有配置限制连接数时，连接数限制数默认为 75个。 附中审 OMTEC1MTel net空闲时间配置配置说明:设置了 Teln et超时功能，当空闲时间超过设定值后， Tel net线程断开，防止未被授权的人员在操作员离开后进行非法操作。配置规范：设置空闲时间为10分钟，在10分钟内无键盘输入将退出登录set system login

9、classset system login classadmin idle-timeout 10 /* 登录时间为 10 分钟 */admin permissions all /* 定义 class 的权限 */set system login user abc classadmin /* 添加用户到admin组中/*配置验证:用新建立的用户登陆设备后lab show cliCLI complete-on-space set to onCLI idle-timeout set to 10 minutes idle-timeout系统用户配置Root用户密码配置配置说明：对于一台新设备，默认的

10、root超级用户的密码为空的，但在高版本的系统中，如果没有对 root配置一个密码，则其它配置就提交不成功， 因此在做其它配置前需要对 root密码进行设置，修改密码也是通过同样的方式。配置规范：lab# set system root-authentication plain-text-password中讯 OMTEC1M配置验证:用户通过con sole接口使用root用户登录时，需要输入密码才能进入。用户权限类配置配置说明：用户权限类配置配置规范：set system login class high permissions all配置验证：show configuration syst

11、em login class本地用户帐号配置配置说明：本地用户帐号配置配置规范：set system login user test class high authentication plain-text-password配置验证：show configuration system login中雷 OMTEC1MSYSLO（配置配置说明:配置SYSLO（服艮务器地址，发送日志到制定服务器配置规范:设置信息级别level，禁止信息级别大于所设置的 severity的信息输出。信息中心按信息的严重等级或紧急程度划分为八个级别，如下表所示，越紧急其信息级别越小， emergencies表示的等级为

12、0, debugging为7。严重等级描aemergencies极其紧急的错误alerts需立即纠IE的带课critical关键错谋errors需关注但不关键的祸熾warm ng畧警告*可能存在某种星错notifications需注意的信息informational一般提示信息debugging调试18息set system syslog host 218.73.91.66 any warning从一台路由器发出的日志消息， 默认的源地址是发送该日志消息的接口的 IP地址，但用户可以通过配置命令改变这个源地址。对不同的路由器设置不同的源地址，就可以通过源地址判 断日志消息是从哪台路由器发出的，

13、从而便于对收到的日志消息检索。set system syslog host 218.73.91.66 source-address x.x.x.x #x.x.x.x 为 loopback 地址#配置验证：show configuration system syslogSNMF配置SNM基本配置配置说明：SNMPV1、SNMPV2C采用团体名认证，与设备认可的团体名不符的 SNMP报文将被丢弃。SNMP团体(Community )由一字符串来命名，称为团体名( Community Name )。不同的团体可具有只读(read-only)或读写(read-write )访问模式。具有只读权限的团体

14、只能 对设备信息进行查询，而具有读写权限的团体还可以对设备进行配置。配置community字符串不要过于简单， 一般应由字母、数字及特殊字符等组成， 用于提高SNMP协议安全。配置规范：SNMP Read-o nly 配置set snmp community nms*111 authorization read-onlyset snmp community nms*111 clients 1.1.1.1/32MX960的SNMP community字符串不支持”符号。SNMP Read-write 配置set snmp community rwnms*111 authorization rea

15、d-writeset snmp community rwnms*111 clients 2.2.2.2/32为安全起见，不建议开启 SNMP写功能配置验证：show configuration snmpshow snmp statistSNMP TRA 配置配置说明：Trap是被管理设备主动向 NMS发送的不经请求的信息，用于报告一些紧急的重要事件。如果 需要路由器主动发送这些信息，就必须配置 Trap功能。TRAP信息是SNMP协议唯一可由被管理设备自动发出的不定期回报特殊状况信息。配置规范：指定SNMP TRAP服务器地址，将 TRAP信息发送到制定服务器set snmp trap-gro

16、up noc destination-port 162set snmp trap-group noc targets 192.168.1.1配置设备SNMP TRAP消息源，可以快速定位 SNMP TRAP源set snmp trap-options source-address loO配置验证：show configuration snmpshow snmp statist接口配置以太网接口配置配置说明：以太网接口的配置，包含 10M/100M的FE接口、1000M的GE接口、10GE的XE接口。配置规范：无封装VLAN的以太网接口配置set interfaces ge- set inter

17、faces ge- set interfaces ge- 模式，可选*/ set interfaces ge- set interfaces ge- set interfaces ge-X/X/X description XXXX” /* 主接口描述，可选 */X/X/X mtuXXXX /* 主接口 MTU 值，可选 */X/X/X gigether-options no-auto-negotiation /* 设置为非协商X/X/X speed 1g /* 强制端口速率为 1G,可选*/X/X/X unit 0 description “ XXXX”/* 子接口描述，可选 */配置验证:X

18、/X/X unit 0 family inet address X.X.X.X/Ylab#run show interfaces ge- X/X/XLOOPBAC 配置配置说明：配置loopback地址作为设备的系统标识（用于某些协议） 、管理地址或作为专线和宽带拨号用户的参考网关。配置规范：为每一个virutla-route配置一个loopbackO接口，掩码为 32位，做为管理地址。set interfaces lo0 unit 0 family inet address X.X.X.X_/32set interfaces lo0 description XXX” /* 接口描述 */配置

19、验证：lab#show interfaces lo0.0以太网聚合接口配置配置说明:配置规范：set chassis aggregated-devices ethernet device-count 50 /*聚合端口数，设置完后系统会自动生成也设置数量的聚合端口 */set interfaces ae0 description TO-FZYC-BB-ICP-RT01-NE5000Eset interfaces ae0 unit 0 family inet address 211.138.149.218/30set interfaces ge-0/0/0 description To-aeOs

20、et interfaces ge-0/0/0 gigether-options 802.3ad ae0set interfaces ge-0/0/1 description To-ae0set interfaces ge-0/0/1 gigether-options 802.3ad ae0配置验证：lab# show interfaces ae0路由协议配置AS号配置配置说明：设置路由器所在的网络的自治系统号 （AS号），AS号分为全球分配的公共号,设置系统最大支持的和私有的AS号。BGP要建立邻居关系，路由器也必须配置有一个 AS号。配置规范：set routing-options auto

21、nomous-system 64610配置验证：show configuration routing-options autonomous-systemROUTER-ID配置配置说明：配置路由器router-id，通常路由协议传递路由信息时需要。配置规范：set routing-options router-id 1.1.1.1配置验证：showconfiguration routing-options router-id静态路由配置配置说明：静态路由配置。配置规范:基本静态路由配置set routing-options static route 192.168.10.0/24 next-ho

22、p 192.168.1.2打TAG的静态路由set routing-options static route192.168.10.0/24tag 100浮动静态路由set routing-options static route192.168.10.0/24qualified-next-hop192.168.2.2 preference 10配置验证：show configuration routing-options staticshow route protocol static聚合路由配置配置说明：将明细路由汇聚成一条路由发布给对端，这样可以减少路由表大小。此聚合路由生效的前提条件是必须

23、有一条生效的明细路由。配置规范：配置验证：set routing-options aggregate route 60.12.16.0/21show configuration routing-options aggregate show route protocol aggregateOSPF协议配置配置说明:配置规范:配置验证:BGP协议配置配置说明：EBGP运行在城域网出口路由器与 163、CN2骨干网路由器之间， 实现城域网向骨干网发布城域网内的路由，并从骨干网接收缺省和网外路由。 厲必中审 OMTEC1MIBGP运行在城域网核心层和业务接入控制层，承载用户路由。配置规范：关闭BGP自

24、动路由汇总特性。关闭IGP与BGP的同步。开启BGP DAMPING避免路由抑制对业务的影响。关闭 bgp always-compare-med宣告给163的城域网路由携带 MED属性，设置 MED=0。城域网以ORIGIN IGP的方式对外发布路由。明确配置 BGP router-id 为 Loopback 0 地址。根据需要确定 BGP Multihop的TTL值，对大部分情况，配置 EBGP Multihop为2，以及BGP TTLSecurity 检测。明确配置新式 community格式。记录BGP邻居变化。BGP不采用密码建立邻居关系EBGP和 IBGP负载均衡数目配置为 8。配置

25、BGP出方向路由过滤，宣告给省网路由尽量合并，采用 PREFIX NETWORK宣告。使用Loopback地址与骨干核心建立 EBGP关系，不使用接口建立关系，启用 EBGP TT脸测。BGP TIMER 参数 keepalive 和 Holdtime 定时器统一为 60s 与 180s。EBGP:set protocols bgp group EBGP type externalset protocols bgp group EBGP multihop ttl 255set protocols bgp group EBGP local-address 220.162.235.1set pro

26、tocols bgp group EBGP import rp_ChinaNet_To_MANset protocols bgp group EBGP authentication-key juniperset protocols bgp group EBGP export BGP-OUTset protocols bgp group EBGP peer-as 64123set protocols bgp group EBGP multipathset protocols bgp group EBGP neighbor 202.97.32.150 description XXXXset pro

27、tocols bgp group EBGP neighbor 202.97.32.151 description XXXXIBGP:set protocols bgp group IBGP type internalset protocols bgp group IBGP local-address 1.1.1.1set protocols bgp group IBGP log-updownset protocols bgp group IBGP dampingset protocols bgp group IBGP export route-to-bgpset protocols bgp g

28、roup IBGP cluster 1.1.1.1XXXXset protocols bgp group IBGP neighbor 220.162.235.34 description配置验证:show configuration protocols bgpshow bgp summaryshow route protocol bgpMPLS协议配置配置说明：MPLS协议配置。配置规范:set interfaces ge-0/1/4 unit 0 family mplsset protocols mpls interface ge-0/1/4.0配置验证:show mpls interfac

29、eshow configuration protocols mpls路由策略配置前缀列表配置配置说明：前缀列表配置配置规范:set policy-options prefix-list pl_test 58.251.57.0/24set policy-options prefix-list pl_test 58.251.58.0/24set policy-options prefix-list pl_test 58.251.59.0/24配置验证:show configuration policy-options prefix-list pl_testAS-PATH 配置配置说明：配置规范:配置验证:AS-PATH配 置set policy-options as-path game_as .* 65000show configuration policy-options as-path game_asCOMMUNIT配置配置说明：COMMUNITY 配置配置规范:配置验证：set policy-options community MAN members 64724:1991show configuration policy-options community MAN路由策略定义配置配置说明：路由策略定义配置配置规范:配置验证:show configuration p