JUNIPERMX多业务路由器配置与维护手册.docx

1、JUNIPERMX多业务路由器配置与维护手册JUNIPER MX系列路由器配置规范与维护手册国脉中讯网络科技有限公司版权所有 XX文档类别设备维护 工程实施 流程规范 配置案例 故障案例 行政管理 基础理论 文档密级内部公开 内部限制 外部公开 外部限制 绝密文档 文档作者谢京文档审核文档摘要当前文档版本V1.0文档所属部门文档使用对象记修订录版本修订日期修订说明编写/修订人V1.02012-9-29第一次发布配置规范系统基本配置设备名称配置配置说明：规范设备命名，唯一性标识网内的每台设备，用于对网内的每台设备进行区分，方便设备管理，提高可读性和可管理性。配置规范：单路由引擎路由器的设备名称配

2、置：set system hostname hostname双路由引擎路由器的设备名称配置（采用组方式进行配置，当登录RE0时显示RE0所设置的名称，当登录RE1时显示RE1所设置的名称）：set groups re0 system host-name hostname-re0set groups re1 system host-name hostname-re1set apply-groups re0 re1 注意如果一台路由器即配置了system层级下的名称，也配置了组方式的名称，则system层级下的名称优先，从而组方式的名称就失效。配置验证：配置提交后立即生效，hostname显示在配

3、置命令行”或”#”提示符的左边。系统时区配置配置说明：统一设备的时区配置，便于设备的管理及LOG信息的查看。配置规范：配置系统时区为东八区，北京时区（JUNIPER路由器中没有北京这个选项，但有上海和重庆，建议选择上海就可以了）：set system time-zone Asia/Shanghai配置验证：在设备上通过以下命令查看：show configuration system time-zoneshow system uptimeNTP配置NTP基本配置配置说明：设置设备硬件时间与NTP服务器的时间同步，使用NTP定期同步网络上所有设备的时间，保证网络设备得到正确的时间。配置规范：配置主

4、和备两组NTP服务器，版本V3（默认就为V3版本），指定本地发出NTP消息的接口loopback0：set system ntp server 192.168.1.1 prefer /*配置主用NTP服务器*/set system ntp server 192.168.1.2 /*配置备用NTP服务器*/set system ntp source-address 1.1.1.1 /*配置发给NTP服务器的包的源地址，正常建议设备为lo0.0 IP地址*/配置验证：在设备上通过以下命令查看：show ntp associationsshow ntp statusTelnet服务配置Telnet连

5、接数配置配置说明：对同时远程登陆到设备上的session数进行限制，可以防止大量的session连接占用过多系统资源，同时便于集中运维，保证故障期间的正常处理。配置规范：开启telnet服务功能，配置并发连接数限制为10个set system services telnetset system services telnet connection-limit 10配置验证：show system connections | match *.23 tcp4 0 0 *.23 *.* LISTEN在没有配置限制连接数时，连接数限制数默认为75个。Telnet空闲时间配置配置说明：设置了Telnet

6、超时功能，当空闲时间超过设定值后，Telnet线程断开，防止未被授权的人员在操作员离开后进行非法操作。配置规范：设置空闲时间为10分钟，在10分钟内无键盘输入将退出登录set system login class admin idle-timeout 10 /*登录时间为10分钟*/set system login class admin permissions all /*定义class的权限*/set system login user abc class admin /*添加用户到admin组中/*配置验证：用新建立的用户登陆设备后lab show cli CLI complete-on

7、-space set to onCLI idle-timeout set to 10 minutes idle-timeout系统用户配置Root用户密码配置配置说明：对于一台新设备，默认的root超级用户的密码为空的，但在高版本的系统中，如果没有对root配置一个密码，则其它配置就提交不成功，因此在做其它配置前需要对root密码进行设置，修改密码也是通过同样的方式。配置规范：lab# set system root-authentication plain-text-password New password: /*输入两次大于等6个字符，含字母和数字的密码*/Retype new pass

8、word:配置验证：用户通过console接口使用root用户登录时，需要输入密码才能进入。用户权限类配置配置说明：用户权限类配置配置规范：set system login class high permissions all配置验证：show configuration system login class本地用户帐号配置配置说明：本地用户帐号配置配置规范：set system login user test class high authentication plain-text-password配置验证：show configuration system loginSYSLOG配置配置说

9、明：配置SYSLOG服务器地址，发送日志到制定服务器配置规范：设置信息级别level，禁止信息级别大于所设置的severity的信息输出。信息中心按信息的严重等级或紧急程度划分为八个级别，如下表所示，越紧急其信息级别越小，emergencies表示的等级为0，debugging为7。set system syslog host 218.73.91.66 any warning从一台路由器发出的日志消息，默认的源地址是发送该日志消息的接口的IP地址，但用户可以通过配置命令改变这个源地址。对不同的路由器设置不同的源地址，就可以通过源地址判断日志消息是从哪台路由器发出的，从而便于对收到的日志消息检索

10、。set system syslog host 218.73.91.66 source-address x.x.x.x #x.x.x.x为loopback地址#配置验证：show configuration system syslogSNMP配置SNMP基本配置配置说明：SNMPV1、SNMPV2C采用团体名认证，与设备认可的团体名不符的SNMP报文将被丢弃。SNMP团体（Community）由一字符串来命名，称为团体名（Community Name）。不同的团体可具有只读（read-only）或读写（read-write）访问模式。具有只读权限的团体只能对设备信息进行查询，而具有读写权限的团

11、体还可以对设备进行配置。配置community字符串不要过于简单，一般应由字母、数字及特殊字符等组成，用于提高SNMP协议安全。配置规范：SNMP Read-only配置set snmp community nms*111 authorization read-onlyset snmp community nms*111 clients 1.1.1.1/32MX960的 SNMP community字符串不支持”符号。SNMP Read-write配置set snmp community rwnms*111 authorization read-writeset snmp community

12、rwnms*111 clients 2.2.2.2/32为安全起见，不建议开启SNMP 写功能配置验证：show configuration snmpshow snmp statistSNMP TRAP配置配置说明：Trap是被管理设备主动向NMS发送的不经请求的信息，用于报告一些紧急的重要事件。如果需要路由器主动发送这些信息，就必须配置Trap功能。TRAP信息是SNMP协议唯一可由被管理设备自动发出的不定期回报特殊状况信息。配置规范：指定SNMP TRAP服务器地址，将TRAP信息发送到制定服务器set snmp trap-group noc destination-port 162set

13、 snmp trap-group noc targets 192.168.1.1配置设备SNMP TRAP消息源，可以快速定位SNMP TRAP源set snmp trap-options source-address lo0配置验证：show configuration snmpshow snmp statist接口配置以太网接口配置配置说明：以太网接口的配置，包含10M/100M的FE接口、1000M的GE接口、10GE的XE接口。配置规范：无封装VLAN的以太网接口配置set interfaces ge-X/X/X description XXXX” /*主接口描述，可选*/set in

14、terfaces ge-X/X/X mtuXXXX /*主接口MTU值，可选*/set interfaces ge-X/X/X gigether-options no-auto-negotiation /*设置为非协商模式，可选*/set interfaces ge-X/X/X speed 1g /*强制端口速率为1G，可选*/set interfaces ge-X/X/X unit 0 description“XXXX” /*子接口描述，可选*/set interfaces ge-X/X/X unit 0 family inet address X.X.X.X/Y封装VLAN的以太网接口配置

15、set interfaces ge-X/X/X description XXXX” /*主接口描述，可选*/set interfaces ge-X/X/X mtu XXXX /*主接口MTU值，可选*/set interfaces ge-X/X/X gigether-options no-auto-negotiation /*设置为非协商模式，可选*/set interfaces ge-X/X/X speed 1g /*强制端口速率为1G，可选*/set interfaces ge-X/X/X vlan-tagging /*启用VLAN封装*/set interfaces ge-X/X/X u

16、nit 100 vlan-id 100 /*配置子接口封装VLAN标签号*/set interfaces ge-X/X/X unit 100 description “XXXX” /*子接口描述，可选*/set interfaces ge-X/X/X unit 100 family inet addressX.X.X.X/Y配置验证：lab#run show interfaces ge-X/X/XLOOPBACK配置配置说明：配置loopback 地址作为设备的系统标识（用于某些协议）、管理地址或作为专线和宽带拨号用户的参考网关。配置规范：为每一个virutla-route配置一个loopba

17、ck0接口，掩码为32位，做为管理地址。set interfaces lo0 unit 0 family inet address X.X.X.X/32set interfaces lo0 description“XXX” /*接口描述*/配置验证：lab#show interfaces lo0.0以太网聚合接口配置配置说明：配置规范：set chassis aggregated-devices ethernet device-count 50 /*设置系统最大支持的聚合端口数，设置完后系统会自动生成也设置数量的聚合端口*/set interfaces ae0 description TO-F

18、ZYC-BB-ICP-RT01-NE5000Eset interfaces ae0 unit 0 family inet address 211.138.149.218/30set interfaces ge-0/0/0 description To-ae0set interfaces ge-0/0/0 gigether-options 802.3ad ae0set interfaces ge-0/0/1 description To-ae0set interfaces ge-0/0/1 gigether-options 802.3ad ae0配置验证：lab# show interfaces

19、 ae0路由协议配置AS号配置配置说明：设置路由器所在的网络的自治系统号（AS号），AS号分为全球分配的公共号，和私有的AS号。BGP要建立邻居关系，路由器也必须配置有一个AS号。配置规范：set routing-options autonomous-system 64610配置验证：show configuration routing-options autonomous-systemROUTER-ID配置配置说明：配置路由器router-id，通常路由协议传递路由信息时需要。配置规范：set routing-options router-id 1.1.1.1配置验证：showconfigu

20、ration routing-options router-id 静态路由配置配置说明：静态路由配置。配置规范：基本静态路由配置set routing-options static route 192.168.10.0/24 next-hop 192.168.1.2打TAG的静态路由set routing-options static route 192.168.10.0/24 tag 100浮动静态路由set routing-options static route 192.168.10.0/24 qualified-next-hop 192.168.2.2 preference 10配置验

21、证：show configuration routing-options staticshow route protocol static聚合路由配置配置说明：将明细路由汇聚成一条路由发布给对端，这样可以减少路由表大小。此聚合路由生效的前提条件是必须有一条生效的明细路由。配置规范：set routing-options aggregate route 60.12.16.0/21配置验证：show configuration routing-options aggregateshow route protocol aggregateOSPF协议配置配置说明：配置规范：配置验证： BGP协议配置配

22、置说明：EBGP运行在城域网出口路由器与163、CN2骨干网路由器之间，实现城域网向骨干网发布城域网内的路由，并从骨干网接收缺省和网外路由。IBGP运行在城域网核心层和业务接入控制层，承载用户路由。配置规范：关闭BGP自动路由汇总特性。关闭IGP与BGP的同步。开启BGP DAMPING，避免路由抑制对业务的影响。关闭 bgp always-compare-med宣告给163的城域网路由携带MED属性，设置MED=0。城域网以ORIGIN IGP的方式对外发布路由。明确配置BGP router-id为Loopback 0地址。根据需要确定BGP Multihop的TTL值，对大部分情况，配置E

23、BGP Multihop为2，以及BGP TTL Security检测。明确配置新式community格式。记录BGP邻居变化。BGP不采用密码建立邻居关系EBGP和IBGP负载均衡数目配置为8。配置BGP出方向路由过滤，宣告给省网路由尽量合并，采用PREFIX和NETWORK宣告。使用Loopback地址与骨干核心建立EBGP关系，不使用接口建立关系，启用EBGP TTL检测。BGP TIMER 参数keepalive和Holdtime定时器统一为60s与180s。EBGP:set protocols bgp group EBGP type externalset protocols bgp

24、 group EBGP multihop ttl 255set protocols bgp group EBGP local-address 220.162.235.1set protocols bgp group EBGP import rp_ChinaNet_To_MANset protocols bgp group EBGP authentication-key juniperset protocols bgp group EBGP export BGP-OUTset protocols bgp group EBGP peer-as 64123set protocols bgp grou

25、p EBGP multipathset protocols bgp group EBGP neighbor 202.97.32.150 description XXXXset protocols bgp group EBGP neighbor 202.97.32.151 description XXXXIBGP:set protocols bgp group IBGP type internalset protocols bgp group IBGP local-address 1.1.1.1set protocols bgp group IBGP log-updownset protocol

26、s bgp group IBGP dampingset protocols bgp group IBGP export route-to-bgpset protocols bgp group IBGP cluster 1.1.1.1set protocols bgp group IBGP neighbor 220.162.235.34 description XXXX配置验证：show configuration protocols bgpshow bgp summaryshow route protocol bgpMPLS协议配置配置说明：MPLS协议配置。配置规范：set interfac

27、es ge-0/1/4 unit 0 family mplsset protocols mpls interface ge-0/1/4.0配置验证：show mpls interfaceshow configuration protocols mpls路由策略配置前缀列表配置配置说明：前缀列表配置配置规范：set policy-options prefix-list pl_test 58.251.57.0/24set policy-options prefix-list pl_test 58.251.58.0/24set policy-options prefix-list pl_test 5

28、8.251.59.0/24配置验证：show configuration policy-options prefix-list pl_testAS-PATH配置配置说明：AS-PATH配置配置规范：set policy-options as-path game_as .* 65000配置验证：show configuration policy-options as-path game_asCOMMUNITY配置配置说明：COMMUNITY配置配置规范：set policy-options community MAN members 64724:1991配置验证：show configurati

29、on policy-options community MAN路由策略定义配置配置说明：路由策略定义配置配置规范：set policy-options policy-statement static-redistribute term 1 from protocol staticset policy-options policy-statement static-redistribute term 1 from route-filter 192.168.1.0/24 exactset policy-options policy-statement static-redistribute ter

30、m 1 then accept配置验证：show configuration policy-options policy-statementstatic-redistribute路由策略应用配置配置说明：路由策略应用配置配置规范：set protocols isis export static-redistribute配置验证：show configuration protocols isisACL配置POLICER限速配置配置说明：POLICER限速配置配置规范：set firewall policer 1m if-exceeding bandwidth-limit 1mset firewall policer 1m if-exceeding burst-size-limit 50kset firewall policer 1m then discard配置验证：show configuration firewall policer 1mACL定义配置配置说明：ACL定义配置配