juniper路由器配置手册.docx

1、juniper路由器配置手册浙江电力信息数据网Juniper路由器配置手册Juniper Networks, Inc.2009-4-13目 录路由器开箱启动软硬件检测 3System基本配置 3设置系统名称及时区 3设置帐号密码 4用户级别定义 4设置系统登录 5Syslog设置 6Group配置 6Chassis配置 7System下的应用配置 7Interface配置 7路由协议配置配置 9OSPF协议配置 9Ospf基本配置 9OSPF邻居间认证配置 10路由重发布 10OSPF配置示例 11IBGP协议配置 12EBGP协议配置 13RR配置 14MPLS协议配置 15采用LDP信令建

2、LSP 15采用RSVP信令建LSP 17VPN配置 19Instance配置 19MBGP的配置 20Class of Service配置 20路由器开箱启动软硬件检测确认设备电源连接正确，加点启动，使用Console线连接路由器Console接口，首次登陆用户名：root，无密码。进入根模式：cli进入Operating ModeRoot Show chassis hardware查看硬件信息，检测是否所有板卡在线，对应配置清单确认机箱、板卡配置信息是否正确，Root Show chassis environment查看机箱温度，正常温度不应超过40摄氏度。Root Show chassi

3、s alarms查看告警信息，联调阶段应该有电源模块（因为没有连接冗余电源）和带外管理接口fxp0（没有连接带外网管接口）告警，属正常。Root Show version查看JUNOS软件版本信息。 System基本配置System配置是路由器基本信息的配置，包括路由器名称、管理员名称和口令、管理协议、Log等相关信息，设置系统名称及时区Root#Set system hostname 设置系统的主机名称Root# Set time-zone Asia/Shanghai配置路由器的时区Root# Set ntp server 10.10.202.1配置NTP Server，Root# Set

4、system root-authentication plain-text-password 设备初次启动只有root用户，root用户为最高权限用户，缺省没有密码，配置root管理员口令，日常运维不使用root用户。Root# Set system login user class super-user authentication plain-text-password 设置帐号密码增加一个用户，此用户为管理员（Super-user）级别，Root# Set system login user class read-only authentication plain-text-passwo

5、rd 增加一个用户，此用户为ReadOnly (read-only)级别，用来查看配置信息、机箱状况和log信息。用户级别定义terry# set system login class testclass permissions all增加一个用户类别名称为testcalss，其权限为所有权限，根据不同的权限组合，可以定义不同级别的管理员用户可以定义的权限有： access 可以查看访问配置 access-control 可以改变访问控制 admin 可以查看用户帐号 admin-control 可以改变用户帐号 all 所有的要限均打开 clear 可以清除学习到的路由信息 configur

6、e 可以进入配置模式 control 可以改变任何配置 field 可以用DEBUG工具 firewall 可以查看防火墙（ACL）配置 firewall-control 可以改变防火墙（ACL）配置 flow-tap 可以查看 flow-tap 配置 flow-tap-control 可以改变flow-tap 配置 flow-tap-operation 能够 tap flows interface 可以查看 interface 配置 interface-control 可以改变interface 配置 maintenance 可以变成超级用户 network 可以访问网络信息 reset 可

7、以 reset/restart 接口和进程 rollback 可以回退到以前保存下来的配置s routing 可以查看 routing 配置 routing-control 可以改变routing 配置 secret 可以查看加密信息 secret-control 可以改变secret 加密信息 security 可以查看安全配置 security-control 可以改变安全配置 shell 进以进入shell界面 snmp 可以查看 SNMP 配置 snmp-control 可以改变SNMP 配置 system 可以查看 system 配置 system-control 可以改变syste

8、m 配置 trace 可以查看 trace file 设置 trace-control 可以改变trace file 设置 view 可以查看当前的运行状态信息 view-configuration 可以查看所有配置(不包括加密部分)设置系统登录terry# set system services ssh设置系统允许SSH登录terry# set system services ssh protocol-version v2设置登录使用的SSH版本为V2版本terry# set system services ssh protocol-version v2 rate-limit 5设置通过SS

9、H方式每分钟最多登录进来的人数为5 人terry# set system services ssh rate-limit 5 connection-limit 4设置通过SSH方式能够同时登录进来4人Syslog设置Root# Set system syslog file archive size 2m files 10设置SYSLog文件容量为2m和数量为10个。Root# Set system syslog file any info设置SYSLog文件中log下来的内容terry# set system syslog file interactive-commands any为方便审计，

10、将管理员操作时输入的所有命令LOG下来,syslog文件名为log-com例：# show system syslogsyslog user * any emergency; file messages any notice; authorization info; file log-com interactive-commands any; Group配置Group配置的目的是清晰的显示目前连接的RE信息。此配置仅对配置冗余RE的路由器有用。Set groups re0 system hostname -RE0Set groups re1 system hostname -RE1Set ap

11、ply-group re0 re1Chassis配置Username# Edit chassis；进入Chassis配置子层Username# Set redundancy routing-engine 0 master配置RE0为主REUsername# Set redundancy failover on-loss-of-keepaliveUsername# Set redundancy failover on-disk-failure配置冗余RE的切换条件：丢失Keepalive或者硬盘故障Username# Set redundancy graceful-switchover enab

12、le启动RE的平滑切换功能Username# Set alarm management-ethernet link-down ignore关闭带外网管接口link down的告警。注：本次项目不使用带外网管。System下的应用配置Juniper路由器在缺省情况下不打开任何服务，要开启服务，均需要管理员去开启，Set system service ftp打开FTP服务Set system service telnet打开FTP服务Set interface fe-0/0/0 proxy-arp在接口上打开ARP PROXY服务Interface配置此项配置内容最为烦杂，在配置时需特便仔细。为了

13、维护方便，所有端口均配置Description，标识连接的对端设备端口。Edit Interface进入端口配置子层。浙江电力共有以下几种端口类型：GE：；POS 155M/622M：核心和骨干设备配置大量的POS端口；POS端口需要配置描述、时钟、封装PPP、Sonet Option等信息；所有的POS接口均配置IP地址信息，打开MPLS功能。E1/CE1：部分路由器的互联端口，所有E1/CE1均配置Unframe格式；所有的POS接口均配置IP地址信息，打开MPLS功能。FE：GE端口配置实例：Set ge-0/0/0 description “ConnectToWZ-M20-GE-0/0

14、/0”Set ge-0/0/0 mtu 1600Set ge-0/0/0 unit 0 family inet address 10.10.234.1/30Set ge-0/0/0 unit 0 family mplsPOS端口配置实例：Set so-0/1/0 description “ConnectToWZ-M20-SO-0/0/0”Set so-0/1/0 clock internal Set so-0/1/0 encapsulation pppSet so-0/1/0 sonet-option fcs 32Set so-0/1/0 sonet-option payload-scramb

15、lerSet so-0/1/0 sonet-option rfc-2615Set so-0/1/0 unit 0 family inet address 10.10.234.9/30Set so-0/1/0 unit 0 family inet mplsE1端口配置实例：Set ce1-0/3/0 no-partition interface-type e1Set so-0/1/0 description “ConnectToNingbo-M20-E1-0/0/0”Set e1-0/3/0 e1-option fcs 16Set e1-0/3/0 e1-option framing g704S

16、et e1-0/3/0 encapsulation pppSet e1-0/3/0 family inet address 10.10.234.169/30Set e1-0/3/0 family inet mplsFE端口配置实例：Set fe-1/3/0 description connect to vpn-rt switchSet fe-1/3/0 vlan-taggingSet fe-1/3/0 unit 1 vlan-id 1 family inet address 10.10.235.2/30Set fe-1/3/0 unit 3 vlan-id 3 family inet addr

17、ess 10.10.7.254/24Set fe-1/3/0 unit 1 vlan-id 4 family inet address 10.10. 10.254/24Set fe-1/3/0 unit 1 vlan-id 5 family inet address 10.10. 8.254/24Set fe-1/3/0 unit 1 vlan-id 6 family inet address 10.10. 9.254/24LoopBack端口配置:loopback端口是路由器的一个虚端口，往往用来标识路由器，作为Route ID使用。Set lo.0 unit 0 family inet a

18、ddress 10.10.202.1/32路由协议配置OSPF协议配置Ospf基本配置Terry# edit protocols ospf进入OSPF协议配置 Terry# set ospf area 0 interface 设置路由器接口属于ospf area 0Terry# set ospf area 0 interface lo0.0 passive 设置路由器loopback接口属于ospf area 0 Terry# set ospf area 1 interface metric 设置路由器接口属于ospf area 1并设置其metric值 Terry# set ospf are

19、a 1 nssa / stub区域设置类似,只需将nssa改为stub设置ospf area 1 为NSSA类型Terry# set ospf area 1 nssa default-lsa default-metric 10 设置ospf area 1 为NSSA类型,并且为AREA 1产生一个缺省路由 Terry# set ospf area 1 nssa default-lsa type-7 设置ospf area 1 为NSSA类型,并且不向该区发送type-3的LSA Terry# set ospf area 1 nssa no-summaries 设置ospf area 1 为to

20、tally NSSA类型, Terry# set ospf area 1 area-range 10.0.4.0/22 将AREA 1的路由归纳后，传到AREA 0 OSPF邻居间认证配置Terry# set ospf area 0 authentication-type md5 在OSPF协议AREA 0启用MD5认证方式Terry# set ospf area 0 interface interface-name authentication md5 10 key $9$FJwU6CK 在接口上设置认证密码Terry# set area 1 authentication-type simp

21、le 在OSPF协议AREA 1启用明文认证方式 Terry# set area 1 interface interface-name authentication simple-password $9$bUY4ZQO 在接口上设置认证密码路由重发布# 以一个路由器把从RIP学来的路由重发布到OSPF中为例来说明#1，配置重发布的策略Terry# edit policy-options policy-statement rip-ospf 编辑一个策略，名字为rip-ospf，目的是把从RIP学来的路由，发布到OSPF中去terry# set term 1 from protocol rip /

22、来自于RIP协议的路由terry# set term 1 then accept /发布到OSPFterry# set term 2 from route-filter 172.16.40.0/24 exact /来自路由表中的一个确定的路由terry# set term 2 then accept /重发布到OSPF中去terry# set term 3 then reject /其他的路由不做重发布2，应用重发布的策略terry# set protocols ospf export rip-ospf OSPF配置示例： protocols ospf reference-bandwidth

23、1g; area 0.0.0.0 authentication-type md5; # Warning: authentication-type is deprecated interface fxp3.1 authentication md5 10 key $9$FJwU6CuKvLX-w; # SECRET-DATA interface fxp3.2 interface-type nbma; authentication md5 10 key $9$fQ39SyKvLN; # SECRET-DATA interface lo0.3 passive; area 0.0.0.1 nssa de

24、fault-lsa default-metric 10; metric-type 2; type-7; no-summaries; area-range 10.0.4.0/22; interface fxp3.3 metric 20; interface fxp3.4 metric 20; se protocols ospf reference-bandwidth 1gse protocols ospf area 0.0.0.0 authentication-type md5set protocols ospf area 0.0.0.0 interface fxp3.1 authenticat

25、ion md5 10 key $9$FJwU6CuKvLXse protocols ospf area 0.0.0.0 interface fxp3.2 interface-type nbmase protocols ospf area 0.0.0.0 interface fxp3.2 authentication md5 10 key $9$fQ39SyKvLNset protocols ospf area 0.0.0.0 interface lo0.3 passiveset protocols ospf area 0.0.0.1 nssa default-lsa default-metri

26、c 10set protocols ospf area 0.0.0.1 nssa default-lsa metric-type 2set protocols ospf area 0.0.0.1 nssa default-lsa type-7set protocols ospf area 0.0.0.1 nssa no-summariesset protocols ospf area 0.0.0.1 area-range 10.0.4.0/22set protocols ospf area 0.0.0.1 interface fxp3.3 metric 20set protocols ospf

27、 area 0.0.0.1 interface fxp3.4 metric 20IBGP协议配置terry# set protocols bgp group type internal设置一个IBGP GROUP，类型为internalterry# set protocols bgp group local-address 设置本地地址，一般为本机LOOPBACK地址terry# set protocols bgp group export 设置路由重发布，把特定的路由发布到BGP中去，policy的写法见OSPF中的路由重发布terry# set protocols bgp group ne

28、ighbor 设置邻居地址。一般是邻居的Loopback地址。terry# set routing-options autonomous-system 65412设置本机的AS号案例：terry# set protocols bgp group internal type internalterry# set protocols bgp group internal local-address 10.0.9.7terry# set protocols bgp group internal export ibgpterry# set protocols bgp group internal ne

29、ighbor 10.0.6.1terry# set protocols bgp group internal neighbor 10.0.6.2terry# set protocols bgp group internal neighbor 10.0.3.3terry# set protocols bgp group internal neighbor 10.0.3.4terry# set protocols bgp group internal neighbor 10.0.3.5terry# set protocols bgp group internal neighbor 10.0.9.6protocols bgp group internal type internal; local-address 10.0.9.7; export ibgp; neighbor 10.0.6.1; neighbor 10.0.6.2; neighbor 10.0.3.3; neighbor 10.0.3.4; neighbor 10.0.3.5; neighbor 10.0.9.6; EBGP协议配置terry# set protocols bgp group type external设置一