资源描述
JUNIPER MX系列路由器
配置规范与维护手册
国脉中讯网络科技有限公司
版权所有 侵权必究
文档类别
设备维护 ■ 工程实施 □ 流程规范□
配置案例 □ 故障案例 □ 行政管理 □
基础理论 □
文档密级
内部公开 □ 内部限制 □ 外部公开 □
外部限制 ■ 绝密文档 □
文档作者
谢京
文档审核
文档摘要
当前文档版本
V1.0
文档所属部门
文档使用对象
记修订录
版本
修订日期
修订说明
编写/修订人
V1.0
2012-9-29
第一次发布
目录
配置规范 5
系统基本配置 5
设备名称配置 5
系统时区配置 6
NTP配置 6
Telnet服务配置 7
系统用户配置 8
SYSLOG配置 10
SNMP配置 11
接口配置 12
以太网接口配置 12
LOOPBACK配置 13
以太网聚合接口配置 14
路由协议配置 14
AS号配置 14
ROUTER-ID配置 15
静态路由配置 15
聚合路由配置 16
OSPF协议配置 16
BGP协议配置 16
MPLS协议配置 18
路由策略配置 18
前缀列表配置 18
AS-PATH配置 19
COMMUNITY配置 19
路由策略定义配置 20
路由策略应用配置 20
ACL配置 21
POLICER限速配置 21
ACL定义配置 21
ACL应用配置 22
策略路由配置 22
策略路由转发实例配置 22
直连路由导入转发实例配置 23
策略路由ACL定义配置 23
策略路由ACL应用配置 24
MPLS VPN配置 24
BGP/MPLS层三VPN配置 24
Kompella方式层二MPLS VPN配置 25
Martini方式层二MPLS VPN配置 26
VPLS配置 27
Routing-instance 配置 32
Firewall 配置 34
定义access profile 35
验证配置 36
常用维护命令 40
硬件维护查看命令 40
查看设备硬件信息 40
查看设备告警 41
查看设备环境运行状态 41
查看路由引擎运行状态 43
查看Craft面板信息 44
查看交换板卡运行状态 45
查看FPC状态运行状态 46
查看PIC运行状态 46
查看设备系统LOG信息 47
软件维护查看命令 48
查看是否有近期生成的core-dump文件 48
查看软件版本信息 48
查看系统存储信息 49
查看CF卡与硬盘同步情况 49
查看系统进程状态信息 50
查看系统启动时间信息 51
查看软件系统启动信息 51
查看登录系统的用户信息 52
踢除某一登录系统的用户 52
查看系统连接状态 53
配置规范
系统基本配置
设备名称配置
配置说明:
规范设备命名,唯一性标识网内的每台设备,用于对网内的每台设备进行区分,方便设备管理,提高可读性和可管理性。
配置规范:
单路由引擎路由器的设备名称配置:
set system hostname hostname
双路由引擎路由器的设备名称配置(采用组方式进行配置,当登录RE0时显示RE0所设置的名称,当登录RE1时显示RE1所设置的名称):
set groups re0 system host-name hostname-re0
set groups re1 system host-name hostname-re1
set apply-groups [ re0 re1 ]
注意如果一台路由器即配置了system层级下的名称,也配置了组方式的名称,则system层级下的名称优先,从而组方式的名称就失效。
配置验证:
配置提交后立即生效,hostname显示在配置命令行”>”或”#”提示符的左边。
系统时区配置
配置说明:
统一设备的时区配置,便于设备的管理及LOG信息的查看。
配置规范:
配置系统时区为东八区,北京时区(JUNIPER路由器中没有北京这个选项,但有上海和重庆,建议选择上海就可以了):
set system time-zone Asia/Shanghai
配置验证:
在设备上通过以下命令查看:
show configuration system time-zone
show system uptime
NTP配置
NTP基本配置
配置说明:
设置设备硬件时间与NTP服务器的时间同步,使用NTP定期同步网络上所有设备的时间,保证网络设备得到正确的时间。
配置规范:
配置主和备两组NTP服务器,版本V3(默认就为V3版本),指定本地发出NTP消息的接口loopback0:
set system ntp server 192.168.1.1 prefer /*配置主用NTP服务器*/
set system ntp server 192.168.1.2 /*配置备用NTP服务器*/
set system ntp source-address 1.1.1.1 /*配置发给NTP服务器的包的源地址,正常建议设备为lo0.0 IP地址*/
配置验证:
在设备上通过以下命令查看:
show ntp associations
show ntp status
Telnet服务配置
Telnet连接数配置
配置说明:
对同时远程登陆到设备上的session数进行限制,可以防止大量的session连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。
配置规范:
开启telnet服务功能,配置并发连接数限制为10个
set system services telnet
set system services telnet connection-limit 10
配置验证:
show system connections | match "\*.23"
tcp4 0 0 *.23 *.* LISTEN
在没有配置限制连接数时,连接数限制数默认为75个。
Telnet空闲时间配置
配置说明:
设置了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防止未被授权的人员在操作员离开后进行非法操作。
配置规范:
设置空闲时间为10分钟,在10分钟内无键盘输入将退出登录
set system login class admin idle-timeout 10 /*登录时间为10分钟*/
set system login class admin permissions all /*定义class的权限*/
set system login user abc class admin /*添加用户到admin组中/*
配置验证:
用新建立的用户登陆设备后
lab> show cli
CLI complete-on-space set to on
CLI idle-timeout set to 10 minutes <<<<idle-timeout
系统用户配置
Root用户密码配置
配置说明:
对于一台新设备,默认的root超级用户的密码为空的,但在高版本的系统中,如果没有对root配置一个密码,则其它配置就提交不成功,因此在做其它配置前需要对root密码进行设置,修改密码也是通过同样的方式。
配置规范:
lab# set system root-authentication plain-text-password
New password: /*输入两次大于等6个字符,含字母和数字的密码*/
Retype new password:
配置验证:
用户通过console接口使用root用户登录时,需要输入密码才能进入。
用户权限类配置
配置说明:
用户权限类配置
配置规范:
set system login class high permissions all
配置验证:
show configuration system login class
本地用户帐号配置
配置说明:
本地用户帐号配置
配置规范:
set system login user test class high authentication plain-text-password
配置验证:
show configuration system login
SYSLOG配置
配置说明:
配置SYSLOG服务器地址,发送日志到制定服务器
配置规范:
设置信息级别level,禁止信息级别大于所设置的severity的信息输出。信息中心按信息的严重等级或紧急程度划分为八个级别,如下表所示,越紧急其信息级别越小,emergencies表示的等级为0,debugging为7。
set system syslog host 218.73.91.66 any warning
从一台路由器发出的日志消息,默认的源地址是发送该日志消息的接口的IP地址,但用户可以通过配置命令改变这个源地址。对不同的路由器设置不同的源地址,就可以通过源地址判断日志消息是从哪台路由器发出的,从而便于对收到的日志消息检索。
set system syslog host 218.73.91.66 source-address x.x.x.x #x.x.x.x为loopback地址#
配置验证:
show configuration system syslog
SNMP配置
SNMP基本配置
配置说明:
SNMPV1、SNMPV2C采用团体名认证,与设备认可的团体名不符的SNMP报文将被丢弃。SNMP团体(Community)由一字符串来命名,称为团体名(Community Name)。
不同的团体可具有只读(read-only)或读写(read-write)访问模式。具有只读权限的团体只能对设备信息进行查询,而具有读写权限的团体还可以对设备进行配置。
配置community字符串不要过于简单,一般应由字母、数字及特殊字符等组成,用于提高SNMP协议安全。
配置规范:
SNMP Read-only配置
set snmp community nms[*]111 authorization read-only
set snmp community nms[*]111 clients 1.1.1.1/32
MX960的 SNMP community字符串不支持”@”符号。
SNMP Read-write配置
set snmp community rwnms[*]111 authorization read-write
set snmp community rwnms[*]111 clients 2.2.2.2/32
为安全起见,不建议开启SNMP 写功能
配置验证:
show configuration snmp
show snmp statist
SNMP TRAP配置
配置说明:
Trap是被管理设备主动向NMS发送的不经请求的信息,用于报告一些紧急的重要事件。如果需要路由器主动发送这些信息,就必须配置Trap功能。
TRAP信息是SNMP协议唯一可由被管理设备自动发出的不定期回报特殊状况信息。
配置规范:
指定SNMP TRAP服务器地址,将TRAP信息发送到制定服务器
set snmp trap-group noc destination-port 162
set snmp trap-group noc targets 192.168.1.1
配置设备SNMP TRAP消息源,可以快速定位SNMP TRAP源
set snmp trap-options source-address lo0
配置验证:
show configuration snmp
show snmp statist
接口配置
以太网接口配置
配置说明:
以太网接口的配置,包含10M/100M的FE接口、1000M的GE接口、10GE的XE接口。
配置规范:
无封装VLAN的以太网接口配置
set interfaces ge-X/X/X description "XXXX” /*主接口描述,可选*/
set interfaces ge-X/X/X mtuXXXX /*主接口MTU值,可选*/
set interfaces ge-X/X/X gigether-options no-auto-negotiation /*设置为非协商模式,可选*/
set interfaces ge-X/X/X speed 1g /*强制端口速率为1G,可选*/
set interfaces ge-X/X/X unit 0 description“XXXX” /*子接口描述,可选*/
set interfaces ge-X/X/X unit 0 family inet address X.X.X.X/Y
封装VLAN的以太网接口配置
set interfaces ge-X/X/X description "XXXX” /*主接口描述,可选*/
set interfaces ge-X/X/X mtu XXXX /*主接口MTU值,可选*/
set interfaces ge-X/X/X gigether-options no-auto-negotiation /*设置为非协商模式,可选*/
set interfaces ge-X/X/X speed 1g /*强制端口速率为1G,可选*/
set interfaces ge-X/X/X vlan-tagging /*启用VLAN封装*/
set interfaces ge-X/X/X unit 100 vlan-id 100 /*配置子接口封装VLAN标签号*/
set interfaces ge-X/X/X unit 100 description “XXXX” /*子接口描述,可选*/
set interfaces ge-X/X/X unit 100 family inet addressX.X.X.X/Y
配置验证:
lab#run show interfaces ge-X/X/X
LOOPBACK配置
配置说明:
配置loopback 地址作为设备的系统标识(用于某些协议)、管理地址或作为专线和宽带拨号用户的参考网关。
配置规范:
为每一个virutla-route配置一个loopback0接口,掩码为32位,做为管理地址。
set interfaces lo0 unit 0 family inet address X.X.X.X/32
set interfaces lo0 description“XXX” /*接口描述*/
配置验证:
lab#show interfaces lo0.0
以太网聚合接口配置
配置说明:
配置规范:
set chassis aggregated-devices ethernet device-count 50 /*设置系统最大支持的聚合端口数,设置完后系统会自动生成也设置数量的聚合端口*/
set interfaces ae0 description "TO-[FZYC-BB-ICP-RT01-NE5000E]"
set interfaces ae0 unit 0 family inet address 211.138.149.218/30
set interfaces ge-0/0/0 description To-ae0
set interfaces ge-0/0/0 gigether-options 802.3ad ae0
set interfaces ge-0/0/1 description To-ae0
set interfaces ge-0/0/1 gigether-options 802.3ad ae0
配置验证:
lab# show interfaces ae0
路由协议配置
AS号配置
配置说明:
设置路由器所在的网络的自治系统号(AS号),AS号分为全球分配的公共号,和私有的AS号。BGP要建立邻居关系,路由器也必须配置有一个AS号。
配置规范:
set routing-options autonomous-system 64610
配置验证:
show configuration routing-options autonomous-system
ROUTER-ID配置
配置说明:
配置路由器router-id,通常路由协议传递路由信息时需要。
配置规范:
set routing-options router-id 1.1.1.1
配置验证:
showconfiguration routing-options router-id
静态路由配置
配置说明:
静态路由配置。
配置规范:
基本静态路由配置
set routing-options static route 192.168.10.0/24 next-hop 192.168.1.2
打TAG的静态路由
set routing-options static route 192.168.10.0/24 tag 100
浮动静态路由
set routing-options static route 192.168.10.0/24 qualified-next-hop 192.168.2.2 preference 10
配置验证:
show configuration routing-options static
show route protocol static
聚合路由配置
配置说明:
将明细路由汇聚成一条路由发布给对端,这样可以减少路由表大小。此聚合路由生效的前提条件是必须有一条生效的明细路由。
配置规范:
set routing-options aggregate route 60.12.16.0/21
配置验证:
show configuration routing-options aggregate
show route protocol aggregate
OSPF协议配置
配置说明:
配置规范:
配置验证:
BGP协议配置
配置说明:
EBGP运行在城域网出口路由器与163、CN2骨干网路由器之间,实现城域网向骨干网发布城域网内的路由,并从骨干网接收缺省和网外路由。
IBGP运行在城域网核心层和业务接入控制层,承载用户路由。
配置规范:
关闭BGP自动路由汇总特性。
关闭IGP与BGP的同步。
开启BGP DAMPING,避免路由抑制对业务的影响。
关闭 bgp always-compare-med
宣告给163的城域网路由携带MED属性,设置MED=0。
城域网以ORIGIN IGP的方式对外发布路由。
明确配置BGP router-id为Loopback 0地址。
根据需要确定BGP Multihop的TTL值,对大部分情况,配置EBGP Multihop为2,以及BGP TTL Security检测。
明确配置新式community格式。
记录BGP邻居变化。
BGP不采用密码建立邻居关系
EBGP和IBGP负载均衡数目配置为8。
配置BGP出方向路由过滤,宣告给省网路由尽量合并,采用PREFIX和NETWORK宣告。
使用Loopback地址与骨干核心建立EBGP关系,不使用接口建立关系,启用EBGP TTL检测。
BGP TIMER 参数keepalive和Holdtime定时器统一为60s与180s。
EBGP:
set protocols bgp group EBGP type external
set protocols bgp group EBGP multihop ttl 255
set protocols bgp group EBGP local-address 220.162.235.1
set protocols bgp group EBGP import rp_ChinaNet_To_MAN
set protocols bgp group EBGP authentication-key juniper
set protocols bgp group EBGP export BGP-OUT
set protocols bgp group EBGP peer-as 64123
set protocols bgp group EBGP multipath
set protocols bgp group EBGP neighbor 202.97.32.150 description XXXX
set protocols bgp group EBGP neighbor 202.97.32.151 description XXXX
IBGP:
set protocols bgp group IBGP type internal
set protocols bgp group IBGP local-address 1.1.1.1
set protocols bgp group IBGP log-updown
set protocols bgp group IBGP damping
set protocols bgp group IBGP export route-to-bgp
set protocols bgp group IBGP cluster 1.1.1.1
set protocols bgp group IBGP neighbor 220.162.235.34 description XXXX
配置验证:
show configuration protocols bgp
show bgp summary
show route protocol bgp
MPLS协议配置
配置说明:
MPLS协议配置。
配置规范:
set interfaces ge-0/1/4 unit 0 family mpls
set protocols mpls interface ge-0/1/4.0
配置验证:
show mpls interface
show configuration protocols mpls
路由策略配置
前缀列表配置
配置说明:
前缀列表配置
配置规范:
set policy-options prefix-list pl_test 58.251.57.0/24
set policy-options prefix-list pl_test 58.251.58.0/24
set policy-options prefix-list pl_test 58.251.59.0/24
配置验证:
show configuration policy-options prefix-list pl_test
AS-PATH配置
配置说明:
AS-PATH配置
配置规范:
set policy-options as-path game_as ".* 65000"
配置验证:
show configuration policy-options as-path game_as
COMMUNITY配置
配置说明:
COMMUNITY配置
配置规范:
set policy-options community MAN members 64724:1991
配置验证:
show configuration policy-options community MAN
路由策略定义配置
配置说明:
路由策略定义配置
配置规范:
set policy-options policy-statement static-redistribute term 1 from protocol static
set policy-options policy-statement static-redistribute term 1 from route-filter 192.168.1.0/24 exact
set policy-options policy-statement static-redistribute term 1 then accept
配置验证:
show configuration policy-options policy-statementstatic-redistribute
路由策略应用配置
配置说明:
路由策略应用配置
配置规范:
set protocols isis export static-redistribute
配置验证:
show configuration protocols isis
ACL配置
POLICER限速配置
配置说明:
POLICER限速配置
配置规范:
set firewall policer 1m if-exceeding bandwidth-limit 1m
set firewall policer 1m if-exceeding burst-size-limit 50k
set firewall policer 1m then discard
配置验证:
show configuration firewall policer 1m
ACL定义配置
配置说明:
ACL定义配置
配置规范:
set firewall family inet filter ACL term 1 from source-address 59.58.96.0/19
set firewall family inet filter ACL term 1 then accept
set firewall family inet filter ACL term 2 then discard
配置验证:
show configuration firewall family inet filter ACL
ACL应用配置
配置说明:
ACL应用配置
配置规范:
set interfaces so-1/0/0 unit 0 family inet filter output ACL
配置验证:
show configuration interfaces so-1/0/0
策略路由配置
策略路由转发实例配置
配置说明:
策略路由转发实例配置
配置规范:
set routing-instances FBF instance-type forwarding
set routing-instances FBF routing-options static route 0.0.0.0/0 next-hop 192.168.1.2
配置验证:
show configuration routing-instances FBF
直连路由导入转发实例配置
配置说明:
直连路由导入转发实例配置
配置规范:
set routing-options rib-groups All_Direct_Routes import-rib [inet.0 FBF.inet.0]
set routing-options interface-routes rib-group inet All_Direct_Routes
配置验证:
show configuration routing-options
策略路由ACL定义配置
配置说明:
策略路由ACL定义配置
配置规范:
set firewall family inet filter ACL_FBF term 10 from source-address 112.5.187.64/27
set firewall family inet filter ACL_FBF term 10 then routing-instance FBF
set firewall family inet filter ACL_FBF term other then accept
配置验证:
show configuration firewall family inet filterACL_FBF
策略路由ACL应用配置
配置说明:
策略路由ACL应用配置
配置规范:
set interfaces ge-0/0/0 unit 0 family inet filter input ACL_FBF
配置验证:
show configuration interfaces ge-0/0/0
MPLS VPN配置
BGP/MPLS层三VPN配置
配置说明:
BGP/MPLS层三VPN配置
配置规范:
routing-instances {
l3vpn-1 {
instance-type vrf;
interface ge-1/2/0.10;
interface lo0.20;
route-distinguisher 100:1;
vrf-target target:100:1;
}
}
配置验证:
show configuration routing-instances
Kompella方式层二MPLS VPN配置
配置说明:
Kompella方式层二MPLS VPN配置
配置规范:
routing-instances {
l2vpn-1 {
instance-type l2vpn;
interface ge-2/3/0.600;
route-distinguisher 100:2;
vrf-target target:100:2;
protocols {
l2vpn {
encapsulation-type ethernet-vlan;
site t640-lr {
site-identifier 2;
interface ge-2/3/0.600 {
remote-site-id 1;
}
}
}
}
}
}
Interfaces {
ge-1/2/0 {
vlan-tagging;
unit 600 {
encapsulation vlan-ccc;
vlan-id 600;
}
}
}
配置验证:
show configuration routing-instances
show l2circuit connections
Martini方式层二MPLS VPN配置
配置说明:
Martini方式层二MPLS VPN配置
配置规范:
l2circuit {
neighbor 192.168.0.12 {
interface so-0/2/2.2 {
protect-interface so-0/2/0.2;
virtual-circuit-id 2;
no-control-word;
}
}
}
Interfaces{
so-0/2/2 {
encapsulation frame-relay-ccc;
unit 1 {
encapsulation frame-relay-ccc;
point-to-point;
dlci 600;
}
}
}
配置验证:
show configuration routing-instances
show l2vpn connections
VPLS配置
配置说明:
VPLS配置
配置规范:
routing-instances {
vpls-1 {
instance-type vpls;
interface ge-2/3/0.1000;
route-distinguisher 100:30;
vrf-target target:100:30;
protocols {
vpls {
mac-table-size 1024;
site 640 {
site-identifier 1;
}
}
}
}
}
Interfaces {
ge-1/2/0 {
vlan-tagging;
unit 1000 {
encapsulation vlan-vpls;
vlan-id 1000;
}
}
}
配置验证:
show configuration routing-instances
show vpls connections
show vpls statistics
BRAS配置手册
国脉中讯网络科技有限公司
版权所有 侵权必究
文档类别
设备维护 ■ 工程实施 □ 流程规范□
配置案例 □ 故障案例 □ 行政管理 □
基础理论 □
文档密级
内部公开 ■ 内部限制 □ 外部公开 □
外部限制 □ 绝密文档 □
文档作者
高杰
文档审核
文档摘要
当前文档版本
V1.0
文档所属部门
杭州售后服务支持部
文档使用对象
售后技术支持工程师
记修订录
版本
修订日期
修订说明
编写/修订人
V1.0
2012-8-20
第一次发布、整合原有文档、添加seveice-name-table部分
高杰
目录
配置规范 6
系统基本配置 6
设备名称配置 6
系统时区配置 7
NTP配置 7
Telnet服务配置 8
系统用户配置 9
SYSLOG配置 11
SNMP配置 12
接口配置 13
以太网接口配置 13
LOOPBACK配置 14
以太网聚合接口配置 15
路由协议配置 15
AS号配置 15
ROUTER-ID配置 16
静态路由配置 16
聚合路由配置 17
OSPF协议配置 17
BGP协议配置 17
MPLS协议配置 19
路由策略配置 19
前缀列表配置 19
AS-PATH配置 20
COMMUNITY配置 20
路由策略定义配置 21
路由策略应用配置 21
ACL配置 22
POLICER限速配置 22
ACL定义配置 22
ACL应用配置 23
策略路由配置 23
策略路由转发
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
