JUNIPER MX多业务路由器配置与维护手册.docx

JUNIPER MX系列路由器配置规范与维护手册国脉中讯网络科技有限公司版权所有 侵权必究文档类别设备维护 工程实施 流程规范配置案例 故障案例 行政管理 基础理论 文档密级内部公开 内部限制 外部公开 外部限制 绝密文档 文档作者谢京文档审核文档摘要当前文档版本V1.0文档所属部门文档使用对象记修订录版本修订日期修订说明编写/修订人V1.02012-9-29第一次发布目录配置规范5系统基本配置5设备名称配置5系统时区配置6NTP配置6Telnet服务配置7系统用户配置8SYSLOG配置10SNMP配置11接口配置12以太网接口配置12LOOPBACK配置13以太网聚合接口配置14路由协议配置14AS号配置14ROUTER-ID配置15静态路由配置15聚合路由配置16OSPF协议配置16BGP协议配置16MPLS协议配置18路由策略配置18前缀列表配置18AS-PATH配置19COMMUNITY配置19路由策略定义配置20路由策略应用配置20ACL配置21POLICER限速配置21ACL定义配置21ACL应用配置22策略路由配置22策略路由转发实例配置22直连路由导入转发实例配置23策略路由ACL定义配置23策略路由ACL应用配置24MPLS VPN配置24BGP/MPLS层三VPN配置24Kompella方式层二MPLS VPN配置25Martini方式层二MPLS VPN配置26VPLS配置27Routing-instance 配置32Firewall 配置34定义access profile35验证配置36常用维护命令40硬件维护查看命令40查看设备硬件信息40查看设备告警41查看设备环境运行状态41查看路由引擎运行状态43查看Craft面板信息44查看交换板卡运行状态45查看FPC状态运行状态46查看PIC运行状态46查看设备系统LOG信息47软件维护查看命令48查看是否有近期生成的core-dump文件48查看软件版本信息48查看系统存储信息49查看CF卡与硬盘同步情况49查看系统进程状态信息50查看系统启动时间信息51查看软件系统启动信息51查看登录系统的用户信息52踢除某一登录系统的用户52查看系统连接状态53配置规范系统基本配置设备名称配置配置说明：规范设备命名，唯一性标识网内的每台设备，用于对网内的每台设备进行区分，方便设备管理，提高可读性和可管理性。配置规范：单路由引擎路由器的设备名称配置：set system hostname hostname双路由引擎路由器的设备名称配置（采用组方式进行配置，当登录RE0时显示RE0所设置的名称，当登录RE1时显示RE1所设置的名称）：set groups re0 system host-name hostname-re0set groups re1 system host-name hostname-re1set apply-groups re0 re1 注意如果一台路由器即配置了system层级下的名称，也配置了组方式的名称，则system层级下的名称优先，从而组方式的名称就失效。配置验证：配置提交后立即生效，hostname显示在配置命令行”或”#”提示符的左边。系统时区配置配置说明：统一设备的时区配置，便于设备的管理及LOG信息的查看。配置规范：配置系统时区为东八区，北京时区（JUNIPER路由器中没有北京这个选项，但有上海和重庆，建议选择上海就可以了）：set system time-zone Asia/Shanghai配置验证：在设备上通过以下命令查看：show configuration system time-zoneshow system uptimeNTP配置NTP基本配置配置说明：设置设备硬件时间与NTP服务器的时间同步，使用NTP定期同步网络上所有设备的时间，保证网络设备得到正确的时间。配置规范：配置主和备两组NTP服务器，版本V3（默认就为V3版本），指定本地发出NTP消息的接口loopback0：set system ntp server 192.168.1.1 prefer /*配置主用NTP服务器*/set system ntp server 192.168.1.2 /*配置备用NTP服务器*/set system ntp source-address 1.1.1.1 /*配置发给NTP服务器的包的源地址，正常建议设备为lo0.0 IP地址*/配置验证：在设备上通过以下命令查看：show ntp associationsshow ntp statusTelnet服务配置Telnet连接数配置配置说明：对同时远程登陆到设备上的session数进行限制，可以防止大量的session连接占用过多系统资源，同时便于集中运维，保证故障期间的正常处理。配置规范：开启telnet服务功能，配置并发连接数限制为10个set system services telnetset system services telnet connection-limit 10配置验证：show system connections | match *.23 tcp4 0 0 *.23 *.* LISTEN在没有配置限制连接数时，连接数限制数默认为75个。Telnet空闲时间配置配置说明：设置了Telnet超时功能，当空闲时间超过设定值后，Telnet线程断开，防止未被授权的人员在操作员离开后进行非法操作。配置规范：设置空闲时间为10分钟，在10分钟内无键盘输入将退出登录set system login class admin idle-timeout 10 /*登录时间为10分钟*/set system login class admin permissions all /*定义class的权限*/set system login user abc class admin /*添加用户到admin组中/*配置验证：用新建立的用户登陆设备后lab show cli CLI complete-on-space set to onCLI idle-timeout set to 10 minutes show configuration routing-instances vr11 instance-type virtual-router;access address-assignment pool internetpool 定义地址池link internetpool_1;当本地址池地址使用完后可以连接到另外的地址池增加地址空间 family inet network 218.109.224.0/21; range r1 low 218.109.224.1; high 218.109.231.255; pool internetpool_1 link internetpool_2; family inet network 218.109.220.0/22; range r1 low 218.109.220.0; high 218.109.223.255; pool internetpool_2 link internetpool_3; family inet network 58.101.104.0/24; range r1 low 58.101.104.0; high 58.101.104.255; pool internetpool_3 link internetpool_4; family inet network 58.101.107.0/24; range r1 low 58.101.107.0; high 58.101.107.255; pool internetpool_4 link internetpool_5; family inet network 219.82.12.0/23; range r1 low 219.82.12.0; high 219.82.13.255; pool internetpool_5 link internetpool_6; family inet network 218.108.200.0/23; range r1 low 218.108.200.0; high 218.108.201.255; pool internetpool_6 link internetpool_7; family inet network 218.109.62.0/23; range r1 low 218.109.62.0; high 218.109.63.255; pool internetpool_7 family inet network 219.82.88.0/21; range r1 low 219.82.88.0; high 219.82.95.255; access-profile pro_pppoe_vr11;调用access的profileinterface ae0.4093;interface ae1.4089;interface lo0.2;Firewall 配置firewall family inet filter 512k 定义filter名字interface-specific;设置子接口都不共享限速策略和counter term 1 then policer 512k;调用policer filter 15360k interface-specific; term 2 then policer 10m; policer 512k 创建policer if-exceeding bandwidth-limit 512k; burst-size-limit 20k; then discard; policer 10m if-exceeding bandwidth-limit 10m; burst-size-limit 450k; then discard; 定义access profilemasterguomaitechD-05-BRAS-A-JuniperMX960.RE0 show configuration access profile pro_pppoe_vr11 定义access profileauthentication-order radius;radius authentication-server 125.210.34.82 125.210.34.84 ; accounting-server 125.210.34.82 125.210.34.84 ; options interface-description-format exclude-sub-interface; nas-identifier HZCNC-11-BRAS-04; accounting-session-id-format decimal; client-authentication-algorithm round-robin; radius-server 125.210.208.7 secret $9$ZqGjk36A0ORQF/t0OEhVwYg4ZjHm; # SECRET-DATA source-address 218.108.255.135; 125.210.208.4 secret $9$CIXVAuBevLN-wylMXN-sYfTz3nCuOR; # SECRE