Juniper MX960配置模板v1.2.doc

移动城域网项目Juniper MX宽带接入服务器配置模板瞻博网络信息咨询（上海）有限公司目 录 第一部分，MX960设备开局配置指导31.系统基本配置3设置设备的主机名字 （主机名见集成商规化），增加管理带外管理的interface3增加管理者帐号4增加操作者帐号4打开telnet功能 ，进行连接数以及空闲时间设置4配置telnet源地址限制，只允许特定的IP段telnet设备4配置syslog ，并在本地保存所有log日志5配置SNMP5设置本机时间及NTP和时区设置 （NTP Server需从集成商或市公司取得）62.全局和调用参数配置6设置动态的profile配置，根据业务vlan需求可配置为单层vlan或者双层vlan6配置pppoe业务用户上线记录log功能7Qos全局配置限速策略73.上行端口和防病毒ACL配置9配置防病毒ACL9配置loopback接口12配置上行接口124.路由协议配置12负载均衡配置12OSPF 路由配置13ISIS路由配置14BGP配置（详见集成商方案）14LDP/MPLS配置15第二部分，MX960业务配置指导151.PPPoE拔号业务配置15配置ip地址池15配置Radius服务器16配置业务侧端口162.专线业务配置17配置静态用户的网关接口17配置用户及相关属性17配置用户应用属性18版本号修改人/时间主要更新内容V1.0张锦章/2012030518910598815文档初稿编写V1.1V1.2本文描述Juniper MX960在移动城域网项目中的开局和业务的配置指导。第一部分， MX960设备开局配置指导1. 系统基本配置设置设备的主机名字 （主机名见集成商规化），增加管理带外管理的interface groups re0 # Routing Engine 0 在MX960上 system host-name JSTZ-MC-CMNET-BRAS-ZHL-MX960.RE0; #在主引擎上配置主机名 interfaces fxp0 #增加带外管理端口 link-mode full-duplex; unit 0 family inet no-redirects; address 01/24; re1 # Routing Engine 1 在MX960上 system host-name JSTZ-MC-CMNET-BRAS-ZHL-MX960.RE1; interfaces fxp0 unit 0 family inet no-redirects; address 02/24; apply-groups re0 re1 ; #全局应用注：管理口具有路由功能，也会被发布到local的路由域里面，在应用到路由协议中时注意disable管理端口，避免发布到路由域里面。增加管理者帐号 system login user admin 增加用户名为admin的管理用户 uid 2001; 用户识别id，设备上具有唯一性 class super-user; authentication encrypted-password aHsrk6sbWc1; # SECRET-DATA 此为show命令时显示配置，实际配置用plain-text-password命令代替 增加操作者帐号 system login user operator 增加用户名为operator的操作者用户，不能进行配置更改 uid 2002 class operator; authentication encrypted-password $1$RyIV0yuA$vF.DWWkLXgIaHsrk6sbWc1; # SECRET-DATA 打开telnet功能 ，进行连接数以及空闲时间设置system services #使能设备Telnet服务 telnet connection-limit 10; #连接数限制为10. rate-limit 10; #允许每分钟连接请求次数限制为10. login class admin idle-timeout 10; #超时推出时间配置在用户组中，该组用户适用 permissions all; #用户组权限 配置telnet源地址限制，只允许特定的IP段telnet设备firewall #Telnet访问控制在firewall中定义 filter flProtectRE term PermitTelnet from source-prefix-list #允许下列前缀列表中的地址访问 plNOC; protocol tcp; destination-port telnet; then count Telnet_Counter; accept; term DenyTelnet #其它地址不允许访问设备 from protocol tcp; destination-port telnet; then count DenyTelnet_Counter; reject; .(请注意这里只列出了filter flProtectRE的一部分内容)policy-options prefix-list plNOC #定义运行Telnet前缀列表 /24; /24; /24; /24; X.X.X.X/X; #地市网管地址段interfaces lo0 unit 0 family inet filter input flProtectRE; #应用的lo0即可 配置syslog ，并在本地保存所有log日志配置syslog服务器 (服务器IP需从集成商或市公司取得)system syslog user * any emergency; host 35 配置syslog server的主机IP地址 any warning; explicit-priority; file messages any info; authorization info; archive size 10m; explicit-priority; source-address 53; 配置SNMP 设置Trap服务器（Trap服务器需要从集成商或地市公司取得）snmp trap-options source-address lo0 trap-group snmp-trap-group version v2; categories authentication; chassis; link; routing; configuration; sonet-alarms; targets 7; 配置SNMP server的主机IP地址 设置本机时间及NTP和时区设置 （NTP Server需从集成商或市公司取得）#设置设备本地时间（非配置模式）set date #New date and time (YYYYMMDDhhmm.ss)set date ntp#NTP服务器配置system time-zone Asia/Shanghai; # Asia/Shanghai为Juniper固定格式 ntp server 97 version 3 prefer; server 96 version 3; source-address X.X.X.X #NTP消息源地址为设备Loopback0地址 配置增强ip能力chassis network-services enhanced-ip;2. 全局和调用参数配置设置动态的profile配置，根据业务vlan需求可配置为单层vlan或者双层vlandynamic-profiles autovlan 双层vlan动态端口属性 interfaces $junos-interface-ifd-name unit $junos-interface-unit encapsulation ppp-over-ether; vlan-tags outer $junos-stacked-vlan-id inner $junos-vlan-id; pppoe-underlying-options dynamic-profile pppoe; pppoe 配置pppoe端口接入属性 interfaces pp0 unit $junos-interface-unit ppp-options pap; pppoe-options underlying-interface $junos-underlying-interface; server; no-keepalives; family inet filter input $junos-input-filter; output $junos-output-filter; unnumbered-address lo0.0; autovlan-singlevlan 单层vlan动态端口属性 interfaces $junos-interface-ifd-name unit $junos-interface-unit encapsulation ppp-over-ether; vlan-id $junos-vlan-id; pppoe-underlying-options dynamic-profile pppoe; 配置pppoe业务用户上线记录log功能protocols ppp-service traceoptions file pppoe.log; flag all; pppoe traceoptions file pppoe.log; flag all; Qos全局配置限速策略限速需要跟radius服务器配合实现，通过Juniper的厂家专有属性VSA可以实现限速，radius服务器在dictionary文件中增加该属性VSA（此属性延用了ERX 系列BRAS的属性命名，亚信等常规radius均可支持）根据用户申请的带宽，对该用户记录（user文件）中对这项用户描述名称的字符串类型进行赋值。用户拨号成功后radius把该用户的属性值下发，MX960会根据radius下发限速的属性值，进行相应的带宽限速。此处以带宽4m和10m用户为例：firewall 配置BRAS限速模板 family inet filter log interface-specific; term 1 then log; filter 4m interface-specific; enhanced-mode; term 1 then policer 4m; term 2 then accept; filter 10m interface-specific; enhanced-mode; term 1 then policer 10m; term 2 then accept; filter pass interface-specific; term 1 then accept; policer 4m if-exceeding bandwidth-limit 4m; burst-size-limit 10k; then discard; policer 10m if-exceeding bandwidth-limit 10m; burst-size-limit 10k; then discard; 3. 上行端口和防病毒ACL配置配置防病毒ACLfirewall filter AntiVirusACL term 5 from protocol udp; source-port 135; then discard; term 10 from protocol udp; source-port 445; then discard; term 15 from protocol udp; source-port 539; then discard; term 20 from protocol udp; source-port 593; then discard; term 35 from protocol udp; source-port netbios-ns; then discard; term 40 from protocol udp; source-port netbios-dgm; then discard; term 45 from protocol udp; source-port netbios-ssn; then discard; term 50 from protocol tcp; source-port 135; then discard; term 55 from protocol tcp; source-port 139; then discard; term 60 from protocol tcp; source-port 445; then discard; term 65 from protocol tcp; source-port 539; then discard; term 70 from protocol tcp; source-port 593; then discard; term 75 from protocol tcp; source-port 137; then discard; term 80 from protocol tcp; source-port 138; then discard; term 100 then accept; 配置loopback接口interfaces lo0 unit 0 description For Management; family inet no-redirects; address X.X.X.X/32;配置上行接口interfaces xe-3/1/1 description TO_JSTAZ-MB-CMNET-RT01-FHL_T1600 XE1/1/0 10G; unit 0 family inet filter input AntiVirusACL; 此处应用防病毒ACL output AntiVirusACL; address /30 4. 路由协议配置负载均衡配置policy-options 配置负载均衡的策略 policy-statement load-balance then load-balance per-packet; routing-options forwarding-table export load-balance; 应用负载均衡策略 OSPF 路由配置routing-options router-id X.X.X.X; #router-id设置为设备Loopback0地址，bgp/ospf共享protocols ospf preference 110; #内部ospf路由优先级为110 external-preference 150; #外部ospf路由优先级为150 export psRouteToOspf; #注入外部路由到OSPF reference-bandwidth 100g; #参考带宽为100g area interface lo0.0 passive; #仅通告，不需建立邻居 interface ge-1/0/2.0 interface ge-1/1/2.0 passive; #仅通告，不需建立邻居 policy-options policy-statement psRouteToOspf #定义外部路由注入OSPF策略 term BgpDefaultToOspf #将BGP默认路由下发 from protocol bgp; route-filter /0 exact; then metric 5; external type 1; accept; term DenyNull0ToOspf #过滤NULL0路由 from protocol static; tag 163; then discard; term StaticToOspf #静态路由注入OSPF策略 from protocol static; then metric 1; external type 1; accept; term DirectToOspf #直连路由直接注入OSPF from protocol direct; then metric 0; external type 1; accept; ISIS路由配置Interfaces lo0 unit 0 family iso address 86.xxxx.xxxx.xxxx.xxxx.00; #net id Protocols isis level 2 disable; level 1 wide-metrics-only; preference 115; external-preference 115; interface ge-30/2/0.190 level 1 metric 100; hello-authentication-key gdnoc2007; hello-authentication-type md5; interface lo0.0 passive; BGP配置（详见集成商方案）routing-options router-id X.X.X.X; #router-id设置为设备Loopback0地址，bgp/ospf共享protocols bgp hold-time 180; #hold-time统一为180s mtu-discovery; #该命令可以提高iBGP的收敛效率 log-updown; #bgp邻居状态变化产生syslog信息 local-address 53; #进程下配置以环回接口地址为bgp源地址 group pgToebgp #建立EBGP邻居； type external; #eBGP group multihop ttl 2; #eBGP使用环回接口建立邻居，配置为2跳 preference 20; #eBGP优先级为20 peer-as 4800； #对端as号 neighbor 05 #建立与163网的邻居 description To-GD-GZ-DXDS-D-2.RR; group pgGZMAN #建立与另一台出口的iBGP邻居关系 type internal; #iBGP group preference 200; #iBGP优先级为200 export psNextHopSelf; neighbor 54 description To-GZ-JCX-CR-1.M; LDP/MPLS配置protocols #配置协议mpls #启用MPLS interface all; #/指定启用MPLS的路由器接口 ldp #/配置LDP协议 interface so-1/1/0.0 hello-interval 5; hold-time 15; export ldp-filter; #/设置LDP过滤策略policy-options policy-statement ldp-filter #/设置LDP过滤策略 term a from route-filter x.x.x.x/m exact; #/设定LDP过滤地址段，需要根据实际网络地址分配进行调整 then accept; term b then reject; 第二部分， MX960业务配置指导1. PPPoE拔号业务配置配置ip地址池access address-assignment pool pppoe1 family inet network /8; 配置ip地址池的地址段 range pool1 low 00; 配置应用ip地址的范围 high 55; 配置Radius服务器access radius-server 配置radius server及其相关属性 01 Port 1812; accounting-port 1813; retry 3; timeout 45; secret $9$yqDrWxbwgJUH24Hm5FAtRhSrM8xNdsgo; # SECRET-DATA source-address ; profile radius authentication-order radius none ; 配置subscriber用户的认证顺序，当radius故障时，用户可以直接上线 accounting 配置计费属性 order radius; accounting-stop-on-access-deny; accounting-stop-on-failure; immediate-update; statistics time; update-interval 10; radius authentication-server 01; 配置应用到subscriber用户的radius server accounting-server 01; options accounting-session-id-format decimal; access-profile radius; 应用相应的AAA profile配置DNS server地址access group-profile dns-address