JUNIPER培训文档2013.doc

深圳傲天信息技术有限公司Juniper配置文档二零一三年二月目 录JUNOS配置简介2JUNOS软件简介2JUNOS软件安装3JUNOS命令行简介5初始化配置6路由器的调试6端口配置7系统整体配置10IS-IS配置12OSPF配置14BGP配置15Routing Policy17JUNOS配置简介JUNOS软件简介JUNOS软件的三大功能：1）ROUTING2）ENHANCED ROUTING SERVICES3）MPLS TRAFFIC ENGINEERING VPNS它所支持的特性有：1） 模块化设计2） EGP：BGP4Route reflectorsConfederationsCommunitiesRoute flap dampingTCP MD5 authenticationREGEX3） IGP：Integrated IS-ISOSPFRIPv24） Juniper policy engine5） MulticastDVMRP PIM DIM PIM SM MSDP(Multicast Source Discovery Protocol)6） MPLSTraffic engineeringVPNs7） Class of Service在传统VPN方面，JUNIPER路由器需加插一块 Tunnel PIC板来支持。它支持PIM SM隧道模式和GRE封装。JUNOS软件安装1、启动设备和媒介启动顺序1、 可移动媒介：a) 用于安装和升级，通常为空b) M40使用120MB软驱c) M20/160使用110MB PCMCIA FLASH卡2、 FLASH驱动器a) 在一个新的Juniper路由器中，JUNOS软件预先安装在FLASH驱动器中3、 硬盘a) 在一个新的Juniper路由器中，与安装一个备份JUNOS软件，还用于存储系统log文件和诊断文件2、软件安装1、 出厂预安装软件a) FLASH驱动器b) 硬盘（备份）c) 可移动媒介（用于系统恢复）2、 存储媒介使用下列设备名，在路由器启动的时候显示出来a) FLASH驱动器wd0b) 硬盘wd2c) 可移动媒介wfd03、 可以从各种拷贝启动a) 如果FLASH驱动器坏了，还可以从硬盘或者软驱启动4、 升级a) 可以从可移动媒介或者从Internet上升级3、完全安装准备阶段1、 记录下基本信息a) 路由器名b) 管理接口IP地址c) 缺省路由器IP地址d) 域名和DNS服务器IP地址2、 将已存在的配置文件COPY到安全的地方a) 配置文件位于/config/juniper.conf3、 确定你要安装的媒介4、完全安装重新安装1、 插入安装媒介a) M40 LS-120软盘b) M20 PCMCIA FLASH卡2、 重新启动路由器a) 从console口使用命令：root lab2 system haltb) 重新启动电源3、 输入安装前保存的一些信息4、 系统安装完后自动重新启动5、升级软件1、 JUNOS软件包含三个包a) jkernel-操作系统b) jroute路由引擎软件c) jpfe包转发引擎软件d) jbundle所有的三个软件包2、 下列是软件包的名字举例：a) jroute-4.0R1.tgzb) jkernel-4.0R1.tgzc) jpfe-4.0R1.tgz3、 每个包可以个别的单独升级4、 CLI命令模式下使用show system software显示安装的软件信息5、 命名规范：package-m.n.Znumber.tgza) m.n是主版本号b) number是release号码c) Z是大写字母i. A-Alphaii. B-Betaiii. R-Releaseiv. I-Internal6、 例如：jbundle-3.4R1.2.tgz6、升级软件包rootlab2 request system software add new-package-namerootlab2 request system reboot7、备份已存在的软件系统软件和配置可以备份到硬盘中，最好在稳定的时候进行使用request system snapshot命令备份软件到/altroot和/altconfig文件系统中，通常情况下，root文件系统/备份到/altroot中，/config备份到/altconfig中。Root 和config都在flash驱动器中，备份的都在硬盘中。8、升级所有的软件包1、 download下软件包2、 将软件包拷贝到的/var/tmp中，这个目录位于硬盘中，是一个大文件系统userhost file copy ftp:/ftp/directory/package-name /var/tmp3、 删除旧的软件包安装新的软件包userhost request system software add /var/tmp/jbundle-package-name4、 重新启动路由器：userhost request system rebootJUNOS命令行简介命令行方式可以从console口、从管理口、telnet、ssh、RADIUS、TACACS+等方式进入用户认证使用用户名和口令show命令和cisco的show很相似，？可以提供可用命令的提示。JUNOS本身是一个UNIX操作系统，CLI模式只是其中的一个shell，在UNIX模式下输入cli可以进入CLI模式下。输入命令的前几个字母，如果以这几个字母开头的命令唯一，按空格可以将命令补全，否则显示所有可用命令。一行显示不完的结果，按空格显示下一屏幕，b返回上一屏幕，d卷动一半屏幕，回车逐行显示，/string 搜索指定字符串，n重复搜索字符串，q返回CLI模式，h显示help。输入configure进入配置模式，修改完毕后要输入commit激活配置，而不像cisco的修改是立即有效的。Commit以后，上次的配置文件/config/juniper.conf变成了/config/juniper.conf.1，再次commit以后，则产生新的/config/juniper.conf.1，而/config/juniper.conf.1变成/juniper.conf.2；如此下去，/config/目录下一共可以存放/config/juniper.n(n=1-3)，而n=4-9存放于/var/db/config/juniper.conf.n。使用rollback n恢复配置使用edit命令进入每一级配置，使用set、rename、insert命令设置、修改、插入下一级属性。使用show显示当前级一下的配置，commit激活配置，rollback恢复配置，使用delete删除配置，显示其它当前正在配置路由器的用户使用status命令。在配置模式下，要使用普通模式下的命令，要在命令前面使用run 初始化配置启动时候的顺序：、连接好所有的cables，打开第一个电源，打开第二个电源关机的顺序：输入request system halt命令，关闭电源M40的craft interface上显示： Starting Routing Engine 启动路由引擎 Starting PFE 启动转发引擎 Starting Cards 启动PIC卡FPC的LED灯显示闪烁的绿灯表示在测试，测试通过则显示固定绿色PIC的LED在系统被配置之前一直为关闭使用控制台进入 root密码出厂时没有被配置必须使用console配置root密码使用configure进入配置模式，使用root#set system root-authentication plain-text-password设置root密码 配置路由器名和域名root#set system host-name lab2root#set system domain-name root#commit 管理接口的IP地址root#set interfaces fxp0 unit 0 family inet address ipaddress/prefix-length 缺省路由IP地址root#set system backup-router gateway-address备份路由，当有两台路由器时，可以定义另一台路由器为备份路由，当主路由器发生问题时，数据包可以由另一台路由器转发。root#set routing-options static route default nexthop gateway-address retain no-readvertise DNS服务器的IP地址root#set system name-server ns-address路由器的调试LOG文件：系统LOG文件保存在硬盘的 /var/log目录下。观看LOG文件用命令：show log 文件名实时观看用命令： monitor start 文件名附加的LOG信息可用关键词来打开：traceoptions flag让系统记录LOG文件的命令是 traceoptions例：set traceoptions ospf-log(文件名) set traceoptions ospf-log flag errors(记录OSPF的出错信息，该LOG文件名为ospf-log)跟踪命令：Ping TraceRoute观看系统警告：show chassis alarmsshow chassis hardwareshow chassis environment系统支持信息：request support information端口配置1 物理端口1） 需要注意的选项为：ClockingScrmblingFCS (Frame check sequence)MTU (Maximum transmission unit)Keepalives2）标准配置语句： interfaces interface-name clocking clock-source; dce; disable; description text; encapsulation type; hold-time up milliseconds down milliseconds; link-mode mode; mac mac-address; mtu bytes; no-keepalives; no-traps; receive-bucket overflow (tag | discard); rate percentage; threshold number; speed (10m | 100m); transmit-bucket overflow (tag | discard); rate percentage; threshold number; 默认值：端口处为PPP封装MTU默认为4474，最大为9192默认为打开Keepalives时钟默认为internalFCS默认为16-bit checksumPayload Scrambling默认为打开3）SONET/SDH配置：edit interfaces so-fpc/pic/port sonet-options bytes e1-quiet value; fcs (32 | 16); loopback (local | remote); path-trace trace-string; (payload-scrambler | no-payload-scrambler); rfc-2615; (z0-increment | no-z0-increment); 4）FastEthernet与GE配置：FastEthernet口： edit interfaces interface-name link-mode (full-duplex | half-duplex) fastether-options (loopback | no-loopback); source-address-filter mac-address; (source-filtering | no-source-filtering); GE口： edit interfaces interface-name gigether-options flow-control; (loopback | no-loopback); source-address-filter mac-address; (source-filtering | no-source-filtering); 加入802.1Q VLAN标志:edit interfaces interface-name vlan-tagging; 5）E1接口：edit interfaces interface-name e1-options fcs (32 | 16); framing (g704 | unframed); idle-cycle-flag (flags | ones); loopback (local | remote); start-end-flag (shared | filler); timeslots slot-number;2 逻辑端口1）需要注意的选项为： 端口上的封装协议 地址（IP地址，ISO NET地址） VC （VCI/VPI，DLCI）2） 配置语句（含FrameRelay）： edit interfaces interface-name unit logical-unit-number disable; dlci dlci-identifier; encapsulation type; inverse-arp; multicast-dlci dlci-identifier; multicast-vci vpi-identifier.vci-identifier; multipoint; tunnel source address; destination address; ttl number; vci vpi-identifier.vci-identifier; vlan-id number; 3） 在端口处可配置的逻辑地址可按关键词family分为：inet： IP 地址iso： ISO CLNP地址mpls： MPLS流量工程在一个逻辑端口可按unit起用多个协议族配置语句为：set interface XXX unit XX family inet address /24系统整体配置配置语句：edit systemset host-nameset time-zoneset domain-nameset name serverset login user XXX class XXXset login user XXX authenticationplain-text-password XXXdomain-name XXXset system name-server XXXset services telnetset services ftpset snmp community XXX authorization read-only设置Outband管理端口edit interfaceset fxp0 unit 0 family inet address XXXset fxp0 unit 0 description “xxx”配置文件范例：version “4.010tlim”systemhost-name obi-wandomain-name ;time-zone America/Los_Angles;name-server52;loginuser labuid 2000;class super-user;authenticationencrypted-password“XXXXXXXXXXXXXXX”servicestelnet;ftp;sysloguser *any emergency;file messageany notice;IS-IS配置路由的配置：1） 标准配置语句：protocols isis disable; authentication-key key; authentication-type authentication; export policy-names ; level level-number authentication-key key; authentication-type authentication; external-preference preference; preference preference; wide-metrics-only; lsp-lifetime seconds; no-authentication-check; overload ; traffic-engineering disable; shortcuts; traceoptions file name ; flag flag ; interface interface-name disable; csnp-interval (seconds | disable); hello-authentication-key key; hello-authentication-type authentication; lsp-interval milliseconds; mesh-group (value | blocked); passive; level level-number disable; hello-authentication-key key; hello-authentication-type authentication; hello-interval seconds; hold-time seconds; metric metric; passive; priority number; te-metric metric; 2） 最小化配置方案：interfaces lo0 unit logical-unit-number family iso address address; type-fpc/pic/port unit logical-unit-number family iso; protocols isis interface all; 路由的校验show isis adjacency (brief)show isis databaseshow isis database system-id detailshow isis routesshow route protocol isis terseshow isis interface XXX detailshow isis spf logshow isis statistics在JUNIPER的ISIS中，区域级别为：LEVEL 1 ：LEVEL 1 ONLYLEVEL 2 ：LEVEL 2 ONLYLEVEL 3 ：LEVEL 1 AND 2OSPF配置路由的配置1） 最小的配置edit protocols ospf area 0 interface interface-name; 2） OSPF配置语句：protocols ospf disable; export policy-names; external-preference preference; preference preference; reference-bandwidth reference-bandwidth; area area-id area-range network/mask-length ; authentication-type authentication; interface interface-name disable; authentication-key key ; dead-interval seconds; hello-interval seconds; interface-type type; metric metric; neighbor address ; passive; priority number; nssa area-range network/mask-length ; default-metric metric; (summaries | no-summaries); stub ; virtual-link neighbor-id router-id transit-area area-id disable; authentication-key key ; dead-interval seconds; hello-interval seconds; retransmit-interval seconds; transit-delay seconds; 路由的校验show ospf interface brief/extensiveshow ospf route detailshow ospf database briefshow ospf statisticsBGP配置1） BGP配置语句protocols bgp numerous global BGP statements group group-name peer-as autonomous-system; type type; allow network/mask-length; numerous group-specific statements neighbor address numerous peer-specific statements 2） IBGP配置与EBGPbgpgroup coretype internal;local-address peer-as 65000;authentication-key XXXXXXXXXXXXneighbor ;neighbor ;group AS_692type external;peer-as 692;import next-hop-self;authentication-key XXXXXXXXXXXXXXXneighbor ;policy-optionspolicy-statement next-hop-selfthennexthop self;IBGP与EBGP在上述范例中的设置区别为：在TYPE类型上的不同。3）BGP路由反射器的设置edit protocols bgp group group-name type internal; peer-as autonomous-system; neighbor address1; neighbor address2; group group-name type internal; peer-as autonomous-system; cluster cluster-identifier; neighbor address3; neighbor address4; 4）BGP的校验show bgp summaryshow bgp neighborshow bgp next-hop-databaseshow route receive-protocol bgpshow route extensiveRouting PolicyRouting Policy简介在JUNOS中，所有的路由信息都存在路由表中，由JUNOS提出的routing policy，可以控制路由信息在两个不同的路由表中传递。IMPORTImport是指由外部注入到指定路由表的信息方向。EXPORTExport是指由本路由表中希望向其他路由协议输出的信息。在IGP路由协议中，如OSPF，ISIS等，只有Export；而EGP中，如BGP等，可以有import和export。策略运行及route filtersrouting policy语法范例：policy-optionspolicy-statement policy-nameterm term-namefrommatch-conditions;tomatch-conditions;thenaction;final-action;route filters语法范例term term-namefromroute-filter prefix/prefix-length match-typeroute filters满足条件的类型可分为：exact prefix-length is equal to the routes prefix lengthlonger prefix-length is greater than the routes prefix lengthorlonger prefix-length is equal to or greater than the routes prefix lengthupto route shares the same most significa