JUNIPERMX多业务路由器配置与维护手册.docx
- 文档编号:28098153
- 上传时间:2023-07-08
- 格式:DOCX
- 页数:50
- 大小:50.36KB
JUNIPERMX多业务路由器配置与维护手册.docx
《JUNIPERMX多业务路由器配置与维护手册.docx》由会员分享,可在线阅读,更多相关《JUNIPERMX多业务路由器配置与维护手册.docx(50页珍藏版)》请在冰豆网上搜索。
JUNIPERMX多业务路由器配置与维护手册
JUNIPERMX系列路由器
配置规范与维护手册
国脉中讯网络科技有限公司
版权所有XX
文档类别
设备维护■工程实施□流程规范□
配置案例□故障案例□行政管理□
基础理论□
文档密级
内部公开□内部限制□外部公开□
外部限制■绝密文档□
文档作者
谢京
文档审核
文档摘要
当前文档版本
V1.0
文档所属部门
文档使用对象
记修订录
版本
修订日期
修订说明
编写/修订人
V1.0
2012-9-29
第一次发布
配置规范
系统基本配置
设备名称配置
配置说明:
规范设备命名,唯一性标识网内的每台设备,用于对网内的每台设备进行区分,方便设备管理,提高可读性和可管理性。
配置规范:
单路由引擎路由器的设备名称配置:
setsystemhostnamehostname
双路由引擎路由器的设备名称配置(采用组方式进行配置,当登录RE0时显示RE0所设置的名称,当登录RE1时显示RE1所设置的名称):
setgroupsre0systemhost-namehostname-re0
setgroupsre1systemhost-namehostname-re1
setapply-groups[re0re1]
注意如果一台路由器即配置了system层级下的名称,也配置了组方式的名称,则system层级下的名称优先,从而组方式的名称就失效。
配置验证:
配置提交后立即生效,hostname显示在配置命令行”>”或”#”提示符的左边。
系统时区配置
配置说明:
统一设备的时区配置,便于设备的管理及LOG信息的查看。
配置规范:
配置系统时区为东八区,北京时区(JUNIPER路由器中没有北京这个选项,但有上海和重庆,建议选择上海就可以了):
setsystemtime-zoneAsia/Shanghai
配置验证:
在设备上通过以下命令查看:
showconfigurationsystemtime-zone
showsystemuptime
NTP配置
NTP基本配置
配置说明:
设置设备硬件时间与NTP服务器的时间同步,使用NTP定期同步网络上所有设备的时间,保证网络设备得到正确的时间。
配置规范:
配置主和备两组NTP服务器,版本V3(默认就为V3版本),指定本地发出NTP消息的接口loopback0:
setsystemntpserver192.168.1.1prefer/*配置主用NTP服务器*/
setsystemntpserver192.168.1.2/*配置备用NTP服务器*/
setsystemntpsource-address1.1.1.1/*配置发给NTP服务器的包的源地址,正常建议设备为lo0.0IP地址*/
配置验证:
在设备上通过以下命令查看:
showntpassociations
showntpstatus
Telnet服务配置
Telnet连接数配置
配置说明:
对同时远程登陆到设备上的session数进行限制,可以防止大量的session连接占用过多系统资源,同时便于集中运维,保证故障期间的正常处理。
配置规范:
开启telnet服务功能,配置并发连接数限制为10个
setsystemservicestelnet
setsystemservicestelnetconnection-limit10
配置验证:
showsystemconnections|match"\*.23"
tcp400*.23*.*LISTEN
在没有配置限制连接数时,连接数限制数默认为75个。
Telnet空闲时间配置
配置说明:
设置了Telnet超时功能,当空闲时间超过设定值后,Telnet线程断开,防止未被授权的人员在操作员离开后进行非法操作。
配置规范:
设置空闲时间为10分钟,在10分钟内无键盘输入将退出登录
setsystemloginclassadminidle-timeout10/*登录时间为10分钟*/
setsystemloginclassadminpermissionsall/*定义class的权限*/
setsystemloginuserabcclassadmin/*添加用户到admin组中/*
配置验证:
用新建立的用户登陆设备后
lab>showcli
CLIcomplete-on-spacesettoon
CLIidle-timeoutsetto10minutes<<< 系统用户配置 Root用户密码配置 配置说明: 对于一台新设备,默认的root超级用户的密码为空的,但在高版本的系统中,如果没有对root配置一个密码,则其它配置就提交不成功,因此在做其它配置前需要对root密码进行设置,修改密码也是通过同样的方式。 配置规范: lab#setsystemroot-authenticationplain-text-password Newpassword: /*输入两次大于等6个字符,含字母和数字的密码*/ Retypenewpassword: 配置验证: 用户通过console接口使用root用户登录时,需要输入密码才能进入。 用户权限类配置 配置说明: 用户权限类配置 配置规范: setsystemloginclasshighpermissionsall 配置验证: showconfigurationsystemloginclass 本地用户帐号配置 配置说明: 本地用户帐号配置 配置规范: setsystemloginusertestclasshighauthenticationplain-text-password 配置验证: showconfigurationsystemlogin SYSLOG配置 配置说明: 配置SYSLOG服务器地址,发送日志到制定服务器 配置规范: 设置信息级别level,禁止信息级别大于所设置的severity的信息输出。 信息中心按信息的严重等级或紧急程度划分为八个级别,如下表所示,越紧急其信息级别越小,emergencies表示的等级为0,debugging为7。 setsystemsysloghost218.73.91.66anywarning 从一台路由器发出的日志消息,默认的源地址是发送该日志消息的接口的IP地址,但用户可以通过配置命令改变这个源地址。 对不同的路由器设置不同的源地址,就可以通过源地址判断日志消息是从哪台路由器发出的,从而便于对收到的日志消息检索。 setsystemsysloghost218.73.91.66source-addressx.x.x.x#x.x.x.x为loopback地址# 配置验证: showconfigurationsystemsyslog SNMP配置 SNMP基本配置 配置说明: SNMPV1、SNMPV2C采用团体名认证,与设备认可的团体名不符的SNMP报文将被丢弃。 SNMP团体(Community)由一字符串来命名,称为团体名(CommunityName)。 不同的团体可具有只读(read-only)或读写(read-write)访问模式。 具有只读权限的团体只能对设备信息进行查询,而具有读写权限的团体还可以对设备进行配置。 配置community字符串不要过于简单,一般应由字母、数字及特殊字符等组成,用于提高SNMP协议安全。 配置规范: SNMPRead-only配置 setsnmpcommunitynms[*]111authorizationread-only setsnmpcommunitynms[*]111clients1.1.1.1/32 MX960的SNMPcommunity字符串不支持”@”符号。 SNMPRead-write配置 setsnmpcommunityrwnms[*]111authorizationread-write setsnmpcommunityrwnms[*]111clients2.2.2.2/32 为安全起见,不建议开启SNMP写功能 配置验证: showconfigurationsnmp showsnmpstatist SNMPTRAP配置 配置说明: Trap是被管理设备主动向NMS发送的不经请求的信息,用于报告一些紧急的重要事件。 如果需要路由器主动发送这些信息,就必须配置Trap功能。 TRAP信息是SNMP协议唯一可由被管理设备自动发出的不定期回报特殊状况信息。 配置规范: 指定SNMPTRAP服务器地址,将TRAP信息发送到制定服务器 setsnmptrap-groupnocdestination-port162 setsnmptrap-groupnoctargets192.168.1.1 配置设备SNMPTRAP消息源,可以快速定位SNMPTRAP源 setsnmptrap-optionssource-addresslo0 配置验证: showconfigurationsnmp showsnmpstatist 接口配置 以太网接口配置 配置说明: 以太网接口的配置,包含10M/100M的FE接口、1000M的GE接口、10GE的XE接口。 配置规范: 无封装VLAN的以太网接口配置 setinterfacesge-X/X/Xdescription"XXXX”/*主接口描述,可选*/ setinterfacesge-X/X/XmtuXXXX/*主接口MTU值,可选*/ setinterfacesge-X/X/Xgigether-optionsno-auto-negotiation/*设置为非协商模式,可选*/ setinterfacesge-X/X/Xspeed1g/*强制端口速率为1G,可选*/ setinterfacesge-X/X/Xunit0description“XXXX”/*子接口描述,可选*/ setinterfacesge-X/X/Xunit0familyinetaddressX.X.X.X/Y 封装VLAN的以太网接口配置 setinterfacesge-X/X/Xdescription"XXXX”/*主接口描述,可选*/ setinterfacesge-X/X/XmtuXXXX/*主接口MTU值,可选*/ setinterfacesge-X/X/Xgigether-optionsno-auto-negotiation/*设置为非协商模式,可选*/ setinterfacesge-X/X/Xspeed1g/*强制端口速率为1G,可选*/ setinterfacesge-X/X/Xvlan-tagging/*启用VLAN封装*/ setinterfacesge-X/X/Xunit100vlan-id100/*配置子接口封装VLAN标签号*/ setinterfacesge-X/X/Xunit100description“XXXX”/*子接口描述,可选*/ setinterfacesge-X/X/Xunit100familyinetaddressX.X.X.X/Y 配置验证: lab#runshowinterfacesge-X/X/X LOOPBACK配置 配置说明: 配置loopback地址作为设备的系统标识(用于某些协议)、管理地址或作为专线和宽带拨号用户的参考网关。 配置规范: 为每一个virutla-route配置一个loopback0接口,掩码为32位,做为管理地址。 setinterfaceslo0unit0familyinetaddressX.X.X.X/32 setinterfaceslo0description“XXX”/*接口描述*/ 配置验证: lab#showinterfaceslo0.0 以太网聚合接口配置 配置说明: 配置规范: setchassisaggregated-devicesethernetdevice-count50/*设置系统最大支持的聚合端口数,设置完后系统会自动生成也设置数量的聚合端口*/ setinterfacesae0description"TO-[FZYC-BB-ICP-RT01-NE5000E]" setinterfacesae0unit0familyinetaddress211.138.149.218/30 setinterfacesge-0/0/0descriptionTo-ae0 setinterfacesge-0/0/0gigether-options802.3adae0 setinterfacesge-0/0/1descriptionTo-ae0 setinterfacesge-0/0/1gigether-options802.3adae0 配置验证: lab#showinterfacesae0 路由协议配置 AS号配置 配置说明: 设置路由器所在的网络的自治系统号(AS号),AS号分为全球分配的公共号,和私有的AS号。 BGP要建立邻居关系,路由器也必须配置有一个AS号。 配置规范: setrouting-optionsautonomous-system64610 配置验证: showconfigurationrouting-optionsautonomous-system ROUTER-ID配置 配置说明: 配置路由器router-id,通常路由协议传递路由信息时需要。 配置规范: setrouting-optionsrouter-id1.1.1.1 配置验证: showconfigurationrouting-optionsrouter-id 静态路由配置 配置说明: 静态路由配置。 配置规范: 基本静态路由配置 setrouting-optionsstaticroute192.168.10.0/24next-hop192.168.1.2 打TAG的静态路由 setrouting-optionsstaticroute192.168.10.0/24tag100 浮动静态路由 setrouting-optionsstaticroute192.168.10.0/24qualified-next-hop192.168.2.2preference10 配置验证: showconfigurationrouting-optionsstatic showrouteprotocolstatic 聚合路由配置 配置说明: 将明细路由汇聚成一条路由发布给对端,这样可以减少路由表大小。 此聚合路由生效的前提条件是必须有一条生效的明细路由。 配置规范: setrouting-optionsaggregateroute60.12.16.0/21 配置验证: showconfigurationrouting-optionsaggregate showrouteprotocolaggregate OSPF协议配置 配置说明: 配置规范: 配置验证: BGP协议配置 配置说明: EBGP运行在城域网出口路由器与163、CN2骨干网路由器之间,实现城域网向骨干网发布城域网内的路由,并从骨干网接收缺省和网外路由。 IBGP运行在城域网核心层和业务接入控制层,承载用户路由。 配置规范: 关闭BGP自动路由汇总特性。 关闭IGP与BGP的同步。 开启BGPDAMPING,避免路由抑制对业务的影响。 关闭bgpalways-compare-med 宣告给163的城域网路由携带MED属性,设置MED=0。 城域网以ORIGINIGP的方式对外发布路由。 明确配置BGProuter-id为Loopback0地址。 根据需要确定BGPMultihop的TTL值,对大部分情况,配置EBGPMultihop为2,以及BGPTTLSecurity检测。 明确配置新式community格式。 记录BGP邻居变化。 BGP不采用密码建立邻居关系 EBGP和IBGP负载均衡数目配置为8。 配置BGP出方向路由过滤,宣告给省网路由尽量合并,采用PREFIX和NETWORK宣告。 使用Loopback地址与骨干核心建立EBGP关系,不使用接口建立关系,启用EBGPTTL检测。 BGPTIMER参数keepalive和Holdtime定时器统一为60s与180s。 EBGP: setprotocolsbgpgroupEBGPtypeexternal setprotocolsbgpgroupEBGPmultihopttl255 setprotocolsbgpgroupEBGPlocal-address220.162.235.1 setprotocolsbgpgroupEBGPimportrp_ChinaNet_To_MAN setprotocolsbgpgroupEBGPauthentication-keyjuniper setprotocolsbgpgroupEBGPexportBGP-OUT setprotocolsbgpgroupEBGPpeer-as64123 setprotocolsbgpgroupEBGPmultipath setprotocolsbgpgroupEBGPneighbor202.97.32.150descriptionXXXX setprotocolsbgpgroupEBGPneighbor202.97.32.151descriptionXXXX IBGP: setprotocolsbgpgroupIBGPtypeinternal setprotocolsbgpgroupIBGPlocal-address1.1.1.1 setprotocolsbgpgroupIBGPlog-updown setprotocolsbgpgroupIBGPdamping setprotocolsbgpgroupIBGPexportroute-to-bgp setprotocolsbgpgroupIBGPcluster1.1.1.1 setprotocolsbgpgroupIBGPneighbor220.162.235.34descriptionXXXX 配置验证: showconfigurationprotocolsbgp showbgpsummary showrouteprotocolbgp MPLS协议配置 配置说明: MPLS协议配置。 配置规范: setinterfacesge-0/1/4unit0familympls setprotocolsmplsinterfacege-0/1/4.0 配置验证: showmplsinterface showconfigurationprotocolsmpls 路由策略配置 前缀列表配置 配置说明: 前缀列表配置 配置规范: setpolicy-optionsprefix-listpl_test58.251.57.0/24 setpolicy-optionsprefix-listpl_test58.251.58.0/24 setpolicy-optionsprefix-listpl_test58.251.59.0/24 配置验证: showconfigurationpolicy-optionsprefix-listpl_test AS-PATH配置 配置说明: AS-PATH配置 配置规范: setpolicy-optionsas-pathgame_as".*65000" 配置验证: showconfigurationpolicy-optionsas-pathgame_as COMMUNITY配置 配置说明: COMMUNITY配置 配置规范: setpolicy-optionscommunityMANmembers64724: 1991 配置验证: showconfigurationpolicy-optionscommunityMAN 路由策略定义配置 配置说明: 路由策略定义配置 配置规范: setpolicy-optionspolicy-statementstatic-redistributeterm1fromprotocolstatic setpolicy-optionspolicy-statementstatic-redistributeterm1fromroute-filter192.168.1.0/24exact setpolicy-optionspolicy-statementstatic-redistributeterm1thenaccept 配置验证: showconfigurationpolicy-optionspolicy-statementstatic-redistribute 路由策略应用配置 配置说明: 路由策略应用配置 配置规范: setprotocolsisisexportstatic-redistribute 配置验证: showconfigurationprotocolsisis ACL配置 POLICER限速配置 配置说明: POLICER限速配置 配置规范: setfirewallpolicer1mif-exceedingbandwidth-limit1m setfirewallpolicer1mif-exceedingburst-size-limit50k setfirewallpolicer1mthendiscard 配置验证: showconfigurationfirewallpolicer1m ACL定义配置 配置说明: ACL定义配置 配
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JUNIPERMX 业务 路由器 配置 维护 手册