JUNIPERMX多业务路由器配置与维护手册

1、JUNIPER MX系列路由器配置规范与维护手册国脉中讯网络科技有限公司版权所有侵权必究1/53内部文档，未经许可不得扩散设备维护工程实施 流程规范文档类别配置案例故障案例 行政管理 基础理论内部公开内部限制 外部公开文档密级外部限制绝密文档 文档作者谢京文档审核文档摘要当前文档版本V1.0文档所属部门文档使用对象版本修订日期修订说明编写 / 修订人V1.02012-9-29第一次发布记修订录2/53内部文档，未经许可不得扩散目录配置规范 .5系统基本配置 .5设备名称配置 .5系统时区配置 .6NTP 配置 .6Telnet 服务配置 .7系统用户配置 .8SYSLOG配置 .10SNMP

2、配置 .11接口配置 .12以太网接口配置 .12LOOPBACK配置 .13以太网聚合接口配置 .14路由协议配置 .14AS 号配置 .14ROUTER-ID配置 .15静态路由配置 .15聚合路由配置 .16OSPF协议配置 .16BGP协议配置 .16MPLS 协议配置 .18路由策略配置 .18前缀列表配置 .18AS-PATH配置 .19COMMUNITY 配置 .19路由策略定义配置 .20路由策略应用配置 .20ACL配置 .21POLICER限速配置 .21ACL 定义配置 .21ACL 应用配置 .22策略路由配置 .22策略路由转发实例配置 .22直连路由导入转发实例配置

3、.23策略路由 ACL定义配置 .23策略路由 ACL应用配置 .24MPLS VPN配置 .24BGP/MPLS层三 VPN 配置 .243/ 53内部文档，未经许可不得扩散Kompella 方式层二MPLS VPN配置25Martini 方式层二MPLS VPN配置26VPLS配置27Routing-instance 配置32Firewall 配置34定义 access profile35验证配置36常用维护命令40硬件维护查看命令40查看设备硬件信息40查看设备告警41查看设备环境运行状态41查看路由引擎运行状态43查看 Craft 面板信息44查看交换板卡运行状态45查看 FPC状态运

4、行状态46查看 PIC运行状态46查看设备系统LOG 信息47软件维护查看命令48查看是否有近期生成的core-dump 文件48查看软件版本信息48查看系统存储信息49查看 CF卡与硬盘同步情况49查看系统进程状态信息50查看系统启动时间信息51查看软件系统启动信息51查看登录系统的用户信息52踢除某一登录系统的用户52查看系统连接状态534/53内部文档，未经许可不得扩散配置规范系统基本配置设备名称配置配置说明：规范设备命名， 唯一性标识网内的每台设备，用于对网内的每台设备进行区分，方便设备管理，提高可读性和可管理性。配置规范：单路由引擎路由器的设备名称配置：set system host

5、namehostname双路由引擎路由器的设备名称配置（采用组方式进行配置，当登录RE0 时显示RE0所设置的名称，当登录RE1 时显示RE1 所设置的名称） ：set groups re0 system host-namehostname-re0set groups re1 system host-namehostname-re1set apply-groups re0 re1 注意如果一台路由器即配置了system 层级下的名称，也配置了组方式的名称，则system 层级下的名称优先，从而组方式的名称就失效。配置验证：配置提交后立即生效，hostname 显示在配置命令行”或 ”#”提示符

6、的左边。5/53内部文档，未经许可不得扩散系统时区配置配置说明：统一设备的时区配置，便于设备的管理及LOG 信息的查看。配置规范：配置系统时区为东八区，北京时区（JUNIPER 路由器中没有北京这个选项，但有上海和重庆，建议选择上海就可以了）：set system time-zoneAsia/Shanghai配置验证：在设备上通过以下命令查看：show configuration system time-zoneshow system uptimeNTP配置NTP基本配置配置说明：设置设备硬件时间与NTP 服务器的时间同步，使用 NTP 定期同步网络上所有设备的时间，保证网络设备得到正确的时间

7、。配置规范：配置主和备两组 NTP 服务器，版本 V3（默认就为 V3版本），指定本地发出NTP 消息的接口loopback0 ：set system ntp server192.168.1.1prefer /*配置主用 NTP 服务器 */set system ntp server192.168.1.2/* 配置备用 NTP 服务器 */6/53内部文档，未经许可不得扩散set system ntp source-address1.1.1.1/*配置发给NTP 服务器的包的源地址，正常建议设备为lo0.0 IP地址 */配置验证：在设备上通过以下命令查看：show ntp associati

8、onsshow ntp statusTelnet服务配置Telnet 连接数配置配置说明：对同时远程登陆到设备上的session 数进行限制，可以防止大量的session 连接占用过多系统资源，同时便于集中运维，保证故障期间的正常处理。配置规范：开启 telnet 服务功能，配置并发连接数限制为10 个set system services telnetset system services telnet connection-limit 10配置验证：show system connections | match *.23tcp400 *.23*.*LISTEN在没有配置限制连接数时，连接数

9、限制数默认为75 个。7/53内部文档，未经许可不得扩散Telnet 空闲时间配置配置说明：设置了Telnet 超时功能，当空闲时间超过设定值后，Telnet 线程断开，防止未被授权的人员在操作员离开后进行非法操作。配置规范：设置空闲时间为10 分钟，在10 分钟内无键盘输入将退出登录set system login classset system login classset system login user abc classadminidle-timeoutadminpermissions all /*admin/*10/*登录时间为10 分钟 */定义 class的权限 */添加用户

10、到admin组中 /*配置验证：用新建立的用户登陆设备后lab show cliCLI complete-on-space set to onCLI idle-timeout set to 10 minutesidle-timeout系统用户配置Root 用户密码配置配置说明：对于一台新设备，默认的root 超级用户的密码为空的，但在高版本的系统中，如果没有对root配置一个密码，则其它配置就提交不成功，因此在做其它配置前需要对root 密码进行设置，修改密码也是通过同样的方式。配置规范：lab# set system root-authentication plain-text-passwo

11、rd8/53内部文档，未经许可不得扩散New password:/*输入两次大于等6 个字符，含字母和数字的密码*/Retype new password:配置验证：用户通过console 接口使用root 用户登录时，需要输入密码才能进入。用户权限类配置配置说明：用户权限类配置配置规范：set system login class high permissions all配置验证：show configuration system login class本地用户帐号配置配置说明：本地用户帐号配置配置规范：set system login user test class high authen

12、tication plain-text-password配置验证：show configuration system login9/53内部文档，未经许可不得扩散SYSLOG配置配置说明：配置 SYSLOG服务器地址，发送日志到制定服务器配置规范：设置信息级别level，禁止信息级别大于所设置的severity的信息输出。信息中心按信息的严重等级或紧急程度划分为八个级别，如下表所示，越紧急其信息级别越小，emergencies表示的等级为0， debugging为 7。set system syslog host 218.73.91.66 any warning从一台路由器发出的日志消息，默认

13、的源地址是发送该日志消息的接口的IP 地址， 但用户可以通过配置命令改变这个源地址。对不同的路由器设置不同的源地址，就可以通过源地址判断日志消息是从哪台路由器发出的，从而便于对收到的日志消息检索。setsystemsysloghost218.73.91.66source-addressx.x.x.x#x.x.x.x为 loopback地址 #配置验证：show configuration system syslog10/53内部文档，未经许可不得扩散SNMP配置SNMP基本配置配置说明：SNMPV1、SNMPV2C采用团体名认证，与设备认可的团体名不符的SNMP 报文将被丢弃。SNMP团体（C

14、ommunity ）由一字符串来命名，称为团体名（Community Name）。不同的团体可具有只读（ read-only ）或读写（ read-write ）访问模式。具有只读权限的团体只能对设备信息进行查询，而具有读写权限的团体还可以对设备进行配置。配置 community 字符串不要过于简单， 一般应由字母、 数字及特殊字符等组成， 用于提高 SNMP 协议安全。配置规范：SNMP Read-only 配置set snmp communityset snmp communitynms*111nms*111authorization read-onlyclients1.1.1.1/32M

15、X960 的 SNMP community 字符串不支持”符号。SNMP Read-write 配置set snmp communityset snmp communityrwnms*111rwnms*111authorization read-writeclients2.2.2.2/32为安全起见，不建议开启SNMP 写功能配置验证：show configuration snmpshow snmp statist11/53内部文档，未经许可不得扩散SNMP TRAP配置配置说明：Trap 是被管理设备主动向NMS 发送的不经请求的信息，用于报告一些紧急的重要事件。如果需要路由器主动发送这些信

16、息，就必须配置Trap 功能。TRAP信息是 SNMP 协议唯一可由被管理设备自动发出的不定期回报特殊状况信息。配置规范：指定 SNMP TRAP服务器地址，将TRAP信息发送到制定服务器set snmp trap-groupnocdestination-port162set snmp trap-groupnoctargets192.168.1.1配置设备SNMP TRAP消息源，可以快速定位SNMP TRAP源set snmp trap-options source-addresslo0配置验证：show configuration snmpshow snmp statist接口配置以太网接

17、口配置配置说明：以太网接口的配置，包含10M/100M的 FE 接口、 1000M 的 GE 接口、 10GE 的 XE 接口。配置规范：无封装 VLAN 的以太网接口配置12/53内部文档，未经许可不得扩散set interfaces ge-X/X/Xdescription XXXX” /* 主接口描述，可选 */set interfaces ge-X/X/XmtuXXXX /*主接口 MTU 值，可选 */set interfaces ge-X/X/Xgigether-options no-auto-negotiation /*设置为非协商模式，可选 */set interfaces ge

18、-X/X/Xspeed 1g /*强制端口速率为 1G，可选 */set interfaces ge-X/X/Xunit 0 description“XXXX ”/*子接口描述，可选 */set interfaces ge-X/X/Xunit 0 family inet address X.X.X.X/Y封装 VLAN 的以太网接口配置set interfaces ge-X/X/Xdescription XXXX” /*主接口描述，可选 */set interfaces ge-X/X/Xmtu XXXX /*主接口 MTU 值，可选 */set interfaces ge-X/X/Xgiget

19、her-options no-auto-negotiation /*设置为非协商模式，可选 */set interfaces ge-X/X/Xspeed 1g /*强制端口速率为 1G，可选 */set interfaces ge-X/X/Xvlan-tagging /*启用 VLAN 封装 */set interfaces ge-X/X/Xunit 100 vlan-id 100 /*配置子接口封装VLAN 标签号 */set interfaces ge-X/X/Xunit 100 description“ XXXX” /* 子接口描述，可选 */set interfaces ge-X/X/

20、Xunit 100 family inet addressX.X.X.X/Y配置验证：lab#run show interfaces ge-X/X/XLOOPBACK配置配置说明：配置 loopback 地址作为设备的系统标识（用于某些协议）、管理地址或作为专线和宽带拨号用户的参考网关。配置规范：为每一个virutla-route配置一个loopback0 接口，掩码为32 位，做为管理地址。set interfaces lo0 unit 0 family inet addressX.X.X.X/32set interfaces lo0 description“XXX” /*接口描述 */配置

21、验证：lab#show interfaces lo0.013/53内部文档，未经许可不得扩散以太网聚合接口配置配置说明：配置规范：set chassis aggregated-devices ethernet device-count 50 /*设置系统最大支持的聚合端口数，设置完后系统会自动生成也设置数量的聚合端口*/set interfaces ae0 description TO-FZYC-BB-ICP-RT01-NE5000Eset interfaces ae0 unit 0 family inet address 211.138.149.218/30set interfaces ge

22、-0/0/0 description To-ae0set interfaces ge-0/0/0 gigether-options 802.3ad ae0set interfaces ge-0/0/1 description To-ae0set interfaces ge-0/0/1 gigether-options 802.3ad ae0配置验证：lab# show interfaces ae0路由协议配置AS号配置配置说明：设置路由器所在的网络的自治系统号（ AS号），AS 号分为全球分配的公共号，和私有的AS号。BGP 要建立邻居关系，路由器也必须配置有一个AS号。14/53内部文档，未

23、经许可不得扩散配置规范：set routing-options autonomous-system64610配置验证：show configuration routing-options autonomous-systemROUTER-ID配置配置说明：配置路由器router-id ，通常路由协议传递路由信息时需要。配置规范：set routing-options router-id 1.1.1.1配置验证：showconfiguration routing-options router-id静态路由配置配置说明：静态路由配置。配置规范：基本静态路由配置set routing-options

24、static route192.168.10.0/24next-hop192.168.1.2打 TAG的静态路由set routing-options static route192.168.10.0/24tag100浮动静态路由set routing-options static route192.168.10.0/24qualified-next-hop192.168.2.2preference1015/53内部文档，未经许可不得扩散配置验证：show configuration routing-options staticshow route protocol static聚合路由配置配

25、置说明：将明细路由汇聚成一条路由发布给对端，这样可以减少路由表大小。此聚合路由生效的前提条件是必须有一条生效的明细路由。配置规范：set routing-options aggregate route 60.12.16.0/21配置验证：show configuration routing-options aggregateshow route protocol aggregateOSPF协议配置配置说明：配置规范：配置验证：BGP协议配置配置说明：EBGP运行在城域网出口路由器与163、CN2 骨干网路由器之间，实现城域网向骨干网发布城域网内的路由，并从骨干网接收缺省和网外路由。16/53内

26、部文档，未经许可不得扩散IBGP 运行在城域网核心层和业务接入控制层，承载用户路由。配置规范：关闭BGP自动路由汇总特性。关闭IGP 与 BGP 的同步。开启BGP DAMPING，避免路由抑制对业务的影响。关闭bgp always-compare-med宣告给163 的城域网路由携带MED 属性，设置MED=0。城域网以ORIGIN IGP的方式对外发布路由。明确配置BGP router-id为Loopback 0地址。根据需要确定BGP Multihop的TTL值，对大部分情况，配置EBGP Multihop为 2，以及BGP TTLSecurity 检测。明确配置新式community格

27、式。记录BGP邻居变化。BGP 不采用密码建立邻居关系EBGP和IBGP负载均衡数目配置为8。配置BGP出方向路由过滤，宣告给省网路由尽量合并，采用PREFIX和NETWORK宣告。使用Loopback 地址与骨干核心建立EBGP关系，不使用接口建立关系，启用EBGP TTL检测。BGP TIMER 参数keepalive 和Holdtime定时器统一为60s 与 180s。EBGP:set protocols bgp group EBGP type externalset protocols bgp group EBGP multihop ttl 255set protocols bgp g

28、roup EBGP local-address 220.162.235.1set protocols bgp group EBGP import rp_ChinaNet_To_MANset protocols bgp group EBGP authentication-keyset protocols bgp group EBGP exportBGP-OUTset protocols bgp group EBGP peer-as64123set protocols bgp group EBGP multipathset protocols bgp group EBGP neighbor 202

29、.97.32.150 descriptionset protocols bgp group EBGP neighbor 202.97.32.151 descriptionjuniperXXXXXXXXIBGP:set protocols bgp group IBGP type internal17/53内部文档，未经许可不得扩散set protocols bgp group IBGP local-address1.1.1.1set protocols bgp group IBGP log-updownset protocols bgp group IBGP dampingset protocols bgp group IBGP exportroute-to-bgpset protocols bgp group IBGP cluster1.1.1.1set protocols bgp group IBGP neighbor 220.1