JuniperERX日常维护手册

JuniperERX维护手册目录1.口令配置.......................................................................................................42.宽带接入配置...............................................................................................6关键性基本配置配置一个LOOPBACK端口作为拨号端口的参考端口.................................6配置拨号用户地址池配置用户地址分配为本地分配...................................................................................6...................................................................7配置RADIUSServer的相关参数.............................................................7PROFILE................................................................................................7Domain..........................................................................................8FE口配置与局域网PPPE接入配置OADSL拨号用户配置ADSL专线用户的配置...................................................................................123.系统管理.....................................................................................................13ERX的配置备份.............................................................................................13ERX重起选项................................................................................................13关电重启或者关机.....................................................................................14立即启动.....................................................................................................14定时重起.....................................................................................................14在一定时间后重起.....................................................................................14重新启动特定的模块.................................................................................14ERX系统升级.................................................................................................142如何从系统文件破坏的FLASH恢复启动文件............................................15SRP按钮的功能...................................................................................16RESET特权模式密码恢复........................................................................................17CONSOLE口密码的恢复.................................................................................174.常用的PPPoE的排错命令.........................................................................17系统的常用命令.........................................................................................185.常见故障分析.............................................................................................20安装时出现的问题........................................................................................20上连时与城域网交换机不通.....................................................................20下联与ATM交换机的配合.........................................................................20硬件告警.....................................................................................................20联调及维护时出现的问题——用户不能上网............................................21找不到BRAS................................................................................................21能找到BRAS，不能通过验证....................................................................21能找到BRAS，能通过验证，不能拿到地址............................................22能找到BRAS，能通过验证，能拿到地址，但是不能ping通任何地方.....................................................................................................................22能找到BRAS，能通过验证，能拿到地址，能ping通任何地方，但是不能下载大文件，也不能打开网页.............................................................22设备异常重起，或者出现告警。.............................................................2231.口令配置在这一节将讲述如何在全局配置模式下配置PASSWORD和SECRET，用来阻止非法用户进入特权模式。在ERX系统中PASSWORD和SWECRET具有相同的安全级别，你可以在你的系统中配置PASSWORD或SECRET，但不能同时配置。命令enablepassword•配置一个password.•用来限制访问特权模式和一些配置模式•密码可以是明文的或加密的。无论在哪种方式下，ERX都将密码存放为加密的。•配置一个不加密的口令，在命令行方式下输入0或不输入数字。.•例1–不加密的password:mypasswordERX-0-1-90(config)#enablepassword0•配置一个加密的password，在命令行方式下在密码前输入数字7•例2–加密的password:x13_2ERX-0-1-90(config)#enablepassword7•用命令的NO格式来删除密码。•可以设置不同级别的口令，用来限制登录用户的权限。mypasswordenablepassword[level5|level10]ERX支持level510level5level10拥有全部的权限。当不指定级别时，系统缺省为level10。登录时，使用命令：enable5(进入level5)或者enable[10](进入level10)•注意，在ERX中，Enablepassword后的字符如果不符合其参数关键字，则这些后有的字符都将被认为是你输入的密码。包括字符串中的空格与字符串后面的空格。所以命令Enablepasswordlevel5mypassword[此处多打了个空格]mypassword+Enablepasswordlevel5mypassword，所设置的密码，将是：level5mypassword4命令enablesecret•配置一个secret密码.•用来限制访问特权模式和一些配置模式.•密码可以是明文的或加密的。无论在哪种方式下，ERX都将密码存放为加密的。.•配置一个不加密的口令，在命令行方式下输入0或不输入数字。.•例1–不加密的secret口令ERX-0-1-90(config)#enablesecret0password•配置一个加密的password，在命令行方式下在密码前输入数字5•例2–加密的secret密码ERX-0-1-90(config)#enablesecret5x13_2•用命令的NO格式来删除密码。•可以设置不同级别的口令，用来限制登录用户的权限。enablesecret[level5|level10]mypasswordERX支持level510level5level10拥有全部的权限。当不指定级别时，系统缺省为level10。登录时，使用命令：enable5(进入level5)或者enable[10](进入level10)•注意，在ERX中，Enablepassword后的字符如果不符合其参数关键字，则这些后有的字符都将被认为是你输入的密码。包括字符串中的空格与字符串后面的空格。所以命令Enablesecretlevel5mypassword[此处多打了个空格]所设置的密码，将是：mypassword+空格。而命令，Enablesecretlevel5mypassword，所设置的密码，将是：level5mypassword命令erasesecrets•用来删除所有passwords和secrets.•当你忘了你的密码是，允许设置一个新的密码。•可以设置完成这个过程的时间（单位是秒。•例如5ERX-0-1-90>erasesecrets60•该命令必须在现场进行设置，并同时要按下面板按钮上的一个reset码恢复一节。命令showsecrets•显示所有的passwords和secrets.•密码都是显示为加密的2.宽带接入配置ERXPPPOEPPPOE/OA这中应用情况下对ERX需要进行的配置的一般步骤。在配置以上两种接入方式时，其配置基本上都分为两个部分，一个是基本配置，另外一个是接口配置，下面就分别描述配置这两个部分的具体步骤和配置命令：关键性基本配置配置一个LOOPBACK端口作为拨号端口的参考端口当我们在配置用户拨号端口时，为了节约IP地址，我们一般和普通电话拨号接入一样，采用IPUNNUMBER技术，因此我们也需要配置一个作为参考用的LOOPBACK端口。配置命令如下ERX#CONFTERX（CONFIG）#INTLOOPBACK端口号码ERX（CONFIG-INT）#IPADDRESSIP-ADDERSSNETMASK配置拨号用户地址池与传统的电话拨号配置一样，我们需要为每一个拨号用户动态的分配IP地址，这样我们就需要为ERX指定一段用来分配给拨号用户的地址段，就是我们所谓的地址池，其配置命令如下：ERX#CONFTERX（CONFIG）#IPLOCALPOOLPOOL-NAMESTART-IP-ADDRESSEND-IP-ADDRESS6ERX中，每一段ippool的名字不能重复。系统会在一个POOL中的地址使用完后，顺次使用下一个POOL中的地址配置用户地址分配为本地分配配置了用户IPERX在为用户分配地址的时候从本地配置的IPPOOL中取地址，其配置命令如下：ERX#CONFTERX（CONFIG）#IPADDRESSPOOLLOCAL配置RADIUSServer的相关参数ERX默认的拨号用户的认证方式是RADIUS认证，而且，一般现在的ISP都是采用RADIUS认证的。因此，我们需要为ERX指定相关的认证及计费服务器的信息。主要包括如下配置：配置RADIUSS认证服务器（一般包括地址，KEY，端口）RX-0-9-D0(config)#radiusauthenticationserver3RX-0-9-D0(radius-server)#udp-port1645RX-0-9-D0(radius-server)#keytrainingRX-0-9-D0(radius-server)#exit配置RADIUSS计费服务器（一般包括地址，KEY，端口）RX-0-9-D0(config)#radiusaccountingserver3RX-0-9-D0(radius-server)#udp-port1646RX-0-9-D0(radius-server)#keytrainingRX-0-9-D0(radius-server)#exit配置认证数据包的源地址RX-0-9-D0(config)#radiusupdate-sourceIP-ADDRESS该源地址，必须是存在于本VirtualRouter中的一个地址，且作为RADIUSServer的clients地址。PROFILE配置在ERX中所有layer1和layer2信息都是全局的配置，在每一个Virtual（VR）IP端口层以上的信息才是与VR相关连的。PROFILE是用来指定一个IP端7口的相关的属性或特性的，例如MTU，CACHE，HOSTROUTE，IPADDRESS等。一个PROFILE只要在全局定义一次，就可以在多个VR中被多个接口应用。下面的例子说明了PROFILE的配置及在PROFILE中可以配置的参数。host8(config)#profileisp2host8(config-profile)#ip?access-routes定义一个PROFILE列出PROFILE中可配置的IP相关参数允许创建主机回路路由，在每一个用户配置中必须存在。在profile中，系统缺省使用，但如果配置用户接口时不是使用profileConfigureanIPaddressonaninterfaceaddressdirected-broadcastEnabledirectedbroadcastforwardingmtuConfigurethemaximumtransmissionunitforthisnetworkpolicyredirectsAttach/Removeapolicyto/fromaninterfaceEnabletransmissionofICMPredirectmessagesEnablesourceaddressvalidationsa-validateunnumberedConfigureIPonthisinterfacewithoutaspecificaddressvirtual-routerSpecifyavirtualrouterfortheprofilehost8(config-profile)#ipaccess-routes配置自动产生主机路由host8(config-profile)#ipmtu1500配置接口的MTU值在定义了一个PROFILE后它就可以被一组相同属性的端口应用。PROFILE是用来在非缺省路由器中动态创建IP端口的一种技术。Domainmap配置Domainmap是用来根据不同的用户后缀名来区分不同的用户，将他们分别分配到不同的VR，然后通过不同的认证服务器进行认证的一种机制。Domainmap是全局配置的，它通过以表格的方式列出所有合法的后缀及将他们关联到不同的VR和LOOPBACK端口，让后在每个用户上来时，通过查找该表来决定用户属于的VR及相关的端口。其配置的方法如下：RX-0-9-D0(config)#aaadomain-mapdefaultloopback1以上命令在domain-map中配置了一个名叫I的后缀，并将它关联到缺省路由器8loopback1端口。不需要使用域名来区分业务时，在配置中只需要使用aaadomain-mapdefaultdefaultaaadomain-mapnonedefault即可。FE口配置与局域网PPPoE接入配置ERX配置的FE板卡可以作为以太网用户的接入和VDSL以太网上行链路的接入。局域网PPPoE接口配置在以太网接入的PPPOE中，可以使用两个办法，建议第二种方法。第一种方法端口下面配置没有VLAN的会话。第二种方法使用VLAN下的PPPOE会话。第一种方法端口下面配置没有VLAN的会话interfacefastEthernet2/0pppoepppoesessions2!pppoesubinterfacefastEthernet2/0.1001encapsulationppppppauthenticationpapprofilepppoe!pppoesubinterfacefastEthernet2/0.1002encapsulationppppppauthenticationpapprofilepppoe第二种方法端口下面配置有VLAN隔离的PPPOE会话。需要注意的是交换机与ERX连接的端口是TRUNK口。interfacefastEthernet2/0encapsulationvlan!interfacefastEthernet2/0.10019vlanid20pppoe!pppoesubinterfacefastEthernet2/0.1001.1001encapsulationppppppauthenticationpapprofilepppoeinterfacefastEthernet2/0.1002vlanid21pppoe!pppoesubinterfacefastEthernet2/0.1002.1001encapsulationppppppauthenticationpapprofilepppoe以太网接入用户不建议使用专线线路。不过也可以做。这样做的弊端是下面同局域网的用户都可以使用这个地址。配置如下：interfaceloopback1ipaddress专线的网关、每个段一个。interfacegigabitEthernet12/0mtu1522encapsulationvlan!interfacegigabitEthernet12/0.19vlanid19ipunnumberedloopback1ipproxy-arpippolicyinputpro2Mippolicyoutputpro2M!iproute55gigabitEthernet12/0.19配置专线的路由。此地10址是专线客户端的地址。ADSL拨号用户配置ERXPVC信息指定与PPPOE数据，即PPPinterfaceatm3/0.10010101atmpvc100101011101aal5snapencapsulationpppoe!interfaceatm3/0.10010110.1encapsulationppppppauthenticationpapprofilepppoe以上配置只允许一个PVC带一个用户，如果允许一根PVC带多个用户，则只需将子子接口的内容重复，并换上不同的子子接口号即可。如：interfaceatm3/0.10010101atmpvc100101011101aal5snapencapsulationpppoe!interfaceatm3/0.10010110.1encapsulationppppppauthenticationpapprofilepppoe！interfaceatm3/0.10010110.2encapsulationppppppauthenticationpapprofilepppoe11ADSL专线用户的配置在ADSL上开专线有两种方式：一是采用bridge1483封装，一是采用routed1483封装。VR下进行，如果该PVC原来已经配置为PPPoEbridge1483/routed1483封装的配置。以PVC为1，VCI为101的用户配置为例，该用户原来已经配置为PPPoE接入。VirdefaultNointerfaceatm3/0.10010101.1Nointerfaceatm3/0.10010101VirLEASED_LINEInterfaceatm3/0.10010101Atmpvc100101011101aal5snapEncapsulationbridge1483Ipunnumberedloopback1Ippolicyinputpro4MIppolicyoutputpro4M(如果采用routed1483封装，则其形式为：Interfaceatm3/0.10010101Atmpvc100101011101aal5snapIpunnumberedloopback1Ippolicyinputpro4MIppolicyoutputpro4M）由于专线用户不象拨号用户那样能使用动态主机路由添加，因此，还必须手工指定主机回路路由IPROUTEX.X.X.X55atm3/0.10010101注意：该静态路由为主机路由，即掩码为32位全1。在某些情况下，也可以使用地址段路由，但这种情况下，主机位全0和主机位全1的IP地址将被浪费。在用户侧，指定其IP为X.X.X.X，掩码与在ERX上所设定的loopback1的地址一样，网12关地址就是loopback1的地址，DNS等也要手工指定。3.系统管理ERX的配置备份ERX则要重新找回配置，将是很麻烦的事情。因此，系统管理员要进行经常性的备份工作。备份时，配置文件可以放到ERX的flash卡上，也可以放到管理员自己的机器中。将备份文件放到ERX的FLASH卡上1）copyrunning-configf缀名必须是cnf2）showconfig>erxconfig0122.scr利用重定向功能，将配置文件按ASCII码形式保存，注意后缀名必须是scr将备件文件放到系统管理员自己的机器上利用ftp将已经生成的.cnf或者.scr令利用telnet工具本身的文本记录功能，作拷贝恢复配置时，可以用如下方式：将备份文件通过FTP拷贝到ERX的FLASH卡上后，使用命令configfilexxxx.scr该方法也可以用于平常ADSL用户的数据配置，先用工具生成配置，再copy到ERX上用configfile的方式进行配置通过telnet工具通过copy/paste进行配置ERX重起选项在重新启动ERX时，我们可以通过以下方式来重新启动ERX系统：13关电重启或者关机1．执行命令：halt2．关机或者关电重启立即启动我们可以使用RELOAD命令立即重起ERX，同时我们可以在命令后面加上重起系统的原因例如：–ERX1#reloadBecauseIwantedto!!!定时重起–ERX1#reloadat2:30may–ERX1#reloadat13:00april10GaryupgradedSW–ERX1#showlastlastreset:userreboot,reason:GaryupgradedSWto1.3.0在一定时间后重起–ERX1#reloadin00:05重新启动特定的模块–ERX1#reloadslot2reboot.hty中，我们可以在重起以后用以下命令查看重起的原因–ERX1#showlastlastreset:userreboot,reason:BecauseIwantedto!!!ERX系统升级要升级ERXERX1-3-0）1．将系统文件拷贝到你的FTP服务器根目录上面2．在你的ERX上面为你的FTP服务器配置一个HOST名ERX1(config)#hostpc00ftperx1（用户名）mypassword（密码）3．将备份的SRP的同步功能暂时关闭14ERX1(config)#disable-autosync4．将系统文件从FTP服务器上拷贝到ERX上ERX1#copypc:1-3-0.rel1-3-0.rel5．手动进行同步ERX1#dir先查看是否已经拷贝完全ERX1#synchronize6．重启备用SRP（假设是在slot6ERX1#reloadslot63分钟后，使用命令shver，查看slot6上的SRP板是否，如果显示的是notresponding，则需要重复reloadslot6命令一次或多次，直到显示为online7．手动进行同步ERX1#synchronize8．切换SRP：ERX1#srpswitch9．系统正常后，shver，会发现已经升级到新的版本。10．打开自动同步功能ERX1(config)#nodisable-autosync如何从系统文件破坏的FLASH恢复启动文件如果系统在启动过程中一直处在boot##提示状态下，可能是系统的系统文件出现问题或FLASH的文件系统的被破坏了。如果出现这样的情况，我们可以有以下的集中处理方式在boot提示状态下:–方法一：键入reload，重新引导–方法二：如果文件系统仍然可以用，就重新拷贝一份新的系统文件到flash中，然后重新启动系统，例如：•:boot##ipaddress:boot##hostmyftpserver00ftp•:boot##ipgateway•检测能否与FTP服务器连通（以上地址对应与SRP上面的带外网管口，其中的地址和掩码根据具体情况修改）•:boot##copymyftpserver:1-3-0.rel1-3-0.rel•:boot##copymyftpserver:1-3-0.f•:boot##bootsystem1-3-0.rel•:boot##f•:boot##reload–方法三：如果文件系统不可用了，就需要重新格式化FLASH的文件系统，然后执行方法二，步骤如下：1、boot##flash-diskinitialize2、执行方法二的步骤。SRPreset按钮的功能SRP上有两个reset按钮，如图在SRP的FLASH上面的两个小的孔–上面的是=Reset–下面的是=NMI•Reset按钮的功能–ERX进行硬件检测，并重新启动系统–相当于系统关电重起•NMI按钮的功能–TheERX重新启动，不进行硬件检测–只是重新引导系统16特权模式密码恢复如果我们忘了系统的特权模式的密码，但还能够进入到系统的拥护模式，我们可以用下面的命令来恢复将原来的密码去掉。在用户模式下输入如下的命令ERX1>erasesecret60然后在60秒的时间内按MNIPleasewait....ERX1>这步操作不会影响系统正常工作。CONSOLE口密码的恢复如果我们忘了CONSOLE口的密码，可以按如下步骤进行：关电重启ERX（注意，要先使用halt命令，而关电）后，按mb或是空格键（视操作系统disableconsoleauthentication再重新启动回正常状态，即可除去console口密码。4.常用的PPPoE的排错命令•showpppoeintsu查看当前PPPOE端口配置总数•showPPPOEsubintsu查看当前PPPOE的PPP端口配置数注：ERX的每一块板卡，目前只支持8000个PVC配置，8000个PPPinterface的配置•showatmvcatmm/n•showsubscriber查看m/n端口下，VCI配置信息查看当前在线用户，其中会显示出峰值用户数•showsubscriberuserxxxx查看用户xxxx当前是否在线，并显示其端口信息，从PVC（前提是所有的用户配置都按我们指定的端口编号规则17ADSL用户适用，不适用于LAN的用户，因为LAN的配置不是一对一的配置，只是一个并发数的配置•showsubscriber|[include|begin…..]按[]中的筛选项进行用户查询•logoutsubscriberxxxxx•showradiusstatistics•showiproute将用户xxxxx踢下线查看RADIUS统计信息查看路由表•showaaadomain-map查看domain-map的配置信息usernamepassword•testaaa测试RADIUS配置及用户认证情况显示当前PPP端口信息的相关命令•showpppinterfaceup/down•showpppinterfacefull•showpppinterfacestatus显示当前PPPOE端口的相关命令•showpppoeinterface•showpppoesubinterface<interface>•showpppoeinterfaceatm•showpppoesubinterfaceatm•showatmintatm3/0<interface>显示当前atm端口信息的相关命令显示当前atm端口IP信息的相关命令•showintatm3/0系统的常用命令showconfig显示系统的配置文件内容halt当你在准备关闭SRP或准备拆除SRP模块时，用来停止系统的操作。执行该命令后，系统会等待2分钟，在两分钟以后系统会自动重起。showenvironment显示系统的物理信息，如系统的电源，电压，温度，SRP模块的状态等。showhardware18显示系统的硬件信息，包括›slot–模块的物理插槽›type–模块类型›serialnumber–序列号›assemblynumber–部件号›assemblyrev.–硬件版本›ram(MB)–内存›numberofMACaddresses–I/O模块上的以太口MAC地址数›baseMACaddress–最低的MAC地址例如ERX-0-1-90#showhardwareserialassemblyassemblyramslottypenumbernumberrev.(MB)------------------------------------------0SRP-5G71991600223400002900A031281---------------2---------------3OC3dP271991902183401002800A02644---------------5CT3P271991601213401002501A02646CT271991603113401002011A0364numberofserialassemblyassemblyMACslottypenumbernumberrev.addresses---------------------------------------------------0SRP-5GI/O71991701473400003301A01161---------------2---------------3OC3dP2I/O71990300303400003400A014---------------5CT3P2I/O71991501623400003200A036CT1I/O71994602173400006401A02slotbaseMACaddress---------------------000-90-1a-00-09-a01---2---3194---565.常见故障分析安装时出现的问题上连时与城域网交换机不通1．光纤不通2．注意区分单模和多模的GBIC模块3．注意交换机的配置，有时，在交换机上要把端口自适应关掉，或者再打开，如此反复几次4．IP地址是不是一致下联与ATM交换机的配合主要是SDH的问题，有部分地方传输线路采用的是SONET，有的地方采用的是SDH。故障表现为光纤插到机器后，fail灯亮，用shintatm3/0看到链路是down的，具体操作方法如下：controllersonnet3/0sdhinterfaceatm3/0sonetstm-1……硬件告警1．ATM色）2．当线路卡出现故障的时候，我们可以通过三种方法进行判断：method1：用命令：shreboot可以查到各板卡的resettype，正常情况下是powercircle，如果出现0x200，则可初步判定是硬件故障；也可以通过重插拔来判定是否真的出现硬件故障method2