juniper常用配置集合

Juniper路由器配置命令介绍Juniper路由器配置命令介绍⒈系统配置命令⑴ `set system hostname`：设置设备的主机名。

⑵ `set system domn-name`：设置设备的域名。

⑶ `set system login user`：设置设备的登录用户信息。

⒉接口配置命令⑴ `set interfaces interface-name unit logical-unit-number family inet address ip-address/subnet-mask`：配置接口的IP地址和子网掩码。

⑵ `set interfaces interface-name unit logical-unit-number family inet6 address ipv6-address/prefix-length`：配置接口的IPv6地址和前缀长度。

⑶ `set interfaces interface-name unit logical-unit-number vlan-id vlan-tagged`：配置接口的VLAN标签。

⒊路由配置命令⑴ `set routing-options static route destination next-hop`：配置静态路由。

⑵ `set protocols ospf area area-id`：配置OSPF路由协议。

⒋安全配置命令⑴ `set security zones security-zone zone-nameinterfaces interface-name`：将接口分配给安全区域。

⑵ `set security policies from-zone source-zone to-zone destination-zone policy policy-name then permit`：配置安全策略以允许数据流动。

⒌ VPN配置命令⑴ `set security ike proposal proposal-name authentication-method pre-shared-keys`：配置IKE提议的预共享密钥认证方法。

1、查看设备的硬件及引擎情况引擎数？有哪些板卡？从上信息可以得出：双引擎设备，RE0是主，RE1是备。

2、查看版本从上可看出：re0的版本是【12.3R4.6】re1的版本是【12.3R4.6】3、引擎切换4、查看当前引擎运行状态设备配置管理Juniper的配置存在2个地方：第一个：其中，juniper.conf.gz是当前的配置第二个：可以查看文件的实际配置内容：查看全局配置：或查看接口查看接口匹配信息查看路由协议信息或查看系统方面的信息查看之前的历史配置信息查看运行的文件回滚载入之前的某一个配置文件批量导入配置命令：带外管理口配置：set groups re0 interfaces fxp0 unit 0 family inet address 172.18.18.30/24set system time-zone Asia/Shanghaiset system root-authentication encrypted-password "$5$hmy2W7ar$TR/KP7qIckZ37QbfzSKJWpFW1QS70m1zAPQCsK4jth0" set system login user lab uid 2000set system login user lab class super-userset system login user lab authentication encrypted-password "$5$.Us1Dtb0$dIi5e/6/xp3IAUS/EXkntfTk3fDqESpZBNBLxrWVLHB"set system services ftpset system services sshset system services telnetset system syslog user * any emergencyset system syslog file messages any noticeset system syslog file messages authorization infoset system syslog file interactive-commands interactive-commands anyset logical-systems vr101set logical-systems vr102set interfaces ge-2/0/0 description link_to_Serv1set interfaces ge-2/0/0 unit 0 family inet address 11.1.1.1/24 deactivate interfaces ge-2/0/0 unit 0set interfaces ge-2/0/1 description link_to_Serv2set interfaces ge-2/0/1 unit 0 family inet address 11.1.2.1/24 deactivate interfaces ge-2/0/1 unit 0set routing-options static route 172.0.0.0/8 next-hop 172.18.18.254set routing-options static route 10.0.0.0/8 next-hop 172.18.18.254show configuration | display set |match traceoptionshow bgp summaryshow configuration | display set | match 100.125.154.9set protocols bgp group HZ-OOB2IN75 neighbor 100.125.154.9 export rpFW-ADCN2FW-POPshow bgp neighborshow route forwarding-tableshow configuration interfacesshow configuration policy-optionsshow configuration interfaces gr-0/0/0show configuration protocols bgpping 100.125.154.126 count 100ping 14.143.27.242 rapid count 300show configuration | display set | compare rollback 5 show version detail no-forwardingshow system core-dumps no-forwardingshow chassis alarms no-forwardingshow chassis hardware detail no-forwarding show system processes extensive no-forwarding show pfe statistics errorshow pfe statistics trafficshow chassis routing-engine no-forwarding show chassis environment no-forwarding show chassis firmware no-forwardingshow chassis fpc detailshow system boot-messages no-forwarding show system storage no-forwardingshow system virtual-memory no-forwardingshow system buffer no-forwardingshow system queues no-forwardingshow system statistics no-forwardingshow configuration | except SECRET-DATA | display omit show interfaces extensive no-forwardingshow network-access aaa statistics accountingshow route forwarding-table summaryshow ppp statistics extensiveshow accounting server statisticsshow system resource-monitor summaryshow shm-ipc statisticsshow interfaces diagnostics optics et-0/1/1。

Juniper路由器配置命令介绍Juniper路由器配置命令介绍目录1、简介2、配置基础命令2.1 进入操作模式2.2 配置系统参数2.3 设置管理接口2.4 配置路由表3、高级配置命令3.1 OSPF配置3.2 BGP配置3.3 VRF配置3.4 MPLS配置4、安全配置命令4.1 配置防火墙4.2 配置安全策略4.3 配置VPN4.4 配置ACL5、故障排查命令5.1 显示命令5.2 路由故障排查5.3 硬件故障排查5.4 访问控制故障排查6、性能优化命令6.1 接口配置6.2 QoS配置6.3 缓存配置6.4 动态路由配置1、简介Juniper路由器是一种支持多种网络协议的高性能路由器。

本文档介绍了Juniper路由器的配置命令，并根据功能分类进行了细化。

2、配置基础命令2.1 进入操作模式- login：登录路由器- cli：进入命令行操作模式- configure：进入配置操作模式2.2 配置系统参数- set system hostname <hostname>：设置路由器主机名- set system domn-name <domn-name>：设置路由器域名- set system time-zone <time-zone>：设置时区- set system name-server <ip-address>：设置DNS服务器2.3 设置管理接口- set interfaces <interface> unit <unit> family inet address <ip-address/mask>：配置管理接口的IP地质- set interfaces <interface> unit <unit> family inet address dhcp：使用DHCP分配管理接口的IP地质2.4 配置路由表- set routing-options static route <destination> next-hop <next-hop>：配置静态路由- set routing-options router-id <id>：配置路由器ID- set protocols ospf area <area> interface <interface>：配置接口与OSPF区域的关联3、高级配置命令3.1 OSPF配置- set protocols ospf area <area> interface <interface>：配置接口与OSPF区域的关联- show ospf neighbor：显示OSPF邻居信息- show ospf route：显示OSPF路由表3.2 BGP配置- set protocols bgp group <group-name> neighbor<neighbor-address>：配置BGP邻居- set protocols bgp group <group-name> family <family>：配置BGP邻居的地质族- show bgp neighbor：显示BGP邻居信息- show bgp summary：显示BGP邻居摘要信息3.3 VRF配置- set routing-instances <instance-name> interface<interface>：配置接口与VRF的关联- set routing-instances <instance-name> routing-options static route <destination> next-hop <next-hop>：配置静态路由3.4 MPLS配置- set protocols mpls interface <interface>：启用接口的MPLS功能- set protocols mpls label-switched-path <LSP-name> to <destination-address> : 配置LSP的路径4、安全配置命令4.1 配置防火墙- set security policies from-zone <from-zone> to-zone <to-zone> policy <policy-name> match <match-conditions> then permit/deny：配置安全策略4.2 配置安全策略- set security zones security-zone <zone-name> address-book address <address-name> <ip-address>：配置地质对象- set security zones security-zone <zone-name> host-inbound-traffic system-services <services>：配置允许进入防火墙的服务4.3 配置VPN- set security ike proposal <proposal-name> authentication-method <method>：配置IKE提议- set security ike gateway <gateway-name> ike-policy <policy-name>：配置IKE网关- set security ipsec vpn <vpn-name> bind-interface<interface>：绑定VPN到接口4.4 配置ACL- set firewall family inet filter <filter-name> term <term-name> from protocol <protocol>：配置ACL规则- set firewall family inet filter <filter-name> term <term-name> then accept/discard：配置ACL规则动作5、故障排查命令5.1 显示命令- show interfaces <interface> detl：显示接口详细信息- show route <destination> : 显示路由信息- show chassis hardware：显示硬件信息5.2 路由故障排查- show bgp summary：显示BGP邻居摘要信息- show ospf neighbor：显示OSPF邻居信息- show route protocol <protocol>：显示指定协议的路由5.3 硬件故障排查- show chassis hardware：显示硬件信息- show log messages：显示系统日志消息- request support information：收集支持信息文件5.4 访问控制故障排查- show security policies from-zone <from-zone> to-zone <to-zone> policy <policy-name>：显示安全策略信息- show security zones interfaces：显示接口与安全域的关联信息6、性能优化命令6.1 接口配置- set interfaces <interface> mtu <mtu-size>：设置接口MTU大小- set interfaces <interface> description <description>：设置接口描述6.2 QoS配置- set class-of-service interfaces <interface> unit<unit> scheduler-map <map-name>：为接口配置调度器映射- set class-of-service scheduler-maps <map-name> forwarding-class <forwarding-class> scheduler <scheduler-name>：配置调度器映射6.3 缓存配置- set forwarding-options cache hit-cache-size <size>：设置缓存大小- set forwarding-options cache timeout <timeout-value>：设置缓存超时时间6.4 动态路由配置- set protocols ospf area <area> interface <interface> passive：将接口设置为OSPF被动接口- set routing-instances <instance-name> interface <interface> passive：将接口设置为VRF被动接口附件：无法律名词及注释：无。

Juniper路由器配置详解第一章：Juniper路由器概述Juniper Networks是全球知名的网络设备供应商之一，其路由器产品以高性能和可靠性而闻名。

本章将介绍Juniper路由器的基本概念和架构。

首先将介绍Junos操作系统，然后探讨Juniper路由器的不同系列和型号。

第二章：Juniper路由器接口配置Juniper路由器的接口配置非常重要，它决定了如何连接路由器以及与其他设备进行通信。

本章将详细讨论接口类型、接口配置命令以及不同接口的特性和用途。

第三章：基本路由配置路由是网络中数据包传输的基础，对于Juniper路由器的配置来说非常重要。

本章将介绍如何配置静态路由和动态路由，包括OSPF和BGP等常用路由协议。

第四章：高级路由配置高级路由配置允许更复杂的路由策略和动态路由选择。

本章将讨论路由策略配置和路由过滤列表等高级路由功能，以及如何实现路由红istribution和路由聚合。

第五章：安全配置网络安全对于任何企业来说都是至关重要的。

本章将介绍如何配置Juniper路由器的安全功能，包括防火墙、虚拟私有网络（VPN）和安全策略等。

我们还将谈及如何使用Juniper安全套件提供的高级保护机制来保护网络。

第六章：QoS配置服务质量（QoS）是保证网络性能的重要因素之一。

本章将详细讨论如何使用Juniper路由器的QoS功能来管理带宽、优化流量和提供最佳用户体验。

第七章：管理配置管理配置是确保Juniper路由器正常运行的关键。

本章将讨论如何配置远程访问、系统日志和故障排除等管理功能。

我们还将介绍如何使用Junos Space网络管理平台来实现集中化管理和配置。

第八章：高可用性配置高可用性是企业网络的重要要求之一。

本章将介绍如何配置Juniper路由器的高可用性功能，包括冗余路由器、Virtual Chassis和Link Aggregation等。

我们还将讨论如何实现网络故障恢复和负载均衡。

1.〉模式进入#模式：configure2.配置静态路由：>set route 10.1.10.0/24 int e1 gateway 10.1.1.2543.查看接口的配置:>get interface4.查看静态路由：>get route >get route ip 10.1.10.55.Ping 测试：>ping 10.1.10.56.Traceroute 测试：>trace 10.1.10.57.配置接口的模式（nat和route）：>set interface e1 nat8.保存：>save9.配置文件备份：>save config from flash to tftp 1.1.7.250 15june03.cfg10.配置文件恢复：>save config from tftp 1.1.3.250 15june03.cfg to flash11.IOS备份：>save software from flash to tftp 1.1.7.250 ns208image.bin12.IOS升级：>save software from tftp 1.1.7.250 newimage to flash13.透明模式的配置：A.建立2层的安全区（在没有使用缺省安全区的情况下）：>set zonename L2-Demo L2 1 // set zone name <name> L2 <vlan_tag>B.分配接口给2层安全区：>set int e3 zone L2-DemoC．为vlan1配置管理地址：>set int vlan1 manage-ip 1.1.7.100/24a．配置ＩＰ地址：>set int vlan1 ip 1.1.7.1/24ｂ．选择广播的方法：>set vlan1 broadcast floodc.配置管理服务：（允许所有的管理服务）>set int vlan1 manageD．（可选项）配置每个安全区的管理服务：>set zone v1-dmz manage webE．在不同的安全区之间配置策略：14.透明模式的检查工具：>get int>get arp ,>get mac-learn,>get session15.透明模式是一个非常灵活的防火墙部署解决方案,可以快速实现防火墙和VPN的功能，不需要修改网络结构，建立虚拟地址（NAT），就可以实现访问控制。

J u n i p e r J u n o s S R系列C l u s t e r H A配置汇总集团标准化办公室：[VV986T-J682P28-JP266L8-68PNN]1.插线指定主备On device A: >set chassis cluster cluster-id 1 node 0 reboot On device B: >set chassis cluster cluster-id 1 node 1 reboot定义控制层端口（可配置网管口）On device A:{primary:node0}set groups node0 system host-name HQ-CS-FW-SRX550-1set groups node1 system host-name HQ-CS-FW-SRX550-2set apply-groups "${node}"义数据层端口On device A:{primary:node0}-fab0 is node0 (Device A) interface for the data link# set interfaces fab0 fabric-options member-interfaces ge-0/0/2 -fab1 is node1 (Device B) interface for the data link# set interfaces fab1 fabric-options member-interfaces ge-9/0/25.配置 redundancy-group{primary:node0}set chassis cluster redundancy-group 0 node 0 priority 100set chassis cluster redundancy-group 0 node 1 priority 50set chassis cluster redundancy-group 1 node 0 priority 100set chassis cluster redundancy-group 1 node 1 priority 50注： Redundancy Group 0 for the Routing Engine failover properties 必配Redundancy Group 1 to define the failover properties for the Reth interfaces(all the interfaces will be in one Redundancy Group in this example) 建议所有端口放一个Group6. 配置端口监控On device A:{primary:node0}set chassis cluster redundancy-group 1 interface-monitor ge-0/0/3 weight 255set chassis cluster redundancy-group 1 interface-monitor ge-0/0/4 weight 255set chassis cluster redundancy-group 1 interface-monitor ge-9/0/3 weight 255set chassis cluster redundancy-group 1 interface-monitor ge-9/0/4 weight 255注：监控所有端口Interface monitoring is not recommended for redundancy-group 0.7.配置 Reth interface 并划入 zoneConfigure the Redundant Ethernet interfaces (Reth interface) and assign the Redundant interface to a zone.On device A:{primary:node0}# set chassis cluster reth-count <max-number>Range: 0 through 1redundancy-group 【group-number】—Number of the redundancy group on which to initiate manual failover.Redundancy group 0 is a special group consisting of the two Routing Engines in the chassis cluster.After a manual failover, you must use the 【request chassis cluster failover reset】 command before initiating another failover.Sample : user@host> request chassis cluster failover node 0 redundancy-group 1user@host> request chassis cluster failover reset redundancy-group 0清除HA统计数据user@host> clear chassis cluster statistics清除控制心跳数据统计Cleared control-plane statistics清除数据心跳线统计Cleared data-plane statistics清除Cluster数据统计Clear chassis cluster failover-countSrx Cluster upgrade1. Load the new image file on node 0.2. Perform the image upgrade without rebooting the node by entering:user@host> request system software add image_name3. Load the new image file on node 1.4. Repeat Step 2.5. Reboot both nodes simultaneously.不间断升级：request system software in-service-upgrade (Maintenance) ISSUrequest system software in-service-upgrade image_name<no-copy><no-sync><no-tcp-syn-check><no-validate><reboot><unlink>Options Explaination :image_name—Location and name of the software upgrade package to be installed.no-copy—(Optional) Installs the software upgrade package but does not save the copies of package files.no-sync—Stops the flow state from synchronizing when the old secondary node has booted with a new Junos OS image.This parameter applies to SRX100, SRX210, SRX220, SRX240, and SRX650 devicesonly. It is required for an ICU.no-tcp-syn-check—(Optional) Creates a window wherein the TCP SYN check for the incoming packets is disabled. The default value for the window is 7200 seconds (2 hours).This parameter applies to SRX100, SRX210, SRX220, SRX240, and SRX650 devicesonly.no-validate—(Optional) Disables the configuration validation step at installation. The system behavior is similar to that of the request system software add command.This parameter applies to SRX100, SRX210, SRX220, SRX240, and SRX650 devices only.reboot—Reboots each device in the chassis cluster pair after installation is completed. This parameter applies to SRX1400, SRX3400, SRX3600, SRX5600, and SRX5800 devices only. It is required for an ISSU. (The devices in a cluster are automatically rebooted following an ICU.)unlink—(Optional) Removes the software package after successful installation.user@host> request system software in-service-upgrade /var/tmp/ no-syncISSU: Validating package。

juniper路由器配置juniper路由器配置一．路由器网络服务安全配置：默认情况下，系统启动了许多无用服务，这些服务在占用系统资源的同时也造成一定的安全隐患，应该在尽可能的情况下停止或限制这些服务1． SNMP服务使用如下命令来停止SNMP服务：setsystemprocessessnmpdisable使用如下命令来设置SNMP通讯字符串：setsnmpcommunitymysnmpauthorizationread-only使用如下命令来在接口上设备SNMP通讯字符串：setsnmpinterfacefxp0communitymysnmp使用如下命令来在接口上禁止SNMP服务trap：setinterfacesfxp0unit0trapsdisable使用如下命令来限制SNMP的访问客户端：setsnmpcommunitymysnmpclients192.168.0.0/24 setsnmpcommunitymysnmpclients0.0.0.0/0restrict上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务2．停止接口广播转发：广播转发容易造成smurf攻击，因此应该使用如下命令停止：setsystemno-redirects接口级别停止广播转发使用如下命令：setinterfacesfxp0unit0familyinetno-redirects3．停止dhcp-relay服务，dhcp-relay服务用于在不同网段使用同一个dhcp 服务器，如果没有使用，则应该使用如下命令停止：setsystemdhcp-relaydisable4．禁止IGMP服务，IGMP服务如果在没有使用的情况下应该使用如下命令禁止：setprotocolsigmpinterfacealldisable5．禁止PIM服务（？），PIM服务如果在没有使用的情况下应该使用如下命令禁止：setprotocolspimdisable6．禁止SAP服务（？），SAP服务如果在没有使用的情况下应该使用如下命令禁止：setprotocolssapdisable7．禁止IPSourceRouting源路由setchassisno-source-route二．路由器登录控制：1．设置系统登录Banner:setsystemloginmessageWarning:ifyouNOTauthorizedtoacce ssthissystem,dis connectNOW!2．设置登录超时时间：默认情况下，系统登录没有登录超时时间限制，应该将登录超时时间设置为15分钟：setcliidle-timeout153．建议采取用户权限分级管理策略setsystemloginclasstier1idle-timeout15setsystemloginclasstier1permissions[configureinterfacenetw orkroutings nmpsystemtraceviewfirewall]setsystemloginclasstier2idle-timeout15setsystemloginclasstier2permissionsallsetsystemloginuseradminfull-nameAdministrator setsystemloginuseradminuid2000setsystemloginuseradminclasstier2 setsystemloginuseradminauthenticationencrypted-password setsystemloginusertier1uid2001setsystemloginusertier1classtier1setsystemloginusertier2uid2002setsystemloginusertier2classtier24. 限制系统ssh、telnet服务连接数量：以下配置将ssh,telnet连接最大数量限制为10个，并且每分钟最多有5个可以连接：setsystemservicessshconnection-limit10rate-limit5 setsystemservicestelnetconnection-limit10rate-limit5 以下特性JUNOS5.0以上支持：setsystemservicesroot-logindeny（禁止root远程登陆）setsystemservicesprotocol-versionv2（使用sshv2）三．配置系统日志服务：1．设置系统kernel级警告发到console上setsystemsyslogconsolekernelwarning2．配置登录系统日志到单独的auth.log文件中setsystemsyslogfileauth.logauthorizationinfo3．配置系统配置更改日志到单独的change.log文件中setsystemsyslogfilechange.logchange-loginfo4．配置系统所有日志到日志服务器setsystemsysloghostx.x.x.x.anyinfo四．路由策略安全1．配置以下保留地址的黑洞路由setrouting-optionsoptionsno-resolvesetrouting-optionsoptionssyslogleveldebugsetrouting-optionsstaticroute0.0.0.0/8discardsetrouting-optionsstaticroute10.0.0.0/8discardsetrouting-optionsstaticroute20.20.20.0/24discardsetrouting-optionsstaticroute127.0.0.0/8discardsetrouting-optionsstaticroute169.254.0.0/16discardsetrouting-optionsstaticroute172.16.0.0/12discardsetrouting-optionsstaticroute192.0.2.0/24discardsetrouting-optionsstaticroute192.168.0.0/16discardsetrouting-optionsstaticroute204.152.64.0/23discardsetrouting-optionsstaticroute224.0.0.0/4discard2．设置strict模式的unicastRPFsetinterfacesso-0/0/0unit0familyinetrpf-check3．设置相应prefix-list，禁止保留地址访问setpolicy-optionsprefix-listreserved0.0.0.0/8setpolicy-optionsprefix-listreserved10.0.0.0/8setpolicy-optionsprefix-listreserved20.20.20.0/24setpolicy-optionsprefix-listreserved127.0.0.0/8setpolicy-optionsprefix-listreserved169.254.0.0/16setpolicy-optionsprefix-listreserved172.16.0.0/12setpolicy-optionsprefix-listreserved192.0.2.0/24setpolicy-optionsprefix-listreserved204.152.64.0/23setpolicy-optionsprefix-listreserved224.0.0.0/4 setfirewallfilterinbound-filterterm1fromprefix-listreserved setfirewallfilterinbound-filterterm1thencountspoof-inbound-reserved setfirewallfilterinbound-filterterm1thendiscard setinterfacesge-0/0/0unit0familyinetfilterinputinbound-filter五． Firewall-Policy设置Firewall-Policy可以限制进入及流量主机数据包的来源、目标地址、协议、端口号、流量等，应用Firewall-Policy可以实现类似于防火墙的性能，但一般不建议在骨干路由器上使用，以下是Firewall-Policy的使用方法：1．创建Firewall-Policy：setfirewallfilterlocal-sectermsec-in1fromdestination-porttelnet setfirewallfilterlocal-sectermsec-in1fromdestination-address172.16.0.1/32setfirewallfilterlocal-sectermsec-in1fromsource-address192.168.0.0/24 setfirewallfilterlocal-sectermsec-in1thenacceptsetfirewallfilterlocal-sectermsec-in2fromdestination-porttelnet setfirewallfilterlocal-sectermsec-in2fromdestination-address172.16.0.1/32setfirewallfilterlocal-sectermsec-in2thendiscardsetfirewallfilterlocal-sectermsec-in3fromsetfirewallfilterlocal-sectermsec-in1thenaccept2．应用到路由器的端口上：setinterfacesfxp0unit0familyinetfilterinputlocal-sec以上例子不允许除192.168.0.0/24网段外所有地址telnet访问172.16.0.1，但允许其它任何包通过。

Juniper的简单配置注：必须设置root密码，配置才能够提交，配置必须commit提交才会生效、、console（通过超级终端）连接SRX，root用户登录，密码为空cli------进入操作模式configure---进入配置模式、、配置root用户登录口令2.1设置root用户口令Set system root-authentication plain-text-password注：root用户仅用户console连接本地管理，不能通过远程登录管理，必须成功设置root口令后，才能执行commit提交继续配置命令。

2.2设置远程登录：Set system login user （name）class super-user authentication plain-text-passwordNew password：root123Retype new password：root123注：此用户拥有超级管理员权限，可用于console和远程及web，另也可以自行灵活定义其他管理权限用户。

2.3远程管理的相关配置：Run set date ----- 设置系统时钟Set system time-zone ------设置时区Set system host-name ------设置主机名Set system services ftpSet system services telnetSet system service web-management http ---在系统中开启ftp、远程和web管理、、接口配置Ip地址必须配置在逻辑接口下，接口必须加入zone例如：Set security zones security-zone untrust host-inbound-traffic system-service ping Set security zones security-zone untrust host-inbound-traffic system-service http Set security zones security-zone untrust host-inbound-traffic system-service telnet 基于untrust zone打开允许 ping、远程和telnet、、NATNAT 共分为3中基于目的地址的NAT：包括目的地址及端口的转换基于源地址的NAT：包括源IP地址及端口的转换Static—静态地址转换这次是基于source 做的；源地址池转换公网地址Set secu nat sou pool pool-1 add 192.168.1.50 to 192.168.1.80Set sec nat sou rule-set from zone trusSet sec nat sou rule-set 1 to zone untSet sec nat sour rule-set 1 rule rule-1 match source-add 0.0.0.0/0 destination-add0.0.0.0/0Set sec nat sou rule-set 1 rule rule1 then source-nat pool pool-1Set sec nat proxy-arp inter ge-0/0/0 address 192.168.1.50 to 192.168.1.80策略方行—策略是写在zone中的Set sec poli from-zone trust to-zone untrust policy 1 match soures-add pc-1 Set sec poli from-zone trust to-zone untrust policy 1 match destination-add any Set sec poli from-zone trust to-zone untrust policy 1 match addplication anySet sec policies from-zone trust to-zone untrust poli 1 then permit。

JUNIPER路由器中常⽤命令总结前些⽇⼦认真看了⼀下Juniper路由器的⼀些命令。

在这⾥总结⼀下。

⽅便以后使⽤Juniper路由器的命令主要分为两个部分，⼀个是operational，主要是复杂查看⽬前⽹络的配置情况（只能查看，不能修改。

感觉权限⽐较低）；另⼀个是configuration，主要⽤来查看和修改配置（感觉权限⾼⼀些）。

刚进⼊到Juniper路由器时，默认进⼊的是operation，输⼊edit命令之后，就进⼊到了[edit]⽬录下，也就是进⼊了configuration。

基础配置命令（如未说明则在[edit]⽬录下）1、配置主机名字：set system host-name router12、配置域名： set system domain-name 3、配置fxp0接⼝（以太⽹中通过这个接⼝进⾏路由器的配置）。

Set interfaces fxp0 unit 0 family inet address 192.168.15.1/2 44、配置备份路由器：set system backup-router 192.168.15.25、配置DNS服务器：set system name-server 192.168.15.36、配置root⽤户的密码：set system root-authentication plain-text-password（密码中不可以全是⼤写、全是⼩写、全是数字）7、设置ntp服务器： set system ntp server 192.168.2.28、提交修改：commit9、查看提交是否合法： commit check10、在当天特定时间进⾏提交 commit at 22:4511、在特定⽇期的特定时间提交： commit at “2005-02-26 10:45”12、取消commit的操作 clear system commit13、为了避免提交带来意外的损害采⽤：commit confirmed，会在10分钟以后⾃动回滚14、与14相同，但在⼀分钟以后⾃动回滚：commit confirmed 115、提交信息，并同步到备份路由器上： commit synchronize配置服务：1、设置ssh服务：set system services ssh2、配置ftp服务： set system services ftp3、删除ftp服务： delete system services ftp权限设置：1、设置root⽤户ssh登录的密码：set system root-authentication ssh password2、禁⽌root⽤户使⽤ssh登录：[edit system ] set services ssh root-login deny3、设置密码要求：[edit system login] set password maximun-length 20 set password minimum-length 8 set password mi nimum-changes 24、设置密码加密算法：set system login password formate md55、查看⾃⼰的权限，以及可以设置的权限： show cli authorization进⼊与退出命令：1、Edit2、修改root的配置：configure3、避免多⼈修改导致设置丢失采⽤ configure exclusive4、查看⽬前修改区域有谁在线：[edit]status(只能看见⽐你先登录的⼈，后⾯登录的信息看不见)5、强制要求别⼈下线：request system logout user mike6、进⼊到根⽬录 top7、退出configuration 模块：quit8、退出configuration模块：exit configuration-mode9、提交并退出：commit and-quit10、退出当前⽬录：exit11、进⼊到某⽬录 edit ⽬录名字查看命令：1、查看当前⽬录地下的设置 [edit]show2、查看你设置的命令 show | display set3、查看你新增的命令 show | compare(+表⽰你增加的命令，-表⽰你删除的命令。

Juniper路由器常用命令表Juniper路由器常用命令表：1·登录与基本操作1·1 连接与登录1·2 登录后的基本操作1·3 退出登录2·系统操作与管理2·1 系统状态与信息查看2·2 系统配置与修改2·3 系统重启与关机2·4 用户管理3·接口配置3·1 物理接口3·1·1 接口状态查看与设置3·1·2 接口带宽与速率限制设置3·2 逻辑接口3·2·1 VLAN接口配置3·2·2 Loopback接口配置4·路由配置4·1 静态路由配置4·2 动态路由配置4·2·1 OSPF配置4·2·2 BGP配置4·2·3 RIP配置5·安全配置5·1 防火墙配置5·1·1 基本防火墙规则配置5·1·2 会话表与连接追踪配置5·1·3 防火墙日志配置5·2 虚拟专用网络（VPN）配置5·2·1 IPsec VPN配置5·2·2 SSL VPN配置6·网络服务配置6·1 DHCP服务配置6·2 DNS服务配置6·3 NAT配置7·系统诊断与故障处理7·1 接口故障排查7·2 路由故障排查7·3 防火墙故障排查7·4 网络连通性测试7·5 系统日志与告警查看附：本文档涉及附件附件：无注释：本文所涉及的法律名词及注释1·路由器：一种计算机网络设备，用于在局域网或广域网之间转发数据包。

2·VLAN：虚拟局域网，将一组逻辑上的设备或用户分组，形成一个局域网。

作者：红盟过客CCIE理论RHCEQQ:369136929时间：2007年夏天地点：浙江杭州软件：Visio2003CorelDRAW12WPS2007SecureCRT5.1Juniper常用命令设置用用户名密码juniper->set admin user redhat password redhat设置防火墙名juniper->set host ccieccie->更改用户密码ccie->set admin password123456设置密码长度，必需自己也满足设置长度ccie->set admin password restrict length6重置设备到出厂缺省设置如果丢失了admin密码，可以使用下列步骤将NetScreen设备重置为其缺省设置。

此时将会丢失配置内容，但会恢复设备访问。

要执行此操作，需要建立控制台连接.1.出现登录提示时，键入设备的序列号。

2.出现密码提示时，再次键入该序列号。

将显示以下消息:!!!!Lost Password Reset!!!!You have initiated a command to reset the device to factory defaults,clearing allcurrent configuration,keys and settings.Would you like to continue?y/n3.按Y键。

将显示以下消息:!!Reconfirm Lost Password Reset!!If you continue,the entire configuration of the device will be erased.Inaddition,a permanent counter will be incremented to signify that this device has been reset.This is your lastchance to cancel this command.If you proceed,the device will return to factory default configuration,whichis:System IP:192.168.1.1;username:netscreen;password:netscreen.Would you like to continue?y/n4.按Y键重置设备。

Juniper路由器配置命令介绍本文档是关于Juniper路由器配置命令的介绍，旨在帮助用户快速了解和使用Juniper路由器的各种命令。

以下是文档的详细内容。

第一章：登录和基本配置1.登录Juniper路由器- 进入路由器的命令行界面- 输入用户名和密码进行登录2.基本配置命令- 配置路由器的主机名- 配置管理接口的IP地质- 设置路由器的时钟- 保存配置更改第二章：接口配置1.配置物理接口- 激活和禁用接口- 配置接口IP地质- 配置接口子网掩码- 配置接口速率和双工模式- 配置接口上的ACL（访问控制列表）2.配置逻辑接口- 配置VLAN接口- 配置子接口- 配置隧道接口第三章：路由配置1.配置静态路由- 添加静态路由- 删除静态路由- 配置默认路由- 查看路由表2.配置动态路由- 配置OSPF（开放最短路径优先）协议 - 配置BGP（边界网关协议）协议- 配置RIP（路由信息协议）协议第四章：安全配置1.配置防火墙规则- 添加入站规则- 添加出站规则- 配置地质转换（NAT）2.配置VPN- 配置IPSec VPN- 配置SSL VPN第五章：监控和故障排除1.监控命令- 查看接口状态- 查看路由器 CPU 和内存使用情况 - 查看硬盘使用情况2.故障排除命令- 执行连通性测试- 查看日志信息- 跟踪路由本文档涉及附件：附件1：Juniper路由器配置示例文件（示例配置文件，供参考使用）本文所涉及的法律名词及注释：1.ACL（访问控制列表）：用于控制网络流量的一种机制，可以限制特定源IP地质或目的IP地质的访问权限。

2.OSPF（开放最短路径优先）：一种用于动态路由选择的内部网关协议，使用最短路径优先算法确定最佳路由。

3.BGP（边界网关协议）：一种用于在互联网自治系统之间交换路由信息的外部网关协议。

4.RIP（路由信息协议）：一种用于在小型网络中交换路由信息的距离矢量路由协议。

#--- 表示翻译不一定准确 *--- 表示常用命令 >get ？ Addressadmin alarm alg show address book show admin information show alarm info application layer gateway information alg-portnum get ALG port num 显示地址信息 显示管理员信息显示报警信息 应用层网关信息 alias arp asp attack auth get alias definitions show ARP entries asp show attacksshow authentication information 获得ALG 接口号码得到别名定义 显示ARP 记录 显示攻击信息 auth-server authentication server settings backu4p chassis clock configconsole counter di dialer dip dip-in dns domain dot1x driver envar eventfile firewall gate backup information show chassis information show system clock show system configuration show console parametersshow counters 显示登陆信息 认证信息 认证服务器设置 备份信息 显示机架信息（机架温度⋯ . ） 显示系统时钟 显示系统配置信息 显示控制台参数设置 显示计数器 仪表 get deep inspection parameters get dialer information show all dips in a vsys or root show incoming diptable info show dns info 显示 DNS 信息 深入检测参数 得到拨号器信息 显示所有 dip 里的虚拟系统或者根 显示进入 DIP 表的信息 show domain name 显示域名 display global configuration show driver info show environment variables showevent messages show file information show firewall protection information show gate info global-pro settings show groups 显示全局配置 显示驱动信息 显示环境变量信息 显示事件消息 显示文件信息 显示防火墙保护信息 阀门信息显示 全局设置 # 显示组信息 global-pro group group-expression group expressions details 组的表达方式详细信息 hostname show host name 显示主机名 igmp IGMPike get IKE info 得到密钥信息 infranet Infranet Controller configuration Infranet 控制器配置 interface show interfaces ip get ip parameters ip-classification Show IP classification ippool get ippool info ipsec get ipsec information irdp show IRDP statusl2tp get l2tp information license-key get license key info log show log infomac-learn show mac learning table显示接口信息 获得IP 参数 显示 IP 分类 得到IP 地址池信息 得到安全协议的信息 显示 IRDP的状态 地位 得到L2TP 的信息 得到许可证密钥信息 显示日志信息 透明模式下显示 MAC 地址信息memory show memory info 显示内存信息 mip show allmips in a vsys or root multicast-group-policy multicast group policy nrtp nsmgmt nsrp ntp os 显示所有 MIP 的虚拟系统或者根 多播组策略 show nrtp information 显示 NRTP 信息show NSM agent status/configuration 显示NSM 代理/ 配置状态show nsrp info get ntp parameters show task informationpassword-policy password policy performance get performance info show global PIM-SM information show the pki settings show policy get PPP settings how pppoe configuration and statistics vpn proxy-id setting vpn show resource management info show routes in a vrouter show security association config debug message per SA filter show scheduler show SCP status show service book show all sessions show SNMP information snmp walk show socket info show SSH status show ssl info show syslog information show system info pim pki policy ppp pppoe proxy-id rm route sa sa-filter scheduler scp service session snmp snmpwalksocket ssh sslsyslog system显示冗余协议信息得到NTP 参数显示任务信息密码策略获得性能信息显示全球 sm 信息 #显示 pki 设置参数显示策略信息 得到PPP 设置参数如何配置和统计 pppoe #代理ID 的设置信息显示资源管理信息查看路由信息显示安全协议过滤器 #显示虚拟机信息显示SCP 状态显示服务目录显示所有会话信息显示简单网络管理协议的信息tech-support show tech support information timer show timer info traffic-shaping show traffic shaping info url user 显示插座信息 显示SSH 状态 显示 ssl 信息显示系统日志信息显示系统信息显示技术支持信息显示时钟 计时器 信息显示传输形成信息 # 显示 URL 过滤信息user-group vip vpnvpn-group vpnmonitorvrouter webauth webtrends xauth xlate zone show url filter information show user 显示用户信息 user group settings 用户组设置show virtual IP info 显示虚拟 IP 信息 show vpn session 显示 VPN 会话信息Keyword for showing vpn group setup vpn 关键字组的设置 showvpn monitor parameters 显示 vpn 监控参数show virtual router info 显示虚拟路由器信息 webauth settings webauth 设置show webtrends information 显示电子商务信息 get xauthinformation 得到扩展认证的信息 show xlate ctx info configure zone配置区域> ？Clear clear dynamic system info 清晰的动态系统信息Deletedelete persistent info in flashexecexec system commands exitexit command console get get system information 删除信息 : 在flash 中持续 执行系统命令 退出命令控制台 获得系统信息的地 ping ping other hostreset reset system 重启系统save save command 保存命令set configure system parameters 配置系统参数命令trace-route trace route 跟踪路由到目的地址nrtpclear nrtp resources nsrp clear nsrp infopppoe clear pppoe statistics sa clear sa ike valuesa-statistics clear statistics in security association session clear session tablesnmpclear snmp traffic-shaping clear traffic shaping paramters vrouter clear vrouter param > delete mtrace multicast traceroute from source todestination多播 traceroute从来源到目 unset unconfigure system parameters 删除系统配置参数 >clearadmin alarm alg arp auth clusterconfig counter dbuf dhcp dip-in dns dot1x eventigmp ike ike-cookie interface ippool ipsec l2tp log mac-learn multicast clear admin informationclear alarm info application layergateway information clear ARPentries in the current vsys clear user authentication table cluster option集群选择 clear config related setting clearcounters clear debug buffer cleardhcp清除的管理员信息 应用层网关信息 明确在当前 vsys ARP 条目 清除用户认证表清除相关配置设定 清除接口计数器 清除 debug 缓冲器 清除 dhcp clear incoming dip entries clear dns cache table clear info clear event messages IGMP ClearIKE info clear ike cookieclear interfaces clear ippool info get ipsecinformation clear l2tp clearlog info清除进入 dip 条目清除dns 缓存服务器清除信息清除 IKE 清除事件消息 信息清除接口 清除 ip 地址池信息 得到网际协议安全信息清除 2 层隧道协议清除日志信息clear mac learning table clear multicast informationCluster cluster option 删除集群选择Crypto delete crypto info 删除密码信息file delete a file 删除一个文件node_secret clear SecurID stored node secret 清除存储节点 SecurID 秘密 nsmgmt delete nsmgmt private/public keys 删除 nsmgm 私t 人和公共钥匙 pki delete a PKI object 删除一个 PKI 对象ssh delete SSH 删除 SSH ccie-> execinfranet Infranet Confroller configuration interface Interface configuration 执行接口配置 license-key set feature configuration 设置功能配置 log exec log commands 执行日志命令 modem exec modem Hayes Command Set 执行的命令集现代海耶斯nsrp exec nsrp commandsntp exec ntp command 执行 nsrp 命令password perform password verification 执行密码验证pki PKI exec commands 执行命令policy policy verify 执行策略验证pppoe maintain pppoe connection 保持 pppoe 连接proxy-id exec proxy id update command 执行代理身份更新命令save save command 保存命令sshexec SSH commands switch test switch module syslog syslog configuration usb-device exec usb command vrouterexecute vrouter commands ccie->exit ?<return><string>> mtrace ? 由源向目标跟踪解析组播地址路径 destination mtrace to the destination mtrace 到目的地 source mtrace from source mtrace 从源> ping ? <return>adminalg attack-db exec ADMIN commands 执行管理员命令 application layer gateway information perform attack database update or checking 执行应用层网关信息 数据库进行更新或攻击的检查 auth backupconfig dhcpdialer dnsigmp ike user authentication actions exec backup command config exec command exec dhcp command exec dialer commands refresh all dns entries 用户身份认证的行为 执行备份命令 配置执行命令 执行 dhcp 命令 执行拨号器命令 刷新所有 dns 条目 IGMP IKE exec commands 执行密钥命令执行 SSH 命令 测试交换机模块执行 系统日志 配置 执行USB 命令 虚拟路由命令<string> host name> reset ?<return>no-promptsave-no confirmation 无法确认save configurations 保存配置> save ?<return>attack-db save attack database保存攻击数据库config save configurations保存配置image-key save image key保存关键图像software save software保存软件ccie->set ?address define address book entry定义通讯录条目admin admin commandalarm set alarm parameters参数设置闹钟alg attach algalias set alias 设置别名arp set arp entries arp 条目集attack set attack 设置攻击auth user authentication settings 用户认证设置auth-serverauthentication serversettings认证服务器设置clock system clock adjustment系统时钟调整common-criteria Common Criteria function普遍的标准功能config set/unset config设置/ 删除配置console console parameters控制台参数dbuf set debug buffer缓冲设置调试di set deep inspection parameters深度检测参数设置dialer set dialer parameters拨号器参数设置dip port-translated dip attribute & dip group configurationdns dns configuration dns 配置domain domain name 域名envar set environment variables设置环境变量ffilter flow filter configuration流过滤配置fips-mode FIPS mode functionfirewall enable firewall protection使防火墙保护flow flow configuration流程配置group define address/ser vicegroups 定义地址/ ser 副组group-expression group expression details集团表达细节hostname name of this host主机名ike config Internet Key Exchange配置网络匙交换infranet Infranet Controllerconfiguration Infranet 控制器配置interface interface command 接口命令ip set ip parameters设置IP 参数ippool ippool settingsipsec set ipsec access sessionl2tp l2tp configuration l2tp 配置license-key license-key 密钥许可证pki PKI Configuration PKI 配置policy policy configuration策略配置 ppp set PPP settings 设置PPP 设置 pppoe pppoe configuration pppoe 配置proxy-id vpn proxy-id setting vpn proxy-id 设置 sa-filter config debug message per SA filter 配置调试信息 / SA 的过滤器scheduler scheduler parameters调度参数 scp set SCP 集单片机service service configuration服务配置 snmp snmp command snmp （简单网络管理协议 ） 命令 ssh set SSHssl set ssl configuration ssl 配置设置 syslog syslog configuration syslog 配置tftp tftp settings配置设置 timer timer configurationtraffic-shaping set traffic shaping infourl Web filtering configuration网页过滤配置 user user database用户数据库 user-group user group settings用户组设置 vip virtual ip configuration 虚拟ip 配置 vpn vpn configuration vpn 配置vpn-group Keyword for define vpn group 为定义 vpn 关键字组 vpnmonitor vpn monitor parameters vpn 监测参数vrouter configure vrouter 配置 vrouter webauth webauth settings webauth 设置 webtrends webtrends configurat ionxauth xauth configurationzone configure security zone 配置的安全地带 ntp 参数设置 密码策略 ntp set ntp parameters password-policy password policylog mac 学习表 multicast-group-policy multicast group policy nsmgmt set NSM agent configuration nsrpNetScreen Redundancy Protocol commandset log config 配置日志信息 configure static macentry into mac learning table 配置静态 mac 进入 MAC 多播组策略NSM 代理配置设置NetScreen 冗余协议命令。

juniper路由器配置ist: ignore"> 增加端口配置模板（1）需要子接口的端口配置set interfaces fe-2/0/1 vlan-tagging ――――在配置接口启用封装VLANset interfaces fe-2/0/1 unit 424 vlan-id 424 ―――――配置子接口，VLAN 424set interfaces fe-2/0/1 unit 424 family inet address 192.168.254.146/30 ――配置子接口地址（2）无需子接口配置set interfaces fe-2/0/23 unit 0 family inet address 222.60.11.154/29 ――直接配置地址（3）E1口配置set interfaces e1-3/0/0 encapsulation ppp 封装链路类型，包含PPP,HDLC，根据实际情况配置set interfaces e1-3/0/0 e1-options framing unframed 封装帧格式，参数包含unframed,g704, g704-no-crc4set interfaces e1-3/0/0 unit 0 family inet address 192.168.1.126/30 配置地址（4）CE1配置set interfaces ce1-4/0/0 clocking externalset interfaces ce1-4/0/0 e1-options framing g704-no-crc4 set interfaces ce1-4/0/0 partition 1 timeslots 1-31 ――――设置信道1及时隙1－31set interfaces ce1-4/0/0 partition 1 interface-type ds ――――子接口类型DSset interfaces ds-4/0/0:1 encapsulation ppp ―――――配置子接口封装pppset interfaces ds-4/0/0:1 unit 0 family inet filter input NYYHset interfaces ds-4/0/0:1 unit 0 family inet address 10.238.173.197/30 ――――配置地址（5）策略配置set firewall filter shigonganjuMAS term 1 from source-address 10.238.173.180/30set firewall filter shigonganjuMAS term 1 then acceptset firewall filter shigonganjuMAS term 2 from source-address 10.238.173.0/24set firewall filter shigonganjuMAS term 2 from source-address 10.238.179.0/24set firewall filter shigonganjuMAS term 2 then discardset firewall filter shigonganjuMAS term 3 then acceptset interfaces fe-2/0/0 unit 44 family inet filter input jiaotongyinhangduanxin―――将策略应用至子接口。