juniper路由器开局指导书(J6350)
juniper j系列多业务路由器j2320j2350j4350和j6350 说明书
产品简介产品说明把语音、视频和数据聚合到一个网络中,会使企业面临大量的挑战和机遇。
网元的整合可实现 SIP 的 VoIP 和实时高分辨的 Telepresence 的轻松部署,以及实现一致性的基础架构网络操作系统(如瞻博网络Junos 操作系统)的标准化,从而降低成本。
这些新技术能够改善客户关系、加强与供应商之间的交互,并提高员工的生产率。
这种关键任务型多媒体网络必须始终保持运转及可用。
为了实现此目标,全面集成的状态安全性是一个关键要求,而不只是单纯地转发数据包而忽略所需应用或单个用户会话。
Junos 操作系统可提供帮助企业实施关键应用的高性能网络基础架构:• 把路由、防火墙和 VPN 功能集成到一流的安全路由器中。
通过确保企业关键任务信息的安全以及防护网络漏洞并防范攻击,瞻博网络 J 系列业务路由器提供可提高生产率和降低成本的综合特性。
J 系列采用 Junos 操作系统 9.6 版,通过由防病毒、防垃圾邮件、网页过滤和入侵防护系统构成的统一威胁管理,增强了上述特性。
这些高级安全特性能够使设备不再孤立,并可通过软件密钥加以应用。
• 通过部署 J 系列,能够最大限度地降低网络安装和运行的成本。
凭借 Junos 操作系统的模块化、受保护的模式设计以及严格的 Junos 操作系统开发和测试过程,系统进程几乎不会出现故障。
Junos 操作系统的单一源代码能够大大简化新发布活动在网络上的审核过程。
另外,高级配置管理功能能够减少可能导致网络宕机的人为错误。
不论是您的企业网络,或是为电信运营商目标客户所在地的设备提供 MPLS 或 IP 网络,J 系列都能提供表现卓越的综合特性。
利用 Junos 操作系统,J 系列可部署在大中型场所中;多种接口可提供满足当今实时通信要求的带宽。
产品概述瞻博网络 J 系列业务路由器将高性能网络防护和先进的服务结合起来,拓展了企业应用并提供与远程办公机构的可靠连接。
J 系列业务路由器利用模块化 Junos 操作系统和瞻博丰富的产品及合作机构,将市场领先的安全性、应用优化和语音功能整合在一个统一、易于管理的平台上。
Juniper路由器操作及维护手册
中国移动通信集团北京有限公司
Juniper 路由器操作及维护手册
【北京移动 IDC 运维管理体系文件】
版本号 文档标识 文档性质 密级 日期
1.1 BMCCIDC-QPM-TM021 内部资料 内部使用 2013 年 1 月 17 日
本文档版权由中国移动通信集团公司所有。未经中国移动通信集团公司书面许可,任何单位和个人不得以 任何形式摘抄、复制本文档的部分或全部,并以任何形式传播。
6.1. JUNOS 用户界面介绍...........................................................................................................2 6.1.1. JUNOS 配置管理 ..........................................................................................................3 6.1.2. JUNOS 初始化配置 ......................................................................................................3
7. JUNIPER 路由器基本介绍及配置参考 ............................................................................... 3 7.1. 硬件描述 ................................................................................................................................. 3 7.1.1. 产品介绍: ..................................................................................................................... 3 7.1.2. MX960 硬件基本描述 ...................................................................................................4 7.2. JUNOS 基本配置...................................................................................................................7 7.2.1. 接口基本配置管理 ......................................................................................................... 7 7.2.2. 静态路由配置 ................................................................................................................. 9 7.2.3. OSPF 基本配置 .............................................................................................................9 7.2.4. BGP 基本配置 .............................................................................................................11 7.2.5. 路由策略基本配置 ....................................................................................................... 15 7.2.6. Firewall Filter 基本配置 ............................................................................................21 7.2.7. 端口镜像基本配置 ....................................................................................................... 29 7.2.8. CoS 基本配置 ..............................................................................................................31
Juniper简单入门介绍-端口,静态路由,策略
Juniper简单入门介绍(配置端口,静态路由,配置防火墙策略)登陆Juniper设备后,需输入edit或者configuration 命令进入系统配置模式Juniper 系统自带命令和变量可按“空格”键补齐Juniper 系统“用户自定义”变量可按TAB键补齐一、配置端口Juniper配置端口是基于物理端口下的逻辑端口进行配置,例如set interfaces ge-0/0/5 unit 0 family inet address 192.168.1.1以上命令为ge-0/0/5口添加一个ip地址为192.168.1.1,其中unit为逻辑端口单元,范围0~16385,若再执行命令set interfaces ge-0/0/5 unit 1 family inet address 192.168.2.1则ge-0/0/5现在有两个ip分别为192.168.1.1和192.168.2.1以上命令也可以写成set interfaces ge-0/0/5.0 family inet address 192.168.1.1其中.0代表unit 0二、配置静态路由举例:现有网段125.39.91.240/28Juniper ge-0/0/0.0 设置ip为192.168.88.1set routing-options static route 0.0.0.0/0 next-hop 192.168.88.1其中0.0.0.0/0 表示任意目标地址,192.168.88.1为路由器直连网关。
再举例:让所有访问192.168.77.X的路由走192.168.99.1set routing-options static route 192.168.77.0/24 next-hop 192.168.99.1以上192.168.77段,掩码为24,而192.168.99.1为路由器直连网关。
三、配置zoneJunos基于zone开放防火墙策略,zone可以自己建立,建立之后再将需要的端口划到zone里。
Juniper初始配置及管理
12
登录防火墙-----Log in from WebUI II
•a.为要访问的接口配置IP地址x.x.x.x/x,并打开该接口的WebUI管理权限。
出厂状态下,Trust Zone的Interface的IP地址是192.168.1.1/24,开放了WebUI管理权限。
•b.通过直通网线连接PC与防火墙的特定端口
• 严格的逻辑层次结构
Zone
– 安全区从属于虚拟路由器
• 安全区默认都从属于trust-vr
Virtual Router
– 接口从属于安全区
• 一个接口只能从属于一个安全区
– IP地址从属于接口 • 虚拟路由器的路由表各自独立 • 安全区之间的访问受策略控制 • 接口是一个逻辑概念,它可以包含若 干个物理端口,也可以不包括任何物 理端口
TFTP服务器必须与系统的Self IP在同一子网 TFTP服务器必须连接在: 系统的Trust区端口 或系统的eth0/0、eth0/1、eth1端口 或系统的管理端口
31
灾难恢复-----恢复系统文件 I
• • • •
启动设备,当出现“Hit any key to run loader”时,按任意键进入boot模式。 在“Boot File Name”栏填入系统OS的文件名。 在“Self IP Address”栏填入一个临时地址供TFTP通信使用。 在“TFTP IP Address”栏填入TFTP服务器的地址,也就是PC的地址。
UTM Subscription License Key
防病毒(Anti-Virus) 网页过滤(URL filtering) 防垃圾邮件(Anti-Spam) 深层检测(Deep Inspection/IPS
Juniper操作手册
Juniper操作手册防火墙设备样式与接口简介:所选用Juniper设备正面为9个网口(AUX,CONSOLE,0/0,0/1,0/2,0/3,0/4,0/5,0/6)我们需要用到的网口主要为:0/0与0/1两者之一,0/2、0/3、0/4、0/5与0/6四者之一。
(注明:0/0与0/1为接外网网口,如:10.195.56.5;0/2、0/3、0/4、0/5与0/6为接内网网口,如:192.168.0.5)。
对防火墙进行初步配置:首先将防火墙通上电,设备约有一分钟的启动时间。
将外网网线接到口0/0或者0/1(本次配置选用0/1口),将内网某一台PC与防火墙内网接口之一相连(本次配置选用0/2。
该PC主要用于来配置,可以是内网中任一PC)。
在内网PC上:首先通过运行进行测试,以确定防火墙已启动(Ping 命令成功即可, 若设备为出厂新设备,默认内网IP为:192.168.0.1.若已配置过,内网IP需资询相关技术人员。
),下图所示:确定设备与内网PC(即用于配置防火墙的PC)连接正常后。
打开IE,输入防火墙内网IP:192.168.0.1Admin Name: netscreen. Password: netscreen登陆成功界面如上图所示(IE主要分为左右两部分,配置之初,右侧参数可不必在意):据网络要求,我们对防火墙配置主要分为六部分。
主要配置过程:一、内网、外网接口配置由路径Network>Interfaces(list)(所见参数部分说明:在下图所示界面上,主要操作包括内网_Trust、外网_Untrust接口配置。
此处需要注意Untrust所对应的接口:ethemet0/0或ethemet0/1 up。
)a)内网接口配置Trust对应内网,点击其对应的Edit,进入内网配置界面。
上图红线标示处需注意。
参数设置Zone Name : TrustStatic Ip:IP Adress/Netmask: 内网IP(通常设为内网网关地址)“/”后为子网掩码Manage IP 若无特殊要求,一般与“IP Adress/Netmask”相同Interface Mode : NATManagement Services(此项根据需要):推荐->WEB UI TELNET PING内网接口配置完成,OK 。
一点juniper路由器入门资料
自己总结的一点juniper 路由器入门资料juniperbbs 2007-09-1922:41:55由于文档全是鸟语的,再加上哥们鸟语水平非常有限,所以可能在理解上有所偏差,大家将就着看吧!感谢大猫猫,红头发等前辈!访问路由器你可以通过三种管理接口访问路由器console(Db9 EIA-232 @ 9600 Bps, 8/N/1-pre-configured)、auxiliary 、f xp 0Telnet 、SSH 也可访问路由器你必须掌握需要访问路由器的密码当你第一次访问路由器时,你必须使用root 帐号登陆访问CLI(用户命令行),然后为路由器配置一个新的帐号用户登录访问必须用户名和密码个人帐户和路由器地址帐户可控制路由器的级别必须要有管理员授权当你通过用户帐号及密码登录路由器后,你就可以顺利的进入控制平台,可以在用户名和路由器名前看到“>”提示符Juniper需要通过用户名和密码来访问,路由器管理员可以创建用户帐号和分配权限,新的Juniper路由器只有没有密码的root帐号访问,你必须使用cli命令从CLI开始配置CLI模块及其重要内容CLI操作方式编辑命令行执行命令和命令历史相关内容和帮助Unix风格的管理模式CLI的配置方式不同的操控级别不同的配置权限同级别命令集之间的跳跃配置命令的自动检错系统自动回滚功能输入多命令行的可以一次执行在配置状态中执行操作命令保存、载入、删除配置文件CLI的两种模式操作模式(opera tional mode)显示路由器当前状态、监视、检测JUNOS、网络连通性及路由器硬件可以使用monitor、ping、show、test、tr acer oute命令展示JUNOS在执行时的信息和统计信息、路由表、可以测试网络的连通性Doug@lab2>配置模式(configuration mode)配置路由器、包括接口、普通路由信息、路由协议、用户访问、系统硬件相关[edit]Doug@lab2#CLI命令层次CLI操作模式命令(user@host>状态下配置)showrequestrestartpingtracerouteclearmonitorfiletesttelnetsetsshstartquit命令类型破坏性的非破坏性的进入配置模式控制CLI环境跳出CLI监视和检错命令clear monitor ping show test traceroute连接其他的网络系统复制文件重启软件程序使用过滤/管道命令输出compare(filename|rollback n):在这里可用的配置模式只能使用show命令,可以与所选择的配置文件进行比较count:显示输出线路数量display detail:只能在配置模式里使用,显示配置内容的其他信息except regular-express ion:当搜索输出时忽视正确的表达式文本,当正确的表达式包含空间、操作、通配符信息,你必须把它封装find regular-expression: 显示首先发现的输入文本holdmatchno-moreresolvesave控制CLI环境使用set cli 命令可以配置:Screen length(lines)Screen width(columns)Idle timeout(minutes)空闲时间Pro mpt(string)提示信息Terminal(terminal type)user@host> set cli ?Possible completions:complete-on-space Toggle word completion on spaceidle-timeout Set the cli maximum idletimeprompt Set the cli command promptstringrestart-on-upgrade Set cli to prompt forrestart after asoftware upgradescreen-length Set number of lines onscreenscreen-width Set number of characters onterminal Set terminal type可编辑命令行快捷键命令配置模式进入配置:使用configure命令进入配置模式在配置水平层面之间转换:使用edit、up、top、exit命令实现显示候选配置:在配置模式里使用show命令批量配置:执行候选配置:使用commit命令执行配置配置接口命名永久接口配置接口(物理道具和逻辑道具)使用configure命令进入配置模式root@lab2> configureEntering configuration mode[edit]root@lab2#容许单一的用户进行配置和编辑,configure exclusive Configure private 容许多用户编辑候选配置多用户可以同时编辑私有的候选配置信息在执行命令时,用户的个人选择是可以在全部信息中返回的????选择可执行的命令user@host# set alarm sonet lol reduser@host# delete alarm sonet pll yellow显示候选和可执行命令的不同[edit chassis]user@host# show | comparealarm {sonet {+ lol redlos red;- pll yellow;}}其他命令选项user@host# show | compare filenameuser@host# show | compare rollback number配置群声明的群能应用不同部分的配置应用相同参数的捷径方式可以配置更多的端口共同的群声明可以重复配置不同的地方想要配置的地方可以从原配置数据继承相关信息[edit]lab@San Jose-re0# show groups re0 re0 {system {host-name SanJose-re0;}interfaces {fxp0 {unit 0 {family inet {a ddr ess ;}}}}}[edit]lab@SanJose-re0# show groups re1 re1 {system {host-name SanJose-re1;}fxp0 {unit 0 {family inet {address ;}}}}}[edit]lab@SanJose-re0# showap ply-groups [ re0 re1 ];执行配置命令按你的需求使配置改变可能会破坏路由器的连通性可能会破坏网络的连通使用commit命令的缺点慢执行配置可能花费一点时间,默认10分钟假如配置是由缺陷的,路由器自动返回原来的配置可以使用rollback命令来恢复九种以保存的配置使用rollback(rollback 0)去恢复候选配置Rollback 1 载入意见的配置Rollback n[edit]user@host# rollbackload completeTo activate the configuration that you loaded, issue the commit command,as shown below.[edit]user@host# commit[edit]user@host# rollback versionload complete[edit]user@host#退出配置模式使用exit命令返回顶层使用exit configuration-mode返回其他层保存配置文件来自当前水平层面和向下的所有当前候选配置文件可以使用save命令以ASC II码的形式保存[edit]cli# save filename[edit]cli#必须指定详细的目录文件可以URL多余的路由引擎SSH user@host:filename载入配置文件Load命令不考虑现有配置Load override filename合并新的声明到现有配置Load merge filename取代现有声明在当前配置Load replace filename只选择候选配置你必须使用commit命令来执行能从终端载入Load(replace|merge|override)terminal端口配置端口contained包含PICPIC plugs堵塞FPCFPC有四个PIC插槽FPC flexible pic concentrator把交换控制板和路由器接口进行连接For example, so-1/2/3 is a SONET/SD H interface in FPC slot 1, PIC slot 2, and PIC port 3. _ at—ATM over SONET/SDH ports_ e1—E1 ports_ e3—E3 ports_ fe—Fast Ethernet ports_ so—SONET/SDH ports_ t1—T1 ports_ t3—DS-3 ports_ ge—Gigabit Ethernet ports_ ae—Aggregated合计Ethernet portslogi ca l合理的端口是设置帧中继和ATM虚拟circuit电路端口号是separate分离actual实际的DLCI ATM VC 和能获取任意值Suggest 暗示converntion协定是保持他们相同可能路由器有两个永久接口Fxp0对外管理接口管理对外以太网接口Fxp1用于信息包发送的引擎内在路由引擎连接管理对内以太网接口。
juniper路由器入门资料
自己总结的一点juniper 路由器入门资料juniperbbs 2007-09-1922:41:55由于文档全是鸟语的,再加上哥们鸟语水平非常有限,所以可能在理解上有所偏差,大家将就着看吧!感谢大猫猫,红头发等前辈!访问路由器你可以通过三种管理接口访问路由器console(Db9 EIA-232 @ 9600 Bps, 8/N/1-pre-configured)、auxiliary 、f xp 0Telnet 、SSH 也可访问路由器你必须掌握需要访问路由器的密码当你第一次访问路由器时,你必须使用root 帐号登陆访问CLI(用户命令行),然后为路由器配置一个新的帐号用户登录访问必须用户名和密码个人帐户和路由器地址帐户可控制路由器的级别必须要有管理员授权当你通过用户帐号及密码登录路由器后,你就可以顺利的进入控制平台,可以在用户名和路由器名前看到“>”提示符Juniper需要通过用户名和密码来访问,路由器管理员可以创建用户帐号和分配权限,新的Juniper路由器只有没有密码的root帐号访问,你必须使用cli命令从CLI开始配置CLI模块及其重要内容CLI操作方式编辑命令行执行命令和命令历史相关内容和帮助Unix风格的管理模式CLI的配置方式不同的操控级别不同的配置权限同级别命令集之间的跳跃配置命令的自动检错系统自动回滚功能输入多命令行的可以一次执行在配置状态中执行操作命令保存、载入、删除配置文件CLI的两种模式操作模式(opera tional mode)显示路由器当前状态、监视、检测JUNOS、网络连通性及路由器硬件可以使用monitor、ping、show、test、tr acer oute命令展示JUNOS在执行时的信息和统计信息、路由表、可以测试网络的连通性Doug@lab2>配置模式(configuration mode)配置路由器、包括接口、普通路由信息、路由协议、用户访问、系统硬件相关[edit]Doug@lab2#CLI命令层次CLI操作模式命令(user@host>状态下配置)showrequestrestartpingtracerouteclearmonitorfiletesttelnetsetsshstartquit命令类型破坏性的非破坏性的进入配置模式控制CLI环境跳出CLI监视和检错命令clear monitor ping show test traceroute连接其他的网络系统复制文件重启软件程序使用过滤/管道命令输出compare(filename|rollback n):在这里可用的配置模式只能使用show命令,可以与所选择的配置文件进行比较count:显示输出线路数量display detail:只能在配置模式里使用,显示配置内容的其他信息except regular-express ion:当搜索输出时忽视正确的表达式文本,当正确的表达式包含空间、操作、通配符信息,你必须把它封装find regular-expression: 显示首先发现的输入文本holdmatchno-moreresolvesave控制CLI环境使用set cli 命令可以配置:Screen length(lines)Screen width(columns)Idle timeout(minutes)空闲时间Pro mpt(string)提示信息Terminal(terminal type)user@host> set cli ?Possible completions:complete-on-space Toggle word completion on spaceidle-timeout Set the cli maximum idletimeprompt Set the cli command promptstringrestart-on-upgrade Set cli to prompt forrestart after asoftware upgradescreen-length Set number of lines onscreenscreen-width Set number of characters onterminal Set terminal type可编辑命令行快捷键命令配置模式进入配置:使用configure命令进入配置模式在配置水平层面之间转换:使用edit、up、top、exit命令实现显示候选配置:在配置模式里使用show命令批量配置:执行候选配置:使用commit命令执行配置配置接口命名永久接口配置接口(物理道具和逻辑道具)使用configure命令进入配置模式root@lab2> configureEntering configuration mode[edit]root@lab2#容许单一的用户进行配置和编辑,configure exclusive Configure private 容许多用户编辑候选配置多用户可以同时编辑私有的候选配置信息在执行命令时,用户的个人选择是可以在全部信息中返回的????选择可执行的命令user@host# set alarm sonet lol reduser@host# delete alarm sonet pll yellow显示候选和可执行命令的不同[edit chassis]user@host# show | comparealarm {sonet {+ lol redlos red;- pll yellow;}}其他命令选项user@host# show | compare filenameuser@host# show | compare rollback number配置群声明的群能应用不同部分的配置应用相同参数的捷径方式可以配置更多的端口共同的群声明可以重复配置不同的地方想要配置的地方可以从原配置数据继承相关信息[edit]lab@San Jose-re0# show groups re0 re0 {system {host-name SanJose-re0;}interfaces {fxp0 {unit 0 {family inet {a ddr ess 192.168.200.51/24;}}}}}[edit]lab@SanJose-re0# show groups re1 re1 {system {host-name SanJose-re1;}fxp0 {unit 0 {family inet {address 192.168.200.52/24;}}}}}[edit]lab@SanJose-re0# showap ply-groups [ re0 re1 ];执行配置命令按你的需求使配置改变可能会破坏路由器的连通性可能会破坏网络的连通使用commit命令的缺点慢执行配置可能花费一点时间,默认10分钟假如配置是由缺陷的,路由器自动返回原来的配置可以使用rollback命令来恢复九种以保存的配置使用rollback(rollback 0)去恢复候选配置Rollback 1 载入意见的配置Rollback n[edit]user@host# rollbackload completeTo activate the configuration that you loaded, issue the commit command,as shown below.[edit]user@host# commit[edit]user@host# rollback versionload complete[edit]user@host#退出配置模式使用exit命令返回顶层使用exit configuration-mode返回其他层保存配置文件来自当前水平层面和向下的所有当前候选配置文件可以使用save命令以ASC II码的形式保存[edit]cli# save filename[edit]cli#必须指定详细的目录文件可以URL多余的路由引擎SSH user@host:filename载入配置文件Load命令不考虑现有配置Load override filename合并新的声明到现有配置Load merge filename取代现有声明在当前配置Load replace filename只选择候选配置你必须使用commit命令来执行能从终端载入Load(replace|merge|override)terminal端口配置端口contained包含PICPIC plugs堵塞FPCFPC有四个PIC插槽FPC flexible pic concentrator把交换控制板和路由器接口进行连接For example, so-1/2/3 is a SONET/SD H interface in FPC slot 1, PIC slot 2, and PIC port 3. _ at—ATM over SONET/SDH ports_ e1—E1 ports_ e3—E3 ports_ fe—Fast Ethernet ports_ so—SONET/SDH ports_ t1—T1 ports_ t3—DS-3 ports_ ge—Gigabit Ethernet ports_ ae—Aggregated合计Ethernet portslogi ca l合理的端口是设置帧中继和ATM虚拟circuit电路端口号是separate分离actual实际的DLCI ATM VC 和能获取任意值Suggest 暗示converntion协定是保持他们相同可能路由器有两个永久接口Fxp0对外管理接口管理对外以太网接口Fxp1用于信息包发送的引擎内在路由引擎连接管理对内以太网接口Juniper 的命令行接口简介:(详见文档:/techpubs/software/junos/junos60/index.html)Juniper 路由器的操作系统JOS建立在FreeBSD之上,使用超级终端连接到路由器前面板的Console口上之后,看到的是UNIX的登录提示:Login:使用用户名root,密码为空登录系统,出现提示:root#使用命令cli启动JOS的命令行接口(Command Line Interface):root#cliroot@Hostname>此时的状态为Operation Mode(操作模式),可以使用show、monitor等命令检查系统各项功能的运行状态。
Juniper路由器配置操作手册
Juniper路由器配置操作手册ziJuniper OS 4.2R1.3 路由器配置操作手册1系统配置 (2)1.1系统信息基本配置 (2)1.2系统用户信息 (2)1.3系统服务配置 (3)2端口配置 (4)2.1juniper端口介绍 (4)2.2端口配置 (4)3SNMP配置 (6)4Routing-options配置 (7)4.1静态路由配置 (7)4.2route-id&as (7)4.3bgp聚合配置 (7)5Route protocal配置 (8)5.1Ospf配置 (8)5.2Bgp 配置 (9)6Policy 配置 (9)7Firewall 配置 (12)8Juniper与Cisco互连端口参数调整 (12)9Juniper备份结构与Cisco不同 (14)9.1console root登录 (14)9.2telnet登录 (14)Juniper所有配置,均在配置状态下进行。
分为由console进入和远程telnet进入。
由console进入JUNOS系统命令操作(由FreeBSD的简化系统)%cli 进入下面的用户操作hostname>edit 进入下面的用户配置hostname# 配置操作由远程telnet直接进入用户操作hostname>edit 进入下面的用户配置hostname# 配置操作1 系统配置1.1 系统信息基本配置#edit system 进入system配置菜单#set host-name axi580-a-hz1#set domain-name #set time-zone Asia/Shanghai# set system root-authentication plain-text-password (console登录,root口令缺省为空,虚设新口令)New password:******Retype new password:******#show 查看配置#commit 配置生效OR#commit confirmed 配置生效测试,5分钟后系统自动会滚,恢复原来配置。
juniper路由器配置
juniper路由器配置juniper路由器配置一.路由器网络服务安全配置:默认情况下,系统启动了许多无用服务,这些服务在占用系统资源的同时也造成一定的安全隐患,应该在尽可能的情况下停止或限制这些服务1. SNMP服务使用如下命令来停止SNMP服务:setsystemprocessessnmpdisable使用如下命令来设置SNMP通讯字符串:setsnmpcommunitymysnmpauthorizationread-only使用如下命令来在接口上设备SNMP通讯字符串:setsnmpinterfacefxp0communitymysnmp使用如下命令来在接口上禁止SNMP服务trap:setinterfacesfxp0unit0trapsdisable使用如下命令来限制SNMP的访问客户端:setsnmpcommunitymysnmpclients192.168.0.0/24 setsnmpcommunitymysnmpclients0.0.0.0/0restrict上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务2.停止接口广播转发:广播转发容易造成smurf攻击,因此应该使用如下命令停止:setsystemno-redirects接口级别停止广播转发使用如下命令:setinterfacesfxp0unit0familyinetno-redirects3.停止dhcp-relay服务,dhcp-relay服务用于在不同网段使用同一个dhcp 服务器,如果没有使用,则应该使用如下命令停止:setsystemdhcp-relaydisable4.禁止IGMP服务,IGMP服务如果在没有使用的情况下应该使用如下命令禁止:setprotocolsigmpinterfacealldisable5.禁止PIM服务(?),PIM服务如果在没有使用的情况下应该使用如下命令禁止:setprotocolspimdisable6.禁止SAP服务(?),SAP服务如果在没有使用的情况下应该使用如下命令禁止:setprotocolssapdisable7.禁止IPSourceRouting源路由setchassisno-source-route二.路由器登录控制:1.设置系统登录Banner:setsystemloginmessageWarning:ifyouNOTauthorizedtoacce ssthissystem,dis connectNOW!2.设置登录超时时间:默认情况下,系统登录没有登录超时时间限制,应该将登录超时时间设置为15分钟:setcliidle-timeout153.建议采取用户权限分级管理策略setsystemloginclasstier1idle-timeout15setsystemloginclasstier1permissions[configureinterfacenetw orkroutings nmpsystemtraceviewfirewall]setsystemloginclasstier2idle-timeout15setsystemloginclasstier2permissionsallsetsystemloginuseradminfull-nameAdministrator setsystemloginuseradminuid2000setsystemloginuseradminclasstier2 setsystemloginuseradminauthenticationencrypted-password setsystemloginusertier1uid2001setsystemloginusertier1classtier1setsystemloginusertier2uid2002setsystemloginusertier2classtier24. 限制系统ssh、telnet服务连接数量:以下配置将ssh,telnet连接最大数量限制为10个,并且每分钟最多有5个可以连接:setsystemservicessshconnection-limit10rate-limit5 setsystemservicestelnetconnection-limit10rate-limit5 以下特性JUNOS5.0以上支持:setsystemservicesroot-logindeny(禁止root远程登陆)setsystemservicesprotocol-versionv2(使用sshv2)三.配置系统日志服务:1.设置系统kernel级警告发到console上setsystemsyslogconsolekernelwarning2.配置登录系统日志到单独的auth.log文件中setsystemsyslogfileauth.logauthorizationinfo3.配置系统配置更改日志到单独的change.log文件中setsystemsyslogfilechange.logchange-loginfo4.配置系统所有日志到日志服务器setsystemsysloghostx.x.x.x.anyinfo四.路由策略安全1.配置以下保留地址的黑洞路由setrouting-optionsoptionsno-resolvesetrouting-optionsoptionssyslogleveldebugsetrouting-optionsstaticroute0.0.0.0/8discardsetrouting-optionsstaticroute10.0.0.0/8discardsetrouting-optionsstaticroute20.20.20.0/24discardsetrouting-optionsstaticroute127.0.0.0/8discardsetrouting-optionsstaticroute169.254.0.0/16discardsetrouting-optionsstaticroute172.16.0.0/12discardsetrouting-optionsstaticroute192.0.2.0/24discardsetrouting-optionsstaticroute192.168.0.0/16discardsetrouting-optionsstaticroute204.152.64.0/23discardsetrouting-optionsstaticroute224.0.0.0/4discard2.设置strict模式的unicastRPFsetinterfacesso-0/0/0unit0familyinetrpf-check3.设置相应prefix-list,禁止保留地址访问setpolicy-optionsprefix-listreserved0.0.0.0/8setpolicy-optionsprefix-listreserved10.0.0.0/8setpolicy-optionsprefix-listreserved20.20.20.0/24setpolicy-optionsprefix-listreserved127.0.0.0/8setpolicy-optionsprefix-listreserved169.254.0.0/16setpolicy-optionsprefix-listreserved172.16.0.0/12setpolicy-optionsprefix-listreserved192.0.2.0/24setpolicy-optionsprefix-listreserved204.152.64.0/23setpolicy-optionsprefix-listreserved224.0.0.0/4 setfirewallfilterinbound-filterterm1fromprefix-listreserved setfirewallfilterinbound-filterterm1thencountspoof-inbound-reserved setfirewallfilterinbound-filterterm1thendiscard setinterfacesge-0/0/0unit0familyinetfilterinputinbound-filter五. Firewall-Policy设置Firewall-Policy可以限制进入及流量主机数据包的来源、目标地址、协议、端口号、流量等,应用Firewall-Policy可以实现类似于防火墙的性能,但一般不建议在骨干路由器上使用,以下是Firewall-Policy的使用方法:1.创建Firewall-Policy:setfirewallfilterlocal-sectermsec-in1fromdestination-porttelnet setfirewallfilterlocal-sectermsec-in1fromdestination-address172.16.0.1/32setfirewallfilterlocal-sectermsec-in1fromsource-address192.168.0.0/24 setfirewallfilterlocal-sectermsec-in1thenacceptsetfirewallfilterlocal-sectermsec-in2fromdestination-porttelnet setfirewallfilterlocal-sectermsec-in2fromdestination-address172.16.0.1/32setfirewallfilterlocal-sectermsec-in2thendiscardsetfirewallfilterlocal-sectermsec-in3fromsetfirewallfilterlocal-sectermsec-in1thenaccept2.应用到路由器的端口上:setinterfacesfxp0unit0familyinetfilterinputlocal-sec以上例子不允许除192.168.0.0/24网段外所有地址telnet访问172.16.0.1,但允许其它任何包通过。
Juniper MX路由器验收流程及详细的初始配置
Juniper MX路由器验收流程及详细的初始配置前提概要Juniper设备的整个项目的售前、售中、售后都是有一套严密的流程。
本文讲述的内容将涉及其中的售中及售后。
在客户下完订单后,厂家会根据需求来安排发货、清关等事项。
设备送达机房前,需要安排工程师去当地机房配合当地机房人员进行验收,拆箱,扫码入库、设备出库、上架安装、加电调试等。
其中设备初始调试如下:一、初始配置当MX设备的PSM电源线交叉插在机柜的A/B两路PDU上后,通电,并将所有的PSM电源模块的2个白色拨子都拨上去,即拨到“on”的位置。
如下图:操作完毕后,所有的PSM电源模块的PWR OK指示灯/INP0指示灯/INP1指示灯都显示绿灯常亮,而FAULT指示灯不亮。
设备开始正式启动。
整个操作环境准备好后,用console线的网口一端在设备的console口上,USB端插在笔记本电脑上。
同时,用一根网线一头插在电脑的网口,另一端插在MX设备的MGT口(管理端口)。
打开电脑桌面的SecureCRT,选择对应的serial口,进入CLI界面。
设备启动完毕后,进入root操作界面,输入cli进入root配置界面。
【1】配置设备的缺省账号及密码,命令如下:set system root-authentication plain-text-passwordset system login user XXX class super-user authentication plain-text-password【2】新建二个group组,配置主备引擎的缺省ip地址,命令如下:set groups re0 system host-name mx2000-re0set groups re0 interfaces fxp0 unit 0 family inet address xxxx.xxxx.xxxx.xxxxset groups re1 system host-name mx2000-re1set groups re1 interfaces fxp0 unit 0 family inet address xxxx.xxxx.xxxx.xxxxset apply-groups re0set apply-groups re1【3】配置ftp、ssh、telnet服务,命令如下:set system services ftpset system services sshset system services telnet【4】关闭管理口不插网线报警通知,命令如下:set chassis alarm management-ethernet link-down ignore【5】将配置同步到备引擎,命令如下:commit synchronize【6】配置机框模式为enhanced-ip ,命令如下:set chassis network-services enhanced-ip【7】重启设备,命令如下:request vmhost reboot二、版本升级设备重启后,整个初始配置加载完成。
经典-Juniper路由器的日常基本配置
Juniper路由器的日常基本配置为测试OSPF路由协议,需要三个路由器,其拓扑图及接口连接情况如下:∙JUNOS1, interface em0 <-> JUNOS2, interface em0∙JUNOS1, interface em1 <-> JUNOS2, interface em1∙JUNOS1, interface em4 <-> JUNOS3, interface em4∙JUNOS2, interface em3 <-> JUNOS3, interface em3确保你的路由器是出厂初始设置(使用命令 load factory-default 可以恢复到出厂初始配置).为每个路由器配置主机名、Root密码及IP地址,为节省时间,你可以直接粘贴如下命令到Putty终端窗口的配置提示符下执行(最后不要忘记执行commit 命令):JUNOS1set system host-name JUNOS1set interfaces em0 unit 0 family inet address 172.30.25.2/30set interfaces em1 unit 0 family inet address 172.30.25.6/30set interfaces em3 unit 0 family inet address 192.168.1.1/24set interfaces em4 unit 0 family inet address 172.30.25.9/30set interfaces lo0 unit 0 family inet address 10.1.1.1/24set system root-authentication plain-text-passwordJUNOS2set system host-name JUNOS2set interfaces em0 unit 0 family inet address 172.30.25.1/30set interfaces em1 unit 0 family inet address 172.30.25.5/30set interfaces em3 unit 0 family inet address 172.30.25.13/30set interfaces lo0 unit 0 family inet address 10.2.2.2/24set system root-authentication plain-text-passwordJUNOS3set system host-name JUNOS3set interfaces lo0 unit 0 family inet address 10.3.3.3/24set interfaces em3 unit 0 family inet address 172.30.25.14/30set interfaces em4 unit 0 family inet address 172.30.25.10/30set system root-authentication plain-text-password实验1 –静态路由要求1:在JUNOS1上, 配置一个缺省静态路由(0.0.0.0/0) 到下一跳172.30.25.1.方法[edit]root@JUNOS1# set routing-options static route 0.0.0.0/0 next-hop 172.30.25.1要求2:用优先级为7添加第二条缺省静态路由到下一跳172.30.25.5 以便作为一个路由备份(浮动静态路由) 并commit.方法[edit]root@JUNOS1# set routing-options static route 0.0.0.0/0qualified-next-hop 172.30.25.5 preference 7[edit]root@JUNOS1# commitcommit complete检查一下设置的工作情况:root@JUNOS1# run show route 查看路由表inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)+ = Active Route, - = Last Active, * = Both0.0.0.0/0 *[Static/5] 00:01:54> to 172.30.25.1 via em0.0[Static/7] 00:00:13> to 172.30.25.5 via em1.0...[edit]root@JUNOS1# run ping 10.2.2.2PING 10.2.2.2 (10.2.2.2): 56 data bytes64 bytes from 10.2.2.2: icmp_seq=0 ttl=64 time=1.650 ms64 bytes from 10.2.2.2: icmp_seq=1 ttl=64 time=1.272 msroot@JUNOS2# run monitor traffic interface em0...19:33:03.526742 172.30.25.2 > 10.2.2.2: ICMP echo request, id 16648, seq 0, length 64[edit]root@JUNOS1# deactivate interfaces em0 // 暂时关闭接口em0[edit]root@JUNOS1# commitcommit complete[edit]root@JUNOS1# run ping 10.2.2.2PING 10.2.2.2 (10.2.2.2): 56 data bytes64 bytes from 10.2.2.2: icmp_seq=0 ttl=64 time=3.247 ms64 bytes from 10.2.2.2: icmp_seq=1 ttl=64 time=0.658 ms[edit]root@JUNOS2# run monitor traffic interface em1...19:35:30.376370 172.30.25.6 > 10.2.2.2:ICMP echo request, id 14090, seq 7, length 64实验 2 – OSPF路由要求:对连接路由器的所有接口与环回接口配置OSPF路由,但对连接到子网172.30.25.0/30的接口(172.30.25.1 和172.30.25.2)不形成邻接关系.SolutionJUNOS1set protocols ospf area 0.0.0.0 interface em0.0 passiveset protocols ospf area 0.0.0.0 interface em1.0set protocols ospf area 0.0.0.0 interface lo0.0set protocols ospf area 0.0.0.0 interface em3.0set protocols ospf area 0.0.0.0 interface em4.0JUNOS2set protocols ospf area 0.0.0.0 interface em0.0 passiveset protocols ospf area 0.0.0.0 interface em1.0set protocols ospf area 0.0.0.0 interface lo0.0set protocols ospf area 0.0.0.0 interface em3.0JUNOS3set protocols ospf area 0.0.0.0 interface em3.0set protocols ospf area 0.0.0.0 interface em4.0set protocols ospf area 0.0.0.0 interface lo0.0检查一下配置情况:[edit]root@JUNOS1# run show ospf neighborAddress Interface State ID Pr i Dead172.30.25.5 em1.0 Full 10.2.2.2 12 8 34172.30.25.10 em4.0 Full 10.3.3.3 12 8 32[edit]root@JUNOS2# run show ospf neighborAddress Interface State ID Pr i Dead172.30.25.6 em1.0 Full 10.1.1.1 12 8 36172.30.25.14 em3.0 Full 10.3.3.3 12 8 38[edit]root@JUNOS3# run show ospf neighborAddress Interface State ID Pr i Dead172.30.25.13 em3.0 Full 10.2.2.2 12 8 36172.30.25.9 em4.0 Full 10.1.1.1 12 8 35root@JUNOS3# run show route protocol ospf...10.1.1.1/32 *[OSPF/10] 00:04:11, metric 1...10.2.2.2/32 *[OSPF/10] 00:04:11, metric 1...192.168.1.0/24 *[OSPF/10] 00:00:02, metric 2> to 172.30.25.9 via em4.0root@JUNOS3# run traceroute 192.168.1.1traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 40 byte packets 1 192.168.1.1 (192.168.1.1) 1.611 ms 0.588 ms 1.362 ms[edit]root@JUNOS3# deactivate interfaces em4[edit]root@JUNOS3# commitcommit complete[edit]root@JUNOS3# run traceroute 192.168.1.1traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 40 byte packets1 172.30.25.13 (172.30.25.13) 2.316 ms 1.479 ms 0.882 ms2 192.168.1.1 (192.168.1.1) 1.283 ms 1.300 ms 1.129 ms最后,不要忘记再激活接口em4 并commit:[edit]root@JUNOS3# activate interfaces em4[edit]root@JUNOS3# commitcommit complete。
JUNIPER操作指南
CLI 1.2
chassis firewall groups
CLI CLI
show configuration show access
CLI
4
JUNOS CLI
1.2 UNIX UNIX 3 PC (\) Mac
1.3
system interfaces
1.3
1
CLI
5
n n
JUNOS CLI
s ? show i ? request system s ? restart s ?
mike@juniper1> request system license add ? Possible completions: <filename> Filename (URL, local, remote, or floppy) file1 Size: 19701, Last changed: Feb 23 21:56:52 file2 Size: 1835, Last changed: Apr 09 09:51:57 log1 Size: 1215, Last changed: Feb 16 13:07:49 log2 Size: 1135, Last changed: Apr 09 11:05:16 terminal Use login terminal
Tab
CLI Tab
2
11
Possible completions: igmp Show Internet Group Management Protocol ike Show Interface Key Exchange Information interfaces Show Interface Information ipsec Show IP Security Information isis Show Intermediate System-to Intermediate
juniper路由器配置步骤
juniper路由器配置步骤如下所示路由器启动进程:当路由器启动,将从flash中加载最新版本的JUNOS软件。
倘若在路由器上安装有PC Card和硬盘,也将额外加载。
路由器打开电源后,按下面的顺序查找软件:1.PC Card(如果安装)2.flash3.硬盘当电源打开路由器,将完成下面几步:1.打开网管机PC,连接上控制口,辅助端口,或者路由引擎上的管理以太网端口2.打开各自的后备电源3.检查电源OK LEDS并且确信路由器的启动信息完全输出到网管设备上注:假如没有任何东西插入以太网管理接口,将产生一个常规的RED警告。
请连接rj-45连接器解除这个警告。
其他明显的信息,包含下面内容:1.接口信息,例如:启动路由引擎、PFE等2.FPC LEDS,(测试时是闪烁绿灯,测试完成后是常亮绿灯)3.警告LEDS,(出现问题时)4.PIC LEDS,(除非接口被配置,否则就处在关闭状态)路由器配置:当初始配置路由器,你需要配置下面内容:.root密码设置,有下面三种不通的方法:1.纯文本root@router# set system root-authentication plain-text-password password (密码)2.加密root@router# set system root-authenticationencrypted-password password3.安全shell(SSH)(只用于 domestic U.S. 版本).主机名设置:[edit] root@router# set system host-name name.域名设置:[edit]root@router# set system domain-name domain.管理以太网端口设置:[edit]root@router# set interfaces fxp0 unit 0 family inetaddress ip-address/prefix-length.缺省路由设置:[edit]root@router# set system backup-router gateway-addressroot@router# set routing-options static route defaultnexthop gateway-address retain no-advertise.域名服务器(DNS)设置:[edit]root@router# set system name-server dns-address[edit]root@router# set system login user username class classauthentication plain-text-password注:设置非root用户是非常重要的,因为root用户不能Telnet到路由器。
陕西移动JUNIPER路由器安全配置操作指南
陕西移动通信企业标准
QB-╳╳-╳╳╳-╳╳╳╳
陕西移动通信集团公司发布
╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施
版本号:V.1.0.0
()
陕西移动J U N I P E R 路由器
安全配置操作指南 (注J U N I P E R 内容需和相应的配置基线规范一
目录
1范围 (3)
2适用性说明 (3)
3引用标准 (3)
4符号及缩略语 (3)
5配置操作指南 (3)
6编制历史 ............................................................................................................................................. 错误!未定义书签。
1范围
本操作指南适用于《陕西移动JUNIPER路由器安全配置基线规范》适用范围内的各类
设备。
为上述设备满足安全配置基线规范要求,提供具体的配置操作参考。
2适用性说明
本操作指南针对《陕西移动JUNIPER路由器安全配置基线规范》中的各项安全基线要
求,提出明确的参考配置操作。
本文提供的是安全基线配置参考范例,并不等同于实
际的设备配置。
在具体实施安全配置时,需根据实际应用环境,形成具体的配置方法。
3引用标准
1)《陕西移动设备通用安全基线规范》
2)《陕西移动JUNIPER路由器安全配置基线规范》
4符号及缩略语
5配置操作指南。
juniper路由器配置手册
浙江电力信息数据网Juniper路由器配置手册Juniper Networks, Inc.2009-4-13目录路由器开箱启动软硬件检测...................... 错误!未定义书签。
SYSTEM基本配置............................... 错误!未定义书签。
设置系统名称及时区........................... 错误!未定义书签。
设置帐号密码 ................................ 错误!未定义书签。
用户级别定义 ................................ 错误!未定义书签。
设置系统登录 ................................ 错误!未定义书签。
S YSLOG设置................................... 错误!未定义书签。
G ROUP配置.................................... 错误!未定义书签。
C HASSIS配置 .................................. 错误!未定义书签。
S YSTEM下的应用配置........................... 错误!未定义书签。
INTERFACE配置................................ 错误!未定义书签。
路由协议配置配置 ............................. 错误!未定义书签。
OSPF协议配置................................ 错误!未定义书签。
Ospf基本配置 .............................. 错误!未定义书签。
OSPF邻居间认证配置......................... 错误!未定义书签。
路由重发布................................. 错误!未定义书签。