Juniper MX960配置模板v1.2

        移动城域网项目 Juniper MX宽带接入服务器配置 模板 个人简介word模板免费下载关于员工迟到处罚通告模板康奈尔office模板下载康奈尔 笔记本 模板 下载软件方案模板免费下载 瞻博网络信息咨询（上海）有限公司 目      录  第一部分，    MX960设备开局配置指导    3 1.    系统基本配置    3 设置设备的主机名字 （主机名见集成商规化），增加管理带外管理的interface    3 增加管理者帐号    4 增加操作者帐号    4 打开telnet功能 ，进行连接数以及空闲时间设置    4 配置telnet源地址限制，只允许特定的IP段telnet设备    4 配置syslog ，并在本地保存所有log日志    5 配置SNMP    5 设置本机时间及NTP和时区设置 （NTP Server需从集成商或市公司取得）    6 2.    全局和调用参数配置    6 设置动态的profile配置，根据业务vlan需求可配置为单层vlan或者双层vlan    6 配置pppoe业务用户上线记录log功能    7 Qos全局配置限速策略    7 3.    上行端口和防病毒ACL配置    9 配置防病毒ACL    9 配置loopback接口    12 配置上行接口    12 4.    路由协议配置    12 负载均衡配置    12 OSPF 路由配置    13 ISIS路由配置    14 BGP配置（详见集成商 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ）    14 LDP/MPLS配置    15 第二部分，    MX960业务配置指导    15 1.    PPPoE拔号业务配置    15 配置ip地址池    15 配置Radius服务器    16 配置业务侧端口    16 2.    专线业务配置    17 配置静态用户的网关接口    17 配置用户及相关属性    17 配置用户应用属性    18 版本号 修改人/时间 主要更新内容 V1.0 张锦章/20120305 189******** randyzh@juniper.net 文档初稿编写 V1.1     V1.2           本文描述Juniper MX960在移动城域网项目中的开局和业务的配置指导。 第一部分， MX960设备开局配置指导 1. 系统基本配置 设置设备的主机名字 （主机名见集成商规化），增加管理带外管理的interface groups { re0 {    # Routing Engine 0 在MX960上 system { host-name JSTZ-MC-CMNET-BRAS-ZHL-MX960.RE0;  #在主引擎上配置主机名 } interfaces { fxp0 {          #增加带外管理端口 link-mode full-duplex; unit 0 { family inet { no-redirects; address 192.168.0.201/24; } } } } } re1 {      # Routing Engine 1 在MX960上 system { host-name JSTZ-MC-CMNET-BRAS-ZHL-MX960.RE1; } interfaces { fxp0 { unit 0 { family inet { no-redirects; address 192.168.0.202/24; } } } } } } apply-groups [ re0 re1 ];  #全局应用 注：管理口具有路由功能，也会被发布到local的路由域里面，在应用到路由协议中时注意disable管理端口，避免发布到路由域里面。 增加管理者帐号 system { login { user admin｛          ＃增加用户名为admin的管理用户 uid 2001;              ＃用户识别id，设备上具有唯一性 class super-user; authentication { encrypted-password "aHsrk6sbWc1"; ## SECRET-DATA  ＃此为show命令时显示配置，实际配置用plain-text-password命令代替 } } } } 增加操作者帐号 system { login { user operator｛        ＃增加用户名为operator的操作者用户，不能进行配置更改 uid 2002 class operator; authentication { encrypted-password "$1$RyIV0yuA$vF.DWWkLXgIaHsrk6sbWc1"; ## SECRET-DATA } } } } 打开telnet功能 ，进行连接数以及空闲时间设置 system { services {    #使能设备Telnet服务 telnet { connection-limit 10;    #连接数限制为10. rate-limit 10;    #允许每分钟连接请求次数限制为10. } } login { class admin { idle-timeout 10;    #超时推出时间配置在用户组中，该组用户适用 permissions all;    #用户组权限 } } } 配置telnet源地址限制，只允许特定的IP段telnet设备 firewall {      #Telnet访问控制在firewall中定义 filter flProtectRE {    term PermitTelnet { from { source-prefix-list {  #允许下列前缀列表中的地址访问 plNOC; } protocol tcp; destination-port telnet; } then { count Telnet_Counter; accept; } }          term DenyTelnet {  #其它地址不允许访问设备 from { protocol tcp; destination-port telnet; } then { count DenyTelnet_Counter; reject; } } } } ........(请注意这里只列出了filter flProtectRE的一部分内容) policy-options { prefix-list plNOC {    #定义运行Telnet前缀列表 202.105.80.0/24; 202.105.82.0/24; 59.37.66.0/24; 125.88.116.0/24; X.X.X.X/X;      #地市网管地址段 } } interfaces { lo0 { unit 0 { family inet { filter { input flProtectRE;  #应用的lo0即可 } 配置syslog ，并在本地保存所有log日志 配置syslog服务器 (服务器IP需从集成商或市公司取得) system { syslog { user * { any emergency; } host 59.37.66.135 {      ＃配置syslog server的主机IP地址 any warning; explicit-priority; } file messages { any info; authorization info; archive size 10m; explicit-priority; } source-address 61.144.1.253; } 配置SNMP 设置Trap服务器（Trap服务器需要从集成商或地市公司取得） snmp trap-options source-address lo0 trap-group snmp-trap-group { version v2; categories { authentication; chassis; link; routing; configuration; sonet-alarms; } targets { 202.105.80.97;    ＃配置SNMP server的主机IP地址 } } 设置本机时间及NTP和时区设置 （NTP Server需从集成商或市公司取得） #设置设备本地时间（非配置模式） set date           #New date and time (YYYYMMDDhhmm.ss) set date ntp #NTP服务器配置 system { time-zone Asia/Shanghai;   # Asia/Shanghai为Juniper固定格式 ntp { server 59.37.66.197 version 3 prefer; server 59.37.66.196 version 3; source-address X.X.X.X   #NTP消息源地址为设备Loopback0地址 } } 配置增强ip能力 chassis { network-services enhanced-ip; } 2. 全局和调用参数配置 设置动态的profile配置，根据业务vlan需求可配置为单层vlan或者双层vlan dynamic-profiles { autovlan {              ＃双层vlan动态端口属性 interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { encapsulation ppp-over-ether; vlan-tags outer "$junos-stacked-vlan-id" inner "$junos-vlan-id"; pppoe-underlying-options { dynamic-profile pppoe; } } } } } pppoe {              ＃配置pppoe端口接入属性 interfaces { pp0 { unit "$junos-interface-unit" { ppp-options { pap; } pppoe-options { underlying-interface "$junos-underlying-interface"; server; } no-keepalives; family inet { filter { input "$junos-input-filter"; output "$junos-output-filter"; } unnumbered-address lo0.0; } } } } } autovlan-singlevlan {      ＃单层vlan动态端口属性 interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { encapsulation ppp-over-ether; vlan-id "$junos-vlan-id"; pppoe-underlying-options { dynamic-profile pppoe; } } } } } } 配置pppoe业务用户上线记录log功能 protocols { ppp-service { traceoptions { file pppoe.log; flag all; } } pppoe { traceoptions { file pppoe.log; flag all; } } } Qos全局配置限速策略 限速需要跟radius服务器配合实现，通过Juniper的厂家专有属性VSA可以实现限速，radius服务器在dictionary文件中增加该属性VSA（此属性延用了ERX 系列BRAS的属性命名，亚信等常规radius均可支持） 根据用户申请的带宽，对该用户记录（user文件）中对这项用户描述名称的字符串类型进行赋值。用户拨号成功后radius把该用户的属性值下发，MX960会根据radius下发限速的属性值，进行相应的带宽限速。此处以带宽4m和10m用户为例： firewall {                              ＃配置BRAS限速模板 family inet { filter log { interface-specific; term 1 { then log; } } filter 4m { interface-specific; enhanced-mode; term 1 { then policer 4m; } term 2 { then accept; } } filter 10m { interface-specific; enhanced-mode; term 1 { then policer 10m; } term 2 { then accept; } } filter pass { interface-specific; term 1 { then accept; } } } policer 4m { if-exceeding { bandwidth-limit 4m; burst-size-limit 10k; } then discard; } policer 10m { if-exceeding { bandwidth-limit 10m; burst-size-limit 10k; } then discard; } } 3. 上行端口和防病毒ACL配置 配置防病毒ACL firewall { filter AntiVirusACL { term 5 { from { protocol udp; source-port 135; } then { discard; } } term 10 { from { protocol udp; source-port 445; } then { discard; } } term 15 { from { protocol udp; source-port 539; } then { discard; } } term 20 {                      from { protocol udp; source-port 593; } then { discard; } } term 35 { from { protocol udp; source-port netbios-ns; } then { discard; } } term 40 { from { protocol udp; source-port netbios-dgm; } then { discard; } } term 45 { from { protocol udp; source-port netbios-ssn; } then { discard; } } term 50 { from { protocol tcp; source-port 135; } then { discard; } } term 55 { from { protocol tcp; source-port 139; } then { discard; } } term 60 { from { protocol tcp; source-port 445;        } then { discard; } } term 65 { from { protocol tcp; source-port 539; } then { discard; } } term 70 { from { protocol tcp; source-port 593; } then { discard; } } term 75 { from { protocol tcp; source-port 137; } then { discard; } } term 80 { from { protocol tcp; source-port 138; } then { discard; } } term 100 { then accept; } } } 配置loopback接口 interfaces { lo0 { unit 0 { description "For Management"; family inet { no-redirects; address X.X.X.X/32; 配置上行接口 interfaces { xe-3/1/1 { description TO_JSTAZ-MB-CMNET-RT01-FHL_T1600 XE1/1/0 10G; unit 0 { family inet { filter { input AntiVirusACL;                ＃此处应用防病毒ACL output AntiVirusACL; } address 30.0.0.2/30 } } } } 4. 路由协议配置 负载均衡配置 policy-options {                        ＃配置负载均衡的策略 policy-statement load-balance { then { load-balance per-packet; } } } routing-options { forwarding-table { export load-balance;          ＃应用负载均衡策略 } } OSPF 路由配置 routing-options { router-id X.X.X.X;    #router-id设置为设备Loopback0地址，bgp/ospf共享 } protocols { ospf { preference 110;      #内部ospf路由优先级为110 external-preference 150;      #外部ospf路由优先级为150 export psRouteToOspf;        #注入外部路由到OSPF reference-bandwidth 100g;     #参考带宽为100g area 0.0.0.0 { interface lo0.0 { passive;    #仅通告，不需建立邻居 } interface ge-1/0/2.0 { interface ge-1/1/2.0 { passive;    #仅通告，不需建立邻居 } } } } policy-options { policy-statement psRouteToOspf {      #定义外部路由注入OSPF策略 term BgpDefaultToOspf{    #将BGP默认路由下发 from { protocol bgp; route-filter 0.0.0.0/0 exact; } then { metric 5; external { type 1; } accept; } } term DenyNull0ToOspf {      #过滤NULL0路由 from { protocol static; tag 163; } then { discard; } term StaticToOspf {      #静态路由注入OSPF策略 from { protocol static; } then { metric 1; external { type 1; } accept; } } term DirectToOspf {      #直连路由直接注入OSPF from { protocol direct; } then { metric 0; external { type 1; } accept; } } } } ISIS路由配置 Interfaces lo0 { unit 0 { family iso { address 86.xxxx.xxxx.xxxx.xxxx.00;  #net id } } } Protocols isis { level 2 disable; level 1 { wide-metrics-only; preference 115; external-preference 115; } interface ge-30/2/0.190 { level 1 { metric 100; hello-authentication-key gdnoc2007; hello-authentication-type md5; } } interface lo0.0 { passive; } } BGP配置（详见集成商方案） routing-options { router-id X.X.X.X;    #router-id设置为设备Loopback0地址，bgp/ospf共享 } protocols { bgp { hold-time 180;    #hold-time统一为180s mtu-discovery;    #该命令可以提高iBGP的收敛效率 log-updown;      #bgp邻居状态变化产生syslog信息 local-address 61.144.1.253;   #进程下配置以环回接口地址为bgp源地址 group pgToebgp｛  #建立EBGP邻居； type external;  #eBGP group multihop { ttl 2;      #eBGP使用环回接口建立邻居，配置为2跳 } preference 20;     #eBGP优先级为20 peer-as 4800； #对端as号 neighbor 202.97.28.105 {     #建立与163网的邻居 description To-GD-GZ-DXDS-D-2.RR; } } group pgGZMAN {     #建立与另一台出口的iBGP邻居关系 type internal;    #iBGP group preference 200;   #iBGP优先级为200 export psNextHopSelf; neighbor 61.144.1.254 { description To-GZ-JCX-CR-1.M; } } } LDP/MPLS配置 protocols {  #配置协议 mpls {    #启用MPLS interface all;  #//指定启用MPLS的路由器接口 } ldp {    #//配置LDP协议 interface so-1/1/0.0 { hello-interval 5; hold-time 15; } export  ldp-filter;  #//设置LDP过滤策略 } policy-options { policy-statement ldp-filter{ #//设置LDP过滤策略 term a { from { route-filter x.x.x.x/m exact;  #//设定LDP过滤地址段，需要根据实际网络地址分配进行调整 } then accept; } term b { then reject; } } } 第二部分， MX960业务配置指导 1. PPPoE拔号业务配置 配置ip地址池 access { address-assignment { pool pppoe1 { family inet { network 100.0.0.0/8;              ＃配置ip地址池的地址段 range pool1 { low 100.0.0.100;                  ＃配置应用ip地址的范围 high 100.255.255.255; } } } } } 配置Radius服务器 access { radius-server {                ＃配置radius server及其相关属性 10.10.10.201 { Port 1812; accounting-port 1813; retry 3;