1、Juniper手册大全作者:Netdorker(网络刀客)整理:小漏更新地址:http:/ http:/ 介绍Juniper 路由器是运行被称为JUNOS 软件的网络操作系统的特殊的网络设备。在这本书中,我们说到的JUNOS 特性都是运行在J系列,M系列和T系列路由器平台上。M系列和T系列是典型的高端大型路由器,一般应用于网络服务商,电话公司,大型的企业和大学。J系列路由器是低端小型路由器,是为商业和其他组织连接多个站点或互联网而设计的。JUNOS 软件预装在新的Juniper 网络路由器上,当你打开路由器时,软件自动开始运行。你需要做的第一件事情就是配置路由器。书中的例子是基于M20路由器或
2、J2300 路由器的JUNOS7.4 软件版本,但却适用于最近的JUNOS 版本和将来发行的基于M,T,和J系列路由器家族。这一章讨论基础的路由器配置,包括第一次如何配置路由器,从CLI 命令行配置路由器,加载和保存配置文件,JUNOS 软件使用文件和文件系统协同工作。也会讨论如何升级JUNOS 软件,收集硬件和软件相关信息。当你一起动路由器,你就必须JUNOS 软件是作为一套包含各种组件的模块化软件包来发布,JUNOS 软件的发布版本可以运行在所有J系列,M系列和T系列路由器上。配置基本的网络信息,比如路由器的name,IP 地址和domainname,这样以来路由器在网络上就可达了。然后你
3、就可以配置想要的软件特性了。配置路由器,通常情况下需要登陆到路由器并使用JUNOSCLI。包括J系列的一些路由器,还提供了基于web 的接口称为J-Web。从CLI 你可以指定配置文件使用明文(ASCII),这样你能够从CLI(在路由器上)或者ASCII 文本编辑器(在服务器上)来阅读。在 J-Web 上,配置被保存为可以用J-Web,CLI,或者ASCII 文本编辑器阅读的ASCII 文件。JUNOS CLI 模式通过这本书,我们将向你展示如何使用JUNOSCLI 来配置和监控路由器。当它超越本书描述的CLI 的设计和能力范围时,本节给出CLI 模式的预览并描述一些基本的特性。通过其他章节,
4、我们将给出更多的CLI 的事例。对于JUNOS CLI的完整的信息,参阅Juniper网络web 站点的JUNOS 产品文档: http:/ JUNOS 软件的低层操作系统是FreeBSD,当我们说到不同的CLI 命令时,如果一个命令由FreeBSD 发布或是一个标准的Unix 用法,或者是简单的FreeBSD 或Unix 而使用了一个JUNOS 名称,我们会指出这个命令是基于什么。如果你已经熟悉FreeBSD 或Unix 环境,这将帮助你理解JUNOS 命令。CLI 有两种模式:操作模式operational mode 和配置模式configurationmode。两种模式都有不同的命令。在
5、操作模式,可以监控任何关于路由器硬件和软件以及检查网络操作。在配置模式,可以通过命令定义路由器的行为,比如指出使用什么网络地址,运行什么协议。理解两种模式的不同之处非常重要,哪 种模式可以执行哪种行为,以及如何保持正在运行的模式。通过本书的其他章节,我们将向你展示当你配置路由器并验证它的操作时如何在两种模式下进行。在路由器上,你可以通过看CLI 提示状态来确定你处在哪种模式。基本的提示状态格式是usernamerouter-name。当你进入操作模式时,提示的末尾会有个符号;当你处于配置模式时,你看到的是符号。整书都遵从这种约定,因此处理命令的时候要注意提示符号。提交命令时要考虑是在操作模式还
6、是配置模式。当你第一次登陆JUNOS 路由器时,是处于操作模式。操作模式可用命令能让你监控路由器和网络操作。比如你可用获取路由器的邮件和软件的信息,到达路由器的网络流量,配置路由协议。整本书中,我们将向你展示如何使用操作模式命令检查路由器上发生的事情。你可以使用大量操作模式命令,组织成相关的命令来监控你的路由器和网络。在路由器上,你可以用输入问号(?)的方式获得在线帮助。如果在操作模式的最高层top level 输入?,就会看到一些能够用来监控路由器和实施操作的相关命令:avivarouter1 ? Possible completions: clear Clear information i
7、n the system configure Manipulate software configuration information file Perform file operations help Provide help information monitor Show real-time debugging information mtrace Trace multicast path from source to receiver ping Ping remote target quit Exit the management session request Make syste
8、m-level requests restart Restart software process set Set CLI properties, date/time, craft interface message show Show system information ssh Start secure shell on another host start Start shell telnet Telnet to another host test Perform diagnostic debugging traceroute Trace route to remote host 例如,
9、使用不同的命令显示关于路由器,路由器的接口,协议软件的信息,而且可以在路由器上使用不同的请求request 命令,比如重启和下载,安装升级软件。操作模式的两个命令不是用来监控路由器或网络的:Quit 用来退出CLI 和路由器Configure 用来进入配置模式,用来配置路由器当你进入配置模式后,提示会由usernamerouter-name变为usernamerouter-name#,提示的前面会有一行,edit,说明你在配置模式。特别指出,edit说明你在配置层次的最高层,这有点向是在Unix 文件系统的(/)。Edit 就等同于是配置命令(edit 是一个隐藏命令,因此你无法在完整的命令列
10、表中看到它。)配置模式有两个基本组件:commands 命令用来执行路由器的配置的动作;statements 语句定义配置的有效关键字;创建和修改路由器的配置时,使用配置模式的可用命令command 添加语句statements 配置来定义路由器的行为。如果在配置模式的最高层top level 输入一个问号?,就会看到配置路由器时能够用到的命令:edit avivarouter1# ? Possible completions: Execute this command activate Remove the inactive tag from a statement annotate Ann
11、otate the statement with a comment commit Commit current set of changescopy Copy a statement deactivate Add the inactive tag to a statement delete Delete a data element edit Edit a sub-element exit Exit from this level help Provide help information insert Insert a new ordered data element load Load
12、configuration from ASCII file quit Quit from this level rename Rename a statement rollback Roll back to previous committed configuration run Run an operational-mode command save Save configuration to ASCII file set Set a parameter show Show a parameter status Show users currently editing configurati
13、on top Exit to top level of configuration up Exit one level of configuration wildcard Wildcard operations 创建和修改路由器的配置时,会主要用到edit和set 命令来控制里面的语句statement。使用edit 命令到你想要修改的配置部分(就像使用Unix 的cd 命令到不同的目录)并使用set 命令配置特定的项目。Up 命令让你到层次体系的上一层,top 命令返回到层次体系的顶层edit(这个命令相当于Unix的cd / 命令)。在顶层,使用exit 或quit 命令返回到操作模式。S
14、how 命令显示配置中的各项信息,从当前层次开始显示。如果你处于edit层次,你会看到完整的配置: edit avivarouter1# show version “7.4R1.7“; groups re0 system host-name router1; interfaces fxp0 unit 0 family inet 如果在较低的层次,你看到的仅仅是配置的一部分。下面的例子是配置的OSPF 部分:edit protocols ospf avivarouter1# show export export-statics;area 0.0.0.0 interface fe-0/0/1.0;
15、 interface fe-1/0/1.0; 为什么这里会有大括号()?JUNOS 软件使用大括号描绘配置文件的结构,描述相关的配置参数部分。如果你是一个C语言程序员,你会非常熟悉他们。和set 命令相反的是delete,它从配置中删除一项。你可用从配置中删除单独的一项(比如从上面的OSPF 配置中删除interface fe-1/0/1.0),或者从OSPF 配置中删除一整段比如area 0.0.0.0: edit protocols ospf avivarouter1# delete area 0.0.0.0 avivarouter1# show export export-statics
16、; 另一个快速命令是run,它允许你在配置模式中提交一个操作模式的命令。例如,在配置模式中run show route 命令相当于在操作模式中执行:edit avivarouter1# run show route show route 说明是在操作模式inet.0: 20 destinations, 20 routes (19 active, 0 holddown, 1 hidden) +=Active Route, - = Last Active, * = Both 0.0.0.0/0 *Static/5 07:36:18 Discard 移动到配置部分意味着什么呢?想一想作为层次化配置语
17、句和框架的JUNOS 配置,是用大括号() 划分和定义这些语句的应用范围。这种层次结构提供了一个在路由器上配置大量特性和功能的组织方式,相关功能聚合在一起便于你配置路由器和流量配置时定位。当你初次进入配置模式,你在层次结构的顶级。你所在的层次结构和配置模式前导提示符是一致的。edit行显示你在层次结构的顶层。Edit 命令允许你进入配置层次,这样一来所有配置命令都可以在当前框架内执行。当你在层次结构中移动时,方括号中文字的变化会显示你所在的层次。你用来设置路由器的行为的配置语句statements 也以层次结构的方式出现。如果你在配置层次结构的顶层输入edit ? ,你会看到JUNOS 软件中
18、你能通过配置来控制的主要功能:edit avivarouter1# edit ? Possible completions: access Network access configuration accounting-options Accounting data configuration applications Define applications by protocol characteristicschassis Chassis configuration class-of-service Class-of-service configuration firewall Defin
19、e a firewall configuration forwarding-options Configure options to control packet sampling groups Configuration groups interfaces Interface configuration logical-routers Logical routers policy-options Routing policy option configuration protocols Routing protocol configuration routing-instances Rout
20、ing instance configuration routing-options Protocol-independent routing option configuration security Security configuration services Service PIC applications settings snmp Simple Network Management Protocol configuration system System parameters 每一个完整的列表都是在特定配置层次的配置语句(statement)。例如,protocol 语句是配置所有
21、JUNOS 路由协议的命令,位于层次结构顶级的:edit avivarouter1# edit protocols ? Possible completions: Execute this command bfd Bidirectional Forwarding Detection (BFD) options bgp BGP options connections Circuit cross-connect configuration dvmrp DVMRP options igmp IGMP options isis IS-IS options l2circuit Configuration
22、 for Layer 2 circuits over MPLS ldp LDP options link-management LMP options mld MLD options mpls Multiprotocol Label Switching options msdp MSDP configuration ospf OSPF configuration ospf3 OSPFv3 configuration pgm PGM options pim PIM configuration rip RIP options ripng RIPng options router-advertise
23、ment IPv6 router advertisement options router-discovery ICMP router discovery options rsvp RSVP options sap Session Advertisement Protocol options vrrp VRRP options |Pipe through a command 如果你移动到层次结构的下一级,例如到protocol 部分提示符会变成edit protocols: edit avivarouter1# edit protocols edit protocols avivarouter
24、1# 在路由器上学习CLI 在前面章节的一些命令行中,我们演示了如果使用?来获得CLI 和软件的相关上下文帮助。这个特性是CLI 内置帮助的一部分,而且你将会经常性的使用它。当你在提示符上输入一个?时,CLI 会显示一个可以使用的命令commands或语句statements 列表,和一个简单的描述。如果你输入一个命令或者配置语句的一部分并加一个?,你会看到一个可用命令command 或语句statement 的子集。例如,在操作模式,你可以看到show 命令的一个子集:avivarouter1 show r? Possible completions: rip Show Routing In
25、formation Protocol information ripng Show Routing Information Protocol for IPv6 information route Show routing table information rsvp Show Resource Reservation Protocol information avivarouter1 show r CLI 显示可用命令的列表并重新显示你已经输入的命令,因此你不用再次输入它。例如要显示路由表的内容,你现在只需输入oute (前面的提示是show r): avivarouter1 show r?
26、Possible completions: rip Show Routing Information Protocol information ripng Show Routing Information Protocol for IPv6 information route Show routing table information rsvp Show Resource Reservation Protocol information avivarouter1 show r avivarouter1 show route 在配置模式,你可以列出可用的配置语句statements 的子集:e
27、dit system avivarouter1# set s? Possible completions: saved-core-context Save context information for core files saved-core-files Number of saved core files per executable (164) services System services static-host-mapping Static hostname database mapping syslog System logging facility avivarouter1#
28、 set s为了最少化输入你必须输入的内容,敲空格键或Tab 键来补全LCI 命令command 或语句statement。这有点像Unix shell 的某些操作。avivarouter1# commit a Possible completions: and-quit Quit configuration mode if commit succeeds at Time at which to activate configuration changes avivarouter1# commit an avivarouter1# command and-quit 上面的第一个命令是不明确的,
29、因为有两种可能的结果。第二个命令是唯一的,因此但你输入空格键(或者Tab 键)时,CLI 自动完成这个命令,输入回车键执行这个命令。输入一个完整命令后(但还没有输入回车),另外一个可用的命令集是控制输出格式。要使用这些命令,先输入|(管道),来定向来自管道左侧命令输出到右侧管道命令,这和Unix 管道的工作几乎一样。下 面是一下可用使用的命令:avivarouter1 show route | ? Possible completions: count Count occurrences display Show additional kinds of information except S
30、how only text that does not match a pattern find Search for first occurrence of pattern hold Hold text without exiting the -More- prompt last Display end of output only match Show only text that matches a pattern no-more Dont paginate output request Make system-level requests resolve Resolve IP addr
31、esses save Save output text to file trim Trim specified number of columns from start of line 另外一个最小化输入的方法是使用键盘快捷方式。最简单的是上下箭头键,可用回滚到你最近输入的命令。(JUNOS 软件就像Unixshell 一样维护历史命令)如果你想修改一个命令而不是重现输入命令,你可用使用左右箭头键,退格Backspace 键和删除Delete 键。 下面还有一些功能键的组合,和Emacs 命令相似,可以用来在命令行上移动光标并编辑命令,见Table 1-1:Table 1-1. 快捷方式快捷方
32、式动作Ctrl-p 显示历史命令中的上一个命令Ctrl-n 显示历史命令中的下一个命令Ctrl-a 移动到行首Ctrl-e 移动到行尾Ctrl-b 向后移动一个字符Ctrl-f 向前移动一个字符Esc-b 向后移动一个单词Esc-f 向前移动一个单词Ctrl-k 删除光标以后的内容Esc-d 往前删除一个单词(光标后面的一个单词)Esc-Backspace 往后删除一个单词(光标之前的一个单词)Ctrl-y 在光标处粘贴删除的单词或文本另一种方式的CLI 帮助是安装在路由器硬盘的在线文档。这个文档附带在JUNOS 产品配置指南中。当 你登陆到路由器后,可以使用在线文档获得配置说明的信息。要获取
33、配置说明的高级信息,你可用使用help topic 命令。下面的例子显示了如何在路由器上获取配置domain name 的高级帮助信息:avivarouter1 help topic system domain-name Configuring the Routers Domain Name For each router, you should configure the name of the domain inwhich the router is located. This is the default domain name that isappended to hostnames
34、that are not fully qualified. To configure the domain name, include the domain-name statement at the edit system hierarchy level: edit system domain-name domain-name; Example: Configuring the Routers Domain Name Configure the routers domain name: edit userhost# set system domain-name edit userhost#
35、 show system domain-name ; 使用help reference 命令可用获取配置的语法和选项的帮助,就像Unix的man 记录一样。下面显示了doamin-name 配置的reference 帮助:avivarouter1 help reference system domain-name domain-name Syntax domain-name domain-name; Hierarchy Level edit system Description Configure the name of the domain in which the router is lo
36、cated. This is the default domain name that is appended to hostnames that are not fully qualified. Options domain-name-Name of the domain. Usage Guidelines See “Configuring the Routers Domain Name“. Required Privilege Level system-To view this statement in the configuration.system-control-To add thi
37、s statement to the configuration. 在本书中如何显示命令和配置迄今为止在JUNOS CLI 的说明中,我们已经描述了不同类型的命令和看起来想在路由器上的显示。由 于对于初学者有点迷惑,这一节我们总结一下在本书中如何显示命令。这里是一个操作模式的命令:avivarouter1 show route table inet.0 说明你处于操作模式,黑体字显示了你输入的内容。命令是show route。Table 是这个命令的一个选项,inet.0(一个特定路由表的名字)是需要的完成table 选项的一个变量。Table 的名字是斜体的,你可以用你想要的路由表的名字来替
38、换它。这里是两个配置模式的命令:edit avivarouter1# edit system edit system avivarouter1#set login user aviva class operator 提示符后面的让你知道你处于配置模式,而且edit和editsystem也会显示你在配置层次结构中的位置。Edit 和set 是配置模式的命令。System,login,user,和 class 是配置语句。Aviva是user 语句的必要变量,operator 是class 语句的一个必要选项。此外,你输入的都用黑体显示。你必须输入的命令command 和语句statement 就
39、像下面显示的,是黑体;可用替代的变量用的是斜体。在本书中,当我们演示如何配置路由器时,我们通常只说明你要输入的命令和你所在的配置层次,就 像上面显示的一样。然而,有时候如果你必须输入一些命令来配置一个特性或者如果你输入一条命令导致了多级层次结构,我们将向你显示看起来可能的配置结果。我们上面输入的配置命令会出现下面的配置:edit system avivarouter1# show login user aviva class operator; 从层次结构的顶层来看,看起来是这样:edit avivarouter1# show system login user aviva class ope
40、rator; 基于两个原因,我们用这种格式来显示。当你在路由器上做配置时,你可能会忘了你已经配置了什么。方括号中的提示文字(edit)是你所在配置层次的路图。Show 命令显示了已经配置了什么。另外一个原因是JUNOS 的配置,实际上就是一个文本文件。文件格式就和你输入show 命令时所看到的一样。锯齿状显示了配置层次的级别,大括号()表示相关配置语句组,分号(;)表示单独语句的结束。在本书中,有时我们会用这种格式作为总结配置一种特定特性的方法。你可以比较书中的内容和你在路由器上的配置,来确保你已经掌握了这些东西。Recipe 1.1 第一次配置路由器Recipe 1.1 第一次配置路由器问题
41、:你已经安装并开启一台路由器,第一次配置JUNOS 软件。解决方案使用如下的命令配置路由器root# cli root cli configure edit root# set system host-name router1 root# set system domain-name root# set interfaces fxp0 unit 0 family inet address 192.168.15.1/24 root# set system backup-router 192.168.15.2 root# set system name-server 192.168.15.3 r
42、oot# set system root-authentication plain-text-password New password: Retype password: root show system host-name router1 ;domain-name ; backup-router 192.168.15.2; root-authentication encrypted-password “$1$ZUlES4dp$OUwWo1g7cLoV/aMWpHUnC/“; # SECRET-DATA; name-server 192.168.15.3; interfaces fxp0 u
43、nit 0 family inet address 192.168.15.1/24; root# commit rootrouter1# exit rootrouter1 讨论在大部分JUNOS 路由器上,JUNOS 软件安装在两个地方:flash 驱动器和硬盘。当你第一次开启路由器时,运行安装在flash 驱动器里的软件版本。硬盘里面的拷贝是一个备份。另外的软件备份拷贝通过可移动介质提供,典型的是PC 卡或者是CF 卡。 当你第一次开启你的路由器时,JUNOS 软件自动导入并启动。在有的路由器上,一个脚本提示你路由器的基本信息。在其他一些路由器上,你使用J-Web 浏览器执行初始化配置。基于
44、这一点,你需要输入足够的基本配置信息以便路由器在网络上而且能通过网络登录。在路由器上实施初始化配置工作,你需要连接一个终端或笔记本电脑到路由器的console 口,这是路由器前面的一个串行接口。当你第一次连接到路由器的console 是, 必须使用root 用户登录。Root 用户就像是Unix 的超级用户,可以完全访问路由器的所有功能。最初,root 账户是没有密码的。你会发现你是root,因为路由器上显示的用户是root#。启用JUNOS CLI 使用命令cli。Root提示符说明使用root 用户进入了操作模式。一旦你 启用 CLI, 输入 configure 命 令进 入配置模式 。如
45、果你看 到上一个列子的最后 ,你会发现通过 commit 命令激活配置后 , 你配置的主机名会加到提示符的后面 , 因而提 示符在配置 模式下 会变成rootrouter1#,在操作模式 会变成 routerrouter1。当你初次配 置路由器 时 , 需要设置 一些 路由器的基本特性 : 路由器的 名称 (路 由器的主机名 ), 使用 set system host-name 命 令 。 你的域名 ,使用命 令 set system domain 命令 。 路由器 fxp0 接 口的 IP 地址 , 使用 set interfacesfxp0 命令 。 Fxp0 是路由器提 供的一个分离的待
46、外管理网络的以太网管理接口 。 (J 系列路 由器没有专门的管理接口 , 可以使用内置的一个快速以太 网接口, fe-0/0/0 或 fe-0/0/1 来代替 )Juniper 网络建议 使用 fxp0 接口 管理所有 M 系列和 T 系列路由器 , 这 个口是为路由 器保留来 做管理的 , 因此它不转发流量 。 作为路 由器物理组成的一部分 , 你应该连接 fxp0 到以太网来执行管理任务 。最 理想的是 路由 器还可以通过这个网络访问它的 DNS 和 NTP 服务器。如 果你 喜欢的话, 你 也可 以用路由器的其 他接口作 为管理接口 。 在本书的其他部分 , 我们假设 fxp0(或 J
47、系列路由器的fe-0/0/0)被配置 为管 理接口 。 备份路由 器的 IP 地址 , 使用 set systembackup-router 命令 。 选择一个和本地 路由器直连的路由器 。当且仅 当你的路由器在启动时而且 JUNOS 路 由软 件 (称 为路由协议进程 ,或 RPD)不能启动时 , 你的路由器才使 用备份路 由器 。 如果 RPD 不能启 动 , 路由器将没有 静态 路由或默认路由 , 因此你无法直接 访问它, 但是可以通过备份路由器检 查它 。 当路由器启动时 , 它会产生一条到备 份路由器的静态路由 。 路由 软件一起动 , 这条路由器就 从路由表中 被删除 。 对于有两
48、个 RE(RoutingEngineer)的路 由器 ,备份 RE, RE1, 在路由器重 启以后仍然使用备 份路由器作为 默认网关 。 因此你可以使 用备份路由器登录到RE1。 (RE0 是首要 primary, 或主控 master, RE。 参 见技 巧 1.30) 网络上的 一个或多 个 DNS 名字服务器的 IP 地址 , 使用 set system name-server 命令 。路由器使用 DNS 名字 服务器将主机名 转换为 IP 地址 。 Root 账户的 密码 。 当你最先启动 一台路 由 器的时候 , root 账户是 没有密码的 。 为了保护路由器和网络的安全 , 配置 root 账户的密码是非常必要的 。 最简单的配置 方法就是使用plain-text-password 语句输入明文 (ASCII)密码 来配置密码 。 但你输 入回车后 , CLI 提示 你输入密码然后要求再次 输入 。但是当你输入密码的时 候路由器 并没有显示出 来 。 你使用的密码不能全是小写字母 , 全是大写字母或全是数字。必须是混合大小写的字母,数字和标点符号。如果你不是按照这个标准来选择密码的话,你会看到一个错误信息: Error: require change of case, digitsorpunctuation.当你用show 命令查看密码的时
