juniper路由器配置手册
浙江电力信息数据网Juniper路由器配置手册
Juniper Networks, Inc.
2009-4-13
目录
路由器开箱启动软硬件检测 (3)
SYSTEM基本配置 (4)
设置系统名称及时区 (4)
设置帐号密码 (4)
用户级别定义 (4)
设置系统登录 (5)
S YSLOG设置 (6)
G ROUP配置 (7)
C HASSIS配置 (7)
S YSTEM下的应用配置 (7)
INTERFACE配置 (8)
路由协议配置配置 (10)
OSPF协议配置 (10)
Ospf基本配置 (10)
OSPF邻居间认证配置 (10)
路由重发布 (11)
OSPF配置示例 (11)
IBGP协议配置 (13)
EBGP协议配置 (14)
RR配置 (14)
MPLS协议配置 (15)
采用LDP信令建LSP (15)
采用RSVP信令建LSP (17)
VPN配置 (20)
I NSTANCE配置 (20)
MBGP的配置 (20)
CLASS OF SERVICE配置 (21)
第 2 页共22 页
路由器开箱启动软硬件检测
确认设备电源连接正确,加点启动,使用Console线连接路由器Console接口,首次登陆用户名:root,无密码。进入根模式:
%cli
进入Operating Mode
Root> Show chassis hardware
查看硬件信息,检测是否所有板卡在线,对应配置清单确认机箱、板卡配置信息是否正确,Root> Show chassis environment
查看机箱温度,正常温度不应超过40摄氏度。
Root> Show chassis alarms
查看告警信息,联调阶段应该有电源模块(因为没有连接冗余电源)和带外管理接口fxp0(没有连接带外网管接口)告警,属正常。
Root> Show version
查看JUNOS软件版本信息。
第 3 页共22 页
System基本配置
System配置是路由器基本信息的配置,包括路由器名称、管理员名称和口令、管理协议、Log等相关信息,
设置系统名称及时区
Root#Set system hostname
设置系统的主机名称
Root# Set time-zone Asia/Shanghai
配置路由器的时区
Root# Set ntp server 10.10.202.1
配置NTP Server,
Root# Set system root-authentication plain-text-password
设备初次启动只有root用户,root用户为最高权限用户,缺省没有密码,配置root管理员口令,日常运维不使用root用户。
Root# Set system login user
设置帐号密码
增加一个用户,此用户为管理员(Super-user)级别,
Root# Set system login user
用户级别定义
terry# set system login class testclass permissions all
增加一个用户类别名称为testcalss,其权限为所有权限,根据不同的权限组合,可以定义不同级别的管理员用户
第 4 页共22 页
可以定义的权限有:
access 可以查看访问配置
access-control 可以改变访问控制
admin 可以查看用户帐号
admin-control 可以改变用户帐号
all 所有的要限均打开
clear 可以清除学习到的路由信息
configure 可以进入配置模式
control 可以改变任何配置
field 可以用DEBUG工具
firewall 可以查看防火墙(ACL)配置
firewall-control 可以改变防火墙(ACL)配置
flow-tap 可以查看flow-tap 配置
flow-tap-control 可以改变flow-tap 配置
flow-tap-operation 能够tap flows
interface 可以查看interface 配置
interface-control 可以改变interface 配置
maintenance 可以变成超级用户
network 可以访问网络信息
reset 可以reset/restart 接口和进程
rollback 可以回退到以前保存下来的配置s
routing 可以查看routing 配置
routing-control 可以改变routing 配置
secret 可以查看加密信息
secret-control 可以改变secret 加密信息
security 可以查看安全配置
security-control 可以改变安全配置
shell 进以进入shell界面
snmp 可以查看SNMP 配置
snmp-control 可以改变SNMP 配置
system 可以查看system 配置
system-control 可以改变system 配置
trace 可以查看trace file 设置
trace-control 可以改变trace file 设置
view 可以查看当前的运行状态信息
view-configuration 可以查看所有配置(不包括加密部分)
设置系统登录
terry# set system services ssh
设置系统允许SSH登录
第 5 页共22 页
terry# set system services ssh protocol-version v2
设置登录使用的SSH版本为V2版本
terry# set system services ssh protocol-version v2 rate-limit 5
设置通过SSH方式每分钟最多登录进来的人数为5 人
terry# set system services ssh rate-limit 5 connection-limit 4
设置通过SSH方式能够同时登录进来4人
Syslog设置
Root# Set system syslog file
设置SYSLog文件容量为2m和数量为10个。
Root# Set system syslog file
设置SYSLog文件中log下来的内容
terry# set system syslog file
为方便审计,将管理员操作时输入的所有命令LOG下来,syslog文件名为log-com
例:
# show system syslog
syslog {
user * {
any emergency;
}
file messages {
any notice;
authorization info;
}
file log-com {
interactive-commands any;
}
}
第 6 页共22 页
Group配置
Group配置的目的是清晰的显示目前连接的RE信息。此配置仅对配置冗余RE的路由器有用。
Set groups re0 system hostname
Set groups re1 system hostname
Set apply-group [re0 re1]
Chassis配置
Username# Edit chassis;
进入Chassis配置子层
Username# Set redundancy routing-engine 0 master
配置RE0为主RE
Username# Set redundancy failover on-loss-of-keepalive
Username# Set redundancy failover on-disk-failure
配置冗余RE的切换条件:丢失Keepalive或者硬盘故障
Username# Set redundancy graceful-switchover enable
启动RE的平滑切换功能
Username# Set alarm management-ethernet link-down ignore
关闭带外网管接口link down的告警。注:本次项目不使用带外网管。
System下的应用配置
Juniper路由器在缺省情况下不打开任何服务,要开启服务,均需要管理员去开启,
Set system service ftp
打开FTP服务
Set system service telnet
打开FTP服务
Set interface fe-0/0/0 proxy-arp
第7 页共22 页
在接口上打开ARP PROXY服务
Interface配置
此项配置内容最为烦杂,在配置时需特便仔细。为了维护方便,所有端口均配置Description,标识连接的对端设备端口。
Edit Interface
进入端口配置子层。
浙江电力共有以下几种端口类型:
GE:;
POS 155M/622M:核心和骨干设备配置大量的POS端口;POS端口需要配置描述、时钟、封装PPP、Sonet Option等信息;所有的POS接口均配置IP地址信息,打开MPLS 功能。
E1/CE1:部分路由器的互联端口,所有E1/CE1均配置Unframe格式;所有的POS接口均配置IP地址信息,打开MPLS功能。
FE:
GE端口配置实例:
Set ge-0/0/0 description “ConnectToWZ-M20-GE-0/0/0”
Set ge-0/0/0 mtu 1600
Set ge-0/0/0 unit 0 family inet address 10.10.234.1/30
Set ge-0/0/0 unit 0 family mpls
POS端口配置实例:
Set so-0/1/0 description “ConnectToWZ-M20-SO-0/0/0”
Set so-0/1/0 clock internal
Set so-0/1/0 encapsulation ppp
Set so-0/1/0 sonet-option fcs 32
Set so-0/1/0 sonet-option payload-scrambler
Set so-0/1/0 sonet-option rfc-2615
第8 页共22 页
Set so-0/1/0 unit 0 family inet address 10.10.234.9/30
Set so-0/1/0 unit 0 family inet mpls
E1端口配置实例:
Set ce1-0/3/0 no-partition interface-type e1
Set so-0/1/0 description “ConnectToNingbo-M20-E1-0/0/0”
Set e1-0/3/0 e1-option fcs 16
Set e1-0/3/0 e1-option framing g704
Set e1-0/3/0 encapsulation ppp
Set e1-0/3/0 family inet address 10.10.234.169/30
Set e1-0/3/0 family inet mpls
FE端口配置实例:
Set fe-1/3/0 description "connect to vpn-rt switch"
Set fe-1/3/0 vlan-tagging
Set fe-1/3/0 unit 1 vlan-id 1 family inet address 10.10.235.2/30
Set fe-1/3/0 unit 3 vlan-id 3 family inet address 10.10.7.254/24
Set fe-1/3/0 unit 1 vlan-id 4 family inet address 10.10. 10.254/24
Set fe-1/3/0 unit 1 vlan-id 5 family inet address 10.10. 8.254/24
Set fe-1/3/0 unit 1 vlan-id 6 family inet address 10.10. 9.254/24
LoopBack端口配置:loopback端口是路由器的一个虚端口,往往用来标识路由器,作为Route ID使用。Set lo.0 unit 0 family inet address 10.10.202.1/32
第9 页共22 页
路由协议配置
OSPF协议配置
Ospf基本配置
Terry# edit protocols ospf
进入OSPF协议配置
Terry# set ospf area 0 interface
设置路由器接口属于ospf area 0
Terry# set ospf area 0 interface lo0.0 passive
设置路由器loopback接口属于ospf area 0
Terry# set ospf area 1 interface
设置路由器接口属于ospf area 1并设置其metric值
Terry# set ospf area 1 nssa // stub区域设置类似,只需将nssa改为stub 设置ospf area 1 为NSSA类型
Terry# set ospf area 1 nssa default-lsa default-metric 10
设置ospf area 1 为NSSA类型,并且为AREA 1产生一个缺省路由
Terry# set ospf area 1 nssa default-lsa type-7
设置ospf area 1 为NSSA类型,并且不向该区发送type-3的LSA
Terry# set ospf area 1 nssa no-summaries
设置ospf area 1 为totally NSSA类型,
Terry# set ospf area 1 area-range 10.0.4.0/22
将AREA 1的路由归纳后,传到AREA 0
OSPF邻居间认证配置
Terry# set ospf area 0 authentication-type md5
在OSPF协议AREA 0启用MD5认证方式
Terry# set ospf area 0 interface interface-name authentication md5 10 key "$9$FJwU6CK"
第10 页共22 页
在接口上设置认证密码
Terry# set area 1 authentication-type simple
在OSPF协议AREA 1启用明文认证方式
Terry# set area 1 interface interface-name authentication simple-password "$9$bUY4ZQO"
在接口上设置认证密码
路由重发布
### 以一个路由器把从RIP学来的路由重发布到OSPF中为例来说明###
1,配置重发布的策略
Terry# edit policy-options policy-statement rip-ospf
编辑一个策略,名字为rip-ospf,目的是把从RIP学来的路由,发布到OSPF中去
terry# set term 1 from protocol rip //来自于RIP协议的路由
terry# set term 1 then accept //发布到OSPF
terry# set term 2 from route-filter 172.16.40.0/24 exact //来自路由表中的一个确定的路由terry# set term 2 then accept //重发布到OSPF中去
terry# set term 3 then reject //其他的路由不做重发布
2,应用重发布的策略
terry# set protocols ospf export rip-ospf
OSPF配置示例:
protocols {
ospf {
reference-bandwidth 1g;
area 0.0.0.0 {
authentication-type md5; ## Warning: 'authentication-type' is deprecated
interface fxp3.1 {
authentication {
md5 10 key "$9$FJwU6CuKvLX-w"; ## SECRET-DATA
}
}
interface fxp3.2 {
interface-type nbma;
第11 页共22 页
authentication {
md5 10 key "$9$fQ39SyKvLN"; ## SECRET-DATA
}
}
interface lo0.3 {
passive;
}
}
area 0.0.0.1 {
nssa {
default-lsa {
default-metric 10;
metric-type 2;
type-7;
}
no-summaries;
}
area-range 10.0.4.0/22;
interface fxp3.3 {
metric 20;
}
interface fxp3.4 {
metric 20;
}
}
}
}
se protocols ospf reference-bandwidth 1g
se protocols ospf area 0.0.0.0 authentication-type md5
set protocols ospf area 0.0.0.0 interface fxp3.1 authentication md5 10 key "$9$FJwU6CuKvLX" se protocols ospf area 0.0.0.0 interface fxp3.2 interface-type nbma
se protocols ospf area 0.0.0.0 interface fxp3.2 authentication md5 10 key "$9$fQ39SyKvLN"
set protocols ospf area 0.0.0.0 interface lo0.3 passive
set protocols ospf area 0.0.0.1 nssa default-lsa default-metric 10
set protocols ospf area 0.0.0.1 nssa default-lsa metric-type 2
set protocols ospf area 0.0.0.1 nssa default-lsa type-7
set protocols ospf area 0.0.0.1 nssa no-summaries
set protocols ospf area 0.0.0.1 area-range 10.0.4.0/22
set protocols ospf area 0.0.0.1 interface fxp3.3 metric 20
set protocols ospf area 0.0.0.1 interface fxp3.4 metric 20
第12 页共22 页
IBGP协议配置
terry# set protocols bgp group
设置一个IBGP GROUP,类型为internal
terry# set protocols bgp group
terry# set protocols bgp group
设置路由重发布,把特定的路由发布到BGP中去,policy的写法见OSPF中的路由重发布
terry# set protocols bgp group
terry# set routing-options autonomous-system 65412
设置本机的AS号
案例:
terry# set protocols bgp group internal type internal
terry# set protocols bgp group internal local-address 10.0.9.7
terry# set protocols bgp group internal export ibgp
terry# set protocols bgp group internal neighbor 10.0.6.1
terry# set protocols bgp group internal neighbor 10.0.6.2
terry# set protocols bgp group internal neighbor 10.0.3.3
terry# set protocols bgp group internal neighbor 10.0.3.4
terry# set protocols bgp group internal neighbor 10.0.3.5
terry# set protocols bgp group internal neighbor 10.0.9.6
protocols {
bgp {
group internal {
type internal;
local-address 10.0.9.7;
第13 页共22 页
export ibgp;
neighbor 10.0.6.1;
neighbor 10.0.6.2;
neighbor 10.0.3.3;
neighbor 10.0.3.4;
neighbor 10.0.3.5;
neighbor 10.0.9.6;
}
EBGP协议配置
terry# set protocols bgp group
设置一个IBGP GROUP,类型为external
terry# set protocols bgp group
例:
terry# set protocols bgp group ext type external
terry# set protocols bgp group ext neighbor 172.16.0.14 peer-as 65222
RR配置
Terry# set protocols bgp group
通过Cluster命令在BGP协议中启用RR功能,
例:
set protocols bgp group internal type internal
set protocols bgp group internal local-address 10.0.9.7
set protocols bgp group internal cluster 1.1.1.1
set protocols bgp group internal neighbor 10.0.6.2
set protocols bgp group internal neighbor 10.0.6.1
set protocols bgp group internal neighbor 10.0.3.3
set protocols bgp group internal neighbor 10.0.3.5
第14 页共22 页
set protocols bgp group internal neighbor 10.0.3.4
set protocols bgp group internal neighbor 10.0.9.6
group internal {
type internal;
local-address 10.0.9.7;
cluster 1.1.1.1;
neighbor 10.0.6.2;
neighbor 10.0.6.1;
neighbor 10.0.3.3;
neighbor 10.0.3.5;
neighbor 10.0.3.4;
neighbor 10.0.9.6;
}
**** BGP协议的路由重分发与OSPF的路由重分发配置相同****
MPLS协议配置
采用LDP信令建LSP
terry# set interfaces
首先在接口上配置支持MPLS协议
terry# set protocols mpls interface
启用MPLS协议,并且指定MPLS协议所作用的接口,若为all参数时,则所有支持MPLS协议的接口均参与MPLS的运行
terry# set protocols ldp interface
启用LDP信令协议,
例:
terry# set interfaces em7 unit 1 vlan-id 57
terry# set interfaces em7 unit 1 family inet address 10.0.8.10/30
terry# set interfaces em7 unit 1 family iso
terry# set interfaces em7 unit 1 family mpls
terry# set interfaces em7 unit 2 vlan-id 47
terry# set interfaces em7 unit 2 family inet address 10.0.2.17/30
terry# set interfaces em7 unit 2 family iso
第15 页共22 页
terry# set interfaces em7 unit 2 family mpls
terry# set interfaces em7 unit 3 vlan-id 71
terry# set interfaces em7 unit 3 family inet address 172.16.0.1/30
terry# set interfaces em7 unit 4 vlan-id 404
terry# set interfaces em7 unit 4 family inet address 10.0.8.14/30
terry# set interfaces em7 unit 4 family iso
terry# set interfaces em7 unit 4 family mpls
terry# set protocols mpls interface all
terry# set protocols ldp interface em7.1
terry# set protocols ldp interface em7.2
interfaces {
em7 {
unit 1 {
vlan-id 57;
family inet {
address 10.0.8.10/30;
}
family iso;
family mpls;
}
unit 2 {
vlan-id 47;
family inet {
address 10.0.2.17/30;
}
family iso;
family mpls;
}
unit 3 {
vlan-id 71;
family inet {
address 172.16.0.1/30;
}
}
unit 4 {
vlan-id 404;
family inet {
address 10.0.8.14/30;
}
family iso;
family mpls;
}
第16 页共22 页
}
lo0 {
unit 7 {
family inet {
address 10.0.9.7/32;
}
family iso {
address 49.0002.7777.7777.7777.00;
}
}
}
}
protocols {
mpls {
interface all;
}
ldp {
traffic-statistics {
file ldp-stats;
interval 90;
}
keepalive-interval 5;
interface em7.1;
interface em7.2;
}
采用RSVP信令建LSP
terry# set interfaces
首先在接口上配置支持MPLS协议
terry# set protocols mpls interface
启用MPLS协议,并且指定MPLS协议所作用的接口,若为all参数时,则所有支持MPLS协议的接口均参与MPLS的运行
terry# set protocols rsvp interface
启用RSVP信令协议,
RSVP与LDP不同的是,RSVP不会自动建立LSP。需要手工建立,
第17 页共22 页
terry# set protocols mpls label-switched-path
例:
terry# set interfaces em7 unit 1 vlan-id 57
terry# set interfaces em7 unit 1 family inet address 10.0.8.10/30
terry# set interfaces em7 unit 1 family iso
terry# set interfaces em7 unit 1 family mpls
terry# set interfaces em7 unit 2 vlan-id 47
terry# set interfaces em7 unit 2 family inet address 10.0.2.17/30
terry# set interfaces em7 unit 2 family iso
terry# set interfaces em7 unit 2 family mpls
terry# set interfaces em7 unit 3 vlan-id 71
terry# set interfaces em7 unit 3 family inet address 172.16.0.1/30
terry# set interfaces em7 unit 4 vlan-id 404
terry# set interfaces em7 unit 4 family inet address 10.0.8.14/30
terry# set interfaces em7 unit 4 family iso
terry# set interfaces em7 unit 4 family mpls
terry# set protocols mpls interface all
terry# set protocols rsvp interface all
terry# set protocols mpls label-switched-path r7-r3 to 10.0.3.3
terry# show
interfaces {
em7 {
unit 1 {
vlan-id 57;
family inet {
address 10.0.8.10/30;
}
family iso;
family mpls;
}
unit 2 {
vlan-id 47;
family inet {
address 10.0.2.17/30;
}
family iso;
family mpls;
}
unit 3 {
第18 页共22 页
vlan-id 71;
family inet {
address 172.16.0.1/30;
}
}
unit 4 {
vlan-id 404;
family inet {
address 10.0.8.14/30;
}
family iso;
family mpls;
}
}
lo0 {
unit 7 {
family inet {
address 10.0.9.7/32;
}
family iso {
address 49.0002.7777.7777.7777.00;
}
}
}
}
protocols {
rsvp {
interface all;
}
mpls {
label-switched-path r7-r3 {
to 10.0.3.3;
}
interface all;
}
}
第19 页共22 页
VPN配置
Instance配置
# set routing-instances
设置一个新的instance,并且类型设置为VRF
set routing-instances
配置这个VRF中所使用的接口地址
set routing-instances
配置VPN的路由标识号
set routing-instances
配置vrf-target
set routing-instances
配置和CE之间所运行的路由协议
MBGP的配置
# set protocol bgp group
配置MBGP来支持VPN的数据传输,只需在BGP原来的配置中增加family inet-vpn unicast即可例:
group internal {
type internal;
local-address 10.0.9.7;
family inet-vpn {
unicast;
}
cluster 1.1.1.1;
neighbor 10.0.6.2;
neighbor 10.0.6.1;
neighbor 10.0.3.3;
neighbor 10.0.3.5;
neighbor 10.0.3.4;
第20 页共22 页
Juniper SRX路由器命令配置手册
Juniper SRX配置手册
目录 一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (3) 1.3 SRX主要配置内容 (4) 二、SRX防火墙配置对照说明 (5) 2.1 初始安装 (5) 2.1.1 登陆 (5) 2.1.2 设置root用户口令 (5) 2.1.3 设置远程登陆管理用户 (5) 2.1.4 远程管理SRX相关配置 (6) 2.2 Policy (6) 2.3 NAT (7) 2.3.1 Interface based NAT (7) 2.3.2 Pool based Source NAT (8) 2.3.3 Pool base destination NAT (9) 2.3.4 Pool base Static NAT (10) 2.4 IPSEC VPN (10) 2.5 Application and ALG (12) 2.6 JSRP (12) 三、SRX防火墙常规操作与维护 (14) 3.1 设备关机 (14) 3.2 设备重启 (15) 3.3 操作系统升级 (15) 3.4 密码恢复 (15) 3.5 常用监控维护命令 (16)
Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),exit命令退回上一级,top命令回到根级。 1.2 JunOS配置管理 JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate
juniper无线中文配置手册
Trapeze 无线网络交换机配置手册 (Version 1.0) 羿飞
目录 第1章登陆无线网络交换机 (4) 1.1登录无线网络交换机方法简介 (4) 1.2 通过Console口进行本地登陆 (4) 1.3 通过SSH2或Telnet进行登陆 (5) 1.4 通过web方式登录 (6) 第2章系统基本配置 (6) 2.1配置系统名 (6) 2.2配置系统时间 (7) 2.3配置系统IP地址 (7) 2.4配置缺省路由 (7) 2.5系统初始化配置 (8) 2.6无线网络交换机密码恢复 (8) 第3章系统升级 (9) 3.1 通过WEB方式升级 (10) 3.2 通过网管软件RingMaster升级 (10) 3.3 通过CLI命令行升级 (10) 第4章 Trapeze配置实例 (11) 4.1 最简单的公共区域接入—用户不需要口令 (11) 4.2 访客使用Web-Portal接入 (12) 4.3 基于MAC地址进行认证 (14) 4.4 不同的认证加密方式 (16) 4.4.1 无需密码和用户名口令 (16) 4.4.2 wep加密,无需用户名口令认证 (17) 4.4.3 WPA-tkip加密 (17) 4.4.4 WPA2-TKIP加密 (18) 4.4.5 Wpa+WPA2-tkip (18) 4.4.6 WPA-AES (18) 4.4.7 WPA2-AES (18)
4.4.8 无加密,web-portal认证 (19) 4.4.9 wpa-tkip,web-portal认证 (19) 4.4.10 802.1X认证,WPA-tkip (19) 4.4.11 MAC-local认证,无加密 (20) 4.4.12 MAC-LOCAL认证,wpa-tkip (20) 4.5对802.1x的支持 (20) 4.6非法AP检测/分类/防护 (24) 4.7 Intra-Switch 漫游 (25) 4.8 跨交换机漫游 (26) 4.9 有线用户认证 (30) 4.10本地交换 (32) 4.11 MESH和网桥 (33) 4.12自动黑洞覆盖 (35) 4.13控制器冗余支持 (36) 4.14负载均衡 (38) 4.15 同一台MX上跨vlan漫游 (39)
最新迈普路由器配置手册资料
第1章系统基础 本章主要讲述迈普路由器中MYPOWER-R系统的基本知识,包括MYPOWER-R系统模式、配置环境的准备及命令行接口的有关知识等。 本章主要内容: ●路由器配置方式 ●命令运行模式 ●搭建配置环境 ●命令行接口 ●路由器WEB配置 1.1路由器配置方式 迈普路由器为用户提供了四种典型的配置方式,分别是: ●通过console口,采用shell命令进行配置 ●通过336modem模块LINE口进行配置 ●通过Telnet远程登录到路由器上配置 ●通过SNMP网管系统对路由器进行配置 其中最后一种配置方式提供中英文的用户界面,主要用于用户监控网络的工作状态及收集系统统计信息。 本用户手册主要描述通过console口配置路由器的方法,通过336modem模块LINE口、Telnet远程登录配置路由器的方法与之类似,通过SNMP网管系统对路由器进行配置的细节详见路由器网管系统说明书。 1.2命令运行模式 迈普路由器MYPOWER-R 为系统命令的管理及执行专门提供了一个命令处理子系统,称之为shell,其主要功能包括: ●系统命令的注册 ●系统配置命令的用户编辑 ●用户输入命令(通过Console口或Telnet连接)的语法分析 ●系统命令的执行 用户通过shell命令配置路由器时,系统为命令的执行提供了多种运行模式,每种命令模式分别支持特定的MYPOWER-R 配置命令,从而达到分级保护系统的目的,确保系统不受未经授权的访问。 Shell子系统当前为配置命令的运行提供以下多种模式,不同的模式对应于不同的系统提示符,用以提示用户当前所处的系统模式。可能的一些模式如下: ●普通用户模式(user EXEC) ●特权用户模式(privileged EXEC) ●全局配置模式(global configuration) ●接口配置模式(interface configuration)
VMware-vSphere日常操作手册
# 虚拟化操作手册 (
目录 一、vsphere虚拟化管理 (3) 1) 虚拟化组成及介绍 (3) > 2) ESXi (3) 3) 登录vcenter (8) 4) 新建虚拟机 (9) 5) 虚拟机的开启、安装操作系统和关闭 (22) 6) 安装VMTOOLS (26) 7) 更改虚拟机CPU和内存配置 (27) 8) 增加虚拟机硬盘 (31) 9) 虚拟机增加网卡 (37) > 10) 新建portgroup (41) 11) 虚拟机在ESXI主机间迁移 (44) 12) 虚拟机在存储LUN间迁移 (47) 13) 克隆虚拟机 (49) 14) 倒换成模板 (52) 15) 模板倒换成虚拟机 (55) 16) 删除虚拟机 (58) 17) 对ESXi的物理主机关机维护操作 (59) ~ 三、P2V转换 (61) 1) 安装Converter Server (61) 2) 登录Converter Server client (63) 3) Linux P2V (63) 4) Windows P2V (69) & ?
一、vsphere虚拟化管理 1)* 2)虚拟化组成及介绍 Vsphere 包括vcenter和ESXI主机组成. 虚拟机运行在ESXI主机上。 ESXI系统安装在物理服务器上。 Venter是虚拟化的管理平台,它安装在一台虚拟机上。 3)ESXi 连接服务器,或者从HP服务器的iLo管理界面中,登录ESXi界面。¥
" 按F2,登录。
常用的操作就两块,网络和troubleshooting。 其中troubleshooting中的restart management agents选项,用在vcenter无法管理ESXi
迈普路由器常用show命令
1.查看配置命令:sh run 作用:查看路由器的配置 2.查看路由表ship route 作用查看路由器的路由表,如下 WANGHUA_DANDONGLU#ship route Codes: C - connected, S - static, R - RIP, O - OSPF, OE-OSPF External, M - Management D - Redirect, E - IRMP, EX - IRMP external, o - SNSP, B - BGP Gateway of last resort is 0.0.0.0 to network 0.0.0.0 S 0.0.0.0/0 [1/78125] is directly connected, 1138:18:02, serial0/0 C 21.38.249.4/30 is directly connected, 1138:18:02, serial0/0 C 21.38.250.32/28 is directly connected, 1138:18:36, fastethernet0 C 21.38.250.56/30 is directly connected, 1138:18:37, loopback0 C 22.38.250.32/28 is directly connected, 1138:18:36, fastethernet0 C 22.38.250.56/30 is directly connected, 1138:18:37, loopback1 C 127.0.0.0/8 is directly connected, 1138:18:46, lo0 C 21.38.249.5/32 is directly connected, 1138:18:02, serial0/0 3.简明接口信息查询ship interface brif 作用:查看各个接口的状态,这里可以看到接口的对应的ip,以及接口状态,up表示接口在使用并且链路正常。 LNFS2_WN_AR_01#sh ip interface brief Interface IP-Address Status Description gigaethernet0 21.0.225.10 UP LINK TO RG5750 lo0 127.0.0.1 UP gigaethernet2 unassigned DOWN gigaethernet3 unassigned DOWN switchethernet5/0 21.0.227.21 UP switchethernet5/2 21.0.227.25 UP serial4/0 21.0.224.34 DOWN TO ShenYang serial4/1 21.0.229.45 DOWN qingyuan serial4/2 21.0.229.49 DOWN to Xinbin serial4/3 unassigned DOWN null0 unassigned UP 4.查看内存使用情况:sh memory,会出现很多信息,重点查看总使用率如下总使用率为 20.32% STATISTICS ---------- Used bytes Free bytes Total bytes Used percent ---------- ---------- ----------- ------------ 54544868 213885452 268430320 20.32% 5.查看cpu使用率分为三步,第一打开监控cpu命令:spy cpu。第二步查看cpu情况命令: shcpu。第三步,查看完毕后关闭监控:no spy cpu。如下cpu空闲为100%
Juniper路由器安装和调测手册
Juniper T系列路由器安装和调测手册
目录
1. Juniper T系列路由器体系结构 Juniper T系列路由器包括T320、T640、TX Matrix三种型号,具体的参数见下表: 1.1. T320路由器 T320路由器设计用于机架空间有限但需要各种接口速率的地方。T320的大小只有标准19英寸设备机架的1/3,并使用更少的功耗来支持高效的小型核心应用。然而,与同类高端平台相比,T320路由器仍可提供无与伦比的密度,同时提供双倍功效。每个T320 路由器可支持多达16 个10-Gbps端口 (OC-192c/STM-64或10-Gbps千兆以太网),同时允许在同一个机箱中建立低至信道化时隙倍数的低速连接。T320 路由器的功耗低, -48VDC时只要求60 A,最高功率为2,880瓦特,在一般配置中甚至更低。 T320平台可提供320Gbps的吞吐量和385Mpps的转发速率,可通过在多个接口上实现大量特性来提供无阻塞的任意连接以及卓越性能。它的密度、速度和规模使其非常适合用于中小型核心以及接入路由器、对等及城域以太网应用等。 T320路由器与所有M-系列、J-系列和T-系列平台一样,都使用相同的JUNOS软件,并能够共享通用的PIC, 是T640路由节点的理想辅助产品,可更好地保护投资。 T320的前面板: T320的后面板: 1.2. T640路由节点 T640路由节点的大小为19英寸宽、半机架高,虽然这个尺寸比同类产品小许多,但却可满足高可扩展的高性能核心路由需求。T640路由节点可支持多达32个10-Gbps 端口、128个OC-48c/STM-16端口,以及320个业界领先的千兆以太网端口。T640路由
Juniper EX交换机系统恢复
1 交换机无法正常启动的解决办法 EX交换机在突然掉电或非正常关机的情况下,设备重新启动后,可能会出现一直卡着启动进程 或OS引导失败的场景,本文列出几种常见的模式及解决方法(注:本文档中提到的操作可能出 现设备原有配置丢失情况出现,另外,对于通过命令关机时,强烈建议等到所有进程都halt时 再对进行掉电操作)。 通常,交换机无法正常启动时,通过console输出为: 1.系统直接进入Loader模式,Loader Prompt ( loader >) ; 2.系统进入Debug模式,Debug Prompt (db>) ; 3.系统进入UBoot模式,UBoot Prompt (=>); 4.系统能正常启动,但各系统进程无法正常加载; 5.系统提示Can't load kernel error ; 2 系统直接进入Loader模式解决办法 方法一 TFTP方式恢复交换机 1.准备好TFTP服务器,然后把Junos安装文件上传至TFTP的root目录层次下; 2.用console连接交换机,并对设备进行加电; # When you see the "loading /boot/defaults/loader.conf" display hit ENTER. Then press [Enter] to boot immediately, or space bar for command prompt. Hit the space bar to enter the manual loader. The loader > prompt displays. (NOTE: There is a 1 second delay for hitting the space bar) (TIPS: you can hit space bar after you see "Loading /boot/defaults/loader.conf" message) 3.配置交换机的管理ip地址; loader> set ipaddr=192.168.100.2
日常运维操作手册汇总
《日常运维操作手册》 ? 一、查看硬盘可用容量 双击“我的电脑”打开资源管理器,右击我们将要查看的盘符。例如:我们要查看D盘,只需要在相关的D盘上右击―属性即可看到如下图1-1所示
图1-1 从上图1-1中可以看出D盘的己用空间为9.66GB,而可用空间仅为109MB。 二、监视系统资源 根据运维报告指示,一般需要对服务器的处理器(CPU)、内存、网卡及IIS等在系统运行过程中表现的性能状况进行监测。 监测指标分析 I D 计数器名称说明 1 %Processor T ime 指处理器执行非闲置线程时间的百分比;通俗一点讲就是CPU使用率。计数器会自动记录当前所有进程的处理器时间。 2 Page/sec 指为解析硬页错误从磁盘读取或写入磁盘的页数(是P ages Input/sec和Pages Output/sec 的总和)。 3 Network Inter face Bytes To tal/sec为发送和接收字节的速率,包括帧字符在内。判定网络连接是否存在瓶颈。 4Current Co nnections 检测WEB服务的用户连接情况。 1.建立性能监测后台运行计数器 1)打开开始-程序-管理工具-性能,找到“性能日志和警报”下的“计数器日志”。
新建一个计数器,右击右边空白区域“新建”,如下图2-1所示. 图2-1 2)在新建计数器日志的名称输入容易理解的名称,如:新性能。下图2-2所示. 图2-2 3)输入计数器名称后,可进入如下图2-3所示图面。其中计数器的日志内容会 在默认情况下记录到“C:\PerfLogs\新性能_000001.blg”下(文件名称的定义后面有详细说明并且可定制)。
迈普路由器产品手册
迈普路由器产品手册文件管理序列号:[K8UY-K9IO69-O6M243-OL889-F88688]
目录
一、迈普路由器产品系列 1MP8800系列万兆核心路由器 1.1产品概述 MP8800系列路由器是迈普通信技术股份有限公司自主研发的,全球第一款采用众核技术的路由器,是基于对行业用户业务应用的充分调研和深刻理解而推出的一款跨时代的万兆级高端骨干核心路由器。MP8800基于先进的众核设计理念,采用分布式处理架构,充分考虑云网络针对业务、内容的数据处理特点,可实现客户业务的开放化和业务的云端化。通过迈普特有的多线程专利处理技术和先进的众核处理器硬件,实现高速的IPv4/IPv6、MPLS转发,整机的包转发性能高达800Mpps,强大的转发性能和丰富的业务特性全面满足用户各种组网应用的需求。 MP8800系列路由器作为一种多用途的高端骨干核心路由器主要应用于IP骨干网、IP城域网以及各种大型IP网络的核心和汇聚位置。MP8800路由器的强大转发性能和丰富的业务能力能够全面满足用户多种组网应用需求,可与迈普全系列路由器一起为运营商、金融、政府、能源、交通、教育、军队等行业用户和大中型企业用户提供整网解决方案。 1.2产品特征 全球领先的众核技术,丰富的业务支持能力
MP8800系列万兆核心路由器采用业界领先的众核处理器,是全球第一款众核高端路由器。它基于先进的众核设计理念,充分考虑云网络针对业务、内容的数据处理特点,实现客户业务的开放化和业务的云端化。支持用户程序独立占有CPU核组,可独立计算,独立完成自定义的业务功能,并实现云端业务,防病毒,邮件过滤,安全准入控制等应用。 线速转发能力,支持可扩展的交换容量 采用先进的分布式处理架构,集中式控制,分布式处理,充分保证每个槽位的线速处理能力,系统具有优越的可扩展性。通过迈普特有的多线程专利处理技术和众核处理器,保障多个处理内核之间数据转发和负载均衡,实现高速的IPv4/IPv6、MPLS 转发。 丰富的业务接口卡,满足各种组网需要 MP8800采用一体化结构,并支持高性能的众核处理器,可以提供10GE,GE, 2.5G/622M/155M的POS、CPOS,ATM,E1等接口卡,丰富的多业务板卡提供多种增值业务,充分满足用户的各种组网需求。 强大的IPv4/IPv6路由支持能力 MP8800支持多种大型动态路由协议,如RIP/RIPng、OSPFv2/v3、IS-ISv4/v6、BGP4/BGP4+等,路由能力强大,适合Internet骨干网应用;同时支持IPv4/IPv6双协议栈,支持各种应用场景的IPv4/IPv6过渡机制,如手工配置隧道、自动6To4隧道和6PE等。 完善的QoS和业务支持能力 MP8800支持层次化的QOS(H-QoS),基于硬件的带宽限制,支持PQ、CBWFQ、LLQ、WRED等多种拥塞管理和拥塞避免算法,为业务的开展提供完善的QoS机制;支持静态组播和各种动态组播路由协议,可控组播、负荷分担、流量统计等功能。
Juniper 防火墙策略路由配置
Juniper 防火墙策略路由配置 一、网络拓扑图 要求: 1、默认路由走电信; 2、源地址为192.168.1.10 的pc 访问电信1.0.0.0/8 的地址,走电信,访问互联网走网通; 二、建立extended acl 1、选择network---routing---pbr---extended acl list,点击new 添加:
Extended acl id:acl 编号Sequence No.:条目编号源地址:192.168.1.10/32 目的地址:1.0.0.0/8 Protocol:选择为any 端口号选择为:1-65535 点击ok:
2、点击add seg No.再建立一条同样的acl,但protocol 为icmp,否则在trace route 的时候仍然后走默认路由:
3、建立目的地址为0.0.0.0 的acl: 切记添加一条协议为icmp 的acl; 命令行: set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocol
(完整版)JUNIPER_EX3200交换机配置
JUNIPER EX3200交换机配置 1 Ex3200开机指导 开机后: login: root Last login: Fri Jan 17 22:21:55 on ttyd0 --- JUNOS 7.2R3.3 built 2002-03-23 02:44:36 UTC Terminal type? [vt100]
New password: Retype new password: 2.2 添加系统用户 命令: set system login user juniper uid 2000 <-设置用户名为juniper用户id为2000 set system login user juniper class super-user <-设置juniper用户为超级用户 set system login user juniper authentication plain-text-password <-设置juniper用户的密码 2.3 设置主机名 命令: set system host-name M7i_GZ <-设置主机名为M7i_GZ 2.4 开启系统telnet服务 命令: set system services telnet 说明:系统默认是没有打开telnet功能的,只有打开telnet服务之后才能从网络上登陆到路由器。 2.5 设置交换机地址 命令: Edit system Set name-server 192.168.17.225 Commit 删除: Edit system Delete name-server 192.168.17.225
Microsoft Office日常基本操作手册
Microsoft Office 日常基本操作手册
Office办公软件操作手册 第一部分Word文字处理软件 第1讲Word 概述 第一节 Microsoft Office办公软件概述 一.Office办公软件的功能: Microsoft Office是微软公司开发的办公自动化软件,可帮助我们更好地完成日常办公和公司业务。Office办公软件是电脑最基础的一个软件。小到做一个通知,大到编辑出版一本书,都可以用Office办公软件来处理。 二.简叙Offfice发展史及组成: Office办公软件的发展经历了Office 97 , Office 98, Office 2000, Office XP、2003、2007等几代,这一软件组成从功能、操作、处理及界面风格等多方面均有了明显的进步。我们今天要讲述的Office 2003,功能强大,外观漂亮,而且使用方便。 三.Office套装软件由7个软件组成: Microsoft Word 2003(文字处理应用软件)、 Microsoft Excel 2003(电子表格应用软件)、 Microsoft Outlook 2003(邮件及信息管理软件)、 Microsoft PowerPoint 2003(幻灯片演示软件)、 Microsoft Access 2003(数据库应用软件)、 Microsoft FrontPage 2002(网站管理应用软件)、 Microsoft Share point Team Services(群组作业网站)。 第二节 Word概述 一.启动Word及界面认识 (1)启动Word
迈普路由器配置手册 系统基础
InfoExpress IOS InfoExpress l l l l 1.1 l console shell l 56/336modem LINE l Telnet l SNMP console 56/336modem LINE Telnet SNMP 1.2 InfoExpress IOS shell l l l Console Telnet l shell
InfoExpress IOS Shell l user EXEC l privileged EXEC l global configuration l interface configuration l router configuration l file system configuration l access list configuration l voice-port configuration l dial-peer configuration l crypto transform-set configuration l crypto map configuration l IKE isakmp configuration l pubkey-chain configuration l pubkey-key configuration l DHCP dhcp configuration 1-1 1-1 InfoExpress Lo en co in ro um
IP phone E1 filesystem router(config-fs)# exit ip access-list router(config-std-nacl)# cl)# voice-port ro rt) dial-peer router(config-dial-peer )# exit V oIP POTS crypto ipsec transform-set router(cfg-crypto-trans )# exit crypto map router(cfg-crypto-map) # exit IKE crypto isakmp router(config-isakmp)# crypto key pubkey-chain rsa router(config-pubkey-c hain)# exit RSA
juniper交换机维护操作
juniper交换机维护操作 1.1 交换机启动和关闭 1.1.1 重新启动 1. 使用具有足够权限的用户名和密码登陆CLI命令行界面。 2. 在提示符下输入下面的命令: user@ex4200> request system reboot 3. 等待console设备的输出,确认交换机软件已经重新启动。 1.1.2 关闭 1. 使用具有足够权限的用户名和密码登陆CLI命令行界面。 2. 在提示符下输入下面的命令: user@ex4200> request system halt The operating system has halted. Please press any key to reboot 3. 等待console设备的出现上面的输出,确认交换机软件已经停止运行。 4. 关闭机箱背后电源模块电源。 警告:在关闭交换机电源之前必须先利用命令关闭交换机 1.2 配置备份和恢复 1.2.1 配置备份 在完成安装调试之后,可以将配置文件进行备份。备份有两种方式,一种是通过ftp备份到PC机上;另外一种是保存在交换机上(交换机默认保存50份配置文件)。
FTP备份方式 下面是通过FTP备份的操作步骤: lab@EX4200> show configuration | save EX4200CONFIG.txt Wrote 169 lines of output to 'EX4200CONFIG.txt' lab@EX4200> lab@EX4200> ftp 10.0.0.132 Connected to 10.0.0.132. 220 EX4200 FTP server (Version 6.00LS) ready. Name (10.0.0.132:zte): zte 331 Password required for zte. Password: 230 User zte logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp>asc 200 Type set to A. ftp> put EX4200CONFIG.txt local: EX4200CONFIG.txt remote: EX4200CONFIG.txt 200 PORT command successful. 150 Opening ASCII mode data connection for ' EX4200CONFIG.txt. ' 100% |********************** ***********************************| 3751 226 Transfer complete.
HACMP日常操作手册
HACMP日常操作手 册
HACMP操作手册 强制方式停掉 HACMP: HACMP 的停止分为 3 种,graceful(正常),takeover(手工切换),force(强制)。 下面的维护工作,很多时候需要强制停掉 HACMP 来进行,此时资源组不会释放,这样做的好处是,由于 IP 地址、文件系统等等没有任何影响,只是停掉 HACMP 本身,因此应用服务能够继续提供,实现了在线检查和变更 HACMP 的目的。 一般所有节点都要进行这样操作。 强制停掉后的 HACMP 启动 : 在修改 HACMP 的配置后,大多数情况下需要重新申请资源启动,这样才能使 HACMP 的配置重新生效。
日常检查及处理 为了更好地维护 HACMP,平时的检查和处理是必不可少的。下面提供的检查和处理方法除非特别说明,均是不用停机,而只需停止应用即可进行,不影响用户使用。不过具体实施前需要仔细检查状态,再予以实施。 clverify 检查 这个检查能够对包括 LVM 的绝大多数 HACMP 的配置同步状态,是 HACMP 检查是否同步的主要方式。 smitty clverify->Verify HACMP Configuration 回车即可
经过检查,结果应是 OK。如果发现不一致,需要区别对待。对于非 LVM 的报错,大多数情况下不用停止应用,能够用以下步骤解决: 1.先利用强制方式停止 HACMP 服务。 同样停止 host2 的 HACMP 服务。 1.只检查出的问题进行修正和同步: smitty hacmp ->Extended Configuration->Extended Verification and Synchronization 这时由于已停止 HACMP 服务,能够包括”自动修正和强制同步“。对于 LVM 的报错,一般是由于未使用 HACMP 的 C-SPOC 功能,单边修改文件系统、lv、VG 造成的,会造成 VG 的 timestamp 不一致。这种情况即使手工在另一边修正(一般由于应用在使用,也不能这样做),如何选取自动修正的同步,也依然会报 failed。此时只能停掉应用,经过整理 VG 来解决。 cldump 检查: cldump 的监测为将当前 HACMP 的状态快照,确认显示为 UP,STABLE。
迈普路由器配置
从路由器的console口登陆 router>enable ------------------------------进入特权模式 router#configure terminal------------------------进入配套模式 router(config)#interfacefastethernet1----------------进入快速以太网口FA0 router(config-if-fastethernet0)#ipaddress 222.222.222.222 255.255.255.0-------------配置公网IP router(config-if-fastethernet0)# ip nat outside------------------把端口设为NA T外网口 router(config-if-fastethernet0)#int switchethernet0 --------------------进入第二个以太网口SW0 router(config-if-switchethernet0)#ip address 192.168.1.1 255.255.255.0------------------配置内网IP router(config-if-switchethernet0)# ip natinside------------------把端口设为NAT内网口 router(config-if-switchethernet0)# vlan 1---------------------端口属于VLAN1 router(config-if-switchethernet0)#exit---------------------------退出接口配置模式 vlan 1 description default port 0-7 untagged exit router(config)#ip access-list standard 1000--------配置标准访问列表 router(config-std-acl)#10 permit192.168.1.00.0.0.255-----只允许192.168.1.0网段的所有电脑router(config-std-acl)#exit ----------------------退出访问列表配置模式 router(config)#ipnat insidesource list 1000 interface fastethernet1-------配置内网与公网地址映射,把访问例表1000允许的内网地址转换成公网地址。 router(config)#ip router 0.0.0.0 0.0.0.0 fastethernet0------配置默认路由方式之一。该方式避免了默认路由的修改,可远程修改用户公网地址。 router(config)#ip router 0.0.0.0 0.0.0.0 222.222.222.1-----配置默认路由方式之一。该方式需修改默认路由的下一跳地址,无法远程修改用户公网地址。 router(config)#ip dhcp pool dhcpserver ---------------------------创建一个DHCP功能 router (dhcp-config)#range 192.168.1.100 192.168.1.200 255.255.255.0-----DHCP地址池 router (dhcp-config)#dns-server 211.138.151.161 211.138.145.194-----设置DNS router (dhcp-config)#default-router 192.168.1.1------DHCP与内网网关绑定。 router (dhcp-config)#exit router(config)#ip nat inside source static tcp 192.168.1.100 80 222.222.222.222 80-----映射HTTP 服务器端口,服务器IP为192.168.1.100 router(config)# user f privilege 15 password 0f-----配置用户和密码,权限等15,为最高router(config)# service password-encryption --------给配置的用户名密码加密 router(config)#end-------------返回特权模式, User guomaitech (帐号) privilege 15 passward 0 guomaitech123(密码)创建账号密码 Line vty 0 3 Login local Exit router#write----------------保存当前配置
juniper路由器配置
juniper路由器配置 一.路由器网络服务安全配置: 默认情况下,系统启动了许多无用服务,这些服务在占用系统资源的同时也造成一定的安全隐患,应该在尽可能的情况下停止或限制这些服务 1. SNMP服务 使用如下命令来停止SNMP服务: setsystemprocessessnmpdisable 使用如下命令来设置SNMP通讯字符串:setsnmpcommunitymysnmpauthorizationread-only 使用如下命令来在接口上设备SNMP通讯字符串: setsnmpinterfacefxp0communitymysnmp 使用如下命令来在接口上禁止SNMP服务trap: setinterfacesfxp0unit0trapsdisable 使用如下命令来限制SNMP的访问客户端:setsnmpcommunitymysnmpclients192.168.0.0/24 setsnmpcommunitymysnmpclients0.0.0.0/0restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务 2.停止接口广播转发: 广播转发容易造成smurf攻击,因此应该使用如下命令停止: setsystemno-redirects 接口级别停止广播转发使用如下命令: setinterfacesfxp0unit0familyinetno-redirects 3.停止dhcp-relay服务,dhcp-relay服务用于在不同网段使用同一个dhcp 服务器,如果没有使用,则应该使用如下命令停止: setsystemdhcp-relaydisable 4.禁止IGMP服务,IGMP服务如果在没有使用的情况下应该使用如下命令禁止:setprotocolsigmpinterfacealldisable 5.禁止PIM服务(?),PIM服务如果在没有使用的情况下应该使用如下命令禁止: setprotocolspimdisable 6.禁止SAP服务(?),SAP服务如果在没有使用的情况下应该使用如下命令禁止: setprotocolssapdisable 7.禁止IPSourceRouting源路由 setchassisno-source-route 二.路由器登录控制: 1.设置系统登录Banner: setsystemloginmessageWarning:ifyouNOTauthorizedtoaccessthissystem,dis connectNOW! 2.设置登录超时时间: 默认情况下,系统登录没有登录超时时间限制,应该将登录超时时间设置为15分钟: setcliidle-timeout15