第一次配置juniper

浙江电力信息数据网Juniper路由器配置手册Juniper Networks, Inc.2009-4-13目录路由器开箱启动软硬件检测...................... 错误!未定义书签。

SYSTEM基本配置............................... 错误!未定义书签。

设置系统名称及时区........................... 错误!未定义书签。

设置帐号密码 ................................ 错误!未定义书签。

用户级别定义 ................................ 错误!未定义书签。

设置系统登录 ................................ 错误!未定义书签。

S YSLOG设置................................... 错误!未定义书签。

G ROUP配置.................................... 错误!未定义书签。

C HASSIS配置 .................................. 错误!未定义书签。

S YSTEM下的应用配置........................... 错误!未定义书签。

INTERFACE配置................................ 错误!未定义书签。

路由协议配置配置 ............................. 错误!未定义书签。

OSPF协议配置................................ 错误!未定义书签。

Ospf基本配置 .............................. 错误!未定义书签。

OSPF邻居间认证配置......................... 错误!未定义书签。

路由重发布................................. 错误!未定义书签。

Trapeze 无线网络交换机配置手册（Version 1.0）羿飞目录第1章登陆无线网络交换机 (4)1.1登录无线网络交换机方法简介 (4)1.2 通过Console口进行本地登陆 (4)1.3 通过SSH2或Telnet进行登陆 (5)1.4 通过web方式登录 (6)第2章系统基本配置 (6)2.1配置系统名 (6)2.2配置系统时间 (7)2.3配置系统IP地址 (7)2.4配置缺省路由 (7)2.5系统初始化配置 (8)2.6无线网络交换机密码恢复 (8)第3章系统升级 (9)3.1 通过WEB方式升级 (10)3.2 通过网管软件RingMaster升级 (10)3.3 通过CLI命令行升级 (10)第4章 Trapeze配置实例 (11)4.1 最简单的公共区域接入—用户不需要口令 (11)4.2 访客使用Web-Portal接入 (12)4.3 基于MAC地址进行认证 (14)4.4 不同的认证加密方式 (16)4.4.1 无需密码和用户名口令 (16)4.4.2 wep加密，无需用户名口令认证 (17)4.4.3 WPA-tkip加密 (17)4.4.4 WPA2-TKIP加密 (18)4.4.5 Wpa+WPA2-tkip (18)4.4.6 WPA-AES (18)4.4.7 WPA2-AES (18)4.4.8 无加密，web-portal认证 (19)4.4.9 wpa-tkip，web-portal认证 (19)4.4.10 802.1X认证，WPA-tkip (19)4.4.11 MAC-local认证，无加密 (20)4.4.12 MAC-LOCAL认证，wpa-tkip (20)4.5对802.1x的支持 (20)4.6非法AP检测/分类/防护 (24)4.7 Intra-Switch 漫游 (25)4.8 跨交换机漫游 (26)4.9 有线用户认证 (30)4.10本地交换 (32)4.11 MESH和网桥 (33)4.12自动黑洞覆盖 (35)4.13控制器冗余支持 (36)4.14负载均衡 (38)4.15 同一台MX上跨vlan漫游 (39)第1章登陆无线网络交换机1.1登录无线网络交换机方法简介无线网络交换机的登陆，可以通过以下几种方式实现：通过 Console口进行本地登陆；通过以太网端口利用 SSH2进行本地或远程登陆；通过以太网端口利用 Telnet进行本地或远程登陆。

Trapeze无线网络交换机配置手册羿飞目录第1章登陆无线网络交换机登录无线网络交换机方法简介无线网络交换机的登陆,可以通过以下几种方式实现：通过Console口进行本地登陆；通过以太网端口利用SSH2进行本地或远程登陆；通过以太网端口利用Telnet进行本地或远程登陆;通过以太网端口利用web方式进行本地或远程登陆通过Console口进行本地登陆通过无线网络交换机Console口进行本地登陆是登陆无线控制器的最基本的方式,也是配置通过其他方式登陆无线网络交换机的基础;用户终端的通信参数配置要和无线网络交换机Console口的配置保持一致,才能通过Console口登陆到无线网络交换机上;无线网络交换机Console口的缺省配置如下：波特率设置为9600bit/s数据位为8无奇偶效验位停止位为1无数据流控制如下图所示：正确连接之后,敲回车键,就会出现“MXR-2-9792C0>”的登陆界面其中：MXR-2为无线网络交换机的型号,9792C0为该无线网络交换机序列号的后6位;在出现上面登陆界面时输入“enable”后,屏幕提示要求输入密码,交换机默认是密码为空,直接回车就会进入交换机的特权配置模式,屏幕出示为“MXR-2-9792C0”通过SSH2或Telnet进行登陆无线网络交换机支持SSH2和Telnet功能,管理员可通过SSH2或Telnet的方式对无线网络交换机进行远程管理和维护;SSH2在缺省情况下是开启,而Telnet缺省情况下是关闭的,因此在进行Telnet 管理之前需要先将无线网络交换机的Telnet功能打开,命令为：setiptelnetserverenable想要通过SSH2和Telnet功能远程管理维护无线网络交换机,管理员必须先为”admin”账号配置密码或建立新的管理账号,命令如下：setuser username passwordencrypted stringsetuseradminpasswordXXXX通过web方式登录用户名为admin,密码为enablepassword缺省为空第2章系统基本配置配置系统名用户设置设备的名称;设备的名称对应于命令行接口的提示符,如设备的名称为Sysname,则CLI的提示符为Sysname;配置系统名的命令：setsystemname string例子：配置系统名为MX-20MXsetsystemnameMX-20MX-20配置系统时间1.设置时区命令：settimezone zone-name{-hoursminutes}例子：设置为北京时间MX-20settimezoneBJ80Timezoneissetto'BJ',offsetfromUTCis8:0hours.2.设置时间命令：settimedate{date mmmddyyyy timehh:mm:ss}例子：MXsettimedatedatefeb292004time23:58:00Timenowis:SunFeb292004,23:58:02PST配置系统IP地址系统IP地址是AP启动过程中,无线网络交换机和AP之间相互通信的IP地址;AP正常注册工作后,无线网络交换机也需要通过该IP地址发报文,以保证跟AP维持正常的通信;命令：setsystemip-address ip-addr例子：MXsetsystemip-address配置缺省路由缺省路由用作跨网段访问无线网络交换机;命令：setiproutedefault ip-addr例子：MXsetiproutedefault1系统初始化配置在enable模式中输入quickstart可以清除已有配置;MX-8quickstartn:y''forhelp.^CtobreakoutSystemNameMX-8:CountryCodeUS:CN设置国家代码SystemIPaddress:设置MX系统管理IPSystemIPaddressnetmask:设置子网掩码Defaultroute:设置网关n:EnableWebviewy:Adminusernameadmin:Adminpasswordmandatory:如果不设密码,此处先按空格键,再按回车键设置密码为空Enablepasswordoptional:Doyouwishtosetthetime y:nDoyouwishtoconfigurewireless y:nsuccess:createdkeypairforsshsuccess:Type"saveconfig"tosavetheconfigurationMX-8无线网络交换机密码恢复在重启交换机的过程中,进入boot模式后,输入“bootOPT+=default”然后重启,可以实现交换机密码恢复;在此时,迅速按下q和ENTER键,会出现：Boot>输入bootOPT+=defaultBoot>bootOPT+=defaul tBoot>reset自动重启即可;第3章系统升级MSS升级方式有三种方式：1通过web方式升级；2通过RingMaster升级；3通过命令行升级升级之前一定要详细阅读文档,如不能直接从直接升级到;通过WEB方式升级1.IE访问MX的IP2.Maintain-UpdateSystemSoftware通过网管软件RingMaster升级1.菜单栏Devices右下角“DevicesOperations”2.下面添加MSS：“ImageRepository”—“Addimage”3.安装新MSS：“ImageInstall”通过CLI命令行升级此方法请详细阅读文档先在自己电脑上打开一个tftpserver,添加准备安装的MSS版本;然后在MX上配置：：setbootpartitionboot0MXdir会包含如下内容,打表示正在使用的bootBoot:FilenameSizeCreatedboot0:,16:01:08boot1:,15:58:56第4章Trapeze配置实例最简单的公共区域接入—用户不需要口令配置脚本setiproutedefault1设置网关setsystemnameMXR-2设置系统名称setsystemip-address设置系统IPsetsystemcountrycodeCN 设置国家代码settimezonePRC80设置时区setservice-profilepublicssid-namepublic建立一个SSID为public的service-profile setservice-profilepublicssid-typeclear该SSID不加密setservice-profilepublicauth-fallthrulast-resort该SSID无需认证setservice-profilepublicattrvlan-namedefault指定缺省的AAA属性setuseradminpasswordencrypted0005170b0d55设置无线认证用户setradio-profiledefaultservice-profilepublic将service-profile与无线射频进行关联setapautomodeenable将APauto打开,允许ap自动upsetap9998serial-idmodelMP-620设置APsetap9998radio1modeenable启动AP的gsetap9998radio2modeenable启动AP的setiphttpsserverenable开启web访问服务setportpoe2enable开启将MXR-2的端口2的PoE功能setsecurityl2-restrictvlan1modeenablepermit-mac00:1a:70:d4:90:0f可选命令,二层隔离,只允许client访问网关00:1a:70:d4:90:0f为网关的MAC地址setinterface1ip设置vlan1的interfaceIPsetinterface1ipdhcp-serverenablestartstopprimary-dnsdefault-router开启vlan1的DHCPserver访客使用Web-Portal接入配置脚本setiproutedefault1设置缺省路由setsystemnameTrapeze设置系统名称setsystemip-address设置系统IPsetsystemcountrycodeCN设置国家代码settimezonecnt80设置时区setservice-profilemacssid-namemac设置ssid名称为macsetservice-profilemacssid-typeclear ssid不加密setservice-profilemaccipher-tkipenablesetservice-profilemacauth-dot1xdisable关闭认证setservice-profilemacattrvlan-namedefault将该ssid与defaultvlan关联setauthenticationmacssidmaclocal mac认证用户来自本地setmac-user00:11:22:33:44:55创建本地mac认证用户setradio-profiledefaultservice-profiletest将service-profile与无线射频关联setapautomodeenable开启ap自动上线模式setap30serial-idmodelMP-422新建一个apsetap30radio1modeenable开启ap30的gsetap30radio2modeenable开启ap30的setportpoe1enable开启所有poe端口的poe功能setportpoe2enablesetportpoe3enablesetportpoe4enablesetportpoe5enablesetportpoe6enablesetvlan1port1端口所属的vlansetvlan1port2setvlan1port3setvlan1port4setvlan1port5setvlan1port6setvlan1port7setvlan1port8setinterface1ip设置vlan1的interfaceipsetinterface1ipdhcp-serverenablestartstopprimary-dnssecondary-dnsdefault-router 开启MX上的dhcpserver不同的认证加密方式无需密码和用户名口令setiproutedefault1设置网关setsystemnameMXR-2设置系统名称setsystemip-address设置系统IPsetsystemcountrycodeCN 设置国家代码settimezonePRC80设置时区setservice-profileopenssid-nameopen建立一个SSID为open的service-profilesetservice-profileopenssid-typeclear该SSID不加密setservice-profileopenauth-fallthrulast-resort该SSID无需认证setservice-profileopenattrvlan-namedefault指定缺省的AAA属性setuseradminpasswordencrypted0005170b0d55设置无线认证用户setradio-profiledefaultservice-profileopen将service-profile与无线射频进行关联setapautomodeenable将APauto打开,允许ap自动upsetap9998serial-idmodelMP-620设置APsetap9998radio1modeenable启动AP的gsetap9998radio2modeenable启动AP的setiphttpsserverenable开启web访问服务setportpoe2enable开启将MXR-2的端口2的PoE功能setsecurityl2-restrictvlan1modeenablepermit-mac00:1a:70:d4:90:0f可选命令,二层隔离,只允许client访问网关00:1a:70:d4:90:0f为网关的MAC地址setinterface1ip设置vlan1的interfaceIPsetinterface1ipdhcp-serverenablestartstopprimary-dnsdefault-router开启vlan1的DHCPserver加密,无需用户名口令认证setservice-profileOpenssid-nameopensetservice-profileOpenauth-fallthrulast-resortsetservice-profileOpenwepkey-index1keysetservice-profileOpenwepkey-index2keyabcdefghijsetservice-profileOpencipher-tkipenablesetservice-profileOpenauth-dot1xdisablesetservice-profileOpenattrvlan-namedefault加密setservice-profileOpenssid-nameopensetservice-profileOpenauth-fallthrulast-resortsetservice-profileOpencipher-tkipenable使用外部Radius,并配置了ACL以及动态/静态WEP的配置,计费settraceaaamsglevel5setiproutedefault1setsystemnameMXR-2setsystemip-addresssetsystemcountrycodeCNsettimezonePRC80setservice-profiletestssid-nametestsetservice-profiletestauth-fallthruweb-portalsetservice-profiletestwepkey-index1keyaabbccddeesetservice-profiletestweb-portal-aclportalaclsetservice-profiletestweb-portal-logoutmodeenablesetservice-profiletestattrvlan-namedefault setradiusserverlinuxaddressencrypted-key151e02021132 setservergroupradiusmemberslinuxsetenablepasspassword167adb2ad14f82b99db98877c704d093b7b9 setauthenticationdot1xssidtestpass-throughradius setauthenticationwebssidtestradius setuseradminpasswordencrypted03055f060f01setradio-profiledefaultservice-profiletest setapautomodeenablesetap8serial-idmodelMP-372setap8fingerprintd2:c1:10:12:d5:34:a2:16:ff:40:02:40:8d:3b:fa:f5 setap8radio1modeenablesetiphttpsserverenablesetportpoe2enablesetvlan1port1setvlan1port2setvlan2namevlan2setvlan2port1tag2setinterface1ipsetinterface1ipdhcp-serverenableprimary-dnsdefault-router setinterface2ipsetinterface2ipdhcp-serverenableprimary-dnsdefault-router setsecurityaclipportalaclpermitudpeq68eq67 setsecurityaclipportalacldenycapture commitsecurityaclportalaclsetsecurityaclipacl-88permithitscommitsecurityaclacl-88setsecurityaclipacl-99permitsetsecurityaclipacl-99permitsetsecurityaclipacl-99permitipsetsecurityaclipacl-99permitipsetsecurityaclipacl-99denyipsetsecurityaclipacl-99permitcommitsecurityaclacl-99EAPOff-load并计费到Radius,使用MXR-2showconfigConfigurationnvgen'dat2006-2-0716:29:02ImageModelMXR-2Lastchangeoccurredat2006-2-0716:25:10 settraceaaamsglevel5setiproutedefault1setsystemnameMXR-2setsystemip-addresssetsystemcountrycodeCNsettimezonePRC80setservice-profiletestssid-nametestsetservice-profiletestauth-fallthruweb-portalsetservice-profiletestwepkey-index1keyaabbccddee setservice-profiletestweb-portal-aclportalaclsetservice-profiletestweb-portal-logoutmodeenable setservice-profiletestattrvlan-namedefault setradiusserverlinuxaddresskeylinux setradiusserverwinaddresskeywinradius setservergroupradiusmemberslinuxsetservergroupradius-winmemberswin setenablepasspasswordenalbesetaccountingdot1xssidteststart-stopradius-win缺省时自动启动Channel的RF-Auto,需要手动打开power自动调整;命令如,需要增加如下MX-8setradio-profiledefaultauto-tunepower-configenable success:changeacceptedMX-8setporttypeap4modelmp-71poeen1.15无线用户接入到MP263 ,MX的信息如下：1AP状态信息显示2用户会话信息显示2.用命令将MP263的Radio1关闭,无线用户将漫游到MP386; 1AP状态信息显示2用户会话信息显示。

第一次配置juniper-SSG140(2010-04-27 10:10:43)、简述环境：1.双ISP，两个服务器6.6和6.8对外开放17991端口2.trust-vr和untrust-vr同在，zone untrust被修改到untrust-vr中3.6.6 VIP 180的地址，6.8 MIP 221的地址，应用源路由其实东西也不多，不过没配过的我开始真不知道如何配置juniper的地址转换set clock ntpset clock timezone 8set clock dst recurring start-weekday 2 0 3 02:00 end-weekday 1 0 11 02:00 set vrouter trust-vr sharableset vrouter "untrust-vr"exitset vrouter "trust-vr"unset auto-route-exportexit------------------------------------------------------------------------------若防火墙里没有你所用的服务就自己加吧-------------------------------------------------------------------------------------------------set service "17991" protocol tcp src-port 0-65535 dst-port 17991-17991 set service "3389" protocol tcp src-port 0-65535 dst-port 3389-3389 set alg appleichat enableunset alg appleichat re-assembly enableset alg sctp enableset auth-server "Local" id 0set auth-server "Local" server-name "Local"set auth default auth server "Local"set auth radius accounting port 1646set admin name "netscreen"set admin password "nJqNNxrLGyrLc0lEtsCBqfDtDMA/Pn"set admin user "hongyuan" password "nNnfG0rrJIWDcc8EysvMuSCt+LBiDn" privilege "all"-----------------------------------------------------------------------------------------如果要添加管理ip，别忘了添加内部网段地址，第一次我只加了远端的公网地址，导致内部要配置却进不去，只能console了。

Juniper操作手册防火墙设备样式与接口简介：所选用Juniper设备正面为9个网口（AUX，CONSOLE，0/0，0/1，0/2，0/3，0/4，0/5，0/6）我们需要用到的网口主要为：0/0与0/1两者之一，0/2、0/3、0/4、0/5与0/6四者之一。

（注明：0/0与0/1为接外网网口，如：10.195.56.5；0/2、0/3、0/4、0/5与0/6为接内网网口，如：192.168.0.5）。

对防火墙进行初步配置：首先将防火墙通上电，设备约有一分钟的启动时间。

将外网网线接到口0/0或者0/1(本次配置选用0/1口)，将内网某一台PC与防火墙内网接口之一相连（本次配置选用0/2。

该PC主要用于来配置，可以是内网中任一PC）。

在内网PC上：首先通过运行进行测试，以确定防火墙已启动（Ping 命令成功即可, 若设备为出厂新设备，默认内网IP为：192.168.0.1.若已配置过，内网IP需资询相关技术人员。

），下图所示：确定设备与内网PC（即用于配置防火墙的PC）连接正常后。

打开IE，输入防火墙内网IP：192.168.0.1Admin Name: netscreen. Password: netscreen登陆成功界面如上图所示（IE主要分为左右两部分，配置之初，右侧参数可不必在意）：据网络要求，我们对防火墙配置主要分为六部分。

主要配置过程：一、内网、外网接口配置由路径Network>Interfaces(list)（所见参数部分说明：在下图所示界面上，主要操作包括内网_Trust、外网_Untrust接口配置。

此处需要注意Untrust所对应的接口：ethemet0/0或ethemet0/1 up。

）a)内网接口配置Trust对应内网，点击其对应的Edit，进入内网配置界面。

上图红线标示处需注意。

参数设置Zone Name : TrustStatic Ip:IP Adress/Netmask: 内网IP（通常设为内网网关地址）“/”后为子网掩码Manage IP 若无特殊要求，一般与“IP Adress/Netmask”相同Interface Mode : NATManagement Services(此项根据需要):推荐->WEB UI TELNET PING内网接口配置完成，OK 。