JUNIPER路由器中常用命令總結
前些日子認真看了一下Juniper路由器的一些命令。在這裡總結一下。方便以後使用
Juniper路由器的命令主要分為兩個部分,一個是operational,主要是複雜檢視目前網路的配置情況(只能檢視,不能修改。感覺許可權比較低);另一個是configuration,主要用來檢視和修改配置(感覺許可權高一些)。剛進入到Juniper路由器時,預設進入的是operation,輸入edit命令之後,就進入到了[edit]目錄下,也就是進入了configuration。
基礎配置命令(如未說明則在[edit]目錄下)
1、配置主機名字:set system host-name router1
2、配置域名: set system domain-name mynetwork.com
3、配置fxp0介面(乙太網中通過這個介面進行路由器的配置)。Set interfaces fxp0 unit 0 family inet address 192.168.15.1/24
4、配置備份路由器:set system backup-router 192.168.15.2
5、配置DNS伺服器:set system name-server 192.168.15.3
6、配置root使用者的密碼:set system root-authentication plain-text-password(密碼中不可以全是大寫、全是小寫、全是數字)
7、設定ntp伺服器: set system ntp server 192.168.2.2
8、提交修改:commit
9、檢視提交是否合法: commit check
10、在當天特定時間進行提交 commit at 22:45
11、在特定日期的特定時間提交: commit at “2005-02-26 10:45”
12、取消commit的操作 clear system commit
13、為了避擴音交帶來意外的損害採用:commit confirmed,會在10分鐘以後自動回滾
14、與14相同,但在一分鐘以後自動回滾:commit confirmed 1
15、提交資訊,並同步到備份路由器上: commit synchronize
配置服務:
1、設定ssh服務:set system services ssh
2、配置ftp服務: set system services ftp
3、刪除ftp服務: delete system services ftp
許可權設定:
1、設定root使用者ssh登入的密碼 :set system root-authentication ssh password
2、禁止root使用者使用ssh登入:[edit system ] set services ssh root-login deny
3、設定密碼要求:[edit system login] set password maximun-length 20 set password minimum-length 8 set password minimum-changes 2
4、設定密碼加密演算法:set system login password formate md5
5、檢視自己的許可權,以及可以設定的許可權: show cli authorization
進入與退出命令:
1、Edit
2、修改root的配置:configure
3、避免多人修改導致設定丟失採用 configure exclusive
4、檢視目前修改區域有誰線上:[edit]status(只能看見比你先登入的人,後面登入的資訊看不見)
5、強制要求別人下線:request system logout user mike
6、進入到根目錄 top
7、退出configuration 模組:quit
8、退出configuration模組:exit configuration-mode
9、提交併退出:commit and-quit
10、退出當前目錄:exit
11、進入到某目錄 edit 目錄名字
檢視命令:
1、檢視當前目錄地下的設定 [edit]show
2、檢視你設定的命令 show | display set
3、檢視你新增的命令 show | compare(+表示你增加的命令,-表示你刪除的命令。這個命令要求根目錄下進行,否則輸入 top show | compare)
4、檢視本次commit的所有資訊:commit | display detail 如果失敗了會顯示失敗的原因
5、檢視每次commit的資訊:show system commit
6、檢視本次與回滾版本的區別:show | compare rollback 1(0表示當前版本)
8、檢視使用者資訊:> show system login
9、檢視當前機器的時間資訊:show system uptime
10、檢視當前所有線上使用者 : >show system users
11、顯示硬體資訊:>show chassis hardware detail
12、顯示所有驅動的資訊: > show system storage
13、顯示驅動資訊並進行篩選:>show system storage | except /dev/vn >show system storage | match ad
14、檢視軟體版本> show version >show version detail
15、顯示正在跑的程式:>show system processes
16、檢視RE資訊:> show chassis routing-engine
17、檢視配置的策略:> show configuration policy-options
18、檢視指定日誌檔案 show log policy-trace-log
命令解釋:
1、設定命令解釋:例如你先set area 0.0.0.0 interface fe-0/0/0 為了要說明area表示的是什麼意思,可以再 annotate area 0.0.0.0 “backone router”(class的型別看文件p114~P115)
2、為commit進行備註:Commit comment “turned on telnet”
新增與刪除使用者:
1、新增超級使用者:set system login user qxy class superuser
Set system login user qxy authentication plain-text-password 輸入新的密碼
Commit
2、刪除 delete system login user qxy
3、建立一般使用者:[edit system login]set user name class operator set user name full-name “full name” set user name uid 1991 set user name authentication plain-text-password
回滾版本與備份:
1、回滾到前一個版本 rollback 1
2、檢視所有可以回滾的版本: rollback ?
3、設定某一版本為絕對安全版本> request system configuration rescue save 或者#run request system configuration rescue save(這個版本只有一個,如果再執行這個命令,就會把原來的覆蓋掉)
4、返回到rescue版本:rollback rescue
5、刪除rescue回滾版本 >request system configuration rescue delete
6、備份檔案系統中的檔案:>request system snapshot
7、還原通過快照備份的檔案系統: >request system software reboot media disk
8、當master失效時,切換備份作為master: [edit chassis redundancy]set graceful-switchover enable
9、設定備份與master : [edit chassis] set redundancy routing-engine 0 backup set redundancy routing-engine 1 master commit synchronize
10、撤銷備份設定:> delete chassis redundancy
路由器策略和防火牆攔截器
1、建立一個策略。名字叫做send-statics 屬於term1 匹配的條件是protocol static:
Set policy-options policy-statement send-statics term 1 from protocol static
2、為上面建立的策略設定操作:
Set policy-options policy-statement send-statics term 1 then accept
3、將ospf協議傳入
Set protocols ospf export send-statics
(匹配和操作的列表在文件的p324-p325p327,如果要設定多個條件,可以進入到該statement目錄下,使用set from ...命令進行設定 )
4、檢視配置的策略:
show policy
5、如果你想讓某個策略實施在某個部分:
set group external-group import from-my-customers
6、設定fileter(指定ip字首):
[edit policy-options] set prefix-list PREFIX-LIST-1 10.10.0.1/24
set prefix-list PREFIX-LIST-1 10.10.0.0/16
[edit policy options policy-statement addresses-to-reject]
set term 1 from prefix-list PREFIX-LIST-1
set term 1 then reject
[edit protocols bgp]
set group external-group import addresses-to-reject
7、設定filter(最長字首匹配):
[edit policy-options policy-statement long-prefix term 1]
set from route-filter 172.18.20.0/19 longer
[edit protocols bgp]
set then reject
8、filter 可選引數
Longer表示最長匹配;
orlonger表示最長匹配或者精確匹配 ;
0.0.0.0/0 upto /7表示匹配0.0.0.0/0,0.0.0.0/1直到0.0.0.0/7;
0.0.0.0/0 prefix-length-range /25-/30匹配0.0.0.0/25到0.0.0.0/30 ;172.10.20.0/24 exact表示精確匹配
9、快速設定方法:
set from route-filter 0.0.0.0/0 upto/7 accept
10、設定路由策略鏈:
(方法1)set export [block-private remove-communities send-statics]
(方法2)set then local-preference 300
Set then community set 65500:123456
Set then next policy(這樣匹配的的包就會跳進下一個策略)
11、建立策略跟蹤檔案
[edit policy-options policy-statement outbound-policy term 1]
Set then trace
[edit routing-options]
Set traceoptions file policy-trace-log size 10m files 10
Set traceoptions flag policy
12、設定防火牆:(具體引數選擇看p341)
[edit firewall filter incoming-to-me term restrict-telnet-ssh]
Set from protocol tcp
Set from destination-port ssh
Set from source-address 159.226.101.80/32
Set then accept
[edit interfaces]
Set fe-0/0/0 unit 0 family inet filter input incoming-to-me(inet表示是ipv4)
13、設定除此之外的配置
Set term testrict-ssh from source-address 10.10.10.1/32 except
Set from protocol-except tcp
14、更改term的位置(也適用於fillter,防火牆的位置是至關重要的)
Insert term restricp-bgp before term testrict-ssh
15、統計接受的資料包
[edit firewall filter incoming-to-me]
Set term final-accept then count incoming-accepted
Set term final-accept then accept
16、檢視接受資料包的統計情況
>show firewall filter incoming-to-me
17、將包的情況傳遞給日誌檔案
Set term final-accept then log
檢視日誌檔案
> show firewall log
18、限速
[edit firewall]
Set policer limit-icmp if-exceeding bandwidth-limit 1m
Set policer limit-icmp if-exceeding burst-size-limit 50k
Set policer limit0icmp then discard
[edit firewall filer incoming-to-me]
Set term icmp then policer limit-icmp