Juniper T系列路由器安装和调测手册
目录
1. Juniper T系列路由器体系结构
Juniper T系列路由器包括T320、T640、TX Matrix三种型号,具体的参数见下表:
1.1. T320路由器
T320路由器设计用于机架空间有限但需要各种接口速率的地方。T320的大小只有标准19英寸设备机架的1/3,并使用更少的功耗来支持高效的小型核心应用。然而,与同类高端平台相比,T320路由器仍可提供无与伦比的密度,同时提供双倍功效。每个T320 路由器可支持多达16 个10-Gbps端口 (OC-192c/STM-64或10-Gbps千兆以太网),同时允许在同一个机箱中建立低至信道化时隙倍数的低速连接。T320 路由器的功耗低,
-48VDC时只要求60 A,最高功率为2,880瓦特,在一般配置中甚至更低。
T320平台可提供320Gbps的吞吐量和385Mpps的转发速率,可通过在多个接口上实现大量特性来提供无阻塞的任意连接以及卓越性能。它的密度、速度和规模使其非常适合用于中小型核心以及接入路由器、对等及城域以太网应用等。
T320路由器与所有M-系列、J-系列和T-系列平台一样,都使用相同的JUNOS软件,并能够共享通用的PIC, 是T640路由节点的理想辅助产品,可更好地保护投资。
T320的前面板:
T320的后面板:
1.2. T640路由节点
T640路由节点的大小为19英寸宽、半机架高,虽然这个尺寸比同类产品小许多,但却可满足高可扩展的高性能核心路由需求。T640路由节点可支持多达32个10-Gbps
端口、128个OC-48c/STM-16端口,以及320个业界领先的千兆以太网端口。T640路由
节点可提供高达640 Gbps的容量,转发速率高达770Mpps。T640也可以为希望将高速核心路由与专用接入汇聚结合在单一平台中的客户提供低速接口。每个插槽现能够处理40 Gbps的吞吐量并能够很好地扩展,从而能够满足当前和未来高带宽业务的需求。
Juniper网络公司创新的Matrix技术可通过光纤来扩展交换结构,实现双向连接,提供640 Gbps的前端面板吞吐量和 Tbps的后端面板吞吐量,支持可扩展、无阻碍的任意间连接,并能够运行在独立的机箱中或多机箱的路由矩阵部署中。这些可扩展的配置可延长设备使用寿命并进一步降低前期购置成本。
前面板为:
后面板为:
1.3. TX Matrix平台
TX Matrix平台是T-系列产品家族的最新成员,实现了多兆兆位规模的承诺。TX Matrix 是重要的交换和路由组件,可互连4个T640路由节点,构成名为路由矩阵配置的单一路由实体。 TX Matrix平台的设计杜绝了单点故障,并采用了与所有M-系列、J-系列和T-系列平台同样的系统设计和强劲的JUNOS软件,可实现最高级别的系统可用性。TX Matrix 平台和T640路由节点结合在一起,可创建功能强大、特性丰富的核心解决方案,转发速率达3Bpps。TX Matrix平台从一开始就提供业界最丰富的特性和业务集。
1.4. 关键部件介绍
T320、T640平台和TX Matrix平台的关键组件包括PIC、灵活的PIC集中器(FPC)、SIB、ASIC、路由引擎及控制板。
?高密度的PIC可提供全面的光纤和电传输接口来连接网络。
?灵活的PIC集中器(FPC),用于装载数据包转发引擎并提供PIC插槽。新推出的T-系列"增强型FPC" 提供以前FPC版本的全部特性,还提供更多的SRAM内存,以提供更多的扩展优势和更细粒度的CoS功能。
?FPC分三类,需要哪类FPC取决于所需的PIC。
?第1类FPC在T320和T640中的速率分别是2Gbps和4Gbps全双工。这个FPC支持可同时用于M40e、M160和M320路由器中的PIC。
?第2类FPC在T320和T640中的速率分别是8Gbps和16Gbps全双工。这个FPC支持可同时用于M40e、M160和M320平台中的PIC。
?第3类FPC在T320和T640平台中的速率分别是20Gbps和40 Gbps全双工。
这种FPC支持可同时用于T320和T640平台的更高容量的PIC(10 Gbps或
更高)。
?交换和互连板(SIB),装载着交换结构硅元件[tl],并在FPC之间提供任意间连接。T-系列设计用于提供高故障恢复功能,每个T640或TX Matrix机箱带四个主用SIB和一个备用SIB,每个T320机箱带两个主用SIB和一个备用SIB。每个T-系列平台都设计用于在多个SIB故障时(这种情况比较罕见)平滑降级。
?特性丰富的可编程ASIC为进行数据包处理提供了一个全面的、基于硬件的系统。
为保证无阻塞转发路径,ASIC间的所有通道都是超容量设计的专用路径。
?SCG时钟生成器
?路由引擎维护着路由表,同时控制着路由协议、用于控制平台接口的JUNOS软件程序、机箱组件、系统管理和用户对平台的访问。
?控制板与路由引擎一起提供控制及监控功能,如电源、温度、风扇和系统复位等。
1.5. 路由器体系结构
从功能上看,Juniper 路由器分为两大部分:路由引擎(routing engine)和包转发引擎(Packet Forwarding Engines)。两部分通过1条100M网线互联(因此要注意不要太多ping loopback地址)。
路由引擎主要负责3层路由服务和网络管理。包转发引擎是基于ASIC芯片的结构,主要负责2层和3层数据包交换、路由查询、包转发。
路由引擎是基于Intel平台,在其上运行JunOS。JunOS是采用Unix的体系结构,底层是kernel,其余的模块运行于独立的保护内存空间,一个模块出现问题不至于影响其余的模块;可以单独对每个模块进行重启或升级。
路由引擎和交换引擎之间交换数据的过程如下:
路由引擎负责生成转发表,并定时与包转发引擎同步。
1.6. Junos的升级
1.6.1. 升级软件
1、JUNOS软件包含很多软件包,可以分别升级
a)jkernel-操作系统
b)jroute-路由引擎软件
c)jpfe-包转发引擎软件
d)jbundle-所有的三个软件包
2、下列是软件包的名字举例:
3、每个包可以个别的单独升级
4、CLI命令模式下使用show system software显示安装的软件信息
a)是主版本号
b)number是release号码
c)Z是大写字母
i.A-Alpha
ii.B-Beta
iii.R-Release
iv.I-Internal
1.6.2备份已存在的软件
系统软件和配置可以备份到硬盘中,最好在稳定的时候进行
使用request system snapshot命令备份软件到/altroot和/altconfig 文件系统中,通常情况下,root文件系统/备份到/altroot中,/config备份到/altconfig中。Root 和config都在flash驱动器中,备份的都在硬盘中。
1.6.3 升级所有的软件包
(1)d ownload下软件包
(2)备份当前配置和文件系统
user@host> request system snapshot
(3)删除旧的软件包安装新的软件包
user@host> request system software add /var/tmp/jbundle-package-name
(4)重新启动路由器:user@host> request system reboot
1.6.5 JunOS ——> or JunOS ——>
1、从5.0 升级到,使用 Jinstall 。其后,可以使用Jbundle进行升级或
降级
注意,不能使用Jbundle从升级到
(1)d ownload下软件包
(2)删除旧的软件包安装新的软件包
user@host> request system software add /var/tmp/jinstall-package-name
(3)重新启动路由器:user@host> request system reboot
(4)硬盘重新分区:request system partition hard-disk
(5)系统重启:request system reboot
2、从降到,使用的Jbundle
升级方法同正常的升级,不需要重新分区
1.6.6 升级过程显示
1、软件升级
2、系统重启
user@host>request system reboot
3、重启后确认
user@host>show version
4、升级时建议先升级备份的RE
2.T系列路由器的安装
2.1 环境要求
1、T320的环境要求
2、T640的环境要求
2.2 电源要求
1、T320接线图示
每个电源1组线,共2组线;加1根地线。
2、T640接线图示
每个电源2组线,共4组线;另加1根地线。
2.3 其余需要注意的地方
1、Juniper路由器较长,因此在安装过程中,如果想关上前门,就必须将机框内的立柱
后移;但这样肯定关不上后门了。
2、Juniper设备随机都带电源的铜鼻子,在安装过程中需要找到。
3、在开箱时,资料盒中有一块FLASH卡,要收起来,交给局方。
4、在安装过程,可以将电源模块和一些板卡拆下,以利于搬迁。
3.Juniper路由器初始化配置和协议配置
3.1 初始用户和初始状态:
1、通过console口连接到juniper路由器时,初始出现提示:login:
2、系统的缺省用户是root,没有口令。
3、进去后是unix shell命令行提示%,键入cli进入CLI模式
Juniper命令行有两种模式:unix shell和CLI模式。Unix shell模式可以使用unix 命令,cli模式类似与cisco的命令行模式。在CLI模式下键入start shell 可进入shell模式。
3.2 命令行简介
1、用户认证使用用户名和口令,root用户只能在console口使用。
2、show命令和cisco的show很相似,可以提供可用命令的提示。JUNOS本
身是一个UNIX操作系统,CLI模式只是其中的一个shell,在UNIX模式
下输入cli可以进入CLI模式下。
3、输入命令的前几个字母,如果以这几个字母开头的命令唯一,按空格可以
将命令补全,否则显示所有可用命令。
4、一屏显示不完的结果,按空格显示下一屏幕,b返回上一屏幕,d卷动一
半屏幕,回车逐行显示,/string 搜索指定字符串,n重复搜索字符串,q
返回CLI模式,h显示help。
5、输入configure进入配置模式,修改完毕后要输入commit激活配置,而
不像cisco的修改是立即有效的。
6、使用edit命令进入每一级配置,使用set、rename、insert命令设置、
修改、插入下一级属性。使用show显示当前级一下的配置,commit激活
配置,rollback恢复配置,使用delete删除配置,显示其它当前正在配
置路由器的用户使用status命令。
7、在配置模式下,要使用普通模式下的命令,要在命令前面使用run
3.3 初始化配置
1、root密码出厂时没有被配置
必须使用console配置root密码使用configure进入配置模式,使用root@#set system root-authentication plain-text-password设置root密码
2、增加用户
Root用户不能远程登陆,必须建立其它用户
root@#set system login user username class superuser authentication plain-text-password
缺省有一些class,可以自己定义
3、配置路由器名和域名root@#set
system host-name lab2 root@#set system
domain-name root@#commit
4、管理接口的IP地址root@#set
interfaces fxp0 unit 0 family inet address ipaddress/prefix-length
Fxp0是一个带外管理口
5、缺省路由IP地址
root@#set system backup-router gateway-address root@#set routing-options static route default nexthop gateway-address retain no-readvertise
6、DNS服务器的IP地址
root@#set system name-server ns-address
7、设置ntp server
root@#set system ntp server ip_address
8、设置telnet server服务和ftp server服务
root@#set system services ftp
root@#set system services telnet
缺省是ftp和telnet都打开,可以将ftp关掉
root@#delete system services ftp
9、设置syslog服务,日志可以写给终端、文件、syslog server
system {
syslog {
user * {
any emergency;
}
host {
any warning;
facility-override local7;
}
file messages {
any notice;
authorization info;
interactive-commands any;
}
file warn {
any info;
}
}
}
10、设置snmp
snmp {
community keepalive {
authorization read-only;
}
community public {
authorization read-only;
}
trap-group 49 {
categories chassis;
targets {
;
}
}
}
3.4 端口配置
3.4.1 物理端口
1)需要注意的选项为:
Clocking
Scrmbling
FCS (Frame check sequence)
MTU (Maximum transmission unit)
Keepalives
2)标准配置语句:
interfaces {
interface-name {
clocking clock-source;
dce;
disable;
description text;
encapsulation type;
hold-time up milliseconds down milliseconds;
link-mode mode;
mac mac-address;
mtu bytes;
no-keepalives;
no-traps;
receive-bucket {
overflow (tag | discard);
rate percentage;
threshold number;
}
speed (10m | 100m);
transmit-bucket {
overflow (tag | discard);
rate percentage;
threshold number;
}
}
}
默认值:
端口处为PPP封装
MTU默认为4474,最大为9192
默认为打开Keepalives
时钟默认为internal
FCS默认为16-bit checksum
Payload Scrambling默认为打开
3)SONET/SDH配置:
[edit interfaces so-fpc/pic/port]
sonet-options {
bytes {
e1-quiet value;
}
fcs (32 | 16);
loopback (local | remote);
path-trace trace-string;
(payload-scrambler | no-payload-scrambler);
rfc-2615;
(z0-increment | no-z0-increment);
}
4)FastEthernet与GE配置:
FastEthernet口:
[edit interfaces interface-name]
link-mode (full-duplex | half-duplex)
fastether-options {
(loopback | no-loopback);
source-address-filter {
mac-address;
}
(source-filtering | no-source-filtering);
}
GE口:
[edit interfaces interface-name]
gigether-options {
flow-control;
(loopback | no-loopback);
source-address-filter {
mac-address;
}
(source-filtering | no-source-filtering);
}
加入 VLAN标志:
[edit interfaces interface-name]
vlan-tagging;
5)E1接口:
[edit interfaces interface-name]
e1-options {
fcs (32 | 16);
framing (g704 | unframed);
idle-cycle-flag (flags | ones);
loopback (local | remote);
start-end-flag (shared | filler);
timeslots slot-number;
}
3.4.2逻辑端口
1)需要注意的选项为:
端口上的封装协议
地址(IP地址,ISO NET地址)
VC (VCI/VPI,DLCI)
2)配置语句(含FrameRelay):
[edit interfaces interface-name]
unit logical-unit-number {
disable;
dlci dlci-identifier;
encapsulation type;
inverse-arp;
multicast-dlci dlci-identifier;
multicast-vci ;
multipoint;
tunnel {
source address;
destination address;
ttl number;
}
vci ;
vlan-id number;
}
3)在端口处可配置的逻辑地址可按关键词family分为:
inet: IP 地址
iso: ISO CLNP地址
mpls: MPLS流量工程
在一个逻辑端口可按unit起用多个协议族
配置语句为:set interface XXX unit XX family inet address .1/24
3.4.3 端口配置示例
3.4.3.1 查看命令
user@host> show interfaces descriptions
Interface Admin Link Description
so-0/0/0 up up
so-0/1/0 up up
so-0/2/0 up up
so-0/3/0 up up
Interface Admin Link Proto Local Remote so-0/0/0 up up
iso
mpls
so-0/1/0 up up
iso
so-4/2/0 up up
so-4/2/0
so-4/3/0 up up
so-4/3/0
iso
mpls
so-5/0/0 up up
iso
at-6/1/0 up up
at-6/1/0
ge-6/2/0 up up
ge-6/2/0
ge-6/3/0 up up
ge-6/3/0
so-7/0/0 up up
iso
dsc up up
fxp0 up up
fxp1 up up
up up tnp 4
fxp2 up up
up up tnp 4
gre up up
ipip up up
lo0 up up
lsi up up
mtun up up
pimd up up
pime up up
tap up up
3.4.3.2.sdh端口
配置:
interfaces {
so-0/0/0 {
description
unit 0 {
family inet {
address /30;
}
family iso;
family mpls;
}
}
so-0/3/0 {
description
encapsulation cisco-hdlc;
sonet-options {
fcs 32;
payload-scrambler;
}
unit 0 {
family inet {
address /30;
}
}
}
}
状态显示:
user@host> show interfaces so-0/3/0 extensive
Physical interface: so-0/3/0, Enabled, Physical link is Up
Interface index: 20, SNMP ifIndex: 93, Generation: 86
Description:
Link-level type: Cisco-HDLC, MTU: 4474, Clocking: Internal, SONET mode, Speed: OC48, Loopback: None, FCS: 32,
Payload scrambler: Enabled
Device flags : Present Running
Interface flags: Point-To-Point SNMP-Traps
Link flags : Keepalives
Hold-times : Up 0 ms, Down 0 ms
Keepalive settings: Interval 10 seconds, Up-count 1, Down-count 3
Keepalive statistics:
Input : 758506 (last seen 00:00:09 ago)
Output: 814868 (last sent 00:00:04 ago)
Last flapped : 2004-11-26 02:46:22 CST (3w0d 08:53 ago)
Statistics last cleared: 2004-08-21 00:27:18 CST (16w6d 11:12 ago)
Traffic statistics:
Input errors:
Errors: 1874750, Drops: 56643, Framing errors: 28112, Runts: 41525,
Giants: 1833225, Bucket drops: 0, Policed discards: 126543,
L3 incompletes: 4, L2 channel errors: 0, L2 mismatch timeouts: 0, HS link
CRC errors: 0, HS link FIFO overflows: 56643
Output errors:
Carrier transitions: 13, Errors: 0, Drops: 0, Aged packets: 0, HS link
FIFO underflows: 0
Queue counters: Queued packets Transmitted packets Dropped
packets
1 expedited-fo 0 0 0
2 assured-forw 0 0 0
SONET alarms : None
SONET defects : None
SONET PHY: Seconds Count State
PLL Lock 0 0 OK
PHY Light 2109893 1 OK
SONET section:
BIP-B1 8 15922
SEF 2109894 1 OK
LOS 2109894 1 OK
LOF 2109894 1 OK
ES-S 2109902
SES-S 2109897
SEFS-S 2109894
SONET line:
BIP-B2 3 4608
REI-L 12 2342755
RDI-L 52 3 OK
AIS-L 2639297 5 OK
BERR-SF 0 0 OK
BERR-SD 2 1 OK
ES-L 2639300
SES-L 2639297
UAS-L 2639247
ES-LFE 64
SES-LFE 64
UAS-LFE 28
SONET path:
BIP-B3 0 0
REI-P 12 273550
LOP-P 0 0 OK
AIS-P 2639300 8 OK
RDI-P 54 4 OK
UNEQ-P 0 0 OK
PLM-P 1 1 OK
ES-P 2639300
SES-P 2639300
UAS-P 2639247
ES-PFE 64
SES-PFE 64
UAS-PFE 28
Received SONET overhead:
F1 : 0x00, J0 : 0x00, K1 : 0x00, K2 : 0x00
S1 : 0x00, C2 : 0x16, C2(cmp) : 0x16, F2 : 0x00
Z3 : 0x00, Z4 : 0x00, S1(cmp) : 0x00, V5 : 0x00
V5(cmp) : 0x00
Transmitted SONET overhead:
F1 : 0x00, J0 : 0x01, K1 : 0x00, K2 : 0x00
S1 : 0x00, C2 : 0xcf, F2 : 0x00, Z3 : 0x00
Z4 : 0x00, V5 : 0x00
Received path trace:
Host name : rtr2-a-1-sh
Interface : POS5/0
72 74 72 32 2d 61 2d 31 2d 73 68 00 00 00 00 00 rtr2-a-1-sh.....
00 00 00 00 00 00 00 00 50 4f 53 35 2f 30 00 00 ........POS5/0..
32 32 39 00 00 00 30 30 30 30 30 38 30 30 0d 0a 229...00000800..
Transmitted path trace: r2-a-zjhz-1 so-0/3/0
72 32 2d 61 2d 7a 6a 68 7a 2d 31 20 73 6f 2d 30 r2-a-zjhz-1 so-0
2f 33 2f 30 00 00 00 00 00 00 00 00 00 00 00 00 /3/0............
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
HDLC configuration:
Policing bucket: Disabled
Shaping bucket : Disabled
Giant threshold: 4486, Runt threshold: 5
Packet Forwarding Engine configuration:
Destination slot: 0, PLP byte: 1 (0x00)
CoS transmit queue Bandwidth Buffer Priority Limit
% bps % bytes
Logical interface so-0/3/ (Index 34) (SNMP ifIndex 97) (Generation 103) Flags: Point-To-Point SNMP-Traps Encapsulation: Cisco-HDLC Protocol inet, MTU: 4470, Generation: 238, Route table: 0
Flags: None
Addresses, Flags: Is-Preferred Is-Primary
3.4.3.3 GE端口示例
1、端口配置
Interface {
ge-4/1/5 {
description to_beijing6509_1_6/1;
vlan-tagging;
mtu 1530;
unit 8 {
vlan-id 8;
family inet {
mtu 1500;
address /30;
}
}
unit 1072 {
description beijing_10720;
vlan-id 1072;
family inet {
J u n i p e r S A基本配置手 册
Juniper SA 基本配置手册 联强国际-李铭 2009 年10 月 第一章Juniper SA 配置步骤、名词解释 (2) 第二章初始化、基本配置 (4) Console下进行初始化配 置 ......................................................................... (4) Web中管理员身份登 录......................................................................... (6) 基本配置............................................................................. ..........................................7 第三章认证服务器的配置............................................................................. 11 第四章用户角色的配置(Role) ........................................................................ ......................13 第五章用户区域的配置(Realm) ........................................................................ ...................16 第六章资源访问策略的配置(resource policy)..................................................................19 第七章用户登陆的配置(sign in policy) ........................................................................ ...23 第八章SAM的应用与配置............................................................................. .. (26) 功能SAM介 绍:........................................................................ (26) WSAM-Client Applications应用范 例 (26) WSAM Destinations 应用范 例......................................................................... (31) JSAM应用范 例......................................................................... (34)
JUNIPER 防火墙快速安装手册 目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置:STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置:STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)
Juniper SRX配置手册
目录 一、JUNOS操作系统介绍 (3) 1.1 层次化配置结构 (3) 1.2 JunOS配置管理 (3) 1.3 SRX主要配置内容 (4) 二、SRX防火墙配置对照说明 (5) 2.1 初始安装 (5) 2.1.1 登陆 (5) 2.1.2 设置root用户口令 (5) 2.1.3 设置远程登陆管理用户 (5) 2.1.4 远程管理SRX相关配置 (6) 2.2 Policy (6) 2.3 NAT (7) 2.3.1 Interface based NAT (7) 2.3.2 Pool based Source NAT (8) 2.3.3 Pool base destination NAT (9) 2.3.4 Pool base Static NAT (10) 2.4 IPSEC VPN (10) 2.5 Application and ALG (12) 2.6 JSRP (12) 三、SRX防火墙常规操作与维护 (14) 3.1 设备关机 (14) 3.2 设备重启 (15) 3.3 操作系统升级 (15) 3.4 密码恢复 (15) 3.5 常用监控维护命令 (16)
Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。 本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。 一、JUNOS操作系统介绍 1.1 层次化配置结构 JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),exit命令退回上一级,top命令回到根级。 1.2 JunOS配置管理 JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate
Trapeze 无线网络交换机配置手册 (Version 1.0) 羿飞
目录 第1章登陆无线网络交换机 (4) 1.1登录无线网络交换机方法简介 (4) 1.2 通过Console口进行本地登陆 (4) 1.3 通过SSH2或Telnet进行登陆 (5) 1.4 通过web方式登录 (6) 第2章系统基本配置 (6) 2.1配置系统名 (6) 2.2配置系统时间 (7) 2.3配置系统IP地址 (7) 2.4配置缺省路由 (7) 2.5系统初始化配置 (8) 2.6无线网络交换机密码恢复 (8) 第3章系统升级 (9) 3.1 通过WEB方式升级 (10) 3.2 通过网管软件RingMaster升级 (10) 3.3 通过CLI命令行升级 (10) 第4章 Trapeze配置实例 (11) 4.1 最简单的公共区域接入—用户不需要口令 (11) 4.2 访客使用Web-Portal接入 (12) 4.3 基于MAC地址进行认证 (14) 4.4 不同的认证加密方式 (16) 4.4.1 无需密码和用户名口令 (16) 4.4.2 wep加密,无需用户名口令认证 (17) 4.4.3 WPA-tkip加密 (17) 4.4.4 WPA2-TKIP加密 (18) 4.4.5 Wpa+WPA2-tkip (18) 4.4.6 WPA-AES (18) 4.4.7 WPA2-AES (18)
4.4.8 无加密,web-portal认证 (19) 4.4.9 wpa-tkip,web-portal认证 (19) 4.4.10 802.1X认证,WPA-tkip (19) 4.4.11 MAC-local认证,无加密 (20) 4.4.12 MAC-LOCAL认证,wpa-tkip (20) 4.5对802.1x的支持 (20) 4.6非法AP检测/分类/防护 (24) 4.7 Intra-Switch 漫游 (25) 4.8 跨交换机漫游 (26) 4.9 有线用户认证 (30) 4.10本地交换 (32) 4.11 MESH和网桥 (33) 4.12自动黑洞覆盖 (35) 4.13控制器冗余支持 (36) 4.14负载均衡 (38) 4.15 同一台MX上跨vlan漫游 (39)
Juniper SRX防火墙基本配置手册
1SRX防火墙的PPPoE拔号配置 Juniper SRX防火墙支持PPPoE拔号,这样防火墙能够连接ADSL链路,提供给内网用户访问网络的需求。 配置拓扑如下所示: Juniper SRX240防火墙 在Juniper SRX防火墙上面设置ADSL PPPoE拔号,可以在WEB界面或者命令行下面查看PPPoE拔号接口pp0,在命令行下面的查看命令如下所示: juniper@HaoPeng# run show interfaces terse | match pp Interface Admin Link Proto Local Remote pp0 up up 在WEB界面下,也能够看到PPPoE的拔号接口pp0 配置步聚如下所示: 第一步:选择接口ge-0/0/4作为PPPoE拔号接口的物理接口,将接口封装成PPPoE To configure PPPoE encapsulation on an Ethernet interface: juniper@HaoPeng# set interfaces ge-0/0/4 unit 0 encapsulation ppp-over-ether 第二步:配置PPPoE接口PP0.0的参数 To create a PPPoE interface and configure PPPoE options: user@host# set interfaces pp0 unit 0 pppoe-options underlying-interface ge-0/0/4.0 auto-reconnect 100 idle-timeout 100 client
Juniper T系列路由器安装和调测手册
目录
1. Juniper T系列路由器体系结构 Juniper T系列路由器包括T320、T640、TX Matrix三种型号,具体的参数见下表: 1.1. T320路由器 T320路由器设计用于机架空间有限但需要各种接口速率的地方。T320的大小只有标准19英寸设备机架的1/3,并使用更少的功耗来支持高效的小型核心应用。然而,与同类高端平台相比,T320路由器仍可提供无与伦比的密度,同时提供双倍功效。每个T320 路由器可支持多达16 个10-Gbps端口 (OC-192c/STM-64或10-Gbps千兆以太网),同时允许在同一个机箱中建立低至信道化时隙倍数的低速连接。T320 路由器的功耗低, -48VDC时只要求60 A,最高功率为2,880瓦特,在一般配置中甚至更低。 T320平台可提供320Gbps的吞吐量和385Mpps的转发速率,可通过在多个接口上实现大量特性来提供无阻塞的任意连接以及卓越性能。它的密度、速度和规模使其非常适合用于中小型核心以及接入路由器、对等及城域以太网应用等。 T320路由器与所有M-系列、J-系列和T-系列平台一样,都使用相同的JUNOS软件,并能够共享通用的PIC, 是T640路由节点的理想辅助产品,可更好地保护投资。 T320的前面板: T320的后面板: 1.2. T640路由节点 T640路由节点的大小为19英寸宽、半机架高,虽然这个尺寸比同类产品小许多,但却可满足高可扩展的高性能核心路由需求。T640路由节点可支持多达32个10-Gbps 端口、128个OC-48c/STM-16端口,以及320个业界领先的千兆以太网端口。T640路由
1 交换机无法正常启动的解决办法 EX交换机在突然掉电或非正常关机的情况下,设备重新启动后,可能会出现一直卡着启动进程 或OS引导失败的场景,本文列出几种常见的模式及解决方法(注:本文档中提到的操作可能出 现设备原有配置丢失情况出现,另外,对于通过命令关机时,强烈建议等到所有进程都halt时 再对进行掉电操作)。 通常,交换机无法正常启动时,通过console输出为: 1.系统直接进入Loader模式,Loader Prompt ( loader >) ; 2.系统进入Debug模式,Debug Prompt (db>) ; 3.系统进入UBoot模式,UBoot Prompt (=>); 4.系统能正常启动,但各系统进程无法正常加载; 5.系统提示Can't load kernel error ; 2 系统直接进入Loader模式解决办法 方法一 TFTP方式恢复交换机 1.准备好TFTP服务器,然后把Junos安装文件上传至TFTP的root目录层次下; 2.用console连接交换机,并对设备进行加电; # When you see the "loading /boot/defaults/loader.conf" display hit ENTER. Then press [Enter] to boot immediately, or space bar for command prompt. Hit the space bar to enter the manual loader. The loader > prompt displays. (NOTE: There is a 1 second delay for hitting the space bar) (TIPS: you can hit space bar after you see "Loading /boot/defaults/loader.conf" message) 3.配置交换机的管理ip地址; loader> set ipaddr=192.168.100.2
Juniper 常用配置 一、基本操作 1、登录设备 系统初始化用户名是roo t,密码是空。在用户模式下输入configure或者是edit可以进入配置模式。 2、设置用户名:set host-name EX4200。 3、配置模式下运行用户模式命令,则需要在命令前面加一个run,如:run show interface 。 4、在show 后面使用管道符号加上display set将其转换成set 格式命令show protocols ospf | display set 。 5、在需要让配置生效需要使用commit命令,在commit之前使用commit check来对配置进行语法检查。如果提交之后,可以使用rollback进行回滚,rollback 1回滚上一次提前之前的配置,rollback 2则是回滚上 2 次提交之前的配置。 6、交换机重启:request system reboot 7、交换机关机:request system halt 二、交换机基本操作 2.1 设置root密码 交换机初始化用户名是root 是没有密码的,在进行commit 之前必须修改root 密码。明文修改方式只是输入的时候是明文,在交换机中还是以密文的方式存放的。 实例: 明文修改方式: lab@EX4200-1# top [edit] lab@EX4200-1# edit system [edit system] lab@EX4200-1# set root-authentication plain-text-password 2.2 设置删除主机名 实例:
#"设置主机名为EX4200" lab@EX4200-1# edit system [edit system] lab@EX4200-1# set host-name EX4200 #”删除命令”# lab@EX4200-1# edit system [edit system] lab@EX4200-1# delete host-name EX4200 2.3 开启Telnet登陆服务 说明:在默认缺省配置下,EX 交换机只是开放了http 远程登陆方式,因此如果想通过telnet登陆到交换机上,必须在系统中打开telnet 服务。 实例: lab@EX4200-1# edit system service [edit system services] #打开Telnet 服务 lab@EX4200-1# set telnet #同时telnet 的最大连接数范围1-250 lab@EX4200-1# set telnet connection-limit 10 #每分钟同时最大连接数范围1-250 lab@EX4200-1# set telnet rate-limit 10 #删除telnet服务 lab@EX4200-1# edit system service [edit system services] lab@EX4200-1# delete telnet 2.4 开启远程ssh登陆 EX 交换机默认是没有开启SSH 服务,当你打开了SSH 服务而没有制定SSH 的版本,系统自动支持V1和V2 版本。如果你指定了SSH 的版本,则系统只允许你指定版本的SSH 登陆。 实例: lab@EX4200-1# edit system service
Juniper 防火墙策略路由配置 一、网络拓扑图 要求: 1、默认路由走电信; 2、源地址为192.168.1.10 的pc 访问电信1.0.0.0/8 的地址,走电信,访问互联网走网通; 二、建立extended acl 1、选择network---routing---pbr---extended acl list,点击new 添加:
Extended acl id:acl 编号Sequence No.:条目编号源地址:192.168.1.10/32 目的地址:1.0.0.0/8 Protocol:选择为any 端口号选择为:1-65535 点击ok:
2、点击add seg No.再建立一条同样的acl,但protocol 为icmp,否则在trace route 的时候仍然后走默认路由:
3、建立目的地址为0.0.0.0 的acl: 切记添加一条协议为icmp 的acl; 命令行: set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocol
JUNIPER EX3200交换机配置 1 Ex3200开机指导 开机后: login: root Last login: Fri Jan 17 22:21:55 on ttyd0 --- JUNOS 7.2R3.3 built 2002-03-23 02:44:36 UTC Terminal type? [vt100]
New password: Retype new password: 2.2 添加系统用户 命令: set system login user juniper uid 2000 <-设置用户名为juniper用户id为2000 set system login user juniper class super-user <-设置juniper用户为超级用户 set system login user juniper authentication plain-text-password <-设置juniper用户的密码 2.3 设置主机名 命令: set system host-name M7i_GZ <-设置主机名为M7i_GZ 2.4 开启系统telnet服务 命令: set system services telnet 说明:系统默认是没有打开telnet功能的,只有打开telnet服务之后才能从网络上登陆到路由器。 2.5 设置交换机地址 命令: Edit system Set name-server 192.168.17.225 Commit 删除: Edit system Delete name-server 192.168.17.225
Juniper防火墙简明实用手册 (版本号:V1.0)
目录 1 juniper中文参考手册重点章节导读 (4) 1.1第二卷:基本原理 (4) 1.1.1第一章:ScreenOS 体系结构 (4) 1.1.2第二章:路由表和静态路由 (4) 1.1.3第三章:区段 (4) 1.1.4第四章:接口 (5) 1.1.5第五章:接口模式 (5) 1.1.6第六章:为策略构建块 (5) 1.1.7第七章:策略 (6) 1.1.8第八章:地址转换 (6) 1.1.9第十一章:系统参数 (6) 1.2第三卷:管理 (6) 1.2.1第一章:管理 (6) 1.2.2监控NetScreen 设备 (7) 1.3第八卷:高可用性 (7) 1.3.1NSRP (7)
1.3.2故障切换 (8) 2Juniper防火墙初始化配置和操纵 (9) 3查看系统概要信息 (10) 4主菜单常用配置选项导航 (10) 5Configration配置菜单 (12) 5.1Date/Time:日期和时间 (12) 5.2Update更新系统镜像和配置文件 (13) 5.2.1更新ScreenOS系统镜像 (13) 5.2.2更新config file配置文件 (14) 5.3Admin管理 (15) 5.3.1Administrators管理员账户管理 (15) 5.3.2Permitted IPs:允许哪些主机可以对防火墙进行管理 (16) 6Networks配置菜单 (17) 6.1Zone安全区 (17) 6.2Interfaces接口配置 (18) 6.2.1查看接口状态的概要信息 (18)
juniper交换机维护操作 1.1 交换机启动和关闭 1.1.1 重新启动 1. 使用具有足够权限的用户名和密码登陆CLI命令行界面。 2. 在提示符下输入下面的命令: user@ex4200> request system reboot 3. 等待console设备的输出,确认交换机软件已经重新启动。 1.1.2 关闭 1. 使用具有足够权限的用户名和密码登陆CLI命令行界面。 2. 在提示符下输入下面的命令: user@ex4200> request system halt The operating system has halted. Please press any key to reboot 3. 等待console设备的出现上面的输出,确认交换机软件已经停止运行。 4. 关闭机箱背后电源模块电源。 警告:在关闭交换机电源之前必须先利用命令关闭交换机 1.2 配置备份和恢复 1.2.1 配置备份 在完成安装调试之后,可以将配置文件进行备份。备份有两种方式,一种是通过ftp备份到PC机上;另外一种是保存在交换机上(交换机默认保存50份配置文件)。
FTP备份方式 下面是通过FTP备份的操作步骤: lab@EX4200> show configuration | save EX4200CONFIG.txt Wrote 169 lines of output to 'EX4200CONFIG.txt' lab@EX4200> lab@EX4200> ftp 10.0.0.132 Connected to 10.0.0.132. 220 EX4200 FTP server (Version 6.00LS) ready. Name (10.0.0.132:zte): zte 331 Password required for zte. Password: 230 User zte logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp>asc 200 Type set to A. ftp> put EX4200CONFIG.txt local: EX4200CONFIG.txt remote: EX4200CONFIG.txt 200 PORT command successful. 150 Opening ASCII mode data connection for ' EX4200CONFIG.txt. ' 100% |********************** ***********************************| 3751 226 Transfer complete.
juniper路由器配置 一.路由器网络服务安全配置: 默认情况下,系统启动了许多无用服务,这些服务在占用系统资源的同时也造成一定的安全隐患,应该在尽可能的情况下停止或限制这些服务 1. SNMP服务 使用如下命令来停止SNMP服务: setsystemprocessessnmpdisable 使用如下命令来设置SNMP通讯字符串:setsnmpcommunitymysnmpauthorizationread-only 使用如下命令来在接口上设备SNMP通讯字符串: setsnmpinterfacefxp0communitymysnmp 使用如下命令来在接口上禁止SNMP服务trap: setinterfacesfxp0unit0trapsdisable 使用如下命令来限制SNMP的访问客户端:setsnmpcommunitymysnmpclients192.168.0.0/24 setsnmpcommunitymysnmpclients0.0.0.0/0restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务 2.停止接口广播转发: 广播转发容易造成smurf攻击,因此应该使用如下命令停止: setsystemno-redirects 接口级别停止广播转发使用如下命令: setinterfacesfxp0unit0familyinetno-redirects 3.停止dhcp-relay服务,dhcp-relay服务用于在不同网段使用同一个dhcp 服务器,如果没有使用,则应该使用如下命令停止: setsystemdhcp-relaydisable 4.禁止IGMP服务,IGMP服务如果在没有使用的情况下应该使用如下命令禁止:setprotocolsigmpinterfacealldisable 5.禁止PIM服务(?),PIM服务如果在没有使用的情况下应该使用如下命令禁止: setprotocolspimdisable 6.禁止SAP服务(?),SAP服务如果在没有使用的情况下应该使用如下命令禁止: setprotocolssapdisable 7.禁止IPSourceRouting源路由 setchassisno-source-route 二.路由器登录控制: 1.设置系统登录Banner: setsystemloginmessageWarning:ifyouNOTauthorizedtoaccessthissystem,dis connectNOW! 2.设置登录超时时间: 默认情况下,系统登录没有登录超时时间限制,应该将登录超时时间设置为15分钟: setcliidle-timeout15
JuniperEX系列交换机命令行配置手册
目录 第一章交换机基础知识 (7) 1.1认识J UNIPER交换机 (7) 1.2J UNOS操作系统基础 (9) 1.2.1 交换机配置模式 (9) 1.2.2 交换机配置结构 (10) 1.2.3 TAB和空格键的使用 (15) 1.2.4 用户模式和配置模式show的区别 (16) 1.2.5 如何将配置转换成set命令 (19) 1.2.6 commit和rollback (20) 1.3EX交换机命令菜单结构 (22) 第二章操作指导 (35) 2.1通过CONSOLE线连接交换机 (35) 2.2 SYSTEM系统参数配置 (36) 2.2.1设置root密码 (37) 2.2.2设置主机名 (37) 2.2.3设置DNS服务器 (37) 2.2.4设置日期时间 (37) 2.2.5设置NTP服务器 (38) 2.2.6开启远程Telnet登陆服务 (38) 2.2.7开启远程Ftp服务 (39) 2.2.8开启远程ssh登陆 (39) 2.2.9开启远程http登陆服务 (39) 2.2.10添加/删除用户 (40) 2.2.10.1添加用户 (40) 2.2.10.2修改用户类别 (40) 2.2.10.3 修改用户密码 (40)
2.2.11用户权限设置 (41) 2.3VLAN配置 (43) 2.3.1 VLAN配置步骤 (43) 2.3.2 VLAN配置规范要求 (44) 2.3.3 添加VLAN (44) 2.3.4 修改端口VLAN (46) 2.3.5 删除VLAN (46) 2.3.6 配置VLAN网关IP (47) 2.4T RUNK配置 (47) 2.4.1 Trunk配置步骤 (47) 2.4.2如何设置Trunk (48) 2.4.3允许/禁止VLAN通过Trunk (48) 2.5端口配置 (48) 2.5.1端口配置规范要求 (48) 2.5.2修改端口速率 (49) 2.5.3修改端口工作模式 (49) 2.5.4修改端口为L3模式 (49) 2.5.5 修改端口为L2模式 (50) 2.6生成树配置 (50) 2.6.1 RSTP协议概览 (50) 2.6.2 MSTP协议概览 (53) 2.6.3 STP配置实例(生成树) (54) 2.6.4 RSTP配置实例(快速生成树) (55) 2.6.5 MSTP配置实例(多生成树协议) (61) 2.7端口捆绑 (66) 2.7.1 端口捆绑步骤 (66)
#---表示翻译不一定准确 *---表示常用命令 >get ? Address show address book显示地址信息 admin show admin information 显示管理员信息 alarm show alarm info 显示报警信息 alg application layer gateway information 应用层网关信息 alg-portnum get ALG port num 获得ALG接口号码 alias get alias definitions 得到别名定义 arp show ARP entries 显示ARP记录 asp asp attack show attacks 显示攻击信息 auth show authentication information 显示登陆信息认证信息 auth-server authentication server settings 认证服务器设置 backu4p backup information 备份信息 chassis show chassis information 显示机架信息(机架温度….) clock show system clock 显示系统时钟 config show system configuration 显示系统配置信息 console show console parameters 显示控制台参数设置 counter show counters 显示计数器仪表 di get deep inspection parameters 深入检测参数 dialer get dialer information 得到拨号器信息 dip show all dips in a vsys or root 显示所有dip里的虚拟系统或者根dip-in show incoming dip table info 显示进入DIP表的信息 dns show dns info 显示DNS信息 domain show domain name 显示域名 dot1x display IEEE802.1X global configuration 显示IEEE802.1X全局配置driver show driver info 显示驱动信息 envar show environment variables 显示环境变量信息 event show event messages 显示事件消息 file show 显示文件信息 firewall show firewall protection information 显示防火墙保护信息 gate show gate info 阀门信息显示 global-pro global-pro settings 全局设置 # group show groups 显示组信息 group-expression group expressions details 组的表达方式详细信息 hostname show host name 显示主机名 igmp IGMP ike get IKE info 得到密钥信息 infranet Infranet Controller configuration Infranet控制器配置interface show interfaces 显示接口信息 ip get ip parameters 获得IP参数 ip-classification Show IP classification 显示IP分类 ippool get ippool info 得到IP地址池信息 ipsec get ipsec information 得到安全协议的信息 irdp show IRDP status 显示IRDP的状态地位
root# cli #相当于cisco的en root@> cli> configure #相当于cisco的configure terminal [edit] root@# set system host-name router1 #配置路由器的名字为router1 root@# set system domain-name https://www.doczj.com/doc/0c7599869.html, #配置路由器所在域为https://www.doczj.com/doc/0c7599869.html, root@# set interfaces fxp0 unit 0 family inet address 192.168.15.1/24 #配置fxp0 unit 0的接口地址,fxp0代表管理接口,unit 0代表子接口,inet代表是ipv4地址。 root@# set system backup-router 192.168.15.2 #backup-router是本路由器的直连路由器,在路由器启动的时候, #JUNOS路由软件(routing protocol process, RPD)没有立即启动, #路由器将自动生成一条到back-up router的缺省路由,当路由器启动完成后再自动删除这条路由。 root@# set system name-server 192.168.15.3 #DNS的地址 root@# set system root-authentication plain-text-password #设置明文密码 New password: Retype password: #输入并且确认密码,要求字母和数字。 root@# commit #确认配置,在没有确认配置的时候所有配置都是不生效的! root@router1# exit root@router1> #保存配置用save命令 [edit] aviva@router1# save configuration-march02 Wrote 433 lines of configuration to configuration-march02 #察看保存过的文件用run file list命令 aviva@router1# run file list /var/home/aviva: .ssh/ configuration-march02 #用保存的文件载入配置用load replace命令。 load replace XXX
ist: ignore">增加端口配置模板 (1)需要子接口的端口配置 set interfaces fe-2/0/1 vlan-tagging ――――在配置接口启用封装VLAN set interfaces fe-2/0/1 unit 424 vlan-id 424 ―――――配置子接口,VLAN 424 set interfaces fe-2/0/1 unit 424 family inet address 192.168.254.146/30 ――配置子接口地址 (2)无需子接口配置 set interfaces fe-2/0/23 unit 0 family inet address 222.60.11.154/29 ――直接配置地址 (3)E1口配置 set interfaces e1-3/0/0 encapsulation ppp 封装链路类型,包含PPP,HDLC,根据实际情况配置 set interfaces e1-3/0/0 e1-options framing unframed 封装帧格式,参数包含unframed,g704, g704-no-crc4 set interfaces e1-3/0/0 unit 0 family inet address 192.168.1.126/30 配置地址 (4)CE1配置 set interfaces ce1-4/0/0 clocking external set interfaces ce1-4/0/0 e1-options framing g704-no-crc4 set interfaces ce1-4/0/0 partition 1 timeslots 1-31 ――――设置信道1及时隙1-31 set interfaces ce1-4/0/0 partition 1 interface-type ds ――――子接口类型DS set interfaces ds-4/0/0:1 encapsulation ppp ―――――配置子接口封装ppp set interfaces ds-4/0/0:1 unit 0 family inet filter input NYYH set interfaces ds-4/0/0:1 unit 0 family inet address 10.238.173.197/30 ――――配置地址 (5)策略配置 set firewall filter shigonganjuMAS term 1 from source-address 10.238.173.180/30 set firewall filter shigonganjuMAS term 1 then accept set firewall filter shigonganjuMAS term 2 from source-address 10.238.173.0/24 set firewall filter shigonganjuMAS term 2 from source-address 10.238.179.0/24 set firewall filter shigonganjuMAS term 2 then discard set firewall filter shigonganjuMAS term 3 then accept set interfaces fe-2/0/0 unit 44 family inet filter input jiaotongyinhangduan xin―――将策略应用至子接口。