Juniper路由器操作維護(hù)手冊v10

JUNIPER路由器操作維護(hù)手冊

JuniperNetworks

目錄

1.概述4

2.JUNIPER設(shè)備體系結(jié)構(gòu)5

2.1T系列路由器及M320的體系結(jié)構(gòu)6

2.2T系列路由器基于ASIC的硬件轉(zhuǎn)發(fā)引擎設(shè)計(jì)8

2.3M系列路由器的體系結(jié)構(gòu)11

2.4M系列路由器基于ASIC的硬件轉(zhuǎn)發(fā)引擎設(shè)計(jì)12

2.5T/M路由器的硬件組成15

3.JUNIPER設(shè)備操作和維護(hù)16

3.1系統(tǒng)配置16

3.2安全配置20

3.3業(yè)務(wù)配置28

3.3.1MPLS基本配置28

3.3.2MPLSL3VPN配置29

3.3.3MPLSL2VPN(Kompella方式)配置29

3.3.4MPLSL2VPN(Martini方式)配置30

3.3.5VPLS配置30

3.4系統(tǒng)維護(hù)常用命令31

3.4.1軟件配置維護(hù)及系統(tǒng)安裝31

3.4.2獲得支持信息(REQUESTSUPPORTINFORMATION)32

3.4.3獲得系統(tǒng)硬件配置信息(SHOWCHASSISHARDWARE)32

3.4.4了解系統(tǒng)運(yùn)行環(huán)境(SHOWCHASSISENVIRMONENT)33

3.4.5獲得系統(tǒng)設(shè)備告警(SHOWCHASSISALARM)34

3.4.6了解系統(tǒng)FPC運(yùn)行情況(SHOWCHASSISFPC)34

3.4.7路由引擎狀態(tài)檢測(SHOWCHASSISROUTING-ENGINE)35

3.4.8流量檢測(MONITERINTERFACE)36

3.4.9系統(tǒng)日志37

3.4.10系統(tǒng)/路由協(xié)議相關(guān)(SHOWCHASSISCRAFT-INTERFACE)39

3.4.11查看系統(tǒng)使用狀況39

3.4.12路由及2層MPLS狀態(tài)信息的常用維護(hù)命令42

3.4.13鏈路狀態(tài)常用維護(hù)命令48

3.4.14匯總53

4.硬件設(shè)備維護(hù)及故障檢測56

4.1設(shè)備狀態(tài)燈56

4.2面板狀態(tài)按鈕57

4.3數(shù)據(jù)轉(zhuǎn)發(fā)模塊(SIB—T/M320,SSB——M20)58

4.4系統(tǒng)常用維護(hù)工具59

4.5硬件系統(tǒng)故障診斷59

4.6系統(tǒng)協(xié)議故障診斷60

5.專用網(wǎng)管的配置和維護(hù)61

5.1網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理軟件61

5.2供應(yīng)商版本61

5.3REDCELLVPN服務(wù)中心64

1.概述

本手冊描述Juniper網(wǎng)絡(luò)設(shè)備M/T系列路由器的口常維護(hù)和管理,手冊同時(shí)提供了當(dāng)

網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí)的處理流程。

本文的適用對象是中國電信各地市的網(wǎng)絡(luò)管理員.本文中描述的路由器設(shè)備同樣適合

Juniper公司相應(yīng)系列設(shè)備的維護(hù)。

CB系統(tǒng)控制板

FPC靈活PIC集中器

FEB轉(zhuǎn)發(fā)引擎

JUNOSJuniperOperatingSystemsoftwarc

PCG時(shí)鐘發(fā)生器

PEM電源模塊

PFE數(shù)據(jù)包轉(zhuǎn)發(fā)引擎

PIC物理接口卡

RE路由引擎（模塊）

SCGSonet射鐘發(fā)生器

SIB交換接口模塊

SSB系統(tǒng)交換模塊

參考:本文所述內(nèi)容主要參考了Juniper網(wǎng)站相關(guān)文檔,若需更詳細(xì)信息請參考

http://www.juniper,net/techpubs

2.JUNIPER設(shè)備體系結(jié)構(gòu)

木文所介紹的路由器由T649,T320,M320和M20組成。

T640設(shè)備外形參見下圖

T320設(shè)備外形參見下圖

M320設(shè)備外形參見下圖

M20設(shè)備外形圖

T/M系列路由器擁有共同的系統(tǒng)結(jié)構(gòu):基本結(jié)構(gòu)一完全獨(dú)立的路由功能和包轉(zhuǎn)發(fā)功能

一是通過將系統(tǒng)設(shè)計(jì)成為兩個(gè)獨(dú)立的組成部分：路由引擎和包轉(zhuǎn)發(fā)引擎而完成的。系統(tǒng)的

包轉(zhuǎn)發(fā)獨(dú)立于路由模塊，使數(shù)據(jù)包的轉(zhuǎn)發(fā)受網(wǎng)絡(luò)的路由變化和更新處理的影響減到最小。

路由器操作系統(tǒng)

（Internet控制.

Internet伸縮）

2.1T系列路由器及M320的體系結(jié)構(gòu)

T640>T320、M320路由器采用高性能的路由引擎1.6GHz/'2GDRAMRE1600,支持?jǐn)?shù)千個(gè)

VPN和用戶接口。

T640/T320/M320路由器邏輯結(jié)構(gòu)

RoutingEngineRoutingEngine

PacketPacketPacket——:SwitchingPacket

ForwardingForwardingForwardingFabricForwarding

EngineEngineEngineEngine

，，

I/OCardI/OCardI/OCardI/OCardI/OCard

_/l_II_Jz

T640/T320/M320包轉(zhuǎn)發(fā)引擎結(jié)構(gòu)

4gDP，

T640、T320、M320的體系結(jié)構(gòu)

如上圖所示，T640、T320、M320的包轉(zhuǎn)發(fā)體系結(jié)構(gòu)由物理接口卡（PIC）、接口卡集

中器（FPC）、交換矩陣（SIB）構(gòu)成。

FPC在T640、T320、M320中根據(jù)配置的接口卡速率高低,有以下3種:

高速：FPC3能夠插入2塊（T320/M320）或4塊（T640）高速接口卡：10G接口卡，4

端口2.5G接口卡，10端口GE接口卡。

中速：FPC2服務(wù)于GE到2.5G之間速率的接口卡，能夠插入4塊2.5G接口卡，或4

端口/2端口GE等接口卡。

低速:FPC1用于兼容較低速率的接口卡，從信道化E1到155M/622MATM/P0S、FE/GE

等。

靈活的接口卡組合配置，使T系列路由器能夠滿足各種互聯(lián)需求。

2.2T系列路由器基于ASIC的硬件轉(zhuǎn)發(fā)引擎設(shè)計(jì)

T系列的包轉(zhuǎn)發(fā)引擎的ASIC硬件

上圖表示了T系列的包轉(zhuǎn)發(fā)引擎中用到的ASIC硬件，分別用于包轉(zhuǎn)發(fā)過程中的不同處

理步驟。

包轉(zhuǎn)發(fā)第1步

PICFPCInternetFPCSIB

Processor

L2/L3ill

WAN-SONET/SDH.Packet；Fabric

OC-192ASICProcessing

SwitchSwitch

InterfaceInterface

ASICASIC

L2/L3

WAN—

SONET/SDH-PacketQueuing

0C-192

ASICProcessingandMemory

InterfaceASIC

ParseL2/L3header,

Extractlookupkeyzsenddata

performaccounting,tomemory,sendkeyanddata

segmentinto64Bcellspointertoroutelookup

PIC上的ASIC完成報(bào)文的解封裝，報(bào)文校驗(yàn)，交給FPC；

FPC首先處理報(bào)文二/三層報(bào)頭信息，進(jìn)行Input統(tǒng)計(jì)(可用作端口計(jì)費(fèi))，將報(bào)文切

分為等長信元；

交換接口處理器從包頭提取路由鍵(LookupKey),轉(zhuǎn)交給1P3進(jìn)行路由查找，并將數(shù)

據(jù)緩存到內(nèi)存池中。

包轉(zhuǎn)發(fā)第2步

PICFPCInternetFPCSIB

Processor

L2/L3

WANqnNFT/<iDH.

4Packet:Fabric

OC-192ASICProcessing

bWltrSwitch

Interface

ASIC

L2/L3

WMSONET/SDH<PacketQueuing

OC-192

ASICProcessingandMemory

InterfaceASIC

Performroutelookup,

Storepacketdata

filtering,policingand

inmemory

queueselection

IP3（InternetProcessorl11）對報(bào)文進(jìn)行Ingress方向的FirewallFilter過濾,根

據(jù)策略整形（限速）或?qū)嵤┎呗月酚?，輸入?duì)列選擇，然后根據(jù)報(bào)文的目的地址查找路由

轉(zhuǎn)發(fā)表找出轉(zhuǎn)發(fā)路徑的下一跳。

包轉(zhuǎn)發(fā)第3步

PICFPCInternetFPCSIB

Processor

L2/L3

WANSONET/SDH.

PacketIFabric

OC-192ASICProcessing

SwitchSwitch

InterfaceInterface

ASICASIC

L2/L3

WMSONET/SDHPacketQueuing

OC-192

ASICProcessingandMemory

InterfaceASIC

QueuepacketFetchpacketfrom

pointers,performSPQmemoryandtransmit

scheduling^REDdropcellstofabric

內(nèi)存和隊(duì)列管理處理器對緩存的報(bào)文（數(shù)據(jù)）進(jìn)行隊(duì)列調(diào)度，并在接近擁塞時(shí)進(jìn)行RED

（加權(quán)隨機(jī)早期丟棄）處理，避免擁塞的發(fā)生。

IP3處理器決定了報(bào)文的下一跳后，通知交換接口處理器從內(nèi)存和隊(duì)列管理處理器讀

出緩存的數(shù)據(jù)（即切碎的信元塊），送往交換矩陣（SIB）的相應(yīng)通道。

包轉(zhuǎn)發(fā)第4步

SIBFPCInternetFPC

ProcessorWAN

L2/L3LSONET/SDHPE."192

FabricPacket

ProcessingASIC

SwitchSwitch

InterfaceInterface

ASICASICWAN

L2/L30C-192

Packet置SONET/SDH

Queuing

ProcessingASIC

andMemory

InterfaceASIC

Reordercellsfromfabric,

extractlookupkey,senddataStorepacketdatain

tomemory,sendkeyandmemory

datapointertoroutelookup

交換矩陣（SIB）對應(yīng)的通道將數(shù)據(jù)透傳給了報(bào)文下一跳對應(yīng)的EgressFPC。

交換接口處理器將SIB來的數(shù)據(jù)恢復(fù)次序，提取路由鍵（LookupKey）,將數(shù)據(jù)送往緩

存，將路由鍵交給本FPC上的IP3處理器進(jìn)行路由查找。

包轉(zhuǎn)發(fā)第5步

SIBFPCInternetFPC

ProcessorWAN

L2/L3

IIIjSONET/SDHOC-192

FabricPacket

ProcessingASIC

SwitchSwitch

InterfaceInterface

ASICASICWAN

*0C-192

PacketSONET/SDH

Queuing

ProcessingASIC

andMemoryJ

InterfaceASIC

Performroutelookup,Queuepacketpointers,perform

filtering,policingandWDRRscheduling,shapeoutput

queueselectionbandwidth,REDdrop

IP3處理器查找出報(bào)文的下一跳對應(yīng)的接口，并根據(jù)策略進(jìn)行Egress方向上的

FircwallFi1ter過濾，流量整形，輸出隊(duì)列選擇。

內(nèi)存和隊(duì)列管理處理器根據(jù)報(bào)文的隊(duì)列指針進(jìn)行報(bào)文排隊(duì)，通過實(shí)施加權(quán)循環(huán)隊(duì)列輸

出滿足不同隊(duì)列的帶寬配置，并接近擁塞的情況下施加RED1加權(quán)隨機(jī)早期丟棄）避免擁

塞的發(fā)生。

包轉(zhuǎn)發(fā)第6步

SIBFPCInternetFPC

ProcessorWAN

L2/L3OC-192

SONET/SDH

FabricPacket*

ProcessingASIC

SwitchSwitch

InterfaceInterface

ASICASICWAN

L2/L3OC-192

ASONET/SDH

QueuingPacket

Processing'ASIC

andMemory

InterfaceASI

FetchpacketfromBuildL2/L3header,

memolyandtransmitperformaccounting,

cellstoL2/L3ASICreassemblepacket

當(dāng)一個(gè)報(bào)文的隊(duì)列指針到達(dá)隊(duì)列出口時(shí)，交換接口處理器從內(nèi)存池中讀取數(shù)據(jù)（信元），

送往包處理器進(jìn)行報(bào)文恢復(fù)報(bào)文，包處理器還原報(bào)文，并改寫相應(yīng)的報(bào)文的統(tǒng)計(jì)信息（可

用作輸出流量計(jì)費(fèi)），將報(bào)文送往出口PIC。

輸出PIC（接口卡）根據(jù)接口類型對報(bào)文進(jìn)行封裝，并轉(zhuǎn)發(fā)到接口鏈路上。

2.3M系列路由器的體系結(jié)構(gòu)

如上圖所示,V系列路由器的包轉(zhuǎn)發(fā)體系結(jié)構(gòu)由物理接口卡(PIC)、接口卡集中器(FPC)、

交換和轉(zhuǎn)發(fā)模塊(SFM/SSB)構(gòu)成。

FPC在M系列路中根據(jù)配置的接口卡速率高低，有以下2種:

寬帶：FPC2服務(wù)于GE到2.5G之間速率的接口卡，能夠插入1塊2.5G接口卡，或4

端口/2端口GE等接口卡，48端口高密度FE接口卡等。

低速：FPC1用丁兼容較低速率的接口匕從信道化E1到用5M/622MATM/P0S、FE/GE

等C

靈活的接口卡組合配置，使M系列路由器能夠滿足各種互聯(lián)需求。

FPC在M20和M40上不分速率高低，能連接GE以下速率的接口卡4塊。2.5GSTM-16接

口卡內(nèi)置了FPC功能，不需要配置FPC。

FPC在M5和MIOi間的型號上已經(jīng)內(nèi)置在機(jī)箱內(nèi)。

2.4M系列路由器基于ASIC的硬件轉(zhuǎn)發(fā)引擎設(shè)計(jì)

Internet

ProcessorII

M系列路由器是一種集中式處理結(jié)構(gòu)設(shè)計(jì)，同T系列路由器不同的是，包處理的智能

（如報(bào)文的FirewallFilter過濾、整形、策略路由、隊(duì)列選擇和路由查找）均在中央的

交換和轉(zhuǎn)發(fā)模塊（SFV/SSB）上完成，F(xiàn)PC只處理報(bào)文的緩存、隊(duì)列管理和擁塞控制。兩

塊SFM/SSB以主備的發(fā)生工作，保證系統(tǒng)的冗余可靠。

M系列路由器體系結(jié)構(gòu)中的兩個(gè)關(guān)鍵組成部分是分組轉(zhuǎn)發(fā)引擎（PFE）和路由引擎，它

們之間通過一條100Mbps的鏈路連接。

PFE負(fù)責(zé)分組轉(zhuǎn)發(fā)性能。其包括靈活PIC集中器（FPC）,PIC,交換及轉(zhuǎn)發(fā)模塊（SFM/SSB）,

及領(lǐng)先的ASIC。

路由引擎用于維護(hù)路由表機(jī)控制路由協(xié)議。其包括一塊運(yùn)行JUNOS軟件的、基于Intel

的CPU的平臺。

另一個(gè)關(guān)鍵的體系結(jié)構(gòu)模塊是綜合控制子系統(tǒng)，其用于提供S0NET/SDH時(shí)鐘，并與路

由引擎一起工作以提供控制及監(jiān)測功能。

這種將轉(zhuǎn)發(fā)性能與路由性能完全分離的體系結(jié)構(gòu)確保了業(yè)界領(lǐng)先的服務(wù)提供。這種分

離能夠確保在一個(gè)組成部分承受壓力時(shí)不會因爭用資源而影響另一組成部分的性能。路由

振蕩及網(wǎng)絡(luò)的不穩(wěn)定性并不會限制分組的轉(zhuǎn)發(fā)。ASIC的使用則確保了轉(zhuǎn)發(fā)表維持在一個(gè)

穩(wěn)定的狀態(tài)，使系統(tǒng)在網(wǎng)絡(luò)不稔定時(shí)表現(xiàn)出極大的優(yōu)勢。

領(lǐng)先的ASIC

功能豐富的M系列路由器ASIC為路由查詢，過濾，采樣、負(fù)載均衡，緩存管理，交換,

封裝，及拆封裝功能提供了一個(gè)綜合的、基于硬件的系統(tǒng)。為保證具有無阻塞的轉(zhuǎn)發(fā)路徑,

ASIC間所有的通道都是超容量設(shè)計(jì)的、專用的路徑。

Internet處理器IIASIC

每塊Internet處理器ITASIC具有超過40Mpps的查詢速率（在路由表具有8萬個(gè)獨(dú)立

條目時(shí)）。這個(gè)包含超過一百萬個(gè)門電路的Internet處理器IIASIC可以在提供如過濾及

采樣等高級業(yè)務(wù)時(shí)，繼續(xù)提供線速性能。它是目前為止在路由器平臺上使用并在Internet

中配置的最大、最快、最為先進(jìn)的ASIC。

分布式緩存管理器ASIC

分布緩存管理器ASTC將輸入的數(shù)據(jù)分組分配到FPC上的共享內(nèi)存中。這種單級緩存機(jī)

制只需對共享內(nèi)存寫、讀一次，極大地提高了系統(tǒng)性能，無需多余的將分組從輸入緩存復(fù)

制到輸出緩存的步驟。共享內(nèi)存完全沒有阻塞，因此避免了頭阻塞的發(fā)生。

I/O管理器ASIC

I/O管理器ASIC支持線速的分組解析、分組優(yōu)先級劃分及排隊(duì)。每個(gè)I/O管理ASIC

負(fù)責(zé)對分組進(jìn)行切割，將它們存儲到共享內(nèi)存中（通過分布緩存管理器進(jìn)行管理），并在

傳輸時(shí)對分組進(jìn)行重組。

媒體特性ASIC

媒體特性ASIC執(zhí)行物理層功能，如組幀等。每塊PIC具有一塊根據(jù)PIC的媒體類型執(zhí)

行相應(yīng)控制功能的ASIC或FPGAo

分組轉(zhuǎn)發(fā)引擎

PFE提供二層及三層數(shù)據(jù)包交換，路由查詢，及數(shù)據(jù)包轉(zhuǎn)發(fā)。Internet處理器IIASIC

對所有大小的數(shù)據(jù)包都可以提供高達(dá)40Mpps的轉(zhuǎn)發(fā)能力。吞吐能力為40+Gbps<.

PFE支持所有其它M系列路由器所具有的基于ASIC的功能。例如服務(wù)等級功能，包括

速率限制，分類，優(yōu)先級排隊(duì)，隨機(jī)早丟棄，及加權(quán)循環(huán)算法以提高帶寬使用有效性。同

時(shí)，對于受限制接入，可提供過濾及采樣功能，以提高安全性并對網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行分析。

最后，PFE在異常條件下提供最大可能的穩(wěn)定性，同時(shí)具有非常低的元件數(shù)量。這種

穩(wěn)定性降低了系統(tǒng)功耗，同時(shí)增加了故障發(fā)生間隔時(shí)間（MTBF）o

靈活PIC集中器

FPC用于安插PIC并將PIC連接到路由器的其它部分，使輸入數(shù)據(jù)包可以通過背板轉(zhuǎn)

發(fā)至適當(dāng)?shù)哪康亩丝?。每個(gè)FPC插槽可容納一塊FPC1,EPC2o在每個(gè)M系列路由器的FPC

插槽及PFE核心間具有1條專用的3.2Gbps全雙工通道。

每塊FPC包含用于存儲輸入數(shù)據(jù)包的共享內(nèi)存；位于SFM上的分布內(nèi)存管理器ASIC對

這些內(nèi)存進(jìn)行管理。

物理接口卡

PIC提供了全系列的網(wǎng)絡(luò)光傳輸接口及電傳輸接口。所有PIC將占用FPC所包含的4

個(gè)PIC空間的一個(gè)。

M系列路由器路由器支持多種PIC并具有極高的端口密度，為運(yùn)營商提供了極大的靈

活性和并降低了對機(jī)架空間的占用。另外，路由器還支持隧道服務(wù)PIC,可以使M系列路

由器路由器作為IP-1P單播隧道、通用路由封裝(GRE)隧道、或協(xié)議獨(dú)立組播-松散模式

(PTM-SM)隧道的入口或出口。

交換及轉(zhuǎn)發(fā)模塊

SFM負(fù)責(zé)路由查詢，過濾及采樣，同時(shí)提供到目的FPC的交換功能。由于具有Internet

處理器IIASIC和兩塊分布緩存管理器ASIC,SFM負(fù)責(zé)作出轉(zhuǎn)發(fā)決定，將分組分配到內(nèi)存

中，轉(zhuǎn)發(fā)輸出分組標(biāo)識。系統(tǒng)共有2塊SFM,因此，可以確俁在發(fā)生故障時(shí)自動恢復(fù)到冗

余的SFMo

2.5T/M路由器的硬件組成

T640的設(shè)備交換能力是640Gbps,T320的設(shè)備交換能力為320Gbps,M320的設(shè)備交換

能力為320Gbps,M20的設(shè)備交換能力為25.6Gbps.每臺路由器的關(guān)鍵部件均為冗余設(shè)計(jì)包

括：

T640:

路由模塊(RE):2塊

塊

交換模塊(SIB):5

塊

控制模塊(CB)2

個(gè)

電源模塊(PEM):2

塊

時(shí)鐘模塊(SCG):2

T320:

路由模塊(RE):2塊

塊

交換模塊(SIB):3

塊

控制模塊(CB)2

個(gè)

電源模塊(PEM):2

塊

時(shí)鐘模塊(SCG):2

M320:

路由模塊(RE):2塊

塊

交換模塊(SIB):4

塊

控制模塊(CB)2

個(gè)

電源模塊(PEM):4

M20

路由模塊(KE)：2塊

交換模塊(SSB):2塊

電源模塊：2個(gè)

控制模塊(YCS):2塊集成

時(shí)鐘模塊(PCG):2塊集成

路由器的兩路直流電源以負(fù)載均分并互相冗余的方式提供，當(dāng)某一路電源出現(xiàn)故障時(shí):

另外一路電源以滿負(fù)荷方式運(yùn)行，當(dāng)兩路電源均正常時(shí),它們各自負(fù)擔(dān)50%的系統(tǒng)負(fù)載。

3.JUNIPER設(shè)備操作和維護(hù)

3.1系統(tǒng)配置

system{

host-nameBJ-BB1-T640;〃路由器名

domain-namechinatelecom.com.cn;〃域名

authentication-order[tacpluspassword];

name-server{〃DNS服務(wù)器

171.78.208.10;

171.78.83.150；

)

tacplus-server{//TACAS+服務(wù)器

131.119.28.136{

secret〃"；#SECRET-DATA

timeout10;

)

)

ntp(//NTP配置

boot-server137.39.110.91;

peer137.39.4.103;

server137.39.110.91;

}

login{〃登錄用戶

classadmin{

permissionsall;

)

classsuper-user{

permissionsal1;

)

classview-only{

permissionsview;

)

usernoc2004{

uid2004;

classvicw-on1y;

authentication(

encrypted-password#SECRET-DATA

)

)

)

services{〃TCP/IP服務(wù)配置

ftp;

telnet;

)

syslog{//Syslog配置

user*{

anyemergency;

)

filemessages{

anynotice;

authorizationinfo;

)

console{

kernelany;

)

host-namehostname{〃接收syslog日志的主機(jī)地址

facilityseverity;

facility-overridefacility\

}

source-addresssource-address;

)

)

chassis{

redundancy{〃路由引擎冗余配置

routing-engine0master;

routing-engine1backup;

failoveron-loss-of-keepalives;

)

}

/*interfacedescription*/

interfaces{〃接口配置

so-0/1/0{

encapsulationppp;

sonet-options{

fcs32;

rfc-2615;

}

unit0{

lamilymet

address10.0.1.2/24;

)

)

)

ge-3/0/0{

unit0{

familyinet

address192.168.50.2/24;

)

)

}

fxpO{〃管理口配置

unit0{

familyinet

address131.192.191.148/26;

}

)

}

loO//Loopback接口配置

unit0{

familyinet

address127.0.0.1/32;

address131.192.180.35/32{

primary;

)

)

)

}

)

forwarding-options{〃cflowd配置

sampling{

input{

familyinet{

rate80;

run-length20;

)

)

output{

cflowd199.94.208.146{

port23;

engine-id0;

version8;

local-dump;

as-typeorigin;

)

)

}

)

snmp{〃SNMP配置

descriptionM160;

location"RowE,Rack13〃；

community4U2PollMe{

authorizationread-only;

clients{

171.78.195.190/32;

131.192.185.34/32;

)

}

)

routing-options{

static{〃靜態(tài)路由配置

route10.0.5.0/24next-hop10.0.50.1;

route10.0.6.0/24next-hop10.0.50.1;

route10.0.7.0/24next-hop10.0.50.1;

route10.102.2.0/24next-hop10.0.8.1;

)

rib-groups{

both-inst{

import-rib[inet.0testl.inet.0];

)

)

route-record;

autonomous-system6b309;〃AS號配置

)

protocols{

bgp{〃BGP配置

damping;

importbgp-damping;

groupexternal{

multihopttl8;

local-address131.192.180.35;

peer-as65305;

local-as65309;

neighbor131.192.186.1;

)

}

ospf{//OSPF配置

rib-groupboth-inst;

exportinjectloopback;

area0.0.0.0{

interfaceso-3/2/0.0;

)

)

isis{//ISIS配置

level1disable;

interfaceso-1/1/0.0{

level2metric5;

)

interfaceall;

interfacefxpO.0{

disable;

)

)

)

3.2安全配置

filterProtectinternal{

termblock-suspected-host{

from{

fragment-offset-except0;

)

thencountoffset_none_0;

)

termbad-icmp{

from{

protocolicmp;

icmp-typeecho-request;

icmp-code0;

tcp-flagsOxaaaaaaaa;

)

then{

countbad-icmp;

syslog;

discard;

)

}

termvirus-tcp-135(

from{

fragment-offset0;

protocoltcp;

port135;

)

then{

countvirus;

syslog;

discard;

)

}

term10S-bug{

from{

protocol[535577103];

)

then{

countcert-advisory-2003-15;

log;

discard;

)

}

/*Layer3Inspection*/'

termdeny-martian-1918\

from{

address{

172.16.0.0/12;

10.0.0.0/8;

192.168.0.0/16;

0.0.0.0/8;

127.0.0.0/8;

128.0.0.0/8;

191.255.0.0/16;

223.25b.2bb.0/24;

240.0.0.0/4;

)

)

then{

countmartian_1918;

log;

syslog;

discard;

)

}

termdeny-spoof{

from{

source-address\

210.82.108.192/26;

}

)

then{

countinbound-spoof;

syslog;

discard;

)

}

/*AllowLateFragmentsafter64bytes*/

termallow-frags{

from{

fragment-offset1-8191;

)

thenaccept;

}

/*Permitestablishconnections*/

termallow-estab{

from{

fmgment-offset0;

protocoltcp;

tcp-established;

)

thenaccept;

)

/*PermitsDNStimequeries*/

termallow-dns{

from{

fragment-offset0;

protocoludp;

portdomain;

)

thenaccept;

}

termallow-nntp{

from{

fragment-offset0;

protocoltcp;

portnntp;

)

then{

countnntp;

accept;

}

termallow-ssh{

from{

source-addressI

193.110.49.0/27;

207.17.136.129/32;

203.193.18.222/32;

207.17.136.0/22;

)

fragment-offset0;

protocoltcp;

portssh;

)

thenaccept;

)

termallow-icmp{

from{

protocolicmp;

)

thenaccept;

)

termallow-snmp{

from{

fragment-offset0;

protocoludp;

portsnmp;

)

then{

countsnmp;

accept;

)

)

termallow-traceroute{

from{

fragment-offset0;

protocoludp;

port33434-33600;

)

then{

counttraceroute;

accept;

)

)

termallow-UDP{

from{

destination-address{

127.0.0.2/32;

210.82.108.251/32;

)

protocoludp;

)

thenaccept;

}

termallow-telnet-traininglab{

from{

destination-address(

210.82.108.252/32;

)

protocoltcp;

)

thenaccept;

)

inactive:termallow-NSM-management{

from{

source-address\

207.17.136.56/32;

)

destination-address{

34/32;

)

)

then{

countNSM-Management;

log;

syslog;

accept;

)

}

/*Discardallothertraffic*/

termDiscardRcst{

then{

countdiscarded;

log;

syslog;

discard;

)

)

}

filterProtectRE{

/?Sunnyvale,BJ&HKvalidaddress*/

termssh-permit{

/*Validaddress*/

from{

source-address(

207.17.136.129/32;

172.16.0.0/12;

203.193.18.0/28;

210.82.108.192/26;

207.17.136.150/32;

193.110.49.4/32;

203.193.18.222/32;

)

protocoltcp;

destination-portssh;

)

then{

countssh-permitted;

accept;

)

)

/*DeniesallotherSSH-countsandlogsattempts*/

termssh-deny(

from{

protocoltcp;

destination-portssh;

)

then{

countssh-denied;

log;

syslog;

discard;

)

)

/*Deniesal1telnet-countsandlogsattempts*/

termtelnet-denied{

from{

protocoltcp;

destination-porttelnet;

}

then{

counttelnet-denied;

log;

syslog;

discard;

)

1

/*Allowsothertraffic-forrountingprotocols,etc*/

termpermit-everything(

then{

countother-permitted;

accept;

)

)

)

/*OnlyallowspacketsvalidBJsourceciddress*/

filterStopOutboundSpoof{

termdeny-m