CẤU HÌNH CƠ BẢN VÀ CẤU HÌNH ĐỊNH TUYẾN router juniper MỘT VÀI LÝ THUYẾT BAN ĐẦU CHO JUNIPER ROUTER

1. Factorydefault configuration Tất cả các platforms chạy Junos đều có một factorydefault configuration. Các configurations được truy cập bởi root. Mặc định khi mới đăng nhập vào thì root account không có password. Trước khi làm việc thì cần phải set pass cho root thì mới có thể bắt đầu làm việc với thiết bị. Tất cả các factorydefault configuration chứa một bộ log cho hệ thống, bộ log sẽ ghi lại các sự kiện và ghi chúng lên các log files. Đây là một syslog của Factorydefault configuration. Mỗi thiết bị đều có chức năng, nhiệm vụ riêng trong một hệ thống mạng. Mỗi một thiết bị sẽ được thiết kế một Factorydefault configuration phù hợp với các chức năng của nó. Để load Factorydefault configuration cho router, sử dụng câu lệnh load, sau đó set pass cho root và commit. 2.Cấu hình cho các interfaces Một Juniper router có 2 loại interfaces chính là Permanent interfaces (luôn có trong router) và transient interfaces (có thể được inserted và removed khỏi router) 2.1 Permanent Interfaces Thực hiện 2 chứng năng là quản lý và vận hành. Chức năng quản lý được thực hiện chủ yếu thông qua interface fxp0 (Management Ethernet). Interface này cung cấp một phương thức phi vật lý cho việc kết nối đến router. Kết nối này sử dụng các công cụ như SSH, telnet để cho phép một remote user quản lý và config router. Việc vận hành của một Juniper router dựa vào Internal ethernet interface là fxp1. Interface này kết nối RE đến PFE. Kênh truyền này là cách các routing protocol packets đến RE để cập nhật routing table. Các cập nhật cho forwarding table cho PFE cũng thông qua interface này. Các interfaces này là của hệ thống, đã được cấu hình khi JunOS boots. Không nên đụng chạm đến chúng.

MỘT VÀI LÝ THUYẾT BAN ĐẦU CHO JUNIPER ROUTER

1 Factory-default configuration

Tất cả các platforms chạy Junos đều có một factory-default configuration Các configurations được truy cập bởi root Mặc định khi mớiđăng nhập vào thì root account không có password Trước khi làm việc thì cần phải set pass cho root thì mới có thể bắt đầu làm việcvới thiết bị

Tất cả các factory-default configuration chứa một bộ log cho hệ thống, bộ log sẽ ghi lại các sự kiện và ghi chúng lên các log files.Đây là một syslog của Factory-default configuration

Mỗi thiết bị đều có chức năng, nhiệm vụ riêng trong một hệ thống mạng Mỗi một thiết bị sẽ được thiết kế một Factory-defaultconfiguration phù hợp với các chức năng của nó

Để load Factory-default configuration cho router, sử dụng câu lệnh load, sau đó set pass cho root và commit

2.Cấu hình cho các interfaces

Một Juniper router có 2 loại interfaces chính là Permanent interfaces (luôn có trong router) và transient interfaces (có thể được inserted

và removed khỏi router)

2.1 Permanent Interfaces

Thực hiện 2 chứng năng là quản lý và vận hành Chức năng quản lý được thực hiện chủ yếu thông qua interface fxp0 (ManagementEthernet) Interface này cung cấp một phương thức phi vật lý cho việc kết nối đến router Kết nối này sử dụng các công cụ như SSH,telnet để cho phép một remote user quản lý và config router

Việc vận hành của một Juniper router dựa vào Internal ethernet interface là fxp1 Interface này kết nối RE đến PFE Kênh truyền này làcách các routing protocol packets đến RE để cập nhật routing table Các cập nhật cho forwarding table cho PFE cũng thông quainterface này

Các interfaces này là của hệ thống, đã được cấu hình khi JunOS boots Không nên đụng chạm đến chúng

2.2 Transient Interfaces

Đây chính là các interfaces nhận các data packet và đưa chúng đến đích Những interfaces này được kết nối vật lý vào một PIC(Physical Interface Card) và có thể được inserted và removed khỏi router Nói cách khác, đây chính là những interfaces cần cấu hình đểchúng hoạt động tốt

2.3 Quy tắc đặt tên interface

Cách đặt tên cho các interface của Juniper router sẽ tuân thủ theo cấu trúc:

media_type-fpc/pic/port.unit+media_type: có 2 ký tự để phân biệt Một số tên của media_type:

- es: encryption interface

- fe: fast ethernet interface

- ge: gigabit ethernet interface

- ip: ip-over-ip encapsulation tunnel interface

- lo: loopback interface

Đại diện cho vị trí của PIC trên FPC module Giá trị thường chạy từ 0-3.

+ PIC Port numbers:

Đây chính là giá trị đại diện cho port dùng để kết nối cable

3 Rescue configuration

Một rescue configuration được người dùng định nghĩa, được xem là một cấu hình tốt cho router được lưu giữ với mục đích phục hồi lạirouter trở về trạng thái ổn định trong kết nối

Rescue configuration yêu cầu phải có root password đã được set Mặc định không có một rescue configuration nào được định nghĩa

Có thể lưu active configuration như là một rescue configuration sử dụng câu lệnh ở operational mode

Nếu đã có một rescue configuration được lưu thì sẽ overwrite Để xóa rescue configuration sử dụng câu lệnh

user@host> request system configuration rescue delete

Khi đã lưu rescue configuration, có thể phục hồi lại bằng câu lệnh rollback

user@host# rollback rescue

Nên nhớ là nếu muốn apply thì cần phải sử dụng commit.

4 Sau khi đã boot vào được router và các software cần thiết đã được loaded, sẽ vào một môi trường dòng lệnh để làm việc với router Môi trường này gọi là command-line interface – CLI.

Junos OS CLI có 2 mode là operational mode và configuration mode

- Operational mode: hiển thị trạng thái hiện tại của router, sử dụng để kiểm tra và troubleshoot router

- Configuration mode: cung cấp cho ta một phương thức cho việc hiệu chỉnh router

Dòng [edit] nói cho ta biết đang ở top level trong cách phân bố các câu lệnh.

Từ trong configuration mode, muốn thực hiện các tác vụ của operational mode, sử dụng lệnh run Ví dụ:

Như đã nói, CLI trong Junos OS được sắp xếp theo dạng hierarchy, các câu lệnh được phân cấp theo từng cấp độ (level), ngay sau khivào configuration mode, ta đang ở top level Có thể hình dung (một phần) như sau:

Dòng thông báo sau mỗi câu lệnh cho biết hiện đang ở level nào

Từ level thấp muốn lên level cao, sử dụng câu lệnh up

5 Áp dụng cấu hình cho router

Trong quá trình đi vào từng level dòng lệnh, có thể chỉnh sửa cấu hình tại mỗi level Sử dụng câu lệnh set hoặc delete:

Hostname hiện tại là JunOS Ta có thể vào level system và sử dụng câu lệnh set để thiết lập hostname mới

6 Candidate configuration

Như đã thấy ở trên, sau khi set hostname là Cuong, trong dấu nhắc lệnh vẫn để hostname là JunOS chưa hề bị đổi Điều này là do trongJuniper router có sử dụng một cơ chế gọi là candidate configuration Các cấu hình vừa thực hiện sẽ được lưu vào một file gọi làcandidate configuration và chưa hề ảnh hưởng đến cấu hình hiện tại được gọi là active configuration.

Nếu muốn apply những cấu hình vừa thực hiện thì cần phải sử dụng câu lệnh commit

Trong quá trình cấu hình, nếu muốn xem những gì đang được cấu hình (candidate configuration) và so sánh với active configuration,

có thể sử dụng câu lệnh compare kết hợp với lệnh show và pipe ( dấu |) để hiển thị

Dấu + cho biết rằng thông số đó đang ở candidate configuration và chưa được đưa vào active configuration Dấu - cho biết, vừa mớixóa thông số đó của router

CẤU HÌNH CƠ BẢN VÀ CẤU HÌNH ĐỊNH TUYẾN Phần 1 Thiết kế mô hình.

Dùng phần mềm Unetlab và vmware để giả lập mô hình trên.

- J1, J2, J3: Router Juniper vsrx-12.1X44-D10.4-domestic.

- R4: Router Cisco.

- Cloud (internet).

- Cloud 1: Window XP.

Phần 2 Cấu hình thiết bị Juniper

2.1 Các câu lệnh cấu hình cơ bản.

Bước 1: Start tất cả các thiết bị.

Bước 2: Các câu lệnh cấu hình cơ bản trên J1.

- Đăng nhập bằng username là root

- Khi đăng nhập thành công thì dấu nhắc hệ thống là:

- Lệnh xem version của thiết bị:

- Để vào chế độ command line thì dùng lệnh:

- Lệnh xem cấu hình của thiết bị:

- Để thực hiện được các lệnh cấu hình chính trên thiết bị thì cần chuyển vào mode config bằng lệnh: “edit” hoặc “configure” Chú ý lúcnày thì dấu nhắc hệ thống là “root#”

- Để xóa được cấu hình hiện tại thì dùng lệnh “delete” Nhưng lệnh “delete” chỉ dùng được khi có quyền cao nhất (top most level) Đểchắc chắn là đang có quyền cao nhất thì dùng lệnh “top” để kiểm tra

- Bây giờ thì dùng lệnh “delete” để xóa cấu hình thiết bị hiện tại

- Khi thực hiện cấu hình và muốn lệnh cấu hình có hiệu lực thì cần phải dùng lệnh “commit” Thông báo như hình bên dưới là do thiết

bị chưa được cấu hình gì cả

- Nếu muốn cấu hình được hệ thống thì cần phải đặt password cho user khi đăng nhập Ở đây đặt password theo plain-text Passworddùng là “juniper123” Chú ý là khi nhập password sẽ không hiện lên

- Tiếp theo là cấu hình hostname cho hệ thống Đang ở Router J1 nên đặt hostname là J1

- Theo như trên thì để các lệnh liên quan đến password và hostname được áp vào hệ thống thì phải dùng lệnh commit

- Để test được password đã đặt được và hostname đã được đổi thì cần khởi động lại thiết bị bằng lệnh “reboot” Nhưng lệnh này sẽđược thực hiện bên dưới sau

- Để bỏ 1 lệnh trong thiết bị thì thay “set” ở đầu mỗi câu lệnh bằng “delete” Ví dụ như muốn bỏ hostname là J1 thì thực hiện:

- Nếu thực hiện lệnh delete system host-name J1 ở trên mà không đánh lệnh “commit” thì lệnh xóa này được được áp vào hệ thống

- Thực hiện lấy lại tên là J1:

- Chú ý là password juniper123 đặt ở trên là cho user root Có thể tạo thêm user tương ứng bằng lệnh bên dưới User tạo thêm là abc Ởđây tạo user abc có quyền “all”-“super-user”

- Nếu user tên là abcd mà đã đặt thành abc thì có thể sửa bằng cách dùng lệnh delete và thêm vào user mới Bên cạnh cách này thì cóthể dùng lệnh rename như bên dưới

- Có thể đặt tên đầy đủ cho user abcd là “nguyen van abcd” như sau:

- Đặt password cho username abcd là juniper1234

- Có thể kiểm tra bằng lệnh “show”:

- Tiếp theo là dùng lệnh “commit”

- Khởi động lại thiết bị:

- Nếu muốn tắt thiết bị thì dùng lệnh:

- Sau khi thiết bị đã khổi động lại thì đăng nhập bằng user là root và password là juniper123.

Bước 3: Các câu lệnh cấu hình cơ bản trên J2 và J3 Thực hiện tương tự như J1.

Chú ý: password cho root là juniper123.

2.2 Đặt địa chỉ IP và kiểm tra kết nối

Bước 1 Đặt địa chỉ IP cho Router R4.

Bước 2 Đặt IP cho J1 để kết nối xuống R4.

- Đặt IP cho J1 kết nối xuống R4

- ping thành công từ J1 xuống R4

- Từ R4 ping lên J1 không thành công Lý do là Router Juniper vSRX có tính năng của firewall Cần tắt packet inspection trên J1.

- Tắt packet inspection trên J1

- Keyword “packet-based” trong câu lệnh trên là mang ý nghĩa “Enable packet-based forwarding” Theo yêu cầu ở trên thì cần reboot

lại thiết bị J1

- Đợi J1 reboot lại thì có thể dùng R4 để ping lại J1 thành công

Bước 3 Cấu hình đặt IP cho các interface còn lại trên J1, J2 và J3.

- Đặt thêm IP cho J1.

- Đặt IP cho J2.

- Đặt IP cho J3.

- Kiểm tra kết nối giữa J2 và J3 Kết quả là ping không được vì chưa tắt packet inspection trên J2 và J3

- Tắt packet inspection trên J2

- Nếu đánh lệnh “commit” mà có lỗi như trên thì dùng thêm lệnh:

- Tắt packet inspection tương tự trên J3

Bước 4 Kiểm tra kết nối giữa các kết nối trực tiếp đã liên lạc được với nhau thành công.

- J1 ping sang J2 và J3.

- J2 ping sang J1 và J3.

- J3 ping sang J1 và J2.

- Máy tính XP ping sang J3.

2.3 Dùng Web để quản lý router juniper

- Dùng Window XP để quản lý J3 bằng Web

- Cấu hình J3 cho phép đăng nhập bằng Web.

- Từ Window XP dùng trình duyệt Web truy cập http://192.168.3.3 Nhập username là root và password là juniper123

2.4 Cấu hình định tuyến RIP cho mô hình Bước 1 Cấu hình RIP trên Router R4.

Bước 2 Cấu hình RIP trên Router J1.

Bước 3 Cấu hình RIP trên Router J2.

Bước 4 Cấu hình RIP trên Router J3.

Bước 5 Kiểm tra kết quả cấu hình RIP

Bước 5.1 Kiểm tra bảng định tuyến của J1, J2, J3 và R4 và đưa ra nhận xét

- Của R4:

- Của J1:

- Của J2:

- Của J3:

- Nhận xét:

+ Bảng định tuyến của R4 chưa học được lớp mạng nào từ phía các router Juniper

+ Bảng định tuyến của J1 thì học được loopback của R4

+ Bảng định tuyến của J2 và J3 thì không học được loopback của R4

+ Bảng định tuyến của J1, J2 và J3 không học được lẫn nhau

- Giải thích: Đây là một sự khác biệt với Junos và IOS, Junos yêu cầu sử dụng các policy-statement để gửi các tuyến đường Junos mặcđịnh cho RIP là chấp nhận tất cả các tuyến đường từ hàng xóm, nhưng từ chối xuất chúng sang hàng xóm trừ khi có một chính sách chophép Đây chắc chắn là một cách an toàn hơn để tiếp cận định tuyến

Bước 5.2 Cấu hình chính sách cho phép các Router J1, J2 và J3 gửi các tuyến đường.

- Trên J1:

- Trên J2 và trên J3: tương tự J1.

Bước 5.3 Kiểm tra lại bảng định tuyến của tất cả các Router

- Trên R4:

- Trên J1:

- Trên J2:

- Trên J3:

- Ping loopback 4 của R4 sang 1.1.1.1 thành công:

2.5 Cấu hình chứng thực cho RIP và chỉnh đường đi.

Bước 1 Cấu hình chứng thực giữa R4 và J1 Password là labjuniper.

- Do J1 đã có cấu hình chứng thực nên bảng định tuyến của R4 đã học lại được các lớp mạng.

- Kiểm tra lại các câu lệnh cấu hình RIP trên J1

Bước 2 Cấu hình chứng thực giữa J1 và J2, giữa J1 và J3, giữa J2 và J3 Password labjuniper Cấu hình tương tự.

Bước 3 Cấu hình chỉnh đường đi trong RIP.

- Kiểm tra từ R4 đi đến 2.2.2.2 là theo đường nào:

- Vậy đi từ R4 đến 2.2.2.2 là theo đường R4-J1-J2 Giả sử link J1-J2 có tốc độ chậm Nêu yêu cầu chỉnh đường đi sao cho từ R4 đến2.2.2.2 là đi theo đường R4-J1-J3-J2 Để đạt được điều này thì chỉnh metric vào ge-0/0/2 của J1 thành 5

- Kiểm tra lại bằng lệnh traceroute trên R4:

2.6 Cấu hình OSPF và Rollback

Bước 1 Chuẩn bị xong phần 2.2.

Bước 2 Cấu hình rollback Có thể hiểu giống như snapshoot trên Vmware Giúp Router quay lại thời điểm đã cấu hình đúng.

- Trên J3:

Bước 4 Kiểm tra bảng định tuyến trên các Router Các Router đã học được đầy đủ các route.

- Trên R4:

- Trên J1:

- Trên J2:

- Trên J3:

- Từ R4 ping 2.2.2.2 thành công:

Bước 5 Kiểm tra trạng thái kết nối neighbor.

Bước 6 Cấu hình R4 gửi default route.

- Tạo thêm 1 interface loopback 5: 5.5.5.5/32 trên R4

- Dùng J3 ping đến 5.5.5.5 Kết quả là kết nối không thành công

- Cấu hình R4 dùng default route để gửi 5.5.5.5.

- Kiểm tra lại bảng định tuyến của J3 đã có default route Và nhờ default route này mà J3 ping 5.5.5.5 thành công

Bước 6 Cấu hình J3 gửi default route Khi cấu hình default route trên juniper thì cần có thêm 1 policy để cho phép.

- Tạo default route trên J3.

- Cấu hình policy trên J3:

- Áp policy vừa tạo vào OSPF.

- Bỏ default route trên R4:

- Kiểm tra trên R4 đã có default route

- Trên J3 đặt thêm IP cho ge-0/0/3

- Từ R4 ping 192.168.100.100 thành công

- Bảng định tuyến của R4 lúc này:

Bước 7 Cấu hình Router-ID.

- Cấu hình Router-ID R4 là 44.44.44.44

- Cấu hình Router-ID J1 là 11.11.11.11

- Cấu hình Router-ID J2 là 22.22.22.22.

- Cấu hình Router-ID J3 là 33.33.33.33

- Kiểm tra lại kết quả cấu hình:

Bước 8 Cấu hình chứng thực trong OSPF

Bước 8.1 Cấu hình giữa R4 và J1.

- Trên R4:

- Do khác cơ chế chứng thực nên R4 báo down neighbor.

- Bảng định tuyến của R4 mất hết các route ospf

- Cấu hình chứng thực trên J1:

- Trên R4 sẽ báo neighbor được thiết lập lại

- Bảng định tuyến trên R4 đã học lại được các route OSPF.

2.7 Cấu hình OSPF Multi-area

Bước 1 Xét lại mô hình như bên dưới.

- Interface ge-0/0/3 của J1 và R4 thuộc Area 1

- Interface ge-0/0/0 và ge-0/0/2 của J1; J2; J3 thuộc Area 0

Bước 2 Đảm bảo đã xong phần 2.2

- Trên J1 có thể cấu hình luôn như bên dưới:

root@% cli

eroot> edit

root# set system root-authentication plain-text-passwordNew password:

Retype new password:

root# set system host-name J1

root# set security forwarding-options family inet6 mode packet-basedroot# set security forwarding-options family mpls mode packet-basedroot# set security forwarding-options family iso mode packet-basedroot# delete security policies

root# set interfaces ge-0/0/0 unit 0 family inet address 192.168.13.1/24root# set interfaces ge-0/0/2 unit 0 family inet address 192.168.12.1/24root# set interfaces ge-0/0/3 unit 0 family inet address 192.168.14.1/24root# set interfaces lo0 unit 0 family inet address 1.1.1.1/32

root# commit and-quit

warning: You have changed mpls flow mode

You have to reboot the system for your change to take effect

If you have deployed a cluster, be sure to reboot all nodes

commit complete

Exiting configuration mode

root@J1> request system reboot

Reboot the system ? [yes,no] (no) yes

- Trên J2 và J3 thực hiện tương tự

- Cấu hình IP cho R4

Bước 3 Cấu hình cho Area 1.

- Trên R4:

Bước 4 Kiểm tra kết quả cấu hình.

Vùng 0 đang kết nối vào vùng 1 nên mạng vẫn đạt trạng thái hội tụ