info Juniper 80 MX начальное How to

Базовые знания об оборудовании Juniper MX80, младшей модели в серии МХ оборудования Juniper Network.

Juniper MX80. начало.
Серия МХ была запущенна корпорацией Juniper в 2007 году и представлена оборудованием Juniper MX960. Juniper MX960 позиционировался как мощный PE маршрутизатор на замену моделям М — серии, имел высокую концентрацию ethernet портов, хорошую производительность 960 Гбит/с, и ориентировался на работу в ethernet сети.
 
В 2009 году появилось второе поколение МХ серии основанное на новом, разработанном корпорацией Juniper чипсете — Trio. Данный чипсет используется и по сей день. Это собственная разработка Juniper networks, который, по заявлениям, обладал большим количеством инноваций и большой производительностью.
В линейке появились младшие модели под названием Juniper MX80, которые, в зависимости от статуса лицензии, могут изменяться от MX5 до MX80 не меняя шасси или набивку.

Рассмотрим базовую настройку этой новой серии

После установки маршрутизатора и подключения его к сети питания, необходимо произвести начальные настройки доступа, и настроить управление из удаленной сети. Все это можно сделать подключившись на консольный порт расположенный на передней панели оборудования. Серия МХ отличается тем, что консоль подключается простым разъемом RJ-45 а не через COM порт в отличае от М- серии.

После подключения через консольный порт, необходимо ввести логин root и пустой пароль. Увидев приветствие командной строки, надо перейти к пользовательскому интерфейсу с помощью команды CLI, т.к. все основное управление и настройка производятся из режима CLI — пользовательского интерфейса.
 !
 Root #cli
 Root >
 !
 Для перехода в режим конфигурации необходимо использовать команду configure:
 !
 Root >configure
 !

Теперь можно задать профили пользователей, настроить удаленный доступ, и после этого можно использовать маршрутизатор для настройки непосредственно с рабочего места.

Сначала необходимо поменять пустой пароль от логина root для того что бы закрыть свободный доступ к нашему оборудованию. Для этого используется следующая команда:
 !
 Root # set system root-authentication plain-text-password
 <пароль>
 !

В данном случае после просмотра конфигурации никто не сможет увидеть наш пароль, так как он храниться в зашифрованном виде. Так же мы можем установить пароль в простом виде, что бы можно было его посмотреть после доступа на оборудование.

Теперь одна отличительная особенность Junos, под управлением которой находится оборудование. Для применения всех наших изменений необходимо ввести команду Commit. После чего произойдет применение настроенной конфигурации.
 
 Root# commit
 commit complete

 
Теперь наше оборудование закрыто от постороннего использования, и мы можем приступить к общей настройке.
 
Для идентификации необходимо назвать оборудование согласно приятной номенклатуре. Для этого используется следующая команда:
 
Root # set system host-name Router1
 
Теперь необходимо задать адрес маршрутизатора, что бы настроить удаленный доступ для управления.
Этого можно достигнуть двумя способами:

  • назначить адрес на порту Lo0.0 на маршрутизаторе и настроить маршрутизацию до этого адреса из вашей внутренней сети,
  • назначить адрес на порт интерфейса которым маршрутизатор смотрит в вашу внутреннюю сеть и настроить маршрутизацию на вашу сеть.


Адреса назначаются в Junos следующим образом:
 !
 Root # set interfaces <имя интерфейса> family inet address <необходимый IP адрес>
 !
 В нашем случае необходимо настроить статические маршруты в сторону сети управления
 !
 Root # set routing-options static route <адрес сети> next-hop <адрес коннектед сети>
 !

Так же можно прописать дефолт маршрут в сторону коннектед сети на интерфейсе в сторону нашей сети. Для этого можно так же воспользоваться командой выше.

После настройки оборудования с другой стороны можно будет получить доступ к нашему маршрутизатору для проведения настроек удаленно.

Для работы необходимо указать с помощью каких служб и по каким протоколам можно получить доступ на оборудование. Чаще всего это telnet и ssh.
 !
 Root # set services telnet (ssh)
 !

Под данной иерархией можно настроить дополнительные настройки доступа.
Теперь можно перейти на свое рабочее место и заняться окончанием начальной конфигурации оборудования. Настроить пользователей разграничить права, настроить временные зоны и базовые сервисы.

Оборудование предоставляет широкие возможности по настройке прав пользователей, разграничить права назначив разрешенные к исполнению уровни иерархии комманд.

Для этого используются создаваемые профили пользователей, которые будут использоватся для авторизации на оборудовании. К каждому профилю с помощью системы удаленной авторизации ( Radius, Tacacs+ ) можно привязать необходимые логины пользователей, которые будут выполнять операции на вашем оборудовании.

Для создания профиля пользователя необходимо воспользоваться следующим функционалом:

Создание профиля пользователя:
 !
 Root #set system login user <имя пользователя>
 !
 Для данного типа пользователя доступны следующие настройки:
 !
 root# set system login user labuser class ?
 Possible completions
:
 <class> Login class
 operator permissions [ clear network reset trace view ]
 read-only permissions [ view ]
 super-user permissions [ all ]
 unauthorized permissions [ none ]
 !

Мы видим что система предлогает на выбор 4 основных класса пользователя: operator permissions, read-only permissions, super-user permissions, unauthorized permissions, и коротенькую подсказку что каждый класс обозначает. Так же есть возможность создать свой собственный класс и четко обозначить команды, разрешенные к использованию данным классом.

После назначения нашему пользователю класса пользователя super-user необходимо задать пароль для пользователя:
 !
 root# set system login user labuser authentication 
plain-text-password

<пароль>
 !
 Так же необходимо задать идентификатор пользователя (Junos требует)
 !
 root# set system login user labuser uid <номер>
 !

После этого можно применить наши настройки. И перезайти на оборудование под нашим новым именем пользователя, потому, что не стоит пользоваться основным root логином, и сломать нашу железку.

Теперь можно настроить технические параметры оборудования: такие как ntp сервер, аутентификацию с ипользованием удаленных систем ( Radius Tacacs+ ),
 !
 labuser@router1# set system ntp server 192.168.2.100
 labuser@router1# set system time-zone America/Los_Angeles
 !
 labuser@router1#set system tacplus-server <адрес сервера> secret <пароль>
 labuser@router1#set system radius-server source-address <адрес сервера> secret <пароль>
 labuser@router1#set system authentication-order [radius tacplus password]
 !

Вот и все. Основные базовые настройки проведены. Оборудование готово к тестам и подготовке его к серьезной работе на нашей сети.