Вы находитесь на странице: 1из 39

1

Робочий зошит
до тренінгу

«Конфігурування та моніторинг маршрутизаторів Juniper»

Київ - 2020
2
Содержание:
0. Условные обозначения 3
1. Основы IP-сетей 4
1.1. Понятие IP-сети 4
1.2. Стек протоколов TCP/IP 4
1.3. IP - адресация 5
1.4. Маршрутизация в IP-сетях 8
1.5. Протоколы динамической маршрутизации 9
2. Начальное конфигурирование и мониторинг маршрутизаторов Juniper 12
2.1. Консольное подключение 12
2.2. CLI 13
2.3. Конвейер 18
2.4. Справочная подсистема 18
2.5. Политика безопасности по умолчанию 18
2.6. Ротация конфигурационных файлов 19
2.7. Настройка удаленного управления 19
2.8. Пересброс забытого пароля 19
2.9. Обновление Junos 21
2.10. Команды мониторинга маршрутизаторов Juniper 21
2.11. Сетевые утилиты операционной системы JUNOS 21
2.12. Практическая работа 21
3. Настройка маршрутизации для маршрутизаторов Juniper 30
3.1. Особенности архитектуры маршрутизаторов Juniper SRX 30
3.2. Настройка статических маршрутов на маршрутизаторах Juniper 30
3.3. Настройка протокола маршрутизации OSPF для одной зоны 32
3.4. Просмотр таблицы маршрутизации и таблицы пересылки 34
3.5. Практическая работа. Основы маршрутизации 41
3.6. Практическая работа. Протокол OSPF.
3
0. Условные обозначения.

Маршрутизатор

Коммутатор второго уровня

Коммутатор третьего уровня

Хаб

Компьютер
4
1. Основы IP-сетей.
1.1. Понятие IP-сети.

IP-сеть - это сеть, построенная на базе стека протоколов TCP/IP. Частным случаем IP-сети является
глобальная сеть Internet. Корпоративная IP-сеть, построенная с применением интернет-сервисов для
внутреннего пользования, называется Intranet.

Одним из преимуществ сети Internet является открытость архитектуры. Стандарты Internet описаны в
группе документов с общим названием RFC – Request for Comment, их можно использовать бесплатно.
При этом открытость архитектуры совершенно не подразумевает отсутствие контроля. В настоящий
момент ключевые глобальные службы Internet контролируются американскими организациями. Также
преимуществом является не зависящая от аппаратного обеспечения схема адресации. IP-адрес
назначается независимо от MAC-адреса.

К началу 90-х годов появились удобные для пользователя операционные системы с графическим
интерфейсом, также было налажено массовое производство недорогих ПК. Появление службы www и
удобных графических браузеров, понятных рядовым пользователям, привело ко взрывному росту Internet.
В дальнейшем рост был обусловлен за счет мобильных пользователей.

Дальнейший рост интернет возможен за счет т.н. интернета вещей. Интернета вещей (англ. Internet of
Things, IoT) — концепция вычислительной сети физических предметов («вещей»), оснащённых
встроенными технологиями для взаимодействия друг с другом или с внешней средой. Интернет вещей
подразумевает подключение к IP-сети бытовых устройств, при этом количество подключенных устройств
к 2030г. Может достигнуть 50млрд.

1.2. Стек протоколов TCP/IP

Модель TCP/IP состоит из четырёх уровней (рис.1.1).

Рис.1.1.

Уровень IV – уровень сетевого доступа (network access layer) соответствует физическому и канальному
уровням модели OSI.

Уровень III - уровень межсетевого взаимодействия (internetwork layer)соответствует сетевому уровню


модели OSI. На этом уровне находится маршрутизируемый протокол IP.

Уровень II - транспортный уровень (transport layer) соответствует транспортному уровню модели OSI. На
транспортном уровне находится дейтаграммный протокол UDP и протокол TCP, обеспечивающий
надёжную доставку.
5
Уровень I - прикладной уровень (application layer) выполняет функции трёх верхних уровней модели OSI.
Протоколы прикладного уровня обеспечивают работу интернет-служб, таких как www, ftp и др.
Прикладные протоколы используют TCP и UDP в качестве транспортных протоколов.

Порядок инкапсуляции следующий: сегмент->пакет->фрейм.

Т.о, на уровне межсетевого взаимодействия используется протокол IP. Блок данных IP-протокола
называется IP-пакетом. В настоящее время используется 2 версии IP-протокола: IPv4 и IPv6. IPv4-адреса
32-х разрядные, и позволяют адресовать около 4млрд хостов. Из-за нехватки адресного пространства
последние годы пытаются внедрить IPv6. IPv6 адреса 128-разрядные. В большинстве случаев в сети
Укртелекома используется IPv4-адресация, и дальнейший материал излагается для IPv4.

1.3. IP – адресация

IP-адрес является 32- битовым числом, уникальным для каждого компьютера в IP-сети. Не может быть 2-
х компьютеров с одинаковыми IP-адресами, хотя у одного и того же узла может быть несколько IP-
адресов.

IP-адрес состоит из 2-х частей: номер сети и номер компьютера (хоста) в этой сети. Предусмотрено
несколько классов IP-адресов (см. табл.1.2.).

Для записи IP-адреса используется точечно-десятичная нотация, согласно которой каждый байт адреса
преобразуется в десятичную форму, после чего полученные результаты записываются через точку
(табл.1.1).

Табл.1.1.
IP-адрес в двоичном виде 11001000011100100000011000110010
Побайтовое разбиение 11001000 01110010 00000110 00110010
Десятичный эквивалент 200 114 6 50
IP-адрес в точечно-десятичной нотации 200.114.6.50

Табл.1.2.
Класс адреса Первые Первый Длина номера Длина Количество
биты байт сети номера хостов в сети
хоста
A 0 1-126 8 бит 24 бита 224-2 = 16777214
B 10 128 - 191 16 бит 16 бит 216-2 = 65534
C 110 192 - 223 24 бита 8 бит 28-2 = 254
D 1110 224-239 Используется для мультикастинга.
E 1111 240-255 Зарезервирован для экспериментальных целей

Не все адреса можно использовать для адресации хостов. Часть адресов зарезервирована для
специального применения.

Адрес сети – это IP-адрес, в котором номер хоста заполнен одними нулями, например адрес 10.0.0.0.
Адреса сетей используются маршрутизаторами для составления таблиц маршрутизации.

Широковещательный адрес – это IP-адрес, в котором номер хоста заполнен одними единицами.
Например, для сети 10.0.0.0 широковещательный адрес будет 10.255.255.255. Пакеты с адресом
10.255.255.255 должны быть доставлены всем компьютерам в сети 10.0.0.0. IP-сети поддерживают
ограниченное широковещание, т.е. можно послать широковещательный пакет какой-то определённой
сети, но на всю интерсеть широковещательный пакет отправить нельзя.

Таким образом, в любой сети всегда 2 адреса зарезервированы – это адрес сети, а также
широковещательный адрес для этой сети. IP-адреса между адресом сети и широковещательным адресом
являются диапазоном адресов, которые могут назначаться хостам этой сети. Например, для сети 10.0.0.0
диапазон адресов хостов будет 10.0.0.1 - 10.255.255.254.

Сеть 0.0.0.0 зарезервирована для задания маршрутов по умолчанию. Маршрут по умолчанию – это
маршрут к сети 0.0.0.0. Поэтому сеть 0.0.0.0 нельзя использовать для адресации хостов.
6
Сеть 127.0.0.0 зарезервирована для тестирования работоспособности протокола IP. Все адреса сети
127.0.0.0 – это адреса петли обратной связи для компьютера с поддержкой IP. Когда компьютер
отправляет IP-пакет на любой адрес из сети 127.0.0.0, он отправляет пакет самому себе.

Адрес 255.255.255.255 - это широковещательный адрес для сети, в которой находится отправитель пакета.
Пакет, направленный по этому адресу, должен быть разослан всем компьютерам, находящимся в одной
сети с отправителем.

Распределение адресов.

В корпоративной сети администратор может назначать IP-адреса по своему усмотрению. Для сети Internet
существует ряд уполномоченных организаций, распределяющих IP-адреса. В Европе адреса распределяет
RIPE http://www.ripe.net. RIPE передаёт IP-адреса Internet-провайдерам во временное пользование, а те в
свою очередь распределяют IP-адреса между своими клиентами. Таким образом обеспечивается
уникальность IP-адресов в глобальном масштабе.

Для оптимизации имеющегося адресного пространства можно осуществлять деление сетей на подсети, а
также использовать частные (private) диапазоны IP-адресов для адресации в корпоративных сетях.

Частные (private) IP-адреса

Для частных сетей используются следующие диапазоны IP-адресов:

 класс A: 10.0.0.0 – 10.255.255.255


 класс B: 172.16.0.0 – 172.31.255.255
 класс С: 192.168.0.0 – 192.168.255.255

Эти адреса называются частыми (приватными, серыми), в отличие от остальных IP-адресов в сети Internet,
которые называются реальными (белыми) адресами. Диапазоны частных адресов предназначены для
адресации в корпоративных сетях. IP-пакеты с такими адресами не будут маршрутизироваться в Internet.
Т.е. можно в разных корпоративных сетях использовать для адресации одно и то же адресное
пространство.

Подключение частных сетей к Internet.

Для обеспечения доступа в Internet из приватных сетей может использоваться NAT (Network Address
Translation) или также прокси-серверы.

NAT (Network Address Translation) основана на замене IP-адреса в заголовке пакета с приватного на
реальный (рис. 1.2). Предположим, в глобальной сети имеется хост 10.0.0.2. При отправке хостом 10.0.0.2
пакета в Internet этот пакет отправляется на маршрутизатор по умолчанию. Если на маршрутизаторе
включен NAT, то маршрутизатор подменяет адреса согласно таблице преобразования адресов (Address
Translation Table), в которой содержится соответствие между реальными и приватными адресами.
Предположим соответствие в таблице преобразований 10.0.0.2 <-> 195.1.1.2. При отправке пакета с
10.0.0.2 маршрутизатор осуществит замену IP-адреса отправителя с 10.0.0.2 на 195.1.1.2, т.е. с приватного
адреса на реальный. При получении пакета на адрес 195.1.1.2 маршрутизатор осуществит преобразование
адреса получателя с 195.1.1.2 на 10.0.0.2, т.е. с реального на приватный, после чего отправит пакет в
корпоративную сеть. NAT прозрачно для конечного пользователя обеспечивает доступ к глобальной сети.
7

Рис. 1.2.

Дальнейшим развитием NAT является PAT (Port Address Translation). PAT позволяет обеспечить выход в
Internet для нескольких тысяч пользователей с одного реального адреса.

Proxy-сервер (англ. proxy - посредник) – это компьютер, одновременно подключенный к корпоративной


и глобальной сетям. Компьютер в корпоративной сети отправляет запрос прокси-серверу, а прокси-сервер
со своего реального адреса отправляет этот запрос в глобальную сеть, принимает ответ, при
необходимости запоминает (кэширует) результат и отправляет полученный ответ компьютеру в
локальной сети (рис.1.3).

Рис.1.3.

Деление сетей на подсети.

Деление сетей на подсети (subneting) позволяет разбить сеть на более мелкие части. При разбиении сетей
на подсети часть номера хоста используется для задания номера подсети, таким образом IP-адрес состоит
из трёх частей – номер сети, номер подсети, и номер хоста в этой подсети (рис.1.4).
8

Рис.1.4.

Количество подсетей определяется как 2n, где n – количество бит, отводимых для номера подсети. При
этом следует учесть, что номер хоста должен состоять как минимум из 2-х бит. Номер подсети может
состоять из одного бита. Количество хостов в подсети определяется как 2k-2, где k – количество бит,
оставшихся для номера хоста.

Маска подсети

При настройке IP - протокола необходимо задать, сколько бит отводится на номер подсети. Количество
бит, отводимых на номер сети, определяется классом IP-адреса. Но по классу IP-адреса невозможно
определить, сколько бит отводится на номер подсети. Эта задача решается при помощи маски подсети.

Маска подсети является 32-х битным числом, при помощи которого можно определить, сколько бит
отводится на подсеть. Те разряды, которые в IP-адресе отводятся на сеть и подсеть, в маске подсети
заполняются единицами. Разряды, которые в IP-адресе отводятся на номер хоста, в маске подсети
заполняются нулями (рис. 1.5).

Маска подсети записывается в точечно-десятичной нотации, или в виде количества бит, отводимых
суммарно на сеть и подсеть. Например, IP-адрес 195.1.1.66 с маской 255.255.255.240 соответствует записи
195.1.1.66/28.

Запишем маску длиной 28 бит в десятично-точечной нотации:

11111111 11111111 11111111 11110000

255 255 255 240

Рис.1.5.

Таким образом, маска подсети длиной 28 бит в десятично-точечной нотации выглядит как 255.255.255.240

Зная класс IP-адреса и маску подсети, легко определить количество бит, отводимых на номер хоста и на
номер подсети, а также определить, разбита ли сеть на подсети. Например, 195.1.1.66/28 означает, что для
адреса класса C длина маски составляет 28 бит, т.е на сеть и подсеть суммарно отводится 28 бит.
Поскольку номер сети класса C занимает 24 бита, следовательно в рассматриваемом примере 4 бита
отводится на номер подсети.

VLSM

Использование масок подсети переменной длины (Variable Length Subnet Mask - VLSM) позволяет более
гибко разбивать адресное пространство. VLSM позволяет осуществлять дополнительное разбиение
имеющихся подсетей на подсети. Это достигается за счёт увеличения поля номера подсети.

1.4. Маршрутизация в IP-сетях

Основные понятия.

Internet – это множество сетей, соединённых при помощи маршрутизаторов. Маршрутизатор должен
выбрать маршрут и отправить пакет по этому маршруту. Задача выбора маршрута называется
маршрутизацией.
9
Маршрутизация бывает статическая и динамическая. При статической маршрутизации таблица
маршрутизации формируется вручную администратором. В случае динамической маршрутизации
таблица маршрутизации формируется автоматически при помощи проколов маршрутизации.

Каждая запись таблицы маршрутизации как минимум содержит три поля: адрес сети получателя, адрес
маршрутизатора следующего перехода, метрика маршрута.
Адрес сети получателя – это адрес сети, в которой находится получатель.
Адрес маршрутизатора следующего перехода (next-hop router address) – IP-адрес интерфейса соседнего
маршрутизатора, на который нужно отправить пакет, чтобы этот пакет попал в сеть получателя.
Метрика маршрута используется для оценки качества маршрута. Чем короче метрика, тем лучше
маршрут. В простейшем случае в качестве метрики используется количество маршрутизаторов
транзитного перехода, которые должен пройти пакет, чтобы попасть в сеть назначения (количество
переходов – hop count). В более сложных случаях метрика вычисляется с учётом пропускной способности
маршрута, задержки и ряда других параметров.
Например, запись
191.1.1.0 190.1.1.1 7
обозначает: для того, чтобы пакет попал в сеть 191.1.1.0, он должен быть отправлен на интерфейс
соседнего маршрутизатора с адресом 190.1.1.1, метрика маршрута равна 7.
Бесклассовая маршрутизация (Classless Interdomain Routing - CIDR) используется для оптимизации
таблиц маршрутизации, что особенно актуально для магистральных маршрутизаторов. Для этого
маршрутизация осуществляется не на основе адресов сетей, а на основе сетевых префиксов.
Рассмотрим блок сетей класса C от 195.5.0.0 до 195.5.255.0. Этот блок сетей занимает диапазон от
195.5.0.0 до 195.5.255.255., т.е его можно рассматривать как некоторую виртуальную сеть 195.5.0.0/16.
Такая сеть называется агрегированной сетью, или суперсетью. Если маршрут ко всем этим сетям
одинаковый, его можно заменить одним маршрутом к сети 195.5.0.0/16 (рис.1.6). Такое объединение
маршрутов называется агрегацией маршрутов.

Рис. 1.6. Бесклассовая маршрутизация

1.5. Протоколы динамической маршрутизации.

1.5.1. Автономная система. Протоколы маршрутизации внутреннего и внешнего шлюза

Сеть Internet разбита на крупные участки – автономные системы (Autonomous System, AS).
Передача данных из одной AS в другую возможна только через пограничные маршрутизаторы
(Border Gateway).
10
Протоколы маршрутизации, используемые для обмена маршрутной информацией в пределах
автономной системы, называются протоколами маршрутизации внутреннего шлюза (Interior
Gateway Protocol - IGP).

Протоколы маршрутизации, используемые для обмена маршрутной информацией между


автономными системами, называются протоколами маршрутизации внешнего шлюза (Exterior
Gateway Protocol - EGP).

1.5.2. Протоколы маршрутизации по вектору расстояния

Принцип работы

Протоколы маршрутизации по вектору расстояния (distance vector routing protocols) основаны на


том, что маршутизаторы обмениваются друг с другом таблицами маршрутизации. На основе
таблиц маршрутизации, полученных от соседей, роутер формирует свою таблицу
маршрутизации.

Петли маршрутизации

Петля маршрутизации (routing loop) возникает в том случае, если роутеры содержат
маршрутную информацию, приводящую к циркуляции пакета по определенному маршруту. В
этом случае пакет передаётся от одного маршрутизатора к другому по петле, пока TTL (Time to
Live – время жизни) не обнулится, после чего пакет будет удалён, а отправителю пакета будет
направлено ICMP-сообщение ttl exceeded..

Петля маршрутизации может возникнуть или в случае неправильной конфигурации статических


маршрутов, или по причине некорректной конфигурации протоколов маршрутизации по вектору
расстояния. Существуют способы предотврашения образование петель маршрутизации,
описание которых выходит за рамки данного учебного курса.

Протокол маршрутизации RIP

Существуют две версии RIP: RIPv1 и RIPv2. RIPv1 не поддерживает CIDR и VLSM, и
практически не используется. RIPv2 поддерживает CIDR и VLSM.

Единственной метрикой RIP является количество хопов (hop count). RIP не учитывает полосу
пропускания, из-за этого не всегда может выбрать правильный маршрут. Максимальное значение
метрики, при которой сеть еще достижима, равно 15. 16 для RIP это уже бесконечность, т.е. для
больших сетей RIP не подходит в качестве протокола маршрутизации.

1.5.3. Протоколы маршрутизации по состоянию связей

Принцип работы

Протоколы маршрутизации по состоянию связей (link-state routing protocols) основаны на обмене


инфомацией о состоянии каналов в сети между маршрутизаторами. Маршрутизатор,
работающий на основе такого протокола, формирует базу данных, описывающую топологию
сети. Это позволяет алгоритму маршрутизации находить кратчайшие маршруты к сетям
назначения.

Протокол OSPF

Протокол OSPF (Open Shortest Path First) является наиболее распространённым протоколом
маршрутизации по состоянию связей. Согласно терминологии OSPF автономая система
разбивается на зоны (area). Нулевая зона (area 0) является магистральной зоной backbone area и
её наличие в обязательно. Через магистральную зону осущестлвется обмен маршрутной
11
информацией между всеми маршрутизаторами. Все зоны должны быть подключены к
магистральной зоне. Маршрутизаторы в OSPF бывают следующих типов (рис.1.7):

Рис.1.7.

 Backbone Router - магистральный маршрутизатор


 ABR Area Border Router - пограничный маршрутизатор зоны, который соединяет две и более
зон.
 Autonomous System Boundary Router– пограничный маршрутизатор автономной системы.
 IR Internal Router – внутренний маршрутизатор.

Разбиение на зоны необходимо для оптимизации таблиц маршрутизации. Внутреннему


маршрутизатору нет необходимости помнить маршруты ко всем сетям автономной системы, ему
достаточно помнить маршрут к сетям своей зоны и маршрут к ABR, который будет маршрутом
по умолчанию.

1.5.4. BGP.

BGP (Border Gateway Protocol) используется для обмена маршрутной информаций между пограничными
роутерами автономных систем. Т.к. интернет большой, то протокол маршрутизации внутреннего шлюза
потребует огромных ресурсов для маршрутизации в пределах всей сети Internet. BGP рассматривает
автономную систему как единое целое, и топологию внутри автономной системы не видит. Очень
упрощенно, BGP – это продвинутый RIP, где 1 автономная система это 1 хоп. Такой подход дает
возможность вместить все маршруты Internet в пределах нескольких сотен тысяч записей. Т.к. топологию
внутри автономной системы BGP не видит, то в пределах автономной системы маршрутизация должна
обеспечиваться при помощи одного из протоколов маршрутизации внутреннего шлюза, или статически.
12
2. Начальное конфигурирование и мониторинг маршрутизаторов Juniper.
2.1. Консольное подключение
Консольный порт.

Универсальным способом начального конфигурирования большинства сетевых устройств Juniper


является подключение через консольный порт. Консольный порт маршрутизатора – это порт RS-232,
выведенный на разъем RJ-45. Со стороны управляющего компьютера используется обычный порт RS-232,
при его отсутствии нужно использовать переходник USB-to-Com.

Настройки последовательного порта на управляющем компьютере следующие:


Скорость (Bits per sec) 9600 бит/с
Количество бит данных (Data bits) 8
Стоповый бит (Stop bits) 1
Контроль четности (Parity) нет
Контроль за потоком данных (Flow control) нет

Для начального конфигурирования может использоваться любая терминальная программа: PuTTY,


TeraTerm, minicom (под linux).

Удаленное управление

После конфигурирования IP-адреса и маршрута по умолчанию возможно удаленное конфигурирование


маршрутизатора. Доступны следующие варианты:

- telnet. По протоколу telnet вы получите доступ к командной строке маршрутизатора. Недостаток


протокола telnet в том, что трафик не шифруется и может быть перехвачен.
- ssh. По протоколу ssh вы получите доступ к командной строке. Трафик шифруется.
- web-интерфейс по протоколу http. Трафик не шифруется.
- web-интерфейс по протоколу https. Трафик шифруется.
- по SNMP (Simple Network Management Protocol). Протокол SNMP используется для удаленного
управления сетевыми устройствами при помощи систем управления сетями (Network Management
System - NMS). Как правило, используется в крупных сетях. Не используется для начального
конфигурирования.

При наличии консольного кабеля от Cisco или Huawei его можно использовать для
конфигурирования устройств Juniper.
Однако есть особенности. Устройства Juniper комплектуются переходниками DB9/RJ45. Внешне
такой переходник не отличается от переходника, который ранее поставлялся с
маршрутизаторами Cisco. Но в переходник DB9/RJ45 фирмы Juniper включается обычный
прямой кабель Ethernet (straight-through), в то время как в переходник DB9/RJ45 фирмы Cisco
вставляется ролловерный кабель.
При начальном подключении к устройству Juniper с заводской конфигурацией вход на
устройство осуществляется с такими параметрами:
login:root
пароль: без пароля
После этого попадаете в командную строку unix, т.к. JunOS создана на основе FreeBSD. Для
перехода в командный интерпретатор Junos нужно ввести команду cli (Рис.4.1.)
13

Рис.4.1.
2.2. CLI
Работа с командной строкой в JUNOS разделяется на 2 режима:
 Operational Mode (приглашение командной строки ">") - тут нам доступны show команды и команды
для мониторинга и траблшутинга сети (monitor, ping, test, traceroute);
 Configuration Mode (приглашение командной строки "#") - режим, в котором происходит настройка
устройства. В этот режим можно попасть, набрав команду "Configure" или "Edit" в Operational Mode.
Структура команд operational mode:

Рис.4.2.

В Operational Mode доступны следующий команды:

root>?
Possible completions:
clear Clear information in the system
configure Manipulate software configuration information
file Perform file operations
help Provide help information
monitor Show real-time debugging information
mtrace Trace multicast path from source to receiver
op Invoke an operation script
ping Ping remote target
quit Exit the management session
request Make system-level requests
restart Restart software process
set Set CLI properties, date/time, craft interface message
show Show system information
14

ssh Start secure shell on another host


start Start shell
telnet Telnet to another host
test Perform diagnostic debugging
traceroute Trace route to remote host

Configuration Mode
В JUNOS используется 2 конфигурации:

 Active Configuration - это текущая конфигурация устройства.


 Candidate Configuration - это конфигурация, которую мы правим в режиме конфигурирования.
Для того, чтобы конфигурация-кандидат стала активной, в режиме конфигурирования нужно ввести
команду "Commit":

root> configure
Entering configuration mode

[edit]
root# set system root-authentication plain-text-password
New password:
Retype new password:

[edit]
root# commit
commit complete

[edit]
root# exit
Exiting configuration mode

root>

Чтобы зайти в определенный контекст для настройки используется команда "Edit":


15
Рис.4.3.

Доступные контексты для редактирования:

root> configure
Entering configuration mode

[edit]
root# edit ?
Possible completions:
> access Network access configuration
> access-profile Access profile for this instance
> accounting-options Accounting data configuration
> applications Define applications by protocol characteristics
> chassis Chassis configuration
> class-of-service Class-of-service configuration
> diameter Diameter protocol layer
> event-options Event processing configuration
> firewall Define a firewall configuration
> forwarding-options Configure options to control packet forwarding
> groups Configuration groups
> interfaces Interface configuration
> jsrc JSRC partition configuration
> jsrc-partition JSRC partition configuration
> logical-systems Logical systems
> multi-chassis
> policy-options Policy option configuration
> protocols Routing protocol configuration
> routing-instances Routing instance configuration
> routing-options Protocol-independent routing option configuration
> security Security configuration
> services Service PIC applications settings
> snmp Simple Network Management Protocol configuration
> system System parameters
> virtual-chassis Virtual chassis configuration
[edit]

Настройка интерфейсов
Для того, чтобы настроить интерфейс нужно перейти в контекст "Interfaces":

root> configure
Entering configuration mode

[edit]
root# edit interfaces

[edit interfaces]
root#

Иерархия настройки интерфейсов:


16

Рис.4.4.
L3 настройки интерфейса
Важный момент - все L3 параметры интерфейса настраиваются в контексте "UNIT". UNIT - это аналог
сабинтерфейсов в Cisco.

[edit interfaces]
root# set em0 unit 0 family inet address 100.0.0.1/30

Em0 - Это наш физический интерфейс. Family inet - параметры какого протокола мы хотим настроить.
Доступны следующие значения:

root# set em0 unit 0 family ?


Possible completions:
> ccc Circuit cross-connect parameters
> inet IPv4 parameters
> inet6 IPv6 protocol parameters
> iso OSI ISO protocol parameters
> mpls MPLS protocol parameters
> tcc Translational cross-connect parameters
> vpls Virtual private LAN service parameters
[edit interfaces]
root# set em0 unit 0 family

Можно сразу из Configuration Mode посмотреть, что мы настроили набрав команду "show":

[edit interfaces]
root# show
em0 {
unit 0 {
family inet {
address 100.0.0.1/30;
}
}
}

[edit interfaces]

Применим наши настройки командой "Commit":

root# commit
commit complete
17
Проверим доступность IP на другой стороне канала:

root> ping 100.0.0.2 rapid


PING 100.0.0.2 (100.0.0.2): 56 data bytes
!!!!!
--- 100.0.0.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.402/0.719/1.306/0.343 ms

Посмотреть состояние интерфейсов и назначенные IP адреса (аналог sh ip int bri в Cisco):

root> show interfaces terse


Interface Admin Link Proto Local Remote
cbp0 up up
demux0 up up
dsc up up
em0 up up
em0.0 up up inet 100.0.0.1/30
em1 up up
gre up up
ipip up up
irb up up
lo0 up up
lo0.16384 up up inet 127.0.0.1 --> 0/0
lo0.16385 up up inet 128.0.0.4 --> 0/0
inet6 fe80::2ab:ae0f:fc99:e300
lsi up up
mtun up up
pimd up up
pime up up
pip0 up up
pp0 up up
tap up up

Именования интерфейсов в JUNOS


В JUNOS используется следующая схема именования интерфейсов:
18
Рис.4.5.

 GE - Тип интерфейса. В данном случае Gigabit Ethernet.


 0 - это Flexible PIC Concentrator (FPC). Номер физического слота на нашем шасси.
 0 - это Physical Interface Card (PIC). Номер карты, вставленной в слот.
 1 - это номер порта на карте PIC.

2.3. Конвейер
В Junos CLI доступен ковейер. Например, подсчет количества строк в конфигурационном файле:
user@host> show configuration | count
Count: 269 lines

2.4. Справочная подсистема


Можно использовать знак вопроса “?”. Использование ? для получения справочной информации
аналогично Cisco IOS.
Также есть команда help с очень широким набором возможностей.

Рис.4.6.
2.5. Политика безопасности по умолчанию
По умолчанию используется политика безопасности deny-all

Рис.4.7.
19
2.6. Ротация конфигурационных файлов.

Рис.4.8.

2.7. Настройка удаленного управления

[edit]
system {
services {
ssh;
telnet;
}
}

2.8. Пересброс забытого пароля


Если пароль от маршрутизатора забыт, для пересброса забытого пароля потребуется физический доступ к
маршрутизатору. Маршрутизатор нужно перезагрузить при помощи кнопки POWER.

Power button is pressed; System going down IMMEDIATELY.

U-Boot 1.1.6-JNPR-2.0 (Build time: Nov 17 2010 - 07:04:52)

SRX_100_HIGHMEM board revision major:0, minor:0, serial #: AT1112AF0315


OCTEON CN5020-SCP pass 1.1, Core clock: 500 MHz, DDR clock: 266 MHz (532 Mhz data rate)
DRAM: 1024 MB
Starting Memory POST...
Checking datalines... OK
Checking address lines... OK
Checking 512K memory for U-Boot... OK.
Running U-Boot CRC Test... OK.
Flash: 4 MB
USB: scanning bus for devices... 3 USB Device(s) found
scanning bus for storage devices... 1 Storage Device(s) found
Clearing DRAM........ done
BIST check passed.
Boot Media: nand-flash usb
Net: pic init done (err = 0)octeth0
POST Passed
Press SPACE to abort autoboot in 1 seconds
=>

Когда появится сообщение “Press SPACE to abort autoboot in 1 seconds”, нужно нажать на пробел.
20
Как только увидим приглашение вида => даем команду boot и опять жмем пробел:

=> boot
ELF file is 32 bit
Loading .text @ 0x8f000078 (244960 bytes)
Loading .rodata @ 0x8f03bd58 (13940 bytes)
Loading .rodata.str1.4 @ 0x8f03f3cc (16648 bytes)
Loading set_Xcommand_set @ 0x8f0434d4 (100 bytes)
Loading .rodata.cst4 @ 0x8f043538 (20 bytes)
Loading .data @ 0x8f044000 (5608 bytes)
Loading .data.rel.ro @ 0x8f0455e8 (120 bytes)
Loading .data.rel @ 0x8f045660 (136 bytes)
Clearing .bss @ 0x8f0456e8 (11656 bytes)
## Starting application at 0x8f000078 ...
Consoles: U-Boot console
Found compatible API, ver. 2.0

FreeBSD/MIPS U-Boot bootstrap loader, Revision 2.0


(builder@warth.juniper.net, Wed Nov 17 07:07:32 UTC 2010)
Memory: 1024MB
[0]Booting from nand-flash slice 2
Un-Protected 1 sectors
writing to flash...
Protected 1 sectors
Loading /boot/defaults/loader.conf
/kernel data=0xb00b10+0x134480 syms=[0x4+0x8a7e0+0x4+0xc8c59]

Hit [Enter] to boot immediately, or space bar for command prompt.

Type '?' for a list of commands, 'help' for more detailed help.
loader>

Далее нужно выбрать загрузку в однопользовательском режиме

loader> boot -s

после этого начнется загрузка однопользовательского режима и после того как он загрузится выполняем
recovery:
Enter full pathname of shell or 'recovery' for root password recovery or RETURN for /bin/sh
: recovery

после этого мы попадем в привычную нам консоль от суперпользователя, где и сможем сменить пароль:

Starting CLI ...


root@srx> configure
Entering configuration mode

[edit]
root@srx# set system root-authentication plain-text-password
New password:
Retype new password:

Применяем конфигурацию и перезагружаем железяку:


root@srx# commit and-quit
commit complete
Exiting configuration mode

root@srx> request system reboot


На этом сброс пароля завершен.

2.9. Обновление Junos


21
user@srx> ftp <ip address of local ftp server> (and login)
user@srx> lcd /var/tmp
user@srx> bin
user@srx> get junos-srxsme-11.4R4.4-domestic.tgz
user@srx> bye
user@srx> request system software add no-copy /var/tmp/junos-srxsme-11.4R4.4-domestic.tgz
user@srx> request system reboot

2.10. Команды мониторинга маршрутизаторов Juniper


monitor traffic<brief | detail | extensive><absolute-
sequence><count count><interface interface-name><layer2-headers><matching matching><no-
domain-names><no-promiscuous><no-resolve><no-timestamp><print-ascii><print-
hex><resolve-timeout><size size>

2.11. Сетевые утилиты операционной системы JUNOS


ping
traceroute
Действие команд ping и traceroute аналогично Cisco IOS.

2.12. Практична робота. Робота з командним рядком (CLI).


Початкове конфігурування маршрутизатора SRX300

Підключення до маршрутизаторів здійснюється через термінальний сервер. Робочі станції (комп'ютери)


лабораторії підключаємося до сервера через локальну мережу з використанням програми PuTTY –
клієнта, що реалізує протокол віддаленого доступу SSH. Для доступу термінального сервера до
консольного порту маршрутизатора з інтерфейсом RS-232 у текстовому режимі використовується
програма Minicom.
22
23

Завдання 1

Отримати доступ до ОС Junos маршрутизатора.

Доступ виконується у вигляді послідовності наступних кроків

1. Отримати у викладача номер маршрутизатора, з яким здійснюється з'єднання, та параметри


підключення.
2. Підключитися до сервера за допомогою програми PuTTY
(її необхідно завантажити
https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html)
з використанням протоколу віддаленого доступу SSH.
Отримати доступ до програмної оболонки сервера:

При успішному підключенні отримуємо запрошення у вигляді «%»


3. Викликати програму емуляції терміналу Minicom
Синтаксис команди:
24

Наприклад, якщо потрібно підключитися до другого маршрутизатора, набираємо,


або minicom J1 (залежить від варіанту)
отримуємо доступ до консольного порту другого SRX300 і запрошення

4. Вводимо ім'я (login) – root, потім пароль (Password) - junos1.


Примітка. При введенні пароля знаки на моніторі ніяк не відображаються.
При успішному вході отримуємо запрошення ОС Junos

5. Вводимо команду переходу в оболонку командного рядка:

і переходимо в операційний режим

Примітка. У разі необхідності текст у вікні програми PuTTY може бути збережений у буфері з
використанням контекстного меню заголовка вікна.

Завдання 2
Перевірити роботу деяких команд інтерфейсу командного рядка в операційному режимі.
Команди наведені нижче. Пояснити отриманий результат.

Завдання 3
Зупинка ОС , виключення маршрутизатора
Зупинення Junos (без виключення живлення) виконується командою

команду зупинки необхідно підтвердити словом «yes».


Після зупинки завантаження ОС починається при натисканні будь-якої клавіші
Наступний пункт запам'ятайте, але зараз його виконувати не потрібно.
Вимкніть маршрутизатор після закінчення заняття.
Вимкнення маршрутизатора виконується командою (команду вимикання необхідно підтвердити.)

Завдання 4
Завантажити заводську конфігурацію маршрутизатора
1. Переходимо в конфігураційний режим

2. Завантажуємо заводську конфігурацію


25

3. Задаємо пароль кореневого користувача junos1

4. Активуємо конфігурацію

Завдання 5
Перевірити роботу деяких команд інтерфейсу командного рядка в режимі конфігурування
Привести отриманий результат і пояснити його. Команди наведені нижче

Завдання 6
Перейти на зазначені рівні ієрархії настройки, використовуючи команди «edit», «up», «top» и «exit»:

Завдання 7
Виконати початкове конфігурування маршрутизатора, а саме:
 встановити ім’я маршрутизатора,
 встановити системний час
1. Встановити ім'я маршрутизатора «J1» або ... «J6»

де «JN» - ім’я маршрутизатора.


Після активації змін в запрошенні командного рядка за знаком «@» відображається ім'я пристрою,
наприклад:

2. Подивитися кандидат-конфігурацію. Порівняти зміни, що вносяться, з активною конфігурацією


(за допомогою команди «show | compare»).
3. Активувати зміни конфігурації і перевірити результат змін
26

4. Налаштування системного (поточного) часу виконується в операційному режимі в форматі


«YYYYMMDDhhmm.ss» наступною командою

Після введення команди система покаже встановлений час.


Подивитися на встановлений час можна командою оболонки UNIX

5. Зберегти активну конфігурацію в якості резервної командою:

Примітка. Надалі, при необхідності, можна завантажити резервну конфігурацію як кандидат-


конфігурацію командою

Завдання 8
Ознайомлення зі способом зберігання інформації про конфігурацію пристрою.
В ОС Junos конфігурація пристрою зберігається у вигляді текстового файлу, у якому для полегшення
сприйняття людиною змісту використовуються фігурні дужки, переходи на новий рядок і прогалини для
створення відступів початку рядка (наявність цих знаків не впливає на роботу пристрою). Див. приклад
нижче.
Активну конфігурацію можна переглянути за допомогою команди

Кандидат-конфігурацію можна переглянути за допомогою команди

Може бути переглянута окрема гілка конфігурації; наприклад, про конфігурацію інтерфейсів

1. Ознайомитися з активною конфігурацією пристрою.


2. Визначити зі скількох розділів складається файл конфігурації. Перерахувати назви розділів.
Завдання 9
Ознайомлення з розділами конфігурації пристрою, що визначають роботу засобів безпеки SRX300
SRX300 є універсальним пристроєм, що поєднує функції маршрутизатора, Ethernet комутатора та
міжмережевого екрану. Міжмережевий екран забезпечує захист внутрішньої мережі організації від
зовнішніх мережевих погроз.
Відповідно філософії роботи пристрою для безпеки в ньому створені дві зони: довірча «trust» і небезпечна
«untrust». У небезпечній зоні знаходяться порти, підключені до зовнішньої (небезпечної) мережі; в
довірчій зоні
знаходяться порти, підключені до внутрішньої мережі. Зона «trust» відокремлена від зони «untrust»
міжмережевим екраном. Це символічно показано на рис. 2.
27

Засоби безпеки визначаються в розділі конфігурації «security». Вони включають визначення роботи
екрану (підрозділ «screen»), політики передачі інформації між зонами (підрозділ «policies») і
приналежність портів (інтерфейсів) до зон безпеки (підрозділ «zones»), а саме до «security-zone trust» і
«security -zone untrust».
1. Ознайомитися з конфігурацією пристрою за допомогою команди:

o знайти в розділі «security» підрозділи «screen», «policies» і «zones»;


o визначити, в яких зонах знаходяться вісім портів пристрою;
o подивитися як сконфігуровані 8 портів пристрою

Примітка. Порти можуть бути не віднесені до будь-якої зоні.

Завдання 10
Підготовка та збереження конфігурації для виконання наступних лабораторних робіт
У заводській конфігурації SRX300 інтерфейс ge-0/0/0 працює в режимі маршрутизатора і знаходиться
в небезпечній зоні. Решта сім портів налаштовані як порти Ethernet комутатора і не віднесені до
жодної з зон (рис. 2).

При виконанні наступних лабораторних робіт будуть використовуватися три перших порту
пристрою. Для виконання робіт необхідно, щоб ці порти працювали в режимі маршрутизатора і
знаходилися в довірчій зоні (рис. 3).
28
1. Перенести інтерфейс ge-0/0/0 в довірчу зону командами

2. Перевести інтерфейси ge-0/0/1 і ge-0/0/2 в режим портів маршрутизатора командами такого


виду

3. Розмістити інтерфейси ge-0/0/1 і ge-0/0/2 в довірчій зоні такою командою

4. Перевірити зміни, що вносяться

5. Активувати конфігурацію
6. Передивитися і перевірити отриману активну конфігурацію, а самі гілки «security zones» та
«interfaces».
7. Зберегти конфігурацію у файлі Ukrtelecom командою
root@JN# save /config/ ukrtelecom
Перевірити наявність збереженого файла за допомогою команди

Завдання 11
Перевірка працездатності зв’язків між сусідніми маршрутизаторами
Маршрутизатори у лабораторії з’єднані за такою схемою (рис. 4).

З’єднання маршрутизаторів у лабораторній мережі


29

Для перевірки між сусідніми маршрутизаторами необхідно присвоїти IP адреси портам, що показані
на схемі.
1. Групам, що виконують лабораторну роботу, домовитися про IP адреси для портів
Примітка. IP адреси з’єднаних портів повинні належати до однієї мережі. Адреси портів
маршрутизатора повинні належати до різних мереж.
Присвоїти IP адреси портам, які з’єднані з іншими маршрутизаторами, командами вигляду:
root@JN# set interfaces ge-0/0/0.0 family inet address 195.1.2.2/24
2. Перевірити наявність зв’язку з сусідніми маршрутизаторами командами типу
30

3. Настройка маршрутизации для маршрутизаторов Juniper


3.1. Особенности архитектуры маршрутизаторов Juniper SRX
Control Plane и Forwarding Plane
Важный аспект работы JUNOS - это логическое и физическое разделение Control Plane и Forwarding (Data)
Plane (рис.5.1.).

Рис.5.1.
RE (Routing Engine) выполняется на процессоре архитектуры x86 или PowerPC. PFE (Packet Forwarding
Engine) выполняется на специальных микросхемах ASIC (Application-Specific Integrated Circuit). Это
сделано для увеличения производительности - транзитные пакеты передаются без вмешательства RE
(соответственно и процессора). RE используется для построения RT (Routing Table) и FT (Forwarding
Table). FT после ее построения записывается в память PFE и выполняется на ASIC. FT представляет собой
таблицу, содержащую сеть назначения, интерфейс, через который может быть достигнута эта сеть, IP
адрес next-hop'a и mac адрес next-hop'a. Так же на PFE для увеличения производительности и скорости
обработки транзитных пакетов выполняется QoS, Policer (Shaping) и Stateless Firewall Filter(ACLs).

Маршрутизатор Juniper SRX5800 обеспечивает безопасность маршрутизации и поддерживает


межсетевые экраны с пропускной способностью до 320 Гбит/с, IPsec VPN со скоростью 200 Гбит/с, IPS со
скоростью 100 Гбит/c и до 400 000 новых соединений в секунду.
Особенности Juniper SRX5800:
 Включает в себя гигабитный межсетевой экран, комплексную защиту от вредоносных программ и
действующих угроз с помощью Spotlight Secure; динамическое применение правил на основе данных
GeoIP и Command & Control (C & C)
 Система предотвращения вторжений (IPS), безопасность приложений (AppSecure), унифицированная
защита от угроз (UTM) (антивирус, антиспам, веб-фильтрация), трансляции сетевых адресов (NAT),
отказ в обслуживании (DoS) и качество обслуживания (QoS)
 Масштабируемая производительность позволяет использовать дополнительные сервисы без
ухудшения качества работы
 Гибкость интерфейса отвечает потребностям любой сети
 Надежный Routing Engine разделяет data and control planes, что позволяет использование объединенной
маршрутизации и безопасности устройств.

3.2. Настройка статических маршрутов на маршрутизаторах Juniper


Конфигурация статических маршрутов осуществляется на уровне иерархии [edit routing-options]. Базовый
статический маршрут состоит из префикса назначения и адреса next-hop. В большинстве случаев
значением next hop является IP-адрес напрямую присоединенного устройства, через которое доступен
префикс назначения. На интерфейсах "точка-точка" можно в качестве next-hop-а указать название
выходного интерфейса вместо IP-адреса удаленного устройства. Если выходной интерфейс является
Ethernet интерфейсом, то в качестве next-hop должен быть IP-адрес.
31

Рис.5.2.
Другим доступным значением next-hop может быть битоприемник (bit bucket). Другими словами, это
означает отбрасывание пакетов. Для этого существует две опции -reject или discard. Обе означают
отбрасывание пакетов. Разница между ними в том, что с опцией reject источнику IP пакета будет
отправлено ICMP сообщение (network unreachable). Если задать в качестве next-hop discard, то
оповещения источника не будет.

Статические маршруты хранятся в таблице маршрутизации до тех пор, пока не станут неактивным или не
будут удалены из конфигурации. Одной из причин, по которой статический маршрут становится
неактивным может быть недоступность IP-адреса next-hop.

По умолчанию IP-адрес next-hop статического маршрута должен быть доступен через direct маршрут. В
отличии от других вендоров, Junos OS не поддерживает рекурсивный просмотр next-hop по умолчанию.
Это дефолтное поведение можно изменить с помощью опции resolve.
Опция qualified-next-hop позволяет изменять приоритетность для статических маршрутов к одному и
тому же адресату.

Рис.5.3.
[edit routing-options]
user@R1# show
static {
route 0.0.0.0/0 {
next-hop 172.30.25.1;
qualified-next-hop 172.30.25.5 {
preference 7;
}
}
}
В примере next-hop 172.30.25.1 предполагает дефолтный для статического маршрута приоритет 5, в то
время как next-hop 172.30.25.5 использует определенный ему приоритет 7. Весь трафик по этому
статическому маршруту использует next-hop 172.30.25.1 до тех пор, пока он станет недоступен. Как
только next-hop 172.30.25.1 станет недоступен, дефолтный маршрут по умолчанию будет использовать
172.30.25.5 в качестве next-hop. Cisco определяет такое исполнение как плавающий статический
маршрут.
32
Пример конфигурации статической маршрутизации

Рис.5.4.
На рисунке представлен пример синтаксиса базовой конфигурации IPv4 и IPv6 статических маршрутов.
Также освещена опция no-readvertise, которая предотвращает распространение маршрута через политику
маршрутизации в динамические протоколы маршрутизации, такие как OSPF. Строго рекомендуется
использовать эту опцию для статических маршрутов, которые перенаправляют трафик из интерфейса
управления Ethernet и через сеть управления.

В иерархии [edit routing-options static] секция defaults содержит опции для статических маршрутов. Любая
опция, настроенная в этой секции, применяется для всех статических маршрутов на устройстве. На
рисунке видно, что мы изменили значение приоритета на 250. Программное обеспечение применит этот
приоритет для всех IPv4 статических маршрутов, для которых не определено более специфичное
значение. Дополнительные опции, которые можно применить к статическим маршрутам включают:
 as-path: Используется в случае, если маршрут распространяется в BGP и необходимо вручную
определить AS path атрибут.
 community Используется в случае, если маршрут распространяется в BGP и вы хотите добавить
значение community к маршруту для использования в вашей AS.
 metric: Если несколько маршрутов имеют одинаковое значение preference, маршрут с лучшей
метрикой станет активным в таблице маршрутизации. Использование этой опции позволяет делать
один маршрут предпочтительней другого.
 preference: Дефолтный приоритет для статических маршрутов 5. Это значение делает их более
предпочтительными по сравнению с OSPF, IS-IS или BGP маршрутами. Использование этой
опции позволяет увеличить значение приоритета для статических маршрутов для предпочтения
других источников маршрутной информации.

3.3. Настройка протокола маршрутизации OSPF для одной зоны


Настройка протокола динамической маршрутизации OSPF в Juniper JUNOS:

Посмотреть соседей можно командой "show ospf neighbor":

root@jun-1> show ospf neighbor


Address Interface State ID Pri Dead
100.0.0.2 em0.0 Full 200.0.0.2 128 38
33

Рис.5.5.

Посмотреть маршруты, полученные по протоколу OSPF можно командой "show route protocol ospf":

root@jun-1> show route protocol ospf

inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)


+ = Active Route, - = Last Active, * = Both

200.0.0.2/32 *[OSPF/10] 00:01:39, metric 1


> to 100.0.0.2 via em0.0
224.0.0.5/32 *[OSPF/10] 00:02:48, metric 1
MultiRecv

Ключевые команды для мониторинга и траблшутинга работы OSPF


show ospf route

root@Jun-1> show ospf route


Topology default Route Table:

Prefix Path Route NH Metric NextHop Nexthop


Type Type Type Interface Address/LSP
20.20.20.20 Intra Router IP 1 em0.0 10.0.0.2
10.0.0.0/30 Intra Network IP 1 em0.0
10.10.10.10/32 Intra Network IP 0 lo0.0
11.11.11.11/32 Intra Network IP 0 lo0.0
20.20.20.20/32 Intra Network IP 1 em0.0 10.0.0.2
21.21.21.21/32 Intra Network IP 1 em0.0 10.0.0.2

show ospf database

root@Jun-1> show ospf database


34

OSPF database, Area 0.0.0.0


Type ID Adv Rtr Seq Age Opt Cksum Len
Router *10.10.10.10 10.10.10.10 0x80000006 42 0x22 0x63ee 60
Router 20.20.20.20 20.20.20.20 0x80000004 43 0x22 0xfab7 60
Network 10.0.0.2 20.20.20.20 0x80000002 43 0x22 0x3b2c 32

show ospf statistic

root@Jun-1> show ospf statistics

Packet type Total Last 5 seconds


Sent Received Sent Received
Hello 64 16 1 1
DbD 7 2 0 0
LSReq 1 1 0 0
LSUpdate 3 3 0 0
LSAck 3 3 0 0

DBDs retransmitted : 4, last 5 seconds : 0


LSAs flooded : 2, last 5 seconds : 0
LSAs flooded high-prio : 0, last 5 seconds : 0
LSAs retransmitted : 0, last 5 seconds : 0
LSAs transmitted to nbr: 1, last 5 seconds : 0
LSAs requested : 1, last 5 seconds : 0
LSAs acknowledged : 4, last 5 seconds : 0

Flood queue depth : 0


Total rexmit entries : 0
db summaries : 0
lsreq entries : 0

Receive errors:
None

show ospf interface

root@Jun-1> show ospf interface


Interface State Area DR ID BDR ID Nbrs
em0.0 BDR 0.0.0.0 20.20.20.20 10.10.10.10 1
lo0.0 DR 0.0.0.0 10.10.10.10 0.0.0.0 0
lo0.0 DR 0.0.0.0 10.10.10.10 0.0.0.0 0

Важный момент в работе OSPF в JUNOS - обновление всех LSA происходит не раз в 30 минут как в Cisco
IOS, а раз в 50 минут.

3.4. Просмотр таблицы маршрутизации и таблицы пересылки


В JUNOS можно создавать несколько таблиц маршрутизации. Главная таблица называется inet.0 и
содержит ipv4 юникаст маршруты. По-умолчанию созданы следующие таблицы:
 inet.0 - используется для ipv4 юникаст маршрутов;
 inet.1 - используется для мультикаста;
 inet.2 - используется для Multicast Border Gateway Protocol (MBGP) с проверкой RPF (Reverse Path
Forwarding);
35
 inet.3 - используется для MPLS маршрутов;
 inet.4 - используется для Multicast Source Discovery Protocol (MSDP) маршрутов;
 inet6.0 - используется для ipv6 юникаст маршрутов;
 mpls.0 - используется для mpls next hops.

Как читать вывод команды "show route":

Рис.5.6.
Forwarding Table
Forwarding Table - таблица для быстрой пересылки пакетов. Строится на основе таблицы маршрутизации.
Очень похожа на технологию CEF в Cisco.

Рис.5.7.

Посмотреть, что в ней находится можно командой "show route forwarding-table":

root@jun-1> show route forwarding-table


Routing table: default.inet
Internet:
Destination Type RtRef Next hop Type Index NhRef Netif
default perm 0 rjct 36 1
0.0.0.0/32 perm 0 dscd 34 1
100.0.0.0/30 intf 0 rslv 546 1 em0.0
100.0.0.0/32 dest 0 100.0.0.0 recv 544 1 em0.0
100.0.0.1/32 intf 0 100.0.0.1 locl 545 2
100.0.0.1/32 dest 0 100.0.0.1 locl 545 2
100.0.0.2/32 dest 0 0:ab:44:8:f8:0 ucst 547 1 em0.0
36

100.0.0.3/32 dest 0 100.0.0.3 bcst 543 1 em0.0


224.0.0.0/4 perm 0 mdsc 35 1
224.0.0.1/32 perm 0 224.0.0.1 mcst 31 1
255.255.255.255/32 perm 0 bcst 32 1

Route Preference
Route Preference - это аналог Administrative Distance (AD) в Cisco IOS.
Протокол Приоритет по умолчанию
Directly connected network 0
Local 0
Static Route 5
OSPF internal route 10
RIP 100
OSPF AS external routes 150
eBGP и iBGP 170

3.5. Практична робота. Основи маршрутизації.


Завдання 1
Присвоїти IP адреси портам маршрутизаторів та перевірити зв’язок між сусідніми
Маршрутизаторами
1. Отримати у викладача номер маршрутизатора, на якому буде виконуватися робота
2. Підключитися до інтерфейсу командного рядка маршрутизатора так, як описано у Завданні 1
лабораторної роботи №1.
3. Увійти в інтерфейс командного рядка і завантажити конфігурацію під ім’ям «ukrtelecom», яка
була збережена при виконанні завдання 8 лабораторної роботи № 1:
root@JN# load override /config/ ukrtelecom
4. Перевірити розділи завантаженої конфігурації:
 «interfaces», згадані інтерфейси повинні бути налагоджені як належні до «family inet». Після
перевірки активувати конфігурацію.
5. Присвоїти IP адреси портам «свого» маршрутизатора відповідно до схеми командами типу:

Перевірити внесені зміни командою

та активувати конфігурацію.
6. Перевірити наявність зв’язку з сусідніми маршрутизаторами за допомогою команд типу

Завдання 2

Налаштувати зв’язок між усіма складовими мережі з використанням статичної маршрутизації.


Для забезпечення зв’язку між усіма маршрутизаторами у кожному пристрої необхідно вказати маршрути
до усіх мереж, які з ним безпосередньо не з’єднані. Наприклад, у маршрутизаторі J1 необхідно вказати
маршрути до п'яти мереж: 192.1.2.0.24, 192.2.1.0/30, 195.3.0.0/24, 195.3.1.0/24, 195.3.2.0/24. Останні три
мережі можна сумувати в одну мережу 195.3.0.0/22. Таким чином у J1 необхідно вказати три маршрути:

Аналогічно необхідно вказати для маршрутизаторів J2, J4, J5, J6.


Для маршрутизаторів J3 та J4 необхідно вказати два маршрути, наприклад для J3:
37
1. Вказати статичні маршрути для «свого» маршрутизатора як описано вище. Перевірити зміни у
конфігурації та активувати її.
2. Переглянути таблицю маршрутизації:

Переглянути саме статичні маршрути таблиці:

3. Перевірити наявність зв’язку з усіма маршрутизаторами (не сусідами) за допомогою команд типу

4. Переглянути таблицю пересилання

Завдання 3
Налаштувати зв’язок між усіма складовими мережі з використанням маршрутів по замовчуванню.
При налаштуванні маршрутизаторів широко використовується так званий маршрут по замовчуванню
(default route). Маршрутизатор використовує маршрут по замовчуванню, коли адреса призначення пакета
не відповідає жодному іншому маршруту у таблиці маршрутизації. Маршрут по замовчування задається
як статичний маршрут з адресою мережі призначення 0.0.0.0/0. Тут запис 0.0.0.0/0 означає мережу, до якої
відноситься будь яка IP адреса.
Наприклад, для маршрутизатора J1 можна спростити таблицю маршрутизації - замість трьох вказати один
статичний маршрут на адресу 195.1.0.2
1. У маршрутизаторі J1 (та аналогічно у J1, J5,J6) видалити наявні статичні маршрути і вказати
маршрут по замовчуванню

Перевірити зміни у конфігурації та активізувати зміни.


2. Перевірити зв’язок з іншими маршрутизаторами.

3.6. Динамічна маршрутизація. Маршрутизація за протоколом OSPF


Для роботи протоколу OSPF кожний маршрутизатор мережі повинен мати унікальний ідентифікатор.
Можна використати у якості ідентифікатора IP адресу одного з інтерфейсів, але таке рішення має недолік
(при виході з дії цього інтерфейсу система маршрутизації буде вважати, що вийшов з ладу весь
маршрутизатор, хоч інші інтерфейси продовжують працювати). Тому в кожному маршрутизаторі
доцільно мати логічний інтерфейс, працездатність якого не залежить від стану фізичних інтерфейсів.
Таким логічним інтерфейсом є кільцевий інтерфейс (loopback interface). В ОС Junos цей інтерфейс
позначається «lo0». Його IP адреса використовується як ідентифікатор маршрутизатора. Звичайно для
кільцевого інтерфейсу призначається адреса з маскою /32. Адреса кільцевому інтерфейсу присвоюється
стандартним чином

Для конфігурування на мережі процесу маршрутизації за протоколом OSPF необхідно на усіх інтерфейсах
маршрутизаторів включити дію протоколу командою

(точніше на тих, через які буде повинна відбуватися взаємодія маршрутизаторів за протоколом). Оператор
«metric» з параметром вказує на «ціну» каналу (чим менша ціна, тим краще канал при виборі маршруту);
його використання необов’язкове.
Перевірити наявність взаємодії за протоколом з сусідніми маршрутизаторами можна командою

Відповідь може мати такий вигляд. Значення стану «Full» показує, що сусіди можуть обмінюватися
інформацією про маршрути

Результат роботи протоколу, тобто маршрути, доданіза допомогою протоколу, можна визначити
командою
38

Завдання 1
7. Отримати у викладача номер маршрутизатора, на якому буде виконуватися робота
8. Підключитися до інтерфейсу командного рядка маршрутизатора так, як описано у Завданні 1
лабораторної роботи №1.
9. Увійти в інтерфейс командного рядка і завантажити конфігурацію під ім’ям «ukrtelecom1», яка
була збережена при виконанні завдання 8 лабораторної роботи № 1:
root@JN# load override /config/ ukrtelecom1
10. Перевірити розділи завантаженої конфігурації:
 «security zones» конфігурації; інтерфейси ge-0/0/0, ge-0/0/1, ge-0/0/2 повинні знаходитися у зоні
«trust»;
 «interfaces», згадані інтерфейси повинні бути налагоджені як належні до «family inet». Після
перевірки активувати конфігурацію.
11. Присвоїти IP адреси портам «свого» маршрутизатора відповідно до схеми рис. 3 командами типу
(якщо вони відсутні, або перевірити правильність відповідно схемі):

12. Присвоїти кільцевому інтерфейсу адресу відповідно до схеми

13. Перевірити внесені зміни командою

та активувати конфігурацію.
14. Перевірити наявність зв’язку з сусідніми маршрутизаторами за допомогою команд типу

Завдання 2
Налаштувати зв’язок між усіма складовими мережі з використанням динамічної маршрутизації за
протоколом OSPF.
Для забезпечення у мережі маршрутизації за протоколом OSPF необхідно включити дію протоколу на
портах маршрутизаторів. Оскільки кількість вузлів у учбовій мережі невелика доцільно усі вузли віднести
до магістральної області мережі, тобто до «area 0».
1. Включити дію протоколу OSPF на інтерфейсах маршрутизатора у тому числі і на кільцевому
інтерфейсі командами типу:

2. Перевірити зміни у конфігурації та активувати її.


3. Перевірити, чи включений протокол на інтерфейсах маршрутизатора:

4. Переглянути стан взаємодії за протоколом з сусідами


39
5. При позитивному результаті перевірки стану переглянути маршрути додані протоколом OSPF

Скопіювати та зберегти отриману таблицю у текстовому файлі (з використанням контекстного меню


заголовка вікна PuTTY).
6. Перевірити наявність зв’язку з усіма маршрутизаторами (не сусідами) за допомогою команд типу

Завдання 3
Перевірити дію динамічної маршрутизації при пошкодженні каналу зв’язку між двома вузлами
Вимкнути дію каналу зв’язку між двома маршрутизаторами мережі та перевірити наявність зв’язку між
вузлами мережі.
1. У маршрутизаторі J3 (або J4) перевести інтерфейс ge-0/0/2 у стан вимкнено

та активувати зміну.
2. Перевірити стан інтерфейсу

3. Перевірити наявність зв’язку між вузлами мережі.


4. Переглянути маршрути додані протоколом

Порівняти з маршрутами, отриманими при дії каналу між J3 та J4.


5. У маршрутизаторі J3 (або J4) повернути інтерфейс ge-0/0/2 у робочий стан

та активувати зміну.
6. Подивитися таблицю маршрутизації. Порівняти з початковим станом таблиці.