Начнем с установки имени хоста коммутатора и часового пояса.

set system host-name X99-SW666-RU
set system time-zone Russia/Moscow

Давайте установим пароль root, мы также добавим пользователя «admin».
set system root-authentication plain-text-password
{enter local root password}
{confirm local root password}

В этом случае я использую TAC_PLUS, поэтому давайте настроим аутентификацию TACACS +. В приведенном ниже примере X.X.X.X — это IP-адрес вашего сервера TACACS +, а Y.Y.Y.Y — IP-адрес управления петлевого адреса самого коммутатора.
set system tacplus-server X.X.X.X
set system tacplus-server X.X.X.X secret tac_plus_shared_secret_here
set system tacplus-server X.X.X.X single-connection
set system tacplus-server X.X.X.X source-address Y.Y.Y.Y

Давайте изменим порядок источников аутентификации, сделав TACACS + первым выбором.
set system authentication-order tacplus
set system authentication-order password

Давайте установим DNS и NTP-серверы (в моем случае они одинаковые — Infoblox);
set system name-server X.X.X.X
set system name-server Y.Y.Y.Y
set system domain-name acme.com
set system ntp server X.X.X.X
set system ntp server Y.Y.Y.Y

Давайте создадим «admin» пользователя и сделаем этого пользователя суперпользователем, это будет роль пользователя, которую мы возвращаем из TACACS +. Мы не используем учетную запись «root», потому что тогда пользователю потребуется запустить интерфейс CLI. Таким образом, любой пользователь TACACS + автоматически вводит приглашение CLI при входе в систему, нет необходимости запускать приглашение CLI с помощью «cli».
set system login user admin uid 2000
set system login user admin class super-user
set system login user admin authentication plain-text-password
{enter local admin password}
{confirm local admin password}

Давайте включим SSH и WEBUI;
set system services ssh
set system services web-management https system-generated-certificate

Давайте включим аккаунтинг и настроим его для использования серверов TACACS +;
set system accounting events login
set system accounting events change-log
set system accounting events interactive-commands
set system accounting destination tacplus

Давайте включим ведение журнала и установим сервер SYSLOG, где Z.Z.Z.Z — ваш IP-адрес сервера syslog.
set system syslog host Z.Z.Z.Z any notice
set system syslog file messages any notice
set system syslog file messages authorization info
set system syslog file messages daemon info
set system syslog file interactive-commands interactive-commands any

Давайте создадим несколько VLAN и назначим им имена и идентификаторы VLAN и интерфейсы L3 (DATA = 8, VOICE = 16, SECURITY = 99);
set vlans DATA vlan-id 8
set vlans DATA l3-interface irb.8
set vlans VOICE vlan-id 16
set vlans VOICE l3-interface irb.16
set vlans SECURITY vlan-id 99
set vlans SECURITY l3-interface irb.99

Давайте назначим некоторые IP-адреса нашим интерфейсам Layer3 для каждой VLAN;
set interfaces irb unit 8 family inet address 10.200.8.1/22
set interfaces irb unit 16 family inet address 10.200.16.1/22
set interfaces irb unit 99 family inet address 10.200.99.1/24
set interfaces lo0 unit 0 family inet address 10.200.0.11/32

Вы заметите выше, что я решил сопоставить идентификатор VLAN с третьим октетом IP-адреса. Нет необходимости делать это, я просто хочу сделать это так, потому что это развертывание в новом окне, и у меня нет никаких ограничений в отношении того, как я настраиваю схему IP-адреса. Вы также заметили, что я добавил адрес loopback. Это IP-адрес, который мы будем использовать для управления этим коммутатором. Поскольку у коммутатора будет несколько маршрутизируемых восходящих линий, мы хотим использовать IP-адрес, который всегда будет доступен, если какая-либо маршрутизируемая связь будет отключена в любой момент времени.Теперь пришло время настроить некоторые порты … по умолчанию все порты принадлежат VLAN 1 (VLAN по умолчанию) в качестве портов доступа. В JunOS нам нужно использовать команду подстановки для настройки нескольких интерфейсов с помощью одной команды, аналогичной команде диапазона в Cisco. В приведенных ниже примерах я настраиваю порты 0-47 на первые два коммутатора в виртуальном шасси (стек).
wildcard range set interfaces ge-[0-1]/0/[0-47] unit 0 family ethernet-switching interface-mode access
wildcard range delete interfaces ge-[0-1]/0/[0-47] unit 0 family ethernet-switching vlan members default
wildcard range set interfaces ge-[0-1]/0/[0-47] unit 0 family ethernet-switching vlan members DATA

Теперь добавим голосовой VLAN к тем же портам. Я использую IP-телефоны Avaya 1600 Series с Avaya Communication Manager.
wildcard range set switch-options voip interface ge-[0-1]/0/[0-47].0 vlan VOICE
wildcard range set switch-options voip interface ge-[0-1]/0/[0-47].0 forwarding-class expedited-forwarding

Давайте включим ограничение скорости для каждого порта на 20% трафика — теперь вам нужно быть осторожным. Если у вас очень оживленная сеть, это значение может быть не очень хорошим выбором, поэтому необходимо провести тестирование и оценку.
set forwarding-options storm-control-profiles standardsc all bandwidth-percentage 20
wildcard range set interface ge-[0-1]/0/[0-47] unit 0 family ethernet-switching storm-control standardsc

Давайте настроим DHCP-релей для DATA и VOICE VLAN и DHCP-snoooping, где X.X.X.X и Y.Y.Y.Y — ваши DHCP-серверы;
set forwarding-options dhcp-relay server-group dhcp-srv X.X.X.X
set forwarding-options dhcp-relay server-group dhcp-srv Y.Y.Y.Y
set forwarding-options dhcp-relay active-server-group dhcp-srv
set forwarding-options dhcp-relay group all interface irb.8
set forwarding-options dhcp-relay group all interface irb.16
set system processes dhcp-service dhcp-snooping-file /var/tmp/snooping write-interval 60

Давайте позаботимся о серверах DHCP, включив фильтрацию DHCP. Мы будем доверять нашим восходящим линиям xe-0/1 / 0.0 и xe0 / 2 / 0.0
set vlans DATA forwarding-options dhcp-security group trusted overrides trusted
set vlans DATA forwarding-options dhcp-security group trusted interface xe-0/1/0.0
set vlans DATA forwarding-options dhcp-security group trusted interface xe-0/2/0.0
wildcard range set vlans DATA forwarding-options dhcp-security group untrusted interface ge-[0-1]/0/[0-47].0

Давайте включим MAC фильтрацию и ограничим каждый порт тремя MAC-адресами с 5-минутным временем восстановления.
wildcard range set switch-options interface ge-[0-1]/0/[0-47] interface-mac-limit 3 packet-action shutdown
wildcard range set interfaces ge-[0-1]/0/[0-47] unit 0 family ethernet-switching recovery-timeout 300

Давайте включим фильтрацию RSTP и BPDU;
wildcard range set protocols rstp interface ge-[0-1]/0/[0-47] edge
set protocols rstp bridge-priority 16384
set protocols rstp bpdu-block-on-edge
set protocols layer2-control bpdu-block disable-timeout 300

Поскольку мы не используем локальный порт управления, отключим аларм (показать аварийные сигналы шасси).
set chassis alarm management-ethernet link-down ignore
Давайте настроим конфигурацию SNMP;
set snmp name «X99-SW666-RU»
set snmp description «Juniper EX4300 IDF Switch»
set snmp location «X99 Xaka Labs»
set snmp contact «ACME IT Technical Services»
set snmp community ACME-READONLY authorization read-only

Давайте настроим OSPF, чтобы мы могли запускать маршрутизацию, 10.200.0.11 — это IP-адрес loopback, который мы использовали выше. 10GE восходящие линии находятся на xe-0/1/0 и xe-0/2/0. Вы заметите, что мы также используем BFD для ускорения конвергенции, если произойдет перерыв в этой конкретной восходящей линии связи.
set routing-options router-id 10.200.0.11
set protocols ospf area 0.0.0.0 interface xe-0/1/0 hello-interval 2
set protocols ospf area 0.0.0.0 interface xe-0/1/0 dead-interval 8
set protocols ospf area 0.0.0.0 interface xe-0/1/0 bfd-liveness-detection minimum-interval 300
set protocols ospf area 0.0.0.0 interface xe-0/1/0 bfd-liveness-detection multiplier 4
set protocols ospf area 0.0.0.0 interface xe-0/1/0 bfd-liveness-detection full-neighbors-only
set protocols ospf area 0.0.0.0 interface xe-0/2/0 hello-interval 2
set protocols ospf area 0.0.0.0 interface xe-0/2/0 dead-interval 8
set protocols ospf area 0.0.0.0 interface xe-0/2/0 bfd-liveness-detection minimum-interval 300
set protocols ospf area 0.0.0.0 interface xe-0/2/0 bfd-liveness-detection multiplier 4
set protocols ospf area 0.0.0.0 interface xe-0/2/0 bfd-liveness-detection full-neighbors-only

Убедитесь, что мы только объявляем маршруты подключенных интерфейсов в OSPF;
set policy-options policy-statement LOCAL_INTO_OSPF term connected from protocol direct
set policy-options policy-statement LOCAL_INTO_OSPF term connected then accept
set protocols ospf export LOCAL_INTO_OSPF

Я не собираюсь погружаться в виртуальное шасси, что, скорее всего, потребует его собственного сообщения в блоге, но вот настройки, которые я использую, чтобы минимизировать время простоя и время переключения между маршрутизаторами.
set chassis redundancy graceful-switchover
set routing-options graceful-restart

Всё что осталось делать, это «commit and-quit».

Удачи!

0 0 голос
Рейтинг статьи