JunOS

Principes fondamentaux
Thomas Moegli
Ing. HES Tlcommunications - Rseaux et Scurit IT
JunOS

Architecture
JunOS : Vue densemble
Points-cls :
Un seul systme dexploitation
Mme systme dexploitation pour lensemble des routeurs de la gamme et, gnralement pour tous les produits
Une release software
Chaque nouvelle version de JunOS est propose en mme temps pour tous les produits
Une architecture modulaire
JunOS est conu comme un ensemble de modules communiquant entre eux via des interfaces internes dfinies
Chaque module est relativement indpendant et dispose de son propre espace mmoire.
Un module peut tre redmarr sans affecter les autres

Thomas Moegli 3
Architecture JunOS

JunOS sexcute sur tous les quipements Juniper de la srie J, M,

MX et T
Les routeurs de srie J (J2300, J4300, J6300) se dploiement en
JunOS 11.0
tant que routeur distant pour les rseaux distribus
Les routeurs de srie M sont principalement dploys sur les petits
et moyens rseaux

Thomas Moegli 4
Architecture JunOS

Le processus de routage se compose de 2 lments

Moteur de routage
(Routing Engine)
Moteur de transmission des paquets
(Packet Forwarding Engine)

Thomas Moegli 5
Architecture JunOS
Packet Forwarding Engine

Packet Forwarding Engine

Rle : Transmission des paquets entre interfaces
Utilise des processeurs spcifiques (ASIC : Application-Specific Integrated Circuits)
Les produits de la srie M (except M7i, M40, M320) disposent de moteurs redondants
Les produits de la srie J disposent uniquement de processeurs logiciels et pas de matriel ddi

Thomas Moegli 6
Architecture JunOS
Routing Engine
Routing Engine
Gre tous les protocoles de routage ainsi que le contrle des interfaces, des composants du chssis, de la gestion du
systme ainsi que les accs utilisateurs
Fonctionnalits
Protocoles de routage
Modularit software : les fonctions software sont divises en processus spars
Fonctionnalits IP avances : chaque protocole de routage est implmente avec un ensemble de services et fonctions IP
permettant le filtrage et la modification des routes
Scalabilit : support dun grand nombre de routes, dinterfaces et circuits virtuels
Interfaces de Mgmt
Gestion du stockage de fichiers : gre les images du systme, les fichiers de configuration, etc
Monitoring : surveillance du trafic, gestion et mission dalarmes sans affecter les performances de traitement du trafic

Thomas Moegli 7
Product Portfolio

Thomas Moegli 8
Product Portfolio
Series J

Dploys dans les rseaux de petite taille (bureaux rgionaux)

Routeurs ISR permettant, dans une mme appliance, le support du
routage, connectivit WAN, scurit, tlphonie IP et connectivit aux
postes grce aux modules de switching.
Bande passante totale max de 2Gbps

Thomas Moegli 9
Product Portfolio
Series EX

Appliances de switching
Dploys pour les bureaux, Campus et Data Center
Bande passante jusqu 6.2 Tbps

Thomas Moegli 10
Product Portfolio
Series SRX

Idal pour les rseaux dentreprises et Service Provider

Nombreuses interfaces supportes
Cartes 100Gbps

Thomas Moegli 11
Product Portfolio
Series M

Dploys dans les rseaux coeurs de moyenne et grandes entreprises

Applications : Route Reflector, Data Center, MPLS Edge
Alimentation redondante sur tous les modles
M10i, M20, M40e, M120, M160, M320 ont une redondance matrielle complte
Bande passante totale max jusqu 960 Gbps

Thomas Moegli 12
Product Portfolio
Series MX

Routeurs Edge optimiss Ethernet permettant le switching et le routage

Supporte deux types de cartes avec un nombre important de ports (DPC : Dense Port
Concentrator) : carte avec 40 ports GigabitEthernet ou carte avec 4 ports 10Gig Ethernet

Thomas Moegli 13
Product Portfolio
Series T

Dploys dans les rseaux coeur

Redondance matrielle complte (Alimentation, processeurs pour routage, cartes
dinterfaces)
Un Routing Matrix est une architecture multi-chassis compose dun routeur TX Matrix et
de un 4 routeurs T640 connectes au TX Matrix

Thomas Moegli 14
JunOS

Introduction au CLI
Accs au priphrique
Administration JunOS

Les priphriques JunOS peuvent tre administrs via :

Accs Console
Port de Management (port ddi ou port de switching configure comme port Mgmt)
Interface Web (J-Web)

Thomas Moegli 16
Accs au priphrique
Console
Connecter le cble RJ-45 droit sur le port console
ainsi que sur le portable via un adaptateur DB-9
DB-25 (9600-8-N-1-N)
Se connecter sur le port Console avec Putty ou
SecureCRT
Si configuration initiale :
Sauthentifier avec lutilisateur root et sans mot de
passe
Le prompt affiche dsormais : root@%
Passer sur linterface JunOS via la commande :
root@% cli
root@>
Entrer en mode de configuration :
root@> configure
[edit]
root@#
Thomas Moegli 17
Accs au priphrique
Connexion au CLI

Se connecter avec les identifiants

Par dfaut, seul lutilisateur root existe
Accder au CLI :
root#
root% cli
cli
root@>

Le caractre > indique que nous sommes en mode oprationnel.

Thomas Moegli 18
JunOS
Raccourcis-clavier

Ctrl + b : Dplace le curseur dun caractre vers la gauche

Ctrl + a : Dplace le curseur au dbut de la ligne
Ctrl + f : Dplace le curseur dun caractre vers la droite
Ctrl + e : Dplace le curseur jusqu la fin de la ligne
Delete, Retour chariot : Supprime le caractre situ avant le curseur
Ctrl + d : Supprime le caractre situ aprs le curseur
Ctrl + k : Supprime les caractres du curseur jusqu la fin de la ligne
Ctrl + u : Supprime tous les caractres et annule la commande
Ctrl + w : Supprime le mot entier situ la gauche du curseur

Thomas Moegli 19
JunOS CLI
Modes CLI

2 modes :
Mode oprationnel
Affiche le fonctionnement actuel du priphrique
Commandes disponibles pour surveiller et troubleshooting de JunOS ainsi que la connectivit rseau
Caractre : root@SRX-1>
Mode de configuration
Ensemble hirarchise
Commandes pour dfinir les proprits de JunOS (Interfaces, routage, accs utilisateur, proprits systmes et matriel, etc)
Caractre : root@SRX-1#

Thomas Moegli 20
JunOS CLI
Mode Configuration

Lors du changement de configuration, on dite un

fichier appele Candidate Configuration
Tout changement nest jamais effectif immdiatement
Il faut effectuer une opration de commit
La configuration rellement active se base sur un fichier
appele Active Configuration
Lopration de Commit rpercute les changements
effectues sur le fichier Candidate au fichier Active

Thomas Moegli 21
JunOS CLI
Mode Configuration

Afficher la configuration Active

root@SRX-210> show configuration
Lors de laffichage, un timestamp saffiche au-dessus de la configuration indiquant lheure laquelle a eu lieu le dernier
changement
Afficher les changements apportes dans le fichier Candidate par rapport la configuration active
root@SRX-210> show | compare
Utile pour vrifier les changements avant commit

Thomas Moegli 22
JunOS CLI
Passage en mode de configuration

Pour entrer en mode de configuration, entrez la commande configure ou edit depuis le mode oprationnel :
root@moegli-juniperSRX210> edit
Entering configuration mode
[edit]
root@moegli-juniperSRX210#

Pour sortir du mode de configuration et revenir en mode oprationnel, entrez la commande exit :
[edit]
root@moegli-juniperSRX210# exit
Exiting configuration mode

root@moegli-juniperSRX210>

Thomas Moegli 23
JunOS CLI
Passage en mode de configuration

Depuis le mode de configuration, certaines commandes du mode oprationnel ne fonctionnent pas

Il faut les faire prcder de la commande run :
[edit]
root@moegli-juniperSRX210# run operational-mode-command

Thomas Moegli 24
JunOS CLI
Commande configure
Commande Accs Commit

Tous les utilisateurs connects sur le priphrique peuvent modifier la

configuration
Lors de laccs au mode de configuration, le CLI affiche :
configure La liste des autres utilisateurs connects
Une alerte si des changements ont eu lieu mais sans commit
Une alerte si plusieurs utilisateurs ont chang le mme paramtre,
Tous les utilisateurs peuvent effectuer un commit de leurs
changements.
Le commit le plus rcent dtermine la configuration

provoquant ainsi des conflits

Un seul utilisateur peut sauthentifier et verrouille la configuration

Les autres utilisateurs peuvent accder au mode de configuration mais ils ne peuvent excuter une opration de commit
configure
Lors du passage en mode config, le CLI affiche lutilisateur ayant verrouill la configuration
exclusive
Il est possible denvoyer un message de dconnexion lutilisateur ayant verrouill la configuration via la commande
request system logout

Lors de lopration de commit, le routeur vrifie que la

Plusieurs utilisateurs peuvent effectuer des changements dans la configuration actuelle na pas t dj modifie par
configure configuration en mme temps quelquun dautre avant daccepter le Candidate priv
private Chaque utilisateur dispose dun fichier Candidate priv qui peut tre Si la configuration a dj t modifie, il est possible de

modifi de manire indpendante fusionner les changements effectues avec ceux dj

transmis.

Thomas Moegli 25
JunOS CLI
Commande configure

En mode configure private, pour obtenir la dernire version de la configuration sur le fichier Candidate, saisir la
commande update
Cela peut engendrer des conflits avec vos modifications apportes
Pour obtenir la dernire version et supprimer vos changements, saisir la commande rollback

Thomas Moegli 26
JunOS CLI
Commande show

La commande show permet dafficher des informations sur un point particulier

Elle est suivie de llment dont on veut afficher les dtails
En mode oprationnel, la commande affiche les informations lies llment souhait
Show interface ge0/0/0
root@SRX-210> show interface ge-0/0/0
Show version show version
root@SRX-210>
En mode de configuration, la commande affiche la configuration du systme ou dun lment du systme en
particulier

Thomas Moegli 27
JunOS CLI
Commande show

La commande show de JunOS possde plusieurs niveaux de dtails

Faire suivre la commande show par un de ces mots-cls, du plus bref au plus dtaill :
Terse
Brief
Detail
Extensive
Exemple
root@EX-1> show
show
root@SRX-210> interfaces
interfaces terse terse
Equivalent sous IOS : show ip intshow
Router# briefip interface brief

Thomas Moegli 28
JunOS CLI
Commande show

Commande show en mode de configuration

Utilis pour vrifier la configuration du systme
La commande affiche en fonction de la position dans la hirarchie CLI
La commande edit permet de se dplacer dans la hirarchie
Exemple
show show configuration : affiche la configuration du systme
configuration
root@SRX-210#
quivalent IOS : show running-config
Router# show running-config
Edit interfaces ge-0/0/0
root@SRX-210# edit interfaces ge-0/0/0
Show
[edit configuration
interfaces ge-0/0/0]
root@SRX-210# show configuration

Equivalent IOS : show show running-config

running-config
Router# interface GigabitEthernet0/0
interface Gig0/0

Thomas Moegli 29
JunOS CLI
Commande show : Equivalent IOS

JunOS (Operational mode) : root@EX-1 >show

root@SRX-210> showconfig
config
IOS : router#
Router#show
showrun
running-config

JunOS (Config mode) : root@EX-1 # show

root@SRX-210# show
IOS : router(config)#
Router(config)#do do
show runrunning-config
show

JunOS (Config mode) : root@EX-1 #show

root@SRX-210# interfaces
show ge-0/0/0
interface ge-0/0/0
IOS : router(config)#
Router(config)#do do
show runrunning-config
show interface Gig0/0interface GigabitEthernet0/0

JunOS (Config mode) : root@EX-1 #show

root@SRX-210# protocol
show ospf
protocol ospf
IOS : router(config)#
Router(config)#do do
show runrunning-config
show | section router ospf
| section router ospf

Thomas Moegli 30
JunOS CLI
Configuration

Deux commandes principales :

edit : Permet de se positionner un emplacement de la hirarchie particulire :
edit <statement-path>
root@moegli-juniperSRX210# edit <statement-path>

set : Dfinir une valeur pour une proprit :

set <statement-path> statement
root@moegli-juniperSRX210# set <identifier>
<statement-path> statement <identifier>

En gnral, on se positionne lemplacement voulu avec la commande edit et on indique la valeur avec set
Pour tre plus rapide, on peut galement dfinir immdiatement la valeur dans un emplacement avec la commande set en
spcifiant le chemin.

Thomas Moegli 31
JunOS CLI
Configuration

Exemple (Configuration dune adresse IP sur GE-0/0/0) :

Avec edit et set :
[edit]
root@moegli-juniperSRX210# edit interfaces ge-0/0/0 unit 0 family inet

[edit interfaces ge-0/0/0 unit 0 family inet]

root@moegli-juniperSRX210# set address 10.1.1.1/24

Avec set :
[edit]
root@moegli-juniperSRX210# set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24

Thomas Moegli 32
JunOS CLI
Commande set

set est utilis pour effectuer un changement dans la configuration

Comme show, la syntaxe de la commande set dpend de la position dans la hirarchie CLI
edit permet de se dplacer dans la hirarchie
Exemple
Depuis le sommet de la hirarchie (root) :
root@SRX-1 # set system host-name
root@moegli-juniperSRX210# SRX-1 host-name SRX-1
set system
Depuis une hirarchie plus basse :
root@SRX-1# edit system
root@moegli-juniperSRX210# edit system
[edit
[edit system]
system]
root@moegli-juniperSRX210#
root@SRX-1# set host-name SRX-1
set host-name SRX-1

Thomas Moegli 33
JunOS CLI
Commande delete

La commande delete est utilise pour supprimer la configuration

Equivalent IOS de la commande no
La syntaxe et leffet de la commande delete dpendent de la position dans la hirarchie CLI
Exemple :
delete depuis le sommet de la hirarchie
root@SRX-1# delete system host-name
root@moegli-juniperSRX210# SRX-1 host-name SRX-1
delete system
delete depuis un emplacement plus bas dans la hirarchie
root@SRX-1# edit system
root@moegli-juniperSRX210# edit system
[edit
[edit system]
system]
delete host-namedelete host-name SRX-1
root@moegli-juniperSRX210#
root@SRX-1#

Thomas Moegli 34
JunOS CLI
Commande delete

Attention se placer au bon emplacement dans la hirarchie

La commande delete supprime tout ce qui se trouve en dessous du niveau
Exemple du cas le plus critique :
[edit]
[edit]
root@SRX-1# delete
root@moegli-juniperSRX210# delete
Thiswill
This will delete
delete the entire
the entire configuration
configuration
Delete everything under this level ? [yes, no] (no)
)

Thomas Moegli 35
JunOS CLI
Commande rename

Utilis pour dplacer la configuration dune section une autre

Exemple
Changer la configuration dune interface une autre
Changer une adresse IP
Syntaxe
root@SRX-1#
root@SRX210#rename
rename interfaces
interfacesge-0/0/1 to ge-0/0/0
ge-0/0/1 to ge-0/0/0
root@SRX-1#
root@SRX210#rename
rename interfaces
interfacesge-0/0/0 unitunit
ge-0/0/1 0 family inet address
0 family 1.2.3.4/24
inet address to address to
1.2.3.4/24 5.6.7.8.9/24
address 5.6.7.8/24

Thomas Moegli 36
JunOS CLI
Commande copy

Utilis pour copier une configuration dune section une autre

Exemples
Copier les attributs dune interface une autre
Syntaxe
root@SRX1 # copy
root@SRX210# copyge-0/0/0
ge-0/0/1toto
ge-0/0/1
ge-0/0/1

Thomas Moegli 37
JunOS CLI
Hirarchie

Toutes les commandes CLI sont organises par niveau de hirarchie

Par exemple, toutes les commandes lies laffichage sont regroupes dans la commande show system
La hirarchie pour la configuration est forme ainsi :
Un ensemble de commandes regroupes dans un Container
Un Container peut contenir dautres Containers
Lensemble des Containers forme la hirarchie de la configuration sous JunOS

Thomas Moegli 38
JunOS CLI
Hirarchie

.
Moins spcifique

clear configure help monitor set show

arp configuration ospf version

Plus spcifique
database interface neighbor

Thomas Moegli 39
JunOS CLI
Hirarchie

Dplacement dans la hirarchie :

Commande Accs
edit
Se dplacer dans un Container spcifique de la hirarchie
hierarchy-level
exit
Revenir dun niveau dans la hirarchie
up Remonter dun niveau dans la hirarchie
top Revenir tout en haut de la hirarchie

Thomas Moegli 40
JunOS CLI
Hirarchie

Lors de laffichage de la configuration, JunOS reprsente clairement les diffrents niveaux de hirarchie :

root@moegli-juniperSRX210# edit interfaces

[edit interfaces]
root@moegli-juniperSRX210# show
ge-0/0/0 {
traceoptions {
flag media;
}
unit 0 {
family inet;
}
}

Thomas Moegli 41
JunOS CLI
Suppression
Pour supprimer une commande configure, utilisez la commande delete
Il faut se placer au bon niveau de hirarchie puis excuter la commande

[edit] [edit]
user@host# set protocols ospf area 0.0.0.0 interface so-0/0/0 hello-interval 5 user@host# set interfaces so-3/0/0 speed 100mb
[edit] [edit]
user@host# show user@host# show
protocols { interfaces {
ospf { so-3/0/0 {
area 0.0.0.0 { speed 100mb;
interface so-0/0/0 { }
hello-interval 5; }
} }
} [edit]
} user@host# delete interfaces so-3/0/0 speed
} [edit]
[edit] user@host# show
user@host# delete protocols ospf [edit]
[edit] interfaces {
user@host# show so-3/0/0
[edit] }
user@host# }

Thomas Moegli 42
JunOS CLI
Aide
root@> ?
Possible completions:
clear Clear information in the system
configure Manipulate software configuration information
file Perform file operations
help Provide help information
load
monitor Show real-time debugging information
Pour connaitre la liste des commandes mtrace Trace multicast path from source to receiver
op Invoke an operation script
disponibles, entrez : ping Ping remote target
root@>
root@> ?? quit Exit the management session
request Make system-level requests
restart Restart software process
save
set Set CLI properties, date/time, craft interface message
show Show system information
ssh Start secure shell on another host
start Start shell
telnet Telnet to another host
test Perform diagnostic debugging
Thomas Moegli traceroute Trace route to remote host 43
JunOS CLI
Aide

root@> file ?
Possible completions:
<[Enter]> Execute this command
archive Archives files from the system
checksum Calculate file checksum
Pour connaitre la syntaxe dune compare Compare files
commande, entrez le nom de la copy Copy files (local or remote)
delete Delete files from the system
commande suivie de ? : list List file information
rename Rename files
show Show file contents
source-address Local address to use in originating the connection
| Pipe through a command

Thomas Moegli 44
JunOS CLI
Autocompletion

root@> show in<Space>terfaces

La touche Tab ou Espace permet de
complter la commande en cours de
saisie
Physical interface: at-0/1/0, Enabled, Physical link is Up
Interface index: 11, SNMP ifIndex: 65
Link-level type: ATM-PVC, MTU: 4482, Clocking: Internal, SONET mode
Speed: OC12, Loopback: None, Payload scrambler: Enabled
Device flags: Present Running
Link flags: 0x01
...

Thomas Moegli 45
JunOS CLI
Historique

Pour afficher la liste des commandes rcemment saisies, utiliser la commande show cli history :
Les touches Flche haute et Flche basse permettent galement de rcuprer les anciennes commandes saisies :
root@> show cli history 3
16:20:50 -- edit
16:28:42 -- show interfaces
16:33:10 -- show cli history 3

Thomas Moegli 46
JunOS CLI
Commentaires

Ajouter un commentaire une commande saisie :

user@host#
root@SRX-1# annotate
annotate statement
statement commentaire
commentaire
Supprimer un commentaire :
user@host#
root@SRX-1# annotate
annotate statement
statement

Afficher le commentaire :
show configuration
root@SRX-1# show configuration
root@SRX-1# show statement
show statement

Thomas Moegli 47
JunOS CLI
Filtrage

Comme IOS, JunOS supporte le caractre | pour filtrer le rsultat

Commande match
Equivalent la commande IOS include
CSR-1#
Router#show
showinterfaces
interfacegig1 | include MTU
GigabitEthernet0/1 | include MTU
root@SRX-1
root@SRX-1>>show
showinterfaces
interfaces ge-0/0/0
ge-0/0/0| match MTU
| match MTU

Commande except
Equivalent la commande IOS exclude
CSR-1#
Router#show
showinterfaces
interfacegig1 | exclude MTU
GigabitEthernet0/1 | exclude MTU
root@SRX-1
root@SRX-1>>show
showinterfaces
interfaces ge-0/0/0
ge-0/0/0| except MTUMTU
| except

Thomas Moegli 48
JunOS CLI
Filtrage

Comme IOS, JunOS supporte le caractre | pour filtrer le rsultat

Commande find
Equivalent la commande IOS begin
CSR-1#
Router#show
showinterfaces
interfacegig1 | include MTU
GigabitEthernet0/1 | begin MTU
root@SRX-1
root@SRX-1>>show
showinterfaces
interfaces ge-0/0/0
ge-0/0/0| match
| findMTU
MTU

Commande display set

Affiche la configuration avec la syntaxe complte set
CSR-1# show interfaces
root@SRX-1> gig1 | exclude
show interfaces MTU| except MTU
ge-0/0/0
set interfaces
root@SRX-1 ge-0/0/0
> show unit
interfaces 0 family
ge-0/0/0 address 1.2.3.4/24
inet MTU
| except

Thomas Moegli 49
JunOS CLI
Filtrage

Comme IOS, JunOS supporte le caractre | pour filtrer le rsultat

Commande display detail
Affiche les commandes avec les commentaires
root@SRX-1
root@SRX-1>>show
showconfiguration
interfaces ge-0/0/0 | match ge-0/0/0
interfaces MTU | display detail

JunOS supporte plusieurs |

Affiche la configuration avec la syntaxe complte set
root@SRX-1
root@SRX-1>>show
showinterfaces
interfaces ge-0/0/0
terse | | except
except MTU
down | match inet

Thomas Moegli 50
JunOS

Commit et rollback
JunOS
Fonctionnement Commit
commit

0
Candidate configure Active
Configuration Configuration

rollback x

1 2 3 4 49

Thomas Moegli 52
JunOS
Fonctionnement Commit

La configuration dun switch ou dun routeur fonctionne en utilisant un modle de commit

Les modifications sont apports sur un fichier Candidate
Une opration de commit est ncessaire pour appliquer les changements sur la configuration active.
Lorsque le commit est effectu :
Vrification de la syntaxe
Si aucune erreur, la configuration est sauvegard dans le fichier juniper.conf.gz
La configuration active est enregistre pour rollback dans le fichier juniper.conf1.gz
Tout autre commit incrmente la valeur de rollback de 1 (juniper.conf.1.gz devient juniper.conf.2.gz et ainsi de suite)
Le routeur/switch peut garder jusqu 49 fichiers de rollback

Thomas Moegli 53
JunOS
Fonctionnement Commit

Emplacement des fichiers Rollback

Sur le routeur/switch, la configuration active ainsi que les trois premiers Rollback (juniper.conf.1.gz, juniper.conf.
2.gz, juniper.conf.3.gz) sont situs dans le rpertoire /config
Si le fichier rescue.conf.gz est sauvegard sur le systme, il est galement plac dans le rpertoire /config
Les fichiers de configuration usine sont situs dans /etc/config
Les 46 versions prcdentes (de juniper.conf.4 juniper.conf.49) sont stocks dans le rpertoire /var/db/config du
disque dur

Thomas Moegli 54
JunOS
Opration de Commit

Lors dune opration de commit

La syntaxe des changements est vrifie (similaire la commande commit check)
Lopration de commit seffectue (qui peut tre excute depuis nimporte quel emplacement de la hirarchie)
Il est possible deffectuer lopration de commit et de sortir automatiquement du mode de configuration avec la commande :
commit and-quit
Il est possible dajouter une description au commit avec la commande :
user@host#
root@SRX-1#commit
commitcomment comment-string
comment comment-string
Le commit peut ne pas seffectuer et faire une erreur pour les raisons suivantes :
La nouvelle configuration inclut des commandes dont la syntaxe est fausse
Le fichier Candidate dpasse les 700 MB
La configuration est verrouille par un administrateur ayant excut la commande configure exclusive

Thomas Moegli 55
JunOS
Opration de Commit

Si, en mode de configuration, lutilisateur revient au mode oprationnel (par la commande exit) sans avoir effectu un
commit de ses changements, un message indique que des changements nont pas t enregistrs
Si lutilisateur quitte sans enregistrer, les changements sont conservs
Ds que lutilisateur revient au mode de configuration, il peut valider les changements apports prcdemment
IOS valide immdiatement les changements, pas de systme de commit
IOS XR vrifie galement si des changements ont eu lieu dans la configuration. Toutefois, contrairement JunOS, ds que
lutilisateur quitte sans valider les changements, ces derniers sont annuls

Thomas Moegli 56
JunOS
Opration de Commit

commit and-quit
Effectue les changements et retourne directement dans le mode oprationnel
commit check
Vrifie la syntaxe des changements effectus et affiche le rsultat (Success ou Failure)
commit at
Planification du commit pour une date et heure ultrieures
commit confirmed
Les changements sont appliqus mais le systme effectue automatiquement un rollback quelques secondes aprs si aucune
confirmation nest effectue par la suite (nouvelle commande commit saisir)
Evite par exemple deffectuer des changements distance et de se retrouver eject de la session cause dune mauvaise
configuration

Thomas Moegli 57
JunOS
Opration de Commit

Commit avec demande de confirmation

Il est possible de demander explicitement une confirmation aprs une opration de commit
Si, aprs commit, lopration nest pas confirme aprs X minutes (par dfaut X = 10 minutes), un rollback est
automatiquement effectue
Commande :
commit confirmed
root@SRX-1# minutes
commit confirmed minutes
Vrifier le temps restant avant rollback automatique :
root@SRX-1> show system commit
0 2005-01-05
show 15:00:37 PST by root via cli commit confirmed, rollback in 3mins
system commit
Pour confirmer :
commit check commit check
root@SRX-1#

Thomas Moegli 58
JunOS
Opration de Commit

Commit avec planification

Commande commit at
Permet de dfinir une date/heure de commit ou un commit lorsque le priphrique redmarre
Syntaxe :
user@host#
root@SRX-1#commit
commitatatstring
string
Si string = reboot, le commit a lieu au redmarrage du priphrique
Si string = hh:mm[:ss], le commit a lieu au temps indiqu
Si string = yyyy-mm-dd hh:mm[:ss], le commit a lieu la date indique

Thomas Moegli 59
JunOS
Comparaison de versions

La commande show | compare permet de comparer et montrer les diffrences entre deux fichiers de configuration
Sans autre argument, la commande affiche la diffrence entre le fichier Candidate et la configuration active
Il est possible de comparer le fichier Candidate avec un autre fichier ou un rollback, la syntaxe est :
user@host#
root@SRX-1#show
show| compare
| compare(filename | rollback
(filename n)
| rollback n)
Filename est le chemin complet vers le fichier
N est lindex du rollback. Le plus rcent porte le numro 0, le plus vieux porte le numro 49 (si prsent)
Lors de laffichage des comparaisons :
Les commandes prsentes uniquement dans le fichier Candidate sont prcds du signe +
Les commandes prsentes uniquement dans la configuration active sont prcds du signe
(et seront supprims si lopration de commit a lieu)
Les commandes qui resteront inchangs ne sont prcds daucun signe

Thomas Moegli 60
JunOS
Rollback

Pour retourner une version prcdente (opration de rollback)

Commande :
user@host#
root@SRX-1#rollback [number]
rollback [number]
loadcomplete
load complete
[edit]
[edit]
root@SRX-1# commit

Sans argument number, le rollback effectue est la version juste avant modification
Une opration de commit est ncessaire aprs rollback pour valider les changements
La commande rollback 0 ou simplement rollback permet de charger la configuration Active dans la configuration
Candidate.
Autrement dit, elle supprime tous les changements qui nont pas t commits.

Thomas Moegli 61
JunOS
Rollback
[edit]
root@SRX-1# rollback ?
Possible completions:
<[Enter]> Execute this command
<number> Numeric argument
0 2005-02-27 12:52:10 PST by abc via cli
1 2005-02-26 14:47:42 PST by def via cli
2 2005-02-14 21:55:45 PST by ghi via cli
3 2005-02-10 16:11:30 PST by jkl via cli
4 2005-02-10 16:02:35 PST by mno via cli
5 2005-03-16 15:10:41 PST by pqr via cli
Afficher les rollbacks disponibles : 6 2005-03-16 14:54:21 PST by stu via cli
7 2005-03-16 14:51:38 PST by vwx via cli
8 2005-03-16 14:43:29 PST by yzz via cli
9 2005-03-16 14:15:37 PST by abc via cli
10 2005-03-16 14:13:57 PST by def via cli
11 2005-03-16 12:57:19 PST by root via other
12 2005-03-16 10:45:23 PST by root via other
13 2005-03-16 10:08:13 PST by root via other
14 2005-03-16 01:20:56 PST by root via other
15 2005-03-16 00:40:37 PST by ghi via cli
16 2005-03-16 00:39:29 PST by jkl via cli
17 2005-03-16 00:32:36 PST by mno via cli
Thomas Moegli 62
JunOS
Rollback
#root@SRX-1#
show | compare
show |rollback
compareX rollback X
Affiche les diffrentes entre la configuration Candidate et le Rollback X
Se mettre en mode de configuration et non en mode oprationnel, sinon le comparatif se fera avec la configuration Active

>root@SRX-1>
show configshow
| compare
config rollback
| compareX rollback X
Affiche les diffrences entre la configuration Active et le Rollback X

>root@SRX-1>
show system rollback
show systemX rollback X

Affiche la configuration complte du rollback X

>root@SRX-1>
show system rollback
show systemX rollback
compare rollback Y rollback Y
X | compare
Affiche les diffrences entre le rollback X et le rollback Y

Thomas Moegli 63
JunOS
Configuration Rescue

Une configuration Rescue permet de dfinir une configuration connue et fonctionnelle qui peut tre rutilise comme
rollback nimporte quel moment
Permet dviter de se souvenir dun numro de Rollback particulier pour tre sr de retrouver un tat stable
Sauvegarde de la configuration actuelle comme configuration Rescue :
user@host>
root@SRX-1> request
request system
system configuration
configurationrescue
rescuesave
save
Recharger la configuration Rescue:
[edit]
[edit]
user@host# rollbackrescue
root@SRX-1> rollback rescue
load complete
l
Opration de commit ncessaire

Thomas Moegli 64
JunOS
Sauvegarde dans fichier

La configuration peut tre sauvegarde dans un fichier texte :

[edit]
[edit]
user@host#
root@SRX-1# save
save filename
filename
[edit]
[edit]
root@SRX-1#

Thomas Moegli 65
JunOS

Interface J-Web
Interface J-Web
Vue densemble

Monitoring : Affiche la configuration courante ainsi que les informations du systme (interfaces, chassis, protocoles de
routage, tables de routages, Routing Policies, ), gestion des fichiers logs, configuration dalertes sur les interfaces
Gestion : gestion des fichiers de licence, logs, fichiers de configuration, softwares packages,
Configuration : gestion du routage, gestion des fichiers de configuration
Version graphique du CLI JunOS et de sa hirarchie
Modification et upload de la configuration dans un diteur de fichiers
Gestion de lhistorique et cration dun fichier de configuration Rescue
Troubleshooting : gestion des problmes de routage via plusieurs outils (Ping, Traceroute)

Thomas Moegli 67
Interface J-Web
Vue densemble
Configuration
Autoriser le trafic HTTP et HTTPS sur les interfaces
root@SRX-1# set security zones security-zone untrust interfaces ge-0/0/0 host inbound-traffic http
root@SRX-1# set security zones security-zone untrust interfaces ge-0/0/0 host inbound-traffic https
Dfinir linterface ou le service Web doit tre actif :
set services web-management
root@SRX-1# http
set services web-management http interface ge-0/0/0
root@SRX-1# set services web-management https interface ge-0/0/0
Dfinir un certificat auto-sign :
root@SRX-1# set services web-management https system-generated-certificate

Accs
Saisie de ladresse IP du routeur :
https://<adresse_IP_routeur>
Saisie dun nom dutilisateur et mot de passe (identique au
CLI)

Thomas Moegli 68
Interface J-Web
Onglet Dashboard

Vue par dfaut

Thomas Moegli 69
Interface J-Web
Onglet Configure

Configuration graphique
Organisation hirarchique
Console CLI

Thomas Moegli 70
Interface J-Web
Onglet Monitor

Tableaux et graphiques en temps

rel
Commandes show

Thomas Moegli 71
Interface J-Web
Onglet Maintain

Gestion des fichiers (logs, mmoire

tampon, fichiers temporaires, )
Gestion licences
Gestion software
Customer Support permettant
lenregistrement du priphrique et
obtenir du support du Juniper
Networks Technical Assistance
Center (JTAC)

Thomas Moegli 72
Interface J-Web
Onglet Troubleshoot

Outils de troubleshooting
Ping, Traceroute,

Thomas Moegli 73
JunOS

Configuration de base
Configuration de base
Configuration dusine

Utiliser la commande load factory-default pour charger la configuration dusine

Il est ncessaire toutefois de dfinir le mot de passe root avant commit :
[edit]
root@SRX-1# load factory-default
warning: activating factory configuration

[edit]

root@SRX-1# set system root-authentication plain-text-password
New password:
Retype new password:

[edit]
root@SRX-1# commit
commit complete

Thomas Moegli 75
Configuration de base
Dmarrage et arrt dun priphrique Juniper

Se rfrer la documentation spcifique la plateforme et suivre les directives de scurit pour lalimentation
lectrique
Lors dune interruption de courant, le priphrique dmarre automatiquement ds que le courant est rtabli (pas
dintervention manuelle pour redmarrer le priphrique)
Arrt dun priphrique Juniper
Recommand : utiliser la commande request system halt pour larrt des modules softwares et des flux entres/sorties
Lorsque JunOS est arrt, le courant est maintenu

Thomas Moegli 76
Configuration de base
Configuration du mot de passe Root
Caractristiques du mot de passe
Doit faire au moins 6 caractres
Doit contenir au moins lettres minuscules, lettres majuscules, numros et caractres spciaux
Configuration :
Entrer un mot de passe en clair (sera chiffr dans la configuration) :
root@SRX-1# set root-authentication plain-text-password
New Password :
Retype new password:

Entrer un mot de passe dj chiffr :

[edit groups global system]
root@SRX-1# set root-authentication encrypted-password password

Entrer une cl publique SSH :

[edit groups global system]
root@SRX-1# set root-authentication (ssh-dsa | ssh-ecdsa | ssh-rsa) key

Thomas Moegli 77
Configuration de base
Configuration du nom dhte

Par dfaut, tout quipement se nomme Amnesiac

Le FQDN dun quipement JunOS ne doit pas excder 255 caractres (nom dhte + suffixe DNS)
Configuration :
[edit system]
root@SRX-1# set host-name hostname

Effectuer un commit :
[edit system]
root@SRX-1# commit

Thomas Moegli 78
Configuration de base
Configuration DNS

Ajout dun serveur DNS

Pour la redondance, une bonne pratique est de configurer plusieurs serveurs DNS
Il est possible de configuration jusqu 3 serveurs DNS
Configuration :
[edit system]
root@SRX-1# set name-server 8.8.8.8

Configuration du nom de domaine :

[edit system]
root@SRX-1# set domain-name moegli-network.com

Thomas Moegli 79
Configuration de base
Configuration DNS

Configurer les domaines analyser lorsque le routeur/switch est inclus dans plusieurs domaines
[edit system]
root@SRX-1# set domain-search [domainone.net domainonealternate.com]

Thomas Moegli 80
Interfaces
Types dinterfaces
Interfaces Management
Interfaces permettant de se connecter au rseau de Mgmt
Interfaces Transient
Interfaces qui peuvent tre insres ou retires du routeur
Interfaces Networking
Interfaces permettant le transit du trafic (Ethernet, SONET/SDH, ATM, )
Interfaces Services
Interfaces proposant des fonctionnalits supplmentaires pour manipuler le trafic avant dtre achemin destination
Interfaces Internal
Interfaces situes au sein du routeur, permettant la connexion entre le Router Engine et le Packet Forwarder Engine. Liaison
entre le Control Plane et le Data Plane.
Interfaces Loopback
Interfaces logiques qui sont toujours actives. Tous les priphriques JunOS utilisent la dsignation lo0 pour ce type dinterface

Thomas Moegli 81
Interfaces
Interfaces Mgmt

Certains quipements Juniper disposent dun port de management ddi. Sur les autres, on utilise une interface rseau
qui sera ddi au trafic de Mgmt
Pour les quipements avec un port de Mgmt ddi, JunOS nomme ce port em0 ou fxp0.
Le trafic de Mgmt est compltement spar du trafic de donnes
Pour afficher les informations sur linterface : sldlkasdaksldasd
root@SRX-1# show interfaces jssjsjsjsjsjsjsjsjsjsj
terse | match fxp0 ou

root@SRX-1# show interfaces terse | match em0

Thomas Moegli 82
Interfaces
Interface Mgmt : Configuration dun port ddi

Lancer la commande show interfaces

root@SRX-1# terse
show interfaces terse pour dterminer le nom du port de Mgmt ddi

Configurer une adresse IP sur ce port de Mgmt

[edit interfaces fxp0 unit 0 family inet]
root@SRX-1# set address 192.168.187.1/25

Thomas Moegli 83
Interfaces
Interfaces Internal

Utiliss pour connecter le Control Plane et le Data Plane

Ne sont pas visibles de lextrieur et ne permettent pas de connecter dautres quipements
Dsignation : spcifique la plateforme
Gnralement fxpl, em0

Thomas Moegli 84
Interfaces
Interfaces Networking

Utiliss pour se connecter au rseau de donnes

Plusieurs connecteurs disponibles : Ethernet, SONET, ATM, T1, DS3
Dsignation : spcifique au connecteur
ATx : Interfaces ATM
SOx : Interfaces SONET
Fe-x/x/x : Ethernet 100Mbps
Ge-x/x/x : Ethernet 1000Mbps
Xe : 10Gig
Xle : 40Gig
Et : 100Gig

Thomas Moegli 85
Interfaces
Interfaces Service
Utiliss pour proposer un service (Tunneling, Chiffrement, )
Les services peuvent tre proposs par un module physique additionnel ou purement software
Certains services nont pas un connecteur physique et sont intgrs dans le routeur
Dsignation :
Es : Encryption (interfaces pour le chiffrement)
Gr : Tunnels GRE
Ip : Tunnels IPIP
Ls : Link Source
Ml : Multilink
Mo : Passive Monitoring
Mt : Multicast Tunnels
Vt : Virtual Tunnels

Thomas Moegli 86
Interfaces
Nommage dinterfaces

La plupart des interfaces sont nomms selon :

Le type de media (ge, so, at, )
Le numro de slot de la carte de chassis FPC (Line Card)
Sur une plateforme sans chassis, ce numro est toujours 0
Le numro de slot de la carte dinterface (PIC)
Le numro de port
Il existe dautres dsignations dinterfaces (lo0, vlan, ae, )

Thomas Moegli 87
Interfaces
Units logiques

Similaire aux sous-interfaces dans IOS

Dans JunOS, une unit logique est toujours requise
Certaines encapsulations (PPP, Cisco HDLC) ne supportent quune seule unit logique
Le numro dunit doit tre zro pour ces encapsulations
Les units logiques ne sont pas lis aux identifiants de circuits, leurs valeurs peuvent diffrer
Dans un souci de cohrence et de clart, il est toutefois recommand de les faire correspondre
Support dadresses de plusieurs protocoles

Thomas Moegli 88
Interfaces
Proprits
Proprits physiques dune interface
Protocole de couche 2 utilis
Vitesse de lien et mode duplex
MTU
Proprits logiques dune interface
Famille de protocoles
Inet
Inet6
Iso
Mpls
ethernet-switching
Adresse (IPv4, IPv6)
Circuits virtuels (Tag VLAN, VPI/VCI)

Thomas Moegli 89
Comptes utilisateurs

La connexion au priphrique se fait via un compte configur localement ou via un compte LDAP (liaison du serveur
avec le priphrique via RADIUS ou TACACS+)
Aprs cration dun compte utilisateur, le priphrique cre un rpertoire home pour lutilisateur
Caractristiques dun utilisateur
Nom dutilisateur (Username)
Nom complet
Identifiant (UID)
Privilges
Mthode dauthentification

Thomas Moegli 90
Comptes utilisateurs
Classes

Tous les utilisateurs dfinies dans JunOS doivent appartenir une classe
La classe permet de
Dfinir les privilges daccs pour un utilisateur (Console, SSH, Telnet, )
Dfinir les commandes autorises pour un utilisateur
Dfinir la dure de session maximale
Classes prdfinies :
operator : Commandes daffichage + clear, network, reset, trace
read-only : Commandes daffichage (show) uniquement
superuser / super-user : Tous les droits
unauthorized : Aucun droit

Thomas Moegli 91
Comptes utilisateurs
Configuration

Cration dun compte utilisateur

Dfinir le nom dutilisateur du nouveau compte :
[edit groups global]
root@SRX-1# edit system login user username

(Opt.) Dfinir le nom complet :

[edit groups global system login user username]
root@SRX-1# set full-name complete-name

Assigner lutilisateur une classe particulire :

[edit groups global system login user username]
root@SRX-1# set class class-name

4 classes prdfinies (Super-User, Operator, Read-Only, Unauthorized)

Thomas Moegli 92
Comptes utilisateurs
Configuration

Cration dun compte administrateur :

root@SRX-1# set system login user myadmin class super-user authentication plain-text-password
New password:

Retype new password:

Thomas Moegli 93
Comptes utilisateurs
Mthodes dauthentification

Base de donnes locale

Nom et mot de passe
Comptes individuelles et rpertoires utilisateurs

RADIUS et TACACS+ SSG 140

POWER

STATUS
HA

ALARM
PIM 1

PIM 2
PIM 3

PIM 4 RESET USB CONSOLE AUX

TX / RX
0/0
LINK TX/ RX
0/1
LINK TX / RX
0/2
LINK TX /RX
0/3
LINK

10/100
TX /RX
0/4
LINK TX /RX
0/5
LINK TX/ RX
0/6
LINK TX /RX
0/7
LINK TX /RX
0/8
LINK TX /RX

10/100/1000
0/9
LINK

Administration centralise
0/0 0/1 0/2 0/3 0/4 0/5 0/6 0/7 0/8 0/9
TX / RX LINK TX/ RX LINK TX / RX LINK TX /RX LINK TX /RX LINK TX /RX LINK TX/ RX LINK TX /RX LINK TX /RX LINK TX /RX LINK

POWER HA PIM 1 PIM 3

SSG 140
STATUS ALARM PIM 2 PIM 4 RESET USB CONSOLE AUX 10/100 10/100/1000

Utilisateurs mapps des templates prdfinies POW

ALA
ER

RM
STA
TUS

HA POWER RESET
CONFIG
TX / RX 0/0 LINK TX /RX 0/1 LINK TX / RX 0/2
10/100/1000
LINK TX / RX 0/3 LINK
CONSOLE AUX USB
0

1
SLOT NUMBER
1
2
3
4
5
6
SSG 520

Thomas Moegli 94
Comptes utilisateurs
Ordre dauthentification

Lordre des mthodes dauthentification peut tre configure

Le priphrique tente chaque mthode configure jusqu ce quun mot de passe est accepte
Si la mthode dauthentification radius et tacplus ne donne pas de rponse, lauthentification locale (password) est toujours
consulte

[edit]

root@SRX-1# show system authentication-order
authentication-order [radius tacplus password];

Thomas Moegli 95
Comptes utilisateurs
Ordre dauthentification : Exemple

[edit]
root@SRX-1# show system authentication-order
authentication-order [radius tacplus password];

Username : lab
Serveur Radius Password : lab123
9
b78
ab , la 3
2 l ECT
REJ

1 lab, lab789 0/0 0/1 0/2 0/3 0/4 0/5 0/6 0/7 0/8 0/9
4 lab, lab789 Username : lab
ACCEPT 8
TX / RX LINK TX/ RX LINK TX / RX LINK TX /RX LINK TX /RX LINK TX /RX LINK TX/ RX LINK TX /RX LINK TX /RX LINK TX /RX LINK

Password : lab456
POWER HA PIM 1 PIM 3

SSG 140

REJECT 5 Serveur TACACS+

STATUS ALARM PIM 2 PIM 4 RESET USB CONSOLE AUX 10/100 10/100/1000

6 la
b, l
ab7
89
ACC
EPT
7 Username : lab
Password : lab789
Base locale

Thomas Moegli 96
Comptes utilisateurs
Ordre dauthentification : Exemple

[edit]
root@SRX-1# show system authentication-order
authentication-order [radius tacplus];

Username : lab
Serveur Radius Password : lab123
9
b78
ab , la 3
2 l ECT
REJ

1 lab, lab789 0/0 0/1 0/2 0/3 0/4 0/5 0/6 0/7 0/8 0/9
4 lab, lab789 Username : lab
REJECT 6
TX / RX LINK TX/ RX LINK TX / RX LINK TX /RX LINK TX /RX LINK TX /RX LINK TX/ RX LINK TX /RX LINK TX /RX LINK TX /RX LINK

Password : lab456
POWER HA PIM 1 PIM 3

SSG 140

REJECT 5 Serveur TACACS+

STATUS ALARM PIM 2 PIM 4 RESET USB CONSOLE AUX 10/100 10/100/1000

Thomas Moegli 97
Comptes utilisateurs
Ordre dauthentification : Exemple

[edit]
root@SRX-1# show system authentication-order
authentication-order [radius tacplus];

Username : lab
Serveur Radius Password : lab123
b7 89
ab , la
2 l

1 lab, lab789 0/0 0/1 0/2 0/3 0/4 0/5 0/6 0/7 0/8 0/9
4 lab, lab789 Username : lab
ACCEPT 8
TX / RX LINK TX/ RX LINK TX / RX LINK TX /RX LINK TX /RX LINK TX /RX LINK TX/ RX LINK TX /RX LINK TX /RX LINK TX /RX LINK

Password : lab456
POWER HA PIM 1 PIM 3

SSG 140

Serveur TACACS+
STATUS ALARM PIM 2 PIM 4 RESET USB CONSOLE AUX 10/100 10/100/1000

6 la
b, l
ab7
89
ACC
EPT
7 Username : lab
Password : lab789
Base locale

Thomas Moegli 98
Configuration de base
Configuration du temps

Configuration manuelle (mode oprationnel)

root@SRX-1> set date YYYYMMDDhhmm.ss
Pas besoin de commit
Vrification
root@SRX-1> show system uptime
Current time: 2013-07-25 16:33:38 PDT
System booted: 2013-07-11 17:14:25 PDT (1w6d 23:19 ago)

Protocols started: 2013-07-11 17:16:35 PDT (1w6d 23:17 ago)
Last configured: 2013-07-23 12:32:42 PDT (2d 04:00 ago) by user
4:33PM up 13 days, 23:19, 1 user, load averages: 0.00, 0.01, 0.00

Thomas Moegli 99
Configuration de base
Configuration du temps

Configuration manuelle
Configuration depuis un serveur de temps
root@SRX-1> set date ntp ip-ntp-server

Thomas Moegli 100

Configuration de base
Configuration du temps : NTP

NTP est un protocole couramment utilis pour synchroniser les horloges des routers et priphriques rseaux
NTP est dfini dans la RFC 5905 (NTPv4 : Protocol and Algorithms Specification)
Un serveur NTP primaire se synchronise sur une horloge de rfrence
Les priphriques JunOS peuvent tre configurs comme :
Serveur NTP primaire : se synchronise directement sur une horloge et redistribue vers des serveurs secondaires ou des
clients NTP
Serveur NTP secondaire : se synchronise sur un serveur NTP primaire ou secondaire et redistribue vers dautres serveurs
secondaires ou des clients NTP
Client NTP : se synchronise sur un serveur NTP primaire ou secondaire. Ne redistribue pas le temps

Thomas Moegli 101

Configuration de base
Configuration du temps : NTP

Primary Secondary Secondary

Client
Server Server Server

R3
Client Client
Reference
Time

Primary Secondary
Client
Server Server

Thomas Moegli 102

Configuration de base
Configuration du temps : NTP

Configuration de synchronisation via un serveur NTP :

root@SRX-1# edit system ntp
Configuration de ladresse IP dun serveur NTP
[edit system ntp]
root@SRX-1# set boot-server <ip-serveur>

Utilise le serveur NTP au dmarrage du priphrique pour la configuration du temps

[edit system ntp]
root@SRX-1# set server <ip-serveur>

Thomas Moegli 103

Merci de votre attention !

thomas.moegli@icloud.com

Introduction to the Junos Operating System, Juniper Network Education Services

Appendix B : The J-Web Interface, Juniper Network Education Services
Introduction to JUNOS Software - Student Guide, Juniper Network Education Services
JNCIA - JN0-102, CBT Nuggets (S. Morris)
Introduction to JunOS, InterNetworks Expert (B. McGahan)

Thomas Moegli 104