Juniper路由器配置命令是网络管理员进行设备管理、网络部署和故障排查的核心工具，其命令语法基于Junos操作系统，具有结构化、层次化的特点，以下从基础配置、接口管理、路由协议、安全策略及高级功能五个维度,详细解析常用命令及其实际应用场景。

基础配置命令

初次配置Juniper路由器时，需通过Console或SSH登录进入CLI界面，默认为操作模式（>），输入configure进入配置模式（），基础配置包括设备命名、管理IP设置及用户权限划分。

• set system host-name Router-A：设置设备名称为Router-A。
• set interfaces em0 unit 0 family inet address 192.168.1.1/24：配置管理接口em0的IP地址。
• set system root-authentication plain-text-password "Password123"：设置root用户密码。
• set system login user admin class super-user authentication plain-text-password "AdminPass"：创建具有超级用户权限的admin账户。

配置完成后，需commit提交生效，commit confirmed 60可在60秒内自动回滚,避免误操作导致网络中断。

接口管理命令

接口配置是路由器功能实现的基础，需指定物理接口、逻辑单元及协议族，以GE-0/0/0接口为例：

• set interfaces ge-0/0/0 description "Link to Core-Switch"：添加接口描述信息。
• set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode access vlan members 10：将接口设置为接入模式，并划分至VLAN 10。
• set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/30：配置三层接口IP地址。

监控接口状态时，可使用show interfaces ge-0/0/0 terse查看简要信息，或show interfaces ge-0/0/0 statistics检测流量统计，若接口down，需检查show interfaces ge-0/0/0 extensive中的物理层状态及错误计数。

路由协议配置

静态路由与动态路由（如OSPF、BGP）是网络互通的关键。

• 静态路由：set routing-options static route 0.0.0.0/0 next-hop 192.168.1.254配置默认路由。
• OSPF配置：

  set protocols ospf area 0 interface ge-0/0/1  
  set protocols ospf area 0 interface lo0.0  
  set protocols ospf export static-route-filter  

  上述命令将ge-0/0/1和环回接口加入OSPF区域0，并导入静态路由策略。

• BGP配置：

  set protocols bgp group internal type internal  
  set protocols bgp group internal peer 10.1.1.2 as 65001  
  set protocols bgp group internal neighbor 10.1.1.2 activate  
  set protocols bgp group internal neighbor 10.1.1.2 prefix-list export FILTER-OUT  

  配置IBGP对等体，并应用路由策略。

验证路由表使用show route protocol ospf或show route advertising-protocol bgp 10.1.1.2。

安全策略配置

Juniper的防火墙策略基于security层级，可定义地址集、服务集及策略规则。

• 定义地址对象：set security address-book global address trust 192.168.10.0/24。
• 定义服务对象：set security policies from-zone trust to-zone untrust application HTTP。
• 配置策略规则：

  set security policies from-zone trust to-zone untrust policy allow-http match source-address trust destination-address any application HTTP  
  set security policies from-zone trust to-zone untrust policy allow-http then permit  

  该策略允许trust网段访问untrust网段的HTTP服务。

NAT配置可通过set security nat source pool POOL-1 203.0.113.10/32地址池,并关联策略实现源地址转换。

高级功能命令

• 链路聚合（LAG）：

  set interfaces ae0 aggregated-ether-options lacp active  
  set interfaces ge-0/0/2 ether-options 802.3ad ae0  
  set interfaces ge-0/0/3 ether-options 802.3ad ae0  

• 高可用性（VRRP）：

  set routing-options vrrp group 1 virtual-address 10.1.1.254  
  set routing-options vrrp group 1 priority 120  

• 日志监控：set system syslog file messages any any，通过show log messages查看实时日志。

相关问答FAQs

Q1: 如何在Juniper路由器上查看已配置的策略并验证匹配情况？
A1: 使用show security policies命令查看所有策略规则，通过show security policies match from-zone trust to-zone untrust policy allow-http查看特定策略的匹配次数（如数据包/字节数统计），若策略未生效，需检查show security policies hit-count确认策略顺序及条件是否正确，并验证show security flow session查看实际流量是否通过策略。

Q2: 配置BGP邻居时，如何排查Established状态失败的问题？
A2: 首先使用show bgp neighbor 10.1.1.2查看错误信息，常见原因包括：

• AS号配置错误：确认双方AS号一致（IBGP）或正确（EBGP）。
• 网络层可达性：检查物理链路及接口IP配置，使用ping 10.1.1.2测试连通性。
• 防火墙或ACL拦截：通过show security policies检查BGP端口（179）是否允许流量。
• TCP参数问题：确认hold-time、keepalive等参数匹配，必要时使用debug bgp 10.1.1.2 receive抓包分析。