Juniper
-
Upload
anto-padaunan -
Category
Documents
-
view
37 -
download
5
description
Transcript of Juniper
-
JunosOS
System Basics Configuration Guide
Release
12.1
Published: 2012-05-08
Copyright 2012, Juniper Networks, Inc.
-
Juniper Networks, Inc.1194 North Mathilda AvenueSunnyvale, California 94089USA408-745-2000www.juniper.net
This product includes the Envoy SNMP Engine, developed by Epilogue Technology, an Integrated Systems Company. Copyright 1986-1997,Epilogue Technology Corporation. All rights reserved. This program and its documentation were developed at private expense, and no partof them is in the public domain.
This product includes memory allocation software developed by Mark Moraes, copyright 1988, 1989, 1993, University of Toronto.
This product includes FreeBSD software developed by the University of California, Berkeley, and its contributors. All of the documentationand software included in the 4.4BSD and 4.4BSD-Lite Releases is copyrighted by the Regents of the University of California. Copyright 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994. The Regents of the University of California. All rights reserved.
GateD software copyright 1995, the Regents of the University. All rights reserved. Gate Daemon was originated and developed throughrelease 3.0 by Cornell University and its collaborators. Gated is based on Kirtons EGP, UC Berkeleys routing daemon (routed), and DCNsHELLO routing protocol. Development of Gated has been supported in part by the National Science Foundation. Portions of the GateDsoftware copyright 1988, Regents of the University of California. All rights reserved. Portions of the GateD software copyright 1991, D.L. S. Associates.
This product includes software developed by Maker Communications, Inc., copyright 1996, 1997, Maker Communications, Inc.
Juniper Networks, Junos, Steel-Belted Radius, NetScreen, and ScreenOS are registered trademarks of Juniper Networks, Inc. in the UnitedStates and other countries. The Juniper Networks Logo, the Junos logo, and JunosE are trademarks of Juniper Networks, Inc. All othertrademarks, service marks, registered trademarks, or registered service marks are the property of their respective owners.
Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify,transfer, or otherwise revise this publication without notice.
Products made or sold by Juniper Networks or components thereof might be covered by one or more of the following patents that areowned by or licensed to Juniper Networks: U.S. Patent Nos. 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312,6,429,706, 6,459,579, 6,493,347, 6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186, and 6,590,785.
JunosOS System Basics Configuration GuideRelease 12.1Copyright 2012, Juniper Networks, Inc.All rights reserved.
Revision HistoryFebruary 2012 R1 Junos OS 12.1
The information in this document is current as of the date on the title page.
YEAR 2000 NOTICE
Juniper Networks hardware and software products are Year 2000 compliant. Junos OS has no known time-related limitations through theyear 2038. However, the NTP application is known to have some difficulty in the year 2036.
ENDUSER LICENSE AGREEMENT
The Juniper Networks product that is the subject of this technical documentation consists of (or is intended for use with) Juniper Networkssoftware. Use of such software is subject to the terms and conditions of the End User License Agreement (EULA) posted athttp://www.juniper.net/support/eula.html. By downloading, installing or using such software, you agree to the terms and conditionsof that EULA.
Copyright 2012, Juniper Networks, Inc.ii
-
Abbreviated Table of ContentsAbout This Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxix
Part 1 OverviewChapter 1 Introduction to Junos OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Chapter 2 Junos OS Configuration Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Part 2 SystemManagementChapter 3 System Management Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Chapter 4 SystemManagement Configuration Statements . . . . . . . . . . . . . . . . . . . . . . 65
Chapter 5 Configuring Basic SystemManagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Chapter 6 Configuring User Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Chapter 7 Configuring System Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Chapter 8 Configuring Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Chapter 9 Configuring System Log Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Chapter 10 Configuring System Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Chapter 11 Configuring Miscellaneous System Management Features . . . . . . . . . . . . 253
Chapter 12 Security Configuration Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Chapter 13 Summary of SystemManagement Configuration Statements . . . . . . . . . . 313
Part 3 AccessChapter 14 Configuring Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
Chapter 15 Summary of Access Configuration Statements . . . . . . . . . . . . . . . . . . . . . . 553
Part 4 Security ServicesChapter 16 Security Services Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631
Chapter 17 Security Services Configuration Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . 635
Chapter 18 Summary of Security Services Configuration Statements . . . . . . . . . . . . . 691
Part 5 Router ChassisChapter 19 Router Chassis Configuration Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767
Chapter 20 Summary of Router Chassis Configuration Statements . . . . . . . . . . . . . . . 919
Part 6 IndexIndex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 987
iiiCopyright 2012, Juniper Networks, Inc.
-
Index of Statements and Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1009
Copyright 2012, Juniper Networks, Inc.iv
Junos OS 12.1 System Basics Configuration Guide
-
Table of ContentsAbout This Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxix
Junos OS Documentation and Release Notes . . . . . . . . . . . . . . . . . . . . . . . . . . xxxixObjectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xlAudience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xlSupported Platforms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xlUsing the Indexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xliUsing the Examples in This Manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xli
Merging a Full Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xliMerging a Snippet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xlii
Documentation Conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xliiDocumentation Feedback . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xlivRequesting Technical Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xliv
Self-Help Online Tools and Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xlvOpening a Case with JTAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xlv
Part 1 OverviewChapter 1 Introduction to Junos OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Junos OS Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Junos OS Architecture Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Product Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Routing Process Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Packet Forwarding Engine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Routing Engine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Router Hardware Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Junos OS Commit Model for Router or Switch Configuration . . . . . . . . . . . . . . . . . 8Junos OS Routing Engine Components and Processes . . . . . . . . . . . . . . . . . . . . . . 9
Routing Engine Kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Initialization Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Management Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Process Limits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Routing Protocol Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Interface Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Chassis Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11SNMP and MIB II Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
List of Junos OS Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Junos OS Support for IPv4 Routing Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18Junos OS Support for IPv6 Routing Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20Junos OS Routing and Forwarding Tables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Routing Policy Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Junos OS Support for VPNs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
vCopyright 2012, Juniper Networks, Inc.
-
Chapter 2 Junos OS Configuration Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Junos OS Configuration Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Junos OS Configuration from External Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25Methods for Configuring Junos OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Junos OS Command-Line Interface (CLI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28ASCII File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28J-Web Package . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Junos XML Management Protocol Software . . . . . . . . . . . . . . . . . . . . . . . . . . 29NETCONF XML Management Protocol Software . . . . . . . . . . . . . . . . . . . . . . 29Configuration Commit Scripts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Configuring a Router for the First Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Initial Router or Switch Configuration Using the Junos OS . . . . . . . . . . . . . . . 30Configuring the Junos OS for the First Time on a Router or Switch with a
Single Routing Engine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31Configuring the Junos OS the First Time on a Router with Dual Routing
Engines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Junos OS Default Settings for Router Security . . . . . . . . . . . . . . . . . . . . . . . . . 41Junos OS Configuration Using the CLI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41Creating and Activating a Candidate Configuration . . . . . . . . . . . . . . . . . . . . 42Disk Space Management for Junos OS Installation . . . . . . . . . . . . . . . . . . . . . 42
Example: Configuring a Proxy Server for License Updates . . . . . . . . . . . . . . . . . . . 43Junos OS Tools for Monitoring the Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Junos OS Features for Router Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Methods of Remote Access for Router Management . . . . . . . . . . . . . . . . . . . 47Junos OS Supported Protocols and Methods for User Authentication . . . . . 48Junos OS Plain-Text Password Requirements . . . . . . . . . . . . . . . . . . . . . . . . 49Junos OS Support for Routing Protocol Security Features and IPsec . . . . . . 49Junos OS Support for Firewall Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50Junos OS Auditing Support for Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Upgrading to 64-bit Junos OS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Part 2 SystemManagementChapter 3 System Management Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Format for Specifying IP Addresses, Network Masks, and Prefixes in Junos OSConfiguration Statements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Format for Specifying Filenames and URLs in Junos OS CLI Commands . . . . . . . 58Default Directories for Junos OS File Storage on the Router or Switch . . . . . . . . . 59
Directories on the Logical System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Junos OS Tracing and Logging Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Junos OS Authentication Methods for Routing Protocols . . . . . . . . . . . . . . . . . . . 62Junos OS User Authentication Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Chapter 4 SystemManagement Configuration Statements . . . . . . . . . . . . . . . . . . . . . . 65
System Management Configuration Statements . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Chapter 5 Configuring Basic SystemManagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Configuring Basic Router or Switch Properties . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Configuring the Hostname of the Router or Switch . . . . . . . . . . . . . . . . . . . . . . . . 74Mapping the Name of the Router to IP Addresses . . . . . . . . . . . . . . . . . . . . . . . . . 75
Copyright 2012, Juniper Networks, Inc.vi
Junos OS 12.1 System Basics Configuration Guide
-
Configuring an ISO System Identifier for the Router . . . . . . . . . . . . . . . . . . . . . . . . 75Example: Configuring the Name of the Router, IP Address, and System ID . . . . . . 76Configuring the Domain Name for the Router or Switch . . . . . . . . . . . . . . . . . . . . 76Example: Configuring the Domain Name for the Router or Switch . . . . . . . . . . . . . 77Configuring the Domains to Search When a Router or Switch Is Included in
Multiple Domains . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Configuring a DNS Name Server for Resolving a Hostname into Addresses . . . . . 77Configuring a Backup Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Configuring a Backup Router Running IPv4 . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Configuring a Backup Router Running IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Configuring Automatic Mirroring of the CompactFlash Card on the Hard DiskDrive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Configuring the Physical Location of the Router or Switch . . . . . . . . . . . . . . . . . . . 81Configuring the Root Password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82Example: Configuring the Root Password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Example: Configuring a Plain-Text Password for Root Logins . . . . . . . . . . . . . . . . 84Example: Configuring SSH Authentication for Root Logins . . . . . . . . . . . . . . . . . . 84Special Requirements for Junos OS Plain-Text Passwords . . . . . . . . . . . . . . . . . . 84Changing the Requirements for Junos OS Plain-Text Passwords . . . . . . . . . . . . . 87Example: Changing the Requirements for Junos OS Plain-Text Passwords . . . . . 87Configuring Multiple Routing Engines to Synchronize Committed Configurations
Automatically . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Compressing the Current Configuration File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Chapter 6 Configuring User Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
Junos OS Login Classes Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Defining Junos OS Login Classes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Junos OS User Accounts Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Configuring Junos OS User Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Example: Configuring User Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Limiting the Number of User Login Attempts for SSH and Telnet Sessions . . . . . 97Example: Limiting the Number of Login Attempts for SSH and Telnet
Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Configuring Time-Based User Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98Examples: Configuring Time-Based User Access . . . . . . . . . . . . . . . . . . . . . . . . . 100Junos-FIPS Crypto Officer and User Accounts Overview . . . . . . . . . . . . . . . . . . . . 101
Crypto Officer User Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101FIPS User Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Understanding Junos OS Access Privilege Levels . . . . . . . . . . . . . . . . . . . . . . . . . 101Junos OS Login Class Permission Flags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Allowing or Denying Individual Commands for Junos OS Login Classes . . . . 104
Configuring Access Privilege Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106Example: Configuring Access Privilege Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106Specifying Access Privileges for Junos OS Operational Mode Commands . . . . . 106Regular Expressions for Allowing and Denying Junos OS Operational Mode
Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108Example: Configuring Access Privileges for Operational Mode Commands . . . . 109
viiCopyright 2012, Juniper Networks, Inc.
Table of Contents
-
Specifying Access Privileges for Junos OS Configuration Mode Hierarchies . . . . . 110Regular Expressions for Allowing and Denying Junos OS Configuration Mode
Hierarchies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Example: Specifying Access Privileges Using allow/deny-configuration-regexps
Statements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Specifying Access Privileges Using allow/deny-configuration Statements . . . . . 115Defining Access Privileges Using allow/deny-configuration Statements . . . . . . . 117Configuring the Timeout Value for Idle Login Sessions . . . . . . . . . . . . . . . . . . . . . 118Configuring CLI Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Chapter 7 Configuring System Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Configuring RADIUS Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121Configuring RADIUS Server Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121Configuring MS-CHAPv2 for Password-Change Support . . . . . . . . . . . . . . . 122Specifying a Source Address for the Junos OS to Access External RADIUS
Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Juniper Networks Vendor-Specific RADIUS Attributes . . . . . . . . . . . . . . . . . . . . . 124Configuring TACACS+ Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Configuring TACACS+ Server Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126Specifying a Source Address for the Junos OS to Access External TACACS+
Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Configuring the Same Authentication Service for Multiple TACACS+
Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Configuring Juniper Networks Vendor-Specific TACACS+ Attributes . . . . . . 128
Juniper Networks Vendor-Specific TACACS+ Attributes . . . . . . . . . . . . . . . . . . . . 129Overview of Template Accounts for RADIUS and TACACS+ Authentication . . . . 130Configuring Remote Template Accounts for User Authentication . . . . . . . . . . . . 130Configuring Local User Template Accounts for User Authentication . . . . . . . . . . 131Using Regular Expressions on a RADIUS or TACACS+ Server to Allow or Deny
Access to Commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133Junos OS Authentication Order for RADIUS, TACACS+, and Password
Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134Using RADIUS or TACACS+ Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . 135Using Local Password Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135Order of Authentication Attempts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
Configuring the Junos OS Authentication Order for RADIUS, TACACS+, and LocalPassword Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Example: Configuring System Authentication for RADIUS, TACACS+, andPassword Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Recovering the Root Password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Chapter 8 Configuring Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
Modifying the Default Time Zone for a Router or Switch Running Junos OS . . . . 145NTP Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146Synchronizing and Coordinating Time Distribution Using NTP . . . . . . . . . . . . . . . 147
Configuring NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147Configuring the NTP Boot Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
Copyright 2012, Juniper Networks, Inc.viii
Junos OS 12.1 System Basics Configuration Guide
-
Specifying a Source Address for an NTP Server . . . . . . . . . . . . . . . . . . . . . . . 148NTP Time Server and Time Services Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 149Configuring the NTP Time Server and Time Services . . . . . . . . . . . . . . . . . . . . . . 150
Configuring the Router or Switch to Operate in Client Mode . . . . . . . . . . . . . 151Configuring the Router or Switch to Operate in Symmetric Active Mode . . . . 151Configuring the Router or Switch to Operate in Broadcast Mode . . . . . . . . . 152Configuring the Router or Switch to Operate in Server Mode . . . . . . . . . . . . 152
Configuring NTP Authentication Keys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153Configuring the Router or Switch to Listen for Broadcast Messages Using
NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154Configuring the Router or Switch to Listen for Multicast Messages Using NTP . . 154Setting a Custom Time Zone on Routers or Switches Running Junos OS . . . . . . 155
Importing and Installing Time Zone Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155Configuring a Custom Time Zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
Chapter 9 Configuring System Log Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
Junos OS System Log Configuration Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 157Junos OS System Log Configuration Hierarchy . . . . . . . . . . . . . . . . . . . . . . . . . . . 158Junos OS Minimum and Default System Logging Configuration . . . . . . . . . . . . . 158
Junos OS Minimum System Logging Configuration . . . . . . . . . . . . . . . . . . . . 159Junos OS Default System Log Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159Junos OS Platform-Specific Default System Log Messages . . . . . . . . . . . . . 161
Single-Chassis System Logging Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161Single-Chassis System Logging Configuration Overview . . . . . . . . . . . . . . . . 162Specifying the Facility and Severity of Messages to Include in the Log . . . . . 163Junos OS System Logging Facilities and Message Severity Levels . . . . . . . . 164Directing System Log Messages to a Log File . . . . . . . . . . . . . . . . . . . . . . . . . 165Logging Messages in Structured-Data Format . . . . . . . . . . . . . . . . . . . . . . . 166Directing System Log Messages to a User Terminal . . . . . . . . . . . . . . . . . . . . 167Directing System Log Messages to the Console . . . . . . . . . . . . . . . . . . . . . . . 167System Logging on a Remote Machine or the Other Routing Engine . . . . . . 168
Directing System Log Messages to a Remote Machine or the OtherRouting Engine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Specifying an Alternative Source Address for System Log Messages . . 169Changing the Alternative Facility Name for Remote System Log
Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169System Log Default Facilities for Messages Directed to a Remote
Destination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171Junos OS System Log Alternate Facilities for Remote Logging . . . . . . . . 172Examples: Assigning an Alternative Facility . . . . . . . . . . . . . . . . . . . . . . . 173Adding a Text String to System Log Messages . . . . . . . . . . . . . . . . . . . . 174
Specifying Log File Size, Number, and Archiving Properties . . . . . . . . . . . . . . 174Including Priority Information in System Log Messages . . . . . . . . . . . . . . . . . 176System Log Facility Codes and Numerical Codes Reported in Priority
Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177Including the Year or Millisecond in Timestamps . . . . . . . . . . . . . . . . . . . . . . 179Using Regular Expressions to Refine the Set of Logged Messages . . . . . . . . 180Junos System Log Regular Expression Operators for the match
Statement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
ixCopyright 2012, Juniper Networks, Inc.
Table of Contents
-
Disabling the System Logging of a Facility . . . . . . . . . . . . . . . . . . . . . . . . . . . 183Examples: Configuring System Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
System Logging Configuration for a TX Matrix Router . . . . . . . . . . . . . . . . . . . . . 185Configuring System Logging for a TX Matrix Router . . . . . . . . . . . . . . . . . . . 185Configuring Message Forwarding to the TX Matrix Router . . . . . . . . . . . . . . . 187Impact of Different Local and Forwarded Severity Levels on System Log
Messages on a TX Matrix Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188Messages Logged When the Local and Forwarded Severity Levels Are
the Same . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188Messages Logged When the Local Severity Level Is Lower . . . . . . . . . . 189Messages Logged When the Local Severity Level Is Higher . . . . . . . . . . 189
Configuring Optional Features for Forwarded Messages on a TX MatrixRouter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190Including Priority Information in Forwarded Messages . . . . . . . . . . . . . . 191Adding a Text String to Forwarded Messages . . . . . . . . . . . . . . . . . . . . . 191Using Regular Expressions to Refine the Set of Forwarded
Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191Directing Messages to a Remote Destination from the Routing Matrix Based
on the TX Matrix Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192Configuring System Logging Differently on Each T640 Router in a Routing
Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193System Logging Configuration for a TX Matrix Plus Router . . . . . . . . . . . . . . . . . 194
Configuring System Logging for a TX Matrix Plus Router . . . . . . . . . . . . . . . . 195Configuring Message Forwarding to the TX Matrix Plus Router . . . . . . . . . . . 197Impact of Different Local and Forwarded Severity Levels on System Log
Messages on a TX Matrix Plus Router . . . . . . . . . . . . . . . . . . . . . . . . . . . 198Messages Logged When the Local and Forwarded Severity Levels Are
the Same . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198Messages Logged When the Local Severity Level Is Lower . . . . . . . . . . 198Messages Logged When the Local Severity Level Is Higher . . . . . . . . . . 199
Configuring Optional Features for Forwarded Messages on a TX Matrix PlusRouter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200Including Priority Information in Forwarded Messages . . . . . . . . . . . . . 200Adding a Text String to Forwarded Messages . . . . . . . . . . . . . . . . . . . . . 201Using Regular Expressions to Refine the Set of Forwarded
Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201Directing Messages to a Remote Destination from the Routing Matrix Based
on a TX Matrix Plus Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201Configuring System Logging Differently on Each T1600 Router in a Routing
Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202
Copyright 2012, Juniper Networks, Inc.x
Junos OS 12.1 System Basics Configuration Guide
-
Chapter 10 Configuring System Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
System Services Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206Configuring clear-text or SSL Service for Junos XML Protocol Client
Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207Configuring clear-text Service for Junos XML Protocol Client
Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207Configuring SSL Service for Junos XML Protocol Client Applications . . . . . 208
Configuring the Router or Interface to Act as a DHCP Server on J Series ServicesRouters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208
DHCP Access Service Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210Network Address Assignments (Allocating a New Address) . . . . . . . . . . . . . 210Network Address Assignments (Reusing a Previously Assigned Address) . . 212Static and Dynamic Bindings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212Compatibility with Autoinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213Conflict Detection and Resolution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
DHCP Statement Hierarchy and Inheritance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213Configuring Address Pools for DHCP Dynamic Bindings . . . . . . . . . . . . . . . . . . . . 215Configuring Manual (Static) DHCP Bindings Between a Fixed IP Address and a
Client MAC Address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216Specifying DHCP Lease Times for IP Address Assignments . . . . . . . . . . . . . . . . . 217Configuring a DHCP Boot File and DHCP Boot Server . . . . . . . . . . . . . . . . . . . . . . 217Configuring the Next DHCP Server to Contact After a Boot Client Establishes
Initial Communication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218Configuring a Static IP Address as DHCP Server Identifier . . . . . . . . . . . . . . . . . . 219Configuring a Domain Name and Domain Search List for a DHCP Server Host . . 219Configuring Routers Available to the DHCP Client . . . . . . . . . . . . . . . . . . . . . . . . 220Creating User-Defined DHCP Options Not Included in the Default Junos
Implementation of the DHCP Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221Example: Complete DHCP Server Configuration . . . . . . . . . . . . . . . . . . . . . . . . . 222Example: Viewing DHCP Bindings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223Example: Viewing DHCP Address Pools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224Example: Viewing and Clearing DHCP Conflicts . . . . . . . . . . . . . . . . . . . . . . . . . . 224Configuring Tracing Operations for DHCP Processes . . . . . . . . . . . . . . . . . . . . . . 224
Configuring the DHCP Processes Log Filename . . . . . . . . . . . . . . . . . . . . . . 225Configuring the Number and Size of DHCP Processes Log Files . . . . . . . . . . 225Configuring Access to the DHCP Log File . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226Configuring a Regular Expression for Refining the Output of DHCP Logged
Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226Configuring DHCP Trace Operation Events . . . . . . . . . . . . . . . . . . . . . . . . . . 226
DHCP Processes Tracing Flags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227Configuring the Router as an Extended DHCP Local Server . . . . . . . . . . . . . . . . . 228Interaction Among the DHCP Client, Extended DHCP Local Server, and
Address-Assignment Pools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230Extended DHCP Local Server and Address-Assignment Pools . . . . . . . . . . . . . . 230Methods Used by the Extended DHCP Local Server to Determine Which
Address-Assignment Pool to Use . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231Matching the Client IP Address to the Address-Assignment Pool . . . . . . . . . 231Matching Option 82 Information to Named Address Ranges . . . . . . . . . . . . 231
Default Options Provided by the Extended DHCP Server for the DHCP Client . . 232
xiCopyright 2012, Juniper Networks, Inc.
Table of Contents
-
Using External AAA Authentication Services to Authenticate DHCP Clients . . . . 232Configuring Authentication Support for an Extended DHCP Application . . . 233Grouping Interfaces with Common DHCP Configurations . . . . . . . . . . . . . . 234Configuring Passwords for Usernames the DHCP Application Presents to
the External AAA Authentication Service . . . . . . . . . . . . . . . . . . . . . . . . 235Creating Unique Usernames the Extended DHCP Application Passes to the
External AAA Authentication Service . . . . . . . . . . . . . . . . . . . . . . . . . . . 235Client Configuration Information Exchanged Between the External Authentication
Server, DHCP Application, and DHCP Client . . . . . . . . . . . . . . . . . . . . . . . . . 237Tracing Extended DHCP Local Server Operations . . . . . . . . . . . . . . . . . . . . . . . . 238
Configuring the Filename of the Extended DHCP Local Server ProcessesLog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
Configuring the Number and Size of Extended DHCP Local Server ProcessesLog Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
Configuring Access to the Log File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239Configuring a Regular Expression for Lines to Be Logged . . . . . . . . . . . . . . . 239Configuring Trace Option Flags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
Example: Configuring the Minimum Extended DHCP Local ServerConfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Example: Extended DHCP Local Server Configuration with Optional PoolMatching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Verifying and Managing the DHCP Server Configuration . . . . . . . . . . . . . . . . . . . 241Configuring DTCP-over-SSH Service for the Flow-Tap Application . . . . . . . . . . . 241Configuring Finger Service for Remote Access to the Router . . . . . . . . . . . . . . . . 242Configuring FTP Service for Remote Access to the Router or Switch . . . . . . . . . 243Configuring SSH Service for Remote Access to the Router or Switch . . . . . . . . . 244
Configuring the Root Login Through SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . 245Configuring the SSH Protocol Version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245Configuring the Client Alive Mechanism . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Configuring Outbound SSH Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246Configuring the Device Identifier for Outbound SSH Connections . . . . . . . . 247Sending the Public SSH Host Key to the Outbound SSH Client . . . . . . . . . . 247Configuring Keepalive Messages for Outbound SSH Connections . . . . . . . 248Configuring a New Outbound SSH Connection . . . . . . . . . . . . . . . . . . . . . . 249Configuring the Outbound SSH Client to Accept NETCONF as an Available
Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249Configuring Outbound SSH Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Configuring NETCONF-Over-SSH Connections on a Specified TCP Port . . . . . . 250Configuring Telnet Service for Remote Access to a Router or Switch . . . . . . . . . 250
Chapter 11 Configuring Miscellaneous System Management Features . . . . . . . . . . . . 253
Configuring the Junos OS to Set Console and Auxiliary Port Properties . . . . . . . 254Configuring the Junos OS to Disable Protocol Redirect Messages on the Router
or Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256Configuring the Junos OS to Select a Fixed Source Address for Locally Generated
TCP/IP Packets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256Configuring the Junos OS to Make the Router or Interface Act as a DHCP or
BOOTP Relay Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257
Copyright 2012, Juniper Networks, Inc.xii
Junos OS 12.1 System Basics Configuration Guide
-
Configuring the Junos OS to Disable the Routing Engine Response to MulticastPing Packets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Configuring the Junos OS to Disable the Reporting of IP Address and Timestampsin Ping Responses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
Configuring Password Authentication for Console Access to PICs . . . . . . . . . . . 259Configuring the Junos OS to Display a System Login Message . . . . . . . . . . . . . . 259Configuring the Junos OS to Display a System Login Announcement . . . . . . . . 260Disabling Junos OS Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261Configuring Failover to Backup Media if a Junos OS Process Fails . . . . . . . . . . . . 261Configuring Password Authentication for the Diagnostics Port . . . . . . . . . . . . . . 262Viewing Core Files from Junos OS Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262Saving Core Files from Junos OS Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263Using Junos OS to Configure Logical System Administrators . . . . . . . . . . . . . . . 263Using Junos OS to Configure a Router or Switch to Transfer Its Configuration to
an Archive Site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264Configuring the Router or Switch to Transfer Its Currently Active
Configuration to an Archive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264Configuring the Transfer Interval for Periodic Transfer of the Active
Configuration to an Archive Site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265Configuring Transfer of the Current Active Configuration When a
Configuration Is Committed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265Configuring Archive Sites for Transfer of Active Configuration Files . . . . . . . 265
Using Junos OS to Specify the Number of Configurations Stored on theCompactFlash Card . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
Configuring RADIUS System Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267Configuring Auditing of User Events on a RADIUS Server . . . . . . . . . . . . . . . 267Specifying RADIUS Server Accounting and Auditing Events . . . . . . . . . . . . . 267Configuring RADIUS Server Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
Example: Configuring RADIUS System Accounting . . . . . . . . . . . . . . . . . . . . . . . 269Configuring TACACS+ System Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
Specifying TACACS+ Auditing and Accounting Events . . . . . . . . . . . . . . . . . 270Configuring TACACS+ Server Accounting . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Configuring TACACS+ Accounting on a TX Matrix Router . . . . . . . . . . . . . . . . . . . 271Configuring the Junos OS to Work with SRC Software . . . . . . . . . . . . . . . . . . . . . 271Configuring the Junos OS ICMPv4 Rate Limit for ICMPv4 Routing Engine
Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272Configuring the Junos OS ICMPv6 Rate Limit for ICMPv6 Routing Engine
Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272Configuring the Junos OS for IP-IP Path MTU Discovery on IP-IP Tunnel
Connections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273Configuring TCP MSS for Session Negotiation . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
Configuring TCP MSS on T Series and M Series Routers . . . . . . . . . . . . . . . . 274Configuring TCP MSS on J Series Services Routers . . . . . . . . . . . . . . . . . . . . 274
Configuring the Junos OS for IPv6 Path MTU Discovery . . . . . . . . . . . . . . . . . . . . 274Configuring the Junos OS for IPv6 Duplicate Address Detection Attempts . . . . . 275Configuring the Junos OS for Acceptance of IPv6 Packets with a Zero Hop
Limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275Configuring the Junos OS to Enable Processing of IPv4-mapped IPv6
Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
xiiiCopyright 2012, Juniper Networks, Inc.
Table of Contents
-
Configuring the Junos OS for Path MTU Discovery on Outgoing GRE TunnelConnections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Configuring the Junos OS for Path MTU Discovery on Outgoing TCPConnections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Configuring the Junos OS to Ignore ICMP Source Quench Messages . . . . . . . . . . 277Configuring the Junos OS to Enable the Router or Switch to Drop Packets with
the SYN and FIN Bits Set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277Configuring the Junos OS to Disable TCP RFC 1323 Extensions . . . . . . . . . . . . . . 278Configuring the Junos OS to Disable the TCP RFC 1323 PAWS Extension . . . . . . 278Configuring the Junos OS to Extend the Default Port Address Range . . . . . . . . . 278Configuring the Junos OS ARP Learning and Aging Options for Mapping IPv4
Network Addresses to MAC Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279Configuring Passive ARP Learning for Backup VRRP Routers or Switches . . 279Configuring a Delay in Gratuitous ARP Requests . . . . . . . . . . . . . . . . . . . . . . 279Configuring a Gratuitous ARP Request When an Interface is Online . . . . . . 280Configuring the Purging of ARP Entries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280Adjusting the ARP Aging Timer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280
Disabling MAC Address Learning of Neighbors Through ARP or Neighbor Discoveryfor IPv4 and IPv6 Neighbors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
Configuring System Alarms to Appear Automatically on J Series Routers, EXSeries Ethernet Switches, and the QFX Series . . . . . . . . . . . . . . . . . . . . . . . . 281
System Alarms on J Series Routers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
Chapter 12 Security Configuration Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
Example: Configuring a Router Name and Domain Name . . . . . . . . . . . . . . . . . . 283Example: Configuring RADIUS Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . 284Example: Creating Login Classes with Specific Privileges . . . . . . . . . . . . . . . . . . 285Example: Configuring User Login Accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285Example: Configuring RADIUS Template Accounts . . . . . . . . . . . . . . . . . . . . . . . 286Example: Enabling SSH Connection Services . . . . . . . . . . . . . . . . . . . . . . . . . . . 286Example: Configuring System Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287Example: Configuring NTP as a Single Time Source for Router and Switch Clock
Synchronization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287Example: Configuring ATM, SONET, Loopback, and Out-of-Band Management
Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288Example: Configuring SNMPv3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290Examples: Configuring Protocol-Independent Routing Properties . . . . . . . . . . . 292
Example: Configuring the Router ID and Autonomous System Number forBGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
Example: Configuring Martian Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . 293Example: Viewing Reserved IRI IP Addresses . . . . . . . . . . . . . . . . . . . . . . . . 293
Example: Configuring the BGP and IS-IS Routing Protocols . . . . . . . . . . . . . . . . 294Configuring BGP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295Configuring IS-IS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
Configuring Firewall Policies and Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296Example: Configuring Firewall Filters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297Example: Configuring Firewall Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300
Example: Consolidated Security Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . 301
Copyright 2012, Juniper Networks, Inc.xiv
Junos OS 12.1 System Basics Configuration Guide
-
Chapter 13 Summary of SystemManagement Configuration Statements . . . . . . . . . . 313
accounting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314access-end . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315access-start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315accounting-port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316allow-commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316allow-configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317allow-configuration-regexps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318allow-duplicates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319allow-v4mapped-packets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320allowed-days . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320announcement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321archival . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322archive (All System Log Files) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323archive (Individual System Log File) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324archive-sites (Configuration File) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327authentication (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328authentication (Login) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329authentication-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330authentication-order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331autoinstallation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332auxiliary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333backup-router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334boot-file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335boot-server (DHCP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336boot-server (NTP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337broadcast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338broadcast-client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339change-type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339circuit-type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340class (Assigning a Class to an Individual User) . . . . . . . . . . . . . . . . . . . . . . . . . . . 341class (Defining Login Classes) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341client-identifier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342commit synchronize . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343compress-configuration-files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345configuration-servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346connection-limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347console (Physical Port) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348console (System Logging) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349default-address-selection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350default-lease-time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351delimiter (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352deny-commands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353deny-configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354deny-configuration-regexps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355destination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356destination-override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
xvCopyright 2012, Juniper Networks, Inc.
Table of Contents
-
dhcp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358dhcpv6 (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360dhcp-local-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363diag-port-authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368domain-name (DHCP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369domain-name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369domain-name (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370domain-search . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371donot-disable-ip6op-ondad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372dump-device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373dynamic-profile-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374explicit-priority . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375facility-override . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375file (System Logging) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377finger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378flow-tap-dtcp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379ftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379full-name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380gratuitous-arp-on-ifup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380gre-path-mtu-discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381group (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384host-name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386http . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386https . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387icmpv4-rate-limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388icmpv6-rate-limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389idle-timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390inet6-backup-router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391interfaces (ARP Aging Timer) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392interface (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394internet-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395ip-address-first . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396ipip-path-mtu-discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397ipv6-duplicate-addr-detection-transmits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397ipv6-path-mtu-discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398ipv6-path-mtu-discovery-timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398ipv6-reject-zero-hop-limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399load-key-file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399local-certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400location . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401log-prefix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402log-rotate-frequency . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402logical-system-name (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
Copyright 2012, Juniper Networks, Inc.xvi
Junos OS 12.1 System Basics Configuration Guide
-
login-alarms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405login-tip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405mac-address (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406match . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407max-configurations-on-flash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407maximum-lease-time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408maximum-length . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409minimum-changes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410minimum-length . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411mirror-flash-on-disk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412multicast-client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413name-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413next-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414no-compress-configuration-files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414no-gre-path-mtu-discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414no-ipip-path-mtu-discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414no-ipv6-reject-zero-hop-limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414no-multicast-echo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415no-path-mtu-discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416no-ping-record-route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416no-ping-time-stamp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416no-redirects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417no-remote-trace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417no-saved-core-context . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417no-source-quench . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417no-tcp-rfc1323-paws . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418no-tcp-rfc1323 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418ntp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419option-60 (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420option-82 (DHCP Local Server Authentication) . . . . . . . . . . . . . . . . . . . . . . . . . . 421option-82 (DHCP Local Server Pool Matching) . . . . . . . . . . . . . . . . . . . . . . . . . . 422outbound-ssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423passive-learning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426password (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427password (Login) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428path-mtu-discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428peer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429permissions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430pic-console-authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431pool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432pool-match-order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433port (Proxy Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434port (HTTP/HTTPS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434port (NETCONF Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435port (RADIUS Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436port (SRC Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
xviiCopyright 2012, Juniper Networks, Inc.
Table of Contents
-
port (TACACS+ Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439protocol-version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441radius-options (Edit Access) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441radius-options (edit system) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442radius-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443rate-limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444retry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445retry-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446root-authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447root-login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449routing-instance-name (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . 450saved-core-context . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451saved-core-files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451secret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452server (NTP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453server (RADIUS Accounting) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454server (Proxy) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454server (TACACS+ Accounting) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455server-identifier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457service-deployment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460single-connection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461size . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462source-address (NTP, RADIUS, System Logging, or TACACS+) . . . . . . . . . . . . . 463source-address (SRC Software) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464source-port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464source-quench . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465ssh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466static-binding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467static-host-mapping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468structured-data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470system . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471tacplus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472tacplus-options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473tacplus-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474tcp-drop-synfin-set . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474tcp-mss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476time-format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478time-zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479
Copyright 2012, Juniper Networks, Inc.xviii
Junos OS 12.1 System Basics Configuration Guide
-
traceoptions (Address-Assignment Pool) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482traceoptions (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484traceoptions (DHCP Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486traceoptions (SBC Configuration Process) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489tracing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491transfer-interval (Configuration) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492transfer-on-commit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493trusted-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494uid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495use-imported-time-zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495user (Access) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496user (System Logging) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497username . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498username-include (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499user-prefix (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500versioning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501web-management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502wins-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503world-readable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504xnm-clear-text . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504xnm-ssl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
Part 3 AccessChapter 14 Configuring Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
Access Configuration Statements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510Configuring the PPP Authentication Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514Example: Configuring PPP CHAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515Example: Configuring CHAP Authentication with RADIUS . . . . . . . . . . . . . . . . . . 515Configuring L2TP for Enabling PPP Tunneling Within a Network . . . . . . . . . . . . . 518Defining the Minimum L2TP Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519Configuring the Address Pool for L2TP Network Server IP Address Allocation . . 520Configuring the Group Profile for Defining L2TP Attributes . . . . . . . . . . . . . . . . . . 521
Configuring L2TP for a Group Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522Configuring the PPP Attributes for a Group Profile . . . . . . . . . . . . . . . . . . . . 522
Example: Group Profile Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523Configuring Access Profiles for L2TP or PPP Parameters . . . . . . . . . . . . . . . . . . 524
Configuring the Access Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524Configuring the L2TP Properties for a Profile . . . . . . . . . . . . . . . . . . . . . . . . . 525Configuring the PPP Properties for a Profile . . . . . . . . . . . . . . . . . . . . . . . . . 525Configuring the Authentication Order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526Configuring the Accounting Order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526
Configuring the L2TP Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527Example: Defining the Default Tunnel Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527Example: Defining the User Group Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528Configuring the CHAP Secret for an L2TP Profile . . . . . . . . . . . . . . . . . . . . . . . . . 528Example: Configuring L2TP PPP CHAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529Referencing the Group Profile from the L2TP Profile . . . . . . . . . . . . . . . . . . . . . . 529Configuring L2TP Properties for a Client-Specific Profile . . . . . . . . . . . . . . . . . . 530
xixCopyright 2012, Juniper Networks, Inc.
Table of Contents
-
Example: PPP MP for L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531Example: L2TP Multilink PPP Support on Shared Interfaces . . . . . . . . . . . . . . . . 532Configuring the PAP Password for an L2TP Profile . . . . . . . . . . . . . . . . . . . . . . . . 533Example: Configuring PAP for an L2TP Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . 533Configuring PPP Properties for a Client-Specific Profile . . . . . . . . . . . . . . . . . . . 534Applying a Configured PPP Group Profile to a Tunnel . . . . . . . . . . . . . . . . . . . . . 535Example: Applying a User Group Profile on the M7i or M10i Router . . . . . . . . . . . 536Example: Configuring the Access Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536Example: Configuring L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537Configuring RADIUS Authentication for L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . 539RADIUS Attributes for L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541Example: Configuring RADIUS Authentication for L2TP . . . . . . . . . . . . . . . . . . . 545Configuring the RADIUS Disconnect Server for L2TP . . . . . . . . . . . . . . . . . . . . . . 545Configuring RADIUS Authentication for an L2TP Client and Profile . . . . . . . . . . 546Example: Configuring RADIUS Authentication for an L2TP Profile . . . . . . . . . . . 547Understanding Session Options for Subscriber Access . . . . . . . . . . . . . . . . . . . . 548Configuring Subscriber Session Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550Configuring an IKE Access Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550
Chapter 15 Summary of Access Configuration Statements . . . . . . . . . . . . . . . . . . . . . . 553
accounting (access profile) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553accounting-order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554accounting-port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554accounting-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555accounting-session-id-format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555accounting-stop-on-access-deny . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556accounting-stop-on-failure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557address-assignment (Address-Assignment Pools) . . . . . . . . . . . . . . . . . . . . . . . 558address-pool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559address-range . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559allowed-proxy-pair . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560attributes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561authentication-order . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562authentication-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563boot-file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563boot-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564cell-overhead . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564chap-secret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565circuit-id (Address-Assignment Pools) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565circuit-type (DHCP Local Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567client-authentication-algorithm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568client-idle-timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569client-group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570client-session-timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571dhcp-attributes (Address-Assignment Pools) . . . . . . . . . . . . . . . . . . . . . . . . . . . 572domain-name (Address-Assignment Pools) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573drop-timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573
Copyright 2012, Juniper Networks, Inc.xx
Junos OS 12.1 System Basics Configuration Guide
-
encapsulation-overhead . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574ethernet-port-type-virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574exclude (RADIUS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575fragment-threshold . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577framed-ip-address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577framed-pool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578grace-period . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578group-profile (Associating with Client) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579group-profile (Group Profile) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580hardware-address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581host (Address-Assignment Pools) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581idle-timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582ignore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583ike . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584ike-policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585immediate-update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585initiate-dead-peer-detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586interface-description-format . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586interface-id . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587ip-address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587keepalive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588keepalive-retries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589l2tp (Group Profile) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590l2tp (Profile) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591lcp-renegotiation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592local-chap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 593maximum-lease-time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 593maximum-sessions-per-tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594multilink . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595name-server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .