Junos配置实战指南：网络工程师必备的命令手册与运维核心

在网络设备的领域中，Juniper以其独特的工程师思维而著称。其网络操作系统Junos，不同于常见的“命令堆砌型”系统，提供了一个结构清晰、逻辑严谨的操作环境，其命令风格深受Unix系统影响，使得网络配置的过程如同编写结构化的代码。

掌握Junos，意味着不仅要记住命令，更要理解其设计哲学。本文将系统梳理Junos的核心命令与配置逻辑，帮助你从“会敲命令”进阶到“理解思维”。

一、Junos CLI的极简设计哲学

Junos的操作界面基于两种核心模式，区分了查看与配置的职责：

1. 操作模式 (Operational Mode)：用于查看设备状态、监控及诊断。

   >

2. 配置模式 (Configuration Mode)：用于修改系统配置。

   #

   通过 configure 命令可从操作模式进入配置模式。

Junos的精髓在于其声明式的配置模型和树形结构。所有配置通过 set 命令逐层“声明”，而非一步步“执行”。

基础操作流程示例： 配置一个接口并提交：

set interfaces ge-0/0/1 description “To Core”
set interfaces ge-0/0/1 unit 0 family inet address 192.168.1.1/24
commit

这种设计带来了极高的可维护性和可预测性。你随时可以通过 show | compare 查看待提交的更改，或使用 rollback 回退到任意历史配置版本。这正是许多资深工程师评价 Junos 为“真正具备版本控制能力的网络系统”的原因，其思想与现代化的运维/DevOps实践不谋而合。

二、设备状态日常巡检命令

快速掌握设备健康状态是运维的基本功。

1. 查看系统状态

show system uptime
show system processes
show system memory
show system storage
show system alarms

2. 查看配置信息

show configuration 以层级树状显示配置，而 show configuration | display set 则以可直接执行的 set 命令格式输出，便于复制和批量操作。

show configuration
show configuration | display set
show configuration interfaces

3. 查看接口状态

show interfaces terse # 查看所有接口摘要
show interfaces ge-0/0/1 # 查看指定接口详情
show interfaces diagnostics optics ge-0/0/1 # 查看光模块诊断信息（如光功率）

4. 查看系统日志

Junos的日志系统与Linux相似，结构清晰。

show log messages # 查看系统日志
show log interactive-commands # 查看历史操作命令记录

三、接口配置详解

接口配置是网络工程的基础，Junos的配置方式体现了其逻辑分层思想。

1. 核心概念：逻辑接口 (Unit)

在Junos中，物理接口下必须创建逻辑单元(Unit)才能进行三层协议配置。这是理解Juniper配置的关键。

set interfaces ge-0/0/1 unit 0 family inet address 10.1.1.1/24

2. 常用接口配置示例

设置接口描述：

set interfaces ge-0/0/1 description “To Core-SW”

启用接口（默认启用，禁用使用set … disable，删除disable配置即启用）：

delete interfaces ge-0/0/1 disable

配置Trunk口（承载多个VLAN）：

set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode trunk
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members [ 10 20 30 ]

配置Access口（承载单个VLAN）：

set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode access
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 10

四、VLAN配置

1. 创建VLAN

set vlans VLAN10 vlan-id 10
set vlans VLAN10 l3-interface irb.10 # 关联三层虚拟接口

2. 查看VLAN信息

show vlans

3. 配置三层交换虚拟接口 (IRB)

IRB接口相当于Cisco的SVI（Switch Virtual Interface），用于VLAN间路由。

set interfaces irb unit 10 family inet address 192.168.10.1/24

五、路由协议配置

作为以路由器起家的厂商，Juniper在路由方面的功能极为强大。

1. 静态路由

set routing-options static route 0.0.0.0/0 next-hop 192.168.1.254

查看路由表：

show route

2. OSPF配置示例

set protocols ospf area 0.0.0.0 interface ge-0/0/1.0
set protocols ospf area 0.0.0.0 interface irb.10

查看OSPF邻居及数据库：

show ospf neighbor
show ospf database

3. BGP配置示例

set protocols bgp group CORE type internal
set protocols bgp group CORE local-address 10.10.10.1
set protocols bgp group CORE neighbor 10.10.10.2 peer-as 65001

查看BGP会话状态：

show bgp summary
show bgp neighbor

六、防火墙过滤策略 (Firewall Filter)

Junos的ACL称为防火墙过滤器（Firewall Filter），其配置采用“条件-动作”的术语化结构，逻辑清晰。

定义一个过滤出站流量的过滤器：

set firewall family inet filter BLOCK-OUT term ALLOW-INTRANET from source-address 10.0.0.0/8
set firewall family inet filter BLOCK-OUT term ALLOW-INTRANET then accept
set firewall family inet filter BLOCK-OUT term DENY-ALL then discard

将过滤器应用到接口：

set interfaces ge-0/0/1 unit 0 family inet filter output BLOCK-OUT

查看过滤器状态：

show firewall

七、DHCP与NAT配置

1. DHCP服务器配置

set system services dhcp pool 192.168.10.0/24 address-range low 192.168.10.100 high 192.168.10.200
set system services dhcp pool 192.168.10.0/24 router 192.168.10.1
set system services dhcp pool 192.168.10.0/24 name-server 114.114.114.114

查看地址分配情况：

show system services dhcp binding

2. 源NAT配置 (以SRX系列为例)

set security nat source rule-set NAT-INSIDE from zone trust
set security nat source rule-set NAT-INSIDE to zone untrust
set security nat source rule-set NAT-INSIDE rule RULE1 match source-address 192.168.10.0/24
set security nat source rule-set NAT-INSIDE rule RULE1 then source-nat interface

八、链路聚合 (LACP) 配置

创建聚合以太网(AE)接口： 首先，设置设备支持的聚合组数量：

set chassis aggregated-devices ethernet device-count 2

将物理接口绑定至聚合组：

set interfaces ge-0/0/1 ether-options 802.3ad ae0
set interfaces ge-0/0/2 ether-options 802.3ad ae0

配置聚合接口属性及IP地址：

set interfaces ae0 aggregated-ether-options lacp active
set interfaces ae0 unit 0 family inet address 10.10.10.1/24

九、提升运维效率的核心特性

1. 配置回滚 (Rollback)

rollback 1 # 回滚到上一个提交的配置
rollback 3 # 回滚到最近第3次提交的配置
show system commit # 查看提交历史

2. 配置差异比对 (Compare)

提交前使用 show | compare 确认变更内容，这是一个必须养成的好习惯。

3. 确认后提交 (Commit Confirmed)

这是一个防止配置错误导致断网的“救命”功能。

commit confirmed 5

执行后，系统会在5分钟后自动回滚，除非你在倒计时内再次输入 commit 进行确认。

4. 集成抓包工具 (Monitor Traffic)

Junos内置的流量监控工具非常灵活，无需外接镜像端口即可进行基础排查。

monitor traffic interface ge-0/0/1 no-resolve matching “port 80”

十、常见故障排查命令

1. 链路层故障

show interfaces ge-0/0/1 extensive
show interfaces diagnostics optics ge-0/0/1

2. 路由故障

show route 192.168.10.100 detail
show route protocol ospf

3. 安全策略故障 (SRX)

show security flow session
show security policies

4. 硬件及环境故障

show chassis hardware
show chassis alarms
show chassis environment

对于涉及复杂网络/系统问题的深度排查，这些命令是定位问题的起点。

十一、工程师实践心法总结

1. 暂存而非删除：临时禁用配置使用 deactivate，而非直接 delete，便于快速恢复。
2. 变更前先比对：执行任何配置修改前，先执行 show | compare。
3. 批量操作用加载：大批量配置更新，使用 load merge terminal 或从文件加载更高效。
4. 高危操作加保险：涉及可能中断业务的修改，务必使用 commit confirmed。
5. 自动化取用格式：编写自动化脚本时，优先采用 show configuration | display set 输出的命令格式。

掌握Junos的真谛，不在于记忆命令的数量，而在于理解其结构化、可预测的配置哲学，并将其融入日常的运维与安全/渗透实践中。