GUIA PRÁTICO PARA ATIVAÇÃO DO ROUTER JUNIPER MX104

Este documento tem como objetivo, de uma forma sucinta informar ao administrador de rede os
passos iniciais para ativação do roteador MX104.

Neste ponto, já consideramos que o router está fisicamente instalado e com acesso à internet.

Configurações básicas

Ao ligar o MX pela primeira vez o usuário padrão é root sem senha. Abaixo os passos necessários para
que o router fique acessível na rede utilizando a interface fxp0 (interface ethernet da routing engine,
com a finalidade de realizar gerência out of band).

Após a inicilização do router, conectar no router via console, com o seguinte output:

Amnesiac <ttyd0>

login: root

tart the CLI.

root@% cli

root>

*Entrar no modo de configuração:

root> configure

Entering configuration mode.

root@#

*Configurar a senha do usuário root

root@# set system root-authentication plain-text-password

New password: password

Retype new password: password

[edit]

*Criar um usuário e senha para gerenciamento da caixa

root# set system login user “usuário” class super-user authentication plain-text-password

New Password: password

Retype new password: password

*Configurar a interface fxp0 (interface ethernet da routing engine)
set interfaces fxp0 unit 0 family inet address address/mascara

*Configurar rota default

set routing-options static route “subnet/mascara” next-hop “IP do next-hop”

*Salvar as configurações e ativá-las em produção

commit

Recomendações de versão:

Até a presente data (28/03/2017), a versão recomendada tanto para roteadores MX104 (BNG ou
Borda), é a versão 15.1R5.

O download da versão, poderá ser realizado diretamente pelo site da Juniper www.juniper.net. Para
realizar o download é necessário o cadastro no site do fabricante
https://userregistration.juniper.net/entitlement/setupAccountInfo.do , sendo que, a ativação da conta
deverá ser feita pelo serial number da caixa.

Link how-to para criação da conta na Juniper.

https://kb.juniper.net/InfoCenter/index?page=content&id=KB9946&actp=METADATA

Após realizar o download realizar a cópia do software para o MX utilizando SCP, FTP, Pendrive e
realizar a instalação.

Como realizar a transferência dos arquivos para a caixa:

https://www.juniper.net/documentation/en_US/junos/topics/reference/command-summary/file-
copy.html

Como montar o pendrive no MX:

https://kb.juniper.net/InfoCenter/index?page=content&id=KB12880&actp=METADATA

Após realizar a transferência do arquivo realizar a instalação do software:

request system software add /var/tmp/installation-package

*após a instalação ser concluída, realizar o reboot da caixa para ativação do novo software

request system reboot

Recomendação de configurações gerais:

Após o upgrade da caixa realizar a seguinte configuração padrão:

set system time-zone America/Sao_Paulo

set system no-multicast-echo

set system no-redirects

set system no-ping-record-route

set system no-ping-time-stamp

set system internet-options path-mtu-discovery

set system internet-options tcp-drop-synfin-set

set system internet-options ipv6-path-mtu-discovery

set system internet-options no-tcp-reset drop-all-tcp

set system ports console type vt100

set system ports auxiliary disable

set system services ssh root-login deny

set system services ssh no-tcp-forwarding

set system services ssh protocol-version v2

set system services ssh connection-limit 20

set system services ssh rate-limit 20

set system login password format sha1

set routing-options aggregate defaults discard

set system login retry-options tries-before-disconnect 5

set system login retry-options backoff-threshold 3

set system login retry-options backoff-factor 10

set system login retry-options lockout-period 2

set chassis network-services enhanced-ip

Após realizar a alteração do network-services é necessário realizar o reboot da caixa.

Após o reboot realizar a verificação:

show chassis network-services (deverá constar: Network Services Mode: Enhanced-IP)

Alterar o filtro de ARP no IX.br - SP

O router MX104 por padrão vem com uma policer habilitada de 150kbps para pacotes ARP destinados a
caixa. O tráfego de 150Kbps é distribuído entre todas as interfaces do router. Desta forma quando é
ativado uma conexão com o IX, o tráfego de broadcast acaba consumindo toda essa policer e começa a
gerar diversos problemas, sendo que os mais comuns são oscilações de sessões BGP e perda de
pacotes.

Para ajustar este comportamento do router é necessário criar um nova policer de ARP e aplicá-la a
interface que está conectada ao fabric do IX, a policer individual prevalece sobre a policer global,
eliminando assim problemas de oscilações e perda de pacotes.

Configuração necessária:

*Criar a policer de ARP:

set firewall policer per-interface-arp-limiter if-exceeding bandwidth-limit 1m

set firewall policer per-interface-arp-limiter if-exceeding burst-size-limit 15k

set firewall policer per-interface-arp-limiter then discard

*Aplicar a policer na interface que está falando com o PTT

set interfaces “interface física” unit “id da unit” family inet policer arp per-interface-arp-limiter
Filtro proteção a CPU da caixa (Routing Engine)

A routing engine é a responsável por realizar diferentes funções, entre as quais podemos destacar,
processar updates de protocolos de roteamento e acesso via CLI ao equipamento. É essencial que seja
realizado o filtro de proteção, permitindo somente o tráfego necessário.

Para realizar esta proteção, é necessário a utilização de firewall filter, sendo que, em várias situações
utilizamos os comandos de apply-path para automatizar o processo.

Documentação de apoio:

https://kb.juniper.net/InfoCenter/index?page=content&id=TN174

Abaixo um exemplo básico (que deve ser melhorado de acordo com os protocolos utilizados)

set policy-options prefix-list NTP-SERVERS apply-path "system ntp server <*>"

set policy-options prefix-list BGP-PEERS apply-path "protocols bgp group <*> neighbor <*>"

set policy-options prefix-list IPV4-INTERFACES apply-path "interfaces <*> unit <*> family inet address <*>"

set policy-options prefix-list SNMP-SERVERS apply-path "snmp community <*> clients <*>"

set firewall family inet filter PROTECT-RE term ACEITA-BGP from source-prefix-list BGP-PEERS

set firewall family inet filter PROTECT-RE term ACEITA-BGP from destination-prefix-list IPV4-INTERFACES

set firewall family inet filter PROTECT-RE term ACEITA-BGP from protocol tcp

set firewall family inet filter PROTECT-RE term ACEITA-BGP from port bgp

set firewall family inet filter PROTECT-RE term ACEITA-BGP then accept

set firewall family inet filter PROTECT-RE term ACEITA-SNMP from source-prefix-list SNMP-SERVERS

set firewall family inet filter PROTECT-RE term ACEITA-SNMP from protocol udp

set firewall family inet filter PROTECT-RE term ACEITA-SNMP from destination-port snmp

set firewall family inet filter PROTECT-RE term ACEITA-SNMP then policer LIMIT-1M

set firewall family inet filter PROTECT-RE term ACEITA-SNMP then accept

set firewall family inet filter PROTECT-RE term ACEITA-NTP from source-prefix-list NTP-SERVERS

set firewall family inet filter PROTECT-RE term ACEITA-NTP from protocol udp

set firewall family inet filter PROTECT-RE term ACEITA-NTP from destination-port ntp

set firewall family inet filter PROTECT-RE term ACEITA-NTP then policer LIMIT-32K

set firewall family inet filter PROTECT-RE term ACEITA-NTP then accept
set firewall family inet filter PROTECT-RE term ACEITA-ICMP from icmp-type echo-request

set firewall family inet filter PROTECT-RE term ACEITA-ICMP from icmp-type echo-reply

set firewall family inet filter PROTECT-RE term ACEITA-ICMP from icmp-type unreachable

set firewall family inet filter PROTECT-RE term ACEITA-ICMP from icmp-type time-exceeded

set firewall family inet filter PROTECT-RE term ACEITA-ICMP then policer LIMIT-1M

set firewall family inet filter PROTECT-RE term ACEITA-ICMP then accept

set firewall family inet filter PROTECT-RE term ACEITA-TRACEROUTE from protocol udp

set firewall family inet filter PROTECT-RE term ACEITA-TRACEROUTE from destination-port 33434-33523

set firewall family inet filter PROTECT-RE term ACEITA-TRACEROUTE then accept

set firewall family inet filter PROTECT-RE term ACEITA-TRACEROUTE then policer LIMIT-1M

set firewall family inet filter PROTECT-RE term ACEITA-SSH from source-address "especificar endereços de origem que podem
acessar a caixa"

set firewall family inet filter PROTECT-RE term ACEITA-SSH from protocol tcp

set firewall family inet filter PROTECT-RE term ACEITA-SSH from port ssh

set firewall family inet filter PROTECT-RE term ACEITA-SSH then policer LIMIT-3M

set firewall family inet filter PROTECT-RE term ACEITA-SSH then count accept-ssh

set firewall family inet filter PROTECT-RE term ACEITA-SSH then accept

set firewall family inet filter PROTECT-RE term DESCARTA-RESTO then discard

set firewall policer LIMIT-3M if-exceeding bandwidth-limit 3m

set firewall policer LIMIT-3M if-exceeding burst-size-limit 15k

set firewall policer LIMIT-3M then discard

set firewall policer LIMIT-1M if-exceeding bandwidth-limit 1m

set firewall policer LIMIT-1M if-exceeding burst-size-limit 15k

set firewall policer LIMIT-1M then discard

set firewall policer LIMIT-32K if-exceeding bandwidth-limit 32k

set firewall policer LIMIT-32K if-exceeding burst-size-limit 15k

set firewall policer LIMIT-32K then discard

*Aplicar a firewall filter no sentido de input na interface Loopback

set interfaces lo0 unit 0 family inet filter input PROTECT-RE