Junos. Базовая конфигурация. Продолжение.

И так, продолжим. Начало тут.

В начале глянем наш конфиг. Команда show conf, на самом деле данная команда не всегда удобна, ибо выдает весь конфиг. Если мы хотим посмотреть часть конфига и мы точно знаем какую, например сислог, то достаточно указать это в команде:

admin@HOST1> show configuration system syslog
user * {
    any emergency;
}
host 10.100.0.2 {
    any info;
    facility-override local7;
}
file messages {
    any notice;
    authorization info;
}
file interactive-commands {
    interactive-commands any;
}

Junos поддерживает пайпы. Знакомые многим с линукса, циско. Например, чтобы найти строку, содержащее какое то слово(аналог grep в линуксе или include в циско) , нужно использовать слово match:

admin@HOST1> show configuration | match host
    host-name HOST1;
        host 10.100.0.2 {

он также понимает регулярные выражения:

admin@HOST1> show configuration | match "h..t [0-9]"
        host 10.100.0.2 {

обратной командой(исключить строку) является команда except(аналог exclude в циско и grep -v в линуксе).

мы можем посчитать количество строк(аналог в линуксе — wc -l):

admin@HOST1> show configuration | count
Count: 66 lines

найти блок, откуда начинается строка(аналог begin в циско):

admin@HOST1> show configuration | find "host 10.100.0.2"
        host 10.100.0.2 {
            any info;
            facility-override local7;
        }
        file messages {
            any notice;
            authorization info;
        }
        file interactive-commands {
            interactive-commands any;
        }
    }
    ntp {
        server 10.100.0.2 prefer;
    }
}
snmp {
    community test {
        authorization read-only;
        clients {
            10.100.0.2/32;
        }
    }

вывести конфиг в виде xml или даже детально описаную конфигурацию:

admin@HOST1> show configuration | display xml
<rpc-reply xmlns:junos="http://xml.juniper.net/junos/12.1R1/junos">
    <configuration junos:commit-seconds="1369283544" junos:commit-localtime="2013-05-23 10:32:24 YEKT" junos:commit-user="admin">
            <version>12.1R1.9</version>
            <system>
                <host-name>HOST1</host-name>
                <domain-name>xxxx.ru</domain-name>
                <domain-search>xxxx.ru</domain-search>
                <time-zone>Asia/Yekaterinburg</time-zone>
                <root-authentication>
                    <encrypted-password>$1$6JD1H4cO$eLXJTM6WK7vgmj.WNUdXo/</encrypted-password>
                </root-authentication>
                <name-server>
                    <name>8.8.8.8</name>
                </name-server>
                <name-server>
                    <name>10.100.0.2</name>
                </name-server>
                <login>
                    <user>
                        <name>admin</name>
                        <uid>222</uid>
                        <class>super-user</class>
                        <authentication>

admin@HOST1>

admin@HOST1>

admin@HOST1>

admin@HOST1> show configuration | display detail
## Last commit: 2013-05-23 10:32:24 YEKT by admin
##
## version: Software version information
## require: system
##
version 12.1R1.9;
##
## system: System parameters
## require: admin system
##
system {
    ##
    ## host-name: Hostname for this router
    ## range: 0 .. 255
    ## match: Must be a string of alphanumericals, dashes or underscores
    ## match (regex): ^[[:alnum:]._-]+$
    ## require: system
    ##
    host-name HOST1;
    ##
    ## domain-name: Domain name for this router
    ## match: Must be a string of alphanumericals, dashes or underscores
    ## match (regex): ^[[:alnum:]._-]+$
    ## require: system
    ##
    domain-name xxxx.ru;
    ##
    ## domain-search: List of domain names to search
    ## require: system
    ##
    domain-search xxxx.ru;
    ##
    ## time-zone: Time zone name or POSIX-compliant time zone string
    ## units: <continent>/<major-city> or <time-zone>
    ## default: UTC
    ## match: Invalid string
    ## match (regex): ^[a-zA-Z0-9:_+-/,\.]{3,}$
    ## require: system
    ##
    time-zone Asia/Yekaterinburg;
    ##
    ## saved-core-files: Number of saved core files per executable
    ## range: 1 .. 10
    ##
    ## default: 5
    ##

Можно сравнить конфигурации:

admin@HOST1> show configuration | compare rollback ?
Possible completions:
  0                    2013-05-23 10:32:24 YEKT by admin via cli
  1                    2013-05-23 10:12:12 YEKT by admin via cli
  2                    2013-05-23 09:15:10 YEKT by admin via cli
  3                    2013-05-21 20:33:00 YEKT by root via cli
  4                    2013-05-21 20:30:49 YEKT by root via cli
  5                    2012-05-11 17:54:23 YEKT by root via other
  6                    2012-05-09 19:28:27 YEKT by root via cli
  7                    2012-05-09 17:53:15 YEKT by root via cli
  8                    2012-05-09 17:52:47 YEKT by root via cli
  9                    2012-05-09 17:28:28 YEKT by root via other
  10                   2012-05-09 15:54:05 YEKT by root via cli
  11                   2011-04-12 19:11:13 YEKT by root via other
  12                   2011-04-12 18:43:39 YEKT by root via other
admin@HOST1> show configuration | compare rollback 1
[edit system syslog]
+    host 10.100.0.2 {
+        any info;
+        facility-override local7;
+    }
[edit]
+  snmp {
+      community test {
+          authorization read-only;
+          clients {
+              10.100.0.2/32;
+          }
+      }
+  }

После каждого коммита автоматически создается копия конфига в памяти. Именуются они rollback. Предложенная выше команда позволяет сравнивать конфиги.

Получить список интерфейсов:

admin@HOST1> show interfaces terse
Interface               Admin Link Proto    Local                 Remote
cbp0                    up    up
demux0                  up    up
dsc                     up    up
em0                     up    up
em1                     up    up
em2                     up    up
gre                     up    up
ipip                    up    up
irb                     up    up
lo0                     up    up
lo0.16384               up    up   inet     127.0.0.1           --> 0/0
lo0.16385               up    up   inet     128.0.0.4           --> 0/0
                                   inet6    fe80::2ab:ae0f:fc99:e300
lsi                     up    up
mtun                    up    up
pimd                    up    up
pime                    up    up
pip0                    up    up
pp0                     up    up
tap                     up    up

к настройке em интерфейсов мы и перейдем.  Но для начала, добавим в схему еще один джунипер:

 

Запускаем и ждем…

На втором, новом, роутере создаем пользователя админ и дает руту пароль. Перелогинимся.

Теперь приготовим конфиг( вы же не хотите все команды снова вбивать):

admin@HOST1> show configuration |no-more
## Last commit: 2013-05-23 10:32:24 YEKT by admin
version 12.1R1.9;
system {
    host-name HOST1;
    domain-name xxxx.ru;
    domain-search xxxx.ru;
    time-zone Asia/Yekaterinburg;
    root-authentication {
        encrypted-password "$1$6JD1H4cO$eLXJTM6WK7vgmj.WNUdXo/"; ## SECRET-DATA
    }
    name-server {
        8.8.8.8;
        10.100.0.2;
    }
    login {
        user admin {
            uid 222;
            class super-user;
            authentication {
                encrypted-password "$1$pvTDyKFf$4ubqShaKb/4wJFk20j8Ky."; ## SECRET-DATA
            }
        }
    }
    services {
        ftp {
            connection-limit 10;
            rate-limit 5;
        }
        ssh {
            root-login deny;
            connection-limit 10;
            rate-limit 5;
        }
        telnet {
            connection-limit 10;
            rate-limit 5;
        }
    }
    syslog {
        user * {
            any emergency;
        }
        host 10.100.0.2 {
            any info;
            facility-override local7;
        }
        file messages {
            any notice;
            authorization info;
        }
        file interactive-commands {
            interactive-commands any;
        }
    }
    ntp {
        server 10.100.0.2 prefer;
    }
}
snmp {
    community test {
        authorization read-only;
        clients {
            10.100.0.2/32;
        }
    }
}

скопируем это в блокнотик, уберем раздел «root-authentication» и «login», сменим host-name на HOST2. У нас должно остаться в конфиге только раздел system и snmp.

Заходим на второй роутер, переходим в конфигурационный режим и даем команду:

[edit]
admin# load merge terminal relative
[Type ^D at a new line to end input]

после вставляем готовый конфиг туда, в конце нажимаем ctrl+D, если конфиг без ошибок консоль выдаст load complete, иначе покажет кусок кода, который по ее мнению ошибочен. Сохраняем и проверяем.

Так быстро мы настроили второй роутер к работа. Самая пора, их соединить:)

По нашей схеме — два роутера соединены через интерфейсы em0. Присвоим этим интерфейсам адреса 10.100.0.9/24 и 10.100.0.15/24 и пусть они будут, скажем, в 55 влане:

[edit]
admin@HOST1# edit interfaces em0

[edit interfaces em0]
admin@HOST1# set vlan-tagging

[edit interfaces em0]
admin@HOST1# set unit 55 vlan-id 55

[edit interfaces em0]
admin@HOST1# set unit 55 family inet address 10.100.0.9/24

[edit interfaces em0]
admin@HOST1# set unit 55 description TO-HOST2

[edit interfaces em0]
admin@HOST1# show
vlan-tagging;
unit 55 {
    description TO-HOST2;
    vlan-id 55;
    family inet {
        address 10.100.0.9/24;
    }
}

[edit interfaces em0]
admin@HOST1#

Думаю, тут все понятно. Замечу что, номер юнита может быть абсолютно любой, и не равен номеру влана. Так же как юнитов в интерфейсе может быть не один. Так же, большую часть этих команд можно было выполнить в одну строчку.

Сохраняем, создаем аналогично на втором, только меняем ip адрес и дескрипшен:

admin@HOST2> configure
Entering configuration mode

admin@HOST2# edit interfaces em0

[edit interfaces em0]
admin@HOST2# load merge terminal relative
[Type ^D at a new line to end input]
vlan-tagging;
unit 55 {
    description TO-HOST1;
    vlan-id 55;
    family inet {
        address 10.100.0.15/24;
    }
}
load complete

[edit interfaces em0]
admin@HOST2# commit and-quit
commit complete
Exiting configuration mode

admin@HOST2>

Пингуем:

Работает!

Для сервисов и управления, принято использовать ip адрес лупбака(looback), настроим и его:

[edit]
admin@HOST1# set interfaces lo0 unit 0 family inet address 172.16.0.1

[edit]
admin@HOST2# set interfaces lo0 unit 0 family inet address 172.16.0.2

Так же, необходимо ограничить доступ к этим ресурсам по средствам фаервола.

Правила в фаерволе джунипера, просты и логичны. Похожи на ветвления в программировании. До того нужно обдумать, что и как должно выглядеть.

— доступ по ftp, ssh и telnet с определенных серверов;

— опрос устройства по snmp также с ограниченного списка адресов;

— доступ для серверов времени и dns;

— все остальное запретить.

Выглядить будет это так:

[edit firewall]
admin@HOST1# show
filter MAIN {
    term ACCESS {
        from {
            source-address {
                10.100.0.0/24;
            }
            destination-port [ ssh telnet ];
        }
        then accept;
    }
    term SNMP {
        from {
            source-address {
                10.100.0.0/24;
            }
            destination-port snmp;
        }
        then accept;
    }
    term DNS-NTP {
        from {
            source-address {
                10.100.0.2/32;
                8.8.8.8/32;
            }
            port [ ntp domain ];
        }
        then accept;
    }
    term FTP {
        from {
            source-address {
                10.100.0.0/24;
            }
            destination-port [ ftp ftp-data tftp ];
        }
    }
    term REJECT {
        then {
            reject;
        }
    }
}

Термы(правила) можно назвать как вам угодно.  так же и сам фильтр, хоть зайцем назови). Теперь применим его к лупбаку:

[edit]
admin@HOST1# set interfaces lo0 unit 0 family inet filter input MAIN

повторим аналогично на втором устройстве.

В нашей схеме, суть данного фаерволла в целом бесполезна. Ибо, кроме этих двух роутеров нет других устройств для проверки. Данный пример показан для наглядности.

Еще пару аспектов работы с junos.

1) Если вы что-то хотите узнать подробнее — укажите в конце команды слово detail или extensive:

admin@HOST1> show interfaces em0
Physical interface: em0, Enabled, Physical link is Up
  Interface index: 8, SNMP ifIndex: 17
  Type: Ethernet, Link-level type: Ethernet, MTU: 1518, Speed: 1000mbps
  Device flags   : Present Running
  Interface flags: SNMP-Traps
  Link type      : Full-Duplex
  Current address: 00:ab:ae:99:e3:00, Hardware address: 00:ab:ae:99:e3:00
  Last flapped   : 2013-05-23 13:31:16 YEKT (00:35:32 ago)
    Input packets : 208
    Output packets: 327

  Logical interface em0.55 (Index 69) (SNMP ifIndex 507)
    Description: TO-HOST2
    Flags: SNMP-Traps VLAN-Tag [ 0x8100.55 ]  Encapsulation: ENET2
    Input packets : 203
    Output packets: 327
    Protocol inet, MTU: 1500
      Flags: Sendbcast-pkt-to-re, Is-Primary
      Addresses, Flags: Is-Preferred Is-Primary
        Destination: 10.100.0/24, Local: 10.100.0.9, Broadcast: 10.100.0.255

admin@HOST1> show interfaces em0 detail
Physical interface: em0, Enabled, Physical link is Up
  Interface index: 8, SNMP ifIndex: 17, Generation: 131
  Type: Ethernet, Link-level type: Ethernet, MTU: 1518, Clocking: Unspecified,
  Speed: 1000mbps
  Device flags   : Present Running
  Interface flags: SNMP-Traps
  Link type      : Full-Duplex
  Physical info  : Unspecified
  Hold-times     : Up 0 ms, Down 0 ms
  Current address: 00:ab:ae:99:e3:00, Hardware address: 00:ab:ae:99:e3:00
  Alternate link address: Unspecified
  Last flapped   : 2013-05-23 13:31:16 YEKT (00:35:33 ago)
  Statistics last cleared: Never
  Traffic statistics:
   Input  bytes  :                    0
   Output bytes  :                    0
   Input  packets:                  208
   Output packets:                  328
   IPv6 transit statistics:
    Input  bytes  :                   0
    Output bytes  :                   0
    Input  packets:                   0
    Output packets:                   0

  Logical interface em0.55 (Index 69) (SNMP ifIndex 507) (Generation 134)
    Description: TO-HOST2
    Flags: SNMP-Traps VLAN-Tag [ 0x8100.55 ]  Encapsulation: ENET2
    Traffic statistics:
     Input  bytes  :                12895
     Output bytes  :                18691
     Input  packets:                  203
     Output packets:                  328
    Local statistics:
     Input  bytes  :                12895
     Output bytes  :                18691
     Input  packets:                  203
     Output packets:                  328
    Protocol inet, MTU: 1500, Generation: 144, Route table: 0
      Flags: Sendbcast-pkt-to-re, Is-Primary
      Addresses, Flags: Is-Preferred Is-Primary
        Destination: 10.100.0/24, Local: 10.100.0.9, Broadcast: 10.100.0.255,
        Generation: 144

admin@HOST1>

admin@HOST1>

admin@HOST1> show interfaces em0 detail extensive
Physical interface: em0, Enabled, Physical link is Up
  Interface index: 8, SNMP ifIndex: 17, Generation: 131
  Type: Ethernet, Link-level type: Ethernet, MTU: 1518, Clocking: Unspecified,
  Speed: 1000mbps
  Device flags   : Present Running
  Interface flags: SNMP-Traps
  Link type      : Full-Duplex
  Physical info  : Unspecified
  Hold-times     : Up 0 ms, Down 0 ms
  Current address: 00:ab:ae:99:e3:00, Hardware address: 00:ab:ae:99:e3:00
  Alternate link address: Unspecified
  Last flapped   : 2013-05-23 13:31:16 YEKT (00:35:36 ago)
  Statistics last cleared: Never
  Traffic statistics:
   Input  bytes  :                    0
   Output bytes  :                    0
   Input  packets:                  208
   Output packets:                  331
   IPv6 transit statistics:
    Input  bytes  :                   0
    Output bytes  :                   0
    Input  packets:                   0
    Output packets:                   0
  Input errors:
    Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Giants: 0,
    Policed discards: 0, Resource errors: 0
  Output errors:
    Carrier transitions: 0, Errors: 0, Drops: 0, MTU errors: 0,
    Resource errors: 0

  Logical interface em0.55 (Index 69) (SNMP ifIndex 507) (Generation 134)
    Description: TO-HOST2
    Flags: SNMP-Traps VLAN-Tag [ 0x8100.55 ]  Encapsulation: ENET2
    Traffic statistics:
     Input  bytes  :                12895
     Output bytes  :                18829
     Input  packets:                  203
     Output packets:                  331
    Local statistics:
     Input  bytes  :                12895
     Output bytes  :                18829
     Input  packets:                  203
     Output packets:                  331
    Protocol inet, MTU: 1500, Generation: 144, Route table: 0
      Flags: Sendbcast-pkt-to-re, Is-Primary
      Addresses, Flags: Is-Preferred Is-Primary
        Destination: 10.100.0/24, Local: 10.100.0.9, Broadcast: 10.100.0.255,
        Generation: 144

Сравните 3 вывода — последние два совпадают, они подробно рассказываю о данном интерфейсе.

2) Если хотите вывести кратко и обо всем, то вам в руки команда terse или brief:

admin@HOST1> show interfaces brief
Physical interface: ae0, Enabled, Physical link is Down
  Link-level type: Ethernet, MTU: 1514, Speed: Unspecified, Loopback: Disabled,
  Source filtering: Disabled, Flow control: Disabled
  Device flags   : Present Running
  Interface flags: Hardware-Down SNMP-Traps Internal: 0x4000

Physical interface: cbp0, Enabled, Physical link is Up
  Type: Ethernet, Link-level type: Ethernet, MTU: 1514, Clocking: Unspecified,
  Speed: Unspecified
  Device flags   : Present Running
  Interface flags: SNMP-Traps

Physical interface: demux0, Enabled, Physical link is Up
  Type: Software-Pseudo, Link-level type: Unspecified, MTU: 9192, Clocking: 1,
  Speed: Unspecified
  Device flags   : Present Running
  Interface flags: Point-To-Point SNMP-Traps

Physical interface: dsc, Enabled, Physical link is Up
  Type: Software-Pseudo, Link-level type: Unspecified, MTU: Unlimited,
  Clocking: Unspecified, Speed: Unspecified
  Device flags   : Present Running
  Interface flags: Point-To-Point SNMP-Traps

Physical interface: em0, Enabled, Physical link is Up
  Type: Ethernet, Link-level type: Ethernet, MTU: 1518, Clocking: Unspecified,
  Speed: 1000mbps
  Device flags   : Present Running
  Interface flags: SNMP-Traps

  Logical interface em0.55
    Description: TO-HOST2
    Flags: SNMP-Traps VLAN-Tag [ 0x8100.55 ]  Encapsulation: ENET2
    inet  10.100.0.9/24

Physical interface: em1, Enabled, Physical link is Up
  Type: Ethernet, Link-level type: Ethernet, MTU: 1514, Clocking: Unspecified,
  Speed: 1000mbps
  Device flags   : Present Running
  Interface flags: SNMP-Traps

Physical interface: em2, Enabled, Physical link is Up
  Type: Ethernet, Link-level type: Ethernet, MTU: 1514, Clocking: Unspecified,
  Speed: 1000mbps
  Device flags   : Present Running
  Interface flags: SNMP-Traps

Physical interface: gre, Enabled, Physical link is Up
  Type: GRE, Link-level type: GRE, MTU: Unlimited, Speed: Unlimited
  Device flags   : Present Running
  Interface flags: Point-To-Point SNMP-Traps

Physical interface: ipip, Enabled, Physical link is Up
  Type: IPIP, Link-level type: IP-over-IP, MTU: Unlimited, Speed: Unlimited
  Device flags   : Present Running
  Interface flags: SNMP-Traps

Physical interface: irb, Enabled, Physical link is Up
  Type: Ethernet, Link-level type: Ethernet, MTU: 1514, Clocking: Unspecified,
  Speed: Unspecified
  Device flags   : Present Running
  Interface flags: SNMP-Traps

Physical interface: lo0, Enabled, Physical link is Up
  Type: Loopback, Link-level type: Unspecified, MTU: Unlimited,
  Clocking: Unspecified, Speed: Unspecified
  Device flags   : Present Running Loopback
  Interface flags: SNMP-Traps

  Logical interface lo0.0
    Flags: SNMP-Traps Encapsulation: Unspecified
    inet  172.16.0.1       --> 0/0

  Logical interface lo0.16384
    Flags: SNMP-Traps Encapsulation: Unspecified
    inet  127.0.0.1        --> 0/0

  Logical interface lo0.16385
    Flags: SNMP-Traps Encapsulation: Unspecified
    inet  128.0.0.4        --> 0/0
    inet6 fe80::2ab:ae0f:fc99:e300

Physical interface: lsi, Enabled, Physical link is Up
  Type: Software-Pseudo, Link-level type: LSI, MTU: 1496, Clocking: Unspecified,
  Speed: Unlimited
  Device flags   : Present Running

Physical interface: mtun, Enabled, Physical link is Up
  Type: Multicast-GRE, Link-level type: GRE, MTU: Unlimited, Speed: Unlimited
  Device flags   : Present Running
  Interface flags: SNMP-Traps

Physical interface: pimd, Enabled, Physical link is Up
  Type: PIMD, Link-level type: PIM-Decapsulator, MTU: Unlimited,
  Speed: Unlimited
  Device flags   : Present Running

Physical interface: pime, Enabled, Physical link is Up
  Type: PIME, Link-level type: PIM-Encapsulator, MTU: Unlimited,
  Speed: Unlimited
  Device flags   : Present Running

Physical interface: pip0, Enabled, Physical link is Up
  Type: Ethernet, Link-level type: Ethernet, MTU: 1514, Clocking: Unspecified,
  Speed: Unspecified
  Device flags   : Present Running
  Interface flags: SNMP-Traps

Physical interface: pp0, Enabled, Physical link is Up
  Type: PPPoE, Link-level type: PPPoE, MTU: 1532, Speed: Unspecified
  Device flags   : Present Running
  Interface flags: Point-To-Point SNMP-Traps

Physical interface: tap, Enabled, Physical link is Up
  Type: Software-Pseudo, Link-level type: Interface-Specific, MTU: Unlimited,
  Clocking: Unspecified, Speed: Unlimited
  Device flags   : Present Running
  Interface flags: SNMP-Traps

admin@HOST1> show interfaces terse
Interface               Admin Link Proto    Local                 Remote
ae0                     up    down
cbp0                    up    up
demux0                  up    up
dsc                     up    up
em0                     up    up
em0.55                  up    up   inet     10.100.0.9/24
em1                     up    up
em2                     up    up
gre                     up    up
ipip                    up    up
irb                     up    up
lo0                     up    up
lo0.0                   up    up   inet     172.16.0.1          --> 0/0
lo0.16384               up    up   inet     127.0.0.1           --> 0/0
lo0.16385               up    up   inet     128.0.0.4           --> 0/0
                                   inet6    fe80::2ab:ae0f:fc99:e300
lsi                     up    up
mtun                    up    up
pimd                    up    up
pime                    up    up
pip0                    up    up
pp0                     up    up
tap                     up    up

Если вы сравните вывод этих команд, с командой show interfaces, то увидите, что он действительно короче.

3) Когда вам лень выйти из конфигурационного режима, но нужно выполнить не конфигурационную команду, использует команду run:

[edit]

admin@HOST1# run ping 10.100.0.15
PING 10.100.0.15 (10.100.0.15): 56 data bytes
^C

4) Находясь в конфигурационном режиме, просматривать конфиг, частично или полностью, можно просто командой show:

[edit]
admin@HOST1# show interfaces em0
vlan-tagging;
unit 55 {
    description TO-HOST2;
    vlan-id 55;
    family inet {
        address 10.100.0.9/24;
    }
}

5) Кроме команды set, в конфигурационном режиме используется команда edit, которая позволяет перейти ниже по ветви конфигурации и производить настройку из него:

[edit]
admin@HOST1# edit interfaces em1

[edit interfaces em1]
admin@HOST1# set vlan-tagging

[edit interfaces em1]
admin@HOST1# set unit 1 vlan-id 1

[edit interfaces em1]
admin@HOST1# show
vlan-tagging;
unit 1 {
    vlan-id 1;
}

перейти на уровень выше — команда up.

6) Для удаления строки достаточно заменить команду set на команду delete, при этом, если вы хотите удалить часть конфига с ниже лежащими секциями, достаточно удалить только верхушку:

[edit interfaces em1]
admin@HOST1# up

[edit interfaces]
admin@HOST1# delete em1

7) Если же конфиг удалять не нужно, но хочется проверить без него, достаточно деактивировать эту часть конфига — команда deactivate( ну и activate, обратная) :

[edit interfaces]
admin@HOST1# deactivate em0

[edit interfaces]
admin@HOST1# activate em0

8) Джунипер так же имеет встроенный снифер:

admin@HOST1> monitor traffic interface em0 no-resolve detail
Address resolution is OFF.
Listening on em0, capture size 1514 bytes

14:16:26.854151  In IP (tos 0x0, ttl  64, id 5946, offset 0, flags [none], proto: ICMP (1), length: 84) 10.100.0.15 > 10.100.0.9: ICMP echo request, id 51207, seq 23, length 64
14:16:26.854350 Out IP (tos 0x0, ttl  64, id 6867, offset 0, flags [none], proto: ICMP (1), length: 84) 10.100.0.9 > 10.100.0.15: ICMP echo reply, id 51207, seq 23, length 64
14:16:26.854886  In IP (tos 0x0, ttl 255, id 5947, offset 0, flags [DF], proto: ICMP (1), length: 56) 10.100.0.15 > 10.100.0.9: ICMP host 10.100.0.15 unreachable - admin prohibited filter, length 36
        IP (tos 0x0, ttl  64, id 6867, offset 0, flags [none], proto: ICMP (1), length: 84) 10.100.0.9 > 10.100.0.15: ICMP echo reply, id 51207, seq 23, length 64

Баловаться на высоконагруженных интерфейсах не рекомендуется))).

9) Если вы изменили конфиг и не уверены, что не возникнут проблемы, при рекомендуется использовать коммит с таймером, что позволит роутеру автоматически откатиться свой конфиг, если его его принудительно не закоммитить:

admin@HOST2> configure
Entering configuration mode

[edit]
admin@HOST2# set interfaces em1 vlan-tagging

[edit]
admin@HOST2# commit confirmed 1
commit confirmed will be automatically rolled back in 1 minutes unless confirmed
commit complete

# commit confirmed will be rolled back in 1 minute
[edit]
admin@HOST2#

где 1 это количество минут.

admin@HOST2> show configuration interfaces em1
vlan-tagging;

# commit confirmed will be rolled back in less than 1 minute

Broadcast Message from root@HOST2
        (no tty) at 14:21 YEKT...

Commit was not confirmed; automatic rollback complete.                                                        

admin@HOST2> show configuration interfaces em1

admin@HOST2>

… и многое другое) джунипер очень гибок, и прощает администраторам их ошибки. Пробуйте, дерзайте, открывайте.)