JUNOS compare with IOS&VRP

1．*****************远程修改配置安全性********************
JUNOS：commit confirmed命令可以允许设备配置文件在可以调整的时间内自动回退，避免远程维护中误操作
IOS/VRP：无，远程维护中一旦敲错命令，业务和管理流量均立即中断，需要到本地console口修改配置

2。******************用户登录和操作情况记录*****************
JUNOS：可以记录所有用户的登陆时间以及具体操作命令，可以同时在本地文件里保存备查和输出到SYSLOG服务器
IOS/VRP：用户登录信息不能本地保存，只能输出给SYSLOG服务器，完全无法记录用户执行过的具体操作命令

3．************************查看修改配置记录*********************
JUNOS: 可以通过show | compare命令查看现有已经做的但未保存的配置，同时多个用户登录并作配置时，此命令可以显示所有人的修改但未保存的配置
IOS/VRP: 无此功能，如有多个人修改配置，无法知道是哪个用户修改了什么配置

4．***************ACL条目处理顺序*****************
JUNOS:可以在不取消ACL应用的情况下随意更改顺序
IOS/VRP: 必须先取消在其他配置上的引用，然后整体取消ACL，然后重新在文本上重新编辑ACL的顺序，然后重新创建ACL，然后重新应用，如远程操作，有断网危险(现在即使已经出了解决方案，仍然没有JUNOS的insert命令方便)

5．*********ACL的logging功能对设备性能影响*****************
JUNOS：可以随意对于ACL开启log功能，并能将详细的syslog信息写入指定的文件，同时也可以动态的监视log文件的变化，对设备性能毫无影响
IOS/VRP：一旦开启ACL log功能，CPU立即一路飙升至99%-100%，设备不可用

6．**************配置灵活性******************************
JUNOS：可以在不插物理接口的情况下做整机的配置[包括此接口]，使用时，插好相应的接口配置即生效
IOS/VRP：IOS/VRP均不支持此功能，不插接口无法进入接口配置，自然也就无法配置此接口；

7．．*********************配置文件管理***********************
JUNOS：可以将写好的配置文件存在本地，也可以导出到外部设备[通过FTP]，可以直接修改此文件[用写字板]，修改完以后可以导入到路由器，割接时只需要load merge/override [文件名]并commit即可完成割接里配置的更改，不用一行一行的敲命令；
IOS/VRP：割接时需要一行一行的敲命令，费时费力且容易出错

8．********************SMURF攻击*****************************
JUNOS:使用如下配置监测SMURF攻击[FIREWALLFILTER应用到loopback接口]：                                                         term a {   from {      destination-address {          10.1.1.0/24;      }     protocol icmp;    }    then {      count icmp-counter;      log;     accept;    }}term b {    then accept;}如果icmp-counter短时间内增加很快，认为有SMURF攻击，只需要把term a then accept，修改为term a thendiscard即可，操作简单，并且show firewall log可以查看所有的攻击者/中间者的源地址；
IOS/VRP：需要在所有三层接口上应用ACL，会打乱原有的所有ACL配置；

9．******************ONLINE DOC***************************
可以在命令行模式下取得完整的帮助文档和配置例子，举例如下：
[email=lab@Juniper-lab]lab@Juniper-lab[/email]# help topic ospfneighbor     Configuring an Interface on a Point-to-MultipointNetwork    When you configure OSPFv2 on a nonbroadcast multiaccess(NBMA) network,    such as a multipoint ATM or Frame Relay, OSPFv2operates by default in    point-to-multipoint mode. In this mode,OSPFv2 treats the network as a set    of point-to-point links. Becausethere is no autodiscovery mechanism, each    neighbor must beconfigured.    To configure OSPFv2 in point-to-multipoint mode, includethe following    statement:    [edit protocols ospf area 0.0.0.0]   interface interface-name {        neighbor address;    }    For a listof hierarchy levels at which you can configure this statement,    seethe statement summary section for this statement.    Specify theinterface by IP address or interface name. For more    informationabout interface names, see the JUNOS Network Interfaces and    Class ofService Configuration Guide.    To configure multiple neighbors,include a neighbor statement for each    neighbor.     
JUNOS的软件配置CD随机一份，并可以在[url=http://www.juniper.net/][color=#0000ff]http://www.juniper.net[/color][/url]随时打包下载最新的JUNOS配置文档
IOS/VRP: CISCO/HUAWEI均无此项功能，需要另外查手册，另外CISCO在中低端设备已经不提供DocumentationCD，网上也无法打包下载，只能上网查询，但在机房等现场无上网条件，这给设备调试和维护工作带来很大不便。请注意此项功能并不是打问号取得帮助信息，这项用问号取得帮助的功能绝大多数厂家都已经实现

10．***************带外管理************************
任何一台JUNIPER M/T路由设备均有带外网管接口，JUNIPER叫做fxp0
Cisco 7200/7500/GSR路由器，6500/7600交换机均无带外网管接口

11．**********网络管理流量应用限制*******************
JUNOS软件对于网络管理应用均有限制，这是为了保证网络管理流量的安全性，可以设定每分钟同时在线用户数和每分钟内最大发起的连接次数，默认的数值分别为75和150；                     
system {
      services {
          ssh connection-limit 10 rate-limit 4;
            }
          }
IOS/VRP: 无此功能，如有恶意用户进行疯狂登陆，则会影响正常用户登录

12．************网络管理流量大小限制************************
JUNOS软件对于网络管理的流量大小均可以进行限制，这是为了保证网络管理的安全性，配置如下：
[edit firewall]
[email=lab@Juniper-lab]lab@Juniper-lab[/email]# show policerssh-policer {    if-exceeding {      bandwidth-limit 1m;     burst-size-limit 100k;    }    then discard;}policer telnet-policer{    if-exceeding {      bandwidth-limit 3m;      burst-size-limit500k;    }    then discard;}filter protect-RE {    term rate-limit-SSH{      from {          protocol tcp;          port ssh;      }     then policer ssh-policer;    }    term rate-limit-TELNET {      from{               protocol tcp;          port telnet;      }      thenpolicer telnet-policer;    }    term else {      then accept;    }}
以上配置原理如下：凡是SSH到router的流量不能同时超过1Mbps[有100KB峰值]，否则丢包；凡是telnet到router的流量不能同时超过3Mbps[有500KB峰值]，否则丢包，这是为了防止有人用telnet/ssh端口的大流量来攻击路由器本身，这就保证了路由器不会因为此类攻击耗尽资源[注：并不一定是ssh/telnet端口，可以是指定的任意端口]
IOS/VRP: 无此功能，如有人用特定端口攻击路由器，则会严重影响正常用户登录设备，并且由于设备并不是转发和控制分离的，也会影响正常业务流量；