设置逻辑系统
示例:为逻辑系统配置 root 密码
要求
开始之前,请阅读 SRX 系列逻辑系统主管理员配置任务概述 ,了解此任务如何适合整个配置过程。
示例使用运行具有逻辑系统的 Junos OS 的 SRX5600 设备。
概述
Junos OS 软件在出厂交付之前就安装在路由器上。路由器开机后,即可进行配置。首次以 root 用户身份登录,无需密码。
登录后,可以为 root 用户或主管理员(按逻辑系统术语)配置密码。主管理员对设备拥有 root 权限。
拓扑
配置
配置 root 密码
逐步过程
为设备配置 root 密码。
user@host# set system root-authentication Talk22rt6
示例:创建用户逻辑系统、管理员、用户和互连逻辑系统
此示例说明如何创建用户逻辑系统并为其分配管理员。其中展示了如何向用户逻辑系统添加用户。示例展示了如何创建可选互连逻辑系统。
只有主管理员可为管理员和用户创建用户登录帐户。如果用户逻辑系统管理员想要将用户添加到其逻辑系统中,则必须将信息传达给主管理员,由主管理员添加用户。
要求
示例使用运行具有逻辑系统的 Junos OS 的 SRX5600 设备。
概述
开始之前,请阅读 SRX 系列逻辑系统主管理员配置任务概述 ,了解此任务如何适合整个配置过程。
此示例适用于包括产品设计、营销和会计部门的公司。该公司希望降低硬件和能源成本,但不会冒跨部门或互联网暴露数据的风险。
对于其他部门和互联网,每个部门都有自己的安全要求。为了在不丧失安全性的情况下满足其成本控制要求,该公司部署了 SRX5600 设备。主管理员配置三个用户逻辑系统,为每个部门提供一个完全安全的专用逻辑设备。
本主题介绍如何:
创建用户逻辑系统和互连逻辑系统,用作内部 VPLS 交换机,以允许流量从一个逻辑系统传递到另一个逻辑系统。
为互连逻辑系统以外的用户逻辑系统创建管理员。一个用户逻辑系统可以拥有多个管理员。互连逻辑系统不需要管理员。
将用户添加到用户逻辑系统。
注意:此示例说明如何仅配置两个用户:lsdesignuser1 和 lsdesignuser2。实际上,每个用户逻辑系统都会包含许多用户,这些用户需要与此示例中所示的配置类似的配置。
配置
配置用户逻辑系统、管理员、用户和互连逻辑系统
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit 。
set logical-systems ls-product-design set system login class ls-design-admin logical-system ls-product-design set system login class ls-design-admin permissions all set system login user lsdesignadmin1 full-name lsdesignadmin1 set system login user lsdesignadmin1 class ls-design-admin set system login user lsdesignadmin1 authentication encrypted-password "$ABC123" set system login class ls-design-user logical-system ls-product-design set system login class ls-design-user permissions view set system login user lsdesignuser1 full-name lsdesignuser1 set system login user lsdesignuser1 class ls-design-user set system login user lsdesignuser1 authentication encrypted-password "$ABC123" set system login user lsdesignuser2 full-name lsdesignuser2 set system login user lsdesignuser2 class ls-design-user set system login user lsdesignuser2 authentication encrypted-password "$ABC123" set logical-systems ls-marketing-dept set system login class ls-marketing-admin logical-system ls-marketing-dept set system login class ls-marketing-admin permissions all set system login user lsmarketingadmin1 class ls-marketing-admin set system login user lsmarketingadmin1 full-name lsmarketingadmin1 set system login user lsmarketingadmin1 authentication encrypted-password "$ABC123" set system login user lsmarketingadmin2 full-name lsmarketingadmin2 set system login user lsmarketingadmin2 class ls-marketing-admin set system login user lsmarketingadmin2 authentication encrypted-password "$ABC123" set logical-systems ls-accounting-dept set system login class ls-accounting-admin logical-system ls-accounting-dept set system login class ls-accounting-admin permissions all set system login user lsaccountingadmin1 full-name lsaccountingadmin1 set system login user lsaccountingadmin1 class ls-accounting-admin set system login user lsaccountingadmin1 authentication encrypted-password "$ABC123" set logical-systems interconnect-logical-system
逐步过程
以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
创建第一个用户逻辑系统并定义其管理员。
逐步过程
创建用户逻辑系统。
[edit] user@host# set logical-systems ls-product-design
将用户登录类分配给用户逻辑系统。
[edit system] user@host# set login class ls-design-admin logical-system ls-product-design
创建登录类,为用户逻辑系统管理员授予对用户逻辑系统的完整权限。
[edit system] user@host# set login class ls-design-admin permissions all
为用户逻辑系统管理员分配全名。
[edit system] user@host# set login user lsdesignadmin1 full-name lsdesignadmin1
将登录类与用户逻辑系统管理员相关联,以允许管理员登录到用户逻辑系统。
[edit system] user@host# set login user lsdesignadmin1 class ls-design-admin
为用户逻辑系统管理员创建用户登录密码。
[edit system] user@host# set login user lsdesignadmin1 authentication plain-text-password New password: Talk1234 Retype new password: Talk1234
为逻辑系统配置第一个用户。
逐步过程
配置用户登录类并将其分配给用户逻辑系统。
[edit system] user@host# set login class ls-design-user logical-system ls-product-design
要使第一个用户能够查看逻辑系统的资源和设置,但不能更改它们,请将其分配
view为登录类的权限。[edit system] user@host# set login class ls-design-user permissions view
为逻辑系统用户分配全名。
[edit system] user@host# set login user lsdesignuser1 full-name lsdesignuser1
将登录类与用户相关联,以允许用户登录到用户逻辑系统。
user@host# set login user lsdesignuser1 class ls-design-user
为用户创建用户登录密码。
[edit system] user@host# set login user lsdesignuser1 authentication plain-text-password New password: Talk4234 Retype new password: Talk4234
为逻辑系统 ls-product-design 创建第二个用户。
逐步过程
为用户分配全名。
[edit system] user@host# set login user lsdesignuser2 full-name lsdesignuser2
将用户与登录类关联,以允许用户登录到用户逻辑系统。
user@host# set login user lsdesignuser2 class ls-design-user
创建用户登录密码。
[edit system] user@host# set login user lsdesignuser2 authentication plain-text-password New password: Talk9234 Retype new password: Talk9234
创建第二个用户逻辑系统并定义其管理员。
逐步过程
创建用户逻辑系统。
[edit] user@host# set logical-systems ls-marketing-dept
配置用户登录类并将其分配给用户逻辑系统。
[edit system] user@host# set login class ls-marketing-admin logical-system ls-marketing-dept
要使用户逻辑系统管理员能够控制用户逻辑系统,请分配
all为登录类的权限。[edit system] user@host# set login class ls-marketing-admin permissions all
为用户逻辑系统管理员分配全名。
[edit system] user@host# set login user lsmarketingadmin1 full-name lsmarketingadmin1
将用户逻辑系统管理员与登录类相关联,以允许管理员登录到用户逻辑系统。
[edit system] user@host# set login user lsmarketingadmin1 class ls-marketing-admin
为用户逻辑系统管理员创建用户登录密码。
[edit system] user@host# set login user lsmarketingadmin1 authentication plain-text-password New password: Talk2345 Retype new password: Talk2345
为 ls-marketing-dept 逻辑系统创建第二个用户逻辑系统管理员。
逐步过程
为用户逻辑系统管理员分配全名。
[edit system] user@host# set login user lsmarketingadmin2 full-name lsmarketingadmin2
将用户逻辑系统管理员与登录类相关联,以允许管理员登录到用户逻辑系统。
[edit system] user@host# set login lsmarketingadmin2 class ls-marketing-admin
为用户逻辑系统管理员创建用户登录密码。
[edit system] user@host# set login user lsmarketingadmin2 authentication plain-text-password New password: Talk6345 Retype new password: Talk6345
创建第三个用户逻辑系统并定义其管理员。
逐步过程
创建用户逻辑系统。
[edit] user@host# set logical-systems ls-accounting-dept
配置用户登录类并将其分配给用户逻辑系统。
[edit system] user@host# set login class ls-accounting-admin logical-system ls-accounting-dept
要使用户逻辑系统管理员能够控制用户逻辑系统,请为登录类分配权限。
[edit system] user@host# set login class ls-accounting-admin permissions all
为用户逻辑系统管理员分配全名。
[edit system] user@host# set login user lsaccountingadmin1 full-name lsaccountingadmin1
将用户逻辑系统管理员与登录类相关联,以允许管理员登录到用户逻辑系统。
[edit system] user@host# set login user lsaccountingadmin1 class ls-accounting-admin
为用户逻辑系统管理员创建登录密码。
[edit system] user@host# set login user lsaccountingadmin1 authentication plain-text-password New password: Talk5678 Retype new password: Talk5678
配置互连逻辑系统,以允许逻辑系统将流量从一个传递到另一个。
user@host# set logical-systems interconnect-logical-system
结果
在配置模式下,输入 show logical-systems 命令以验证逻辑系统是否已创建,以确认您的配置。另输入 show system login class 您定义的每个类的命令。
要确保创建逻辑系统管理员,请输入 show system login user 命令。
如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
user@host# show logical-systems ? interconnect-logical-system; ls-accounting-dept; ls-marketing-dept; ls-product-design;
user@host# show system login class ls-design-admin logical-system ls-product-design; permissions all;
user@host# show system login class ls-design-user logical-system ls-product-design permissions view;
user@host show system login class ls-marketing-admin logical-system ls-marketing-dept; permissions all;
user@host show system login class ls-accounting-admin logical-system ls-accounting-dept; permissions all;
user@host show system login user ? lsaccountingadmin1 lsaccountingadmin1 lsdesignadmin1 lsdesignadmin1 lsdesignuser2 lsdesignuser2 lsmarketingadmin1 lsmarketingadmin1 lsmarketingadmin2 lsmarketingadmin2
验证
要确认配置工作正常,请执行以下任务:
从主逻辑系统验证用户逻辑系统和登录配置
目的
验证用户逻辑系统是否存在,以及您作为主管理员是否可以从 root 输入它们。从用户逻辑系统返回到主逻辑系统。
行动
在操作模式下,输入以下命令:
root@host> set cli logical-system ls-product-design Logical system:ls-product-design root@host:ls-product-design>
root@host:ls-product-design> clear cli logical-system Cleared default logical system root@host>
root@host> set cli logical-system ls-marketing-dept Logical system:ls-marketing-dept root@host:ls-marketing-dept>
root@host:ls-marketing-dept> clear cli logical-system Cleared default logical system root@host>
root@host> set cli logical-system ls-accounting-dept Logical system:ls-accounting-dept root@host:ls-accounting-dept>
root@host:ls-accounting-dept> clear cli logical-system Cleared default logical system root@host>
使用 SSH 验证用户逻辑系统和登录配置
目的
验证您创建的用户逻辑系统是否存在,以及管理员创建的登录ID 和密码是否正确。
行动
使用 SSH 登录每个用户逻辑系统,就像用户管理员所做的那样。
-
运行 SSH,指定 SRX 系列防火墙的 IP 地址。
输入您创建的其中一个用户逻辑系统的管理员登录 ID 和密码。登录后,提示显示管理员名称。请注意此结果与从根主逻辑系统登录到用户逻辑系统时产生的结果有何不同。为所有用户逻辑系统重复此过程。
login: lsdesignadmin1 Password: Talk1234 lsdesignadmin1@host: ls-product-design>