Einrichten eines logischen Systems
Beispiel: Konfigurieren des Root-Kennworts für logische Systeme
Anforderungen
Bevor Sie beginnen, lesen Sie die Übersicht über die Konfigurationsaufgaben für Administratoren in logischen Systemen der SRX-Serie , um zu erfahren, wie diese Aufgabe in den gesamten Konfigurationsprozess passt.
In diesem Beispiel wird ein SRX5600 Gerät verwendet, auf dem Junos OS mit logischen Systemen ausgeführt wird.
Übersicht
Die Junos OS-Software wird auf dem Router installiert, bevor sie ab Werk geliefert wird. Wenn Sie Ihren Router einschalten, steht er für die Konfiguration bereit. Sie melden sich zunächst als Root-Benutzer an, ohne ein Kennwort zu verwenden.
Nach der Anmeldung können Sie ein Kennwort für den Root-Benutzer oder, in logischen Systemen, den primären Administrator konfigurieren. Der primäre Administrator verfügt über Root-Berechtigungen für das Gerät.
Topologie
Konfiguration
Konfigurieren des Root-Kennworts
Schritt-für-Schritt-Verfahren
Konfigurieren Sie ein Root-Kennwort für das Gerät.
user@host# set system root-authentication Talk22rt6
Beispiel: Erstellen logischer Benutzersysteme, ihrer Administratoren, ihrer Benutzer und eines logischen Interconnect-Systems
Dieses Beispiel zeigt, wie Sie logische Benutzersysteme erstellen und ihnen Administratoren zuweisen. Es zeigt, wie Sie Benutzer zu einem logischen Benutzersystem hinzufügen. Und das Beispiel zeigt, wie Sie ein logisches Interconnect-System erstellen, das optional ist.
Nur der primäre Administrator kann Benutzerkonten für Administratoren und Benutzer erstellen. Wenn ein benutzerlogischer Systemadministrator Benutzer zu seinem logischen System hinzufügen möchte, muss er die Informationen an den primären Administrator übermitteln, der die Benutzer hinzu fügt.
Anforderungen
In diesem Beispiel wird ein SRX5600 Gerät verwendet, auf dem Junos OS mit logischen Systemen ausgeführt wird.
Übersicht
Bevor Sie beginnen, lesen Sie die Übersicht über die Konfigurationsaufgaben für Administratoren in logischen Systemen der SRX-Serie , um zu erfahren, wie diese Aufgabe in den gesamten Konfigurationsprozess passt.
Dieses Beispiel bezieht sich auf ein Unternehmen, das produktdesign-, marketing- und buchhaltungsabteilungen umfasst. Das Unternehmen möchte die Hardware- und Energiekosten senken, aber nicht die Gefahr, dass Daten abteilungsübergreifend oder im Internet offenlegen.
Jede Abteilung hat ihre eigenen Sicherheitsanforderungen sowohl für andere Abteilungen als auch für das Internet. Um seine Anforderungen an die Kostenkontrolle zu erfüllen, ohne die Sicherheit zu verfallen, stellt das Unternehmen das SRX5600 Gerät bereit. Der primäre Administrator konfiguriert drei logische Benutzersysteme und gibt jeder Abteilung ein logisches Gerät, das privat und vollständig geschützt ist.
In diesem Thema erfahren Sie, wie Sie:
Erstellen Sie logische Benutzersysteme und ein logisches Interconnect-System, das als interner VPLS-Switch verwendet wird, um den Datenverkehr von einem logischen System zum anderen zu übertragen.
Erstellen Sie Administratoren für andere logische Benutzersysteme als das logische Interconnect-System. Ein logisches Benutzersystem kann mehr als einen Administrator haben. Für das logische Interconnect-System ist kein Administrator erforderlich.
Hinzufügen von Benutzern zu einem logischen Benutzersystem.
Hinweis:In diesem Beispiel wird gezeigt, wie sie nur zwei Benutzer konfigurieren – lsdesignuser1 und lsdesignuser2. Tatsächlich wird jedes logische Benutzersystem viele Benutzer umfassen, die Konfigurationen erfordern, die den in diesem Beispiel gezeigten ähnlichen Konfigurationen entsprechen.
Topologie
Abbildung 1 zeigt ein SRX5600 Gerät, das für logische Systeme bereitgestellt und konfiguriert wird. Die Konfigurationsbeispiele spiegeln diese Bereitstellung wider.
konfiguriert
Konfiguration
Konfiguration logischer Benutzersysteme, ihrer Administratoren, ihrer Benutzer und eines logischen Interconnect-Systems
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set logical-systems ls-product-design set system login class ls-design-admin logical-system ls-product-design set system login class ls-design-admin permissions all set system login user lsdesignadmin1 full-name lsdesignadmin1 set system login user lsdesignadmin1 class ls-design-admin set system login user lsdesignadmin1 authentication encrypted-password "$ABC123" set system login class ls-design-user logical-system ls-product-design set system login class ls-design-user permissions view set system login user lsdesignuser1 full-name lsdesignuser1 set system login user lsdesignuser1 class ls-design-user set system login user lsdesignuser1 authentication encrypted-password "$ABC123" set system login user lsdesignuser2 full-name lsdesignuser2 set system login user lsdesignuser2 class ls-design-user set system login user lsdesignuser2 authentication encrypted-password "$ABC123" set logical-systems ls-marketing-dept set system login class ls-marketing-admin logical-system ls-marketing-dept set system login class ls-marketing-admin permissions all set system login user lsmarketingadmin1 class ls-marketing-admin set system login user lsmarketingadmin1 full-name lsmarketingadmin1 set system login user lsmarketingadmin1 authentication encrypted-password "$ABC123" set system login user lsmarketingadmin2 full-name lsmarketingadmin2 set system login user lsmarketingadmin2 class ls-marketing-admin set system login user lsmarketingadmin2 authentication encrypted-password "$ABC123" set logical-systems ls-accounting-dept set system login class ls-accounting-admin logical-system ls-accounting-dept set system login class ls-accounting-admin permissions all set system login user lsaccountingadmin1 full-name lsaccountingadmin1 set system login user lsaccountingadmin1 class ls-accounting-admin set system login user lsaccountingadmin1 authentication encrypted-password "$ABC123" set logical-systems interconnect-logical-system
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
Erstellen Sie das logische System des ersten Benutzers und definieren Sie seinen Administrator.
Schritt-für-Schritt-Verfahren
Erstellen Sie das logische Benutzersystem.
[edit] user@host# set logical-systems ls-product-design
Weisen Sie die Benutzeranmeldungsklasse dem logischen Benutzersystem zu.
[edit system] user@host# set login class ls-design-admin logical-system ls-product-design
Erstellen Sie die Anmeldeklasse, um dem logischen Systemadministrator des Benutzers die vollständige Berechtigung für das logische Benutzersystem zu erteilen.
[edit system] user@host# set login class ls-design-admin permissions all
Weisen Sie dem logischen Systemadministrator des Benutzers einen vollständigen Namen zu.
[edit system] user@host# set login user lsdesignadmin1 full-name lsdesignadmin1
Weisen Sie die Anmeldeklasse mit dem Logischen Systemadministrator des Benutzers zu, damit sich der Administrator beim logischen Benutzersystem anmelden kann.
[edit system] user@host# set login user lsdesignadmin1 class ls-design-admin
Erstellen Sie ein Benutzeranmeldungskennwort für den logischen Systemadministrator des Benutzers.
[edit system] user@host# set login user lsdesignadmin1 authentication plain-text-password New password: Talk1234 Retype new password: Talk1234
Konfigurieren Sie den ersten Benutzer für das logische System.
Schritt-für-Schritt-Verfahren
Konfigurieren Sie die Benutzeranmeldungsklasse und weisen Sie sie dem logischen Benutzersystem zu.
[edit system] user@host# set login class ls-design-user logical-system ls-product-design
Um dem ersten Benutzer die Möglichkeit zu geben, die Ressourcen und Einstellungen des logischen Systems anzuzeigen, sie jedoch nicht zu ändern, weisen Sie
viewder Anmeldeklasse als Berechtigung zu.[edit system] user@host# set login class ls-design-user permissions view
Weisen Sie dem logischen Systembenutzer einen vollständigen Namen zu.
[edit system] user@host# set login user lsdesignuser1 full-name lsdesignuser1
Weisen Sie die Anmeldeklasse dem Benutzer zu, damit sich der Benutzer beim logischen Benutzersystem anmelden kann.
user@host# set login user lsdesignuser1 class ls-design-user
Erstellen Sie ein Benutzeranmeldungskennwort für den Benutzer.
[edit system] user@host# set login user lsdesignuser1 authentication plain-text-password New password: Talk4234 Retype new password: Talk4234
Erstellen Sie den zweiten Benutzer für das logische System ls-product-design.
Schritt-für-Schritt-Verfahren
Weisen Sie dem Benutzer einen vollständigen Namen zu.
[edit system] user@host# set login user lsdesignuser2 full-name lsdesignuser2
Weisen Sie den Benutzer der Anmeldeklasse zu, damit sich der Benutzer beim logischen Benutzersystem anmelden kann.
user@host# set login user lsdesignuser2 class ls-design-user
Erstellen Sie ein Kennwort für die Benutzeranmeldung.
[edit system] user@host# set login user lsdesignuser2 authentication plain-text-password New password: Talk9234 Retype new password: Talk9234
Erstellen Sie das zweite logische Benutzersystem und definieren Sie seinen Administrator.
Schritt-für-Schritt-Verfahren
Erstellen Sie das logische Benutzersystem.
[edit] user@host# set logical-systems ls-marketing-dept
Konfigurieren Sie die Benutzeranmeldungsklasse und weisen Sie sie dem logischen Benutzersystem zu.
[edit system] user@host# set login class ls-marketing-admin logical-system ls-marketing-dept
Um dem logischen Systemadministrator die Kontrolle über das logische Benutzersystem zu geben, weisen Sie
allder Anmeldeklasse als Berechtigungen zu.[edit system] user@host# set login class ls-marketing-admin permissions all
Weisen Sie dem logischen Systemadministrator des Benutzers einen vollständigen Namen zu.
[edit system] user@host# set login user lsmarketingadmin1 full-name lsmarketingadmin1
Weisen Sie dem benutzerlogischen Systemadministrator die Anmeldeklasse zu, damit sich der Administrator beim logischen Benutzersystem anmelden kann.
[edit system] user@host# set login user lsmarketingadmin1 class ls-marketing-admin
Erstellen Sie ein Benutzeranmeldungskennwort für den logischen Systemadministrator des Benutzers.
[edit system] user@host# set login user lsmarketingadmin1 authentication plain-text-password New password: Talk2345 Retype new password: Talk2345
Erstellen Sie einen zweiten Administrator für das logische System ls-marketing-dept.
Schritt-für-Schritt-Verfahren
Weisen Sie dem logischen Systemadministrator des Benutzers einen vollständigen Namen zu.
[edit system] user@host# set login user lsmarketingadmin2 full-name lsmarketingadmin2
Weisen Sie dem benutzerlogischen Systemadministrator die Anmeldeklasse zu, damit sich der Administrator beim logischen Benutzersystem anmelden kann.
[edit system] user@host# set login lsmarketingadmin2 class ls-marketing-admin
Erstellen Sie ein Benutzeranmeldungskennwort für den logischen Systemadministrator des Benutzers.
[edit system] user@host# set login user lsmarketingadmin2 authentication plain-text-password New password: Talk6345 Retype new password: Talk6345
Erstellen Sie das logische System des dritten Benutzers und definieren Sie seinen Administrator.
Schritt-für-Schritt-Verfahren
Erstellen Sie das logische Benutzersystem.
[edit] user@host# set logical-systems ls-accounting-dept
Konfigurieren Sie die Benutzeranmeldungsklasse und weisen Sie sie dem logischen Benutzersystem zu.
[edit system] user@host# set login class ls-accounting-admin logical-system ls-accounting-dept
Um dem benutzer logischen Systemadministrator die Kontrolle über das logische Benutzersystem zu geben, weisen Sie der Anmeldeklasse Berechtigungen zu.
[edit system] user@host# set login class ls-accounting-admin permissions all
Weisen Sie dem logischen Systemadministrator des Benutzers einen vollständigen Namen zu.
[edit system] user@host# set login user lsaccountingadmin1 full-name lsaccountingadmin1
Weisen Sie dem benutzerlogischen Systemadministrator die Anmeldeklasse zu, damit sich der Administrator beim logischen Benutzersystem anmelden kann.
[edit system] user@host# set login user lsaccountingadmin1 class ls-accounting-admin
Erstellen Sie ein Anmeldekennwort für den logischen Systemadministrator des Benutzers.
[edit system] user@host# set login user lsaccountingadmin1 authentication plain-text-password New password: Talk5678 Retype new password: Talk5678
Konfigurieren Sie ein logisches Interconnect-System, damit logische Systeme Datenverkehr von einem zum anderen weiterleiten können.
user@host# set logical-systems interconnect-logical-system
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie den show logical-systems Befehl eingeben, um zu überprüfen, ob die logischen Systeme erstellt wurden. Geben Sie auch den show system login class Befehl für jede klasse ein, die Sie definiert haben.
Geben Sie den Befehl ein show system login user , um sicherzustellen, dass die logischen Systemadministratoren erstellt wurden.
Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show logical-systems ? interconnect-logical-system; ls-accounting-dept; ls-marketing-dept; ls-product-design;
user@host# show system login class ls-design-admin logical-system ls-product-design; permissions all;
user@host# show system login class ls-design-user logical-system ls-product-design permissions view;
user@host show system login class ls-marketing-admin logical-system ls-marketing-dept; permissions all;
user@host show system login class ls-accounting-admin logical-system ls-accounting-dept; permissions all;
user@host show system login user ? lsaccountingadmin1 lsaccountingadmin1 lsdesignadmin1 lsdesignadmin1 lsdesignuser2 lsdesignuser2 lsmarketingadmin1 lsmarketingadmin1 lsmarketingadmin2 lsmarketingadmin2
Überprüfung
Führen Sie die folgenden Aufgaben durch, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfung logischer Benutzersysteme und Anmeldekonfigurationen aus dem primären logischen System
- Überprüfung logischer Benutzersysteme und Anmeldekonfigurationen mit SSH
Überprüfung logischer Benutzersysteme und Anmeldekonfigurationen aus dem primären logischen System
Zweck
Stellen Sie sicher, dass die logischen Benutzersysteme vorhanden sind und dass Sie sie als primärer Administrator über root eingeben können. Rückkehr von einem logischen Benutzersystem zum primären logischen System.
Aktion
Geben Sie im Betriebsmodus den folgenden Befehl ein:
root@host> set cli logical-system ls-product-design Logical system:ls-product-design root@host:ls-product-design>
root@host:ls-product-design> clear cli logical-system Cleared default logical system root@host>
root@host> set cli logical-system ls-marketing-dept Logical system:ls-marketing-dept root@host:ls-marketing-dept>
root@host:ls-marketing-dept> clear cli logical-system Cleared default logical system root@host>
root@host> set cli logical-system ls-accounting-dept Logical system:ls-accounting-dept root@host:ls-accounting-dept>
root@host:ls-accounting-dept> clear cli logical-system Cleared default logical system root@host>
Überprüfung logischer Benutzersysteme und Anmeldekonfigurationen mit SSH
Zweck
Stellen Sie sicher, dass die von Ihnen erstellten logischen Benutzersysteme vorhanden sind und dass die von Ihnen erstellten Anmelde-IDs und Kennwörter der Administratoren korrekt sind.
Aktion
Verwenden Sie SSH, um sich bei jedem logischen Benutzersystem anzumelden, wie es der Benutzeradministrator tun würde.
-
Führen Sie SSH aus und geben Sie die IP-Adresse Ihrer Firewall der SRX-Serie an.
Geben Sie die Anmelde-ID und das Kennwort für den Administrator für eines der logischen Benutzersysteme ein, die Sie erstellt haben. Nach der Anmeldung zeigt die Eingabeaufforderung den Administratornamen an. Beachten Sie, wie sich dieses Ergebnis von dem Ergebnis unterscheidet, das bei der Anmeldung beim logischen Benutzersystem vom primären logischen System im Root-System erzeugt wird. Wiederholen Sie diese Prozedur für alle logischen Benutzersysteme.
login: lsdesignadmin1 Password: Talk1234 lsdesignadmin1@host: ls-product-design>