Configurar un sistema lógico
Ejemplo: Configuración de contraseña raíz para sistemas lógicos
Requisitos
Antes de comenzar, lea Descripción general de las tareas de configuración del administrador principal de sistemas lógicos serie SRX para comprender cómo encaja esta tarea en el proceso de configuración general.
En el ejemplo, se usa un dispositivo SRX5600 que ejecuta Junos OS con sistemas lógicos.
Visión general
El software Junos OS se instala en el enrutador antes de que se entregue de fábrica. Cuando en potencia el enrutador, está listo para su configuración. Inicialmente, inicia sesión como usuario raíz sin usar una contraseña.
Después de iniciar sesión, puede configurar una contraseña para el usuario raíz o, en términos de sistemas lógicos, para el administrador principal. El administrador principal tiene privilegios de raíz sobre el dispositivo.
Topología
Configuración
Configuración de la contraseña raíz
Procedimiento paso a paso
Configure una contraseña raíz para el dispositivo.
user@host# set system root-authentication Talk22rt6
Ejemplo: Crear sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión
En este ejemplo, se muestra cómo crear sistemas lógicos de usuario y asignar administradores a ellos. Muestra cómo agregar usuarios a un sistema lógico de usuario. Y en el ejemplo se muestra cómo crear un sistema lógico de interconexión, que es opcional.
Solo el administrador principal puede crear cuentas de inicio de sesión de usuario para administradores y usuarios. Si un administrador de sistema lógico de usuario desea agregar usuarios a su sistema lógico, debe transmitir la información al administrador principal, que agregará los usuarios.
Requisitos
En el ejemplo, se usa un dispositivo SRX5600 que ejecuta Junos OS con sistemas lógicos.
Visión general
Antes de comenzar, lea Descripción general de las tareas de configuración del administrador principal de sistemas lógicos serie SRX para comprender cómo encaja esta tarea en el proceso de configuración general.
Este ejemplo es para una empresa que incluye los departamentos de diseño de productos, marketing y contabilidad. La empresa quiere reducir los costos de hardware y energía, pero no a riesgo de exponer datos en todos los departamentos o en Internet.
Cada departamento tiene sus propios requisitos de seguridad tanto con respecto a otros departamentos como a Internet. Para cumplir con sus requisitos de control de costos sin perder la seguridad, la empresa despliega el dispositivo SRX5600. El administrador principal configura tres sistemas lógicos de usuario, lo que ofrece a cada departamento un dispositivo lógico que es privado y está completamente protegido.
En este tema, se explica cómo:
Cree sistemas lógicos de usuario y un sistema lógico de interconexión que se utilice como conmutador VPLS interno para permitir que el tráfico pase de un sistema lógico a otro.
Cree administradores para sistemas lógicos de usuario distintos del sistema lógico de interconexión. Un sistema lógico de usuario puede tener más de un administrador. El sistema lógico de interconexión no requiere un administrador.
Agregue usuarios a un sistema lógico de usuario.
Nota:En este ejemplo, se muestra cómo configurar solo dos usuarios: lsdesignuser1 y lsdesignuser2. En realidad, cada sistema lógico de usuario incluirá muchos usuarios que requerirían configuraciones similares a las que se muestran en este ejemplo.
Topología
La Figura 1 muestra un dispositivo SRX5600 implementado y configurado para sistemas lógicos. Los ejemplos de configuración reflejan esta implementación.

Configuración
Configuración de sistemas lógicos de usuario, sus administradores, sus usuarios y un sistema lógico de interconexión
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set logical-systems ls-product-design set system login class ls-design-admin logical-system ls-product-design set system login class ls-design-admin permissions all set system login user lsdesignadmin1 full-name lsdesignadmin1 set system login user lsdesignadmin1 class ls-design-admin set system login user lsdesignadmin1 authentication encrypted-password "$ABC123" set system login class ls-design-user logical-system ls-product-design set system login class ls-design-user permissions view set system login user lsdesignuser1 full-name lsdesignuser1 set system login user lsdesignuser1 class ls-design-user set system login user lsdesignuser1 authentication encrypted-password "$ABC123" set system login user lsdesignuser2 full-name lsdesignuser2 set system login user lsdesignuser2 class ls-design-user set system login user lsdesignuser2 authentication encrypted-password "$ABC123" set logical-systems ls-marketing-dept set system login class ls-marketing-admin logical-system ls-marketing-dept set system login class ls-marketing-admin permissions all set system login user lsmarketingadmin1 class ls-marketing-admin set system login user lsmarketingadmin1 full-name lsmarketingadmin1 set system login user lsmarketingadmin1 authentication encrypted-password "$ABC123" set system login user lsmarketingadmin2 full-name lsmarketingadmin2 set system login user lsmarketingadmin2 class ls-marketing-admin set system login user lsmarketingadmin2 authentication encrypted-password "$ABC123" set logical-systems ls-accounting-dept set system login class ls-accounting-admin logical-system ls-accounting-dept set system login class ls-accounting-admin permissions all set system login user lsaccountingadmin1 full-name lsaccountingadmin1 set system login user lsaccountingadmin1 class ls-accounting-admin set system login user lsaccountingadmin1 authentication encrypted-password "$ABC123" set logical-systems interconnect-logical-system
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Cree el primer sistema lógico de usuario y defina su administrador.
Procedimiento paso a paso
Cree el sistema lógico del usuario.
[edit] user@host# set logical-systems ls-product-design
Asigne la clase de inicio de sesión de usuario al sistema lógico del usuario.
[edit system] user@host# set login class ls-design-admin logical-system ls-product-design
Cree la clase de inicio de sesión para dar permiso completo al administrador del sistema lógico del usuario sobre el sistema lógico del usuario.
[edit system] user@host# set login class ls-design-admin permissions all
Asigne un nombre completo al administrador del sistema lógico del usuario.
[edit system] user@host# set login user lsdesignadmin1 full-name lsdesignadmin1
Asocie la clase de inicio de sesión con el administrador del sistema lógico del usuario para permitir que el administrador inicie sesión en el sistema lógico del usuario.
[edit system] user@host# set login user lsdesignadmin1 class ls-design-admin
Cree una contraseña de inicio de sesión de usuario para el administrador del sistema lógico del usuario.
[edit system] user@host# set login user lsdesignadmin1 authentication plain-text-password New password: Talk1234 Retype new password: Talk1234
Configure el primer usuario para el sistema lógico.
Procedimiento paso a paso
Configure la clase de inicio de sesión de usuario y asígnela al sistema lógico del usuario.
[edit system] user@host# set login class ls-design-user logical-system ls-product-design
Para que el primer usuario pueda ver los recursos y la configuración del sistema lógico, pero no cambiarlos, asigne
view
como permiso a la clase de inicio de sesión.[edit system] user@host# set login class ls-design-user permissions view
Asigne un nombre completo al usuario del sistema lógico.
[edit system] user@host# set login user lsdesignuser1 full-name lsdesignuser1
Asocie la clase de inicio de sesión con el usuario para permitir que el usuario inicie sesión en el sistema lógico del usuario.
user@host# set login user lsdesignuser1 class ls-design-user
Cree una contraseña de inicio de sesión de usuario para el usuario.
[edit system] user@host# set login user lsdesignuser1 authentication plain-text-password New password: Talk4234 Retype new password: Talk4234
Cree el segundo usuario para ls-product-design del sistema lógico.
Procedimiento paso a paso
Asigne un nombre completo al usuario.
[edit system] user@host# set login user lsdesignuser2 full-name lsdesignuser2
Asocie el usuario con la clase de inicio de sesión para permitir que el usuario inicie sesión en el sistema lógico del usuario.
user@host# set login user lsdesignuser2 class ls-design-user
Cree una contraseña de inicio de sesión de usuario.
[edit system] user@host# set login user lsdesignuser2 authentication plain-text-password New password: Talk9234 Retype new password: Talk9234
Cree el segundo sistema lógico de usuario y defina su administrador.
Procedimiento paso a paso
Cree el sistema lógico del usuario.
[edit] user@host# set logical-systems ls-marketing-dept
Configure la clase de inicio de sesión de usuario y asígnela al sistema lógico del usuario.
[edit system] user@host# set login class ls-marketing-admin logical-system ls-marketing-dept
Para darle al administrador del sistema lógico del usuario control sobre el sistema lógico del usuario, asigne
all
permisos a la clase de inicio de sesión.[edit system] user@host# set login class ls-marketing-admin permissions all
Asigne un nombre completo al administrador del sistema lógico del usuario.
[edit system] user@host# set login user lsmarketingadmin1 full-name lsmarketingadmin1
Asocie el administrador del sistema lógico del usuario con la clase de inicio de sesión para permitir que el administrador inicie sesión en el sistema lógico del usuario.
[edit system] user@host# set login user lsmarketingadmin1 class ls-marketing-admin
Cree una contraseña de inicio de sesión de usuario para el administrador del sistema lógico del usuario.
[edit system] user@host# set login user lsmarketingadmin1 authentication plain-text-password New password: Talk2345 Retype new password: Talk2345
Cree un segundo administrador de sistema lógico de usuario para el sistema lógico ls-marketing-dept.
Procedimiento paso a paso
Asigne un nombre completo al administrador del sistema lógico del usuario.
[edit system] user@host# set login user lsmarketingadmin2 full-name lsmarketingadmin2
Asocie el administrador del sistema lógico del usuario con la clase de inicio de sesión para permitir que el administrador inicie sesión en el sistema lógico del usuario.
[edit system] user@host# set login lsmarketingadmin2 class ls-marketing-admin
Cree una contraseña de inicio de sesión de usuario para el administrador del sistema lógico del usuario.
[edit system] user@host# set login user lsmarketingadmin2 authentication plain-text-password New password: Talk6345 Retype new password: Talk6345
Cree el tercer sistema lógico de usuario y defina su administrador.
Procedimiento paso a paso
Cree el sistema lógico del usuario.
[edit] user@host# set logical-systems ls-accounting-dept
Configure la clase de inicio de sesión de usuario y asígnela al sistema lógico del usuario.
[edit system] user@host# set login class ls-accounting-admin logical-system ls-accounting-dept
Para darle al usuario control de administrador del sistema lógico sobre el sistema lógico del usuario, asigne permisos a la clase de inicio de sesión.
[edit system] user@host# set login class ls-accounting-admin permissions all
Asigne un nombre completo al administrador del sistema lógico del usuario.
[edit system] user@host# set login user lsaccountingadmin1 full-name lsaccountingadmin1
Asocie el administrador del sistema lógico del usuario con la clase de inicio de sesión para permitir que el administrador inicie sesión en el sistema lógico del usuario.
[edit system] user@host# set login user lsaccountingadmin1 class ls-accounting-admin
Cree una contraseña de inicio de sesión para el administrador del sistema lógico del usuario.
[edit system] user@host# set login user lsaccountingadmin1 authentication plain-text-password New password: Talk5678 Retype new password: Talk5678
Configure un sistema lógico de interconexión para permitir que los sistemas lógicos pasen tráfico de uno a otro.
user@host# set logical-systems interconnect-logical-system
Resultados
Desde el modo de configuración, ingrese el show logical-systems
comando para confirmar que se crearon los sistemas lógicos. Escriba también el show system login class
comando para cada clase que haya definido.
Para asegurarse de que se crearon los administradores de sistemas lógicos, escriba el show system login user
comando.
Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show logical-systems ? interconnect-logical-system; ls-accounting-dept; ls-marketing-dept; ls-product-design;
user@host# show system login class ls-design-admin logical-system ls-product-design; permissions all;
user@host# show system login class ls-design-user logical-system ls-product-design permissions view;
user@host show system login class ls-marketing-admin logical-system ls-marketing-dept; permissions all;
user@host show system login class ls-accounting-admin logical-system ls-accounting-dept; permissions all;
user@host show system login user ? lsaccountingadmin1 lsaccountingadmin1 lsdesignadmin1 lsdesignadmin1 lsdesignuser2 lsdesignuser2 lsmarketingadmin1 lsmarketingadmin1 lsmarketingadmin2 lsmarketingadmin2
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar sistemas lógicos de usuario y configuraciones de inicio de sesión desde el sistema lógico principal
- Verificar los sistemas lógicos del usuario y las configuraciones de inicio de sesión mediante SSH
Verificar sistemas lógicos de usuario y configuraciones de inicio de sesión desde el sistema lógico principal
Propósito
Compruebe que los sistemas lógicos de usuario existen y que usted, como administrador principal, puede ingresarlos desde la raíz. Vuelva de un sistema lógico de usuario al sistema lógico principal.
Acción
Desde el modo operativo, escriba el siguiente comando:
root@host> set cli logical-system ls-product-design Logical system:ls-product-design root@host:ls-product-design>
root@host:ls-product-design> clear cli logical-system Cleared default logical system root@host>
root@host> set cli logical-system ls-marketing-dept Logical system:ls-marketing-dept root@host:ls-marketing-dept>
root@host:ls-marketing-dept> clear cli logical-system Cleared default logical system root@host>
root@host> set cli logical-system ls-accounting-dept Logical system:ls-accounting-dept root@host:ls-accounting-dept>
root@host:ls-accounting-dept> clear cli logical-system Cleared default logical system root@host>
Verificar los sistemas lógicos del usuario y las configuraciones de inicio de sesión mediante SSH
Propósito
Compruebe que los sistemas lógicos de usuario que creó existen y que los ID de inicio de sesión y las contraseñas de los administradores que creó son correctos.
Acción
Utilice SSH para iniciar sesión en cada sistema lógico de usuario como lo haría su administrador de usuario.
-
Ejecute SSH especificando la dirección IP del firewall serie SRX.
Escriba el ID de inicio de sesión y la contraseña del administrador para uno de los sistemas lógicos de usuario que creó. Después de iniciar sesión, el indicador muestra el nombre del administrador. Observe cómo este resultado difiere del resultado producido al iniciar sesión en el sistema lógico del usuario desde el sistema lógico principal en la raíz. Repita este procedimiento para todos los sistemas lógicos de usuario.
login: lsdesignadmin1 Password: Talk1234 lsdesignadmin1@host: ls-product-design>