[网络转载] juniper router的系统管理

　　在UNIX世界里，root无所不能。同样，对于juniper os,BSD流派的系统来说，root帐号是那么的重要，所以,还是从这里开始吧。 k?z1[c l>  
　　初始时，juniper router是没有密码的，比如

　　login:root

　　terminal type? [vt100]

　　root@huajiejie> CN LX(|}{  
　　输入帐号root,默认回车，你就是root了
　　友情提醒一下，在JUNOS 5底下是不允许root通过SSH远程登陆的。

　　第一次登陆juniper router以后，赶紧设置控制台root登陆密码 o@}^J6,c_  
　　step by step [=4rJ*^" |  
　　root@huajiejie>configure +xl81/1%  
　　root@#edit system WI?f7wvl(z  
　　[edit system]

　　root#set root-authentication plain-text-password >3zah< =l  
　　root#new password:ccxx.net KKR!0N2  
　　root#retype new password:ccxx.net JDB8m@2sb  
　　不用担心你输入的密码是不可见的。

　　junos使用MD5加密root和user帐号 D=3;lGz_u  
　　root@huajiejie>show configuration h|26 \>  
　　看到的root帐号是密文 XgcXW1(eY  
　　设置好root帐号以后就可以进行帐号管理工作的，对于系统来说，仅仅有一个root帐号是不明智的。使用root帐号一定要谨慎，最好是确认了以后再用root帐号登陆设置管理等. b^5ss!Y6a  
　　在[edit system]环境下使用命令  Sy$(Mx!  
　　root#set longin user w00w00 !5 +\/@ Y  
　　添加帐号w00w00 {:bQf)CEy  
　　设置用户密码 ?  EEM@  
　　root#set login user authentication plain-text-password 6
　　输入密码，确认就ok了 5
　　还有一个安全等级的概念。在系统里分等级权限来管理是个好办法，比如你想一个用户是只读状态，比如你想他可以配置某一类的命令 比如firewall snmp等这都要使用等级权限分类进行管理 KDutGB#x  
　　在juniper router里面 ~f&Ud_>9  
　　我们可以使用以下命令进行权限管理,juniper的权限分的很好 ]d&L/4Uv1  
　　[edit system]状态下 \]r1? k  
　　root#set longin user w00w00 class superuser Ey&=(
N  
　　class是语法，指定用户的等级权限 <v-4Uln+y#  
　　这是个predefined classes @|JV  
　　其他的包括有 vdiF'{a  
　　operator = 9Z
n8A  
　　read-noly e\I:HS]h  
　　superuser 3t`dXjPN  
　　unauthorized piUpeUk{  
　　其中superuser的权限是all,无所不能....operator的权限只比readonly大那么一丁点 ye ]S7 [  
　　呵呵。 L6lpYO[-  
　　operator可以清ARP表，可以重起机器，可以ping和telnet,可以看一下输出命令show的内容,但是始终不能看configuration i<'5.|:  
　　操作工就是操作工啊,sigh.... {*7+1"z  
　　w00w00 v[oO?Ak  
　　试图突破这些，假设他是operator的话 0nJ 3xM /  
　　他面对的只有 )@j.yene  
　　>show configuration L%k}lD  
　　version /*access-denied*/ | ,] 'QD
  
　　system /access-denied/ TY$ v.,%  
　　interface /*access-denied*/ 9>=6ET`cW)  
　　显然，这样的权限设置单调了些，也委屈了operator，关键的是，你要是想他帮你实现一些任务的时候，他就力不从心了.所以，要自己定义一下权限等级，允许用户进行那么操作在[edit system]底下 lnv-l47/aK  
　　#set login class permissions /A\ , "-  
　　比如设置 S uvPf:  
　　#set login class provisioning permission [clear network reset trace view #e 57}gd  
　　configure interface-control] @ewDWSGo*)  
　　那么,provisioning等级的兄弟似乎该开心多点了吧 PShW)*^  
　　然后 E 09(3@.  
　　我们就可以设置用户的等级 {@~q-K e  
　　#set login user w00w00 class provisioning qT  
　　恩，我不想某人讨厌的使用一些命令 3I=qJI  
　　#set login class deny-commands 4'pMYI%I  
　　这样就可以去除等级中的某种权限 34!R
,:=  
　　比如，我想你最关心是的是request system reboot吧，嘿嘿 oKE+hUM  
　　#set class all-but-reboot all deny-commands "request system reboot" z_@ex  
　　all-but-root用户（假设在superuser等级）的reboot武功就给废了，可能是老板 @aB wn&}?  
　　透露给我他最近想辞工吧...... T; 44-B@r  
　　那想强行来都没办法 \oF z E?  
　　operation>request system reboot
XPf|;PZ\  
　　syntax error,expecting %qp=0W?  
　　当然，还可以设置idle时间，有时间发呆那就踢出去发呆个够好了 ]%8-vY b  
　　#set login class idle-timeout