juniper Router的启动
1)首先是JUNOS的内核起来
2)内核下载PFE的微内核到SCB/SSB/SFM
3)不同的进程包括dcd和chassisd起来
4)PFE初始化
5)rpd进程唤醒,同时,系统启动在inet.o指定的路由协议
6)一旦inet.o建立起来,最佳路由便会指定并放在FT.与此同时,FT被下载到PFE
感性认识一下
root@huajiejie>request system reboot
reboot system ? yes or no
yes!
shutdown
syncing disk
will try to boot from PCMCIA flash card
starting local daemons
fiksdal
login:
详细的说一下
1)关进程和文件系统
2)重起,BIOS这时实现大部分的引导功能
3)路由器显示启动选择
比如 PCMCIA ATA flash card
compact flash
hard disk
ethernet
等
4)从PCMCIA ATA flash card上启动路由器
如果PCMCIA card已经在RE的话,将会首先从这里启动路由器
5)RE管理口fxp0起来
6)内部RE到PFE(fxp1)的端口起来
7)需要注意的是,在上面,其他的PFE接口并没有起来mgd进程起来
8)rpd起来
9)mgd提示用户登陆
juniper router的系统管理
在UNIX世界里,root无所不能。同样,对于juniper os,BSD流派的系统来说,root帐号是那么的重要,所以,还是从这里开始吧。
初始时,juniper router是没有密码的,比如
login:root
terminal type? [vt100]
root@huajiejie>
输入帐号root,默认回车,你就是root了
友情提醒一下,在JUNOS 5底下是不允许root通过SSH远程登陆的。
第一次登陆juniper router以后,赶紧设置控制台root登陆密码
step by step
root@huajiejie>configure
root@#edit system
[edit system]
root#set root-authentication plain-text-password
root#new password:ccxx.net
root#retype new password:ccxx.net
不用担心你输入的密码是不可见的。
junos使用MD5加密root和user帐号
root@huajiejie>show configuration
看到的root帐号是密文
设置好root帐号以后就可以进行帐号管理工作的,对于系统来说,仅仅有一个root帐号是不明智的。使用root帐号一定要谨慎,最好是确认了以后再用root帐号登陆设置管理等.
在[edit system]环境下使用命令
root#set longin user w00w00
添加帐号w00w00
设置用户密码
root#set login user authentication plain-text-password
输入密码,确认就ok了
还有一个安全等级的概念。在系统里分等级权限来管理是个好办法,比如你想一个用户是只读状态,比如你想他可以配置某一类的命令 比如firewall snmp等这都要使用等级权限分类进行管理
在juniper router里面
我们可以使用以下命令进行权限管理,juniper的权限分的很好
[edit system]状态下
root#set longin user w00w00 class superuser
class是语法,指定用户的等级权限
这是个predefined classes
其他的包括有
operator
read-noly
superuser
unauthorized
其中superuser的权限是all,无所不能....operator的权限只比readonly大那么一丁点
呵呵。
operator可以清ARP表,可以重起机器,可以ping和telnet,可以看一下输出命令show的内容,但是始终不能看configuration
操作工就是操作工啊,sigh....
w00w00
试图突破这些,假设他是operator的话
他面对的只有
>show configuration
version /*access-denied*/
system /access-denied/
interface /*access-denied*/
显然,这样的权限设置单调了些,也委屈了operator,关键的是,你要是想他帮你实现一些任务的时候,他就力不从心了.所以,要自己定义一下权限等级,允许用户进行那么操作在[edit system]底下
#set login class permissions
比如设置
#set login class provisioning permission [clear network reset trace view
configure interface-control]
那么,provisioning等级的兄弟似乎该开心多点了吧
然后
我们就可以设置用户的等级
#set login user w00w00 class provisioning
恩,我不想某人讨厌的使用一些命令
#set login class deny-commands
这样就可以去除等级中的某种权限
比如,我想你最关心是的是request system reboot吧,嘿嘿
#set class all-but-reboot all deny-commands "request system reboot"
all-but-root用户(假设在superuser等级)的reboot武功就给废了,可能是老板
透露给我他最近想辞工吧......
那想强行来都没办法
operation>request system reboot
syntax error,expecting
当然,还可以设置idle时间,有时间发呆那就踢出去发呆个够好了
1)首先是JUNOS的内核起来
2)内核下载PFE的微内核到SCB/SSB/SFM
3)不同的进程包括dcd和chassisd起来
4)PFE初始化
5)rpd进程唤醒,同时,系统启动在inet.o指定的路由协议
6)一旦inet.o建立起来,最佳路由便会指定并放在FT.与此同时,FT被下载到PFE
感性认识一下
root@huajiejie>request system reboot
reboot system ? yes or no
yes!
shutdown
syncing disk
will try to boot from PCMCIA flash card
starting local daemons
fiksdal
login:
详细的说一下
1)关进程和文件系统
2)重起,BIOS这时实现大部分的引导功能
3)路由器显示启动选择
比如 PCMCIA ATA flash card
compact flash
hard disk
ethernet
等
4)从PCMCIA ATA flash card上启动路由器
如果PCMCIA card已经在RE的话,将会首先从这里启动路由器
5)RE管理口fxp0起来
6)内部RE到PFE(fxp1)的端口起来
7)需要注意的是,在上面,其他的PFE接口并没有起来mgd进程起来
8)rpd起来
9)mgd提示用户登陆
juniper router的系统管理
在UNIX世界里,root无所不能。同样,对于juniper os,BSD流派的系统来说,root帐号是那么的重要,所以,还是从这里开始吧。
初始时,juniper router是没有密码的,比如
login:root
terminal type? [vt100]
root@huajiejie>
输入帐号root,默认回车,你就是root了
友情提醒一下,在JUNOS 5底下是不允许root通过SSH远程登陆的。
第一次登陆juniper router以后,赶紧设置控制台root登陆密码
step by step
root@huajiejie>configure
root@#edit system
[edit system]
root#set root-authentication plain-text-password
root#new password:ccxx.net
root#retype new password:ccxx.net
不用担心你输入的密码是不可见的。
junos使用MD5加密root和user帐号
root@huajiejie>show configuration
看到的root帐号是密文
设置好root帐号以后就可以进行帐号管理工作的,对于系统来说,仅仅有一个root帐号是不明智的。使用root帐号一定要谨慎,最好是确认了以后再用root帐号登陆设置管理等.
在[edit system]环境下使用命令
root#set longin user w00w00
添加帐号w00w00
设置用户密码
root#set login user authentication plain-text-password
输入密码,确认就ok了
还有一个安全等级的概念。在系统里分等级权限来管理是个好办法,比如你想一个用户是只读状态,比如你想他可以配置某一类的命令 比如firewall snmp等这都要使用等级权限分类进行管理
在juniper router里面
我们可以使用以下命令进行权限管理,juniper的权限分的很好
[edit system]状态下
root#set longin user w00w00 class superuser
class是语法,指定用户的等级权限
这是个predefined classes
其他的包括有
operator
read-noly
superuser
unauthorized
其中superuser的权限是all,无所不能....operator的权限只比readonly大那么一丁点
呵呵。
operator可以清ARP表,可以重起机器,可以ping和telnet,可以看一下输出命令show的内容,但是始终不能看configuration
操作工就是操作工啊,sigh....
w00w00
试图突破这些,假设他是operator的话
他面对的只有
>show configuration
version /*access-denied*/
system /access-denied/
interface /*access-denied*/
显然,这样的权限设置单调了些,也委屈了operator,关键的是,你要是想他帮你实现一些任务的时候,他就力不从心了.所以,要自己定义一下权限等级,允许用户进行那么操作在[edit system]底下
#set login class permissions
比如设置
#set login class provisioning permission [clear network reset trace view
configure interface-control]
那么,provisioning等级的兄弟似乎该开心多点了吧
然后
我们就可以设置用户的等级
#set login user w00w00 class provisioning
恩,我不想某人讨厌的使用一些命令
#set login class deny-commands
这样就可以去除等级中的某种权限
比如,我想你最关心是的是request system reboot吧,嘿嘿
#set class all-but-reboot all deny-commands "request system reboot"
all-but-root用户(假设在superuser等级)的reboot武功就给废了,可能是老板
透露给我他最近想辞工吧......
那想强行来都没办法
operation>request system reboot
syntax error,expecting
当然,还可以设置idle时间,有时间发呆那就踢出去发呆个够好了
#set login class idle-timeout
本文转自 独钩寒江雪 51CTO博客,原文链接:http://blog.51cto.com/bennie/139010,如需转载请自行联系原作者
