2.3.8 开启远程ssh登陆
EX交换机默认是没有开启SSH服务,当你打开了SSH服务而没有制定SSH的版本,系统自动支持V1和V2版本。如果你指定了SSH的版本,则系统只允许你指定版本的SSH登陆。
lab@EX4200-1# edit system service [edit system services] #\设置SSH支持V1版本\
lab@EX4200-1# set ssh protocol-version v1 #\设置SSH支持V2版本\
lab@EX4200-1# set ssh protocol-version v2 #最大连接数,范围1-250\
lab@EX4200-1# set ssh connection-limit 10 #\每分钟最大连接数,范围1-250\
lab@EX4200-1# set ssh rate-limit 10 查看配置:
lab@EX4200-1# show ssh
protocol-version [ v1 v2 ]; #\同时支持v1和v2两个版本,\connection-limit 10; rate-limit 10;
[edit system services] lab@EX4200-1#
删除ssh配置
lab@EX4200-1# edit system service [edit system services] lab@EX4200-1# delete ssh
2.3.9 开启远程WEB登陆服务?6
在默认缺省配置下,EX交换机已经开放了web管理陆方式,你可以进行配置让它支持http和https两种管理方式。如果你想对web登陆参数调整,例如修改web的tcp端口以便增强安全性,允许从哪些端口登陆进来,则需要修改参数:
第25页 共110页
设置命令:
lab@EX4200-1# edit system service [edit system services] #\超时退出时间(分钟) \
lab@EX4200-1# set web-management session idle-timeout 10 #\同时连接的用户数\
lab@EX4200-1# set web-management session session-limit 10
设置http登陆参数:
lab@EX4200-1# set web-management http #\打开web管理功能\
lab@EX4200-1# set web-management http port 8888 #\指定web登陆的端口,范围1- 65535\lab@EX4200-1# set web-management http interface ge-0/0/1.0 #\指定可以登陆进来的端口\lab@EX4200-1# set web-management http interface ge-0/0/2.0 #\指定可以登陆进来的端口\
设置https登陆参数:
lab@EX4200-1# edit system service [edit system services]
lab@EX4200-1# set web-management https #\打开https\lab@EX4200-1# set web-management https port 882
lab@EX4200-1# set web-management https local-certificate https-cer #\指定证书名字\lab@EX4200-1# set web-management https interface ge-0/0/1.0 #\指定可以登陆进来的端口\lab@EX4200-1# set web-management https interface ge-0/0/2.0 #\指定可以登陆进来的端口\注意,在设置证书名字的时候,此时commit会提示如下错误: lab@EX4200-1# commit
warning: graceful-switchover is enabled, commit synchronize should be used [edit system services web-management https local-certificate] 'local-certificate https'
certificate must be configured under 'security certificates local' error: commit failed: (statements constraint check failed)
[edit system services] lab@EX4200-1#
第26页 共110页
这是因为我们还没有定义名称为https的x.509证书,所以https服务无法应用它。如何生成证书请参考附录例子。
删除http管理功能:
lab@EX4200-1# edit system services [edit system services]
lab@EX4200-1# delete web-management http
删除https管理功能: [edit]
lab@EX4200-1# edit system services [edit system services]
lab@EX4200-1# delete web-management https
删除web管理功能
lab@EX4200-1# edit system services [edit system services]
lab@EX4200-1# delete web-management
2.3.10 添加/删除用户
EX交换机默认的用户管理跟linux差不多,除了指定用户名之外,还可以指定用户id(uid)和用户类型(超级用户、普通用户、只读用户)等。交换机在出厂初始化的时候只有一个root用户,属于super-class用户类型。我们可以根据不同管理角色来建立新的用户。默认的系统用户类型有4种,分别是(中括号里面是权限命令):
operator permissions [ clear network reset trace view ] read-only permissions [ view ] super-user permissions [ all ] unauthorized permissions [ none ]
我们也可以自定义一个class类型,并且为自定义的class指定操作权限。在配置uid的时候,可以使用的id范围是(100..64000)。
第27页 共110页
2.3.10.1 添加/修改用户
lab@EX4200-1# edit system login [edit system login]
lab@EX4200-1# edit user zte #\编辑zte用户属性,如果不存在zte用户系统会新建一个\[edit system login user zte]
lab@EX4200-1# set class super-user #\设置zte为超级用户,\lab@EX4200-1# set full-name \中兴通讯\设置用户全名,支持中文\
lab@EX4200-1# set uid 101 #\设置用户uid,可以设置的范围是(100..64000) \ lab@EX4200-1# set authentication plain-text-password #\明文方式设置密码\New password: Retype new password: #或者采用加密方式设置密码 [edit system login user zte]
lab@EX4200-1#set authentication encrypted-password \
2.3.10.2 删除用户
[edit]
lab@EX4200-1# delete system login user zte #\删除zte用户\
2.3.11 用户权限设置
EX交换机的用户管理跟Linux类似,可以为每个用户指定类型,不同的用户类型具有不同的权限。EX还可以自定义权限,允许用户具有哪些操作权限(命令)。例如定义好一个zte_class用户类别之后,可以通过set system login user zte class zte_class 命令将zte用户改成具有zte_class权限。
配置命令: [edit]
lab@EX4200-1# edit system login #\进入login菜单层次\[edit system login]
lab@EX4200-1# edit class zte_class #\编辑zte_class信息,如果不存在则生成一个\
[edit system login class zte_class] lab@EX4200-1# set idle-timeout 10 lab@EX4200-1# set login-alarms
#\设置登陆超时时间(分钟) \#\设置登陆之后显示告警信息\
第28页 共110页