EX交换机配置手册v1.2_新_1

EX3200/4200交换机 命令行配置指导手册 Version 1.2 文档版本修订 版本号 修订日期 修订说明 修订人 V1.1 2008-10 创建文件 刘军 V1.2 2008-11 第一稿 刘军 注意事项 本文中所有内容均属瞻博网络公司。未经允许，不得作任何形式的复制和传播。 目 录 71 交换机基础知识 71.1 认识Juniper交换机 91.2 EX交换机JUNOS操作系统基础 91.2.1 交换机配置模式 101.2.2 交换机配置结构 141.2.3 TAB和空格键的使用 141.2.4 用户模式和配置模式show的区别 171.2.5 如何将配置转换成set命令 181.2.6 commit和rollback 202 操作指导 202.1 通过console线连接交换机 212.2 配置交换机之前要知道 222.3 system系统参数配置 222.3.1 设置root密码 232.3.2 设置主机名 232.3.3 设置DNS服务器 242.3.4 设置日期时间 252.3.5 设置NTP服务器 262.3.6 开启远程Telnet登陆服务 262.3.7 开启远程Ftp服务 272.3.8 开启远程ssh登陆 282.3.9 开启远程WEB登陆服务 302.3.10 添加/删除用户 302.3.10.1 添加/修改用户 312.3.10.2 删除用户 312.3.11 用户权限设置 322.4 设置alarm告警 332.5 VLAN配置 342.5.1 添加/修改VLAN 352.5.2 删除VLAN 362.6 Trunk配置 372.6.1 Trunk配置步骤 372.6.2 Trunk删除 382.7 端口配置 382.7.1 打开/关闭端口 382.7.2 配置带外管理口(网管口) 392.7.3 修改端口MTU等参数 392.7.4 修改端口为L2/L3模式 402.7.5 修改端口速率和工作模式 402.8 POE设置 412.9 生成树配置 422.9.1 STP配置实例 432.9.2 RSTP配置实例 462.9.3 MSTP配置 实例 502.10 端口捆绑 502.10.1 什么是端口捆绑 512.10.2 端口捆绑步骤 522.10.3 设置负载均衡算法 522.10.3.1 指定L2算法 532.10.3.2 指定L3/L4算法 532.11 ECMP负载均衡配置 532.11.1 EX交换机ECMP原理 542.11.2 ECMP配置实例 572.12 路由 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 配置 582.12.1 静态路由配置 582.12.1.1 添加静态路由 582.12.1.2 删除静态路由 582.12.1.3 调整静态路由优先值 582.12.1.4 设置备份静态路由 592.12.1.5 指定静态路由下一跳端口 592.12.2 OSPF配置 592.12.2.1 OSPF配置步骤 622.12.2.2 OSPF配置实例 652.13 multi-vrf配置 692.14 multi-vrf OSPF实例 762.15 端口镜像 762.15.1 端口输入输出流量镜像 772.15.2 带过滤条件的端口镜像 782.16 端口MAC限制和IP绑定 782.17 端口广播风暴控制 792.18 VRRP配置 802.18.1 如何配置VRRP 812.18.2 如何检查VRRP状态 822.18.3 如何切换VRRP 822.19 BFD配置 822.19.1 OSPF中配置BFD 822.19.2 静态路由中配置BFD 832.20 交换机Firewall限制功能 832.20.1 限制IP地 832.20.2 限制MAC地址 842.21 Virtual-Chassis设置 842.22 VC知识 852.22.1 如何建立VC组 872.22.2 如何扩充VC组交换机 882.22.3 如何利用uplink链路组成VC 902.22.4 如何对VC组进行切换 902.23 SNMP配置 922.24 Syslog配置 923 交换机维护操作 923.1 交换机启动和关闭 923.1.1 重新启动 923.1.2 关闭 933.2 配置备份和恢复 933.2.1 配置备份 943.2.2 配置恢复 953.3 如何升级交换机OS 953.4 如何恢复出厂设置 953.5 密码恢复 973.6 日常维护命令 973.6.1 查看序列号show chassis hardware 973.6.2 查看硬件show chassis hardware 973.6.3 查看软件版本show version 973.6.4 查看CPU show chassis routing-engine 973.6.5 ping命令 973.6.6 查看设备告警信息 show chassis alarms 973.6.7 查看详细的硬件温度及状态信息 show chassis environment 973.6.8 收集CASE需要的信息request support information 1004 附录 1 交换机基础知识 1.1 认识Juniper交换机 产品型号 端口数 端口类型 PoE 端口数 最大电源容量 (包括 PoE容量) EX 3200-24T 24 10/100/1000B-T 8 190 (320) W EX 3200-48T 48 10/100/1000B-T 8 190 (320) W 产品型号 端口数 端口类型 PoE 端口数 最大电源容量 (包括 PoE容量) EX 4200-24T 24 10/100/1000B-T 8 190 (320) W EX 4200-24F 24 100B-FX/1000B-X N/A 190 (190) W EX 4200-48T 48 10/100/1000B-T 8 190 (320) W 1.2 EX交换机JUNOS操作系统基础 Juniper交换机可以采用CLI(command-line interface)命令行配置方式，也可以采用web浏览器界面配置方式。本指导 书 关于书的成语关于读书的排比句社区图书漂流公约怎么写关于读书的小报汉书pdf 主要是采用命令行的配置方式。 交换机配置可以采用console终端配置方式，也可以采用远程telnet方式进行配置，第一次配置的时候必须采用console方式，然后在交换机上打开telnet服务并且配置网络IP地址以及设置用户名和密码，然后才可以进行远程telnet配置。系统初始化用户名是root，密码是空。 1.2.1 交换机配置模式 CLI有两种模式：用户模式和配置模式，用户模式的提示符是>,配置模式的提示符是#，在数用户模式下输入configure或者edit可以进入配置模式： 用户模式: lab@EX4200> #用户模式 在用户模式下可以显示交换机的配置、端口状态、路由信息等。登录到交换机上即进入交换机的用户模式： Example: login: ZTE Password: lab@EX4200> 配置模式: lab@EX4200# #配置模式 通过在用户模式使用edit命令或者configure命令进入配置模式： Example: lab@EX4200> edit Entering configuration mode [edit] lab@EX4200# Example: lab@EX4200> configure Entering configuration mode [edit] lab@EX4200# 1.2.2 交换机配置结构 Juniper交换机的配置是一种层次化的配置模式，如下图所示：第一层次protocols协议层里面，可以包含bgp、isis和ospf等第二层次参数配置，而ospf层次里面，又可以定义第三层参数，比如area和traceoptions等，area下面又可以定义interface、area-range等第四层参数，而dead-interval、hello-interval等第五层参数则属于第四层interface下面的参数。 由于是层次化结构，因此配置一个参数有两种方式，一是在最外层使用一条set命令将所有层的参数一次写完，另外一种方式是利用edit逐层进入需要配置参数的层次，然后用set命令直接设置参数。例如要在ospf协议area 0中将interface ge-0/0/1.0的hello-interval时间设置为10秒，那么可以有两种设置方式: 方法一： lab@EX4200# set protocols ospf area 0 interface ge-0/0/1.0 hello-interval 10 方法二： lab@EX4200# edit protocols [edit protocols] lab@EX4200# edit ospf [edit protocols ospf] lab@EX4200# edit area 0 [edit protocols ospf area 0.0.0.0] lab@EX4200# edit interface ge-0/0/1.0 [edit protocols ospf area 0.0.0.0 interface ge-0/0/1.0] lab@EX4200# set hello-interval 10 [edit protocols ospf area 0.0.0.0 interface ge-0/0/1.0] lab@EX4200# 在edit这种方式中，exit可以退回上一次用edit进入以前的层，直接输入top则退回最上层： lab@EX4200# edit protocols [edit protocols] lab@EX4200# edit ospf [edit protocols ospf] lab@EX4200# exit [edit protocols] lab@EX4200# 分两次输入edit进入ospf，最后输入exit退回protols那层。 lab@EX4200# edit protocols ospf [edit protocols ospf] lab@EX4200# exit [edit] lab@EX4200# 分一次edit进入ospf，最后输入exit退回最外层. lab@EX4200# edit protocols [edit protocols] lab@EX4200# edit ospf [edit protocols ospf] lab@EX4200# top [edit] lab@EX4200# 输入top直接退出到最外层。 另外，juniper的配置参数有些可以一次写几个，比如要一次配置ospf的hello-time和dead-time可以按照下面写法： lab@EX4200# set protocols ospf area 0 interface ge-0/0/1.0 hello-interval 10 dead-interval 10 输入以上命令之后，交换机的配置如下： protocols { ospf { area 0.0.0.0 { interface ge-0/0/1.0 { hello-interval 10; } } } } 注意:如果不知道一条命令里面后面是否还可以跟其它配置参数，那么最好使用 ? 帮助一下： lab@EX4200# set protocols ospf area 0 interface ge-0/0/1.0 hello-interval 10 ? Possible completions: <[Enter]> Execute this command + apply-groups Groups from which to inherit configuration data + apply-groups-except Don't inherit configuration data from these groups > authentication > bfd-liveness-detection Bidirectional Forwarding Detection options dead-interval Dead interval (seconds) (1..65535) demand-circuit Interface functions as a demand circuit disable Disable OSPF on this interface interface-type Type of interface ipsec-sa IPSec security association name > ldp-synchronization Advertise maximum metric until LDP is operational metric Interface metric (1..65535) > neighbor NBMA neighbor no-neighbor-down-notification Don't inform other protocols about neighbor down events > passive Do not run OSPF, but advertise it poll-interval Poll interval for NBMA interfaces (1..65535) priority Designated router priority (0..255) retransmit-interval Retransmission interval (seconds) (1..65535) te-metric Traffic engineering metric (1..65535) transit-delay Transit delay (seconds) (1..65535) | Pipe through a command [edit] 1.2.3 TAB和空格键的使用 交换机JUNOS命令配置中，可以使用TAB键和空格键来进行参数的补全，在补全系统参数中两个键的作用是一样的，例如： lab@EX4200# set pro <-输入TAB键或者空格键，则会补全protocols lab@EX4200# set protocols 而对于用户自己定义的参数，则只能用TAB来补全，比如我们定义了一个Test_Policy_1的策略，要在ospf中配置时可以使用 ？来显示： lab@EX4200# set protocols ospf export ? Possible completions: Export policy ( Open an expression Test_Policy_1 [ Open a set of values [edit] 也可以直接输入T之后按TAB键来补全，而此时按空格键则无法补全： lab@EX4200# set protocols ospf export T <-输入TAB键，则会补全Test_Policy_1 lab@EX4200# set protocols ospf export Test_Policy_1 1.2.4 用户模式和配置模式show的区别 在用户模式下，是无法进行配置操作的，而只能查看系统的一些参数。所以用户模式下的show命令是查看系统参数。要看系统配置则使用show configure命令。例如用户模式下show interface是查看端口信息： lab@EX4200> show interfaces Physical interface: ge-0/0/1, Enabled, Physical link is Up Interface index: 142, SNMP ifIndex: 31 Link-level type: Ethernet, MTU: 1518, Speed: 100mbps, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled Device flags : Present Running Interface flags: SNMP-Traps Internal: 0x4000 CoS queues : 4 supported, 4 maximum usable queues Current address: 00:05:85:dc:cc:db, Hardware address: 00:05:85:dc:cc:db Last flapped : 2007-06-29 20:37:17 HKT (1w2d 00:31 ago) Input rate : 280 bps (0 pps) Output rate : 1280 bps (1 pps) Active alarms : None Active defects : None Logical interface ge-0/0/1.0 (Index 83) (SNMP ifIndex 71) Flags: SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.33 ] Encapsulation: ENET2 Input packets : 0 Output packets: 0 Protocol inet, MTU: 1500 Flags: None lab@EX4200> 而在配置下show命令是显示相关的配置，比如show interface则是显示interface部分的配置： lab@EX4200# show interfaces ge-0/0/1 { unit 0 { family ethernet-switching vlan members 10 ; family inet; } } [edit] lab@EX4200# 因此说用户模式和配置模式下的show命令是不同的，如果要在配置模式下运行用户模式命令，则需要在命令前面加一个run lab@EX4200# run show interfaces Physical interface: ge-0/0/1, Enabled, Physical link is Up Interface index: 142, SNMP ifIndex: 31 Link-level type: Ethernet, MTU: 1518, Speed: 100mbps, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled Device flags : Present Running Interface flags: SNMP-Traps Internal: 0x4000 CoS queues : 4 supported, 4 maximum usable queues Current address: 00:05:85:dc:cc:db, Hardware address: 00:05:85:dc:cc:db Last flapped : 2007-06-29 20:37:17 HKT (1w2d 00:36 ago) Input rate : 792 bps (0 pps) Output rate : 672 bps (0 pps) Active alarms : None Active defects : None Logical interface ge-0/0/1.0 (Index 83) (SNMP ifIndex 71) Flags: SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.33 ] Encapsulation: ENET2 Input packets : 0 Output packets: 0 Protocol inet, MTU: 1500 Flags: None [edit] lab@EX4200# lab@EX4200# run ping 172.27.69.8 PING 172.27.69.8 (172.27.69.8): 56 data bytes 64 bytes from 172.27.69.8: icmp_seq=0 ttl=64 time=5.118 ms 64 bytes from 172.27.69.8: icmp_seq=1 ttl=64 time=7.949 ms 64 bytes from 172.27.69.8: icmp_seq=2 ttl=64 time=7.018 ms ^C --- 172.27.69.8 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 5.118/6.695/7.949/1.178 ms [edit] lab@EX4200# lab@EX4200# run ping 172.27.69.8命令等同于lab@EX4200> ping 172.27.69.8 1.2.5 如何将配置转换成set命令 在配置模式下使用show或者在用户模式下使用show configure命令，输出结果是“程序化”的配置，这样的配置并不能直接粘贴到另外一台交换机上，不过可以在show后面使用管道符号加上display set将其转换成set 格式 pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载 命令，然后可以直接粘贴到其它交换机上： lab@EX4200# show protocols ospf export Test_Policy_1; area 0.0.0.0 { interface ge-0/0/1.0 { hello-interval 10; } } [edit] lab@EX4200# show protocols ospf | display set set protocols ospf export Test_Policy_1 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 hello-interval 10 [edit] lab@EX4200# 1.2.6 commit和rollback 在cisco中只要输入命令，回车之后命令马上生效，因为我们修改的就是系统正在使用的running-config配置文件。而在JUNOS中完全不同，我们操作(增加、删除、修改)的那份配置文件只是一个候选文件(candidate configure)，并不是正在运行的配置文件，只有将候选文件通过commit提交之后，配置才会真正的应用到当前系统使用的active配置文件中，从而使得修改的配置生效。 为了检查配置是否有错，可以在commit之前使用commit check来对配置进行语法检查。 为了避免提交时出错，建议不要同时两个人修改配置。 如果提交之后，可以使用rollback进行回滚，rollback 1回滚上一次提前之前的配置，rollback 2则是回滚上2次提交之前的配置： lab@EX4200# show system host-name host-name EX4200; [edit] lab@EX4200# set system host-name R1 [edit] lab@EX4200# commit commit complete [edit] lab@EX4200# show system host-name host-name EX4200; [edit] lab@EX4200# rollback 1 load complete [edit] lab@EX4200# show system host-name host-name EX4200; [edit] lab@EX4200# commit commit complete [edit] lab@EX4200# 2 操作指导 2.1 通过console线连接交换机 使用下面的步骤连接路由器的Console接口： 1. 准备好EX交换机设备自带的Console线缆(如果没有的话，采用Cisco或者安耐特等厂家的Console线也可可以) 2. 将Console线缆的DB9插头一头插到PC或者笔记本电脑的COM口上，另外一端插到路由器的CONSOLE口上。 3. 打开计算机中的终端软件工具。例如：CRT或者Windows自带的超级终端。设置如下： · 端口：选择第二步中Console线缆插入到PC上的端口，通常为COM 1或者COM 2 · 波特率：9600 · 数据位：8位 · 奇偶校验：无 · 停止位：1位 · 数据流控制：无 4. 打开配置到的CRT或者超级终端，按“Enter”键，屏幕出现登陆的提示符，即连接成功。如果没有显示，请检查线缆或者终端的配置是否正确。 2.2 配置交换机之前要知道 1. 交换机二层和三层信息是配置在端口下的逻辑端口，而Juniper 交换机的逻辑端口是通过unit逻辑单元来实现的，unit 0是默认的逻辑端口，所有引用到二层/三层端口都是引用unit 0，例如对于物理端口ge-0/0/0，其二层和三层协议用到的逻辑端口就是ge-0/0/0.0，IP地址信息、VLAN信息等都在ge-0/0/0.0下面配置 2. 本手册配置命令格式是利用edit，通过edit进入需要配置的菜单层次，然后再使用set命令来设置相关参数，因此在看配置命令手册的提示符就可以知道配置哪个层次的参数，如下面的[edit system services]就是显示配置system下面的services参数，所有set命令都是对services生效： [edit system services] lab@EX4200-1# set telnet 3. 在项目中如果没有使用到poe功能，必须通过set poe interface all disable禁止。请参见POE设置章节。 2.3 system系统参数配置 system是属于EX交换机基本配置部分，在进行其它配置之前需要先完成该部分内容配置 ，主要配置工作如下： (1) 设置root密码 (2) 设置主机名 (3) 设置日期时间 (4) 添加用户 (5) 开启ssh/telnet/http服务 (6) 设置DNS（可选配置） (7) 分配新的用户权限(可选配置) (8) 设置NTP服务器(可选配置) 配置方法是利用edit system进入system菜单里面然后再配置各个参数。 2.3.1 设置root密码 交换机初始化用户名是root是没有密码的，在进行commit之前必须修改root密码。用set root-authentication命令修改root密码的时候可以采用明文输入(plain-text-password)或者加密方式(后面跟encrypted-password)，采用加密方式需要用双引号将密码引起来。通常采用明文输入方式修改密码，明文输入只是输入的时候是明文，实际上交换机还是会采用加密方式来存放。密文修改方式通常用于从一台交换机将密码拷贝到另外一台交换机上。 明文修改方式： lab@EX4200-1# top [edit] lab@EX4200-1# edit system [edit system] lab@EX4200-1# set root-authentication plain-text-password New password: Retype new password: · [edit system]显示是在system菜单下配置，所有的set参数都是针对#system菜单下生效 加密修改方式（采用加密方式需要用双引号将密码引起来）： lab@EX4200-1# edit system [edit system] lab@EX4200-1#set root-authentication encrypted-password "$1$wyUycnLW$SuAQ36PjmNEVhAYGc1VyQ0" 2.3.2 设置主机名 lab@EX4200-1# edit system [edit system] #"设置主机名为EX4200" lab@EX4200-1# set host-name EX4200 删除命令 lab@EX4200-1# edit system [edit system] lab@EX4200-1# delete host-name EX4200 2.3.3 设置DNS服务器 DNS服务器地址是用于EX交换机上的域名解析，当你配置了DNS服务器之后，你在EX交换机上使用ping www.zte.com.cn就能正确解析出来IP地址。 lab@EX4200-1# edit system [edit system] lab@EX4200-1# set name-server 192.168.1.1 删除命令： lab@EX4200-1# edit system [edit system] lab@EX4200-1# delete name-server 192.168.1.1 2.3.4 设置日期时间 设置日期和时间，首先要在配置模式下设置时区，然后在cli模式下再设置日期和时间。请注意看命令行提示符： 设置时区 lab@EX4200-1# edit system [edit system] lab@EX4200-1# set time-zone Asia/Shanghai 设置时间： #"在用户模式下配置,YYYYMMDDhhmm.ss格式" lab@EX4200-1> set date 200811071441.00 Fri Nov 7 14:41:00 UTC 2008 可以选择的时区: lab@EX4200-1# set time-zone ? Possible completions: Time zone name or POSIX-compliant time zone string Africa/Abidjan Africa/Accra Africa/Addis_Ababa Africa/Algiers Africa/Asmera Africa/Bamako Africa/Bangui Africa/Banjul Africa/Bissau Africa/Blantyre Africa/Brazzaville Africa/Bujumbura Africa/Cairo Africa/Casablanca Africa/Ceuta Africa/Conakry Africa/Dakar Africa/Dar_es_Salaam Africa/Djibouti 2.3.5 设置NTP服务器 lab@EX4200-1# edit system [edit system] lab@EX4200-1# edit ntp [edit system ntp] #"设置NTP服务器地址" lab@EX4200-1# set server 192.168.1.1 #"设置NTP认证方式" lab@EX4200-1# set authentication-key 1 type md5 #"设置认证密码" lab@EX4200-1# set authentication-key 1 value "password" 删除命令： lab@EX4200-1# edit system [edit system] lab@EX4200-1# delete ntp 2.3.6 开启远程Telnet登陆服务 · 说明：在默认缺省配置下，EX交换机只是开放了http远程登陆方式，因此如果想通过telnet登陆到交换机上，必须在系统中打开telnet服务。 lab@EX4200-1# edit system service [edit system services] #打开Telnet 服务 lab@EX4200-1# set telnet #同时telnet的最大连接数 范围1-250 lab@EX4200-1# set telnet connection-limit 10 #每分钟同时最大连接数 范围1-250 lab@EX4200-1# set telnet rate-limit 10 lab@EX4200-1# edit system service [edit system services] lab@EX4200-1# delete telnet 2.3.7 开启远程Ftp服务 EX交换机可以配置成为一台FTP服务器，用来上传或者下载。另外，默认情况下EX交换机本身就是FTP的客户端，具有ftp的命令(跟windows下的ftp命令一样)，你可以在cli模式下使用ftp命令连接到你自己设置的FTP服务器。 lab@EX4200-1# edit system service [edit system services] lab@EX4200-1# set ftp lab@EX4200-1# set ftp connection-limit 5 lab@EX4200-1# set ftp rate-limit 5 删除命令： lab@EX4200-1# edit system service [edit system services] lab@EX4200-1# delete ftp EX作为客户端的例子： lab@EX4200-1> ftp 2.2.2.1 Connected to 2.2.2.1. 220 EX4200-1 FTP server (Version 6.00LS) ready. Name (2.2.2.1:lab): lab 331 Password required for lab. Password: 230 User lab logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp> 2.3.8 开启远程ssh登陆 EX交换机默认是没有开启SSH服务，当你打开了SSH服务而没有制定SSH的版本，系统自动支持V1和V2版本。如果你指定了SSH的版本，则系统只允许你指定版本的SSH登陆。 lab@EX4200-1# edit system service [edit system services] #"设置SSH支持V1版本" lab@EX4200-1# set ssh protocol-version v1 #"设置SSH支持V2版本" lab@EX4200-1# set ssh protocol-version v2 #最大连接数，范围1-250" lab@EX4200-1# set ssh connection-limit 10 #"每分钟最大连接数，范围1-250" lab@EX4200-1# set ssh rate-limit 10 查看配置： lab@EX4200-1# show ssh protocol-version [ v1 v2 ]; #"同时支持v1和v2两个版本，" connection-limit 10; rate-limit 10; [edit system services] lab@EX4200-1# 删除ssh配置 lab@EX4200-1# edit system service [edit system services] lab@EX4200-1# delete ssh 2.3.9 开启远程WEB登陆服务 在默认缺省配置下，EX交换机已经开放了web管理陆方式，你可以进行配置让它支持http和https两种管理方式。如果你想对web登陆参数调整，例如修改web的tcp端口以便增强安全性，允许从哪些端口登陆进来，则需要修改参数： 设置命令： lab@EX4200-1# edit system service [edit system services] #"超时退出时间(分钟) " lab@EX4200-1# set web-management session idle-timeout 10 #"同时连接的用户数" lab@EX4200-1# set web-management session session-limit 10 设置http登陆参数： lab@EX4200-1# set web-management http #"打开web管理功能" lab@EX4200-1# set web-management http port 8888 #"指定web登陆的端口，范围1- 65535" lab@EX4200-1# set web-management http interface ge-0/0/1.0 #"指定可以登陆进来的端口" lab@EX4200-1# set web-management http interface ge-0/0/2.0 #"指定可以登陆进来的端口" 设置https登陆参数： lab@EX4200-1# edit system service [edit system services] lab@EX4200-1# set web-management https #"打开https" lab@EX4200-1# set web-management https port 882 lab@EX4200-1# set web-management https local-certificate https-cer #"指定证书名字" lab@EX4200-1# set web-management https interface ge-0/0/1.0 #"指定可以登陆进来的端口" lab@EX4200-1# set web-management https interface ge-0/0/2.0 #"指定可以登陆进来的端口" 注意，在设置证书名字的时候，此时commit会提示如下错误： lab@EX4200-1# commit warning: graceful-switchover is enabled, commit synchronize should be used [edit system services web-management https local-certificate] 'local-certificate https' certificate must be configured under 'security certificates local' error: commit failed: (statements constraint check failed) [edit system services] lab@EX4200-1# 这是因为我们还没有定义名称为https的x.509证书，所以https服务无法应用它。如何生成证书请参考附录例子。 删除http管理功能： lab@EX4200-1# edit system services [edit system services] lab@EX4200-1# delete web-management http 删除https管理功能： [edit] lab@EX4200-1# edit system services [edit system services] lab@EX4200-1# delete web-management https 删除web管理功能 lab@EX4200-1# edit system services [edit system services] lab@EX4200-1# delete web-management 2.3.10 添加/删除用户 EX交换机默认的用户管理跟linux差不多，除了指定用户名之外，还可以指定用户id(uid)和用户类型(超级用户、普通用户、只读用户)等。交换机在出厂初始化的时候只有一个root用户，属于super-class用户类型。我们可以根据不同管理角色来建立新的用户。默认的系统用户类型有4种，分别是(中括号里面是权限命令)： operator permissions [ clear network reset trace view ] read-only permissions [ view ] super-user permissions [ all ] unauthorized permissions [ none ] 我们也可以自定义一个class类型，并且为自定义的class指定操作权限。在配置uid的时候，可以使用的id范围是(100..64000)。 2.3.10.1 添加/修改用户 lab@EX4200-1# edit system login [edit system login] lab@EX4200-1# edit user zte #"编辑zte用户属性，如果不存在zte用户系统会新建一个" [edit system login user zte] lab@EX4200-1# set class super-user #"设置zte为超级用户，" lab@EX4200-1# set full-name "中兴通讯" #"设置用户全名，支持中文" lab@EX4200-1# set uid 101 #"设置用户uid，可以设置的范围是(100..64000) " lab@EX4200-1# set authentication plain-text-password #"明文方式设置密码" New password: Retype new password: #或者采用加密方式设置密码 [edit system login user zte] lab@EX4200-1#set authentication encrypted-password "$1$sFYOLL7v$DlkuGCyHh37YYri.7K9nk." 2.3.10.2 删除用户 [edit] lab@EX4200-1# delete system login user zte #"删除zte用户" 2.3.11 用户权限设置 EX交换机的用户管理跟Linux类似，可以为每个用户指定类型，不同的用户类型具有不同的权限。EX还可以自定义权限，允许用户具有哪些操作权限(命令)。例如定义好一个zte_class用户类别之后，可以通过set system login user zte class zte_class 命令将zte用户改成具有zte_class权限。 配置命令： [edit] lab@EX4200-1# edit system login #"进入login菜单层次" [edit system login] lab@EX4200-1# edit class zte_class #"编辑zte_class信息，如果不存在则生成一个" [edit system login class zte_class] lab@EX4200-1# set idle-timeout 10 #"设置登陆超时时间(分钟) " lab@EX4200-1# set login-alarms #"设置登陆之后显示告警信息" lab@EX4200-1# set