Juniper路由器安全配置方案

Juniper 防火墙策略路由配置一、网络拓扑图要求：1、默认路由走电信；2、源地址为192.168.1.10 的pc 访问电信1.0.0.0/8 的地址，走电信，访问互联网走网通；二、建立extended acl1、选择network---routing---pbr---extended acl list,点击new 添加：Extended acl id:acl 编号Sequence No.：条目编号源地址：192.168.1.10/32 目的地址：1.0.0.0/8 Protocol：选择为any端口号选择为：1-65535 点击ok：2、点击add seg No.再建立一条同样的acl，但protocol 为icmp，否则在trace route 的时候仍然后走默认路由:3、建立目的地址为0.0.0.0 的acl：切记添加一条协议为icmp 的acl；命令行：set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocolicmp entry 20三、配置match group：1、network---routing---pbr---match group，点击add：Match group 的作用就是关联acl按照同样的方法将两个acl 进行关联：命令行：set match-group name group_10set match-group group_10 ext-acl 10 match-entry 10set match-group name group_20set match-group group_20 ext-acl 20 match-entry 10四、配置action group：1、network---routing---pbr---action group，点击add：在这里指定下一跳接口和地址。

JUNIPER MX系列路由器配置规范与维护手册国脉中讯网络科技有限公司版权所有侵权必究1/ 53文档类别设备维护■工程实施□流程规范□配置案例□故障案例□行政管理□基础理论□文档密级内部公开□内部限制□外部公开□外部限制■绝密文档□文档作者谢京文档审核文档摘要当前文档版本V1.0文档所属部门文档使用对象记修订录版本修订日期修订说明编写/修订人V1.0 2012-9-29 第一次发布2/ 53目录配置规范 (5)系统基本配置 (5)设备名称配置 (5)系统时区配置 (6)NTP配置 (6)Telnet服务配置 (7)系统用户配置 (8)SYSLOG配置 (10)SNMP配置 (11)接口配置 (12)以太网接口配置 (12)LOOPBACK配置 (13)以太网聚合接口配置 (14)路由协议配置 (14)AS号配置 (14)ROUTER-ID配置 (15)静态路由配置 (15)聚合路由配置 (16)OSPF协议配置 (16)BGP协议配置 (16)MPLS协议配置 (18)路由策略配置 (18)前缀列表配置 (18)AS-PATH配置 (19)COMMUNITY配置 (19)路由策略定义配置 (20)路由策略应用配置 (20)ACL配置 (21)POLICER限速配置 (21)ACL定义配置 (21)ACL应用配置 (22)策略路由配置 (22)策略路由转发实例配置 (22)直连路由导入转发实例配置 (23)策略路由ACL定义配置 (23)策略路由ACL应用配置 (24)MPLS VPN配置 (24)BGP/MPLS层三VPN配置 (24)3/ 53Kompella方式层二MPLS VPN配置 (25)Martini方式层二MPLS VPN配置 (26)VPLS配置 (27)Routing-instance 配置 (32)Firewall 配置 (34)定义access profile (35)验证配置 (36)常用维护命令 (40)硬件维护查看命令 (40)查看设备硬件信息 (40)查看设备告警 (41)查看设备环境运行状态 (41)查看路由引擎运行状态 (43)查看Craft面板信息 (44)查看交换板卡运行状态 (45)查看FPC状态运行状态 (46)查看PIC运行状态 (46)查看设备系统LOG信息 (47)软件维护查看命令 (48)查看是否有近期生成的core-dump文件 (48)查看软件版本信息 (48)查看系统存储信息 (49)查看CF卡与硬盘同步情况 (49)查看系统进程状态信息 (50)查看系统启动时间信息 (51)查看软件系统启动信息 (51)查看登录系统的用户信息 (52)踢除某一登录系统的用户 (52)查看系统连接状态 (53)4/ 53配置规范系统基本配置设备名称配置配置说明：规范设备命名，唯一性标识网内的每台设备，用于对网内的每台设备进行区分，方便设备管理，提高可读性和可管理性。

juniper路由器配置一．路由器网络服务安全配置：默认情况下，系统启动了许多无用服务，这些服务在占用系统资源的同时也造成一定的安全隐患，应该在尽可能的情况下停止或限制这些服务1． SNMP服务使用如下命令来停止SNMP服务：setsystemprocessessnmpdisable使用如下命令来设置SNMP通讯字符串：setsnmpcommunitymysnmpauthorizationread-only使用如下命令来在接口上设备SNMP通讯字符串：setsnmpinterfacefxp0communitymysnmp使用如下命令来在接口上禁止SNMP服务trap：setinterfacesfxp0unit0trapsdisable使用如下命令来限制SNMP的访问客户端：setsnmpcommunitymysnmpclients192.168.0.0/24 setsnmpcommunitymysnmpclients0.0.0.0/0restrict上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务2．停止接口广播转发：广播转发容易造成smurf攻击，因此应该使用如下命令停止：setsystemno-redirects接口级别停止广播转发使用如下命令：setinterfacesfxp0unit0familyinetno-redirects3．停止dhcp-relay服务，dhcp-relay服务用于在不同网段使用同一个dhcp 服务器，如果没有使用，则应该使用如下命令停止：setsystemdhcp-relaydisable4．禁止IGMP服务，IGMP服务如果在没有使用的情况下应该使用如下命令禁止：setprotocolsigmpinterfacealldisable5．禁止PIM服务（？），PIM服务如果在没有使用的情况下应该使用如下命令禁止：setprotocolspimdisable6．禁止SAP服务（？），SAP服务如果在没有使用的情况下应该使用如下命令禁止：setprotocolssapdisable7．禁止IPSourceRouting源路由setchassisno-source-route二．路由器登录控制：1．设置系统登录Banner:setsystemloginmessageWarning:ifyouNOTauthorizedtoaccessthissystem,dis connectNOW!2．设置登录超时时间：默认情况下，系统登录没有登录超时时间限制，应该将登录超时时间设置为15分钟：setcliidle-timeout153．建议采取用户权限分级管理策略setsystemloginclasstier1idle-timeout15setsystemloginclasstier1permissions[configureinterfacenetworkroutings nmpsystemtraceviewfirewall]setsystemloginclasstier2idle-timeout15setsystemloginclasstier2permissionsallsetsystemloginuseradminfull-nameAdministrator setsystemloginuseradminuid2000setsystemloginuseradminclasstier2 setsystemloginuseradminauthenticationencrypted-password setsystemloginusertier1uid2001setsystemloginusertier1classtier1setsystemloginusertier2uid2002setsystemloginusertier2classtier24. 限制系统ssh、telnet服务连接数量：以下配置将ssh,telnet连接最大数量限制为10个，并且每分钟最多有5个可以连接：setsystemservicessshconnection-limit10rate-limit5 setsystemservicestelnetconnection-limit10rate-limit5以下特性JUNOS5.0以上支持：setsystemservicesroot-logindeny（禁止root远程登陆）setsystemservicesprotocol-versionv2（使用sshv2）三．配置系统日志服务：1．设置系统kernel级警告发到console上setsystemsyslogconsolekernelwarning2．配置登录系统日志到单独的auth.log文件中setsystemsyslogfileauth.logauthorizationinfo3．配置系统配置更改日志到单独的change.log文件中setsystemsyslogfilechange.logchange-loginfo4．配置系统所有日志到日志服务器setsystemsysloghostx.x.x.x.anyinfo四．路由策略安全1．配置以下保留地址的黑洞路由setrouting-optionsoptionsno-resolvesetrouting-optionsoptionssyslogleveldebugsetrouting-optionsstaticroute0.0.0.0/8discardsetrouting-optionsstaticroute10.0.0.0/8discardsetrouting-optionsstaticroute20.20.20.0/24discardsetrouting-optionsstaticroute127.0.0.0/8discardsetrouting-optionsstaticroute169.254.0.0/16discardsetrouting-optionsstaticroute172.16.0.0/12discardsetrouting-optionsstaticroute192.0.2.0/24discardsetrouting-optionsstaticroute192.168.0.0/16discardsetrouting-optionsstaticroute204.152.64.0/23discardsetrouting-optionsstaticroute224.0.0.0/4discard2．设置strict模式的unicastRPFsetinterfacesso-0/0/0unit0familyinetrpf-check3．设置相应prefix-list，禁止保留地址访问setpolicy-optionsprefix-listreserved0.0.0.0/8setpolicy-optionsprefix-listreserved10.0.0.0/8setpolicy-optionsprefix-listreserved20.20.20.0/24setpolicy-optionsprefix-listreserved127.0.0.0/8setpolicy-optionsprefix-listreserved169.254.0.0/16setpolicy-optionsprefix-listreserved172.16.0.0/12setpolicy-optionsprefix-listreserved192.0.2.0/24setpolicy-optionsprefix-listreserved204.152.64.0/23setpolicy-optionsprefix-listreserved224.0.0.0/4 setfirewallfilterinbound-filterterm1fromprefix-listreserved setfirewallfilterinbound-filterterm1thencountspoof-inbound-reserved setfirewallfilterinbound-filterterm1thendiscardsetinterfacesge-0/0/0unit0familyinetfilterinputinbound-filter五． Firewall-Policy设置Firewall-Policy可以限制进入及流量主机数据包的来源、目标地址、协议、端口号、流量等，应用Firewall-Policy可以实现类似于防火墙的性能，但一般不建议在骨干路由器上使用，以下是Firewall-Policy的使用方法：1．创建Firewall-Policy：setfirewallfilterlocal-sectermsec-in1fromdestination-porttelnet setfirewallfilterlocal-sectermsec-in1fromdestination-address172.16.0.1/32setfirewallfilterlocal-sectermsec-in1fromsource-address192.168.0.0/24 setfirewallfilterlocal-sectermsec-in1thenacceptsetfirewallfilterlocal-sectermsec-in2fromdestination-porttelnet setfirewallfilterlocal-sectermsec-in2fromdestination-address172.16.0.1/32setfirewallfilterlocal-sectermsec-in2thendiscardsetfirewallfilterlocal-sectermsec-in3fromsetfirewallfilterlocal-sectermsec-in1thenaccept2．应用到路由器的端口上：setinterfacesfxp0unit0familyinetfilterinputlocal-sec以上例子不允许除192.168.0.0/24网段外所有地址telnet访问172.16.0.1，但允许其它任何包通过。

Juniper的基本配置：root# cli#相当于cisco的enroot@>cli> configure#相当于cisco的configure terminal[edit]root@# set system host-name router1#配置路由器的名字为router1root@# set system domain-name #配置路由器所在域为root@# set interfaces fxp0 unit 0 family inet address 192.168.15.1/24#配置fxp0 unit 0的接口地址，fxp0代表管理接口，unit 0代表子接口,inet代表是ipv4地址。

root@# set system backup-router 192.168.15.2#backup-router是本路由器的直连路由器，在路由器启动的时候，#JUNOS路由软件(routing protocol process, RPD)没有立即启动，#路由器将自动生成一条到back-up router的缺省路由，当路由器启动完成后再自动删除这条路由。

root@# set system name-server 192.168.15.3#DNS的地址root@# set system root-authentication plain-text-password#设置明文密码New password:Retype password:#输入并且确认密码，要求字母和数字。

root@# commit#确认配置，在没有确认配置的时候所有配置都是不生效的！root@router1# exitroot@router1>#保存配置用save命令[edit]aviva@router1# save configuration-march02Wrote 433 lines of configuration to configuration-march02#察看保存过的文件用run file list命令aviva@router1# run file list/var/home/aviva:.ssh/configuration-march02#用保存的文件载入配置用load replace命令。

Trapeze无线网络交换机配置手册羿飞目录第1章登陆无线网络交换机登录无线网络交换机方法简介无线网络交换机的登陆,可以通过以下几种方式实现：通过Console口进行本地登陆；通过以太网端口利用SSH2进行本地或远程登陆；通过以太网端口利用Telnet进行本地或远程登陆;通过以太网端口利用web方式进行本地或远程登陆通过Console口进行本地登陆通过无线网络交换机Console口进行本地登陆是登陆无线控制器的最基本的方式,也是配置通过其他方式登陆无线网络交换机的基础;用户终端的通信参数配置要和无线网络交换机Console口的配置保持一致,才能通过Console口登陆到无线网络交换机上;无线网络交换机Console口的缺省配置如下：波特率设置为9600bit/s数据位为8无奇偶效验位停止位为1无数据流控制如下图所示：正确连接之后,敲回车键,就会出现“MXR-2-9792C0>”的登陆界面其中：MXR-2为无线网络交换机的型号,9792C0为该无线网络交换机序列号的后6位;在出现上面登陆界面时输入“enable”后,屏幕提示要求输入密码,交换机默认是密码为空,直接回车就会进入交换机的特权配置模式,屏幕出示为“MXR-2-9792C0”通过SSH2或Telnet进行登陆无线网络交换机支持SSH2和Telnet功能,管理员可通过SSH2或Telnet的方式对无线网络交换机进行远程管理和维护;SSH2在缺省情况下是开启,而Telnet缺省情况下是关闭的,因此在进行Telnet 管理之前需要先将无线网络交换机的Telnet功能打开,命令为：setiptelnetserverenable想要通过SSH2和Telnet功能远程管理维护无线网络交换机,管理员必须先为”admin”账号配置密码或建立新的管理账号,命令如下：setuser username passwordencrypted stringsetuseradminpasswordXXXX通过web方式登录用户名为admin,密码为enablepassword缺省为空第2章系统基本配置配置系统名用户设置设备的名称;设备的名称对应于命令行接口的提示符,如设备的名称为Sysname,则CLI的提示符为Sysname;配置系统名的命令：setsystemname string例子：配置系统名为MX-20MXsetsystemnameMX-20MX-20配置系统时间1.设置时区命令：settimezone zone-name{-hoursminutes}例子：设置为北京时间MX-20settimezoneBJ80Timezoneissetto'BJ',offsetfromUTCis8:0hours.2.设置时间命令：settimedate{date mmmddyyyy timehh:mm:ss}例子：MXsettimedatedatefeb292004time23:58:00Timenowis:SunFeb292004,23:58:02PST配置系统IP地址系统IP地址是AP启动过程中,无线网络交换机和AP之间相互通信的IP地址;AP正常注册工作后,无线网络交换机也需要通过该IP地址发报文,以保证跟AP维持正常的通信;命令：setsystemip-address ip-addr例子：MXsetsystemip-address配置缺省路由缺省路由用作跨网段访问无线网络交换机;命令：setiproutedefault ip-addr例子：MXsetiproutedefault1系统初始化配置在enable模式中输入quickstart可以清除已有配置;MX-8quickstartn:y''forhelp.^CtobreakoutSystemNameMX-8:CountryCodeUS:CN设置国家代码SystemIPaddress:设置MX系统管理IPSystemIPaddressnetmask:设置子网掩码Defaultroute:设置网关n:EnableWebviewy:Adminusernameadmin:Adminpasswordmandatory:如果不设密码,此处先按空格键,再按回车键设置密码为空Enablepasswordoptional:Doyouwishtosetthetime y:nDoyouwishtoconfigurewireless y:nsuccess:createdkeypairforsshsuccess:Type"saveconfig"tosavetheconfigurationMX-8无线网络交换机密码恢复在重启交换机的过程中,进入boot模式后,输入“bootOPT+=default”然后重启,可以实现交换机密码恢复;在此时,迅速按下q和ENTER键,会出现：Boot>输入bootOPT+=defaultBoot>bootOPT+=defaul tBoot>reset自动重启即可;第3章系统升级MSS升级方式有三种方式：1通过web方式升级；2通过RingMaster升级；3通过命令行升级升级之前一定要详细阅读文档,如不能直接从直接升级到;通过WEB方式升级1.IE访问MX的IP2.Maintain-UpdateSystemSoftware通过网管软件RingMaster升级1.菜单栏Devices右下角“DevicesOperations”2.下面添加MSS：“ImageRepository”—“Addimage”3.安装新MSS：“ImageInstall”通过CLI命令行升级此方法请详细阅读文档先在自己电脑上打开一个tftpserver,添加准备安装的MSS版本;然后在MX上配置：：setbootpartitionboot0MXdir会包含如下内容,打表示正在使用的bootBoot:FilenameSizeCreatedboot0:,16:01:08boot1:,15:58:56第4章Trapeze配置实例最简单的公共区域接入—用户不需要口令配置脚本setiproutedefault1设置网关setsystemnameMXR-2设置系统名称setsystemip-address设置系统IPsetsystemcountrycodeCN 设置国家代码settimezonePRC80设置时区setservice-profilepublicssid-namepublic建立一个SSID为public的service-profile setservice-profilepublicssid-typeclear该SSID不加密setservice-profilepublicauth-fallthrulast-resort该SSID无需认证setservice-profilepublicattrvlan-namedefault指定缺省的AAA属性setuseradminpasswordencrypted0005170b0d55设置无线认证用户setradio-profiledefaultservice-profilepublic将service-profile与无线射频进行关联setapautomodeenable将APauto打开,允许ap自动upsetap9998serial-idmodelMP-620设置APsetap9998radio1modeenable启动AP的gsetap9998radio2modeenable启动AP的setiphttpsserverenable开启web访问服务setportpoe2enable开启将MXR-2的端口2的PoE功能setsecurityl2-restrictvlan1modeenablepermit-mac00:1a:70:d4:90:0f可选命令,二层隔离,只允许client访问网关00:1a:70:d4:90:0f为网关的MAC地址setinterface1ip设置vlan1的interfaceIPsetinterface1ipdhcp-serverenablestartstopprimary-dnsdefault-router开启vlan1的DHCPserver访客使用Web-Portal接入配置脚本setiproutedefault1设置缺省路由setsystemnameTrapeze设置系统名称setsystemip-address设置系统IPsetsystemcountrycodeCN设置国家代码settimezonecnt80设置时区setservice-profilemacssid-namemac设置ssid名称为macsetservice-profilemacssid-typeclear ssid不加密setservice-profilemaccipher-tkipenablesetservice-profilemacauth-dot1xdisable关闭认证setservice-profilemacattrvlan-namedefault将该ssid与defaultvlan关联setauthenticationmacssidmaclocal mac认证用户来自本地setmac-user00:11:22:33:44:55创建本地mac认证用户setradio-profiledefaultservice-profiletest将service-profile与无线射频关联setapautomodeenable开启ap自动上线模式setap30serial-idmodelMP-422新建一个apsetap30radio1modeenable开启ap30的gsetap30radio2modeenable开启ap30的setportpoe1enable开启所有poe端口的poe功能setportpoe2enablesetportpoe3enablesetportpoe4enablesetportpoe5enablesetportpoe6enablesetvlan1port1端口所属的vlansetvlan1port2setvlan1port3setvlan1port4setvlan1port5setvlan1port6setvlan1port7setvlan1port8setinterface1ip设置vlan1的interfaceipsetinterface1ipdhcp-serverenablestartstopprimary-dnssecondary-dnsdefault-router 开启MX上的dhcpserver不同的认证加密方式无需密码和用户名口令setiproutedefault1设置网关setsystemnameMXR-2设置系统名称setsystemip-address设置系统IPsetsystemcountrycodeCN 设置国家代码settimezonePRC80设置时区setservice-profileopenssid-nameopen建立一个SSID为open的service-profilesetservice-profileopenssid-typeclear该SSID不加密setservice-profileopenauth-fallthrulast-resort该SSID无需认证setservice-profileopenattrvlan-namedefault指定缺省的AAA属性setuseradminpasswordencrypted0005170b0d55设置无线认证用户setradio-profiledefaultservice-profileopen将service-profile与无线射频进行关联setapautomodeenable将APauto打开,允许ap自动upsetap9998serial-idmodelMP-620设置APsetap9998radio1modeenable启动AP的gsetap9998radio2modeenable启动AP的setiphttpsserverenable开启web访问服务setportpoe2enable开启将MXR-2的端口2的PoE功能setsecurityl2-restrictvlan1modeenablepermit-mac00:1a:70:d4:90:0f可选命令,二层隔离,只允许client访问网关00:1a:70:d4:90:0f为网关的MAC地址setinterface1ip设置vlan1的interfaceIPsetinterface1ipdhcp-serverenablestartstopprimary-dnsdefault-router开启vlan1的DHCPserver加密,无需用户名口令认证setservice-profileOpenssid-nameopensetservice-profileOpenauth-fallthrulast-resortsetservice-profileOpenwepkey-index1keysetservice-profileOpenwepkey-index2keyabcdefghijsetservice-profileOpencipher-tkipenablesetservice-profileOpenauth-dot1xdisablesetservice-profileOpenattrvlan-namedefault加密setservice-profileOpenssid-nameopensetservice-profileOpenauth-fallthrulast-resortsetservice-profileOpencipher-tkipenable使用外部Radius,并配置了ACL以及动态/静态WEP的配置,计费settraceaaamsglevel5setiproutedefault1setsystemnameMXR-2setsystemip-addresssetsystemcountrycodeCNsettimezonePRC80setservice-profiletestssid-nametestsetservice-profiletestauth-fallthruweb-portalsetservice-profiletestwepkey-index1keyaabbccddeesetservice-profiletestweb-portal-aclportalaclsetservice-profiletestweb-portal-logoutmodeenablesetservice-profiletestattrvlan-namedefault setradiusserverlinuxaddressencrypted-key151e02021132 setservergroupradiusmemberslinuxsetenablepasspassword167adb2ad14f82b99db98877c704d093b7b9 setauthenticationdot1xssidtestpass-throughradius setauthenticationwebssidtestradius setuseradminpasswordencrypted03055f060f01setradio-profiledefaultservice-profiletest setapautomodeenablesetap8serial-idmodelMP-372setap8fingerprintd2:c1:10:12:d5:34:a2:16:ff:40:02:40:8d:3b:fa:f5 setap8radio1modeenablesetiphttpsserverenablesetportpoe2enablesetvlan1port1setvlan1port2setvlan2namevlan2setvlan2port1tag2setinterface1ipsetinterface1ipdhcp-serverenableprimary-dnsdefault-router setinterface2ipsetinterface2ipdhcp-serverenableprimary-dnsdefault-router setsecurityaclipportalaclpermitudpeq68eq67 setsecurityaclipportalacldenycapture commitsecurityaclportalaclsetsecurityaclipacl-88permithitscommitsecurityaclacl-88setsecurityaclipacl-99permitsetsecurityaclipacl-99permitsetsecurityaclipacl-99permitipsetsecurityaclipacl-99permitipsetsecurityaclipacl-99denyipsetsecurityaclipacl-99permitcommitsecurityaclacl-99EAPOff-load并计费到Radius,使用MXR-2showconfigConfigurationnvgen'dat2006-2-0716:29:02ImageModelMXR-2Lastchangeoccurredat2006-2-0716:25:10 settraceaaamsglevel5setiproutedefault1setsystemnameMXR-2setsystemip-addresssetsystemcountrycodeCNsettimezonePRC80setservice-profiletestssid-nametestsetservice-profiletestauth-fallthruweb-portalsetservice-profiletestwepkey-index1keyaabbccddee setservice-profiletestweb-portal-aclportalaclsetservice-profiletestweb-portal-logoutmodeenable setservice-profiletestattrvlan-namedefault setradiusserverlinuxaddresskeylinux setradiusserverwinaddresskeywinradius setservergroupradiusmemberslinuxsetservergroupradius-winmemberswin setenablepasspasswordenalbesetaccountingdot1xssidteststart-stopradius-win缺省时自动启动Channel的RF-Auto,需要手动打开power自动调整;命令如,需要增加如下MX-8setradio-profiledefaultauto-tunepower-configenable success:changeacceptedMX-8setporttypeap4modelmp-71poeen1.15无线用户接入到MP263 ,MX的信息如下：1AP状态信息显示2用户会话信息显示2.用命令将MP263的Radio1关闭,无线用户将漫游到MP386; 1AP状态信息显示2用户会话信息显示。

Juniper常用配置Juniper 常用配置一、基本操作1、登录设备系统初始化用户名是roo t，密码是空。

在用户模式下输入configure或者是edit可以进入配置模式。

2、设置用户名：set host-name EX4200。

3、配置模式下运行用户模式命令，则需要在命令前面加一个run，如：run show interface 。

4、在show 后面使用管道符号加上display set将其转换成set 格式命令show protocols ospf | display set 。

5、在需要让配置生效需要使用commit命令，在commit之前使用commit check来对配置进行语法检查。

如果提交之后，可以使用rollback进行回滚，rollback 1回滚上一次提前之前的配置，rollback 2则是回滚上 2 次提交之前的配置。

6、交换机重启：request system reboot7、交换机关机：request system halt二、交换机基本操作2.1 设置root密码交换机初始化用户名是root 是没有密码的，在进行commit 之前必须修改root 密码。

明文修改方式只是输入的时候是明文，在交换机中还是以密文的方式存放的。

实例：明文修改方式：lab@EX4200-1# top[edit]lab@EX4200-1# edit system[edit system]lab@EX4200-1# set root-authentication plain-text-password2.2 设置删除主机名实例：#"设置主机名为EX4200"lab@EX4200-1# edit system[edit system]lab@EX4200-1# set host-name EX4200#”删除命令”#lab@EX4200-1# edit system[edit system]lab@EX4200-1# delete host-name EX42002.3 开启Telnet登陆服务说明：在默认缺省配置下，EX 交换机只是开放了http 远程登陆方式，因此如果想通过telnet登陆到交换机上，必须在系统中打开telnet 服务。