- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-登錄交換機
本章節下載: 02-登錄交換機 (1.2 MB)
· 使能FIPS模式並重啟設備後,Telnet功能和HTTP功能被禁用。
· 本文中有關FIPS模式的詳細介紹,請參見“安全配置指導”中的“FIPS”。
您可以通過以下幾種方式登錄到交換機的命令行界麵,對交換機進行配置和管理。
表1-1 登錄方式簡介
|
登錄方式 |
缺省狀況 |
|
|
缺省情況下,您可以直接通過Console口或AUX口本地登錄交換機,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3 |
||
|
缺省情況下,您不能直接通過Telnet方式登錄交換機。如需采用Telnet方式登錄,需要先通過Console口本地登錄交換機、並完成如下配置: · 開啟交換機Telnet Server功能(缺省情況下,交換機的Telnet Server功能處於關閉狀態) · 配置交換機網管口或VLAN接口的IP地址,確保交換機與Telnet登錄用戶間路由可達(缺省情況下,交換機沒有IP地址) · 配置VTY用戶的認證方式(缺省情況下,VTY用戶采用Password認證方式) · 配置VTY用戶的用戶級別(缺省情況下,VTY用戶的用戶級別為0) |
||
|
缺省情況下,您不能直接通過SSH方式登錄交換機。如需采用SSH方式登錄,需要先通過Console口本地登錄交換機、並完成如下配置: · 開啟交換機SSH Server功能並完成SSH屬性的配置(缺省情況下,交換機的SSH Server功能處於關閉狀態) · 配置交換機VLAN接口的IP地址,確保交換機與Telnet登錄用戶間路由可達(缺省情況下,交換機沒有IP地址) · 配置VTY用戶的認證方式為scheme(缺省情況下,VTY用戶采用Password認證方式) · 配置VTY用戶的用戶級別(缺省情況下,VTY用戶的用戶級別為0) |
||
|
缺省情況下,您不能直接通過AUX口利用Modem撥號遠程登錄交換機。如需通過AUX口登錄,請先通過Console口本地登錄交換機、並完成如下配置: · 配置AUX用戶的認證方式(缺省情況下,AUX用戶采用Password認證方式) · 配置AUX用戶的用戶級別(缺省情況下,AUX用戶的用戶級別為0) |
||
AUX口可以用作Console口的備用接口,通過AUX口進行本地登錄和通過Console口進行本地登錄的操作步驟相同,以下配置僅以Console口為例。
通過交換機Console口進行本地登錄是登錄交換機的最基本的方式,也是配置通過其他方式登錄交換機的基礎。缺省情況下,交換機隻能通過Console口進行本地登錄。
用戶終端的通信參數配置要和交換機Console口的缺省配置保持一致,才能通過Console口登錄到交換機上。交換機Console口的缺省配置如下:
表1-2 交換機Console口缺省配置
|
屬性 |
缺省配置 |
|
傳輸速率 |
9600bit/s |
|
流控方式 |
不進行流控 |
|
校驗方式 |
不進行校驗 |
|
停止位 |
1 |
|
數據位 |
8 |
(1) 如圖1-1所示,建立本地配置環境,將PC機或終端的串口通過配置電纜與交換機的Console口連接。
圖1-1 通過Console口連接S9500E
請按照如下順序連接配置電纜:
第一步:將配置電纜的DB-9孔式插頭連接到要對交換機進行配置的PC機或終端的串口上。
第二步:將配置電纜的RJ-45一端插入到交換機主控板上的Console口。
· 如果交換機上安裝了2塊主控板,首次登錄時請使用主用主控板(一般為槽位號小的主控板)的Console口登錄。
· 拆除連接PC機與交換機的配置電纜時,應先拔出配置電纜的RJ-45端,再拔出配置電纜的DB-9端。
(2) 在PC機上運行終端仿真程序(如Windows XP/Windows 2000的超級終端等,以下配置以Windows XP為例),選擇與交換機相連的串口,設置終端通信參數:傳輸速率為9600bit/s、8位數據位、1位停止位、無校驗和無流控,如圖1-2至圖1-4所示。
如果您的PC使用的是Windows 2003 Server操作係統,請在Windows組件中添加超級終端程序後,再按照本文介紹的方式登錄和管理交換機;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作係統,請您準備第三方的終端控製軟件,使用方法請參見軟件的使用指導或聯機幫助。
(3) 交換機上電,終端上顯示交換機自檢信息,自檢結束後提示用戶鍵入回車,之後將出現如下命令行提示符:
(4) 鍵入命令,配置交換機或查看交換機運行狀態。需要幫助可以隨時鍵入“?”。
(5) 執行完以上步驟後,您就可以登錄交換機的CLI界麵,使用命令行對交換機進行配置和管理了。缺省情況下,使用Console用戶界麵登錄交換機時不需要身份認證。為了提升安全性,建議修改Console用戶界麵的認證方式。下麵以password認證方式的配置為例進行介紹。
<Sysname> system-view
[Sysname] user-interface console 0
[Sysname-ui-console0] authentication-mode password
[Sysname-ui-console0] set authentication password cipher 123
執行以上操作後,用戶使用Console用戶界麵重新登錄交換機時,需要輸入認證密碼123才能通過身份驗證,成功登錄交換機。
· 您還可以將Console用戶界麵的認證方式配置為none(無認證)或者scheme(用戶名和密碼認證),關於認證方式的介紹和詳細配置請參見5.8 配置用戶的認證方式。
· 您使用Console口登錄後,除了認證方式,還可以對其它登錄參數進行配置,詳細介紹請參見5.3.1 配置異步串口屬性和5.3.2 配置用戶界麵公共屬性。
交換機支持Telnet功能,您可以通過Telnet方式對交換機進行遠程管理和維護。
Telnet Server和Telnet Client都要進行相應的配置,您才能通過Telnet Client正常登錄到Telnet Server。
表1-3 通過Telnet方式登錄需要具備的條件
|
對象 |
需要具備的條件 |
|
Telnet Server |
· 配置Telnet Server的IP地址 · Telnet Server與Telnet Client間路由可達 · 開啟Telnet服務器功能 · 配置Telnet登錄的認證方式 |
|
Telnet Client |
運行了Telnet程序 |
|
獲取要登錄的Telnet Server的IP地址 |
交換機既可以充當Telnet Server,也可以充當Telnet Client。
· 作為Telnet Server
缺省情況下,交換機的Telnet Server功能處於關閉狀態,通過Telnet方式登錄交換機的認證方式為Password,但交換機沒有配置缺省的登錄密碼。因此在缺省情況下您無法通過Telnet登錄到交換機上。
如果您想通過Telnet方式登錄交換機,需要首先完成以下配置:
(1) 通過Console口登錄交換機,配置交換機網管口或VLAN接口的IP地址;
(2) 開啟交換機的Telnet Server功能(telnet server enable);
(3) 配置通過Telnet登錄交換機的認證方式;
(4) 配置用戶級別及公共屬性。具體介紹請參見5.3.2 配置用戶界麵公共屬性(可選)。
· 作為Telnet Client
缺省情況下,交換機的Telnet Client功能處於開啟狀態。您可以通過交換機登錄到其他Telnet Server上。
本小節中Telnet Client以PC為例。
(1) 通過Console口登錄交換機(詳見1.2.2 通過Console口登錄交換機),配置交換機網絡管理口(以下簡稱“網管口”)的IP地址。
除了網管口,您也可以通過交換機的其他三層接口(如三層以太網接口、VLAN接口)進行Telnet登錄。
# 配置交換機網管口的IP地址為202.38.160.92/24。
<Sysname> system-view
[Sysname] interface M-Ethernet 0/0/0
[Sysname-M-Ethernet0/0/0] ip address 202.38.160.92 255.255.255.0
(2) 開啟交換機的Telnet Server功能。
表1-4 在交換機上啟動Telnet服務
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
在交換機上啟動Telnet服務 |
telnet server enable |
必選 缺省情況下,Telnet服務處於關閉狀態 |
(3) 進入VTY用戶界麵視圖,配置用戶通過Telnet登錄交換機的認證方式(請參見5.8 配置用戶的認證方式)。
(4) 配置從VTY用戶界麵登錄交換機所能訪問的命令級別(請參見“基礎配置指導”中的“CLI”)。缺省情況下,通過Telnet登錄交換機時隻能訪問命令級別為0級的命令。
(5) 如圖1-5所示建立配置環境,將PC機以太網口通過網絡與交換機的網管口連接,確保PC機和網管口之間路由可達。
(6) 在PC機上運行Telnet程序,輸入交換機網管口的IP地址,如圖1-6所示。
(7) 如果之前配置的Telnet登錄認證方式為none,則無需用戶名和密碼即可登錄;如果認證方式為password,則終端會提示您輸入登錄密碼;如果認證方式為scheme,則需要輸入用戶名和密碼後才能登錄,如果用戶輸入正確的登錄用戶名和密碼後,交換機提示用戶再次輸入一個指定類型的密碼,則表示當前用戶需要進行二次密碼認證,即用戶還必須根據提示信息輸入一個正確的密碼後才能通過認證。
(8) 使用相應命令配置交換機或查看交換機運行狀態。需要幫助可以隨時鍵入“?”。
· 通過Telnet配置交換機時,請不要刪除或修改交換機上對應本Telnet連接的網管口(或VLAN接口)的IP地址,否則會導致Telnet連接斷開。
· Telnet登錄時如果出現“All user interfaces are used, please try later!”的提示,表示當前Telnet到交換機的用戶過多,請稍候再連接。
您可以通過交換機Telnet登錄到其他設備上,對其他設備進行配置。
(1) 如圖1-7所示建立配置環境。
圖1-7 通過Telnet Client交換機登錄到Telnet Server交換機
如果Telnet Client與Telnet Server相連的端口不在同一子網內,請確保兩台設備間路由可達。
(2) 對Telnet Server進行配置。
· 在Telnet Server設備上開啟Telnet Server功能。
· 針對用戶需要的不同認證方式,在作為Telnet Server的交換機上進行相應配置。
(3) 登錄到作為Telnet Client的交換機。
(4) 在Telnet Client上通過telnet命令登錄到Telnet Server。
表1-5 交換機作為Telnet Client登錄到其它設備
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
指定設備作為Telnet客戶端時,發送Telnet報文的源IPv4地址或源接口 |
telnet client source { interface interface-type interface-number | ip ip-address } |
可選 缺省情況下,沒有指定發送Telnet報文的源IPv4地址和源接口,此時通過路由選擇源IPv4地址 |
|
退出至係統視圖 |
quit |
- |
|
交換機作為Telnet Client登錄到Telnet Server |
telnet remote-host [ service-port ] [ [ vpn-instance vpn-instance-name ] | [ source { interface interface-type interface-number | ip ip-address } ] ] |
二者必選其一 此命令在用戶視圖下執行 |
|
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] |
(5) 登錄後,出現命令行提示符(如<Sysname>)。如果出現“All user interfaces are used, please try later!”的提示,表示當前Telnet到交換機的用戶過多,請稍候再連接。
(6) 使用相應命令配置交換機或查看交換機運行狀態。需要幫助可以隨時鍵入“?”。
SSH是Secure Shell(安全外殼)的簡稱。用戶通過一個不能保證安全的網絡環境遠程登錄到交換機時,SSH可以利用加密和強大的認證功能提供安全保障,保護交換機不受諸如IP地址欺詐、明文密碼截取等攻擊。交換機支持SSH功能,用戶可以通過SSH方式登錄到交換機上,對交換機進行遠程管理和維護如圖1-8所示。
表1-6 采用SSH方式登錄需要具備的條件
|
對象 |
需要具備的條件 |
|
SSH Server |
配置SSH Server的IP地址,SSH Server與SSH Client間路由可達 |
|
配置SSH登錄的認證方式和其它配置(根據SSH Server的情況而定) |
|
|
SSH Client |
如果是主機作為SSH客戶端,則需要在主機上運行SSH客戶端程序 |
|
獲取要登錄的SSH Server的IP地址 |
交換機既可以充當SSH Server,也可以充當SSH Client。
作為SSH Server:
· 可在SSH Server上進行一係列的配置,實現對不同SSH Client的登錄權限的控製。
· 缺省情況下,交換機的SSH Server功能處於關閉狀態,因此當您使用SSH方式登錄交換機前,首先需要通過Console口登錄到交換機上,開啟交換機的SSH Server功能、對認證方式及其它屬性進行相應的配置,才能保證通過SSH方式正常登錄到交換機。
作為SSH Client:
· 可通過交換機登錄到SSH Server上,從而對SSH Server進行操作。
· 缺省情況下,交換機的SSH Client功能處於開啟狀態。
通過Console口本地登錄交換機,具體請參見1.2 通過Console口/AUX口進行本地登錄。
表1-7 交換機充當SSH SERVER時的配置
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
生成本地DSA或RSA密鑰對 |
public-key local create { dsa | rsa } |
必選 缺省情況下,沒有生成DSA和RSA密鑰對 |
|
|
使能SSH SERVER功能 |
ssh server enable |
必選 缺省情況下,SSH SERVER功能處於關閉狀態 |
|
|
退出至係統視圖 |
quit |
- |
|
|
進入VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
|
|
配置登錄用戶界麵的認證方式為scheme方式 |
authentication-mode scheme |
必選 缺省情況下,用戶界麵認證為password方式 |
|
|
配置所在用戶界麵支持SSH協議 |
protocol inbound { all | ssh | telnet } |
可選 缺省情況下,係統支持所有的協議,即支持Telnet和SSH |
|
|
退出至係統視圖 |
quit |
- |
|
|
配置交換機采用的認證方案 |
進入ISP域視圖 |
domain domain-name |
可選 缺省情況下,係統使用的AAA方案為local 如果采用local認證,則必須進行後續的本地用戶配置;如果采用RADIUS或者HWTACACS方式認證,則需進行如下配置: · 交換機上的配置請參見“安全配置指導”中的“AAA” · AAA服務器上需要配置相關的用戶名和密碼,具體請參見服務器的指導書 |
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
||
|
退出至係統視圖 |
quit |
||
|
創建本地用戶,並進入本地用戶視圖 |
local-user user-name |
必選 缺省情況下,沒有配置本地用戶 |
|
|
設置本地認證口令 |
password { cipher | simple } password |
必選 缺省情況下,沒有配置本地認證口令 |
|
|
設置本地用戶的命令級別 |
authorization-attribute level level |
可選 缺省情況下,命令級別為0 |
|
|
設置本地用戶的服務類型 |
service-type ssh |
必選 缺省情況下,不對用戶授權任何服務 |
|
|
退回係統視圖 |
quit |
- |
|
|
建立SSH用戶,並指定SSH用戶的認證方式 |
ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname } |
可選 缺省情況下,沒有配置SSH用戶及SSH用戶的認證方式 |
|
|
配置VTY用戶界麵的公共屬性 |
- |
可選 詳細配置請參見5.3.2 配置用戶界麵公共屬性 |
|
· 從SSH Client登錄到交換機(SSH Server)的具體步驟,與充當SSH Client的設備型號有關,請參考SSH Client設備配套的用戶手冊。
· 本章隻介紹采用password方式認證SSH客戶端的配置方法,publickey方式的配置方法及SSH的詳細介紹,請參見“安全配置指導”中的“SSH”。
使能命令行授權功能或命令行計費功能後,還需要進行如下配置才能保證命令行授權功能生效:
· 需要創建HWTACACS方案,在方案中指定授權服務器的IP地址以及授權過程的其它參數;
· 需要在ISP域中引用已創建的HWTACACS方案。
詳細介紹請參見“安全配置指導”中的“AAA”。
· 用戶采用password認證方式登錄交換機時,其所能訪問的命令級別取決於AAA方案中定義的用戶級別。AAA方案為local認證時,用戶級別通過authorization-attribute level level命令設定;AAA方案為RADIUS或者HWTACACS方案認證時,在相應的RADIUS或者HWTACACS服務器上設定相應用戶的級別。有關AAA、RADIUS、HWTACACS的詳細內容,請參見“AAA配置指導”中的“AAA”。
· 用戶采用publickey認證方式登錄交換機時,其所能訪問的命令級別取決於用戶界麵上通過user privilege level命令配置的級別。
通過Console口本地登錄交換機,具體請參見1.2 通過Console口/AUX口進行本地登錄。
圖1-9 通過交換機登錄到其它設備
如果Telnet Client與Telnet Server相連的端口不在同一子網內,請確保兩台設備間路由可達。
表1-8 交換機作為SSH Client登錄到其它設備的配置
|
操作 |
命令 |
說明 |
|
交換機作為SSH Client登錄到SSH IPv4服務器端 |
ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * |
必選 server:服務器IPv4地址或主機名稱,為1~20個字符的字符串,不區分大小寫 此命令在用戶視圖下執行 |
|
交換機作為SSH Client登錄到SSH IPv6服務器端 |
ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * |
必選 server:服務器的IPv6地址或主機名稱,為1~46個字符的字符串,不區分大小寫 此命令在用戶視圖下執行 |
為配合SSH Server,交換機充當SSH Client時還可進一步進行其它配置,具體配置請參見“安全配置指導”中的“SSH”。
配置完成後,交換機即可登錄到相應的SSH Server上。
網絡管理員可以通過遠端交換機的AUX口,利用一對Modem和PSTN(Public Switched Telephone Network,公共電話交換網)對遠端的交換機進行遠程維護。這種方式一般適用於在網絡中斷的情況下,利用PSTN網絡對交換機進行遠程配置、日誌/告警信息查詢、故障定位。
交換機和網絡管理員端都要進行相應的配置,才能保證通過AUX口利用Modem撥號進行遠程登錄交換機。
表1-9 通過AUX口利用Modem撥號遠程登錄需要具備的條件
|
配置對象 |
需要具備的條件 |
|
網絡管理員端 |
PC終端與Modem正確連接 |
|
Modem與可正常使用的電話線正確相連 |
|
|
獲取了遠程交換機端AUX口所連Modem上對應的電話號碼 |
|
|
遠程交換機端 |
AUX口與Modem正確連接 |
|
在Modem上進行了正確的配置 |
|
|
Modem與可正常使用的電話線正確相連 |
|
PC終端與Modem正確連接、Modem與可正常使用的電話線正確相連、獲取了遠程交換機端AUX口所連Modem上對應的電話號碼。
在與交換機直接相連的Modem上進行以下配置(與終端相連的Modem不需要進行配置)。
AT&F ----------------------- Modem恢複出廠配置
ATS0=1 ----------------------- 配置自動應答(振鈴一聲)
AT&D ----------------------- 忽略DTR信號
AT&K0 ----------------------- 禁止流量控製
AT&R1 ----------------------- 忽略RTS信號
AT&S0 ----------------------- 強製DSR為高電平
ATEQ1&W ----------------------- 禁止modem回送命令響應和執行結果並存儲配置
在配置後為了查看Modem的配置是否正確,可以輸入AT&V命令顯示配置的結果。
各種Modem配置命令及顯示的結果有可能不一樣,具體操作請參見Modem的說明書進行。
通過AUX口利用Modem撥號進行遠程登錄時,使用的是AUX用戶界麵,交換機上的配置需要注意以下幾點:
· AUX口波特率Speed要低於Modem的傳輸速率,否則可能會出現丟包現象。
· AUX口的其它屬性(AUX口校驗方式、AUX口的停止位、AUX的數據位)均采用缺省值。
(1) 在與交換機直接相連的Modem上進行以下配置。
AT&F ----------------------- Modem恢複出廠配置
ATS0=1 ----------------------- 配置自動應答(振鈴一聲)
AT&D ----------------------- 忽略DTR信號
AT&K0 ----------------------- 禁止流量控製
AT&R1 ----------------------- 忽略RTS信號
AT&S0 ----------------------- 強製DSR為高電平
ATEQ1&W ----------------------- 禁止modem回送命令響應和執行結果並存儲配置
在配置後為了查看Modem的配置是否正確,可以輸入AT&V命令顯示配置的結果。
(2) 如圖1-10所示,建立遠程配置環境,在PC機(或終端)的串口和交換機的AUX口分別掛接Modem。
(3) 在遠端通過終端仿真程序和Modem向交換機撥號(所撥號碼應該是與交換機相連的Modem的電話號碼),與交換機建立連接,如圖圖1-12至圖1-13所示。
圖1-11 新建連接
圖1-13 在遠端PC機上撥號
(4) 如果配置認證方式為Password,在遠端的終端仿真程序上輸入已配置的登錄口令,出現命令行提示符(如<Sysname>),即可對交換機進行配置或管理。需要幫助可以隨時鍵入“?”。
為了方便您對網絡交換機進行配置和維護,交換機提供Web網管功能。交換機提供一個內置的Web服務器,您可以通過PC登錄到交換機上,使用Web界麵直觀地配置和維護交換機。
缺省情況下,用戶不能通過Web登錄到交換機上,如果要使用Web登錄交換機,您首先需要通過Console口登錄到交換機上,開啟交換機的Web登錄功能(開啟HTTP協議),並配置交換機VLAN接口的IP地址、Web登錄用戶及認證口令等,配置完成後,您即可使用Web網管的方式登錄交換機。
交換機支持兩種內置的Web登錄方式:
· HTTP登錄方式:HTTP是Hypertext Transfer Protocol(超文本傳輸協議)的簡稱。它用來在Internet上傳遞Web頁麵信息。HTTP位於TCP/IP協議棧的應用層。傳輸層采用麵向連接的TCP。目前,交換機支持的HTTP協議版本為HTTP/1.0。
· HTTPS登錄方式:HTTPS(Secure HTTP,安全的HTTP)是支持SSL(Secure Sockets Layer,安全套接層)協議的HTTP協議。HTTPS通過SSL協議,使客戶端與交換機之間交互的數據經過加密處理,並為交換機製定基於證書屬性的訪問控製策略,提高了數據傳輸的安全性和完整性,保證合法客戶端可以安全地訪問交換機,禁止非法的客戶端訪問交換機,從而實現了對交換機的安全管理。
|
對象 |
需要具備的條件 |
|
交換機 |
配置交換機VLAN的IP地址,交換機與Web登錄用戶間路由可達 |
|
Web登錄用戶 |
運行Web瀏覽器 |
|
獲取要登錄交換機VLAN接口的IP地址 |
本節將為您介紹如何通過Web登錄交換機,並配置通過Web登錄時的認證方式及用戶級別等,實現對Web登錄用戶的控製。
表2-2 配置通過HTTP方式登錄交換機
|
操作 |
命令 |
說明 |
|
配置用戶訪問Web的固定校驗碼 |
web captcha verification-code |
可選 缺省情況下,用戶隻能使用Web頁麵顯示的校驗碼訪問Web 該命令在用戶視圖下執行 |
|
進入係統視圖 |
system-view |
|
|
啟動HTTP服務器 |
ip http enable |
必選 缺省情況下,HTTP服務器處於關閉狀態 |
|
配置HTTP服務的端口號 |
ip http port port-number |
可選 缺省情況下,HTTP服務的端口號為80 如果重複執行此命令,HTTP服務將使用最後一次配置的端口號 |
|
配置HTTP服務與ACL關聯 |
ip http acl acl-number |
可選 缺省情況下,沒有ACL與HTTP服務關聯 通過將HTTP服務與ACL關聯,可以過濾掉來自某些客戶端的請求,隻允許通過ACL過濾的客戶端訪問交換機 |
|
創建本地用戶(進入本地用戶視圖) |
local-user user-name |
必選 缺省情況下,無本地用戶 |
|
配置本地認證口令 |
password { cipher | simple } password |
必選 缺省情況下,無本地認證口令 |
|
配置Web登錄的用戶級別 |
authorization-attribute level level |
必選 缺省情況下,沒有配置Web登錄的用戶級別 |
|
配置Web登錄用戶的服務類型 |
service-type web |
必選 缺省情況下,沒有配置用戶的服務類型 |
|
退回係統視圖 |
quit |
- |
|
創建VLAN接口並進入VLAN接口視圖 |
interface vlan-interface vlan-interface-id |
必選 如果該VLAN接口已經存在,則直接進入該VLAN接口視圖 |
|
配置VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } |
必選 缺省情況下,沒有配置VLAN接口的IP地址 |
HTTPS登錄方式分為以下兩種:
· 簡便登錄方式:采用這種方式時,設備上隻需使能HTTPS服務,用戶即可通過HTTPS登錄設備。此時,設備使用的證書為自簽名證書,使用的SSL參數為各個參數的缺省值。這種方式簡化了配置,但是存在安全隱患。(自簽名證書指的是服務器自己生成的證書,無需從CA獲取)
· 安全登錄方式:采用這種方式時,設備上不僅要使能HTTPS服務,還需要配置SSL服務器端策略、PKI域等。這種方式配置複雜,但是具有更高的安全性。
· SSL的相關描述和配置請參見“安全配置指導”中的“SSL”。
· PKI的相關描述和配置請參見“安全配置指導”中的“PKI”。
表2-3 配置通過HTTPS方式登錄交換機
|
操作 |
命令 |
說明 |
|
配置用戶訪問Web的固定校驗碼 |
web captcha verification-code |
可選 缺省情況下,用戶隻能使用Web頁麵顯示的校驗碼訪問Web 該命令在用戶視圖下執行 |
|
進入係統視圖 |
system-view |
|
|
配置HTTPS服務與SSL服務器端策略關聯 |
ip https ssl-server-policy policy-name |
可選 缺省情況下,沒有SSL服務器端策略與HTTPS服務關聯 · 關閉HTTPS服務後,係統將自動取消HTTPS服務與SSL服務器端策略的關聯。再次使能HTTPS服務之前,需要重新配置HTTPS服務與SSL服務器端策略關聯 · HTTPS服務處於使能狀態時,對與其關聯的SSL服務器端策略進行的修改不會生效 |
|
使能HTTPS服務 |
ip https enable |
必選 缺省情況下,HTTPS服務處於關閉狀態 使能HTTPS服務,會觸發SSL的握手協商過程。在SSL握手協商過程中,如果交換機的本地證書已經存在,則SSL協商可以成功,HTTPS服務可以正常啟動;如果交換機的本地證書不存在,則SSL協商過程會觸發證書申請流程。由於證書申請需要較長的時間,會導致SSL協商不成功,從而無法正常啟動HTTPS服務。因此,在這種情況下,需要多次執行ip https enable命令,這樣HTTPS服務才能正常啟動 |
|
配置HTTPS服務與證書屬性訪問控製策略關聯 |
ip https certificate access-control-policy policy-name |
可選 缺省情況下,沒有證書屬性訪問控製策略與HTTPS服務關聯 · 通過將HTTPS服務與已配置的客戶端證書屬性訪問控製策略關聯,可以實現對客戶端的訪問權限進行控製,進一步保證交換機的安全性 · 如果配置HTTPS服務與證書屬性訪問控製策略關聯,則必須同時在與HTTPS服務關聯的SSL服務器端策略中配置client-verify enable命令,否則,客戶端無法登錄交換機。 · 如果配置HTTPS服務與證書屬性訪問控製策略關聯,則證書屬性訪問控製策略中必須至少包括一條permit規則,否則任何HTTPS客戶端都無法登錄交換機。 · 證書屬性訪問控製策略的詳細介紹請參見“安全配置指導”中的“PKI” |
|
配置HTTPS服務的端口 |
ip https port port-number |
可選 缺省情況下,HTTPS服務的端口號為443 |
|
配置HTTPS服務與ACL關聯 |
ip https acl acl-number |
必選 缺省情況下,沒有ACL與HTTPS服務關聯 通過將HTTP服務與ACL關聯,可以過濾掉來自某些客戶端的請求,隻允許通過ACL過濾的客戶端訪問交換機 |
|
配置用戶使用HTTPS登錄設備時采用的認證模式 |
web https-authorization mode { auto | manual } |
可選 缺省情況下,用戶使用HTTPS登錄設備時采用的認證模式為manual 選擇auto認證模式時表示用戶通過HTTPS登錄設備時,使用客戶端的PKI證書自動認證登錄 選擇manual認證模式時表示用戶通過HTTPS登錄設備時,設備給出登錄頁麵,用戶必須輸入合法的用戶名和密碼後才能登錄 |
|
創建本地用戶(進入本地用戶視圖) |
local-user user-name |
必選 缺省情況下,無本地用戶 |
|
配置本地認證口令 |
password { cipher | simple } password |
必選 缺省情況下,無本地認證口令 |
|
配置Web登錄的用戶級別 |
authorization-attribute level level |
必選 缺省情況下,沒有配置Web登錄的用戶級別 |
|
配置Web登錄用戶的服務類型 |
service-type web |
必選 缺省情況下,沒有配置用戶的服務類型 |
|
退出至係統視圖 |
quit |
- |
|
創建VLAN接口並進入VLAN接口視圖 |
interface vlan-interface vlan-interface-id |
必選 如果該VLAN接口已經存在,則直接進入該VLAN接口視圖 |
|
配置VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } |
必選 缺省情況下,沒有配置VLAN接口的IP地址 |
設備支持通過Web方式進行遠程管理。Web用戶可以通過HTTP協議訪問設備。通過引用訪問控製列表,可以對訪問設備的Web用戶進行控製。
確定了對Web用戶的控製策略,包括對哪些源IP進行控製,控製的動作是允許訪問還是拒絕訪問。
本配置需要通過基本訪問控製列表實現。基本訪問控製列表的序號取值範圍為2000~2999。關於ACL的定義請參見“ACL和QoS配置指導”中的“ACL”。
表2-4 通過源IP對Web用戶進行控製
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入基本ACL視圖 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必選 |
|
退出ACL視圖 |
quit |
- |
|
引用訪問控製列表對Web用戶進行控製 |
ip http acl acl-number |
必選 |
網絡管理員可以通過命令行強製在線Web用戶下線。
表2-5 強製在線Web用戶下線
|
操作 |
命令 |
說明 |
|
強製在線Web用戶下線 |
free web-users { all | user-id user-id | user-name user-name } |
必選 在用戶視圖下執行 |
通過源IP對Web用戶進行控製,僅允許來自10.110.100.52的Web用戶訪問設備。
圖2-1 對Switch的HTTP用戶進行ACL控製
# 定義基本訪問控製列表。
<Sysname> system-view
[Sysname] acl number 2030 match-order config
[Sysname-acl-basic-2030] rule 1 permit source 10.110.100.52 0
# 引用訪問控製列表,僅允許來自10.110.100.52的Web用戶訪問設備。
[Sysname] ip http acl 2030
在完成上述配置後,在任意視圖下執行display命令可以顯示Web用戶的信息,通過查看顯示信息驗證配置的效果。
表2-6 Web用戶顯示
|
操作 |
命令 |
|
顯示Web用戶的相關信息 |
display web users [ | { begin | exclude | include } regular-expression ] |
|
顯示HTTP的狀態信息 |
display ip http [ | { begin | exclude | include } regular-expression ] |
PC與交換機通過以太網相連,交換機的IP地址為192.168.0.58/24。
圖2-2 配置HTTP方式登錄組網圖
(1) 配置Switch
# 創建VLAN 999,用作遠程登錄,並將Switch上與PC相連的接口GigabitEthernet 3/0/1加入VLAN 999.
<Sysname> system-view
[Sysname] vlan 999
[Sysname-vlan999] port GigabitEthernet 3/0/1
[Sysname-vlan999] quit
# 配置VLAN 999接口的IP地址為192.168.0.58,子網掩碼為255.255.255.0。
[Sysname] interface vlan-interface 999
[Sysname-VLAN-interface999] ip address 192.168.0.58 255.255.255.0
[Sysname-VLAN-interface999] quit
# 配置Web網管用戶名為admin,認證口令為admin,用戶級別為3級。
[Sysname] local-user admin
[Sysname-luser-admin] service-type web
[Sysname-luser-admin] authorization-attribute level 3
[Sysname-luser-admin] password simple admin
(2) 配置PC
# 在PC的瀏覽器地址欄內輸入交換機的IP地址並回車,瀏覽器將顯示Web網管的登錄頁麵,如圖2-3所示:
圖2-3 通過Web登錄交換機
# 在“Web網管用戶登錄”對話框中輸入用戶名、密碼及驗證碼(此處用戶名以admin為例),並選擇登錄使用的語言,點擊<登錄>按鈕後即可登錄,顯示Web網管初始頁麵。成功登錄後,您可以在配置區對交換機進行各種配置。
用戶可以通過Web頁麵訪問和控製交換機。為了防止非法用戶訪問和控製交換機,提高交換機管理的安全性,交換機要求用戶以HTTPS(HTTP Security,支持SSL協議的HTTP)的方式登錄Web頁麵,利用SSL協議實現用戶身份驗證,並保證傳輸的數據不被竊聽和篡改。
為了滿足上述需求,需要進行如下配置:
· 配置Switch作為HTTPS服務器,並為Switch申請證書。
· 為HTTPS客戶端Host申請證書,以便Switch驗證其身份。
其中,負責為Switch和Host頒發證書的CA(Certificate Authority,認證機構)名稱為new-ca。
· 本配置舉例中,采用Windows Server作為CA。在CA上需要安裝SCEP(Simple Certificate Enrollment Protocol,簡單證書注冊協議)插件。
· 進行下麵的配置之前,需要確保Switch、Host、CA之間路由可達。
圖2-4 HTTPS配置完備性方案組網圖
(1) 配置HTTPS服務器Switch
# 配置PKI實體en,指定實體的通用名為http-server1、FQDN為ssl.security.com。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] common-name http-server1
[Sysname-pki-entity-en] fqdn ssl.security.com
[Sysname-pki-entity-en] quit
# 配置PKI域1,指定信任的CA名稱為new-ca、注冊服務器的URL為http://10.1.2.2/certsrv/mscep/mscep.dll、證書申請的注冊受理機構為RA、實體名稱為en。
[Sysname] pki domain 1
[Sysname-pki-domain-1] ca identifier new-ca
[Sysname-pki-domain-1] certificate request url http://10.1.2.2/certsrv/mscep/mscep.dll
[Sysname-pki-domain-1] certificate request from ra
[Sysname-pki-domain-1] certificate request entity en
[Sysname-pki-domain-1] quit
# 生成本地的RSA密鑰對。
[Sysname] public-key local create rsa
# 獲取CA的證書。
[Sysname] pki retrieval-certificate ca domain 1
# 為Switch申請證書。
[Sysname] pki request-certificate domain 1
# 創建SSL服務器端策略myssl,指定該策略使用PKI域1,並配置服務器端需要驗證客戶端身份。
[Sysname] ssl server-policy myssl
[Sysname-ssl-server-policy-myssl] pki-domain 1
[Sysname-ssl-server-policy-myssl] client-verify enable
[Sysname-ssl-server-policy-myssl] quit
# 創建證書屬性組mygroup1,並配置證書屬性規則,該規則規定證書頒發者的DN(Distinguished Name,可識別名稱)中包含new-ca。
[Sysname] pki certificate attribute-group mygroup1
[Sysname-pki-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca
[Sysname-pki-cert-attribute-group-mygroup1] quit
# 創建證書訪問控製策略myacp,並建立控製規則,該規則規定隻有由new-ca頒發的證書可以通過證書訪問控製策略的檢測。
[Sysname] pki certificate access-control-policy myacp
[Sysname-pki-cert-acp-myacp] rule 1 permit mygroup1
[Sysname-pki-cert-acp-myacp] quit
# 配置HTTPS服務與SSL服務器端策略myssl關聯。
[Sysname] ip https ssl-server-policy myssl
# 配置HTTPS服務與證書屬性訪問控製策略myacp關聯,確保隻有從new-ca獲取證書的HTTPS客戶端可以訪問HTTPS服務器。
[Sysname] ip https certificate access-control-policy myacp
# 使能HTTPS服務。
[Sysname] ip https enable
# 創建本地用戶usera,密碼為123,用戶級別為3級,服務類型為web。
[Sysname] local-user usera
[Sysname-luser-usera] password simple 123
[Sysname-luser-usera] authorization-attribute level 3
[Sysname-luser-usera] service-type web
(2) 配置HTTPS客戶端Host
在Host上打開IE瀏覽器,輸入網址http://10.1.2.2/certsrv,根據提示為Host申請證書。
(3) 驗證配置結果
在Host上打開IE瀏覽器,輸入網址https://10.1.1.1,選擇new-ca為Host頒發的證書,即可打開Switch的Web登錄頁麵。在登錄頁麵,輸入用戶名usera,密碼123,則可進入Switch的Web配置頁麵,實現對Switch的訪問和控製。
· HTTPS服務器的URL地址以“https://”開始,HTTP服務器的URL地址以“http://”開始。
· PKI配置命令的詳細介紹請參見“安全命令參考”中的“PKI”。
· public-key local create rsa命令的詳細介紹請參見“安全命令參考”中的“公鑰管理”。
· SSL配置命令的詳細介紹請參見“安全命令參考”中的“SSL”。
用戶可通過NMS(Network Management Station,網管工作站)登錄到設備上,通過設備上的Agent模塊對設備進行管理、配置。設備支持多種NMS軟件,如iMC等。
缺省情況下,用戶不能通過NMS登錄到設備上,如果要使用NMS登錄設備,您首先需要通過Console口登錄到設備上,在設備上進行相關配置。配置完成後,您即可使用NMS網管的方式登錄設備。
表3-1 通過NMS登錄設備需要具備的條件
|
對象 |
需要具備的條件 |
|
設備 |
配置設備三層接口的IP地址,使設備與NMS間路由可達 |
|
配置SNMP基本功能 |
|
|
NMS |
在NMS上進行配置,具體配置請參見NMS的配套手冊 |
目前設備支持與網管工作站進行連接的接口包括:網管口、VLAN接口、三層以太網接口、三層以太網子接口。
搭建配置環境,將NMS(網管工作站)的以太網接口通過網絡與設備VLAN 1下的以太網接口連接,確保PC機和VLAN 1接口之間路由可達。
圖3-1 配置通過NMS登錄設備
設備支持SNMP v1、SNMP v2c和SNMP v3三種版本,關於SNMP的詳細介紹及配置,請參見“網絡管理和監控配置指導”中的“SNMP”。
表3-2 配置SNMP基本參數(SNMP v3版本)
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
啟動SNMP Agent服務 |
snmp-agent |
可選 缺省情況下,SNMP Agent服務處於關閉狀態 執行snmp-agent命令或執行與snmp-agent相關的其他任何一條配置命令(不含display命令),都可以啟動SNMP Agent |
|
配置SNMP組 |
snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
必選 缺省情況下,沒有配置SNMP組 |
|
為SNMP組添加新用戶 |
snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ] |
必選 如果使用cipher參數,則後麵配置的auth-password和priv-password都默認為密文密碼 |
表3-3 配置SNMP基本參數(SNMP v1版本、SNMP v2c版本)
|
操作 |
命令 |
說明 |
||
|
進入係統視圖 |
system-view |
- |
||
|
啟動SNMP Agent服務 |
snmp-agent |
可選 缺省情況下,SNMP Agent服務處於關閉狀態。 執行snmp-agent命令或執行與snmp-agent相關的其他任何一條配置命令(不含display命令),都可以啟動SNMP Agent |
||
|
創建或更新MIB視圖內容 |
snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ] |
可選 缺省情況下,視圖名為ViewDefault,OID為1 |
||
|
配置訪問權限 |
直接配置 |
創建一個新的SNMP團體 |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]* |
二者必選其一 直接配置是以SNMP v1和v2c版本的團體名進行配置 間接配置采用與SNMP v3版本一致的命令形式,添加用戶到指定的組,組名相當於SNMP v1和SNMP v2c版本的團體名,在NMS上配置的團體名需要跟Agent上配置的用戶名相同 |
|
間接配置 |
設置一個SNMP組 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
||
|
為一個SNMP組添加一個新用戶 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] |
|||
通過NMS登錄設備的方法如下(此處以iMC為例):
(1) 配置設備
# 配置vlan-interface 1的IP地址為13.13.13.111/24,並確保設備與iMC之間路由可達。(配置步驟略)
# 進入係統視圖。
<Sysname> system-view
# 啟動SNMP Agent服務。
[Sysname] snmp-agent
# 創建一個新的SNMP團體,並配置iMC可以對Agent執行的操作類型。
[Sysname] snmp-agent sys-info version all
[Sysname] snmp-agent community read public
[Sysname] snmp-agent community write private
# 配置SNMP組。
[Sysname] snmp-agent group v3 managev3group
# 為SNMP組添加新用戶
[Sysname] snmp-agent usm-user v3 managev3user managev3group
(2) 配置iMC
在PC的瀏覽器地址欄內輸入iMC的IP地址(此處以iMC的IP地址為192.168.4.112為例)。在地址欄中輸入http://192.168.4.112:8080/imc(IP地址和端口號應與實際安裝環境保持一致,此處以http://192.168.4.112:8080/imc為例說明)。
在登錄頁麵中,輸入正確的操作員和密碼後單擊<登錄>按鈕,即可進入係統首頁。成功登錄後,您可以選擇相應選項對設備進行各種配置和管理。用戶可利用網管係統完成對設備的查詢和配置操作,具體情況請參考iMC的配套手冊(如“H3C智能管理中心 用戶手冊”)。
· iMC的配置必須和設備保持一致,否則無法進行相應操作,關於iMC和設備的詳細配置,請參見“網絡管理和監控配置指導”中的“SNMP”關於NMS和Agent的介紹。
· 首次登錄係統時,可使用默認的操作員登錄,登錄名和密碼均為admin。進入係統後,請及時修改該密碼,修改方法請參考iMC的配套手冊(如“H3C 智能管理中心 用戶手冊”)。
· 在iMC使用時可以根據需求增加不同權限的操作員或進行其他配置操作,具體配置方法請參見iMC產品附帶的聯機幫助。
用戶也可以直接運行Web瀏覽器,通過iMC BIMS(iMC分支網點智能管理係統,以下簡稱iMC BIMS)登錄ACS服務器進行對設備的操作。
iMC BIMS是H3C推出的通過TR-069(Technical Report 069)協議對用戶側設備(Customer Premises Equipment,簡稱CPE)進行遠程管理的網絡管理產品,它以解決CPE設備量大、IP地址不固定等管理業務難題為核心,重點關注網絡中CPE設備資源、配置以及各種應用業務配置的管理,有效降低網絡維護成本,提高問題解決效率。iMC BIMS通過資源、配置、業務、告警、權限等方麵的管理功能,實現了對廣域網中大量CPE設備的集中遠程管理。
本章節中ACS的配置需要在安裝了H3C iMC BIMS軟件的服務器上進行。隨著軟件版本的更新,BIMS的功能和界麵可能會有變化,如您所使用的軟件界麵與本例中不同,請參閱對應您使用版本的軟件用戶手冊進行配置。
在ACS服務器上直接運行Web瀏覽器,在地址欄中輸入http://10.185.10.41:8080/imc(此處以http://10.185.10.41:8080/imc為例說明,10.185.10.41為ACS服務器的IP地址,8080為端口號),並輸入操作員和密碼成功登錄iMC界麵。關於ACS服務器的介紹及詳細的登錄設備配置,請參見“網絡管理和監控配置指導”中的“CWMP(TR-069)”。
· 首次登錄係統時,可使用默認的操作員登錄,登錄名和密碼均為admin。進入係統後,請及時修改該密碼,修改方法請參考相關的配套手冊(如“H3C iMC分支網點智能管理係統 用戶手冊”)。
· 在iMC使用時可以根據需求增加不同權限的操作員或進行其他配置操作,具體配置方法請參見iMC產品附帶的聯機幫助。
當用戶使用Console口、AUX口、Telnet或者SSH方式登錄交換機的時候,係統會分配一個用戶界麵(也稱為Line)用來管理、監控交換機和用戶間的當前會話。每個用戶界麵有對應的用戶界麵視圖(User-interface view),在用戶界麵視圖下網絡管理員可以配置一係列參數,比如用戶登錄時是否需要認證、是否重定向到別的交換機以及用戶登錄後的級別等,當用戶使用該用戶界麵登錄的時候,將受到這些參數的約束,從而達到統一管理各種用戶會話連接的目的。
目前係統支持的命令行配置方式有:
· Console口本地配置
· AUX口本地或遠程配置
· Telnet或SSH本地或遠程配置
與這些配置方式對應的是三種類型的用戶界麵:
· Console用戶界麵:用來管理和監控通過Console口登錄的用戶。Console口是一種線交換機端口。交換機提供Console口,端口類型為EIA/TIA-232 DCE。
· AUX用戶界麵:用來管理和監控通過AUX口登錄的用戶。AUX口(Auxiliary port,輔助端口)也是一種線交換機端口。交換機提供AUX口,端口類型為EIA/TIA-232 DTE,通常用於通過Modem進行撥號訪問。
· VTY(Virtual Type Terminal,虛擬類型終端)用戶界麵:用來管理和監控通過VTY方式登錄的用戶。VTY口屬於邏輯終端線,用於對交換機進行Telnet或SSH訪問。目前每台交換機最多支持16個VTY用戶同時訪問。
用戶界麵的管理和監控對象是使用某種方式登錄的用戶,雖然單個用戶界麵某一時刻隻能被一個用戶使用,但它並不針對某個用戶。比如用戶A使用Console口登錄交換機時,將受到Console用戶界麵視圖下配置的約束,當使用VTY 1登錄交換機時,將受到VTY 1用戶界麵視圖下配置的約束。
根據交換機的硬件配備情況,一台交換機上可能有多個Console口、AUX口,所以交換機可能支持多個Console、AUX、VTY用戶界麵,這些用戶界麵與用戶並沒有固定的對應關係。用戶登錄時,係統會根據用戶的登錄方式,自動給用戶分配一個當前空閑的、編號最小的某類型的用戶界麵,整個登錄過程將受該用戶界麵視圖下配置的約束。同一用戶登錄的方式不同,分配的用戶界麵不同;同一用戶登錄的時機不同,分配的用戶界麵可能不同。
用戶界麵的編號有兩種方式:絕對編號方式和相對編號方式。
使用絕對編號方式,可以唯一的指定一個用戶界麵或一組用戶界麵。由於在獨立運行模式和IRF模式下Console口和AUX口的數目有些不同,所以對應的絕對編號順序也有所不同:
(1) 獨立運行模式
編號按照如下順序:起始編號是0(CON 0),第2個編號為1(CON 1),第3個編號為2(AUX 0),第4個編號為3(AUX 1),第5個編號為20(VTY 0),以此類推。
3種用戶界麵係統內部的劃分順序是Console口、AUX口、VTY,其中Console口、AUX口各占兩個編號;VTY用戶界麵的編號為20~35,使用display user-interface可查看。
(2) IRF模式
編號按照如下順序:起始編號是0(Master的CON 0),第2個編號為1(Master的CON 1),第3個編號為2(Slave的CON 0),第4個編號為3(Slave的CON 1),第5個編號為4(Master的AUX 0),第6個編號為5(Master的AUX 1),第7個編號為6(Slave的AUX 0),第8個編號為7(Slave的AUX 1),第9個編號為24(VTY 0),以此類推。
IRF模式下,Console口、AUX口各占四個編號,所以VTY用戶界麵的編號為24~39,使用display user-interface可查看。
相對編號方式的形式是:“用戶界麵類型 編號”。此編號是每種類型的用戶界麵的內部編號。此種編號方式隻能指定某種類型的用戶界麵中的一個或一組,而不能跨類型操作。相對編號方式遵守的規則如下:
· 控製台的編號:CON 0和CON 1。
· 輔助接口的編號:AUX 0和AUX 1。
· VTY的編號:第一個為VTY 0,第二個為VTY 1,依次類推。
|
配置任務 |
說明 |
詳細配置 |
|
配置異步串口屬性 |
可選 |
|
|
配置用戶界麵公共屬性 |
可選 |
|
|
配置自動執行命令 |
可選 |
|
|
通過用戶界麵配置用戶級別 |
可選 |
|
|
配置VTY用戶界麵訪問限製 |
可選 |
|
|
配置VTY用戶界麵支持的協議 |
可選 |
|
|
配置用戶的認證方式 |
可選 |
|
|
配置命令行授權功能 |
可選 |
|
|
配置命令行計費功能 |
可選 |
|
|
配置啟動終端會話及終止當前運行任務的快捷鍵 |
可選 |
|
|
向指定的用戶界麵發送消息 |
可選 |
|
|
釋放指定用戶界麵上建立的連接 |
可選 |
用戶可以通過以下步驟,來配置異步串口(即AUX口和Console口)屬性,使得交換機與訪問終端的特性能夠匹配。
表5-2 配置異步串口屬性
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入用戶界麵視圖 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
|
啟動終端服務 |
shell |
可選 缺省情況下,係統在所有的用戶界麵上啟動終端服務 |
|
設置用戶連接的超時時間 |
idle-timeout minutes [ seconds ] |
可選 缺省情況下,用戶連接的超時時間為10分鍾 |
|
設置下一屏顯示的行數 |
screen-length screen-length |
可選 缺省情況下,下一屏顯示24行數據 |
|
設置當前用戶界麵下的終端顯示類型 |
terminal type { ansi | vt100 } |
可選 缺省情況下,終端顯示類型為ANSI |
|
設置曆史命令緩衝區可存放的曆史命令的條數 |
history-command max-size size-value |
可選 缺省情況下,曆史命令緩衝區可存放10條曆史命令 |
|
退回用戶視圖 |
return |
- |
|
鎖定用戶界麵,防止未授權的用戶操作該界麵 |
lock |
可選 缺省情況下,係統不會自動鎖住當前用戶界麵 |
交換機支持兩種終端顯示類型:ANSI和VT100。當交換機的終端類型與客戶端(如超級終端或者Telnet Client等)的終端類型不一致,或者均設置為ANSI,並且當前編輯的命令行的總字符數超過80個字符時,客戶端會出現光標錯位、終端屏幕不能正常顯示的現象。建議兩端都設置為VT100類型。
配置自動執行命令後,用戶在登錄時,係統會自動執行已經配置好的命令,執行完命令後,自動斷開用戶連接。如果這條命令引發起了一個任務,係統會等這個任務執行完畢後再斷開連接。該命令通常用來配置Telnet命令,使用戶登錄時自動連接到指定的主機。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入用戶界麵視圖 |
user-interface { first-num1 [ last-num1 ] | { aux | vty } first-num2 [ last-num2 ] } |
- Console口不支持配置自動執行命令 |
|
配置自動執行命令 |
auto-execute command command |
必選 缺省情況下,未設定自動執行命令 配置自動執行命令後,用戶在登錄時,係統會自動執行已經配置好的命令,執行完命令後,自動斷開用戶連接。如果這條命令引發起了一個任務,係統會等這個任務執行完畢後再斷開連接。該命令通常用來配置Telnet命令,使用戶登錄時自動連接到指定的主機 |
· 使用auto-execute command命令後,可能導致用戶不能通過該用戶界麵對本係統進行常規配置,需謹慎使用。
· 在配置auto-execute command命令並保存配置(執行save操作)之前,要確保可以通過其他用戶界麵登錄進來更改配置,以便出現問題後,能刪除該配置。
用戶級別用來限製不同用戶對設備的訪問權限。如果用戶登錄時使用的認證方式為scheme(即需要輸入用戶名和密碼),而且是SSH的publickey認證方式時,則用戶級別等於用戶界麵的級別,該級別在用戶界麵視圖下配置,缺省情況下為0;如果用戶登錄時使用的認證方式為none或者password(即不需要輸入用戶名),則用戶級別等於用戶界麵的級別。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入用戶界麵視圖 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
|
配置從當前用戶界麵登錄係統的用戶所能訪問的命令級別 |
user privilege level level |
可選 缺省情況下,通過Console口登錄係統的用戶所能訪問的命令級別是3,通過其它用戶界麵登錄係統所能訪問的命令級別是0 |
· 關於用戶級別的詳細介紹請參見“基礎配置指導”中的“CLI”。
· 用戶級別可以通過用戶界麵也可以通過AAA認證參數來配置。哪種配置對用戶生效由用戶登錄時使用的認證方式決定。詳細介紹請參見“基礎配置指導”中的“CLI”。
該配置通過引用ACL,對VTY用戶界麵的訪問權限進行限製。ACL的相關內容請參見“ACL和QoS配置指導”中的“ACL”。
表5-6 配置VTY用戶界麵訪問限製
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入VTY用戶界麵視圖 |
user-interface { first-num1 [ last-num1 ] | vty first-num2 [ last-num2 ] } |
- |
|
|
配置係統對VTY用戶界麵的訪問權限進行限製 |
引用基本/高級ACL對訪問權限進行限製 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必選(二者必選其一) 缺省情況下,係統不對訪問權限進行限製 |
|
引用二層ACL對訪問權限進行限製 |
acl acl-number inbound |
||
表5-7 配置VTY用戶界麵支持的協議
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VTY用戶界麵視圖 |
user-interface { first-num1 [ last-num1 ] | vty first-num2 [ last-num2 ] } |
- |
|
設置所在用戶界麵支持的協議 |
protocol inbound { all | ssh | telnet } |
可選 缺省情況下,係統支持Telnet和SSH協議 |
· 如果配置用戶界麵支持SSH協議,為確保登錄成功,請您務必先配置相應的認證方式為scheme;若配置認證方式為password或none,則protocol inbound ssh配置結果將失敗。
· 使用protocol inbound命令配置的協議將在用戶下次使用該用戶界麵登錄時生效。
通過在用戶界麵下配置認證方式,可以實現當用戶使用指定用戶界麵登錄時是否需要認證,以提高交換機的安全性。交換機支持的認證方式有none、password和scheme三種。
· 如果指定認證方式為none,則下次使用該用戶界麵登錄時不需要進行用戶名和密碼認證,這種情況可能會帶來安全隱患。
· 如果指定認證方式為password,則下次使用該用戶界麵登錄時需要進行密碼認證,輸入空的或者錯誤密碼,均會導致登錄失敗。如果沒有設置認證密碼:對於AUX、VTY及MODEM撥號用戶,重新登錄時,係統將提示“Login password has not been set !”,登錄失敗;對於其他用戶界麵,重新登錄時(比如Console),為了保證交換機的可操作性,可以直接登錄,不需要輸入密碼。關閉連接前,請務必設置該用戶界麵的登錄密碼。
· 如果指定認證方式為scheme,則下次使用該用戶界麵登錄時需要進行用戶名和密碼認證,用戶名或密碼錯誤,均會導致登錄失敗。關閉連接前,請務必設置認證用戶名和密碼。
用戶認證又分為本地認證和遠程認證,如果采用本地認證,則需要配置本地用戶及相應參數(如表5-10所示);如果采用遠程認證,則需要在遠程認證服務器上配置用戶名和密碼。有關用戶認證方式及參數的詳細介紹請參見“安全配置指導”中的“AAA”。缺省情況下,交換機對訪問用戶采用本地認證方式。當用戶使用SSH方式登錄交換機時,該段描述隻適用於password認證方式,不適用於publickey認證方式,有關SSH的詳細介紹請參見“安全配置指導”中的“SSH”。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入用戶界麵視圖 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
|
配置用戶的認證方式為none |
authentication-mode none |
必選 缺省情況下, 使用VTY、AUX用戶界麵登錄的用戶的認證方式為password,使用Console用戶界麵登錄的用戶不需要認證 |
表5-9 配置用戶的認證方式為password
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入用戶界麵視圖 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
|
配置用戶的認證方式為password |
authentication-mode password |
必選 缺省情況下,使用VTY、AUX用戶界麵登錄的用戶的認證方式為password,使用Console用戶界麵登錄的用戶不需要認證 |
|
設置本地認證的密碼 |
set authentication password [ hash ] { cipher | simple } password |
必選 缺省情況下,沒有設置本地認證的密碼 FIPS模式下不支持該命令 |
表5-10 配置用戶的認證方式為scheme(本地認證)
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入用戶界麵視圖 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
|
配置用戶的認證方式為scheme |
authentication-mode scheme |
必選 缺省情況下,使用VTY、AUX用戶界麵登錄的用戶的認證方式為password,使用Console用戶界麵登錄的用戶不需要認證 |
|
配置用戶界麵所能訪問的命令級別 |
請參見“基礎配置指導”中的“CLI” |
可選 缺省情況下,通過Console口登錄係統的用戶所能訪問的命令級別是3,通過其它用戶界麵登錄係統所能訪問的命令級別是0 |
|
退回到係統視圖 |
quit |
- |
|
設置認證的用戶名,並進入本地用戶視圖 |
local-user user-name |
必選 缺省情況下,交換機中沒有設置本地用戶 |
|
設置認證的密碼 |
password { cipher | simple } password |
必選 |
|
設置用戶可以使用的服務類型 |
service-type { ssh | telnet | terminal } * |
必選 當使用VTY用戶界麵用戶登錄時服務類型需要配置為telnet或ssh,當使用Console或者Aux用戶界麵用戶登錄時服務類型需要配置terminal |
|
配置用戶的屬性 |
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | vlan vlan-id | work-directory directory-name } * |
可選 缺省情況下,FTP/SFTP用戶可以訪問交換機的根目錄,用戶的級別為0。可以使用該命令進行修改 |
local-user、password、service-type和authorization-attribute命令的詳細介紹請參見“安全命令參考”中的“AAA”。
缺省情況下,用戶登錄交換機後可以使用的命令行由用戶級別決定,用戶隻能使用缺省級別等於/低於用戶級別的命令行。配置命令行授權功能後,用戶可使用的命令行將受到用戶級別和AAA授權的雙重限製。即便是足夠級別的用戶每執行一條命令都會進行授權檢查,隻有授權成功的命令才被允許執行。
因為授權服務器是通過用戶名來查找用戶可授權使用的命令行列表的,所以命令行授權功能的配置分為三步:
(1) 配置用戶認證方式為scheme。
(2) 使能命令行授權功能,請參見表5-11。
(3) 配置命令行授權方案,在方案中配置授權服務器的IP地址以及授權過程的其它參數,詳細介紹請參見“安全配置指導”中的“AAA”。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入用戶界麵視圖 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
|
使能命令行授權功能 |
command authorization |
必選 缺省情況下,沒有使能命令行授權功能,即用戶登錄後執行命令行不需要授權 |
命令行計費功能用來在HWTACACS服務器上記錄用戶對交換機執行過的命令(隻要交換機支持的命令,不管執行成功或者失敗都會記錄),以便集中控製、監控用戶對交換機的操作。命令行計費功能生效後,如果沒有配命令行授權功能,用戶執行的每一條命令都會發送到HWTACACS服務器上做記錄;如果配置了命令行授權功能,則每一條授權成功的命令都會發送到HWTACACS服務器上做記錄。
命令行計費功能的配置分為兩步:
(1) 使能命令行計費功能,請參見表5-12。
(2) 配置命令行計費方案,在方案中配置計費服務器的IP地址以及計費過程的其它參數,詳細介紹請參見“安全配置指導”中的“AAA配置”。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入用戶界麵視圖 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
|
使能命令行計費功能 |
command accounting |
必選 缺省情況下,沒有使能命令行計費功能,即計費服務器不會記錄用戶執行的命令行 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入用戶界麵視圖 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
|
配置啟動終端會話的快捷鍵 |
activation-key character |
可選 缺省情況下,按<Enter>鍵啟動終端會話 |
|
配置終止當前運行任務的快捷鍵 |
escape-key { default | character } |
可選 缺省情況下,按<Ctrl+C>組合鍵終止當前運行的任務 |
VTY用戶界麵不支持activation-key命令。
表5-14 向指定的用戶界麵發送消息
|
操作 |
命令 |
說明 |
|
向指定的用戶界麵發送消息 |
send { all | num1 | { aux | console | vty } num2 } |
必選 該命令在用戶視圖下執行 |
係統支持多個用戶同時對交換機進行配置,當管理員在維護交換機時,其他在線用戶的配置影響到管理員的操作,或者管理員正在進行一些重要配置不想被其他用戶幹擾的話,管理員可以使用以下命令強製斷開該用戶的連接。
表5-15 釋放指定用戶界麵上建立的連接
|
操作 |
命令 |
說明 |
|
釋放指定用戶界麵上建立的連接 |
free user-interface { num1 | { aux | console | vty } num2 } |
必選 該命令在用戶視圖下執行 |
不能使用該命令釋放用戶當前自己使用的連接。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後用戶界麵的運行情況,通過查看顯示信息驗證配置的效果。
|
操作 |
命令 |
|
顯示用戶界麵的使用信息 |
display users [ all ] [ | { begin | exclude | include } regular-expression ] |
|
顯示用戶界麵的相關信息 |
display user-interface [ num1 | { aux | console | vty } num2 ] [ summary ] [ | { begin | exclude | include } regular-expression ] |
為了保證Switch的安全,需要對登錄用戶進行限製:
· 交換機管理員Host A通過Console口接入交換機,登錄交換機時,不需要輸入用戶名和密碼即可登錄、操作交換機。
· 用戶Host B通過以太網接入交換機,登錄交換機時不需要輸入用戶名,隻需要輸入密碼,認證通過後才可登錄、操作交換機。
· 用戶Host C通過PSTN網絡接入設備,撥號登錄設備時需要輸入用戶名和密碼,認證通過後才可登錄、操作設備。優先使用RADIUS遠程認證,如果RADIUS服務器故障或者鏈路故障,則使用本地認證(本地用戶名為monitor,密碼為123)。
圖5-1 用戶認證配置組網圖
# 在交換機上配置IP地址,以保證Switch分別與Host B、RADIUS server之間路由可達。(配置步驟略)
# 開啟交換機的Telnet服務器功能,以便私網和公網用戶訪問。
<Sysname> system-view
[Sysname] telnet server enable
# 配置Console用戶的認證方式為none,即用戶通過Console口登錄交換機時,不需要輸入用戶名和密碼,因為是管理員,所以權限設置為3,可以使用交換機支持的所有命令。
[Sysname] user-interface console 0
[Sysname-ui-console0] authentication-mode none
[Sysname-ui-console0] user privilege level 3
[Sysname-ui-console0] quit
# 配置VTY用戶的認證方式為password,即Host B登錄交換機時,不需要輸入用戶名,但需要輸入密碼123,可以使用缺省級別為2的命令。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] authentication-mode password
[Sysname-ui-vty0-4] set authentication password cipher 123
[Sysname-ui-vty0-4] user privilege level 2
[Sysname-ui-vty0-4] quit
# 配置VTY用戶的認證方式為scheme,即Host C撥號登錄設備時,需要輸入用戶名和密碼進行AAA認證,可以使用的命令級別由AAA服務器上的配置決定。
[Sysname] user-interface vty 5
[Sysname-ui-vty5] authentication-mode scheme
[Sysname-ui-vty5] quit
# 配置RADIUS方案:認證服務器的IP地址:UDP端口號為192.168.2.20:1812(該端口號必須和RADIUS服務器上的設置一致),報文的加密密碼是expert,支持與服務器交互擴展報文,登錄時不需要輸入域名,使用缺省域。
[Sysname] radius scheme rad
[Sysname-radius-rad] primary authentication 192.168.2.20 1812
[Sysname-radius-rad] key authentication expert
[Sysname-radius-rad] server-type extended
[Sysname-radius-rad] user-name-format without-domain
[Sysname-radius-rad] quit
# 配置缺省域的AAA方案,優先使用RADIUS方案,如果與RADIUS服務器的通信故障,則使用本地認證。
[Sysname] domain system
[Sysname-isp-system] authentication login radius-scheme rad local
[Sysname-isp-system] authorization login radius-scheme rad local
[Sysname-isp-system] quit
# 配置本地認證所需參數:創建本地用戶monitor,密碼為123,可使用的服務類型為telnet,可使用缺省級別等於或低於1(監控級)的命令。
[Sysname] local-user monitor
[Sysname-luser-admin] password cipher 123
[Sysname-luser-admin] service-type telnet
[Sysname-luser-admin] authorization-attribute level 1
為了保證Switch的安全,需要對登錄用戶執行命令的權限進行限製:
用戶Host A登錄交換機後,輸入的命令必須先獲得HWTACACS服務器的授權,才能執行。否則,不能執行該命令。如果HWTACACS服務器故障導致授權失敗,則采用本地授權。
圖5-2 命令行授權配置組網圖
# 在交換機上配置IP地址,以保證Switch和Host A、Switch和HWTACACS server之間互相路由可達。(配置步驟略)
# 開啟交換機的Telnet服務器功能,以便用戶訪問。
<Sysname> system-view
[Sysname] telnet server enable
# 配置用戶登錄交換機時,需要輸入用戶名和密碼進行AAA認證,可以使用的命令由認證結果決定。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] authentication-mode scheme
# 使能命令行授權功能,限製用戶隻能使用授權成功的命令。
[Sysname-ui-vty0-4] command authorization
[Sysname-ui-vty0-4] quit
# 配置HWTACACS方案:授權服務器的IP地址:UDP端口號為192.168.2.20:49(該端口號必須和HWTACACS服務器上的設置一致),報文的加密密碼是expert,登錄時不需要輸入域名,使用缺省域。
[Sysname] hwtacacs scheme tac
[Sysname-hwtacacs-tac] primary authentication 192.168.2.20 49
[Sysname-hwtacacs-tac] primary authorization 192.168.2.20 49
[Sysname-hwtacacs-tac] key authentication expert
[Sysname-hwtacacs-tac] key authorization expert
[Sysname-hwtacacs-tac] user-name-format without-domain
[Sysname-hwtacacs-tac] quit
# 配置缺省域的命令行授權AAA方案,使用HWTACACS方案。
[Sysname] domain system
[Sysname-isp-system] authentication login hwtacacs-scheme tac local
[Sysname-isp-system] authorization command hwtacacs-scheme tac local
[Sysname-isp-system] quit
# 配置本地認證所需參數:創建本地用戶monitor,密碼為123,可使用的服務類型為telnet,可使用缺省級別等於或低於1(監控級)的命令。
[Sysname] local-user monitor
[Sysname-luser-admin] password cipher 123
[Sysname-luser-admin] service-type telnet
[Sysname-luser-admin] authorization-attribute level 1
為便於集中控製、監控用戶對交換機的操作,需要將登錄用戶執行的命令發送到HWTACACS服務器進行記錄。
圖5-3 命令行計費配置組網圖
# 開啟交換機的Telnet服務器功能,以便用戶訪問。
<Sysname> system-view
[Sysname] telnet server enable
# 配置使用Console口登錄交換機的用戶執行的命令需要發送到HWTACACS服務器進行記錄。
[Sysname] user-interface console 0
[Sysname-ui-console0] command accounting
[Sysname-ui-console0] quit
# 配置使用Telnet或者SSH登錄的用戶執行的命令需要發送到HWTACACS服務器進行記錄。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] command accounting
[Sysname-ui-vty0-4] quit
# 配置HWTACACS方案:計費服務器的IP地址:UDP端口號為192.168.2.20:49,報文的加密密碼是expert,登錄時不需要輸入域名,使用缺省域。
[Sysname] hwtacacs scheme tac
[Sysname-hwtacacs-tac] primary accounting 192.168.2.20 49
[Sysname-hwtacacs-tac] key accounting expert
[Sysname-hwtacacs-tac] user-name-format without-domain
[Sysname-hwtacacs-tac] quit
# 配置缺省域的命令行計費AAA方案,使用HWTACACS方案。
[Sysname] domain system
[Sysname-isp-system] accounting command hwtacacs-scheme tac
[Sysname-isp-system] quit
確定了對Telnet的控製策略,包括對哪些源IP、目的IP、源MAC進行控製,控製的動作是允許訪問還是拒絕訪問。
本配置需要通過基本訪問控製列表實現。基本訪問控製列表的序號取值範圍為2000~2999。關於ACL的定義請參見“ACL和QoS配置指導”中的“ACL”。
表6-1 通過源IP對Telnet進行控製
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入基本ACL視圖 |
acl [ ipv6 ] number acl-number [ name name ] [ match-order { config | auto } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必選 |
|
退出ACL視圖 |
quit |
- |
|
進入用戶界麵視圖 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用訪問控製列表,通過源IP對Telnet進行控製 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必選 inbound:對Telnet到本交換機的用戶進行ACL控製 outbound:對從本交換機Telnet到其他Telnet服務器的用戶進行ACL控製 |
本配置需要通過高級訪問控製列表實現。高級訪問控製列表的序號取值範圍為3000~3999。關於ACL的定義請參見“ACL和QoS配置指導”中的“ACL”。
表6-2 配置高級ACL規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入高級ACL視圖 |
acl [ ipv6 ] number acl-number [ name name ] [ match-order { config | auto } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { permit | deny } rule-string |
必選 用戶可以根據需要配置對相應的源IP、目的IP進行過濾的規則 |
|
退出ACL視圖 |
quit |
- |
|
進入用戶界麵視圖 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用訪問控製列表,通過源IP、目的IP對Telnet進行控製 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必選 inbound:對Telnet到本交換機的用戶進行ACL控製 outbound:對從本交換機Telnet到其他Telnet服務器的用戶進行ACL控製 |
本配置需要通過二層訪問控製列表實現。二層訪問控製列表的序號取值範圍為4000~4999。關於ACL的定義請參見“ACL和QoS配置指導”中的“ACL”。
表6-3 配置二層ACL規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入二層ACL視圖 |
acl number acl-number [ name name ] [ match-order { config | auto } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { permit | deny } rule-string |
必選 用戶可以根據需要配置對相應的源MAC進行過濾的規則 |
|
退出ACL視圖 |
quit |
- |
|
進入用戶界麵視圖 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用訪問控製列表,通過源MAC對Telnet進行控製 |
acl acl-number inbound |
必選 inbound:對Telnet到本交換機的用戶進行ACL控製 |
二層訪問控製列表對於Telnet Client的源IP與Telnet服務器的接口IP不在同一網段的不生效。
通過源IP對Telnet進行控製,僅允許來自10.110.100.52和10.110.100.46的Telnet用戶訪問交換機。
圖6-1 對Switch的Telnet用戶進行ACL控製
# 定義基本訪問控製列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用訪問控製列表,允許源地址為10.110.100.52和10.110.100.46的Telnet用戶訪問交換機。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] acl 2000 inbound
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
