- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-登錄交換機配置
本章節下載: 02-登錄交換機配置 (989.16 KB)
2.2.4 配置通過Console口登錄設備時無需認證(None)(FIPS模式下不支持該登錄方式)
2.2.5 配置通過Console口登錄設備時采用密碼認證(Password)(FIPS模式下不支持該登錄方式)
2.2.6 配置通過Console口登錄設備時采用AAA認證(Scheme)
2.3 配置通過Telnet登錄設備(FIPS模式下不支持該登錄方式)
2.3.3 配置通過Telnet Client登錄設備時無需認證(None)
2.3.4 配置通過Telnet Client登錄設備時采用密碼認證(Password)
2.3.5 配置通過Telnet Client登錄設備時采用AAA認證(Scheme)
2.3.7 配置設備充當Telnet Client登錄到Telnet Server
2.5.4 配置用戶通過Modem登錄設備時無需認證(None)(FIPS模式下不支持該登錄方式)
2.5.5 配置用戶通過Modem登錄設備時采用密碼認證(Password)(FIPS模式下不支持該登錄方式)
2.5.6 配置用戶通過Modem登錄設備時采用AAA認證(Scheme)
3 配置通過Web網管登錄設備 (FIPS模式下不支持該登錄方式)
5.2 配置對Telnet用戶的控製(FIPS模式下不支持該方式)
5.4 通過源IP對Web用戶進行控製 (FIPS模式下不支持該方式)
· 設備運行於FIPS模式時,本特性的相關配置相對於非FIPS模式有所變化,具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
· 本章中典型配置舉例中的配置,如無特殊說明,均以設備運行在非FIPS模式下的命令行為準。
· FIPS模式下不支持Telnet和HTTP功能。
用戶可以通過以下幾種方式登錄到交換機上,對交換機進行配置和管理:
|
登錄方式及介紹 |
各種登錄方式缺省狀況分析 |
|
|
通過CLI登錄設備 |
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3 |
|
|
缺省情況下,用戶不能直接通過Telnet方式登錄設備。如需采用Telnet方式登錄,需要先通過Console口本地登錄設備、並完成如下配置: · 開啟設備的Telnet功能(缺省情況下,Telnet功能處於關閉狀態) · 配置設備VLAN接口的IP地址,確保設備與Telnet登錄用戶間路由可達(缺省情況下,設備沒有IP地址) · 配置VTY用戶的認證方式(缺省情況下,VTY用戶采用Password認證方式) · 配置VTY用戶的用戶級別(缺省情況下,VTY用戶的用戶級別為0) |
||
|
缺省情況下,用戶不能直接通過SSH方式登錄設備。如需采用SSH方式登錄,需要先通過Console口本地登錄設備、並完成如下配置: · 開啟設備SSH功能並完成SSH屬性的配置(缺省情況下,SSH功能關閉) · 配置設備VLAN接口的IP地址,確保設備與SSH登錄用戶間路由可達(缺省情況下,設備沒有配置IP地址) · 配置VTY用戶的認證方式為scheme(缺省情況下,VTY用戶采用Password認證方式) · 配置VTY用戶的用戶級別(缺省情況下,VTY用戶的用戶級別為0) |
||
|
缺省情況下,用戶可以直接通過Modem撥號方式登錄設備,Modem用戶的用戶級別為3 |
||
|
缺省情況下,用戶不能直接通過Web登錄設備。如需采用Web方式登錄,需要先通過Console口本地登錄設備、並完成如下配置: · 配置設備VLAN接口的IP地址,確保設備與Web登錄用戶間路由可達(缺省情況下,設備沒有配置IP地址) · 配置Web用戶的用戶名與密碼(缺省情況下,沒有Web登錄的用戶名和密碼) · 配置Web登錄的用戶級別(缺省情況下,未配置Web登錄用戶的用戶級別) · 配置Web登錄用戶的服務類型為Web(缺省情況下,未配置Web登錄用戶的服務類型) |
||
|
缺省情況下,用戶不能直接通過NMS登錄設備。如需采用NMS方式登錄,需要先通過Console口本地登錄設備、並完成如下配置: · 配置設備VLAN接口的IP地址,確保設備與NMS登錄用戶間路由可達(缺省情況下,設備沒有IP配置地址) · 配置SNMP基本參數 |
||
在以下的章節中,將分別為您介紹如何通過Console口、Telnet、SSH、Modem、Web及NMS登錄到設備上。
當用戶使用Console口、Telnet或者SSH方式登錄設備的時候,係統會分配一個用戶界麵(也稱為Line)用來管理、監控設備和用戶間的當前會話。每個用戶界麵有對應的用戶界麵視圖(User-interface view),在用戶界麵視圖下網絡管理員可以配置一係列參數,比如用戶登錄時是否需要認證、用戶登錄後的級別等,當用戶使用該用戶界麵登錄的時候,將受到這些參數的約束,從而達到統一管理各種用戶會話連接的目的。
目前係統支持的命令行配置方式有:
· Console口本地配置
· Telnet、Modem或SSH本地或遠程配置
與這些配置方式對應的是兩種類型的用戶界麵:
· AUX用戶界麵:用來管理和監控通過Console口登錄的用戶。Console口端口類型為EIA/TIA-232 DCE。
· VTY(Virtual Type Terminal,虛擬類型終端)用戶界麵:用來管理和監控通過VTY方式登錄的用戶。VTY口屬於邏輯終端線,用於對設備進行Telnet或SSH訪問。
用戶界麵的管理和監控對象是使用某種方式登錄的用戶,雖然單個用戶界麵某一時刻隻能被一個用戶使用,但它並不針對某個用戶。比如用戶A使用Console口登錄設備時,將受到AUX用戶界麵視圖下配置的約束,當使用VTY 1登錄設備時,將受到VTY 1用戶界麵視圖下配置的約束。
一台設備上最多支持1個AUX用戶界麵、16個VTY用戶界麵,這些用戶界麵與用戶並沒有固定的對應關係。用戶登錄時,係統會根據用戶的登錄方式,自動給用戶分配一個當前空閑的、編號最小的某類型的用戶界麵,整個登錄過程將受該用戶界麵視圖下配置的約束。同一用戶登錄的方式不同,分配的用戶界麵不同;同一用戶登錄的時機不同,分配的用戶界麵可能不同。
用戶界麵的編號有兩種方式:絕對編號方式和相對編號方式。
使用絕對編號方式,可以唯一的指定一個用戶界麵或一組用戶界麵。絕對編號從0開始自動編號,每次增長1,先給所有AUX用戶界麵編號,其次是所有VTY用戶界麵。使用display user-interface(不帶參數)可查看到設備當前支持的用戶界麵以及它們的絕對編號。
相對編號是每種類型用戶界麵的內部編號。該方式隻能指定某種類型的用戶界麵中的一個或一組,而不能跨類型操作。
相對編號方式的形式是:“用戶界麵類型 編號”,遵守如下規則:
· 控製台的相對編號:第一個為AUX 0,第二個為AUX 1,依次類推。
· VTY的相對編號:第一個為VTY 0,第二個為VTY 1,依次類推。
CLI(命令行接口)是用戶與設備之間的文本類指令交互界麵,用戶鍵入文本類命令,通過輸入回車鍵提交設備執行相關命令,用戶可以輸入命令對設備進行配置,並可以通過查看輸出的信息確認配置結果,方便用戶配置和管理設備。
通過CLI登錄設備包括:通過Console口、Telnet、SSH或Modem這幾種登錄方式。當您使用Console口、Telnet、SSH或Modem登錄設備時,都需要使用CLI來與設備進行交互。
· 缺省情況下,用戶不需要任何認證即可通過Console口及Modem方式登錄設備,這給設備帶來許多安全隱患;
· 缺省情況下,用戶不能通過Telnet和SSH方式登錄設備,這樣不利於用戶對設備進行遠程管理和維護。
因此,用戶需要對這些登錄方式進行相應的配置,來增加設備的安全性及可管理性。
以下章節將分別為您介紹如何通過Console口、Telnet、SSH及Modem登錄到設備,並配置通過Console口、Telnet、SSH及Modem登錄設備時的認證方式、用戶級別及公共屬性,來實現對登錄用戶的控製和管理。
通過Console口進行本地登錄是登錄設備的最基本的方式,也是配置通過其他方式登錄設備的基礎。如圖2-1所示。
圖2-1 通過Console口登錄設備示意圖
缺省情況下,設備可以通過Console口進行本地登錄,用戶登錄到設備上後,即可以對各種登錄方式進行配置。
本節將為您介紹:
· 設備缺省情況下,如何通過Console口登錄設備。具體請參見“2.2.2 缺省配置下如何通過Console口登錄設備”。
· 設備Console口支持的登錄方式及配置Console口登錄認證方式的意義、各種認證方式的特點及注意事項。具體請參見“2.2.3 Console口登錄的認證方式介紹”。
· 當用戶確定了今後通過Console口登錄設備時將采用何種認證方式後、並通過缺省配置登錄到設備後,用戶如何在設備上配置Console口登錄設備時的認證方式及用戶級別,實現對Console口登錄用戶的控製和管理。具體請參見“2.2.4 配置通過Console口登錄設備時無需認證(None)(FIPS模式下不支持該登錄方式)”、“2.2.5 配置通過Console口登錄設備時采用密碼認證(Password)(FIPS模式下不支持該登錄方式)”及“2.2.6 配置通過Console口登錄設備時采用AAA認證(Scheme)”。
· 配置通過Console口登錄設備時的公共屬性。具體請參見“2.2.7 配置Console口登錄方式的公共屬性(可選)”。
表2-1 通過Console登錄設備需要具備的條件
|
對象 |
需要具備的條件 |
|
設備 |
缺省情況下,設備側不需要任何配置 |
|
Console口登錄用戶 |
運行超級終端程序 |
|
配置超級終端屬性 |
當用戶使用Console口登錄設備時,用戶終端的通信參數配置要和設備Console口的缺省配置保持一致,才能通過Console口登錄到設備上。設備Console口的缺省配置如下:
表2-2 設備Console口缺省配置
|
屬性 |
缺省配置 |
|
傳輸速率 |
9600bit/s |
|
流控方式 |
不進行流控 |
|
校驗方式 |
不進行校驗 |
|
停止位 |
1 |
|
數據位 |
8 |
(1) 請使用產品隨機附帶的配置口電纜連接PC機和設備。請先將配置電纜的DB-9(孔)插頭插入PC機的9芯(針)串口插座,再將RJ-45插頭端插入設備的Console口中。
圖2-2 將設備與PC通過配置口電纜進行連接
連接時請認準接口上的標識,以免誤插入其它接口。
由於PC機串口不支持熱插拔,請不要在設備帶電的情況下,將串口插入或者拔出PC機。當連接PC和設備時,請先安裝配置電纜的DB-9端到PC機,再連接RJ-45到設備;在拆下時,在拆下時,先拔出RJ-45端,再拔下DB-9端。
(2) 在PC機上運行終端仿真程序(如Windows XP/Windows 2000的超級終端等,以下配置以Windows XP為例),選擇與設備相連的串口,設置終端通信參數:傳輸速率為9600bit/s、8位數據位、1位停止位、無校驗和無流控,如圖2-3至圖2-5所示。
如果您的PC使用的是Windows 2003 Server操作係統,請在Windows組件中添加超級終端程序後,再按照本文介紹的方式登錄和管理設備;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作係統,請您準備第三方的終端控製軟件,使用方法請參照軟件的使用指導或聯機幫助。
圖2-4 連接端口設置
(3) 設備上電,終端上顯示設備自檢信息,自檢結束後提示用戶鍵入回車,之後將出現命令行提示符(如<H3C>。
(4) 鍵入命令,配置設備或查看設備運行狀態。需要幫助可以隨時鍵入“?”,具體的配置命令請參考本手冊中相關部分的內容。
通過在Console口用戶界麵下配置認證方式,可以對使用Console口登錄的用戶進行限製,以提高設備的安全性。Console口支持的認證方式有none、password和scheme三種。
· 認證方式為none:表示下次使用Console口本地登錄設備時,不需要進行用戶名和密碼認證、任何人都可以通過Console口登錄到設備上,這種情況可能會帶來安全隱患。
· 認證方式為password:表示下次使用Console口本地登錄設備時,需要進行密碼認證、隻有密碼認證成功、用戶才能登錄到設備上。
· 認證方式為scheme:表示下次使用Console口登錄設備時需要進行用戶名和密碼認證,用戶名或密碼錯誤,均會導致登錄失敗。用戶認證又分為本地認證和遠程認證,如果采用本地認證,則需要配置本地用戶及相應參數;如果采用遠程認證,則需要在遠程認證服務器上配置用戶名和密碼。有關用戶認證方式及參數的詳細介紹請參見“安全配置指導”中的“AAA”。
不同的認證方式下,Console口登錄方式需要進行的配置不同,具體配置如表2-3所示。
|
認證方式 |
認證所需配置 |
說明 |
||
|
None |
設置登錄用戶的認證方式為不認證 |
具體內容請參見2.2.4 |
||
|
Password |
設置登錄用戶的認證方式為Password認證 |
具體內容請參見2.2.5 |
||
|
設置本地驗證的密碼 |
||||
|
Scheme |
設置登錄用戶的認證方式為Scheme認證 |
具體內容請參見2.2.6 |
||
|
選擇認證方案 |
采用遠端AAA服務器認證 |
在設備上配置RADIUS/HWTACACS方案 |
||
|
在設備上配置域使用的AAA方案 |
||||
|
在AAA服務器上配置相關的用戶名和密碼 |
||||
|
采用本地認證 |
在設備上配置認證用戶名和密碼 |
|||
|
在設備上配置域使用的AAA方案為本地認證 |
||||
改變Console口登錄方式的認證方式後,該認證方式的設置不會立即生效。用戶需要退出命令行接口後重新登錄,該設置才會生效。
用戶已經成功登錄到了設備上,並希望以後通過Console口登錄設備時無需進行認證。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
表2-4 配置用戶通過Console口登錄設備時無需認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
設置登錄用戶的認證方式為不認證 |
authentication-mode none |
必選 缺省情況下,用戶通過Console口登錄,認證方式為none(即不需要進行認證) |
|
配置Console口的公共屬性 |
- |
可選 詳細配置請參見“2.2.7 配置Console口登錄方式的公共屬性(可選)” |
配置完成後,當用戶再次通過Console口登錄設備時,設備將提示用戶鍵入回車,之後將出現命令行提示符(如<H3C>)。
用戶已經成功登錄到了設備上,並希望以後通過Console口登錄設備時采用密碼認證、以提高設備的安全性。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見“2.2.2 缺省配置下如何通過Console口登錄設備”。
表2-5 配置用戶通過Console口登錄設備時采用密碼認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
設置登錄用戶的認證方式為本地密碼認證 |
authentication-mode password |
必選 缺省情況下,用戶通過Console口登錄,認證方式為none(即不需要進行認證) |
|
設置本地驗證的密碼 |
set authentication password [ hash ] { cipher | simple } password |
必選 缺省情況下,沒有設置本地認證的密碼 FIPS模式下不支持該命令。 |
|
配置Console口的公共屬性 |
- |
可選 詳細配置請參見“2.2.7 配置Console口登錄方式的公共屬性(可選) ” |
配置完成後,當用戶再次通過Console口登錄設備時,鍵入回車後,設備將要求用戶輸入登錄密碼,正確輸入登錄密碼並回車,登錄界麵中出現命令行提示符(如<H3C>)。
用戶已經成功的登錄到了設備上,並希望以後通過Console口登錄設備時采用AAA認證、以提高設備的安全性。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見“2.2.2 缺省配置下如何通過Console口登錄設備”。
表2-6 配置用戶通過Console口登錄設備時采用AAA認證
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
|
設置登錄用戶的認證方式為通過認證方案認證 |
authentication-mode scheme |
必選 具體采用本地認證還是RADIUS認證、HWTACACS認證視AAA方案配置而定 非FIPS模式的缺省情況下,用戶通過Console口登錄,認證方式為none(即不需要進行認證) FIPS模式的缺省情況下,認證為scheme方式 |
|
|
使能命令行授權功能 |
command authorization |
可選 · 缺省情況下,沒有使能命令行授權功能,即用戶登錄後執行命令行不需要授權 · 缺省情況下,用戶登錄設備後可以使用的命令行由用戶級別決定,用戶隻能使用缺省級別等於/低於用戶級別的命令行。配置命令行授權功能後,用戶可使用的命令行將受到用戶級別和AAA授權的雙重限製。即便是足夠級別的用戶每執行一條命令都會進行授權檢查,隻有授權成功的命令才被允許執行。 |
|
|
使能命令行計費功能 |
command accounting |
可選 · 缺省情況下,沒有使能命令行計費功能,即計費服務器不會記錄用戶執行的命令行 · 命令行計費功能用來在HWTACACS服務器上記錄用戶對設備執行過的命令(隻要設備支持的命令,不管執行成功或者失敗都會記錄),以便集中監視、控製用戶對設備的操作。命令行計費功能生效後,如果沒有配命令行授權功能,用戶執行的每一條命令都會發送到HWTACACS服務器上做記錄;如果配置了命令行授權功能,則每一條授權成功的命令都會發送到HWTACACS服務器上做記錄。 |
|
|
退出至係統視圖 |
quit |
- |
|
|
配置設備采用的認證方案 |
進入ISP域視圖 |
domain domain-name |
可選 缺省情況下,係統使用的AAA方案為local 如果采用local認證,則必須進行後續的本地用戶配置;如果采用RADIUS或者HWTACACS方式認證,則需進行如下配置: · 設備上的RADIUS、HWTACACS方案配置請參見“安全配置指導”中的“AAA” · AAA服務器上需要配置相關的用戶名和密碼,具體請參見服務器的指導書 |
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
||
|
退出至係統視圖 |
quit |
||
|
創建本地用戶(進入本地用戶視圖) |
local-user user-name |
必選 缺省情況下,無本地用戶 |
|
|
設置本地用戶認證密碼 |
password [[ hash ] { cipher | simple } password ] |
必選 缺省情況下,沒有配置本地認證密碼 FIPS模式下,刪除參數[ hash ] { cipher | simple } password,並且以交互式方式設置本地用戶密碼 |
|
|
設置本地用戶的命令級別 |
authorization-attribute level level |
可選 缺省情況下,命令級別為0 |
|
|
設置本地用戶的服務類型 |
service-type terminal |
必選 缺省情況下,無用戶服務類型 |
|
|
配置Console口的公共屬性 |
- |
可選 詳細配置請參見“2.2.7 配置Console口登錄方式的公共屬性(可選)” |
|
使能命令行授權功能或命令行計費功能後,還需要進行如下配置才能保證命令行授權功能生效:
· 需要創建HWTACACS方案,在方案中指定授權服務器的IP地址以及授權過程的其它參數;
· 需要在ISP域中引用已創建的HWTACACS方案。
詳細介紹請參見“安全配置指導”中的“AAA”。
需要注意的是用戶采用Scheme認證方式登錄設備時,其所能訪問的命令級別取決於AAA方案中定義的用戶級別。
· AAA方案為local認證時,用戶級別通過authorization-attribute level level命令設定。
· AAA方案為RADIUS或者HWTACACS方案認證時,在相應的RADIUS或者HWTACACS服務器上設定相應用戶的級別。
有關AAA、RADIUS、HWTACACS的詳細內容,請參見“安全配置指導”中的“AAA”。
配置完成後,當用戶再次通過Console口登錄設備時,鍵入回車後,設備將要求用戶輸入登錄用戶名和密碼,正確輸入用戶名(此處以用戶為admin為例)和密碼並回車,登錄界麵中出現命令行提示符(如<H3C>)。
Console口登錄方式的公共屬性配置,如表2-7所示。
表2-7 Console口登錄方式公共屬性配置
改變Console口屬性後會立即生效,所以通過Console口登錄來配置Console口屬性可能在配置過程中發生連接中斷,建議通過其他登錄方式來配置Console口屬性。若用戶需要通過Console口再次登錄設備,需要改變PC機上運行的終端仿真程序的相應配置,使之與設備上配置的Console口屬性保持一致。
設備支持Telnet功能,用戶可以通過Telnet方式登錄到設備上,對設備進行遠程管理和維護。如圖2-6。
圖2-6 通過Telnet登錄設備示意圖
表2-8 采用Telnet方式登錄需要具備的條件
|
對象 |
需要具備的條件 |
|
Telnet服務器端 |
配置設備IP地址,設備與Telnet用戶間路由可達 |
|
配置Telnet登錄的認證方式和其它配置(根據Telnet服務器端的情況而定) |
|
|
Telnet客戶端 |
運行Telnet程序 |
|
獲取要登錄設備的IP地址 |
PC可以作為Telnet Client登錄到Telnet Server上,從而對其進行操作。
設備可以充當Telnet Server:
· 設備支持Telnet Server功能、可作為Telnet Server,並可在設備上進行一係列的配置,從而實現對不同Telnet Client登錄的具體認證方式、用戶級別等方麵的控製與管理。
· 缺省情況下,設備的Telnet Server功能處於關閉狀態,通過Telnet方式登錄設備的認證方式為Password,但設備沒有配置缺省的登錄密碼,即在缺省情況下用戶不能通過Telnet登錄到設備上。因此當您使用Telnet方式登錄設備前,首先需要通過Console口登錄到設備上,開啟Telnet Server功能,然後對認證方式、用戶級別及公共屬性進行相應的配置,才能保證通過Telnet方式正常登錄到設備。
本節將為您介紹設備充當Telnet服務器端時:
· 設備支持的各種登錄認證方式及配置Telnet登錄認證方式的意義、各種認證方式的特點及注意事項。具體介紹請參見“2.3.2 Telnet登錄的認證方式介紹”。
· 當用戶確定了今後通過Telnet客戶端登錄設備時將采用何種認證方式後、並已成功登錄到設備後,用戶如何在設備上配置Telnet客戶端登錄設備時的認證方式、用戶級別及公共屬性,從而實現對Telnet登錄用戶的控製和管理。具體介紹請參見“2.3.3 配置通過Telnet Client登錄設備時無需認證(None)”、“2.3.4 配置通過Telnet Client登錄設備時采用密碼認證(Password)”及“2.3.5 配置通過Telnet Client登錄設備時采用AAA認證(Scheme)”。
· 配置通過Telnet登錄設備時的公共屬性。具體介紹請參見“2.3.6 配置VTY用戶界麵的公共屬性(可選)”。
本節還將為您介紹設備充當Telnet客戶端、Telnet登錄到Server時的配置,具體請參見“2.3.7 配置設備充當Telnet Client登錄到Telnet Server”。
通過在Telnet的用戶界麵下配置認證方式,可以對使用Telnet登錄的用戶進行限製,以提高設備的安全性。通過Telnet登錄支持的認證方式有none、password和scheme三種。
· 認證方式為none:表示下次使用Telnet登錄設備時不需要進行用戶名和密碼認證,任何人都可以通過Telnet登錄到設備上,這種情況可能會帶來安全隱患。
· 認證方式為password:表示下次使用Telnet登錄設備時需要進行密碼認證,隻有密碼認證成功,用戶才能登錄到設備上。配置認證方式為password後,請妥善保存密碼,如果密碼丟失,可以使用Console口登錄到設備,對Telnet的密碼配置進行修改。
· 認證方式為scheme:表示下次使用Telnet登錄設備時需要進行用戶名和密碼認證,用戶名或密碼錯誤,均會導致登錄失敗。用戶認證又分為本地認證和遠程認證,如果采用本地認證,則需要配置本地用戶及相應參數;如果采用遠程認證,則需要在遠程認證服務器上配置用戶名和密碼。有關用戶認證方式及參數的詳細介紹請參見“安全配置指導”中的“AAA”。配置認證方式為scheme後,請妥善保存用戶名及密碼,如果本地認證密碼丟失,可以使用Console口登錄到設備,對Telnet的密碼配置進行修改。如果遠程認證密碼丟失,建議您聯係服務器管理員。
不同的認證方式下,Telnet登錄方式需要進行的配置不同,具體配置如表2-9所示。
表2-9 配置Telnet登錄的認證方式
|
認證方式 |
認證所需配置 |
說明 |
||
|
None |
設置登錄用戶的認證方式為不認證 |
具體內容請參見2.3.3 |
||
|
Password |
設置登錄用戶的認證方式為Password認證 |
具體內容請參見2.3.4 |
||
|
設置本地驗證的密碼 |
||||
|
Scheme |
設置登錄用戶的認證方式為Scheme認證 |
具體內容請參見2.3.5 |
||
|
選擇認證方案 |
采用遠端AAA服務器認證 |
在設備上配置RADIUS/HWTACACS方案 |
||
|
在設備上配置域使用的AAA方案 |
||||
|
在AAA服務器上配置相關的用戶名和密碼 |
||||
|
采用本地認證 |
在設備上配置認證用戶名和密碼 |
|||
|
在設備上配置域使用的AAA方案為本地認證 |
||||
用戶已經成功登錄到了設備上,並希望以後通過Telnet登錄設備時無需進行認證。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見“2.2.2 缺省配置下如何通過Console口登錄設備”。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能設備的Telnet服務 |
telnet server enable |
必選 缺省情況下,Telnet服務處於關閉狀態 |
|
進入一個或多個VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
|
設置VTY登錄用戶的認證方式為不認證 |
authentication-mode none |
必選 缺省情況下,VTY用戶界麵的認證方式為password |
|
配置從當前用戶界麵登錄係統的用戶所能訪問的命令級別 |
user privilege level level |
必選 缺省情況下,通過VTY用戶界麵登錄係統所能訪問的命令級別是0 |
|
配置VTY用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.3.6 配置VTY用戶界麵的公共屬性(可選) |
配置完成後,當用戶再次通過Telnet登錄設備時:
· 用戶將直接進入VTY用戶界麵,如圖2-7所示。
· 如果出現“All user interfaces are used, please try later!”的提示,表示當前Telnet到設備的用戶過多,則請稍候再連接。
圖2-7 用戶通過Telnet登錄設備時無需認證登錄界麵
用戶已經成功登錄到了設備上,並希望以後通過Telnet登錄設備時需要進行密碼認證。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能設備的Telnet服務 |
telnet server enable |
必選 缺省情況下,Telnet服務處於關閉狀態 |
|
進入一個或多個VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
|
設置登錄用戶的認證方式為本地密碼認證 |
authentication-mode password |
必選 缺省情況下,VTY用戶界麵的認證方式為password |
|
設置本地驗證的密碼 |
set authentication password [ hash ] { cipher | simple } password |
必選 缺省情況下,沒有設置本地認證的密碼
|
|
配置從當前用戶界麵登錄係統的用戶所能訪問的命令級別 |
user privilege level level |
必選 缺省情況下,通過VTY用戶界麵登錄係統所能訪問的命令級別是0 |
|
配置VTY用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.3.6 配置VTY用戶界麵的公共屬性(可選) |
配置完成後,當用戶再次通過Telnet登錄設備時:
· 設備將要求用戶輸入登錄密碼,正確輸入登錄密碼並回車,登錄界麵中出現命令行提示符(如<H3C>),如圖2-8所示。
· 如果出現“All user interfaces are used, please try later!”的提示,表示當前Telnet到設備的用戶過多,則請稍候再連接。
圖2-8 配置用戶通過Telnet登錄設備時采用密碼認證登錄界麵
用戶已經成功登錄到了設備上,並希望以後通過Telnet登錄設備時需要進行AAA認證。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
表2-12 配置用戶通過Telnet登錄設備時采用AAA認證
|
操作 |
命令 |
說明 |
||
|
進入係統視圖 |
system-view |
- |
||
|
使能設備的Telnet服務 |
telnet server enable |
必選 缺省情況下,Telnet服務處於關閉狀態 |
||
|
進入一個或多個VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
||
|
設置登錄用戶的認證方式為通過認證方案認證 |
authentication-mode scheme |
必選 具體采用本地認證還是RADIUS認證、HWTACACS認證視AAA方案配置而定 缺省情況下采用本地認證方式 |
||
|
使能命令行授權功能 |
command authorization |
可選 缺省情況下,沒有使能命令行授權功能,即用戶登錄後執行命令行不需要授權 · 需要創建HWTACACS方案,在方案中指定授權服務器的IP地址以及授權過程的其它參數,詳細介紹請參見“安全配置指導”中的“AAA” · 需要在ISP域中引用已創建的HWTACACS方案,詳細介紹請參見“安全配置指導”中的“AAA” |
||
|
使能命令行計費功能 |
command accounting |
可選 · 缺省情況下,沒有使能命令行計費功能,即計費服務器不會記錄用戶執行的命令行 · 命令行計費功能用來在HWTACACS服務器上記錄用戶對設備執行過的命令(隻要設備支持的命令,不管執行成功或者失敗都會記錄),以便集中監視、控製用戶對設備的操作。命令行計費功能生效後,如果沒有配命令行授權功能,用戶執行的每一條命令都會發送到HWTACACS服務器上做記錄;如果配置了命令行授權功能,則每一條授權成功的命令都會發送到HWTACACS服務器上做記錄。 |
||
|
退出至係統視圖 |
quit |
- |
||
|
配置設備采用的認證方案 |
進入ISP域視圖 |
domain domain-name |
可選 缺省情況下,係統使用的AAA方案為local 如果采用local認證,則必須進行後續的本地用戶配置;如果采用RADIUS或者HWTACACS方式認證,則需進行如下配置: · 設備上的配置請參見“安全配置指導”中的“AAA” · AAA服務器上需要配置相關的用戶名和密碼,具體請參見服務器的指導書 |
|
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
|||
|
退出至係統視圖 |
quit |
|||
|
創建本地用戶(進入本地用戶視圖) |
local-user user-name |
缺省情況下,無本地用戶 |
||
|
設置本地認證密碼 |
password [[ hash ] { cipher | simple } password ] |
必選 缺省情況下,沒有配置本地認證密碼 FIPS模式下,刪除參數[ hash ] { cipher | simple } password,並且以交互式方式設置本地用戶密碼 |
||
|
設置用戶的命令級別 |
authorization-attribute level level |
可選 缺省情況下,命令級別為0 |
||
|
設置用戶的服務類型 |
service-type telnet |
必選 缺省情況下,無用戶的服務類型 |
||
|
退出至係統視圖 |
quit |
- |
||
|
配置VTY用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.3.6 配置VTY用戶界麵的公共屬性(可選) |
||
使能命令行授權功能或命令行計費功能後,還需要進行如下配置才能保證命令行授權功能生效:
· 需要創建HWTACACS方案,在方案中指定授權服務器的IP地址以及授權過程的其它參數;
· 需要在ISP域中引用已創建的HWTACACS方案。
詳細介紹請參見“安全配置指導”中的“AAA”。
需要注意的是用戶采用Scheme認證方式登錄設備時,其所能訪問的命令級別取決於AAA方案中定義的用戶級別。
· AAA方案為local認證時,用戶級別通過authorization-attribute level level命令設定。
· AAA方案為RADIUS或者HWTACACS方案認證時,在相應的RADIUS或者HWTACACS服務器上設定相應用戶的級別。
有關AAA、RADIUS、HWTACACS的詳細內容,請參見“AAA配置指導”中的“AAA”。
配置完成後,當用戶再次通過Telnet登錄設備時:
· 設備將要求用戶輸入登錄用戶名和密碼,正確輸入用戶名(此處以用戶為admin為例)和密碼並回車,登錄界麵中出現命令行提示符(如<H3C>),如圖2-9所示。
· 如果用戶輸入正確的登錄用戶名和密碼後,設備提示用戶再次輸入一個指定類型的密碼,則表示當前用戶需要進行二次密碼認證,即用戶還必須根據提示信息輸入一個正確的密碼後才能通過認證。
· 如果出現“All user interfaces are used, please try later!”的提示,表示當前Telnet到設備的用戶過多,則請稍候再連接。
圖2-9 用戶通過Telnet登錄設備時AAA認證登錄界麵
表2-13 VTY用戶界麵的公共屬性配置
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
使能顯示版權信息 |
copyright-info enable |
可選 缺省情況下,顯示版權信息處於使能狀態 |
|
|
進入一個或多個VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
|
|
VTY用戶界麵配置 |
啟動終端服務 |
shell |
可選 缺省情況下,在所有的用戶界麵上啟動終端服務 |
|
配置VTY用戶界麵支持的協議 |
protocol inbound { all | ssh | telnet } |
可選 缺省情況下,設備同時支持Telnet和SSH協議 使用該命令配置的協議將在用戶下次使用該用戶界麵登錄時生效 FIPS模式下不包括telnet參數 |
|
|
配置中止當前運行任務的快捷鍵 |
escape-key { default | character } |
可選 缺省情況下,鍵入<Ctrl+C>中止當前運行的任務 |
|
|
配置終端的顯示類型 |
terminal type { ansi | vt100 } |
可選 缺省情況下,終端顯示類型為ANSI |
|
|
設置終端屏幕一屏顯示的行數 |
screen-length screen-length |
可選 缺省情況下,終端屏幕一屏顯示的行數為24行 screen-length 0表示關閉分屏顯示功能 |
|
|
設置設備曆史命令緩衝區大小 |
history-command max-size value |
可選 缺省情況下,每個用戶的曆史緩衝區大小為10,即可存放10條曆史命令 |
|
|
設置VTY用戶界麵的超時時間 |
idle-timeout minutes [ seconds ] |
可選 缺省情況下,所有的用戶界麵的超時時間為10分鍾 如果10分鍾內某用戶界麵沒有用戶進行操作,則該用戶界麵將自動斷開 idle-timeout 0表示關閉用戶界麵的超時功能 |
|
|
設置從用戶界麵登錄後自動執行的命令 |
auto-execute command command |
可選 缺省情況下,未設定自動執行命令 配置自動執行命令後,用戶在登錄時,係統會自動執行已經配置好的命令,執行完命令後,自動斷開用戶連接。如果這條命令引發起了一個任務,係統會等這個任務執行完畢後再斷開連接。該命令通常用來配置Telnet命令,使用戶登錄時自動連接到指定的主機 |
|
· 使用auto-execute command命令後,可能導致用戶不能通過該終端線對本係統進行常規配置,需謹慎使用。
· 在配置auto-execute command命令並保存配置(執行save操作)之前,要確保可以通過其他VTY、AUX用戶登錄進來更改配置,以便出現問題後,能刪除該配置。
用戶已經成功登錄到了設備上,並希望將當前設備作為Telnet Client登錄到Telnet Server上進行操作。具體請參見圖2-10所示。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
如果Telnet Client與Telnet Server相連的端口不在同一子網內,請確保兩台設備間路由可達。
表2-14 設備作為Telnet Client登錄到Telnet Server的配置
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
N/A |
|
指定設備作為Telnet客戶端時,發送Telnet報文的源IPv4地址或源接口 |
telnet client source { interface interface-type interface-number | ip ip-address } |
可選 此命令在係統視圖下執行 缺省情況下,沒有指定發送Telnet報文的源IPv4地址和源接口,此時通過路由選擇源IPv4地址 |
|
退出至係統視圖 |
quit |
N/A |
|
設備作為Telnet Client登錄到Telnet Server |
telnet remote-host [ service-port ] [ [ vpn-instance vpn-instance-name ] | [ source { interface interface-type interface-number | ip ip-address } ] ] |
二者必選其一 此命令在用戶視圖下執行 vpn-instance 參數僅S5500-EI係列交換機支持 |
|
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] |
配置完成後,設備即可登錄到相應的Telnet Server上。
表2-15 配置Telnet報文的DSCP優先級
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置IPv4 Telnet客戶端發送報文的DSCP優先級 |
telnet client dscp dscp-value |
可選 缺省情況下,IPv4 Telnet客戶端發送報文的DSCP優先級為16 |
|
配置IPv6 Telnet客戶端發送報文的DSCP優先級 |
telnet client ipv6 dscp dscp-value |
可選 缺省情況下,IPv6 Telnet客戶端發送報文的DSCP優先級為0 |
|
配置IPv4 Telnet服務器發送報文的DSCP優先級 |
telnet server dscp dscp-value |
可選 缺省情況下,IPv4 Telnet服務器發送報文的DSCP優先級為48 |
|
配置IPv6 Telnet服務器發送報文的DSCP優先級 |
telnet server ipv6 dscp dscp-value |
可選 缺省情況下,IPv6 Telnet服務器發送報文的DSCP優先級為0 |
SSH是Secure Shell(安全外殼)的簡稱。用戶通過一個不能保證安全的網絡環境遠程登錄到設備時,SSH可以利用加密和強大的認證功能提供安全保障,保護設備不受諸如IP地址欺詐、明文密碼截取等攻擊。設備支持SSH功能,用戶可以通過SSH方式登錄到設備上,對設備進行遠程管理和維護如圖2-11所示。
表2-16 采用SSH方式登錄需要具備的條件
|
對象 |
需要具備的條件 |
|
SSH服務器端 |
配置設備的IP地址,設備與SSH客戶端間路由可達 |
|
配置SSH登錄的認證方式和其它配置(根據SSH服務器端的情況而定) |
|
|
SSH客戶端 |
如果是主機作為SSH客戶端,則需要在主機上運行SSH客戶端程序 |
|
獲取要登錄設備的IP地址 |
設備可以作為SSH Client登錄到SSH Server上,從而對其進行操作。
設備可以充當SSH Server:
· 設備支持SSH Server功能:可作為SSH Server,並可在設備上進行一係列的配置、實現對不同SSH Client的登錄權限的控製。
· 缺省情況下,設備的SSH Server功能處於關閉狀態,因此當您使用SSH方式登錄設備前,首先需要通過Console口登錄到設備上,開啟設備的SSH Server功能、對認證方式及其它屬性進行相應的配置,才能保證通過SSH方式正常登錄到設備。
本節將為您介紹:
· 設備充當SSH服務器端時:當用戶確定了今後通過SSH客戶端登錄設備、並已成功登錄到設備後,用戶如何在設備上配置SSH客戶端登錄設備時的認證方式及其它屬性,從而實現對SSH登錄用戶的控製和管理。具體介紹請參見“2.4.2 配置設備充當SSH服務器”。
· 設備充當SSH客戶端時:設備SSH登錄到Server時的配置,具體請參見“2.4.3 配置設備充當SSH客戶端登錄其它設備”。
用戶已經成功登錄到了設備上,並希望以後通過SSH Client登錄設備。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見“2.2.2 缺省配置下如何通過Console口登錄設備”。
表2-17 設備充當SSH服務器時的配置
|
操作 |
命令 |
說明 |
|
||
|
進入係統視圖 |
system-view |
- |
|
||
|
生成本地密鑰對 |
public-key local create { dsa | rsa } |
必選 缺省情況下,沒有生成密鑰對 |
|
||
|
使能SSH服務器功能 |
ssh server enable |
必選 缺省情況下,SSH服務器功能處於關閉狀態 |
|
||
|
進入VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
|
||
|
配置登錄用戶界麵的認證方式為scheme方式 |
authentication-mode scheme |
必選 非FIPS模式的缺省情況下,用戶界麵認證為password方式 FIPS模式的缺省情況下,認證為scheme方式 |
|
||
|
配置所在用戶界麵支持SSH協議 |
非FIPS模式下 |
protocol inbound { all | ssh | telnet} |
可選 非FIPS模式的缺省情況下,係統支持所有的協議,即支持Telnet和SSH FIPS模式的缺省情況下,用戶界麵僅支持SSH協議 |
|
|
|
FIPS模式下 |
protocol inbound { all | ssh } |
|
|||
|
使能命令行授權功能 |
command authorization |
可選 缺省情況下,沒有使能命令行授權功能,即用戶登錄後執行命令行不需要授權 · 需要創建HWTACACS方案,在方案中指定授權服務器的IP地址以及授權過程的其它參數,詳細介紹請參見“安全配置指導”中的“AAA” · 需要在ISP域中引用已創建的HWTACACS方案,詳細介紹請參見“安全配置指導”中的“AAA” |
|||
|
使能命令行計費功能 |
command accounting |
可選 · 缺省情況下,沒有使能命令行計費功能,即計費服務器不會記錄用戶執行的命令行 · 命令行計費功能用來在HWTACACS服務器上記錄用戶對設備執行過的命令(隻要設備支持的命令,不管執行成功或者失敗都會記錄),以便集中監視、控製用戶對設備的操作。命令行計費功能生效後,如果沒有配命令行授權功能,用戶執行的每一條命令都會發送到HWTACACS服務器上做記錄;如果配置了命令行授權功能,則每一條授權成功的命令都會發送到HWTACACS服務器上做記錄。 |
|||
|
退出至係統視圖 |
quit |
- |
|||
|
配置設備采用的認證方案 |
進入ISP域視圖 |
domain domain-name |
可選 缺省情況下,係統使用的AAA方案為local 如果采用local認證,則必須進行後續的本地用戶配置;如果采用RADIUS或者HWTACACS方式認證,則需進行如下配置: · 設備上的配置請參見“安全配置指導”中的“AAA” · AAA服務器上需要配置相關的用戶名和密碼,具體請參見服務器的指導書 |
||
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
||||
|
退出至係統視圖 |
quit |
||||
|
創建本地用戶,並進入本地用戶視圖 |
local-user user-name |
必選 缺省情況下,沒有配置本地用戶 |
|
||
|
設置本地認證密碼 |
password [[ hash ] { cipher | simple } password ] |
必選 FIPS模式下,刪除參數[ hash ] { cipher | simple } password,並且以交互式方式設置本地用戶密碼 |
|
||
|
設置本地用戶的命令級別 |
authorization-attribute level level |
可選 缺省情況下,命令級別為0 |
|
||
|
設置本地用戶的服務類型 |
service-type ssh |
必選 缺省情況下,無用戶的服務類型 |
|
||
|
退回係統視圖 |
quit |
- |
|
||
|
建立SSH用戶,並指定SSH用戶的認證方式 |
ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname } |
必選 |
|
||
|
配置VTY用戶界麵的公共屬性 |
- |
可選 詳細配置請參見“2.3.6 配置VTY用戶界麵的公共屬性(可選)” |
|
||
本章隻介紹采用password方式認證SSH客戶端的配置方法,publickey方式的配置方法及SSH的詳細介紹,請參見“安全配置指導”中的“SSH”。
使能命令行授權功能或命令行計費功能後,還需要進行如下配置才能保證命令行授權功能生效:
· 需要創建HWTACACS方案,在方案中指定授權服務器的IP地址以及授權過程的其它參數;
· 需要在ISP域中引用已創建的HWTACACS方案。
詳細介紹請參見“安全配置指導”中的“AAA”。
· 用戶采用password認證方式登錄設備時,其所能訪問的命令級別取決於AAA方案中定義的用戶級別。AAA方案為local認證時,用戶級別通過authorization-attribute level level命令設定;AAA方案為RADIUS或者HWTACACS方案認證時,在相應的RADIUS或者HWTACACS服務器上設定相應用戶的級別。有關AAA、RADIUS、HWTACACS的詳細內容,請參見“AAA配置指導”中的“AAA”。
· 用戶采用publickey認證方式登錄設備時,其所能訪問的命令級別取決於用戶界麵上通過user privilege level命令配置的級別。
用戶已經成功登錄到了設備上,並希望將當前設備作為SSH Client登錄到其它設備上進行操作。具體請參見圖2-10所示。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見“2.2.2 缺省配置下如何通過Console口登錄設備”。
圖2-12 通過設備登錄到其它設備
如果SSH Client與SSH Server相連的端口不在同一子網內,請確保兩台設備間路由可達。
表2-18 設備作為SSH Client登錄到其它設備的配置
|
操作 |
命令 |
說明 |
|
設備作為SSH Client登錄到SSH IPv4服務器端 |
ssh2 server |
必選 server:服務器IPv4地址或主機名稱,為1~20個字符的字符串,不區分大小寫 此命令在用戶視圖下執行 |
|
設備作為SSH Client登錄到SSH IPv6服務器端 |
ssh2 ipv6 server |
必選 server:服務器的IPv6地址或主機名稱,為1~46個字符的字符串,不區分大小寫。 |
為配合SSH Server,設備充當SSH Client時還可進一步進行其它配置,具體請參見“安全配置指導”中的“SSH”。
配置完成後,設備即可登錄到相應的SSH Server上。
網絡管理員可以通過設備的Console口,利用一對Modem和PSTN(Public Switched Telephone Network,公共電話交換網)拔號登錄到設備上,對遠程設備進行管理和維護。這種登錄方式一般適用於在網絡中斷的情況下,利用PSTN網絡對設備進行遠程管理、維護及故障定位。
本節將為您介紹如何通過Modem登錄設備,並配置登錄時的認證方式、用戶級別及公共屬性,實現對Modem登錄用戶的控製。
本節將為您介紹:
· 設備支持Modem登錄認證方式及配置Modem登錄認證方式的意義、各種認證方式的特點及注意事項。具體請參見“2.5.3 Modem撥號登錄的認證方式介紹”。
· 當用戶確定了今後通過Modem登錄設備時將采用何種認證方式後、並通過缺省配置登錄到設備後,用戶如何在設備上配置Modem登錄設備時的認證方式及用戶級別,實現對Modem登錄用戶的控製和管理。具體請參見“2.5.4 配置用戶通過Modem登錄設備時無需認證(None)(FIPS模式下不支持該登錄方式)”、“2.5.5 配置用戶通過Modem登錄設備時采用密碼認證(Password)(FIPS模式下不支持該登錄方式)”及“2.5.6 配置用戶通過Modem登錄設備時采用AAA認證(Scheme)”。
· 配置通過Modem登錄設備時的公共屬性。具體請參見“2.5.7 配置AUX用戶界麵的公共屬性(可選)”。
缺省情況下,用戶通過Modem登錄設備時,設備不需要任何登錄認證,缺省可以訪問命令級別為3級的命令。
通過Modem登錄設備的方法如下:
表2-19 通過Console口利用Modem撥號進行遠程登錄需要具備的條件
|
配置對象 |
需要具備的條件 |
|
網絡管理員端 |
PC終端與Modem正確連接 |
|
Modem與可正常使用的電話線正確相連 |
|
|
獲取了遠程設備端Console口所連Modem上對應的電話號碼 |
|
|
設備端 |
Console口與Modem正確連接 |
|
在Modem上進行了正確的配置 |
|
|
Modem與可正常使用的電話線正確相連 |
|
|
設備上配置了登錄用戶的認證方式、用戶級別及其它配置 |
(1) 如圖2-13所示,建立遠程配置環境,在PC機(或終端)的串口和設備的Console口分別掛接Modem。
(2) 網絡管理員端的相關配置。
PC終端與Modem正確連接、Modem與可正常使用的電話線正確相連、獲取了遠程設備端Console口所連Modem上對應的電話號碼。
通過Console口利用Modem撥號進行遠程登錄時,使用的是AUX用戶界麵,設備上的配置需要注意以下幾點:
· Console口波特率Speed要低於Modem的傳輸速率,否則可能會出現丟包現象。
· Console口的其它屬性(校驗方式、停止位、數據位)均采用缺省值。
(3) 在與設備直接相連的Modem上進行以下配置。
AT&F-------------------------- Modem恢複出廠配置
ATS0=1------------------------ 配置自動應答(振鈴一聲)
AT&D-------------------------- 忽略DTR信號
AT&K0------------------------- 禁止流量控製
AT&R1------------------------- 忽略RTS信號
AT&S0------------------------- 強製DSR為高電平
ATEQ1&W----------------------- 禁止modem回送命令響應和執行結果並存儲配置
在配置後為了查看Modem的配置是否正確,可以輸入AT&V命令顯示配置的結果。
各種Modem配置命令及顯示的結果有可能不一樣,具體操作請參照Modem的說明書進行。
(4) 在PC機上運行終端仿真程序(如Windows XP/Windows 2000的超級終端等,以下配置以Windows XP為例),新建一個撥號連接(所撥號碼為與設備相連的Modem的電話號碼),與設備建立連接,如圖2-14至圖2-16所示。
如果您的PC使用的是Windows 2003 Server操作係統,請在Windows組件中添加超級終端程序後,再按照本文介紹的方式登錄和管理設備;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作係統,請您準備第三方的撥號控製軟件,使用方法請參照軟件的使用指導或聯機幫助。
(5) 在遠端通過終端仿真程序和Modem向設備撥號
圖2-15 撥號號碼配置
圖2-16 在遠端PC機上撥號
(6) 鍵入回車鍵之後將出現命令行提示符(如<H3C>),如圖2-17所示。
圖2-17 Console口登錄界麵
(7) 如果配置驗證方式為Password,在遠端的終端仿真程序上輸入已配置的登錄密碼,出現命令行提示符(如<H3C>),即可對設備進行配置或管理。需要幫助可以隨時鍵入“?”,具體的配置命令請參考本手冊中相關模塊的內容。
(8) 鍵入命令,配置設備或查看設備運行狀態。需要幫助可以隨時鍵入“?”,具體的配置命令請參考本手冊中相關部分的內容。
· 當您想斷開PC與遠端設備的連接時,首先在超級終端中用“ATH”命令斷開modem間的連接。如果在超級終端窗口無法輸入此命令,可輸入“AT+ + +”並回車,待窗口顯示“OK”提示後再輸入“ATH”命令,屏幕再次顯示“OK”提示,表示已斷開本次連接。您也可以使用超級終端頁麵提供的掛斷按扭
斷開PC與遠端設備的連接。
· 當您使用完超級終端仿真程序後,務必要先斷開PC與遠端設備的連接,不能直接關閉超級終端,否則有些型號的遠程modem將一直在線,下次撥號連接時將無法撥號成功。
通過在AUX用戶界麵下配置認證方式,可以對使用Modem撥號登錄的用戶進行限製,以提高設備的安全性。Modem撥號支持的認證方式有none、password和scheme三種。
· 認證方式為none:表示下次使用Modem撥號登錄設備時,不需要進行用戶名和密碼認證、任何人都可以通過Modem撥號登錄到設備上,這種情況可能會帶來安全隱患。
· 認證方式為password:表示下次使用Modem撥號登錄設備時,需要進行密碼認證、隻有密碼認證成功、用戶才能登錄到設備上。配置認證方式為password後,請妥善保存密碼,如果密碼丟失,則無法使用該方式登錄。
· 認證方式為scheme:表示下次使用Modem撥號登錄設備時需要進行用戶名和密碼認證,用戶名或密碼錯誤,均會導致登錄失敗。用戶認證又分為本地認證和遠程認證,如果采用本地認證,則需要配置本地用戶及相應參數;如果采用遠程認證,則需要在遠程認證服務器上配置用戶名和密碼。有關用戶認證方式及參數的詳細介紹請參見“安全配置指導”中的“AAA”。配置認證方式為scheme後,請妥善保存用戶名及密碼。如果遠程認證密碼丟失,建議您聯係服務器管理員。
不同的認證方式下,Modem撥號登錄方式需要進行的配置不同,具體配置如表2-3所示。
表2-20 配置任務簡介
|
認證方式 |
認證所需配置 |
說明 |
||
|
None |
設置登錄用戶的認證方式為不認證 |
具體內容請參見2.5.4 |
||
|
Password |
設置登錄用戶的認證方式為Password認證 |
具體內容請參見2.5.5 |
||
|
設置本地驗證的密碼 |
||||
|
Scheme |
設置登錄用戶的認證方式為Scheme認證 |
具體內容請參見2.5.6 |
||
|
選擇認證方案 |
采用遠端AAA服務器認證 |
在設備上配置RADIUS/HWTACACS方案 |
||
|
在設備上配置域使用的AAA方案 |
||||
|
在AAA服務器上配置相關的用戶名和密碼 |
||||
|
采用本地認證 |
在設備上配置認證用戶名和密碼 |
|||
|
在設備上配置域使用的AAA方案為本地認證 |
||||
改變Modem撥號登錄方式的認證方式後,該認證方式的設置不會立即生效。用戶需要退出命令行接口後重新登錄,該設置才會生效。
用戶已經成功登錄到了設備上,並希望以後通過Modem撥號登錄設備時無需進行認證。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見“2.2.2 缺省配置下如何通過Console口登錄設備”。
表2-21 配置用戶通過Modem撥號登錄設備時無需認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
設置登錄用戶的認證方式為不認證 |
authentication-mode none |
必選 缺省情況下,用戶通過Modem撥號登錄,認證方式為none(即不需要進行認證) |
|
配置AUX用戶界麵的公共屬性 |
- |
可選 詳細配置請參見“2.5.7 配置AUX用戶界麵的公共屬性(可選)” |
配置完成後,當用戶再次通過Modem撥號登錄設備時,設備將提示用戶鍵入回車,之後將出現命令行提示符(如<H3C>),如圖2-18所示。
圖2-18 用戶通過Modem撥號登錄設備時無需認證登錄界麵
用戶已經成功登錄到了設備上,並希望以後通過Modem撥號登錄設備時采用密碼認證、以提高設備的安全性。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見“2.2.2 缺省配置下如何通過Console口登錄設備”。
表2-22 配置用戶通過Modem撥號登錄設備時采用密碼認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
設置登錄用戶的認證方式為本地密碼認證 |
authentication-mode password |
必選 缺省情況下,用戶通過Modem登錄,認證方式為none(即不需要進行認證) |
|
設置本地驗證的密碼 |
set authentication password [ hash ] { cipher | simple } password |
必選 缺省情況下,沒有設置本地認證的密碼 FIPS模式下不支持該命令。 |
|
配置AUX用戶界麵的公共屬性 |
- |
可選 詳細配置請參見“2.5.7 配置AUX用戶界麵的公共屬性(可選)” |
配置完成後,當用戶再次通過Modem撥號登錄設備時,鍵入回車後,設備將要求用戶輸入登錄密碼,正確輸入登錄密碼並回車,登錄界麵中出現命令行提示符(如<H3C>),如圖2-19所示。
圖2-19 用戶通過Modem撥號登錄設備時采用密碼認證登錄界麵
用戶已經成功的登錄到了設備上,並希望以後通過Modem撥號登錄設備時采用AAA認證、以提高設備的安全性。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見“2.2.2 缺省配置下如何通過Console口登錄設備”。
表2-23 配置用戶通過Modem撥號登錄設備時采用AAA認證
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
|
設置登錄用戶的認證方式為通過認證方案認證 |
authentication-mode scheme |
必選 具體采用本地認證還是RADIUS認證、HWTACACS認證視AAA方案配置而定 非FIPS模式的缺省情況下,用戶通過Console口登錄,認證方式為none(即不需要進行認證) FIPS模式的缺省情況下,認證為scheme方式 |
|
|
使能命令行授權功能 |
command authorization |
可選 · 缺省情況下,沒有使能命令行授權功能,即用戶登錄後執行命令行不需要授權 · 缺省情況下,用戶登錄設備後可以使用的命令行由用戶級別決定,用戶隻能使用缺省級別等於/低於用戶級別的命令行。配置命令行授權功能後,用戶可使用的命令行將受到用戶級別和AAA授權的雙重限製。即便是足夠級別的用戶每執行一條命令都會進行授權檢查,隻有授權成功的命令才被允許執行。 |
|
|
使能命令行計費功能 |
command accounting |
可選 · 缺省情況下,沒有使能命令行計費功能,即計費服務器不會記錄用戶執行的命令行 · 命令行計費功能用來在HWTACACS服務器上記錄用戶對設備執行過的命令(隻要設備支持的命令,不管執行成功或者失敗都會記錄),以便集中監視、控製用戶對設備的操作。命令行計費功能生效後,如果沒有配命令行授權功能,用戶執行的每一條命令都會發送到HWTACACS服務器上做記錄;如果配置了命令行授權功能,則每一條授權成功的命令都會發送到HWTACACS服務器上做記錄。 |
|
|
退出至係統視圖 |
quit |
- |
|
|
配置設備采用的認證方案 |
進入ISP域視圖 |
domain domain-name |
可選 缺省情況下,係統使用的AAA方案為local 如果采用local認證,則必須進行後續的本地用戶配置;如果采用RADIUS或者HWTACACS方式認證,則需進行如下配置: · 設備上的RADIUS、HWTACACS方案配置請參見“安全配置指導”中的“AAA” · AAA服務器上需要配置相關的用戶名和密碼,具體請參見服務器的指導書 |
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
||
|
退出至係統視圖 |
quit |
||
|
創建本地用戶(進入本地用戶視圖) |
local-user user-name |
必選 缺省情況下,無本地用戶 |
|
|
設置本地用戶認證密碼 |
Password [[ hash ] { cipher | simple } password ] |
必選 缺省情況下,沒有配置本地認證密碼 FIPS模式下,刪除參數[ hash ] { cipher | simple } password,並且以交互式方式設置本地用戶密碼 |
|
|
設置本地用戶的命令級別 |
authorization-attribute level level |
可選 缺省情況下,命令級別為0 |
|
|
設置本地用戶的服務類型 |
service-type terminal |
必選 缺省情況下,無用戶服務類型 |
|
|
配置AUX用戶界麵的公共屬性 |
- |
可選 詳細配置請參見“2.5.7 配置AUX用戶界麵的公共屬性(可選)” |
|
使能命令行授權功能或命令行計費功能後,還需要進行如下配置才能保證命令行授權功能生效:
· 需要創建HWTACACS方案,在方案中指定授權服務器的IP地址以及授權過程的其它參數;
· 需要在ISP域中引用已創建的HWTACACS方案。
詳細介紹請參見“安全配置指導/AAA”中的“配置ISP域的AAA授權方法”。
需要注意的是用戶采用Scheme認證方式登錄設備時,其所能訪問的命令級別取決於AAA方案中定義的用戶級別。
· AAA方案為local認證時,用戶級別通過authorization-attribute level level命令設定。
· AAA方案為RADIUS或者HWTACACS方案認證時,在相應的RADIUS或者HWTACACS服務器上設定相應用戶的級別。
有關AAA、RADIUS、HWTACACS的詳細內容,請參見“安全配置指導”中的“AAA”。
配置完成後,當用戶再次通過Modem撥號登錄設備時,鍵入回車後,設備將要求用戶輸入登錄用戶名和密碼,正確輸入用戶名(此處以用戶為admin為例)和密碼並回車,登錄界麵中出現命令行提示符(如<H3C>),如圖2-20所示。
圖2-20 用戶通過Modem撥號登錄設備時AAA認證登錄界麵
表2-24 AUX用戶界麵的公共屬性配置
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
使能顯示版權信息 |
copyright-info enable |
可選 缺省情況下,顯示版權信息處於使能狀態 |
|
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
|
配置AUX用戶界麵的屬性 |
配置傳輸速率 |
speed speed-value |
可選 缺省情況下,傳輸速率為9600bit/s 傳輸速率為設備與訪問終端之間每秒鍾傳送的比特的個數 |
|
配置校驗方式 |
parity { even | none | odd } |
可選 缺省情況下,校驗方式為none,即不進行校驗 |
|
|
配置停止位 |
stopbits { 1 | 1.5 | 2 } |
可選 缺省情況下,停止位為1 停止位用來表示單個包的結束。停止位的位數越多,傳輸效率越低 |
|
|
配置數據位 |
databits { 7 | 8 } |
可選 缺省情況下,數據位為8位 數據位的設置取決於需要傳送的信息。比如,如果傳送的是標準的ASCII碼,則可以將數據位設置為7,如果傳輸的是擴展的ASCII碼,則需要將數據位設置為8 |
|
|
配置啟動終端會話的快捷鍵 |
activation-key character |
可選 缺省情況下,按<Enter>鍵啟動終端會話 |
|
|
配置中止當前運行任務的快捷鍵 |
escape-key { default | character } |
可選 缺省情況下,鍵入<Ctrl+C>中止當前運行的任務 |
|
|
配置流量控製方式 |
flow-control { hardware | none | software } |
可選 缺省情況下,流量控製方式為none 目前設備隻支持配置流量控製方式為none |
|
|
配置終端的顯示類型 |
terminal type { ansi | vt100 } |
可選 缺省情況下,終端顯示類型為ANSI 當設備的終端類型與客戶端(如超級終端或者Telnet客戶端等)的終端類型不一致,或者均設置為ANSI,並且當前編輯的命令行的總字符數超過80個字符時,客戶端會出現光標錯位、終端屏幕不能正常顯示的現象。建議兩端都設置為VT100類型 |
|
|
設置用戶登錄後可以訪問的命令級別 |
user privilege level level |
可選 缺省情況下,從AUX用戶界麵登錄後可以訪問的命令級別為3級 |
|
|
設置終端屏幕一屏顯示的行數 |
screen-length screen-length |
可選 缺省情況下,終端屏幕一屏顯示的行數為24行 screen-length 0表示關閉分屏顯示功能 |
|
|
設置曆史命令緩衝區大小 |
history-command max-size value |
可選 缺省情況下,每個用戶的曆史緩衝區的大小為10,即可存放10條曆史命令 |
|
|
設置用戶界麵的超時時間 |
idle-timeout minutes [ seconds ] |
可選 缺省情況下,所有的用戶界麵的超時時間為10分鍾,如果10分鍾內某用戶界麵沒有用戶進行操作,則該用戶界麵將自動斷開 idle-timeout 0表示關閉用戶界麵的超時功能 |
|
· 改變Console口屬性後會立即生效,通過Console口登錄來配置Console口屬性可能在配置過程中發生連接中斷,建議通過其他登錄方式來配置Console口屬性。若用戶需要通過Console口再次登錄設備,需要改變PC機上運行的終端仿真程序的相應配置,使之與設備上配置的Console口屬性保持一致。
· Console口波特率Speed要低於Modem的傳輸速率,否則可能會出現丟包現象。
表2-25 CLI顯示和維護
|
操作 |
命令 |
說明 |
|
顯示當前正在使用的用戶界麵以及用戶的相關信息 |
display users [ | { begin | exclude | include } regular-expression ] |
在任意視圖下執行 |
|
顯示設備支持的所有用戶界麵以及用戶的相關信息 |
display users all [ | { begin | exclude | include } regular-expression ] |
在任意視圖下執行 |
|
顯示用戶界麵的相關信息 |
display user-interface [ num1 | { aux | vty } num2 ] [ summary ] [ | { begin | exclude | include } regular-expression ] |
在任意視圖下執行 |
|
顯示設備作為Telnet客戶端的相關配置信息 |
display telnet client configuration [ | { begin | exclude | include } regular-expression ] |
在任意視圖下執行 |
|
釋放指定的用戶界麵 |
free user-interface { num1 | { aux | vty } num2 } |
在用戶視圖下執行 係統支持多個用戶同時對設備進行配置,當管理員在維護設備時,其他在線用戶的配置影響到管理員的操作,或者管理員正在進行一些重要配置不想被其他用戶幹擾時,可以使用以下命令強製斷開該用戶的連接 不能使用該命令釋放用戶當前自己使用的連接 |
|
鎖住當前用戶界麵 |
lock |
在用戶視圖下執行 缺省情況下,係統不會自動鎖住當前用戶界麵 FIPS模式下不支持該命令。 |
|
設置在用戶界麵之間傳遞消息 |
send { all | num1 | { aux | vty } num2 } |
在用戶視圖下執行 |
為了方便您對網絡設備進行配置和維護,設備提供Web網管功能。設備提供一個內置的Web服務器,您可以通過PC登錄到設備上,使用Web界麵直觀地配置和維護設備。
· HTTP登錄方式:HTTP是(Hypertext Transfer Protocol,超文本傳輸協議)。用來在Internet上傳遞Web頁麵信息。HTTP位於TCP/IP協議棧的應用層。傳輸層采用麵向連接的TCP。目前,設備支持的HTTP協議版本為HTTP/1.0。
· HTTPS登錄方式:HTTPS(Hypertext Transfer Protocol,超文本傳輸協議的安全版本)是支持SSL(Secure Sockets Layer,安全套接字層)協議的HTTP協議。HTTPS通過SSL協議,使客戶端與設備之間交互的數據經過加密處理,並為設備製定基於證書屬性的訪問控製策略,提高了數據傳輸的安全性和完整性,保證合法客戶端可以安全地訪問設備,禁止非法的客戶端訪問設備,從而實現了對設備的安全管理。
如果要使用Web登錄設備,您首先需要通過Console口登錄到設備上,開啟設備的Web登錄功能,並配置設備VLAN接口的IP地址、Web登錄用戶及認證密碼等,配置完成後,您即可使用Web網管的方式登錄設備。
表3-1 通過Web登錄設備需要具備的條件
|
對象 |
需要具備的條件 |
|
|
設備 |
配置設備的IP地址,設備與Web登錄用戶間路由可達 |
|
|
配置Web登錄用戶的屬性 (HTTP和HTTPs是兩種獨立的登錄方式,不存在配置依賴關係,請根據需要二者必選其一) |
HTTP方式配置 |
|
|
HTTPS方式配置 |
||
|
Web登錄用戶 |
運行Web瀏覽器 |
|
|
獲取要登錄設備VLAN接口的IP地址 |
||
本節將為您介紹如何通過Web登錄設備,並配置通過Web登錄時的認證方式及用戶級別等,實現對Web登錄用戶的控製。
表3-2 配置通過HTTP方式登錄設備
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
啟動HTTP服務器 |
ip http enable |
必選 · 空配置啟動時,使用軟件功能缺省值,Web服務處於開啟狀態 · 缺省配置啟動時,使用軟件功能出廠值,Web服務器處於關閉狀態 關於空配置啟動和缺省配置啟動,請參見“基礎配置指導”中的“配置文件管理” |
|
配置HTTP服務的端口號 |
ip http port port-number |
可選 缺省情況下,HTTP服務的端口號為80 如果重複執行此命令,HTTP服務將使用最後一次配置的端口號 |
|
配置HTTP服務與ACL關聯 |
ip http acl acl-number |
可選 缺省情況下,沒有ACL與HTTP服務關聯 通過將HTTP服務與ACL關聯,可以過濾掉來自某些客戶端的請求,隻允許通過ACL過濾的客戶端訪問設備 |
|
創建本地用戶(進入本地用戶視圖) |
local-user user-name |
必選 缺省情況下,無本地用戶 |
|
配置本地認證密碼 |
password [ [ hash ] { cipher | simple } password ] |
必選 缺省情況下,無本地認證密碼 FIPS模式下,刪除參數[ hash ] { cipher | simple } password,並且以交互式方式設置本地用戶密碼 |
|
配置Web登錄的用戶級別 |
authorization-attribute level level |
必選 缺省情況下,沒有配置Web登錄的用戶級別 |
|
配置Web登錄用戶的服務類型 |
service-type web |
必選 缺省情況下,沒有配置用戶的服務類型 |
|
退回係統視圖 |
quit |
- |
|
配置IPv4 HTTP報文發送的DSCP優先級 |
ip http dscp dscp-value |
可選 缺省情況下,IPv4 HTTP報文發送的DSCP優先級為16 |
|
配置IPv6 HTTP報文發送的DSCP優先級 |
ipv6 http dscp dscp-value |
可選 缺省情況下,IPv6 HTTP報文發送的DSCP優先級為0 |
|
創建VLAN接口並進入VLAN接口視圖 |
interface vlan-interface vlan-interface-id |
必選 如果該VLAN接口已經存在,則直接進入該VLAN接口視圖 |
|
配置VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } |
必選 缺省情況下,沒有配置VLAN接口的IP地址 |
當設備由FIPS模式重新切回到非FIPS模式時,HTTP服務將變為開啟,如果要關閉HTTP服務請使用undo ip http enable命令關閉。
· SSL的相關描述和配置請參見“安全配置指導”中的“SSL”。
· PKI的相關描述和配置請參見“安全配置指導”中的“PKI”。
表3-3 配置通過HTTPS方式登錄設備
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置HTTPS服務與SSL服務器端策略關聯 |
ip https ssl-server-policy policy-name |
必選 缺省情況下,沒有SSL服務器端策略與HTTPS服務關聯 · 關閉HTTPS服務後,係統將自動取消HTTPS服務與SSL服務器端策略的關聯。再次使能HTTPS服務之前,需要重新配置HTTPS服務與SSL服務器端策略關聯 · HTTPS服務處於使能狀態時,對與其關聯的SSL服務器端策略進行的修改不會生效 |
|
使能HTTPS服務 |
ip https enable |
必選 缺省情況下,HTTPS服務處於關閉狀態 使能HTTPS服務,會觸發SSL的握手協商過程。在SSL握手協商過程中,如果設備的本地證書已經存在,則SSL協商可以成功,HTTPS服務可以正常啟動;如果設備的本地證書不存在,則SSL協商過程會觸發證書申請流程。由於證書申請需要較長的時間,會導致SSL協商不成功,從而無法正常啟動HTTPS服務。因此,在這種情況下,需要多次執行ip https enable命令,這樣HTTPS服務才能正常啟動 |
|
配置HTTPS服務與證書屬性訪問控製策略關聯 |
ip https certificate access-control-policy policy-name |
可選 缺省情況下,沒有證書屬性訪問控製策略與HTTPS服務關聯 · 通過將HTTPS服務與已配置的客戶端證書屬性訪問控製策略關聯,可以實現對客戶端的訪問權限進行控製,進一步保證設備的安全性 · 如果配置HTTPS服務與證書屬性訪問控製策略關聯,則必須同時在與HTTPS服務關聯的SSL服務器端策略中配置client-verify enable命令,否則,客戶端無法登錄設備。 · 如果配置HTTPS服務與證書屬性訪問控製策略關聯,則證書屬性訪問控製策略中必須至少包括一條permit規則,否則任何HTTPS客戶端都無法登錄設備。 · 證書屬性訪問控製策略的詳細介紹請參見“安全配置指導”中的“PKI” |
|
配置HTTPS服務的端口 |
ip https port port-number |
可選 缺省情況下,HTTPS服務的端口號為443 |
|
配置HTTPS服務與ACL關聯 |
ip https acl acl-number |
必選 缺省情況下,沒有ACL與HTTPS服務關聯 通過將HTTP服務與ACL關聯,可以過濾掉來自某些客戶端的請求,隻允許通過ACL過濾的客戶端訪問設備 |
|
創建本地用戶(進入本地用戶視圖) |
local-user user-name |
必選 缺省情況下,無本地用戶 |
|
配置本地認證密碼 |
password [ [ hash ] { cipher | simple } password ] |
必選 缺省情況下,無本地認證密碼 FIPS模式下,刪除參數[ hash ] { cipher | simple } password,並且以交互式方式設置本地用戶密碼 |
|
配置Web登錄的用戶級別 |
authorization-attribute level level |
必選 缺省情況下,沒有配置Web登錄的用戶級別 |
|
配置Web登錄用戶的服務類型 |
service-type web |
必選 缺省情況下,沒有配置用戶的服務類型 |
|
退出至係統視圖 |
quit |
- |
|
創建VLAN接口並進入VLAN接口視圖 |
interface vlan-interface vlan-interface-id |
必選 如果該VLAN接口已經存在,則直接進入該VLAN接口視圖 |
|
配置VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } |
必選 缺省情況下,沒有配置VLAN接口的IP地址 |
在完成上述配置後,在任意視圖下執行display命令可以顯示Web用戶的信息,通過查看顯示信息驗證配置的效果。
表3-4 Web用戶顯示
|
操作 |
命令 |
|
顯示Web用戶的相關信息 |
display web users [ | { begin | exclude | include } regular-expression ] |
|
顯示HTTP的狀態信息 |
display ip http [ | { begin | exclude | include } regular-expression ] |
|
顯示HTTPS的狀態信息 |
display ip https [ | { begin | exclude | include } regular-expression ] |
PC與設備通過以太網相連,設備的IP地址為192.168.0.58/24。
圖3-1 配置HTTP方式登錄組網圖
(1) 配置Device
# 創建VLAN 999,用作遠程登錄,並將Device上與PC相連的接口GigabitEthernet 1/0/1加入VLAN 999.
<Sysname> system-view
[Sysname] vlan 999
[Sysname-vlan999] port GigabitEthernet 1/0/1
[Sysname-vlan999] quit
# 配置VLAN 999接口的IP地址為192.168.0.58,子網掩碼為255.255.255.0。
[Sysname] interface vlan-interface 999
[Sysname-VLAN-interface999] ip address 192.168.0.58 255.255.255.0
[Sysname-VLAN-interface999] quit
# 配置Web網管用戶名為admin,認證密碼為admin,用戶級別為3級。
[Sysname] local-user admin
[Sysname-luser-admin] service-type web
[Sysname-luser-admin] authorization-attribute level 3
[Sysname-luser-admin] password simple admin
(1) 配置PC
# 在PC的瀏覽器地址欄內輸入設備的IP地址並回車,瀏覽器將顯示Web網管的登錄頁麵,如圖3-2所示:
圖3-2 通過Web登錄設備
# 在“Web網管用戶登錄”對話框中輸入用戶名、密碼及驗證碼,並選擇登錄使用的語言,點擊<登錄>按鈕後即可登錄,顯示Web網管初始頁麵。成功登錄後,您可以在配置區對設備進行各種配置。
用戶可以通過Web頁麵訪問和控製設備。為了防止非法用戶訪問和控製設備,提高設備管理的安全性,設備要求用戶以HTTPS的方式登錄Web頁麵,利用SSL協議實現用戶身份驗證,並保證傳輸的數據不被竊聽和篡改。
為了滿足上述需求,需要進行如下配置:
· 配置Device作為HTTPS服務器,並為Device申請證書。
· 為HTTPS客戶端Host申請證書,以便Device驗證其身份。
其中,負責為Device和Host頒發證書的CA(Certificate Authority,認證頒發機構)名稱為new-ca。
· 本配置舉例中,采用Windows Server作為CA。在CA上需要安裝SCEP(Simple Certificate Enrollment Protocol,簡單證書注冊協議)插件。
· 進行下麵的配置之前,需要確保Device、Host、CA之間路由可達。
圖3-3 HTTPS配置組網圖
(1) 配置HTTPS服務器Device
# 配置PKI實體en,指定實體的通用名為http-server1、FQDN為ssl.security.com。
<Device> system-view
[Device] pki entity en
[Device-pki-entity-en] common-name http-server1
[Device-pki-entity-en] fqdn ssl.security.com
[Device-pki-entity-en] quit
# 配置PKI域1,指定信任的CA名稱為new-ca、注冊服務器的URL為http://10.1.2.2/certsrv/mscep/mscep.dll、證書申請的注冊受理機構為RA、實體名稱為en。
[Device] pki domain 1
[Device-pki-domain-1] ca identifier new-ca
[Device-pki-domain-1] certificate request url http://10.1.2.2/certsrv/mscep/mscep.dll
[Device-pki-domain-1] certificate request from ra
[Device-pki-domain-1] certificate request entity en
[Device-pki-domain-1] quit
# 生成本地的RSA密鑰對。
[Device] public-key loc al create rsa
# 獲取CA的證書。
[Device] pki retrieval-certificate ca domain 1
# 為Device申請證書。
[Device] pki request-certificate domain 1
# 創建SSL服務器端策略myssl,指定該策略使用PKI域1,並配置服務器端需要驗證客戶端身份。
[Device] ssl server-policy myssl
[Device-ssl-server-policy-myssl] pki-domain 1
[Device-ssl-server-policy-myssl] client-verify enable
[Device-ssl-server-policy-myssl] quit
# 創建證書屬性組mygroup1,並配置證書屬性規則,該規則規定證書頒發者的DN(Distinguished Name,識別名)中包含new-ca。
[Device] pki certificate attribute-group mygroup1
[Device-pki-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca
[Device-pki-cert-attribute-group-mygroup1] quit
# 創建證書訪問控製策略myacp,並建立控製規則,該規則規定隻有由new-ca頒發的證書可以通過證書訪問控製策略的檢測。
[Device] pki certificate access-control-policy myacp
[Device-pki-cert-acp-myacp] rule 1 permit mygroup1
[Device-pki-cert-acp-myacp] quit
# 配置HTTPS服務與SSL服務器端策略myssl關聯。
[Device] ip https ssl-server-policy myssl
# 配置HTTPS服務與證書屬性訪問控製策略myacp關聯,確保隻有從new-ca獲取證書的HTTPS客戶端可以訪問HTTPS服務器。
[Device] ip https certificate access-control-policy myacp
# 使能HTTPS服務。
[Device] ip https enable
# 創建本地用戶usera,密碼為123,服務類型為web,級別為3(最高級別,具有該級別的用戶登錄後能夠執行設備支持的所有操作)。
[Device] local-user usera
[Device-luser-usera] password simple 123
[Device-luser-usera] service-type web
[Device-luser-usera] authorization-attribute level 3
(2) 配置HTTPS客戶端Host
在Host上打開IE瀏覽器,輸入網址http://10.1.2.2/certsrv,根據提示為Host申請證書。
(3) 驗證配置結果
在Host上打開IE瀏覽器,輸入網址https://10.1.1.1,選擇new-ca為Host頒發的證書,即可打開Device的Web登錄頁麵。在登錄頁麵,輸入用戶名usera,密碼123,則可進入Device的Web配置頁麵,實現對Device的訪問和控製。
· HTTPS服務器的URL地址以“https://”開始,HTTP服務器的URL地址以“http://”開始。
· PKI配置命令的詳細介紹請參見“安全命令參考”中的“PKI”;
· public-key local create rsa命令的詳細介紹請參見“安全命令參考”中的“公鑰管理”;
· SSL配置命令的詳細介紹請參見“安全命令參考”中的“SSL”。
用戶可通過NMS(Network Management Station,網絡管理係統)登錄到設備上,通過設備上的Agent模塊對設備進行管理、配置。設備支持多種NMS軟件。
缺省情況下,用戶不能通過NMS登錄到設備上,如果要使用NMS登錄設備,您首先需要通過Console口登錄到設備上,在設備上進行相關配置。配置完成後,您即可使用NMS網管的方式登錄設備。
表4-1 通過NMS登錄設備需要具備的條件
|
對象 |
需要具備的條件 |
|
設備 |
配置設備VLAN接口的IP地址,設備與NMS間路由可達 |
|
配置SNMP基本功能 |
|
|
NMS(網絡管理係統) |
NMS網絡管理係統進行了正確配置,具體配置請參見NMS附帶的網管手冊 |
建立配置環境,將NMS通過網絡與設備連接,確保NMS和設備之間路由可達。
圖4-1 通過NMS方式登錄組網環境
表4-2 配置SNMP基本參數(SNMP v3版本)
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
啟動SNMP Agent服務 |
snmp-agent |
可選 缺省情況下,SNMP Agent服務處於關閉狀態 執行此命令或執行snmp-agent的任何一條配置命令(不含display命令),都可以啟動SNMP Agent |
|
配置SNMP組 |
snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number | acl ipv6 ipv6-acl-number ] * |
必選 缺省情況下,沒有配置SNMP組 |
|
為SNMP組添加新用戶 |
snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number | acl ipv6 ipv6-acl-number ] * |
必選 如果使用cipher參數,則後麵的auth-password和priv-password都將被視為密文密碼 |
表4-3 配置SNMP基本參數(SNMP v1版本、SNMP v2c版本)
|
操作 |
命令 |
說明 |
||
|
進入係統視圖 |
system-view |
- |
||
|
啟動SNMP Agent服務 |
snmp-agent |
可選 缺省情況下,SNMP Agent服務處於關閉狀態。 執行此命令或執行snmp-agent的任何一條配置命令,都可以啟動SNMP Agent |
||
|
創建或更新MIB視圖內容 |
snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ] |
可選 缺省情況下,視圖名為ViewDefault,OID為1 |
||
|
設置訪問權限 |
直接設置 |
創建一個新的SNMP團體 |
snmp-agent community { read | write } community-name [ mib-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] * |
二者必選其一 直接設置是以SNMP v1和v2c版本的團體名進行設置 間接設置采用與SNMP v3版本一致的命令形式,添加的用戶到指定的組,即相當於SNMP v1和SNMP v2c版本的團體名,在NMS上配置的團體名需要跟Agent上配置的用戶名一致 |
|
間接設置 |
設置一個SNMP組 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number | acl ipv6 ipv6-acl-number ] * |
||
|
為一個SNMP組添加一個新用戶 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number | acl ipv6 ipv6-acl-number ] * |
|||
設備支持SNMP v1、SNMP v2c和SNMP v3三種版本,關於SNMP的詳細介紹及配置,請參見“網絡管理和監控配置指導”中的“SNMP”。
使用SNMPv3版本通過NMS對設備進行自動管理。
通過NMS登錄設備典型配置組網圖
3. 配置步驟
(1) 配置Device
# 配置設備的IP地址,並確保設備與NMS之間路由可達。(配置步驟略)
# 進入係統視圖。
<Sysname> system-view
# 啟動SNMP Agent服務。
[Sysname] snmp-agent
# 配置SNMP組。
[Sysname] snmp-agent group v3 managev3group
# 為SNMP組添加新用戶
[Sysname] snmp-agent usm-user v3 managev3user managev3group
(2) 配置NMS
用戶可利用網管係統完成對設備的查詢和配置操作,具體情況請參考NMS的配套手冊。
NMS側的版本、用戶名配置必須和設備側保持一致,否則無法進行相應操作。
設備提供對不同登錄方式進行控製,如表5-1所示。
|
登錄方式 |
控製方式 |
實現方法 |
相關小節 |
|
Telnet |
通過源IP對Telnet進行控製 |
通過基本ACL實現 |
|
|
通過源IP、目的IP對Telnet進行控製 |
通過高級ACL實現 |
||
|
通過源MAC對Telnet進行控製 |
通過二層ACL實現 |
||
|
NMS |
通過源IP對網管用戶進行控製 |
通過基本ACL實現 |
|
|
Web |
通過源IP對Web用戶進行控製 |
通過基本ACL實現 |
確定了對Telnet的控製策略,包括對哪些源IP、目的IP、源MAC進行控製,控製的動作是允許訪問還是拒絕訪問。
本配置需要通過基本訪問控製列表實現。基本訪問控製列表的序號取值範圍為2000~2999。關於ACL的定義請參見“ACL和QoS配置指導”中的“ACL”。
表5-2 通過源IP對Telnet進行控製
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入基本ACL視圖 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必選 缺省情況下,沒有定義子規則 |
|
退出ACL視圖 |
quit |
- |
|
進入用戶界麵視圖 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用訪問控製列表,通過源IP對Telnet進行控製 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必選 inbound:對Telnet到本設備的用戶進行ACL控製 outbound:對從本設備Telnet到其他Telnet服務器的用戶進行ACL控製 |
本配置需要通過高級訪問控製列表實現。高級訪問控製列表的序號取值範圍為3000~3999。關於ACL的定義請參見“ACL和QoS配置指導”中的“ACL”。
表5-3 配置高級ACL規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入高級ACL視圖 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { permit | deny } rule-string |
必選 用戶可以根據需要配置對相應的源IP、目的IP進行過濾的規則 |
|
退出ACL視圖 |
quit |
- |
|
進入用戶界麵視圖 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用訪問控製列表,通過源IP、目的IP對Telnet進行控製 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必選 inbound:對Telnet到本設備的用戶進行ACL控製 outbound:對從本設備Telnet到其他Telnet服務器的用戶進行ACL控製 |
本配置需要通過二層訪問控製列表實現。二層訪問控製列表的序號取值範圍為4000~4999。關於ACL的定義請參見“ACL和QoS配置指導”中的“ACL”。
表5-4 配置二層ACL規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入二層ACL視圖 |
acl number acl-number [ match-order { config | auto } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { permit | deny } rule-string |
必選 用戶可以根據需要配置對相應的源MAC進行過濾的規則 |
|
退出ACL視圖 |
quit |
- |
|
進入用戶界麵視圖 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用訪問控製列表,通過源MAC對Telnet進行控製 |
acl acl-number inbound |
必選 inbound:對Telnet到本設備的用戶進行ACL控製 |
二層訪問控製列表對於Telnet Client的源IP與Telnet服務器的接口IP不在同一網段的不生效。
通過源IP對Telnet進行控製,僅允許來自10.110.100.52和10.110.100.46的Telnet用戶訪問設備。
圖5-1 對Device的Telnet用戶進行ACL控製
# 定義基本訪問控製列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用訪問控製列表,允許源地址為10.110.100.52和10.110.100.46的Telnet用戶訪問設備。
[Sysname] user-interface vty 0 15
[Sysname-ui-vty0-15] acl 2000 inbound
設備支持通過網管軟件進行遠程管理。網管用戶可以通過SNMP訪問設備。通過引用訪問控製列表,可以對訪問設備的SNMP用戶進行控製。
確定了對網管用戶的控製策略,包括對哪些源IP進行控製,控製的動作是允許訪問還是拒絕訪問。
本配置需要通過基本訪問控製列表實現。基本訪問控製列表的序號取值範圍為2000~2999。關於ACL的定義請參見“ACL和QoS配置指導”中的“ACL”。
表5-5 通過源IP對網管用戶進行控製
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入基本ACL視圖 |
acl [ ipv6 ] number acl-number[ name name ] [ match-order { config | auto } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必選 |
|
退出ACL視圖 |
quit |
- |
|
在配置SNMP團體名的命令中引用訪問控製列表 |
snmp-agent community { read | write } community-name [ mib-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] * |
必選 根據網管用戶運行的SNMP版本及配置習慣,可以在團體名、組名或者用戶名配置時引用訪問控製列表,詳細介紹請參見“網絡管理和監控配置指導”中的“SNMP” |
|
在配置SNMP組名的命令中引用訪問控製列表 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number | acl ipv6 ipv6-acl-number ] * snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number | acl ipv6 ipv6-acl-number ] * |
|
|
在配置SNMP用戶名的命令中引用訪問控製列表 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number | acl ipv6 ipv6-acl-number ] * snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number | acl ipv6 ipv6-acl-number ] * |
通過源IP對網管用戶進行控製,僅允許來自10.110.100.52和10.110.100.46的NMS用戶訪問設備。
圖5-2 對NMS用戶進行ACL控製
# 定義基本訪問控製列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用訪問控製列表,僅允許來自10.110.100.52和10.110.100.46的SNMP用戶訪問設備。
[Sysname] snmp-agent community read aaa acl 2000
[Sysname] snmp-agent group v2c groupa acl 2000
[Sysname] snmp-agent usm-user v2c usera groupa acl 2000
設備支持通過Web方式進行遠程管理。Web用戶可以通過HTTP協議訪問設備。通過引用訪問控製列表,可以對訪問設備的Web用戶進行控製。
確定了對Web用戶的控製策略,包括對哪些源IP進行控製,控製的動作是允許訪問還是拒絕訪問。
本配置需要通過基本訪問控製列表實現。基本訪問控製列表的序號取值範圍為2000~2999。關於ACL的定義請參見“ACL和QoS配置指導”中的“ACL”。
表5-6 通過源IP對Web用戶進行控製
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入基本ACL視圖 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必選 |
|
退出ACL視圖 |
quit |
- |
|
引用訪問控製列表對Web用戶進行控製 |
ip http acl acl-number |
HTTP和HTTPS是兩種獨立的登錄方式,不存在配置依賴關係,請根據需要二者必選其一 |
|
ip https acl acl-number |
網絡管理員可以通過命令行強製在線Web用戶下線。
表5-7 強製在線Web用戶下線
|
操作 |
命令 |
說明 |
|
強製在線Web用戶下線 |
free web-users { all | user-id user-id | user-name user-name } |
必選 在用戶視圖下執行 |
通過源IP對Web用戶進行控製,僅允許來自10.110.100.52的Web用戶訪問設備。
圖5-3 對Device的HTTP用戶進行ACL控製
# 定義基本訪問控製列表。
<Sysname> system-view
[Sysname] acl number 2030 match-order config
[Sysname-acl-basic-2030] rule 1 permit source 10.110.100.52 0
# 引用訪問控製列表,僅允許來自10.110.100.52的Web用戶訪問設備。
[Sysname] ip http acl 2030
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
