- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-登錄交換機配置
本章節下載: 02-登錄交換機配置 (861.12 KB)
2.2.4 配置通過Console口登錄設備時無需認證(None)(FIPS模式下不支持該方式)
2.2.5 配置通過Console口登錄設備時采用密碼認證(Password)(FIPS模式下不支持該方式)
2.2.6 配置通過Console口登錄設備時采用AAA認證(Scheme)
2.3 配置通過Telnet登錄設備(FIPS模式下不支持該登錄方式)
2.3.3 配置通過Telnet Client登錄設備時無需認證(None)
2.3.4 配置通過Telnet Client登錄設備時采用密碼認證(Password)
2.3.5 配置通過Telnet Client登錄設備時采用AAA認證(Scheme)
2.3.7 配置設備充當Telnet Client登錄其它設備
2.5.4 配置用戶通過Modem登錄設備時無需認證(None)(FIPS模式下不支持該方式)
2.5.5 配置用戶通過Modem登錄設備時采用密碼認證(Password)(FIPS模式下不支持該方式)
2.5.6 配置用戶通過Modem登錄設備時采用AAA認證(Scheme)
3.2 配置通過HTTP方式登錄設備(FIPS模式下不支持該登錄方式)
3.5.1 使用HTTP方式登錄設備典型配置舉例(FIPS模式下不支持該舉例)
5.2 配置對Telnet用戶的控製(FIPS模式下不支持該功能)
5.4 通過源IP對Web用戶進行控製(FIPS模式下不支持該方式)
· 設備運行於FIPS模式時,本特性的相關配置相對於非FIPS模式有所變化,具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
· 本章中典型配置舉例中的配置,如無特殊說明,均以設備運行在非FIPS模式下的命令行為準。
· FIPS模式下不支持Telnet和HTTP功能。
用戶可以通過以下幾種方式登錄到設備上,對設備進行配置和管理:
|
登錄方式及介紹 |
各種登錄方式缺省狀況分析 |
|
|
通過CLI登錄設備 |
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3 |
|
|
缺省情況下,用戶不能直接通過Telnet方式登錄設備。如需采用Telnet方式登錄,需要先通過Console口本地登錄設備、並完成如下配置: · 開啟設備的Telnet功能(根據產品缺省情況選擇) · 配置設備VLAN接口的IP地址,確保設備與Telnet登錄用戶間路由可達(缺省情況下,設備沒有IP地址) · 配置VTY用戶的認證方式(缺省情況下,VTY用戶采用Password認證方式) · 配置VTY用戶的用戶級別(缺省情況下,VTY用戶的用戶級別為0) |
||
|
缺省情況下,用戶不能直接通過SSH方式登錄設備。如需采用SSH方式登錄,需要先通過Console口本地登錄設備、並完成如下配置: · 開啟設備SSH功能並完成SSH屬性的配置(根據產品缺省情況選擇) · 配置設備VLAN接口的IP地址,確保設備與Telnet登錄用戶間路由可達(缺省情況下,設備沒有配置IP地址) · 配置VTY用戶的認證方式為scheme(缺省情況下,VTY用戶采用Password認證方式) · 配置VTY用戶的用戶級別(缺省情況下,VTY用戶的用戶級別為0) |
||
|
缺省情況下,用戶可以直接通過Modem撥號方式登錄設備,Modem用戶的用戶級別為3 |
||
|
缺省情況下,用戶不能直接通過Web登錄設備。如需采用Web方式登錄,需要先通過Console口本地登錄設備、並完成如下配置: · 配置設備VLAN接口的IP地址,確保設備與Web登錄用戶間路由可達(缺省情況下,設備沒有配置IP地址) · 配置Web用戶的用戶名與密碼(缺省情況下,沒有Web登錄的用戶名和密碼) · 配置Web登錄的用戶級別(缺省情況下,未配置Web登錄用戶的用戶級別) · 配置Web登錄用戶的服務類型為Telnet(缺省情況下,未配置Web登錄用戶的服務類型) |
||
|
缺省情況下,用戶不能直接通過NMS登錄設備。如需采用NMS方式登錄,需要先通過Console口本地登錄設備、並完成如下配置: · 配置設備VLAN接口的IP地址,確保設備與NMS登錄用戶間路由可達(缺省情況下,設備沒有IP配置地址) · 配置SNMP基本參數 |
||
在以下的章節中,將分別為您介紹如何通過Console口、Telnet、Web及Modem及NMS登錄到設備上。
當用戶使用Console口、Telnet或者SSH方式登錄設備的時候,係統會分配一個用戶界麵(也稱為Line)用來管理、監控設備和用戶間的當前會話。每個用戶界麵有對應的用戶界麵視圖(User-interface view),在用戶界麵視圖下網絡管理員可以配置一係列參數,比如用戶登錄時是否需要認證以及用戶登錄後的級別等,當用戶使用該用戶界麵登錄的時候,將受到這些參數的約束,從而達到統一管理各種用戶會話連接的目的。
目前係統支持的命令行配置方式有:
· Console口本地配置
· Telnet或SSH本地或遠程配置
與這些配置方式對應的是兩種類型的用戶界麵:
· AUX用戶界麵:係統提供的通過Console口登錄的視圖,用來管理和監控通過Console口登錄的用戶。設備提供一個Console口,端口類型為EIA/TIA-232 DCE,第一次使用設備時,需要通過此端口對交換機進行配置。
· VTY(Virtual Type Terminal,虛擬類型終端)用戶界麵:用來管理和監控通過VTY方式登錄的用戶,用於對設備進行Telnet或SSH訪問。
用戶界麵的管理和監控對象是使用某種方式登錄的用戶,一個用戶界麵某一時刻隻能被一個用戶使用,但它並不針對某個用戶。比如用戶A使用Console口登錄設備時,將受到Console用戶界麵視圖下配置的約束,當使用VTY 1登錄設備時,將受到VTY 1用戶界麵視圖下配置的約束。
一台交換機提供一個AUX用戶界麵、十六個VTY用戶界麵,這些用戶界麵與用戶並沒有固定的對應關係。用戶登錄時,係統會根據用戶的登錄方式,自動給用戶分配一個當前空閑的、編號最小的相應類型的用戶界麵,整個登錄過程將受該用戶界麵視圖下配置的約束。同一用戶登錄的方式不同,分配的用戶界麵不同;同一用戶登錄的時機不同,分配的用戶界麵可能不同。
用戶界麵的編號有兩種方式:絕對編號方式和相對編號方式。
使用絕對編號方式,可以唯一的指定一個用戶界麵或一組用戶界麵。絕對編號從0開始自動編號,每次增長1,先給所有AUX用戶界麵編號,其次是VTY用戶界麵編號。使用display user-interface(不帶參數)可查看到設備當前支持的用戶界麵以及它們的絕對編號。
相對編號是每種類型用戶界麵的內部編號。該方式隻能指定某種類型的用戶界麵中的一個或一組,而不能跨類型操作。
相對編號方式的形式是:“用戶界麵類型 編號”,遵守如下規則:
· 控製台的相對編號為AUX 0。
· VTY的相對編號:第一個為VTY 0,第二個為VTY 1,依次類推。
CLI(命令行接口)是用戶與設備之間的文本類指令交互界麵,用戶鍵入文本類命令,通過輸入回車鍵提交設備執行相關命令,用戶可以輸入命令對設備進行配置,並可以通過查看輸出的信息確認配置結果,方便用戶配置和管理設備。
通過CLI登錄設備包括:通過Console口、Telnet、SSH或Modem四種登錄方式。當您使用Console口、Telnet、SSH或Modem登錄設備時,都需要使用CLI來與設備進行交互。
· 缺省情況下,用戶不需要任何認證即可通過Console口登錄設備,這給設備帶來許多安全隱患;
· 缺省情況下,用戶不能通過Telnet、SSH登錄設備(隻能通過Console口本地登錄),這樣不利於用戶對設備進行遠程管理和維護。
因此,用戶需要對這些登錄方式進行相應的配置,來增加設備的安全性及可管理性。
以下章節將分別為您介紹如何通過Console口、Telnet、SSH及Modem登錄到設備,並配置通過Console口、Telnet、SSH及Modem登錄設備時的認證方式、用戶級別及公共屬性,來實現對登錄用戶的控製和管理。
通過Console口進行本地登錄是登錄設備的最基本的方式,也是配置通過其他方式登錄設備的基礎。如圖2-1所示。
圖2-1 通過Console口登錄設備示意圖
缺省情況下,設備隻能通過Console口進行本地登錄,用戶登錄到設備上後,即可以對各種登錄方式進行配置。
本節將為您介紹:
· 設備缺省情況下,如何通過Console口登錄設備。具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
· 設備Console口支持的登錄方式及配置Console口登錄認證方式的意義、各種認證方式的特點及注意事項。具體請參見2.2.3 Console口登錄的認證方式介紹。
· 當用戶確定了今後通過Console口登錄設備時將采用何種認證方式後、並通過缺省配置登錄到設備後,用戶如何在設備上配置Console口登錄設備時的認證方式及用戶級別,實現對Console口登錄用戶的控製和管理。具體請參見2.2.4 配置通過Console口登錄設備時無需認證(None)(FIPS模式下不支持該方式)、2.2.5 配置通過Console口登錄設備時采用密碼認證(Password)(FIPS模式下不支持該方式)及2.2.6 配置通過Console口登錄設備時采用AAA認證(Scheme)。
· 配置通過Console口登錄設備時的公共屬性。具體請參見2.2.7 配置Console口登錄方式的公共屬性(可選)。
表2-1 通過Console登錄設備需要具備的條件
|
對象 |
需要具備的條件 |
|
設備 |
缺省情況下,設備側不需要任何配置 |
|
Console口登錄用戶 |
運行超級終端程序 |
|
配置超級終端程序屬性 |
當用戶使用Console口登錄設備時,用戶終端的通信參數配置要和設備Console口的缺省配置保持一致,才能通過Console口登錄到設備上。設備Console口的缺省配置如下:
表2-2 設備Console口缺省配置
|
屬性 |
缺省配置 |
|
傳輸速率 |
9600bit/s |
|
流控方式 |
不進行流控 |
|
校驗方式 |
不進行校驗 |
|
停止位 |
1 |
|
數據位 |
8 |
(1) 請使用產品隨機附帶的配置口電纜連接PC機和設備。請先將配置電纜的DB-9(孔)插頭插入PC機的9芯(針)串口插座,再將RJ-45插頭端插入設備的Console口中。
圖2-2 將設備與PC通過配置口電纜進行連接
連接時請認準接口上的標識,以免誤插入其它接口。
由於PC機串口不支持熱插拔,請不要在設備帶電的情況下,將串口插入或者拔出PC機。當連接PC和設備時,請先安裝配置電纜的DB-9端到PC機,再連接RJ-45到設備;在拆下時,先拔出RJ-45端,再拔下DB-9端。
(2) 在PC機上運行終端仿真程序,選擇與設備相連的串口,設置終端通信參數:傳輸速率為9600bit/s、8位數據位、1位停止位、無校驗和無流控,如圖2-3至圖2-5所示。
如果您的PC使用的是Windows 2003 Server操作係統,請在Windows組件中添加超級終端程序後,再按照本文介紹的方式登錄和管理設備;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作係統,請您準備第三方的終端控製軟件,使用方法請參照軟件的使用指導或聯機幫助。
圖2-4 連接端口設置
(3) 設備上電,終端上顯示設備自檢信息,自檢結束後提示用戶鍵入回車,之後將出現命令行提示符(如<H3C>)。
(4) 鍵入命令,配置設備或查看設備運行狀態。需要幫助可以隨時鍵入“?”,具體的配置命令請參考本手冊中相關部分的內容。
通過在Console口用戶界麵下配置認證方式,可以對使用Console口登錄的用戶進行限製,以提高設備的安全性。Console口支持的認證方式有none、password和scheme三種。
· 認證方式為none:表示下次使用Console口本地登錄設備時,不需要進行用戶名和密碼認證、任何人都可以通過Console口登錄到設備上,這種情況可能會帶來安全隱患。
· 認證方式為password:表示下次使用Console口本地登錄設備時,需要進行密碼認證、隻有密碼認證成功、用戶才能登錄到設備上。配置認證方式為password後,請妥善保存密碼。
· 認證方式為scheme:表示下次使用Console口登錄設備時需要進行用戶名和密碼認證,用戶名或密碼錯誤,均會導致登錄失敗。用戶認證又分為本地認證和遠程認證,如果采用本地認證,則需要配置本地用戶及相應參數;如果采用遠程認證,則需要在遠程認證服務器上配置用戶名和密碼。有關用戶認證方式及參數的詳細介紹請參見“安全配置指導”中的“AAA配置”。配置認證方式為scheme後,請妥善保存用戶名及密碼。
不同的認證方式下,Console口登錄方式需要進行的配置不同,具體配置如表2-3所示。
|
認證方式 |
認證所需配置 |
說明 |
||
|
None |
設置登錄用戶的認證方式為不認證 |
具體內容請參見2.2.4 |
||
|
Password |
設置登錄用戶的認證方式為Password認證 |
具體內容請參見2.2.5 |
||
|
設置本地驗證的口令 |
||||
|
Scheme |
設置登錄用戶的認證方式為Scheme認證 |
具體內容請參見2.2.6 |
||
|
選擇認證方案 |
采用遠端AAA服務器認證 |
在設備上配置RADIUS/HWTACACS方案 |
||
|
在設備上配置域使用的AAA方案 |
||||
|
在AAA服務器上配置相關的用戶名和密碼 |
||||
|
采用本地認證 |
在設備上配置認證用戶名和密碼 |
|||
|
在設備上配置域使用的AAA方案為本地認證 |
||||
用戶已經成功登錄到了設備上,並希望以後通過Console口登錄設備時無需進行認證。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
表2-4 配置用戶通過Console口登錄設備時無需認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
設置登錄用戶的認證方式為不認證 |
authentication-mode none |
必選 缺省情況下,用戶通過Console口登錄,認證方式為none(即不需要進行認證) |
|
配置AUX用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.2.7 配置Console口登錄方式的公共屬性(可選) |
配置完成後,當用戶再次通過Console口登錄設備時,設備將提示用戶鍵入回車,之後將出現命令行提示符(如<H3C>)。
用戶已經成功登錄到了設備上,並希望以後通過Console口登錄設備時采用密碼認證、以提高設備的安全性。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
表2-5 配置用戶通過Console口登錄設備時采用密碼認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
設置登錄用戶的認證方式為本地口令認證 |
authentication-mode password |
必選 缺省情況下,用戶通過Console口登錄,認證方式為none(即不需要進行認證) |
|
設置本地驗證的口令 |
set authentication password [ hash ] { cipher | simple } password |
必選 缺省情況下,沒有設置本地認證的口令 |
|
配置AUX用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.2.7 配置Console口登錄方式的公共屬性(可選) |
配置完成後,當用戶再次通過Console口登錄設備時,鍵入回車後,設備將要求用戶輸入登錄密碼,正確輸入登錄密碼並回車,登錄界麵中出現命令行提示符(如<H3C>)。
用戶已經成功的登錄到了設備上,並希望以後通過Console口登錄設備時采用AAA認證、以提高設備的安全性。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
表2-6 配置用戶通過Console口登錄設備時采用AAA認證
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
|
設置登錄用戶的認證方式為通過認證方案認證 |
authentication-mode scheme |
必選 缺省情況下,用戶通過Console口登錄,認證方式為none(即不需要進行認證) |
|
|
使能命令行授權功能 |
command authorization |
可選 缺省情況下,沒有使能命令行授權功能,即用戶登錄後執行命令行不需要授權 · 缺省情況下,用戶登錄設備後可以使用的命令行由用戶級別決定,用戶隻能使用缺省級別等於/低於用戶級別的命令行。配置命令行授權功能後,用戶可使用的命令行將受到用戶級別和AAA授權的雙重限製。即便是足夠級別的用戶每執行一條命令都會進行授權檢查,隻有授權成功的命令才被允許執行。 · 需要注意的是,執行此命令後,命令行授權功能將立即生效,此後執行的命令都要經過AAA授權後才能執行成功,因此請先完成對AAA授權及AAA服務器的配置,再使能此功能 |
|
|
使能命令行計費功能 |
command accounting |
可選 缺省情況下,沒有使能命令行計費功能,即計費服務器不會記錄用戶執行的命令行 · 命令行計費功能用來在HWTACACS服務器上記錄用戶對設備執行過的命令(隻要設備支持的命令,不管執行成功或者失敗都會記錄),以便集中監視、控製用戶對設備的操作。命令行計費功能生效後,如果沒有配命令行授權功能,用戶執行的每一條命令都會發送到HWTACACS服務器上做記錄;如果配置了命令行授權功能,則每一條授權成功的命令都會發送到HWTACACS服務器上做記錄。 · 需要注意的是,執行此命令後,命令行計費功能將立即生效,因此請先完成對AAA計費及AAA服務器的配置,再使能此功能 |
|
|
退出至係統視圖 |
quit |
- |
|
|
配置設備采用的認證方案 |
進入ISP域視圖 |
domain domain-name |
可選 缺省情況下,係統使用的AAA方案為local 如果采用local認證,則必須進行後續的本地用戶配置;如果采用RADIUS或者HWTACACS方式認證,則需進行如下配置: · 設備上的RADIUS、HWTACACS方案配置請參見“安全配置指導”中的“AAA配置” · AAA服務器上需要配置相關的用戶名和密碼,具體請參見服務器的指導書 |
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
||
|
退出至係統視圖 |
quit |
||
|
創建本地用戶(進入本地用戶視圖) |
local-user user-name |
必選 缺省情況下,無本地用戶 |
|
|
設置本地用戶認證口令 |
非FIPS模式下: password [ [ hash ] { cipher | simple } password ] FIPS模式下: password |
必選 |
|
|
設置本地用戶的命令級別 |
authorization-attribute level level |
可選 缺省情況下,命令級別為0 |
|
|
設置本地用戶的服務類型 |
service-type terminal |
必選 缺省情況下,無用戶服務類型 |
|
|
配置AUX用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.2.7 配置Console口登錄方式的公共屬性(可選) |
|
使能命令行授權功能後,還需要進行如下配置才能保證命令行授權功能生效:
· 需要創建HWTACACS方案,在方案中指定授權服務器的IP地址以及授權過程的其它參數,詳細介紹請參見“安全配置指導”中的“AAA配置”。
· 需要在ISP域中引用已創建的HWTACACS方案,詳細介紹請參見“安全配置指導”中的“AAA配置”。
使能命令行計費功能後,還需要進行如下配置才能保證命令行計費功能生效:
· 需要創建HWTACACS方案,在方案中指定計費服務器的IP地址以及計費過程的其它參數,詳細介紹請參見“安全配置指導”中的“AAA配置”。
· 需要在ISP域中引用已創建的HWTACACS方案,詳細介紹請參見“安全配置指導”中的“AAA配置”。
需要注意的是用戶采用Scheme認證方式登錄設備時,其所能訪問的命令級別取決於AAA方案中定義的用戶級別。
· AAA方案為local認證時,用戶級別通過authorization-attribute level level命令設定。
· AAA方案為RADIUS或者HWTACACS方案認證時,在相應的RADIUS或者HWTACACS服務器上設定相應用戶的級別。
有關AAA、RADIUS、HWTACACS的詳細內容,請參見“安全配置指導”中的“AAA配置”。
配置完成後,當用戶再次通過Console口登錄設備時,鍵入回車後,設備將要求用戶輸入登錄用戶名和密碼,正確輸入用戶名和密碼並回車,登錄界麵中出現命令行提示符(如<H3C>)。
Console口登錄方式的公共屬性配置,如表2-7所示。
表2-7 Console口登錄方式公共屬性配置
改變Console口屬性後會立即生效,所以通過Console口登錄來配置Console口屬性可能在配置過程中發生連接中斷,建議通過其他登錄方式來配置Console口屬性。若用戶需要通過Console口再次登錄設備,需要改變PC機上運行的終端仿真程序的相應配置,使之與設備上配置的Console口屬性保持一致。
設備支持Telnet功能,用戶可以通過Telnet方式登錄到設備上,對設備進行遠程管理和維護。如圖2-6。
圖2-6 通過Telnet登錄設備示意圖
表2-8 采用Telnet方式登錄需要具備的條件
|
對象 |
需要具備的條件 |
|
Telnet服務器端 |
配置設備VLAN的IP地址,設備與Telnet用戶間路由可達 |
|
配置Telnet登錄的認證方式和其它配置(根據Telnet服務器端的情況而定) |
|
|
Telnet客戶端 |
運行Telnet程序 |
|
獲取要登錄設備VLAN接口的IP地址 |
設備充當Telnet Client:
· 設備支持Telnet Client功能、可作為Telnet Client登錄到Telnet Server上,從而對其進行操作。
· 缺省情況下,設備的Telnet Client功能處於開啟狀態。
設備充當Telnet Server:
· 設備支持Telnet Server功能、可作為Telnet Server,並可在設備上進行一係列的配置,從而實現對不同Telnet Client登錄的具體認證方式、用戶級別等方麵的控製與管理。
· 缺省情況下,設備的Telnet Server功能處於關閉狀態,通過Telnet方式登錄設備的認證方式為Password,但設備沒有配置缺省的登錄密碼,即在缺省情況下用戶不能通過Telnet登錄到設備上。因此當您使用Telnet方式登錄設備前,首先需要通過Console口登錄到設備上,對認證方式、用戶級別及公共屬性進行相應的配置,才能保證通過Telnet方式正常登錄到設備。
本節將為您介紹設備充當Telnet服務器端時:
· 設備支持的各種登錄認證方式及配置Telnet登錄認證方式的意義、各種認證方式的特點及注意事項。具體介紹請參見2.3.2 Telnet登錄的認證方式介紹。
· 當用戶確定了今後通過Telnet客戶端登錄設備時將采用何種認證方式後、並已成功登錄到設備後,用戶如何在設備上配置Telnet客戶端登錄設備時的認證方式、用戶級別及公共屬性,從而實現對Telnet登錄用戶的控製和管理。具體介紹請參見2.3.3 配置通過Telnet Client登錄設備時無需認證(None)、2.3.4 配置通過Telnet Client登錄設備時采用密碼認證(Password)及2.3.5 配置通過Telnet Client登錄設備時采用AAA認證(Scheme)。
· 配置通過Telnet登錄設備時的公共屬性。具體介紹請參見2.3.6 配置VTY用戶界麵的公共屬性(可選)。
本節還將為您介紹設備充當Telnet客戶端、Telnet登錄到Server時的配置,具體請參見2.3.7 配置設備充當Telnet Client登錄其它設備。
通過在Telnet的用戶界麵下配置認證方式,可以對使用Telnet登錄的用戶進行限製,以提高設備的安全性。通過Telnet登錄支持的認證方式有none、password和scheme三種。
· 認證方式為none:表示下次使用Telnet登錄設備時不需要進行用戶名和密碼認證,任何人都可以通過Telnet登錄到設備上,這種情況可能會帶來安全隱患。
· 認證方式為password:表示下次使用Telnet登錄設備時需要進行密碼認證,隻有密碼認證成功,用戶才能登錄到設備上。配置認證方式為password後,請妥善保存密碼,如果密碼丟失,可以使用Console口登錄到設備,對Telnet的密碼配置進行查看或修改。
· 認證方式為scheme:表示下次使用Telnet登錄設備時需要進行用戶名和密碼認證,用戶名或密碼錯誤,均會導致登錄失敗。用戶認證又分為本地認證和遠程認證,如果采用本地認證,則需要配置本地用戶及相應參數;如果采用遠程認證,則需要在遠程認證服務器上配置用戶名和密碼。有關用戶認證方式及參數的詳細介紹請參見“安全配置指導”中的“AAA配置”。配置認證方式為scheme後,請妥善保存用戶名及密碼,如果本地認證密碼丟失,可以使用Console口登錄到設備,對Telnet的密碼配置進行查看或修改。如果遠程認證密碼丟失,建議您聯係服務器管理員。
不同的認證方式下,Telnet登錄方式需要進行的配置不同,具體配置如表2-9所示。
表2-9 配置Telnet登錄的認證方式
|
認證方式 |
認證所需配置 |
說明 |
||
|
None |
設置登錄用戶的認證方式為不認證 |
具體內容請參見2.3.3 |
||
|
Password |
設置登錄用戶的認證方式為Password認證 |
具體內容請參見2.3.4 |
||
|
設置本地驗證的口令 |
||||
|
Scheme |
設置登錄用戶的認證方式為Scheme認證 |
具體內容請參見2.3.5 |
||
|
選擇認證方案 |
采用遠端AAA服務器認證 |
在設備上配置RADIUS/HWTACACS方案 |
||
|
在設備上配置域使用的AAA方案 |
||||
|
在AAA服務器上配置相關的用戶名和密碼 |
||||
|
采用本地認證 |
在設備上配置認證用戶名和密碼 |
|||
|
在設備上配置域使用的AAA方案為本地認證 |
||||
用戶已經成功登錄到了設備上,並希望以後通過Telnet登錄設備時無需進行認證。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能設備的Telnet服務 |
telnet server enable |
必選 缺省情況下,Telnet服務處於開啟狀態 |
|
進入一個或多個VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
|
設置VTY登錄用戶的認證方式為不認證 |
authentication-mode none |
必選 缺省情況下,VTY用戶界麵的認證方式為password |
|
配置從當前用戶界麵登錄係統的用戶所能訪問的命令級別 |
user privilege level level |
必選 缺省情況下,通過VTY用戶界麵登錄係統所能訪問的命令級別是0 |
|
配置VTY用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.3.6 配置VTY用戶界麵的公共屬性(可選) |
配置完成後,當用戶再次通過Telnet登錄設備時:
· 用戶將直接進入VTY用戶界麵。
· 如果出現“All user interfaces are used, please try later!”的提示,表示當前Telnet到設備的用戶過多,則請稍候再連接。
用戶已經成功登錄到了設備上,並希望以後通過Telnet登錄設備時需要進行密碼認證。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能設備的Telnet服務 |
telnet server enable |
必選 缺省情況下,Telnet服務處於開啟態 |
|
進入一個或多個VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
|
設置登錄用戶的認證方式為本地口令認證 |
authentication-mode password |
必選 缺省情況下,VTY用戶界麵的認證方式為password |
|
設置本地驗證的口令 |
set authentication password [ hash ] { cipher | simple } password |
必選 缺省情況下,沒有設置本地認證的口令 |
|
配置從當前用戶界麵登錄係統的用戶所能訪問的命令級別 |
user privilege level level |
必選 缺省情況下,通過VTY用戶界麵登錄係統所能訪問的命令級別是0 |
|
配置VTY用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.3.6 配置VTY用戶界麵的公共屬性(可選) |
配置完成後,當用戶再次通過Telnet登錄設備時:
· 設備將要求用戶輸入登錄密碼,正確輸入登錄密碼並回車,登錄界麵中出現命令行提示符(如<H3C>)。
· 如果出現“All user interfaces are used, please try later!”的提示,表示當前Telnet到設備的用戶過多,則請稍候再連接。
用戶已經成功登錄到了設備上,並希望將設備作為Telnet Server從而登錄設備時需要進行AAA認證。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
表2-12 配置用戶通過Telnet登錄設備時采用AAA認證
|
操作 |
命令 |
說明 |
||
|
進入係統視圖 |
system-view |
- |
||
|
使能設備的Telnet服務 |
telnet server enable |
必選 缺省情況下,Telnet服務處於開啟狀態 |
||
|
進入一個或多個VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
||
|
設置登錄用戶的認證方式為通過認證方案認證 |
authentication-mode scheme |
必選 具體采用本地認證還是RADIUS認證、HWTACACS認證視AAA方案配置而定 缺省情況下采用本地認證方式 |
||
|
使能命令行授權功能 |
command authorization |
可選 缺省情況下,沒有使能命令行授權功能,即用戶登錄後執行命令行不需要授權 · 缺省情況下,用戶登錄設備後可以使用的命令行由用戶級別決定,用戶隻能使用缺省級別等於/低於用戶級別的命令行。配置命令行授權功能後,用戶可使用的命令行將受到用戶級別和AAA授權的雙重限製。即便是足夠級別的用戶每執行一條命令都會進行授權檢查,隻有授權成功的命令才被允許執行。 · 需要注意的是,執行此命令後,命令行授權功能將立即生效,此後執行的命令都要經過AAA授權後才能執行成功,因此請先完成對AAA授權及AAA服務器的配置,再使能此功能 |
||
|
使能命令行計費功能 |
command accounting |
可選 缺省情況下,沒有使能命令行計費功能,即計費服務器不會記錄用戶執行的命令行 · 命令行計費功能用來在HWTACACS服務器上記錄用戶對設備執行過的命令(隻要設備支持的命令,不管執行成功或者失敗都會記錄),以便集中監視、控製用戶對設備的操作。命令行計費功能生效後,如果沒有配命令行授權功能,用戶執行的每一條命令都會發送到HWTACACS服務器上做記錄;如果配置了命令行授權功能,則每一條授權成功的命令都會發送到HWTACACS服務器上做記錄。 · 需要注意的是,執行此命令後,命令行計費功能將立即生效,因此請先完成對AAA計費及AAA服務器的配置,再使能此功能 |
||
|
退出至係統視圖 |
quit |
- |
||
|
配置設備采用的認證方案 |
進入ISP域視圖 |
domain domain-name |
可選 缺省情況下,係統使用的AAA方案為local 如果采用local認證,則必須進行後續的本地用戶配置;如果采用RADIUS或者HWTACACS方式認證,則需進行如下配置: · 設備上的配置請參見“安全配置指導”中的“AAA配置” · AAA服務器上需要配置相關的用戶名和密碼,具體請參見服務器的指導書 |
|
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
|||
|
退出至係統視圖 |
quit |
|||
|
創建本地用戶(進入本地用戶視圖) |
local-user user-name |
缺省情況下,無本地用戶 |
||
|
設置本地認證口令 |
password { cipher | simple } password |
必選 缺省情況下,沒有配置本地認證口令 |
||
|
設置VTY用戶的命令級別 |
authorization-attribute level level |
可選 缺省情況下,命令級別為0 |
||
|
設置VTY用戶的服務類型 |
service-type telnet |
必選 缺省情況下,無用戶的服務類型 |
||
|
退出至係統視圖 |
quit |
- |
||
|
配置VTY用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.3.6 配置VTY用戶界麵的公共屬性(可選) |
||
使能命令行授權功能後,還需要進行如下配置才能保證命令行授權功能生效:
· 需要創建HWTACACS方案,在方案中指定授權服務器的IP地址以及授權過程的其它參數,詳細介紹請參見“安全配置指導”中的“AAA配置”。
· 需要在ISP域中引用已創建的HWTACACS方案,詳細介紹請參見“安全配置指導”中的“AAA配置”。
使能命令行計費功能後,還需要進行如下配置才能保證命令行計費功能生效:
· 需要創建HWTACACS方案,在方案中指定計費服務器的IP地址以及計費過程的其它參數,詳細介紹請參見“安全配置指導”中的“AAA配置”。
· 需要在ISP域中引用已創建的HWTACACS方案,詳細介紹請參見“安全配置指導”中的“AAA配置”。
需要注意的是用戶采用Scheme認證方式登錄設備時,其所能訪問的命令級別取決於AAA方案中定義的用戶級別。
· AAA方案為local認證時,用戶級別通過authorization-attribute level level命令設定。
· AAA方案為RADIUS或者HWTACACS方案認證時,在相應的RADIUS或者HWTACACS服務器上設定相應用戶的級別。
有關AAA、RADIUS、HWTACACS的詳細內容,請參見“安全配置指導”中的“AAA配置”的介紹。
配置完成後,當用戶再次通過Telnet登錄設備時:
· 設備將要求用戶輸入登錄用戶名和密碼,正確輸入用戶名和密碼並回車,登錄界麵中出現命令行提示符(如<H3C>)。
· 如果出現“All user interfaces are used, please try later!”的提示,表示當前Telnet到設備的用戶過多,則請稍候再連接。
表2-13 VTY用戶界麵的公共屬性配置
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
使能顯示版權信息 |
copyright-info enable |
可選 缺省情況下,顯示版權信息處於使能狀態 |
|
|
為Telnet Client指定業務報文源地址或源接口 |
telnet client source { ip ip-address | interface interface-type interface-number } |
可選 缺省情況下,沒有為Telnet Client指定源地址或源接口 |
|
|
創建VLAN接口並進入VLAN接口視圖 |
interface vlan-interface vlan-interface-id |
必選 如果該VLAN接口已經存在,則直接進入該VLAN接口視圖 |
|
|
配置VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } |
必選 缺省情況下,沒有配置VLAN接口的IP地址 |
|
|
退出至係統視圖 |
quit |
- |
|
|
進入一個或多個VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
|
|
VTY用戶界麵配置 |
啟動終端服務 |
shell |
可選 缺省情況下,在所有的用戶界麵上啟動終端服務 |
|
配置VTY用戶界麵支持的協議 |
protocol inbound { all | ssh | telnet } |
可選 缺省情況下,設備同時支持Telnet和SSH協議 使用該命令配置的協議將在用戶下次使用該用戶界麵登錄時生效
|
|
|
配置中止當前運行任務的快捷鍵 |
escape-key { default | character } |
可選 缺省情況下,鍵入<Ctrl+C>中止當前運行的任務 |
|
|
配置終端的顯示類型 |
terminal type { ansi | vt100 } |
可選 缺省情況下,終端顯示類型為ANSI |
|
|
設置終端屏幕一屏顯示的行數 |
screen-length screen-length |
可選 缺省情況下,終端屏幕一屏顯示的行數為24行 screen-length 0表示關閉分屏顯示功能 |
|
|
設置設備曆史命令緩衝區大小 |
history-command max-size value |
可選 缺省情況下,每個用戶的曆史緩衝區大小為10,即可存放10條曆史命令 |
|
|
設置VTY用戶界麵的超時時間 |
idle-timeout minutes [ seconds ] |
可選 缺省情況下,所有的用戶界麵的超時時間為10分鍾 如果10分鍾內某用戶界麵沒有用戶進行操作,則該用戶界麵將自動斷開 idle-timeout 0表示關閉用戶界麵的超時功能 |
|
|
設置從用戶界麵登錄後自動執行的命令 |
auto-execute command command |
可選 缺省情況下,未設定自動執行命令 配置自動執行命令後,用戶在登錄時,係統會自動執行已經配置好的命令,執行完命令後,自動斷開用戶連接。如果這條命令引發起了一個任務,係統會等這個任務執行完畢後再斷開連接。該命令通常用來配置Telnet命令,使用戶登錄時自動連接到指定的主機 |
|
· 使用auto-execute command命令後,可能導致用戶不能通過該終端線對本係統進行常規配置,需謹慎使用。
· 在配置auto-execute command命令並保存配置(執行save操作)之前,要確保可以通過其他VTY、AUX用戶登錄進來更改配置,以便出現問題後,能刪除該配置。
用戶已經成功登錄到了設備上,並希望將當前設備作為Telnet Client登錄到Telnet Server上進行操作。具體請參見圖2-7所示。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
如果Telnet Client與Telnet Server相連的端口不在同一子網內,請確保兩台設備間路由可達。
表2-14 設備作為Telnet Client登錄到Telnet Server的配置
|
操作 |
命令 |
說明 |
|
設備作為Telnet Client登錄到Telnet Server |
telnet remote-host [ service-port ] [ source { interface interface-type interface-number | ip ip-address } ] |
可選 此命令在用戶視圖下執行 |
配置完成後,設備即可登錄到相應的Telnet Server上。
SSH是Secure Shell(安全外殼)的簡稱。用戶通過一個不能保證安全的網絡環境遠程登錄到設備時,SSH可以利用加密和強大的認證功能提供安全保障,保護設備不受諸如IP地址欺詐、明文密碼截取等攻擊。設備支持SSH功能,用戶可以通過SSH方式登錄到設備上,對設備進行遠程管理和維護,如圖2-8所示。
表2-15 采用SSH方式登錄需要具備的條件
|
對象 |
需要具備的條件 |
|
SSH服務器端 |
配置設備VLAN接口的IP地址,設備與SSH用戶間路由可達 |
|
配置SSH登錄的認證方式和其它配置(根據SSH服務器端的情況而定) |
|
|
SSH客戶端 |
運行SSH程序 |
|
獲取要登錄設備VLAN接口的IP地址 |
設備充當SSH Client:
· 設備支持SSH Client功能:可作為SSH Client登錄到SSH Server上,從而對其進行操作。
· 缺省情況下,設備的SSH Client功能處於開啟狀態。
設備充當SSH Server:
· 設備支持SSH Server功能:可作為SSH Server,並可在設備上進行一係列的配置、實現對不同SSH Client的登錄權限的控製。
· 缺省情況下,設備的SSH Server功能處於關閉狀態,因此當您使用SSH方式登錄設備前,首先需要通過Console口登錄到設備上,開啟設備的SSH Server功能、對認證方式及其它屬性進行相應的配置,才能保證通過SSH方式正常登錄到設備。
本節將為您介紹:
· 設備充當SSH服務器端時:當用戶確定了今後通過SSH客戶端登錄設備、並已成功登錄到設備後,用戶如何在設備上配置SSH客戶端登錄設備時的認證方式及其它屬性,從而實現對SSH登錄用戶的控製和管理。
· 設備充當SSH客戶端時:設備SSH登錄到Server時的配置,具體請參見2.4.3 配置設備充當SSH客戶端登錄其它設備。
用戶已經成功登錄到了設備上,並希望以後通過SSH Client登錄設備。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
表2-16 設備充當SSH服務器時的配置
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
生成本地DSA或RSA密鑰對 |
public-key local create { dsa | rsa } |
必選 缺省情況下,沒有生成DSA和RSA密鑰對 |
|
使能SSH服務器功能 |
ssh server enable |
必選 缺省情況下,SSH服務器功能處於關閉狀態 |
|
進入VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
|
配置登錄用戶界麵的認證方式為scheme方式 |
authentication-mode scheme |
必選 缺省情況下,用戶界麵認證為password方式
|
|
配置所在用戶界麵支持SSH協議 |
protocol inbound { all | ssh | telnet } |
可選 缺省情況下,係統支持所有的協議,即支持Telnet和SSH FIPS模式下僅支持SSH協議 |
|
創建本地用戶(進入本地用戶視圖) |
local-user user-name |
必選 缺省情況下,沒有配置本地用戶 |
|
設置本地認證口令 |
password { cipher | simple } password |
必選 缺省情況下,沒有配置本地認證口令 |
|
設置VTY用戶的命令級別 |
authorization-attribute level level |
可選 缺省情況下,命令級別為0 |
|
設置VTY用戶的服務類型 |
service-type ssh |
必選 缺省情況下,無用戶的服務類型 |
|
退出至係統視圖 |
quit |
- |
|
建立SSH用戶,並指定SSH用戶的認證方式 |
ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname } |
必選 沒有配置SSH用戶及SSH用戶的認證方式 |
|
配置VTY用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.3.6 配置VTY用戶界麵的公共屬性(可選) |
關於SSH的詳細介紹及配置,請參見“安全配置指導”中的“SSH2.0配置”。
用戶已經成功登錄到了設備上,並希望將當前設備作為SSH Client登錄到其它設備上進行操作。具體請參見圖2-9所示。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
如果Telnet Client與Telnet Server相連的端口不在同一子網內,請確保兩台設備間路由可達。
表2-17 設備作為SSH Client登錄到其它設備的配置
|
操作 |
命令 |
說明 |
|
設備作為SSH Client登錄到SSH IPv4服務器端 |
ssh2 server |
必選 server:服務器IPv4地址或主機名稱,為1~20個字符的字符串,不區分大小寫 此命令在用戶視圖下執行 |
|
設備作為SSH Client登錄到SSH IPv6服務器端 |
ssh2 ipv6 server |
必選 server:服務器的IPv6地址或主機名稱,為1~46個字符的字符串,不區分大小寫。 |
配置完成後,設備即可登錄到相應的SSH Server上。
網絡管理員可以通過設備的Console口,利用一對Modem和PSTN(Public Switched Telephone Network,公共電話交換網)拔號登錄到設備上,對遠程設備進行管理和維護。這種登錄方式一般適用於在網絡中斷的情況下,利用PSTN網絡對設備進行遠程管理、維護及故障定位。
本節將為您介紹如何通過Modem登錄設備,並配置登錄時的認證方式、用戶級別及公共屬性,實現對Modem登錄用戶的控製。
本節將為您介紹:
· 設備支持Modem登錄認證方式及配置Modem登錄認證方式的意義、各種認證方式的特點及注意事項。具體請參見2.5.3 Modem撥號登錄的認證方式介紹。
· 當用戶確定了今後通過Modem登錄設備時將采用何種認證方式後、並通過缺省配置登錄到設備後,用戶如何在設備上配置Modem登錄設備時的認證方式及用戶級別,實現對Modem登錄用戶的控製和管理。具體請參見2.5.4 配置用戶通過Modem登錄設備時無需認證(None)(FIPS模式下不支持該方式)、2.5.5 配置用戶通過Modem登錄設備時采用密碼認證(Password)(FIPS模式下不支持該方式)及2.5.6 配置用戶通過Modem登錄設備時采用AAA認證(Scheme)。
· 配置通過Modem登錄設備時的公共屬性。具體請參見2.2.7 配置Console口登錄方式的公共屬性(可選)。
缺省情況下,用戶通過Modem登錄設備時,設備不需要任何登錄認證,缺省可以訪問命令級別為3級的命令。
通過Modem登錄設備的方法如下:
表2-18 通過Console口利用Modem撥號進行遠程登錄需要具備的條件
|
配置對象 |
需要具備的條件 |
|
網絡管理員端 |
PC終端與Modem正確連接 |
|
Modem與可正常使用的電話線正確相連 |
|
|
獲取了遠程設備端Console口所連Modem上對應的電話號碼 |
|
|
設備端 |
Console口與Modem正確連接 |
|
在Modem上進行了正確的配置 |
|
|
Modem與可正常使用的電話線正確相連 |
|
|
設備上配置了登錄用戶的認證方式、用戶級別及其它配置 |
(1) 如圖2-10所示,建立遠程配置環境,在PC機(或終端)的串口和設備的Console口分別掛接Modem。
(2) 網絡管理員端的相關配置。
PC終端與Modem正確連接、Modem與可正常使用的電話線正確相連、獲取了遠程設備端Console口所連Modem上對應的電話號碼。
利用Modem撥號進行遠程登錄時,使用的是AUX用戶界麵,設備上的配置需要注意以下幾點:
· Console口波特率Speed要低於Modem的傳輸速率,否則可能會出現丟包現象。
· Console口的校驗方式、停止位、數據位等均采用缺省值。
(3) 在與設備直接相連的Modem上進行以下配置。
AT&F-------------------------- Modem恢複出廠配置
ATS0=1------------------------ 配置自動應答(振鈴一聲)
AT&D-------------------------- 忽略DTR信號
AT&K0------------------------- 禁止流量控製
AT&R1------------------------- 忽略RTS信號
AT&S0------------------------- 強製DSR為高電平
ATEQ1&W----------------------- 禁止modem回送命令響應和執行結果並存儲配置
在配置後為了查看Modem的配置是否正確,可以輸入AT&V命令顯示配置的結果。
各種Modem配置命令及顯示的結果有可能不一樣,具體操作請參照Modem的說明書進行。
(4) 在PC機上運行終端仿真程序(如Windows XP/Windows 2000的超級終端等,以下配置以Windows XP為例),新建一個撥號連接(所撥號碼為與設備相連的Modem的電話號碼),與設備建立連接,如圖2-11至圖2-13所示。
如果您的PC使用的是Windows 2003 Server操作係統,請在Windows組件中添加超級終端程序後,再按照本文介紹的方式登錄和管理設備;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作係統,請您準備第三方的撥號控製軟件,使用方法請參照軟件的使用指導或聯機幫助。
(5) 在遠端通過終端仿真程序和Modem向設備撥號
圖2-12 撥號號碼配置
圖2-13 在遠端PC機上撥號
(6) 如果配置驗證方式為Password,在遠端的終端仿真程序上輸入已配置的登錄口令,出現命令行提示符(如<H3C>),即可對設備進行配置或管理。需要幫助可以隨時鍵入“?”,具體的配置命令請參考本手冊中相關模塊的內容。
(7) 當聽到撥號音後,超級終端窗口將返回字符串“CONNECT9600”,鍵入回車鍵之後將出現命令行提示符(如<H3C>),如圖2-14所示。
圖2-14 AUX登錄界麵
(8) 鍵入命令,配置設備或查看設備運行狀態。需要幫助可以隨時鍵入“?”,具體的配置命令請參考本手冊中相關部分的內容。
· 當您想斷開PC與遠端設備的連接時,首先在超級終端中用命用“ATH”命令斷開modem間的連接。如果在超級終端窗口無法輸入此命令,可輸入“AT+ + +”並回車,待窗口顯示“OK”提示後再輸入“ATH”命令,屏幕再次顯示“OK”提示,表示已斷開本次連接。您也可以使用超級終端頁麵提供的掛斷按扭
斷開PC與遠端設備的連接。
· 當您使用完超級終端仿真程序後,務必要先斷開PC與遠端設備的連接,不能直接關閉超級終端,否則有些型號的遠程modem將一直在線,下次撥號連接時將無法撥號成功。
通過在AUX用戶界麵下配置認證方式,可以對使用Modem撥號登錄的用戶進行限製,以提高設備的安全性。Modem撥號支持的認證方式有none、password和scheme三種。
· 認證方式為none:表示下次使用Modem撥號登錄設備時,不需要進行用戶名和密碼認證、任何人都可以通過Modem撥號登錄到設備上,這種情況可能會帶來安全隱患。
· 認證方式為password:表示下次使用Modem撥號登錄設備時,需要進行密碼認證、隻有密碼認證成功、用戶才能登錄到設備上。配置認證方式為password後,請妥善保存密碼,如果密碼丟失,可以使用Modem撥號登錄到交換機設備,對Modem撥號的密碼配置進行查看或修改。
· 認證方式為scheme:表示下次使用Modem撥號登錄設備時需要進行用戶名和密碼認證,用戶名或密碼錯誤,均會導致登錄失敗。用戶認證又分為本地認證和遠程認證,如果采用本地認證,則需要配置本地用戶及相應參數;如果采用遠程認證,則需要在遠程認證服務器上配置用戶名和密碼。有關用戶認證方式及參數的詳細介紹請參見“安全配置指導”中的“AAA配置”。配置認證方式為scheme後,請妥善保存用戶名及密碼,如果本地認證密碼丟失,可以使用Modem撥號登錄到交換機設備,對Modem撥號的密碼配置進行查看或修改。如果遠程認證密碼丟失,建議您聯係服務器管理員。
不同的認證方式下,Modem撥號登錄方式需要進行的配置不同,具體配置如表2-19所示。
|
認證方式 |
認證所需配置 |
說明 |
||
|
None |
設置登錄用戶的認證方式為不認證 |
具體內容請參見2.5.4 |
||
|
Password |
設置登錄用戶的認證方式為Password認證 |
具體內容請參見2.5.5 |
||
|
設置本地驗證的口令 |
||||
|
Scheme |
設置登錄用戶的認證方式為Scheme認證 |
具體內容請參見2.5.6 |
||
|
選擇認證方案 |
采用遠端AAA服務器認證 |
在設備上配置RADIUS/HWTACACS方案 |
||
|
在設備上配置域使用的AAA方案 |
||||
|
在AAA服務器上配置相關的用戶名和密碼 |
||||
|
采用本地認證 |
在設備上配置認證用戶名和密碼 |
|||
|
在設備上配置域使用的AAA方案為本地認證 |
||||
改變Modem撥號登錄方式的認證方式後,該認證方式的設置不會立即生效。用戶需要退出命令行接口後重新登錄,該設置才會生效。
用戶已經成功登錄到了設備上,並希望以後通過Modem撥號登錄設備時無需進行認證。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
表2-20 配置用戶通過Modem撥號登錄設備時無需認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
設置登錄用戶的認證方式為不認證 |
authentication-mode none |
必選 缺省情況下,用戶通過Modem撥號登錄,認證方式為none(即不需要進行認證) |
|
配置AUX用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.5.7 配置AUX用戶界麵的公共屬性(可選) |
配置完成後,當用戶再次通過Modem撥號登錄設備時,設備將提示用戶鍵入回車,之後將出現命令行提示符(如<H3C>)。
用戶已經成功登錄到了設備上,並希望以後通過Modem撥號登錄設備時采用密碼認證、以提高設備的安全性。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
表2-21 配置用戶通過Modem撥號登錄設備時采用密碼認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
設置登錄用戶的認證方式為本地口令認證 |
authentication-mode password |
必選 缺省情況下,用戶通過Modem登錄,認證方式為none(即不需要進行認證) |
|
設置本地驗證的口令 |
set authentication password [ hash ] { cipher | simple } password |
必選 缺省情況下,沒有設置本地認證的口令 |
|
配置AUX用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.5.7 配置AUX用戶界麵的公共屬性(可選) |
配置完成後,當用戶再次通過Modem撥號登錄設備時,鍵入回車後,設備將要求用戶輸入登錄密碼,正確輸入登錄密碼並回車,登錄界麵中出現命令行提示符(如<H3C>)。
用戶已經成功的登錄到了設備上,並希望以後通過Modem撥號登錄設備時采用AAA認證、以提高設備的安全性。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
表2-22 配置用戶通過Modem撥號登錄設備時采用AAA認證
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
|
設置登錄用戶的認證方式為通過認證方案認證 |
authentication-mode scheme |
必選 具體采用本地認證還是RADIUS認證、HWTACACS認證視AAA方案配置而定 缺省情況下,用戶通過AUX口登錄,認證方式為none(即不需要進行認證) |
|
|
使能命令行授權功能 |
command authorization |
可選 缺省情況下,沒有使能命令行授權功能,即用戶登錄後執行命令行不需要授權 · 缺省情況下,用戶登錄設備後可以使用的命令行由用戶級別決定,用戶隻能使用缺省級別等於/低於用戶級別的命令行。配置命令行授權功能後,用戶可使用的命令行將受到用戶級別和AAA授權的雙重限製。即便是足夠級別的用戶每執行一條命令都會進行授權檢查,隻有授權成功的命令才被允許執行。 · 需要注意的是,執行此命令後,命令行授權功能將立即生效,此後執行的命令都要經過AAA授權後才能執行成功,因此請先完成對AAA授權及AAA服務器的配置,再使能此功能 |
|
|
使能命令行計費功能 |
command accounting |
可選 缺省情況下,沒有使能命令行計費功能,即計費服務器不會記錄用戶執行的命令行 · 命令行計費功能用來在HWTACACS服務器上記錄用戶對設備執行過的命令(隻要設備支持的命令,不管執行成功或者失敗都會記錄),以便集中監視、控製用戶對設備的操作。命令行計費功能生效後,如果沒有配命令行授權功能,用戶執行的每一條命令都會發送到HWTACACS服務器上做記錄;如果配置了命令行授權功能,則每一條授權成功的命令都會發送到HWTACACS服務器上做記錄。 · 需要注意的是,執行此命令後,命令行計費功能將立即生效,因此請先完成對AAA計費及AAA服務器的配置,再使能此功能 |
|
|
退出至係統視圖 |
quit |
- |
|
|
配置設備采用的認證方案 |
進入ISP域視圖 |
domain domain-name |
可選 缺省情況下,係統使用的AAA方案為local 如果采用local認證,則必須進行後續的本地用戶配置;如果采用RADIUS或者HWTACACS方式認證,則需進行如下配置: · 設備上的RADIUS、HWTACACS方案配置請參見“安全配置指導”中的“AAA配置” · AAA服務器上需要配置相關的用戶名和密碼,具體請參見服務器的指導書 |
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
||
|
退出至係統視圖 |
quit |
||
|
創建本地用戶(進入本地用戶視圖) |
local-user user-name |
必選 缺省情況下,無本地用戶 |
|
|
設置本地用戶認證口令 |
非FIPS模式下: password [ [ hash ] { cipher | simple } password ] FIPS模式下: password |
必選 |
|
|
設置本地用戶的命令級別 |
authorization-attribute level level |
可選 缺省情況下,命令級別為0 |
|
|
設置本地用戶的服務類型 |
service-type terminal |
必選 缺省情況下,無用戶服務類型 |
|
|
配置AUX用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.5.7 配置AUX用戶界麵的公共屬性(可選) |
|
使能命令行授權功能後,還需要進行如下配置才能保證命令行授權功能生效:
· 需要創建HWTACACS方案,在方案中指定授權服務器的IP地址以及授權過程的其它參數,詳細介紹請參見“安全配置指導”中的“AAA配置”。
· 需要在ISP域中引用已創建的HWTACACS方案,詳細介紹請參見“安全配置指導”中的“AAA配置”。
使能命令行計費功能後,還需要進行如下配置才能保證命令行計費功能生效:
· 需要創建HWTACACS方案,在方案中指定計費服務器的IP地址以及計費過程的其它參數,詳細介紹請參見“安全配置指導”中的“AAA配置”。
· 需要在ISP域中引用已創建的HWTACACS方案,詳細介紹請參見“安全配置指導”中的“AAA配置”。
需要注意的是用戶采用Scheme認證方式登錄設備時,其所能訪問的命令級別取決於AAA方案中定義的用戶級別。
· AAA方案為local認證時,用戶級別通過authorization-attribute level level命令設定。
· AAA方案為RADIUS或者HWTACACS方案認證時,在相應的RADIUS或者HWTACACS服務器上設定相應用戶的級別。
有關AAA、RADIUS、HWTACACS的詳細內容,請參見“安全配置指導”中的“AAA配置”的介紹。
配置完成後,當用戶再次通過Modem撥號登錄設備時,鍵入回車後,設備將要求用戶輸入登錄用戶名和密碼,正確輸入用戶名和密碼並回車,登錄界麵中出現命令行提示符(如<H3C>)。
表2-23 AUX用戶界麵的公共屬性配置
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
使能顯示版權信息 |
copyright-info enable |
可選 缺省情況下,顯示版權信息處於使能狀態 |
|
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
|
配置AUX口的屬性 |
配置傳輸速率 |
speed speed-value |
可選 缺省情況下,傳輸速率為9600bit/s 傳輸速率為設備與訪問終端之間每秒鍾傳送的比特的個數 |
|
配置校驗方式 |
parity { even | mark | none | odd | space } |
可選 缺省情況下,校驗方式為none,即不進行校驗 |
|
|
配置停止位 |
stopbits { 1 | 1.5 | 2 } |
可選 缺省情況下,停止位為1 停止位用來表示單個包的結束。停止位的位數越多,傳輸效率越低 |
|
|
配置數據位 |
databits { 5 | 6 | 7 | 8 } |
可選 缺省情況下,數據位為8位 數據位的設置取決於需要傳送的信息。比如,如果傳送的是標準的ASCII碼,則可以將數據位設置為7,如果傳輸的是擴展的ASCII碼,則需要將數據位設置為8 |
|
|
配置啟動終端會話的快捷鍵 |
activation-key character |
可選 缺省情況下,按<Enter>鍵啟動終端會話 |
|
|
配置中止當前運行任務的快捷鍵 |
escape-key { default | character } |
可選 缺省情況下,鍵入<Ctrl+C>中止當前運行的任務 |
|
|
配置流量控製方式 |
flow-control { hardware | none | software } |
可選 缺省情況下,流量控製方式為none |
|
|
配置終端的顯示類型 |
terminal type { ansi | vt100 } |
可選 缺省情況下,終端顯示類型為ANSI 當設備的終端類型與客戶端(如超級終端或者Telnet客戶端等)的終端類型不一致,或者均設置為ANSI,並且當前編輯的命令行的總字符數超過80個字符時,客戶端會出現光標錯位、終端屏幕不能正常顯示的現象。建議兩端都設置為VT100類型 |
|
|
設置用戶登錄後可以訪問的命令級別 |
user privilege level level |
可選 缺省情況下,從AUX用戶界麵登錄後可以訪問的命令級別為3級 FIPS模式下不支持該命令 |
|
|
設置終端屏幕一屏顯示的行數 |
screen-length screen-length |
可選 缺省情況下,終端屏幕一屏顯示的行數為24行 screen-length 0表示關閉分屏顯示功能 |
|
|
設置曆史命令緩衝區大小 |
history-command max-size value |
可選 缺省情況下,每個用戶的曆史緩衝區的大小為10,即可存放10條曆史命令 |
|
|
設置用戶界麵的超時時間 |
idle-timeout minutes [ seconds ] |
可選 缺省情況下,所有的用戶界麵的超時時間為10分鍾,如果10分鍾內某用戶界麵沒有用戶進行操作,則該用戶界麵將自動斷開 idle-timeout 0表示關閉用戶界麵的超時功能 |
|
· 改變Console口屬性後會立即生效,通過Console口登錄來配置Console口屬性可能在配置過程中發生連接中斷,建議通過其他登錄方式來配置Console口屬性。若用戶需要通過Console口再次登錄設備,需要改變PC機上運行的終端仿真程序的相應配置,使之與設備上配置的Console口屬性保持一致。
· Console口波特率Speed要低於Modem的傳輸速率,否則可能會出現丟包現象。
表2-24 CLI顯示和維護
|
操作 |
命令 |
說明 |
|
顯示當前為Telnet Client設置的源IP地址或源接口的信息 |
display telnet client configuration [ | { begin | exclude | include } regular-expression ] |
在任意視圖下執行 |
|
顯示當前正在使用的用戶界麵以及用戶的相關信息 |
display users [ | { begin | exclude | include } regular-expression ] |
在任意視圖下執行 |
|
顯示設備支持的所有用戶界麵以及用戶的相關信息 |
display users all [ | { begin | exclude | include } regular-expression ] |
在任意視圖下執行 |
|
顯示用戶界麵的相關信息 |
display user-interface [ num1 | { aux | vty } num2 ] [ summary ] [ | { begin | exclude | include } regular-expression ] |
在任意視圖下執行 |
|
釋放指定的用戶界麵 |
free user-interface { num1 | { aux | vty } num2 } |
在用戶視圖下執行 係統支持多個用戶同時對設備進行配置,當管理員在維護設備時,其他在線用戶的配置影響到管理員的操作,或者管理員正在進行一些重要配置不想被其他用戶幹擾時,可以使用以下命令強製斷開該用戶的連接。 不能使用該命令釋放用戶當前自己使用的連接。 |
|
鎖住當前用戶界麵 |
lock |
在用戶視圖下執行 缺省情況下,不鎖住當前用戶界麵 FIPS模式下不支持該命令 |
|
設置在用戶界麵之間傳遞消息 |
send { all | num1 | { aux | vty } num2 } |
在用戶視圖下執行 |
為了方便您對網絡設備進行配置和維護,設備提供Web網管功能。設備提供一個內置的Web服務器,您可以通過PC登錄到設備上,使用Web界麵直觀地配置和維護設備。
缺省情況下,用戶不能通過Web登錄到設備上,如果要使用Web登錄設備,您首先需要通過Console口登錄到設備上,開啟設備的Web登錄功能(開啟HTTP或HTTPS協議),並配置設備VLAN接口的IP地址、Web登錄用戶及認證口令等,配置完成後,您即可使用Web網管的方式登錄設備。
· HTTP登錄方式:HTTP是Hypertext Transfer Protocol(超文本傳輸協議)的簡稱。它用來在Internet上傳遞Web頁麵信息。HTTP位於TCP/IP協議棧的應用層。傳輸層采用麵向連接的TCP。目前,設備支持的HTTP協議版本為HTTP/1.0。
· HTTPS登錄方式:HTTPS(Secure HTTP,安全的HTTP)是支持SSL(Secure Sockets Layer,安全套接層)協議的HTTP協議。HTTPS通過SSL協議,使客戶端與設備之間交互的數據經過加密處理,並為設備製定基於證書屬性的訪問控製策略,提高了數據傳輸的安全性和完整性,保證合法客戶端可以安全地訪問設備,禁止非法的客戶端訪問設備,從而實現了對設備的安全管理。
表3-1 通過Web登錄設備需要具備的條件
|
對象 |
需要具備的條件 |
|
|
設備 |
配置設備VLAN的IP地址,設備與Web登錄用戶間路由可達 |
|
|
配置Web登錄用戶的屬性 二者必選其一 |
HTTP方式配置 |
|
|
HTTPS方式配置 |
||
|
Web登錄用戶 |
運行Web瀏覽器 |
|
|
獲取要登錄設備VLAN接口的IP地址 |
||
本節將為您介紹如何通過Web登錄設備,並配置通過Web登錄時的認證方式及用戶級別等,實現對Web登錄用戶的控製。
表3-2 配置通過HTTP方式登錄設備
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
啟動HTTP服務器 |
ip http enable |
必選 缺省情況下,Web服務器為啟動狀態 |
|
配置HTTP服務的端口號 |
ip http port port-number |
可選 缺省情況下,HTTP服務的端口號為80 如果重複執行此命令,HTTP服務將使用最後一次配置的端口號 |
|
配置HTTP服務與ACL關聯 |
ip http acl acl-number |
可選 缺省情況下,沒有ACL與HTTP服務關聯 通過將HTTP服務與ACL關聯,可以過濾掉來自某些客戶端的請求,隻允許通過ACL過濾的客戶端訪問設備 |
|
設置Web登錄用戶連接的超時時間 |
web idle-timeout minutes |
可選 |
|
設置Web日誌緩衝區容量 |
web logbuffer size pieces |
可選 |
|
創建本地用戶(進入本地用戶視圖) |
local-user user-name |
必選 缺省情況下,無本地用戶 |
|
配置本地認證口令 |
password { cipher | simple } password |
必選 缺省情況下,無本地認證口令 |
|
配置Web登錄的用戶級別 |
authorization-attribute level level |
必選 缺省情況下,沒有配置Web登錄的用戶級別 |
|
配置Web登錄用戶的服務類型 |
service-type web |
必選 缺省情況下,沒有配置用戶的服務類型 |
|
退出至係統視圖 |
quit |
- |
|
創建VLAN接口並進入VLAN接口視圖 |
interface vlan-interface vlan-interface-id |
必選 如果該VLAN接口已經存在,則直接進入該VLAN接口視圖 |
|
配置VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } |
必選 缺省情況下,沒有配置VLAN接口的IP地址 |
表3-3 配置通過HTTPS方式登錄設備
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置PKI和SSL的相關特性 |
· 有關PKI的詳細內容,請參見“安全配置指導”中的“PKI配置”的介紹 · 有關SSL的詳細內容,請參見“安全配置指導”中的“SSL配置”的介紹 |
必選 缺省情況下,沒有對PKI和SSL進行配置 |
|
配置HTTPS服務與SSL服務器端策略關聯 |
ip https ssl-server-policy policy-name |
必選 缺省情況下,沒有SSL服務器端策略與HTTPS服務關聯 · 關閉HTTPS服務後,係統將自動取消HTTPS服務與SSL服務器端策略的關聯。再次使能HTTPS服務之前,需要重新配置HTTPS服務與SSL服務器端策略關聯 · HTTPS服務處於使能狀態時,對與其關聯的SSL服務器端策略進行的修改不會生效 |
|
配置HTTPS服務與證書屬性訪問控製策略關聯 |
ip https certificate access-control-policy policy-name |
可選 缺省情況下,沒有證書屬性訪問控製策略與HTTPS服務關聯 · 通過將HTTPS服務與已配置的客戶端證書屬性訪問控製策略關聯,可以實現對客戶端的訪問權限進行控製,進一步保證設備的安全性 · 如果配置HTTPS服務與證書屬性訪問控製策略關聯,則必須同時在與HTTPS服務關聯的SSL服務器端策略中配置client-verify enable命令,否則,客戶端無法登錄設備。 · 如果配置HTTPS服務與證書屬性訪問控製策略關聯,則證書屬性訪問控製策略中必須至少包括一條permit規則,否則任何HTTPS客戶端都無法登錄設備。 · 證書屬性訪問控製策略的詳細介紹請參見“安全配置指導”中的“PKI配置” |
|
使能HTTPS服務 |
ip https enable |
必選 缺省情況下,HTTPS服務處於關閉狀態 使能HTTPS服務,會觸發SSL的握手協商過程。在SSL握手協商過程中,如果設備的本地證書已經存在,則SSL協商可以成功,HTTPS服務可以正常啟動;如果設備的本地證書不存在,則SSL協商過程會觸發證書申請流程。由於證書申請需要較長的時間,會導致SSL協商不成功,從而無法正常啟動HTTPS服務。因此,在這種情況下,需要多次執行ip https enable命令,這樣HTTPS服務才能正常啟動 |
|
配置HTTPS服務的端口 |
ip https port port-number |
可選 缺省情況下,HTTPS服務的端口號為443 |
|
配置HTTPS服務與ACL關聯 |
ip https acl acl-number |
可選 缺省情況下,沒有ACL與HTTPS服務關聯 通過將HTTP服務與ACL關聯,可以過濾掉來自某些客戶端的請求,隻允許通過ACL過濾的客戶端訪問設備 |
|
設置Web登錄用戶連接的超時時間 |
web idle-timeout minutes |
可選 |
|
設置Web日誌緩衝區容量 |
web logbuffer size pieces |
可選 |
|
創建本地用戶(進入本地用戶視圖) |
local-user user-name |
必選 缺省情況下,無本地用戶 |
|
配置本地認證口令 |
password { cipher | simple } password |
必選 缺省情況下,無本地認證口令 |
|
配置Web登錄的用戶級別 |
authorization-attribute level level |
必選 缺省情況下,沒有配置Web登錄的用戶級別 |
|
配置Web登錄用戶的服務類型 |
service-type web |
必選 缺省情況下,沒有配置用戶的服務類型 |
|
退出至係統視圖 |
quit |
- |
|
創建VLAN接口並進入VLAN接口視圖 |
interface vlan-interface vlan-interface-id |
必選 如果該VLAN接口已經存在,則直接進入該VLAN接口視圖 |
|
配置VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } |
必選 缺省情況下,沒有配置VLAN接口的IP地址 |
在完成上述配置後,在任意視圖下執行display命令可以顯示Web用戶的信息,通過查看顯示信息驗證配置的效果。
表3-4 Web用戶顯示
|
操作 |
命令 |
|
顯示Web用戶的相關信息 |
display web users [ | { begin | exclude | include } regular-expression ] |
|
顯示HTTP的狀態信息 |
display ip http [ | { begin | exclude | include } regular-expression ] |
|
顯示HTTPS的狀態信息 |
display ip https [ | { begin | exclude | include } regular-expression ] |
PC與設備通過以太網相連,設備的IP地址為192.168.0.58/24。
圖3-1 配置NMS登錄組網圖
(2) 設備側配置
# 通過Console口正確配置設備VLAN 1(VLAN 1為設備的缺省VLAN)接口的IP地址為192.168.0.58,子網掩碼為255.255.255.0。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-VLAN-interface1] ip address 192.168.0.58 255.255.255.0
[Sysname-VLAN-interface1] quit
# 配置Web網管用戶名為admin,認證口令為admin,用戶級別為3級。
[Sysname] local-user admin
[Sysname-luser-admin] service-type web
[Sysname-luser-admin] authorization-attribute level 3
[Sysname-luser-admin] password simple admin
(1) 客戶端配置
# 在PC的瀏覽器地址欄內輸入設備的IP地址(此處設備的IP地址以192.168.0.58為例)並回車,瀏覽器將顯示Web網管的登錄頁麵,如圖3-2所示:
圖3-2 通過Web登錄設備
# 在“Web網管用戶登錄”對話框中輸入用戶名、密碼及驗證碼,並選擇登錄使用的語言,點擊<登錄>按鈕後即可登錄,顯示Web網管初始頁麵。成功登錄後,您可以在配置區對設備進行各種配置。
用戶可以通過Web頁麵訪問和控製設備。為了防止非法用戶訪問和控製設備,提高設備管理的安全性,設備要求用戶以HTTPS(HTTP Security,支持SSL協議的HTTP)的方式登錄Web頁麵,利用SSL協議實現用戶身份驗證,並保證傳輸的數據不被竊聽和篡改。
為了滿足上述需求,需要進行如下配置:
· 配置Device作為HTTPS服務器,並為Device申請證書。
· 為HTTPS客戶端Host申請證書,以便Device驗證其身份。
其中,負責為Device和Host頒發證書的CA(Certificate Authority,認證機構)名稱為new-ca。
l 本配置舉例中,采用Windows Server作為CA。在CA上需要安裝SCEP(Simple Certificate Enrollment Protocol,簡單證書注冊協議)插件。
l 進行下麵的配置之前,需要確保Device、Host、CA之間路由可達。
圖3-3 HTTPS配置組網圖
(1) 配置HTTPS服務器Device
# 配置PKI實體en,指定實體的通用名為http-server1、FQDN為ssl.security.com。
<Device> system-view
[Device] pki entity en
[Device-pki-entity-en] common-name http-server1
[Device-pki-entity-en] fqdn ssl.security.com
[Device-pki-entity-en] quit
# 配置PKI域1,指定信任的CA名稱為new-ca、注冊服務器的URL為http://10.1.2.2/certsrv/mscep/mscep.dll、證書申請的注冊受理機構為RA、實體名稱為en。
[Device] pki domain 1
[Device-pki-domain-1] ca identifier new-ca
[Device-pki-domain-1] certificate request url http://10.1.2.2/certsrv/mscep/mscep.dll
[Device-pki-domain-1] certificate request from ra
[Device-pki-domain-1] certificate request entity en
[Device-pki-domain-1] quit
# 生成本地的RSA密鑰對。
[Device] public-key loc al create rsa
# 獲取CA的證書。
[Device] pki retrieval-certificate ca domain 1
# 為Device申請證書。
[Device] pki request-certificate domain 1
# 創建SSL服務器端策略myssl,指定該策略使用PKI域1,並配置服務器端需要驗證客戶端身份。
[Device] ssl server-policy myssl
[Device-ssl-server-policy-myssl] pki-domain 1
[Device-ssl-server-policy-myssl] client-verify enable
[Device-ssl-server-policy-myssl] quit
# 創建證書屬性組mygroup1,並配置證書屬性規則,該規則規定證書頒發者的DN(Distinguished Name,可識別名稱)中包含new-ca。
[Device] pki certificate attribute-group mygroup1
[Device-pki-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca
[Device-pki-cert-attribute-group-mygroup1] quit
# 創建證書訪問控製策略myacp,並建立控製規則,該規則規定隻有由new-ca頒發的證書可以通過證書訪問控製策略的檢測。
[Device] pki certificate access-control-policy myacp
[Device-pki-cert-acp-myacp] rule 1 permit mygroup1
[Device-pki-cert-acp-myacp] quit
# 配置HTTPS服務與SSL服務器端策略myssl關聯。
[Device] ip https ssl-server-policy myssl
# 配置HTTPS服務與證書屬性訪問控製策略myacp關聯,確保隻有從new-ca獲取證書的HTTPS客戶端可以訪問HTTPS服務器。
[Device] ip https certificate access-control-policy myacp
# 使能HTTPS服務。
[Device] ip https enable
# 創建本地用戶usera,密碼為123,服務類型為telnet。
[Device] local-user usera
[Device-luser-usera] password simple 123
[Device-luser-usera] service-type web
(2) 配置HTTPS客戶端Host
在Host上打開IE瀏覽器,輸入網址http://10.1.2.2/certsrv,根據提示為Host申請證書。
(3) 驗證配置結果
在Host上打開IE瀏覽器,輸入網址https://10.1.1.1,選擇new-ca為Host頒發的證書,即可打開Device的Web登錄頁麵。在登錄頁麵,輸入用戶名usera,密碼123,則可進入Device的Web配置頁麵,實現對Device的訪問和控製。
l HTTPS服務器的URL地址以“https://”開始,HTTP服務器的URL地址以“http://”開始。
l PKI配置命令的詳細介紹請參見“安全命令參考”中的“PKI配置命令”;
l public-key local create rsa命令的詳細介紹請參見“安全命令參考”中的“公鑰管理”;
l SSL配置命令的詳細介紹請參見“安全命令參考”中的“SSL配置命令”。
用戶可通過NMS(Network Management Station,網管工作站)登錄到設備上,通過設備上的Agent模塊對設備進行管理、配置。設備支持多種NMS軟件,如iMC。
缺省情況下,用戶不能通過NMS登錄到設備上,如果要使用NMS登錄設備,您首先需要通過Console口登錄到設備上,在設備上進行相關配置。配置完成後,您即可使用NMS網管的方式登錄設備。
表4-1 通過NMS登錄設備需要具備的條件
|
對象 |
需要具備的條件 |
|
設備 |
配置設備VLAN接口的IP地址,設備與NMS間路由可達 |
|
配置SNMP基本功能 |
|
|
NMS(網管工作站) |
NMS網管工作站進行了正確配置,具體配置請參見NMS附帶的網管手冊 |
建立配置環境,將PC機以太網口通過網絡與設備VLAN1下的以太網口連接,確保PC機和VLAN1接口之間路由可達。
圖4-1 通過NMS方式登錄組網環境
表4-2 配置SNMP基本參數(SNMP v3版本)
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
啟動SNMP Agent服務 |
snmp-agent |
可選 缺省情況下,SNMP Agent服務處於關閉狀態 執行此命令或執行snmp-agent的任何一條配置命令(不含display命令),都可以啟動SNMP Agent |
|
配置SNMP組 |
snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
必選 缺省情況下,沒有配置SNMP組 |
|
為SNMP組添加新用戶 |
snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ] |
必選 如果使用cipher參數,則後麵的auth-password和priv-password都將被視為密文密碼 |
表4-3 配置SNMP基本參數(SNMP v1版本、SNMP v2c版本)
|
操作 |
命令 |
說明 |
||
|
進入係統視圖 |
system-view |
- |
||
|
啟動SNMP Agent服務 |
snmp-agent |
可選 缺省情況下,SNMP Agent服務處於關閉狀態。 執行此命令或執行snmp-agent的任何一條配置命令,都可以啟動SNMP Agent |
||
|
創建或更新MIB視圖內容 |
snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ] |
可選 缺省情況下,視圖名為ViewDefault,OID為1 |
||
|
設置訪問權限 |
直接設置 |
創建一個新的SNMP團體 |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]* |
二者必選其一 直接設置是以SNMP v1和v2c版本的團體名進行設置 間接設置采用與SNMP v3版本一致的命令形式,添加的用戶到指定的組,即相當於SNMP v1和SNMP v2c版本的團體名,在NMS上配置的團體名需要跟Agent上配置的用戶名一致 |
|
間接設置 |
設置一個SNMP組 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
||
|
為一個SNMP組添加一個新用戶 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] |
|||
設備支持SNMP v1、SNMP v2c和SNMP v3三種版本,關於SNMP的詳細介紹及配置,請參見“網絡管理和監控配置指導”中的“SNMP配置”介紹。
通過NMS登錄設備的方法如下(此處以iMC為例):
(1) 設備配置
# 配置設備的IP地址為1.1.1.1/24,並確保設備與NMS之間路由可達。(配置步驟略)
# 進入係統視圖。
<Sysname> system-view
# 啟動SNMP Agent服務。
[Sysname] snmp-agent
# 配置SNMP組。
[Sysname] snmp-agent group v3 managev3group read-view test write-view test
# 為SNMP組添加新用戶
[Sysname] snmp-agent usm-user v3 managev3user managev3group
(1) 配置NMS
用戶可利用網管係統完成對設備的查詢和配置操作,具體情況請參考NMS的配套手冊。
NMS側的配置必須和設備側保持一致,否則無法進行相應操作。
(2) 配置客戶端
在PC的瀏覽器地址欄內輸入iMC的IP地址,假設iMC的IP地址為192.168.4.112,在地址欄中輸入http://192.168.4.112:8080/imc(IP地址和端口號應與實際安裝環境保持一致)。
在登錄頁麵中,輸入正確的操作員和密碼後單擊<登錄>按鈕,即可進入係統首頁。
成功登錄後,您可以選擇相應選項對設備進行各種配置和管理。需要幫助可以隨時點擊登錄頁麵右上角的“幫助”選項獲得相應功能的幫助信息。
通過以上配置,NMS可以和設備建立SNMP連接,能夠通過MIB節點查詢、設置設備上某些參數的值。
設備提供對不同登錄方式進行控製,如表5-1所示。
|
登錄方式 |
控製方式 |
實現方法 |
相關小節 |
|
Telnet |
通過源IP對Telnet進行控製 |
通過基本ACL實現 |
|
|
通過源IP、目的IP對Telnet進行控製 |
通過高級ACL實現 |
||
|
通過源MAC對Telnet進行控製 |
通過二層ACL實現 |
||
|
SNMP |
通過源IP對網管用戶進行控製 |
通過基本ACL實現 |
|
|
Web |
通過源IP對Web用戶進行控製 |
通過基本ACL實現 |
確定了對Telnet的控製策略,包括對哪些源IP、目的IP、源MAC進行控製,控製的動作是允許訪問還是拒絕訪問。
本配置需要通過基本訪問控製列表實現。基本訪問控製列表的序號取值範圍為2000~2999。關於ACL的定義請參見“ACL和QoS配置指導”中的“ACL配置”的相關內容。
表5-2 通過源IP對Telnet進行控製
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入基本ACL視圖 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必選 |
|
退出ACL視圖 |
quit |
- |
|
進入用戶界麵視圖 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用訪問控製列表,通過源IP對Telnet進行控製 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必選 inbound:對Telnet到本設備的用戶進行ACL控製 outbound:對從本設備Telnet到其他Telnet服務器的用戶進行ACL控製 |
本配置需要通過高級訪問控製列表實現。高級訪問控製列表的序號取值範圍為3000~3999。關於ACL的定義請參見“ACL和QoS配置指導”中的“ACL配置”的相關內容。
表5-3 配置高級ACL規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入高級ACL視圖 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { permit | deny } rule-string |
必選 用戶可以根據需要配置對相應的源IP、目的IP進行過濾的規則 |
|
退出ACL視圖 |
quit |
- |
|
進入用戶界麵視圖 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用訪問控製列表,通過源IP、目的IP對Telnet進行控製 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必選 inbound:對Telnet到本設備的用戶進行ACL控製 outbound:對從本設備Telnet到其他Telnet服務器的用戶進行ACL控製 |
本配置需要通過二層訪問控製列表實現。二層訪問控製列表的序號取值範圍為4000~4999。關於ACL的定義請參見“ACL和QoS配置指導”中的“ACL配置”的相關內容。
表5-4 配置二層ACL規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入高級ACL視圖 |
acl number acl-number [ match-order { config | auto } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { permit | deny } rule-string |
必選 用戶可以根據需要配置對相應的源MAC進行過濾的規則 |
|
退出ACL視圖 |
quit |
- |
|
進入用戶界麵視圖 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用訪問控製列表,通過源MAC對Telnet進行控製 |
acl acl-number inbound |
必選 inbound:對Telnet到本設備的用戶進行ACL控製 |
二層訪問控製列表對於Telnet Client的源IP與Telnet服務器的接口IP不在同一網段的不生效。
通過源IP對Telnet進行控製,僅允許來自10.110.100.52和10.110.100.46的Telnet用戶訪問設備。
圖5-1 對Device的Telnet用戶進行ACL控製
# 定義基本訪問控製列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用訪問控製列表,允許源地址為10.110.100.52和10.110.100.46的Telnet用戶訪問設備。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] acl 2000 inbound
設備支持通過網管軟件進行遠程管理。網管用戶可以通過SNMP訪問設備。通過引用訪問控製列表,可以對訪問設備的SNMP用戶進行控製。
確定了對網管用戶的控製策略,包括對哪些源IP進行控製,控製的動作是允許訪問還是拒絕訪問。
本配置需要通過基本訪問控製列表實現。基本訪問控製列表的序號取值範圍為2000~2999。關於ACL的定義請參見“ACL和QoS配置指導”中的“ACL配置”的相關內容。
表5-5 通過源IP對網管用戶進行控製
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入基本ACL視圖 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必選 |
|
退出ACL視圖 |
quit |
- |
|
在配置SNMP團體名的命令中引用訪問控製列表 |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]* |
必選 根據網管用戶運行的SNMP版本及配置習慣,可以在團體名、組名或者用戶名配置時引用訪問控製列表,詳細介紹請參見“網絡管理和監控配置指導”中的“SNMP配置”的相關內容 |
|
在配置SNMP組名的命令中引用訪問控製列表 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
|
|
在配置SNMP用戶名的命令中引用訪問控製列表 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ] |
通過源IP對網管用戶進行控製,僅允許來自10.110.100.52和10.110.100.46的SNMP用戶訪問設備。
圖5-2 對SNMP用戶進行ACL控製
# 定義基本訪問控製列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用訪問控製列表,僅允許來自10.110.100.52和10.110.100.46的SNMP用戶訪問設備。
[Sysname] snmp-agent community read aaa acl 2000
[Sysname] snmp-agent group v2c groupa acl 2000
[Sysname] snmp-agent usm-user v2c usera groupa acl 2000
設備支持通過Web方式進行遠程管理。Web用戶可以通過HTTP協議訪問設備。通過引用訪問控製列表,可以對訪問設備的Web用戶進行控製。
確定了對Web用戶的控製策略,包括對哪些源IP進行控製,控製的動作是允許訪問還是拒絕訪問。
本配置需要通過基本訪問控製列表實現。基本訪問控製列表的序號取值範圍為2000~2999。關於ACL的定義請參見“ACL和QoS配置指導”中的“ACL配置”的相關內容。
表5-6 通過源IP對Web用戶進行控製
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入基本ACL視圖 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必選 |
|
退出ACL視圖 |
quit |
- |
|
引用訪問控製列表對Web用戶進行控製 |
ip http acl acl-number |
HTTP和HTTPs是兩種獨立的登錄方式,不存在配置依賴關係,請根據需要二者必選其一 |
|
ip https acl acl-number |
網絡管理員可以通過命令行強製在線Web用戶下線。
表5-7 強製在線Web用戶下線
|
操作 |
命令 |
說明 |
|
強製在線Web用戶下線 |
free web-users { all | user-id user-id | user-name user-name } |
必選 在用戶視圖下執行 |
通過源IP對Web用戶進行控製,僅允許來自10.110.100.52的Web用戶訪問設備。
圖5-3 對Switch的HTTP用戶進行ACL控製
# 定義基本訪問控製列表。
<Sysname> system-view
[Sysname] acl number 2030 match-order config
[Sysname-acl-basic-2030] rule 1 permit source 10.110.100.52 0
# 引用訪問控製列表,僅允許來自10.110.100.52的Web用戶訪問設備。
[Sysname] ip http acl 2030
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
