- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-登錄設備配置
本章節下載: 03-登錄設備配置 (562.72 KB)
目 錄
· 通過CLI登錄設備。登錄成功後,可以直接輸入命令行,來配置和管理設備。CLI方式下又根據使用的登錄接口以及登錄協議不同,分為:通過Console口、Telnet、SSH登錄方式。
用戶首次登錄設備時,隻能通過Console口登錄。隻有通過Console口登錄到設備,進行相應的配置後,才能通過其他方式登錄。
· 此處設備登錄方式設置均假設設備啟動後不進入自動配置程序。
通過Console口進行本地登錄是登錄設備的最基本的方式,也是配置通過其他方式登錄設備的基礎。
在通過Console口搭建本地配置環境時,需要通過超級終端或PuTTY等終端仿真程序與設備建立連接。用戶可以運行這些程序來連接網絡設備、Telnet或SSH站點。這些程序的詳細介紹和使用方法請參見該程序的使用指導。
通過Console口登錄設備時,請按照以下步驟進行操作:
(1) 將PC斷電。
因為PC機串口不支持熱插拔,請不要在PC帶電的情況下,將串口線插入或者拔出PC機。
(2) 請使用產品隨機附帶的配置口電纜連接PC機和設備。請先將配置口電纜的DB-9(孔)插頭插入PC機的9芯(針)串口中,再將RJ-45插頭端插入設備的Console口中。
· 連接時請認準接口上的標識,以免誤插入其他接口。
· 在拆下配置口電纜時,請先拔出RJ-45端,再拔下DB-9端。
圖2-1 將設備與PC通過配置口電纜進行連接
(3) 給PC上電。
(4) 打開終端仿真程序,按如下要求設置終端參數:
¡ 波特率:9600
¡ 數據位:8
¡ 停止位:1
¡ 奇偶校驗:無
¡ 流量控製:無
(5) 設備上電。
在設備自檢結束後,用戶可通過鍵入回車進入命令交互界麵。出現命令行提示符後即可鍵入命令來配置設備或查看設備運行狀態,需要幫助可以隨時鍵入?。
CLI登錄用戶的訪問行為需要由用戶線管理、限製,即網絡管理員可以給每個用戶線配置一係列參數,比如用戶登錄時是否需要認證、用戶登錄後的角色等。當用戶通過CLI登錄到設備的時候,係統會給用戶分配一個用戶線,登錄用戶將受到該用戶線下配置參數的約束。
設備提供如下類型的用戶線:
· AUX用戶線:用來管理和監控通過Console口登錄的用戶。
· VTY(Virtual Type Terminal,虛擬類型終端)用戶線:用來管理和監控通過Telnet或SSH登錄的用戶。
用戶線的編號有絕對編號方式和相對編號方式。
· 絕對編號方式
使用絕對編號方式,可以唯一的指定一個用戶線。絕對編號從0開始自動編號,每次增長1,先給所有AUX用戶線編號,然後是所有VTY用戶線。使用display line(不帶參數)可查看到設備當前支持的用戶線以及它們的絕對編號。
· 相對編號方式
相對編號是每種類型用戶線的內部編號,表現形式為“用戶線類型 編號”。用戶線的編號從0開始以1為單位遞增。
用戶登錄時,係統會根據用戶的登錄方式,自動給用戶分配一個當前空閑的、編號最小的某類型的用戶線,整個登錄過程將受該用戶線視圖下配置的約束。用戶與用戶線並沒有固定的對應關係:
· 同一用戶登錄的方式不同,分配的用戶線不同。比如用戶A使用Console口登錄設備時,將受到AUX用戶線視圖下配置的約束;當使用Telnet登錄設備時,將受到VTY用戶線視圖下配置的約束。
· 同一用戶登錄的時間不同,分配的用戶線可能不同。比如用戶本次使用Telnet登錄設備,設備為其分配的用戶線是VTY 1。當該用戶下次再Telnet登錄時,設備可能已經把VTY 1分配給其他Telnet用戶了,隻能為該用戶分配其他的用戶線。
如果沒有空閑的、相應類型的用戶線可分配,則用戶不能登錄設備。
在用戶線下配置認證方式,可以要求當用戶使用指定用戶線登錄時是否需要認證,以提高設備的安全性。設備支持配置如下認證方式:
· 認證方式為none:表示下次使用該用戶線登錄時不需要進行用戶名和密碼認證,任何人都可以登錄到設備上,這種情況可能會帶來安全隱患。
· 認證方式為password:表示下次使用該用戶線登錄時,需要輸入密碼。隻有密碼正確,用戶才能登錄到設備上。配置認證方式為password後,請妥善保存密碼。
· 認證方式為scheme:表示下次使用該用戶線登錄設備時需要進行用戶名和密碼認證,用戶名或密碼錯誤,均會導致登錄失敗。配置認證方式為scheme後,請妥善保存用戶名及密碼。
認證方式不同,配置不同,具體配置如表3-1所示。
|
認證方式 |
認證所需配置 |
|
none |
設置登錄用戶的認證方式為不認證 |
|
password |
設置登錄用戶的認證方式為password認證 設置密碼認證的密碼 |
|
scheme |
設置登錄用戶的認證方式為scheme認證 在ISP域視圖下為login用戶配置認證方法 |
用戶角色中定義了允許用戶配置的係統功能以及資源對象,即用戶登錄後執行的命令。關於用戶角色的詳細描述以及配置請參見“基礎配置指導”中的“RBAC”。
· 對於none和password認證方式,登錄用戶的角色由用戶線下的用戶角色配置決定。
· 對於scheme認證方式,且用戶通過SSH的publickey或password-publickey方式登錄設備時,登錄用戶將被授予同名的設備管理類本地用戶視圖下配置的授權用戶角色。
· 對於scheme認證方式,非SSH登錄以及用戶通過SSH的password方式登錄設備時,登錄用戶使用AAA認證用戶的角色配置。尤其對於遠程AAA認證用戶,如果AAA服務器沒有下發用戶角色且缺省用戶角色授權功能處於關閉狀態時,用戶將不能登錄設備。
通過CLI登錄設備時,有以下限製和指導:
· 用戶線視圖下的配置優先於用戶線類視圖下的配置。
· 當用戶線或用戶線類視圖下的屬性配置為缺省值時,將優先采用配置為非缺省值的視圖下的配置。
· 用戶線視圖下的配置隻對該用戶線生效。
· 用戶線類視圖下的配置修改不會立即生效,當用戶下次登錄後所修改的配置值才會生效。
通過Console口進行本地登錄是登錄設備的基本方式之一,用戶可以使用本地鏈路登錄設備,便於係統維護。如圖3-1所示。具體登錄步驟,請參見通過Console口首次登錄設備。
圖3-1 通過Console口登錄設備示意圖
缺省情況下,通過Console口登錄時認證方式為none,可直接登錄。登錄成功之後用戶角色為network-admin。
首次登錄後,建議修改認證方式以及其他參數來增強設備的安全性。
改變Console口登錄的認證方式後,新認證方式對新登錄的用戶生效。
通過Console口登錄設備配置任務如下:
¡ 配置通過Console口登錄設備時采用密碼認證(password)
¡ 配置通過Console口登錄設備時采用AAA認證(scheme)
(2) (可選)配置Console口登錄方式的公共屬性
(1) 進入係統視圖。
system-view
(2) 進入AUX用戶線或AUX用戶線類視圖。
¡ 進入AUX用戶線視圖。
line aux first-number [ last-number ]
¡ 進入AUX用戶線類視圖。
line class aux
(3) 設置登錄用戶的認證方式為不認證。
authentication-mode none
缺省情況下,用戶通過Console口登錄,認證方式為none。
當認證方式設置為none時,用戶不需要輸入用戶名和密碼,就可以使用該用戶線登錄設備,存在安全隱患,請謹慎配置。
(4) 配置從當前用戶線登錄設備的用戶角色。
user-role role-name
缺省情況下,通過Console口登錄設備的用戶角色為network-admin。
(1) 進入係統視圖。
system-view
(2) 進入AUX用戶線或AUX用戶線類視圖。
¡ 進入AUX用戶線視圖。
line aux first-number [ last-number ]
¡ 進入AUX用戶線類視圖。
line class aux
(3) 設置登錄用戶的認證方式為密碼認證。
authentication-mode password
缺省情況下,用戶通過Console口登錄,認證方式為none。
如果設置認證方式為password,但是沒有配置認證密碼,下次無法通過該用戶線登錄設備。
(4) 設置認證密碼。
set authentication password { hash | simple } password
缺省情況下,未設置認證密碼。
(5) 配置從當前用戶線登錄設備的用戶角色。
user-role role-name
缺省情況下,通過Console口登錄設備的用戶角色為network-admin。
(1) 進入係統視圖。
system-view
(2) 進入AUX用戶線或AUX用戶線類視圖。
¡ 進入AUX用戶線視圖。
line aux first-number [ last-number ]
¡ 進入AUX用戶線類視圖。
line class aux
(3) 設置登錄用戶的認證方式為通過AAA認證。
authentication-mode scheme
缺省情況下,用戶通過Console口登錄,認證方式為none。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
(4) 在ISP域視圖下為login用戶配置認證方法。
如果選擇本地認證,請配置本地用戶及相關屬性;如果選擇遠程認證,請配置RADIUS、HWTACACS或LDAP方案。相關配置的詳細介紹請參見“用戶接入與認證配置指導”中的“AAA”。
改變Console口屬性後會立即生效,所以通過Console口登錄來配置Console口屬性可能在配置過程中發生連接中斷,建議通過其他登錄方式來配置Console口屬性。
若用戶需要通過Console口再次登錄設備,需要改變PC機上運行的終端仿真程序的相應配置,使之與設備上配置的Console口屬性保持一致。否則,連接失敗。
(1) 進入係統視圖。
system-view
(2) 進入AUX用戶線或AUX用戶線類視圖。
¡ 進入AUX用戶線視圖。
line aux first-number [ last-number ]
¡ 進入AUX用戶線類視圖。
line class aux
(3) 配置設備與訪問終端之間的通信參數。
¡ 配置設備與訪問終端之間的傳輸速率。
speed speed-value
缺省情況下,用戶線的傳輸速率為9600bit/s。
用戶線類視圖下不支持該命令。
¡ 配置校驗方式。
parity { even | mark | none | odd | space }
缺省情況下,設備校驗位的校驗方式為none,即不進行校驗。
用戶線類視圖下不支持該命令。
¡ 配置流量控製方式。
flow-control { hardware | none | software }
缺省情況下,沒有配置流量控製方式。
用戶線類視圖下不支持該命令。
¡ 配置數據位。
databits { 5 | 6 | 7 | 8 }
缺省情況下,用戶線的數據位為8位。
用戶線類視圖下不支持該命令。
|
類型 |
支持的數據位 |
|
傳送字符的編碼類型為標準ASCII碼 |
7 |
|
傳送字符的編碼類型為擴展ASCII碼 |
8 |
¡ 配置停止位。
stopbits { 1 | 1.5 | 2 }
缺省情況下,用戶線的停止位為1比特。
停止位用來表示單個包的結束。停止位的位數越多,傳輸效率越低。用戶線類視圖下不支持該命令。
(4) 配置用戶線的終端屬性。
¡ 在用戶線上啟動終端服務。
shell
缺省情況下,所有用戶線的終端服務功能處於開啟狀態。
AUX用戶線視圖下不允許關閉shell終端服務。
¡ 配置終端的顯示類型。
terminal type { ansi | vt100 }
缺省情況下,終端顯示類型為ANSI。
建議設備的終端類型與客戶端的終端類型都配置為VT100,或者均配置為ANSI的同時保證當前編輯的命令行的總字符數不超過80。否則客戶端的終端屏幕不能正常顯示。
¡ 配置終端屏幕一屏顯示的行數。
screen-length screen-length
缺省情況下,終端屏幕一屏顯示的行數為24行。
screen-length 0表示關閉分屏顯示功能。
¡ 設置曆史命令緩衝區大小。
history-command max-size value
缺省情況下,每個用戶的曆史緩衝區的大小為10,即可存放10條曆史命令。
¡ 設置用戶線的空閑超時時間。
idle-timeout minutes [ seconds ]
缺省情況下,所有的用戶線的超時時間為10分鍾,如果直到超時時間到達,某用戶線一直沒有用戶進行操作,則該用戶線將自動斷開。
超時時間為0表示永遠不會超時。
(5) 設置終端線路的自動執行的命令。
auto-execute command command
缺省情況下,終端線路未設置自動執行命令。
執行該命令後,可能導致用戶不能通過該終端線對本係統進行配置,需謹慎使用。
用戶登錄到終端線路後,設備會自動依次執行command,然後退出當前連接。
AUX用戶線視圖/AUX用戶線類視圖不支持該命令。
(6) 配置快捷鍵。
¡ 配置啟動終端會話的快捷鍵。
activation-key character
缺省情況下,按<Enter>鍵啟動終端會話。
¡ 配置中止當前運行任務的快捷鍵。
escape-key { character | default }
缺省情況下,鍵入<Ctrl+C>中止當前運行的任務。
¡ 配置對當前用戶線進行鎖定並重新認證的快捷鍵。
lock-key key-string
缺省情況下,不存在對當前用戶線進行鎖定並重新認證的快捷鍵。
設備可以作為Telnet服務器,以便用戶能夠Telnet登錄到設備進行遠程管理和監控。具體配置請參見“3.4.3 配置設備作為Telnet服務器配置”。
設備也可以作為Telnet客戶端,Telnet到其他設備,對別的設備進行管理和監控。具體配置請參見“3.4.4 配置設備作為Telnet客戶端登錄其他設備”。
改變Telnet登錄的認證方式後,新認證方式對新登錄的用戶生效。
設備作為Telnet服務器配置任務如下:
(1) 開啟Telnet服務
(2) 配置設備作為Telnet服務器時的認證方式
¡ 配置Telnet登錄設備時采用密碼認證(password)
¡ 配置Telnet登錄設備時采用AAA認證(scheme)
(3) (可選)配置Telnet服務器發送報文的公共屬性
(4) (可選)配置VTY用戶線的公共屬性
(1) 進入係統視圖。
system-view
(2) 開啟設備的Telnet服務。
telnet server enable
缺省情況下,Telnet服務處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置登錄用戶的認證方式為不認證。
authentication-mode none
缺省情況下,Telnet用戶的認證方式為password。
當認證方式設置為none時,用戶不需要輸入用戶名和密碼,就可以使用該用戶線登錄設備,存在安全隱患,請謹慎配置。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(4) 配置從當前用戶線登錄設備的用戶角色。
user-role role-name
缺省情況下,通過Telnet登錄設備的用戶角色為network-operator。
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置登錄用戶的認證方式為密碼認證。
authentication-mode password
缺省情況下,Telnet用戶的認證方式為password。
如果設置認證方式為password,但是沒有配置認證密碼,下次無法通過該用戶線登錄設備。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(4) 設置密碼認證的密碼。
set authentication password { hash | simple } password
缺省情況下,未設置密碼認證的密碼。
(5) (可選)配置從當前用戶線登錄設備的用戶角色。
user-role role-name
缺省情況下,通過Telnet登錄設備的用戶角色為network-operator。
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置登錄用戶的認證方式為通過AAA認證。
authentication-mode scheme
缺省情況下,Telent用戶的認證方式為password。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(4) 在ISP域視圖下為login用戶配置認證方法。
如果選擇本地認證,請配置本地用戶及相關屬性;如果選擇遠程認證,請配置RADIUS、HWTACACS或LDAP方案。相關配置的詳細介紹請參見“用戶接入與認證配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 配置Telnet服務器發送報文的DSCP優先級。
(IPv4網絡)
telnet server dscp dscp-value
(IPv6網絡)
telnet server ipv6 dscp dscp-value
缺省情況下,Telnet服務器發送Telnet報文的DSCP優先級為48。
(3) 配置Telnet協議的端口號。
(IPv4網絡)
telnet server port port-number
(IPv6網絡)
telnet server ipv6 port port-number
缺省情況下,Telnet協議的端口號為23。
(4) 配置Telnet登錄同時在線的最大用戶連接數。
aaa session-limit telnet max-sessions
缺省情況下,Telnet方式登錄同時在線的最大用戶連接數為32。
配置本命令後,已經在線的用戶連接不會受到影響,隻對新的用戶連接生效。如果當前在線的用戶連接數已經達到最大值,則新的連接請求會被拒絕,登錄會失敗。
關於該命令的詳細描述,請參見“用戶接入與認證命令參考”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置VTY終端屬性。
¡ 設置在終端線路上啟動終端服務。
shell
缺省情況下,所有用戶線的終端服務功能處於開啟狀態。
¡ 配置終端的顯示類型。
terminal type { ansi | vt100 }
缺省情況下,終端顯示類型為ANSI。
¡ 設置終端屏幕一屏顯示的行數。
screen-length screen-length
缺省情況下,終端屏幕一屏顯示的行數為24行。
取值為0表示關閉分屏顯示功能。
¡ 設置設備曆史命令緩衝區大小。
history-command max-size value
缺省情況下,每個用戶的曆史緩衝區大小為10,即可存放10條曆史命令。
¡ 設置VTY用戶線的空閑超時時間。
idle-timeout minutes [ seconds ]
缺省情況下,所有的用戶線的超時時間為10分鍾。如果10分鍾內某用戶線沒有用戶進行操作,則該用戶線將自動斷開。
取值為0表示永遠不會超時。
(4) 配置VTY用戶線支持的協議。
protocol inbound { all | ssh | telnet }
缺省情況下,設備同時支持Telnet和SSH協議。
該配置將在用戶下次使用該用戶線登錄時生效。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(5) 設置從用戶線登錄後自動執行的命令。
auto-execute command command
缺省情況下,未配置自動執行命令。
在配置auto-execute command命令並退出登錄之前,要確保可以通過其他VTY、AUX用戶登錄並更改配置,以便出現問題後,能刪除該配置。
配置自動執行命令後,用戶在登錄時,係統會自動執行已經配置好的命令,執行完命令後,自動斷開用戶連接。如果這條命令引發了一個任務,係統會等這個任務執行完畢後再斷開連接。
(6) 配置快捷鍵。
¡ 配置中止當前運行任務的快捷鍵。
escape-key { character | default }
缺省情況下,鍵入<Ctrl+C>中止當前運行的任務。
¡ 配置對當前用戶線進行鎖定並重新認證的快捷鍵。
lock-key key-string
缺省情況下,不存在對當前用戶線進行鎖定並重新認證的快捷鍵。
用戶已經成功登錄到了設備上,並希望將當前設備作為Telnet客戶端登錄到Telnet服務器上進行操作,如圖3-2所示。
先配置設備IP地址並獲取Telnet服務器的IP地址。如果設備與Telnet服務器相連的端口不在同一子網內,請保證兩台設備間路由可達。
(1) 進入係統視圖。
system-view
(2) (可選)指定設備作為Telnet客戶端時,發送Telnet報文的源IPv4地址或源接口。
telnet client source { interface interface-type interface-number | ip ip-address }
缺省情況下,未指定發送Telnet報文的源IPv4地址和源接口,使用報文路由出接口的主IPv4地址作為Telnet報文的源地址。
(3) 退回用戶視圖。
quit
(4) 設備作為Telnet客戶端登錄到Telnet服務器。
(IPv4網絡)
telnet remote-host [ service-port ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ip ip-address } | dscp dscp-value ] *
(IPv6網絡)
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ipv6 ipv6-address } | dscp dscp-value ] *
用戶通過一個不能保證安全的網絡環境遠程登錄到設備時,SSH(Secure Shell,安全外殼)可以利用加密和強大的認證功能提供安全保障,保護設備不受諸如IP地址欺詐、明文密碼截取等攻擊。
· 設備可以作為SSH服務器,以便用戶能夠使用SSH協議登錄到設備進行遠程管理和監控。具體配置請參見“3.5.2 配置設備作為SSH服務器”。
· 設備也可以作為SSH客戶端,使用SSH協議登錄到別的設備,對別的設備進行管理和監控。具體配置請參見“3.5.3 配置設備作為SSH客戶端登錄其他設備”。
以下配置步驟隻介紹采用password方式認證SSH客戶端的配置方法,publickey方式的配置方法及SSH的詳細介紹,請參見“安全配置指導”中的“SSH”。
(1) 進入係統視圖。
system-view
(2) 生成本地密鑰對。
public-key local create { dsa | ecdsa [ secp192r1 | secp256r1 | secp384r1 | secp521r1 ] | rsa } [ name key-name ]
(3) 開啟SSH服務器功能。
ssh server enable
缺省情況下,SSH服務器功能處於關閉狀態。
(4) (可選)建立SSH用戶,並指定SSH用戶的認證方式。
ssh user username service-type stelnet authentication-type password
(5) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(6) 配VTY用戶線的認證方式為scheme方式。
authentication-mode scheme
缺省情況下,VTY用戶線的認證方式為password方式。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
(7) (可選)配置VTY用戶線支持的SSH協議。
protocol inbound { all | ssh | telnet }
缺省情況下,設備同時支持Telnet和SSH協議。
本配置將在用戶下次使用該用戶線登錄時生效。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(8) (可選)配置SSH方式登錄設備時,同時在線的最大用戶連接數。
aaa session-limit ssh max-sessions
缺省情況下,SSH方式登錄同時在線的最大用戶連接數為32。
配置本命令後,已經在線的用戶連接不會受到影響,隻對新的用戶連接生效。如果當前在線的用戶連接數已經達到最大值,則新的連接請求會被拒絕,登錄會失敗。
關於該命令的詳細描述,請參見“用戶接入與認證命令參考”中的“AAA”。
(9) (可選)退回係統視圖並配置VTY用戶線的公共屬性。
a. 退回係統視圖。
quit
b. 配置VTY用戶線的公共屬性。
詳細配置請參見“3.4.3 7. 配置VTY用戶線的公共屬性”。
用戶已經成功登錄到了設備上,並希望將當前設備作為SSH客戶端登錄到其他設備上進行操作,如圖3-3所示。
先配置設備IP地址並獲取SSH服務器的IP地址。如果設備與SSH服務器相連的端口不在同一子網內,請配置路由使得兩台設備間路由可達。
請在用戶視圖下執行本命令,配置設備作為SSH客戶端登錄到SSH服務器。
(IPv4網絡)
ssh2 server
(IPv6網絡)
ssh2 ipv6 server
為配合SSH服務器,設備作為SSH客戶端時還可進一步進行其他配置,具體配置請參見“安全配置指導”中的“SSH”。
· 顯示用戶線的相關信息。
display line [ num1 | { aux | vty } num2 ] [ summary ]
· 顯示當前正在使用的用戶線以及用戶的相關信息。
display users
· 顯示設備支持的所有用戶線以及用戶的相關信息。
display users all
請在用戶視圖下執行以下命令,向指定的用戶線發送消息。
send { all | num1 | { aux | vty } num2 }
係統支持多個用戶同時對設備進行配置,當管理員在維護設備時,其他在線用戶的配置影響到管理員的操作,或者管理員正在進行一些重要配置不想被其他用戶幹擾時,可以使用以下命令強製斷開該用戶的連接。
不能使用該命令釋放用戶當前自己使用的連接。
請在用戶視圖下執行以下命令,釋放用戶線。
free line { num1 | { aux | vty } num2 }
鎖定當前用戶線可防止未授權的用戶操作該用戶線。
請在用戶視圖下執行以下命令:
· 鎖定當前用戶線並設置解鎖密碼。
lock
· 鎖定當前用戶線並對其進行重新認證。
lock reauthentication
執行該命令後,當前用戶線會被鎖定。用戶需要輸入設備登錄密碼對當前用戶線進行重新認證才能結束鎖定,進入係統。
可在任意視圖下執行以下命令,顯示設備作為Telnet客戶端的相關配置信息。
display telnet client
通過引用ACL(Access Control List,訪問控製列表),可以對訪問設備的登錄用戶進行控製:
· 當未引用ACL、或者引用的ACL不存在、或者引用的ACL為空時,允許所有登錄用戶訪問設備;
· 當引用的ACL非空時,則隻有ACL中permit的用戶才能訪問設備,其他用戶不允許訪問設備,以免非法用戶訪問設備。
關於ACL的詳細描述和介紹請參見“ACL和QoS配置指導”中的“ACL”。
用戶登錄後,可以通過AAA功能來對用戶使用的命令行進行授權和計費。
(1) 進入係統視圖。
system-view
(2) 配置對Telnet用戶的訪問控製。
(IPv4網絡)
telnet server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }
(IPv6網絡)
telnet server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac mac-acl-number }
缺省情況下,未對Telnet用戶進行ACL限製。
(1) 進入係統視圖。
system-view
(2) 配置對SSH用戶的訪問控製。
(IPv4網絡)
ssh server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }
(IPv6網絡)
ssh server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac mac-acl-number }
缺省情況下,未對SSH用戶進行ACL限製。
關於ssh server acl、ssh server ipv6 acl命令的詳細介紹請參見“安全命令參考”中的“SSH”。
通過源IP對Telnet進行控製,僅允許來自10.110.100.52和10.110.100.46的Telnet用戶訪問設備。
圖4-1 使用ACL對Telnet用戶進行控製
缺省情況下,本設備的接口處於ADM(Administratively Down)狀態,請根據實際需要在對應接口視圖下使用undo shutdown命令開啟接口。
# 定義ACL。
<Sysname> system-view
[Sysname] acl basic 2000 match-order config
[Sysname-acl-ipv4-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-ipv4-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-ipv4-basic-2000] quit
# 引用ACL,允許源地址為10.110.100.52和10.110.100.46的Telnet用戶訪問設備。
[Sysname] telnet server acl 2000
缺省情況下,用戶登錄設備後可以使用的命令行由用戶擁有的用戶角色決定。當用戶線采用AAA認證方式並配置命令行授權功能後,用戶可使用的命令行將受到用戶角色和AAA授權的雙重限製。用戶每執行一條命令都會進行授權檢查,隻有授權成功的命令才被允許執行。
開啟命令行授權功能後,不同登錄方式用戶的命令行授權情況不同,具體如下:
· 如果用戶通過無認證方式(none)或者password認證方式登錄設備,則設備無法對其進行命令行授權,禁止用戶執行任何命令。
· 如果用戶通過scheme認證方式登錄設備:
¡ 如果用戶通過了本地認證,則設備通過本地用戶視圖下的授權用戶角色對用戶進行命令行授權。
¡ 如果用戶通過了遠端認證,則由遠端服務器對用戶進行命令行授權。如果遠端授權失敗,則按照本地同名用戶的用戶角色進行命令行授權,如果授權也失敗,則禁止用戶執行該命令行。
在用戶線類視圖下該命令的配置結果將在下次登錄設備時生效;在用戶線視圖下該命令的配置結果會立即生效。
如果由遠端服務器對用戶進行命令行授權,還需要在ISP域視圖下配置命令行授權方法。命令行授權方法可以和login用戶的授權方法相同,也可以不同。相關詳細介紹請參見“用戶接入與認證配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入用戶線/用戶線類視圖。請選擇其中一項進行配置。
¡ 進入用戶線視圖。
line { first-number1 [ last-number1 ] | { aux | vty } first-number2 [ last-number2 ] }
¡ 進入用戶線類視圖。
line class { aux | vty }
用戶線視圖下的配置優先於用戶線類視圖下的配置。用戶線視圖下的屬性配置為缺省值時,將采用用戶線類視圖下配置的值。用戶線類視圖下的配置修改會在用戶下次登錄後生效。
(3) 設置登錄用戶的認證方式為通過AAA認證。
authentication-mode scheme
缺省情況下,用戶通過Console口登錄,認證方式為none;用戶通過VTY用戶線登錄,認證方式為password。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
(4) 開啟命令行授權功能。
command authorization
缺省情況下,命令行授權功能處於關閉狀態,即用戶登錄後執行命令行不需要授權。
如果用戶線類視圖下開啟了命令行授權功能,則該類型用戶線視圖都開啟命令行授權功能,並且在該類型用戶線視圖下將無法關閉命令行授權功能。
為了保證Device的安全,需要對登錄用戶執行命令的權限進行限製:用戶Host A登錄設備後,輸入的命令必須先獲得HWTACACS服務器的授權,才能執行。否則,不能執行該命令。如果HWTACACS服務器故障導致授權失敗,則采用本地授權。
圖4-2 命令行授權配置組網圖
缺省情況下,本設備的接口處於ADM(Administratively Down)狀態,請根據實際需要在對應接口視圖下使用undo shutdown命令開啟接口。
在設備上配置IP地址,以保證Device和Host A、Device和HWTACACS server之間互相路由可達。
# 開啟設備的Telnet服務器功能,以便用戶訪問。
<Device> system-view
[Device] telnet server enable
# 配置用戶登錄設備時,需要輸入用戶名和密碼進行AAA認證,可以使用的命令由認證結果決定。
[Device] line vty 0 63
[Device-line-vty0-63] authentication-mode scheme
#開啟命令行授權功能,限製用戶隻能使用授權成功的命令。
[Device-line-vty0-63] command authorization
[Device-line-vty0-63] quit
# 配置HWTACACS方案:授權服務器的IP地址:TCP端口號為192.168.2.20:49(該端口號必須和HWTACACS服務器上的設置一致),報文的加密密碼是expert,登錄時不需要輸入域名,使用缺省域。
[Device] hwtacacs scheme tac
[Device-hwtacacs-tac] primary authentication 192.168.2.20 49
[Device-hwtacacs-tac] primary authorization 192.168.2.20 49
[Device-hwtacacs-tac] key authentication simple expert
[Device-hwtacacs-tac] key authorization simple expert
[Device-hwtacacs-tac] user-name-format without-domain
[Device-hwtacacs-tac] quit
# 配置缺省域的命令行授權AAA方案,使用HWTACACS方案。
[Device] domain system
[Device-isp-system] authentication login hwtacacs-scheme tac local
[Device-isp-system] authorization command hwtacacs-scheme tac local
[Device-isp-system] quit
# 配置本地認證所需參數:創建本地用戶monitor,密碼為明文的hello12345,可使用的服務類型為telnet,用戶角色為level-1。
[Device] local-user monitor
[Device-luser-manage-monitor] password simple hello12345
[Device-luser-manage-monitor] service-type telnet
[Device-luser-manage-monitor] authorization-attribute user-role level-1
當用戶線采用AAA認證方式並配置命令行計費功能後,係統會將用戶執行過的命令記錄到HWTACACS服務器上,以便集中監視用戶對設備的操作。命令行計費功能生效後,如果沒有配命令行授權功能,則用戶執行的每一條合法命令都會發送到HWTACACS服務器上做記錄;如果配置了命令行授權功能,則用戶執行的並且授權成功的命令都會發送到HWTACACS服務器上做記錄。
要使配置的命令行計費功能生效,還需要在ISP域視圖下配置命令行計費方法。命令行計費方法、命令行授權方法、login用戶的授權方法可以相同,也可以不同。相關詳細介紹請參見“用戶接入與認證配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入用戶線/用戶線類視圖。請選擇其中一項進行配置。
¡ 進入用戶線視圖。
line { first-number1 [ last-number1 ] | { aux | vty } first-number2 [ last-number2 ] }
¡ 進入用戶線類視圖。
line class { aux | vty }
用戶線視圖下的配置優先於用戶線類視圖下的配置。用戶線視圖下的屬性配置為缺省值時,將采用用戶線類視圖下配置的值。用戶線類視圖下的配置修改將在用戶下次登錄後生效。
(3) 設置登錄用戶的認證方式為通過AAA認證。
authentication-mode scheme
缺省情況下,用戶通過Console口登錄,認證方式為none;用戶通過VTY用戶線登錄,認證方式為password。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
(4) 開啟命令行計費功能。
command accounting
缺省情況下,命令行計費功能處於關閉狀態。
如果用戶線類視圖下開啟了命令行計費功能,則該類型用戶線視圖都開啟命令行計費功能,並且在該類型用戶線視圖下將無法關閉命令行計費功能。
為便於集中控製、監控用戶對設備的操作,需要將登錄用戶執行的命令發送到HWTACACS服務器進行記錄。
圖4-3 命令行計費配置組網圖
缺省情況下,本設備的接口處於ADM(Administratively Down)狀態,請根據實際需要在對應接口視圖下使用undo shutdown命令開啟接口。
# 開啟設備的Telnet服務器功能,以便用戶訪問。
<Device> system-view
[Device] telnet server enable
# 配置使用Console口登錄設備的用戶執行的命令需要發送到HWTACACS服務器進行記錄。
[Device] line aux 0
[Device-line-aux0] command accounting
[Device-line-aux0] quit
# 配置使用Telnet或者SSH登錄的用戶執行的命令需要發送到HWTACACS服務器進行記錄。
[Device] line vty 0 63
[Device-line-vty0-63] command accounting
[Device-line-vty0-63] quit
# 配置HWTACACS方案:計費服務器的IP地址:TCP端口號為192.168.2.20:49,報文的加密密碼是expert,登錄時不需要輸入域名,使用缺省域。
[Device] hwtacacs scheme tac
[Device-hwtacacs-tac] primary accounting 192.168.2.20 49
[Device-hwtacacs-tac] key accounting simple expert
[Device-hwtacacs-tac] user-name-format without-domain
[Device-hwtacacs-tac] quit
# 配置缺省域的命令行計費AAA方案,使用HWTACACS方案。
[Device] domain system
[Device-isp-system] accounting command hwtacacs-scheme tac
[Device-isp-system] quit
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
