- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-登錄設備配置
本章節下載: 03-登錄設備配置 (707.22 KB)
· 通過CLI登錄設備。登錄成功後,可以直接輸入命令行,來配置和管理設備。CLI方式下又根據使用的登錄接口以及登錄協議不同,分為:通過Console口、Telnet或SSH登錄方式。
· 通過Web登錄設備。登錄成功後,用戶可以使用Web界麵直觀地配置和管理網絡設備。
· 通過SNMP登錄設備。登錄成功後,NMS可以通過Set和Get等操作來配置和管理設備。
· 通過RESTful登錄設備。登錄成功後,用戶可以使用RESTful API來配置和管理設備。
用戶首次登錄設備時,可以通過Console口/Web登錄,設備管理接口的IP地址為192.168.0.1/24,用戶名和密碼均為admin,且登錄的是缺省Context。隻有通過Console口/Web登錄到缺省Context,進行相應的配置後,才能通過其他方式登錄缺省Context。用戶登錄缺省Context後,可以劃分非缺省Context。非缺省Context沒有Console口,所以不支持Console口本地登錄方式。在缺省Context下使用switchto context命令登錄非缺省Context並進行相應的配置後,就能通過其他方式登錄。switchto context命令的詳細介紹,請參見“虛擬化技術”中的“Context”。
· 此處設備登錄方式均假設設備啟動後不進入自動配置程序。
· 首次登錄設備時,若使用Console口登錄,用戶名密碼均為admin;若使用Web登錄,設備管理接口IP地址為192.168.0.1/24,用戶名密碼均為admin。
通過Console口進行本地登錄是登錄設備的最基本的方式,也是配置通過其他方式登錄設備的基礎。
在通過Console口搭建本地配置環境時,需要通過超級終端或PuTTY等終端仿真程序與設備建立連接。用戶可以運行這些程序來連接網絡設備、Telnet或SSH站點。這些程序的詳細介紹和使用方法請參見該程序的使用指導。
通過Console口登錄設備時,請按照以下步驟進行操作:
(1) 將PC斷電。
因為PC機串口不支持熱插拔,請不要在PC帶電的情況下,將串口線插入或者拔出PC機。
(2) 請使用產品隨機附帶的配置口電纜連接PC機和設備。請先將配置口電纜的DB-9(孔)插頭插入PC機的9芯(針)串口中,再將RJ-45插頭端插入設備的Console口中。
· 連接時請認準接口上的標識,以免誤插入其他接口。
· 在拆下配置口電纜時,請先拔出RJ-45端,再拔下DB-9端。
圖2-1 將設備與PC通過配置口電纜進行連接
(3) 給PC上電。
(4) 打開終端仿真程序,按如下要求設置終端參數:
¡ 波特率:取值以設備的實際情況為準
¡ 數據位:8
¡ 停止位:1
¡ 奇偶校驗:無
¡ 流量控製:無
(5) 設備上電。
在設備自檢結束後,用戶可通過鍵入回車進入命令交互界麵。出現命令行提示符後即可鍵入命令來配置設備或查看設備運行狀態,需要幫助可以隨時鍵入?。
CLI登錄用戶的訪問行為需要由用戶線管理、限製,即網絡管理員可以給每個用戶線配置一係列參數,比如用戶登錄時是否需要認證、用戶登錄後的角色等。當用戶通過CLI登錄到設備的時候,係統會給用戶分配一個用戶線,登錄用戶將受到該用戶線下配置參數的約束。
設備提供如下類型的用戶線:
· Console用戶線:用來管理和監控通過Console口登錄的用戶。
· VTY(Virtual Type Terminal,虛擬類型終端)用戶線:用來管理和監控通過Telnet或SSH登錄的用戶。
用戶線的編號有絕對編號方式和相對編號方式。
· 絕對編號方式
使用絕對編號方式,可以唯一的指定一個用戶線。絕對編號從0開始自動編號,每次增長1,先給所有Console用戶線編號,然後是所有VTY用戶線。使用display line(不帶參數)可查看到設備當前支持的用戶線以及它們的絕對編號。
· 相對編號方式
相對編號是每種類型用戶線的內部編號,表現形式為“用戶線類型 編號”。用戶線的編號從0開始以1為單位遞增。
用戶登錄時,係統會根據用戶的登錄方式,自動給用戶分配一個當前空閑的、編號最小的某類型的用戶線,整個登錄過程將受該用戶線視圖下配置的約束。用戶與用戶線並沒有固定的對應關係:
· 同一用戶登錄的方式不同,分配的用戶線不同。比如用戶A使用Console口登錄設備時,將受到Console用戶線視圖下配置的約束;當使用Telnet登錄設備時,將受到VTY用戶線視圖下配置的約束。
· 同一用戶登錄的時間不同,分配的用戶線可能不同。比如用戶本次使用Telnet登錄設備,設備為其分配的用戶線是VTY 1。當該用戶下次再Telnet登錄時,設備可能已經把VTY 1分配給其他Telnet用戶了,隻能為該用戶分配其他的用戶線。
如果沒有空閑的、相應類型的用戶線可分配,則用戶不能登錄設備。
在用戶線下配置認證方式,可以要求當用戶使用指定用戶線登錄時是否需要認證,以提高設備的安全性。設備支持配置如下認證方式:
· 認證方式為none:表示下次使用該用戶線登錄時不需要進行用戶名和密碼認證,任何人都可以登錄到設備上,這種情況可能會帶來安全隱患。
· 認證方式為password:表示下次使用該用戶線登錄時,需要輸入密碼。隻有密碼正確,用戶才能登錄到設備上。配置認證方式為password後,請妥善保存密碼。
· 認證方式為scheme:表示下次使用該用戶線登錄設備時需要進行用戶名和密碼認證,用戶名或密碼錯誤,均會導致登錄失敗。配置認證方式為scheme後,請妥善保存用戶名及密碼。
認證方式不同,配置不同,具體配置如表3-1所示。
|
認證方式 |
認證所需配置 |
|
none |
設置登錄用戶的認證方式為不認證 |
|
password |
設置登錄用戶的認證方式為password認證 設置密碼認證的密碼 |
|
scheme |
設置登錄用戶的認證方式為scheme認證 在ISP域視圖下為login用戶配置認證方法 |
用戶角色中定義了允許用戶配置的係統功能以及資源對象,即用戶登錄後執行的命令。關於用戶角色的詳細描述以及配置請參見“基礎配置指導”中的“RBAC”。
· 對於none和password認證方式,登錄用戶的角色由用戶線下的用戶角色配置決定。
· 對於scheme認證方式,且用戶通過SSH的publickey或password-publickey方式登錄設備時,登錄用戶將被授予同名的設備管理類本地用戶視圖下配置的授權用戶角色。
· 對於scheme認證方式,非SSH登錄以及用戶通過SSH的password方式登錄設備時,登錄用戶使用AAA認證用戶的角色配置。尤其對於遠程AAA認證用戶,如果AAA服務器沒有下發用戶角色且缺省用戶角色授權功能處於關閉狀態時,用戶將不能登錄設備。
通過CLI登錄設備時,有以下限製和指導:
· 用戶線視圖下的配置優先於用戶線類視圖下的配置。
· 當用戶線或用戶線類視圖下的屬性配置為缺省值時,將優先采用配置為非缺省值的視圖下的配置。
· 用戶線視圖下的配置隻對該用戶線生效。
· 用戶線類視圖下的配置修改不會立即生效,當用戶下次登錄後所修改的配置值才會生效。
通過Console口進行本地登錄是登錄設備的基本方式之一,用戶可以使用本地鏈路登錄設備,便於係統維護。如圖3-1所示。具體登錄步驟,請參見通過Console口首次登錄設備。
圖3-1 通過Console口登錄設備示意圖
缺省情況下,通過Console口登錄時認證方式為scheme,用戶名和密碼均為admin。登錄成功之後用戶角色為network-admin。
首次登錄後,建議修改認證方式以及其他參數來增強設備的安全性。
改變Console口登錄的認證方式後,新認證方式對新登錄的用戶生效。
通過Console口登錄設備配置任務如下:
¡ 配置通過Console口登錄設備時采用密碼認證(password)
¡ 配置通過Console口登錄設備時采用AAA認證(scheme)
(2) (可選)配置Console口登錄方式的公共屬性
(1) 進入係統視圖。
system-view
(2) 進入Console用戶線或Console用戶線類視圖。
¡ 進入Console用戶線視圖。
line console first-number [ last-number ]
¡ 進入Console用戶線類視圖。
line class console
(3) 設置登錄用戶的認證方式為不認證。
authentication-mode none
缺省情況下,用戶通過Console口登錄,認證方式為scheme。
當認證方式設置為none時,用戶不需要輸入用戶名和密碼,就可以使用該用戶線登錄設備,存在安全隱患,請謹慎配置。
(4) 配置從當前用戶線登錄設備的用戶角色。
user-role role-name
缺省情況下,對於缺省Context,通過Console口登錄設備的用戶角色為network-admin;對於非缺省Context,不支持Console口登錄方式。
(1) 進入係統視圖。
system-view
(2) 進入Console用戶線或Console用戶線類視圖。
¡ 進入Console用戶線視圖。
line console first-number [ last-number ]
¡ 進入Console用戶線類視圖。
line class console
(3) 設置登錄用戶的認證方式為密碼認證。
authentication-mode password
缺省情況下,用戶通過Console口登錄,認證方式為scheme。
(4) 設置認證密碼。
set authentication password { hash | simple } string
缺省情況下,未設置認證密碼。
(5) 配置從當前用戶線登錄設備的用戶角色。
user-role role-name
缺省情況下,對於缺省Context,通過Console口登錄設備的用戶角色為network-admin;對於非缺省Context,不支持Console口登錄方式。
(1) 進入係統視圖。
system-view
(2) 進入Console或Console用戶線類視圖。
¡ 進入Console用戶線視圖。
line console first-number [ last-number ]
¡ 進入Console用戶線類視圖。
line class console
(3) 設置登錄用戶的認證方式為通過AAA認證。
authentication-mode scheme
缺省情況下,用戶通過Console口登錄,認證方式為scheme。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
(4) 在ISP域視圖下為login用戶配置認證方法。
如果選擇本地認證,請配置本地用戶及相關屬性;如果選擇遠程認證,請配置RADIUS、HWTACACS或LDAP方案。相關配置的詳細介紹請參見“安全配置指導”中的“AAA”。
改變Console口屬性後會立即生效,所以通過Console口登錄來配置Console口屬性可能在配置過程中發生連接中斷,建議通過其他登錄方式來配置Console口屬性。
若用戶需要通過Console口再次登錄設備,需要改變PC機上運行的終端仿真程序的相應配置,使之與設備上配置的Console口屬性保持一致。否則,連接失敗。
(1) 進入係統視圖。
system-view
(2) 進入Console用戶線或Console用戶線類視圖。
¡ 進入Console用戶線視圖。
line console first-number [ last-number ]
¡ 進入Console用戶線類視圖。
line class console
(3) 配置設備與訪問終端之間的通信參數。
¡ 配置設備與訪問終端之間的傳輸速率。
speed speed-value
缺省情況下,用戶線的傳輸速率為9600bit/s。
用戶線類視圖下不支持該命令。
¡ 配置校驗方式。
parity { even | mark | none | odd | space }
缺省情況下,設備校驗位的校驗方式為none,即不進行校驗。
用戶線類視圖下不支持該命令。
¡ 配置流量控製方式。
flow-control { hardware | none | software }
缺省情況下,沒有配置流量控製方式。
用戶線類視圖下不支持該命令。
¡ 配置數據位。
databits { 7 | 8 }
缺省情況下,用戶線的數據位為8位。
用戶線類視圖下不支持該命令。
|
類型 |
支持的數據位 |
|
傳送字符的編碼類型為標準ASCII碼 |
7 |
|
傳送字符的編碼類型為擴展ASCII碼 |
8 |
¡ 配置停止位。
stopbits { 1 | 1.5 | 2 }
缺省情況下,用戶線的停止位為1比特。
停止位用來表示單個包的結束。停止位的位數越多,傳輸效率越低。用戶線類視圖下不支持該命令。
(4) 配置用戶線的終端屬性。
¡ 在用戶線上啟動終端服務。
shell
缺省情況下,所有用戶線的終端服務功能處於開啟狀態。
Console用戶線視圖下不允許關閉shell終端服務。
¡ 配置終端的顯示類型。
terminal type { ansi | vt100 }
缺省情況下,終端顯示類型為ANSI。
建議設備的終端類型與客戶端的終端類型都配置為VT100,或者均配置為ANSI的同時保證當前編輯的命令行的總字符數不超過80。否則客戶端的終端屏幕不能正常顯示。
¡ 配置終端屏幕一屏顯示的行數。
screen-length screen-length
缺省情況下,終端屏幕一屏顯示的行數為24行。
screen-length 0表示關閉分屏顯示功能。
¡ 設置曆史命令緩衝區大小。
history-command max-size value
缺省情況下,每個用戶的曆史緩衝區的大小為10,即可存放10條曆史命令。
¡ 設置用戶線的空閑超時時間。
idle-timeout minutes [ seconds ]
缺省情況下,所有的用戶線的超時時間為10分鍾,如果直到超時時間到達,某用戶線一直沒有用戶進行操作,則該用戶線將自動斷開。
超時時間為0表示永遠不會超時。
(5) 設置終端線路的自動執行的命令。
auto-execute command command
缺省情況下,終端線路未設置自動執行命令。
執行該命令後,可能導致用戶不能通過該終端線對本係統進行配置,需謹慎使用。
用戶登錄到終端線路後,設備會自動依次執行command,然後退出當前連接。
Console用戶線/Console用戶線類視圖下不支持該命令。
(6) 配置快捷鍵。
¡ 配置啟動終端會話的快捷鍵。
activation-key character
缺省情況下,按<Enter>鍵啟動終端會話。
¡ 配置中止當前運行任務的快捷鍵。
escape-key { character | default }
缺省情況下,鍵入<Ctrl+C>中止當前運行的任務。
¡ 配置對當前用戶線進行鎖定並重新認證的快捷鍵。
lock-key key-string
缺省情況下,不存在對當前用戶線進行鎖定並重新認證的快捷鍵。
設備可以作為Telnet服務器,以便用戶能夠Telnet登錄到設備進行遠程管理和監控。具體配置請參見“3.4.3 配置設備作為Telnet服務器配置”。
設備也可以作為Telnet客戶端,Telnet到其他設備,對別的設備進行管理和監控。具體配置請參見“3.4.4 配置設備作為Telnet客戶端登錄其他設備”。
改變Telnet登錄的認證方式後,新認證方式對新登錄的用戶生效。
Telnet使用明文方式傳輸數據,可能存在安全隱患。
設備作為Telnet服務器配置任務如下:
(1) 開啟Telnet服務
(2) 配置設備作為Telnet服務器時的認證方式
¡ 配置Telnet登錄設備時采用密碼認證(password)
¡ 配置Telnet登錄設備時采用AAA認證(scheme)
(3) (可選)配置Telnet服務器發送報文的公共屬性
(4) (可選)配置VTY用戶線的公共屬性
(1) 進入係統視圖。
system-view
(2) 開啟設備的Telnet服務。
telnet server enable
缺省情況下,Telnet服務處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置登錄用戶的認證方式為不認證。
authentication-mode none
缺省情況下,Telnet用戶的認證方式為scheme。
當認證方式設置為none時,用戶不需要輸入用戶名和密碼,就可以使用該用戶線登錄設備,存在安全隱患,請謹慎配置。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(4) 配置從當前用戶線登錄設備的用戶角色。
user-role role-name
缺省情況下,對於缺省Context,通過Telnet登錄設備的用戶角色為network-operator。對於非缺省Context,通過Telnet登錄的用戶角色為context-operator。
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置登錄用戶的認證方式為密碼認證。
authentication-mode password
缺省情況下,Telnet用戶的認證方式為scheme。
如果設置認證方式為password,但是沒有配置認證密碼,下次無法通過該用戶線登錄設備。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(4) 設置密碼認證的密碼。
set authentication password { hash | simple } password
缺省情況下,未設置密碼認證的密碼。
(5) (可選)配置從當前用戶線登錄設備的用戶角色。
user-role role-name
缺省情況下,對於缺省Context,通過Telnet登錄設備的用戶角色為network-operator。對於非缺省Context,通過Telnet登錄的用戶角色為context-operator。
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置登錄用戶的認證方式為通過AAA認證。
authentication-mode scheme
缺省情況下,Telent用戶的認證方式為scheme。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(4) 在ISP域視圖下為login用戶配置認證方法。
如果選擇本地認證,請配置本地用戶及相關屬性;如果選擇遠程認證,請配置RADIUS、HWTACACS或LDAP方案。相關配置的詳細介紹請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 配置Telnet服務器發送報文的DSCP優先級。
(IPv4網絡)
telnet server dscp dscp-value
(IPv6網絡)
telnet server ipv6 dscp dscp-value
缺省情況下,Telnet服務器發送Telnet報文的DSCP優先級為48。
DSCP攜帶在IPv4報文中的ToS字段和IPv6報文中的Traffic class字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
(3) 配置Telnet協議的端口號。
(IPv4網絡)
telnet server port port-number
(IPv6網絡)
telnet server ipv6 port port-number
缺省情況下,Telnet協議的端口號為23。
(4) 配置Telnet登錄同時在線的最大用戶連接數。
aaa session-limit telnet max-sessions
缺省情況下,Telnet方式登錄同時在線的最大用戶連接數為32。
配置本命令後,已經在線的用戶連接不會受到影響,隻對新的用戶連接生效。如果當前在線的用戶連接數已經達到最大值,則新的連接請求會被拒絕,登錄會失敗。
關於該命令的詳細描述,請參見“安全命令參考”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置VTY終端屬性。
¡ 設置在終端線路上啟動終端服務。
shell
缺省情況下,所有用戶線的終端服務功能處於開啟狀態。
¡ 配置終端的顯示類型。
terminal type { ansi | vt100 }
缺省情況下,終端顯示類型為ANSI。
¡ 設置終端屏幕一屏顯示的行數。
screen-length screen-length
缺省情況下,終端屏幕一屏顯示的行數為24行。
取值為0表示關閉分屏顯示功能。
¡ 設置設備曆史命令緩衝區大小。
history-command max-size value
缺省情況下,每個用戶的曆史緩衝區大小為10,即可存放10條曆史命令。
¡ 設置VTY用戶線的空閑超時時間。
idle-timeout minutes [ seconds ]
缺省情況下,所有的用戶線的超時時間為10分鍾。如果10分鍾內某用戶線沒有用戶進行操作,則該用戶線將自動斷開。
取值為0表示永遠不會超時。
(4) 配置VTY用戶線支持的協議。
protocol inbound { all | ssh | telnet }
缺省情況下,設備同時支持Telnet和SSH協議。
該配置將在用戶下次使用該用戶線登錄時生效。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(5) 設置從用戶線登錄後自動執行的命令。
auto-execute command command
缺省情況下,未配置自動執行命令。
在配置auto-execute command命令並退出登錄之前,要確保可以通過其他VTY用戶登錄並更改配置,以便出現問題後,能刪除該配置。
配置自動執行命令後,用戶在登錄時,係統會自動執行已經配置好的命令,執行完命令後,自動斷開用戶連接。如果這條命令引發了一個任務,係統會等這個任務執行完畢後再斷開連接。
(6) 配置快捷鍵。
¡ 配置中止當前運行任務的快捷鍵。
escape-key { key-string | default }
缺省情況下,鍵入<Ctrl+C>中止當前運行的任務。
¡ 配置對當前用戶線進行鎖定並重新認證的快捷鍵。
lock-key key-string
缺省情況下,不存在對當前用戶線進行鎖定並重新認證的快捷鍵。
用戶已經成功登錄到了設備上,並希望將當前設備作為Telnet客戶端登錄到Telnet服務器上進行操作,如圖3-2所示。
先配置設備IP地址並獲取Telnet服務器的IP地址。如果設備與Telnet服務器相連的端口不在同一子網內,請保證兩台設備間路由可達。
(1) 進入係統視圖。
system-view
(2) (可選)指定設備作為Telnet客戶端時,發送Telnet報文的源IPv4地址或源接口。
telnet client source { interface interface-type interface-number | ip ip-address }
缺省情況下,未指定發送Telnet報文的源IPv4地址和源接口,使用報文路由出接口的主IPv4地址作為Telnet報文的源地址。
(3) 退回用戶視圖。
quit
(4) 設備作為Telnet客戶端登錄到Telnet服務器。
(IPv4網絡)
telnet remote-host [ service-port ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ip ip-address } ] [ dscp dscp-value ] [ escape character ]
(IPv6網絡)
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ] [ dscp dscp-value ] [ escape character ]
用戶通過一個不能保證安全的網絡環境遠程登錄到設備時,SSH(Secure Shell,安全外殼)可以利用加密和強大的認證功能提供安全保障,保護設備不受諸如IP地址欺詐、明文密碼截取等攻擊。
· 設備可以作為SSH服務器,以便用戶能夠使用SSH協議登錄到設備進行遠程管理和監控。具體配置請參見“3.5.2 配置設備作為SSH服務器”。
· 設備也可以作為SSH客戶端,使用SSH協議登錄到別的設備,對別的設備進行管理和監控。具體配置請參見“3.5.3 配置設備作為SSH客戶端登錄其他設備”。
以下配置步驟隻介紹采用password方式認證SSH客戶端的配置方法,publickey方式的配置方法及SSH的詳細介紹,請參見“安全配置指導”中的“SSH”。
(1) 進入係統視圖。
system-view
(2) 生成本地密鑰對。
public-key local create { dsa | ecdsa secp256r1 | rsa }
(3) 開啟SSH服務器功能。
ssh server enable
缺省情況下,SSH服務器功能處於開啟狀態。
(4) (可選)建立SSH用戶,並指定SSH用戶的認證方式。
ssh user username service-type stelnet authentication-type password
(5) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(6) 配VTY用戶線的認證方式為scheme方式。
authentication-mode scheme
缺省情況下,VTY用戶線的認證方式為scheme。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
(7) (可選)配置VTY用戶線支持的SSH協議。
protocol inbound { all | ssh | telnet }
缺省情況下,設備同時支持Telnet和SSH協議。
本配置將在用戶下次使用該用戶線登錄時生效。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(8) (可選)配置SSH方式登錄設備時,同時在線的最大用戶連接數。
aaa session-limit ssh max-sessions
缺省情況下,SSH方式登錄同時在線的最大用戶連接數為32。
配置本命令後,已經在線的用戶連接不會受到影響,隻對新的用戶連接生效。如果當前在線的用戶連接數已經達到最大值,則新的連接請求會被拒絕,登錄會失敗。
關於該命令的詳細描述,請參見“安全命令參考”中的“AAA”。
(9) (可選)退回係統視圖並配置VTY用戶線的公共屬性。
a. 退回係統視圖。
quit
b. 配置VTY用戶線的公共屬性。
詳細配置請參見“3.4.3 7. 配置VTY用戶線的公共屬性”。
用戶已經成功登錄到了設備上,並希望將當前設備作為SSH客戶端登錄到其他設備上進行操作,如圖3-3所示。
先配置設備IP地址並獲取SSH服務器的IP地址。如果設備與SSH服務器相連的端口不在同一子網內,請配置路由使得兩台設備間路由可達。
請在用戶視圖下執行本命令,配置設備作為SSH客戶端登錄到SSH服務器。
(IPv4網絡)
ssh2 server
(IPv6網絡)
ssh2 ipv6 server
為配合SSH服務器,設備作為SSH客戶端時還可進一步進行其他配置,具體配置請參見“安全配置指導”中的“SSH”。
可以通過本配置自定義用戶登錄時的用戶名文本框名稱,即用戶通過CLI登錄設備時,係統提示用戶輸入用戶名的信息,缺省為字符串“Login”。例如,定義用戶名文本框名稱為Account,則用戶登錄時,係統將會打印顯示信息“Account:”提示用戶在此輸入用戶名。
本配置僅適用於Telnet和終端接入用戶(即從Console口、AUX口、Async口登錄的用戶)。
(1) 進入係統視圖。
system-view
(2) 配置用戶登錄時用戶名文本框的名稱。
login textbox-name string
缺省情況下,用戶名文本框的名稱與設備的型號有關,請以設備的實際情況為準。
表3-2 CLI顯示和維護
|
操作 |
命令 |
說明 |
|
顯示用戶線的相關信息 |
display line [ num1 | { console | vty } num2 ] [ summary ] |
在任意視圖下執行 |
|
顯示設備作為Telnet客戶端的相關配置信息 |
display telnet client |
在任意視圖下執行 |
|
顯示當前正在使用的用戶線以及用戶的相關信息 |
display users |
在任意視圖下執行 |
|
顯示設備支持的所有用戶線以及用戶的相關信息 |
display users all |
在任意視圖下執行 |
|
顯示WebSocket服務當前的連接信息 |
display websocket connection |
在任意視圖下執行 |
|
釋放指定的用戶線 |
free line { num1 | { console | vty } num2 } |
在用戶視圖下執行 係統支持多個用戶同時對設備進行配置,當管理員在維護設備時,其他在線用戶的配置影響到管理員的操作,或者管理員正在進行一些重要配置不想被其他用戶幹擾時,可以使用以下命令強製斷開該用戶的連接 不能使用該命令釋放用戶當前自己使用的連接 |
|
鎖定當前用戶線並設置解鎖密碼,防止未授權的用戶操作該線 |
lock |
在用戶視圖下執行 缺省情況下,係統不會自動鎖定當前用戶線 |
|
鎖定當前用戶線並對其進行重新認證 |
lock reauthentication |
在任意視圖下執行 缺省情況下,係統不會自動鎖定當前用戶線並對其進行重新認證 請使用設備登錄密碼解除鎖定並重新登錄設備 |
|
向指定的用戶線發送消息 |
send { all | num1 | { console | vty } num2 } |
在用戶視圖下執行 |
為了方便用戶對網絡設備進行配置和維護,設備提供Web功能。用戶可以通過PC登錄到設備上,使用Web界麵直觀地配置和維護設備。
設備支持兩種Web登錄方式:
· HTTP登錄方式:HTTP(Hypertext Transfer Protocol,超文本傳輸協議)用來在Internet上傳遞Web頁麵信息。HTTP位於TCP/IP協議棧的應用層,傳輸層采用麵向連接的TCP。設備同時支持HTTP協議1.0和1.1版本。
· HTTPS登錄方式:HTTPS(Hypertext Transfer Protocol Secure,超文本傳輸協議的安全版本)是支持SSL(Secure Sockets Layer,安全套接字層)協議的HTTP協議。HTTPS通過SSL協議,能對客戶端與設備之間交互的數據進行加密,能為設備製定基於證書屬性的訪問控製策略,提高了數據傳輸的安全性和完整性,保證合法客戶端可以安全地訪問設備,禁止非法的客戶端訪問設備,從而實現了對設備的安全管理。
同一瀏覽器下隻允許一個用戶登錄設備。如果多個用戶在同一瀏覽器下登錄設備,則最新登錄的用戶有效。
如果設備隻開啟了HTTP服務,為了增強設備的安全性,HTTPS服務的端口號也會被自動打開,且在HTTP服務開啟的狀態下無法通過undo ip https enable命令關閉。
Web登錄配置任務如下:
(1) 配置通過Web登錄設備
請選擇其中一項進行配置:
(2) 開啟HTTP慢速攻擊防禦功能
(3) 配置用於Web登錄的本地用戶
(4) 管理Web登錄用戶連接
在通過Web登錄設備前,需要配置設備的IP地址,確保設備與Web登錄用戶間路由可達。
(1) (可選)請在用戶視圖下執行本命令,配置用戶訪問Web的固定校驗碼。
web captcha verification-code
缺省情況下,用戶隻能使用Web頁麵顯示的校驗碼訪問Web。
(2) 進入係統視圖。
system-view
(3) 開啟HTTP服務。
ip http enable
缺省情況下,HTTP服務處於關閉狀態。
(4) (可選)配置HTTP服務的端口號。
ip http port port-number
缺省情況下,HTTP服務的端口號為80。
(5) (可選)配置HTTP服務在響應OPTIONS請求時返回的方法列表。
http method { delete | get | head | options | post | put } *
缺省情況下,未配置任何方法。
(6) (可選)配置HTTP連接空閑超時時間。
http idle-timeout minutes
缺省情況下,HTTP連接空閑超時時間為30分鍾。
HTTPS登錄方式分為以下兩種:
· 簡便登錄方式:采用這種方式時,設備上隻需開啟HTTPS服務,用戶即可通過HTTPS登錄設備。此時,使用的是設備簽發的自簽名證書,此方式配置簡單,但安全性較低。用戶無需配置HTTPS服務關聯的SSL服務器端策略,使用的SSL參數均為缺省值。但由於自簽名證書不是由可信CA簽發而不受瀏覽器信任,當用戶使用HTTPS協議訪問設備時,用戶的瀏覽器上將會彈出安全風險提示,若用戶能夠接受使用自簽名證書帶來的安全風險,可選擇忽略此提示,繼續瀏覽網頁。
· 安全登錄方式:采用這種方式時,設備上不僅要開啟HTTPS服務,還需要配置SSL服務器端策略、PKI域等。此時,采用的是CA簽發的本地證書,此方式配置相對複雜但安全性較強。用戶需要獲取CA證書並向CA申請本地證書,同時配置SSL服務器端策略,並將其與HTTPS服務進行關聯,來增強HTTPS服務的安全性。
采用安全登錄方式時,請您首先從正規官方的第三方CA機構為設備購買SSL用途的本地證書,H3C不為設備提供權威機構簽發的CA證書。
SSL的相關描述和配置請參見“安全配置指導”中的“SSL”。自簽名證書、本地證書及PKI的相關描述和配置請參見“安全配置指導”中的“PKI”。
· HTTPS服務和SSL VPN服務使用相同的端口號時,二者引用的SSL服務器端策略必須相同,否則無法同時開啟HTTPS服務和SSL VPN服務。若要修改引用的SSL服務器端策略,則需要先關閉HTTPS服務和SSL VPN服務,修改SSL服務器端策略後,再開啟HTTPS服務和SSL VPN服務,修改後的SSL服務器端策略才能生效。
· 更改HTTPS服務與SSL服務器端的關聯策略,需要先關閉HTTP和HTTPS服務,再重新配置HTTPS服務與SSL服務器端策略關聯,最後重新開啟HTTP服務和HTTPS服務,新的策略即可生效。
· 如需恢複HTTPS使用自簽名證書的情況,必須先關閉HTTP和HTTPS服務,再執行undo ip https ssl-server-policy,最後重新開啟HTTP服務和HTTPS服務即可。
· 開啟HTTPS服務,會觸發SSL的握手協商過程。在SSL握手協商過程中,如果設備的本地證書不存在,則SSL協商過程會觸發證書申請流程。由於證書申請需要較長的時間,會導致SSL協商不成功,從而無法正常啟動HTTPS服務。此時,需要多次執行ip https enable命令,HTTPS服務才能正常啟動。
· 如果配置HTTPS服務與證書屬性訪問控製策略關聯,則必須同時在與HTTPS服務關聯的SSL服務器端策略中配置client-verify enable命令,且證書屬性訪問控製策略中必須至少包括一條permit規則,否則任何HTTPS客戶端都無法登錄設備。
(1) (可選)請在用戶視圖下執行本命令,配置用戶訪問Web的固定校驗碼。
web captcha verification-code
缺省情況下,用戶隻能使用Web頁麵顯示的校驗碼訪問Web。
(2) 進入係統視圖。
system-view
(3) (可選)配置HTTPS服務與其他策略的關聯。
¡ 配置HTTPS服務與SSL服務器端策略關聯。
ip https ssl-server-policy policy-name
缺省情況下,HTTPS服務未與SSL服務器端策略關聯,HTTPS使用自簽名證書。
¡ 配置HTTPS服務與證書屬性訪問控製策略關聯。
ip https certificate access-control-policy policy-name
缺省情況下,HTTPS服務未與證書屬性訪問控製策略關聯。
通過將HTTPS服務與已配置的客戶端證書屬性訪問控製策略關聯,可以實現對客戶端的訪問權限進行控製。證書屬性訪問控製策略的詳細介紹請參見“安全配置指導”中的“PKI”。
(4) 開啟HTTPS服務。
ip https enable
缺省情況下,HTTPS服務處於開啟狀態。
(5) (可選)配置HTTPS服務的端口。
ip https port port-number
缺省情況下,HTTPS服務的端口號為443。
(6) (可選)配置使用HTTPS登錄設備時的方式。
web https-authorization mode { auto | certificate | certificate-manual | manual }
缺省情況下,用戶使用HTTPS登錄設備時的方式為manual。
(7) (可選)配置通過數字證書登錄設備時使用的用戶名。
web https-authorization username { cn | email-prefix | oid oid-value }
缺省情況下,使用數字證書中的CN(Common Name,公用名稱)字段,作為通過數字證書登錄設備時使用的用戶名。
HTTP慢速攻擊(slow HTTP attack)是一種DoS攻擊方式。此攻擊根據HTTP和TCP協議發送合法的HTTP流量,但速度非常慢,這種行為消耗了服務器的大量資源,它必須保持連接打開,等待完整的請求到達。這使得HTTP連接一直被占用,導致正常的HTTP請求無法獲得回應。
HTTP慢速攻擊有主要有三種類型,分別是Slow headers、Slow body、Slow read。
· Slow headers(也稱Slowloris):Web應用在處理HTTP請求之前都要先接收完整的HTTP頭部,Web服務器在沒接收到2個連續的\r\n時,會認為客戶端沒有發送完HTTP頭部。Slow headers攻擊者將一個HTTP請求報文頭部分多次慢速發送給服務器,從而一直占用服務器的連接和內存資源。
· Slow body(也稱Slow HTTP POST):攻擊者發送一個HTTP POST請求,該請求的頭部值很大,使得Web服務器或代理認為客戶端要發送很大的數據。服務器會保持連接準備接收數據,但攻擊客戶端每次隻發送很少量的數據,使該連接一直保持存活,消耗服務器的連接和內存資源。
· Slow read(也稱Slow Read attack):客戶端與服務器建立連接並發送了一個完整的HTTP請求給服務器端,然後一直保持這個連接,以很低的速度讀取Response,讓服務器誤以為客戶端很忙,直到連接快超時前才讀取一個字節,以消耗服務器的連接和內存資源。
HTTP慢速攻擊防禦功能開啟後,可通過http slow-attack命令來配置慢速攻擊的超時時間,設備將根據超時時間來判斷設備是否受到攻擊,如果受到攻擊設備會立即關閉超過會話超時時間的會話連接。
(1) 進入係統視圖。
system-view
(2) 開啟HTTP慢速攻擊防禦功能。
http slow-attack defense enable
缺省情況下,HTTP慢速攻擊防禦功能處於關閉狀態。
(3) (可選)配置HTTP慢速攻擊的超時時間。
http slow-attack { packet-header-timeout seconds | packet-body-timeout seconds | client-read-timeout seconds } *
缺省情況下,Slow headers攻擊的超時時間為10秒,Slow body攻擊的超時時間為20秒,Slow read攻擊的超時時間為30秒。
(1) 進入係統視圖。
system-view
(2) 創建本地用戶用於Web登錄,並進入本地用戶視圖。
local-user user-name [ class manage ]
(3) (可選)設置本地用戶的密碼。
password [ { hash | simple } password ]
缺省情況下,不存在本地用戶密碼,即本地用戶認證時無需輸入密碼,隻要用戶名有效且其他屬性驗證通過即可認證成功。
(4) 配置Web登錄用戶的屬性。
¡ 配置Web登錄的用戶角色。
authorization-attribute user-role user-role
缺省情況下,Web登錄的用戶角色為network-operator。
¡ 配置Web登錄用戶的服務類型。
service-type { http | https }
缺省情況下,未配置用戶的服務類型。
(1) 進入係統視圖。
system-view
(2) 配置Web登錄用戶連接的超時時間。
web idle-timeout minutes
缺省情況下,Web閑置超時時間為10分鍾。
(1) 進入係統視圖。
system-view
(2) 配置同時在線的最大Web用戶連接數。
aaa session-limit { http | https } max-sessions
缺省情況下,同時在線的最大Web用戶連接數為32。
配置本命令後,已經在線的用戶連接不會受到影響,隻對新的用戶連接生效。如果當前在線的用戶連接數已經達到最大值,則新的連接請求會被拒絕,登錄會失敗。關於該命令的詳細描述,請參見“安全命令參考”中的“AAA”。
請在用戶視圖下執行本命令,強製在線Web用戶下線。
free web users { all | user-id user-id | user-name user-name }
在完成上述配置後,在任意視圖下執行display命令可以顯示Web用戶的信息、HTTP的狀態信息和HTTPS的狀態信息,通過查看顯示信息驗證配置的效果;可以在用戶視圖下執行free web users命令來強製在線Web用戶下線。
表4-1 Web用戶顯示
|
操作 |
命令 |
|
顯示HTTP的狀態信息 |
display ip http |
|
顯示HTTPS的狀態信息 |
display ip https |
|
顯示Web的頁麵菜單樹 |
display web menu [ chinese ] |
|
顯示Web用戶的相關信息 |
display web users |
|
強製在線Web用戶下線 |
free web users { all | user-id user-id | user-name user-name } |
使用SNMP協議,用戶可通過NMS(Network Management System,網絡管理係統)登錄到設備上,通過Set和Get等操作對設備進行管理、配置,如圖5-1所示。
通過SNMP登錄設備的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。
為了方便用戶對網絡設備進行配置和維護,設備作為RESTful服務端,提供了RESTful API(Representational State Transfer Application Programming Interface)。用戶遵循API參數和返回值約定,使用python、ruby或Java等語言進行編程,發送HTTP或HTTPS報文到設備進行認證,認證成功後,可以通過在HTTP或HTTPS報文中指定RESTful API操作來配置和維護設備,這些操作包括Get、Put、Post、Delete等等。
設備支持HTTP和HTTPS兩種方式在Internet上傳遞RESTful請求信息。
(1) 進入係統視圖。
system-view
(2) (可選)配置基於HTTP的RESTful功能的端口號。
restful http port port-number
缺省情況下,基於HTTP的RESTful功能的端口號為80。
(3) 開啟基於HTTP的RESTful功能。
restful http enable
缺省情況下,基於HTTP的RESTful功能處於關閉狀態。
(4) (可選)配置RESTful服務器的報文認證功能,並配置認證密鑰。
restful authentication-key { cipher | simple } auth-key
缺省情況下,RESTful服務器的報文認證功能處於關閉狀態。本命令的支持情況與設備型號有關,具體請參見命令參考。
RESTful報文認證功能用於驗證RESTful報文的合法性。RESTful客戶端使用認證密鑰對請求報文加密後,將報文發送給RESTful服務器(設備)。設備收到報文後,用相同的認證密鑰解密RESTful報文,如果解密失敗,或者解密後的報文不符合要求,則丟棄該報文。
配置RESTful服務器的報文認證功能後,RESTful客戶端即可以實現RESTful登錄,以下步驟可省略。
(5) (可選)配置RESTful服務端的數字簽名密鑰。
restful secret-key { cipher | simple } secret-key
缺省情況下,未配置RESTful服務端的數字簽名密鑰。
設備可以和RESTful客戶端約定使用相同的密鑰對信息進行數字簽名,來實現對RESTful客戶端的身份認證。RESTful客戶端向設備發送帶有數字簽名的RESTful請求後,設備使用密鑰對該請求中的信息重新進行數字簽名,並將該數字簽名和原請求中的數字簽名進行對比,如果二者一致則認證通過。
(6) 創建本地用戶用於RESTful登錄,並進入本地用戶視圖。
local-user user-name [ class manage ]
(7) 設置本地用戶的密碼。
password [ { hash | simple } password ]
(8) (可選)配置RESTful用戶的角色。
authorization-attribute user-role user-role
缺省情況下,RESTful用戶的角色為network-operator。
(9) 配置RESTful用戶的服務類型為HTTP。
service-type http
缺省情況下,未配置用戶的服務類型。
(1) 進入係統視圖。
system-view
(2) (可選)配置基於HTTPS的RESTful功能與SSL服務器端策略關聯。
restful https ssl-server-policy policy-name
缺省情況下,基於HTTPS的RESTful功能未與SSL服務器端策略關聯。
配置該功能後,設備將使用SSL服務器端策略指定的加密套件等SSL參數建立連接,以加強基於HTTPS的RESTful功能的安全性。有關SSL服務器端策略的配置,請參見“安全配置指導”中的“SSL”。
(3) (可選)配置基於HTTPS的RESTful功能的端口號。
restful https port port-number
缺省情況下,基於HTTPS的RESTful功能的端口號為443。
(4) 開啟基於HTTPS的RESTful功能。
restful https enable
缺省情況下,基於HTTPS的RESTful功能處於關閉狀態。
(5) (可選)配置RESTful服務器的報文認證功能,並配置認證密鑰。
restful authentication-key { cipher | simple } auth-key
缺省情況下,RESTful服務器的報文認證功能處於關閉狀態。
RESTful報文認證功能用於驗證RESTful報文的合法性。RESTful客戶端使用認證密鑰對請求報文加密後,將報文發送給RESTful服務器(設備)。設備收到報文後,用相同的認證密鑰解密RESTful報文,如果解密失敗,或者解密後的報文不符合要求,則丟棄該報文。
配置RESTful服務器的報文認證功能後,RESTful客戶端即可以實現RESTful登錄,以下步驟可省略。
(6) (可選)配置RESTful服務端的數字簽名密鑰。
restful secret-key { cipher | simple } secret-key
缺省情況下,未配置RESTful服務端的數字簽名密鑰。
設備可以和RESTful客戶端約定使用相同的密鑰對信息進行數字簽名,來實現對RESTful客戶端的身份認證。RESTful客戶端向設備發送帶有數字簽名的RESTful請求後,設備使用密鑰對該請求中的信息重新進行數字簽名,並將該數字簽名和原請求中的數字簽名進行對比,如果二者一致則認證通過。
(7) 創建本地用戶用於RESTful登錄,並進入本地用戶視圖。
local-user user-name [ class manage ]
(8) 設置本地用戶的密碼。
password [ { hash | simple } password ]
(9) (可選)配置RESTful用戶的角色。
authorization-attribute user-role user-role
缺省情況下,RESTful用戶的角色為network-operator。
(10) 配置RESTful用戶的服務類型為HTTPS。
service-type https
缺省情況下,未配置用戶的服務類型。
通過引用ACL(Access Control List,訪問控製列表),可以對訪問設備的登錄用戶進行控製:
· 當未引用ACL時,允許所有登錄用戶訪問設備;
· 當引用的ACL不存在、或者引用的ACL為空時,禁止所有登錄用戶訪問設備;
對於Web用戶,當引用的ACL不存在、或者引用的ACL為空時,是允許所有Web用戶訪問設備的。
· 當引用的ACL非空時,則隻有ACL中permit的用戶才能訪問設備,其他用戶不允許訪問設備,以免非法用戶訪問設備。
· 在引用的ACL中,若某規則指定了vpn-instance參數,則表示該規則僅對VPN報文有效;若規則未指定vpn-instance參數,則表示該規則僅對公網報文有效。
關於ACL的詳細描述和介紹請參見“ACL和QoS配置指導”中的“ACL”。
用戶登錄後,可以通過AAA功能來對用戶使用的命令行進行授權和計費。
(1) 進入係統視圖。
system-view
(2) 配置對Telnet用戶的訪問控製。
(IPv4網絡)
telnet server acl [ mac ] acl-number
(IPv6網絡)
telnet server ipv6 acl { ipv6 | mac } acl-number
缺省情況下,未對Telnet用戶進行ACL限製。
(3) (可選)開啟匹配ACL deny規則後打印日誌信息功能。
telnet server acl-deny-log enable
缺省情況下,匹配ACL deny規則後打印日誌信息功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 配置對SSH用戶的訪問控製。
(IPv4網絡)
ssh server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }
(IPv6網絡)
ssh server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac mac-acl-number }
缺省情況下,未對SSH用戶進行ACL限製。
(3) (可選)開啟匹配ACL deny規則後打印日誌信息功能。
ssh server acl-deny-log enable
關於ssh server acl、ssh server ipv6 acl和ssh server acl-deny-log enable命令的詳細介紹請參見“安全命令參考”中的“SSH”。
(1) 進入係統視圖。
system-view
(2) 引用訪問控製列表對Web用戶進行控製。請選擇其中一項進行配置。
¡ 對HTTP登錄用戶進行控製:
ip http acl [ ipv6 ] [ advanced ] { acl-number | name acl-name }
ip http acl mac { acl-number | name acl-name }
¡ 對HTTPS登錄用戶進行控製:
ip https acl [ ipv6 ] [ advanced ] {acl-number | name acl-name }
ip https acl mac { acl-number | name acl-name }
缺省情況下,Web用戶沒有引用訪問控製列表。
(3) (可選)引用訪問控製列表控製Web用戶和設備建立TCP連接。請選擇其中一項進行配置。
¡ 對HTTP登錄用戶進行控製。
(IPv4網絡)
http acl { advanced-acl-number | basic-acl-number }
(IPv6網絡)
http ipv6 acl { advanced-acl-number | basic-acl-number }
¡ 對HTTPS登錄用戶進行控製。
(IPv4網絡)
https acl { advanced-acl-number | basic-acl-number }
(IPv6網絡)
https ipv6 acl { advanced-acl-number | basic-acl-number }
缺省情況下,允許所有Web用戶和設備建立TCP連接。
缺省情況下,用戶登錄設備後可以使用的命令行由用戶擁有的用戶角色決定。當用戶線采用AAA認證方式並配置命令行授權功能後,用戶可使用的命令行將受到用戶角色和AAA授權的雙重限製。用戶每執行一條命令都會進行授權檢查,隻有授權成功的命令才被允許執行。
開啟命令行授權功能後,不同登錄方式用戶的命令行授權情況不同,具體如下:
· 如果用戶通過無認證方式(none)或者password認證方式登錄設備,則設備無法對其進行命令行授權,禁止用戶執行任何命令。
· 如果用戶通過scheme認證方式登錄設備:
¡ 如果用戶通過了本地認證,則設備通過本地用戶視圖下的授權用戶角色對用戶進行命令行授權。
¡ 如果用戶通過了遠端認證,則由遠端服務器對用戶進行命令行授權。如果遠端授權失敗,則按照本地同名用戶的用戶角色進行命令行授權,如果授權也失敗,則禁止用戶執行該命令行。
在用戶線類視圖下該命令的配置結果將在下次登錄設備時生效;在用戶線視圖下該命令的配置結果會立即生效。
如果由遠端服務器對用戶進行命令行授權,還需要在ISP域視圖下配置命令行授權方法。命令行授權方法可以和login用戶的授權方法相同,也可以不同。相關詳細介紹請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入用戶線/用戶線類視圖。請選擇其中一項進行配置。
¡ 進入用戶線視圖。
line { first-number1 [ last-number1 ] | { console | vty } first-number2 [ last-number2 ] }
¡ 進入用戶線類視圖。
line class { console | vty }
用戶線視圖下的配置優先於用戶線類視圖下的配置。用戶線視圖下的屬性配置為缺省值時,將采用用戶線類視圖下配置的值。用戶線類視圖下的配置修改會在用戶下次登錄後生效。
(3) 設置登錄用戶的認證方式為通過AAA認證。
authentication-mode scheme
缺省情況下,用戶通過Console口登錄,認證方式為scheme;用戶通過VTY用戶線登錄,認證方式為scheme。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
(4) 開啟命令行授權功能。
command authorization
缺省情況下,命令行授權功能處於關閉狀態,即用戶登錄後執行命令行不需要授權。
如果用戶線類視圖下開啟了命令行授權功能,則該類型用戶線視圖都開啟命令行授權功能,並且在該類型用戶線視圖下將無法關閉命令行授權功能。
當用戶線采用AAA認證方式並配置命令行計費功能後,係統會將用戶執行過的命令記錄到HWTACACS服務器上,以便集中監視用戶對設備的操作。命令行計費功能生效後,如果沒有配命令行授權功能,則用戶執行的每一條合法命令都會發送到HWTACACS服務器上做記錄;如果配置了命令行授權功能,則用戶執行的並且授權成功的命令都會發送到HWTACACS服務器上做記錄。
要使配置的命令行計費功能生效,還需要在ISP域視圖下配置命令行計費方法。命令行計費方法、命令行授權方法、login用戶的授權方法可以相同,也可以不同。相關詳細介紹請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入用戶線/用戶線類視圖。請選擇其中一項進行配置。
¡ 進入用戶線視圖。
line { first-number1 [ last-number1 ] | { console | vty } first-number2 [ last-number2 ] }
¡ 進入用戶線類視圖。
line class { console | vty }
用戶線視圖下的配置優先於用戶線類視圖下的配置。用戶線視圖下的屬性配置為缺省值時,將采用用戶線類視圖下配置的值。用戶線類視圖下的配置修改將在用戶下次登錄後生效。
(3) 設置登錄用戶的認證方式為通過AAA認證。
authentication-mode scheme
缺省情況下,用戶通過Console口登錄,認證方式為scheme;用戶通過VTY用戶線登錄,認證方式為scheme。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
(4) 開啟命令行計費功能。
command accounting
缺省情況下,命令行計費功能處於關閉狀態。
如果用戶線類視圖下開啟了命令行計費功能,則該類型用戶線視圖都開啟命令行計費功能,並且在該類型用戶線視圖下將無法關閉命令行計費功能。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
