- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-登錄設備配置
本章節下載: 03-登錄設備配置 (864.89 KB)
4.12.2 使用HTTPS方式登錄設備典型配置舉例(采用Windows 2003 server CA服務器)
4.12.3 使用HTTPS方式登錄設備典型配置舉例(用戶已獲取權威CA證書和本地證書)
· 通過CLI登錄設備。登錄成功後,可以直接輸入命令行,來配置和管理設備。CLI方式下又根據使用的登錄接口以及登錄協議不同,分為:通過Console口、Telnet或SSH登錄方式。
· 通過Web登錄設備。登錄成功後,用戶可以使用Web界麵直觀地配置和管理網絡設備。
· 通過SNMP登錄設備。登錄成功後,NMS可以通過Set和Get等操作來配置和管理設備。
· 通過RESTful登錄設備。登錄成功後,用戶可以使用RESTful API來配置和管理設備。
用戶首次登錄設備時,隻能通過Console口登錄。隻有通過Console口登錄到設備,進行相應的配置後,才能通過其他方式登錄。
此處設備登錄方式設置均假設設備啟動後不進入自動配置程序。
通過Console口進行本地登錄是登錄設備的最基本的方式,也是配置通過其他方式登錄設備的基礎。
在通過Console口搭建本地配置環境時,需要通過超級終端或PuTTY等終端仿真程序與設備建立連接。用戶可以運行這些程序來連接網絡設備、Telnet或SSH站點。這些程序的詳細介紹和使用方法請參見該程序的使用指導。
通過Console口登錄設備時,請按照以下步驟進行操作:
(1) 將PC斷電。
因為PC機串口不支持熱插拔,請不要在PC帶電的情況下,將串口線插入或者拔出PC機。
(2) 請使用產品隨機附帶的配置口電纜連接PC機和設備。請先將配置口電纜的DB-9(孔)插頭插入PC機的9芯(針)串口中,再將RJ-45插頭端插入設備的Console口中。
· 連接時請認準接口上的標識,以免誤插入其他接口。
· 在拆下配置口電纜時,請先拔出RJ-45端,再拔下DB-9端。
圖2-1 將設備與PC通過配置口電纜進行連接
(3) 給PC上電。
(4) 打開終端仿真程序,按如下要求設置終端參數:
¡ 波特率:9600
¡ 數據位:8
¡ 停止位:1
¡ 奇偶校驗:無
¡ 流量控製:無
(5) 設備上電。
在設備自檢結束後,用戶可通過鍵入回車進入命令交互界麵。出現命令行提示符後即可鍵入命令來配置設備或查看設備運行狀態,需要幫助可以隨時鍵入?。
CLI登錄用戶的訪問行為需要由用戶線管理、限製,即網絡管理員可以給每個用戶線配置一係列參數,比如用戶登錄時是否需要認證、用戶登錄後的角色等。當用戶通過CLI登錄到設備的時候,係統會給用戶分配一個用戶線,登錄用戶將受到該用戶線下配置參數的約束。
設備提供如下類型的用戶線:
· Console用戶線:用來管理和監控通過Console口登錄的用戶。
· VTY(Virtual Type Terminal,虛擬類型終端)用戶線:用來管理和監控通過Telnet或SSH登錄的用戶。
用戶線的編號有絕對編號方式和相對編號方式。
· 絕對編號方式
使用絕對編號方式,可以唯一的指定一個用戶線。絕對編號從0開始自動編號,每次增長1,先給所有Console用戶線編號,然後是所有VTY用戶線。使用display line(不帶參數)可查看到設備當前支持的用戶線以及它們的絕對編號。
· 相對編號方式
相對編號是每種類型用戶線的內部編號,表現形式為“用戶線類型 編號”。用戶線的編號從0開始以1為單位遞增。
用戶登錄時,係統會根據用戶的登錄方式,自動給用戶分配一個當前空閑的、編號最小的某類型的用戶線,整個登錄過程將受該用戶線視圖下配置的約束。用戶與用戶線並沒有固定的對應關係:
· 同一用戶登錄的方式不同,分配的用戶線不同。比如用戶A使用Console口登錄設備時,將受到Console用戶線視圖下配置的約束;當使用Telnet登錄設備時,將受到VTY用戶線視圖下配置的約束。
· 同一用戶登錄的時間不同,分配的用戶線可能不同。比如用戶本次使用Telnet登錄設備,設備為其分配的用戶線是VTY 1。當該用戶下次再Telnet登錄時,設備可能已經把VTY 1分配給其他Telnet用戶了,隻能為該用戶分配其他的用戶線。
如果沒有空閑的、相應類型的用戶線可分配,則用戶不能登錄設備。
在用戶線下配置認證方式,可以要求當用戶使用指定用戶線登錄時是否需要認證,以提高設備的安全性。設備支持配置如下認證方式:
· 認證方式為none:表示下次使用該用戶線登錄時不需要進行用戶名和密碼認證,任何人都可以登錄到設備上,這種情況可能會帶來安全隱患。
· 認證方式為password:表示下次使用該用戶線登錄時,需要輸入密碼。隻有密碼正確,用戶才能登錄到設備上。配置認證方式為password後,請妥善保存密碼。
· 認證方式為scheme:表示下次使用該用戶線登錄設備時需要進行用戶名和密碼認證,用戶名或密碼錯誤,均會導致登錄失敗。配置認證方式為scheme後,請妥善保存用戶名及密碼。
認證方式不同,配置不同,具體配置如表3-1所示。
|
認證方式 |
認證所需配置 |
|
none |
設置登錄用戶的認證方式為不認證 |
|
password |
設置登錄用戶的認證方式為password認證 設置密碼認證的密碼 |
|
scheme |
設置登錄用戶的認證方式為scheme認證 在ISP域視圖下為login用戶配置認證方法 |
用戶角色中定義了允許用戶配置的係統功能以及資源對象,即用戶登錄後執行的命令。關於用戶角色的詳細描述以及配置請參見“基礎配置指導”中的“RBAC”。
· 對於none和password認證方式,登錄用戶的角色由用戶線下的用戶角色配置決定。
· 對於scheme認證方式,且用戶通過SSH的publickey或password-publickey方式登錄設備時,登錄用戶將被授予同名的設備管理類本地用戶視圖下配置的授權用戶角色。
· 對於scheme認證方式,非SSH登錄以及用戶通過SSH的password方式登錄設備時,登錄用戶使用AAA認證用戶的角色配置。尤其對於遠程AAA認證用戶,如果AAA服務器沒有下發用戶角色且缺省用戶角色授權功能處於關閉狀態時,用戶將不能登錄設備。
本特性的部分命令支持在配置模板視圖下配置,具體命令行的支持情況請見本特性的命令參考。有關配置模板的詳細介紹請參見“基礎配置指導”中的“配置文件管理”
通過CLI登錄設備時,有以下限製和指導:
· 用戶線視圖下的配置優先於用戶線類視圖下的配置。
· 當用戶線或用戶線類視圖下的屬性配置為缺省值時,將優先采用配置為非缺省值的視圖下的配置。
· 用戶線視圖下的配置隻對該用戶線生效。
· 用戶線類視圖下的配置修改不會立即生效,當用戶下次登錄後所修改的配置值才會生效。
通過Console口進行本地登錄是登錄設備的基本方式之一,用戶可以使用本地鏈路登錄設備,便於係統維護。如圖3-1所示。具體登錄步驟,請參見。
圖3-1 通過Console口登錄設備示意圖
首次登錄後,建議修改認證方式以及其他參數來增強設備的安全性。
改變Console口登錄的認證方式後,新認證方式對新登錄的用戶生效。
通過memory-threshold命令配置內存告警的門限值,並且係統監控到剩餘空閑內存值達到一級、二級、三級告警門限或預告警門限後,用戶通過Console口登錄設備後,設備會顯示當前內存使用情況。
通過Console口登錄設備配置任務如下:
¡ 配置通過Console口登錄設備時采用密碼認證(password)
¡ 配置通過Console口登錄設備時采用AAA認證(scheme)
(2) (可選)配置Console口登錄方式的公共屬性
(1) 進入係統視圖。
system-view
(2) 進入Console用戶線或Console用戶線類視圖。
¡ 進入Console用戶線視圖。
line console first-number [ last-number ]
¡ 進入Console用戶線類視圖。
line class console
(3) 設置登錄用戶的認證方式為不認證。
authentication-mode none
缺省情況下,用戶通過Console口登錄,認證方式為none。
當認證方式設置為none時,用戶不需要輸入用戶名和密碼,就可以使用該用戶線登錄設備,存在安全隱患,請謹慎配置。
(4) 配置從當前用戶線登錄設備的用戶角色。
user-role role-name
缺省情況下,通過Console口登錄設備的用戶角色為network-admin。
(1) 進入係統視圖。
system-view
(2) 進入Console用戶線或Console用戶線類視圖。
¡ 進入Console用戶線視圖。
line console first-number [ last-number ]
¡ 進入Console用戶線類視圖。
line class console
(3) 設置登錄用戶的認證方式為密碼認證。
authentication-mode password
缺省情況下,用戶通過Console口登錄,認證方式為none。
(4) 設置認證密碼。
set authentication password { hash | simple } string
缺省情況下,未設置認證密碼。
(5) 配置從當前用戶線登錄設備的用戶角色。
user-role role-name
缺省情況下,通過Console口登錄設備的用戶角色為network-admin。
(1) 進入係統視圖。
system-view
(2) 進入Console或Console用戶線類視圖。
¡ 進入Console用戶線視圖。
line console first-number [ last-number ]
¡ 進入Console用戶線類視圖。
line class console
(3) 設置登錄用戶的認證方式為通過AAA認證。
authentication-mode scheme
缺省情況下,用戶通過Console口登錄,認證方式為none。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
(4) 在ISP域視圖下為login用戶配置認證方法。
如果選擇本地認證,請配置本地用戶及相關屬性;如果選擇遠程認證,請配置RADIUS、HWTACACS或LDAP方案。相關配置的詳細介紹請參見“用戶接入與認證配置指導”中的“AAA”。
改變Console口屬性後會立即生效,所以通過Console口登錄來配置Console口屬性可能在配置過程中發生連接中斷,建議通過其他登錄方式來配置Console口屬性。
若用戶需要通過Console口再次登錄設備,需要改變PC機上運行的終端仿真程序的相應配置,使之與設備上配置的Console口屬性保持一致。否則,連接失敗。
(1) 進入係統視圖。
system-view
(2) 進入Console用戶線或Console用戶線類視圖。
¡ 進入Console用戶線視圖。
line console first-number [ last-number ]
¡ 進入Console用戶線類視圖。
line class console
(3) 配置設備與訪問終端之間的通信參數。
¡ 配置設備與訪問終端之間的傳輸速率。
speed speed-value
缺省情況下,用戶線的傳輸速率為9600bit/s。
用戶線類視圖下不支持該命令。
¡ 配置校驗方式。
parity { even | mark | none | odd | space }
缺省情況下,設備校驗位的校驗方式為none,即不進行校驗。
用戶線類視圖下不支持該命令。
¡ 配置流量控製方式。
flow-control { hardware | none | software }
缺省情況下,沒有配置流量控製方式。
用戶線類視圖下不支持該命令。
¡ 配置數據位。
databits { 7 | 8 }
缺省情況下,用戶線的數據位為8位。
用戶線類視圖下不支持該命令。
|
類型 |
支持的數據位 |
|
傳送字符的編碼類型為標準ASCII碼 |
7 |
|
傳送字符的編碼類型為擴展ASCII碼 |
8 |
¡ 配置停止位。
stopbits { 1 | 1.5 | 2 }
缺省情況下,用戶線的停止位為1比特。
停止位用來表示單個包的結束。停止位的位數越多,傳輸效率越低。用戶線類視圖下不支持該命令。
(4) 配置用戶線的終端屬性。
¡ 在用戶線上啟動終端服務。
shell
缺省情況下,所有用戶線的終端服務功能處於開啟狀態。
Console用戶線視圖下不允許關閉shell終端服務。
¡ 配置終端的顯示類型。
terminal type { ansi | vt100 }
缺省情況下,終端顯示類型為ANSI。
建議設備的終端類型與客戶端的終端類型都配置為VT100,或者均配置為ANSI的同時保證當前編輯的命令行的總字符數不超過80。否則客戶端的終端屏幕不能正常顯示。
¡ 配置終端屏幕一屏顯示的行數。
screen-length screen-length
缺省情況下,終端屏幕一屏顯示的行數為24行。
screen-length 0表示關閉分屏顯示功能。
¡ 設置曆史命令緩衝區大小。
history-command max-size value
缺省情況下,每個用戶的曆史緩衝區的大小為10,即可存放10條曆史命令。
¡ 設置用戶線的空閑超時時間。
idle-timeout minutes [ seconds ]
缺省情況下,所有的用戶線的超時時間為10分鍾,如果直到超時時間到達,某用戶線一直沒有用戶進行操作,則該用戶線將自動斷開。
超時時間為0表示永遠不會超時。
(5) 設置終端線路的自動執行的命令。
auto-execute command command
缺省情況下,終端線路未設置自動執行命令。
執行該命令後,可能導致用戶不能通過該終端線對本係統進行配置,需謹慎使用。
用戶登錄到終端線路後,設備會自動依次執行command,然後退出當前連接。
Console用戶線/Console用戶線類視圖下不支持該命令。
(6) 配置快捷鍵。
¡ 配置啟動終端會話的快捷鍵。
activation-key character
缺省情況下,按<Enter>鍵啟動終端會話。
¡ 配置中止當前運行任務的快捷鍵。
escape-key { character | default }
缺省情況下,鍵入<Ctrl+C>中止當前運行的任務。
¡ 配置對當前用戶線進行鎖定並重新認證的快捷鍵。
lock-key key-string
缺省情況下,不存在對當前用戶線進行鎖定並重新認證的快捷鍵。
設備可以作為Telnet服務器,以便用戶能夠Telnet登錄到設備進行遠程管理和監控。具體配置請參見“3.5.3 配置設備作為Telnet服務器配置”。
設備也可以作為Telnet客戶端,Telnet到其他設備,對別的設備進行管理和監控。具體配置請參見“3.5.4 配置設備作為Telnet客戶端登錄其他設備”。
改變Telnet登錄的認證方式後,新認證方式對新登錄的用戶生效。
Telnet使用明文方式傳輸數據,可能存在安全隱患。
通過memory-threshold命令配置內存告警的門限值,並且係統監控到剩餘空閑內存值達到一級、二級、三級告警門限或預告警門限後,用戶通過Telnet登錄設備時,設備會顯示當前內存使用情況。
設備作為Telnet服務器配置任務如下:
(1) 開啟Telnet服務
(2) 配置設備作為Telnet服務器時的認證方式
¡ 配置Telnet登錄設備時采用密碼認證(password)
¡ 配置Telnet登錄設備時采用AAA認證(scheme)
(3) (可選)配置Telnet服務器發送報文的公共屬性
(4) (可選)配置VTY用戶線的公共屬性
(5)
(1) 進入係統視圖。
system-view
(2) 開啟設備的Telnet服務。
telnet server enable
缺省情況下,Telnet服務處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置登錄用戶的認證方式為不認證。
authentication-mode none
缺省情況下,Telnet用戶的認證方式為password。
當認證方式設置為none時,用戶不需要輸入用戶名和密碼,就可以使用該用戶線登錄設備,存在安全隱患,請謹慎配置。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(4) 配置從當前用戶線登錄設備的用戶角色。
user-role role-name
缺省情況下,通過Telnet登錄設備的用戶角色為network-operator。
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置登錄用戶的認證方式為密碼認證。
authentication-mode password
缺省情況下,Telnet用戶的認證方式為password。
如果設置認證方式為password,但是沒有配置認證密碼,下次無法通過該用戶線登錄設備。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(4) 設置密碼認證的密碼。
set authentication password { hash | simple } password
缺省情況下,未設置密碼認證的密碼。
(5) (可選)配置從當前用戶線登錄設備的用戶角色。
user-role role-name
缺省情況下,通過Telnet登錄設備的用戶角色為network-operator。
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置登錄用戶的認證方式為通過AAA認證。
authentication-mode scheme
缺省情況下,Telent用戶的認證方式為password。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(4) 在ISP域視圖下為login用戶配置認證方法。
如果選擇本地認證,請配置本地用戶及相關屬性;如果選擇遠程認證,請配置RADIUS、HWTACACS或LDAP方案。相關配置的詳細介紹請參見“用戶接入與認證配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 配置Telnet服務器發送報文的DSCP優先級。
(IPv4網絡)
telnet server dscp dscp-value
(IPv6網絡)
telnet server ipv6 dscp dscp-value
缺省情況下,Telnet服務器發送Telnet報文的DSCP優先級為48。
DSCP攜帶在IPv4報文中的ToS字段和IPv6報文中的Traffic class字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
(3) 配置Telnet協議的端口號。
(IPv4網絡)
telnet server port port-number
(IPv6網絡)
telnet server ipv6 port port-number
缺省情況下,Telnet協議的端口號為23。
(4) 配置Telnet登錄同時在線的最大用戶連接數。
aaa session-limit telnet max-sessions
缺省情況下,Telnet方式登錄同時在線的最大用戶連接數為32。
配置本命令後,已經在線的用戶連接不會受到影響,隻對新的用戶連接生效。如果當前在線的用戶連接數已經達到最大值,則新的連接請求會被拒絕,登錄會失敗。
關於該命令的詳細描述,請參見“用戶接入與認證命令參考”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置VTY終端屬性。
¡ 設置在終端線路上啟動終端服務。
shell
缺省情況下,所有用戶線的終端服務功能處於開啟狀態。
¡ 配置終端的顯示類型。
terminal type { ansi | vt100 }
缺省情況下,終端顯示類型為ANSI。
¡ 設置終端屏幕一屏顯示的行數。
screen-length screen-length
缺省情況下,終端屏幕一屏顯示的行數為24行。
取值為0表示關閉分屏顯示功能。
¡ 設置設備曆史命令緩衝區大小。
history-command max-size value
缺省情況下,每個用戶的曆史緩衝區大小為10,即可存放10條曆史命令。
¡ 設置VTY用戶線的空閑超時時間。
idle-timeout minutes [ seconds ]
缺省情況下,所有的用戶線的超時時間為10分鍾。如果10分鍾內某用戶線沒有用戶進行操作,則該用戶線將自動斷開。
取值為0表示永遠不會超時。
(4) 配置VTY用戶線支持的協議。
protocol inbound { all | ssh | telnet }
缺省情況下,設備同時支持Telnet和SSH協議。
該配置將在用戶下次使用該用戶線登錄時生效。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(5) 設置從用戶線登錄後自動執行的命令。
auto-execute command command
缺省情況下,未配置自動執行命令。
在配置auto-execute command命令並退出登錄之前,要確保可以通過其他VTY用戶登錄並更改配置,以便出現問題後,能刪除該配置。
配置自動執行命令後,用戶在登錄時,係統會自動執行已經配置好的命令,執行完命令後,自動斷開用戶連接。如果這條命令引發了一個任務,係統會等這個任務執行完畢後再斷開連接。
(6) 配置快捷鍵。
¡ 配置中止當前運行任務的快捷鍵。
escape-key { key-string | default }
缺省情況下,鍵入<Ctrl+C>中止當前運行的任務。
¡ 配置對當前用戶線進行鎖定並重新認證的快捷鍵。
lock-key key-string
缺省情況下,不存在對當前用戶線進行鎖定並重新認證的快捷鍵。
用戶已經成功登錄到了設備上,並希望將當前設備作為Telnet客戶端登錄到Telnet服務器上進行操作,如圖3-2所示。
先配置設備IP地址並獲取Telnet服務器的IP地址。如果設備與Telnet服務器相連的端口不在同一子網內,請保證兩台設備間路由可達。
(1) 進入係統視圖。
system-view
(2) (可選)指定設備作為Telnet客戶端時,發送Telnet報文的源IPv4地址或源接口。
telnet client source { interface interface-type interface-number | ip ip-address }
缺省情況下,未指定發送Telnet報文的源IPv4地址和源接口,使用報文路由出接口的主IPv4地址作為Telnet報文的源地址。
(3) 退回用戶視圖。
quit
(4) 設備作為Telnet客戶端登錄到Telnet服務器。
(IPv4網絡)
telnet remote-host [ service-port ] [ source { interface interface-type interface-number | ip ip-address } ] [ dscp dscp-value ] [ escape character ]
(IPv6網絡)
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ] [ dscp dscp-value ] [ escape character ]
用戶通過一個不能保證安全的網絡環境遠程登錄到設備時,SSH(Secure Shell,安全外殼)可以利用加密和強大的認證功能提供安全保障,保護設備不受諸如IP地址欺詐、明文密碼截取等攻擊。
· 設備可以作為SSH服務器,以便用戶能夠使用SSH協議登錄到設備進行遠程管理和監控。具體配置請參見“3.6.2 配置設備作為SSH服務器”。
· 設備也可以作為SSH客戶端,使用SSH協議登錄到別的設備,對別的設備進行管理和監控。具體配置請參見“3.6.3 配置設備作為SSH客戶端登錄其他設備”。
以下配置步驟隻介紹采用password方式認證SSH客戶端的配置方法,publickey方式的配置方法及SSH的詳細介紹,請參見“安全配置指導”中的“SSH”。
(1) 進入係統視圖。
system-view
(2) 生成本地密鑰對。
public-key local create { dsa | ecdsa secp256r1 | rsa }
(3) 開啟SSH服務器功能。
ssh server enable
缺省情況下,SSH服務器功能處於關閉狀態。
(4) (可選)建立SSH用戶,並指定SSH用戶的認證方式。
ssh user username service-type stelnet authentication-type password
(5) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(6) 配VTY用戶線的認證方式為scheme方式。
authentication-mode scheme
缺省情況下,VTY用戶線的認證方式為password方式。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
(7) (可選)配置VTY用戶線支持的SSH協議。
protocol inbound { all | ssh | telnet }
缺省情況下,設備同時支持Telnet和SSH協議。
本配置將在用戶下次使用該用戶線登錄時生效。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(8) (可選)配置SSH方式登錄設備時,同時在線的最大用戶連接數。
aaa session-limit ssh max-sessions
缺省情況下,SSH方式登錄同時在線的最大用戶連接數為32。
配置本命令後,已經在線的用戶連接不會受到影響,隻對新的用戶連接生效。如果當前在線的用戶連接數已經達到最大值,則新的連接請求會被拒絕,登錄會失敗。
關於該命令的詳細描述,請參見“用戶接入與認證命令參考”中的“AAA”。
(9) (可選)退回係統視圖並配置VTY用戶線的公共屬性。
a. 退回係統視圖。
quit
b. 配置VTY用戶線的公共屬性。
詳細配置請參見“3.5.3 7. 配置VTY用戶線的公共屬性”。
用戶已經成功登錄到了設備上,並希望將當前設備作為SSH客戶端登錄到其他設備上進行操作,如圖3-3所示。
先配置設備IP地址並獲取SSH服務器的IP地址。如果設備與SSH服務器相連的端口不在同一子網內,請配置路由使得兩台設備間路由可達。
請在用戶視圖下執行本命令,配置設備作為SSH客戶端登錄到SSH服務器。
(IPv4網絡)
ssh2 server
(IPv6網絡)
ssh2 ipv6 server
為配合SSH服務器,設備作為SSH客戶端時還可進一步進行其他配置,具體配置請參見“安全配置指導”中的“SSH”。
可以通過本配置自定義用戶登錄時的用戶名文本框名稱,即用戶通過CLI登錄設備時,係統提示用戶輸入用戶名的信息,缺省為字符串“Login”。例如,定義用戶名文本框名稱為Account,則用戶登錄時,係統將會打印顯示信息“Account:”提示用戶在此輸入用戶名。
本配置僅適用於Telnet和終端接入用戶(即從Console口、AUX口、Async口登錄的用戶)。
(1) 進入係統視圖。
system-view
(2) 配置用戶登錄時用戶名文本框的名稱。
login textbox-name string
缺省情況下,用戶名文本框的名稱與設備的型號有關,請以設備的實際情況為準。
表3-2 CLI顯示和維護
|
操作 |
命令 |
說明 |
|
顯示用戶線的相關信息 |
display line [ num1 | { console | vty } num2 ] [ summary ] |
在任意視圖下執行 |
|
顯示設備作為Telnet客戶端的相關配置信息 |
display telnet client |
在任意視圖下執行 |
|
顯示當前正在使用的用戶線以及用戶的相關信息 |
display users |
在任意視圖下執行 |
|
顯示設備支持的所有用戶線以及用戶的相關信息 |
display users all |
在任意視圖下執行 |
|
顯示WebSocket服務當前的連接信息 |
display websocket connection |
在任意視圖下執行 |
|
釋放指定的用戶線 |
free line { num1 | { console | vty } num2 } |
在用戶視圖下執行 係統支持多個用戶同時對設備進行配置,當管理員在維護設備時,其他在線用戶的配置影響到管理員的操作,或者管理員正在進行一些重要配置不想被其他用戶幹擾時,可以使用以下命令強製斷開該用戶的連接 不能使用該命令釋放用戶當前自己使用的連接 |
|
鎖定當前用戶線並設置解鎖密碼,防止未授權的用戶操作該線 |
lock |
在用戶視圖下執行 缺省情況下,係統不會自動鎖定當前用戶線 |
|
鎖定當前用戶線並對其進行重新認證 |
lock reauthentication |
在任意視圖下執行 缺省情況下,係統不會自動鎖定當前用戶線並對其進行重新認證 請使用設備登錄密碼解除鎖定並重新登錄設備 |
|
向指定的用戶線發送消息 |
send { all | num1 | { console | vty } num2 } |
在用戶視圖下執行 |
為了方便用戶對網絡設備進行配置和維護,設備提供Web功能。用戶可以通過PC登錄到設備上,使用Web界麵直觀地配置和維護設備。
設備支持兩種Web登錄方式:
· HTTP登錄方式:HTTP(Hypertext Transfer Protocol,超文本傳輸協議)用來在Internet上傳遞Web頁麵信息。HTTP位於TCP/IP協議棧的應用層,傳輸層采用麵向連接的TCP。設備同時支持HTTP協議1.0和1.1版本。
· HTTPS登錄方式:HTTPS(Hypertext Transfer Protocol Secure,超文本傳輸協議的安全版本)是支持SSL(Secure Sockets Layer,安全套接字層)協議的HTTP協議。HTTPS通過SSL協議,能對客戶端與設備之間交互的數據進行加密,能為設備製定基於證書屬性的訪問控製策略,提高了數據傳輸的安全性和完整性,保證合法客戶端可以安全地訪問設備,禁止非法的客戶端訪問設備,從而實現了對設備的安全管理。
同一瀏覽器下隻允許一個用戶登錄設備。如果多個用戶在同一瀏覽器下登錄設備,則最新登錄的用戶有效。
如果設備隻開啟了HTTP服務,為了增強設備的安全性,HTTPS服務的端口號也會被自動打開,且在HTTP服務開啟的狀態下無法通過undo ip https enable命令關閉。
Web登錄配置任務如下:
(1) 配置通過Web登錄設備
請選擇其中一項進行配置:
(2) 開啟HTTP慢速攻擊防禦功能
(3) 配置用於Web登錄的本地用戶
(4) 管理Web登錄用戶連接
(5) 開啟Web操作日誌輸出功能
(6) D:\ICC\1718073600026710016\39\ZH\4179\登錄設備配置.docx - _Topic_61737_20231130101424_title
在通過Web登錄設備前,需要配置設備的IP地址,確保設備與Web登錄用戶間路由可達。
(1) (可選)請在用戶視圖下執行本命令,配置用戶訪問Web的固定校驗碼。
web captcha verification-code
缺省情況下,用戶隻能使用Web頁麵顯示的校驗碼訪問Web。
(2) 進入係統視圖。
system-view
(3) 開啟HTTP服務。
ip http enable
缺省情況下,HTTP服務處於關閉狀態。
(4) (可選)配置HTTP服務的端口號。
ip http port port-number
缺省情況下,HTTP服務的端口號為80。
(5) (可選)配置HTTP服務在響應OPTIONS請求時返回的方法列表。
http method { delete | get | head | options | post | put } *
缺省情況下,未配置任何方法。
(6) (可選)開啟HTTP服務處理預檢請求功能。
ip http preflight enable
缺省情況下,HTTP服務處理預檢請求功能處於關閉狀態。
(7) (可選)配置HTTP連接空閑超時時間。
http idle-timeout minutes
缺省情況下,HTTP連接空閑超時時間為30分鍾。
HTTPS登錄方式分為以下兩種:
· 簡便登錄方式:采用這種方式時,設備上隻需開啟HTTPS服務,用戶即可通過HTTPS登錄設備。此時,使用的是設備簽發的自簽名證書,此方式配置簡單,但安全性較低。用戶無需配置HTTPS服務關聯的SSL服務器端策略,使用的SSL參數均為缺省值。但由於自簽名證書不是由可信CA簽發而不受瀏覽器信任,當用戶使用HTTPS協議訪問設備時,用戶的瀏覽器上將會彈出安全風險提示,若用戶能夠接受使用自簽名證書帶來的安全風險,可選擇忽略此提示,繼續瀏覽網頁。
· 安全登錄方式:采用這種方式時,設備上不僅要開啟HTTPS服務,還需要配置SSL服務器端策略、PKI域等。此時,采用的是CA簽發的本地證書,此方式配置相對複雜但安全性較強。用戶需要獲取CA證書並向CA申請本地證書,同時配置SSL服務器端策略,並將其與HTTPS服務進行關聯,來增強HTTPS服務的安全性。
采用安全登錄方式時,請您首先從正規官方的第三方CA機構為設備購買SSL用途的本地證書,H3C不為設備提供權威機構簽發的CA證書。
SSL的相關描述和配置請參見“安全配置指導”中的“SSL”。自簽名證書、本地證書及PKI的相關描述和配置請參見“安全配置指導”中的“PKI”。
· 更改HTTPS服務與SSL服務器端的關聯策略,需要先關閉HTTP和HTTPS服務,再重新配置HTTPS服務與SSL服務器端策略關聯,最後重新開啟HTTP服務和HTTPS服務,新的策略即可生效。
· 如需恢複HTTPS使用自簽名證書的情況,必須先關閉HTTP和HTTPS服務,再執行undo ip https ssl-server-policy,最後重新開啟HTTP服務和HTTPS服務即可。
· 開啟HTTPS服務,會觸發SSL的握手協商過程。在SSL握手協商過程中,如果設備的本地證書不存在,則SSL協商過程會觸發證書申請流程。由於證書申請需要較長的時間,會導致SSL協商不成功,從而無法正常啟動HTTPS服務。此時,需要多次執行ip https enable命令,HTTPS服務才能正常啟動。
· 如果配置HTTPS服務與證書屬性訪問控製策略關聯,則必須同時在與HTTPS服務關聯的SSL服務器端策略中配置client-verify enable命令,且證書屬性訪問控製策略中必須至少包括一條permit規則,否則任何HTTPS客戶端都無法登錄設備。
(1) (可選)請在用戶視圖下執行本命令,配置用戶訪問Web的固定校驗碼。
web captcha verification-code
缺省情況下,用戶隻能使用Web頁麵顯示的校驗碼訪問Web。
(2) 進入係統視圖。
system-view
(3) (可選)配置HTTPS服務與其他策略的關聯。
¡ 配置HTTPS服務與SSL服務器端策略關聯。
ip https ssl-server-policy policy-name
缺省情況下,HTTPS服務未與SSL服務器端策略關聯,HTTPS使用自簽名證書。
¡ 配置HTTPS服務與證書屬性訪問控製策略關聯。
ip https certificate access-control-policy policy-name
缺省情況下,HTTPS服務未與證書屬性訪問控製策略關聯。
通過將HTTPS服務與已配置的客戶端證書屬性訪問控製策略關聯,可以實現對客戶端的訪問權限進行控製。證書屬性訪問控製策略的詳細介紹請參見“安全配置指導”中的“PKI”。
(4) 開啟HTTPS服務。
ip https enable
缺省情況下,HTTPS服務處於關閉狀態。
(5) (可選)配置HTTPS服務的端口。
ip https port port-number
缺省情況下,HTTPS服務的端口號為443。
(6) (可選)配置使用HTTPS登錄設備時的方式。
web https-authorization mode { auto | certificate | certificate-manual | manual }
缺省情況下,用戶使用HTTPS登錄設備時的方式為manual。
(7) (可選)配置通過數字證書登錄設備時使用的用戶名。
web https-authorization username { cn | email-prefix | oid oid-value }
缺省情況下,使用數字證書中的CN(Common Name,公用名稱)字段,作為通過數字證書登錄設備時使用的用戶名。
HTTP慢速攻擊(slow HTTP attack)是一種DoS攻擊方式。此攻擊根據HTTP和TCP協議發送合法的HTTP流量,但速度非常慢,這種行為消耗了服務器的大量資源,它必須保持連接打開,等待完整的請求到達。這使得HTTP連接一直被占用,導致正常的HTTP請求無法獲得回應。
HTTP慢速攻擊有主要有三種類型,分別是Slow headers、Slow body、Slow read。
· Slow headers(也稱Slowloris):Web應用在處理HTTP請求之前都要先接收完整的HTTP頭部,Web服務器在沒接收到2個連續的\r\n時,會認為客戶端沒有發送完HTTP頭部。Slow headers攻擊者將一個HTTP請求報文頭部分多次慢速發送給服務器,從而一直占用服務器的連接和內存資源。
· Slow body(也稱Slow HTTP POST):攻擊者發送一個HTTP POST請求,該請求的頭部值很大,使得Web服務器或代理認為客戶端要發送很大的數據。服務器會保持連接準備接收數據,但攻擊客戶端每次隻發送很少量的數據,使該連接一直保持存活,消耗服務器的連接和內存資源。
· Slow read(也稱Slow Read attack):客戶端與服務器建立連接並發送了一個完整的HTTP請求給服務器端,然後一直保持這個連接,以很低的速度讀取Response,讓服務器誤以為客戶端很忙,直到連接快超時前才讀取一個字節,以消耗服務器的連接和內存資源。
HTTP慢速攻擊防禦功能開啟後,可通過http slow-attack命令來配置慢速攻擊的超時時間,設備將根據超時時間來判斷設備是否受到攻擊,如果受到攻擊設備會立即關閉超過會話超時時間的會話連接。
(1) 進入係統視圖。
system-view
(2) 開啟HTTP慢速攻擊防禦功能。
http slow-attack defense enable
缺省情況下,HTTP慢速攻擊防禦功能處於關閉狀態。
(3) (可選)配置HTTP慢速攻擊的超時時間。
http slow-attack { packet-header-timeout seconds | packet-body-timeout seconds | client-read-timeout seconds } *
缺省情況下,Slow headers攻擊的超時時間為10秒,Slow body攻擊的超時時間為20秒,Slow read攻擊的超時時間為30秒。
(1) 進入係統視圖。
system-view
(2) 創建本地用戶用於Web登錄,並進入本地用戶視圖。
local-user user-name [ class manage ]
(3) (可選)設置本地用戶的密碼。
password [ { hash | simple } password ]
缺省情況下,不存在本地用戶密碼,即本地用戶認證時無需輸入密碼,隻要用戶名有效且其他屬性驗證通過即可認證成功。
(4) 配置Web登錄用戶的屬性。
¡ 配置Web登錄的用戶角色。
authorization-attribute user-role user-role
缺省情況下,Web登錄的用戶角色為network-operator。
¡ 配置Web登錄用戶的服務類型。
service-type { http | https }
缺省情況下,未配置用戶的服務類型。
(1) 進入係統視圖。
system-view
(2) 配置Web登錄用戶連接的超時時間。
web idle-timeout minutes
缺省情況下,Web閑置超時時間為10分鍾。
(1) 進入係統視圖。
system-view
(2) 配置同時在線的最大Web用戶連接數。
aaa session-limit { http | https } max-sessions
缺省情況下,同時在線的最大Web用戶連接數為32。
配置本命令後,已經在線的用戶連接不會受到影響,隻對新的用戶連接生效。如果當前在線的用戶連接數已經達到最大值,則新的連接請求會被拒絕,登錄會失敗。關於該命令的詳細描述,請參見“用戶接入與認證命令參考”中的“AAA”。
請在用戶視圖下執行本命令,強製在線Web用戶下線。
free web users { all | user-id user-id | user-name user-name }
(1) 進入係統視圖。
system-view
(2) 開啟Web操作日誌輸出功能。
webui log enable
缺省情況下,Web操作日誌輸出功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示Web用戶的信息、HTTP的狀態信息和HTTPS的狀態信息,通過查看顯示信息驗證配置的效果;可以在用戶視圖下執行free web users命令來強製在線Web用戶下線。
表4-1 Web用戶顯示
|
操作 |
命令 |
|
顯示HTTP的狀態信息 |
display ip http |
|
顯示HTTPS的狀態信息 |
display ip https |
|
顯示Web的頁麵菜單樹 |
display web menu [ chinese ] |
|
顯示Web用戶的相關信息 |
display web users |
|
強製在線Web用戶下線 |
free web users { all | user-id user-id | user-name user-name } |
Host和設備通過IP網絡相連且路由可達。管理員可以通過Host使用HTTP方式登錄設備,以便通過Web頁麵來配置和管理設備。
圖4-1 配置HTTP方式登錄組網圖
# 將AC上與Host相連的接口的IP地址配置為192.168.100.99/24。(配置步驟略)
# 配置Web用戶名為admin,認證密碼為hello12345,服務類型為http,用戶角色為network-admin。
<AC> system-view
[AC] local-user admin
[AC-luser-manage-admin] service-type http
[AC-luser-manage-admin] authorization-attribute user-role network-admin
[AC-luser-manage-admin] password simple hello12345
[AC-luser-manage-admin] quit
# 配置開啟HTTP服務。
[AC] ip http enable
在PC的瀏覽器地址欄內輸入設備的IP地址並回車,瀏覽器將顯示Web登錄頁麵。
在Web登錄頁麵輸入用戶名及密碼,單擊<登錄>按鈕後即可登錄,顯示Web初始頁麵。成功登錄後,用戶可以在配置區對設備進行相關配置。
用戶可以通過Web頁麵訪問和控製設備。為了防止非法用戶訪問和控製設備,提高設備管理的安全性,設備要求用戶以HTTPS的方式登錄Web頁麵,利用SSL協議實現用戶身份驗證,並保證傳輸的數據不被竊聽和篡改。
為了滿足上述需求,需要進行如下配置:
· 配置AC作為HTTPS服務器,並為AC申請證書。
· 為HTTPS客戶端Host申請證書,以便AC驗證其身份。
其中,負責為AC和Host頒發證書的CA(Certificate Authority,證書頒發機構)名稱為new-ca。
采用Windows 2003 server CA服務器為AC和Host頒發證書,用戶在使用HTTPS協議訪問設備時,用戶的瀏覽器上將會彈出安全風險提示,用戶能夠接受此種身份驗證方式帶來的安全風險,可選擇忽略此提示,繼續瀏覽網頁。
在進行下麵的配置之前,請先配置各接口的IP地址,並確保各設備之間路由可達。(具體配置過程略)確保AC、Host、CA之間路由可達。
本配置舉例中,CA服務器為Windows 2003 server CA服務器,請先自行完成CA服務器的配置。有關Windows 2003 server CA服務器的詳細配置,請參見“安全配置指導”中的“PKI”。
圖4-2 HTTPS配置組網圖
(1) 配置HTTPS服務器AC
# 配置PKI實體en,指定實體的通用名為http-server1、FQDN為ssl.example.com。
<AC> system-view
[AC] pki entity en
[AC-pki-entity-en] common-name http-server1
[AC-pki-entity-en] fqdn ssl.example.com
[AC-pki-entity-en] quit
# 配置PKI域1,指定信任的CA名稱為new-ca、注冊服務器的URL為https://10.1.2.2/certsrv/mscep/mscep.dll、證書申請的注冊受理機構為RA、實體名稱為en。
[AC] pki domain 1
[AC-pki-domain-1] ca identifier new-ca
[AC-pki-domain-1] certificate request url https://10.1.2.2/certsrv/mscep/mscep.dll
[AC-pki-domain-1] certificate request from ra
[AC-pki-domain-1] certificate request entity en
# 指定證書申請使用的RSA密鑰對名稱為“hostkey”,用途為“通用”,密鑰對長度為1024比特。
[AC-pki-domain-1] public-key rsa general name hostkey length 1024
[AC-pki-domain-1] quit
# 生成本地的RSA密鑰對。
[AC] public-key local create rsa
# 獲取CA的證書。
[AC] pki retrieve-certificate domain 1 ca
# 為AC申請證書。
[AC] pki request-certificate domain 1
# 創建SSL服務器端策略myssl,指定該策略使用PKI域1,並配置服務器端需要驗證客戶端身份。
[AC] ssl server-policy myssl
[AC-ssl-server-policy-myssl] pki-domain 1
[AC-ssl-server-policy-myssl] client-verify enable
[AC-ssl-server-policy-myssl] quit
# 創建證書屬性組mygroup1,並配置證書屬性規則,該規則規定證書頒發者的DN(Distinguished Name,識別名)中包含new-ca。
[AC] pki certificate attribute-group mygroup1
[AC-pki-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca
[AC-pki-cert-attribute-group-mygroup1] quit
# 創建證書訪問控製策略myacp,並建立控製規則,該規則規定隻有由new-ca頒發的證書可以通過證書訪問控製策略的檢測。
[AC] pki certificate access-control-policy myacp
[AC-pki-cert-acp-myacp] rule 1 permit mygroup1
[AC-pki-cert-acp-myacp] quit
# 配置HTTPS服務與SSL服務器端策略myssl關聯。
[AC] ip https ssl-server-policy myssl
# 配置HTTPS服務與證書屬性訪問控製策略myacp關聯,確保隻有從new-ca獲取證書的HTTPS客戶端可以訪問HTTPS服務器。
[AC] ip https certificate access-control-policy myacp
# 使能HTTPS服務。
[AC] ip https enable
# 創建本地用戶usera,密碼為hello12345,服務類型為https,用戶角色為network-admin。
[AC] local-user usera
[AC-luser-usera] password simple hello12345
[AC-luser-usera] service-type https
[AC-luser-usera] authorization-attribute user-role network-admin
(2) 配置HTTPS客戶端Host
在Host上打開IE瀏覽器,輸入網址https://10.1.2.2/certsrv,根據提示為Host申請證書。
在Host上打開IE瀏覽器,輸入網址https://10.1.1.1,選擇new-ca為Host頒發的證書,即可打開AC的Web登錄頁麵。在登錄頁麵,輸入用戶名usera,密碼hello12345,則可進入AC的Web配置頁麵,實現對AC的訪問和控製。
· HTTPS服務器的URL地址以“https://”開始,HTTP服務器的URL地址以“http://”開始。
· PKI配置命令的詳細介紹請參見“安全命令參考”中的“PKI”;
· public-key local create rsa命令的詳細介紹請參見“安全命令參考”中的“公鑰管理”;
· SSL配置命令的詳細介紹請參見“安全命令參考”中的“SSL”。
用戶可以通過Web頁麵訪問和控製設備。為了防止非法用戶訪問和控製設備,提高設備管理的安全性,要求用戶以HTTPS的方式登錄設備的Web頁麵。
圖4-3 使用HTTPS方式登錄設備典型配置組網圖
由於瀏覽器在校驗HTTPS Web站點提供的本地證書時,會校驗證書中的“主題備用名稱”與當前訪問站點的域名是否匹配。因此,用戶在向CA申請本地證書時,必須按照申請時CA機構的提示,將“主題備用名稱”配置為HTTPS站點對應的域名,這樣才能保證用戶在使用域名地址訪問HTTPS站點時,Web頁麵的本地證書才能成功通過瀏覽器的驗證。
對於需要同時管理多台設備登錄的場景,可以在向CA申請本地證書時申請通配符證書。比如,在申請本地證書時,將“主題備用名稱”配置為“*.example.com”,同時為需要管理的多台設備建立Web登錄的IP地址與不同的域名(device1.example.com、device2.example.com……)之間的對應關係,可以實現管理員使用HTTPS方式登錄任意一台想要訪問的設備時,Web頁麵的本地證書能夠成功通過瀏覽器的驗證。
在進行下麵的配置之前,請完成如下準備工作:
· 確保Host已經獲取並安裝了能夠校驗AC上本地證書合法性的CA證書,並且保證Host通過本地證書主題備用名稱中的域名訪問AC時,該域名可以被成功解析為能夠登錄設備Web頁麵的IP地址。
· 已通過FTP或者TFTP協議將CA證書文件、本地證書文件和本地證書關聯的密鑰對文件上傳到AC的文件係統中,有關FTP或者TFTP協議的詳細說明,請參考“基礎配置指導”中的“FTP和TFTP”。
(1) 配置PKI域
# 創建並進入PKI域aaa。
<AC> system-view
[AC] pki domain aaa
# 關閉CRL檢查。(是否進行CRL檢查,請以實際的使用需求為準,此處僅為示例)
[AC-pki-domain-aaa] undo crl check enable
# 在PKI域aaa中指定證書關聯使用的密鑰對為abc,密鑰用途為通用。
[AC-pki-domain-aaa] public-key rsa general name abc
[AC-pki-domain-aaa] quit
(2) 導入CA和本地證書文件
# 向PKI域中導入CA證書,證書文件格式為PEM編碼,證書文件名稱為ca.pem(請以實際的CA證書名為準,此處僅為示例)。
[AC] pki import domain aaa pem ca filename ca.pem
# 向PKI域中導入不含密鑰對的PEM格式的本地證書文件,證書文件名稱為xyz.abc.com.cert.pem。
[AC] pki import domain aaa pem local filename xyz.abc.com.cert.pem
# 向PKI域中導入PEM格式的本地非對稱密鑰對文件xyz.abc.com.key.pem。
[AC] public-key local import rsa abc filename xyz.abc.com.key.pem
(3) 配置SSL服務器端策略和HTTPS服務
# 創建SSL服務器端策略myssl,指定該策略使用PKI域aaa。
[AC] ssl server-policy myssl
[AC-ssl-server-policy-myssl] pki-domain aaa
[AC-ssl-server-policy-myssl] quit
# 配置HTTPS服務與SSL服務器端策略myssl關聯。
[AC] ip https ssl-server-policy myssl
# 開啟HTTPS服務。
[AC] ip https enable
# 創建本地用戶usera,密碼為hello12345,服務類型為https,用戶角色為network-admin。
[AC] local-user usera
[AC-luser-usera] password simple hello12345
[AC-luser-usera] service-type https
[AC-luser-usera] authorization-attribute user-role network-admin
· PKI配置命令的詳細介紹,請參見“安全命令參考”中的“PKI”。
· SSL配置命令的詳細介紹,請參見“安全命令參考”中的“SSL”。
在Host上打開IE瀏覽器,輸入AC的Web頁麵的域名地址,即可打開AC的Web登錄頁麵。在登錄頁麵,輸入用戶名usera,密碼hello12345,則可進入AC的Web配置頁麵,實現對AC的訪問和控製。
使用SNMP協議,用戶可通過NMS(Network Management System,網絡管理係統)登錄到設備上,通過Set和Get等操作對設備進行管理、配置,如圖5-1所示。
通過SNMP登錄設備的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。
為了方便用戶對網絡設備進行配置和維護,設備作為RESTful服務端,提供了RESTful API(Representational State Transfer Application Programming Interface)。用戶遵循API參數和返回值約定,使用python、ruby或java等語言進行編程,發送HTTP或HTTPS報文到設備進行認證,認證成功後,可以通過在HTTP或HTTPS報文中指定RESTful API操作來配置和維護設備,這些操作包括Get、Put、Post、Delete等等。
設備支持HTTP和HTTPS兩種方式在Internet上傳遞RESTful請求信息。
(1) 進入係統視圖。
system-view
(2) (可選)配置基於HTTP的RESTful功能的端口號。
restful http port port-number
缺省情況下,基於HTTP的RESTful功能的端口號為80。
(3) 開啟基於HTTP的RESTful功能。
restful http enable
缺省情況下,基於HTTP的RESTful功能處於關閉狀態。
(4) 創建本地用戶用於RESTful登錄,並進入本地用戶視圖。
local-user user-name [ class manage ]
(5) 設置本地用戶的密碼。
password [ { hash | simple } password ]
(6) (可選)配置RESTful用戶的角色。
authorization-attribute user-role user-role
缺省情況下,RESTful用戶的角色為network-operator。
(7) 配置RESTful用戶的服務類型為HTTP。
service-type http
缺省情況下,未配置用戶的服務類型。
(1) 進入係統視圖。
system-view
(2) (可選)配置基於HTTPS的RESTful功能與SSL服務器端策略關聯。
restful https ssl-server-policy policy-name
缺省情況下,基於HTTPS的RESTful功能未與SSL服務器端策略關聯。
配置該功能後,設備將使用SSL服務器端策略指定的加密套件等SSL參數建立連接,以加強基於HTTPS的RESTful功能的安全性。有關SSL服務器端策略的配置,請參見“安全配置指導”中的“SSL”。
(3) (可選)配置基於HTTPS的RESTful功能的端口號。
restful https port port-number
缺省情況下,基於HTTPS的RESTful功能的端口號為443。
(4) 開啟基於HTTPS的RESTful功能。
restful https enable
缺省情況下,基於HTTPS的RESTful功能處於關閉狀態。
(5) 創建本地用戶用於RESTful登錄,並進入本地用戶視圖。
local-user user-name [ class manage ]
(6) 設置本地用戶的密碼。
password [ { hash | simple } password ]
(7) (可選)配置RESTful用戶的角色。
authorization-attribute user-role user-role
缺省情況下,RESTful用戶的角色為network-operator。
(8) 配置RESTful用戶的服務類型為HTTPS。
service-type https
缺省情況下,未配置用戶的服務類型。
通過引用ACL(Access Control List,訪問控製列表),可以對訪問設備的登錄用戶進行控製:
· 當未引用ACL時,允許所有登錄用戶訪問設備;
· 當引用的ACL不存在、或者引用的ACL為空時,禁止所有登錄用戶訪問設備;
對於Web用戶,當引用的ACL不存在、或者引用的ACL為空時,是允許所有Web用戶訪問設備的。
· 當引用的ACL非空時,則隻有ACL中permit的用戶才能訪問設備,其他用戶不允許訪問設備,以免非法用戶訪問設備。
關於ACL的詳細描述和介紹請參見“安全配置指導”中的“ACL”。
用戶登錄後,可以通過AAA功能來對用戶使用的命令行進行授權和計費。
(1) 進入係統視圖。
system-view
(2) 配置對Telnet用戶的訪問控製。
(IPv4網絡)
telnet server acl [ mac ] acl-number
(IPv6網絡)
telnet server ipv6 acl { ipv6 | mac } acl-number
缺省情況下,未對Telnet用戶進行ACL限製。
(3) (可選)開啟匹配ACL deny規則後打印日誌信息功能。
telnet server acl-deny-log enable
缺省情況下,匹配ACL deny規則後打印日誌信息功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 配置對SSH用戶的訪問控製。
(IPv4網絡)
ssh server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }
(IPv6網絡)
ssh server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac mac-acl-number }
缺省情況下,未對SSH用戶進行ACL限製。
(3) (可選)開啟匹配ACL deny規則後打印日誌信息功能。
ssh server acl-deny-log enable
關於ssh server acl、ssh server ipv6 acl和ssh server acl-deny-log enable命令的詳細介紹請參見“安全命令參考”中的“SSH”。
通過源IP對Telnet進行控製,僅允許源IP地址為10.110.100.52的Telnet用戶訪問設備。
圖7-1 使用ACL對Telnet用戶進行控製
# 定義ACL。
<AC> system-view
[AC] acl basic 2000 match-order config
[AC-acl-ipv4-basic-2000] rule 1 permit source 10.110.100.52 0
[AC-acl-ipv4-basic-2000] quit
# 開啟Telnet服務並引用ACL,允許源IP地址為10.110.100.52的Telnet用戶訪問設備。
[AC] telnet server enable
[AC] telnet server acl 2000
# 在Host B(源IP地址為10.110.100.52的Telnet用戶)上可以通過Telnet方式登錄到設備。
C:> telnet 10.110.110.66
Trying 10.110.110.66 ...
Press CTRL+K to abort
Connected to 10.110.110.66 ...
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<AC>
# 在Host A上(源IP地址不為10.110.100.52的Telnet用戶)不可以通過Telnet方式登錄到設備。
C:\> telnet 10.110.110.66
Trying 10.110.110.66 ...
Press CTRL+K to abort
Connected to 10.110.110.66 ...
Failed to connect to the remote host!
(1) 進入係統視圖。
system-view
(2) 引用訪問控製列表對Web用戶進行控製。請選擇其中一項進行配置。
¡ 對HTTP登錄用戶進行控製:
ip http acl [ ipv6 ] [ advanced ] { acl-number | name acl-name }
ip http acl mac { acl-number | name acl-name }
¡ 對HTTPS登錄用戶進行控製:
ip https acl [ ipv6 ] [ advanced ] {acl-number | name acl-name }
ip https acl mac { acl-number | name acl-name }
缺省情況下,Web用戶沒有引用訪問控製列表。
(3) (可選)引用訪問控製列表控製Web用戶和設備建立TCP連接。請選擇其中一項進行配置。
¡ 對HTTP登錄用戶進行控製。
(IPv4網絡)
http acl { advanced-acl-number | basic-acl-number }
(IPv6網絡)
http ipv6 acl { advanced-acl-number | basic-acl-number }
¡ 對HTTPS登錄用戶進行控製。
(IPv4網絡)
https acl { advanced-acl-number | basic-acl-number }
(IPv6網絡)
https ipv6 acl { advanced-acl-number | basic-acl-number }
缺省情況下,允許所有Web用戶和設備建立TCP連接。
通過源IP對Web用戶進行控製,僅允許來自10.110.100.52的Web用戶訪問設備。
[AC] acl basic 2030 match-order config
[AC-acl-ipv4-basic-2030] rule 1 permit source 10.110.100.52 0
[AC-acl-ipv4-basic-2030] quit
# 開啟HTTP服務並引用訪問控製列表,僅允許來自10.110.100.52的Web用戶訪問設備。
[AC] ip http enable
在Host B上打開瀏覽器,輸入https://10.110.110.66,按下回車,打開Web用戶登錄界麵,輸入用戶名和密碼後,按下<登錄>按鈕,進入設備配置管理Web界麵。在Host A上打開瀏覽器,輸入https://10.110.110.66,按下回車,打開Web用戶登錄界麵,輸入用戶名和密碼後,按下<登錄>按鈕,無法進入設備配置管理Web界麵。
對NMS的訪問進行控製的詳細介紹請參見“網絡管理和監控配置指導”中的“SNMP”。
通過源IP對NMS進行控製,僅允許來自10.110.100.52和10.110.100.46的NMS訪問設備。
圖7-3 使用ACL對NMS進行控製
# 定義基本ACL。
<AC> system-view
[AC] acl basic 2000 match-order config
[AC-acl-ipv4-basic-2000] rule 1 permit source 10.110.100.52 0
[AC-acl-ipv4-basic-2000] rule 2 permit source 10.110.100.46 0
[AC-acl-ipv4-basic-2000] quit
# 開啟SNMP Agent功能,創建SNMP用戶usera並引用ACL,僅允許源IP地址為10.110.100.52或10.110.100.46的NMS訪問設備。
[AC] snmp-agent
[AC] snmp-agent community read aaa acl 2000
[AC] snmp-agent group v2c groupa acl 2000
[AC] snmp-agent usm-user v2c usera groupa acl 2000
在源IP地址為10.110.100.52或10.110.100.46的NMS上,可以訪問設備;在源IP地址不為10.110.100.52或10.110.100.46的NMS上,無法訪問設備。
缺省情況下,用戶登錄設備後可以使用的命令行由用戶擁有的用戶角色決定。當用戶線采用AAA認證方式並配置命令行授權功能後,用戶可使用的命令行將受到用戶角色和AAA授權的雙重限製。用戶每執行一條命令都會進行授權檢查,隻有授權成功的命令才被允許執行。
開啟命令行授權功能後,不同登錄方式用戶的命令行授權情況不同,具體如下:
· 如果用戶通過無認證方式(none)或者password認證方式登錄設備,則設備無法對其進行命令行授權,禁止用戶執行任何命令。
· 如果用戶通過scheme認證方式登錄設備:
¡ 如果用戶通過了本地認證,則設備通過本地用戶視圖下的授權用戶角色對用戶進行命令行授權。
¡ 如果用戶通過了遠端認證,則由遠端服務器對用戶進行命令行授權。如果遠端授權失敗,則按照本地同名用戶的用戶角色進行命令行授權,如果授權也失敗,則禁止用戶執行該命令行。
在用戶線類視圖下該命令的配置結果將在下次登錄設備時生效;在用戶線視圖下該命令的配置結果會立即生效。
如果由遠端服務器對用戶進行命令行授權,還需要在ISP域視圖下配置命令行授權方法。命令行授權方法可以和login用戶的授權方法相同,也可以不同。相關詳細介紹請參見“用戶接入與認證配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入用戶線/用戶線類視圖。請選擇其中一項進行配置。
¡ 進入用戶線視圖。
line { first-number1 [ last-number1 ] | { console | vty } first-number2 [ last-number2 ] }
¡ 進入用戶線類視圖。
line class { console | vty }
用戶線視圖下的配置優先於用戶線類視圖下的配置。用戶線視圖下的屬性配置為缺省值時,將采用用戶線類視圖下配置的值。用戶線類視圖下的配置修改會在用戶下次登錄後生效。
(3) 設置登錄用戶的認證方式為通過AAA認證。
authentication-mode scheme
缺省情況下,用戶通過Console口登錄,認證方式為none;用戶通過VTY用戶線登錄,認證方式為password。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
(4) 開啟命令行授權功能。
command authorization
缺省情況下,命令行授權功能處於關閉狀態,即用戶登錄後執行命令行不需要授權。
如果用戶線類視圖下開啟了命令行授權功能,則該類型用戶線視圖都開啟命令行授權功能,並且在該類型用戶線視圖下將無法關閉命令行授權功能。
為了保證AC的安全,需要對登錄用戶執行命令的權限進行限製:用戶Host A登錄AC後,輸入的命令必須先獲得HWTACACS服務器的授權,才能執行。否則,不能執行該命令。如果HWTACACS服務器故障導致授權失敗,則采用本地授權。
圖7-4 命令行授權配置組網圖
# 在AC上配置IP地址,以保證AC和Host A、AC和HWTACACS server之間互相路由可達。(配置步驟略)
# 開啟設備的Telnet服務器功能,以便用戶訪問。
<AC> system-view
[AC] telnet server enable
# 配置用戶登錄設備時,需要輸入用戶名和密碼進行AAA認證,可以使用的命令由認證結果決定。
[AC] line vty 0 4
[AC-line-vty0-4] authentication-mode scheme
# 使能命令行授權功能,限製用戶隻能使用授權成功的命令。
[AC-line-vty0-4] command authorization
[AC-line-vty0-4] quit
# 配置HWTACACS方案:授權服務器的IP地址、TCP端口號分別為192.168.2.20和49(該端口號必須和HWTACACS服務器上的設置一致),報文的加密密碼是expert,登錄時不需要輸入域名,使用缺省域。
[AC] hwtacacs scheme tac
[AC-hwtacacs-tac] primary authentication 192.168.2.20 49
[AC-hwtacacs-tac] primary authorization 192.168.2.20 49
[AC-hwtacacs-tac] key authentication simple expert
[AC-hwtacacs-tac] key authorization simple expert
[AC-hwtacacs-tac] user-name-format without-domain
[AC-hwtacacs-tac] quit
# 配置缺省域的命令行授權AAA方案,使用tac local方案,即優先使用HWTACACS方案,HWTACACS方案認證失敗轉為本地認證。
[AC] domain system
[AC-isp-system] authentication login hwtacacs-scheme tac local
[AC-isp-system] authorization command hwtacacs-scheme tac local
[AC-isp-system] quit
# 配置本地認證所需參數:創建本地用戶monitor,密碼為明文的hello12345,可使用的服務類型為telnet,用戶角色為level-1。
[AC] local-user monitor
[AC-luser-manage-monitor] password simple hello12345
[AC-luser-manage-monitor] service-type telnet
[AC-luser-manage-monitor] authorization-attribute user-role level-1
# 在Host A上通過Telnet方式登錄到AC(IP地址為10.110.100.77),登錄成功後,執行ip http enable命令,由於授權失敗,提示拒絕訪問。
C:\> telnet 10.110.100.77
Trying 10.110.100.77 ...
Press CTRL+K to abort
Connected to 10.110.100.77 ...
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: monitor
Password:
<AC> system-view
System View: return to User View with Ctrl+Z.
[AC] ip http enable
Permission denied.
[AC]
# 在Host A上通過Telnet方式登錄到AC(IP地址為10.110.100.77),登錄成功後,執行interface命令,由於授權成功,命令行執行成功。
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1]
當用戶線采用AAA認證方式並配置命令行計費功能後,係統會將用戶執行過的命令記錄到HWTACACS服務器上,以便集中監視用戶對設備的操作。命令行計費功能生效後,如果沒有配命令行授權功能,則用戶執行的每一條合法命令都會發送到HWTACACS服務器上做記錄;如果配置了命令行授權功能,則用戶執行的並且授權成功的命令都會發送到HWTACACS服務器上做記錄。
要使配置的命令行計費功能生效,還需要在ISP域視圖下配置命令行計費方法。命令行計費方法、命令行授權方法、login用戶的授權方法可以相同,也可以不同。相關詳細介紹請參見“用戶接入與認證配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入用戶線/用戶線類視圖。請選擇其中一項進行配置。
¡ 進入用戶線視圖。
line { first-number1 [ last-number1 ] | { console | vty } first-number2 [ last-number2 ] }
¡ 進入用戶線類視圖。
line class { console | vty }
用戶線視圖下的配置優先於用戶線類視圖下的配置。用戶線視圖下的屬性配置為缺省值時,將采用用戶線類視圖下配置的值。用戶線類視圖下的配置修改將在用戶下次登錄後生效。
(3) 設置登錄用戶的認證方式為通過AAA認證。
authentication-mode scheme
缺省情況下,用戶通過Console口登錄,認證方式為none;用戶通過VTY用戶線登錄,認證方式為password。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
(4) 開啟命令行計費功能。
command accounting
缺省情況下,命令行計費功能處於關閉狀態。
如果用戶線類視圖下開啟了命令行計費功能,則該類型用戶線視圖都開啟命令行計費功能,並且在該類型用戶線視圖下將無法關閉命令行計費功能。
為便於集中控製、監控用戶對設備的操作,需要將登錄用戶執行的命令發送到HWTACACS服務器進行記錄。
圖7-5 命令行計費配置組網圖
# 開啟AC的Telnet服務器功能,以便用戶訪問。
<AC> system-view
[AC] telnet server enable
# 配置使用Console口登錄設備的用戶執行的命令需要發送到HWTACACS服務器進行記錄。
[AC] line console 0
[AC-line-console0] command accounting
[AC-line-console0] quit
# 配置使用Telnet或者SSH登錄的用戶執行的命令需要發送到HWTACACS服務器進行記錄。
[AC] line vty 0 4
[AC-line-vty0-4] command accounting
[AC-line-vty0-4] quit
# 配置HWTACACS方案:計費服務器的IP地址、TCP端口號分別為192.168.2.20和49,報文的加密密碼是expert,登錄時不需要輸入域名,使用缺省域。
[AC] hwtacacs scheme tac
[AC-hwtacacs-tac] primary accounting 192.168.2.20 49
[AC-hwtacacs-tac] key accounting simple expert
[AC-hwtacacs-tac] user-name-format without-domain
[AC-hwtacacs-tac] quit
# 配置缺省域的命令行計費AAA方案,使用HWTACACS方案。
[AC] domain system
[AC-isp-system] accounting command hwtacacs-scheme tac
[AC-isp-system] quit
分別在Host A、Host B、Host C上使用Telnet方式或者SSH方式登錄到設備上,進行VLAN以及接口下的相關配置,設備向計費服務器發送了計費報文,計費服務器收到報文後,根據用戶對計費服務器的配置,對計費報文進行相應處理。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
