- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-登錄設備配置
本章節下載: 03-登錄設備配置 (975.53 KB)
3.4.3 通過Console口/AUX口登錄設備配置任務簡介
3.4.4 配置通過Console口/AUX口登錄設備的認證方式
3.4.5 配置Console口/AUX口登錄方式的公共屬性
3.8.4 建立Telnet重定向監聽端口與IP地址的對應關係
4.13.2 使用HTTPS方式登錄設備典型配置舉例(采用Windows 2003 server CA服務器)
4.13.3 使用HTTPS方式登錄設備典型配置舉例(用戶已獲取權威CA證書和本地證書)
· 通過CLI登錄設備。登錄成功後,可以直接輸入命令行,來配置和管理設備。CLI方式下又根據使用的登錄接口以及登錄協議不同,分為:通過Console口、AUX口(Auxiliary port,輔助端口)、Telnet或SSH或Modem登錄方式。
· 通過Web登錄設備。登錄成功後,用戶可以使用Web界麵直觀地配置和管理網絡設備。
· 通過SNMP登錄設備。登錄成功後,NMS可以通過Set和Get等操作來配置和管理設備。
用戶首次登錄設備時,隻能通過Console口/AUX口登錄。隻有通過Console口/AUX口登錄到設備,進行相應的配置後,才能通過其他方式登錄。
· 此處設備登錄方式設置均假設設備啟動後不進入自動配置程序。
· 僅安裝了SIC-8AS、SIC-16AS、HMIM-8ASE或HMIM-16ASE接口卡的設備支持TTY用戶線。有關接口卡與設備的適配關係請參見《H3C MSR係列路由器 接口模塊手冊》。
· 設備運行於FIPS模式時,不支持Telnet登錄、基於HTTP的Web登錄。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
通過Console口進行本地登錄是登錄設備的最基本的方式,也是配置通過其他方式登錄設備的基礎。
在通過Console口搭建本地配置環境時,需要通過超級終端或PuTTY等終端仿真程序與設備建立連接。用戶可以運行這些程序來連接網絡設備、Telnet或SSH站點。這些程序的詳細介紹和使用方法請參見該程序的使用指導。
通過Console口登錄設備時,請按照以下步驟進行操作:
(1) 將PC斷電。
因為PC機串口不支持熱插拔,請不要在PC帶電的情況下,將串口線插入或者拔出PC機。
(2) 請使用產品隨機附帶的配置口電纜連接PC機和設備。請先將配置口電纜的DB-9(孔)插頭插入PC機的9芯(針)串口中,再將RJ-45插頭端插入設備的Console口中。
· 連接時請認準接口上的標識,以免誤插入其他接口。
· 在拆下配置口電纜時,請先拔出RJ-45端,再拔下DB-9端。
圖2-1 將設備與PC通過配置口電纜進行連接
(3) 給PC上電。
(4) 打開終端仿真程序,按如下要求設置終端參數:
¡ 波特率:9600
¡ 數據位:8
¡ 停止位:1
¡ 奇偶校驗:無
¡ 流量控製:無
(5) 設備上電。
在設備自檢結束後,用戶可通過鍵入回車進入命令交互界麵。出現命令行提示符後即可鍵入命令來配置設備或查看設備運行狀態,需要幫助可以隨時鍵入?。
CLI登錄用戶的訪問行為需要由用戶線管理、限製,即網絡管理員可以給每個用戶線配置一係列參數,比如用戶登錄時是否需要認證、用戶登錄後的角色等。當用戶通過CLI登錄到設備的時候,係統會給用戶分配一個用戶線,登錄用戶將受到該用戶線下配置參數的約束。
設備提供如下類型的用戶線:
· Console用戶線:用來管理和監控通過Console口登錄的用戶。
· AUX用戶線:用來管理和監控通過AUX口登錄的用戶。AUX口通常用於通過Modem進行撥號訪問。(同時支持Console口和AUX口)
· TTY(True Type Terminal,實體類型終端)用戶線:用來管理和監控通過Telnet重定向服務器的異步串口登錄到目的設備的用戶。異步串口包括工作在異步方式的同/異步串口,即Serial接口,和專用異步串口,即Async接口。
· VTY(Virtual Type Terminal,虛擬類型終端)用戶線:用來管理和監控通過Telnet或SSH登錄的用戶。
用戶線的編號有絕對編號方式和相對編號方式。
· 絕對編號方式
使用絕對編號方式,可以唯一的指定一個用戶線。絕對編號從0開始自動編號,每次增長1,先給所有Console用戶線編號,其次是所有TTY用戶線、所有AUX用戶線、最後是VTY用戶線。使用display line(不帶參數)可查看到設備當前支持的用戶線以及它們的絕對編號。
· 相對編號方式
相對編號是每種類型用戶線的內部編號,表現形式為“用戶線類型 編號”。TTY用戶線的編號從1開始以1為單位遞增。其他用戶線的編號從0開始以1為單位遞增。
用戶登錄時,係統會根據用戶的登錄方式,自動給用戶分配一個當前空閑的、編號最小的某類型的用戶線,整個登錄過程將受該用戶線視圖下配置的約束。用戶與用戶線並沒有固定的對應關係:
· 同一用戶登錄的方式不同,分配的用戶線不同。比如用戶A使用Console口登錄設備時,將受到Console用戶線視圖下配置的約束;當使用Telnet登錄設備時,將受到VTY用戶線視圖下配置的約束。
· 同一用戶登錄的時間不同,分配的用戶線可能不同。比如用戶本次使用Telnet登錄設備,設備為其分配的用戶線是VTY 1。當該用戶下次再Telnet登錄時,設備可能已經把VTY 1分配給其他Telnet用戶了,隻能為該用戶分配其他的用戶線。
如果沒有空閑的、相應類型的用戶線可分配,則用戶不能登錄設備。
在用戶線下配置認證方式,可以要求當用戶使用指定用戶線登錄時是否需要認證,以提高設備的安全性。設備支持配置如下認證方式:
· 認證方式為none:表示下次使用該用戶線登錄時不需要進行用戶名和密碼認證,任何人都可以登錄到設備上,這種情況可能會帶來安全隱患。FIPS模式下不支持該認證方式。
· 認證方式為password:表示下次使用該用戶線登錄時,需要輸入密碼。隻有密碼正確,用戶才能登錄到設備上。配置認證方式為password後,請妥善保存密碼。FIPS模式下不支持該認證方式。
· 認證方式為scheme:表示下次使用該用戶線登錄設備時需要進行用戶名和密碼認證,用戶名或密碼錯誤,均會導致登錄失敗。配置認證方式為scheme後,請妥善保存用戶名及密碼。
認證方式不同,配置不同,具體配置如表3-1所示。
|
認證方式 |
認證所需配置 |
|
none |
設置登錄用戶的認證方式為不認證 |
|
password |
設置登錄用戶的認證方式為password認證 設置密碼認證的密碼 |
|
scheme |
設置登錄用戶的認證方式為scheme認證 在ISP域視圖下為login用戶配置認證方法 |
用戶角色中定義了允許用戶配置的係統功能以及資源對象,即用戶登錄後執行的命令。關於用戶角色的詳細描述以及配置請參見“基礎配置指導”中的“RBAC”。
· 對於none和password認證方式,登錄用戶的角色由用戶線下的用戶角色配置決定。
· 對於scheme認證方式,且用戶通過SSH的publickey或password-publickey方式登錄設備時,登錄用戶將被授予同名的設備管理類本地用戶視圖下配置的授權用戶角色。
· 對於scheme認證方式,非SSH登錄以及用戶通過SSH的password方式登錄設備時,登錄用戶使用AAA認證用戶的角色配置。尤其對於遠程AAA認證用戶,如果AAA服務器沒有下發用戶角色且缺省用戶角色授權功能處於關閉狀態時,用戶將不能登錄設備。
· 設備運行於FIPS模式時,本特性部分配置相對於非FIPS模式有所變化,具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
· 設備運行於FIPS模式時,不支持用戶通過Telnet登錄設備。
通過CLI登錄設備時,有以下限製和指導:
· 用戶線視圖下的配置優先於用戶線類視圖下的配置。
· 當用戶線或用戶線類視圖下的屬性配置為缺省值時,將優先采用配置為非缺省值的視圖下的配置。
· 用戶線視圖下的配置隻對該用戶線生效。
· 用戶線類視圖下的配置修改不會立即生效,當用戶下次登錄後所修改的配置值才會生效。
通過Console口/AUX口進行本地登錄是登錄設備的基本方式之一,用戶可以使用本地鏈路登錄設備,便於係統維護。如圖3-1和圖3-2所示。具體登錄步驟,請參見通過Console口首次登錄設備。
圖3-1 通過Console口登錄設備示意圖
圖3-2 通過Console口/AUX口登錄設備示意圖
缺省情況下,通過Console口登錄時認證方式為none,可直接登錄。登錄成功之後用戶角色為network-admin。
缺省情況下,通過AUX口登錄時認證方式為password,用戶需要先通過Console口登錄設備,進行相關配置後,方可通過AUX口登錄設備,登錄成功後用戶角色為network-operator。
首次登錄後,建議修改認證方式以及其他參數來增強設備的安全性。
改變Console口/AUX口登錄的認證方式後,新認證方式對新登錄的用戶生效。
FIPS模式下,不支持無需認證、密碼認證,僅支持AAA認證(scheme)。
通過Console口/AUX口登錄設備配置任務如下:
(1) 配置通過Console口/AUX口登錄設備的認證方式
¡ 配置通過Console口/AUX口登錄設備時無需認證(none)
¡ 配置通過Console口/AUX口登錄設備時采用密碼認證(password)
¡ 配置通過Console口/AUX口登錄設備時采用AAA認證(scheme)
(2) (可選)配置Console口/AUX口登錄方式的公共屬性
(1) 進入係統視圖。
system-view
(2) 進入Console/AUX用戶線或Console/AUX用戶線類視圖。
¡ 進入Console/AUX用戶線視圖。
line { aux | console } first-number [ last-number ]
¡ 進入Console/AUX用戶線類視圖。
line class { aux | console }
(3) 設置登錄用戶的認證方式為不認證。
authentication-mode none
缺省情況下,用戶通過Console口登錄,認證方式為none;用戶通過AUX口登錄,認證方式為password。
當認證方式設置為none時,用戶不需要輸入用戶名和密碼,就可以使用該用戶線登錄設備,存在安全隱患,請謹慎配置。
(4) 配置從當前用戶線登錄設備的用戶角色。
user-role role-name
缺省情況下,通過Console口登錄設備的用戶角色為network-admin。通過AUX口登錄設備的用戶角色為network-operator。
(1) 進入係統視圖。
system-view
(2) 進入Console/AUX用戶線或Console/AUX用戶線類視圖。
¡ 進入Console/AUX用戶線視圖。
line { aux | console } first-number [ last-number ]
¡ 進入Console/AUX用戶線類視圖。
line class { aux | console }
(3) 設置登錄用戶的認證方式為密碼認證。
authentication-mode password
缺省情況下,用戶通過Console口登錄,認證方式為none;用戶通過AUX口登錄,認證方式為password。
(4) 設置認證密碼。
set authentication password { hash | simple } string
缺省情況下,未設置認證密碼。
(5) 配置從當前用戶線登錄設備的用戶角色。
user-role role-name
缺省情況下,通過Console口登錄設備的用戶角色為network-admin。通過AUX口登錄設備的用戶角色為network-operator。
(1) 進入係統視圖。
system-view
(2) 進入Console/AUX或Console/AUX用戶線類視圖。
¡ 進入Console/AUX用戶線視圖。
line { aux | console } first-number [ last-number ]
¡ 進入Console/AUX用戶線類視圖。
line class { aux | console }
(3) 設置登錄用戶的認證方式為通過AAA認證。
(非FIPS模式)
authentication-mode scheme
缺省情況下,用戶通過Console口登錄,認證方式為none;用戶通過AUX口登錄,認證方式為password。
(FIPS模式)
authentication-mode scheme
缺省情況下,用戶登錄設備的認證方式為scheme。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
(4) 在ISP域視圖下為login用戶配置認證方法。
如果選擇本地認證,請配置本地用戶及相關屬性;如果選擇遠程認證,請配置RADIUS、HWTACACS或LDAP方案。相關配置的詳細介紹請參見“安全配置指導”中的“AAA”。
改變Console口/AUX口屬性後會立即生效,所以通過Console口/AUX口登錄來配置Console口/AUX口屬性可能在配置過程中發生連接中斷,建議通過其他登錄方式來配置Console口/AUX口屬性。
若用戶需要通過Console口/AUX口再次登錄設備,需要改變PC機上運行的終端仿真程序的相應配置,使之與設備上配置的Console口/AUX口屬性保持一致。否則,連接失敗。
(1) 進入係統視圖。
system-view
(2) 進入Console/AUX用戶線或Console/AUX用戶線類視圖。
¡ 進入Console/AUX用戶線視圖。
line { aux | console } first-number [ last-number ]
¡ 進入Console/AUX用戶線類視圖。
line class { aux | console }
(3) 配置設備與訪問終端之間的通信參數。
¡ 配置設備與訪問終端之間的傳輸速率。
speed speed-value
缺省情況下,用戶線的傳輸速率為9600bit/s。
用戶線類視圖下不支持該命令。
¡ 配置校驗方式。
parity { even | mark | none | odd | space }
缺省情況下,設備校驗位的校驗方式為none,即不進行校驗。
用戶線類視圖下不支持該命令。
¡ 配置流量控製方式。
flow-control { hardware | none | software }
flow-control hardware direction1 [ software direction2 ]
flow-control software direction1 [ hardware direction2 ]
缺省情況下,沒有配置流量控製方式。
用戶線類視圖下不支持該命令。
¡ 配置數據位。
databits { 5 | 6 | 7 | 8 }
缺省情況下,用戶線的數據位為8位。
用戶線類視圖下不支持該命令。
|
類型 |
支持的數據位 |
|
傳送字符的編碼類型為標準ASCII碼 |
7 |
|
傳送字符的編碼類型為擴展ASCII碼 |
8 |
|
僅使用Modem登錄設備 |
5、6 |
¡ 配置停止位。
stopbits { 1 | 1.5 | 2 }
缺省情況下,用戶線的停止位為1比特。
停止位用來表示單個包的結束。停止位的位數越多,傳輸效率越低。用戶線類視圖下不支持該命令。
(4) 檢測停止位。
stopbit-error intolerance
缺省情況下,停止位檢測功能處於關閉狀態。
用戶線類視圖下不支持該命令。
(5) 配置用戶線的終端屬性。
¡ 在用戶線上啟動終端服務。
shell
缺省情況下,所有用戶線的終端服務功能處於開啟狀態。
AUX用戶線視圖下不允許關閉shell終端服務。Console用戶線視圖下不允許關閉shell終端服務。
¡ 配置終端的顯示類型。
terminal type { ansi | vt100 }
缺省情況下,終端顯示類型為ANSI。
建議設備的終端類型與客戶端的終端類型都配置為VT100,或者均配置為ANSI的同時保證當前編輯的命令行的總字符數不超過80。否則客戶端的終端屏幕不能正常顯示。
¡ 配置終端屏幕一屏顯示的行數。
screen-length screen-length
缺省情況下,終端屏幕一屏顯示的行數為24行。
screen-length 0表示關閉分屏顯示功能。
¡ 設置曆史命令緩衝區大小。
history-command max-size value
缺省情況下,每個用戶的曆史緩衝區的大小為10,即可存放10條曆史命令。
¡ 設置用戶線的空閑超時時間。
idle-timeout minutes [ seconds ]
缺省情況下,所有的用戶線的超時時間為10分鍾,如果直到超時時間到達,某用戶線一直沒有用戶進行操作,則該用戶線將自動斷開。
超時時間為0表示永遠不會超時。
(6) 設置終端線路的自動執行的命令。
auto-execute command command
缺省情況下,終端線路未設置自動執行命令。
執行該命令後,可能導致用戶不能通過該終端線對本係統進行配置,需謹慎使用。
用戶登錄到終端線路後,設備會自動依次執行command,然後退出當前連接。
當設備支持Console口時,AUX用戶線視圖/AUX用戶線類視圖支持該命令;當設備不支持Console口時,AUX用戶線視圖/AUX用戶線類視圖不支持該命令。
Console用戶線/Console用戶線類視圖下不支持該命令。
(7) 配置快捷鍵。
¡ 配置啟動終端會話的快捷鍵。
activation-key character
缺省情況下,按<Enter>鍵啟動終端會話。
¡ 配置中止當前運行任務的快捷鍵。
escape-key { character | default }
缺省情況下,鍵入<Ctrl+C>中止當前運行的任務。
¡ 配置對當前用戶線進行鎖定並重新認證的快捷鍵。
lock-key key-string
缺省情況下,不存在對當前用戶線進行鎖定並重新認證的快捷鍵。
設備可以作為Telnet服務器,以便用戶能夠Telnet登錄到設備進行遠程管理和監控。具體配置請參見“3.5.3 配置設備作為Telnet服務器配置”。
設備也可以作為Telnet客戶端,Telnet到其他設備,對別的設備進行管理和監控。具體配置請參見“3.5.4 配置設備作為Telnet客戶端登錄其他設備”。
設備運行於FIPS模式時,不支持Telnet登錄。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
改變Telnet登錄的認證方式後,新認證方式對新登錄的用戶生效。
Telnet使用明文方式傳輸數據,可能存在安全隱患。
設備作為Telnet服務器配置任務如下:
(1) 開啟Telnet服務
(2) 配置設備作為Telnet服務器時的認證方式
¡ 配置Telnet登錄設備時采用密碼認證(password)
¡ 配置Telnet登錄設備時采用AAA認證(scheme)
(3) (可選)配置Telnet服務器發送報文的公共屬性
(4) (可選)配置VTY用戶線的公共屬性
(1) 進入係統視圖。
system-view
(2) 開啟設備的Telnet服務。
telnet server enable
缺省情況下,Telnet服務處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置登錄用戶的認證方式為不認證。
authentication-mode none
缺省情況下,Telnet用戶的認證方式為password。
當認證方式設置為none時,用戶不需要輸入用戶名和密碼,就可以使用該用戶線登錄設備,存在安全隱患,請謹慎配置。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(4) 配置從當前用戶線登錄設備的用戶角色。
user-role role-name
缺省情況下,通過Telnet登錄設備的用戶角色為network-operator。
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置登錄用戶的認證方式為密碼認證。
authentication-mode password
缺省情況下,Telnet用戶的認證方式為password。
如果設置認證方式為password,但是沒有配置認證密碼,下次無法通過該用戶線登錄設備。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(4) 設置密碼認證的密碼。
set authentication password { hash | simple } password
缺省情況下,未設置密碼認證的密碼。
(5) (可選)配置從當前用戶線登錄設備的用戶角色。
user-role role-name
缺省情況下,通過Telnet登錄設備的用戶角色為network-operator。
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置登錄用戶的認證方式為通過AAA認證。
authentication-mode scheme
缺省情況下,Telent用戶的認證方式為password。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(4) 在ISP域視圖下為login用戶配置認證方法。
如果選擇本地認證,請配置本地用戶及相關屬性;如果選擇遠程認證,請配置RADIUS、HWTACACS或LDAP方案。相關配置的詳細介紹請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 配置Telnet服務器發送報文的DSCP優先級。
(IPv4網絡)
telnet server dscp dscp-value
(IPv6網絡)
telnet server ipv6 dscp dscp-value
缺省情況下,Telnet服務器發送Telnet報文的DSCP優先級為48。
DSCP攜帶在IPv4報文中的ToS字段和IPv6報文中的Traffic class字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。
(3) 配置Telnet協議的端口號。
(IPv4網絡)
telnet server port port-number
(IPv6網絡)
telnet server ipv6 port port-number
缺省情況下,Telnet協議的端口號為23。
(4) 配置Telnet登錄同時在線的最大用戶連接數。
aaa session-limit telnet max-sessions
缺省情況下,Telnet方式登錄同時在線的最大用戶連接數為32。
配置本命令後,已經在線的用戶連接不會受到影響,隻對新的用戶連接生效。如果當前在線的用戶連接數已經達到最大值,則新的連接請求會被拒絕,登錄會失敗。
關於該命令的詳細描述,請參見“安全命令參考”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置VTY終端屬性。
¡ 設置在終端線路上啟動終端服務。
shell
缺省情況下,所有用戶線的終端服務功能處於開啟狀態。
¡ 配置終端的顯示類型。
terminal type { ansi | vt100 }
缺省情況下,終端顯示類型為ANSI。
¡ 設置終端屏幕一屏顯示的行數。
screen-length screen-length
缺省情況下,終端屏幕一屏顯示的行數為24行。
取值為0表示關閉分屏顯示功能。
¡ 設置設備曆史命令緩衝區大小。
history-command max-size value
缺省情況下,每個用戶的曆史緩衝區大小為10,即可存放10條曆史命令。
¡ 設置VTY用戶線的空閑超時時間。
idle-timeout minutes [ seconds ]
缺省情況下,所有的用戶線的超時時間為10分鍾。如果10分鍾內某用戶線沒有用戶進行操作,則該用戶線將自動斷開。
取值為0表示永遠不會超時。
(4) 配置VTY用戶線支持的協議。
protocol inbound { all | pad | ssh | telnet }
缺省情況下,設備同時支持Telnet和SSH協議。
該配置將在用戶下次使用該用戶線登錄時生效。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(5) 設置從用戶線登錄後自動執行的命令。
auto-execute command command
缺省情況下,未配置自動執行命令。
在配置auto-execute command命令並退出登錄之前,要確保可以通過其他VTY、AUX用戶登錄並更改配置,以便出現問題後,能刪除該配置。
配置自動執行命令後,用戶在登錄時,係統會自動執行已經配置好的命令,執行完命令後,自動斷開用戶連接。如果這條命令引發了一個任務,係統會等這個任務執行完畢後再斷開連接。
(6) 配置快捷鍵。
¡ 配置中止當前運行任務的快捷鍵。
escape-key { key-string | default }
缺省情況下,鍵入<Ctrl+C>中止當前運行的任務。
¡ 配置對當前用戶線進行鎖定並重新認證的快捷鍵。
lock-key key-string
缺省情況下,不存在對當前用戶線進行鎖定並重新認證的快捷鍵。
用戶已經成功登錄到了設備上,並希望將當前設備作為Telnet客戶端登錄到Telnet服務器上進行操作,如圖3-3所示。
先配置設備IP地址並獲取Telnet服務器的IP地址。如果設備與Telnet服務器相連的端口不在同一子網內,請保證兩台設備間路由可達。
(1) 進入係統視圖。
system-view
(2) (可選)指定設備作為Telnet客戶端時,發送Telnet報文的源IPv4地址或源接口。
telnet client source { interface interface-type interface-number | ip ip-address }
缺省情況下,未指定發送Telnet報文的源IPv4地址和源接口,使用報文路由出接口的主IPv4地址作為Telnet報文的源地址。
(3) 退回用戶視圖。
quit
(4) 設備作為Telnet客戶端登錄到Telnet服務器。
(IPv4網絡)
telnet remote-host [ service-port ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ip ip-address } ] [ dscp dscp-value ] [ escape character ]
(IPv6網絡)
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ] [ dscp dscp-value ] [ escape character ]
用戶通過一個不能保證安全的網絡環境遠程登錄到設備時,SSH(Secure Shell,安全外殼)可以利用加密和強大的認證功能提供安全保障,保護設備不受諸如IP地址欺詐、明文密碼截取等攻擊。
· 設備可以作為SSH服務器,以便用戶能夠使用SSH協議登錄到設備進行遠程管理和監控。具體配置請參見“3.6.2 配置設備作為SSH服務器”。
· 設備也可以作為SSH客戶端,使用SSH協議登錄到別的設備,對別的設備進行管理和監控。具體配置請參見“3.6.3 配置設備作為SSH客戶端登錄其他設備”。
以下配置步驟隻介紹采用password方式認證SSH客戶端的配置方法,publickey方式的配置方法及SSH的詳細介紹,請參見“安全配置指導”中的“SSH”。
(1) 進入係統視圖。
system-view
(2) 生成本地密鑰對。
(非FIPS模式)
public-key local create { dsa | ecdsa secp256r1 | rsa }
(FIPS模式)
public-key local create { ecdsa secp256r1 | rsa }
(3) 開啟SSH服務器功能。
ssh server enable
缺省情況下,SSH服務器功能處於關閉狀態。
(4) (可選)建立SSH用戶,並指定SSH用戶的認證方式。
ssh user username service-type stelnet authentication-type password
(5) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(6) 配VTY用戶線的認證方式為scheme方式。
(非FIPS模式)
authentication-mode scheme
缺省情況下,VTY用戶線的認證方式為password方式。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(FIPS模式)
authentication-mode scheme
缺省情況下,VTY用戶線的認證方式為scheme方式。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
(7) (可選)配置VTY用戶線支持的SSH協議。
(非FIPS模式)
protocol inbound { all | pad | ssh | telnet }
缺省情況下,設備同時支持Telnet和SSH協議。
本配置將在用戶下次使用該用戶線登錄時生效。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(FIPS模式)
protocol inbound ssh
缺省情況下,設備支持SSH協議。
本配置將在用戶下次使用該用戶線登錄時生效。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(8) (可選)配置SSH方式登錄設備時,同時在線的最大用戶連接數。
aaa session-limit ssh max-sessions
缺省情況下,SSH方式登錄同時在線的最大用戶連接數為32。
配置本命令後,已經在線的用戶連接不會受到影響,隻對新的用戶連接生效。如果當前在線的用戶連接數已經達到最大值,則新的連接請求會被拒絕,登錄會失敗。
關於該命令的詳細描述,請參見“安全命令參考”中的“AAA”。
(9) (可選)退回係統視圖並配置VTY用戶線的公共屬性。
a. 退回係統視圖。
quit
b. 配置VTY用戶線的公共屬性。
詳細配置請參見“3.5.3 7. 配置VTY用戶線的公共屬性”。
用戶已經成功登錄到了設備上,並希望將當前設備作為SSH客戶端登錄到其他設備上進行操作,如圖3-4所示。
先配置設備IP地址並獲取SSH服務器的IP地址。如果設備與SSH服務器相連的端口不在同一子網內,請配置路由使得兩台設備間路由可達。
請在用戶視圖下執行本命令,配置設備作為SSH客戶端登錄到SSH服務器。
(IPv4網絡)
ssh2 server
(IPv6網絡)
ssh2 ipv6 server
為配合SSH服務器,設備作為SSH客戶端時還可進一步進行其他配置,具體配置請參見“安全配置指導”中的“SSH”。
網絡管理員可以通過設備的Console口/AUX口,利用一對Modem和PSTN(Public Switched Telephone Network,公共電話交換網)拔號登錄到設備上,對遠程設備進行管理和維護。這種登錄方式一般適用於在網絡中斷的情況下,利用PSTN網絡對設備進行遠程管理、維護及故障定位。
通過Console口利用Modem撥號進行遠程登錄時使用AUX用戶線。缺省情況下,通過Modem登錄使用無認證方式。
通過AUX口利用Modem撥號進行遠程登錄時,使用的是AUX用戶線。缺省情況下,通過Modem登錄使用password認證方式。
通過AUX口利用Modem撥號進行遠程登錄時,需要先配置Modem登錄password認證方式的密碼,或者更改認證方式並完成相關參數的設置,才可以通過Modem登錄設備。具體配置請參見“3.4 配置通過Console口/AUX口登錄設備”。
通過Console口利用Modem撥號進行遠程登錄時,使用的是AUX用戶線。缺省情況下,通過Modem登錄認證方式為none。具體配置請參見“3.4 配置通過Console口/AUX口登錄設備”。
通過Modem遠程登錄設備的配置步驟如下:
(1) 如圖3-5所示,建立遠程配置環境,在PC機(或終端)的串口和設備的Console口/AUX口分別掛接Modem。
(2) 獲取遠程設備端Console口/AUX口所連Modem上對應的電話號碼。
(3) 在與設備直接相連的Modem上進行以下配置。
AT&F-------------------------- Modem恢複出廠配置
ATS0=1------------------------ 配置自動應答(振鈴一聲)
AT&D-------------------------- 忽略DTR信號
AT&K0------------------------- 禁止流量控製
AT&R1------------------------- 忽略RTS信號
AT&S0------------------------- 強製DSR為高電平
ATEQ1&W----------------------- 禁止modem回送命令響應和執行結果並存儲配置
在配置後為了查看Modem的配置是否正確,可以輸入AT&V命令顯示配置的結果。
各種Modem配置命令及顯示的結果有可能不一樣,具體操作請參見Modem的說明書進行。
(4) 為避免傳輸過程中數據的丟失,請確認AUX口的以下配置:
¡ AUX口波特率Speed要低於Modem的傳輸速率,否則可能會出現丟包現象。
¡ AUX口的其他屬性,例如校驗方式、停止位、數據位等均采用缺省值。
¡ AUX口連接Modem用於Modem登錄時,在AUX用戶線視圖下,還可以配置一些modem命令來管理Modem登錄用戶,具體配置步驟請參見“二層技術-廣域網接入”中的“Modem管理”。
(5) 為避免傳輸過程中數據的丟失,請確認Console口的以下配置:
¡ Console口波特率Speed要低於Modem的傳輸速率,否則可能會出現丟包現象。
¡ Console口的其他屬性,例如校驗方式、停止位、數據位等均采用缺省值。
(6) 在PC機上運行終端仿真程序,新建一個撥號連接(所撥號碼為與設備相連的Modem的電話號碼),與設備建立連接。
(7) 在遠端通過終端仿真程序和Modem向設備撥號。不同品牌Modem的撥號方法可能不同,具體操作請參見Modem的操作指導。
(8) 當聽到撥號音後,如果AUX用戶線的認證方式為none,則在超級終端上鍵入回車鍵之後將出現命令行提示符。如果AUX用戶線的認證方式為password或scheme,則在超級終端上需鍵入合法的用戶名/密碼之後才會出現命令行提示符。
當您使用完超級終端仿真程序後,務必要先斷開PC與遠端設備的連接,不能直接關閉超級終端,否則有些型號的遠程Modem將一直在線,下次撥號連接時將無法撥號成功。
當您想斷開PC與遠端設備的連接時,首先在超級終端中用“ATH”命令斷開Modem間的連接。如果在超級終端窗口無法輸入此命令,可輸入“AT+ + +”並回車,待窗口顯示“OK”提示後再輸入“ATH”命令,屏幕再次顯示“OK”提示,表示已斷開本次連接。您也可以使用超級終端頁麵提供的掛斷按扭 斷開PC與遠端設備的連接。
開啟Telnet重定向功能後,用戶執行“telnet重定向服務器的IP地址 監聽端口號”能夠直接登錄到目的設備,用戶無需知曉目的設備的IP地址。其典型組網圖如圖3-6所示,用戶在PC機上新建Telnet連接,輸入重定向服務器的地址192.168.100.240及Telnet重定向監聽的端口號6067,連接時使用選擇TCP/IP連接方式,進入登錄設備界麵,按回車鍵後將出現DeviceC命令行提示符。
配置Telnet重定向功能時,請遵循以下限製和指導:
· 重定向服務器與設備連接的接口可以是AUX口或異步接口,其中異步接口包括專用異步串口(Async接口)或者工作在異步模式下的同步串口(Serial接口)。
· 目的設備首次通過AUX口與重定向服務器相連時,需要先通過Console口登錄到目的設備後,對AUX用戶線視圖下的認證方式、用戶角色及公共屬性進行相應的配置,再重新連接。
· 僅支持一個用戶終端通過重定向服務器登錄目的設備。
(1) 進入係統視圖。
system-view
(2) 進入串口視圖。請選擇其中一項進行配置。
¡ 進入同步串口視圖,並配置其工作在異步模式下。
interface serial interface-number
physical-mode async
缺省情況下,同步串口工作在同步模式。
¡ 進入異步串口視圖。
interface async interface-number
在使用同/異步串口時,需使用轉接器連接到目的設備。
(3) 配置串口屬性。
¡ 設置異步串口工作在流模式。
async-mode flow
缺省情況下,異步串口工作在協議模式(protocol)。
¡ (可選)關閉電平檢測功能。
undo detect dsr-dtr
缺省情況下,電平檢測功能處於開啟狀態。
此命令是否需要配置與對端設備有關,請以實際情況為準。
(4) 退回係統視圖。
quit
(5) 進入AUX/TTY用戶線視圖。
line { first-number1 [ last-number1 ] | { aux | tty } first-number2 [ last-number2 ] }
(6) 配置用戶線屬性。
¡ 設置用戶線的傳輸速率。
speed speed-value
缺省情況下,用戶線的傳輸速率為9600bps。
重定向服務器與目的設備相連端口對應的用戶線的傳輸速率必須相同,否則重定向將失敗。
¡ 設置停止位的個數。
stopbits { 1 | 1.5 | 2 }
缺省情況下,停止位為1比特。
重定向服務器與目的設備相連端口對應的用戶線的停止位設置必須相同,否則重定向將失敗。
(7) 開啟Telnet重定向功能。
redirect enable
缺省情況下,異步串口重定向功能處於關閉狀態。
(8) 關閉終端服務。
undo shell
缺省情況下,所有用戶線的終端服務功能處於開啟狀態。
(9) (可選)配置重定向參數。
¡ 設置Telnet重定向的監聽端口。
redirect listen-port port-number
缺省情況下,Telnet重定向的監聽端口號為用戶界麵的絕對編號加2000。
¡ 設置Telnet重定向連接空閑超時時間。
redirect timeout time
缺省情況下,設備Telnet重定向的空閑超時時間為360秒。
(10) (可選)設置Telnet重定向時對數據不進行任何處理直接轉發。
redirect passthrough
缺省情況下,在建立Telnet重定向連接後,將對數據按照Telnet協議規定處理。
Telnet重定向服務器連接的用戶和目的設備之間的報文傳輸不遵循Telnet標準協議的情況下需要配置此命令使設備僅轉發而不處理報文以完成登錄過程。
(11) (可選)設置在建立Telnet重定向連接時不進行Telnet選項協商。
redirect refuse-negotiation
缺省情況下,在建立Telnet重定向連接時,會進行Telnet選項協商。
該命令在目的設備不需要進行Telnet選項協商時使用。
(1) 進入係統視圖。
system-view
(2) 建立Telnet重定向監聽端口與IP地址的對應關係。
ip alias ip-address port-number
缺省情況下,未配置Telnet重定向監聽端口與IP地址的對應關係。
(1) 進入AUX/TTY用戶線視圖。
line { first-number1 [ last-number1 ] | { aux | tty } first-number2 [ last-number2 ] }
(2) 強製斷開已建立的Telnet重定向連接。
redirect disconnect
強製斷開已經建立的Telnet重定向連接,會導致通過Telnet重定向登錄到目標設備的用戶下線。
表3-2 CLI顯示和維護
|
操作 |
命令 |
說明 |
|
顯示用戶線的相關信息 |
display line [ num1 | { aux | console | tty | vty } num2 ] [ summary ] |
在任意視圖下執行 |
|
顯示設備作為Telnet客戶端的相關配置信息 |
display telnet client |
在任意視圖下執行 |
|
顯示當前正在使用的用戶線以及用戶的相關信息 |
display users |
在任意視圖下執行 |
|
顯示設備支持的所有用戶線以及用戶的相關信息 |
display users all |
在任意視圖下執行 |
|
釋放指定的用戶線 |
free line { num1 | { aux | console | tty | vty } num2 } |
在用戶視圖下執行 係統支持多個用戶同時對設備進行配置,當管理員在維護設備時,其他在線用戶的配置影響到管理員的操作,或者管理員正在進行一些重要配置不想被其他用戶幹擾時,可以使用以下命令強製斷開該用戶的連接 不能使用該命令釋放用戶當前自己使用的連接 |
|
鎖定當前用戶線並設置解鎖密碼,防止未授權的用戶操作該線 |
lock |
在用戶視圖下執行 缺省情況下,係統不會自動鎖定當前用戶線 FIPS模式下,不支持此命令 |
|
鎖定當前用戶線並對其進行重新認證 |
lock reauthentication |
在任意視圖下執行 缺省情況下,係統不會自動鎖定當前用戶線並對其進行重新認證 請使用設備登錄密碼解除鎖定並重新登錄設備 |
|
向指定的用戶線發送消息 |
send { all | num1 | { aux | console | tty | vty } num2 } |
在用戶視圖下執行 |
為了方便用戶對網絡設備進行配置和維護,設備提供Web功能。用戶可以通過PC登錄到設備上,使用Web界麵直觀地配置和維護設備。
設備支持兩種Web登錄方式:
· HTTP登錄方式:HTTP(Hypertext Transfer Protocol,超文本傳輸協議)用來在Internet上傳遞Web頁麵信息。HTTP位於TCP/IP協議棧的應用層,傳輸層采用麵向連接的TCP。設備同時支持HTTP協議1.0和1.1版本。
· HTTPS登錄方式:HTTPS(Hypertext Transfer Protocol Secure,超文本傳輸協議的安全版本)是支持SSL(Secure Sockets Layer,安全套接字層)協議的HTTP協議。HTTPS通過SSL協議,能對客戶端與設備之間交互的數據進行加密,能為設備製定基於證書屬性的訪問控製策略,提高了數據傳輸的安全性和完整性,保證合法客戶端可以安全地訪問設備,禁止非法的客戶端訪問設備,從而實現了對設備的安全管理。
同一瀏覽器下隻允許一個用戶登錄設備。如果多個用戶在同一瀏覽器下登錄設備,則最新登錄的用戶有效。
· 設備運行於FIPS模式時,本特性部分配置相對於非FIPS模式有所變化,具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
· 設備運行於FIPS模式時,不支持用戶通過HTTP方式的Web登錄。
如果設備隻開啟了HTTP服務,為了增強設備的安全性,HTTPS服務的端口號也會被自動打開,且在HTTP服務開啟的狀態下無法通過undo ip https enable命令關閉。
設備支持通過Web頁麵和命令行進行配置和管理,其中通過Web登錄設備僅可對設備的部分功能進行配置和管理,通過CLI登錄設備可以對設備的所有功能進行配置和管理,兩種方式不支持混配。
Web登錄配置任務如下:
(1) 配置通過Web登錄設備
請選擇其中一項進行配置:
(2) 開啟HTTP慢速攻擊防禦功能
(3) 配置用於Web登錄的本地用戶
(4) 管理Web登錄用戶連接
(5) 開啟Web操作日誌輸出功能
在通過Web登錄設備前,需要配置設備的IP地址,確保設備與Web登錄用戶間路由可達。
(1) (可選)請在用戶視圖下執行本命令,配置用戶訪問Web的固定校驗碼。
web captcha verification-code
缺省情況下,用戶隻能使用Web頁麵顯示的校驗碼訪問Web。
(2) 進入係統視圖。
system-view
(3) 開啟HTTP服務。
ip http enable
缺省情況下,HTTP服務處於關閉狀態。
(4) (可選)配置HTTP服務的端口號。
ip http port port-number
缺省情況下,HTTP服務的端口號為80。
(5) (可選)配置HTTP服務在響應OPTIONS請求時返回的方法列表。
http method { delete | get | head | options | post | put } *
缺省情況下,未配置任何方法。
(6) (可選)配置HTTP連接空閑超時時間。
http idle-timeout minutes
缺省情況下,HTTP連接空閑超時時間為30分鍾。
HTTPS登錄方式分為以下兩種:
· 簡便登錄方式:采用這種方式時,設備上隻需開啟HTTPS服務,用戶即可通過HTTPS登錄設備。此時,使用的是設備簽發的自簽名證書,此方式配置簡單,但安全性較低。用戶無需配置HTTPS服務關聯的SSL服務器端策略,使用的SSL參數均為缺省值。但由於自簽名證書不是由可信CA簽發而不受瀏覽器信任,當用戶使用HTTPS協議訪問設備時,用戶的瀏覽器上將會彈出安全風險提示,若用戶能夠接受使用自簽名證書帶來的安全風險,可選擇忽略此提示,繼續瀏覽網頁。
· 安全登錄方式:采用這種方式時,設備上不僅要開啟HTTPS服務,還需要配置SSL服務器端策略、PKI域等。此時,采用的是CA簽發的本地證書,此方式配置相對複雜但安全性較強。用戶需要獲取CA證書並向CA申請本地證書,同時配置SSL服務器端策略,並將其與HTTPS服務進行關聯,來增強HTTPS服務的安全性。
采用安全登錄方式時,請您首先從正規官方的第三方CA機構為設備購買SSL用途的本地證書,H3C不為設備提供權威機構簽發的CA證書。
SSL的相關描述和配置請參見“安全配置指導”中的“SSL”。自簽名證書、本地證書及PKI的相關描述和配置請參見“安全配置指導”中的“PKI”。
· HTTPS服務和SSL VPN服務使用相同的端口號時,二者引用的SSL服務器端策略必須相同,否則無法同時開啟HTTPS服務和SSL VPN服務。若要修改引用的SSL服務器端策略,則需要先關閉HTTPS服務和SSL VPN服務,修改SSL服務器端策略後,再開啟HTTPS服務和SSL VPN服務,修改後的SSL服務器端策略才能生效。
· 更改HTTPS服務與SSL服務器端的關聯策略,需要先關閉HTTP和HTTPS服務,再重新配置HTTPS服務與SSL服務器端策略關聯,最後重新開啟HTTP服務和HTTPS服務,新的策略即可生效。
· 如需恢複HTTPS使用自簽名證書的情況,必須先關閉HTTP和HTTPS服務,再執行undo ip https ssl-server-policy,最後重新開啟HTTP服務和HTTPS服務即可。
· 開啟HTTPS服務,會觸發SSL的握手協商過程。在SSL握手協商過程中,如果設備的本地證書不存在,則SSL協商過程會觸發證書申請流程。由於證書申請需要較長的時間,會導致SSL協商不成功,從而無法正常啟動HTTPS服務。此時,需要多次執行ip https enable命令,HTTPS服務才能正常啟動。
· 如果配置HTTPS服務與證書屬性訪問控製策略關聯,則必須同時在與HTTPS服務關聯的SSL服務器端策略中配置client-verify enable命令,且證書屬性訪問控製策略中必須至少包括一條permit規則,否則任何HTTPS客戶端都無法登錄設備。
(1) (可選)請在用戶視圖下執行本命令,配置用戶訪問Web的固定校驗碼。
web captcha verification-code
缺省情況下,用戶隻能使用Web頁麵顯示的校驗碼訪問Web。
(2) 進入係統視圖。
system-view
(3) (可選)配置HTTPS服務與其他策略的關聯。
¡ 配置HTTPS服務與SSL服務器端策略關聯。
ip https ssl-server-policy policy-name
缺省情況下,HTTPS服務未與SSL服務器端策略關聯,HTTPS使用自簽名證書。
¡ 配置HTTPS服務與證書屬性訪問控製策略關聯。
ip https certificate access-control-policy policy-name
缺省情況下,HTTPS服務未與證書屬性訪問控製策略關聯。
通過將HTTPS服務與已配置的客戶端證書屬性訪問控製策略關聯,可以實現對客戶端的訪問權限進行控製。證書屬性訪問控製策略的詳細介紹請參見“安全配置指導”中的“PKI”。
(4) 開啟HTTPS服務。
ip https enable
缺省情況下,HTTPS服務處於關閉狀態。
(5) (可選)配置HTTPS服務的端口。
ip https port port-number
缺省情況下,HTTPS服務的端口號為443。
(6) (可選)配置使用HTTPS登錄設備時的方式。
web https-authorization mode { auto | certificate | certificate-manual | manual }
缺省情況下,用戶使用HTTPS登錄設備時的方式為manual。
(7) (可選)配置通過數字證書登錄設備時使用的用戶名。
web https-authorization username { cn | email-prefix | oid oid-value }
缺省情況下,使用數字證書中的CN(Common Name,公用名稱)字段,作為通過數字證書登錄設備時使用的用戶名。
HTTP慢速攻擊(slow HTTP attack)是一種DoS攻擊方式。此攻擊根據HTTP和TCP協議發送合法的HTTP流量,但速度非常慢,這種行為消耗了服務器的大量資源,它必須保持連接打開,等待完整的請求到達。這使得HTTP連接一直被占用,導致正常的HTTP請求無法獲得回應。
HTTP慢速攻擊有主要有三種類型,分別是Slow headers、Slow body、Slow read。
· Slow headers(也稱Slowloris):Web應用在處理HTTP請求之前都要先接收完整的HTTP頭部,Web服務器在沒接收到2個連續的\r\n時,會認為客戶端沒有發送完HTTP頭部。Slow headers攻擊者將一個HTTP請求報文頭部分多次慢速發送給服務器,從而一直占用服務器的連接和內存資源。
· Slow body(也稱Slow HTTP POST):攻擊者發送一個HTTP POST請求,該請求的頭部值很大,使得Web服務器或代理認為客戶端要發送很大的數據。服務器會保持連接準備接收數據,但攻擊客戶端每次隻發送很少量的數據,使該連接一直保持存活,消耗服務器的連接和內存資源。
· Slow read(也稱Slow Read attack):客戶端與服務器建立連接並發送了一個完整的HTTP請求給服務器端,然後一直保持這個連接,以很低的速度讀取Response,讓服務器誤以為客戶端很忙,直到連接快超時前才讀取一個字節,以消耗服務器的連接和內存資源。
HTTP慢速攻擊防禦功能開啟後,可通過http slow-attack命令來配置慢速攻擊的超時時間,設備將根據超時時間來判斷設備是否受到攻擊,如果受到攻擊設備會立即關閉超過會話超時時間的會話連接。
(1) 進入係統視圖。
system-view
(2) 開啟HTTP慢速攻擊防禦功能。
http slow-attack defense enable
缺省情況下,HTTP慢速攻擊防禦功能處於關閉狀態。
(3) (可選)配置HTTP慢速攻擊的超時時間。
http slow-attack { packet-header-timeout seconds | packet-body-timeout seconds | client-read-timeout seconds } *
缺省情況下,Slow headers攻擊的超時時間為10秒,Slow body攻擊的超時時間為20秒,Slow read攻擊的超時時間為30秒。
(1) 進入係統視圖。
system-view
(2) 創建本地用戶用於Web登錄,並進入本地用戶視圖。
local-user user-name [ class manage ]
(3) (可選)設置本地用戶的密碼。
(非FIPS模式)
password [ { hash | simple } password ]
缺省情況下,不存在本地用戶密碼,即本地用戶認證時無需輸入密碼,隻要用戶名有效且其他屬性驗證通過即可認證成功。
(FIPS模式)
password
缺省情況下,不存在本地用戶密碼,但本地用戶認證時不能成功。
(4) 配置Web登錄用戶的屬性。
¡ 配置Web登錄的用戶角色。
authorization-attribute user-role user-role
缺省情況下,Web登錄的用戶角色為network-operator。
¡ 配置Web登錄用戶的服務類型。
service-type { http | https }
缺省情況下,未配置用戶的服務類型。
(1) 進入係統視圖。
system-view
(2) 配置Web登錄用戶連接的超時時間。
web idle-timeout minutes
缺省情況下,Web閑置超時時間為10分鍾。
(1) 進入係統視圖。
system-view
(2) 配置同時在線的最大Web用戶連接數。
aaa session-limit { http | https } max-sessions
缺省情況下,同時在線的最大Web用戶連接數為32。
配置本命令後,已經在線的用戶連接不會受到影響,隻對新的用戶連接生效。如果當前在線的用戶連接數已經達到最大值,則新的連接請求會被拒絕,登錄會失敗。關於該命令的詳細描述,請參見“安全命令參考”中的“AAA”。
請在用戶視圖下執行本命令,強製在線Web用戶下線。
free web users { all | user-id user-id | user-name user-name }
(1) 進入係統視圖。
system-view
(2) 開啟Web操作日誌輸出功能。
webui log enable
缺省情況下,Web操作日誌輸出功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示Web用戶的信息、HTTP的狀態信息和HTTPS的狀態信息,通過查看顯示信息驗證配置的效果;可以在用戶視圖下執行free web users命令來強製在線Web用戶下線。
表4-1 Web用戶顯示
|
操作 |
命令 |
|
顯示HTTP的狀態信息 |
display ip http |
|
顯示HTTPS的狀態信息 |
display ip https |
|
顯示Web的頁麵菜單樹 |
display web menu [ chinese ] |
|
顯示Web用戶的相關信息 |
display web users |
|
強製在線Web用戶下線 |
free web users { all | user-id user-id | user-name user-name } |
PC與設備通過IP網絡相連且路由可達,PC和設備Vlan-interface1的IP地址分別為192.168.101.99/24和192.168.100.99/24。
圖4-1 配置HTTP方式登錄組網圖
# 配置Web用戶名為admin,認證密碼為hello12345,服務類型為http,用戶角色為network-admin。
<Sysname> system-view
[Sysname] local-user admin
[Sysname-luser-manage-admin] service-type http
[Sysname-luser-manage-admin] authorization-attribute user-role network-admin
[Sysname-luser-manage-admin] password simple hello12345
[Sysname-luser-manage-admin] quit
# 配置開啟HTTP服務。
[Sysname] ip http enable
在PC的瀏覽器地址欄內輸入設備的IP地址並回車,瀏覽器將顯示Web登錄頁麵。
在“Web用戶登錄”對話框中輸入用戶名、密碼及驗證碼,點擊<登錄>按鈕後即可登錄,顯示Web初始頁麵。成功登錄後,用戶可以在配置區對設備進行相關配置。
用戶可以通過Web頁麵訪問和控製設備。為了防止非法用戶訪問和控製設備,提高設備管理的安全性,設備要求用戶以HTTPS的方式登錄Web頁麵,利用SSL協議實現用戶身份驗證,並保證傳輸的數據不被竊聽和篡改。
為了滿足上述需求,需要進行如下配置:
· 配置Device作為HTTPS服務器,並為Device申請證書。
· 為HTTPS客戶端Host申請證書,以便Device驗證其身份。
其中,負責為Device和Host頒發證書的CA(Certificate Authority,證書頒發機構)名稱為new-ca。
采用Windows 2003 server CA服務器為Device和Host頒發證書,用戶在使用HTTPS協議訪問設備時,用戶的瀏覽器上將會彈出安全風險提示,用戶能夠接受此種身份驗證方式帶來的安全風險,可選擇忽略此提示,繼續瀏覽網頁。
在進行下麵的配置之前,請先配置各接口的IP地址,並確保各設備之間路由可達。(具體配置過程略)確保Device、Host、CA之間路由可達。
本配置舉例中,CA服務器為Windows 2003 server CA服務器,請先自行完成CA服務器的配置。有關Windows 2003 server CA服務器的詳細配置,請參見“安全配置指導”中的“PKI”。
圖4-2 HTTPS配置組網圖
(1) 配置HTTPS服務器Device
# 配置PKI實體en,指定實體的通用名為http-server1、FQDN為ssl.example.com。
<Device> system-view
[Device] pki entity en
[Device-pki-entity-en] common-name http-server1
[Device-pki-entity-en] fqdn ssl.example.com
[Device-pki-entity-en] quit
# 配置PKI域1,指定信任的CA名稱為new-ca、注冊服務器的URL為https://10.1.2.2/certsrv/mscep/mscep.dll、證書申請的注冊受理機構為RA、實體名稱為en。
[Device] pki domain 1
[Device-pki-domain-1] ca identifier new-ca
[Device-pki-domain-1] certificate request url https://10.1.2.2/certsrv/mscep/mscep.dll
[Device-pki-domain-1] certificate request from ra
[Device-pki-domain-1] certificate request entity en
# 指定證書申請使用的RSA密鑰對名稱為“hostkey”,用途為“通用”,密鑰對長度為1024比特。
[Device-pki-domain-1] public-key rsa general name hostkey length 1024
[Device-pki-domain-1] quit
# 生成本地的RSA密鑰對。
[Device] public-key local create rsa
# 獲取CA的證書。
[Device] pki retrieve-certificate domain 1 ca
# 為Device申請證書。
[Device] pki request-certificate domain 1
# 創建SSL服務器端策略myssl,指定該策略使用PKI域1,並配置服務器端需要驗證客戶端身份。
[Device] ssl server-policy myssl
[Device-ssl-server-policy-myssl] pki-domain 1
[Device-ssl-server-policy-myssl] client-verify enable
[Device-ssl-server-policy-myssl] quit
# 創建證書屬性組mygroup1,並配置證書屬性規則,該規則規定證書頒發者的DN(Distinguished Name,識別名)中包含new-ca。
[Device] pki certificate attribute-group mygroup1
[Device-pki-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca
[Device-pki-cert-attribute-group-mygroup1] quit
# 創建證書訪問控製策略myacp,並建立控製規則,該規則規定隻有由new-ca頒發的證書可以通過證書訪問控製策略的檢測。
[Device] pki certificate access-control-policy myacp
[Device-pki-cert-acp-myacp] rule 1 permit mygroup1
[Device-pki-cert-acp-myacp] quit
# 配置HTTPS服務與SSL服務器端策略myssl關聯。
[Device] ip https ssl-server-policy myssl
# 配置HTTPS服務與證書屬性訪問控製策略myacp關聯,確保隻有從new-ca獲取證書的HTTPS客戶端可以訪問HTTPS服務器。
[Device] ip https certificate access-control-policy myacp
# 開啟HTTPS服務。
[Device] ip https enable
# 創建本地用戶usera,密碼為hello12345,服務類型為https,用戶角色為network-admin。
[Device] local-user usera
[Device-luser-usera] password simple hello12345
[Device-luser-usera] service-type https
[Device-luser-usera] authorization-attribute user-role network-admin
(2) 配置HTTPS客戶端Host
在Host上打開IE瀏覽器,輸入網址https://10.1.2.2/certsrv,根據提示為Host申請證書。
在Host上打開IE瀏覽器,輸入網址https://10.1.1.1,選擇new-ca為Host頒發的證書,即可打開Device的Web登錄頁麵。在登錄頁麵,輸入用戶名usera,密碼hello12345,則可進入Device的Web配置頁麵,實現對Device的訪問和控製。
· HTTPS服務器的URL地址以“https://”開始,HTTP服務器的URL地址以“http://”開始。
· PKI配置命令的詳細介紹請參見“安全命令參考”中的“PKI”;
· public-key local create rsa命令的詳細介紹請參見“安全命令參考”中的“公鑰管理”;
· SSL配置命令的詳細介紹請參見“安全命令參考”中的“SSL”。
用戶可以通過Web頁麵訪問和控製設備。為了防止非法用戶訪問和控製設備,提高設備管理的安全性,要求用戶以HTTPS的方式登錄設備的Web頁麵。
圖4-3 使用HTTPS方式登錄設備典型配置組網圖
由於瀏覽器在校驗HTTPS Web站點提供的本地證書時,會校驗證書中的“主題備用名稱”與當前訪問站點的域名是否匹配。因此,用戶在向CA申請本地證書時,必須按照申請時CA機構的提示,將“主題備用名稱”配置為HTTPS站點對應的域名,這樣才能保證用戶在使用域名地址訪問HTTPS站點時,Web頁麵的本地證書才能成功通過瀏覽器的驗證。
對於需要同時管理多台設備登錄的場景,可以在向CA申請本地證書時申請通配符證書。比如,在申請本地證書時,將“主題備用名稱”配置為“*.example.com”,同時為需要管理的多台設備建立Web登錄的IP地址與不同的域名(device1.example.com、device2.example.com……)之間的對應關係,可以實現管理員使用HTTPS方式登錄任意一台想要訪問的設備時,Web頁麵的本地證書能夠成功通過瀏覽器的驗證。
在進行下麵的配置之前,請完成如下準備工作:
· 確保Host已經獲取並安裝了能夠校驗Device上本地證書合法性的CA證書,並且保證Host通過本地證書主題備用名稱中的域名訪問Device時,該域名可以被成功解析為能夠登錄設備Web頁麵的IP地址。
· 已通過FTP或者TFTP協議將CA證書文件、本地證書文件和本地證書關聯的密鑰對文件上傳到Device的文件係統中,有關FTP或者TFTP協議的詳細說明,請參考“基礎配置指導”中的“FTP和TFTP”。
(1) 配置PKI域
# 創建並進入PKI域aaa。
<Device> system-view
[Device] pki domain aaa
# 關閉CRL檢查。(是否進行CRL檢查,請以實際的使用需求為準,此處僅為示例)
[Device-pki-domain-aaa] undo crl check enable
# 在PKI域aaa中指定證書關聯使用的密鑰對為abc,密鑰用途為通用。
[Device-pki-domain-aaa] public-key rsa general name abc
[Device-pki-domain-aaa] quit
(2) 導入CA和本地證書文件
# 向PKI域中導入CA證書,證書文件格式為PEM編碼,證書文件名稱為ca.pem(請以實際的CA證書名為準,此處僅為示例)。
[Device] pki import domain aaa pem ca filename ca.pem
# 向PKI域中導入不含密鑰對的PEM格式的本地證書文件,證書文件名稱為xyz.example.com.cert.pem。
[Device] pki import domain aaa pem local filename xyz.example.com.cert.pem
# 向PKI域中導入PEM格式的本地非對稱密鑰對文件xyz.example.com.key.pem。
[Device] public-key local import rsa abc filename xyz.example.com.key.pem
(3) 配置SSL服務器端策略和HTTPS服務
# 創建SSL服務器端策略myssl,指定該策略使用PKI域aaa。
[Device] ssl server-policy myssl
[Device-ssl-server-policy-myssl] pki-domain aaa
[Device-ssl-server-policy-myssl] quit
# 配置HTTPS服務與SSL服務器端策略myssl關聯。
[Device] ip https ssl-server-policy myssl
# 開啟HTTPS服務。
[Device] ip https enable
# 創建本地用戶usera,密碼為hello12345,服務類型為https,用戶角色為network-admin。
[Device] local-user usera
[Device-luser-usera] password simple hello12345
[Device-luser-usera] service-type https
[Device-luser-usera] authorization-attribute user-role network-admin
· PKI配置命令的詳細介紹,請參見“安全命令參考”中的“PKI”。
· SSL配置命令的詳細介紹,請參見“安全命令參考”中的“SSL”。
在Host上打開IE瀏覽器,輸入Device的Web頁麵的域名地址,即可打開Device的Web登錄頁麵。在登錄頁麵,輸入用戶名usera,密碼hello12345,則可進入Device的Web配置頁麵,實現對Device的訪問和控製。
使用SNMP協議,用戶可通過NMS(Network Management System,網絡管理係統)登錄到設備上,通過Set和Get等操作對設備進行管理、配置,如圖5-1所示。
通過SNMP登錄設備的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。
通過引用ACL(Access Control List,訪問控製列表),可以對訪問設備的登錄用戶進行控製:
· 當未引用ACL時,允許所有登錄用戶訪問設備;
· 當引用的ACL不存在、或者引用的ACL為空時,禁止所有登錄用戶訪問設備;
對於Web用戶,當引用的ACL不存在、或者引用的ACL為空時,是允許所有Web用戶訪問設備的。
· 當引用的ACL非空時,則隻有ACL中permit的用戶才能訪問設備,其他用戶不允許訪問設備,以免非法用戶訪問設備。
· 在引用的ACL中,若某規則指定了vpn-instance參數,則表示該規則僅對VPN報文有效;若規則未指定vpn-instance參數,則表示該規則僅對公網報文有效。
關於ACL的詳細描述和介紹請參見“ACL和QoS配置指導”中的“ACL”。
用戶登錄後,可以通過AAA功能來對用戶使用的命令行進行授權和計費。
· 設備運行於FIPS模式時,本特性部分配置相對於非FIPS模式有所變化,具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
· 設備運行於FIPS模式時,不支持用戶通過Telnet登錄和HTTP方式的Web登錄。
(1) 進入係統視圖。
system-view
(2) 配置對Telnet用戶的訪問控製。
(IPv4網絡)
telnet server acl [ mac ] acl-number
(IPv6網絡)
telnet server ipv6 acl { ipv6 | mac } acl-number
缺省情況下,未對Telnet用戶進行ACL限製。
(3) (可選)開啟匹配ACL deny規則後打印日誌信息功能。
telnet server acl-deny-log enable
缺省情況下,匹配ACL deny規則後打印日誌信息功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 配置對SSH用戶的訪問控製。
(IPv4網絡)
ssh server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }
(IPv6網絡)
ssh server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac mac-acl-number }
缺省情況下,未對SSH用戶進行ACL限製。
(3) (可選)開啟匹配ACL deny規則後打印日誌信息功能。
ssh server acl-deny-log enable
關於ssh server acl、ssh server ipv6 acl和ssh server acl-deny-log enable命令的詳細介紹請參見“安全命令參考”中的“SSH”。
通過源IP對Telnet進行控製,僅允許來自10.110.100.52和10.110.100.46的Telnet用戶訪問設備。
圖6-1 使用ACL對Telnet用戶進行控製
# 定義ACL。
<Sysname> system-view
[Sysname] acl basic 2000 match-order config
[Sysname-acl-ipv4-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-ipv4-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-ipv4-basic-2000] quit
# 引用ACL,允許源地址為10.110.100.52和10.110.100.46的Telnet用戶訪問設備。
[Sysname] telnet server acl 2000
(1) 進入係統視圖。
system-view
(2) 引用訪問控製列表對Web用戶進行控製。請選擇其中一項進行配置。
¡ 對HTTP登錄用戶進行控製:
ip http acl [ ipv6 ] [ advanced ] { acl-number | name acl-name }
ip http acl mac { acl-number | name acl-name }
¡ 對HTTPS登錄用戶進行控製:
ip https acl [ ipv6 ] [ advanced ] {acl-number | name acl-name }
ip https acl mac { acl-number | name acl-name }
缺省情況下,Web用戶沒有引用訪問控製列表。
(3) (可選)引用訪問控製列表控製Web用戶和設備建立TCP連接。請選擇其中一項進行配置。
¡ 對HTTP登錄用戶進行控製。
(IPv4網絡)
http acl { advanced-acl-number | basic-acl-number }
(IPv6網絡)
http ipv6 acl { advanced-acl-number | basic-acl-number }
¡ 對HTTPS登錄用戶進行控製。
(IPv4網絡)
https acl { advanced-acl-number | basic-acl-number }
(IPv6網絡)
https ipv6 acl { advanced-acl-number | basic-acl-number }
缺省情況下,允許所有Web用戶和設備建立TCP連接。
通過源IP對Web用戶進行控製,僅允許來自10.110.100.52的Web用戶訪問設備。
圖6-2 對Device的HTTP用戶進行ACL控製
# 定義基本訪問控製列表。
<Sysname> system-view
[Sysname] acl basic 2030 match-order config
[Sysname-acl-ipv4-basic-2030] rule 1 permit source 10.110.100.52 0
# 引用訪問控製列表,僅允許來自10.110.100.52的Web用戶訪問設備。
[Sysname] ip http acl 2030
在Host B上打開瀏覽器,輸入https://10.110.110.66,按下回車,打開Web用戶登錄界麵,輸入用戶名和密碼後,按下<登錄>按鈕,進入設備配置管理Web界麵。在Host A上打開瀏覽器,輸入https://10.110.110.66,按下回車,打開Web用戶登錄界麵,輸入用戶名和密碼後,按下<登錄>按鈕,無法進入設備配置管理Web界麵。
對NMS的訪問進行控製的詳細介紹請參見“網絡管理和監控配置指導”中的“SNMP”。
通過源IP對NMS進行控製,僅允許來自10.110.100.52和10.110.100.46的NMS訪問設備。
圖6-3 使用ACL對NMS進行控製
# 定義基本ACL。
<Sysname> system-view
[Sysname] acl basic 2000 match-order config
[Sysname-acl-ipv4-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-ipv4-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-ipv4-basic-2000] quit
# 引用ACL,僅允許來自10.110.100.52和10.110.100.46的NMS訪問設備。
[Sysname] snmp-agent community read aaa acl 2000
[Sysname] snmp-agent group v2c groupa acl 2000
[Sysname] snmp-agent usm-user v2c usera groupa acl 2000
在源IP地址為10.110.100.52或10.110.100.46的NMS上,可以訪問設備;在源IP地址不為10.110.100.52或10.110.100.46的NMS上,無法訪問設備。
缺省情況下,用戶登錄設備後可以使用的命令行由用戶擁有的用戶角色決定。當用戶線采用AAA認證方式並配置命令行授權功能後,用戶可使用的命令行將受到用戶角色和AAA授權的雙重限製。用戶每執行一條命令都會進行授權檢查,隻有授權成功的命令才被允許執行。
開啟命令行授權功能後,不同登錄方式用戶的命令行授權情況不同,具體如下:
· 如果用戶通過無認證方式(none)或者password認證方式登錄設備,則設備無法對其進行命令行授權,禁止用戶執行任何命令。
· 如果用戶通過scheme認證方式登錄設備:
¡ 如果用戶通過了本地認證,則設備通過本地用戶視圖下的授權用戶角色對用戶進行命令行授權。
¡ 如果用戶通過了遠端認證,則由遠端服務器對用戶進行命令行授權。如果遠端授權失敗,則按照本地同名用戶的用戶角色進行命令行授權,如果授權也失敗,則禁止用戶執行該命令行。
在用戶線類視圖下該命令的配置結果將在下次登錄設備時生效;在用戶線視圖下該命令的配置結果會立即生效。
如果由遠端服務器對用戶進行命令行授權,還需要在ISP域視圖下配置命令行授權方法。命令行授權方法可以和login用戶的授權方法相同,也可以不同。相關詳細介紹請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入用戶線/用戶線類視圖。請選擇其中一項進行配置。
¡ 進入用戶線視圖。
line { first-number1 [ last-number1 ] | { aux | console | tty | vty } first-number2 [ last-number2 ] }
¡ 進入用戶線類視圖。
line class { aux | console | tty | vty }
用戶線視圖下的配置優先於用戶線類視圖下的配置。用戶線視圖下的屬性配置為缺省值時,將采用用戶線類視圖下配置的值。用戶線類視圖下的配置修改會在用戶下次登錄後生效。
(3) 設置登錄用戶的認證方式為通過AAA認證。
(非FIPS模式)
authentication-mode scheme
缺省情況下,用戶通過Console口登錄,認證方式為none。用戶通過AUX口登錄,認證方式為password。用戶通過TTY用戶線登錄,認證方式為none。用戶通過VTY用戶線登錄,認證方式為password。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(FIPS模式)
authentication-mode scheme
缺省情況下,用戶登錄設備的認證方式為scheme。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
(4) 開啟命令行授權功能。
command authorization
缺省情況下,命令行授權功能處於關閉狀態,即用戶登錄後執行命令行不需要授權。
如果用戶線類視圖下開啟了命令行授權功能,則該類型用戶線視圖都開啟命令行授權功能,並且在該類型用戶線視圖下將無法關閉命令行授權功能。
為了保證Device的安全,需要對登錄用戶執行命令的權限進行限製:用戶Host A登錄設備後,輸入的命令必須先獲得HWTACACS服務器的授權,才能執行。否則,不能執行該命令。如果HWTACACS服務器故障導致授權失敗,則采用本地授權。
圖6-4 命令行授權配置組網圖
# 在設備上配置IP地址,以保證Device和Host A、Device和HWTACACS server之間互相路由可達。(配置步驟略)
# 開啟設備的Telnet服務器功能,以便用戶訪問。
<Device> system-view
[Device] telnet server enable
# 配置用戶登錄設備時,需要輸入用戶名和密碼進行AAA認證,可以使用的命令由認證結果決定。
[Device] line vty 0 63
[Device-line-vty0-63] authentication-mode scheme
#開啟命令行授權功能,限製用戶隻能使用授權成功的命令。
[Device-line-vty0-63] command authorization
[Device-line-vty0-63] quit
# 配置HWTACACS方案:授權服務器的IP地址:TCP端口號為192.168.2.20:49(該端口號必須和HWTACACS服務器上的設置一致),報文的加密密碼是expert,登錄時不需要輸入域名,使用缺省域。
[Device] hwtacacs scheme tac
[Device-hwtacacs-tac] primary authentication 192.168.2.20 49
[Device-hwtacacs-tac] primary authorization 192.168.2.20 49
[Device-hwtacacs-tac] key authentication simple expert
[Device-hwtacacs-tac] key authorization simple expert
[Device-hwtacacs-tac] user-name-format without-domain
[Device-hwtacacs-tac] quit
# 配置缺省域的命令行授權AAA方案,使用HWTACACS方案。
[Device] domain system
[Device-isp-system] authentication login hwtacacs-scheme tac local
[Device-isp-system] authorization command hwtacacs-scheme tac local
[Device-isp-system] quit
# 配置本地認證所需參數:創建本地用戶monitor,密碼為明文的hello12345,可使用的服務類型為telnet,用戶角色為level-1。
[Device] local-user monitor
[Device-luser-manage-monitor] password simple hello12345
[Device-luser-manage-monitor] service-type telnet
[Device-luser-manage-monitor] authorization-attribute user-role level-1
# 在Host A上通過Telnet方式登錄到Device(IP地址為10.110.100.77),登錄成功後,執行ip http enable命令,由於授權失敗,提示拒絕訪問。
C:\> telnet 10.110.100.77
Trying 10.110.100.77 ...
Press CTRL+K to abort
Connected to 10.110.100.77 ...
******************************************************************************
* Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: monitor
Password:
<Device> system-view
System View: return to User View with Ctrl+Z.
[Device] ip http enable
Permission denied.
[Device]
# 在Host A上通過Telnet方式登錄到AP(IP地址為10.110.100.77),登錄成功後,執行interface命令,由於授權成功,命令行執行成功。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1]
當用戶線采用AAA認證方式並配置命令行計費功能後,係統會將用戶執行過的命令記錄到HWTACACS服務器上,以便集中監視用戶對設備的操作。命令行計費功能生效後,如果沒有配命令行授權功能,則用戶執行的每一條合法命令都會發送到HWTACACS服務器上做記錄;如果配置了命令行授權功能,則用戶執行的並且授權成功的命令都會發送到HWTACACS服務器上做記錄。
要使配置的命令行計費功能生效,還需要在ISP域視圖下配置命令行計費方法。命令行計費方法、命令行授權方法、login用戶的授權方法可以相同,也可以不同。相關詳細介紹請參見“安全配置指導”中的“AAA”。
(1) 進入係統視圖。
system-view
(2) 進入用戶線/用戶線類視圖。請選擇其中一項進行配置。
¡ 進入用戶線視圖。
line { first-number1 [ last-number1 ] | { aux | console | tty | vty } first-number2 [ last-number2 ] }
¡ 進入用戶線類視圖。
line class { aux | console | tty | vty }
用戶線視圖下的配置優先於用戶線類視圖下的配置。用戶線視圖下的屬性配置為缺省值時,將采用用戶線類視圖下配置的值。用戶線類視圖下的配置修改將在用戶下次登錄後生效。
(3) 設置登錄用戶的認證方式為通過AAA認證。
(非FIPS模式)
authentication-mode scheme
缺省情況下,用戶通過Console口登錄,認證方式為none。用戶通過AUX口登錄,認證方式為password。用戶通過TTY用戶線登錄,認證方式為none。用戶通過VTY用戶線登錄,認證方式為password。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(FIPS模式)
authentication-mode scheme
缺省情況下,用戶登錄設備的認證方式為scheme。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
如果設置認證方式為scheme,但是沒有配置認證用戶,會影響下次登錄設備。
(4) 開啟命令行計費功能。
command accounting
缺省情況下,命令行計費功能處於關閉狀態。
如果用戶線類視圖下開啟了命令行計費功能,則該類型用戶線視圖都開啟命令行計費功能,並且在該類型用戶線視圖下將無法關閉命令行計費功能。
為便於集中控製、監控用戶對設備的操作,需要將登錄用戶執行的命令發送到HWTACACS服務器進行記錄。
圖6-5 命令行計費配置組網圖
# 開啟設備的Telnet服務器功能,以便用戶訪問。
<Device> system-view
[Device] telnet server enable
# 配置使用Console口登錄設備的用戶執行的命令需要發送到HWTACACS服務器進行記錄。
[Device] line console 1
[Device-line-console1] command accounting
[Device-line-console1] quit
# 配置使用Telnet或者SSH登錄的用戶執行的命令需要發送到HWTACACS服務器進行記錄。
[Device] line vty 0 63
[Device-line-vty0-63] command accounting
[Device-line-vty0-63] quit
# 配置HWTACACS方案:計費服務器的IP地址:TCP端口號為192.168.2.20:49,報文的加密密碼是expert,登錄時不需要輸入域名,使用缺省域。
[Device] hwtacacs scheme tac
[Device-hwtacacs-tac] primary accounting 192.168.2.20 49
[Device-hwtacacs-tac] key accounting simple expert
[Device-hwtacacs-tac] user-name-format without-domain
[Device-hwtacacs-tac] quit
# 配置缺省域的命令行計費AAA方案,使用HWTACACS方案。
[Device] domain system
[Device-isp-system] accounting command hwtacacs-scheme tac
[Device-isp-system] quit
分別在Host A、Host B、Host C上使用Telnet方式或者SSH方式登錄到設備上,進行VLAN以及接口下的相關配置,設備向計費服務器發送了計費報文,計費服務器收到報文後,根據用戶對計費服務器的配置,對計費報文進行相應處理。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
