02-登录交换引擎操作
本章节下载: 02-登录交换引擎操作 (488.31 KB)
本文中出现的设备显示信息以WX3024为例,实际使用中请以设备实际情况为准。
用户可以通过以下几种方式登录设备的交换引擎:
l 通过OAP方式登录
l 通过以太网端口利用Telnet或SSH进行本地或远程登录
l 通过WEB网管登录
l 通过NMS(Network Management Station,网管工作站)登录
在设备中,AUX口(Auxiliary port,辅助端口)和Console口是同一个端口,以下称为Console口,与其对应的用户界面类型只有AUX用户界面类型。
设备支持两种用户界面:AUX用户界面、VTY用户界面。
l AUX用户界面:系统提供的通过Console口登录的视图。
l VTY(Virtual Type Terminal,虚拟类型终端)用户界面:系统提供的通过VTY方式登录的视图。VTY口属于逻辑终端线,用于对设备进行Telnet或SSH访问。
用户界面 |
对应用户 |
使用的设备端口类型 |
说明 |
AUX用户界面 |
通过Console口登录的用户 |
Console口 |
每台设备只能有1个AUX用户 |
VTY用户界面 |
Telnet用户、SSH用户 |
以太网端口 |
每台设备最多可以有5个VTY用户 |
用户界面的编号有两种方式:绝对编号方式和相对编号方式。
(1) 绝对编号方式,遵守的规则如下:
l AUX用户界面编号排在第一位,为0;
l VTY用户界面编号排在AUX用户界面之后。第一个VTY用户界面的绝对编号为1,第二个VTY用户界面的绝对编号为2,依此类推。
(2) 相对编号的形式是:用户界面类型+编号。遵守的规则如下:
l AUX用户界面的编号:AUX0;
l VTY用户界面的编号:第一个为VTY0,第二个为VTY1,依此类推。
操作 |
命令 |
说明 |
锁住当前用户界面 |
lock |
可选 在用户视图下执行 缺省情况下,不锁住当前用户界面 |
设置在用户界面之间传递消息 |
send { all | number | type number } |
可选 在用户视图下执行 |
释放指定的用户界面 |
free user-interface [ type ] number |
可选 在用户视图下执行 |
进入系统视图 |
system-view |
- |
配置登录交换引擎时的显示信息 |
header [ incoming | legal | login | shell ] text |
可选 缺省情况下,没有配置显示信息 |
配置交换引擎的系统名 |
sysname string |
可选 缺省情况下,系统名为H3C |
配置用户登录时显示版权声明提示信息 |
copyright-info enable |
可选 缺省情况下,用户登录时终端显示版权声明提示信息 |
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
显示用户界面的使用信息 |
display users [ all ] |
可选 display命令可以在任意视图下执行 |
显示用户界面的物理属性和部分配置 |
display user-interface [ type number | number ] |
|
显示WEB用户的相关信息 |
display web users |
OAA(Open Application Architecture,开放应用架构)是一个开放的软、硬件体系。第三方合作厂商可以根据自己的优势生产具有特殊功能的产品,只要这些产品遵循OAA标准接口,就可以互相兼容,使单一网络产品的功能得到扩充,为客户创造更大的价值。
OAP(Open Application Platform,开放应用平台)是基于OAA架构的物理平台。它可以是一台独立的网络设备,也可以是一块插卡或应用程序,作为设备的扩展结构。OAP上运行独立的操作系统,客户可根据需要在该操作系统下加载无线、安全、语音等业务软件,为客户提供多样化的服务。
通过设备上的Console口可以登录到无线控制引擎上,在无线控制引擎上做如下配置,即可登录交换引擎。
(1) 在无线控制引擎用户视图下通过输入oap connect slot 0命令登录交换引擎:
<device>oap connect slot 0
Connected to OAP!
(2) 输入回车后,进入交换引擎用户视图:
<device_LSW>
l 这里为了区分无线控制引擎和交换引擎,将交换引擎的名称改为device_LSW,实际交换引擎的默认名称为device。
l 可以通过快捷键<Ctrl+k>返回到无线控制引擎的命令行操作界面。
在设备的OAA架构中,无线控制引擎和交换引擎集成在一台设备上。然而,对于基于snmpUDPDomain的网络管理服务器(NMS)来说,无线控制引擎和交换引擎分别是独立的SNMP Agent。从物理角度看,两个SNMP Agent在同一被管理对象上;从逻辑角度看,两个SNMP Agent分属于两个不同的系统,各自独立管理无线控制引擎/交换引擎上的MIB对象。当使用NMS对无线控制引擎和交换引擎在同一界面进行管理时,必须先获取各个独立SNMP Agent的管理IP地址以及SNMP Agent之间的链接关系,才能访问SNMP Agent。但是缺省情况下,OAP软件系统并没有配置管理IP地址,所以需要通过以下步骤来进行配置。
配置OAP软件系统的管理IP地址前,必须在OAP软件系统所在的引擎侧配置相同的IP地址,否则,NMS不能通过该管理IP地址访问OAP软件系统。
表2-1 设置OAP软件系统的管理IP地址
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置OAP软件系统的管理IP地址 |
oap management-ip ip-address slot 0 |
必选 缺省情况下,OAP软件系统没有配置管理IP地址 |
(1) 在交换引擎侧配置OAP软件系统的管理IP地址;
<device_LSW>system-view
[device_LSW]interface Vlan-interface 1
[device_LSW-Vlan-interface1]ip address 192.168.0.2 24
按<Ctrl+k>返回到无线控制引擎的命令行操作界面。
(2) 在无线控制引擎上设置SNMP Agent的管理IP地址;
<device>system-view
[device]oap management-ip 192.168.0.2 slot 0
(1) 在无线控制引擎侧配置OAP软件系统的管理IP地址;
<device >system-view
[device]interface Vlan-interface 1
[device-Vlan-interface1]ip address 192.168.0.1 24
(2) 登录交换引擎,并在交换引擎上设置SNMP Agent的管理IP地址;
<device>oap connect slot 0
Connected to OAP!
<device_LSW>system-view
[device_LSW]oap management-ip 192.168.0.1 slot 0
在交换引擎的操作系统出现故障或其他异常情况下,可以通过下面的命令复位OAP软件系统。
表2-2 复位OAP单板系统
操作 |
命令 |
说明 |
复位OAP软件系统 |
oap reboot slot 0 |
必选 该操作在用户视图下执行 |
复位操作可能会造成数据丢失以及业务中止,因此执行此操作请前先保存操作系统的业务数据,以免业务中止及硬盘数据丢失等情况发生。
设备支持Telnet功能,用户可以通过Telnet方式对交换引擎进行远程管理和维护。
交换引擎和Telnet用户端都要进行相应的配置,才能保证通过Telnet方式正常登录交换引擎。
用户也可以采用SSH登录方式登录交换引擎。SSH登录方式是在Telnet的基础上封装了安全外壳,关于SSH提供的安全功能配置,请参见“SSH”部分的介绍。
表3-1 通过Telnet登录交换引擎需要具备的条件
对象 |
需要具备的条件 |
交换引擎 |
配置交换引擎VLAN的IP地址,交换引擎与Telnet用户间路由可达(具体配置请参见“IP地址-IP性能”、“路由协议”部分中的内容) |
Telnet用户 |
运行了Telnet程序 |
获取要登录交换引擎VLAN的IP地址 |
Telnet登录方式的公共属性配置,如表3-2所示。
表3-2 Telnet登录方式的公共属性配置
Telnet登录方式的属性配置 |
说明 |
|
VTY用户界面配置 |
VTY界面登录的用户可以访问的命令级别 |
可选 缺省情况下,VTY界面登录的用户可以访问的命令级别为0级 |
用户界面支持的协议 |
可选 缺省情况下,支持Telnet和SSH协议 |
|
设置从用户界面登录后自动执行的命令 |
可选 缺省情况下,通过VTY用户界面登录后无可自动执行的命令 |
|
VTY用户终端属性配置 |
启动终端服务功能 |
可选 缺省情况下,所有用户界面上启动终端服务 |
终端屏幕的一屏行数 |
可选 缺省情况下,一屏可显示24行 |
|
历史命令缓冲区大小 |
可选 缺省情况下,可存放10条历史命令 |
|
用户界面的超时时间 |
可选 缺省情况下,用户超时断开连接的时间为10分钟 |
不同的认证方式下,Telnet登录方式需要进行的配置不同,具体配置如表3-3所示。
表3-3 不同认证方式下Telnet登录方式的属性配置
认证方式 |
Telnet登录方式的属性配置 |
说明 |
|
None |
配置公共属性 |
配置Telnet登录方式的公共属性 |
可选 具体内容参见表3-2 |
Password |
配置口令 |
配置本地验证口令 |
必选 |
配置公共属性 |
配置Telnet登录方式的公共属性 |
可选 具体内容参见表3-2 |
|
Scheme |
配置采用本地认证或者到远端RADIUS服务器上认证 |
通过交换引擎的AAA配置可以设置对用户采用本地认证还是到RADIUS服务器上认证 |
可选 缺省情况下,交换引擎采用本地认证的方式 具体配置请参见“AAA”部分 |
配置用户名和密码 |
配置本地或RADIUS端用户名和口令认证 |
必选 l 本地用户名和口令的设置在交换引擎上完成 l 远端用户名和口令的设置在RADIUS服务器上进行,详细内容请参见RADIUS服务器的随机指导书 |
|
VTY用户管理 |
设置VTY用户的服务类型 |
必选 |
|
配置公共属性 |
配置Telnet登录方式的公共属性 |
可选 具体内容参见表3-2 |
为防止恶意用户对未使用SOCKET的攻击,提高交换引擎的安全性,Telnet及SSH服务对应的TCP 23及TCP 22端口会在进行相应的配置后开启/关闭:
l 当认证方式为none时,TCP 23端口打开,TCP 22端口关闭;
l 当认证方式为password且已经设置了相应的密码后,TCP 23端口打开,TCP 22端口关闭;
l 当认证方式为scheme时,如果支持的协议指定为telnet,则TCP 23端口打开;如果支持的协议指定为ssh,则TCP 22端口打开;如果支持的协议指定为all,则两端口全打开。
表3-4 认证方式为None时Telnet登录方式的配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
设置VTY登录用户的认证方式为不认证 |
authentication-mode none |
必选 缺省情况下,VTY用户登录后需要进行终端验证 |
设置从VTY用户界面登录后可以访问的命令级别 |
user privilege level level |
可选 缺省情况下,从VTY用户界面登录后可以访问的命令级别为0级 |
配置VTY用户界面支持的协议 |
protocol inbound { all | ssh | telnet } |
可选 缺省情况下,交换引擎同时支持Telnet和SSH协议 |
设置从用户界面登录后自动执行的命令 |
auto-execute command text |
可选 缺省情况下,通过VTY用户界面登录后无可自动执行的命令 |
启动终端服务 |
shell |
可选 缺省情况下,在所有的用户界面上启动终端服务 |
设置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏显示功能 |
设置交换引擎历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,历史缓冲区的大小为10,即可存放10条历史命令 |
设置VTY用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟 如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
需要注意的是,用户采用None认证方式登录交换引擎时,其所能访问的命令级别取决于命令user privilege level level中level参数定义的级别。
当前用户通过oap connect slot 0命令登录到交换引擎,且用户级别为管理级(3级)。当前用户要对通过VTY0用户界面登录的Telnet用户进行如下限定:
l 设置通过VTY0口登录交换引擎的Telnet用户不需要进行认证
l 设置从VTY0用户界面登录后可以访问的命令级别为2级
l 设置VTY0用户界面支持Telnet协议
l 设置VTY0用户的终端屏幕的一屏显示30行命令
l 设置VTY0用户历史命令缓冲区可存放20条命令
l 设置VTY0用户界面的超时时间为6分钟
图3-1 配置认证方式为None的Telnet用户的组网图
# 进入系统视图。
<device> system-view
# 进入VTY0用户界面视图。
[device] user-interface vty 0
# 设置通过VTY0用户界面登录交换引擎的Telnet用户不需要进行认证。
[device-ui-vty0] authentication-mode none
# 设置从VTY0用户界面登录后可以访问的命令级别为2级。
[device-ui-vty0] user privilege level 2
# 设置VTY0用户界面支持Telnet协议。
[device-ui-vty0] protocol inbound telnet
# 设置VTY0用户的终端屏幕的一屏显示30行命令。
[device-ui-vty0] screen-length 30
# 设置VTY0用户历史命令缓冲区可存放20条命令。
[device-ui-vty0] history-command max-size 20
# 设置VTY0用户界面的超时时间为6分钟。
[device-ui-vty0] idle-timeout 6
表3-5 认证方式为Password时Telnet登录方式的配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
设置登录用户的认证方式为本地口令认证 |
authentication-mode password |
必选 |
设置本地验证的口令 |
set authentication password { cipher | simple } password |
必选 |
设置从用户界面登录后可以访问的命令级别 |
user privilege level level |
可选 缺省情况下,从VTY用户界面登录后可以访问的命令级别为0级 |
配置用户界面支持的协议 |
protocol inbound { all | ssh | telnet } |
可选 缺省情况下,交换引擎同时支持Telnet和SSH协议 |
设置从用户界面登录后自动执行的命令 |
auto-execute command text |
可选 缺省情况下,通过VTY用户界面登录后无可自动执行的命令 |
启动终端服务 |
shell |
可选 缺省情况下,在所有的用户界面上启动终端服务 |
设置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏显示功能 |
设置交换引擎历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,历史缓冲区的大小为10,即可存放10条历史命令 |
设置用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟 如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
需要注意的是,用户采用Password认证方式登录交换引擎时,其所能访问的命令级别取决于命令user privilege level level中level参数定义的级别。
当前用户通过oap connect slot 0命令登录到交换引擎,且用户级别为管理级(3级)。当前用户要对通过VTY0用户界面登录的Telnet用户进行如下限定:
l 设置通过VTY0口登录交换引擎的Telnet用户进行Password认证
l 设置用户的认证口令为明文方式,口令为123456
l 设置从VTY0用户界面登录后可以访问的命令级别为2级
l 设置VTY0用户界面支持Telnet协议
l 设置VTY0用户的终端屏幕的一屏显示30行命令
l 设置VTY0用户历史命令缓冲区可存放20条命令
l 设置VTY0用户界面的超时时间为6分钟
图3-2 配置认证方式为Password的Telnet用户的组网图
# 进入系统视图。
<device> system-view
# 进入VTY0用户界面视图。
[device] user-interface vty 0
# 设置通过VTY0口登录交换引擎的用户进行Password认证。
[device-ui-vty0] authentication-mode password
# 设置用户的认证口令为明文方式,口令为123456。
[device-ui-vty0] set authentication password simple 123456
# 设置从VTY0用户界面登录后可以访问的命令级别为2级。
[device-ui-vty0] user privilege level 2
# 设置VTY0用户界面支持Telnet协议。
[device-ui-vty0] protocol inbound telnet
# 设置VTY0用户的终端屏幕的一屏显示30行命令。
[device-ui-vty0] screen-length 30
# 设置VTY0用户历史命令缓冲区可存放20条命令。
[device-ui-vty0] history-command max-size 20
# 设置VTY0用户界面的超时时间为6分钟。
[device-ui-vty0] idle-timeout 6
表3-6 认证方式为Scheme时Telnet登录方式的配置
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置交换引擎采用的认证方案 |
进入ISP域视图 |
domain domain-name |
可选 缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用radius或者hwtacacs方式认证,则需进行如下配置: l 交换引擎上的配置请参见“AAA”部分 l AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
配置域使用的AAA方案 |
scheme { local | none | radius-scheme radius-scheme-name [ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local ] } |
||
退出至系统视图 |
quit |
||
创建本地用户(进入本地用户视图) |
local-user user-name |
缺省情况下,无本地用户 |
|
设置本地认证口令 |
password { cipher | simple } password |
必选 |
|
设置VTY用户的服务类型 |
service-type telnet [ level level ] |
必选 |
|
退出至系统视图 |
quit |
- |
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
设置登录用户的认证方式为本地或远端用户名和口令认证 |
authentication-mode scheme [ command-authorization ] |
必选 究竟是采用本地认证还是远端认证视用户的AAA方案配置而定 缺省情况下采用本地认证方式 |
|
设置从用户界面登录后可以访问的命令级别 |
user privilege level level |
可选 缺省情况下,从VTY用户界面登录后可以访问的命令级别为0级 |
|
配置用户界面支持的协议 |
protocol inbound { all | ssh | telnet } |
可选 缺省情况下,交换引擎同时支持Telnet和SSH协议 |
|
设置从用户界面登录后自动执行的命令 |
auto-execute command text |
可选 缺省情况下,通过VTY用户界面登录后无可自动执行的命令 |
|
启动终端服务 |
shell |
可选 缺省情况下,在所有的用户界面上启动终端服务 |
|
设置终端屏幕的一屏行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏行数为24行 screen-length 0表示关闭分屏功能 |
|
设置交换引擎历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,历史缓冲区容量为10,即可存放10条历史命令 |
|
设置用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟 如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
需要注意的是,用户采用Scheme认证方式登录交换引擎时,其所能访问的命令级别取决于命令1、命令2所配置的用户登录后可访问的命令级别的组合,具体情况如表3-7所示。
l 命令1:user privilege level level
l 命令2:service-type { ftp | lan-access | { ssh | telnet | terminal }* [ level level ] }
表3-7 用户采用Scheme认证方式登录交换引擎时可访问的命令优先级
前提条件 |
用户登录后可访问命令优先级 |
||
用户登录认证方式 |
用户类别 |
命令配置情况 |
|
authentication-mode scheme [ command-authorization ] |
VTY登录用户(采用AAA-RADIUS认证或者本地认证) |
未设置命令1,命令2未设置用户可访问命令级别 |
0级 |
未设置命令1,命令2已设置用户可访问命令级别 |
由命令2决定 |
||
已设置命令1,命令2未设置用户可访问命令级别 |
0级 |
||
已设置命令1,命令2已设置用户可访问命令级别 |
由命令2决定 |
||
VTY登录用户(采用SSH的RSA认证模式) |
未设置命令1,命令2未设置用户可访问命令级别 |
0级 |
|
未设置命令1,命令2已设置用户可访问命令级别 |
|||
已设置命令1,命令2未设置用户可访问命令级别 |
由命令1决定 |
||
已设置命令1,命令2已设置用户可访问命令级别 |
|||
VTY登录用户(采用SSH的password认证模式) |
未设置命令1,命令2未设置用户可访问命令级别 |
0级 |
|
未设置命令1,命令2已设置用户可访问命令级别 |
由命令2决定 |
||
已设置命令1,命令2未设置用户可访问命令级别 |
0级 |
||
已设置命令1,命令2已设置用户可访问命令级别 |
由命令2决定 |
有关AAA、RADIUS、SSH的详细内容,请参见“AAA”和“SSH”部分的介绍。
当前用户通过oap connect slot 0命令登录到交换引擎,且用户级别为管理级(3级)。当前用户要对通过VTY0用户界面登录的Telnet用户进行如下限定:
l 设置本地用户的用户名为guest
l 设置本地用户的认证口令为明文方式,口令为123456
l 设置VTY用户的服务类型为Telnet且命令级别为2级
l 设置通过VTY0口登录交换引擎的Telnet用户进行Scheme认证
l 设置VTY0用户界面仅支持Telnet协议
l 设置VTY0用户的终端屏幕的一屏显示30行命令
l 设置VTY0用户历史命令缓冲区可存放20条命令
l 设置VTY0用户界面的超时时间为6分钟
图3-3 配置认证方式为Scheme的Telnet用户的组网图
# 进入系统视图。
<device> system-view
# 创建本地用户guest,并进入本地用户视图。
[device] local-user guest
# 设置本地用户的认证口令为明文方式,口令为123456。
[device-luser-guest] password simple 123456
# 设置VTY用户的服务类型为Telnet且命令级别为2级。
[device-luser-guest] service-type telnet level 2
[device-luser-guest] quit
# 进入VTY0用户界面视图。
[device] user-interface vty 0
# 设置通过VTY0口登录交换引擎的Telnet用户进行Scheme认证。
[device-ui-vty0] authentication-mode scheme
# 设置VTY0用户界面支持Telnet协议。
[device-ui-vty0] protocol inbound telnet
# 设置VTY0用户的终端屏幕的一屏显示30行命令。
[device-ui-vty0] screen-length 30
# 设置VTY0用户历史命令缓冲区可存放20条命令。
[device-ui-vty0] history-command max-size 20
# 设置VTY0用户界面的超时时间为6分钟。
[device-ui-vty0] idle-timeout 6
第一步:通过Console口正确配置设备的无线控制引擎VLAN1接口的IP地址(VLAN1为设备无线控制引擎的缺省VLAN)。
l 通过Console口搭建配置环境。如图3-4所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与设备的Console口连接。
图3-4 通过Console口搭建本地配置环境
l 在PC机上运行终端仿真程序(如Windows3.1的Terminal、Windows95/Windows98/Windows NT/ Windows2000/ Windows XP的超级终端),设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控。
l 设备上电,PC机终端上将显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符<device>,如图3-5所示。
l 通过Console口在超级终端中执行以下命令,配置设备的无线控制引擎VLAN1的IP地址为202.38.160.90/24。
<device> system-view
[device] interface Vlan-interface 1
[device-Vlan-interface1] ip address 202.38.160.90 255.255.255.0
l 通过oap connect slot 0命令登录到设备的交换引擎。
<device>oap connect slot 0
Connected to OAP!
l 配置设备的交换引擎VLAN1的IP地址为202.38.160.92/24。
<device_LSW> system-view
[device_LSW] interface Vlan-interface 1
[device_LSW-Vlan-interface1] ip address 202.38.160.92 255.255.255.0
本举例为了让用户便于区分,将交换引擎的名称改为device_LSW,实际交换引擎的默认名称为device。
第二步:在通过Telnet登录交换引擎之前,针对用户需要的不同认证方式,在交换引擎上进行相应配置。请参见3.2 认证方式为None时Telnet登录方式的配置、3.3 认证方式为Password时Telnet登录方式的配置、3.4 认证方式为Scheme时Telnet登录方式的配置的相关描述。
第三步:如图3-6所示,建立配置环境,将PC机以太网口通过网络与交换引擎VLAN1下的以太网口连接,确保PC机和交换引擎的VLAN1接口之间路由可达。
第四步:在PC机上运行Telnet程序,输入交换引擎VLAN1的IP地址,如图3-7所示。
第五步:如果配置验证方式为Password,则终端上显示“Login authentication”,并提示用户输入已设置的登录口令,口令输入正确后则出现命令行提示符(如< System_LSW >)。如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到交换引擎的用户过多,则请稍候再连接(设备的交换引擎最多允许5个Telnet用户同时登录)。
第六步:使用相应命令配置交换引擎或查看交换引擎运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。
l 通过Telnet配置交换引擎时,请不要删除或修改交换引擎上对应本Telnet连接的设备上的VLAN接口的IP地址,否则会导致Telnet连接断开。
l Telnet用户通过口令认证登录交换引擎时,缺省可以访问命令级别为0级的命令。有关命令级别的描述请参见“命令行接口”中的命令行分级/命令视图部分。
用户可以从无线控制引擎Telnet到交换引擎,对其进行配置。无线控制引擎作为Telnet客户端,交换引擎作为Telnet服务器端。如果无线控制引擎和交换引擎相连的端口在同一局域网内,则其IP地址必须配置在同一网段;否则,无线控制引擎和交换引擎必须路由可达。
配置环境如图3-8所示,用户Telnet到无线控制引擎后,可以输入telnet命令再登录交换引擎,对其进行配置管理。
图3-8 通过无线控制引擎登录到交换引擎
第一步:针对用户需要的不同认证方式,在作为Telnet Server的交换引擎上进行相应配置。请参见3.2 认证方式为None时Telnet登录方式的配置、3.3 认证方式为Password时Telnet登录方式的配置、3.4 认证方式为Scheme时Telnet登录方式的配置的相关描述。
第二步:用户登录到作为Telnet Client的无线控制引擎。
第三步:在Telnet Client的无线控制引擎上作如下操作:
<device> telnet xxxx
其中xxxx是作为Telnet Server的交换引擎的主机名或IP地址,若为主机名,则需是已通过ip host命令配置的主机名。
第四步:登录后,出现命令行提示符(如<device>),如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到交换引擎的用户过多,则请稍候再连接。
第五步:使用相应命令配置交换引擎或查看交换引擎运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。
设备提供内置的WEB Server,用户可以通过WEB网管终端(PC)登录到交换引擎上,利用内置的WEB Server以WEB方式直观地管理和维护设备。
交换引擎和WEB网管终端(PC)都要进行相应的配置,才能保证通过WEB网管正常登录。
表4-1 通过WEB网管登录交换引擎需要具备的条件
对象 |
需要具备的条件 |
交换引擎 |
配置交换引擎VLAN接口的IP地址,交换引擎与WEB网管终端间路由可达,具体配置请参见“IP地址-IP性能”、“路由协议”部分中的内容 |
配置欲登录的WEB网管用户名和认证口令 |
|
WEB网管终端(PC) |
具有IE浏览器 |
获取要登录交换引擎的VLAN的IP地址、用户名及口令 |
无线控制产品在出厂时会加载一个出厂配置,加载了该配置之后只要在WEB网管终端(PC)的浏览器地址栏内输入http://192.168.0.101, 浏览器会显示交换引擎WEB网管的登录验证页面,用户在该页面内输入默认用户名admin、密码admin,并选择语言,即可登录交换引擎WEB网管页面进行配置。需要注意的是用户如果保存了自己的配置文件,下次设备启动时会优先启动用户保存的配置文件,此时出厂配置不起作用,需要用户参看本节所述内容完成登录交换引擎WEB网管的配置。
以下步骤需要用户使用oap connect slot 0命令登录到交换引擎上进行配置。
第一步:在通过WEB方式登录交换引擎之前,用户先正确配置交换引擎VLAN1接口的IP地址(VLAN1为交换引擎的缺省VLAN)、WEB网管用户名和认证口令。
# 配置交换引擎的IP地址
<device> system-view
[device] interface Vlan-interface 1
[device-Vlan-interface1] ip address 192.168.0.101 24
[device-Vlan-interface1] quit
# 配置WEB用户名为admin,密码为admin,用户级别设为3(管理级用户)
[device] local-user admin
[device-luser-admin] service-type telnet level 3
[device-luser-admin] password simple admin
[device-luser-admin] quit
第二步:配置设备的无线控制引擎的管理IP地址(可选)。
# 配置该命令后,用户可以直接从设备的交换引擎的WEB管理界面跳转到无线控制引擎的WEB管理页面,192.168.0.100为无线控制引擎的管理IP地址,slot 0为无线控制引擎的槽位号。切换时请选择页面左上方的[ 无线引擎 ]按钮,如图4-1红框所示。
[device] oap management-ip 192.168.0.100 slot 0
第三步:搭建WEB网管远程配置环境,如图4-2所示。
图4-2 搭建WEB网管远程运行环境
第四步:用户通过PC与交换引擎相连,并通过浏览器登录交换引擎。在WEB网管终端(PC)的浏览器地址栏内输入http://192.168.0.101(WEB网管终端和交换引擎之间要路由可达),浏览器会显示WEB网管的登录验证页面(如图4-3所示)。
图4-3 WEB网管登录页面
第五步:输入在交换引擎上添加的用户名和密码,“语言”下拉列表中选择中文,点击<登录>按钮后即可登录,显示中文WEB网管主页面。
如果通过header命令设置了login banner信息,则用户使用WEB方式访问交换引擎时,在显示用户登录验证页面之前显示banner页面,页面内容为通过header命令设置的login banner信息,在banner页面单击<继续>按钮则进入用户登录验证页面,通过登录验证后进入WEB网管主页面;如果没有通过header命令设置login banner信息,则用户使用WEB方式访问交换引擎时,直接进入用户登录验证页面。
表4-2 WEB登录显示banner信息配置过程
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
配置登录交换引擎时的login显示信息 |
header login text |
必选 缺省情况下,没有配置显示信息 |
l 用户通过WEB方式登录交换引擎;
l 要求在用户登录交换引擎时显示banner页面。
图4-4 通过WEB方式访问交换引擎时显示banner信息组网图
# 进入系统视图。
<device> system-view
# 设置通过WEB方式访问交换引擎时显示的login banner信息为“Welcome”。
[device] header login %Welcome%
配置完成后,在用户终端(PC)的浏览器地址栏内输入交换引擎的IP地址(用户终端和交换引擎之间要路由可达),浏览器会显示login banner信息页面,如图4-5所示。
图4-5 通过WEB方式访问交换引擎时显示banner信息界面
单击<继续>按钮则进入用户登录验证页面,通过登录验证后进入WEB网管主页面。
表4-3 关闭/启动WEB Server
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
关闭WEB Server |
ip http shutdown |
必选 缺省情况下,WEB Server处于启动状态 |
启动WEB Server |
undo ip http shutdown |
必选 |
为防止恶意用户对未使用SOCKET的攻击,提高交换引擎的安全性,HTTP服务对应的TCP 80端口会在进行相应的配置后开启/关闭:
l 在使用undo ip http shutdown命令启动WEB Server时,打开TCP 80端口;
l 在使用ip http shutdown命令关闭WEB Server时,关闭TCP 80端口。
用户可通过NMS(Network Management Station,网管工作站)登录到交换引擎上,通过交换引擎上的Agent模块对交换引擎进行管理、配置。NMS和Agent之间运行的协议为SNMP(Simple Network Management Protocol,简单网络管理协议),具体介绍请参见“SNMP-RMON”部分。
NMS端和交换引擎上都要进行相应的配置,才能保证通过NMS正常登录。
表5-1 通过NMS登录交换引擎需要具备的条件
对象 |
需要具备的条件 |
交换引擎 |
配置交换引擎VLAN的IP地址,交换引擎与NMS间路由可达,具体配置请参见“IP地址-IP性能”、“路由协议”部分中的内容 |
配置SNMP基本功能,请参见“SNMP-RMON”部分 |
|
NMS(网管工作站) |
NMS网管工作站进行了正确配置,具体配置请参见NMS附带的网管手册 |
图5-1 通过NMS方式登录组网环境
用户可以通过以下配置,对Telnet Server、Telnet Client指定源IP地址或者源接口,增加了业务的可管理性和安全性。
为Telnet业务报文指定的源IP为Loopback接口或者VLAN接口的IP。通过配置Loopback虚接口或者闲置VLAN接口的IP为Telnet业务报文的指定源IP,使Telnet Client和Telnet Server之间传输报文无论通过交换引擎的哪个接口都使用指定接口的源IP,隐藏了实际通信接口的IP地址,起到了防止外部攻击的作用,提高了安全性。同时,有时服务器会限制只有某些IP才可以访问它,在客户端上使用源IP特性可以避免连接不上服务器。
分为用户视图下的配置和系统视图下的配置,用户视图下的配置只对本次操作有效,而系统视图下的配置对之后的每次操作都有效。
表6-1 在用户视图下配置Telnet业务报文指定源IP
操作 |
命令 |
说明 |
为Telnet Client指定源IP地址 |
telnet { hostname | ip-address } [ service-port ] source-ip ip-address |
可选 |
为Telnet Client指定源接口 |
telnet { hostname | ip-address } [ service-port ] source-interface interface-type interface-number |
可选 |
表6-2 在系统视图下配置Telnet业务报文指定源IP
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
为Telnet Server指定源IP地址 |
telnet-server source-ip ip-address |
可选 |
为Telnet Server指定源接口 |
telnet-server source-interface interface-type interface-number |
可选 |
为Telnet Client指定源IP地址 |
telnet source-ip ip-address |
可选 |
为Telnet Client指定源接口 |
telnet source-interface interface-type interface-number |
可选 |
l 指定的ip-address必须为本设备地址,当指定的ip-address不是本设备地址时,命令提示配置不成功。
l 指定的接口必须存在,当指定接口不存在时,命令提示配置不成功。
l 如果指定了源IP或者源接口,必须保证Telnet Server和Telnet Client的指定IP或者接口之间路由可达。
在完成上述配置后,在任意视图下执行display命令可以显示配置业务报文指定源IP后的运行情况,通过查看显示信息验证配置的效果。
表6-3 配置Telnet业务报文指定源IP显示
操作 |
命令 |
说明 |
显示当前为Telnet Client设置的源IP地址 |
display telnet source-ip |
display命令可以在任意视图下执行 |
显示当前为Telnet Server设置的源IP地址 |
display telnet-server source-ip |
本章中涉及ACL的定义请参考“ACL”部分的描述。
交换引擎可以对不同登录方式的用户进行控制,如表7-1所示。
登录方式 |
控制方式 |
实现方法 |
详细说明 |
Telnet |
通过源IP对Telnet用户进行控制 |
通过基本ACL实现 |
|
通过源IP、目的IP对Telnet用户进行控制 |
通过高级ACL实现 |
||
通过源MAC对Telnet用户进行控制 |
通过二层ACL实现 |
||
SNMP |
通过源IP对SNMP网管用户进行控制 |
通过基本ACL实现 |
|
WEB |
通过源IP对WEB网管用户进行控制 |
通过基本ACL实现 |
|
强制在线WEB网管用户下线 |
通过命令行实现 |
确定对Telnet的控制策略,包括对哪些源IP、目的IP、源MAC进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。
表7-2 通过源IP对Telnet用户进行控制
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入基本ACL视图 |
acl number acl-number [ match-order { auto | config } ] |
缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { deny | permit } [ rule-string ] |
必选 |
退出ACL视图 |
quit |
- |
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
引用访问控制列表,通过源IP对Telnet用户进行控制 |
acl acl-number { inbound | outbound } |
必选 inbound:对Telnet到本交换引擎的用户进行ACL控制 outbound:对从本交换引擎Telnet到其他设备的用户进行ACL控制 |
本配置需要通过高级访问控制列表实现。高级访问控制列表的序号取值范围为3000~3999。
表7-3 通过源IP、目的IP对Telnet用户进行控制
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入高级ACL视图 |
acl number acl-number [ match-order { auto | config } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { deny | permit } protocol [ rule-string ] |
必选 用户可以根据需要配置对相应的源IP、目的IP进行过滤的规则 |
退出ACL视图 |
quit |
- |
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
引用访问控制列表,通过源IP、目的IP对Telnet用户进行控制 |
acl acl-number { inbound | outbound } |
必选 inbound:对Telnet到本交换引擎的用户进行ACL控制 outbound:对从本交换引擎Telnet到其他交换引擎的用户进行ACL控制 |
本配置需要通过二层访问控制列表实现。二层访问控制列表的序号取值范围为4000~4999。
表7-4 通过源MAC对Telnet用户进行控制
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入二层ACL视图 |
acl number acl-number |
- |
定义子规则 |
rule [ rule-id ] { deny | permit } [ rule-string ] |
必选 用户可以根据需要配置对相应的源MAC进行过滤的规则 |
退出ACL视图 |
quit |
- |
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
引用访问控制列表,通过源MAC对Telnet用户进行控制 |
acl acl-number inbound |
必选 缺省情况下,不对Telnet用户进行ACL控制 |
通过源IP地址对Telnet登录用户进行控制,仅允许源IP为10.110.100.52的Telnet用户访问交换引擎。
图7-1 对访问交换引擎的Telnet用户进行ACL控制
# 定义基本访问控制列表。
<device> system-view
[device] acl number 2000
[device-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[device-acl-basic-2000] quit
# 引用访问控制列表。
[device] user-interface vty 0 4
[device-ui-vty0-4] acl 2000 inbound
设备支持通过SNMP网管软件进行远程管理。网管用户可以通过SNMP方式访问交换引擎。
通过源IP对SNMP网管用户进行控制需要下面两个步骤:
(2) 引用访问控制列表,对通过SNMP方式访问交换引擎的用户进行控制
确定对SNMP网管用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。
表7-5 通过源IP对SNMP网管用户进行控制
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入基本ACL视图 |
acl number acl-number [ match-order { auto | config } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { deny | permit } [ rule-string ] |
必选 |
退出ACL视图 |
quit |
- |
在配置SNMP团体名的命令中引用访问控制列表 |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]* |
可选 缺省情况下,SNMPv1和SNMPv2c使用团体名来进行访问 |
在配置SNMP组名的命令中引用访问控制列表 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
可选 缺省情况下,snmp-agent group v3命令配置采用不认证、不加密方式 |
在配置SNMP用户名的命令中引用访问控制列表 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] snmp-agent usm-user v3 user-name group-name [ cipher ] [ authentication-mode { md5 | sha } auth-password [ privacy-mode des56 priv-password ] [ acl acl-number ] |
可选 |
配置SNMP团体名、组名和用户名的命令中引用的访问控制列表可以是不同的访问控制列表。
SNMP团体名属性是SNMPv1、SNMPv2c版本的一个特性,因此在配置SNMP团体名的命令中引用访问控制列表对使用SNMPv1、SNMPv2c的网管系统起到了过滤作用。
SNMP组名、用户名属性是SNMPv2c及以上版本的一个特性,因此在配置SNMP组名、用户名的命令中引用访问控制列表对使用SNMPv2c及以上版本的网管系统起到过滤作用。如果同时在这两个命令中配置了ACL控制功能,则交换引擎会对网管用户的这两个属性都进行过滤。
通过源IP地址对SNMP网管用户进行控制,仅允许IP地址为10.110.100.52的SNMP网管用户访问交换引擎。
图7-2 对SNMP网管用户进行ACL控制
# 定义基本访问控制列表。
<device> system-view
[device] acl number 2000
[device-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[device-acl-basic-2000] quit
# 引用访问控制列表,仅允许来自10.110.100.52的SNMP网管用户访问交换引擎。
[device] snmp-agent community read aaa acl 2000
[device] snmp-agent group v2c groupa acl 2000
[device] snmp-agent usm-user v2c usera groupa acl 2000
设备支持通过WEB进行远程管理。WEB用户可以通过HTTP协议访问交换引擎。
通过源IP对WEB用户进行控制需要下面两个步骤:
(2) 引用访问控制列表,对WEB网管用户进行控制
确定对WEB网管用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。
表7-6 通过源IP对WEB网管用户进行控制
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入基本ACL视图 |
acl number acl-number [ match-order { auto | config } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { deny | permit } [ rule-string ] |
必选 |
退出ACL视图 |
quit |
- |
引用访问控制列表对WEB网管用户进行控制 |
ip http acl acl-number |
可选 缺省情况下,不对WEB网管用户进行ACL控制 |
网络管理员可以通过命令行强制在线WEB网管用户下线。
表7-7 强制在线WEB网管用户下线
配置步骤 |
命令 |
说明 |
强制在线WEB网管用户下线 |
free web-users { all | user-id user-id | user-name user-name } |
必选 该命令在用户视图下执行 |
通过源IP地址对WEB网管用户进行控制,仅允许IP地址为10.110.100.52的WEB网管用户访问交换引擎。
图7-3 对WEB网管用户进行ACL控制
# 定义基本访问控制列表。
<device> system-view
[device] acl number 2030
[device-acl-basic-2030] rule 1 permit source 10.110.100.52 0
[device-acl-basic-2030] quit
# 引用编号为2030的访问控制列表,仅允许来自10.110.100.52的WEB用户访问交换引擎。
[device] ip http acl 2030
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!