01-登录交换机配置
本章节下载: 01-登录交换机配置 (561.37 KB)
2.6 认证方式为Password时Console口登录方式的配置
2.7 认证方式为Scheme时Console口登录方式的配置
3.1.6 认证方式为Password时Telnet登录方式的配置
3.1.7 认证方式为Scheme时Telnet登录方式的配置
4.1 通过Console口利用Modem拨号进行远程登录简介
用户可以通过以下几种方式登录以太网交换机:
l 通过Console口进行本地登录
l 通过Telnet/SSH进行远程登录
l 通过Console口利用Modem拨号远程登录
l 通过NMS登录
在WX6100E系列无线控制器以太网交换机中,AUX口(Auxiliary port,辅助端口)和Console口是同一个端口,以下称为Console口,与其对应的用户界面类型只有AUX用户界面类型。
交换机支持两种用户界面:AUX用户界面和VTY用户界面。
l AUX用户界面:系统提供的通过Console口登录的视图,用来管理和监控通过Console口登录的用户。设备提供一个Console口,端口类型为EIA/TIA-232 DCE,第一次使用设备时,需要通过此端口对交换机进行配置。
l VTY(Virtual Type Terminal,虚拟类型终端)用户界面:系统提供的通过VTY方式登录的视图,用于对交换机进行Telnet或SSH访问。
用户界面 |
对应用户 |
使用的交换机端口类型 |
说明 |
AUX用户界面 |
通过Console口登录的用户 |
Console口 |
每台交换机最多可以有2个AUX用户同时登录 |
VTY用户界面 |
Telnet用户、SSH用户 |
以太网端口 |
每台交换机最多可以有5个VTY用户同时登录 |
每个用户界面有对应的用户界面视图(User-interface view),在用户界面视图下网络管理员可以配置一系列参数,比如用户登录时的认证方式以及登录后的用户级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的。
通过对不同类型用户界面的设置,可实现对不同登录方式用户的监控和管理。每台交换机上最多提供2个AUX用户界面、5个VTY用户界面:
l 这些用户界面与用户并没有固定的对应关系。
l 用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的对应用户登录方式的用户界面,用户整个登录过程将受该用户界面视图下配置的约束。
l 同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时机不同,分配的用户界面可能不同。
虽然单个用户界面某一时刻只能被一个用户使用,但它并不针对某个用户。比如用户A可以使用VTY 0用户界面登录交换机,而当用户A退出登录时,用户B同样可以使用VTY 0用户界面登录交换机。
用户界面的编号有两种方式:绝对编号方式和相对编号方式。
(1) 绝对编号方式,遵守的规则如下:
l AUX用户界面编号排在VTY用户界面之前,绝对编号为0和1;
l VTY用户界面编号排在AUX用户界面之后,第一个VTY用户界面的绝对编号为7,第二个VTY用户界面的绝对编号为8,依此类推。
(2) 相对编号的形式是:用户界面类型+编号。遵守的规则如下:
l AUX用户界面的相对编号为AUX0和AUX1;
l VTY用户界面的编号:第一个为VTY0,第二个为VTY1,依此类推。
操作 |
命令 |
说明 |
锁住当前用户界面 |
lock |
可选 在用户视图下执行 缺省情况下,不锁住当前用户界面 |
设置在用户界面之间传递消息 |
send { all | number1 | { aux | vty } number2 } |
可选 在用户视图下执行 |
释放指定的用户界面 |
free user-interface { number1 | { aux | vty } number2 } |
可选 在用户视图下执行 |
进入系统视图 |
system-view |
- |
配置登录交换机时的显示信息 |
header { incoming | legal | login | motd | shell } text |
可选 缺省情况下,没有配置显示信息 |
配置交换机的系统名 |
sysname string |
可选 缺省情况下,系统名为H3C |
配置用户登录时显示版权声明提示信息 |
copyright-info enable |
可选 缺省情况下,用户登录时终端显示版权声明提示信息 |
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
显示用户界面的使用信息 |
display users [ all ] |
可选 display命令可以在任意视图下执行 |
显示用户界面的物理属性和部分配置 |
display user-interface [ type number | number ] |
通过交换机Console口进行本地登录是登录交换机的最基本的方式,也是配置通过其他方式登录交换机的基础。缺省情况下,交换机只能通过Console口进行本地登录。
用户终端的通信参数配置要和交换机Console口的缺省配置保持一致,才能通过Console口登录到以太网交换机上。交换机Console口的缺省配置如下:
表2-1 交换机Console口缺省配置
属性 |
缺省配置 |
传输速率 |
9600bit/s |
流控方式 |
不进行流控 |
校验方式 |
不进行校验 |
停止位 |
1 |
数据位 |
8 |
用户登录到交换机上后,可以对AUX用户界面进行相关的配置,请参见2.3 配置Console口登录方式的公共属性。
第一步:如图2-1所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与以太网交换机的Console口连接。
图2-1 通过Console口搭建本地配置环境
第二步:在PC机上运行终端仿真程序(如Windows 9X/Windows 2000/Windows XP的超级终端等,以下配置以Windows XP为例),选择与交换机相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图2-2至图2-4所示。
第三步:以太网交换机上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图2-5所示。
第四步:键入命令,配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。
Console口登录方式的公共属性配置,如表2-2所示。
表2-2 Console口登录方式公共属性配置
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
|
配置Console口的属性 |
配置传输速率 |
speed speed-value |
可选 缺省情况下,Console口使用的传输速率为9600bit/s |
配置校验方式 |
parity { even | mark | none | odd | space } |
可选 缺省情况下,Console口的校验方式为none,即不进行校验 |
|
配置停止位 |
stopbits { 1 | 1.5 | 2 } |
可选 缺省情况下,Console口的停止位为1 |
|
配置数据位 |
databits { 5 | 6 | 7 | 8 } |
可选 缺省情况下,Console口的数据位为8位 |
|
AUX用户界面配置 |
设置从用户界面登录后可以访问的命令级别 |
user privilege level level |
可选 缺省情况下,从AUX用户界面登录后可以访问的命令级别为3级,从VTY用户界面登录后可以访问的命令级别为0级 |
终端属性配置 |
启动终端服务 |
shell |
可选 缺省情况下,在所有的用户界面上启动终端服务 |
设置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏显示功能 |
|
设置历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令 |
|
设置用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟 如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
改变Console口属性后会立即生效,所以通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性。若用户需要通过Console口再次登录交换机,需要改变PC机上运行的终端仿真程序的相应配置,使之与交换机上配置的Console口属性保持一致,如图2-4所示。
不同的认证方式下,Console口登录方式需要进行的配置不同,具体配置如表2-3所示。
认证方式 |
认证所需配置 |
说明 |
None |
设置登录用户的认证方式为不认证 |
具体内容请参见2.5 |
Password |
设置登录用户的认证方式为本地口令认证 |
具体内容请参见2.6 |
设置本地验证的口令 |
||
Scheme |
设置登录用户的认证方式为通过认证方案认证 |
具体内容请参见2.7 |
选择认证方案:采用本地认证或者到远端认证服务器上认证 |
||
配置认证用户名和密码:添加本地用户或者服务器用户 |
改变Console口登录方式的认证方式后,该认证方式的设置不会立即生效。用户需要退出命令行接口后重新登录,该设置才会生效。
表2-4 认证方式为None时Console口登录方式的配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
设置登录用户的认证方式为不认证 |
authentication-mode none |
必选 缺省情况下,用户通过Console口(AUX用户界面)登录,认证方式为none(即不需要进行认证) |
交换机已经被配置为允许用户通过Telnet方式登录,且当前用户级别为管理级(3级)。当前登录用户需要对通过Console口(AUX用户界面)登录的用户进行如下限定:
l 设置通过Console口登录交换机的用户不需要进行认证
l 设置从AUX用户界面登录后可以访问的命令级别为2级
l 设置Console口使用的传输速率为19200bit/s
l 设置终端屏幕的一屏显示30行命令
l 设置历史命令缓冲区可存放20条命令
l 设置AUX用户界面的超时时间为6分钟
图2-6 配置认证方式为None的AUX用户界面属性的组网图
# 进入系统视图。
<Sysname> system-view
# 进入AUX用户界面视图。
[Sysname] user-interface aux 0
# 设置通过Console口登录交换机的用户不需要进行认证。
[Sysname-ui-aux0] authentication-mode none
# 设置从AUX用户界面登录后可以访问的命令级别为2级。
[Sysname-ui-aux0] user privilege level 2
# 设置Console口使用的传输速率为19200bit/s。
[Sysname-ui-aux0] speed 19200
# 设置终端屏幕的一屏显示30行命令。
[Sysname-ui-aux0] screen-length 30
# 设置历史命令缓冲区可存放20条命令。
[Sysname-ui-aux0] history-command max-size 20
# 设置AUX用户界面的超时时间为6分钟。
[Sysname-ui-aux0] idle-timeout 6
完成上述配置后,用户需要改变PC机上运行的终端仿真程序的相应配置,如图2-4所示,使之与交换机上的配置保持一致,才能确保正常登录。
表2-5 认证方式为Password时Console口登录方式的配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
设置登录用户的认证方式为本地口令认证 |
authentication-mode password |
必选 缺省情况下,用户通过Console口(AUX用户界面)登录,认证方式为none(即不需要进行认证) |
设置本地验证的口令 |
set authentication password { cipher | simple } password |
必选 缺省情况下,没有设置本地认证的口令 |
交换机已经被配置为允许用户通过Telnet方式登录,且当前用户级别为管理级(3级)。当前登录用户需要对通过Console口(AUX用户界面)登录的用户进行如下限定:
l 设置通过Console口登录交换机的用户进行Password认证
l 设置用户的认证口令为明文方式,口令为123456
l 设置从AUX用户界面登录后可以访问的命令级别为2级
l 设置Console口使用的传输速率为19200bit/s
l 设置终端屏幕的一屏显示30行命令
l 设置历史命令缓冲区可存放20条命令
l 设置AUX用户界面的超时时间为6分钟
图2-7 配置认证方式为Password的AUX用户界面属性的组网图
# 进入系统视图。
<Sysname> system-view
# 进入AUX用户界面视图。
[Sysname] user-interface aux 0
# 设置通过Console口登录交换机的用户进行Password认证。
[Sysname-ui-aux0] authentication-mode password
# 设置用户的认证口令为明文方式,口令为123456。
[Sysname-ui-aux0] set authentication password simple 123456
# 设置从AUX用户界面登录后可以访问的命令级别为2级。
[Sysname-ui-aux0] user privilege level 2
# 设置Console口使用的传输速率为19200bit/s。
[Sysname-ui-aux0] speed 19200
# 设置终端屏幕的一屏显示30行命令。
[Sysname-ui-aux0] screen-length 30
# 设置历史命令缓冲区可存放20条命令。
[Sysname-ui-aux0] history-command max-size 20
# 设置AUX用户界面的超时时间为6分钟。
[Sysname-ui-aux0] idle-timeout 6
完成上述配置后,用户需要改变PC机上运行的终端仿真程序的相应配置,如图2-4所示,使之与交换机上的配置保持一致,才能确保正常登录。
表2-6 认证方式为Scheme时Console口登录方式的配置
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
|
设置登录用户的认证方式为通过认证方案认证 |
authentication-mode scheme |
必选 具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定 缺省情况下,用户通过Console口(AUX用户界面)登录,认证方式为none(即不需要进行认证) |
|
退出至系统视图 |
quit |
- |
|
配置交换机采用的认证方案 |
进入ISP域视图 |
domain domain-name |
可选 缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置: l 交换机上的RADIUS、HWTACACS方案配置请参见安全分册“AAA配置”部分 l AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
||
退出至系统视图 |
quit |
||
创建本地用户(进入本地用户视图) |
local-user user-name |
必选 缺省情况下,无本地用户 |
|
设置本地用户认证口令 |
password { cipher | simple } password |
必选 |
|
设置AUX用户的命令级别 |
authorization-attribute level level |
可选 缺省情况下,命令级别为0 |
|
设置AUX用户的服务类型 |
service-type terminal |
必选 缺省情况下,无用户服务类型 |
需要注意的是,用户采用Scheme认证方式登录以太网交换机时,其所能访问的命令级别取决于AAA方案中定义的用户级别。
AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。
AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。
有关AAA、RADIUS、HWTACACS的详细内容,请参见安全分册“AAA配置”的介绍。
交换机已经被配置为允许用户通过Telnet方式登录,且用户级别为管理级(3级)。当前登录用户需要对通过Console口(AUX用户界面)登录的用户进行如下限定:
l 设置本地用户的用户名为guest
l 设置本地用户的认证口令为明文方式,口令为123456
l 设置本地用户的服务类型为Terminal且命令级别为2级
l 设置通过Console口登录交换机的用户进行Scheme认证
l 设置Console口使用的传输速率为19200bit/s
l 设置终端屏幕的一屏显示30行命令
l 设置历史命令缓冲区可存放20条命令
l 设置AUX用户界面的超时时间为6分钟
图2-8 配置认证方式为Scheme的AUX用户界面属性的组网图
(1) 交换机上的配置
# 进入系统视图。
<Sysname> system-view
# 创建本地用户guest,并进入本地用户视图。
[Sysname] local-user guest
# 设置本地用户的认证口令为明文方式,口令为123456。
[Sysname-luser-guest] password simple 123456
# 设置本地用户的服务类型为Terminal。
[Sysname-luser-guest] service-type terminal
# 设置用户登录后可以访问的命令级别为2级。
[Sysname-luser-guest] authorization-attribute level 2
[Sysname-luser-guest] quit
# 进入AUX用户界面视图。
[Sysname] user-interface aux 0
# 设置通过Console口登录交换机的用户进行Scheme认证。
[Sysname-ui-aux0] authentication-mode scheme
# 设置Console口使用的传输速率为19200bit/s。
[Sysname-ui-aux0] speed 19200
# 设置终端屏幕的一屏显示30行命令。
[Sysname-ui-aux0] screen-length 30
# 设置历史命令缓冲区可存放20条命令。
[Sysname-ui-aux0] history-command max-size 20
# 设置AUX用户界面的超时时间为6分钟。
[Sysname-ui-aux0] idle-timeout 6
(2) 认证方案配置
请参照“AAA配置”中相关内容完成对认证服务器的配置。
完成上述配置后,用户需要改变PC机上运行的终端仿真程序的相应配置,如图2-4所示,使之与交换机上的配置保持一致,才能确保正常登录。
缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。
授权服务器是通过用户名来查找用户可授权使用的命令行列表的,命令行授权功能的配置分为三步:
(1) 配置用户认证方式为scheme。
(2) 使能命令行授权功能,请参见表2-7。
(3) 配置命令行授权方案,在方案中配置授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全分册/AAA配置”。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
使能命令行授权功能 |
command authorization |
必选 缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权 |
命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。
命令行计费功能的配置分为两步:
(1) 使能命令行计费功能,请参见表2-8。
(2) 配置命令行计费方案,在方案中配置计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见“安全分册/AAA配置”。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
使能命令行计费功能 |
command accounting |
必选 缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行 |
交换机支持Telnet功能,用户可以通过Telnet方式对交换机进行远程管理和维护。交换机和Telnet用户端都要进行相应的配置,才能保证通过Telnet方式正常登录交换机。
交换机和Telnet用户端都要进行相应的配置,才能保证通过Telnet方式正常登录交换机。
表3-1 通过Telnet登录交换机需要具备的条件
对象 |
需要具备的条件 |
交换机 |
配置交换机VLAN的IP地址,交换机与Telnet用户间路由可达 |
Telnet用户 |
运行了Telnet程序 |
获取要登录交换机VLAN接口的IP地址 |
通过Telnet方式登录交换机时,用户即可以使用PC机作为Telnet客户端,Telnet到交换机上,对其进行配置,也可以使用一台交换机Telnet到另一台交换机上,本端交换机作为Telnet客户端,对端交换机作为Telnet服务器端,对其进行配置。
第一步:通过Console口正确配置以太网交换机VLAN1接口的IP地址(VLAN1为交换机的缺省VLAN)。
l 通过Console口搭建配置环境。建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与以太网交换机的Console口连接。
l 在PC机上运行终端仿真程序(如Windows98/Windows NT/ Windows2000/ Windows XP的超级终端),设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控。
l 以太网交换机上电,PC机终端上将显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符。
l 通过Console口在超级终端中执行以下命令,配置以太网交换机VLAN1的IP地址为202.38.160.92/24。
<Sysname> system-view
[Sysname] interface Vlan-interface 1
[Sysname-Vlan-interface1] ip address 202.38.160.92 255.255.255.0
第二步:在通过Telnet登录以太网交换机之前,针对用户需要的不同认证方式,在交换机上进行相应配置。请参见3.1.5 认证方式为None时Telnet登录方式的配置、3.1.6 认证方式为Password时Telnet登录方式的配置、3.1.7 认证方式为Scheme时Telnet登录方式的配置的相关描述。
第三步:如图3-1所示,建立配置环境,将PC机以太网口通过网络与以太网交换机VLAN1下的以太网口连接,确保PC机和VLAN1接口之间路由可达。
第四步:在PC机上运行Telnet程序,输入交换机VLAN1的IP地址,如图3-2所示。
第五步:如果配置验证方式为Password,则终端上显示“Login authentication”,并提示用户输入已设置的登录口令,口令输入正确后则出现命令行提示符(如<Sysname>)。如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到以太网交换机的用户过多,则请稍候再连接。
第六步:使用相应命令配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。
l 通过Telnet配置交换机时,请不要删除或修改交换机上对应本Telnet连接的交换机上的VLAN接口的IP地址,否则会导致Telnet连接断开。
l Telnet用户通过口令认证登录交换机时,缺省可以访问命令级别为0级的命令。有关命令级别的描述请参见系统分册“系统配置与维护”中的配置用户级别和命令级别部分介绍。
用户可以从一台交换机Telnet到另一台交换机上,对其进行配置。本端交换机作为Telnet客户端,对端交换机作为Telnet服务器端。如果两台交换机相连的端口在同一局域网内,则其IP地址必须配置在同一网段;否则,两台交换机必须路由可达。
配置环境如图3-3所示,用户Telnet到一台以太网交换机后,可以输入telnet命令再登录其它以太网交换机,对其进行配置管理。
图3-3 通过交换机登录到其它交换机
第一步:针对用户需要的不同认证方式,在作为Telnet Server的交换机上进行相应配置。请参见3.1.5 认证方式为None时Telnet登录方式的配置、3.1.6 认证方式为Password时Telnet登录方式的配置、3.1.7 认证方式为Scheme时Telnet登录方式的配置的相关描述。
第二步:用户登录到作为Telnet Client的以太网交换机。
第三步:在Telnet Client的以太网交换机上作如下操作:
<Sysname> telnet xxxx
其中xxxx是作为Telnet Server的以太网交换机的主机名或IP地址,若为主机名,则需是已通过ip host命令配置的主机名。
第四步:登录后,出现命令行提示符(如<Sysname>),如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到以太网交换机的用户过多,则请稍候再连接。
第五步:使用相应命令配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。
Telnet登录方式的公共属性配置,如表3-2所示。
表3-2 Telnet登录方式的公共属性配置
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能设备的Telnet服务 |
telnet server enable |
可选 缺省情况下,Telent服务处于使能状态 |
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
VTY用户界面配置 |
设置从VTY用户界面登录后可以访问的命令级别 |
user privilege level level |
可选 缺省情况下,从VTY用户界面登录后可以访问的命令级别为0级 |
配置VTY用户界面支持的协议 |
protocol inbound { all | ssh | telnet } |
可选 缺省情况下,交换机同时支持Telnet和SSH协议 |
|
设置从用户界面登录后自动执行的命令 |
auto-execute command text |
可选 缺省情况下,通过VTY用户界面登录后无可自动执行的命令 |
|
VTY用户终端属性配置 |
启动终端服务 |
shell |
可选 缺省情况下,在所有的用户界面上启动终端服务 |
设置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏显示功能 |
|
设置交换机历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令 |
|
设置VTY用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟 如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
不同的认证方式下,Telnet登录方式需要进行的配置不同,具体配置如表3-3所示。
表3-3 配置Telnet登录的认证方式
认证方式 |
认证所需配置 |
说明 |
None |
设置登录用户的认证方式为不认证 |
具体内容请参见表3-4 |
Password |
设置登录用户的认证方式为本地口令认证 |
具体内容请参见表3-5 |
设置本地验证的口令 |
||
Scheme |
设置登录用户的认证方式为通过认证方案认证 |
具体内容请参见表3-6 |
选择认证方案:采用本地认证或者到远端认证服务器上认证 |
||
配置认证用户名和密码:添加本地用户或者服务器用户 |
表3-4 认证方式为None时Telnet登录方式的配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
设置VTY登录用户的认证方式为不认证 |
authentication-mode none |
必选 缺省情况下,VTY用户界面的认证方式为password |
需要注意的是,用户采用None认证方式登录以太网交换机时,其所能访问的命令级别取决于命令user privilege level level中level参数定义的级别。
(1) 组网需求
当前用户通过Console口(AUX用户界面)登录到交换机,且当前用户级别为管理级(3级)。当前用户要对通过VTY0用户界面登录的Telnet用户进行如下限定:
l 设置通过VTY0口登录交换机的Telnet用户不需要进行认证
l 设置从VTY0用户界面登录后可以访问的命令级别为2级
l 设置VTY0用户界面支持Telnet协议
l 设置VTY0用户的终端屏幕的一屏显示30行命令
l 设置VTY0用户历史命令缓冲区可存放20条命令
l 设置VTY0用户界面的超时时间为6分钟
(2) 组网图
图3-4 配置认证方式为None的Telnet用户的组网图
(3) 配置步骤
# 进入系统视图。
<Sysname> system-view
# 进入VTY0用户界面视图。
[Sysname] user-interface vty 0
# 设置通过VTY0用户界面登录交换机的Telnet用户不需要进行认证。
[Sysname-ui-vty0] authentication-mode none
# 设置通过VTY0用户界面登录后可以访问的命令级别为2级。
[Sysname-ui-vty0] user privilege level 2
# 设置VTY0用户界面支持Telnet协议。
[Sysname-ui-vty0] protocol inbound telnet
# 设置VTY0用户的终端屏幕的一屏显示30行命令。
[Sysname-ui-vty0] screen-length 30
# 设置VTY0用户历史命令缓冲区可存放20条命令。
[Sysname-ui-vty0] history-command max-size 20
# 设置VTY0用户界面的超时时间为6分钟。
[Sysname-ui-vty0] idle-timeout 6
表3-5 认证方式为Password时Telnet登录方式的配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
设置登录用户的认证方式为本地口令认证 |
authentication-mode password |
必选 缺省情况下,VTY用户界面的认证方式为password |
设置本地验证的口令 |
set authentication password { cipher | simple } password |
必选 缺省情况下,没有设置本地认证的口令 |
需要注意的是,用户采用Password认证方式登录以太网交换机时,其所能访问的命令级别取决于命令user privilege level level中level参数定义的级别。
(1) 组网需求
当前用户通过Console口(AUX用户界面)登录到交换机,且当前用户级别为管理级(3级)。当前用户要对通过VTY0用户界面登录的Telnet用户进行如下限定:
l 设置通过VTY0口登录交换机的Telnet用户进行Password认证
l 设置用户的认证口令为明文方式,口令为123456
l 设置从VTY0用户界面登录后可以访问的命令级别为2级
l 设置VTY0用户界面支持Telnet协议
l 设置VTY0用户的终端屏幕的一屏显示30行命令
l 设置VTY0用户历史命令缓冲区可存放20条命令
l 设置VTY0用户界面的超时时间为6分钟
(2) 组网图
图3-5 配置认证方式为Password的Telnet用户的组网图
(3) 配置步骤
# 进入系统视图。
<Sysname> system-view
# 进入VTY0用户界面视图。
[Sysname] user-interface vty 0
# 设置通过VTY0口登录交换机的用户进行Password认证。
[Sysname-ui-vty0] authentication-mode password
# 设置用户的认证口令为明文方式,口令为123456。
[Sysname-ui-vty0] set authentication password simple 123456
# 设置从VTY0用户界面登录后可以访问的命令级别为2级。
[Sysname-ui-vty0] user privilege level 2
# 设置VTY0用户界面支持Telnet协议。
[Sysname-ui-vty0] protocol inbound telnet
# 设置VTY0用户的终端屏幕的一屏显示30行命令。
[Sysname-ui-vty0] screen-length 30
# 设置VTY0用户历史命令缓冲区可存放20条命令。
[Sysname-ui-vty0] history-command max-size 20
# 设置VTY0用户界面的超时时间为6分钟。
[Sysname-ui-vty0] idle-timeout 6
表3-6 认证方式为Scheme时Telnet登录方式的配置
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
设置登录用户的认证方式为通过认证方案认证 |
authentication-mode scheme |
必选 具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定 缺省情况下采用本地认证方式 |
|
退出至系统视图 |
quit |
- |
|
配置交换机采用的认证方案 |
进入ISP域视图 |
domain domain-name |
可选 缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置: l 交换机上的配置请参见安全分册“AAA配置”部分 l AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
||
退出至系统视图 |
quit |
||
创建本地用户(进入本地用户视图) |
local-user user-name |
缺省情况下,无本地用户 |
|
设置本地认证口令 |
password { cipher | simple } password |
必选 |
|
设置VTY用户的命令级别 |
authorization-attribute level level |
可选 缺省情况下,命令级别为0 |
|
设置VTY用户的服务类型 |
service-type telnet |
必选 缺省情况下,无用户的服务类型 |
需要注意的是,用户采用Scheme认证方式登录以太网交换机时,其所能访问的命令级别取决于AAA方案中定义的用户级别。
AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。
AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。
有关AAA、RADIUS、HWTACACS的详细内容,请参见安全分册“AAA配置”部分的介绍。
(1) 组网需求
当前用户通过Console口(AUX用户界面)登录到交换机,且当前用户级别为管理级(3级)。当前用户要对通过VTY0用户界面登录的Telnet用户进行如下限定:
l 设置本地用户的用户名为guest
l 设置本地用户的认证口令为明文方式,口令为123456
l 设置VTY用户的服务类型为Telnet且命令级别为2级
l 设置通过VTY0口登录交换机的Telnet用户进行Scheme认证
l 设置VTY0用户界面仅支持Telnet协议
l 设置VTY0用户的终端屏幕的一屏显示30行命令
l 设置VTY0用户历史命令缓冲区可存放20条命令
l 设置VTY0用户界面的超时时间为6分钟
(2) 组网图
图3-6 配置认证方式为Scheme的Telnet用户的组网图
(3) 配置步骤
l 交换机上的配置
# 进入系统视图。
<Sysname> system-view
# 创建本地用户guest,并进入本地用户视图。
[Sysname] local-user guest
# 设置本地用户的认证口令为明文方式,口令为123456。
[Sysname-luser-guest] password simple 123456
# 设置VTY用户的服务类型为Telnet且命令级别为2级。
[Sysname-luser-guest] service-type telnet
# 设置VTY用户登录后可以访问的命令级别为2级。
[Sysname-luser-guest] authorization-attribute level 2
[Sysname-luser-guest] quit
# 进入VTY0用户界面视图。
[Sysname] user-interface vty 0
# 设置通过VTY0口登录交换机的Telnet用户进行Scheme认证。
[Sysname-ui-vty0] authentication-mode scheme
# 设置VTY0用户界面支持Telnet协议。
[Sysname-ui-vty0] protocol inbound telnet
# 设置VTY0用户的终端屏幕的一屏显示30行命令。
[Sysname-ui-vty0] screen-length 30
# 设置VTY0用户历史命令缓冲区可存放20条命令。
[Sysname-ui-vty0] history-command max-size 20
# 设置VTY0用户界面的超时时间为6分钟。
[Sysname-ui-vty0] idle-timeout 6
l 认证方案配置
请参照安全分册“AAA配置”中相关内容完成对认证服务器的配置。
SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。
SSH登录方式是在Telnet的基础上封装了安全外壳,关于SSH提供的安全功能配置,请参见安全分册“SSH配置”部分的介绍。
缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。
授权服务器是通过用户名来查找用户可授权使用的命令行列表的,命令行授权功能的配置分为三步:
(1) 配置用户认证方式为scheme。
(2) 使能命令行授权功能,请参见表2-7。
(3) 配置命令行授权方案,在方案中配置授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全分册/AAA配置”。
表3-7 使能命令行授权功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
使能命令行授权功能 |
command authorization |
必选 缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权 |
命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。
命令行计费功能的配置分为两步:
(1) 使能命令行计费功能,请参见表2-8。
(2) 配置命令行计费方案,在方案中配置计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见“安全分册/AAA配置”。
表3-8 使能命令行计费功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
使能命令行计费功能 |
command accounting |
必选 缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行 |
网络管理员可以通过远端交换机的Console口,利用一对Modem和PSTN(Public Switched Telephone Network,公共电话交换网)对远端的交换机进行远程维护。这种方式一般适用于在网络中断的情况下,利用PSTN网络对交换机进行远程配置、日志/告警信息查询、故障定位。
交换机和网络管理员端都要进行相应的配置,才能保证通过Console口利用Modem拨号进行远程登录交换机。
表4-1 通过Console口利用Modem拨号进行远程登录需要具备的条件
配置对象 |
需要具备的条件 |
网络管理员端 |
PC终端与Modem正确连接 |
Modem与可正常使用的电话线正确相连 |
|
获取了远程交换机端Console口所连Modem上对应的电话号码 |
|
远程交换机端 |
Console口与Modem正确连接 |
在Modem上进行了正确的配置 |
|
Modem与可正常使用的电话线正确相连 |
|
远程交换机上配置了登录用户的认证方式及认证方式对应的其它配置,请参见表2-3 |
PC终端与Modem正确连接、Modem与可正常使用的电话线正确相连、获取了远程交换机端Console口所连Modem上对应的电话号码。
在与交换机直接相连的Modem上进行以下配置(与终端相连的Modem不需要进行配置)。
AT&F ----------------------- Modem恢复出厂配置
ATS0=1 ----------------------- 配置自动应答(振铃一声)
AT&D ----------------------- 忽略DTR信号
AT&K0 ----------------------- 禁止流量控制
AT&R1 ----------------------- 忽略RTS信号
AT&S0 ----------------------- 强制DSR为高电平
ATEQ1&W ----------------------- 禁止modem回送命令响应和执行结果并存储配置
在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果。
各种Modem配置命令及显示的结果有可能不一样,具体操作请参照Modem的说明书进行。
通过Console口利用Modem拨号进行远程登录时,使用的是AUX用户界面,交换机上的配置需要注意以下几点:
l Console口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象。
l Console口的其它属性(Console口校验方式、Console口的停止位、Console的数据位)均采用缺省值。
交换机上具体配置与登录用户采用的认证方式有关,配置用户的认证方式请参见表2-3。
详细配置请参见“2.5 认证方式为None时Console口登录方式的配置”。
详细配置请参见“2.6 认证方式为Password时Console口登录方式的配置”。
详细配置请参见“2.7 认证方式为Scheme时Console口登录方式的配置”。
第一步:在通过Modem拨号登录以太网交换机之前,针对用户需要的不同认证方式,在交换机上进行相应配置。请参见“2.5 认证方式为None时Console口登录方式的配置”、“2.6 认证方式为Password时Console口登录方式的配置”、“2.7 认证方式为Scheme时Console口登录方式的配置”的描述。
第二步:在与以太网交换机直接相连的Modem上进行以下配置。
AT&F ----------------------- Modem恢复出厂配置
ATS0=1 ----------------------- 配置自动应答(振铃一声)
AT&D ----------------------- 忽略DTR信号
AT&K0 ----------------------- 禁止流量控制
AT&R1 ----------------------- 忽略RTS信号
AT&S0 ----------------------- 强制DSR为高电平
ATEQ1&W ----------------------- 禁止modem回送命令响应和执行结果并存储配置
在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果。
第三步:如图4-1所示,建立远程配置环境,在PC机(或终端)的串口和以太网交换机的Console口分别挂接Modem。
第四步:在远端通过终端仿真程序和Modem向以太网交换机拨号(所拨号码应该是与以太网交换机相连的Modem的电话号码),与以太网交换机建立连接,如图图4-3至图4-4所示。
图4-2 新建连接
图4-4 在远端PC机上拨号
第五步:如果配置验证方式为Password,在远端的终端仿真程序上输入已配置的登录口令,出现命令行提示符(如<H3C>),即可对以太网交换机进行配置或管理。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关模块的内容。
Modem用户登录时,如果交换机上AUX用户界面未作任何配置,则缺省可以访问命令级别为3级的命令。
用户可以配置与交换机Console口直连的Modem的有关参数。
l 用户登录认证方式已经在AUX用户界面配置完毕
l Modem拨号配置环境已经搭建完毕
表4-2 Modem 参数配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
配置允许Modem呼入呼出属性 |
modem [ both | call-in | call-out ] |
必选 |
设置应答方式为自动应答 |
modem auto-answer |
可选 缺省情况下,为手动应答方式 |
配置呼入连接建立时,从摘机至检测到载波的等待超时时间 |
modem timer answer seconds |
可选 缺省情况下,超时时间为30秒 |
配置与交换机Console口直连的Modem允许呼入与呼出,应答方式为自动应答,从摘机至检测到载波的超时时间为45秒。
如图4-1所示组网环境。
# 进入AUX用户界面视图。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface aux 0
# 配置modem允许呼入和呼出。
[Sysname-ui-aux0] modem both
# 配置modem应答方式为自动。
[Sysname-ui-aux0] modem auto-answer
# 配置超时时间为45秒。
为了保证Device的安全,需要对登录用户进行限制:
l 设备管理员Host A通过Console口接入设备,登录设备时,不需要输入用户名和密码即可登录、操作设备。用户Host B通过以太网接入设备,登录设备时不需要输入用户名,只需要输入密码,认证通过后才可登录、操作设备。
l 用户Host B通过Telnet 接入设备,登录设备时需要输入用户名和密码,认证通过后才可登录、操作设备。优先使用RADIUS远程认证,如果RADIUS服务器故障或者链路故障,则使用本地认证(本地用户名为monitor,密码为123)。
图5-1 用户认证配置组网图
# 在设备上配置IP地址,以保证Device分别与Host A、Host B、Host C、RADIUS server之间路由可达。(配置步骤略)
# 开启设备的Telnet服务器功能,以便私网和公网用户访问。
<Device> system-view
[Device] telnet server enable
# 配置Console用户界面的认证方式为none,即用户通过Console口登录设备时,不需要输入用户名和密码,因为是管理员,所以权限设置为3,可以使用设备支持的所有命令。
[Device] user-interface aux 0
[Device-ui-aux0] authentication-mode none
[Device-ui-aux0] user privilege level 3
[Device-ui-aux0] quit
# 配置VTY用户界面的认证方式为scheme,即Host B Telnet登录设备时,需要输入用户名和密码进行AAA认证,可以使用的命令级别由AAA服务器上的配置决定。
[Device] user-interface vty 0 4
[Device-ui-vty0-4] authentication-mode scheme
[Device-ui-vty0-4] quit
# 配置RADIUS方案:认证服务器的IP地址:TCP端口号为192.168.2.20:1812(该端口号必须和RADIUS服务器上的设置一致),报文的加密密码是expert,支持与服务器交互扩展报文,登录时不需要输入域名,使用缺省域。
[Device] radius scheme rad
[Device-radius-rad] primary authentication 192.168.2.20 1812
[Device-radius-rad] key authentication expert
[Device-radius-rad] server-type extended
[Device-radius-rad] user-name-format without-domain
[Device-radius-rad] quit
# 配置缺省域的AAA方案,优先使用RADIUS方案,如果与RADIUS服务器的通信故障,则使用本地认证。
[Device] domain system
[Device-isp-system] authentication login radius-scheme rad local
[Device-isp-system] authorization login radius-scheme rad local
[Device-isp-system] quit
# 配置本地认证所需参数:创建本地用户monitor,密码为123,可使用的服务类型为telnet,可使用缺省级别等于或低于1(监控级)的命令。
[Device] local-user monitor
[Device-luser-admin] password cipher 123
[Device-luser-admin] service-type telnet
[Device-luser-admin] authorization-attribute level 1
为了保证Device的安全,需要对登录用户执行命令的权限进行限制:
用户Host A登录设备后,输入的命令必须先获得HWTACACS服务器的授权,才能执行。否则,不能执行该命令。如果HWTACACS服务器故障导致授权失败,则采用本地授权。
图5-2 命令行授权配置组网图
# 在设备上配置IP地址,以保证Device和Host A、Device和HWTACACS server之间互相路由可达。(配置步骤略)
# 开启设备的Telnet服务器功能,以便用户访问。
<Device> system-view
[Device] telnet server enable
# 配置用户登录设备时,需要输入用户名和密码进行AAA认证,可以使用的命令由认证结果决定。
[Device] user-interface vty 0 4
[Device-ui-vty0-4] authentication-mode scheme
# 使能命令行授权功能,限制用户只能使用授权成功的命令。
[Device-ui-vty0-4] command authorization
[Device-ui-vty0-4] quit
# 配置HWTACACS方案:授权服务器的IP地址:TCP端口号为192.168.2.20:49(该端口号必须和HWTACACS服务器上的设置一致),报文的加密密码是expert,登录时不需要输入域名,使用缺省域。
[Device] hwtacacs scheme tac
[Device-hwtacacs-tac] primary authentication 192.168.2.20 49
[Device-hwtacacs-tac] primary authorization 192.168.2.20 49
[Device-hwtacacs-tac] key authentication expert
[Device-hwtacacs-tac] key authorization expert
[Device-hwtacacs-tac] server-type standard
[Device-hwtacacs-tac] user-name-format without-domain
[Device-hwtacacs-tac] quit
# 配置缺省域的命令行授权AAA方案,使用HWTACACS方案。
[Device] domain system
[Device-isp-system] authentication login hwtacacs-scheme tac local
[Device-isp-system] authorization command hwtacacs-scheme tac local
[Device-isp-system] quit
# 配置本地认证所需参数:创建本地用户monitor,密码为123,可使用的服务类型为telnet,可使用缺省级别等于或低于1(监控级)的命令。
[Device] local-user monitor
[Device-luser-admin] password cipher 123
[Device-luser-admin] service-type telnet
[Device-luser-admin] authorization-attribute level 1
为便于集中监视、控制用户对设备的操作,需要登录用户执行的命令发送到HWTACACS服务器进行记录。
图5-3 命令行计费配置组网图
# 开启设备的Telnet服务器功能,以便用户访问。
<Device> system-view
[Device] telnet server enable
# 配置使用Console口登录设备的用户执行的命令需要发送到HWTACACS服务器进行记录。
[Device] user-interface aux 0
[Device-ui-aux0] command accounting
[Device-ui-aux0] quit
# 配置使用Telnet或者SSH登录的用户执行的命令需要发送到HWTACACS服务器进行记录。
[Device] user-interface vty 0 4
[Device-ui-vty0-4] command accounting
[Device-ui-vty0-4] quit
# 配置HWTACACS方案:计费服务器的IP地址:TCP端口号为192.168.2.20:49,报文的加密密码是expert,登录时不需要输入域名,使用缺省域。
[Device] hwtacacs scheme tac
[Device-hwtacacs-tac] primary accounting 192.168.2.20 49
[Device-hwtacacs-tac] key accounting expert
[Device-hwtacacs-tac] user-name-format without-domain
[Device-hwtacacs-tac] quit
# 配置缺省域的命令行计费AAA方案,使用HWTACACS方案。
[Device] domain system
[Device-isp-system] accounting command hwtacacs-scheme tac
[Device-isp-system] quit
用户可通过NMS(Network Management Station,网管工作站)登录到交换机上,通过交换机上的Agent模块对交换机进行管理、配置。NMS和Agent之间运行的协议为SNMP(Simple Network Management Protocol,简单网络管理协议),具体介绍请参见系统分册“SNMP-RMON”部分介绍。
NMS端和交换机上都要进行相应的配置,才能保证通过NMS正常登录交换机。
表6-1 通过NMS登录交换机需要具备的条件
对象 |
需要具备的条件 |
交换机 |
配置交换机VLAN的IP地址,交换机与NMS间路由可达 |
配置SNMP基本功能,请参见系统分册“SNMP-RMON”部分介绍 |
|
NMS(网管工作站) |
NMS网管工作站进行了正确配置,具体配置请参见NMS附带的网管手册 |
图6-1 通过NMS方式登录组网环境
用户可以通过以下配置,为Telnet Client指定源IP地址或者源接口,增加了业务的可管理性和安全性。
为Telnet业务报文指定的源IP为Loopback接口、管理以太网接口或者VLAN接口的IP。通过配置Loopback虚接口、管理以太网接口或者闲置VLAN接口的IP为Telnet业务报文的指定源IP,使Telnet Client和Telnet Server之间传输报文无论通过交换机的哪个接口都使用指定接口的源IP,隐藏了实际通信接口的IP地址,起到了防止外部攻击的作用,提高了安全性。同时,有时服务器会限制只有某些IP才可以访问它,在客户端上使用源IP特性可以避免连接不上服务器。
分为用户视图下的配置和系统视图下的配置,用户视图下的配置只对本次操作有效,而系统视图下的配置对之后的每次操作都有效,用户视图下的优先级高于系统视图。
表7-1 在用户视图下配置Telnet业务报文指定源IP
操作 |
命令 |
说明 |
交换机作为Telnet Client登录到服务器时,为Telnet Client指定业务报文源地址或源接口 |
telnet remote-system [ port-number ] [ source { ip ip-address | interface interface-type interface-number } ] |
可选 缺省情况下,没有为Telnet Client指定源地址或源接口 |
表7-2 在系统视图下配置Telnet业务报文指定源IP
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
为Telnet Client指定业务报文源地址或源接口 |
telnet client source { ip ip-address | interface interface-type interface-number } |
可选 缺省情况下,没有为Telnet Client指定源地址或源接口 |
l 指定的ip-address必须为本设备地址。
l 指定的接口必须存在,当指定接口不存在时,命令提示配置不成功。
l 如果指定了源IP或者源接口,必须保证Telnet Server和Telnet Client的指定IP或者接口之间路由可达。
在完成上述配置后,在任意视图下执行display命令可以显示配置业务报文指定源IP或源接口后的运行情况,通过查看显示信息验证配置的效果。
表7-3 配置Telnet业务报文指定源IP显示
操作 |
命令 |
说明 |
显示当前为Telnet Client设置的源IP地址或源接口的信息 |
display telnet client configuration |
display命令可以在任意视图下执行 |
交换机提供对不同登录方式进行控制,如表8-1所示。
登录方式 |
控制方式 |
实现方法 |
相关小节 |
Telnet |
通过源IP对Telnet进行控制 |
通过基本ACL实现 |
|
通过源IP、目的IP对Telnet进行控制 |
通过高级ACL实现 |
||
通过源MAC对Telnet进行控制 |
通过二层ACL实现 |
||
SNMP |
通过源IP对网管用户进行控制 |
通过基本ACL实现 |
确定了对Telnet的控制策略,包括对哪些源IP、目的IP、源MAC进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见安全分册中“ACL配置”模块的相关内容。
表8-2 通过源IP对Telnet进行控制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入基本ACL视图 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必选 |
退出ACL视图 |
quit |
- |
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
引用访问控制列表,通过源IP对Telnet进行控制 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必选 inbound:对Telnet到本交换机的用户进行ACL控制 outbound:对从本交换机Telnet到其他Telnet服务器的用户进行ACL控制 |
本配置需要通过高级访问控制列表实现。高级访问控制列表的序号取值范围为3000~3999。关于ACL的定义请参见安全分册中“ACL配置”模块的相关内容。
表8-3 配置高级ACL规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入高级ACL视图 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { permit | deny } rule-string |
必选 用户可以根据需要配置对相应的源IP、目的IP进行过滤的规则 |
退出ACL视图 |
quit |
- |
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
引用访问控制列表,通过源IP、目的IP对Telnet进行控制 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必选 inbound:对Telnet到本交换机的用户进行ACL控制 outbound:对从本交换机Telnet到其他Telnet服务器的用户进行ACL控制 |
本配置需要通过二层访问控制列表实现。二层访问控制列表的序号取值范围为4000~4999。关于ACL的定义请参见安全分册中“ACL配置”模块的相关内容。
表8-4 配置二层ACL规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入高级ACL视图 |
acl number acl-number [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { permit | deny } rule-string |
必选 用户可以根据需要配置对相应的源MAC进行过滤的规则 |
退出ACL视图 |
quit |
- |
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
引用访问控制列表,通过源MAC对Telnet进行控制 |
acl acl-number inbound |
必选 inbound:对Telnet到本交换机的用户进行ACL控制 |
二层访问控制列表对于Telnet Client的源IP与Telnet服务器的接口IP不在同一网段的不生效。
通过源IP对Telnet进行控制,仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问交换机。
图8-1 对Switch的Telnet用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用访问控制列表,允许源地址为10.110.100.52和10.110.100.46的Telnet用户访问交换机。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] acl 2000 inbound
交换机支持通过网管软件进行远程管理。网管用户可以通过SNMP访问交换机。通过引用访问控制列表,可以对访问交换机的SNMP用户进行控制。
确定了对网管用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见安全分册中“ACL配置”模块的相关内容。
表8-5 通过源IP对网管用户进行控制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入基本ACL视图 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必选 |
退出ACL视图 |
quit |
- |
在配置SNMP团体名的命令中引用访问控制列表 |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]* |
必选 根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组名或者用户名配置时引用访问控制列表,详细介绍请参见系统分册中的“SNMP配置”中的相关内容 |
在配置SNMP组名的命令中引用访问控制列表 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
|
在配置SNMP用户名的命令中引用访问控制列表 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { aes128 | des56 | 3des } priv-password ] ] [ acl acl-number ] |
通过源IP对网管用户进行控制,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问交换机。
图8-2 对SNMP用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用访问控制列表,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问交换机。
[Sysname] snmp-agent community read aaa acl 2000
[Sysname] snmp-agent group v2c groupa acl 2000
[Sysname] snmp-agent usm-user v2c usera groupa acl 2000
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!