03-登录设备配置
本章节下载 (809.24 KB)
2.3.2 不同认证方式下Console口登录方式的属性配置
2.5 认证方式为Password时Console口登录方式的配置
2.6 认证方式为Scheme时Console口登录方式的配置
3.4 认证方式为Password时Telnet登录方式的配置
l 本手册中标有“请以设备实际情况为准”的特性描述,表示WX系列无线控制产品的各型号对于此特性的支持情况不同,具体差异请参见“特性差异化列表”的“特性支持情况”章节。
l 无线控制产品支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用GE口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。
l IPv6相关配置的支持情况请参见“特性差异化列表”的“特性支持情况”章节。
无线控制产品的登录,可以通过以下几种方式实现:
l 通过Console口进行本地登录
l 通过以太网端口利用Telnet进行本地或远程登录
l 通过Web网管登录
l 通过NMS登录
无线控制产品支持的用户界面包含以下3种:
l AUX用户界面
l Console用户界面
l VTY用户界面
设备支持哪几种用户界面与设备的型号有关,请以设备的实际情况为准。
表1-1 用户界面介绍
|
用户界面 |
对应用户 |
使用的无线控制产品端口类型 |
说明 |
|
AUX用户界面 |
通过Console口登录的用户 |
Console口 |
每台无线控制产品只有1个AUX用户 |
|
Console用户界面 |
通过Console口登录的用户 |
Console口 |
每台无线控制产品只有1个Console用户 |
|
VTY用户界面 |
Telnet用户、SSH用户 |
以太网端口 |
每台无线控制产品最多可以有5个VTY用户 |
用户界面的编号有两种方式:绝对编号方式和相对编号方式。
(1) 绝对编号方式,遵守的规则如下:
l AUX用户界面编号排在第一位,为0;
l Console用户界面编号排在第一位,为0;
l VTY用户界面编号排在AUX用户界面之后,第一个VTY的绝对编号比AUX大1。
(2) 相对编号的形式为用户界面类型+编号,此编号是每种类型的用户界面的编号。遵守的规则如下:
l AUX用户界面的编号:AUX 0;
l Console用户界面的编号:Console 0;
l VTY用户界面的编号:第一个为VTY 0,第二个为VTY 1,依此类推。
表1-2 用户界面公共配置
|
操作 |
命令 |
说明 |
|
锁定当前用户界面 |
Lock |
可选 在用户视图下执行 缺省情况下,不锁定当前用户界面 |
|
配置在用户界面之间传递消息 |
send { all | num1 | { aux | console | vty } num2 } |
可选 在用户视图下执行 |
|
清除指定的用户界面 |
free user-interface { num1 | { aux | console | vty } num2 } |
可选 在用户视图下执行, 该命令支持的用户接口类型和数量与设备实际型号相关,请以设备实际情况为准 |
|
进入系统视图 |
system-view |
- |
|
配置登录无线控制产品时的欢迎信息 |
header { incoming | legal | login | motd | shell } text |
可选 缺省情况下,没有配置欢迎信息 |
|
配置无线控制产品的系统名 |
sysname string |
可选 缺省情况下,系统名为H3C |
|
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- 该命令支持的用户接口类型和数量与设备实际型号相关,请以设备实际情况为准 |
|
配置中止当前运行任务的快捷键 |
escape-key { default | character } |
可选 缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
|
配置历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,历史缓冲区为10,即可存放10条历史命令 |
|
配置用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟 如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
|
配置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏功能 |
|
启动终端服务 |
shell |
可选 缺省情况下,在所有的用户界面上启动终端服务 |
|
配置终端的显示类型 |
terminal type { ansi | vt100 } |
可选 缺省情况下,终端显示类型为ANSI |
|
显示用户界面的使用信息 |
display users [ all ] |
display命令可以在任意视图下执行,该命令支持的用户接口类型和数量与设备实际型号相关,请以设备实际情况为准 |
|
显示用户界面的物理属性和部分配置 |
display user-interface [ num1 | { aux | console | vty } num2 ] [ summary ] |
设备对Console口和AUX口的支持情况,请以设备实际情况为准。
通过无线控制产品的Console口进行本地登录是登录设备的最基本的方式,也是配置通过其他方式登录设备的基础。设备缺省情况下只能通过Console口进行本地登录。
用户终端的通信参数配置要和设备Console口的配置保持一致,才能通过Console口登录到设备上。设备Console口的缺省配置如下。
表2-1 无线控制产品Console口缺省配置
|
属性 |
缺省值 |
|
波特率 |
9600bit/s |
|
校验方式 |
无校验位 |
|
停止位 |
1 |
|
数据位 |
8 |
用户登录到设备上后,可以对Console口进行相关的配置,请参见“2.3 配置Console口登录方式的属性”。
第一步:如图2-1所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与无线控制产品(AC)的Console口连接。
图2-1 通过Console口搭建本地配置环境
第二步:在PC机上运行终端仿真程序(如Windows 3.X的Terminal或Windows 9X/Windows 2000/Windows XP的超级终端等,以下配置以Windows XP为例),选择与设备相连的串口,配置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图2-2至图2-4所示。
如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理无线控制产品;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参照软件的使用指导或联机帮助。
图2-3 连接端口配置
第三步:设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图2-5所示。
第四步:键入命令,配置设备或查看设备运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关模块的内容。
Console口登录方式的公共属性配置,如表2-2所示。
表2-2 Console口登录方式公共属性配置
|
Console口登录方式属性配置 |
说明 |
|
|
配置Console口属性 |
波特率 |
可选 缺省情况下,Console口使用的波特率为9600bit/s |
|
校验方式 |
可选 缺省情况下,Console口的校验方式为none,即无校验位 |
|
|
停止位 |
可选 缺省情况下,Console口的停止位为1 |
|
|
数据位 |
可选 缺省情况下,Console口的数据位为8位 |
|
|
AUX/Console用户界面配置 |
AUX/Console界面登录的用户可以访问的命令级别 |
可选 缺省情况下,AUX/Console界面登录的用户可以访问的命令级别为3级 |
|
终端属性配置 |
配置中止当前运行任务的快捷键 |
可选 缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
|
配置启动终端会话的快捷键 |
可选 缺省情况下,键入<Enter>启动终端会话 |
|
|
启动终端服务功能 |
可选 缺省情况下,所有用户界面上启动终端服务 |
|
|
终端屏幕一屏显示的行数 |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 |
|
|
历史命令缓冲区大小 |
可选 缺省情况下,可存放10条历史命令 |
|
|
用户界面的超时时间 |
可选 缺省情况下,用户超时断开连接的时间为10分钟 |
|
改变Console口属性会导致当前通过Console口登录的用户连接中断。若此类用户要再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上的配置保持一致,如图2-4所示。
不同的认证方式下,Console口登录方式需要进行的配置不同,具体配置如表2-3所示。
表2-3 不同认证方式下Console口登录方式的属性配置
|
认证方式 |
Console口登录方式的属性配置 |
说明 |
|
|
None |
配置公共属性 |
配置Console口登录方式的公共属性 |
可选 具体内容参见表2-2 |
|
Password |
配置口令 |
配置本地验证口令 |
必选 |
|
配置公共属性 |
配置Console口登录方式的公共属性 |
可选 具体内容参见表2-2 |
|
|
Scheme |
配置采用本地认证或者到RADIUS服务器上认证 |
通过无线控制产品的AAA配置可以配置对用户采用本地认证还是到RADIUS服务器上认证 |
可选 缺省情况下,无线控制产品采用本地认证的方式 具体配置请参见“安全配置指导”中的“AAA”模块的相关配置 |
|
配置用户名和密码 |
配置本地或远端用户名和口令认证 |
必选 l 本地用户名和口令的配置在无线控制产品上完成 l 远端用户名和口令的配置在RADIUS服务器上进行,详细内容请见RADIUS服务器的随机指导书 |
|
|
AUX/Console用户管理 |
配置AUX/Console用户的服务类型 |
必选 |
|
|
配置公共属性 |
配置Console口登录方式的公共属性 |
可选 具体内容参见表2-2 |
|
改变Console口登录方式的认证方式后,该认证方式的配置不会立即生效。用户需要退出命令行接口后重新登录,该配置才会生效。
表2-4 认证方式为None时Console口登录方式的配置
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
进入AUX/Console用户界面视图 |
user-interface aux 0 |
- |
|
|
user-interface console 0 |
|||
|
配置登录用户的认证方式为None |
authentication-mode none |
必选 缺省情况下,用户通过Console口(AUX/Console用户界面)登录不需要进行认证 |
|
|
配置Console口的属性 |
配置波特率 |
speed speed-value |
可选 缺省情况下,Console口(AUX/Console用户界面)使用的波特率为9600bit/s |
|
配置校验方式 |
parity { even | mark | none | odd | space } |
可选 缺省情况下,Console口的校验方式为none,即无校验位 |
|
|
配置停止位 |
stopbits { 1 | 1.5 | 2 } |
可选 缺省情况下,Console口(AUX/Console用户界面)的停止位为1 |
|
|
配置数据位 |
databits { 5 | 6 | 7 | 8 } |
可选 缺省情况下,Console口(AUX/Console用户界面)的数据位为8位 |
|
|
配置从用户界面登录后可以访问的命令级别 |
user privilege level level |
可选 缺省情况下,从Console口(AUX/Console用户界面)登录后可以访问的命令级别为3级 |
|
|
配置启动终端会话的快捷键 |
activation-key character |
可选 缺省情况下,键入<Enter>启动终端会话 |
|
|
配置中止当前运行任务的快捷键 |
escape-key { default | character } |
可选 缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
|
|
启动终端服务 |
shell |
可选 缺省情况下,在所有的用户界面上启动终端服务 |
|
|
配置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏功能 |
|
|
配置历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,历史缓冲区为10,即可存放10条历史命令 |
|
|
配置用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟 如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
|
需要注意的是,用户采用None认证方式登录设备时,其所能访问的命令级别取决于命令0、命令1间的组合,具体情况如表2-5所示。
l 命令0:authentication-mode none
l 命令1:user privilege level level
表2-5 用户采用None认证方式登录设备时可访问的命令优先级
|
前提条件 |
用户登录后可访问命令优先级 |
||
|
用户登录认证方式 |
用户类别 |
命令配置情况 |
|
|
authentication-mode none(不认证) |
通过Console口(AUX/Console用户界面)登录的用户 |
未配置命令1 |
3级 |
|
已配置命令1 |
由命令1决定 |
||
无线控制产品AC已经被配置为允许用户通过Telnet方式登录,且用户级别为管理级(3级)。当前登录用户需要对通过Console口(本例以AUX用户界面为例)登录的用户进行如下限定:
l 配置通过AUX用户界面登录AC的用户不需要进行认证
l 配置通过AUX用户界面登录后可以访问的命令级别为2级
l 配置AUX用户界面使用的波特率为19200bit/s
l 配置AUX用户界面终端屏幕的一屏显示30行命令
l 配置AUX用户界面的历史命令缓冲区可存放20条命令
l 配置AUX用户界面的超时时间为6分钟
图2-6 配置AUX用户界面属性的组网图
# 进入系统视图。
<Sysname> system-view
# 进入AUX用户界面视图。
[Sysname] user-interface aux 0
# 配置通过AUX用户界面登录AC的用户不需要进行认证。
[Sysname-ui-aux0] authentication-mode none
# 配置通过AUX用户界面登录后可以访问的命令级别为2级。
[Sysname-ui-aux0] user privilege level 2
# 配置AUX用户界面使用的波特率为19200bit/s。
[Sysname-ui-aux0] speed 19200
# 配置AUX用户界面终端屏幕的一屏显示30行命令。
[Sysname-ui-aux0] screen-length 30
# 配置AUX用户界面的历史命令缓冲区可存放20条命令。
[Sysname-ui-aux0] history-command max-size 20
# 配置AUX用户界面的超时时间为6分钟。
[Sysname-ui-aux0] idle-timeout 6
完成上述配置后,用户需要改变PC机上运行的终端仿真程序的相应配置,如图2-4所示,使之与AC上的配置保持一致,才能确保正常登录。
表2-6 认证方式为Password时Console口登录方式的配置
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
进入AUX/Console用户界面视图 |
user-interface aux 0 |
- |
|
|
user-interface console 0 |
|||
|
配置登录用户的认证方式为本地口令认证 |
authentication-mode password |
必选 缺省情况下,用户通过Console口(AUX/Console用户界面)登录不需要进行验证;而用户通过Telnet方式登录需要进行口令验证 |
|
|
配置本地验证的口令 |
set authentication password { cipher | simple } password |
必选 |
|
|
配置Console口的属性 |
配置波特率 |
speed speed-value |
可选 缺省情况下,Console口(AUX/Console用户界面)使用的波特率为9600bit/s |
|
配置校验方式 |
parity { even | mark | none | odd | space } |
可选 缺省情况下,Console口(AUX/Console用户界面)的校验方式为none,即无校验位 |
|
|
配置停止位 |
stopbits { 1 | 1.5 | 2 } |
可选 缺省情况下,Console口(AUX/Console用户界面)的停止位为1 |
|
|
配置数据位 |
databits { 5 | 6 | 7 | 8 } |
可选 缺省情况下,Console口(AUX/Console用户界面)的数据位为8位 |
|
|
配置从用户界面登录后可以访问的命令级别 |
user privilege level level |
可选 缺省情况下,从Console口(AUX/Console用户界面)登录后可以访问的命令级别为3级 |
|
|
配置启动终端会话的快捷键 |
activation-key character |
可选 缺省情况下,键入<Enter>启动终端会话 |
|
|
配置中止当前运行任务的快捷键 |
escape-key { default | character } |
可选 缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
|
|
启动终端服务 |
shell |
可选 缺省情况下,在所有的用户界面上启动终端服务 |
|
|
配置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏功能 |
|
|
配置历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,历史缓冲区为10,即可存放10条历史命令 |
|
|
配置用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟 如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
|
需要注意的是,用户采用Password认证方式登录设备时,其所能访问的命令级别取决于命令0、命令1间的组合,具体情况如表2-7所示。
l 命令0:authentication-mode password
l 命令1:user privilege level level
表2-7 用户采用Password认证方式登录设备时可访问的命令优先级
|
前提条件 |
用户登录后可访问命令优先级 |
||
|
用户登录认证方式 |
用户类别 |
命令配置情况 |
|
|
authentication-mode password(本地口令认证) |
通过Console口(AUX/Console用户界面)登录的用户 |
未配置命令1 |
3级 |
|
已配置命令1 |
由命令1决定 |
||
无线控制产品AC已经被配置为允许用户通过Telnet方式登录,且用户级别为管理级(3级)。当前登录用户需要对通过Console口(本例以AUX用户界面为例)登录的用户进行如下限定:
l 配置通过AUX用户界面登录AC的用户进行Password认证
l 配置用户的认证口令为明文显示方式,口令为123456
l 配置通过AUX用户界面登录后可以访问的命令级别为2级
l 配置AUX用户界面使用的波特率为19200bit/s
l 配置AUX用户界面终端屏幕的一屏显示30行命令
l 配置AUX用户界面的历史命令缓冲区可存放20条命令
l 配置AUX用户界面的超时时间为6分钟
图2-7 配置AUX用户界面属性的组网图
# 进入系统视图。
<Sysname> system-view
# 进入AUX用户界面视图。
[Sysname] user-interface aux 0
# 配置通过AUX用户界面登录AC的用户进行Password认证。
[Sysname-ui-aux0] authentication-mode password
# 配置用户的认证口令为明文显示方式,口令为123456。
[Sysname-ui-aux0] set authentication password simple 123456
# 配置通过AUX用户界面登录后可以访问的命令级别为2级。
[Sysname-ui-aux0] user privilege level 2
# 配置AUX用户界面使用的波特率为19200bit/s。
[Sysname-ui-aux0] speed 19200
# 配置AUX用户界面终端屏幕的一屏显示30行命令。
[Sysname-ui-aux0] screen-length 30
# 配置AUX用户界面的历史命令缓冲区可存放20条命令。
[Sysname-ui-aux0] history-command max-size 20
# 配置AUX用户界面的超时时间为6分钟。
[Sysname-ui-aux0] idle-timeout 6
完成上述配置后,用户需要改变PC机上运行的终端仿真程序的相应配置,如图2-4所示,使之与AC上的配置保持一致,才能确保正常登录。
表2-8 认证方式为Scheme时Console口登录方式的配置
|
操作 |
命令 |
说明 |
||
|
进入系统视图 |
system-view |
- |
||
|
配置无线控制产品采用的认证方案 |
进入缺省的ISP域视图 |
domain domain-name |
可选 系统缺省使用的AAA方案为local,如果采用local认证,则必须进行后续的本地用户配置 如果采用配置好的radius-scheme-name来实现认证,则需进行如下配置: l 无线控制产品上需要进行AAA&RADIUS配置,具体内容和操作步骤请参见“安全配置指导”中的“AAA”模块相关部分的介绍 l AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
|
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
|||
|
退出当前视图 (进入系统视图) |
quit |
|||
|
创建本地用户并进入本地用户视图 |
local-user user-name |
必选 缺省情况下,无本地用户 |
||
|
配置本地用户认证口令 |
password { simple | cipher } password |
必选 |
||
|
配置AUX/Console用户的服务类型 |
service-type terminal |
必选 |
||
|
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | vlan vlan-id | work-directory directory-name } * |
||||
|
退出本地用户视图(进入系统视图) |
quit |
- |
||
|
进入AUX/Console用户界面视图 |
user-interface aux 0 |
- |
||
|
user-interface console 0 |
||||
|
配置登录用户的认证方式为本地或远端用户名和口令认证 |
authentication-mode scheme |
必选 究竟是采用本地认证还是远端认证视用户的AAA方案配置而定 缺省情况下采用本地认证方式 |
||
|
配置Console口的属性 |
配置波特率 |
speed speed-value |
可选 缺省情况下,Console口(AUX/Console用户界面)使用的波特率为9600bit/s |
|
|
配置校验方式 |
parity { even | mark | none | odd | space } |
可选 缺省情况下,Console口(AUX/Console用户界面)的校验方式为none,即无校验位 |
||
|
配置停止位 |
stopbits { 1 | 1.5 | 2 } |
可选 缺省情况下,Console口(AUX/Console用户界面)的停止位为1 |
||
|
配置数据位 |
databits { 5 | 6 | 7 | 8 } |
可选 缺省情况下,Console口(AUX用户界面)的数据位为8位 |
||
|
配置从用户界面登录后可以访问的命令级别 |
user privilege level level |
可选 缺省情况下,从Console口(AUX/Console用户界面)登录后可以访问的命令级别为3级 |
||
|
配置启动终端会话的快捷键 |
activation-key character |
可选 缺省情况下,键入<Enter>启动终端会话 |
||
|
配置中止当前运行任务的快捷键 |
escape-key { default | character } |
可选 缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
||
|
启动终端服务 |
shell |
可选 缺省情况下,在所有的用户界面上启动终端服务 |
||
|
配置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏功能 |
||
|
配置历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,历史缓冲区为10,即可存放10条历史命令 |
||
|
配置用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟 如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开idle-timeout 0表示关闭用户界面的超时功能 |
||
需要注意的是,用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于authorization-attribute命令,具体情况如表2-9所示。
表2-9 用户采用Scheme认证方式登录设备时可访问的命令优先级
|
前提条件 |
用户登录后可访问命令优先级 |
||
|
用户登录认证方式 |
用户类别 |
命令配置情况 |
|
|
authentication-mode scheme |
通过Console口(AUX/Console用户界面)登录的用户(采用AAA&RADIUS认证或者本地认证) |
在authorization-attribute命令中未定义用户的级别 |
0级 本地用户的默认级别为0级 |
|
在authorization-attribute命令中已定义用户的级别 |
由authorization-attribute命令中定义用户的级别决定 |
||
无线控制产品AC已经被配置为允许用户通过Telnet方式登录,且用户级别为管理级(3级)。当前登录用户需要对通过Console口(本例以AUX用户界面为例)登录的用户进行如下限定:
l 配置本地用户的用户名为guest
l 配置本地用户的认证口令为明文显示方式,口令为123456
l 配置本地用户的服务类型为Terminal且命令级别为2级
l 配置通过AUX用户界面登录AC的用户进行Scheme认证
l 配置AUX用户界面使用的波特率为19200bit/s
l 配置AUX用户界面终端屏幕的一屏显示30行命令
l 配置AUX用户界面的历史命令缓冲区可存放20条命令
l 配置AUX用户界面的超时时间为6分钟
图2-8 配置AUX用户界面属性的组网图
# 进入系统视图。
<Sysname> system-view
# 创建本地用户guest,并进入本地用户视图。
[Sysname] local-user guest
# 配置本地用户的认证口令为明文显示方式,口令为123456。
[Sysname-luser-guest] password simple 123456
# 配置本地用户的服务类型为Terminal且命令级别为2级。
[Sysname-luser-guest] authorization-attribute level 2
[Sysname-luser-guest] service-type terminal
[Sysname-luser-guest] quit
# 进入AUX用户界面视图。
[Sysname] user-interface aux 0
# 配置通过AUX用户界面登录AC的用户进行Scheme认证。
[Sysname-ui-aux0] authentication-mode scheme
# 配置AUX用户界面使用的波特率为19200bit/s。
[Sysname-ui-aux0] speed 19200
# 配置AUX用户界面终端屏幕的一屏显示30行命令。
[Sysname-ui-aux0] screen-length 30
# 配置AUX用户界面的历史命令缓冲区可存放20条命令。
[Sysname-ui-aux0] history-command max-size 20
# 配置AUX用户界面的超时时间为6分钟。
[Sysname-ui-aux0] idle-timeout 6
完成上述配置后,用户需要改变PC机上运行的终端仿真程序的相应配置,如图2-4所示,使之与AC上的配置保持一致,才能确保正常登录。
无线控制产品支持Telnet功能,用户可以通过Telnet方式对设备进行远程管理和维护。
设备和Telnet用户端都要进行相应的配置,才能保证通过Telnet方式正常登录设备。
表3-1 通过Telnet登录设备需要具备的条件
|
对象 |
需要具备的条件 |
|
无线控制产品 |
启动Telnet服务 |
|
配置设备VLAN接口、管理接口的IP地址,设备与Telnet用户间路由可达 |
|
|
Telnet用户 |
运行了Telnet程序 |
|
获取设备VLAN接口的IP地址 |
l 用户使用Telnet方式登录设备后,可以通过粘贴文本会话的方式发送要执行的命令,但文本会话不能超过2000字节,且粘贴的命令必须是同一视图下的命令,否则设备可能无法正确执行该命令。
l 如果粘贴的文本会话超过2000字节,请将配置文件上传到设备后,利用新的配置文件重新启动。具体配置请参见“文件系统管理配置”模块中的相关内容。
l 使用IPv6协议通过Telnet方式登录到设备与使用IPv4协议类似,详细情况请参见“三层技术-IP业务配置指导”中的“IPv6应用”模块相关部分的介绍。具体对于使用IPv6协议通过Telnet方式登录的支持情况,请以设备实际情况为准。
第一步:通过Console口正确配置AC设备的管理以太网口或者VLAN接口。
对于没有管理以太网口的AC设备可以直接配置VLAN接口的IP地址,来保证PC到设备路由可达,具体配置请参见“二层技术-以太网交换配置指导”中的“VLAN”和“MAC地址表管理”。
l 通过Console口搭建配置环境。请参见“2.2 通过Console口登录设备”。
l 通过Console口在超级终端中执行以下命令,配置设备的管理以太网口的IP地址。
# 配置设备的管理以太网口的IP地址为202.38.160.92,子网掩码为255.255.255.0。
<Sysname> system-view
[Sysname] interface M-Ethernet 1/0/1
[Sysname-M-Ethernet1/0/1] ip address 202.38.160.92 255.255.255.0
# 或者配置设备的VLAN1接口的IP地址为202.38.160.92,子网掩码为255.255.255.0。
<Sysname> system-view
[Sysname] interface Vlan-interface 1
[Sysname-Vlan-interface1] ip address 202.38.160.92 255.255.255.0
第二步:在通过Telnet登录设备之前,针对用户需要的不同认证方式,在设备上进行相应配置。请参见“3.3 认证方式为None时Telnet登录方式的配置”、“3.4 认证方式为Password时Telnet登录方式的配置”、“3.5 认证方式为Scheme时Telnet登录方式的配置”的描述。缺省情况下,Telnet用户登录需要进行Password认证。
第三步:如图3-1所示,建立配置环境,只需将PC机通过网络与设备管理以太网口(或者以太网口)连接。如果PC机和设备不在同一局域网内,则PC机和设备管理以太网口(或者以太网口)之间必须存在互相到达的路由。
第四步:在PC机上运行Telnet程序,输入设备管理以太网口的IP地址,如图3-2所示。
第五步:如果配置验证方式为Password,则终端上显示“Login authentication”,并提示用户输入已配置的登录口令,口令输入正确后出现命令行提示符(如<Sysname>)。如果出现“The number of users currently using the system configuration has reached the maximum. Please wait until one of the users releases the system configuration.”的提示,表示当前Telnet到设备的用户过多,请稍候再连接(设备最多允许5个Telnet用户同时登录)。
第六步:使用相应命令配置设备或查看设备运行状态。需要帮助可以随时键入“?”,具体的配置命令请参见“基础配置命令参考”中的“系统基本配置”的内容。
l 通过Telnet配置设备时,请不要删除或修改设备上对应本Telnet连接的管理接口或VLAN接口的IP地址,否则会导致Telnet连接断开。
l Telnet用户通过Password认证方式登录设备时,缺省可以访问命令级别为0级的命令。有关命令级别的描述请参见“系统基本配置操作”模块中相关部分的介绍。
用户可以从一台无线控制产品Telnet到另一台无线控制产品上,对其进行配置。本端无线控制产品作为Telnet客户端,对端无线控制产品作为Telnet服务器端。如果两台设备相连的端口在同一局域网内,则其IP地址必须配置在同一网段;否则,两台设备之间必须存在互相到达的路由。
配置环境如图3-3所示,用户Telnet到一台设备后,可以输入telnet命令再登录其它设备,对其进行配置管理。
第一步:针对用户需要的不同认证方式,在作为Telnet Server的设备上进行相应配置。请参见“3.3 认证方式为None时Telnet登录方式的配置”、“3.4 认证方式为Password时Telnet登录方式的配置”、“3.5 认证方式为Scheme时Telnet登录方式的配置”的描述。缺省情况下,Telnet用户登录需要进行Password认证。
第二步:用户登录到作为Telnet Client的设备。
第三步:在Telnet Client的设备上作如下操作:
<Sysname> telnet xxxx
其中xxxx是作为Telnet Server的设备的主机名或IP地址,若为主机名,则需是已通过ip host命令配置的主机名。
第四步:如果配置验证方式为Password,则终端上显示“Login authentication”,并提示用户输入已配置的登录口令,口令输入正确后出现命令行提示符(如<Sysname>)。如果出现“The number of users currently using the system configuration has reached the maximum. Please wait until one of the users releases the system configuration.”的提示,表示当前Telnet到设备的用户过多,请稍候再连接。
第五步:使用相应命令配置设备或查看设备运行状态。需要帮助可以随时键入“?”,具体的配置命令请参见“基础配置命令参考”中的“系统基本配置”的内容。
Telnet登录方式的公共属性配置,如表3-2所示。
表3-2 Telnet登录方式的公共属性配置
|
Telnet登录方式的属性配置 |
说明 |
|
|
VTY用户界面配置 |
VTY界面登录的用户可以访问的命令级别 |
可选 缺省情况下,通过VTY用户界面登录的用户可以访问的命令级别为0级 |
|
用户界面支持的协议 |
可选 缺省情况下,VTY用户界面支持Telnet和SSH协议 |
|
|
配置通过用户界面登录后自动执行命令 |
可选 缺省情况下,通过VTY用户界面登录后无可自动执行的命令 |
|
|
VTY用户终端属性配置 |
配置中止当前运行任务的快捷键 |
可选 缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
|
启动终端服务功能 |
可选 缺省情况下,所有用户界面上启动终端服务 |
|
|
终端屏幕一屏显示的行数 |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 |
|
|
历史命令缓冲区大小 |
可选 缺省情况下,可存放10条历史命令 |
|
|
用户界面的超时时间 |
可选 缺省情况下,用户超时断开连接的时间为10分钟 |
|
l 如果在某一VTY用户界面上配置了通过用户界面登录后自动执行命令(使用auto-execute command命令),则将导致不能使用该用户界面对系统进行常规的配置,建议用户谨慎使用。
l 在配置auto-execute command命令并保存配置(执行save操作)之前,要确保可以通过其它方式登录系统以取消此配置。
不同的认证方式下,Telnet登录方式需要进行的配置不同,具体配置如表3-3所示。
表3-3 不同认证方式下Telnet登录方式的属性配置
|
认证方式 |
Telnet登录方式的属性配置 |
说明 |
|
|
None |
配置公共属性 |
配置Telnet登录方式的公共属性 |
可选 具体内容参见表3-2 |
|
Password |
配置口令 |
配置本地验证口令 |
必选 |
|
配置公共属性 |
配置Telnet登录方式的公共属性 |
可选 具体内容参见表3-2 |
|
|
Scheme |
配置采用本地认证或者到RADIUS服务器上认证 |
通过无线控制产品的AAA配置可以配置对用户采用本地认证还是到RADIUS服务器上认证 |
可选 缺省情况下,无线控制产品采用本地认证的方式 具体配置请参见“安全配置指导”中的“AAA”模块的相关配置 |
|
配置用户名和密码 |
配置本地或远端用户名和口令认证 |
必选 l 本地用户名和口令的配置在无线控制产品上完成 l 远端用户名和口令的配置在RADIUS服务器上进行,详细内容请见RADIUS服务器的随机指导书 |
|
|
VTY用户管理 |
配置VTY用户的服务类型 |
必选 |
|
|
配置公共属性 |
配置Telnet登录方式的公共属性 |
可选 具体内容参见表3-2 |
|
表3-4 认证方式为None时Telnet登录方式的配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
配置VTY登录用户的认证方式为None |
authentication-mode none |
必选 缺省情况下,VTY用户登录后需要进行认证 |
|
配置通过VTY用户界面登录后可以访问的命令级别 |
user privilege level level |
可选 缺省情况下,通过VTY用户界面登录后可以访问的命令级别为0级 |
|
配置VTY用户界面支持的协议 |
protocol inbound { all | ssh | telnet } |
可选 缺省情况下,无线控制产品同时支持Telnet和SSH协议 |
|
配置通过用户界面登录后自动执行命令 |
auto-execute command text |
可选 缺省情况下,通过用户界面登录后无可自动执行的命令 |
|
配置中止当前运行任务的快捷键 |
escape-key { default | character } |
可选 缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
|
启动终端服务 |
shell |
可选 缺省情况下,在所有的用户界面上启动终端服务 |
|
配置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏功能 |
|
配置历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,历史缓冲区为10,即可存放10条历史命令 |
|
配置VTY用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟 如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
需要注意的是,用户采用None认证方式登录设备时,其所能访问的命令级别取决于命令0、命令1间的组合,具体情况如表3-5所示。
l 命令0:authentication-mode none
l 命令1:user privilege level level
表3-5 用户采用None认证方式登录设备时可访问的命令优先级
|
前提条件 |
用户登录后可访问命令优先级 |
||
|
用户登录认证方式 |
用户类别 |
命令配置情况 |
|
|
authentication-mode none(不认证) |
VTY登录用户 |
未配置命令1 |
0级 |
|
已配置命令1 |
由命令1决定 |
||
当前用户通过Console口(AUX/Console用户界面)登录到无线控制产品AC,且用户级别为管理级(3级)。当前用户要对通过VTY0用户界面登录的Telnet用户进行如下限定:
l 配置通过VTY0用户界面登录AC的Telnet用户不需要进行认证
l 配置通过VTY0用户界面登录后用户可以访问的命令级别为2级
l 配置VTY0用户界面支持Telnet协议
l 配置VTY0用户界面终端屏幕的一屏显示30行命令
l 配置VTY0用户界面的历史命令缓冲区可存放20条命令
l 配置VTY0用户界面的超时时间为6分钟
图3-4 配置VTY用户界面属性的组网图
# 进入系统视图,启动Telnet服务。
<Sysname> system-view
[Sysname] telnet server enable
# 进入VTY0用户界面视图。
[Sysname] user-interface vty 0
# 配置通过VTY0用户界面登录AC的Telnet用户不需要进行认证。
[Sysname-ui-vty0] authentication-mode none
# 配置通过VTY0用户界面登录后用户可以访问的命令级别为2级。
[Sysname-ui-vty0] user privilege level 2
# 配置VTY0用户界面支持Telnet协议。
[Sysname-ui-vty0] protocol inbound telnet
# 配置VTY0用户界面终端屏幕的一屏显示30行命令。
[Sysname-ui-vty0] screen-length 30
# 配置VTY0用户界面的历史命令缓冲区可存放20条命令。
[Sysname-ui-vty0] history-command max-size 20
# 配置VTY0用户界面的超时时间为6分钟。
[Sysname-ui-vty0] idle-timeout 6
表3-6 认证方式为Password时Telnet登录方式的配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
配置登录用户的认证方式为本地口令认证 |
authentication-mode password |
必选 |
|
配置本地验证的口令 |
set authentication password { cipher | simple } password |
必选 |
|
配置通过用户界面登录后可以访问的命令级别 |
user privilege level level |
可选 缺省情况下,通过VTY用户界面登录后可以访问的命令级别为0级 |
|
配置用户界面支持的协议 |
protocol inbound { all | ssh | telnet } |
可选 缺省情况下,无线控制产品同时支持Telnet和SSH协议 |
|
配置通过用户界面登录后自动执行命令 |
auto-execute command text |
可选 缺省情况下,通过用户界面登录后无可自动执行的命令 |
|
配置中止当前运行任务的快捷键 |
escape-key { default | character } |
可选 缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
|
启动终端服务 |
shell |
可选 缺省情况下,在所有的用户界面上启动终端服务 |
|
配置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏功能 |
|
配置历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,历史缓冲区为10,即可存放10条历史命令 |
|
配置用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟 如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
需要注意的是,用户采用Password认证方式登录设备时,其所能访问的命令级别取决于命令0、命令1间的组合,具体情况如表3-7所示。
l 命令0:authentication-mode password
l 命令1:user privilege level level
表3-7 用户采用Password认证方式登录设备时可访问的命令优先级
|
前提条件 |
用户登录后可访问命令优先级 |
||
|
用户登录认证方式 |
用户类别 |
命令配置情况 |
|
|
authentication-mode password(本地口令认证) |
VTY登录用户 |
未配置命令1 |
0级 |
|
已配置命令1 |
由命令1决定 |
||
当前用户通过Console口(AUX/Console用户界面)登录到无线控制产品AC,且用户级别为管理级(3级)。当前用户要对通过VTY0用户界面登录的Telnet用户进行如下限定:
l 配置通过VTY0用户界面登录AC的Telnet用户进行Password认证
l 配置用户的认证口令为明文显示方式,口令为123456
l 配置从VTY0用户界面登录后可以访问的命令级别为2级
l 配置VTY0用户界面支持Telnet协议
l 配置VTY0用户界面终端屏幕的一屏显示30行命令
l 配置VTY0用户界面的历史命令缓冲区可存放20条命令
l 配置VTY0用户界面的超时时间为6分钟
图3-5 配置VTY用户界面属性的组网图
# 进入系统视图,启动Telnet服务。
<Sysname> system-view
[Sysname] telnet server enable
# 进入VTY0用户界面视图。
[Sysname] user-interface vty 0
# 配置通过VTY0用户界面登录AC的Telnet用户进行Password认证
[Sysname-ui-vty0] authentication-mode password
# 配置用户的认证口令为明文显示方式,口令为123456。
[Sysname-ui-vty0] set authentication password simple 123456
# 配置从VTY0用户界面登录后用户可以访问的命令级别为2级。
[Sysname-ui-vty0] user privilege level 2
# 配置VTY0用户界面支持Telnet协议。
[Sysname-ui-vty0] protocol inbound telnet
# 配置VTY0用户界面终端屏幕的一屏显示30行命令。
[Sysname-ui-vty0] screen-length 30
# 配置VTY0用户界面的历史命令缓冲区可存放20条命令。
[Sysname-ui-vty0] history-command max-size 20
# 配置VTY0用户界面的超时时间为6分钟。
[Sysname-ui-vty0] idle-timeout 6
表3-8 认证方式为Scheme时Telnet登录方式的配置
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
配置无线控制产品采用的认证方案 |
进入缺省的ISP域视图 |
domain domain-name |
可选 系统缺省使用的AAA方案为local,如果采用local认证,则必须进行后续的本地用户配置 如果采用配置好的radius-scheme-name来实现认证,则需进行如下配置: l 无线控制产品上需要进行AAA&RADIUS配置,具体内容和操作步骤请参见“安全配置指导”中的“AAA”模块相关部分的介绍 l AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
||
|
退出当前视图 (进入系统视图) |
quit |
||
|
创建本地用户并进入本地用户视图 |
local-user user-name |
必选 缺省情况下,无本地用户 |
|
|
配置本地认证口令 |
password { simple | cipher } password |
必选 |
|
|
配置VTY用户的服务类型 |
service-type telnet [ level level ] |
必选 |
|
|
退出本地用户视图(进入系统视图) |
quit |
- |
|
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
|
配置登录用户的认证方式为本地或远端用户名和口令认证 |
authentication-mode scheme |
必选 究竟是采用本地认证还是远端认证视用户的AAA方案配置而定 缺省情况下采用本地认证方式 |
|
|
配置从用户界面登录后可以访问的命令级别 |
user privilege level level |
可选 缺省情况下,从VTY用户界面登录后可以访问的命令级别为0级 |
|
|
配置用户界面支持的协议 |
protocol inbound { all | ssh | telnet } |
可选 缺省情况下,无线控制产品同时支持Telnet和SSH协议 |
|
|
配置从用户界面登录后自动执行命令 |
auto-execute command text |
可选 缺省情况下,从用户界面登录后无可自动执行的命令 |
|
|
配置中止当前运行任务的快捷键 |
escape-key { default | character } |
可选 缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
|
|
启动终端服务 |
shell |
可选 缺省情况下,在所有的用户界面上启动终端服务 |
|
|
配置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏功能 |
|
|
配置历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,历史缓冲区为10,即可存放10条历史命令 |
|
|
配置用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟 如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
|
需要注意的是,用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于命令0、命令1、命令2的组合,具体情况如表3-9所示。
l 命令0:authentication-mode scheme
l 命令1:user privilege level level
l 命令2:authorization-attribute level
表3-9 用户采用Scheme认证方式登录设备时可访问的命令优先级
|
前提条件 |
用户登录后可访问命令优先级 |
||
|
用户登录认证方式 |
用户类别 |
命令配置情况 |
|
|
authentication-mode scheme |
VTY登录用户(采用AAA&RADIUS认证或者本地认证) |
未配置命令1,命令2未配置用户可访问命令级别 |
0级 |
|
未配置命令1,命令2已配置用户可访问命令级别 |
由命令2决定 |
||
|
已配置命令1,命令2未配置用户可访问命令级别 |
0级 |
||
|
已配置命令1,命令2已配置用户可访问命令级别 |
由命令2决定 |
||
|
VTY登录用户(采用SSH的RSA认证模式) |
未配置命令1,命令2未配置用户可访问命令级别 |
0级 |
|
|
未配置命令1,命令2已配置用户可访问命令级别 |
|||
|
已配置命令1,命令2未配置用户可访问命令级别 |
由命令1决定 |
||
|
已配置命令1,命令2已配置用户可访问命令级别 |
|||
|
VTY登录用户(采用SSH的password认证模式) |
未配置命令1,命令2未配置用户可访问命令级别 |
0级 |
|
|
未配置命令1,命令2已配置用户可访问命令级别 |
由命令2决定 |
||
|
已配置命令1,命令2未配置用户可访问命令级别 |
0级 |
||
|
已配置命令1,命令2已配置用户可访问命令级别 |
由命令2决定 |
||
有关AAA、RADIUS、SSH的详细内容,请参见“安全配置指导”中的“AAA”和“SSH2.0”模块的介绍。
当前用户通过Console口(AUX/Console用户界面)登录到无线控制产品AC,且用户级别为管理级(3级)。当前用户要对通过VTY0用户界面登录的Telnet用户进行如下限定:
l 配置本地用户的用户名为guest
l 配置本地用户的认证口令为明文显示方式,口令为123456
l 配置本地用户的服务类型为Telnet且命令级别为2级
l 配置通过VTY0用户界面登录AC的Telnet用户进行Scheme认证
l 配置VTY0用户界面支持Telnet协议
l 配置VTY0用户界面终端屏幕的一屏显示30行命令
l 配置VTY0用户界面的历史命令缓冲区可存放20条命令
l 配置VTY0用户界面的超时时间为6分钟
图3-6 配置VTY用户界面属性的组网图
# 进入系统视图,启动Telnet服务。
<Sysname> system-view
[Sysname] telnet server enable
# 创建本地用户guest,并进入本地用户视图。
[Sysname] local-user guest
# 配置本地用户的认证口令为明文显示方式,口令为123456。
[Sysname-luser-guest] password simple 123456
# 配置本地用户的服务类型为Telnet且命令级别为2级。
[Sysname-luser-guest] authorization-attribute level 2
[Sysname-luser-guest] service-type telnet
[Sysname-luser-guest] quit
# 进入VTY0用户界面视图。
[Sysname] user-interface vty 0
# 配置通过VTY0用户界面登录AC的Telnet用户进行Scheme认证。
[Sysname-ui-vty0] authentication-mode scheme
# 配置VTY0用户界面支持Telnet协议。
[Sysname-ui-vty0] protocol inbound telnet
# 配置VTY0用户界面终端屏幕的一屏显示30行命令。
[Sysname-ui-vty0] screen-length 30
# 配置VTY0用户界面的历史命令缓冲区可存放20条命令。
[Sysname-ui-vty0] history-command max-size 20
# 配置VTY0用户界面的超时时间为6分钟。
[Sysname-ui-vty0] idle-timeout 6
本章以WX3024有线无线一体化交换机的无线控制引擎为例举例说明如何通过Web网管登录设备,用户在实际设备时,可能会因为产品型号而有所差异,请以设备实际情况为准。
无线控制产品提供内置的WEB Server,用户可以通过WEB网管终端(PC)登录到设备上,利用内置的WEB Server以WEB方式直观地管理和维护设备。
无线控制产品和WEB网管终端(PC)都要进行相应的配置,才能保证通过WEB网管正常登录。
表4-1 通过WEB网管登录设备需要具备的条件
|
对象 |
需要具备的条件 |
|
无线控制产品 |
配置无线控制产品VLAN接口或管理口的IP地址,并与WEB网管终端间路由可达 |
|
配置欲登录的WEB网管用户名和认证口令 |
|
|
WEB网管终端(PC) |
具有IE浏览器 |
|
获取要登录设备的VLAN的IP地址、用户名及口令 |
无线控制产品在出厂时会加载一个出厂配置,加载了该配置之后只要在WEB网管终端(PC)的浏览器地址栏内输入http://192.168.0.100(WEB网管终端和无线控制产品之间要路由可达),浏览器会显示WEB网管的登录验证页面,用户在该页面内输入默认用户名admin、密码admin和验证码,并选择语言,即可登录WEB网管页面进行配置。需要注意的是用户如果保存了自己的配置文件,下次设备启动时会优先启动用户保存的配置文件,此时出厂配置不起作用,需要用户参看4.2 节所述内容完成登录WEB网管的配置。
l 对于WX5002、WX5002V2、WX5004通过WEB网管直接登录到设备主机;
l 对于LS8M1WCMA0、LSQM1WCMB0、LSBM1WCM2A0、LSRM1WCM2A1、LSWM1WCM10和LSWM1WCM20业务板,WX6100E系列和WX7300系列无线控制器,可以通过WEB网管直接登录到无线控制业务板;
l 对于WX6103,通过WEB网管直接登录到设备的主控板,对于设备交换板的登录可参考《H3C WX6103无线控制器交换板配置指导》的“01-登录无线控制器交换板配置”手册的WEB登录部分介绍;
l 对于WX3024、WX3010和WX3008,通过WEB网管直接登录到设备的无线控制引擎,对于设备交换引擎的登录可参考《H3C WX3000系列有线无线一体化交换机交换引擎 配置指导》的“02-登录交换引擎配置”手册的WEB登录部分介绍;
第一步:在通过WEB方式登录WX3024的无线控制引擎(图4-1中的AC)之前,用户先正确配置无线控制引擎的IP地址(对于有管理以太网口的设备可以直接在管理以太网口上配置IP地址)、WEB网管用户名和认证口令。
# 配置WX3024无线控制引擎的IP地址
<Sysname> system-view
[Sysname] interface Vlan-interface 1
[Sysname-Vlan-interface1] ip address 192.168.0.100 24
[Sysname-Vlan-interface1] quit
# 配置WEB网管用户名为admin,密码为admin,用户级别设为3(管理级用户)
[Sysname] local-user admin
[Sysname-luser-admin] service-type telnet
[Sysname-luser-admin] authorization-attribute level 3
[Sysname-luser-admin] password simple admin
[Sysname-luser-admin] quit
第二步:配置WX3024的交换引擎的管理IP地址(可选)
# 配置该命令后,用户可以直接从WX3024的无线控制引擎的WEB管理界面跳转到交换引擎的WEB管理页面,192.168.0.101为交换引擎的管理IP地址,slot 0为交换引擎的槽位号,目前只有WX3000系列支持该功能。
[Sysname] oap management-ip 192.168.0.101 slot 0
第三步:搭建WEB网管远程配置环境,如图4-1所示。
图4-1 搭建WEB网管远程运行环境
第四步:用户通过PC与无线控制引擎相连,并通过浏览器登录无线控制引擎。在WEB网管终端(PC)的浏览器地址栏内输入http://192.168.0.100(WEB网管终端和无线控制引擎之间要路由可达),浏览器会显示WEB网管的登录验证页面(如图4-2所示)。输入用户名admin和密码admin和验证码,点击<登录>按钮后即可登录,显示中文WEB网管主页面,中、英文切换请选择下方的语言。
图4-2 WEB网管登录页面
用户可通过NMS(Network Management Station,网管工作站)登录到无线控制产品上,通过设备上的Agent进程对设备进行管理、配置。NMS环境包括如下部分:
l NMS:网管工作站
l Agent:网络设备(无线控制产品)上运行的服务器端软件
l SNMP(Simple Network Management Protocol,简单网络管理协议):NMS和Agent间运行的协议
NMS端和无线控制产品上都要进行相应的配置,才能保证通过NMS正常登录设备。
表5-1 通过NMS登录设备需要具备的条件
|
对象 |
需要具备的条件 |
|
无线控制产品 |
配置无线控制产品VLAN接口的IP地址,与NMS间路由可达 |
|
配置SNMP基本功能,具体配置请参见“网络管理和监控配置指导”中的“SNMP”模块相关内容 |
|
|
NMS(网管工作站) |
NMS网管工作站进行了正确配置,具体配置请参见NMS附带的网管手册 |
图5-1 通过NMS方式登录组网环境
无线控制产品提供对不同登录方式进行控制,如表6-1所示。
|
登录方式 |
控制方式 |
实现方法 |
相关连接 |
|
Telnet |
通过无线客户端的SSID对Telnet进行控制 |
通过WLAN ACL实现 |
|
|
通过源IP对Telnet进行控制 |
通过基本ACL实现 |
||
|
通过源IP、目的IP、IP承载的协议类型、协议的特性对Telnet进行控制 |
通过高级ACL实现 |
||
|
通过源MAC对Telnet进行控制 |
通过二层ACL实现 |
||
|
SNMP |
通过源IP对网管用户进行控制 |
通过基本ACL实现 |
确定了对Telnet的控制策略,包括对哪些无线客户端、源IP、目的IP、源MAC进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过WLAN ACL访问控制列表实现根据无线客户端的SSID制定匹配规则,对报文进行相应的分析处理。WLAN ACL访问控制列表的序号取值范围为100~199。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”模块的相关内容。
表6-2 通过无线客户端的SSID对Telnet进行控制
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建WLAN ACL并进入WLAN ACL视图 |
acl number acl-number |
必选 |
|
定义规则 |
rule [ rule-id ] { permit | deny } [ ssid ssid-name ] |
必选 |
|
退出ACL视图 |
quit |
- |
|
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- 该命令支持的用户接口类型和数量与设备实际型号相关,请以设备实际情况为准 |
|
引用访问控制列表,通过无线客户端的SSID对Telnet进行控制 |
acl acl-number inbound |
必选 inbound:对Telnet到本无线控制产品的用户进行ACL控制 该命令的支持情况与支持的用户接口类型相关,使用中请以设备实际情况为准 |
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”模块的相关内容。
表6-3 通过源IP对Telnet进行控制
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建或进入基本ACL视图 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config 对IPv6的支持情况,请以设备实际情况为准 |
|
定义子规则 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必选 |
|
退出ACL视图 |
quit |
- |
|
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- 该命令支持的用户接口类型和数量与设备实际型号相关,请以设备实际情况为准 |
|
引用访问控制列表,通过源IP对Telnet进行控制 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必选 inbound:对Telnet到本无线控制产品的用户进行ACL控制 outbound:对从本无线控制产品Telnet到其他Telnet服务器的用户进行ACL控制 该命令支持的用户接口类型与设备实际型号相关,对IPv6的支持情况,请以设备实际情况为准 |
本配置需要通过高级访问控制列表实现。高级访问控制列表的序号取值范围为3000~3999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL配置”模块的相关内容。
表6-4 配置高级ACL规则
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建或进入高级ACL视图 |
acl [ ipv6 ] number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必选 缺省情况下,匹配顺序为config 对IPv6的支持情况,请以设备实际情况为准 |
|
定义子规则 |
rule [ rule-id ] { permit | deny } rule-string |
必选 用户可以根据需要配置对相应的源IP、目的IP进行过滤的规则 |
|
退出ACL视图 |
quit |
- |
|
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- 该命令支持的用户接口类型和数量与设备实际型号相关,请以设备实际情况为准 |
|
引用访问控制列表,通过源IP、目的IP对Telnet进行控制 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必选 inbound:对Telnet到本无线控制产品的用户进行ACL控制 outbound:对从本无线控制产品Telnet到其他Telnet服务器的用户进行ACL控制 该命令支持的用户接口类型与设备实际型号相关,对IPv6的支持情况,请以设备实际情况为准 |
本配置需要通过二层访问控制列表实现。二层访问控制列表的序号取值范围为4000~4999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL” 模块的相关内容。
表6-5 配置二层ACL规则
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建或进入高级ACL视图 |
acl number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必选 缺省情况下,匹配顺序为config |
|
定义子规则 |
rule [ rule-id ] { permit | deny } rule-string |
必选 用户可以根据需要配置对相应的源MAC进行过滤的规则 |
|
退出ACL视图 |
quit |
- |
|
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- 该命令支持的用户接口类型和数量与设备实际型号相关,请以设备实际情况为准 |
|
引用访问控制列表,通过源MAC对Telnet进行控制 |
acl acl-number inbound |
必选 inbound:对Telnet到本无线控制产品的用户进行ACL控制 |
通过源IP对Telnet进行控制,仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问无线控制产品AC。
图6-1 对AC的Telnet用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] rule 3 deny
[Sysname-acl-basic-2000] quit
# 引用访问控制列表,允许源地址为10.110.100.52和10.110.100.46的Telnet用户访问AC。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] acl 2000 inbound
无线控制产品支持通过网管软件进行远程管理。网管用户可以通过SNMP访问无线控制产品。通过引用访问控制列表,可以对访问无线控制产品的SNMP用户进行控制。
确定了对网管用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”模块的相关内容。
表6-6 通过源IP对网管用户进行控制
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建或进入基本ACL视图 |
acl number acl-number [ name acl-name ] [ match-order { auto | config } ] |
必选 缺省情况下,匹配顺序为config |
|
定义子规则 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必选 |
|
退出ACL视图 |
quit |
- |
|
在配置SNMP团体名的命令中引用访问控制列表 |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]* |
必选 |
|
在配置SNMP组名的命令中引用访问控制列表 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
必选 |
|
在配置SNMP用户名的命令中引用访问控制列表 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] snmp-agent usm-user v3 user-name group-name [ cipher ] [ authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ] |
必选 |
l 配置SNMP团体名、组名和用户名的命令中引用的访问控制列表可以是不同的访问控制列表。
l SNMP相关命令请参见“网络管理和监控命令参考”中的“SNMP”模块的相关内容。
SNMP团体名属性是SNMPv1、SNMPv2c版本的一个特性,所以在配置SNMP团体名的命令中引用访问控制列表对使用SNMPv1、SNMPv2c的网管系统起到了过滤作用。
SNMP组名、用户名属性是SNMPv2c及以上版本的一个特性,所以在配置SNMP组名、用户名的命令中引用访问控制列表对使用SNMPv2c及以上版本的网管系统起到过滤作用。如果同时在这两个命令中配置了ACL控制功能,则无线控制产品会对网管用户的这两个属性都进行过滤。
通过源IP对网管用户进行控制,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问无线控制产品AC。
图6-2 对SNMP用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] rule 3 deny
[Sysname-acl-basic-2000] quit
# 引用访问控制列表,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问AC。
[Sysname] snmp-agent community read aaa acl 2000
[Sysname] snmp-agent group v2c groupa acl 2000
[Sysname] snmp-agent usm-user v2c usera groupa acl 2000
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
English
