• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S5120-SI系列以太网交换机 配置指导-Release 1101-6W104

02-登录交换机配置

本章节下载  (471.28 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S5120/S5120-SI/Configure/Operation_Manual/H3C_S5120-SI_CG-Release_1101-6W104/201108/723434_30005_0.htm

02-登录交换机配置

  录

1 登录以太网交换机

1.1 登录以太网交换机方法简介

1.2 用户界面简介

1.2.1 交换机支持的用户界面

1.2.2 用户与用户界面的关系

1.2.3 交换机用户界面编号

1.2.4 用户界面公共配置

2 通过Console口进行本地登录

2.1 通过Console口进行本地登录简介

2.2 通过Console口登录交换机的配置环境搭建

2.3 配置Console口登录方式的公共属性

2.4 Console口登录配置任务简介

2.5 认证方式为None时Console口登录方式的配置

2.5.1 配置过程

2.5.2 配置举例

2.6 认证方式为Password时Console口登录方式的配置

2.6.1 配置过程

2.6.2 配置举例

2.7 认证方式为Scheme时Console口登录方式的配置

2.7.1 配置过程

2.7.2 配置举例

3 通过Telnet/SSH进行远程登录

3.1 通过Telnet进行远程登录

3.1.1 通过Telnet登录简介

3.1.2 Telnet配置环境搭建

3.1.3 配置Telnet登录方式的公共属性

3.1.4 Telnet登录配置任务简介

3.1.5 认证方式为None时Telnet登录方式的配置

3.1.6 认证方式为Password时Telnet登录方式的配置

3.1.7 认证方式为Scheme时Telnet登录方式的配置

3.2 通过SSH进行登录

3.2.1 通过SSH进行登录简介

3.2.2 通过SSH进行登录配置

4 通过Web网管登录

4.1 通过Web网管登录简介

4.2 通过Web网管登录配置

4.3 Web用户显示

4.4 通过Web网管登录举例

5 通过NMS登录

5.1 通过NMS登录简介

5.2 通过NMS方式登录组网结构

6 Telnet业务报文指定源IP

6.1 Telnet业务报文指定源IP简介

6.2 配置Telnet业务报文指定源IP

6.3 配置Telnet业务报文指定源IP显示

7 对登录用户的控制

7.1 对登录用户的控制简介

7.2 配置对Telnet的控制

7.2.1 配置准备

7.2.2 通过源IP对Telnet进行控制

7.2.3 通过源IP、目的IP对Telnet进行控制

7.2.4 通过源MAC地址对Telnet进行控制

7.2.5 配置举例

7.3 通过源IP对网管用户进行控制

7.3.1 配置准备

7.3.2 通过源IP对网管用户进行控制

7.3.3 配置举例

7.4 通过源IP对Web用户进行控制

7.4.1 配置准备

7.4.2 通过源IP对Web用户进行控制

7.4.3 强制在线Web用户下线

7.4.4 配置举例

 


1 登录以太网交换机

1.1  登录以太网交换机方法简介

用户可以通过以下几种方式登录以太网交换机:

l              通过Console口进行本地登录

l              通过Telnet或SSH进行远程登录

l              通过Web网管登录

l              通过NMS登录

1.2  用户界面简介

1.2.1  交换机支持的用户界面

在S5120-SI系列以太网交换机中,AUX口(Auxiliary port,辅助端口)和Console口是同一个端口,以下称为Console口,与其对应的用户界面类型只有AUX用户界面类型。

 

S5120-SI系列以太网交换机支持两种用户界面:AUX用户界面和VTY用户界面。

l              AUX用户界面:系统提供的通过Console口登录的视图,用来管理和监控通过Console口登录的用户。设备提供一个Console口,端口类型为EIA/TIA-232 DCE,第一次使用设备时,需要通过此端口对交换机进行配置。

l              VTY(Virtual Type Terminal,虚拟类型终端)用户界面:系统提供的通过VTY方式登录的视图,用于对交换机进行Telnet或SSH访问。

表1-1 用户界面介绍

用户界面

对应用户

使用的交换机端口类型

说明

AUX用户界面

通过Console口登录的用户

Console口

每台交换机只能有1个AUX用户同时登录

VTY用户界面

Telnet用户、SSH用户

以太网端口

每台交换机最多可以有16个VTY用户同时登录

 

每个用户界面有对应的用户界面视图(User-interface view),在用户界面视图下网络管理员可以配置一系列参数,比如用户登录时的认证方式以及登录后的用户级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的。

1.2.2  用户与用户界面的关系

通过对不同类型用户界面的设置,可实现对不同登录方式用户的监控和管理。一台S5120-SI以太网交换机上提供1个AUX用户界面、16个VTY用户界面:

l              这些用户界面与用户并没有固定的对应关系。

l              用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的对应用户登录方式的用户界面,用户整个登录过程将受该用户界面视图下配置的约束。

l              同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时机不同,分配的用户界面可能不同。

虽然单个用户界面某一时刻只能被一个用户使用,但它并不针对某个用户。比如用户A可以使用VTY 0用户界面登录交换机,而当用户A退出登录时,用户B同样可以使用VTY 0用户界面登录交换机。

1.2.3  交换机用户界面编号

用户界面的编号有两种方式:绝对编号方式和相对编号方式。

(1)        绝对编号方式,遵守的规则如下:

l              AUX用户界面编号排在VTY用户界面之前,绝对编号为0;

l              VTY用户界面编号排在AUX用户界面之后,第一个VTY用户界面的绝对编号为1,第二个VTY用户界面的绝对编号为2,依此类推。

(2)        相对编号的形式是:用户界面类型+编号。遵守的规则如下:

l              AUX用户界面的相对编号为AUX0;

l              VTY用户界面的编号:第一个为VTY0,第二个为VTY1,依此类推。

1.2.4  用户界面公共配置

表1-2 用户界面公共配置

操作

命令

说明

锁住当前用户界面

lock

可选

在用户视图下执行

缺省情况下,不锁住当前用户界面

设置在用户界面之间传递消息

send { all | num1 | { aux | vty } num2 }

可选

在用户视图下执行

释放指定的用户界面

free user-interface { num1 | { aux | vty } num2 }

可选

在用户视图下执行

进入系统视图

system-view

-

配置登录交换机时的显示信息

header { incoming | legal | login | motd | shell } text

可选

缺省情况下,没有配置显示信息

配置交换机的系统名

sysname string

可选

缺省情况下,系统名为H3C

配置用户登录时显示版权声明提示信息

copyright-info enable

可选

缺省情况下,用户登录时终端显示版权声明提示信息

进入用户界面视图

user-interface [ type ] first-number [ last-number ]

-

显示用户界面的使用信息

display users [ all ]

可选

display命令可以在任意视图下执行

显示用户界面的物理属性和部分配置

display user-interface [ type number | number ]

 


2 通过Console口进行本地登录

2.1  通过Console口进行本地登录简介

通过交换机Console口进行本地登录是登录交换机的最基本的方式,也是配置通过其他方式登录交换机的基础。缺省情况下,S5120-SI以太网交换机只能通过Console口进行本地登录。

交换机Console口的缺省配置如下。

表2-1 交换机Console口缺省配置

属性

缺省配置

传输速率

9600bit/s

流控方式

不进行流控

校验方式

不进行校验

停止位

1

数据位

8

 

用户终端的通信参数配置要和交换机Console口的配置保持一致,才能通过Console口登录到以太网交换机上。

用户登录到交换机上后,可以对AUX用户界面进行相关的配置,请参见2.3  配置Console口登录方式的公共属性

2.2  通过Console口登录交换机的配置环境搭建

第一步:如图2-1所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与以太网交换机的Console口连接。

图2-1 通过Console口搭建本地配置环境

 

第二步:在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),选择与交换机相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图2-2图2-4所示。

如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理交换机;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参照软件的使用指导或联机帮助。

 

图2-2 新建连接

 

图2-3 连接端口设置

 

图2-4 端口通信参数设置

 

第三步:以太网交换机上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图2-5所示。

图2-5 以太网交换机配置界面

 

第四步:键入命令,配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。

2.3  配置Console口登录方式的公共属性

Console口登录方式的公共属性配置,如表2-2所示。

表2-2 Console口登录方式公共属性配置

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux 0

-

配置Console口的属性

配置传输速率

speed speed-value

可选

缺省情况下,Console口使用的传输速率为9600bit/s

配置校验方式

parity { even | mark | none | odd | space }

可选

缺省情况下,Console口的校验方式为none,即不进行校验

配置停止位

stopbits { 1 | 1.5 | 2 }

可选

缺省情况下,Console口的停止位为1

配置数据位

databits { 5 | 6 | 7 | 8 }

可选

缺省情况下,Console口的数据位为8位

AUX用户界面配置

设置从用户界面登录后可以访问的命令级别

user privilege level level

可选

缺省情况下,从AUX用户界面登录后可以访问的命令级别为3级,从VTY用户界面登录后可以访问的命令级别为0级

终端属性配置

启动终端服务

shell

可选

缺省情况下,在所有的用户界面上启动终端服务

设置终端屏幕一屏显示的行数

screen-length screen-length

可选

缺省情况下,终端屏幕一屏显示的行数为24行

screen-length 0表示关闭分屏显示功能

设置历史命令缓冲区大小

history-command max-size value

可选

缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令

设置用户界面的超时时间

idle-timeout minutes [ seconds ]

可选

缺省情况下,所有的用户界面的超时时间为10分钟

如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开

idle-timeout 0表示关闭用户界面的超时功能

 

改变Console口属性后会立即生效,所以通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性。若用户需要通过Console口再次登录交换机,需要改变PC机上运行的终端仿真程序的相应配置,使之与交换机上配置的Console口属性保持一致,如图2-4所示。

 

2.4  Console口登录配置任务简介

不同的认证方式下,Console口登录方式需要进行的配置不同,具体配置如表2-3所示。

表2-3 配置任务简介

认证方式

认证所需配置

说明

None

设置登录用户的认证方式为不认证

具体内容请参见2.5   

Password

设置登录用户的认证方式为本地口令认证

具体内容请参见2.6 

设置本地验证的口令

Scheme

设置登录用户的认证方式为通过认证方案认证

具体内容请参见2.7 

选择认证方案:采用本地认证或者到远端认证服务器上认证

配置认证用户名和密码:添加本地用户或者服务器用户

 

改变Console口登录方式的认证方式后,该认证方式的设置不会立即生效。用户需要退出命令行接口后重新登录,该设置才会生效。

 

2.5  认证方式为None时Console口登录方式的配置

2.5.1  配置过程

表2-4 认证方式为None时Console口登录方式的配置

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux 0

-

设置登录用户的认证方式为不认证

authentication-mode none

必选

缺省情况下,用户通过Console口(AUX用户界面)登录,认证方式为none(即不需要进行认证)

 

2.5.2  配置举例

1. 组网需求

交换机已经被配置为允许用户通过Telnet方式登录,且当前用户级别为管理级(3级)。当前登录用户需要对通过Console口(AUX用户界面)登录的用户进行如下限定:

l              设置通过Console口登录交换机的用户不需要进行认证

l              设置从AUX用户界面登录后可以访问的命令级别为2级

l              设置Console口使用的传输速率为19200bit/s

l              设置终端屏幕的一屏显示30行命令

l              设置历史命令缓冲区可存放20条命令

l              设置AUX用户界面的超时时间为6分钟

2. 组网图

图2-6 配置认证方式为None的AUX用户界面属性的组网图

 

3. 配置步骤

# 进入系统视图。

<Sysname> system-view

# 进入AUX用户界面视图。

[Sysname] user-interface aux 0

# 设置通过Console口登录交换机的用户不需要进行认证。

[Sysname-ui-aux0] authentication-mode none

# 设置从AUX用户界面登录后可以访问的命令级别为2级。

[Sysname-ui-aux0] user privilege level 2

# 设置Console口使用的传输速率为19200bit/s。

[Sysname-ui-aux0] speed 19200

# 设置终端屏幕的一屏显示30行命令。

[Sysname-ui-aux0] screen-length 30

# 设置历史命令缓冲区可存放20条命令。

[Sysname-ui-aux0] history-command max-size 20

# 设置AUX用户界面的超时时间为6分钟。

[Sysname-ui-aux0] idle-timeout 6

完成上述配置后,用户需要改变PC机上运行的终端仿真程序的相应配置,如图2-4所示,使之与交换机上的配置保持一致,才能确保正常登录。

2.6  认证方式为Password时Console口登录方式的配置

2.6.1  配置过程

表2-5 认证方式为Password时Console口登录方式的配置

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux 0

-

设置登录用户的认证方式为本地口令认证

authentication-mode password

必选

缺省情况下,用户通过Console口(AUX用户界面)登录,认证方式为none(即不需要进行认证)

设置本地验证的口令

set authentication password { cipher | simple } password

必选

缺省情况下,没有设置本地认证的口令

 

2.6.2  配置举例

1. 组网需求

交换机已经被配置为允许用户通过Telnet方式登录,且当前用户级别为管理级(3级)。当前登录用户需要对通过Console口(AUX用户界面)登录的用户进行如下限定:

l              设置通过Console口登录交换机的用户进行Password认证

l              设置用户的认证口令为明文方式,口令为123456

l              设置从AUX用户界面登录后可以访问的命令级别为2级

l              设置Console口使用的传输速率为19200bit/s

l              设置终端屏幕的一屏显示30行命令

l              设置历史命令缓冲区可存放20条命令

l              设置AUX用户界面的超时时间为6分钟

2. 组网图

图2-7 配置认证方式为Password的AUX用户界面属性的组网图

 

3. 配置步骤

# 进入系统视图。

<Sysname> system-view

# 进入AUX用户界面视图。

[Sysname] user-interface aux 0

# 设置通过Console口登录交换机的用户进行Password认证。

[Sysname-ui-aux0] authentication-mode password

# 设置用户的认证口令为明文方式,口令为123456。

[Sysname-ui-aux0] set authentication password simple 123456

# 设置从AUX用户界面登录后可以访问的命令级别为2级。

[Sysname-ui-aux0] user privilege level 2

# 设置Console口使用的传输速率为19200bit/s。

[Sysname-ui-aux0] speed 19200

# 设置终端屏幕的一屏显示30行命令。

[Sysname-ui-aux0] screen-length 30

# 设置历史命令缓冲区可存放20条命令。

[Sysname-ui-aux0] history-command max-size 20

# 设置AUX用户界面的超时时间为6分钟。

[Sysname-ui-aux0] idle-timeout 6

完成上述配置后,用户需要改变PC机上运行的终端仿真程序的相应配置,如图2-4所示,使之与交换机上的配置保持一致,才能确保正常登录。

2.7  认证方式为Scheme时Console口登录方式的配置

2.7.1  配置过程

表2-6 认证方式为Scheme时Console口登录方式的配置

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux 0

-

设置登录用户的认证方式为通过认证方案认证

authentication-mode scheme

必选

具体采用本地认证还是RADIUS认证视AAA方案配置而定

缺省情况下,用户通过Console口(AUX用户界面)登录,认证方式为none(即不需要进行认证)

退出至系统视图

quit

-

配置交换机采用的认证方案

进入ISP域视图

domain domain-name

可选

缺省情况下,系统使用的AAA方案为local

如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS认证,则需进行如下配置:

l      交换机上的RADIUS方案配置请参见手册“AAA配置”部分

l      AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书

配置域使用的AAA方案

authentication default { local | none | radius-scheme radius-scheme-name [ local ] }

退出至系统视图

quit

创建本地用户(进入本地用户视图)

local-user user-name

必选

缺省情况下,无本地用户

设置本地用户认证口令

password { cipher | simple  } password

必选

设置AUX用户的命令级别

authorization-attribute level level

可选

缺省情况下,命令级别为0

设置AUX用户的服务类型

service-type terminal

必选

缺省情况下,无用户服务类型

 

需要注意的是,用户采用Scheme认证方式登录以太网交换机时,其所能访问的命令级别取决于AAA方案中定义的用户级别。

AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。

AAA方案为RADIUS方案认证时,在相应的RADIUS服务器上设定相应用户的级别。

 

有关AAA、RADIUS的详细内容,请参见手册“AAA配置”的介绍。

 

2.7.2  配置举例

1. 组网需求

交换机已经被配置为允许用户通过Telnet方式登录,且用户级别为管理级(3级)。当前登录用户需要对通过Console口(AUX用户界面)登录的用户进行如下限定:

l              设置本地用户的用户名为guest

l              设置本地用户的认证口令为明文方式,口令为123456

l              设置本地用户的服务类型为Terminal且命令级别为2级

l              设置通过Console口登录交换机的用户进行Scheme认证

l              设置Console口使用的传输速率为19200bit/s

l              设置终端屏幕的一屏显示30行命令

l              设置历史命令缓冲区可存放20条命令

l              设置AUX用户界面的超时时间为6分钟

2. 组网图

图2-8 配置认证方式为Scheme的AUX用户界面属性的组网图

 

3. 配置步骤

(1)        交换机上的配置

# 进入系统视图。

<Sysname> system-view

# 创建本地用户guest,并进入本地用户视图。

[Sysname] local-user guest

# 设置本地用户的认证口令为明文方式,口令为123456。

[Sysname-luser-guest] password simple 123456

# 设置本地用户的服务类型为Terminal。

[Sysname-luser-guest] service-type terminal

# 设置用户登录后可以访问的命令级别为2级。

[Sysname-luser-guest] authorization-attribute level 2

[Sysname-luser-guest] quit

# 进入AUX用户界面视图。

[Sysname] user-interface aux 0

# 设置通过Console口登录交换机的用户进行Scheme认证。

[Sysname-ui-aux0] authentication-mode scheme

# 设置Console口使用的传输速率为19200bit/s

[Sysname-ui-aux0] speed 19200

# 设置终端屏幕的一屏显示30行命令。

[Sysname-ui-aux0] screen-length 30

# 设置历史命令缓冲区可存放20条命令。

[Sysname-ui-aux0] history-command max-size 20

# 设置AUX用户界面的超时时间为6分钟。

[Sysname-ui-aux0] idle-timeout 6

(2)        认证方案配置

请参照“AAA配置”中相关内容完成对认证服务器的配置。

完成上述配置后,用户需要改变PC机上运行的终端仿真程序的相应配置,如图2-4所示,使之与交换机上的配置保持一致,才能确保正常登录。


3 通过Telnet/SSH进行远程登录

3.1  通过Telnet进行远程登录

3.1.1  通过Telnet登录简介

S5120-SI以太网交换机支持Telnet功能,用户可以通过Telnet方式对交换机进行远程管理和维护。

交换机和Telnet用户端都要进行相应的配置,才能保证通过Telnet方式正常登录交换机。

表3-1 通过Telnet登录交换机需要具备的条件

对象

需要具备的条件

交换机

配置交换机VLAN的IP地址,交换机与Telnet用户间路由可达

配置Telnet登录的认证方式和其它配置(请参见表3-2表3-3

Telnet用户

运行了Telnet程序

获取要登录交换机VLAN接口的IP地址

 

3.1.2  Telnet配置环境搭建

通过Telnet方式登录交换机时,用户即可以使用PC机作为Telnet客户端,Telnet到交换机上,对其进行配置,也可以使用一台交换机Telnet到另一台交换机上,本端交换机作为Telnet客户端,对端交换机作为Telnet服务器端,对其进行配置。

1. 通过终端Telnet到以太网交换机

第一步:通过Console口正确配置以太网交换机VLAN1接口的IP地址(VLAN1为交换机的缺省VLAN)。

l              通过Console口搭建配置环境。如图3-1所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与以太网交换机的Console口连接。

图3-1 通过Console口搭建本地配置环境

 

l              在PC机上运行终端仿真程序(如Windows3.1的Terminal、Windows95/Windows98/Windows NT/ Windows2000/ Windows XP的超级终端),设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控。

l              以太网交换机上电,PC机终端上将显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符<H3C>,如图3-2所示。

图3-2 以太网交换机配置页面

 

l              通过Console口在超级终端中执行以下命令,配置以太网交换机VLAN1的IP地址为202.38.160.92/24。

<Sysname> system-view

[Sysname] interface Vlan-interface 1

[Sysname-Vlan-interface1] ip address 202.38.160.92 255.255.255.0

第二步:在通过Telnet登录以太网交换机之前,针对用户需要的不同认证方式,在交换机上进行相应配置。请参见3.1.5  认证方式为None时Telnet登录方式配置3.1.6  认证方式为Password时Telnet登录方配置3.1.7  认证方式为Scheme时Telnet登录方式配置的相关描述。

第三步:如图3-3所示,建立配置环境,将PC机以太网口通过网络与以太网交换机VLAN1下的以太网口连接,确保PC机和VLAN1接口之间路由可达。

图3-3 通过局域网搭建本地配置环境

 

第四步:在PC机上运行Telnet程序,输入交换机VLAN1的IP地址,如图3-4所示。

图3-4 运行Telnet程序

 

第五步:如果配置验证方式为Password,则终端上显示“Login authentication”,并提示用户输入已设置的登录口令,口令输入正确后则出现命令行提示符(如<Sysname>)。如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到以太网交换机的用户过多,则请稍候再连接(S5120-SI以太网交换机最多允许16个Telnet用户同时登录)。

第六步:使用相应命令配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。

l          通过Telnet配置交换机时,请不要删除或修改交换机上对应本Telnet连接的交换机上的VLAN接口的IP地址,否则会导致Telnet连接断开。

l          Telnet用户通过口令认证登录交换机时,缺省可以访问命令级别为0级的命令。有关命令级别的描述请参见手册“系统配置与维护”中的配置用户级别和命令级别部分介绍。

 

2. 通过以太网交换机Telnet到以太网交换机

用户可以从一台交换机Telnet到另一台交换机上,对其进行配置。本端交换机作为Telnet客户端,对端交换机作为Telnet服务器端。如果两台交换机相连的端口在同一局域网内,则其IP地址必须配置在同一网段;否则,两台交换机必须路由可达。

配置环境如图3-5所示,用户Telnet到一台以太网交换机后,可以输入telnet命令再登录其它以太网交换机,对其进行配置管理。

图3-5 通过交换机登录到其它交换机

 

第一步:针对用户需要的不同认证方式,在作为Telnet Server的交换机上进行相应配置。请参见3.1.5  认证方式为None时Telnet登录方式配置3.1.6  认证方式为Password时Telnet登录方配置3.1.7  认证方式为Scheme时Telnet登录方式配置的相关描述。

第二步:用户登录到作为Telnet Client的以太网交换机。

第三步:在Telnet Client的以太网交换机上作如下操作:

<Sysname> telnet xxxx

其中xxxx是作为Telnet Server的以太网交换机的主机名或IP地址,若为主机名,则需是已通过ip host命令配置的主机名。

第四步:登录后,出现命令行提示符(如<Sysname>),如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到以太网交换机的用户过多,则请稍候再连接。

第五步:使用相应命令配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。

3.1.3  配置Telnet登录方式的公共属性

Telnet登录方式的公共属性配置,如表3-2所示。

表3-2 Telnet登录方式的公共属性配置

操作

命令

说明

进入系统视图

system-view

-

使能设备的Telnet服务

telnet server enable

可选

缺省情况下,Telnet服务处于使能状态

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

VTY用户界面配置

设置从VTY用户界面登录后可以访问的命令级别

user privilege level level

可选

缺省情况下,从VTY用户界面登录后可以访问的命令级别为0级

配置VTY用户界面支持的协议

protocol inbound { all | ssh | telnet }

可选

缺省情况下,交换机同时支持Telnet和SSH协议

设置从用户界面登录后自动执行的命令

auto-execute command text

可选

缺省情况下,通过VTY用户界面登录后无可自动执行的命令

VTY用户终端属性配置

启动终端服务

shell

可选

缺省情况下,在所有的用户界面上启动终端服务

设置终端屏幕一屏显示的行数

screen-length screen-length

可选

缺省情况下,终端屏幕一屏显示的行数为24行

screen-length 0表示关闭分屏显示功能

设置交换机历史命令缓冲区大小

history-command max-size value

可选

缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令

设置VTY用户界面的超时时间

idle-timeout minutes [ seconds ]

可选

缺省情况下,所有的用户界面的超时时间为10分钟

如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开

idle-timeout 0表示关闭用户界面的超时功能

 

3.1.4  Telnet登录配置任务简介

不同的认证方式下,Telnet登录方式需要进行的配置不同,具体配置如表3-3所示。

表3-3 配置Telnet登录的认证方式

认证方式

认证所需配置

说明

None

设置登录用户的认证方式为不认证

具体内容请参见表3-4

Password

设置登录用户的认证方式为本地口令认证

具体内容请参见表3-5

设置本地验证的口令

Scheme

设置登录用户的认证方式为通过认证方案认证

具体内容请参见表3-6

选择认证方案:采用本地认证或者到远端认证服务器上认证

配置认证用户名和密码:添加本地用户或者服务器用户

 

3.1.5  认证方式为None时Telnet登录方式的配置

1. 配置过程

表3-4 认证方式为None时Telnet登录方式的配置

操作

命令

说明

进入系统视图

system-view

-

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

设置VTY登录用户的认证方式为不认证

authentication-mode none

必选

缺省情况下,VTY用户界面的认证方式为password

 

需要注意的是,用户采用None认证方式登录以太网交换机时,其所能访问的命令级别取决于命令user privilege level levellevel参数定义的级别

2. 配置举例

(1)        组网需求

当前用户通过Console口(AUX用户界面)登录到交换机,且当前用户级别为管理级(3级)。当前用户要对通过VTY0用户界面登录的Telnet用户进行如下限定:

l              设置通过VTY0口登录交换机的Telnet用户不需要进行认证

l              设置从VTY0用户界面登录后可以访问的命令级别为2级

l              设置VTY0用户界面支持Telnet协议

l              设置VTY0用户的终端屏幕的一屏显示30行命令

l              设置VTY0用户历史命令缓冲区可存放20条命令

l              设置VTY0用户界面的超时时间为6分钟

(2)        组网图

图3-6 配置认证方式为None的Telnet用户的组网图

 

(3)        配置步骤

# 进入系统视图。

<Sysname> system-view

# 进入VTY0用户界面视图。

[Sysname] user-interface vty 0

# 设置通过VTY0用户界面登录交换机的Telnet用户不需要进行认证。

[Sysname-ui-vty0] authentication-mode none

# 设置通过VTY0用户界面登录后可以访问的命令级别为2级。

[Sysname-ui-vty0] user privilege level 2

# 设置VTY0用户界面支持Telnet协议。

[Sysname-ui-vty0] protocol inbound telnet

# 设置VTY0用户的终端屏幕的一屏显示30行命令。

[Sysname-ui-vty0] screen-length 30

# 设置VTY0用户历史命令缓冲区可存放20条命令。

[Sysname-ui-vty0] history-command max-size 20

# 设置VTY0用户界面的超时时间为6分钟。

[Sysname-ui-vty0] idle-timeout 6

3.1.6  认证方式为Password时Telnet登录方式的配置

1. 配置过程

表3-5 认证方式为Password时Telnet登录方式的配置

操作

命令

说明

进入系统视图

system-view

-

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

设置登录用户的认证方式为本地口令认证

authentication-mode password

必选

缺省情况下,VTY用户界面的认证方式为password

设置本地验证的口令

set authentication password { cipher | simple } password

必选

缺省情况下,没有设置本地认证的口令

 

需要注意的是,用户采用Password认证方式登录以太网交换机时,其所能访问的命令级别取决于命令user privilege level levellevel参数定义的级别

2. 配置举例

(1)        组网需求

当前用户通过Console口(AUX用户界面)登录到交换机,且当前用户级别为管理级(3级)。当前用户要对通过VTY0用户界面登录的Telnet用户进行如下限定:

l              设置通过VTY0口登录交换机的Telnet用户进行Password认证

l              设置用户的认证口令为明文方式,口令为123456

l              设置从VTY0用户界面登录后可以访问的命令级别为2级

l              设置VTY0用户界面支持Telnet协议

l              设置VTY0用户的终端屏幕的一屏显示30行命令

l              设置VTY0用户历史命令缓冲区可存放20条命令

l              设置VTY0用户界面的超时时间为6分钟

(2)        组网图

图3-7 配置认证方式为Password的Telnet用户的组网图

 

(3)        配置步骤

# 进入系统视图。

<Sysname> system-view

# 进入VTY0用户界面视图。

[Sysname] user-interface vty 0

# 设置通过VTY0口登录交换机的用户进行Password认证。

[Sysname-ui-vty0] authentication-mode password

# 设置用户的认证口令为明文方式,口令为123456。

[Sysname-ui-vty0] set authentication password simple 123456

# 设置从VTY0用户界面登录后可以访问的命令级别为2级。

[Sysname-ui-vty0] user privilege level 2

# 设置VTY0用户界面支持Telnet协议。

[Sysname-ui-vty0] protocol inbound telnet

# 设置VTY0用户的终端屏幕的一屏显示30行命令。

[Sysname-ui-vty0] screen-length 30

# 设置VTY0用户历史命令缓冲区可存放20条命令。

[Sysname-ui-vty0] history-command max-size 20

# 设置VTY0用户界面的超时时间为6分钟。

[Sysname-ui-vty0] idle-timeout 6

3.1.7  认证方式为Scheme时Telnet登录方式的配置

1. 配置过程

表3-6 认证方式为Scheme时Telnet登录方式的配置

操作

命令

说明

进入系统视图

system-view

-

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

设置登录用户的认证方式为通过认证方案认证

authentication-mode scheme

必选

具体采用本地认证还是RADIUS认证视AAA方案配置而定

缺省情况下采用本地认证方式

退出至系统视图

quit

-

配置交换机采用的认证方案

进入ISP域视图

domain domain-name

可选

缺省情况下,系统使用的AAA方案为local

如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS方式认证,则需进行如下配置:

l      交换机上的配置请参见手册“AAA配置”部分

l      AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书

配置域使用的AAA方案

authentication default { local | none | radius-scheme radius-scheme-name [ local ] }

退出至系统视图

quit

创建本地用户(进入本地用户视图)

local-user user-name

缺省情况下,无本地用户

设置本地认证口令

password { cipher | simple } password

必选

设置VTY用户的命令级别

authorization-attribute level level

可选

缺省情况下,命令级别为0

设置VTY用户的服务类型

service-type telnet

必选

缺省情况下,无用户的服务类型

 

需要注意的是,用户采用Scheme认证方式登录以太网交换机时,其所能访问的命令级别取决于AAA方案中定义的用户级别。

AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。

AAA方案为RADIUS方案认证时,在相应的RADIUS服务器上设定相应用户的级别。

有关AAA、RADIUS的详细内容,请参见手册“AAA配置”部分的介绍。

 

2. 配置举例

(1)        组网需求

当前用户通过Console口(AUX用户界面)登录到交换机,且当前用户级别为管理级(3级)。当前用户要对通过VTY0用户界面登录的Telnet用户进行如下限定:

l              设置本地用户的用户名为guest

l              设置本地用户的认证口令为明文方式,口令为123456

l              设置VTY用户的服务类型为Telnet且命令级别为2级

l              设置通过VTY0口登录交换机的Telnet用户进行Scheme认证

l              设置VTY0用户界面仅支持Telnet协议

l              设置VTY0用户的终端屏幕的一屏显示30行命令

l              设置VTY0用户历史命令缓冲区可存放20条命令

l              设置VTY0用户界面的超时时间为6分钟

(2)        组网图

图3-8 配置认证方式为Scheme的Telnet用户的组网图

 

(3)        配置步骤

l              交换机上的配置

# 进入系统视图。

<Sysname> system-view

# 创建本地用户guest,并进入本地用户视图。

[Sysname] local-user guest

# 设置本地用户的认证口令为明文方式,口令为123456。

[Sysname-luser-guest] password simple 123456

# 设置VTY用户的服务类型为Telnet且命令级别为2级。

[Sysname-luser-guest] service-type telnet

# 设置VTY用户登录后可以访问的命令级别为2级。

[Sysname-luser-guest] authorization-attribute level 2

[Sysname-luser-guest] quit

# 进入VTY0用户界面视图。

[Sysname] user-interface vty 0

# 设置通过VTY0口登录交换机的Telnet用户进行Scheme认证。

[Sysname-ui-vty0] authentication-mode scheme

# 设置VTY0用户界面支持Telnet协议。

[Sysname-ui-vty0] protocol inbound telnet

# 设置VTY0用户的终端屏幕的一屏显示30行命令。

[Sysname-ui-vty0] screen-length 30

# 设置VTY0用户历史命令缓冲区可存放20条命令。

[Sysname-ui-vty0] history-command max-size 20

# 设置VTY0用户界面的超时时间为6分钟。

[Sysname-ui-vty0] idle-timeout 6

l              认证方案配置

请参照手册“AAA配置”中相关内容完成对认证服务器的配置。

3.2  通过SSH进行登录

3.2.1  通过SSH进行登录简介

SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。

3.2.2  通过SSH进行登录配置

SSH登录方式是在Telnet的基础上封装了安全外壳,关于SSH提供的安全功能配置,请参见手册“SSH配置”部分的介绍。


4 通过Web网管登录

4.1  通过Web网管登录简介

S5120-SI以太网交换机提供一个内置的Web Server,用户可以通过Web网管终端(PC)登录到交换机上,利用内置的Web Server以Web方式直观地管理和维护以太网交换机。

交换机和Web网管终端(PC)都要进行相应的配置,才能保证通过Web网管正常登录交换机。

表4-1 通过Web网管登录交换机需要具备的条件

对象

需要具备的条件

交换机

启动Web服务

配置交换机VLAN接口的IP地址

配置欲登录的Web网管用户名和认证口令

Web网管终端(PC)

具有IE浏览器

获取交换机VLAN接口的IP地址

 

4.2  通过Web网管登录配置

表4-2 通过Web网管登录配置

操作

命令

说明

进入系统视图

system-view

-

创建本地用户(进入本地用户视图)

local-user user-name

必选

缺省情况下,无本地用户

设置本地认证口令

password { cipher | simple } password

必选

设置VTY用户的命令级别

authorization-attribute level level

必选

缺省情况下,没有配置命令级别

设置VTY用户的服务类型

service-type telnet

必选

缺省情况下,无用户的服务类型

启动Web Server

ip http enable

可选

缺省情况下,Web Server为启动状态

 

4.3  Web用户显示

在完成上述配置后,在任意视图下执行display命令可以显示Web用户的信息,通过查看显示信息验证配置的效果。

表4-3 Web用户显示

操作

命令

显示Web用户的相关信息

display web users

 

4.4  通过Web网管登录举例

(1)        通过Console口正确配置以太网交换机VLAN 1接口的IP地址(VLAN 1为交换机的缺省VLAN)。

l              通过Console口搭建配置环境。请参见“2 通过Console口进行本地登录”。

l              通过Console口在超级终端中执行以下命令,配置以太网交换机VLAN 1接口的IP地址。

# 配置以太网交换机VLAN 1接口的IP地址为10.153.17.82,子网掩码为255.255.255.0。

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-VLAN-interface1] ip address 10.153.17.82 255.255.255.0

(2)        用户通过Console口,在以太网交换机上配置欲登录的Web网管用户名和认证口令。

# 配置Web网管用户名为admin,认证口令为admin,用户级别为3级。

[Sysname] local-user admin

[Sysname-luser-admin] service-type telnet

[Sysname-luser-admin] authorization-attribute level 3

[Sysname-luser-admin] password simple admin

(3)        搭建Web网管远程配置环境,如图4-1所示。

图4-1 搭建Web网管远程运行环境

 

(4)        用户通过PC与交换机相连,并通过浏览器登录交换机:在Web网管终端(PC)的浏览器地址栏内输入http://10.153.17.82(Web网管终端和以太网交换机之间要路由可达),浏览器会显示Web网管的登录页面,如图4-2所示。

图4-2 Web网管登录页面

(5)        输入在交换机上添加的用户名和密码及验证码,点击<登录>按钮后即可登录,显示Web网管初始页面。

 


5 通过NMS登录

5.1  通过NMS登录简介

用户可通过NMS(Network Management Station,网管工作站)登录到交换机上,通过交换机上的Agent模块对交换机进行管理、配置。NMS和Agent之间运行的协议为SNMP(Simple Network Management Protocol,简单网络管理协议),具体介绍请参见手册“SNMP-RMON”部分介绍。

NMS端和交换机上都要进行相应的配置,才能保证通过NMS正常登录交换机。

表5-1 通过NMS登录交换机需要具备的条件

对象

需要具备的条件

交换机

配置交换机VLAN的IP地址,交换机与NMS间路由可达

配置SNMP基本功能,请参见手册“SNMP-RMON”部分介绍

NMS(网管工作站)

NMS网管工作站进行了正确配置,具体配置请参见NMS附带的网管手册

 

5.2  通过NMS方式登录组网结构

图5-1 通过NMS方式登录组网环境

 


6 Telnet业务报文指定源IP

6.1  Telnet业务报文指定源IP简介

用户可以通过以下配置,为Telnet Client指定源IP地址或者源接口,增加了业务的可管理性和安全性。

为Telnet业务报文指定的源IP为Loopback接口。通过配置Loopback虚接口的IP为Telnet业务报文的指定源IP,使Telnet Client和Telnet Server之间传输报文无论通过交换机的哪个接口都使用指定接口的源IP,隐藏了实际通信接口的IP地址,起到了防止外部攻击的作用,提高了安全性。同时,有时服务器会限制只有某些IP才可以访问它,在客户端上使用源IP特性可以避免连接不上服务器。

6.2  配置Telnet业务报文指定源IP

分为用户视图下的配置和系统视图下的配置,用户视图下的配置只对本次操作有效,而系统视图下的配置对之后的每次操作都有效,用户视图下的优先级高于系统视图。

1. 用户视图下的配置

表6-1 在用户视图下配置Telnet业务报文指定源IP

操作

命令

说明

交换机作为Telnet Client登录到服务器时,为Telnet Client指定业务报文源地址或源接口

telnet remote-system [ port-number ] [ source { ip ip-address | interface interface-type interface-number } ]

可选

缺省情况下,没有为Telnet Client指定源地址或源接口

 

2. 系统视图下的配置

表6-2 在系统视图下配置Telnet业务报文指定源IP

操作

命令

说明

进入系统视图

system-view

-

为Telnet Client指定业务报文源地址或源接口

telnet client source { ip ip-address | interface interface-type interface-number }

可选

缺省情况下,没有为Telnet Client指定源地址或源接口

 

l          指定的ip-address必须为本设备地址。

l          指定的接口必须存在,当指定接口不存在时,命令提示配置不成功。

l          如果指定了源IP或者源接口,必须保证Telnet Server和Telnet Client的指定IP或者接口之间路由可达。

 

6.3  配置Telnet业务报文指定源IP显示

在完成上述配置后,在任意视图下执行display命令可以显示配置业务报文指定源IP或源接口后的运行情况,通过查看显示信息验证配置的效果。

表6-3 配置Telnet业务报文指定源IP显示

操作

命令

说明

显示当前为Telnet Client设置的源IP地址或源接口的信息

display telnet client configuration

display命令可以在任意视图下执行

 


7 对登录用户的控制

7.1  对登录用户的控制简介

S5120-SI以太网交换机提供对不同登录方式进行控制,如表7-1所示。

表7-1 对登录用户的控制

登录方式

控制方式

实现方法

相关小节

Telnet

通过源IP对Telnet进行控制

通过基本ACL实现

7.2.2 

通过源IP、目的IP对Telnet进行控制

通过高级ACL实现

7.2.3 

通过源MAC对Telnet进行控制

通过二层ACL实现

7.2.4 

SNMP

通过源IP对网管用户进行控制

通过基本ACL实现

7.3.2 

 

7.2  配置对Telnet的控制

7.2.1  配置准备

确定了对Telnet的控制策略,包括对哪些源IP、目的IP、源MAC进行控制,控制的动作是允许访问还是拒绝访问。

7.2.2  通过源IP对Telnet进行控制

本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见手册中“ACL配置”模块的相关内容。

表7-2 通过源IP对Telnet进行控制

操作

命令

说明

进入系统视图

system-view

-

创建或进入基本ACL视图

acl number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]*

必选

退出ACL视图

quit

-

进入用户界面视图

user-interface [ type ] first-number [ last-number ]

-

引用访问控制列表,通过源IP对Telnet进行控制

acl acl-number { inbound | outbound }

必选

inbound:对Telnet到本交换机的用户进行ACL控制

outbound:对从本交换机Telnet到其他Telnet服务器的用户进行ACL控制

 

7.2.3  通过源IP、目的IP对Telnet进行控制

本配置需要通过高级访问控制列表实现。高级访问控制列表的序号取值范围为3000~3999。关于ACL的定义请参见手册中“ACL配置”模块的相关内容。

表7-3 配置高级ACL规则

操作

命令

说明

进入系统视图

system-view

-

创建或进入高级ACL视图

acl number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } rule-string

必选

用户可以根据需要配置对相应的源IP、目的IP进行过滤的规则

退出ACL视图

quit

-

进入用户界面视图

user-interface [ type ] first-number [ last-number ]

-

引用访问控制列表,通过源IP、目的IP对Telnet进行控制

acl acl-number { inbound | outbound }

必选

inbound:对Telnet到本交换机的用户进行ACL控制

outbound:对从本交换机Telnet到其他Telnet服务器的用户进行ACL控制

 

7.2.4  通过源MAC地址对Telnet进行控制

本配置需要通过二层访问控制列表实现。二层访问控制列表的序号取值范围为4000~4999。关于ACL的定义请参见手册中“ACL配置”模块的相关内容。

表7-4 配置二层ACL规则

操作

命令

说明

进入系统视图

system-view

-

创建或进入高级ACL视图

acl number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } rule-string

必选

用户可以根据需要配置对相应的源MAC进行过滤的规则

退出ACL视图

quit

-

进入用户界面视图

user-interface [ type ] first-number [ last-number ]

-

引用访问控制列表,通过源MAC对Telnet进行控制

acl acl-number inbound

必选

inbound:对Telnet到本交换机的用户进行ACL控制

 

二层访问控制列表对于Telnet Client的源IP与Telnet Server的接口IP不在同一网段的不生效。

 

7.2.5  配置举例

1. 组网需求

通过源IP对Telnet进行控制,仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问交换机。

2. 组网图

图7-1 对Switch的Telnet用户进行ACL控制

 

3. 配置步骤

# 定义基本访问控制列表。

<Sysname> system-view

[Sysname] acl number 2000 match-order config

[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0

[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0

[Sysname-acl-basic-2000] quit

# 引用访问控制列表,允许源地址为10.110.100.52和10.110.100.46的Telnet用户访问交换机。

[Sysname] user-interface vty 0 4

[Sysname-ui-vty0-4] acl 2000 inbound

7.3  通过源IP对网管用户进行控制

S5120-SI以太网交换机支持通过网管软件进行远程管理。网管用户可以通过SNMP访问交换机。通过引用访问控制列表,可以对访问交换机的SNMP用户进行控制。

7.3.1  配置准备

确定了对网管用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。

7.3.2  通过源IP对网管用户进行控制

本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见手册中“ACL配置”模块的相关内容。

表7-5 通过源IP对网管用户进行控制

操作

命令

说明

进入系统视图

system-view

-

创建或进入基本ACL视图

acl number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]*

必下·选

退出ACL视图

quit

-

在配置SNMP团体名的命令中引用访问控制列表

snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]*

必选

根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组名或者用户名配置时引用访问控制列表,详细介绍请参见手册中的“SNMP配置”中的相关内容

在配置SNMP组名的命令中引用访问控制列表

snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

在配置SNMP用户名的命令中引用访问控制列表

snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ]

snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ]

 

7.3.3  配置举例

1. 组网需求

通过源IP对网管用户进行控制,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问交换机。

2. 组网图

图7-2 对SNMP用户进行ACL控制

 

3. 配置步骤

# 定义基本访问控制列表。

<Sysname> system-view

[Sysname] acl number 2000 match-order config

[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0

[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0

[Sysname-acl-basic-2000] quit

# 引用访问控制列表,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问交换机。

[Sysname] snmp-agent community read aaa acl 2000

[Sysname] snmp-agent group v2c groupa acl 2000

[Sysname] snmp-agent usm-user v2c usera groupa acl 2000

7.4  通过源IP对Web用户进行控制

S5120-SI以太网交换机支持通过Web方式进行远程管理。Web用户可以通过HTTP协议访问交换机。通过引用访问控制列表,可以对访问交换机的Web用户进行控制。

7.4.1  配置准备

确定了对Web用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。

7.4.2  通过源IP对Web用户进行控制

本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见手册中“ACL”模块的相关内容。

表7-6 通过源IP对Web用户进行控制

操作

命令

说明

进入系统视图

system-view

-

创建或进入基本ACL视图

acl number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]*

必选

退出ACL视图

quit

-

引用访问控制列表对Web用户进行控制

ip http acl acl-number

必选

 

7.4.3  强制在线Web用户下线

网络管理员可以通过命令行强制在线Web用户下线。

表7-7 强制在线Web用户下线

操作

命令

说明

强制在线Web用户下线

free web-users { all | user-id user-id | user-name user-name }

必选

在用户视图下执行

 

7.4.4  配置举例

1. 组网需求

通过源IP对Web用户进行控制,仅允许来自10.110.100.52的Web用户访问交换机。

2. 组网图

图7-3 对Switch的HTTP用户进行ACL控制

3. 配置步骤

# 定义基本访问控制列表。

<Sysname> system-view

[Sysname] acl number 2030 match-order config

[Sysname-acl-basic-2030] rule 1 permit source 10.110.100.52 0

# 引用访问控制列表,仅允许来自10.110.100.52的Web用户访问交换机。

[Sysname] ip http acl 2030

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们