00-S12500_登录认证典型配置举例
本章节下载: 00-S12500_登录认证典型配置举例 (171.59 KB)
本文档介绍了通过Console口方式和Telnet方式登录设备并进行认证的配置举例。
S12500支持的认证方式有none、password和scheme三种。
· none表示登录时不需要输入用户名和密码。
· password表示登录时需要输入密码进行认证。
· scheme表示登录时需要输入用户名和密码进行认证。
用户可以通过以下几种方式登录到S12500的命令行界面,对S12500进行配置和管理。
表1 登录方式简介
登录方式 |
最小配置描述 |
配置通过Console口/AUX口本地登录设备 |
缺省情况下,Console口登录时认证方式为none,存在安全隐患。用户在首次登录后,可以通过修改Console口登录的认证方式以及其他参数来增强设备的安全性 对于AUX口进行本地登录,至少需要进行如下配置: · 配置password认证方式的密码,或者更改认证方式并完成相关参数的设置(缺省情况下,AUX用户采用password认证方式) · 配置AUX用户的用户角色(缺省情况下,VTY用户的角色为network-operator) |
配置通过Telnet登录设备 |
缺省情况下,您不能直接通过Telnet方式登录设备。如需采用Telnet方式登录,需要先通过Console口本地登录设备、并完成如下配置: · 开启设备的Telnet功能(缺省情况下,设备的Telnet功能处于关闭状态) · 配置IP地址,并确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有配置IP地址) · 配置password认证方式的密码,或者更改认证方式并完成相关参数的设置(缺省情况下,VTY用户采用Password认证方式) · 配置VTY用户的用户角色(缺省情况下,VTY用户的角色为network-operator) |
配置通过SSH登录设备 |
缺省情况下,您不能直接通过SSH方式登录设备。如需采用SSH方式登录,需要先通过Console口本地登录设备、并完成如下配置: · 开启设备SSH功能(缺省情况下,设备的SSH功能处于关闭状态) · 配置IP地址,并确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有配置IP地址) · 配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用Password认证方式) · 配置VTY用户的用户角色(缺省情况下,VTY用户的角色为network-operator) 关于通过SSH进行远程登录的典型配置举例,请参见“H3C S12500 SSH典型配置举例” |
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解登录设备及用户认证的相关知识。
如图1所示,将PC的串口通过配置电缆与Switch 1的Console口连接。要求在Switch 1上配置认证方式,使用户通过Console口登录Switch 1时仅需要密码认证(密码为test)。
图1 Console口认证方式组网图
本例的需求是配置认证方式、使登录时需要输入密码,因此选择password认证方式。
对于password认证方式,用户登录设备后的操作权限,是由用户界面的用户角色确定,而在缺省MDC下,通过Console口登录设备的用户角色缺省为network-admin(最高权限),因此不需要再修改用户角色。
本举例是在S12500-CMW710-R7129版本上进行配置和验证的。
# 配置console口登录设备的认证方式为password,密码为test。
<Switch1> system-view
[Switch1] user-interface console 0
[Switch1-ui-console0] authentication-mode password
[Switch1-ui-console0] set authentication password simple test
[Switch1-ui-console0] quit
通过Console口登录Switch1时,会跳出下面的界面要求输入密码,输入正确后才能进入设备用户界面进行操作。
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
User interface con0 is available.
Press ENTER to get started.
Password:
System View: return to User View with Ctrl+Z.
[Switch1]
#
user-interface con 0
authentication-mode password
user-role network-admin
set authentication password hash $h$6$4PKgIe09Fnyq3ZGB$Gjw9CActpVa5IJm9oGEgMBxt
opkZkEYv7CriP31oqNJOpAyBPwxIvOds+7XcJ5aGz2xaO77HpsaSMpRzKenq0Q==
#
如图2所示,将PC的串口通过配置电缆与Switch 1的Console口连接。要求在Switch 1上配置本地认证方式,使用户通过Console口登录Switch 1时需要输入用户名和密码(用户名和密码均为test)。
图2 本地console认证方式组网图
本例的需求是配置本地认证方式、使登录时需要输入用户名和密码,因此选择scheme认证方式,且需要配置本地用户名和本地认证的密码。
当使用Console口用户界面用户登录时,本地用户的服务类型需要配置为terminal。
对于scheme本地认证方式,用户登录设备后的操作权限,是由本地用户的用户角色确定,缺省为network-operator,为了使用户登录后能正常使用设备上的所有命令,建议将本地用户的用户角色配置为network-admin。
本举例是在S12500-CMW710-R7129版本上进行配置和验证的。
# 配置console口登录设备的认证方式为scheme。
<Switch1> system-view
[Switch1] user-interface console 0
[Switch1-ui-console0] authentication-mode scheme
[Switch1-ui-console0] quit
# 配置本地用户,用户名为test,密码为test,配置服务类型为terminal,本地用户角色为network-admin。
[Switch1] local-user test class manage
[Switch1-luser-manage-test] password simple test
[Switch1-luser-manage-test] authorization-attribute user-role network-admin
[Switch1-luser-manage-test] service-type terminal
[Switch1-luser-manage-test] quit
通过Console口登录Switch1时,会跳出下面的界面要求输入用户名和密码,输入正确后才能进入设备用户界面进行操作。
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
User interface con0 is available.
Press ENTER to get started.
login: test
Password:
<Switch1> system-view
System View: return to User View with Ctrl+Z.
[Switch1]
#
domain default enable system
#
user-interface con 0
authentication-mode scheme
user-role network-admin
#
local-user test class manage
password hash $h$6$DaTNpkN/T5vDTCTX$knzvBlMhlFZ77CORDl55gdS8+oMzxCsxe/xH+qoSllg
AEyWm7wW70ZB5O2QqlvHEUg8nkLaM/1/xK/6Cvq5shQ==
service-type terminal
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
如图3所示,将PC的网口通过网线与Switch 1的GE7/0/35接口连接。要求在Switch 1上配置,使用户通过Telnet方式登录Switch 1时仅需要输入密码(密码为test)。
图3 Telnet认证方式组网图
由于采用Telnet方式登录,需要先开启交换机的Telnet Server功能,并在VTY用户界面下配置认证方式和用户角色。
本例要求登录时仅需要输入密码,因此选择password认证方式。
由于缺省情况下,VTY用户的用户角色为network-operator,为了使用户登录后能正常使用设备上的所有命令,建议将VTY用户的用户角色配置为network-admin。
本举例是在S12500-CMW710-R7129版本上进行配置和验证的。
# 使能Telnet服务器功能。
<switch1> system-view
[switch1] telnet server enable
# 配置接口GE7/0/35。
[switch1] interface Vlan-interface 5
[switch1-Vlan-interface5] ip address 15.15.1.1 16
[switch1-Vlan-interface5] quit
[switch1] interface GigabitEthernet 7/0/35
[switch1-GigabitEthernet7/0/35] port link-mode bridge
[switch1-GigabitEthernet7/0/35] port access vlan 5
[switch1-GigabitEthernet7/0/35] quit
# 配置所有的Telnet用户登录设备的认证方式为password,密码为test,用户角色为network-admin。
[switch1] user-interface vty 0 15
[switch1-ui-vty0-15] authentication-mode password
[switch1-ui-vty0-15] set authentication password simple test
[switch1-ui-vty0-15] user-role network-admin
[switch1-ui-vty0-15] quit
在PC命令窗口下执行Telnet到设备,会跳出下面的界面要求输入密码,输入密码test能够正确登录到设备上进行操作。
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
Password:
<Switch1> system-view
System View: return to User View with Ctrl+Z.
[Switch1]
#
domain default enable system
#
telnet server enable
#
vlan 5
#
interface Vlan-interface5
ip address 15.15.1.1 255.255.0.0
#
interface GigabitEthernet7/0/35
port link-mode bridge
port access vlan 5
#
user-interface vty 0 15
user-role network-admin
user-role network-operator
set authentication password hash $h$6$ifF6RyM3SrB7BiSA$2zNo5WkQc2Oz8GXYOq7FkL2s
98vO13C11511sWzNn+J/NcqmEKGuwbMubqY0r8gA5iGy7ojYux/m1A+ux+F5yw==
idle-timeout 0 0
#
如图4所示,将PC的网口通过网线与Switch 1的GE7/0/35接口连接。要求在Switch 1上配置,使用户通过Telnet方式登录Switch 1时需要输入用户名和密码(用户名和密码均为test)。
图4 本地Telnet认证方式组网图
由于采用Telnet方式登录,需要先开启交换机的Telnet Server功能。
本例的需求是配置本地认证方式、使登录时需要输入用户名和密码,因此选择scheme认证方式,且需要配置本地用户名和本地认证的密码。
对于scheme本地认证方式,用户登录设备后的操作权限,是由本地用户的用户角色确定,缺省为network-operator,为了使用户登录后能正常使用设备上的所有命令,建议将本地用户的用户角色配置为network-admin。
本举例是在S12500-CMW710-R7129版本上进行配置和验证的。
# 使能Telnet服务器功能。
<switch1> system-view
[switch1] telnet server enable
# 配置接口GE7/0/35。
[switch1] interface Vlan-interface 5
[switch1-Vlan-interface5] ip address 15.15.1.1 16
[switch1-Vlan-interface5] quit
[switch1] interface GigabitEthernet 7/0/35
[switch1-GigabitEthernet7/0/35] port link-mode bridge
[switch1-GigabitEthernet7/0/35] port access vlan 5
[switch1-GigabitEthernet7/0/35] quit
# 配置所有的Telnet用户登录设备的认证方式为scheme。
[switch1] user-interface vty 0 15
[Switch1-ui-vty0-15] authentication-mode scheme
[Switch1-ui-vty0-15] quit
# 配置本地用户,用户名为test,密码为test,配置服务类型为telnet,用户角色为network-admin。
[Switch1] local-user test class manage
[Switch1-luser-manage-test] password simple test
[Switch1-luser-manage-test] authorization-attribute user-role network-admin
[Switch1-luser-manage-test] service-type telnet
[Switch1-luser-manage-test] quit
在PC命令窗口下执行Telnet到设备,会跳出下面的界面要求输入用户名和密码,输入密码test能够正确登录到设备上进行操作。
******************************************************************************
* Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: test
Password:
<Switch1> system-view
System View: return to User View with Ctrl+Z.
[Switch1]
#
domain default enable system
#
telnet server enable
#
vlan 5
#
interface Vlan-interface5
ip address 15.15.1.1 255.255.0.0
#
interface GigabitEthernet7/0/35
port link-mode bridge
port access vlan 5
#
user-interface vty 0 15
authentication-mode scheme
user-role network-admin
user-role network-operator
idle-timeout 0 0
#
local-user test class manage
password hash $h$6$uUxUbGGD00+3wYOs$cVq29Rs+FEp5GSCfTmCw3Wkg43lLKHtUaWOf7LkHDAP
7B2VqITsm5OK7vIgd3W2HGDHXzjc1g/Z4PNPIkFN2WQ==
service-type telnet
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
· 《H3C S12500系列路由交换机 基础配置指导》中的“登录设备”
· 《H3C S12500系列路由交换机 基础配置命令参考》中的“登录设备”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!