01-登录交换机典型配置举例
本章节下载: 01-登录交换机典型配置举例 (203.12 KB)
本章介绍登录交换机的几种方法,其中包括通过console口登录、通过Telnet登录、通过Web网管登录。
表1 配置适用的产品与软件版本关系
产品 |
软件版本 |
S10500系列以太网交换机 |
Release 1120系列,Release 1130系列,Release 1200系列 |
S5800&S5820X系列以太网交换机 |
Release 1808 |
S5830系列以太网交换机 |
Release 1115,Release 1118 |
S5500-EI&S5500-SI系列以太网交换机 |
Release 2220 |
如图1所示,PC机的串口通过配置电缆与设备的Console口连接。现要求用户能通过设备的Console口登录到交换机,并且下次通过Console口登录时需要本地认证,以提高设备的安全性。
图1 通过Console口登录交换机的组网图
· 缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)。因此,只要用户终端的通信参数配置和交换机Console口的缺省配置保持一致,就能通过Console口登录到以太网交换机上。交换机Console口的缺省配置如下:
表2 交换机Console口缺省配置
属性 |
缺省配置 |
传输速率 |
9600bit/s |
流控方式 |
不进行流控 |
校验方式 |
不进行校验 |
停止位 |
1 |
数据位 |
8 |
· 要对下次Console口登录的用户进行本地认证,需配置Console口登录的认证方式为scheme,并且需要创建本地用户和设置用户密码。
· 缺省情况下,本地用户无服务类型,能够访问的命令级别为0。因此,需要设置本地用户的服务类型为terminal,能够访问的命令级别为3,才能使用户成功登录并在登录后对设备进行管理和配置。
# 在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),选择与交换机相连的串口,如图2至图3所示。
如果您的PC使用的是Windows Server 2003操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理交换机;如果您的PC使用的是Windows Server 2008、Windows 7 、Windows Vista或其它操作系统,请您准备第三方的终端控制软件,使用方法请参照软件的使用指导或联机帮助。
# 设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图4所示。
# 以太网交换机上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图5所示。输入命令,配置交换机或查看交换机运行状态。需要帮助可以随时键入“?”。
图5 以太网交换机配置界面
# 进入AUX用户界面视图
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface aux 0
# 设置通过Console口登录交换机的用户进行Scheme认证
[Sysname-ui-aux0] authentication-mode scheme
[Sysname-ui-aux0] quit
# 进入系统视图,创建本地用户admin,并进入本地用户视图
[Sysname] local-user guest
New local user added.
# 设置本地用户的认证口令为明文方式,口令为Admin1234)
[Sysname-luser-guest] password simple Admin1234)
# 设置本地用户的服务类型为Terminal且用户级别为3
[Sysname-luser-guest] service-type terminal
[Sysname-luser-guest] authorization-attribute level 3
[Sysname-luser-guest] quit
配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名和密码并回车,登录界面中将出现命令行提示符(如<H3C>)。
#
local-user guest
password cipher $c$3$wI+ls++f5LrYDLV7fR5DTEvRniz/+tHtbnYLbio=
authorization-attribute level 3
service-type terminal
#
user-interface aux 0
authentication-mode scheme
表3 配置适用的产品与软件版本关系
产品 |
软件版本 |
S10500系列以太网交换机 |
Release 1120系列,Release 1130系列,Release 1200系列 |
S5800&S5820X系列以太网交换机 |
Release 1808 |
S5830系列以太网交换机 |
Release 1115,Release 1118 |
S5500-EI&S5500-SI系列以太网交换机 |
Release 2220 |
如图6所示,Host A、Host B、Host C到Device均路由可达。现要求仅允许来自源IP为192.168.0.46和192.168.0.52的Telnet用户无需认证就能登录设备,并且在登录后对设备进行管理和配置。
· 缺省情况下,设备的 Telnet服务处于关闭状态,因此需要通过Console登录后开启设备的telnet服务功能。
· 缺省情况下,通过VTY用户界面登录系统所能访问的命令级别是0。因此,需要设置VTY用户的命令级别为3,才能使用户对设备进行管理和配置。
# 进入系统视图,开启Telnet服务
<Sysname> system-view
[Sysname] telnet server enable
# 设置通过VTY用户界面登录交换机的Telnet用户不需要进行认证
[Sysname] user-interface vty 0 15
[Sysname-ui-vty0-15] authentication-mode none
# 配置从VTY用户界面登录后可以访问的命令级别为3级
[Sysname-ui-vty0-15] user privilege level 3
# 创建并进入基本ACL视图2000
[Sysname] acl number 2000
[Sysname-acl-basic-2000]
# 定义规则,仅允许来自192.168.0.52和192.168.0.46的Telnet用户访问交换机。
[Sysname-acl-basic-2000] rule 1 permit source 192.168.0.52 0
[Sysname-acl-basic-2000] rule 2 permit source 192.168.0.46 0
[Sysname-acl-basic-2000] rule 3 deny source any
[Sysname-acl-basic-2000] quit
# 引用访问控制列表2000,通过源IP对Telnet用户进行控制
[Sysname] user-interface vty 0 15
[Sysname-ui-vty0-15] acl 2000 inbound
配置完成后,Host A与Host B能通过Telnet登录设备,但Host C无法通过Telnet登录设备。
#
telnet server enable
#
acl number 2000
rule 1 permit source 192.168.0.52 0
rule 2 permit source 192.168.0.46 0
rule 3 deny
#
user-interface vty 0 15
acl 2000 inbound
authentication-mode none
user privilege level 3
#
表4 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5800&S5820X系列以太网交换机 |
Release 1808 |
S5830系列以太网交换机 |
Release 1115,Release 1118 |
S5500-EI&S5500-SI系列以太网交换机 |
Release 2220 |
如图7所示,Host A、Host B到Device均路由可达。某管理员想使用Web网管登录交换机,以实现对交换机的远程管理。出于安全考虑,需要对通过Web网管登录的用户进行控制,仅允许来自源IP为192.168.17.0网段的Web用户登录交换机。
图7 通过Web网管登录交换机配置示意图
· 缺省情况下,用户不能通过Web登录到设备上,需要通过Console口登录到设备上,开启设备的Web登录功能(开启http或https协议)。本例以http协议为例。
· 要使用户能通过Web登录设备需创建本地用户和本地认证密码,并且配置用户的服务类型和Web登录的用户级别,
# 开启交换机的Web Server功能。
<Sysname> system-view
[Sysname] ip http enable
# 配置Web网管用户名为admin,认证口令为admin。
[Sysname] local-user admin
[Sysname-luser-admin] password simple admin
# 配置用户的服务类型为Web,用户级别为3级。
[Sysname-luser-admin] service-type web
[Sysname-luser-admin] authorization-attribute level 3
[Sysname-luser-admin] quit
# 定义基本访问控制列表。
[Sysname] acl number 2030
[Sysname-acl-basic-2030] rule 1 permit source 192.168.17.0 0.0.0.255
# 引用访问控制列表,仅允许来自192.168.17.0网段的Web用户访问交换机。
[Sysname] ip http acl 2030
通过浏览器登录交换机,在Web网管终端(PC)的浏览器地址栏内输入http://192.168.17.52(Web网管终端和以太网交换机之间要路由可达),浏览器会显示Web网管的登录页面。
输入在设备上添加的用户名admin和密码admin、以及提示的验证码,点击<登录>按钮后即可登录,显示Web网管初始页面。
ip http acl 2030
ip http enable
#
acl number 2030
rule 1 permit source 192.168.17.0 0.0.0.255
#
local-user admin
password cipher $c$3$jHCLjGzr9htQVvu616OmnfD+s73he3iO
authorization-attribute level 3
service-type web
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!