国家 / 地区

01-基础配置指导

02-登录设备配置

本章节下载  (809.61 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Configure/Operation_Manual/H3C_SR6600_SR6600-X_CG-R3302(V1.20)/01/201401/814744_30005_0.htm

02-登录设备配置

  录

1 登录设备方式介绍

1.1 登录设备方式综述

1.2 用户界面简介

1.2.1 用户界面概述

1.2.2 用户与用户界面的关系

1.2.3 用户界面的编号

2 配置用户通过CLI登录设备

2.1 配置用户通过CLI登录设备简介

2.2 配置通过Console口登录设备

2.2.1 通过Console口登录设备简介

2.2.2 缺省配置下如何通过Console口登录设备

2.2.3 Console口登录的认证方式介绍

2.2.4 配置通过Console口登录设备时无需认证(None)

2.2.5 配置通过Console口登录设备时采用密码认证(Password)

2.2.6 配置通过Console口登录设备时采用AAA认证(Scheme)

2.2.7 配置Console口登录方式的公共属性(可选)

2.3 配置通过Telnet登录设备

2.3.1 通过Telnet登录设备简介

2.3.2 Telnet登录的认证方式介绍

2.3.3 配置通过Telnet Client登录设备时无需认证(None)

2.3.4 配置通过Telnet Client登录设备时采用密码认证(Password)

2.3.5 配置通过Telnet Client登录设备时采用AAA认证(Scheme)

2.3.6 配置VTY用户界面的公共属性(可选)

2.3.7 配置设备充当Telnet Client登录到Telnet Server

2.4 配置通过SSH登录

2.4.1 通过SSH登录设备简介

2.4.2 配置设备充当SSH服务器

2.4.3 配置设备充当SSH客户端登录其它设备

2.5 配置通过AUX口本地登录设备

2.5.1 通过AUX口本地登录设备简介

2.5.2 AUX口登录的认证方式介绍

2.5.3 配置通过AUX口登录设备时无需认证(None)

2.5.4 配置通过AUX口登录设备时采用密码认证(Password)

2.5.5 配置通过AUX口登录设备时采用AAA认证(Scheme)

2.5.6 配置AUX口登录方式的公共属性(可选)

2.5.7 如何通过AUX口登录设备

2.6 配置通过Modem登录设备

2.6.1 通过Modem登录设备简介

2.6.2 缺省配置下如何通过Modem登录设备

2.6.3 Modem拨号登录的认证方式介绍

2.6.4 配置用户通过Modem登录设备时无需认证(None)

2.6.5 配置用户通过Modem登录设备时采用密码认证(Password)

2.6.6 配置用户通过Modem登录设备时采用AAA认证(Scheme)

2.6.7 配置AUX用户界面的公共属性(可选)

2.7 CLI登录显示和维护

3 配置通过NMS登录设备

3.1 通过NMS登录设备简介

3.2 配置通过NMS登录设备

3.3 通过NMS登录设备典型配置举例

4 对登录用户的控制

4.1 对登录用户的控制简介

4.2 配置对Telnet用户的控制

4.2.1 配置准备

4.2.2 通过源IP对Telnet进行控制

4.2.3 通过源IP、目的IP对Telnet进行控制

4.2.4 通过源MAC地址对Telnet进行控制

4.2.5 配置举例

4.3 通过源IP对网管用户进行控制

4.3.1 配置准备

4.3.2 通过源IP对网管用户进行控制

4.3.3 配置举例

 


1 登录设备方式介绍

1.1  登录设备方式综述

用户可以通过以下几种方式登录到设备上,对设备进行配置和管理:

登录方式及介绍

各种登录方式缺省状况分析

通过CLI登录设备

配置通过Console口登录设备

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3

配置通过Telnet登录设备

缺省情况下,用户不能直接通过Telnet方式登录设备。如需采用Telnet方式登录,需要先通过Console口本地登录设备、并完成如下配置:

·     开启设备的Telnet功能(根据产品缺省情况选择)

·     配置设备接口的IP地址,确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有IP地址)

·     配置VTY用户的认证方式(缺省情况下,VTY用户采用Password认证方式)

·     配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0)

配置通过SSH登录

缺省情况下,用户不能直接通过SSH方式登录设备。如需采用SSH方式登录,需要先通过Console口本地登录设备、并完成如下配置:

·     开启设备SSH功能并完成SSH属性的配置(根据产品缺省情况选择)

·     配置设备接口的IP地址,确保设备与SSH登录用户间路由可达(缺省情况下,设备没有配置IP地址)

·     配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用Password认证方式)

·     配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0)

配置通过AUX口本地登录设备

缺省情况下,通过AUX口进行本地登录,使用Password认证方式。需要先通过Console口或其它方式登录到设备上,配置AUX口Password认证方式的密码,或者更改认证方式并完成相关参数的设置,才可以通过AUX口从本地登录设备,登录用户级别为0

配置通过Modem登录设备

缺省情况下,用户可以直接通过Modem拨号方式登录设备,Modem用户的用户级别为3

配置通过NMS登录设备

缺省情况下,用户不能直接通过NMS登录设备。如需采用NMS方式登录,需要先通过Console口本地登录设备、并完成如下配置:

·     配置设备接口的IP地址,确保设备与NMS登录用户间路由可达(缺省情况下,设备没有IP配置地址)

·     配置SNMP基本参数

 

在以下的章节中,将分别为您介绍如何通过Console口、Telnet、Modem及NMS登录到设备上。

1.2  用户界面简介

1.2.1  用户界面概述

当用户使用Console口、AUX口、Telnet或者SSH方式登录设备的时候,系统会分配一个用户界面(也称为Line)用来管理、监控设备和用户间的当前会话。每个用户界面有对应的用户界面视图(User-interface view),在用户界面视图下网络管理员可以配置一系列参数,比如用户登录时是否需要认证、是否重定向到别的设备以及用户登录后的级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的。

目前系统支持的命令行配置方式有:

·     Console口本地配置

·     AUX口本地或远程配置

·     Telnet或SSH本地或远程配置

与这些配置方式对应的是四种类型的用户界面:

·     Console用户界面:用来管理和监控通过Console口登录的用户。Console口端口类型为EIA/TIA-232 DCE。

·     AUX用户界面:用来管理和监控通过AUX口登录的用户。AUX口(Auxiliary port,辅助端口)端口类型为EIA/TIA-232 DTE,通常用于通过Modem进行拨号访问。

·     VTY(Virtual Type Terminal,虚拟类型终端)用户界面:用来管理和监控通过VTY方式登录的用户。VTY口属于逻辑终端线,用于对设备进行Telnet或SSH访问。

1.2.2  用户与用户界面的关系

用户界面的管理和监控对象是使用某种方式登录的用户,虽然单个用户界面某一时刻只能被一个用户使用,但它并不针对某个用户。比如用户A使用Console口登录设备时,将受到Console用户界面视图下配置的约束,当使用VTY 1登录设备时,将受到VTY 1用户界面视图下配置的约束。

根据设备的硬件配备情况,一台设备上可能有多个Console口、AUX口、异步串口和(或)以太网接口,所以设备可能支持多个Console、AUX、VTY用户界面,这些用户界面与用户并没有固定的对应关系。用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户界面,整个登录过程将受该用户界面视图下配置的约束。同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时机不同,分配的用户界面可能不同。

1.2.3  用户界面的编号

用户界面的编号有两种方式:绝对编号方式和相对编号方式。

1. 绝对编号方式

使用绝对编号方式,可以唯一的指定一个用户界面或一组用户界面。绝对编号从0开始自动编号,每次增长1,先给所有Console用户界面编号,其次是所有AUX用户界面,最后是所有VTY用户界面。使用display user-interface(不带参数)可查看到设备当前支持的用户界面以及它们的绝对编号。

2. 相对编号方式

相对编号是每种类型用户界面的内部编号。该方式只能指定某种类型的用户界面中的一个或一组,而不能跨类型操作。

相对编号方式的形式是:“用户界面类型 编号”,遵守如下规则:

·     控制台的编号:CON 0,第二个为CON 1,依次类推。

·     辅助接口的编号:AUX 0,第二个为AUX 1,依次类推。

·     VTY的编号:第一个为VTY 0,第二个为VTY 1,依次类推。

 


2 配置用户通过CLI登录设备

2.1  配置用户通过CLI登录设备简介

CLI(命令行接口)是用户与设备之间的文本类指令交互界面,用户键入文本类命令,通过输入回车键提交设备执行相关命令,用户可以输入命令对设备进行配置,并可以通过查看输出的信息确认配置结果,方便用户配置和管理设备。

通过CLI登录设备包括:通过Console口、Telnet、SSH或Modem四种登录方式。当您使用Console口、Telnet、SSH或Modem登录设备时,都需要使用CLI来与设备进行交互。

·     缺省情况下,用户不需要任何认证即可通过Console口登录设备,这给设备带来许多安全隐患;

·     缺省情况下,用户不能通过Telnet、SSH及Modem方式登录设备(只能通过Console口本地登录),这样不利于用户对设备进行远程管理和维护。

因此,用户需要对这些登录方式进行相应的配置,来增加设备的安全性及可管理性。

以下章节将分别为您介绍如何通过Console口、Telnet、SSH及Modem登录到设备,并配置通过Console口、Telnet、SSH及Modem登录设备时的认证方式、用户级别及公共属性,来实现对登录用户的控制和管理。

2.2  配置通过Console口登录设备

2.2.1  通过Console口登录设备简介

通过Console口进行本地登录是登录设备的最基本的方式,也是配置通过其他方式登录设备的基础。如图2-1所示。

图2-1 通过Console口登录设备示意图

 

缺省情况下,设备只能通过Console口进行本地登录,用户登录到设备上后,即可以对各种登录方式进行配置。

本节将为您介绍:

·     设备缺省情况下,如何通过Console口登录设备。具体请参见2.2.2  缺省配置下如何通过Console口登录设备

·     设备Console口支持的登录方式及配置Console口登录认证方式的意义、各种认证方式的特点及注意事项。具体请参见2.2.3  Console口登录的认证方式介绍

·     当用户确定了今后通过Console口登录设备时将采用何种认证方式后、并通过缺省配置登录到设备后,用户如何在设备上配置Console口登录设备时的认证方式及用户级别,实现对Console口登录用户的控制和管理。具体请参见2.2.4  配置通过Console口登录设备时无需认证(None)2.2.5  配置通过Console口登录设备时采用密码认证(Password)2.2.6  配置通过Console口登录设备时采用AAA认证(Scheme)

·     配置通过Console口登录设备时的公共属性。具体请参见2.2.7  配置Console口登录方式的公共属性(可选)

2.2.2  缺省配置下如何通过Console口登录设备

表2-1 通过Console登录设备需要具备的条件

对象

需要具备的条件

设备

缺省情况下,设备侧不需要任何配置

Console口登录用户

运行超级终端程序

配置超级终端属性

 

当用户使用Console口登录设备时,用户终端的通信参数配置要和设备Console口的缺省配置保持一致,才能通过Console口登录到设备上。设备Console口的缺省配置如下:

表2-2 设备Console口缺省配置

属性

缺省配置

传输速率

9600bit/s

流控方式

不进行流控

校验方式

不进行校验

停止位

1

数据位

8

 

(1)     给PC机断电。因为PC机串口不支持热插拔,请不要在PC机带电的情况下,将串口插入或者拔出PC机。

(2)     请使用产品随机附带的配置口电缆连接PC机和设备。请先将配置电缆的DB-9(孔)插头插入PC机的9芯(针)串口插座,再将RJ-45插头端插入设备的Console口中。

图2-2 将设备与PC通过配置口电缆进行连接

 

警告

连接时请认准接口上的标识,以免误插入其它接口。

 

说明

在拆下时,先拔出RJ-45端,再拔下DB-9端。

 

(2)     给PC机上电。

(3)     在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),选择与设备相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图2-3图2-5所示。

说明

如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参照软件的使用指导或联机帮助。

 

图2-3 新建连接

 

图2-4 连接端口设置

 

图2-5 端口通信参数设置

 

(4)     设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图2-6所示。

图2-6 设备配置界面

 

(5)     键入命令,配置设备或查看设备运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。

2.2.3  Console口登录的认证方式介绍

通过在Console口用户界面下配置认证方式,可以对使用Console口登录的用户进行限制,以提高设备的安全性。Console口支持的认证方式有none、passwordscheme三种。

·     认证方式为none:表示下次使用Console口本地登录设备时,不需要进行用户名和密码认证、任何人都可以通过Console口登录到设备上,这种情况可能会带来安全隐患。

·     认证方式为password:表示下次使用Console口本地登录设备时,需要进行密码认证、只有密码认证成功、用户才能登录到设备上。

·     认证方式为scheme:表示下次使用Console口登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA”。

不同的认证方式下,Console口登录方式需要进行的配置不同,具体配置如表2-3所示。

表2-3 配置任务简介

认证方式

认证所需配置

说明

None

设置登录用户的认证方式为不认证

具体内容请参见2.2.4 

Password

设置登录用户的认证方式为Password认证

具体内容请参见2.2.5 

设置本地验证的密码

Scheme

设置登录用户的认证方式为Scheme认证

具体内容请参见2.2.6 

选择认证方案

采用远端AAA服务器认证

在设备上配置RADIUS/HWTACACS方案

在设备上配置域使用的AAA方案

在AAA服务器上配置相关的用户名和密码

采用本地认证

在设备上配置认证用户名和密码

在设备上配置域使用的AAA方案为本地认证

 

说明

改变Console口登录方式的认证方式后,该认证方式的设置不会立即生效。用户需要退出命令行接口后重新登录,该设置才会生效。

 

2.2.4  配置通过Console口登录设备时无需认证(None)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Console口登录设备时无需进行认证。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

表2-4 配置用户通过Console口登录设备时无需认证

操作

命令

说明

进入系统视图

system-view

-

进入Console口用户界面视图

user-interface console first-number [ last-number ]

-

设置登录用户的认证方式为不认证

authentication-mode none

必选

缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)

配置Console口的公共属性

-

可选

详细配置请参见2.2.7  配置Console口登录方式的公共属性(可选)

 

配置完成后,当用户再次通过Console口登录设备时,设备将提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图2-7所示。

图2-7 用户通过Console口登录设备时无需认证登录界面

 

2.2.5  配置通过Console口登录设备时采用密码认证(Password)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Console口登录设备时采用密码认证、以提高设备的安全性。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

表2-5 配置用户通过Console口登录设备时采用密码认证

操作

命令

说明

进入系统视图

system-view

-

进入Console用户界面视图

user-interface console first-number [ last-number ]

-

设置登录用户的认证方式为本地密码认证

authentication-mode password

必选

缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)

设置本地验证的密码

set authentication password [ hash ] { cipher | simple } password

必选

缺省情况下,没有设置本地认证的密码

配置Console口的公共属性

-

可选

详细配置请参见2.2.7  配置Console口登录方式的公共属性(可选)

 

配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-8所示。

图2-8 用户通过Console口登录设备时采用密码认证登录界面

 

2.2.6  配置通过Console口登录设备时采用AAA认证(Scheme)

1. 配置前提

用户已经成功的登录到了设备上,并希望以后通过Console口登录设备时采用AAA认证、以提高设备的安全性。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

表2-6 配置用户通过Console口登录设备时采用AAA认证

操作

命令

说明

进入系统视图

system-view

-

进入Console用户界面视图

user-interface console first-number [ last-number ]

-

设置登录用户的认证方式为通过认证方案认证

authentication-mode scheme

必选

具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定

缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)

使能命令行授权功能

command authorization

可选

·     缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权

·     缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。

使能命令行计费功能

command accounting

可选

·     缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行

·     命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。

退出至系统视图

quit

-

配置设备采用的认证方案

进入ISP域视图

domain domain-name

可选

缺省情况下,系统使用的AAA方案为local

如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:

·     设备上的RADIUS、HWTACACS方案配置请参见“安全配置指导”中的“AAA”

·     AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书

配置域使用的AAA方案

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

退出至系统视图

quit

创建本地用户(进入本地用户视图)

local-user user-name

必选

缺省情况下,无本地用户

设置本地用户认证密码

password  [ [ hash ] { cipher | simple } password ]

必选

设置本地用户的命令级别

authorization-attribute level level

可选

缺省情况下,命令级别为0

设置本地用户的服务类型

service-type terminal

必选

缺省情况下,无用户服务类型

配置Console口的公共属性

-

可选

详细配置请参见2.2.7  配置Console口登录方式的公共属性(可选)

 

说明

使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:

·     需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;

·     需要在ISP域中引用已创建的HWTACACS方案。

详细介绍请参见“安全配置指导”中的“AAA”。

 

说明

需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。

·     AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。

·     AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。

有关AAA、RADIUS、HWTACACS的详细内容,请参见“安全配置指导”中的“AAA”。

 

配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-9所示。

图2-9 用户通过Console口登录设备时AAA认证登录界面

 

2.2.7  配置Console口登录方式的公共属性(可选)

Console口登录方式的公共属性配置,如表2-7所示。

表2-7 Console口登录方式公共属性配置

操作

命令

说明

进入系统视图

system-view

-

进入Console用户界面视图

user-interface console first-number [ last-number ]

-

配置传输速率

speed speed-value

可选

缺省情况下,Console口使用的传输速率为9600bit/s

传输速率为设备与访问终端之间每秒钟传送的比特的个数

配置校验方式

parity { even | mark | none | odd | space }

可选

缺省情况下,Console口的校验方式为none,即不进行校验

配置停止位

stopbits { 1 | 1.5 | 2 }

可选

缺省情况下,Console口的停止位为1

停止位用来表示单个包的结束。停止位的位数越多,传输效率越低

配置数据位

databits { 5 | 6 | 7 | 8 }

可选

缺省情况下,Console口的数据位为8位

数据位的设置取决于需要传送的信息。比如,如果传送的是标准的ASCII码,则可以将数据位设置为7,如果传输的是扩展的ASCII码,则需要将数据位设置为8

配置启动终端会话的快捷键

activation-key character

可选

缺省情况下,按<Enter>键启动终端会话

配置中止当前运行任务的快捷键

escape-key { default | character }

可选

缺省情况下,键入<Ctrl+C>中止当前运行的任务

配置流量控制方式

flow-control { hardware | none | software }

flow-control hardware flow-control-type1 [ software flow-control-type2 ]

flow-control software flow-control-type1 [ hardware flow-control-type2 ]

可选

缺省情况下,不进行流量控制

配置终端的显示类型

terminal type { ansi | vt100 }

可选

缺省情况下,终端显示类型为ANSI

当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型

设置用户登录后可以访问的命令级别

user privilege level level

可选

缺省情况下,从Console用户界面登录后可以访问的命令级别为3级

设置终端屏幕一屏显示的行数

screen-length screen-length

可选

缺省情况下,终端屏幕一屏显示的行数为24行

screen-length 0表示关闭分屏显示功能

设置历史命令缓冲区大小

history-command max-size size-value

可选

缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令

设置用户界面的超时时间

idle-timeout minutes [ seconds ]

可选

缺省情况下,所有的用户界面的超时时间为10分钟,如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开

idle-timeout 0表示关闭用户界面的超时功能

 

注意

改变Console口属性后会立即生效,所以通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性。若用户需要通过Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口属性保持一致。

 

2.3  配置通过Telnet登录设备

说明

在FIPS模式下不支持通过Telnet登录设备。

 

2.3.1  通过Telnet登录设备简介

设备支持Telnet功能,用户可以通过Telnet方式登录到设备上,对设备进行远程管理和维护。如图2-10

图2-10 通过Telnet登录设备示意图

 

表2-8 采用Telnet方式登录需要具备的条件

对象

需要具备的条件

Telnet服务器端

配置设备的IP地址,设备与Telnet用户间路由可达

配置Telnet登录的认证方式和其它配置(根据Telnet服务器端的情况而定)

Telnet客户端

运行Telnet程序

获取要登录设备接口的IP地址

 

设备可以作为Telnet Client登录到Telnet Server上,从而对其进行操作。

设备可以充当Telnet Server:

·     设备支持Telnet Server功能、可作为Telnet Server,并可在设备上进行一系列的配置,从而实现对不同Telnet Client登录的具体认证方式、用户级别等方面的控制与管理。

·     缺省情况下,设备的Telnet Server功能处于关闭状态,通过Telnet方式登录设备的认证方式为Password,但设备没有配置缺省的登录密码,即在缺省情况下用户不能通过Telnet登录到设备上。因此当您使用Telnet方式登录设备前,首先需要通过Console口登录到设备上,开启Telnet Server功能,然后对认证方式、用户级别及公共属性进行相应的配置,才能保证通过Telnet方式正常登录到设备。

本节将为您介绍设备充当Telnet服务器端时:

·     设备支持的各种登录认证方式及配置Telnet登录认证方式的意义、各种认证方式的特点及注意事项。具体介绍请参见2.3.2  Telnet登录的认证方式介绍

·     当用户确定了今后通过Telnet客户端登录设备时将采用何种认证方式后、并已成功登录到设备后,用户如何在设备上配置Telnet客户端登录设备时的认证方式、用户级别及公共属性,从而实现对Telnet登录用户的控制和管理。具体介绍请参见2.3.3  配置通过Telnet Client登录设备时无需认证(None)2.3.4  配置通过Telnet Client登录设备时采用密码认证(Password)2.3.5  配置通过Telnet Client登录设备时采用AAA认证(Scheme)

·     配置通过Telnet登录设备时的公共属性。具体介绍请参见2.3.6  配置VTY用户界面的公共属性(可选)

本节还将为您介绍设备充当Telnet客户端、Telnet登录到Server时的配置,具体请参见2.3.7  配置设备充当Telnet Client登录到Telnet Server

2.3.2  Telnet登录的认证方式介绍

通过在Telnet的用户界面下配置认证方式,可以对使用Telnet登录的用户进行限制,以提高设备的安全性。通过Telnet登录支持的认证方式有none、passwordscheme三种。

·     认证方式为none:表示下次使用Telnet登录设备时不需要进行用户名和密码认证,任何人都可以通过Telnet登录到设备上,这种情况可能会带来安全隐患。

·     认证方式为password:表示下次使用Telnet登录设备时需要进行密码认证,只有密码认证成功,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码,如果密码丢失,可以使用Console口登录到设备,对Telnet的密码配置进行查看或修改。

·     认证方式为scheme:表示下次使用Telnet登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA”。配置认证方式为scheme后,请妥善保存用户名及密码,如果本地认证密码丢失,可以使用Console口登录到设备,对Telnet的密码配置进行查看或修改。如果远程认证密码丢失,建议您联系服务器管理员。

不同的认证方式下,Telnet登录方式需要进行的配置不同,具体配置如表2-9所示。

表2-9 配置Telnet登录的认证方式

认证方式

认证所需配置

说明

None

设置登录用户的认证方式为不认证

具体内容请参见2.3.3 

Password

设置登录用户的认证方式为Password认证

具体内容请参见2.3.4 

设置本地验证的密码

Scheme

设置登录用户的认证方式为Scheme认证

具体内容请参见2.3.5 

选择认证方案

采用远端AAA服务器认证

在设备上配置RADIUS/HWTACACS方案

在设备上配置域使用的AAA方案

在AAA服务器上配置相关的用户名和密码

采用本地认证

在设备上配置认证用户名和密码

在设备上配置域使用的AAA方案为本地认证

 

2.3.3  配置通过Telnet Client登录设备时无需认证(None)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时无需进行认证。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

表2-10 认证方式为None的配置

操作

命令

说明

进入系统视图

system-view

-

使能设备的Telnet服务

telnet server enable

必选

缺省情况下,Telnet服务处于关闭状态

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

设置VTY登录用户的认证方式为不认证

authentication-mode none

必选

缺省情况下,VTY用户界面的认证方式为password

配置从当前用户界面登录系统的用户所能访问的命令级别

user privilege level level

必选

缺省情况下,通过VTY用户界面登录系统所能访问的命令级别是0

配置VTY用户界面的公共属性

-

可选

详细配置请参见2.3.6  配置VTY用户界面的公共属性(可选)

 

配置完成后,当用户再次通过Telnet登录设备时:

·     用户将直接进入VTY用户界面,如图2-11所示。

·     如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。

图2-11 用户通过Telnet登录设备时无需认证登录界面

 

2.3.4  配置通过Telnet Client登录设备时采用密码认证(Password)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行密码认证。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

表2-11 认证方式为Password的配置

操作

命令

说明

进入系统视图

system-view

-

使能设备的Telnet服务

telnet server enable

必选

缺省情况下,Telnet服务处于关闭状态

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

设置登录用户的认证方式为本地密码认证

authentication-mode password

必选

缺省情况下,VTY用户界面的认证方式为password

设置本地验证的密码

set authentication password  [ hash ] { cipher | simple } password

必选

缺省情况下,没有设置本地认证的密码

配置从当前用户界面登录系统的用户所能访问的命令级别

user privilege level level

必选

缺省情况下,通过VTY用户界面登录系统所能访问的命令级别是0

配置VTY用户界面的公共属性

-

可选

详细配置请参见2.3.6  配置VTY用户界面的公共属性(可选)

 

配置完成后,当用户再次通过Telnet登录设备时:

·     设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-12所示。

·     如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。

图2-12 配置用户通过Telnet登录设备时采用密码认证登录界面

 

2.3.5  配置通过Telnet Client登录设备时采用AAA认证(Scheme)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行AAA认证。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

表2-12 配置用户通过Telnet登录设备时采用AAA认证

操作

命令

说明

进入系统视图

system-view

-

使能设备的Telnet服务

telnet server enable

必选

缺省情况下,Telnet服务处于关闭状态

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

设置登录用户的认证方式为通过认证方案认证

authentication-mode scheme

必选

具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定

缺省情况下采用本地认证方式

使能命令行授权功能

command authorization

可选

缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权

·     需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA”

·     需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA”

使能命令行计费功能

command accounting

可选

·     缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行

·     命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。

退出至系统视图

quit

-

配置设备采用的认证方案

进入ISP域视图

domain domain-name

可选

缺省情况下,系统使用的AAA方案为local

如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:

·     设备上的配置请参见“安全配置指导”中的“AAA”

·     AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书

配置域使用的AAA方案

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

退出至系统视图

quit

创建本地用户(进入本地用户视图)

local-user user-name

缺省情况下,无本地用户

设置本地认证密码

password [ [ hash ]{ cipher | simple } password ]

必选

缺省情况下,没有配置本地认证密码

设置用户的命令级别

authorization-attribute level level

可选

缺省情况下,命令级别为0

设置用户的服务类型

service-type telnet

必选

缺省情况下,无用户的服务类型

退出至系统视图

quit

-

配置VTY用户界面的公共属性

-

可选

详细配置请参见2.3.6  配置VTY用户界面的公共属性(可选)

 

说明

使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:

·     需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;

·     需要在ISP域中引用已创建的HWTACACS方案。

详细介绍请参见“安全配置指导”中的“AAA”。

 

说明

需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。

·     AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。

·     AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。

有关AAA、RADIUS、HWTACACS的详细内容,请参见“安全配置指导”中的“AAA”。

 

配置完成后,当用户再次通过Telnet登录设备时:

·     设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-13所示。

·     如果用户输入正确的登录用户名和密码后,设备提示用户再次输入一个指定类型的密码,则表示当前用户需要进行二次密码认证,即用户还必须根据提示信息输入一个正确的密码后才能通过认证。

·     如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。

图2-13 用户通过Telnet登录设备时AAA认证登录界面

 

2.3.6  配置VTY用户界面的公共属性(可选)

表2-13 VTY用户界面的公共属性配置

操作

命令

说明

进入系统视图

system-view

-

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

启动终端服务

shell

可选

缺省情况下,在所有的用户界面上启动终端服务

配置VTY用户界面支持的协议

protocol inbound { all | ssh | telnet }

可选

缺省情况下:

·     在非FIPS模式下,设备同时支持Telnet和SSH协议

·     在FIPS模式下,设备只支持SSH协议

使用该命令配置的协议将在用户下次使用该用户界面登录时生效

配置中止当前运行任务的快捷键

escape-key { default | character }

可选

缺省情况下,键入<Ctrl+C>中止当前运行的任务

配置终端的显示类型

terminal type { ansi | vt100 }

可选

缺省情况下,终端显示类型为ANSI

设置终端屏幕一屏显示的行数

screen-length screen-length

可选

缺省情况下,终端屏幕一屏显示的行数为24行

screen-length 0表示关闭分屏显示功能

设置设备历史命令缓冲区大小

history-command max-size value

可选

缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令

设置VTY用户界面的超时时间

idle-timeout minutes [ seconds ]

可选

缺省情况下,所有的用户界面的超时时间为10分钟

如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开

idle-timeout 0表示关闭用户界面的超时功能

设置从用户界面登录后自动执行的命令

auto-execute command command

可选

缺省情况下,未设定自动执行命令

配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接。该命令通常用来配置Telnet命令,使用户登录时自动连接到指定的主机

 

注意

·     使用auto-execute command命令后,可能导致用户不能通过该终端线对本系统进行常规配置,需谨慎使用。

·     在配置auto-execute command命令并保存配置(执行save操作)之前,要确保可以通过其他VTY、AUX用户登录进来更改配置,以便出现问题后,能删除该配置。

 

2.3.7  配置设备充当Telnet Client登录到Telnet Server

1. 配置前提

用户已经成功登录到了设备上,并希望将当前设备作为Telnet Client登录到Telnet Server上进行操作。具体请参见图2-14所示。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

图2-14 通过路由器登录到其它设备

 

说明

如果Telnet Client与Telnet Server相连的端口不在同一子网内,请确保两台设备间路由可达。

 

2. 配置过程

表2-14 设备作为Telnet Client登录到Telnet Server的配置

操作

命令

说明

设备作为Telnet Client登录到Telnet Server

telnet remote-host [ service-port ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ip ip-address } ]

二者必选其一

此命令在用户视图下执行

telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ]

指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口

telnet client source { interface interface-type interface-number | ip ip-address }

可选

缺省情况下,没有指定发送Telnet报文的源IPv4地址和源接口,此时通过路由选择源IPv4地址

 

配置完成后,设备即可登录到相应的Telnet Server上。

2.4  配置通过SSH登录

2.4.1  通过SSH登录设备简介

SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。设备支持SSH功能,用户可以通过SSH方式登录到设备上,对设备进行远程管理和维护如图2-15所示。

图2-15 通过SSH登录

 

表2-15 采用SSH方式登录需要具备的条件

对象

需要具备的条件

SSH服务器端

配置设备接口的IP地址,设备与SSH客户端间路由可达

配置SSH登录的认证方式和其它配置(根据SSH服务器端的情况而定)

SSH客户端

如果是主机作为SSH客户端,则需要在主机上运行SSH客户端程序

获取要登录设备接口的IP地址

 

设备可以作为SSH Client登录到SSH Server上,从而对其进行操作。

设备可以充当SSH Server:

·     设备支持SSH Server功能:可作为SSH Server,并可在设备上进行一系列的配置、实现对不同SSH Client的登录权限的控制。

·     缺省情况下,设备的SSH Server功能处于关闭状态,因此当您使用SSH方式登录设备前,首先需要通过Console口登录到设备上,开启设备的SSH Server功能、对认证方式及其它属性进行相应的配置,才能保证通过SSH方式正常登录到设备。

本节将为您介绍:

·     设备充当SSH服务器端时:当用户确定了今后通过SSH客户端登录设备、并已成功登录到设备后,用户如何在设备上配置SSH客户端登录设备时的认证方式及其它属性,从而实现对SSH登录用户的控制和管理。具体介绍请参见2.4.2  配置设备充当SSH服务器

·     设备充当SSH客户端时:设备SSH登录到Server时的配置,具体请参见2.4.3  配置设备充当SSH客户端登录其它设备

2.4.2  配置设备充当SSH服务器

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过SSH Client登录设备。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

表2-16 设备充当SSH服务器时的配置

操作

命令

说明

进入系统视图

system-view

-

生成本地密钥对

public-key local create { dsa | rsa }

必选

缺省情况下,没有生成密钥对

使能SSH服务器功能

ssh server enable

必选

缺省情况下,SSH服务器功能处于关闭状态

进入VTY用户界面视图

user-interface vty first-number [ last-number ]

-

配置登录用户界面的认证方式为scheme方式

authentication-mode scheme

必选

缺省情况下,用户界面认证为password方式

配置所在用户界面支持SSH协议

protocol inbound { all | ssh }

可选

缺省情况下,系统支持所有的协议,即支持Telnet和SSH

使能命令行授权功能

command authorization

可选

缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权

·     需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA”

·     需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA”

使能命令行计费功能

command accounting

可选

·     缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行

·     命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。

退出至系统视图

quit

-

配置设备采用的认证方案

进入ISP域视图

domain domain-name

可选

缺省情况下,系统使用的AAA方案为local

如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:

·     设备上的配置请参见“安全配置指导”中的“AAA”

·     AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书

配置域使用的AAA方案

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

退出至系统视图

quit

创建本地用户并进入本地用户视图)

local-user user-name

必选

缺省情况下,没有配置本地用户

设置本地认证密码

password [ [ hash ] { cipher | simple } password ]

必选

缺省情况下,没有配置本地认证密码

设置本地用户的命令级别

authorization-attribute level level

可选

缺省情况下,命令级别为0

设置本地用户的服务类型

service-type ssh

必选

缺省情况下,无用户的服务类型

退回系统视图

quit

-

建立SSH用户,并指定SSH用户的认证方式

ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname }

必选

配置VTY用户界面的公共属性

-

可选

详细配置请参见2.3.6  配置VTY用户界面的公共属性(可选)

 

说明

本章只介绍采用password方式认证SSH客户端的配置方法,publickey方式的配置方法及SSH的详细介绍,请参见“安全配置指导”中的“SSH”。

 

说明

使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:

·     需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;

·     需要在ISP域中引用已创建的HWTACACS方案。

详细介绍请参见“安全配置指导”中的“AAA”。

 

说明

·     用户采用password认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定;AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。有关AAA、RADIUS、HWTACACS的详细内容,请参见“AAA配置指导”中的”AAA”。

·     用户采用publickey认证方式登录设备时,其所能访问的命令级别取决于用户界面上通过user privilege level命令配置的级别

 

2.4.3  配置设备充当SSH客户端登录其它设备

1. 配置前提

用户已经成功登录到了设备上,并希望将当前设备作为SSH Client登录到其它设备上进行操作。具体请参见图2-14所示。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

图2-16 通过路由器登录到其它设备

 

说明

如果SSH Client与SSH Server相连的端口不在同一子网内,请确保两台设备间路由可达。

 

2. 配置过程

表2-17 设备作为SSH Client登录到其它设备的配置

操作

命令

说明

设备作为SSH Client登录到SSH IPv4服务器端

ssh2 server

必选

server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写

此命令在用户视图下执行

设备作为SSH Client登录到SSH IPv6服务器端

ssh2 ipv6 server

必选

server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写。

 

说明

为配合SSH Server、设备充当SSH Client时还可进一步进行其它配置,具体请参见“安全配置指导”中的“SSH”。

 

配置完成后,设备即可登录到相应的SSH Server上。

2.5  配置通过AUX口本地登录设备

2.5.1  通过AUX口本地登录设备简介

通过AUX口进行本地登录是登录设备的基本方式之一,所使用的配置电缆和登录方式与通过Console口登录设备一致,对于具有独立Console口和AUX口的设备,可以同时使用两条本地链路登录设备,便于系统维护。如图2-17所示。

图2-17 通过AUX口登录设备示意图

缺省情况下,通过AUX口进行本地登录,使用Password认证方式。需要先通过Console口或其它方式登录到设备上,配置AUX口Password认证方式的密码,或者更改认证方式并完成相关参数的设置,才可以通过AUX口从本地登录设备。

本节将为您介绍:

·     设备AUX口支持的登录方式及配置AUX口登录认证方式的意义、各种认证方式的特点及注意事项。具体请参见2.5.2  AUX口登录的认证方式介绍

·     当用户确定了今后通过AUX口登录设备时将采用何种认证方式后、并通过缺省配置登录到设备后,用户如何在设备上配置AUX口登录设备时的认证方式及用户级别,实现对AUX口登录用户的控制和管理。具体请参见2.5.3  配置通过AUX口登录设备时无需认证(None)2.5.4  配置通过AUX口登录设备时采用密码认证(Password)2.5.5  配置通过AUX口登录设备时采用AAA认证(Scheme)

·     配置通过AUX口登录设备时的公共属性。具体请参见2.5.6  配置AUX口登录方式的公共属性(可选)

·     如何通过AUX口登录设备。具体请参见2.5.7  如何通过AUX口登录设备

2.5.2  AUX口登录的认证方式介绍

说明

缺省情况下,通过AUX口进行本地登录,使用Password认证方式。

 

通过在AUX口用户界面下配置认证方式,可以对使用AUX口登录的用户进行限制,以提高设备的安全性。AUX口支持的认证方式有none、passwordscheme三种。

·     认证方式为none:表示下次使用AUX口本地登录设备时,不需要进行用户名和密码认证、任何人都可以通过AUX口登录到设备上,这种情况可能会带来安全隐患。

·     认证方式为password:表示下次使用AUX口本地登录设备时,需要进行密码认证、只有密码认证成功、用户才能登录到设备上。

·     认证方式为scheme:表示下次使用AUX口登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA”。

不同的认证方式下,AUX口登录方式需要进行的配置不同,具体配置如表2-18所示。

表2-18 配置任务简介

认证方式

认证所需配置

说明

None

设置登录用户的认证方式为不认证

具体内容请参见2.5.3 

Password

设置登录用户的认证方式为Password认证

具体内容请参见2.5.4 

设置本地验证的密码

Scheme

设置登录用户的认证方式为Scheme认证

具体内容请参见2.5.5 

选择认证方案

采用远端AAA服务器认证

在设备上配置RADIUS/HWTACACS方案

在设备上配置域使用的AAA方案

在AAA服务器上配置相关的用户名和密码

采用本地认证

在设备上配置认证用户名和密码

在设备上配置域使用的AAA方案为本地认证

 

说明

改变AUX口登录方式的认证方式后,如果AUX口当前有登录用户,该认证方式的设置不会立即生效。AUX用户退出命令行接口后重新登录,该设置才会生效。

 

2.5.3  配置通过AUX口登录设备时无需认证(None)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过AUX口登录设备时无需进行认证。

缺省情况下,通过AUX口本地登录设备,登录时认证方式为password(需要预先配置用户密码),登录用户级别为0。

如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

表2-19 配置用户通过AUX口登录设备时无需认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX口用户界面视图

user-interface aux first-number [ last-number ]

-

设置登录用户的认证方式为不认证

authentication-mode none

必选

缺省情况下,用户通过AUX口登录,认证方式为password(即需要进行密码认证)

配置AUX口的公共属性

-

可选

详细配置请参见2.5.6  配置AUX口登录方式的公共属性(可选) 

 

配置完成后,当用户再次通过AUX口登录设备时,设备将提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图2-18所示。

图2-18 用户通过AUX口登录设备时无需认证登录界面

 

2.5.4  配置通过AUX口登录设备时采用密码认证(Password)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过AUX口登录设备时采用密码认证、以提高设备的安全性。

缺省情况下,通过AUX口本地登录设备,登录时认证方式为password(需要预先配置用户密码),登录用户级别为0。

如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

表2-20 配置用户通过AUX口登录设备时采用密码认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

设置登录用户的认证方式为本地密码认证

authentication-mode password

必选

缺省情况下,用户通过AUX口登录,认证方式为password(即需要进行密码认证)

设置本地验证的密码

set authentication password [ hash ] { cipher | simple } password

必选

缺省情况下,没有设置本地认证的密码

配置AUX口的公共属性

-

可选

详细配置请参见2.5.6  配置AUX口登录方式的公共属性(可选)

 

配置完成后,当用户再次通过AUX口登录设备时,键入回车后,设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-8所示。

图2-19 用户通过AUX口登录设备时采用密码认证登录界面

 

2.5.5  配置通过AUX口登录设备时采用AAA认证(Scheme)

1. 配置前提

用户已经成功的登录到了设备上,并希望以后通过AUX口登录设备时采用AAA认证、以提高设备的安全性。

缺省情况下,通过AUX口本地登录设备,登录时认证方式为password(需要预先配置用户密码),登录用户级别为0。

如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

表2-21 配置用户通过AUX口登录设备时采用AAA认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

设置登录用户的认证方式为通过认证方案认证

authentication-mode scheme

必选

缺省情况下,用户通过AUX口登录,认证方式为password(即需要进行密码认证)

使能命令行授权功能

command authorization

可选

·     缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权

·     缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。

使能命令行计费功能

command accounting

可选

·     缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行

·     命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。

退出至系统视图

quit

-

配置设备采用的认证方案

进入ISP域视图

domain domain-name

可选

缺省情况下,系统使用的AAA方案为local

如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:

·     设备上的RADIUS、HWTACACS方案配置请参见“安全配置指导”中的“AAA”

·     AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书

配置域使用的AAA方案

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

退出至系统视图

quit

创建本地用户(进入本地用户视图)

local-user user-name

必选

缺省情况下,无本地用户

设置本地用户认证密码

password [ [ hash ] { cipher | simple  } password ]

必选

设置本地用户的命令级别

authorization-attribute level level

可选

缺省情况下,命令级别为0

设置本地用户的服务类型

service-type terminal

必选

缺省情况下,无用户服务类型

配置AUX口的公共属性

-

可选

详细配置请参见2.5.6  配置AUX口登录方式的公共属性(可选)

 

说明

使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:

·     需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;

·     需要在ISP域中引用已创建的HWTACACS方案。

详细介绍请参见“安全配置指导/AAA”中的“配置ISP域的AAA授权方案”。

 

说明

需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。

·     AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。

·     AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。

有关AAA、RADIUS、HWTACACS的详细内容,请参见“安全配置指导”中的“AAA”。

 

配置完成后,当用户再次通过AUX口登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为user001为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-9所示。

图2-20 用户通过AUX口登录设备时AAA认证登录界面

 

2.5.6  配置AUX口登录方式的公共属性(可选)

AUX口登录方式的公共属性配置,如表2-22所示。

表2-22 AUX口登录方式公共属性配置

操作

命令

说明

进入系统视图

system-view

-

建立Telnet重定向监听端口与IP地址的对应关系

ip alias ip-address port-number

可选

缺省情况下,Telnet重定向监听端口与IP地址没有对应关系

用户和设备A相连,设备A通过异步串口和设备B相连。在设备A上配置redirect enableredirect listen-port port-number后,用户就可以使用“telnet 设备A的IP地址 port-number”来登录设备B,相当于用户直接Telnet登录设备B。如果再使用ip alias ip-address port-number建立Telnet重定向监听端口与IP地址的对应关系后,用户就可以直接执行“telnet ip-address”来登录设备B

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

配置AUX口的属性

配置传输速率

speed speed-value

可选

缺省情况下,AUX口使用的传输速率为9600bit/s

传输速率为设备与访问终端之间每秒钟传送的比特的个数

配置校验方式

parity { even | mark | none | odd | space }

可选

缺省情况下,AUX口的校验方式为none,即不进行校验

配置停止位

stopbits { 1 | 1.5 | 2 }

可选

缺省情况下,AUX口的停止位为1

停止位用来表示单个包的结束。停止位的位数越多,传输效率越低

配置数据位

databits { 5 | 6 | 7 | 8 }

可选

缺省情况下,AUX口的数据位为8位

数据位的设置取决于需要传送的信息。比如,如果传送的是标准的ASCII码,则可以将数据位设置为7,如果传输的是扩展的ASCII码,则需要将数据位设置为8

配置启动终端会话的快捷键

activation-key character

可选

缺省情况下,按<Enter>键启动终端会话

配置中止当前运行任务的快捷键

escape-key { default | character }

可选

缺省情况下,键入<Ctrl+C>中止当前运行的任务

配置流量控制方式

flow-control { hardware | none | software }

flow-control hardware flow-control-type1 [ software flow-control-type2 ]

flow-control software flow-control-type1 [ hardware flow-control-type2 ]

可选

缺省情况下,进行硬件方式的流量控制

配置终端的显示类型

terminal type { ansi | vt100 }

可选

缺省情况下,终端显示类型为ANSI

当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型

设置用户登录后可以访问的命令级别

user privilege level level

可选

缺省情况下,从AUX用户界面登录后可以访问的命令级别为0级

设置终端屏幕一屏显示的行数

screen-length screen-length

可选

缺省情况下,终端屏幕一屏显示的行数为24行

screen-length 0表示关闭分屏显示功能

设置历史命令缓冲区大小

history-command max-size value

可选

缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令

设置用户界面的超时时间

idle-timeout minutes [ seconds ]

可选

缺省情况下,所有的用户界面的超时时间为10分钟,如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开

idle-timeout 0表示关闭用户界面的超时功能

使能当前用户界面的Telnet重定向功能

redirect enable

可选

缺省情况下,用户界面重定向功能被禁止

用户和设备A相连,能够Telnet登录到设备A;设备A通过异步串口和设备B相连,如果设备B要给用户提供Telnet服务,但又不方便告知用户IP地址时,可以在设备A上配置Telnet重定向功能,则用户执行“telnet 设备A的IP地址 特定端口号”(该端口号由redirect listen-port命令决定)能够登录设备B,相当于用户直接Telnet登录设备B

设置Telnet重定向的监听端口

redirect listen-port port-number

可选

缺省情况下,Telnet重定向的监听端口号为用户界面的绝对编号加2000

强制设置在建立Telnet重定向连接时不进行Telnet选项协商

redirect refuse-negotiation

可选

缺省情况下,进行Telnet选项协商

设置在建立Telnet重定向连接时不对ACSII码0xff进行转义

redirect refuse-teltransfer

可选

缺省情况下,在建立Telnet重定向连接时会将ACSII0xff转义为0xff 0xff

设置Telnet重定向设备对从Telnet客户端接收到的回车符进行处理,即将接收到的“0x0d 0x0a”和“0x0d 0x00”统一修改为“0x0d”

redirect return-deal from-telnet

可选

缺省情况下,设备不对从Telnet客户端接收到的回车符进行处理

设置当设备进行Telnet重定向时对从终端(例如从Console口连接的PC)接收到的回车符进行处理,即将接收到的“0x0d 0x0a”和“0x0d 0x00”统一修改为“0x0d”

redirect return-deal from-terminal

可选

缺省情况下,当设备进行Telnet重定向时不会对从终端接收到的回车符进行处理,而是直接转发

设置Telnet重定向的空闲超时时间

redirect timeout time

可选

缺省情况下,设备Telnet重定向的空闲超时时间为360秒

如果在指定的时间内没有从Telnet客户端接收到数据,则断开Telnet重定向连接

强制断开已经建立的Telnet重定向连接

redirect disconnect

可选

 

注意

改变AUX口属性后会立即生效,所以通过AUX口登录来配置AUX口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置AUX口属性。若用户需要通过AUX口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的AUX口属性保持一致。

 

2.5.7  如何通过AUX口登录设备

表2-23 通过AUX登录设备需要具备的条件

对象

需要具备的条件

设备

配置AUX口登录的认证方式,具体配置请参考2.5.3  2.5.4  2.5.5   

AUX口登录用户

运行超级终端程序

配置超级终端属性

 

当用户使用AUX口登录设备时,用户终端的通信参数配置要和设备AUX口的缺省配置保持一致,才能通过AUX口登录到设备上。设备AUX口的缺省配置如下:

表2-24 设备AUX口缺省配置

属性

缺省配置

传输速率

9600bit/s

流控方式

进行硬件流控

校验方式

不进行校验

停止位

1

数据位

8

 

(3)     请使用产品随机附带的配置口电缆连接PC机和设备。请先将配置电缆的DB-9(孔)插头插入PC机的9芯(针)串口插座,再将RJ-45插头端插入设备的AUX口中。

图2-21 将设备与PC通过配置口电缆进行连接

 

警告

连接时请认准接口上的标识,以免误插入其它接口。

 

说明

由于PC机串口不支持热插拔,请不要在设备带电的情况下,将串口插入或者拔出PC机。当连接PC和设备时,请先安装配置电缆的DB-9端到PC机,再连接RJ-45到设备;在拆下时,先拔出RJ-45端,再拔下DB-9端。

 

(2)     在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),选择与设备相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图2-22图2-24所示。

说明

如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参照软件的使用指导或联机帮助。

 

图2-22 新建连接

 

图2-23 连接端口设置

 

图2-24 端口通信参数设置

 

(3)     通过AUX口登录设备时,键入回车后,设备将要求用户输入登录密码(使用Password认证方式),正确输入登录密码并回车,将出现命令行提示符(如<H3C>),如图2-25所示。

图2-25 设备配置界面

 

(4)     键入命令,配置设备或查看设备运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。

2.6  配置通过Modem登录设备

2.6.1  通过Modem登录设备简介

网络管理员可以通过设备的AUX口,利用一对Modem和PSTN(Public Switched Telephone Network,公共电话交换网)拔号登录到设备上,对远程设备进行管理和维护。这种登录方式一般适用于在网络中断的情况下,利用PSTN网络对设备进行远程管理、维护及故障定位。

本节将为您介绍如何通过Modem登录设备,并配置登录时的认证方式、用户级别及公共属性,实现对Modem登录用户的控制。

本节将为您介绍:

·     设备支持Modem登录认证方式及配置Modem登录认证方式的意义、各种认证方式的特点及注意事项。具体请参见2.6.3  Modem拨号登录的认证方式介绍

·     当用户确定了今后通过Modem登录设备时将采用何种认证方式后、并通过缺省配置登录到设备后,用户如何在设备上配置Modem登录设备时的认证方式及用户级别,实现对Modem登录用户的控制和管理。具体请参见2.6.4  配置用户通过Modem登录设备时无需认证(None)2.6.5  配置用户通过Modem登录设备时采用密码认证(Password)2.6.6  配置用户通过Modem登录设备时采用AAA认证(Scheme)

·     配置通过Modem登录设备时的公共属性。具体请参见2.2.7  配置Console口登录方式的公共属性(可选)

2.6.2  缺省配置下如何通过Modem登录设备

缺省情况下,用户通过Modem登录设备时,设备不需要任何登录认证,缺省可以访问命令级别为0级的命令。

通过Modem登录设备的方法如下:

表2-25 通过AUX口利用Modem拨号进行远程登录需要具备的条件

配置对象

需要具备的条件

网络管理员端

PC终端与Modem正确连接

Modem与可正常使用的电话线正确相连

获取了远程设备端AUX口所连Modem上对应的电话号码

设备端

AUX口与Modem正确连接

在Modem上进行了正确的配置

Modem与可正常使用的电话线正确相连

设备上配置了登录用户的认证方式、用户级别及其它配置

 

(1)     如图2-26所示,建立远程配置环境,在PC机(或终端)的串口和设备的AUX口分别挂接Modem。

图2-26 搭建远程配置环境

 

(2)     网络管理员端的相关配置。

PC终端与Modem正确连接、Modem与可正常使用的电话线正确相连、获取了远程设备端AUX口所连Modem上对应的电话号码。

注意

通过AUX口利用Modem拨号进行远程登录时,使用的是AUX用户界面,设备上的配置需要注意以下几点:

·     AUX口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象。

·     AUX口的其它属性(AUX口校验方式、AUX口的停止位、AUX的数据位)均采用缺省值。

 

(3)     在与设备直接相连的Modem上进行以下配置。

AT&F-------------------------- Modem恢复出厂配置

ATS0=1------------------------ 配置自动应答(振铃一声)

AT&D-------------------------- 忽略DTR信号

AT&K0------------------------- 禁止流量控制

AT&R1------------------------- 忽略RTS信号

AT&S0------------------------- 强制DSR为高电平

ATEQ1&W----------------------- 禁止modem回送命令响应和执行结果并存储配置

在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果。

说明

各种Modem配置命令及显示的结果有可能不一样,具体操作请参照Modem的说明书进行。

 

(4)     在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),新建一个拨号连接(所拨号码为与设备相连的Modem的电话号码),与设备建立连接,如图2-27图2-29所示。

说明

如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的拨号控制软件,使用方法请参照软件的使用指导或联机帮助。

 

(5)     在远端通过终端仿真程序和Modem向设备拨号

图2-27 新建连接

 

图2-28 拨号号码配置

 

图2-29 在远端PC机上拨号

 

(6)     当听到拨号音后,超级终端窗口将返回字符串“CONNECT9600”,键入回车键之后将出现命令行提示符(如<H3C>),如图2-30所示。

图2-30 AUX登录界面

 

(7)     如果配置验证方式为Password,在远端的终端仿真程序上输入已配置的登录密码,出现命令行提示符(如<H3C>),即可对设备进行配置或管理。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关模块的内容。

(8)     键入命令,配置设备或查看设备运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。

说明

·     当您想断开PC与远端设备的连接时,首先在超级终端中用“ATH”命令断开modem间的连接。如果在超级终端窗口无法输入此命令,可输入“AT+ + +”并回车,待窗口显示“OK”提示后再输入“ATH”命令,屏幕再次显示“OK”提示,表示已断开本次连接。您也可以使用超级终端页面提供的挂断按扭断开PC与远端设备的连接。

·     当您使用完超级终端仿真程序后,务必要先断开PC与远端设备的连接,不能直接关闭超级终端,否则有些型号的远程modem将一直在线,下次拨号连接时将无法拨号成功。

 

2.6.3  Modem拨号登录的认证方式介绍

通过在AUX用户界面下配置认证方式,可以对使用Modem拨号登录的用户进行限制,以提高设备的安全性。Modem拨号支持的认证方式有none、passwordscheme三种。

·     认证方式为none:表示下次使用Modem拨号登录设备时,不需要进行用户名和密码认证、任何人都可以通过Modem拨号登录到设备上,这种情况可能会带来安全隐患。

·     认证方式为password:表示下次使用Modem拨号登录设备时,需要进行密码认证、只有密码认证成功、用户才能登录到设备上。配置认证方式为password后,请妥善保存密码,如果密码丢失,则无法使用该方式登录。此时,可以使用Console登录到设备,对Modem拨号的密码配置进行查看或修改。

·     认证方式为scheme:表示下次使用Modem拨号登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA”。配置认证方式为scheme后,请妥善保存用户名及密码,如果本地认证密码丢失,可以使用Console登录到设备,对Modem拨号的密码配置进行查看或修改。如果远程认证密码丢失,建议您联系服务器管理员。

不同的认证方式下,Modem拨号登录方式需要进行的配置不同,具体配置如表2-3所示。

表2-26 配置任务简介

认证方式

认证所需配置

说明

None

设置登录用户的认证方式为不认证

具体内容请参见2.6.4 

Password

设置登录用户的认证方式为Password认证

具体内容请参见2.6.5 

设置本地验证的密码

Scheme

设置登录用户的认证方式为Scheme认证

具体内容请参见2.6.6 

选择认证方案

采用远端AAA服务器认证

在设备上配置RADIUS/HWTACACS方案

在设备上配置域使用的AAA方案

在AAA服务器上配置相关的用户名和密码

采用本地认证

在设备上配置认证用户名和密码

在设备上配置域使用的AAA方案为本地认证

 

说明

改变Modem拨号登录方式的认证方式后,该认证方式的设置不会立即生效。用户需要退出命令行接口后重新登录,该设置才会生效。

 

2.6.4  配置用户通过Modem登录设备时无需认证(None)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Modem拨号登录设备时无需进行认证。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

表2-27 配置用户通过Modem拨号登录设备时无需认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

设置登录用户的认证方式为不认证

authentication-mode none

必选

缺省情况下,用户通过Modem拨号登录,认证方式为none(即不需要进行认证)

配置AUX用户界面的公共属性

-

可选

详细配置请参见2.6.7  配置AUX用户界面的公共属性(可选)

 

配置完成后,当用户再次通过Modem拨号登录设备时,设备将提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图2-31所示。

图2-31 用户通过Modem拨号登录设备时无需认证登录界面

 

2.6.5  配置用户通过Modem登录设备时采用密码认证(Password)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Modem拨号登录设备时采用密码认证、以提高设备的安全性。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

表2-28 配置用户通过Modem拨号登录设备时采用密码认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

设置登录用户的认证方式为本地密码认证

authentication-mode password

必选

缺省情况下,用户通过Modem登录,认证方式为password

设置本地验证的密码

set authentication password [ hash ] { cipher | simple } password

必选

缺省情况下,没有设置本地认证的密码

配置AUX用户界面的公共属性

-

可选

详细配置请参见2.6.7  配置AUX用户界面的公共属性(可选)

 

配置完成后,当用户再次通过Modem拨号登录设备时,键入回车后,设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-32所示。

图2-32 用户通过Modem拨号登录设备时采用密码认证登录界面

 

2.6.6  配置用户通过Modem登录设备时采用AAA认证(Scheme)

1. 配置前提

用户已经成功的登录到了设备上,并希望以后通过Modem拨号登录设备时采用AAA认证、以提高设备的安全性。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

表2-29 配置用户通过Modem拨号登录设备时采用AAA认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

设置登录用户的认证方式为通过认证方案认证

authentication-mode scheme

必选

具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定

缺省情况下,用户通过Modem登录,认证方式为password

使能命令行授权功能

command authorization

可选

·     缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权

·     缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。

使能命令行计费功能

command accounting

可选

·     缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行

·     命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。

退出至系统视图

quit

-

配置设备采用的认证方案

进入ISP域视图

domain domain-name

可选

缺省情况下,系统使用的AAA方案为local

如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:

·     设备上的RADIUS、HWTACACS方案配置请参见“安全配置指导”中的“AAA”

·     AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书

配置域使用的AAA方案

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

退出至系统视图

quit

创建本地用户(进入本地用户视图)

local-user user-name

必选

缺省情况下,无本地用户

设置本地用户认证密码

password [ [ hash ] { cipher | simple  } password ]

必选

设置本地用户的命令级别

authorization-attribute level level

可选

缺省情况下,命令级别为0

设置本地用户的服务类型

service-type terminal

必选

缺省情况下,无用户服务类型

配置AUX用户界面的公共属性

-

可选

详细配置请参见2.6.7  配置AUX用户界面的公共属性(可选)

 

说明

使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:

·     需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;

·     需要在ISP域中引用已创建的HWTACACS方案。

详细介绍请参见“安全配置指导/AAA”中的“配置ISP域的AAA授权方案”。

 

说明

需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。

·     AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。

·     AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。

有关AAA、RADIUS、HWTACACS的详细内容,请参见“安全配置指导”中的“AAA”。

 

配置完成后,当用户再次通过Modem拨号登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-6所示。

图2-33 用户通过Modem拨号登录设备时AAA认证登录界面

 

2.6.7  配置AUX用户界面的公共属性(可选)

表2-30 AUX用户界面的公共属性配置

操作

命令

说明

进入系统视图

system-view

-

建立Telnet重定向监听端口与IP地址的对应关系

ip alias ip-address port-number

可选

缺省情况下,Telnet重定向监听端口与IP地址没有对应关系

用户和设备A相连,设备A通过异步串口和设备B相连。在设备A上配置redirect enableredirect listen-port port-number后,用户就可以使用“telnet 设备A的IP地址 port-number”来登录设备B,相当于用户直接Telnet登录设备B。如果再使用ip alias ip-address port-number建立Telnet重定向监听端口与IP地址的对应关系后,用户就可以直接执行“telnet ip-address”来登录设备B

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

配置传输速率

speed speed-value

可选

缺省情况下,传输速率为9600bit/s

传输速率为设备与访问终端之间每秒钟传送的比特的个数

配置校验方式

parity { even | mark | none | odd | space }

可选

缺省情况下,校验方式为none,即不进行校验

配置停止位

stopbits { 1 | 1.5 | 2 }

可选

缺省情况下,停止位为1

停止位用来表示单个包的结束。停止位的位数越多,传输效率越低

配置数据位

databits { 5 | 6 | 7 | 8 }

可选

缺省情况下,数据位为8位

数据位的设置取决于需要传送的信息。比如,如果传送的是标准的ASCII码,则可以将数据位设置为7,如果传输的是扩展的ASCII码,则需要将数据位设置为8

配置启动终端会话的快捷键

activation-key character

可选

缺省情况下,按<Enter>键启动终端会话

配置中止当前运行任务的快捷键

escape-key { default | character }

可选

缺省情况下,键入<Ctrl+C>中止当前运行的任务

配置流量控制方式

flow-control { hardware | none | software }

flow-control hardware flow-control-type1 [ software flow-control-type2 ]

flow-control software flow-control-type1 [ hardware flow-control-type2 ]

可选

缺省情况下,进行硬件方式的流量控制

配置终端的显示类型

terminal type { ansi | vt100 }

可选

缺省情况下,终端显示类型为ANSI

当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型

设置用户登录后可以访问的命令级别

user privilege level level

可选

缺省情况下,从AUX用户界面登录后可以访问的命令级别为0级

设置终端屏幕一屏显示的行数

screen-length screen-length

可选

缺省情况下,终端屏幕一屏显示的行数为24行

screen-length 0表示关闭分屏显示功能

设置历史命令缓冲区大小

history-command max-size value

可选

缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令

设置用户界面的超时时间

idle-timeout minutes [ seconds ]

可选

缺省情况下,所有的用户界面的超时时间为10分钟,如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开

idle-timeout 0表示关闭用户界面的超时功能

设置呼入连接建立时,用户从摘机到拨号的有效间隔时间

modem timer answer time

可选

缺省情况下,拨号超时时间为60秒

设置Modem为自动应答方式

modem auto-answer

可选

缺省情况下,Modem的应答方式为手动应答

使能Modem的呼入/呼出功能

modem { both | call-in | call-out }

可选

缺省情况下,Modem的呼入和呼出功能处于禁止状态

使能当前用户界面的Telnet重定向功能

redirect enable

可选

缺省情况下,用户界面重定向功能被禁止

用户和设备A相连,能够Telnet登录到设备A;设备A通过异步串口和设备B相连,如果设备B要给用户提供Telnet服务,但又不方便告知用户IP地址时,可以在设备A上配置Telnet重定向功能,则用户执行“telnet 设备A的IP地址 特定端口号”(该端口号由redirect listen-port命令决定)能够登录设备B,相当于用户直接Telnet登录设备B

设置Telnet重定向的监听端口

redirect listen-port port-number

可选

缺省情况下,Telnet重定向的监听端口号为用户界面的绝对编号加2000

强制设置在建立Telnet重定向连接时不进行Telnet选项协商

redirect refuse-negotiation

可选

缺省情况下,进行Telnet选项协商

设置在建立Telnet重定向连接时不对ACSII码0xff进行转义

redirect refuse-teltransfer

可选

缺省情况下,在建立Telnet重定向连接时会将ACSII码0xff转义为0xff 0xff

设置Telnet重定向设备对从Telnet客户端接收到的回车符进行处理,即将接收到的“0x0d 0x0a”和“0x0d 0x00”统一修改为“0x0d”

redirect return-deal from-telnet

可选

缺省情况下,设备不对从Telnet客户端接收到的回车符进行处理

设置当设备进行Telnet重定向时对从终端(例如从Console口连接的PC)接收到的回车符进行处理,即将接收到的“0x0d 0x0a”和“0x0d 0x00”统一修改为“0x0d”

redirect return-deal from-terminal

可选

缺省情况下,当设备进行Telnet重定向时不会对从终端接收到的回车符进行处理,而是直接转发

设置Telnet重定向的空闲超时时间

redirect timeout time

可选

缺省情况下,设备Telnet重定向的空闲超时时间为360秒

如果在指定的时间内没有从Telnet客户端接收到数据,则断开Telnet重定向连接

强制断开已经建立的Telnet重定向连接

redirect disconnect

可选

 

注意

·     改变AUX口属性后会立即生效,通过AUX口登录来配置AUX口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置AUX口属性。若用户需要通过AUX口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的AUX口属性保持一致。

·     AUX口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象。

 

2.7  CLI登录显示和维护

表2-31 CLI显示和维护

操作

命令

说明

显示当前正在使用的用户界面以及用户的相关信息

display users [ | { begin | exclude | include } regular-expression ]

在任意视图下执行

显示设备支持的所有用户界面以及用户的相关信息

display users all [ | { begin | exclude | include } regular-expression ]

在任意视图下执行

显示用户界面的相关信息

display user-interface [ num1 | { aux | console | vty } num2 ] [ summary ] [ | { begin | exclude | include } regular-expression ]

在任意视图下执行

显示设备作为Telnet客户端的相关配置信息

display telnet client configuration [ | { begin | exclude | include } regular-expression ]

在任意视图下执行

释放指定的用户界面

free user-interface { num1 | { aux | console | vty } num2 }

在用户视图下执行

系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以使用以下命令强制断开该用户的连接。

不能使用该命令释放用户当前自己使用的连接。

锁住当前用户界面

lock

在用户视图下执行

缺省情况下,不会自动锁住当前用户界面

设置在用户界面之间传递消息

send { all | num1 | { aux | console | vty } num2 }

在用户视图下执行

 


3 配置通过NMS登录设备

说明

在FIPS模式下不支持通过NMS登录设备。

 

3.1  通过NMS登录设备简介

用户可通过NMS(Network Management Station,网管工作站)登录到设备上,通过设备上的Agent模块对设备进行管理、配置。设备支持多种NMS软件,如iMC、CAMS等。

缺省情况下,用户不能通过NMS登录到设备上,如果要使用NMS登录设备,您首先需要通过Console口登录到设备上,在设备上进行相关配置。配置完成后,您即可使用NMS网管的方式登录设备。

表3-1 通过NMS登录设备需要具备的条件

对象

需要具备的条件

设备

配置设备接口的IP地址,设备与NMS间路由可达

配置SNMP基本功能

NMS(网管工作站)

NMS网管工作站进行了正确配置,具体配置请参见NMS附带的网管手册

 

3.2  配置通过NMS登录设备

建立配置环境,将PC机以太网口通过网络与Router的以太网口连接,确保PC机和Router接口之间路由可达。

图3-1 通过NMS方式登录组网环境

 

表3-2 配置SNMP基本参数(SNMP v3版本)

操作

命令

说明

进入系统视图

system-view

-

启动SNMP Agent服务

snmp-agent

可选

缺省情况下,SNMP Agent服务处于关闭状态

执行此命令或执行snmp-agent的任何一条配置命令(不含display命令),都可以启动SNMP Agent

配置SNMP组

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

必选

缺省情况下,没有配置SNMP组

为SNMP组添加新用户

snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

必选

 

表3-3 配置SNMP基本参数(SNMP v1版本、SNMP v2c版本)

操作

命令

说明

进入系统视图

system-view

-

启动SNMP Agent服务

snmp-agent

可选

缺省情况下,SNMP Agent服务处于关闭状态。

执行此命令或执行snmp-agent的任何一条配置命令,都可以启动SNMP Agent

创建或更新MIB视图内容

snmp-agent mib-view { excluded | included  } view-name oid-tree [ mask mask-value ]

可选

缺省情况下,视图名为ViewDefault,OID为1

设置访问权限

直接设置

创建一个新的SNMP团体

snmp-agent community { read | write } community-name [ mib-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

二者必选其一

直接设置是以SNMP v1和v2c版本的团体名进行设置

间接设置采用与SNMP v3版本一致的命令形式,添加的用户到指定的组,即相当于SNMP v1和SNMP v2c版本的团体名,在NMS上配置的团体名需要跟Agent上配置的用户名一致

间接设置

设置一个SNMP组

snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

为一个SNMP组添加一个新用户

snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number | acl ipv6 ipv6-acl-number ] *

 

说明

Router支持SNMP v1、SNMP v2c和SNMP v3三种版本,关于SNMP的详细介绍及配置,请参见“网络管理和监控配置指导”中的“SNMP”。

 

3.3  通过NMS登录设备典型配置举例

1. 组网需求

使用SNMPv3版本通过NMS对设备进行自动管理。

2. 组网图

图3-2 通过NMS登录设备典型配置组网图

 

(1)     配置Device

# 配置设备的IP地址为1.1.1.1/24,并确保设备与NMS之间路由可达。(配置步骤略)

# 进入系统视图。

<Router> system-view

# 启动SNMP Agent服务。

[Router] snmp-agent

# 配置SNMP组。

[Router] snmp-agent group v3 managev3group

# 为SNMP组添加新用户

[Router] snmp-agent usm-user v3 managev3user managev3group

(2)     配置NMS

用户可利用网管系统完成对Router的查询和配置操作,具体情况请参考NMS的配套手册。

说明

NMS侧的版本、用户名配置必须和设备侧保持一致,否则无法进行相应操作。

 


4 对登录用户的控制

4.1  对登录用户的控制简介

设备提供对不同登录方式进行控制,如表4-1所示。

表4-1 对登录用户的控制

登录方式

控制方式

实现方法

相关小节

Telnet

通过源IP对Telnet进行控制

通过基本ACL实现

4.2.2 

通过源IP、目的IP对Telnet进行控制

通过高级ACL实现

4.2.3 

通过源MAC对Telnet进行控制

通过二层ACL实现

4.2.4 

SNMP

通过源IP对网管用户进行控制

通过基本ACL实现

4.3.2 

 

4.2  配置对Telnet用户的控制

4.2.1  配置准备

确定了对Telnet的控制策略,包括对哪些源IP、目的IP、源MAC进行控制,控制的动作是允许访问还是拒绝访问。

4.2.2  通过源IP对Telnet进行控制

本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。

表4-2 通过源IP对Telnet进行控制

操作

命令

说明

进入系统视图

system-view

-

创建或进入基本ACL视图

acl [ ipv6 ] number acl-number [ name name ] [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

为IPv4基本ACL创建规则

rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { sour-addr sour-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *

如果是IPv4组网环境,该步骤必选

缺省情况下,IPv4基本ACL内不存在任何规则

为IPv6基本ACL创建规则

rule [ rule-id ] { deny | permit } [ counting | fragment | logging | routing [ type routing-type ] | source { ipv6-address prefix-length | ipv6-address/prefix-length | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *

如果是IPv6组网环境,该步骤必选

缺省情况下,IPv6基本ACL内不存在任何规则

退出ACL视图

quit

-

进入用户界面视图

user-interface [ type ] first-number [ last-number ]

-

引用访问控制列表,通过源IP对Telnet进行控制

acl [ ipv6 ] acl-number { inbound | outbound }

必选

inbound:对Telnet到本设备的用户进行ACL控制

outbound:对从本设备Telnet到其他Telnet服务器的用户进行ACL控制

 

4.2.3  通过源IP、目的IP对Telnet进行控制

本配置需要通过高级访问控制列表实现。高级访问控制列表的序号取值范围为3000~3999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。

表4-3 配置高级ACL规则

操作

命令

说明

进入系统视图

system-view

-

创建或进入高级ACL视图

acl [ ipv6 ] number acl-number [ name name ] [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } rule-string

必选

用户可以根据需要配置对相应的源IP、目的IP进行过滤的规则

退出ACL视图

quit

-

进入用户界面视图

user-interface [ type ] first-number [ last-number ]

-

引用访问控制列表,通过源IP、目的IP对Telnet进行控制

acl [ ipv6 ] acl-number { inbound | outbound }

必选

inbound:对Telnet到本设备的用户进行ACL控制

outbound:对从本设备Telnet到其他Telnet服务器的用户进行ACL控制

 

4.2.4  通过源MAC地址对Telnet进行控制

本配置需要通过二层访问控制列表实现。二层访问控制列表的序号取值范围为4000~4999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。

表4-4 配置二层ACL规则

操作

命令

说明

进入系统视图

system-view

-

创建或进入二层ACL视图

acl number acl-number [[ name name ] match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } rule-string

必选

用户可以根据需要配置对相应的源MAC进行过滤的规则

退出ACL视图

quit

-

进入用户界面视图

user-interface [ type ] first-number [ last-number ]

-

引用访问控制列表,通过源MAC对Telnet进行控制

acl acl-number inbound

必选

inbound:对Telnet到本设备的用户进行ACL控制

 

说明

二层访问控制列表对于Telnet Client的源IP与Telnet服务器的接口IP不在同一网段的不生效。

 

4.2.5  配置举例

1. 组网需求

通过源IP对Telnet进行控制,仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问Router。

2. 组网图

图4-1 对Router的Telnet用户进行ACL控制

 

3. 配置步骤

# 定义基本访问控制列表。

<Router> system-view

[Router] acl number 2000 match-order config

[Router-acl-basic-2000] rule 1 permit source 10.110.100.52 0

[Router-acl-basic-2000] rule 2 permit source 10.110.100.46 0

[Router-acl-basic-2000] quit

# 引用访问控制列表,允许源地址为10.110.100.52和10.110.100.46的Telnet用户访问Router。

[Router] user-interface vty 0 4

[Router-ui-vty0-4] acl 2000 inbound

4.3  通过源IP对网管用户进行控制

设备支持通过网管软件进行远程管理。网管用户可以通过SNMP访问设备。通过引用访问控制列表,可以对访问设备的SNMP用户进行控制。

4.3.1  配置准备

确定了对网管用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。

4.3.2  通过源IP对网管用户进行控制

本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。

表4-5 通过源IP对网管用户进行控制

操作

命令

说明

进入系统视图

system-view

-

创建或进入基本ACL视图

acl [ ipv6 ] number acl-number [ name name ] [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { sour-addr sour-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] *

必选

退出ACL视图

quit

-

在配置SNMP团体名的命令中引用访问控制列表

snmp-agent community { read | write } community-name [ mib-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

请根据实际应用选择

根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组名或者用户名配置时引用访问控制列表,详细介绍请参见“网络管理和监控配置指导”中的“SNMP”

在配置SNMPv1/v2c组名的命令中引用访问控制列表

snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

在配置SNMPv3组名的命令中引用访问控制列表

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

在配置SNMPv1/v2c用户名的命令中引用访问控制列表

snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number | acl ipv6 ipv6-acl-number ] *

在配置SNMPv3用户名的命令中引用访问控制列表

snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

 

4.3.3  配置举例

1. 组网需求

通过源IP对网管用户进行控制,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问Router。

2. 组网图

图4-2 对SNMP用户进行ACL控制

 

3. 配置步骤

# 定义基本访问控制列表。

<Router> system-view

[Router] acl number 2000 match-order config

[Router-acl-basic-2000] rule 1 permit source 10.110.100.52 0

[Router-acl-basic-2000] rule 2 permit source 10.110.100.46 0

[Router-acl-basic-2000] quit

# 引用访问控制列表,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问Router。

[Router] snmp-agent community read aaa acl 2000

[Router] snmp-agent group v2c groupa acl 2000

[Router] snmp-agent usm-user v2c usera groupa acl 2000

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!