01-登录交换机典型配置举例
本章节下载: 01-登录交换机典型配置举例 (234.63 KB)
本章介绍了通过Console口和Telnet两种登录方式,并介绍了对登录用户进行命令行授权和命令行计费。
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图1-1所示,PC机的串口通过配置电缆与设备的Console口连接。现要求用户能通过设备的Console口登录到交换机,并且下次通过Console口登录时需要本地认证,以提高设备的安全性。
图1-1 通过Console口登录交换机的组网图
· 缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)。因此,只要用户终端的通信参数配置和交换机Console口的缺省配置保持一致,就能通过Console口登录到以太网交换机上。交换机Console口的缺省配置如下:
表1-2 交换机Console口缺省配置
属性 |
缺省配置 |
传输速率 |
9600bit/s |
流控方式 |
不进行流控 |
校验方式 |
不进行校验 |
停止位 |
1 |
数据位 |
8 |
· 要对下次Console口登录的用户进行本地认证,需配置Console口登录的认证方式为scheme,并且需要创建本地用户和设置用户密码。
· 缺省情况下,本地用户无服务类型,授权用户角色为network-operator。因此,需要设置本地用户的服务类型为terminal,授权用户角色为network-admin,才能使用户成功登录并在登录后对设备进行管理和配置。
# 在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),选择与交换机相连的串口,如图1-2至图1-3所示。
如果您的PC使用的是Windows Server 2003操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理交换机;如果您的PC使用的是Windows Server 2008、Windows 7 、Windows Vista或其它操作系统,请您准备第三方的终端控制软件,使用方法请参照软件的使用指导或联机帮助。
# 设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图1-4所示。
# 以太网交换机上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如<H3C>)。输入命令,配置交换机或查看交换机运行状态。需要帮助可以随时键入“?”。
# 进入AUX用户界面视图。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface aux 0
# 设置通过Console口登录交换机的用户进行Scheme认证。
[Sysname-ui-aux0] authentication-mode scheme
[Sysname-ui-aux0] quit
# 进入系统视图,创建本地用户admin,并进入本地用户视图。
[Sysname] local-user guest
New local user added.
# 设置本地用户的认证口令为明文方式,口令为123。
[Sysname-luser-manage-guest] password simple 123
# 设置本地用户的服务类型为Terminal,授权用户角色为network-admin。
[Sysname-luser-manage-guest] service-type terminal
[Sysname-luser-manage-guest] authorization-attribute user-role network-admin
[Sysname-luser-manage-guest] quit
配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名和密码并回车,登录界面中将出现命令行提示符(如<H3C>)。
#
local-user guest class manage
password hash $h$6$R1DZqFZrkA93GMAf$th9k1FcsjqRRy1A2reQXQkfmnTBSr/7//80W5gKuyeHYxNor/FVNl4tbBQLhaGeY5XFrVr1+WopPcC+dfaumgg==
service-type terminal
authorization-attribute user-role network-admin
#
user-interface aux 0
authentication-mode scheme
表1-3 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图1-5所示,Host A、Host B、Host C到Device均路由可达。现要求仅允许来自源IP为192.168.0.46和192.168.0.52的Telnet用户无需认证就能登录设备,并在登录后对设备进行管理和配置,而其他Telnet用户无法登录设备。
图1-5 通过Telnet登录交换机配置
· 缺省情况下,设备的 Telnet服务处于关闭状态,因此需要通过Console登录后开启设备的Telnet服务功能。
· 缺省情况下,VTY用户的用户角色为network-operator。因此,需要设置VTY用户的用户角色为network-admin,才能使用户对设备进行管理和配置。
# 进入系统视图,开启Telnet服务。
<Sysname> system-view
[Sysname] telnet server enable
# 设置通过VTY用户界面登录交换机的Telnet用户不需要进行认证。
[Sysname] user-interface vty 0 15
[Sysname-ui-vty0-15] authentication-mode none
# 配置VTY用户登录系统的用户角色为network-admin。
[Sysname-ui-vty0-15] user-role network-admin
[Sysname-ui-vty0-15] quit
# 创建并进入基本ACL视图。
[Sysname] acl number 2000
# 定义规则,仅允许来自192.168.0.52和192.168.0.46的Telnet用户访问交换机。
[Sysname-acl-basic-2000] rule 1 permit source 192.168.0.52 0
[Sysname-acl-basic-2000] rule 2 permit source 192.168.0.46 0
[Sysname-acl-basic-2000] rule 3 deny source any
[Sysname-acl-basic-2000] quit
# 引用访问控制列表2000,通过源IP对Telnet用户进行控制。
[Sysname] telnet server acl 2000
配置完成后,Host A与Host B能通过Telnet登录设备,但Host C无法通过Telnet登录设备。
#
telnet server enable
telnet server acl 2000
#
acl number 2000
rule 1 permit source 192.168.0.52 0
rule 2 permit source 192.168.0.46 0
rule 3 deny
#
user-interface vty 0 15
authentication-mode none
user-role network-admin
#
表1-1 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
某公司组网如图1-6所示,为了保证交换机能够安全的运行,在交换机使用过程中,需要对登录用户进行限制:
· 用户通过Console口或Telnet登录设备时需要输入用户名和密码,认证通过后才可登录、操作设备。
· 优先使用HWTACACS远程认证,如果HWTACACS服务器故障或者链路故障,则使用本地认证。
· 使用HWTACACS服务器作为命令行授权服务器,只有授权成功的命令才允许执行。如果HWTACACS服务器故障导致授权失败,则采用本地授权。
要使用远程认证和授权,并以本地认证和授权作为备选方案,需:
· 配置HWTACACS方案和授权服务器的IP地址。
· 创建Console用户和Telnet用户,并分别设置其用户属性。
· 分别在AUX用户界面和VTY用户界面执行command authorization命令,并在ISP域下配置命令行授权方法。
执行command authorization命令后,命令行授权功能将立即生效,用户执行的命令只有授权成功后才被允许执行。因此,请先在HWTACACS服务器上配置相应用户及用户可以使用的命令行,再在设备上配置命令行授权功能对应的HWTACACS方案。
# 在设备上配置IP地址,以保证Device分别与Host B、Host C、HWTACACS server之间路由可达。(配置步骤略)
# 配置HWTACACS方案:认证服务器的IP地址:UDP端口号为192.168.2.20:1812(该端口号必须和HWTACACS服务器上的设置一致),报文的加密密码是expert。
<Device> system-view
[Device] hwtacacs scheme tac
[Device-hwtacacs-tac] primary authentication 192.168.2.20 1812
[Device-hwtacacs-tac] key authentication simple expert
# 配置授权服务器的IP地址:TCP端口号为192.168.2.20:49(该端口号必须和HWTACACS服务器上的设置一致),报文的加密密码是expert。
[Device-hwtacacs-tac] primary authorization 192.168.2.20 49
[Device-hwtacacs-tac] key authorization simple expert
[Device-hwtacacs-tac] user-name-format without-domain
[Device-hwtacacs-tac] quit
# 在缺省域下,配置login用户使用hwtacacs-scheme方案tac进行认证和命令行授权,并使用local作为备选认证和授权方法。
[Device] domain system
[Device-isp-system] authentication login hwtacacs-scheme tac local
[Device-isp-system] authorization command hwtacacs-scheme tac local
[Device-isp-system] quit
# 配置Console口用户(Host A)本地认证所需参数:创建本地用户adminc,密码为adminc,使用的服务类型为terminal,授权用户角色为network-admin。
[Device] local-user adminc
[Device-luser-manage-adminc] password simple adminc
[Device-luser-manage-adminc] service-type terminal
[Device-luser-manage-adminc] authorization-attribute user-role network-admin
[Device-luser-manage-adminc] quit
# 配置Telnet用户(Host B)本地认证所需参数:创建本地用户admint,密码为admint,可使用的服务类型为telnet,授权用户角色为network-admin。
[Device] local-user admint
[Device-luser-manage-admint] password simple admint
[Device-luser-manage-admint] service-type telnet
[Device-luser-manage-admint] authorization-attribute user-role network-admin
[Device-luser-manage-admint] quit
# 开启设备的Telnet服务器功能,以便telnet用户可以访问设备。
[Device] telnet server enable
# 配置Console用户界面的认证方式为scheme,即用户通过Console口登录设备时,需要输入用户名和密码进行AAA认证。
[Device] user-interface aux 0
[Device-ui-aux0] authentication-mode scheme
# 使能Console口登录用户的命令行授权功能,限制用户只能使用授权成功的命令。
[Device-ui-aux0] command authorization
[Device-ui-aux0] quit
# 配置VTY用户界面的认证方式为scheme,用户角色为network-admin。
[Device] user-interface vty 0 15
[Device-ui-vty0-15] authentication-mode scheme
# 使能Telnet或者SSH用户命令行授权功能,限制用户只能使用授权成功的命令。
[Device-ui-vty0-15] command authorization
[Device-ui-vty0-15] quit
# 按1.4.2 中的内容进行验证,如能实现,则表示上述配置成功。
#
telnet server enable
#
user-interface aux 0
authentication-mode scheme
command authorization
#
user-interface vty 0 15
authentication-mode scheme
command authorization
#
hwtacacs scheme tac
primary authentication 192.168.2.20 1812
primary authorization 192.168.2.20
key authentication cipher $c$3$FXiz27yo30K7lGsWqrc6skZDpX8+PIBLNQ==
key authorization cipher $c$3$Nv66yberLu35cO+Faby9wY9LwmUHJXeekg==
user-name-format without-domain
#
domain system
authentication login hwtacacs-scheme tac local
authorization command hwtacacs-scheme tac local
#
local-user adminc class manage
password hash $h$6$wbU0m+ZTRgUENvWl$arSsauK2X85OVbJo+TzLOl0AcH3klbKRWLXDdlVEAEUucfCFAXjHDKFdhsclBci0bW3+M8zsEuWIaYV6Xarw1g==
service-type terminal
authorization-attribute user-role network-admin
#
local-user admint class manage
password hash $h$6$9mVCOb4kH1bbnTMG$5Z5gO245ak/GiYnrnqEQc/G9YyG1MOOcfA/g20CGWjUMdhAGIJ134dN2G7LerhqiIofo3F0HwlvxFUHSTvrs9A==
service-type telnet
authorization-attribute user-role network-admin
#
表1-2 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
某公司组网如图1-7所示,为了保证交换机能够安全的运行,在交换机使用过程中,需要对登录用户进行限制:
· 用户通过Console口或Telnet登录设备时需要输入用户名和密码,认证通过后才可登录、操作设备。
· 优先使用HWTACACS远程认证,如果HWTACACS服务器故障或者链路故障,则使用本地认证。
· 使用命令行计费功能使HWTACACS服务器对登录用户执行过的所有命令进行记录。
· 要使用远程认证,并以本地认证作为备选认证方法,需:
¡ 配置HWTACACS方案。
¡ 创建Console用户和Telnet用户,并分别设置其用户属性。
· 要对认证通过的Console用户和Telnet用户都进行命令行计费,需要分别在AUX用户界面和VTY用户界面执行command accounting命令,并在ISP域视图下配置命令行计费方法。
# 在设备上配置IP地址,以保证Device分别与Host B、Host C、HWTACACS server之间路由可达。(配置步骤略)
# 配置HWTACACS方案:认证服务器的IP地址:UDP端口号为192.168.2.20:1812(该端口号必须和HWTACACS服务器上的设置一致),报文的加密密码是expert。
<Device> system-view
[Device] hwtacacs scheme tac
[Device-hwtacacs-tac] primary authentication 192.168.2.20 1812
[Device-hwtacacs-tac] key authentication simple expert
# 配置计费服务器的IP地址:TCP端口号为192.168.2.20:49(该端口号必须和HWTACACS服务器上的设置一致),报文的加密密码是expert。
[Device-hwtacacs-tac] primary accounting 192.168.2.20 49
[Device-hwtacacs-tac] key accounting simple expert
[Device-hwtacacs-tac] user-name-format without-domain
[Device-hwtacacs-tac] quit
# 在缺省域下,配置login用户使用hwtacacs-scheme方案tac进行认证和命令行计费,并使用local作为备选认证方法。
[Device] domain system
[Device-isp-system] authentication login hwtacacs-scheme tac local
[Device-isp-system] accounting command hwtacacs-scheme tac
[Device-isp-system] quit
# 配置Console口用户(Host A)本地认证所需参数:创建本地用户adminc,密码为adminc,可使用的服务类型为terminal,授权用户角色为network-admin。
[Device] local-user adminc
[Device-luser-manage-adminc] password simple adminc
[Device-luser-manage-adminc] service-type terminal
[Device-luser-manage-adminc] authorization-attribute user-role network-admin
[Device-luser-manage-adminc] quit
# 配置Telnet用户(Host B)本地认证所需参数:创建本地用户admint,密码为admint,可使用的服务类型为telnet,授权用户角色为network-operator。
[Device] local-user admint
[Device-luser-manage-admint] password simple admint
[Device-luser-manage-admint] service-type telnet
[Device-luser-manage-admint] authorization-attribute user-role network-operator
[Device-luser-manage-admint] quit
# 开启设备的Telnet服务器功能,以便telnet用户可以访问设备。
[Device] telnet server enable
# 配置Console用户界面的认证方式为scheme,即用户通过Console口登录设备时,需要输入用户名和密码进行AAA认证。
[Device] user-interface aux 0
[Device-ui-aux0] authentication-mode scheme
# 开启Console口登录用户的命令行计费功能,用户执行的命令需要发送到HWTACACS服务器进行记录。
[Device-ui-aux0] command accounting
[Device-ui-aux0] quit
# 配置VTY用户界面的认证方式为scheme,用户角色为network-admin。
[Device] user-interface vty 0 15
[Device-ui-vty0-15] authentication-mode scheme
# 开启Telnet或者SSH用户命令行计费功能,用户执行的命令需要发送到HWTACACS服务器进行记录。
[Device-ui-vty0-15] command accounting
[Device-ui-vty0-15] quit
# 按1.5.2 中的内容进行验证,如能实现,则表示上述配置成功。
#
telnet server enable
#
hwtacacs scheme tac
primary authentication 192.168.2.20 1812
primary accounting 192.168.2.20
key authentication cipher $c$3$2CoitG8Bv/pXpRVVeXZqVcOEwOYIStxviw==
key accounting cipher $c$3$3J4gt4wqCQoAVEFSqGIbW5kQW+C0kKN0kg==
user-name-format without-domain
#
domain system
authentication login hwtacacs-scheme tac local
accounting command hwtacacs-scheme tac
#
local-user adminc class manage
password hash $h$6$8ImBlxRLI6rEAXsY$WOi2HrT5xYRRN8ylN74lqEk/ee3JzqtLW7xYlX8LqxTVdyBROk2wD2IS3FPsL8NW06brD/wtsrOGA79BjZIlnQ==
service-type terminal
authorization-attribute user-role network-admin
#
local-user admint class manage
password hash $h$6$fDujw2DCcq4gD1zu$gDQHvxjeeq4cRT4bwDEDxVnuPunQHiJvLRuAPtgE8EsRKK9BBAqdDyT+AfPEJXmV7wzgry6x3YaF3T4PmHq7Ig==
service-type telnet
authorization-attribute user-role network-admin
#
user-interface aux 0
authentication-mode scheme
command accounting
user-interface vty 0 15
authentication-mode scheme
command accounting
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!