00-H3C SR8800 登录认证典型配置举例
本章节下载: 00-H3C SR8800 登录认证典型配置举例 (151.74 KB)
H3C SR8800登录认证配置举例
Copyright © 2014 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
目 录
本文档介绍了通过Console口方式和Telnet方式登录认证的配置举例。
SR8800支持的认证方式有none、password和scheme三种。
· none表示登录时不需要输入用户名和密码。
· password表示登录时需要输入密码进行认证。
· scheme表示登录时需要输入用户名和密码进行认证。
用户可以通过以下几种方式登录到SR8800的命令行界面,对SR8800进行配置和管理。
表1 登录方式简介
登录方式 |
缺省状况 |
通过Console口进行本地登录 |
缺省情况下,您可以直接通过Console口本地登录路由器,登录时认证方式为None(不需要用户名和密码),登录用户级别为3 |
通过Telnet进行远程登录 |
缺省情况下,您不能直接通过Telnet方式登录路由器。如需采用Telnet方式登录,需要先通过Console口本地登录路由器、并完成如下配置: · 开启路由器Telnet Server功能(缺省情况下,路由器的Telnet Server功能处于关闭状态) · 配置路由器网管口的IP地址,确保路由器与Telnet登录用户间路由可达(缺省情况下,路由器没有IP地址) · 配置VTY用户的认证方式(缺省情况下,VTY用户采用password认证方式) · 配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0) |
通过SSH进行远程登录 |
缺省情况下,您不能直接通过SSH方式登录路由器。如需采用SSH方式登录,需要先通过Console口本地登录路由器、并完成如下配置: · 开启路由器SSH Server功能并完成SSH属性的配置(缺省情况下,路由器的SSH Server功能处于关闭状态) · 配置路由器三层接口的IP地址,确保路由器与Telnet登录用户间路由可达(缺省情况下,路由器没有IP地址) · 配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用Password认证方式) · 配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0) 关于通过SSH进行远程登录的典型配置举例,请参见“H3C SR8800 SSH典型配置举例” |
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解登录认证特性。
如图1所示,将PC的串口通过配置电缆与Router A的Console口连接。要求在Router A上配置本地认证方式,使用户通过Console口登录Router A时需要输入用户名和密码(用户名和密码均为test)。
图1 本地Console认证方式组网图
本例的需求是配置本地认证方式、登录时需要输入用户名和密码,因此选择scheme认证方式,且需要配置本地用户名和本地认证的密码。
当使用Console口用户界面用户登录时,本地用户的服务类型需要配置为terminal。
对于scheme本地认证方式,用户登录后所能访问的命令级别由本地用户的级别确定,缺省为0(访问级),为了使用户登录后能正常使用设备上的所有命令,建议将本地用户的级别配置为3(管理级)。
本举例是在SR8800-CMW520-R3725版本上进行配置和验证的。
# 配置Console口登录设备的认证方式为scheme。
<RouterA> system-view
[RouterA] user-interface console 0
[RouterA-ui-console0] authentication-mode scheme
[RouterA-ui-console0] quit
# 配置本地用户,用户名为test,密码为test,配置服务类型为terminal,本地用户级别为管理级。
[RouterA] local-user test
[RouterA-luser-test] password simple test
[RouterA-luser-test] authorization-attribute level 3
[RouterA-luser-test] service-type terminal
[RouterA-luser-test] quit
通过Console口登录RouterA时,会跳出下面的界面要求输入用户名和密码,输入正确后才能进入设备用户界面进行操作。
User interface con0 is available.
Please press ENTER.
Login authentication
Username:test
Password:
<RouterA> system-view
System View: return to User View with Ctrl+Z.
[RouterA]
#
domain default enable system
#
local-user test
password cipher $c$3$DE9ZKZ42sq42584hbTlqx6L74Ar8go4=
authorization-attribute level 3
service-type terminal
#
user-interface con 0
authentication-mode scheme
#
如图2所示,将PC的网口通过网线与Router A的GE3/1/1接口连接。要求在Router A上配置,使用户通过Telnet方式登录Router A时需要输入密码(密码为test)。
图2 本地Telnet认证方式组网图
由于采用Telnet方式登录,需要先开启路由器的Telnet Server功能,并在VTY用户界面下配置认证方式和用户级别。
本例要求登录时需要输入密码,因此选择password认证方式。
由于缺省情况下,VTY用户的用户级别为0(访问级),为了使用户登录后能正常使用设备上的所有命令,建议将VTY用户的级别配置为3(管理级)。
本举例是在SR8800-CMW520-R3725版本上进行配置和验证的。
# 使能Telnet服务器功能。
<RouterA> system-view
[RouterA] telnet server enable
# 配置接口GE3/1/1的IP地址。
[RouterA] interface GigabitEthernet 3/1/1
[RouterA-GigabitEthernet3/1/1] ip address 15.15.1.1 16
[RouterA-GigabitEthernet3/1/1] quit
# 配置部分Telnet用户登录设备的认证方式为password,密码为test,用户级别为3。
[RouterA] user-interface vty 0 5
[RouterA-ui-vty0-5] authentication-mode password
[RouterA-ui-vty0-5] set authentication password simple test
[RouterA-ui-vty0-5] user privilege level 3
[RouterA-ui-vty0-5] quit
在PC命令窗口下执行Telnet到设备,会跳出下面的界面要求输入用户名和密码,输入密码test能够正确登录到设备上进行操作。
Login authentication
password :
<RouterA>
#
domain default enable system
#
telnet server enable
#
interface GigabitEthernet3/1/1
port link-mode route
ip address 15.15.1.1 255.255.0.0
#
user-interface vty 0 5
user privilege level 3
set authentication password cipher $c$3$nHqenYtWTFWBa4fcuksm2MR5VOrD1HI=
#
· 《H3C SR8800系列万兆核心路由器 基础配置指导》中的“登录设备”
《H3C SR8800系列万兆核心路由器 基础配置命令参考》中的“登录设备”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!