• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

01-基础配置举例

02-H3C_S7500E登录设备典型配置举例

本章节下载 02-H3C_S7500E登录设备典型配置举例  (460.61 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S7500E/S7500E/Configure/Typical_Configuration_Example/H3C_S7500E_Configuration_Example-R7150-6W100/01/201505/868056_30005_0.htm

02-H3C_S7500E登录设备典型配置举例

H3C S7500E登录设备典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2015 杭州华三通信技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

H3C_彩色.emf



1  简介

本文档介绍了登录设备的典型配置案例,以及如何通过命令行授权和计费对登录的用户进行控制。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解登录设备的特性。

3  通过Console口登录设备配置举例

3.1  组网需求

主机通过配置电缆与设备的Console口连接。现要求:用户通过设备的Console口登录到设备,对设备进行管理和配置,并且配置本地认证方式为AAA认证,以提高设备的安全性。

3.2  配置思路

·     通过Console口登录设备,需要使用户终端的通信参数配置和交换机Console口的缺省配置保持一致。

·     当通过Console口采用本地认证方式登录时,由于本地用户缺省的授权用户角色为network-operator,且本地是无服务类型的。因此,需要设置本地用户的服务类型为terminal(通过Console口登录使用的是terminal服务类型),授权用户角色为network-admin,才能使用户下次成功登录并在登录后对设备进行管理和配置。

3.3  使用版本

本举例是在S7500E-CMW710-R7150版本上进行配置和验证的。

3.4  配置注意事项

·     连接时请认准接口上“Console”的标识,以免误插入其它接口。

·     如果主机使用的是Windows Server 2003、Windows XP操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录设备;如果PC使用的是Windows Server 2008、Windows Vista、Windows 7或者其它操作系统,请准备第三方的终端控制软件,使用方法参考软件的使用指导或联机帮助。

3.5  配置步骤

(1)     主机断电。因为PC机串口不支持热插拔,请不要在PC带电的情况下,将配置电缆插入或者拔出PC机。

(2)     请使用产品随机附带的配置电缆连接PC机和设备。请先将配置口电缆的DB-9(孔)插头插入PC机的9芯(针)串口中,再将RJ-45插头端插入设备的Console口中。

图1 将设备与PC通过配置口电缆进行连接

 

(3)     将PC上电。

(4)     在PC机上运行终端仿真程序,选择与设备相连的串口,设置终端通信参数。这些参数的值必须和设备上的值一致,参数设置要求如下:

·     波特率:9600

·     数据位:8

·     停止位:1

·     奇偶校验:无

·     流量控制:无

(5)     设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,用户键入回车后将出现命令行提示符(如<Sysname>)。

******************************************************************************

* Copyright (c) 2010-2015 Hangzhou H3C Tech Co ,Ltd.All rights reserved.     *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

Line aux0 is available.

Press ENTER to get started.

<Sysname>%Jun 23 09:52:58:243 2015 H3C SHELL/5/SHELL_LOGIN:TTY logged in from aux0.

<Sysname>

(6)     键入命令,配置设备或查看设备运行状态,需要帮助可以随时键入“?”。

(7)     进入AUX用户线视图,并进行后续配置:

# 进入AUX用户线视图。

<Sysname> system-view

 [Sysname] line aux 0

# 设置通过Console口登录交换机的用户进行AAA认证。

[Sysname-line-aux0] authentication-mode scheme

# 退出到系统视图,创建本地用户admin,并进入本地用户视图。

[Sysname-line-aux0] quit

[Sysname] local-user admin class manage

New local user added.

# 设置本地用户的认证口令为明文方式,口令为123。

[Sysname-luser-manage-admin] password simple 123

# 设置本地用户的服务类型为Terminal,授权用户角色为network-admin,删除默认角色。

[Sysname-luser-manage-admin] service-type terminal

[Sysname-luser-manage-admin] authorization-attribute user-role network-admin

[Sysname-luser-manage-admin] undo authorization-attribute user-role network-operator

[Sysname-luser-manage-admin] quit

3.6  验证配置

配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,输入用户名“admin”和密码“123”并回车,登录界面中将出现命令行提示符(如<Sysname>)。如图2所示:

图2  Console口登录界面

 

3.7  配置文件

#

line aux 0

 authentication-mode scheme

 user-role network-admin

#

local-user admin class manage

 password hash $h$6$R1DZqFZrkA93GMAf$th9k1FcsjqRRy1A2reQXQkfmnTBSr/7//80W5gKuyeHYxNor/FVNl4tbBQLhaGeY5XFrVr1+WopPcC+dfaumgg==

 service-type terminal

 authorization-attribute user-role network-admin

#

4  基于用户角色的Telnet登录设备配置举例

4.1  组网需求

图3所示,要求仅允许使用IP地址为为192.168.0.46/24和192.168.0.52/24的主机以Telnet方式登录设备,且在登录时必须进行基于用户名和密码的身份验证。这两个主机在相同的认证方式下使用两个不同的用户名登录设备时,具有两种不同的权限,分别为管理权限和可执行所有特性中读类型的命令权限。

图3 通过Telnet登录交换机组网图

  

 

4.2  配置思路

·     缺省情况下,设备的Telnet服务器处于关闭状态,需要通过Console口登录后开启设备的Telnet服务功能。

·     可以通过ACL来限制IP地址为192.168.0.58的主机不能以Telnet方式登录设备。

·     缺省情况下,本地用户的角色为network-operator。因此,对于用户权限仅为允许执行所有特性中读类型的命令,需要重新创建一个具有此权限的角色。

4.3  使用版本

本举例是在S7500E-CMW710-R7150版本上进行配置和验证的。

4.4  配置步骤

# 通过Console口登录设备,进入系统视图,开启Telnet服务。

<Sysname> system-view

[Sysname] telnet server enable

# 设置通过VTY用户线登录交换机使用AAA的认证方式。

[Sysname] line vty 0 63

[Sysname-line-vty0-63] authentication-mode scheme

[Sysname-line-vty0-63] quit

# 创建本地用户userA,授权其用户角色为network-admin,为其配置密码,删除默认角色。

[Sysname] local-user userA class manage

New local user added.

[Sysname-luser-manage-userA] authorization-attribute user-role network-admin

[Sysname-luser-manage-userA] service-type telnet

[Sysname-luser-manage-userA] password simple 123

[Sysname-luser-manage-userA] undo authorization-attribute user-role network-operator

[Sysname-luser-manage-userA] quit

# 创建用户角色roleB,权限为允许执行所有特性中读类型的命令。

[Sysname] role name roleB

[Sysname-role-roleB] rule 1 permit read feature

[Sysname-role-roleB] quit

# 创建本地用户userB,为其配置密码,授权其用户角色为roleB,删除默认角色。

[Sysname] local-user userB class manage

New local user added.

[Sysname-luser-manage-userB] authorization-attribute user-role roleB

[Sysname-luser-manage-userB] service-type telnet

[Sysname-luser-manage-userB] password simple 123

[Sysname-luser-manage-userB] undo authorization-attribute user-role network-operator

[Sysname-luser-manage-userB] quit

# 创建ACL视图,定义规则,仅允许来自192.168.0.46192.168.0.52的用户访问交换机。

[Sysname] acl number 2000

[Sysname-acl-basic-2000] rule 1 permit source 192.168.0.46 0

[Sysname-acl-basic-2000] rule 2 permit source 192.168.0.52 0

[Sysname-acl-basic-2000] rule 3 deny source any

[Sysname-acl-basic-2000] quit

# 引用访问控制列表2000,通过源IPTelnet用户进行控制。

[Sysname] telnet server acl 2000

4.5  验证配置

配置完成后,各用户的权限为:

·     当用户使用userA作为用户名以Telnet方式登录设备时,具有对设备进行管理和配置的权限。如图4所示:

图4 用户登录设备后情况

 

·     当用户使用userB作为用户名以Telnet方式登录到设备上时,则只允许执行所有特性中读类型的命令。如图5所示

图5 用户登录设备后情况

 

·      Host C无法通过Telnet登录设备。

4.6  配置文件

#

 telnet server enable

 telnet server acl 2000

#

acl number 2000

 rule 1 permit source 192.168.0.52 0

 rule 2 permit source 192.168.0.46 0

 rule 3 deny

#

line vty 0 63

 authentication-mode scheme

user-role network-operator

#

local-user userA class manage

 password hash $h$6$I2Sg4Llj1qVUWQZ3$JA6KkU3zfVVRg48MM92X6cVpdiqR2JF887PKi3GQMwn

XXXcsWBuz7GIeJZeeNFMmMBaV7DPkKblnb0sGT2axvg==

 service-type telnet

 authorization-attribute user-role network-admin

#

local-user userB class manage

 password hash $h$6$q+c3OcSxrPpDpsDf$BWkgfOyxBLyR5zyYgF/+VvN/1ofy81zoHDlFf80OjDl

a6/EiSJbSBl33PeazilSkWSYcttkg5v5bGecB7oYwAw==

 service-type telnet

 authorization-attribute user-role roleB

#

role name roleB

 rule 1 permit read feature

#

5  用户登录交换机认证及命令行授权和计费的典型配置举例

5.1  组网需求

某公司组网如图6所示,为了保证交换机能够安全的运行,在交换机使用过程中,需要对登录用户进行认证、命令行执行限制以及对用户执行过的所有命令进行记录。

图6 用户登录设备认证及命令行授权和计费组网图

 

5.2  配置思路

·     本案例使用远程认证、授权和计费功能,需要配置HWTACACS方案(本举例使用HWTACACS服务器)。

·     如果需要HWTACACS服务器记录用户执行过的命令,可以通过创建一个可用Telnet方式登录设备的用户名,为其授权权限。则使用该用户登录时,只能执行HWTACACS服务器授权的命令,且这些命令都会被记录。

5.3  使用版本

本举例是在S7500E-CMW710-R7150版本上进行配置和验证的。

5.4  配置注意事项

执行command authorization命令后,命令行授权功能将立即生效,用户执行的命令只有被授权后才被允许执行。因此,在执行此命令之前,请先在HWTACACS服务器上配置相应用户及用户可以使用的命令行,再在设备上配置命令行授权功能对应的HWTACACS方案。

5.5  配置步骤

5.5.1  iMC的配置步骤

说明

下面以iMC为例(使用iMC版本为:iMC PLAT 7.1(E0302)iMC EIA 7.1(E0301)),说明HWTACACS服务器的基本配置。

 

# 增加设备区域。

选择“用户”页签,单击导航树中的[设备用户策略管理/授权场景条件/设备区域管理]菜单项,进入设备区域列表页面。单击<增加>按钮,进入增加设备区域页面。

·     输入区域名称system。

·     其它参数采用缺省值。

·     单击<确定>按钮,完成增加设备区域。

图7 增加设备区域

 

# 增加设备。

选择“用户”页签,单击导航树中的[设备用户策略管理/设备管理]菜单项,进入设备管理页面。单击<增加>按钮,进入增加设备页面。

·     输入共享密钥和确认共享密钥expert。

·     输入认证端口,缺省为49。

·     选择设备区域为system。

·     选择是否支持单一连接,选择“不支持”,表示设备与TAM通信时不支持在同一个TCP连接中建立多个会话。

·     选择是否支持Watchdog报文,选择“不支持”,表示用户在线时设备不发送Watchdog报文。

·     单击设备管理中的<手工增加>按钮,打开设备增加窗口。输入设备IP地址192.168.2.1,单击<确定>按钮即可增加设备。

·     单击<确定>按钮,完成增加设备的操作。

图8 增加设备

 

# 增加Shell Profile。

选择“用户”页签,单击导航树中的[设备用户策略管理/授权命令配置/Shell Profie配置]菜单项,进入Shell Profie列表页面。单击<增加>按钮,进入增加Shell Profie页面。

·     输入Shell Profile名称Shell Profile1。

·     输入授权级别,这里选择级别1。

·     其它参数采用缺省值。

·     单击<确定>按钮,完成增加Shell Profile。

图9 增加Shell Profile

 

# 接入授权信息。

选择“用户”页签,单击导航树中的[设备用户策略管理/授权策略管理]菜单项,进入授权策略列表页面。单击<增加>按钮,进入增加授权策略页面。输入策略的名称tac。单击接入授权信息区域的<增加>按钮,打开增加授权项的页面。

·     设备区域选择“不限”,表示任意设备区域都符合要求。

·     设备类型选择“不限”,表示任意设备类型都符合要求。

·     授权时段选择“不限”,表示任意时间段都符合要求。

·     选择Shell Profile为Shell Profile1。

·     选择命令集选择“不限”,表示用户登录设备后可以执行任何命令。

·     单击<确定>按钮,完成增加授权项。

图10 接入授权信息

 

单击<确定>按钮,完成增加授权策略。

图11 增加授权策略

 

# 增加设备用户。

选择“用户”页签,单击导航树中的[设备用户管理/所有设备用户]菜单项,进入设备用户列表页面。

单击<增加>按钮,进入增加设备用户页面。

·     输入帐号名monitor。

·     输入用户名telnet-user。

·     输入登录密码和登录密码确认为123。

·     选择用户使用的授权策略为tac。

·     输入在线数量限制为5,表示最多允许5个该用户同时在线。

·     其它参数采用缺省值。

·     单击<确定>按钮,完成增加设备用户。

图12 增加设备用户

 

5.5.2  设备的配置步骤

# 在设备上配置IP地址及路由,以保证Device、Host A、HWTACACS server之间相互路由可达。(配置步骤略)

# 开启设备的Telnet服务器功能,以便用户访问。

<Sysname> system-view

[Sysname] telnet server enable

# 配置HWTACACS方案:

·     授权计费服务器的IP地址:TCP端口号为192.168.2.20:49(该端口号必须和HWTACACS服务器上的设置一致)。

·     报文的加密密码是expert。

·     登录时不需要输入域名,使用缺省域。

[Sysname] hwtacacs scheme tac

[Sysname-hwtacacs-tac] primary authentication 192.168.2.20 49

[Sysname-hwtacacs-tac] primary authorization 192.168.2.20 49

[Sysname-hwtacacs-tac] primary accounting 192.168.2.20 49

[Sysname-hwtacacs-tac] key authentication simple expert

[Sysname-hwtacacs-tac] key authorization simple expert

[Sysname-hwtacacs-tac] key accounting simple expert

[Sysname-hwtacacs-tac] user-name-format without-domain

[Sysname-hwtacacs-tac] quit

# 配置缺省域的命令行授权计费的AAA方案,使用HWTACACS方案tac进行认证,并且使用本地认证local作为备选认证方法。

[Sysname] domain system

[Sysname-isp-system] authentication login hwtacacs-scheme tac local

[Sysname-isp-system] authorization login hwtacacs-scheme tac local

[Sysname-isp-system] authorization command hwtacacs-scheme tac local

[Sysname-isp-system] accounting login hwtacacs-scheme tac local

[Sysname-isp-system] accounting command hwtacacs-scheme tac

[Sysname-isp-system] quit

# 配置本地认证所需参数:创建本地用户monitor,密码为123,可使用的服务类型为telnet。删除用户缺省角色,配置用户角色为level-1,限制用户权限。

[Sysname] local-user monitor class manage

[Sysname-luser-manage-monitor] password simple 123

[Sysname-luser-manage-monitor] service-type telnet

[Sysname-luser-manage-monitor] authorization-attribute user-role level-1

[Sysname-luser-manage-monitor] undo authorization-attribute user-role network-operator

[Sysname-luser-manage-monitor] quit

#设置通过VTY用户线登录交换机使用AAA的认证方式。

[Sysname] line vty 0 63

[Sysname-line-vty0-63] authentication-mode scheme

# 使能命令行授权和命令行计费功能。

[Sysname-line-vty0-63] command authorization

[Sysname-line-vty0-63] command accounting

[Sysname-line-vty0-63] quit

5.6  验证配置

(1)     验证命令行授权功能

# 在用户主机上通过telnet方式登录设备,进入登录界面下,输入用户名monitor和密码123。

C:\Documents and Settings\Administrator> telnet 192.168.1.1

 

******************************************************************************

* Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

login:monitor

Password:

<Sysname>

# 输入“?”,可以查看登录设备后能操作的命令行权限,此处显示仅能输入用户角色level-1允许执行的命令。

<Sysname> ?

User view commands:

  display      Display current system information

  ping         Ping function

  quit         Exit from current command view

  ssh2         Establish a secure shell client connection

  super        Switch to a user role

  system-view  Enter the System View

  telnet       Establish a telnet connection

  tracert      Tracert function

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] ?

System view commands:

  display     Display current system information

  ping        Ping function

  quit        Exit from current command view

  return      Exit to User View

  tracert     Tracert function

(2)     验证命令行计费功能

# 选择“用户”页签,单击导航树中的[设备用户管理/日志管理/审计日志]菜单项,进入审计日志列表页面。

·     输入账号名“monitor”。

·     选择审计起始时间。

单击<查询>按钮,查询出符合条件的审计日志。

 

可以看到帐号名为monitor有命令行system-view,审计通过。

# 单击开始类型详细信息,查看审计日志详细信息。

# 单击命令行结束类型详细信息,查看审计日志详细信息。

 

5.7  配置文件

#

telnet server enable

#

hwtacacs scheme tac

 primary authentication 192.168.2.20

 primary authorization 192.168.2.20

 primary accounting 192.168.2.20

 key authentication cipher $c$3$Fl1Mn3wBsh+vH6otPvoz+AdE7VaNS3c0Pw==

 key authorization cipher $c$3$2x6XI5xU7UGX6VqWFXNp2n3FG07uTNjiQw==

 key accounting cipher $c$3$2oKsuCOAZX1+3ibvTPxnJ1YvJ1MHqv73Lw==

 user-name-format without-domain

#

domain system

 authentication login hwtacacs-scheme tac local

 authorization login hwtacacs-scheme tac local

 accounting login hwtacacs-scheme tac local

 authorization command hwtacacs-scheme tac local

 accounting command hwtacacs-scheme tac

#

local-user monitor class manage

 password hash $h$6$5BqWnAJTpBbU5NbY$PbdgF+43eE5WMvj2iHPySfd5nGqj5AhDCDOXTiUMJvR

FFVsZaF8EW1tgpsQPRSq7SDKaGqwHTy9nsabAoGNaYg==

 service-type telnet

 authorization-attribute user-role level-1

#

line vty 0 63

 authentication-mode scheme

user-role network-operator

 idle-timeout 0 0

 command authorization

 command accounting

#

6  通过Telnet登录设备配置举例

6.1  组网需求

图13所示,将Host A的网口通过网线与Device设备的GigabitEthernet3/0/1接口连接。通过在Device设备上进行配置,实现以下要求:

·     设备通过Telnet登录的同时在线的最大用户连接数为10,每屏显示20行,设备历史命令缓冲区大小为100;

·     用户通过Telnet方式登录Device设备时采用scheme本地认证方式,需要输入用户名和密码(用户名和密码均为test);

·     登录后,当用户20分钟没有对设备进行操作,设备会自动断开连接。

图13 通过Telnet登录交换机组网图

 

6.2  配置思路

·     缺省情况下,设备的Telnet服务器处于关闭状态,需要通过Console口登录后开启设备的Telnet服务功能。

·     缺省情况下,本地用户的角色为network-operator,为了使用户登录后能正常使用设备上的所有命令,建议将本地用户的用户角色配置为network-admin。

6.3  使用版本

本举例是在S7500E-CMW710-R7150版本上进行配置和验证的。

6.4  配置步骤

# 通过Console口登录设备,进入系统视图,修改设备名称,开启Telnet服务。

<Sysname> system-view

[Sysname] sysname Device

[Device] telnet server enable

# 创建接口地址。

[Device] vlan 2

[Device-vlan2] port GigabitEthernet 3/0/1

[Device-vlan2] quit

[Device] interface Vlan-interface 2

[Device-Vlan-interface2] ip address 192.168.3.1 24

[Device-Vlan-interface2] quit

[Device] interface GigabitEthernet 3/0/1

[Device-GigabitEthernet3/0/1] undo shutdown

[Device-GigabitEthernet3/0/1] quit

# 配置所有的Telnet用户登录设备的认证方式为scheme,设置VTY用户线的公共属性。

[Device] line vty 0 63

[Device-line-vty0-63] authentication-mode scheme

[Device-line-vty0-63] screen-length 20

[Device-line-vty0-63] history-command max-size 100

[Device-line-vty0-63] idle-timeout 20

[Device-line-vty0-63] quit

# 配置通过Telnet登录的同时在线的最大用户连接数为10

[Device] aaa session-limit telnet 10

# 配置本地用户,用户名为test,密码为test,配置服务类型为telnet,用户角色为network-admin,删除默认角色。

[Device] local-user test class manage

[Device-luser-manage-test] password simple test

[Device-luser-manage-test] authorization-attribute user-role network-admin

[Device-luser-manage-test] undo authorization-attribute user-role network-operator

[Device-luser-manage-test] service-type telnet

[Device-luser-manage-test] quit

6.5  验证配置

# 在Host A命令窗口执行Telnet命令登录到设备,会出现如下界面,要求输入用户名和密码,输入用户名和密码test后能够成功登录到设备上对设备进行操作。

******************************************************************************

* Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

login: test

Password:

<Device>

# 当在线人数到达10个时,超出最大限制的用户不能Telnet登录到设备。

C:\Users\zhangsan>telnet 192.168.3.1                                                           

Trying 192.168.3.1 ...                                                            

Press CTRL+K to abort                                                          

Connected to 192.168.3.1 ...                                                       

Failed to connect to the remote host!

# 当用户20分钟没有对设备进行操作时,会自动退出登录,此时需要重新登录。

******************************************************************************

* Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

login:

6.6  配置文件

#

 sysname Device

#

telnet server enable

#

interface Vlan-interface2

 ip address 192.168.3.1 255.255.255.0

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port access vlan 2

#

line vty 0 63

 authentication-mode scheme

user-role network-operator

 idle-timeout 20 0

 screen-length 20

 history-command max-size 100

#

aaa session-limit telnet 10

#

local-user test class manage

 password hash $h$6$/Xa6qIOrThQEVqbK$C00MPM5UaYoigaOfflWhpTskb/uB80yZ9O06tpztnDe

vrFEHqkvxfkSb4hUadHuknPSnjLNQByztfr30cP/Hlg==

 service-type telnet

 authorization-attribute user-role network-admin

#

7  设备作为Telnet客户端登录其他设备配置举例

7.1  组网需求

图14所示,将Host A的网口通过网线与Device A的GigabitEthernet3/0/2接口连接。通过在Device A设备上进行配置,实现以下要求:

·     用户可以通过Device A Telnet登录到Device B上,对Device B进行配置;

·     用户通过Telnet方式登录Device A时采用scheme本地认证方式,需要输入用户名和密码(用户名和密码均为test);

·     Device A仅允许使用IP地址为192.168.10.1的PC以Telnet方式登录, Device B仅允许Device  A以Telnet方式登录;

·     Device A和Device B设备每屏显示20行,设备历史命令缓冲区大小为100;

·     登录设备后,如果用户20分钟没有对Device A或Device B进行操作,Device A或Device B会自动断开连接。

图14 通过Telnet登录交换机组网图

 

 

7.2  配置思路

·     缺省情况下,设备的Telnet服务器处于关闭状态,需要通过Console口登录后开启设备的Telnet服务功能。

·     缺省情况下,本地用户的角色为network-operator,为了使用户登录后能正常使用设备上的所有命令,建议将本地用户的用户角色配置为network-admin。

·     可以通过ACL来限制仅IP地址为192.168.10.1的主机以Telnet方式登录Device A, 仅Device  A设备以Telnet方式登录Device B。

7.3  使用版本

本举例是在S7500E-CMW710-R7150版本上进行配置和验证的。

7.4  配置步骤

7.4.1  配置Device A

# 通过Console口登录设备,进入系统视图,修改设备名称,开启Telnet服务。

<Sysname> system-view

[Sysname] sysname DeviceA

[DeviceA] telnet server enable

# 创建接口地址。

[DeviceA] vlan 2

[DeviceA-vlan2] port GigabitEthernet 3/0/2

[DeviceA-vlan2] quit

[DeviceA] interface Vlan-interface 2

[DeviceA-Vlan-interface2] ip address 192.168.10.2 24

[DeviceA-Vlan-interface2] quit

[DeviceA] vlan 3

[DeviceA-vlan3] port GigabitEthernet 3/0/1

[DeviceA-vlan3] quit

[DeviceA] interface Vlan-interface 3

[DeviceA-Vlan-interface3] ip address 192.168.3.2 24

[DeviceA-Vlan-interface3] quit

[DeviceA] interface GigabitEthernet 3/0/1

[DeviceA-GigabitEthernet3/0/1] undo shutdown

[DeviceA-GigabitEthernet3/0/1] quit

[DeviceA] interface GigabitEthernet 3/0/2

[DeviceA-GigabitEthernet3/0/2] undo shutdown

[DeviceA-GigabitEthernet3/0/2] quit

# 配置所有的Telnet用户登录设备的认证方式为scheme,设置VTY用户线的公共属性。

[DeviceA] line vty 0 63

[DeviceA-line-vty0-63] authentication-mode scheme

[DeviceA-line-vty0-63] screen-length 20

[DeviceA-line-vty0-63] history-command max-size 100

[DeviceA-line-vty0-63] idle-timeout 20

[DeviceA-line-vty0-63] protocol inbound telnet

[DeviceA-line-vty0-63] quit

# 配置本地用户,用户名为test,密码为test,配置服务类型为telnet,用户角色为network-admin,删除默认角色。

[DeviceA] local-user test class manage

[DeviceA-luser-manage-test] password simple test

[DeviceA-luser-manage-test] authorization-attribute user-role network-admin

[DeviceA-luser-manage-test] undo authorization-attribute user-role network-operator

[DeviceA-luser-manage-test] service-type telnet

[DeviceA-luser-manage-test] quit

# 创建ACL并进入ACL视图,创建规则,仅允许来自192.168.10.1的用户访问交换机。

[DeviceA] acl number 2000

[DeviceA-acl-basic-2000] rule 1 permit source 192.168.10.1 0

[DeviceA-acl-basic-2000] rule 2 deny source any

[DeviceA-acl-basic-2000] quit

# 引用访问控制列表2000,通过源IPTelnet用户进行控制。

[DeviceA] telnet server acl 2000

7.4.2  配置Device B

# 通过Console口登录设备,进入系统视图,修改设备名称,开启Telnet服务。

<Sysname> system-view

[Sysname] sysname DeviceB

[DeviceB] telnet server enable

# 创建接口地址。

[DeviceB] vlan 3

[DeviceB-vlan3] port GigabitEthernet 3/0/1

[DeviceB-vlan3] quit

[DeviceB] interface Vlan-interface 3

[DeviceB-Vlan-interface3] ip address 192.168.3.1 24

[DeviceB-Vlan-interface3] quit

[DeviceB] interface GigabitEthernet 3/0/1

[DeviceB-GigabitEthernet3/0/1] undo shutdown

[DeviceB-GigabitEthernet3/0/1] quit

# 配置所有的Telnet用户登录设备的认证方式为scheme,设置VTY用户线的公共属性。

[DeviceB] line vty 0 63

[DeviceB-line-vty0-63] authentication-mode none

[DeviceB-line-vty0-63] screen-length 20

[DeviceB-line-vty0-63] history-command max-size 100

[DeviceB-line-vty0-63] idle-timeout 20

[DeviceB-line-vty0-63] protocol inbound telnet

[DeviceB-line-vty0-63] quit

# 创建ACL并进入ACL视图,创建规则,仅允许来自192.168.3.2的用户访问交换机。

[DeviceB] acl number 2000

[DeviceB-acl-basic-2000] rule 1 permit source 192.168.3.2 0

[DeviceB-acl-basic-2000] rule 2 deny source any

[DeviceB-acl-basic-2000] quit

# 引用访问控制列表2000,通过源IPTelnet用户进行控制。

[DeviceB] telnet server acl 2000

7.5  验证配置

1. Device A上验证telnet功能

# 在Host A命令窗口执行Telnet命令登录到设备,会出现如下界面,要求输入用户名和密码,输入用户名和密码test后能够成功登录到设备上对设备进行操作。

******************************************************************************

* Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

login: test

Password:

<DeviceA>

# 其他用户不能通过Telnet登录到设备,会出现不能连接的提示。

C:\Users\zhangsan>telnet 192.168.10.2                                                            

Trying 192.168.10.2 ...                                                             

Press CTRL+K to abort                                                          

Connected to 192.168.10.2 ...                                                      

Failed to connect to the remote host!

# 20分钟没有对Device A 进行操作的话会自动退出登录,此时需要重新登录。

******************************************************************************

* Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

login:

2. Device B上验证telnet功能

# Device A可以执行Telnet到Device B,无需密码就能够登录到Device B并对其进行操作。

<DeviceA> telnet 192.168.3.1

Trying 192.168.3.1 ...

Press CTRL+K to abort

Connected to 192.168.3.1 ...

 

******************************************************************************

* Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved.  *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<DeviceB>

# 其他设备不能通过Telnet登录到Device B,会出现不能连接的提示。

[Telnet error. Number: 10061     Description: Connect method failed. No connecti

on could be made because the target machine actively refused it.  This usually r

esults from trying to connect to a service that is inactive on the foreign host

- i.e. one with no server application running.]

20分钟没有对Device B进行操作的话会自动退出登录,此时需要重新登录。

7.6  配置文件

·     Device A

#

 sysname DeviceA

#

 telnet server enable

 telnet server acl 2000

#

interface Vlan-interface2

 ip address 192.168.10.2 255.255.255.0

#

interface Vlan-interface3

 ip address 192.168.3.2 255.255.255.0

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port access vlan 3

#

interface GigabitEthernet3/0/2

 port link-mode bridge

 port access vlan 2

#                                    

line vty 0 63

 authentication-mode scheme

 user-role network-operator

 protocol inbound telnet

 idle-timeout 20 0

 screen-length 20

 history-command max-size 100

#

acl number 2000

 rule 1 permit source 192.168.10.1 0

 rule 2 deny source any

#

local-user test class manage

 password hash $h$6$V5dw8qzFDLAOmDzx$upf9K29n110G6OGdSXI0t69IoE5eot/Qh9Iuv/hptq6

2vxUq3867QbUBzmc6/hHwIfVQcDC8gVWpGvDQWXQTSQ==

 service-type telnet

 authorization-attribute user-role network-admin

#

·     Device B

#

 sysname DeviceB

#

 telnet server enable

 telnet server acl 2000

#

interface Vlan-interface3

 ip address 192.168.3.1 255.255.255.0

#

interface GigabitEthernet3/0/1

 port link-mode bridge

 port access vlan 3

#                                    

line vty 0 63

 authentication-mode none

 user-role network-operator

 protocol inbound telnet

 idle-timeout 20 0

 screen-length 20

 history-command max-size 100

#

acl number 2000

 rule 1 permit source 192.168.3.2 0

 rule 2 deny source any

#

8  相关资料

·     H3C S7500E系列交换机 基础配置指导-Release 7150

·     H3C S7500E系列交换机 基础配置命令参考-Release 7150

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们