- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
02-登录交换机配置
本章节下载: 02-登录交换机配置 (1.08 MB)
2.2.4 配置通过Console口登录设备时无需认证(None)(FIPS模式下不支持该方式)
2.2.5 配置通过Console口登录设备时采用密码认证(Password)(FIPS模式下不支持该方式)
2.2.6 配置通过Console口登录设备时采用AAA认证(Scheme)
2.3 配置通过Telnet登录设备(FIPS模式下不支持该登录方式)
2.3.3 配置通过Telnet Client登录设备时无需认证(None)
2.3.4 配置通过Telnet Client登录设备时采用密码认证(Password)
2.3.5 配置通过Telnet Client登录设备时采用AAA认证(Scheme)
2.3.7 配置设备充当Telnet Client登录其它设备
2.5.4 配置用户通过Modem登录设备时无需认证(None)(FIPS模式下不支持该方式)
2.5.5 配置用户通过Modem登录设备时采用密码认证(Password)(FIPS模式下不支持该方式)
2.5.6 配置用户通过Modem登录设备时采用AAA认证(Scheme)
3.2 配置通过HTTP方式登录设备(FIPS模式下不支持该登录方式)
3.5.1 使用HTTP方式登录设备典型配置举例(FIPS模式下不支持该举例)
5.2 配置对Telnet用户的控制(FIPS模式下不支持该功能)
5.4 通过源IP对Web用户进行控制(FIPS模式下不支持该方式)
· 设备运行于FIPS模式时,本特性的相关配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
· 本章中典型配置举例中的配置,如无特殊说明,均以设备运行在非FIPS模式下的命令行为准。
· FIPS模式下不支持Telnet和HTTP功能。
用户可以通过以下几种方式登录到设备上,对设备进行配置和管理:
|
登录方式及介绍 |
各种登录方式缺省状况分析 |
|
|
通过CLI登录设备 |
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3 |
|
|
缺省情况下,用户不能直接通过Telnet方式登录设备。如需采用Telnet方式登录,需要先通过Console口本地登录设备、并完成如下配置: · 开启设备的Telnet功能(根据产品缺省情况选择) · 配置设备VLAN接口的IP地址,确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有IP地址) · 配置VTY用户的认证方式(缺省情况下,VTY用户采用Password认证方式) · 配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0) |
||
|
缺省情况下,用户不能直接通过SSH方式登录设备。如需采用SSH方式登录,需要先通过Console口本地登录设备、并完成如下配置: · 开启设备SSH功能并完成SSH属性的配置(根据产品缺省情况选择) · 配置设备VLAN接口的IP地址,确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有配置IP地址) · 配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用Password认证方式) · 配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0) |
||
|
缺省情况下,用户可以直接通过Modem拨号方式登录设备,Modem用户的用户级别为3 |
||
|
缺省情况下,用户不能直接通过Web登录设备。如需采用Web方式登录,需要先通过Console口本地登录设备、并完成如下配置: · 配置设备VLAN接口的IP地址,确保设备与Web登录用户间路由可达(缺省情况下,设备没有配置IP地址) · 配置Web用户的用户名与密码(缺省情况下,没有Web登录的用户名和密码) · 配置Web登录的用户级别(缺省情况下,未配置Web登录用户的用户级别) · 配置Web登录用户的服务类型为Telnet(缺省情况下,未配置Web登录用户的服务类型) |
||
|
缺省情况下,用户不能直接通过NMS登录设备。如需采用NMS方式登录,需要先通过Console口本地登录设备、并完成如下配置: · 配置设备VLAN接口的IP地址,确保设备与NMS登录用户间路由可达(缺省情况下,设备没有IP配置地址) · 配置SNMP基本参数 |
||
在以下的章节中,将分别为您介绍如何通过Console口、Telnet、Web及Modem及NMS登录到设备上。
当用户使用Console口、Telnet或者SSH方式登录设备的时候,系统会分配一个用户界面(也称为Line)用来管理、监控设备和用户间的当前会话。每个用户界面有对应的用户界面视图(User-interface view),在用户界面视图下网络管理员可以配置一系列参数,比如用户登录时是否需要认证以及用户登录后的级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的。
目前系统支持的命令行配置方式有:
· Console口本地配置
· Telnet或SSH本地或远程配置
与这些配置方式对应的是两种类型的用户界面:
· AUX用户界面:系统提供的通过Console口登录的视图,用来管理和监控通过Console口登录的用户。设备提供一个Console口,端口类型为EIA/TIA-232 DCE,第一次使用设备时,需要通过此端口对交换机进行配置。
· VTY(Virtual Type Terminal,虚拟类型终端)用户界面:用来管理和监控通过VTY方式登录的用户,用于对设备进行Telnet或SSH访问。
用户界面的管理和监控对象是使用某种方式登录的用户,一个用户界面某一时刻只能被一个用户使用,但它并不针对某个用户。比如用户A使用Console口登录设备时,将受到Console用户界面视图下配置的约束,当使用VTY 1登录设备时,将受到VTY 1用户界面视图下配置的约束。
一台交换机提供一个AUX用户界面、十六个VTY用户界面,这些用户界面与用户并没有固定的对应关系。用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的相应类型的用户界面,整个登录过程将受该用户界面视图下配置的约束。同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时机不同,分配的用户界面可能不同。
用户界面的编号有两种方式:绝对编号方式和相对编号方式。
使用绝对编号方式,可以唯一的指定一个用户界面或一组用户界面。绝对编号从0开始自动编号,每次增长1,先给所有AUX用户界面编号,其次是VTY用户界面编号。使用display user-interface(不带参数)可查看到设备当前支持的用户界面以及它们的绝对编号。
相对编号是每种类型用户界面的内部编号。该方式只能指定某种类型的用户界面中的一个或一组,而不能跨类型操作。
相对编号方式的形式是:“用户界面类型 编号”,遵守如下规则:
· 控制台的相对编号为AUX 0。
· VTY的相对编号:第一个为VTY 0,第二个为VTY 1,依次类推。
CLI(命令行接口)是用户与设备之间的文本类指令交互界面,用户键入文本类命令,通过输入回车键提交设备执行相关命令,用户可以输入命令对设备进行配置,并可以通过查看输出的信息确认配置结果,方便用户配置和管理设备。
通过CLI登录设备包括:通过Console口、Telnet、SSH或Modem四种登录方式。当您使用Console口、Telnet、SSH或Modem登录设备时,都需要使用CLI来与设备进行交互。
· 缺省情况下,用户不需要任何认证即可通过Console口登录设备,这给设备带来许多安全隐患;
· 缺省情况下,用户不能通过Telnet、SSH登录设备(只能通过Console口本地登录),这样不利于用户对设备进行远程管理和维护。
因此,用户需要对这些登录方式进行相应的配置,来增加设备的安全性及可管理性。
以下章节将分别为您介绍如何通过Console口、Telnet、SSH及Modem登录到设备,并配置通过Console口、Telnet、SSH及Modem登录设备时的认证方式、用户级别及公共属性,来实现对登录用户的控制和管理。
通过Console口进行本地登录是登录设备的最基本的方式,也是配置通过其他方式登录设备的基础。如图2-1所示。
图2-1 通过Console口登录设备示意图
缺省情况下,设备只能通过Console口进行本地登录,用户登录到设备上后,即可以对各种登录方式进行配置。
本节将为您介绍:
· 设备缺省情况下,如何通过Console口登录设备。具体请参见2.2.2 缺省配置下如何通过Console口登录设备。
· 设备Console口支持的登录方式及配置Console口登录认证方式的意义、各种认证方式的特点及注意事项。具体请参见2.2.3 Console口登录的认证方式介绍。
· 当用户确定了今后通过Console口登录设备时将采用何种认证方式后、并通过缺省配置登录到设备后,用户如何在设备上配置Console口登录设备时的认证方式及用户级别,实现对Console口登录用户的控制和管理。具体请参见2.2.4 配置通过Console口登录设备时无需认证(None)(FIPS模式下不支持该方式)、2.2.5 配置通过Console口登录设备时采用密码认证(Password)(FIPS模式下不支持该方式)及2.2.6 配置通过Console口登录设备时采用AAA认证(Scheme)。
· 配置通过Console口登录设备时的公共属性。具体请参见2.2.7 配置Console口登录方式的公共属性(可选)。
表2-1 通过Console登录设备需要具备的条件
|
对象 |
需要具备的条件 |
|
设备 |
缺省情况下,设备侧不需要任何配置 |
|
Console口登录用户 |
运行超级终端程序 |
|
配置超级终端属性 |
当用户使用Console口登录设备时,用户终端的通信参数配置要和设备Console口的缺省配置保持一致,才能通过Console口登录到设备上。设备Console口的缺省配置如下:
表2-2 设备Console口缺省配置
|
属性 |
缺省配置 |
|
传输速率 |
9600bit/s |
|
流控方式 |
不进行流控 |
|
校验方式 |
不进行校验 |
|
停止位 |
1 |
|
数据位 |
8 |
(1) 请使用产品随机附带的配置口电缆连接PC机和设备。请先将配置电缆的DB-9(孔)插头插入PC机的9芯(针)串口插座,再将RJ-45插头端插入设备的Console口中。
图2-2 将设备与PC通过配置口电缆进行连接
连接时请认准接口上的标识,以免误插入其它接口。
由于PC机串口不支持热插拔,请不要在设备带电的情况下,将串口插入或者拔出PC机。当连接PC和设备时,请先安装配置电缆的DB-9端到PC机,再连接RJ-45到设备;在拆下时,先拔出RJ-45端,再拔下DB-9端。
(2) 在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),选择与设备相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图2-3至图2-5所示。
如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参照软件的使用指导或联机帮助。
图2-3 新建连接
图2-4 连接端口设置
图2-5 端口通信参数设置
(3) 设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图2-6所示。
图2-6 设备配置界面
(4) 键入命令,配置设备或查看设备运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。
通过在Console口用户界面下配置认证方式,可以对使用Console口登录的用户进行限制,以提高设备的安全性。Console口支持的认证方式有none、password和scheme三种。
· 认证方式为none:表示下次使用Console口本地登录设备时,不需要进行用户名和密码认证、任何人都可以通过Console口登录到设备上,这种情况可能会带来安全隐患。
· 认证方式为password:表示下次使用Console口本地登录设备时,需要进行密码认证、只有密码认证成功、用户才能登录到设备上。配置认证方式为password后,请妥善保存密码。
· 认证方式为scheme:表示下次使用Console口登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA配置”。配置认证方式为scheme后,请妥善保存用户名及密码。
不同的认证方式下,Console口登录方式需要进行的配置不同,具体配置如表2-3所示。
表2-3 配置任务简介
|
认证方式 |
认证所需配置 |
说明 |
||
|
None |
设置登录用户的认证方式为不认证 |
具体内容请参见2.2.4 |
||
|
Password |
设置登录用户的认证方式为Password认证 |
具体内容请参见2.2.5 |
||
|
设置本地验证的口令 |
||||
|
Scheme |
设置登录用户的认证方式为Scheme认证 |
具体内容请参见2.2.6 |
||
|
选择认证方案 |
采用远端AAA服务器认证 |
在设备上配置RADIUS/HWTACACS方案 |
||
|
在设备上配置域使用的AAA方案 |
||||
|
在AAA服务器上配置相关的用户名和密码 |
||||
|
采用本地认证 |
在设备上配置认证用户名和密码 |
|||
|
在设备上配置域使用的AAA方案为本地认证 |
||||
改变Console口登录方式的认证方式后,该认证方式的设置不会立即生效。用户需要退出命令行接口后重新登录,该设置才会生效。
用户已经成功登录到了设备上,并希望以后通过Console口登录设备时无需进行认证。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2 缺省配置下如何通过Console口登录设备。
表2-4 配置用户通过Console口登录设备时无需认证
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
|
设置登录用户的认证方式为不认证 |
authentication-mode none |
必选 缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证) |
|
配置AUX用户界面的公共属性 |
- |
可选 详细配置请参见2.2.7 配置Console口登录方式的公共属性(可选) |
配置完成后,当用户再次通过Console口登录设备时,设备将提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图2-7所示。
图2-7 用户通过Console口登录设备时无需认证登录界面
用户已经成功登录到了设备上,并希望以后通过Console口登录设备时采用密码认证、以提高设备的安全性。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2 缺省配置下如何通过Console口登录设备。
表2-5 配置用户通过Console口登录设备时采用密码认证
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
|
设置登录用户的认证方式为本地口令认证 |
authentication-mode password |
必选 缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证) |
|
设置本地验证的口令 |
set authentication password [ hash ] { cipher | simple } password |
必选 缺省情况下,没有设置本地认证的口令 |
|
配置AUX用户界面的公共属性 |
- |
可选 详细配置请参见2.2.7 配置Console口登录方式的公共属性(可选) |
配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-8所示。
图2-8 用户通过Console口登录设备时采用密码认证登录界面
用户已经成功的登录到了设备上,并希望以后通过Console口登录设备时采用AAA认证、以提高设备的安全性。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2 缺省配置下如何通过Console口登录设备。
表2-6 配置用户通过Console口登录设备时采用AAA认证
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
|
|
设置登录用户的认证方式为通过认证方案认证 |
authentication-mode scheme |
必选 缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证) |
|
|
使能命令行授权功能 |
command authorization |
可选 缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权 · 缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。 · 需要注意的是,执行此命令后,命令行授权功能将立即生效,此后执行的命令都要经过AAA授权后才能执行成功,因此请先完成对AAA授权及AAA服务器的配置,再使能此功能 |
|
|
使能命令行计费功能 |
command accounting |
可选 缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行 · 命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。 · 需要注意的是,执行此命令后,命令行计费功能将立即生效,因此请先完成对AAA计费及AAA服务器的配置,再使能此功能 |
|
|
退出至系统视图 |
quit |
- |
|
|
配置设备采用的认证方案 |
进入ISP域视图 |
domain domain-name |
可选 缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置: · 设备上的RADIUS、HWTACACS方案配置请参见“安全配置指导”中的“AAA配置” · AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
||
|
退出至系统视图 |
quit |
||
|
创建本地用户(进入本地用户视图) |
local-user user-name |
必选 缺省情况下,无本地用户 |
|
|
设置本地用户认证口令 |
非FIPS模式下: password [ [ hash ] { cipher | simple } password ] FIPS模式下: password |
必选 |
|
|
设置本地用户的命令级别 |
authorization-attribute level level |
可选 缺省情况下,命令级别为0 |
|
|
设置本地用户的服务类型 |
service-type terminal |
必选 缺省情况下,无用户服务类型 |
|
|
配置AUX用户界面的公共属性 |
- |
可选 详细配置请参见2.2.7 配置Console口登录方式的公共属性(可选) |
|
使能命令行授权功能后,还需要进行如下配置才能保证命令行授权功能生效:
· 需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA配置”。
· 需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA配置”。
使能命令行计费功能后,还需要进行如下配置才能保证命令行计费功能生效:
· 需要创建HWTACACS方案,在方案中指定计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA配置”。
· 需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA配置”。
需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。
· AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。
· AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。
有关AAA、RADIUS、HWTACACS的详细内容,请参见“安全配置指导”中的“AAA配置”。
配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-9所示。
图2-9 用户通过Console口登录设备时AAA认证登录界面
Console口登录方式的公共属性配置,如表2-7所示。
表2-7 Console口登录方式公共属性配置
改变Console口属性后会立即生效,所以通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性。若用户需要通过Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口属性保持一致。
设备支持Telnet功能,用户可以通过Telnet方式登录到设备上,对设备进行远程管理和维护。如图2-10。
图2-10 通过Telnet登录设备示意图
表2-8 采用Telnet方式登录需要具备的条件
|
对象 |
需要具备的条件 |
|
Telnet服务器端 |
配置设备VLAN的IP地址,设备与Telnet用户间路由可达 |
|
配置Telnet登录的认证方式和其它配置(根据Telnet服务器端的情况而定) |
|
|
Telnet客户端 |
运行Telnet程序 |
|
获取要登录设备VLAN接口的IP地址 |
设备充当Telnet Client:
· 设备支持Telnet Client功能、可作为Telnet Client登录到Telnet Server上,从而对其进行操作。
· 缺省情况下,设备的Telnet Client功能处于开启状态。
设备充当Telnet Server:
· 设备支持Telnet Server功能、可作为Telnet Server,并可在设备上进行一系列的配置,从而实现对不同Telnet Client登录的具体认证方式、用户级别等方面的控制与管理。
· 缺省情况下,设备的Telnet Server功能处于关闭状态,通过Telnet方式登录设备的认证方式为Password,但设备没有配置缺省的登录密码,即在缺省情况下用户不能通过Telnet登录到设备上。因此当您使用Telnet方式登录设备前,首先需要通过Console口登录到设备上,对认证方式、用户级别及公共属性进行相应的配置,才能保证通过Telnet方式正常登录到设备。
本节将为您介绍设备充当Telnet服务器端时:
· 设备支持的各种登录认证方式及配置Telnet登录认证方式的意义、各种认证方式的特点及注意事项。具体介绍请参见2.3.2 Telnet登录的认证方式介绍。
· 当用户确定了今后通过Telnet客户端登录设备时将采用何种认证方式后、并已成功登录到设备后,用户如何在设备上配置Telnet客户端登录设备时的认证方式、用户级别及公共属性,从而实现对Telnet登录用户的控制和管理。具体介绍请参见2.3.3 配置通过Telnet Client登录设备时无需认证(None)、2.3.4 配置通过Telnet Client登录设备时采用密码认证(Password)及2.3.5 配置通过Telnet Client登录设备时采用AAA认证(Scheme)。
· 配置通过Telnet登录设备时的公共属性。具体介绍请参见2.3.6 配置VTY用户界面的公共属性(可选)。
本节还将为您介绍设备充当Telnet客户端、Telnet登录到Server时的配置,具体请参见2.3.7 配置设备充当Telnet Client登录其它设备。
通过在Telnet的用户界面下配置认证方式,可以对使用Telnet登录的用户进行限制,以提高设备的安全性。通过Telnet登录支持的认证方式有none、password和scheme三种。
· 认证方式为none:表示下次使用Telnet登录设备时不需要进行用户名和密码认证,任何人都可以通过Telnet登录到设备上,这种情况可能会带来安全隐患。
· 认证方式为password:表示下次使用Telnet登录设备时需要进行密码认证,只有密码认证成功,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码,如果密码丢失,可以使用Console口登录到设备,对Telnet的密码配置进行查看或修改。
· 认证方式为scheme:表示下次使用Telnet登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA配置”。配置认证方式为scheme后,请妥善保存用户名及密码,如果本地认证密码丢失,可以使用Console口登录到设备,对Telnet的密码配置进行查看或修改。如果远程认证密码丢失,建议您联系服务器管理员。
不同的认证方式下,Telnet登录方式需要进行的配置不同,具体配置如表2-9所示。
|
认证方式 |
认证所需配置 |
说明 |
||
|
None |
设置登录用户的认证方式为不认证 |
具体内容请参见2.3.3 |
||
|
Password |
设置登录用户的认证方式为Password认证 |
具体内容请参见2.3.4 |
||
|
设置本地验证的口令 |
||||
|
Scheme |
设置登录用户的认证方式为Scheme认证 |
具体内容请参见2.3.5 |
||
|
选择认证方案 |
采用远端AAA服务器认证 |
在设备上配置RADIUS/HWTACACS方案 |
||
|
在设备上配置域使用的AAA方案 |
||||
|
在AAA服务器上配置相关的用户名和密码 |
||||
|
采用本地认证 |
在设备上配置认证用户名和密码 |
|||
|
在设备上配置域使用的AAA方案为本地认证 |
||||
用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时无需进行认证。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2 缺省配置下如何通过Console口登录设备。
表2-10 认证方式为None的配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能设备的Telnet服务 |
telnet server enable |
必选 缺省情况下,Telnet服务处于开启状态 |
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
设置VTY登录用户的认证方式为不认证 |
authentication-mode none |
必选 缺省情况下,VTY用户界面的认证方式为password |
|
配置从当前用户界面登录系统的用户所能访问的命令级别 |
user privilege level level |
必选 缺省情况下,通过VTY用户界面登录系统所能访问的命令级别是0 |
|
配置VTY用户界面的公共属性 |
- |
可选 详细配置请参见2.3.6 配置VTY用户界面的公共属性(可选) |
配置完成后,当用户再次通过Telnet登录设备时:
· 用户将直接进入VTY用户界面,如图2-11所示。
· 如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。
图2-11 用户通过Telnet登录设备时无需认证登录界面
用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行密码认证。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2 缺省配置下如何通过Console口登录设备。
表2-11 认证方式为Password的配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能设备的Telnet服务 |
telnet server enable |
必选 缺省情况下,Telnet服务处于开启态 |
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
设置登录用户的认证方式为本地口令认证 |
authentication-mode password |
必选 缺省情况下,VTY用户界面的认证方式为password |
|
设置本地验证的口令 |
set authentication password [ hash ] { cipher | simple } password |
必选 缺省情况下,没有设置本地认证的口令 |
|
配置从当前用户界面登录系统的用户所能访问的命令级别 |
user privilege level level |
必选 缺省情况下,通过VTY用户界面登录系统所能访问的命令级别是0 |
|
配置VTY用户界面的公共属性 |
- |
可选 详细配置请参见2.3.6 配置VTY用户界面的公共属性(可选) |
配置完成后,当用户再次通过Telnet登录设备时:
· 设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-12所示。
· 如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。
图2-12 配置用户通过Telnet登录设备时采用密码认证登录界面
用户已经成功登录到了设备上,并希望将设备作为Telnet Server从而登录设备时需要进行AAA认证。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2 缺省配置下如何通过Console口登录设备。
表2-12 配置用户通过Telnet登录设备时采用AAA认证
|
操作 |
命令 |
说明 |
||
|
进入系统视图 |
system-view |
- |
||
|
使能设备的Telnet服务 |
telnet server enable |
必选 缺省情况下,Telnet服务处于开启状态 |
||
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
||
|
设置登录用户的认证方式为通过认证方案认证 |
authentication-mode scheme |
必选 具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定 缺省情况下采用本地认证方式 |
||
|
使能命令行授权功能 |
command authorization |
可选 缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权 · 缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。 · 需要注意的是,执行此命令后,命令行授权功能将立即生效,此后执行的命令都要经过AAA授权后才能执行成功,因此请先完成对AAA授权及AAA服务器的配置,再使能此功能 |
||
|
使能命令行计费功能 |
command accounting |
可选 缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行 · 命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。 · 需要注意的是,执行此命令后,命令行计费功能将立即生效,因此请先完成对AAA计费及AAA服务器的配置,再使能此功能 |
||
|
退出至系统视图 |
quit |
- |
||
|
配置设备采用的认证方案 |
进入ISP域视图 |
domain domain-name |
可选 缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置: · 设备上的配置请参见“安全配置指导”中的“AAA配置” · AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
|
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
|||
|
退出至系统视图 |
quit |
|||
|
创建本地用户(进入本地用户视图) |
local-user user-name |
缺省情况下,无本地用户 |
||
|
设置本地认证口令 |
password { cipher | simple } password |
必选 缺省情况下,没有配置本地认证口令 |
||
|
设置VTY用户的命令级别 |
authorization-attribute level level |
可选 缺省情况下,命令级别为0 |
||
|
设置VTY用户的服务类型 |
service-type telnet |
必选 缺省情况下,无用户的服务类型 |
||
|
退出至系统视图 |
quit |
- |
||
|
配置VTY用户界面的公共属性 |
- |
可选 详细配置请参见2.3.6 配置VTY用户界面的公共属性(可选) |
||
使能命令行授权功能后,还需要进行如下配置才能保证命令行授权功能生效:
· 需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA配置”。
· 需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA配置”。
使能命令行计费功能后,还需要进行如下配置才能保证命令行计费功能生效:
· 需要创建HWTACACS方案,在方案中指定计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA配置”。
· 需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA配置”。
需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。
· AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。
· AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。
有关AAA、RADIUS、HWTACACS的详细内容,请参见“安全配置指导”中的“AAA配置”的介绍。
配置完成后,当用户再次通过Telnet登录设备时:
· 设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-13所示。
· 如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。
图2-13 用户通过Telnet登录设备时AAA认证登录界面
表2-13 VTY用户界面的公共属性配置
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
使能显示版权信息 |
copyright-info enable |
可选 缺省情况下,显示版权信息处于使能状态 |
|
|
为Telnet Client指定业务报文源地址或源接口 |
telnet client source { ip ip-address | interface interface-type interface-number } |
可选 缺省情况下,没有为Telnet Client指定源地址或源接口 |
|
|
创建VLAN接口并进入VLAN接口视图 |
interface vlan-interface vlan-interface-id |
必选 如果该VLAN接口已经存在,则直接进入该VLAN接口视图 |
|
|
配置VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } |
必选 缺省情况下,没有配置VLAN接口的IP地址 |
|
|
退出至系统视图 |
quit |
- |
|
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
|
VTY用户界面配置 |
启动终端服务 |
shell |
可选 缺省情况下,在所有的用户界面上启动终端服务 |
|
配置VTY用户界面支持的协议 |
protocol inbound { all | ssh | telnet } |
可选 缺省情况下,设备同时支持Telnet和SSH协议 使用该命令配置的协议将在用户下次使用该用户界面登录时生效
|
|
|
配置中止当前运行任务的快捷键 |
escape-key { default | character } |
可选 缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
|
|
配置终端的显示类型 |
terminal type { ansi | vt100 } |
可选 缺省情况下,终端显示类型为ANSI |
|
|
设置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏显示功能 |
|
|
设置设备历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令 |
|
|
设置VTY用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟 如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
|
|
设置从用户界面登录后自动执行的命令 |
auto-execute command command |
可选 缺省情况下,未设定自动执行命令 配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接。该命令通常用来配置Telnet命令,使用户登录时自动连接到指定的主机 |
|
· 使用auto-execute command命令后,可能导致用户不能通过该终端线对本系统进行常规配置,需谨慎使用。
· 在配置auto-execute command命令并保存配置(执行save操作)之前,要确保可以通过其他VTY、AUX用户登录进来更改配置,以便出现问题后,能删除该配置。
用户已经成功登录到了设备上,并希望将当前设备作为Telnet Client登录到Telnet Server上进行操作。具体请参见图2-14所示。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2 缺省配置下如何通过Console口登录设备。
如果Telnet Client与Telnet Server相连的端口不在同一子网内,请确保两台设备间路由可达。
表2-14 设备作为Telnet Client登录到Telnet Server的配置
|
操作 |
命令 |
说明 |
|
设备作为Telnet Client登录到Telnet Server |
telnet remote-host [ service-port ] [ source { interface interface-type interface-number | ip ip-address } ] |
可选 此命令在用户视图下执行 |
配置完成后,设备即可登录到相应的Telnet Server上。
SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。设备支持SSH功能,用户可以通过SSH方式登录到设备上,对设备进行远程管理和维护如图2-15所示。
图2-15 通过SSH登录
表2-15 采用SSH方式登录需要具备的条件
|
对象 |
需要具备的条件 |
|
SSH服务器端 |
配置设备VLAN接口的IP地址,设备与SSH用户间路由可达 |
|
配置SSH登录的认证方式和其它配置(根据SSH服务器端的情况而定) |
|
|
SSH客户端 |
运行SSH程序 |
|
获取要登录设备VLAN接口的IP地址 |
设备充当SSH Client:
· 设备支持SSH Client功能:可作为SSH Client登录到SSH Server上,从而对其进行操作。
· 缺省情况下,设备的SSH Client功能处于开启状态。
设备充当SSH Server:
· 设备支持SSH Server功能:可作为SSH Server,并可在设备上进行一系列的配置、实现对不同SSH Client的登录权限的控制。
· 缺省情况下,设备的SSH Server功能处于关闭状态,因此当您使用SSH方式登录设备前,首先需要通过Console口登录到设备上,开启设备的SSH Server功能、对认证方式及其它属性进行相应的配置,才能保证通过SSH方式正常登录到设备。
本节将为您介绍:
· 设备充当SSH服务器端时:当用户确定了今后通过SSH客户端登录设备、并已成功登录到设备后,用户如何在设备上配置SSH客户端登录设备时的认证方式及其它属性,从而实现对SSH登录用户的控制和管理。
· 设备充当SSH客户端时:设备SSH登录到Server时的配置,具体请参见2.4.3 配置设备充当SSH客户端登录其它设备。
用户已经成功登录到了设备上,并希望以后通过SSH Client登录设备。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2 缺省配置下如何通过Console口登录设备。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
生成本地DSA或RSA密钥对 |
public-key local create { dsa | rsa } |
必选 缺省情况下,没有生成DSA和RSA密钥对 |
|
使能SSH服务器功能 |
ssh server enable |
必选 缺省情况下,SSH服务器功能处于关闭状态 |
|
进入VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
配置登录用户界面的认证方式为scheme方式 |
authentication-mode scheme |
必选 缺省情况下,用户界面认证为password方式
|
|
配置所在用户界面支持SSH协议 |
protocol inbound { all | ssh | telnet } |
可选 缺省情况下,系统支持所有的协议,即支持Telnet和SSH FIPS模式下仅支持SSH协议 |
|
创建本地用户(进入本地用户视图) |
local-user user-name |
必选 缺省情况下,没有配置本地用户 |
|
设置本地认证口令 |
password { cipher | simple } password |
必选 缺省情况下,没有配置本地认证口令 |
|
设置VTY用户的命令级别 |
authorization-attribute level level |
可选 缺省情况下,命令级别为0 |
|
设置VTY用户的服务类型 |
service-type ssh |
必选 缺省情况下,无用户的服务类型 |
|
退出至系统视图 |
quit |
- |
|
建立SSH用户,并指定SSH用户的认证方式 |
ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname } |
必选 没有配置SSH用户及SSH用户的认证方式 |
|
配置VTY用户界面的公共属性 |
- |
可选 详细配置请参见2.3.6 配置VTY用户界面的公共属性(可选) |
关于SSH的详细介绍及配置,请参见“安全配置指导”中的“SSH2.0配置”。
用户已经成功登录到了设备上,并希望将当前设备作为SSH Client登录到其它设备上进行操作。具体请参见图2-14所示。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2 缺省配置下如何通过Console口登录设备。
图2-16 通过交换机设备登录到其它交换机设备
如果Telnet Client与Telnet Server相连的端口不在同一子网内,请确保两台设备间路由可达。
表2-17 设备作为SSH Client登录到其它设备的配置
|
操作 |
命令 |
说明 |
|
设备作为SSH Client登录到SSH IPv4服务器端 |
ssh2 server |
必选 server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写 此命令在用户视图下执行 |
|
设备作为SSH Client登录到SSH IPv6服务器端 |
ssh2 ipv6 server |
必选 server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写。 |
配置完成后,设备即可登录到相应的SSH Server上。
网络管理员可以通过设备的Console口,利用一对Modem和PSTN(Public Switched Telephone Network,公共电话交换网)拔号登录到设备上,对远程设备进行管理和维护。这种登录方式一般适用于在网络中断的情况下,利用PSTN网络对设备进行远程管理、维护及故障定位。
本节将为您介绍如何通过Modem登录设备,并配置登录时的认证方式、用户级别及公共属性,实现对Modem登录用户的控制。
本节将为您介绍:
· 设备支持Modem登录认证方式及配置Modem登录认证方式的意义、各种认证方式的特点及注意事项。具体请参见2.5.3 Modem拨号登录的认证方式介绍。
· 当用户确定了今后通过Modem登录设备时将采用何种认证方式后、并通过缺省配置登录到设备后,用户如何在设备上配置Modem登录设备时的认证方式及用户级别,实现对Modem登录用户的控制和管理。具体请参见2.5.4 配置用户通过Modem登录设备时无需认证(None)(FIPS模式下不支持该方式)、2.5.5 配置用户通过Modem登录设备时采用密码认证(Password)(FIPS模式下不支持该方式)及2.5.6 配置用户通过Modem登录设备时采用AAA认证(Scheme)。
· 配置通过Modem登录设备时的公共属性。具体请参见2.2.7 配置Console口登录方式的公共属性(可选)。
缺省情况下,用户通过Modem登录设备时,设备不需要任何登录认证,缺省可以访问命令级别为3级的命令。
通过Modem登录设备的方法如下:
表2-18 通过Console口利用Modem拨号进行远程登录需要具备的条件
|
配置对象 |
需要具备的条件 |
|
网络管理员端 |
PC终端与Modem正确连接 |
|
Modem与可正常使用的电话线正确相连 |
|
|
获取了远程设备端Console口所连Modem上对应的电话号码 |
|
|
设备端 |
Console口与Modem正确连接 |
|
在Modem上进行了正确的配置 |
|
|
Modem与可正常使用的电话线正确相连 |
|
|
设备上配置了登录用户的认证方式、用户级别及其它配置 |
(1) 如图2-17所示,建立远程配置环境,在PC机(或终端)的串口和设备的Console口分别挂接Modem。
图2-17 搭建远程配置环境
(2) 网络管理员端的相关配置。
PC终端与Modem正确连接、Modem与可正常使用的电话线正确相连、获取了远程设备端Console口所连Modem上对应的电话号码。
利用Modem拨号进行远程登录时,使用的是AUX用户界面,设备上的配置需要注意以下几点:
· Console口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象。
· Console口的校验方式、停止位、数据位等均采用缺省值。
(3) 在与设备直接相连的Modem上进行以下配置。
AT&F-------------------------- Modem恢复出厂配置
ATS0=1------------------------ 配置自动应答(振铃一声)
AT&D-------------------------- 忽略DTR信号
AT&K0------------------------- 禁止流量控制
AT&R1------------------------- 忽略RTS信号
AT&S0------------------------- 强制DSR为高电平
ATEQ1&W----------------------- 禁止modem回送命令响应和执行结果并存储配置
在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果。
各种Modem配置命令及显示的结果有可能不一样,具体操作请参照Modem的说明书进行。
(4) 在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),新建一个拨号连接(所拨号码为与设备相连的Modem的电话号码),与设备建立连接,如图2-18至图2-20所示。
如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的拨号控制软件,使用方法请参照软件的使用指导或联机帮助。
(5) 在远端通过终端仿真程序和Modem向设备拨号
图2-18 新建连接
图2-19 拨号号码配置
图2-20 在远端PC机上拨号
(6) 如果配置验证方式为Password,在远端的终端仿真程序上输入已配置的登录口令,出现命令行提示符(如<H3C>),即可对设备进行配置或管理。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关模块的内容。
(7) 当听到拨号音后,超级终端窗口将返回字符串“CONNECT9600”,键入回车键之后将出现命令行提示符(如<H3C>),如图2-21所示。
图2-21 AUX登录界面
(8) 键入命令,配置设备或查看设备运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。
· 当您想断开PC与远端设备的连接时,首先在超级终端中用命用“ATH”命令断开modem间的连接。如果在超级终端窗口无法输入此命令,可输入“AT+ + +”并回车,待窗口显示“OK”提示后再输入“ATH”命令,屏幕再次显示“OK”提示,表示已断开本次连接。您也可以使用超级终端页面提供的挂断按扭
断开PC与远端设备的连接。
· 当您使用完超级终端仿真程序后,务必要先断开PC与远端设备的连接,不能直接关闭超级终端,否则有些型号的远程modem将一直在线,下次拨号连接时将无法拨号成功。
通过在AUX用户界面下配置认证方式,可以对使用Modem拨号登录的用户进行限制,以提高设备的安全性。Modem拨号支持的认证方式有none、password和scheme三种。
· 认证方式为none:表示下次使用Modem拨号登录设备时,不需要进行用户名和密码认证、任何人都可以通过Modem拨号登录到设备上,这种情况可能会带来安全隐患。
· 认证方式为password:表示下次使用Modem拨号登录设备时,需要进行密码认证、只有密码认证成功、用户才能登录到设备上。配置认证方式为password后,请妥善保存密码,如果密码丢失,可以使用Modem拨号登录到交换机设备,对Modem拨号的密码配置进行查看或修改。
· 认证方式为scheme:表示下次使用Modem拨号登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA配置”。配置认证方式为scheme后,请妥善保存用户名及密码,如果本地认证密码丢失,可以使用Modem拨号登录到交换机设备,对Modem拨号的密码配置进行查看或修改。如果远程认证密码丢失,建议您联系服务器管理员。
不同的认证方式下,Modem拨号登录方式需要进行的配置不同,具体配置如表2-3所示。
表2-19 配置任务简介
|
认证方式 |
认证所需配置 |
说明 |
||
|
None |
设置登录用户的认证方式为不认证 |
具体内容请参见2.5.4 |
||
|
Password |
设置登录用户的认证方式为Password认证 |
具体内容请参见2.5.5 |
||
|
设置本地验证的口令 |
||||
|
Scheme |
设置登录用户的认证方式为Scheme认证 |
具体内容请参见2.5.6 |
||
|
选择认证方案 |
采用远端AAA服务器认证 |
在设备上配置RADIUS/HWTACACS方案 |
||
|
在设备上配置域使用的AAA方案 |
||||
|
在AAA服务器上配置相关的用户名和密码 |
||||
|
采用本地认证 |
在设备上配置认证用户名和密码 |
|||
|
在设备上配置域使用的AAA方案为本地认证 |
||||
改变Modem拨号登录方式的认证方式后,该认证方式的设置不会立即生效。用户需要退出命令行接口后重新登录,该设置才会生效。
用户已经成功登录到了设备上,并希望以后通过Modem拨号登录设备时无需进行认证。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2 缺省配置下如何通过Console口登录设备。
表2-20 配置用户通过Modem拨号登录设备时无需认证
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
|
设置登录用户的认证方式为不认证 |
authentication-mode none |
必选 缺省情况下,用户通过Modem拨号登录,认证方式为none(即不需要进行认证) |
|
配置AUX用户界面的公共属性 |
- |
可选 详细配置请参见2.5.7 配置AUX用户界面的公共属性(可选) |
配置完成后,当用户再次通过Modem拨号登录设备时,设备将提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图2-22所示。
图2-22 用户通过Modem拨号登录设备时无需认证登录界面
用户已经成功登录到了设备上,并希望以后通过Modem拨号登录设备时采用密码认证、以提高设备的安全性。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2 缺省配置下如何通过Console口登录设备。
表2-21 配置用户通过Modem拨号登录设备时采用密码认证
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
|
设置登录用户的认证方式为本地口令认证 |
authentication-mode password |
必选 缺省情况下,用户通过Modem登录,认证方式为none(即不需要进行认证) |
|
设置本地验证的口令 |
set authentication password [ hash ] { cipher | simple } password |
必选 缺省情况下,没有设置本地认证的口令 |
|
配置AUX用户界面的公共属性 |
- |
可选 详细配置请参见2.5.7 配置AUX用户界面的公共属性(可选) |
配置完成后,当用户再次通过Modem拨号登录设备时,键入回车后,设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-23所示。
图2-23 用户通过Modem拨号登录设备时采用密码认证登录界面
用户已经成功的登录到了设备上,并希望以后通过Modem拨号登录设备时采用AAA认证、以提高设备的安全性。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2 缺省配置下如何通过Console口登录设备。
表2-22 配置用户通过Modem拨号登录设备时采用AAA认证
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
|
|
设置登录用户的认证方式为通过认证方案认证 |
authentication-mode scheme |
必选 具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定 缺省情况下,用户通过AUX口登录,认证方式为none(即不需要进行认证) |
|
|
使能命令行授权功能 |
command authorization |
可选 缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权 · 缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。 · 需要注意的是,执行此命令后,命令行授权功能将立即生效,此后执行的命令都要经过AAA授权后才能执行成功,因此请先完成对AAA授权及AAA服务器的配置,再使能此功能 |
|
|
使能命令行计费功能 |
command accounting |
可选 缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行 · 命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。 · 需要注意的是,执行此命令后,命令行计费功能将立即生效,因此请先完成对AAA计费及AAA服务器的配置,再使能此功能 |
|
|
退出至系统视图 |
quit |
- |
|
|
配置设备采用的认证方案 |
进入ISP域视图 |
domain domain-name |
可选 缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置: · 设备上的RADIUS、HWTACACS方案配置请参见“安全配置指导”中的“AAA配置” · AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
||
|
退出至系统视图 |
quit |
||
|
创建本地用户(进入本地用户视图) |
local-user user-name |
必选 缺省情况下,无本地用户 |
|
|
设置本地用户认证口令 |
非FIPS模式下: password [ [ hash ] { cipher | simple } password ] FIPS模式下: password |
必选 |
|
|
设置本地用户的命令级别 |
authorization-attribute level level |
可选 缺省情况下,命令级别为0 |
|
|
设置本地用户的服务类型 |
service-type terminal |
必选 缺省情况下,无用户服务类型 |
|
|
配置AUX用户界面的公共属性 |
- |
可选 详细配置请参见2.5.7 配置AUX用户界面的公共属性(可选) |
|
使能命令行授权功能后,还需要进行如下配置才能保证命令行授权功能生效:
· 需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA配置”。
· 需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA配置”。
使能命令行计费功能后,还需要进行如下配置才能保证命令行计费功能生效:
· 需要创建HWTACACS方案,在方案中指定计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA配置”。
· 需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA配置”。
需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。
· AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。
· AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。
有关AAA、RADIUS、HWTACACS的详细内容,请参见“安全配置指导”中的“AAA配置”的介绍。
配置完成后,当用户再次通过Modem拨号登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-6所示。
图2-24 用户通过Modem拨号登录设备时AAA认证登录界面
表2-23 AUX用户界面的公共属性配置
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
使能显示版权信息 |
copyright-info enable |
可选 缺省情况下,显示版权信息处于使能状态 |
|
|
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
|
|
配置AUX口的属性 |
配置传输速率 |
speed speed-value |
可选 缺省情况下,传输速率为9600bit/s 传输速率为设备与访问终端之间每秒钟传送的比特的个数 |
|
配置校验方式 |
parity { even | mark | none | odd | space } |
可选 缺省情况下,校验方式为none,即不进行校验 |
|
|
配置停止位 |
stopbits { 1 | 1.5 | 2 } |
可选 缺省情况下,停止位为1 停止位用来表示单个包的结束。停止位的位数越多,传输效率越低 |
|
|
配置数据位 |
databits { 5 | 6 | 7 | 8 } |
可选 缺省情况下,数据位为8位 数据位的设置取决于需要传送的信息。比如,如果传送的是标准的ASCII码,则可以将数据位设置为7,如果传输的是扩展的ASCII码,则需要将数据位设置为8 |
|
|
配置启动终端会话的快捷键 |
activation-key character |
可选 缺省情况下,按<Enter>键启动终端会话 |
|
|
配置中止当前运行任务的快捷键 |
escape-key { default | character } |
可选 缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
|
|
配置流量控制方式 |
flow-control { hardware | none | software } |
可选 缺省情况下,流量控制方式为none |
|
|
配置终端的显示类型 |
terminal type { ansi | vt100 } |
可选 缺省情况下,终端显示类型为ANSI 当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型 |
|
|
设置用户登录后可以访问的命令级别 |
user privilege level level |
可选 缺省情况下,从AUX用户界面登录后可以访问的命令级别为3级 FIPS模式下不支持该命令 |
|
|
设置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏显示功能 |
|
|
设置历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令 |
|
|
设置用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟,如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
|
· 改变Console口属性后会立即生效,通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性。若用户需要通过Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口属性保持一致。
· Console口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象。
表2-24 CLI显示和维护
|
操作 |
命令 |
说明 |
|
显示当前为Telnet Client设置的源IP地址或源接口的信息 |
display telnet client configuration [ | { begin | exclude | include } regular-expression ] |
在任意视图下执行 |
|
显示当前正在使用的用户界面以及用户的相关信息 |
display users [ | { begin | exclude | include } regular-expression ] |
在任意视图下执行 |
|
显示设备支持的所有用户界面以及用户的相关信息 |
display users all [ | { begin | exclude | include } regular-expression ] |
在任意视图下执行 |
|
显示用户界面的相关信息 |
display user-interface [ num1 | { aux | vty } num2 ] [ summary ] [ | { begin | exclude | include } regular-expression ] |
在任意视图下执行 |
|
释放指定的用户界面 |
free user-interface { num1 | { aux | vty } num2 } |
在用户视图下执行 系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以使用以下命令强制断开该用户的连接。 不能使用该命令释放用户当前自己使用的连接。 |
|
锁住当前用户界面 |
lock |
在用户视图下执行 缺省情况下,不锁住当前用户界面 FIPS模式下不支持该命令 |
|
设置在用户界面之间传递消息 |
send { all | num1 | { aux | vty } num2 } |
在用户视图下执行 |
为了方便您对网络设备进行配置和维护,设备提供Web网管功能。设备提供一个内置的Web服务器,您可以通过PC登录到设备上,使用Web界面直观地配置和维护设备。
缺省情况下,用户不能通过Web登录到设备上,如果要使用Web登录设备,您首先需要通过Console口登录到设备上,开启设备的Web登录功能(开启HTTP或HTTPS协议),并配置设备VLAN接口的IP地址、Web登录用户及认证口令等,配置完成后,您即可使用Web网管的方式登录设备。
· HTTP登录方式:HTTP是Hypertext Transfer Protocol(超文本传输协议)的简称。它用来在Internet上传递Web页面信息。HTTP位于TCP/IP协议栈的应用层。传输层采用面向连接的TCP。目前,设备支持的HTTP协议版本为HTTP/1.0。
· HTTPS登录方式:HTTPS(Secure HTTP,安全的HTTP)是支持SSL(Secure Sockets Layer,安全套接层)协议的HTTP协议。HTTPS通过SSL协议,使客户端与设备之间交互的数据经过加密处理,并为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备,从而实现了对设备的安全管理。
表3-1 通过Web登录设备需要具备的条件
|
对象 |
需要具备的条件 |
|
|
设备 |
配置设备VLAN的IP地址,设备与Web登录用户间路由可达 |
|
|
配置Web登录用户的属性 二者必选其一 |
HTTP方式配置 |
|
|
HTTPS方式配置 |
||
|
Web登录用户 |
运行Web浏览器 |
|
|
获取要登录设备VLAN接口的IP地址 |
||
本节将为您介绍如何通过Web登录设备,并配置通过Web登录时的认证方式及用户级别等,实现对Web登录用户的控制。
表3-2 配置通过HTTP方式登录设备
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启动HTTP服务器 |
ip http enable |
必选 缺省情况下,Web服务器为启动状态 |
|
配置HTTP服务的端口号 |
ip http port port-number |
可选 缺省情况下,HTTP服务的端口号为80 如果重复执行此命令,HTTP服务将使用最后一次配置的端口号 |
|
配置HTTP服务与ACL关联 |
ip http acl acl-number |
可选 缺省情况下,没有ACL与HTTP服务关联 通过将HTTP服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问设备 |
|
设置Web登录用户连接的超时时间 |
web idle-timeout minutes |
可选 |
|
设置Web日志缓冲区容量 |
web logbuffer size pieces |
可选 |
|
创建本地用户(进入本地用户视图) |
local-user user-name |
必选 缺省情况下,无本地用户 |
|
配置本地认证口令 |
password { cipher | simple } password |
必选 缺省情况下,无本地认证口令 |
|
配置Web登录的用户级别 |
authorization-attribute level level |
必选 缺省情况下,没有配置Web登录的用户级别 |
|
配置Web登录用户的服务类型 |
service-type web |
必选 缺省情况下,没有配置用户的服务类型 |
|
退出至系统视图 |
quit |
- |
|
创建VLAN接口并进入VLAN接口视图 |
interface vlan-interface vlan-interface-id |
必选 如果该VLAN接口已经存在,则直接进入该VLAN接口视图 |
|
配置VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } |
必选 缺省情况下,没有配置VLAN接口的IP地址 |
表3-3 配置通过HTTPS方式登录设备
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置PKI和SSL的相关特性 |
· 有关PKI的详细内容,请参见“安全配置指导”中的“PKI配置”的介绍 · 有关SSL的详细内容,请参见“安全配置指导”中的“SSL配置”的介绍 |
必选 缺省情况下,没有对PKI和SSL进行配置 |
|
配置HTTPS服务与SSL服务器端策略关联 |
ip https ssl-server-policy policy-name |
必选 缺省情况下,没有SSL服务器端策略与HTTPS服务关联 · 关闭HTTPS服务后,系统将自动取消HTTPS服务与SSL服务器端策略的关联。再次使能HTTPS服务之前,需要重新配置HTTPS服务与SSL服务器端策略关联 · HTTPS服务处于使能状态时,对与其关联的SSL服务器端策略进行的修改不会生效 |
|
配置HTTPS服务与证书属性访问控制策略关联 |
ip https certificate access-control-policy policy-name |
可选 缺省情况下,没有证书属性访问控制策略与HTTPS服务关联 · 通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制,进一步保证设备的安全性 · 如果配置HTTPS服务与证书属性访问控制策略关联,则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verify enable命令,否则,客户端无法登录设备。 · 如果配置HTTPS服务与证书属性访问控制策略关联,则证书属性访问控制策略中必须至少包括一条permit规则,否则任何HTTPS客户端都无法登录设备。 · 证书属性访问控制策略的详细介绍请参见“安全配置指导”中的“PKI配置” |
|
使能HTTPS服务 |
ip https enable |
必选 缺省情况下,HTTPS服务处于关闭状态 使能HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。因此,在这种情况下,需要多次执行ip https enable命令,这样HTTPS服务才能正常启动 |
|
配置HTTPS服务的端口 |
ip https port port-number |
可选 缺省情况下,HTTPS服务的端口号为443 |
|
配置HTTPS服务与ACL关联 |
ip https acl acl-number |
可选 缺省情况下,没有ACL与HTTPS服务关联 通过将HTTP服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问设备 |
|
设置Web登录用户连接的超时时间 |
web idle-timeout minutes |
可选 |
|
设置Web日志缓冲区容量 |
web logbuffer size pieces |
可选 |
|
创建本地用户(进入本地用户视图) |
local-user user-name |
必选 缺省情况下,无本地用户 |
|
配置本地认证口令 |
password { cipher | simple } password |
必选 缺省情况下,无本地认证口令 |
|
配置Web登录的用户级别 |
authorization-attribute level level |
必选 缺省情况下,没有配置Web登录的用户级别 |
|
配置Web登录用户的服务类型 |
service-type web |
必选 缺省情况下,没有配置用户的服务类型 |
|
退出至系统视图 |
quit |
- |
|
创建VLAN接口并进入VLAN接口视图 |
interface vlan-interface vlan-interface-id |
必选 如果该VLAN接口已经存在,则直接进入该VLAN接口视图 |
|
配置VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } |
必选 缺省情况下,没有配置VLAN接口的IP地址 |
在完成上述配置后,在任意视图下执行display命令可以显示Web用户的信息,通过查看显示信息验证配置的效果。
表3-4 Web用户显示
|
操作 |
命令 |
|
显示Web用户的相关信息 |
display web users [ | { begin | exclude | include } regular-expression ] |
|
显示HTTP的状态信息 |
display ip http [ | { begin | exclude | include } regular-expression ] |
|
显示HTTPS的状态信息 |
display ip https [ | { begin | exclude | include } regular-expression ] |
PC与设备通过以太网相连,设备的IP地址为192.168.0.58/24。
图3-1 配置NMS登录组网图
(2) 设备侧配置
# 通过Console口正确配置设备VLAN 1(VLAN 1为设备的缺省VLAN)接口的IP地址为192.168.0.58,子网掩码为255.255.255.0。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-VLAN-interface1] ip address 192.168.0.58 255.255.255.0
[Sysname-VLAN-interface1] quit
# 配置Web网管用户名为admin,认证口令为admin,用户级别为3级。
[Sysname] local-user admin
[Sysname-luser-admin] service-type web
[Sysname-luser-admin] authorization-attribute level 3
[Sysname-luser-admin] password simple admin
(1) 客户端配置
# 在PC的浏览器地址栏内输入设备的IP地址(此处设备的IP地址以192.168.0.58为例)并回车,浏览器将显示Web网管的登录页面,如图3-2所示:
图3-2 通过Web登录设备
# 在“Web网管用户登录”对话框中输入用户名、密码及验证码(此处用户名以admin为例),并选择登录使用的语言,点击<登录>按钮后即可登录,显示Web网管初始页面。成功登录后,您可以在配置区对设备进行各种配置。
用户可以通过Web页面访问和控制设备。为了防止非法用户访问和控制设备,提高设备管理的安全性,设备要求用户以HTTPS(HTTP Security,支持SSL协议的HTTP)的方式登录Web页面,利用SSL协议实现用户身份验证,并保证传输的数据不被窃听和篡改。
为了满足上述需求,需要进行如下配置:
· 配置Device作为HTTPS服务器,并为Device申请证书。
· 为HTTPS客户端Host申请证书,以便Device验证其身份。
其中,负责为Device和Host颁发证书的CA(Certificate Authority,认证机构)名称为new-ca。
l 本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。
l 进行下面的配置之前,需要确保Device、Host、CA之间路由可达。
图3-3 HTTPS配置组网图
(1) 配置HTTPS服务器Device
# 配置PKI实体en,指定实体的通用名为http-server1、FQDN为ssl.security.com。
<Device> system-view
[Device] pki entity en
[Device-pki-entity-en] common-name http-server1
[Device-pki-entity-en] fqdn ssl.security.com
[Device-pki-entity-en] quit
# 配置PKI域1,指定信任的CA名称为new-ca、注册服务器的URL为http://10.1.2.2/certsrv/mscep/mscep.dll、证书申请的注册受理机构为RA、实体名称为en。
[Device] pki domain 1
[Device-pki-domain-1] ca identifier new-ca
[Device-pki-domain-1] certificate request url http://10.1.2.2/certsrv/mscep/mscep.dll
[Device-pki-domain-1] certificate request from ra
[Device-pki-domain-1] certificate request entity en
[Device-pki-domain-1] quit
# 生成本地的RSA密钥对。
[Device] public-key loc al create rsa
# 获取CA的证书。
[Device] pki retrieval-certificate ca domain 1
# 为Device申请证书。
[Device] pki request-certificate domain 1
# 创建SSL服务器端策略myssl,指定该策略使用PKI域1,并配置服务器端需要验证客户端身份。
[Device] ssl server-policy myssl
[Device-ssl-server-policy-myssl] pki-domain 1
[Device-ssl-server-policy-myssl] client-verify enable
[Device-ssl-server-policy-myssl] quit
# 创建证书属性组mygroup1,并配置证书属性规则,该规则规定证书颁发者的DN(Distinguished Name,可识别名称)中包含new-ca。
[Device] pki certificate attribute-group mygroup1
[Device-pki-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca
[Device-pki-cert-attribute-group-mygroup1] quit
# 创建证书访问控制策略myacp,并建立控制规则,该规则规定只有由new-ca颁发的证书可以通过证书访问控制策略的检测。
[Device] pki certificate access-control-policy myacp
[Device-pki-cert-acp-myacp] rule 1 permit mygroup1
[Device-pki-cert-acp-myacp] quit
# 配置HTTPS服务与SSL服务器端策略myssl关联。
[Device] ip https ssl-server-policy myssl
# 配置HTTPS服务与证书属性访问控制策略myacp关联,确保只有从new-ca获取证书的HTTPS客户端可以访问HTTPS服务器。
[Device] ip https certificate access-control-policy myacp
# 使能HTTPS服务。
[Device] ip https enable
# 创建本地用户usera,密码为123,服务类型为telnet。
[Device] local-user usera
[Device-luser-usera] password simple 123
[Device-luser-usera] service-type web
(2) 配置HTTPS客户端Host
在Host上打开IE浏览器,输入网址http://10.1.2.2/certsrv,根据提示为Host申请证书。
(3) 验证配置结果
在Host上打开IE浏览器,输入网址https://10.1.1.1,选择new-ca为Host颁发的证书,即可打开Device的Web登录页面。在登录页面,输入用户名usera,密码123,则可进入Device的Web配置页面,实现对Device的访问和控制。
l HTTPS服务器的URL地址以“https://”开始,HTTP服务器的URL地址以“http://”开始。
l PKI配置命令的详细介绍请参见“安全命令参考”中的“PKI配置命令”;
l public-key local create rsa命令的详细介绍请参见“安全命令参考”中的“公钥管理”;
l SSL配置命令的详细介绍请参见“安全命令参考”中的“SSL配置命令”。
用户可通过NMS(Network Management Station,网管工作站)登录到设备上,通过设备上的Agent模块对设备进行管理、配置。设备支持多种NMS软件,如iMC。
缺省情况下,用户不能通过NMS登录到设备上,如果要使用NMS登录设备,您首先需要通过Console口登录到设备上,在设备上进行相关配置。配置完成后,您即可使用NMS网管的方式登录设备。
表4-1 通过NMS登录设备需要具备的条件
|
对象 |
需要具备的条件 |
|
设备 |
配置设备VLAN接口的IP地址,设备与NMS间路由可达 |
|
配置SNMP基本功能 |
|
|
NMS(网管工作站) |
NMS网管工作站进行了正确配置,具体配置请参见NMS附带的网管手册 |
建立配置环境,将PC机以太网口通过网络与设备VLAN1下的以太网口连接,确保PC机和VLAN1接口之间路由可达。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启动SNMP Agent服务 |
snmp-agent |
可选 缺省情况下,SNMP Agent服务处于关闭状态 执行此命令或执行snmp-agent的任何一条配置命令(不含display命令),都可以启动SNMP Agent |
|
配置SNMP组 |
snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
必选 缺省情况下,没有配置SNMP组 |
|
为SNMP组添加新用户 |
snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ] |
必选 如果使用cipher参数,则后面的auth-password和priv-password都将被视为密文密码 |
表4-3 配置SNMP基本参数(SNMP v1版本、SNMP v2c版本)
|
操作 |
命令 |
说明 |
||
|
进入系统视图 |
system-view |
- |
||
|
启动SNMP Agent服务 |
snmp-agent |
可选 缺省情况下,SNMP Agent服务处于关闭状态。 执行此命令或执行snmp-agent的任何一条配置命令,都可以启动SNMP Agent |
||
|
创建或更新MIB视图内容 |
snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ] |
可选 缺省情况下,视图名为ViewDefault,OID为1 |
||
|
设置访问权限 |
直接设置 |
创建一个新的SNMP团体 |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]* |
二者必选其一 直接设置是以SNMP v1和v2c版本的团体名进行设置 间接设置采用与SNMP v3版本一致的命令形式,添加的用户到指定的组,即相当于SNMP v1和SNMP v2c版本的团体名,在NMS上配置的团体名需要跟Agent上配置的用户名一致 |
|
间接设置 |
设置一个SNMP组 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
||
|
为一个SNMP组添加一个新用户 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] |
|||
设备支持SNMP v1、SNMP v2c和SNMP v3三种版本,关于SNMP的详细介绍及配置,请参见“网络管理和监控配置指导”中的“SNMP配置”介绍。
通过NMS登录设备的方法如下(此处以iMC为例):
(1) 设备配置
# 配置设备的IP地址为1.1.1.1/24,并确保设备与NMS之间路由可达。(配置步骤略)
# 进入系统视图。
<Sysname> system-view
# 启动SNMP Agent服务。
[Sysname] snmp-agent
# 配置SNMP组。
[Sysname] snmp-agent group v3 managev3group read-view test write-view test
# 为SNMP组添加新用户
[Sysname] snmp-agent usm-user v3 managev3user managev3group
(1) 配置NMS
用户可利用网管系统完成对设备的查询和配置操作,具体情况请参考NMS的配套手册。
NMS侧的配置必须和设备侧保持一致,否则无法进行相应操作。
(2) 配置客户端
在PC的浏览器地址栏内输入iMC的IP地址(此处以iMC的IP地址为192.168.4.112为例),如图4-2所示:在地址栏中输入http://192.168.4.112:8080/imc(IP地址和端口号应与实际安装环境保持一致)。
图4-2 登录页面
在登录页面中,输入正确的操作员和密码后单击<登录>按钮,即可进入系统首页,如图4-3所示。
图4-3 iMC配置界面
成功登录后,您可以选择相应选项对设备进行各种配置和管理。需要帮助可以随时点击登录页面右上角的“帮助”选项获得相应功能的帮助信息。
通过以上配置,NMS可以和设备建立SNMP连接,能够通过MIB节点查询、设置设备上某些参数的值。
设备提供对不同登录方式进行控制,如表5-1所示。
表5-1 对登录用户的控制
|
登录方式 |
控制方式 |
实现方法 |
相关小节 |
|
Telnet |
通过源IP对Telnet进行控制 |
通过基本ACL实现 |
|
|
通过源IP、目的IP对Telnet进行控制 |
通过高级ACL实现 |
||
|
通过源MAC对Telnet进行控制 |
通过二层ACL实现 |
||
|
SNMP |
通过源IP对网管用户进行控制 |
通过基本ACL实现 |
|
|
Web |
通过源IP对Web用户进行控制 |
通过基本ACL实现 |
确定了对Telnet的控制策略,包括对哪些源IP、目的IP、源MAC进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL配置”的相关内容。
表5-2 通过源IP对Telnet进行控制
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建或进入基本ACL视图 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
|
定义子规则 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必选 |
|
退出ACL视图 |
quit |
- |
|
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用访问控制列表,通过源IP对Telnet进行控制 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必选 inbound:对Telnet到本设备的用户进行ACL控制 outbound:对从本设备Telnet到其他Telnet服务器的用户进行ACL控制 |
本配置需要通过高级访问控制列表实现。高级访问控制列表的序号取值范围为3000~3999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL配置”的相关内容。
表5-3 配置高级ACL规则
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建或进入高级ACL视图 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
|
定义子规则 |
rule [ rule-id ] { permit | deny } rule-string |
必选 用户可以根据需要配置对相应的源IP、目的IP进行过滤的规则 |
|
退出ACL视图 |
quit |
- |
|
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用访问控制列表,通过源IP、目的IP对Telnet进行控制 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必选 inbound:对Telnet到本设备的用户进行ACL控制 outbound:对从本设备Telnet到其他Telnet服务器的用户进行ACL控制 |
本配置需要通过二层访问控制列表实现。二层访问控制列表的序号取值范围为4000~4999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL配置”的相关内容。
表5-4 配置二层ACL规则
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建或进入高级ACL视图 |
acl number acl-number [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
|
定义子规则 |
rule [ rule-id ] { permit | deny } rule-string |
必选 用户可以根据需要配置对相应的源MAC进行过滤的规则 |
|
退出ACL视图 |
quit |
- |
|
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用访问控制列表,通过源MAC对Telnet进行控制 |
acl acl-number inbound |
必选 inbound:对Telnet到本设备的用户进行ACL控制 |
二层访问控制列表对于Telnet Client的源IP与Telnet服务器的接口IP不在同一网段的不生效。
通过源IP对Telnet进行控制,仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问设备。
图5-1 对Device的Telnet用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用访问控制列表,允许源地址为10.110.100.52和10.110.100.46的Telnet用户访问设备。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] acl 2000 inbound
设备支持通过网管软件进行远程管理。网管用户可以通过SNMP访问设备。通过引用访问控制列表,可以对访问设备的SNMP用户进行控制。
确定了对网管用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL配置”的相关内容。
表5-5 通过源IP对网管用户进行控制
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建或进入基本ACL视图 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
|
定义子规则 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必选 |
|
退出ACL视图 |
quit |
- |
|
在配置SNMP团体名的命令中引用访问控制列表 |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]* |
必选 根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组名或者用户名配置时引用访问控制列表,详细介绍请参见“网络管理和监控配置指导”中的“SNMP配置”的相关内容 |
|
在配置SNMP组名的命令中引用访问控制列表 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
|
|
在配置SNMP用户名的命令中引用访问控制列表 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ] |
通过源IP对网管用户进行控制,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问设备。
图5-2 对SNMP用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用访问控制列表,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问设备。
[Sysname] snmp-agent community read aaa acl 2000
[Sysname] snmp-agent group v2c groupa acl 2000
[Sysname] snmp-agent usm-user v2c usera groupa acl 2000
设备支持通过Web方式进行远程管理。Web用户可以通过HTTP协议访问设备。通过引用访问控制列表,可以对访问设备的Web用户进行控制。
确定了对Web用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL配置”的相关内容。
表5-6 通过源IP对Web用户进行控制
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建或进入基本ACL视图 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
|
定义子规则 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必选 |
|
退出ACL视图 |
quit |
- |
|
引用访问控制列表对Web用户进行控制 |
ip http acl acl-number |
HTTP和HTTPs是两种独立的登录方式,不存在配置依赖关系,请根据需要二者必选其一 |
|
ip https acl acl-number |
网络管理员可以通过命令行强制在线Web用户下线。
表5-7 强制在线Web用户下线
|
操作 |
命令 |
说明 |
|
强制在线Web用户下线 |
free web-users { all | user-id user-id | user-name user-name } |
必选 在用户视图下执行 |
通过源IP对Web用户进行控制,仅允许来自10.110.100.52的Web用户访问设备。
图5-3 对Switch的HTTP用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl number 2030 match-order config
[Sysname-acl-basic-2030] rule 1 permit source 10.110.100.52 0
# 引用访问控制列表,仅允许来自10.110.100.52的Web用户访问设备。
[Sysname] ip http acl 2030
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
