国家 / 地区

08-设备登录操作指导

04-H3C无线接入点登录设备配置

本章节下载  (364.68 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Wlan/00-Public/Trending/Wlan_OneNote/H3C_V7_OneNote/08/201911/1246593_30005_0.htm

04-H3C无线接入点登录设备配置

 

 

H3C无线接入点

登录设备配置

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

新华三技术有限公司

http://www.h3c.com

 

资料版本:6W100-20191125


  录

1 登录设备方式介绍

2 通过Console口首次登录设备

3 配置通过CLI登录设备

3.1 通过CLI登录设备简介

3.1.1 用户线简介

3.1.2 认证方式简介

3.1.3 用户角色简介

3.2 CLI登录配置限制和指导

3.3 配置通过Console口登录设备

3.3.1 功能简介

3.3.2 配置限制和指导

3.3.3 通过Console口登录设备配置任务简介

3.3.4 配置通过Console口登录设备的认证方式

3.3.5 配置Console口登录方式的公共属性

3.4 配置通过Telnet登录设备

3.4.1 功能简介

3.4.2 配置限制和指导

3.4.3 配置设备作为Telnet服务器配置

3.4.4 配置设备作为Telnet客户端登录其他设备

3.5 配置通过SSH登录设备

3.5.1 功能简介

3.5.2 配置设备作为SSH服务器

3.5.3 配置设备作为SSH客户端登录其他设备

3.6 通过CLI登录显示和维护

4 配置通过Web登录设备

4.1 通过Web登录设备简介

4.2 Web登录配置限制和指导

4.3 Web登录配置任务简介

4.4 Web登录配置准备

4.5 配置通过HTTP方式登录设备

4.6 配置通过HTTPS方式登录设备

4.7 配置用于Web登录的本地用户

4.8 管理Web登录用户连接

4.9 开启Web操作日志输出功能

4.10 通过Web登录设备显示和维护

5 配置通过SNMP登录设备

5.1 SNMP简介

5.1.1 SNMP的网络架构

5.2 配置任务简介

5.3 开启SNMP功能

5.4 配置SNMP版本

5.5 配置SNMPv1/v2c团体

5.5.1 功能简介

5.5.2 配置限制和指导

5.5.3 基于名称配置SNMPv1/v2c团体

5.5.4 基于用户配置SNMPv1/v2c团体

5.6 配置SNMPv3组和用户

5.6.1 配置限制和指导

5.6.2 配置SNMPv3组和用户

5.7 SNMP显示和维护

 


1 登录设备方式介绍

设备支持以下登录方式:

·            通过CLI登录设备。登录成功后,可以直接输入命令行,来配置和管理设备。CLI方式下又根据使用的登录接口以及登录协议不同,分为:通过Console口、Telnet或SSH登录方式。

·            通过Web登录设备。登录成功后,用户可以使用Web界面直观地配置和管理网络设备。

·            通过SNMP登录设备。登录成功后,NMS可以通过Set和Get等操作来配置和管理设备。

用户首次登录设备时,可以选择通过Console口、Web或Telnet登录,设备管理接口的IP地址为192.168.0.50/24,用户名为admin,密码为h3capadmin。

说明

·         此处设备登录方式设置均假设设备启动后不进入自动配置程序。

·         设备出厂时对某些登录设备相关功能进行了定制,例如Telnet用户的认证方式:缺省情况下,Telnet用户的认证方式为password;出厂时定制Telnet用户的认证方式为scheme。如果使用undo命令取消出厂配置,相应配置将会恢复为缺省配置。

 


2 通过Console口首次登录设备

1. 功能简介

通过Console口进行本地登录是登录设备的最基本的方式,也是配置通过其他方式登录设备的基础。

2. 配置准备

在通过Console口搭建本地配置环境时,需要通过超级终端或PuTTY等终端仿真程序与设备建立连接。用户可以运行这些程序来连接网络设备、Telnet或SSH站点。这些程序的详细介绍和使用方法请参见该程序的使用指导。

3. 配置步骤

通过Console口登录设备时,请按照以下步骤进行操作:

(1)       将PC断电。

因为PC机串口不支持热插拔,请不要在PC带电的情况下,将串口线插入或者拔出PC机。

(2)       请使用产品随机附带的配置口电缆连接PC机和设备。请先将配置口电缆的DB-9(孔)插头插入PC机的9芯(针)串口中,再将RJ-45插头端插入设备的Console口中。

提示

·         连接时请认准接口上的标识,以免误插入其他接口。

·         在拆下配置口电缆时,请先拔出RJ-45端,再拔下DB-9端。

 

图2-1 将设备与PC通过配置口电缆进行连接

 

(3)       给PC上电。

(4)       打开终端仿真程序,按如下要求设置终端参数:

¡  波特率:9600

¡  数据位:8

¡  停止位:1

¡  奇偶校验:无

¡  流量控制:无

(5)       设备上电。

在设备自检结束后,用户可通过键入回车进入命令交互界面。出现命令行提示符后即可键入命令来配置设备或查看设备运行状态,需要帮助可以随时键入?。


3 配置通过CLI登录设备

3.1  通过CLI登录设备简介

CLI登录用户的访问行为需要由用户线管理、限制,即网络管理员可以给每个用户线配置一系列参数,比如用户登录时是否需要认证、用户登录后的角色等。当用户通过CLI登录到设备的时候,系统会给用户分配一个用户线,登录用户将受到该用户线下配置参数的约束。

3.1.1  用户线简介

1. 用户线类型

设备提供如下类型的用户线:

·            Console用户线:用来管理和监控通过Console口登录的用户。

·            VTY(Virtual Type Terminal,虚拟类型终端)用户线:用来管理和监控通过Telnet或SSH登录的用户。

2. 用户线编号

用户线的编号有绝对编号方式和相对编号方式。

·            绝对编号方式

使用绝对编号方式,可以唯一的指定一个用户线。绝对编号从0开始自动编号,每次增长1,先给所有Console用户线编号,然后是所有VTY用户线。使用display line(不带参数)可查看到设备当前支持的用户线以及它们的绝对编号。

·            相对编号方式

相对编号是每种类型用户线的内部编号,表现形式为“用户线类型 编号”。用户线的编号从0开始以1为单位递增。

3. 用户线分配

用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户线,整个登录过程将受该用户线视图下配置的约束。用户与用户线并没有固定的对应关系:

·            同一用户登录的方式不同,分配的用户线不同。比如用户A使用Console口登录设备时,将受到Console用户线视图下配置的约束;当使用Telnet登录设备时,将受到VTY用户线视图下配置的约束。

·            同一用户登录的时间不同,分配的用户线可能不同。比如用户本次使用Telnet登录设备,设备为其分配的用户线是VTY 1。当该用户下次再Telnet登录时,设备可能已经把VTY 1分配给其他Telnet用户了,只能为该用户分配其他的用户线。

如果没有空闲的、相应类型的用户线可分配,则用户不能登录设备。

3.1.2  认证方式简介

在用户线下配置认证方式,可以要求当用户使用指定用户线登录时是否需要认证,以提高设备的安全性。设备支持配置如下认证方式:

·            认证方式为none:表示下次使用该用户线登录时不需要进行用户名和密码认证,任何人都可以登录到设备上,这种情况可能会带来安全隐患。

·            认证方式为password:表示下次使用该用户线登录时,需要输入密码。只有密码正确,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码。

·            认证方式为scheme:表示下次使用该用户线登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。配置认证方式为scheme后,请妥善保存用户名及密码。

认证方式不同,配置不同,具体配置如表3-1所示。

表3-1 不同认证方式下配置任务简介

认证方式

认证所需配置

none

设置登录用户的认证方式为不认证

password

设置登录用户的认证方式为password认证

设置密码认证的密码

scheme

设置登录用户的认证方式为scheme认证

在ISP域视图下为login用户配置认证方法

 

3.1.3  用户角色简介

用户角色中定义了允许用户配置的系统功能以及资源对象,即用户登录后执行的命令。

·            对于none和password认证方式,登录用户的角色由用户线下的用户角色配置决定。

·            对于scheme认证方式,且用户通过SSH的publickey或password-publickey方式登录设备时,登录用户将被授予同名的设备管理类本地用户视图下配置的授权用户角色。

·            对于scheme认证方式,非SSH登录以及用户通过SSH的password方式登录设备时,登录用户使用AAA认证用户的角色配置。尤其对于远程AAA认证用户,如果AAA服务器没有下发用户角色且缺省用户角色授权功能处于关闭状态时,用户将不能登录设备。

3.2  CLI登录配置限制和指导

通过CLI登录设备时,有以下限制和指导:

·            用户线视图下的配置优先于用户线类视图下的配置。

·            当用户线或用户线类视图下的属性配置为缺省值时,将优先采用配置为非缺省值的视图下的配置。

·            用户线视图下的配置只对该用户线生效。

·            用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效。

3.3  配置通过Console口登录设备

3.3.1  功能简介

通过Console口进行本地登录是登录设备的基本方式之一,用户可以使用本地链路登录设备,便于系统维护。具体登录步骤,请参见通过Console口首次登录设备

缺省情况下,通过Console口登录时认证方式为none,可直接登录。登录成功之后用户角色为network-admin。

首次登录后,建议修改认证方式以及其他参数来增强设备的安全性。

3.3.2  配置限制和指导

改变Console口登录的认证方式后,新认证方式对新登录的用户生效。

3.3.3  通过Console口登录设备配置任务简介

通过Console口登录设备配置任务如下:

(1)       配置通过Console口登录设备的认证方式

¡  配置通过Console口登录设备时无需认证(none)

¡  配置通过Console口登录设备时采用密码认证(password)

¡  配置通过Console口登录设备时采用AAA认证(scheme)

(2)       (可选)配置Console口登录方式的公共属性

3.3.4  配置通过Console口登录设备的认证方式

1. 配置通过Console口登录设备时无需认证(none)

(1)       进入系统视图。

system-view

(2)       进入Console用户线或Console用户线类视图。

¡  进入Console用户线视图。

line console first-number [ last-number ]

¡  进入Console用户线类视图。

line class console

(3)       设置登录用户的认证方式为不认证。

authentication-mode none

缺省情况下,用户通过Console口登录,认证方式为none

(4)       配置从当前用户线登录设备的用户角色。

user-role role-name

缺省情况下,通过Console口登录设备的用户角色为network-admin。

2. 配置通过Console口登录设备时采用密码认证(password)

(1)       进入系统视图。

system-view

(2)       进入Console用户线或Console用户线类视图。

¡  进入Console用户线视图。

line console first-number [ last-number ]

¡  进入Console用户线类视图。

line class console

(3)       设置登录用户的认证方式为密码认证。

authentication-mode password

缺省情况下,用户通过Console口登录,认证方式为none

(4)       设置认证密码。

set authentication password { hash | simple } string

缺省情况下,未设置认证密码。

(5)       配置从当前用户线登录设备的用户角色。

user-role role-name

缺省情况下,通过Console口登录设备的用户角色为network-admin。

3. 配置通过Console口登录设备时采用AAA认证(scheme)

(1)       进入系统视图。

system-view

(2)       进入Console或Console用户线类视图。

¡  进入Console用户线视图。

line console first-number [ last-number ]

¡  进入Console用户线类视图。

line class console

(3)       设置登录用户的认证方式为通过AAA认证。

authentication-mode scheme

缺省情况下,用户通过Console口登录,认证方式为none

(4)       在ISP域视图下为login用户配置认证方法。

如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置RADIUS、HWTACACS或LDAP方案。

3.3.5  配置Console口登录方式的公共属性

1. 配置限制和指导

改变Console口属性后会立即生效,所以通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性。

若用户需要通过Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口属性保持一致。否则,连接失败。

2. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入Console用户线或Console用户线类视图。

¡  进入Console用户线视图。

line console first-number [ last-number ]

¡  进入Console用户线类视图。

line class console

(3)       配置用户线的终端属性。

¡  在用户线上启动终端服务。

shell

缺省情况下,所有用户线的终端服务功能处于开启状态。

Console用户线视图下不允许关闭shell终端服务。

¡  配置终端的显示类型。

terminal type { ansi | vt100 }

缺省情况下,终端显示类型为ANSI。

建议设备的终端类型与客户端的终端类型都配置为VT100,或者均配置为ANSI的同时保证当前编辑的命令行的总字符数不超过80。否则客户端的终端屏幕不能正常显示。

¡  配置终端屏幕一屏显示的行数。

screen-length screen-length

缺省情况下,终端屏幕一屏显示的行数为24行。

screen-length 0表示关闭分屏显示功能。

¡  设置历史命令缓冲区大小。

history-command max-size value

缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令。

¡  设置用户线的空闲超时时间。

idle-timeout minutes [ seconds ]

缺省情况下,所有的用户线的超时时间为10分钟,如果直到超时时间到达,某用户线一直没有用户进行操作,则该用户线将自动断开。

超时时间为0表示永远不会超时。

(4)       配置快捷键。

¡  配置启动终端会话的快捷键。

activation-key character

缺省情况下,按<Enter>键启动终端会话。

¡  配置中止当前运行任务的快捷键。

escape-key { character | default }

缺省情况下,键入<Ctrl+C>中止当前运行的任务。

¡  配置对当前用户线进行锁定并重新认证的快捷键。

lock-key key-string

缺省情况下,不存在对当前用户线进行锁定并重新认证的快捷键。

3.4  配置通过Telnet登录设备

3.4.1  功能简介

设备可以作为Telnet服务器,以便用户能够Telnet登录到设备进行远程管理和监控。具体配置请参见“3.4.3  配置设备作为Telnet服务器配置”。

设备也可以作为Telnet客户端,Telnet到其他设备,对别的设备进行管理和监控。具体配置请参见“3.4.4  配置设备作为Telnet客户端登录其他设备”。

3.4.2  配置限制和指导

改变Telnet登录的认证方式后,新认证方式对新登录的用户生效。

3.4.3  配置设备作为Telnet服务器配置

1. 通过Telnet登录设备配置任务简介

设备作为Telnet服务器配置任务如下:

(1)       开启Telnet服务

(2)       配置设备作为Telnet服务器时的认证方式

¡  配置Telnet登录设备时无需认证(none)

¡  配置Telnet登录设备时采用密码认证(password)

¡  配置Telnet登录设备时采用AAA认证(scheme)

(3)       (可选)配置Telnet服务器发送报文的公共属性

(4)       (可选)配置VTY用户线的公共属性

2. 开启Telnet服务

(1)       进入系统视图。

system-view

(2)       开启设备的Telnet服务。

telnet server enable

缺省情况下,Telnet服务处于关闭状态。

3. 配置Telnet登录设备时无需认证(none)

(1)       进入系统视图。

system-view

(2)       进入VTY用户线或VTY用户线类视图。

¡  进入VTY用户线视图。

line vty first-number [ last-number ]

¡  进入VTY用户线类视图。

line class vty

(3)       设置登录用户的认证方式为不认证。

authentication-mode none

缺省情况下,Telnet用户的认证方式为password

用户线视图下,authentication-modeprotocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。

(4)       配置从当前用户线登录设备的用户角色。

user-role role-name

缺省情况下,通过Telnet登录设备的用户角色为network-operator。

4. 配置Telnet登录设备时采用密码认证(password)

(1)       进入系统视图。

system-view

(2)       进入VTY用户线或VTY用户线类视图。

¡  进入VTY用户线视图。

line vty first-number [ last-number ]

¡  进入VTY用户线类视图。

line class vty

(3)       设置登录用户的认证方式为密码认证。

authentication-mode password

缺省情况下,Telnet用户的认证方式为password

用户线视图下,authentication-modeprotocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。

(4)       设置密码认证的密码。

set authentication password { hash | simple } password

缺省情况下,未设置密码认证的密码。

(5)       (可选)配置从当前用户线登录设备的用户角色。

user-role role-name

缺省情况下,通过Telnet登录设备的用户角色为network-operator。

5. 配置Telnet登录设备时采用AAA认证(scheme)

(1)       进入系统视图。

system-view

(2)       进入VTY用户线或VTY用户线类视图。

¡  进入VTY用户线视图。

line vty first-number [ last-number ]

¡  进入VTY用户线类视图。

line class vty

(3)       设置登录用户的认证方式为通过AAA认证。

authentication-mode scheme

缺省情况下,Telent用户的认证方式为password

用户线视图下,authentication-modeprotocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。

(4)       在ISP域视图下为login用户配置认证方法。

如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置RADIUS、HWTACACS或LDAP方案。

6. 配置Telnet服务器发送报文的公共属性

(1)       进入系统视图。

system-view

(2)       配置Telnet服务器发送报文的DSCP优先级。

(IPv4网络)

telnet server dscp dscp-value

(IPv6网络)

telnet server ipv6 dscp dscp-value

缺省情况下,Telnet服务器发送Telnet报文的DSCP优先级为48。

(3)       配置Telnet协议的端口号。

(IPv4网络)

telnet server port port-number

(IPv6网络)

telnet server ipv6 port port-number

缺省情况下,Telnet协议的端口号为23。

(4)       配置Telnet登录同时在线的最大用户连接数。

aaa session-limit telnet max-sessions

缺省情况下,Telnet方式登录同时在线的最大用户连接数为32。

配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败。

7. 配置VTY用户线的公共属性

(1)       进入系统视图。

system-view

(2)       进入VTY用户线或VTY用户线类视图。

¡  进入VTY用户线视图。

line vty first-number [ last-number ]

¡  进入VTY用户线类视图。

line class vty

(3)       设置VTY终端属性。

¡  设置在终端线路上启动终端服务。

shell

缺省情况下,所有用户线的终端服务功能处于开启状态。

¡  配置终端的显示类型。

terminal type { ansi | vt100 }

缺省情况下,终端显示类型为ANSI。

¡  设置终端屏幕一屏显示的行数。

screen-length screen-length

缺省情况下,终端屏幕一屏显示的行数为24行。

取值为0表示关闭分屏显示功能。

¡  设置设备历史命令缓冲区大小。

history-command max-size value

缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令。

¡  设置VTY用户线的空闲超时时间。

idle-timeout minutes [ seconds ]

缺省情况下,所有的用户线的超时时间为10分钟。如果10分钟内某用户线没有用户进行操作,则该用户线将自动断开。

取值为0表示永远不会超时。

(4)       配置VTY用户线支持的协议。

protocol inbound { all | ssh | telnet }

缺省情况下,设备同时支持Telnet和SSH协议。

该配置将在用户下次使用该用户线登录时生效。

用户线视图下,authentication-modeprotocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。

(5)       设置从用户线登录后自动执行的命令。

auto-execute command command

缺省情况下,未配置自动执行命令。

注意

在配置auto-execute command命令并退出登录之前,要确保可以通过其他VTY用户登录并更改配置,以便出现问题后,能删除该配置。

 

配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发了一个任务,系统会等这个任务执行完毕后再断开连接。

(6)       配置快捷键。

¡  配置中止当前运行任务的快捷键。

escape-key { key-string | default }

缺省情况下,键入<Ctrl+C>中止当前运行的任务。

¡  配置对当前用户线进行锁定并重新认证的快捷键。

lock-key key-string

缺省情况下,不存在对当前用户线进行锁定并重新认证的快捷键。

3.4.4  配置设备作为Telnet客户端登录其他设备

1. 功能简介

用户已经成功登录到了设备上,并希望将当前设备作为Telnet客户端登录到Telnet服务器上进行操作,如图3-1所示。

图3-1 通过设备登录到其他设备

 

2. 配置准备

先配置设备IP地址并获取Telnet服务器的IP地址。如果设备与Telnet服务器相连的端口不在同一子网内,请保证两台设备间路由可达。

3. 配置步骤

(1)       进入系统视图。

system-view

(2)       (可选)指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口。

telnet client source { interface interface-type interface-number | ip ip-address }

缺省情况下,未指定发送Telnet报文的源IPv4地址和源接口,使用报文路由出接口的主IPv4地址作为Telnet报文的源地址。

(3)       退回用户视图。

quit

(4)       设备作为Telnet客户端登录到Telnet服务器。

(IPv4网络)

telnet remote-host [ service-port ] [ source { interface interface-type interface-number | ip ip-address } ] [ dscp dscp-value ] [ escape character ]

(IPv6网络)

telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ] [ dscp dscp-value ] [ escape character ]

3.5  配置通过SSH登录设备

3.5.1  功能简介

用户通过一个不能保证安全的网络环境远程登录到设备时,SSH(Secure Shell,安全外壳)可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。

·            设备可以作为SSH服务器,以便用户能够使用SSH协议登录到设备进行远程管理和监控。具体配置请参见“3.5.2  配置设备作为SSH服务器”。

·            设备也可以作为SSH客户端,使用SSH协议登录到别的设备,对别的设备进行管理和监控。具体配置请参见“3.5.3  配置设备作为SSH客户端登录其他设备”。

3.5.2  配置设备作为SSH服务器

1. 配置SSH服务器对SSH客户端采用password认证方式

(1)       进入系统视图。

system-view

(2)       开启SSH服务器功能。

ssh server enable

缺省情况下,SSH服务器功能处于关闭状态。

(3)       (可选)建立SSH用户,并指定SSH用户的认证方式。

ssh user username service-type stelnet authentication-type password

(4)       进入VTY用户线或VTY用户线类视图。

¡  进入VTY用户线视图。

line vty first-number [ last-number ]

¡  进入VTY用户线类视图。

line class vty

(5)       配VTY用户线的认证方式为scheme方式。

authentication-mode scheme

缺省情况下,VTY用户线的认证方式为password方式。

用户线视图下,authentication-modeprotocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。

(6)       (可选)配置VTY用户线支持的SSH协议。

protocol inbound { all | ssh | telnet }

缺省情况下,设备同时支持Telnet和SSH协议。

本配置将在用户下次使用该用户线登录时生效。

用户线视图下,authentication-modeprotocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。

(7)       (可选)配置SSH方式登录设备时,同时在线的最大用户连接数。

aaa session-limit ssh max-sessions

缺省情况下,SSH方式登录同时在线的最大用户连接数为32。

配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败。

(8)       (可选)退回系统视图并配置VTY用户线的公共属性。

a.   退回系统视图。

quit

b.   配置VTY用户线的公共属性。

详细配置请参见“3.4.3  7. 配置VTY用户线的公共属性”。

2. 配置SSH服务器对SSH客户端采用publickey认证方式

(1)       进入系统视图。

system-view

(2)       生成本地密钥对。

public-key local create { dsa | ecdsa { secp256r1 | secp384r1 } | rsa }

(3)       开启SSH服务器功能。

ssh server enable

缺省情况下,SSH服务器功能处于关闭状态。

(4)       (可选)建立SSH用户,并指定SSH用户的认证方式。

ssh user username service-type stelnet authentication-type publickey

(5)       进入VTY用户线或VTY用户线类视图。

¡  进入VTY用户线视图。

line vty first-number [ last-number ]

¡  进入VTY用户线类视图。

line class vty

(6)       配VTY用户线的认证方式为scheme方式。

authentication-mode scheme

缺省情况下,VTY用户线的认证方式为password方式。

用户线视图下,authentication-modeprotocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。

(7)       (可选)配置VTY用户线支持的SSH协议。

protocol inbound { all | ssh | telnet }

缺省情况下,设备同时支持Telnet和SSH协议。

本配置将在用户下次使用该用户线登录时生效。

用户线视图下,authentication-modeprotocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。

(8)       (可选)配置SSH方式登录设备时,同时在线的最大用户连接数。

aaa session-limit ssh max-sessions

缺省情况下,SSH方式登录同时在线的最大用户连接数为32。

配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败。

(9)       (可选)退回系统视图并配置VTY用户线的公共属性。

a.   退回系统视图。

quit

b.   配置VTY用户线的公共属性。

详细配置请参见“3.4.3  7. 配置VTY用户线的公共属性”。

3.5.3  配置设备作为SSH客户端登录其他设备

1. 功能简介

用户已经成功登录到了设备上,并希望将当前设备作为SSH客户端登录到其他设备上进行操作,如图3-2所示。

图3-2 通过设备登录到其他设备

 

2. 配置准备

先配置设备IP地址并获取SSH服务器的IP地址。如果设备与SSH服务器相连的端口不在同一子网内,请配置路由使得两台设备间路由可达。

3. 配置步骤

(1)       进入系统视图。

system-view

(2)       生成本地密钥对。

public-key local create { dsa | ecdsa { secp256r1 | secp384r1 } | rsa }

(3)       (可选)配置SSH客户端发送SSH报文使用的源IP地址。

(IPv4网络)

ssh client source { interface interface-type interface-number | ip ip-address }

缺省情况下,IPv4 SSH客户端采用设备路由指定的SSH报文出接口主IP地址作为源IP地址。

(IPv6网络)

ssh client ipv6 source { interface interface-type interface-number | ipv6 ipv6-address }

缺省情况下,IPv6 SSH客户端采用设备自动选择的IPv6地址作为源IP地址。

(4)       退回用户视图。

quit

(5)       配置设备作为SSH客户端登录到SSH服务器。

(IPv4网络)

ssh2 server

(IPv6网络)

ssh2 ipv6 server

3.6  通过CLI登录显示和维护

表3-2 CLI显示和维护

操作

命令

说明

显示用户线的相关信息

display line [ num1 | { console | vty } num2 ] [ summary ]

在任意视图下执行

显示设备作为Telnet客户端的相关配置信息

display telnet client

在任意视图下执行

显示当前正在使用的用户线以及用户的相关信息

display users

在任意视图下执行

显示设备支持的所有用户线以及用户的相关信息

display users all

在任意视图下执行

释放指定的用户线

free line { num1 | { console | vty } num2 }

在用户视图下执行

系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以使用以下命令强制断开该用户的连接

不能使用该命令释放用户当前自己使用的连接

锁定当前用户线并设置解锁密码,防止未授权的用户操作该线

lock

在用户视图下执行

缺省情况下,系统不会自动锁定当前用户线

锁定当前用户线并对其进行重新认证

lock reauthentication

在任意视图下执行

缺省情况下,系统不会自动锁定当前用户线并对其进行重新认证

请使用设备登录密码解除锁定并重新登录设备

向指定的用户线发送消息

send { all | num1 | { console | vty } num2 }

在用户视图下执行

 


4 配置通过Web登录设备

4.1  通过Web登录设备简介

为了方便用户对网络设备进行配置和维护,设备提供Web功能。用户可以通过PC登录到设备上,使用Web界面直观地配置和维护设备。

设备支持两种Web登录方式:

·            HTTP登录方式:HTTP(Hypertext Transfer Protocol,超文本传输协议)用来在Internet上传递Web页面信息。HTTP位于TCP/IP协议栈的应用层,传输层采用面向连接的TCP。设备同时支持HTTP协议1.0和1.1版本。

·            HTTPS登录方式:HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)是支持SSL(Secure Sockets Layer,安全套接字层)协议的HTTP协议。HTTPS通过SSL协议,能对客户端与设备之间交互的数据进行加密,能为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备,从而实现了对设备的安全管理。

4.2  Web登录配置限制和指导

如果设备只开启了HTTP服务,为了增强设备的安全性,HTTPS服务的端口号也会被自动打开,且在HTTP服务开启的状态下无法通过undo ip https enable命令关闭。

4.3  Web登录配置任务简介

Web登录配置任务如下:

(1)       配置通过Web登录设备

请选择其中一项进行配置:

¡  配置通过HTTP方式登录设备

¡  配置通过HTTPS方式登录设备

(2)       配置用于Web登录的本地用户

(3)       管理Web登录用户连接

(4)       开启Web操作日志输出功能

4.4  Web登录配置准备

在通过Web登录设备前,需要配置设备的IP地址,确保设备与Web登录用户间路由可达。

4.5  配置通过HTTP方式登录设备

(1)       (可选)请在用户视图下执行本命令,配置用户访问Web的固定校验码。

web captcha verification-code

缺省情况下,用户只能使用Web页面显示的校验码访问Web。

(2)       进入系统视图。

system-view

(3)       开启HTTP服务。

ip http enable

缺省情况下,HTTP服务处于关闭状态。

(4)       (可选)配置HTTP服务的端口号。

ip http port port-number

缺省情况下,HTTP服务的端口号为80。

(5)       (可选)配置HTTP服务在响应OPTIONS请求时返回的方法列表。

http method { delete | get | head | options | post | put } *

缺省情况下,未配置任何方法。

4.6  配置通过HTTPS方式登录设备

1. 功能简介

HTTPS登录方式分为以下两种:

·            简便登录方式:采用这种方式时,设备上只需开启HTTPS服务,用户即可通过HTTPS登录设备。此时,设备使用的证书为自签名证书,使用的SSL参数为各个参数的缺省值。这种方式简化了配置,但是存在安全隐患。(自签名证书指的是服务器自己生成的证书,无需从CA获取)

·            安全登录方式:采用这种方式时,设备上不仅要开启HTTPS服务,还需要配置SSL服务器端策略、PKI域等。这种方式配置复杂,但是具有更高的安全性。

2. 配置限制和指导

·            更改HTTPS服务与SSL服务器端的关联策略,需要先关闭HTTP和HTTPS服务,再重新配置HTTPS服务与SSL服务器端策略关联,最后重新开启HTTP服务和HTTPS服务,新的策略即可生效。

·            如需恢复HTTPS使用自签名证书的情况,必须先关闭HTTP和HTTPS服务,再执行undo ip https ssl-server-policy,最后重新开启HTTP服务和HTTPS服务即可。

·            开启HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。此时,需要多次执行ip https enable命令,HTTPS服务才能正常启动。

·            如果配置HTTPS服务与证书属性访问控制策略关联,则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verify enable命令,且证书属性访问控制策略中必须至少包括一条permit规则,否则任何HTTPS客户端都无法登录设备。

3. 配置通过HTTPS方式登录设备

(1)       (可选)请在用户视图下执行本命令,配置用户访问Web的固定校验码。

web captcha verification-code

缺省情况下,用户只能使用Web页面显示的校验码访问Web。

(2)       进入系统视图。

system-view

(3)       (可选)配置HTTPS服务与其他策略的关联。

¡  配置HTTPS服务与SSL服务器端策略关联。

ip https ssl-server-policy policy-name

缺省情况下,HTTPS服务未与SSL服务器端策略关联,HTTPS使用自签名证书。

¡  配置HTTPS服务与证书属性访问控制策略关联。

ip https certificate access-control-policy policy-name

缺省情况下,HTTPS服务未与证书属性访问控制策略关联。

通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制。

(4)       开启HTTPS服务。

ip https enable

缺省情况下,HTTPS服务处于关闭状态。

(5)       (可选)配置HTTPS服务的端口。

ip https port port-number

缺省情况下,HTTPS服务的端口号为443。

(6)       (可选)配置使用HTTPS登录设备时的认证方式。

web https-authorization mode { auto | manual }

缺省情况下,用户使用HTTPS登录设备时采用的认证模式为manual

4.7  配置用于Web登录的本地用户

(1)       进入系统视图。

system-view

(2)       创建本地用户用于Web登录,并进入本地用户视图。

local-user user-name [ class manage ]

(3)       (可选)设置本地用户的密码。

password [ { hash | simple } password ]

缺省情况下,不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其他属性验证通过即可认证成功。

(4)       配置Web登录用户的属性。

¡  配置Web登录的用户角色。

authorization-attribute user-role user-role

缺省情况下,Web登录的用户角色为network-operator。

¡  配置Web登录用户的服务类型。

service-type { http | https }

缺省情况下,未配置用户的服务类型。

4.8  管理Web登录用户连接

1. 配置Web登录用户连接的超时时间

(1)       进入系统视图。

system-view

(2)       配置Web登录用户连接的超时时间。

web idle-timeout minutes

缺省情况下,Web闲置超时时间为10分钟。

2. 配置同时在线的最大Web用户连接数

(1)       进入系统视图。

system-view

(2)       配置同时在线的最大Web用户连接数。

aaa session-limit { http | https } max-sessions

缺省情况下,同时在线的最大Web用户连接数为32。

配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败。

3. 强制在线Web用户下线

请在用户视图下执行本命令,强制在线Web用户下线。

free web users { all | user-id user-id | user-name user-name }

4.9  开启Web操作日志输出功能

(1)       进入系统视图。

system-view

(2)       开启Web操作日志输出功能。

webui log enable

缺省情况下,Web操作日志输出功能处于关闭状态。

4.10  通过Web登录设备显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示Web用户的信息、HTTP的状态信息和HTTPS的状态信息,通过查看显示信息验证配置的效果;可以在用户视图下执行free web users命令来强制在线Web用户下线。

表4-1 Web用户显示

操作

命令

显示HTTP的状态信息

display ip http

显示HTTPS的状态信息

display ip https

显示Web的页面菜单树

display web menu [ chinese ]

显示Web用户的相关信息

display web users

强制在线Web用户下线

free web users { all | user-id user-id | user-name user-name }

 


5 配置通过SNMP登录设备

5.1  SNMP简介

SNMP(Simple Network Management Protocol,简单网络管理协议)广泛用于网络设备的远程管理和操作。SNMP允许管理员通过NMS对网络上不同厂商、不同物理特性、采用不同互联技术的设备进行管理,包括状态监控、数据采集和故障处理。

5.1.1  SNMP的网络架构

SNMP网络架构由三部分组成:NMS、Agent和MIB。

·            NMS(Network Management System,网络管理系统)是SNMP网络的管理者,能够提供友好的人机交互界面,方便网络管理员完成大多数的网络管理工作。

·            Agent是SNMP网络的被管理者,负责接收、处理来自NMS的SNMP报文。在某些情况下,如接口状态发生改变时,Agent也会主动向NMS发送告警信息。

·            MIB(Management Information Base,管理信息库)是被管理对象的集合。NMS管理设备的时候,通常会关注设备的一些参数,比如接口状态、CPU利用率等,这些参数就是被管理对象,在MIB中称为节点。每个Agent都有自己的MIB。MIB定义了节点之间的层次关系以及对象的一系列属性,比如对象的名称、访问权限和数据类型等。被管理设备都有自己的MIB文件,在NMS上编译这些MIB文件,就能生成该设备的MIB。NMS根据访问权限对MIB节点进行读/写操作,从而实现对Agent的管理。

NMS、Agent和MIB之间的关系如图5-1所示。

图5-1 NMS、Agent和MIB关系图

 

5.2  配置任务简介

SNMP配置任务如下:

(1)       开启SNMP功能

(2)       配置SNMP版本

(3)       配置SNMP基本参数

¡  配置SNMPv1/v2c团体

¡  配置SNMPv3组和用户

5.3  开启SNMP功能

1. 配置限制和指导

执行除snmp-agent calculate-password外任何以snmp-agent开头的命令,都可以开启SNMP功能。

2. 配置步骤

(1)       进入系统视图。

system-view

(2)       启动SNMP功能。

snmp-agent

缺省情况下,SNMP功能处于关闭状态。

5.4  配置SNMP版本

1. 配置限制和指导

设备支持SNMPv1、SNMPv2c和SNMPv3三种版本。只有NMS和设备使用的SNMP版本相同时,NMS才能和Agent建立连接。

2. 配置步骤

(1)       进入系统视图。

system-view

(2)       配置设备支持的SNMP版本。

snmp-agent sys-info version { all | { v1 | v2c | v3 } * }

缺省情况下,启用SNMPv3版本。

多次执行该命令配置不同的版本时,各配置均生效,设备会和NMS协商一个版本进行通信

5.5  配置SNMPv1/v2c团体

5.5.1  功能简介

用户可以基于名称配置SNMPv1/v2c团体,或者基于用户配置SNMPv1/v2c团体。两种配置方式,效果相同。基于用户配置指的是先创建SNMP组,再向创建的组中添加SNMPv1/v2c用户,SNMPv1/v2c用户相当于SNMPv1/v2c的团体名,在NMS上配置的团体名需要跟设备上配置的SNMPv1/v2c用户名一致。

5.5.2  配置限制和指导

为了安全起见,只有具有network-admin或者level-15用户角色的用户登录设备后才能创建SNMP团体、用户或组。其它角色的用户,即使授权了SNMP特性或相应命令的操作权限,也不能执行相应命令。

5.5.3  基于名称配置SNMPv1/v2c团体

(1)       进入系统视图。

system-view

(2)       直接创建SNMP团体。请选择其中一项进行配置。

¡  VACM方式:

snmp-agent community { read | write } [ simple | cipher ] community-name [ mib-view view-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *

¡  RBAC方式:

snmp-agent community [ simple | cipher ] community-name user-role role-name [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *

(3)       (可选)创建团体名到SNMP上下文的映射。

snmp-agent community-map community-name context context-name

5.5.4  基于用户配置SNMPv1/v2c团体

(1)       进入系统视图。

system-view

(2)       通过创建用户来创建SNMP团体。

a.   创建SNMPv1/v2c组:

snmp-agent group { v1 | v2c } group-name [ read-view view-name ] [ write-view view-name ] [ notify-view view-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *

b.   创建SNMPv1/v2c用户:

snmp-agent usm-user { v1 | v2c } user-name group-name [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *

(3)       (可选)创建团体名到SNMP上下文的映射。

snmp-agent community-map community-name context context-name

5.6  配置SNMPv3组和用户

5.6.1  配置限制和指导

为了安全起见,只有具有network-admin或者level-15用户角色的用户登录设备后才能创建SNMP用户或组。其它角色的用户,即使授权了SNMP特性或相应命令的操作权限,也不能执行相应命令。

SNMPv3使用组来管理用户。NMS使用SNMPv3用户名访问设备时,是否需要认证和加密,由组的配置决定,创建用户时,可以为不同用户配置不同的算法和认证密码、加密密码,基本配置要求见表5-1

表5-1 不同安全模式的基本配置要求

安全模型

创建组时必须配置的相关参数

创建用户时必须配置的相关参数

说明

认证加密

privacy

算法、认证密码、加密密码

认证密码和加密密码必须和NMS上的一致才能建立SNMP连接

认证不加密

authentication

算法、认证密码

认证密码必须和NMS上的一致才能建立SNMP连接

不认证不加密

即便配置了认证密码、加密密码,建立SNMP连接时也不会用到

 

5.6.2  配置SNMPv3组和用户

(1)       进入系统视图。

system-view

(2)       创建SNMPv3组。

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view view-name ] [ write-view view-name ] [ notify-view view-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *

(3)       (可选)为明文密码计算对应的密文密码。

snmp-agent calculate-password plain-password mode { 3desmd5 | 3dessha | md5 | sha } { local-engineid | specified-engineid engineid }

(4)       创建SNMPv3用户。请选择其中一项进行配置。

¡  VACM方式:

snmp-agent usm-user v3 user-name group-name [ remote { ipv4-address | ipv6 ipv6-address } ] [ { cipher | simple } authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *

¡  RBAC方式:

snmp-agent usm-user v3 user-name user-role role-name [ remote { ipv4-address | ipv6 ipv6-address } ] [ { cipher | simple } authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *

当设备需要向目的主机发送SNMPv3 Inform报文时,remote参数必选。

如果使用cipher参数,则后面的auth-passwordpriv-password都必须输入并被视为密文密码。

(5)       (可选)为通过RBAC方式创建的SNMPv3用户添加角色。

snmp-agent usm-user v3 user-name user-role role-name

缺省情况下,使用创建SNMPv3用户时指定的角色。

5.7  SNMP显示和维护

在完成上述配置后,在任意视图下执行display命令,均可以显示配置后SNMP的运行情况,通过查看显示信息,来验证配置的效果。

表5-2 SNMP显示和维护

操作

命令

显示SNMPv1或SNMPv2c团体信息

display snmp-agent community [ read | write ]

显示SNMP组信息

display snmp-agent group [ group-name ]

显示SNMPv3用户信息

display snmp-agent usm-user [ engineid engineid | username user-name | group group-name ] *

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!