02-登录交换机
本章节下载: 02-登录交换机 (1.2 MB)
· 使能FIPS模式并重启设备后,Telnet功能和HTTP功能被禁用。
· 本文中有关FIPS模式的详细介绍,请参见“安全配置指导”中的“FIPS”。
您可以通过以下几种方式登录到交换机的命令行界面,对交换机进行配置和管理。
表1-1 登录方式简介
登录方式 |
缺省状况 |
|
缺省情况下,您可以直接通过Console口或AUX口本地登录交换机,登录时认证方式为None(不需要用户名和密码),登录用户级别为3 |
||
缺省情况下,您不能直接通过Telnet方式登录交换机。如需采用Telnet方式登录,需要先通过Console口本地登录交换机、并完成如下配置: · 开启交换机Telnet Server功能(缺省情况下,交换机的Telnet Server功能处于关闭状态) · 配置交换机网管口或VLAN接口的IP地址,确保交换机与Telnet登录用户间路由可达(缺省情况下,交换机没有IP地址) · 配置VTY用户的认证方式(缺省情况下,VTY用户采用Password认证方式) · 配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0) |
||
缺省情况下,您不能直接通过SSH方式登录交换机。如需采用SSH方式登录,需要先通过Console口本地登录交换机、并完成如下配置: · 开启交换机SSH Server功能并完成SSH属性的配置(缺省情况下,交换机的SSH Server功能处于关闭状态) · 配置交换机VLAN接口的IP地址,确保交换机与Telnet登录用户间路由可达(缺省情况下,交换机没有IP地址) · 配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用Password认证方式) · 配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0) |
||
缺省情况下,您不能直接通过AUX口利用Modem拨号远程登录交换机。如需通过AUX口登录,请先通过Console口本地登录交换机、并完成如下配置: · 配置AUX用户的认证方式(缺省情况下,AUX用户采用Password认证方式) · 配置AUX用户的用户级别(缺省情况下,AUX用户的用户级别为0) |
||
AUX口可以用作Console口的备用接口,通过AUX口进行本地登录和通过Console口进行本地登录的操作步骤相同,以下配置仅以Console口为例。
通过交换机Console口进行本地登录是登录交换机的最基本的方式,也是配置通过其他方式登录交换机的基础。缺省情况下,交换机只能通过Console口进行本地登录。
用户终端的通信参数配置要和交换机Console口的缺省配置保持一致,才能通过Console口登录到交换机上。交换机Console口的缺省配置如下:
表1-2 交换机Console口缺省配置
属性 |
缺省配置 |
传输速率 |
9600bit/s |
流控方式 |
不进行流控 |
校验方式 |
不进行校验 |
停止位 |
1 |
数据位 |
8 |
(1) 如图1-1所示,建立本地配置环境,将PC机或终端的串口通过配置电缆与交换机的Console口连接。
图1-1 通过Console口连接S9500E
请按照如下顺序连接配置电缆:
第一步:将配置电缆的DB-9孔式插头连接到要对交换机进行配置的PC机或终端的串口上。
第二步:将配置电缆的RJ-45一端插入到交换机主控板上的Console口。
· 如果交换机上安装了2块主控板,首次登录时请使用主用主控板(一般为槽位号小的主控板)的Console口登录。
· 拆除连接PC机与交换机的配置电缆时,应先拔出配置电缆的RJ-45端,再拔出配置电缆的DB-9端。
(2) 在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),选择与交换机相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图1-2至图1-4所示。
如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理交换机;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参见软件的使用指导或联机帮助。
(3) 交换机上电,终端上显示交换机自检信息,自检结束后提示用户键入回车,之后将出现如下命令行提示符:
(4) 键入命令,配置交换机或查看交换机运行状态。需要帮助可以随时键入“?”。
(5) 执行完以上步骤后,您就可以登录交换机的CLI界面,使用命令行对交换机进行配置和管理了。缺省情况下,使用Console用户界面登录交换机时不需要身份认证。为了提升安全性,建议修改Console用户界面的认证方式。下面以password认证方式的配置为例进行介绍。
<Sysname> system-view
[Sysname] user-interface console 0
[Sysname-ui-console0] authentication-mode password
[Sysname-ui-console0] set authentication password cipher 123
执行以上操作后,用户使用Console用户界面重新登录交换机时,需要输入认证密码123才能通过身份验证,成功登录交换机。
· 您还可以将Console用户界面的认证方式配置为none(无认证)或者scheme(用户名和密码认证),关于认证方式的介绍和详细配置请参见5.8 配置用户的认证方式。
· 您使用Console口登录后,除了认证方式,还可以对其它登录参数进行配置,详细介绍请参见5.3.1 配置异步串口属性和5.3.2 配置用户界面公共属性。
交换机支持Telnet功能,您可以通过Telnet方式对交换机进行远程管理和维护。
Telnet Server和Telnet Client都要进行相应的配置,您才能通过Telnet Client正常登录到Telnet Server。
表1-3 通过Telnet方式登录需要具备的条件
对象 |
需要具备的条件 |
Telnet Server |
· 配置Telnet Server的IP地址 · Telnet Server与Telnet Client间路由可达 · 开启Telnet服务器功能 · 配置Telnet登录的认证方式 |
Telnet Client |
运行了Telnet程序 |
获取要登录的Telnet Server的IP地址 |
交换机既可以充当Telnet Server,也可以充当Telnet Client。
· 作为Telnet Server
缺省情况下,交换机的Telnet Server功能处于关闭状态,通过Telnet方式登录交换机的认证方式为Password,但交换机没有配置缺省的登录密码。因此在缺省情况下您无法通过Telnet登录到交换机上。
如果您想通过Telnet方式登录交换机,需要首先完成以下配置:
(1) 通过Console口登录交换机,配置交换机网管口或VLAN接口的IP地址;
(2) 开启交换机的Telnet Server功能(telnet server enable);
(3) 配置通过Telnet登录交换机的认证方式;
(4) 配置用户级别及公共属性。具体介绍请参见5.3.2 配置用户界面公共属性(可选)。
· 作为Telnet Client
缺省情况下,交换机的Telnet Client功能处于开启状态。您可以通过交换机登录到其他Telnet Server上。
本小节中Telnet Client以PC为例。
(1) 通过Console口登录交换机(详见1.2.2 通过Console口登录交换机),配置交换机网络管理口(以下简称“网管口”)的IP地址。
除了网管口,您也可以通过交换机的其他三层接口(如三层以太网接口、VLAN接口)进行Telnet登录。
# 配置交换机网管口的IP地址为202.38.160.92/24。
<Sysname> system-view
[Sysname] interface M-Ethernet 0/0/0
[Sysname-M-Ethernet0/0/0] ip address 202.38.160.92 255.255.255.0
(2) 开启交换机的Telnet Server功能。
表1-4 在交换机上启动Telnet服务
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
在交换机上启动Telnet服务 |
telnet server enable |
必选 缺省情况下,Telnet服务处于关闭状态 |
(3) 进入VTY用户界面视图,配置用户通过Telnet登录交换机的认证方式(请参见5.8 配置用户的认证方式)。
(4) 配置从VTY用户界面登录交换机所能访问的命令级别(请参见“基础配置指导”中的“CLI”)。缺省情况下,通过Telnet登录交换机时只能访问命令级别为0级的命令。
(5) 如图1-5所示建立配置环境,将PC机以太网口通过网络与交换机的网管口连接,确保PC机和网管口之间路由可达。
(6) 在PC机上运行Telnet程序,输入交换机网管口的IP地址,如图1-6所示。
(7) 如果之前配置的Telnet登录认证方式为none,则无需用户名和密码即可登录;如果认证方式为password,则终端会提示您输入登录密码;如果认证方式为scheme,则需要输入用户名和密码后才能登录,如果用户输入正确的登录用户名和密码后,交换机提示用户再次输入一个指定类型的密码,则表示当前用户需要进行二次密码认证,即用户还必须根据提示信息输入一个正确的密码后才能通过认证。
(8) 使用相应命令配置交换机或查看交换机运行状态。需要帮助可以随时键入“?”。
· 通过Telnet配置交换机时,请不要删除或修改交换机上对应本Telnet连接的网管口(或VLAN接口)的IP地址,否则会导致Telnet连接断开。
· Telnet登录时如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到交换机的用户过多,请稍候再连接。
您可以通过交换机Telnet登录到其他设备上,对其他设备进行配置。
(1) 如图1-7所示建立配置环境。
图1-7 通过Telnet Client交换机登录到Telnet Server交换机
如果Telnet Client与Telnet Server相连的端口不在同一子网内,请确保两台设备间路由可达。
(2) 对Telnet Server进行配置。
· 在Telnet Server设备上开启Telnet Server功能。
· 针对用户需要的不同认证方式,在作为Telnet Server的交换机上进行相应配置。
(3) 登录到作为Telnet Client的交换机。
(4) 在Telnet Client上通过telnet命令登录到Telnet Server。
表1-5 交换机作为Telnet Client登录到其它设备
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口 |
telnet client source { interface interface-type interface-number | ip ip-address } |
可选 缺省情况下,没有指定发送Telnet报文的源IPv4地址和源接口,此时通过路由选择源IPv4地址 |
退出至系统视图 |
quit |
- |
交换机作为Telnet Client登录到Telnet Server |
telnet remote-host [ service-port ] [ [ vpn-instance vpn-instance-name ] | [ source { interface interface-type interface-number | ip ip-address } ] ] |
二者必选其一 此命令在用户视图下执行 |
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] |
(5) 登录后,出现命令行提示符(如<Sysname>)。如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到交换机的用户过多,请稍候再连接。
(6) 使用相应命令配置交换机或查看交换机运行状态。需要帮助可以随时键入“?”。
SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到交换机时,SSH可以利用加密和强大的认证功能提供安全保障,保护交换机不受诸如IP地址欺诈、明文密码截取等攻击。交换机支持SSH功能,用户可以通过SSH方式登录到交换机上,对交换机进行远程管理和维护如图1-8所示。
表1-6 采用SSH方式登录需要具备的条件
对象 |
需要具备的条件 |
SSH Server |
配置SSH Server的IP地址,SSH Server与SSH Client间路由可达 |
配置SSH登录的认证方式和其它配置(根据SSH Server的情况而定) |
|
SSH Client |
如果是主机作为SSH客户端,则需要在主机上运行SSH客户端程序 |
获取要登录的SSH Server的IP地址 |
交换机既可以充当SSH Server,也可以充当SSH Client。
作为SSH Server:
· 可在SSH Server上进行一系列的配置,实现对不同SSH Client的登录权限的控制。
· 缺省情况下,交换机的SSH Server功能处于关闭状态,因此当您使用SSH方式登录交换机前,首先需要通过Console口登录到交换机上,开启交换机的SSH Server功能、对认证方式及其它属性进行相应的配置,才能保证通过SSH方式正常登录到交换机。
作为SSH Client:
· 可通过交换机登录到SSH Server上,从而对SSH Server进行操作。
· 缺省情况下,交换机的SSH Client功能处于开启状态。
通过Console口本地登录交换机,具体请参见1.2 通过Console口/AUX口进行本地登录。
表1-7 交换机充当SSH SERVER时的配置
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
生成本地DSA或RSA密钥对 |
public-key local create { dsa | rsa } |
必选 缺省情况下,没有生成DSA和RSA密钥对 |
|
使能SSH SERVER功能 |
ssh server enable |
必选 缺省情况下,SSH SERVER功能处于关闭状态 |
|
退出至系统视图 |
quit |
- |
|
进入VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
配置登录用户界面的认证方式为scheme方式 |
authentication-mode scheme |
必选 缺省情况下,用户界面认证为password方式 |
|
配置所在用户界面支持SSH协议 |
protocol inbound { all | ssh | telnet } |
可选 缺省情况下,系统支持所有的协议,即支持Telnet和SSH |
|
退出至系统视图 |
quit |
- |
|
配置交换机采用的认证方案 |
进入ISP域视图 |
domain domain-name |
可选 缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置: · 交换机上的配置请参见“安全配置指导”中的“AAA” · AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
||
退出至系统视图 |
quit |
||
创建本地用户,并进入本地用户视图 |
local-user user-name |
必选 缺省情况下,没有配置本地用户 |
|
设置本地认证口令 |
password { cipher | simple } password |
必选 缺省情况下,没有配置本地认证口令 |
|
设置本地用户的命令级别 |
authorization-attribute level level |
可选 缺省情况下,命令级别为0 |
|
设置本地用户的服务类型 |
service-type ssh |
必选 缺省情况下,不对用户授权任何服务 |
|
退回系统视图 |
quit |
- |
|
建立SSH用户,并指定SSH用户的认证方式 |
ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname } |
可选 缺省情况下,没有配置SSH用户及SSH用户的认证方式 |
|
配置VTY用户界面的公共属性 |
- |
可选 详细配置请参见5.3.2 配置用户界面公共属性 |
· 从SSH Client登录到交换机(SSH Server)的具体步骤,与充当SSH Client的设备型号有关,请参考SSH Client设备配套的用户手册。
· 本章只介绍采用password方式认证SSH客户端的配置方法,publickey方式的配置方法及SSH的详细介绍,请参见“安全配置指导”中的“SSH”。
使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:
· 需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;
· 需要在ISP域中引用已创建的HWTACACS方案。
详细介绍请参见“安全配置指导”中的“AAA”。
· 用户采用password认证方式登录交换机时,其所能访问的命令级别取决于AAA方案中定义的用户级别。AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定;AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。有关AAA、RADIUS、HWTACACS的详细内容,请参见“AAA配置指导”中的“AAA”。
· 用户采用publickey认证方式登录交换机时,其所能访问的命令级别取决于用户界面上通过user privilege level命令配置的级别。
通过Console口本地登录交换机,具体请参见1.2 通过Console口/AUX口进行本地登录。
图1-9 通过交换机登录到其它设备
如果Telnet Client与Telnet Server相连的端口不在同一子网内,请确保两台设备间路由可达。
表1-8 交换机作为SSH Client登录到其它设备的配置
操作 |
命令 |
说明 |
交换机作为SSH Client登录到SSH IPv4服务器端 |
ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * |
必选 server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写 此命令在用户视图下执行 |
交换机作为SSH Client登录到SSH IPv6服务器端 |
ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * |
必选 server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写 此命令在用户视图下执行 |
为配合SSH Server,交换机充当SSH Client时还可进一步进行其它配置,具体配置请参见“安全配置指导”中的“SSH”。
配置完成后,交换机即可登录到相应的SSH Server上。
网络管理员可以通过远端交换机的AUX口,利用一对Modem和PSTN(Public Switched Telephone Network,公共电话交换网)对远端的交换机进行远程维护。这种方式一般适用于在网络中断的情况下,利用PSTN网络对交换机进行远程配置、日志/告警信息查询、故障定位。
交换机和网络管理员端都要进行相应的配置,才能保证通过AUX口利用Modem拨号进行远程登录交换机。
表1-9 通过AUX口利用Modem拨号远程登录需要具备的条件
配置对象 |
需要具备的条件 |
网络管理员端 |
PC终端与Modem正确连接 |
Modem与可正常使用的电话线正确相连 |
|
获取了远程交换机端AUX口所连Modem上对应的电话号码 |
|
远程交换机端 |
AUX口与Modem正确连接 |
在Modem上进行了正确的配置 |
|
Modem与可正常使用的电话线正确相连 |
|
PC终端与Modem正确连接、Modem与可正常使用的电话线正确相连、获取了远程交换机端AUX口所连Modem上对应的电话号码。
在与交换机直接相连的Modem上进行以下配置(与终端相连的Modem不需要进行配置)。
AT&F ----------------------- Modem恢复出厂配置
ATS0=1 ----------------------- 配置自动应答(振铃一声)
AT&D ----------------------- 忽略DTR信号
AT&K0 ----------------------- 禁止流量控制
AT&R1 ----------------------- 忽略RTS信号
AT&S0 ----------------------- 强制DSR为高电平
ATEQ1&W ----------------------- 禁止modem回送命令响应和执行结果并存储配置
在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果。
各种Modem配置命令及显示的结果有可能不一样,具体操作请参见Modem的说明书进行。
通过AUX口利用Modem拨号进行远程登录时,使用的是AUX用户界面,交换机上的配置需要注意以下几点:
· AUX口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象。
· AUX口的其它属性(AUX口校验方式、AUX口的停止位、AUX的数据位)均采用缺省值。
(1) 在与交换机直接相连的Modem上进行以下配置。
AT&F ----------------------- Modem恢复出厂配置
ATS0=1 ----------------------- 配置自动应答(振铃一声)
AT&D ----------------------- 忽略DTR信号
AT&K0 ----------------------- 禁止流量控制
AT&R1 ----------------------- 忽略RTS信号
AT&S0 ----------------------- 强制DSR为高电平
ATEQ1&W ----------------------- 禁止modem回送命令响应和执行结果并存储配置
在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果。
(2) 如图1-10所示,建立远程配置环境,在PC机(或终端)的串口和交换机的AUX口分别挂接Modem。
(3) 在远端通过终端仿真程序和Modem向交换机拨号(所拨号码应该是与交换机相连的Modem的电话号码),与交换机建立连接,如图图1-12至图1-13所示。
图1-11 新建连接
图1-13 在远端PC机上拨号
(4) 如果配置认证方式为Password,在远端的终端仿真程序上输入已配置的登录口令,出现命令行提示符(如<Sysname>),即可对交换机进行配置或管理。需要帮助可以随时键入“?”。
为了方便您对网络交换机进行配置和维护,交换机提供Web网管功能。交换机提供一个内置的Web服务器,您可以通过PC登录到交换机上,使用Web界面直观地配置和维护交换机。
缺省情况下,用户不能通过Web登录到交换机上,如果要使用Web登录交换机,您首先需要通过Console口登录到交换机上,开启交换机的Web登录功能(开启HTTP协议),并配置交换机VLAN接口的IP地址、Web登录用户及认证口令等,配置完成后,您即可使用Web网管的方式登录交换机。
交换机支持两种内置的Web登录方式:
· HTTP登录方式:HTTP是Hypertext Transfer Protocol(超文本传输协议)的简称。它用来在Internet上传递Web页面信息。HTTP位于TCP/IP协议栈的应用层。传输层采用面向连接的TCP。目前,交换机支持的HTTP协议版本为HTTP/1.0。
· HTTPS登录方式:HTTPS(Secure HTTP,安全的HTTP)是支持SSL(Secure Sockets Layer,安全套接层)协议的HTTP协议。HTTPS通过SSL协议,使客户端与交换机之间交互的数据经过加密处理,并为交换机制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问交换机,禁止非法的客户端访问交换机,从而实现了对交换机的安全管理。
对象 |
需要具备的条件 |
交换机 |
配置交换机VLAN的IP地址,交换机与Web登录用户间路由可达 |
Web登录用户 |
运行Web浏览器 |
获取要登录交换机VLAN接口的IP地址 |
本节将为您介绍如何通过Web登录交换机,并配置通过Web登录时的认证方式及用户级别等,实现对Web登录用户的控制。
表2-2 配置通过HTTP方式登录交换机
操作 |
命令 |
说明 |
配置用户访问Web的固定校验码 |
web captcha verification-code |
可选 缺省情况下,用户只能使用Web页面显示的校验码访问Web 该命令在用户视图下执行 |
进入系统视图 |
system-view |
|
启动HTTP服务器 |
ip http enable |
必选 缺省情况下,HTTP服务器处于关闭状态 |
配置HTTP服务的端口号 |
ip http port port-number |
可选 缺省情况下,HTTP服务的端口号为80 如果重复执行此命令,HTTP服务将使用最后一次配置的端口号 |
配置HTTP服务与ACL关联 |
ip http acl acl-number |
可选 缺省情况下,没有ACL与HTTP服务关联 通过将HTTP服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问交换机 |
创建本地用户(进入本地用户视图) |
local-user user-name |
必选 缺省情况下,无本地用户 |
配置本地认证口令 |
password { cipher | simple } password |
必选 缺省情况下,无本地认证口令 |
配置Web登录的用户级别 |
authorization-attribute level level |
必选 缺省情况下,没有配置Web登录的用户级别 |
配置Web登录用户的服务类型 |
service-type web |
必选 缺省情况下,没有配置用户的服务类型 |
退回系统视图 |
quit |
- |
创建VLAN接口并进入VLAN接口视图 |
interface vlan-interface vlan-interface-id |
必选 如果该VLAN接口已经存在,则直接进入该VLAN接口视图 |
配置VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } |
必选 缺省情况下,没有配置VLAN接口的IP地址 |
HTTPS登录方式分为以下两种:
· 简便登录方式:采用这种方式时,设备上只需使能HTTPS服务,用户即可通过HTTPS登录设备。此时,设备使用的证书为自签名证书,使用的SSL参数为各个参数的缺省值。这种方式简化了配置,但是存在安全隐患。(自签名证书指的是服务器自己生成的证书,无需从CA获取)
· 安全登录方式:采用这种方式时,设备上不仅要使能HTTPS服务,还需要配置SSL服务器端策略、PKI域等。这种方式配置复杂,但是具有更高的安全性。
· SSL的相关描述和配置请参见“安全配置指导”中的“SSL”。
· PKI的相关描述和配置请参见“安全配置指导”中的“PKI”。
表2-3 配置通过HTTPS方式登录交换机
操作 |
命令 |
说明 |
配置用户访问Web的固定校验码 |
web captcha verification-code |
可选 缺省情况下,用户只能使用Web页面显示的校验码访问Web 该命令在用户视图下执行 |
进入系统视图 |
system-view |
|
配置HTTPS服务与SSL服务器端策略关联 |
ip https ssl-server-policy policy-name |
可选 缺省情况下,没有SSL服务器端策略与HTTPS服务关联 · 关闭HTTPS服务后,系统将自动取消HTTPS服务与SSL服务器端策略的关联。再次使能HTTPS服务之前,需要重新配置HTTPS服务与SSL服务器端策略关联 · HTTPS服务处于使能状态时,对与其关联的SSL服务器端策略进行的修改不会生效 |
使能HTTPS服务 |
ip https enable |
必选 缺省情况下,HTTPS服务处于关闭状态 使能HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果交换机的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果交换机的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。因此,在这种情况下,需要多次执行ip https enable命令,这样HTTPS服务才能正常启动 |
配置HTTPS服务与证书属性访问控制策略关联 |
ip https certificate access-control-policy policy-name |
可选 缺省情况下,没有证书属性访问控制策略与HTTPS服务关联 · 通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制,进一步保证交换机的安全性 · 如果配置HTTPS服务与证书属性访问控制策略关联,则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verify enable命令,否则,客户端无法登录交换机。 · 如果配置HTTPS服务与证书属性访问控制策略关联,则证书属性访问控制策略中必须至少包括一条permit规则,否则任何HTTPS客户端都无法登录交换机。 · 证书属性访问控制策略的详细介绍请参见“安全配置指导”中的“PKI” |
配置HTTPS服务的端口 |
ip https port port-number |
可选 缺省情况下,HTTPS服务的端口号为443 |
配置HTTPS服务与ACL关联 |
ip https acl acl-number |
必选 缺省情况下,没有ACL与HTTPS服务关联 通过将HTTP服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问交换机 |
配置用户使用HTTPS登录设备时采用的认证模式 |
web https-authorization mode { auto | manual } |
可选 缺省情况下,用户使用HTTPS登录设备时采用的认证模式为manual 选择auto认证模式时表示用户通过HTTPS登录设备时,使用客户端的PKI证书自动认证登录 选择manual认证模式时表示用户通过HTTPS登录设备时,设备给出登录页面,用户必须输入合法的用户名和密码后才能登录 |
创建本地用户(进入本地用户视图) |
local-user user-name |
必选 缺省情况下,无本地用户 |
配置本地认证口令 |
password { cipher | simple } password |
必选 缺省情况下,无本地认证口令 |
配置Web登录的用户级别 |
authorization-attribute level level |
必选 缺省情况下,没有配置Web登录的用户级别 |
配置Web登录用户的服务类型 |
service-type web |
必选 缺省情况下,没有配置用户的服务类型 |
退出至系统视图 |
quit |
- |
创建VLAN接口并进入VLAN接口视图 |
interface vlan-interface vlan-interface-id |
必选 如果该VLAN接口已经存在,则直接进入该VLAN接口视图 |
配置VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } |
必选 缺省情况下,没有配置VLAN接口的IP地址 |
设备支持通过Web方式进行远程管理。Web用户可以通过HTTP协议访问设备。通过引用访问控制列表,可以对访问设备的Web用户进行控制。
确定了对Web用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
表2-4 通过源IP对Web用户进行控制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入基本ACL视图 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必选 |
退出ACL视图 |
quit |
- |
引用访问控制列表对Web用户进行控制 |
ip http acl acl-number |
必选 |
网络管理员可以通过命令行强制在线Web用户下线。
表2-5 强制在线Web用户下线
操作 |
命令 |
说明 |
强制在线Web用户下线 |
free web-users { all | user-id user-id | user-name user-name } |
必选 在用户视图下执行 |
通过源IP对Web用户进行控制,仅允许来自10.110.100.52的Web用户访问设备。
图2-1 对Switch的HTTP用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl number 2030 match-order config
[Sysname-acl-basic-2030] rule 1 permit source 10.110.100.52 0
# 引用访问控制列表,仅允许来自10.110.100.52的Web用户访问设备。
[Sysname] ip http acl 2030
在完成上述配置后,在任意视图下执行display命令可以显示Web用户的信息,通过查看显示信息验证配置的效果。
表2-6 Web用户显示
操作 |
命令 |
显示Web用户的相关信息 |
display web users [ | { begin | exclude | include } regular-expression ] |
显示HTTP的状态信息 |
display ip http [ | { begin | exclude | include } regular-expression ] |
PC与交换机通过以太网相连,交换机的IP地址为192.168.0.58/24。
图2-2 配置HTTP方式登录组网图
(1) 配置Switch
# 创建VLAN 999,用作远程登录,并将Switch上与PC相连的接口GigabitEthernet 3/0/1加入VLAN 999.
<Sysname> system-view
[Sysname] vlan 999
[Sysname-vlan999] port GigabitEthernet 3/0/1
[Sysname-vlan999] quit
# 配置VLAN 999接口的IP地址为192.168.0.58,子网掩码为255.255.255.0。
[Sysname] interface vlan-interface 999
[Sysname-VLAN-interface999] ip address 192.168.0.58 255.255.255.0
[Sysname-VLAN-interface999] quit
# 配置Web网管用户名为admin,认证口令为admin,用户级别为3级。
[Sysname] local-user admin
[Sysname-luser-admin] service-type web
[Sysname-luser-admin] authorization-attribute level 3
[Sysname-luser-admin] password simple admin
(2) 配置PC
# 在PC的浏览器地址栏内输入交换机的IP地址并回车,浏览器将显示Web网管的登录页面,如图2-3所示:
图2-3 通过Web登录交换机
# 在“Web网管用户登录”对话框中输入用户名、密码及验证码(此处用户名以admin为例),并选择登录使用的语言,点击<登录>按钮后即可登录,显示Web网管初始页面。成功登录后,您可以在配置区对交换机进行各种配置。
用户可以通过Web页面访问和控制交换机。为了防止非法用户访问和控制交换机,提高交换机管理的安全性,交换机要求用户以HTTPS(HTTP Security,支持SSL协议的HTTP)的方式登录Web页面,利用SSL协议实现用户身份验证,并保证传输的数据不被窃听和篡改。
为了满足上述需求,需要进行如下配置:
· 配置Switch作为HTTPS服务器,并为Switch申请证书。
· 为HTTPS客户端Host申请证书,以便Switch验证其身份。
其中,负责为Switch和Host颁发证书的CA(Certificate Authority,认证机构)名称为new-ca。
· 本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。
· 进行下面的配置之前,需要确保Switch、Host、CA之间路由可达。
图2-4 HTTPS配置完备性方案组网图
(1) 配置HTTPS服务器Switch
# 配置PKI实体en,指定实体的通用名为http-server1、FQDN为ssl.security.com。
<Sysname> system-view
[Sysname] pki entity en
[Sysname-pki-entity-en] common-name http-server1
[Sysname-pki-entity-en] fqdn ssl.security.com
[Sysname-pki-entity-en] quit
# 配置PKI域1,指定信任的CA名称为new-ca、注册服务器的URL为http://10.1.2.2/certsrv/mscep/mscep.dll、证书申请的注册受理机构为RA、实体名称为en。
[Sysname] pki domain 1
[Sysname-pki-domain-1] ca identifier new-ca
[Sysname-pki-domain-1] certificate request url http://10.1.2.2/certsrv/mscep/mscep.dll
[Sysname-pki-domain-1] certificate request from ra
[Sysname-pki-domain-1] certificate request entity en
[Sysname-pki-domain-1] quit
# 生成本地的RSA密钥对。
[Sysname] public-key local create rsa
# 获取CA的证书。
[Sysname] pki retrieval-certificate ca domain 1
# 为Switch申请证书。
[Sysname] pki request-certificate domain 1
# 创建SSL服务器端策略myssl,指定该策略使用PKI域1,并配置服务器端需要验证客户端身份。
[Sysname] ssl server-policy myssl
[Sysname-ssl-server-policy-myssl] pki-domain 1
[Sysname-ssl-server-policy-myssl] client-verify enable
[Sysname-ssl-server-policy-myssl] quit
# 创建证书属性组mygroup1,并配置证书属性规则,该规则规定证书颁发者的DN(Distinguished Name,可识别名称)中包含new-ca。
[Sysname] pki certificate attribute-group mygroup1
[Sysname-pki-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca
[Sysname-pki-cert-attribute-group-mygroup1] quit
# 创建证书访问控制策略myacp,并建立控制规则,该规则规定只有由new-ca颁发的证书可以通过证书访问控制策略的检测。
[Sysname] pki certificate access-control-policy myacp
[Sysname-pki-cert-acp-myacp] rule 1 permit mygroup1
[Sysname-pki-cert-acp-myacp] quit
# 配置HTTPS服务与SSL服务器端策略myssl关联。
[Sysname] ip https ssl-server-policy myssl
# 配置HTTPS服务与证书属性访问控制策略myacp关联,确保只有从new-ca获取证书的HTTPS客户端可以访问HTTPS服务器。
[Sysname] ip https certificate access-control-policy myacp
# 使能HTTPS服务。
[Sysname] ip https enable
# 创建本地用户usera,密码为123,用户级别为3级,服务类型为web。
[Sysname] local-user usera
[Sysname-luser-usera] password simple 123
[Sysname-luser-usera] authorization-attribute level 3
[Sysname-luser-usera] service-type web
(2) 配置HTTPS客户端Host
在Host上打开IE浏览器,输入网址http://10.1.2.2/certsrv,根据提示为Host申请证书。
(3) 验证配置结果
在Host上打开IE浏览器,输入网址https://10.1.1.1,选择new-ca为Host颁发的证书,即可打开Switch的Web登录页面。在登录页面,输入用户名usera,密码123,则可进入Switch的Web配置页面,实现对Switch的访问和控制。
· HTTPS服务器的URL地址以“https://”开始,HTTP服务器的URL地址以“http://”开始。
· PKI配置命令的详细介绍请参见“安全命令参考”中的“PKI”。
· public-key local create rsa命令的详细介绍请参见“安全命令参考”中的“公钥管理”。
· SSL配置命令的详细介绍请参见“安全命令参考”中的“SSL”。
用户可通过NMS(Network Management Station,网管工作站)登录到设备上,通过设备上的Agent模块对设备进行管理、配置。设备支持多种NMS软件,如iMC等。
缺省情况下,用户不能通过NMS登录到设备上,如果要使用NMS登录设备,您首先需要通过Console口登录到设备上,在设备上进行相关配置。配置完成后,您即可使用NMS网管的方式登录设备。
表3-1 通过NMS登录设备需要具备的条件
对象 |
需要具备的条件 |
设备 |
配置设备三层接口的IP地址,使设备与NMS间路由可达 |
配置SNMP基本功能 |
|
NMS |
在NMS上进行配置,具体配置请参见NMS的配套手册 |
目前设备支持与网管工作站进行连接的接口包括:网管口、VLAN接口、三层以太网接口、三层以太网子接口。
搭建配置环境,将NMS(网管工作站)的以太网接口通过网络与设备VLAN 1下的以太网接口连接,确保PC机和VLAN 1接口之间路由可达。
图3-1 配置通过NMS登录设备
设备支持SNMP v1、SNMP v2c和SNMP v3三种版本,关于SNMP的详细介绍及配置,请参见“网络管理和监控配置指导”中的“SNMP”。
表3-2 配置SNMP基本参数(SNMP v3版本)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
启动SNMP Agent服务 |
snmp-agent |
可选 缺省情况下,SNMP Agent服务处于关闭状态 执行snmp-agent命令或执行与snmp-agent相关的其他任何一条配置命令(不含display命令),都可以启动SNMP Agent |
配置SNMP组 |
snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
必选 缺省情况下,没有配置SNMP组 |
为SNMP组添加新用户 |
snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ] |
必选 如果使用cipher参数,则后面配置的auth-password和priv-password都默认为密文密码 |
表3-3 配置SNMP基本参数(SNMP v1版本、SNMP v2c版本)
操作 |
命令 |
说明 |
||
进入系统视图 |
system-view |
- |
||
启动SNMP Agent服务 |
snmp-agent |
可选 缺省情况下,SNMP Agent服务处于关闭状态。 执行snmp-agent命令或执行与snmp-agent相关的其他任何一条配置命令(不含display命令),都可以启动SNMP Agent |
||
创建或更新MIB视图内容 |
snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ] |
可选 缺省情况下,视图名为ViewDefault,OID为1 |
||
配置访问权限 |
直接配置 |
创建一个新的SNMP团体 |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]* |
二者必选其一 直接配置是以SNMP v1和v2c版本的团体名进行配置 间接配置采用与SNMP v3版本一致的命令形式,添加用户到指定的组,组名相当于SNMP v1和SNMP v2c版本的团体名,在NMS上配置的团体名需要跟Agent上配置的用户名相同 |
间接配置 |
设置一个SNMP组 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
||
为一个SNMP组添加一个新用户 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] |
通过NMS登录设备的方法如下(此处以iMC为例):
(1) 配置设备
# 配置vlan-interface 1的IP地址为13.13.13.111/24,并确保设备与iMC之间路由可达。(配置步骤略)
# 进入系统视图。
<Sysname> system-view
# 启动SNMP Agent服务。
[Sysname] snmp-agent
# 创建一个新的SNMP团体,并配置iMC可以对Agent执行的操作类型。
[Sysname] snmp-agent sys-info version all
[Sysname] snmp-agent community read public
[Sysname] snmp-agent community write private
# 配置SNMP组。
[Sysname] snmp-agent group v3 managev3group
# 为SNMP组添加新用户
[Sysname] snmp-agent usm-user v3 managev3user managev3group
(2) 配置iMC
在PC的浏览器地址栏内输入iMC的IP地址(此处以iMC的IP地址为192.168.4.112为例)。在地址栏中输入http://192.168.4.112:8080/imc(IP地址和端口号应与实际安装环境保持一致,此处以http://192.168.4.112:8080/imc为例说明)。
在登录页面中,输入正确的操作员和密码后单击<登录>按钮,即可进入系统首页。成功登录后,您可以选择相应选项对设备进行各种配置和管理。用户可利用网管系统完成对设备的查询和配置操作,具体情况请参考iMC的配套手册(如“H3C智能管理中心 用户手册”)。
· iMC的配置必须和设备保持一致,否则无法进行相应操作,关于iMC和设备的详细配置,请参见“网络管理和监控配置指导”中的“SNMP”关于NMS和Agent的介绍。
· 首次登录系统时,可使用默认的操作员登录,登录名和密码均为admin。进入系统后,请及时修改该密码,修改方法请参考iMC的配套手册(如“H3C 智能管理中心 用户手册”)。
· 在iMC使用时可以根据需求增加不同权限的操作员或进行其他配置操作,具体配置方法请参见iMC产品附带的联机帮助。
用户也可以直接运行Web浏览器,通过iMC BIMS(iMC分支网点智能管理系统,以下简称iMC BIMS)登录ACS服务器进行对设备的操作。
iMC BIMS是H3C推出的通过TR-069(Technical Report 069)协议对用户侧设备(Customer Premises Equipment,简称CPE)进行远程管理的网络管理产品,它以解决CPE设备量大、IP地址不固定等管理业务难题为核心,重点关注网络中CPE设备资源、配置以及各种应用业务配置的管理,有效降低网络维护成本,提高问题解决效率。iMC BIMS通过资源、配置、业务、告警、权限等方面的管理功能,实现了对广域网中大量CPE设备的集中远程管理。
本章节中ACS的配置需要在安装了H3C iMC BIMS软件的服务器上进行。随着软件版本的更新,BIMS的功能和界面可能会有变化,如您所使用的软件界面与本例中不同,请参阅对应您使用版本的软件用户手册进行配置。
在ACS服务器上直接运行Web浏览器,在地址栏中输入http://10.185.10.41:8080/imc(此处以http://10.185.10.41:8080/imc为例说明,10.185.10.41为ACS服务器的IP地址,8080为端口号),并输入操作员和密码成功登录iMC界面。关于ACS服务器的介绍及详细的登录设备配置,请参见“网络管理和监控配置指导”中的“CWMP(TR-069)”。
· 首次登录系统时,可使用默认的操作员登录,登录名和密码均为admin。进入系统后,请及时修改该密码,修改方法请参考相关的配套手册(如“H3C iMC分支网点智能管理系统 用户手册”)。
· 在iMC使用时可以根据需求增加不同权限的操作员或进行其他配置操作,具体配置方法请参见iMC产品附带的联机帮助。
当用户使用Console口、AUX口、Telnet或者SSH方式登录交换机的时候,系统会分配一个用户界面(也称为Line)用来管理、监控交换机和用户间的当前会话。每个用户界面有对应的用户界面视图(User-interface view),在用户界面视图下网络管理员可以配置一系列参数,比如用户登录时是否需要认证、是否重定向到别的交换机以及用户登录后的级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的。
目前系统支持的命令行配置方式有:
· Console口本地配置
· AUX口本地或远程配置
· Telnet或SSH本地或远程配置
与这些配置方式对应的是三种类型的用户界面:
· Console用户界面:用来管理和监控通过Console口登录的用户。Console口是一种线交换机端口。交换机提供Console口,端口类型为EIA/TIA-232 DCE。
· AUX用户界面:用来管理和监控通过AUX口登录的用户。AUX口(Auxiliary port,辅助端口)也是一种线交换机端口。交换机提供AUX口,端口类型为EIA/TIA-232 DTE,通常用于通过Modem进行拨号访问。
· VTY(Virtual Type Terminal,虚拟类型终端)用户界面:用来管理和监控通过VTY方式登录的用户。VTY口属于逻辑终端线,用于对交换机进行Telnet或SSH访问。目前每台交换机最多支持16个VTY用户同时访问。
用户界面的管理和监控对象是使用某种方式登录的用户,虽然单个用户界面某一时刻只能被一个用户使用,但它并不针对某个用户。比如用户A使用Console口登录交换机时,将受到Console用户界面视图下配置的约束,当使用VTY 1登录交换机时,将受到VTY 1用户界面视图下配置的约束。
根据交换机的硬件配备情况,一台交换机上可能有多个Console口、AUX口,所以交换机可能支持多个Console、AUX、VTY用户界面,这些用户界面与用户并没有固定的对应关系。用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户界面,整个登录过程将受该用户界面视图下配置的约束。同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时机不同,分配的用户界面可能不同。
用户界面的编号有两种方式:绝对编号方式和相对编号方式。
使用绝对编号方式,可以唯一的指定一个用户界面或一组用户界面。由于在独立运行模式和IRF模式下Console口和AUX口的数目有些不同,所以对应的绝对编号顺序也有所不同:
(1) 独立运行模式
编号按照如下顺序:起始编号是0(CON 0),第2个编号为1(CON 1),第3个编号为2(AUX 0),第4个编号为3(AUX 1),第5个编号为20(VTY 0),以此类推。
3种用户界面系统内部的划分顺序是Console口、AUX口、VTY,其中Console口、AUX口各占两个编号;VTY用户界面的编号为20~35,使用display user-interface可查看。
(2) IRF模式
编号按照如下顺序:起始编号是0(Master的CON 0),第2个编号为1(Master的CON 1),第3个编号为2(Slave的CON 0),第4个编号为3(Slave的CON 1),第5个编号为4(Master的AUX 0),第6个编号为5(Master的AUX 1),第7个编号为6(Slave的AUX 0),第8个编号为7(Slave的AUX 1),第9个编号为24(VTY 0),以此类推。
IRF模式下,Console口、AUX口各占四个编号,所以VTY用户界面的编号为24~39,使用display user-interface可查看。
相对编号方式的形式是:“用户界面类型 编号”。此编号是每种类型的用户界面的内部编号。此种编号方式只能指定某种类型的用户界面中的一个或一组,而不能跨类型操作。相对编号方式遵守的规则如下:
· 控制台的编号:CON 0和CON 1。
· 辅助接口的编号:AUX 0和AUX 1。
· VTY的编号:第一个为VTY 0,第二个为VTY 1,依次类推。
配置任务 |
说明 |
详细配置 |
配置异步串口属性 |
可选 |
|
配置用户界面公共属性 |
可选 |
|
配置自动执行命令 |
可选 |
|
通过用户界面配置用户级别 |
可选 |
|
配置VTY用户界面访问限制 |
可选 |
|
配置VTY用户界面支持的协议 |
可选 |
|
配置用户的认证方式 |
可选 |
|
配置命令行授权功能 |
可选 |
|
配置命令行计费功能 |
可选 |
|
配置启动终端会话及终止当前运行任务的快捷键 |
可选 |
|
向指定的用户界面发送消息 |
可选 |
|
释放指定用户界面上建立的连接 |
可选 |
用户可以通过以下步骤,来配置异步串口(即AUX口和Console口)属性,使得交换机与访问终端的特性能够匹配。
表5-2 配置异步串口属性
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
启动终端服务 |
shell |
可选 缺省情况下,系统在所有的用户界面上启动终端服务 |
设置用户连接的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,用户连接的超时时间为10分钟 |
设置下一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,下一屏显示24行数据 |
设置当前用户界面下的终端显示类型 |
terminal type { ansi | vt100 } |
可选 缺省情况下,终端显示类型为ANSI |
设置历史命令缓冲区可存放的历史命令的条数 |
history-command max-size size-value |
可选 缺省情况下,历史命令缓冲区可存放10条历史命令 |
退回用户视图 |
return |
- |
锁定用户界面,防止未授权的用户操作该界面 |
lock |
可选 缺省情况下,系统不会自动锁住当前用户界面 |
交换机支持两种终端显示类型:ANSI和VT100。当交换机的终端类型与客户端(如超级终端或者Telnet Client等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型。
配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接。该命令通常用来配置Telnet命令,使用户登录时自动连接到指定的主机。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | vty } first-num2 [ last-num2 ] } |
- Console口不支持配置自动执行命令 |
配置自动执行命令 |
auto-execute command command |
必选 缺省情况下,未设定自动执行命令 配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接。该命令通常用来配置Telnet命令,使用户登录时自动连接到指定的主机 |
· 使用auto-execute command命令后,可能导致用户不能通过该用户界面对本系统进行常规配置,需谨慎使用。
· 在配置auto-execute command命令并保存配置(执行save操作)之前,要确保可以通过其他用户界面登录进来更改配置,以便出现问题后,能删除该配置。
用户级别用来限制不同用户对设备的访问权限。如果用户登录时使用的认证方式为scheme(即需要输入用户名和密码),而且是SSH的publickey认证方式时,则用户级别等于用户界面的级别,该级别在用户界面视图下配置,缺省情况下为0;如果用户登录时使用的认证方式为none或者password(即不需要输入用户名),则用户级别等于用户界面的级别。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
配置从当前用户界面登录系统的用户所能访问的命令级别 |
user privilege level level |
可选 缺省情况下,通过Console口登录系统的用户所能访问的命令级别是3,通过其它用户界面登录系统所能访问的命令级别是0 |
· 关于用户级别的详细介绍请参见“基础配置指导”中的“CLI”。
· 用户级别可以通过用户界面也可以通过AAA认证参数来配置。哪种配置对用户生效由用户登录时使用的认证方式决定。详细介绍请参见“基础配置指导”中的“CLI”。
该配置通过引用ACL,对VTY用户界面的访问权限进行限制。ACL的相关内容请参见“ACL和QoS配置指导”中的“ACL”。
表5-6 配置VTY用户界面访问限制
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VTY用户界面视图 |
user-interface { first-num1 [ last-num1 ] | vty first-num2 [ last-num2 ] } |
- |
|
配置系统对VTY用户界面的访问权限进行限制 |
引用基本/高级ACL对访问权限进行限制 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必选(二者必选其一) 缺省情况下,系统不对访问权限进行限制 |
引用二层ACL对访问权限进行限制 |
acl acl-number inbound |
表5-7 配置VTY用户界面支持的协议
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VTY用户界面视图 |
user-interface { first-num1 [ last-num1 ] | vty first-num2 [ last-num2 ] } |
- |
设置所在用户界面支持的协议 |
protocol inbound { all | ssh | telnet } |
可选 缺省情况下,系统支持Telnet和SSH协议 |
· 如果配置用户界面支持SSH协议,为确保登录成功,请您务必先配置相应的认证方式为scheme;若配置认证方式为password或none,则protocol inbound ssh配置结果将失败。
· 使用protocol inbound命令配置的协议将在用户下次使用该用户界面登录时生效。
通过在用户界面下配置认证方式,可以实现当用户使用指定用户界面登录时是否需要认证,以提高交换机的安全性。交换机支持的认证方式有none、password和scheme三种。
· 如果指定认证方式为none,则下次使用该用户界面登录时不需要进行用户名和密码认证,这种情况可能会带来安全隐患。
· 如果指定认证方式为password,则下次使用该用户界面登录时需要进行密码认证,输入空的或者错误密码,均会导致登录失败。如果没有设置认证密码:对于AUX、VTY及MODEM拨号用户,重新登录时,系统将提示“Login password has not been set !”,登录失败;对于其他用户界面,重新登录时(比如Console),为了保证交换机的可操作性,可以直接登录,不需要输入密码。关闭连接前,请务必设置该用户界面的登录密码。
· 如果指定认证方式为scheme,则下次使用该用户界面登录时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。关闭连接前,请务必设置认证用户名和密码。
用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数(如表5-10所示);如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA”。缺省情况下,交换机对访问用户采用本地认证方式。当用户使用SSH方式登录交换机时,该段描述只适用于password认证方式,不适用于publickey认证方式,有关SSH的详细介绍请参见“安全配置指导”中的“SSH”。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
配置用户的认证方式为none |
authentication-mode none |
必选 缺省情况下, 使用VTY、AUX用户界面登录的用户的认证方式为password,使用Console用户界面登录的用户不需要认证 |
表5-9 配置用户的认证方式为password
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
配置用户的认证方式为password |
authentication-mode password |
必选 缺省情况下,使用VTY、AUX用户界面登录的用户的认证方式为password,使用Console用户界面登录的用户不需要认证 |
设置本地认证的密码 |
set authentication password [ hash ] { cipher | simple } password |
必选 缺省情况下,没有设置本地认证的密码 FIPS模式下不支持该命令 |
表5-10 配置用户的认证方式为scheme(本地认证)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
配置用户的认证方式为scheme |
authentication-mode scheme |
必选 缺省情况下,使用VTY、AUX用户界面登录的用户的认证方式为password,使用Console用户界面登录的用户不需要认证 |
配置用户界面所能访问的命令级别 |
请参见“基础配置指导”中的“CLI” |
可选 缺省情况下,通过Console口登录系统的用户所能访问的命令级别是3,通过其它用户界面登录系统所能访问的命令级别是0 |
退回到系统视图 |
quit |
- |
设置认证的用户名,并进入本地用户视图 |
local-user user-name |
必选 缺省情况下,交换机中没有设置本地用户 |
设置认证的密码 |
password { cipher | simple } password |
必选 |
设置用户可以使用的服务类型 |
service-type { ssh | telnet | terminal } * |
必选 当使用VTY用户界面用户登录时服务类型需要配置为telnet或ssh,当使用Console或者Aux用户界面用户登录时服务类型需要配置terminal |
配置用户的属性 |
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | vlan vlan-id | work-directory directory-name } * |
可选 缺省情况下,FTP/SFTP用户可以访问交换机的根目录,用户的级别为0。可以使用该命令进行修改 |
local-user、password、service-type和authorization-attribute命令的详细介绍请参见“安全命令参考”中的“AAA”。
缺省情况下,用户登录交换机后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。
因为授权服务器是通过用户名来查找用户可授权使用的命令行列表的,所以命令行授权功能的配置分为三步:
(1) 配置用户认证方式为scheme。
(2) 使能命令行授权功能,请参见表5-11。
(3) 配置命令行授权方案,在方案中配置授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA”。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
使能命令行授权功能 |
command authorization |
必选 缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权 |
命令行计费功能用来在HWTACACS服务器上记录用户对交换机执行过的命令(只要交换机支持的命令,不管执行成功或者失败都会记录),以便集中控制、监控用户对交换机的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。
命令行计费功能的配置分为两步:
(1) 使能命令行计费功能,请参见表5-12。
(2) 配置命令行计费方案,在方案中配置计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA配置”。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
使能命令行计费功能 |
command accounting |
必选 缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户界面视图 |
user-interface { first-num1 [ last-num1 ] | { aux | console | vty } first-num2 [ last-num2 ] } |
- |
配置启动终端会话的快捷键 |
activation-key character |
可选 缺省情况下,按<Enter>键启动终端会话 |
配置终止当前运行任务的快捷键 |
escape-key { default | character } |
可选 缺省情况下,按<Ctrl+C>组合键终止当前运行的任务 |
VTY用户界面不支持activation-key命令。
表5-14 向指定的用户界面发送消息
操作 |
命令 |
说明 |
向指定的用户界面发送消息 |
send { all | num1 | { aux | console | vty } num2 } |
必选 该命令在用户视图下执行 |
系统支持多个用户同时对交换机进行配置,当管理员在维护交换机时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰的话,管理员可以使用以下命令强制断开该用户的连接。
表5-15 释放指定用户界面上建立的连接
操作 |
命令 |
说明 |
释放指定用户界面上建立的连接 |
free user-interface { num1 | { aux | console | vty } num2 } |
必选 该命令在用户视图下执行 |
不能使用该命令释放用户当前自己使用的连接。
在完成上述配置后,在任意视图下执行display命令可以显示配置后用户界面的运行情况,通过查看显示信息验证配置的效果。
操作 |
命令 |
显示用户界面的使用信息 |
display users [ all ] [ | { begin | exclude | include } regular-expression ] |
显示用户界面的相关信息 |
display user-interface [ num1 | { aux | console | vty } num2 ] [ summary ] [ | { begin | exclude | include } regular-expression ] |
为了保证Switch的安全,需要对登录用户进行限制:
· 交换机管理员Host A通过Console口接入交换机,登录交换机时,不需要输入用户名和密码即可登录、操作交换机。
· 用户Host B通过以太网接入交换机,登录交换机时不需要输入用户名,只需要输入密码,认证通过后才可登录、操作交换机。
· 用户Host C通过PSTN网络接入设备,拨号登录设备时需要输入用户名和密码,认证通过后才可登录、操作设备。优先使用RADIUS远程认证,如果RADIUS服务器故障或者链路故障,则使用本地认证(本地用户名为monitor,密码为123)。
图5-1 用户认证配置组网图
# 在交换机上配置IP地址,以保证Switch分别与Host B、RADIUS server之间路由可达。(配置步骤略)
# 开启交换机的Telnet服务器功能,以便私网和公网用户访问。
<Sysname> system-view
[Sysname] telnet server enable
# 配置Console用户的认证方式为none,即用户通过Console口登录交换机时,不需要输入用户名和密码,因为是管理员,所以权限设置为3,可以使用交换机支持的所有命令。
[Sysname] user-interface console 0
[Sysname-ui-console0] authentication-mode none
[Sysname-ui-console0] user privilege level 3
[Sysname-ui-console0] quit
# 配置VTY用户的认证方式为password,即Host B登录交换机时,不需要输入用户名,但需要输入密码123,可以使用缺省级别为2的命令。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] authentication-mode password
[Sysname-ui-vty0-4] set authentication password cipher 123
[Sysname-ui-vty0-4] user privilege level 2
[Sysname-ui-vty0-4] quit
# 配置VTY用户的认证方式为scheme,即Host C拨号登录设备时,需要输入用户名和密码进行AAA认证,可以使用的命令级别由AAA服务器上的配置决定。
[Sysname] user-interface vty 5
[Sysname-ui-vty5] authentication-mode scheme
[Sysname-ui-vty5] quit
# 配置RADIUS方案:认证服务器的IP地址:UDP端口号为192.168.2.20:1812(该端口号必须和RADIUS服务器上的设置一致),报文的加密密码是expert,支持与服务器交互扩展报文,登录时不需要输入域名,使用缺省域。
[Sysname] radius scheme rad
[Sysname-radius-rad] primary authentication 192.168.2.20 1812
[Sysname-radius-rad] key authentication expert
[Sysname-radius-rad] server-type extended
[Sysname-radius-rad] user-name-format without-domain
[Sysname-radius-rad] quit
# 配置缺省域的AAA方案,优先使用RADIUS方案,如果与RADIUS服务器的通信故障,则使用本地认证。
[Sysname] domain system
[Sysname-isp-system] authentication login radius-scheme rad local
[Sysname-isp-system] authorization login radius-scheme rad local
[Sysname-isp-system] quit
# 配置本地认证所需参数:创建本地用户monitor,密码为123,可使用的服务类型为telnet,可使用缺省级别等于或低于1(监控级)的命令。
[Sysname] local-user monitor
[Sysname-luser-admin] password cipher 123
[Sysname-luser-admin] service-type telnet
[Sysname-luser-admin] authorization-attribute level 1
为了保证Switch的安全,需要对登录用户执行命令的权限进行限制:
用户Host A登录交换机后,输入的命令必须先获得HWTACACS服务器的授权,才能执行。否则,不能执行该命令。如果HWTACACS服务器故障导致授权失败,则采用本地授权。
图5-2 命令行授权配置组网图
# 在交换机上配置IP地址,以保证Switch和Host A、Switch和HWTACACS server之间互相路由可达。(配置步骤略)
# 开启交换机的Telnet服务器功能,以便用户访问。
<Sysname> system-view
[Sysname] telnet server enable
# 配置用户登录交换机时,需要输入用户名和密码进行AAA认证,可以使用的命令由认证结果决定。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] authentication-mode scheme
# 使能命令行授权功能,限制用户只能使用授权成功的命令。
[Sysname-ui-vty0-4] command authorization
[Sysname-ui-vty0-4] quit
# 配置HWTACACS方案:授权服务器的IP地址:UDP端口号为192.168.2.20:49(该端口号必须和HWTACACS服务器上的设置一致),报文的加密密码是expert,登录时不需要输入域名,使用缺省域。
[Sysname] hwtacacs scheme tac
[Sysname-hwtacacs-tac] primary authentication 192.168.2.20 49
[Sysname-hwtacacs-tac] primary authorization 192.168.2.20 49
[Sysname-hwtacacs-tac] key authentication expert
[Sysname-hwtacacs-tac] key authorization expert
[Sysname-hwtacacs-tac] user-name-format without-domain
[Sysname-hwtacacs-tac] quit
# 配置缺省域的命令行授权AAA方案,使用HWTACACS方案。
[Sysname] domain system
[Sysname-isp-system] authentication login hwtacacs-scheme tac local
[Sysname-isp-system] authorization command hwtacacs-scheme tac local
[Sysname-isp-system] quit
# 配置本地认证所需参数:创建本地用户monitor,密码为123,可使用的服务类型为telnet,可使用缺省级别等于或低于1(监控级)的命令。
[Sysname] local-user monitor
[Sysname-luser-admin] password cipher 123
[Sysname-luser-admin] service-type telnet
[Sysname-luser-admin] authorization-attribute level 1
为便于集中控制、监控用户对交换机的操作,需要将登录用户执行的命令发送到HWTACACS服务器进行记录。
图5-3 命令行计费配置组网图
# 开启交换机的Telnet服务器功能,以便用户访问。
<Sysname> system-view
[Sysname] telnet server enable
# 配置使用Console口登录交换机的用户执行的命令需要发送到HWTACACS服务器进行记录。
[Sysname] user-interface console 0
[Sysname-ui-console0] command accounting
[Sysname-ui-console0] quit
# 配置使用Telnet或者SSH登录的用户执行的命令需要发送到HWTACACS服务器进行记录。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] command accounting
[Sysname-ui-vty0-4] quit
# 配置HWTACACS方案:计费服务器的IP地址:UDP端口号为192.168.2.20:49,报文的加密密码是expert,登录时不需要输入域名,使用缺省域。
[Sysname] hwtacacs scheme tac
[Sysname-hwtacacs-tac] primary accounting 192.168.2.20 49
[Sysname-hwtacacs-tac] key accounting expert
[Sysname-hwtacacs-tac] user-name-format without-domain
[Sysname-hwtacacs-tac] quit
# 配置缺省域的命令行计费AAA方案,使用HWTACACS方案。
[Sysname] domain system
[Sysname-isp-system] accounting command hwtacacs-scheme tac
[Sysname-isp-system] quit
确定了对Telnet的控制策略,包括对哪些源IP、目的IP、源MAC进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
表6-1 通过源IP对Telnet进行控制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入基本ACL视图 |
acl [ ipv6 ] number acl-number [ name name ] [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必选 |
退出ACL视图 |
quit |
- |
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
引用访问控制列表,通过源IP对Telnet进行控制 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必选 inbound:对Telnet到本交换机的用户进行ACL控制 outbound:对从本交换机Telnet到其他Telnet服务器的用户进行ACL控制 |
本配置需要通过高级访问控制列表实现。高级访问控制列表的序号取值范围为3000~3999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
表6-2 配置高级ACL规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入高级ACL视图 |
acl [ ipv6 ] number acl-number [ name name ] [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { permit | deny } rule-string |
必选 用户可以根据需要配置对相应的源IP、目的IP进行过滤的规则 |
退出ACL视图 |
quit |
- |
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
引用访问控制列表,通过源IP、目的IP对Telnet进行控制 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必选 inbound:对Telnet到本交换机的用户进行ACL控制 outbound:对从本交换机Telnet到其他Telnet服务器的用户进行ACL控制 |
本配置需要通过二层访问控制列表实现。二层访问控制列表的序号取值范围为4000~4999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
表6-3 配置二层ACL规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入二层ACL视图 |
acl number acl-number [ name name ] [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { permit | deny } rule-string |
必选 用户可以根据需要配置对相应的源MAC进行过滤的规则 |
退出ACL视图 |
quit |
- |
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
引用访问控制列表,通过源MAC对Telnet进行控制 |
acl acl-number inbound |
必选 inbound:对Telnet到本交换机的用户进行ACL控制 |
二层访问控制列表对于Telnet Client的源IP与Telnet服务器的接口IP不在同一网段的不生效。
通过源IP对Telnet进行控制,仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问交换机。
图6-1 对Switch的Telnet用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用访问控制列表,允许源地址为10.110.100.52和10.110.100.46的Telnet用户访问交换机。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] acl 2000 inbound
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!