02-登录设备配置
本章节下载: 02-登录设备配置 (281.95 KB)
通过CLI登录设备。登录成功后,可以直接输入命令行,来配置和管理设备。CLI方式下又根据使用的登录接口以及登录协议不同,分为:通过Console口、Telnet和SSH登录方式。
用户首次登录设备时,只能通过Console口登录。只有通过Console口登录到设备,进行相应的配置后,才能通过其他方式登录。
通过Console口进行本地登录是登录设备的最基本的方式,也是配置通过其他方式登录设备的基础。关于通过Console口登录设备的详细介绍,请参见《H3C vMEGW3200系列移动边缘分流网关 安装指导》。
CLI登录用户的访问行为需要由用户线管理、限制,即网络管理员可以给每个用户线配置一系列参数,比如用户登录时是否需要认证、用户登录后的角色等。当用户通过CLI登录到设备的时候,系统会给用户分配一个用户线,登录用户将受到该用户线下配置参数的约束。
设备提供如下类型的用户线:
· Console用户线:用来管理和监控通过Console口登录的用户。
· VTY(Virtual Type Terminal,虚拟类型终端)用户线:用来管理和监控通过Telnet或SSH登录的用户。
用户线的编号有绝对编号方式和相对编号方式。
· 绝对编号方式
使用绝对编号方式,可以唯一的指定一个用户线。绝对编号从0开始自动编号,每次增长1,先给所有Console用户线编号,最后是所有VTY用户线。使用display line(不带参数)可查看到设备当前支持的用户线以及它们的绝对编号。
· 相对编号方式
相对编号是每种类型用户线的内部编号,表现形式为“用户线类型 编号”。其他用户线的编号从0开始以1为单位递增。
用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户线,整个登录过程将受该用户线视图下配置的约束。用户与用户线并没有固定的对应关系:
· 同一用户登录的方式不同,当使用Telnet登录设备时,将受到VTY用户线视图下配置的约束。
· 同一用户登录的时间不同,分配的用户线可能不同。比如用户本次使用Telnet登录设备,设备为其分配的用户线是VTY 1。当该用户下次再Telnet登录时,设备可能已经把VTY 1分配给其他Telnet用户了,只能为该用户分配其他的用户线。
如果没有空闲的、相应类型的用户线可分配,则用户不能登录设备。
在用户线下配置认证方式,可以要求当用户使用指定用户线登录时是否需要认证,以提高设备的安全性。设备支持配置如下认证方式:
· 认证方式为none:表示下次使用该用户线登录时不需要进行用户名和密码认证,任何人都可以登录到设备上,这种情况可能会带来安全隐患。
· 认证方式为password:表示下次使用该用户线登录时,需要输入密码。只有密码正确,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码。
认证方式不同,配置不同,具体配置如表3-1所示。
认证方式 |
认证所需配置 |
none |
设置登录用户的认证方式为不认证 |
password |
设置登录用户的认证方式为password认证 设置密码认证的密码 |
用户角色中定义了允许用户配置的系统功能以及资源对象,即用户登录后执行的命令。
对于none和password认证方式,登录用户的角色由用户线下的用户角色配置决定。
通过CLI登录设备时,有以下限制和指导:
· 用户线视图下的配置优先于用户线类视图下的配置。
· 当用户线或用户线类视图下的属性配置为缺省值时,将优先采用配置为非缺省值的视图下的配置。
· 用户线视图下的配置只对该用户线生效。
· 用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效。
设备可以作为Telnet服务器,以便用户能够Telnet登录到设备进行远程管理和监控。具体配置请参见“3.3.3 配置设备作为Telnet服务器配置”。
设备也可以作为Telnet客户端,Telnet到其他设备,对别的设备进行管理和监控。具体配置请参见“3.3.4 配置设备作为Telnet客户端登录其他设备”。
改变Telnet登录的认证方式后,新认证方式对新登录的用户生效。
设备作为Telnet服务器配置任务如下:
(1) 开启Telnet服务
(2) 配置设备作为Telnet服务器时的认证方式
¡ 配置Telnet登录设备时采用密码认证(password)
(3) (可选)配置Telnet服务器发送报文的公共属性
(4) (可选)配置VTY用户线的公共属性
(1) 进入系统视图。
system-view
(2) 开启设备的Telnet服务。
telnet server enable
缺省情况下,Telnet服务处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入VTY用户线或VTY用户线类视图。
¡ 进入VTY用户线视图。
line vty first-number [ last-number ]
¡ 进入VTY用户线类视图。
line class vty
(3) 设置登录用户的认证方式为不认证。
authentication-mode none
缺省情况下,Telnet用户的认证方式为password。
用户线视图下,authentication-mode和protocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(4) 配置从当前用户线登录设备的用户角色。
user-role role-name
缺省情况下,通过Telnet登录设备的用户角色为network-operator。
(1) 进入系统视图。
system-view
(2) 进入VTY用户线或VTY用户线类视图。
¡ 进入VTY用户线视图。
line vty first-number [ last-number ]
¡ 进入VTY用户线类视图。
line class vty
(3) 设置登录用户的认证方式为密码认证。
authentication-mode password
缺省情况下,Telnet用户的认证方式为password。
用户线视图下,authentication-mode和protocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(4) 设置密码认证的密码。
set authentication password { hash | simple } password
缺省情况下,未设置密码认证的密码。
(5) (可选)配置从当前用户线登录设备的用户角色。
user-role role-name
缺省情况下,通过Telnet登录设备的用户角色为network-operator。
(1) 进入系统视图。
system-view
(2) 配置Telnet服务器发送报文的DSCP优先级。
telnet server dscp dscp-value
缺省情况下,Telnet服务器发送Telnet报文的DSCP优先级为48。
(3) 配置Telnet协议的端口号。
telnet server port port-number
缺省情况下,Telnet协议的端口号为23。
(4) 配置Telnet登录同时在线的最大用户连接数。
aaa session-limit telnet max-sessions
缺省情况下,Telnet方式登录同时在线的最大用户连接数为32。
配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败。
(1) 进入系统视图。
system-view
(2) 进入VTY用户线或VTY用户线类视图。
¡ 进入VTY用户线视图。
line vty first-number [ last-number ]
¡ 进入VTY用户线类视图。
line class vty
(3) 设置VTY终端属性。
¡ 设置在终端线路上启动终端服务。
shell
缺省情况下,所有用户线的终端服务功能处于开启状态。
¡ 配置终端的显示类型。
terminal type { ansi | vt100 }
缺省情况下,终端显示类型为ANSI。
¡ 设置终端屏幕一屏显示的行数。
screen-length screen-length
缺省情况下,终端屏幕一屏显示的行数为24行。
取值为0表示关闭分屏显示功能。
¡ 设置设备历史命令缓冲区大小。
history-command max-size value
缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令。
¡ 设置VTY用户线的空闲超时时间。
idle-timeout minutes [ seconds ]
缺省情况下,所有的用户线的超时时间为10分钟。如果10分钟内某用户线没有用户进行操作,则该用户线将自动断开。
取值为0表示永远不会超时。
(4) 配置VTY用户线支持的协议。
protocol inbound { all | pad | ssh | telnet }
缺省情况下,设备同时支持Telnet和SSH协议。
该配置将在用户下次使用该用户线登录时生效。
用户线视图下,authentication-mode和protocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(5) 设置从用户线登录后自动执行的命令。
auto-execute command command
缺省情况下,未配置自动执行命令。
在配置auto-execute command命令并退出登录之前,要确保可以通过其他VTY用户登录并更改配置,以便出现问题后,能删除该配置。
配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发了一个任务,系统会等这个任务执行完毕后再断开连接。
(6) 配置快捷键。
¡ 配置中止当前运行任务的快捷键。
escape-key { character | default }
缺省情况下,键入<Ctrl+C>中止当前运行的任务。
¡ 配置对当前用户线进行锁定并重新认证的快捷键。
lock-key key-string
缺省情况下,不存在对当前用户线进行锁定并重新认证的快捷键。
用户已经成功登录到了设备上,并希望将当前设备作为Telnet客户端登录到Telnet服务器上进行操作,如图3-1所示。
先配置设备IP地址并获取Telnet服务器的IP地址。如果设备与Telnet服务器相连的端口不在同一子网内,请保证两台设备间路由可达。
(1) 进入系统视图。
system-view
(2) (可选)指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口。
telnet client source { interface interface-type interface-number | ip ip-address }
缺省情况下,未指定发送Telnet报文的源IPv4地址和源接口,使用报文路由出接口的主IPv4地址作为Telnet报文的源地址。
(3) 退回用户视图。
quit
(4) 设备作为Telnet客户端登录到Telnet服务器。
telnet remote-host [ service-port ] [ source { interface interface-type interface-number | ip ip-address } | dscp dscp-value ] *
用户通过一个不能保证安全的网络环境远程登录到设备时,SSH(Secure Shell,安全外壳)可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。
· 设备可以作为SSH服务器,以便用户能够使用SSH协议登录到设备进行远程管理和监控。具体配置请参见“3.4.2 配置设备作为SSH服务器”。
· 设备也可以作为SSH客户端,使用SSH协议登录到别的设备,对别的设备进行管理和监控。具体配置请参见“3.4.3 配置设备作为SSH客户端登录其他设备”。
以下配置步骤只介绍采用password方式认证SSH客户端的配置方法。
(1) 进入系统视图。
system-view
(2) 生成本地密钥对。
public-key local create { dsa | ecdsa [ secp192r1 | secp256r1 | secp384r1 | secp521r1 ] | rsa } [ name key-name ]
(3) 开启SSH服务器功能。
ssh server enable
缺省情况下,SSH服务器功能处于关闭状态。
(4) (可选)建立SSH用户,并指定SSH用户的认证方式。
ssh user username service-type stelnet authentication-type password
(5) 进入VTY用户线或VTY用户线类视图。
¡ 进入VTY用户线视图。
line vty first-number [ last-number ]
¡ 进入VTY用户线类视图。
line class vty
(6) 配VTY用户线的认证方式为password方式。
缺省情况下,VTY用户线的认证方式为password方式。
用户线视图下,authentication-mode和protocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(7) (可选)配置VTY用户线支持的SSH协议。
protocol inbound { all | pad | ssh | telnet }
缺省情况下,设备同时支持Telnet和SSH协议。
本配置将在用户下次使用该用户线登录时生效。
用户线视图下,authentication-mode和protocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(8) (可选)配置SSH方式登录设备时,同时在线的最大用户连接数。
aaa session-limit ssh max-sessions
缺省情况下,SSH方式登录同时在线的最大用户连接数为32。
配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败。
(9) (可选)退回系统视图并配置VTY用户线的公共属性。
a. 退回系统视图。
quit
b. 配置VTY用户线的公共属性。
详细配置请参见“3.3.3 6. 配置VTY用户线的公共属性”。
用户已经成功登录到了设备上,并希望将当前设备作为SSH客户端登录到其他设备上进行操作,如图3-2所示。
先配置设备IP地址并获取SSH服务器的IP地址。如果设备与SSH服务器相连的端口不在同一子网内,请配置路由使得两台设备间路由可达。
请在用户视图下执行本命令,配置设备作为SSH客户端登录到SSH服务器。
ssh2 server
· 显示用户线的相关信息。
display line [ num1 | { console | vty } num2 ] [ summary ]
· 显示当前正在使用的用户线以及用户的相关信息。
display users
· 显示设备支持的所有用户线以及用户的相关信息。
display users all
请在用户视图下执行以下命令,向指定的用户线发送消息。
send { all | num1 | { console | vty } num2 }
系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以使用以下命令强制断开该用户的连接。
不能使用该命令释放用户当前自己使用的连接。
请在用户视图下执行以下命令,释放用户线。
free line { num1 | { console | vty } num2 }
锁定当前用户线可防止未授权的用户操作该用户线。
请在用户视图下执行以下命令:
· 锁定当前用户线并设置解锁密码。
Lock
· 锁定当前用户线并对其进行重新认证。
lock reauthentication
执行该命令后,当前用户线会被锁定。用户需要输入设备登录密码对当前用户线进行重新认证才能结束锁定,进入系统。
可在任意视图下执行以下命令,显示设备作为Telnet客户端的相关配置信息。
display telnet client
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!