• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

01-入门配置指导

目录

01-入门配置指导

本章节下载 01-入门配置指导  (301.01 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Operation_Manual/ACG1000_CG(F6610)-6W103/01/202009/1334637_30005_0.htm

01-入门配置指导


1 入门指导

1.1  设备配置概述

设备系统可以通过命令行配置,也可以通过图形界面进行配置。其中命令行配置除了可以通过Console口连接,也可以通过SSH,Telnet客户端连接;图形界面采用的B/S模式,可以通过HTTPS和HTTP进行连接。本手册介绍通过命令行的方式进行配置管理。

1.2  实现系统配置的途径

用户可以通过以下几种方式登录到设备上,对设备进行配置和管理:

登录方式及介绍

详情

通过CLI登录设备

通过串口实现系统配置

1.2.1 

通过Telnet实现系统配置

1.2.2 

通过SSH方式实现系统配置

1.2.3 

配置通过Web网管登录设备

1.2.4 

 

1.2.1  通过串口实现系统配置

通过串口进行本地登录是登录设备的基本方式之一,也是配置通过其它方式登录设备的基础。如图1-1所示。

图1-1 通过串口登录设备示意图

 

首先把设备和PC用串口线连接,按照表1-1所示的参数配置串口工具。

表1-1 串口参数表

参数

波特率

9600

数据位

8

奇偶校验

停止位

1

流量控制

 

正确设置完Console的参数并将设备加电,可以看到设备的登录提示信息,输入用户名(缺省情况下是admin)和密码(缺省情况下是admin)之后,就可以登录到设备的命令行。

1.2.2  通过Telnet实现系统配置

任何一个有Telnet功能的工作站都能通过TCP/IP网络连接到设备。通过串口登录之后,可以通过表1-2所示步骤打开接口的Telnet访问功能。此后可以从该接口上以该接口的IP地址Telnet登录到设备命令行接口。

表1-2 使能接口的Telnet访问功能

操作

命令

说明

进入系统视图

system-view

-

进入接口配置视图

interface interface-name

必选

应该选择和工作站直连的接口

配置接口IP地址

ip address ip-address netmask-length

必选

配置的IP应该和工作站在同一个网段中

使能接口的Telent访问

allow access telnet

必选

缺省情况下,ge0的Telnet功能是打开的

 

1.2.3  通过SSH方式实现系统配置

网络被攻击,很多情况是由于服务器提供了Telnet服务引起的。Telnet服务有一个致命的弱点——它以明文的方式传输用户名及口令,所以,很容易被别有用心的人窃取口令。目前,一种有效代替Telnet服务的有用工具就是SSH服务。SSH客户端与服务器端通讯时,用户名及口令均进行了加密,有效防止了对口令的窃听。设备支持以SSH的方式对设备的管理。

任何一个有SSH功能的工作站都能通过TCP/IP网络连接到设备。通过串口登录之后,可以通过表1-3所示步骤打开接口的SSH访问功能。此后可以从该接口上以该接口的IP地址通过SSH命令登录到设备命令行。

表1-3 使能接口的SSH访问功能

操作

命令

说明

进入系统视图

system-view

-

进入接口配置视图

interface interface-name

必选

应该选择和工作站直连的接口

配置接口IP地址

ip address ip-address netmask-length

必选

配置的IP应该和工作站在同一个网段中

使能接口的SSH访问

allow access ssh

可选

缺省情况下,ge0的SSH功能是打开的

 

1.2.4  配置通过Web网管登录设备

为了方便您对网络设备进行配置和维护,设备提供Web 网管功能。设备提供一个内置的Web 服务器,您可以通过PC 登录到设备上,使用Web 界面直观地配置和维护设备。

设备支持两种内置的 Web 登录方式:

·     HTTP 登录方式:HTTP(Hypertext Transfer Protocol,超文本传输协议)用来在Internet上传递Web页面信息。HTTP位于TCP/IP 协议栈的应用层。传输层采用面向连接的TCP。

·     HTTPS 登录方式:HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)是支持SSL(Secure Sockets Layer,安全套接字层)协议的HTTP协议。HTTPS通过SSL 协议,使客户端与设备之间交互的数据经过加密处理,并为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备,从而实现了对设备的安全管理。

表1-4 通过Web 登录设备需要具备的条件

对象

需要具备的条件

设备

配置设备的IP地址,设备与Web登录用户间路由可达

缺省情况下,设备的IP地址为192.168.1.1/24

接口的HTTP管理功能已经打开

缺省情况下,设备的GE0的Web管理的功能是打开的,其它接口是关闭的

Web登录用户

运行Web浏览器

获取要登录设备接口的IP地址

 

用户首次登录Web 网管时需要使用缺省帐号进行登录,登录完成后为了确保设备的安全性,需要立即修改管理员的密码,具体操作步骤如下:

·     使用缺省帐号、密码首次登录Web 网管

·     修改缺省管理员的密码

具体的操作方法请参考Web配置指导,本章节就不再介绍。

1.3  命令特性

1.3.1  认识命令行接口

命令行接口是用户与设备之间的文本类指令交互界面,用户键入文本类命令,通过输入回车键提交设备执行相关命令,从而对设备进行配置和管理,并可以通过查看输出信息确认配置结果。对比图形界面使用鼠标点击相关选项进行设置,命令行接口形式可以一次输入含义更为丰富的指令。

1.3.2  开始使用命令行接口

设备支持多种方式进入命令行接口,比如通过串口登录设备后进入命令行接口界面、通过Telnet

方式登录设备后进入命令行接口界面、通过SSH 方式登录设备后进入命令行接口界面等,各方式的详细描述请参见前面的相关章节。

1.3.3  命令操作步骤

本节主要讲述当您进入命令行进行配置时所要进行的步骤。请仔细阅读本节以及后边几节中关于使用命令行接口的详细信息。

使用命令行接口(CLI),请按照以下步骤:

(1)     当进入命令行接口出现命令提示符后,请确认您有相应的权限。大多数配置命令都需要用户有管理员权限。

(2)     键入命令名称。

如果命令不含需要用户输入的参数,那么请直接跳到第(3)步。如果命令含需要用户输入的参数,那么继续以下步骤:

·     如果命令需要一个参数值,请输入一个参数值。在输入参数值时,可能要输入关键字。

·     命令的参数值部分一般指定了您应该输入什么样的参数,是某范围内的数值,或者字符串或者IP地址。关键字是指命令中要操作的对象。

·     如果命令需要多个参数值,请按命令的提示依次输入关键字和每个参数值。直到提示信息中出现让您按回车键信息为止。

(3)     输入完整的命令后,请按回车键。

说明

命令行中的所有命令和关键字都是小写。

 

1.3.4  语法帮助

命令行接口内置有语法帮助。如果您对某个命令的语法不是很确定,请输入该命令中您所知道的部分,然后输入“?”或“空格加?”。命令行会提示您已经输入的部分命令后剩余部分的可能的命令清单。例如,在用户视图下输入“?”:

H3C# ?

applicationApplication

clear             Reset functions

configure         Configuration from vty interface

copyCopy from one file to another

date              Set system date

debug             Debugging functions (see also 'undebug')

disable           Turn off privileged mode command

endEnd current mode and change to enable mode

eraseErase file contentContentes of startup configuration

exec              execute command

exitExit current mode and down to previous mode

exportexport exception info to server

flowfast          Flow fast set(Just for test)

importImport

list              Print command list

max-ident-packet  max application identify packet per conntrack

no                Negate a command or set its defaults

ntpupdate         NTP update system time

ping              send ICMP ECHO_REQUEST to network hosts

ping6             send ICMPv6 ECHO_REQUEST to network hosts

pkiConfigpki

quit              Exit current mode and down to previous mode

rebootReboot System

saveSave running configuration to disk

setSet values in destination routing protocol

showShow running system information

switchSwitch

syncSync

tcpsynTcp SYN to destination

telnet            Open a telnet connection

terminal          Set terminal line parameters

traceroute        Trace route to destination

updateUpdate malware url.

watchdogwatchdog switch

who               show login administrator users

writeWrite running configuration to memory, network, or terminal

1.3.5  使用语法帮助补齐命令

系统提供用户输入“Tab”键后,对命令进行补齐的功能。当您输入了一部分命令后,再输入“Tab”键,如果匹配的命令有多个,则列出可能的命令清单,如果匹配的命令只有一个,那么命令行会自动把用户输入的那部分命令补齐,并把光标移至最后。

1.3.6  命令中的符号

您可能会在命令行的语法中看到各种符号,这些符号是提示您该如何输入该命令,并不是命令本身的一部分。表1-5对这些符号进行了概要说明。

表1-5 命令行中的符号

符号

说明

大写字母

大写字母表示该命令的该部分必须输入一个字符串参数

A.B.C.D和A.B.C.D/M

A.B.C.D表示IP地址,M表示掩码

中括号 [ ]

中括号表示里面的参数可输入或可不输入

尖括号和数值范围<>

尖括号和数值范围表示输入的参数的取值范围在那两个数值之间的某个数

 

1.3.7  命令简写

命令简写是指您可以只输入命令单词或关键字的前边部分字母,只要那部分字母不会造成歧义,就可以直接回车执行该命令。但需要用户输入的参数,如PPPoE模板的名字等,要完整输入。

例如配置IP地址的命令:

ip address 192.168.1.1/16

可以简写成:ip add 192.168.1.1/16

说明

当使用命令简写时,您必须输入足够多的字母,以确保在众多命令中不会造成歧义。

 

1.3.8  命令模式

设备支持丰富的命令模式,表1-6列出了所有的命令模式。

表1-6 命令模式

命令模式

提示符

说明

普通模式

host>

系统启动后,输入用户名密码

用户视图

host#

普通模式下,输入enable

系统视图

host(config)#

用户视图下,输入system-view

模块视图

host(config-XXX)#

系统视图下,输入要进入的模块名称。如进入接口视图,输入:interface ge0

 

1.3.9  常用命令介绍

表1-7罗列了命令行中常用的命令。

表1-7 普通模式下的常用命令介绍

命令

说明

enable

进入特权模式,可以对设备进行配置和写操作

exit

退出当前模式,返回到上一级模式

list

显示当前模式下可用的命令

display running-config

显示当前的配置信息(可以是没有保存的)

display startup-config

显示已经保存的启动配置信息

display version

显示版本信息

display cpu usage

显示当前设备CPU使用率

display capacity

显示当前设备各功能模块的规格

display url-whitelist all

显示当前设备URL白名单配置

display user-wechat white-list

显示当前设备微信认证服务器白名单

 

1.4  系统管理与维护

系统管理主要涉及到系统时间设置、系统管理员、系统配置、升级版本及库、系统诊断等功能。

1.4.1  配置系统时间相关

系统时间配置有两种方法,一种是手动配置时间,二是从NTP服务器同步时间。

1. 配置系统时间

表1-8所示步骤配置系统时间。

表1-8 配置系统时间

操作

命令

说明

配置系统时间

date year month day hour minute second

必选

配置系统时区

timezone zone

必选

显示系统时间

display date

display命令可以在任意视图执行

显示系统时区

display timezone

display命令可以在任意视图执行

 

2. 通过NTP配置系统时间

表1-9所示步骤通过NTP配置系统时间。

表1-9 通过NTP配置系统时间

操作

命令

说明

进入系统视图

system-view

-

配置NTP

ntp ntp-server interval-time

必选

立即获取时间

ntpupdate ntp-server

可选

显示NTP配置

display ntp config

display命令可以在任意视图执行

 

1.4.2  系统升级

表1-10所示步骤配置系统升级。

表1-10 配置系统升级

操作

命令

说明

进入配置视图

copy ftp username password ip-address file-name {version | applib | urllib}

-

进入配置视图

copy http ip-address file-name { version|applib |urllib}

-

 

1.4.3  配置文件

1. 配置文件的保存与恢复

表1-11所示步骤进行配置文件的保存与恢复。

表1-11 配置文件的保存与恢复配置

操作

命令

保存配置

save config

备份启动配置

boot-loader file startup-config backup-config

恢复启动配置

boot-loader file backup-config startup-config

保存当前配置为备份配置

boot-loader file running-config backup-config

保存当前配置为启动配置

boot-loader file running-config startup-config

 

2. 配置文件的导入与导出

表1-12所示步骤进行配置文件的导出。

表1-12 配置文件的导出

操作

命令

说明

通过FTP导出配置文件

copy {running-config|startup-config} ftp username password ip-address file-name

二选一

通过TFTP导出配置文件

copy {running-config|startup-config} tftp ip-address file-name

 

表1-13所示步骤进行配置文件的导入。

表1-13 配置文件的导入

操作

命令

说明

通过FTP导入配置文件

copy ftp username password ip-address file-name config localFile

二选一

通过TFTP导入配置文件

copy tftp ip-adress file-name config localFile

 

3. 恢复出厂设置

执行erase startup-config命令恢复出厂设置。

1.5  管理员

本章涉及管理员、管理员权限表、管理员在线信息的命令行配置方法。

1.5.1  管理员

设备出厂的默认配置包括一个超级管理员用户admin,使用这个帐号,可以登录设备对设备进行配置,包括配置其它的管理员。每个管理员都有它的管理地址,以及管理权限和描述,权限是通过权限表来限制的。

1.5.2  配置管理员

表1-14所示步骤进行管理员全局配置。

表1-14 管理员全局配置

操作

命令

说明

进入系统视图

system-view

-

配置最大登录用户数

guish maxclient max-client

可选

缺省情况下,最大登录用户数为20

配置自动退出时间

guish timeout time

可选

缺省情况下,默认是10分钟

配置本地管理员用户

user administrator user local password authorized-table table-name [disable]

必选,管理员密码必须包含数字、字母、以及符号(!、@、#、¥、%、&、`、,、-、.)

配置Radius管理员用户

user administrator user radius server authorized-table table-name [disable]

可选

配置Radius服务器

radius-server servrip-address secret [port]

可选

配置Radius服务器组

radius-server server group group-name

可选

配置LDAP管理员用户

user administrator user ldap server authorized-table table-name [disable]

可选

配置管理员用户的管理地址

user administrator user authorized-address {first|second|third}  ip-address / prefix

可选

 

1.5.3  管理设定

表1-14所示步骤进行管理员全局配置。

表1-15 管理员全局配置

操作

命令

说明

进入系统视图

system-view

-

配置最大登录用户数

guish maxclient max-client

可选

缺省情况下,最大登录用户数为20

配置管理员唯一性检查

guish admin unique

可选

缺省情况下关闭

配置实时保存配置

guish autosave

可选

仅对web配置有效

配置管理员双因子认证

admin auth usbkey

可选

结合USBkey实现管理员双因子认证功能

配置管理员超时时间

guish timeout minutes

必选

配置管理员无操作后超时自动登出时间,缺省情况下为10分钟

配置登录失败阻断间隔

admin auth block

必选

缺省情况下,阻断间隔60s

配置最大登录重试次数

admin auth retry

必选

缺省情况下,最大登录失败重试次数为5次

配置HTTPS端口

https port default|(1024-65534

必选

缺省为443端口

配置HTTP端口

http port default|(1024-65534

必选

缺省为80端口

配置ssh端口

ssh port default|(1024-65534

必选

缺省为22端口

配置telnet端口

telnet port default|(1024-65534

必选

缺省为23端口

 

1.6  常用系统管理命令

这里主要讲通过串口登录后,一些常用的命令如查看在线用户数、配置SSH和TELNET服务、查看系统信息和网络诊断命令ping、traceroute等。

1.6.1  Telnet或SSH服务

表1-16所示配置Telnet和SSH服务。

表1-16 配置Telnet和SSH

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface if-name

必选

启用Telnet或SSH服务

allow access {telnet | ssh}

必选

 

1.6.2  登录用户管理与维护

表1-17所示管理登录用户。

表1-17 管理登录用户

操作

命令

说明

显示登录用户

who

必选

进入系统视图

system-view

-

清除登录用户

clear user name ip-address ip-address time time

必选

 

1.6.3  系统管理和维护

表1-18所示管理和维护系统。

表1-18 管理和维护系统

操作

命令

说明

显示系统信息

display version

必选

系统诊断命令

ping -c request-times -s request-bytes -irequest-interval -t rquest-ttl -I {ip-address|domain}

可选

缺省情况下,默认request-times为5次。默认request-bytes为64字节。默认request-interval为1秒

ping -c request-times -s request-bytes -irequest-interval-t rquest-ttl -I {ip6-address|domain}

可选

缺省情况下,默认request-times为5次。默认request-bytes为64字节。默认request-interval为1秒

traceroute -s {ip-address|domain}

可选

系统诊断命令

tcpsyn -c request-times ip-address port

可选

缺省情况下,默认request-times为5次

 

1.7  配置举例

1.7.1  配置管理员

在设备上添加两个管理员用户check和admin,其中check的权限表是show-config,admin的权限表是system-config。show-config具有显示功能的权限,而admin具有读写所有模块的权限。

1. 组网需求

创建一个管理员账号。

·     设备加电启动。

·     管理员账号登录设备。

2. 配置步骤

#添加管理员。

host# system-view

host(config)# user administrator check local check@123 authorized-table audit

host(config)# user administrator admin local admin@123 authorized-table admin

#设置用户管理地址。

host(config)# user administrator check authorized-address first 192.168.0.10/24

#保存配置。

host(config)# save config

3. 验证配置

重启设备,用配置的管理员admin登录设备,能够正常登录设备。通过display admin-user命令查看管理员配置。

host# display admin-user

Admin User Name                 User Type  User Status

admin                            local      enable

check                            local      enable

Total users : 2

用配置的管理员check登录设备,能够正常登录设备,但是无法进入系统视图。

host# system-view

% Command not permitted.

1.7.2  配置系统时间

1. 组网需求

配置系统时间通过NTP同步。

·     设备加电启动。

·     管理员账号登录设备。

2. 配置步骤

#配置从NTP服务器获取时间。

host# system-view

host(config)# ntp asia.pool.ntp.org 60

3. 验证配置

等待60秒后,通过命令display date查看系统时间。

host# display date

ABS time        :1400046189

UTC time        :2014-05-14 05:43:09

Local time      :2014-05-14 13:43:09

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们