H3C SecPath A2000-G[AK][V]系列运维审计系统 命令参考(E6101 E6102 E6103 E6104)-5W104

01-正文

本章节下载  (1.24 MB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Command/Command_Manual/H3C_A2000-G[AK][V]_CR(E6101_E6104)-5W104/202011/1359248_30005_0.htm

01-正文


1 如何登录后台管理菜单

1.1  显示器键盘连接

在运维审计系统的物理机上,连接显示器、键盘。

输入账户名:root,密码:admin,进入后台管理菜单。

图1-1 主菜单

 

1.2  Console口连接

可以使用Console口连接运维审计系统,连接参数如下。

Baud rate:115200

Data bits:8

Stop bits:1

Parity:None

Flow Control:None

1.3  SSH方式

您需要在本机上安装支持 ssh2 协议的客户端工具,这里推荐三种常用的客户端工具:

·     Xshell

·     putty

提示

密钥为登录运维审计系统后台管理菜单的唯一认证方式。

 

运维审计系统的密钥内容如下:

-----BEGIN RSA PRIVATE KEY-----

MIIEogIBAAKCAQEA7JSUgUq+1L9AlvK+6TRCN4mBTSVszAEu6llYhMOFcqM0I4o4

74ZaqWwi/JDwLnpi4HnW7h6OlM39I9qeKv1o9qbGUaXdgL+IkcJB4PVgCgeQKGlZ

B3ng/iOFe47dTV6Dx3D5v3j7lxuihPJXwcHtRRjSD0GBH0IJeQAL2fK3rk4ldqhI

FouqgoyjdONrV0YInRdNWzpl2Nxob33B/U4pwdvKVqDzWDk17+tZEdFvaoqzXFgt

hGfnmDtNiGVSLrJjbH+lwN0JHVeUSZHQ0iTfHOna5f39ConGgwIkVDVsDjfYqAW1

VPuwV1ExOWLjzIOtiiN2Xx62kqefgCRhVpc+qwIBIwKCAQBy6RTuV4FCw0tCAOBi

pFqtQsnGYqKO+UKsV0hAfDmA0u1wWRRXFV88WRhOyg5CdfWC+VnEHXh0KYmVEmoU

4XwgB9yrUJAol4t5/0SR1kSXKD60ivC6fQbh1r0tYqYBAgV+IO5Vr8qoeyMNX8Q5

ihQo4CuDwLsPLrQk1CMDdeQwFmTvcSeJ/KqEluVxoBqegKtWT52C4JIenp95I96Z

CaFhHWaY8XjSKSO07In8RoIp2v24DXtNHy4rd5vhgUi0HjAihEA93eRog4rDsHSB

1fm2rJVtuImDPnFMjH75d3SwYPyca+4ZLZwnXgMjE7PJFtUe0niEr40wsPuq4i5L

B6LrAoGBAPl/PnwPBdst4AhbNn8FmxLje/DZWtpmZoyITBDq129KCM4xGjS3FyDY

7l69VdaiiFDBXHVDQ6SxQ85z69rk45oGgaU0AVzOb+ZCfTocYb6/xcOVFhLc8h6E

HzdlW/vjyvYij+o5hNAyo+2VV7y8DZ92V0fMaVsxQzcU+6vKy6VRAoGBAPK/Jnqg

I0MWhP7zgWo4g+9TM67OxeYkXHV1UUEirjH7LQrMhomlJ7yEYUencfY1md/Fssl1

L1xRPXpiUSzmCRsAz5pn1pnSFRfdmj1uN8PlDBDYa/w9gIJ/Z1DtPdpG0mH4Hx0j

3LzEkVtMxHiusHVq7a7q8ZMMNEQpdSkPcJU7AoGBAIdw9gjU9IztBJbSbgpwweWu

sP8W6C1qyfSEgRB/fEO6ec8EtnRjZFOo9m3xwOI6+Yrsn+fir7EtB41U3x8Oii8K

2Koji7YJqnWvEMfGQ7CxP3jNRn9EvfNPCaG6rkbpX4zuMN48e0xzQwvx/G3FK/d6

waqiKpCXFdwStIHUfS3bAoGAUzo5FBmlsJoBtn9fkiIBWV5a3Nkt6IF+yS+JkqzO

AoIA0ICjJ+DabIUoqtpS9VQ0wcAgCo6T5SMrBWOJi7yVaFgMqfe3Sq5tochSI7DC

qZBb6IS3TysHfTL+2erwopvwXBqOUyI9DYU5Jp36OAFhElCMAXUfoCFxAW1MvZ7k

xXMCgYEApZ/k+CDP9R2gzq1vMAyG57Rq+/WDD748eb7bamesEvQuaZWpc/m+u7nV

pEQfHIxgOckaRkYnCHivOMRf8LUkNCoQ/hJoa3XV5hcb/jmXzcWpqSiB5eXqG/fv

AAWruTdhzpUo4dniY/ZYvAaIbgk7R8hjKc2t07u58on8E7DlhZ4=

-----END RSA PRIVATE KEY-----

将上文阴影内容复制粘贴进新建的文本文档中,并将其更名为“RSA-201801-openssh”,将该txt文件保存在本地供使用。

1.3.1  通过Xshell访问(版本5.0以上)

打开Xshell,ssh访问运维审计系统的IP地址。

图1-2 SSH访问

 

出现用户名输入提示框,输入“root”。

图1-3 填写账户

 

进入到认证界面,选择公钥,并点击浏览按钮。

图1-4 选择密钥

 

选择本地的密钥文件,点击确定。

图1-5 选择密钥

 

1.3.2  通过 Putty 访问(版本0.67以上)

提示

putty的密钥格式比较特殊,是由puttygen工具对私钥加密生成的一个 ppk 格式的文件。

 

该ppk格式文件内容如下:

PuTTY-User-Key-File-2: ssh-rsa

Encryption: none

Comment: imported-openssh-key

Public-Lines: 6

AAAAB3NzaC1yc2EAAAABIwAAAQEA7JSUgUq+1L9AlvK+6TRCN4mBTSVszAEu6llY

hMOFcqM0I4o474ZaqWwi/JDwLnpi4HnW7h6OlM39I9qeKv1o9qbGUaXdgL+IkcJB

4PVgCgeQKGlZB3ng/iOFe47dTV6Dx3D5v3j7lxuihPJXwcHtRRjSD0GBH0IJeQAL

2fK3rk4ldqhIFouqgoyjdONrV0YInRdNWzpl2Nxob33B/U4pwdvKVqDzWDk17+tZ

EdFvaoqzXFgthGfnmDtNiGVSLrJjbH+lwN0JHVeUSZHQ0iTfHOna5f39ConGgwIk

VDVsDjfYqAW1VPuwV1ExOWLjzIOtiiN2Xx62kqefgCRhVpc+qw==

Private-Lines: 14

AAABAHLpFO5XgULDS0IA4GKkWq1CycZioo75QqxXSEB8OYDS7XBZFFcVXzxZGE7K

DkJ19YL5WcQdeHQpiZUSahThfCAH3KtQkCiXi3n/RJHWRJcoPrSK8Lp9BuHWvS1i

pgECBX4g7lWvyqh7Iw1fxDmKFCjgK4PAuw8utCTUIwN15DAWZO9xJ4n8qoSW5XGg

Gp6Aq1ZPnYLgkh6en3kj3pkJoWEdZpjxeNIpI7TsifxGgina/bgNe00fLit3m+GB

SLQeMCKEQD3d5GiDisOwdIHV+baslW24iYM+cUyMfvl3dLBg/Jxr7hktnCdeAyMT

s8kW1R7SeISvjTCw+6riLksHousAAACBAPl/PnwPBdst4AhbNn8FmxLje/DZWtpm

ZoyITBDq129KCM4xGjS3FyDY7l69VdaiiFDBXHVDQ6SxQ85z69rk45oGgaU0AVzO

b+ZCfTocYb6/xcOVFhLc8h6EHzdlW/vjyvYij+o5hNAyo+2VV7y8DZ92V0fMaVsx

QzcU+6vKy6VRAAAAgQDyvyZ6oCNDFoT+84FqOIPvUzOuzsXmJFx1dVFBIq4x+y0K

zIaJpSe8hGFHp3H2NZnfxbLJdS9cUT16YlEs5gkbAM+aZ9aZ0hUX3Zo9bjfD5QwQ

2Gv8PYCCf2dQ7T3aRtJh+B8dI9y8xJFbTMR4rrB1au2u6vGTDDREKXUpD3CVOwAA

AIEApZ/k+CDP9R2gzq1vMAyG57Rq+/WDD748eb7bamesEvQuaZWpc/m+u7nVpEQf

HIxgOckaRkYnCHivOMRf8LUkNCoQ/hJoa3XV5hcb/jmXzcWpqSiB5eXqG/fvAAWr

uTdhzpUo4dniY/ZYvAaIbgk7R8hjKc2t07u58on8E7DlhZ4=

Private-MAC: 416523c96629b0f55bab31ce5b7b7f8724dec52d

将上文阴影内容复制粘贴进新建的文本文档中,并将其更名为“RSA-201801-openssh”,并将其格式更改为.ppk,保存文件“RSA-201801-openssh.ppk”在本地供使用。

打开 putty 工具,在 session 界面中输入运维审计系统的IP地址,协议选择 ssh。

图1-6 putty选项

 

 

然后在 Connection 的子目录 Data 中输入用户名“root”。

图1-7 填写账户

 

 

在 SSH 子菜单“Auth”中将 ppk 密钥路径导入进去,并勾选“Attempt "keyboard-interactive" auth (SSH-2)"”选项。

图1-8 选择密钥

 

 


2 如何使用管理菜单

运维审计系统管理菜单主要负责运维审计系统的后台系统维护任务,包括:时间设置,网络参数配置,管理员账号设置,运维审计系统服务管理,HA 管理,网络监测工具以及系统状态监控。

值得注意的是,其中有些常用操作无法在WEB界面进行,如配置管理IP、重启/关闭系统、恢复出厂设置、NTP设置等,若系统的激活文件尚未导入,系统时间也只能通过后台才能进行修改。

图2-1 主菜单

 

您可以在管理菜单中输入相应选项,按回车进行选择。下文中将逐一介绍各个选项的使用方法,在标题栏后用“(1->1->S)”表示菜单选择路径:先选择主菜单 1 选项,接着再选择 1 选项,最后选择 S 选项,字母不区分大小写。

2.1  时间与日期设置(1

2.1.1  日期设置(1->1

在“New date”后面输入“yyyy-mm-dd”格式的日期并回车,即可更改当前日期,注意格式。

图2-2 日期\时间菜单

 

2.1.2  时间设置(1->2

在“New time”后面输入“hh:mm:ss”格式的时间并回车,选择“S”提交之后立即修改生效。

图2-3 修改时间

 

2.1.3  时间同步服务器设置(1->3

进入时间同步服务器设置子菜单。

图2-4 选择NTP

 

·     添加时间同步服务器(1->3->A)

在“Please input new NTP server:”后面输入时间同步服务器并回车,即可添加新的时间同步服务器到地址池中。

在出现的菜单中输入“s”选择“Submit”提交最新更改并使之起效。

图2-5 添加NTP

 

·     删除时间同步服务器(1->3->时间同步服务器编号)

选择时间同步服务器的编号后确认是否要删除时间同步服务器并回车,即可从地址池中删除指定的时间同步服务器。在出现的菜单中输入“s”选择“Submit”提交最新更改并使之起效。

图2-6 删除NTP

 

·     手动同步时间(1->3->U)

选择“Update time”后,运维审计系统会从 NTP 服务器列表中从上至下地选择活动的NTP服务器来同步时间。

图2-7 手动同步

 

·     开启 NTP 服务(1->3->X)

在“select action”中选择“1”来启动本机的 ntpd 服务。

图2-8 开启NTP服务

 

提示

开启运维审计系统的 NTP 服务之后,运维审计系统 将以渐进的方式缩小与列表中 NTP 服务器间的时间差。假如您需要立即同步时间,请先停止运维审计系统的 NTP Service,然后执行Update time 。

 

2.1.4  时区设置(1->4

进入时间同步服务器设置子菜单。

图2-9 选择Time Zone

 

图2-10 选择配置时区

 

图2-11 选择亚洲

 

图2-12 选择中国

 

图2-13 选择北京时间

 

图2-14 确认信息

 

2.2  网络配置(2

在主菜单页面中选择 2,则进入了网络配置菜单

图2-15 进入网络配置

 

2.2.1  配置网卡的网络参数(2->网卡编号)

网络配置菜单中会列出所有的网卡,如本例中的 GE0/0。选择相应的编号进入该网卡的配置页面。

选择相应的配置项编号即可修改该配置参数,例如:选择 1(IP  Address),修改该网卡的IP地址,回车之后菜单中会提示您新设置的IP地址,确认没问题之后选择 S(submit) 进行提交生效。

图2-16 选择网口

 

图2-17 修改IP

 

提示

运维审计系统 在 HA 的情况下不允许在该界面内修改IP地址。另外一台机器只能设置一个网关,如果要添加两个及两个以上的网络出口请参考2.2.2  路由配置(2->R)

 

2.2.2  路由配置(2->R)

·     查看当前系统路由(2->R->D)

图2-18 查看路由

 

选择 d 会输出系统的路由表,包括系统默认的路由和在运维审计系统中设置的路由,由于默认路由不允许随便更改所以运维审计系统在路由配置页面仅列出了除系统默认路由之外的路由。

图2-19 路由显示

 

·     新增路由(2->R->A)

根据系统提示,输入一条新的路由,格式为:目标网络/子网掩码或者子网长度,网关。

选择 y 确定之后继续选择 s 提交生效。当然这里最好再查看下当前系统路由来确认添加是否成功。

图2-20 新增路由

 

图2-21 路由查看

 

·     删除路由(2->R->R)

根据系统提示选择要删除的路由编号,选择 y 确认之后选择 s 提交生效。

图2-22 删除路由

 

·     修改路由(2->R->路由编号)

根据系统提示先选择要修改的路由编号,接着重新输入路由,输入 y 确认之后输入 s 提交生效。

图2-23 修改路由

 

2.2.3  DNS 设置(2->N)

图2-24 DNS配置

 

·     添加 DNS 服务器(2->N->A)

在“Please input new nameserver:”后面输入 DNS 服务器并回车,即可添加新的 DNS 服务器到地址池中。

在出现的菜单中输入“s”选择“Submit”提交最新更改并使之起效。

图2-25 增加DNS

 

·     删除 DNS 服务器(2->N->DNS 编号)

选择 DNS 服务器编号后确认是否要删除 DNS 服务器并回车,即可删除指定 DNS 服务器。

在出现的菜单中输入“s”选择“Submit”提交最新更改并使之起效。

图2-26 删除DNS

 

2.2.4  修改主机名信息(2->H

图2-27 查看主机信息

 

选择 1,即可更改当前主机名。

选择 2,即可更改当前域名。

提示

主机名字中不能含有点,如:man.tipsec.com 就是非法的。长主机名中的域名部分需要在 Domain name 中设置,主机名不能为 localhost。


 

2.2.5  配置链路聚合(2->B

图2-28 配置链路聚合

 

图2-29 增加链路聚合

输入链路聚合名称。

 

图2-30 选择链路聚合类型

选择链路聚合类型,其中6中聚合方式分别为:

·     Bond0:平衡抡循环策略(需要接入交换机配置静态链路聚合配置)

·     Bond1:主-备份策略

·     Bond2:平衡策略

·     Bond3:广播策略

·     Bond4:IEEE 802.3ad 动态链接聚合(需要接入交换机配置动态链路聚合配置)

·     Bond5:适配器传输负载均衡

·     Bond6:适配器适应性负载均衡

 

 

图2-31 选择聚合的网口

 

图2-32 填写网口信息

2.3  系统服务(3

系统服务依次为:

Database Server数据库服务

Http server:web 服务

Node Health Monitor:节点状态监控服务

Permission Server:权限管理服务

Monitor Server:监控服务

图2-33 查看系统服务

 

提示

一般情况下 5 种服务皆为 running 状态,强烈不建议管理员自己去修改服务状态, 若遇到任何服务异常(非 running 状态),请及时联系厂商工程师获取帮助。

 

2.4  系统管理员(4

在管理菜单主页面中选择 4,查看账号状态。

所有运维审计系统的超级管理员都会显示出来,并注明其状态。其中:active 为活动状态,disabled 为禁用状态。

图2-34 查看超管账户

 

2.4.1  状态管理(4->管理员编号->1)

在“New status”中选择要对用户帐号修改的状态并回车确定,其中,“1. disabled”为禁用用户帐号,“2. active”为启用用户帐号,“0. return”为返回。

图2-35 状态管理

 

2.4.2  密码管理(4->管理员编号->2)

在“New password”中输入要设置的密码并回车,在随后出现的“Confirm password:”重新输入设置的密码并回车。

图2-36 密码管理

 

提示

如果该账户使用 radius、totp 或者 ldap 作为身份认证方式,进行以上操作后,身份验证方式将同时更改为 native。

 

2.5  HA 状态管理(H)

High Availability 菜单提供常见的 HA 功能,包括:切换、状态查看和主备机切换。该功能只有在配置的 HA 的情况下才可用。

2.5.1  手动同步(H->1

进入手工同步,选择 y 后开始同步数据。

图2-37 手工同步

 

·     在主节点上执行同步

则会提示“heartbeat rscstatus: all”,同步执行完成。

实际上并没有真正运行该同步任务,因为 HA 的数据同步都是将主节点的数据同步到备节点,不会反向执行。

图2-38 主节点执行

 

·     在备节点上执行同步

则会提示“heartbeat rscstatus: none”,并接着开始备份数据库,可以很明显地看到同步执行情况。

图2-39 备节点执行

 

最后执行完成,系统会提示“ha_sync_state updated!”“Sync OK!”,表示同步任务执行成功。

图2-40 同步成功

 

提示

一般情况下,运维审计系统不需要管理员来干预 HA 的数据同步,只有在特殊情况下,例如: 机房维护需要断电的情况下需要在关机之前手工执行数据同步来保证下一次开机时 HA 的两台机器数据是一致的。

 

2.5.2  查看 HA 状态(H->X)

选择 x 之后运维审计系统会自动检测 HA 的运行状态,并不断地在窗口底部刷出最新的检测结果,按 crtl+c 键退出。

在检测结果列表中:

·     hbstatus : 本机 HA 服务运行状态;

·     rscstatus : 本机资源状态,all 表示当前机器为主节点,none 表示当前机器为备节点,transaction 表示 HA 正在切换;

·     nodestatus : 该机器是否为活动节点,active 表示活动节点,dead 表示非活动节点;

·     GE0/0 : 第一块网卡的活动状态,up 表示活动,dead 表示非活动;

·     GE0/1 : 第二块网卡(一般是心跳网卡)的活动状态,up 表示活动,dead 表示非活动;

图2-41 HA状态

 

2.5.3  备节点切换为主节点(H->T

进入备节点的管理菜单,在 HA 子菜单中选择 t(takeover),接着选择 y 确认。此时 HA 将开始切换,可以根据HA状态,一直到 rscstatus 变为 all 时说明 HA 切换成功,备节点切换为了主节点,成功接管所有服务。

图2-42 Takeover操作

 

2.5.4  主节点切换为备节点(H->S

进入主节点的管理菜单,在 HA 子菜单中选择 s(standby),接着选择 y 确认。此时 HA将开始切换,可以根据HA状态,一直到 rscstatus 变为 none 时说明HA 切换成功,主节点切换为了备节点,成功交付所有服务。

图2-43 Standby操作

 

提示

HA 在切换的时候所有会话会被切断,因此管理员在做 HA 切换之前务必确保当前没有用户使用运维审计系统。

 

2.6  系统运行状态

选择 s 进入系统状态管理菜单,该菜单可以查看和更改系统状态。包括查看系统负载、重启和关闭系统。

图2-44 系统状态

 

2.6.1  系统负载和磁盘状态(S->1

“show status”显示当前系统 cpu 负载、内存使用情况和磁盘状态。

图2-45 Status状态

 

2.6.2  vmstat(S->2)

“vmstat”运行 vmstat 命令实时查看系统负载,按 CTRL+C 键返回。

图2-46 Vmstat状态

 

2.6.3  重启系统(S->3)

输入 y 回车,运维审计系统将重启;输入 n,取消操作。

图2-47 重启系统

 

2.6.4  关闭系统(S->4)

输入 y 回车,运维审计系统将关机;输入 n,取消操作。

图2-48 关闭系统

 

2.7  网络诊断工具(T)

网络诊断工具菜单包含以下三个常用的网络诊断工具:ping、traceroute 和 telnet。

图2-49 网络工具

 

2.7.1  ping(T->1)

输入IP地址后回车,如,183.1.9.96,运维审计系统 将执行“ping –c 3 183.1.9.96”。

图2-50 Ping操作

 

2.7.2  traceroute(T->2)

输入IP地址后回车,如,183.1.9.94,运维审计系统 将执行“traceroute 183.1.9.94”。

图2-51 Traceroute操作

 

2.7.3  telnet(T->3)

选择 3 之后系统会出现 telnet>提示符,可执行标准的 telnet 命令,格式:

open ipaddress port:测试网络端口是否可达。

quit:退出 telnet。

图2-52 Telnet操作

 

2.7.4  forbit root ssh login(T->4)

选择4之后,会禁止root账户以SSH方式登录。

图2-53 禁止root SSH登录

图2-54 串口或显示器连接允许root SSH登录

 

提示

禁止root账户SSH方式登录,则无法开启新会话连接到运维审计系统后台。

显示器键盘连接或串口连接访问后台不受影响。

 

2.8  恢复出厂设置(r)

选择r,恢复出厂设置

图2-55 恢复出厂设置

 

图2-56 确定恢复

 

提示

执行恢复出厂设置后,运维审计系统会保留IP地址,其它配置都会删除。

 

提示

执行恢复出厂设置后,需要重启运维审计系统生效。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们