• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

01-基础配置指导

目录

02-登录交换机配置

本章节下载 02-登录交换机配置  (709.05 KB)

02-登录交换机配置

  录

1 登录交换机方式介绍

1.1 登录交换机方式综述

1.2 用户界面简介

1.2.1 用户界面概述

1.2.2 用户与用户界面的关系

1.2.3 用户界面的编号

2 配置用户通过CLI登录设备

2.1 配置用户通过CLI登录设备简介

2.2 配置通过Console口登录设备

2.2.1 通过Console口登录设备简介

2.2.2 缺省配置下如何通过Console口登录设备

2.2.3 Console口登录的认证方式介绍

2.2.4 配置通过Console口登录设备时无需认证(None)(FIPS模式下不支持该登录方式)

2.2.5 配置通过Console口登录设备时采用密码认证(Password)(FIPS模式下不支持该登录方式)

2.2.6 配置通过Console口登录设备时采用AAA认证(Scheme)

2.2.7 配置Console口登录方式的公共属性(可选)

2.3 配置通过Telnet登录设备(FIPS模式下不支持该登录方式)

2.3.1 通过Telnet登录设备简介

2.3.2 Telnet登录的认证方式介绍

2.3.3 配置通过Telnet Client登录设备时无需认证(None)

2.3.4 配置通过Telnet Client登录设备时采用密码认证(Password)

2.3.5 配置通过Telnet Client登录设备时采用AAA认证(Scheme)

2.3.6 配置VTY用户界面的公共属性(可选)

2.3.7 配置设备充当Telnet Client登录到Telnet Server

2.3.8 配置Telnet报文的DSCP优先级

2.4 配置通过SSH登录

2.4.1 通过SSH登录设备简介

2.4.2 配置设备充当SSH服务器

2.4.3 配置设备充当SSH客户端登录其它设备

2.5 配置通过Modem登录设备

2.5.1 通过Modem登录设备简介

2.5.2 缺省配置下如何通过Modem登录设备

2.5.3 Modem拨号登录的认证方式介绍

2.5.4 配置用户通过Modem登录设备时无需认证(None)(FIPS模式下不支持该登录方式)

2.5.5 配置用户通过Modem登录设备时采用密码认证(Password)(FIPS模式下不支持该登录方式)

2.5.6 配置用户通过Modem登录设备时采用AAA认证(Scheme)

2.5.7 配置AUX用户界面的公共属性(可选)

2.6 CLI登录显示和维护

3 配置通过Web网管登录设备

3.1 通过Web网管登录设备简介

3.2 配置通过HTTP方式登录设备

3.3 配置通过HTTPS方式登录设备

3.4 通过Web网管登录设备显示与维护

3.5 通过Web网管登录设备典型配置举例

3.5.1 使用HTTP方式登录设备典型配置举例

3.5.2 使用HTTPS方式登录设备典型配置举例

4 配置通过NMS登录设备

4.1 通过NMS登录设备简介

4.2 配置通过NMS登录设备

4.3 通过NMS登录设备典型配置举例

5 对登录用户的控制

5.1 对登录用户的控制简介

5.2 配置对Telnet用户的控制(FIPS模式下不支持该方式)

5.2.1 配置准备

5.2.2 通过源IP对Telnet进行控制

5.2.3 通过源IP、目的IP对Telnet进行控制

5.2.4 通过源MAC地址对Telnet进行控制

5.2.5 配置举例

5.3 通过源IP对网管用户进行控制

5.3.1 配置准备

5.3.2 通过源IP对网管用户进行控制

5.3.3 配置举例

5.4 通过源IP对Web用户进行控制

5.4.1 配置准备

5.4.2 通过源IP对Web用户进行控制

5.4.3 强制在线Web用户下线

5.4.4 配置举例

5.5 配置对登录失败的用户进行延时重认证


1 登录交换机方式介绍

说明

·     设备运行于FIPS模式时,本特性的相关配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

·     本章中典型配置举例中的配置,如无特殊说明,均以设备运行在非FIPS模式下的命令行为准。

·     FIPS模式下不支持Telnet和HTTP功能。

 

1.1  登录交换机方式综述

用户可以通过以下几种方式登录到交换机上,对交换机进行配置和管理:

登录方式及介绍

各种登录方式缺省状况分析

通过CLI登录设备

配置通过Console口登录设备

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3

配置通过Telnet登录设备FIPS模式下不支持该登录方式)

缺省情况下,用户不能直接通过Telnet方式登录设备。如需采用Telnet方式登录,需要先通过Console口本地登录设备、并完成如下配置:

·     开启设备的Telnet功能(缺省情况下,Telnet功能关闭)

·     配置设备VLAN接口的IP地址,确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有IP地址)

·     配置VTY用户的认证方式(缺省情况下,VTY用户采用Password认证方式)

·     配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0)

配置通过SSH登录

缺省情况下,用户不能直接通过SSH方式登录设备。如需采用SSH方式登录,需要先通过Console口本地登录设备、并完成如下配置:

·     开启设备SSH功能并完成SSH属性的配置(缺省情况下,SSH功能关闭)

·     配置设备VLAN接口的IP地址,确保设备与SSH登录用户间路由可达(缺省情况下,设备没有配置IP地址)

·     配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用Password认证方式)

·     配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0)

配置通过Modem登录设备

缺省情况下,用户可以直接通过Modem拨号方式登录设备,Modem用户的用户级别为3

配置通过Web网管登录设备

缺省情况下,用户不能直接通过Web登录设备。如需采用Web方式登录,需要先通过Console口本地登录设备、并完成如下配置:

·     配置设备VLAN接口的IP地址,确保设备与Web登录用户间路由可达(缺省情况下,设备没有配置IP地址)

·     配置Web用户的用户名与密码(缺省情况下,没有Web登录的用户名和密码)

·     配置Web登录的用户级别(缺省情况下,未配置Web登录用户的用户级别)

·     配置Web登录用户的服务类型为Web(缺省情况下,未配置Web登录用户的服务类型)

配置通过NMS登录设备

缺省情况下,用户不能直接通过NMS登录设备。如需采用NMS方式登录,需要先通过Console口本地登录设备、并完成如下配置:

·     配置设备VLAN接口的IP地址,确保设备与NMS登录用户间路由可达(缺省情况下,设备没有IP配置地址)

·     配置SNMP基本参数

 

在以下的章节中,将分别为您介绍如何通过Console口、Telnet、SSH、Modem、Web及NMS登录到设备上。

1.2  用户界面简介

1.2.1  用户界面概述

当用户使用Console口、Telnet或者SSH方式登录设备的时候,系统会分配一个用户界面(也称为Line)用来管理、监控设备和用户间的当前会话。每个用户界面有对应的用户界面视图(User-interface view),在用户界面视图下网络管理员可以配置一系列参数,比如用户登录时是否需要认证、用户登录后的级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的。

目前系统支持的命令行配置方式有:

·     Console口本地配置

·     Telnet、Modem或SSH本地或远程配置

与这些配置方式对应的是两种类型的用户界面:

·     AUX用户界面:用来管理和监控通过Console口登录的用户。Console口端口类型为EIA/TIA-232 DCE。

·     VTY(Virtual Type Terminal,虚拟类型终端)用户界面:用来管理和监控通过VTY方式登录的用户。VTY口属于逻辑终端线,用于对设备进行Telnet或SSH访问。

1.2.2  用户与用户界面的关系

用户界面的管理和监控对象是使用某种方式登录的用户,虽然单个用户界面某一时刻只能被一个用户使用,但它并不针对某个用户。比如用户A使用Console口登录设备时,将受到AUX用户界面视图下配置的约束,当使用VTY 1登录设备时,将受到VTY 1用户界面视图下配置的约束。

一台设备上最多支持1个AUX用户界面、16个VTY用户界面,这些用户界面与用户并没有固定的对应关系。用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户界面,整个登录过程将受该用户界面视图下配置的约束。同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时机不同,分配的用户界面可能不同。

1.2.3  用户界面的编号

用户界面的编号有两种方式:绝对编号方式和相对编号方式。

1. 绝对编号方式

使用绝对编号方式,可以唯一的指定一个用户界面或一组用户界面。绝对编号从0开始自动编号,每次增长1,先给所有AUX用户界面编号,其次是所有VTY用户界面。使用display user-interface(不带参数)可查看到设备当前支持的用户界面以及它们的绝对编号。

2. 相对编号方式

相对编号是每种类型用户界面的内部编号。该方式只能指定某种类型的用户界面中的一个或一组,而不能跨类型操作。

相对编号方式的形式是:“用户界面类型 编号”,遵守如下规则:

·     控制台的相对编号:第一个为AUX 0,第二个为AUX 1,依次类推。

·     VTY的相对编号:第一个为VTY 0,第二个为VTY 1,依次类推。


2 配置用户通过CLI登录设备

2.1  配置用户通过CLI登录设备简介

CLI(命令行接口)是用户与设备之间的文本类指令交互界面,用户键入文本类命令,通过输入回车键提交设备执行相关命令,用户可以输入命令对设备进行配置,并可以通过查看输出的信息确认配置结果,方便用户配置和管理设备。

通过CLI登录设备包括:通过Console口、Telnet、SSH或Modem这几种登录方式。当您使用Console口、Telnet、SSH或Modem登录设备时,都需要使用CLI来与设备进行交互。

·     缺省情况下,用户不需要任何认证即可通过Console口及Modem方式登录设备,这给设备带来许多安全隐患;

·     缺省情况下,用户不能通过Telnet和SSH方式登录设备,这样不利于用户对设备进行远程管理和维护。

因此,用户需要对这些登录方式进行相应的配置,来增加设备的安全性及可管理性。

以下章节将分别为您介绍如何通过Console口、Telnet、SSH及Modem登录到设备,并配置通过Console口、Telnet、SSH及Modem登录设备时的认证方式、用户级别及公共属性,来实现对登录用户的控制和管理。

2.2  配置通过Console口登录设备

2.2.1  通过Console口登录设备简介

通过Console口进行本地登录是登录设备的最基本的方式,也是配置通过其他方式登录设备的基础。如图2-1所示。

图2-1 通过Console口登录设备示意图

 

缺省情况下,设备可以通过Console口进行本地登录,用户登录到设备上后,即可以对各种登录方式进行配置。

本节将为您介绍:

·     设备缺省情况下,如何通过Console口登录设备。具体请参见“2.2.2  缺省配置下如何通过Console口登录设备”。

·     设备Console口支持的登录方式及配置Console口登录认证方式的意义、各种认证方式的特点及注意事项。具体请参见“2.2.3  Console口登录的认证方式介绍”。

·     当用户确定了今后通过Console口登录设备时将采用何种认证方式后、并通过缺省配置登录到设备后,用户如何在设备上配置Console口登录设备时的认证方式及用户级别,实现对Console口登录用户的控制和管理。具体请参见“2.2.4  配置通过Console口登录设备时无需认证(None)(FIPS模式下不支持该登录方式)”、“2.2.5  配置通过Console口登录设备时采用密码认证(Password)(FIPS模式下不支持该登录方式)” 及“2.2.6  配置通过Console口登录设备时采用AAA认证(Scheme)”。

·     配置通过Console口登录设备时的公共属性。具体请参见“2.2.7  配置Console口登录方式的公共属性(可选)”。

2.2.2  缺省配置下如何通过Console口登录设备

表2-1 通过Console登录设备需要具备的条件

对象

需要具备的条件

设备

缺省情况下,设备侧不需要任何配置

Console口登录用户

运行超级终端程序

配置超级终端属性

 

当用户使用Console口登录设备时,用户终端的通信参数配置要和设备Console口的缺省配置保持一致,才能通过Console口登录到设备上。设备Console口的缺省配置如下:

表2-2 设备Console口缺省配置

属性

缺省配置

传输速率

9600bit/s

流控方式

不进行流控

校验方式

不进行校验

停止位

1

数据位

8

 

(1)     请使用产品随机附带的配置口电缆连接PC机和设备。请先将配置电缆的DB-9(孔)插头插入PC机的9芯(针)串口插座,再将RJ-45插头端插入设备的Console口中。

图2-2 将设备与PC通过配置口电缆进行连接

 

警告

连接时请认准接口上的标识,以免误插入其它接口。

 

说明

由于PC机串口不支持热插拔,请不要在设备带电的情况下,将串口插入或者拔出PC机。当连接PC和设备时,请先安装配置电缆的DB-9端到PC机,再连接RJ-45到设备;在拆下时,在拆下时,先拔出RJ-45端,再拔下DB-9端。

 

(2)     在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),选择与设备相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图2-3图2-5所示。

说明

如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参照软件的使用指导或联机帮助。

 

图2-3 新建连接

 

图2-4 连接端口设置

 

图2-5 端口通信参数设置

 

(3)     设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图2-6所示。

图2-6 设备配置界面

 

(4)     键入命令,配置设备或查看设备运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。

2.2.3  Console口登录的认证方式介绍

通过在Console口用户界面下配置认证方式,可以对使用Console口登录的用户进行限制,以提高设备的安全性。Console口支持的认证方式有none、passwordscheme三种。

·     认证方式为none:表示下次使用Console口本地登录设备时,不需要进行用户名和密码认证、任何人都可以通过Console口登录到设备上,这种情况可能会带来安全隐患。

·     认证方式为password:表示下次使用Console口本地登录设备时,需要进行密码认证、只有密码认证成功、用户才能登录到设备上。

·     认证方式为scheme:表示下次使用Console口登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA”。

不同的认证方式下,Console口登录方式需要进行的配置不同,具体配置如表2-3所示。

表2-3 配置任务简介

认证方式

认证所需配置

说明

None

设置登录用户的认证方式为不认证

具体内容请参见2.2.4 

Password

设置登录用户的认证方式为Password认证

具体内容请参见2.2.5 

设置本地验证的密码

Scheme

设置登录用户的认证方式为Scheme认证

具体内容请参见2.2.6  

选择认证方案

采用远端AAA服务器认证

在设备上配置RADIUS/HWTACACS方案

在设备上配置域使用的AAA方案

在AAA服务器上配置相关的用户名和密码

采用本地认证

在设备上配置认证用户名和密码

在设备上配置域使用的AAA方案为本地认证

 

说明

改变Console口登录方式的认证方式后,该认证方式的设置不会立即生效。用户需要退出命令行接口后重新登录,该设置才会生效。

 

2.2.4  配置通过Console口登录设备时无需认证(None)(FIPS模式下不支持该登录方式)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Console口登录设备时无需进行认证。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见“2.2.2  缺省配置下如何通过Console口登录设备”。

2. 配置过程

表2-4 配置用户通过Console口登录设备时无需认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

设置登录用户的认证方式为不认证

authentication-mode none

必选

缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)

配置Console口的公共属性

-

可选

详细配置请参见“2.2.7  配置Console口登录方式的公共属性(可选)

 

配置完成后,当用户再次通过Console口登录设备时,设备将提示用户键入回车,之后将出现命令行提示符(如<H3C>)。

2.2.5  配置通过Console口登录设备时采用密码认证(Password)(FIPS模式下不支持该登录方式)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Console口登录设备时采用密码认证、以提高设备的安全性。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见“2.2.2  缺省配置下如何通过Console口登录设备”。

2. 配置过程

表2-5 配置用户通过Console口登录设备时采用密码认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

设置登录用户的认证方式为本地密码认证

authentication-mode password

必选

缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)

设置本地验证的密码

set authentication password [ hash ] { cipher | simple } password

必选

缺省情况下,没有设置本地认证的密码

配置Console口的公共属性

-

可选

详细配置请参见“2.2.7  配置Console口登录方式的公共属性(可选)

 

配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>)。

2.2.6  配置通过Console口登录设备时采用AAA认证(Scheme)

1. 配置前提

用户已经成功的登录到了设备上,并希望以后通过Console口登录设备时采用AAA认证、以提高设备的安全性。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见“2.2.2  缺省配置下如何通过Console口登录设备”。

2. 配置过程

表2-6 配置用户通过Console口登录设备时采用AAA认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

设置登录用户的认证方式为通过认证方案认证

authentication-mode scheme

必选

具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定

非FIPS模式的缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)

FIPS模式的缺省情况下,认证为scheme方式

使能命令行授权功能

command authorization

可选

·     缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权

·     缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。

使能命令行计费功能

command accounting

可选

·     缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行

·     命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。

退出至系统视图

quit

-

配置设备采用的认证方案

进入ISP域视图

domain domain-name

可选

缺省情况下,系统使用的AAA方案为local

如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:

·     设备上的RADIUS、HWTACACS方案配置请参见“安全配置指导”中的“AAA”

·     AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书

配置域使用的AAA方案

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

退出至系统视图

quit

创建本地用户(进入本地用户视图)

local-user user-name

必选

缺省情况下,无本地用户

设置本地用户认证密码

password [ [ hash ] { cipher | simple } password ]

必选

缺省情况下,没有配置本地认证密码

FIPS模式下,删除参数[ hash ] { cipher | simple } password,并且以交互式方式设置本地用户密码

设置本地用户的命令级别

authorization-attribute level level

可选

缺省情况下,命令级别为0

设置本地用户的服务类型

service-type terminal

必选

缺省情况下,无用户服务类型

配置Console口的公共属性

-

可选

详细配置请参见“2.2.7  配置Console口登录方式的公共属性(可选)

 

说明

使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:

·     需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;

·     需要在ISP域中引用已创建的HWTACACS方案。

详细介绍请参见“安全配置指导”中的“AAA”。

 

说明

需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。

·     AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。

·     AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。

有关AAA、RADIUS、HWTACACS的详细内容,请参见“安全配置指导”中的“AAA”。

 

配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名和密码并回车,登录界面中出现命令行提示符(如<H3C>)。

2.2.7  配置Console口登录方式的公共属性(可选)

Console口登录方式的公共属性配置,如表2-7所示。

表2-7 Console口登录方式公共属性配置

操作

命令

说明

进入系统视图

system-view

-

使能显示版权信息

copyright-info enable

可选

缺省情况下,显示版权信息处于使能状态

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

配置Console口的属性

配置传输速率

speed speed-value

可选

缺省情况下,Console口使用的传输速率为9600bit/s

传输速率为设备与访问终端之间每秒钟传送的比特的个数

配置校验方式

parity { even | none | odd }

可选

缺省情况下,Console口的校验方式为none,即不进行校验

配置停止位

stopbits { 1 | 1.5 | 2 }

可选

缺省情况下,Console口的停止位为1

停止位用来表示单个包的结束。停止位的位数越多,传输效率越低

配置数据位

databits { 7 | 8 }

可选

缺省情况下,Console口的数据位为8位

数据位的设置取决于需要传送的信息。比如,如果传送的是标准的ASCII码,则可以将数据位设置为7,如果传输的是扩展的ASCII码,则需要将数据位设置为8

配置启动终端会话的快捷键

activation-key character

可选

缺省情况下,按<Enter>键启动终端会话

配置中止当前运行任务的快捷键

escape-key { default | character }

可选

缺省情况下,键入<Ctrl+C>中止当前运行的任务

配置流量控制方式

flow-control { hardware | none | software }

可选

缺省情况下,流量控制方式为none

目前设备只支持配置流量控制方式为none

配置终端的显示类型

terminal type { ansi | vt100 }

可选

缺省情况下,终端显示类型为ANSI

当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型

设置用户登录后可以访问的命令级别

user privilege level level

可选

缺省情况下,从AUX用户界面登录后可以访问的命令级别为3级

FIPS模式下不支持此命令。

设置终端屏幕一屏显示的行数

screen-length screen-length

可选

缺省情况下,终端屏幕一屏显示的行数为24行

screen-length 0表示关闭分屏显示功能

设置历史命令缓冲区大小

history-command max-size value

可选

缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令

设置用户界面的超时时间

idle-timeout minutes [ seconds ]

可选

缺省情况下,所有的用户界面的超时时间为10分钟,如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开

idle-timeout 0表示关闭用户界面的超时功能

 

注意

改变Console口属性后会立即生效,所以通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性。若用户需要通过Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口属性保持一致。

 

2.3  配置通过Telnet登录设备(FIPS模式下不支持该登录方式)

2.3.1  通过Telnet登录设备简介

设备支持Telnet功能,用户可以通过Telnet方式登录到设备上,对设备进行远程管理和维护。如图2-7

图2-7 通过Telnet登录设备示意图

 

表2-8 采用Telnet方式登录需要具备的条件

对象

需要具备的条件

Telnet服务器端

配置设备IP地址,设备与Telnet用户间路由可达

配置Telnet登录的认证方式和其它配置(根据Telnet服务器端的情况而定)

Telnet客户端

运行Telnet程序

获取要登录设备的IP地址

 

设备可以作为Telnet Client登录到Telnet Server上,从而对其进行操作。

设备可以充当Telnet Server:

·     设备支持Telnet Server功能、可作为Telnet Server,并可在设备上进行一系列的配置,从而实现对不同Telnet Client登录的具体认证方式、用户级别等方面的控制与管理。

·     缺省情况下,设备的Telnet Server功能处于关闭状态,通过Telnet方式登录设备的认证方式为Password,但设备没有配置缺省的登录密码,即在缺省情况下用户不能通过Telnet登录到设备上。因此当您使用Telnet方式登录设备前,首先需要通过Console口登录到设备上,开启Telnet Server功能,然后对认证方式、用户级别及公共属性进行相应的配置,才能保证通过Telnet方式正常登录到设备。

本节将为您介绍设备充当Telnet服务器端时:

·     设备支持的各种登录认证方式及配置Telnet登录认证方式的意义、各种认证方式的特点及注意事项。具体介绍请参见“2.3.2  Telnet登录的认证方式介绍”。

·     当用户确定了今后通过Telnet客户端登录设备时将采用何种认证方式后、并已成功登录到设备后,用户如何在设备上配置Telnet客户端登录设备时的认证方式、用户级别及公共属性,从而实现对Telnet登录用户的控制和管理。具体介绍请参见“2.3.3  配置通过Telnet Client登录设备时无需认证(None)”、“2.3.4  配置通过Telnet Client登录设备时采用密码认证(Password)”及“2.3.5  配置通过Telnet Client登录设备时采用AAA认证(Scheme)”。

·     配置通过Telnet登录设备时的公共属性。具体介绍请参见“2.3.6  配置VTY用户界面的公共属性(可选)”。

本节还将为您介绍设备充当Telnet客户端、Telnet登录到Server时的配置,具体请参见“2.3.7  配置设备充当Telnet Client登录到Telnet Server”。

2.3.2  Telnet登录的认证方式介绍

通过在Telnet的用户界面下配置认证方式,可以对使用Telnet登录的用户进行限制,以提高设备的安全性。通过Telnet登录支持的认证方式有none、passwordscheme三种。

·     认证方式为none:表示下次使用Telnet登录设备时不需要进行用户名和密码认证,任何人都可以通过Telnet登录到设备上,这种情况可能会带来安全隐患。

·     认证方式为password:表示下次使用Telnet登录设备时需要进行密码认证,只有密码认证成功,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码,如果密码丢失,可以使用Console口登录到设备,对Telnet的密码配置进行修改。

·     认证方式为scheme:表示下次使用Telnet登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA”。配置认证方式为scheme后,请妥善保存用户名及密码,如果本地认证密码丢失,可以使用Console口登录到设备,对Telnet的密码配置进行修改。如果远程认证密码丢失,建议您联系服务器管理员。

不同的认证方式下,Telnet登录方式需要进行的配置不同,具体配置如表2-9所示。

表2-9 配置Telnet登录的认证方式

认证方式

认证所需配置

说明

None

设置登录用户的认证方式为不认证

具体内容请参见2.3.3 

Password

设置登录用户的认证方式为Password认证

具体内容请参见2.3.4 

设置本地验证的密码

Scheme

设置登录用户的认证方式为Scheme认证

具体内容请参见2.3.5 

选择认证方案

采用远端AAA服务器认证

在设备上配置RADIUS/HWTACACS方案

在设备上配置域使用的AAA方案

在AAA服务器上配置相关的用户名和密码

采用本地认证

在设备上配置认证用户名和密码

在设备上配置域使用的AAA方案为本地认证

 

2.3.3  配置通过Telnet Client登录设备时无需认证(None)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时无需进行认证。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见“2.2.2  缺省配置下如何通过Console口登录设备”。

2. 配置过程

表2-10 认证方式为None的配置

操作

命令

说明

进入系统视图

system-view

-

使能设备的Telnet服务

telnet server enable

必选

缺省情况下,Telnet服务处于关闭状态

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

设置VTY登录用户的认证方式为不认证

authentication-mode none

必选

缺省情况下,VTY用户界面的认证方式为password

配置从当前用户界面登录系统的用户所能访问的命令级别

user privilege level level

必选

缺省情况下,通过VTY用户界面登录系统所能访问的命令级别是0

配置VTY用户界面的公共属性

-

可选

详细配置请参见“2.3.6  配置VTY用户界面的公共属性(可选)

 

配置完成后,当用户再次通过Telnet登录设备时:

·     用户将直接进入VTY用户界面。

·     如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。

2.3.4  配置通过Telnet Client登录设备时采用密码认证(Password)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行密码认证。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见“2.2.2  缺省配置下如何通过Console口登录设备”。

2. 配置过程

表2-11 认证方式为Password的配置

操作

命令

说明

进入系统视图

system-view

-

使能设备的Telnet服务

telnet server enable

必选

缺省情况下,Telnet服务处于关闭状态

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

设置登录用户的认证方式为本地密码认证

authentication-mode password

必选

缺省情况下,VTY用户界面的认证方式为password

设置本地验证的密码

set authentication password [ hash ] { cipher | simple } password

必选

缺省情况下,没有设置本地认证的密码

配置从当前用户界面登录系统的用户所能访问的命令级别

user privilege level level

必选

缺省情况下,通过VTY用户界面登录系统所能访问的命令级别是0

配置VTY用户界面的公共属性

-

可选

详细配置请参见“2.3.6  配置VTY用户界面的公共属性(可选)

 

配置完成后,当用户再次通过Telnet登录设备时:

·     设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>)。

·     如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。

2.3.5  配置通过Telnet Client登录设备时采用AAA认证(Scheme)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行AAA认证。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见“2.2.2  缺省配置下如何通过Console口登录设备”。

2. 配置过程

表2-12 配置用户通过Telnet登录设备时采用AAA认证

操作

命令

说明

进入系统视图

system-view

-

使能设备的Telnet服务

telnet server enable

必选

缺省情况下,Telnet服务处于关闭状态

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

设置登录用户的认证方式为通过认证方案认证

authentication-mode scheme

必选

具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定

缺省情况下采用本地认证方式

使能命令行授权功能

command authorization

可选

缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权

·     需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA”

·     需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA”

使能命令行计费功能

command accounting

可选

·     缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行

·     命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。

退出至系统视图

quit

-

配置设备采用的认证方案

进入ISP域视图

domain domain-name

可选

缺省情况下,系统使用的AAA方案为local

如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:

·     设备上的配置请参见“安全配置指导”中的“AAA”

·     AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书

配置域使用的AAA方案

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

退出至系统视图

quit

创建本地用户(进入本地用户视图)

local-user user-name

缺省情况下,无本地用户

设置本地认证密码

password [ [ hash ] { cipher | simple } password ]

必选

缺省情况下,没有配置本地认证密码

FIPS模式下,删除参数[ hash ] { cipher | simple } password,并且以交互式方式设置本地用户密码

设置用户的命令级别

authorization-attribute level level

可选

缺省情况下,命令级别为0

设置用户的服务类型

service-type telnet

必选

缺省情况下,无用户的服务类型

退出至系统视图

quit

-

配置VTY用户界面的公共属性

-

可选

详细配置请参见“2.3.6  配置VTY用户界面的公共属性(可选)

 

说明

使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:

·     需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;

·     需要在ISP域中引用已创建的HWTACACS方案。

详细介绍请参见“安全配置指导”中的“AAA”。

 

说明

需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。

·     AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。

·     AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。

有关AAA、RADIUS、HWTACACS的详细内容,请参见“AAA配置指导”中的“AAA”。

 

配置完成后,当用户再次通过Telnet登录设备时:

·     设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为123为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>)。

·     如果用户输入正确的登录用户名和密码后,设备提示用户再次输入一个指定类型的密码,则表示当前用户需要进行二次密码认证,即用户还必须根据提示信息输入一个正确的密码后才能通过认证。

·     如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。

2.3.6  配置VTY用户界面的公共属性(可选)

表2-13 VTY用户界面的公共属性配置

操作

命令

说明

进入系统视图

system-view

-

使能显示版权信息

copyright-info enable

可选

缺省情况下,显示版权信息处于使能状态

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

VTY用户界面配置

启动终端服务

shell

可选

缺省情况下,在所有的用户界面上启动终端服务

配置VTY用户界面支持的协议

protocol inbound { all | ssh | telnet }

可选

缺省情况下,设备同时支持Telnet和SSH协议

使用该命令配置的协议将在用户下次使用该用户界面登录时生效

FIPS模式下不包括telnet参数

配置中止当前运行任务的快捷键

escape-key { default | character }

可选

缺省情况下,键入<Ctrl+C>中止当前运行的任务

配置终端的显示类型

terminal type { ansi | vt100 }

可选

缺省情况下,终端显示类型为ANSI

设置终端屏幕一屏显示的行数

screen-length screen-length

可选

缺省情况下,终端屏幕一屏显示的行数为24行

screen-length 0表示关闭分屏显示功能

设置设备历史命令缓冲区大小

history-command max-size value

可选

缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令

设置VTY用户界面的超时时间

idle-timeout minutes [ seconds ]

可选

缺省情况下,所有的用户界面的超时时间为10分钟

如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开

idle-timeout 0表示关闭用户界面的超时功能

设置从用户界面登录后自动执行的命令

auto-execute command command

可选

缺省情况下,未设定自动执行命令

配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接。

 

注意

·     使用auto-execute command命令后,可能导致用户不能通过该终端线对本系统进行常规配置,需谨慎使用。

·     在配置auto-execute command命令并保存配置(执行save操作)之前,要确保可以通过其他VTY、AUX用户登录进来更改配置,以便出现问题后,能删除该配置。

 

2.3.7  配置设备充当Telnet Client登录到Telnet Server

1. 配置前提

用户已经成功登录到了设备上,并希望将当前设备作为Telnet Client登录到Telnet Server上进行操作。具体请参见图2-8所示。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见“2.2.2  缺省配置下如何通过Console口登录设备”。

图2-8 通过交换机登录到其它交换机

 

说明

如果Telnet Client与Telnet Server相连的端口不在同一子网内,请确保两台设备间路由可达。

 

2. 配置过程

表2-14 设备作为Telnet Client登录到Telnet Server的配置

操作

命令

说明

设备作为Telnet Client登录到Telnet Server

telnet remote-host [ service-port ] [ [ vpn-instance vpn-instance-name ] | [ source { interface interface-type interface-number | ip ip-address } ] ]

二者必选其一

此命令在用户视图下执行

telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ]

指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口

telnet client source { interface interface-type interface-number | ip ip-address }

可选

此命令在系统视图下执行

缺省情况下,没有指定发送Telnet报文的源IPv4地址和源接口,此时通过路由选择源IPv4地址

 

配置完成后,设备即可登录到相应的Telnet Server上。

2.3.8  配置Telnet报文的DSCP优先级

表2-15 配置Telnet报文的DSCP优先级

操作

命令

说明

进入系统视图

system-view

-

配置IPv4 Telnet客户端发送报文的DSCP优先级

telnet client dscp dscp-value

可选

缺省情况下,IPv4 Telnet客户端发送报文的DSCP优先级为16

配置IPv6 Telnet客户端发送报文的DSCP优先级

telnet client ipv6 dscp dscp-value

可选

缺省情况下,IPv6 Telnet客户端发送报文的DSCP优先级为0

配置IPv4 Telnet服务器发送报文的DSCP优先级

telnet server dscp dscp-value

可选

缺省情况下,IPv4 Telnet服务器发送报文的DSCP优先级为48

配置IPv6 Telnet服务器发送报文的DSCP优先级

telnet server ipv6 dscp dscp-value

可选

缺省情况下,IPv6 Telnet服务器发送报文的DSCP优先级为0

 

2.4  配置通过SSH登录

2.4.1  通过SSH登录设备简介

SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。设备支持SSH功能,用户可以通过SSH方式登录到设备上,对设备进行远程管理和维护如图2-9所示。

图2-9 通过SSH登录

 

表2-16 采用SSH方式登录需要具备的条件

对象

需要具备的条件

SSH服务器端

配置设备的IP地址,设备与SSH客户端间路由可达

配置SSH登录的认证方式和其它配置(根据SSH服务器端的情况而定)

SSH客户端

如果是主机作为SSH客户端,则需要在主机上运行SSH客户端程序

获取要登录设备的IP地址

 

设备可以作为SSH Client登录到SSH Server上,从而对其进行操作。

设备可以充当SSH Server:

·     设备支持SSH Server功能:可作为SSH Server,并可在设备上进行一系列的配置、实现对不同SSH Client的登录权限的控制。

·     缺省情况下,设备的SSH Server功能处于关闭状态,因此当您使用SSH方式登录设备前,首先需要通过Console口登录到设备上,开启设备的SSH Server功能、对认证方式及其它属性进行相应的配置,才能保证通过SSH方式正常登录到设备。

本节将为您介绍:

·     设备充当SSH服务器端时:当用户确定了今后通过SSH客户端登录设备、并已成功登录到设备后,用户如何在设备上配置SSH客户端登录设备时的认证方式及其它属性,从而实现对SSH登录用户的控制和管理。具体介绍请参见“2.4.2  配置设备充当SSH服务器”。

·     设备充当SSH客户端时:设备SSH登录到Server时的配置,具体请参见“2.4.3  配置设备充当SSH客户端登录其它设备”。

2.4.2  配置设备充当SSH服务器

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过SSH Client登录设备。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见“2.2.2  缺省配置下如何通过Console口登录设备”。

2. 配置过程

表2-17 设备充当SSH服务器时的配置

操作

命令

说明

 

进入系统视图

system-view

-

 

生成本地密钥对

public-key local create { dsa | rsa }

必选

缺省情况下,没有生成密钥对

 

使能SSH服务器功能

ssh server enable

必选

缺省情况下,SSH服务器功能处于关闭状态

 

进入VTY用户界面视图

user-interface vty first-number [ last-number ]

-

 

配置登录用户界面的认证方式为scheme方式

authentication-mode scheme

必选

非FIPS模式的缺省情况下,用户界面认证为password方式

FIPS模式的缺省情况下,认证为scheme方式

 

配置所在用户界面支持SSH协议

非FIPS模式下

protocol inbound { all | ssh | telnet}

可选

非FIPS模式的缺省情况下,系统支持所有的协议,即支持Telnet和SSH

FIPS模式的缺省情况下,用户界面仅支持SSH协议

 

FIPS模式下

protocol inbound { all | ssh }

 

使能命令行授权功能

command authorization

可选

缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权

·     需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA”

·     需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA”

使能命令行计费功能

command accounting

可选

·     缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行

·     命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。

退出至系统视图

quit

-

配置设备采用的认证方案

进入ISP域视图

domain domain-name

可选

缺省情况下,系统使用的AAA方案为local

如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:

·     设备上的配置请参见“安全配置指导”中的“AAA”

·     AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书

配置域使用的AAA方案

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

退出至系统视图

quit

创建本地用户,并进入本地用户视图

local-user user-name

必选

缺省情况下,没有配置本地用户

 

设置本地认证密码

password [[ hash ] { cipher | simple } password ]

必选

FIPS模式下,删除参数[ hash ] { cipher | simple } password,并且以交互式方式设置本地用户密码

 

设置本地用户的命令级别

authorization-attribute level level

可选

缺省情况下,命令级别为0

 

设置本地用户的服务类型

service-type ssh

必选

缺省情况下,无用户的服务类型

 

退回系统视图

quit

-

 

建立SSH用户,并指定SSH用户的认证方式

ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname }

必选

 

配置VTY用户界面的公共属性

-

可选

详细配置请参见“2.3.6  配置VTY用户界面的公共属性(可选)

 

 

说明

本章只介绍采用password方式认证SSH客户端的配置方法,publickey方式的配置方法及SSH的详细介绍,请参见“安全配置指导”中的“SSH”。

 

说明

使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:

·     需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;

·     需要在ISP域中引用已创建的HWTACACS方案。

详细介绍请参见“安全配置指导”中的“AAA”。

 

说明

·     用户采用password认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定;AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。有关AAA、RADIUS、HWTACACS的详细内容,请参见“AAA配置指导”中的“AAA”。

·     用户采用publickey认证方式登录设备时,其所能访问的命令级别取决于用户界面上通过user privilege level命令配置的级别。

 

2.4.3  配置设备充当SSH客户端登录其它设备

1. 配置前提

用户已经成功登录到了设备上,并希望将当前设备作为SSH Client登录到其它设备上进行操作。具体请参见图2-8所示。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见“2.2.2  缺省配置下如何通过Console口登录设备”。

图2-10 通过设备登录到其它设备

 

说明

如果SSH Client与SSH Server相连的端口不在同一子网内,请确保两台设备间路由可达。

 

2. 配置过程

表2-18 设备作为SSH Client登录到其它设备的配置

操作

命令

说明

设备作为SSH Client登录到SSH IPv4服务器端

ssh2 server

必选

server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写

此命令在用户视图下执行

设备作为SSH Client登录到SSH IPv6服务器端

ssh2 ipv6 server

必选

server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写。

 

说明

为配合SSH Server,设备充当SSH Client时还可进一步进行其它配置,具体请参见“安全配置指导”中的“SSH”。

 

配置完成后,设备即可登录到相应的SSH Server上。

2.5  配置通过Modem登录设备

2.5.1  通过Modem登录设备简介

网络管理员可以通过设备的Console口,利用一对Modem和PSTN(Public Switched Telephone Network,公共电话交换网)拔号登录到设备上,对远程设备进行管理和维护。这种登录方式一般适用于在网络中断的情况下,利用PSTN网络对设备进行远程管理、维护及故障定位。

本节将为您介绍如何通过Modem登录设备,并配置登录时的认证方式、用户级别及公共属性,实现对Modem登录用户的控制。

本节将为您介绍:

·     设备支持Modem登录认证方式及配置Modem登录认证方式的意义、各种认证方式的特点及注意事项。具体请参见“2.5.3  Modem拨号登录的认证方式介绍”。

·     当用户确定了今后通过Modem登录设备时将采用何种认证方式后、并通过缺省配置登录到设备后,用户如何在设备上配置Modem登录设备时的认证方式及用户级别,实现对Modem登录用户的控制和管理。具体请参见“2.5.4  配置用户通过Modem登录设备时无需认证(None)(FIPS模式下不支持该登录方式)”、“2.5.5  配置用户通过Modem登录设备时采用密码认证(Password)(FIPS模式下不支持该登录方式)”及“2.5.6  配置用户通过Modem登录设备时采用AAA认证(Scheme)”。

·     配置通过Modem登录设备时的公共属性。具体请参见“2.5.7  配置AUX用户界面的公共属性(可选)”。

2.5.2  缺省配置下如何通过Modem登录设备

缺省情况下,用户通过Modem登录设备时,设备不需要任何登录认证,缺省可以访问命令级别为3级的命令。

通过Modem登录设备的方法如下:

表2-19 通过Console口利用Modem拨号进行远程登录需要具备的条件

配置对象

需要具备的条件

网络管理员端

PC终端与Modem正确连接

Modem与可正常使用的电话线正确相连

获取了远程设备端Console口所连Modem上对应的电话号码

设备端

Console口与Modem正确连接

在Modem上进行了正确的配置

Modem与可正常使用的电话线正确相连

设备上配置了登录用户的认证方式、用户级别及其它配置

 

(1)     如图2-11所示,建立远程配置环境,在PC机(或终端)的串口和设备的Console口分别挂接Modem。

图2-11 搭建远程配置环境

 

(2)     网络管理员端的相关配置。

PC终端与Modem正确连接、Modem与可正常使用的电话线正确相连、获取了远程设备端Console口所连Modem上对应的电话号码。

注意

通过Console口利用Modem拨号进行远程登录时,使用的是AUX用户界面,设备上的配置需要注意以下几点:

·     Console口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象。

·     Console口的其它属性(校验方式、停止位、数据位)均采用缺省值。

 

(3)     在与设备直接相连的Modem上进行以下配置。

AT&F-------------------------- Modem恢复出厂配置

ATS0=1------------------------ 配置自动应答(振铃一声)

AT&D-------------------------- 忽略DTR信号

AT&K0------------------------- 禁止流量控制

AT&R1------------------------- 忽略RTS信号

AT&S0------------------------- 强制DSR为高电平

ATEQ1&W----------------------- 禁止modem回送命令响应和执行结果并存储配置

在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果。

说明

各种Modem配置命令及显示的结果有可能不一样,具体操作请参照Modem的说明书进行。

 

(4)     在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),新建一个拨号连接(所拨号码为与设备相连的Modem的电话号码),与设备建立连接,如图2-12图2-14所示。

说明

如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的拨号控制软件,使用方法请参照软件的使用指导或联机帮助。

 

(5)     在远端通过终端仿真程序和Modem向设备拨号

图2-12 新建连接

 

图2-13 拨号号码配置

 

图2-14 在远端PC机上拨号

 

(6)     当听到拨号音后,超级终端窗口将返回字符串“CONNECT9600”,键入回车键之后将出现命令行提示符(如<H3C>),如图2-15所示。

图2-15 Console口登录界面

 

(7)     如果配置验证方式为Password,在远端的终端仿真程序上输入已配置的登录密码,出现命令行提示符(如<H3C>),即可对设备进行配置或管理。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关模块的内容。

(8)     键入命令,配置设备或查看设备运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。

说明

·     当您想断开PC与远端设备的连接时,首先在超级终端中用“ATH”命令断开modem间的连接。如果在超级终端窗口无法输入此命令,可输入“AT+ + +”并回车,待窗口显示“OK”提示后再输入“ATH”命令,屏幕再次显示“OK”提示,表示已断开本次连接。您也可以使用超级终端页面提供的挂断按扭断开PC与远端设备的连接。

·     当您使用完超级终端仿真程序后,务必要先断开PC与远端设备的连接,不能直接关闭超级终端,否则有些型号的远程modem将一直在线,下次拨号连接时将无法拨号成功。

 

2.5.3  Modem拨号登录的认证方式介绍

通过在AUX用户界面下配置认证方式,可以对使用Modem拨号登录的用户进行限制,以提高设备的安全性。Modem拨号支持的认证方式有none、passwordscheme三种。

·     认证方式为none:表示下次使用Modem拨号登录设备时,不需要进行用户名和密码认证、任何人都可以通过Modem拨号登录到设备上,这种情况可能会带来安全隐患。

·     认证方式为password:表示下次使用Modem拨号登录设备时,需要进行密码认证、只有密码认证成功、用户才能登录到设备上。配置认证方式为password后,请妥善保存密码,如果密码丢失,则无法使用该方式登录。

·     认证方式为scheme:表示下次使用Modem拨号登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA”。配置认证方式为scheme后,请妥善保存用户名及密码,如果远程认证密码丢失,建议您联系服务器管理员。

不同的认证方式下,Modem拨号登录方式需要进行的配置不同,具体配置如表2-3所示。

表2-20 配置任务简介

认证方式

认证所需配置

说明

None

设置登录用户的认证方式为不认证

具体内容请参见2.5.4 

Password

设置登录用户的认证方式为Password认证

具体内容请参见2.5.5 

设置本地验证的密码

Scheme

设置登录用户的认证方式为Scheme认证

具体内容请参见2.5.6 

选择认证方案

采用远端AAA服务器认证

在设备上配置RADIUS/HWTACACS方案

在设备上配置域使用的AAA方案

在AAA服务器上配置相关的用户名和密码

采用本地认证

在设备上配置认证用户名和密码

在设备上配置域使用的AAA方案为本地认证

 

说明

改变Modem拨号登录方式的认证方式后,该认证方式的设置不会立即生效。用户需要退出命令行接口后重新登录,该设置才会生效。

 

2.5.4  配置用户通过Modem登录设备时无需认证(None)(FIPS模式下不支持该登录方式)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Modem拨号登录设备时无需进行认证。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见“2.2.2  缺省配置下如何通过Console口登录设备”。

2. 配置过程

表2-21 配置用户通过Modem拨号登录设备时无需认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

设置登录用户的认证方式为不认证

authentication-mode none

必选

缺省情况下,用户通过Modem拨号登录,认证方式为none(即不需要进行认证)

配置AUX用户界面的公共属性

-

可选

详细配置请参见“2.5.7  配置AUX用户界面的公共属性(可选)

 

配置完成后,当用户再次通过Modem拨号登录设备时,设备将提示用户键入回车,之后将出现命令行提示符(如<H3C>)。

2.5.5  配置用户通过Modem登录设备时采用密码认证(Password)(FIPS模式下不支持该登录方式)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Modem拨号登录设备时采用密码认证、以提高设备的安全性。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见“2.2.2  缺省配置下如何通过Console口登录设备”。

2. 配置过程

表2-22 配置用户通过Modem拨号登录设备时采用密码认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

设置登录用户的认证方式为本地密码认证

authentication-mode password

必选

缺省情况下,用户通过Modem登录,认证方式为none(即不需要进行认证)

设置本地验证的密码

set authentication password [ hash ] { cipher | simple } password

必选

缺省情况下,没有设置本地认证的密码

配置AUX用户界面的公共属性

-

可选

详细配置请参见“2.5.7  配置AUX用户界面的公共属性(可选)

 

配置完成后,当用户再次通过Modem拨号登录设备时,键入回车后,设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>)。

2.5.6  配置用户通过Modem登录设备时采用AAA认证(Scheme)

1. 配置前提

用户已经成功的登录到了设备上,并希望以后通过Modem拨号登录设备时采用AAA认证、以提高设备的安全性。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见“2.2.2  缺省配置下如何通过Console口登录设备”。

2. 配置过程

表2-23 配置用户通过Modem拨号登录设备时采用AAA认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

设置登录用户的认证方式为通过认证方案认证

authentication-mode scheme

必选

具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定

非FIPS模式的缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)

FIPS模式的缺省情况下,认证为scheme方式

使能命令行授权功能

command authorization

可选

·     缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权

·     缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。

使能命令行计费功能

command accounting

可选

·     缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行

·     命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。

退出至系统视图

quit

-

配置设备采用的认证方案

进入ISP域视图

domain domain-name

可选

缺省情况下,系统使用的AAA方案为local

如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:

·     设备上的RADIUS、HWTACACS方案配置请参见“安全配置指导”中的“AAA”

·     AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书

配置域使用的AAA方案

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

退出至系统视图

quit

创建本地用户(进入本地用户视图)

local-user user-name

必选

缺省情况下,无本地用户

设置本地用户认证密码

Password [ [ hash ] { cipher | simple } password ]

必选

缺省情况下,没有配置本地认证密码

FIPS模式下,删除参数[ hash ] { cipher | simple } password,并且以交互式方式设置本地用户密码

设置本地用户的命令级别

authorization-attribute level level

可选

缺省情况下,命令级别为0

设置本地用户的服务类型

service-type terminal

必选

缺省情况下,无用户服务类型

配置AUX用户界面的公共属性

-

可选

详细配置请参见“2.5.7  配置AUX用户界面的公共属性(可选)

 

说明

使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:

·     需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;

·     需要在ISP域中引用已创建的HWTACACS方案。

详细介绍请参见“安全配置指导/AAA”中的“配置ISP域的AAA授权方法”。

 

说明

需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。

·     AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。

·     AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。

有关AAA、RADIUS、HWTACACS的详细内容,请参见“安全配置指导”中的“AAA”。

 

配置完成后,当用户再次通过Modem拨号登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名和密码并回车,登录界面中出现命令行提示符(如<H3C>)。

2.5.7  配置AUX用户界面的公共属性(可选)

表2-24 AUX用户界面的公共属性配置

操作

命令

说明

进入系统视图

system-view

-

使能显示版权信息

copyright-info enable

可选

缺省情况下,显示版权信息处于使能状态

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

配置AUX用户界面的属性

配置传输速率

speed speed-value

可选

缺省情况下,传输速率为9600bit/s

传输速率为设备与访问终端之间每秒钟传送的比特的个数

配置校验方式

parity { even | none | odd }

可选

缺省情况下,校验方式为none,即不进行校验

配置停止位

stopbits { 1 | 1.5 | 2 }

可选

缺省情况下,停止位为1

停止位用来表示单个包的结束。停止位的位数越多,传输效率越低

配置数据位

databits { 7 | 8 }

可选

缺省情况下,数据位为8位

数据位的设置取决于需要传送的信息。比如,如果传送的是标准的ASCII码,则可以将数据位设置为7,如果传输的是扩展的ASCII码,则需要将数据位设置为8

配置启动终端会话的快捷键

activation-key character

可选

缺省情况下,按<Enter>键启动终端会话

配置中止当前运行任务的快捷键

escape-key { default | character }

可选

缺省情况下,键入<Ctrl+C>中止当前运行的任务

配置流量控制方式

flow-control { hardware | none | software }

可选

缺省情况下,流量控制方式为none

目前设备只支持配置流量控制方式为none

配置终端的显示类型

terminal type { ansi | vt100 }

可选

缺省情况下,终端显示类型为ANSI

当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型

设置用户登录后可以访问的命令级别

user privilege level level

可选

缺省情况下,从AUX用户界面登录后可以访问的命令级别为3级

设置终端屏幕一屏显示的行数

screen-length screen-length

可选

缺省情况下,终端屏幕一屏显示的行数为24行

screen-length 0表示关闭分屏显示功能

设置历史命令缓冲区大小

history-command max-size value

可选

缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令

设置用户界面的超时时间

idle-timeout minutes [ seconds ]

可选

缺省情况下,所有的用户界面的超时时间为10分钟,如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开

idle-timeout 0表示关闭用户界面的超时功能

 

注意

·     改变Console口属性后会立即生效,通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性。若用户需要通过Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口属性保持一致。

·     Console口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象。

 

2.6  CLI登录显示和维护

表2-25 CLI显示和维护

操作

命令

说明

显示当前正在使用的用户界面以及用户的相关信息

display users [ | { begin | exclude | include } regular-expression ]

在任意视图下执行

显示设备支持的所有用户界面以及用户的相关信息

display users all [ | { begin | exclude | include } regular-expression ]

在任意视图下执行

显示用户界面的相关信息

display user-interface [ num1 | { aux | vty } num2 ] [ summary ] [ | { begin | exclude | include } regular-expression ]

在任意视图下执行

显示设备作为Telnet客户端的相关配置信息

display telnet client configuration [ | { begin | exclude | include } regular-expression ]

在任意视图下执行

释放指定的用户界面

free user-interface { num1 | { aux | vty } num2 }

在用户视图下执行

系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以使用以下命令强制断开该用户的连接

不能使用该命令释放用户当前自己使用的连接

锁住当前用户界面

lock

在用户视图下执行

缺省情况下,系统不会自动锁住当前用户界面

FIPS模式下不支持该命令。

设置在用户界面之间传递消息

send { all | num1 | { aux | vty } num2 }

在用户视图下执行

 


3 配置通过Web网管登录设备

3.1  通过Web网管登录设备简介

为了方便您对网络设备进行配置和维护,设备提供Web网管功能。设备提供一个内置的Web服务器,您可以通过PC登录到设备上,使用Web界面直观地配置和维护设备。

设备支持两种内置的Web登录方式:

·     HTTP登录方式:HTTP是(Hypertext Transfer Protocol,超文本传输协议)。用来在Internet上传递Web页面信息。HTTP位于TCP/IP协议栈的应用层。传输层采用面向连接的TCP。目前,设备支持的HTTP协议版本为HTTP/1.0。

·     HTTPS登录方式:HTTPS(Hypertext Transfer Protocol,超文本传输协议的安全版本)是支持SSL(Secure Sockets Layer,安全套接字层)协议的HTTP协议。HTTPS通过SSL协议,使客户端与设备之间交互的数据经过加密处理,并为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备,从而实现了对设备的安全管理。

如果要使用Web登录设备,您首先需要通过Console口登录到设备上,开启设备的Web登录功能(缺省情况下,HTTP服务处于开启状态、HTTPS服务处于关闭状态),并配置设备VLAN接口的IP地址、Web登录用户及认证密码等,配置完成后,您即可使用Web网管的方式登录设备。

表3-1 通过Web登录设备需要具备的条件

对象

需要具备的条件

设备

配置设备的IP地址,设备与Web登录用户间路由可达

配置Web登录用户的属性

(HTTP和HTTPs是两种独立的登录方式,不存在配置依赖关系,请根据需要二者必选其一)

HTTP方式配置

HTTPS方式配置

Web登录用户

运行Web浏览器

获取要登录设备VLAN接口的IP地址

 

本节将为您介绍如何通过Web登录设备,并配置通过Web登录时的认证方式及用户级别等,实现对Web登录用户的控制。

3.2  配置通过HTTP方式登录设备

表3-2 配置通过HTTP方式登录设备

操作

命令

说明

进入系统视图

system-view

-

启动HTTP服务器

ip http enable

必选

·     空配置启动时,使用软件功能缺省值,Web服务处于开启状态

·     缺省配置启动时,使用软件功能出厂值,Web服务器处于关闭状态

关于空配置启动和缺省配置启动,请参见“基础配置指导”中的“配置文件管理”

配置HTTP服务的端口号

ip http port port-number

可选

缺省情况下,HTTP服务的端口号为80

如果重复执行此命令,HTTP服务将使用最后一次配置的端口号

设置Web登录用户连接的超时时间

web idle-timeout minutes

可选

缺省情况下,Web闲置超时时间为10分钟

配置HTTP服务与ACL关联

ip http acl acl-number

可选

缺省情况下,没有ACL与HTTP服务关联

通过将HTTP服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问设备

创建本地用户(进入本地用户视图)

local-user user-name

必选

缺省情况下,无本地用户

配置本地认证密码

password [ [ hash ] { cipher | simple } password ]

必选

缺省情况下,无本地认证密码

FIPS模式下,删除参数[ hash ] { cipher | simple } password,并且以交互式方式设置本地用户密码

配置Web登录的用户级别

authorization-attribute level level

必选

缺省情况下,没有配置Web登录的用户级别

配置Web登录用户的服务类型

service-type web

必选

缺省情况下,没有配置用户的服务类型

退回系统视图

quit

-

配置IPv4 HTTP报文发送的DSCP优先级

ip http dscp dscp-value

可选

缺省情况下,IPv4 HTTP报文发送的DSCP优先级为16

配置IPv6 HTTP报文发送的DSCP优先级

ipv6 http dscp dscp-value

可选

缺省情况下,IPv6 HTTP报文发送的DSCP优先级为0

创建VLAN接口并进入VLAN接口视图

interface vlan-interface vlan-interface-id

必选

如果该VLAN接口已经存在,则直接进入该VLAN接口视图

配置VLAN接口的IP地址

ip address ip-address { mask | mask-length }

必选

缺省情况下,没有配置VLAN接口的IP地址

 

说明

当设备由FIPS模式重新切回到非FIPS模式时,HTTP服务将变为开启,如果要关闭HTTP服务请使用undo ip http enable命令关闭

 

3.3  配置通过HTTPS方式登录设备

说明

·     SSL的相关描述和配置请参见“安全配置指导”中的“SSL”。

·     PKI的相关描述和配置请参见“安全配置指导”中的“PKI”。

 

表3-3 配置通过HTTPS方式登录设备

操作

命令

说明

进入系统视图

system-view

-

配置HTTPS服务与SSL服务器端策略关联

ip https ssl-server-policy policy-name

必选

缺省情况下,没有SSL服务器端策略与HTTPS服务关联

·     关闭HTTPS服务后,系统将自动取消HTTPS服务与SSL服务器端策略的关联。再次使能HTTPS服务之前,需要重新配置HTTPS服务与SSL服务器端策略关联

·     HTTPS服务处于使能状态时,对与其关联的SSL服务器端策略进行的修改不会生效

使能HTTPS服务

ip https enable

必选

缺省情况下,HTTPS服务处于关闭状态

使能HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。因此,在这种情况下,需要多次执行ip https enable命令,这样HTTPS服务才能正常启动

配置HTTPS服务与证书属性访问控制策略关联

ip https certificate access-control-policy policy-name

可选

缺省情况下,没有证书属性访问控制策略与HTTPS服务关联

·     通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制,进一步保证设备的安全性

·     如果配置HTTPS服务与证书属性访问控制策略关联,则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verify enable命令,否则,客户端无法登录设备。

·     如果配置HTTPS服务与证书属性访问控制策略关联,则证书属性访问控制策略中必须至少包括一条permit规则,否则任何HTTPS客户端都无法登录设备。

·     证书属性访问控制策略的详细介绍请参见“安全配置指导”中的“PKI”

配置HTTPS服务的端口

ip https port port-number

可选

缺省情况下,HTTPS服务的端口号为443

设置Web登录用户连接的超时时间

web idle-timeout minutes

可选

缺省情况下,Web闲置超时时间为10分钟

配置HTTPS服务与ACL关联

ip https acl acl-number

必选

缺省情况下,没有ACL与HTTPS服务关联

通过将HTTP服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问设备

创建本地用户(进入本地用户视图)

local-user user-name

必选

缺省情况下,无本地用户

配置本地认证密码

password [ [ hash ] { cipher | simple } password ]

必选

缺省情况下,无本地认证密码

FIPS模式下,删除参数[ hash ] { cipher | simple } password,并且以交互式方式设置本地用户密码

配置Web登录的用户级别

authorization-attribute level level

必选

缺省情况下,没有配置Web登录的用户级别

配置Web登录用户的服务类型

service-type web

必选

缺省情况下,没有配置用户的服务类型

退出至系统视图

quit

-

创建VLAN接口并进入VLAN接口视图

interface vlan-interface vlan-interface-id

必选

如果该VLAN接口已经存在,则直接进入该VLAN接口视图

配置VLAN接口的IP地址

ip address ip-address { mask | mask-length }

必选

缺省情况下,没有配置VLAN接口的IP地址

3.4  通过Web网管登录设备显示与维护

在完成上述配置后,在任意视图下执行display命令可以显示Web用户的信息,通过查看显示信息验证配置的效果。

表3-4 Web用户显示

操作

命令

显示Web用户的相关信息

display web users [ | { begin | exclude | include } regular-expression ]

显示HTTP的状态信息

display ip http [ | { begin | exclude | include } regular-expression ]

显示HTTPS的状态信息

display ip https [ | { begin | exclude | include } regular-expression ]

 

3.5  通过Web网管登录设备典型配置举例

3.5.1  使用HTTP方式登录设备典型配置举例

1. 组网需求

PC与设备通过以太网相连,设备的IP地址为192.168.0.58/24。

2. 组网图

图3-1 配置HTTP方式登录组网图

 

3. 配置步骤

(1)     配置Device

# 创建VLAN 999,用作远程登录,并将Device上与PC相连的接口Ethernet 1/0/1加入VLAN 999.

<Sysname> system-view

[Sysname] vlan 999

[Sysname-vlan999] port ethernet 1/0/1

[Sysname-vlan999] quit

# 配置VLAN 999接口的IP地址为192.168.0.58,子网掩码为255.255.255.0。

[Sysname] interface vlan-interface 999

[Sysname-VLAN-interface999] ip address 192.168.0.58 255.255.255.0

[Sysname-VLAN-interface999] quit

# 配置Web网管用户名为admin,认证密码为admin,用户级别为3级。

[Sysname] local-user admin

[Sysname-luser-admin] service-type web

[Sysname-luser-admin] authorization-attribute level 3

[Sysname-luser-admin] password simple admin

(1)     配置PC

# 在PC的浏览器地址栏内输入设备的IP地址并回车,浏览器将显示Web网管的登录页面。

# 在“Web网管用户登录”对话框中输入用户名、密码及验证码,并选择登录使用的语言,点击<登录>按钮后即可登录,显示Web网管初始页面。成功登录后,您可以在配置区对设备进行各种配置。

3.5.2  使用HTTPS方式登录设备典型配置举例

1. 组网需求

用户可以通过Web页面访问和控制设备。为了防止非法用户访问和控制设备,提高设备管理的安全性,设备要求用户以HTTPS的方式登录Web页面,利用SSL协议实现用户身份验证,并保证传输的数据不被窃听和篡改。

为了满足上述需求,需要进行如下配置:

·     配置Device作为HTTPS服务器,并为Device申请证书。

·     为HTTPS客户端Host申请证书,以便Device验证其身份。

其中,负责为Device和Host颁发证书的CA(Certificate Authority,认证颁发机构)名称为new-ca。

说明

·     本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。

·     进行下面的配置之前,需要确保Device、Host、CA之间路由可达。

 

2. 组网图

图3-2 HTTPS配置组网图

 

3. 配置步骤

(1)     配置HTTPS服务器Device

# 配置PKI实体en,指定实体的通用名为http-server1、FQDN为ssl.security.com。

<Device> system-view

[Device] pki entity en

[Device-pki-entity-en] common-name http-server1

[Device-pki-entity-en] fqdn ssl.security.com

[Device-pki-entity-en] quit

# 配置PKI域1,指定信任的CA名称为new-ca、注册服务器的URL为http://10.1.2.2/certsrv/mscep/mscep.dll、证书申请的注册受理机构为RA、实体名称为en。

[Device] pki domain 1

[Device-pki-domain-1] ca identifier new-ca

[Device-pki-domain-1] certificate request url http://10.1.2.2/certsrv/mscep/mscep.dll

[Device-pki-domain-1] certificate request from ra

[Device-pki-domain-1] certificate request entity en

[Device-pki-domain-1] quit

# 生成本地的RSA密钥对。

[Device] public-key loc al create rsa

# 获取CA的证书。

[Device] pki retrieval-certificate ca domain 1

# 为Device申请证书。

[Device] pki request-certificate domain 1

# 创建SSL服务器端策略myssl,指定该策略使用PKI域1,并配置服务器端需要验证客户端身份。

[Device] ssl server-policy myssl

[Device-ssl-server-policy-myssl] pki-domain 1

[Device-ssl-server-policy-myssl] client-verify enable

[Device-ssl-server-policy-myssl] quit

# 创建证书属性组mygroup1,并配置证书属性规则,该规则规定证书颁发者的DN(Distinguished Name,识别名)中包含new-ca。

[Device] pki certificate attribute-group mygroup1

[Device-pki-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca

[Device-pki-cert-attribute-group-mygroup1] quit

# 创建证书访问控制策略myacp,并建立控制规则,该规则规定只有由new-ca颁发的证书可以通过证书访问控制策略的检测。

[Device] pki certificate access-control-policy myacp

[Device-pki-cert-acp-myacp] rule 1 permit mygroup1

[Device-pki-cert-acp-myacp] quit

# 配置HTTPS服务与SSL服务器端策略myssl关联。

[Device] ip https ssl-server-policy myssl

# 配置HTTPS服务与证书属性访问控制策略myacp关联,确保只有从new-ca获取证书的HTTPS客户端可以访问HTTPS服务器。

[Device] ip https certificate access-control-policy myacp

# 使能HTTPS服务。

[Device] ip https enable

# 创建本地用户usera,密码为123,服务类型为web,级别为3(最高级别,具有该级别的用户登录后能够执行设备支持的所有操作)。

[Device] local-user usera

[Device-luser-usera] password simple 123

[Device-luser-usera] service-type web

[Device-luser-usera] authorization-attribute level 3

(2)     配置HTTPS客户端Host

在Host上打开IE浏览器,输入网址http://10.1.2.2/certsrv,根据提示为Host申请证书。

(3)     验证配置结果

在Host上打开IE浏览器,输入网址https://10.1.1.1,选择new-ca为Host颁发的证书,即可打开Device的Web登录页面。在登录页面,输入用户名usera,密码123,则可进入Device的Web配置页面,实现对Device的访问和控制。

说明

·     HTTPS服务器的URL地址以“https://”开始,HTTP服务器的URL地址以“http://”开始。

·     PKI配置命令的详细介绍请参见“安全命令参考”中的“PKI”;

·     public-key local create rsa命令的详细介绍请参见“安全命令参考”中的“公钥管理”;

·     SSL配置命令的详细介绍请参见“安全命令参考”中的“SSL”。

 

 


4 配置通过NMS登录设备

4.1  通过NMS登录设备简介

用户可通过NMS(Network Management Station,网络管理系统)登录到设备上,通过设备上的Agent模块对设备进行管理、配置。设备支持多种NMS软件。

缺省情况下,用户不能通过NMS登录到设备上,如果要使用NMS登录设备,您首先需要通过Console口登录到设备上,在设备上进行相关配置。配置完成后,您即可使用NMS网管的方式登录设备。

表4-1 通过NMS登录设备需要具备的条件

对象

需要具备的条件

设备

配置设备VLAN接口的IP地址,设备与NMS间路由可达

配置SNMP基本功能

NMS(网络管理系统)

NMS网络管理系统进行了正确配置,具体配置请参见NMS附带的网管手册

 

4.2  配置通过NMS登录设备

建立配置环境,将NMS通过网络与设备连接,确保NMS和设备之间路由可达。

图4-1 通过NMS方式登录组网环境

 

表4-2 配置SNMP基本参数(SNMP v3版本)

操作

命令

说明

进入系统视图

system-view

-

启动SNMP Agent服务

snmp-agent

可选

缺省情况下,SNMP Agent服务处于关闭状态

执行此命令或执行snmp-agent的任何一条配置命令(不含display命令),都可以启动SNMP Agent

配置SNMP组

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

必选

缺省情况下,没有配置SNMP组

为SNMP组添加新用户

snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

必选

如果使用cipher参数,则后面的auth-passwordpriv-password都将被视为密文密码

 

表4-3 配置SNMP基本参数(SNMP v1版本、SNMP v2c版本)

操作

命令

说明

进入系统视图

system-view

-

启动SNMP Agent服务

snmp-agent

可选

缺省情况下,SNMP Agent服务处于关闭状态。

执行此命令或执行snmp-agent的任何一条配置命令,都可以启动SNMP Agent

创建或更新MIB视图内容

snmp-agent mib-view { excluded | included  } view-name oid-tree [ mask mask-value ]

可选

缺省情况下,视图名为ViewDefault,OID为1

设置访问权限

直接设置

创建一个新的SNMP团体

snmp-agent community { read | write } community-name [ mib-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

二者必选其一

直接设置是以SNMP v1和v2c版本的团体名进行设置

间接设置采用与SNMP v3版本一致的命令形式,添加的用户到指定的组,即相当于SNMP v1和SNMP v2c版本的团体名,在NMS上配置的团体名需要跟Agent上配置的用户名一致

间接设置

设置一个SNMP组

snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

为一个SNMP组添加一个新用户

snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number | acl ipv6 ipv6-acl-number ] *

 

说明

设备支持SNMP v1、SNMP v2c和SNMP v3三种版本,关于SNMP的详细介绍及配置,请参见“网络管理和监控配置指导”中的“SNMP”。

 

4.3  通过NMS登录设备典型配置举例

1. 组网需求

使用SNMPv3版本通过NMS对设备进行自动管理。

2. 组网图

通过NMS登录设备典型配置组网图

3. 配置步骤

(1)     配置Device

# 配置设备的IP地址,并确保设备与NMS之间路由可达。(配置步骤略)

# 进入系统视图。

<Sysname> system-view

# 启动SNMP Agent服务。

[Sysname] snmp-agent

# 配置SNMP组。

[Sysname] snmp-agent group v3 managev3group

# 为SNMP组添加新用户

[Sysname] snmp-agent usm-user v3 managev3user managev3group

(2)     配置NMS

用户可利用网管系统完成对设备的查询和配置操作,具体情况请参考NMS的配套手册。

说明

NMS侧的版本、用户名配置必须和设备侧保持一致,否则无法进行相应操作。

 


5 对登录用户的控制

5.1  对登录用户的控制简介

设备提供对不同登录方式进行控制,如表5-1所示。

表5-1 对登录用户的控制

登录方式

控制方式

实现方法

相关小节

Telnet

通过源IP对Telnet进行控制

通过基本ACL实现

5.2.2 

通过源IP、目的IP对Telnet进行控制

通过高级ACL实现

5.2.3 

通过源MAC对Telnet进行控制

通过二层ACL实现

5.2.4 

NMS

通过源IP对网管用户进行控制

通过基本ACL实现

5.3.2 

Web

通过源IP对Web用户进行控制

通过基本ACL实现

5.4.2 

 

5.2  配置对Telnet用户的控制(FIPS模式下不支持该方式)

5.2.1  配置准备

确定了对Telnet的控制策略,包括对哪些源IP、目的IP、源MAC进行控制,控制的动作是允许访问还是拒绝访问。

5.2.2  通过源IP对Telnet进行控制

本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。

表5-2 通过源IP对Telnet进行控制

操作

命令

说明

进入系统视图

system-view

-

创建或进入基本ACL视图

acl [ ipv6 ] number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]*

必选

缺省情况下,没有定义子规则

退出ACL视图

quit

-

进入用户界面视图

user-interface [ type ] first-number [ last-number ]

-

引用访问控制列表,通过源IP对Telnet进行控制

acl [ ipv6 ] acl-number { inbound | outbound }

必选

inbound:对Telnet到本设备的用户进行ACL控制

outbound:对从本设备Telnet到其他Telnet服务器的用户进行ACL控制

 

5.2.3  通过源IP、目的IP对Telnet进行控制

本配置需要通过高级访问控制列表实现。高级访问控制列表的序号取值范围为3000~3999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。

表5-3 配置高级ACL规则

操作

命令

说明

进入系统视图

system-view

-

创建或进入高级ACL视图

acl [ ipv6 ] number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } rule-string

必选

用户可以根据需要配置对相应的源IP、目的IP进行过滤的规则

退出ACL视图

quit

-

进入用户界面视图

user-interface [ type ] first-number [ last-number ]

-

引用访问控制列表,通过源IP、目的IP对Telnet进行控制

acl [ ipv6 ] acl-number { inbound | outbound }

必选

inbound:对Telnet到本设备的用户进行ACL控制

outbound:对从本设备Telnet到其他Telnet服务器的用户进行ACL控制

 

5.2.4  通过源MAC地址对Telnet进行控制

本配置需要通过二层访问控制列表实现。二层访问控制列表的序号取值范围为4000~4999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。

表5-4 配置二层ACL规则

操作

命令

说明

进入系统视图

system-view

-

创建或进入二层ACL视图

acl number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } rule-string

必选

用户可以根据需要配置对相应的源MAC进行过滤的规则

退出ACL视图

quit

-

进入用户界面视图

user-interface [ type ] first-number [ last-number ]

-

引用访问控制列表,通过源MAC对Telnet进行控制

acl acl-number inbound

必选

inbound:对Telnet到本设备的用户进行ACL控制

 

说明

二层访问控制列表对于Telnet Client的源IP与Telnet服务器的接口IP不在同一网段的不生效。

 

5.2.5  配置举例

1. 组网需求

通过源IP对Telnet进行控制,仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问设备。

2. 组网图

图5-1 对Device的Telnet用户进行ACL控制

 

3. 配置步骤

# 定义基本访问控制列表。

<Sysname> system-view

[Sysname] acl number 2000 match-order config

[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0

[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0

[Sysname-acl-basic-2000] quit

# 引用访问控制列表,允许源地址为10.110.100.52和10.110.100.46的Telnet用户访问设备。

[Sysname] user-interface vty 0 15

[Sysname-ui-vty0-15] acl 2000 inbound

5.3  通过源IP对网管用户进行控制

设备支持通过网管软件进行远程管理。网管用户可以通过SNMP访问设备。通过引用访问控制列表,可以对访问设备的SNMP用户进行控制。

5.3.1  配置准备

确定了对网管用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。

5.3.2  通过源IP对网管用户进行控制

本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。

表5-5 通过源IP对网管用户进行控制

操作

命令

说明

进入系统视图

system-view

-

创建或进入基本ACL视图

acl [ ipv6 ] number acl-number[ name name ] [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]*

必选

退出ACL视图

quit

-

在配置SNMP团体名的命令中引用访问控制列表

snmp-agent community { read | write } community-name [ mib-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

必选

根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组名或者用户名配置时引用访问控制列表,详细介绍请参见“网络管理和监控配置指导”中的“SNMP”

在配置SNMP组名的命令中引用访问控制列表

snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

在配置SNMP用户名的命令中引用访问控制列表

snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number | acl ipv6 ipv6-acl-number ] *

snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

 

5.3.3  配置举例

1. 组网需求

通过源IP对网管用户进行控制,仅允许来自10.110.100.52和10.110.100.46的NMS用户访问设备。

2. 组网图

图5-2 对NMS用户进行ACL控制

 

3. 配置步骤

# 定义基本访问控制列表。

<Sysname> system-view

[Sysname] acl number 2000 match-order config

[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0

[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0

[Sysname-acl-basic-2000] quit

# 引用访问控制列表,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问设备。

[Sysname] snmp-agent community read aaa acl 2000

[Sysname] snmp-agent group v2c groupa acl 2000

[Sysname] snmp-agent usm-user v2c usera groupa acl 2000

5.4  通过源IP对Web用户进行控制

设备支持通过Web方式进行远程管理。Web用户可以通过HTTP协议访问设备。通过引用访问控制列表,可以对访问设备的Web用户进行控制。

5.4.1  配置准备

确定了对Web用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。

5.4.2  通过源IP对Web用户进行控制

本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。

表5-6 通过源IP对Web用户进行控制

操作

命令

说明

进入系统视图

system-view

-

创建或进入基本ACL视图

acl [ ipv6 ] number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]*

必选

退出ACL视图

quit

-

引用访问控制列表对Web用户进行控制

ip http acl acl-number

HTTP和HTTPs是两种独立的登录方式,不存在配置依赖关系,请根据需要二者必选其一

ip https acl acl-number

 

5.4.3  强制在线Web用户下线

网络管理员可以通过命令行强制在线Web用户下线。

表5-7 强制在线Web用户下线

操作

命令

说明

强制在线Web用户下线

free web-users { all | user-id user-id | user-name user-name }

必选

在用户视图下执行

 

5.4.4  配置举例

1. 组网需求

通过源IP对Web用户进行控制,仅允许来自10.110.100.52的Web用户访问设备。

2. 组网图

图5-3 对Device的HTTP用户进行ACL控制

 

3. 配置步骤

# 定义基本访问控制列表。

<Sysname> system-view

[Sysname] acl number 2030 match-order config

[Sysname-acl-basic-2030] rule 1 permit source 10.110.100.52 0

# 引用访问控制列表,仅允许来自10.110.100.52的Web用户访问设备。

[Sysname] ip http acl 2030

5.5  配置对登录失败的用户进行延时重认证

用户登录失败后,若设备上配置了重新进行认证的等待时长,则系统将会延迟一定的时长之后再允许用户进行认证。该配置可以使设备防范受到登录用户字典序攻击。

字典序攻击是指攻击者通过收集用户密码可能包含的字符,使用各种密码组合逐一尝试登录设备,以达到猜测合法用户密码的目的。

表5-8 登录失败用户延时重认证功能配置

配置步骤

命令

说明

进入系统视图

system-view

-

配置Login用户登录失败后重新进行认证的等待时长

attack-defense login reauthentication-delay seconds

缺省情况下,Login用户登录失败后重新进行认证不需要等待

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们