- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-登录设备配置
本章节下载: 03-登录设备配置 (481.18 KB)
目 录
1.3.5 认证方式为None时Console口登录方式的配置
1.3.6 认证方式为Password时Console口登录方式的配置
1.3.7 认证方式为Scheme时Console口登录方式的配置
1.4.5 认证方式为Password时Telnet登录方式的配置
1.4.6 认证方式为Scheme时Telnet登录方式的配置
l 不同型号产品的特性功能支持情况略有不同,详细请参见“特性差异化列表”部分的介绍。
l 设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。
l 本手册中所述的AP设备可以指代一般意义下的AP设备和无线网桥、无线Mesh设备。
WA系列无线局域网接入点设备工作于FIT模式时,不可以直接对其进行管理,但可以通过其关联到的WX系列无线控制器或WX系列有线无线一体化交换机对其进行控制管理。
WA系列无线局域网接入点设备工作于FAT模式时,可以通过以下方式登录:
l 通过Console口进行本地登录
l 通过Telnet/SSH进行远程登录
l 通过Web网管登录
l 通过NMS登录
WA系列无线局域网接入点设备支持两种用户界面:Console用户界面和VTY用户界面。
l Console用户界面:系统提供的通过Console口登录的视图,用来管理和监控通过Console口登录的用户。设备提供一个Console口,端口类型为EIA/TIA-232 DCE,第一次使用设备时,需要通过此端口对AP设备进行配置。
l VTY(Virtual Type Terminal,虚拟类型终端)用户界面:系统提供的通过VTY方式登录的视图,用于对AP设备进行Telnet或SSH访问。
|
用户界面 |
对应用户 |
使用设备的端口类型 |
说明 |
|
Console用户界面 |
通过Console口登录的用户 |
Console口 |
每台AP设备只能有1个Console用户同时登录 |
|
VTY用户界面 |
Telnet用户、SSH用户 |
以太网端口 |
每台AP设备最多可以有5个VTY用户同时登录 |
每个用户界面有对应的用户界面视图(User-interface view),在用户界面视图下网络管理员可以配置一系列参数,比如用户登录时的认证方式以及登录后的用户级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的。
通过对不同类型用户界面的设置,可实现对不同登录方式用户的监控和管理。一台AP设备上提供1个Console用户界面、5个VTY用户界面:
l 这些用户界面与用户并没有固定的对应关系。
l 用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的对应用户登录方式的用户界面,用户整个登录过程将受该用户界面视图下配置的约束。
l 同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时机不同,分配的用户界面可能不同。
虽然单个用户界面某一时刻只能被一个用户使用,但它并不针对某个用户。比如用户A可以使用VTY 0用户界面登录AP设备,而当用户A退出登录时,用户B同样可以使用VTY 0用户界面登录AP设备。
用户界面的编号有两种方式:绝对编号方式和相对编号方式。
(1) 绝对编号方式,遵守的规则如下:
l Console用户界面编号排在VTY用户界面之前,绝对编号为0;
l VTY用户界面编号排在Console用户界面之后,第一个VTY用户界面的绝对编号为1,第二个VTY用户界面的绝对编号为2,依此类推。
(2) 相对编号的形式是:用户界面类型+编号。遵守的规则如下:
l Console用户界面的相对编号为Console 0;
l VTY用户界面的编号:第一个为VTY0,第二个为VTY1,依此类推。
|
操作 |
命令 |
说明 |
|
锁定当前用户界面 |
lock |
可选 在用户视图下执行 缺省情况下,不锁定当前用户界面 |
|
设置在用户界面之间传递消息 |
send { all | num1 | { console | vty } num2 } |
可选 在用户视图下执行 |
|
释放指定的用户界面 |
free user-interface { num1 | { console | vty } num2 } |
可选 在用户视图下执行 |
|
显示用户界面的使用信息 |
display users [ all ] |
可选 display命令可以在任意视图下执行 |
|
显示用户界面的物理属性和部分配置 |
display user-interface [ type number | number | summary ] |
|
|
进入系统视图 |
system-view |
- |
|
使能显示版权信息 |
copyright-info enable |
可选 缺省情况下,显示版权信息处于使能状态 使能显示版权信息后,使用Telnet或SSH方式登录设备、使用Console口方式退出用户视图时会显示版权信息,其它情况不显示版权信息 |
通过AP设备的Console口进行本地登录是登录设备的最基本的方式,也是配置通过其他方式登录设备的基础。缺省情况下,WA系列AP设备只能通过Console口进行本地登录。
用户终端的通信参数配置要和AP设备Console口的缺省配置保持一致,才能通过Console口登录到AP设备上。AP设备Console口的缺省配置如下:
表1-3 AP设备Console口缺省配置
|
属性 |
缺省配置 |
|
传输速率 |
9600bit/s |
|
流控方式 |
不进行流控 |
|
校验方式 |
不进行校验 |
|
停止位 |
1 |
|
数据位 |
8 |
用户登录到AP设备上后,可以对Console用户界面进行相关的配置,请参见1.3.3 配置Console口登录方式的公共属性。
第一步:如图1-1所示,建立本地配置环境,将Console口电缆的RJ-45一端与AP设备的Console口相连,DB-9一端与PC机上的串口相连;
图1-1 通过Console口搭建本地配置环境
第二步:在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),选择与AP设备相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图1-2至图1-4所示。
如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理AP设备;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参照软件的使用指导或联机帮助。
第三步:AP设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如<WA2610E-GNP>),如图1-5所示。
图1-5 AP设备配置界面
第四步:键入命令,配置AP设备或查看AP设备运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。
Console口登录方式的公共属性配置,如表1-4所示。
表1-4 Console口登录方式公共属性配置
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
进入Console用户界面视图 |
user-interface console 0 |
- |
|
|
配置Console口的属性 |
配置传输速率 |
speed speed-value |
可选 缺省情况下,Console口使用的传输速率为9600bit/s |
|
配置校验方式 |
parity { even | mark | none | odd | space } |
可选 缺省情况下,Console口的校验方式为none,即不进行校验 |
|
|
配置停止位 |
stopbits { 1 | 1.5 | 2 } |
可选 缺省情况下,Console口的停止位为1 |
|
|
配置数据位 |
databits { 5 | 6 | 7 | 8 } |
可选 缺省情况下,Console口的数据位为8位 |
|
|
配置中止当前运行任务的快捷键 |
escape-key { default | character } |
可选 缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
|
|
配置终端的显示类型 |
terminal type { ansi | vt100 } |
可选 缺省情况下,终端显示类型为ANSI |
|
|
设置用户登录后可以访问的命令级别 |
user privilege level level |
可选 缺省情况下,从Console用户界面登录后可以访问的命令级别为3级 |
|
|
设置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏显示功能 |
|
|
设置历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令 |
|
|
设置用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟,如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
|
改变Console口属性后会立即生效,所以通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性。若用户需要通过Console口再次登录AP设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与AP设备上配置的Console口属性保持一致,如图1-4所示。
不同的认证方式下,Console口登录方式需要进行的配置不同,具体配置如表1-5所示。
|
认证方式 |
认证所需配置 |
说明 |
|
None |
设置登录用户的认证方式为不认证 |
具体内容请参见1.3.5 |
|
Password |
设置登录用户的认证方式为本地口令认证 |
具体内容请参见1.3.6 |
|
设置本地验证的口令 |
||
|
Scheme |
设置登录用户的认证方式为通过认证方案认证 |
具体内容请参见1.3.7 |
|
选择认证方案:采用本地认证或者到远端认证服务器上认证 |
||
|
配置认证用户名和密码:添加本地用户或者服务器用户 |
改变Console口登录方式的认证方式后,该认证方式的设置不会立即生效。用户需要退出命令行接口后重新登录,该设置才会生效。
表1-6 认证方式为None时Console口登录方式的配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入Console用户界面视图 |
user-interface console 0 |
- |
|
设置登录用户的认证方式为不认证 |
authentication-mode none |
必选 缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证) |
(1) 组网需求
AP设备已经被配置为允许用户通过Telnet方式登录,且当前用户级别为管理级(3级)。当前登录用户需要对通过Console口登录的用户进行如下限定:
l 设置通过Console口登录AP设备的用户不需要进行认证
l 设置从Console用户界面登录后可以访问的命令级别为2级
l 设置Console口使用的传输速率为19200bit/s
l 设置终端屏幕的一屏显示30行命令
l 设置历史命令缓冲区可存放20条命令
l 设置Console用户界面的超时时间为6分钟
(2) 组网图
图1-6 配置认证方式为None的Console用户界面属性的组网图
(3) 配置步骤
# 进入系统视图。
<Sysname> system-view
# 进入Console用户界面视图。
[Sysname] user-interface console 0
# 设置通过Console口登录AP设备的用户不需要进行认证。
[Sysname-ui-console0] authentication-mode none
# 设置从Console用户界面登录后可以访问的命令级别为2级。
[Sysname-ui-console0] user privilege level 2
# 设置Console口使用的传输速率为19200bit/s。
[Sysname-ui-console0] speed 19200
# 设置终端屏幕的一屏显示30行命令。
[Sysname-ui-console0] screen-length 30
# 设置历史命令缓冲区可存放20条命令。
[Sysname-ui-console0] history-command max-size 20
# 设置Console用户界面的超时时间为6分钟。
[Sysname-ui-console0] idle-timeout 6
完成上述配置后,用户需要改变PC机上运行的终端仿真程序的相应配置,如图1-4所示,使之与AP设备上的配置保持一致,才能确保正常登录。
表1-7 认证方式为Password时Console口登录方式的配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入Console用户界面视图 |
user-interface console 0 |
- |
|
设置登录用户的认证方式为本地口令认证 |
authentication-mode password |
必选 缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证) |
|
设置本地验证的口令 |
set authentication password { cipher | simple } password |
必选 缺省情况下,没有设置本地认证的口令 |
(1) 组网需求
AP设备已经被配置为允许用户通过Telnet方式登录,且当前用户级别为管理级(3级)。当前登录用户需要对通过Console口登录的用户进行如下限定:
l 设置通过Console口登录AP设备的用户进行Password认证
l 设置用户的认证口令为明文方式,口令为123456
l 设置从Console用户界面登录后可以访问的命令级别为2级
l 设置Console口使用的传输速率为19200bit/s
l 设置终端屏幕的一屏显示30行命令
l 设置历史命令缓冲区可存放20条命令
l 设置Console用户界面的超时时间为6分钟
(2) 组网图
图1-7 配置认证方式为Password的Console用户界面属性的组网图
(3) 配置步骤
# 进入系统视图。
<Sysname> system-view
# 进入Console用户界面视图。
[Sysname] user-interface console 0
# 设置通过Console口登录AP设备的用户进行Password认证。
[Sysname-ui-console0] authentication-mode password
# 设置用户的认证口令为明文方式,口令为123456。
[Sysname-ui-console0] set authentication password simple 123456
# 设置从Console用户界面登录后可以访问的命令级别为2级。
[Sysname-ui-console0] user privilege level 2
# 设置Console口使用的传输速率为19200bit/s。
[Sysname-ui-console0] speed 19200
# 设置终端屏幕的一屏显示30行命令。
[Sysname-ui-console0] screen-length 30
# 设置历史命令缓冲区可存放20条命令。
[Sysname-ui-console0] history-command max-size 20
# 设置Console用户界面的超时时间为6分钟。
[Sysname-ui-console0] idle-timeout 6
完成上述配置后,用户需要改变PC机上运行的终端仿真程序的相应配置,如图1-4所示,使之与AP设备上的配置保持一致,才能确保正常登录。
表1-8 认证方式为Scheme时Console口登录方式的配置
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
进入Console用户界面视图 |
user-interface console 0 |
- |
|
|
设置登录用户的认证方式为通过认证方案认证 |
authentication-mode scheme |
必选 具体采用本地认证还是RADIUS认证视AAA方案配置而定 缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证) |
|
|
退出至系统视图 |
quit |
- |
|
|
配置AP设备采用的认证方案 |
进入ISP域视图 |
domain domain-name |
可选 缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS方式认证,则需进行如下配置: l AP设备上的RADIUS方案配置请参见“安全配置指导”中的“AAA” l AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
|
配置域使用的AAA方案 |
authentication default { local | none | radius-scheme radius-scheme-name [ local ] } |
||
|
退出至系统视图 |
quit |
||
|
创建本地用户(进入本地用户视图) |
local-user user-name |
必选 缺省情况下,无本地用户 |
|
|
设置本地用户认证口令 |
password { cipher | simple } password |
必选 |
|
|
设置本地用户的命令级别 |
authorization-attribute level level |
可选 缺省情况下,命令级别为0 |
|
|
设置本地用户的服务类型 |
service-type terminal |
必选 缺省情况下,无用户服务类型 |
|
需要注意的是:
l 用户采用Scheme认证方式登录AP设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。
l AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。
l AAA方案为RADIUS方案认证时,在相应的RADIUS服务器上设定相应用户的级别。
有关AAA和RADIUS的详细内容,请参见“安全配置指导”中的“AAA”的介绍。
(1) 组网需求
AP设备已经被配置为允许用户通过Telnet方式登录,且用户级别为管理级(3级)。当前登录用户需要对通过Console口(Console用户界面)登录的用户进行如下限定:
l 设置本地用户的用户名为guest
l 设置本地用户的认证口令为明文方式,口令为123456
l 设置本地用户的服务类型为Terminal且命令级别为2级
l 设置通过Console口登录AP设备的用户进行Scheme认证
l 设置Console口使用的传输速率为19200bit/s
l 设置终端屏幕的一屏显示30行命令
l 设置历史命令缓冲区可存放20条命令
l 设置Console用户界面的超时时间为6分钟
(2) 组网图
图1-8 配置认证方式为Scheme的Console用户界面属性的组网图
(3) 配置步骤
l AP设备上的配置
# 进入系统视图。
<Sysname> system-view
# 创建本地用户guest,并进入本地用户视图。
[Sysname] local-user guest
# 设置本地用户的认证口令为明文方式,口令为123456。
[Sysname-luser-guest] password simple 123456
# 设置本地用户的服务类型为Terminal。
[Sysname-luser-guest] service-type terminal
# 设置用户登录后可以访问的命令级别为2级。
[Sysname-luser-guest] authorization-attribute level 2
[Sysname-luser-guest] quit
# 进入Console用户界面视图。
[Sysname] user-interface console 0
# 设置通过Console口登录AP设备的用户进行Scheme认证。
[Sysname-ui-console0] authentication-mode scheme
# 设置Console口使用的传输速率为19200bit/s。
[Sysname-ui-console0] speed 19200
# 设置终端屏幕的一屏显示30行命令。
[Sysname-ui-console0] screen-length 30
# 设置历史命令缓冲区可存放20条命令。
[Sysname-ui-console0] history-command max-size 20
# 设置Console用户界面的超时时间为6分钟。
[Sysname-ui-console0] idle-timeout 6
l 认证方案配置
请参照“AAA配置”中相关内容完成对认证服务器的配置。
完成上述配置后,用户需要改变PC机上运行的终端仿真程序的相应配置,如图1-4所示,使之与AP设备上的配置保持一致,才能确保正常登录。
无线AP产品支持Telnet功能,用户可以通过Telnet方式对设备进行远程管理和维护。在使用Telnet方式登录前,AP设备和Telnet用户端都要进行相应的配置,才能保证通过Telnet方式正常登录设备。
表1-9 通过Telnet登录设备需要具备的条件
|
对象 |
需要具备的条件 |
|
无线AP产品 |
启动Telnet服务(设备缺省开启Telnet Server功能) |
|
配置设备VLAN接口的IP地址,设备与Telnet用户间路由可达 |
|
|
Telnet用户 |
运行了Telnet程序 |
|
获取设备VLAN接口的IP地址 |
通过Telnet方式登录AP设备时,用户可以使用PC机作为Telnet客户端,Telnet到AP设备上,对其进行配置。
第一步:通过Console口正确配置AP设备VLAN1接口的IP地址(VLAN1为AP设备的缺省VLAN)。
l 通过Console口搭建配置环境。如图1-9所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与AP设备的Console口连接。
图1-9 通过Console口搭建本地配置环境
l 在PC机上运行终端仿真程序(如Windows95/Windows98/Windows NT/Windows2000/ Windows XP的超级终端),设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控。
l AP设备上电,PC机终端上将显示AP设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符<WA2610E-GNP>,如图1-10所示。
图1-10 AP设备配置页面
l 通过Console口在超级终端中执行以下命令,配置AP设备VLAN1的IP地址为202.38.160.92/24。
<Sysname> system-view
[Sysname] interface Vlan-interface 1
[Sysname-Vlan-interface1] ip address 202.38.160.92 255.255.255.0
第二步:在通过Telnet登录AP设备之前,针对用户需要的不同认证方式,在AP设备上进行相应配置。请参见1.4.4 认证方式为None时Telnet登录方式的配置、1.4.5 认证方式为Password时Telnet登录方式的配置、1.4.6 认证方式为Scheme时Telnet登录方式的配置的相关描述。
第三步:如图1-11所示,建立配置环境,将PC机以太网口通过网络与AP设备VLAN1下的以太网口连接,确保PC机和VLAN1接口之间路由可达。
第四步:在PC机上运行Telnet程序,输入AP设备VLAN1的IP地址,如图1-12所示。
第五步:如果配置验证方式为Password,则终端上显示“Login authentication”,并提示用户输入已设置的登录口令,口令输入正确后则出现命令行提示符(如<Sysname>)。如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到AP设备的用户过多,则请稍候再连接(WA系列无线局域网接入点设备最多允许5个Telnet用户同时登录)。
第六步:使用相应命令配置AP设备或查看AP设备运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。
l 通过Telnet配置AP设备时,请不要删除或修改AP设备上对应本Telnet连接的VLAN接口的IP地址,否则会导致Telnet连接断开。
l Telnet用户通过口令认证登录AP设备时,缺省可以访问命令级别为0级的命令。有关命令级别的描述请参见“CLI配置”中的配置用户级别和命令级别部分介绍。
Telnet登录方式的公共属性配置,如表1-10所示。
表1-10 Telnet登录方式的公共属性配置
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
使能设备的Telnet服务 |
telnet server enable |
可选 缺省情况下,Telnet服务处于使能状态 |
|
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
|
VTY用户界面配置 |
启动终端服务 |
shell |
可选 缺省情况下,在所有的用户界面上启动终端服务 |
|
设置从用户界面登录后自动执行的命令 |
auto-execute command text |
可选 缺省情况下,通过VTY用户界面登录后无可自动执行的命令 |
|
|
配置VTY用户界面支持的协议 |
protocol inbound { all | ssh | telnet } |
可选 缺省情况下,AP设备支持Telnet协议,只有11n设备支持SSH协议 |
|
|
配置中止当前运行任务的快捷键 |
escape-key { default | character } |
可选 缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
|
|
配置终端的显示类型 |
terminal type { ansi | vt100 } |
可选 缺省情况下,终端显示类型为ANSI |
|
|
设置从VTY用户界面登录后可以访问的命令级别 |
user privilege level level |
可选 缺省情况下,从VTY用户界面登录后可以访问的命令级别为0级 |
|
|
设置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏显示功能 |
|
|
设置AP设备历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令 |
|
|
设置VTY用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟 如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
|
不同的认证方式下,Telnet登录方式需要进行的配置不同,具体配置如表1-11所示。
表1-11 配置Telnet登录的认证方式
|
认证方式 |
认证所需配置 |
说明 |
|
None |
设置登录用户的认证方式为不认证 |
具体内容请参见表1-12 |
|
Password |
设置登录用户的认证方式为本地口令认证 |
具体内容请参见表1-13 |
|
设置本地验证的口令 |
||
|
Scheme |
设置登录用户的认证方式为通过认证方案认证 |
具体内容请参见表1-14 |
|
选择认证方案:采用本地认证或者到远端认证服务器上认证 |
||
|
配置认证用户名和密码:添加本地用户或者服务器用户 |
表1-12 认证方式为None时Telnet登录方式的配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
设置VTY登录用户的认证方式为不认证 |
authentication-mode none |
必选 缺省情况下,VTY用户界面的认证方式为password |
需要注意的是,用户采用None认证方式登录AP设备时,其所能访问的命令级别取决于命令user privilege level level中level参数定义的级别。
(1) 组网需求
当前用户通过Console口登录到AP设备,且当前用户级别为管理级(3级)。当前用户要对通过VTY0用户界面登录的Telnet用户进行如下限定:
l 设置通过VTY0口登录AP设备的Telnet用户不需要进行认证
l 设置从VTY0用户界面登录后可以访问的命令级别为2级
l 设置VTY0用户界面支持Telnet协议
l 设置VTY0用户的终端屏幕的一屏显示30行命令
l 设置VTY0用户历史命令缓冲区可存放20条命令
l 设置VTY0用户界面的超时时间为6分钟
(2) 组网图
图1-13 配置认证方式为None的Telnet用户的组网图
(3) 配置步骤
# 进入系统视图。
<Sysname> system-view
# 进入VTY0用户界面视图。
[Sysname] user-interface vty 0
# 设置通过VTY0用户界面登录AP设备的Telnet用户不需要进行认证。
[Sysname-ui-vty0] authentication-mode none
# 设置通过VTY0用户界面登录后可以访问的命令级别为2级。
[Sysname-ui-vty0] user privilege level 2
# 设置VTY0用户界面支持Telnet协议。
[Sysname-ui-vty0] protocol inbound telnet
# 设置VTY0用户的终端屏幕的一屏显示30行命令。
[Sysname-ui-vty0] screen-length 30
# 设置VTY0用户历史命令缓冲区可存放20条命令。
[Sysname-ui-vty0] history-command max-size 20
# 设置VTY0用户界面的超时时间为6分钟。
[Sysname-ui-vty0] idle-timeout 6
表1-13 认证方式为Password时Telnet登录方式的配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
设置登录用户的认证方式为本地口令认证 |
authentication-mode password |
必选 缺省情况下,VTY用户界面的认证方式为password |
|
设置本地验证的口令 |
set authentication password { cipher | simple } password |
必选 缺省情况下,没有设置本地认证的口令 |
需要注意的是,用户采用Password认证方式登录AP设备时,其所能访问的命令级别取决于命令user privilege level level中level参数定义的级别。
(1) 组网需求
当前用户通过Console口登录到AP设备,且当前用户级别为管理级(3级)。当前用户要对通过VTY0用户界面登录的Telnet用户进行如下限定:
l 设置通过VTY0口登录AP设备的Telnet用户进行Password认证
l 设置用户的认证口令为明文方式,口令为123456
l 设置从VTY0用户界面登录后可以访问的命令级别为2级
l 设置VTY0用户界面支持Telnet协议
l 设置VTY0用户的终端屏幕的一屏显示30行命令
l 设置VTY0用户历史命令缓冲区可存放20条命令
l 设置VTY0用户界面的超时时间为6分钟
(2) 组网图
图1-14 配置认证方式为Password的Telnet用户的组网图
(3) 配置步骤
# 进入系统视图。
<Sysname> system-view
# 进入VTY0用户界面视图。
[Sysname] user-interface vty 0
# 设置通过VTY0口登录AP设备的用户进行Password认证。
[Sysname-ui-vty0] authentication-mode password
# 设置用户的认证口令为明文方式,口令为123456。
[Sysname-ui-vty0] set authentication password simple 123456
# 设置从VTY0用户界面登录后可以访问的命令级别为2级。
[Sysname-ui-vty0] user privilege level 2
# 设置VTY0用户界面支持Telnet协议。
[Sysname-ui-vty0] protocol inbound telnet
# 设置VTY0用户的终端屏幕的一屏显示30行命令。
[Sysname-ui-vty0] screen-length 30
# 设置VTY0用户历史命令缓冲区可存放20条命令。
[Sysname-ui-vty0] history-command max-size 20
# 设置VTY0用户界面的超时时间为6分钟。
[Sysname-ui-vty0] idle-timeout 6
表1-14 认证方式为Scheme时Telnet登录方式的配置
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
|
设置登录用户的认证方式为通过认证方案认证 |
authentication-mode scheme |
必选 具体采用本地认证还是RADIUS认证视AAA方案配置而定 缺省情况下采用本地认证方式 |
|
|
退出至系统视图 |
quit |
- |
|
|
配置AP设备采用的认证方案 |
进入ISP域视图 |
domain domain-name |
可选 缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS方式认证,则需进行如下配置: l AP设备上的配置请参见“安全配置指导”中的“AAA” l AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
|
配置域使用的AAA方案 |
authentication default { local | none | radius-scheme radius-scheme-name [ local ] } |
||
|
退出至系统视图 |
quit |
||
|
创建本地用户(进入本地用户视图) |
local-user user-name |
缺省情况下,无本地用户 |
|
|
设置本地认证口令 |
password { cipher | simple } password |
必选 |
|
|
设置VTY用户的命令级别 |
authorization-attribute level level |
可选 缺省情况下,命令级别为0 |
|
|
设置VTY用户的服务类型 |
service-type telnet |
必选 缺省情况下,无用户的服务类型 |
|
需要注意的是:
l 用户采用Scheme认证方式登录AP设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。
l AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。
l AAA方案为RADIUS方案认证时,在相应的RADIUS服务器上设定相应用户的级别。
有关AAA和RADIUS的详细内容,请参见“安全配置指导”中的“AAA”。
(1) 组网需求
当前用户通过Console口登录到AP设备,且当前用户级别为管理级(3级)。当前用户要对通过VTY0用户界面登录的Telnet用户进行如下限定:
l 设置本地用户的用户名为guest
l 设置本地用户的认证口令为明文方式,口令为123456
l 设置VTY用户的服务类型为Telnet且命令级别为2级
l 设置通过VTY0口登录AP设备的Telnet用户进行Scheme认证
l 设置VTY0用户界面仅支持Telnet协议
l 设置VTY0用户的终端屏幕的一屏显示30行命令
l 设置VTY0用户历史命令缓冲区可存放20条命令
l 设置VTY0用户界面的超时时间为6分钟
(2) 组网图
图1-15 配置认证方式为Scheme的Telnet用户的组网图
(3) 配置步骤
l AP设备上的配置
# 进入系统视图。
<Sysname> system-view
# 创建本地用户guest,并进入本地用户视图。
[Sysname] local-user guest
# 设置本地用户的认证口令为明文方式,口令为123456。
[Sysname-luser-guest] password simple 123456
# 设置VTY用户的服务类型为Telnet。
[Sysname-luser-guest] service-type telnet
# 设置VTY用户登录后可以访问的命令级别为2级。
[Sysname-luser-guest] authorization-attribute level 2
[Sysname-luser-guest] quit
# 进入VTY0用户界面视图。
[Sysname] user-interface vty 0
# 设置通过VTY0口登录AP设备的Telnet用户进行Scheme认证。
[Sysname-ui-vty0] authentication-mode scheme
# 设置VTY0用户界面支持Telnet协议。
[Sysname-ui-vty0] protocol inbound telnet
# 设置VTY0用户的终端屏幕的一屏显示30行命令。
[Sysname-ui-vty0] screen-length 30
# 设置VTY0用户历史命令缓冲区可存放20条命令。
[Sysname-ui-vty0] history-command max-size 20
# 设置VTY0用户界面的超时时间为6分钟。
[Sysname-ui-vty0] idle-timeout 6
l 认证方案配置
请参照“配置指导/08-安全分册/AAA配置”中相关内容完成对认证服务器的配置。
IPv6 Telnet的命令与IPv4的相同。命令行如下:
telnet ipv6 { ipv6-address | hostname } [ -i interface-type interface-number ] [ port-number ]
SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。
SSH登录方式是在Telnet的基础上封装了安全外壳,关于SSH提供的安全功能配置,请参见“安全配置指导”中的“AAA”。
目前只有支持11n的产品支持SSH远程登录。
缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于或者低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。
授权服务器是通过用户名来查找用户可授权使用的命令行列表的,命令行授权功能的配置思路如下:
(1) 配置用户认证方式为scheme。
(2) 使能命令行授权功能,请参见表1-15。
(3) 创建RADIUS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA”中的“配置RADIUS”。
(4) 在ISP域中引用已创建的RADIUS方案,详细介绍请参见“安全配置指导”中的“AAA”中的“配置ISP域的AAA授权方案”。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入一个或多个VTY用户界面视图 |
user-interface [ vty | console ] first-number [ last-number ] |
- |
|
使能命令行授权功能 |
command authorization |
必选 缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权 |
WA系列AP设备提供一个内置的Web服务器,用户可以通过Web网管终端(PC)登录到AP设备上,利用内置的Web服务器以Web方式直观地管理和维护AP设备。
AP设备和Web网管终端(PC)都要进行相应的配置,才能保证通过Web网管正常登录AP设备。
表1-16 通过Web网管登录AP设备需要具备的条件
|
对象 |
需要具备的条件 |
|
AP设备 |
启动Web服务 |
|
配置AP设备VLAN接口的IP地址 |
|
|
配置欲登录的Web网管用户名和认证口令 |
|
|
Web网管终端(PC) |
具有IE浏览器 |
|
获取AP设备VLAN接口的IP地址 |
表1-17 通过Web网管登录配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启动Web 服务器 |
ip http enable |
可选 缺省情况下,Web服务器为启动状态 |
|
创建本地用户(进入本地用户视图) |
local-user user-name |
缺省情况下,无本地用户 |
|
设置本地认证口令 |
password { cipher | simple } password |
必选 |
|
设置VTY用户的命令级别 |
authorization-attribute level level |
可选 缺省情况下,命令级别为0 |
|
设置VTY用户的服务类型 |
service-type telnet |
必选 缺省情况下,无用户的服务类型 |
需要注意的是:
l 用户采用Scheme认证方式登录AP设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。
l AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。
l AAA方案为RADIUS方案认证时,在相应的RADIUS服务器上设定相应用户的级别。
有关AAA和RADIUS的详细内容,请参见“安全配置指导”中的“AAA”。
在完成上述配置后,在任意视图下执行display命令可以显示Web用户的信息,通过查看显示信息验证配置的效果。
表1-18 Web用户显示
|
操作 |
命令 |
|
显示Web用户的相关信息 |
display web users |
(1) 通过Console口正确配置AP设备VLAN 1接口的IP地址(VLAN 1为AP设备的缺省VLAN)。
l 通过Console口搭建配置环境。请参见“1.3 通过Console口进行本地登录”。
l 通过Console口在超级终端中执行以下命令,配置AP设备VLAN 1接口的IP地址。
# 配置AP设备VLAN 1接口的IP地址为10.153.17.82,子网掩码为255.255.255.0。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-VLAN-interface1] ip address 10.153.17.82 255.255.255.0
(2) 用户通过Console口,在AP设备上配置欲登录的Web网管用户名和认证口令。
# 配置Web网管用户名为admin,认证口令为admin,用户级别为3级。
[Sysname] local-user admin
[Sysname-luser-admin] password simple admin
[Sysname-luser-admin] authorization-attribute level 3
[Sysname-luser-admin] service-type telnet
(3) 搭建Web网管远程配置环境,如图1-16所示。
图1-16 搭建Web网管远程运行环境
(4) 用户通过PC与AP设备相连,并通过浏览器登录AP设备:在Web网管终端(PC)的浏览器地址栏内输入http://10.153.17.82(Web网管终端和AP设备之间要路由可达),浏览器会显示Web网管的登录页面,如图1-17所示。
图1-17 Web网管登录页面
(5) 输入在AP设备上添加的用户名和密码,选择语言种类后,点击<登录>按钮后即可登录,显示Web网管初始页面。
用户可通过NMS(Network Management Station,网管工作站)登录到AP设备上,通过AP设备上的Agent模块对AP设备进行管理、配置。NMS和Agent之间运行的协议为SNMP(Simple Network Management Protocol,简单网络管理协议),具体介绍请参见“网络管理和监控配置指导”中的“SNMP”。
NMS端和AP设备上都要进行相应的配置,才能保证通过NMS正常登录AP设备。
表1-19 通过NMS登录AP设备需要具备的条件
|
对象 |
需要具备的条件 |
|
AP设备 |
配置AP设备VLAN的IP地址,AP设备与NMS间路由可达 |
|
配置SNMP基本功能,请参见“网络管理和监控配置指导”中的“SNMP” |
|
|
NMS(网管工作站) |
NMS网管工作站进行了正确配置,具体配置请参见NMS附带的网管手册 |
图1-18 通过NMS方式登录组网环境
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
