- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
02-登录交换引擎配置
本章节下载: 02-登录交换引擎配置 (806.22 KB)
2.3.3 配置通过Telnet Client登录交换引擎时无需认证(None)
2.3.4 配置通过Telnet Client登录交换引擎时采用密码认证(Password)
2.3.5 配置通过Telnet Client登录交换引擎时采用AAA认证(Scheme)
2.3.7 配置交换引擎充当Telnet Client登录其它设备
· 本文所指的设备(device)可以代表WX3000E系列有线无线一体化交换机的交换引擎。
· WX3000E系列有线无线一体化交换机包括WX3024E和WX3010E有线无线一体化交换机。
· 本手册中出现的端口编号仅作示例,并不代表设备上实际具有此编号的端口,实际使用中请以设备上存在的端口编号为准。
用户可以通过以下几种方式登录到交换引擎上,对交换引擎进行配置和管理:
|
登录方式及介绍 |
各种登录方式缺省状况分析 |
|
|
通过CLI登录交换引擎 |
缺省情况下,用户可以直接通过OAP方式登录交换引擎,登录时认证方式为None(不需要用户名和密码),登录用户级别为3 |
|
|
缺省情况下,用户可以直接通过Telnet方式登录交换引擎。用户名为admin,密码为admin,IP地址为192.168.0.101,登录用户级别为3 |
||
|
缺省情况下,用户不能直接通过SSH方式登录交换引擎。如需采用SSH方式登录,需要先通过OAP方式登录交换引擎、并完成如下配置: · 开启交换引擎SSH功能并完成SSH属性的配置(根据产品缺省情况选择) · 配置交换引擎VLAN接口的IP地址,确保交换引擎与SSH登录用户间路由可达(缺省情况下,接口VLAN1的IP地址为192.168.0.101) · 配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用Password认证方式) 配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0) |
||
|
缺省情况下,用户可以直接通过Web登录交换引擎。用户名为admin,密码为admin,IP地址为192.168.0.101,登录用户级别为3 |
||
|
缺省情况下,用户不能直接通过NMS登录交换引擎。如需采用NMS方式登录,需要先通过OAP方式登录交换引擎,并完成如下配置: · 配置交换引擎的VLAN接口的IP地址,确保交换引擎与NMS登录用户间路由可达(缺省情况下,接口VLAN1的IP地址为192.168.0.101) · 配置SNMP基本参数 |
||
在以下的章节中,将分别为您介绍如何通过OAP、Telnet及NMS登录到交换引擎上。
当用户使用OAP、Telnet或者SSH方式登录交换引擎的时候,系统会分配一个用户界面(也称为Line)用来管理、监控交换引擎和用户间的当前会话。每个用户界面有对应的用户界面视图(User-interface view),在用户界面视图下网络管理员可以配置一系列参数,比如用户登录时是否需要认证以及用户登录后的级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的。
目前系统支持的命令行配置方式有:
· OAP方式本地配置
· Telnet或SSH本地或远程配置
与这些配置方式对应的是两种类型的用户界面:
· AUX用户界面:系统提供的通过OAP方式登录的视图,用来管理和监控通过OAP方式登录的用户。第一次使用交换引擎时,需要通过OAP方式对交换引擎进行配置。
· VTY(Virtual Type Terminal,虚拟类型终端)用户界面:用来管理和监控通过VTY方式登录的用户,用于对交换引擎进行Telnet或SSH访问。
用户界面的管理和监控对象是使用某种方式登录的用户,一个用户界面某一时刻只能被一个用户使用,但它并不针对某个用户。比如用户A使用OAP方式登录交换引擎时,将受到AUX用户界面视图下配置的约束,当使用VTY 1登录交换引擎时,将受到VTY 1用户界面视图下配置的约束。
WX3000E系列有线无线一体化交换机交换引擎提供一个AUX用户界面、十六个VTY用户界面,这些用户界面与用户并没有固定的对应关系。用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的相应类型的用户界面,整个登录过程将受该用户界面视图下配置的约束。同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时机不同,分配的用户界面可能不同。
用户界面的编号有两种方式:绝对编号方式和相对编号方式。
使用绝对编号方式,可以唯一的指定一个用户界面或一组用户界面。绝对编号从0开始自动编号,每次增长1,先给AUX用户界面编号,然后是VTY用户界面编号。使用display user-interface(不带参数)可查看到交换引擎当前支持的用户界面以及它们的绝对编号。
相对编号是每种类型用户界面的内部编号。该方式只能指定某种类型的用户界面中的一个或一组,而不能跨类型操作。
相对编号方式的形式是:“用户界面类型 编号”,遵守如下规则:
· 控制台的相对编号为AUX 0。
CLI(命令行接口)是用户与交换引擎之间的文本类指令交互界面,用户键入文本类命令,通过输入回车键提交交换引擎执行相关命令,用户可以输入命令对交换引擎进行配置,并可以通过查看输出的信息确认配置结果,方便用户配置和管理交换引擎。
通过CLI登录交换引擎包括:通过OAP、Telnet或SSH三种登录方式。当您使用OAP、Telnet或SSH登录交换引擎时,都需要使用CLI来与交换引擎进行交互。
· 缺省情况下,用户可直接在无线控制引擎侧通过OAP方式登录交换引擎;
· 缺省情况下,用户可以通过Telnet、SSH登录交换引擎。
因此,用户需要对这些登录方式进行相应的配置,来增加交换引擎的安全性及可管理性。
以下章节将分别为您介绍如何通过OAP、Telnet及SSH登录到WX3000E系列的交换引擎,并配置通过Telne和SSH登录交换引擎时的认证方式、用户级别及公共属性,来实现对登录用户的控制和管理。
OAA(Open Application Architecture,开放应用架构)是一个开放的软、硬件体系。第三方合作厂商可以根据自己的优势生产具有特殊功能的产品,只要这些产品遵循OAA标准接口,就可以互相兼容,使单一网络产品的功能得到扩充,为客户创造更大的价值。
OAP(Open Application Platform,开放应用平台)是基于OAA架构的物理平台。它可以是一台独立的网络设备,也可以是一块插卡或应用程序,作为设备的扩展结构。OAP上运行独立的操作系统,客户可根据需要在该操作系统下加载无线、安全、语音等业务软件,为客户提供多样化的服务。
通过设备上的Console口可以登录到无线控制引擎上,从无线控制引擎侧通过以下操作可以重定向连接到交换引擎的操作系统,显示界面将从无线控制引擎的命令行操作界面切换到交换引擎操作系统的操作界面,从而可以对交换引擎上的系统及应用软件进行管理。切换以后,可以通过快捷键<Ctrl+k>返回到无线控制引擎的命令行操作界面。
表2-1 从无线控制引擎侧通过OAP方式登录到交换引擎
|
命令 |
说明 |
|
|
从无线控制引擎侧通过OAP方式登录到交换引擎 |
oap connect slot 0 |
必选 该操作在用户视图下执行 |
在设备的OAA架构中,无线控制引擎和交换引擎集成在一台设备上。然而,对于基于snmpUDPDomain的网络管理服务器(NMS)来说,无线控制引擎和交换引擎分别是独立的SNMP Agent。从物理角度看,两个SNMP Agent在同一被管理对象上;从逻辑角度看,两个SNMP Agent分属于两个不同的系统,各自独立管理无线控制引擎/交换引擎上的MIB对象。当使用NMS对无线控制引擎和交换引擎在同一界面进行管理时,必须先获取各个独立SNMP Agent的管理IP地址以及SNMP Agent之间的链接关系,才能访问SNMP Agent。
配置OAP软件系统的管理IP地址前,必须在OAP软件系统所在的引擎侧配置相同的IP地址,否则,NMS不能通过该管理IP地址访问OAP软件系统。
表2-2 设置OAP软件系统的管理IP地址
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置OAP软件系统的管理IP地址 |
oap management-ip ip-address slot 0 |
可选 缺省情况下,交换引擎的管理IP为192.168.0.101/24,无线控制引擎的管理IP为192.168.0.100/24 |
这里为了区分无线控制引擎和交换引擎,用device表示无线控制引擎,用device_LSW表示交换引擎。
(1) 在交换引擎侧配置OAP软件系统的管理IP地址;
<device_LSW>system-view
[device_LSW]interface Vlan-interface 1
[device_LSW-Vlan-interface1]ip address 192.168.0.100 24
按<Ctrl+k>返回到无线控制引擎的命令行操作界面。
(2) 在无线控制引擎上设置SNMP Agent的管理IP地址;
<device>system-view
[device]oap management-ip 192.168.0.100 slot 0
(1) 在无线控制引擎侧配置OAP软件系统的管理IP地址;
<device >system-view
[device]interface Vlan-interface 1
[device-Vlan-interface1]ip address 192.168.0.101 24
(2) 登录交换引擎,并在交换引擎上设置SNMP Agent的管理IP地址;
<device>oap connect slot 0
Connected to OAP!
<device_LSW>system-view
[device_LSW]oap management-ip 192.168.0.101 slot 0
在交换引擎的操作系统出现故障或其他异常情况下,可以通过下面的命令复位OAP软件系统。
表2-3 复位OAP单板系统
|
操作 |
命令 |
说明 |
|
复位OAP软件系统 |
oap reboot slot 0 |
必选 该操作在用户视图下执行 |
复位操作可能会造成数据丢失以及业务中止,因此执行此操作请前先保存操作系统的业务数据,以免业务中止及硬盘数据丢失等情况发生。
交换引擎支持Telnet功能,用户可以通过Telnet方式登录到交换引擎上,对交换引擎进行远程管理和维护。如图2-1。
图2-1 通过Telnet登录交换引擎示意图
表2-4 采用Telnet方式登录需要具备的条件
|
对象 |
需要具备的条件 |
|
Telnet服务器端 |
配置交换引擎VLAN的IP地址,交换引擎与Telnet用户间路由可达 |
|
配置Telnet登录的认证方式和其它配置(根据Telnet服务器端的情况而定) |
|
|
Telnet客户端 |
运行Telnet程序 |
|
获取要登录设备VLAN接口的IP地址 |
交换引擎充当Telnet Client:
· 交换引擎支持Telnet Client功能、可作为Telnet Client登录到Telnet Server上,从而对其进行操作。
· 缺省情况下,交换引擎的Telnet Client功能处于开启状态。
交换引擎充当Telnet Server:
· 交换引擎支持Telnet Server功能、可作为Telnet Server,并可在交换引擎上进行一系列的配置,从而实现对不同Telnet Client登录的具体认证方式、用户级别等方面的控制与管理。
· 缺省情况下,交换引擎的Telnet Server功能处于使能状态,用户名为admin,密码为admin,IP地址为192.168.0.101,登录用户级别为3。
本节将为您介绍交换引擎充当Telnet服务器端时:
· 交换引擎支持的各种登录认证方式及配置Telnet登录认证方式的意义、各种认证方式的特点及注意事项。具体介绍请参见2.3.2 Telnet登录的认证方式介绍。
· 当用户确定了今后通过Telnet客户端登录交换引擎时将采用何种认证方式后、并已成功登录到交换引擎后,用户如何在交换引擎上配置Telnet客户端登录交换引擎时的认证方式、用户级别及公共属性,从而实现对Telnet登录用户的控制和管理。具体介绍请参见2.3.3 配置通过Telnet Client登录交换引擎时无需认证(None)、2.3.4 配置通过Telnet Client登录交换引擎时采用密码认证(Password)及2.3.5 配置通过Telnet Client登录交换引擎时采用AAA认证(Scheme)。
· 配置通过Telnet登录交换引擎时的公共属性。具体介绍请参见2.3.6 配置VTY用户界面的公共属性(可选)。
本节还将为您介绍交换引擎充当Telnet客户端、Telnet登录到Server时的配置,具体请参见2.3.7 配置交换引擎充当Telnet Client登录其它设备。
通过在Telnet的用户界面下配置认证方式,可以对使用Telnet登录的用户进行限制,以提高交换引擎的安全性。通过Telnet登录支持的认证方式有none、password和scheme三种。
· 认证方式为none:表示下次使用Telnet登录交换引擎时不需要进行用户名和密码认证,任何人都可以通过Telnet登录到交换引擎上,这种情况可能会带来安全隐患。
· 认证方式为password:表示下次使用Telnet登录交换引擎时需要进行密码认证,只有密码认证成功,用户才能登录到交换引擎上。配置认证方式为password后,请妥善保存密码,如果密码丢失,可以通过OAP方式登录到交换引擎,对Telnet的密码配置进行查看或修改。
· 认证方式为scheme:表示下次使用Telnet登录交换引擎时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA配置”。配置认证方式为scheme后,请妥善保存用户名及密码,如果本地认证密码丢失,可以通过OAP方式登录到交换引擎,对Telnet的密码配置进行查看或修改。如果远程认证密码丢失,建议您联系服务器管理员。
不同的认证方式下,Telnet登录方式需要进行的配置不同,具体配置如表2-5所示。
表2-5 配置Telnet登录的认证方式
|
认证方式 |
认证所需配置 |
说明 |
||
|
None |
设置登录用户的认证方式为不认证 |
具体内容请参见2.3.3 |
||
|
Password |
设置登录用户的认证方式为Password认证 |
具体内容请参见2.3.4 |
||
|
设置本地验证的口令 |
||||
|
Scheme |
设置登录用户的认证方式为Scheme认证 |
具体内容请参见2.3.5 |
||
|
选择认证方案 |
采用远端AAA服务器认证 |
在交换引擎上配置RADIUS/HWTACACS方案 |
||
|
在交换引擎上配置域使用的AAA方案 |
||||
|
在AAA服务器上配置相关的用户名和密码 |
||||
|
采用本地认证 |
在交换引擎上配置认证用户名和密码 |
|||
|
在交换引擎上配置域使用的AAA方案为本地认证 |
||||
用户已经成功登录到了交换引擎上,并希望以后通过Telnet登录交换引擎时无需进行认证。
缺省情况下,用户可以直接通过OAP方式登录交换引擎,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录交换引擎,具体请参见2.2 配置通过OAP方式登录。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能交换引擎的Telnet服务 |
telnet server enable |
必选 缺省情况下,Telnet服务处于开启状态 |
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
设置VTY登录用户的认证方式为不认证 |
authentication-mode none |
必选 缺省情况下,VTY用户界面的认证方式为password |
|
配置从当前用户界面登录系统的用户所能访问的命令级别 |
user privilege level level |
必选 缺省情况下,通过VTY用户界面登录系统所能访问的命令级别是0 |
|
配置VTY用户界面的公共属性 |
- |
可选 详细配置请参见2.3.6 配置VTY用户界面的公共属性(可选) |
配置完成后,当用户再次通过Telnet登录交换引擎时:
· 用户将直接进入VTY用户界面。
· 如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到交换引擎的用户过多,则请稍候再连接。
用户已经成功登录到了交换引擎上,并希望以后通过Telnet登录交换引擎时需要进行密码认证。
缺省情况下,用户可以直接通过OAP方式登录交换引擎,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录交换引擎,具体请参见2.2 配置通过OAP方式登录。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能交换引擎的Telnet服务 |
telnet server enable |
必选 缺省情况下,Telnet服务处于开启态 |
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
设置登录用户的认证方式为本地口令认证 |
authentication-mode password |
必选 缺省情况下,VTY用户界面的认证方式为password |
|
设置本地验证的口令 |
set authentication password { cipher | simple } password |
必选 缺省情况下,没有设置本地认证的口令 |
|
配置从当前用户界面登录系统的用户所能访问的命令级别 |
user privilege level level |
必选 缺省情况下,通过VTY用户界面登录系统所能访问的命令级别是0 |
|
配置VTY用户界面的公共属性 |
- |
可选 详细配置请参见2.3.6 配置VTY用户界面的公共属性(可选) |
配置完成后,当用户再次通过Telnet登录交换引擎时:
· 交换引擎将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<sysname>)。
· 如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到交换引擎的用户过多,则请稍候再连接。
用户已经成功登录到了交换引擎上,并希望将交换引擎作为Telnet Server从而登录交换引擎时需要进行AAA认证。
缺省情况下,用户可以直接通过OAP方式登录交换引擎,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录交换引擎,具体请参见2.2 配置通过OAP方式登录。
表2-8 配置用户通过Telnet登录交换引擎时采用AAA认证
|
操作 |
命令 |
说明 |
||
|
进入系统视图 |
system-view |
- |
||
|
使能交换引擎的Telnet服务 |
telnet server enable |
必选 缺省情况下,Telnet服务处于开启状态 |
||
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
||
|
设置登录用户的认证方式为通过认证方案认证 |
authentication-mode scheme |
必选 具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定 缺省情况下采用本地认证方式 |
||
|
使能命令行授权功能 |
command authorization |
可选 缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权 · 缺省情况下,用户登录交换引擎后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。 · 需要注意的是,执行此命令后,命令行授权功能将立即生效,此后执行的命令都要经过AAA授权后才能执行成功,因此请先完成对AAA授权及AAA服务器的配置,再使能此功能 |
||
|
使能命令行计费功能 |
command accounting |
可选 缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行 · 命令行计费功能用来在HWTACACS服务器上记录用户对交换引擎执行过的命令(只要交换引擎支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对交换引擎的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。 · 需要注意的是,执行此命令后,命令行计费功能将立即生效,因此请先完成对AAA计费及AAA服务器的配置,再使能此功能 |
||
|
退出至系统视图 |
quit |
- |
||
|
配置交换引擎采用的认证方案 |
进入ISP域视图 |
domain domain-name |
可选 缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置: · 交换引擎上的配置请参见“安全配置指导”中的“AAA配置” · AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
|
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
|||
|
退出至系统视图 |
quit |
|||
|
创建本地用户(进入本地用户视图) |
local-user user-name |
缺省情况下,无本地用户 |
||
|
设置本地认证口令 |
password { cipher | simple } password |
必选 缺省情况下,没有配置本地认证口令 |
||
|
设置VTY用户的命令级别 |
authorization-attribute level level |
可选 缺省情况下,命令级别为0 |
||
|
设置VTY用户的服务类型 |
service-type telnet |
必选 缺省情况下,无用户的服务类型 |
||
|
退出至系统视图 |
quit |
- |
||
|
配置VTY用户界面的公共属性 |
- |
可选 详细配置请参见2.3.6 配置VTY用户界面的公共属性(可选) |
||
使能命令行授权功能后,还需要进行如下配置才能保证命令行授权功能生效:
· 需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA配置”。
· 需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA配置”。
使能命令行计费功能后,还需要进行如下配置才能保证命令行计费功能生效:
· 需要创建HWTACACS方案,在方案中指定计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA配置”。
· 需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA配置”。
需要注意的是用户采用Scheme认证方式登录交换引擎时,其所能访问的命令级别取决于AAA方案中定义的用户级别。
· AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。
· AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。
有关AAA、RADIUS、HWTACACS的详细内容,请参见“安全配置指导”中的“AAA配置”的介绍。
配置完成后,当用户再次通过Telnet登录交换引擎时:
· 交换引擎将要求用户输入登录用户名和密码,正确输入用户名和密码并回车,登录界面中出现命令行提示符(如<sysname>)。
· 如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到交换引擎的用户过多,则请稍候再连接。
表2-9 VTY用户界面的公共属性配置
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
使能显示版权信息 |
copyright-info enable |
可选 缺省情况下,显示版权信息处于使能状态 |
|
|
为Telnet Client指定业务报文源地址或源接口 |
telnet client source { ip ip-address | interface interface-type interface-number } |
可选 缺省情况下,没有为Telnet Client指定源地址或源接口 |
|
|
创建VLAN接口并进入VLAN接口视图 |
interface vlan-interface vlan-interface-id |
必选 如果该VLAN接口已经存在,则直接进入该VLAN接口视图 |
|
|
配置VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } |
必选 缺省情况下,没有配置VLAN接口的IP地址 |
|
|
退出至系统视图 |
quit |
- |
|
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
|
VTY用户界面配置 |
启动终端服务 |
shell |
可选 缺省情况下,在所有的用户界面上启动终端服务 |
|
配置VTY用户界面支持的协议 |
protocol inbound { all | ssh | telnet } |
可选 缺省情况下,交换引擎同时支持Telnet和SSH协议 使用该命令配置的协议将在用户下次使用该用户界面登录时生效 |
|
|
配置中止当前运行任务的快捷键 |
escape-key { default | character } |
可选 缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
|
|
配置终端的显示类型 |
terminal type { ansi | vt100 } |
可选 缺省情况下,终端显示类型为ANSI |
|
|
设置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏显示功能 |
|
|
设置交换引擎历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令 |
|
|
设置VTY用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟 如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
|
|
设置从用户界面登录后自动执行的命令 |
auto-execute command command |
可选 缺省情况下,未设定自动执行命令 配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接。该命令通常用来配置Telnet命令,使用户登录时自动连接到指定的主机 |
|
· 使用auto-execute command命令后,可能导致用户不能通过该终端线对本系统进行常规配置,需谨慎使用。
· 在配置auto-execute command命令并保存配置(执行save操作)之前,要确保可以通过其他VTY、AUX用户登录进来更改配置,以便出现问题后,能删除该配置。
用户已经成功登录到了交换引擎上,并希望将当前交换引擎作为Telnet Client登录到Telnet Server上进行操作。具体请参见图2-2所示。
缺省情况下,用户可以直接通过OAP方式登录交换引擎,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录交换引擎,具体请参见2.2 配置通过OAP方式登录。
如果Telnet Client与Telnet Server相连的端口不在同一子网内,请确保它们之间路由可达。
表2-10 交换引擎作为Telnet Client登录到Telnet Server的配置
|
操作 |
命令 |
说明 |
|
交换引擎作为Telnet Client登录到Telnet Server |
telnet remote-host [ service-port ] [ [ source { interface interface-type interface-number | ip ip-address } ] ] |
可选 此命令在用户视图下执行 |
配置完成后,交换引擎即可登录到相应的Telnet Server上。
SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到交换引擎时,SSH可以利用加密和强大的认证功能提供安全保障,保护交换引擎不受诸如IP地址欺诈、明文密码截取等攻击。交换引擎支持SSH功能,用户可以通过SSH方式登录到交换引擎上,对交换引擎进行远程管理和维护如图2-3所示。
表2-11 采用SSH方式登录需要具备的条件
|
对象 |
需要具备的条件 |
|
SSH服务器端 |
配置交换引擎VLAN接口的IP地址,交换引擎与SSH用户间路由可达 |
|
配置SSH登录的认证方式和其它配置(根据SSH服务器端的情况而定) |
|
|
SSH客户端 |
运行SSH程序 |
|
获取要登录交换引擎VLAN接口的IP地址 |
交换引擎充当SSH Client:
· 交换引擎支持SSH Client功能:可作为SSH Client登录到SSH Server上,从而对其进行操作。
· 缺省情况下,交换引擎的SSH Client功能处于开启状态。
交换引擎充当SSH Server:
· 交换引擎支持SSH Server功能:可作为SSH Server,并可在交换引擎上进行一系列的配置、实现对不同SSH Client的登录权限的控制。
· 缺省情况下,交换引擎的SSH Server功能处于关闭状态,因此当您使用SSH方式登录交换引擎前,首先需要通过OAP方式登录到交换引擎上,开启交换引擎的SSH Server功能、对认证方式及其它属性进行相应的配置,才能保证通过SSH方式正常登录到交换引擎。
本节将为您介绍:
· 交换引擎充当SSH服务器端时:当用户确定了今后通过SSH客户端登录交换引擎、并已成功登录到交换引擎后,用户如何在交换引擎上配置SSH客户端登录交换引擎时的认证方式及其它属性,从而实现对SSH登录用户的控制和管理。
· 交换引擎充当SSH客户端时:交换引擎SSH登录到Server时的配置,具体请参见2.4.3 配置交换引擎充当SSH客户端登录其它设备。
用户已经成功登录到了交换引擎上,并希望以后通过SSH Client登录交换引擎。
缺省情况下,用户可以直接通过OAP方式本地登录交换引擎,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。
表2-12 交换引擎充当SSH服务器时的配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
生成本地DSA或RSA密钥对 |
public-key local create { dsa | rsa } |
必选 缺省情况下,没有生成DSA和RSA密钥对 |
|
使能SSH服务器功能 |
ssh server enable |
必选 缺省情况下,SSH服务器功能处于关闭状态 |
|
进入VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
配置登录用户界面的认证方式为scheme方式 |
authentication-mode scheme |
必选 缺省情况下,用户界面认证为password方式 |
|
配置所在用户界面支持SSH协议 |
protocol inbound { all | ssh | telnet } |
可选 缺省情况下,系统支持所有的协议,即支持Telnet和SSH |
|
创建本地用户(进入本地用户视图) |
local-user user-name |
必选 缺省情况下,没有配置本地用户 |
|
设置本地认证口令 |
password { cipher | simple } password |
必选 缺省情况下,没有配置本地认证口令 |
|
设置VTY用户的命令级别 |
authorization-attribute level level |
可选 缺省情况下,命令级别为0 |
|
设置VTY用户的服务类型 |
service-type ssh |
必选 缺省情况下,无用户的服务类型 |
|
退出至系统视图 |
quit |
- |
|
建立SSH用户,并指定SSH用户的认证方式 |
ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname } |
必选 没有配置SSH用户及SSH用户的认证方式 |
|
配置VTY用户界面的公共属性 |
- |
可选 详细配置请参见2.3.6 配置VTY用户界面的公共属性(可选) |
关于SSH的详细介绍及配置,请参见“安全配置指导”中的“SSH2.0配置”。
用户已经成功登录到了交换引擎上,并希望将当前交换引擎作为SSH Client登录到其它设备上进行操作。具体请参见图2-2所示。
缺省情况下,用户可以直接通过OAP方式登录交换引擎,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录交换引擎,具体请参见2.2 配置通过OAP方式登录。
图2-4 通过交换机设备登录到其它交换机设备
如果SSH Client与SSH Server相连的端口不在同一子网内,请确保两台设备间路由可达。
表2-13 交换引擎作为SSH Client登录到其它设备的配置
|
操作 |
命令 |
说明 |
|
交换引擎作为SSH Client登录到SSH IPv4服务器端 |
ssh2 server |
必选 server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写 此命令在用户视图下执行 |
|
交换引擎作为SSH Client登录到SSH IPv6服务器端 |
ssh2 ipv6 server |
必选 server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写。 |
配置完成后,交换引擎即可登录到相应的SSH Server上。
表2-14 CLI显示和维护
|
操作 |
命令 |
说明 |
|
显示当前为Telnet Client设置的源IP地址或源接口的信息 |
display telnet client configuration [ | { begin | exclude | include } regular-expression ] |
在任意视图下执行 |
|
显示当前正在使用的用户界面以及用户的相关信息 |
display users [ | { begin | exclude | include } regular-expression ] |
在任意视图下执行 |
|
显示交换引擎支持的所有用户界面以及用户的相关信息 |
display users all [ | { begin | exclude | include } regular-expression ] |
在任意视图下执行 |
|
显示用户界面的相关信息 |
display user-interface [ num1 | { aux | vty } num2 ] [ summary ] [ | { begin | exclude | include } regular-expression ] |
在任意视图下执行 |
|
释放指定的用户界面 |
free user-interface { num1 | { aux | vty } num2 } |
在用户视图下执行 系统支持多个用户同时对交换引擎进行配置,当管理员在维护交换引擎时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以使用以下命令强制断开该用户的连接。 不能使用该命令释放用户当前自己使用的连接。 |
|
锁住当前用户界面 |
lock |
在用户视图下执行 缺省情况下,不锁住当前用户界面 |
|
设置在用户界面之间传递消息 |
send { all | num1 | { aux | vty } num2 } |
在用户视图下执行 |
为了方便您对网络交换引擎进行配置和维护,交换引擎提供Web网管功能。交换引擎提供一个内置的Web服务器,您可以通过PC登录到交换引擎上,使用Web界面直观地配置和维护交换引擎。
缺省情况下,用户可以通过Web登录到交换引擎上,用户名为admin,密码为admin,IP地址为192.168.0.101,登录用户级别为3。
· HTTP登录方式:HTTP是Hypertext Transfer Protocol(超文本传输协议)的简称。它用来在Internet上传递Web页面信息。HTTP位于TCP/IP协议栈的应用层。传输层采用面向连接的TCP。目前,交换引擎支持的HTTP协议版本为HTTP/1.0。
· HTTPS登录方式:HTTPS(Secure HTTP,安全的HTTP)是支持SSL(Secure Sockets Layer,安全套接层)协议的HTTP协议。HTTPS通过SSL协议,使客户端与交换引擎之间交互的数据经过加密处理,并为交换引擎制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问交换引擎,禁止非法的客户端访问交换引擎,从而实现了对交换引擎的安全管理。
表3-1 通过Web登录交换引擎需要具备的条件
|
对象 |
需要具备的条件 |
|
|
交换引擎 |
配置交换引擎VLAN的IP地址,交换引擎与Web登录用户间路由可达 |
|
|
配置Web登录用户的属性 二者必选其一 |
HTTP方式配置 |
|
|
HTTPS方式配置 |
||
|
Web登录用户 |
运行Web浏览器 |
|
|
获取要登录交换引擎VLAN接口的IP地址 |
||
本节将为您介绍如何通过Web登录交换引擎,并配置通过Web登录时的认证方式及用户级别等,实现对Web登录用户的控制。
表3-2 配置通过HTTP方式登录交换引擎
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启动HTTP服务器 |
ip http enable |
必选 缺省情况下,Web服务器为启动状态 |
|
配置HTTP服务的端口号 |
ip http port port-number |
可选 缺省情况下,HTTP服务的端口号为80 如果重复执行此命令,HTTP服务将使用最后一次配置的端口号 |
|
配置HTTP服务与ACL关联 |
ip http acl acl-number |
可选 缺省情况下,没有ACL与HTTP服务关联 通过将HTTP服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问交换引擎 |
|
创建本地用户(进入本地用户视图) |
local-user user-name |
必选 缺省情况下,无本地用户 |
|
配置本地认证口令 |
password { cipher | simple } password |
必选 缺省情况下,无本地认证口令 |
|
配置Web登录的用户级别 |
authorization-attribute level level |
必选 缺省情况下,没有配置Web登录的用户级别 |
|
配置Web登录用户的服务类型 |
service-type telnet |
必选 缺省情况下,没有配置用户的服务类型 |
|
退出至系统视图 |
quit |
- |
|
创建VLAN接口并进入VLAN接口视图 |
interface vlan-interface vlan-interface-id |
必选 如果该VLAN接口已经存在,则直接进入该VLAN接口视图 |
|
配置VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } |
必选 缺省情况下,没有配置VLAN接口的IP地址 |
表3-3 配置通过HTTPS方式登录交换引擎
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置PKI和SSL的相关特性 |
· 有关PKI的详细内容,请参见“安全配置指导”中的“PKI配置”的介绍 · 有关SSL的详细内容,请参见“安全配置指导”中的“SSL配置”的介绍 |
必选 缺省情况下,没有对PKI和SSL进行配置 |
|
配置HTTPS服务与SSL服务器端策略关联 |
ip https ssl-server-policy policy-name |
必选 缺省情况下,没有SSL服务器端策略与HTTPS服务关联 · 关闭HTTPS服务后,系统将自动取消HTTPS服务与SSL服务器端策略的关联。再次使能HTTPS服务之前,需要重新配置HTTPS服务与SSL服务器端策略关联 · HTTPS服务处于使能状态时,对与其关联的SSL服务器端策略进行的修改不会生效 |
|
配置HTTPS服务与证书属性访问控制策略关联 |
ip https certificate access-control-policy policy-name |
可选 缺省情况下,没有证书属性访问控制策略与HTTPS服务关联 · 通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制,进一步保证交换引擎的安全性 · 如果配置HTTPS服务与证书属性访问控制策略关联,则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verify enable命令,否则,客户端无法登录交换引擎。 · 如果配置HTTPS服务与证书属性访问控制策略关联,则证书属性访问控制策略中必须至少包括一条permit规则,否则任何HTTPS客户端都无法登录交换引擎。 · 证书属性访问控制策略的详细介绍请参见“安全配置指导”中的“PKI配置” |
|
使能HTTPS服务 |
ip https enable |
必选 缺省情况下,HTTPS服务处于关闭状态 使能HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果交换引擎的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果交换引擎的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。因此,在这种情况下,需要多次执行ip https enable命令,这样HTTPS服务才能正常启动 |
|
配置HTTPS服务的端口 |
ip https port port-number |
可选 缺省情况下,HTTPS服务的端口号为443 |
|
配置HTTPS服务与ACL关联 |
ip https acl acl-number |
必选 缺省情况下,没有ACL与HTTPS服务关联 通过将HTTP服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问交换引擎 |
|
创建本地用户(进入本地用户视图) |
local-user user-name |
必选 缺省情况下,无本地用户 |
|
配置本地认证口令 |
password { cipher | simple } password |
必选 缺省情况下,无本地认证口令 |
|
配置Web登录的用户级别 |
authorization-attribute level level |
必选 缺省情况下,没有配置Web登录的用户级别 |
|
配置Web登录用户的服务类型 |
service-type telnet |
必选 缺省情况下,没有配置用户的服务类型 |
|
退出至系统视图 |
quit |
- |
|
创建VLAN接口并进入VLAN接口视图 |
interface vlan-interface vlan-interface-id |
必选 如果该VLAN接口已经存在,则直接进入该VLAN接口视图 |
|
配置VLAN接口的IP地址 |
ip address ip-address { mask | mask-length } |
必选 缺省情况下,没有配置VLAN接口的IP地址 |
在完成上述配置后,在任意视图下执行display命令可以显示Web用户的信息,通过查看显示信息验证配置的效果。
表3-4 Web用户显示
|
操作 |
命令 |
|
显示Web用户的相关信息 |
display web users [ | { begin | exclude | include } regular-expression ] |
|
显示HTTP的状态信息 |
display ip http [ | { begin | exclude | include } regular-expression ] |
|
显示HTTPS的状态信息 |
display ip https [ | { begin | exclude | include } regular-expression ] |
PC与设备通过以太网相连,设备的IP地址为192.168.0.58/24。
图3-1 配置NMS登录组网图
(1) 设备侧配置
# 配置设备VLAN 1(VLAN 1为设备的缺省VLAN)接口的IP地址为192.168.0.58,子网掩码为255.255.255.0。
<Sysname> system-view
[Sysname] interface vlan-interface 1
[Sysname-VLAN-interface1] ip address 192.168.0.58 255.255.255.0
[Sysname-VLAN-interface1] quit
# 配置Web网管用户名为admin,认证口令为admin,用户级别为3级。
[Sysname] local-user admin
[Sysname-luser-admin] service-type telnet
[Sysname-luser-admin] authorization-attribute level 3
[Sysname-luser-admin] password simple admin
(2) 客户端配置
# 在PC的浏览器地址栏内输入设备的IP地址(此处设备的IP地址以192.168.0.58为例)并回车,浏览器将显示Web网管的登录页面,如图3-2所示:
图3-2 通过Web登录设备
# 在“Web网管用户登录”对话框中输入用户名、密码及验证码,并选择登录使用的语言,点击<登录>按钮后即可登录,显示Web网管初始页面。成功登录后,您可以在配置区对设备进行各种配置。
用户可以通过Web页面访问和控制设备。为了防止非法用户访问和控制设备,提高设备管理的安全性,设备要求用户以HTTPS(HTTP Security,支持SSL协议的HTTP)的方式登录Web页面,利用SSL协议实现用户身份验证,并保证传输的数据不被窃听和篡改。
为了满足上述需求,需要进行如下配置:
· 配置Device作为HTTPS服务器,并为Device申请证书。
· 为HTTPS客户端Host申请证书,以便Device验证其身份。
其中,负责为Device和Host颁发证书的CA(Certificate Authority,认证机构)名称为new-ca。
· 本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。
· 进行下面的配置之前,需要确保Device、Host、CA之间路由可达。
图3-3 HTTPS配置组网图
(1) 配置HTTPS服务器Device
# 配置PKI实体en,指定实体的通用名为http-server1、FQDN为ssl.security.com。
<Device> system-view
[Device] pki entity en
[Device-pki-entity-en] common-name http-server1
[Device-pki-entity-en] fqdn ssl.security.com
[Device-pki-entity-en] quit
# 配置PKI域1,指定信任的CA名称为new-ca、注册服务器的URL为http://10.1.2.2/certsrv/mscep/mscep.dll、证书申请的注册受理机构为RA、实体名称为en。
[Device] pki domain 1
[Device-pki-domain-1] ca identifier new-ca
[Device-pki-domain-1] certificate request url http://10.1.2.2/certsrv/mscep/mscep.dll
[Device-pki-domain-1] certificate request from ra
[Device-pki-domain-1] certificate request entity en
[Device-pki-domain-1] quit
# 生成本地的RSA密钥对。
[Device] public-key loc al create rsa
# 获取CA的证书。
[Device] pki retrieval-certificate ca domain 1
# 为Device申请证书。
[Device] pki request-certificate domain 1
# 创建SSL服务器端策略myssl,指定该策略使用PKI域1,并配置服务器端需要验证客户端身份。
[Device] ssl server-policy myssl
[Device-ssl-server-policy-myssl] pki-domain 1
[Device-ssl-server-policy-myssl] client-verify enable
[Device-ssl-server-policy-myssl] quit
# 创建证书属性组mygroup1,并配置证书属性规则,该规则规定证书颁发者的DN(Distinguished Name,可识别名称)中包含new-ca。
[Device] pki certificate attribute-group mygroup1
[Device-pki-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca
[Device-pki-cert-attribute-group-mygroup1] quit
# 创建证书访问控制策略myacp,并建立控制规则,该规则规定只有由new-ca颁发的证书可以通过证书访问控制策略的检测。
[Device] pki certificate access-control-policy myacp
[Device-pki-cert-acp-myacp] rule 1 permit mygroup1
[Device-pki-cert-acp-myacp] quit
# 配置HTTPS服务与SSL服务器端策略myssl关联。
[Device] ip https ssl-server-policy myssl
# 配置HTTPS服务与证书属性访问控制策略myacp关联,确保只有从new-ca获取证书的HTTPS客户端可以访问HTTPS服务器。
[Device] ip https certificate access-control-policy myacp
# 使能HTTPS服务。
[Device] ip https enable
# 创建本地用户usera,密码为123,服务类型为web。
[Device] local-user usera
[Device-luser-usera] password simple 123
[Device-luser-usera] service-type telnet
(2) 配置HTTPS客户端Host
在Host上打开IE浏览器,输入网址http://10.1.2.2/certsrv,根据提示为Host申请证书。
(3) 验证配置结果
在Host上打开IE浏览器,输入网址https://10.1.1.1,选择new-ca为Host颁发的证书,即可打开Device的Web登录页面。在登录页面,输入用户名usera,密码123,则可进入Device的Web配置页面,实现对Device的访问和控制。
· HTTPS服务器的URL地址以“https://”开始,HTTP服务器的URL地址以“http://”开始。
· PKI配置命令的详细介绍请参见“安全命令参考”中的“PKI配置命令”;
· public-key local create rsa命令的详细介绍请参见“安全命令参考”中的“公钥管理配置命令”;
· SSL配置命令的详细介绍请参见“安全命令参考”中的“SSL配置命令”。
用户可通过NMS(Network Management Station,网管工作站)登录到交换引擎上,通过交换引擎上的Agent模块对交换引擎进行管理、配置。交换引擎支持多种NMS软件,如iMC、CAMS等。
缺省情况下,用户不能通过NMS登录到交换引擎上,如果要使用NMS登录交换引擎,您首先需要通过OAP方式登录到交换引擎上,在交换引擎上进行相关配置。配置完成后,您即可使用NMS网管的方式登录交换引擎。
表4-1 通过NMS登录交换引擎需要具备的条件
|
对象 |
需要具备的条件 |
|
交换引擎 |
配置交换引擎VLAN接口的IP地址,交换引擎与NMS间路由可达 |
|
配置SNMP基本功能 |
|
|
NMS(网管工作站) |
NMS网管工作站进行了正确配置,具体配置请参见NMS附带的网管手册 |
建立配置环境,将PC机以太网口通过网络与交换引擎VLAN1下的以太网口连接,确保PC机和VLAN1接口之间路由可达。
图4-1 通过NMS方式登录组网环境
表4-2 配置SNMP基本参数(SNMP v3版本)
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启动SNMP Agent服务 |
snmp-agent |
可选 缺省情况下,SNMP Agent服务处于关闭状态 执行此命令或执行snmp-agent的任何一条配置命令(不含display命令),都可以启动SNMP Agent |
|
配置SNMP组 |
snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
必选 缺省情况下,没有配置SNMP组 |
|
为SNMP组添加新用户 |
snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ] |
必选 如果使用cipher参数,则后面的auth-password和priv-password都将被视为密文密码 |
表4-3 配置SNMP基本参数(SNMP v1版本、SNMP v2c版本)
|
操作 |
命令 |
说明 |
||
|
进入系统视图 |
system-view |
- |
||
|
启动SNMP Agent服务 |
snmp-agent |
可选 缺省情况下,SNMP Agent服务处于关闭状态。 执行此命令或执行snmp-agent的任何一条配置命令,都可以启动SNMP Agent |
||
|
创建或更新MIB视图内容 |
snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ] |
可选 缺省情况下,视图名为ViewDefault,OID为1 |
||
|
设置访问权限 |
直接设置 |
创建一个新的SNMP团体 |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]* |
二者必选其一 直接设置是以SNMP v1和v2c版本的团体名进行设置 间接设置采用与SNMP v3版本一致的命令形式,添加的用户到指定的组,即相当于SNMP v1和SNMP v2c版本的团体名,在NMS上配置的团体名需要跟Agent上配置的用户名一致 |
|
间接设置 |
设置一个SNMP组 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
||
|
为一个SNMP组添加一个新用户 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] |
|||
交换引擎支持SNMP v1、SNMP v2c和SNMP v3三种版本,关于SNMP的详细介绍及配置,请参见“网络管理和监控配置指导”中的“SNMP配置”介绍。
通过NMS登录交换引擎的方法如下(此处以iMC为例):
(1) 交换引擎配置
# 配置交换引擎的IP地址为1.1.1.1/24,并确保交换引擎与NMS之间路由可达。(配置步骤略)
# 进入系统视图。
<Sysname> system-view
# 启动SNMP Agent服务。
[Sysname] snmp-agent
# 配置SNMP组。
[Sysname] snmp-agent group v3 managev3group read-view test write-view test
# 为SNMP组添加新用户
[Sysname] snmp-agent usm-user v3 managev3user managev3group
(2) 配置NMS
用户可利用网管系统完成对交换引擎的查询和配置操作,具体情况请参考NMS的配套手册。
NMS侧的配置必须和交换引擎侧保持一致,否则无法进行相应操作。
(3) 配置客户端
在PC的浏览器地址栏内输入iMC的IP地址(此处以iMC的IP地址为192.168.4.112为例),如图4-2所示:在地址栏中输入http://192.168.4.112:8080/imc(IP地址和端口号应与实际安装环境保持一致)。
在登录页面中,输入正确的操作员和密码后单击<登录>按钮,即可进入系统首页,如图4-3所示。
图4-3 iMC配置界面
成功登录后,您可以选择相应选项对交换引擎进行各种配置和管理。需要帮助可以随时点击登录页面右上角的“帮助”选项获得相应功能的帮助信息。
通过以上配置,NMS可以和交换引擎建立SNMP连接,能够通过MIB节点查询、设置交换引擎上某些参数的值。
交换引擎提供对不同登录方式进行控制,如表5-1所示。
|
登录方式 |
控制方式 |
实现方法 |
相关小节 |
|
Telnet |
通过源IP对Telnet进行控制 |
通过基本ACL实现 |
|
|
通过源IP、目的IP对Telnet进行控制 |
通过高级ACL实现 |
||
|
通过源MAC对Telnet进行控制 |
通过二层ACL实现 |
||
|
SNMP |
通过源IP对网管用户进行控制 |
通过基本ACL实现 |
确定了对Telnet的控制策略,包括对哪些源IP、目的IP、源MAC进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL配置”的相关内容。
表5-2 通过源IP对Telnet进行控制
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建或进入基本ACL视图 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
|
定义子规则 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必选 |
|
退出ACL视图 |
quit |
- |
|
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用访问控制列表,通过源IP对Telnet进行控制 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必选 inbound:对Telnet到本交换引擎的用户进行ACL控制 outbound:对从本交换引擎Telnet到其他Telnet服务器的用户进行ACL控制 |
本配置需要通过高级访问控制列表实现。高级访问控制列表的序号取值范围为3000~3999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL配置”的相关内容。
表5-3 配置高级ACL规则
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建或进入高级ACL视图 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
|
定义子规则 |
rule [ rule-id ] { permit | deny } rule-string |
必选 用户可以根据需要配置对相应的源IP、目的IP进行过滤的规则 |
|
退出ACL视图 |
quit |
- |
|
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用访问控制列表,通过源IP、目的IP对Telnet进行控制 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必选 inbound:对Telnet到本交换引擎的用户进行ACL控制 outbound:对从本交换引擎Telnet到其他Telnet服务器的用户进行ACL控制 |
本配置需要通过二层访问控制列表实现。二层访问控制列表的序号取值范围为4000~4999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL配置”的相关内容。
表5-4 配置二层ACL规则
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建或进入高级ACL视图 |
acl number acl-number [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
|
定义子规则 |
rule [ rule-id ] { permit | deny } rule-string |
必选 用户可以根据需要配置对相应的源MAC进行过滤的规则 |
|
退出ACL视图 |
quit |
- |
|
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用访问控制列表,通过源MAC对Telnet进行控制 |
acl acl-number inbound |
必选 inbound:对Telnet到本交换引擎的用户进行ACL控制 |
二层访问控制列表对于Telnet Client的源IP与Telnet服务器的接口IP不在同一网段的不生效。
通过源IP对Telnet进行控制,仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问设备。
图5-1 对Device的Telnet用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用访问控制列表,允许源地址为10.110.100.52和10.110.100.46的Telnet用户访问设备。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] acl 2000 inbound
交换引擎支持通过网管软件进行远程管理。网管用户可以通过SNMP访问交换引擎。通过引用访问控制列表,可以对访问交换引擎的SNMP用户进行控制。
确定了对网管用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL配置”的相关内容。
表5-5 通过源IP对网管用户进行控制
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建或进入基本ACL视图 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
|
定义子规则 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必选 |
|
退出ACL视图 |
quit |
- |
|
在配置SNMP团体名的命令中引用访问控制列表 |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]* |
必选 根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组名或者用户名配置时引用访问控制列表,详细介绍请参见“网络管理和监控配置指导”中的“SNMP配置”的相关内容 |
|
在配置SNMP组名的命令中引用访问控制列表 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
|
|
在配置SNMP用户名的命令中引用访问控制列表 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ] |
通过源IP对网管用户进行控制,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问设备。
图5-2 对SNMP用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用访问控制列表,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问设备。
[Sysname] snmp-agent community read aaa acl 2000
[Sysname] snmp-agent group v2c groupa acl 2000
[Sysname] snmp-agent usm-user v2c usera groupa acl 2000
交换引擎支持通过Web方式进行远程管理。Web用户可以通过HTTP协议访问交换引擎。通过引用访问控制列表,可以对访问交换引擎的Web用户进行控制。
确定了对Web用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL配置”的相关内容。
表5-6 通过源IP对Web用户进行控制
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建或进入基本ACL视图 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
|
定义子规则 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必选 |
|
退出ACL视图 |
quit |
- |
|
引用访问控制列表对Web用户进行控制 |
ip http acl acl-number |
必选 |
网络管理员可以通过命令行强制在线Web用户下线。
表5-7 强制在线Web用户下线
|
操作 |
命令 |
说明 |
|
强制在线Web用户下线 |
free web-users { all | user-id user-id | user-name user-name } |
必选 在用户视图下执行 |
通过源IP对Web用户进行控制,仅允许来自10.110.100.52的Web用户访问设备。
图5-3 对Device的HTTP用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl number 2030 match-order config
[Sysname-acl-basic-2030] rule 1 permit source 10.110.100.52 0
# 引用访问控制列表,仅允许来自10.110.100.52的Web用户访问设备。
[Sysname] ip http acl 2030
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
