• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

01 基础配置指导

目录

02-登录设备配置

本章节下载 02-登录设备配置  (548.38 KB)

02-登录设备配置


1 登录设备方式介绍

设备支持CLI(Command Line Interface,命令行接口)和SNMP(Simple Network Management Protocol,简单网络管理协议)两种登录方式:

·     通过CLI登录设备后,可以直接输入命令行,来配置和管理设备。CLI方式下又根据使用的登录接口以及登录协议不同,分为:通过Console口、Telnet、SSH或Modem登录方式。

·     通过SNMP登录设备后,NMS可以通过Set和Get等操作来配置和管理设备。关于SNMP的详细介绍请参见“网络管理与维护配置指导”中的“SNMP”。

用户首次登录设备时,只能通过Console口登录。登录时认证方式为none(不需要用户名和密码),用户角色为network-admin,详细登录过程请参见“缺省情况下如何通过Console口登录设备”。只有通过Console口登录到设备,进行相应的配置后,才能通过其它方式登录。各登录方式下需要的最小配置详见表1-1

设备运行于FIPS模式时,不支持Telnet登录。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

表1-1 各种登录设备方式的最小配置描述表

登录方式

最小配置描述

配置通过Console口本地登录设备

缺省情况下,Console口登录时认证方式为none,存在安全隐患。用户在首次登录后,可以通过修改Console口登录的认证方式以及其它参数来增强设备的安全性

配置通过Telnet登录设备

·     开启设备的Telnet功能

·     配置IP地址,并确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有配置IP地址)

·     配置password认证方式的密码,或者更改认证方式并完成相关参数的设置(缺省情况下,VTY用户采用password认证方式)

·     配置VTY用户的用户角色(缺省情况下,VTY用户的角色为network-operator)

配置通过SSH登录设备

·     开启设备SSH功能并完成SSH属性的配置

·     配置IP地址,并确保设备与SSH登录用户间路由可达(缺省情况下,设备没有配置IP地址)

·     配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用password认证方式)

·     配置VTY用户的用户角色(缺省情况下,VTY用户的角色为network-operator)

配置通过Modem登录设备

缺省情况下,用户可以直接通过Modem拨号方式登录设备,Modem用户的用户角色为network-admin

配置通过SNMP登录设备

·     配置IP地址,并确保设备与NMS登录用户间路由可达(缺省情况下,设备没有配置IP地址)

·     配置SNMP基本参数

 


2 缺省情况下如何通过Console口登录设备

通过Console口进行本地登录是登录设备的最基本的方式,也是配置通过其它方式登录设备的基础。

通过Console口登录设备时,请按照以下步骤进行操作:

(1)     PC断电。因为PC机串口不支持热插拔,请不要在PC带电的情况下,将串口线插入或者拔出PC机。

(2)     请使用产品随机附带的配置口电缆连接PC机和设备。请先将配置口电缆的DB-9(孔)插头插入PC机的9芯(针)串口中,再将RJ-45插头端插入设备的Console口中。

提示

 

图2-1 将设备与PC通过配置口电缆进行连接

 

(3)     给PC上电。

(4)     在通过Console口搭建本地配置环境时,需要通过超级终端或PuTTY等终端仿真程序与设备建立连接。用户可以运行这些程序来连接网络设备、Telnet或SSH站点,这些程序的详细介绍和使用方法请参见该程序的使用指导。打开终端仿真程序后,请按如下要求设置终端参数:

·     波特率:9600

·     数据位:8

·     停止位:1

·     奇偶校验:无

·     流量控制:无

(5)     设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,用户键入回车后将出现命令行提示符(<H3C>),如下所示。

Press Ctrl-B to enter Boot Menu   0

Auto-booting

Decompress Image

 

 

 

 

   OK!

Starting at 0x80100000

Cryptographic Algorithms Tests passed.

Line aux0 is available.

 

 

Press ENTER to get started.

<H3C>%Sep 24 09:48:54:109 2014 H3C SHELL/4/LOGIN: Console login from aux0

<H3C>

(6)     键入命令,配置设备或查看设备运行状态,需要帮助可以随时键入?。

 


3 配置通过CLI登录设备

3.1  配置通过CLI登录设备简介

说明

设备运行于FIPS模式时,不支持用户通过Telnet登录。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

 

通过CLI登录设备包括:通过Console口、Telnet、SSH或Modem登录方式。

·     缺省情况下,用户不需要任何认证即可通过Console口登录设备,这给设备带来许多安全隐患;

·     缺省情况下,用户不能通过Telnet、SSH以及Modem方式登录设备,这样不利于用户对设备进行远程管理和维护。

因此,用户需要对这些登录方式进行相应的配置,来增加设备的安全性及可管理性。

本文将分别介绍如何配置通过Console口、Telnet、SSH及Modem登录设备时的认证方式、用户角色及公共属性。

3.1.1  用户线简介

用户线用于管理、限制CLI登录用户的访问行为:网络管理员可以给每个用户线配置一系列参数,比如用户登录时是否需要认证、用户登录后的角色等。当用户使用Console口、Telnet、SSH及Modem登录到设备的时候,系统会给用户分配一个用户线,登录用户将受到该用户线下配置参数的约束。

1. 用户线概述

设备提供了两种类型的用户线:

·     AUX用户线:用来管理和监控通过Console口登录的用户。

·     VTY(Virtual Type Terminal,虚拟类型终端)用户线:用来管理和监控通过Telnet或SSH登录的用户。

2. 用户与用户线的关系

用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户线,整个登录过程将受该用户线视图下配置的约束。用户与用户线并没有固定的对应关系:

·     同一用户登录的方式不同,分配的用户线不同。比如用户A使用Console口登录设备时,将受到AUX用户线视图下配置的约束;当使用Telnet登录设备时,将受到VTY用户线视图下配置的约束。

·     同一用户登录的时间不同,分配的用户线可能不同。比如用户本次使用Telnet登录设备,设备为其分配的用户线是VTY 1。当该用户下次再Telnet登录时,设备可能已经把VTY 1分配给其他Telnet用户了,只能为该用户分配其他的用户线。

如果没有空闲的、相应类型的用户线可分配,则用户不能登录设备。

3. 用户线的编号

用户线的编号有两种方式:绝对编号方式和相对编号方式。

(1)     绝对编号方式

使用绝对编号方式,可以唯一的指定一个用户线。绝对编号从0开始自动编号,每次增长1,先给所有AUX用户线编号,其次是所有VTY用户线。使用display line(不带参数)可查看到设备当前支持的用户线以及它们的绝对编号。

(2)     相对编号方式

相对编号是每种类型用户线的内部编号。相对编号方式的形式是:“用户线类型 编号”,遵守如下规则:

·     Console口的编号:第一个为AUX 0,第二个为AUX 1,依次类推。

·     VTY的编号:第一个为VTY 0,第二个为VTY 1,依次类推。

3.1.2  认证方式简介

在用户线下配置认证方式,可以要求当用户使用指定用户线登录时是否需要认证,以提高设备的安全性。非FIPS模式下,设备支持的认证方式有none、password和scheme三种;FIPS模式下,设备仅支持scheme认证方式。

·     认证方式为none:表示下次使用该用户线登录时不需要进行用户名和密码认证,任何人都可以登录到设备上,这种情况可能会带来安全隐患。

·     认证方式为password:表示下次使用该用户线登录时,需要输入密码。只有密码正确,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码。

·     认证方式为scheme:表示下次使用该用户线登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。配置认证方式为scheme后,请妥善保存用户名及密码。

认证方式不同,配置不同,具体配置如表3-1所示。

表3-1 不同认证方式下配置任务简介

认证方式

认证所需配置

说明

none

设置登录用户的认证方式为不认证

具体配置请见各登录方式下的相关章节

password

设置登录用户的认证方式为password认证

具体配置请见各登录方式下的相关章节

设置密码认证的密码

scheme

设置登录用户的认证方式为scheme认证

具体配置请见各登录方式下的相关章节

在ISP域视图下为login用户配置认证方法

请参见“安全配置指导”中的“AAA

 

3.1.3  用户角色简介

用户角色对登录用户至关重要,角色中定义了允许用户操作哪些系统功能以及资源对象,即用户登录后可以执行哪些命令。关于用户角色的详细描述以及配置请参见“基础配置指导”中的“RBAC”。

·     对于none和password认证方式,登录用户的角色由用户线下的用户角色配置决定。

·     对于scheme认证方式,且用户通过SSH的publickey或password-publickey方式登录设备时,登录用户将被授予同名的设备管理类本地用户视图下配置的授权用户角色。

·     对于scheme认证方式,非SSH登录以及用户通过SSH的password方式登录设备时,登录用户使用AAA认证用户的角色配置。尤其对于远程AAA认证用户,如果AAA服务器没有下发用户角色且缺省用户角色授权功能处于关闭状态时,用户将不能登录设备。

3.2  配置通过Console口本地登录设备

通过Console口进行本地登录是登录设备的基本方式之一,用户可以使用本地链路登录设备,便于系统维护。如图3-1所示。

图3-1 通过Console口登录设备示意图

 

缺省情况下,用户可以直接通过Console口登录设备,登录时认证方式为none(不需要用户名和密码),用户角色为network-admin。用户可以修改认证方式、用户角色以及其它登录参数,来增加设备的安全性及可管理性。

3.2.1  通过Console口登录设备配置任务简介

表3-2 通过Console口登录设备配置任务简介

配置任务

说明

详细配置

配置通过Console口登录设备时的认证方式

配置通过Console口登录设备时无需认证(none)

必选

请根据实际需要选择其中的一种认证方式

FIPS模式下,仅支持AAA认证(scheme)

3.2.2  1.

配置通过Console口登录设备时采用密码认证(password)

3.2.2  2.

配置通过Console口登录设备时采用AAA认证(scheme)

3.2.2  3.

配置Console口登录方式的公共属性

可选

3.2.2  4.

 

说明

·     改变Console口登录的认证方式后,新认证方式对新登录的用户生效。

·     在多台设备组成IRF前,请先配置AUX用户线类的认证方式为none,用户角色为network-admin。

 

3.2.2  配置通过Console口登录设备

1. 配置通过Console口登录设备时无需认证(none)

用户已经成功登录到了设备上,并希望以后通过Console口登录设备时无需进行认证。

表3-3 配置用户通过Console口登录设备时无需认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户线视图

line aux first-number [ last-number ]

二者选其一

·     用户线视图下的配置优先于用户线类视图下的配置

·     用户线视图下的配置只对该用户线生效且立即生效

·     用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效

·     用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值

进入AUX用户线类视图

line class aux

设置登录用户的认证方式为不认证

authentication-mode none

缺省情况下,用户通过Console口登录,认证方式为none

配置从当前用户线登录设备的用户角色

user-role role-name

缺省情况下,通过Console口登录设备的用户角色为network-admin

 

当用户下次通过Console口登录设备时,无须提供用户名或密码,直接按回车键进入用户视图。

2. 配置通过Console口登录设备时采用密码认证(password)

用户已经成功登录到了设备上,并希望以后通过Console口登录设备时采用密码认证,以提高设备的安全性。

表3-4 配置用户通过Console口登录设备时采用密码认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户线视图

line aux first-number [ last-number ]

二者选其一

·     用户线视图下的配置优先于用户线类视图下的配置

·     用户线视图下的配置只对该用户线生效且立即生效

·     用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效

·     用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值

进入AUX用户线类视图

line class aux

设置登录用户的认证方式为密码认证

authentication-mode password

缺省情况下,用户通过Console口登录,认证方式为none

设置密码认证的密码

set authentication password { hash | simple } password

缺省情况下,没有设置密码认证的密码

配置从当前用户线登录设备的用户角色

user-role role-name

缺省情况下,通过Console口登录设备的用户角色为network-admin

 

配置完成后,当用户再次通过Console口登录设备,键入回车后,设备将要求用户输入登录密码。正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>)。

3. 配置通过Console口登录设备时采用AAA认证(scheme)

用户已经成功的登录到了设备上,并希望以后通过Console口登录设备时采用AAA认证,以提高设备的安全性。

要使配置的AAA认证方式生效,还需要在ISP域视图下配置login认证方法。如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置相应的远程认证方案。相关详细介绍请参见“安全配置指导”中的“AAA”。

表3-5 配置用户通过Console口登录设备时采用AAA认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户线视图

line aux first-number [ last-number ]

二者选其一

·     用户线视图下的配置优先于用户线类视图下的配置

·     用户线视图下的配置只对该用户线生效且立即生效

·     用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效

·     用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值

进入AUX用户线类视图

line class aux

设置登录用户的认证方式为通过AAA认证

authentication-mode scheme

缺省情况下,用户通过Console口登录,认证方式为none

 

配置完成后,当用户再次通过Console口登录设备,键入回车后,设备将要求用户输入登录用户名和密码。正确输入用户名和密码并回车,登录界面中出现命令行提示符(如<H3C>)。

4. 配置Console口登录方式的公共属性

·     改变Console口属性后会立即生效,所以通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其它登录方式来配置Console口属性。

·     若用户需要通过Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口属性保持一致。否则,连接失败。

 

表3-6 配置Console口登录方式的公共属性

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户线视图

line aux first-number [ last-number ]

二者选其一

·     用户线视图下的配置优先于用户线类视图下的配置

·     用户线视图下的配置只对该用户线生效且立即生效

·     用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效

·     用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值

进入AUX用户线类视图

line class aux

配置传输速率

speed speed-value

缺省情况下,Console口使用的传输速率为9600bit/s

传输速率为设备与访问终端之间每秒钟传送的比特的个数

用户线类视图下不支持该命令

配置校验方式

parity { even | mark | none | odd | space }

缺省情况下,Console口的校验方式为none,即不进行校验

用户线类视图下不支持该命令

配置停止位

stopbits { 1 | 1.5 | 2 }

缺省情况下,Console口的停止位为1

停止位用来表示单个包的结束。停止位的位数越多,传输效率越低

用户线类视图下不支持该命令

配置数据位

databits { 5 | 6 | 7 | 8 }

缺省情况下,Console口的数据位为8位

数据位的设置取决于需要传送的信息。比如,如果传送的是标准的ASCII码,则可以将数据位设置为7,如果传输的是扩展的ASCII码,则需要将数据位设置为8

用户线类视图下不支持该命令

配置启动终端会话的快捷键

activation-key character

缺省情况下,按<Enter>键启动终端会话

配置中止当前运行任务的快捷键

escape-key { character | default }

缺省情况下,键入<Ctrl+C>中止当前运行的任务

配置流量控制方式

flow-control { hardware | none | software }

用户线类视图下不支持该命令

缺省情况下,流量控制方式为none

配置终端的显示类型

terminal type { ansi | vt100 }

缺省情况下,终端显示类型为ANSI

当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型

设置终端屏幕一屏显示的行数

screen-length screen-length

缺省情况下,终端屏幕一屏显示的行数为24

screen-length 0表示关闭分屏显示功能

设置历史命令缓冲区大小

history-command max-size value

缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令

设置用户线的超时时间

idle-timeout minutes [ seconds ]

缺省情况下,所有的用户线的超时时间为10分钟,如果直到超时时间到达,某用户线一直没有用户进行操作,则该用户线将自动断开

idle-timeout 0表示永远不会超时

 

3.3  配置通过Telnet登录设备

设备可以作为Telnet服务器,以便用户能够Telnet登录到设备进行远程管理和监控。具体请参见“3.3.1  配置设备作为Telnet服务器”。

设备也可以作为Telnet客户端,Telnet到其它设备,对别的设备进行管理和监控。具体请参见“3.3.2  配置设备作为Telnet客户端登录其它设备”。

说明

设备运行于FIPS模式时,不支持Telnet登录。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

 

3.3.1  配置设备作为Telnet服务器

缺省情况下,设备的Telnet服务器功能处于关闭状态,通过Telnet方式登录设备的认证方式为password,但设备没有配置缺省的登录密码,即在缺省情况下用户不能通过Telnet登录到设备上。因此当使用Telnet方式登录设备前,首先需要通过Console口登录到设备上,开启Telnet服务器功能,然后对认证方式、用户角色及公共属性进行相应的配置,才能保证通过Telnet方式正常登录到设备。

1. 配置设备作为Telnet服务器的配置任务简介

表3-7 配置设备作为Telnet服务器的配置任务简介

配置任务

说明

详细配置

配置设备作为Telnet服务器时的认证方式

配置Telnet登录设备时无需认证(none)

必选

请根据实际需要选择其中的一种认证方式

3.3.1  2.

配置Telnet登录设备时采用密码认证(password)

3.3.1  3.

配置Telnet登录设备时采用AAA认证(scheme)

3.3.1  4.

配置Telnet登录同时在线的最大用户连接数

可选

3.3.1  5.

配置Telnet服务器发送报文的DSCP优先级

可选

3.3.1  6.

配置VTY用户线的公共属性

可选

3.3.1  7.

 

说明

改变Telnet登录的认证方式后,新认证方式对新登录的用户生效。

 

2. 配置Telnet登录设备时无需认证(none)

用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时无需进行认证。

表3-8 认证方式为none的配置

操作

命令

说明

进入系统视图

system-view

-

使能设备的Telnet服务

telnet server enable

缺省情况下,Telnet服务处于关闭状态

进入一个或多个VTY用户线视图

line vty first-number [ last-number ]

二者选其一

·     用户线视图下的配置优先于用户线类视图下的配置

·     用户线视图下的配置只对该用户线生效且立即生效

·     用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效

·     用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值

进入VTY用户线类视图

line class vty

设置VTY登录用户的认证方式为不认证

authentication-mode none

缺省情况下,VTY用户线的认证方式为password

用户线视图下,对authentication-modeprotocol inbound进行关联绑定

当这两条命令均配置为缺省值,此时该用户线视图下的这两条命令配置值均取该类用户线类视图下的相应的配置;若该类用户线类视图下没有进行相应的配置,则取该类用户线视图下相应的缺省值

当两条命令中的任意一条配置了非缺省值,另外一条未配置的将会取该用户线视图下的缺省值,而不会取该类型用户线类视图下的配置值

配置从当前用户线登录设备的用户角色

user-role role-name

缺省情况下,通过Telnet登录设备的用户角色为network-operator

 

配置完成后,当用户再次通过Telnet登录设备时:

·     设备会显示如图3-2所示的登录界面。

·     如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。

图3-2 用户通过Telnet登录设备时无需认证登录界面

 

3. 配置Telnet登录设备时采用密码认证(password)

用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行密码认证。

表3-9 认证方式为password的配置

操作

命令

说明

进入系统视图

system-view

-

使能设备的Telnet服务

telnet server enable

缺省情况下,Telnet服务处于关闭状态

进入一个或多个VTY用户线视图

line vty first-number [ last-number ]

二者选其一

·     用户线视图下的配置优先于用户线类视图下的配置

·     用户线视图下的配置只对该用户线生效且立即生效

·     用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效

·     用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值

进入VTY用户线类视图

line class vty

设置登录用户的认证方式为密码认证

authentication-mode password

缺省情况下,VTY用户线的认证方式为password

用户线视图下,对authentication-modeprotocol inbound进行关联绑定

当这两条命令均配置为缺省值,此时该用户线视图下的这两条命令配置值均取该类用户线类视图下的相应的配置;若该类用户线类视图下没有进行相应的配置,则取该类用户线视图下相应的缺省值

当两条命令中的任意一条配置了非缺省值,另外一条未配置的将会取该用户线视图下的缺省值,而不会取该类型用户线类视图下的配置值

设置密码认证的密码

set authentication password { hash | simple } password

缺省情况下,没有设置密码认证的密码

(可选)配置从当前用户线登录设备的用户角色

user-role role-name

缺省情况下,通过Telnet登录设备的用户角色为network-operator

 

配置完成后,当用户再次通过Telnet登录设备时:

·     设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>),如图3-3所示。

·     如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。

图3-3 配置用户通过Telnet登录设备时采用密码认证登录界面

 

4. 配置Telnet登录设备时采用AAA认证(scheme)

用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行AAA认证。

要使配置的AAA认证方式生效,还需要在ISP域视图下配置login认证方法。如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置相应远程认证方案。相关详细介绍请参见“安全配置指导”中的“AAA”。

表3-10 配置用户通过Telnet登录设备时采用AAA认证

操作

命令

说明

进入系统视图

system-view

-

使能设备的Telnet服务

telnet server enable

缺省情况下,Telnet服务处于关闭状态

进入一个或多个VTY用户线视图

line vty first-number [ last-number ]

二者选其一

·     用户线视图下的配置优先于用户线类视图下的配置

·     用户线视图下的配置只对该用户线生效且立即生效

·     用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效

·     用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值

进入VTY用户线类视图

line class vty

设置登录用户的认证方式为通过AAA认证

authentication-mode scheme

缺省情况下,VTY用户线的认证方式为password

用户线视图下,对authentication-modeprotocol inbound进行关联绑定

当这两条命令均配置为缺省值,此时该用户线视图下的这两条命令配置值均取该类用户线类视图下的相应的配置;若该类用户线类视图下没有进行相应的配置,则取该类用户线视图下相应的缺省值

当两条命令中的任意一条配置了非缺省值,另外一条未配置的将会取该用户线视图下的缺省值,而不会取该类型用户线类视图下的配置值

 

配置完成后,当用户再次通过Telnet登录设备时:

·     设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户名123为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>),如图3-4所示。

·     如果出现“All lines are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。

图3-4 用户通过Telnet登录设备时AAA认证登录界面

 

5. 配置Telnet登录同时在线的最大用户连接数

通过配置同时在线的最大用户连接数,可以限制采用Telnet登录同时接入设备的在线用户数。

该配置对于通过任何一种认证方式(none、password或者sheme)接入设备的用户都生效。

表3-11 配置同时在线的最大用户连接数

操作

命令

说明

进入系统视图

system-view

-

配置Telnet登录同时在线的最大用户连接数

aaa session-limit telnet max-sessions

缺省情况下,Telnet登录同时在线的最大用户连接数为16

配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败

关于该命令的详细描述,请参见“安全命令参考”中的“AAA

 

6. 配置Telnet服务器发送报文的DSCP优先级

DSCP携带在IP/IPv6报文的ToS/Trafic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。

表3-12 配置Telnet服务器发送报文的DSCP优先级

操作

命令

说明

进入系统视图

system-view

-

配置Telnet服务器发送报文的DSCP优先级

telnet server dscp dscp-value

二者选其一

缺省情况下,Telnet/IPv6 Telnet服务器发送Telnet/IPv6 Telnet报文的DSCP优先级48

telnet server ipv6 dscp dscp-value

 

7. 配置VTY用户线的公共属性

·     使用auto-execute command命令后,将导致用户通过该用户线登录后,不能对设备进行常规配置,需谨慎使用。

·     在配置auto-execute command命令并退出登录之前,要确保可以通过其它VTY、AUX用户登录进来更改配置,以便出现问题后,能删除该配置。

 

表3-13 配置VTY用户线的公共属性

操作

命令

说明

进入系统视图

system-view

-

进入一个或多个VTY用户线视图

line vty first-number [ last-number ]

二者选其一

·     用户线视图下的配置优先于用户线类视图下的配置

·     用户线视图下的配置只对该用户线生效且立即生效

·     用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效

·     用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值

进入VTY用户线类视图

line class vty

启动终端服务

shell

缺省情况下,在所有的用户线上启动终端服务

配置VTY用户线支持的协议

protocol inbound { all | ssh | telnet }

缺省情况下,设备同时支持Telnet和SSH协议

使用该命令配置的协议将在用户下次使用该用户线登录时生效

用户线视图下,对authentication-modeprotocol inbound进行关联绑定

当这两条命令均配置为缺省值,此时该用户线视图下的这两条命令配置值均取该类用户线类视图下的相应的配置;若该类用户线类视图下没有进行相应的配置,则取该类用户线视图下相应的缺省值

当两条命令中的任意一条配置了非缺省值,另外一条未配置的将会取该用户线视图下的缺省值,而不会取该类型用户线类视图下的配置值

配置中止当前运行任务的快捷键

escape-key { character | default }

缺省情况下,键入<Ctrl+C>中止当前运行的任务

配置终端的显示类型

terminal type { ansi | vt100 }

缺省情况下,终端显示类型为ANSI

设置终端屏幕一屏显示的行数

screen-length screen-length

缺省情况下,终端屏幕一屏显示的行数为24

screen-length 0表示关闭分屏显示功能

设置设备历史命令缓冲区大小

history-command max-size value

缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令

设置VTY用户线的超时时间

idle-timeout minutes [ seconds ]

缺省情况下,所有的用户线的超时时间为10分钟

如果10分钟内某用户线没有用户进行操作,则该用户线将自动断开

idle-timeout 0表示永远不会超时

设置从用户线登录后自动执行的命令

auto-execute command command

缺省情况下,未设定自动执行命令

配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接。该命令通常用来配置Telnet命令,使用户登录时自动连接到指定的主机

 

3.3.2  配置设备作为Telnet客户端登录其它设备

用户已经成功登录到了设备上,并希望将当前设备作为Telnet客户端登录到Telnet服务器上进行操作,如图3-5所示。

先给设备配置IP地址并获取Telnet服务器的IP地址。如果设备与Telnet服务器相连的端口不在同一子网内,请配置路由使得两台设备间路由可达。

图3-5 通过设备登录到其它设备

 

表3-14 设备作为Telnet客户端登录到Telnet服务器的配置

操作

命令

说明

进入系统视图

system-view

-

(可选)指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口

telnet client source { interface interface-type interface-number | ip ip-address }

缺省情况下,没有指定发送Telnet报文的源IPv4地址和源接口,使用报文路由出接口的主IPv4地址作为Telnet报文的源地址

退回到用户视图

quit

-

设备作为Telnet客户端登录到Telnet服务器

telnet remote-host [ service-port ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ip ip-address } ] [ dscp dscp-value ]

二者选其一

此命令在用户视图下执行

telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] [ dscp dscp-value ]

 

3.4  配置通过SSH登录设备

3.4.1  通过SSH登录设备简介

用户通过一个不能保证安全的网络环境远程登录到设备时,SSH(Secure Shell,安全外壳)可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。

·     设备可以作为SSH服务器,以便用户能够使用SSH协议登录到设备进行远程管理和监控。具体请参见“3.4.2  配置设备作为SSH服务器”。

·     设备也可以作为SSH客户端,使用SSH协议登录到别的设备,对别的设备进行管理和监控。具体请参见“3.4.3  配置设备作为SSH客户端登录其它设备”。

3.4.2  配置设备作为SSH服务器

缺省情况下,设备的SSH Server功能处于关闭状态,因此当使用SSH方式登录设备前,首先需要通过Console口登录到设备上,开启设备的SSH服务器功能、对认证方式及其它属性进行相应的配置,才能保证通过SSH方式正常登录到设备。

以下配置步骤只介绍采用password方式认证SSH客户端的配置方法,publickey方式的配置方法及SSH的详细介绍,请参见“安全配置指导”中的“SSH”。

表3-15 设备作为SSH服务器时的配置

操作

命令

说明

 

进入系统视图

system-view

-

 

生成本地密钥对

public-key local create { dsa | rsa | ecdsa } [ name key-name ]

缺省情况下,没有生成密钥对

 

使能SSH服务器功能

ssh server enable

缺省情况下,SSH服务器功能处于关闭状态

 

(可选)建立SSH用户,并指定SSH用户的认证方式

·     非FIPS模式下:

ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname }

·     FIPS模式下:

ssh user username service-type stelnet authentication-type { password | password-publickey assign publickey keyname }

缺省情况下,不存在任何SSH用户

 

进入VTY用户线视图

line vty first-number [ last-number ]

二者选其一

·     用户线视图下的配置优先于用户线类视图下的配置

·     用户线视图下的配置只对该用户线生效且立即生效

·     用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效

·     用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值

 

进入VTY用户线类视图

line class vty

 

配置登录用户线的认证方式为scheme方式

authentication-mode scheme

非FIPS模式下:缺省情况下,VTY用户线认证为password方式

FIPS模式下:缺省情况下,VTY用户线认证为scheme方式

用户线视图下,对authentication-modeprotocol inbound进行关联绑定

当这两条命令均配置为缺省值,此时该用户线视图下的这两条命令配置值均取该类用户线类视图下的相应的配置;若该类用户线类视图下没有进行相应的配置,则取该类用户线视图下相应的缺省值

当两条命令中的任意一条配置了非缺省值,另外一条未配置的将会取该用户线视图下的缺省值,而不会取该类型用户线类视图下的配置值

 

(可选)配置VTY用户线支持的SSH协议

·     非FIPS模式下:

protocol inbound { all | ssh | telnet }

·     FIPS模式下:

protocol inbound ssh

非FIPS模式下:缺省情况下,设备同时支持Telnet和SSH协议

FIPS模式下:缺省情况下,设备支持SSH协议

使用该命令配置的协议将在用户下次使用该用户线登录时生效

用户线视图下,对authentication-modeprotocol inbound进行关联绑定

当这两条命令均配置为缺省值,此时该用户线视图下的这两条命令配置值均取该类用户线类视图下的相应的配置;若该类用户线类视图下没有进行相应的配置,则取该类用户线视图下相应的缺省值

当两条命令中的任意一条配置了非缺省

值,另外一条未配置的将会取该用户线视图下的缺省值,而不会取该类型用户线类视图下的配置值

 

(可选)配置SSH方式登录设备时,同时在线的最大用户连接数

aaa session-limit ssh max-sessions

缺省情况下,SSH方式登录设备时,同时在线的最大用户连接数为16

配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败

关于该命令的详细描述,请参见“安全命令参考”中的“AAA

 

退回系统视图

quit

-

(可选)配置VTY用户线的公共属性

-

详细配置请参见“3.3.1  7. 配置VTY用户线的公共属性

 

 

3.4.3  配置设备作为SSH客户端登录其它设备

用户已经成功登录到了设备上,并希望将当前设备作为SSH客户端登录到其它设备上进行操作,如图3-5所示。

先给设备配置IP地址并获取SSH服务器的IP地址。如果设备与SSH服务器相连的端口不在同一子网内,请配置路由使得两台设备间路由可达。

图3-6 通过设备登录到其它设备

 

表3-16 设备作为SSH客户端登录到其它设备的配置

操作

命令

说明

设备作为SSH客户端登录到SSH IPv4服务器

ssh2 server

此命令在用户视图下执行

设备作为SSH客户端登录到SSH IPv6服务器

ssh2 ipv6 server

此命令在用户视图下执行

 

说明

为配合SSH服务器,设备作为SSH客户端时还可进一步进行其它配置,具体请参见“安全配置指导”中的“SSH”。

 

3.5  配置通过Modem登录设备

网络管理员可以通过设备的Console口,利用一对Modem和PSTN(Public Switched Telephone Network,公共电话交换网)拔号登录到设备上,对远程设备进行管理和维护。这种登录方式一般适用于在网络中断的情况下,利用PSTN网络对设备进行远程管理、维护及故障定位。

通过Console口利用Modem拨号进行远程登录时,使用的是AUX用户线。缺省情况下,用户可以直接通过Modem拨号方式登录设备,Modem用户的用户角色为network-admin。

需要注意的是:Modem的传输速率要高于Cnosole口的波特率,否则可能会出现丢包现象

请参照以下步骤来建立Modem连接:

(1)     如图3-7所示,建立远程配置环境,在PC机(或终端)的串口和设备的Console口分别挂接Modem。

图3-7 搭建远程配置环境

 

(2)     获取远程设备端Console口所连Modem上对应的电话号码。

(3)     在与设备直接相连的Modem上进行以下配置。

AT&F-------------------------- Modem恢复出厂配置

ATS0=1------------------------ 配置自动应答(振铃一声)

AT&D-------------------------- 忽略DTR信号

AT&K0------------------------- 禁止流量控制

AT&R1------------------------- 忽略RTS信号

AT&S0------------------------- 强制DSR为高电平

ATEQ1&W----------------------- 禁止modem回送命令响应和执行结果并存储配置

在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果。

说明

各种Modem配置命令及显示的结果有可能不一样,具体操作请参照Modem的说明书进行。

 

(4)     在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),新建一个拨号连接(所拨号码为与设备相连的Modem的电话号码),与设备建立连接,如图3-8图3-10所示。

说明

如果PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的拨号控制软件,使用方法请参照软件的使用指导或联机帮助。

 

(5)     在远端通过终端仿真程序和Modem向设备拨号。

图3-8 新建连接

 

图3-9 拨号号码配置

 

图3-10 在远端PC机上拨号

 

(6)     当听到拨号音后:

·     如果AUX用户线的认证方式为none,则在超级终端上键入回车键之后将出现命令行提示符(如<H3C>),如图3-11所示。

·     如果AUX用户线的认证方式为password,则在超级终端上需键入合法的密码之后才会出现命令行提示符。

·     如果AUX用户线的认证方式为scheme,则在超级终端上需键入合法的用户名和密码之后才会出现命令行提示符。

图3-11 Console口登录界面

 

说明

·     当您想断开PC与远端设备的连接时,首先在超级终端中用“ATH”命令断开modem间的连接。如果在超级终端窗口无法输入此命令,可输入“AT+ + +”并回车,待窗口显示“OK”提示后再输入“ATH”命令,屏幕再次显示“OK”提示,表示已断开本次连接。您也可以使用超级终端页面提供的挂断按扭断开PC与远端设备的连接。

·     当您使用完超级终端仿真程序后,务必要先断开PC与远端设备的连接,不能直接关闭超级终端,否则有些型号的远程modem将一直在线,下次拨号连接时将无法拨号成功。

 

3.6  CLI登录显示和维护

表3-17 CLI显示和维护

操作

命令

说明

显示当前正在使用的用户线以及用户的相关信息

display users

在任意视图下执行

显示设备支持的所有用户线以及用户的相关信息

display users all

在任意视图下执行

显示用户线的相关信息

display line [ num1 | { aux | vty } num2 ] [ summary ]

在任意视图下执行

显示设备作为Telnet客户端的相关配置信息

display telnet client

在任意视图下执行

释放指定的用户线

free line { num1 | { aux | vty } num2 }

在用户视图下执行

系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其它在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其它用户干扰时,可以使用以下命令强制断开该用户的连接

不能使用该命令释放用户当前自己使用的连接

锁住当前用户线,防止未授权的用户操作该线

lock

在用户视图下执行

缺省情况下,系统不会自动锁住当前用户线

FIPS模式下,不支持此命令

向指定的用户线发送消息

send { all | num1 | { aux | vty } num2 }

在用户视图下执行

 


4 配置通过SNMP登录设备

使用SNMP协议,用户可通过NMS(Network Management System,网络管理系统)登录到设备上,通过Set和Get等操作对设备进行管理、配置,如图4-1所示。设备支持多种NMS软件,如iMC等。

图4-1 通过SNMP登录设备组网图

 

缺省情况下,用户不能通过NMS登录到设备上,如果要使用NMS登录设备,首先需要通过Console口登录到设备上,在设备上进行相关配置。设备支持SNMPv1、SNMPv2c和SNMPv3三种版本,只有NMS和Agent使用的SNMP版本相同,NMS才能和Agent建立连接。请根据使用的SNMP版本选择对应的配置步骤,见表4-1表4-2。配置完成后,即可使用NMS网管的方式登录设备。关于SNMP的详细介绍及配置,请参见“网络管理和监控配置指导”中的“SNMP”。

表4-1 配置SNMP基本参数(SNMPv3版本)

操作

命令

说明

进入系统视图

system-view

-

启动SNMP Agent服务

snmp-agent

缺省情况下,SNMP Agent服务处于关闭状态

(可选)创建MIB视图或更新MIB视图内容

snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ]

缺省情况下,设备上已创建了四个视图,视图名均为ViewDefault

·     视图一包含MIB子树iso

·     视图二不包含子树snmpUsmMIB

·     视图三不包含子树snmpVacmMIB

·     视图四不包含子树snmpModules.18

创建SNMPv3

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view view-name ] [ write-view view-name ] [ notify-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

缺省情况下,设备上没有配置SNMP

创建SNMPv3用户

snmp-agent usm-user v3 user-name group-name [ remote { ip-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] [ { cipher | simple } authentication-mode { md5 | sha } auth-password [ privacy-mode { aes128 | des56 } priv-password ] ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

当设备需要向目的主机发送SNMPv3 Inform信息时,remote ip-address参数必选

 

表4-2 配置SNMP基本参数(SNMPv1版本、SNMPv2c版本)

操作

命令

说明

进入系统视图

system-view

-

启动SNMP Agent服务

snmp-agent

缺省情况下,SNMP Agent服务处于关闭状态

(可选)创建MIB视图或更新MIB视图内容

snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ]

缺省情况下,设备上已创建了四个视图,视图名均为ViewDefault

·     视图一包含MIB子树iso

·     视图二不包含子树snmpUsmMIB

·     视图三不包含子树snmpVacmMIB

·     视图四不包含子树snmpModules.18

设置访问权限

直接设置

创建一个新的SNMP团体

snmp-agent community { read | write } [ simple | cipher ] community-name [ mib-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

二者选其一

直接设置是以SNMPv1和SNMPv2c版本的团体名进行设置

间接设置采用与SNMPv3版本一致的命令形式,添加的用户到指定的组,即相当于SNMPv1和SNMPv2c版本的团体名,在NMS上配置的团体名需要跟Agent上配置的用户名一致

间接设置

设置一个SNMP

snmp-agent group { v1 | v2c } group-name [ read-view view-name ] [ write-view view-name ] [ notify-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

为一个SNMP组添加一个新用户

snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number | acl ipv6 ipv6-acl-number ] *


5 对登录用户的控制

通过引用ACL(Access Control List,访问控制列表),可以对访问设备的登录用户进行控制:

·     当未引用ACL、或者引用的ACL不存在、或者引用的ACL为空时,允许所有登录用户访问设备;

·     当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其它用户不允许访问设备,以免非法用户使用Telnet/SSH访问设备。

关于ACL的详细描述和介绍请参见“ACL和QoS配置指导”中的“ACL”。

用户登录后,可以通过AAA功能来对用户使用的命令行进行授权和计费。

5.1  配置对Telnet/SSH用户的控制

5.1.1  配置准备

确定了对Telnet/SSH的控制策略,包括对哪些源IP、目的IP、源MAC等参数进行控制,控制的动作是允许访问还是拒绝访问,即配置好ACL。

5.1.2  配置对Telnet/SSH用户的控制

表5-1 配置对Telnet用户的控制

操作

命令

说明

进入系统视图

system-view

-

通过ACL控制Telnet客户端的访问权限

telnet server acl acl-number

请根据需要选择

缺省情况下,没有使用ACL限制Telnet客户端

telnet server ipv6 acl [ ipv6 ] acl-number

 

表5-2 配置对SSH用户的控制

操作

命令

说明

进入系统视图

system-view

-

通过ACL控制Telnet客户端的访问权限

ssh server acl acl-number

请根据需要选择

缺省情况下,没有使用ACL限制SSH客户端

ssh server aclssh server ipv6 acl命令的详细介绍请参见“安全命令参考”中的“SSH”

ssh server ipv6 acl [ ipv6 ] acl-number

 

5.1.3  配置举例

1. 组网需求

通过源IP对Telnet进行控制,仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问设备。

2. 组网图

图5-1 使用ACL对Telnet用户进行控制

 

3. 配置步骤

# 定义ACL。

<Sysname> system-view

[Sysname] acl number 2000 match-order config

[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0

[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0

[Sysname-acl-basic-2000] quit

# 引用ACL,允许源地址为10.110.100.52和10.110.100.46的Telnet用户访问设备。

[Sysname] telnet server acl 2000

5.2  配置对NMS控制

5.2.1  配置准备

确定了对NMS的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问,即配置好ACL。

5.2.2  配置对NMS的控制

表5-3 配置对NMS的控制

操作

命令

说明

进入系统视图

system-view

-

在配置SNMP团体名的命令中引用ACL

snmp-agent community { read | write } [ simple | cipher ] community-name [ mib-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组名或者用户名配置时引用访问控制列表,详细介绍请参见“网络管理和监控配置指导”中的“SNMP”

在配置SNMPv1/SNMPv2c组名的命令中引用ACL

snmp-agent group { v1 | v2c } group-name [ read-view view-name ] [ write-view view-name ] [ notify-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

在配置SNMPv3组名的命令中引用ACL

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view view-name ] [ write-view view-name ] [ notify-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

在配置SNMPv1/SNMPv2c用户名的命令中引用ACL

snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number | acl ipv6 ipv6-acl-number ] *

在配置SNMPv3用户名的命令中引用ACL

snmp-agent usm-user v3 user-name group-name [ remote { ip-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] [ { cipher | simple } authentication-mode { md5 | sha } auth-password [ privacy-mode { aes128 | des56 } priv-password ] ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

 

5.2.3  配置举例

1. 组网需求

通过源IP对NMS进行控制,仅允许来自10.110.100.52和10.110.100.46的NMS访问设备。

2. 组网图

图5-2 使用ACL对NMS进行控制

 

3. 配置步骤

# 定义基本ACL。

<Sysname> system-view

[Sysname] acl number 2000 match-order config

[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0

[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0

[Sysname-acl-basic-2000] quit

# 引用ACL,仅允许来自10.110.100.52和10.110.100.46的NMS访问设备。

[Sysname] snmp-agent community read aaa acl 2000

[Sysname] snmp-agent group v2c groupa acl 2000

[Sysname] snmp-agent usm-user v2c usera groupa acl 2000

5.3  配置命令行授权功能

5.3.1  配置步骤

缺省情况下,用户登录设备后可以使用的命令行由用户拥有的用户角色决定。当用户线采用AAA认证方式并配置命令行授权功能后,用户可使用的命令行将受到用户角色和AAA授权的双重限制。用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。

要使配置的命令行授权功能生效,还需要在ISP域视图下配置命令行授权方法。命令行授权方法可以和login用户的授权方法相同,也可以不同。相关详细介绍请参见“安全配置指导”中的“AAA”。

表5-4 配置命令行授权功能

操作

命令

说明

进入系统视图

system-view

-

进入用户线视图

line { first-number1 [ last-number1 ] | { aux | vty } first-number2 [ last-number2 ] }

二者选其一

·     用户线视图下的配置优先于用户线类视图下的配置

·     用户线视图下的配置只对该用户线生效且立即生效

·     用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效

·     用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值

进入用户线类视图

line class { aux | vty }

设置登录用户的认证方式为通过AAA认证

authentication-mode scheme

缺省情况下,AUX用户线的认证方式为none(即不需要进行认证),VTY用户线的认证方式为password

用户线视图下,对authentication-modeprotocol inbound进行关联绑定

当这两条命令均配置为缺省值,此时该用户线视图下的这两条命令配置值均取该类用户线类视图下的相应的配置;若该类用户线类视图下没有进行相应的配置,则取该类用户线视图下相应的缺省值

当两条命令中的任意一条配置了非缺省值,另外一条未配置的将会取该用户线视图下的缺省值,而不会取该类型用户线类视图下的配置值

使能命令行授权功能

command authorization

缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权

如果用户类视图下使能了命令行授权功能,则该类型用户线视图都使能命令行授权功能,并且在该类型用户线视图下将无法禁用命令行授权功能

 

5.3.2  配置举例

1. 组网需求

为了保证Device的安全,需要对登录用户执行命令的权限进行限制:用户Host A登录设备后,输入的命令必须先获得HWTACACS服务器的授权,才能执行。否则,不能执行该命令。如果HWTACACS服务器故障导致授权失败,则采用本地授权。

2. 组网图

图5-3 命令行授权配置组网图

 

3. 配置步骤

# 在设备上配置IP地址,以保证Device和Host A、Device和HWTACACS server之间互相路由可达。(配置步骤略)

# 开启设备的Telnet服务器功能,以便用户访问。

<Device> system-view

[Device] telnet server enable

# 配置用户登录设备时,需要输入用户名和密码进行AAA认证,可以使用的命令由认证结果决定。

[Device] line vty 0 63

[Device-line-vty0-63] authentication-mode scheme

# 使能命令行授权功能,限制用户只能使用授权成功的命令。

[Device-line-vty0-63] command authorization

[Device-line-vty0-63] quit

# 配置HWTACACS方案:授权服务器的IP地址:TCP端口号为192.168.2.20:49(该端口号必须和HWTACACS服务器上的设置一致),报文的加密密码是expert,登录时不需要输入域名,使用缺省域。

[Device] hwtacacs scheme tac

[Device-hwtacacs-tac] primary authentication 192.168.2.20 49

[Device-hwtacacs-tac] primary authorization 192.168.2.20 49

[Device-hwtacacs-tac] key authentication expert

[Device-hwtacacs-tac] key authorization expert

[Device-hwtacacs-tac] user-name-format without-domain

[Device-hwtacacs-tac] quit

# 配置缺省域的命令行授权AAA方案,使用HWTACACS方案。

[Device] domain system

[Device-isp-system] authentication login hwtacacs-scheme tac local

[Device-isp-system] authorization command hwtacacs-scheme tac local

[Device-isp-system] quit

# 配置本地认证所需参数:创建本地用户monitor,密码为123,可使用的服务类型为telnet,用户角色为level-1。

[Device] local-user monitor

[Device-luser-admin] password cipher 123

[Device-luser-admin] service-type telnet

[Device-luser-admin] authorization-attribute user-role level-1  

5.4  配置命令行计费功能

5.4.1  配置步骤

当用户线采用AAA认证方式并配置命令行计费功能后,系统会将用户执行过的命令记录到HWTACACS服务器上,以便集中监视用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,则用户执行的每一条合法命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录。

要使配置的命令行计费功能生效,还需要在ISP域视图下配置命令行计费方法。命令行计费方法、命令行授权方法、login用户的授权方法可以相同,也可以不同。相关详细介绍请参见“安全配置指导”中的“AAA”。

表5-5 配置命令行计费功能

操作

命令

说明

进入系统视图

system-view

-

进入用户线视图

line { first-number1 [ last-number1 ] | { aux | vty } first-number2 [ last-number2 ] }

二者选其一

·     用户线视图下的配置优先于用户线类视图下的配置

·     用户线视图下的配置只对该用户线生效且立即生效

·     用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效

·     用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值

进入用户线类视图

line class { aux | vty }

设置登录用户的认证方式为通过AAA认证

authentication-mode scheme

缺省情况下,AUX用户线的认证方式为none(即不需要进行认证),VTY用户线的认证方式为password

用户线视图下,对authentication-modeprotocol inbound进行关联绑定

当这两条命令均配置为缺省值,此时该用户线视图下的这两条命令配置值均取该类用户线类视图下的相应的配置;若该类用户线类视图下没有进行相应的配置,则取该类用户线视图下相应的缺省值

当两条命令中的任意一条配置了非缺省值,另外一条如果没有配置那么将会取该用户线视图下的缺省值,而不会取该类型用户线类视图下的配置值

使能命令行计费功能

command accounting

缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行

如果用户类视图下使能了命令行计费功能,则该类型用户线视图都使能命令行计费功能,并且在该类型用户线视图下将无法禁用命令行计费功能

 

5.4.2  配置举例

1. 组网需求

为便于集中控制、监控用户对设备的操作,需要将登录用户执行的命令发送到HWTACACS服务器进行记录。

2. 组网图

图5-4 命令行计费配置组网图

 

3. 配置步骤

# 开启设备的Telnet服务器功能,以便用户访问。

<Device> system-view

[Device] telnet server enable

# 配置使用Console口登录设备的用户执行的命令需要发送到HWTACACS服务器进行记录。

[Device] line aux 0

[Device-line-aux0] command accounting

[Device-line-aux0] quit

# 配置使用Telnet或者SSH登录的用户执行的命令需要发送到HWTACACS服务器进行记录。

[Device] line vty 0 63

[Device-line-vty0-63] command accounting

[Device-line-vty0-63] quit

# 配置HWTACACS方案:计费服务器的IP地址:TCP端口号为192.168.2.20:49,报文的加密密码是expert,登录时不需要输入域名,使用缺省域。

[Device] hwtacacs scheme tac

[Device-hwtacacs-tac] primary accounting 192.168.2.20 49

[Device-hwtacacs-tac] key accounting expert

[Device-hwtacacs-tac] user-name-format without-domain

[Device-hwtacacs-tac] quit

# 配置缺省域的命令行计费AAA方案,使用HWTACACS方案。

[Device] domain system

[Device-isp-system] accounting command hwtacacs-scheme tac

[Device-isp-system] quit

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们