• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

01-基础配置指导

目录

02-登录交换机配置

本章节下载 02-登录交换机配置  (1.08 MB)

02-登录交换机配置

  录

1 登录设备方式介绍··· 1-1

1.1 登录设备方式综述·· 1-1

1.2 用户界面简介·· 1-2

1.2.1 用户界面概述·· 1-2

1.2.2 用户与用户界面的关系·· 1-3

1.2.3 用户界面的编号·· 1-3

2 配置用户通过CLI登录设备··· 2-1

2.1 配置用户通过CLI登录设备简介·· 2-1

2.2 配置通过Console口登录设备·· 2-1

2.2.1 通过Console口登录设备简介·· 2-1

2.2.2 缺省配置下如何通过Console口登录设备·· 2-2

2.2.3 Console口登录的认证方式介绍·· 2-4

2.2.4 配置通过Console口登录设备时无需认证(None)(FIPS模式下不支持该方式)·· 2-5

2.2.5 配置通过Console口登录设备时采用密码认证(Password)(FIPS模式下不支持该方式)·· 2-6

2.2.6 配置通过Console口登录设备时采用AAA认证(Scheme)·· 2-7

2.2.7 配置Console口登录方式的公共属性(可选)·· 2-11

2.3 配置通过Telnet登录设备(FIPS模式下不支持该登录方式)·· 2-13

2.3.1 通过Telnet登录设备简介·· 2-13

2.3.2 Telnet登录的认证方式介绍·· 2-14

2.3.3 配置通过Telnet Client登录设备时无需认证(None)·· 2-15

2.3.4 配置通过Telnet Client登录设备时采用密码认证(Password)·· 2-16

2.3.5 配置通过Telnet Client登录设备时采用AAA认证(Scheme)·· 2-17

2.3.6 配置VTY用户界面的公共属性(可选)·· 2-21

2.3.7 配置设备充当Telnet Client登录其它设备·· 2-23

2.4 配置通过SSH登录·· 2-23

2.4.1 通过SSH登录设备简介·· 2-23

2.4.2 配置设备充当SSH服务器·· 2-24

2.4.3 配置设备充当SSH客户端登录其它设备·· 2-26

2.5 配置通过Modem登录设备·· 2-27

2.5.1 通过Modem登录设备简介·· 2-27

2.5.2 缺省配置下如何通过Modem登录设备·· 2-27

2.5.3 Modem拨号登录的认证方式介绍·· 2-30

2.5.4 配置用户通过Modem登录设备时无需认证(None)(FIPS模式下不支持该方式)·· 2-31

2.5.5 配置用户通过Modem登录设备时采用密码认证(Password)(FIPS模式下不支持该方式)·· 2-32

2.5.6 配置用户通过Modem登录设备时采用AAA认证(Scheme)·· 2-33

2.5.7 配置AUX用户界面的公共属性(可选)·· 2-37

2.6 CLI登录显示和维护·· 2-39

3 配置通过Web网管登录设备··· 3-1

3.1 通过Web网管登录设备简介·· 3-1

3.2 配置通过HTTP方式登录设备(FIPS模式下不支持该登录方式)·· 3-1

3.3 配置通过HTTPS方式登录设备·· 3-2

3.4 通过Web网管登录设备显示与维护·· 3-5

3.5 通过Web网管登录设备典型配置举例·· 3-5

3.5.1 使用HTTP方式登录设备典型配置举例(FIPS模式下不支持该举例)·· 3-5

3.5.2 使用HTTPS方式登录设备典型配置举例·· 3-6

4 配置通过NMS登录设备··· 4-1

4.1 通过NMS登录设备简介·· 4-1

4.2 配置通过NMS登录设备·· 4-1

4.3 通过NMS登录设备典型配置举例·· 4-3

5 对登录用户的控制··· 5-1

5.1 对登录用户的控制简介·· 5-1

5.2 配置对Telnet用户的控制(FIPS模式下不支持该功能)·· 5-1

5.2.1 配置准备·· 5-1

5.2.2 通过源IP对Telnet进行控制·· 5-1

5.2.3 通过源IP、目的IP对Telnet进行控制·· 5-2

5.2.4 通过源MAC地址对Telnet进行控制·· 5-2

5.2.5 配置举例·· 5-3

5.3 通过源IP对网管用户进行控制·· 5-4

5.3.1 配置准备·· 5-4

5.3.2 通过源IP对网管用户进行控制·· 5-4

5.3.3 配置举例·· 5-5

5.4 通过源IP对Web用户进行控制(FIPS模式下不支持该方式)·· 5-5

5.4.1 配置准备·· 5-5

5.4.2 通过源IP对Web用户进行控制·· 5-5

5.4.3 强制在线Web用户下线·· 5-6

5.4.4 配置举例·· 5-6

 


1 登录设备方式介绍

说明

·       设备运行于FIPS模式时,本特性的相关配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

·       本章中典型配置举例中的配置,如无特殊说明,均以设备运行在非FIPS模式下的命令行为准。

·       FIPS模式下不支持Telnet和HTTP功能。

 

1.1  登录设备方式综述

用户可以通过以下几种方式登录到设备上,对设备进行配置和管理:

登录方式及介绍

各种登录方式缺省状况分析

通过CLI登录设备

配置通过Console口登录设备

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3

配置通过Telnet登录设备(FIPS模式下不支持该登录方式)

缺省情况下,用户不能直接通过Telnet方式登录设备。如需采用Telnet方式登录,需要先通过Console口本地登录设备、并完成如下配置:

·       开启设备的Telnet功能(根据产品缺省情况选择)

·       配置设备VLAN接口的IP地址,确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有IP地址)

·       配置VTY用户的认证方式(缺省情况下,VTY用户采用Password认证方式)

·       配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0)

配置通过SSH登录

缺省情况下,用户不能直接通过SSH方式登录设备。如需采用SSH方式登录,需要先通过Console口本地登录设备、并完成如下配置:

·       开启设备SSH功能并完成SSH属性的配置(根据产品缺省情况选择)

·       配置设备VLAN接口的IP地址,确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有配置IP地址)

·       配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用Password认证方式)

·       配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0)

配置通过Modem登录设备

缺省情况下,用户可以直接通过Modem拨号方式登录设备,Modem用户的用户级别为3

配置通过Web网管登录设备

缺省情况下,用户不能直接通过Web登录设备。如需采用Web方式登录,需要先通过Console口本地登录设备、并完成如下配置:

·       配置设备VLAN接口的IP地址,确保设备与Web登录用户间路由可达(缺省情况下,设备没有配置IP地址)

·       配置Web用户的用户名与密码(缺省情况下,没有Web登录的用户名和密码)

·       配置Web登录的用户级别(缺省情况下,未配置Web登录用户的用户级别)

·       配置Web登录用户的服务类型为Telnet(缺省情况下,未配置Web登录用户的服务类型)

配置通过NMS登录设备

缺省情况下,用户不能直接通过NMS登录设备。如需采用NMS方式登录,需要先通过Console口本地登录设备、并完成如下配置:

·       配置设备VLAN接口的IP地址,确保设备与NMS登录用户间路由可达(缺省情况下,设备没有IP配置地址)

·       配置SNMP基本参数

 

在以下的章节中,将分别为您介绍如何通过Console口、Telnet、Web及Modem及NMS登录到设备上。

1.2  用户界面简介

1.2.1  用户界面概述

当用户使用Console口、Telnet或者SSH方式登录设备的时候,系统会分配一个用户界面(也称为Line)用来管理、监控设备和用户间的当前会话。每个用户界面有对应的用户界面视图(User-interface view),在用户界面视图下网络管理员可以配置一系列参数,比如用户登录时是否需要认证以及用户登录后的级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的。

目前系统支持的命令行配置方式有:

·              Console口本地配置

·              Telnet或SSH本地或远程配置

与这些配置方式对应的是两种类型的用户界面:

·              AUX用户界面:系统提供的通过Console口登录的视图,用来管理和监控通过Console口登录的用户。设备提供一个Console口,端口类型为EIA/TIA-232 DCE,第一次使用设备时,需要通过此端口对交换机进行配置。

·              VTY(Virtual Type Terminal,虚拟类型终端)用户界面:用来管理和监控通过VTY方式登录的用户,用于对设备进行Telnet或SSH访问。

1.2.2  用户与用户界面的关系

用户界面的管理和监控对象是使用某种方式登录的用户,一个用户界面某一时刻只能被一个用户使用,但它并不针对某个用户。比如用户A使用Console口登录设备时,将受到Console用户界面视图下配置的约束,当使用VTY 1登录设备时,将受到VTY 1用户界面视图下配置的约束。

一台交换机提供一个AUX用户界面、十六个VTY用户界面,这些用户界面与用户并没有固定的对应关系。用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的相应类型的用户界面,整个登录过程将受该用户界面视图下配置的约束。同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时机不同,分配的用户界面可能不同。

1.2.3  用户界面的编号

用户界面的编号有两种方式:绝对编号方式和相对编号方式。

1. 绝对编号方式

使用绝对编号方式,可以唯一的指定一个用户界面或一组用户界面。绝对编号从0开始自动编号,每次增长1,先给所有AUX用户界面编号,其次是VTY用户界面编号。使用display user-interface(不带参数)可查看到设备当前支持的用户界面以及它们的绝对编号。

2. 相对编号方式

相对编号是每种类型用户界面的内部编号。该方式只能指定某种类型的用户界面中的一个或一组,而不能跨类型操作。

相对编号方式的形式是:“用户界面类型 编号”,遵守如下规则:

·              控制台的相对编号为AUX 0。

·              VTY的相对编号:第一个为VTY 0,第二个为VTY 1,依次类推。

 


2 配置用户通过CLI登录设备

2.1  配置用户通过CLI登录设备简介

CLI(命令行接口)是用户与设备之间的文本类指令交互界面,用户键入文本类命令,通过输入回车键提交设备执行相关命令,用户可以输入命令对设备进行配置,并可以通过查看输出的信息确认配置结果,方便用户配置和管理设备。

通过CLI登录设备包括:通过Console口、Telnet、SSH或Modem四种登录方式。当您使用Console口、Telnet、SSH或Modem登录设备时,都需要使用CLI来与设备进行交互。

·              缺省情况下,用户不需要任何认证即可通过Console口登录设备,这给设备带来许多安全隐患;

·              缺省情况下,用户不能通过Telnet、SSH登录设备(只能通过Console口本地登录),这样不利于用户对设备进行远程管理和维护。

因此,用户需要对这些登录方式进行相应的配置,来增加设备的安全性及可管理性。

以下章节将分别为您介绍如何通过Console口、Telnet、SSH及Modem登录到设备,并配置通过Console口、Telnet、SSH及Modem登录设备时的认证方式、用户级别及公共属性,来实现对登录用户的控制和管理。

2.2  配置通过Console口登录设备

2.2.1  通过Console口登录设备简介

通过Console口进行本地登录是登录设备的最基本的方式,也是配置通过其他方式登录设备的基础。如图2-1所示。

2-1 通过Console口登录设备示意图

 

缺省情况下,设备只能通过Console口进行本地登录,用户登录到设备上后,即可以对各种登录方式进行配置。

本节将为您介绍:

·              设备缺省情况下,如何通过Console口登录设备。具体请参见2.2.2  缺省配置下如何通过Console口登录设备

·              设备Console口支持的登录方式及配置Console口登录认证方式的意义、各种认证方式的特点及注意事项。具体请参见2.2.3  Console口登录的认证方式介绍

·              当用户确定了今后通过Console口登录设备时将采用何种认证方式后、并通过缺省配置登录到设备后,用户如何在设备上配置Console口登录设备时的认证方式及用户级别,实现对Console口登录用户的控制和管理。具体请参见2.2.4  配置通过Console口登录设备时无需认证(None)(FIPS模式下不支持该方式)2.2.5  配置通过Console口登录设备时采用密码认证(Password)(FIPS模式下不支持该方式)2.2.6  配置通过Console口登录设备时采用AAA认证(Scheme)

·              配置通过Console口登录设备时的公共属性。具体请参见2.2.7  配置Console口登录方式的公共属性(可选)

2.2.2  缺省配置下如何通过Console口登录设备

2-1 通过Console登录设备需要具备的条件

对象

需要具备的条件

设备

缺省情况下,设备侧不需要任何配置

Console口登录用户

运行超级终端程序

配置超级终端属性

 

当用户使用Console口登录设备时,用户终端的通信参数配置要和设备Console口的缺省配置保持一致,才能通过Console口登录到设备上。设备Console口的缺省配置如下:

2-2 设备Console口缺省配置

属性

缺省配置

传输速率

9600bit/s

流控方式

不进行流控

校验方式

不进行校验

停止位

1

数据位

8

 

(1)      请使用产品随机附带的配置口电缆连接PC机和设备。请先将配置电缆的DB-9(孔)插头插入PC机的9芯(针)串口插座,再将RJ-45插头端插入设备的Console口中。

2-2 将设备与PC通过配置口电缆进行连接

 

警告

连接时请认准接口上的标识,以免误插入其它接口。

 

说明

由于PC机串口不支持热插拔,请不要在设备带电的情况下,将串口插入或者拔出PC机。当连接PC和设备时,请先安装配置电缆的DB-9端到PC机,再连接RJ-45到设备;在拆下时,先拔出RJ-45端,再拔下DB-9端。

 

(2)      在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),选择与设备相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图2-3图2-5所示。

说明

如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参照软件的使用指导或联机帮助。

 

2-3 新建连接

 

2-4 连接端口设置

 

2-5 端口通信参数设置

 

(3)      设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图2-6所示。

2-6 设备配置界面

 

(4)      键入命令,配置设备或查看设备运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。

2.2.3  Console口登录的认证方式介绍

通过在Console口用户界面下配置认证方式,可以对使用Console口登录的用户进行限制,以提高设备的安全性。Console口支持的认证方式有none、passwordscheme三种。

·              认证方式为none:表示下次使用Console口本地登录设备时,不需要进行用户名和密码认证、任何人都可以通过Console口登录到设备上,这种情况可能会带来安全隐患。

·              认证方式为password:表示下次使用Console口本地登录设备时,需要进行密码认证、只有密码认证成功、用户才能登录到设备上。配置认证方式为password后,请妥善保存密码。

·              认证方式为scheme:表示下次使用Console口登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA配置”。配置认证方式为scheme后,请妥善保存用户名及密码。

不同的认证方式下,Console口登录方式需要进行的配置不同,具体配置如表2-3所示。

2-3 配置任务简介

认证方式

认证所需配置

说明

None

设置登录用户的认证方式为不认证

具体内容请参见2.2.4 

Password

设置登录用户的认证方式为Password认证

具体内容请参见2.2.5 

设置本地验证的口令

Scheme

设置登录用户的认证方式为Scheme认证

具体内容请参见2.2.6 

选择认证方案

采用远端AAA服务器认证

在设备上配置RADIUS/HWTACACS方案

在设备上配置域使用的AAA方案

在AAA服务器上配置相关的用户名和密码

采用本地认证

在设备上配置认证用户名和密码

在设备上配置域使用的AAA方案为本地认证

 

说明

改变Console口登录方式的认证方式后,该认证方式的设置不会立即生效。用户需要退出命令行接口后重新登录,该设置才会生效。

 

2.2.4  配置通过Console口登录设备时无需认证(None)(FIPS模式下不支持该方式)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Console口登录设备时无需进行认证。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

2-4 配置用户通过Console口登录设备时无需认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

设置登录用户的认证方式为不认证

authentication-mode none

必选

缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)

配置AUX用户界面的公共属性

-

可选

详细配置请参见2.2.7  配置Console口登录方式的公共属性(可选)

 

配置完成后,当用户再次通过Console口登录设备时,设备将提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图2-7所示。

2-7 用户通过Console口登录设备时无需认证登录界面

 

2.2.5  配置通过Console口登录设备时采用密码认证(Password)(FIPS模式下不支持该方式)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Console口登录设备时采用密码认证、以提高设备的安全性。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

2-5 配置用户通过Console口登录设备时采用密码认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

设置登录用户的认证方式为本地口令认证

authentication-mode password

必选

缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)

设置本地验证的口令

set authentication password [ hash ] { cipher | simple } password

必选

缺省情况下,没有设置本地认证的口令

配置AUX用户界面的公共属性

-

可选

详细配置请参见2.2.7  配置Console口登录方式的公共属性(可选)

 

配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-8所示。

2-8 用户通过Console口登录设备时采用密码认证登录界面

 

2.2.6  配置通过Console口登录设备时采用AAA认证(Scheme)

1. 配置前提

用户已经成功的登录到了设备上,并希望以后通过Console口登录设备时采用AAA认证、以提高设备的安全性。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

2-6 配置用户通过Console口登录设备时采用AAA认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

设置登录用户的认证方式为通过认证方案认证

authentication-mode scheme

必选

缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)

使能命令行授权功能

command authorization

可选

缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权

·       缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。

·       需要注意的是,执行此命令后,命令行授权功能将立即生效,此后执行的命令都要经过AAA授权后才能执行成功,因此请先完成对AAA授权及AAA服务器的配置,再使能此功能

使能命令行计费功能

command accounting

可选

缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行

·       命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。

·       需要注意的是,执行此命令后,命令行计费功能将立即生效,因此请先完成对AAA计费及AAA服务器的配置,再使能此功能

退出至系统视图

quit

-

配置设备采用的认证方案

进入ISP域视图

domain domain-name

可选

缺省情况下,系统使用的AAA方案为local

如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:

·       设备上的RADIUS、HWTACACS方案配置请参见“安全配置指导”中的“AAA配置”

·       AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书

配置域使用的AAA方案

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

退出至系统视图

quit

创建本地用户(进入本地用户视图)

local-user user-name

必选

缺省情况下,无本地用户

设置本地用户认证口令

非FIPS模式下:

password [ [ hash ] { cipher | simple  } password ]

FIPS模式下:

password

必选

设置本地用户的命令级别

authorization-attribute level level

可选

缺省情况下,命令级别为0

设置本地用户的服务类型

service-type terminal

必选

缺省情况下,无用户服务类型

配置AUX用户界面的公共属性

-

可选

详细配置请参见2.2.7  配置Console口登录方式的公共属性(可选)

 

说明

使能命令行授权功能后,还需要进行如下配置才能保证命令行授权功能生效:

·       需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA配置”。

·       需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA配置”。

 

说明

使能命令行计费功能后,还需要进行如下配置才能保证命令行计费功能生效:

·       需要创建HWTACACS方案,在方案中指定计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA配置”。

·       需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA配置”。

 

说明

需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。

·       AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。

·       AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。

有关AAA、RADIUS、HWTACACS的详细内容,请参见“安全配置指导”中的“AAA配置”。

 

配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-9所示。

2-9 用户通过Console口登录设备时AAA认证登录界面

 

2.2.7  配置Console口登录方式的公共属性(可选)

Console口登录方式的公共属性配置,如表2-7所示。

2-7 Console口登录方式公共属性配置

操作

命令

说明

进入系统视图

system-view

-

使能显示版权信息

copyright-info enable

可选

缺省情况下,显示版权信息处于使能状态

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

配置AUX用户界面的属性

配置传输速率

speed speed-value

可选

缺省情况下,Console口使用的传输速率为9600bit/s

传输速率为设备与访问终端之间每秒钟传送的比特的个数

配置校验方式

parity { even | mark | none | odd | space }

可选

缺省情况下,Console口的校验方式为none,即不进行校验

配置停止位

stopbits { 1 | 1.5 | 2 }

可选

缺省情况下,Console口的停止位为1

停止位用来表示单个包的结束。停止位的位数越多,传输效率越低

配置数据位

databits { 5 | 6 | 7 | 8 }

可选

缺省情况下,Console口的数据位为8

数据位的设置取决于需要传送的信息。比如,如果传送的是标准的ASCII码,则可以将数据位设置为7,如果传输的是扩展的ASCII码,则需要将数据位设置为8

配置启动终端会话的快捷键

activation-key character

可选

缺省情况下,按<Enter>键启动终端会话

配置中止当前运行任务的快捷键

escape-key { default | character }

可选

缺省情况下,键入<Ctrl+C>中止当前运行的任务

配置流量控制方式

flow-control { hardware | none | software }

可选

缺省情况下,流量控制方式为none

配置终端的显示类型

terminal type { ansi | vt100 }

可选

缺省情况下,终端显示类型为ANSI

当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型

设置用户登录后可以访问的命令级别

user privilege level level

可选

缺省情况下,从Console用户界面登录后可以访问的命令级别为3

FIPS模式下不支持该命令

设置终端屏幕一屏显示的行数

screen-length screen-length

可选

缺省情况下,终端屏幕一屏显示的行数为24

screen-length 0表示关闭分屏显示功能

设置历史命令缓冲区大小

history-command max-size value

可选

缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令

设置用户界面的超时时间

idle-timeout minutes [ seconds ]

可选

缺省情况下,所有的用户界面的超时时间为10分钟,如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开

idle-timeout 0表示关闭用户界面的超时功能

 

注意

改变Console口属性后会立即生效,所以通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性。若用户需要通过Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口属性保持一致。

 

2.3  配置通过Telnet登录设备(FIPS模式下不支持该登录方式)

2.3.1  通过Telnet登录设备简介

设备支持Telnet功能,用户可以通过Telnet方式登录到设备上,对设备进行远程管理和维护。如图2-10

2-10 通过Telnet登录设备示意图

 

2-8 采用Telnet方式登录需要具备的条件

对象

需要具备的条件

Telnet服务器端

配置设备VLAN的IP地址,设备与Telnet用户间路由可达

配置Telnet登录的认证方式和其它配置(根据Telnet服务器端的情况而定)

Telnet客户端

运行Telnet程序

获取要登录设备VLAN接口的IP地址

 

设备充当Telnet Client:

·              设备支持Telnet Client功能、可作为Telnet Client登录到Telnet Server上,从而对其进行操作。

·              缺省情况下,设备的Telnet Client功能处于开启状态。

设备充当Telnet Server:

·              设备支持Telnet Server功能、可作为Telnet Server,并可在设备上进行一系列的配置,从而实现对不同Telnet Client登录的具体认证方式、用户级别等方面的控制与管理。

·              缺省情况下,设备的Telnet Server功能处于关闭状态,通过Telnet方式登录设备的认证方式为Password,但设备没有配置缺省的登录密码,即在缺省情况下用户不能通过Telnet登录到设备上。因此当您使用Telnet方式登录设备前,首先需要通过Console口登录到设备上,对认证方式、用户级别及公共属性进行相应的配置,才能保证通过Telnet方式正常登录到设备。

本节将为您介绍设备充当Telnet服务器端时:

·              设备支持的各种登录认证方式及配置Telnet登录认证方式的意义、各种认证方式的特点及注意事项。具体介绍请参见2.3.2  Telnet登录的认证方式介绍

·              当用户确定了今后通过Telnet客户端登录设备时将采用何种认证方式后、并已成功登录到设备后,用户如何在设备上配置Telnet客户端登录设备时的认证方式、用户级别及公共属性,从而实现对Telnet登录用户的控制和管理。具体介绍请参见2.3.3  配置通过Telnet Client登录设备时无需认证(None)2.3.4  配置通过Telnet Client登录设备时采用密码认证(Password)2.3.5  配置通过Telnet Client登录设备时采用AAA认证(Scheme)

·              配置通过Telnet登录设备时的公共属性。具体介绍请参见2.3.6  配置VTY用户界面的公共属性(可选)

本节还将为您介绍设备充当Telnet客户端、Telnet登录到Server时的配置,具体请参见2.3.7  配置设备充当Telnet Client登录其它设备

2.3.2  Telnet登录的认证方式介绍

通过在Telnet的用户界面下配置认证方式,可以对使用Telnet登录的用户进行限制,以提高设备的安全性。通过Telnet登录支持的认证方式有none、passwordscheme三种。

·              认证方式为none:表示下次使用Telnet登录设备时不需要进行用户名和密码认证,任何人都可以通过Telnet登录到设备上,这种情况可能会带来安全隐患。

·              认证方式为password:表示下次使用Telnet登录设备时需要进行密码认证,只有密码认证成功,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码,如果密码丢失,可以使用Console口登录到设备,对Telnet的密码配置进行查看或修改。

·              认证方式为scheme:表示下次使用Telnet登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA配置”。配置认证方式为scheme后,请妥善保存用户名及密码,如果本地认证密码丢失,可以使用Console口登录到设备,对Telnet的密码配置进行查看或修改。如果远程认证密码丢失,建议您联系服务器管理员。

不同的认证方式下,Telnet登录方式需要进行的配置不同,具体配置如表2-9所示。

2-9 配置Telnet登录的认证方式

认证方式

认证所需配置

说明

None

设置登录用户的认证方式为不认证

具体内容请参见2.3.3 

Password

设置登录用户的认证方式为Password认证

具体内容请参见2.3.4 

设置本地验证的口令

Scheme

设置登录用户的认证方式为Scheme认证

具体内容请参见2.3.5 

选择认证方案

采用远端AAA服务器认证

在设备上配置RADIUS/HWTACACS方案

在设备上配置域使用的AAA方案

在AAA服务器上配置相关的用户名和密码

采用本地认证

在设备上配置认证用户名和密码

在设备上配置域使用的AAA方案为本地认证

 

2.3.3  配置通过Telnet Client登录设备时无需认证(None)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时无需进行认证。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

2-10 认证方式为None的配置

操作

命令

说明

进入系统视图

system-view

-

使能设备的Telnet服务

telnet server enable

必选

缺省情况下,Telnet服务处于开启状态

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

设置VTY登录用户的认证方式为不认证

authentication-mode none

必选

缺省情况下,VTY用户界面的认证方式为password

配置从当前用户界面登录系统的用户所能访问的命令级别

user privilege level level

必选

缺省情况下,通过VTY用户界面登录系统所能访问的命令级别是0

配置VTY用户界面的公共属性

-

可选

详细配置请参见2.3.6  配置VTY用户界面的公共属性(可选)

 

配置完成后,当用户再次通过Telnet登录设备时:

·              用户将直接进入VTY用户界面,如图2-11所示。

·              如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。

2-11 用户通过Telnet登录设备时无需认证登录界面

 

2.3.4  配置通过Telnet Client登录设备时采用密码认证(Password)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行密码认证。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

2-11 认证方式为Password的配置

操作

命令

说明

进入系统视图

system-view

-

使能设备的Telnet服务

telnet server enable

必选

缺省情况下,Telnet服务处于开启态

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

设置登录用户的认证方式为本地口令认证

authentication-mode password

必选

缺省情况下,VTY用户界面的认证方式为password

设置本地验证的口令

set authentication password [ hash ] { cipher | simple } password

必选

缺省情况下,没有设置本地认证的口令

配置从当前用户界面登录系统的用户所能访问的命令级别

user privilege level level

必选

缺省情况下,通过VTY用户界面登录系统所能访问的命令级别是0

配置VTY用户界面的公共属性

-

可选

详细配置请参见2.3.6  配置VTY用户界面的公共属性(可选)

 

配置完成后,当用户再次通过Telnet登录设备时:

·              设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-12所示。

·              如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。

2-12 配置用户通过Telnet登录设备时采用密码认证登录界面

 

2.3.5  配置通过Telnet Client登录设备时采用AAA认证(Scheme)

1. 配置前提

用户已经成功登录到了设备上,并希望将设备作为Telnet Server从而登录设备时需要进行AAA认证。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

2-12 配置用户通过Telnet登录设备时采用AAA认证

操作

命令

说明

进入系统视图

system-view

-

使能设备的Telnet服务

telnet server enable

必选

缺省情况下,Telnet服务处于开启状态

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

设置登录用户的认证方式为通过认证方案认证

authentication-mode scheme

必选

具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定

缺省情况下采用本地认证方式

使能命令行授权功能

command authorization

可选

缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权

·       缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。

·       需要注意的是,执行此命令后,命令行授权功能将立即生效,此后执行的命令都要经过AAA授权后才能执行成功,因此请先完成对AAA授权及AAA服务器的配置,再使能此功能

使能命令行计费功能

command accounting

可选

缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行

·       命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。

·       需要注意的是,执行此命令后,命令行计费功能将立即生效,因此请先完成对AAA计费及AAA服务器的配置,再使能此功能

退出至系统视图

quit

-

配置设备采用的认证方案

进入ISP域视图

domain domain-name

可选

缺省情况下,系统使用的AAA方案为local

如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:

·       设备上的配置请参见“安全配置指导”中的“AAA配置”

·       AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书

配置域使用的AAA方案

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

退出至系统视图

quit

创建本地用户(进入本地用户视图)

local-user user-name

缺省情况下,无本地用户

设置本地认证口令

password { cipher | simple } password

必选

缺省情况下,没有配置本地认证口令

设置VTY用户的命令级别

authorization-attribute level level

可选

缺省情况下,命令级别为0

设置VTY用户的服务类型

service-type telnet

必选

缺省情况下,无用户的服务类型

退出至系统视图

quit

-

配置VTY用户界面的公共属性

-

可选

详细配置请参见2.3.6  配置VTY用户界面的公共属性(可选)

 

说明

使能命令行授权功能后,还需要进行如下配置才能保证命令行授权功能生效:

·       需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA配置”。

·       需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA配置”。

 

说明

使能命令行计费功能后,还需要进行如下配置才能保证命令行计费功能生效:

·       需要创建HWTACACS方案,在方案中指定计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA配置”。

·       需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA配置”。

 

说明

需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。

·       AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。

·       AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。

有关AAA、RADIUS、HWTACACS的详细内容,请参见“安全配置指导”中的“AAA配置”的介绍。

 

配置完成后,当用户再次通过Telnet登录设备时:

·              设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-13所示。

·              如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。

2-13 用户通过Telnet登录设备时AAA认证登录界面

 

2.3.6  配置VTY用户界面的公共属性(可选)

2-13 VTY用户界面的公共属性配置

操作

命令

说明

进入系统视图

system-view

-

使能显示版权信息

copyright-info enable

可选

缺省情况下,显示版权信息处于使能状态

为Telnet Client指定业务报文源地址或源接口

telnet client source { ip ip-address | interface interface-type interface-number }

可选

缺省情况下,没有为Telnet Client指定源地址或源接口

创建VLAN接口并进入VLAN接口视图

interface vlan-interface vlan-interface-id

必选

如果该VLAN接口已经存在,则直接进入该VLAN接口视图

配置VLAN接口的IP地址

ip address ip-address { mask | mask-length }

必选

缺省情况下,没有配置VLAN接口的IP地址

退出至系统视图

quit

-

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

VTY用户界面配置

启动终端服务

shell

可选

缺省情况下,在所有的用户界面上启动终端服务

配置VTY用户界面支持的协议

protocol inbound { all | ssh | telnet }

可选

缺省情况下,设备同时支持Telnet和SSH协议

使用该命令配置的协议将在用户下次使用该用户界面登录时生效

 

配置中止当前运行任务的快捷键

escape-key { default | character }

可选

缺省情况下,键入<Ctrl+C>中止当前运行的任务

配置终端的显示类型

terminal type { ansi | vt100 }

可选

缺省情况下,终端显示类型为ANSI

设置终端屏幕一屏显示的行数

screen-length screen-length

可选

缺省情况下,终端屏幕一屏显示的行数为24行

screen-length 0表示关闭分屏显示功能

设置设备历史命令缓冲区大小

history-command max-size value

可选

缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令

设置VTY用户界面的超时时间

idle-timeout minutes [ seconds ]

可选

缺省情况下,所有的用户界面的超时时间为10分钟

如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开

idle-timeout 0表示关闭用户界面的超时功能

设置从用户界面登录后自动执行的命令

auto-execute command command

可选

缺省情况下,未设定自动执行命令

配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接。该命令通常用来配置Telnet命令,使用户登录时自动连接到指定的主机

 

注意

·       使用auto-execute command命令后,可能导致用户不能通过该终端线对本系统进行常规配置,需谨慎使用。

·       在配置auto-execute command命令并保存配置(执行save操作)之前,要确保可以通过其他VTY、AUX用户登录进来更改配置,以便出现问题后,能删除该配置。

 

2.3.7  配置设备充当Telnet Client登录其它设备

1. 配置前提

用户已经成功登录到了设备上,并希望将当前设备作为Telnet Client登录到Telnet Server上进行操作。具体请参见图2-14所示。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2-14 通过交换机登录到其它交换机

 

说明

如果Telnet Client与Telnet Server相连的端口不在同一子网内,请确保两台设备间路由可达。

 

2. 配置过程

2-14 设备作为Telnet Client登录到Telnet Server的配置

操作

命令

说明

设备作为Telnet Client登录到Telnet Server

telnet remote-host [ service-port ] [ source { interface interface-type interface-number | ip ip-address } ]

可选

此命令在用户视图下执行

 

配置完成后,设备即可登录到相应的Telnet Server上。

2.4  配置通过SSH登录

2.4.1  通过SSH登录设备简介

SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。设备支持SSH功能,用户可以通过SSH方式登录到设备上,对设备进行远程管理和维护如图2-15所示。

2-15 通过SSH登录

 

2-15 采用SSH方式登录需要具备的条件

对象

需要具备的条件

SSH服务器端

配置设备VLAN接口的IP地址,设备与SSH用户间路由可达

配置SSH登录的认证方式和其它配置(根据SSH服务器端的情况而定)

SSH客户端

运行SSH程序

获取要登录设备VLAN接口的IP地址

 

设备充当SSH Client:

·              设备支持SSH Client功能:可作为SSH Client登录到SSH Server上,从而对其进行操作。

·              缺省情况下,设备的SSH Client功能处于开启状态。

设备充当SSH Server:

·              设备支持SSH Server功能:可作为SSH Server,并可在设备上进行一系列的配置、实现对不同SSH Client的登录权限的控制。

·              缺省情况下,设备的SSH Server功能处于关闭状态,因此当您使用SSH方式登录设备前,首先需要通过Console口登录到设备上,开启设备的SSH Server功能、对认证方式及其它属性进行相应的配置,才能保证通过SSH方式正常登录到设备。

本节将为您介绍:

·              设备充当SSH服务器端时:当用户确定了今后通过SSH客户端登录设备、并已成功登录到设备后,用户如何在设备上配置SSH客户端登录设备时的认证方式及其它属性,从而实现对SSH登录用户的控制和管理。

·              设备充当SSH客户端时:设备SSH登录到Server时的配置,具体请参见2.4.3  配置设备充当SSH客户端登录其它设备

2.4.2  配置设备充当SSH服务器

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过SSH Client登录设备。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

2-16 设备充当SSH服务器时的配置

操作

命令

说明

进入系统视图

system-view

-

生成本地DSA或RSA密钥对

public-key local create { dsa | rsa }

必选

缺省情况下,没有生成DSA和RSA密钥对

使能SSH服务器功能

ssh server enable

必选

缺省情况下,SSH服务器功能处于关闭状态

进入VTY用户界面视图

user-interface vty first-number [ last-number ]

-

配置登录用户界面的认证方式为scheme方式

authentication-mode scheme

必选

缺省情况下,用户界面认证为password方式

 

配置所在用户界面支持SSH协议

protocol inbound { all | ssh | telnet }

可选

缺省情况下,系统支持所有的协议,即支持Telnet和SSH

FIPS模式下仅支持SSH协议

创建本地用户(进入本地用户视图)

local-user user-name

必选

缺省情况下,没有配置本地用户

设置本地认证口令

password { cipher | simple } password

必选

缺省情况下,没有配置本地认证口令

设置VTY用户的命令级别

authorization-attribute level level

可选

缺省情况下,命令级别为0

设置VTY用户的服务类型

service-type ssh

必选

缺省情况下,无用户的服务类型

退出至系统视图

quit

-

建立SSH用户,并指定SSH用户的认证方式

ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname }

必选

没有配置SSH用户及SSH用户的认证方式

配置VTY用户界面的公共属性

-

可选

详细配置请参见2.3.6  配置VTY用户界面的公共属性(可选)

 

说明

关于SSH的详细介绍及配置,请参见“安全配置指导”中的“SSH2.0配置”。

 

2.4.3  配置设备充当SSH客户端登录其它设备

1. 配置前提

用户已经成功登录到了设备上,并希望将当前设备作为SSH Client登录到其它设备上进行操作。具体请参见图2-14所示。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2-16 通过交换机设备登录到其它交换机设备

 

说明

如果Telnet Client与Telnet Server相连的端口不在同一子网内,请确保两台设备间路由可达。

 

2. 配置过程

2-17 设备作为SSH Client登录到其它设备的配置

操作

命令

说明

设备作为SSH Client登录到SSH IPv4服务器端

ssh2 server

必选

server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写

此命令在用户视图下执行

设备作为SSH Client登录到SSH IPv6服务器端

ssh2 ipv6 server

必选

server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写。

 

配置完成后,设备即可登录到相应的SSH Server上。

2.5  配置通过Modem登录设备

2.5.1  通过Modem登录设备简介

网络管理员可以通过设备的Console口,利用一对Modem和PSTN(Public Switched Telephone Network,公共电话交换网)拔号登录到设备上,对远程设备进行管理和维护。这种登录方式一般适用于在网络中断的情况下,利用PSTN网络对设备进行远程管理、维护及故障定位。

本节将为您介绍如何通过Modem登录设备,并配置登录时的认证方式、用户级别及公共属性,实现对Modem登录用户的控制。

本节将为您介绍:

·              设备支持Modem登录认证方式及配置Modem登录认证方式的意义、各种认证方式的特点及注意事项。具体请参见2.5.3  Modem拨号登录的认证方式介绍

·              当用户确定了今后通过Modem登录设备时将采用何种认证方式后、并通过缺省配置登录到设备后,用户如何在设备上配置Modem登录设备时的认证方式及用户级别,实现对Modem登录用户的控制和管理。具体请参见2.5.4  配置用户通过Modem登录设备时无需认证(None)(FIPS模式下不支持该方式)2.5.5  配置用户通过Modem登录设备时采用密码认证(Password)(FIPS模式下不支持该方式)2.5.6  配置用户通过Modem登录设备时采用AAA认证(Scheme)

·              配置通过Modem登录设备时的公共属性。具体请参见2.2.7  配置Console口登录方式的公共属性(可选)

2.5.2  缺省配置下如何通过Modem登录设备

缺省情况下,用户通过Modem登录设备时,设备不需要任何登录认证,缺省可以访问命令级别为3级的命令。

通过Modem登录设备的方法如下:

2-18 通过Console口利用Modem拨号进行远程登录需要具备的条件

配置对象

需要具备的条件

网络管理员端

PC终端与Modem正确连接

Modem与可正常使用的电话线正确相连

获取了远程设备端Console口所连Modem上对应的电话号码

设备端

Console口与Modem正确连接

在Modem上进行了正确的配置

Modem与可正常使用的电话线正确相连

设备上配置了登录用户的认证方式、用户级别及其它配置

 

(1)      图2-17所示,建立远程配置环境,在PC机(或终端)的串口和设备的Console口分别挂接Modem。

2-17 搭建远程配置环境

 

(2)      网络管理员端的相关配置。

PC终端与Modem正确连接、Modem与可正常使用的电话线正确相连、获取了远程设备端Console口所连Modem上对应的电话号码。

说明

利用Modem拨号进行远程登录时,使用的是AUX用户界面,设备上的配置需要注意以下几点:

·       Console口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象。

·       Console口的校验方式、停止位、数据位等均采用缺省值。

 

(3)      在与设备直接相连的Modem上进行以下配置。

AT&F-------------------------- Modem恢复出厂配置

ATS0=1------------------------ 配置自动应答(振铃一声)

AT&D-------------------------- 忽略DTR信号

AT&K0------------------------- 禁止流量控制

AT&R1------------------------- 忽略RTS信号

AT&S0------------------------- 强制DSR为高电平

ATEQ1&W----------------------- 禁止modem回送命令响应和执行结果并存储配置

在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果。

说明

各种Modem配置命令及显示的结果有可能不一样,具体操作请参照Modem的说明书进行。

 

(4)      在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),新建一个拨号连接(所拨号码为与设备相连的Modem的电话号码),与设备建立连接,如图2-18图2-20所示。

说明

如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的拨号控制软件,使用方法请参照软件的使用指导或联机帮助。

 

(5)      在远端通过终端仿真程序和Modem向设备拨号

2-18 新建连接

 

2-19 拨号号码配置

 

2-20 在远端PC机上拨号

 

(6)      如果配置验证方式为Password,在远端的终端仿真程序上输入已配置的登录口令,出现命令行提示符(如<H3C>),即可对设备进行配置或管理。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关模块的内容。

(7)      当听到拨号音后,超级终端窗口将返回字符串“CONNECT9600”,键入回车键之后将出现命令行提示符(如<H3C>),如图2-21所示。

2-21 AUX登录界面

 

(8)      键入命令,配置设备或查看设备运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。

说明

·       当您想断开PC与远端设备的连接时,首先在超级终端中用命用“ATH”命令断开modem间的连接。如果在超级终端窗口无法输入此命令,可输入“AT+ + +”并回车,待窗口显示“OK”提示后再输入“ATH”命令,屏幕再次显示“OK”提示,表示已断开本次连接。您也可以使用超级终端页面提供的挂断按扭断开PC与远端设备的连接。

·       当您使用完超级终端仿真程序后,务必要先断开PC与远端设备的连接,不能直接关闭超级终端,否则有些型号的远程modem将一直在线,下次拨号连接时将无法拨号成功。

 

2.5.3  Modem拨号登录的认证方式介绍

通过在AUX用户界面下配置认证方式,可以对使用Modem拨号登录的用户进行限制,以提高设备的安全性。Modem拨号支持的认证方式有none、passwordscheme三种。

·              认证方式为none:表示下次使用Modem拨号登录设备时,不需要进行用户名和密码认证、任何人都可以通过Modem拨号登录到设备上,这种情况可能会带来安全隐患。

·              认证方式为password:表示下次使用Modem拨号登录设备时,需要进行密码认证、只有密码认证成功、用户才能登录到设备上。配置认证方式为password后,请妥善保存密码,如果密码丢失,可以使用Modem拨号登录到交换机设备,对Modem拨号的密码配置进行查看或修改。

·              认证方式为scheme:表示下次使用Modem拨号登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA配置”。配置认证方式为scheme后,请妥善保存用户名及密码,如果本地认证密码丢失,可以使用Modem拨号登录到交换机设备,对Modem拨号的密码配置进行查看或修改。如果远程认证密码丢失,建议您联系服务器管理员。

不同的认证方式下,Modem拨号登录方式需要进行的配置不同,具体配置如表2-3所示。

2-19 配置任务简介

认证方式

认证所需配置

说明

None

设置登录用户的认证方式为不认证

具体内容请参见2.5.4 

Password

设置登录用户的认证方式为Password认证

具体内容请参见2.5.5 

设置本地验证的口令

Scheme

设置登录用户的认证方式为Scheme认证

具体内容请参见2.5.6 

选择认证方案

采用远端AAA服务器认证

在设备上配置RADIUS/HWTACACS方案

在设备上配置域使用的AAA方案

在AAA服务器上配置相关的用户名和密码

采用本地认证

在设备上配置认证用户名和密码

在设备上配置域使用的AAA方案为本地认证

 

说明

改变Modem拨号登录方式的认证方式后,该认证方式的设置不会立即生效。用户需要退出命令行接口后重新登录,该设置才会生效。

 

2.5.4  配置用户通过Modem登录设备时无需认证(None)(FIPS模式下不支持该方式)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Modem拨号登录设备时无需进行认证。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

2-20 配置用户通过Modem拨号登录设备时无需认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

设置登录用户的认证方式为不认证

authentication-mode none

必选

缺省情况下,用户通过Modem拨号登录,认证方式为none(即不需要进行认证)

配置AUX用户界面的公共属性

-

可选

详细配置请参见2.5.7  配置AUX用户界面的公共属性(可选)

 

配置完成后,当用户再次通过Modem拨号登录设备时,设备将提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图2-22所示。

2-22 用户通过Modem拨号登录设备时无需认证登录界面

 

2.5.5  配置用户通过Modem登录设备时采用密码认证(Password)(FIPS模式下不支持该方式)

1. 配置前提

用户已经成功登录到了设备上,并希望以后通过Modem拨号登录设备时采用密码认证、以提高设备的安全性。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

2-21 配置用户通过Modem拨号登录设备时采用密码认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

设置登录用户的认证方式为本地口令认证

authentication-mode password

必选

缺省情况下,用户通过Modem登录,认证方式为none(即不需要进行认证)

设置本地验证的口令

set authentication password [ hash ] { cipher | simple } password

必选

缺省情况下,没有设置本地认证的口令

配置AUX用户界面的公共属性

-

可选

详细配置请参见2.5.7  配置AUX用户界面的公共属性(可选)

 

配置完成后,当用户再次通过Modem拨号登录设备时,键入回车后,设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-23所示。

2-23 用户通过Modem拨号登录设备时采用密码认证登录界面

 

2.5.6  配置用户通过Modem登录设备时采用AAA认证(Scheme)

1. 配置前提

用户已经成功的登录到了设备上,并希望以后通过Modem拨号登录设备时采用AAA认证、以提高设备的安全性。

缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见2.2.2  缺省配置下如何通过Console口登录设备

2. 配置过程

2-22 配置用户通过Modem拨号登录设备时采用AAA认证

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

设置登录用户的认证方式为通过认证方案认证

authentication-mode scheme

必选

具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定

缺省情况下,用户通过AUX口登录,认证方式为none(即不需要进行认证)

使能命令行授权功能

command authorization

可选

缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权

·       缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。

·       需要注意的是,执行此命令后,命令行授权功能将立即生效,此后执行的命令都要经过AAA授权后才能执行成功,因此请先完成对AAA授权及AAA服务器的配置,再使能此功能

使能命令行计费功能

command accounting

可选

缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行

·       命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。

·       需要注意的是,执行此命令后,命令行计费功能将立即生效,因此请先完成对AAA计费及AAA服务器的配置,再使能此功能

退出至系统视图

quit

-

配置设备采用的认证方案

进入ISP域视图

domain domain-name

可选

缺省情况下,系统使用的AAA方案为local

如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:

·       设备上的RADIUS、HWTACACS方案配置请参见“安全配置指导”中的“AAA配置”

·       AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书

配置域使用的AAA方案

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

退出至系统视图

quit

创建本地用户(进入本地用户视图)

local-user user-name

必选

缺省情况下,无本地用户

设置本地用户认证口令

非FIPS模式下:

password [ [ hash ] { cipher | simple  } password ]

FIPS模式下:

password

必选

设置本地用户的命令级别

authorization-attribute level level

可选

缺省情况下,命令级别为0

设置本地用户的服务类型

service-type terminal

必选

缺省情况下,无用户服务类型

配置AUX用户界面的公共属性

-

可选

详细配置请参见2.5.7  配置AUX用户界面的公共属性(可选)

 

说明

使能命令行授权功能后,还需要进行如下配置才能保证命令行授权功能生效:

·       需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA配置”。

·       需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA配置”。

 

说明

使能命令行计费功能后,还需要进行如下配置才能保证命令行计费功能生效:

·       需要创建HWTACACS方案,在方案中指定计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA配置”。

·       需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA配置”。

 

说明

需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。

·       AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。

·       AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。

有关AAA、RADIUS、HWTACACS的详细内容,请参见“安全配置指导”中的“AAA配置”的介绍。

 

配置完成后,当用户再次通过Modem拨号登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-6所示。

2-24 用户通过Modem拨号登录设备时AAA认证登录界面

 

2.5.7  配置AUX用户界面的公共属性(可选)

2-23 AUX用户界面的公共属性配置

操作

命令

说明

进入系统视图

system-view

-

使能显示版权信息

copyright-info enable

可选

缺省情况下,显示版权信息处于使能状态

进入AUX用户界面视图

user-interface aux first-number [ last-number ]

-

配置AUX口的属性

配置传输速率

speed speed-value

可选

缺省情况下,传输速率为9600bit/s

传输速率为设备与访问终端之间每秒钟传送的比特的个数

配置校验方式

parity { even | mark | none | odd | space }

可选

缺省情况下,校验方式为none,即不进行校验

配置停止位

stopbits { 1 | 1.5 | 2 }

可选

缺省情况下,停止位为1

停止位用来表示单个包的结束。停止位的位数越多,传输效率越低

配置数据位

databits { 5 | 6 | 7 | 8 }

可选

缺省情况下,数据位为8位

数据位的设置取决于需要传送的信息。比如,如果传送的是标准的ASCII码,则可以将数据位设置为7,如果传输的是扩展的ASCII码,则需要将数据位设置为8

配置启动终端会话的快捷键

activation-key character

可选

缺省情况下,按<Enter>键启动终端会话

配置中止当前运行任务的快捷键

escape-key { default | character }

可选

缺省情况下,键入<Ctrl+C>中止当前运行的任务

配置流量控制方式

flow-control { hardware | none | software }

可选

缺省情况下,流量控制方式为none

配置终端的显示类型

terminal type { ansi | vt100 }

可选

缺省情况下,终端显示类型为ANSI

当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型

设置用户登录后可以访问的命令级别

user privilege level level

可选

缺省情况下,从AUX用户界面登录后可以访问的命令级别为3级

FIPS模式下不支持该命令

设置终端屏幕一屏显示的行数

screen-length screen-length

可选

缺省情况下,终端屏幕一屏显示的行数为24行

screen-length 0表示关闭分屏显示功能

设置历史命令缓冲区大小

history-command max-size value

可选

缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令

设置用户界面的超时时间

idle-timeout minutes [ seconds ]

可选

缺省情况下,所有的用户界面的超时时间为10分钟,如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开

idle-timeout 0表示关闭用户界面的超时功能

 

注意

·       改变Console口属性后会立即生效,通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性。若用户需要通过Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口属性保持一致。

·       Console口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象。

 

2.6  CLI登录显示和维护

2-24 CLI显示和维护

操作

命令

说明

显示当前为Telnet Client设置的源IP地址或源接口的信息

display telnet client configuration [ | { begin | exclude | include } regular-expression ]

在任意视图下执行

显示当前正在使用的用户界面以及用户的相关信息

display users [ | { begin | exclude | include } regular-expression ]

在任意视图下执行

显示设备支持的所有用户界面以及用户的相关信息

display users all [ | { begin | exclude | include } regular-expression ]

在任意视图下执行

显示用户界面的相关信息

display user-interface [ num1 | { aux | vty } num2 ] [ summary ] [ | { begin | exclude | include } regular-expression ]

在任意视图下执行

释放指定的用户界面

free user-interface { num1 | { aux | vty } num2 }

在用户视图下执行

系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以使用以下命令强制断开该用户的连接。

不能使用该命令释放用户当前自己使用的连接。

锁住当前用户界面

lock

在用户视图下执行

缺省情况下,不锁住当前用户界面

FIPS模式下不支持该命令

设置在用户界面之间传递消息

send { all | num1 | { aux | vty } num2 }

在用户视图下执行

 


3 配置通过Web网管登录设备

3.1  通过Web网管登录设备简介

为了方便您对网络设备进行配置和维护,设备提供Web网管功能。设备提供一个内置的Web服务器,您可以通过PC登录到设备上,使用Web界面直观地配置和维护设备。

缺省情况下,用户不能通过Web登录到设备上,如果要使用Web登录设备,您首先需要通过Console口登录到设备上,开启设备的Web登录功能(开启HTTP或HTTPS协议),并配置设备VLAN接口的IP地址、Web登录用户及认证口令等,配置完成后,您即可使用Web网管的方式登录设备。

设备支持两种内置的Web登录方式:

·              HTTP登录方式:HTTP是Hypertext Transfer Protocol(超文本传输协议)的简称。它用来在Internet上传递Web页面信息。HTTP位于TCP/IP协议栈的应用层。传输层采用面向连接的TCP。目前,设备支持的HTTP协议版本为HTTP/1.0。

·              HTTPS登录方式:HTTPS(Secure HTTP,安全的HTTP)是支持SSL(Secure Sockets Layer,安全套接层)协议的HTTP协议。HTTPS通过SSL协议,使客户端与设备之间交互的数据经过加密处理,并为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备,从而实现了对设备的安全管理。

3-1 通过Web登录设备需要具备的条件

对象

需要具备的条件

设备

配置设备VLAN的IP地址,设备与Web登录用户间路由可达

配置Web登录用户的属性

二者必选其一

HTTP方式配置

HTTPS方式配置

Web登录用户

运行Web浏览器

获取要登录设备VLAN接口的IP地址

 

本节将为您介绍如何通过Web登录设备,并配置通过Web登录时的认证方式及用户级别等,实现对Web登录用户的控制。

3.2  配置通过HTTP方式登录设备(FIPS模式下不支持该登录方式)

3-2 配置通过HTTP方式登录设备

操作

命令

说明

进入系统视图

system-view

-

启动HTTP服务器

ip http enable

必选

缺省情况下,Web服务器为启动状态

配置HTTP服务的端口号

ip http port port-number

可选

缺省情况下,HTTP服务的端口号为80

如果重复执行此命令,HTTP服务将使用最后一次配置的端口号

配置HTTP服务与ACL关联

ip http acl acl-number

可选

缺省情况下,没有ACL与HTTP服务关联

通过将HTTP服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问设备

设置Web登录用户连接的超时时间

web idle-timeout minutes

可选

设置Web日志缓冲区容量

web logbuffer size pieces

可选

创建本地用户(进入本地用户视图)

local-user user-name

必选

缺省情况下,无本地用户

配置本地认证口令

password { cipher | simple } password

必选

缺省情况下,无本地认证口令

配置Web登录的用户级别

authorization-attribute level level

必选

缺省情况下,没有配置Web登录的用户级别

配置Web登录用户的服务类型

service-type web

必选

缺省情况下,没有配置用户的服务类型

退出至系统视图

quit

-

创建VLAN接口并进入VLAN接口视图

interface vlan-interface vlan-interface-id

必选

如果该VLAN接口已经存在,则直接进入该VLAN接口视图

配置VLAN接口的IP地址

ip address ip-address { mask | mask-length }

必选

缺省情况下,没有配置VLAN接口的IP地址

 

3.3  配置通过HTTPS方式登录设备

3-3 配置通过HTTPS方式登录设备

操作

命令

说明

进入系统视图

system-view

-

配置PKI和SSL的相关特性

·       有关PKI的详细内容,请参见“安全配置指导”中的“PKI配置”的介绍

·       有关SSL的详细内容,请参见“安全配置指导”中的“SSL配置”的介绍

必选

缺省情况下,没有对PKI和SSL进行配置

配置HTTPS服务与SSL服务器端策略关联

ip https ssl-server-policy policy-name

必选

缺省情况下,没有SSL服务器端策略与HTTPS服务关联

·       关闭HTTPS服务后,系统将自动取消HTTPS服务与SSL服务器端策略的关联。再次使能HTTPS服务之前,需要重新配置HTTPS服务与SSL服务器端策略关联

·       HTTPS服务处于使能状态时,对与其关联的SSL服务器端策略进行的修改不会生效

配置HTTPS服务与证书属性访问控制策略关联

ip https certificate access-control-policy policy-name

可选

缺省情况下,没有证书属性访问控制策略与HTTPS服务关联

·       通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制,进一步保证设备的安全性

·       如果配置HTTPS服务与证书属性访问控制策略关联,则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verify enable命令,否则,客户端无法登录设备。

·       如果配置HTTPS服务与证书属性访问控制策略关联,则证书属性访问控制策略中必须至少包括一条permit规则,否则任何HTTPS客户端都无法登录设备。

·       证书属性访问控制策略的详细介绍请参见“安全配置指导”中的“PKI配置”

使能HTTPS服务

ip https enable

必选

缺省情况下,HTTPS服务处于关闭状态

使能HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。因此,在这种情况下,需要多次执行ip https enable命令,这样HTTPS服务才能正常启动

配置HTTPS服务的端口

ip https port port-number

可选

缺省情况下,HTTPS服务的端口号为443

配置HTTPS服务与ACL关联

ip https acl acl-number

可选

缺省情况下,没有ACL与HTTPS服务关联

通过将HTTP服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问设备

设置Web登录用户连接的超时时间

web idle-timeout minutes

可选

设置Web日志缓冲区容量

web logbuffer size pieces

可选

创建本地用户(进入本地用户视图)

local-user user-name

必选

缺省情况下,无本地用户

配置本地认证口令

password { cipher | simple } password

必选

缺省情况下,无本地认证口令

配置Web登录的用户级别

authorization-attribute level level

必选

缺省情况下,没有配置Web登录的用户级别

配置Web登录用户的服务类型

service-type web

必选

缺省情况下,没有配置用户的服务类型

退出至系统视图

quit

-

创建VLAN接口并进入VLAN接口视图

interface vlan-interface vlan-interface-id

必选

如果该VLAN接口已经存在,则直接进入该VLAN接口视图

配置VLAN接口的IP地址

ip address ip-address { mask | mask-length }

必选

缺省情况下,没有配置VLAN接口的IP地址

 

3.4  通过Web网管登录设备显示与维护

在完成上述配置后,在任意视图下执行display命令可以显示Web用户的信息,通过查看显示信息验证配置的效果。

3-4 Web用户显示

操作

命令

显示Web用户的相关信息

display web users [ | { begin | exclude | include } regular-expression ]

显示HTTP的状态信息

display ip http [ | { begin | exclude | include } regular-expression ]

显示HTTPS的状态信息

display ip https [ | { begin | exclude | include } regular-expression ]

 

3.5  通过Web网管登录设备典型配置举例

3.5.1  使用HTTP方式登录设备典型配置举例(FIPS模式下不支持该举例)

1. 组网需求

PC与设备通过以太网相连,设备的IP地址为192.168.0.58/24。

2. 组网图

3-1 配置NMS登录组网图

 

3. 配置步骤

(2)      设备侧配置

# 通过Console口正确配置设备VLAN 1(VLAN 1为设备的缺省VLAN)接口的IP地址为192.168.0.58,子网掩码为255.255.255.0。

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-VLAN-interface1] ip address 192.168.0.58 255.255.255.0

[Sysname-VLAN-interface1] quit

# 配置Web网管用户名为admin,认证口令为admin,用户级别为3级。

[Sysname] local-user admin

[Sysname-luser-admin] service-type web

[Sysname-luser-admin] authorization-attribute level 3

[Sysname-luser-admin] password simple admin

(1)      客户端配置

# 在PC的浏览器地址栏内输入设备的IP地址(此处设备的IP地址以192.168.0.58为例)并回车,浏览器将显示Web网管的登录页面,如图3-2所示:

3-2 通过Web登录设备

 

# 在“Web网管用户登录”对话框中输入用户名、密码及验证码(此处用户名以admin为例),并选择登录使用的语言,点击<登录>按钮后即可登录,显示Web网管初始页面。成功登录后,您可以在配置区对设备进行各种配置。

3.5.2  使用HTTPS方式登录设备典型配置举例

1. 组网需求

用户可以通过Web页面访问和控制设备。为了防止非法用户访问和控制设备,提高设备管理的安全性,设备要求用户以HTTPS(HTTP Security,支持SSL协议的HTTP)的方式登录Web页面,利用SSL协议实现用户身份验证,并保证传输的数据不被窃听和篡改。

为了满足上述需求,需要进行如下配置:

·              配置Device作为HTTPS服务器,并为Device申请证书。

·              为HTTPS客户端Host申请证书,以便Device验证其身份。

其中,负责为Device和Host颁发证书的CA(Certificate Authority,认证机构)名称为new-ca。

说明

l   本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。

l   进行下面的配置之前,需要确保Device、Host、CA之间路由可达。

 

2. 组网图

3-3 HTTPS配置组网图

 

3. 配置步骤

(1)      配置HTTPS服务器Device

# 配置PKI实体en,指定实体的通用名为http-server1、FQDN为ssl.security.com。

<Device> system-view

[Device] pki entity en

[Device-pki-entity-en] common-name http-server1

[Device-pki-entity-en] fqdn ssl.security.com

[Device-pki-entity-en] quit

# 配置PKI域1,指定信任的CA名称为new-ca、注册服务器的URL为http://10.1.2.2/certsrv/mscep/mscep.dll、证书申请的注册受理机构为RA、实体名称为en。

[Device] pki domain 1

[Device-pki-domain-1] ca identifier new-ca

[Device-pki-domain-1] certificate request url http://10.1.2.2/certsrv/mscep/mscep.dll

[Device-pki-domain-1] certificate request from ra

[Device-pki-domain-1] certificate request entity en

[Device-pki-domain-1] quit

# 生成本地的RSA密钥对。

[Device] public-key loc   al create rsa

# 获取CA的证书。

[Device] pki retrieval-certificate ca domain 1

# 为Device申请证书。

[Device] pki request-certificate domain 1

# 创建SSL服务器端策略myssl,指定该策略使用PKI域1,并配置服务器端需要验证客户端身份。

[Device] ssl server-policy myssl

[Device-ssl-server-policy-myssl] pki-domain 1

[Device-ssl-server-policy-myssl] client-verify enable

[Device-ssl-server-policy-myssl] quit

# 创建证书属性组mygroup1,并配置证书属性规则,该规则规定证书颁发者的DN(Distinguished Name,可识别名称)中包含new-ca。

[Device] pki certificate attribute-group mygroup1

[Device-pki-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca

[Device-pki-cert-attribute-group-mygroup1] quit

# 创建证书访问控制策略myacp,并建立控制规则,该规则规定只有由new-ca颁发的证书可以通过证书访问控制策略的检测。

[Device] pki certificate access-control-policy myacp

[Device-pki-cert-acp-myacp] rule 1 permit mygroup1

[Device-pki-cert-acp-myacp] quit

# 配置HTTPS服务与SSL服务器端策略myssl关联。

[Device] ip https ssl-server-policy myssl

# 配置HTTPS服务与证书属性访问控制策略myacp关联,确保只有从new-ca获取证书的HTTPS客户端可以访问HTTPS服务器。

[Device] ip https certificate access-control-policy myacp

# 使能HTTPS服务。

[Device] ip https enable

# 创建本地用户usera,密码为123,服务类型为telnet。

[Device] local-user usera

[Device-luser-usera] password simple 123

[Device-luser-usera] service-type web

(2)      配置HTTPS客户端Host

在Host上打开IE浏览器,输入网址http://10.1.2.2/certsrv,根据提示为Host申请证书。

(3)      验证配置结果

在Host上打开IE浏览器,输入网址https://10.1.1.1,选择new-ca为Host颁发的证书,即可打开Device的Web登录页面。在登录页面,输入用户名usera,密码123,则可进入Device的Web配置页面,实现对Device的访问和控制。

说明

l   HTTPS服务器的URL地址以“https://”开始,HTTP服务器的URL地址以“http://”开始。

l   PKI配置命令的详细介绍请参见“安全命令参考”中的“PKI配置命令”;

l   public-key local create rsa命令的详细介绍请参见“安全命令参考”中的“公钥管理”;

l   SSL配置命令的详细介绍请参见“安全命令参考”中的“SSL配置命令”。

 


4 配置通过NMS登录设备

4.1  通过NMS登录设备简介

用户可通过NMS(Network Management Station,网管工作站)登录到设备上,通过设备上的Agent模块对设备进行管理、配置。设备支持多种NMS软件,如iMC。

缺省情况下,用户不能通过NMS登录到设备上,如果要使用NMS登录设备,您首先需要通过Console口登录到设备上,在设备上进行相关配置。配置完成后,您即可使用NMS网管的方式登录设备。

4-1 通过NMS登录设备需要具备的条件

对象

需要具备的条件

设备

配置设备VLAN接口的IP地址,设备与NMS间路由可达

配置SNMP基本功能

NMS(网管工作站)

NMS网管工作站进行了正确配置,具体配置请参见NMS附带的网管手册

 

4.2  配置通过NMS登录设备

建立配置环境,将PC机以太网口通过网络与设备VLAN1下的以太网口连接,确保PC机和VLAN1接口之间路由可达。

4-1 通过NMS方式登录组网环境

 

4-2 配置SNMP基本参数(SNMP v3版本)

操作

命令

说明

进入系统视图

system-view

-

启动SNMP Agent服务

snmp-agent

可选

缺省情况下,SNMP Agent服务处于关闭状态

执行此命令或执行snmp-agent的任何一条配置命令(不含display命令),都可以启动SNMP Agent

配置SNMP组

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

必选

缺省情况下,没有配置SNMP组

为SNMP组添加新用户

snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ]

必选

如果使用cipher参数,则后面的auth-passwordpriv-password都将被视为密文密码

 

4-3 配置SNMP基本参数(SNMP v1版本、SNMP v2c版本)

操作

命令

说明

进入系统视图

system-view

-

启动SNMP Agent服务

snmp-agent

可选

缺省情况下,SNMP Agent服务处于关闭状态。

执行此命令或执行snmp-agent的任何一条配置命令,都可以启动SNMP Agent

创建或更新MIB视图内容

snmp-agent mib-view { excluded | included  } view-name oid-tree [ mask mask-value ]

可选

缺省情况下,视图名为ViewDefault,OID为1

设置访问权限

直接设置

创建一个新的SNMP团体

snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]*

二者必选其一

直接设置是以SNMP v1和v2c版本的团体名进行设置

间接设置采用与SNMP v3版本一致的命令形式,添加的用户到指定的组,即相当于SNMP v1和SNMP v2c版本的团体名,在NMS上配置的团体名需要跟Agent上配置的用户名一致

间接设置

设置一个SNMP组

snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

为一个SNMP组添加一个新用户

snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ]

 

说明

设备支持SNMP v1、SNMP v2c和SNMP v3三种版本,关于SNMP的详细介绍及配置,请参见“网络管理和监控配置指导”中的“SNMP配置”介绍。

 

4.3  通过NMS登录设备典型配置举例

通过NMS登录设备的方法如下(此处以iMC为例):

(1)      设备配置

# 配置设备的IP地址为1.1.1.1/24,并确保设备与NMS之间路由可达。(配置步骤略)

# 进入系统视图。

<Sysname> system-view

# 启动SNMP Agent服务。

[Sysname] snmp-agent

# 配置SNMP组。

[Sysname] snmp-agent group v3 managev3group read-view test write-view test

# 为SNMP组添加新用户

[Sysname] snmp-agent usm-user v3 managev3user managev3group

(1)      配置NMS

用户可利用网管系统完成对设备的查询和配置操作,具体情况请参考NMS的配套手册。

说明

NMS侧的配置必须和设备侧保持一致,否则无法进行相应操作。

 

(2)      配置客户端

在PC的浏览器地址栏内输入iMC的IP地址(此处以iMC的IP地址为192.168.4.112为例),如图4-2所示:在地址栏中输入http://192.168.4.112:8080/imc(IP地址和端口号应与实际安装环境保持一致)。

4-2 登录页面

1-1

 

在登录页面中,输入正确的操作员和密码后单击<登录>按钮,即可进入系统首页,如图4-3所示。

4-3 iMC配置界面

2-5

 

成功登录后,您可以选择相应选项对设备进行各种配置和管理。需要帮助可以随时点击登录页面右上角的“帮助”选项获得相应功能的帮助信息。

通过以上配置,NMS可以和设备建立SNMP连接,能够通过MIB节点查询、设置设备上某些参数的值。


5 对登录用户的控制

5.1  对登录用户的控制简介

设备提供对不同登录方式进行控制,如表5-1所示。

5-1 对登录用户的控制

登录方式

控制方式

实现方法

相关小节

Telnet

通过源IP对Telnet进行控制

通过基本ACL实现

5.2.2 

通过源IP、目的IP对Telnet进行控制

通过高级ACL实现

5.2.3 

通过源MAC对Telnet进行控制

通过二层ACL实现

5.2.4 

SNMP

通过源IP对网管用户进行控制

通过基本ACL实现

5.3.2 

Web

通过源IP对Web用户进行控制

通过基本ACL实现

5.4.2 

 

5.2  配置对Telnet用户的控制(FIPS模式下不支持该功能)

5.2.1  配置准备

确定了对Telnet的控制策略,包括对哪些源IP、目的IP、源MAC进行控制,控制的动作是允许访问还是拒绝访问。

5.2.2  通过源IP对Telnet进行控制

本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL配置”的相关内容。

5-2 通过源IP对Telnet进行控制

操作

命令

说明

进入系统视图

system-view

-

创建或进入基本ACL视图

acl [ ipv6 ] number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]*

必选

退出ACL视图

quit

-

进入用户界面视图

user-interface [ type ] first-number [ last-number ]

-

引用访问控制列表,通过源IP对Telnet进行控制

acl [ ipv6 ] acl-number { inbound | outbound }

必选

inbound:对Telnet到本设备的用户进行ACL控制

outbound:对从本设备Telnet到其他Telnet服务器的用户进行ACL控制

 

5.2.3  通过源IP、目的IP对Telnet进行控制

本配置需要通过高级访问控制列表实现。高级访问控制列表的序号取值范围为3000~3999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL配置”的相关内容。

5-3 配置高级ACL规则

操作

命令

说明

进入系统视图

system-view

-

创建或进入高级ACL视图

acl [ ipv6 ] number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } rule-string

必选

用户可以根据需要配置对相应的源IP、目的IP进行过滤的规则

退出ACL视图

quit

-

进入用户界面视图

user-interface [ type ] first-number [ last-number ]

-

引用访问控制列表,通过源IP、目的IP对Telnet进行控制

acl [ ipv6 ] acl-number { inbound | outbound }

必选

inbound:对Telnet到本设备的用户进行ACL控制

outbound:对从本设备Telnet到其他Telnet服务器的用户进行ACL控制

 

5.2.4  通过源MAC地址对Telnet进行控制

本配置需要通过二层访问控制列表实现。二层访问控制列表的序号取值范围为4000~4999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL配置”的相关内容。

5-4 配置二层ACL规则

操作

命令

说明

进入系统视图

system-view

-

创建或进入高级ACL视图

acl number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } rule-string

必选

用户可以根据需要配置对相应的源MAC进行过滤的规则

退出ACL视图

quit

-

进入用户界面视图

user-interface [ type ] first-number [ last-number ]

-

引用访问控制列表,通过源MAC对Telnet进行控制

acl acl-number inbound

必选

inbound:对Telnet到本设备的用户进行ACL控制

 

说明

二层访问控制列表对于Telnet Client的源IP与Telnet服务器的接口IP不在同一网段的不生效。

 

5.2.5  配置举例

1. 组网需求

通过源IP对Telnet进行控制,仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问设备。

2. 组网图

5-1 对Device的Telnet用户进行ACL控制

 

3. 配置步骤

# 定义基本访问控制列表。

<Sysname> system-view

[Sysname] acl number 2000 match-order config

[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0

[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0

[Sysname-acl-basic-2000] quit

# 引用访问控制列表,允许源地址为10.110.100.52和10.110.100.46的Telnet用户访问设备。

[Sysname] user-interface vty 0 4

[Sysname-ui-vty0-4] acl 2000 inbound

5.3  通过源IP对网管用户进行控制

设备支持通过网管软件进行远程管理。网管用户可以通过SNMP访问设备。通过引用访问控制列表,可以对访问设备的SNMP用户进行控制。

5.3.1  配置准备

确定了对网管用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。

5.3.2  通过源IP对网管用户进行控制

本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL配置”的相关内容。

5-5 通过源IP对网管用户进行控制

操作

命令

说明

进入系统视图

system-view

-

创建或进入基本ACL视图

acl [ ipv6 ] number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]*

必选

退出ACL视图

quit

-

在配置SNMP团体名的命令中引用访问控制列表

snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]*

必选

根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组名或者用户名配置时引用访问控制列表,详细介绍请参见“网络管理和监控配置指导”中的“SNMP配置”的相关内容

在配置SNMP组名的命令中引用访问控制列表

snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

在配置SNMP用户名的命令中引用访问控制列表

snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ]

snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ]

 

5.3.3  配置举例

1. 组网需求

通过源IP对网管用户进行控制,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问设备。

2. 组网图

5-2 对SNMP用户进行ACL控制

 

3. 配置步骤

# 定义基本访问控制列表。

<Sysname> system-view

[Sysname] acl number 2000 match-order config

[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0

[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0

[Sysname-acl-basic-2000] quit

# 引用访问控制列表,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问设备。

[Sysname] snmp-agent community read aaa acl 2000

[Sysname] snmp-agent group v2c groupa acl 2000

[Sysname] snmp-agent usm-user v2c usera groupa acl 2000

5.4  通过源IP对Web用户进行控制(FIPS模式下不支持该方式)

设备支持通过Web方式进行远程管理。Web用户可以通过HTTP协议访问设备。通过引用访问控制列表,可以对访问设备的Web用户进行控制。

5.4.1  配置准备

确定了对Web用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。

5.4.2  通过源IP对Web用户进行控制

本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL配置”的相关内容。

5-6 通过源IP对Web用户进行控制

操作

命令

说明

进入系统视图

system-view

-

创建或进入基本ACL视图

acl [ ipv6 ] number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]*

必选

退出ACL视图

quit

-

引用访问控制列表对Web用户进行控制

ip http acl acl-number

HTTP和HTTPs是两种独立的登录方式,不存在配置依赖关系,请根据需要二者必选其一

ip https acl acl-number

 

5.4.3  强制在线Web用户下线

网络管理员可以通过命令行强制在线Web用户下线。

5-7 强制在线Web用户下线

操作

命令

说明

强制在线Web用户下线

free web-users { all | user-id user-id | user-name user-name }

必选

在用户视图下执行

 

5.4.4  配置举例

1. 组网需求

通过源IP对Web用户进行控制,仅允许来自10.110.100.52的Web用户访问设备。

2. 组网图

5-3 对Switch的HTTP用户进行ACL控制

3. 配置步骤

# 定义基本访问控制列表。

<Sysname> system-view

[Sysname] acl number 2030 match-order config

[Sysname-acl-basic-2030] rule 1 permit source 10.110.100.52 0

# 引用访问控制列表,仅允许来自10.110.100.52的Web用户访问设备。

[Sysname] ip http acl 2030

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们