- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-登录交换机典型配置举例
本章节下载: 01-登录交换机典型配置举例 (254.61 KB)
目 录
本章介绍登录交换机的几种方法,其中包括通过Console口登录、通过Telnet登录、通过Web网管登录。
如图1所示,PC机的串口通过配置电缆与设备的Console口连接。现要求用户能通过设备的Console口登录到交换机,并且下次通过Console口登录时需要本地认证,以提高设备的安全性。
图1 通过Console口登录交换机的组网图
· 缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)。因此,只要用户终端的通信参数配置和交换机Console口的缺省配置保持一致,就能通过Console口登录到以太网交换机上。交换机Console口的缺省配置如下:
表1 交换机Console口缺省配置
|
属性 |
缺省配置 |
|
传输速率 |
9600bit/s |
|
流控方式 |
不进行流控 |
|
校验方式 |
不进行校验 |
|
停止位 |
1 |
|
数据位 |
8 |
· 要对下次Console口登录的用户进行本地认证,需配置Console口登录的认证方式为scheme,并且需要创建本地用户和设置用户密码。
· 缺省情况下,本地用户无服务类型,能够访问的命令级别为0。因此,需要设置本地用户的服务类型为terminal,能够访问的命令级别为3,才能使用户成功登录并在登录后对设备进行管理和配置。
用户执行以下命令后,配置将立即生效,所以通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其它登录方式来配置Console口属性。
# 在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),选择与交换机相连的串口,如图2至图3所示。
如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理交换机;如果您的PC使用的是Windows 2008 Server、Windows 7、Windows Vista或其它操作系统,请您准备第三方的终端控制软件,使用方法请参照软件的使用指导或联机帮助。
# 设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图4所示。
# 以太网交换机上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如<HP>),如图5所示。输入命令,配置交换机或查看交换机运行状态。需要帮助可以随时键入“?”。
# 进入AUX用户界面视图。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] user-interface aux 0
# 设置通过Console口登录交换机的用户进行Scheme认证。
[Sysname-ui-aux0] authentication-mode scheme
[Sysname-ui-aux0] quit
# 进入系统视图,创建本地用户guest,并进入本地用户视图。
[Sysname] local-user guest
New local user added.
# 设置本地用户的认证口令为明文方式,口令为Admin1234)。
[Sysname-luser-guest] password simple Admin1234)
# 设置本地用户的服务类型为Terminal且用户级别为3。
[Sysname-luser-guest] service-type terminal
[Sysname-luser-guest] authorization-attribute level 3
[Sysname-luser-guest] quit
配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名和密码并回车,登录界面中将出现命令行提示符(如<H3C>)。
#
local-user guest
password cipher $c$3$wI+ls++f5LrYDLV7fR5DTEvRniz/+tHtbnYLbio=
authorization-attribute level 3
service-type terminal
#
user-interface aux 0
authentication-mode scheme
如图6所示,Host A、Host B、Host C到Device均路由可达。现要求仅允许来自源IP为192.168.0.46和192.168.0.52的Telnet用户无需认证就能登录设备,并且在登录后对设备进行管理和配置。
图6 通过Telnet登录交换机配置
· 缺省情况下,设备的Telnet服务处于关闭状态。因此需要先通过Console口登录到设备开启设备的Telnet服务功能。
· 缺省情况下,通过VTY用户界面登录系统所能访问的命令级别是0。为了使得用户能够对设备进行管理和配置,需要将VTY用户界面的命令级别为3。
· 通过定义ACL规则,只允许源IP为192.168.0.46和192.168.0.52的Telnet用户可以登录设备。
# 进入系统视图,开启Telnet服务。
<Sysname> system-view
[Sysname] telnet server enable
# 设置通过VTY用户界面登录交换机的Telnet用户不需要进行认证。
[Sysname] user-interface vty 0 15
[Sysname-ui-vty0-15] authentication-mode none
# 配置通过VTY用户界面登录可以访问的命令级别为3级。
[Sysname-ui-vty0-15] user privilege level 3
[Sysname-ui-vty0-15] quit
# 创建并进入基本ACL视图2000。
[Sysname] acl number 2000
[Sysname-acl-basic-2000]
# 定义规则,仅允许来自192.168.0.52和192.168.0.46的Telnet用户访问交换机。
[Sysname-acl-basic-2000] rule 1 permit source 192.168.0.52 0
[Sysname-acl-basic-2000] rule 2 permit source 192.168.0.46 0
[Sysname-acl-basic-2000] rule 3 deny source any
[Sysname-acl-basic-2000] quit
# 引用访问控制列表2000,通过源IP对Telnet用户进行控制。
[Sysname] user-interface vty 0 15
[Sysname-ui-vty0-15] acl 2000 inbound
配置完成后,Host A与Host B能通过Telnet登录设备且无需认证,但Host C无法通过Telnet登录设备。
#
telnet server enable
#
acl number 2000
rule 1 permit source 192.168.0.52 0
rule 2 permit source 192.168.0.46 0
rule 3 deny
#
user-interface vty 0 15
acl 2000 inbound
authentication-mode none
user privilege level 3
#
如图7所示,Host A、Host B到Device均路由可达。某管理员想使用Web网管登录交换机对交换机进行远程管理。出于安全考虑,需要对通过Web网管登录的用户进行控制,仅允许来自源IP为192.168.17.0/24网段的Web用户登录交换机。
图7 通过Web网管登录交换机配置示意图
· 缺省情况下,用户不能通过Web登录到设备上,需要通过Console口登录到设备上,开启设备的Web登录功能(开启HTTP或HTTPS协议)。本例以HTTP协议为例。
· 要使用户能通过Web登录设备需创建本地用户和本地认证密码,并且配置用户的服务类型和Web登录的用户级别。
# 开启交换机的Web Server功能。
<Sysname> system-view
[Sysname] ip http enable
# 配置Web网管用户名为admin,认证口令为admin。
[Sysname] local-user admin
[Sysname-luser-admin] password simple admin
# 配置Web网管用户的服务类型为Web,用户级别为3级。
[Sysname-luser-admin] service-type web
[Sysname-luser-admin] authorization-attribute level 3
[Sysname-luser-admin] quit
# 定义基本访问控制列表。
[Sysname] acl number 2030
[Sysname-acl-basic-2030] rule 1 permit source 192.168.17.0 0.0.0.255
[Sysname-acl-basic-2030] quit
# 引用访问控制列表,仅允许来自192.168.17.0网段的Web用户访问交换机。
[Sysname] ip http acl 2030
通过浏览器登录交换机,在Web网管终端(PC)的浏览器地址栏内输入http://192.168.17.52(Web网管终端和以太网交换机之间要路由可达),浏览器会显示Web网管的登录页面。
输入用户名admin和密码admin及提示的验证码,并选择登录使用的语言,点击<登录>按钮后即可登录,显示Web网管初始页面。
ip http acl 2030
ip http enable
#
acl number 2030
rule 1 permit source 192.168.17.0 0.0.0.255
#
local-user admin
password cipher $c$3$jHCLjGzr9htQVvu616OmnfD+s73he3iO
authorization-attribute level 3
service-type web
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
