03-登录设备配置
本章节下载: 03-登录设备配置 (518.04 KB)
3.2 配置通过Console口/USB Console口本地登录设备
3.2.1 通过Console口/USB Console口登录设备配置任务简介
3.2.2 配置通过Console口/USB Console口登录设备
设备支持CLI(Command Line Interface,命令行接口)、Web、RESTful和SNMP(Simple Network Management Protocol,简单网络管理协议)等登录方式:
· 通过CLI登录设备后,可以直接输入命令行,来配置和管理设备。CLI方式下又根据使用的登录接口以及登录协议不同,分为:通过Console口、USB Console口、Telnet、SSH登录方式。
· 通过Web登录设备后,用户可以使用Web界面直观地管理和维护网络设备。
· 通过RESTful登录设备后,用户可以使用RESTful API来配置和维护设备。
· 通过SNMP登录设备后,NMS可以通过Set和Get等操作来配置和管理设备。关于SNMP的详细介绍请参见“网络管理与维护配置指导”中的“SNMP”。
用户首次登录设备时,只能通过Console口登录,且登录的是缺省MDC。登录时认证方式为none(不需要用户名和密码),用户角色为network-admin,详细登录过程请参见“缺省情况下如何通过Console口登录设备”。只有通过Console口登录到缺省MDC,进行相应的配置后,才能通过其他方式登录缺省MDC。各登录方式下需要的最小配置详见表1-1。
用户登录缺省MDC后,可以划分非缺省MDC。非缺省MDC没有Console口/USB Console口,所以不支持Console口/USB Console口本地登录方式。在缺省MDC下使用switchto mdc命令登录非缺省MDC并进行如表1-1所示的最小配置后,就能通过Telnet/SSH/SNMP登录。switchto mdc命令的详细介绍,请参见“虚拟化技术”中的“MDC”。
设备运行于FIPS模式时,不支持Telnet登录或HTTP方式的Web登录。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
登录方式 |
缺省情况最小配置描述 |
缺省情况下,Console口登录时认证方式为none,存在安全隐患。用户在首次登录后,可以通过修改Console口登录的认证方式以及其他参数来增强设备的安全性 |
|
· 开启设备的Telnet功能(根据产品缺省情况选择) · 配置IP地址,并确保设备与Telnet登录用户间路由可达(缺省情况下,设备未配置IP地址) · 配置password认证方式的密码,或者更改认证方式并完成相关参数的设置(缺省情况下,VTY用户采用password认证方式) · 配置VTY用户的用户角色(缺省情况下,VTY用户的角色为network-operator) |
|
· 开启设备SSH功能并完成SSH属性的配置(根据产品缺省情况选择) · 配置IP地址,并确保设备与SSH登录用户间路由可达(缺省情况下,设备未配置IP地址) · 配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用password认证方式) · 配置VTY用户的用户角色(缺省情况下,VTY用户的角色为network-operator) |
|
· 配置设备IP地址,确保设备与Web登录用户间路由可达(缺省情况下,设备未配置IP地址) · 配置Web用户的用户名与密码(缺省情况下,设备未创建Web用户名和密码) · 配置Web用户的用户角色(缺省情况下,Web用户的角色为network-operator) · 配置Web用户的服务类型为http或者https(缺省情况下,未配置Web登录用户的服务类型) |
|
· 配置设备IP地址,确保设备与RESTful登录用户间路由可达(缺省情况下,设备未配置IP地址) · 配置RESTful用户的用户名与密码(缺省情况下,设备未创建RESTful用户名和密码) · 配置RESTful用户的用户角色(缺省情况下,RESTful用户的角色为network-operator) · 配置RESTful用户的服务类型为http或者https(缺省情况下,未配置RESTful登录用户的服务类型) |
|
· 配置IP地址,并确保设备与NMS登录用户间路由可达(缺省情况下,设备未配置IP地址) · 配置SNMP基本参数 |
通过Console口进行本地登录是登录设备的最基本的方式,也是配置通过其他方式登录设备的基础。
通过Console口登录设备时,请按照以下步骤进行操作:
(1) PC断电。因为PC机串口不支持热插拔,请不要在PC带电的情况下,将串口线插入或者拔出PC机。
(2) 请使用产品随机附带的配置口电缆连接PC机和设备。请先将配置口电缆的DB-9(孔)插头插入PC机的9芯(针)串口中,再将RJ-45插头端插入设备的Console口中。
· 连接时请认准接口上的标识,以免误插入其他接口。
· 在拆下配置口电缆时,请先拔出RJ-45端,再拔下DB-9端。
图2-1 将设备与PC通过配置口电缆进行连接
(3) 给PC上电。
(4) 在通过Console口搭建本地配置环境时,需要通过超级终端或PuTTY等终端仿真程序与设备建立连接。用户可以运行这些程序来连接网络设备、Telnet或SSH站点,这些程序的详细介绍和使用方法请参见该程序的使用指导。打开终端仿真程序后,请按如下要求设置终端参数:
· 波特率:9600
· 数据位:8
· 停止位:1
· 奇偶校验:无
· 流量控制:无
(5) 设备上电,终端上显示设备启动自检信息,自检结束后提示用户键入回车,出现命令行提示符后即可键入命令来配置设备或查看设备运行状态,需要帮助可以随时键入?。
设备运行于FIPS模式时,不支持用户通过Telnet登录。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
通过CLI登录设备包括:通过Console口、USB Console口、Telnet、SSH登录方式。缺省情况下:
· 用户不需要任何认证即可通过Console口登录设备,这给设备带来许多安全隐患。
· 用户不能通过Telnet、SSH方式登录设备,这样不利于用户对设备进行远程管理和维护。
因此,用户需要对这些登录方式进行相应的配置,来增加设备的安全性及可管理性。
本文将分别介绍如何配置通过Console口、USB Console口、Telnet、SSH登录设备时的认证方式、用户角色及公共属性。
用户线用于管理、限制CLI登录用户的访问行为:网络管理员可以给每个用户线配置一系列参数,比如用户登录时是否需要认证、用户登录后的角色等。当用户使用Console口、Telnet、SSH登录到设备的时候,系统会给用户分配一个用户线,登录用户将受到该用户线下配置参数的约束。
设备提供如下类型的用户线:
· Console用户线:用来管理和监控通过Console口登录的用户。仅LSUM1SUPD0主控板支持此用户线。
· AUX用户线:对于LSUM1SUPD0主控板,用来管理和监控通过USB Console口登录的用户;对于其他主控板,用来管理和监控通过Console口登录的用户。
· VTY(Virtual Type Terminal,虚拟类型终端)用户线:用来管理和监控通过Telnet或SSH登录的用户。
用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户线,整个登录过程将受该用户线视图下配置的约束。用户与用户线并没有固定的对应关系:
· 同一用户登录的方式不同,分配的用户线不同。比如用户A使用Telnet登录设备时,将受到VTY用户线视图下配置的约束。
· 同一用户登录的时间不同,分配的用户线可能不同。比如用户本次使用Telnet登录设备,设备为其分配的用户线是VTY 1。当该用户下次再Telnet登录时,设备可能已经把VTY 1分配给其他Telnet用户了,只能为该用户分配其他的用户线。
如果没有空闲的、相应类型的用户线可分配,则用户不能登录设备。
用户线的编号有绝对编号方式和相对编号方式。
(1) 绝对编号方式
使用绝对编号方式,可以唯一的指定一个用户线。绝对编号从0开始自动编号,每次增长1,先给所有Console用户线编号,其次是所有AUX用户线编号,然后是所有VTY用户线。使用display line(不带参数)可查看到设备当前支持的用户线以及它们的绝对编号。
(2) 相对编号方式
相对编号是每种类型用户线的内部编号。相对编号方式的形式是:“用户线类型 编号”。Console用户线、AUX用户线、VTY用户线的编号从0开始以1为单位递增。
在用户线下配置认证方式,可以要求当用户使用指定用户线登录时是否需要认证,以提高设备的安全性。设备支持配置如下认证方式:
· 认证方式为none:表示下次使用该用户线登录时不需要进行用户名和密码认证,任何人都可以登录到设备上,这种情况可能会带来安全隐患。FIPS模式下不支持该认证方式。
· 认证方式为password:表示下次使用该用户线登录时,需要输入密码。只有密码正确,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码。FIPS模式下不支持该认证方式。
· 认证方式为scheme:表示下次使用该用户线登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。配置认证方式为scheme后,请妥善保存用户名及密码。
认证方式不同,配置不同,具体配置如表3-1所示。
认证方式 |
认证所需配置 |
说明 |
none |
设置登录用户的认证方式为不认证 |
具体配置请见各登录方式下的相关章节 |
password |
设置登录用户的认证方式为password认证 |
具体配置请见各登录方式下的相关章节 |
设置密码认证的密码 |
||
scheme |
设置登录用户的认证方式为scheme认证 |
具体配置请见各登录方式下的相关章节 |
在ISP域视图下为login用户配置认证方法 |
请参见“安全配置指导”中的“AAA” |
用户角色中定义了允许用户配置的系统功能以及资源对象,即用户登录后执行的命令。关于用户角色的详细描述以及配置请参见“基础配置指导”中的“RBAC”。
· 对于none和password认证方式,登录用户的角色由用户线下的用户角色配置决定。
· 对于scheme认证方式,且用户通过SSH的publickey或password-publickey方式登录设备时,登录用户将被授予同名的设备管理类本地用户视图下配置的授权用户角色。
· 对于scheme认证方式,非SSH登录以及用户通过SSH的password方式登录设备时,登录用户使用AAA认证用户的角色配置。尤其对于远程AAA认证用户,如果AAA服务器没有下发用户角色且缺省用户角色授权功能处于关闭状态时,用户将不能登录设备。
通过Console口/USB Console口进行本地登录是登录设备的基本方式之一,用户可以使用本地链路登录设备,便于系统维护。如图3-1所示。
图3-1 通过Console口登录设备示意图
当用户通过Console口登录设备时,缺省认证方式为none(不需要用户名和密码),用户角色为network-admin。
当用户通过USB Console口登录时,缺省认证方式为password,但设备未配置缺省的登录密码,即在缺省情况下用户不能通过USB Console口登录到设备上。因此当使用USB Console口登录设备前,首先需要通过Console口登录到设备上,对认证方式、用户角色及公共属性进行相应的配置,才能保证通过USB Console口正常登录到设备。
用户可以修改认证方式、用户角色以及其他登录参数,来增加设备的安全性及可管理性。
表3-2 通过Console口/USB Console口登录设备配置任务简介
配置任务 |
说明 |
详细配置 |
|
配置通过Console口/USB Console口登录设备时的认证方式 |
配置通过Console口/USB Console口登录设备时无需认证(none) |
必选 请根据实际需要选择其中的一种认证方式 FIPS模式下,仅支持AAA认证(scheme) |
|
配置通过Console口/USB Console口登录设备时采用密码认证(password) |
|||
配置通过Console口/USB Console口登录设备时采用AAA认证(scheme) |
|||
配置Console口/USB Console口登录方式的公共属性 |
可选 |
改变Console口/USB Console口登录的认证方式后,新认证方式对新登录的用户生效。
用户已经成功登录到了设备上,并希望以后通过Console口/USB Console口登录设备时无需进行认证。
表3-3 配置用户通过Console口/USB Console口登录设备时无需认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Console/AUX用户线视图 |
line { aux | console } first-number [ last-number ] |
二者选其一 用户线视图下的配置优先于用户线类视图下的配置 用户线视图下的配置只对该用户线生效 用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值 |
进入Console/AUX用户线类视图 |
line class { aux | console } |
|
设置登录用户的认证方式为不认证 |
authentication-mode none |
非FIPS模式:缺省情况下,用户通过AUX用户线登录,认证方式为none;用户通过Console用户线登录,认证方式为password FIPS模式:缺省情况下,用户登录设备的认证方式为scheme |
配置从当前用户线登录设备的用户角色 |
user-role role-name |
缺省情况下,对于缺省MDC,通过AUX用户线登录设备的用户角色为network-admin 对于非缺省MDC,不支持AUX/ Console 用户线登录方式 |
当用户下次通过Console口/USB Console口登录设备时,无须提供用户名或密码,直接按回车键进入用户视图。
用户已经成功登录到了设备上,并希望以后通过Console口/USB Console口登录设备时采用密码认证,以提高设备的安全性。
表3-4 配置用户通过Console口/USB Console口登录设备时采用密码认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Console/AUX用户线视图 |
line { aux | console } first-number [ last-number ] |
二者选其一 用户线视图下的配置优先于用户线类视图下的配置 用户线视图下的配置只对该用户线生效 用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值 |
进入Console/AUX用户线类视图 |
line class { aux | console } |
|
设置登录用户的认证方式为密码认证 |
authentication-mode password |
非FIPS模式:缺省情况下,用户通过Console口登录,认证方式为none;用户通过USB Console口登录,认证方式为password FIPS模式:缺省情况下,用户登录设备的认证方式为scheme |
设置认证密码 |
set authentication password { hash | simple } password |
缺省情况下,未设置认证密码 |
配置从当前用户线登录设备的用户角色 |
user-role role-name |
缺省情况下,对于缺省MDC,通过Console口登录设备的用户角色为network-admin 对于非缺省MDC,不支持Console口/USB Console口登录方式 |
配置完成后,当用户再次通过Console口/USB Console口登录设备,键入回车后,设备将要求用户输入登录密码。正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>)。
用户已经成功的登录到了设备上,并希望以后通过Console口/USB Console口登录设备时采用AAA认证,以提高设备的安全性。
要使配置的AAA认证方式生效,还需要在ISP域视图下配置login认证方法。如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置RADIUS、HWTACACS或LDAP方案。相关详细介绍请参见“安全配置指导”中的“AAA”。
表3-5 配置用户通过Console口/USB Console口登录设备时采用AAA认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Console/AUX用户线视图 |
line { aux | console } first-number [ last-number ] |
二者选其一 用户线视图下的配置优先于用户线类视图下的配置 用户线视图下的配置只对该用户线生效 用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值 |
进入Console/AUX用户线类视图 |
line class { aux | console } |
|
设置登录用户的认证方式为通过AAA认证 |
authentication-mode scheme |
非FIPS模式:缺省情况下,用户通过AUX用户线登录,认证方式为none;用户通过Console用户线登录,认证方式为password FIPS模式:缺省情况下,用户登录设备的认证方式为scheme |
配置完成后,当用户再次通过Console口/USB Console口登录设备,键入回车后,设备将要求用户输入登录用户名和密码。正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>)。
· 改变Console口/USB Console口属性后会立即生效,所以通过Console口/USB Console口登录来配置Console口/USB Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口/USB Console口属性。
· 若用户需要通过Console口/USB Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口/USB Console口属性保持一致。否则,连接失败。
表3-6 配置Console口/USB Console口登录方式的公共属性
设备可以作为Telnet服务器,以便用户能够Telnet登录到设备进行远程管理和监控。具体请参见“3.3.1 配置设备作为Telnet服务器”。
设备也可以作为Telnet客户端,Telnet到其他设备,对别的设备进行管理和监控。具体请参见“3.3.2 配置设备作为Telnet客户端登录其他设备”。
设备运行于FIPS模式时,不支持Telnet登录。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
缺省情况下,设备的Telnet服务器功能处于关闭状态,通过Telnet方式登录设备的认证方式为password,但设备未配置缺省的登录密码,即在缺省情况下用户不能通过Telnet登录到设备上。因此当使用Telnet方式登录设备前,首先需要通过Console口登录到设备上,开启Telnet服务器功能,然后对认证方式、用户角色及公共属性进行相应的配置,才能保证通过Telnet方式正常登录到设备。
表3-7 配置设备作为Telnet服务器的配置任务简介
配置任务 |
说明 |
详细配置 |
|
配置设备作为Telnet服务器时的认证方式 |
配置Telnet登录设备时无需认证(none) |
必选 请根据实际需要选择其中的一种认证方式 |
|
配置Telnet登录设备时采用密码认证(password) |
|||
配置Telnet登录设备时采用AAA认证(scheme) |
|||
配置Telnet登录同时在线的最大用户连接数 |
可选 |
||
配置Telnet服务器发送报文的DSCP优先级 |
可选 |
||
配置Telnet协议的端口号 |
可选 |
|
|
配置VTY用户线的公共属性 |
可选 |
改变Telnet登录的认证方式后,新认证方式对新登录的用户生效。
用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时无需进行认证。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启设备的Telnet服务 |
telnet server enable |
缺省情况下,Telnet服务处于关闭状态 |
进入一个或多个VTY用户线视图 |
line vty first-number [ last-number ] |
二者选其一 用户线视图下的配置优先于用户线类视图下的配置 用户线视图下的配置只对该用户线生效 用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值 |
进入VTY用户线类视图 |
line class vty |
|
设置VTY登录用户的认证方式为不认证 |
authentication-mode none |
非FIPS模式:缺省情况下,VTY用户线的认证方式为password 用户线视图下,对authentication-mode和protocol inbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值 |
配置从当前用户线登录设备的用户角色 |
user-role role-name |
缺省情况下,对于缺省MDC,通过Telnet登录设备的用户角色为network-operator。对于非缺省MDC,通过Telnet登录的用户角色为mdc-operator |
配置完成后,当用户再次通过Telnet登录设备时:
· 设备会显示如下登录界面:
******************************************************************************
* Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<H3C>
· 如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。
用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行密码认证。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启设备的Telnet服务 |
telnet server enable |
缺省情况下,Telnet服务处于关闭状态 |
进入一个或多个VTY用户线视图 |
line vty first-number [ last-number ] |
二者选其一 用户线视图下的配置优先于用户线类视图下的配置 用户线视图下的配置只对该用户线生效 用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值 |
进入VTY用户线类视图 |
line class vty |
|
设置登录用户的认证方式为密码认证 |
authentication-mode password |
非FIPS模式:缺省情况下,VTY用户线的认证方式为password 用户线视图下,对authentication-mode和protocol inbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值 |
设置密码认证的密码 |
set authentication password { hash | simple } password |
缺省情况下,未设置密码认证的密码 |
(可选)配置从当前用户线登录设备的用户角色 |
user-role role-name |
缺省情况下,对于缺省MDC,通过Telnet登录设备的用户角色为network-operator。对于非缺省MDC,通过Telnet登录的用户角色为mdc-operator |
配置完成后,当用户再次通过Telnet登录设备时:
· 设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>)。
******************************************************************************
* Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
Password:
<H3C>
· 如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。
用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行AAA认证。
要使配置的AAA认证方式生效,还需要在ISP域视图下配置login认证方法。如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置RADIUS、HWTACACS或LDAP方案。相关详细介绍请参见“安全配置指导”中的“AAA”。
表3-10 配置用户通过Telnet登录设备时采用AAA认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启设备的Telnet服务 |
telnet server enable |
缺省情况下,Telnet服务处于关闭状态 |
进入一个或多个VTY用户线视图 |
line vty first-number [ last-number ] |
二者选其一 用户线视图下的配置优先于用户线类视图下的配置 用户线视图下的配置只对该用户线生效 用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值 |
进入VTY用户线类视图 |
line class vty |
|
设置登录用户的认证方式为通过AAA认证 |
authentication-mode scheme |
非FIPS模式:缺省情况下,VTY用户线的认证方式为password 用户线视图下,对authentication-mode和protocol inbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值 |
配置完成后,当用户再次通过Telnet登录设备时:
· 设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>)。
******************************************************************************
* Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: admin
Password:
<H3C>
· 如果出现“All lines are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。
通过配置同时在线的最大用户连接数,可以限制采用Telnet登录同时接入设备的在线用户数。
该配置对于通过任何一种认证方式(none、password或者scheme)接入设备的用户都生效。
表3-11 配置同时在线的最大用户连接数
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置Telnet登录同时在线的最大用户连接数 |
aaa session-limit telnet max-sessions |
配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败 关于该命令的详细描述,请参见“安全命令参考”中的“AAA” |
DSCP携带在IP/IPv6报文的ToS/Traffic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
表3-12 配置Telnet服务器发送报文的DSCP优先级
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置Telnet服务器发送报文的DSCP优先级 |
telnet server dscp dscp-value |
缺省情况下,Telnet服务器发送Telnet报文的DSCP优先级48 |
配置Telnet服务器发送IPv6报文的DSCP优先级 |
telnet server ipv6 dscp dscp-value |
缺省情况下,IPv6 Telnet服务器发送IPv6 Telnet报文的DSCP优先级48 |
表3-13 配置Telnet协议的端口号
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置IPv4网络Telnet协议的端口号 |
telnet server port port-number |
缺省情况下,IPv4网络Telnet协议的端口号为23。 |
配置IPv6网络Telnet协议的端口号 |
telnet server ipv6 port port-number |
缺省情况下,IPv6网络Telnet协议的端口号为23。 |
· 使用auto-execute command命令后,将导致用户通过该用户线登录后,不能对设备进行常规配置,需谨慎使用。
· 在配置auto-execute command命令并退出登录之前,要确保可以通过其他VTY、AUX用户线登录并更改配置,以便出现问题后,能删除该配置。
表3-14 配置VTY用户线的公共属性
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入一个或多个VTY用户线视图 |
line vty first-number [ last-number ] |
二者选其一 用户线视图下的配置优先于用户线类视图下的配置 用户线视图下的配置只对该用户线生效 用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值 |
进入VTY用户线类视图 |
line class vty |
|
启动终端服务 |
shell |
缺省情况下,所有用户线的终端服务功能处于开启状态 |
配置VTY用户线支持的协议 |
protocol inbound { all | ssh | telnet } |
缺省情况下,设备同时支持Telnet和SSH协议 使用该命令配置的协议将在用户下次使用该用户线登录时生效 用户线视图下,对authentication-mode和protocol inbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值 |
配置中止当前运行任务的快捷键 |
escape-key { character | default } |
缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
配置对当前用户线进行锁定并重新认证的快捷键 |
lock-key key-string |
缺省情况下,未配置对当前用户线进行锁定并重新认证的快捷键 |
配置终端的显示类型 |
terminal type { ansi | vt100 } |
缺省情况下,终端显示类型为ANSI |
设置终端屏幕一屏显示的行数 |
screen-length screen-length |
缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏显示功能 |
设置设备历史命令缓冲区大小 |
history-command max-size value |
缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令 |
设置VTY用户线的超时时间 |
idle-timeout minutes [ seconds ] |
缺省情况下,所有的用户线的超时时间为10分钟 如果10分钟内某用户线没有用户进行操作,则该用户线将自动断开 idle-timeout 0表示永远不会超时 |
设置从用户线登录后自动执行的命令 |
auto-execute command command |
缺省情况下,未配置自动执行命令 配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接 如果这条命令引发了一个任务,系统会等这个任务执行完毕后再断开连接 |
用户已经成功登录到了设备上,并希望将当前设备作为Telnet客户端登录到Telnet服务器上进行操作,如图3-2所示。
先配置设备IP地址并获取Telnet服务器的IP地址。如果设备与Telnet服务器相连的端口不在同一子网内,请保证两台设备间路由可达。
表3-15 设备作为Telnet客户端登录到Telnet服务器的配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
(可选)指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口 |
telnet client source { interface interface-type interface-number | ip ip-address } |
缺省情况下,未指定发送Telnet报文的源IPv4地址和源接口,使用报文路由出接口的主IPv4地址作为Telnet报文的源地址 |
退回到用户视图 |
quit |
- |
设备作为Telnet客户端登录到Telnet服务器 |
telnet remote-host [ service-port ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ip ip-address } | dscp dscp-value ] * |
二者选其一 此命令在用户视图下执行 |
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ipv6 ipv6-address } | dscp dscp-value ] * |
用户通过一个不能保证安全的网络环境远程登录到设备时,SSH(Secure Shell,安全外壳)可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。
· 设备可以作为SSH服务器,以便用户能够使用SSH协议登录到设备进行远程管理和监控。具体请参见“3.4.2 配置设备作为SSH服务器”。
· 设备也可以作为SSH客户端,使用SSH协议登录到别的设备,对别的设备进行管理和监控。具体请参见“3.4.3 配置设备作为SSH客户端登录其他设备”。
缺省情况下,设备的SSH Server功能处于关闭状态,因此当使用SSH方式登录设备前,首先需要通过Console口登录到设备上,开启设备的SSH服务器功能、对认证方式及其他属性进行相应的配置,才能保证通过SSH方式正常登录到设备。
以下配置步骤只介绍采用password方式认证SSH客户端的配置方法,publickey方式的配置方法及SSH的详细介绍,请参见“安全配置指导”中的“SSH”。
表3-16 设备作为SSH服务器时的配置
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
生成本地密钥对 |
非FIPS模式下: public-key local create { dsa | ecdsa [ secp192r1 | secp256r1 | secp384r1 ] | rsa } [ name key-name ] FIPS模式下: public-key local create { dsa | ecdsa [ secp256r1 | secp384r1 ] | rsa } [ name key-name ] |
缺省情况下,没有生成密钥对 |
|
开启SSH服务器功能 |
ssh server enable |
缺省情况下,SSH服务器功能处于关闭状态 |
|
(可选)建立SSH用户,并指定SSH用户的认证方式 |
非FIPS模式下: ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname } FIPS模式下: ssh user username service-type stelnet authentication-type { password | password-publickey assign publickey keyname } |
缺省情况下,不存在任何SSH用户 |
|
进入VTY用户线视图 |
line vty first-number [ last-number ] |
二者选其一 用户线视图下的配置优先于用户线类视图下的配置 用户线视图下的配置只对该用户线生效 用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值 |
|
进入VTY用户线类视图 |
line class vty |
|
|
配置登录用户线的认证方式为scheme方式 |
authentication-mode scheme |
非FIPS模式下:缺省情况下,VTY用户线认证为password方式 FIPS模式下:缺省情况下,VTY用户线认证为scheme方式 用户线视图下,对authentication-mode和protocol inbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值 |
|
(可选)配置VTY用户线支持的SSH协议 |
非FIPS模式下: protocol inbound { all | ssh | telnet } FIPS模式下: protocol inbound ssh |
非FIPS模式下:缺省情况下,设备同时支持Telnet和SSH协议 FIPS模式下:缺省情况下,设备支持SSH协议 使用该命令配置的协议将在用户下次使用该用户线登录时生效 用户线视图下,对authentication-mode和protocol inbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值 |
|
(可选)配置SSH方式登录设备时,同时在线的最大用户连接数 |
aaa session-limit ssh max-sessions |
缺省情况下,最大用户连接数为32 配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败 关于该命令的详细描述,请参见“安全命令参考”中的“AAA” |
|
退回系统视图 |
quit |
- |
|
(可选)配置VTY用户线的公共属性 |
- |
详细配置请参见“3.3.1 8. 配置VTY用户线的公共属性” |
|
用户已经成功登录到了设备上,并希望将当前设备作为SSH客户端登录到其他设备上进行操作,如图3-3所示。
先配置设备IP地址并获取SSH服务器的IP地址。如果设备与SSH服务器相连的端口不在同一子网内,请配置路由使得两台设备间路由可达。
表3-17 设备作为SSH客户端登录到其他设备的配置
操作 |
命令 |
说明 |
设备作为SSH客户端登录到SSH IPv4服务器 |
ssh2 server |
此命令在用户视图下执行 |
设备作为SSH客户端登录到SSH IPv6服务器 |
ssh2 ipv6 server |
此命令在用户视图下执行 |
为配合SSH服务器,设备作为SSH客户端时还可进一步进行其他配置,具体请参见“安全配置指导”中的“SSH”。
表3-18 CLI显示和维护
操作 |
命令 |
说明 |
显示当前正在使用的用户线以及用户的相关信息 |
display users |
在任意视图下执行 |
显示设备支持的所有用户线以及用户的相关信息 |
display users all |
在任意视图下执行 |
显示用户线的相关信息 |
display line [ num1 | { aux | console | vty } num2 ] [ summary ] |
在任意视图下执行 |
显示设备作为Telnet客户端的相关配置信息 |
display telnet client |
在任意视图下执行 |
释放指定的用户线 |
free line { num1 | { aux | console | vty } num2 } |
在用户视图下执行 系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以使用以下命令强制断开该用户的连接 不能使用该命令释放用户当前自己使用的连接 |
锁定当前用户线并设置解锁密码,防止未授权的用户操作该线 |
lock |
在用户视图下执行 缺省情况下,系统不会自动锁定当前用户线 FIPS模式下,不支持此命令 |
锁定当前用户线并对其进行重新认证 |
lock reauthentication |
在任意视图下执行 缺省情况下,系统不会自动锁定当前用户线并对其进行重新认证 请使用设备登录密码解除锁定并重新登录设备 |
向指定的用户线发送消息 |
send { all | num1 | { aux | console | vty } num2 } |
在用户视图下执行 |
设备运行于FIPS模式时,不支持用户通过HTTP登录。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
为了方便用户对网络设备进行配置和维护,设备提供Web功能。用户可以通过PC登录到设备上,使用Web界面直观地配置和维护设备。
设备支持两种Web登录方式:
· HTTP登录方式:HTTP(Hypertext Transfer Protocol,超文本传输协议)用来在Internet上传递Web页面信息。HTTP位于TCP/IP协议栈的应用层,传输层采用面向连接的TCP。设备同时支持HTTP协议1.0和1.1版本。
· HTTPS登录方式:HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)是支持SSL(Secure Sockets Layer,安全套接字层)协议的HTTP协议。HTTPS通过SSL协议,能对客户端与设备之间交互的数据进行加密,能为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备,从而实现了对设备的安全管理。
缺省情况下,用户不能通过Web登录设备。需要先通过Console口登录到设备,开启Web功能(开启HTTP和HTTPS服务),并配置设备IP地址、Web用户和认证密码等参数后,才能使用Web登录设备。
表4-1 配置通过HTTP方式登录设备
操作 |
命令 |
说明 |
(可选)配置用户访问Web的固定校验码 |
web captcha verification-code |
缺省情况下,用户只能使用Web页面显示的校验码访问Web |
进入系统视图 |
system-view |
- |
开启HTTP服务 |
ip http enable |
缺省情况下,HTTP服务处于关闭状态 |
(可选)配置HTTP服务的端口号 |
ip http port port-number |
缺省情况下,HTTP服务的端口号为80 |
(可选)设置Web登录用户连接的超时时间 |
web idle-timeout minutes |
- |
(可选)设置同时在线的最大HTTP用户连接数 |
aaa session-limit http max-sessions |
缺省情况下,最大用户连接数为32 配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败 关于该命令的详细描述,请参见“安全命令参考”中的“AAA” |
(可选)开启Web操作日志输出功能 |
webui log enable |
缺省情况下,Web操作日志输出功能处于关闭状态 |
创建本地用户用于Web登录,并进入本地用户视图 |
local-user user-name [ class manage ] |
缺省情况下,无本地用户 |
(可选)设置本地用户的密码 |
非FIPS模式下: password [ { hash | simple } password ] FIPS模式下: password |
用户的密码将在哈希计算后以密文的方式保存到配置文件中 非FIPS模式下: 不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其他属性验证通过即可认证成功 FIPS模式下: 不存在本地用户密码,但本地用户认证时不能成功 |
配置Web用户的角色 |
authorization-attribute user-role user-role |
缺省情况下,Web用户的角色为network-operator |
配置Web用户的服务类型为HTTP |
service-type http |
缺省情况下,未配置用户的服务类型 |
HTTPS登录方式分为以下两种:
· 简便登录方式:采用这种方式时,设备上只需开启HTTPS服务,用户即可通过HTTPS登录设备。此时,设备使用的证书为自签名证书,使用的SSL参数为各个参数的缺省值。这种方式简化了配置,但是存在安全隐患。(自签名证书指的是服务器自己生成的证书,无需从CA获取)
· 安全登录方式:采用这种方式时,设备上不仅要开启HTTPS服务,还需要配置SSL服务器端策略、PKI域等。这种方式配置复杂,但是具有更高的安全性。
· SSL的相关描述和配置请参见“安全配置指导”中的“SSL”。
· PKI的相关描述和配置请参见“安全配置指导”中的“PKI”。
表4-2 配置通过HTTPS方式登录设备
操作 |
命令 |
说明 |
(可选)配置用户访问Web的固定校验码 |
web captcha verification-code |
缺省情况下,用户只能使用Web页面显示的校验码访问Web |
进入系统视图 |
system-view |
- |
(可选)配置HTTPS服务与SSL服务器端策略关联 |
ip https ssl-server-policy policy-name |
缺省情况下,HTTPS服务未与SSL服务器端策略关联,HTTPS使用自签名证书 · HTTP服务和HTTPS服务处于开启状态时,对与HTTPS服务关联的SSL服务器端策略进行的修改不会生效。如需更改HTTPS服务与SSL服务器端的关联策略,首先执行undo ip http enable和undo ip https enable两条命令,再执行ip https ssl-server-policy policy-name命令,最后重新开启HTTP服务和HTTPS服务,新的策略即可生效。 · 如需恢复缺省情况,必须先执行undo ip http enable和undo ip https enable两条命令,再执行undo ip https ssl-server-policy,最后重新开启HTTP服务和HTTPS服务即可。 |
开启HTTPS服务 |
ip https enable |
缺省情况下,HTTPS服务处于关闭状态 开启HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。因此,在这种情况下,需要多次执行ip https enable命令,这样HTTPS服务才能正常启动 |
(可选)配置HTTPS服务与证书属性访问控制策略关联 |
ip https certificate access-control-policy policy-name |
缺省情况下,HTTPS服务未与证书属性访问控制策略关联 · 通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制,进一步保证设备的安全性 · 如果配置HTTPS服务与证书属性访问控制策略关联,则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verify enable命令,否则,客户端无法登录设备。 · 如果配置HTTPS服务与证书属性访问控制策略关联,则证书属性访问控制策略中必须至少包括一条permit规则,否则任何HTTPS客户端都无法登录设备。 · 证书属性访问控制策略的详细介绍请参见“安全配置指导”中的“PKI” |
(可选)配置HTTPS服务的端口 |
ip https port port-number |
缺省情况下,HTTPS服务的端口号为443 |
(可选)配置使用HTTPS登录设备时的认证方式 |
web https-authorization mode { auto | manual } |
缺省情况下,用户使用HTTPS登录设备时采用的认证模式为manual |
(可选)设置Web登录用户连接的超时时间 |
web idle-timeout minutes |
- |
(可选)设置同时在线的最大HTTPS用户连接数 |
aaa session-limit https max-sessions |
缺省情况下,最大用户连接数为32 配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败 关于该命令的详细描述,请参见“安全命令参考”中的“AAA” |
(可选)开启Web操作日志输出功能 |
webui log enable |
缺省情况下,Web操作日志输出功能处于关闭状态 |
创建本地用户用于Web登录,并进入本地用户视图 |
local-user user-name [ class manage ] |
缺省情况下,无本地用户 |
(可选)设置本地用户的密码 |
非FIPS模式下: password [ { hash | simple } password ] FIPS模式下: password |
用户的密码将在哈希计算后以密文的方式保存到配置文件中 非FIPS模式下: 不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其他属性验证通过即可认证成功 FIPS模式下: 不存在本地用户密码,但本地用户认证时不能成功 |
配置Web登录的用户角色 |
authorization-attribute user-role user-role |
缺省情况下,Web登录的用户角色为network-operator |
配置Web登录用户的服务类型为HTTPS |
service-type https |
缺省情况下,未配置用户的服务类型 |
· HTTPS服务和SSL VPN服务使用相同的端口号时,二者引用的SSL服务器端策略必须相同,否则无法同时开启HTTPS服务和SSL VPN服务。
· HTTPS服务和SSL VPN服务同时开启,并使用相同的端口号时,若要修改引用的SSL服务器端策略,则需要先关闭HTTPS服务和SSL VPN服务,修改SSL服务器端策略后,再开启HTTPS服务和SSL VPN服务,修改后的SSL服务器端策略才能生效。
在完成上述配置后,在任意视图下执行display命令可以显示Web用户的信息、HTTP的状态信息和HTTPS的状态信息,通过查看显示信息验证配置的效果。
表4-3 Web用户显示
操作 |
命令 |
显示Web用户的相关信息 |
display web users |
显示Web的页面菜单树 |
display web menu [ chinese ] |
显示HTTP的状态信息 |
display ip http |
显示HTTPS的状态信息 |
display ip https |
强制在线Web用户下线 |
free web users { all | user-id user-id | user-name user-name } |
PC与设备通过IP网络相连且路由可达,PC和设备Vlan-interface1的IP地址分别为192.168.101.99/24和192.168.100.99/24。
图4-1 配置HTTP方式登录组网图
(1) 配置Device
# 配置Web用户名为admin,认证密码为admin,服务类型为http,用户角色为network-admin。
[Sysname] local-user admin
[Sysname-luser-manage-admin] service-type http
[Sysname-luser-manage-admin] authorization-attribute user-role network-admin
[Sysname-luser-manage-admin] password simple admin
[Sysname-luser-manage-admin] quit
# 配置开启HTTP服务。
[Sysname] ip http enable
(2) 配置PC
在PC的浏览器地址栏内输入设备的IP地址并回车,浏览器将显示Web登录页面。
在“Web用户登录”对话框中输入用户名、密码及验证码,点击<登录>按钮后即可登录,显示Web初始页面。成功登录后,用户可以在配置区对设备进行相关配置。
用户可以通过Web页面访问和控制设备。为了防止非法用户访问和控制设备,提高设备管理的安全性,设备要求用户以HTTPS的方式登录Web页面,利用SSL协议实现用户身份验证,并保证传输的数据不被窃听和篡改。
为了满足上述需求,需要进行如下配置:
· 配置Device作为HTTPS服务器,并为Device申请证书。
· 为HTTPS客户端Host申请证书,以便Device验证其身份。
其中,负责为Device和Host颁发证书的CA(Certificate Authority,证书颁发机构)名称为new-ca。
· 本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。
· 进行下面的配置之前,需要确保Device、Host、CA之间路由可达。
图4-2 HTTPS配置组网图
(1) 配置HTTPS服务器Device
# 配置PKI实体en,指定实体的通用名为http-server1、FQDN为ssl.security.com。
<Device> system-view
[Device] pki entity en
[Device-pki-entity-en] common-name http-server1
[Device-pki-entity-en] fqdn ssl.security.com
[Device-pki-entity-en] quit
# 配置PKI域1,指定信任的CA名称为new-ca、注册服务器的URL为http://10.1.2.2/certsrv/mscep/mscep.dll、证书申请的注册受理机构为RA、实体名称为en。
[Device] pki domain 1
[Device-pki-domain-1] ca identifier new-ca
[Device-pki-domain-1] certificate request url http://10.1.2.2/certsrv/mscep/mscep.dll
[Device-pki-domain-1] certificate request from ra
[Device-pki-domain-1] certificate request entity en
# 指定证书申请使用的RSA密钥对名称为“hostkey”,用途为“通用”,密钥对长度为1024比特。
[Device-pki-domain-1] public-key rsa general name hostkey length 1024
[Device-pki-domain-1] quit
# 生成本地的RSA密钥对。
[Device] public-key local create rsa
# 获取CA的证书。
[Device] pki retrieve-certificate domain 1 ca
# 为Device申请证书。
[Device] pki request-certificate domain 1
# 创建SSL服务器端策略myssl,指定该策略使用PKI域1,并配置服务器端需要验证客户端身份。
[Device] ssl server-policy myssl
[Device-ssl-server-policy-myssl] pki-domain 1
[Device-ssl-server-policy-myssl] client-verify enable
[Device-ssl-server-policy-myssl] quit
# 创建证书属性组mygroup1,并配置证书属性规则,该规则规定证书颁发者的DN(Distinguished Name,识别名)中包含new-ca。
[Device] pki certificate attribute-group mygroup1
[Device-pki-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca
[Device-pki-cert-attribute-group-mygroup1] quit
# 创建证书访问控制策略myacp,并建立控制规则,该规则规定只有由new-ca颁发的证书可以通过证书访问控制策略的检测。
[Device] pki certificate access-control-policy myacp
[Device-pki-cert-acp-myacp] rule 1 permit mygroup1
[Device-pki-cert-acp-myacp] quit
# 配置HTTPS服务与SSL服务器端策略myssl关联。
[Device] ip https ssl-server-policy myssl
# 配置HTTPS服务与证书属性访问控制策略myacp关联,确保只有从new-ca获取证书的HTTPS客户端可以访问HTTPS服务器。
[Device] ip https certificate access-control-policy myacp
# 开启HTTPS服务。
[Device] ip https enable
# 创建本地用户usera,密码为123,服务类型为https,用户角色为network-admin。
[Device] local-user usera
[Device-luser-usera] password simple 123
[Device-luser-usera] service-type https
[Device-luser-usera] authorization-attribute user-role network-admin
(2) 配置HTTPS客户端Host
在Host上打开IE浏览器,输入网址http://10.1.2.2/certsrv,根据提示为Host申请证书。
(3) 验证配置结果
在Host上打开IE浏览器,输入网址https://10.1.1.1,选择new-ca为Host颁发的证书,即可打开Device的Web登录页面。在登录页面,输入用户名usera,密码123,则可进入Device的Web配置页面,实现对Device的访问和控制。
· HTTPS服务器的URL地址以“https://”开始,HTTP服务器的URL地址以“http://”开始。
· PKI配置命令的详细介绍请参见“安全命令参考”中的“PKI”;
· public-key local create rsa命令的详细介绍请参见“安全命令参考”中的“公钥管理”;
· SSL配置命令的详细介绍请参见“安全命令参考”中的“SSL”。
使用SNMP协议,用户可通过NMS(Network Management System,网络管理系统)登录到设备上,通过Set和Get等操作对设备进行管理、配置,如图5-1所示。设备支持多种NMS软件,如iMC等。
缺省情况下,用户不能通过NMS登录到设备上,如果要使用NMS登录设备,首先需要通过Console口登录到设备上,在设备上进行相关配置。设备支持SNMPv1、SNMPv2c和SNMPv3三种版本,只有NMS和Agent使用的SNMP版本相同,NMS才能和Agent建立连接。请根据使用的SNMP版本选择对应的配置步骤。配置完成后,即可使用NMS网管的方式登录设备。关于SNMP的详细介绍及配置,请参见“网络管理和监控配置指导”中的“SNMP”。
为了方便用户对网络设备进行配置和维护,H3C设备提供了RESTful API(Representational State Transfer Application Programming Interface)。用户遵循API参数和返回值约定,使用python、ruby或java等语言进行编程,发送HTTP或HTTPS报文到设备进行认证,认证成功后,可以通过在HTTP或HTTPS报文中指定RESTful API操作来配置和维护设备,这些操作包括Get、Put、Post、Delete等等。
设备支持HTTP和HTTPS两种方式在Internet上传递RESTful请求信息。
设备运行于FIPS模式时,用户不能通过RESTful以HTTP方式登录。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
缺省情况下,用户不能通过RESTful登录设备。需要先通过Console口登录到设备,开启RESTful功能,并配置设备IP地址、RESTful用户和认证密码等参数后,才能使用RESTful登录设备。
表6-1 配置通过基于HTTP的RESTful方式登录设备
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启基于HTTP的RESTful功能 |
restful http enable |
缺省情况下,基于HTTP的RESTful功能处于关闭状态 |
创建本地用户用于RESTful登录,并进入本地用户视图 |
local-user user-name [ class manage ] |
缺省情况下,无本地用户 |
设置本地用户的密码 |
password [ { hash | simple } password ] |
用户的密码将在哈希计算后以密文的方式保存到配置文件中 缺省情况下不存在本地用户密码 |
(可选)配置RESTful用户的角色 |
authorization-attribute user-role user-role |
缺省情况下,RESTful用户的角色为network-operator |
配置RESTful用户的服务类型为HTTP |
service-type http |
缺省情况下,未配置用户的服务类型 服务类型为HTTP的用户可以使用RESTful登录设备 |
表6-2 配置通过基于HTTPS的RESTful方式登录设备
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启基于HTTPS的RESTful功能 |
restful https enable |
缺省情况下,基于HTTPS的RESTful功能处于关闭状态 |
创建本地用户用于RESTful登录,并进入本地用户视图 |
local-user user-name [ class manage ] |
缺省情况下,没有本地用户 |
设置本地用户的密码 |
非FIPS模式下: password [ { hash | simple } password ] FIPS模式下: password |
用户的密码将在哈希计算后以密文的方式保存到配置文件中 缺省情况下不存在本地用户密码 |
(可选)配置RESTful用户的角色 |
authorization-attribute user-role user-role |
缺省情况下,RESTful用户的角色为network-operator |
配置RESTful用户的服务类型为HTTPS |
service-type https |
缺省情况下,未配置用户的服务类型 服务类型为HTTPS的用户可以使用RESTful登录设备 |
通过引用ACL(Access Control List,访问控制列表),可以对访问设备的登录用户进行控制:
· 当未引用ACL、或者引用的ACL不存在、或者引用的ACL为空时,允许所有登录用户访问设备;
· 当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其他用户不允许访问设备,以免非法用户使用Telnet/SSH访问设备。
关于ACL的详细描述和介绍请参见“ACL和QoS配置指导”中的“ACL”。
用户登录后,可以通过AAA功能来对用户使用的命令行进行授权和计费。
确定了对Telnet/SSH的控制策略,包括对哪些源IP、目的IP、源MAC等参数进行控制,控制的动作是允许访问还是拒绝访问,即配置好ACL。
表7-1 配置对Telnet用户的控制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使用ACL限制哪些Telnet客户端可以访问设备 |
telnet server acl [ mac ] acl-number |
请根据需要选择 缺省情况下,未使用ACL限制Telnet客户端 |
telnet server ipv6 acl { ipv6 | mac } acl-number |
||
(可选)开启匹配ACL deny规则后打印日志信息功能 |
telnet server acl-deny-log enable |
缺省情况下,匹配ACL deny规则后打印日志信息功能处于关闭状态 |
表7-2 配置对SSH用户的控制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使用ACL限制哪些SSH客户端可以访问设备 |
ssh server acl [ mac ] acl-number |
请根据需要选择 缺省情况下,未使用ACL限制SSH客户端 ssh server acl和ssh server ipv6 acl命令的详细介绍请参见“安全命令参考”中的“SSH” |
ssh server ipv6 acl { ipv6 | mac } acl-number |
||
(可选)开启匹配ACL deny规则后打印日志信息功能 |
ssh server acl-deny-log enable |
缺省情况下,匹配ACL deny规则后打印日志信息功能处于关闭状态 ssh server acl-deny-log enable命令的详细介绍请参见“安全命令参考”中的“SSH” |
通过源IP对Telnet进行控制,仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问设备。
图7-1 使用ACL对Telnet用户进行控制
# 定义ACL。
<Sysname> system-view
[Sysname] acl basic 2000 match-order config
[Sysname-acl-ipv4-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-ipv4-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-ipv4-basic-2000] quit
# 引用ACL,允许源地址为10.110.100.52和10.110.100.46的Telnet用户访问设备。
[Sysname] telnet server acl 2000
通过引用ACL可以对访问设备的Web用户进行控制。只有ACL中permit的用户才能使用Web访问设备,其他用户不允许访问设备,以免非法用户使用Web访问设备。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
确定了对Web用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问,即配置好ACL。
在通过源IP对Web用户进行控制时需要注意,Web登录时用户输入的用户名和密码属于敏感信息,Web登录请求是采用HTTPS的方式发送到Web服务器的。所以,如果ip https acl命令中的ACL规则拒绝客户端通过HTTPS服务访问Web页面,那么该客户端也无法通过HTTP服务访问Web页面。
表7-3 通过源IP对Web用户进行控制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
引用访问控制列表对Web用户进行控制 |
ip http acl { acl-number | name acl-name } |
HTTP和HTTPS是两种独立的登录方式,请根据需要二者任选其一 |
ip https acl { acl-number | name acl-name } |
网络管理员可以通过命令行强制在线Web用户下线。
表7-4 强制在线Web用户下线
操作 |
命令 |
说明 |
强制在线Web用户下线 |
free web-users { all | user-id user-id | user-name user-name } |
该命令在用户视图下执行 |
通过源IP对Web用户进行控制,仅允许来自10.110.100.52的Web用户访问设备。
图7-2 对Device的HTTP用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl basic 2030 match-order config
[Sysname-acl-ipv4-basic-2030] rule 1 permit source 10.110.100.52 0
# 引用访问控制列表,仅允许来自10.110.100.52的Web用户访问设备。
[Sysname] ip http acl 2030
确定了对NMS的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问,即配置好ACL。
表7-5 SNMPv1/SNMPv2c版本配置对NMS的控制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
在配置SNMP团体名的命令中引用ACL |
VACM方式: snmp-agent community { read | write } [ simple | cipher ] community-name [ mib-view view-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] * |
根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组名或者用户名配置时引用访问控制列表,详细介绍请参见“网络管理和监控配置指导”中的“SNMP” 配置SNMP团体名或用户名时二者选其一 |
RBAC方式: snmp-agent community [ simple | cipher ] community-name user-role role-name [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] * |
||
在配置SNMPv1/SNMPv2c用户名的命令中引用ACL |
snmp-agent group { v1 | v2c } group-name [ read-view view-name ] [ write-view view-name ] [ notify-view view-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] * |
|
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] * |
表7-6 SNMPv3版本配置对NMS的控制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
在配置SNMPv3组名的命令中引用ACL |
非FIPS模式下: snmp-agent group v3 group-name [ authentication | privacy ] [ read-view view-name ] [ write-view view-name ] [ notify-view view-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] * FIPS模式下: snmp-agent group v3 group-name { authentication | privacy } [ read-view view-name ] [ write-view view-name ] [ notify-view view-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] * |
根据网管用户运行的SNMP版本及配置习惯,可以在组名或者用户名配置时引用访问控制列表,详细介绍请参见“网络管理和监控配置指导”中的“SNMP” |
在配置SNMPv3用户名的命令中引用ACL |
非FIPS模式下: · VACM方式: snmp-agent usm-user v3 user-name group-name [ remote { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] [ { cipher | simple } authentication-mode { md5 | sha } auth-password [ privacy-mode { aes128 | 3des | des56 } priv-password ] ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] * · RBAC方式: snmp-agent usm-user v3 user-name user-role role-name [ remote { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] [ { cipher | simple } authentication-mode { md5 | sha } auth-password [ privacy-mode { aes128 | 3des | des56 } priv-password ] ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] * FIPS模式下: · VACM方式: snmp-agent usm-user v3 user-name group-name [ remote { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] { cipher | simple } authentication-mode sha auth-password [ privacy-mode aes128 priv-password ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] * · RBAC方式: snmp-agent usm-user v3 user-name user-role role-name [ remote { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] ] { cipher | simple } authentication-mode sha auth-password [ privacy-mode aes128 priv-password ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] * |
通过源IP对NMS进行控制,仅允许来自10.110.100.52和10.110.100.46的NMS访问设备。
图7-3 使用ACL对NMS进行控制
# 定义基本ACL。
<Sysname> system-view
[Sysname] acl basic 2000 match-order config
[Sysname-acl-ipv4-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-ipv4-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-ipv4-basic-2000] quit
# 引用ACL,仅允许来自10.110.100.52和10.110.100.46的NMS访问设备。
[Sysname] snmp-agent community read aaa acl 2000
[Sysname] snmp-agent group v2c groupa acl 2000
[Sysname] snmp-agent usm-user v2c usera groupa acl 2000
缺省情况下,用户登录设备后可以使用的命令行由用户拥有的用户角色决定。当用户线采用AAA认证方式并配置命令行授权功能后,用户可使用的命令行将受到用户角色和AAA授权的双重限制。用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。
要使配置的命令行授权功能生效,还需要在ISP域视图下配置命令行授权方法。命令行授权方法可以和login用户的授权方法相同,也可以不同。相关详细介绍请参见“安全配置指导”中的“AAA”。
表7-7 配置命令行授权功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户线视图 |
line { first-number1 [ last-number1 ] | { aux | console | vty } first-number2 [ last-number2 ] } |
二者选其一 用户线视图下的配置优先于用户线类视图下的配置 用户线视图下的配置只对该用户线生效 用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值 |
进入用户线类视图 |
line class { aux | console | vty } |
|
设置登录用户的认证方式为通过AAA认证 |
authentication-mode scheme |
非FIPS模式:缺省情况下,用户通过AUX用户线登录,认证方式为none(即不需要进行认证);用户通过Console用户线登录,认证方式为password(即需要进行密码认证);用户通过VTY用户线登录,认证方式为password FIPS模式:缺省情况下,用户登录设备的认证方式为scheme 用户线视图下,对authentication-mode和protocol inbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值 |
开启命令行授权功能 |
command authorization |
缺省情况下,未开启命令行授权功能,即用户登录后执行命令行不需要授权 如果用户类视图下开启了命令行授权功能,则该类型用户线视图都开启命令行授权功能,并且在该类型用户线视图下将无法关闭命令行授权功能 |
为了保证Device的安全,需要对登录用户执行命令的权限进行限制:用户Host A登录设备后,输入的命令必须先获得HWTACACS服务器的授权,才能执行。否则,不能执行该命令。如果HWTACACS服务器故障导致授权失败,则采用本地授权。
图7-4 命令行授权配置组网图
# 在设备上配置IP地址,以保证Device和Host A、Device和HWTACACS server之间互相路由可达。(配置步骤略)
# 开启设备的Telnet服务器功能,以便用户访问。
<Device> system-view
[Device] telnet server enable
# 配置用户登录设备时,需要输入用户名和密码进行AAA认证,可以使用的命令由认证结果决定。
[Device] line vty 0 63
[Device-line-vty0-63] authentication-mode scheme
#开启命令行授权功能,限制用户只能使用授权成功的命令。
[Device-line-vty0-63] command authorization
[Device-line-vty0-63] quit
# 配置HWTACACS方案:授权服务器的IP地址:TCP端口号为192.168.2.20:49(该端口号必须和HWTACACS服务器上的设置一致),报文的加密密码是expert,登录时不需要输入域名,使用缺省域。
[Device] hwtacacs scheme tac
[Device-hwtacacs-tac] primary authentication 192.168.2.20 49
[Device-hwtacacs-tac] primary authorization 192.168.2.20 49
[Device-hwtacacs-tac] key authentication simple expert
[Device-hwtacacs-tac] key authorization simple expert
[Device-hwtacacs-tac] user-name-format without-domain
[Device-hwtacacs-tac] quit
# 配置缺省域的命令行授权AAA方案,使用HWTACACS方案。
[Device] domain system
[Device-isp-system] authentication login hwtacacs-scheme tac local
[Device-isp-system] authorization command hwtacacs-scheme tac local
[Device-isp-system] quit
# 配置本地认证所需参数:创建本地用户monitor,密码为明文的123,可使用的服务类型为telnet,用户角色为level-1。
[Device] local-user monitor
[Device-luser-manage-monitor] password simple 123
[Device-luser-manage-monitor] service-type telnet
[Device-luser-manage-monitor] authorization-attribute user-role level-1
当用户线采用AAA认证方式并配置命令行计费功能后,系统会将用户执行过的命令记录到HWTACACS服务器上,以便集中监视用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,则用户执行的每一条合法命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录。
要使配置的命令行计费功能生效,还需要在ISP域视图下配置命令行计费方法。命令行计费方法、命令行授权方法、login用户的授权方法可以相同,也可以不同。相关详细介绍请参见“安全配置指导”中的“AAA”。
表7-8 配置命令行计费功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入用户线视图 |
line { first-number1 [ last-number1 ] | { aux | console | vty } first-number2 [ last-number2 ] } |
二者选其一 用户线视图下的配置优先于用户线类视图下的配置 用户线视图下的配置只对该用户线生效 用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值 |
进入用户线类视图 |
line class { aux | console | vty } |
|
设置登录用户的认证方式为通过AAA认证 |
authentication-mode scheme |
非FIPS模式:缺省情况下,用户通过AUX用户线登录,认证方式为none(即不需要进行认证);用户通过Console用户线登录,认证方式为password(即需要进行密码认证);用户通过VTY用户线登录,认证方式为password FIPS模式:缺省情况下,用户登录设备的认证方式为scheme 用户线视图下,对authentication-mode和protocol inbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值 |
开启命令行计费功能 |
command accounting |
缺省情况下,未开启命令行计费功能,即计费服务器不会记录用户执行的命令行 如果用户类视图下开启了命令行计费功能,则该类型用户线视图都开启命令行计费功能,并且在该类型用户线视图下将无法关闭命令行计费功能 |
为便于集中控制、监控用户对设备的操作,需要将登录用户执行的命令发送到HWTACACS服务器进行记录。
图7-5 命令行计费配置组网图
# 开启设备的Telnet服务器功能,以便用户访问。
<Device> system-view
[Device] telnet server enable
# 配置使用Console口登录设备的用户执行的命令需要发送到HWTACACS服务器进行记录。
[Device] line aux 0
[Device-line-aux0] command accounting
[Device-line-aux0] quit
# 配置使用Telnet或者SSH登录的用户执行的命令需要发送到HWTACACS服务器进行记录。
[Device] line vty 0 63
[Device-line-vty0-63] command accounting
[Device-line-vty0-63] quit
# 配置HWTACACS方案:计费服务器的IP地址:TCP端口号为192.168.2.20:49,报文的加密密码是expert,登录时不需要输入域名,使用缺省域。
[Device] hwtacacs scheme tac
[Device-hwtacacs-tac] primary accounting 192.168.2.20 49
[Device-hwtacacs-tac] key accounting simple expert
[Device-hwtacacs-tac] user-name-format without-domain
[Device-hwtacacs-tac] quit
# 配置缺省域的命令行计费AAA方案,使用HWTACACS方案。
[Device] domain system
[Device-isp-system] accounting command hwtacacs-scheme tac
[Device-isp-system] quit
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!