02-登录设备配置
本章节下载 (1.11 MB)
2.2.4 配置通过Console口登录设备时无需认证(None)
2.2.5 配置通过Console口登录设备时采用密码认证(Password)
2.2.6 配置通过Console口登录设备时采用AAA认证(Scheme)
2.3.3 配置通过Telnet Client登录设备时无需认证(None)
2.3.4 配置通过Telnet Client登录设备时采用密码认证(Password)
2.3.5 配置通过Telnet Client登录设备时采用AAA认证(Scheme)
2.3.7 配置设备充当Telnet Client登录到Telnet Server
2.5.4 配置通过AUX口登录设备时采用密码认证(Password)
2.5.5 配置通过AUX口登录设备时采用AAA认证(Scheme)
2.6.4 配置用户通过Modem登录设备时无需认证(None)
2.6.5 配置用户通过Modem登录设备时采用密码认证(Password)
2.6.6 配置用户通过Modem登录设备时采用AAA认证(Scheme)
用户可以通过以下几种方式登录到设备上,对设备进行配置和管理:
登录方式 |
各种登录方式介绍 |
|
通过CLI登录设备 |
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3 |
|
采用Telnet方式登录,需要先通过Console口本地登录设备、并完成如下配置: · 开启设备的Telnet功能 · 配置设备接口的IP地址,确保设备与Telnet登录用户间路由可达 · 配置VTY用户的认证方式 · 配置VTY用户的用户级别 |
||
采用SSH方式登录,需要先通过Console口本地登录设备、并完成如下配置: · 开启设备SSH功能并完成SSH属性的配置 · 配置设备接口的IP地址,确保设备与SSH登录用户间路由可达 · 配置VTY用户的认证方式为scheme · 配置VTY用户的用户级别 |
||
采用AUX口进行本地登录,需要先通过Console口登录到设备上,配置AUX口Password认证方式的密码,或者更改认证方式并完成相关参数的设置,才可以通过AUX口从本地登录设备 |
||
采用Modem拨号方式登录设备,需要先通过Console口登录到设备上,配置AUX口Password认证方式的密码,或者更改认证方式并完成相关参数的设置,才可以通过AUX口从本地登录设备 |
||
采用Web方式登录,需要先通过Console口本地登录设备、并完成如下配置: · 配置设备接口的IP地址,确保设备与Web登录用户间路由可达 · 配置Web用户的用户名与密码 · 配置Web用户的用户级别 · 配置Web用户的服务类型为web |
||
采用NMS方式登录,需要先通过Console口本地登录设备、并完成如下配置: · 配置设备接口的IP地址,确保设备与NMS登录用户间路由可达 · 配置SNMP基本参数 |
在以下的章节中,将分别为您介绍如何通过Console口、Telnet、Modem、Web及NMS登录到设备上。
当用户使用Console口、AUX口、异步串口(包括工作在异步方式的同/异步串口,即Serial接口,和专用异步串口,即Async接口)、Telnet或者SSH方式登录设备的时候,系统会分配一个用户界面(也称为Line)用来管理、监控设备和用户间的当前会话。每个用户界面有对应的用户界面视图(User-interface view),在用户界面视图下网络管理员可以配置一系列参数,比如用户登录时是否需要认证、是否重定向到别的设备以及用户登录后的级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的。
目前系统支持的命令行配置方式有:
· Console口本地配置
· AUX口本地或远程配置
· 异步串口本地或远程配置
· Telnet或SSH本地或远程配置
与这些配置方式对应的是四种类型的用户界面:
· Console用户界面:用来管理和监控通过Console口登录的用户。Console口端口类型为EIA/TIA-232 DCE。
· AUX用户界面:用来管理和监控通过AUX口登录的用户。AUX口(Auxiliary port,辅助端口)端口类型为EIA/TIA-232 DTE,通常用于通过Modem进行拨号访问。
· TTY(True Type Terminal,实体类型终端)用户界面:用来管理和监控通过TTY方式登录的用户。TTY方式是指异步串口的登录方式。
· VTY(Virtual Type Terminal,虚拟类型终端)用户界面:用来管理和监控通过VTY方式登录的用户。VTY口属于逻辑终端线,用于对设备进行Telnet或SSH访问。
用户界面的管理和监控对象是使用某种方式登录的用户,虽然单个用户界面某一时刻只能被一个用户使用,但它并不针对某个用户。比如用户A使用Console口登录设备时,将受到Console用户界面视图下配置的约束,当使用VTY 1登录设备时,将受到VTY 1用户界面视图下配置的约束。
根据设备的硬件配备情况,一台设备上可能有多个Console口、AUX口、异步串口和(或)以太网接口,所以设备可能支持多个Console、AUX、TTY、VTY用户界面,这些用户界面与用户并没有固定的对应关系。用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户界面,整个登录过程将受该用户界面视图下配置的约束。同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时机不同,分配的用户界面可能不同。
用户界面的编号有两种方式:绝对编号方式和相对编号方式。
使用绝对编号方式,可以唯一的指定一个用户界面或一组用户界面。绝对编号从0开始自动编号,每次增长1,先给所有Console用户界面编号,其次是所有TTY用户界面,然后是所有AUX用户界面,最后是所有VTY用户界面。使用display user-interface(不带参数)可查看到设备当前支持的用户界面以及它们的绝对编号。
相对编号是每种类型用户界面的内部编号。该方式只能指定某种类型的用户界面中的一个或一组,而不能跨类型操作。
相对编号方式的形式是:“用户界面类型 编号”,遵守如下规则:
· 控制台的编号:CON 0,第二个为CON 1,依次类推。
· 辅助接口的编号:AUX 0,第二个为AUX 1,依次类推。
· TTY的编号:第一个为TTY 1,第二个为TTY 2,依次类推。
· VTY的编号:第一个为VTY 0,第二个为VTY 1,依次类推。
CLI(命令行接口)是用户与设备之间的文本类指令交互界面,用户键入文本类命令,通过输入回车键提交设备执行相关命令,用户可以输入命令对设备进行配置,并可以通过查看输出的信息确认配置结果,方便用户配置和管理设备。
通过CLI登录设备包括:通过Console口、Telnet、SSH或Modem四种登录方式。当您使用Console口、Telnet、SSH或Modem登录设备时,都需要使用CLI来与设备进行交互。
以下章节将分别为您介绍如何通过Console口、Telnet、SSH及Modem登录到设备,并配置通过Console口、Telnet、SSH及Modem登录设备时的认证方式、用户级别及公共属性,来实现对登录用户的控制和管理。
通过Console口进行本地登录是登录设备的最基本的方式,也是配置通过其他方式登录设备的基础。如图2-1所示。
图2-1 通过Console口登录设备示意图
· 2.2.4 配置通过Console口登录设备时无需认证(None)
· 2.2.5 配置通过Console口登录设备时采用密码认证(Password)
· 2.2.6 配置通过Console口登录设备时采用AAA认证(Scheme)
· 2.2.7 配置Console口登录方式的公共属性(可选)
表2-1 通过Console登录设备需要具备的条件
对象 |
需要具备的条件 |
设备 |
缺省情况下,设备侧不需要任何配置 |
Console口登录用户 |
运行超级终端程序 |
配置超级终端属性 |
当用户使用Console口登录设备时,用户终端的通信参数配置要和设备Console口的缺省配置保持一致,才能通过Console口登录到设备上。设备Console口的缺省配置如下:
表2-2 设备Console口缺省配置
属性 |
缺省配置 |
传输速率 |
9600bit/s |
流控方式 |
不进行流控 |
校验方式 |
不进行校验 |
停止位 |
1 |
数据位 |
8 |
(1) 给PC机断电。因为PC机串口不支持热插拔,请不要在PC机带电的情况下,将串口插入或者拔出PC机。
(2) 请使用产品随机附带的配置口电缆连接PC机和设备。请先将配置电缆的DB-9(孔)插头插入PC机的9芯(针)串口插座,再将RJ-45插头端插入设备的Console口中。
图2-2 将设备与PC通过配置口电缆进行连接
连接时请认准接口上的标识,以免误插入其它接口。
在拆下时,先拔出RJ-45端,再拔下DB-9端。
(3) 给PC机上电。
(4) 在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),选择与设备相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图2-3至图2-5所示。
如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参照软件的使用指导或联机帮助。
图2-4 连接端口设置
(5) 设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图2-6所示。
(6) 键入命令,配置设备或查看设备运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。
通过在Console口用户界面下配置认证方式,可以对使用Console口登录的用户进行限制,以提高设备的安全性。Console口支持的认证方式有none、password和scheme三种。
· 认证方式为none:表示下次使用Console口本地登录设备时,不需要进行用户名和密码认证、任何人都可以通过Console口登录到设备上,这种情况可能会带来安全隐患。
· 认证方式为password:表示下次使用Console口本地登录设备时,需要进行密码认证、只有密码认证成功、用户才能登录到设备上
· 认证方式为scheme:表示下次使用Console口登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA”。不同的认证方式下,Console口登录方式需要进行的配置不同,具体配置如表2-3所示。
认证方式 |
认证所需配置 |
说明 |
||
None |
设置登录用户的认证方式为不认证 |
具体内容请参见2.2.4 |
||
Password |
设置登录用户的认证方式为Password认证 |
具体内容请参见2.2.5 |
||
设置本地验证的密码 |
||||
Scheme |
设置登录用户的认证方式为Scheme认证 |
具体内容请参见2.2.6 |
||
选择认证方案 |
采用远端AAA服务器认证 |
在设备上配置RADIUS/HWTACACS方案 |
||
在设备上配置域使用的AAA方案 |
||||
在AAA服务器上配置相关的用户名和密码 |
||||
采用本地认证 |
在设备上配置认证用户名和密码 |
|||
在设备上配置域使用的AAA方案为本地认证 |
改变Console口登录方式的认证方式后,该认证方式的设置不会立即生效。用户需要退出命令行接口后重新登录,该设置才会生效。
表2-4 配置用户通过Console口登录设备时无需认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Console口用户界面视图 |
user-interface console first-number [ last-number ] |
- |
设置登录用户的认证方式为不认证 |
authentication-mode none |
必选 缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证) |
配置Console口的公共属性 |
- |
可选 详细配置请参见2.2.7 配置Console口登录方式的公共属性(可选) |
配置完成后,当用户再次通过Console口登录设备时,设备将提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图2-7所示。
图2-7 用户通过Console口登录设备时无需认证登录界面
表2-5 配置用户通过Console口登录设备时采用密码认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入Console用户界面视图 |
user-interface console first-number [ last-number ] |
- |
设置登录用户的认证方式为本地密码认证 |
authentication-mode password |
必选 缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证) |
设置本地验证的密码 |
set authentication password { cipher | simple } password |
必选 缺省情况下,没有设置本地认证的密码 |
配置Console口的公共属性 |
- |
可选 详细配置请参见2.2.7 配置Console口登录方式的公共属性(可选) |
配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-8所示。
图2-8 用户通过Console口登录设备时采用密码认证登录界面
表2-6 配置用户通过Console口登录设备时采用AAA认证
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入Console用户界面视图 |
user-interface console first-number [ last-number ] |
- |
|
设置登录用户的认证方式为通过认证方案认证 |
authentication-mode scheme |
必选 具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定 缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证) |
|
使能命令行授权功能 |
command authorization |
可选 · 缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权 · 缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行 |
|
使能命令行计费功能 |
command accounting |
可选 · 缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行 · 命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录 |
|
退出至系统视图 |
quit |
- |
|
配置设备采用的认证方案 |
进入ISP域视图 |
domain domain-name |
可选 缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置: · 设备上的RADIUS、HWTACACS方案配置请参见“安全配置指导”中的“AAA” · AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
||
退出至系统视图 |
quit |
||
创建本地用户(进入本地用户视图) |
local-user user-name |
必选 |
|
设置本地用户认证密码 |
password { cipher | simple } password |
必选 |
|
设置本地用户的命令级别 |
authorization-attribute level level |
可选 缺省情况下,命令级别为0 |
|
设置本地用户的服务类型 |
service-type terminal |
必选 缺省情况下,无用户服务类型 |
|
配置Console口的公共属性 |
- |
可选 详细配置请参见2.2.7 配置Console口登录方式的公共属性(可选) |
使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:
· 需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;
· 需要在ISP域中引用已创建的HWTACACS方案。
详细介绍请参见“安全配置指导”中的“AAA”。
需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。
· AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。
· AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。
有关AAA、RADIUS、HWTACACS的详细内容,请参见“安全配置指导”中的“AAA”。
配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-9所示。
图2-9 用户通过Console口登录设备时AAA认证登录界面
改变Console口属性后会立即生效,所以通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性。若用户需要通过Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口属性保持一致。
在FIPS模式下不支持通过Telnet登录设备。
MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:
型号 |
特性 |
描述 |
MSR800 |
FIPS模式 |
不支持 |
MSR 900 |
不支持 |
|
MSR900-E |
不支持 |
|
MSR 930 |
不支持 |
|
MSR 20-1X |
不支持 |
|
MSR 20 |
支持 |
|
MSR 30 |
支持,仅MSR 3016不支持 |
|
MSR 50 |
支持 |
|
MSR 2600 |
支持 |
|
MSR3600-51F |
支持 |
设备支持Telnet功能,用户可以通过Telnet方式登录到设备上,对设备进行远程管理和维护。如图2-10。
图2-10 通过Telnet登录设备示意图
表2-8 采用Telnet方式登录需要具备的条件
对象 |
需要具备的条件 |
Telnet服务器端 |
配置设备的IP地址,设备与Telnet用户间路由可达 |
配置Telnet登录的认证方式和其它配置(根据Telnet服务器端的情况而定) |
|
Telnet客户端 |
运行Telnet程序 |
获取要登录设备接口的IP地址 |
设备可以作为Telnet Client登录到Telnet Server上,从而对其进行操作。
设备可以充当Telnet Server:
· 设备支持Telnet Server功能、可作为Telnet Server,并可在设备上进行一系列的配置,从而实现对不同Telnet Client登录的具体认证方式、用户级别等方面的控制与管理。
· 缺省情况下,设备的Telnet Server功能处于关闭状态。因此当您使用Telnet方式登录设备前,首先需要通过Console口登录到设备上,开启Telnet Server功能,才能保证通过Telnet方式正常登录到设备。
本节将为您介绍设备充当Telnet服务器端时的内容,如下:
· 2.3.3 配置通过Telnet Client登录设备时无需认证(None)
· 2.3.4 配置通过Telnet Client登录设备时采用密码认证(Password)
· 2.3.5 配置通过Telnet Client登录设备时采用AAA认证(Scheme)
本节还将为您介绍设备充当Telnet客户端、Telnet登录到Server时的配置,具体请参见2.3.7 配置设备充当Telnet Client登录。
通过在Telnet的用户界面下配置认证方式,可以对使用Telnet登录的用户进行限制,以提高设备的安全性。通过Telnet登录支持的认证方式有none、password和scheme三种。
· 认证方式为none:表示使用Telnet登录设备时不需要进行用户名和密码认证,任何人都可以通过Telnet登录到设备上,这种情况可能会带来安全隐患。
· 认证方式为password:表示使用Telnet登录设备时需要进行密码认证,只有密码认证成功,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码,如果密码丢失,可以使用Console口登录到设备,对Telnet的密码配置进行查看或修改。
· 认证方式为scheme:表示使用Telnet登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA”。配置认证方式为scheme后,请妥善保存用户名及密码,如果本地认证密码丢失,可以使用Console口登录到设备,对Telnet的密码配置进行查看或修改。如果远程认证密码丢失,建议您联系服务器管理员。
不同的认证方式下,Telnet登录方式需要进行的配置不同,具体配置如表2-9所示。
表2-9 配置Telnet登录的认证方式
认证方式 |
认证所需配置 |
说明 |
||
None |
设置登录用户的认证方式为不认证 |
具体内容请参见2.3.3 |
||
Password |
设置登录用户的认证方式为Password认证 |
具体内容请参见2.3.4 |
||
设置本地验证的密码 |
||||
Scheme |
设置登录用户的认证方式为Scheme认证 |
具体内容请参见2.3.5 |
||
选择认证方案 |
采用远端AAA服务器认证 |
在设备上配置RADIUS/HWTACACS方案 |
||
在设备上配置域使用的AAA方案 |
||||
在AAA服务器上配置相关的用户名和密码 |
||||
采用本地认证 |
在设备上配置认证用户名和密码 |
|||
在设备上配置域使用的AAA方案为本地认证 |
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能设备的Telnet服务 |
telnet server enable |
必选 |
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
设置VTY登录用户的认证方式为不认证 |
authentication-mode none |
必选 |
配置从当前用户界面登录系统的用户所能访问的命令级别 |
user privilege level level |
必选 缺省情况下,通过VTY用户界面登录系统所能访问的命令级别是0 |
配置VTY用户界面的公共属性 |
- |
可选 详细配置请参见2.3.6 配置VTY用户界面的公共属性(可选) |
配置完成后,当用户再次通过Telnet登录设备时:
· 用户将直接进入VTY用户界面,如图2-11所示。
· 如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。
图2-11 用户通过Telnet登录设备时无需认证登录界面
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能设备的Telnet服务 |
telnet server enable |
必选 |
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
设置登录用户的认证方式为本地密码认证 |
authentication-mode password |
必选 |
设置本地验证的密码 |
set authentication password { cipher | simple } password |
必选 缺省情况下,没有设置本地认证的密码 |
配置从当前用户界面登录系统的用户所能访问的命令级别 |
user privilege level level |
必选 缺省情况下,通过VTY用户界面登录系统所能访问的命令级别是0 |
配置VTY用户界面的公共属性 |
- |
可选 详细配置请参见2.3.6 配置VTY用户界面的公共属性(可选) |
配置完成后,当用户再次通过Telnet登录设备时:
· 设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-12所示。
· 如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。
图2-12 配置用户通过Telnet登录设备时采用密码认证登录界面
表2-12 配置用户通过Telnet登录设备时采用AAA认证
操作 |
命令 |
说明 |
||
进入系统视图 |
system-view |
- |
||
使能设备的Telnet服务 |
telnet server enable |
必选 |
||
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
||
设置登录用户的认证方式为通过认证方案认证 |
authentication-mode scheme |
必选 具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定 缺省情况下采用本地认证方式 |
||
使能命令行授权功能 |
command authorization |
可选 缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权 · 需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA” · 需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA” |
||
使能命令行计费功能 |
command accounting |
可选 · 缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行 · 命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。 |
||
退出至系统视图 |
quit |
- |
||
配置设备采用的认证方案 |
进入ISP域视图 |
domain domain-name |
可选 缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置: · 设备上的配置请参见“安全配置指导”中的“AAA” · AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
|||
退出至系统视图 |
quit |
|||
创建本地用户(进入本地用户视图) |
local-user user-name |
必选 |
||
设置本地认证密码 |
password { cipher | simple } password |
必选 缺省情况下,没有配置本地认证密码 |
||
设置用户的命令级别 |
authorization-attribute level level |
可选 缺省情况下,命令级别为0 |
||
设置用户的服务类型 |
service-type telnet |
必选 缺省情况下,无用户的服务类型 |
||
退出至系统视图 |
quit |
- |
||
配置VTY用户界面的公共属性 |
- |
可选 详细配置请参见2.3.6 配置VTY用户界面的公共属性(可选) |
||
使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:
· 需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;
· 需要在ISP域中引用已创建的HWTACACS方案。
详细介绍请参见“安全配置指导”中的“AAA”。
需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。
· AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。
· AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。
有关AAA、RADIUS、HWTACACS的详细内容,请参见“AAA配置指导”中的“AAA”。
配置完成后,当用户再次通过Telnet登录设备时:
· 设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-13所示。
· 如果用户输入正确的登录用户名和密码后,设备提示用户再次输入一个指定类型的密码,则表示当前用户需要进行二次密码认证,即用户还必须根据提示信息输入一个正确的密码后才能通过认证。
· 如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。
图2-13 用户通过Telnet登录设备时AAA认证登录界面
表2-13 VTY用户界面的公共属性配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
启动终端服务 |
shell |
可选 缺省情况下,在所有的用户界面上启动终端服务 |
配置VTY用户界面支持的协议 |
protocol inbound { all | pad | ssh | telnet } |
可选 缺省情况下: · 在非FIPS模式下,设备同时支持PAD、Telnet和SSH协议 · 在FIPS模式下,设备支持PAD、SSH协议 |
配置中止当前运行任务的快捷键 |
escape-key { default | character } |
可选 缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
配置终端的显示类型 |
terminal type { ansi | vt100 } |
可选 缺省情况下,终端显示类型为ANSI |
设置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏显示功能 |
设置设备历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令 |
设置VTY用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟 如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
设置从用户界面登录后自动执行的命令 |
auto-execute command command |
可选 缺省情况下,未设定自动执行命令 配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接。该命令通常用来配置Telnet命令,使用户登录时自动连接到指定的主机 |
· 使用auto-execute command命令后,可能导致用户不能通过该终端线对本系统进行常规配置,需谨慎使用。
· 在配置auto-execute command命令并保存配置(执行save操作)之前,要确保可以通过其他VTY、AUX用户登录进来更改配置,以便出现问题后,能删除该配置。
用户已经成功登录到了设备上,并希望将当前设备作为Telnet Client登录到Telnet Server上进行操作。具体请参见图2-14所示。
如果Telnet Client与Telnet Server相连的端口不在同一子网内,请确保两台设备间路由可达。
表2-14 设备作为Telnet Client登录到Telnet Server的配置
操作 |
命令 |
说明 |
设备作为Telnet Client登录到Telnet Server |
telnet remote-host [ service-port ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ip ip-address } ] |
二者必选其一 此命令在用户视图下执行 |
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] |
||
指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口 |
telnet client source { interface interface-type interface-number | ip ip-address } |
可选 缺省情况下,没有指定发送Telnet报文的源IPv4地址和源接口,此时通过路由选择源IPv4地址 |
配置完成后,设备即可登录到相应的Telnet Server上。
SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。设备支持SSH功能,用户可以通过SSH方式登录到设备上,对设备进行远程管理和维护如图2-15所示。
表2-15 采用SSH方式登录需要具备的条件
对象 |
需要具备的条件 |
SSH服务器端 |
配置设备接口的IP地址,设备与SSH客户端间路由可达 |
配置SSH登录的认证方式和其它配置(根据SSH服务器端的情况而定) |
|
SSH客户端 |
如果是主机作为SSH客户端,则需要在主机上运行SSH客户端程序 |
获取要登录设备接口的IP地址 |
本节将为您介绍:
表2-16 设备充当SSH服务器时的配置
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
生成本地密钥对 |
public-key local create { dsa | rsa } |
必选 缺省情况下,没有生成密钥对 |
|
|
使能SSH服务器功能 |
ssh server enable |
必选 缺省情况下,SSH服务器功能处于关闭状态 |
|
|
进入VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
|
配置登录用户界面的认证方式为scheme方式 |
authentication-mode scheme |
必选 |
|
|
配置所在用户界面支持SSH协议 |
protocol inbound { all | pad | ssh | telnet } |
可选 缺省情况下,系统支持所有的协议 |
|
|
使能命令行授权功能 |
command authorization |
可选 缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权 · 需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA” · 需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA” |
||
使能命令行计费功能 |
command accounting |
可选 · 缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行 · 命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。 |
||
退出至系统视图 |
quit |
- |
||
配置设备采用的认证方案 |
进入ISP域视图 |
domain domain-name |
可选 缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置: · 设备上的配置请参见“安全配置指导”中的“AAA” · AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
|||
退出至系统视图 |
quit |
|||
创建本地用户,并进入本地用户视图 |
local-user user-name |
必选 |
|
|
设置本地认证密码 |
password { cipher | simple } password |
必选 缺省情况下,没有配置本地认证密码 |
|
|
设置本地用户的命令级别 |
authorization-attribute level level |
可选 缺省情况下,命令级别为0 |
|
|
设置本地用户的服务类型 |
service-type ssh |
必选 缺省情况下,无用户的服务类型 |
|
|
退回系统视图 |
quit |
- |
|
|
建立SSH用户,并指定SSH用户的认证方式 |
ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign { pki-domain pkiname | publickey keyname } } |
必选 |
|
|
配置VTY用户界面的公共属性 |
- |
可选 详细配置请参见2.3.6 配置VTY用户界面的公共属性(可选) |
|
本章只介绍采用password方式认证SSH客户端的配置方法,publickey方式的配置方法及SSH的详细介绍,请参见“安全配置指导”中的“SSH”。
使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:
· 需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;
· 需要在ISP域中引用已创建的HWTACACS方案。
详细介绍请参见“安全配置指导”中的“AAA”。
· 用户采用password认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定;AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。有关AAA、RADIUS、HWTACACS的详细内容,请参见“AAA配置指导”中的“AAA”。
· 用户采用publickey认证方式登录设备时,其所能访问的命令级别取决于用户界面上通过user privilege level命令配置的级别
用户已经成功登录到了设备上,并希望将当前设备作为SSH Client登录到其它设备上进行操作。具体请参见图2-14所示。
图2-16 通过路由器设备登录到其它设备
如果SSH Client与SSH Server相连的端口不在同一子网内,请确保两台设备间路由可达。
表2-17 设备作为SSH Client登录到其它设备的配置
操作 |
命令 |
说明 |
设备作为SSH Client登录到SSH IPv4服务器端 |
ssh2 server |
必选 server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写 此命令在用户视图下执行 |
设备作为SSH Client登录到SSH IPv6服务器端 |
ssh2 ipv6 server |
必选 server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写。 |
为配合SSH Server,设备充当SSH Client时还可进一步进行其它配置,具体请参见“安全配置指导”中的“SSH”。
配置完成后,设备即可登录到相应的SSH Server上。
通过AUX口进行本地登录是登录设备的基本方式之一,所使用的配置电缆和登录方式与通过Console口登录设备一致,对于具有独立Console口和AUX口的设备,可以同时使用两条本地链路登录设备,便于系统维护。如图2-17所示。
图2-17 通过AUX口登录设备示意图
缺省情况下,通过AUX口进行本地登录,使用Password认证方式。需要先通过Console口或其它方式登录到设备上,配置AUX口Password认证方式的密码,或者更改认证方式并完成相关参数的设置,才可以通过AUX口从本地登录设备。
本节将为您介绍:
· 2.5.3 配置通过AUX口登录设备时无需认证(None)
· 2.5.4 配置通过AUX口登录设备时采用密码认证(Password)
· 2.5.5 配置通过AUX口登录设备时采用AAA认证(Scheme)
缺省情况下,通过AUX口进行本地登录,使用Password认证方式。
通过在AUX口用户界面下配置认证方式,可以对使用AUX口登录的用户进行限制,以提高设备的安全性。AUX口支持的认证方式有none、password和scheme三种。
· 认证方式为none:表示使用AUX口本地登录设备时,不需要进行用户名和密码认证,任何人都可以通过AUX口登录到设备上,这种情况可能会带来安全隐患。
· 认证方式为password:表示使用AUX口本地登录设备时,需要进行密码认证。只有密码认证成功,用户才能登录到设备上。
· 认证方式为scheme:表示使用AUX口登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA”。
不同的认证方式下,AUX口登录方式需要进行的配置不同,具体配置如表2-18所示。
认证方式 |
认证所需配置 |
说明 |
||
None |
设置登录用户的认证方式为不认证 |
具体内容请参见2.5.3 |
||
Password |
设置登录用户的认证方式为Password认证 |
具体内容请参见2.5.4 |
||
设置本地验证的密码 |
||||
Scheme |
设置登录用户的认证方式为Scheme认证 |
具体内容请参见2.5.5 |
||
选择认证方案 |
采用远端AAA服务器认证 |
在设备上配置RADIUS/HWTACACS方案 |
||
在设备上配置域使用的AAA方案 |
||||
在AAA服务器上配置相关的用户名和密码 |
||||
采用本地认证 |
在设备上配置认证用户名和密码 |
|||
在设备上配置域使用的AAA方案为本地认证 |
改变AUX口登录方式的认证方式后,如果AUX口当前有登录用户,该认证方式的设置不会立即生效。AUX用户退出命令行接口后重新登录,该设置才会生效。
表2-19 配置用户通过AUX口登录设备时无需认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入AUX口用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
设置登录用户的认证方式为不认证 |
authentication-mode none |
必选 |
配置AUX口的公共属性 |
- |
可选 详细配置请参见2.5.6 配置AUX口登录方式的公共属性(可选) |
配置完成后,当用户再次通过AUX口登录设备时,设备将提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图2-18所示。
图2-18 用户通过AUX口登录设备时无需认证登录界面
表2-20 配置用户通过AUX口登录设备时采用密码认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
设置登录用户的认证方式为本地密码认证 |
authentication-mode password |
必选 |
设置本地验证的密码 |
set authentication password { cipher | simple } password |
必选 缺省情况下,没有设置本地认证的密码 |
配置AUX口的公共属性 |
- |
可选 详细配置请参见2.5.6 配置AUX口登录方式的公共属性(可选) |
配置完成后,当用户再次通过AUX口登录设备时,键入回车后,设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-8所示。
图2-19 用户通过AUX口登录设备时采用密码认证登录界面
表2-21 配置用户通过AUX口登录设备时采用AAA认证
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
|
设置登录用户的认证方式为通过认证方案认证 |
authentication-mode scheme |
必选 |
|
使能命令行授权功能 |
command authorization |
可选 · 缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权 · 缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。 |
|
使能命令行计费功能 |
command accounting |
可选 · 缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行 · 命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。 |
|
退出至系统视图 |
quit |
- |
|
配置设备采用的认证方案 |
进入ISP域视图 |
domain domain-name |
可选 缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置: · 设备上的RADIUS、HWTACACS方案配置请参见“安全配置指导”中的“AAA” · AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
||
退出至系统视图 |
quit |
||
创建本地用户(进入本地用户视图) |
local-user user-name |
必选 |
|
设置本地用户认证密码 |
password { cipher | simple } password |
必选 |
|
设置本地用户的命令级别 |
authorization-attribute level level |
可选 缺省情况下,命令级别为0 |
|
设置本地用户的服务类型 |
service-type terminal |
必选 缺省情况下,无用户服务类型 |
|
配置AUX口的公共属性 |
- |
可选 详细配置请参见2.5.6 配置AUX口登录方式的公共属性(可选) |
使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:
· 需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;
· 需要在ISP域中引用已创建的HWTACACS方案。
详细介绍请参见“安全配置指导/AAA”中的“配置ISP域的AAA授权方案”。
需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。
· AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。
· AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。
有关AAA、RADIUS、HWTACACS的详细内容,请参见“安全配置指导”中的“AAA”。
配置完成后,当用户再次通过AUX口登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为user001为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-9所示。
图2-20 用户通过AUX口登录设备时AAA认证登录界面
AUX口登录方式的公共属性配置,如表2-22所示。
表2-22 AUX口登录方式公共属性配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
建立Telnet重定向监听端口与IP地址的对应关系 |
ip alias ip-address port-number |
可选 缺省情况下,Telnet重定向监听端口与IP地址没有对应关系 用户和设备A相连,设备A通过异步串口和设备B相连。在设备A上配置redirect enable和redirect listen-port port-number后,用户就可以使用“telnet 设备A的IP地址 port-number”来登录设备B,相当于用户直接Telnet登录设备B。如果再使用ip alias ip-address port-number建立Telnet重定向监听端口与IP地址的对应关系后,用户就可以直接执行“telnet ip-address”来登录设备B |
进入AUX接口视图 |
interface aux 0 |
- |
设置AUX口的工作模式为flow |
async mode flow |
可选 缺省工作在流模式(flow) |
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
配置传输速率 |
speed speed-value |
可选 缺省情况下,AUX口使用的传输速率为9600bit/s 传输速率为设备与访问终端之间每秒钟传送的比特的个数 |
配置校验方式 |
parity { even | mark | none | odd | space } |
可选 缺省情况下,AUX口的校验方式为none,即不进行校验 |
配置停止位 |
stopbits { 1 | 1.5 | 2 } |
可选 缺省情况下,AUX口的停止位为1 停止位用来表示单个包的结束。停止位的位数越多,传输效率越低 |
配置数据位 |
databits { 5 | 6 | 7 | 8 } |
可选 缺省情况下,AUX口的数据位为8位 数据位的设置取决于需要传送的信息。比如,如果传送的是标准的ASCII码,则可以将数据位设置为7,如果传输的是扩展的ASCII码,则需要将数据位设置为8 |
配置启动终端会话的快捷键 |
activation-key character |
可选 缺省情况下,按<Enter>键启动终端会话 |
配置中止当前运行任务的快捷键 |
escape-key { default | character } |
可选 缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
检测停止位 |
stopbit-error intolerance |
可选 缺省情况下,不检测停止位 |
配置流量控制方式 |
flow-control { hardware | none | software } flow-control hardware flow-control-type1 [ software flow-control-type2 ] flow-control software flow-control-type1 [ hardware flow-control-type2 ] |
可选 缺省情况下,独立AUX口进行硬件流控, AUX与Console合一接口不进行流控 |
配置终端的显示类型 |
terminal type { ansi | vt100 } |
可选 缺省情况下,终端显示类型为ANSI 当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型 |
设置用户登录后可以访问的命令级别 |
user privilege level level |
可选 缺省情况下,从AUX用户界面登录后可以访问的命令级别为0级 |
设置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏显示功能 |
设置历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令 |
设置用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟,如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
使能当前用户界面的Telnet重定向功能 |
redirect enable |
可选 缺省情况下,用户界面重定向功能被禁止 用户和设备A相连,能够Telnet登录到设备A;设备A通过异步串口和设备B相连,如果设备B要给用户提供Telnet服务,但又不方便告知用户IP地址时,可以在设备A上配置Telnet重定向功能,则用户执行“telnet 设备A的IP地址 特定端口号”(该端口号由redirect listen-port命令决定)能够登录设备B,相当于用户直接Telnet登录设备B |
设置Telnet重定向的监听端口 |
redirect listen-port port-number |
可选 缺省情况下,Telnet重定向的监听端口号为用户界面的绝对编号加2000 |
强制设置在建立Telnet重定向连接时不进行Telnet选项协商 |
redirect refuse-negotiation |
可选 缺省情况下,进行Telnet选项协商 |
设置在建立Telnet重定向连接时不对ACSII码0xff进行转义 |
redirect refuse-teltransfer |
可选 缺省情况下,在建立Telnet重定向连接时会将ACSII码0xff转义为0xff 0xff |
设置Telnet重定向设备对从Telnet客户端接收到的回车符进行处理,即将接收到的“0x0d 0x0a”和“0x0d 0x00”统一修改为“0x0d” |
redirect return-deal from-telnet |
可选 缺省情况下,设备不对从Telnet客户端接收到的回车符进行处理 |
设置当设备进行Telnet重定向时对从终端(例如从Console口连接的PC)接收到的回车符进行处理,即将接收到的“0x0d 0x0a”和“0x0d 0x00”统一修改为“0x0d” |
redirect return-deal from-terminal |
可选 缺省情况下,当设备进行Telnet重定向时不会对从终端接收到的回车符进行处理,而是直接转发 |
设置Telnet重定向的空闲超时时间 |
redirect timeout time |
可选 缺省情况下,设备Telnet重定向的空闲超时时间为360秒 如果在指定的时间内没有从Telnet客户端接收到数据,则断开Telnet重定向连接 |
强制断开已经建立的Telnet重定向连接 |
redirect disconnect |
可选 |
改变AUX口属性后会立即生效,所以通过AUX口登录来配置AUX口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置AUX口属性。若用户需要通过AUX口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的AUX口属性保持一致。
表2-23 通过AUX登录设备需要具备的条件
对象 |
需要具备的条件 |
设备 |
|
AUX口登录用户 |
运行超级终端程序 |
配置超级终端属性 |
当用户使用AUX口登录设备时,用户终端的通信参数配置要和设备AUX口的缺省配置保持一致,才能通过AUX口登录到设备上。设备AUX口的缺省配置如下:
表2-24 设备AUX口缺省配置
属性 |
缺省配置 |
传输速率 |
9600bit/s |
流控方式 |
独立AUX口进行硬件流控 AUX与Console合一接口不进行流控 |
校验方式 |
不进行校验 |
停止位 |
1 |
数据位 |
8 |
(1) 请使用产品随机附带的配置口电缆连接PC机和设备。请先将配置电缆的DB-9(孔)插头插入PC机的9芯(针)串口插座,再将RJ-45插头端插入设备的AUX口中。
图2-21 将设备与PC通过配置口电缆进行连接
连接时请认准接口上的标识,以免误插入其它接口。
由于PC机串口不支持热插拔,请不要在设备带电的情况下,将串口插入或者拔出PC机。当连接PC和设备时,请先安装配置电缆的DB-9端到PC机,再连接RJ-45到设备;在拆下时,先拔出RJ-45端,再拔下DB-9端。
(2) 在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),选择与设备相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图2-22至图2-24所示。
如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参照软件的使用指导或联机帮助。
图2-23 连接端口设置
(3) 通过AUX口登录设备时,键入回车后,设备将要求用户输入登录密码(使用Password认证方式),正确输入登录密码并回车,将出现命令行提示符(如<H3C>),如图2-25所示。
(4) 键入命令,配置设备或查看设备运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。
网络管理员可以通过设备的AUX口,利用一对Modem和PSTN(Public Switched Telephone Network,公共电话交换网)拔号登录到设备上,对远程设备进行管理和维护。这种登录方式一般适用于在网络中断的情况下,利用PSTN网络对设备进行远程管理、维护及故障定位。
本节将为您介绍如何通过Modem登录设备,并配置登录时的认证方式、用户级别及公共属性,实现对Modem登录用户的控制。
本节将为您介绍:
· 2.6.4 配置用户通过Modem登录设备时无需认证(None)
· 2.6.5 配置用户通过Modem登录设备时采用密码认证(Password)
· 2.6.6 配置用户通过Modem登录设备时采用AAA认证(Scheme)
· 2.2.7 配置Console口登录方式的公共属性(可选)
表2-25 通过AUX口利用Modem拨号进行远程登录需要具备的条件
配置对象 |
需要具备的条件 |
网络管理员端 |
PC终端与Modem正确连接 |
Modem与可正常使用的电话线正确相连 |
|
获取了远程设备端AUX口所连Modem上对应的电话号码 |
|
设备端 |
AUX口与Modem正确连接 |
在Modem上进行了正确的配置 |
|
Modem与可正常使用的电话线正确相连 |
|
设备上配置了登录用户的认证方式、用户级别及其它配置 |
(1) 如图2-26所示,建立远程配置环境,在PC机(或终端)的串口和设备的AUX口分别挂接Modem。
(2) 网络管理员端的相关配置。
PC终端与Modem正确连接、Modem与可正常使用的电话线正确相连、获取了远程设备端AUX口所连Modem上对应的电话号码。
通过AUX口利用Modem拨号进行远程登录时,使用的是AUX用户界面,设备上的配置需要注意以下几点:
· AUX口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象。
· AUX口的其它属性(校验方式、停止位、数据位)均采用缺省值。
(3) 在与设备直接相连的Modem上进行以下配置。
AT&F-------------------------- Modem恢复出厂配置
ATS0=1------------------------ 配置自动应答(振铃一声)
AT&D-------------------------- 忽略DTR信号
AT&K0------------------------- 禁止流量控制
AT&R1------------------------- 忽略RTS信号
AT&S0------------------------- 强制DSR为高电平
ATEQ1&W----------------------- 禁止modem回送命令响应和执行结果并存储配置
在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果。
各种Modem配置命令及显示的结果有可能不一样,具体操作请参照Modem的说明书进行。
(4) 在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),新建一个拨号连接(所拨号码为与设备相连的Modem的电话号码),与设备建立连接,如图2-27至图2-29所示。
如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的拨号控制软件,使用方法请参照软件的使用指导或联机帮助。
(5) 在远端通过终端仿真程序和Modem向设备拨号
图2-28 拨号号码配置
图2-29 在远端PC机上拨号
(6) 当听到拨号音后,超级终端窗口将返回字符串“CONNECT9600”,键入回车键之后将出现命令行提示符(如<H3C>),如图2-30所示。
图2-30 AUX登录界面
(7) 如果配置验证方式为Password,在远端的终端仿真程序上输入已配置的登录密码,出现命令行提示符(如<H3C>),即可对设备进行配置或管理。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关模块的内容。
(8) 键入命令,配置设备或查看设备运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。
· 当您想断开PC与远端设备的连接时,首先在超级终端中用“ATH”命令断开modem间的连接。如果在超级终端窗口无法输入此命令,可输入“AT+ + +”并回车,待窗口显示“OK”提示后再输入“ATH”命令,屏幕再次显示“OK”提示,表示已断开本次连接。您也可以使用超级终端页面提供的挂断按扭断开PC与远端设备的连接。
· 当您使用完超级终端仿真程序后,务必要先断开PC与远端设备的连接,不能直接关闭超级终端,否则有些型号的远程modem将一直在线,下次拨号连接时将无法拨号成功。
通过在AUX用户界面下配置认证方式,可以对使用Modem拨号登录的用户进行限制,以提高设备的安全性。Modem拨号支持的认证方式有none、password和scheme三种。
· 认证方式为none:表示使用Modem拨号登录设备时,不需要进行用户名和密码认证、任何人都可以通过Modem拨号登录到设备上,这种情况可能会带来安全隐患。
· 认证方式为password:表示使用Modem拨号登录设备时,需要进行密码认证、只有密码认证成功、用户才能登录到设备上。配置认证方式为password后,请妥善保存密码,如果密码丢失,则无法使用该方式登录。此时,可以使用Console登录到设备,对Modem拨号的密码配置进行查看或修改。
· 认证方式为scheme:表示使用Modem拨号登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。有关用户认证方式及参数的详细介绍请参见“安全配置指导”中的“AAA”。配置认证方式为scheme后,请妥善保存用户名及密码,如果本地认证密码丢失,可以使用Console登录到设备,对Modem拨号的密码配置进行查看或修改。如果远程认证密码丢失,建议您联系服务器管理员。
不同的认证方式下,Modem拨号登录方式需要进行的配置不同,具体配置如表2-3所示。
表2-26 配置任务简介
认证方式 |
认证所需配置 |
说明 |
||
None |
设置登录用户的认证方式为不认证 |
具体内容请参见2.6.4 |
||
Password |
设置登录用户的认证方式为Password认证 |
具体内容请参见2.6.5 |
||
设置本地验证的密码 |
||||
Scheme |
设置登录用户的认证方式为Scheme认证 |
具体内容请参见2.6.6 |
||
选择认证方案 |
采用远端AAA服务器认证 |
在设备上配置RADIUS/HWTACACS方案 |
||
在设备上配置域使用的AAA方案 |
||||
在AAA服务器上配置相关的用户名和密码 |
||||
采用本地认证 |
在设备上配置认证用户名和密码 |
|||
在设备上配置域使用的AAA方案为本地认证 |
改变Modem拨号登录方式的认证方式后,该认证方式的设置不会立即生效。用户需要退出命令行接口后重新登录,该设置才会生效。
表2-27 配置用户通过Modem拨号登录设备时无需认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
设置登录用户的认证方式为不认证 |
authentication-mode none |
必选 |
配置AUX用户界面的公共属性 |
- |
可选 详细配置请参见2.6.7 配置AUX用户界面的公共属性(可选) |
配置完成后,当用户再次通过Modem拨号登录设备时,设备将提示用户键入回车,之后将出现命令行提示符(如<H3C>),如图2-31所示。
图2-31 用户通过Modem拨号登录设备时无需认证登录界面
表2-28 配置用户通过Modem拨号登录设备时采用密码认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
设置登录用户的认证方式为本地密码认证 |
authentication-mode password |
必选 缺省情况下,对于具有独立AUX口的设备,用户通过Modem登录,认证方式为password。对于AUX口与Console口合一的设备,用户通过Modem登录,认证方式为none(即不需要进行认证) |
设置本地验证的密码 |
set authentication password { cipher | simple } password |
必选 缺省情况下,没有设置本地认证的密码 |
配置AUX用户界面的公共属性 |
- |
可选 详细配置请参见2.6.7 配置AUX用户界面的公共属性(可选) |
配置完成后,当用户再次通过Modem拨号登录设备时,键入回车后,设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-32所示。
图2-32 用户通过Modem拨号登录设备时采用密码认证登录界面
表2-29 配置用户通过Modem拨号登录设备时采用AAA认证
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
|
设置登录用户的认证方式为通过认证方案认证 |
authentication-mode scheme |
必选 具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定 缺省情况下,对于具有独立AUX口的设备,用户通过Modem登录,认证方式为password。对于AUX口与Console口合一的设备,用户通过AUX口登录,认证方式为none(即不需要进行认证) |
|
使能命令行授权功能 |
command authorization |
可选 · 缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权 · 缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。 |
|
使能命令行计费功能 |
command accounting |
可选 · 缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行 · 命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。 |
|
退出至系统视图 |
quit |
- |
|
配置设备采用的认证方案 |
进入ISP域视图 |
domain domain-name |
可选 缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置: · 设备上的RADIUS、HWTACACS方案配置请参见“安全配置指导”中的“AAA” · AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
||
退出至系统视图 |
quit |
||
创建本地用户(进入本地用户视图) |
local-user user-name |
必选 |
|
设置本地用户认证密码 |
password { cipher | simple } password |
必选 |
|
设置本地用户的命令级别 |
authorization-attribute level level |
可选 缺省情况下,命令级别为0 |
|
设置本地用户的服务类型 |
service-type terminal |
必选 缺省情况下,无用户服务类型 |
|
配置AUX用户界面的公共属性 |
- |
可选 详细配置请参见2.6.7 配置AUX用户界面的公共属性(可选) |
使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:
· 需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;
· 需要在ISP域中引用已创建的HWTACACS方案。
详细介绍请参见“安全配置指导/AAA”中的“配置ISP域的AAA授权方案”。
需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。
· AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。
· AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。
有关AAA、RADIUS、HWTACACS的详细内容,请参见“安全配置指导”中的“AAA”。
配置完成后,当用户再次通过Modem拨号登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-6所示。
图2-33 用户通过Modem拨号登录设备时AAA认证登录界面
表2-30 AUX用户界面的公共属性配置
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
建立Telnet重定向监听端口与IP地址的对应关系 |
ip alias ip-address port-number |
可选 缺省情况下,Telnet重定向监听端口与IP地址没有对应关系 用户和设备A相连,设备A通过异步串口和设备B相连。在设备A上配置redirect enable和redirect listen-port port-number后,用户就可以使用“telnet 设备A的IP地址 port-number”来登录设备B,相当于用户直接Telnet登录设备B。如果再使用ip alias ip-address port-number建立Telnet重定向监听端口与IP地址的对应关系后,用户就可以直接执行“telnet ip-address”来登录设备B |
进入AUX接口视图 |
interface aux 0 |
- |
设置AUX口的工作模式为flow |
async mode { flow | protocol } |
可选 缺省工作在流模式(flow) |
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
配置传输速率 |
speed speed-value |
可选 缺省情况下,传输速率为9600bit/s 传输速率为设备与访问终端之间每秒钟传送的比特的个数 |
配置校验方式 |
parity { even | mark | none | odd | space } |
可选 缺省情况下,校验方式为none,即不进行校验 |
配置停止位 |
stopbits { 1 | 1.5 | 2 } |
可选 缺省情况下,停止位为1 停止位用来表示单个包的结束。停止位的位数越多,传输效率越低 |
配置数据位 |
databits { 5 | 6 | 7 | 8 } |
可选 缺省情况下,数据位为8位 数据位的设置取决于需要传送的信息。比如,如果传送的是标准的ASCII码,则可以将数据位设置为7,如果传输的是扩展的ASCII码,则需要将数据位设置为8 |
配置启动终端会话的快捷键 |
activation-key character |
可选 缺省情况下,按<Enter>键启动终端会话 |
配置中止当前运行任务的快捷键 |
escape-key { default | character } |
可选 缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
检测停止位 |
stopbit-error intolerance |
可选 缺省情况下,不检测停止位 |
配置流量控制方式 |
flow-control { hardware | none | software } flow-control hardware flow-control-type1 [ software flow-control-type2 ] flow-control software flow-control-type1 [ hardware flow-control-type2 ] |
可选 缺省情况下,独立AUX口进行硬件流控, AUX与Console合一接口不进行流控 |
配置终端的显示类型 |
terminal type { ansi | vt100 } |
可选 缺省情况下,终端显示类型为ANSI 当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象。建议两端都设置为VT100类型 |
设置用户登录后可以访问的命令级别 |
user privilege level level |
可选 缺省情况下,从AUX用户界面登录后可以访问的命令级别为0级 |
设置终端屏幕一屏显示的行数 |
screen-length screen-length |
可选 缺省情况下,终端屏幕一屏显示的行数为24行 screen-length 0表示关闭分屏显示功能 |
设置历史命令缓冲区大小 |
history-command max-size value |
可选 缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令 |
设置用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
可选 缺省情况下,所有的用户界面的超时时间为10分钟,如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
设置呼入连接建立时,用户从摘机到拨号的有效间隔时间 |
modem timer answer time |
可选 缺省情况下,拨号超时时间为60秒 |
设置Modem为自动应答方式 |
modem auto-answer |
可选 缺省情况下,Modem的应答方式为手动应答 |
使能Modem的呼入/呼出功能 |
modem { both | call-in | call-out } |
可选 缺省情况下,Modem的呼入和呼出功能处于禁止状态 |
使能当前用户界面的Telnet重定向功能 |
redirect enable |
可选 缺省情况下,用户界面重定向功能被禁止 用户和设备A相连,能够Telnet登录到设备A;设备A通过异步串口和设备B相连,如果设备B要给用户提供Telnet服务,但又不方便告知用户IP地址时,可以在设备A上配置Telnet重定向功能,则用户执行“telnet 设备A的IP地址 特定端口号”(该端口号由redirect listen-port命令决定)能够登录设备B,相当于用户直接Telnet登录设备B |
设置Telnet重定向的监听端口 |
redirect listen-port port-number |
可选 缺省情况下,Telnet重定向的监听端口号为用户界面的绝对编号加2000 |
强制设置在建立Telnet重定向连接时不进行Telnet选项协商 |
redirect refuse-negotiation |
可选 缺省情况下,进行Telnet选项协商 |
设置在建立Telnet重定向连接时不对ACSII码0xff进行转义 |
redirect refuse-teltransfer |
可选 缺省情况下,在建立Telnet重定向连接时会将ACSII码0xff转义为0xff 0xff |
设置Telnet重定向设备对从Telnet客户端接收到的回车符进行处理,即将接收到的“0x0d 0x0a”和“0x0d 0x00”统一修改为“0x0d” |
redirect return-deal from-telnet |
可选 缺省情况下,设备不对从Telnet客户端接收到的回车符进行处理 |
设置当设备进行Telnet重定向时对从终端(例如从Console口连接的PC)接收到的回车符进行处理,即将接收到的“0x0d 0x0a”和“0x0d 0x00”统一修改为“0x0d” |
redirect return-deal from-terminal |
可选 缺省情况下,当设备进行Telnet重定向时不会对从终端接收到的回车符进行处理,而是直接转发 |
设置Telnet重定向的空闲超时时间 |
redirect timeout time |
可选 缺省情况下,设备Telnet重定向的空闲超时时间为360秒 如果在指定的时间内没有从Telnet客户端接收到数据,则断开Telnet重定向连接 |
强制断开已经建立的Telnet重定向连接 |
redirect disconnect |
可选 |
· 改变AUX口属性后会立即生效,通过AUX口登录来配置AUX口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置AUX口属性。若用户需要通过AUX口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的AUX口属性保持一致。
· AUX口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象。
表2-31 CLI显示和维护
操作 |
命令 |
说明 |
显示当前正在使用的用户界面以及用户的相关信息 |
display users [ | { begin | exclude | include } regular-expression ] |
在任意视图下执行 |
显示设备支持的所有用户界面以及用户的相关信息 |
display users all [ | { begin | exclude | include } regular-expression ] |
在任意视图下执行 |
显示用户界面的相关信息 |
display user-interface [ num1 | { aux | console | tty | vty } num2 ] [ summary ] [ | { begin | exclude | include } regular-expression ] |
在任意视图下执行 |
显示设备作为Telnet客户端的相关配置信息 |
display telnet client configuration [ | { begin | exclude | include } regular-expression ] |
在任意视图下执行 |
释放指定的用户界面 |
free user-interface { num1 | { aux | console | tty | vty } num2 } |
在用户视图下执行 系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以使用以下命令强制断开该用户的连接 不能使用该命令释放用户当前自己使用的连接 |
锁住当前用户界面 |
lock |
在用户视图下执行 缺省情况下,系统不会自动锁住当前用户界面 |
设置在用户界面之间传递消息 |
send { all | num1 | { aux | console | tty | vty } num2 } |
在用户视图下执行 |
在FIPS模式下不支持通过HTTP方式登录设备。
MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:
型号 |
特性 |
描述 |
MSR800 |
FIPS模式 |
不支持 |
MSR 900 |
不支持 |
|
MSR900-E |
不支持 |
|
MSR 930 |
不支持 |
|
MSR 20-1X |
不支持 |
|
MSR 20 |
支持 |
|
MSR 30 |
支持,仅MSR 3016不支持 |
|
MSR 50 |
支持 |
|
MSR 2600 |
支持 |
|
MSR3600-51F |
支持 |
为了方便您对网络设备进行配置和维护,设备提供Web网管功能。设备提供一个内置的Web服务器,您可以通过PC登录到设备上,使用Web界面直观地配置和维护设备。
· HTTP登录方式:HTTP(Hypertext Transfer Protocol,超文本传输协议)用来在Internet上传递Web页面信息。HTTP位于TCP/IP协议栈的应用层。传输层采用面向连接的TCP。目前,设备支持的HTTP协议版本为HTTP/1.0。
· HTTPS登录方式:HTTPS(Hypertext Transfer Protocol Secure,超文本传输协议的安全版本)是支持SSL(Secure Sockets Layer,安全套接字层)协议的HTTP协议。HTTPS通过SSL协议,使客户端与设备之间交互的数据经过加密处理,并为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备,从而实现了对设备的安全管理。
表3-1 通过Web登录设备需要具备的条件
对象 |
需要具备的条件 |
|
设备 |
配置设备的IP地址,设备与Web登录用户间路由可达 缺省情况下,设备的IP地址为192.168.1.1/24 |
|
配置Web登录用户的属性 (HTTP和HTTPS是两种独立的登录方式,不存在配置依赖关系,请根据需要二者必选其一) |
HTTP方式配置 |
|
HTTPS方式配置 |
||
Web登录用户 |
运行Web浏览器 |
|
获取要登录设备接口的IP地址 |
本节将为您介绍如何通过Web登录设备,并配置通过Web登录时的认证方式及用户级别等,实现对Web登录用户的控制。
表3-2 配置通过HTTP方式登录设备
操作 |
命令 |
说明 |
配置用户访问Web的固定校验码 |
web captcha verification-code |
可选 缺省情况下,用户只能使用Web页面显示的校验码访问Web 该命令在用户视图下执行 |
进入系统视图 |
system-view |
- |
启动HTTP服务器 |
ip http enable |
必选 缺省情况HTTP服务状态与设备型号有关,请参见“基础配置命令参考”中的“登录设备命令” |
配置HTTP服务日志写入日志文件周期 |
ip http log-file frequency |
可选 缺省情况下,HTTP服务日志写入日志文件周期为30分钟 |
配置HTTP服务的端口号 |
ip http port port-number |
可选 缺省情况下,HTTP服务的端口号为80 如果重复执行此命令,HTTP服务将使用最后一次配置的端口号 |
配置HTTP服务与ACL关联 |
ip http acl acl-number |
可选 缺省情况下,没有ACL与HTTP服务关联 通过将HTTP服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问设备 |
设置Web登录用户连接的超时时间 |
web idle-timeout minutes |
可选 |
设置Web日志缓冲区容量 |
web logbuffer size pieces |
可选 |
创建本地用户(进入本地用户视图) |
local-user user-name |
必选 |
配置本地认证密码 |
password { cipher | simple } password |
必选 缺省情况下,无本地认证密码 |
配置Web登录的用户级别 |
authorization-attribute level level |
必选 缺省情况下,没有配置Web登录的用户级别 |
配置Web登录用户的服务类型 |
service-type web |
必选 缺省情况下,没有配置用户的服务类型 |
退回系统视图 |
quit |
- |
进入接口视图 |
interface interface-type { interface-number | interface-number.subnumber } |
必选 |
配置接口的IP地址 |
ip address ip-address { mask | mask-length } |
必选 |
HTTPS登录方式分为以下两种:
· 简便登录方式:采用这种方式时,设备上只需使能HTTPS服务,用户即可通过HTTPS登录设备。此时,设备使用的证书为自签名证书,使用的SSL参数为各个参数的缺省值。这种方式简化了配置,但是存在安全隐患。(自签名证书指的是服务器自己生成的证书,无需从CA获取)
· 安全登录方式:采用这种方式时,设备上不仅要使能HTTPS服务,还需要配置SSL服务器端策略、PKI域等。这种方式配置复杂,但是具有更高的安全性。
· SSL的相关描述和配置请参见“安全配置指导”中的“SSL”。
· PKI的相关描述和配置请参见“安全配置指导”中的“PKI”。
表3-3 配置通过HTTPS方式登录设备
操作 |
命令 |
说明 |
配置用户访问Web的固定校验码 |
web captcha verification-code |
可选 缺省情况下,用户只能使用Web页面显示的校验码访问Web 该命令在用户视图下执行 |
进入系统视图 |
system-view |
- |
配置HTTPS服务与SSL服务器端策略关联 |
ip https ssl-server-policy policy-name |
可选 缺省情况下,没有SSL服务器端策略与HTTPS服务关联,HTTPS使用自签名证书 · 关闭HTTPS服务后,系统将自动取消HTTPS服务与SSL服务器端策略的关联。再次使能HTTPS服务之前,需要重新配置HTTPS服务与SSL服务器端策略关联 · HTTPS服务处于使能状态时,对与其关联的SSL服务器端策略进行的修改不会生效 |
使能HTTPS服务 |
ip https enable |
必选 缺省情况下,HTTPS服务处于关闭状态 使能HTTPS服务,会触发SSL的握手协商过程。在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程。由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务。因此,在这种情况下,需要多次执行ip https enable命令,这样HTTPS服务才能正常启动 |
配置HTTPS服务与证书属性访问控制策略关联 |
ip https certificate access-control-policy policy-name |
可选 缺省情况下,没有证书属性访问控制策略与HTTPS服务关联 · 通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制,进一步保证设备的安全性 · 如果配置HTTPS服务与证书属性访问控制策略关联,则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verify enable命令,否则,客户端无法登录设备。 · 如果配置HTTPS服务与证书属性访问控制策略关联,则证书属性访问控制策略中必须至少包括一条permit规则,否则任何HTTPS客户端都无法登录设备。 · 证书属性访问控制策略的详细介绍请参见“安全配置指导”中的“PKI” |
配置HTTPS服务的端口 |
ip https port port-number |
可选 缺省情况下,HTTPS服务的端口号为443 |
配置HTTPS服务与ACL关联 |
ip https acl acl-number |
必选 缺省情况下,没有ACL与HTTPS服务关联 通过将HTTP服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问设备 |
配置用户使用HTTPS登录设备时采用的认证模式 |
web https-authorization mode { auto | manual } |
可选 缺省情况下,用户使用HTTPS登录设备时采用的认证模式为manual 选择auto认证模式时表示用户通过HTTPS登录设备时,使用客户端的PKI证书自动认证登录 选择manual认证模式时表示用户通过HTTPS登录设备时,设备给出登录页面,用户必须输入合法的用户名和密码后才能登录 |
设置Web登录用户连接的超时时间 |
web idle-timeout minutes |
可选 |
设置Web日志缓冲区容量 |
web logbuffer size pieces |
可选 |
创建本地用户(进入本地用户视图) |
local-user user-name |
必选 |
配置本地认证密码 |
password { cipher | simple } password |
必选 缺省情况下,无本地认证密码 |
配置Web登录的用户级别 |
authorization-attribute level level |
必选 缺省情况下,没有配置Web登录的用户级别 |
配置Web登录用户的服务类型 |
service-type web |
必选 缺省情况下,没有配置用户的服务类型 |
退出至系统视图 |
quit |
- |
进入接口视图 |
interface interface-type { interface-number | interface-number.subnumber } |
必选 |
配置接口的IP地址 |
ip address ip-address { mask | mask-length } |
必选 |
· HTTPS服务和SSL VPN服务使用相同的端口号时,二者引用的SSL服务器端策略必须相同,否则无法同时使能HTTPS服务和SSL VPN服务。
· HTTPS服务和SSL VPN服务同时使能,并使用相同的端口号时,若要修改引用的SSL服务器端策略,则需要先关闭HTTPS服务和SSL VPN服务,修改SSL服务器端策略后,再使能HTTPS服务和SSL VPN服务,修改后的SSL服务器端策略才能生效。
在完成上述配置后,在任意视图下执行display命令可以显示Web用户的信息,通过查看显示信息验证配置的效果。
表3-4 Web用户显示
操作 |
命令 |
显示Web用户的相关信息 |
display web users [ | { begin | exclude | include } regular-expression ] |
显示HTTP的状态信息 |
display ip http [ | { begin | exclude | include } regular-expression ] |
显示HTTPS的状态信息 |
display ip https [ | { begin | exclude | include } regular-expression ] |
PC与设备通过以太网相连,设备的IP地址为192.168.0.58/24。
图3-1 配置HTTP方式登录组网图
(1) 配置Device
# 配置接口Ethernet 1/1的IP地址为192.168.0.58,子网掩码为255.255.255.0。
[Sysname] interface ethernet1/1
[Sysname-Ethernet1/1] ip address 192.168.0.58 255.255.255.0
[Sysname-Ethernet1/1] quit
# 配置Web网管用户名为admin,认证密码为admin,服务类型为web,用户级别为3级。
[Sysname] local-user admin
[Sysname-luser-admin] service-type web
[Sysname-luser-admin] authorization-attribute level 3
[Sysname-luser-admin] password simple admin
(2) 配置PC
# 在PC的浏览器地址栏内输入设备的IP地址并回车,浏览器将显示Web网管的登录页面,如图3-2所示:
图3-2 通过Web登录设备
# 在“Web网管用户登录”对话框中输入用户名、密码及验证码,并选择登录使用的语言,点击<登录>按钮后即可登录,显示Web网管初始页面。成功登录后,您可以在配置区对设备进行各种配置。
用户可以通过Web页面访问和控制设备。为了防止非法用户访问和控制设备,提高设备管理的安全性,设备要求用户以HTTPS的方式登录Web页面,利用SSL协议实现用户身份验证,并保证传输的数据不被窃听和篡改。
为了满足上述需求,需要进行如下配置:
· 配置Device作为HTTPS服务器,并为Device申请证书。
· 为HTTPS客户端Host申请证书,以便Device验证其身份。
其中,负责为Device和Host颁发证书的CA(Certificate Authority,认证颁发机构)名称为new-ca。
· 本配置举例中,采用Windows Server作为CA。在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。
· 进行下面的配置之前,需要确保Device、Host、CA之间路由可达。
图3-3 HTTPS配置组网图
(1) 配置HTTPS服务器Device
# 配置PKI实体en,指定实体的通用名为http-server1、FQDN为ssl.security.com。
<Device> system-view
[Device] pki entity en
[Device-pki-entity-en] common-name http-server1
[Device-pki-entity-en] fqdn ssl.security.com
[Device-pki-entity-en] quit
# 配置PKI域1,指定信任的CA名称为new-ca、注册服务器的URL为http://10.1.2.2/certsrv/mscep/mscep.dll、证书申请的注册受理机构为RA、实体名称为en。
[Device] pki domain 1
[Device-pki-domain-1] ca identifier new-ca
[Device-pki-domain-1] certificate request url http://10.1.2.2/certsrv/mscep/mscep.dll
[Device-pki-domain-1] certificate request from ra
[Device-pki-domain-1] certificate request entity en
[Device-pki-domain-1] quit
# 生成本地的RSA密钥对。
[Device] public-key loc al create rsa
# 获取CA的证书。
[Device] pki retrieval-certificate ca domain 1
# 为Device申请证书。
[Device] pki request-certificate domain 1
# 创建SSL服务器端策略myssl,指定该策略使用PKI域1,并配置服务器端需要验证客户端身份。
[Device] ssl server-policy myssl
[Device-ssl-server-policy-myssl] pki-domain 1
[Device-ssl-server-policy-myssl] client-verify enable
[Device-ssl-server-policy-myssl] quit
# 创建证书属性组mygroup1,并配置证书属性规则,该规则规定证书颁发者的DN(Distinguished Name,识别名)中包含new-ca。
[Device] pki certificate attribute-group mygroup1
[Device-pki-cert-attribute-group-mygroup1] attribute 1 issuer-name dn ctn new-ca
[Device-pki-cert-attribute-group-mygroup1] quit
# 创建证书访问控制策略myacp,并建立控制规则,该规则规定只有由new-ca颁发的证书可以通过证书访问控制策略的检测。
[Device] pki certificate access-control-policy myacp
[Device-pki-cert-acp-myacp] rule 1 permit mygroup1
[Device-pki-cert-acp-myacp] quit
# 配置HTTPS服务与SSL服务器端策略myssl关联。
[Device] ip https ssl-server-policy myssl
# 配置HTTPS服务与证书属性访问控制策略myacp关联,确保只有从new-ca获取证书的HTTPS客户端可以访问HTTPS服务器。
[Device] ip https certificate access-control-policy myacp
# 使能HTTPS服务。
[Device] ip https enable
# 创建本地用户usera,密码为123,服务类型为web,级别为3(最高级别,具有该级别的用户登录后能够执行设备支持的所有操作)。
[Device] local-user usera
[Device-luser-usera] password simple 123
[Device-luser-usera] service-type web
[Device-luser-usera] authorization-attribute level 3
(2) 配置HTTPS客户端Host
在Host上打开IE浏览器,输入网址http://10.1.2.2/certsrv,根据提示为Host申请证书。
(3) 验证配置结果
在Host上打开IE浏览器,输入网址https://10.1.1.1,选择new-ca为Host颁发的证书,即可打开Device的Web登录页面。在登录页面,输入用户名usera,密码123,则可进入Device的Web配置页面,实现对Device的访问和控制。
· HTTPS服务器的URL地址以“https://”开始,HTTP服务器的URL地址以“http://”开始。
· PKI配置命令的详细介绍请参见“安全命令参考”中的“PKI”;
· public-key local create rsa命令的详细介绍请参见“安全命令参考”中的“公钥管理”;
· SSL配置命令的详细介绍请参见“安全命令参考”中的“SSL”。
在FIPS模式下不支持通过NMS登录设备。
MSR系列路由器各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:
型号 |
特性 |
描述 |
MSR800 |
FIPS模式 |
不支持 |
MSR 900 |
不支持 |
|
MSR900-E |
不支持 |
|
MSR 930 |
不支持 |
|
MSR 20-1X |
不支持 |
|
MSR 20 |
支持 |
|
MSR 30 |
支持,仅MSR 3016不支持 |
|
MSR 50 |
支持 |
|
MSR 2600 |
支持 |
|
MSR3600-51F |
支持 |
用户可通过NMS(Network Management Station,网管工作站)登录到设备上,通过设备上的Agent模块对设备进行管理、配置。设备支持多种NMS软件,如iMC、CAMS等。
表4-1 通过NMS登录设备需要具备的条件
对象 |
需要具备的条件 |
设备 |
配置设备接口的IP地址,设备与NMS间路由可达 |
配置SNMP基本功能 |
|
NMS(网管工作站) |
NMS网管工作站进行了正确配置,具体配置请参见NMS附带的网管手册 |
建立配置环境,将NMS通过网络与设备连接,确保NMS和设备之间路由可达。
图4-1 通过NMS方式登录组网环境
表4-2 配置SNMP基本参数(SNMP v3版本)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
启动SNMP Agent服务 |
snmp-agent |
可选 缺省情况下,SNMP Agent服务处于关闭状态 执行除snmp-agent calculate-password外任何以snmp-agent开头的命令,都可以启动SNMP Agent服务 |
配置SNMP组 |
snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number | acl ipv6 ipv6-acl-number ] * |
必选 缺省情况下,没有配置SNMP组 |
为SNMP组添加新用户 |
snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number | acl ipv6 ipv6-acl-number ] * |
必选 |
表4-3 配置SNMP基本参数(SNMP v1版本、SNMP v2c版本)
操作 |
命令 |
说明 |
||
进入系统视图 |
system-view |
- |
||
启动SNMP Agent服务 |
snmp-agent |
可选 缺省情况下,SNMP Agent服务处于关闭状态。 执行此命令或执行snmp-agent的任何一条配置命令,都可以启动SNMP Agent |
||
创建或更新MIB视图内容 |
snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ] |
可选 缺省情况下,视图名为ViewDefault,OID为1 |
||
设置访问权限 |
直接设置 |
创建一个新的SNMP团体 |
snmp-agent community { read | write } community-name [ mib-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] * |
二者必选其一 直接设置是以SNMP v1和v2c版本的团体名进行设置 间接设置采用与SNMP v3版本一致的命令形式,添加的用户到指定的组,即相当于SNMP v1和SNMP v2c版本的团体名,在NMS上配置的团体名需要跟Agent上配置的用户名一致 |
间接设置 |
设置一个SNMP组 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number | acl ipv6 ipv6-acl-number ] * |
||
为一个SNMP组添加一个新用户 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number | acl ipv6 ipv6-acl-number ] * |
设备支持SNMP v1、SNMP v2c和SNMP v3三种版本,关于SNMP的详细介绍及配置,请参见“网络管理和监控配置指导”中的“SNMP”。
使用SNMPv3版本通过NMS对设备进行自动管理。
图4-2 通过NMS登录设备典型配置组网图
(1) 配置Device
# 配置设备的IP地址,并确保设备与NMS之间路由可达。(配置步骤略)
# 进入系统视图。
<Sysname> system-view
# 启动SNMP Agent服务。
[Sysname] snmp-agent
# 配置SNMP组。
[Sysname] snmp-agent group v3 managev3group
# 为SNMP组添加新用户
[Sysname] snmp-agent usm-user v3 managev3user managev3group
(2) 配置NMS
用户可利用网管系统完成对设备的查询和配置操作,具体情况请参考NMS的配套手册。
NMS侧的版本、用户名配置必须和设备侧保持一致,否则无法进行相应操作。
设备提供对不同登录方式进行控制,如表5-1所示。
登录方式 |
控制方式 |
实现方法 |
相关小节 |
Telnet |
通过源IP对Telnet进行控制 |
通过基本ACL实现 |
|
通过源IP、目的IP对Telnet进行控制 |
通过高级ACL实现 |
||
通过源MAC对Telnet进行控制 |
通过二层ACL实现 |
||
NMS |
通过源IP对网管用户进行控制 |
通过基本ACL实现 |
|
Web |
通过源IP对Web用户进行控制 |
通过基本ACL实现 |
确定了对Telnet的控制策略,包括对哪些源IP、目的IP、源MAC进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
表5-2 通过源IP对Telnet进行控制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入基本ACL视图 |
acl [ ipv6 ] number acl-number [ name name ] [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
为IPv4基本ACL创建规则 |
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { sour-addr sour-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] * |
如果是IPv4组网环境,该步骤必选 缺省情况下,IPv4基本ACL内不存在任何规则 logging参数需要使用该ACL的模块支持日志记录功能才能生效 |
为IPv6基本ACL创建规则 |
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { ipv6-address prefix-length | ipv6-address/prefix-length | any } | time-range time-range-name | vpn-instance vpn-instance-name ] * |
如果是IPv6组网环境,该步骤必选 缺省情况下,IPv6基本ACL内不存在任何规则 logging参数需要使用该ACL的模块支持日志记录功能才能生效 |
退出ACL视图 |
quit |
- |
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
引用访问控制列表,通过源IP对Telnet进行控制 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必选 inbound:对Telnet到本设备的用户进行ACL控制 outbound:对从本设备Telnet到其他Telnet服务器的用户进行ACL控制 |
本配置需要通过高级访问控制列表实现。高级访问控制列表的序号取值范围为3000~3999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
表5-3 配置高级ACL规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入高级ACL视图 |
acl [ ipv6 ] number acl-number [ name name ] [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { permit | deny } rule-string |
必选 用户可以根据需要配置对相应的源IP、目的IP进行过滤的规则 |
退出ACL视图 |
quit |
- |
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
引用访问控制列表,通过源IP、目的IP对Telnet进行控制 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必选 inbound:对Telnet到本设备的用户进行ACL控制 outbound:对从本设备Telnet到其他Telnet服务器的用户进行ACL控制 |
本配置需要通过二层访问控制列表实现。二层访问控制列表的序号取值范围为4000~4999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
表5-4 配置二层ACL规则
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入二层ACL视图 |
acl number acl-number [ name name ] [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { permit | deny } rule-string |
必选 用户可以根据需要配置对相应的源MAC进行过滤的规则 |
退出ACL视图 |
quit |
- |
进入用户界面视图 |
user-interface [ type ] first-number [ last-number ] |
- |
引用访问控制列表,通过源MAC对Telnet进行控制 |
acl acl-number inbound |
必选 inbound:对Telnet到本设备的用户进行ACL控制 |
二层访问控制列表对于Telnet Client的源IP与Telnet服务器的接口IP不在同一网段的不生效。
通过源IP对Telnet进行控制,仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问设备。
图5-1 对Device的Telnet用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用访问控制列表,允许源地址为10.110.100.52和10.110.100.46的Telnet用户访问设备。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] acl 2000 inbound
设备支持通过网管软件进行远程管理。网管用户可以通过SNMP访问设备。通过引用访问控制列表,可以对访问设备的SNMP用户进行控制。
确定了对网管用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
表5-5 通过源IP对网管用户进行控制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入基本ACL视图 |
acl [ ipv6 ] number acl-number [ name name ] [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { sour-addr sour-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] * |
必选 |
退出ACL视图 |
quit |
- |
在配置SNMP团体名的命令中引用访问控制列表 |
snmp-agent community { read | write } community-name [ mib-view view-name ] [ acl acl-number | acl ipv6 ipv6-acl-number ] * |
请根据实际应用选择 根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组名或者用户名配置时引用访问控制列表,详细介绍请参见“网络管理和监控配置指导”中的“SNMP” |
在配置SNMPv1/v2c组名的命令中引用访问控制列表 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number | acl ipv6 ipv6-acl-number ] * |
|
在配置SNMPv3组名的命令中引用访问控制列表 |
snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number | acl ipv6 ipv6-acl-number ] * |
|
在配置SNMPv1/v2c用户名的命令中引用访问控制列表 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number | acl ipv6 ipv6-acl-number ] * |
|
在配置SNMPv3用户名的命令中引用访问控制列表 |
snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number | acl ipv6 ipv6-acl-number ] * |
通过源IP对网管用户进行控制,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问设备。
图5-2 对SNMP用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用访问控制列表,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问设备。
[Sysname] snmp-agent community read aaa acl 2000
[Sysname] snmp-agent group v2c groupa acl 2000
[Sysname] snmp-agent usm-user v2c usera groupa acl 2000
设备支持通过Web方式进行远程管理。Web用户可以通过HTTP/HTTPS协议访问设备。通过引用访问控制列表,可以对访问设备的Web用户进行控制。
确定了对Web用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。
本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为2000~2999。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
表5-6 通过源IP对Web用户进行控制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建或进入基本ACL视图 |
acl [ ipv6 ] number acl-number [ name name ] [ match-order { config | auto } ] |
必选 缺省情况下,匹配顺序为config |
定义子规则 |
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { sour-addr sour-wildcard | any } | time-range time-range-name | vpn-instance vpn-instance-name ] * |
必选 |
退出ACL视图 |
quit |
- |
引用访问控制列表对Web用户进行控制 |
ip http acl acl-number |
HTTP和HTTPs是两种独立的登录方式,不存在配置依赖关系,请根据需要二者必选其一 |
ip https acl acl-number |
网络管理员可以通过命令行强制在线Web用户下线。
表5-7 强制在线Web用户下线
操作 |
命令 |
说明 |
强制在线Web用户下线 |
free web-users { all | user-id user-id | user-name user-name } |
必选 在用户视图下执行 |
通过源IP对Web用户进行控制,仅允许来自10.110.100.52的Web用户访问设备。
图5-3 对Device的HTTP用户进行ACL控制
# 定义基本访问控制列表。
<Sysname> system-view
[Sysname] acl number 2030 match-order config
[Sysname-acl-basic-2030] rule 1 permit source 10.110.100.52 0
# 引用访问控制列表,仅允许来自10.110.100.52的Web用户访问设备。
[Sysname] ip http acl 2030
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!