- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-登錄交換機配置
本章節下載: 02-登錄交換機配置 (833.64 KB)
2.2.4 配置通過Console口登錄設備時無需認證(None)
2.2.5 配置通過Console口登錄設備時采用密碼認證(Password)
2.2.6 配置通過Console口登錄設備時采用AAA認證(Scheme)
2.3.3 配置通過Telnet Client登錄設備時無需認證(None)
2.3.4 配置通過Telnet Client登錄設備時采用密碼認證(Password)
2.3.5 配置通過Telnet Client登錄設備時采用AAA認證(Scheme)
2.3.7 配置設備充當Telnet Client登錄到Telnet Server
2.5.4 配置用戶通過Modem登錄設備時無需認證(None)
2.5.5 配置用戶通過Modem登錄設備時采用密碼認證(Password)
2.5.6 配置用戶通過Modem登錄設備時采用AAA認證(Scheme)
用戶可以通過以下幾種方式登錄到交換機上,對交換機進行配置和管理:
|
登錄方式及介紹 |
各種登錄方式缺省狀況分析 |
|
|
通過CLI登錄設備 |
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3 |
|
|
缺省情況下,用戶不能直接通過Telnet方式登錄設備。如需采用Telnet方式登錄,需要先通過Console口本地登錄設備、並完成如下配置: l 開啟設備的Telnet功能 l 配置設備VLAN接口的IP地址,確保設備與Telnet登錄用戶間路由可達(缺省情況下,設備沒有IP地址) l 配置VTY用戶的認證方式(缺省情況下,VTY用戶采用Password認證方式) l 配置VTY用戶的用戶級別(缺省情況下,VTY用戶的用戶級別為0) |
||
|
缺省情況下,用戶不能直接通過SSH方式登錄設備。如需采用SSH方式登錄,需要先通過Console口本地登錄設備、並完成如下配置: l 開啟設備SSH功能並完成SSH屬性的配置 l 配置設備VLAN接口的IP地址,確保設備與SSH登錄用戶間路由可達(缺省情況下,設備沒有配置IP地址) l 配置VTY用戶的認證方式為scheme(缺省情況下,VTY用戶采用Password認證方式) l 配置VTY用戶的用戶級別(缺省情況下,VTY用戶的用戶級別為0) |
||
|
缺省情況下,用戶可以直接通過Modem撥號方式登錄設備,Modem用戶的用戶級別為3 |
||
|
缺省情況下,用戶不能直接通過NMS登錄設備。如需采用NMS方式登錄,需要先通過Console口本地登錄設備、並完成如下配置: l 配置設備VLAN接口的IP地址,確保設備與NMS登錄用戶間路由可達(缺省情況下,設備沒有IP配置地址) l 配置SNMP基本參數 |
||
在以下的章節中,將分別為您介紹如何通過Console口、Telnet、Modem及NMS登錄到設備上。
當用戶使用Console口、Telnet或者SSH方式登錄設備的時候,係統會分配一個用戶界麵(也稱為Line)用來管理、監控設備和用戶間的當前會話。每個用戶界麵有對應的用戶界麵視圖(User-interface view),在用戶界麵視圖下網絡管理員可以配置一係列參數,比如用戶登錄時是否需要認證、用戶登錄後的級別等,當用戶使用該用戶界麵登錄的時候,將受到這些參數的約束,從而達到統一管理各種用戶會話連接的目的。
目前係統支持的命令行配置方式有:
l Console口本地配置
l Telnet或SSH本地或遠程配置
與這些配置方式對應的是兩種類型的用戶界麵:
l AUX用戶界麵:用來管理和監控通過Console口登錄的用戶。Console口端口類型為EIA/TIA-232 DCE。
l VTY(Virtual Type Terminal,虛擬類型終端)用戶界麵:用來管理和監控通過VTY方式登錄的用戶。VTY口屬於邏輯終端線,用於對設備進行Telnet或SSH訪問。
用戶界麵的管理和監控對象是使用某種方式登錄的用戶,雖然單個用戶界麵某一時刻隻能被一個用戶使用,但它並不針對某個用戶。比如用戶A使用Console口登錄設備時,將受到AUX用戶界麵視圖下配置的約束,當使用VTY 1登錄設備時,將受到VTY 1用戶界麵視圖下配置的約束。
一台設備上最多支持2個AUX用戶界麵、16個VTY用戶界麵,這些用戶界麵與用戶並沒有固定的對應關係。用戶登錄時,係統會根據用戶的登錄方式,自動給用戶分配一個當前空閑的、編號最小的某類型的用戶界麵,整個登錄過程將受該用戶界麵視圖下配置的約束。同一用戶登錄的方式不同,分配的用戶界麵不同;同一用戶登錄的時機不同,分配的用戶界麵可能不同。
用戶界麵的編號有兩種方式:絕對編號方式和相對編號方式。
使用絕對編號方式,可以唯一的指定一個用戶界麵或一組用戶界麵。絕對編號從0開始自動編號,每次增長1,先給所有AUX用戶界麵編號,其次是所有VTY用戶界麵。使用display user-interface(不帶參數)可查看到設備當前支持的用戶界麵以及它們的絕對編號。
相對編號是每種類型用戶界麵的內部編號。該方式隻能指定某種類型的用戶界麵中的一個或一組,而不能跨類型操作。
相對編號方式的形式是:“用戶界麵類型 編號”,遵守如下規則:
l 控製台的相對編號:AUX 0,第二個為AUX 1,依次類推。
l VTY的相對編號:第一個為VTY 0,第二個為VTY 1,依次類推。
CLI(命令行接口)是用戶與設備之間的文本類指令交互界麵,用戶鍵入文本類命令,通過輸入回車鍵提交設備執行相關命令,用戶可以輸入命令對設備進行配置,並可以通過查看輸出的信息確認配置結果,方便用戶配置和管理設備。
通過CLI登錄設備包括:通過Console口、Telnet、SSH或Modem四種登錄方式。當您使用Console口、Telnet、SSH或Modem登錄設備時,都需要使用CLI來與設備進行交互。
l 缺省情況下,用戶不需要任何認證即可通過Console口及Modem方式登錄設備,這給設備帶來許多安全隱患;
l 缺省情況下,用戶不能通過Telnet和SSH方式登錄設備,這樣不利於用戶對設備進行遠程管理和維護。
因此,用戶需要對這些登錄方式進行相應的配置,來增加設備的安全性及可管理性。
以下章節將分別為您介紹如何通過Console口、Telnet、SSH及Modem登錄到設備,並配置通過Console口、Telnet、SSH及Modem登錄設備時的認證方式、用戶級別及公共屬性,來實現對登錄用戶的控製和管理。
通過Console口進行本地登錄是登錄設備的最基本的方式,也是配置通過其他方式登錄設備的基礎。如圖2-1所示。
圖2-1 通過Console口登錄設備示意圖
缺省情況下,設備可以通過Console口進行本地登錄,用戶登錄到設備上後,即可以對各種登錄方式進行配置。
本節將為您介紹:
l 設備缺省情況下,如何通過Console口登錄設備。具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
l 設備Console口支持的登錄方式及配置Console口登錄認證方式的意義、各種認證方式的特點及注意事項。具體請參見2.2.3 Console口登錄的認證方式介紹。
l 當用戶確定了今後通過Console口登錄設備時將采用何種認證方式後、並通過缺省配置登錄到設備後,用戶如何在設備上配置Console口登錄設備時的認證方式及用戶級別,實現對Console口登錄用戶的控製和管理。具體請參見2.2.4 配置通過Console口登錄設備時無需認證(None)、2.2.5 配置通過Console口登錄設備時采用密碼認證(Password)及2.2.6 配置通過Console口登錄設備時采用AAA認證(Scheme)。
l 配置通過Console口登錄設備時的公共屬性。具體請參見2.2.7 配置Console口登錄方式的公共屬性(可選)。
表2-1 通過Console登錄設備需要具備的條件
|
對象 |
需要具備的條件 |
|
設備 |
缺省情況下,設備側不需要任何配置 |
|
Console口登錄用戶 |
運行超級終端程序 |
|
配置超級終端屬性 |
當用戶使用Console口登錄設備時,用戶終端的通信參數配置要和設備Console口的缺省配置保持一致,才能通過Console口登錄到設備上。設備Console口的缺省配置如下:
表2-2 設備Console口缺省配置
|
屬性 |
缺省配置 |
|
傳輸速率 |
9600bit/s |
|
流控方式 |
不進行流控 |
|
校驗方式 |
不進行校驗 |
|
停止位 |
1 |
|
數據位 |
8 |
(1) 請使用產品隨機附帶的配置口電纜連接PC機和設備。請先將配置電纜的DB-9(孔)插頭插入PC機的9芯(針)串口插座,再將RJ-45插頭端插入設備的Console口中。
圖2-2 將設備與PC通過配置口電纜進行連接
連接時請認準接口上的標識,以免誤插入其它接口。
由於PC機串口不支持熱插拔,請不要在設備帶電的情況下,將串口插入或者拔出PC機。當連接PC和設備時,請先安裝配置電纜的DB-9端到PC機,再連接RJ-45到設備;在拆下時,先拔出RJ-45端,再拔下DB-9端。
(2) 在PC機上運行終端仿真程序(如Windows XP/Windows 2000的超級終端等,以下配置以Windows XP為例),選擇與設備相連的串口,設置終端通信參數:傳輸速率為9600bit/s、8位數據位、1位停止位、無校驗和無流控,如圖2-3至圖2-5所示。
如果您的PC使用的是Windows 2003 Server操作係統,請在Windows組件中添加超級終端程序後,再按照本文介紹的方式登錄和管理設備;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作係統,請您準備第三方的終端控製軟件,使用方法請參照軟件的使用指導或聯機幫助。
圖2-4 連接端口設置
(3) 設備上電,終端上顯示設備自檢信息,自檢結束後提示用戶鍵入回車,之後將出現命令行提示符(如<H3C>),如圖2-6所示。
(4) 鍵入命令,配置設備或查看設備運行狀態。需要幫助可以隨時鍵入“?”,具體的配置命令請參考本手冊中相關部分的內容。
通過在Console口用戶界麵下配置認證方式,可以對使用Console口登錄的用戶進行限製,以提高設備的安全性。Console口支持的認證方式有none、password和scheme三種。
l 認證方式為none:表示下次使用Console口本地登錄設備時,不需要進行用戶名和密碼認證、任何人都可以通過Console口登錄到設備上,這種情況可能會帶來安全隱患。
l 認證方式為password:表示下次使用Console口本地登錄設備時,需要進行密碼認證、隻有密碼認證成功、用戶才能登錄到設備上。配置認證方式為password後,請妥善保存密碼。
l 認證方式為scheme:表示下次使用Console口登錄設備時需要進行用戶名和密碼認證,用戶名或密碼錯誤,均會導致登錄失敗。用戶認證又分為本地認證和遠程認證,如果采用本地認證,則需要配置本地用戶及相應參數;如果采用遠程認證,則需要在遠程認證服務器上配置用戶名和密碼。有關用戶認證方式及參數的詳細介紹請參見“安全配置指導”中的“AAA”。配置認證方式為scheme後,請妥善保存用戶名及密碼。
不同的認證方式下,Console口登錄方式需要進行的配置不同,具體配置如表2-3所示。
|
認證方式 |
認證所需配置 |
說明 |
||
|
None |
設置登錄用戶的認證方式為不認證 |
具體內容請參見2.2.4 |
||
|
Password |
設置登錄用戶的認證方式為Password認證 |
具體內容請參見2.2.5 |
||
|
設置本地驗證的口令 |
||||
|
Scheme |
設置登錄用戶的認證方式為Scheme認證 |
具體內容請參見2.2.6 |
||
|
選擇認證方案 |
采用遠端AAA服務器認證 |
在設備上配置RADIUS/HWTACACS方案 |
||
|
在設備上配置域使用的AAA方案 |
||||
|
在AAA服務器上配置相關的用戶名和密碼 |
||||
|
采用本地認證 |
在設備上配置認證用戶名和密碼 |
|||
|
在設備上配置域使用的AAA方案為本地認證 |
||||
改變Console口登錄方式的認證方式後,該認證方式的設置不會立即生效。用戶需要退出命令行接口後重新登錄,該設置才會生效。
用戶已經成功登錄到了設備上,並希望以後通過Console口登錄設備時無需進行認證。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
表2-4 配置用戶通過Console口登錄設備時無需認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
設置登錄用戶的認證方式為不認證 |
authentication-mode none |
必選 缺省情況下,用戶通過Console口登錄,認證方式為none(即不需要進行認證) |
|
配置Console口的公共屬性 |
- |
可選 詳細配置請參見2.2.7 配置Console口登錄方式的公共屬性(可選) |
配置完成後,當用戶再次通過Console口登錄設備時,設備將提示用戶鍵入回車,之後將出現命令行提示符(如<H3C>),如圖2-7所示。
圖2-7 用戶通過Console口登錄設備時無需認證登錄界麵
用戶已經成功登錄到了設備上,並希望以後通過Console口登錄設備時采用密碼認證、以提高設備的安全性。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
表2-5 配置用戶通過Console口登錄設備時采用密碼認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
設置登錄用戶的認證方式為本地口令認證 |
authentication-mode password |
必選 缺省情況下,用戶通過Console口登錄,認證方式為none(即不需要進行認證) |
|
設置本地驗證的口令 |
set authentication password { cipher | simple } password |
必選 缺省情況下,沒有設置本地認證的口令 |
|
配置Console口的公共屬性 |
- |
可選 詳細配置請參見2.2.7 配置Console口登錄方式的公共屬性(可選) |
配置完成後,當用戶再次通過Console口登錄設備時,鍵入回車後,設備將要求用戶輸入登錄密碼,正確輸入登錄密碼並回車,登錄界麵中出現命令行提示符(如<H3C>),如圖2-8所示。
圖2-8 用戶通過Console口登錄設備時采用密碼認證登錄界麵
用戶已經成功的登錄到了設備上,並希望以後通過Console口登錄設備時采用AAA認證、以提高設備的安全性。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
表2-6 配置用戶通過Console口登錄設備時采用AAA認證
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
|
設置登錄用戶的認證方式為通過認證方案認證 |
authentication-mode scheme |
必選 具體采用本地認證還是RADIUS認證、HWTACACS認證視AAA方案配置而定 缺省情況下,用戶通過Console口登錄,認證方式為none(即不需要進行認證) |
|
|
使能命令行授權功能 |
command authorization |
可選 l 缺省情況下,沒有使能命令行授權功能,即用戶登錄後執行命令行不需要授權 l 缺省情況下,用戶登錄設備後可以使用的命令行由用戶級別決定,用戶隻能使用缺省級別等於/低於用戶級別的命令行。配置命令行授權功能後,用戶可使用的命令行將受到用戶級別和AAA授權的雙重限製。即便是足夠級別的用戶每執行一條命令都會進行授權檢查,隻有授權成功的命令才被允許執行。 |
|
|
使能命令行計費功能 |
command accounting |
可選 l 缺省情況下,沒有使能命令行計費功能,即計費服務器不會記錄用戶執行的命令行 l 命令行計費功能用來在HWTACACS服務器上記錄用戶對設備執行過的命令(隻要設備支持的命令,不管執行成功或者失敗都會記錄),以便集中監視、控製用戶對設備的操作。命令行計費功能生效後,如果沒有配命令行授權功能,用戶執行的每一條命令都會發送到HWTACACS服務器上做記錄;如果配置了命令行授權功能,則每一條授權成功的命令都會發送到HWTACACS服務器上做記錄。 |
|
|
退出至係統視圖 |
quit |
- |
|
|
配置設備采用的認證方案 |
進入ISP域視圖 |
domain domain-name |
可選 缺省情況下,係統使用的AAA方案為local 如果采用local認證,則必須進行後續的本地用戶配置;如果采用RADIUS或者HWTACACS方式認證,則需進行如下配置: l 設備上的RADIUS、HWTACACS方案配置請參見“安全配置指導”中的“AAA” l AAA服務器上需要配置相關的用戶名和密碼,具體請參見服務器的指導書 |
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
||
|
退出至係統視圖 |
quit |
||
|
創建本地用戶(進入本地用戶視圖) |
local-user user-name |
必選 缺省情況下,無本地用戶 |
|
|
設置本地用戶認證口令 |
password { cipher | simple } password |
必選 |
|
|
設置本地用戶的命令級別 |
authorization-attribute level level |
可選 缺省情況下,命令級別為0 |
|
|
設置本地用戶的服務類型 |
service-type terminal |
必選 缺省情況下,無用戶服務類型 |
|
|
配置Console口的公共屬性 |
- |
可選 詳細配置請參見2.2.7 配置Console口登錄方式的公共屬性(可選) |
|
使能命令行授權功能或命令行計費功能後,還需要進行如下配置才能保證命令行授權功能生效:
l 需要創建HWTACACS方案,在方案中指定授權服務器的IP地址以及授權過程的其它參數;
l 需要在ISP域中引用已創建的HWTACACS方案。
詳細介紹請參見“安全配置指導”中的“AAA”。
需要注意的是用戶采用Scheme認證方式登錄設備時,其所能訪問的命令級別取決於AAA方案中定義的用戶級別。
l AAA方案為local認證時,用戶級別通過authorization-attribute level level命令設定。
l AAA方案為RADIUS或者HWTACACS方案認證時,在相應的RADIUS或者HWTACACS服務器上設定相應用戶的級別。
有關AAA、RADIUS、HWTACACS的詳細內容,請參見“安全配置指導”中的“AAA”。
配置完成後,當用戶再次通過Console口登錄設備時,鍵入回車後,設備將要求用戶輸入登錄用戶名和密碼,正確輸入用戶名(此處以用戶為admin為例)和密碼並回車,登錄界麵中出現命令行提示符(如<H3C>),如圖2-9所示。
圖2-9 用戶通過Console口登錄設備時AAA認證登錄界麵
Console口登錄方式的公共屬性配置,如表2-7所示。
表2-7 Console口登錄方式公共屬性配置
改變Console口屬性後會立即生效,所以通過Console口登錄來配置Console口屬性可能在配置過程中發生連接中斷,建議通過其他登錄方式來配置Console口屬性。若用戶需要通過Console口再次登錄設備,需要改變PC機上運行的終端仿真程序的相應配置,使之與設備上配置的Console口屬性保持一致。
設備支持Telnet功能,用戶可以通過Telnet方式登錄到設備上,對設備進行遠程管理和維護。如圖2-10。
圖2-10 通過Telnet登錄設備示意圖
表2-8 采用Telnet方式登錄需要具備的條件
|
對象 |
需要具備的條件 |
|
Telnet服務器端 |
配置設備VLAN的IP地址,設備與Telnet用戶間路由可達 |
|
配置Telnet登錄的認證方式和其它配置(根據Telnet服務器端的情況而定) |
|
|
Telnet客戶端 |
運行Telnet程序 |
|
獲取要登錄設備VLAN接口的IP地址 |
設備可以作為Telnet Client登錄到Telnet Server上,從而對其進行操作。
設備可以充當Telnet Server:
l 設備支持Telnet Server功能、可作為Telnet Server,並可在設備上進行一係列的配置,從而實現對不同Telnet Client登錄的具體認證方式、用戶級別等方麵的控製與管理。
l 缺省情況下,設備的Telnet Server功能處於關閉狀態,通過Telnet方式登錄設備的認證方式為Password,但設備沒有配置缺省的登錄密碼,即在缺省情況下用戶不能通過Telnet登錄到設備上。因此當您使用Telnet方式登錄設備前,首先需要通過Console口登錄到設備上,開啟Telnet Server功能,然後對認證方式、用戶級別及公共屬性進行相應的配置,才能保證通過Telnet方式正常登錄到設備。
本節將為您介紹設備充當Telnet服務器端時:
l 設備支持的各種登錄認證方式及配置Telnet登錄認證方式的意義、各種認證方式的特點及注意事項。具體介紹請參見2.3.2 Telnet登錄的認證方式介紹。
l 當用戶確定了今後通過Telnet客戶端登錄設備時將采用何種認證方式後、並已成功登錄到設備後,用戶如何在設備上配置Telnet客戶端登錄設備時的認證方式、用戶級別及公共屬性,從而實現對Telnet登錄用戶的控製和管理。具體介紹請參見2.3.3 配置通過Telnet Client登錄設備時無需認證(None)、2.3.4 配置通過Telnet Client登錄設備時采用密碼認證(Password)及2.3.5 配置通過Telnet Client登錄設備時采用AAA認證(Scheme)。
l 配置通過Telnet登錄設備時的公共屬性。具體介紹請參見2.3.6 配置VTY用戶界麵的公共屬性(可選)。
本節還將為您介紹設備充當Telnet客戶端、Telnet登錄到Server時的配置,具體請參見2.3.7 配置設備充當Telnet Client登錄到Telnet Server。
通過在Telnet的用戶界麵下配置認證方式,可以對使用Telnet登錄的用戶進行限製,以提高設備的安全性。通過Telnet登錄支持的認證方式有none、password和scheme三種。
l 認證方式為none:表示下次使用Telnet登錄設備時不需要進行用戶名和密碼認證,任何人都可以通過Telnet登錄到設備上,這種情況可能會帶來安全隱患。
l 認證方式為password:表示下次使用Telnet登錄設備時需要進行密碼認證,隻有密碼認證成功,用戶才能登錄到設備上。配置認證方式為password後,請妥善保存密碼,如果密碼丟失,可以使用Console口登錄到設備,對Telnet的密碼配置進行查看或修改。
l 認證方式為scheme:表示下次使用Telnet登錄設備時需要進行用戶名和密碼認證,用戶名或密碼錯誤,均會導致登錄失敗。用戶認證又分為本地認證和遠程認證,如果采用本地認證,則需要配置本地用戶及相應參數;如果采用遠程認證,則需要在遠程認證服務器上配置用戶名和密碼。有關用戶認證方式及參數的詳細介紹請參見“安全配置指導”中的“AAA”。配置認證方式為scheme後,請妥善保存用戶名及密碼,如果本地認證密碼丟失,可以使用Console口登錄到設備,對Telnet的密碼配置進行查看或修改。如果遠程認證密碼丟失,建議您聯係服務器管理員。
不同的認證方式下,Telnet登錄方式需要進行的配置不同,具體配置如表2-9所示。
表2-9 配置Telnet登錄的認證方式
|
認證方式 |
認證所需配置 |
說明 |
||
|
None |
設置登錄用戶的認證方式為不認證 |
具體內容請參見2.3.3 |
||
|
Password |
設置登錄用戶的認證方式為Password認證 |
具體內容請參見2.3.4 |
||
|
設置本地驗證的口令 |
||||
|
Scheme |
設置登錄用戶的認證方式為Scheme認證 |
具體內容請參見2.3.5 |
||
|
選擇認證方案 |
采用遠端AAA服務器認證 |
在設備上配置RADIUS/HWTACACS方案 |
||
|
在設備上配置域使用的AAA方案 |
||||
|
在AAA服務器上配置相關的用戶名和密碼 |
||||
|
采用本地認證 |
在設備上配置認證用戶名和密碼 |
|||
|
在設備上配置域使用的AAA方案為本地認證 |
||||
用戶已經成功登錄到了設備上,並希望以後通過Telnet登錄設備時無需進行認證。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能設備的Telnet服務 |
telnet server enable |
必選 缺省情況下,Telnet服務處於關閉狀態 |
|
進入一個或多個VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
|
設置VTY登錄用戶的認證方式為不認證 |
authentication-mode none |
必選 缺省情況下,VTY用戶界麵的認證方式為password |
|
配置從當前用戶界麵登錄係統的用戶所能訪問的命令級別 |
user privilege level level |
必選 缺省情況下,通過VTY用戶界麵登錄係統所能訪問的命令級別是0 |
|
配置VTY用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.3.6 配置VTY用戶界麵的公共屬性(可選) |
配置完成後,當用戶再次通過Telnet登錄設備時:
l 用戶將直接進入VTY用戶界麵,如圖2-11所示。
l 如果出現“All user interfaces are used, please try later!”的提示,表示當前Telnet到設備的用戶過多,則請稍候再連接。
圖2-11 用戶通過Telnet登錄設備時無需認證登錄界麵
用戶已經成功登錄到了設備上,並希望以後通過Telnet登錄設備時需要進行密碼認證。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能設備的Telnet服務 |
telnet server enable |
必選 缺省情況下,Telnet服務處於關閉狀態 |
|
進入一個或多個VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
|
設置登錄用戶的認證方式為本地口令認證 |
authentication-mode password |
必選 缺省情況下,VTY用戶界麵的認證方式為password |
|
設置本地驗證的口令 |
set authentication password { cipher | simple } password |
必選 缺省情況下,沒有設置本地認證的口令 |
|
配置從當前用戶界麵登錄係統的用戶所能訪問的命令級別 |
user privilege level level |
必選 缺省情況下,通過VTY用戶界麵登錄係統所能訪問的命令級別是0 |
|
配置VTY用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.3.6 配置VTY用戶界麵的公共屬性(可選) |
配置完成後,當用戶再次通過Telnet登錄設備時:
l 設備將要求用戶輸入登錄密碼,正確輸入登錄密碼並回車,登錄界麵中出現命令行提示符(如<H3C>),如圖2-12所示。
l 如果出現“All user interfaces are used, please try later!”的提示,表示當前Telnet到設備的用戶過多,則請稍候再連接。
圖2-12 配置用戶通過Telnet登錄設備時采用密碼認證登錄界麵
用戶已經成功登錄到了設備上,並希望以後通過Telnet登錄設備時需要進行AAA認證。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
表2-12 配置用戶通過Telnet登錄設備時采用AAA認證
|
操作 |
命令 |
說明 |
||
|
進入係統視圖 |
system-view |
- |
||
|
使能設備的Telnet服務 |
telnet server enable |
必選 缺省情況下,Telnet服務處於關閉狀態 |
||
|
進入一個或多個VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
||
|
設置登錄用戶的認證方式為通過認證方案認證 |
authentication-mode scheme |
必選 具體采用本地認證還是RADIUS認證、HWTACACS認證視AAA方案配置而定 缺省情況下采用本地認證方式 |
||
|
使能命令行授權功能 |
command authorization |
可選 缺省情況下,沒有使能命令行授權功能,即用戶登錄後執行命令行不需要授權 l 需要創建HWTACACS方案,在方案中指定授權服務器的IP地址以及授權過程的其它參數,詳細介紹請參見“安全配置指導”中的“AAA” l 需要在ISP域中引用已創建的HWTACACS方案,詳細介紹請參見“安全配置指導”中的“AAA” |
||
|
使能命令行計費功能 |
command accounting |
可選 l 缺省情況下,沒有使能命令行計費功能,即計費服務器不會記錄用戶執行的命令行 l 命令行計費功能用來在HWTACACS服務器上記錄用戶對設備執行過的命令(隻要設備支持的命令,不管執行成功或者失敗都會記錄),以便集中監視、控製用戶對設備的操作。命令行計費功能生效後,如果沒有配命令行授權功能,用戶執行的每一條命令都會發送到HWTACACS服務器上做記錄;如果配置了命令行授權功能,則每一條授權成功的命令都會發送到HWTACACS服務器上做記錄。 |
||
|
退出至係統視圖 |
quit |
- |
||
|
配置設備采用的認證方案 |
進入ISP域視圖 |
domain domain-name |
可選 缺省情況下,係統使用的AAA方案為local 如果采用local認證,則必須進行後續的本地用戶配置;如果采用RADIUS或者HWTACACS方式認證,則需進行如下配置: l 設備上的配置請參見“安全配置指導”中的“AAA” l AAA服務器上需要配置相關的用戶名和密碼,具體請參見服務器的指導書 |
|
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
|||
|
退出至係統視圖 |
quit |
|||
|
創建本地用戶(進入本地用戶視圖) |
local-user user-name |
缺省情況下,無本地用戶 |
||
|
設置本地認證口令 |
password { cipher | simple } password |
必選 缺省情況下,沒有配置本地認證口令 |
||
|
設置VTY用戶的命令級別 |
authorization-attribute level level |
可選 缺省情況下,命令級別為0 |
||
|
設置VTY用戶的服務類型 |
service-type telnet |
必選 缺省情況下,無用戶的服務類型 |
||
|
退出至係統視圖 |
quit |
- |
||
|
配置VTY用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.3.6 配置VTY用戶界麵的公共屬性(可選) |
||
使能命令行授權功能或命令行計費功能後,還需要進行如下配置才能保證命令行授權功能生效:
l 需要創建HWTACACS方案,在方案中指定授權服務器的IP地址以及授權過程的其它參數;
l 需要在ISP域中引用已創建的HWTACACS方案。
詳細介紹請參見“安全配置指導”中的“AAA”。
需要注意的是用戶采用Scheme認證方式登錄設備時,其所能訪問的命令級別取決於AAA方案中定義的用戶級別。
l AAA方案為local認證時,用戶級別通過authorization-attribute level level命令設定。
l AAA方案為RADIUS或者HWTACACS方案認證時,在相應的RADIUS或者HWTACACS服務器上設定相應用戶的級別。
有關AAA、RADIUS、HWTACACS的詳細內容,請參見“AAA配置指導”中的“AAA”。
配置完成後,當用戶再次通過Telnet登錄設備時:
l 設備將要求用戶輸入登錄用戶名和密碼,正確輸入用戶名(此處以用戶為admin為例)和密碼並回車,登錄界麵中出現命令行提示符(如<H3C>),如圖2-13所示。
l 如果用戶輸入正確的登錄用戶名和密碼後,設備提示用戶再次輸入一個指定類型的密碼,則表示當前用戶需要進行二次密碼認證,即用戶還必須根據提示信息輸入一個正確的密碼後才能通過認證。
l 如果出現“All user interfaces are used, please try later!”的提示,表示當前Telnet到設備的用戶過多,則請稍候再連接。
圖2-13 用戶通過Telnet登錄設備時AAA認證登錄界麵
表2-13 VTY用戶界麵的公共屬性配置
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
使能顯示版權信息 |
copyright-info enable |
可選 缺省情況下,顯示版權信息處於使能狀態 |
|
|
進入一個或多個VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
|
|
VTY用戶界麵配置 |
啟動終端服務 |
shell |
可選 缺省情況下,在所有的用戶界麵上啟動終端服務 |
|
配置VTY用戶界麵支持的協議 |
protocol inbound { all | ssh | telnet } |
可選 缺省情況下,設備同時支持Telnet和SSH協議 使用該命令配置的協議將在用戶下次使用該用戶界麵登錄時生效 |
|
|
配置中止當前運行任務的快捷鍵 |
escape-key { default | character } |
可選 缺省情況下,鍵入<Ctrl+C>中止當前運行的任務 |
|
|
配置終端的顯示類型 |
terminal type { ansi | vt100 } |
可選 缺省情況下,終端顯示類型為ANSI |
|
|
設置終端屏幕一屏顯示的行數 |
screen-length screen-length |
可選 缺省情況下,終端屏幕一屏顯示的行數為24行 screen-length 0表示關閉分屏顯示功能 |
|
|
設置設備曆史命令緩衝區大小 |
history-command max-size value |
可選 缺省情況下,每個用戶的曆史緩衝區大小為10,即可存放10條曆史命令 |
|
|
設置VTY用戶界麵的超時時間 |
idle-timeout minutes [ seconds ] |
可選 缺省情況下,所有的用戶界麵的超時時間為10分鍾 如果10分鍾內某用戶界麵沒有用戶進行操作,則該用戶界麵將自動斷開 idle-timeout 0表示關閉用戶界麵的超時功能 |
|
|
設置從用戶界麵登錄後自動執行的命令 |
auto-execute command command |
可選 缺省情況下,未設定自動執行命令 配置自動執行命令後,用戶在登錄時,係統會自動執行已經配置好的命令,執行完命令後,自動斷開用戶連接。如果這條命令引發起了一個任務,係統會等這個任務執行完畢後再斷開連接。該命令通常用來配置Telnet命令,使用戶登錄時自動連接到指定的主機 |
|
l 使用auto-execute command命令後,可能導致用戶不能通過該終端線對本係統進行常規配置,需謹慎使用。
l 在配置auto-execute command命令並保存配置(執行save操作)之前,要確保可以通過其他VTY、AUX用戶登錄進來更改配置,以便出現問題後,能刪除該配置。
用戶已經成功登錄到了設備上,並希望將當前設備作為Telnet Client登錄到Telnet Server上進行操作。具體請參見圖2-14所示。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
如果Telnet Client與Telnet Server相連的端口不在同一子網內,請確保兩台設備間路由可達。
表2-14 設備作為Telnet Client登錄到Telnet Server的配置
|
操作 |
命令 |
說明 |
|
設備作為Telnet Client登錄到Telnet Server |
telnet remote-host [ service-port ] [ [ vpn-instance vpn-instance-name ] | [ source { interface interface-type interface-number | ip ip-address } ] ] |
二者必選其一 此命令在用戶視圖下執行 |
|
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] |
||
|
指定設備作為Telnet客戶端時,發送Telnet報文的源IPv4地址或源接口 |
telnet client source { interface interface-type interface-number | ip ip-address } |
可選 此命令在係統視圖下執行 缺省情況下,沒有指定發送Telnet報文的源IPv4地址和源接口,此時通過路由選擇源IPv4地址 |
配置完成後,設備即可登錄到相應的Telnet Server上。
SSH是Secure Shell(安全外殼)的簡稱。用戶通過一個不能保證安全的網絡環境遠程登錄到設備時,SSH可以利用加密和強大的認證功能提供安全保障,保護設備不受諸如IP地址欺詐、明文密碼截取等攻擊。設備支持SSH功能,用戶可以通過SSH方式登錄到設備上,對設備進行遠程管理和維護如圖2-15所示。
表2-15 采用SSH方式登錄需要具備的條件
|
對象 |
需要具備的條件 |
|
SSH服務器端 |
配置設備VLAN接口的IP地址,設備與SSH客戶端間路由可達 |
|
配置SSH登錄的認證方式和其它配置(根據SSH服務器端的情況而定) |
|
|
SSH客戶端 |
如果是主機作為SSH客戶端,則需要在主機上運行SSH客戶端程序 |
|
獲取要登錄設備VLAN接口的IP地址 |
設備可以作為SSH Client登錄到SSH Server上,從而對其進行操作。
設備可以充當SSH Server:
l 設備支持SSH Server功能:可作為SSH Server,並可在設備上進行一係列的配置、實現對不同SSH Client的登錄權限的控製。
l 缺省情況下,設備的SSH Server功能處於關閉狀態,因此當您使用SSH方式登錄設備前,首先需要通過Console口登錄到設備上,開啟設備的SSH Server功能、對認證方式及其它屬性進行相應的配置,才能保證通過SSH方式正常登錄到設備。
本節將為您介紹:
l 設備充當SSH服務器端時:當用戶確定了今後通過SSH客戶端登錄設備、並已成功登錄到設備後,用戶如何在設備上配置SSH客戶端登錄設備時的認證方式及其它屬性,從而實現對SSH登錄用戶的控製和管理。具體介紹請參見2.4.2 配置設備充當SSH服務器。
l 設備充當SSH客戶端時:設備SSH登錄到Server時的配置,具體請參見2.4.3 配置設備充當SSH客戶端登錄其它設備。
用戶已經成功登錄到了設備上,並希望以後通過SSH Client登錄設備。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
表2-16 設備充當SSH服務器時的配置
|
操作 |
命令 |
說明 |
|
|
|
進入係統視圖 |
system-view |
- |
|
|
|
生成本地DSA或RSA密鑰對 |
public-key local create { dsa | rsa } |
必選 缺省情況下,沒有生成DSA和RSA密鑰對 |
|
|
|
使能SSH服務器功能 |
ssh server enable |
必選 缺省情況下,SSH服務器功能處於關閉狀態 |
|
|
|
進入VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
|
|
|
配置登錄用戶界麵的認證方式為scheme方式 |
authentication-mode scheme |
必選 缺省情況下,用戶界麵認證為password方式 |
|
|
|
配置所在用戶界麵支持SSH協議 |
protocol inbound { all | ssh } |
可選 缺省情況下,係統支持所有的協議,即支持Telnet和SSH |
|
|
|
使能命令行授權功能 |
command authorization |
可選 缺省情況下,沒有使能命令行授權功能,即用戶登錄後執行命令行不需要授權 l 需要創建HWTACACS方案,在方案中指定授權服務器的IP地址以及授權過程的其它參數,詳細介紹請參見“安全配置指導”中的“AAA” l 需要在ISP域中引用已創建的HWTACACS方案,詳細介紹請參見“安全配置指導”中的“AAA” |
||
|
使能命令行計費功能 |
command accounting |
可選 l 缺省情況下,沒有使能命令行計費功能,即計費服務器不會記錄用戶執行的命令行 l 命令行計費功能用來在HWTACACS服務器上記錄用戶對設備執行過的命令(隻要設備支持的命令,不管執行成功或者失敗都會記錄),以便集中監視、控製用戶對設備的操作。命令行計費功能生效後,如果沒有配命令行授權功能,用戶執行的每一條命令都會發送到HWTACACS服務器上做記錄;如果配置了命令行授權功能,則每一條授權成功的命令都會發送到HWTACACS服務器上做記錄。 |
||
|
退出至係統視圖 |
quit |
- |
||
|
配置設備采用的認證方案 |
進入ISP域視圖 |
domain domain-name |
可選 缺省情況下,係統使用的AAA方案為local 如果采用local認證,則必須進行後續的本地用戶配置;如果采用RADIUS或者HWTACACS方式認證,則需進行如下配置: l 設備上的配置請參見“安全配置指導”中的“AAA” l AAA服務器上需要配置相關的用戶名和密碼,具體請參見服務器的指導書 |
|
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
|||
|
退出至係統視圖 |
quit |
|||
|
創建本地用戶,並進入本地用戶視圖 |
local-user user-name |
必選 缺省情況下,沒有配置本地用戶 |
|
|
|
設置本地認證口令 |
password { cipher | simple } password |
必選 缺省情況下,沒有配置本地認證口令 |
|
|
|
設置本地用戶的命令級別 |
authorization-attribute level level |
可選 缺省情況下,命令級別為0 |
|
|
|
設置本地用戶的服務類型 |
service-type ssh |
必選 缺省情況下,無用戶的服務類型 |
|
|
|
退回係統視圖 |
quit |
- |
|
|
|
建立SSH用戶,並指定SSH用戶的認證方式 |
ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname } |
必選 缺省情況下,沒有配置SSH用戶及SSH用戶的認證方式 |
|
|
|
配置VTY用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.3.6 配置VTY用戶界麵的公共屬性(可選) |
|
|
本章隻介紹采用password方式認證SSH客戶端的配置方法,publickey方式的配置方法及SSH的詳細介紹,請參見“安全配置指導”中的“SSH2.0”。
使能命令行授權功能或命令行計費功能後,還需要進行如下配置才能保證命令行授權功能生效:
l 需要創建HWTACACS方案,在方案中指定授權服務器的IP地址以及授權過程的其它參數;
l 需要在ISP域中引用已創建的HWTACACS方案。
詳細介紹請參見“安全配置指導”中的“AAA”。
l 用戶采用password認證方式登錄設備時,其所能訪問的命令級別取決於AAA方案中定義的用戶級別。AAA方案為local認證時,用戶級別通過authorization-attribute level level命令設定;AAA方案為RADIUS或者HWTACACS方案認證時,在相應的RADIUS或者HWTACACS服務器上設定相應用戶的級別。有關AAA、RADIUS、HWTACACS的詳細內容,請參見“AAA配置指導”中的“AAA”。
l 用戶采用publickey認證方式登錄設備時,其所能訪問的命令級別取決於用戶界麵上通過user privilege level命令配置的級別。
用戶已經成功登錄到了設備上,並希望將當前設備作為SSH Client登錄到其它設備上進行操作。具體請參見圖2-14所示。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
圖2-16 通過交換機設備登錄到其它交換機設備
如果SSH Client與SSH Server相連的端口不在同一子網內,請確保兩台設備間路由可達。
表2-17 設備作為SSH Client登錄到其它設備的配置
|
操作 |
命令 |
說明 |
|
設備作為SSH Client登錄到SSH IPv4服務器端 |
ssh2 server |
必選 server:服務器IPv4地址或主機名稱,為1~20個字符的字符串,不區分大小寫 此命令在用戶視圖下執行 |
|
設備作為SSH Client登錄到SSH IPv6服務器端 |
ssh2 ipv6 server |
必選 server:服務器的IPv6地址或主機名稱,為1~46個字符的字符串,不區分大小寫。 |
為配合SSH Server,設備充當SSH Client時還可進一步進行其它配置,具體請參見“安全配置指導”中的“SSH2.0”。
配置完成後,設備即可登錄到相應的SSH Server上。
網絡管理員可以通過設備的Console口,利用一對Modem和PSTN(Public Switched Telephone Network,公共電話交換網)拔號登錄到設備上,對遠程設備進行管理和維護。這種登錄方式一般適用於在網絡中斷的情況下,利用PSTN網絡對設備進行遠程管理、維護及故障定位。
本節將為您介紹如何通過Modem登錄設備,並配置登錄時的認證方式、用戶級別及公共屬性,實現對Modem登錄用戶的控製。
本節將為您介紹:
l 設備支持Modem登錄認證方式及配置Modem登錄認證方式的意義、各種認證方式的特點及注意事項。具體請參見2.5.3 Modem撥號登錄的認證方式介紹。
l 當用戶確定了今後通過Modem登錄設備時將采用何種認證方式後、並通過缺省配置登錄到設備後,用戶如何在設備上配置Modem登錄設備時的認證方式及用戶級別,實現對Modem登錄用戶的控製和管理。具體請參見2.5.4 配置用戶通過Modem登錄設備時無需認證(None)、2.5.5 配置用戶通過Modem登錄設備時采用密碼認證(Password)及2.5.6 配置用戶通過Modem登錄設備時采用AAA認證(Scheme)。
l 配置通過Modem登錄設備時的公共屬性。具體請參見2.5.7 配置AUX用戶界麵的公共屬性(可選)。
缺省情況下,用戶通過Modem登錄設備時,設備不需要任何登錄認證,缺省可以訪問命令級別為3級的命令。
通過Modem登錄設備的方法如下:
表2-18 通過Console口利用Modem撥號進行遠程登錄需要具備的條件
|
配置對象 |
需要具備的條件 |
|
網絡管理員端 |
PC終端與Modem正確連接 |
|
Modem與可正常使用的電話線正確相連 |
|
|
獲取了遠程設備端Console口所連Modem上對應的電話號碼 |
|
|
設備端 |
Console口與Modem正確連接 |
|
在Modem上進行了正確的配置 |
|
|
Modem與可正常使用的電話線正確相連 |
|
|
設備上配置了登錄用戶的認證方式、用戶級別及其它配置 |
(1) 如圖2-17所示,建立遠程配置環境,在PC機(或終端)的串口和設備的Console口分別掛接Modem。
(2) 網絡管理員端的相關配置。
PC終端與Modem正確連接、Modem與可正常使用的電話線正確相連、獲取了遠程設備端Console口所連Modem上對應的電話號碼。
通過Console口利用Modem撥號進行遠程登錄時,使用的是AUX用戶界麵,設備上的配置需要注意以下幾點:
l Console口波特率Speed要低於Modem的傳輸速率,否則可能會出現丟包現象。
l Console口的其它屬性(校驗方式、停止位、數據位)均采用缺省值。
(3) 在與設備直接相連的Modem上進行以下配置。
AT&F-------------------------- Modem恢複出廠配置
ATS0=1------------------------ 配置自動應答(振鈴一聲)
AT&D-------------------------- 忽略DTR信號
AT&K0------------------------- 禁止流量控製
AT&R1------------------------- 忽略RTS信號
AT&S0------------------------- 強製DSR為高電平
ATEQ1&W----------------------- 禁止modem回送命令響應和執行結果並存儲配置
在配置後為了查看Modem的配置是否正確,可以輸入AT&V命令顯示配置的結果。
各種Modem配置命令及顯示的結果有可能不一樣,具體操作請參照Modem的說明書進行。
(4) 在PC機上運行終端仿真程序(如Windows XP/Windows 2000的超級終端等,以下配置以Windows XP為例),新建一個撥號連接(所撥號碼為與設備相連的Modem的電話號碼),與設備建立連接,如圖2-18至圖2-20所示。
如果您的PC使用的是Windows 2003 Server操作係統,請在Windows組件中添加超級終端程序後,再按照本文介紹的方式登錄和管理設備;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作係統,請您準備第三方的撥號控製軟件,使用方法請參照軟件的使用指導或聯機幫助。
(5) 在遠端通過終端仿真程序和Modem向設備撥號
圖2-19 撥號號碼配置
圖2-20 在遠端PC機上撥號
(6) 當聽到撥號音後,超級終端窗口將返回字符串“CONNECT9600”,鍵入回車鍵之後將出現命令行提示符(如<H3C>),如圖2-21所示。
圖2-21 Console口登錄界麵
(7) 如果配置驗證方式為Password,在遠端的終端仿真程序上輸入已配置的登錄口令,出現命令行提示符(如<H3C>),即可對設備進行配置或管理。需要幫助可以隨時鍵入“?”,具體的配置命令請參考本手冊中相關模塊的內容。
(8) 鍵入命令,配置設備或查看設備運行狀態。需要幫助可以隨時鍵入“?”,具體的配置命令請參考本手冊中相關部分的內容。
l
當您想斷開PC與遠端設備的連接時,首先在超級終端中用命用“ATH”命令斷開modem間的連接。如果在超級終端窗口無法輸入此命令,可輸入“AT+ + +”並回車,待窗口顯示“OK”提示後再輸入“ATH”命令,屏幕再次顯示“OK”提示,表示已斷開本次連接。您也可以使用超級終端頁麵提供的掛斷按扭
斷開PC與遠端設備的連接。
l 當您使用完超級終端仿真程序後,務必要先斷開PC與遠端設備的連接,不能直接關閉超級終端,否則有些型號的遠程modem將一直在線,下次撥號連接時將無法撥號成功。
通過在AUX用戶界麵下配置認證方式,可以對使用Modem撥號登錄的用戶進行限製,以提高設備的安全性。Modem撥號支持的認證方式有none、password和scheme三種。
l 認證方式為none:表示下次使用Modem撥號登錄設備時,不需要進行用戶名和密碼認證、任何人都可以通過Modem撥號登錄到設備上,這種情況可能會帶來安全隱患。
l 認證方式為password:表示下次使用Modem撥號登錄設備時,需要進行密碼認證、隻有密碼認證成功、用戶才能登錄到設備上。配置認證方式為password後,請妥善保存密碼,如果密碼丟失,則無法使用該方式登錄。此時,可以使用Console登錄到設備,對Modem撥號的密碼配置進行查看或修改。
l 認證方式為scheme:表示下次使用Modem撥號登錄設備時需要進行用戶名和密碼認證,用戶名或密碼錯誤,均會導致登錄失敗。用戶認證又分為本地認證和遠程認證,如果采用本地認證,則需要配置本地用戶及相應參數;如果采用遠程認證,則需要在遠程認證服務器上配置用戶名和密碼。有關用戶認證方式及參數的詳細介紹請參見“安全配置指導”中的“AAA”。配置認證方式為scheme後,請妥善保存用戶名及密碼,如果本地認證密碼丟失,可以使用Console登錄到交換機,對Modem撥號的密碼配置進行查看或修改。如果遠程認證密碼丟失,建議您聯係服務器管理員。
不同的認證方式下,Modem撥號登錄方式需要進行的配置不同,具體配置如表2-3所示。
表2-19 配置任務簡介
|
認證方式 |
認證所需配置 |
說明 |
||
|
None |
設置登錄用戶的認證方式為不認證 |
具體內容請參見2.5.4 |
||
|
Password |
設置登錄用戶的認證方式為Password認證 |
具體內容請參見2.5.5 |
||
|
設置本地驗證的口令 |
||||
|
Scheme |
設置登錄用戶的認證方式為Scheme認證 |
具體內容請參見2.5.6 |
||
|
選擇認證方案 |
采用遠端AAA服務器認證 |
在設備上配置RADIUS/HWTACACS方案 |
||
|
在設備上配置域使用的AAA方案 |
||||
|
在AAA服務器上配置相關的用戶名和密碼 |
||||
|
采用本地認證 |
在設備上配置認證用戶名和密碼 |
|||
|
在設備上配置域使用的AAA方案為本地認證 |
||||
改變Modem撥號登錄方式的認證方式後,該認證方式的設置不會立即生效。用戶需要退出命令行接口後重新登錄,該設置才會生效。
用戶已經成功登錄到了設備上,並希望以後通過Modem撥號登錄設備時無需進行認證。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
表2-20 配置用戶通過Modem撥號登錄設備時無需認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
設置登錄用戶的認證方式為不認證 |
authentication-mode none |
必選 缺省情況下,用戶通過Modem撥號登錄,認證方式為none(即不需要進行認證) |
|
配置AUX用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.5.7 配置AUX用戶界麵的公共屬性(可選) |
配置完成後,當用戶再次通過Modem撥號登錄設備時,設備將提示用戶鍵入回車,之後將出現命令行提示符(如<H3C>),如圖2-22所示。
圖2-22 用戶通過Modem撥號登錄設備時無需認證登錄界麵
用戶已經成功登錄到了設備上,並希望以後通過Modem撥號登錄設備時采用密碼認證、以提高設備的安全性。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
表2-21 配置用戶通過Modem撥號登錄設備時采用密碼認證
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
設置登錄用戶的認證方式為本地口令認證 |
authentication-mode password |
必選 缺省情況下,用戶通過Modem登錄,認證方式為none(即不需要進行認證) |
|
設置本地驗證的口令 |
set authentication password { cipher | simple } password |
必選 缺省情況下,沒有設置本地認證的口令 |
|
配置AUX用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.5.7 配置AUX用戶界麵的公共屬性(可選) |
配置完成後,當用戶再次通過Modem撥號登錄設備時,鍵入回車後,設備將要求用戶輸入登錄密碼,正確輸入登錄密碼並回車,登錄界麵中出現命令行提示符(如<H3C>),如圖2-23所示。
圖2-23 用戶通過Modem撥號登錄設備時采用密碼認證登錄界麵
用戶已經成功的登錄到了設備上,並希望以後通過Modem撥號登錄設備時采用AAA認證、以提高設備的安全性。
缺省情況下,用戶可以直接通過Console口本地登錄設備,登錄時認證方式為None(不需要用戶名和密碼),登錄用戶級別為3。如何在缺省情況下登錄設備,具體請參見2.2.2 缺省配置下如何通過Console口登錄設備。
表2-22 配置用戶通過Modem撥號登錄設備時采用AAA認證
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
|
設置登錄用戶的認證方式為通過認證方案認證 |
authentication-mode scheme |
必選 具體采用本地認證還是RADIUS認證、HWTACACS認證視AAA方案配置而定 缺省情況下,用戶通過Console口登錄,認證方式為none(即不需要進行認證) |
|
|
使能命令行授權功能 |
command authorization |
可選 l 缺省情況下,沒有使能命令行授權功能,即用戶登錄後執行命令行不需要授權 l 缺省情況下,用戶登錄設備後可以使用的命令行由用戶級別決定,用戶隻能使用缺省級別等於/低於用戶級別的命令行。配置命令行授權功能後,用戶可使用的命令行將受到用戶級別和AAA授權的雙重限製。即便是足夠級別的用戶每執行一條命令都會進行授權檢查,隻有授權成功的命令才被允許執行。 |
|
|
使能命令行計費功能 |
command accounting |
可選 l 缺省情況下,沒有使能命令行計費功能,即計費服務器不會記錄用戶執行的命令行 l 命令行計費功能用來在HWTACACS服務器上記錄用戶對設備執行過的命令(隻要設備支持的命令,不管執行成功或者失敗都會記錄),以便集中監視、控製用戶對設備的操作。命令行計費功能生效後,如果沒有配命令行授權功能,用戶執行的每一條命令都會發送到HWTACACS服務器上做記錄;如果配置了命令行授權功能,則每一條授權成功的命令都會發送到HWTACACS服務器上做記錄。 |
|
|
退出至係統視圖 |
quit |
- |
|
|
配置設備采用的認證方案 |
進入ISP域視圖 |
domain domain-name |
可選 缺省情況下,係統使用的AAA方案為local 如果采用local認證,則必須進行後續的本地用戶配置;如果采用RADIUS或者HWTACACS方式認證,則需進行如下配置: l 設備上的RADIUS、HWTACACS方案配置請參見“安全配置指導”中的“AAA” l AAA服務器上需要配置相關的用戶名和密碼,具體請參見服務器的指導書 |
|
配置域使用的AAA方案 |
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } |
||
|
退出至係統視圖 |
quit |
||
|
創建本地用戶(進入本地用戶視圖) |
local-user user-name |
必選 缺省情況下,無本地用戶 |
|
|
設置本地用戶認證口令 |
password { cipher | simple } password |
必選 |
|
|
設置本地用戶的命令級別 |
authorization-attribute level level |
可選 缺省情況下,命令級別為0 |
|
|
設置本地用戶的服務類型 |
service-type terminal |
必選 缺省情況下,無用戶服務類型 |
|
|
配置AUX用戶界麵的公共屬性 |
- |
可選 詳細配置請參見2.5.7 配置AUX用戶界麵的公共屬性(可選) |
|
使能命令行授權功能或命令行計費功能後,還需要進行如下配置才能保證命令行授權功能生效:
l 需要創建HWTACACS方案,在方案中指定授權服務器的IP地址以及授權過程的其它參數;
l 需要在ISP域中引用已創建的HWTACACS方案。
詳細介紹請參見“安全配置指導/AAA”中的“配置ISP域的AAA授權方法”。
需要注意的是用戶采用Scheme認證方式登錄設備時,其所能訪問的命令級別取決於AAA方案中定義的用戶級別。
l AAA方案為local認證時,用戶級別通過authorization-attribute level level命令設定。
l AAA方案為RADIUS或者HWTACACS方案認證時,在相應的RADIUS或者HWTACACS服務器上設定相應用戶的級別。
有關AAA、RADIUS、HWTACACS的詳細內容,請參見“安全配置指導”中的“AAA”。
配置完成後,當用戶再次通過Modem撥號登錄設備時,鍵入回車後,設備將要求用戶輸入登錄用戶名和密碼,正確輸入用戶名(此處以用戶為admin為例)和密碼並回車,登錄界麵中出現命令行提示符(如<H3C>),如圖2-6所示。
圖2-24 用戶通過Modem撥號登錄設備時AAA認證登錄界麵
表2-23 AUX用戶界麵的公共屬性配置
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
使能顯示版權信息 |
copyright-info enable |
可選 缺省情況下,顯示版權信息處於使能狀態 |
|
|
進入AUX用戶界麵視圖 |
user-interface aux first-number [ last-number ] |
- |
|
|
配置AUX用戶界麵的屬性 |
配置傳輸速率 |
speed speed-value |
可選 缺省情況下,傳輸速率為9600bit/s 傳輸速率為設備與訪問終端之間每秒鍾傳送的比特的個數 |
|
配置校驗方式 |
parity { even | mark | none | odd | space } |
可選 缺省情況下,校驗方式為none,即不進行校驗 |
|
|
配置停止位 |
stopbits { 1 | 1.5 | 2 } |
可選 缺省情況下,停止位為1 停止位用來表示單個包的結束。停止位的位數越多,傳輸效率越低 |
|
|
配置數據位 |
databits { 5 | 6 | 7 | 8 } |
可選 缺省情況下,數據位為8位 數據位的設置取決於需要傳送的信息。比如,如果傳送的是標準的ASCII碼,則可以將數據位設置為7,如果傳輸的是擴展的ASCII碼,則需要將數據位設置為8 |
|
|
配置啟動終端會話的快捷鍵 |
activation-key character |
可選 缺省情況下,按<Enter>鍵啟動終端會話 |
|
|
配置中止當前運行任務的快捷鍵 |
escape-key { default | character } |
可選 缺省情況下,鍵入<Ctrl+C>中止當前運行的任務 |
|
|
配置流量控製方式 |
flow-control { hardware | none | software } |
可選 缺省情況下,流量控製方式為none 目前設備隻支持配置流量控製方式為none |
|
|
配置終端的顯示類型 |
terminal type { ansi | vt100 } |
可選 缺省情況下,終端顯示類型為ANSI 當設備的終端類型與客戶端(如超級終端或者Telnet客戶端等)的終端類型不一致,或者均設置為ANSI,並且當前編輯的命令行的總字符數超過80個字符時,客戶端會出現光標錯位、終端屏幕不能正常顯示的現象。建議兩端都設置為VT100類型 |
|
|
設置用戶登錄後可以訪問的命令級別 |
user privilege level level |
可選 缺省情況下,從AUX用戶界麵登錄後可以訪問的命令級別為3級 |
|
|
設置終端屏幕一屏顯示的行數 |
screen-length screen-length |
可選 缺省情況下,終端屏幕一屏顯示的行數為24行 screen-length 0表示關閉分屏顯示功能 |
|
|
設置曆史命令緩衝區大小 |
history-command max-size value |
可選 缺省情況下,每個用戶的曆史緩衝區的大小為10,即可存放10條曆史命令 |
|
|
設置用戶界麵的超時時間 |
idle-timeout minutes [ seconds ] |
可選 缺省情況下,所有的用戶界麵的超時時間為10分鍾,如果10分鍾內某用戶界麵沒有用戶進行操作,則該用戶界麵將自動斷開 idle-timeout 0表示關閉用戶界麵的超時功能 |
|
|
設置呼入連接建立時,用戶從摘機到撥號的有效間隔時間 |
modem timer answer time |
可選 缺省情況下,撥號超時時間為60秒 |
|
|
設置Modem為自動應答方式 |
modem auto-answer |
可選 缺省情況下,Modem的應答方式為手動應答 |
|
|
使能Modem的呼入/呼出功能 |
modem { both | call-in | call-out } |
可選 缺省情況下,Modem的呼入和呼出功能處於禁止狀態 |
|
l 改變Console口屬性後會立即生效,通過Console口登錄來配置Console口屬性可能在配置過程中發生連接中斷,建議通過其他登錄方式來配置Console口屬性。若用戶需要通過Console口再次登錄設備,需要改變PC機上運行的終端仿真程序的相應配置,使之與設備上配置的Console口屬性保持一致。
l Console口波特率Speed要低於Modem的傳輸速率,否則可能會出現丟包現象。
表2-24 CLI顯示和維護
|
操作 |
命令 |
說明 |
|
顯示當前正在使用的用戶界麵以及用戶的相關信息 |
display users [ | { begin | exclude | include } regular-expression ] |
在任意視圖下執行 |
|
顯示設備支持的所有用戶界麵以及用戶的相關信息 |
display users all [ | { begin | exclude | include } regular-expression ] |
在任意視圖下執行 |
|
顯示用戶界麵的相關信息 |
display user-interface [ num1 | { aux | vty } num2 ] [ summary ] [ | { begin | exclude | include } regular-expression ] |
在任意視圖下執行 |
|
顯示設備作為Telnet客戶端的相關配置信息 |
display telnet client configuration [ | { begin | exclude | include } regular-expression ] |
在任意視圖下執行 |
|
釋放指定的用戶界麵 |
free user-interface { num1 | { aux | vty } num2 } |
在用戶視圖下執行 係統支持多個用戶同時對設備進行配置,當管理員在維護設備時,其他在線用戶的配置影響到管理員的操作,或者管理員正在進行一些重要配置不想被其他用戶幹擾時,可以使用以下命令強製斷開該用戶的連接 不能使用該命令釋放用戶當前自己使用的連接 |
|
鎖住當前用戶界麵 |
lock |
在用戶視圖下執行 缺省情況下,不鎖住當前用戶界麵 |
|
設置在用戶界麵之間傳遞消息 |
send { all | num1 | { aux | vty } num2 } |
在用戶視圖下執行 |
用戶可通過NMS(Network Management Station,網絡管理係統)登錄到設備上,通過設備上的Agent模塊對設備進行管理、配置。設備支持多種NMS軟件。
缺省情況下,用戶不能通過NMS登錄到設備上,如果要使用NMS登錄設備,您首先需要通過Console口登錄到設備上,在設備上進行相關配置。配置完成後,您即可使用NMS網管的方式登錄設備。
表3-1 通過NMS登錄設備需要具備的條件
|
對象 |
需要具備的條件 |
|
設備 |
配置設備VLAN接口的IP地址,設備與NMS間路由可達 |
|
配置SNMP基本功能 |
|
|
NMS(網絡管理係統) |
NMS網絡管理係統進行了正確配置,具體配置請參見NMS附帶的網管手冊 |
建立配置環境,將PC機以太網口通過網絡與設備VLAN1下的以太網口連接,確保PC機和VLAN1接口之間路由可達。
圖3-1 通過NMS方式登錄組網環境
表3-2 配置SNMP基本參數(SNMP v3版本)
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
啟動SNMP Agent服務 |
snmp-agent |
可選 缺省情況下,SNMP Agent服務處於關閉狀態 執行此命令或執行snmp-agent的任何一條配置命令(不含display命令),都可以啟動SNMP Agent |
|
配置SNMP組 |
snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
必選 缺省情況下,沒有配置SNMP組 |
|
為SNMP組添加新用戶 |
snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ] |
必選 如果使用cipher參數,則後麵的auth-password和priv-password都將被視為密文密碼 |
表3-3 配置SNMP基本參數(SNMP v1版本、SNMP v2c版本)
|
操作 |
命令 |
說明 |
||
|
進入係統視圖 |
system-view |
- |
||
|
啟動SNMP Agent服務 |
snmp-agent |
可選 缺省情況下,SNMP Agent服務處於關閉狀態。 執行此命令或執行snmp-agent的任何一條配置命令,都可以啟動SNMP Agent |
||
|
創建或更新MIB視圖內容 |
snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ] |
可選 缺省情況下,視圖名為ViewDefault,OID為1 |
||
|
設置訪問權限 |
直接設置 |
創建一個新的SNMP團體 |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]* |
二者必選其一 直接設置是以SNMP v1和v2c版本的團體名進行設置 間接設置采用與SNMP v3版本一致的命令形式,添加的用戶到指定的組,即相當於SNMP v1和SNMP v2c版本的團體名,在NMS上配置的團體名需要跟Agent上配置的用戶名一致 |
|
間接設置 |
設置一個SNMP組 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
||
|
為一個SNMP組添加一個新用戶 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] |
|||
設備支持SNMP v1、SNMP v2c和SNMP v3三種版本,關於SNMP的詳細介紹及配置,請參見“網絡管理和監控配置指導”中的“SNMP”。
通過NMS登錄設備的方法如下(此處以iMC為例):
(1) 設備配置
# 配置設備的IP地址並確保設備與NMS之間路由可達。(配置步驟略)
# 進入係統視圖。
<Sysname> system-view
# 啟動SNMP Agent服務。
[Sysname] snmp-agent
# 配置SNMP組。
[Sysname] snmp-agent group v3 managev3group
# 為SNMP組添加新用戶
[Sysname] snmp-agent usm-user v3 managev3user managev3group
(2) 配置NMS
用戶可利用網管係統完成對設備的查詢和配置操作,具體情況請參考NMS的配套手冊。
NMS側的配置必須和設備側保持一致,否則無法進行相應操作。
(3) 配置客戶端
在PC的瀏覽器地址欄內輸入iMC的IP地址(此處以iMC的IP地址為192.168.4.112為例),如圖3-2所示:在地址欄中輸入http://192.168.4.112:8080/imc(IP地址和端口號應與實際安裝環境保持一致)。
在登錄頁麵中,輸入正確的操作員和密碼後單擊<登錄>按鈕,即可進入係統首頁,如圖3-3所示。
圖3-3 iMC配置界麵
成功登錄後,您可以選擇相應選項對設備進行各種配置和管理。需要幫助可以隨時點擊登錄頁麵右上角的“幫助”選項獲得相應功能的幫助信息。
通過以上配置,NMS可以和設備建立SNMP連接,能夠通過MIB節點查詢、設置設備上某些參數的值。
設備提供對不同登錄方式進行控製,如表4-1所示。
|
登錄方式 |
控製方式 |
實現方法 |
相關小節 |
|
Telnet |
通過源IP對Telnet進行控製 |
通過基本ACL實現 |
|
|
通過源IP、目的IP對Telnet進行控製 |
通過高級ACL實現 |
||
|
通過源MAC對Telnet進行控製 |
通過二層ACL實現 |
||
|
NMS |
通過源IP對網管用戶進行控製 |
通過基本ACL實現 |
確定了對Telnet的控製策略,包括對哪些源IP、目的IP、源MAC進行控製,控製的動作是允許訪問還是拒絕訪問。
本配置需要通過基本訪問控製列表實現。基本訪問控製列表的序號取值範圍為2000~2999。關於ACL的定義請參見“ACL和QoS配置指導”中的“ACL”。
表4-2 通過源IP對Telnet進行控製
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入基本ACL視圖 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必選 |
|
退出ACL視圖 |
quit |
- |
|
進入用戶界麵視圖 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用訪問控製列表,通過源IP對Telnet進行控製 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必選 inbound:對Telnet到本設備的用戶進行ACL控製 outbound:對從本設備Telnet到其他Telnet服務器的用戶進行ACL控製 |
本配置需要通過高級訪問控製列表實現。高級訪問控製列表的序號取值範圍為3000~3999。關於ACL的定義請參見“ACL和QoS配置指導”中的“ACL”。
表4-3 配置高級ACL規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入高級ACL視圖 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { permit | deny } rule-string |
必選 用戶可以根據需要配置對相應的源IP、目的IP進行過濾的規則 |
|
退出ACL視圖 |
quit |
- |
|
進入用戶界麵視圖 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用訪問控製列表,通過源IP、目的IP對Telnet進行控製 |
acl [ ipv6 ] acl-number { inbound | outbound } |
必選 inbound:對Telnet到本設備的用戶進行ACL控製 outbound:對從本設備Telnet到其他Telnet服務器的用戶進行ACL控製 |
本配置需要通過二層訪問控製列表實現。二層訪問控製列表的序號取值範圍為4000~4999。關於ACL的定義請參見“ACL和QoS配置指導”中的“ACL”。
表4-4 配置二層ACL規則
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入二層ACL視圖 |
acl number acl-number [ match-order { config | auto } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { permit | deny } rule-string |
必選 用戶可以根據需要配置對相應的源MAC進行過濾的規則 |
|
退出ACL視圖 |
quit |
- |
|
進入用戶界麵視圖 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用訪問控製列表,通過源MAC對Telnet進行控製 |
acl acl-number inbound |
必選 inbound:對Telnet到本設備的用戶進行ACL控製 |
二層訪問控製列表對於Telnet Client的源IP與Telnet服務器的接口IP不在同一網段的不生效。
通過源IP對Telnet進行控製,僅允許來自10.110.100.52和10.110.100.46的Telnet用戶訪問設備。
圖4-1 對Device的Telnet用戶進行ACL控製
# 定義基本訪問控製列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用訪問控製列表,允許源地址為10.110.100.52和10.110.100.46的Telnet用戶訪問設備。
[Sysname] user-interface vty 0 15
[Sysname-ui-vty0-15] acl 2000 inbound
設備支持通過網管軟件進行遠程管理。網管用戶可以通過SNMP訪問設備。通過引用訪問控製列表,可以對訪問設備的SNMP用戶進行控製。
確定了對網管用戶的控製策略,包括對哪些源IP進行控製,控製的動作是允許訪問還是拒絕訪問。
本配置需要通過基本訪問控製列表實現。基本訪問控製列表的序號取值範圍為2000~2999。關於ACL的定義請參見“ACL和QoS配置指導”中的“ACL”。
表4-5 通過源IP對網管用戶進行控製
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入基本ACL視圖 |
acl [ ipv6 ] number acl-number [ match-order { config | auto } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]* |
必選 |
|
退出ACL視圖 |
quit |
- |
|
在配置SNMP團體名的命令中引用訪問控製列表 |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]* |
必選 根據網管用戶運行的SNMP版本及配置習慣,可以在團體名、組名或者用戶名配置時引用訪問控製列表,詳細介紹請參見“網絡管理和監控配置指導”中的“SNMP” |
|
在配置SNMP組名的命令中引用訪問控製列表 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
|
|
在配置SNMP用戶名的命令中引用訪問控製列表 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ] |
通過源IP對網管用戶進行控製,僅允許來自10.110.100.52和10.110.100.46的NMS用戶訪問設備。
圖4-2 對NMS用戶進行ACL控製
# 定義基本訪問控製列表。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用訪問控製列表,僅允許來自10.110.100.52和10.110.100.46的SNMP用戶訪問設備。
[Sysname] snmp-agent community read aaa acl 2000
[Sysname] snmp-agent group v2c groupa acl 2000
[Sysname] snmp-agent usm-user v2c usera groupa acl 2000
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
