配置思科3560交换机
思科3560交换机 时间:2021-04-18 阅读:()
i目录1登录交换机方式介绍1-11.
1登录交换机方式综述.
1-11.
2用户界面简介.
1-21.
2.
1用户界面概述.
1-21.
2.
2用户与用户界面的关系1-21.
2.
3用户界面的编号1-22配置用户通过CLI登录设备.
2-12.
1配置用户通过CLI登录设备简介2-12.
2配置通过Console口登录设备2-12.
2.
1通过Console口登录设备简介.
2-12.
2.
2缺省配置下如何通过Console口登录设备.
2-22.
2.
3Console口登录的认证方式介绍2-42.
2.
4配置通过Console口登录设备时无需认证(None)2-52.
2.
5配置通过Console口登录设备时采用密码认证(Password)2-62.
2.
6配置通过Console口登录设备时采用AAA认证(Scheme)2-72.
2.
7配置Console口登录方式的公共属性(可选)2-102.
3配置通过Telnet登录设备2-122.
3.
1通过Telnet登录设备简介.
2-122.
3.
2Telnet登录的认证方式介绍.
2-132.
3.
3配置通过TelnetClient登录设备时无需认证(None)2-142.
3.
4配置通过TelnetClient登录设备时采用密码认证(Password)2-152.
3.
5配置通过TelnetClient登录设备时采用AAA认证(Scheme)2-162.
3.
6配置VTY用户界面的公共属性(可选)2-192.
3.
7配置设备充当TelnetClient登录TelnetServer.
2-202.
4配置通过SSH登录2-212.
4.
1通过SSH登录设备简介2-212.
4.
2配置设备充当SSH服务器.
2-222.
4.
3配置设备充当SSH客户端登录其它设备.
2-252.
5配置通过Modem登录设备2-262.
5.
1通过Modem登录设备简介.
2-262.
5.
2缺省配置下如何通过Modem登录设备.
2-262.
5.
3Modem拨号登录的认证方式介绍.
2-292.
5.
4配置用户通过Modem登录设备时无需认证(None)2-302.
5.
5配置用户通过Modem登录设备时采用密码认证(Password)2-31ii2.
5.
6配置用户通过Modem登录设备时采用AAA认证(Scheme)2-322.
5.
7配置AUX用户界面的公共属性(可选)2-352.
6CLI登录显示和维护2-373配置通过Web网管登录设备3-13.
1通过Web网管登录设备简介.
3-13.
2配置通过HTTP方式登录设备.
3-13.
3配置通过HTTPS方式登录设备3-23.
4通过Web网管登录设备显示与维护.
3-43.
5通过Web网管登录设备典型配置举例3-53.
5.
1使用HTTP方式登录设备典型配置举例.
3-53.
5.
2使用HTTPS方式登录设备典型配置举例3-64配置通过NMS登录设备.
4-14.
1通过NMS登录设备简介4-14.
2配置通过NMS登录设备4-14.
3通过NMS登录设备典型配置举例.
4-25对登录用户的控制.
5-15.
1对登录用户的控制简介.
5-15.
2配置对Telnet用户的控制5-15.
2.
1配置准备5-15.
2.
2通过源IP对Telnet进行控制5-15.
2.
3通过源IP、目的IP对Telnet进行控制.
5-25.
2.
4通过源MAC地址对Telnet进行控制5-25.
2.
5配置举例5-35.
3通过源IP对网管用户进行控制5-45.
3.
1配置准备5-45.
3.
2通过源IP对网管用户进行控制.
5-45.
3.
3配置举例5-45.
4通过源IP对Web用户进行控制5-55.
4.
1配置准备5-55.
4.
2通过源IP对Web用户进行控制.
5-55.
4.
3强制在线Web用户下线5-65.
4.
4配置举例5-61-11登录交换机方式介绍1.
1登录交换机方式综述用户可以通过以下几种方式登录到交换机上,对交换机进行配置和管理:登录方式及介绍各种登录方式缺省状况分析配置通过Console口登录设备缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3配置通过Telnet登录设备缺省情况下,用户不能直接通过Telnet方式登录设备.
如需采用Telnet方式登录,需要先通过Console口本地登录设备、并完成如下配置:z开启设备的Telnet功能z配置设备VLAN接口的IP地址,确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有IP地址)z配置VTY用户的认证方式(缺省情况下,VTY用户采用Password认证方式)z配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0)配置通过SSH登录缺省情况下,用户不能直接通过SSH方式登录设备.
如需采用SSH方式登录,需要先通过Console口本地登录设备、并完成如下配置:z开启设备SSH功能并完成SSH属性的配置z配置设备VLAN接口的IP地址,确保设备与SSH登录用户间路由可达(缺省情况下,设备没有配置IP地址)z配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用Password认证方式)z配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0)通过CLI登录设备配置通过Modem登录设备缺省情况下,用户可以直接通过Modem拨号方式登录设备,Modem用户的用户级别为3配置通过Web网管登录设备缺省情况下,用户不能直接通过Web登录设备.
如需采用Web方式登录,需要先通过Console口本地登录设备、并完成如下配置:z配置设备VLAN接口的IP地址,确保设备与Web登录用户间路由可达(缺省情况下,设备没有配置IP地址)z配置Web用户的用户名与密码(缺省情况下,没有Web登录的用户名和密码)z配置Web登录的用户级别(缺省情况下,未配置Web登录用户的用户级别)z配置Web登录用户的服务类型为Telnet(缺省情况下,未配置Web登录用户的服务类型)配置通过NMS登录设备缺省情况下,用户不能直接通过NMS登录设备.
如需采用NMS方式登录,需要先通过Console口本地登录设备、并完成如下配置:z配置设备VLAN接口的IP地址,确保设备与NMS登录用户间路由可达(缺省情况下,设备没有IP配置地址)z配置SNMP基本参数在以下的章节中,将分别为您介绍如何通过Console口、Telnet、Modem、Web及NMS登录到设备上.
1-21.
2用户界面简介1.
2.
1用户界面概述当用户使用Console口、Telnet或者SSH方式登录设备的时候,系统会分配一个用户界面(也称为Line)用来管理、监控设备和用户间的当前会话.
每个用户界面有对应的用户界面视图(User-interfaceview),在用户界面视图下网络管理员可以配置一系列参数,比如用户登录时是否需要认证以及用户登录后的级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的.
目前系统支持的命令行配置方式有:zConsole口本地配置zTelnet或SSH本地或远程配置与这些配置方式对应的是两种类型的用户界面:zAUX用户界面:系统提供的通过Console口登录的视图,用来管理和监控通过Console口登录的用户.
设备提供一个Console口,端口类型为EIA/TIA-232DCE,第一次使用设备时,需要通过此端口对交换机进行配置.
zVTY(VirtualTypeTerminal,虚拟类型终端)用户界面:用来管理和监控通过VTY方式登录的用户,用于对设备进行Telnet或SSH访问.
1.
2.
2用户与用户界面的关系用户界面的管理和监控对象是使用某种方式登录的用户,一个用户界面某一时刻只能被一个用户使用,但它并不针对某个用户.
比如用户A使用Console口登录设备时,将受到AUX用户界面视图下配置的约束,当使用VTY1登录设备时,将受到VTY1用户界面视图下配置的约束.
一台交换机提供一个AUX用户界面、十六个VTY用户界面,这些用户界面与用户并没有固定的对应关系.
用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的相应类型的用户界面,整个登录过程将受该用户界面视图下配置的约束.
同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时机不同,分配的用户界面可能不同.
1.
2.
3用户界面的编号用户界面的编号有两种方式:绝对编号方式和相对编号方式.
1.
绝对编号方式使用绝对编号方式,可以唯一的指定一个用户界面或一组用户界面.
绝对编号从0开始自动编号,每次增长1,先给所有AUX用户界面编号,其次是VTY用户界面编号.
使用displayuser-interface(不带参数)可查看到设备当前支持的用户界面以及它们的绝对编号.
2.
相对编号方式相对编号是每种类型用户界面的内部编号.
该方式只能指定某种类型的用户界面中的一个或一组,而不能跨类型操作.
相对编号方式的形式是:"用户界面类型编号",遵守如下规则:z控制台的相对编号为AUX0.
zVTY的相对编号:第一个为VTY0,第二个为VTY1,依次类推.
2-12配置用户通过CLI登录设备2.
1配置用户通过CLI登录设备简介CLI(命令行接口)是用户与设备之间的文本类指令交互界面,用户键入文本类命令,通过输入回车键提交设备执行相关命令,用户可以输入命令对设备进行配置,并可以通过查看输出的信息确认配置结果,方便用户配置和管理设备.
通过CLI登录设备包括:通过Console口、Telnet、SSH或Modem四种登录方式.
当您使用Console口、Telnet、SSH或Modem登录设备时,都需要使用CLI来与设备进行交互.
z缺省情况下,用户不需要任何认证即可通过Console口登录设备,这给设备带来许多安全隐患;z缺省情况下,用户不能通过Telnet、SSH登录设备(只能通过Console口本地登录),这样不利于用户对设备进行远程管理和维护.
因此,用户需要对这些登录方式进行相应的配置,来增加设备的安全性及可管理性.
以下章节将分别为您介绍如何通过Console口、Telnet、SSH及Modem登录到设备,并配置通过Console口、Telnet、SSH及Modem登录设备时的认证方式、用户级别及公共属性,来实现对登录用户的控制和管理.
2.
2配置通过Console口登录设备2.
2.
1通过Console口登录设备简介通过Console口进行本地登录是登录设备的最基本的方式,也是配置通过其他方式登录设备的基础.
如图2-1所示.
图2-1通过Console口登录设备示意图缺省情况下,设备只能通过Console口进行本地登录,用户登录到设备上后,即可以对各种登录方式进行配置.
本节将为您介绍:z设备缺省情况下,如何通过Console口登录设备.
具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
z设备Console口支持的登录方式及配置Console口登录认证方式的意义、各种认证方式的特点及注意事项.
具体请参见2.
2.
3Console口登录的认证方式介绍.
z当用户确定了今后通过Console口登录设备时将采用何种认证方式后、并通过缺省配置登录到设备后,用户如何在设备上配置Console口登录设备时的认证方式及用户级别,实现对Console口登录用户的控制和管理.
具体请参见2.
2.
4配置通过Console口登录设备时无需认证(None)、2.
2.
5配置通过Console口登录设备时采用密码认证(Password)及2.
2.
6配置通过Console口登录设备时采用AAA认证(Scheme).
2-2z配置通过Console口登录设备时的公共属性.
具体请参见2.
2.
7配置Console口登录方式的公共属性(可选).
2.
2.
2缺省配置下如何通过Console口登录设备表2-1通过Console登录设备需要具备的条件对象需要具备的条件设备缺省情况下,设备侧不需要任何配置运行超级终端程序Console口登录用户配置超级终端属性当用户使用Console口登录设备时,用户终端的通信参数配置要和设备Console口的缺省配置保持一致,才能通过Console口登录到设备上.
设备Console口的缺省配置如下:表2-2设备Console口缺省配置属性缺省配置传输速率9600bit/s流控方式不进行流控校验方式不进行校验停止位1数据位8(1)请使用产品随机附带的配置口电缆连接PC机和设备.
请先将配置电缆的DB-9(孔)插头插入PC机的9芯(针)串口插座,再将RJ-45插头端插入设备的Console口中.
图2-2将设备与PC通过配置口电缆进行连接连接时请认准接口上的标识,以免误插入其它接口.
由于PC机串口不支持热插拔,请不要在设备带电的情况下,将串口插入或者拔出PC机.
当连接PC和设备时,请先安装配置电缆的DB-9端到PC机,再连接RJ-45到设备;在拆下时,先拔出RJ-45端,再拔下DB-9端.
2-3(2)在PC机上运行终端仿真程序(如WindowsXP/Windows2000的超级终端等,以下配置以WindowsXP为例),选择与设备相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图2-3至图2-5所示.
如果您的PC使用的是Windows2003Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows2008Server、Windows7、WindowsVista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参照软件的使用指导或联机帮助.
图2-3新建连接图2-4连接端口设置2-4图2-5端口通信参数设置(3)设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如),如图2-6所示.
图2-6设备配置界面(4)键入命令,配置设备或查看设备运行状态.
需要帮助可以随时键入"",具体的配置命令请参考本手册中相关部分的内容.
2.
2.
3Console口登录的认证方式介绍通过在Console口用户界面下配置认证方式,可以对使用Console口登录的用户进行限制,以提高设备的安全性.
Console口支持的认证方式有none、password和scheme三种.
z认证方式为none:表示下次使用Console口本地登录设备时,不需要进行用户名和密码认证、任何人都可以通过Console口登录到设备上,这种情况可能会带来安全隐患.
2-5z认证方式为password:表示下次使用Console口本地登录设备时,需要进行密码认证、只有密码认证成功、用户才能登录到设备上.
配置认证方式为password后,请妥善保存密码.
z认证方式为scheme:表示下次使用Console口登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败.
用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码.
有关用户认证方式及参数的详细介绍请参见"安全配置指导"中的"AAA".
配置认证方式为scheme后,请妥善保存用户名及密码.
不同的认证方式下,Console口登录方式需要进行的配置不同,具体配置如表2-3所示.
表2-3配置任务简介认证方式认证所需配置说明None设置登录用户的认证方式为不认证具体内容请参见2.
2.
4设置登录用户的认证方式为Password认证Password设置本地验证的口令具体内容请参见2.
2.
5设置登录用户的认证方式为Scheme认证在设备上配置RADIUS/HWTACACS方案在设备上配置域使用的AAA方案采用远端AAA服务器认证在AAA服务器上配置相关的用户名和密码在设备上配置认证用户名和密码Scheme选择认证方案采用本地认证在设备上配置域使用的AAA方案为本地认证具体内容请参见2.
2.
6改变Console口登录方式的认证方式后,该认证方式的设置不会立即生效.
用户需要退出命令行接口后重新登录,该设置才会生效.
2.
2.
4配置通过Console口登录设备时无需认证(None)1.
配置前提用户已经成功登录到了设备上,并希望以后通过Console口登录设备时无需进行认证.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2-62.
配置过程表2-4配置用户通过Console口登录设备时无需认证操作命令说明进入系统视图system-view-进入AUX用户界面视图user-interfaceauxfirst-number[last-number]-设置登录用户的认证方式为不认证authentication-modenone必选缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)配置AUX用户界面的公共属性-可选详细配置请参见2.
2.
7配置Console口登录方式的公共属性(可选)配置完成后,当用户再次通过Console口登录设备时,设备将提示用户键入回车,之后将出现命令行提示符(如),如图2-7所示.
图2-7用户通过Console口登录设备时无需认证登录界面2.
2.
5配置通过Console口登录设备时采用密码认证(Password)1.
配置前提用户已经成功登录到了设备上,并希望以后通过Console口登录设备时采用密码认证、以提高设备的安全性.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2-72.
配置过程表2-5配置用户通过Console口登录设备时采用密码认证操作命令说明进入系统视图system-view-进入AUX用户界面视图user-interfaceauxfirst-number[last-number]-设置登录用户的认证方式为本地口令认证authentication-modepassword必选缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)设置本地验证的口令setauthenticationpassword{cipher|simple}password必选缺省情况下,没有设置本地认证的口令配置AUX用户界面的公共属性-可选详细配置请参见2.
2.
7配置Console口登录方式的公共属性(可选)配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如),如图2-8所示.
图2-8用户通过Console口登录设备时采用密码认证登录界面2.
2.
6配置通过Console口登录设备时采用AAA认证(Scheme)1.
配置前提用户已经成功的登录到了设备上,并希望以后通过Console口登录设备时采用AAA认证、以提高设备的安全性.
2-8缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2.
配置过程表2-6配置用户通过Console口登录设备时采用AAA认证操作命令说明进入系统视图system-view-进入AUX用户界面视图user-interfaceauxfirst-number[last-number]-设置登录用户的认证方式为通过认证方案认证authentication-modescheme必选具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)使能命令行授权功能commandauthorization可选z缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权z缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行.
配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制.
即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行.
使能命令行计费功能commandaccounting可选z缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行z命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作.
命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录.
退出至系统视图quit-配置设备采用的认进入ISP域视图domaindomain-name可选缺省情况下,系统使用的AAA方案为2-9操作命令说明配置域使用的AAA方案authenticationdefault{hwtacacs-schemehwtacacs-scheme-name[local]|local|none|radius-schemeradius-scheme-name[local]}证方案退出至系统视图quitlocal如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:z设备上的RADIUS、HWTACACS方案配置请参见"安全配置指导"中的"AAA"zAAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书创建本地用户(进入本地用户视图)local-useruser-name必选缺省情况下,无本地用户设置本地用户认证口令password{cipher|simple}password必选设置本地用户的命令级别authorization-attributelevellevel可选缺省情况下,命令级别为0设置本地用户的服务类型service-typeterminal必选缺省情况下,无用户服务类型配置AUX用户界面的公共属性-可选详细配置请参见2.
2.
7配置Console口登录方式的公共属性(可选)使能命令行授权功能后,还需要进行如下配置才能保证命令行授权功能生效:z需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA".
z需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见"安全配置指导"中的"AAA".
使能命令行计费功能后,还需要进行如下配置才能保证命令行计费功能生效:z需要创建HWTACACS方案,在方案中指定计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA".
z需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见"安全配置指导"中的"AAA".
需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别.
2-10zAAA方案为local认证时,用户级别通过authorization-attributelevellevel命令设定.
zAAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别.
有关AAA、RADIUS、HWTACACS的详细内容,请参见"安全配置指导"中的"AAA".
配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如),如图2-9所示.
图2-9用户通过Console口登录设备时AAA认证登录界面2.
2.
7配置Console口登录方式的公共属性(可选)Console口登录方式的公共属性配置,如表2-7所示.
表2-7Console口登录方式公共属性配置操作命令说明进入系统视图system-view-使能显示版权信息copyright-infoenable可选缺省情况下,显示版权信息处于使能状态进入AUX用户界面视图user-interfaceauxfirst-number[last-number]-配置AUX用户界面的属性配置传输速率speedspeed-value可选缺省情况下,Console口使用的传输速率为9600bit/s传输速率为设备与访问终端之间每秒钟传送的比特的个数2-11操作命令说明配置校验方式parity{even|mark|none|odd|space}可选缺省情况下,Console口的校验方式为none,即不进行校验配置停止位stopbits{1|1.
5|2}可选缺省情况下,Console口的停止位为1停止位用来表示单个包的结束.
停止位的位数越多,传输效率越低配置数据位databits{5|6|7|8}可选缺省情况下,Console口的数据位为8位数据位的设置取决于需要传送的信息.
比如,如果传送的是标准的ASCII码,则可以将数据位设置为7,如果传输的是扩展的ASCII码,则需要将数据位设置为8配置启动终端会话的快捷键activation-keycharacter可选缺省情况下,按键启动终端会话配置中止当前运行任务的快捷键escape-key{default|character}可选缺省情况下,键入中止当前运行的任务配置流量控制方式flow-control{hardware|none|software}可选缺省情况下,流量控制方式为none配置终端的显示类型terminaltype{ansi|vt100}可选缺省情况下,终端显示类型为ANSI当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象.
建议两端都设置为VT100类型设置用户登录后可以访问的命令级别userprivilegelevellevel可选缺省情况下,从AUX用户界面登录后可以访问的命令级别为3级设置终端屏幕一屏显示的行数screen-lengthscreen-length可选缺省情况下,终端屏幕一屏显示的行数为24行screen-length0表示关闭分屏显示功能设置历史命令缓冲区大小history-commandmax-sizevalue可选缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令设置用户界面的超时时间idle-timeoutminutes[seconds]可选缺省情况下,所有的用户界面的超时时间为10分钟,如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开idle-timeout0表示关闭用户界面的超时功能2-12改变Console口属性后会立即生效,所以通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性.
若用户需要通过Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口属性保持一致.
2.
3配置通过Telnet登录设备2.
3.
1通过Telnet登录设备简介设备支持Telnet功能,用户可以通过Telnet方式登录到设备上,对设备进行远程管理和维护.
如图2-10.
图2-10通过Telnet登录设备示意图表2-8采用Telnet方式登录需要具备的条件对象需要具备的条件配置设备VLAN的IP地址,设备与Telnet用户间路由可达Telnet服务器端配置Telnet登录的认证方式和其它配置(根据Telnet服务器端的情况而定)运行Telnet程序Telnet客户端获取要登录设备VLAN接口的IP地址设备充当TelnetClient:z设备支持TelnetClient功能、可作为TelnetClient登录到TelnetServer上,从而对其进行操作.
z缺省情况下,设备的TelnetClient功能处于开启状态.
设备充当TelnetServer:z设备支持TelnetServer功能、可作为TelnetServer,并可在设备上进行一系列的配置,从而实现对不同TelnetClient登录的具体认证方式、用户级别等方面的控制与管理.
z缺省情况下,设备的TelnetServer功能处于关闭状态,即在缺省情况下用户不能通过Telnet登录到设备上.
因此当您使用Telnet方式登录设备前,首先需要通过Console口登录到设备上,开启TelnetServer功能,对认证方式、用户级别及公共属性进行相应的配置,才能保证通过Telnet方式正常登录到设备.
本节将为您介绍设备充当Telnet服务器端时:z设备支持的各种登录认证方式及配置Telnet登录认证方式的意义、各种认证方式的特点及注意事项.
具体介绍请参见2.
3.
2Telnet登录的认证方式介绍.
2-13z当用户确定了今后通过Telnet客户端登录设备时将采用何种认证方式后、并已成功登录到设备后,用户如何在设备上配置Telnet客户端登录设备时的认证方式、用户级别及公共属性,从而实现对Telnet登录用户的控制和管理.
具体介绍请参见2.
3.
3配置通过TelnetClient登录设备时无需认证(None)、2.
3.
4配置通过TelnetClient登录设备时采用密码认证(Password)及2.
3.
5配置通过TelnetClient登录设备时采用AAA认证(Scheme).
z配置通过Telnet登录设备时的公共属性.
具体介绍请参见2.
3.
6配置VTY用户界面的公共属性(可选).
本节还将为您介绍设备充当Telnet客户端、Telnet登录到Server时的配置,具体请参见2.
3.
7配置设备充当TelnetClient登录TelnetServer.
2.
3.
2Telnet登录的认证方式介绍通过在Telnet的用户界面下配置认证方式,可以对使用Telnet登录的用户进行限制,以提高设备的安全性.
通过Telnet登录支持的认证方式有none、password和scheme三种.
z认证方式为none:表示下次使用Telnet登录设备时不需要进行用户名和密码认证,任何人都可以通过Telnet登录到设备上,这种情况可能会带来安全隐患.
z认证方式为password:表示下次使用Telnet登录设备时需要进行密码认证,只有密码认证成功,用户才能登录到设备上.
配置认证方式为password后,请妥善保存密码,如果密码丢失,可以使用Console口登录到设备,对Telnet的密码配置进行查看或修改.
z认证方式为scheme:表示下次使用Telnet登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败.
用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码.
有关用户认证方式及参数的详细介绍请参见"安全配置指导"中的"AAA".
配置认证方式为scheme后,请妥善保存用户名及密码,如果本地认证密码丢失,可以使用Console口登录到设备,对Telnet的密码配置进行查看或修改.
如果远程认证密码丢失,建议您联系服务器管理员.
不同的认证方式下,Telnet登录方式需要进行的配置不同,具体配置如表2-9所示.
表2-9配置Telnet登录的认证方式认证方式认证所需配置说明None设置登录用户的认证方式为不认证具体内容请参见2.
3.
3设置登录用户的认证方式为Password认证Password设置本地验证的口令具体内容请参见2.
3.
4设置登录用户的认证方式为Scheme认证在设备上配置RADIUS/HWTACACS方案在设备上配置域使用的AAA方案采用远端AAA服务器认证在AAA服务器上配置相关的用户名和密码在设备上配置认证用户名和密码Scheme选择认证方案采用本地认证在设备上配置域使用的AAA方案为本地认证具体内容请参见2.
3.
52-142.
3.
3配置通过TelnetClient登录设备时无需认证(None)1.
配置前提用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时无需进行认证.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2.
配置过程表2-10认证方式为None的配置操作命令说明进入系统视图system-view-使能设备的Telnet服务telnetserverenable必选缺省情况下,Telnet服务处于关闭状态进入一个或多个VTY用户界面视图user-interfacevtyfirst-number[last-number]-设置VTY登录用户的认证方式为不认证authentication-modenone必选缺省情况下,VTY用户界面的认证方式为password配置从当前用户界面登录系统的用户所能访问的命令级别userprivilegelevellevel必选缺省情况下,通过VTY用户界面登录系统所能访问的命令级别是0配置VTY用户界面的公共属性-可选详细配置请参见2.
3.
6配置VTY用户界面的公共属性(可选)配置完成后,当用户再次通过Telnet登录设备时:z用户将直接进入VTY用户界面,如图2-11所示.
z如果出现"Alluserinterfacesareused,pleasetrylater!
"的提示,表示当前Telnet到设备的用户过多,则请稍候再连接.
2-15图2-11用户通过Telnet登录设备时无需认证登录界面2.
3.
4配置通过TelnetClient登录设备时采用密码认证(Password)1.
配置前提用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行密码认证.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2.
配置过程表2-11认证方式为Password的配置操作命令说明进入系统视图system-view-使能设备的Telnet服务telnetserverenable必选缺省情况下,Telnet服务处于关闭状态进入一个或多个VTY用户界面视图user-interfacevtyfirst-number[last-number]-设置登录用户的认证方式为本地口令认证authentication-modepassword必选缺省情况下,VTY用户界面的认证方式为password设置本地验证的口令setauthenticationpassword{cipher|simple}password必选缺省情况下,没有设置本地认证的口令配置从当前用户界面登录系统的用户所能访问的命令级别userprivilegelevellevel必选缺省情况下,通过VTY用户界面登录系统所能访问的命令级别是02-16操作命令说明配置VTY用户界面的公共属性-可选详细配置请参见2.
3.
6配置VTY用户界面的公共属性(可选)配置完成后,当用户再次通过Telnet登录设备时:z设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如),如图2-12所示.
z如果出现"Alluserinterfacesareused,pleasetrylater!
"的提示,表示当前Telnet到设备的用户过多,则请稍候再连接.
图2-12配置用户通过Telnet登录设备时采用密码认证登录界面2.
3.
5配置通过TelnetClient登录设备时采用AAA认证(Scheme)1.
配置前提用户已经成功登录到了设备上,并希望将设备作为TelnetServer从而登录设备时需要进行AAA认证.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2.
配置过程表2-12配置用户通过Telnet登录设备时采用AAA认证操作命令说明进入系统视图system-view-使能设备的Telnet服务telnetserverenable必选缺省情况下,Telnet服务处于关闭状态2-17操作命令说明进入一个或多个VTY用户界面视图user-interfacevtyfirst-number[last-number]-设置登录用户的认证方式为通过认证方案认证authentication-modescheme必选具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定缺省情况下采用本地认证方式使能命令行授权功能commandauthorization可选缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权z需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA"z需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见"安全配置指导"中的"AAA"使能命令行计费功能commandaccounting可选z缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行z命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作.
命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录.
退出至系统视图quit-进入ISP域视图domaindomain-name配置域使用的AAA方案authenticationdefault{hwtacacs-schemehwtacacs-scheme-name[local]|local|none|radius-schemeradius-scheme-name[local]}配置设备采用的认证方案退出至系统视图quit可选缺省情况下,系统使用的AAA方案为local如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:z设备上的配置请参见"安全配置指导"中的"AAA"zAAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书创建本地用户(进入本地用户视图)local-useruser-name缺省情况下,无本地用户2-18操作命令说明设置本地认证口令password{cipher|simple}password必选缺省情况下,没有配置本地认证口令设置VTY用户的命令级别authorization-attributelevellevel可选缺省情况下,命令级别为0设置VTY用户的服务类型service-typetelnet必选缺省情况下,无用户的服务类型退出至系统视图quit-配置VTY用户界面的公共属性-可选详细配置请参见2.
3.
6配置VTY用户界面的公共属性(可选)使能命令行授权功能后,还需要进行如下配置才能保证命令行授权功能生效:z需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA".
z需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见"安全配置指导"中的"AAA".
使能命令行计费功能后,还需要进行如下配置才能保证命令行计费功能生效:z需要创建HWTACACS方案,在方案中指定计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA".
z需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见"安全配置指导"中的"AAA".
需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别.
zAAA方案为local认证时,用户级别通过authorization-attributelevellevel命令设定.
zAAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别.
有关AAA、RADIUS、HWTACACS的详细内容,请参见"安全配置指导"中的"AAA"的介绍.
配置完成后,当用户再次通过Telnet登录设备时:z设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如),如图2-13所示.
2-19z如果用户输入正确的登录用户名和密码后,设备提示用户再次输入一个指定类型的密码,则表示当前用户需要进行二次密码认证,即用户还必须根据提示信息输入一个正确的密码后才能通过认证.
z如果出现"Alluserinterfacesareused,pleasetrylater!
"的提示,表示当前Telnet到设备的用户过多,则请稍候再连接.
图2-13用户通过Telnet登录设备时AAA认证登录界面2.
3.
6配置VTY用户界面的公共属性(可选)表2-13VTY用户界面的公共属性配置操作命令说明进入系统视图system-view-使能显示版权信息copyright-infoenable可选缺省情况下,显示版权信息处于使能状态进入一个或多个VTY用户界面视图user-interfacevtyfirst-number[last-number]-启动终端服务shell可选缺省情况下,在所有的用户界面上启动终端服务配置VTY用户界面支持的协议protocolinbound{all|ssh|telnet}可选缺省情况下,设备同时支持Telnet和SSH协议使用该命令配置的协议将在用户下次使用该用户界面登录时生效VTY用户界面配置配置中止当前运行任务的快捷键escape-key{default|character}可选缺省情况下,键入中止当前运行的任务2-20操作命令说明配置终端的显示类型terminaltype{ansi|vt100}可选缺省情况下,终端显示类型为ANSI设置终端屏幕一屏显示的行数screen-lengthscreen-length可选缺省情况下,终端屏幕一屏显示的行数为24行screen-length0表示关闭分屏显示功能设置设备历史命令缓冲区大小history-commandmax-sizevalue可选缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令设置VTY用户界面的超时时间idle-timeoutminutes[seconds]可选缺省情况下,所有的用户界面的超时时间为10分钟如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开idle-timeout0表示关闭用户界面的超时功能设置从用户界面登录后自动执行的命令auto-executecommandcommand可选缺省情况下,未设定自动执行命令配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接.
如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接.
该命令通常用来配置Telnet命令,使用户登录时自动连接到指定的主机z使用auto-executecommand命令后,可能导致用户不能通过该终端线对本系统进行常规配置,需谨慎使用.
z在配置auto-executecommand命令并保存配置(执行save操作)之前,要确保可以通过其他VTY、AUX用户登录进来更改配置,以便出现问题后,能删除该配置.
2.
3.
7配置设备充当TelnetClient登录TelnetServer1.
配置前提用户已经成功登录到了设备上,并希望将当前设备作为TelnetClient登录到TelnetServer上进行操作.
具体请参见图2-14所示.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2-21图2-14通过交换机登录到其它交换机如果TelnetClient与TelnetServer相连的端口不在同一子网内,请确保两台设备间路由可达.
2.
配置过程表2-14设备作为TelnetClient登录到TelnetServer的配置操作命令说明telnetremote-host[service-port][[vpn-instancevpn-instance-name]|[source{interfaceinterface-typeinterface-number|ipip-address}]]设备作为TelnetClient登录到TelnetServertelnetipv6remote-host[-iinterface-typeinterface-number][port-number][vpn-instancevpn-instance-name]二者必选其一此命令在用户视图下执行指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口telnetclientsource{interfaceinterface-typeinterface-number|ipip-address}可选缺省情况下,没有指定发送Telnet报文的源IPv4地址和源接口,此时通过路由选择源IPv4地址配置完成后,设备即可登录到相应的TelnetServer上.
2.
4配置通过SSH登录2.
4.
1通过SSH登录设备简介SSH是SecureShell(安全外壳)的简称.
用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击.
设备支持SSH功能,用户可以通过SSH方式登录到设备上,对设备进行远程管理和维护如图2-15所示.
图2-15通过SSH登录表2-15采用SSH方式登录需要具备的条件对象需要具备的条件SSH服务器端配置设备VLAN接口的IP地址,设备与SSH客户端间路由可达2-22对象需要具备的条件配置SSH登录的认证方式和其它配置(根据SSH服务器端的情况而定)如果是主机作为SSH客户端,则需要在主机上运行SSH客户端程序SSH客户端获取要登录设备VLAN接口的IP地址设备可以作为SSHClient登录到SSHServer上,从而对其进行操作.
设备可以充当SSHServer:z设备支持SSHServer功能:可作为SSHServer,并可在设备上进行一系列的配置、实现对不同SSHClient的登录权限的控制.
z缺省情况下,设备的SSHServer功能处于关闭状态,因此当您使用SSH方式登录设备前,首先需要通过Console口登录到设备上,开启设备的SSHServer功能、对认证方式及其它属性进行相应的配置,才能保证通过SSH方式正常登录到设备.
本节将为您介绍:z设备充当SSH服务器端时:当用户确定了今后通过SSH客户端登录设备、并已成功登录到设备后,用户如何在设备上配置SSH客户端登录设备时的认证方式及其它属性,从而实现对SSH登录用户的控制和管理.
具体请参见2.
4.
2配置设备充当SSH服务器.
z设备充当SSH客户端时:设备SSH登录到Server时的配置,具体请参见2.
4.
3配置设备充当SSH客户端登录其它设备.
2.
4.
2配置设备充当SSH服务器1.
配置前提用户已经成功登录到了设备上,并希望以后通过SSHClient登录设备.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2.
配置过程表2-16设备充当SSH服务器时的配置操作命令说明进入系统视图system-view-生成本地DSA或RSA密钥对public-keylocalcreate{dsa|rsa}必选缺省情况下,没有生成DSA和RSA密钥对使能SSH服务器功能sshserverenable必选缺省情况下,SSH服务器功能处于关闭状态进入VTY用户界面视图user-interfacevtyfirst-number[last-number]-配置登录用户界面的认证方式为scheme方式authentication-modescheme必选缺省情况下,用户界面认证为password方式2-23操作命令说明配置所在用户界面支持SSH协议protocolinbound{all|ssh}可选缺省情况下,系统支持所有的协议,即支持Telnet和SSH使能命令行授权功能commandauthorization可选缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权z需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA"z需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见"安全配置指导"中的"AAA"使能命令行计费功能commandaccounting可选z缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行z命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作.
命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录退出至系统视图quit-进入ISP域视图domaindomain-name配置域使用的AAA方案authenticationdefault{hwtacacs-schemehwtacacs-scheme-name[local]|local|none|radius-schemeradius-scheme-name[local]}配置设备采用的认证方案退出至系统视图quit可选缺省情况下,系统使用的AAA方案为local如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:z设备上的配置请参见"安全配置指导"中的"AAA"zAAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书2-24操作命令说明创建本地用户(进入本地用户视图)local-useruser-name必选缺省情况下,没有配置本地用户设置本地认证口令password{cipher|simple}password必选缺省情况下,没有配置本地认证口令设置VTY用户的命令级别authorization-attributelevellevel可选缺省情况下,命令级别为0设置VTY用户的服务类型service-typessh必选缺省情况下,无用户的服务类型退出至系统视图quit-建立SSH用户,并指定SSH用户的认证方式sshuserusernameservice-typestelnetauthentication-type{password|{any|password-publickey|publickey}assignpublickeykeyname}必选缺省情况下,没有配置SSH用户及SSH用户的认证方式配置VTY用户界面的公共属性-可选详细配置请参见2.
3.
6配置VTY用户界面的公共属性(可选)本章只介绍采用password方式认证SSH客户端的配置方法,publickey方式的配置方法及SSH的详细介绍,请参见"安全配置指导"中的"SSH2.
0".
使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:z需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;z需要在ISP域中引用已创建的HWTACACS方案.
详细介绍请参见"安全配置指导"中的"AAA".
2-25z用户采用password认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别.
AAA方案为local认证时,用户级别通过authorization-attributelevellevel命令设定;AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别.
有关AAA、RADIUS、HWTACACS的详细内容,请参见"AAA配置指导"中的"AAA".
z用户采用publickey认证方式登录设备时,其所能访问的命令级别取决于用户界面上通过userprivilegelevel命令配置的级别2.
4.
3配置设备充当SSH客户端登录其它设备1.
配置前提用户已经成功登录到了设备上,并希望将当前设备作为SSHClient登录到其它设备上进行操作.
具体请参见图2-14所示.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
图2-16通过交换机设备登录到其它交换机设备如果SSHClient与SSHServer相连的端口不在同一子网内,请确保两台设备间路由可达.
2.
配置过程表2-17设备作为SSHClient登录到其它设备的配置操作命令说明设备作为SSHClient登录到SSHIPv4服务器端ssh2server必选server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写此命令在用户视图下执行设备作为SSHClient登录到SSHIPv6服务器端ssh2ipv6server必选server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写.
2-26为配合SSHServer,设备充当SSHClient时还可进一步进行其它配置,具体请参见"安全配置指导"中的"SSH2.
0".
配置完成后,设备即可登录到相应的SSHServer上.
2.
5配置通过Modem登录设备2.
5.
1通过Modem登录设备简介网络管理员可以通过设备的Console口,利用一对Modem和PSTN(PublicSwitchedTelephoneNetwork,公共电话交换网)拔号登录到设备上,对远程设备进行管理和维护.
这种登录方式一般适用于在网络中断的情况下,利用PSTN网络对设备进行远程管理、维护及故障定位.
本节将为您介绍如何通过Modem登录设备,并配置登录时的认证方式、用户级别及公共属性,实现对Modem登录用户的控制.
本节将为您介绍:z设备支持Modem登录认证方式及配置Modem登录认证方式的意义、各种认证方式的特点及注意事项.
具体请参见2.
5.
3Modem拨号登录的认证方式介绍.
z当用户确定了今后通过Modem登录设备时将采用何种认证方式后、并通过缺省配置登录到设备后,用户如何在设备上配置Modem登录设备时的认证方式及用户级别,实现对Modem登录用户的控制和管理.
具体请参见2.
5.
4配置用户通过Modem登录设备时无需认证(None)、2.
5.
5配置用户通过Modem登录设备时采用密码认证(Password)及2.
5.
6配置用户通过Modem登录设备时采用AAA认证(Scheme).
z配置通过Modem登录设备时的公共属性.
具体请参见2.
2.
7配置Console口登录方式的公共属性(可选).
2.
5.
2缺省配置下如何通过Modem登录设备缺省情况下,用户通过Modem登录设备时,设备不需要任何登录认证,缺省可以访问命令级别为3级的命令.
通过Modem登录设备的方法如下:表2-18通过Console口利用Modem拨号进行远程登录需要具备的条件配置对象需要具备的条件PC终端与Modem正确连接Modem与可正常使用的电话线正确相连网络管理员端获取了远程设备端Console口所连Modem上对应的电话号码Console口与Modem正确连接在Modem上进行了正确的配置Modem与可正常使用的电话线正确相连设备端设备上配置了登录用户的认证方式、用户级别及其它配置2-27(1)如图2-17所示,建立远程配置环境,在PC机(或终端)的串口和设备的Console口分别挂接Modem.
图2-17搭建远程配置环境(2)网络管理员端的相关配置.
PC终端与Modem正确连接、Modem与可正常使用的电话线正确相连、获取了远程设备端Console口所连Modem上对应的电话号码.
利用Modem拨号进行远程登录时,使用的是AUX用户界面,设备上的配置需要注意以下几点:zConsole口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象.
zConsole口的校验方式、停止位、数据位等均采用缺省值.
(3)在与设备直接相连的Modem上进行以下配置.
AT&F-Modem恢复出厂配置ATS0=1-配置自动应答(振铃一声)AT&D-忽略DTR信号AT&K0-禁止流量控制AT&R1-忽略RTS信号AT&S0-强制DSR为高电平ATEQ1&W-禁止modem回送命令响应和执行结果并存储配置在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果.
各种Modem配置命令及显示的结果有可能不一样,具体操作请参照Modem的说明书进行.
(4)在PC机上运行终端仿真程序(如WindowsXP/Windows2000的超级终端等,以下配置以WindowsXP为例),新建一个拨号连接(所拨号码为与设备相连的Modem的电话号码),与设备建立连接,如图2-18至图2-20所示.
如果您的PC使用的是Windows2003Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows2008Server、Windows7、WindowsVista或其他操作系统,请您准备第三方的拨号控制软件,使用方法请参照软件的使用指导或联机帮助.
(5)在远端通过终端仿真程序和Modem向设备拨号2-28图2-18新建连接图2-19拨号号码配置图2-20在远端PC机上拨号(6)当听到拨号音后,超级终端窗口将返回字符串"CONNECT9600",键入回车键之后将出现命令行提示符(如),如图2-21所示.
2-29图2-21Console口登录界面(7)如果配置验证方式为Password,在远端的终端仿真程序上输入已配置的登录口令,出现命令行提示符(如),即可对设备进行配置或管理.
需要帮助可以随时键入"",具体的配置命令请参考本手册中相关模块的内容.
(8)键入命令,配置设备或查看设备运行状态.
需要帮助可以随时键入"",具体的配置命令请参考本手册中相关部分的内容.
z当您想断开PC与远端设备的连接时,首先在超级终端中用命用"ATH"命令断开modem间的连接.
如果在超级终端窗口无法输入此命令,可输入"AT+++"并回车,待窗口显示"OK"提示后再输入"ATH"命令,屏幕再次显示"OK"提示,表示已断开本次连接.
您也可以使用超级终端页面提供的挂断按扭断开PC与远端设备的连接.
z当您使用完超级终端仿真程序后,务必要先断开PC与远端设备的连接,不能直接关闭超级终端,否则有些型号的远程modem将一直在线,下次拨号连接时将无法拨号成功.
2.
5.
3Modem拨号登录的认证方式介绍通过在AUX用户界面下配置认证方式,可以对使用Modem拨号登录的用户进行限制,以提高设备的安全性.
Modem拨号支持的认证方式有none、password和scheme三种.
z认证方式为none:表示下次使用Modem拨号登录设备时,不需要进行用户名和密码认证、任何人都可以通过Modem拨号登录到设备上,这种情况可能会带来安全隐患.
z认证方式为password:表示下次使用Modem拨号登录设备时,需要进行密码认证、只有密码认证成功、用户才能登录到设备上.
配置认证方式为password后,请妥善保存密码.
z认证方式为scheme:表示下次使用Modem拨号登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败.
用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配2-30置用户名和密码.
有关用户认证方式及参数的详细介绍请参见"安全配置指导"中的"AAA".
配置认证方式为scheme后,请妥善保存用户名及密码.
不同的认证方式下,Modem拨号登录方式需要进行的配置不同,具体配置如表2-3所示.
表2-19配置任务简介认证方式认证所需配置说明None设置登录用户的认证方式为不认证具体内容请参见2.
5.
4设置登录用户的认证方式为Password认证Password设置本地验证的口令具体内容请参见2.
5.
5设置登录用户的认证方式为Scheme认证在设备上配置RADIUS/HWTACACS方案在设备上配置域使用的AAA方案采用远端AAA服务器认证在AAA服务器上配置相关的用户名和密码在设备上配置认证用户名和密码Scheme选择认证方案采用本地认证在设备上配置域使用的AAA方案为本地认证具体内容请参见2.
5.
6改变Modem拨号登录方式的认证方式后,该认证方式的设置不会立即生效.
用户需要退出命令行接口后重新登录,该设置才会生效.
2.
5.
4配置用户通过Modem登录设备时无需认证(None)1.
配置前提用户已经成功登录到了设备上,并希望以后通过Modem拨号登录设备时无需进行认证.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2.
配置过程表2-20配置用户通过Modem拨号登录设备时无需认证操作命令说明进入系统视图system-view-进入AUX用户界面视图user-interfaceauxfirst-number[last-number]-2-31操作命令说明设置登录用户的认证方式为不认证authentication-modenone必选缺省情况下,用户通过Modem拨号登录,认证方式为none(即不需要进行认证)配置AUX用户界面的公共属性-可选详细配置请参见2.
5.
7配置AUX用户界面的公共属性(可选)配置完成后,当用户再次通过Modem拨号登录设备时,设备将提示用户键入回车,之后将出现命令行提示符(如),如图2-22所示.
图2-22用户通过Modem拨号登录设备时无需认证登录界面2.
5.
5配置用户通过Modem登录设备时采用密码认证(Password)1.
配置前提用户已经成功登录到了设备上,并希望以后通过Modem拨号登录设备时采用密码认证、以提高设备的安全性.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2.
配置过程表2-21配置用户通过Modem拨号登录设备时采用密码认证操作命令说明进入系统视图system-view-进入AUX用户界面视图user-interfaceauxfirst-number[last-number]-2-32操作命令说明设置登录用户的认证方式为本地口令认证authentication-modepassword必选缺省情况下,用户通过Modem登录,认证方式为none(即不需要进行认证)设置本地验证的口令setauthenticationpassword{cipher|simple}password必选缺省情况下,没有设置本地认证的口令配置AUX用户界面的公共属性-可选详细配置请参见2.
5.
7配置AUX用户界面的公共属性(可选)配置完成后,当用户再次通过Modem拨号登录设备时,键入回车后,设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如),如图2-23所示.
图2-23用户通过Modem拨号登录设备时采用密码认证登录界面2.
5.
6配置用户通过Modem登录设备时采用AAA认证(Scheme)1.
配置前提用户已经成功的登录到了设备上,并希望以后通过Modem拨号登录设备时采用AAA认证、以提高设备的安全性.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2-332.
配置过程表2-22配置用户通过Modem拨号登录设备时采用AAA认证操作命令说明进入系统视图system-view-进入AUX用户界面视图user-interfaceauxfirst-number[last-number]-设置登录用户的认证方式为通过认证方案认证authentication-modescheme必选具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定缺省情况下,用户通过AUX用户界面登录,认证方式为none(即不需要进行认证)使能命令行授权功能commandauthorization可选z缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权z缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行.
配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制.
即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行.
使能命令行计费功能commandaccounting可选z缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行z命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作.
命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录.
退出至系统视图quit-进入ISP域视图domaindomain-name配置设备采用的认证方案配置域使用的AAA方案authenticationdefault{hwtacacs-schemehwtacacs-scheme-name[local]|local|none|radius-schemeradius-scheme-name[local]}可选缺省情况下,系统使用的AAA方案为local如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认2-34操作命令说明退出至系统视图quit证,则需进行如下配置:z设备上的RADIUS、HWTACACS方案配置请参见"安全配置指导"中的"AAA"zAAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书创建本地用户(进入本地用户视图)local-useruser-name必选缺省情况下,无本地用户设置本地用户认证口令password{cipher|simple}password必选设置本地用户的命令级别authorization-attributelevellevel可选缺省情况下,命令级别为0设置本地用户的服务类型service-typeterminal必选缺省情况下,无用户服务类型配置AUX用户界面的公共属性-可选详细配置请参见2.
5.
7配置AUX用户界面的公共属性(可选)使能命令行授权功能后,还需要进行如下配置才能保证命令行授权功能生效:z需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA".
z需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见"安全配置指导"中的"AAA".
使能命令行计费功能后,还需要进行如下配置才能保证命令行计费功能生效:z需要创建HWTACACS方案,在方案中指定计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA".
z需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见"安全配置指导"中的"AAA".
需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别.
zAAA方案为local认证时,用户级别通过authorization-attributelevellevel命令设定.
zAAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别.
有关AAA、RADIUS、HWTACACS的详细内容,请参见"安全配置指导"中的"AAA"的介绍.
2-35配置完成后,当用户再次通过Modem拨号登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如),如图2-6所示.
图2-24用户通过Modem拨号登录设备时AAA认证登录界面2.
5.
7配置AUX用户界面的公共属性(可选)表2-23AUX用户界面的公共属性配置操作命令说明进入系统视图system-view-使能显示版权信息copyright-infoenable可选缺省情况下,显示版权信息处于使能状态进入AUX用户界面视图user-interfaceauxfirst-number[last-number]-配置传输速率speedspeed-value可选缺省情况下,传输速率为9600bit/s传输速率为设备与访问终端之间每秒钟传送的比特的个数配置校验方式parity{even|mark|none|odd|space}可选缺省情况下,校验方式为none,即不进行校验配置AUX用户界面的属性配置停止位stopbits{1|1.
5|2}可选缺省情况下,停止位为1停止位用来表示单个包的结束.
停止位的位数越多,传输效率越低2-36操作命令说明配置数据位databits{5|6|7|8}可选缺省情况下,数据位为8位数据位的设置取决于需要传送的信息.
比如,如果传送的是标准的ASCII码,则可以将数据位设置为7,如果传输的是扩展的ASCII码,则需要将数据位设置为8配置启动终端会话的快捷键activation-keycharacter可选缺省情况下,按键启动终端会话配置中止当前运行任务的快捷键escape-key{default|character}可选缺省情况下,键入中止当前运行的任务配置流量控制方式flow-control{hardware|none|software}可选缺省情况下,流量控制方式为none配置终端的显示类型terminaltype{ansi|vt100}可选缺省情况下,终端显示类型为ANSI当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象.
建议两端都设置为VT100类型设置用户登录后可以访问的命令级别userprivilegelevellevel可选缺省情况下,从AUX用户界面登录后可以访问的命令级别为3级设置终端屏幕一屏显示的行数screen-lengthscreen-length可选缺省情况下,终端屏幕一屏显示的行数为24行screen-length0表示关闭分屏显示功能设置历史命令缓冲区大小history-commandmax-sizevalue可选缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令设置用户界面的超时时间idle-timeoutminutes[seconds]可选缺省情况下,所有的用户界面的超时时间为10分钟,如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开idle-timeout0表示关闭用户界面的超时功能2-37z改变Console口属性后会立即生效,通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性.
若用户需要通过Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口属性保持一致.
zConsole口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象.
2.
6CLI登录显示和维护表2-24CLI显示和维护操作命令说明显示当前为TelnetClient设置的源IP地址或源接口的信息displaytelnetclientconfiguration[|{begin|exclude|include}regular-expression]在任意视图下执行显示当前正在使用的用户界面以及用户的相关信息displayusers[|{begin|exclude|include}regular-expression]在任意视图下执行显示设备支持的所有用户界面以及用户的相关信息displayusersall[|{begin|exclude|include}regular-expression]在任意视图下执行显示用户界面的相关信息displayuser-interface[num1|{aux|vty}num2][summary][|{begin|exclude|include}regular-expression]在任意视图下执行释放指定的用户界面freeuser-interface{num1|{aux|vty}num2}在用户视图下执行系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以使用以下命令强制断开该用户的连接.
不能使用该命令释放用户当前自己使用的连接.
锁住当前用户界面lock在用户视图下执行缺省情况下,不锁住当前用户界面设置在用户界面之间传递消息send{all|num1|{aux|vty}num2}在用户视图下执行3-13配置通过Web网管登录设备3.
1通过Web网管登录设备简介为了方便您对网络设备进行配置和维护,设备提供Web网管功能.
设备提供一个内置的Web服务器,您可以通过PC登录到设备上,使用Web界面直观地配置和维护设备.
缺省情况下,用户不能通过Web登录到设备上,如果要使用Web登录设备,您首先需要通过Console口登录到设备上,开启设备的Web登录功能(开启HTTP或HTTPS协议),并配置设备VLAN接口的IP地址、Web登录用户及认证口令等,配置完成后,您即可使用Web网管的方式登录设备.
设备支持两种内置的Web登录方式:zHTTP登录方式:HTTP是HypertextTransferProtocol(超文本传输协议)的简称.
它用来在Internet上传递Web页面信息.
HTTP位于TCP/IP协议栈的应用层.
传输层采用面向连接的TCP.
目前,设备支持的HTTP协议版本为HTTP/1.
0.
zHTTPS登录方式:HTTPS(SecureHTTP,安全的HTTP)是支持SSL(SecureSocketsLayer,安全套接层)协议的HTTP协议.
HTTPS通过SSL协议,使客户端与设备之间交互的数据经过加密处理,并为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备,从而实现了对设备的安全管理.
表3-1通过Web登录设备需要具备的条件对象需要具备的条件配置设备VLAN的IP地址,设备与Web登录用户间路由可达HTTP方式配置设备配置Web登录用户的属性二者必选其一HTTPS方式配置运行Web浏览器Web登录用户获取要登录设备VLAN接口的IP地址本节将为您介绍如何通过Web登录设备,并配置通过Web登录时的认证方式及用户级别等,实现对Web登录用户的控制.
3.
2配置通过HTTP方式登录设备表3-2配置通过HTTP方式登录设备操作命令说明进入系统视图system-view-启动HTTP服务器iphttpenable必选缺省情况下,Web服务器为启动状态3-2操作命令说明配置HTTP服务的端口号iphttpportport-number可选缺省情况下,HTTP服务的端口号为80如果重复执行此命令,HTTP服务将使用最后一次配置的端口号配置HTTP服务与ACL关联iphttpaclacl-number可选缺省情况下,没有ACL与HTTP服务关联通过将HTTP服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问设备创建本地用户(进入本地用户视图)local-useruser-name必选缺省情况下,无本地用户配置本地认证口令password{cipher|simple}password必选缺省情况下,无本地认证口令配置Web登录的用户级别authorization-attributelevellevel必选缺省情况下,没有配置Web登录的用户级别配置Web登录用户的服务类型service-typetelnet必选缺省情况下,没有配置用户的服务类型退出至系统视图quit-创建VLAN接口并进入VLAN接口视图interfacevlan-interfacevlan-interface-id必选如果该VLAN接口已经存在,则直接进入该VLAN接口视图配置VLAN接口的IP地址ipaddressip-address{mask|mask-length}必选缺省情况下,没有配置VLAN接口的IP地址3.
3配置通过HTTPS方式登录设备表3-3配置通过HTTPS方式登录设备操作命令说明进入系统视图system-view-3-3操作命令说明配置HTTPS服务与SSL服务器端策略关联iphttpsssl-server-policypolicy-name必选缺省情况下,没有SSL服务器端策略与HTTPS服务关联z关闭HTTPS服务后,系统将自动取消HTTPS服务与SSL服务器端策略的关联.
再次使能HTTPS服务之前,需要重新配置HTTPS服务与SSL服务器端策略关联zHTTPS服务处于使能状态时,对与其关联的SSL服务器端策略进行的修改不会生效使能HTTPS服务iphttpsenable必选缺省情况下,HTTPS服务处于关闭状态使能HTTPS服务,会触发SSL的握手协商过程.
在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程.
由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务.
因此,在这种情况下,需要多次执行iphttpsenable命令,这样HTTPS服务才能正常启动配置HTTPS服务与证书属性访问控制策略关联iphttpscertificateaccess-control-policypolicy-name可选缺省情况下,没有证书属性访问控制策略与HTTPS服务关联z通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制,进一步保证设备的安全性z如果配置HTTPS服务与证书属性访问控制策略关联,则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verifyenable命令,否则,客户端无法登录设备.
z如果配置HTTPS服务与证书属性访问控制策略关联,则证书属性访问控制策略中必须至少包括一条permit规则,否则任何HTTPS客户端都无法登录设备.
z证书属性访问控制策略的详细介绍请参见"安全配置指导"中的"PKI"配置HTTPS服务的端口iphttpsportport-number可选缺省情况下,HTTPS服务的端口号为4433-4操作命令说明配置HTTPS服务与ACL关联iphttpsaclacl-number必选缺省情况下,没有ACL与HTTPS服务关联通过将HTTP服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问设备创建本地用户(进入本地用户视图)local-useruser-name必选缺省情况下,无本地用户配置本地认证口令password{cipher|simple}password必选缺省情况下,无本地认证口令配置Web登录的用户级别authorization-attributelevellevel必选缺省情况下,没有配置Web登录的用户级别配置Web登录用户的服务类型service-typetelnet必选缺省情况下,没有配置用户的服务类型退出至系统视图quit-创建VLAN接口并进入VLAN接口视图interfacevlan-interfacevlan-interface-id必选如果该VLAN接口已经存在,则直接进入该VLAN接口视图配置VLAN接口的IP地址ipaddressip-address{mask|mask-length}必选缺省情况下,没有配置VLAN接口的IP地址3.
4通过Web网管登录设备显示与维护在完成上述配置后,在任意视图下执行display命令可以显示Web用户的信息,通过查看显示信息验证配置的效果.
表3-4Web用户显示操作命令显示Web用户的相关信息displaywebusers[|{begin|exclude|include}regular-expression]显示HTTP的状态信息displayiphttp[|{begin|exclude|include}regular-expression]显示HTTPS的状态信息displayiphttps[|{begin|exclude|include}regular-expression]3-53.
5通过Web网管登录设备典型配置举例3.
5.
1使用HTTP方式登录设备典型配置举例1.
组网需求PC与设备通过以太网相连,设备的IP地址为192.
168.
0.
58/24.
2.
组网图图3-1配置HTTP方式登录组网图3.
配置步骤(1)配置Device#创建VLAN999,用作远程登录,并将Device上与PC相连的接口GigabitEthernet1/0/1加入VLAN999.
system-view[Sysname]vlan999[Sysname-vlan999]portGigabitEthernet1/0/1[Sysname-vlan999]quit#配置VLAN999接口的IP地址为192.
168.
0.
58,子网掩码为255.
255.
255.
0.
[Sysname]interfacevlan-interface999[Sysname-VLAN-interface999]ipaddress192.
168.
0.
58255.
255.
255.
0[Sysname-VLAN-interface999]quit#配置Web网管用户名为admin,认证口令为admin,用户级别为3级.
[Sysname]local-useradmin[Sysname-luser-admin]service-typetelnet[Sysname-luser-admin]authorization-attributelevel3[Sysname-luser-admin]passwordsimpleadmin(2)配置PC#在PC的浏览器地址栏内输入设备的IP地址并回车,浏览器将显示Web网管的登录页面,如图3-2所示:3-6图3-2通过Web登录设备#在"Web网管用户登录"对话框中输入用户名、密码及验证码(此处用户名以admin为例),并选择登录使用的语言,点击按钮后即可登录,显示Web网管初始页面.
成功登录后,您可以在配置区对设备进行各种配置.
3.
5.
2使用HTTPS方式登录设备典型配置举例1.
组网需求用户可以通过Web页面访问和控制设备.
为了防止非法用户访问和控制设备,提高设备管理的安全性,设备要求用户以HTTPS(HTTPSecurity,支持SSL协议的HTTP)的方式登录Web页面,利用SSL协议实现用户身份验证,并保证传输的数据不被窃听和篡改.
为了满足上述需求,需要进行如下配置:z配置Device作为HTTPS服务器,并为Device申请证书.
z为HTTPS客户端Host申请证书,以便Device验证其身份.
其中,负责为Device和Host颁发证书的CA(CertificateAuthority,认证机构)名称为new-ca.
z本配置举例中,采用WindowsServer作为CA.
在CA上需要安装SCEP(SimpleCertificateEnrollmentProtocol,简单证书注册协议)插件.
z进行下面的配置之前,需要确保Device、Host、CA之间路由可达.
3-72.
组网图图3-3HTTPS配置组网图10.
1.
1.
1/2410.
1.
2.
1/24HostCA10.
1.
1.
2/2410.
1.
2.
2/24Device3.
配置步骤(1)配置HTTPS服务器Device#配置PKI实体en,指定实体的通用名为http-server1、FQDN为ssl.
security.
com.
system-view[Device]pkientityen[Device-pki-entity-en]common-namehttp-server1[Device-pki-entity-en]fqdnssl.
security.
com[Device-pki-entity-en]quit#配置PKI域1,指定信任的CA名称为new-ca、注册服务器的URL为http://10.
1.
2.
2/certsrv/mscep/mscep.
dll、证书申请的注册受理机构为RA、实体名称为en.
[Device]pkidomain1[Device-pki-domain-1]caidentifiernew-ca[Device-pki-domain-1]certificaterequesturlhttp://10.
1.
2.
2/certsrv/mscep/mscep.
dll[Device-pki-domain-1]certificaterequestfromra[Device-pki-domain-1]certificaterequestentityen[Device-pki-domain-1]quit#生成本地的RSA密钥对.
[Device]public-keylocalcreatersa#获取CA的证书.
[Device]pkiretrieval-certificatecadomain1#为Device申请证书.
[Device]pkirequest-certificatedomain1#创建SSL服务器端策略myssl,指定该策略使用PKI域1,并配置服务器端需要验证客户端身份.
[Device]sslserver-policymyssl[Device-ssl-server-policy-myssl]pki-domain1[Device-ssl-server-policy-myssl]client-verifyenable[Device-ssl-server-policy-myssl]quit#创建证书属性组mygroup1,并配置证书属性规则,该规则规定证书颁发者的DN(DistinguishedName,可识别名称)中包含new-ca.
[Device]pkicertificateattribute-groupmygroup1[Device-pki-cert-attribute-group-mygroup1]attribute1issuer-namednctnnew-ca[Device-pki-cert-attribute-group-mygroup1]quit#创建证书访问控制策略myacp,并建立控制规则,该规则规定只有由new-ca颁发的证书可以通过证书访问控制策略的检测.
[Device]pkicertificateaccess-control-policymyacp3-8[Device-pki-cert-acp-myacp]rule1permitmygroup1[Device-pki-cert-acp-myacp]quit#配置HTTPS服务与SSL服务器端策略myssl关联.
[Device]iphttpsssl-server-policymyssl#配置HTTPS服务与证书属性访问控制策略myacp关联,确保只有从new-ca获取证书的HTTPS客户端可以访问HTTPS服务器.
[Device]iphttpscertificateaccess-control-policymyacp#使能HTTPS服务.
[Device]iphttpsenable#创建本地用户usera,密码为123,服务类型为telnet.
[Device]local-userusera[Device-luser-usera]passwordsimple123[Device-luser-usera]service-typetelnet(2)配置HTTPS客户端Host在Host上打开IE浏览器,输入网址http://10.
1.
2.
2/certsrv,根据提示为Host申请证书.
(3)验证配置结果在Host上打开IE浏览器,输入网址https://10.
1.
1.
1,选择new-ca为Host颁发的证书,即可打开Device的Web登录页面.
在登录页面,输入用户名usera,密码123,则可进入Device的Web配置页面,实现对Device的访问和控制.
zHTTPS服务器的URL地址以"https://"开始,HTTP服务器的URL地址以"http://"开始.
zPKI配置命令的详细介绍请参见"安全命令参考"中的"PKI";zpublic-keylocalcreatersa命令的详细介绍请参见"安全命令参考"中的"公钥管理";zSSL配置命令的详细介绍请参见"安全命令参考"中的"SSL".
4-14配置通过NMS登录设备4.
1通过NMS登录设备简介用户可通过NMS(NetworkManagementStation,网管工作站)登录到设备上,通过设备上的Agent模块对设备进行管理、配置.
设备支持多种NMS软件,如iMC、CAMS等.
缺省情况下,用户不能通过NMS登录到设备上,如果要使用NMS登录设备,您首先需要通过Console口登录到设备上,在设备上进行相关配置.
配置完成后,您即可使用NMS网管的方式登录设备.
表4-1通过NMS登录设备需要具备的条件对象需要具备的条件配置设备VLAN接口的IP地址,设备与NMS间路由可达设备配置SNMP基本功能NMS(网管工作站)NMS网管工作站进行了正确配置,具体配置请参见NMS附带的网管手册4.
2配置通过NMS登录设备建立配置环境,将PC机以太网口通过网络与设备VLAN1下的以太网口连接,确保PC机和VLAN1接口之间路由可达.
图4-1通过NMS方式登录组网环境表4-2配置SNMP基本参数(SNMPv3版本)操作命令说明进入系统视图system-view-启动SNMPAgent服务snmp-agent可选缺省情况下,SNMPAgent服务处于关闭状态执行此命令或执行snmp-agent的任何一条配置命令(不含display命令),都可以启动SNMPAgent配置SNMP组snmp-agentgroupv3group-name[authentication|privacy][read-viewread-view][write-viewwrite-view][notify-viewnotify-view][aclacl-number]必选缺省情况下,没有配置SNMP组4-2操作命令说明为SNMP组添加新用户snmp-agentusm-userv3user-namegroup-name[[cipher]authentication-mode{md5|sha}auth-password[privacy-mode{3des|aes128|des56}priv-password]][aclacl-number]必选如果使用cipher参数,则后面的auth-password和priv-password都将被视为密文密码表4-3配置SNMP基本参数(SNMPv1版本、SNMPv2c版本)操作命令说明进入系统视图system-view-启动SNMPAgent服务snmp-agent可选缺省情况下,SNMPAgent服务处于关闭状态.
执行此命令或执行snmp-agent的任何一条配置命令,都可以启动SNMPAgent创建或更新MIB视图内容snmp-agentmib-view{excluded|included}view-nameoid-tree[maskmask-value]可选缺省情况下,视图名为ViewDefault,OID为1直接设置创建一个新的SNMP团体snmp-agentcommunity{read|write}community-name[aclacl-number|mib-viewview-name]*设置一个SNMP组snmp-agentgroup{v1|v2c}group-name[read-viewread-view][write-viewwrite-view][notify-viewnotify-view][aclacl-number]设置访问权限间接设置为一个SNMP组添加一个新用户snmp-agentusm-user{v1|v2c}user-namegroup-name[aclacl-number]二者必选其一直接设置是以SNMPv1和v2c版本的团体名进行设置间接设置采用与SNMPv3版本一致的命令形式,添加的用户到指定的组,即相当于SNMPv1和SNMPv2c版本的团体名,在NMS上配置的团体名需要跟Agent上配置的用户名一致设备支持SNMPv1、SNMPv2c和SNMPv3三种版本,关于SNMP的详细介绍及配置,请参见"网络管理和监控配置指导"中的"SNMP"介绍.
4.
3通过NMS登录设备典型配置举例通过NMS登录设备的方法如下(此处以iMC为例):(1)设备配置#配置设备的IP地址为1.
1.
1.
1/24,并确保设备与NMS之间路由可达.
(配置步骤略)#进入系统视图.
system-view4-3#启动SNMPAgent服务.
[Sysname]snmp-agent#配置SNMP组.
[Sysname]snmp-agentgroupv3managev3groupread-viewtestwrite-viewtest#为SNMP组添加新用户[Sysname]snmp-agentusm-userv3managev3usermanagev3group(2)配置NMS用户可利用网管系统完成对设备的查询和配置操作,具体情况请参考NMS的配套手册.
NMS侧的配置必须和设备侧保持一致,否则无法进行相应操作.
(3)配置客户端在PC的浏览器地址栏内输入iMC的IP地址(此处以iMC的IP地址为192.
168.
4.
112为例),如图4-2所示:在地址栏中输入http://192.
168.
4.
112:8080/imc(IP地址和端口号应与实际安装环境保持一致).
图4-2登录页面在登录页面中,输入正确的操作员和密码后单击按钮,即可进入系统首页,如图4-3所示.
4-4图4-3iMC配置界面成功登录后,您可以选择相应选项对设备进行各种配置和管理.
需要帮助可以随时点击登录页面右上角的"帮助"选项获得相应功能的帮助信息.
通过以上配置,NMS可以和设备建立SNMP连接,能够通过MIB节点查询、设置设备上某些参数的值.
5-15对登录用户的控制5.
1对登录用户的控制简介设备提供对不同登录方式进行控制,如表5-1所示.
表5-1对登录用户的控制登录方式控制方式实现方法相关小节通过源IP对Telnet进行控制通过基本ACL实现5.
2.
2通过源IP、目的IP对Telnet进行控制通过高级ACL实现5.
2.
3Telnet通过源MAC对Telnet进行控制通过二层ACL实现5.
2.
4SNMP通过源IP对网管用户进行控制通过基本ACL实现5.
3.
2Web通过源IP对Web用户进行控制通过基本ACL实现5.
4.
25.
2配置对Telnet用户的控制5.
2.
1配置准备确定了对Telnet的控制策略,包括对哪些源IP、目的IP、源MAC进行控制,控制的动作是允许访问还是拒绝访问.
5.
2.
2通过源IP对Telnet进行控制本配置需要通过基本访问控制列表实现.
基本访问控制列表的序号取值范围为2000~2999.
关于ACL的定义请参见"ACL和QoS配置指导"中的"ACL"的相关内容.
表5-2通过源IP对Telnet进行控制操作命令说明进入系统视图system-view-创建或进入基本ACL视图acl[ipv6]numberacl-number[match-order{config|auto}]必选缺省情况下,匹配顺序为config定义子规则rule[rule-id]{permit|deny}[source{sour-addrsour-wildcard|any}|time-rangetime-name|fragment|logging]*必选退出ACL视图quit-进入用户界面视图user-interface[type]first-number[last-number]-5-2操作命令说明引用访问控制列表,通过源IP对Telnet进行控制acl[ipv6]acl-number{inbound|outbound}必选inbound:对Telnet到本设备的用户进行ACL控制outbound:对从本设备Telnet到其他Telnet服务器的用户进行ACL控制5.
2.
3通过源IP、目的IP对Telnet进行控制本配置需要通过高级访问控制列表实现.
高级访问控制列表的序号取值范围为3000~3999.
关于ACL的定义请参见"ACL和QoS配置指导"中的"ACL"的相关内容.
表5-3配置高级ACL规则操作命令说明进入系统视图system-view-创建或进入高级ACL视图acl[ipv6]numberacl-number[match-order{config|auto}]必选缺省情况下,匹配顺序为config定义子规则rule[rule-id]{permit|deny}rule-string必选用户可以根据需要配置对相应的源IP、目的IP进行过滤的规则退出ACL视图quit-进入用户界面视图user-interface[type]first-number[last-number]-引用访问控制列表,通过源IP、目的IP对Telnet进行控制acl[ipv6]acl-number{inbound|outbound}必选inbound:对Telnet到本设备的用户进行ACL控制outbound:对从本设备Telnet到其他Telnet服务器的用户进行ACL控制5.
2.
4通过源MAC地址对Telnet进行控制本配置需要通过二层访问控制列表实现.
二层访问控制列表的序号取值范围为4000~4999.
关于ACL的定义请参见"ACL和QoS配置指导"中的"ACL"的相关内容.
表5-4配置二层ACL规则操作命令说明进入系统视图system-view-创建或进入二层ACL视图aclnumberacl-number[match-order{config|auto}]必选缺省情况下,匹配顺序为config定义子规则rule[rule-id]{permit|deny}rule-string必选用户可以根据需要配置对相应的源MAC进行过滤的规则5-3操作命令说明退出ACL视图quit-进入用户界面视图user-interface[type]first-number[last-number]-引用访问控制列表,通过源MAC对Telnet进行控制aclacl-numberinbound必选inbound:对Telnet到本设备的用户进行ACL控制二层访问控制列表对于TelnetClient的源IP与Telnet服务器的接口IP不在同一网段的不生效.
5.
2.
5配置举例1.
组网需求通过源IP对Telnet进行控制,仅允许来自10.
110.
100.
52和10.
110.
100.
46的Telnet用户访问设备.
2.
组网图图5-1对Device的Telnet用户进行ACL控制3.
配置步骤#定义基本访问控制列表.
system-view[Sysname]aclnumber2000match-orderconfig[Sysname-acl-basic-2000]rule1permitsource10.
110.
100.
520[Sysname-acl-basic-2000]rule2permitsource10.
110.
100.
460[Sysname-acl-basic-2000]quit#引用访问控制列表,允许源地址为10.
110.
100.
52和10.
110.
100.
46的Telnet用户访问设备.
[Sysname]user-interfacevty015[Sysname-ui-vty0-15]acl2000inbound5-45.
3通过源IP对网管用户进行控制设备支持通过网管软件进行远程管理.
网管用户可以通过SNMP访问设备.
通过引用访问控制列表,可以对访问设备的SNMP用户进行控制.
5.
3.
1配置准备确定了对网管用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问.
5.
3.
2通过源IP对网管用户进行控制本配置需要通过基本访问控制列表实现.
基本访问控制列表的序号取值范围为2000~2999.
关于ACL的定义请参见"ACL和QoS配置指导"中的"ACL"的相关内容.
表5-5通过源IP对网管用户进行控制操作命令说明进入系统视图system-view-创建或进入基本ACL视图acl[ipv6]numberacl-number[match-order{config|auto}]必选缺省情况下,匹配顺序为config定义子规则rule[rule-id]{permit|deny}[source{sour-addrsour-wildcard|any}|time-rangetime-name|fragment|logging]*必选退出ACL视图quit-在配置SNMP团体名的命令中引用访问控制列表snmp-agentcommunity{read|write}community-name[aclacl-number|mib-viewview-name]*在配置SNMP组名的命令中引用访问控制列表snmp-agentgroup{v1|v2c}group-name[read-viewread-view][write-viewwrite-view][notify-viewnotify-view][aclacl-number]snmp-agentgroupv3group-name[authentication|privacy][read-viewread-view][write-viewwrite-view][notify-viewnotify-view][aclacl-number]在配置SNMP用户名的命令中引用访问控制列表snmp-agentusm-user{v1|v2c}user-namegroup-name[aclacl-number]snmp-agentusm-userv3user-namegroup-name[[cipher]authentication-mode{md5|sha}auth-password[privacy-mode{3des|aes128|des56}priv-password]][aclacl-number]必选根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组名或者用户名配置时引用访问控制列表,详细介绍请参见"网络管理和监控配置指导"中的"SNMP"的相关内容5.
3.
3配置举例1.
组网需求通过源IP对网管用户进行控制,仅允许来自10.
110.
100.
52和10.
110.
100.
46的SNMP用户访问设备.
5-52.
组网图图5-2对SNMP用户进行ACL控制3.
配置步骤#定义基本访问控制列表.
system-view[Sysname]aclnumber2000match-orderconfig[Sysname-acl-basic-2000]rule1permitsource10.
110.
100.
520[Sysname-acl-basic-2000]rule2permitsource10.
110.
100.
460[Sysname-acl-basic-2000]quit#引用访问控制列表,仅允许来自10.
110.
100.
52和10.
110.
100.
46的SNMP用户访问设备.
[Sysname]snmp-agentcommunityreadaaaacl2000[Sysname]snmp-agentgroupv2cgroupaacl2000[Sysname]snmp-agentusm-userv2cuseragroupaacl20005.
4通过源IP对Web用户进行控制设备支持通过Web方式进行远程管理.
Web用户可以通过HTTP协议访问设备.
通过引用访问控制列表,可以对访问设备的Web用户进行控制.
5.
4.
1配置准备确定了对Web用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问.
5.
4.
2通过源IP对Web用户进行控制本配置需要通过基本访问控制列表实现.
基本访问控制列表的序号取值范围为2000~2999.
关于ACL的定义请参见"ACL和QoS配置指导"中的"ACL"的相关内容.
表5-6通过源IP对Web用户进行控制操作命令说明进入系统视图system-view-创建或进入基本ACL视图acl[ipv6]numberacl-number[match-order{config|auto}]必选缺省情况下,匹配顺序为config5-6操作命令说明定义子规则rule[rule-id]{permit|deny}[source{sour-addrsour-wildcard|any}|time-rangetime-name|fragment|logging]*必选退出ACL视图quit-引用访问控制列表对Web用户进行控制iphttpaclacl-number必选5.
4.
3强制在线Web用户下线网络管理员可以通过命令行强制在线Web用户下线.
表5-7强制在线Web用户下线操作命令说明强制在线Web用户下线freeweb-users{all|user-iduser-id|user-nameuser-name}必选在用户视图下执行5.
4.
4配置举例1.
组网需求通过源IP对Web用户进行控制,仅允许来自10.
110.
100.
52的Web用户访问设备.
2.
组网图图5-3对Switch的HTTP用户进行ACL控制3.
配置步骤#定义基本访问控制列表.
system-view[Sysname]aclnumber2030match-orderconfig[Sysname-acl-basic-2030]rule1permitsource10.
110.
100.
520#引用访问控制列表,仅允许来自10.
110.
100.
52的Web用户访问设备.
[Sysname]iphttpacl2030
1登录交换机方式综述.
1-11.
2用户界面简介.
1-21.
2.
1用户界面概述.
1-21.
2.
2用户与用户界面的关系1-21.
2.
3用户界面的编号1-22配置用户通过CLI登录设备.
2-12.
1配置用户通过CLI登录设备简介2-12.
2配置通过Console口登录设备2-12.
2.
1通过Console口登录设备简介.
2-12.
2.
2缺省配置下如何通过Console口登录设备.
2-22.
2.
3Console口登录的认证方式介绍2-42.
2.
4配置通过Console口登录设备时无需认证(None)2-52.
2.
5配置通过Console口登录设备时采用密码认证(Password)2-62.
2.
6配置通过Console口登录设备时采用AAA认证(Scheme)2-72.
2.
7配置Console口登录方式的公共属性(可选)2-102.
3配置通过Telnet登录设备2-122.
3.
1通过Telnet登录设备简介.
2-122.
3.
2Telnet登录的认证方式介绍.
2-132.
3.
3配置通过TelnetClient登录设备时无需认证(None)2-142.
3.
4配置通过TelnetClient登录设备时采用密码认证(Password)2-152.
3.
5配置通过TelnetClient登录设备时采用AAA认证(Scheme)2-162.
3.
6配置VTY用户界面的公共属性(可选)2-192.
3.
7配置设备充当TelnetClient登录TelnetServer.
2-202.
4配置通过SSH登录2-212.
4.
1通过SSH登录设备简介2-212.
4.
2配置设备充当SSH服务器.
2-222.
4.
3配置设备充当SSH客户端登录其它设备.
2-252.
5配置通过Modem登录设备2-262.
5.
1通过Modem登录设备简介.
2-262.
5.
2缺省配置下如何通过Modem登录设备.
2-262.
5.
3Modem拨号登录的认证方式介绍.
2-292.
5.
4配置用户通过Modem登录设备时无需认证(None)2-302.
5.
5配置用户通过Modem登录设备时采用密码认证(Password)2-31ii2.
5.
6配置用户通过Modem登录设备时采用AAA认证(Scheme)2-322.
5.
7配置AUX用户界面的公共属性(可选)2-352.
6CLI登录显示和维护2-373配置通过Web网管登录设备3-13.
1通过Web网管登录设备简介.
3-13.
2配置通过HTTP方式登录设备.
3-13.
3配置通过HTTPS方式登录设备3-23.
4通过Web网管登录设备显示与维护.
3-43.
5通过Web网管登录设备典型配置举例3-53.
5.
1使用HTTP方式登录设备典型配置举例.
3-53.
5.
2使用HTTPS方式登录设备典型配置举例3-64配置通过NMS登录设备.
4-14.
1通过NMS登录设备简介4-14.
2配置通过NMS登录设备4-14.
3通过NMS登录设备典型配置举例.
4-25对登录用户的控制.
5-15.
1对登录用户的控制简介.
5-15.
2配置对Telnet用户的控制5-15.
2.
1配置准备5-15.
2.
2通过源IP对Telnet进行控制5-15.
2.
3通过源IP、目的IP对Telnet进行控制.
5-25.
2.
4通过源MAC地址对Telnet进行控制5-25.
2.
5配置举例5-35.
3通过源IP对网管用户进行控制5-45.
3.
1配置准备5-45.
3.
2通过源IP对网管用户进行控制.
5-45.
3.
3配置举例5-45.
4通过源IP对Web用户进行控制5-55.
4.
1配置准备5-55.
4.
2通过源IP对Web用户进行控制.
5-55.
4.
3强制在线Web用户下线5-65.
4.
4配置举例5-61-11登录交换机方式介绍1.
1登录交换机方式综述用户可以通过以下几种方式登录到交换机上,对交换机进行配置和管理:登录方式及介绍各种登录方式缺省状况分析配置通过Console口登录设备缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3配置通过Telnet登录设备缺省情况下,用户不能直接通过Telnet方式登录设备.
如需采用Telnet方式登录,需要先通过Console口本地登录设备、并完成如下配置:z开启设备的Telnet功能z配置设备VLAN接口的IP地址,确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有IP地址)z配置VTY用户的认证方式(缺省情况下,VTY用户采用Password认证方式)z配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0)配置通过SSH登录缺省情况下,用户不能直接通过SSH方式登录设备.
如需采用SSH方式登录,需要先通过Console口本地登录设备、并完成如下配置:z开启设备SSH功能并完成SSH属性的配置z配置设备VLAN接口的IP地址,确保设备与SSH登录用户间路由可达(缺省情况下,设备没有配置IP地址)z配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用Password认证方式)z配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0)通过CLI登录设备配置通过Modem登录设备缺省情况下,用户可以直接通过Modem拨号方式登录设备,Modem用户的用户级别为3配置通过Web网管登录设备缺省情况下,用户不能直接通过Web登录设备.
如需采用Web方式登录,需要先通过Console口本地登录设备、并完成如下配置:z配置设备VLAN接口的IP地址,确保设备与Web登录用户间路由可达(缺省情况下,设备没有配置IP地址)z配置Web用户的用户名与密码(缺省情况下,没有Web登录的用户名和密码)z配置Web登录的用户级别(缺省情况下,未配置Web登录用户的用户级别)z配置Web登录用户的服务类型为Telnet(缺省情况下,未配置Web登录用户的服务类型)配置通过NMS登录设备缺省情况下,用户不能直接通过NMS登录设备.
如需采用NMS方式登录,需要先通过Console口本地登录设备、并完成如下配置:z配置设备VLAN接口的IP地址,确保设备与NMS登录用户间路由可达(缺省情况下,设备没有IP配置地址)z配置SNMP基本参数在以下的章节中,将分别为您介绍如何通过Console口、Telnet、Modem、Web及NMS登录到设备上.
1-21.
2用户界面简介1.
2.
1用户界面概述当用户使用Console口、Telnet或者SSH方式登录设备的时候,系统会分配一个用户界面(也称为Line)用来管理、监控设备和用户间的当前会话.
每个用户界面有对应的用户界面视图(User-interfaceview),在用户界面视图下网络管理员可以配置一系列参数,比如用户登录时是否需要认证以及用户登录后的级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的.
目前系统支持的命令行配置方式有:zConsole口本地配置zTelnet或SSH本地或远程配置与这些配置方式对应的是两种类型的用户界面:zAUX用户界面:系统提供的通过Console口登录的视图,用来管理和监控通过Console口登录的用户.
设备提供一个Console口,端口类型为EIA/TIA-232DCE,第一次使用设备时,需要通过此端口对交换机进行配置.
zVTY(VirtualTypeTerminal,虚拟类型终端)用户界面:用来管理和监控通过VTY方式登录的用户,用于对设备进行Telnet或SSH访问.
1.
2.
2用户与用户界面的关系用户界面的管理和监控对象是使用某种方式登录的用户,一个用户界面某一时刻只能被一个用户使用,但它并不针对某个用户.
比如用户A使用Console口登录设备时,将受到AUX用户界面视图下配置的约束,当使用VTY1登录设备时,将受到VTY1用户界面视图下配置的约束.
一台交换机提供一个AUX用户界面、十六个VTY用户界面,这些用户界面与用户并没有固定的对应关系.
用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的相应类型的用户界面,整个登录过程将受该用户界面视图下配置的约束.
同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时机不同,分配的用户界面可能不同.
1.
2.
3用户界面的编号用户界面的编号有两种方式:绝对编号方式和相对编号方式.
1.
绝对编号方式使用绝对编号方式,可以唯一的指定一个用户界面或一组用户界面.
绝对编号从0开始自动编号,每次增长1,先给所有AUX用户界面编号,其次是VTY用户界面编号.
使用displayuser-interface(不带参数)可查看到设备当前支持的用户界面以及它们的绝对编号.
2.
相对编号方式相对编号是每种类型用户界面的内部编号.
该方式只能指定某种类型的用户界面中的一个或一组,而不能跨类型操作.
相对编号方式的形式是:"用户界面类型编号",遵守如下规则:z控制台的相对编号为AUX0.
zVTY的相对编号:第一个为VTY0,第二个为VTY1,依次类推.
2-12配置用户通过CLI登录设备2.
1配置用户通过CLI登录设备简介CLI(命令行接口)是用户与设备之间的文本类指令交互界面,用户键入文本类命令,通过输入回车键提交设备执行相关命令,用户可以输入命令对设备进行配置,并可以通过查看输出的信息确认配置结果,方便用户配置和管理设备.
通过CLI登录设备包括:通过Console口、Telnet、SSH或Modem四种登录方式.
当您使用Console口、Telnet、SSH或Modem登录设备时,都需要使用CLI来与设备进行交互.
z缺省情况下,用户不需要任何认证即可通过Console口登录设备,这给设备带来许多安全隐患;z缺省情况下,用户不能通过Telnet、SSH登录设备(只能通过Console口本地登录),这样不利于用户对设备进行远程管理和维护.
因此,用户需要对这些登录方式进行相应的配置,来增加设备的安全性及可管理性.
以下章节将分别为您介绍如何通过Console口、Telnet、SSH及Modem登录到设备,并配置通过Console口、Telnet、SSH及Modem登录设备时的认证方式、用户级别及公共属性,来实现对登录用户的控制和管理.
2.
2配置通过Console口登录设备2.
2.
1通过Console口登录设备简介通过Console口进行本地登录是登录设备的最基本的方式,也是配置通过其他方式登录设备的基础.
如图2-1所示.
图2-1通过Console口登录设备示意图缺省情况下,设备只能通过Console口进行本地登录,用户登录到设备上后,即可以对各种登录方式进行配置.
本节将为您介绍:z设备缺省情况下,如何通过Console口登录设备.
具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
z设备Console口支持的登录方式及配置Console口登录认证方式的意义、各种认证方式的特点及注意事项.
具体请参见2.
2.
3Console口登录的认证方式介绍.
z当用户确定了今后通过Console口登录设备时将采用何种认证方式后、并通过缺省配置登录到设备后,用户如何在设备上配置Console口登录设备时的认证方式及用户级别,实现对Console口登录用户的控制和管理.
具体请参见2.
2.
4配置通过Console口登录设备时无需认证(None)、2.
2.
5配置通过Console口登录设备时采用密码认证(Password)及2.
2.
6配置通过Console口登录设备时采用AAA认证(Scheme).
2-2z配置通过Console口登录设备时的公共属性.
具体请参见2.
2.
7配置Console口登录方式的公共属性(可选).
2.
2.
2缺省配置下如何通过Console口登录设备表2-1通过Console登录设备需要具备的条件对象需要具备的条件设备缺省情况下,设备侧不需要任何配置运行超级终端程序Console口登录用户配置超级终端属性当用户使用Console口登录设备时,用户终端的通信参数配置要和设备Console口的缺省配置保持一致,才能通过Console口登录到设备上.
设备Console口的缺省配置如下:表2-2设备Console口缺省配置属性缺省配置传输速率9600bit/s流控方式不进行流控校验方式不进行校验停止位1数据位8(1)请使用产品随机附带的配置口电缆连接PC机和设备.
请先将配置电缆的DB-9(孔)插头插入PC机的9芯(针)串口插座,再将RJ-45插头端插入设备的Console口中.
图2-2将设备与PC通过配置口电缆进行连接连接时请认准接口上的标识,以免误插入其它接口.
由于PC机串口不支持热插拔,请不要在设备带电的情况下,将串口插入或者拔出PC机.
当连接PC和设备时,请先安装配置电缆的DB-9端到PC机,再连接RJ-45到设备;在拆下时,先拔出RJ-45端,再拔下DB-9端.
2-3(2)在PC机上运行终端仿真程序(如WindowsXP/Windows2000的超级终端等,以下配置以WindowsXP为例),选择与设备相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图2-3至图2-5所示.
如果您的PC使用的是Windows2003Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows2008Server、Windows7、WindowsVista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参照软件的使用指导或联机帮助.
图2-3新建连接图2-4连接端口设置2-4图2-5端口通信参数设置(3)设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如),如图2-6所示.
图2-6设备配置界面(4)键入命令,配置设备或查看设备运行状态.
需要帮助可以随时键入"",具体的配置命令请参考本手册中相关部分的内容.
2.
2.
3Console口登录的认证方式介绍通过在Console口用户界面下配置认证方式,可以对使用Console口登录的用户进行限制,以提高设备的安全性.
Console口支持的认证方式有none、password和scheme三种.
z认证方式为none:表示下次使用Console口本地登录设备时,不需要进行用户名和密码认证、任何人都可以通过Console口登录到设备上,这种情况可能会带来安全隐患.
2-5z认证方式为password:表示下次使用Console口本地登录设备时,需要进行密码认证、只有密码认证成功、用户才能登录到设备上.
配置认证方式为password后,请妥善保存密码.
z认证方式为scheme:表示下次使用Console口登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败.
用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码.
有关用户认证方式及参数的详细介绍请参见"安全配置指导"中的"AAA".
配置认证方式为scheme后,请妥善保存用户名及密码.
不同的认证方式下,Console口登录方式需要进行的配置不同,具体配置如表2-3所示.
表2-3配置任务简介认证方式认证所需配置说明None设置登录用户的认证方式为不认证具体内容请参见2.
2.
4设置登录用户的认证方式为Password认证Password设置本地验证的口令具体内容请参见2.
2.
5设置登录用户的认证方式为Scheme认证在设备上配置RADIUS/HWTACACS方案在设备上配置域使用的AAA方案采用远端AAA服务器认证在AAA服务器上配置相关的用户名和密码在设备上配置认证用户名和密码Scheme选择认证方案采用本地认证在设备上配置域使用的AAA方案为本地认证具体内容请参见2.
2.
6改变Console口登录方式的认证方式后,该认证方式的设置不会立即生效.
用户需要退出命令行接口后重新登录,该设置才会生效.
2.
2.
4配置通过Console口登录设备时无需认证(None)1.
配置前提用户已经成功登录到了设备上,并希望以后通过Console口登录设备时无需进行认证.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2-62.
配置过程表2-4配置用户通过Console口登录设备时无需认证操作命令说明进入系统视图system-view-进入AUX用户界面视图user-interfaceauxfirst-number[last-number]-设置登录用户的认证方式为不认证authentication-modenone必选缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)配置AUX用户界面的公共属性-可选详细配置请参见2.
2.
7配置Console口登录方式的公共属性(可选)配置完成后,当用户再次通过Console口登录设备时,设备将提示用户键入回车,之后将出现命令行提示符(如),如图2-7所示.
图2-7用户通过Console口登录设备时无需认证登录界面2.
2.
5配置通过Console口登录设备时采用密码认证(Password)1.
配置前提用户已经成功登录到了设备上,并希望以后通过Console口登录设备时采用密码认证、以提高设备的安全性.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2-72.
配置过程表2-5配置用户通过Console口登录设备时采用密码认证操作命令说明进入系统视图system-view-进入AUX用户界面视图user-interfaceauxfirst-number[last-number]-设置登录用户的认证方式为本地口令认证authentication-modepassword必选缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)设置本地验证的口令setauthenticationpassword{cipher|simple}password必选缺省情况下,没有设置本地认证的口令配置AUX用户界面的公共属性-可选详细配置请参见2.
2.
7配置Console口登录方式的公共属性(可选)配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如),如图2-8所示.
图2-8用户通过Console口登录设备时采用密码认证登录界面2.
2.
6配置通过Console口登录设备时采用AAA认证(Scheme)1.
配置前提用户已经成功的登录到了设备上,并希望以后通过Console口登录设备时采用AAA认证、以提高设备的安全性.
2-8缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2.
配置过程表2-6配置用户通过Console口登录设备时采用AAA认证操作命令说明进入系统视图system-view-进入AUX用户界面视图user-interfaceauxfirst-number[last-number]-设置登录用户的认证方式为通过认证方案认证authentication-modescheme必选具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证)使能命令行授权功能commandauthorization可选z缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权z缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行.
配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制.
即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行.
使能命令行计费功能commandaccounting可选z缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行z命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作.
命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录.
退出至系统视图quit-配置设备采用的认进入ISP域视图domaindomain-name可选缺省情况下,系统使用的AAA方案为2-9操作命令说明配置域使用的AAA方案authenticationdefault{hwtacacs-schemehwtacacs-scheme-name[local]|local|none|radius-schemeradius-scheme-name[local]}证方案退出至系统视图quitlocal如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:z设备上的RADIUS、HWTACACS方案配置请参见"安全配置指导"中的"AAA"zAAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书创建本地用户(进入本地用户视图)local-useruser-name必选缺省情况下,无本地用户设置本地用户认证口令password{cipher|simple}password必选设置本地用户的命令级别authorization-attributelevellevel可选缺省情况下,命令级别为0设置本地用户的服务类型service-typeterminal必选缺省情况下,无用户服务类型配置AUX用户界面的公共属性-可选详细配置请参见2.
2.
7配置Console口登录方式的公共属性(可选)使能命令行授权功能后,还需要进行如下配置才能保证命令行授权功能生效:z需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA".
z需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见"安全配置指导"中的"AAA".
使能命令行计费功能后,还需要进行如下配置才能保证命令行计费功能生效:z需要创建HWTACACS方案,在方案中指定计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA".
z需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见"安全配置指导"中的"AAA".
需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别.
2-10zAAA方案为local认证时,用户级别通过authorization-attributelevellevel命令设定.
zAAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别.
有关AAA、RADIUS、HWTACACS的详细内容,请参见"安全配置指导"中的"AAA".
配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如),如图2-9所示.
图2-9用户通过Console口登录设备时AAA认证登录界面2.
2.
7配置Console口登录方式的公共属性(可选)Console口登录方式的公共属性配置,如表2-7所示.
表2-7Console口登录方式公共属性配置操作命令说明进入系统视图system-view-使能显示版权信息copyright-infoenable可选缺省情况下,显示版权信息处于使能状态进入AUX用户界面视图user-interfaceauxfirst-number[last-number]-配置AUX用户界面的属性配置传输速率speedspeed-value可选缺省情况下,Console口使用的传输速率为9600bit/s传输速率为设备与访问终端之间每秒钟传送的比特的个数2-11操作命令说明配置校验方式parity{even|mark|none|odd|space}可选缺省情况下,Console口的校验方式为none,即不进行校验配置停止位stopbits{1|1.
5|2}可选缺省情况下,Console口的停止位为1停止位用来表示单个包的结束.
停止位的位数越多,传输效率越低配置数据位databits{5|6|7|8}可选缺省情况下,Console口的数据位为8位数据位的设置取决于需要传送的信息.
比如,如果传送的是标准的ASCII码,则可以将数据位设置为7,如果传输的是扩展的ASCII码,则需要将数据位设置为8配置启动终端会话的快捷键activation-keycharacter可选缺省情况下,按键启动终端会话配置中止当前运行任务的快捷键escape-key{default|character}可选缺省情况下,键入中止当前运行的任务配置流量控制方式flow-control{hardware|none|software}可选缺省情况下,流量控制方式为none配置终端的显示类型terminaltype{ansi|vt100}可选缺省情况下,终端显示类型为ANSI当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象.
建议两端都设置为VT100类型设置用户登录后可以访问的命令级别userprivilegelevellevel可选缺省情况下,从AUX用户界面登录后可以访问的命令级别为3级设置终端屏幕一屏显示的行数screen-lengthscreen-length可选缺省情况下,终端屏幕一屏显示的行数为24行screen-length0表示关闭分屏显示功能设置历史命令缓冲区大小history-commandmax-sizevalue可选缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令设置用户界面的超时时间idle-timeoutminutes[seconds]可选缺省情况下,所有的用户界面的超时时间为10分钟,如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开idle-timeout0表示关闭用户界面的超时功能2-12改变Console口属性后会立即生效,所以通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性.
若用户需要通过Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口属性保持一致.
2.
3配置通过Telnet登录设备2.
3.
1通过Telnet登录设备简介设备支持Telnet功能,用户可以通过Telnet方式登录到设备上,对设备进行远程管理和维护.
如图2-10.
图2-10通过Telnet登录设备示意图表2-8采用Telnet方式登录需要具备的条件对象需要具备的条件配置设备VLAN的IP地址,设备与Telnet用户间路由可达Telnet服务器端配置Telnet登录的认证方式和其它配置(根据Telnet服务器端的情况而定)运行Telnet程序Telnet客户端获取要登录设备VLAN接口的IP地址设备充当TelnetClient:z设备支持TelnetClient功能、可作为TelnetClient登录到TelnetServer上,从而对其进行操作.
z缺省情况下,设备的TelnetClient功能处于开启状态.
设备充当TelnetServer:z设备支持TelnetServer功能、可作为TelnetServer,并可在设备上进行一系列的配置,从而实现对不同TelnetClient登录的具体认证方式、用户级别等方面的控制与管理.
z缺省情况下,设备的TelnetServer功能处于关闭状态,即在缺省情况下用户不能通过Telnet登录到设备上.
因此当您使用Telnet方式登录设备前,首先需要通过Console口登录到设备上,开启TelnetServer功能,对认证方式、用户级别及公共属性进行相应的配置,才能保证通过Telnet方式正常登录到设备.
本节将为您介绍设备充当Telnet服务器端时:z设备支持的各种登录认证方式及配置Telnet登录认证方式的意义、各种认证方式的特点及注意事项.
具体介绍请参见2.
3.
2Telnet登录的认证方式介绍.
2-13z当用户确定了今后通过Telnet客户端登录设备时将采用何种认证方式后、并已成功登录到设备后,用户如何在设备上配置Telnet客户端登录设备时的认证方式、用户级别及公共属性,从而实现对Telnet登录用户的控制和管理.
具体介绍请参见2.
3.
3配置通过TelnetClient登录设备时无需认证(None)、2.
3.
4配置通过TelnetClient登录设备时采用密码认证(Password)及2.
3.
5配置通过TelnetClient登录设备时采用AAA认证(Scheme).
z配置通过Telnet登录设备时的公共属性.
具体介绍请参见2.
3.
6配置VTY用户界面的公共属性(可选).
本节还将为您介绍设备充当Telnet客户端、Telnet登录到Server时的配置,具体请参见2.
3.
7配置设备充当TelnetClient登录TelnetServer.
2.
3.
2Telnet登录的认证方式介绍通过在Telnet的用户界面下配置认证方式,可以对使用Telnet登录的用户进行限制,以提高设备的安全性.
通过Telnet登录支持的认证方式有none、password和scheme三种.
z认证方式为none:表示下次使用Telnet登录设备时不需要进行用户名和密码认证,任何人都可以通过Telnet登录到设备上,这种情况可能会带来安全隐患.
z认证方式为password:表示下次使用Telnet登录设备时需要进行密码认证,只有密码认证成功,用户才能登录到设备上.
配置认证方式为password后,请妥善保存密码,如果密码丢失,可以使用Console口登录到设备,对Telnet的密码配置进行查看或修改.
z认证方式为scheme:表示下次使用Telnet登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败.
用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码.
有关用户认证方式及参数的详细介绍请参见"安全配置指导"中的"AAA".
配置认证方式为scheme后,请妥善保存用户名及密码,如果本地认证密码丢失,可以使用Console口登录到设备,对Telnet的密码配置进行查看或修改.
如果远程认证密码丢失,建议您联系服务器管理员.
不同的认证方式下,Telnet登录方式需要进行的配置不同,具体配置如表2-9所示.
表2-9配置Telnet登录的认证方式认证方式认证所需配置说明None设置登录用户的认证方式为不认证具体内容请参见2.
3.
3设置登录用户的认证方式为Password认证Password设置本地验证的口令具体内容请参见2.
3.
4设置登录用户的认证方式为Scheme认证在设备上配置RADIUS/HWTACACS方案在设备上配置域使用的AAA方案采用远端AAA服务器认证在AAA服务器上配置相关的用户名和密码在设备上配置认证用户名和密码Scheme选择认证方案采用本地认证在设备上配置域使用的AAA方案为本地认证具体内容请参见2.
3.
52-142.
3.
3配置通过TelnetClient登录设备时无需认证(None)1.
配置前提用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时无需进行认证.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2.
配置过程表2-10认证方式为None的配置操作命令说明进入系统视图system-view-使能设备的Telnet服务telnetserverenable必选缺省情况下,Telnet服务处于关闭状态进入一个或多个VTY用户界面视图user-interfacevtyfirst-number[last-number]-设置VTY登录用户的认证方式为不认证authentication-modenone必选缺省情况下,VTY用户界面的认证方式为password配置从当前用户界面登录系统的用户所能访问的命令级别userprivilegelevellevel必选缺省情况下,通过VTY用户界面登录系统所能访问的命令级别是0配置VTY用户界面的公共属性-可选详细配置请参见2.
3.
6配置VTY用户界面的公共属性(可选)配置完成后,当用户再次通过Telnet登录设备时:z用户将直接进入VTY用户界面,如图2-11所示.
z如果出现"Alluserinterfacesareused,pleasetrylater!
"的提示,表示当前Telnet到设备的用户过多,则请稍候再连接.
2-15图2-11用户通过Telnet登录设备时无需认证登录界面2.
3.
4配置通过TelnetClient登录设备时采用密码认证(Password)1.
配置前提用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行密码认证.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2.
配置过程表2-11认证方式为Password的配置操作命令说明进入系统视图system-view-使能设备的Telnet服务telnetserverenable必选缺省情况下,Telnet服务处于关闭状态进入一个或多个VTY用户界面视图user-interfacevtyfirst-number[last-number]-设置登录用户的认证方式为本地口令认证authentication-modepassword必选缺省情况下,VTY用户界面的认证方式为password设置本地验证的口令setauthenticationpassword{cipher|simple}password必选缺省情况下,没有设置本地认证的口令配置从当前用户界面登录系统的用户所能访问的命令级别userprivilegelevellevel必选缺省情况下,通过VTY用户界面登录系统所能访问的命令级别是02-16操作命令说明配置VTY用户界面的公共属性-可选详细配置请参见2.
3.
6配置VTY用户界面的公共属性(可选)配置完成后,当用户再次通过Telnet登录设备时:z设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如),如图2-12所示.
z如果出现"Alluserinterfacesareused,pleasetrylater!
"的提示,表示当前Telnet到设备的用户过多,则请稍候再连接.
图2-12配置用户通过Telnet登录设备时采用密码认证登录界面2.
3.
5配置通过TelnetClient登录设备时采用AAA认证(Scheme)1.
配置前提用户已经成功登录到了设备上,并希望将设备作为TelnetServer从而登录设备时需要进行AAA认证.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2.
配置过程表2-12配置用户通过Telnet登录设备时采用AAA认证操作命令说明进入系统视图system-view-使能设备的Telnet服务telnetserverenable必选缺省情况下,Telnet服务处于关闭状态2-17操作命令说明进入一个或多个VTY用户界面视图user-interfacevtyfirst-number[last-number]-设置登录用户的认证方式为通过认证方案认证authentication-modescheme必选具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定缺省情况下采用本地认证方式使能命令行授权功能commandauthorization可选缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权z需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA"z需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见"安全配置指导"中的"AAA"使能命令行计费功能commandaccounting可选z缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行z命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作.
命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录.
退出至系统视图quit-进入ISP域视图domaindomain-name配置域使用的AAA方案authenticationdefault{hwtacacs-schemehwtacacs-scheme-name[local]|local|none|radius-schemeradius-scheme-name[local]}配置设备采用的认证方案退出至系统视图quit可选缺省情况下,系统使用的AAA方案为local如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:z设备上的配置请参见"安全配置指导"中的"AAA"zAAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书创建本地用户(进入本地用户视图)local-useruser-name缺省情况下,无本地用户2-18操作命令说明设置本地认证口令password{cipher|simple}password必选缺省情况下,没有配置本地认证口令设置VTY用户的命令级别authorization-attributelevellevel可选缺省情况下,命令级别为0设置VTY用户的服务类型service-typetelnet必选缺省情况下,无用户的服务类型退出至系统视图quit-配置VTY用户界面的公共属性-可选详细配置请参见2.
3.
6配置VTY用户界面的公共属性(可选)使能命令行授权功能后,还需要进行如下配置才能保证命令行授权功能生效:z需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA".
z需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见"安全配置指导"中的"AAA".
使能命令行计费功能后,还需要进行如下配置才能保证命令行计费功能生效:z需要创建HWTACACS方案,在方案中指定计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA".
z需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见"安全配置指导"中的"AAA".
需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别.
zAAA方案为local认证时,用户级别通过authorization-attributelevellevel命令设定.
zAAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别.
有关AAA、RADIUS、HWTACACS的详细内容,请参见"安全配置指导"中的"AAA"的介绍.
配置完成后,当用户再次通过Telnet登录设备时:z设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如),如图2-13所示.
2-19z如果用户输入正确的登录用户名和密码后,设备提示用户再次输入一个指定类型的密码,则表示当前用户需要进行二次密码认证,即用户还必须根据提示信息输入一个正确的密码后才能通过认证.
z如果出现"Alluserinterfacesareused,pleasetrylater!
"的提示,表示当前Telnet到设备的用户过多,则请稍候再连接.
图2-13用户通过Telnet登录设备时AAA认证登录界面2.
3.
6配置VTY用户界面的公共属性(可选)表2-13VTY用户界面的公共属性配置操作命令说明进入系统视图system-view-使能显示版权信息copyright-infoenable可选缺省情况下,显示版权信息处于使能状态进入一个或多个VTY用户界面视图user-interfacevtyfirst-number[last-number]-启动终端服务shell可选缺省情况下,在所有的用户界面上启动终端服务配置VTY用户界面支持的协议protocolinbound{all|ssh|telnet}可选缺省情况下,设备同时支持Telnet和SSH协议使用该命令配置的协议将在用户下次使用该用户界面登录时生效VTY用户界面配置配置中止当前运行任务的快捷键escape-key{default|character}可选缺省情况下,键入中止当前运行的任务2-20操作命令说明配置终端的显示类型terminaltype{ansi|vt100}可选缺省情况下,终端显示类型为ANSI设置终端屏幕一屏显示的行数screen-lengthscreen-length可选缺省情况下,终端屏幕一屏显示的行数为24行screen-length0表示关闭分屏显示功能设置设备历史命令缓冲区大小history-commandmax-sizevalue可选缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令设置VTY用户界面的超时时间idle-timeoutminutes[seconds]可选缺省情况下,所有的用户界面的超时时间为10分钟如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开idle-timeout0表示关闭用户界面的超时功能设置从用户界面登录后自动执行的命令auto-executecommandcommand可选缺省情况下,未设定自动执行命令配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接.
如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接.
该命令通常用来配置Telnet命令,使用户登录时自动连接到指定的主机z使用auto-executecommand命令后,可能导致用户不能通过该终端线对本系统进行常规配置,需谨慎使用.
z在配置auto-executecommand命令并保存配置(执行save操作)之前,要确保可以通过其他VTY、AUX用户登录进来更改配置,以便出现问题后,能删除该配置.
2.
3.
7配置设备充当TelnetClient登录TelnetServer1.
配置前提用户已经成功登录到了设备上,并希望将当前设备作为TelnetClient登录到TelnetServer上进行操作.
具体请参见图2-14所示.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2-21图2-14通过交换机登录到其它交换机如果TelnetClient与TelnetServer相连的端口不在同一子网内,请确保两台设备间路由可达.
2.
配置过程表2-14设备作为TelnetClient登录到TelnetServer的配置操作命令说明telnetremote-host[service-port][[vpn-instancevpn-instance-name]|[source{interfaceinterface-typeinterface-number|ipip-address}]]设备作为TelnetClient登录到TelnetServertelnetipv6remote-host[-iinterface-typeinterface-number][port-number][vpn-instancevpn-instance-name]二者必选其一此命令在用户视图下执行指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口telnetclientsource{interfaceinterface-typeinterface-number|ipip-address}可选缺省情况下,没有指定发送Telnet报文的源IPv4地址和源接口,此时通过路由选择源IPv4地址配置完成后,设备即可登录到相应的TelnetServer上.
2.
4配置通过SSH登录2.
4.
1通过SSH登录设备简介SSH是SecureShell(安全外壳)的简称.
用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击.
设备支持SSH功能,用户可以通过SSH方式登录到设备上,对设备进行远程管理和维护如图2-15所示.
图2-15通过SSH登录表2-15采用SSH方式登录需要具备的条件对象需要具备的条件SSH服务器端配置设备VLAN接口的IP地址,设备与SSH客户端间路由可达2-22对象需要具备的条件配置SSH登录的认证方式和其它配置(根据SSH服务器端的情况而定)如果是主机作为SSH客户端,则需要在主机上运行SSH客户端程序SSH客户端获取要登录设备VLAN接口的IP地址设备可以作为SSHClient登录到SSHServer上,从而对其进行操作.
设备可以充当SSHServer:z设备支持SSHServer功能:可作为SSHServer,并可在设备上进行一系列的配置、实现对不同SSHClient的登录权限的控制.
z缺省情况下,设备的SSHServer功能处于关闭状态,因此当您使用SSH方式登录设备前,首先需要通过Console口登录到设备上,开启设备的SSHServer功能、对认证方式及其它属性进行相应的配置,才能保证通过SSH方式正常登录到设备.
本节将为您介绍:z设备充当SSH服务器端时:当用户确定了今后通过SSH客户端登录设备、并已成功登录到设备后,用户如何在设备上配置SSH客户端登录设备时的认证方式及其它属性,从而实现对SSH登录用户的控制和管理.
具体请参见2.
4.
2配置设备充当SSH服务器.
z设备充当SSH客户端时:设备SSH登录到Server时的配置,具体请参见2.
4.
3配置设备充当SSH客户端登录其它设备.
2.
4.
2配置设备充当SSH服务器1.
配置前提用户已经成功登录到了设备上,并希望以后通过SSHClient登录设备.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2.
配置过程表2-16设备充当SSH服务器时的配置操作命令说明进入系统视图system-view-生成本地DSA或RSA密钥对public-keylocalcreate{dsa|rsa}必选缺省情况下,没有生成DSA和RSA密钥对使能SSH服务器功能sshserverenable必选缺省情况下,SSH服务器功能处于关闭状态进入VTY用户界面视图user-interfacevtyfirst-number[last-number]-配置登录用户界面的认证方式为scheme方式authentication-modescheme必选缺省情况下,用户界面认证为password方式2-23操作命令说明配置所在用户界面支持SSH协议protocolinbound{all|ssh}可选缺省情况下,系统支持所有的协议,即支持Telnet和SSH使能命令行授权功能commandauthorization可选缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权z需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA"z需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见"安全配置指导"中的"AAA"使能命令行计费功能commandaccounting可选z缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行z命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作.
命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录退出至系统视图quit-进入ISP域视图domaindomain-name配置域使用的AAA方案authenticationdefault{hwtacacs-schemehwtacacs-scheme-name[local]|local|none|radius-schemeradius-scheme-name[local]}配置设备采用的认证方案退出至系统视图quit可选缺省情况下,系统使用的AAA方案为local如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:z设备上的配置请参见"安全配置指导"中的"AAA"zAAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书2-24操作命令说明创建本地用户(进入本地用户视图)local-useruser-name必选缺省情况下,没有配置本地用户设置本地认证口令password{cipher|simple}password必选缺省情况下,没有配置本地认证口令设置VTY用户的命令级别authorization-attributelevellevel可选缺省情况下,命令级别为0设置VTY用户的服务类型service-typessh必选缺省情况下,无用户的服务类型退出至系统视图quit-建立SSH用户,并指定SSH用户的认证方式sshuserusernameservice-typestelnetauthentication-type{password|{any|password-publickey|publickey}assignpublickeykeyname}必选缺省情况下,没有配置SSH用户及SSH用户的认证方式配置VTY用户界面的公共属性-可选详细配置请参见2.
3.
6配置VTY用户界面的公共属性(可选)本章只介绍采用password方式认证SSH客户端的配置方法,publickey方式的配置方法及SSH的详细介绍,请参见"安全配置指导"中的"SSH2.
0".
使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:z需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;z需要在ISP域中引用已创建的HWTACACS方案.
详细介绍请参见"安全配置指导"中的"AAA".
2-25z用户采用password认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别.
AAA方案为local认证时,用户级别通过authorization-attributelevellevel命令设定;AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别.
有关AAA、RADIUS、HWTACACS的详细内容,请参见"AAA配置指导"中的"AAA".
z用户采用publickey认证方式登录设备时,其所能访问的命令级别取决于用户界面上通过userprivilegelevel命令配置的级别2.
4.
3配置设备充当SSH客户端登录其它设备1.
配置前提用户已经成功登录到了设备上,并希望将当前设备作为SSHClient登录到其它设备上进行操作.
具体请参见图2-14所示.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
图2-16通过交换机设备登录到其它交换机设备如果SSHClient与SSHServer相连的端口不在同一子网内,请确保两台设备间路由可达.
2.
配置过程表2-17设备作为SSHClient登录到其它设备的配置操作命令说明设备作为SSHClient登录到SSHIPv4服务器端ssh2server必选server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写此命令在用户视图下执行设备作为SSHClient登录到SSHIPv6服务器端ssh2ipv6server必选server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写.
2-26为配合SSHServer,设备充当SSHClient时还可进一步进行其它配置,具体请参见"安全配置指导"中的"SSH2.
0".
配置完成后,设备即可登录到相应的SSHServer上.
2.
5配置通过Modem登录设备2.
5.
1通过Modem登录设备简介网络管理员可以通过设备的Console口,利用一对Modem和PSTN(PublicSwitchedTelephoneNetwork,公共电话交换网)拔号登录到设备上,对远程设备进行管理和维护.
这种登录方式一般适用于在网络中断的情况下,利用PSTN网络对设备进行远程管理、维护及故障定位.
本节将为您介绍如何通过Modem登录设备,并配置登录时的认证方式、用户级别及公共属性,实现对Modem登录用户的控制.
本节将为您介绍:z设备支持Modem登录认证方式及配置Modem登录认证方式的意义、各种认证方式的特点及注意事项.
具体请参见2.
5.
3Modem拨号登录的认证方式介绍.
z当用户确定了今后通过Modem登录设备时将采用何种认证方式后、并通过缺省配置登录到设备后,用户如何在设备上配置Modem登录设备时的认证方式及用户级别,实现对Modem登录用户的控制和管理.
具体请参见2.
5.
4配置用户通过Modem登录设备时无需认证(None)、2.
5.
5配置用户通过Modem登录设备时采用密码认证(Password)及2.
5.
6配置用户通过Modem登录设备时采用AAA认证(Scheme).
z配置通过Modem登录设备时的公共属性.
具体请参见2.
2.
7配置Console口登录方式的公共属性(可选).
2.
5.
2缺省配置下如何通过Modem登录设备缺省情况下,用户通过Modem登录设备时,设备不需要任何登录认证,缺省可以访问命令级别为3级的命令.
通过Modem登录设备的方法如下:表2-18通过Console口利用Modem拨号进行远程登录需要具备的条件配置对象需要具备的条件PC终端与Modem正确连接Modem与可正常使用的电话线正确相连网络管理员端获取了远程设备端Console口所连Modem上对应的电话号码Console口与Modem正确连接在Modem上进行了正确的配置Modem与可正常使用的电话线正确相连设备端设备上配置了登录用户的认证方式、用户级别及其它配置2-27(1)如图2-17所示,建立远程配置环境,在PC机(或终端)的串口和设备的Console口分别挂接Modem.
图2-17搭建远程配置环境(2)网络管理员端的相关配置.
PC终端与Modem正确连接、Modem与可正常使用的电话线正确相连、获取了远程设备端Console口所连Modem上对应的电话号码.
利用Modem拨号进行远程登录时,使用的是AUX用户界面,设备上的配置需要注意以下几点:zConsole口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象.
zConsole口的校验方式、停止位、数据位等均采用缺省值.
(3)在与设备直接相连的Modem上进行以下配置.
AT&F-Modem恢复出厂配置ATS0=1-配置自动应答(振铃一声)AT&D-忽略DTR信号AT&K0-禁止流量控制AT&R1-忽略RTS信号AT&S0-强制DSR为高电平ATEQ1&W-禁止modem回送命令响应和执行结果并存储配置在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果.
各种Modem配置命令及显示的结果有可能不一样,具体操作请参照Modem的说明书进行.
(4)在PC机上运行终端仿真程序(如WindowsXP/Windows2000的超级终端等,以下配置以WindowsXP为例),新建一个拨号连接(所拨号码为与设备相连的Modem的电话号码),与设备建立连接,如图2-18至图2-20所示.
如果您的PC使用的是Windows2003Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows2008Server、Windows7、WindowsVista或其他操作系统,请您准备第三方的拨号控制软件,使用方法请参照软件的使用指导或联机帮助.
(5)在远端通过终端仿真程序和Modem向设备拨号2-28图2-18新建连接图2-19拨号号码配置图2-20在远端PC机上拨号(6)当听到拨号音后,超级终端窗口将返回字符串"CONNECT9600",键入回车键之后将出现命令行提示符(如),如图2-21所示.
2-29图2-21Console口登录界面(7)如果配置验证方式为Password,在远端的终端仿真程序上输入已配置的登录口令,出现命令行提示符(如),即可对设备进行配置或管理.
需要帮助可以随时键入"",具体的配置命令请参考本手册中相关模块的内容.
(8)键入命令,配置设备或查看设备运行状态.
需要帮助可以随时键入"",具体的配置命令请参考本手册中相关部分的内容.
z当您想断开PC与远端设备的连接时,首先在超级终端中用命用"ATH"命令断开modem间的连接.
如果在超级终端窗口无法输入此命令,可输入"AT+++"并回车,待窗口显示"OK"提示后再输入"ATH"命令,屏幕再次显示"OK"提示,表示已断开本次连接.
您也可以使用超级终端页面提供的挂断按扭断开PC与远端设备的连接.
z当您使用完超级终端仿真程序后,务必要先断开PC与远端设备的连接,不能直接关闭超级终端,否则有些型号的远程modem将一直在线,下次拨号连接时将无法拨号成功.
2.
5.
3Modem拨号登录的认证方式介绍通过在AUX用户界面下配置认证方式,可以对使用Modem拨号登录的用户进行限制,以提高设备的安全性.
Modem拨号支持的认证方式有none、password和scheme三种.
z认证方式为none:表示下次使用Modem拨号登录设备时,不需要进行用户名和密码认证、任何人都可以通过Modem拨号登录到设备上,这种情况可能会带来安全隐患.
z认证方式为password:表示下次使用Modem拨号登录设备时,需要进行密码认证、只有密码认证成功、用户才能登录到设备上.
配置认证方式为password后,请妥善保存密码.
z认证方式为scheme:表示下次使用Modem拨号登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败.
用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配2-30置用户名和密码.
有关用户认证方式及参数的详细介绍请参见"安全配置指导"中的"AAA".
配置认证方式为scheme后,请妥善保存用户名及密码.
不同的认证方式下,Modem拨号登录方式需要进行的配置不同,具体配置如表2-3所示.
表2-19配置任务简介认证方式认证所需配置说明None设置登录用户的认证方式为不认证具体内容请参见2.
5.
4设置登录用户的认证方式为Password认证Password设置本地验证的口令具体内容请参见2.
5.
5设置登录用户的认证方式为Scheme认证在设备上配置RADIUS/HWTACACS方案在设备上配置域使用的AAA方案采用远端AAA服务器认证在AAA服务器上配置相关的用户名和密码在设备上配置认证用户名和密码Scheme选择认证方案采用本地认证在设备上配置域使用的AAA方案为本地认证具体内容请参见2.
5.
6改变Modem拨号登录方式的认证方式后,该认证方式的设置不会立即生效.
用户需要退出命令行接口后重新登录,该设置才会生效.
2.
5.
4配置用户通过Modem登录设备时无需认证(None)1.
配置前提用户已经成功登录到了设备上,并希望以后通过Modem拨号登录设备时无需进行认证.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2.
配置过程表2-20配置用户通过Modem拨号登录设备时无需认证操作命令说明进入系统视图system-view-进入AUX用户界面视图user-interfaceauxfirst-number[last-number]-2-31操作命令说明设置登录用户的认证方式为不认证authentication-modenone必选缺省情况下,用户通过Modem拨号登录,认证方式为none(即不需要进行认证)配置AUX用户界面的公共属性-可选详细配置请参见2.
5.
7配置AUX用户界面的公共属性(可选)配置完成后,当用户再次通过Modem拨号登录设备时,设备将提示用户键入回车,之后将出现命令行提示符(如),如图2-22所示.
图2-22用户通过Modem拨号登录设备时无需认证登录界面2.
5.
5配置用户通过Modem登录设备时采用密码认证(Password)1.
配置前提用户已经成功登录到了设备上,并希望以后通过Modem拨号登录设备时采用密码认证、以提高设备的安全性.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2.
配置过程表2-21配置用户通过Modem拨号登录设备时采用密码认证操作命令说明进入系统视图system-view-进入AUX用户界面视图user-interfaceauxfirst-number[last-number]-2-32操作命令说明设置登录用户的认证方式为本地口令认证authentication-modepassword必选缺省情况下,用户通过Modem登录,认证方式为none(即不需要进行认证)设置本地验证的口令setauthenticationpassword{cipher|simple}password必选缺省情况下,没有设置本地认证的口令配置AUX用户界面的公共属性-可选详细配置请参见2.
5.
7配置AUX用户界面的公共属性(可选)配置完成后,当用户再次通过Modem拨号登录设备时,键入回车后,设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如),如图2-23所示.
图2-23用户通过Modem拨号登录设备时采用密码认证登录界面2.
5.
6配置用户通过Modem登录设备时采用AAA认证(Scheme)1.
配置前提用户已经成功的登录到了设备上,并希望以后通过Modem拨号登录设备时采用AAA认证、以提高设备的安全性.
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3.
如何在缺省情况下登录设备,具体请参见2.
2.
2缺省配置下如何通过Console口登录设备.
2-332.
配置过程表2-22配置用户通过Modem拨号登录设备时采用AAA认证操作命令说明进入系统视图system-view-进入AUX用户界面视图user-interfaceauxfirst-number[last-number]-设置登录用户的认证方式为通过认证方案认证authentication-modescheme必选具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定缺省情况下,用户通过AUX用户界面登录,认证方式为none(即不需要进行认证)使能命令行授权功能commandauthorization可选z缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权z缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行.
配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制.
即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行.
使能命令行计费功能commandaccounting可选z缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行z命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作.
命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录.
退出至系统视图quit-进入ISP域视图domaindomain-name配置设备采用的认证方案配置域使用的AAA方案authenticationdefault{hwtacacs-schemehwtacacs-scheme-name[local]|local|none|radius-schemeradius-scheme-name[local]}可选缺省情况下,系统使用的AAA方案为local如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认2-34操作命令说明退出至系统视图quit证,则需进行如下配置:z设备上的RADIUS、HWTACACS方案配置请参见"安全配置指导"中的"AAA"zAAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书创建本地用户(进入本地用户视图)local-useruser-name必选缺省情况下,无本地用户设置本地用户认证口令password{cipher|simple}password必选设置本地用户的命令级别authorization-attributelevellevel可选缺省情况下,命令级别为0设置本地用户的服务类型service-typeterminal必选缺省情况下,无用户服务类型配置AUX用户界面的公共属性-可选详细配置请参见2.
5.
7配置AUX用户界面的公共属性(可选)使能命令行授权功能后,还需要进行如下配置才能保证命令行授权功能生效:z需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA".
z需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见"安全配置指导"中的"AAA".
使能命令行计费功能后,还需要进行如下配置才能保证命令行计费功能生效:z需要创建HWTACACS方案,在方案中指定计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA".
z需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见"安全配置指导"中的"AAA".
需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别.
zAAA方案为local认证时,用户级别通过authorization-attributelevellevel命令设定.
zAAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别.
有关AAA、RADIUS、HWTACACS的详细内容,请参见"安全配置指导"中的"AAA"的介绍.
2-35配置完成后,当用户再次通过Modem拨号登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如),如图2-6所示.
图2-24用户通过Modem拨号登录设备时AAA认证登录界面2.
5.
7配置AUX用户界面的公共属性(可选)表2-23AUX用户界面的公共属性配置操作命令说明进入系统视图system-view-使能显示版权信息copyright-infoenable可选缺省情况下,显示版权信息处于使能状态进入AUX用户界面视图user-interfaceauxfirst-number[last-number]-配置传输速率speedspeed-value可选缺省情况下,传输速率为9600bit/s传输速率为设备与访问终端之间每秒钟传送的比特的个数配置校验方式parity{even|mark|none|odd|space}可选缺省情况下,校验方式为none,即不进行校验配置AUX用户界面的属性配置停止位stopbits{1|1.
5|2}可选缺省情况下,停止位为1停止位用来表示单个包的结束.
停止位的位数越多,传输效率越低2-36操作命令说明配置数据位databits{5|6|7|8}可选缺省情况下,数据位为8位数据位的设置取决于需要传送的信息.
比如,如果传送的是标准的ASCII码,则可以将数据位设置为7,如果传输的是扩展的ASCII码,则需要将数据位设置为8配置启动终端会话的快捷键activation-keycharacter可选缺省情况下,按键启动终端会话配置中止当前运行任务的快捷键escape-key{default|character}可选缺省情况下,键入中止当前运行的任务配置流量控制方式flow-control{hardware|none|software}可选缺省情况下,流量控制方式为none配置终端的显示类型terminaltype{ansi|vt100}可选缺省情况下,终端显示类型为ANSI当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象.
建议两端都设置为VT100类型设置用户登录后可以访问的命令级别userprivilegelevellevel可选缺省情况下,从AUX用户界面登录后可以访问的命令级别为3级设置终端屏幕一屏显示的行数screen-lengthscreen-length可选缺省情况下,终端屏幕一屏显示的行数为24行screen-length0表示关闭分屏显示功能设置历史命令缓冲区大小history-commandmax-sizevalue可选缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令设置用户界面的超时时间idle-timeoutminutes[seconds]可选缺省情况下,所有的用户界面的超时时间为10分钟,如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开idle-timeout0表示关闭用户界面的超时功能2-37z改变Console口属性后会立即生效,通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性.
若用户需要通过Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口属性保持一致.
zConsole口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象.
2.
6CLI登录显示和维护表2-24CLI显示和维护操作命令说明显示当前为TelnetClient设置的源IP地址或源接口的信息displaytelnetclientconfiguration[|{begin|exclude|include}regular-expression]在任意视图下执行显示当前正在使用的用户界面以及用户的相关信息displayusers[|{begin|exclude|include}regular-expression]在任意视图下执行显示设备支持的所有用户界面以及用户的相关信息displayusersall[|{begin|exclude|include}regular-expression]在任意视图下执行显示用户界面的相关信息displayuser-interface[num1|{aux|vty}num2][summary][|{begin|exclude|include}regular-expression]在任意视图下执行释放指定的用户界面freeuser-interface{num1|{aux|vty}num2}在用户视图下执行系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以使用以下命令强制断开该用户的连接.
不能使用该命令释放用户当前自己使用的连接.
锁住当前用户界面lock在用户视图下执行缺省情况下,不锁住当前用户界面设置在用户界面之间传递消息send{all|num1|{aux|vty}num2}在用户视图下执行3-13配置通过Web网管登录设备3.
1通过Web网管登录设备简介为了方便您对网络设备进行配置和维护,设备提供Web网管功能.
设备提供一个内置的Web服务器,您可以通过PC登录到设备上,使用Web界面直观地配置和维护设备.
缺省情况下,用户不能通过Web登录到设备上,如果要使用Web登录设备,您首先需要通过Console口登录到设备上,开启设备的Web登录功能(开启HTTP或HTTPS协议),并配置设备VLAN接口的IP地址、Web登录用户及认证口令等,配置完成后,您即可使用Web网管的方式登录设备.
设备支持两种内置的Web登录方式:zHTTP登录方式:HTTP是HypertextTransferProtocol(超文本传输协议)的简称.
它用来在Internet上传递Web页面信息.
HTTP位于TCP/IP协议栈的应用层.
传输层采用面向连接的TCP.
目前,设备支持的HTTP协议版本为HTTP/1.
0.
zHTTPS登录方式:HTTPS(SecureHTTP,安全的HTTP)是支持SSL(SecureSocketsLayer,安全套接层)协议的HTTP协议.
HTTPS通过SSL协议,使客户端与设备之间交互的数据经过加密处理,并为设备制定基于证书属性的访问控制策略,提高了数据传输的安全性和完整性,保证合法客户端可以安全地访问设备,禁止非法的客户端访问设备,从而实现了对设备的安全管理.
表3-1通过Web登录设备需要具备的条件对象需要具备的条件配置设备VLAN的IP地址,设备与Web登录用户间路由可达HTTP方式配置设备配置Web登录用户的属性二者必选其一HTTPS方式配置运行Web浏览器Web登录用户获取要登录设备VLAN接口的IP地址本节将为您介绍如何通过Web登录设备,并配置通过Web登录时的认证方式及用户级别等,实现对Web登录用户的控制.
3.
2配置通过HTTP方式登录设备表3-2配置通过HTTP方式登录设备操作命令说明进入系统视图system-view-启动HTTP服务器iphttpenable必选缺省情况下,Web服务器为启动状态3-2操作命令说明配置HTTP服务的端口号iphttpportport-number可选缺省情况下,HTTP服务的端口号为80如果重复执行此命令,HTTP服务将使用最后一次配置的端口号配置HTTP服务与ACL关联iphttpaclacl-number可选缺省情况下,没有ACL与HTTP服务关联通过将HTTP服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问设备创建本地用户(进入本地用户视图)local-useruser-name必选缺省情况下,无本地用户配置本地认证口令password{cipher|simple}password必选缺省情况下,无本地认证口令配置Web登录的用户级别authorization-attributelevellevel必选缺省情况下,没有配置Web登录的用户级别配置Web登录用户的服务类型service-typetelnet必选缺省情况下,没有配置用户的服务类型退出至系统视图quit-创建VLAN接口并进入VLAN接口视图interfacevlan-interfacevlan-interface-id必选如果该VLAN接口已经存在,则直接进入该VLAN接口视图配置VLAN接口的IP地址ipaddressip-address{mask|mask-length}必选缺省情况下,没有配置VLAN接口的IP地址3.
3配置通过HTTPS方式登录设备表3-3配置通过HTTPS方式登录设备操作命令说明进入系统视图system-view-3-3操作命令说明配置HTTPS服务与SSL服务器端策略关联iphttpsssl-server-policypolicy-name必选缺省情况下,没有SSL服务器端策略与HTTPS服务关联z关闭HTTPS服务后,系统将自动取消HTTPS服务与SSL服务器端策略的关联.
再次使能HTTPS服务之前,需要重新配置HTTPS服务与SSL服务器端策略关联zHTTPS服务处于使能状态时,对与其关联的SSL服务器端策略进行的修改不会生效使能HTTPS服务iphttpsenable必选缺省情况下,HTTPS服务处于关闭状态使能HTTPS服务,会触发SSL的握手协商过程.
在SSL握手协商过程中,如果设备的本地证书已经存在,则SSL协商可以成功,HTTPS服务可以正常启动;如果设备的本地证书不存在,则SSL协商过程会触发证书申请流程.
由于证书申请需要较长的时间,会导致SSL协商不成功,从而无法正常启动HTTPS服务.
因此,在这种情况下,需要多次执行iphttpsenable命令,这样HTTPS服务才能正常启动配置HTTPS服务与证书属性访问控制策略关联iphttpscertificateaccess-control-policypolicy-name可选缺省情况下,没有证书属性访问控制策略与HTTPS服务关联z通过将HTTPS服务与已配置的客户端证书属性访问控制策略关联,可以实现对客户端的访问权限进行控制,进一步保证设备的安全性z如果配置HTTPS服务与证书属性访问控制策略关联,则必须同时在与HTTPS服务关联的SSL服务器端策略中配置client-verifyenable命令,否则,客户端无法登录设备.
z如果配置HTTPS服务与证书属性访问控制策略关联,则证书属性访问控制策略中必须至少包括一条permit规则,否则任何HTTPS客户端都无法登录设备.
z证书属性访问控制策略的详细介绍请参见"安全配置指导"中的"PKI"配置HTTPS服务的端口iphttpsportport-number可选缺省情况下,HTTPS服务的端口号为4433-4操作命令说明配置HTTPS服务与ACL关联iphttpsaclacl-number必选缺省情况下,没有ACL与HTTPS服务关联通过将HTTP服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问设备创建本地用户(进入本地用户视图)local-useruser-name必选缺省情况下,无本地用户配置本地认证口令password{cipher|simple}password必选缺省情况下,无本地认证口令配置Web登录的用户级别authorization-attributelevellevel必选缺省情况下,没有配置Web登录的用户级别配置Web登录用户的服务类型service-typetelnet必选缺省情况下,没有配置用户的服务类型退出至系统视图quit-创建VLAN接口并进入VLAN接口视图interfacevlan-interfacevlan-interface-id必选如果该VLAN接口已经存在,则直接进入该VLAN接口视图配置VLAN接口的IP地址ipaddressip-address{mask|mask-length}必选缺省情况下,没有配置VLAN接口的IP地址3.
4通过Web网管登录设备显示与维护在完成上述配置后,在任意视图下执行display命令可以显示Web用户的信息,通过查看显示信息验证配置的效果.
表3-4Web用户显示操作命令显示Web用户的相关信息displaywebusers[|{begin|exclude|include}regular-expression]显示HTTP的状态信息displayiphttp[|{begin|exclude|include}regular-expression]显示HTTPS的状态信息displayiphttps[|{begin|exclude|include}regular-expression]3-53.
5通过Web网管登录设备典型配置举例3.
5.
1使用HTTP方式登录设备典型配置举例1.
组网需求PC与设备通过以太网相连,设备的IP地址为192.
168.
0.
58/24.
2.
组网图图3-1配置HTTP方式登录组网图3.
配置步骤(1)配置Device#创建VLAN999,用作远程登录,并将Device上与PC相连的接口GigabitEthernet1/0/1加入VLAN999.
system-view[Sysname]vlan999[Sysname-vlan999]portGigabitEthernet1/0/1[Sysname-vlan999]quit#配置VLAN999接口的IP地址为192.
168.
0.
58,子网掩码为255.
255.
255.
0.
[Sysname]interfacevlan-interface999[Sysname-VLAN-interface999]ipaddress192.
168.
0.
58255.
255.
255.
0[Sysname-VLAN-interface999]quit#配置Web网管用户名为admin,认证口令为admin,用户级别为3级.
[Sysname]local-useradmin[Sysname-luser-admin]service-typetelnet[Sysname-luser-admin]authorization-attributelevel3[Sysname-luser-admin]passwordsimpleadmin(2)配置PC#在PC的浏览器地址栏内输入设备的IP地址并回车,浏览器将显示Web网管的登录页面,如图3-2所示:3-6图3-2通过Web登录设备#在"Web网管用户登录"对话框中输入用户名、密码及验证码(此处用户名以admin为例),并选择登录使用的语言,点击按钮后即可登录,显示Web网管初始页面.
成功登录后,您可以在配置区对设备进行各种配置.
3.
5.
2使用HTTPS方式登录设备典型配置举例1.
组网需求用户可以通过Web页面访问和控制设备.
为了防止非法用户访问和控制设备,提高设备管理的安全性,设备要求用户以HTTPS(HTTPSecurity,支持SSL协议的HTTP)的方式登录Web页面,利用SSL协议实现用户身份验证,并保证传输的数据不被窃听和篡改.
为了满足上述需求,需要进行如下配置:z配置Device作为HTTPS服务器,并为Device申请证书.
z为HTTPS客户端Host申请证书,以便Device验证其身份.
其中,负责为Device和Host颁发证书的CA(CertificateAuthority,认证机构)名称为new-ca.
z本配置举例中,采用WindowsServer作为CA.
在CA上需要安装SCEP(SimpleCertificateEnrollmentProtocol,简单证书注册协议)插件.
z进行下面的配置之前,需要确保Device、Host、CA之间路由可达.
3-72.
组网图图3-3HTTPS配置组网图10.
1.
1.
1/2410.
1.
2.
1/24HostCA10.
1.
1.
2/2410.
1.
2.
2/24Device3.
配置步骤(1)配置HTTPS服务器Device#配置PKI实体en,指定实体的通用名为http-server1、FQDN为ssl.
security.
com.
system-view[Device]pkientityen[Device-pki-entity-en]common-namehttp-server1[Device-pki-entity-en]fqdnssl.
security.
com[Device-pki-entity-en]quit#配置PKI域1,指定信任的CA名称为new-ca、注册服务器的URL为http://10.
1.
2.
2/certsrv/mscep/mscep.
dll、证书申请的注册受理机构为RA、实体名称为en.
[Device]pkidomain1[Device-pki-domain-1]caidentifiernew-ca[Device-pki-domain-1]certificaterequesturlhttp://10.
1.
2.
2/certsrv/mscep/mscep.
dll[Device-pki-domain-1]certificaterequestfromra[Device-pki-domain-1]certificaterequestentityen[Device-pki-domain-1]quit#生成本地的RSA密钥对.
[Device]public-keylocalcreatersa#获取CA的证书.
[Device]pkiretrieval-certificatecadomain1#为Device申请证书.
[Device]pkirequest-certificatedomain1#创建SSL服务器端策略myssl,指定该策略使用PKI域1,并配置服务器端需要验证客户端身份.
[Device]sslserver-policymyssl[Device-ssl-server-policy-myssl]pki-domain1[Device-ssl-server-policy-myssl]client-verifyenable[Device-ssl-server-policy-myssl]quit#创建证书属性组mygroup1,并配置证书属性规则,该规则规定证书颁发者的DN(DistinguishedName,可识别名称)中包含new-ca.
[Device]pkicertificateattribute-groupmygroup1[Device-pki-cert-attribute-group-mygroup1]attribute1issuer-namednctnnew-ca[Device-pki-cert-attribute-group-mygroup1]quit#创建证书访问控制策略myacp,并建立控制规则,该规则规定只有由new-ca颁发的证书可以通过证书访问控制策略的检测.
[Device]pkicertificateaccess-control-policymyacp3-8[Device-pki-cert-acp-myacp]rule1permitmygroup1[Device-pki-cert-acp-myacp]quit#配置HTTPS服务与SSL服务器端策略myssl关联.
[Device]iphttpsssl-server-policymyssl#配置HTTPS服务与证书属性访问控制策略myacp关联,确保只有从new-ca获取证书的HTTPS客户端可以访问HTTPS服务器.
[Device]iphttpscertificateaccess-control-policymyacp#使能HTTPS服务.
[Device]iphttpsenable#创建本地用户usera,密码为123,服务类型为telnet.
[Device]local-userusera[Device-luser-usera]passwordsimple123[Device-luser-usera]service-typetelnet(2)配置HTTPS客户端Host在Host上打开IE浏览器,输入网址http://10.
1.
2.
2/certsrv,根据提示为Host申请证书.
(3)验证配置结果在Host上打开IE浏览器,输入网址https://10.
1.
1.
1,选择new-ca为Host颁发的证书,即可打开Device的Web登录页面.
在登录页面,输入用户名usera,密码123,则可进入Device的Web配置页面,实现对Device的访问和控制.
zHTTPS服务器的URL地址以"https://"开始,HTTP服务器的URL地址以"http://"开始.
zPKI配置命令的详细介绍请参见"安全命令参考"中的"PKI";zpublic-keylocalcreatersa命令的详细介绍请参见"安全命令参考"中的"公钥管理";zSSL配置命令的详细介绍请参见"安全命令参考"中的"SSL".
4-14配置通过NMS登录设备4.
1通过NMS登录设备简介用户可通过NMS(NetworkManagementStation,网管工作站)登录到设备上,通过设备上的Agent模块对设备进行管理、配置.
设备支持多种NMS软件,如iMC、CAMS等.
缺省情况下,用户不能通过NMS登录到设备上,如果要使用NMS登录设备,您首先需要通过Console口登录到设备上,在设备上进行相关配置.
配置完成后,您即可使用NMS网管的方式登录设备.
表4-1通过NMS登录设备需要具备的条件对象需要具备的条件配置设备VLAN接口的IP地址,设备与NMS间路由可达设备配置SNMP基本功能NMS(网管工作站)NMS网管工作站进行了正确配置,具体配置请参见NMS附带的网管手册4.
2配置通过NMS登录设备建立配置环境,将PC机以太网口通过网络与设备VLAN1下的以太网口连接,确保PC机和VLAN1接口之间路由可达.
图4-1通过NMS方式登录组网环境表4-2配置SNMP基本参数(SNMPv3版本)操作命令说明进入系统视图system-view-启动SNMPAgent服务snmp-agent可选缺省情况下,SNMPAgent服务处于关闭状态执行此命令或执行snmp-agent的任何一条配置命令(不含display命令),都可以启动SNMPAgent配置SNMP组snmp-agentgroupv3group-name[authentication|privacy][read-viewread-view][write-viewwrite-view][notify-viewnotify-view][aclacl-number]必选缺省情况下,没有配置SNMP组4-2操作命令说明为SNMP组添加新用户snmp-agentusm-userv3user-namegroup-name[[cipher]authentication-mode{md5|sha}auth-password[privacy-mode{3des|aes128|des56}priv-password]][aclacl-number]必选如果使用cipher参数,则后面的auth-password和priv-password都将被视为密文密码表4-3配置SNMP基本参数(SNMPv1版本、SNMPv2c版本)操作命令说明进入系统视图system-view-启动SNMPAgent服务snmp-agent可选缺省情况下,SNMPAgent服务处于关闭状态.
执行此命令或执行snmp-agent的任何一条配置命令,都可以启动SNMPAgent创建或更新MIB视图内容snmp-agentmib-view{excluded|included}view-nameoid-tree[maskmask-value]可选缺省情况下,视图名为ViewDefault,OID为1直接设置创建一个新的SNMP团体snmp-agentcommunity{read|write}community-name[aclacl-number|mib-viewview-name]*设置一个SNMP组snmp-agentgroup{v1|v2c}group-name[read-viewread-view][write-viewwrite-view][notify-viewnotify-view][aclacl-number]设置访问权限间接设置为一个SNMP组添加一个新用户snmp-agentusm-user{v1|v2c}user-namegroup-name[aclacl-number]二者必选其一直接设置是以SNMPv1和v2c版本的团体名进行设置间接设置采用与SNMPv3版本一致的命令形式,添加的用户到指定的组,即相当于SNMPv1和SNMPv2c版本的团体名,在NMS上配置的团体名需要跟Agent上配置的用户名一致设备支持SNMPv1、SNMPv2c和SNMPv3三种版本,关于SNMP的详细介绍及配置,请参见"网络管理和监控配置指导"中的"SNMP"介绍.
4.
3通过NMS登录设备典型配置举例通过NMS登录设备的方法如下(此处以iMC为例):(1)设备配置#配置设备的IP地址为1.
1.
1.
1/24,并确保设备与NMS之间路由可达.
(配置步骤略)#进入系统视图.
system-view4-3#启动SNMPAgent服务.
[Sysname]snmp-agent#配置SNMP组.
[Sysname]snmp-agentgroupv3managev3groupread-viewtestwrite-viewtest#为SNMP组添加新用户[Sysname]snmp-agentusm-userv3managev3usermanagev3group(2)配置NMS用户可利用网管系统完成对设备的查询和配置操作,具体情况请参考NMS的配套手册.
NMS侧的配置必须和设备侧保持一致,否则无法进行相应操作.
(3)配置客户端在PC的浏览器地址栏内输入iMC的IP地址(此处以iMC的IP地址为192.
168.
4.
112为例),如图4-2所示:在地址栏中输入http://192.
168.
4.
112:8080/imc(IP地址和端口号应与实际安装环境保持一致).
图4-2登录页面在登录页面中,输入正确的操作员和密码后单击按钮,即可进入系统首页,如图4-3所示.
4-4图4-3iMC配置界面成功登录后,您可以选择相应选项对设备进行各种配置和管理.
需要帮助可以随时点击登录页面右上角的"帮助"选项获得相应功能的帮助信息.
通过以上配置,NMS可以和设备建立SNMP连接,能够通过MIB节点查询、设置设备上某些参数的值.
5-15对登录用户的控制5.
1对登录用户的控制简介设备提供对不同登录方式进行控制,如表5-1所示.
表5-1对登录用户的控制登录方式控制方式实现方法相关小节通过源IP对Telnet进行控制通过基本ACL实现5.
2.
2通过源IP、目的IP对Telnet进行控制通过高级ACL实现5.
2.
3Telnet通过源MAC对Telnet进行控制通过二层ACL实现5.
2.
4SNMP通过源IP对网管用户进行控制通过基本ACL实现5.
3.
2Web通过源IP对Web用户进行控制通过基本ACL实现5.
4.
25.
2配置对Telnet用户的控制5.
2.
1配置准备确定了对Telnet的控制策略,包括对哪些源IP、目的IP、源MAC进行控制,控制的动作是允许访问还是拒绝访问.
5.
2.
2通过源IP对Telnet进行控制本配置需要通过基本访问控制列表实现.
基本访问控制列表的序号取值范围为2000~2999.
关于ACL的定义请参见"ACL和QoS配置指导"中的"ACL"的相关内容.
表5-2通过源IP对Telnet进行控制操作命令说明进入系统视图system-view-创建或进入基本ACL视图acl[ipv6]numberacl-number[match-order{config|auto}]必选缺省情况下,匹配顺序为config定义子规则rule[rule-id]{permit|deny}[source{sour-addrsour-wildcard|any}|time-rangetime-name|fragment|logging]*必选退出ACL视图quit-进入用户界面视图user-interface[type]first-number[last-number]-5-2操作命令说明引用访问控制列表,通过源IP对Telnet进行控制acl[ipv6]acl-number{inbound|outbound}必选inbound:对Telnet到本设备的用户进行ACL控制outbound:对从本设备Telnet到其他Telnet服务器的用户进行ACL控制5.
2.
3通过源IP、目的IP对Telnet进行控制本配置需要通过高级访问控制列表实现.
高级访问控制列表的序号取值范围为3000~3999.
关于ACL的定义请参见"ACL和QoS配置指导"中的"ACL"的相关内容.
表5-3配置高级ACL规则操作命令说明进入系统视图system-view-创建或进入高级ACL视图acl[ipv6]numberacl-number[match-order{config|auto}]必选缺省情况下,匹配顺序为config定义子规则rule[rule-id]{permit|deny}rule-string必选用户可以根据需要配置对相应的源IP、目的IP进行过滤的规则退出ACL视图quit-进入用户界面视图user-interface[type]first-number[last-number]-引用访问控制列表,通过源IP、目的IP对Telnet进行控制acl[ipv6]acl-number{inbound|outbound}必选inbound:对Telnet到本设备的用户进行ACL控制outbound:对从本设备Telnet到其他Telnet服务器的用户进行ACL控制5.
2.
4通过源MAC地址对Telnet进行控制本配置需要通过二层访问控制列表实现.
二层访问控制列表的序号取值范围为4000~4999.
关于ACL的定义请参见"ACL和QoS配置指导"中的"ACL"的相关内容.
表5-4配置二层ACL规则操作命令说明进入系统视图system-view-创建或进入二层ACL视图aclnumberacl-number[match-order{config|auto}]必选缺省情况下,匹配顺序为config定义子规则rule[rule-id]{permit|deny}rule-string必选用户可以根据需要配置对相应的源MAC进行过滤的规则5-3操作命令说明退出ACL视图quit-进入用户界面视图user-interface[type]first-number[last-number]-引用访问控制列表,通过源MAC对Telnet进行控制aclacl-numberinbound必选inbound:对Telnet到本设备的用户进行ACL控制二层访问控制列表对于TelnetClient的源IP与Telnet服务器的接口IP不在同一网段的不生效.
5.
2.
5配置举例1.
组网需求通过源IP对Telnet进行控制,仅允许来自10.
110.
100.
52和10.
110.
100.
46的Telnet用户访问设备.
2.
组网图图5-1对Device的Telnet用户进行ACL控制3.
配置步骤#定义基本访问控制列表.
system-view[Sysname]aclnumber2000match-orderconfig[Sysname-acl-basic-2000]rule1permitsource10.
110.
100.
520[Sysname-acl-basic-2000]rule2permitsource10.
110.
100.
460[Sysname-acl-basic-2000]quit#引用访问控制列表,允许源地址为10.
110.
100.
52和10.
110.
100.
46的Telnet用户访问设备.
[Sysname]user-interfacevty015[Sysname-ui-vty0-15]acl2000inbound5-45.
3通过源IP对网管用户进行控制设备支持通过网管软件进行远程管理.
网管用户可以通过SNMP访问设备.
通过引用访问控制列表,可以对访问设备的SNMP用户进行控制.
5.
3.
1配置准备确定了对网管用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问.
5.
3.
2通过源IP对网管用户进行控制本配置需要通过基本访问控制列表实现.
基本访问控制列表的序号取值范围为2000~2999.
关于ACL的定义请参见"ACL和QoS配置指导"中的"ACL"的相关内容.
表5-5通过源IP对网管用户进行控制操作命令说明进入系统视图system-view-创建或进入基本ACL视图acl[ipv6]numberacl-number[match-order{config|auto}]必选缺省情况下,匹配顺序为config定义子规则rule[rule-id]{permit|deny}[source{sour-addrsour-wildcard|any}|time-rangetime-name|fragment|logging]*必选退出ACL视图quit-在配置SNMP团体名的命令中引用访问控制列表snmp-agentcommunity{read|write}community-name[aclacl-number|mib-viewview-name]*在配置SNMP组名的命令中引用访问控制列表snmp-agentgroup{v1|v2c}group-name[read-viewread-view][write-viewwrite-view][notify-viewnotify-view][aclacl-number]snmp-agentgroupv3group-name[authentication|privacy][read-viewread-view][write-viewwrite-view][notify-viewnotify-view][aclacl-number]在配置SNMP用户名的命令中引用访问控制列表snmp-agentusm-user{v1|v2c}user-namegroup-name[aclacl-number]snmp-agentusm-userv3user-namegroup-name[[cipher]authentication-mode{md5|sha}auth-password[privacy-mode{3des|aes128|des56}priv-password]][aclacl-number]必选根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组名或者用户名配置时引用访问控制列表,详细介绍请参见"网络管理和监控配置指导"中的"SNMP"的相关内容5.
3.
3配置举例1.
组网需求通过源IP对网管用户进行控制,仅允许来自10.
110.
100.
52和10.
110.
100.
46的SNMP用户访问设备.
5-52.
组网图图5-2对SNMP用户进行ACL控制3.
配置步骤#定义基本访问控制列表.
system-view[Sysname]aclnumber2000match-orderconfig[Sysname-acl-basic-2000]rule1permitsource10.
110.
100.
520[Sysname-acl-basic-2000]rule2permitsource10.
110.
100.
460[Sysname-acl-basic-2000]quit#引用访问控制列表,仅允许来自10.
110.
100.
52和10.
110.
100.
46的SNMP用户访问设备.
[Sysname]snmp-agentcommunityreadaaaacl2000[Sysname]snmp-agentgroupv2cgroupaacl2000[Sysname]snmp-agentusm-userv2cuseragroupaacl20005.
4通过源IP对Web用户进行控制设备支持通过Web方式进行远程管理.
Web用户可以通过HTTP协议访问设备.
通过引用访问控制列表,可以对访问设备的Web用户进行控制.
5.
4.
1配置准备确定了对Web用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问.
5.
4.
2通过源IP对Web用户进行控制本配置需要通过基本访问控制列表实现.
基本访问控制列表的序号取值范围为2000~2999.
关于ACL的定义请参见"ACL和QoS配置指导"中的"ACL"的相关内容.
表5-6通过源IP对Web用户进行控制操作命令说明进入系统视图system-view-创建或进入基本ACL视图acl[ipv6]numberacl-number[match-order{config|auto}]必选缺省情况下,匹配顺序为config5-6操作命令说明定义子规则rule[rule-id]{permit|deny}[source{sour-addrsour-wildcard|any}|time-rangetime-name|fragment|logging]*必选退出ACL视图quit-引用访问控制列表对Web用户进行控制iphttpaclacl-number必选5.
4.
3强制在线Web用户下线网络管理员可以通过命令行强制在线Web用户下线.
表5-7强制在线Web用户下线操作命令说明强制在线Web用户下线freeweb-users{all|user-iduser-id|user-nameuser-name}必选在用户视图下执行5.
4.
4配置举例1.
组网需求通过源IP对Web用户进行控制,仅允许来自10.
110.
100.
52的Web用户访问设备.
2.
组网图图5-3对Switch的HTTP用户进行ACL控制3.
配置步骤#定义基本访问控制列表.
system-view[Sysname]aclnumber2030match-orderconfig[Sysname-acl-basic-2030]rule1permitsource10.
110.
100.
520#引用访问控制列表,仅允许来自10.
110.
100.
52的Web用户访问设备.
[Sysname]iphttpacl2030
- 配置思科3560交换机相关文档
- 配置思科3560交换机
- 供应商思科3560交换机
- 磋商思科3560交换机
- "2015年8月上半月工业和信息化部核发进网许可证(含试用批文)的电信设备名录"
- 投标思科3560交换机
- 思科思科3560交换机
spinservers($89/月),圣何塞10Gbps带宽服务器,达拉斯10Gbps服务器
spinservers是Majestic Hosting Solutions LLC旗下站点,主要提供国外服务器租用和Hybrid Dedicated等产品的商家,数据中心包括美国达拉斯和圣何塞机房,机器一般10Gbps端口带宽,高配置硬件,支持使用PayPal、信用卡、支付宝或者微信等付款方式。目前,商家针对部分服务器提供优惠码,优惠后达拉斯机房服务器最低每月89美元起,圣何塞机房服务器最低每月...
易速互联月付299元,美国独立服务器促销,加州地区,BGP直连线路,10G防御
易速互联怎么样?易速互联是国人老牌主机商家,至今已经成立9年,商家销售虚拟主机、VPS及独立服务器,目前商家针对美国加州萨克拉门托RH数据中心进行促销,线路采用BGP直连线路,自带10G防御,美国加州地区,100M带宽不限流量,月付299元起,有需要美国不限流量独立服务器的朋友可以看看。点击进入:易速互联官方网站美国独立服务器优惠套餐:RH数据中心位于美国加州、配置丰富性价比高、10G DDOS免...
RepriseHosting:$27.97/月-L5640,16G内存,1TB硬盘,10TB月流量,西雅图机房
RepriseHosting是成立于2012年的国外主机商,提供独立服务器租用和VPS主机等产品,数据中心在美国西雅图和拉斯维加斯机房。商家提供的独立服务器以较低的价格为主,目前针对西雅图机房部分独立服务器提供的优惠仍然有效,除了价格折扣外,还免费升级内存和带宽,商家支持使用支付宝或者PayPal、信用卡等付款方式。配置一 $27.97/月CPU:Intel Xeon L5640内存:16GB(原...
思科3560交换机为你推荐
-
华为企业企业cms目前最好用的企业cms是哪个?http500http 500是什么意思?http404未找到为什么网站上传,打开看不到,显示HTTP 404 - 未找到文件360与搜狗腾讯搜搜为什么比不上360比不上搜狗比不上百度 ?googleprGoogle PR的值是6.这个是什么意思?360公司迁至天津公司名字变更,以前在北京,现在在天津,跨地区了怎么弄?支付宝账户是什么支付宝帐号,指的是什么帐号 是网营密码吗internetexplorer无法打开为什么Internet Explorer浏览器无法打开Aliasedinternal