配置2003服务器系统

i目录1登录设备1-11.
1登录方式简介·1-11.
2通过Console口进行本地登录1-21.
2.
1简介1-21.
2.
2登录步骤1-21.
3通过AUX口进行本地登录1-41.
3.
1配置准备1-41.
3.
2通过AUX口登录设备·1-51.
4通过Telnet进行远程登录1-61.
4.
1通过Telnet进行远程登录简介1-61.
4.
2Telnet配置环境搭建·1-71.
5通过SSH进行远程登录·1-101.
5.
1通过SSH登录设备简介1-101.
5.
2通过SSHClient登录到路由器·1-111.
5.
3路由器充当SSHClient登录其它设备1-131.
6通过AUX口利用Modem拨号远程登录·1-141.
6.
1通过AUX口利用Modem拨号进行远程登录简介·1-141.
6.
2网络管理员端的相关配置·1-151.
6.
3设备端的相关配置·1-151.
6.
4通过Modem拨号搭建配置环境1-152登录用户配置和管理2-12.
1用户界面简介·2-12.
1.
1用户界面概述·2-12.
1.
2用户与用户界面的关系2-12.
1.
3用户界面的编号2-12.
2用户界面配置任务简介·2-22.
3配置异步串口属性2-22.
4配置终端属性·2-32.
5配置自动执行命令2-42.
6通过用户界面配置用户级别·2-42.
7配置VTY用户界面访问限制·2-52.
8配置VTY用户界面支持的协议2-52.
9配置用户的认证方式·2-62.
10配置命令行授权功能·2-82.
11配置命令行计费功能·2-8ii2.
12配置启动终端会话及终止当前运行任务的快捷键2-92.
13向指定的用户界面发送消息·2-92.
14释放指定用户界面上建立的连接·2-92.
15用户界面显示和维护·2-102.
16用户界面典型配置举例·2-102.
16.
1用户认证配置举例·2-102.
16.
2命令行授权配置举例·2-122.
16.
3命令行计费配置举例·2-131-11登录设备1.
1登录方式简介您可以通过以下几种方式登录到设备的命令行界面,对设备进行配置和管理.
表1-1登录方式简介登录方式缺省状况通过Console口进行本地登录缺省情况下,您可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3通过AUX口进行本地登录缺省情况下,您不能直接通过AUX口本地登录设备.
如需通过AUX口本地登录,请先通过Console口本地登录设备、并完成如下配置:配置AUX用户的认证方式(缺省情况下,AUX用户采用Password认证方式)配置AUX用户的用户级别(缺省情况下,AUX用户的用户级别为0)通过Telnet进行远程登录缺省情况下,您不能直接通过Telnet方式登录设备.
如需采用Telnet方式登录,需要先通过Console口本地登录设备、并完成如下配置:开启设备Telnet功能(根据产品缺省情况选择)配置设备网管口或VLAN接口的IP地址,确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有IP地址)配置VTY用户的认证方式(缺省情况下,VTY用户采用Password认证方式)配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0)通过SSH进行远程登录缺省情况下,您不能直接通过SSH方式登录设备.
如需采用SSH方式登录,需要先通过Console口本地登录设备、并完成如下配置:开启设备SSH功能并完成SSH属性的配置(根据产品缺省情况选择)配置设备VLAN接口的IP地址,确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有IP地址)配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用Password认证方式)配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0)通过AUX口利用Modem拨号远程登录缺省情况下,您不能直接通过AUX口利用Modem拨号远程登录设备.
如需通过AUX口登录,请先通过Console口本地登录设备、并完成如下配置:配置AUX用户的认证方式(缺省情况下,AUX用户采用Password认证方式)配置AUX用户的用户级别(缺省情况下,AUX用户的用户级别为0)1-21.
2通过Console口进行本地登录1.
2.
1简介通过设备Console口进行本地登录是登录设备的最基本的方式,也是配置通过其他方式登录设备的基础.
缺省情况下,设备只能通过Console口进行本地登录.
用户终端的通信参数配置要和设备Console口的缺省配置保持一致,才能通过Console口登录到设备上.
设备Console口的缺省配置如下:表1-2设备Console口缺省配置属性缺省配置传输速率9600bit/s流控方式不进行流控校验方式不进行校验停止位1数据位81.
2.
2登录步骤(1)如图1-1所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与设备的Console口连接.
图1-1通过Console口搭建本地配置环境(2)在PC机上运行终端仿真程序(如WindowsXP/Windows2000的超级终端等,以下配置以WindowsXP为例),选择与设备相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图1-2至图1-4所示.
如果您的PC使用的是Windows2003Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows2008Server、Windows7、WindowsVista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参见软件的使用指导或联机帮助.
1-3图1-2新建连接图1-3连接端口设置图1-4端口通信参数设置(3)设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现如下命令行提示符:#May2409:27:29:9472010R5SHELL/4/LOGIN:Trap1.
3.
6.
1.
4.
1.
25506.
2.
2.
1.
1.
3.
0.
1:loginfromConsole1-4%May2409:27:29:9472010R5SHELL/5/SHELL_LOGIN:Consoleloggedinfromcon0.
(4)键入命令,配置设备或查看设备运行状态.
需要帮助可以随时键入"".
(5)执行完以上步骤后,您就可以登录设备的CLI界面,使用命令行对设备进行配置和管理了.
缺省情况下,使用Console用户界面登录设备时,是不需要进行身份认证的,为了设备的安全,建议修改Console用户界面的认证方式.
下面给出password认证方式的配置步骤,请参照.
system-view[Sysname]user-interfaceconsole0[Sysname-ui-console0]authentication-modepassword[Sysname-ui-console0]setauthenticationpasswordcipher123执行以上操作后,用户使用Console用户界面重新登录设备时,需要输入认证密码123才能通过身份验证,成功登录设备.
您还可以将Console用户界面的认证方式配置为none(无认证)或者scheme(用户名和密码认证),关于认证方式的介绍和详细配置请参见2.
9配置用户的认证方式.
用户使用Console口登录后,除了认证方式,还可以对其它登录参数进行配置,详细介绍请参见2.
3配置异步串口属性和2.
4配置终端属性.
1.
3通过AUX口进行本地登录1.
3.
1配置准备1.
修改AUX口默认配置在使用AUX口进行本地登录之前,需要通过Console口修改AUX口的默认配置,否则将无法登录设备.
请参考下面的步骤修改AUX口的默认配置:(1)通过Console口登录设备(具体步骤请参见"1.
2.
2登录步骤").
(2)配置AUX口登录设备的认证方式:(3)设置从AUX用户界面登录后可以访问的命令级别为3级.
system-view[Sysname]user-interfaceaux0[Sysname-ui-aux0]userprivilegelevel3用户通过AUX口登录设备时,缺省只能访问命令级别为0级的命令.
有关命令级别的描述请参见2.
6通过用户界面配置用户级别.
2.
配置用户终端通信参数用户终端的通信参数配置要和设备AUX口的缺省配置保持一致,才能通过AUX口登录到设备上.
设备AUX口的缺省配置如下:1-5表1-3设备AUX口缺省配置属性缺省配置传输速率9600bit/s流控方式不进行流控校验方式不进行校验停止位1数据位81.
3.
2通过AUX口登录设备(1)如图1-5所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与设备的AUX口连接.
图1-5通过AUX口搭建本地配置环境(2)在PC机上运行终端仿真程序(如WindowsXP/Windows2000的超级终端等,以下配置以WindowsXP为例),选择与设备相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图1-6至图1-8示.
如果您的PC使用的是Windows2003Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows2008Server、Windows7、WindowsVista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参见软件的使用指导或联机帮助.
图1-6新建连接1-6图1-7连接端口设置图1-8端口通信参数设置(3)设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现如下命令行提示符(假设设备名称为sysname):(4)键入命令,配置设备或查看设备运行状态.
需要帮助可以随时键入"".
执行完以上步骤后,您就可以登录设备的CLI界面,使用命令行对设备进行配置和管理了.
1.
4通过Telnet进行远程登录1.
4.
1通过Telnet进行远程登录简介设备支持Telnet功能,用户可以通过Telnet方式对设备进行远程管理和维护.
设备和Telnet用户端都要进行相应的配置,才能保证通过Telnet方式正常登录设备.
1-7表1-4通过Telnet登录设备需要具备的条件对象需要具备的条件设备配置设备网管口或以太网接口的IP地址,设备与Telnet用户间路由可达开启设备Telnet服务器功能(在系统视图下使用命令telnetserverenable).
配置Telnet登录的认证方式(请参见2.
9配置用户的认证方式)Telnet用户运行了Telnet程序获取设备网管口或以太网接口的IP地址1.
4.
2Telnet配置环境搭建通过Telnet方式登录设备时,用户可以通过下面两种方式Telnet到设备:通过终端Telent到设备:使用PC机作为Telnet客户端,Telnet到设备上,对其进行配置.
通过设备Telnet到设备:使用一台设备作为Telnet客户端,Telnet到另一台设备上,对其进行配置.
1.
通过终端Telnet到设备(1)通过Console口正确配置设备网络管理口(以下简称"网管口")的IP地址.
除了网管口,您也可以通过设备的普通业务接口进行Telnet登录.
通过Console口搭建配置环境.
如图1-9所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与设备的Console口连接.
图1-9通过Console口搭建本地配置环境在PC机上运行终端仿真程序(如Windows95/Windows98/WindowsNT/Windows2000/WindowsXP的超级终端),设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控.
设备上电,PC机终端上将显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符,如图1-10所示.
1-8图1-10设备配置页面通过Console口在超级终端中执行以下命令,配置设备网管口的IP地址为202.
38.
160.
92/24.
system-view[Sysname]interfaceM-Ethernet0/0/0[Sysname-M-Ethernet0/0/0]ipaddress202.
38.
160.
92255.
255.
255.
0如果通过业务接口进行Telnet登录,这时需要配置vlan-interface1的IP地址为202.
38.
160.
92/24(因为业务接口缺省属于VLAN1).
(2)在通过Telnet登录设备之前,针对用户需要的不同认证方式,在设备上进行相应配置.
请参见2.
9配置用户的认证方式.
(3)如图1-11所示,建立配置环境,将PC机以太网口通过网络与设备的网管口连接,确保PC机和网管口之间路由可达.
图1-11通过局域网搭建本地配置环境1-9(4)在PC机上运行Telnet程序,输入设备网管口的IP地址,如图1-12所示.
图1-12运行Telnet程序(5)如果配置验证方式为Password,则终端上显示"Loginauthentication",并提示用户输入已设置的登录口令,口令输入正确后则出现命令行提示符(如).
如果出现"Alluserinterfacesareused,pleasetrylater!
"的提示,表示当前Telnet到设备的用户过多,则请稍候再连接.
(6)使用相应命令配置设备或查看设备运行状态.
需要帮助可以随时键入"",具体的配置命令请参考本手册中相关部分的内容.
通过Telnet配置设备时,请不要删除或修改设备上对应本Telnet连接的网管口(或VLAN接口)的IP地址,否则会导致Telnet连接断开.
用户通过Telnet登录设备时,缺省只能访问命令级别为0级的命令.
有关命令级别的描述请参见2.
6通过用户界面配置用户级别.
2.
通过设备Telnet到设备用户可以从一台设备Telnet到另一台设备上,对其进行配置.
本端设备作为Telnet客户端,对端设备作为Telnet服务器端.
如果两台设备相连的端口在同一局域网内,则其IP地址必须配置在同一网段;否则,两台设备必须路由可达.
配置环境如图1-13所示,用户登录到一台设备后,输入telnet命令再登录其它设备,对其进行配置管理.
图1-13通过设备登录到其它设备(1)针对用户需要的不同认证方式,在作为TelnetServer的设备上进行相应配置.
请参见2.
9配置用户的认证方式.
(2)用户登录到作为TelnetClient的设备.
(3)在TelnetClient的设备上作如下操作:telnetxxxx其中xxxx是作为TelnetServer的设备的主机名、IP地址或VPN实例名,若为主机名,则需是已通过iphost命令配置的主机名.
详细命令行请参见表1-5:1-10表1-5设备作为TelnetClient登录到其它设备操作命令说明设备作为TelnetClient登录到其它设备(IPv4网络)telnetremote-host[service-port][[vpn-instancevpn-instance-name]|[source{interfaceinterface-typeinterface-number|ipip-address}]]二者必选其一此命令在用户视图下执行设备作为TelnetClient登录到其它设备(IPv6网络)telnetipv6remote-host[-iinterface-typeinterface-number][port-number][vpn-instancevpn-instance-name](4)登录后,出现命令行提示符(如),如果出现"Alluserinterfacesareused,pleasetrylater!
"的提示,表示当前Telnet到设备的用户过多,则请稍候再连接.
(5)使用相应命令配置设备或查看设备运行状态.
需要帮助可以随时键入"".
1.
5通过SSH进行远程登录1.
5.
1通过SSH登录设备简介SSH是SecureShell(安全外壳)的简称.
用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击.
设备支持SSH功能,用户可以通过SSH方式登录到设备上,对设备进行远程管理和维护如图1-14所示.
图1-14通过SSH登录表1-6采用SSH方式登录需要具备的条件对象需要具备的条件SSHServer配置SSHServer的IP地址,SSHServer与SSHClient间路由可达配置SSH登录的认证方式和其它配置(根据SSHServer的情况而定)SSHClient如果是主机作为SSH客户端,则需要在主机上运行SSH客户端程序获取要登录的SSHServer的IP地址路由器既可以充当SSHServer,也可以充当SSHClient.
作为SSHServer:可在SSHServer上进行一系列的配置,实现对不同SSHClient的登录权限的控制.
缺省情况下,路由器的SSHServer功能处于关闭状态,因此当您使用SSH方式登录路由器前,首先需要通过Console口登录到路由器上,开启路由器的SSHServer功能、对认证方式及其它属性进行相应的配置,才能保证通过SSH方式正常登录到路由器.
作为SSHClient:可通过路由器登录到SSHServer上,从而对SSHServer进行操作.
缺省情况下,路由器的SSHClient功能处于开启状态.
1-111.
5.
2通过SSHClient登录到路由器1.
配置前提通过Console口本地登录路由器,具体请参见1.
2通过Console口进行本地登录.
2.
配置过程路由器作为SSHServer,需要首先完成以下配置.
表1-7路由器充当SSHSERVER时的配置操作命令说明进入系统视图system-view-生成本地DSA或RSA密钥对public-keylocalcreate{dsa|rsa}必选缺省情况下,没有生成DSA和RSA密钥对使能SSHSERVER功能sshserverenable必选缺省情况下,SSHSERVER功能处于关闭状态退出至系统视图quit-进入VTY用户界面视图user-interfacevtyfirst-number[last-number]-配置登录用户界面的认证方式为scheme方式authentication-modescheme必选缺省情况下,用户界面认证为password方式配置所在用户界面支持SSH协议protocolinbound{all|ssh|telnet}可选缺省情况下,系统支持所有的协议,即支持Telnet和SSH使能命令行授权功能commandauthorization可选缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA"需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见"安全配置指导"中的"AAA"1-12操作命令说明使能命令行计费功能commandaccounting可选缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作.
命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录.
退出至系统视图quit-配置设备采用的认证方案进入ISP域视图domaindomain-name可选缺省情况下,系统使用的AAA方案为local如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:设备上的配置请参见"安全配置指导"中的"AAA"AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书配置域使用的AAA方案authenticationdefault{hwtacacs-schemehwtacacs-scheme-name[local]|local|none|radius-schemeradius-scheme-name[local]}退出至系统视图quit创建本地用户,并进入本地用户视图local-useruser-name必选缺省情况下,没有配置本地用户设置本地认证口令password{cipher|simple}password必选缺省情况下,没有配置本地认证口令设置本地用户的命令级别authorization-attributelevellevel可选缺省情况下,命令级别为0设置本地用户的服务类型service-typessh必选缺省情况下,不对用户授权任何服务退回系统视图quit-建立SSH用户,并指定SSH用户的认证方式sshuserusernameservice-typestelnetauthentication-type{password|{any|password-publickey|publickey}assignpublickeykeyname}可选缺省情况下,没有配置SSH用户及SSH用户的认证方式1-13操作命令说明配置VTY用户界面的公共属性-可选详细配置请参见2.
4配置终端属性从SSHClient登录到路由器(SSHServer)的具体步骤,与充当SSHClient的设备型号有关,请参考SSHClient设备配套的用户手册.
本章只介绍采用password方式认证SSH客户端的配置方法,publickey方式的配置方法及SSH的详细介绍,请参见"安全配置指导"中的"SSH".
使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;需要在ISP域中引用已创建的HWTACACS方案.
详细介绍请参见"安全配置指导"中的"AAA".
用户采用password认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别.
AAA方案为local认证时,用户级别通过authorization-attributelevellevel命令设定;AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别.
有关AAA、RADIUS、HWTACACS的详细内容,请参见"AAA配置指导"中的"AAA".
用户采用publickey认证方式登录设备时,其所能访问的命令级别取决于用户界面上通过userprivilegelevel命令配置的级别1.
5.
3路由器充当SSHClient登录其它设备1.
配置前提通过Console口本地登录路由器,具体请参见1.
2通过Console口进行本地登录.
图1-15通过路由器登录到其它设备1-14如果TelnetClient与TelnetServer相连的端口不在同一子网内,请确保两台设备间路由可达.
2.
配置过程表1-8路由器作为SSHClient登录到其它设备的配置操作命令说明路由器作为SSHClient登录到SSHIPv4服务器端ssh2server[port-number][vpn-instancevpn-instance-name][identity-key{dsa|rsa}|prefer-ctos-cipher{3des|aes128|des}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96}|prefer-kex{dh-group-exchange|dh-group1|dh-group14}|prefer-stoc-cipher{3des|aes128|des}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96}]*必选server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写此命令在用户视图下执行路由器作为SSHClient登录到SSHIPv6服务器端ssh2ipv6server[port-number][vpn-instancevpn-instance-name][identity-key{dsa|rsa}|prefer-ctos-cipher{3des|aes128|des}|prefer-ctos-hmac{md5|md5-96|sha1|sha1-96}|prefer-kex{dh-group-exchange|dh-group1|dh-group14}|prefer-stoc-cipher{3des|aes128|des}|prefer-stoc-hmac{md5|md5-96|sha1|sha1-96}]*必选server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写此命令在用户视图下执行为配合SSHServer,路由器充当SSHClient时还可进一步进行其它配置,具体请参见"安全配置指导"中的"SSH".
配置完成后,路由器即可登录到相应的SSHServer上.
1.
6通过AUX口利用Modem拨号远程登录1.
6.
1通过AUX口利用Modem拨号进行远程登录简介网络管理员可以通过远端设备的AUX口,利用一对Modem和PSTN(PublicSwitchedTelephoneNetwork,公共电话交换网)对远端的设备进行远程维护.
这种方式一般适用于在网络中断的情况下,利用PSTN网络对设备进行远程配置、日志/告警信息查询、故障定位.
设备和网络管理员端都要进行相应的配置,才能保证通过AUX口利用Modem拨号进行远程登录设备.
表1-9通过AUX口利用Modem拨号进行远程登录需要具备的条件配置对象需要具备的条件网络管理员端PC终端与Modem正确连接Modem与可正常使用的电话线正确相连获取了远程设备端AUX口所连Modem上对应的电话号码1-15配置对象需要具备的条件远程设备端AUX口与Modem正确连接在Modem上进行了正确的配置Modem与可正常使用的电话线正确相连远程设备上配置了登录用户的认证方式及认证方式对应的其它配置,请参见2.
9配置用户的认证方式1.
6.
2网络管理员端的相关配置PC终端与Modem正确连接、Modem与可正常使用的电话线正确相连、获取了远程设备端AUX口所连Modem上对应的电话号码.
1.
6.
3设备端的相关配置1.
与设备直接相连的Modem上的配置在与设备直接相连的Modem上进行以下配置(与终端相连的Modem不需要进行配置).
AT&FModem恢复出厂配置ATS0=1配置自动应答(振铃一声)AT&D忽略DTR信号AT&K0禁止流量控制AT&R1忽略RTS信号AT&S0强制DSR为高电平ATEQ1&W禁止modem回送命令响应和执行结果并存储配置在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果.
各种Modem配置命令及显示的结果有可能不一样,具体操作请参见Modem的说明书进行.
2.
设备的相关配置通过AUX口利用Modem拨号进行远程登录时,使用的是AUX用户界面,设备上的配置需要注意以下几点:AUX口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象.
AUX口的其它属性(AUX口校验方式、AUX口的停止位、AUX的数据位)均采用缺省值.
1.
6.
4通过Modem拨号搭建配置环境(1)在通过Modem拨号登录设备之前,请在设备上进行相应配置,参见1.
3.
11.
修改AUX口默认配置.
(2)在与设备直接相连的Modem上进行以下配置.
AT&FModem恢复出厂配置ATS0=1配置自动应答(振铃一声)AT&D忽略DTR信号AT&K0禁止流量控制AT&R1忽略RTS信号1-16AT&S0强制DSR为高电平ATEQ1&W禁止modem回送命令响应和执行结果并存储配置在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果.
(3)如图1-16所示,建立远程配置环境,在PC机(或终端)的串口和设备的AUX口分别挂接Modem.
图1-16搭建远程配置环境(4)在远端通过终端仿真程序和Modem向设备拨号(所拨号码应该是与设备相连的Modem的电话号码),与设备建立连接,如图图1-18至图1-19所示.
图1-17新建连接IPnetworkModemModem串口线Modem远端电话号码:12345678AuxDevice电话线PC1-17图1-18拨号号码配置图1-19在远端PC机上拨号(5)如果配置验证方式为Password,在远端的终端仿真程序上输入已配置的登录口令,出现命令行提示符(如),即可对设备进行配置或管理.
需要帮助可以随时键入"".
2-12登录用户配置和管理2.
1用户界面简介2.
1.
1用户界面概述当用户使用Console口、AUX口、Telnet或者SSH方式登录设备的时候,系统会分配一个用户界面(也称为Line)用来管理、监控设备和用户间的当前会话.
每个用户界面有对应的用户界面视图(User-interfaceview),在用户界面视图下网络管理员可以配置一系列参数,比如用户登录时是否需要认证、是否重定向到别的设备以及用户登录后的级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的.
目前系统支持的配置方式有:Console口本地配置AUX口本地或远程配置Telnet或SSH本地或远程配置与这些配置方式对应的是三种类型的用户界面:Console用户界面:用来管理和监控通过Console口登录的用户.
Console口是一种线设备端口.
设备提供Console口,端口类型为EIA/TIA-232DCE.
AUX用户界面:用来管理和监控通过AUX口登录的用户.
AUX口(Auxiliaryport,辅助端口)也是一种线设备端口.
设备提供AUX口,端口类型为EIA/TIA-232DTE,通常用于通过Modem进行拨号访问.
VTY(VirtualTypeTerminal,虚拟类型终端)用户界面:用来管理和监控通过VTY方式登录的用户.
VTY口属于逻辑终端线,用于对设备进行Telnet或SSH访问.
目前每台设备最多支持16个VTY用户同时访问.
2.
1.
2用户与用户界面的关系用户界面的管理和监控对象是使用某种方式登录的用户,虽然单个用户界面某一时刻只能被一个用户使用,但它并不针对某个用户.
比如用户A使用Console口登录设备时,将受到Console用户界面视图下配置的约束,当使用VTY1登录设备时,将受到VTY1用户界面视图下配置的约束.
根据设备的硬件配备情况,一台设备上可能有多个Console口、AUX口,所以设备可能支持多个Console、AUX、VTY用户界面,这些用户界面与用户并没有固定的对应关系.
用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户界面,整个登录过程将受该用户界面视图下配置的约束.
同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时机不同,分配的用户界面可能不同.
2.
1.
3用户界面的编号用户界面的编号有两种方式:绝对编号方式和相对编号方式.
1.
绝对编号方式使用绝对编号方式,可以唯一的指定一个用户界面或一组用户界面.
绝对编号从0开始自动编号,每次增长1,先给所有Console用户界面编号,其次是所有AUX用户界面,最后是所有VTY用户2-2界面.
使用displayuser-interface(不带参数)可查看到设备当前支持的用户界面以及它们的绝对编号.
2.
相对编号方式相对编号是每种类型用户界面的内部编号.
该方式只能指定某种类型的用户界面中的一个或一组,而不能跨类型操作.
相对编号方式的形式是:"用户界面类型编号",遵守如下规则:控制台的编号:CON0,第二个为CON1,依次类推.
辅助接口的编号:AUX0,第二个为AUX1,依次类推.
VTY的编号:第一个为VTY0,第二个为VTY1,依次类推.
2.
2用户界面配置任务简介表2-1用户界面配置配置任务说明详细配置配置异步串口属性可选2.
3配置终端属性可选2.
4配置自动执行命令可选2.
5配置用户界面所能访问的命令级别可选2.
6配置VTY用户界面访问限制可选2.
7配置VTY用户界面支持的协议可选2.
8配置用户的认证方式可选2.
9配置启动终端会话及终止当前运行任务的快捷键可选2.
10向指定的用户界面发送消息可选2.
13释放指定用户界面上建立的连接可选2.
142.
3配置异步串口属性用户可以通过以下步骤,来配置异步串口属性,使得设备与访问终端的特性能够匹配.
表2-2配置异步串口属性操作命令说明进入系统视图system-view-进入用户界面视图user-interface{first-num1[last-num1]|{aux|console}first-num2[last-num2]}-设置传输速率speedspeed-value可选缺省情况下,传输速率为9600bps2-3操作命令说明设置数据位的个数databits{5|6|7|8}可选缺省情况下,用户界面的数据位为8位设备不支持配置用户界面的数据位为5位和6位设置校验位的解析和生成方式parity{even|mark|none|odd|space}可选缺省情况下,设备校验位的校验方式为none,即不进行校验设置停止位stopbits{1|1.
5|2}可选缺省情况下,停止位为1,设备不支持配置停止位为1.
5位配置流量控制方式flow-control{hardware|software|none}可选缺省情况下,流量控制方式为none设备目前不支持hardware和software参数2.
4配置终端属性表2-3配置终端属性操作命令说明进入系统视图system-view-进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|vty}first-num2[last-num2]}-启动终端服务shell可选缺省情况下,系统在所有的用户界面上启动终端服务设置用户连接的超时时间idle-timeoutminutes[seconds]可选缺省情况下,用户连接的超时时间为10分钟设置下一屏显示的行数screen-lengthscreen-length可选缺省情况下,下一屏显示24行数据设置当前用户界面下的终端显示类型terminaltype{ansi|vt100}可选缺省情况下,终端显示类型为ANSI设置历史命令缓冲区可存放的历史命令的条数history-commandmax-sizesize-value可选缺省情况下,历史命令缓冲区可存放10条历史命令退回用户视图return-锁定用户界面,防止未授权的用户操作该界面lock可选缺省情况下,系统不会自动锁住当前用户界面2-4设备支持两种终端显示类型:ANSI和VT100.
当设备的终端类型与客户端(如超级终端或者Telnet客户端等)的终端类型不一致,或者均设置为ANSI,并且当前编辑的命令行的总字符数超过80个字符时,客户端会出现光标错位、终端屏幕不能正常显示的现象.
建议两端都设置为VT100类型.
2.
5配置自动执行命令配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接.
如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接.
该命令通常用来配置Telnet命令,使用户登录时自动连接到指定的主机.
表2-4配置自动执行命令操作命令说明进入系统视图system-view-进入用户界面视图user-interface{first-num1[last-num1]|{aux|vty}first-num2[last-num2]}-配置自动执行命令auto-executecommandcommand必选缺省情况下,未设定自动执行命令auto-executecommand命令使用时有如下的限制:Console口不支持auto-executecommand.
对其他类型的接口不作限制.
使用auto-executecommand命令后,可能导致用户不能通过该终端线对本系统进行常规配置,需谨慎使用.
在配置auto-executecommand命令并保存配置(执行save操作)之前,要确保可以通过其他VTY、CON、AUX用户登录进来更改配置,以便出现问题后,能删除该配置.
2.
6通过用户界面配置用户级别用户级别用来限制不同用户对设备的访问权限.
如果用户登录时使用的认证方式为scheme(即需要输入用户名和密码),而且是SSH的publickey认证方式时,则用户级别等于用户界面的级别,该级别在用户界面视图下配置,缺省情况下为0;如果用户登录时使用的认证方式为none或者password(即不需要输入用户名),则用户级别等于用户界面的级别.
表2-5配置用户界面所能访问的命令级别操作命令说明进入系统视图system-view-2-5操作命令说明进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|vty}first-num2[last-num2]}-配置从当前用户界面登录系统的用户所能访问的命令级别userprivilegelevellevel可选缺省情况下,通过Console口登录系统的用户所能访问的命令级别是3,通过其它用户界面登录系统所能访问的命令级别是0关于用户级别的详细介绍请参见"基础配置指导"中的"CLI".
用户级别可以通过用户界面也可以通过AAA认证参数来配置.
哪种配置对用户生效由用户登录时使用的认证方式决定.
详细介绍请参见"基础配置指导"中的"CLI".
2.
7配置VTY用户界面访问限制该配置通过引用ACL,对VTY用户界面的访问权限进行限制.
ACL的相关内容请参见"ACL和QoS配置指导"中的"ACL".
表2-6配置VTY用户界面访问限制操作命令说明进入系统视图system-view-进入VTY用户界面视图user-interface{first-num1[last-num1]|vtyfirst-num2[last-num2]}-配置系统对VTY用户界面的访问权限进行限制引用基本/高级ACL对访问权限进行限制acl[ipv6]acl-number{inbound|outbound}必选(二者必选其一)缺省情况下,系统不对访问权限进行限制引用二层ACL对访问权限进行限制aclacl-numberinbound2.
8配置VTY用户界面支持的协议表2-7配置VTY用户界面支持的协议操作命令说明进入系统视图system-view-进入VTY用户界面视图user-interface{first-num1[last-num1]|vtyfirst-num2[last-num2]}-设置所在用户界面支持的协议protocolinbound{all|ssh|telnet}可选缺省情况下,系统支持Telnet和SSH协议2-6如果配置用户界面支持SSH协议,为确保登录成功,请您务必先配置相应的认证方式为scheme;若配置认证方式为password或none,则protocolinboundssh配置结果将失败.
使用protocolinbound命令配置的协议将在用户下次使用该用户界面登录时生效.
2.
9配置用户的认证方式通过在用户界面下配置认证方式,可以实现当用户使用指定用户界面登录时是否需要认证,以提高设备的安全性.
设备支持的认证方式有none、password和scheme三种.
如果指定认证方式为none,则下次使用该用户界面登录时不需要进行用户名和密码认证,这种情况可能会带来安全隐患.
如果指定认证方式为password,则下次使用该用户界面登录时需要进行密码认证,输入空的或者错误密码,均会导致登录失败.
如果没有设置认证密码:对于AUX、VTY、及MODEM拨号用户,重新登录时,系统将提示"Loginpasswordhasnotbeenset!
",登录失败;对于其他用户界面,重新登录时(比如Console),为了保证设备的可操作性,可以直接登录,不需要输入密码.
关闭连接前,请务必设置该用户界面的登录密码.
如果指定认证方式为scheme,则下次使用该用户界面登录时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败.
关闭连接前,请务必设置认证用户名和密码.
用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数(如表2-10所示);如果采用远程认证,则需要在远程认证服务器上配置用户名和密码.
有关用户认证方式及参数的详细介绍请参见"安全配置指导"中的"AAA".
缺省情况下,设备对访问用户采用本地认证方式.
当用户使用SSH方式登录设备时,该段描述只适用于password认证方式,不适用于publickey认证方式,有关SSH的详细介绍请参见"安全配置指导"中的"SSH".
表2-8配置用户的认证方式为none操作命令说明进入系统视图system-view-进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|vty}first-num2[last-num2]}-配置用户的认证方式为noneauthentication-modenone必选缺省情况下,使用VTY、AUX用户界面登录的用户的认证方式为password,使用Console用户界面登录的用户不需要认证表2-9配置用户的认证方式为password操作命令说明进入系统视图system-view-2-7操作命令说明进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|vty}first-num2[last-num2]}-配置用户的认证方式为passwordauthentication-modepassword必选缺省情况下,使用VTY、AUX用户界面登录的用户的认证方式为password,使用Console用户界面登录的用户不需要认证设置本地认证的密码setauthenticationpassword{cipher|simple}password必选缺省情况下,没有设置本地认证的密码表2-10配置用户的认证方式为scheme(本地认证)操作命令说明进入系统视图system-view-进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|vty}first-num2[last-num2]}-配置用户的认证方式为schemeauthentication-modescheme必选缺省情况下,使用VTY、AUX用户界面登录的用户的认证方式为password,使用Console用户界面登录的用户不需要认证配置用户界面所能访问的命令级别请参见"2.
6通过用户界面配置用户级别"可选缺省情况下,通过Console口登录系统的用户所能访问的命令级别是3,通过其它用户界面登录系统所能访问的命令级别是0退回到系统视图quit-设置认证的用户名,并进入本地用户视图local-useruser-name必选缺省情况下,设备中没有设置本地用户设置认证的密码password{cipher|simple}password必选设置用户可以使用的服务类型service-type{ssh|telnet|terminal}*必选当使用VTY用户界面用户登录时服务类型需要配置为telnet或ssh,当使用Console或者Aux用户界面用户登录时服务类型需要配置terminal配置用户的属性authorization-attribute{aclacl-number|callback-numbercallback-number|idle-cutminute|levellevel|user-profileprofile-name|vlanvlan-id|work-directorydirectory-name}*可选缺省情况下,FTP/SFTP用户可以访问设备的根目录,用户的级别为0.
可以使用该命令进行修改.
关于此命令的介绍请参见"安全配置指导"2-8local-user、password、service-type和authorization-attribute命令的详细介绍请参见"安全命令参考"中的"AAA".
2.
10配置命令行授权功能缺省情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行.
配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制.
即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行.
因为授权服务器是通过用户名来查找用户可授权使用的命令行列表的,所以命令行授权功能的配置分为三步:(1)配置用户认证方式为scheme.
(2)使能命令行授权功能,请参见表2-11.
(3)配置命令行授权方案,在方案中配置授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA".
表2-11使能命令行授权功能操作命令说明进入系统视图system-view-进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|vty}first-num2[last-num2]}-使能命令行授权功能commandauthorization必选缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权2.
11配置命令行计费功能命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中控制、监控用户对设备的操作.
命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录.
命令行计费功能的配置分为两步:(1)使能命令行计费功能,请参见表2-12.
(2)配置命令行计费方案,在方案中配置计费服务器的IP地址以及计费过程的其它参数,详细介绍请参见"安全配置指导"中的"AAA配置".
表2-12使能命令行计费功能操作命令说明进入系统视图system-view-2-9操作命令说明进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|vty}first-num2[last-num2]}-使能命令行计费功能commandaccounting必选缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行2.
12配置启动终端会话及终止当前运行任务的快捷键表2-13配置启动终端会话及终止当前运行任务的快捷键操作命令说明进入系统视图system-view-进入用户界面视图user-interface{first-num1[last-num1]|{aux|console|vty}first-num2[last-num2]}-配置启动终端会话的快捷键activation-keycharacter可选缺省情况下,按键启动终端会话配置终止当前运行任务的快捷键escape-key{default|character}可选缺省情况下,按组合键终止当前运行的任务VTY用户界面不支持activation-key命令.
2.
13向指定的用户界面发送消息表2-14向指定的用户界面发送消息操作命令说明向指定的用户界面发送消息send{all|num1|{aux|console|vty}num2}必选该命令在用户视图下执行2.
14释放指定用户界面上建立的连接系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰的话,管理员可以使用以下命令强制断开该用户的连接.
2-10表2-15释放指定用户界面上建立的连接操作命令说明释放指定用户界面上建立的连接freeuser-interface{num1|{aux|console|vty}num2}必选该命令在用户视图下执行不能使用该命令释放用户当前自己使用的连接.
2.
15用户界面显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后用户界面的运行情况,通过查看显示信息验证配置的效果.
表2-16用户界面显示和维护操作命令显示设备作为Telnet客户端的相关配置信息displaytelnetclientconfiguration[|{begin|exclude|include}regular-expression]显示用户界面的使用信息displayusers[all][|{begin|exclude|include}regular-expression]显示用户界面的相关信息displayuser-interface[num1|{aux|console|vty}num2][summary][|{begin|exclude|include}regular-expression]2.
16用户界面典型配置举例2.
16.
1用户认证配置举例1.
组网需求为了保证Device的安全,需要对登录用户进行限制:设备管理员HostA通过Console口接入设备,登录设备时,不需要输入用户名和密码即可登录、操作设备.
用户HostB通过以太网接入设备,登录设备时不需要输入用户名,只需要输入密码,认证通过后才可登录、操作设备.
用户HostC通过PSTN网络接入设备,拨号登录设备时需要输入用户名和密码,认证通过后才可登录、操作设备.
优先使用RADIUS远程认证,如果RADIUS服务器故障或者链路故障,则使用本地认证(本地用户名为monitor,密码为123).
2-112.
组网图图2-1用户认证配置组网图3.
配置步骤#在设备上配置IP地址,以保证Device分别与HostB、RADIUSserver之间路由可达.
(配置步骤略)#开启设备的Telnet服务器功能,以便私网和公网用户访问.
system-view[Sysname]telnetserverenable#配置Console用户的认证方式为none,即用户通过Console口登录设备时,不需要输入用户名和密码,因为是管理员,所以权限设置为3,可以使用设备支持的所有命令.
[Sysname]user-interfaceconsole0[Sysname-ui-console0]authentication-modenone[Sysname-ui-console0]userprivilegelevel3[Sysname-ui-console0]quit#配置VTY用户的认证方式为password,即HostB登录设备时,不需要输入用户名,但需要输入密码123,可以使用缺省级别为2的命令.
[Sysname]user-interfacevty04[Sysname-ui-vty0-4]authentication-modepassword[Sysname-ui-vty0-4]setauthenticationpasswordcipher123[Sysname-ui-vty0-4]userprivilegelevel2[Sysname-ui-vty0-4]quit#配置VTY用户的认证方式为scheme,即HostC拨号登录设备时,需要输入用户名和密码进行AAA认证,可以使用的命令级别由AAA服务器上的配置决定.
[Sysname]user-interfacevty5[Sysname-ui-vty5]authentication-modescheme[Sysname-ui-vty5]quit#配置RADIUS方案:认证服务器的IP地址:UDP端口号为192.
168.
2.
20:1812(该端口号必须和RADIUS服务器上的设置一致),报文的加密密码是expert,支持与服务器交互扩展报文,登录时不需要输入域名,使用缺省域.
2-12[Sysname]radiusschemerad[Sysname-radius-rad]primaryauthentication192.
168.
2.
201812[Sysname-radius-rad]keyauthenticationexpert[Sysname-radius-rad]server-typeextended[Sysname-radius-rad]user-name-formatwithout-domain[Sysname-radius-rad]quit#配置缺省域的AAA方案,优先使用RADIUS方案,如果与RADIUS服务器的通信故障,则使用本地认证.
[Sysname]domainsystem[Sysname-isp-system]authenticationloginradius-schemeradlocal[Sysname-isp-system]authorizationloginradius-schemeradlocal[Sysname-isp-system]quit#配置本地认证所需参数:创建本地用户monitor,密码为123,可使用的服务类型为telnet,可使用缺省级别等于或低于1(监控级)的命令.
[Sysname]local-usermonitor[Sysname-luser-admin]passwordcipher123[Sysname-luser-admin]service-typetelnet[Sysname-luser-admin]authorization-attributelevel12.
16.
2命令行授权配置举例1.
组网需求为了保证Device的安全,需要对登录用户执行命令的权限进行限制:用户HostA登录设备后,输入的命令必须先获得HWTACACS服务器的授权,才能执行.
否则,不能执行该命令.
如果HWTACACS服务器故障导致授权失败,则采用本地授权.
2.
组网图图2-2命令行授权配置组网图3.
配置步骤#在设备上配置IP地址,以保证Device和HostA、Device和HWTACACSserver之间互相路由可达.
(配置步骤略)#开启设备的Telnet服务器功能,以便用户访问.
system-view[Sysname]telnetserverenable#配置用户登录设备时,需要输入用户名和密码进行AAA认证,可以使用的命令由认证结果决定.
[Sysname]user-interfacevty04[Sysname-ui-vty0-4]authentication-modescheme#使能命令行授权功能,限制用户只能使用授权成功的命令.
2-13[Sysname-ui-vty0-4]commandauthorization[Sysname-ui-vty0-4]quit#配置HWTACACS方案:授权服务器的IP地址:UDP端口号为192.
168.
2.
20:49(该端口号必须和HWTACACS服务器上的设置一致),报文的加密密码是expert,登录时不需要输入域名,使用缺省域.
[Sysname]hwtacacsschemetac[Sysname-hwtacacs-tac]primaryauthentication192.
168.
2.
2049[Sysname-hwtacacs-tac]primaryauthorization192.
168.
2.
2049[Sysname-hwtacacs-tac]keyauthenticationexpert[Sysname-hwtacacs-tac]keyauthorizationexpert[Sysname-hwtacacs-tac]server-typestandard[Sysname-hwtacacs-tac]user-name-formatwithout-domain[Sysname-hwtacacs-tac]quit#配置缺省域的命令行授权AAA方案,使用HWTACACS方案.
[Sysname]domainsystem[Sysname-isp-system]authenticationloginhwtacacs-schemetaclocal[Sysname-isp-system]authorizationcommandhwtacacs-schemetaclocal[Sysname-isp-system]quit#配置本地认证所需参数:创建本地用户monitor,密码为123,可使用的服务类型为telnet,可使用缺省级别等于或低于1(监控级)的命令.
[Sysname]local-usermonitor[Sysname-luser-admin]passwordcipher123[Sysname-luser-admin]service-typetelnet[Sysname-luser-admin]authorization-attributelevel12.
16.
3命令行计费配置举例1.
组网需求为便于集中控制、监控用户对设备的操作,需要将登录用户执行的命令发送到HWTACACS服务器进行记录.
2-142.
组网图图2-3命令行计费配置组网图3.
配置步骤#开启设备的Telnet服务器功能,以便用户访问.
system-view[Sysname]telnetserverenable#配置使用Console口登录设备的用户执行的命令需要发送到HWTACACS服务器进行记录.
[Sysname]user-interfaceconsole0[Sysname-ui-console0]commandaccounting[Sysname-ui-console0]quit#配置使用Telnet或者SSH登录的用户执行的命令需要发送到HWTACACS服务器进行记录.
[Sysname]user-interfacevty04[Sysname-ui-vty0-4]commandaccounting[Sysname-ui-vty0-4]quit#配置HWTACACS方案:计费服务器的IP地址:UDP端口号为192.
168.
2.
20:49,报文的加密密码是expert,登录时不需要输入域名,使用缺省域.
[Sysname]hwtacacsschemetac[Sysname-hwtacacs-tac]primaryaccounting192.
168.
2.
2049[Sysname-hwtacacs-tac]keyaccountingexpert[Sysname-hwtacacs-tac]user-name-formatwithout-domain[Sysname-hwtacacs-tac]quit#配置缺省域的命令行计费AAA方案,使用HWTACACS方案.
[Sysname]domainsystem[Sysname-isp-system]accountingcommandhwtacacs-schemetac[Sysname-isp-system]quit