- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-登录设备配置
本章节下载: 02-登录设备配置 (429.08 KB)
2.2.4 配置通过Console口登录设备时无需认证(none)
2.2.5 配置通过Console口登录设备时采用密码认证(password)
2.2.6 配置通过Console口登录设备时采用AAA认证(scheme)
2.3.3 配置通过Telnet Client登录设备时无需认证(none)
2.3.4 配置通过Telnet Client登录设备时采用密码认证(password)
2.3.5 配置通过Telnet Client登录设备时采用AAA认证(scheme)
2.3.7 配置设备充当Telnet Client登录到Telnet Server
用户可以通过以下几种方式登录到设备上,对设备进行配置和管理。
表1-1 登录设备方式综述
|
|
各种登录方式缺省状况分析 |
|
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为none(不需要用户名和密码),用户角色为network-admin |
|
|
缺省情况下,用户不能直接通过Telnet方式登录设备。如需采用Telnet方式登录,需要先通过Console口本地登录设备,并完成如下配置: · 开启设备的Telnet功能(缺省为开启) · 配置设备VLAN接口或管理用以太网口的IP地址,确保设备与Telnet登录用户间路由可达(缺省情况下,设备没有IP地址) · 配置password认证方式的密码,或者更改认证方式并完成相关参数的设置(缺省情况下,VTY用户采用password认证方式) · 配置VTY用户的用户角色(缺省情况下,VTY用户的角色为network-operator) |
|
|
缺省情况下,用户不能直接通过SSH方式登录设备。如需采用SSH方式登录,需要先通过Console口本地登录设备,并完成如下配置: · 开启设备SSH功能并完成SSH属性的配置(缺省为关闭) · 配置设备VLAN接口或管理用以太网口的IP地址,确保设备与SSH登录用户间路由可达(缺省情况下,设备没有配置IP地址) · 配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用password认证方式) · 配置VTY用户的用户角色(缺省情况下,VTY用户的角色为network-operator) |
|
|
缺省情况下,用户不能直接通过NMS登录设备。如需采用NMS方式登录,需要先通过Console口本地登录设备、并完成如下配置: · 配置设备VLAN接口或管理用以太网口的IP地址,确保设备与NMS登录用户间路由可达(缺省情况下,设备没有IP配置地址) · 配置SNMP基本参数 |
在以下的章节中,将分别介绍如何通过Console口、Telnet、SSH及NMS登录到设备上。
设备提供了两种类型的用户界面:
· AUX用户界面:用来管理和监控通过Console口登录的用户。
· VTY(Virtual Type Terminal,虚拟类型终端)用户界面:用来管理和监控通过Telnet或SSH登录的用户。
网络管理员可以给每个用户界面配置一系列参数,比如用户登录时是否需要认证、用户登录后的角色等,以管理、监控登录用户的访问行为。当用户使用Console口、Telnet或者SSH方式登录设备的时候,系统会给用户分配一个用户界面,登录用户将受到该用户界面下配置参数的约束。
用户界面与用户并没有固定的对应关系。用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户界面,整个登录过程将受该用户界面视图下配置的约束。
· 同一用户登录的方式不同,分配的用户界面不同。比如用户A使用Console口登录设备时,将受到AUX用户界面视图下配置的约束;当使用Telnet登录设备时,将受到VTY用户界面视图下配置的约束。
· 同一用户登录的时机不同,分配的用户界面可能不同。比如用户本次使用Telnet登录设备,设备为其分配的用户界面是VTY 1。但可能下次Telnet登录,设备为其分配的用户界面是VTY 2,因为VTY 1已经分配给别的用户了。
用户界面的编号有两种方式:绝对编号方式和相对编号方式。
使用绝对编号方式,可以唯一的指定一个用户界面。绝对编号从0开始自动编号,每次增长1,先给所有AUX用户界面编号,其次是所有VTY用户界面。使用display user-interface(不带参数)可查看到设备当前支持的用户界面以及它们的绝对编号。
相对编号是每种类型用户界面的内部编号。相对编号方式的形式是:“用户界面类型 编号”,遵守如下规则:
· AUX用户界面的编号:AUX 0,第二个为AUX 1,依次类推。
CLI(Command Line Interface,命令行接口)是用户与设备之间的文本类指令交互界面,用户键入文本类命令,通过输入回车键提交设备执行相关命令,用户可以输入命令对设备进行配置,并可以通过查看输出的信息确认配置结果,方便用户配置和管理设备。
通过CLI登录设备包括:通过Console口、Telnet或SSH等登录方式。
· 缺省情况下,用户不需要任何认证即可通过Console口登录设备,这给设备带来许多安全隐患;
· 缺省情况下,用户不能通过Telnet及SSH方式登录设备(只能通过Console口本地登录),这样不利于用户对设备进行远程管理和维护。
因此,用户需要对这些登录方式进行相应的配置,来增加设备的安全性及可管理性。
本文将分别为您介绍如何通过Console口、Telnet或SSH登录到设备,并配置通过Console口、Telnet或SSH登录设备时的认证方式、用户角色及公共属性,来实现对登录用户的控制和管理。
通过Console口进行本地登录是登录设备的最基本的方式,也是配置通过其他方式登录设备的基础。
缺省情况下,设备只能通过Console口进行本地登录,用户登录到设备上后,即可以对各种登录方式进行配置。
本节将为您介绍:
· 设备缺省情况下,如何通过Console口登录设备。具体请参见“2.2.2 如何通过Console口登录设备”。
· 设备Console口支持的登录方式及配置Console口登录认证方式的意义、各种认证方式的特点及注意事项。具体请参见“2.2.3 Console口登录的认证方式介绍”。
· 当用户确定了今后通过Console口登录设备时将采用何种认证方式后、并通过缺省配置登录到设备后,用户如何在设备上配置Console口登录设备时的认证方式及用户角色,实现对Console口登录用户的控制和管理。具体请参见“2.2.4 配置通过Console口登录设备时无需认证(none)”、“2.2.5 配置通过Console口登录设备时采用密码认证(password)”及“2.2.6 配置通过Console口登录设备时采用AAA认证(scheme)”。
· 配置通过Console口登录设备时的公共属性。具体请参见“2.2.7 配置Console口登录方式的公共属性”。
表2-1 通过Console登录设备需要具备的条件
|
对象 |
需要具备的条件 |
|
设备 |
缺省情况下,设备侧不需要任何配置 |
|
Console口登录用户 |
运行超级终端程序 |
|
配置超级终端属性 |
通过Console口登录设备时,请按照以下步骤进行操作:
(1) PC断电。因为PC机串口不支持热插拔,请不要在PC带电的情况下,将串口线插入或者拔出PC机。
(2) 请使用产品随机附带的配置口电缆连接PC机和设备。请先将配置口电缆的DB-9(孔)插头插入PC机的9芯(针)串口插座,再将RJ-45插头端插入设备的Console口中。
图2-1 将设备与PC通过配置口电缆进行连接
· 连接时请认准接口上的标识,以免误插入其它接口。
· 在拆下配置口电缆时,请先拔出RJ-45端,再拔下DB-9端。
(3) 给PC上电。
(4) 在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),选择与设备相连的串口,设置终端通信参数。这些参数的值必须和设备上的值一致,缺省情况下:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图2-2至图2-4所示。
如果您的PC使用的是Windows 2003 Server操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录和管理设备;如果您的PC使用的是Windows 2008 Server、Windows 7 、Windows Vista或其他操作系统,请您准备第三方的终端控制软件,使用方法请参照软件的使用指导或联机帮助。
图2-3 连接端口设置
(5) 设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,用户键入回车后之后将出现命令行提示符(如<H3C>)。
(6) 键入命令,配置设备或查看设备运行状态。需要帮助可以随时键入“?”。
通过在Console口用户界面下配置认证方式,可以对使用Console口登录的用户进行限制,以提高设备的安全性。Console口支持的认证方式有none、password和scheme三种。
· 认证方式为none:表示下次使用Console口本地登录设备时,不需要进行用户名和密码认证,任何人都可以通过Console口登录到设备上,这种情况可能会带来安全隐患。
· 认证方式为password:表示下次使用Console口本地登录设备时,需要输入密码。只有密码准确,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码。
· 认证方式为scheme:表示下次使用Console口登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。配置认证方式为scheme后,请妥善保存用户名及密码。
不同的认证方式下,Console口登录方式需要进行的配置不同,具体配置如表2-2所示。
|
认证方式 |
认证所需配置 |
说明 |
||
|
none |
设置登录用户的认证方式为不认证 |
|||
|
password |
设置登录用户的认证方式为password认证 |
|||
|
设置本地验证的密码 |
||||
|
scheme |
设置登录用户的认证方式为scheme认证 |
|||
|
选择AAA认证方案 |
采用远端AAA服务器认证 |
在设备上配置RADIUS/HWTACACS方案 |
请参见“安全配置指导”中的“AAA” |
|
|
在设备上配置域使用的AAA方案 |
||||
|
在AAA服务器上配置用户名和相关参数 |
||||
|
采用本地认证 |
在设备上配置域使用的AAA方案为本地认证 |
|||
|
在设备上配置认证用户名和相关参数 |
||||
改变Console口登录的认证方式后,新认证方式对新登录的用户生效。
用户已经成功登录到了设备上,并希望以后通过Console口登录设备时无需进行认证。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为none(不需要用户名和密码),登录用户角色为network-admin。如何在缺省情况下登录设备,具体请参见“2.2.2 如何通过Console口登录设备”。
表2-3 配置用户通过Console口登录设备时无需认证
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
|
设置登录用户的认证方式为不认证 |
authentication-mode none |
缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证) |
|
(可选)配置Console口的公共属性 |
- |
详细配置请参见“2.2.7 配置Console口登录方式的公共属性” |
配置完成后,当用户再次通过Console口登录设备时,设备将提示用户键入回车,之后将出现命令行提示符(如<H3C>)。
用户已经成功登录到了设备上,并希望以后通过Console口登录设备时采用密码认证、以提高设备的安全性。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为none(不需要用户名和密码),登录用户角色为network-admin。如何在缺省情况下登录设备,具体请参见“2.2.2 如何通过Console口登录设备”。
表2-4 配置用户通过Console口登录设备时采用密码认证
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
|
设置登录用户的认证方式为本地密码认证 |
authentication-mode password |
缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证) |
|
设置本地验证的密码 |
set authentication password { cipher | simple } password |
缺省情况下,没有设置本地认证的密码 |
|
(可选)配置Console口的公共属性 |
- |
详细配置请参见“2.2.7 配置Console口登录方式的公共属性” |
配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>)。
用户已经成功的登录到了设备上,并希望以后通过Console口登录设备时采用AAA认证、以提高设备的安全性。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为none(不需要用户名和密码),登录用户角色为network-admin。如何在缺省情况下登录设备,具体请参见“2.2.2 如何通过Console口登录设备”。
表2-5 配置用户通过Console口登录设备时采用AAA认证
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入AUX用户界面视图 |
user-interface aux first-number [ last-number ] |
- |
|
设置登录用户的认证方式为通过AAA认证 |
authentication-mode scheme |
具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定 缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证) |
|
退出至系统视图 |
quit |
- |
|
(可选)配置Console口的公共属性 |
- |
详细配置请参见“2.2.7 配置Console口登录方式的公共属性” |
配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>)。
Console口登录方式的公共属性配置,如表2-6所示。
表2-6 Console口登录方式公共属性配置
改变Console口属性后会立即生效,所以通过Console口登录来配置Console口属性可能在配置过程中发生连接中断,建议通过其他登录方式来配置Console口属性。若用户需要通过Console口再次登录设备,需要改变PC机上运行的终端仿真程序的相应配置,使之与设备上配置的Console口属性保持一致。
设备支持Telnet功能,用户可以通过Telnet方式登录到设备上,对设备进行远程管理和维护。如图2-5。
图2-5 通过Telnet登录设备示意图
表2-7 采用Telnet方式登录需要具备的条件
|
对象 |
需要具备的条件 |
|
Telnet服务器端 |
配置设备VLAN接口或管理用以太网口的IP地址,设备与Telnet用户间路由可达 |
|
配置Telnet登录的认证方式和其它配置(根据Telnet服务器端的情况而定) |
|
|
Telnet客户端 |
运行Telnet程序 |
|
获取要登录设备VLAN接口的IP地址 |
设备可以作为Telnet Client登录到Telnet Server上,从而对其进行操作。
设备可以充当Telnet Server:
· 设备支持Telnet Server功能、可作为Telnet Server,并可在设备上进行一系列的配置,从而实现对不同Telnet Client登录的具体认证方式、用户角色等方面的控制与管理。
· 缺省情况下,设备的Telnet Server功能处于开启状态,通过Telnet方式登录设备的认证方式为password,但设备没有配置缺省的登录密码,即在缺省情况下用户不能通过Telnet登录到设备上。因此当您使用Telnet方式登录设备前,首先需要通过Console口登录到设备上,对认证方式、用户角色及公共属性进行相应的配置,才能保证通过Telnet方式正常登录到设备。
本节将为您介绍设备充当Telnet服务器端时:
· 设备支持的各种登录认证方式及配置Telnet登录认证方式的意义、各种认证方式的特点及注意事项。具体介绍请参见“2.3.2 Telnet登录的认证方式介绍”。
· 当用户确定了今后通过Telnet客户端登录设备时将采用何种认证方式后、并已成功登录到设备后,用户如何在设备上配置Telnet客户端登录设备时的认证方式、用户角色及公共属性,从而实现对Telnet登录用户的控制和管理。具体介绍请参见“2.3.3 配置通过Telnet Client登录设备时无需认证(none)”、“2.3.4 配置通过Telnet Client登录设备时采用密码认证(password)”及“2.3.5 配置通过Telnet Client登录设备时采用AAA认证(scheme)”。
· 配置通过Telnet登录设备时的公共属性。具体介绍请参见“2.3.6 配置VTY用户界面的公共属性”。
本节还将为您介绍设备充当Telnet客户端、Telnet登录到Server时的配置,具体请参见“2.3.7 配置设备充当Telnet Client登录”。
通过在Telnet的用户界面下配置认证方式,可以对使用Telnet登录的用户进行限制,以提高设备的安全性。通过Telnet登录支持的认证方式有none、password和scheme三种。
· 认证方式为none:表示下次使用Telnet登录设备时不需要进行用户名和密码认证,任何人都可以通过Telnet登录到设备上,这种情况可能会带来安全隐患。
· 认证方式为password:表示下次使用Telnet登录设备时需要进行密码认证,只有密码认证成功,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码,如果密码丢失,可以使用Console口登录到设备,对Telnet的密码配置进行查看或修改。
· 认证方式为scheme:表示下次使用Telnet登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。配置认证方式为scheme后,请妥善保存用户名及密码,如果本地认证密码丢失,可以使用Console口登录到设备,对Telnet的密码配置进行查看或修改。如果远程认证密码丢失,建议您联系服务器管理员。
不同的认证方式下,Telnet登录方式需要进行的配置不同,具体配置如表2-8所示。
表2-8 配置Telnet登录的认证方式
|
认证方式 |
认证所需配置 |
说明 |
||
|
none |
设置登录用户的认证方式为不认证 |
|||
|
password |
设置登录用户的认证方式为password认证 |
|||
|
设置本地验证的密码 |
||||
|
scheme |
设置登录用户的认证方式为scheme认证 |
|||
|
选择AAA认证方案 |
采用远端AAA服务器认证 |
在设备上配置RADIUS/HWTACACS方案 |
请参见“安全配置指导”中的“AAA” |
|
|
在设备上配置域使用的AAA方案 |
||||
|
在AAA服务器上配置相关的用户名和密码 |
||||
|
采用本地认证 |
在设备上配置认证用户名和密码 |
|||
|
在设备上配置域使用的AAA方案为本地认证 |
||||
用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时无需进行认证。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为none(不需要用户名和密码),登录用户角色为network-admin。如何在缺省情况下登录设备,具体请参见“2.2.2 如何通过Console口登录设备”。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能设备的Telnet服务 |
telnet server enable |
缺省情况下,Telnet服务处于开启状态 |
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
设置VTY登录用户的认证方式为不认证 |
authentication-mode none |
缺省情况下,VTY用户界面的认证方式为password |
|
(可选)配置从当前用户界面登录系统的用户角色 |
user-role role-name |
缺省情况下,通过Console口登录系统的用户角色为network-admin,通过其它接口登录系统的用户角色为network-operator 关于用户角色的详细介绍请参见“基础配置指导”中的“RBAC” |
|
(可选)配置VTY用户界面的公共属性 |
- |
详细配置请参见“2.3.6 配置VTY用户界面的公共属性” |
配置完成后,当用户再次通过Telnet登录设备时:
· 用户将直接进入VTY用户界面,如图2-6所示。
· 如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。
图2-6 用户通过Telnet登录设备时无需认证登录界面
用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行密码认证。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为none(不需要用户名和密码),登录用户角色为network-admin。如何在缺省情况下登录设备,具体请参见“2.2.2 如何通过Console口登录设备”。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能设备的Telnet服务 |
telnet server enable |
缺省情况下,Telnet服务处于开启状态 |
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
设置登录用户的认证方式为本地密码认证 |
authentication-mode password |
缺省情况下,VTY用户界面的认证方式为password |
|
设置本地验证的密码 |
set authentication password { cipher | simple } password |
缺省情况下,没有设置本地认证的密码 |
|
(可选)配置从当前用户界面登录系统的用户角色 |
user-role role-name |
缺省情况下,通过Console口登录系统的用户角色为network-admin,通过其它接口登录系统的用户角色为network-operator 关于用户角色的详细介绍请参见“基础配置指导”中的“RBAC” |
|
(可选)配置VTY用户界面的公共属性 |
- |
详细配置请参见“2.3.6 配置VTY用户界面的公共属性” |
配置完成后,当用户再次通过Telnet登录设备时:
· 设备将要求用户输入登录密码,正确输入登录密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-7所示。
· 如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。
图2-7 配置用户通过Telnet登录设备时采用密码认证登录界面
用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行AAA认证。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为none(不需要用户名和密码),登录用户角色为network-admin。如何在缺省情况下登录设备,具体请参见“2.2.2 如何通过Console口登录设备”。
表2-11 配置用户通过Telnet登录设备时采用AAA认证
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能设备的Telnet服务 |
telnet server enable |
缺省情况下,Telnet服务处于开启状态 |
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
设置登录用户的认证方式为通过AAA认证 |
authentication-mode scheme |
具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定 缺省情况下采用本地认证方式 |
|
退出至系统视图 |
quit |
- |
|
(可选)配置VTY用户界面的公共属性 |
- |
详细配置请参见“2.3.6 配置VTY用户界面的公共属性” |
配置完成后,当用户再次通过Telnet登录设备时:
· 设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为admin为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>),如图2-8所示。
· 如果用户输入正确的登录用户名和密码后,设备提示用户再次输入一个指定类型的密码,则表示当前用户需要进行二次密码认证,即用户还必须根据提示信息输入一个正确的密码后才能通过认证。
· 如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。
图2-8 用户通过Telnet登录设备时AAA认证登录界面
表2-12 VTY用户界面的公共属性配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入一个或多个VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
启动终端服务 |
shell |
缺省情况下,在所有的用户界面上启动终端服务 |
|
配置VTY用户界面支持的协议 |
protocol inbound { all | ssh | telnet } |
缺省情况下,设备同时支持Telnet和SSH协议 使用该命令配置的协议将在用户下次使用该用户界面登录时生效 |
|
配置中止当前运行任务的快捷键 |
escape-key { default | character } |
缺省情况下,键入<Ctrl+C>中止当前运行的任务 |
|
配置终端的显示类型 |
terminal type { ansi | vt100 } |
缺省情况下,终端显示类型为ANSI |
|
设置终端屏幕一屏显示的行数 |
screen-length screen-length |
缺省情况下,终端屏幕一屏显示的行数为22行 screen-length 0表示关闭分屏显示功能 |
|
设置设备历史命令缓冲区大小 |
history-command max-size value |
缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令 |
|
设置VTY用户界面的超时时间 |
idle-timeout minutes [ seconds ] |
缺省情况下,所有的用户界面的超时时间为10分钟 如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开 idle-timeout 0表示关闭用户界面的超时功能 |
|
设置从用户界面登录后自动执行的命令 |
auto-execute command command |
缺省情况下,未设定自动执行命令 配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发起了一个任务,系统会等这个任务执行完毕后再断开连接。该命令通常用来配置Telnet命令,使用户登录时自动连接到指定的主机 |
· 使用auto-execute command命令后,可能导致用户不能通过该终端线对本系统进行常规配置,需谨慎使用。
· 在配置auto-execute command命令并保存配置(执行save操作)之前,要确保可以通过其他VTY, AUX用户登录进来更改配置,以便出现问题后,能删除该配置。
用户已经成功登录到了设备上,并希望将当前设备作为Telnet Client登录到Telnet Server上进行操作。如图2-9所示。
如果Telnet Client与Telnet Server相连的端口不在同一子网内,请确保两台设备间路由可达。
表2-13 设备作为Telnet Client登录到Telnet Server的配置
|
操作 |
命令 |
说明 |
|
设备作为Telnet Client登录到Telnet Server |
telnet remote-host [ service-port ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ip ip-address } ] |
二者选其一 此命令在用户视图下执行 |
|
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] |
||
|
指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口 |
telnet client source { interface interface-type interface-number | ip ip-address } |
缺省情况下,没有指定发送Telnet报文的源IPv4地址和源接口,此时通过路由选择源IPv4地址 |
SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。设备支持SSH功能,用户可以通过SSH方式登录到设备上,对设备进行远程管理和维护如图2-10所示。
表2-14 采用SSH方式登录需要具备的条件
|
对象 |
需要具备的条件 |
|
SSH服务器端 |
配置设备VLAN接口或管理用以太网口的IP地址,设备与SSH客户端间路由可达 |
|
配置SSH登录的认证方式和其它配置(根据SSH服务器端的情况而定) |
|
|
SSH客户端 |
如果是主机作为SSH客户端,则需要在主机上运行SSH客户端程序 |
|
获取要登录设备VLAN接口或管理用以太网口的IP地址 |
设备可以作为SSH Client登录到SSH Server上,从而对其进行操作。
设备可以充当SSH Server:
· 设备支持SSH Server功能:可作为SSH Server,并可在设备上进行一系列的配置、实现对不同SSH Client的登录权限的控制。
· 缺省情况下,设备的SSH Server功能处于关闭状态,因此当您使用SSH方式登录设备前,首先需要通过Console口登录到设备上,开启设备的SSH Server功能、对认证方式及其它属性进行相应的配置,才能保证通过SSH方式正常登录到设备。
本节将为您介绍:
· 设备充当SSH服务器端时:当用户确定了今后通过SSH客户端登录设备、并已成功登录到设备后,用户如何在设备上配置SSH客户端登录设备时的认证方式及其它属性,从而实现对SSH登录用户的控制和管理。具体介绍请参见“2.4.2 配置设备充当SSH服务器”。
· 设备充当SSH客户端时:设备SSH登录到Server时的配置,具体请参见“2.4.3 配置设备充当SSH客户端登录其它设备”。
用户已经成功登录到了设备上,并希望以后通过SSH Client登录设备。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为none(不需要用户名和密码),登录用户角色为network-admin。如何在缺省情况下登录设备,具体请参见“2.2.2 如何通过Console口登录设备”。
表2-15 设备充当SSH服务器时的配置
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
生成本地密钥对 |
public-key local create { dsa | rsa } |
缺省情况下,没有生成密钥对 |
|
|
使能SSH服务器功能 |
ssh server enable |
缺省情况下,SSH服务器功能处于关闭状态 |
|
|
进入VTY用户界面视图 |
user-interface vty first-number [ last-number ] |
- |
|
|
配置登录用户界面的认证方式为scheme方式 |
authentication-mode scheme |
缺省情况下,用户界面认证为password方式 |
|
|
(可选)配置VTY用户界面支持SSH协议 |
protocol inbound { all | ssh | telnet } |
缺省情况下,设备同时支持Telnet和SSH |
|
|
退出至系统视图 |
quit |
- |
|
|
建立SSH用户,并指定SSH用户的认证方式 |
ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname } |
- |
|
|
(可选)配置AAA认证方案 |
- |
请参见“安全配置指导”中的“AAA” |
|
|
(可选)配置VTY用户界面的公共属性 |
- |
详细配置请参见“2.3.6 配置VTY用户界面的公共属性” |
|
本章只介绍采用password方式认证SSH客户端的配置方法,publickey方式的配置方法及SSH的详细介绍,请参见“安全配置指导”中的“SSH”。
用户已经成功登录到了设备上,并希望将当前设备作为SSH Client登录到其它设备上进行操作。如图2-9所示。
图2-11 通过设备登录到其它设备
如果SSH Client与SSH Server相连的端口不在同一子网内,请确保两台设备间路由可达。
表2-16 设备作为SSH Client登录到其它设备的配置
|
操作 |
命令 |
说明 |
|
设备作为SSH Client登录到SSH IPv4服务器端 |
ssh2 server |
此命令在用户视图下执行 |
|
设备作为SSH Client登录到SSH IPv6服务器端 |
ssh2 ipv6 server |
此命令在用户视图下执行 |
为配合SSH Server,设备充当SSH Client时还可进一步进行其它配置,具体请参见“安全配置指导”中的“SSH”。
表2-17 CLI显示和维护
|
操作 |
命令 |
说明 |
|
显示当前正在使用的用户界面以及用户的相关信息 |
display users |
在任意视图下执行 |
|
显示设备支持的所有用户界面以及用户的相关信息 |
display users all |
在任意视图下执行 |
|
显示用户界面的相关信息 |
display user-interface [ num1 | { aux | vty } num2 ] [ summary ] |
在任意视图下执行 |
|
显示设备作为Telnet客户端的相关配置信息 |
display telnet client |
在任意视图下执行 |
|
释放指定的用户界面 |
free user-interface { num1 | { aux | vty } num2 } |
在用户视图下执行 系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以使用以下命令强制断开该用户的连接 不能使用该命令释放用户当前自己使用的连接 |
|
设置在用户界面之间传递消息 |
send { all | num1 | { aux | vty } num2 } |
在用户视图下执行 |
使用SNMP协议,用户可通过NMS(Network Management System,网络管理系统)登录到设备上,通过设备上的Agent模块对设备进行管理、配置。设备支持多种NMS软件,如iMC等。
缺省情况下,用户不能通过NMS登录到设备上,如果要使用NMS登录设备,您首先需要通过Console口登录到设备上,在设备上进行相关配置。配置完成后,您即可使用NMS网管的方式登录设备。
表3-1 通过NMS登录设备需要具备的条件
|
对象 |
需要具备的条件 |
|
设备 |
配置设备VLAN接口或管理用以太网口的IP地址,设备与NMS间路由可达 |
|
配置SNMP基本功能 |
|
|
NMS |
NMS网管工作站进行了正确配置,具体配置请参见NMS附带的网管手册 |
建立配置环境,将PC机以太网口通过网络与设备VLAN1下的以太网口连接,确保PC机和VLAN1接口之间路由可达。
图3-1 通过NMS方式登录组网环境
表3-2 配置SNMP基本参数(SNMP v3版本)
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启动SNMP Agent服务 |
snmp-agent |
缺省情况下,SNMP Agent服务处于关闭状态 |
|
配置SNMP组 |
snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
缺省情况下,没有配置SNMP组 |
|
为SNMP组添加新用户 |
snmp-agent usm-user v3 user-name group-name [ remote ip-address ] [ { cipher | simple } authentication-mode { md5 | sha } auth-password [ privacy-mode { aes128 | des56 } priv-password ] ] [ acl acl-number ] |
如果使用cipher参数,则后面的auth-password和priv-password都将被视为密文密码 |
表3-3 配置SNMP基本参数(SNMP v1版本、SNMP v2c版本)
|
操作 |
命令 |
说明 |
||
|
进入系统视图 |
system-view |
- |
||
|
启动SNMP Agent服务 |
snmp-agent |
缺省情况下,SNMP Agent服务处于关闭状态 |
||
|
创建或更新MIB视图内容 |
snmp-agent mib-view { excluded | included } view-name oid-tree [ mask mask-value ] |
缺省情况下,视图名为ViewDefault,OID为1 |
||
|
设置访问权限 |
直接设置 |
创建一个新的SNMP团体 |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ] * |
二者选其一 直接设置是以SNMP v1和v2c版本的团体名进行设置 间接设置采用与SNMP v3版本一致的命令形式,添加的用户到指定的组,即相当于SNMP v1和SNMP v2c版本的团体名,在NMS上配置的团体名需要跟Agent上配置的用户名一致 |
|
间接设置 |
设置一个SNMP组 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
||
|
为一个SNMP组添加一个新用户 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] |
|||
设备支持SNMP v1、SNMP v2c和SNMP v3三种版本,关于SNMP的详细介绍及配置,请参见“网络管理和监控配置指导”中的“SNMP”。
通过NMS登录设备的方法如下:
(1) 设备配置
# 配置设备的IP地址为1.1.1.1/24,并确保设备与NMS之间路由可达。(配置步骤略)
# 进入系统视图。
<Sysname> system-view
# 启动SNMP Agent服务。
[Sysname] snmp-agent
# 配置SNMP组。
[Sysname] snmp-agent group v3 managev3group
# 为SNMP组添加新用户
[Sysname] snmp-agent usm-user v3 managev3user managev3group
(2) 配置NMS
用户可利用网管系统完成对设备的查询和配置操作,具体情况请参考NMS的配套手册。
NMS侧也需要创建相同名字的组和用户,使用SNMP v3版本,否则无法建立SNMP连接。
确定了对Telnet/SSH的控制策略,包括对哪些源IP、目的IP、源MAC进行控制,控制的动作是允许访问还是拒绝访问,即配置好ACL。
使用本特性,通过引入ACL,可以只允许源IP、目的IP、源MAC等参数符合要求的用户使用Telnet/SSH访问设备,以免非法用户使用Telnet/SSH访问设备。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
表4-1 配置对Telnet用户的控制
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使用ACL限制哪些Telnet客户端可以访问设备 |
telnet server acl acl-number4 |
请根据需要选择 缺省情况下,没有使用ACL限制Telnet客户端 |
|
telnet server acl ipv6 acl-number6 |
表4-2 配置对SSH用户的控制
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使用ACL限制哪些SSH客户端可以访问设备 |
ssh server acl acl-number4 |
请根据需要选择 缺省情况下,没有使用ACL限制SSH客户端 |
|
ssh server acl ipv6 acl-number6 |
ssh server acl和ssh server acl ipv6命令的详细介绍请参见“安全命令参考”中的“SSH”。
通过源IP对Telnet进行控制,仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问设备。
图4-1 对Device的Telnet用户进行ACL控制
# 定义ACL。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用ACL,允许源地址为10.110.100.52和10.110.100.46的Telnet用户访问设备。
[Sysname] telnet server acl 2000
设备支持通过网管软件进行远程管理。NMS可以通过SNMP访问设备。通过引用访问控制列表,可以对访问设备的NMS进行控制。
确定了对网管用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问,即配置好ACL。
使用本特性,通过引入ACL,可以只允许源IP符合要求的NMS使用SNMP协议访问设备,以免非法用户使用SNMP协议访问设备。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
表4-3 配置对NMS的控制
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
在配置SNMP团体名的命令中引用ACL |
snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ] * |
根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组名或者用户名配置时引用访问控制列表,详细介绍请参见“网络管理和监控配置指导”中的“SNMP” |
|
在配置SNMP v1/v2c组名的命令中引用ACL |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
|
|
在配置SNMP v3组名的命令中引用ACL |
snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] |
|
|
在配置SNMP v1/v2c用户名的命令中引用ACL |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] |
|
|
在配置SNMP v3用户名的命令中引用ACL |
snmp-agent usm-user v3 user-name group-name [ remote ip-address ] [ { cipher | simple } authentication-mode { md5 | sha } auth-password [ privacy-mode { aes128 | des56 } priv-password ] ] [ acl acl-number ] |
通过源IP对网管用户进行控制,仅允许来自10.110.100.52和10.110.100.46的NMS访问设备。
图4-2 对SNMP用户进行ACL控制
# 定义基本ACL。
<Sysname> system-view
[Sysname] acl number 2000 match-order config
[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-basic-2000] quit
# 引用ACL,仅允许来自10.110.100.52和10.110.100.46的SNMP用户访问设备。
[Sysname] snmp-agent community read aaa acl 2000
[Sysname] snmp-agent group v2c groupa acl 2000
[Sysname] snmp-agent usm-user v2c usera groupa acl 2000
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
