H3C S5120-SI系列以太网交换机操作手册-Release 1101-6W102 - 服务支持 ...

用户可以通过以下几种方式登录以太网交换机:

l              通过Console口进行本地登录

l              通过TelnetSSH进行远程登录

l              通过Web网管登录

l              通过NMS登录

 

S5120-SI系列以太网交换机支持两种用户界面:AUX用户界面和VTY用户界面。

l              AUX用户界面:系统提供的通过Console口登录的视图,用来管理和监控通过Console口登录的用户。设备提供一个Console口,端口类型为EIA/TIA-232 DCE,{dy}次使用设备时,需要通过此端口对交换机进行配置。

l              VTYVirtual Type Terminal,虚拟类型终端)用户界面:系统提供的通过VTY方式登录的视图,用于对交换机进行TelnetSSH访问。

 

每个用户界面有对应的用户界面视图(User-interface view),在用户界面视图下网络管理员可以配置一系列参数,比如用户登录时的认证方式以及登录后的用户级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的。

通过对不同类型用户界面的设置,可实现对不同登录方式用户的监控和管理。一台S5120-SI以太网交换机上提供1AUX用户界面、5VTY用户界面:

l              这些用户界面与用户并没有固定的对应关系。

l              用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的对应用户登录方式的用户界面,用户整个登录过程将受该用户界面视图下配置的约束。

l              同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时机不同,分配的用户界面可能不同。

虽然单个用户界面某一时刻只能被一个用户使用,但它并不针对某个用户。比如用户A可以使用VTY 0用户界面登录交换机,而当用户A退出登录时,用户B同样可以使用VTY 0用户界面登录交换机。

用户界面的编号有两种方式:{jd1}编号方式和相对编号方式。

(1)        {jd1}编号方式,遵守的规则如下:

l              AUX用户界面编号排在VTY用户界面之前,{jd1}编号为0

l              VTY用户界面编号排在AUX用户界面之后,{dy}个VTY用户界面的{jd1}编号为1,第二个VTY用户界面的{jd1}编号为2,依此类推。

(2)        相对编号的形式是:用户界面类型+编号。遵守的规则如下:

l              AUX用户界面的相对编号为AUX0

l              VTY用户界面的编号:{dy}个为VTY0,第二个为VTY1,依此类推。

1.2.4  用户界面公共配置

操作

命令

说明

锁住当前用户界面

lock

可选

在用户视图下执行

缺省情况下,不锁住当前用户界面

设置在用户界面之间传递消息

send { all | num1 | { aux | vty } num2 }

可选

在用户视图下执行

释放指定的用户界面

free user-interface { num1 | { aux | vty } num2 }

可选

在用户视图下执行

进入系统视图

system-view

-

配置登录交换机时的显示信息

header { incoming | legal | login | motd | shell } text

可选

缺省情况下,没有配置显示信息

配置交换机的系统名

sysname string

可选

缺省情况下,系统名为H3C

配置用户登录时显示版权声明提示信息

copyright-info enable

可选

缺省情况下,用户登录时终端显示版权声明提示信息

进入用户界面视图

user-interface [ type ] first-number [ last-number ]

-

显示用户界面的使用信息

display users [ all ]

可选

display命令可以在任意视图下执行

显示用户界面的物理属性和部分配置

display user-interface [ type number | number ]

 


通过交换机Console口进行本地登录是登录交换机的最基本的方式,也是配置通过其他方式登录交换机的基础。缺省情况下,S5120-SI以太网交换机只能通过Console口进行本地登录。

交换机Console口的缺省配置如下。

口缺省配置

 

用户终端的通信参数配置要和交换机Console口的配置保持一致,才能通过Console口登录到以太网交换机上。

用户登录到交换机上后,可以对AUX用户界面进行相关的配置,请参见

{dy}步:如所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与以太网交换机的Console口连接。

口搭建本地配置环境

 

第二步:在PC机上运行终端仿真程序(如Windows 3.XTerminalWindows 9X/Windows 2000/Windows XP的超级终端等,以下配置以Windows XP为例),选择与交换机相连的串口,设置终端通信参数:传输速率为9600bit/s8位数据位、1位停止位、无校验和无流控,如所示。

 

 

 

第三步:以太网交换机上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如<H3C>),如所示。

 

第四步:键入命令,配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。

Console口登录方式的公共属性配置,如所示。

口登录方式公共属性配置

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux 0

-

配置Console口的属性

配置传输速率

speed speed-value

可选

缺省情况下,Console口使用的传输速率为9600bit/s

配置校验方式

parity { even | mark | none | odd | space }

可选

缺省情况下,Console口的校验方式为none,即不进行校验

配置停止位

stopbits { 1 | 1.5 | 2 }

可选

缺省情况下,Console口的停止位为1

配置数据位

databits { 5 | 6 | 7 | 8 }

可选

缺省情况下,Console口的数据位为8

AUX用户界面配置

设置从用户界面登录后可以访问的命令级别

user privilege level level

可选

缺省情况下,从AUX用户界面登录后可以访问的命令级别为3级,从VTY用户界面登录后可以访问的命令级别为0

终端属性配置

启动终端服务

shell

可选

缺省情况下,在所有的用户界面上启动终端服务

设置终端屏幕一屏显示的行数

screen-length screen-length

可选

缺省情况下,终端屏幕一屏显示的行数为24

screen-length 0表示关闭分屏显示功能

设置历史命令缓冲区大小

history-command max-size value

可选

缺省情况下,每个用户的历史缓冲区的大小为10,即可存放10条历史命令

设置用户界面的超时时间

idle-timeout minutes [ seconds ]

可选

缺省情况下,所有的用户界面的超时时间为10分钟

如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开

idle-timeout 0表示关闭用户界面的超时功能

 

 

不同的认证方式下,Console口登录方式需要进行的配置不同,具体配置如所示。

 

 

Console口登录方式的配置

 

1. 组网需求

交换机已经被配置为允许用户通过Telnet方式登录,且当前用户级别为管理级(3级)。当前登录用户需要对通过Console口(AUX用户界面)登录的用户进行如下限定:

l              设置通过Console口登录交换机的用户不需要进行认证

l              设置从AUX用户界面登录后可以访问的命令级别为2

l              设置Console口使用的传输速率为19200bit/s

l              设置终端屏幕的一屏显示30行命令

l              设置历史命令缓冲区可存放20条命令

l              设置AUX用户界面的超时时间为6分钟

2. 组网图

图2-6 配置认证方式为NoneAUX用户界面属性的组网图

 

3. 配置步骤

# 进入系统视图。

<Sysname> system-view

# 进入AUX用户界面视图。

[Sysname] user-interface aux 0

# 设置通过Console口登录交换机的用户不需要进行认证。

[Sysname-ui-aux0] authentication-mode none

# 设置从AUX用户界面登录后可以访问的命令级别为2级。

[Sysname-ui-aux0] user privilege level 2

# 设置Console口使用的传输速率为19200bit/s

[Sysname-ui-aux0] speed 19200

# 设置终端屏幕的一屏显示30行命令。

[Sysname-ui-aux0] screen-length 30

# 设置历史命令缓冲区可存放20条命令。

[Sysname-ui-aux0] history-command max-size 20

# 设置AUX用户界面的超时时间为6分钟。

[Sysname-ui-aux0] idle-timeout 6

完成上述配置后,用户需要改变PC机上运行的终端仿真程序的相应配置,如所示,使之与交换机上的配置保持一致,才能确保正常登录。

Console口登录方式的配置

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux 0

-

设置登录用户的认证方式为本地口令认证

authentication-mode password

必选

缺省情况下,用户通过Console口(AUX用户界面)登录,认证方式为none(即不需要进行认证)

设置本地验证的口令

set authentication password { cipher | simple } password

必选

缺省情况下,没有设置本地认证的口令

 

1. 组网需求

交换机已经被配置为允许用户通过Telnet方式登录,且当前用户级别为管理级(3级)。当前登录用户需要对通过Console口(AUX用户界面)登录的用户进行如下限定:

l              设置通过Console口登录交换机的用户进行Password认证

l              设置用户的认证口令为明文方式,口令为123456

l              设置从AUX用户界面登录后可以访问的命令级别为2

l              设置Console口使用的传输速率为19200bit/s

l              设置终端屏幕的一屏显示30行命令

l              设置历史命令缓冲区可存放20条命令

l              设置AUX用户界面的超时时间为6分钟

2. 组网图

图2-7 配置认证方式为PasswordAUX用户界面属性的组网图

 

3. 配置步骤

# 进入系统视图。

<Sysname> system-view

# 进入AUX用户界面视图。

[Sysname] user-interface aux 0

# 设置通过Console口登录交换机的用户进行Password认证。

[Sysname-ui-aux0] authentication-mode password

# 设置用户的认证口令为明文方式,口令为123456

[Sysname-ui-aux0] set authentication password simple 123456

# 设置从AUX用户界面登录后可以访问的命令级别为2级。

[Sysname-ui-aux0] user privilege level 2

# 设置Console口使用的传输速率为19200bit/s

[Sysname-ui-aux0] speed 19200

# 设置终端屏幕的一屏显示30行命令。

[Sysname-ui-aux0] screen-length 30

# 设置历史命令缓冲区可存放20条命令。

[Sysname-ui-aux0] history-command max-size 20

# 设置AUX用户界面的超时时间为6分钟。

[Sysname-ui-aux0] idle-timeout 6

完成上述配置后,用户需要改变PC机上运行的终端仿真程序的相应配置,如所示,使之与交换机上的配置保持一致,才能确保正常登录。

Console口登录方式的配置

操作

命令

说明

进入系统视图

system-view

-

进入AUX用户界面视图

user-interface aux 0

-

设置登录用户的认证方式为通过认证方案认证

authentication-mode scheme

必选

具体采用本地认证还是RADIUS认证视AAA方案配置而定

缺省情况下,用户通过Console口(AUX用户界面)登录,认证方式为none(即不需要进行认证)

退出至系统视图

quit

-

配置交换机采用的认证方案

进入ISP域视图

domain domain-name

可选

缺省情况下,系统使用的AAA方案为local

如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS认证,则需进行如下配置:

l      交换机上的RADIUS方案配置请参见手册“AAA配置”部分

l      AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书

配置域使用的AAA方案

authentication default { local | none | radius-scheme radius-scheme-name [ local ] }

退出至系统视图

quit

创建本地用户(进入本地用户视图)

local-user user-name

必选

缺省情况下,无本地用户

设置本地用户认证口令

password { cipher | simple  } password

必选

设置AUX用户的命令级别

authorization-attribute level level

可选

缺省情况下,命令级别为0

设置AUX用户的服务类型

service-type terminal

必选

缺省情况下,无用户服务类型

 

需要注意的是,用户采用Scheme认证方式登录以太网交换机时,其所能访问的命令级别取决于AAA方案中定义的用户级别。

AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。

AAA方案为RADIUS方案认证时,在相应的RADIUS服务器上设定相应用户的级别。

 

 

1. 组网需求

交换机已经被配置为允许用户通过Telnet方式登录,且用户级别为管理级(3级)。当前登录用户需要对通过Console口(AUX用户界面)登录的用户进行如下限定:

l              设置本地用户的用户名为guest

l              设置本地用户的认证口令为明文方式,口令为123456

l              设置本地用户的服务类型为Terminal且命令级别为2

l              设置通过Console口登录交换机的用户进行Scheme认证

l              设置Console口使用的传输速率为19200bit/s

l              设置终端屏幕的一屏显示30行命令

l              设置历史命令缓冲区可存放20条命令

l              设置AUX用户界面的超时时间为6分钟

2. 组网图

图2-8 配置认证方式为SchemeAUX用户界面属性的组网图

 

3. 配置步骤

(1)        交换机上的配置

# 进入系统视图。

<Sysname> system-view

# 创建本地用户guest,并进入本地用户视图。

[Sysname] local-user guest

# 设置本地用户的认证口令为明文方式,口令为123456

[Sysname-luser-guest] password simple 123456

# 设置本地用户的服务类型为Terminal

[Sysname-luser-guest] service-type terminal

# 设置用户登录后可以访问的命令级别为2级。

[Sysname-luser-guest] authorization-attribute level 2

[Sysname-luser-guest] quit

# 进入AUX用户界面视图。

[Sysname] user-interface aux 0

# 设置通过Console口登录交换机的用户进行Scheme认证。

[Sysname-ui-aux0] authentication-mode scheme

# 设置Console口使用的传输速率为19200bit/s

[Sysname-ui-aux0] speed 19200

# 设置终端屏幕的一屏显示30行命令。

[Sysname-ui-aux0] screen-length 30

# 设置历史命令缓冲区可存放20条命令。

[Sysname-ui-aux0] history-command max-size 20

# 设置AUX用户界面的超时时间为6分钟。

[Sysname-ui-aux0] idle-timeout 6

(2)        认证方案配置

请参照“AAA配置”中相关内容完成对认证服务器的配置。

完成上述配置后,用户需要改变PC机上运行的终端仿真程序的相应配置,如所示,使之与交换机上的配置保持一致,才能确保正常登录。


登录简介

S5120-SI以太网交换机支持Telnet功能,用户可以通过Telnet方式对交换机进行远程管理和维护。

交换机和Telnet用户端都要进行相应的配置,才能保证通过Telnet方式正常登录交换机。

登录交换机需要具备的条件

 

3.1.2  Telnet配置环境搭建

方式登录交换机时,用户即可以使用PC机作为Telnet客户端,Telnet到交换机上,对其进行配置,也可以使用一台交换机Telnet到另一台交换机上,本端交换机作为Telnet客户端,对端交换机作为Telnet服务器端,对其进行配置

1. 通过终端Telnet到以太网交换机

{dy}步:通过Console口正确配置以太网交换机VLAN1接口的IP地址(VLAN1为交换机的缺省VLAN)。

l              通过Console口搭建配置环境。如所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与以太网交换机的Console口连接。

口搭建本地配置环境

 

l              PC机上运行终端仿真程序(如Windows3.1TerminalWindows95/Windows98/Windows NT/ Windows2000/ Windows XP的超级终端),设置终端通信参数:传输速率为9600bit/s8位数据位、1位停止位、无校验和无流控。

l              以太网交换机上电,PC机终端上将显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符<H3C>,如所示。

 

l              通过Console口在超级终端中执行以下命令,配置以太网交换机VLAN1IP地址为202.38.160.92/24

<Sysname> system-view

[Sysname] interface Vlan-interface 1

[Sysname-Vlan-interface1] ip address 202.38.160.92 255.255.255.0

第二步:在通过Telnet登录以太网交换机之前,针对用户需要的不同认证方式,在交换机上进行相应配置。请参见的相关描述。

第三步:如所示,建立配置环境,将PC机以太网口通过网络与以太网交换机VLAN1下的以太网口连接,确保PC机和VLAN1接口之间路由可达。

 

第四步:在PC机上运行Telnet程序,输入交换机VLAN1IP地址,如所示。

程序

 

第五步:如果配置验证方式为Password,则终端上显示“Login authentication”,并提示用户输入已设置的登录口令,口令输入正确后则出现命令行提示符(如<Sysname>)。如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到以太网交换机的用户过多,则请稍候再连接(S5120-SI以太网交换机最多允许5Telnet用户同时登录)。

第六步:使用相应命令配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。

 

到以太网交换机

用户可以从一台交换机Telnet到另一台交换机上,对其进行配置。本端交换机作为Telnet客户端,对端交换机作为Telnet服务器端。如果两台交换机相连的端口在同一局域网内,则其IP地址必须配置在同一网段;否则,两台交换机必须路由可达。

配置环境如所示,用户Telnet到一台以太网交换机后,可以输入telnet命令再登录其它以太网交换机,对其进行配置管理。

交换机登录到其它交换机

 

{dy}步:针对用户需要的不同认证方式,在作为Telnet Server的交换机上进行相应配置。请参见的相关描述。

第二步:用户登录到作为Telnet Client的以太网交换机。

第三步:在Telnet Client的以太网交换机上作如下操作:

<Sysname> telnet xxxx

其中xxxx是作为Telnet Server的以太网交换机的主机名或IP地址,若为主机名,则需是已通过ip host命令配置的主机名。

第四步:登录后,出现命令行提示符(如<Sysname>),如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到以太网交换机的用户过多,则请稍候再连接。

第五步:使用相应命令配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入“?”,具体的配置命令请参考本手册中相关部分的内容。

登录方式的公共属性

Telnet登录方式的公共属性配置,如所示。

登录方式的公共属性配置

操作

命令

说明

进入系统视图

system-view

-

使能设备的Telnet服务

telnet server enable

可选

缺省情况下,Telent服务处于使能状态

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

VTY用户界面配置

设置从VTY用户界面登录后可以访问的命令级别

user privilege level level

可选

缺省情况下,从VTY用户界面登录后可以访问的命令级别为0

配置VTY用户界面支持的协议

protocol inbound { all | ssh | telnet }

可选

缺省情况下,交换机同时支持TelnetSSH协议

设置从用户界面登录后自动执行的命令

auto-execute command text

可选

缺省情况下,通过VTY用户界面登录后无可自动执行的命令

VTY用户终端属性配置

启动终端服务

shell

可选

缺省情况下,在所有的用户界面上启动终端服务

设置终端屏幕一屏显示的行数

screen-length screen-length

可选

缺省情况下,终端屏幕一屏显示的行数为24

screen-length 0表示关闭分屏显示功能

设置交换机历史命令缓冲区大小

history-command max-size value

可选

缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令

设置VTY用户界面的超时时间

idle-timeout minutes [ seconds ]

可选

缺省情况下,所有的用户界面的超时时间为10分钟

如果10分钟内某用户界面没有用户进行操作,则该用户界面将自动断开

idle-timeout 0表示关闭用户界面的超时功能

 

登录配置任务简介

不同的认证方式下,Telnet登录方式需要进行的配置不同,具体配置如所示。

登录的认证方式

 

Telnet登录方式的配置

Telnet登录方式的配置

 

需要注意的是,用户采用None认证方式登录以太网交换机时,其所能访问的命令级别取决于命令user privilege level levellevel参数定义的级别

(1)        组网需求

当前用户通过Console口(AUX用户界面)登录到交换机,且当前用户级别为管理级(3级)。当前用户要对通过VTY0用户界面登录的Telnet用户进行如下限定:

l              设置通过VTY0口登录交换机的Telnet用户不需要进行认证

l              设置从VTY0用户界面登录后可以访问的命令级别为2

l              设置VTY0用户界面支持Telnet协议

l              设置VTY0用户的终端屏幕的一屏显示30行命令

l              设置VTY0用户历史命令缓冲区可存放20条命令

l              设置VTY0用户界面的超时时间为6分钟

(2)        组网图

Telnet用户的组网图

 

(3)        配置步骤

# 进入系统视图。

<Sysname> system-view

# 进入VTY0用户界面视图。

[Sysname] user-interface vty 0

# 设置通过VTY0用户界面登录交换机的Telnet用户不需要进行认证。

[Sysname-ui-vty0] authentication-mode none

# 设置通过VTY0用户界面登录后可以访问的命令级别为2级。

[Sysname-ui-vty0] user privilege level 2

# 设置VTY0用户界面支持Telnet协议。

[Sysname-ui-vty0] protocol inbound telnet

# 设置VTY0用户的终端屏幕的一屏显示30行命令。

[Sysname-ui-vty0] screen-length 30

# 设置VTY0用户历史命令缓冲区可存放20条命令。

[Sysname-ui-vty0] history-command max-size 20

# 设置VTY0用户界面的超时时间为6分钟。

[Sysname-ui-vty0] idle-timeout 6

Telnet登录方式的配置

Telnet登录方式的配置

操作

命令

说明

进入系统视图

system-view

-

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

设置登录用户的认证方式为本地口令认证

authentication-mode password

必选

缺省情况下,VTY用户界面的认证方式为password

设置本地验证的口令

set authentication password { cipher | simple } password

必选

缺省情况下,没有设置本地认证的口令

 

需要注意的是,用户采用Password认证方式登录以太网交换机时,其所能访问的命令级别取决于命令user privilege level levellevel参数定义的级别

(1)        组网需求

当前用户通过Console口(AUX用户界面)登录到交换机,且当前用户级别为管理级(3级)。当前用户要对通过VTY0用户界面登录的Telnet用户进行如下限定:

l              设置通过VTY0口登录交换机的Telnet用户进行Password认证

l              设置用户的认证口令为明文方式,口令为123456

l              设置从VTY0用户界面登录后可以访问的命令级别为2

l              设置VTY0用户界面支持Telnet协议

l              设置VTY0用户的终端屏幕的一屏显示30行命令

l              设置VTY0用户历史命令缓冲区可存放20条命令

l              设置VTY0用户界面的超时时间为6分钟

(2)        组网图

Telnet用户的组网图

 

(3)        配置步骤

# 进入系统视图。

<Sysname> system-view

# 进入VTY0用户界面视图。

[Sysname] user-interface vty 0

# 设置通过VTY0口登录交换机的用户进行Password认证。

[Sysname-ui-vty0] authentication-mode password

# 设置用户的认证口令为明文方式,口令为123456

[Sysname-ui-vty0] set authentication password simple 123456

# 设置从VTY0用户界面登录后可以访问的命令级别为2级。

[Sysname-ui-vty0] user privilege level 2

# 设置VTY0用户界面支持Telnet协议。

[Sysname-ui-vty0] protocol inbound telnet

# 设置VTY0用户的终端屏幕的一屏显示30行命令。

[Sysname-ui-vty0] screen-length 30

# 设置VTY0用户历史命令缓冲区可存放20条命令。

[Sysname-ui-vty0] history-command max-size 20

# 设置VTY0用户界面的超时时间为6分钟。

[Sysname-ui-vty0] idle-timeout 6

Telnet登录方式的配置

Telnet登录方式的配置

操作

命令

说明

进入系统视图

system-view

-

进入一个或多个VTY用户界面视图

user-interface vty first-number [ last-number ]

-

设置登录用户的认证方式为通过认证方案认证

authentication-mode scheme

必选

具体采用本地认证还是RADIUS认证视AAA方案配置而定

缺省情况下采用本地认证方式

退出至系统视图

quit

-

配置交换机采用的认证方案

进入ISP域视图

domain domain-name

可选

缺省情况下,系统使用的AAA方案为local

如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS方式认证,则需进行如下配置:

l      交换机上的配置请参见手册“AAA配置”部分

l      AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书

配置域使用的AAA方案

authentication default { local | none | radius-scheme radius-scheme-name [ local ] }

退出至系统视图

quit

创建本地用户(进入本地用户视图)

local-user user-name

缺省情况下,无本地用户

设置本地认证口令

password { cipher | simple } password

必选

设置VTY用户的命令级别

authorization-attribute level level

可选

缺省情况下,命令级别为0

设置VTY用户的服务类型

service-type telnet

必选

缺省情况下,无用户的服务类型

 

需要注意的是,用户采用Scheme认证方式登录以太网交换机时,其所能访问的命令级别取决于AAA方案中定义的用户级别。

AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。

AAA方案为RADIUS方案认证时,在相应的RADIUS服务器上设定相应用户的级别。

 

(1)        组网需求

当前用户通过Console口(AUX用户界面)登录到交换机,且当前用户级别为管理级(3级)。当前用户要对通过VTY0用户界面登录的Telnet用户进行如下限定:

l              设置本地用户的用户名为guest

l              设置本地用户的认证口令为明文方式,口令为123456

l              设置VTY用户的服务类型为Telnet且命令级别为2

l              设置通过VTY0口登录交换机的Telnet用户进行Scheme认证

l              设置VTY0用户界面仅支持Telnet协议

l              设置VTY0用户的终端屏幕的一屏显示30行命令

l              设置VTY0用户历史命令缓冲区可存放20条命令

l              设置VTY0用户界面的超时时间为6分钟

(2)        组网图

图3-8 配置认证方式为SchemeTelnet用户的组网图

 

(3)        配置步骤

l              交换机上的配置

# 进入系统视图。

<Sysname> system-view

# 创建本地用户guest,并进入本地用户视图。

[Sysname] local-user guest

# 设置本地用户的认证口令为明文方式,口令为123456

[Sysname-luser-guest] password simple 123456

# 设置VTY用户的服务类型为Telnet且命令级别为2级。

[Sysname-luser-guest] service-type telnet

# 设置VTY用户登录后可以访问的命令级别为2级。

[Sysname-luser-guest] authorization-attribute level 2

[Sysname-luser-guest] quit

# 进入VTY0用户界面视图。

[Sysname] user-interface vty 0

# 设置通过VTY0口登录交换机的Telnet用户进行Scheme认证。

[Sysname-ui-vty0] authentication-mode scheme

# 设置VTY0用户界面支持Telnet协议。

[Sysname-ui-vty0] protocol inbound telnet

# 设置VTY0用户的终端屏幕的一屏显示30行命令。

[Sysname-ui-vty0] screen-length 30

# 设置VTY0用户历史命令缓冲区可存放20条命令。

[Sysname-ui-vty0] history-command max-size 20

# 设置VTY0用户界面的超时时间为6分钟。

[Sysname-ui-vty0] idle-timeout 6

l              认证方案配置

请参照手册“AAA配置”中相关内容完成对认证服务器的配置。

进行登录简介

SSHSecure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。

进行登录配置

SSH登录方式是在Telnet的基础上封装了安全外壳,关于SSH提供的安全功能配置,请参见手册“SSH配置”部分的介绍。


S5120-SI以太网交换机提供一个内置的Web Server,用户可以通过Web网管终端(PC)登录到交换机上,利用内置的Web ServerWeb方式直观地管理和维护以太网交换机。

交换机和Web网管终端(PC)都要进行相应的配置,才能保证通过Web网管正常登录交换机。

表4-1 通过Web网管登录交换机需要具备的条件

 

表4-2 通过Web网管登录配置

操作

命令

说明

进入系统视图

system-view

-

创建本地用户(进入本地用户视图)

local-user user-name

缺省情况下,无本地用户

设置本地认证口令

password { cipher | simple } password

必选

设置VTY用户的命令级别

authorization-attribute level level

可选

缺省情况下,命令级别为0

设置VTY用户的服务类型

service-type telnet

必选

缺省情况下,无用户的服务类型

启动Web Server

ip http enable

可选

缺省情况下,Web Server为启动状态

 

需要注意的是,用户采用Scheme认证方式登录以太网交换机时,其所能访问的命令级别取决于AAA方案中定义的用户级别。

AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。

AAA方案为RADIUS方案认证时,在相应的RADIUS服务器上设定相应用户的级别。

 

在完成上述配置后,在任意视图下执行display命令可以显示Web用户的信息,通过查看显示信息验证配置的效果。

表4-3 Web用户显示

 

(1)        通过Console口正确配置以太网交换机VLAN 1接口的IP地址(VLAN 1为交换机的缺省VLAN)。

l              通过Console口搭建配置环境。请参见“”。

l              通过Console口在超级终端中执行以下命令,配置以太网交换机VLAN 1接口的IP地址。

# 配置以太网交换机VLAN 1接口的IP地址为10.153.17.82,子网掩码为255.255.255.0

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-VLAN-interface1] ip address 10.153.17.82 255.255.255.0

(2)        用户通过Console口,在以太网交换机上配置欲登录的Web网管用户名和认证口令。

# 配置Web网管用户名为admin,认证口令为admin,用户级别为3级。

[Sysname] local-user admin

[Sysname-luser-admin] service-type telnet

[Sysname-luser-admin] authorization-attribute level 3

[Sysname-luser-admin] password simple admin

(3)        搭建Web网管远程配置环境,如所示。

网管远程运行环境

 

(4)        用户通过PC与交换机相连,并通过浏览器登录交换机:在Web网管终端(PC)的浏览器地址栏内输入http://10.153.17.82Web网管终端和以太网交换机之间要路由可达),浏览器会显示Web网管的登录页面,如所示。

网管登录页面

(5)        输入在交换机上添加的用户名和密码及验证码,点击<登录>按钮后即可登录,显示Web网管初始页面。

 


用户可通过NMSNetwork Management Station,网管工作站)登录到交换机上,通过交换机上的Agent模块对交换机进行管理、配置。NMSAgent之间运行的协议为SNMPSimple Network Management Protocol,简单网络管理协议),具体介绍请参见手册“SNMP-RMON”部分介绍。

NMS端和交换机上都要进行相应的配置,才能保证通过NMS正常登录交换机。

登录交换机需要具备的条件

 

方式登录组网环境

 


用户可以通过以下配置,为Telnet Client指定源IP地址或者源接口,增加了业务的可管理性和安全性。

Telnet业务报文指定的源IPLoopback接口。通过配置Loopback虚接口的IPTelnet业务报文的指定源IP,使Telnet ClientTelnet Server之间传输报文无论通过交换机的哪个接口都使用指定接口的源IP,隐藏了实际通信接口的IP地址,起到了防止外部攻击的作用,提高了安全性。同时,有时服务器会限制只有某些IP才可以访问它,在客户端上使用源IP特性可以避免连接不上服务器。

分为用户视图下的配置和系统视图下的配置,用户视图下的配置只对本次操作有效,而系统视图下的配置对之后的每次操作都有效,用户视图下的优先级高于系统视图。

1. 用户视图下的配置

Telnet业务报文指定源IP

 

2. 系统视图下的配置

业务报文指定源IP

 

 

在完成上述配置后,在任意视图下执行display命令可以显示配置业务报文指定源IP或源接口后的运行情况,通过查看显示信息验证配置的效果。

业务报文指定源IP显示

 


S5120-SI以太网交换机提供对不同登录方式进行控制,如所示。

 

确定了对Telnet的控制策略,包括对哪些源IP、目的IP、源MAC进行控制,控制的动作是允许访问还是拒绝访问。

Telnet进行控制

本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为20002999。关于ACL的定义请参见手册中“ACL配置”模块的相关内容。

Telnet进行控制

操作

命令

说明

进入系统视图

system-view

-

创建或进入基本ACL视图

acl number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]*

必选

退出ACL视图

quit

-

进入用户界面视图

user-interface [ type ] first-number [ last-number ]

-

引用访问控制列表,通过源IPTelnet进行控制

acl acl-number { inbound | outbound }

必选

inbound:对Telnet到本交换机的用户进行ACL控制

outbound:对从本交换机Telnet到其他Telnet服务器的用户进行ACL控制

 

、目的IPTelnet进行控制

本配置需要通过高级访问控制列表实现。高级访问控制列表的序号取值范围为30003999。关于ACL的定义请参见手册中“ACL配置”模块的相关内容。

表7-3 配置高级ACL规则

操作

命令

说明

进入系统视图

system-view

-

创建或进入高级ACL视图

acl number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } rule-string

必选

用户可以根据需要配置对相应的源IP、目的IP进行过滤的规则

退出ACL视图

quit

-

进入用户界面视图

user-interface [ type ] first-number [ last-number ]

-

引用访问控制列表,通过源IP、目的IPTelnet进行控制

acl acl-number { inbound | outbound }

必选

inbound:对Telnet到本交换机的用户进行ACL控制

outbound:对从本交换机Telnet到其他Telnet服务器的用户进行ACL控制

地址对Telnet进行控制

本配置需要通过二层访问控制列表实现。二层访问控制列表的序号取值范围为40004999。关于ACL的定义请参见手册中“ACL配置”模块的相关内容。

表7-4 配置二层ACL规则

操作

命令

说明

进入系统视图

system-view

-

创建或进入高级ACL视图

acl number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } rule-string

必选

用户可以根据需要配置对相应的源MAC进行过滤的规则

退出ACL视图

quit

-

进入用户界面视图

user-interface [ type ] first-number [ last-number ]

-

引用访问控制列表,通过源MACTelnet进行控制

acl acl-number inbound

必选

inbound:对Telnet到本交换机的用户进行ACL控制

 

 

1. 组网需求

通过源IPTelnet进行控制,仅允许来自10.110.100.5210.110.100.46Telnet用户访问交换机。

2. 组网图

Telnet用户进行ACL控制

 

3. 配置步骤

# 定义基本访问控制列表。

<Sysname> system-view

[Sysname] acl number 2000 match-order config

[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0

[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0

[Sysname-acl-basic-2000] quit

# 引用访问控制列表,允许源地址为10.110.100.5210.110.100.46Telnet用户访问交换机。

[Sysname] user-interface vty 0 4

[Sysname-ui-vty0-4] acl 2000 inbound

S5120-SI以太网交换机支持通过网管软件进行远程管理。网管用户可以通过SNMP访问交换机。通过SNMP用户进行控制

确定了对网管用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。

对网管用户进行控制

本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为20002999。关于ACL的定义请参见手册中“ACL配置”模块的相关内容。

表7-5 通过源IP对网管用户进行控制

操作

命令

说明

进入系统视图

system-view

-

创建或进入基本ACL视图

acl number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]*

必下·选

退出ACL视图

quit

-

在配置SNMP团体名的命令中引用访问控制列表

snmp-agent community { read | write } community-name [ acl acl-number | mib-view view-name ]*

必选

根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组名或者用户名配置时引用访问控制列表,详细介绍请参见手册中的“SNMP配置”中的相关内容

在配置SNMP组名的命令中引用访问控制列表

snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ]

在配置SNMP用户名的命令中引用访问控制列表

snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ]

snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ]

 

1. 组网需求

通过源IP对网管用户进行控制,仅允许来自10.110.100.5210.110.100.46SNMP用户访问交换机。

2. 组网图

用户进行ACL控制

 

3. 配置步骤

# 定义基本访问控制列表。

<Sysname> system-view

[Sysname] acl number 2000 match-order config

[Sysname-acl-basic-2000] rule 1 permit source 10.110.100.52 0

[Sysname-acl-basic-2000] rule 2 permit source 10.110.100.46 0

[Sysname-acl-basic-2000] quit

# 引用访问控制列表,仅允许来自10.110.100.5210.110.100.46SNMP用户访问交换机。

[Sysname] snmp-agent community read aaa acl 2000

[Sysname] snmp-agent group v2c groupa acl 2000

[Sysname] snmp-agent usm-user v2c usera groupa acl 2000

S5120-SI以太网交换机支持通过Web方式进行远程管理。Web用户可以通过HTTP协议访问交换机。通过引用访问控制列表,可以对访问交换机的Web用户进行控制。

确定了对Web用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问。

Web用户进行控制

本配置需要通过基本访问控制列表实现。基本访问控制列表的序号取值范围为20002999。关于ACL的定义请参见手册中“ACL”模块的相关内容。

表7-6 通过源IPWeb用户进行控制

操作

命令

说明

进入系统视图

system-view

-

创建或进入基本ACL视图

acl number acl-number [ match-order { config | auto } ]

必选

缺省情况下,匹配顺序为config

定义子规则

rule [ rule-id ] { permit | deny } [ source { sour-addr sour-wildcard | any } | time-range time-name | fragment | logging ]*

必选

退出ACL视图

quit

-

引用访问控制列表对Web用户进行控制

ip http acl acl-number

必选

 

用户下线

网络管理员可以通过命令行强制在线Web用户下线。

表7-7 强制在线Web用户下线

 

1. 组网需求

通过源IPWeb用户进行控制,仅允许来自10.110.100.52Web用户访问交换机。

2. 组网图

HTTP用户进行ACL控制

3. 配置步骤

# 定义基本访问控制列表。

<Sysname> system-view

[Sysname] acl number 2030 match-order config

[Sysname-acl-basic-2030] rule 1 permit source 10.110.100.52 0

# 引用访问控制列表,仅允许来自10.110.100.52Web用户访问交换机。

[Sysname] ip http acl 2030

郑重声明:资讯 【H3C S5120-SI系列以太网交换机操作手册-Release 1101-6W102 - 服务支持 ...】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——