Size: px

Start display at page:

Download "目录（目录名）"

雅弛阮
4 years ago
Views:

1 目录目录第 1 章登录以太网交换机登录以太网交换机方法简介用户界面简介交换机支持的用户界面交换机用户界面编号用户界面公共配置第 2 章通过 Console 口进行本地登录通过 Console 口进行本地登录简介通过 Console 口登录交换机配置 Console 口登录方式的属性配置 Console 口登录方式的公共属性不同认证方式下 Console 口登录方式的属性配置认证方式为 None 时 Console 口登录方式的配置配置过程配置举例认证方式为 Password 时 Console 口登录方式的配置配置过程配置举例认证方式为 Scheme 时 Console 口登录方式的配置配置过程配置举例第 3 章通过 Telnet 进行登录通过 Telnet 进行登录的简介配置 Telnet 登录方式的公共属性不同认证方式下 Telnet 登录方式的配置认证方式为 None 时 Telnet 登录方式的配置配置过程配置举例认证方式为 Password 时 Telnet 登录方式的配置配置过程配置举例认证方式为 Scheme 时 Telnet 登录方式的配置配置过程配置举例 i

2 目录 3.5 Telnet 配置环境搭建通过终端 Telnet 到以太网交换机通过以太网交换机 Telnet 到以太网交换机第 4 章通过 Console 口利用 Modem 拨号远程登录通过 Console 口利用 Modem 拨号进行远程登录简介网络管理员端的相关配置交换机端的相关配置与交换机直接相连的 Modem 上的配置交换机的相关配置通过 Modem 拨号搭建配置环境第 5 章通过 WEB 网管登录通过 WEB 网管登录简介 WEB 配置环境搭建关闭 / 启动 WEB Server WEB 用户显示第 6 章通过 NMS 登录通过 NMS 登录简介通过 NMS 方式登录组网结构第 7 章 Telnet 业务报文指定源 IP Telnet 业务报文指定源 IP 简介配置 Telnet 业务报文指定源 IP 配置 Telnet 业务报文指定源 IP 显示第 8 章对登录用户的控制简介配置对 TELNET 的控制配置准备通过源 IP 对 TELNET 进行控制通过源 IP 目的 IP 对 TELNET 进行控制通过源 MAC 地址对 TELNET 进行控制配置举例通过源 IP 对网管用户进行控制配置准备通过源 IP 对网管用户进行控制配置举例通过源 IP 对 WEB 用户进行控制配置准备通过源 IP 对 WEB 用户进行控制 ii

3 目录强制在线 WEB 用户下线配置举例 iii

4 第 1 章登录以太网交换机第 1 章登录以太网交换机 1.1 登录以太网交换机方法简介 S3610&S5510 系列以太网交换机的登录, 可以通过以下几种方式实现 : 通过 Console 口进行本地登录通过以太网端口利用 Telnet 进行本地或远程登录通过 Console 口利用 Modem 拨号进行远程登录通过 WEB 网管登录通过 NMS(Network Management Station, 网管工作站 ) 登录 1.2 用户界面简介交换机支持的用户界面 S3610&S5510 系列以太网交换机支持两种用户界面 :AUX 用户界面 VTY 用户界面表 1-1 用户界面介绍用户界面对应用户使用的交换机端口类型说明 AUX 用户界面通过 Console 口登录的用户 Console 口每台交换机只有 1 个 AUX 用户 VTY 用户界面 Telnet 用户 SSH 用户以太网端口每台交换机最多可以有 5 个 VTY 用户说明 : 在 S3610&S5510 系列以太网交换机中,AUX 口和 Console 口是同一个端口, 所以与其对应的用户界面类型只有 AUX 用户界面类型交换机用户界面编号用户界面的编号有两种方式 : 绝对编号方式和相对编号方式 (1) 绝对编号方式, 遵守的规则如下 : 1-1

5 第 1 章登录以太网交换机 AUX 用户界面编号排在第一位, 为 0; VTY 用户界面编号排在 AUX 用户界面之后, 第一个 VTY 的绝对编号比 AUX 大 1 (2) 相对编号的形式为用户界面类型 + 编号, 此编号是每种类型的用户界面的编号遵守的规则如下 : AUX 用户界面的编号 :AUX 0; VTY 用户界面的编号 : 第一个为 VTY 0, 第二个为 VTY 1, 依此类推用户界面公共配置表 1-2 用户界面公共配置操作命令说明锁定当前用户界面配置在用户界面之间传递消息清除指定的用户界面 lock send { all number type number } free user-interface [ type ] number 在用户视图下执行缺省情况下, 不锁定当前用户界面在用户视图下执行在用户视图下执行进入系统视图 system-view - 配置登录交换机时的欢迎信息配置交换机的系统名进入用户界面视图配置中止当前运行任务的快捷键配置历史命令缓冲区大小 header { incoming legal login motd shell } text sysname string user-interface [ type ] first-number [ last-number ] escape-key { default character } history-command max-size value 缺省情况下, 没有配置欢迎信息缺省情况下, 系统名为 H3C - 缺省情况下, 键入 <Ctrl+C> 中止当前运行的任务缺省情况下, 历史缓冲区为 10, 即可存放 10 条历史命令 1-2

6 第 1 章登录以太网交换机操作命令说明配置用户界面的超时时间配置终端屏幕一屏显示的行数启动终端服务 idle-timeout minutes [ seconds ] screen-length screen-length shell 缺省情况下, 所有的用户界面的超时时间为 10 分钟如果 10 分钟内某用户界面没有用户进行操作, 则该用户界面将自动断开 idle-timeout 0 表示关闭用户界面的超时功能缺省情况下, 终端屏幕一屏显示的行数为 24 行 screen-length 0 表示关闭分屏功能缺省情况下, 在所有的用户界面上启动终端服务配置终端的显示类型 terminal type { ansi vt100 } 缺省情况下, 终端显示类型为 ANSI 显示用户界面的使用信息显示用户界面的物理属性和部分配置显示当前 WEB 用户的相关信息 display users [ all ] display user-interface [ type number number ] [ summary ] display web users display 命令可以在任意视图下执行 1-3

7 第 2 章通过 Console 口进行本地登录第 2 章通过 Console 口进行本地登录说明 : S3610&S5510 系列以太网交换机的缺省系统名为 H3C, 即命令行接口的提示符为 H3C 以下配置举例中的命令行提示符均以 H3C 为例 2.1 通过 Console 口进行本地登录简介通过交换机 Console 口进行本地登录是登录交换机的最基本的方式, 也是配置通过其他方式登录交换机的基础 S3610&S5510 系列以太网交换机缺省情况下只能通过 Console 口进行本地登录用户终端的通信参数配置要和交换机 Console 口的配置保持一致, 才能通过 Console 口登录到以太网交换机上交换机 Console 口的缺省配置如下表 2-1 交换机 Console 口缺省配置属性缺省值波特率流控方式校验方式 9600bit/s 不进行流控无校验位停止位 1 数据位 8 用户登录到交换机上后, 可以对 Console 口进行相关的配置, 请参见 2.3 配置 Console 口登录方式的属性 2.2 通过 Console 口登录交换机第一步 : 如图 2-1 所示, 建立本地配置环境, 只需将 PC 机 ( 或终端 ) 的串口通过配置电缆与以太网交换机的 Console 口连接 RS-232 串口 Console 口配置电缆图 2-1 通过 Console 口搭建本地配置环境 2-1

Windows XP 为例 ), 选择与交换机相连的串口, 配置终端通信参数为 : 波特率为 9600bit/s 8 位数据位 1

8 第 2 章通过 Console 口进行本地登录第二步 : 在 PC 机上运行终端仿真程序 ( 如 Windows 3.X 的 Terminal 或 Windows 9X/Windows 2000/Windows XP 的超级终端等, 以下配置以 Windows XP 为例 ), 选择与交换机相连的串口, 配置终端通信参数为 : 波特率为 9600bit/s 8 位数据位 1 位停止位无校验和无流控, 如图 2-2 至图 2-4 所示图 2-2 新建连接图 2-3 连接端口配置图 2-4 端口通信参数配置 2-2

9 第 2 章通过 Console 口进行本地登录第三步 : 以太网交换机上电, 终端上显示设备自检信息, 自检结束后提示用户键入回车, 之后将出现命令行提示符 ( 如 <H3C>) 第四步 : 键入命令, 配置以太网交换机或查看以太网交换机运行状态需要帮助可以随时键入?, 具体的配置命令请参考本手册中相关模块的内容 2.3 配置 Console 口登录方式的属性配置 Console 口登录方式的公共属性 Console 口登录方式的公共属性配置, 如表 2-2 所示表 2-2 Console 口登录方式公共属性配置 Console 口登录方式属性配置波特率说明缺省情况下,Console 口使用的波特率为 9600bit/s 配置 Console 口属性 AUX 用户界面配置校验方式停止位数据位流量控制方式 AUX 界面登录的用户可以访问的命令级别缺省情况下,Console 口的校验方式为 none, 即无校验位缺省情况下,Console 口的停止位为 1 缺省情况下,Console 口的数据位为 8 位缺省情况下,Console 口的流量控制方式为 none, 即不进行流量控制缺省情况下,AUX 界面登录的用户可以访问的命令级别为 3 级 2-3

10 第 2 章通过 Console 口进行本地登录 Console 口登录方式属性配置配置中止当前运行任务的快捷键配置启动终端会话的快捷键说明缺省情况下, 键入 <Ctrl+C> 中止当前运行的任务缺省情况下, 键入 <Enter> 启动终端会话终端属性配置启动终端服务功能终端屏幕一屏显示的行数历史命令缓冲区大小用户界面的超时时间缺省情况下, 所有用户界面上启动终端服务缺省情况下, 终端屏幕一屏显示的行数为 24 行缺省情况下, 可存放 10 条历史命令缺省情况下, 用户超时断开连接的时间为 10 分钟注意 : 改变 Console 口属性会导致当前通过 Console 口登录的用户连接中断若此类用户要再次登录交换机, 需要改变 PC 机上运行的终端仿真程序的相应配置, 使之与交换机上的配置保持一致, 如图 2-4 所示不同认证方式下 Console 口登录方式的属性配置不同的认证方式下,Console 口登录方式需要进行的配置不同, 具体配置如表 2-3 所示表 2-3 不同认证方式下 Console 口登录方式的属性配置认证方式 Console 口登录方式的属性配置说明 None 配置公共属性配置 Console 口登录方式的公共属性具体内容参见表 2-2 配置口令配置本地验证口令必选 Password 配置公共属性配置 Console 口登录方式的公共属性具体内容参见表

11 第 2 章通过 Console 口进行本地登录认证方式 Console 口登录方式的属性配置说明配置采用本地认证或者到 RADIUS 服务器上认证通过交换机的 AAA 配置可以配置对用户采用本地认证还是到 RADIUS 服务器上认证缺省情况下, 交换机采用本地认证的方式具体配置请参见 AAA-RADIUS-HWTACACS 模块的相关配置必选 Scheme 配置用户名和密码配置本地或远端用户名和口令认证本地用户名和口令的配置在交换机上完成远端用户名和口令的配置在 RADIUS 服务器上进行, 详细内容请见 RADIUS 服务器的随机指导书 AUX 用户管理配置 AUX 用户的服务类型必选配置公共属性配置 Console 口登录方式的公共属性具体内容参见表 2-2 说明 : 改变 Console 口登录方式的认证方式后, 该认证方式的配置不会立即生效用户需要退出命令行接口后重新登录, 该配置才会生效 2.4 认证方式为 None 时 Console 口登录方式的配置配置过程表 2-4 认证方式为 None 时 Console 口登录方式的配置操作命令说明进入系统视图 system-view - 进入 AUX 用户界面视图 user-interface aux 0 - 配置登录用户的认证方式为 None authentication-mod e none 必选缺省情况下, 用户通过 Console 口 (AUX 用户界面 ) 登录不需要进行认证 2-5

12 第 2 章通过 Console 口进行本地登录操作命令说明配置波特率 speed speed-value 缺省情况下,Console 口 (AUX 用户界面 ) 使用的波特率为 9600bit/s 配置 Console 口的属性配置校验方式配置停止位 parity { even mark none odd space } stopbits { } 缺省情况下,Console 口的校验方式为 none, 即无校验位缺省情况下,Console 口 (AUX 用户界面 ) 的停止位为 1 配置数据位 databits { } 缺省情况下,Console 口 (AUX 用户界面 ) 的数据位为 8 位配置从用户界面登录后可以访问的命令级别配置启动终端会话的快捷键配置中止当前运行任务的快捷键启动终端服务配置终端屏幕一屏显示的行数配置历史命令缓冲区大小配置用户界面的超时时间 user privilege level level activation-key character escape-key { default character } shell screen-length screen-length history-command max-size value idle-timeout minutes [ seconds ] 缺省情况下, 从 Console 口 (AUX 用户界面 ) 登录后可以访问的命令级别为 3 级缺省情况下, 键入 <Enter> 启动终端会话缺省情况下, 键入 <Ctrl+C> 中止当前运行的任务缺省情况下, 在所有的用户界面上启动终端服务缺省情况下, 终端屏幕一屏显示的行数为 24 行 screen-length 0 表示关闭分屏功能缺省情况下, 历史缓冲区为 10, 即可存放 10 条历史命令缺省情况下, 所有的用户界面的超时时间为 10 分钟如果 10 分钟内某用户界面没有用户进行操作, 则该用户界面将自动断开 idle-timeout 0 表示关闭用户界面的超时功能需要注意的是, 用户采用 None 认证方式登录以太网交换机时, 其所能访问的命令级别取决于命令 0 命令 1 间的组合, 具体情况如表 2-5 所示 2-6

13 第 2 章通过 Console 口进行本地登录命令 0:authentication-mode none 命令 1:user privilege level level 表 2-5 用户采用 None 认证方式登录以太网交换机时可访问的命令优先级前提条件用户登录认证方式用户类别命令配置情况用户登录后可访问命令优先级 authentication-mode none( 不认证 ) 通过 Console 口未配置命令 1 3 级 (AUX 用户界面 ) 登录的用户已配置命令 1 由命令 1 决定配置举例 1. 组网需求当前用户通过 Telnet 方式登录, 且用户级别为管理级 (3 级 ) 当前登录用户需要对通过 Console 口 (AUX 用户界面 ) 登录进行如下限定 : 配置通过 AUX 用户界面登录交换机的用户不需要进行认证配置通过 AUX 用户界面登录后可以访问的命令级别为 2 级配置 AUX 用户界面使用的波特率为 19200bit/s 配置 AUX 用户界面终端屏幕的一屏显示 30 行命令配置 AUX 用户界面的历史命令缓冲区可存放 20 条命令配置 AUX 用户界面的超时时间为 6 分钟 2. 组网图 Ethernet Ethernet1/0/1 配置交换机的 PC 机运行 Telnet 图 2-5 配置 AUX 用户界面属性的组网图 2-7

14 第 2 章通过 Console 口进行本地登录 3. 配置步骤 # 进入系统视图 <H3C> system-view # 进入 AUX 用户界面视图 [H3C] user-interface aux 0 # 配置通过 AUX 用户界面登录交换机的用户不需要进行认证 [H3C-ui-aux0] authentication-mode none # 配置通过 AUX 用户界面登录后可以访问的命令级别为 2 级 [H3C-ui-aux0] user privilege level 2 # 配置 AUX 用户界面使用的波特率为 19200bit/s [H3C-ui-aux0] speed # 配置 AUX 用户界面终端屏幕的一屏显示 30 行命令 [H3C-ui-aux0] screen-length 30 # 配置 AUX 用户界面的历史命令缓冲区可存放 20 条命令 [H3C-ui-aux0] history-command max-size 20 # 配置 AUX 用户界面的超时时间为 6 分钟 [H3C-ui-aux0] idle-timeout 6 完成上述配置后, 用户需要改变 PC 机上运行的终端仿真程序的相应配置, 如图 2-4 所示, 使之与交换机上的配置保持一致, 才能确保正常登录 2.5 认证方式为 Password 时 Console 口登录方式的配置配置过程表 2-6 认证方式为 Password 时 Console 口登录方式的配置操作命令说明进入系统视图 system-view - 进入 AUX 用户界面视图 user-interface aux 0 - 配置登录用户的认证方式为本地口令认证配置本地验证的口令 authentication-mode password set authentication password { cipher simple } password 必选缺省情况下, 用户通过 Console 口 (AUX 用户界面 ) 登录不需要进行验证 ; 而用户通过 Modem 和 Telnet 方式登录需要进行口令验证必选 2-8

15 第 2 章通过 Console 口进行本地登录操作命令说明配置波特率 speed speed-value 缺省情况下,Console 口 (AUX 用户界面 ) 使用的波特率为 9600bit/s 配置 Console 口的属性配置校验方式 parity { even mark none odd space } 配置停止位 stopbits { } 配置数据位 databits { } 缺省情况下,Console 口 (AUX 用户界面 ) 的校验方式为 none, 即无校验位缺省情况下,Console 口 (AUX 用户界面 ) 的停止位为 1 缺省情况下,Console 口 (AUX 用户界面 ) 的数据位为 8 位配置从用户界面登录后可以访问的命令级别配置启动终端会话的快捷键配置中止当前运行任务的快捷键启动终端服务配置终端屏幕一屏显示的行数配置历史命令缓冲区大小配置用户界面的超时时间 user privilege level level activation-key character escape-key { default character } shell screen-length screen-length history-command max-size value idle-timeout minutes [ seconds ] 缺省情况下, 从 Console 口 (AUX 用户界面 ) 登录后可以访问的命令级别为 3 级缺省情况下, 键入 <Enter> 启动终端会话缺省情况下, 键入 <Ctrl+C> 中止当前运行的任务缺省情况下, 在所有的用户界面上启动终端服务缺省情况下, 终端屏幕一屏显示的行数为 24 行 screen-length 0 表示关闭分屏功能缺省情况下, 历史缓冲区为 10, 即可存放 10 条历史命令缺省情况下, 所有的用户界面的超时时间为 10 分钟如果 10 分钟内某用户界面没有用户进行操作, 则该用户界面将自动断开 idle-timeout 0 表示关闭用户界面的超时功能 2-9

16 第 2 章通过 Console 口进行本地登录需要注意的是, 用户采用 Password 认证方式登录以太网交换机时, 其所能访问的命令级别取决于命令 0 命令 1 间的组合, 具体情况如表 2-7 所示命令 0:authentication-mode password 命令 1:user privilege level level 表 2-7 用户采用 Password 认证方式登录以太网交换机时可访问的命令优先级前提条件用户登录认证方式用户类别命令配置情况用户登录后可访问命令优先级 authentication-mode password( 本地口令认证 ) 通过 Console 口未配置命令 1 3 级 (AUX 用户界面 ) 登录的用户已配置命令 1 由命令 1 决定配置举例 1. 组网需求当前用户通过 Telnet 方式登录, 且用户级别为管理级 (3 级 ) 当前登录用户需要对通过 Console 口 (AUX 用户界面 ) 登录进行如下限定 : 配置通过 AUX 用户界面登录交换机的用户进行 Password 认证配置用户的认证口令为明文显示方式, 口令为配置通过 AUX 用户界面登录后可以访问的命令级别为 2 级配置 AUX 用户界面使用的波特率为 19200bit/s 配置 AUX 用户界面终端屏幕的一屏显示 30 行命令配置 AUX 用户界面的历史命令缓冲区可存放 20 条命令配置 AUX 用户界面的超时时间为 6 分钟 2-10

17 第 2 章通过 Console 口进行本地登录 2. 组网图 Ethernet1/0/1 Ethernet 配置交换机的 PC 机运行 Telnet 图 2-6 配置 AUX 用户界面属性的组网图 3. 配置步骤 # 进入系统视图 <H3C> system-view # 进入 AUX 用户界面视图 [H3C] user-interface aux 0 # 配置通过 AUX 用户界面登录交换机的用户进行 Password 认证 [H3C-ui-aux0] authentication-mode password # 配置用户的认证口令为明文显示方式, 口令为 [H3C-ui-aux0] set authentication password simple # 配置通过 AUX 用户界面登录后可以访问的命令级别为 2 级 [H3C-ui-aux0] user privilege level 2 # 配置 AUX 用户界面使用的波特率为 19200bit/s [H3C-ui-aux0] speed # 配置 AUX 用户界面终端屏幕的一屏显示 30 行命令 [H3C-ui-aux0] screen-length 30 # 配置 AUX 用户界面的历史命令缓冲区可存放 20 条命令 [H3C-ui-aux0] history-command max-size 20 # 配置 AUX 用户界面的超时时间为 6 分钟 [H3C-ui-aux0] idle-timeout 6 完成上述配置后, 用户需要改变 PC 机上运行的终端仿真程序的相应配置, 如图 2-4 所示, 使之与交换机上的配置保持一致, 才能确保正常登录 2-11

18 第 2 章通过 Console 口进行本地登录 2.6 认证方式为 Scheme 时 Console 口登录方式的配置配置过程表 2-8 认证方式为 Scheme 时 Console 口登录方式的配置操作命令说明进入系统视图 system-view - 配置交换机采用的认证方案进入缺省的 ISP 域视图配置域使用的 AAA 方案退出当前视图 ( 进入系统视图 ) domain domain name authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } quit 系统缺省使用的 AAA 方案为 local, 如果采用 local 认证, 则必须进行后续的本地用户配置如果采用配置好的 radius-scheme-name 来实现认证, 则需进行如下配置 : 交换机上需要进行 AAA&RADIUS 配置, 具体内容和操作步骤请参见 AAA-RADIUS-HWTACACS 模块相关部分的介绍 AAA 服务器上需要配置相关的用户名和密码, 具体请参见服务器的指导书创建本地用户并进入本地用户视图配置本地用户认证口令配置 AUX 用户的服务类型 local-user user-name password { simple cipher } password service-type terminal [ level level ] 必选缺省情况下, 无本地用户必选必选退出本地用户视图 ( 进入系统视图 ) quit - 进入 AUX 用户界面视图 user-interface aux 0 - 配置登录用户的认证方式为本地或远端用户名和口令认证 authentication-mode scheme [ commandauthorization ] 必选究竟是采用本地认证还是远端认证视用户的 AAA 方案配置而定缺省情况下采用本地认证方式 2-12

19 第 2 章通过 Console 口进行本地登录操作命令说明配置波特率 speed speed-value 缺省情况下,Console 口 (AUX 用户界面 ) 使用的波特率为 9600bit/s 配置 Console 口的属性配置校验方式 parity { even mark none odd space } 配置停止位 stopbits { } 配置数据位 databits { } 缺省情况下,Console 口 (AUX 用户界面 ) 的校验方式为 none, 即无校验位缺省情况下,Console 口 (AUX 用户界面 ) 的停止位为 1 缺省情况下,Console 口 (AUX 用户界面 ) 的数据位为 8 位配置从用户界面登录后可以访问的命令级别配置启动终端会话的快捷键配置中止当前运行任务的快捷键启动终端服务配置终端屏幕一屏显示的行数配置历史命令缓冲区大小配置用户界面的超时时间 user privilege level level activation-key character escape-key { default character } shell screen-length screen-length history-command max-size value idle-timeout minutes [ seconds ] 缺省情况下, 从 Console 口 (AUX 用户界面 ) 登录后可以访问的命令级别为 3 级缺省情况下, 键入 <Enter> 启动终端会话缺省情况下, 键入 <Ctrl+C> 中止当前运行的任务缺省情况下, 在所有的用户界面上启动终端服务缺省情况下, 终端屏幕一屏显示的行数为 24 行 screen-length 0 表示关闭分屏功能缺省情况下, 历史缓冲区为 10, 即可存放 10 条历史命令缺省情况下, 所有的用户界面的超时时间为 10 分钟如果 10 分钟内某用户界面没有用户进行操作, 则该用户界面将自动断开 idle-timeout 0 表示关闭用户界面的超时功能 2-13

20 第 2 章通过 Console 口进行本地登录需要注意的是, 用户采用 Scheme 认证方式登录以太网交换机时, 其所能访问的命令级别取决于 service-type terminal [ level level ] 命令, 具体情况如表 2-9 所示表 2-9 用户采用 Scheme 认证方式登录以太网交换机时可访问的命令优先级前提条件用户登录认证方式用户类别命令配置情况用户登录后可访问命令优先级 authentication-mode scheme [ command-authoriz ation ] 通过 Console 口 (AUX 用户界面 ) 登录的用户 ( 采用 AAA&RADIUS 认证或者本地认证 ) 在 service-type terminal 命令中未定义用户的级别在 service-type terminal 命令中已定义用户的级别 0 级本地用户的默认级别为 0 级由 service-type terminal 命令中定义用户的级别决定配置举例 1. 组网需求当前用户通过 Telnet 方式登录, 且用户级别为管理级 (3 级 ) 当前登录用户需要对通过 Console 口 (AUX 用户界面 ) 登录进行如下限定 : 配置本地用户的用户名为 guest 配置本地用户的认证口令为明文显示方式, 口令为配置本地用户的服务类型为 Terminal 且命令级别为 2 级配置通过 AUX 用户界面登录交换机的用户进行 Scheme 认证配置 AUX 用户界面使用的波特率为 19200bit/s 配置 AUX 用户界面终端屏幕的一屏显示 30 行命令配置 AUX 用户界面的历史命令缓冲区可存放 20 条命令配置 AUX 用户界面的超时时间为 6 分钟 2-14

21 第 2 章通过 Console 口进行本地登录 2. 组网图 Ethernet1/0/1 Ethernet 配置交换机的 PC 机运行 Telnet 图 2-7 配置 AUX 用户界面属性的组网图 3. 配置步骤 # 进入系统视图 <H3C> system-view # 创建本地用户 guest, 并进入本地用户视图 [H3C] local-user guest # 配置本地用户的认证口令为明文显示方式, 口令为 [H3C-luser-guest] password simple # 配置本地用户的服务类型为 Terminal 且命令级别为 2 级 [H3C-luser-guest] service-type terminal level 2 [H3C-luser-guest] quit # 进入 AUX 用户界面视图 [H3C] user-interface aux 0 # 配置通过 AUX 用户界面登录交换机的用户进行 Scheme 认证 [H3C-ui-aux0] authentication-mode scheme # 配置 AUX 用户界面使用的波特率为 19200bit/s [H3C-ui-aux0] speed # 配置 AUX 用户界面终端屏幕的一屏显示 30 行命令 [H3C-ui-aux0] screen-length 30 # 配置 AUX 用户界面的历史命令缓冲区可存放 20 条命令 [H3C-ui-aux0] history-command max-size 20 # 配置 AUX 用户界面的超时时间为 6 分钟 2-15

22 第 2 章通过 Console 口进行本地登录 [H3C-ui-aux0] idle-timeout 6 完成上述配置后, 用户需要改变 PC 机上运行的终端仿真程序的相应配置, 如图 2-4 所示, 使之与交换机上的配置保持一致, 才能确保正常登录 2-16

23 第 3 章通过 Telnet 进行登录第 3 章通过 Telnet 进行登录 3.1 通过 Telnet 进行登录的简介 S3610&S5510 系列以太网交换机支持 Telnet 功能, 用户可以通过 Telnet 方式对交换机进行远程管理和维护交换机和 Telnet 用户端都要进行相应的配置, 才能保证通过 Telnet 方式正常登录交换机表 3-1 通过 Telnet 登录交换机需要具备的条件对象需要具备的条件启动 Telnet 服务交换机配置交换机 VLAN 接口的 IP 地址, 交换机与 Telnet 用户间路由可达, 具体配置请参见 IP 地址 -IP 性能 IPv4 路由模块中的相关内容配置 Telnet 登录的认证方式和其它配置 ( 请参见表 3-2 表 3-3) Telnet 用户运行了 Telnet 程序获取交换机 VLAN 接口的 IP 地址说明 : 用户使用 Telnet 方式登录交换机后, 可以通过粘贴文本会话的方式发送要执行的命令, 但文本会话不能超过 2000 字节, 且粘贴的命令必须是同一视图下的命令, 否则交换机可能无法正确执行该命令如果粘贴的文本会话超过 2000 字节, 请将配置文件上传到交换机后, 利用新的配置文件重新启动具体配置请参见文件系统管理模块中的相关内容使用 IPv6 协议通过 Telnet 方式登录到交换机与使用 IPv4 协议类似配置 Telnet 登录方式的公共属性 Telnet 登录方式的公共属性配置, 如表 3-2 所示 3-1

24 第 3 章通过 Telnet 进行登录表 3-2 Telnet 登录方式的公共属性配置 Telnet 登录方式的属性配置 VTY 界面登录的用户可以访问的命令级别说明缺省情况下, 通过 VTY 用户界面登录的用户可以访问的命令级别为 0 级 VTY 用户界面配置 VTY 用户终端属性配置用户界面支持的协议配置通过用户界面登录后自动执行命令配置中止当前运行任务的快捷键启动终端服务功能终端屏幕一屏显示的行数历史命令缓冲区大小用户界面的超时时间缺省情况下,VTY 用户界面支持 Telnet 和 SSH 协议缺省情况下, 通过 VTY 用户界面登录后无可自动执行的命令缺省情况下, 键入 <Ctrl+C> 中止当前运行的任务缺省情况下, 所有用户界面上启动终端服务缺省情况下, 终端屏幕一屏显示的行数为 24 行缺省情况下, 可存放 10 条历史命令缺省情况下, 用户超时断开连接的时间为 10 分钟注意 : 如果在某一 VTY 用户界面上配置了通过用户界面登录后自动执行命令 ( 使用 auto-execute command 命令 ), 则将导致不能使用该用户界面对系统进行常规的配置, 建议用户谨慎使用在配置 auto-execute command 命令并保存配置 ( 执行 save 操作 ) 之前, 要确保可以通过其它方式登录系统以取消此配置不同认证方式下 Telnet 登录方式的配置不同的认证方式下,Telnet 登录方式需要进行的配置不同, 具体配置如表 3-3 所示 3-2

25 第 3 章通过 Telnet 进行登录表 3-3 不同认证方式下 Telnet 登录方式的属性配置认证方式 Telnet 登录方式的属性配置说明 None 配置公共属性配置 Telnet 登录方式的公共属性具体内容参见表 3-2 配置口令配置本地验证口令必选 Password 配置公共属性配置 Telnet 登录方式的公共属性具体内容参见表 3-2 配置采用本地认证或者到 RADIUS 服务器上认证通过交换机的 AAA 配置可以配置对用户采用本地认证还是到 RADIUS 服务器上认证缺省情况下, 交换机采用本地认证的方式具体配置请参见 AAA-RADIUS-HWTACACS 模块的相关配置必选 Scheme 配置用户名和密码配置本地或远端用户名和口令认证本地用户名和口令的配置在交换机上完成远端用户名和口令的配置在 RADIUS 服务器上进行, 详细内容请见 RADIUS 服务器的随机指导书 VTY 用户管理配置 VTY 用户的服务类型必选配置公共属性配置 Telnet 登录方式的公共属性具体内容参见表认证方式为 None 时 Telnet 登录方式的配置配置过程表 3-4 认证方式为 None 时 Telnet 登录方式的配置操作命令说明进入系统视图 system-view - 进入一个或多个 VTY 用户界面视图配置 VTY 登录用户的认证方式为 None 配置通过 VTY 用户界面登录后可以访问的命令级别 user-interface vty first-number [ last-number ] authentication-mode none user privilege level level - 必选缺省情况下,VTY 用户登录后需要进行认证缺省情况下, 通过 VTY 用户界面登录后可以访问的命令级别为 0 级 3-3

26 第 3 章通过 Telnet 进行登录操作命令说明配置 VTY 用户界面支持的协议配置通过用户界面登录后自动执行命令配置中止当前运行任务的快捷键启动终端服务配置终端屏幕一屏显示的行数配置历史命令缓冲区大小配置 VTY 用户界面的超时时间 protocol inbound { all ssh telnet } auto-execute command text escape-key { default character } shell screen-length screen-length history-command max-size value idle-timeout minutes [ seconds ] 缺省情况下, 交换机同时支持 Telnet 和 SSH 协议缺省情况下, 通过用户界面登录后无可自动执行的命令缺省情况下, 键入 <Ctrl+C> 中止当前运行的任务缺省情况下, 在所有的用户界面上启动终端服务缺省情况下, 终端屏幕一屏显示的行数为 24 行 screen-length 0 表示关闭分屏功能缺省情况下, 历史缓冲区为 10, 即可存放 10 条历史命令缺省情况下, 所有的用户界面的超时时间为 10 分钟如果 10 分钟内某用户界面没有用户进行操作, 则该用户界面将自动断开 idle-timeout 0 表示关闭用户界面的超时功能需要注意的是, 用户采用 None 认证方式登录以太网交换机时, 其所能访问的命令级别取决于命令 0 命令 1 间的组合, 具体情况如表 3-5 所示命令 0:authentication-mode none 命令 1:user privilege level level 表 3-5 用户采用 None 认证方式登录以太网交换机时可访问的命令优先级前提条件用户登录认证方式用户类别命令配置情况用户登录后可访问命令优先级 authentication-mode none( 不认证 ) VTY 登录用户未配置命令 1 已配置命令 1 0 级由命令 1 决定 3-4

27 第 3 章通过 Telnet 进行登录配置举例 1. 组网需求当前用户通过 Console 口 (AUX 用户界面 ) 登录到交换机, 且用户级别为管理级 (3 级 ) 当前用户要对通过 VTY0 用户界面进行 Telnet 登录进行如下限定 : 配置通过 VTY0 用户界面登录交换机的 Telnet 用户不需要进行认证配置通过 VTY0 用户界面登录后用户可以访问的命令级别为 2 级配置 VTY0 用户界面支持 Telnet 协议配置 VTY0 用户界面终端屏幕的一屏显示 30 行命令配置 VTY0 用户界面的历史命令缓冲区可存放 20 条命令配置 VTY0 用户界面的超时时间为 6 分钟 2. 组网图 RS-232 串口 Console 口配置电缆图 3-1 配置 VTY 用户界面属性的组网图 3. 配置步骤 # 进入系统视图, 启动 Telnet 服务 <H3C> system-view [H3C] telnet server enable # 进入 VTY0 用户界面视图 [H3C] user-interface vty 0 # 配置通过 VTY0 用户界面登录交换机的 Telnet 用户不需要进行认证 [H3C-ui-vty0] authentication-mode none # 配置通过 VTY0 用户界面登录后用户可以访问的命令级别为 2 级 [H3C-ui-vty0] user privilege level 2 # 配置 VTY0 用户界面支持 Telnet 协议 [H3C-ui-vty0] protocol inbound telnet # 配置 VTY0 用户界面终端屏幕的一屏显示 30 行命令 [H3C-ui-vty0] screen-length 30 # 配置 VTY0 用户界面的历史命令缓冲区可存放 20 条命令 [H3C-ui-vty0] history-command max-size 20 # 配置 VTY0 用户界面的超时时间为 6 分钟 3-5

28 第 3 章通过 Telnet 进行登录 [H3C-ui-vty0] idle-timeout 认证方式为 Password 时 Telnet 登录方式的配置配置过程表 3-6 认证方式为 Password 时 Telnet 登录方式的配置操作命令说明进入系统视图 system-view - 进入一个或多个 VTY 用户界面视图配置登录用户的认证方式为本地口令认证配置本地验证的口令配置通过用户界面登录后可以访问的命令级别配置用户界面支持的协议配置通过用户界面登录后自动执行命令配置中止当前运行任务的快捷键启动终端服务配置终端屏幕一屏显示的行数配置历史命令缓冲区大小 user-interface vty first-number [ last-number ] authentication-mode password set authentication password { cipher simple } password user privilege level level protocol inbound { all ssh telnet } auto-execute command text escape-key { default character } shell screen-length screen-length history-command max-size value - 必选必选缺省情况下, 通过 VTY 用户界面登录后可以访问的命令级别为 0 级缺省情况下, 交换机同时支持 Telnet 和 SSH 协议缺省情况下, 通过用户界面登录后无可自动执行的命令缺省情况下, 键入 <Ctrl+C> 中止当前运行的任务缺省情况下, 在所有的用户界面上启动终端服务缺省情况下, 终端屏幕一屏显示的行数为 24 行 screen-length 0 表示关闭分屏功能缺省情况下, 历史缓冲区为 10, 即可存放 10 条历史命令 3-6

29 第 3 章通过 Telnet 进行登录操作命令说明配置用户界面的超时时间 idle-timeout minutes [ seconds ] 缺省情况下, 所有的用户界面的超时时间为 10 分钟如果 10 分钟内某用户界面没有用户进行操作, 则该用户界面将自动断开 idle-timeout 0 表示关闭用户界面的超时功能需要注意的是, 用户采用 Password 认证方式登录以太网交换机时, 其所能访问的命令级别取决于命令 0 命令 1 间的组合, 具体情况如表 3-7 所示命令 0:authentication-mode password 命令 1:user privilege level level 表 3-7 用户采用 Password 认证方式登录以太网交换机时可访问的命令优先级前提条件用户登录认证方式用户类别命令配置情况用户登录后可访问命令优先级 authentication-mode password( 本地口令认证 ) VTY 登录用户未配置命令 1 已配置命令 1 0 级由命令 1 决定配置举例 1. 组网需求当前用户通过 Console 口 (AUX 用户界面 ) 登录到交换机, 且用户级别为管理级 (3 级 ) 当前用户要对通过 VTY0 用户界面进行 Telnet 登录进行如下限定 : 配置通过 VTY0 用户界面登录交换机的 Telnet 用户进行 Password 认证配置用户的认证口令为明文显示方式, 口令为配置从 VTY0 用户界面登录后可以访问的命令级别为 2 级配置 VTY0 用户界面支持 Telnet 协议配置 VTY0 用户界面终端屏幕的一屏显示 30 行命令配置 VTY0 用户界面的历史命令缓冲区可存放 20 条命令配置 VTY0 用户界面的超时时间为 6 分钟 3-7

30 第 3 章通过 Telnet 进行登录 2. 组网图 RS-232 串口 Console 口配置电缆图 3-2 配置 VTY 用户界面属性的组网图 3. 配置步骤 # 进入系统视图, 启动 Telnet 服务 <H3C> system-view [H3C] telnet server enable # 进入 VTY0 用户界面视图 [H3C] user-interface vty 0 # 配置通过 VTY0 用户界面登录交换机的 Telnet 用户进行 Password 认证 [H3C-ui-vty0] authentication-mode password # 配置用户的认证口令为明文显示方式, 口令为 [H3C-ui-vty0] set authentication password simple # 配置从 VTY0 用户界面登录后用户可以访问的命令级别为 2 级 [H3C-ui-vty0] user privilege level 2 # 配置 VTY0 用户界面支持 Telnet 协议 [H3C-ui-vty0] protocol inbound telnet # 配置 VTY0 用户界面终端屏幕的一屏显示 30 行命令 [H3C-ui-vty0] screen-length 30 # 配置 VTY0 用户界面的历史命令缓冲区可存放 20 条命令 [H3C-ui-vty0] history-command max-size 20 # 配置 VTY0 用户界面的超时时间为 6 分钟 [H3C-ui-vty0] idle-timeout 6 3-8

31 第 3 章通过 Telnet 进行登录 3.4 认证方式为 Scheme 时 Telnet 登录方式的配置配置过程表 3-8 认证方式为 Scheme 时 Telnet 登录方式的配置操作命令说明进入系统视图 system-view - 配置交换机采用的认证方案进入缺省的 ISP 域视图配置域使用的 AAA 方案退出当前视图 ( 进入系统视图 ) domain domain name authentication default { hwtacacs-scheme hwtacacs-scheme-na me [ local ] local none radius-scheme radius-scheme-name [ local ] } quit 系统缺省使用的 AAA 方案为 local, 如果采用 local 认证, 则必须进行后续的本地用户配置如果采用配置好的 radius-scheme-name 来实现认证, 则需进行如下配置 : 交换机上需要进行 AAA&RADIUS 配置, 具体内容和操作步骤请参见 AAA-RADIUS-HWTACACS 模块相关部分的介绍 AAA 服务器上需要配置相关的用户名和密码, 具体请参见服务器的指导书创建本地用户并进入本地用户视图配置本地认证口令配置 VTY 用户的服务类型 local-user user-name password { simple cipher } password service-type telnet [ level level ] 必选缺省情况下, 无本地用户必选必选退出本地用户视图 ( 进入系统视图 ) quit - 进入一个或多个 VTY 用户界面视图配置登录用户的认证方式为本地或远端用户名和口令认证配置从用户界面登录后可以访问的命令级别配置用户界面支持的协议 user-interface vty first-number [ last-number ] authentication-mode scheme [ commandauthorization ] user privilege level level protocol inbound { all ssh telnet } - 必选究竟是采用本地认证还是远端认证视用户的 AAA 方案配置而定缺省情况下采用本地认证方式缺省情况下, 从 VTY 用户界面登录后可以访问的命令级别为 0 级缺省情况下, 交换机同时支持 Telnet 和 SSH 协议 3-9

32 第 3 章通过 Telnet 进行登录操作命令说明配置从用户界面登录后自动执行命令配置中止当前运行任务的快捷键启动终端服务配置终端屏幕一屏显示的行数配置历史命令缓冲区大小配置用户界面的超时时间 auto-execute command text escape-key { default character } shell screen-length screen-length history-command max-size value idle-timeout minutes [ seconds ] 缺省情况下, 从用户界面登录后无可自动执行的命令缺省情况下, 键入 <Ctrl+C> 中止当前运行的任务缺省情况下, 在所有的用户界面上启动终端服务缺省情况下, 终端屏幕一屏显示的行数为 24 行 screen-length 0 表示关闭分屏功能缺省情况下, 历史缓冲区为 10, 即可存放 10 条历史命令缺省情况下, 所有的用户界面的超时时间为 10 分钟如果 10 分钟内某用户界面没有用户进行操作, 则该用户界面将自动断开 idle-timeout 0 表示关闭用户界面的超时功能需要注意的是, 用户采用 Scheme 认证方式登录以太网交换机时, 其所能访问的命令级别取决于命令 0 命令 1 命令 2 的组合, 具体情况如表 3-9 所示命令 0:authentication-mode scheme [ command-authorization ] 命令 1:user privilege level level 命令 2:service-type telnet [ level level ] 3-10

33 第 3 章通过 Telnet 进行登录表 3-9 用户采用 Scheme 认证方式登录以太网交换机时可访问的命令优先级前提条件用户登录认证方式用户类别命令配置情况未配置命令 1, 命令 2 未配置用户可访问命令级别用户登录后可访问命令优先级 0 级 VTY 登录用户 ( 采用 AAA&RADIU S 认证或者本地认证 ) 未配置命令 1, 命令 2 已配置用户可访问命令级别已配置命令 1, 命令 2 未配置用户可访问命令级别由命令 2 决定 0 级已配置命令 1, 命令 2 已配置用户可访问命令级别由命令 2 决定 authentication-mo de scheme [ command-authoriz ation ] VTY 登录用户 ( 采用 SSH 的 RSA 认证模式 ) 未配置命令 1, 命令 2 未配置用户可访问命令级别未配置命令 1, 命令 2 已配置用户可访问命令级别已配置命令 1, 命令 2 未配置用户可访问命令级别已配置命令 1, 命令 2 已配置用户可访问命令级别 0 级由命令 1 决定未配置命令 1, 命令 2 未配置用户可访问命令级别 0 级 VTY 登录用户 ( 采用 SSH 的 password 认证模式 ) 未配置命令 1, 命令 2 已配置用户可访问命令级别已配置命令 1, 命令 2 未配置用户可访问命令级别由命令 2 决定 0 级已配置命令 1, 命令 2 已配置用户可访问命令级别由命令 2 决定说明 : 有关 AAA RADIUS SSH 的详细内容, 请参见 AAA-RADIUS-HWTACACS SSH 模块的介绍配置举例 1. 组网需求当前用户通过 Console 口 (AUX 用户界面 ) 登录到交换机, 且用户级别为管理级 (3 级 ) 当前用户要对通过 VTY0 用户界面进行 Telnet 登录进行如下限定 : 配置本地用户的用户名为 guest 3-11

34 第 3 章通过 Telnet 进行登录配置本地用户的认证口令为明文显示方式, 口令为配置本地用户的服务类型为 Telnet 且命令级别为 2 级配置通过 VTY0 用户界面登录交换机的 Telnet 用户进行 Scheme 认证配置 VTY0 用户界面支持 Telnet 协议配置 VTY0 用户界面终端屏幕的一屏显示 30 行命令配置 VTY0 用户界面的历史命令缓冲区可存放 20 条命令配置 VTY0 用户界面的超时时间为 6 分钟 2. 组网图 RS-232 串口 Console 口配置电缆图 3-3 配置 VTY 用户界面属性的组网图 3. 配置步骤 # 进入系统视图, 启动 Telnet 服务 <H3C> system-view [H3C] telnet server enable # 创建本地用户 guest, 并进入本地用户视图 [H3C] local-user guest # 配置本地用户的认证口令为明文显示方式, 口令为 [H3C-luser-guest] password simple # 配置本地用户的服务类型为 Telnet 且命令级别为 2 级 [H3C-luser-guest] service-type telnet level 2 [H3C-luser-guest] quit # 进入 VTY0 用户界面视图 [H3C] user-interface vty 0 # 配置通过 VTY0 用户界面登录交换机的 Telnet 用户进行 Scheme 认证 [H3C-ui-vty0] authentication-mode scheme # 配置 VTY0 用户界面支持 Telnet 协议 [H3C-ui-vty0] protocol inbound telnet # 配置 VTY0 用户界面终端屏幕的一屏显示 30 行命令 [H3C-ui-vty0] screen-length 30 # 配置 VTY0 用户界面的历史命令缓冲区可存放 20 条命令 [H3C-ui-vty0] history-command max-size

35 第 3 章通过 Telnet 进行登录 # 配置 VTY0 用户界面的超时时间为 6 分钟 [H3C-ui-vty0] idle-timeout Telnet 配置环境搭建通过终端 Telnet 到以太网交换机第一步 : 通过 Console 口正确配置以太网交换机 VLAN 1 接口的 IP 地址 (VLAN 1 为交换机的缺省 VLAN) 通过 Console 口搭建配置环境请参见 2.2 通过 Console 口登录交换机通过 Console 口在超级终端中执行以下命令, 配置以太网交换机 VLAN 1 接口的 IP 地址 # 配置以太网交换机 VLAN 1 接口的 IP 地址为 , 子网掩码为 <H3C> system-view [H3C] interface vlan-interface 1 [H3C-Vlan-interface1] ip address 第二步 : 在通过 Telnet 登录以太网交换机之前, 针对用户需要的不同认证方式, 在交换机上进行相应配置请参见 3.2 认证方式为 None 时 Telnet 登录方式的配置 3.3 认证方式为 Password 时 Telnet 登录方式的配置 3.4 认证方式为 Scheme 时 Telnet 登录方式的配置的描述缺省情况下,Telnet 用户登录需要进行 Password 认证第三步 : 如图 3-4 所示, 建立配置环境, 只需将 PC 机以太网口通过网络与以太网交换机 VLAN 1 下的以太网端口连接如果 PC 机和以太网交换机不在同一局域网内, 则 PC 机和交换机 VLAN 1 接口之间必须存在互相到达的路由工作站 Ethernet 以太网端口服务器工作站配置交换机的 PC 机运行 Telnet 图 3-4 通过局域网搭建本地配置环境 3-13

第 3 章通过 Telnet 进行登录第四步 : 在 PC 机上运行 Telnet 程序, 输入交换机 VLAN 1 接口的 IP 地址, 如图 3-5 所示图 3-5 运行 Telnet 程序第五步 : 如果配置验证方式为 Password, 则终端上显示 Login authentication, 并提示用户输入已配置的登录口令, 口令输入正确后出现命令行提示符 ( 如 <H3C>)

36 第 3 章通过 Telnet 进行登录第四步 : 在 PC 机上运行 Telnet 程序, 输入交换机 VLAN 1 接口的 IP 地址, 如图 3-5 所示图 3-5 运行 Telnet 程序第五步 : 如果配置验证方式为 Password, 则终端上显示 Login authentication, 并提示用户输入已配置的登录口令, 口令输入正确后出现命令行提示符 ( 如 <H3C>) 如果出现 All user interfaces are used, please try later! 的提示, 表示当前 Telnet 到以太网交换机的用户过多, 请稍候再连接 (S3610&S5510 系列以太网交换机最多允许 5 个 Telnet 用户同时登录 ) 第六步 : 使用相应命令配置以太网交换机或查看以太网交换机运行状态需要帮助可以随时键入?, 具体的配置命令请参考本手册中相关模块的内容说明 : 通过 Telnet 配置交换机时, 请不要删除或修改交换机上对应本 Telnet 连接的 VLAN 接口的 IP 地址, 否则会导致 Telnet 连接断开 Telnet 用户通过 Password 认证方式登录交换机时, 缺省可以访问命令级别为 0 级的命令有关命令级别的描述请参见系统维护与调试模块中相关部分的介绍通过以太网交换机 Telnet 到以太网交换机用户可以从一台交换机 Telnet 到另一台交换机上, 对其进行配置本端交换机作为 Telnet 客户端, 对端交换机作为 Telnet 服务器端如果两台交换机相连的端口在同一局域网内, 则其 IP 地址必须配置在同一网段 ; 否则, 两台交换机之间必须存在互相到达的路由配置环境如图 3-6 所示, 用户 Telnet 到一台以太网交换机后, 可以输入 telnet 命令再登录其它以太网交换机, 对其进行配置管理 Network PC Telnet Client 图 3-6 提供 Telnet Client 服务 Telnet Server 3-14

37 第 3 章通过 Telnet 进行登录第一步 : 针对用户需要的不同认证方式, 在作为 Telnet Server 的交换机上进行相应配置请参见 3.2 认证方式为 None 时 Telnet 登录方式的配置 3.3 认证方式为 Password 时 Telnet 登录方式的配置 2.6 认证方式为 Scheme 时 Console 口登录方式的配置的描述缺省情况下,Telnet 用户登录需要进行 Password 认证第二步 : 用户登录到作为 Telnet Client 的以太网交换机第三步 : 在 Telnet Client 的以太网交换机上作如下操作 : <H3C> telnet xxxx 其中 xxxx 是作为 Telnet Server 的以太网交换机的主机名或 IP 地址, 若为主机名, 则需是已通过 ip host 命令配置的主机名第四步 : 如果配置验证方式为 Password, 则终端上显示 Login authentication, 并提示用户输入已配置的登录口令, 口令输入正确后出现命令行提示符 ( 如 <H3C>) 如果出现 All user interfaces are used, please try later! 的提示, 表示当前 Telnet 到以太网交换机的用户过多, 请稍候再连接第五步 : 使用相应命令配置以太网交换机或查看以太网交换机运行状态需要帮助可以随时键入?, 具体的配置命令请参考本手册中相关模块的内容 3-15

38 第 4 章通过 Console 口利用 Modem 拨号远程登录第 4 章通过 Console 口利用 Modem 拨号远程登录 4.1 通过 Console 口利用 Modem 拨号进行远程登录简介网络管理员可以通过远端交换机的 Console 口, 利用一对 Modem 和 PSTN(Public Switched Telephone Network, 公共电话交换网 ) 对远端的交换机进行远程维护这种方式一般适用于在网络中断的情况下, 利用 PSTN 网络对交换机进行远程配置日志 / 告警信息查询故障定位交换机和网络管理员端都要进行相应的配置, 才能保证通过 Console 口利用 Modem 拨号进行远程登录交换机表 4-1 通过 Console 口利用 Modem 拨号进行远程登录需要具备的条件配置对象需要具备的条件 PC 终端与 Modem 正确连接网络管理员端 Modem 与可正常使用的电话线正确相连获取了远程交换机端 Console 口所连 Modem 上对应的电话号码 Console 口与 Modem 正确连接远程交换机端在 Modem 上进行了正确的配置 Modem 与可正常使用的电话线正确相连远程交换机上配置了登录用户的认证方式及认证方式对应的其它配置, 请参见表网络管理员端的相关配置 PC 终端与 Modem 正确连接 Modem 与可正常使用的电话线正确相连获取了远程交换机端 Console 口所连 Modem 上对应的电话号码 4.3 交换机端的相关配置与交换机直接相连的 Modem 上的配置在与交换机直接相连的 Modem 上进行以下配置 ( 与终端相连的 Modem 不需要进行配置 ) AT&F Modem 恢复出厂配置 4-1

39 第 4 章通过 Console 口利用 Modem 拨号远程登录 ATS0= 配置自动应答 ( 振铃一声 ) AT&D AT&K0 AT&R1 AT&S0 ATEQ1&W 忽略 DTR 信号禁止流量控制忽略 RTS 信号强制 DSR 为高电平禁止 modem 回送命令响应和执行结果并存储配置在配置后为了查看 Modem 的配置是否正确, 可以输入 AT&V 命令显示配置的结果说明 : 各种 Modem 配置命令及显示的结果有可能不一样, 具体操作请参照 Modem 的说明书进行交换机的相关配置说明 : 通过 Console 口利用 Modem 拨号进行远程登录时, 使用的是 AUX 用户界面, 交换机上的配置需要注意以下几点 : Console 口波特率 Speed 要低于 Modem 的传输速率, 否则可能会出现丢包现象 Console 口的其它属性 (Console 口校验方式 Console 口的停止位 Console 的数据位 ) 均采用缺省值交换机上具体配置与登录用户采用的认证方式有关, 配置用户的认证方式请参见表认证方式为 None 时的配置详细配置请参见 2.4 认证方式为 None 时 Console 口登录方式的配置 2. 认证方式为 Password 时的配置详细配置请参见 2.5 认证方式为 Password 时 Console 口登录方式的配置 3. 认证方式为 Scheme 时的配置详细配置请参见 2.6 认证方式为 Scheme 时 Console 口登录方式的配置 4.4 通过 Modem 拨号搭建配置环境第一步 : 在通过 Modem 拨号登录以太网交换机之前, 针对用户需要的不同认证方式, 在交换机上进行相应配置请参见 2.4 认证方式为 None 时 Console 口登录方式的 4-2

40 第 4 章通过 Console 口利用 Modem 拨号远程登录配置 2.5 认证方式为 Password 时 Console 口登录方式的配置 2.6 认证方式为 Scheme 时 Console 口登录方式的配置的描述第二步 : 在与以太网交换机直接相连的 Modem 上进行以下配置 AT&F Modem 恢复出厂配置 ATS0= 配置自动应答 ( 振铃一声 ) AT&D 忽略 DTR 信号 AT&K 禁止流量控制 AT&R 忽略 RTS 信号 AT&S 强制 DSR 为高电平 ATEQ1&W 禁止 modem 回送命令响应和执行结果并存储配置在配置后为了查看 Modem 的配置是否正确, 可以输入 AT&V 命令显示配置的结果第三步 : 如图 4-1 所示, 建立远程配置环境, 在 PC 机 ( 或终端 ) 的串口和以太网交换机的 Console 口分别挂接 Modem Modem 串口线电话线 Modem PSTN Modem 远端电话号码 : Console 口图 4-1 搭建远程配置环境第四步 : 在远端通过终端仿真程序和 Modem 向以太网交换机拨号 ( 所拨号码应该是与以太网交换机相连的 Modem 的电话号码 ), 与以太网交换机建立连接, 如图图 4-2 至图 4-4 所示 4-3

41 第 4 章通过 Console 口利用 Modem 拨号远程登录图 4-2 新建连接图 4-3 拨号号码配置图 4-4 在远端 PC 机上拨号第五步 : 如果配置验证方式为 Password, 在远端的终端仿真程序上输入已配置的登录口令, 出现命令行提示符 ( 如 <H3C>), 即可对以太网交换机进行配置或管理需要帮助可以随时键入?, 具体的配置命令请参考本手册中相关模块的内容 4-4

42 第 4 章通过 Console 口利用 Modem 拨号远程登录说明 : Modem 用户登录时, 如果交换机上 AUX 用户界面未作任何配置, 则缺省可以访问命令级别为 3 级的命令有关命令级别的描述请参见系统维护与调试模块中相关部分的介绍 4-5

43 第 5 章通过 WEB 网管登录第 5 章通过 WEB 网管登录 5.1 通过 WEB 网管登录简介 S3610&S5510 系列以太网交换机提供一个内置的 WEB Server, 用户可以通过 WEB 网管终端 (PC) 登录到交换机上, 利用内置的 WEB Server 以 WEB 方式直观地管理和维护以太网交换机交换机和 WEB 网管终端 (PC) 都要进行相应的配置, 才能保证通过 WEB 网管正常登录交换机表 5-1 通过 WEB 网管登录交换机需要具备的条件对象需要具备的条件启动 WEB 服务交换机配置交换机 VLAN 接口的 IP 地址, 交换机与 WEB 网管终端间路由可达, 具体配置请参见 IP 地址 -IP 性能 IPv4 路由模块中的相关内容配置欲登录的 WEB 网管用户名和认证口令 WEB 网管终端 (PC) 具有 IE 浏览器获取交换机 VLAN 接口的 IP 地址 5.2 WEB 配置环境搭建第一步 : 通过 Console 口正确配置以太网交换机 VLAN 1 接口的 IP 地址 (VLAN 1 为交换机的缺省 VLAN) 通过 Console 口搭建配置环境请参见 2.2 通过 Console 口登录交换机通过 Console 口在超级终端中执行以下命令, 配置以太网交换机 VLAN 1 接口的 IP 地址 # 配置以太网交换机 VLAN 1 接口的 IP 地址为 , 子网掩码为 <H3C> system-view [H3C] interface vlan-interface 1 [H3C-VLAN-interface1] ip address 第二步 : 用户通过 Console 口, 在以太网交换机上配置欲登录的 WEB 网管用户名和认证口令 5-1

第 5 章通过 WEB 网管登录 # 配置 WEB 网管用户名为 admin, 认证口令为 admin, 用户级别为 3 级 [H3C] local-user admin [H3C-luser-admin] service-type telnet level 3 [H3C-luser-admin] password simple admin 第三步 : 搭建 WEB 网管远程配置环境, 如图

44 第 5 章通过 WEB 网管登录 # 配置 WEB 网管用户名为 admin, 认证口令为 admin, 用户级别为 3 级 [H3C] local-user admin [H3C-luser-admin] service-type telnet level 3 [H3C-luser-admin] password simple admin 第三步 : 搭建 WEB 网管远程配置环境, 如图 5-1 所示 HTTP Connection PC Switch 图 5-1 搭建 WEB 网管远程运行环境第四步 : 用户通过 PC 与交换机相连, 并通过浏览器登录交换机 : 在 WEB 网管终端 (PC) 的浏览器地址栏内输入网管终端和以太网交换机之间要路由可达 ), 浏览器会显示 WEB 网管的登录页面, 如图 5-2 所示图 5-2 WEB 网管登录页面第五步 : 输入在交换机上添加的用户名和密码, 点击 < 登录 > 按钮后即可登录, 显示 WEB 网管初始页面 5.3 关闭 / 启动 WEB Server 用户可以关闭或启动 WEB Server 表 5-2 关闭 / 启动 WEB Server 操作命令说明进入系统视图 system-view - 关闭 WEB Server undo ip http enable 必选缺省情况下,WEB Server 为启动状态启动 WEB Server ip http enable 必选 5-2

45 第 5 章通过 WEB 网管登录 5.4 WEB 用户显示在完成上述配置后, 在任意视图下执行 display 命令可以显示 WEB 用户的信息, 通过查看显示信息验证配置的效果表 5-3 WEB 用户显示操作命令显示 WEB 用户的相关信息 display web users 5-3

46 第 6 章通过 NMS 登录第 6 章通过 NMS 登录 6.1 通过 NMS 登录简介用户可通过 NMS(Network Management Station, 网管工作站 ) 登录到交换机上, 通过交换机上的 Agent 进程对交换机进行管理配置 NMS 环境包括如下部分 : NMS: 网管工作站 Agent: 网络设备 ( 交换机 ) 上运行的服务器端软件 SNMP(Simple Network Management Protocol, 简单网络管理协议 ):NMS 和 Agent 间运行的协议 NMS 端和交换机上都要进行相应的配置, 才能保证通过 NMS 正常登录交换机表 6-1 通过 NMS 登录交换机需要具备的条件对象需要具备的条件交换机 NMS( 网管工作站 ) 配置交换机 VLAN 接口的 IP 地址, 与 NMS 间路由可达, 具体配置请参见 IP 地址 -IP 性能 IPv4 路由模块中的相关内容配置 SNMP 基本功能, 具体配置请参见 SNMP-RMON 模块中的相关内容 NMS 网管工作站进行了正确配置, 具体配置请参见 NMS 附带的网管手册 6.2 通过 NMS 方式登录组网结构 Switch Network NMS 图 6-1 通过 NMS 方式登录组网环境 6-1

47 第 7 章 Telnet 业务报文指定源 IP 第 7 章 Telnet 业务报文指定源 IP 7.1 Telnet 业务报文指定源 IP 简介用户可以通过以下配置, 为 Telnet Client 指定源 IP 地址或者源接口, 增加了业务的可管理性和安全性为 Telnet 业务报文指定的源 IP 为 Loopback 接口或者 VLAN 接口的 IP 通过配置 Loopback 虚接口或者闲置 VLAN 接口的 IP 为 Telnet 业务报文的指定源 IP, 使 Telnet Client 和 Telnet Server 之间传输报文无论通过交换机的哪个接口都使用指定接口的源 IP, 隐藏了实际通信接口的 IP 地址, 起到了防止外部攻击的作用, 提高了安全性同时, 有时服务器会限制只有某些 IP 才可以访问它, 在客户端上使用源 IP 特性可以避免连接不上服务器 7.2 配置 Telnet 业务报文指定源 IP 分为用户视图下的配置和系统视图下的配置, 用户视图下的配置只对本次操作有效, 而系统视图下的配置对之后的每次操作都有效 1. 用户视图下的配置表 7-1 在用户视图下配置 Telnet 业务报文指定源 IP 操作命令说明交换机作为 Telnet Client 登录到服务器时, 为 Telnet Client 指定业务报文源地址或源接口 telnet [ vpn-instance vpn-name ] remote-system [ port-number ] [ source { ip ip-address interface interface-type interface-number } ] 缺省情况下, 没有为 Telnet Client 指定源地址或源接口 2. 系统视图下的配置表 7-2 在系统视图下配置 Telnet 业务报文指定源 IP 操作命令说明进入系统视图 system-view - 为 Telnet Client 指定业务报文源地址或源接口 telnet client source { ip ip-address interface interface-type interface-number } 缺省情况下, 没有为 Telnet Client 指定源地址或源接口 7-1

48 第 7 章 Telnet 业务报文指定源 IP 说明 : 指定的 ip-address 必须为本设备地址指定的接口必须存在, 当指定接口不存在时, 命令提示配置不成功如果指定了源 IP 或者源接口, 必须保证 Telnet Server 和 Telnet Client 的指定 IP 或者接口之间路由可达 7.3 配置 Telnet 业务报文指定源 IP 显示在完成上述配置后, 在任意视图下执行 display 命令可以显示配置业务报文指定源 IP 或源接口后的运行情况, 通过查看显示信息验证配置的效果表 7-3 配置 Telnet 业务报文指定源 IP 显示操作显示当前为 Telnet Client 设置的源 IP 地址或源接口的信息命令 display telnet client configuration 7-2

49 第 8 章对登录用户的控制第 8 章对登录用户的控制 8.1 简介 S3610&S5510 系列以太网交换机提供对不同登录方式进行控制, 如表 8-1 所示表 8-1 对登录用户的控制登录方式控制方式实现方法相关连接通过源 IP 对 TELNET 进行控制通过基本 ACL 实现 TELNET 通过源 IP 目的 IP 对 TELNET 进行控制通过高级 ACL 实现通过源 MAC 对 TELNET 进行控制通过二层 ACL 实现 SNMP 通过源 IP 对网管用户进行控制通过基本 ACL 实现 WEB 通过源 IP 对 WEB 用户进行控制通过基本 ACL 实现强制在线 WEB 用户下线通过命令行实现配置对 TELNET 的控制配置准备确定了对 TELNET 的控制策略, 包括对哪些源 IP 目的 IP 源 MAC 进行控制, 控制的动作是允许访问还是拒绝访问通过源 IP 对 TELNET 进行控制本配置需要通过基本访问控制列表实现基本访问控制列表的序号取值范围为 2000~2999 关于 ACL 的定义请参见 ACL 模块的相关内容表 8-2 通过源 IP 对 TELNET 进行控制操作命令说明进入系统视图 system-view - 创建或进入基本 ACL 视图定义子规则 acl [ ipv6 ] number acl-number [ match-order { config auto } ] rule [ rule-id ] { permit deny } [ source { sour-addr sour-wildcard any } time-range time-name fragment logging ]* 必选缺省情况下, 匹配顺序为 config 必选 8-1

50 第 8 章对登录用户的控制操作命令说明退出 ACL 视图 quit - 进入用户界面视图引用访问控制列表, 通过源 IP 对 TELNET 进行控制 user-interface [ type ] first-number [ last-number ] acl [ ipv6 ] acl-number { inbound outbound } - 必选 inbound: 对 TELNET 到本交换机的用户进行 ACL 控制 outbound: 对从本交换机 TELNET 到其他 TELNET 服务器的用户进行 ACL 控制通过源 IP 目的 IP 对 TELNET 进行控制本配置需要通过高级访问控制列表实现高级访问控制列表的序号取值范围为 3000~3999 关于 ACL 的定义请参见 ACL 模块的相关内容表 8-3 配置高级 ACL 规则操作命令说明进入系统视图 system-view - 创建或进入高级 ACL 视图定义子规则 acl [ ipv6 ] number acl-number [ match-order { config auto } ] rule [ rule-id ] { permit deny } rule-string 必选缺省情况下, 匹配顺序为 config 必选用户可以根据需要配置对相应的源 IP 目的 IP 进行过滤的规则退出 ACL 视图 quit - 进入用户界面视图引用访问控制列表, 通过源 IP 目的 IP 对 TELNET 进行控制 user-interface [ type ] first-number [ last-number ] acl [ ipv6 ] acl-number { inbound outbound } - 必选 inbound: 对 TELNET 到本交换机的用户进行 ACL 控制 outbound: 对从本交换机 TELNET 到其他 TELNET 服务器的用户进行 ACL 控制通过源 MAC 地址对 TELNET 进行控制本配置需要通过二层访问控制列表实现二层访问控制列表的序号取值范围为 4000~4999 关于 ACL 的定义请参见 ACL 模块的相关内容 8-2

51 第 8 章对登录用户的控制表 8-4 配置二层 ACL 规则操作命令说明进入系统视图 system-view - 创建或进入高级 ACL 视图定义子规则 acl number acl-number [ match-order { config auto } ] rule [ rule-id ] { permit deny } rule-string 必选缺省情况下, 匹配顺序为 config 必选用户可以根据需要配置对相应的源 MAC 进行过滤的规则退出 ACL 视图 quit - 进入用户界面视图引用访问控制列表, 通过源 MAC 对 TELNET 进行控制 user-interface [ type ] first-number [ last-number ] acl acl-number inbound - 必选 inbound: 对 TELNET 到本交换机的用户进行 ACL 控制配置举例 1. 组网需求通过源 IP 对 TELNET 进行控制, 仅允许来自和的 TELNET 用户访问交换机 2. 组网图 PC PC Internet 图 8-1 对 Switch 的 TELNET 用户进行 ACL 控制 Switch 3. 配置步骤 # 定义基本访问控制列表 <H3C> system-view [H3C] acl number 2000 match-order config [H3C-acl-basic-2000] rule 1 permit source [H3C-acl-basic-2000] rule 2 permit source [H3C-acl-basic-2000] quit 8-3

52 第 8 章对登录用户的控制 # 引用访问控制列表, 允许源地址为和的 TELNET 用户访问交换机 [H3C] user-interface vty 0 4 [H3C-ui-vty0-4] acl 2000 inbound 8.3 通过源 IP 对网管用户进行控制 S3610&S5510 系列以太网交换机支持通过网管软件进行远程管理网管用户可以通过 SNMP 访问交换机通过引用访问控制列表, 可以对访问交换机的 SNMP 用户进行控制配置准备确定了对网管用户的控制策略, 包括对哪些源 IP 进行控制, 控制的动作是允许访问还是拒绝访问通过源 IP 对网管用户进行控制本配置需要通过基本访问控制列表实现基本访问控制列表的序号取值范围为 2000~2999 关于 ACL 的定义请参见 ACL 模块的相关内容表 8-5 通过源 IP 对网管用户进行控制操作命令说明进入系统视图 system-view - 创建或进入基本 ACL 视图定义子规则 acl number acl-number [ match-order { config auto } ] rule [ rule-id ] { permit deny } [ source { sour-addr sour-wildcard any } time-range time-name fragment logging ]* 必选缺省情况下, 匹配顺序为 config 必选退出 ACL 视图 quit - 在配置 SNMP 团体名的命令中引用访问控制列表在配置 SNMP 组名的命令中引用访问控制列表 snmp-agent community { read write } community-name [ acl acl-number mib-view view-name ]* snmp-agent group { v1 v2c } group-name [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] snmp-agent group v3 group-name [ authentication privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] [ acl acl-number ] 必选必选 8-4

53 第 8 章对登录用户的控制操作命令说明在配置 SNMP 用户名的命令中引用访问控制列表 snmp-agent usm-user { v1 v2c } user-name group-name [ acl acl-number ] snmp-agent usm-user v3 user-name group-name [ authentication-mode { md5 sha } auth-password [ privacy-mode { des56 aes128 } priv-password ] ] [ acl acl-number ] 必选说明 : 配置 SNMP 团体名组名和用户名的命令中引用的访问控制列表可以是不同的访问控制列表 SNMP 团体名属性是 SNMPv1 SNMPv2c 版本的一个特性, 所以在配置 SNMP 团体名的命令中引用访问控制列表对使用 SNMPv1 SNMPv2c 的网管系统起到了过滤作用 SNMP 组名用户名属性是 SNMPv2c 及以上版本的一个特性, 所以在配置 SNMP 组名用户名的命令中引用访问控制列表对使用 SNMPv2c 及以上版本的网管系统起到过滤作用如果同时在这两个命令中配置了 ACL 控制功能, 则交换机会对网管用户的这两个属性都进行过滤配置举例 1. 组网需求通过源 IP 对网管用户进行控制, 仅允许来自和的 SNMP 用户访问交换机 2. 组网图 PC PC Internet 图 8-2 对 SNMP 用户进行 ACL 控制 Switch 3. 配置步骤 # 定义基本访问控制列表 8-5

54 第 8 章对登录用户的控制 <H3C> system-view [H3C] acl number 2000 match-order config [H3C-acl-basic-2000] rule 1 permit source [H3C-acl-basic-2000] rule 2 permit source [H3C-acl-basic-2000] quit # 引用访问控制列表, 仅允许来自和的 SNMP 用户访问交换机 [H3C] snmp-agent community read aaa acl 2000 [H3C] snmp-agent group v2c groupa acl 2000 [H3C] snmp-agent usm-user v2c usera groupa acl 通过源 IP 对 WEB 用户进行控制 S3610&S5510 系列以太网交换机支持通过 WEB 方式进行远程管理 WEB 用户可以通过 HTTP 协议访问交换机通过引用访问控制列表, 可以对访问交换机的 WEB 用户进行控制配置准备确定了对 WEB 用户的控制策略, 包括对哪些源 IP 进行控制, 控制的动作是允许访问还是拒绝访问通过源 IP 对 WEB 用户进行控制本配置需要通过基本访问控制列表实现基本访问控制列表的序号取值范围为 2000~2999 关于 ACL 的定义请参见 ACL 模块的相关内容表 8-6 通过源 IP 对 WEB 用户进行控制操作命令说明进入系统视图 system-view - 创建或进入基本 ACL 视图定义子规则 acl number acl-number [ match-order { config auto } ] rule [ rule-id ] { permit deny } [ source { sour-addr sour-wildcard any } time-range time-name fragment logging ]* 必选缺省情况下, 匹配顺序为 config 必选退出 ACL 视图 quit - 引用访问控制列表对 WEB 用户进行控制 ip http acl acl-number 必选 8-6

55 第 8 章对登录用户的控制强制在线 WEB 用户下线网络管理员可以通过命令行强制在线 WEB 用户下线表 8-7 强制在线 WEB 用户下线操作命令说明强制在线 WEB 用户下线 free web-users { all user-id user-id user-name user-name } 必选在用户视图下执行配置举例 1. 组网需求通过源 IP 对 WEB 用户进行控制, 仅允许来自的 WEB 用户访问交换机 2. 组网图 Internet PC Switch 图 8-3 对 Switch 的 HTTP 用户进行 ACL 控制 3. 配置步骤 # 定义基本访问控制列表 <H3C> system-view [H3C] acl number 2030 match-order config [H3C-acl-basic-2030] rule 1 permit source [H3C-acl-basic-2030] rule 2 deny source any # 引用访问控制列表, 仅允许来自的 WEB 用户访问交换机 [H3C] ip http acl

目录 1 IPv6 快速转发 IPv6 快速转发配置命令 display ipv6 fast-forwarding aging-time display ipv6 fast-forwarding cache ipv6 fas

目录 1 IPv6 快速转发 IPv6 快速转发配置命令 display ipv6 fast-forwarding aging-time display ipv6 fast-forwarding cache ipv6 fas 目录 1 IPv6 快速转发 1-1 1.1 IPv6 快速转发配置命令 1-1 1.1.1 display ipv6 fast-forwarding aging-time 1-1 1.1.2 display ipv6 fast-forwarding cache 1-1 1.1.3 ipv6 fast-forwarding aging-time 1-3 1.1.4 ipv6 fast-forwarding

目 录（目录名）

目录（目录名）