三層交換機01-登錄設備典型配置舉例

H3CS5130-EI登錄設備典型配置舉例TOC\o"1-5"\h\z\o"CurrentDocument"1簡介 1\o"CurrentDocument"2配置前提 1\o"CurrentDocument"3通過Console□登錄設備配置舉例 1組網需求 1配置思路 1使用版本 1配置注意事項 1配置步驟 2驗證配置 3配置文件 3\o"CurrentDocument"4 通過Telnet登錄設備配置舉例 4組網需求 4配置思路 4使用版本 4配置步驟 4驗證配置 5配置文件 7\o"CurrentDocument"5用戶登錄交換機認證及命令行授權和計費的典型配置舉例 7組網需求 7配置思路 8使用版本 8配置注意事項 8配置步驟 8iMC的配置步驟 8設備的配置步驟 12驗證配置 13配置文件 15166相關資料161簡介本文檔介紹了登錄設備的典型配置案例，以及如何通過命令行授權和計費對登錄的用戶進行控制。配置前提本文檔中的配置均是在實驗室環(huán)境下進行的配置和驗證，配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置，為了保證配置效果，請確認現有配置和以下舉例中的配置不沖突。本文檔假設您已了解登錄設備的特性。通過Console口登錄設備配置舉例組網需求主機通過配置電纜與設備的Console口連接?，F要求：用戶通過設備的Console口登錄到設備，對設備進行管理和配置，并且配置本地認證方式為AAA認證，以提高設備的安全性。配置思路?通過Console口登錄設備，需要使用戶終端的通信參數配置和交換機 Console口的缺省配置保持一致。?當通過Console口采用本地認證方式登錄時，由于本地用戶缺省的授權用戶角色為network-operator，且本地是無服務類型的。因此，需要設置本地用戶的服務類型為terminal（通過Console口登錄使用的是 terminal服務類型），授權用戶角色為 network-admin，才能使用戶下次成功登錄并在登錄后對設備進行管理和配置。使用版本本舉例是在 S5130EI_E-CMW710-R3106版本上進行配置和驗證的。配置注意事項?連接時請認準接口上“Console”的標識，以免誤插入其它接口。?如果主機使用的是 WindowsServer2003 、WindowsXP操作系統(tǒng)，請在Windows組件中添加超級終端程序后，再按照本文介紹的方式登錄設備；如果 PC使用的是WindowsServer2008、WindowsVista、Windows7或者其它操作系統(tǒng)，請準備第三方的終端控制軟件，使用方法參考軟件的使用指導或聯(lián)機幫助。配置步驟主機斷電。因為pc機串口不支持熱插拔，請不要在 pc帶電的情況下，將配置電纜插入或者拔出PC機。請使用產品隨機附帶的配置電纜連接 PC機和設備。請先將配置口電纜的DB-9(孔)插頭插入PC機的9芯(針)串口中，再將RJ-45插頭端插入設備的Console口中。圖3-1將設備與PC通過配置口電纜進行連接DeviceDevice將PC上電。在PC機上運行終端仿真程序， 選擇與設備相連的串口， 設置終端通信參數。 這些參數的值必須和設備上的值一致，參數設置要求如下：? 波特率：9600? 數據位：8? 停止位：1? 奇偶校驗：無? 流量控制：無設備上電，終端上顯示設備自檢信息， 自檢結束后提示用戶鍵入回車， 用戶鍵入回車后將出現命令行提示符(如<Sysname>)。******************************************************************************TOC\o"1-5"\h\z*Copyright(c)2010-2014HangzhouH3CTechCo,Ltd.All rightsreserved. **Withouttheowner'sprior writtenconsent, **nodecompilingorreverse-engineeringshall beallowed. *******************************************************************************Lineaux0isavailable.PressENTERtogetstarted.<Sysname>%Jun2309:52:58:2432014H3CSHELL/5/SHELL_LOGIN:TTYloggedinfrom aux0.<Sysname>鍵入命令，配置設備或查看設備運行狀態(tài)，需要幫助可以隨時鍵入“ ？”。進入AUX用戶線視圖，并進行后續(xù)配置：進入AUX用戶線視圖。<Sysname>system-view[Sysname]lineaux0設置通過Console口登錄交換機的用戶進行 AAA認證。[Sysname-line-aux0]authentication-modescheme退出到系統(tǒng)視圖，創(chuàng)建本地用戶 admin,并進入本地用戶視圖。[Sysname-line-aux0]quit[Sysname]local-useradminclassmanageNewlocaluseradded.#設置本地用戶的認證口令為明文方式，口令為#設置本地用戶的認證口令為明文方式，口令為123。[Sysname-luser-manage-admin]passwordsimple123#設置本地用戶的服務類型為 Terminal,授權用戶角色為network-admin,刪除默認角色。[Sysname-luser-manage-admin]service-typeterminal[Sysname-luser-manage-admin]authorization-attributeuser-rolenetwork-admin[Sysname-luser-manage-admin]undoauthorization-attributeuser-role network-operator[Sysname-luser-manage-admin]quit驗證配置配置完成后，當用戶再次通過Console口登錄設備時，鍵入回車后，設備將要求用戶輸入登錄用戶名和密碼，輸入用戶名“admin”和密碼“123”并回車，登錄界面中將出現命令行提示符（如<Sysname>）。如圖3-2所示:圖3-2Console口登錄界面LineauxOisava.ilable.PressENTERtogetstarted.login;adminPassword:<Sysnaine>|配置文件#lineaux0authentication-modeschemeuser-rolenetwork-admin#local-useradminclassmanagepasswordhash$h$6$R1DZqFZrkA93GMAf$th9k1FcsjqRRy1A2reQXQkfmnTBSr/7//80W5gKuyeHYxNor/FVNl4tbBQLhaGeY5XFrVr1+WopPcC+dfaumgg==service-typeterminalauthorization-attributeuser-rolenetwork-admin4通過Telnet登錄設備配置舉例4.1組網需求4.1組網需求如圖4-1所示，要求僅允許使用 IP地址為為6/24和2/24的主機以Telnet方式登錄設備，且在登錄時必須進行基于用戶名和密碼的身份驗證。這兩個主機在相同的認證方式下使用兩個不同的用戶名登錄設備時，具有兩種不同的權限，分別為管理權限和可執(zhí)行所有特性中讀類型的命令權限。圖4-1通過Telnet登錄交換機組網圖HastA

192.163046^4RS芝32 Cofiskj后?DevcsHastB

192,166052^24DevcsHostC

192168058^4.2配置思路4.2配置思路缺省情況下，設備的Telnet服務器處于關閉狀態(tài)，需要通過Console口登錄后開啟設備的 Telnet服務功能?？梢酝ㄟ^ACL來限制IP地址為8的主機不能以Telnet方式登錄設備。缺省情況下，本地用戶的角色為 network-operator。因此，對于用戶權限僅為允許執(zhí)行所有特性中讀類型的命令，需要重新創(chuàng)建一個具有此權限的角色。4.3使用版本本舉例是在S5130EIE-CMW710-R3106 版本上進行配置和驗證的。4.4配置步驟4.4配置步驟#通過Console#通過Console口登錄設備，進入系統(tǒng)視圖，開啟Telnet服務。<Sysname>system-view[Sysname]telnetserverenabletelnetserverenable#設置通過VTY用戶線登錄交換機使用 AAA的認證方式。[Sysname]linevty063[Sysname-line-vty0-63]authentication-modescheme[Sysname-line-vty0-63]quit創(chuàng)建本地用戶userA,授權其用戶角色為 network-admin,為其配置密碼，刪除默認角色。[Sysname]local-useruserAclassmanageNewlocaluseradded.[Sysname-luser-manage-userA]authorization-attributeuser-rolenetwork-admin[Sysname-luser-manage-userA]service-typetelnet[Sysname-luser-manage-userA]passwordsimple123[Sysname-luser-manage-userA]undoauthorization-attributeuser-role network-operator[Sysname-luser-manage-userA]quit創(chuàng)建用戶角色roleB,權限為允許執(zhí)行所有特性中讀類型的命令。[Sysname]rolenameroleB[Sysname-role-roleB]rule1permitreadfeature[Sysname-role-roleB]quit創(chuàng)建本地用戶userB,為其配置密碼，授權其用戶角色為 roleB,刪除默認角色。[Sysname]local-useruserBclassmanageNewlocaluseradded.[Sysname-luser-manage-userB]authorization-attributeuser-roleroleB[Sysname-luser-manage-userB]service-typetelnet[Sysname-luser-manage-userB]passwordsimple123[Sysname-luser-manage-userB]undoauthorization-attributeuser-role network-operator[Sysname-luser-manage-userB]quit創(chuàng)建ACL視圖，定義規(guī)則，僅允許來自 6和2的用戶訪問交換機。[Sysname]aclnumber2000[Sysname-acl-basic-2000]rule1permitsource60[Sysname-acl-basic-2000]rule2permitsource20[Sysname-acl-basic-2000]rule3denysourceany[Sysname-acl-basic-2000]quit引用訪問控制列表 2000,通過源IP對Telnet用戶進行控制。[Sysname]telnetserveracl20004.5驗證配置配置完成后，各用戶的權限為：?當用戶使用userA作為用戶名以Telnet方式登錄設備時，具有對設備進行管理和配置的權限。如圖4-2所示：圖4-2用戶登錄設備后情況Login.:Login.:userAPassword:<SysrLame>?Userviewcommands:archivebackupboot-laadeubootromcdafdclockcopydebtiggingdeletediagnostic-lcgfiledirdisplayexceptionfdiskfixdiskformatfreeftpgrtnzipqzipinstallissu -Moxe"一■ArchiveconfigurationBackupthe白tar七upconfiguration￡xlSoftwareimagefilemanag-ementUpdate/rea.d/ba.cknp/restorebootrcmChangecurrentdirectoryConnectivityFaultDetection(CFD)mSpecifythesystemclockCopyafileEnablesystemdebuggingfunctionsDeleteafileDiagnosticlogfileconfigurationDisplayfilesand.directoriesontheDisplaycurrentsysteminfarmatiQnExceptioninformaticnccnfiguraticnPartitionastoragemediumCheckandrepairastoragemediumFormat-astoragemediumReleaseaconnectionOpen2rLFTPconnectionDeconipres5fileCompressfilePerformpacksgremanag曰mentioperal;ionIn-ServiceSoftwareUpgrademodule當用戶使用userB作為用戶名以Telnet方式登錄到設備上時，則只允許執(zhí)行所有特性中讀類型的命令。如圖4-3所示圖4-3用戶登錄設備后情況login:userBPassword:<Sysnam.e>?Userviewcommands;display Displaycurrentsystem informationquit Exitfrom currentcommand viewsystem—viewEnterth? SystemViewxml EnterXML viewOysname?HostC無法通過Telnet登錄設備。4.6配置文件#telnetserverenabletelnetserveracl2000#aclnumber2000rule1permitsource20rule2permitsource60rule3deny#linevty063authentication-modeschemeuser-rolenetwork-operator#local-useruserAclassmanagepasswordhash$h$6$I2Sg4Llj1qVUWQZ3$JA6KkU3zfVVRg48MM92X6cVpdiqR2JF887PKi3GQMwnXXXcsWBuz7GIeJZeeNFMmMBaV7DPkKblnb0sGT2axvg==service-typetelnetauthorization-attributeuser-rolenetwork-admin#local-useruserBclassmanagepasswordhash$h$6$q+c3OcSxrPpDpsDf$BWkgfOyxBLyR5zyYgF/+VvN/1ofy81zoHDlFf80OjDla6/EiSJbSBl33PeazilSkWSYcttkg5V5bGecB7oYwAw==service-typetelnetauthorization-attributeuser-roleroleB#rolenameroleBrule1permitreadfeature#5用戶登錄交換機認證及命令行授權和計費的典型配置舉例組網需求某公司組網如圖5-1所示,為了保證交換機能夠安全的運行，在交換機使用過程中，需要對登錄用戶進行認證、命令行執(zhí)行限制以及對用戶執(zhí)行過的所有命令進行記錄。圖5-1用戶登錄設備認證及命令行授權和計費組網圖HWTACACSserver0/24GE1/0/1/24Device/24/24HostAHWTACACSserver0/24GE1/0/1/24Device/24/24HostA配置思路? 本案例使用遠程認證、授權和計費功能，需要配置HWTACACS方案(本舉例使用HWTACACS服務器)。? 如果需要HWTACACS服務器記錄用戶執(zhí)行過的命令，可以通過創(chuàng)建一個可用 Telnet方式登錄設備的用戶名，為其授權權限。則使用該用戶登錄時，只能執(zhí)行 HWTACACS服務器授權的命令，且這些命令都會被記錄。使用版本本舉例是在S5130EI_E-CMW710-R3106 版本上進行配置和驗證的。配置注意事項執(zhí)行commandauthorization 命令后，命令行授權功能將立即生效，用戶執(zhí)行的命令只有被授權后才被允許執(zhí)行。因此，在執(zhí)行此命令之前，請先在HWTACACS服務器上配置相應用戶及用戶可以使用的命令行，再在設備上配置命令行授權功能對應的 HWTACACS方案。配置步驟iMC的配置步驟二,說明下面以iMC為例(使用iMC版本為：iMCPLAT7.1(E0302)、iMCEIA7.1(E0301))，說明HWTACACS服務器的基本配置。增加設備區(qū)域。選擇“用戶”頁簽，單擊導航樹中的［設備用戶策略管理/授權場景條件/設備區(qū)域管理］菜單項，進入設備區(qū)域列表頁面。單擊〈增加〉按鈕，進入增加設備區(qū)域頁面。? 輸入區(qū)域名稱system。? 其它參數采用缺省值。? 單擊〈確定〉按鈕，完成增加設備區(qū)域。圖5-2增加設備區(qū)域增加設備。選擇“用戶”頁簽，單擊導航樹中的 ［設備用戶策略管理/設備管理］菜單項，進入設備管理頁面。單擊〈增加〉按鈕，進入增加設備頁面。? 輸入共享密鑰和確認共享密鑰 expert。? 輸入認證端口，缺省為49。? 選擇設備區(qū)域為system。? 選擇是否支持單一連接，選擇“不支持”，表示設備與TAM通信時不支持在同一個 TCP連接中建立多個會話。? 選擇是否支持Watchdog報文，選擇“不支持”，表示用戶在線時設備不發(fā)送Watchdog報文。? 單擊設備管理中的〈手工增加〉按鈕，打開設備增加窗口。輸入設備 IP地址,單擊〈確定〉按鈕即可增加設備。單擊〈確定〉按鈕，完成增加設備的操作。

圖5-3增加設備增加ShellProfile。選擇“用戶”頁簽，單擊導航樹中的 ［設備用戶策略管理/授權命令配置/ShellProfie配置］菜單項,進入ShellProfie列表頁面。單擊〈增加〉按鈕，進入增加ShellProfie頁面。?輸入ShellProfile名稱ShellProfilel。? 輸入授權級別，這里選擇級別 1。? 其它參數采用缺省值。?單擊〈確定〉按鈕，完成增加ShellProfile。圖5-4增力口ShellProfile#接入授權信息。選擇“用戶”頁簽，單擊導航樹中的［設備用戶策略管理/授權策略管理］菜單項，進入授權策略列表頁面。單擊〈增加〉按鈕，進入增加授權策略頁面。輸入策略的名稱 tac。單擊接入授權信息區(qū)域的增加〉按鈕，打開增加授權項的頁面。?設備區(qū)域選擇“不限”，表示任意設備區(qū)域都符合要求。?設備類型選擇“不限”，表示任意設備類型都符合要求。?授權時段選擇“不限”，表示任意時間段都符合要求。? 選擇ShellProfile為ShellProfilel。? 選擇命令集選擇“不限”，表示用戶登錄設備后可以執(zhí)行任何命令。? 單擊〈確定〉按鈕，完成增加授權項。圖5-5接入授權信息單擊〈確定〉按鈕，完成增加授權策略。圖5-6增加授權策略#增加設備用戶。選擇“用戶”頁簽，單擊導航樹中的［設備用戶管理/所有設備用戶］菜單項，進入設備用戶列表頁面。單擊〈增加〉按鈕，進入增加設備用戶頁面。? 輸入帳號名monitor。? 輸入用戶名telnet-user。? 輸入登錄密碼和登錄密碼確認為123。? 選擇用戶使用的授權策略為tac。? 輸入在線數量限制為5,表示最多允許5個該用戶同時在線。? 其它參數采用缺省值。? 單擊〈確定〉按鈕，完成增加設備用戶。圖5-7增加設備用戶設備的配置步驟在設備上配置IP地址及路由，以保證Device、HostA、HWTACACSserver之間相互路由可達。（配置步驟略）開啟設備的Telnet服務器功能，以便用戶訪問。<Sysname>system-view[Sysname]telnetserverenable配置HWTACACS方案：? 授權計費服務器的 IP地址:TCP端口號為0:49（該端口號必須和HWTACACS服務器上的設置一致）。? 報文的加密密碼是expert。? 登錄時不需要輸入域名，使用缺省域。[Sysname]hwtacacsschemetac[Sysname-hwtacacs-tac]primaryauthentication049[Sysname-hwtacacs-tac]primaryauthorization049[Sysname-hwtacacs-tac]primaryaccounting049[Sysname-hwtacacs-tac]keyauthenticationsimpleexpert[Sysname-hwtacacs-tac]keyauthorizationsimpleexpert[Sysname-hwtacacs-tac]keyaccountingsimpleexpert[Sysname-hwtacacs-tac]user-name-formatwithout-domain[Sysname-hwtacacs-tac]quit配置缺省域的命令行授權計費的AAA方案，使用HWTACACS方案tac進行認證，并且使用本地認證local作為備選認證方法。[Sysname]domainsystem[Sysname-isp-system]authenticationloginhwtacacs-schemetaclocal[Sysname-isp-system]authorizationloginhwtacacs-schemetaclocal[Sysname-isp-system]authorizationcommandhwtacacs-schemetaclocal[Sysname-isp-system]accountingloginhwtacacs-schemetaclocal[Sysname-isp-system]accountingcommandhwtacacs-schemetac[Sysname-isp-system]quit配置本地認證所需參數：創(chuàng)建本地用戶monitor，密碼為123，可使用的服務類型為telnet。刪除用戶缺省角色，配置用戶角色為level-1，限制用戶權限。[Sysname]local-usermonitorclassmanage[Sysname-luser-manage-monitor]passwordsimple123[Sysname-luser-manage-monitor]service-typetelnet[Sysname-luser-manage-monitor]authorization-attributeuser-role level-1[Sysname-luser-manage-monitor]undoauthorization-attributeuser-role network-operator[Sysname-luser-manage-monitor]quit設置通過VTY用戶線登錄交換機使用AAA的認證方式。[Sysname]linevty063[Sysname-line-vty0-63]authentication-modescheme使能命令行授權和命令行計費功能。[Sysname-line-vty0-63]commandauthorization[Sysname-line-vty0-63]commandaccounting[Sysname-line-vty0-63]quit驗證配置驗證命令行授權功能在用戶主機上通過telnet方式登錄設備，進入登錄界面下，輸入用戶名monitor和密碼123。C:\DocumentsandSettings\Administrator>telnet******************************************************************************TOC\o"1-5"\h\zCopyright(c)2004-2014HangzhouH3CTech.Co.,Ltd.All rightsreserved. *Withouttheowner'sprior writtenconsent, *nodecompilingorreverse-engineeringshall beallowed. *******************************************************************************login:monitorPassword:<Sysname>輸入“？”，可以查看登錄設備后能操作的命令行權限，此處顯示僅能輸入用戶角色 level-1允許執(zhí)行的命令。<Sysname>?Userviewcommands:display Displaycurrentsysteminformationping Pingfunctionquit Exitfromcurrentcommand viewssh2 Establishasecureshell client connectionsuper Switchtoauserrolesystem-view EntertheSystem Viewtelnet Establishatelnet connectiontracert Tracertfunctionxml EnterXMLview<Sysname>system-viewSystemView:returntoUserViewwithCtrl+Z.[Sysname]?Systemviewcommands:displayDisplaycurrentsysteminformationlocal-userConfigurealocaluserpingPingfunctionquitExitfromcurrentcommandviewreturnExittoUserViewtracertTracertfunction驗證命令行計費功能#選擇“用戶”頁簽，單擊導航樹中的 ［設備用戶管理/日志管理/審計日志］菜單項，進入審計日志列表頁面。? 輸入賬號名"monitor"。? 選擇審計起始時間。單擊〈查詢〉按鈕，查詢出符合條件的審計