交換機(jī)-配置指經(jīng)本書面許可任何單位和個人不得擅自摘抄、復(fù)制本內(nèi)容部分或全_第1頁
交換機(jī)-配置指經(jīng)本書面許可任何單位和個人不得擅自摘抄、復(fù)制本內(nèi)容部分或全_第2頁
交換機(jī)-配置指經(jīng)本書面許可任何單位和個人不得擅自摘抄、復(fù)制本內(nèi)容部分或全_第3頁
交換機(jī)-配置指經(jīng)本書面許可任何單位和個人不得擅自摘抄、復(fù)制本內(nèi)容部分或全_第4頁
交換機(jī)-配置指經(jīng)本書面許可任何單位和個人不得擅自摘抄、復(fù)制本內(nèi)容部分或全_第5頁
已閱讀5頁,還剩238頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

斜斜體[{x|y|...[x|y|...{x|y|...}[x|y|...]#文檔版本03(2012-07-( 文檔版本02(2012-05-( 文檔版本01(2012-03-前 首次登錄系 登錄設(shè) 熟悉命令 命令級 命令視 ..................................................................................................................................................完全幫 部分幫 編輯特 顯示特 歷史命 快捷 配置舉 Tab鍵使用示 如何使用接 接口概 配置Loopback接 配置Loopback接口IPv4相關(guān) 接 進(jìn)行基本配 配置用戶界 (可選)配置VTY用戶界面的呼入呼出限 配置舉 配置用戶登 配置用戶通過Console口登錄系 (可選)配置Console用戶界 net登錄系 使 net服務(wù)器功 net服務(wù)器的端.................................................................................... 配置用戶通過 用戶通過終端 (可選)配置 配置用戶通過安全Web登錄系 配置SSL策略并加載數(shù)字.......................................................................................................加載Web網(wǎng)頁文 創(chuàng)建Web帳 登錄Web................................................................................................................................. 顯示用 清除用 配置舉 配置用戶通過Console口登錄系統(tǒng)示 配置用戶通過 配置用戶通過安全Web登錄系統(tǒng)示 管理文件系 管理設(shè) 管 管理文 (可選)指定FTP服務(wù)器端................................................................................................. (可選)配置FTP服務(wù)器參 (可選)配置FTP控 用戶通過FTP軟件系 (可選)配置SFTP服務(wù)器參 用戶通過SFTP協(xié)議系 配置SSL策略并加載數(shù)字.....................................................................................................使能FTPS功 配置舉 配置系統(tǒng)啟 系統(tǒng)軟 配置文 配置舉 9其他設(shè) 9.1其他設(shè)備簡 net方 FTP方 TFTP方 SSH方 SSL方 SCP方 通 使 通過TFTP其他設(shè)備的文 (可選)配置TFTP客戶端源地 (可選)配置TFTP限 (可選)配置FTP客戶端源地 通過SCP其他設(shè)備的文 配置SCP服務(wù) 配置SCP客戶 配置舉 通 通過TFTP其他設(shè)備文件配置舉 通過SCP其他設(shè)備文件配置示 Web配 Web概 啟用Web..................................................................................................................................... 設(shè)置設(shè)備的管理IP地 上傳Web網(wǎng)頁文 加載Web網(wǎng)頁文 創(chuàng)建Web帳 登錄Web.............................................................................................................................文檔版本03(2012-07- 說明當(dāng)用戶需要為第一次上電的設(shè)備進(jìn)行配置時,必須通過ConsoleMiniUSB口登錄一塊主控板提供一個Console口和一個MiniUSB口。用戶終端的串行端口可以與設(shè)備ConsoleUSBMiniUSB口直接連接,實現(xiàn)對設(shè)說明l設(shè)備第一次上電必須使Console口或MiniUSB口登錄,這是實現(xiàn)其他登錄方式的前提。例如使用net登錄設(shè)備所IP地址,需要預(yù)先Console口或者M(jìn)iniUSB口登錄設(shè)備l在通MiniUSBMiniUSBl同一時刻,MiniUSBConsole

PC已安裝終端仿真程序(WindowsXP的超級終端

1說明1Console口的物理屬性(包括傳輸速率、數(shù)據(jù)位、校驗方步驟1在PC上打開終端仿真程序(如WindowsXP的超級終端),如圖1-1新建接21-231-3步驟4按Enter鍵,直到系統(tǒng)出現(xiàn)如下顯示,提示用戶配置驗證,系統(tǒng)會自動保存此Pleaseconfiguretheloginpassword( umlength16)EnterPassword:Confirm說明l用戶界面 說明

PC已安裝終端仿真程序(WindowsXP的超級終端

11說明驅(qū)動程序獲取路徑:請先登錄公司技術(shù)支持(),登錄后,在應(yīng)路徑下獲取S5700的MiniUSB口的驅(qū)動程序Switch-MiniUSB-driver.001.zip。1PC端雙擊驅(qū)動程序的安裝文件并點(diǎn)擊“Next1-41-4PC2選擇“IacceptthetermsoftheLicenseAgreement”并點(diǎn)擊“Next1-553中指定的解壓路徑下找到“TUSB3410SingleDriverInstaller”文件夾,進(jìn)入找步驟6點(diǎn)擊“下一步”,選擇“我接受證協(xié)議中的條款(A)”項并點(diǎn)擊“下一步”進(jìn)入驅(qū)7步驟8鼠標(biāo)“我的電腦”,單擊“管理”–>“設(shè)備管理器”–>“端口(COM說明步驟1在PC上打開終端仿真程序(如WindowsXP的超級終端),如圖1-8新建接2設(shè)置連接端口,MiniUSB口請選擇“COM31-91-10步驟4按Enter鍵,直到系統(tǒng)出現(xiàn)如下顯示,提示用戶配置驗證,系統(tǒng)會自動保存此Pleaseconfiguretheloginpassword(umlength16)EnterPassword:Confirm說明l允許通過net、SSH進(jìn)行本地或配置。l用net命令直接登錄并管理其它交換機(jī)。l提供FTP服務(wù),方便用戶上傳、文件。lUser-interfacel命令分級保護(hù),不同級別的用戶只能執(zhí)行相應(yīng)級別令l提供password和AAA驗證方式,確保未用戶無法侵入交換機(jī),保證系統(tǒng)的安l用戶可以隨時鍵入“?”而獲得

說l系統(tǒng)可正確執(zhí)行令長度最大512個字符,包括使用不完整格式的情況。不完整格式是式令系統(tǒng)只能匹配到唯一一條命令。比如displaycurrent-configuration命令,可以在命dcu、dicudiscu等都可以執(zhí)行此命令,但不能輸入dcdisc等,因為dc、disc開頭令不唯一。l如果使用不完整格式進(jìn)行配置,由于命令保存到配置文件中時使用的是完整格式,可能導(dǎo)致配置文件中存在長度超過512個字符令。系統(tǒng)重啟時,這類命令將無法恢復(fù)。因此,在使用不完整格式令進(jìn)行配置時,也需要注意命令的總長度。00 net客戶端)、部分display命令等。10、級并不是所有display命令都是級,比如管理配置文件中的201、012、用于系統(tǒng)基本運(yùn)行令,對業(yè)務(wù)提供支撐作用,包括文件系統(tǒng)、FTP、TFTP、配置文件切換命令、備板控制設(shè)置命令;用于業(yè)務(wù)故障診斷的debugging命令等。

說l實際實現(xiàn)中,根據(jù)命令的重要程度,有可能出現(xiàn)某些命令的缺省級別要高于本命令按照命令l16級,與命令級別對應(yīng)。不同級別的用戶登錄后,只能使用等于或低于自己級別令??梢允褂胾serprivilegelevellevel命令設(shè)置用戶級別。命令視圖基本概<Quidway>system-view[Quidway]aaa[Quidway-說明

令中都有說明,請參見《QuidwayS5700系列以太網(wǎng)交換機(jī)命令參考》。 <Quidway>無 [Quidway] [Quidway]interfaceGigabitEthernet說明X/Y/Z為需要配置的千兆以太網(wǎng)接口的接口編號,分別對應(yīng)“槽位號/子/接口序命令行的完全幫助可以通過以下3種方式獲?。?<Quidway> [Quidway-ui-vty0]authentication-mode? AAAauthenticationpasswordAuthenticationthroughthepasswordofauserterminalinterface[Quidway-ui-vty0]authentication-modeaaa?[Quidway-ui-vty0]authentication-modeaaapassword是關(guān)鍵字,AAAauthenticationAuthenticationthroughthepasswordofauserterminalinterface是對關(guān)鍵字的分別描述。 <Quidway>system-view[Quidway]sysname?TEXTHostname(1to246

<Quidway> <Quidway>display bpdu- –輸入命令的某個關(guān)鍵字的前幾個字母,按下<tab>鍵,可以顯示出完整的關(guān)鍵Error:Unrecognizedcommandfoundat'^'position.Error:Wrongparameterfoundat'^'Tabl如果與之匹配的關(guān)鍵字唯一,則系統(tǒng)用此完整的關(guān)鍵字l對于不匹配或者匹配的關(guān)鍵字不唯一的情況,首先顯示前綴,繼續(xù)按Tab鍵循環(huán)翻詞,此時光標(biāo)距詞尾不空l如果輸入錯誤關(guān)鍵字,按Tab鍵后,換行顯示,輸入的 如表2-4所示。鍵入 正則表達(dá)式的語 2-5是對特殊字符及其語\^$*+ ?.匹配1234、14、1224、1334[^a-_ 說明 匹配+45,abc(*def)匹配abc*def。說明 在命令中指定過濾方注注displaydisplay系統(tǒng)支持使用|count,顯示使用過濾條件后輸出的結(jié)果的行數(shù)??梢耘c過濾方式配合使 說明在分屏顯示時指定過濾方 Doskey功能,能夠自動保存用戶鍵入的歷史命令。當(dāng)用戶需要輸缺省情況下,為每個登錄用戶保存10條歷史命令??梢酝ㄟ^ mandmax-說明表2-6歷史命 mand[all-users]說明

S5700保存的歷史命令與用戶輸入令格式相同,如果用戶使用了命令的不完整 如果用戶多次執(zhí)行同一條命令,S5700的歷史命令中只保留最早的一次。但如果執(zhí)捷鍵如表2-7所示。說明Tab

S5700上執(zhí)行以下配置。[Quidway][Quidway]info- S5700上進(jìn)行以下配置。[Quidway]info-center [Quidway]info-center[Quidway]info-center[Quidway]info-centerloghost[Quidway]info-centerlogbuffer[Quidway]info-centerlogbuffer 說明供配置管理支持,也就是用戶通過此類接口可以登錄到S5700,并進(jìn)行配置和管理操口型是DCE。MEth ConsoleMEth描述為接口“MEth業(yè)務(wù)接口

子為“1”表示前插卡。 說明246135 Console MEth Eth-Trunk具體配置方法請參見《S5700-以太網(wǎng)》中的“鏈路聚 LoopbackLoopback是一種虛擬接口。TCP/IP協(xié)議規(guī)定,網(wǎng)段的地址屬于環(huán)回地但是有些應(yīng)用(如配置互訪)需要在不影響物理接口配置的情況下,配置一個帶有指定IP地址的本地接口;要求該本地接口的IP地址為32位掩碼(節(jié)約IP利用Loopback接口Up的特性,還可以用做RouterID、LSRID、Tunnel隧道借用Loopback的IP地址等。 NULLNull接口類似于一些操作系統(tǒng)中支持的空設(shè)備(NullDevices),任何送到該接口的網(wǎng)絡(luò)數(shù)據(jù)報會被丟棄。Null接口主要應(yīng)用在路由選擇和策略路由中。比如 Tunnel 口,即VLANIF接口。VLANIF接口是網(wǎng)絡(luò)層接口,可以配置IP地址。借助VLANIF接口,S5700就能與其它網(wǎng)絡(luò)層的設(shè)備互相通信。

12

2interfaceinterface-typeinterface-number,進(jìn)入指定接口的接口視圖。其中,interface-type為接口類型;interface-number為接口編號。

3執(zhí)行命令?說明lNullUp狀態(tài),不能使用命令關(guān)NulllLoopbackUpLoopback接口

說明 具體配置請參見《S5700-以太網(wǎng)》和《S5700系列以太網(wǎng)交換機(jī)配置指南-IP路由》1displayinterfaceinterface-typeinterface-number,查看接口當(dāng)前運(yùn)行狀態(tài)3displayipinterfaceinterface-typeinterface-number]IP的主要配置4displayipinterfacebriefinterface-typeinterface-numberIP的簡

有些應(yīng)用(如配置互訪)需要在不影響物理接口配置的情況下,配置一個帶有指

122interfaceloopbackinterface-numberLoopback3ipaddressip-addressmask|mask-lengthsub],配置Loopback1displayinterfaceloopbacknumber]Loopback1resetcountersinterface[interface-type[interface-number]]清除接口信息。

12342sysnamehost-name,設(shè)置設(shè)備名稱。缺省情況下,交換機(jī)主機(jī)名為Quidway。系統(tǒng)時鐘=UTC(UniversalTimeCoordinated)通用協(xié)調(diào)時間+時區(qū)偏移+夏令時偏移說明在時區(qū),設(shè)置正確的UTC時間,以保證本地時間正確。2clocktimezonetime-zone-nameadd|minusoffsetladdUTCUTC時區(qū)的基礎(chǔ)上,加上offset,就可以得到time-zone-name所標(biāo)識的時區(qū)時間。lminusUTC3clockdaylight-saving-timetime-zone-nameone-yearstart-timestart-dateend-timeend-dateoffsetclockdaylight-saving-timetime-zone-namerepeatingstart-time{{first|second|third|fourth|last}weekdaymonth|start-date}end-time{{first|second|third|fourth|lastweekdaymonth|end-dateoffsetstart-yearend-year,設(shè)期、星期+日期四種配置方式。配置方法請參考clockdaylight-saving-time命令。說明當(dāng)當(dāng)前時間處在夏令時時,執(zhí)行命c(diǎn)locktimezonetime-zone-nameadd|minusoffset設(shè)置時區(qū)名是可以成功的。但此時執(zhí)行命displayclock顯示的時區(qū)名為夏令時名,當(dāng)夏令時結(jié)束之后,系統(tǒng)時鐘

1配置:clockdatetime8:0:02011-11-2011-11-12TimeZone(DefaultZoneName):2配置:clocktimezoneBJadd2010-01-01TimeZone(BJ):1、配置:clockdatetime8:0:02011-11-12clocktimezoneBJadd82011-11-12TimeZone(BJ):配置:locktimezoneNJadd8clockdatetime9:0:02011-11-122011-11-12TimeZone(NJ):32011-8-16:02011-10-0112010-01-01TimeZone(DefaultZoneName):UTCDaylightsavingtime: :Repeatmode:one-yearStartyear:2011Endyear :2011Starttime:08-01End :10-01Savingtime:2011-1-16:02011-9-122010-01-0110:00:34TimeZone(BJ):UTCDaylightsavingtime: :Repeatmode:one-yearStartyear:2011Endyear :2011Starttime:01-01End :09-01Savingtime:1、內(nèi),則為date-time配置clockdatetime9:0:02011-11-12clock2012-10-012011-11-12TimeZone(DefaultZoneName):UTCDaylightsavingtime: :Repeatmode:one-yearStartyear:2012Endyear :2012Starttime:08-01End :10-01Savingtime:內(nèi),則為date-timeclockdatetime9:0:02011-11-12clockdaylight-saving-timeBJone-year9:02011-11-126:02011-12-012011-11-1211:02:21TimeZone(BJ):UTCDaylightsavingtime: :Repeatmode:one-yearStartyear:2011Endyear :2011Starttime:11-12End :12-01Savingtime:內(nèi),則為date-timeclockdaylight-saving-timeBJone-year6:02012-8-16:02012-10-011clockdatetime2011-11-12TimeZone(DefaultZoneName):UTCDaylightsavingtime: :Repeatmode:one-yearStartyear:2012Endyear :2012Starttime:08-01End :10-01Savingtime:內(nèi),則為date-time2011-1-11:02011-9-12clockdatetime3:02011-01-0103:00:19TimeZone(BJ):UTCDaylightsavingtime: :Repeatmode:one-yearStartyear:2011Endyear :2011Starttime:01-01End :09-01Savingtime:2、33、offset的值不在夏令時saving-timeBJone-year6:02011-1-16:02011-9-12010-01-01TimeZone(BJ):Daylightsavingtime :Repeatmode:one-yearStartyear:2011Endyear :2011Starttime:01-01End :09-01Savingtime:offset的值在夏令時段82010-01-0118:05:31+08:00TimeZone(BJ):Daylightsavingtime :Repeatmode:one-yearStartyear:2010Endyear :2010Starttime:01-01End :09-01Savingtime:date-time±zone-offset的值不在夏令時date-time配置:clockdatetime8:0:02011-11-12、clockBJone-year6:02012-1-16:02012-9-122011-11-12TimeZone(BJ):Daylightsavingtime :Repeatmode:one-yearStartyear:2012Endyear :2012Starttime:01-01End :09-01Savingtime:date-time±zone-offset的值在夏令時段內(nèi),則為date-time配置:clockdatetime8:0:02011-1-1、clock2011-9-12clocktimezoneBJadd2011-01-0118:00:43+08:00TimeZone(BJ):Daylightsavingtime :Repeatmode:one-yearStartyear:2011Endyear :2011Starttime:01-01End :09-01Savingtime:內(nèi),則為date-time2012-1-16:02012-9-12、clocktimezoneBJ8clockdatetime8:0:02011-11-2011-11-12TimeZone(BJ):Daylightsavingtime :Repeatmode:one-Startyear:End :Starttime:01-01End :09-01Savingtime:內(nèi),則為date-time配置:clocktimezoneBJadd8、clockdaylight-saving-timeBJone-year1:02011-1-11:02011-9-12clockdatetime3:0:02011-1-2011-01-0103:00:03+08:00TimeZone(BJ):Daylightsavingtime :Repeatmode:one-Startyear:End :Starttime:01-01End :09-01Savingtime:

2headerlogininformationtext|filefile-name}步驟3執(zhí)行命令headers{informationtext|filefile-name},設(shè)置登錄成功后的標(biāo)題文本。需要在終端連接被激活但用戶尚未通過認(rèn)證時顯示標(biāo)題信息,使用參數(shù)login。說明l標(biāo)題信息文本以一個英文字符作為起始符,且以相同的字符作為結(jié)束符。輸入一個英文字符l如果在客戶端使用SSH1.X版本登錄交換機(jī),則用戶登錄時不顯示參數(shù)login設(shè)置的標(biāo)題信息,但可以顯示參數(shù)s lSSH2.0版本登錄交換機(jī),則設(shè)置的登錄時和登錄成功后的標(biāo)題信息都可以按0~3級行,戶實限細(xì), 2~9級和11~14級這些命令級別中沒有命令行。用戶可以單獨(dú)調(diào)整需要 注注果選擇了“YConsole口用戶無法3command-privilegelevellevelviewview-namecommand-key,設(shè)置指定視圖內(nèi)command-privilegelevel命令可以一次指定多條命令(command-key)的級別及所在視

l顯示系統(tǒng)配置信息的display命令l顯示系統(tǒng)運(yùn)行狀態(tài)的display命令l顯示系統(tǒng)診斷信息的display命令l顯示主控板重啟信display命display

說明 l起始配置信息是設(shè)備上電時進(jìn)行設(shè)備初始化工作的配置文件的信息。當(dāng)前配置信息是設(shè)

displaydiagnostic-information命令收集了如下命令執(zhí)行后的終端顯示的信息,包括:displayclock、displayversion、displaycpu-usage、displayinterface、displaycurrent-configuration、displaysaved-configuration、display mand當(dāng)用戶通過Console口、 net或SSH方式登錄交換機(jī)時,系統(tǒng)會分配相應(yīng)的用戶界慮,配置相應(yīng)的Console用戶界面屬性。 net或SSH方式登錄交換機(jī)實現(xiàn)本地或時,可以根據(jù)用戶使用需求以及對設(shè)備安全的考慮,配置VTY用戶界面。配置Console用戶界面、VTY用戶界面的示例。配置示例中包括組網(wǎng)需求、配置注意事目前系統(tǒng)支持的用戶界l端口可以與設(shè)備Console口直接連接,實現(xiàn)對設(shè)備的本地。l用戶界面的編l相對編號方控制口的編號:CON0每個主CON口只有一個,但VTY類型的用20個(0~14用戶提供給普通net/SSH用戶的用戶接口,16~20是預(yù)留給用戶的接口),可以在系統(tǒng)視圖下使用user-interfaceum-vty命令設(shè)置最大用戶界面?zhèn)€數(shù),其缺省值為5。00(VirtualType34~~第一個為VTY0,第二l絕對編號34~48對應(yīng)相VTYVTY14l絕對編號50~54~VTY20VTY16~VTY20說明用戶界面的用戶驗 用戶界面的用戶優(yōu)先160~15,標(biāo)識越高llAAA慮,配置相應(yīng)的Console用戶界面屬性。當(dāng)用戶需要通過Console口登錄交換機(jī)對交換機(jī)進(jìn)行本地時,可以配置相應(yīng)的ConsoleConsole用戶界面的物理屬性、終端屬性、用戶優(yōu)先級以及用 1234說明說明3speedspeed-value,設(shè)置傳輸速率。缺省情況下,傳輸速率為9600bit/s。4flow-controlhardware|none|software},設(shè)置流控方式。缺省情況下,流控方式為None。5parityeven|mark|none|odd|space},設(shè)置校驗位。缺省情況下,校驗位為None。6stopbits1.5|1|2},設(shè)置停止位。缺省情況下,停止位為1bit。7databits5|6|7|8},設(shè)置數(shù)據(jù)位。缺省情況下,數(shù)據(jù)位為8。

Console用戶界面的終端屬性在交換機(jī)上均有缺省值。用戶可以根據(jù)需求,重新配置相步驟3執(zhí)行命令 缺省情況下,用戶界面斷連的超時時間為10分鐘。5screen-lengthscreen-length[temporary],設(shè)置終端屏幕每屏顯示的行數(shù)。使用參數(shù)temporary可以指定終端屏幕的臨時顯示行數(shù)。步驟7執(zhí)行命令 mandmax-sizesize-value,設(shè)置歷史命令緩沖區(qū)大小。缺省情況下,用戶界面歷史命令緩沖區(qū)大小為10條歷史命令。

說明l缺省情況下,Console口用戶界面對應(yīng)的默認(rèn)命令 級別是3,而其他用戶界面對應(yīng)的默認(rèn)級別是0。l如果用戶界面下配置

需要保存好登錄的用戶名和,登錄設(shè)備時需要首先輸入登錄用戶名和才能注注

。 。Console用戶界面配置成功后,可以查看到用戶界面的使用信息、物理屬性和配置、本

<Quidway>displayUser- Network CON0 Username:Unspecified<Quidway>displayuser-interfaceconsoleIdx ModemPriviActualPriviAuth CON :CurrentUIis :CurrentUIisactiveandworkinasyncmode.Idx:AbsoluteindexofUIs.Type:TypeandrelativeindexofUIs.Privi:TheprivilegeofUIs.ActualPrivi:Theactualprivilegeofuser-interface.Auth:TheauthenticationmodeofUIs.A:AuthenticateuseN:CurrentUIneednotP:AuthenticateusecurrentUI'sInt:Thephysicallocationof<Quidway>displaylocal-User-AS-AH-AF-Total3 net或SSH方式登錄交換機(jī)實現(xiàn)本地或時,可以根據(jù)用戶使用需求以及對設(shè)備安全的考慮,配置VTY用戶界面。

當(dāng)用戶需要通過net或SSH方式本地或配置和管理交換機(jī)時可以配置相應(yīng)的VTYVTY用戶界面的最大個數(shù)、呼入呼出限制、終端屬性、用戶優(yōu)先級以

12345說明

步驟2執(zhí)行命令user-interface 注注例如:當(dāng)前允許最多5個VTY用戶同時,現(xiàn)在配置為允許15個VTY用戶同時在VTY5~14authentication-mode命令配置驗證方式,<Quidway>system-[Quidway]user-interface um-vty15[Quidway]user-interfacevty514[Quidway-ui-vty5-14]authentication-mode

問控制列表并進(jìn)入ACL視圖,然后執(zhí)行rule命令增加相應(yīng)控制列表的規(guī)則。說明l用戶界面支持基本控制列表(2000~2999)和高 控制列表(3000~3999) 關(guān)于ACL配置的內(nèi)容,請參見《S5700系列以太網(wǎng)交換機(jī)配置指南-安全配置》3aclacl-numberinbound|outbound}VTY類型用戶界面的呼入呼出限linboundloutbound

VTY用戶界面的終端屬性在交換機(jī)上均有缺省值。用戶可以根據(jù)需求,重新配置相應(yīng)缺省情況下,超時時間為10分鐘。5screen-lengthscreen-length[temporary],設(shè)置終端屏幕每屏顯示的行數(shù)。使用參數(shù)temporary可以指定終端屏幕的臨時顯示行數(shù)。步驟6執(zhí)行命令 mandmax-sizesize-value,設(shè)置歷史命令緩沖區(qū)的大小。缺省情況下,存放10條歷史命令。

說明

需要保存好登錄的用戶名和,登錄設(shè)備時需要首先輸入登錄用戶名和才能注注l缺省情況下,VTYVTY用戶界面配置驗證方式,否則用戶無法通過VTY界面成功登錄系統(tǒng)。l如果VTY用戶界面的驗證方式為password或AAA,必須配置或用戶名,否則

。 。VTY用戶界面配置成功后,可以查看到用戶界面的使用信息、VTY類型用戶界面的最

displayuser-interfaceui-typeui-number1|ui-numbersummary]命令查看

<Quidway>displayUser- Network34VTY 00:00:12Username:+35VTY 00:00:00Username:<Quidway>displayuser-interfaceum-vtyumofVTYuser:15displayuser-interfacevtyui-number1|ui-numbersummary],可以查看用<Quidway>displayuser-interfacevtyIdx ModemPriviActualPriviAuth+ VTY :CurrentUIis :CurrentUIisactiveandworkinasyncmode.Idx:AbsoluteindexofUIs.Type:TypeandrelativeindexofUIs.Privi:TheprivilegeofUIs.ActualPrivi:Theactualprivilegeofuser-interface.Auth:TheauthenticationmodeofUIs.A:AuthenticateuseN:CurrentUIneednotP:AuthenticateusecurrentUI'sInt:Thephysicallocationof<Quidway>displaylocal-User-AS-AH-AF-Total3<Quidway>displayvtycurrentVTYmodeisMachine-Machine配置Console用戶界面、VTY用戶界面的示例。配置示例中包括組網(wǎng)需求、配置注意事式和驗證,實現(xiàn)通過Console口使用Password方式登錄交換機(jī)。

在初始化空配置交換機(jī)或本地交換機(jī)時,用戶需要通過Console用戶界面登錄并進(jìn)證,用戶登錄時需要輸入“”。 lConsole30。lConsole60。lConsole20。lConsole15lConsole用戶界面的用戶驗證方式為password和驗證為<Quidway>system-[Quidway]user-interfaceconsole0[Quidway-ui-console0]speed9600[Quidway-ui-console0]flow-controlnone[Quidway-ui-console0]parityeven[Quidway-ui-console0]stopbits2[Quidway-ui-console0]databits[Quidway-ui-console0][Quidway-ui-console0]idle-timeout[Quidway-ui-console0]screen-length[Quidway-ui-console0]screen-width[Quidway-ui- mandmax-size3Console[Quidway-ui-console0]userprivilegelevel[Quidway-ui-console0]authentication-mode[Quidway-ui-console0]setauthenticationpasswordcipher[Quidway-ui-console0]quit

#sysname#user-interfacecon0authentication-modepassworduserprivilegelevel15setauthenticationpasswordcipher%$%$>tGNLl~,2=8vhc%- mandmax-size20idle-timeout300screen-lengthdatabits6parityevenstopbits2speed#出限制、終端屬性、驗證方式和驗證,實現(xiàn)通過net方式使用Password用戶使用net協(xié)議從VTY通道登錄交換機(jī)。設(shè)備管理員可以根據(jù)使用需求或出于對設(shè)備安全性的考慮,配置VTY用戶界面的相關(guān)屬性。戶登錄時需要輸入“”。同時需要限制IP地址為的用戶登錄交換 lVTY30。lVTY60。lVTY20。lVTY15lVTY用戶界面的用戶驗證方式為password,驗證為<Quidway>system-[Quidway]user-interfaceum-vty[Quidway]acl[Quidway-acl-basic-2000]ruledenysource0[Quidway-acl-basic-2000]quit[Quidway]user-interfacevty014[Quidway-ui-vty0-14]acl2000inbound[Quidway-ui-vty0-14][Quidway-ui-vty0-14]idle-timeout[Quidway-ui-vty0-14]screen-length[Quidway-ui-vty0-14]screen-width[Quidway-ui-vty0- mandmax-size4VTY[Quidway-ui-vty0-14]userprivilegelevel[Quidway-ui-vty0-14]authentication-mode[Quidway-ui-vty0-14]setauthenticationpasswordcipher[Quidway-ui-vty0-14]quit

#sysname#aclnumberrule5denysource0rulepermitsourceany#user- um-vtyuser-interfacevty0acl2000userprivilegelevel15authentication-modepasswordsetauthenticationpasswordcipher%$%$>tGNLl~,2=8vhc%- mandmax-size20idle-timeout300screen-length#用戶可以通過Console口、net或SSH(Snet)方式登錄交換機(jī),實現(xiàn)對交換機(jī)本Console口、net或Snet端進(jìn)行本地。此時可以通過net方式從用戶終端登錄到交換機(jī),實現(xiàn)對網(wǎng)絡(luò)換機(jī)的,極大地方便了用戶的操作。 net協(xié)議實現(xiàn)在不安全網(wǎng)絡(luò)上提供安全的??蛻舳撕头?wù)器之間經(jīng)過協(xié) net一樣登錄交換機(jī)。Console口、net或SnetConsole口登l當(dāng)用戶無法進(jìn)行訪l當(dāng)設(shè)備系統(tǒng)無法啟動BootRom進(jìn)行系統(tǒng)升配置驗證,命令級別是3。net統(tǒng)用net方式登錄設(shè)備,缺省情況下,用戶不能通過net方式直接登錄設(shè)備。如果需要通過net方式登錄設(shè)備,必須先Console口本lIP地址,確保(缺省情況下,設(shè)備上沒有配置IP地(缺省情況下,VTY用戶界面無認(rèn)省情況下,VTY用戶界面的用戶級0)。l使能net服務(wù)器功能(缺省情況Snet登錄(SecureS)可提供安全I(xiàn)P net登錄能更大限度的Snet方式直接登錄設(shè)備。如果需要SnetlIP地址,確保(缺省情況下,設(shè)備上沒有配置IP地(缺省情況下,VTY用戶界面無認(rèn)省情況下,VTY用戶界面的用戶級0)。lVTYSSH持的協(xié)議是net)。l配置SSH用戶并指定服務(wù)方式包含SSHSSH用戶的服務(wù)方式lSnet服務(wù)器功能(缺省情況下,設(shè)備的Snet服務(wù)功能是關(guān)閉說明用net相比,SSH提供了在一個傳統(tǒng)不安全的網(wǎng)絡(luò)環(huán)境中,服務(wù)器通過對客戶端的認(rèn)證及雙向的數(shù)據(jù)加密,為網(wǎng)絡(luò)終端提供了安全的服務(wù)。SSH協(xié)議支持S SSH協(xié)議的介紹請參見《S5700特性描述基礎(chǔ)配置》

PC已安裝終端仿真程序(WindowsXP的超級終端

1 l用戶優(yōu)先l慮,配置相應(yīng)的Console用戶界面屬性。

Console用戶界面的屬性在設(shè)備上都有缺省值,用戶一般不需要另外配置。但是用戶可說明屬性可能在配置過程中發(fā)生連接中斷,建議通過其他登錄方式配置Console用戶界面屬性。若用戶需要通過Console口再次登錄設(shè)備,需要改變PC機(jī)上運(yùn)行的終端仿真程序的相應(yīng)配置,使之與設(shè)備上配置的Console用戶界面屬性保持一致。

步驟1在PC上打開終端仿真程序(如WindowsXP的超級終端),如圖6-1新建接26-236-3步驟4按Enter鍵,直到系統(tǒng)出現(xiàn)如下顯示,提示用戶配置驗證,系統(tǒng)會自動保存此Pleaseconfiguretheloginpassword(umlength16)EnterPassword:Confirm說明l用戶界面

<Quidway>displayUser- Network CON0 Username:Unspecified<Quidway>displayuser-interfaceconsoleIdx ModemPriviActualPriviAuth CON :CurrentUIis :CurrentUIisactiveandworkinasyncmode.Idx:AbsoluteindexofUIs.Type:TypeandrelativeindexofUIs.Privi:TheprivilegeofUIs.ActualPrivi:Theactualprivilegeofuser-interface.Auth:TheauthenticationmodeofUIs.A:AuthenticateuseN:CurrentUIneednotP:AuthenticateusecurrentUI'sInt:Thephysicallocationof<Quidway>displaylocal-User-AS-AH-AF-Total3 net登錄系端進(jìn)行本地。此時可以通過net方式從用戶終端登錄到交換機(jī),實現(xiàn)對網(wǎng)絡(luò)換機(jī)的,極大地方便了用戶的操作。

IP地址,用戶可以通過net方式從用戶終端登錄設(shè)備,對設(shè)在配置用戶通過net登錄設(shè)備之前,必須通過Console口登錄設(shè)備,更改設(shè)備的缺省 1l用戶優(yōu)先ll(可選)VTYl可選)VTYACLl23VTY用戶界面的其他屬性在設(shè)備上都有缺省值,用戶一般不需要另外配置。但是可以根據(jù)用戶使用需求,配置相關(guān)屬性。具體配置請參見配置VTY用戶界面。

令級別對應(yīng)關(guān)系如表6-2所示。00 外部設(shè)備令( net客戶端)等。10、級并不是所有display命令都是級,比如管理配置文件中的displaycurrent-configuration命令和displaysaved-configuration命令是3級管理級。各命令的級別請參見201、3012、括文件系統(tǒng)、FTP、TFTP、配置文件切換命debugging命令等。說明l用戶的級別與命令級別對應(yīng),不同級別的用戶登錄后,只能使用等于或低于自己級別令,從而保證了設(shè)備的安全性。l如果用戶界面下配置 –驗證setauthenticationpasswordcipherpassword],設(shè)置password驗AAA

net服務(wù)功能是開啟的。

說明l執(zhí)行命令 net[ipv6]serverenable關(guān) net登錄的用 l關(guān)閉 net服務(wù)功能后,將不能通過 net登錄到系當(dāng)通過Console口登錄設(shè)備完成相關(guān)配置后,用戶可以使用 net協(xié)議從終端登錄到遠(yuǎn)

處以Windows命令行提示符為例進(jìn)行配置。步驟1進(jìn)入Windows令行提示符步驟2執(zhí)行Windows命令netip-address,通 圖6-4Windows令行提示按Enter鍵,出現(xiàn)用戶視圖令行提示符,如< net服務(wù)器。如果設(shè)備配置了認(rèn)證方式或AAA認(rèn)證方式,設(shè)備將要求用戶輸入登錄的用戶名和,正確輸入用戶名和并按Enter鍵后,將出現(xiàn)用戶視圖令行提示符,如圖6-5所示。

缺省情況下,net服務(wù)器端端是23,此時登錄交換機(jī)可以不指定端。但如果使用標(biāo)準(zhǔn)的端,可能會有者不斷此端口,導(dǎo)致帶寬和服務(wù)器性能的下降,造成其他正常用戶無法。所以可以重新配置net服務(wù)器的端, 開 開

用戶通過net登錄系統(tǒng)配置成功后,可以查看到當(dāng)前用戶界面連接情況、每個用戶界面連接情況、以及當(dāng)前建立的所有TCP連接情況等內(nèi)容。

<Quidway>displayUser- Network34VTY Username:+35VTY Username:<Quidway>displaytcpLocalForeign36059730<Quidway>netserverNETIPV4NETIPV6serverNETserverSnet協(xié)議實現(xiàn)在不安全網(wǎng)絡(luò)上提供安全的??蛻舳撕头?wù)器之間經(jīng)過協(xié)商,建立安全連接,用戶可以像操作net一樣登錄交換機(jī)?;?。與net相比,SSH提供了在一個傳統(tǒng)不安全的網(wǎng)絡(luò)環(huán)境中,服務(wù)器通過對客戶端在配置用戶通過Snet登錄系統(tǒng)之前,必須通過Console口登錄設(shè)備,更改設(shè)備的缺 使能Snet服務(wù)器功能,以便用戶能夠通過Snet方式登錄設(shè)備。12RSADSA3(可選)SSH服務(wù)器名稱、SSH服務(wù)器當(dāng)前的端 、Snet客戶端到SSH服務(wù)器端的首選加密算法、SSH服務(wù)器端到S 法、Snet客戶端到SSH服務(wù)器端的首選HMAC算法、SSH服務(wù)器端到Snet客戶端的首選HMAC算法、首選密鑰交換算法缺省情況下,VTY用戶界面的用戶級別是0,為了實現(xiàn)通過S net方式登錄設(shè)備

VTY用戶界面的其他屬性在設(shè)備上都有缺省值,用戶一般不需要另外配置。但是可以根據(jù)用戶使用需求,配置相關(guān)屬性。具體配置請參見配置VTY用戶界面。

令級別對應(yīng)關(guān)系如表6-3所示。00 外部設(shè)備令( net客戶端)等。10、級并不是所有display命令都是級,比如管理配置文件中的displaycurrent-configuration命令和displaysaved-configuration命令是3級管理級。各命令的級別請參見201、3012、括文件系統(tǒng)、FTP、TFTP、配置文件切換命debugging命令等。說明l用戶的級別與命令級別對應(yīng),不同級別的用戶登錄后,只能使用等于或低于自己級別令,從而保證了設(shè)備的安全性。l如果用戶界面下配置 AAASSH協(xié)議,則用戶不能通過Snet方式登錄設(shè)備。說明通過S 設(shè)置用戶驗證方式以及指定SSH用戶的服務(wù)方式。 式。password認(rèn)證依靠AAA實現(xiàn),當(dāng)用戶使用password、password-rsa或l產(chǎn)生RSADSA密鑰對是成功完SSH登錄的首要操作。如SSH用戶使password認(rèn)證,則需要SSH服務(wù)器端生RSADSA密鑰。如SSHRSADSASSH中一種用于用戶認(rèn)證的算法。但不同的是,相比RSA,DSA密鑰算法應(yīng)用更廣范,部分SSH工具僅支持DSA算法。當(dāng)采用RSADSAVTY界面的優(yōu)先級決定。說明lpassword-rsapassword認(rèn)證RSA認(rèn)證lpassword-dsapassword認(rèn)證DSA認(rèn)證lall認(rèn)證是password認(rèn)證、RSADSA認(rèn)證方式滿足其中一種即可3RSADSAlrsalocal-key-paircreate,產(chǎn)生本地RSA說明l在進(jìn)行其SSHrsalocal-key-paircreate配置,生成本地密鑰對。服務(wù)器密鑰對和主鑰對的最小長度均為512位,最大長度均為2048位。ldisplayrsalocal-key-pairpublic命令查看本地密鑰對中的公鑰部ldsalocal-key-paircreateDSA說明務(wù)器密鑰對和主鑰對的長度可為512、1024、2048。缺省情況下,密鑰對的長度為ldisplaydsalocal-key-pairpublic命令查看本地密鑰對中的公鑰部4sshuseruser-nameauthentication-typepassword|rsa|password-rsa|alldsa|password-dsa}SSH用戶的認(rèn)證方式。l配置對SSH用戶進(jìn)行Password認(rèn)置;如果用戶數(shù)量比較多,對SSH用戶使用缺省認(rèn)證方式可以簡化配置。l配置對SSH用戶進(jìn)行RSADSA認(rèn)說明l HHlRSA公鑰傳送到服務(wù)器端。請采用拷貝粘貼方式將RSA公鑰配置到作為SSH服務(wù)器的設(shè)備上。說明l如果未輸入合法的密鑰hex-datapeer-public-keyend后,將無法生成keyend時,系統(tǒng)會提示:密鑰已經(jīng)不存在,此時直接退到系統(tǒng)視圖。sshuseruser-nameassignrsa-key|dsa-keykey-nameSSH用缺省情況下,SSH連接認(rèn)證超時時間為60秒。缺省情況下,SSH連接的驗證重試次數(shù)為3。步驟7執(zhí)行命令sshuserusernameservice-type{snet|all},配置SSH用戶的服務(wù)方式 netall 缺省情況下,Snet服務(wù)器功能未使能。用戶終端通過S 過Console口登錄設(shè)備,開啟設(shè)備的Snet服務(wù)器功能。

以Snet方式與設(shè)備建立連接。步驟2執(zhí)行命令s netserverenable,使能S net服務(wù)器功能。缺省情況下,Snet服務(wù)器功能未使能。

說明步驟1進(jìn)入Windows令行提示符

SSHSSHSSH1.X(SSH2.0之前的版本)SSH2.0版本。SSH2.0協(xié)議相比SSH1.X協(xié)議來說,在結(jié)構(gòu)上做了擴(kuò)展,可以支持的認(rèn)持大于等于1.3且小于等于2.0之間的SSH協(xié)議版本。端缺省情況下,SSH服務(wù)器端 端的更改,有效防止了者對SSH服務(wù)標(biāo)準(zhǔn)端口的,1.99)undosshservercompatible-ssh1xSSH服有Snet和SFTP連接,然后使用新的端開始。缺省情況下,SSH服務(wù)器端端是22。

<Quidway>displaysshuser-informationUser:Authentication-:User-public-key-:User-public-key-:Sftp-:Service-:Authorization-:<Quidway>displaysshserverSSH SSHconnectiontimeout SSHserverkeygeneratinginterval:0hoursSSHauthenticationretries :3timesSFTP Snet Scp :<Quidway>displaysshserversessionSession1: :VTY : : : :CTOS :aes128-STOC :aes128-CTOS :hmac-STOC :hmac- :diffie-man-group-exchange-ServiceType :snetAuthenticationType:password

持eb啟TTP為Web服務(wù),允過TTP用eb是TTP協(xié)對Web務(wù)器的進(jìn)行證,也能證數(shù)據(jù)傳的私密,無法供TTSHTTP和SLSL對客戶端和服務(wù)進(jìn)行驗,對傳的數(shù)據(jù)行密,從而現(xiàn)了對備的安管理。如圖6-7所示,在作為HTTP服務(wù)器的設(shè)備上部署SSL策略,加載數(shù)字并使能安全HTTP服務(wù)器功能后,用戶可通過HTTPS登錄服務(wù)器,利用Web頁面安全管理設(shè)HTTP-

12使用HTTPS實現(xiàn)文件的安全操作前,HTTPS服務(wù)器需要從 頒發(fā)中心CA( 說明CA是負(fù)責(zé)和管理數(shù)字的機(jī)構(gòu)。當(dāng)前HTTPS服務(wù)器上加載的數(shù)字可以由第工具生成,比如OpenSSL。OpenSSL可以看作一個CA,生成的具體步驟請參見相關(guān)軟件的數(shù)字包括申請者的名稱及相關(guān)信息、申請者的公鑰、簽發(fā)的CA的數(shù)字簽名及的有效期等內(nèi)容。發(fā)送數(shù)字時,可同步發(fā)布鏈。這時,接收者擁有證 格式分為PEM格式、ASN1格式和PFX格式。雖然的格式不相同,但是 PEM格式的是最常用的一種數(shù)字 PFX是通用的數(shù)字格式之一,文件的擴(kuò)展名是.pfx。PFX類型的 3l執(zhí)行命令 loadpem-certcert-filenamekey-pair{dsa|rsa}key-filekey-filenameauth-codeauth-code,加載PEM格式的。l執(zhí)行命令 loadasn1-certcert-filenamekey-pair{dsa|rsa}key-filekey-filename,加載ASN1格式的。l執(zhí)行命 loadpfx-certcert-filenamekey-pair{dsa|rsa}{macmac-codel執(zhí)行命令 loadpem-chaincert-filenamekey-pair{dsa|rsa}key-filekey-filenameauth-codeauth-code,加載PEM格式的鏈。說明一個SSL策略只能加載一個 使用Web功能時,必須加載Web網(wǎng)頁文件。說明3httpsecure-serverenableHTTP服務(wù)器功能。缺省情況下,未使能安全HTTP服務(wù)功能。缺省情況下,安全HTTP服務(wù)器端端是443,此時用戶通過WEB功能 控制設(shè)備可以不指定端。但如果使用缺省的端,可能會有者不斷說明說明示登錄框,如圖6-8所示。請正確輸入HTTP用戶名、和,單擊登錄或直接按回車鍵Web網(wǎng)用戶通過安全Web ,及HTTPS服務(wù)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論