H3C登录设备配置举例资料版本:6W100-20200306产品版本:Release7951P01Copyright2020新华三技术有限公司版权所有,保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有.
本文档中的信息可能变动,恕不另行通知.
i目录1简介·12配置前提13通过Console口登录设备配置举例·13.
1组网需求·13.
2配置思路·13.
3配置注意事项·13.
4配置步骤·13.
5验证配置·33.
6配置文件·34通过Telnet登录设备配置举例34.
1组网需求·34.
2配置思路·44.
3配置步骤·44.
4验证配置·54.
5配置文件·65用户登录设备认证及命令行授权和计费的典型配置举例75.
1组网需求·75.
2配置思路·75.
3配置注意事项·85.
4配置步骤·85.
4.
1iMC的配置步骤85.
4.
2设备的配置步骤125.
5验证配置·135.
6配置文件·156相关资料1611简介本文档介绍了登录设备的典型配置案例,以及如何通过命令行授权和计费对登录的用户进行控制.
2配置前提本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置.
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突.
本文档假设您已了解登录设备的特性.
3通过Console口登录设备配置举例3.
1组网需求主机通过配置电缆与设备的Console口连接.
现要求:用户通过设备的Console口登录到设备,对设备进行管理和配置,并且配置本地认证方式为AAA认证,以提高设备的安全性.
3.
2配置思路通过Console口登录设备,需要使用户终端的通信参数配置和设备Console口的缺省配置保持一致.
当通过Console口采用本地认证方式登录时,由于本地用户缺省的授权用户角色为network-operator,且本地是无服务类型的.
因此,需要设置本地用户的服务类型为terminal(通过Console口登录使用的是terminal服务类型),授权用户角色为network-admin,才能使用户下次成功登录并在登录后对设备进行管理和配置.
3.
3配置注意事项连接时请认准接口上"Console"的标识,以免误插入其它接口.
如果主机使用的是WindowsServer2003、WindowsXP操作系统,请在Windows组件中添加超级终端程序后,再按照本文介绍的方式登录设备;如果PC使用的是WindowsServer2008、WindowsVista、Windows7或者其它操作系统,请准备第三方的终端控制软件,使用方法参考软件的使用指导或联机帮助.
3.
4配置步骤(1)主机断电.
因为PC机串口不支持热插拔,请不要在PC带电的情况下,将配置电缆插入或者拔出PC机.
(2)请使用产品随机附带的配置电缆连接PC机和设备.
请先将配置口电缆的DB-9(孔)插头插入PC机的9芯(针)串口中,再将RJ-45插头端插入设备的Console口中.
2图1将设备与PC通过配置口电缆进行连接(3)将PC上电.
(4)在通过Console口搭建本地配置环境时,需要通过超级终端或PuTTY等终端仿真程序与设备建立连接.
用户可以运行这些程序来连接网络设备、Telnet或SSH站点,这些程序的详细介绍和使用方法请参见该程序的使用指导.
打开终端仿真程序后,请按如下要求设置终端参数:波特率:9600数据位:8停止位:1奇偶校验:无流量控制:无(5)设备上电,终端上显示设备自检信息,自检结束后提示用户键入回车,用户键入回车后将出现命令行提示符(如).
Linecon1isavailable.
PressENTERtogetstarted.
*Copyright(c)2004-2019NewH3CTechnologiesCo.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*%Dec917:08:07:8042014DeviceDSHELL/5/SHELL_LOGIN:-MDC=1;Consoleloggedinfromcon0.
(6)键入命令,配置设备或查看设备运行状态,需要帮助可以随时键入"".
(7)进入Console用户线视图,并进行后续配置:#进入Console用户线视图.
system-view[Sysname]lineconsole1#设置通过Console口登录设备的用户进行AAA认证.
[Sysname-line-console1]authentication-modescheme#退出到系统视图,创建本地用户admin,并进入本地用户视图.
[Sysname-line-console1]quit[Sysname]local-useradminclassmanageNewlocaluseradded.
#设置本地用户的认证口令为明文方式,口令为123.
[Sysname-luser-manage-admin]passwordsimple123#设置本地用户的服务类型为Terminal,授权用户角色为network-admin,删除默认角色.
[Sysname-luser-manage-admin]service-typeterminal[Sysname-luser-manage-admin]authorization-attributeuser-rolenetwork-adminDeviceHostRS-232Console口配置电缆3[Sysname-luser-manage-admin]undoauthorization-attributeuser-rolenetwork-operator[Sysname-luser-manage-admin]quit3.
5验证配置配置完成后,当用户再次通过Console口登录设备时,键入回车后,设备将要求用户输入登录用户名和密码,输入用户名"admin"和密码"123"并回车,登录界面中将出现命令行提示符(如).
Linecon1isavailable.
PressENTERtogetstarted.
login:adminPassword:*Copyright(c)2004-2019NewH3CTechnologiesCo.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*3.
6配置文件#lineconsole1authentication-modeschemeuser-rolenetwork-admin#local-useradminclassmanagepasswordhash$h$6$R1DZqFZrkA93GMAf$th9k1FcsjqRRy1A2reQXQkfmnTBSr/7//80W5gKuyeHYxNor/FVNl4tbBQLhaGeY5XFrVr1+WopPcC+dfaumgg==service-typeterminalauthorization-attributeuser-rolenetwork-admin#4通过Telnet登录设备配置举例4.
1组网需求如图2所示,要求仅允许使用IP地址为为192.
168.
0.
46/24和192.
168.
0.
52/24的主机以Telnet方式登录设备,且在登录时必须进行基于用户名和密码的身份验证.
这两个主机在相同的认证方式下使用两个不同的用户名登录设备时,具有两种不同的权限,分别为管理权限和可执行所有特性中读类型的命令权限.
4图2通过Telnet登录设备组网图4.
2配置思路缺省情况下,设备的Telnet服务器处于关闭状态,需要通过Console口登录后开启设备的Telnet服务功能.
可以通过ACL来限制IP地址为192.
168.
0.
58的主机不能以Telnet方式登录设备.
缺省情况下,本地用户的角色为network-operator.
因此,对于用户权限仅为允许执行所有特性中读类型的命令,需要重新创建一个具有此权限的角色.
4.
3配置步骤#通过Console口登录设备,进入系统视图,开启Telnet服务.
system-view[Sysname]telnetserverenable#设置通过VTY用户线登录设备使用AAA的认证方式.
[Sysname]linevty063[Sysname-line-vty0-63]authentication-modescheme[Sysname-line-vty0-63]quit#创建本地用户userA,授权其用户角色为network-admin,为其配置密码,删除默认角色.
[Sysname]local-useruserAclassmanageNewlocaluseradded.
[Sysname-luser-manage-userA]authorization-attributeuser-rolenetwork-admin[Sysname-luser-manage-userA]service-typetelnet[Sysname-luser-manage-userA]passwordsimple123[Sysname-luser-manage-userA]undoauthorization-attributeuser-rolenetwork-operator[Sysname-luser-manage-userA]quit#创建用户角色roleB,权限为允许执行所有特性中读类型的命令.
[Sysname]rolenameroleB[Sysname-role-roleB]rule1permitreadfeature[Sysname-role-roleB]quit#创建本地用户userB,为其配置密码,授权其用户角色为roleB,删除默认角色.
IPnetworkDeviceAdminRS-232ConsoleHostB192.
168.
0.
52/24HostA192.
168.
0.
46/24HostC192.
168.
0.
58/245[Sysname]local-useruserBclassmanageNewlocaluseradded.
[Sysname-luser-manage-userB]authorization-attributeuser-roleroleB[Sysname-luser-manage-userB]service-typetelnet[Sysname-luser-manage-userB]passwordsimple123[Sysname-luser-manage-userB]undoauthorization-attributeuser-rolenetwork-operator[Sysname-luser-manage-userB]quit#创建ACL视图,定义规则,仅允许来自192.
168.
0.
46和192.
168.
0.
52的用户访问设备.
[Sysname]aclbasic2000[Sysname-acl-ipv4-basic-2000]rule1permitsource192.
168.
0.
460[Sysname-acl-ipv4-basic-2000]rule2permitsource192.
168.
0.
520[Sysname-acl-ipv4-basic-2000]rule3denysourceany[Sysname-acl-ipv4-basic-2000]quit#引用访问控制列表2000,通过源IP对Telnet用户进行控制.
[Sysname]telnetserveracl20004.
4验证配置配置完成后,各用户的权限为:当用户使用userA作为用户名以Telnet方式登录设备时,具有对设备进行管理和配置的权限.
login:userAPassword:*Copyright(c)2004-2019NewH3CTechnologiesCo.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*Userviewcommands:archiveArchiveconfigurationarpAddressResolutionProtocol(ARP)modulebackupBackupoperationbashEnterthebashshellboot-loaderSoftwareimagefilemanagementbootromUpdate/read/backup/restorebootromcdChangecurrentdirectorycfdConnectivityFaultDetection(CFD)moduleclockSpecifythesystemclockconnecttoConnecttotargetcopyCopyafiledebuggingEnablesystemdebuggingfunctionsdeleteDeleteafilediagnosticGenericOnLineDiagnostics(GOLD)modulediagnostic-logfileDiagnosticlogfileconfigurationdirDisplayfilesanddirectoriesonthestoragemediadisplayDisplaycurrentsysteminformation6eraseAliasfor'delete'exceptionExceptioninformationconfigurationexitAliasfor'quit'fdiskPartitionastoragemediumfixdiskCheckandrepairastoragemediumformatFormatastoragemediumfreeReleaseaconnection----More----当用户使用userB作为用户名以Telnet方式登录到设备上时,则只允许执行所有特性中读类型的命令.
login:userBPassword:*Copyright(c)2004-2019NewH3CTechnologiesCo.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*Userviewcommands:dirDisplayfilesanddirectoriesonthestoragemediadisplayDisplaycurrentsysteminformationeraseAliasfor'delete'exitAliasfor'quit'md5sumComputethehashdigestofafileusingtheMD5algorithmmoreDisplaythecontentsofafilenoAliasfor'undo'pwdDisplaycurrentworkingdirectoryquitExitfromcurrentcommandviewsha256sumComputethehashdigestofafileusingtheSHA256algorithmshowAliasfor'display'system-viewEnterSystemViewwriteAliasfor'save'HostC无法通过Telnet登录设备.
4.
5配置文件#telnetserverenabletelnetserveracl2000#aclbasic2000rule1permitsource192.
168.
0.
460rule2permitsource192.
168.
0.
5207rule3deny#linevty063authentication-modeschemeuser-rolenetwork-operator#local-useruserAclassmanagepasswordhash$h$6$I2Sg4Llj1qVUWQZ3$JA6KkU3zfVVRg48MM92X6cVpdiqR2JF887PKi3GQMwnXXXcsWBuz7GIeJZeeNFMmMBaV7DPkKblnb0sGT2axvg==service-typetelnetauthorization-attributeuser-rolenetwork-admin#local-useruserBclassmanagepasswordhash$h$6$q+c3OcSxrPpDpsDf$BWkgfOyxBLyR5zyYgF/+VvN/1ofy81zoHDlFf80OjDla6/EiSJbSBl33PeazilSkWSYcttkg5v5bGecB7oYwAw==service-typetelnetauthorization-attributeuser-roleroleB#rolenameroleBrule1permitreadfeature#5用户登录设备认证及命令行授权和计费的典型配置举例5.
1组网需求某公司组网如图3所示,为了保证设备能够安全的运行,在设备使用过程中,需要对登录用户进行认证、命令行执行限制以及对用户执行过的所有命令进行记录.
图3用户登录设备认证及命令行授权和计费组网图5.
2配置思路本案例使用远程认证、授权和计费功能,需要配置HWTACACS方案(本举例使用HWTACACS服务器).
IPnetworkDeviceHWTACACSserver192.
168.
2.
20/24192.
168.
10.
1/24HostA192.
168.
2.
1/24192.
168.
3.
1/24GE3/1/1GE3/1/28如果需要HWTACACS服务器记录用户执行过的命令,可以通过创建一个可用Telnet方式登录设备的用户名,为其授权权限.
则使用该用户登录时,只能执行HWTACACS服务器授权的命令,且这些命令都会被记录.
5.
3配置注意事项执行commandauthorization命令后,命令行授权功能将立即生效,用户执行的命令只有被授权后才被允许执行.
因此,在执行此命令之前,请先在HWTACACS服务器上配置相应用户及用户可以使用的命令行,再在设备上配置命令行授权功能对应的HWTACACS方案.
5.
4配置步骤5.
4.
1iMC的配置步骤下面以iMC为例(使用iMC版本为:iMCPLAT7.
1(E0302)、iMCEIA7.
1(E0301)),说明HWTACACS服务器的基本配置.
#增加设备区域.
选择"用户"页签,单击导航树中的[设备用户策略管理/授权场景条件/设备区域管理]菜单项,进入设备区域列表页面.
单击按钮,进入增加设备区域页面.
输入区域名称system.
其它参数采用缺省值.
单击按钮,完成增加设备区域.
图4增加设备区域#增加设备.
选择"用户"页签,单击导航树中的[设备用户策略管理/设备管理]菜单项,进入设备管理页面.
单击按钮,进入增加设备页面.
