华为s5700交换机配置
基础配置
登陆设备后,直接进入用户模式,只能执行少量查看配置的命令;
视图模式
用户模式下,输入system-view进入视图模式,可执行设备全局配置的命令;
局部配置模式
视图模式下,输入局部配置命令,如interface GE 1/0/0,进入GE1/0/0端口配置模式,
此外局部配置模式有很多种,可根据不同需求进入vlan配置模式、端口聚合配置模式等,可输入?,查看当前模式下,能执行哪些命令;
输入quit返回上一层配置模式,输入commit提交已有配置,用户模式下输入save保存配置;
查看设备信息
<HUAWEI>display version
其中关键信息有:
软件版本:Version 8130 (S6800 V800R013C00SPC560B560)
设备型号:HUAWEI S6800
运行时间:0 day, 0 hour, 15 minutes
查看和修改系统时间
<HUAWEI>display clock
<HUAWEI>clock datetime 12:00:00 2018-01-01
修改设备名称
<HUAWEI>system-view
[~HUAWEI]sysname CE6800
如果没有commit,需退出一次系统视图模式后保存;
配置设备说明信息
添加登录设备说明内容,举例:Only the administrator can configure the equipment
[CE6800]header shell information "Only the administrator can configure the equipment!"
退出视图模式后可见
配置console登录认证方式及超时时间
Console登录:默认console登录无密码,任何人通过串口线直连设备console接口,可直接修改配置,管理员可配置console密码,登录不需要用户名,初次配置时使用console;
超时时间:指连接设备后,一段时间内无操作,系统自动退出,需重新登录,默认超时时间为10min;
进入console配置模式
[CE6800]user-interface console 0
Console认证方式为password
[CE6800-ui-console0]authentication-mode password
设置console密码为密文形式huawei@123
[CE6800-ui-console0]set authentication password cipher huawei@123
设置超时时间为20min
[CE6800-ui-console0]idle-timeout 20 0
使用quit返回视图模式,保存后使用display this检查配置结果,乱码是加密后的密码;
Telnet 配置
配置密文登录验证
进入vty配置模式,0 4表示允许5个并发telnet连接
[~CE6800]user-interface vty 0 4
指定认证方式为password,出现要求使用aaa认证提示信息,暂时忽略
[~CE6800-ui-vty0-4]authentication-mode password
配置telnet使用密文认证,密码Gauss_234
[CE6800-ui-vty0-4]set authentication password cipher Gauss_234
配置用户等级3,缺省为级别1
[CE6800-ui-vty0-4]user privilege level 3
退出保存后,使用display this查看配置
用户等级说明
LEVEL 0(访问级):可以执行用于网络诊断等功能的命令。包括ping、tracert、telnet等命令,执行该级别命令的结果不能被保存到配置文件中。
LEVEL 1(监控级):可以执行用于系统维护、业务故障诊断等功能的命令。包括debugging、terminal等命令,执行该级别命令的结果不能被保存到配置文件中。
LEVEL 2(系统级):可以执行用于业务配置的命令,主要包括路由等网络层次的命令,用于向用户提供网络服务。
LEVEL 3(管理级):最高级,可以运行所有命令:关系到系统的基本运行、系统支撑模块功能的命令,这些命令对业务提供支撑作用。包括文件系统、FTP、TFTP、XModem下载、用户管理命令、级别设置命令等。
注:某些型号设备用户等级有0-15级,区分更细,其中15级与LEVEL 3权限一致,配置时需依据具体情况而定。
配置aaa登录认证
aaa认证
authentication(认证)、authorization(授权)、accounting(计费)的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs(华为终端访问控制系统)服务器完成认证/授权;
进入vty配置模式
[~CE6800]user-interface vty 0 4
退出vty配置模式后,进入aaa配置模式
[CE6800]aaa
配置本地用户huawei密码为密文Gauss_234
[CE6800-aaa]local-user huawei password cipher Gauss_234
AAA信用等级是一种等级划分。代指企业的信用经过行业、机构评审达到A级的信用标准,获评企业会得到机构出具的牌匾、证书。另外,信用等级证书我国采用的是国际通行的“四等十级制”评级等级,其中AAA级是高等级,D级低。信用等级越高表明企业信用程度越高,经营状况、盈利水平越好,履约能力、偿债能力越强。有不懂得还可以继续咨询我。
AAA系统的简称: 认证(Authentication):验证用户的身份与可使用的网络服务; 授权(Authorization):依据认证结果开放网络服务给用户; 计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。 AAA-----身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting 常用的AAA协议是Radius,参见RFC 2865,RFC 2866。 另外还有 HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。HWTACACS是华为对TACACS进行了扩展的协议 HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似,主要是通过“客户端-服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。 HWTACACS与RADIUS的不同在于: l RADIUS基于UDP协议,而HWTACACS基于TCP协议。 l RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。 l RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。 认证方案与认证模式 AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。 组合认证模式是有先后顺序的。例如,authentication-mode radius local表示先使用RADIUS认证,RADIUS认证没有响应再使用本地认证。 当组合认证模式使用不认证时,不认证(none)必须放在最后。例如:authentication-mode radius local none。 认证模式在认证方案视图下配置。当新建一个认证方案时,缺省使用本地认证。 授权方案与授权模式 AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式,并允许组合使用。 组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权,HWTACACS授权没有响应再使用本地授权。 当组合授权模式使用直接授权的时候,直接授权必须在最后。例如:authorization-mode hwtacacs local none 授权模式在授权方案视图下配置。当新建一个授权方案时,缺省使用本地授权。 RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。 计费方案与计费模式 AAA支持六种计费模式:本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。 ---------------------------------------------------------------------- AAA ,认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。整个系统在网络管理与安全问题中十分有效。 首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。 接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。 最后一步是帐户,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。 验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。 目前最新的发展是Diameter协议。
0条评论