登录方式介绍
用户对设备的管理方式有命令行方式(即CLI方式)和Web网管方式两种。
- 命令行方式
通过Console口(也称串口)、Telnet或STelnet方式登录设备的命令行界面后,使用设备提供的命令行对设备进行管理和配置。此种方式需要配置相应登录方式的用户界面。 - Web网管方式
设备通过内置的Web服务器提供图形化的操作界面,以方便用户直观方便地管理和维护设备。此方式仅可实现对设备部分功能的管理与维护,如果需要对设备进行较复杂或精细的管理,仍然需要使用命令行方式。
Web网管方式的详细介绍,请参见登录设备Web网管界面。
用户可以通过表1所示方式登录设备命令行界面,对设备进行配置和管理。
表1 用户登录方式(设备命令行界面)
| 登录设备方式 | 优点 | 缺点 | 应用场景 | 说明 |
|---|---|---|---|---|
| 通过Console口登录 | 使用专门的Console通信线缆(也称串口线)连接,保证可以对设备有效控制。 | 不能远程登录维护设备。 | • 当对设备进行第一次配置时,可以通过Console口登录设备进行配置。 • 当用户无法进行远程登录设备时,可通过Console口进行本地登录。 | 通过Console口进行本地登录是登录设备最基本的方式,也是其他登录方式的基础。 缺省情况下,用户可以直接通过Console口本地登录设备,用户级别是15。 |
| 通过Telnet登录 | • 便于对设备进行远程管理和维护。 • 不需要为每一台设备都连接一个终端,方便用户的操作。 | 传输过程采用TCP协议进行明文传输,存在安全隐患。 | 终端连接到网络上,使用Telnet方式登录设备,进行远程的配置。应用在对安全性要求不高的网络。 | 缺省情况下,用户不能通过Telnet方式直接登录设备。如果需要通过Telnet方式登录设备,可以先通过Console口本地登录设备。 |
| 通过STelnet登录 | SSH(Secure Shell)协议实现在不安全网络上提供安全的远程登录,保证了数据的完整性和可靠性,保证了数据的安全传输。 | 配置较复杂。 | 如果网络对于安全性要求较高,可以通过STelnet方式登录设备。STelnet基于SSH协议,提供安全的信息保障和强大认证功能,保护设备不受IP欺骗等攻击。 | 缺省情况下,用户不能通过STelnet方式直接登录设备。如果需要通过STelnet方式登录设备,可以先通过Console口本地登录或Telnet远程登录设备。 |
用户界面介绍
当用户登录设备命令行界面时,系统会分配一个用户界面用来管理、监控设备和用户间的当前会话。每个用户界面有对应的用户界面视图(User-interface view),在用户界面视图下网络管理员可以配置一系列参数,比如认证模式、用户级别等,当用户使用该用户界面登录的时候,将受到这些参数的约束,从而达到统一管理各种用户会话连接的目的。
设备支持两种类型的用户界面进行配置:
- Console用户界面:用来管理和监控通过Console口登录的用户。设备提供Console口,端口类型为EIA/TIA-232 DCE。用户终端的串行口可以与设备Console口直接连接,实现对设备的本地访问。
- 虚拟类型终端VTY(Virtual Type Terminal)用户界面:用来管理和监控通过VTY方式登录的用户。用户通过终端与设备建立Telnet或STelnet连接后,即建立了一条VTY通道。目前每台设备最多支持15个VTY用户同时访问。
|
说明 - LTT用户界面:集群场景下,从非主交换机Console口登录设备的用户界面类型,不支持配置。 - WEB用户界面:通过Web网管方式登录设备的用户界面类型,不支持配置。 |
用户与用户界面的关系
点击展开
用户界面与用户并没有固定的对应关系。用户界面的管理和监控对象是使用某种方式登录的用户,虽然单个用户界面某一时刻只有一个用户使用,但它并不针对某个用户。
用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户界面,整个登录过程将受该用户界面视图下配置的约束。比如用户A使用Console口登录设备时,将受到Console用户界面视图下配置的约束,当使用VTY 1登录设备时,将受到VTY 1用户界面视图下配置的约束。同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时间不同,分配的用户界面可能不同。
| 说明 - 当配置VTY用户界面最大个数为0时,任何用户(Telnet、SSH用户)都无法通过VTY登录到设备,Web用户也无法通过Web网管登录设备。 - 当配置的VTY类型用户界面的最大个数小于当前在线用户的数量,系统会将目前未通过认证且占用VTY通道时间超过15秒的用户下线,新用户此时可以通过VTY登录到设备。 - 当配置的VTY类型用户界面的最大个数大于当前最多可以登录用户的数量,就必须为新增加的用户界面配置验证方式。 - 使用VTY通道登录设备时,为防止VTY连接数量超限导致用户无法接入,用户可执行如下操作查看并配置允许通过VTY通道登录的用户数。 1. 执行命令display user-interface maximum-vty查看设备允许通过VTY连接登录设备的最大用户数。 2. 执行命令display user-interface查看用户界面信息。其中,“+”表示被占用的通道。如果通道被占满,会导致后续用户无法登录,如果已登录用户登出后,可能会因为通道被其他用户占用而无法再次登录成功。此时,执行命令user-interface maximum-vty number设置允许登录的最大用户数目。 - 如果某VTY用户界面两次出现设备长时间不响应的情况,该VTY用户界面将被锁定,用户可以通过其他VTY用户界面登录,设备重启后可恢复。 |
用户界面的编号
点击展开
用户界面的编号包括以下两种方式:
- 相对编号
相对编号方式的形式是:用户界面类型+编号。
此种编号方式只能唯一指定某种类型的用户界面中的一个或一组。相对编号方式遵守的规则如下: - Console用户界面的编号:CON 0。堆叠场景下,从非主交换机串口登录时,显示LTT 0。
- VTY用户界面的编号:第一个为VTY 0,第二个为VTY 1,依此类推。
- 绝对编号
使用绝对编号方式,可以唯一的指定一个用户界面或一组用户界面。使用命令display user-interface可查看到设备当前支持的用户界面以及它们的绝对编号。
对于一台设备,Console口用户界面只有一个,但VTY类型的用户界面有20个,可以在系统视图下使用user-interface maximum-vty命令设置最大用户界面个数,其缺省值为5。VTY 16~VTY 20一直存在于系统中,不受user-interface maximum-vty命令的控制。
缺省情况下,Console、VTY用户界面在系统中的绝对编号,如表1所示。
| 用户界面 | 说明 | 绝对编号 | 相对编号 |
|---|---|---|---|
| Console用户界面 | 用来管理和监控通过Console口登录的用户。 | 0 | 0 |
| VTY用户界面 | 用来管理和监控通过Telnet或STelnet方式登录的用户。 | 34~48,50~54。 其中49保留,50~54为网管预留编号。 | 第一个为VTY 0,第二个为VTY 1,依此类推。缺省存在VTY 0~4通道。 - 绝对编号34~48对应相对编号VTY 0~VTY 14 - 绝对编号50~54对应相对编号VTY 16~VTY 20 其中VTY 15保留,VTY 16~VTY 20为网管预留编号。 只有当VTY0~VTY14全部被占用,且用户配置了AAA认证的情况下才可以使用VTY16~VTY20。 |
Console口本地登录设备是一种权限很高的管理设备方式,当用户无法进行远程登录设备时,可通过电脑直连Console口进行本地登录。
通过Console口登录设备的常用功能配置
缺省情况下,用户可以直接通过首次登录的用户名和修改后的密码登录设备,而无需做额外配置。如果需要增加新的Console用户或修改用户信息,配置步骤如下:
- 配置Console用户界面的认证方式。
- 配置Console用户的认证信息及用户级别。
操作步骤
1.配置Console用户界面的认证方式。
配置Console用户界面的认证方式为AAA:
选择AAA认证,需要配置AAA用户的认证信息、接入类型和用户级别。<HUAWEI> system-view [HUAWEI] user-interface console 0 //进入Console用户界面 [HUAWEI-console0] authentication-mode aaa //配置认证方式为AAA [HUAWEI-console0] quit配置Console用户界面的认证方式为Password:
选择password认证,直接配置VTY用户界面的级别和登录密码。<HUAWEI> system-view [HUAWEI] user-interface console 0 //进入Console用户界面 [HUAWEI-console0] authentication-mode password //配置Console用户界面的认证方式为Password- 实际场景中建议使用AAA认证。
- 如果用户通过Console口登录设备再进行Console用户界面配置,所配置的属性需退出当前登录,再次通过Console口登录才会生效。
为充分保证设备安全,请定期修改密码。
2.配置Console用户的认证信息及用户级别。
配置Console用户的认证方式为AAA:
选择AAA认证,需要配置AAA用户的认证信息、接入类型和用户级别。[HUAWEI] aaa [HUAWEI-aaa] local-user admin123 password irreversible-cipher abcd@123 //创建本地用户admin123,登录密码为abcd@123 [HUAWEI-aaa] local-user admin123 privilege level 15 //配置本地用户admin123的级别为15 Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y [HUAWEI-aaa] local-user admin123 service-type terminal //配置本地用户admin123的接入类型为终端用户,即Console用户配置Console用户的认证方式为Password:
选择password认证,直接配置VTY用户界面的级别和登录密码。[HUAWEI-console0] set authentication password cipher abcd@123 //配置登录密码为abcd@123。缺省情况下,Console口用户界面下用户的级别是15。3.通过Console口连接设备,输入Enter键后,在登录窗口输入AAA验证方式配置的登录用户名和密码,实现Console口登录设备。(本举例配置的用户名为admin123,密码为abcd@123)
Login authentication Username:admin123 Password: <HUAWEI>检查配置结果
- 执行display users [ all ]命令,查看用户界面的用户登录信息。
- 执行display user-interface console 0命令,查看用户界面信息。
- 执行display local-user命令,查看本地用户的属性信息。
- 执行display access-user命令,查看在线连接的用户信息。
命令行功能说明
详细的命令行功能说明请参见《命令参考》手册。
表1 常见功能命令
功能 配置命令 说明 Console用户界面的认证方式 authentication-mode { aaa ¦ password } 缺省为Password认证。
如果选择aaa,需要配置AAA本地用户相关信息,包括:
•local-user user-name { password { cipher ¦ irreversible-cipher } password,创建本地用户,并配置本地用户的密码。
•local-user user-name { privilege level level },配置本地用户的级别。
•local-user user-name service-type { http ¦ ssh ¦ telnet ¦ terminal } *,配置本地用户的接入类型。配置Console用户界面的登录密码 set authentication password [ cipher password ] 如果认证方式选择password,则需要使用该命令设置认证密码。 配置Console用户界面的用户级别 user privilege level level 缺省为15。
该命令设置的级别对AAA用户无效,AAA用户由AAA配置信息中本地用户的级别决定。表2 其他功能命令
功能 配置命令 说明 关闭Console口登录功能 console0 disable Console口登录功能缺省开启。 Console用户界面的流控方式 flow-control { hardware ¦ none ¦ software } 缺省为none,即不进行流控。 Console用户界面的数据位 databits { 5 ¦ 6 ¦ 7 ¦ 8 } 缺省为8位。 Console用户界面的校验位 parity { even ¦ mark ¦ none ¦ odd ¦ space } 缺省为none,即不进行校验。 Console用户界面的停止位 stopbits { 1 ¦ 1.5 ¦ 2 } 缺省为1位。 Console用户界面的传输速率 speed speed-value 缺省为9600bit/s。 Console用户界面的登录连接超时时间 idle-timeout minutes [ seconds ] 缺省为10分钟。 Console用户界面的终端屏显的行数 screen-length screen-length 缺省为24行。 Console用户界面的终端屏显的列数 screen-width screen-width 缺省为80列。 Console用户界面的历史命令缓冲区的大小 history-command max-size size-value 缺省为10条。 使用Telnet方式,管理员可以简单方便地远程管理交换机。配置通过Telnet登录设备前,需要确保终端PC和设备之间路由可达。须知
使用Telnet协议存在安全风险,建议使用STelnet V2登录设备。Telnet协议存在安全风险,推荐使用STelnet登录设备。登录设备前,需要确保终端PC和设备之间路由可达。须知
使用STelnet V1协议存在安全风险,建议使用STelnet V2登录设备。1、创建本地密钥对
[Core-SW]rsa local-key-pair create //产生RSA本地密钥对 The key name will be: Core-SW_Host The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, it will take a few minutes. Input the bits in the modulus[default = 2048]: Generating keys… …+++++ …++ …++++ …++2、检查是否存在SSH user(可跳过),系统提示没有SSH user 存在
[Core-SW]dis ssh user-information Info: No SSH user exists. [Core-SW]display rsa local-key-pair public3、创建SSH user
[Core-SW]ssh user test //可以直接敲第二行命令 [Core-SW]ssh user test authentication-type password //认证模式为密码认证 [Core-SW]ssh user test service-type stelnet //服务类型为stelnet,即SSH4、创建用户
[Core-SW]aaa [Core-SW-aaa]local-user test password cipher xxx //(xxx处为你想要设置的密码) Info: Add a new user. [Core-SW-aaa]local-user test privilege level 3 //用户level最高到15 [Core-SW-aaa]local-user test service-type ? 8021x 802.1x user bind Bind authentication user ftp FTP user http Http user ppp PPP user ssh SSH user telnet Telnet user terminal Terminal user web Web authentication user x25-pad X25-pad user [Core-SW-aaa]local-user test service-type ssh //开启该用户允许使用SSH访问设备的权限5、启用SSH(stelnet)服务
[Core-SW]stelnet server enable Info: Succeeded in starting the Stelnet server.6、配置vty界面支持的登录协议
[Core-SW]user-interface vty 0 4 [Core-SW-ui-vty0-4]authentication-mode aaa [Core-SW-ui-vty0-4]protocol inbound ssh评论 (1)0:00- 实际场景中建议使用AAA认证。
3