-
举例:配置通过Option参数方式实现ZTP
组网图形 图1 配置Option参数实现ZTP组网图 表1 设备及待加载的文件信息 新加入的设备 设备序列号 需要加载的文件 DeviceA 2102311LDL0000000806 系统软件:software_file.cc 配置文件:conf_file.cfg DeviceB 2102311LDL0000000918 系统软件:software_file.cc 配置文件:conf_file.cfg ^^^ 组网需求 配置思路 操作步骤 检查配置结果 配置脚本 组网需求 如图1所示,某网络中新增两台空配置设备DeviceA和DeviceB,连接到现网设备DeviceC上。DeviceC作为DeviceA和DeviceB的出口网关。DeviceC与DHCP服务器、文件服务器之间路由可达。 用户希望空配置的DeviceA和DeviceB在上电启动后能够自动加载相应的系统软件和配置文件,完成开局部署,以降低现场配置的人力、时间成本。 DeviceA和DeviceB的设备信息及待加载的文件信息如表1所示。 本例中interface1,interface2,interface3分别代表10GE1/0/1,10GE1/0/2,10GE1/0/3。 配置思路 采用如下的思路配置Option参数实现ZTP: 配置DHCP服务器。 配置DHCP中继器。 配置文件服务器。 将DeviceA、DeviceB上电,启动ZTP流程。 操作步骤 编辑masterkey.ini文件。 新建.txt文档,修改文件名masterkey.ini。这里以保存配置文件方式为例,密码为YsHsjx_202206,编辑文件字段如下: [BEGIN] EXPORTCFG=YsHsjx_202206 [END] 配置DHCP服务器。# 配置DHCP服务器分配给客户端的IP地址池,并参照表2配置DHCP服务器Option选项的值。本举例以华为设备为例配置DHCP服务器。 表2 DHCP服务器Option选项取值 Option编号 含义 取值 Option 1 IP地址的子网掩码 255.255.255.0 Option 3 DHCP客户端的出口网关 10.1.1.1 Option 67 文件服务器地址及开局配置文件名 sftp://sftp_user:Hyx_Hy1234@10.1.3.2/conf_file.cf……
SE_YT 2024-12-30
10 0 0 -
举例:配置通过中间文件方式实现ZTP
组网图形 图1 配置DHCP方式的ZTP组网图 表1 设备及待加载的文件信息 新加入的设备 设备序列号 需要加载的文件 DeviceA 2102311LDL0000000806 系统软件:software_file.cc 配置文件:conf_file.cfg DeviceB 2102311LDL0000000918 系统软件:software_file1.cc 配置文件:conf_file1.cfg ^^^ 组网需求 配置思路 操作步骤 检查配置结果 配置脚本 组网需求 如图1所示,某网络中新增两台空配置设备DeviceA和DeviceB,连接到现网设备DeviceC上。DeviceC作为DeviceA和DeviceB的出口网关。DeviceC与DHCP服务器、文件服务器之间路由可达。 用户希望空配置的DeviceA和DeviceB在上电启动后能够自动加载相应的系统软件和配置文件,完成开局部署,以降低现场配置的人力、时间成本。 DeviceA和DeviceB的设备信息及待加载的文件信息如表1所示。 本例中interface1,interface2,interface3分别代表10GE1/0/1,10GE1/0/2,10GE1/0/3。 配置思路 采用如下的思路配置DHCP方式的ZTP开局: 编辑中间文件。 配置DHCP服务器。 配置DHCP中继器。 配置文件服务器。 将DeviceA、DeviceB上电,启动ZTP流程。 操作步骤 编辑中间文件。中间文件脚本具体参数配置请参见ini格式的中间文件与 Python格式的中间文件。这里以ini格式中间文件为例。#参照表2编辑ini格式中间文件,文件名称为ztp_script.ini,内容请参见配置脚本。 表2 ini格式中间文件字段取值 字段 含义 取值 FILESERVER 表示开局文件服务器的地址。 选择sftp服务器获取开局文件,取值为:sftp://sftp_user:Hyx_Hy1234@10.1.3.2 TIME_SN 表示唯一标识此次开局动作。 20200526120159 DEVICE_TYPE_NUM 表示设备类型数量。 2 ESN 表示设备序列号。 DeviceA和DeviceB的取值分别为: 2102311LDL0000000806 21023……
4 0 0 -
举例:配置通过注册中心方式实现ZTP
组网图形 图1 配置注册中心方式的ZTP组网图 组网需求 配置思路 操作步骤 检查配置结果 配置脚本 组网需求 如图1所示,某网络中新增两台空配置设备DeviceA和DeviceB,连接到现网设备DeviceC上。DeviceC作为DeviceA和DeviceB的出口网关。DeviceC与DHCP服务器、DNS服务器、注册中心、控制器之间路由可达。 用户希望空配置的DeviceA和DeviceB在上电启动后能够自动加载相应的系统软件和配置文件,完成开局部署,以降低现场配置的人力、时间成本。 本例中interface1,interface2,interface3分别代表10GE1/0/1,10GE1/0/2,10GE1/0/3。 配置思路 采用如下的思路配置注册中心开局: 在控制器添加待开局设备DeviceA、DeviceB,并确保待开局设备已经添加到站点且已录入ESN号,将设备信息同步至注册中心。 配置DHCP服务器。 配置DHCP中继器。 将DeviceA、DeviceB上电,启动ZTP流程。 操作步骤 在控制器添加待开局设备DeviceA、DeviceB,并确保待开局设备已经添加到站点且已录入ESN号,将设备信息同步至注册中心。具体操作步骤可参见iMaster NCE-Campus产品文档。 配置DHCP服务器。# 配置DHCP服务器分配给客户端的IP地址池,并参照表1配置DHCP服务器Option选项的值。本举例以华为设备为例配置DHCP服务器。 表1 DHCP服务器Option选项取值 Option编号 含义 取值 Option 1 IP地址的子网掩码 255.255.255.0 Option 3 DHCP客户端的出口网关 10.1.1.1 Option 6 DNS服务器的IP地址 10.1.2.1 <HUAWEI> system-view [HUAWEI] sysname dhcp_server [dhcp_server] dhcp enable [dhcp_server] ip pool pool1 [dhcp_server-ip-pool-pool1] gateway-list 10.1.1.1 [dhcp_server-ip-pool-pool1] network 10.1.1.0 mask 255.255.255.0 [dhcp_server-ip-pool-pool1] dns-list ……
10 0 0 -
举例:配置通过DHCP Option方式实现ZTP
组网图形 图1 配置DHCP Option方式的ZTP组网图 组网需求 配置思路 操作步骤 检查配置结果 配置脚本 组网需求 如图1所示,某网络中新增两台空配置设备DeviceA和DeviceB,连接到现网设备DeviceC上。DeviceC作为DeviceA和DeviceB的出口网关。DeviceC与DHCP服务器、控制器之间路由可达。 用户希望空配置的DeviceA和DeviceB在上电启动后能够自动加载相应的系统软件和配置文件,完成开局部署,以降低现场配置的人力、时间成本。 本例中interface1,interface2,interface3分别代表10GE1/0/1,10GE1/0/2,10GE1/0/3。 配置思路 采用如下的思路配置DHCP Option方式的ZTP开局: 在控制器添加待开局设备DeviceA、DeviceB。 配置DHCP服务器。 配置DHCP中继器。 将DeviceA、DeviceB上电,启动ZTP流程。 操作步骤 在控制器添加待开局设备DeviceA、DeviceB。具体操作步骤可参见控制器产品文档。 配置DHCP服务器。# 配置DHCP服务器分配给客户端的IP地址池,并参照表1配置DHCP服务器Option选项的值。本举例以华为设备为例配置DHCP服务器。 表1 DHCP服务器Option选项取值 Option编号 含义 取值 Option 1 IP地址的子网掩码 255.255.255.0 Option 3 DHCP客户端的出口网关 10.1.1.1 Option 148 控制器IP地址和端口号 agilemanage-domain=10.1.3.2;agilemanage-port=10020 <HUAWEI> system-view [HUAWEI] sysname dhcp_server [dhcp_server] dhcp enable [dhcp_server] ip pool pool1 [dhcp_server-ip-pool-pool1] gateway-list 10.1.1.1 [dhcp_server-ip-pool-pool1] network 10.1.1.0 mask 255.255.255.0 [dhcp_server-ip-pool-pool1] option 148 ascii agilemanage-domain=10.1.3.2;agilemanage-port=10020 [dhcp_server-ip-pool-pool1] quit [dhcp_server] vlan ba……
7 0 0 -
管理员连续登录失败多次后,设备会怎么处理?
缺省情况下,如果管理员输错3次密码登录失败后,该帐号将被锁定5分钟。可以在AAA视图下通过执行local-aaa-user wrong-password命令使能本地帐号锁定功能并配置用户的重试时间间隔、连续输入错误密码的限制次数及帐号锁定时间。
6 0 0 -
登录设备Web界面常见配置错误
故障现象 设备与客户端之间可以ping通,但是Web无法登录。 可能原因 HTTPS服务未开启。 在线Web用户已经达到上限。 Web用户的服务类型不匹配。 操作步骤 检查HTTPS服务是否开启。在系统视图下执行命令display web-manager configuration,查看是否开启HTTPS服务功能。如果HTTPS服务被关闭,用户可以在系统视图下执行命令web-manager enable,开启HTTPS服务。 检查在线Web用户是否已经达到上限。 在系统视图下,执行命令display web-manager users,查看当前在线的Web用户数。 在系统视图下,执行命令display this,查看web-manager max-user-number的配置,可以得到当前配置的最大Web用户数。 通过比对配置的Web用户数和当前在线的Web用户数,检查Web用户是否达到上限。可以通过web-manager max-user-number设置Web用户的最大个数。 检查Web用户的接入类型是否正确。在AAA视图下执行命令display this,查看Web用户的接入类型是否为HTTPS。如果配置中存在local-user user-name service-type http,则说明用户名为user-name的用户接入类型为HTTPS;如果没有该配置,请在AAA视图下执行命令local-user user-name service-type http,配置Web用户的接入类型为HTTPS。
10 0 0 -
举例:通过HTTPS登录Web界面(双因子认证)
组网图形 图1 通过HTTPS登录Web界面组网图(双因子认证) 组网需求 数据规划 配置思路 操作步骤 检查配置结果 配置脚本 组网需求 如图1所示,在RADIUS服务器上配置一个管理员帐号admin123@huawei.com,DeviceA使用双因子(用户名密码和验证码)对管理员进行认证,其中RADIUS服务器负责提供动态码或短信验证码,该帐号可以通过HTTPS登录到Device A的Web界面。 本例中Interface1和Interface2分别代表Vlanif10和Vlanif20。 数据规划 项目 数据 用户名 admin123@huawei.com 说明: 用户名必须按照“XX@域名”的格式,@后的域名需和domain命令创建的域名保持一致。 密码 YsHsjx_202206 服务类型 HTTPS 用户级别 3 配置思路 配置所有接口都可用于访问Web界面。 配置设备登录接口。 配置设备与RADIUS服务器连接的接口。 配置RADIUS服务器模板。 配置认证方案。 配置认证域,引用RADIUS服务器模板和认证方案。 配置RADIUS服务器。 使用管理员帐号和密码登录Web界面。 本举例只介绍设备中配置管理员相关的内容。 操作步骤 配置所有接口都可用于访问Web界面。 <HUAWEI> system-view [HUAWEI] sysname DeviceA [DeviceA] web-manager server-source all-interface 配置设备登录接口。 配置接口的IP地址。 [DeviceA] interface vlanif10 [DeviceA-Vlanif10] ip address 10.3.0.1 255.255.255.0 [DeviceA-Vlanif10] quit 开启Web服务功能。 开启HTTPS服务。 [DeviceA] web-manager enable port 8443 配置HTTP协议强制跳转为HTTPS协议。 [DeviceA] web-manager http forward enable 配置设备与RADIUS服务器连接的接口。 配置接口的IP地址。 [DeviceA] interface vlanif20 [DeviceA-Vlanif20] ip address 255.255.255.0……
8 0 0 -
举例:通过HTTPS登录Web界面(指定证书)
组网图形 图1 通过HTTPS(指定证书)登录Web界面组网图 组网需求 数据规划 配置思路 操作步骤 检查配置结果 配置脚本 组网需求 如图1所示,为DeviceA配置一个本地帐号admin123,允许该帐号可以通过HTTPS登录到Web界面。 本例中interface1代表Vlanif10。 数据规划 项目 数据 用户名 admin123 密码 YsHsjx_202206 服务类型 HTTPS 用户级别 3 指定证书 cep_local.cer 配置思路 配置证书,用于用户登录认证。 配置设备登录接口。 创建本地用户帐号,用于Web登录设备。 开启设备的Web服务功能。 管理员使用本地用户帐号和密码登录Web界面。 操作步骤 配置证书。 在DeviceA生成证书请求文件,然后通过Web、磁盘、电子邮件等方式将证书申请文件发送给CA服务器申请证书。完成申请后,CA服务器会生成证书。用户可以通过HTTP、LDAP或者其他方式,从CA服务器下载CA证书和本地证书到DeviceA,并完成安装使之生效。具体的配置过程请参见《配置指南-安全配置》中的“PKI配置”。 本地证书中Subject Alternative Name字段的地址必须与设备Web界面的登录IP地址保持一致,如果通过域名访问设备Web界面,则Subject Alternative Name字段需要填写为域名。 假设安装到设备的CA证书和本地证书的名称分别为“cep_ca.cer”和“cep_local.cer”。 获取向设备颁发证书的CA服务器的CA证书并导入到管理员PC(客户端)的浏览器。 不将CA证书导入浏览器,客户端仍可通过HTTPS访问设备,此时客户端无法验证设备证书的合法性,容易受到攻击。 配置客户端通过HTTPS登录设备时,设备向客户端发送的证书。 <HUAWEI> system-view [HUAWEI] sysname DeviceA [DeviceA] web-manager security server-certificate cep_local.cer 配置所有接口都可用于访问Web界面。 [DeviceA] ……
12 0 0 -
举例:通过HTTPS登录Web界面(默认证书)
组网信息 如图1所示,为DeviceA配置一个本地帐号admin123,允许该帐号可以通过HTTPS登录到Web界面。 图1 通过HTTPS(默认证书)登录Web界面组网图 本例中interface1代表Vlanif10。 数据规划 项目 数据 用户名 admin123 密码 YsHsjx_202206 服务类型 HTTPS 用户级别 3 配置思路 配置所有接口都可用于访问Web界面。 配置设备登录接口。 创建本地用户帐号,用于Web登录设备。 开启设备的Web服务功能。 用户使用本地用户帐号和密码登录Web界面。 操作步骤 配置所有接口都可用于访问Web界面。 <HUAWEI> system-view [HUAWEI] sysname DeviceA [DeviceA] web-manager server-source all-interface 配置设备登录接口。 配置接口的IP地址。 [DeviceA] interface vlanif10 [DeviceA-Vlanif10] ip address 10.3.0.1 255.255.255.0 [DeviceA-Vlanif10] quit 创建Web用户帐号。 [DeviceA] aaa [DeviceA-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206 [DeviceA-aaa] local-user admin123 service-type http [DeviceA-aaa] local-user admin123 privilege level 3 [DeviceA-aaa] quit 开启Web服务功能。 开启HTTPS服务。 [DeviceA] web-manager enable port 8443 配置HTTP协议强制跳转为HTTPS协议。 [DeviceA] web-manager http forward enable 开启该功能后,如果使用HTTP协议访问Web界面,设备会自动使用安全性更高的HTTPS协议进入Web界面。 登录Web界面。 配置管理员PC的IP地址为10.3.0.10/24。 PC中打开网络浏览器,输入需要登录设备的IP地址“https://10.3.0.1:8443”。 在登录界面中输入管理员的用户名“admin123”和密码“YsHsjx_202206”,单击“登录”。 检查配置结果 管理员通过Web浏览器访问……
4 0 0 -
通过STelnet登录SSH Server失败
故障现象 通过STelnet方式登录SSH服务器失败。 操作步骤 通过Console口或Telnet方式登录SSH服务器。进入系统视图。 system-view 查看SSH服务器的SSH服务是否启动。 查看SSH服务器端配置信息。 display ssh server status 如果STelnet没有开启,请执行步骤b。 如果STelnet已经开启,请执行步骤3。 开启SSH服务器端的STelnet服务。 stelnet server enable 查看SSH服务器的VTY类型用户界面视图下,允许接入的协议配置是否正确。 查看VTY用户界面的所支持的协议是否为SSH或者all。 user-interface vty first-ui-number [ last-ui-number ] display this 如果否,请执行步骤b。 如果是,请执行步骤4。 配置用户界面所支持的协议为SSH。 protocol inbound { ssh | all } quit 查看SSH服务器端上是否配置了SSH用户。 查看SSH用户的配置信息。 display ssh user-information 如果不存在配置信息,请执行步骤b。 如果存在配置信息,请执行步骤5。 创建SSH用户、配置SSH用户的认证方式和SSH用户的服务方式。 ssh user user-name //创建SSH用户。 ssh user user-name authentication-type { password | rsa | password-rsa | all | dsa | password-dsa | ecc | password-ecc | password-x509v3-rsa | x509v3-rsa | sm2 | password-sm2 } 配置SSH用户的认证方式。 ssh user user-name service-type { all | stelnet } //配置SSH用户的服务方式。 查看登录SSH服务器端的用户数是否到达了上限。 查看当前的VTY通道是否全部被占用。 display users 如果VTY通道全部被占用,请执行步骤b。 如果VTY通道没有全部被占用,请执行步骤6。 查看当前VTY通道允许的最大用户数。 display user-interface maximum-vty 配置VTY通道允许的最大用户数为21个。 user-interface maximum-vty 21 ……
8 0 0
硬件天地
