-
举例:通过HTTPS登录Web界面(双因子认证)
组网图形 图1 通过HTTPS登录Web界面组网图(双因子认证) 组网需求 数据规划 配置思路 操作步骤 检查配置结果 配置脚本 组网需求 如图1所示,在RADIUS服务器上配置一个管理员帐号admin123@huawei.com,DeviceA使用双因子(用户名密码和验证码)对管理员进行认证,其中RADIUS服务器负责提供动态码或短信验证码,该帐号可以通过HTTPS登录到Device A的Web界面。 本例中Interface1和Interface2分别代表Vlanif10和Vlanif20。 数据规划 项目 数据 用户名 admin123@huawei.com 说明: 用户名必须按照“XX@域名”的格式,@后的域名需和domain命令创建的域名保持一致。 密码 YsHsjx_202206 服务类型 HTTPS 用户级别 3 配置思路 配置所有接口都可用于访问Web界面。 配置设备登录接口。 配置设备与RADIUS服务器连接的接口。 配置RADIUS服务器模板。 配置认证方案。 配置认证域,引用RADIUS服务器模板和认证方案。 配置RADIUS服务器。 使用管理员帐号和密码登录Web界面。 本举例只介绍设备中配置管理员相关的内容。 操作步骤 配置所有接口都可用于访问Web界面。 <HUAWEI> system-view [HUAWEI] sysname DeviceA [DeviceA] web-manager server-source all-interface 配置设备登录接口。 配置接口的IP地址。 [DeviceA] interface vlanif10 [DeviceA-Vlanif10] ip address 10.3.0.1 255.255.255.0 [DeviceA-Vlanif10] quit 开启Web服务功能。 开启HTTPS服务。 [DeviceA] web-manager enable port 8443 配置HTTP协议强制跳转为HTTPS协议。 [DeviceA] web-manager http forward enable 配置设备与RADIUS服务器连接的接口。 配置接口的IP地址。 [DeviceA] interface vlanif20 [DeviceA-Vlanif20] ip address 255.255.255.0……
SE_YT 2024-12-30
8 0 0 -
举例:通过HTTPS登录Web界面(指定证书)
组网图形 图1 通过HTTPS(指定证书)登录Web界面组网图 组网需求 数据规划 配置思路 操作步骤 检查配置结果 配置脚本 组网需求 如图1所示,为DeviceA配置一个本地帐号admin123,允许该帐号可以通过HTTPS登录到Web界面。 本例中interface1代表Vlanif10。 数据规划 项目 数据 用户名 admin123 密码 YsHsjx_202206 服务类型 HTTPS 用户级别 3 指定证书 cep_local.cer 配置思路 配置证书,用于用户登录认证。 配置设备登录接口。 创建本地用户帐号,用于Web登录设备。 开启设备的Web服务功能。 管理员使用本地用户帐号和密码登录Web界面。 操作步骤 配置证书。 在DeviceA生成证书请求文件,然后通过Web、磁盘、电子邮件等方式将证书申请文件发送给CA服务器申请证书。完成申请后,CA服务器会生成证书。用户可以通过HTTP、LDAP或者其他方式,从CA服务器下载CA证书和本地证书到DeviceA,并完成安装使之生效。具体的配置过程请参见《配置指南-安全配置》中的“PKI配置”。 本地证书中Subject Alternative Name字段的地址必须与设备Web界面的登录IP地址保持一致,如果通过域名访问设备Web界面,则Subject Alternative Name字段需要填写为域名。 假设安装到设备的CA证书和本地证书的名称分别为“cep_ca.cer”和“cep_local.cer”。 获取向设备颁发证书的CA服务器的CA证书并导入到管理员PC(客户端)的浏览器。 不将CA证书导入浏览器,客户端仍可通过HTTPS访问设备,此时客户端无法验证设备证书的合法性,容易受到攻击。 配置客户端通过HTTPS登录设备时,设备向客户端发送的证书。 <HUAWEI> system-view [HUAWEI] sysname DeviceA [DeviceA] web-manager security server-certificate cep_local.cer 配置所有接口都可用于访问Web界面。 [DeviceA] ……
12 0 0 -
举例:通过HTTPS登录Web界面(默认证书)
组网信息 如图1所示,为DeviceA配置一个本地帐号admin123,允许该帐号可以通过HTTPS登录到Web界面。 图1 通过HTTPS(默认证书)登录Web界面组网图 本例中interface1代表Vlanif10。 数据规划 项目 数据 用户名 admin123 密码 YsHsjx_202206 服务类型 HTTPS 用户级别 3 配置思路 配置所有接口都可用于访问Web界面。 配置设备登录接口。 创建本地用户帐号,用于Web登录设备。 开启设备的Web服务功能。 用户使用本地用户帐号和密码登录Web界面。 操作步骤 配置所有接口都可用于访问Web界面。 <HUAWEI> system-view [HUAWEI] sysname DeviceA [DeviceA] web-manager server-source all-interface 配置设备登录接口。 配置接口的IP地址。 [DeviceA] interface vlanif10 [DeviceA-Vlanif10] ip address 10.3.0.1 255.255.255.0 [DeviceA-Vlanif10] quit 创建Web用户帐号。 [DeviceA] aaa [DeviceA-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206 [DeviceA-aaa] local-user admin123 service-type http [DeviceA-aaa] local-user admin123 privilege level 3 [DeviceA-aaa] quit 开启Web服务功能。 开启HTTPS服务。 [DeviceA] web-manager enable port 8443 配置HTTP协议强制跳转为HTTPS协议。 [DeviceA] web-manager http forward enable 开启该功能后,如果使用HTTP协议访问Web界面,设备会自动使用安全性更高的HTTPS协议进入Web界面。 登录Web界面。 配置管理员PC的IP地址为10.3.0.10/24。 PC中打开网络浏览器,输入需要登录设备的IP地址“https://10.3.0.1:8443”。 在登录界面中输入管理员的用户名“admin123”和密码“YsHsjx_202206”,单击“登录”。 检查配置结果 管理员通过Web浏览器访问……
4 0 0 -
通过STelnet登录SSH Server失败
故障现象 通过STelnet方式登录SSH服务器失败。 操作步骤 通过Console口或Telnet方式登录SSH服务器。进入系统视图。 system-view 查看SSH服务器的SSH服务是否启动。 查看SSH服务器端配置信息。 display ssh server status 如果STelnet没有开启,请执行步骤b。 如果STelnet已经开启,请执行步骤3。 开启SSH服务器端的STelnet服务。 stelnet server enable 查看SSH服务器的VTY类型用户界面视图下,允许接入的协议配置是否正确。 查看VTY用户界面的所支持的协议是否为SSH或者all。 user-interface vty first-ui-number [ last-ui-number ] display this 如果否,请执行步骤b。 如果是,请执行步骤4。 配置用户界面所支持的协议为SSH。 protocol inbound { ssh | all } quit 查看SSH服务器端上是否配置了SSH用户。 查看SSH用户的配置信息。 display ssh user-information 如果不存在配置信息,请执行步骤b。 如果存在配置信息,请执行步骤5。 创建SSH用户、配置SSH用户的认证方式和SSH用户的服务方式。 ssh user user-name //创建SSH用户。 ssh user user-name authentication-type { password | rsa | password-rsa | all | dsa | password-dsa | ecc | password-ecc | password-x509v3-rsa | x509v3-rsa | sm2 | password-sm2 } 配置SSH用户的认证方式。 ssh user user-name service-type { all | stelnet } //配置SSH用户的服务方式。 查看登录SSH服务器端的用户数是否到达了上限。 查看当前的VTY通道是否全部被占用。 display users 如果VTY通道全部被占用,请执行步骤b。 如果VTY通道没有全部被占用,请执行步骤6。 查看当前VTY通道允许的最大用户数。 display user-interface maximum-vty 配置VTY通道允许的最大用户数为21个。 user-interface maximum-vty 21 ……
8 0 0 -
通过Telnet登录Telnet Server失败
故障现象 通过Telnet方式登录Telnet服务器失败。 操作步骤 从Console口登录到设备。进入系统视图。 system-view 查看Telnet服务器的登录设备的用户数是否到达了上限。 查看当前的VTY通道是否全部被占用。 display users 如果VTY通道全部被占用,请执行步骤b。 如果VTY通道没有全部被占用,请执行步骤3。 查看当前VTY通道允许的最大用户数。 display user-interface maximum-vty 配置VTY通道允许的最大用户数为21个。 user-interface maximum-vty 21 查看Telnet服务器的VTY类型用户界面视图下,是否配置了ACL。 查看VTY用户界面是否配置了ACL限制。 user-interface vty first-ui-number [ last-ui-number ] display this quit 如果配置了ACL限制,请记录该ACL编号,请执行步骤b。 如果没有配置ACL限制,请执行步骤4。 查看该访问控制列表中是否拒绝(配置deny规则)了Telnet客户端的地址。 display acl acl-number 如果拒绝了Telnet客户端的地址,请执行步骤c。 如果没有拒绝了Telnet客户端的地址,请执行步骤4。 删除deny规则。 undo rule rule-id 修改访问控制列表允许客户端的IP地址访问。 rule permit source source-ip-address source-wildcard 查看Telnet服务器的VTY类型用户界面视图下,允许接入的协议配置是否正确。 查看VTY用户界面所支持的协议是否为Telnet或者all。 user-interface vty first-ui-number [ last-ui-number ] display this 如果否,请执行步骤b。 如果是,请执行步骤5。 配置用户界面所支持的协议为Telnet。 protocol inbound { telnet | all } quit 查看Telnet服务器的用户界面视图下,是否设置登录认证。 user-interface vty first-ui-number [ last-ui-number ] display this quit 如果使用命令authentication-mode aaa设置认证方式为aaa,……
6 0 0 -
维护设备命令行界面
清除在线用户 当用户需要将某个登录用户与设备的连接断开时,可以清除指定的在线用户。 执行命令kill user-interface { ui-number | ui-type ui-number1 },清除在线用户。 执行命令display users,查看当前设备上的用户登录信息。 锁定用户配置权限 在多用户同时登录设备进行配置时,有可能会出现配置冲突的情况。为了避免业务出现异常,可以配置权限互斥功能,保证同一时间只有一个用户可以进行配置。 方式一:基于会话锁定用户配置权限 锁定配置权限给当前操作用户。 configuration exclusive 锁定用户配置权限后,可以显式地获取独享的配置权限,其他用户无法再获取到配置权限。 此命令可用于所有视图。 可以执行命令display configuration exclusive user,查看当前锁定配置集用户的信息。 如果配置权限已经被锁定,则再次锁定会返回提示信息。 进入系统视图。 system-view (可选)设置自行解锁时间间隔。 configuration exclusive timeout timeout-value 设置锁定配置集权限用户在无配置命令下发的情况下,允许锁定的最长时间间隔,超过这个时间间隔系统就自行解锁,其他用户可以正常配置。 缺省情况下,锁定间隔为30秒。 方式二:基于用户名锁定配置 设备允许多用户接入,对设备进行管理。这些用户可以是控制器,也可以是其他类型用户。在控制器部署的场景下,如果非控制器用户登录并修改配置,可能会出现控制器部署的配置和设备上的配置不一致的情况。此时可以配置指定控制器用户锁定设备系统配置,避免设备与控制器的配置不一致。 多用户共同管理同一台设备时,可以指定用户名锁定设备,仅允许使用该用户名登录的用户对设备的配置进行修改,防止其他用户修改配置。 进入系统视图。 system-view 使用指定用户名锁定系统配置。 configuration exclusive by-user-name user-name ……
5 0 0 -
举例:配置用户通过STelnet登录设备(RADIUS服务器认证)
组网图形 图1 通过STelnet登录设备(基于RADIUS认证)组网图 组网需求 配置思路 配置注意事项 操作步骤 检查配置结果 配置脚本 组网需求 网络管理员希望通过安全的方式远程登录设备,同时对网络的安全性要求较高,希望网络不受未授权访问的干扰。可以通过配置基于RADIUS认证的STelnet满足用户的需求。 如图 通过STelnet登录设备(基于RADIUS认证)组网图所示,DeviceA为SSH服务器,与RADIUS服务器之间路由可达。RADIUS服务器的IP地址为10.1.6.6,认证端口号为1812。 本例中interface1和interface2分别代表10GE1/0/1和10GE1/0/2。 配置思路 采用如下思路配置通过STelnet登录设备(基于RADIUS认证): 配置设备接口相关参数。 在SSH服务器端生成本地密钥对,实现在服务器端和客户端进行安全地数据交互。 配置STelnet协议,实现用户可以通过STelnet登录设备。 配置ACL规则,保证只有满足该规则的用户才能登录设备。 配置RADIUS协议,实现RADIUS认证。用户通过STelnet登录设备时使用RADIUS服务器上配置的用户名和密码,从而保证用户登录的安全性。 配置RADIUS服务器。 配置注意事项 配置STelnet登录设备前,用户终端应该已安装SSH服务器登录软件。 请确保用户终端和登录的设备及RADIUS服务器之间均路由可达。 域被配置成全局默认管理域之后,管理用户的用户名中携带该域名或者不携带域名时,会使用全局默认管理域下的AAA配置信息。 请确保已在RADIUS服务器上配置了用户。本例中假设RADIUS服务器上已配置了用户admin123@huawei.com(用户名@域名),其密码为YsHsjx_202206。 如果RADIUS服务器不接受包含域名的用户名,还需要配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名。 操作步骤 配置接口的相关参数。 # 配置……
8 0 0 -
举例:配置设备作为STelnet客户端登录其他设备(password认证和RSA认证)
组网图形 图1 配置通过STelnet登录其他设备组网图 组网需求 配置思路 操作步骤 检查配置结果 配置脚本 组网需求 如图1所示,用户希望在服务器端和客户端进行安全的数据交互,配置两个登录用户为Client001和Client002,分别使用password认证方式和RSA认证方式登录SSH服务器,并且配置新的端口号,而不使用缺省端口号。 本例中interface1代表10GE1/0/1。 配置思路 采用如下的思路配置通过STelnet登录其他设备: 在SSH服务器端生成本地密钥对,实现在服务器端和客户端进行安全的数据交互。 在SSH服务器端配置SSH用户client001和client002分别使用不同的认证方式。 在SSH服务器端开启STelnet服务功能。 在SSH服务器端配置SSH用户client001和client002的服务方式为STelnet。 在SSH服务器端配置SSH服务器的端口号,有效防止攻击者对SSH服务标准端口的访问,确保安全性。 用户client001和client002分别以STelnet方式实现登录SSH服务器。 操作步骤 在服务器端生成本地密钥对。 <HUAWEI> system-view [HUAWEI] sysname SSH Server [SSH Server] rsa local-key-pair create The key name will be:Host The range of public key size is (2048, 4096). NOTE: Key pair generation will take a short while. Please input the modulus [default = 3072]: 在服务器端创建SSH用户。# 配置VTY用户界面。 [SSH Server] user-interface vty 0 4 [SSH Server-ui-vty0-4] authentication-mode aaa [SSH Server-ui-vty0-4] protocol inbound ssh [SSH Server-ui-vty0-4] quit 创建SSH用户client001。 # 新建用户名为client001的SSH用户,且认证方式为password。 [SSH Server] aaa [SSH Server-aaa] local-user client001 password Please configure the login password (8-128) I……
7 0 0 -
举例:配置设备作为STelnet客户端登录其他设备(Password认证)
组网图形 图1 配置通过STelnet登录其他设备组网图 组网需求 配置思路 操作步骤 检查配置结果 配置脚本 组网需求 如图 配置通过STelnet登录其他设备组网图所示,用户希望在服务器端和客户端进行安全的数据交互,配置登录用户为Client,使用password认证方式登录SSH服务器,并且配置新的端口号,而不使用缺省端口号。 本例中interface1代表10GE1/0/1。 配置思路 采用如下的思路配置通过STelnet登录其他设备: 在SSH服务器端配置SSH用户client的认证方式为Password认证。 在SSH服务器端开启STelnet服务功能。 在SSH服务器端配置SSH用户client服务方式为STelnet。 在SSH服务器端配置SSH服务器的端口号,有效防止攻击者对SSH服务标准端口的访问,确保安全性。 用户client以STelnet方式实现登录SSH服务器。 操作步骤 在服务器端创建SSH用户。# 配置VTY用户界面。 <HUAWEI> system-view [HUAWEI] sysname SSH Server [SSH Server] user-interface vty 0 4 [SSH Server-ui-vty0-4] authentication-mode aaa [SSH Server-ui-vty0-4] protocol inbound ssh [SSH Server-ui-vty0-4] user privilege level 3 [SSH Server-ui-vty0-4] quit # 新建用户名为client的SSH用户,且认证方式为password,密码是YsHsjx_202206。 [SSH Server] aaa [SSH Server-aaa] local-user client password Please configure the login password (8-128) It is recommended that the password consist of at least 2 types of characters, including lowercase letters, uppercase letters, numerals and special characters. Please enter password: Please confirm password: [SSH Server-aaa] local-user client priv……
8 0 0 -
举例:配置IPv4用户通过STelnet登录设备(本地认证)
组网图形 图1 配置用户通过STelnet登录设备组网图 组网需求 配置思路 数据准备 操作步骤 检查配置结果 配置脚本 组网需求 如图1所示,在作为SSH服务器的设备上开启STelnet服务器功能后,SSH客户端PC可以通过不同的认证方式登录SSH服务器,这里以RSA认证方式为例介绍客户端通过STelnet登录服务器的配置过程。 为了提升系统安全性,防止非法用户登录到SSH服务器,用户可以在SSH服务器上配置ACL规则。 配置思路 采用如下的思路配置SSH用户通过STelnet登录设备: 配置SSH服务器的管理网口IP地址。 在SSH服务器端生成本地密钥对。 配置SSH服务器的VTY用户界面。 创建本地用户,并配置用户的接入类型。 创建SSH用户,并配置认证方式。 SSH客户端根据配置的SSH用户认证类型创建相应的密钥对,并将公钥拷贝至SSH服务器。 SSH服务器端编辑公钥,并将编辑好的公钥分配给用户。 开启SSH服务器的STelnet功能,配置SSH用户的服务类型为STelnet。 在SSH服务器上配置允许STelnet客户端登录的ACL规则。 配置客户端登录软件的参数,STelnet至服务器。 数据准备 为完成此配置示例,需准备如下数据: 为了保证更好的安全性,建议使用3072位及以上的RSA密钥对。 SSH客户端已安装OpenSSH软件。 SSH服务器的管理网口IP地址为10.248.103.194/24。 本地用户的认证方式为password,用户名为“admin123”,密码为“YsHsjx_202206”。 SSH用户的认证方式为RSA。 配置基本的ACL 2000,允许10.248.103.0/24网段的客户端合法接入SSH服务器。 操作步骤 配置SSH服务器的管理网口IP地址。 <HUAWEI> system-view [HUAWEI] sysname SSH Server [SSH Server] interface meth 0/0/0 [SSH Server-MEth0/0/0] ip address 10.248.103.194 255.255.255.0 [SSH Server-MEth0/0/0] quit 在SSH服务器……
8 0 0
交换机
