-
举例:配置用户通过Telnet登录设备(RADIUS服务器认证)
组网图形 图1 基于ACL规则和RADIUS认证限制Telnet登录设备组网图 组网需求 配置思路 配置注意事项 操作步骤 检查配置结果 配置脚本 组网需求 网络管理员希望能够对设备进行远程管理与维护,同时对网络的安全性要求较高,希望网络不受未授权访问的干扰。可以通过配置基于ACL规则以及RADIUS认证的Telnet登录方式满足用户的需求。 如图 基于ACL规则和RADIUS认证限制Telnet登录设备组网图所示,DeviceA为Telnet服务器,网络管理员和DeviceA之间、DeviceA与RADIUS服务器之间路由可达。RADIUS服务器的IP地址为10.1.6.6/24,认证端口号为1812。 本例中interface1和interface2分别代表10GE1/0/1和10GE1/0/2。 配置思路 采用如下的思路进行配置(基于ACL规则和RADIUS认证): 配置设备接口相关参数。 配置Telnet协议,实现用户可以通过Telnet登录设备。 配置ACL规则,保证只有满足该规则的用户才能登录设备。 配置RADIUS协议,实现RADIUS认证。用户通过Telnet登录设备时使用RADIUS服务器上配置的用户名和密码,从而保证用户登录的安全性。 配置RADIUS服务器。 配置注意事项 当网络所处环境不安全时,我们建议选择安全的密码认证方式/加密认证算法/协议。安全的举例请参见:举例:配置用户通过STelnet登录设备(RADIUS服务器认证)。 配置前请确保各设备之间路由可达。 请确保设备上配置的RADIUS服务器的地址、端口号和共享密钥配置正确,并且和RADIUS服务器上的配置保持一致。 域被配置成全局默认管理域之后,管理用户的用户名中携带该域名或者不携带域名时,会使用全局默认管理域下的AAA配置信息。 请确保已在RADIUS服务器上配置了用户。本例中假设RADIUS服务器上已配置了用户admin123@huawei.com(用户名@域名),其密码为YsHsjx_202206。 如果RADIUS服务器不接受包含域名的用户名,……
SE_YT 2024-12-30
10 0 0 -
举例:配置设备作为Telnet客户端登录其他设备
组网图形 图1 配置设备作为Telnet客户端登录其他设备组网图 组网需求 配置思路 配置注意事项 操作步骤 检查配置结果 配置脚本 组网需求 如图1所示,终端PC与Device1间路由可达,Device1与Device2间路由可达。用户希望实现对远程设备Device2的管理与维护,不过终端PC与远程设备Device2间无可达路由,不能直接Telnet远程登录到Device2。用户可以通过Telnet登录到Device1,再从Device1通过Telnet登录到需要管理的设备Device2。为了防止其他非法设备通过Telnet方式登录Device2,配置ACL规则只允许Device1通过Telnet方式登录Device2。 本例中interface1代表10GE1/0/1。 配置思路 采用如下的思路配置设备作为Telnet客户端登录其他设备: 在Device2上配置Telnet验证方式和密码。 在Device2上配置ACL规则允许Device1登录。 从Device1上Telnet登录到Device2。 配置注意事项 当网络所处环境不足够安全时,我们建议选择安全的密码认证方式/加密认证算法/协议。安全的举例请参见:配置设备作为STelnet客户端登录其他设备。 操作步骤 在用户视图下执行命令install feature-software WEAKEA安装弱安全算法/协议特性包(WEAKEA)。 配置Device2的Telnet验证方式和密码。 <HUAWEI> system-view [HUAWEI] sysname Device2 [Device2] user-interface vty 0 4 [Device2-ui-vty0-4] authentication-mode aaa [Device2-ui-vty0-4] quit 配置登录用户的相关信息。 [Device2] aaa [Device2-aaa] local-user admin1234 password Please configure the login password (8-128) It is recommended that the password consist of at least 2 types of characters, including lowercase letters, uppercase letters, numerals and special characters. Please enter password: ……
4 0 0 -
举例:配置IPv4用户通过Telnet登录设备(本地认证)
组网图形 图1 配置通过Telnet登录设备组网图 组网需求 配置思路 配置注意事项 操作步骤 检查配置结果 配置脚本 组网需求 如图1所示,用户希望简单方便的配置和管理设备。在服务器端配置Telnet用户使用AAA验证登录,并配置ACL策略,保证只有符合ACL策略的用户才能登录设备。 配置思路 采用如下的思路进行配置: 配置Telnet服务器的管理网口IP地址。 配置Telnet方式登录设备,即开启Telnet服务器功能及配置服务器端口号,以实现远程维护网络设备。 配置VTY用户界面的相关参数,包括配置ACL策略,保证只有符合ACL策略的用户才能登录设备。 配置管理员的用户名和密码,并配置AAA认证策略,保证只有认证通过的用户才能登录设备。 配置注意事项 当网络所处环境不足够安全时,我们建议选择安全的密码认证方式/加密认证算法/协议。安全的举例请参见:举例:配置用户通过STelnet登录设备(本地认证)。 操作步骤 登录设备。如果是首次登录设备,请先通过Console口首次登录设备,然后按下述步骤搭建Telnet登录环境。 在用户视图下执行命令install feature-software WEAKEA安装弱安全算法/协议特性包(WEAKEA)。 配置Telnet服务器的管理网口IP地址。 <HUAWEI> system-view [HUAWEI] sysname Telnet Server [Telnet Server] interface meth 0/0/0 [Telnet Server-MEth0/0/0] ip address 10.137.217.177 255.255.255.0 [Telnet Server-MEth0/0/0] quit 配置服务器的端口号以及开启服务器功能。 [Telnet Server] telnet server enable [Telnet Server] telnet server port 1025 [Telnet Server] telnet server-source all-interface 配置VTY用户界面的相关参数。 # 配置VTY用户界面的最大个数。 [Telnet Server] user-interface maximum-vty 8 # 配置ACL规则允许用户登录设备的……
7 0 0 -
举例:配置用户通过Console口登录设备
举例:配置用户通过Console口登录设备 组网图形 图1 配置通过Console口登录设备组网图 组网需求 配置思路 操作步骤 检查配置结果 配置脚本 组网需求 当用户无法进行远程登录设备时,可通过Console口进行本地登录。使用Console口登录设备时需要密码认证,为了防止非法用户登录设备,修改Console用户界面的认证方式为AAA认证。 配置思路 采用如下的思路配置通过Console口登录设备: 使用终端仿真软件通过Console口登录设备。 配置Console用户界面的认证方式。 如果系统不带终端仿真软件,请您准备第三方终端仿真软件,使用方法请参照该软件的使用指导或联机帮助。 操作步骤 将Console通信电缆的DB9(孔)插头插入PC机的串口(COM)中,再将RJ-45插头端插入设备的Console口中。如果终端(PC端)上没有DB9串口,可通过DB9串口转USB的转接线,将USB口连接到终端上。 在PC上打开终端仿真软件,新建连接,设置连接的接口以及通信参数。(此处使用第三方软件PuTTY为例进行介绍) 如图2所示,单击“Session”,新建连接。 图2 新建连接 如图3所示,单击“Serial”,设置连接的接口以及通信参数。 连接的接口请根据实际情况进行选择。例如,在Windows系统中,可以通过在“设备管理器”中查看端口信息,选择连接的接口。 设置终端软件的通信参数需与设备的缺省值保持一致,分别为:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控。 单击“Open”。 因为PC端可能会存在多个连接接口,这里需要选择的是连接Console线缆的那个接口。一般情况下,选择的接口是COM1。 若修改了设备的串口通信参数值,需要在PC端更换通信参数值与设备的串口通信参数值一致后,重新连接。 图3 设置连接的接口以及通信参数 按Enter键,直到系统出现如下显示,提示用户输入密码。(AAA认证时,提示……
5 0 0 -
举例:首次登录设备并进行基本配置
组网图形 图1 通过Console口首次登录设备后进行基本配置组网图 组网需求 配置思路 操作步骤 检查配置结果 配置脚本 组网需求 通过Console口首次登录设备后,对设备进行基本配置并配置通过STelnet远程登录的0~4号用户的级别为3级,认证方式为AAA认证。PC2与设备之间路由可达。 本例中interface1代表管理口MEth0/0/0。 配置思路 通过Console口登录设备。 对设备进行基本配置。 操作步骤 将Console通信电缆的DB9(孔)插头插入PC机的串口(COM)中,再将RJ-45插头端插入设备的Console口中。如果终端(PC端)上没有DB9串口,可通过DB9串口转USB的转接线,将USB口连接到终端上。 在PC1上打开终端仿真软件,新建连接,设置连接的接口以及通信参数。(此处使用第三方软件PuTTY为例进行介绍) 如图2所示,单击“Session”,新建连接。 图2 新建连接 如图3所示,单击“Serial”,设置连接的接口以及通信参数。 连接的接口请根据实际情况进行选择。例如,在Windows系统中,可以通过在“设备管理器”中查看端口信息,选择连接的接口。 设置终端软件的通信参数需与设备的缺省值保持一致,分别为:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控。 单击“Open”。 因为PC1端可能会存在多个连接接口,这里需要选择的是连接Console线缆的那个接口。一般情况下,选择的接口是COM1。 若修改了设备的串口通信参数值,需要在PC端更换通信参数值与设备的串口通信参数值一致后,重新连接。 图3 设置连接的接口以及通信参数 按Enter键,直到系统出现如下显示,提示用户先设置登录密码,然后再登录。(以下显示信息仅为示意) User interface con0 is available Please Press ENTER. Please configure the login password (8-16) Enter Password: Confirm Password: ……
6 0 0 -
单DC分布式网关部署方式的VXLAN二层架构举例
适用产品和版本 CE16800(除X系列单板外)、CE8800、CE6800(除CE6820H、CE6820H-K、CE6820S、CE6885-LL低时延模式外)系列产品V300R020C00或更高版本。 如果需要了解软件版本与交换机具体型号的配套信息,请查看硬件中心。 组网需求 如图1所示,二层架构中Spine、Border Leaf、Service Leaf三者融合部署,Server Leaf-Spine/Border Leaf/Service Leaf在物理拓扑上形成两个层次的架构,故属于“二层架构”。 Border Leaf层:Border Leaf交换机作为分布式Overlay组网中的出口,南向与Server Leaf之间使用三层路由口互联,形成ECMP IP转发网络;北向与出口路由器PE互联。 Server Leaf层:Server Leaf交换机部署M-LAG,北向与Border Leaf设备通过三层路由口互联。 图1 单DC分布式网关部署方式的VXLAN二层架构组网图 规划交换机的两类Loopback地址,建议如下所示。 Loopback0:专门作为VTEP IP地址。对于双活设备组,组成员的VTEP IP必须保持一致。 Loopback1: 作为Router-ID地址 M-LAG的DFS-Group IP地址 建立BGP EVPN对等体时发送BGP报文的源接口 Loopback2:作为静态Bypass VXLAN隧道的源端IP地址。 每台交换机的Loopback地址的具体规划如表1所示。 表1 数据准备表(Loopback地址规划) 设备名称 Loopback0 Loopback1 Loopback2 BorderLeaf_1 10.125.99.1/32(虚MAC:00e0-fc00-0101) 10.125.98.1/32 10.135.98.1/32 BorderLeaf_2 10.125.99.1/32(虚MAC:00e0-fc00-0101) 10.125.98.2/32 10.135.98.2/32 ServerLeaf1_1 10.125.99.2/32 10.125.98.3/32 10.135.98.3/32 ServerLeaf1_2 10.125.99.2/32 10.125.98.4/32 10.135.98.4/32 ServerLeaf2_1 10.125.99.3/32 10.125.98.5/32 10.135.98.5/32 ServerLeaf2_2 10.125.99.3/32 10.125.98.6/32 10.135.98.6/32 表2 互联……
7 0 0 -
配置分布式网关部署方式的IPv6 VXLAN示例
适用产品和版本 CE16800(除X系列单板外)、CE8800、CE6800(除CE6820H、CE6820H-K、CE6820S、CE6885-LL低时延模式外)系列产品V300R021C10或更高版本。 如果需要了解软件版本与交换机具体型号的配套信息,请查看硬件中心。 组网需求 如图1所示,某企业新建的数据中心网络采用分布式网关部署方式,其中Underlay基础网络为IPv6,Overlay网络为IPv4/IPv6。Leaf作为三层网关与服务器对接;Spine同时作为东西向流量的汇聚设备和网络出口网关。为了保证高可靠性,Spine、Leaf采用M-LAG部署方式。 图1 分布式网关部署方式的VXLAN网络示意图 上图中“1/0/1”为接口编号,接口速率为100GE,即“1/0/1”表示接口“100GE1/0/1”。其他接口类似。 表1 接口地址表 设备名称 接口 IP地址 设备名称 接口 IP地址 Spine1 100GE1/0/1 2001:db8:1:d301::1/64 Spine2 100GE1/0/1 2001:db8:1:d305::1/64 100GE1/0/2 2001:db8:1:d302::1/64 100GE1/0/2 2001:db8:1:d306::1/64 100GE1/0/3 2001:db8:1:d303::1/64 100GE1/0/3 2001:db8:1:d307::1/64 100GE1/0/4 2001:db8:1:d304::1/64 100GE1/0/4 2001:db8:1:d308::1/64 100GE1/0/5 IPv4: 10.1.10.1/24 IPv6: fc00:10::1/64 100GE1/0/5 IPv4: 10.1.30.1/24 IPv6: fc00:30::1/64 100GE1/0/6 IPv4: 10.1.20.1/24 IPv6: fc00:20::1/64 100GE1/0/6 IPv4: 10.1.40.1/24 IPv6: fc00:40::1/64 Loopback0 4.4.4.4/32 Loopback0 5.5.5.5/32 Loopback1 2001:db8:1:1301::1/128 Loopback1 2001:db8:1:1301::1/128 Loopback2 2001:db8:1:4301::1/128 Loopback2 2001:db8:1:5301::1/128 Loopback3 2001:db8:1:4302::1/128 Loopback3 2001:db8:1:5302::1/128 Leaf1 100GE1/0/1 2001:db8:1:d301::2/64 Leaf2 100GE1/0/1 2001:db8:1:d302::2/64 100GE1/0/2 2001:db8:1……
13 0 0 -
配置分布式网关部署方式的IPv4 VXLAN示例
适用产品和版本 CE16800(除X系列单板外)、CE8800、CE6800(除CE6820H、CE6820H-K、CE6820S、CE6885-LL低时延模式外)系列产品V300R020C00或更高版本。 如果需要了解软件版本与交换机具体型号的配套信息,请查看硬件中心。 组网需求 如图1所示,某企业新建的数据中心网络采用分布式网关部署方式,其中Underlay基础网络为IPv4,Overlay网络为IPv4/IPv6。Leaf作为三层网关与服务器对接;Spine同时作为东西向流量的汇聚设备和网络出口网关。为了保证高可靠性,Spine、Leaf采用M-LAG部署方式。 图1 分布式网关部署方式的VXLAN网络示意图 上图中“1/0/1”为接口编号,接口速率为100GE,即“1/0/1”表示接口“100GE1/0/1”。其他接口类似。 表1 接口地址表 设备名称 接口 IP地址 设备名称 接口 IP地址 Spine1 100GE1/0/1 192.168.1.1/24 Spine2 100GE1/0/1 192.168.5.1/24 100GE1/0/2 192.168.2.1/24 100GE1/0/2 192.168.6.1/24 100GE1/0/3 192.168.3.1/24 100GE1/0/3 192.168.7.1/24 100GE1/0/4 192.168.4.1/24 100GE1/0/4 192.168.8.1/24 100GE1/0/5 IPv4: 10.1.10.1/24 IPv6: fc00:10::1/64 100GE1/0/5 IPv4: 10.1.30.1/24 IPv6: fc00:30::1/64 100GE1/0/6 IPv4: 10.1.20.1/24 IPv6: fc00:20::1/64 100GE1/0/6 IPv4: 10.1.40.1/24 IPv6: fc00:40::1/64 Loopback0 4.4.4.4/32 Loopback0 5.5.5.5/32 Loopback1 1.1.1.1/32 Loopback1 1.1.1.1/32 Loopback2 10.10.10.10/32 Loopback2 11.11.11.11/32 Leaf1 100GE1/0/1 192.168.1.2/24 Leaf2 100GE1/0/1 192.168.2.2/24 100GE1/0/2 192.168.5.2/24 100GE1/0/2 192.168.6.2/24 Loopback0 6.6.6.6/32 Loopback0 7.7.7.7/32 Loopback1 2.2.2.2/32 Loopback1 2.2.2.2/32 Loopback2 12.12.12.12/32 Loopback2 13.13.13.13/32 Leaf3……
11 0 0 -
基于VRRP的二层架构数据中心网络部署举例
适用产品和版本 CloudEngine系列交换机V300R020C00或更高版本。 如果需要了解软件版本与交换机具体型号的配套信息,请查看硬件中心。 组网需求 在数据中心场景中,接入层交换机以双上行方式接入核心层。用户希望: 考虑到业务的可靠性,部署冗余链路,在一条上行链路断开的时候,流量能切换到另外一条上行链路转发。 避免冗余备份链路导致的环网问题,消除网络中的环路。 图1 基于VRRP的二层架构数据中心网络组网 表1 数据准备表 设备 VLAN及IP地址 接口 描述 DeviceA VLAN:2 IP地址:10.1.2.102/24 虚拟IP地址:10.1.2.100 100GE1/0/1 TO-CE6800-DEVICEC 100GE1/0/5 TO-CE16800-DEVICEB VLAN:3 IP地址:10.1.3.102/24 虚拟IP地址:10.1.3.100 100GE1/0/2 TO-CE6800-DEVICED 100GE1/0/5 TO-CE16800-DEVICEB VLAN:4 IP地址:10.1.4.102/24 虚拟IP地址:10.1.4.100 100GE1/0/3 TO-CE6800-DEVICEE 100GE1/0/5 TO-CE16800-DEVICEB VLAN:5 IP地址:10.1.5.102/24 虚拟IP地址:10.1.5.100 100GE1/0/4 TO-CE6800-DEVICEF 100GE1/0/5 TO-CE16800-DEVICEB VLAN:6 IP地址:10.1.6.102/24 100GE1/0/6 TO-DEVICEG DeviceB VLAN:2 IP地址:10.1.2.103/24 虚拟IP地址:10.1.2.100 100GE1/0/4 TO-CE6800-DEVICEC 100GE1/0/5 TO-CE16800-DEVICEA VLAN:3 IP地址:10.1.3.103/24 虚拟IP地址:10.1.3.100 100GE1/0/3 TO-CE6800-DEVICED 100GE1/0/5 TO-CE16800-DEVICEA VLAN:4 IP地址:10.1.4.103/24 虚拟IP地址:10.1.4.100 100GE1/0/2 TO-CE6800-DEVICEE 100GE1/0/5 TO-CE16800-DEVICEA VLAN:5 IP地址:10.1.5.103/24 虚拟IP地址:10.1.5.100 100GE1/0/1 TO-CE6800-DEVICEF 100GE1/0/5 TO-CE16800-DEVICEA VLAN:7 IP地址:10.1.7.103/24 100GE1/0/6 TO-DEVICEH ……
10 0 0 -
基于VRRP的三层架构数据中心网络部署举例
适用产品和版本 CloudEngine系列交换机V300R020C00或更高版本。 USG5500系列产品V300R001版本。 如果需要了解软件版本与交换机具体型号的配套信息,请查看硬件中心。 组网需求 在数据中心场景中,采用接入层、汇聚层和核心层三层方式部署。用户希望: 考虑到业务的可靠性,接入层和汇聚层之间部署VRRP,在一条上行链路断开的时候,流量能切换到另外一条上行链路转发。 避免冗余备份链路导致的环网问题,消除接入层和汇聚层之间的环路。 核心层设备外挂防火墙,对业务流量提供安全过滤功能。 汇聚层和核心层部署OSPF协议实现三层互通。 图1 基于VRRP的三层架构数据中心网络组网 表1 数据准备表(以DeviceA、DeviceB、DeviceC和DeviceD为例) 设备 VLAN及IP地址 接口编号 描述 DeviceA VLAN:2 IP地址:10.1.2.102/24 虚拟IP地址:10.1.2.100 100GE1/0/1 TO-CE6800-DEVICEC 100GE1/0/3 TO-CE16800-DEVICEB VLAN:3 IP地址:10.1.3.102/24 虚拟IP地址:10.1.3.100 100GE1/0/2 TO-CE6800-DEVICED 100GE1/0/3 TO-CE16800-DEVICEB VLAN:6 IP地址:10.1.6.102/24 100GE1/0/4 TO-CE16800-DEVICEI VLAN:7 IP地址:10.1.7.102/24 100GE1/0/5 TO-CE16800-DEVICEJ DeviceB VLAN:2 IP地址:10.1.2.103/24 虚拟IP地址:10.1.2.100 100GE1/0/2 TO-CE6800-DEVICEC 100GE1/0/3 TO-CE16800-DEVICEA VLAN:3 IP地址:10.1.3.103/24 虚拟IP地址:10.1.3.100 100GE1/0/1 TO-CE6800-DEVICED 100GE1/0/3 TO-CE16800-DEVICEA VLAN:6 IP地址:10.1.6.103/24 100GE1/0/4 TO-CE16800-DEVICEI VLAN:7 IP地址:10.1.7.103/24 100GE1/0/5 TO-CE16800-DEVICEJ DeviceC VLAN:2 100GE1/0/1 TO-CE16800-DEVICEA 100GE1/0/2 TO-CE16800-DEVICEB 100GE1/0/3 TO-HOSTA DeviceD VLAN:3 100GE1……
16 0 0
交换机
