一、Console登录管理
对于新的交换机,通常需要通过Console口登录并进行初始配置 。弱国如果忘记Telnet登录和Console登录密码,此时会导致设备始终无法登录。所有为了避免这个情况,有一个保险措施,在BooROM菜单下提供清除Console登录密码功能的过程
(1)使用终端仿真软件通过 Console 口登录设备
将 Console 通信电缆的 DB9(孔)插头插入 PC 机的串口(COM)中,再将 RJ-45 插头端插 入设备的 Console 口中
说明: 如果维护终端(PC 端)上没有 DB9 串口,可单独购买一根 USB 转 DB9(公头螺母)的转接线,将 Console 线缆的 DB9(孔)插头与转接线的 DB9(公头螺母)相连,将 USB 口连接到维护终端
在 PC 上选择“我的电脑”,按“右键”选择“属性”,打开设备管理器,查看“端口”选项, 确认电脑串口名称
在 PC 上打开终端仿真软件,新建连接,设置连接的接口以及通信参数。(以第三方 软件 PuTTY 为例)
会话选项设置
终端---键盘属性设置
设置连接的接口以及通信参数
设置终端软件的通信参数需与设备的缺省值保持一致,分别为:传输速率为 9600bit/s、8 位数据位、1位停止位、无校验和无流控
华为 S 系列交换出厂默认配置为:Console 口不认证,此时点击 “ Connect ” ,可直接进入系统
<Huawei>
(2)进入用户界面视图Console0,配置 console 口认证方式为 “ password ” ,并设置密码为 “ ren123456 ”
[SW1]user-interface con 0
[SW1-ui-console0]authentication-mode password
[SW1-ui-console0]set authentication password cipher ren123456重新进行 Console 口登录,此时登录时系统会提示输入密码。输入正确的密码 " ren123456 " 可成功登录
Login authentication
Password:
<Huawei>(3)再次进入户界面视图Console0,配置 console口认证方式为 “ aaa ” ,并在AAA视图下配置 用于Console 口登录的用户名和密码,本例中用户名为 " zzz " ,密码为 " ren123456 "
<SW1> system-view
[SW1] user-interface console 0
[SW1-ui-console0] authentication-mode aaa
[SW1-ui-console0] quit
[SW1] aaa
[SW1-aaa] local-user zzz password irreversible-cipher ren123456
[SW1-aaa] local-user zzz privilege level 15
[SW1-aaa] local-user zzz service-type terminal重新进行 Console 口登录,此时登录时系统会提示输入用户名和密码。输入正确的用户名 " zzz " ,密码 " ren123456 " 可成功登录
Login authentication
Username:zzz
Password:
<SW1>(4)清除Console登陆密码
设备启动过程中,首先加载BootROM程序,然后再加载系统软件。当界面出现如下提示信 息时,三秒内按下快捷键 Ctrl+B 或 Ctrl+E,进入 BootROM 主菜单
Press Ctrl+B or Ctrl+E to enter BootROM menu : 2
password: //输入 BootROM 密码
华为 S 系列交换机 BootROM 菜单密码为 Admin@huawei
AR 系列路由器 V200R003C01 以及更低版本的缺省密码是 huawei,V200R005C00 以及更高
版本的缺省密码是 Admin@huawei
无线 AC 的缺省密码是 admin@huawei
在 BootROM 主菜单下,选择 7,清除 Console 密码
BootROM MENU
1. Boot with default mode
2. Enter serial submenu
3. Enter startup submenu
4. Enter ethernet submenu
5. Enter filesystem submenu
6. Enter password submenu
7. Clear password for console user
8. Reboot
(Press Ctrl+E to enter diag menu)
Enter your choice(1-8): 7
Note: Clear password for console user? Yes or No(Y/N): y
Clear password for console user successfully. Choose "1" to boot, then set a new password.
Note: Do not choose "8. Reboot" or power off the device, otherwise this operation will not take effect.2)显示用户视图下可以使用的所有命令注意:
清除 Console 密码后,注意选择 BootROM 主菜单下的“1. Boot with default mode”进行启动,不能选择“8. Reboot”, 也不能掉电,否则配置将会失效
执行清除 Console 密码的选项,其实是将 Console 口的认证方式设为 None 认证,设备重新启动后,不需要输入 用户名和密码,可以直接登录设备。为了保证 Console 口的使用安全,用户登录设备后建议将 Console 口的认 证方式修改为 AAA 认证
二、Telnet登录管理
在运维过程中,通过Console口登录必须到达设备现场才能进行,但有的时候也不可能直接就在现场,比如北京总部发生的问题,我一个广州的专家不可以下一秒就在北京 [ 苦涩 ] 。所以希望能够远程管理,Telnet登录管理就可以满足这个需求
本例中,通过Console口搭建Telnet登录环境,先后配置密码认证和AAA认证方式,并进行登陆测试
(1)使用终端仿真软件通过 Console 口登录设备,参考Console口登录管理
(2)配置设备名称为R1,配置接口GE0/0/0
<Huawei>system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.0.1 24
(3)配置密码方式的 Telnet 登录环境,并进行登录测试
配置 Telnet 最大登录数目(该数目在不同版本和不同形态间有差异,具体以设备为准), 缺省情况下 Telnet 用户最大数目为 5)
[R1]user-interface maximum-vty 15进入用户界面视图,配置验证方式为密码方式,并设置密码为“ren123456”
[R1]user-interface vty 0 14
[R1-ui-vty0-14]authentication-mode password
Please configure the login password (maximum length 16):ren123456 //设置密码为:ren123456
或
[R1]user-interface vty 0 14
[R1-ui-vty0-14]authentication-mode password
[R1-ui-vty0-14] set authentication password cipher ren123456 设置用户级别为 level 0,VTY 用户界面支持 Telnet 协议
[R1-ui-vty0-14]protocol inbound telnet
[R1-ui-vty0-14]user privilege level 0远程维护终端设置 IP 地址与 R1 的 GE0/0/0 在同一段(譬如 192.168.0.11),然后命令提示 符下执行【telnet 192.168.0.1】命令,输入正确的用户名“ren123456”后可成功登录(注意输 入密码时,光标不会跟着输入移动)
C:\Users>telnet 192.168.0.1
Login authentication
Password:
<R1>远程维护终端上尝试使用【system-view】命令,发现无法执行
<R1>system-view
^
Error: Unrecognized command found at '^' position.本地维护终端上设置超级用户密码为“zzz123”,默认情况下超级用户级别为 level 3。
R1]super password cipher zzz123远程维护终端上使用 super 命令切换用户级别,并再次尝试执行【system-view】命令
<R1>super
Password:
Now user privilege is level 3, and only those commands whose level is
equal to or less than this level can be used.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
<R1>system-view
Enter system view, return user view with Ctrl+Z.
[R1](4)配置 AAA 本地认证方式的 Telnet 登录环境,并登录测试
AAA 视图下配置用于 Telnet 登录的本地用户,用户名为“ren”,密码为“ren123456”, 用户级别为 level 0
[R1] aaa
[R1-aaa] local-user ren password cipher ren123456
[R1-aaa] local-user ren privilege level 0
[R1-aaa] local-user ren service-type telneVTY 用户界面视图下配置认证方式为 AAA
[R1]user-interface vty 0 14
[R1-ui-vty0-14]authentication-mode aaa远程维护终端上打开第三方软件(如 PuTTY),进行键盘设置和会话设置。在进行键盘设 置时,“Backspace”回退键选择“Control-H”,“Fn 功能键和小键盘”选择“VT100+”
单击“打开”后可弹出登录命令行窗口如下图,输入用户名“ren”,密码“ren123456” 后即可成功登录
登录成功后,尝试执行[system-view]命令,由于默认用户级别为 level 0,因此此时无法执行
<R1>system-view
^
Error: Unrecognized command found at '^' position.执行【super】命令切换用户级别,然后再次执行[system-view]命令
<R1>super
Password:
Now user privilege is level 3, and only those commands whose level is
equal to or less than this level can be used.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
<R1>system-view
Enter system view, return user view with Ctrl+Z.
[R1]
执行清除 Console 密码的选项,其实是将 Console 口的认证方式设为 None 认证,设备重新启动后,不需要输入用户名和密码,可以直接登录设备。为了保证 Console 口的使用安全,用户登录设备后建议将 Console 口的认证方式修改为 AAA 认证。
三、STelnet登录管理
Telnet登录管理虽然可以实现远程登陆管理,但是在Telnet通信过程中,所有通信都是明文方式发送的,包括远程登陆的用户名和密码,缺乏安全性。STelnet登录结合了SSH这个安全协议,可以避免Telnet登录的安全隐患,提供在不安全的网络中安全的远程登陆
本例中,通过Console口搭建STelnet登录环境,并进行登陆测试
(1)使用终端仿真软件通过 Console 口登录设备,参考Console口登录管理
(2)配置设备名称、接口G0/0/0的IP地址
<Huawei>system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.0.1 24(3)配置VTY用户界面
配置 Telnet 最大登录数目
[R1]user-interface maximum-vty 15
进入 VTY 用户界面视图,配置验证方式为 AAA 方式
[R1]user-interface vty 0 14
[R1-ui-vty0-14]authentication-mode aaa设置用户级别为 level 3(默认为 0),VTY 用户界面支持 STelnet 协议
[R1-ui-vty0-14]protocol inbound ssh
[R1-ui-vty0-14]user privilege level 3(4)创建 STelnet 登录的两个本地用户,用户名为分别为“zzz01”和“zzz02”,密码为“ren123”,用户级别为“level 3”,业务类型为“ssh”
[R1] aaa
[R1-aaa] local-user zzz01 password cipher ren123
[R1-aaa] local-user zzz01 privilege level 3
[R1-aaa] local-user zzz02 password cipher ren123
[R1-aaa] local-user zzz02 privilege level 3
[R1-aaa] local-user zzz01 service-type ssh
[R1-aaa] local-user zzz02 service-type ssh(5)使能 STelnet 服务器,并创建 RSA 本地密钥
使能 STelnet 服务器
[R1]stelnet server enable
创建 RSA 本地密钥
[R1]
[R1]rsa local-key-pair create
The key name will be: Host
% RSA keys defined for Host already exist.
Confirm to replace them? (y/n)[n]:y
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Input the bits in the modulus[default = 512]:
Generating keys...
..........++++++++++++
.........++++++++++++
.................++++++++
.....................++++++++查看本地密钥对中的公钥部分
[R1]display rsa local-key-pair public
=====================================================
Time of Key pair created: 2020-05-05 11:16:46-08:00
Key name: Host
Key type: RSA encryption Key
=====================================================
Key code:
3047
0240
E11A43C6 8C4B0DF5 236B115C 41015514 024B1471
256EBDCE 862CEB50 052AB10D 010B1439 304E768C
2FB6844F EF2237FE C7BD0E84 AD350D0F 24BC8496
EE2F5EC9
0203
010001
=====================================================
Time of Key pair created: 2020-05-05 11:16:49-08:00
Key name: Server
Key type: RSA encryption Key
=====================================================
Key code:
3067
0260
B5FE13BD BAA84E09 BB355BA0 CA9FD405 D4927B10
CF01BDFD BE232946 C8FCE39F 146B779A C306FDB8
F2262214 4D70544E CAEE5424 D1C2CB61 69710F1A
4F50697E 6540D404 65060AB4 D9ACDD5B 337C4F8E
C2F918EE B4FEAD50 B3541BED 171BB5F9
0203
010001(6)配置 SSH 用户“zzz01”认证方式为“password”认证,并测试登录
配置 SSH 用户认证方式为“password”方式
[R1]ssh user zzz01 authentication-type password查看 SSH 服务器全局配置信息
[R1]display ssh server status
SSH version :1.99
SSH connection timeout :60 seconds
SSH server key generating interval :0 hours
SSH Authentication retries :3 times
SFTP Server :Disable
Stelnet server :Disable
使用客户端(如 Putty)进行登录测试
单击“打开”按钮,首次登录时,在弹出的安全警告界面选择信任主机“是(Y)”
在随后出现的登录界面输入用户名、密码,即可成功登录
执行【display ssh server session】查看 SSH 服务器与客户端连接的会话信息
[R1]display ssh server session
-------------------------------------------------------------------------------------
Conn Ver Encry State Auth-type Username
-------------------------------------------------------------------------------------
VTY 0 2.0 AES run password zzz01
------------------------------------------------------------------------------------执行【display ssh user-information username】查看指定 SSH 用户的信息,其中“username” 是上一步骤中观察到的用户名,本例中为“zzz01”
[R1]display ssh user-information huawei
------------------------------------------------------------------------------------
Username Auth-type User-public-key-name
------------------------------------------------------------------------------------
zzz01 password null
------------------------------------------------------------------------------------(7)配置 SSH 用户“zzz02”认证方式为“rsa”认证,并测试登录
[R1]ssh user zzz02 authentication-type rsa在远程维护终端运行 puttygen.exe。用于生成公用密钥、私用密钥两个文件,供后续使用。 如图所示,选取“RSA”,点击“生成”,进入密钥生成状态,此时只要将鼠标在空白处进行 移动,就可以看到密钥不断的生成
密钥生成后如上图所示,点击“保存公钥”,文件名为“public.pub”。然后再点击“保存 私钥”,在弹出的对话框中,选择“是”,保存文件名为“private.ppk”
在远程维护终端运行 sshkey.exe。将生成的公有密钥转化为设备所需要的字符串
打开上一个程序所生成的 SSH 所需的公有密钥文件 public.pub,然后点击“Convert”即可 看到生成前后的公钥
在 R1 上编辑输入远程维护终端上产生的 RSA 公钥,RSA 公钥字符串复制上图中转换后的 16 进制字符串
[R1]rsa peer-public-key huawei02
[R1-rsa-public-key]public-key-code begin
[R1-rsa-key-code]30820108 02820101 0098579C 66804A3D 6827BCBF 8724EFBC
[R1-rsa-key-code]ADC48E89 1ED5E168 9B864BD7 E57A361C 10ABCE6C 46C7677F
[R1-rsa-key-code]9248B757 2294784F BB2DB50F 629670BA 0DA1DCF7 8C0A2804
[R1-rsa-key-code]4D1F29AC BD84C6F2 8458ABED 0CC8290F 825A76DE C35A1D50
[R1-rsa-key-code]70CE7E49 6BBFED3B 9A93D7C9 1A96FB59 8E136987 76018FD7
[R1-rsa-key-code]B38749A5 477AA9E6 99249201 033C54C4 464E5BAA B981DA24
[R1-rsa-key-code]BDE97641 C0580149 0B96A644 F6354DDF 00503ED9 87DD8050
[R1-rsa-key-code]D248188C C09B4BC4 11BDC89C E42348A9 6567C576 9F91C745
[R1-rsa-key-code]B5F7DDB8 058AA6CE F6254AEE E4E67D2D 6439E281 63B4D830
[R1-rsa-key-code]166FFC11 3DF8046A EFB077D8 C34CA3A1 6D2A49EE 8A281E33
[R1-rsa-key-code]ADE61E69 DB14C2D5 24D673EE 8BF9DEB1 93ECED4E DF7F75EA
[R1-rsa-key-code]E5020125
[R1-rsa-key-code]public-key-code end
[R1-rsa-public-key]peer-public-key end在 R1 上为 SSH 用户“zzz02”绑定 STelnet 客户端的 RSA 公钥
[R1]ssh user zzz02 assign rsa-key zzz02远程维护终端上测试登录
通过 putty 软件登录设备,输入设备的 IP 地址,选择协议类型为 SSH,设置键盘参数
在 putty 软件上,按“SSH——认证”打开认证选择界面,单击“浏览”按钮选择步骤 7 保存 的私钥文件“private.ppk”
单击按钮“打开”,即可出现登录界面,输入用户名“zzz02”即可成功登录
执行【display ssh server session】查看 SSH 服务器与客户端连接的会话信息
[R1]display ssh server session
-------------------------------------------------------------------------------------
Conn Ver Encry State Auth-type Username
-------------------------------------------------------------------------------------
VTY 0 2.0 AES run rsa zzz02
-------------------------------------------------------------------------------------执行【display ssh user-information username】查看指定 SSH 用户的信息,其中“username” 是上一步骤中观察到的用户名,本例中为“zzz02”
[R1]display ssh user-information
-------------------------------------------------------------------------------
Username Auth-type User-public-key-name
-------------------------------------------------------------------------------
zzz02 rsa zzz02
-------------------------------------------------------------------------------四、Web登录管理
在运维过程中,处理命令行界面之外,设备还提供更为直观的图形化界面,方便用户对设备进行维护和使用,网络设备多数都内置一个Web服务器,与设备三层可达的终端可以通过Web浏览器访问。缺省情况下,设备开启HTTP/HTTPS服务,处于安全性考虑,一般关闭HTTP服务
本例完成HTTPS方式登录管理网络设备
(1)使用终端仿真软件通过 Console 口登录设备,参考Console口登录管理
(2)配置设备名称为 R1,配置接口 GE0/0/0 的 IP 地址。
<Huawei>system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.0.1 24(3)创建用于 Web 登录的用户和密码,用户名为 “zzz”,密码为“ren123”,用户 级别为“level 3”,业务类型为“http”
[R1] aaa
[R1-aaa] local-user zzz password cipher ren123
[R1-aaa] local-user zzz privilege level 3
[R1-aaa] local-user zzz service-type http(4)使能 Web 服务器,并设置相关参数
使能 HTTPS 服务器
[R1] http secure-server enable
[R1] http server enable注:在使能 HTTPS 服务时,可能会提示没有配置 SSl 策略,无法启动,此时可自己创建 SSL 策略,并进行绑定,如下所示,然后再重新使能 HTTPS 服务器
[R1]pki realm default
[R1-pki-realm-default] enrollment self-signed
[R1-pki-realm-default]quit
[R1]ssl policy default type server
[R1-ssl-policy-default] pki-realm default
[R1-ssl-policy-default]quit
[R1]http secure-server ssl-policy default修改 HTTPS 服务器端口为 8443(默认 443),HTTP 端口为 8080(默认为 80)
[R1]http secure-port 8443
[R1]http server port 8080配置 Web 网管允许访问的接口,超时时间为 15 分钟(默认 10 分钟)
[R1]http server permit interface GigabitEthernet0/0/0
[R1]http timeout 15执行【display http server】命令查看 HTTPS 服务器的状态
[R1]display http server
HTTP server status : Enabled (default: disable)
HTTP server port : 8080 (default: 80)
HTTP timeout interval : 15 (default: 10 minutes)
Current online users : 0
Maximum users allowed : 5
HTTPS server status : Enabled (default: disable)
HTTPS server port : 8443 (default: 443)
HTTPS SSL Policy : default(5)远程维护终端上使用浏览器打开URL https://192.168.0.1:8443 , 即可跳转至Web管理平台
输入正确的用户名密码后,即可成功登录Web网管,如图3所示。此时在路由器R1上执行[display http users]可查看登录 Web 网管的在线用户信息
[R1]display http user
---------------------------------------------------------------------------
User Name IP Address Login Date
---------------------------------------------------------------------------
zzz 192.168.0.11 2020-05-07 19:46:02+00:00
---------------------------------------------------------------------------
Total online users is 1发布者:admin,转转请注明出处:http://www.yc00.com/web/1740380278a4236393.html
评论列表(0条)