1、WEB方式
『WEB方式远程管理交换机配置流程』
首先必备条件要保证PC可以与SwitchB通信,比如PC可以ping通SwitchB。
如果想通过WEB方式管理交换机,必须首先将一个用于支持WEB管理的文件载入交换机的flash中,该文件需要与交换机当前使用的软件版本相配套。
WEB管理文件的扩展名为”tar”或者”zip”,可以从网站上下载相应的交换机软件版本时得到。
需要在交换机上添加WEB管理使用的用户名及密码,该用户的类型为telnet类型,而且权限为最高级别3。
注意,在将WEB管理文件载入交换机flash时,不要将文件进行解压缩,只需将完整的文件载入交换机即可。
 
【SwitchB相关配置】
1.查看交换机flash里面的文件(保证WEB管理文件已经在交换机flash中)
dir /all
Directory of flash:/
-rwxrwx 1 noone nogroup 442797 Apr 02 2000 13:09:50 wnm-xxx.zip
2.添加WEB管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为”wnm”
[SwitchB]local-user huawei
[SwitchB-luser-huawei]service-type telnet level 3
[SwitchB-luser-huawei]password simple wnm
3.配置交换机管理地址
[SwitchB]interface vlan 100
[SwitchB-Vlan-interface100]ip addr 192.168.0.2 255.255.255.0
4.对HTTP访问用户的控制(Option)
[SwitchB]ip http acl acl_num/acl_name
 
2、TELNET方式
【TELNET密码验证配置】
只需输入password即可登陆交换机。
1.        进入用户界面视图
[SwitchA]user-interface vty 0 4
2.        设置认证方式为密码验证方式
[SwitchA-ui-vty0-4]authentication-mode password
3.        设置登陆验证的password为明文密码”huawei”
[SwitchA-ui-vty0-4]set authentication password simple huawei
4.        配置登陆用户的级别为最高级别3(缺省为级别1)
[SwitchA-ui-vty0-4]user privilege level 3
5.        或者在交换机上增加super password(缺省情况下,从VTY用户界面登录后的级别为1级,无法对设备进行配置操作。必须要将用户的权限
设置为最高级别3,才可以进入系统视图并进行配置操作。低级别用户登陆交换机后,需输入super password改变自己的级别)例如,配置级别3用户
的super password为明文密码”super3”
[SwitchA]super password level 3 simple super3
 
【TELNET本地用户名和密码验证配置】
需要输入username和password才可以登陆交换机。
1.        进入用户界面视图
[SwitchA]user-interface vty 0 4
2.        配置本地或远端用户名和口令认证
[SwitchA-ui-vty0-4]authentication-mode scheme
3.        配置本地TELNET用户,用户名为”huawei”,密码为”huawei”,权限为最高级别3(缺省为级别1)
[SwitchA]local-user huawei
[SwitchA-user-huawei]password simple huawei
[SwitchA-user-huawei]service-type telnet level 3
4.        在交换机上增加super password
[SwitchA]super password level 3 simple super3
 
【TELNET RADIUS验证配置】
以使用华为3Com公司开发的CAMS 作为RADIUS服务器为例
1.        进入用户界面视图
[SwitchA]user-interface vty 0 4
2.        配置远端用户名和口令认证
[SwitchA-ui-vty0-4]authentication-mode scheme
3.        配置RADIUS认证方案,名为”cams”
[SwitchA]radius scheme cams
4.        配置RADIUS认证服务器地址10.110.51.31
[SwitchA-radius-cams]primary authentication 10.110.51.31 1812
5.        配置交换机与认证服务器的验证口令为”huawei”
[SwitchA-radius-cams]key authentication huawei
6.        送往RADIUS的报文不带域名
[SwitchA-radius-cams]user-name-format without-domain
7.        创建(进入)一个域,名为”huawei”
[SwitchA]domain huawei
8.        在域”huawei”中引用名为”cams”的认证方案
[SwitchA-isp-huawei]radius-scheme cams
9.        将域”huawei”配置为缺省域
[SwitchA]domain default enable huawei
 
【TELNET访问控制配置】
1.        配置访问控制规则只允许10.1.1.0/24网段登录
[SwitchA]acl number 2000
[SwitchA-acl-basic-2000]rule deny source any
[SwitchA-acl-basic-2000]rule permit source 10.1.1.0 0.0.0.255
2.        配置只允许符合ACL2000的IP地址登录交换机
[SwitchA-ui-vty0-4]acl 2000 inbound
 
3、SSH方式
1. 组网需求
配置终端(SSH Client)与以太网交换机建立本地连接。终端采用SSH协议进行登录到交换机上,以保证数据信息交换的安全。
 
2. 配置步骤(SSH认证方式为口令认证)
[Quidway] rsa local-key-pair create
&  说明:如果此前已完成生成本地密钥对的配置,可以略过此项操作。
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode scheme
[Quidway-ui-vty0-4] protocol inbound ssh
[Quidway] local-user client001
[Quidway-luser-client001] password simple huawei
[Quidway-luser-client001] service-type ssh
[Quidway] ssh user client001 authentication-type password
SSH的认证超时时间、重试次数以及服务器密钥更新时间可以采取系统默认值,这些配置完成以后,您就可以在其它与以太网交换机连接的终端上,
运行支持SSH1.5的客户端软件,以用户名client001,密码huawei,访问以太网交换机了。

 3、复杂但更加安全的配置
super password level 3 simple super
#
 local-user adm
 password simple adm
 service-type ssh level 0 
#
rsa peer-public-key p1
  public-key-code begin
   308186
     028180
       91ADC5A6 7C855676 2958E6E9 960559D6 3F606C86 5BE1C74C EA313F81 BAC7437D
       297A422C 8A0D9C9E AAC8276D E0DC21B9 DCA937C2 846AFFDF 987AEFE1 6204CC63
       0C881FC1 7848297C 82B0B443 5EEDA260 27A7B744 3280B68E 84194DCD 78D89B9E
       35EF76C2 B382A538 80DBBA80 60219F04 E5034168 60EEC72A 53598B6F FB3A5365
     0201
       25                                
  public-key-code end
 peer-public-key end
#
rsa local-key-pair create
#
ssh user adm assign rsa-key p1
ssh user adm authentication-type rsa
#
user-interface vty 0 4
  authentication-mode scheme
protocol inbound ssh