VRP系统登录及远程文件管理
一、VRP系统首次登录
首次登陆必须采用本地登录方式,即通过Console口或MiniUSB口登录,这个前面学过。
二、设备基本配置的配置
如时间和日期、设备的名称、IP地址、标题文本、命令级别和用户级别切换密码等。
1、配置时间和日期,在用户视图下进行
2、配置设备名称和IP地址
这里配置的IP地址可以看成是管理IP地址,专为日后进行Telnet之类的远程登录使用。华为交换机中除了一些交换机提供的专门管理口(通常为Ethernet0/0/0接口)外,不能直接在物理接口上配置IP地址,仅可在VLAN接口、Loopback、Tunnel、子接口等这些逻辑接口上配置IP地址。
(个人疑问:从IP有什么作用??)
3、设置标题文本
header login {information text| file file-name}设置用户登录时显示的标题文本(但是需要用户设置通过验证方式登录到交换机,否则不会显示)
header shell {information text| file file-name} 设置用户登录成功后显示的标题文本。
text:最多480个字符,支持空格和换行,标题信息第一个英文字符作为起始符号(通常是&或%),最后一个英文字符作为结束符,起始符与结束符必须相同。
undo header login 和 undo header shell 删除标题
三、用户界面(很重要)
当用户通过Console口、Telnet或SSH方式登录设备时,VRP系统会为登录用户分配相应的用户界面(User-interface)管理当前用户与交换机之间的会话。华为设备的VRP系统支持“Console用户界面”和“VTY用户界面”这两大类。通过Console口或MiniUSB口登录设备,配置相应的Console用户界面,通过Telnet或SSH登录设备,配置VTY用户界面。
1、用户界面视图是VRP系统提供的一种命令行视图,用来配置和管理所有工作在异步交互方式下的物理接口(Console和MiniUSB)和逻辑接口(VTY虚拟接口),达到统一管理各种用户界面的目的。
1)Console用户界面,是指通过Console口(包括MiniUSB口)登录设备的用户界面。Console口是一种通信串行接口,由交换机主控板提供
2)VTY用户界面,VTY(Virtual Type Terminal,虚拟类型终端)是一种虚拟线路端口。用户通过终端与设备建立Telnet或SSH连接后,即建立了一条VTY连接(或称为VTY虚拟线路),不同设备支持的VTY连接数不一样。
3)用户与用户界面的关系,用户界面与用户并没有固定的对应关系,Console类型的用户界面只有一个,但VTY类型的用户界面有很多,每个用户界面可以分配给一个用户使用。用户界面的管理和监控对象是使用某种方式登录的用户,虽然单个用户界面某一时刻只能有一个用户使用,但它并不针对某个固定用户,同一用户界面不同时间可以由不同用户使用。
用户登录时,系统会根据用户的登录方式自动给用户分配一个当前空闲的编号最小的某类型的用户界面,整个登录过程将受该用户界面视图下的配置约束。
2、用户界面的编号
用户界面的编号包括两种方式:
1)相对编号,就是针对具体类型用户界面进行的编号,格式为:用户界面类型+编号,相对编号方式遵守的规则如下:
- Console编号:固定为CON 0,且只有这一个
- VTY编号,第一个为VTY 0,第二个为VTY 1,最高编号为VTY 14,共有15个。
2)绝对编号,可以唯一的指定一个用户界面或一组用户界面。可用display user-interface命令查看
每个主控板上Console口只用一个,单VTY类型的用户界面最多可有20个(其中0~14提供给普通Telnet/SSH用户的用户接口,16~20是预留给网管用户的接口),在系统视图下使用:user-interface maximum-VTY命令人为设置最大可用的用户界面个数,缺省值是5,即VTY 0~4.
3、用户界面的用户验证和优先级
因为VRP系统是基于用户界面的网络操作系统,为了安全,需要为不同用户界面配置相应的安全保护措施,那就是配置用户界面下的用户验证。配置用户界面的用户验证方式后,用户登录交换机时VRP系统会对用户的身份进行验证。
1)用户界面的用户验证方式:两种,password验证和AAA验证
password验证:只需要进行密码验证,不需要进行用户名验证,所以只需要配置密码,不需要配置本地用户。
AAA验证:需要同时进行用户名验证和密码验证,所以需要创建本地用户,并为其配置对用的密码。这种方式更安全,一般Telnet采用AAA验证,但对于像SSH用户(如Stlenet,以及SFTP、FTPS访问),需要更加严格的验证方式,如通过SSL策略中的证书、秘钥认证等。
2)用户界面优先级
VRP系统支持对登录用户进行分级管理,与命令级别一样,用户级别也对应分为0~15共16个级别,标识越高优先级越高。用户所能访问命令的级别由其所使用的用户界面配置的优先级(当采用不验证或者密码验证方式时)或者为用户自身配置的用户优先级别(当采用AAA验证方式时)决定,高级别用户可以访问比他低的所有级别命令,也就是在AAA验证方式下,用户级别不是由所使用的用户界面级别确定,而是由具体的用户账户优先级别确定,更为灵活,同一用户界面下的不同用户的用户级别可能不一样,这也决定了在AAA验证方式下,必须为具体的用户配置具体的用户优先级。
通过这里,解决了前面的疑惑,就是user privilegelevel level命令的问题,这个命令是配置用户界面的优先级的,在AAA验证方式下,不起作用,而是根据用户的优先级来的,看一下以前的图:
做一个实验,将CON0用户界面配置成password验证,同时将用户界面级别调整为1,这时通过Console登录后级别就是1级,很多命令将无法使用。如下(注意做事前前要添加一个新的本地用户并确保能够通过其他方式登录,而且权限要足够,否则无法在正常使用设备了。)
sys命令都无法执行了,看看用户登录情况:
实验过程出现的一点意外问题:下面是前面和这次曾经使用过的eNSP模拟拓扑。
两个的云配置一模一样,交换机使用的也是同样的S5700,结果我想做这次试验的云5这个结构,交换机配置后死活无法ping通我的PC机,显示交换机的1口总是DOWN状态,经过多次查找,将云的模拟端口改为GE,问题解决了。(也就是说上图中上面的LSW3接口1的速率自适应起作用了,LSW4没起作用,无法自适应速率,很奇怪)。
4、Console用户界面配置与管理
配置Console用户界面的属性,包括Console用户界面的物理属性、终端属性、用户优先级和用户验证方式。
1)物理属性和终端属性对我们而言不是很重要,使用缺省值就可以,物理属性包括传输速率、流控方式、校验位、停止位和数据位。
下面是winXP下超级终端连接CON口时的配置:对比一下上面的命令就能明白了。
Console用户界面的终端属性配置,就是终端控制台窗口的属性,包括用户超时断连功能、终端屏幕的显示行数或列数以及历史缓冲区大小。(一般使用缺省值就行不用修改)
2)配置Console用户界面的用户优先级,这一步很重要,对于passwoord登录验证来说,就是用这里的用户优先级进行权限的控制。
2)配置Console用户界面的用户验证方式,很重要
提供了AAA验证、密码验证和不验证三种用户验证方式。
3)Console用户界面管理
Console用户界面配置完成后,可以执行以下display命令查看当前交换机上已登录的用户和使用的用户界面,以及当前交换机上已配置的本地用户信息,执行kill命令断开与指定用户界面连接的用户。
- display users [all]查看所有通过用户界面(包括VTY)登录过的用户信息
- display user-interface console ui-number [summary]查看指定Console用户界面信息,包括用户界面的绝对和相对编号、传输速率、是否通过Modem拨号连接,配置的用户级别、实际用户级别、验证方式等。(参见前面的telnet192.168.1.130截图)
- display local-user查看所有本地用户列表摘要信息
- kill user-interface 0 或 kill user-interface console 0 命令断开与指定的Console用户界面的连接。次此命令不能对当前用户进行操作,也就是你要终端Console用户界面的用户连接,必须使用其他的用户界面,如VTY用户界面去操作。同理可以 kill user-interface VTY ui-number。
4)VTY用户界面配置与管理
-- 配置VTY用户界面的最大个数:系统视图下,user-interface maximum-vty number 即可,取值范围0~15,缺省5,当配置VTY用户界面最大个数为0时,任何用户(包括网管用户)都无法通过VTY登录到交换机,一定要小心。
-- 配置VTY用户界面的基于ACL的登陆限制:可以通过访问控制列表(ACL)实现对通过VTY用户界面的登录进行限制。在配置VTY用户界面登陆限制前,需要现在系统视图下执行acl命令创建一个访问控制列表并进入ACL视图,然后执行rule命令增加相应的访问控制列表的规则。
用户界面支持通过基本ACL(2000~2999)来限制源IP地址(即访问用户的主机或网段IP地址),支持高级ACL(3000~3999)同时限制源IP地址和目的IP地址(要访问的主机或网段IP地址),以及源端口和目的端口。通过ACL限制VTY用户界面登录时采用以下规则:
(1)当ACL的规则配置为permit(允许)时:
①如果该ACL应用在inbound(入)方向,则允许指定源IP地址的其他交换机访问本交换机。
②如果该ACL应用在outbound(出)方向,则允许本地交换机访问指定源IP地址的其他交换机。
(2)当ACL的规则配置为deny(拒绝)时:
①如果该ACL应用在inbound(入)方向,则拒绝其他交换机访问本地交换机。
②如果该ACL应用在outbound(出)方向,则拒绝本地交换机访问其他交换机。
(3)当ACL未配置规则时
①如果该ACL应用在inbound(入)方向,则允许任何其他交换机访问本地交换机。
②如果该ACL应用在outbound(出)方向,则允许本地交换机访问任何其他交换机。
5)配置VTY用户界面的终端属性
重点是protocol inbound {all | ssh | telnet}命令。关于shell命令,默认所有VTY是启动终端服务的,如果VTY用户界面上使用undo shell,将不能通过telnet到交换机了。
6)配置VTY用户界面的用户优先级,与Console用户界面配置类似,
进入VTY用户界面:user-interface vty 0 4
配置优先级: user privilege level level,VTY用户界面对应的缺省命令访问级别是0(即最低的访问级别,仅具有浏览权限)。这很正常,因为使用VTY用户界面一般是telnet或ssh,验证一般是AAA,而AAA验证是使用用户的级别的。
VTYy用户界面的验证方式配置同Console,VTY用户界面的管理也基本与Console相同,有以下命令:
display users [all]、display user-interface maximum-vty 、display user-interface vty ui-number 【summary】、display local-user、display vty mode。
特殊是diaplay vty mode,查看VTY模式,分为“人机模式”(Human-Machine mode,即人机交互模式)和“机机模式”(Machine-Machine Mode,即机机交互模式)。不过在eNSP模拟的S5700上,没有该命令,无法看到结果。