发布日期:2025-05-14 06:14 点击次数:67
1.1 登录方式简介
您可以通过以下几种方式登录到交换机的命令行界面,对交换机进行配置和管理。
表1-1 登录方式简介
登录方式
缺省状况
通过Console口/AUX口进行本地登录
缺省情况下,您可以直接通过Console口或AUX口本地登录交换机,登录时认证方式为None(不需要用户名和密码),登录用户级别为3
通过Telnet进行远程登录
缺省情况下,您不能直接通过Telnet方式登录交换机。如需采用Telnet方式登录,需要先通过Console口本地登录交换机、并完成如下配置:
· 开启交换机Telnet Server功能(缺省情况下,交换机的Telnet Server功能处于关闭状态)
· 配置交换机网管口或VLAN接口的IP地址,确保交换机与Telnet登录用户间路由可达(缺省情况下,交换机没有IP地址)
· 配置VTY用户的认证方式(缺省情况下,VTY用户采用Password认证方式)
· 配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0)
通过SSH进行远程登录
缺省情况下,您不能直接通过SSH方式登录交换机。如需采用SSH方式登录,需要先通过Console口本地登录交换机、并完成如下配置:
· 开启交换机SSH Server功能并完成SSH属性的配置(缺省情况下,交换机的SSH Server功能处于关闭状态)
· 配置交换机VLAN接口的IP地址,确保交换机与Telnet登录用户间路由可达(缺省情况下,交换机没有IP地址)
· 配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用Password认证方式)
· 配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0)
通过AUX口利用Modem拨号远程登录
缺省情况下,您不能直接通过AUX口利用Modem拨号远程登录交换机。如需通过AUX口登录,请先通过Console口本地登录交换机、并完成如下配置:
· 配置AUX用户的认证方式(缺省情况下,AUX用户采用Password认证方式)
· 配置AUX用户的用户级别(缺省情况下,AUX用户的用户级别为0)
1.2 通过Console口/AUX口进行本地登录
1.2.1 通过Console口进行本地登录简介
通过交换机Console口进行本地登录是登录交换机的最基本的方式,也是配置通过其他方式登录交换机的基础。缺省情况下,交换机只能通过Console口进行本地登录。
用户终端的通信参数配置要和交换机Console口的缺省配置保持一致,才能通过Console口登录到交换机上。交换机Console口的缺省配置如下:
表1-2 交换机Console口缺省配置
属性
缺省配置
传输速率
9600bit/s
流控方式
不进行流控
校验方式
不进行校验
停止位
1
数据位
8
1.2.2 通过Console口登录交换机
(1) 如图1-1所示,建立本地配置环境,将PC机或终端的串口通过配置电缆与交换机的Console口连接。
图1-1 通过Console口连接S9500E
请按照如下顺序连接配置电缆:
第一步:将配置电缆的DB-9孔式插头连接到要对交换机进行配置的PC机或终端的串口上。
第二步:将配置电缆的RJ-45一端插入到交换机主控板上的Console口。
(2) 在PC机上运行终端仿真程序(如Windows XP/Windows 2000的超级终端等,以下配置以Windows XP为例),选择与交换机相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图1-2至图1-4所示。
图1-2 新建连接
图1-3 连接端口设置
图1-4 端口通信参数设置
(3) 交换机上电,终端上显示交换机自检信息,自检结束后提示用户键入回车,之后将出现如下命令行提示符:
<Sysname>
(4) 键入命令,配置交换机或查看交换机运行状态。需要帮助可以随时键入“?”。
(5) 执行完以上步骤后,您就可以登录交换机的CLI界面,使用命令行对交换机进行配置和管理了。缺省情况下,使用Console用户界面登录交换机时不需要身份认证。为了提升安全性,建议修改Console用户界面的认证方式。下面以password认证方式的配置为例进行介绍。
<Sysname> system-view
[Sysname] user-interface console 0
[Sysname-ui-console0] authentication-mode password
[Sysname-ui-console0] set authentication password cipher 123
执行以上操作后,用户使用Console用户界面重新登录交换机时,需要输入认证密码123才能通过身份验证,成功登录交换机。
1.3 通过Telnet进行远程登录 1.3.1 通过Telnet进行远程登录简介
交换机支持Telnet功能,您可以通过Telnet方式对交换机进行远程管理和维护。
Telnet Server和Telnet Client都要进行相应的配置,您才能通过Telnet Client正常登录到Telnet Server。
表1-3 通过Telnet方式登录需要具备的条件
对象
需要具备的条件
Telnet Server
· 配置Telnet Server的IP地址
· Telnet Server与Telnet Client间路由可达
· 开启Telnet服务器功能
· 配置Telnet登录的认证方式
Telnet Client
运行了Telnet程序
获取要登录的Telnet Server的IP地址
交换机既可以充当Telnet Server,tp官网下载最新版本安装也可以充当Telnet Client。
· 作为Telnet Server
缺省情况下, tpwallet钱包下载交换机的Telnet Server功能处于关闭状态,通过Telnet方式登录交换机的认证方式为Password,但交换机没有配置缺省的登录密码。因此在缺省情况下您无法通过Telnet登录到交换机上。
如果您想通过Telnet方式登录交换机,需要首先完成以下配置:
(1) 通过Console口登录交换机,配置交换机网管口或VLAN接口的IP地址;
(2) 开启交换机的Telnet Server功能(telnet server enable);
(3) 配置通过Telnet登录交换机的认证方式;
(4) 配置用户级别及公共属性。具体介绍请参见5.3.2 配置用户界面公共属性(可选)。
· 作为Telnet Client
缺省情况下,交换机的Telnet Client功能处于开启状态。您可以通过交换机登录到其他Telnet Server上。
1.3.2 通过Telnet Client登录到交换机 1. 交换机作为Telnet Server,通过Telnet Client登录到交换机
(1) 通过Console口登录交换机(详见1.2.2 通过Console口登录交换机),配置交换机网络管理口(以下简称“网管口”)的IP地址。
# 配置交换机网管口的IP地址为202.38.160.92/24。
<Sysname> system-view
[Sysname] interface M-Ethernet 0/0/0
[Sysname-M-Ethernet0/0/0] ip address 202.38.160.92 255.255.255.0
(2) 开启交换机的Telnet Server功能。
表1-4 在交换机上启动Telnet服务
操作
命令
说明
进入系统视图
system-view
-
在交换机上启动Telnet服务
telnet server enable
必选
缺省情况下,Telnet服务处于关闭状态
(3) 进入VTY用户界面视图,配置用户通过Telnet登录交换机的认证方式(请参见5.8 配置用户的认证方式)。
(4) 配置从VTY用户界面登录交换机所能访问的命令级别(请参见“基础配置指导”中的“CLI”)。缺省情况下,通过Telnet登录交换机时只能访问命令级别为0级的命令。
(5) 如图1-5所示建立配置环境,将PC机以太网口通过网络与交换机的网管口连接,确保PC机和网管口之间路由可达。
图1-5 通过局域网搭建本地配置环境
(6) 在PC机上运行Telnet程序,输入交换机网管口的IP地址,如图1-6所示。
图1-6 运行Telnet程序
(7) 如果之前配置的Telnet登录认证方式为none,则无需用户名和密码即可登录;如果认证方式为password,则终端会提示您输入登录密码;如果认证方式为scheme,则需要输入用户名和密码后才能登录,如果用户输入正确的登录用户名和密码后,交换机提示用户再次输入一个指定类型的密码,则表示当前用户需要进行二次密码认证,即用户还必须根据提示信息输入一个正确的密码后才能通过认证。
(8) 使用相应命令配置交换机或查看交换机运行状态。需要帮助可以随时键入“?”。
1.3.3 通过交换机Telnet登录到其他设备
您可以通过交换机Telnet登录到其他设备上,对其他设备进行配置。
(1) 如图1-7所示建立配置环境。
图1-7 通过Telnet Client交换机登录到Telnet Server交换机
(2) 对Telnet Server进行配置。
· 在Telnet Server设备上开启Telnet Server功能。
· 针对用户需要的不同认证方式,在作为Telnet Server的交换机上进行相应配置。
(3) 登录到作为Telnet Client的交换机。
(4) 在Telnet Client上通过telnet命令登录到Telnet Server。
表1-5 交换机作为Telnet Client登录到其它设备
操作
命令
说明
进入系统视图
system-view
-
指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口
telnet client source { interface interface-type interface-number | ip ip-address }
可选
缺省情况下,没有指定发送Telnet报文的源IPv4地址和源接口,此时通过路由选择源IPv4地址
退出至系统视图
quit
-
交换机作为Telnet Client登录到Telnet Server
telnet remote-host [ service-port ] [ [ vpn-instance vpn-instance-name ] | [ source { interface interface-type interface-number | ip ip-address } ] ]
二者必选其一
此命令在用户视图下执行
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ]
(5) 登录后,出现命令行提示符(如<Sysname>)。如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到交换机的用户过多,请稍候再连接。
(6) 使用相应命令配置交换机或查看交换机运行状态。需要帮助可以随时键入“?”。
1.4 通过SSH进行远程登录 1.4.1 通过SSH登录交换机简介SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到交换机时,SSH可以利用加密和强大的认证功能提供安全保障,保护交换机不受诸如IP地址欺诈、明文密码截取等攻击。交换机支持SSH功能,用户可以通过SSH方式登录到交换机上,对交换机进行远程管理和维护如图1-8所示。
图1-8 通过SSH登录
表1-6 采用SSH方式登录需要具备的条件
对象
需要具备的条件
SSH Server
配置SSH Server的IP地址,SSH Server与SSH Client间路由可达
配置SSH登录的认证方式和其它配置(根据SSH Server的情况而定)
SSH Client
如果是主机作为SSH客户端,则需要在主机上运行SSH客户端程序
获取要登录的SSH Server的IP地址
交换机既可以充当SSH Server,也可以充当SSH Client。
作为SSH Server:
· 可在SSH Server上进行一系列的配置,实现对不同SSH Client的登录权限的控制。
· 缺省情况下,交换机的SSH Server功能处于关闭状态,因此当您使用SSH方式登录交换机前,首先需要通过Console口登录到交换机上,开启交换机的SSH Server功能、对认证方式及其它属性进行相应的配置,才能保证通过SSH方式正常登录到交换机。
作为SSH Client:
· 可通过交换机登录到SSH Server上,从而对SSH Server进行操作。
· 缺省情况下,交换机的SSH Client功能处于开启状态。
1.4.2 通过SSH Client登录到交换机 1. 配置前提通过Console口本地登录交换机,具体请参见1.2 通过Console口/AUX口进行本地登录。
2. 配置过程表1-7 交换机充当SSH SERVER时的配置
操作
命令
说明
进入系统视图
system-view
-
生成本地DSA或RSA密钥对
public-key local create { dsa | rsa }
必选
缺省情况下,没有生成DSA和RSA密钥对
使能SSH SERVER功能
ssh server enable
必选
缺省情况下,SSH SERVER功能处于关闭状态
退出至系统视图
quit
-
进入VTY用户界面视图
user-interface vty first-number [ last-number ]
-
配置登录用户界面的认证方式为scheme方式
authentication-mode scheme
必选
缺省情况下,用户界面认证为password方式
配置所在用户界面支持SSH协议
protocol inbound { all | ssh | telnet }
可选
缺省情况下,系统支持所有的协议,即支持Telnet和SSH
退出至系统视图
quit
-
配置交换机采用的认证方案
进入ISP域视图
domain domain-name
可选
缺省情况下,系统使用的AAA方案为local
如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:
· 交换机上的配置请参见“安全配置指导”中的“AAA”
· AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书
配置域使用的AAA方案
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
退出至系统视图
quit
创建本地用户,并进入本地用户视图
local-user user-name
必选
缺省情况下,没有配置本地用户
设置本地认证口令
password { cipher | simple } password
必选
缺省情况下,没有配置本地认证口令
设置本地用户的命令级别
authorization-attribute level level
可选
缺省情况下,命令级别为0
设置本地用户的服务类型
service-type ssh
必选
缺省情况下,不对用户授权任何服务
退回系统视图
quit
-
建立SSH用户,并指定SSH用户的认证方式
ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname }
可选
缺省情况下,没有配置SSH用户及SSH用户的认证方式
配置VTY用户界面的公共属性
-
可选
详细配置请参见5.3.2 配置用户界面公共属性
1.4.3 交换机充当SSH Client登录其它设备 1. 配置前提
通过Console口本地登录交换机,具体请参见1.2 通过Console口/AUX口进行本地登录。
图1-9 通过交换机登录到其它设备
2. 配置过程
表1-8 交换机作为SSH Client登录到其它设备的配置
操作
命令
说明
交换机作为SSH Client登录到SSH IPv4服务器端
ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ]
必选
server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写
此命令在用户视图下执行
交换机作为SSH Client登录到SSH IPv6服务器端
ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ]
必选
server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写
此命令在用户视图下执行
配置完成后,交换机即可登录到相应的SSH Server上。
1.5 通过AUX口利用Modem拨号远程登录 1.5.1 通过AUX口利用Modem拨号远程登录简介网络管理员可以通过远端交换机的AUX口,利用一对Modem和PSTN(Public Switched Telephone Network,公共电话交换网)对远端的交换机进行远程维护。这种方式一般适用于在网络中断的情况下,利用PSTN网络对交换机进行远程配置、日志/告警信息查询、故障定位。
交换机和网络管理员端都要进行相应的配置,才能保证通过AUX口利用Modem拨号进行远程登录交换机。
表1-9 通过AUX口利用Modem拨号远程登录需要具备的条件
配置对象
需要具备的条件
网络管理员端
PC终端与Modem正确连接
Modem与可正常使用的电话线正确相连
获取了远程交换机端AUX口所连Modem上对应的电话号码
https://www.cqhq88.com远程交换机端
AUX口与Modem正确连接
在Modem上进行了正确的配置
Modem与可正常使用的电话线正确相连
远程交换机上配置了登录用户的认证方式及认证方式对应的其它配置,请参见5.8 配置用户的认证方式
1.5.2 网络管理员端的相关配置
PC终端与Modem正确连接、Modem与可正常使用的电话线正确相连、获取了远程交换机端AUX口所连Modem上对应的电话号码。
1.5.3 交换机端的相关配置 1. 与交换机直接相连的Modem上的配置在与交换机直接相连的Modem上进行以下配置(与终端相连的Modem不需要进行配置)。
AT&F ----------------------- Modem恢复出厂配置
ATS0=1 ----------------------- 配置自动应答(振铃一声)
AT&D ----------------------- 忽略DTR信号
AT&K0 ----------------------- 禁止流量控制
AT&R1 ----------------------- 忽略RTS信号
AT&S0 ----------------------- 强制DSR为高电平
ATEQ1&W ----------------------- 禁止modem回送命令响应和执行结果并存储配置
在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果。
2. 交换机的相关配置
通过AUX口利用Modem拨号进行远程登录时,使用的是AUX用户界面,交换机上的配置需要注意以下几点:
· AUX口波特率Speed要低于Modem的传输速率,否则可能会出现丢包现象。
· AUX口的其它属性(AUX口校验方式、AUX口的停止位、AUX的数据位)均采用缺省值。
1.5.4 通过Modem拨号搭建配置环境(1) 在与交换机直接相连的Modem上进行以下配置。
AT&F ----------------------- Modem恢复出厂配置
ATS0=1 ----------------------- 配置自动应答(振铃一声)
AT&D ----------------------- 忽略DTR信号
AT&K0 ----------------------- 禁止流量控制
AT&R1 ----------------------- 忽略RTS信号
AT&S0 ----------------------- 强制DSR为高电平
ATEQ1&W ----------------------- 禁止modem回送命令响应和执行结果并存储配置
在配置后为了查看Modem的配置是否正确,可以输入AT&V命令显示配置的结果。
(2) 如图1-10所示,建立远程配置环境,在PC机(或终端)的串口和交换机的AUX口分别挂接Modem。
图1-10 搭建远程配置环境
(3) 在远端通过终端仿真程序和Modem向交换机拨号(所拨号码应该是与交换机相连的Modem的电话号码),与交换机建立连接,如图图1-12至图1-13所示。
图1-11 新建连接
图1-12 拨号号码配置
图1-13 在远端PC机上拨号
(4) 如果配置认证方式为Password,在远端的终端仿真程序上输入已配置的登录口令,出现命令行提示符(如<Sysname>),即可对交换机进行配置或管理。需要帮助可以随时键入“?”。
Powered by tpwallet钱包下载 @2013-2022 RSS地图 HTML地图
Copyright Powered by站群 © 2013-2024
