VRP系统——5
Posted kaoa000
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了VRP系统——5相关的知识,希望对你有一定的参考价值。
配置用户通过HTTP Web网管登录交换机
因为eNSP无法模拟http登录方式,这里只是简单过一下
整个HTTP登录方式的配置任务如下:
1、上传和加载Web网页文件:使能HTTP服务功能前,需要确保交换机上已经加载了web网页文件。
2、配置SSL策略并加载数字证书:仅在需要重新加载SSL证书时才执行此项配置任务。
3、配置HTTP服务功能:包括HTTPS及HTTP服务的使能、端口号、会话超时时间等。
4、配置HTTP用户:包括HTTP用户名及密码、用户级别、接入类型等。
5、配置HTTP访问控制:包括配置ACL规则及HTTP基本访问控制列表,仅在需要ACL控制用户通过HTTP方式登录交换机时才执行此项配置任务。
6、用户通过HTTP登录。
上传web网页文件:web网页文件必须保存在存储器根目录下,且必须是“*.web.zip”或“*.web.7z”格式,通过ftp、sftp等方式上传到设备存储器中,名称一般为“产品-软件版本号.WEB网管文件版本号.wab.7z”。
加载文本网页文件:系统视图下,http server load file-name
web网页文件中包含SSL证书,用HTTP方式登录时进行SSL验证,确保用户安全(当前HTTP登录会跳至HTTPS登录,登录成功后跳回HTTP)。
配置SSL策略并加载数字证书:上传服务器数字证书文件及私钥文件,必须保存在flash:存储器根目录的security目录中。
配置HTTP服务功能:启动HTTP、HTTPS(用户登录验证有个跳转需要HTTPS,必须启动HTTPS服务)服务功能,配置SSL策略、HTTP服务端口、HTTP会话超时和释放HTTP连接。
配置HTTP访问控制:也是通过ACL来控制的。
HTTP Web网管登录管理:在命令行执行 display httpuser [username username]查看当前在线用户的摘要信息,display http server查看当前http服务器信息
具体配置步骤:
加载web网页文件:
<HTTPServer>system-view
[HTTPServer]http server load webtest.web.7z
使能HTTPS和HTTP服务功能
[HTTPServer]http secure-server enable
[HTTPServer]http server eanble
创建HTTP用户,并配置级别和对HTTP服务的支持
[HTTPServer]aaa
[HTTPServer-aaa]local-user admin password cipher huawei
[HTTPServer-aaa]local-user admin privilege level 15
[HTTPServer-aaa]local-user admin service-type http
[HTTPServer-aaa]quit
然后登陆测试:文本浏览器中,输入http://ip
配置用户通过HTTPS web网管方式登录交换机
HTTPS将HTTP和SSL结合,通过SSL对服务器身份进行验证,对传输的数据进行加密。
配置任务如下:
1、上传及加载web网页文件;
2、上传服务器数字证书文件及私钥文件;
3、配置SSL策略并加载数字证书;
4、配置HTTPS服务功能;
5、配置HTTP用户;
6、配置HTTP访问控制;
7、用户HTTPS方式登录。
服务器数字证书格式分为PEM格式、ANSI格式和PFX格式,PEM格式是最常用一种,文件扩展名是.pem,适用于系统之间的文本模式传输。ANSI格式文件扩展名是.der,是大多数浏览器的缺省格式,PFX格式扩展名是.pfx,是可移植的格式及二进制格式。
通过httpsecure-server port port-number配置HTTPS服务监听端口号。
display ssl policy [policy-name]查看配置的SSL策略及加载的数字证书。
具体配置:
上传数字证书文件和Web网页文件,以FTP方式上传
<HUAWEI>system-view
[HUAWEI]sysname HTTPS-Server
[HTTPS-Server]ftp server eanble #---使能FTP服务器功能
#---以下为配置FTP用户的验证信息、授权方式和授权目录。
[HTTPS-Server]aaa
[HTTPS-Server-aaa]local-user huawei password cipher huawei1
[HTTPS-Server-aaa]local-user huawei service-type ftp
[HTTPS-Server-aaa]local-user huawei privilege level 15
[HTTPS-Server-aaa]local-user huawei ftp-directory flash:
[HTTPS-Server-aaa]quit
[HTTPS-Server]quit
在客户端上传文件:
ftp ip
put local-filename [remote-file-name]
假设上传数字证书及秘钥文件为1_servercert_pem_rsa.pem和1_serverkey_pem_rsa.pem,网页文件为web001.7z
配置SSL策略并加载数字证书
#---以下为创建security目录,并将存储器根目录下的SSL数字证书文件复制到security目录中
<HTTPS-Server>mkdir security
<HTTPS-Server>copy 1_servercert_pem_rsa.pem security/
<HTTPS-Server>copy 1_serverkey_pem_rsa.pem security/
创建HTTPS服务器SSL策略,并通过certificate load pem-cert加载PEM格式数字证书。
<HTTPS-Server>system-view
[HTTPS-Server]ssl policy http_server
[HTTPS-Server-ssl-policy-http_server]certificate load pem-cert 1_servercert_pem_rsa.pem key-pair rsa key-file 1_serverkey_pem_rsa.pem auth-code cipher 123456
[HTTPS-Server-ssl-policy-http_server]quit
通过display ssl policy可以看到加载的数字证书详细信息。
加载web网页文件
[HTTPS-Server]http server load web001.7z
使能HTTPS服务器,创建HTTP用户(注意的是,用户依然是HTTP用户,而没有HTTPS用户)
[HTTPS-Server]http secure-server ssl-policy http_server
[HTTPS-Server]http secure-server enable
[HTTPS-Server]aaa
[HTTPS-Server-aaa]local-use admin password cipher huawei
[HTTPS-Server-aaa]local-use admin privilege level15
[HTTPS-Server-aaa]local-use admin service-type http
[HTTPS-Server-aaa]quit
登录测试:https://ip
登陆后的常用管理操作
1、显示在线用户:display users [all]
2、清除在线用户:kill user-interface {ui-number | ui-type ui-number} 不是直接针对用户账户操作,而是断开对应的用户界面连接。
3、设置切换用户级别的密码:super password [level user-level] [cipher password]
4、切换用户级别:super [level]
5、锁定用户配置权限:多个用户同时登陆可能出现配置冲突,可以设置权限互斥,保证同一时间只有一个用户可以配置。执行configuration exclusive,执行configuration-occupied timeout timeout-value设置自行解锁的时间间隔。执行display configuration-occupied user查看锁定配置的用户信息。
6、发送消息给其他用户界面:send {all | ui-type ui-number | ui-number},在用户视图下执行
7、自动匹配上一级视图:系统视图下执行matched upper-view命令,允许undo命令到上一级视图执行。
8、锁定用户界面:lock
9、允许在系统视图下执行用户视图命令:run comman-line,eNSP虚拟的S5700没有此命令。
10、设置交换机允许的明文密码最小长度:set password min-length length 、 undo set password min-length
常见配置错误分析与排错
1、Telnet登录失败故障分析与排除
(1)查看使用的VTY用户界面是否允许支持Telnet服务。
使用user-interface vty进入对应用户界面视图,执行display this查看对应VTY用户界面的protocol inbound命令是否设置为telnet或all
(2)查看登录交换机的用户数是否到达了上限
执行display users查看当前的VTY通道是否全部被占用,缺省VTY通道是5个,可执行display user-interface maximum-vty查看最大数,执行user-interface maximum-vty 15配置到最大数。
(3)查看交换机上VTY用户界面视图下是否正确配置了ACL
执行user-interface vty进入用户界面视图,执行display this查看是否配置了ACL,如配置了,记住ACL编号,然后执行dispaly acl acl-number查看控制列表中是否有deny规则限制了登录,在ACL视图下undo rule rule-id删除相应规则,rule permit source增加许可。
(4)查看VTY用户界面视图下是否正确设置登录验证
使用authentication-mode password,登录必须输入准确密码,使用authentication-mode aaa,必须使用local-user user-name password 命令创建用户。
2、STelnet登录失败故障分析及排除
(1)查看VTY用户界面视图下是否允许支持SSH服务。
执行user-interface vty进入视图,display this查看protocol inbound 是否为SSH或all
(2)查看登录SSH服务器端的用户数是否达到了上限
display users ,display user-interface maximum-vty
(3)查看SSH服务器端上上VTY是否绑定了ACL
如果绑定,查看相应的ACL
(4)查看SSH客户端和服务器上的SSH版本是否兼容
执行display ssh server status,查看SSH版本号,如果使用的是SSHv1版本的客户端登录服务器,需要执行ssh server compatible-ssh1x enable配置SSH服务器兼容SSHv1版本。
(5)查看SSH服务器端的SSH服务器是否启动
display ssh server status,如没启动,ssh server enable
(6)查看在SSH服务器端是否配置了RSA或DSA公钥
当交换机作为SSH服务器时必须配置本地密钥对,执行display rsa local-key-pair public或display dsa local-key-pair public命令查看当前服务器端秘钥对信息。如为空,表明没有配置服务器端密钥对,执行rsa local-key-pair create或dsa local-key-pair create命令创建。
(7)查看SSH服务器端上是否配置了SSH用户
display ssh user-information,如果不存在用户,执行ssh user 、ssh user authentication-type和ssh user service-type
(8)查看SSH客户端是否是能了首次验证功能。
在系统视图下执行display this查看SSH客户端是否是能了SSH客户端首次验证功能。如果没有使用,则STelnet客户端第一次登陆SSH服务器时由于对SSH服务器的RSA公钥有效性检查失败,导致登陆失败,此时需要执行ssh client first-time enable命令使能首次验证功能。使能了SSH客户端首次认证功能后,当STelnet/SFTP客户端第一次登陆SSH服务器时不对SSH服务器的RSA或DSA公钥进行有效性检查,因为此时STelnet/SFTP客户端还没有保存SSH服务器的RSA或DSA公钥。
远程文件管理
文件管理方式的支持:通过FTP、TFTP、SFTP、SCP或FTPS方式进行远程文件管理。交换机可以分别充当服务器和客户端的角色
1、通过FTP进行文件操作,以前学过,简略过一下
1)配置FTP服务器功能及参数;2)配置FTP本地用户;3)配置FTP访问控制(ACL);4)用户通过FTP访问
FTP访问管理:display ftp-server、display ftp-users、display acl
通过FTP进行文件操作的配置实例:
<SSHServer>system-view
Enter system view, return user view with Ctrl+Z.
[SSHServer]ftp server enable
Info: Succeeded in starting the FTP server.
[SSHServer]aaa
[SSHServer-aaa]local-user huawei password cipher huawei1
Info: Add a new user.
[SSHServer-aaa]local-user huawei privilege level 15
[SSHServer-aaa]local-user huawei service-type ftp
[SSHServer-aaa]local-user huawei ftp-directory flash:/
[SSHServer-aaa]quit
[SSHServer]
通过SFTP进行文件操作
SFTP是SSH协议的一部分,需要通过VTY用户界面进行连接(FTP协议不需要通过VTY用户界面连接)。
配置任务的步骤:
1、配置SFTP服务器功能和参数:包括服务器本地密钥对生成、SFTP服务器功能使能及参数配置:监听端口、密钥对更新时间、SSH验证超时、SSH验证重试次数等。
2、配置SSH用户登录的用户界面:包括VTY用户界面的用户验证方式、VTY用户界面支持SSH协议及其他属性。
3、配置SSH用户:包括SSH用户的创建、验证方式、服务方式、SFTP服务授权目录等。
4、用户通过SFTP协议访问交换机
从终端通过SFTP访问交换机需要在终端安装SSH客户端软件,如OpenSSH或Putty,以OpenSSH为例,在Windows命令窗口输入sftp username@ip,SFTP客户端必须手动输入完整的命令
通过SFTP进行文件操作的配置实例:
通过psftp软件登录的过程:
通过SCP进行文件操作
SCP也是SSH协议的一部分,是基于SSH协议的远程文件复制技术。
配置任务步骤“:
1、配置SCP服务器功能及参数:包括服务器本地密钥对生成、SCP服务器功能的使能及参数设置:监听端口、密钥对更新时间、ssh验证超时、ssh验证次数等。
2、配置SSH用户登录的用户界面:VTY界面,同SFTP
3、配置SSh用户:包括创建、验证、服务等。
需要在终端安装支持SCP的SSH客户端,如OpenSSH和Putty。以OpenSSH为例:
scp 【-port port-number | -a sourceaddress | -i interface-type interface-number | -r | -cipher {des | 3des | aes128} | -c】 sourcefile destinationfile命令直接上传文件只服务器或从服务器下载文件至本地。
SCP访问管理:display scp-client、display ssh user-information 、display ssh server status 、display ssh server session。
配置实例:
在上一步配置SFTP的基础上配置:
<SSH-Server>sys
Enter system view, return user view with Ctrl+Z.
[SSH-Server]scp server enable
Info: Succeeded in starting the SCP server.
[SSH-Server]ssh user scpu authentication-type password
Info: Succeeded in adding a new SSH user.
[SSH-Server]ssh user scpu service-type ?
all Set all service type
sftp Set SFTP service type
stelnet Set Stelnet service type
[SSH-Server]ssh user scpu service-type all
[SSH-Server]ssh user scpu ?
assign Set the key
authentication-type Authentication type
authorization-cmd Authorization mode
service-type Set service type
sftp-directory Set SFTP directory
<cr>
[SSH-Server]aaa
[SSH-Server-aaa]local-user scpu password cipher 321321
Info: Add a new user.
[SSH-Server-aaa]local-user scpu privilege level 15
[SSH-Server-aaa]local-user scpu service-type ?
8021x 802.1x user
bind Bind authentication user
ftp FTP user
http Http user
ppp PPP user
ssh SSH user
telnet Telnet user
terminal Terminal user
web Web authentication user
x25-pad X25-pad user
[SSH-Server-aaa]local-user scpu service-type ssh
[SSH-Server-aaa]quit
<SSH-Server>dir
Directory of flash:/
Idx Attr Size(Byte) Date Time FileName
0 drw- - Aug 06 2015 21:26:42 src
1 drw- - May 26 2016 10:58:18 compatible
2 drw- - May 27 2016 00:00:52 resetinfo
3 -rw- 481 May 31 2016 15:40:22 vrpcfg-test.zip
32,004 KB total (31,940 KB free)
<SSH-Server>
注意:SSH用户的service-type是all,没有scp这一选项;aaa创建的local-user的service-type是ssh;ssh user没有scp-directory这一项,默认就能访问flash:
通过FTPS进行文件操作
FTPS将FTP协议和SSL协议结合,通过SSL对服务器进行验证,对传输的数据进行加密。
配置任务步骤:
1、上传服务器数字证书及私钥文件;
2、配置SSL策略并加载数字证书,同HTTPS配置;
3、配置FTPS服务器功能及参数,包括为FTPS服务器配置SSL策略、使能及参数:端口、源地址、超时等;
4、配置FTP本地用户:包括配置本地用户服务类型及授权目录。
5、通过FTPS访问交换机;
配置实例:
<HUAWEI>system-view
[HUAWEI]sysname FTPS-Server
[FTPS-Server]ftp server eanble #---使能FTP服务器功能
[FTPS-Server]aaa
[FTPS-Server-aaa]local-user huawei password cipher huawei1
[FTPS-Server-aaa]local-user huawei service-type ftp
[FTPS-Server-aaa]local-user huawei privilege level 3
[FTPS-Server-aaa]local-user huawei ftp-directory flash:
[FTPS-Server-aaa]quit
[FTPS-Server]quit
在客户端上传文件:
ftp ip
put local-filename [remote-file-name]
假设上传数字证书及秘钥文件为servercert.der和serverkey.der
配置SSL策略并加载数字证书
#---以下为创建security目录,并将存储器根目录下的SSL数字证书文件复制到security目录中
<FTPS-Server>mkdir security
<FTPS-Server>copy servercert.der security/
<FTPS-Server>copy serverkey.der security/
创建FTPS服务器SSL策略,并通过certificate load pem-cert加载PEM格式数字证书。
<FTPS-Server>system-view
[FTPS-Server]ssl policy FTP_server
[FTPS-Server-ssl-policy-FTP_server]certificate load ans1-cert servercert.der key-pair rsa key-file serverkey.der
[FTPS-Server-ssl-policy-FTP_server]quit
通过display ssl policy可以看到加载的数字证书详细信息。
使能FTPS服务器,创建FTP用户(注意的是,用户依然是FTP用户,而没有FTPS用户)
[FTPS-Server]undo ftp server #---使能FTPS服务器功能前,必须先关闭普通FTP服务器功能。
[FTPS-Server]FTP secure-server ssl-policy FTP_server
[FTPS-Server]FTP secure-server enable
以上是关于VRP系统——5的主要内容,如果未能解决你的问题,请参考以下文章