关闭

VRP系统——5

6581人阅读 评论(0) 收藏 举报
分类:

配置用户通过HTTP Web网管登录交换机

因为eNSP无法模拟http登录方式,这里只是简单过一下

整个HTTP登录方式的配置任务如下:

1、上传和加载Web网页文件:使能HTTP服务功能前,需要确保交换机上已经加载了web网页文件。

2、配置SSL策略并加载数字证书:仅在需要重新加载SSL证书时才执行此项配置任务。

3、配置HTTP服务功能:包括HTTPS及HTTP服务的使能、端口号、会话超时时间等。

4、配置HTTP用户:包括HTTP用户名及密码、用户级别、接入类型等。

5、配置HTTP访问控制:包括配置ACL规则及HTTP基本访问控制列表,仅在需要ACL控制用户通过HTTP方式登录交换机时才执行此项配置任务。

6、用户通过HTTP登录。


上传web网页文件:web网页文件必须保存在存储器根目录下,且必须是“*.web.zip”或“*.web.7z”格式,通过ftp、sftp等方式上传到设备存储器中,名称一般为“产品-软件版本号.WEB网管文件版本号.wab.7z”。

加载文本网页文件:系统视图下,http server load file-name

web网页文件中包含SSL证书,用HTTP方式登录时进行SSL验证,确保用户安全(当前HTTP登录会跳至HTTPS登录,登录成功后跳回HTTP)。

配置SSL策略并加载数字证书:上传服务器数字证书文件及私钥文件,必须保存在flash:存储器根目录的security目录中。

配置HTTP服务功能:启动HTTP、HTTPS(用户登录验证有个跳转需要HTTPS,必须启动HTTPS服务)服务功能,配置SSL策略、HTTP服务端口、HTTP会话超时和释放HTTP连接。


配置HTTP访问控制:也是通过ACL来控制的。


HTTP Web网管登录管理:在命令行执行 display httpuser [username username]查看当前在线用户的摘要信息,display http server查看当前http服务器信息

具体配置步骤:

加载web网页文件:
<HTTPServer>system-view
[HTTPServer]http server load webtest.web.7z
使能HTTPS和HTTP服务功能
[HTTPServer]http secure-server enable
[HTTPServer]http server eanble
创建HTTP用户,并配置级别和对HTTP服务的支持
[HTTPServer]aaa
[HTTPServer-aaa]local-user admin password cipher huawei
[HTTPServer-aaa]local-user admin privilege level 15
[HTTPServer-aaa]local-user admin service-type http
[HTTPServer-aaa]quit

然后登陆测试:文本浏览器中,输入http://ip

配置用户通过HTTPS web网管方式登录交换机

HTTPS将HTTP和SSL结合,通过SSL对服务器身份进行验证,对传输的数据进行加密。

配置任务如下:

1、上传及加载web网页文件;

2、上传服务器数字证书文件及私钥文件;

3、配置SSL策略并加载数字证书;

4、配置HTTPS服务功能;

5、配置HTTP用户;

6、配置HTTP访问控制;

7、用户HTTPS方式登录。


服务器数字证书格式分为PEM格式、ANSI格式和PFX格式,PEM格式是最常用一种,文件扩展名是.pem,适用于系统之间的文本模式传输。ANSI格式文件扩展名是.der,是大多数浏览器的缺省格式,PFX格式扩展名是.pfx,是可移植的格式及二进制格式。


通过httpsecure-server port port-number配置HTTPS服务监听端口号。

display ssl policy [policy-name]查看配置的SSL策略及加载的数字证书。

具体配置:

上传数字证书文件和Web网页文件,以FTP方式上传
<HUAWEI>system-view
[HUAWEI]sysname HTTPS-Server
[HTTPS-Server]ftp server eanble          #---使能FTP服务器功能
#---以下为配置FTP用户的验证信息、授权方式和授权目录。
[HTTPS-Server]aaa
[HTTPS-Server-aaa]local-user huawei password cipher huawei1
[HTTPS-Server-aaa]local-user huawei service-type ftp
[HTTPS-Server-aaa]local-user huawei privilege level 15
[HTTPS-Server-aaa]local-user huawei ftp-directory flash:
[HTTPS-Server-aaa]quit
[HTTPS-Server]quit
在客户端上传文件:
ftp ip
put local-filename [remote-file-name]
假设上传数字证书及秘钥文件为1_servercert_pem_rsa.pem和1_serverkey_pem_rsa.pem,网页文件为web001.7z
配置SSL策略并加载数字证书
#---以下为创建security目录,并将存储器根目录下的SSL数字证书文件复制到security目录中
<HTTPS-Server>mkdir security
<HTTPS-Server>copy 1_servercert_pem_rsa.pem security/
<HTTPS-Server>copy 1_serverkey_pem_rsa.pem security/
创建HTTPS服务器SSL策略,并通过certificate load pem-cert加载PEM格式数字证书。
<HTTPS-Server>system-view
[HTTPS-Server]ssl policy http_server
[HTTPS-Server-ssl-policy-http_server]certificate load pem-cert 1_servercert_pem_rsa.pem key-pair rsa key-file 1_serverkey_pem_rsa.pem auth-code cipher 123456
[HTTPS-Server-ssl-policy-http_server]quit
通过display ssl policy可以看到加载的数字证书详细信息。
加载web网页文件
[HTTPS-Server]http server load web001.7z
使能HTTPS服务器,创建HTTP用户(注意的是,用户依然是HTTP用户,而没有HTTPS用户)
[HTTPS-Server]http secure-server ssl-policy http_server
[HTTPS-Server]http secure-server enable
[HTTPS-Server]aaa
[HTTPS-Server-aaa]local-use admin password cipher huawei
[HTTPS-Server-aaa]local-use admin privilege level15
[HTTPS-Server-aaa]local-use admin service-type http
[HTTPS-Server-aaa]quit

登录测试:https://ip

登陆后的常用管理操作

1、显示在线用户:display users [all]

2、清除在线用户:kill user-interface {ui-number | ui-type ui-number} 不是直接针对用户账户操作,而是断开对应的用户界面连接。

3、设置切换用户级别的密码:super password [level user-level] [cipher password]

4、切换用户级别:super [level]

5、锁定用户配置权限:多个用户同时登陆可能出现配置冲突,可以设置权限互斥,保证同一时间只有一个用户可以配置。执行configuration exclusive,执行configuration-occupied timeout timeout-value设置自行解锁的时间间隔。执行display configuration-occupied user查看锁定配置的用户信息。



6、发送消息给其他用户界面:send {all | ui-type ui-number | ui-number},在用户视图下执行



7、自动匹配上一级视图:系统视图下执行matched upper-view命令,允许undo命令到上一级视图执行。

8、锁定用户界面:lock


9、允许在系统视图下执行用户视图命令:run comman-line,eNSP虚拟的S5700没有此命令。

10、设置交换机允许的明文密码最小长度:set password min-length length   、 undo set password min-length

常见配置错误分析与排错

1、Telnet登录失败故障分析与排除

(1)查看使用的VTY用户界面是否允许支持Telnet服务。

使用user-interface vty进入对应用户界面视图,执行display this查看对应VTY用户界面的protocol inbound命令是否设置为telnet或all

(2)查看登录交换机的用户数是否到达了上限

执行display users查看当前的VTY通道是否全部被占用,缺省VTY通道是5个,可执行display user-interface maximum-vty查看最大数,执行user-interface maximum-vty 15配置到最大数。

(3)查看交换机上VTY用户界面视图下是否正确配置了ACL

执行user-interface vty进入用户界面视图,执行display this查看是否配置了ACL,如配置了,记住ACL编号,然后执行dispaly acl acl-number查看控制列表中是否有deny规则限制了登录,在ACL视图下undo rule rule-id删除相应规则,rule permit source增加许可。

(4)查看VTY用户界面视图下是否正确设置登录验证

使用authentication-mode password,登录必须输入准确密码,使用authentication-mode aaa,必须使用local-user user-name password 命令创建用户。

2、STelnet登录失败故障分析及排除

(1)查看VTY用户界面视图下是否允许支持SSH服务。

执行user-interface vty进入视图,display this查看protocol inbound 是否为SSH或all

(2)查看登录SSH服务器端的用户数是否达到了上限

display users ,display user-interface maximum-vty

(3)查看SSH服务器端上上VTY是否绑定了ACL

如果绑定,查看相应的ACL

(4)查看SSH客户端和服务器上的SSH版本是否兼容

执行display ssh server status,查看SSH版本号,如果使用的是SSHv1版本的客户端登录服务器,需要执行ssh server compatible-ssh1x enable配置SSH服务器兼容SSHv1版本。

(5)查看SSH服务器端的SSH服务器是否启动

display ssh server status,如没启动,ssh server enable

(6)查看在SSH服务器端是否配置了RSA或DSA公钥

当交换机作为SSH服务器时必须配置本地密钥对,执行display rsa local-key-pair public或display dsa local-key-pair public命令查看当前服务器端秘钥对信息。如为空,表明没有配置服务器端密钥对,执行rsa local-key-pair create或dsa local-key-pair create命令创建。

(7)查看SSH服务器端上是否配置了SSH用户

display ssh user-information,如果不存在用户,执行ssh user 、ssh user authentication-type和ssh user service-type

(8)查看SSH客户端是否是能了首次验证功能。

在系统视图下执行display this查看SSH客户端是否是能了SSH客户端首次验证功能。如果没有使用,则STelnet客户端第一次登陆SSH服务器时由于对SSH服务器的RSA公钥有效性检查失败,导致登陆失败,此时需要执行ssh client first-time enable命令使能首次验证功能。使能了SSH客户端首次认证功能后,当STelnet/SFTP客户端第一次登陆SSH服务器时不对SSH服务器的RSA或DSA公钥进行有效性检查,因为此时STelnet/SFTP客户端还没有保存SSH服务器的RSA或DSA公钥。

远程文件管理

文件管理方式的支持:通过FTP、TFTP、SFTP、SCP或FTPS方式进行远程文件管理。交换机可以分别充当服务器和客户端的角色


1、通过FTP进行文件操作,以前学过,简略过一下

1)配置FTP服务器功能及参数;2)配置FTP本地用户;3)配置FTP访问控制(ACL);4)用户通过FTP访问





FTP访问管理:display ftp-server、display ftp-users、display acl

通过FTP进行文件操作的配置实例:

<SSHServer>system-view
Enter system view, return user view with Ctrl+Z.
[SSHServer]ftp server enable
Info: Succeeded in starting the FTP server.
[SSHServer]aaa
[SSHServer-aaa]local-user huawei password cipher huawei1
Info: Add a new user.
[SSHServer-aaa]local-user huawei privilege level 15
[SSHServer-aaa]local-user huawei service-type ftp
[SSHServer-aaa]local-user huawei ftp-directory flash:/
[SSHServer-aaa]quit
[SSHServer]


通过SFTP进行文件操作

SFTP是SSH协议的一部分,需要通过VTY用户界面进行连接(FTP协议不需要通过VTY用户界面连接)。

配置任务的步骤:

1、配置SFTP服务器功能和参数:包括服务器本地密钥对生成、SFTP服务器功能使能及参数配置:监听端口、密钥对更新时间、SSH验证超时、SSH验证重试次数等。

2、配置SSH用户登录的用户界面:包括VTY用户界面的用户验证方式、VTY用户界面支持SSH协议及其他属性。

3、配置SSH用户:包括SSH用户的创建、验证方式、服务方式、SFTP服务授权目录等。

4、用户通过SFTP协议访问交换机

从终端通过SFTP访问交换机需要在终端安装SSH客户端软件,如OpenSSH或Putty,以OpenSSH为例,在Windows命令窗口输入sftp username@ip,SFTP客户端必须手动输入完整的命令


通过SFTP进行文件操作的配置实例:




通过psftp软件登录的过程:


通过SCP进行文件操作

SCP也是SSH协议的一部分,是基于SSH协议的远程文件复制技术。

配置任务步骤“:

1、配置SCP服务器功能及参数:包括服务器本地密钥对生成、SCP服务器功能的使能及参数设置:监听端口、密钥对更新时间、ssh验证超时、ssh验证次数等。

2、配置SSH用户登录的用户界面:VTY界面,同SFTP

3、配置SSh用户:包括创建、验证、服务等。


需要在终端安装支持SCP的SSH客户端,如OpenSSH和Putty。以OpenSSH为例:

scp 【-port port-number | -a sourceaddress  | -i interface-type interface-number | -r | -cipher {des | 3des | aes128} | -c】 sourcefile destinationfile命令直接上传文件只服务器或从服务器下载文件至本地。


SCP访问管理:display scp-client、display ssh user-information 、display ssh server status 、display ssh server session。

配置实例:

在上一步配置SFTP的基础上配置:

<SSH-Server>sys
Enter system view, return user view with Ctrl+Z.
[SSH-Server]scp server enable
Info: Succeeded in starting the SCP server.
[SSH-Server]ssh user scpu authentication-type password
Info: Succeeded in adding a new SSH user.
[SSH-Server]ssh user scpu service-type ?
  all      Set all service type
  sftp     Set SFTP service type
  stelnet  Set Stelnet service type
[SSH-Server]ssh user scpu service-type all
[SSH-Server]ssh user scpu ?
  assign               Set the key
  authentication-type  Authentication type
  authorization-cmd    Authorization mode
  service-type         Set service type
  sftp-directory       Set SFTP directory
  <cr>                 
[SSH-Server]aaa
[SSH-Server-aaa]local-user scpu password cipher 321321
Info: Add a new user.
[SSH-Server-aaa]local-user scpu privilege level 15
[SSH-Server-aaa]local-user scpu service-type ?
  8021x     802.1x user
  bind      Bind authentication user
  ftp       FTP user
  http      Http user
  ppp       PPP user
  ssh       SSH user
  telnet    Telnet  user
  terminal  Terminal user
  web       Web authentication user
  x25-pad   X25-pad user
[SSH-Server-aaa]local-user scpu service-type ssh
[SSH-Server-aaa]quit
<SSH-Server>dir
Directory of flash:/


  Idx  Attr     Size(Byte)  Date        Time       FileName 
    0  drw-              -  Aug 06 2015 21:26:42   src
    1  drw-              -  May 26 2016 10:58:18   compatible
    2  drw-              -  May 27 2016 00:00:52   resetinfo
    3  -rw-            481  May 31 2016 15:40:22   vrpcfg-test.zip

32,004 KB total (31,940 KB free)
<SSH-Server>

注意:SSH用户的service-type是all,没有scp这一选项;aaa创建的local-user的service-type是ssh;ssh user没有scp-directory这一项,默认就能访问flash:


通过FTPS进行文件操作

FTPS将FTP协议和SSL协议结合,通过SSL对服务器进行验证,对传输的数据进行加密。

配置任务步骤:

1、上传服务器数字证书及私钥文件;

2、配置SSL策略并加载数字证书,同HTTPS配置;

3、配置FTPS服务器功能及参数,包括为FTPS服务器配置SSL策略、使能及参数:端口、源地址、超时等;

4、配置FTP本地用户:包括配置本地用户服务类型及授权目录。

5、通过FTPS访问交换机;



配置实例:



<HUAWEI>system-view
[HUAWEI]sysname FTPS-Server
[FTPS-Server]ftp server eanble          #---使能FTP服务器功能
[FTPS-Server]aaa
[FTPS-Server-aaa]local-user huawei password cipher huawei1
[FTPS-Server-aaa]local-user huawei service-type ftp
[FTPS-Server-aaa]local-user huawei privilege level 3
[FTPS-Server-aaa]local-user huawei ftp-directory flash:
[FTPS-Server-aaa]quit
[FTPS-Server]quit
在客户端上传文件:
ftp ip
put local-filename [remote-file-name]
假设上传数字证书及秘钥文件为servercert.der和serverkey.der
配置SSL策略并加载数字证书
#---以下为创建security目录,并将存储器根目录下的SSL数字证书文件复制到security目录中
<FTPS-Server>mkdir security
<FTPS-Server>copy servercert.der security/
<FTPS-Server>copy serverkey.der security/
创建FTPS服务器SSL策略,并通过certificate load pem-cert加载PEM格式数字证书。
<FTPS-Server>system-view
[FTPS-Server]ssl policy FTP_server
[FTPS-Server-ssl-policy-FTP_server]certificate load ans1-cert servercert.der key-pair rsa key-file serverkey.der 
[FTPS-Server-ssl-policy-FTP_server]quit
通过display ssl policy可以看到加载的数字证书详细信息。


使能FTPS服务器,创建FTP用户(注意的是,用户依然是FTP用户,而没有FTPS用户)
[FTPS-Server]undo ftp server   #---使能FTPS服务器功能前,必须先关闭普通FTP服务器功能。
[FTPS-Server]FTP secure-server ssl-policy FTP_server
[FTPS-Server]FTP secure-server enable


0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:354672次
    • 积分:5841
    • 等级:
    • 排名:第4362名
    • 原创:235篇
    • 转载:13篇
    • 译文:0篇
    • 评论:22条
    最新评论