交换机管理安全配置

【实训任务】

交换机在网络中作为一个中枢设备与许多工作站、服务器、路由器相连接。大量的业务数据也要通过交换机来进行传送转发。如果交换机的配置内容被攻击者修改，很可能造成网络的工作异常甚至整体瘫痪，从而失去网络通信的能力。因此网络管理员往往要对交换机的管理安全进行配置，保证其运行的安全。

通过本次实训内容，主要完成以下两个方面的管理安全配置。

第一个是带外管理，即通过Console 口进入交换机管理时，进行安全验证，通过者才能进入交换机的CLI命令行。

第二个是带内管理，当管理员通过Telnet 远程登录交换机对交换机进行管理时，进行安全验证，通过者才能进入交换机的CLI命令行。

【实训拓扑】

启动HCL模拟器，添加一台S5820V2-54QS-GE，添加一台 Host，按照实训图4-1连接设备，并进行标注后，启动S5820V2-54QS-GE_1。

启动VM VirtualBox软件，选择 Win7-01，鼠标右键设置网络选项卡，选择VirtualBox Host-only Ethernet Adapter，确定后启动该虚拟机。进入Windows操作系统之后，设置Win7-01的IP地址为192.168.1.2，子网掩码255.255.255.0。

【实训步骤】

1.配置Console口进入交换机管理时，进行安全验证

①双击S5820V2-54QS-GE_1进入设备的配置CLI，完成以下配置命令。

<H3C>system-view
[H3C]user-interface console 0
\\进入用户接口console配置模式，console口只有一个，编号为0。
[H3C-line-console0]authentication-mode password
\\配置认证模式为密码。
[H3C-line-console0]set authentication password ?
  hash      Specify a hashtext password
  simple   Specify a plaintext password
\\配置认证密码有两种，一种hash为密文密码，另一种为simple明文密码。
[H3C-line-console0]set authentication password simple 654321
[H3C-line-console0]
\\配置认为密码为simple明文密码，密码为654321。

②结果验证：

[H3C-line-console0]end
\\退出至用户视图。
[H3C]quit
\\退出console口配置，重新进入CLI命令行。
Press ENTER to get started.
Password:
\\提示输入密码后进入console配置，输入密码654321，输入密码不回显。
<H3C>

2.配置telnet远程登录进入交换机管理时，进行安全验证

①进入接口视图，配置接口IP地址。交换机出厂时，默认所有接口均属于VLANI，给VLAN1 虚接口配置IP地址192.168.1.1/24，用于交换机的管理I地址，关于VLAN内容后续介绍。

<H3C>system-view
[H3C]interface Vlan-interface I
[H3C-Vlan-interfacelJip address 192.168.1.1 24
[H3C-Vlan-interfacel]quit
[H3C]

②创建用户，配置密码，设定用户服务类型，配置用户管理级别。

[H3C]local-user gzeic class manage
\\创建用户名gzcic，为管理类型。
[H3C-luser-manage-gzeictelnet]password simple 123456
\\配置用户名gzcic的明文密码为123456。
[H3C-luser-manage-gzeictelnet]service-type telnet
\\配置用户名gzeic的服务类型为telnet，即该用户只能使用telnet服务。
[H3C-luser-manage-gzeictelnet]authorization-attribute user-role network-admin
\\配置用户名 gzeic的授权属性用户角色为network-admin。

Comware V7网络设备操作系统中，对于所有用户设定了管理级别，数值越小，用户管理级别越低。用户角色名和对应的权限，具体对应关系如下:

• network-admin，可操作系统所有功能和资源。
• network-operator，可执行系统所有功能和资源的相关display命令。
• level-0：可执行命令ping、tracert、ssh2、telnet 和super，且管理员可以为其配置权限。
• level-1：具有 level-0用户角色的权限，并且可执行系统所有功能和资源的相关display命令，以及管理员可以为其配置权限。
• level-2~level-8和level-10~level-14：无默认权限，需要管理员为其配置权限。
• level-9：可操作系统中绝大多数的功能和所有的资源，且管理员可以为其配置权限。
• level-15：具有与network-admin角色相同的权限。

[H3C-luser-manage-gzeictelnet]display this
\\使用 display this命令查看以上配置内容是否完成。

③配置对Telnet用户使用计划认证方式。

[H3C-luser-manage-gzeic]quit
[H3C]user-interface vty 0 4
\\进入用户接口虚拟终端0-4，即同时允许5个Telnet用户接入。
[H3C-line-vty0-4]authentication-mode scheme
\\配置认证模式为AAA认证方式。

④启动Telnet服务。

[H3C]telnet server enable

⑤结果验证。启动 Oracle VM VirtualBox 中Win7-01虚拟机，正确配置 IP地址192.168.1.2/24，与交换机 192.168.1.1相互 ping通之后，telnet登录网络设备。结果如实训图4-2所示，输入用户名gzeic、密码123456后可以正常登录交换机。