一、登录方式介绍用户对设备的管理方式有命令行方式(即CLI方式)和Web网管方式两种,下面我们就来说一说关于查看华为交换机初始配置命令?我们一起去了解并探讨一下这个问题吧!

查看华为交换机初始配置命令(华为交换机基础配置之六)

查看华为交换机初始配置命令

一、登录方式介绍

用户对设备的管理方式有命令行方式(即CLI方式)和Web网管方式两种。

用户可以通过表1所示方式登录设备命令行界面,对设备进行配置和管理。

表1用户登录方式(设备命令行界面)

登录设备方式

优点

缺点

应用场景

说明

通过Console口登录

使用专门的Console通信线缆(也称串口线)连接,保证可以对设备有效控制。

不能远程登录维护设备。

  • 当对设备进行第一次配置时,可以通过Console口登录设备进行配置。
  • 当用户无法进行远程登录设备时,可通过Console口进行本地登录。

通过Console口进行本地登录是登录设备最基本的方式,也是其他登录方式的基础。

缺省情况下,用户可以直接通过Console口本地登录设备,用户级别是15。

通过Telnet登录

  • 便于对设备进行远程管理和维护。
  • 不需要为每一台设备都连接一个终端,方便用户的操作。

传输过程采用TCP协议进行明文传输,存在安全隐患。

终端连接到网络上,使用Telnet方式登录设备,进行远程的配置。应用在对安全性要求不高的网络。

缺省情况下,用户不能通过Telnet方式直接登录设备。如果需要通过Telnet方式登录设备,可以先通过Console口本地登录设备。

通过STelnet登录

SSH(Secure Shell)协议实现在不安全网络上提供安全的远程登录,保证了数据的完整性和可靠性,保证了数据的安全传输。

Console用户界面:用来管理和监控通过Console口登录的用户。设备提供Console口,端口类型为EIA/TIA-232 DCE。用户终端的串行口可以与设备Console口直接连接,实现对设备的本地访问。

  • 虚拟类型终端VTY(Virtual Type Terminal)用户界面:用来管理和监控通过VTY方式登录的用户。用户通过终端与设备建立Telnet或STelnet连接后,即建立了一条VTY通道。目前每台设备最多支持15个VTY用户同时访问。
  • 说明

    • LTT用户界面:集群场景下,从非主交换机Console口登录设备的用户界面类型,不支持配置。
    • WEB用户界面:通过Web网管方式登录设备的用户界面类型,不支持配置。

    用户与用户界面的关系

    用户界面与用户并没有固定的对应关系。用户界面的管理和监控对象是使用某种方式登录的用户,虽然单个用户界面某一时刻只有一个用户使用,但它并不针对某个用户。

    用户登录时,系统会根据用户的登录方式,自动给用户分配一个当前空闲的、编号最小的某类型的用户界面,整个登录过程将受该用户界面视图下配置的约束。比如用户A使用Console口登录设备时,将受到Console用户界面视图下配置的约束,当使用VTY 1登录设备时,将受到VTY 1用户界面视图下配置的约束。同一用户登录的方式不同,分配的用户界面不同;同一用户登录的时间不同,分配的用户界面可能不同。

    • 当配置VTY用户界面最大个数为0时,任何用户(Telnet、SSH用户)都无法通过VTY登录到设备,Web用户也无法通过Web网管登录设备。
    • 当配置的VTY类型用户界面的最大个数小于当前在线用户的数量,系统会将目前未通过认证且占用VTY通道时间超过15秒的用户下线,新用户此时可以通过VTY登录到设备。
    • 当配置的VTY类型用户界面的最大个数大于当前最多可以登录用户的数量,就必须为新增加的用户界面配置验证方式。
    • 使用VTY通道登录设备时,为防止VTY连接数量超限导致用户无法接入,用户可执行如下操作查看并配置允许通过VTY通道登录的用户数。执行命令display user-interface maximum-vty查看设备允许通过VTY连接登录设备的最大用户数。执行命令display user-interface查看用户界面信息。其中,“ ”表示被占用的通道。如果通道被占满,会导致后续用户无法登录,如果已登录用户登出后,可能会因为通道被其他用户占用而无法再次登录成功。此时,执行命令user-interface maximum-vty number设置允许登录的最大用户数目。
    • 如果某VTY用户界面两次出现设备长时间不响应的情况,该VTY用户界面将被锁定,用户可以通过其他VTY用户界面登录,设备重启后可恢复。

    用户界面的编号

    用户界面的编号包括以下两种方式:

    • 相对编号
    • 相对编号方式的形式是:用户界面类型+编号。
    • 此种编号方式只能唯一指定某种类型的用户界面中的一个或一组。相对编号方式遵守的规则如下:
      • Console用户界面的编号:CON 0。堆叠场景下,从非主交换机串口登录时,显示LTT 0。
      • VTY用户界面的编号:第一个为VTY 0,第二个为VTY 1,依此类推。
    • 绝对编号
    • 使用绝对编号方式,可以唯一的指定一个用户界面或一组用户界面。使用命令display user-interface可查看到设备当前支持的用户界面以及它们的绝对编号。
    • 对于一台设备,Console口用户界面只有一个,但VTY类型的用户界面有20个,可以在系统视图下使用user-interface maximum-vty命令设置最大用户界面个数,其缺省值为5。VTY 16~VTY 20一直存在于系统中,不受user-interface maximum-vty命令的控制。
    • 缺省情况下,Console、VTY用户界面在系统中的绝对编号,如表6-2所示。

    表2 用户界面的绝对、相对编号说明

    用户界面

    说明

    绝对编号

    相对编号

    Console用户界面

    用来管理和监控通过Console口登录的用户。

    0

    0

    VTY用户界面

    用来管理和监控通过Telnet或STelnet方式登录的用户。

    34~48,50~54。

    其中49保留,50~54为网管预留编号。

    第一个为VTY 0,第二个为VTY 1,依此类推。缺省存在VTY 0~4通道。

    • 绝对编号34~48对应相对编号VTY 0~VTY 14
    • 绝对编号50~54对应相对编号VTY 16~VTY 20

    其中VTY 15保留,VTY 16~VTY 20为网管预留编号。

    只有当VTY0~VTY14全部被占用,且用户配置了AAA认证的情况下才可以使用VTY16~VTY20。

    三、用户认证方式和用户级别介绍

    用户界面的认证方式

    Console、Telnet登录用户的认证方式直接由用户界面中配置的认证方式决定。用户界面的认证方式有以下三种:

    • AAA认证:登录时需输入用户名和密码。设备根据配置的AAA用户名和密码验证用户输入的信息是否正确,如果正确,允许登录,否则拒绝登录。
    • Password认证:也称密码认证,登录时需输入正确的认证密码。如果用户输入的密码与设备配置的认证密码相同,允许登录,否则拒绝登录。
    • None认证:也称不认证,登录时不需要输入任何认证信息,可直接登录设备。

    须知

    如果配置认证方式为不认证,任何用户不需要输入用户名和密码就会认证成功。因此,为保护设备或网络安全,建议不要使用None认证和方式,如需使用,需要安装空口令认证插件。

    您可以通过华为官网(企业、运营商)搜索“插件使用指南”,请根据交换机型号及软件版本选择相应的《插件使用指南》。如无权限,请联系技术支持人员。

    无论何种验证方式,当用户登录设备失败时,系统会启动延时登录机制。首次登录失败后,延时5秒才可再次登录,后续登录失败次数每增加一次,延时时间增加5秒,即第2次登录失败延时10秒,第3次登录失败延时15秒。

    SSH用户的认证方式

    通过STelnet登录设备需配置用户界面支持的协议是SSH,必须设置用户界面认证方式为AAA认证。但SSH用户的认证方式由SSH支持的认证方式决定,SSH支持Password、RSA、DSA、ECC、Password-RSA、Password-DSA、Password-ECC和ALL,8种认证方式。

    • Password认证:是一种基于“用户名 口令”的认证方式。通过AAA为每个SSH用户配置相应的密码,在通过SSH登录时,输入正确的用户名和密码就可以实现登录。
    • RSA(Revest-Shamir-Adleman Algorithm)认证:是一种基于客户端私钥的认证方式。RSA是一种公开密钥加密体系,基于非对称加密算法。RSA密钥也是由公钥和私钥两部分组成,在配置时需要将客户端生成的RSA密钥中的公钥部分拷贝输入至服务器中,服务器用此公钥对数据进行加密。
    • DSA(Digital Signature Algorithm)认证:是一种类似于RSA的认证方式,DSA认证采用数字签名算法进行加密。
    • ECC(Elliptic Curve Cryptography)认证:是一种椭圆曲线算法,与RSA相比,在相同安全性能下密钥长度短、计算量小、处理速度快、存储空间小、带宽要求低。
    • Password-RSA认证:SSH服务器对登录的用户同时进行密码认证和RSA认证,只有当两者同时满足情况下,才能认证通过。
    • Password-DSA认证:SSH服务器对登录的用户同时进行密码认证和DSA认证,只有当两者同时满足情况下,才能认证通过。
    • Password-ECC认证:SSH服务器对登录的用户同时进行密码认证和ECC认证,只有当两者同时满足情况下,才能认证通过。
    • ALL认证:SSH服务器对登录的用户进行公钥认证或密码认证,只要满足其中任何一个,就能认证通过。

    用户级别

    系统支持对登录用户进行分级管理,用户所能访问命令的级别由用户的级别决定。用户级别由用户界面或AAA本地用户的认证方式决定,具体细节如表3所示。

    表3 不同登录设备方式的用户级别

    登录设备方式

    用户接入的认证方式

    用户级别决定因素

    配置命令

    通过Console口登录

    通过Telnet登录

    用户界面:AAA认证

    AAA本地用户级别

    local-user user-name privilege level level

    用户界面:Password认证

    用户界面级别

    user privilege level level

    通过STelnet登录

    SSH用户的认证方式:Password认证

    AAA本地用户级别

    local-user user-name privilege level level

    SSH用户的认证方式:RSA认证、DSA认证、ECC认证

    用户界面级别

    user privilege level level

    SSH用户的认证方式:password-rsa认证、password-dsa认证和password-ecc认证

    AAA本地用户级别

    local-user user-name privilege level level

    SSH用户的认证方式:All认证

    根据需要进行部署。

    说明:

    如果SSH用户认证方式为all认证,且存在一个同名AAA用户,那通过Password认证、RSA认证、DSA认证或者ECC认证接入时用户优先级可能不同,由登录时的实际认证情况决定。

    -

    用户级别与命令级别的关系

    命令的级别由低到高分为参观级、监控级、配置级和管理级四种,分别对应级别值0、1、2、3,用户级别与命令级别的对应关系如表4所示。

    表4 用户级别与命令级别的对应关系

    用户级别

    命令级别

    级别名称

    说明

    0

    0

    参观级

    网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(Telnet客户端)等。

    1

    0、1

    监控级

    用于系统维护,包括display等命令。

    说明:

    并不是所有display命令都是监控级,比如display current-configuration命令和display saved-configuration命令是3级管理级。

    2

    0、1、2

    配置级

    业务配置命令。

    3~15

    0、1、2、3

    管理级

    用于系统基本运行的命令,对业务提供支撑作用,包括文件系统、FTP、TFTP下载、用户管理命令、命令级别设置命令、用于业务故障诊断的debugging命令等。

    说明:默认情况下,3~15级用户具有相同的管理员权限,部分特殊命令行请参照命令行实现说明。

    ,