H3C交换机配置远程管理配置

一、WEB方式

『WEB方式远程管理交换机配置流程』

首先必备条件要保证PC可以与SwitchB通信，比如PC可以ping通SwitchB。

如果想通过WEB方式管理交换机，必须首先将一个用于支持WEB管理的文件载入交换机的flash中，该文件需要与交换机当前使用的软件版本相配套。WEB管理文件的扩展名为”tar”或者”zip”，可以从网站上下载相应的交换机软件版本时得到。

需要在交换机上添加WEB管理使用的用户名及密码，该用户的类型为telnet类型，而且权限为最高级别3。

注意，在将WEB管理文件载入交换机flash时，不要将文件进行解压缩，只需将完整的文件载入交换机即可(向交换机flash载入WEB管理文件的方法，请参考本配置实例中交换机的系统管理配置章节)。

【SwitchB相关配置】

1.查看交换机flash里面的文件(保证WEB管理文件已经在交换机flash中)

dir /all

Directory of flash:/

-rwxrwx 1 noone nogroup 442797 Apr 02 2000 13:09:50 wnm-xxx.zip

2.添加WEB管理的用户，用户类型为”telnet”，用户名为”huawei”，密码为”wnm”

[SwitchB]local-user huawei

[SwitchB-luser-huawei]service-type telnet level 3

[SwitchB-luser-huawei]password simple wnm

3.配置交换机管理地址

[SwitchB]interface vlan 100

[SwitchB-Vlan-interface100]ip addr 192.168.0.2 255.255.255.0

4.对HTTP访问用户的控制(Option)

[SwitchB]ip http acl acl_num/acl_name

二、TELNET方式

【TELNET密码验证配置】

只需输入password即可登陆交换机。

1.        进入用户界面视图

[SwitchA]user-interface vty 0 4

2.        设置认证方式为密码验证方式

[SwitchA-ui-vty0-4]authentication-mode password

3.        设置登陆验证的password为明文密码”huawei”

[SwitchA-ui-vty0-4]set authentication password simple huawei

4.        配置登陆用户的级别为最高级别3(缺省为级别1)

[SwitchA-ui-vty0-4]user privilege level 3

5.        或者在交换机上增加super password(缺省情况下，从VTY用户界面登录后的级别为1级，无法对设备进行配置操作。必须要将用户的权限设置为最高级别3，才可以进入系统视图并进行配置操作。低级别用户登陆交换机后，需输入super password改变自己的级别)例如，配置级别3用户的super password为明文密码”super3”

[SwitchA]super password level 3 simple super3

【TELNET本地用户名和密码验证配置】

需要输入username和password才可以登陆交换机。

1.        进入用户界面视图

[SwitchA]user-interface vty 0 4

2.        配置本地或远端用户名和口令认证

[SwitchA-ui-vty0-4]authentication-mode scheme

3.        配置本地TELNET用户，用户名为”huawei”，密码为”huawei”，权限为最高级别3(缺省为级别1)

[SwitchA]local-user huawei

[SwitchA-user-huawei]password simple huawei

[SwitchA-user-huawei]service-type telnet level 3

4.        在交换机上增加super password

[SwitchA]super password level 3 simple super3

【TELNET RADIUS验证配置】

以使用华为3Com公司开发的CAMS 作为RADIUS服务器为例

1.        进入用户界面视图

[SwitchA]user-interface vty 0 4

2.        配置远端用户名和口令认证

[SwitchA-ui-vty0-4]authentication-mode scheme

3.        配置RADIUS认证方案，名为”cams”

[SwitchA]radius scheme cams

4.        配置RADIUS认证服务器地址10.110.51.31

[SwitchA-radius-cams]primary authentication 10.110.51.31 1812

5.        配置交换机与认证服务器的验证口令为”huawei”

[SwitchA-radius-cams]key authentication huawei

6.        送往RADIUS的报文不带域名

[SwitchA-radius-cams]user-name-format without-domain

7.        创建(进入)一个域，名为”huawei”

[SwitchA]domain huawei

8.        在域”huawei”中引用名为”cams”的认证方案

[SwitchA-isp-huawei]radius-scheme cams

9.        将域”huawei”配置为缺省域

[SwitchA]domain default enable huawei

【TELNET访问控制配置】

1.        配置访问控制规则只允许10.1.1.0/24网段登录

[SwitchA]acl number 2000

[SwitchA-acl-basic-2000]rule deny source any

[SwitchA-acl-basic-2000]rule permit source 10.1.1.0 0.0.0.255

2.        配置只允许符合ACL2000的IP地址登录交换机

[SwitchA-ui-vty0-4]acl 2000 inbound

三、SSH方式

1. 组网需求

配置终端(SSH Client)与以太网交换机建立本地连接。终端采用SSH协议进行登录到交换机上，以保证数据信息交换的安全。

2. 组网图(略)

3. 配置步骤(SSH认证方式为口令认证)

[Quidway] rsa local-key-pair create

&   说明：如果此前已完成生成本地密钥对的配置，可以略过此项操作。

[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] authentication-mode scheme

[Quidway-ui-vty0-4] protocol inbound ssh

[Quidway] local-user client001

[Quidway-luser-client001] password simple huawei

[Quidway-luser-client001] service-type ssh

[Quidway] ssh user client001 authentication-type password

SSH的认证超时时间、重试次数以及服务器密钥更新时间可以采取系统默认值，这些配置完成以后，您就可以在其它与以太网交换机连接的终端上，运行支持SSH1.5的客户端软件，以用户名client001，密码huawei，访问以太网交换机了。