在使用telnet命令远程登录管理H3C交换机后台系统时,为什么系统会出现“login password has not been set”这样的错误提示?
这可能是用户在进行远程登录操作之前,没有通过console端口在交换机上配置合法用户的登录账号和认证口令,因为H3C交换机后台系统默认要求telnet用户,必须要进行口令认证。
请问如何在H3C S3050交换机上配置telnet登陆用户名和密码呢?
很简单!首先在交换机后台系统使用“systemview”命令,进入系统视图模式;在该模式状态下,输入“local-user guest”命令,生成本地用户账号“xxx”,同时进入本地用户视图。继续执行字符串命令“password simple yyy”,设置“xxx”用户的认证口令为明文方式,口令内容为“yyy”。之后,使用“service-type telnet level 2”命令,设置VTY用户的服务类型为Telnet,且命令级别为“2”级。下面返回系统视图模式状态,输入字符串命令“user-interface vty 0”进入VTY0用户界面视图,在该视图下使用“authentication-mode scheme”命令,设置通过VTY0端口登录交换机的telnet用户进行Scheme认证。最后,执行“protocol inbound telnet”命令,设置VTY0用户界面支持telnet协议。
为了避免未授权用户恶意登录交换机后台系统,H3C系列交换机的命令行采用分级保护方式,请问该命令行主要划分有哪些等级,不同等级各有什么特点?
主要划分有参观级、监控级、配置级、管理级这4个级别,其中参观级别命令不允许进行配置文件保存的
与命令行级别相对应,H3C系列交换机将登录用户也划分成4 个级别,不同级别用户登录交换机后台系统时,只能使用等于或低于自己级别的命令。请问登录用户的4 个级别主要指的是哪些级别?
主要指的是0、1、2、3 这几操作,具体可以使用的命令包括tracert、ping、telnet、language-mode等 等。 监控级命令主要用于网络故障诊断、系统维护等,它也不允许进行配置文件保存的操作,具体可以使用的命令包括 debugging、display等。配置级命令主要用于向用户提供直接网络服务,它可以使用的命令包括业务配置命令,路由、各个网络层次的命令。管理级命令行关系到系统基本运行,系统支撑模块的命令,这些命令对业务提供支撑作用,包括文件系统、FTP、TFTP、XModem 下载、用户管理命令、级别设置命令等。个级别,其中0级用户对应参观级,1级用户对应监控级,2级用户对应配置级,3级用户对应管理级。当需要对交换机进行配置时,只有使用具有相应级别的用户登录,才能进行正确配置。为了避免未授权用户的非法攻击,登录用户一般可以使用“super”命令从低级别切换到高级别进行管理配置操作。
大家知道,H3C交换机的super命令设置的口令,主要用于低级别用户向高级别用户切换时进行身份验证。请问这种命令主要支持哪些形式的口令配置?
主要支持明文和暗文方式的两种配置,其中通过“super password cipher ****”命令,设置暗文登录口令内容,使用“super password simple****”命令,设置明文登录口令内容。
在对H3C交换机配置时,可以使用哪些登录连接方式?
可以使用telnet登录连接方式、console登录连接方式、web登录连接方式,其中第一种方式需要在userinterface vty 0 4模式下配置authentication-mode,第二种方式需要在userinterface aux 0模式下配置authentication-mode,第三种方式需要开启web管理服务,同时要有local-user配置的用户名和密码。
请问802.1x协议在H3C交换端口上支持哪些安全认证控制模式?
支持三种安全认证模式,它们分别为:一是Authorized-Force模式,也叫常开模式,在该模式下交换端口始终保持认证状态,即客户端系统从这个交换端口接入局域网,肯定能正常连接上网,无论客户端系统有没有通过认证;二是Unauthorized-Force模式,也叫常关模式,在该模式下交换端口始终保持非认证状态,即客户端系统尝试从这个交换端口接入局域网时,无论它有没有通过认证,都是上不了网的;三是Auto模式,也叫协议控制模式,在该模式下交换端口是开还是关完全取决于认证是否通过,要是客户端系统能顺利通过认证,那么它就能接入上网,不然的话将无法上网。
有时,管理员会通过Modem进行拨号登录交换机。为了保证拨号登录顺利,往往先要通过Console端口在交换机上配置好Modem用户的认证名和密码。请问在H3C S3050交换机后台系统中,如何进行这种配置操作?
首先在交换机后台系统使 用“system-view”命令,进入系统视图模式;在该模式状态下,输入“user-interface aux0”字符串命令,切换进入Modem用户视图。 继续执行字符串命“set authentication password simple ***”, 将Modem用户的登录口令设置成“***”。完成这种配置操作后,管理员日后在终端计算机的串口和交换机的AUX口依次连接Modem,再使用终端仿真程序开始向交换机拨号,与交换机建立拨号登录连接。同样地,Modem用户默认的访问命令级别为0级。
请问在H3C Quidway交换机后台系统中,如何针对特定交换端口,配置其在802.1x协议下的安全认证控制模式?
只要先进入交换机后台系统,使用“system-view”命令,进入系统全局视图模式状态,在该状态下输入“dot1x port-control TYPE”字符串命令,这里的“TYPE”为具体的模式类型,该参数可以为“Authorized-Force”模式,可以 为“Unauthorized-Force”模式,也可以为“Auto”模式,这样所有交换端口都按指定模式进行认证控制。如果只想设置某个交换端口的认证控制模式时,只要执行字符串命令“dot1x port-control TYPE interface xx”即可,其中“xx”指定交换端口号码;当然,进行这种配置操作时,也可以先使用“interface xx”命令切换到指定端口视图模式状态,再执行“dot1x port-control TYPE”命令。
作为一种基于端口的网络接入认证协议,IEEE 802.1x协议属于二层协议,不需要到达三层,对交换机的整体运行性能要求不高,能够有效降低建网成本。请问该协议作为局域网用户接入认证的标准协议,在安全认证方面主要有哪些功能?
它具有完备的用户认证、管理功能,除了定义了基于端口的安全控制协议外,还定义了接入设备和接入端口间点到点这一种连接方式。该协议规定的端口,除了是物理端口,也能是逻辑端口,其中的物理端口基本都是交换机下连接每一个用户客户机的物理端口,逻辑端口可以是IEEE 802.11协议规定的无线LAN接入端口。
该协议系统是典型的客户端/服务端体系结构,一般包括认证服务器系统、认证系统、接入系统这三个实体,局域网接入控制设备需要支持认证系统,用户设备需要支持接入系统;整个系统通过可控端口和不可控端口的逻辑功能,实现业务与认证的分离,由Radius服务器和以太网交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换。
在H3C交换机中,802.1x协议既支持规定端口接入认证方式,又能对认证功能进行优化、扩展,它允许接入控制方式除了基于交换端口,还能基于MAC地址,它还允许一个物理端口下可以下挂若干个用户的应用环境,合理使用802.1x协议认证机制,能够有效地改善网络接入安全性和可管理性。
默认状态下,从vty用户界面登录交换机后台系统后,能够使用的访问命令级别为0级。如果想调整用户的访问命令级别,该怎么进行操作?
很简单!可以使用“user privilege level XX”命令,来进行按需调整,这里的“XX”为具体的访问命令级别。
当管理员成功通过身份认证环节,进入用户界面视图状态后,如果有急事临时离开交换机现场时,有没有办法锁住用户界面,防止其他用户趁虚而入?
当然有办法!可以使用“lock”命令,来将用户界面临时锁定住。当有其他用户尝试进入时,交换机后台系统会提示输入密码。
请问从交换机Console端口连接登录交换机后台系统时,是否需要进行身份认证?
这种连接登录方式不需要进行身份认证。
在用户登录交换机后台系统时,其所能使用的命令级别,究竟取决于从用户界面登录后可以访问的命令级别,还是取决于用户自身可以访问的命令级别?
一般来说,这两种命令级别往往会保持一致。要是两者不相同时,那应该以用户自身能够访问的命令级别为准。比方说,某用户自身可以使用的命令级别为2级,而从Console用户界面成功登录交换机后台系统后,所能使用的命令级别为3级,那么该用户最终获得的命令级别只能是2级。
在实现802.1x协议认证时,H3C系列交换机主要支持哪几种端口接入认证方式?
一种是基于MAC地址进行认证,该认证接入方式对一个端口下挂的所有用户来说,他们当中的每一个用户都要通过认证,才能正常上网;另外一种是基于交换端口进行认证,该认证接入方式对一个端口下挂的所有用户来说,他们当中只要有一个用户通过认证,其他人就都能正常上网了。默认状态下,802.1x协议会将端口接入控制方式设置为“macbased”,也就是说,将端口接入认证方式设置为基于MAC地址进行认证。
如果希望通过802.1x协议的认证功能,控制H3C交换端口的接入安全,一定先要在交换机后台系统中启用802.1x认证功能。请问如何在H3C系列交换机后台系统中,针对特定交换端口启用这项功能呢?
这项功能可以先在系统全局模式状态下开启,因为如果全局模式下的802.1x认证功能没有启用,那么指定交换端口即使启用了这项功能,该功能也不会在指定端口上发挥作用,H3C交换机后台系统默认没有开启全局或端口的802.1x认证功能。
在开启该功能时,先以系统管理员权限登录交换机后台系统,输入“system-view”命令,进入系统全局系统模式状态,在该状态下执行字符串命令“dot1x”,那么全局的802.1x认证功能就被成功开启了。如果希望在指定交换端口上开启这项功能时,可以在全局系统模式状态下使用“interface”命令,切换到指定交换端口视图,在对应端口视图模式下执行“dot1x”字符串命令即可。比方说,要开启e0/1端口的802.1x认证功能时,可以在交换机后台系统依次输入“system-view”、“interface e0/1”、“dot1x”命令,就能实现启用目的,当然,也可以直接在系统全局模式状态下,直接执行“dot1x interface e0/1”命令,开 启e0/1端口的认证功能。如果想取消全局或指定端口的802.1x认证功能时,可以在系统全局模式状态下执行“undo dot1x”命令或执行“undo dot1x interface xx”命令,其中“xx”为指定交换端口号码。
请问802.1x协议为登录用户提供了哪几种身份认证方法?
主要有三种认证方法:一是EAP认证方法,该方法是一种基于远程认证的方法,它将认证信息以EAP数据报文的形式发送给RADIUS服务器,认证过程也相对复杂,它需要RADIUS服务器支持EAP认证。二是PAP认证方法,该方法使用明文格式发送用户名和密码,认证过程很简单,使用二次握手机制,它需要RADIUS服务器支持PAP认证。三是CHAP认证方法,该方法使用密文格式发送CHAP认证信息,认证过程比较复杂,使用三次握手机制,它需要RADIUS服务器支持CHAP认证。
在部署有DHCP服务器的网络环境中,如果接入用户自由配置使用静态IP地址,那802.1x协议是否允许接入交换机对这些用户进行安全认证呢?
802.1x协议缺省要求接入交换机对这些用户进行安全认证,确保网络接入安全。实际上,在一些安全的网络环境中,使用静态IP地址的网络设备或服务器系统,基本都是网络中十分重要的设备或系统,要是不断对其进行安全认证,反而会降低它们的运行效率。所以,网管员有时需要对交换机是否允许DHCP触发认证进行配置,以保证网络运行稳定又安全。
为了保证网络运行稳定,笔者想在H3C系列交换机中配置启用DHCP触发认证功能,请问该怎么进行操作?
先进入交换机后台系统全局视图模式,在该模式下输入“dot1x dhcp-launch”字符串命令后,交换机将不触发对私自配置静态IP地址的用户进行身份认证,要想触发对私自配置静态IP地址的用户进行身份认证时,只要输入“undo dot1x dhcp-launch”字符串命令即可。
为了避免恶意用户杜撰虚假VRRP报文,来蒙蔽备份组中的主备交换机之间不停地切换,引起上网频繁掉线,网管员往往会加强交换机VRRP报文安全认证,来过滤虚假VRRP报文。请问在H3C S8500系列交换机中,如何配置VRRP报文的认证方式和认证密码?
可以先进入备份组的Vlan接口视图模式,使用“vrrp authentication-mode Simple***”或“vrrp authenticationmode MD5 ***”命令,来设置合适的认证方式,同时将认证加密内容设置为“***”,密码长度可以不超过8个字符,同时密码内容会区分大小写。当配置好VRRP安全认证方式后,可以进入指定的Vlan接口视图模式,来查看对应的配置是否正确。
比方说,在查看VLAN2接口的认证方式是否配置正确时,只要在交换机后台系统的全局模式下,输入“display vrrp interface vlan2”命令,按回车键后,就能从结果界面中,看到目标Vlan接口使用了MD5加密认证方式。当然,日后一旦不想对VRRP报文进行安全认证时,可以使用“undo vrrp authenticationmode”字符串命令来取消交换机的认证功能。
H3C系列交换机VRRP报文认证配置方式有Simple、MD5这两种,请问它们各有什么特点?
当配置了Simple安全认证方式后,备份组中的交换机在相互发送VRRP报文时,就能自动将认证密码集成到VRRP报文中,其他交换机接受到含有认证密码的VRRP报文后,会自动执行比对操作,看看本地交换机的密码与接收到的报文认证密码是否相同,如果相同的话,那么本地交换机就会正式接收对方发送过来的VRRP报文,如果比对不相同的话,会认为发送过来的VRRP报文是恶意用户杜撰的,于是就会自动将它过滤掉,在这种情形下,网管员必须将认证密码字符长度控制在8个字符以内。
当配置了MD5方式时,交换机后台系统不会采用明文方式传送密码,而是通过MD5加密算法来加密认证VRRP报文,在这种情形下,网管员也可以将认证密码字符长度控制在8个字符以内。对于那些没有通过MD5加密认证的VRRP报文,交换机会认为它们是虚假的数据报文,于是会自动将它丢弃,同时会发送Trap数据报文给网管员。
请问如何在H3C系列交换机后台系统中,为特定用户配置合适的安全认证方法?
在H3C系列交换机后台系统的全局系统视图模式下,系统默认会将用户认证方法配置为CHAP认证,网管员可以根据实际情况,按需配置选用合适的用户认证方法。比方说,在相对安全的网络工作环境,网管员可以将用户认证方法配置为PAP认证,以提高认证接入效率;在进行这种配置操作时,不妨先切换到交换机全局系统视图模式状态,在该状态下输入“dotx1 authenticationmethod pap”字符串命令即可。以后,想将交换机的用户认证方法恢复为缺省配置时,只要输入“undo dotx1 authentication-method pap”字符串命令即可。
要查看H3C系列交换机在当前状态下,使用了什么类型的用户认证方法时,只要在系统视图模式状态下,输入“display dot1x”字符串命令,从返回的结果信息中,就能看到具体的认证方法了。
为确保高效进行安全认证接入,802.1x协议认证功能允许对交换机的认证请求数据幀最大可重复次数进行控制,H3C系列交换机默认最多允许向接入用户发送3次重复认证请求数据幀。请问有没有办法修改该数值?
答案是肯定的!只要将交换机后台系统切换到全局视图模式状态,在该状态下输入“dot1x retry XXX”字符串命令即可,这里的“XXX”为最大可重复次数。值得注意的是,该数值也不能设置得太大,以免影响网络传输性能。当想将该参数重新还原为默认数值时,只要在全局视图模式下,输入“undo dotx1 retry”字符串命令即可。
H3C系列交换机最多允许2048个用户接入,但在特定场合下,如果同时允许太多用户接入,反而会影响交换机的接入稳定性,请问如何配置802.1x协议认证功能,以便对指定交换端口上的用户接入数量进行控制?
这种控制操作可以在系统全局模式下进行,也可以在指定端口下进行,要是在全局状态下没有指定任何交换端口时,就表示将所有交换端口的接入用户数量都设置成相同的数值。比方说,要将交换机所有端口的最大接入用户量设置为“500”时,可以先在交换机后台系统中,通过“systemview”命令切换进入系统全局视图模式状态,在该状态下执行字符串命令“dot1x maxuser 500”即可;如果只希望将e0/1端口的最大接入用户量设置为“500”时,可以在系统全局视图模式状态下,先执行“interface e0/1”命令,切换到指定交换端口视图模式状态,再执行“dot1x max-user 500”命令即可,当然,也可以直接在全局视图模式状态下,直接执行字符串命令“dot1x max-user 500 interface e0/1”。要想将所有或指定端口的最大用户接入数量恢复为默认值时,可以在系统全局模式状态下执行“undo dot1x max-user”命令或执行“undo dot1x max-user interface xx”命令,其中“xx”为指定交换端口号码。
在组网结构十分复杂的网络环境中,同时网络中所设备时钟十分重要,为了达到这个目的,可以配置交换机的NTP协议,来实现整个网络内的时间同步。但为了预防伪造的NTP广播消息包,在配置NTP协议时,一定要强化对NTP身份认证。请问如何在H3C系列交换机中开启NTP身份认证功能?
只要在交换机后台系统全局视图下,输入“ntp-service authentication enable”字 符串命令即可。在启用了这项功能后,还需要设置可信任的验证密钥,才能确保安全认证功能正常发挥作用。在系统视图模式下,输入“ntpservice authentication-keyid XXX authentication-mode md5 YYY”字符串命令,这里的“XXX”为可信任的密钥编号,它的取值范围为“1-4294967295”,“YYY”为 具 体的密钥内容,该内容为1-32个ASCII码字符,按回车键后,MD5身份验证密钥就配置好了。之后,再执行“ntp-service reliable authentication-keyid XXX”命令,来指定刚才配置的密钥编号是可信任的密钥,这样,日后客户端就能同步到可信任密钥的服务器上了。