H3C 配置登录
翻译
一、Console
认证方式 | 认证所需配置 |
none | 设置登录用户的认证方式为不认证 |
password | 设置登录用户的认证方式为password认证 设置密码认证的密码 |
scheme | 设置登录用户的认证方式为scheme认证 在ISP域视图下为login用户配置认证方法 |
配置通过Console口登录设备时采用AAA认证(scheme)
# 进入系统视图。
system-view
# 进入AUX用户线或AUX用户线类视图。
line aux first-number [ last-number ]
line class aux
# 设置登录用户的认证方式为通过AAA认证。 缺省情况下,用户登录设备的认证方式为scheme。
authentication-mode scheme
二、 SSH服务器
# 开启SSH服务器功能 缺省情况下,SSH服务器功能处于关闭状态。
ssh server enable
# (可选)建立SSH用户,并指定SSH用户的认证方式。
ssh user username service-type stelnet authentication-type password
# 进入VTY用户线或VTY用户线类视图。
line vty first-number [ last-number ]
line class vty
# 配VTY用户线的认证方式为scheme方式。 缺省情况下,VTY用户线的认证方式为scheme方式。
authentication-mode scheme
# (可选)配置VTY用户线支持的SSH协议。 缺省情况下,设备同时支持Telnet和SSH协议。
protocol inbound { all | ssh | telnet }
# (可选)配置SSH方式登录设备时,同时在线的最大用户连接数。 缺省情况下,SSH方式登录同时在线的最大用户连接数为32。
aaa session-limit ssh max-sessions
显示用户线的相关信息 | display line [ num1 | { aux | vty } num2 ] [ summary ] | 在任意视图下执行 |
显示当前正在使用的用户线 | display users | 在任意视图下执行 |
显示设备支持的所有用户线以及用户的相关信息 | display users all | 在任意视图下执行 |
释放指定的用户线 | free line { num1 | { aux | vty } num2 } | 在用户视图下执行 系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以使用以下命令强制断开该用户的连接 不能使用该命令释放用户当前自己使用的连接 |
锁定当前用户线并设置解锁密码,防止未授权的用户操作该线 | lock | 在用户视图下执行 缺省情况下,系统不会自动锁定当前用户线 |
锁定当前用户线并对其进行重新认证 | lock reauthentication | 在任意视图下执行 缺省情况下,系统不会自动锁定当前用户线并对其进行重新认证,请使用设备登录密码解除锁定并重新登录设备 |
向指定的用户线发送消息 | send { all | num1 | { aux | vty } num2 } | 在用户视图下执行 |
三、HTTPS方式登录设备
# 开启HTTPS服务 缺省情况下,HTTPS服务处于开启状态。
ip https enable
# 配置HTTPS服务的端口 缺省情况下,HTTPS服务的端口号为443
ip https port port-number
# 配置使用HTTPS登录设备时的认证方式。缺省情况下,用户使用HTTPS登录设备时采用的认证模式为manual。
web https-authorization mode { auto | manual }
创建本地用户usera,密码为123,服务类型为https,用户角色为network-admin。
local-user usera
password simple 123
service-type https
authorization-attribute user-role network-admin
# 显示HTTPS的状态信息
display ip https
# 显示Web用户的相关信息
display web users
四、 AAA认证
(Authentication、Authorization、Accounting,认证、授权、计费)是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
配置设备管理本地用户属性
system-view
# 添加网络接入类本地用户,并进入网络接入类本地用户视图。
local-user user-name class network
# (可选)设置本地用户的密码。 可以不为本地用户设置密码。为提高用户帐户的安全性,建议设置本地用户密码。
password [ { hash | simple } string ]
# 设置本地用户可以使用的服务类型。缺省情况下,本地用户不能使用任何服务类型。
service-type { ftp | { http | https | ssh | telnet | terminal } * }
# (可选)设置本地用户的状态。缺省情况下,本地用户处于活动状态,即允许该用户请求网络服务。
state { active | block }
# (可选)设置使用当前本地用户名接入设备的最大用户数。缺省情况下,不限制使用当前本地用户名接入的用户数。
access-limit max-user-number
# (可选)设置本地用户的授权属性。
authorization-attribute { idle-cut minutes | user-role role-name | work-directory directory-name } *
# (可选)设置设备管理类本地用户的密码管理属性。请至少选择其中一项进行配置。
# 设置密码老化时间。
password-control aging aging-time
# 设置密码最小长度。
password-control length length
# 设置密码组合策略。
password-control composition type-number type-number [ type-length type-length ]
# 设置密码的复杂度检查策略。
password-control complexity { same-character | user-name } check
# 设置用户登录尝试次数以及登录尝试失败后的行为。缺省情况下,采用本地用户所属用户组的密码管理策略。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
# (可选)设置本地用户所属的用户组。缺省情况下,本地用户属于用户组system。
group group-name
五、TFTP配置
system-view
#(可选)使用ACL限制设备可访问哪些TFTP服务器。缺省情况下,未使用ACL对设备可访问的TFTP服务器进行限制。
tftp-server acl acl-number
# 配置TFTP客户端的源地址。缺省情况下,未配置源地址,使用路由出接口的主IP地址作为设备发送TFTP报文的源IP地址。
tftp client source { interface interface-type interface-number | ip source-ip-address }
# 在IPv4网络,用TFTP上传/下载文件。使用tftp client source命令指定了源地址后,又在tftp命令中指定了源地址,则采用tftp命令中指定的源地址进行通信。
tftp tftp-server { get | put | sget } source-filename [ destination-filename ]
六、存储介质和文件系统
设备支持的存储介质包括固定存储介质flash和可插拔存储介质(U盘)。设备支持对可插拔存储介质进行分区。未对存储介质分区时,每一个存储介质即称为一个文件系统;对存储介质进行分区后,一个分区即为一个文件系统。
1. 存储介质和文件系统名称
存储介质flash及其文件系统名称由如下部分组成:
- 存储介质类型:flash的类型名称即为“flash”。
- 冒号:存储介质名称的结束符。
U盘上及其文件系统名称由如下部分组成:
- 存储介质类型:U盘的类型名称为“usb”。
- 存储介质编号:同类型的存储介质以英文小写字母a开始进行排序。
- 分区编号:存储介质上的分区以数字0开始进行排序(存储介质名称不包括分区编号)。
- 冒号:存储介质名称的结束符。
例如,设备第一个U盘为usba,其第一个分区上的文件系统为usba0:。
2. 常用文件夹
设备出厂时会携带一些文件夹,在运行过程中可能会自动产生一些文件夹,这些文件夹包括:
- diagfile:用于存放诊断信息文件的文件夹
- logfile:用于存放日志文件的文件夹
- seclog:用于存放安全日志文件的文件夹
- versionInfo:用于存放版本信息文件的文件夹
- 其他名称的文件夹
3. 常见文件类型
设备出厂时会携带一些文件,在运行过程中可能会自动产生一些文件,这些文件包括:
- xx.ipe(复合软件包套件,是启动软件包的集合)
- xx.bin(启动软件包)
- xx.cfg(配置文件)
- xx.mdb(二进制格式的配置文件)
- xx.log(用于存放日志的文件)
- 其他后缀的文件
# 显示文本文件内容
more file
# 显示当前工作路径
pwd
# 删除文件到回收站。
delete file
# 删除回收站中的文件。
reset recycle-bin [ /force ]
# 永久删除文件。
delete /unreserved file
# 恢复回收站中的文件,请在用户视图下执行该命令,恢复回收站中的文件。
undelete file
七、配置文件管理
可以通过以下方式查看启动配置:
- 设备启动后且还没有进行配置前,使用display current-configuration命令查看当前启动配置。
- 使用display startup命令查看本次启动使用的配置文件和下次启动使用的主用、备用配置文件,再使用more命令查看相应配置文件的内容。(more命令的详细介绍请参见“基础配置命令参考”中“文件系统管理”)
- 使用display saved-configuration命令查看下次启动配置文件的内容。
1.配置文件的类型及其选择规则
执行save命令保存配置时,系统将自动生成一个文本类型的配置文件和一个二进制类型的配置文件,两个文件的内容完全相同。
- 文本类型配置文件:后缀名为“.cfg”,可以通过more命令查看,或使用文本编辑器修改该文件的内容。文本类型配置文件可以单独保存到存储介质中,无需对应的二进制类型的配置文件。
- 二进制类型配置文件:后缀为“.mdb”,仅能够使用软件解析该类配置文件,用户不能读取和编辑文件内容。二进制类型的配置文件不能单独保存到存储介质中,必须有对应的文本类型的配置文件。该类型配置文件的加载速度快,设备启动时优先使用该类型配置文件。
# 将当前配置保存到指定文件,但不会将该文件设置为下次启动配置文件。
save file-url [ all | slot slot-number ]
# 将当前配置保存到所有成员设备存储介质的根目录下,并将该文件设置为下次启动配置文件。
save [ safely ] [ backup | main ] [ force ] [ changed ]
# 显示下次启动配置文件与当前运行配置之间的差异。请选择其中一项进行配置。
display diff startup-configuration current-configuration
# 显示用于本次及下次启动的配置文件的名称
display startup
# 显示当前视图下生效的配置
display this
八、软件版本升级
# 查看设备当前使用的启动软件包的版本。
display version
# 复制设备当前使用的启动软件包进行备份。
copy boot.bin boot_backup.bin
copy system.bin system_backup.bin
# 指定主设备和从设备下次启动时使用的备用软件包为boot_backup.bin/system_backup.bin。
boot-loader file boot flash:/boot_backup.bin system flash:/system_backup.bin slot 1 backup
boot-loader file boot flash:/boot_backup.bin system flash:/system_backup.bin slot 2 backup
# 将待升级的IPE文件startup-a2105.ipe从TFTP server下载到主设备Flash的根目录下。
tftp 2.2.2.2 get startup-a2105.ipe
# 指定主设备和从设备下次启动时使用startup-a2105.ipe作为主用IPE文件。
boot-loader file flash:/startup-a2105.ipe slot 1 main
boot-loader file flash:/startup-a2105.ipe slot 2 main
# 查看主用、备用下次启动IPE文件是否配置成功。
display boot-loader
# 重启所有成员设备,以便运行新的启动软件包完成升级。
reboot
# 设备重启后,查看IRF使用的启动软件包的版本。
display version
# 显示本次启动和下次启动所采用的启动软件包的名称
display boot-loader
1. 启动软件包的分类
启动软件包是用于引导设备启动的程序文件,按其功能可以分为以下几类:
- Boot软件包(简称Boot包):包含Linux内核程序,提供进程管理、内存管理、文件系统管理等功能。
- System软件包(简称System包):包含Comware内核和基本功能模块的程序,比如设备管理、接口管理、配置管理和路由模块等。主控板必须具有Boot包和System包才能正常运行。
2. 启动软件包的发布形式
启动软件包有以下两种发布形式:
- BIN文件:后缀为.bin的文件。一个BIN文件就是一个启动软件包。要升级的BIN文件之间版本必须兼容才能升级成功。
- IPE(Image Package Envelope,复合软件包套件)文件:后缀为.ipe的文件。它是多个软件包的集合,产品通常会将同一个版本需要升级的所有类型的软件包都压缩到一个IPE文件中发布。用户使用IPE文件升级设备时,设备会自动将它解压缩成多个BIN文件,并使用这些BIN文件来升级设备,从而能够减少启动软件包之间的版本管理问题。
九、设备管理
1.通过命令行配置系统时间
system-view
# 配置系统时间。
clock datetime time date
# 通过网络协议获取UTC时间
system-view
clock protocol ntp
# 配置时区
system-view
# 配置系统所在的时区。 缺省情况下,系统所在的时区为零时区,即设备采用UTC时间。
clock timezone zone-name { add | minus } zone-offset
2.端口检测定时器
# 某些协议模块(比如STP、DLDP等)在特定情况下会自动关闭某个端口。此时,可以配置一个端口状态检测定时器。
# 当定时器超时,如果该端口仍处于关闭状态,则协议模块会自动取消关闭动作,使端口恢复到真实的物理状态。
system-view
# 配置端口状态检测定时器的时长。缺省情况下,端口状态检测定时器时长为30秒。
shutdown-interval time
3.识别可插拔接口模块
# 显示可插拔接口模块的主要特征参数。
display transceiver interface [ interface-type interface-number ]
# 显示可插拔接口模块的电子标签信息。
display transceiver manuinfo interface [ interface-type interface-number ]
# 诊断可插拔接口模块
# 显示可插拔接口模块的当前故障告警信息。
display transceiver alarm interface [ interface-type interface-number ]
# 显示可插拔光模块的数字诊断参数的当前测量值。
display transceiver diagnosis interface [ interface-type interface-number ]
4.恢复出厂设置
restore factory-default
reboot
显示系统当前的时间、日期、本地时区以及夏令时配置 | display clock |
显示设备的版权信息 | display copyright |
显示CPU利用率的统计信息 | display cpu-usage [ summary ] [ slot slot-number [ cpu cpu-number [ core { core-number| all } ] ] ] |
显示CPU利用率历史信息记录功能相关配置 | display cpu-usage configuration [ slot slot-number [ cpu cpu-number ] ] |
以图表方式显示CPU利用率的历史记录 | display cpu-usage history [ job job-id ] [ slot slot-number [ cpu cpu-number ] ] |
显示设备信息 | display device [ flash | usb ] [ slot slot-number [ subslot subslot-number ] | verbose ] |
显示设备的电子标签信息 | display device manuinfo [ slot slot-number ] |
显示指定电源的电子标签信息 | display device manuinfo slot slot-number power power-id |
收集诊断信息 | display diagnostic-information [ hardware | infrastructure | l2 | l3 | service ] [ key-info ] [ filename ] |
显示设备的温度信息 | display environment [ slot slot-number ] |
显示风扇的工作状态 | display fan [ slot slot-number [ fan-id ] ] |
显示设备的内存使用状态 | display memory [ summary ] [ slot slot-number [ cpu cpu-number ] ] |
显示内存告警门限相关信息 | display memory-threshold [ slot slot-number [ cpu cpu-number ] ] |
显示设备的电源状态 | display power [ slot slot-number [ power-id ] ] |
显示Job的配置信息 | display scheduler job [ job-name ] |
显示Job的执行日志信息 | display scheduler logfile |
显示定时重启功能的相关配置 | display scheduler reboot |
显示Schedule的相关信息 | display scheduler schedule [ schedule-name ] |
显示系统的稳定状态 | display system stable state |
显示系统版本信息 | display version |
显示启动软件包版本更新操作的记录 | display version-update-record |
清除Schedule日志文件的相关信息 | reset scheduler logfile |
清除启动软件包版本更新操作的记录 | reset version-update-record |