s5700交换机配置教程(配置启用用户验证方式)
leao6660人评论3581人阅读2015-03-24 15:37:23通过Console口登录交换机通过Console口登录主要用于交换机第一次上电或者本地配置。或者无法通过远程访问时,可通过Console口登录。在配置通过Console口配置交换机之前,需要完成以下任务:• 准备好PC/终端(COM串口和RS-232电缆)• PC已安装终端仿真程序(超级终端、SecureCRT、Xshell等)
使用配置电缆将PC的COM口(如果没有COM口,可以使用USB转RS-232连接)和交换机的Console口连接,然后把交换机上电。然后通过终端软件连接。这里我当时遇到的问题是:Port 应该选择COM* 呢?这个端口号,我们可以在设备管理器中查看,并且可以更改端口的编号。方法如下:设备管理器 --- 端口(COM和LPT)--- 双击要修改的COM口(或者右键-属性)-- 端口设置 -- 高级 --端口号
OK, 登录到交换机之后,就开始配置吧。以下配置中,绿色字体是需要自定义的。
设置设备的名称为GSH-FZ-Frontsystem-view[Quidway] sysname GSH-FZ-Front
设置查看设备的时区,时间设置当前时间:clock datetime HH:MM:SS YYYY-MM-DD设置时区: clock timezone time-zone-name { add | minus } offsetclock timezone BJ add 8 clock datetime 18:20:30 2011-06-08 display clock
#设定NTP服务器,自动获取更新时间,假设NTP服务器为 202.120.2.101,202.112.10.36 system-view[Quidway] ntp-service unicast-peer 202.120.2.101[Quidway] ntp-service unicast-peer 202.112.10.36
配置S5700为内网的NTP服务器,内网的二层交换机指定这个S57为 NTP server 就行system-view[Quidway] ntp-service authentication enable[Quidway] ntp-service sync-interval 180[Quidway] ntp-service authentication-keyid 42 authentication-mode md5 cipher 123456[Quidway] ntp-service reliable authentication-keyid 42
查看NTP状态display clock display ntp-service status
设置标题文本system-view
设置登录时的提示信息: header login { information text | file file-name }[Quidway] header login information #Welcome S5700#
设置登录成功后的提示信息: header shell { information text | file file-name }[Quidway] header shell information #Welcome S5700#
#telnet远程登录
password { simple | cipher }如果使用simple选项,密码将以明文形式保存在配置文件中。一般情况下,应使用cipher 选项将密码加密保存,同时使用cipher选项后,无法从系统中取回,请妥善保管密码。system-view[Quidway] aaa[Quidway-aaa] local-user testadmin password cipher p@ssw0rd privilege level 15[Quidway-aaa] local-user testadmin service-type telnet (设置用户登录方式为 telnet, 只能通过telnet方式登录,还有这几种 ssh http web) 一般不配置它。[Quidway-aaa] quit[Quidway]user-interface vty 0 4[Quidway-vty0-4]authentication-mode aaa (设置认证方式为: aaa )
#SSH远程登录需求:PC能通过SSH协议远程登录交换机进行管理。1、生成本地密钥对: system-view[Quidway] rsa local-key-pair createThe key name will be:Auotnavi-callcenter-01_HostThe range of public key size is (512 ~ 2048).NOTES: If the key modulus is greater than 512,It will take a few minutes.Input the bits in the modulus[default = 512]:1024Generating keys....++++++............++++++...............++++++++.++++++++2、配置VTY用户界面 system-view[Quidway] user-interface vty 0 4[Quidway-ui-vty0-4] authentication-mode aaa
必须设置VTY用户验证方式为AAA,否则 protocol inbound ssh 命令无法成功[Quidway-ui-vty0-4] protocol inbound ssh3、创建SSH用户及密码[Quidway] aaa[Quidway-aaa] local-user admin password cipher 123[Quidway-aaa] local-user admin privilege level 15[Quidway-aaa] local-user admin service-type ssh4、使用Stelnet,并配置SSH用户的认证方式[Quidway] stelnet server enable[Quidway] ssh authentication-type default password
划分VLAN#创建VLAN system-view (一般缩写为:sys)[Quidway] vlan 10 (批量添加vlan: vlan batch 10 20 30)[Quidway-vlan10] quit (一般缩写为:q)#设定端口模式,默认为trunk,需要将端口划入VLAN之前,先把端口类型转为access system-view[Quidway] int gigabitethernet 0/0/1[Quidway-GigabitEthernet0/0/1] port link-type access[Quidway-GigabitEthernet0/0/1] quit#将端口加入Vlan system-view[Quidway] vlan 10[Quidway-vlan131] port gigabitethernet 0/0/1 (连续多个端口,用 xx to xx, 如:port giga 0/0/5 to 0/0/10)[Quidway-Vlan131] quit
#设置Trunk system-view[Quidway] interface GigabitEthernet 0/0/23[Quidway-GigabitEthernet0/0/23] port link-type trunk
如果不设置下面这条配置,VLAN10 , VLAN131都会处于DOWN的状态[Quidway-GigabitEthernet0/0/23] port trunk allow-pass vlan 10 131 (多个VLAN列出)
#设置VLAN IP(管理IP) system-view[Quidway] interface vlanif 131[Quidway-Vlanif131] ip address 192.168.0.253 255.255.255.0 (缩写: ip add IP MASK)[Quidway-Vlanif131] shutdown[Quidway-Vlanif131] undo shutdown
删除VLAN1、如果配置VLAN的管理IP,在系统视图下,使用 undo int vlan 10 命令删除VLAN 10的3层虚拟接口,这样VLAN 10就被删除了,但是划入VLAN 10 的那些端口依然在VLAN 10中。这时还需要把那些端口恢复,让他们不属于任何VLAN system-view[Quidway] undo int vlanif 102、在系统视图下,使用 undo vlan 10 命令可以删除2层接口,这个命令可以释放那些原来划分为VLAN 10的端口,现在这些端口就属于默认的VLAN 1了。 system-view[Quidway] undo vlan 10[Quidway] display vlan
当然,要向VLAN添加端口,是可以直接在VLAN视图中添加的。需要注意的是:交换机上的某个端口被设置成access模式,且加入了一个VLAN, 要想将这个端口模式改为trunk,直接在接口视图中“port link-type trunk” 是不行的,会出现 Error: Please renew the default configurations. 这时需要先从VLAN中删除这个端口,也就是让这个接口恢复到默认的VLAN 1, 才能将这个端口设置为trunk。 system-view[Quidway] vlan 10[Quidway] undo port giga 0/0/1
配置端口组S5700有48个端口,如果要配置VLAN,需要为每个端口先配置port link-type access,才能加入到VLAN,这岂不是很郁闷?于是乎,端口组的出现了,把一些端口添加到一个组里,然后对这个组进行配置,这样就能批量配置system-view[Quidway] port-group 1 # 创建名为1的端口组[Quidway-port-group-1] group-member GigabitEthernet 0/0/10 to GigabitEthernet 0/0/20 # 添加端口到组
然后就可以批量设置端口了[Quidway-port-group-1] port link-type access # 设置端口类型[Quidway-port-group-1] port default vlan 10 # 把端口加入vlan
查看组配置[Quidway] display cur | include group
对端口进行限速假设对交换机的第2个端口进行限速,让通过这个端口的下载速度不超过 128KB/SInbound: 入端口的流量限速Outbound: 出端口的流量限速 system-view[Quidway] int giga 0/0/2[Quidway-GigabitEthernet0/0/2] qos lr outbound cir 1024 cbs 204800
默认单位:KB, 1024表示1M的带宽,理论下载速度就是 128KB/S, cbs代表突发信息速率,cir表示承诺信息速率取消限速[Quidway-GigabitEthernet0/0/2] undo qos lr outbound
配置基于地址池的DHCP服务器1、全局启用DHCP服务 system-view[Quidway] dhcp enable2、配置IP地址池 10 的属性(地址池范围、DNS地址、出口网关、租期)[Quidway] ip pool 10[Quidway] network 192.168.10.0 mask 255.255.255.0[Quidway] excluded-ip-address 192.168.10.250 192.168.10.254 (start_ip - end_ip)[Quidway] dns-list 202.103.24.68[Quidway] gateway-list 192.168.10.1[Quidway] lease day 10[Quidway] quit2、配置VLANIF 10 接口下的客户端从全局地址池中获取IP地址[Quidway] interface vlanif 10[Quidway-Vlanif10] ip add 192.168.10.1 255.255.255.0 (或者 ip add 192.168.10.1 24)[Quidway-Vlanif10] dhcp select global[Quidway-Vlanif10] quit
#设置默认路由 system-view[Quidway] ip route-static 0.0.0.0 0.0.0.0 192.168.0.254
关闭WEB Server,dhcpsystem-view[Quidway] undo http server enable[Quidway] undo dhcp enable
用户管理用户登录界面• CON 适用于从Console接口进行本地登录• VTY 适用于Telnet或SSH方式进行本地或远程登录用户级别用户分为多个级别,标识越高则优先级越高。如果不对用户进行优先级规划,默认用户登录级别为 0 - 3 级。用户所能访问命令的级别由用户的级别决定:• 如果对用户采用不验证或者password验证,登录到S5700的用户所能访问的命令级别由登录时的用户级别决定。• 如果对用户采用AAA验证,登录到S5700的用户所能访问的命令级别由AAA配置信息中本地用户的级别决定。登录用户划分为16级,与命令级别对应。不同级别的用户登录后,只能使用等于或低于自己级别的命令。用户所能访问的命令包括用户所在用户级别的命令以及低于此用户级别的命令。验证用户的方式:
系统提供AAA本地验证、密码验证和不验证三种方式。 如何配置启用哪种验证方式呢?system-view
user-interface 配置用户接口[Quidway] user-interface [ui-type] first-ui-number [last-ui-number]
配置启用用户验证方式[Quidway] authentication-mode { aaa | password | none }super密码:华为super 命令设置的口令用于低级用户向高级别用户切换时进行验证,类似于Linux系统从普通用户切换到root用户时需要验证。用户共分为4级,分别是访问级(0)、监控级(1)、系统级(2)和管理级(3),当低级别的用户向高级别的用户身份切换时: super [level] , 此时只有验证通过后才能切换成功。可以通过super命令提升用户级别。配置实例:1、配置console口为密码验证方式 system-view[Quidway] user-interface console 0[Quidway-ui-console0] idle-timeout 0 0 ( idle-timeout minutes [seconds] )[Quidway-ui-console0] history-command max-size 100
配置用户级别[Quidway-ui-console0] user privilege level 3 # 设置此接口登录的用户级别
配置验证方式 password[Quidway-ui-console0] authentication-mode password[Quidway-ui-console0] set authentication password { cipher | simple } password
2、配置VTY虚拟接口使用3a认证配置VTY 0-4, 优先级为2, 对从VTY 0-4登录的用户进行AAA验证,用户登录时需要输入用户名: huawei, 密码:huawei登录后,如果用户超过30分钟未对交换机进行操作,将断开与交换机的连接。
第一步:配置接口的验证方式system-view[Quidway] user-interface maximum-vty 5 配置可以同时登录交换机的VTY最大个数[Quidway] user-interface vty 0 4[Quidway-ui-vty0-4] authentication-mode aaa[Quidway-ui-vty0-4] user privilege level 2
这里的用户级别设置为2 , 但是采用AAA验证,那么级别由AAA中的本地用户级别决定。 如果采用password或者不验证,那么从此接口登录的用户就是 level 2 级别的。[Quidway-ui-vty0-4] idle-timeout 30 (idle-timeout minutes [seconds])[Quidway-ui-vty0-4] quit
第二步:配置AAA用户,密码以及权限[Quidway] aaa[Quidway-aaa] local-user huawei password cipher huawei
下面service-type一般不用配置, 将允许所有类型[Quidway-aaa] local-user huawei service-type telnet[Quidway-aaa] local-user huawei privilege level 15[Quidway-aaa] quit
第三步:配置supper密码[Quidway] super password level 3 cipher huawei#保存配置 save
配置FTP1、创建vlan system-view[Quidway] vlan 102、将端口划入vlan[Quidway-vlan10] port GigabitEthernet 0/0/1 to 0/0/4 (注意:划入的端口模式必须为access)[Quidway-vlan10] quit3、配置vlan的管理IP[Quidway] int vlanif 10[Quidway-Vlanif10] ip add 192.168.1.254 255.255.255.0[Quidway-Vlanif10] quit4、添加FTP用户[Quidway] aaa[Quidway-aaa] local-user huawei password cipher huawei privilege level 15[Quidway-aaa] local-user huawei service-type ftp # 配置用户为ftp登录[Quidway-aaa] local-user huawei ftp-directory flash:/ # 配置登录的FTP目录[Quidway-aaa] quit5、开启ftp服务
配置ftp服务器超时断开的时间[Quidway] ftp timeout 30 # 单位 minutes
默认情况下,交换机是没有开启ftp服务的,需要手动打开[Quidway] ftp server enable
使用display ftp-server 命令查看ftp服务器的配置和状态信息[Quidway] display ftp-server6、可选:配置ACL基本访问控制列表
配置ACL规则[Quidway] acl number 2001[Quidway-acl-basic-2001] rule permit source 192.168.1.10 0.0.0.0[Quidway-acl-basic-2001] quit
把acl规则应用到ftp[Quidway] ftp acl 20017、连接测试
打开命令提示符,或者其他ftp工具C:Usersadmin> ftp 192.168.1.254Connected to 192.168.1.254220 FTP servece ready.User(192.168.1.254(none)):huawei331 Password required for huawei.Password:230 User logged in.ftp>
配置WEB1、上传web文件
注意:要开启web服务,需要先上传web管理文件(xxx.web.zip) 到交换机的根目录下可以通过ftp上传C:Usersadmin> ftp 192.168.1.254ftp> put xxx.web.zip2、开启web服务 system-view[Quidway] http server load flash:/xxx.web.zip[Quidway] http server enable3、配置web用户[Quidway] aaa[Quidway-aaa] local-user webadmin password cipher webadmin[Quidway-aaa] local-user webadmin service-type http[Quidway-aaa] quit4、通过浏览器测试URL 地址: http://192.168.1.254
#相关查看命令[Quidway] display version 显示VRP版本号[Quidway] display current-configuration 显示系统运行配置信息[Quidway] display saved-configuration 显示保存的配置信息[Quidway] display interfaces brief 显示接口配置信息[Quidway] display history-command 显示历史命令记录
管道过滤[Quidway] display xxx | { include | exclude | begin } strings
当出现 -- More -- 时,同样支持• /expr == begin• -expr == exclude• +expr == include[Quidway] display current-configuration | include ntp[Quidway] display current-configuration | include ip|user
注意第一个 | 是管道, 那么之后的 | 都不认为是管道,而是正则表达式的运算符命令是不区分大小写的,但是 strings 是区分的。