H3C基礎配置文檔抄錄15-基礎配置

1 登錄設備配置

1.1 RBAC（Role Based Access Control，基於角色的訪問控制）通過建立“權限<->角色”的關聯實現將權限賦予給角色，並通過建立“角色<->用戶”的關聯實現爲用戶指定角色，從而使用戶獲得相應角色所具有的權限。RBAC 的基本思想就是給用戶指定角色，這些角色中定義了允許用戶操作哪些系統功能以及資源對象。

 

1.2 缺省用戶角色

netwwork-admin: 可操作系統所有功能和資源（除安全日誌文件管理相關命令display security-logfile summary、info-center security-logfile directory、security-logfile save之外）

network-operator: 可執行系統所有功能和資源的相關 display 命令（除 display history-command all、display security-logfile summary 等命令，具體請通過 display role 命令查看）

•  可執行切換 MDC（Multitenant Device Context，多租戶設備境）視圖的命令

•  如果用戶採用本地認證方式登錄系統並被授予該角色，則可以修改自己的密碼

•  可執行進入 XML 視圖的命令

•  可允許用戶操作所有讀類型的 Web 菜單選項

•  可允許用戶操作所有讀類型的 XML 元素

•  可允許用戶操作所有讀類型的 OID

            

level-n(n=0~15):

•  level-0：可執行命令 ping、tracert、ssh2、telnet 和 super，且管理員可以爲其配置權限

•  level-1：具有 level-0 用戶角色的權限，並且可執行系統所有功能和資源的相關 display 命令（除 display history-command all 之外），以及管理員可以爲其配置權限

•  level-2～level-8 和 level-10～level-14：無缺省權限，需要管理員爲其配置權限

•  level-9：可操作系統中絕大多數的功能和所有的資源，且管理員可以爲其配置權限，但不能操作display history-command all命令、RBAC的命令（Debug 命令除外）、MDC、文件管理、設備管理以及本地用戶特性。對於本地用戶，若用戶登錄系統並被授予該角色，可以修改自己的密碼

•  level-15：在缺省 MDC 中，具有與 network-admin 角色相同的權限；在非缺省 MDC 中，具有與 mdc-admin 角色相同的權限

 

1.3用戶授權角色

     通過爲用戶授權角色實現角色與用戶的關聯。將有效的用戶角色成功授權給用戶後，登錄設備的用戶才能以各角色所具有的權限來配置、管理或者監控設備。根據用戶登錄設備時採用的不同認證方式，可以將爲用戶授權角色分爲 AAA（Authentication、Authorization、Accounting，認證、授權、計費）方式和非 AAA 方式。

(1)  AAA 方式：用戶登錄時使用的認證方式爲 scheme，用戶登錄設備後所擁有的用戶角色由 AAA功能進行授權。

• •  若用戶通過了本地授權，則由設備爲其授權用戶角色，授權的用戶角色是在本地用戶中設置的。

• •  若用戶通過了遠程授權，則由遠程 AAA 服務器爲其授權用戶角色，授權的用戶角色是在遠程AAA 服務器（RADIUS 或 HWTACACS 服務器）上設置的。

(2)  非 AAA 方式：用戶登錄時使用的認證方式爲 none 或者password，用戶登錄後所擁有的用戶角色是用戶線下配置的用戶角色。

 

1.4 配置設備登錄

(1)配置通過Console口登錄：

line aux 0

  authentication-mode none|password|scheme    //配置認證模式爲none、密碼認證、AAA認證

  set authentication password simple password  //配置密碼認證模式下的密碼

  user-role network-admin

 

(2)配置telnet登錄系統：

telnet server enable   

line vty 0 63

   authentiation-mode scheme         //配置認證方式爲AAA認證

local-user user-name class manage

   authorization-attribute user-role network-admin  //缺省情況下，由用戶角色爲network-admin或者level-15

   password simple 123456

   service-type telnet

 

(3)  配置SSH登錄系統：

        ssh server enable

        ssh user username service-type stelnet authentication-type password

        line vty 0 63

             authentication-mode scheme

             protocol inbound ssh

     

(4)  配置Web登錄設備：

         ip http/https enable  

         ip http/https port port-number    //缺省爲80/443

         local-user user-name

               password simple 123456

              authorization-attribute user-role network-admin

              service-type http/https

(5) 配置用戶控制

  telnet server acl acl-number

  ssh server acl acl-number

ip http acl acl-number

ip https acl acl-number

 

2. FTP/TFTP配置

配置FTP服務器：

ftp server enable                  //開啓FTP服務

ftp server acl acl-number           //配置ACL

local-user abc class manage

   password simple 123456

   authorizationo-attribute user-role network-admin work-directory flash:/

   service-type ftp

 

3.配置文件管理

3.1配置類型

（1）空配置

軟件版本中所有的軟件功能都被賦予一個缺省值，這些缺省值的集合被稱爲“空配置”。缺省值無法通過命令行直接查看，可通過查看產品當前軟件版本的命令手冊，瞭解各軟件功能的缺省值。

（2）出廠配置

設備在出廠時，通常會帶有一些基本的配置，稱爲出廠配置。它用來保證設備在沒有配置文件或者配置文件損壞的情況下，能夠正常啓動、運行。

可以使用 display default-configuration 命令查看設備的出廠配置。

（3）啓動配置

設備啓動時運行的配置即爲啓動配置。如果沒有指定啓動配置文件或者啓動配置文件損壞，則系統會使用出廠配置作爲啓動配置。

可以通過以下方式查看啓動配置：

• •  設備啓動後且還沒有進行配置前，使用 display current-configuration 命令查看。

• •  使用 display startup 命令查看本次啓動使用的配置文件，再使用 more 命令查看該配置文件的內容。

（4）當前配置

系統當前正在運行的配置稱爲當前配置。它包括啓動配置和設備運行過程中用戶進行的配置。當前配置存放在設備的臨時緩存中，如果不保存，設備運行過程中用戶進行的配置在設備重啓後會丟失。可以使用 display current-configuration 命令查看設備的當前配置。

 

3.2配置啓動文件

startup saved-configuration cfgfile    //配置下次啓動時的配置文件

reset saved-configuration           //刪除設備中的下次啓動配置文件

 

display default-configuration

display saved-configuration

display startup

 

 

4、軟件升級

display version  //查看當前版本，通過版本發佈說明書瞭解將安裝的軟件包是否需要 License。如果需要，查看設備上是否有對應的有效的 License。如果沒有，請先安裝 License。否則，會導致軟件包安裝失敗。

boot-loader file flash:/S6800-CMW710-R2612P02.ipe all main  //指定下次啓動時使用的軟件包IPE文件

save

reboot

 

5、License管理

display license feature       //查看是否已經安裝了 License、以及已安裝的 License 的簡要信息。

 

display license device-id    //獲取設備的SN和DID

登錄http://www.h3c.com/cn/Service/Authorize_License ，根據產品類型、授權碼、SN 和 DID 申請激活文件。

 

用戶獲取到激活文件之後請妥善保存並備份，以免不慎丟失。當使用 FTP 方式傳輸激活文件時，請選擇 Binary 傳輸模式。請不要打開激活文件，以免影響文件的格式，導致文件無效。請不要修改激活文件的名稱，以免影響授權。

系統在執行license activation-file install file-name命令的時候會自動將file-name文件拷貝到flash:/license目錄下，以供設備使用。因此，請不要刪除 flash:/license 目錄下處於 In use 或 Usable 狀態的激活文件，以免影響對應特性的正常運行。如果誤刪了這樣的激活文件，請手工執行 copy 命令將備份的激活文件拷貝到 flash:/license 目錄來進行恢復。如果恢復激活文件後，License 已處於 In use 狀態，但某些需要該License的特性仍然不能正常使用，請重啓設備來進行修復。 （使用display license命令可以查看激活文件的狀態）

 

license activation-file uninstall file-name        //卸載沒有過期的激活文件