1 登錄設備配置
1.1 RBAC(Role Based Access Control,基於角色的訪問控制)通過建立“權限<->角色”的關聯實現將權限賦予給角色,並通過建立“角色<->用戶”的關聯實現爲用戶指定角色,從而使用戶獲得相應角色所具有的權限。RBAC 的基本思想就是給用戶指定角色,這些角色中定義了允許用戶操作哪些系統功能以及資源對象。
1.2 缺省用戶角色
netwwork-admin: 可操作系統所有功能和資源(除安全日誌文件管理相關命令display security-logfile summary、info-center security-logfile directory、security-logfile save之外)
network-operator: 可執行系統所有功能和資源的相關 display 命令(除 display history-command all、display security-logfile summary 等命令,具體請通過 display role 命令查看)
• 可執行切換 MDC(Multitenant Device Context,多租戶設備境)視圖的命令
• 如果用戶採用本地認證方式登錄系統並被授予該角色,則可以修改自己的密碼
• 可執行進入 XML 視圖的命令
• 可允許用戶操作所有讀類型的 Web 菜單選項
• 可允許用戶操作所有讀類型的 XML 元素
• 可允許用戶操作所有讀類型的 OID
level-n(n=0~15):
• level-0:可執行命令 ping、tracert、ssh2、telnet 和 super,且管理員可以爲其配置權限
• level-1:具有 level-0 用戶角色的權限,並且可執行系統所有功能和資源的相關 display 命令(除 display history-command all 之外),以及管理員可以爲其配置權限
• level-2~level-8 和 level-10~level-14:無缺省權限,需要管理員爲其配置權限
• level-9:可操作系統中絕大多數的功能和所有的資源,且管理員可以爲其配置權限,但不能操作display history-command all命令、RBAC的命令(Debug 命令除外)、MDC、文件管理、設備管理以及本地用戶特性。對於本地用戶,若用戶登錄系統並被授予該角色,可以修改自己的密碼
• level-15:在缺省 MDC 中,具有與 network-admin 角色相同的權限;在非缺省 MDC 中,具有與 mdc-admin 角色相同的權限
1.3用戶授權角色
通過爲用戶授權角色實現角色與用戶的關聯。將有效的用戶角色成功授權給用戶後,登錄設備的用戶才能以各角色所具有的權限來配置、管理或者監控設備。根據用戶登錄設備時採用的不同認證方式,可以將爲用戶授權角色分爲 AAA(Authentication、Authorization、Accounting,認證、授權、計費)方式和非 AAA 方式。
(1) AAA 方式:用戶登錄時使用的認證方式爲 scheme,用戶登錄設備後所擁有的用戶角色由 AAA功能進行授權。
• • 若用戶通過了本地授權,則由設備爲其授權用戶角色,授權的用戶角色是在本地用戶中設置的。
• • 若用戶通過了遠程授權,則由遠程 AAA 服務器爲其授權用戶角色,授權的用戶角色是在遠程AAA 服務器(RADIUS 或 HWTACACS 服務器)上設置的。
(2) 非 AAA 方式:用戶登錄時使用的認證方式爲 none 或者password,用戶登錄後所擁有的用戶角色是用戶線下配置的用戶角色。
1.4 配置設備登錄
(1)配置通過Console口登錄:
line aux 0
authentication-mode none|password|scheme //配置認證模式爲none、密碼認證、AAA認證
set authentication password simple password //配置密碼認證模式下的密碼
user-role network-admin
(2)配置telnet登錄系統:
telnet server enable
line vty 0 63
authentiation-mode scheme //配置認證方式爲AAA認證
local-user user-name class manage
authorization-attribute user-role network-admin //缺省情況下,由用戶角色爲network-admin或者level-15
password simple 123456
service-type telnet
(3) 配置SSH登錄系統:
ssh server enable
ssh user username service-type stelnet authentication-type password
line vty 0 63
authentication-mode scheme
protocol inbound ssh
(4) 配置Web登錄設備:
ip http/https enable
ip http/https port port-number //缺省爲80/443
local-user user-name
password simple 123456
authorization-attribute user-role network-admin
service-type http/https
(5) 配置用戶控制
telnet server acl acl-number
ssh server acl acl-number
ip http acl acl-number
ip https acl acl-number
2. FTP/TFTP配置
配置FTP服務器:
ftp server enable //開啓FTP服務
ftp server acl acl-number //配置ACL
local-user abc class manage
password simple 123456
authorizationo-attribute user-role network-admin work-directory flash:/
service-type ftp
3.配置文件管理
3.1配置類型
(1)空配置
軟件版本中所有的軟件功能都被賦予一個缺省值,這些缺省值的集合被稱爲“空配置”。缺省值無法通過命令行直接查看,可通過查看產品當前軟件版本的命令手冊,瞭解各軟件功能的缺省值。
(2)出廠配置
設備在出廠時,通常會帶有一些基本的配置,稱爲出廠配置。它用來保證設備在沒有配置文件或者配置文件損壞的情況下,能夠正常啓動、運行。
可以使用 display default-configuration 命令查看設備的出廠配置。
(3)啓動配置
設備啓動時運行的配置即爲啓動配置。如果沒有指定啓動配置文件或者啓動配置文件損壞,則系統會使用出廠配置作爲啓動配置。
可以通過以下方式查看啓動配置:
• • 設備啓動後且還沒有進行配置前,使用 display current-configuration 命令查看。
• • 使用 display startup 命令查看本次啓動使用的配置文件,再使用 more 命令查看該配置文件的內容。
(4)當前配置
系統當前正在運行的配置稱爲當前配置。它包括啓動配置和設備運行過程中用戶進行的配置。當前配置存放在設備的臨時緩存中,如果不保存,設備運行過程中用戶進行的配置在設備重啓後會丟失。可以使用 display current-configuration 命令查看設備的當前配置。
3.2配置啓動文件
startup saved-configuration cfgfile //配置下次啓動時的配置文件
reset saved-configuration //刪除設備中的下次啓動配置文件
display default-configuration
display saved-configuration
display startup
4、軟件升級
display version //查看當前版本,通過版本發佈說明書瞭解將安裝的軟件包是否需要 License。如果需要,查看設備上是否有對應的有效的 License。如果沒有,請先安裝 License。否則,會導致軟件包安裝失敗。
boot-loader file flash:/S6800-CMW710-R2612P02.ipe all main //指定下次啓動時使用的軟件包IPE文件
save
reboot
5、License管理
display license feature //查看是否已經安裝了 License、以及已安裝的 License 的簡要信息。
display license device-id //獲取設備的SN和DID
登錄http://www.h3c.com/cn/Service/Authorize_License ,根據產品類型、授權碼、SN 和 DID 申請激活文件。
用戶獲取到激活文件之後請妥善保存並備份,以免不慎丟失。當使用 FTP 方式傳輸激活文件時,請選擇 Binary 傳輸模式。請不要打開激活文件,以免影響文件的格式,導致文件無效。請不要修改激活文件的名稱,以免影響授權。
系統在執行license activation-file install file-name命令的時候會自動將file-name文件拷貝到flash:/license目錄下,以供設備使用。因此,請不要刪除 flash:/license 目錄下處於 In use 或 Usable 狀態的激活文件,以免影響對應特性的正常運行。如果誤刪了這樣的激活文件,請手工執行 copy 命令將備份的激活文件拷貝到 flash:/license 目錄來進行恢復。如果恢復激活文件後,License 已處於 In use 狀態,但某些需要該License的特性仍然不能正常使用,請重啓設備來進行修復。 (使用display license命令可以查看激活文件的狀態)
license activation-file uninstall file-name //卸載沒有過期的激活文件