需求:
6、所有设备console口配置用户密码登入,开启ssh配置管理ip(交换机拓扑需要5台)
7、配置2个账户,一个是最高权限,一个只能查看配置不能修改删除配置
8、安全配置针对固定IP可以访问网络设备
网络拓扑:
需求6:
这边要考虑的是二层设备怎么管理,因为二层是没有办法配置IP的,那么二层怎么才能配置IP,vlan可以
二层通讯配置在一个vlan里,还需要把流量都引导到汇聚交换机上这样不管我哪里都可以访问到设备,因为汇聚有所以网段的三层路由
汇聚交换机:
interface Vlanif104
ip address 10.10.10.1 255.255.255.0
其他5台设备:
interface Vlanif104
ip address 10.10.10.2 255.255.255.0
ip route-static 0.0.0.0 0 Vlanif 104 10.10.10.1
interface Vlanif104
ip address 10.10.10.3 255.255.255.0
ip route-static 0.0.0.0 0 Vlanif 104 10.10.10.1
interface Vlanif104
ip address 10.10.10.4 255.255.255.0
ip route-static 0.0.0.0 0 Vlanif 104 10.10.10.1
interface Vlanif104
ip address 10.10.10.5 255.255.255.0
ip route-static 0.0.0.0 0 Vlanif 104 10.10.10.1
interface Vlanif104
ip address 10.10.10.6 255.255.255.0
ip route-static 0.0.0.0 0 Vlanif 104 10.10.10.1
思想:
1、路由配置后面的网关一定要配置,不然默认为自己的IP,这样回城路由就无效,导致不通
2、回城路由可以写详细条目,不用配置默认路由也可以
ip route-static 192.168.1.0 24 Vlanif 104 10.10.10.1,这样就只允许1网段可以访问设备
3、本交换机下访问其实流量是下图这样的,不是直接访问,所以汇聚上抓包就看到2次请求和回复
抓包情况:
4、当傻瓜交换机使用配置IP就会很麻烦,只能配置到当前交换机下的vlan中去,如果交换机不能配置的就无法管理
interface Vlanif103
ip address 172.16.1.100 255.255.255.0
全部接口
port link-type access
port default vlan 103
ip route-static 0.0.0.0 0.0.0.0 172.16.1.1
回城路由
需求7:
ssh server enable
开启服务,很多人会忘记的配置
管理口配置:
user-interface console 0
authentication-mode aaa
-----user privilege level 3 (默认级别)
这个级别是针对认证模式为密码,而用户密码认证的级别需要在添加用户里配置
思想:
1、AUX口为辅助端口,是通过MODEM远程拨号接入的端口,接口为RJ-45或DB-25(需要转换器)。MODEM远程拨号一般用不到,特殊场景用到,比例针对外企对安全级别很高的情况下,作为中国的分公司,是没权限配置的,和看到任何配置信息的,全由美国那边工程师配置,这样就需要远程拨号管理。
Console口用于本地连接控制操作的接口,用的线是RJ45–DB9。
aux接口也是console的备份,同样可以支持配置(中高端设备都是2个管理配置口)
2、console口和aux口都有的话,同样都需要配置,而一般的设备就一个console口,但是我遇到几次配置H3C设备的时候只有user-interface aux 0 ,我猜测是让这个管理口具备了远程拨号功能,同样的配置下console也生效。有谁知道的麻烦评论告知下,谢谢
配置虚拟终端:
user-interface vty 0 2
authentication-mode aaa
------protocol inbound ssh
针对认证模式为密码
-----user privilege level 3 (默认级别)
这个级别是针对认证模式为密码,而用户密码认证的级别需要在添加用户里配置
思想:
1、vty虚拟终端,ssh,telent这样的程序软件来说,传输文字和图片就需要真实的接口来,而vty就是完成真实端口的目的,让我们程序软件实现传输文字跟图片
0 2是什么意思呢?就是配置终端的数量,也就是只允许2个人同时远程在线配置,根据设备型号可以多达几十个
2、protocol inbound ssh 开启支持ssh协议,针对password认证方式,用户密码认证实在AAA下配置,建议AAA认证,控制性高
配置用户:
aaa
local-user hdkj privilege level 1
local-user hdkj service-type terminal ssh
local-user hdkj password cipher 111111
思想:
1、删除默认账号密码,一般设备都会默认配置admin账户密码
2、服务的类型根据自己的需求配置即可 terminal 就是console口终端
3、用户级别说明
级别0(参观)
ping、tracert、telnet、rsh、super、language-mode、display、quit
级别1(监控)
0级命令、msdp-tracert、mtracert、reboot、reset、send、terminal、undo、upgrade、debugging
级别2(系统)
所有配置命令(管理级的命令除外)和0、1级命令
级别3 (管理)
所有命令
那么4-15是什么级别呢?
提升命令的执行级别,默认都属于管理级别
举例:
command-privilege level 10 view shell system-view
command-privilege level 10 设置命令行级别
Viwe 设置命令视图
Shell 用户视图
system-view 具体的命令,需要写全,不要简写
我把切换到系统视图的命令提高10的级别才能执行,那么我原本的级别3,管理级别也不能进入系统视图操作
4、很重要,切记配置超级密码,现在新设备已经开始不支持这样的命令
super password level 2 cipher 111111
super password level 3 cipher 111111
如果有提升级别也要设置
super password level 10 cipher 111111
就是提权命令:用户视图:super 3
默认是没有配置密码的,如果配置了一个用户1级别的,我就可以提权到3
需求8
定义ACL
acl number 2000
rule 10 permit source 192.168.1.0 0.0.0.255
Rule 11 deny
acl 2000
针对acl匹配可以访问
idle-timeout 5
建议搭配配置使用,限制超时时间,避免终端登入后忘记退出,出现安全问题。
