登陆华为交换机路由器的四种方式
首页 > HuaWei > 基础配置   作者:杭州清默网络  2016年4月26日 12:22 星期二  字号:   评论:0 条
时间:2016-4-26 12:22   评论:0 条 

华为交换机作为服务端时,用户可以通过Console口、TelnetSTelnet或者Web方式登录本设备;作为客户端时,可以从本设备通过TelnetSTelnet方式来登录其他设备。用户对设备的管理方式有命令行方式和Web网管方式。

1、命令行方式:

通过Console口、TelnetSTelnet方式登录设备后,使用设备提供的命令行对设备进行管理和配置。此种方式需要配置相应登录方式的用户界面。

2Web网管方式:

通过HTTPS方式登录设备,设备内置一个Web服务器,用户从终端通过Web浏览器登录到设备,使用设备提供的图形界面,从而非常直观地管理和维护设备。此种方式必须确保设备上已经加载了Web网页文件。

Web网管方式虽然是通过图形界面直观地管理设备,便于用户操作,但提供的是对设备日常维护及管理的基本功能,如果需要对设备进行较复杂或精细的管理,仍然需要使用命令行方式。

用户登录方式比较

登录设备方式

优点

缺点

应用场景

说明

通过Console口登录

使用专门的Console通信线缆连接,保证可以对设备有效控制。

不能远程登录维护设备。

当对设备进行第一次配置时,可以通过Console口登录设备进行配置。

当用户无法进行远程登录设备时,可通过Console口进行本地登录。

当设备无法启动时,可通过Console口进入Boot进行诊断或系统升级。

通过Console口进行本地登录是登录设备最基本的方式,也是其他登录方式的基础。

缺省情况下,用户可以直接通过Console口本地登录设备,命令访问级别是3

通过Telnet登录

便于对设备进行远程管理和维护,不需要为每一台设备都连接一个终端,极大地方便了用户的操作。

传输过程采用TCP协议进行明文传输,存在安全隐患。

终端连接到网络上,使用Telnet方式登录设备,进行本地或远程的配置。应用在对安全性要求不高的网络。

缺省情况下,用户不能通过Telnet方式直接登录设备。如果需要通过Telnet方式登录设备,可以先通过Console口本地登录设备,     并完成以下配置:

确保终端和登录的设备之间路由可达(缺省情况下,设备上没有配置IP地址)。

配置Telnet服务器功能及参数。

配置Telnet用户登录的用户界面。

通过STelnet登录

STelnet协议实现在不安全网络上提供安全的远程登录,保证了数据的完整性和可靠性,保证了数据的安全传输。

配置较复杂。

如果网络对于安全性要求较高,可以通过STelnet方式登录设备。

STelnet基于SSHSecure Shell)协议,提供安全的信息保障和强大认证功能,保护设备不受IP欺骗等攻击。

缺省情况下,用户不能通过STelnet方式直接登录设备。如果需要通过STelnet方式登录设备,可以先通过Console口本地登录或Telnet远程登录设备,并完成以下配置:

确保终端和登录的设备之间路由可达(缺省情况下,设备上没有配置IP地址)。

配置STelnet服务器功能及参数。

配置SSH用户登录的用户界面。

配置SSH用户。

1Console口概述

主控板提供一个Console口(接口类型为EIA/TIA-232 DCE)。通过将用户终端的串行接口与设备Console口直接连接,登录设备,实现对设备的本地配置。

2Telnet概述

Telnet协议在TCP/IP协议族中属于应用层协议,通过网络提供远程登录和虚拟终端功能。以服务器/客户端(Server/Client)模式工作,Telnet客户端向Telnet服务器发起请求,Telnet服务器提供Telnet服务。设备支持Telnet客户端和Telnet服务器功能。

图1 Telnet连接示意图.png

1 Telnet连接示意图

如上图1所示,SwitchA此时既作为Telnet服务器,也提供Telnet客户端服务。SwitchBSwitchA提供Telnet服务器功能。

3STelnet概述

Telnet传输过程采用TCP协议进行明文传输,缺少安全的认证方式,容易招致DoSDenial of Service)、主机IP地址欺骗和路由欺骗等恶意攻击,存在很大的安全隐患。

相对于TelnetSTelnet基于SSH2协议,客户端和服务器端之间经过协商,建立安全连接,客户端可以像操作Telnet一样登录服务器端。SSH通过以下措施实现在不安全网络上提供安全的远程登录:

支持RSARevest-Shamir-Adleman Algorithm)和DSADigital Signature Algorithm)认证方式。客户端需要创建一对密钥(公用密钥和私用密钥),并把公用密钥发送到需要登录的服务器上。服务器使用预先配置的该客户端的公用密钥,与报文中携带的客户端公用密钥进行比较。

如果两个公用密钥不一致,服务器断开与客户端的连接。如果两个公用密钥一致,客户端继续使用自己本地密钥对的私用密钥部分,对特定报文进行摘要运算,将所得的结果(即数字签名)发送给服务器,向服务器证明自己的身份。服务器使用预先配置的该客户端的公用密钥,对客户端发送过来的数字签名进行验证。

支持用加密算法DESData Encryption Standard)、3DESAES128Advanced Encryption Standard 128)、AES256Advanced Encryption Standard 256)对用户名密码以及传输数据进行加密。

华为交换机支持SSH服务器功能,可以接收多个SSH客户端的连接。同时,设备还支持SSH客户端功能,可以与支持SSH服务器功能的设备建立SSH连接,从而实现从本地设备通过SSH登录到远程设备。

目前,设备作为SSH服务器端时,支持SSH2SSH1两个版本。设备作为SSH客户端时,只支持SSH2版本。

SSH支持本地连接和广域网连接。

本地连接:

图2 在局域网内建立SSH通道.png

2 在局域网内建立SSH通道

如上图2所示,可以在SSH客户端和SSH服务器之间建立SSH通道进行本地连接。

广域网连接:

图3 通过广域网建立SSH通道.png

3 通过广域网建立SSH通道

如上图3所示,可以在SSH客户端和SSH服务器之间建立SSH通道进行广域网连接。

4Web网管概述

为了方便用户对设备的维护和使用,华为公司特推出Web网管功能,设备内置一个Web服务器,与设备相连的终端(以下均以PC为例)可以通过Web浏览器访问设备。

图4 Web网管运行环境 .png

4 Web网管运行环境

Web网管的运行环境如上图4所示,可以通过HTTPHTTPS从终端登录至设备,实现通过图形化界面对设备进行管理和维护。Web登录地址为https://IP,登录成功后,通过SSL对数据进行加密,安全性更高。

Web网页文件中已经包含了SSL证书,当网页文件被加载后,用户无需进行相应的SSL策略的配置(设备有默认的SSL策略)。但为了保证安全性,可以从CACertificate Authority)处重新获取数字证书,然后进行手动配置SSL策略。

配置HTTPSHTTP方式,需要在作为服务器的设备上部署SSL策略,并加载数字证书,数字证书主要用来客户端对服务器端身份的验证。用户可以直接使用设备提供的SSL证书和默认的SSL策略。

配置此方式必须要了解的几个概念:

1、CACertificate Authority):

CA是发放、管理、废除数字证书的机构。CA的作用是检查数字证书持有者身份的合法性,并签发数字证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。

国际上被广泛信任的CA,被称之为根CA。根CA可授权其它CA为其下级CACA的身份也需要证明,而证明信息在信任证书机构文件中描述。

例如:CA1作为最上级CA也叫根证书,签发下一级CA2证书,CA2又可以给它的下一级CA3签发证书,以此下去,最终由CAn签发服务器的证书。

如果服务器端的证书由CA3签发,则在客户端验证证书的过程从服务器端的证书有效性验证开始。先由CA3证书验证服务器端证书的有效性,如果通过则再由CA2证书验证CA3证书的有效性,最后由最上级CA1证书验证CA2证书的有效性。

只有通过最上级CA证书即根证书的验证,服务器证书才会验证成功。

图5 证书签发过程与证书验证过程示意图.png

5 证书签发过程与证书验证过程示意图

证书签发过程与证书验证过程如上图5所示。

2、数字证书:

数字证书实际上是存于计算机上的一个记录,是由CA签发的一个声明,证明证书主体(证书申请者拥有了证书后即成为证书主体)与证书中所包含的公钥的惟一对应关系。数字证书中包括证书申请者的名称及相关信息、申请者的公钥、签发数字证书的CA的数字签名及数字证书的有效期等内容。

数字证书的作用使网上通信双方的身份得到了互相验证,提高了通信的可靠性。用户必须事先获取信息发送者的公钥证书,以便对信息进行解码认证,同时还需要CA发送给发送者的证书,以便用户验证发送者的身份。

3、证书撤销列表CRLCertificate Revocation List):

CRLCA发布,它指定了一套证书发布者认为无效的证书。

数字证书的寿命是有限的,但CA可通过证书撤销过程缩短证书的寿命。CRL指定的寿命通常比数字证书指定的寿命要短。由CA撤销数字证书,意味着CA在数字证书正常到期之前撤销允许使用密钥对的有关声明。在撤销证书到期后,CRL中的有关数据被删除,以缩短CRL列表的大小。

PC上可以加载验证服务器数字证书以上的各级证书(也称信任证书)及CRL,也可以不加载,如果未加载,则在连接建立时提示用户是否信任对方,如果点击信任则连接建立成功,不信任则连接无法建立。

此时客户端无法对服务器端的数字证书进行验证,但是可以保证双方数据传输的私密性。为了确保访问的是合法的Web服务器,可以在PC上加载信任证书和CRL

 您阅读这篇文章共花了: 
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:647682417 互相学习。     
本文地址:http://www.023wg.com/jcpz/244.html
版权声明:若无注明,本文皆为“杭州清默网络”原创,转载请保留文章出处。

返回顶部    首页   
版权所有:杭州清默网络    杭州清默网络