华为交换机作为服务端时,用户可以通过Console口、Telnet、STelnet或者Web方式登录本设备;作为客户端时,可以从本设备通过Telnet或STelnet方式来登录其他设备。用户对设备的管理方式有命令行方式和Web网管方式。
+ K/ y" M2 \$ x* B' ?) E+ x- | 1、命令行方式:2 C4 [# c( E E: t; H# w' b' r, C
通过Console口、Telnet或STelnet方式登录设备后,使用设备提供的命令行对设备进行管理和配置。此种方式需要配置相应登录方式的用户界面。
7 t* q! M/ p+ c( p 2、Web网管方式:
^. ^# y5 R6 T- p+ \! O' I 通过HTTPS方式登录设备,设备内置一个Web服务器,用户从终端通过Web浏览器登录到设备,使用设备提供的图形界面,从而非常直观地管理和维护设备。此种方式必须确保设备上已经加载了Web网页文件。" B, K6 J" L- a% T" D) g4 \ ]
Web网管方式虽然是通过图形界面直观地管理设备,便于用户操作,但提供的是对设备日常维护及管理的基本功能,如果需要对设备进行较复杂或精细的管理,仍然需要使用命令行方式。
! E" F+ t0 j& L& V 表1 用户登录方式比较 1 h0 O$ t+ ]0 Q7 B8 ~8 Y9 z- E+ ]
| 登录设备方式
) u/ F' M' Z% c0 { | 优点 2 @4 w* X4 S" {
| 缺点
$ j6 A* e5 V9 U) ~$ z | 应用场景
6 t: ~, w0 k( g& }# R; | | 说明 : O+ O5 W. b8 n+ y
| 通过Console口登录 7 }) C& Z0 R- F
| 使用专门的Console通信线缆连接,保证可以对设备有效控制。
$ d5 b% d7 _+ n0 e( t+ N+ Z | 不能远程登录维护设备。 8 Y f( I) [! a) L5 a6 _2 \) L
| 当对设备进行第一次配置时,可以通过Console口登录设备进行配置。
2 g5 d7 L4 U, C) b3 d: V 当用户无法进行远程登录设备时,可通过Console口进行本地登录。 6 R S1 e) W6 d! b
当设备无法启动时,可通过Console口进入Boot进行诊断或系统升级。 * w+ u! K+ @: v& \( t: J/ ~! o {' u
| 通过Console口进行本地登录是登录设备最基本的方式,也是其他登录方式的基础。
* J! R! A" B- X* e/ U 缺省情况下,用户可以直接通过Console口本地登录设备,命令访问级别是3。
* F. i( |5 c2 G+ z" k5 G& G | 通过Telnet登录
' I- ?7 L3 ?" e% }+ h | 便于对设备进行远程管理和维护,不需要为每一台设备都连接一个终端,极大地方便了用户的操作。
+ @: ^ Y# m& z+ V* J( |- k | 传输过程采用TCP协议进行明文传输,存在安全隐患。
4 t) c# v# D. J6 f! ~ | 终端连接到网络上,使用Telnet方式登录设备,进行本地或远程的配置。应用在对安全性要求不高的网络。
f; N4 e% d4 q- G7 J' U& r, X7 e! u, m | 缺省情况下,用户不能通过Telnet方式直接登录设备。如果需要通过Telnet方式登录设备,可以先通过Console口本地登录设备, 并完成以下配置:
3 m, c+ G8 @+ M% r. |1 c 确保终端和登录的设备之间路由可达(缺省情况下,设备上没有配置IP地址)。
! Y9 t7 v/ c' U5 R. ~% P 配置Telnet服务器功能及参数。
^- S* U9 L$ Q% ]$ @8 G3 H 配置Telnet用户登录的用户界面。 9 e- D& X! m0 p$ O2 H/ c1 Y
| 通过STelnet登录
{0 u: k; W7 b | STelnet协议实现在不安全网络上提供安全的远程登录,保证了数据的完整性和可靠性,保证了数据的安全传输。
1 o2 I4 b3 Z$ }2 @5 t | 配置较复杂。 % D0 f! g; [- ]/ ?' v' k/ r/ t' U
| 如果网络对于安全性要求较高,可以通过STelnet方式登录设备。 . D# m+ y0 H! z0 X/ e& c
STelnet基于SSH(Secure Shell)协议,提供安全的信息保障和强大认证功能,保护设备不受IP欺骗等攻击。 : A" |* {5 x' P0 J8 S v! r
| 缺省情况下,用户不能通过STelnet方式直接登录设备。如果需要通过STelnet方式登录设备,可以先通过Console口本地登录或Telnet远程登录设备,并完成以下配置:
5 k" P( n, w' M# i2 W 确保终端和登录的设备之间路由可达(缺省情况下,设备上没有配置IP地址)。
. C/ P0 {5 Z$ w5 t 配置STelnet服务器功能及参数。 : U( v2 E+ U8 @$ o3 ]# a4 S% L
配置SSH用户登录的用户界面。
1 j; p" @# c; s1 R( [" r" ` 配置SSH用户。
- U, y5 s: e; t |
1、Console口概述
% x% H7 W& [; U. S2 ~0 J/ R 主控板提供一个Console口(接口类型为EIA/TIA-232DCE)。通过将用户终端的串行接口与设备Console口直接连接,登录设备,实现对设备的本地配置。
* p' X4 O( ^1 G3 \! R 2、Telnet概述; d) i7 ]; g6 D2 _! q* Y
Telnet协议在TCP/IP协议族中属于应用层协议,通过网络提供远程登录和虚拟终端功能。以服务器/客户端(Server/Client)模式工作,Telnet客户端向Telnet服务器发起请求,Telnet服务器提供Telnet服务。设备支持Telnet客户端和Telnet服务器功能。
; N! |/ n }' u7 y3 B
点击查看原图
, f: n; ^$ }7 m7 x, _/ Z
图1 Telnet连接示意图 8 H/ }3 _7 E3 o+ o8 v
如上图1所示,SwitchA此时既作为Telnet服务器,也提供Telnet客户端服务。SwitchB对SwitchA提供Telnet服务器功能。
( X2 g1 q: \* \5 _- M8 Y 3、STelnet概述 % K$ L8 Q# ?8 I2 D+ v6 }- n7 P
Telnet传输过程采用TCP协议进行明文传输,缺少安全的认证方式,容易招致DoS(Denial of Service)、主机IP地址欺骗和路由欺骗等恶意攻击,存在很大的安全隐患。 9 f: i7 ]" a( ^+ j
相对于Telnet,STelnet基于SSH2协议,客户端和服务器端之间经过协商,建立安全连接,客户端可以像操作Telnet一样登录服务器端。SSH通过以下措施实现在不安全网络上提供安全的远程登录:
5 C/ ^ @4 O- V/ G 支持RSA(Revest-Shamir-AdlemanAlgorithm)和DSA(Digital Signature Algorithm)认证方式。客户端需要创建一对密钥(公用密钥和私用密钥),并把公用密钥发送到需要登录的服务器上。服务器使用预先配置的该客户端的公用密钥,与报文中携带的客户端公用密钥进行比较。 ; D( z+ I. W9 Q/ B8 b2 L
如果两个公用密钥不一致,服务器断开与客户端的连接。如果两个公用密钥一致,客户端继续使用自己本地密钥对的私用密钥部分,对特定报文进行摘要运算,将所得的结果(即数字签名)发送给服务器,向服务器证明自己的身份。服务器使用预先配置的该客户端的公用密钥,对客户端发送过来的数字签名进行验证。
" j" w/ R7 W6 c8 ]. r 支持用加密算法DES(Data EncryptionStandard)、3DES、AES128(Advanced Encryption Standard 128)、AES256(AdvancedEncryption Standard 256)对用户名密码以及传输数据进行加密。
8 O4 H0 D% m# Z0 d0 x* R* z6 h9 n 华为交换机支持SSH服务器功能,可以接收多个SSH客户端的连接。同时,设备还支持SSH客户端功能,可以与支持SSH服务器功能的设备建立SSH连接,从而实现从本地设备通过SSH登录到远程设备。 8 m! L& h. R, Y/ K" t: p4 E
目前,设备作为SSH服务器端时,支持SSH2和SSH1两个版本。设备作为SSH客户端时,只支持SSH2版本。
. u+ h! c+ j! f9 s% z" O7 ~) p5 k SSH支持本地连接和广域网连接。 ) Z" E' S. d4 J, \" Q
本地连接: n# x4 Q! t, U2 |5 G* |( `% A( u `
点击查看原图
1 v3 ~2 N" U5 t
图2 在局域网内建立SSH通道
% H' n, X$ f4 a( a+ K1 y 如上图2所示,可以在SSH客户端和SSH服务器之间建立SSH通道进行本地连接。 7 {% @6 W1 u" J @/ X2 X2 K4 `$ C+ h0 p
广域网连接:
* O R+ J( `" k3 {
点击查看原图
' r/ O1 H5 n& R
图3 通过广域网建立SSH通道 ( k1 I7 G9 Y; A4 p! Y: K
如上图3所示,可以在SSH客户端和SSH服务器之间建立SSH通道进行广域网连接。 % C7 c' X% H3 ]3 H0 R& }7 ?
4、Web网管概述
" b0 i, [1 i( @) d/ v) |4 z9 r. B 为了方便用户对设备的维护和使用,华为公司特推出Web网管功能,设备内置一个Web服务器,与设备相连的终端(以下均以PC为例)可以通过Web浏览器访问设备。
; {7 ]! f; s$ D; W: O5 {
点击查看原图
( f: w e* A: q3 ^) i: O
图4 Web网管运行环境
! a6 ^3 T, q9 I2 u8 x( J& ?5 x& t Web网管的运行环境如上图4所示,可以通过HTTP或HTTPS从终端登录至设备,实现通过图形化界面对设备进行管理和维护。Web登录地址为https://IP,登录成功后,通过SSL对数据进行加密,安全性更高。
: z+ B' w( B6 K" | Web网页文件中已经包含了SSL证书,当网页文件被加载后,用户无需进行相应的SSL策略的配置(设备有默认的SSL策略)。但为了保证安全性,可以从CA(Certificate Authority)处重新获取数字证书,然后进行手动配置SSL策略。 % g2 y+ J, r) @+ ~, p4 H( c' E( w! Q
配置HTTPS和HTTP方式,需要在作为服务器的设备上部署SSL策略,并加载数字证书,数字证书主要用来客户端对服务器端身份的验证。用户可以直接使用设备提供的SSL证书和默认的SSL策略。
; F* D3 E' G- u 配置此方式必须要了解的几个概念: 5 u; q- }* M. t5 L) g
1、CA(CertificateAuthority): : Z' z! f1 _! C' }% H8 U( f
CA是发放、管理、废除数字证书的机构。CA的作用是检查数字证书持有者身份的合法性,并签发数字证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。 : f x. W8 H! a- r! R
国际上被广泛信任的CA,被称之为根CA。根CA可授权其它CA为其下级CA。CA的身份也需要证明,而证明信息在信任证书机构文件中描述。 # w: L* |$ g% u3 b
例如:CA1作为最上级CA也叫根证书,签发下一级CA2证书,CA2又可以给它的下一级CA3签发证书,以此下去,最终由CAn签发服务器的证书。
) a7 {+ p$ a, } 如果服务器端的证书由CA3签发,则在客户端验证证书的过程从服务器端的证书有效性验证开始。先由CA3证书验证服务器端证书的有效性,如果通过则再由CA2证书验证CA3证书的有效性,最后由最上级CA1证书验证CA2证书的有效性。 ; m4 u! j+ H) r& n
只有通过最上级CA证书即根证书的验证,服务器证书才会验证成功。 " _6 m8 ~+ l. W4 k
点击查看原图
# } i# z% A! `9 p- m 图5 证书签发过程与证书验证过程示意图
: M, v7 U# y2 z% ?0 J& q0 O 证书签发过程与证书验证过程如上图5所示。 / J a8 u3 \7 L$ N/ r7 K. F
2、数字证书:
7 u2 F) I' }: z, R 数字证书实际上是存于计算机上的一个记录,是由CA签发的一个声明,证明证书主体(证书申请者拥有了证书后即成为证书主体)与证书中所包含的公钥的惟一对应关系。数字证书中包括证书申请者的名称及相关信息、申请者的公钥、签发数字证书的CA的数字签名及数字证书的有效期等内容。 7 D5 i/ z0 n7 c, Q; i: k
数字证书的作用使网上通信双方的身份得到了互相验证,提高了通信的可靠性。用户必须事先获取信息发送者的公钥证书,以便对信息进行解码认证,同时还需要CA发送给发送者的证书,以便用户验证发送者的身份。
# ~% M% }" ~+ P( S6 j 3、证书撤销列表CRL(CertificateRevocation List): / A; i& V. e5 a; g
CRL由CA发布,它指定了一套证书发布者认为无效的证书。 , U7 t9 t9 c6 Q% E1 w
数字证书的寿命是有限的,但CA可通过证书撤销过程缩短证书的寿命。CRL指定的寿命通常比数字证书指定的寿命要短。由CA撤销数字证书,意味着CA在数字证书正常到期之前撤销允许使用密钥对的有关声明。在撤销证书到期后,CRL中的有关数据被删除,以缩短CRL列表的大小。
8 f7 `2 M+ i( [+ v6 t4 i 在PC上可以加载验证服务器数字证书以上的各级证书(也称信任证书)及CRL,也可以不加载,如果未加载,则在连接建立时提示用户是否信任对方,如果点击信任则连接建立成功,不信任则连接无法建立。 - ~5 m. m+ L2 O: o F0 z3 D
此时客户端无法对服务器端的数字证书进行验证,但是可以保证双方数据传输的私密性。为了确保访问的是合法的Web服务器,可以在PC上加载信任证书和CRL。 |
|
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
