完成以下目标:
(1)配置设备名称;
(2)配置设备系统时间;
(3)配置设备IP地址;
(4)完成用户界面的基本配置。
配置设备名称
命令行界面中的尖括号“< >”或方括号“[ ]”中包含有设备的名称,也称为设备主机名。缺省情况下,设备名称为“Huawei”。为了更好地区分不同的设备,通常需要修改设备名称。我们可以通过命令sysname host-name来对设备名称进行修改,其中sysname是命令行的关键字,host-name为参数,表示希望设置的设备名称。
例如,通过如下操作,就可以将设备名称设置为r1_xjw。
<Huawei> system-view
Enter system view, return user view with Ctrl+Z
[Huawei] sysname r1_xjw
[r1_xjw]
配置设备系统时钟
华为设备出厂时默认采用了协调世界时(UTC),但没有配置时区,所以在配置设备系统时钟前,需要了解设备所在的时区。设置时区的命令行为
clock timezone time-zone-name {add|minus}offset 其中time-zone-name为用户定义的时区名,用于标识配置的时区;根据偏移方向选择add和minus,正向偏移(UTC时间加上偏移量为当地时间)选择add,负向偏移(UTC时间减去偏移量为当地时间)选择minus;offset为偏移时间。假设设备位于北京时区,则相应的配置应该是:
<r1_xjw>clock timezone BJ add 08:00
设置好时区后,就可以设置设备当前的日期和时间了。华为设备仅支持24小时制,使用的命令行为clock datetime HH:MM:SS YYYY-MM-DD,其中HH:MM:SS为设置的时间,YYYY-MM-DD为设置的日期。假设当前的日期为2023年12月21日,时间是下午16:14:00,则相应的配置应该是:
<r1_xjw>clock datetime 16:14:00 2023-12-21
可以通过以下命令查看时间:
<r1_xjw>display time-range all Current time is 16:16:20 12-21-2023 Thursday
配置设备IP地址
用户可以通过不同的方式登录到设备命令行界面,包括 Console 口登录、MiniUSB口登录以及Telnet登录。首次登录新设备时,由于新设备为空配置设备,所以只能通过Console口或MiniUSB口登录。首次登录到新设备后,便可以给设备配置一个IP地址,然后开启Telnet功能。
IP地址是针对设备接口的配置,通常一个接口配置一个IP地址。配置接口IP地址的命令为 ip address ip-address{mask|mask-length},其中 ip address 是命令关键字, ip-address为希望配置的IP地址。mask表示点分十进制方式的子网掩码;mask-length表示长度方式的子网掩码,即掩码中二进制数1的个数。
假设设备r1-xjw的管理接口为GigabitEthernet 0/0/0,分配的IP地址为10.1.1.100,子网掩码为255.255.255.0,则相应的配置应该是:
[r1_xjw]interface g0/0/0 //进入接口视图
[r1_xjw-GigabitEthernet0/0/0]ip address 10.1.1.100 24
用户界面配置
1.用户界面的概念
用户在与设备进行信息交互的过程中,不同的用户拥有各自不同的用户界面。使用Console 口登录设备的用户,其用户界面对应了设备的物理 Console 接口;使用 Telnet登录设备的用户,其用户界面对应了设备的虚拟VTY(Virtual Type Terminal)接口。
说明:
不同设备支持的VTY总数可能不同。
如果希望对不同的用户进行登录控制,则需要首先进入到对应的用户界面视图进行相应的配置(如:规定用户权限级别、设置用户名和密码等)。
例如,假设规定通过Console口登录的用户的权限级别为2级,则相应的操作如下。
[r1_xjw]user-interface console 0[r1_xjw-ui-console0]user privilege level 2
如果有多个用户登录设备,因为每个用户都会有自己的用户界面,那么设备如何识别这些不同的用户界面呢?
2.用户界面的编号
用户登录设备时,系统会根据该用户的登录方式,自动分配一个当前空闲且编号最小的相应类型的用户界面给该用户。用户界面的编号包括以下两种。
相对编号
相对编号的形式是:用户界面类型+序号。一般地,一台设备只有1个Console口(插卡式设备可能有多个Console口,每个主控板提供1个Console口),VTY类型的用户界面一般有15个(缺省情况下,开启了其中的5个)。所以,相对编号的具体呈现如下。
- Console口的编号:CON 0。
- VTY的编号:第一个为VTY 0,第二个为VTY 1,以此类推。
绝对编号
绝对编号仅仅是一个数值,用来唯一标识一个用户界面。绝对编号与相对编号具有一一对应的关系:Console 用户界面的相对编号为 CON 0,对应的绝对编号为 0;VTY用户界面的相对编号为VTY 0~VTY 14,对应的绝对编号为129~143。
使用display user-interface命令可以查看设备当前支持的用户界面信息,操作如下。
[r1_xjw]display user-interface
Idx Type Tx/Rx Modem Privi ActualPrivi Auth Int
+ 0 CON 0 9600 - 2 15 P -
129 VTY 0 - 0 - N -
130 VTY 1 - 0 - N -
131 VTY 2 - 0 - N -
132 VTY 3 - 0 - N -
133 VTY 4 - 0 - N -
145 VTY 16 - 0 - N -
146 VTY 17 - 0 - N -
147 VTY 18 - 0 - N -
148 VTY 19 - 0 - N -
149 VTY 20 - 0 - N -
150 Web 0 9600 - 15 - A -
151 Web 1 9600 - 15 - A -
152 Web 2 9600 - 15 - A -
153 Web 3 9600 - 15 - A -
154 Web 4 9600 - 15 - A -
155 XML 0 9600 - 0 - A -
156 XML 1 9600 - 0 - A -
157 XML 2 9600 - 0 - A -
UI(s) not in async mode -or- with no hardware support:
1-128
+ : Current UI is active.
F : Current UI is active and work in async mode.
Idx : Absolute index of UIs.
Type : Type and relative index of UIs.
Privi: The privilege of UIs.
ActualPrivi: The actual privilege of user-interface.
Auth : The authentication mode of UIs.
A: Authenticate use AAA.
N: Current UI need not authentication.
P: Authenticate use current UI's password.
Int : The physical location of UIs.
[r1_xjw]回显信息中,第一列Idx表示绝对编号,第二列Type为对应的相对编号。
用户验证
每个用户登录设备时都会有一个用户界面与之对应。那么,如何做到只有合法用户才能登录设备呢?答案是通过用户验证机制。设备支持的验证方式有3种:Password验证、AAA验证和None验证。
(1)Password验证:只需输入密码,密码验证通过后,即可登录设备。缺省情况下,设备使用的是Password验证方式。使用该方式时,如果没有配置密码,则无法登录设备。
(2)AAA验证:需要输入用户名和密码,只有输入正确的用户名和其对应的密码时,才能登录设备。由于需要同时验证用户名和密码,所以 AAA 验证方式的安全性比Password验证方式高,并且该方式可以区分不同的用户,用户之间互不干扰。所以,使用Telnet登录时,一般都采用AAA验证方式。
(3)None验证:不需要输入用户名和密码,可直接登录设备,即无需进行任何验证。为安全起见,不推荐使用这种验证方式。
用户验证机制保证了用户登录的合法性。缺省情况下,通过Telnet登录的用户,在登录后的权限级别是0级。
4.用户权限级别
用户权限级别也称为用户级别,默认情况下,用户级别在3级及以上时,便可以操作设备的所有命令。某个用户的级别,可以在对应用户界面视图下执行user privilege level level命令进行配置,其中level为指定的用户级别。
有了以上这些关于用户界面的相关知识后,我们接下来通过两个实例来说明 VTY和Console用户界面的配置方法。
实例1:配置VTY用户界面。
VTY用户界面对应于使用Telnet方式登录的用户。考虑到Telnet是远程登录,容易存在安全隐患,所以在用户验证方式上采用了 AAA 验证。一般地,设备调试阶段需要登录设备的人员较多,并且需要进行业务方面的配置,所以通常配置最大 VTY 用户界面数为15,即允许最多15个用户同时使用Telnet方式登录到设备。同时,应将用户级别设置为2级,即配置级,以便可以进行正常的业务配置。
(1)配置最大VTY用户界面数为15
配置最大VTY用户界面数使用的命令是user-interface maximum-vty number。如果希望配置最大VTY用户界面数为15个,则number应取值为15。
[Huawei]user-interface maximum-vty 15
(2)进入VTY用户界面视图
使用user-interface vty first-ui-number [ last-ui-number ]命令进入VTY用户界面视图,其中first-ui-number和last-ui-number为VTY用户界面的相对编号,方括号“[ ]”表示该参数为可选参数。假设现在需要对 15 个 VTY 用户界面进行整体配置,则first-ui-number应取值为0,last-ui-number取值为14。
[Huawei]user-interface vty 0 14[Huawei-ui-vty0-14]
(3)配置VTY用户界面的用户级别为2级
配置用户级别的命令为user privilege level level。因为现在需要配置用户级别为2级,所以level的取值为2。
[Huawei-ui-vty0-14] user privilege level 2
(4)配置VTY用户界面的用户验证方式为AAA
配置用户验证方式的命令为authentication-mode{aaa|none|password},其中大括号“{ }”表示其中的参数应任选其一。
[Huawei-ui-vty0-14] authentication-mode aaa
(5)配置AAA验证方式的用户名和密码
首先退出VTY用户界面视图,执行命令aaa,进入AAA视图。再执行命令local-user user-name password cipher password,配置用户名和密码。user-name 表示用户名, password表示密码,关键字cipher表示配置的密码将以密文形式保存在配置文件中。最后,执行命令local-user user-name service-type telnet,定义这些用户的接入类型为Telnet。
[Huawei--ui-vty0-14] quit
[Huawei] aaa
[Huawei-aaa] local-user admin password cipher xiaojuwa
[Huawei-aaa] local-user admin service-type telnet
[Huawei-aaa] quit
配置完成后,当用户通过Telnet方式登录设备时,设备会自动分配一个编号最小的可用 VTY 用户界面给用户使用,进入命令行界面之前需要输入上面配置的用户名(admin)和密码(xiaojuwa)。
实例2:配置Console用户界面。
Console用户界面对应于从Console口直连登录的用户,一般采用Password验证方式。通过Console口登录的用户一般为网络管理员,需要最高级别的用户权限。
(1)进入Console用户界面
进入 Console 用户界面使用的命令为 user-interface console interface-number, interface-number表示Console用户界面的相对编号,取值为0。
[Huawei] user-interface console 0
(2)配置用户界面
在 Console 用户界面视图下配置验证方式为 Password 验证,并配置密码为admin@123,且密码将以密文形式保存在配置文件中。
配置用户界面的用户验证方式的命令为authentication-mode{aaa|none|password}。使用set authentication password cipher password命令,配置密文密码。
[Huawei-ui-console0] authentication-mode password
[Huawei-ui-console0]authentication-mode password
Please configure the login password (maximum length 16):xiaojuwa
[Huawei-ui-console0]配置完成后,配置信息会保存在设备的内存中,使用命令display current-configuration即可进行查看。如果不进行存盘保存,则这些信息在设备通电或重启时将会丢失。