一、Console
认证方式 | 认证所需配置 |
none | 设置登录用户的认证方式为不认证 |
password | 设置登录用户的认证方式为password认证 设置密码认证的密码 |
scheme | 设置登录用户的认证方式为scheme认证 在ISP域视图下为login用户配置认证方法 |
配置通过Console口登录设备时采用AAA认证(scheme)
# 进入系统视图。
system-view
# 进入AUX用户线或AUX用户线类视图。
line aux first-number [ last-number ]
line class aux
# 设置登录用户的认证方式为通过AAA认证。 缺省情况下,用户登录设备的认证方式为scheme。
authentication-mode scheme
二、 SSH服务器
# 开启SSH服务器功能 缺省情况下,SSH服务器功能处于关闭状态。
ssh server enable
# (可选)建立SSH用户,并指定SSH用户的认证方式。
ssh user username service-type stelnet authentication-type password
# 进入VTY用户线或VTY用户线类视图。
line vty first-number [ last-number ]
line class vty
# 配VTY用户线的认证方式为scheme方式。 缺省情况下,VTY用户线的认证方式为scheme方式。
authentication-mode scheme
# (可选)配置VTY用户线支持的SSH协议。 缺省情况下,设备同时支持Telnet和SSH协议。
protocol inbound { all | ssh | telnet }
# (可选)配置SSH方式登录设备时,同时在线的最大用户连接数。 缺省情况下,SSH方式登录同时在线的最大用户连接数为32。
aaa session-limit ssh max-sessions
显示用户线的相关信息 | display line [ num1 | { aux | vty } num2 ] [ summary ] | 在任意视图下执行 |
显示当前正在使用的用户线 | display users | 在任意视图下执行 |
显示设备支持的所有用户线以及用户的相关信息 | display users all | 在任意视图下执行 |
释放指定的用户线 | free line { num1 | { aux | vty } num2 } | 在用户视图下执行 系统支持多个用户同时对设备进行配置,当管理员在维护设备时,其他在线用户的配置影响到管理员的操作,或者管理员正在进行一些重要配置不想被其他用户干扰时,可以使用以下命令强制断开该用户的连接 不能使用该命令释放用户当前自己使用的连接 |
锁定当前用户线并设置解锁密码,防止未授权的用户操作该线 | lock | 在用户视图下执行 缺省情况下,系统不会自动锁定当前用户线 |
锁定当前用户线并对其进行重新认证 | lock reauthentication | 在任意视图下执行 缺省情况下,系统不会自动锁定当前用户线并对其进行重新认证,请使用设备登录密码解除锁定并重新登录设备 |
向指定的用户线发送消息 | send { all | num1 | { aux | vty } num2 } | 在用户视图下执行 |
三、HTTPS方式登录设备
# 开启HTTPS服务 缺省情况下,HTTPS服务处于开启状态。
ip https enable
# 配置HTTPS服务的端口 缺省情况下,HTTPS服务的端口号为443
ip https port port-number
# 配置使用HTTPS登录设备时的认证方式。缺省情况下,用户使用HTTPS登录设备时采用的认证模式为manual。
web https-authorization mode { auto | manual }
创建本地用户usera,密码为123,服务类型为https,用户角色为network-admin。
local-user usera
password simple 123
service-type https
authorization-attribute user-role network-admin
# 显示HTTPS的状态信息
display ip https
# 显示Web用户的相关信息
display web users
四、 AAA认证
(Authentication、Authorization、Accounting,认证、授权、计费)是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
配置设备管理本地用户属性
system-view
# 添加网络接入类本地用户,并进入网络接入类本地用户视图。
local-user user-name class network
# (可选)设置本地用户的密码。 可以不为本地用户设置密码。为提高用户帐户的安全性,建议设置本地用户密码。
password [ { hash | simple } string ]
# 设置本地用户可以使用的服务类型。缺省情况下,本地用户不能使用任何服务类型。
service-type { ftp | { http | https | ssh | telnet | terminal } * }
# (可选)设置本地用户的状态。缺省情况下,本地用户处于活动状态,即允许该用户请求网络服务。
state { active | block }
# (可选)设置使用当前本地用户名接入设备的最大用户数。缺省情况下,不限制使用当前本地用户名接入的用户数。
access-limit max-user-number
# (可选)设置本地用户的授权属性。
authorization-attribute { idle-cut minutes | user-role role-name | work-directory directory-name } *
# (可选)设置设备管理类本地用户的密码管理属性。请至少选择其中一项进行配置。
# 设置密码老化时间。
password-control aging aging-time
# 设置密码最小长度。
password-control length length
# 设置密码组合策略。
password-control composition type-number type-number [ type-length type-length ]
# 设置密码的复杂度检查策略。
password-control complexity { same-character | user-name } check
# 设置用户登录尝试次数以及登录尝试失败后的行为。缺省情况下,采用本地用户所属用户组的密码管理策略。
password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]
# (可选)设置本地用户所属的用户组。缺省情况下,本地用户属于用户组system。
group group-name
