当用户的认证方式为密码认证(password)或不验证(none)时,可以采用以下方式配置用户级别(以VTY用户界面为例):
system-view
[HUAWEI] user-interface vty 0
[HUAWEI-ui-vty0] user privilege level 15 //配置VTY 0用户界面下用户级别为15
当用户的认证方式为AAA本地认证时,可以采用以下方式配置用户级别(以VTY用户界面为例),优先级由上到下依次降低:
配置某个用户的用户级别。
system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-user user1 privilege level 15 //配置用户user1的用户级别为15
配置某个域下所有用户的用户级别。
system-view
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme sch1
[HUAWEI-aaa-service-sch1] admin-user privilege level 15 //配置用户级别为15
[HUAWEI-aaa-service-sch1] quit
[HUAWEI-aaa] domain domain1
[HUAWEI-aaa-domain-domain1] service-scheme sch1 //在域domain1下绑定业务方案sch1
配置从某个用户界面登录的所有用户的用户级别。
system-view
[HUAWEI] user-interface maximum-vty 15 //配置VTY用户界面最大数目为15
[HUAWEI] user-interface vty 0 14 //进入0~14的VTY用户界面视图
[HUAWEI-ui-vty0-14] user privilege level 15 //配置VTY 0~VTY 14用户界面下用户级别为15
月度归档: 2021 年 3 月
华为S系列网管交换机配置Telnet类型的本地用户
以登录用户界面的验证方式为AAA授权验证,用户名为admin123,密码为Huawei@123为例,配置如下。
本操作的前置条件是设备已经使能了Telnet服务器功能。
system-view
[HUAWEI] user-interface vty 0
[HUAWEI-ui-vty0] protocol inbound telnet //注:V200R006及之前版本缺省使用的协议为Telnet协议,可以不配置该项;V200R007及之后版本缺省使用的协议为SSH协议,必须配置。
[HUAWEI-ui-vty0] authentication-mode aaa
[HUAWEI-ui-vty0] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher Huawei@123
[HUAWEI-aaa] local-user admin123 service-type telnet
[HUAWEI-aaa] local-user admin123 privilege level 15
[HUAWEI-aaa] return
save
华为S系列网管交换机清空配置文件命令
如果需要清除配置,恢复成出厂配置,请执行命令reset saved-configuration,清除设备下次启动时使用的配置文件信息,然后重启设备,重启时如果提示保存配置,请选择“N”不保存。
<HUAWEI> reset saved-configuration
Warning: The action will delete the saved configuration in the device.
The configuration will be erased to reconfigure. Continue? [Y/N]:y
Warning: Now clearing the configuration in the device.
Info: Succeeded in clearing the configuration in the device.
<HUAWEI> reboot
Info: The system is now comparing the configuration, please wait.
Warning: The configuration has been modified, and it will be saved to the next startup saved-configuration file flash:/vrpcfg.zip. Continue? [Y/N]:n //此处请选择“N”
Info: If want to reboot with saving diagnostic information, input ‘N’ and then execute ‘reboot save diagnostic-information’.
System will reboot! Continue?[Y/N]:y
华为S系列交换机忘记BootROM 登录密码的解决方法
如果忘记了BootROM密码,用户可以在登录交换机后在用户视图执行命令reset boot password重置BootROM菜单的密码为缺省值。
出厂时,盒式交换机在V100R006C03之前的版本,BootROM默认密码为huawei;在V100R006C03及之后的版本,默认密码为Admin@huawei.com。
框式交换机在V100R006及之前的版本,BootROM默认密码为9300;在V100R006之后的版本,默认密码为Admin@huawei.com。
华为S系列交换机忘记Web 登录密码的解决方法
如果忘记了Web登录密码,用户可以通过Console口、Telnet或STelnet方式登录交换机后设置新的Web登录密码。
注:Telnet协议存在安全风险,建议用户通过Console口或STelnet方式登录设备。
以用户名为admin123,密码为Huawei@123为例,配置如下。
system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher Huawei@123
[HUAWEI-aaa] local-user admin123 service-type http
[HUAWEI-aaa] local-user admin123 privilege level 15
[HUAWEI-aaa] return
save
华为S系列交换机忘记Telnet登录密码的解决方法
如果忘记了Telnet登录密码,用户可以通过Console口登录交换机后设置新的Telnet登录密码。
注:以下涉及的命令行以V200R008C00版本的S7700交换机为例。
通过Console口登录设备。
将Console通信电缆的DB9(孔)插头插入PC机的串口(COM)中,再将RJ-45插头端插入设备的Console口中。
在PC上打开终端仿真软件,新建连接,设置连接的接口,配置通信参数如下:
波特率:9600
数据位:8
停止位:1
奇偶校验位:无
流控:无
单击“Connect”,根据提示输入或配置登录密码,完成登录。
以登录VTY0的验证方式为密码验证,密码为Huawei@123为例,配置如下。
system-view
[HUAWEI] user-interface vty 0
[HUAWEI-ui-vty0] protocol inbound telnet //V200R006及之前版本缺省使用的协议为Telnet协议,可以不配置该项;V200R007及之后版本缺省使用的协议为SSH协议,必须配置。
[HUAWEI-ui-vty0] authentication-mode password
[HUAWEI-ui-vty0] set authentication password cipher Huawei@123
[HUAWEI-ui-vty0] user privilege level 15
[HUAWEI-ui-vty0] return
save
以登录VTY0的验证方式为AAA授权验证,用户名为admin123,密码为Huawei@123为例,配置如下。
system-view
[HUAWEI] user-interface vty 0
[HUAWEI-ui-vty0] protocol inbound telnet //V200R006及之前版本缺省使用的协议为Telnet协议,可以不配置该项;V200R007及之后版本缺省使用的协议为SSH协议,必须配置。
[HUAWEI-ui-vty0] authentication-mode aaa
[HUAWEI-ui-vty0] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher Huawei@123
[HUAWEI-aaa] local-user admin123 service-type telnet
[HUAWEI-aaa] local-user admin123 privilege level 15
[HUAWEI-aaa] return
save
华为S系列交换机忘记Console口登录密码的解决方法
如果忘记了Console口登录密码,用户可以通过以下两种方式来设置新的Console口登录密码。
1、通过STelnet/Telnet登录交换机设置新的Console口登录密码
注:使用Telnet协议存在安全风险,建议用户使用STelnet V2登录设备。
这种方法的前提是:用户拥有STelnet/Telnet账号并且具有管理员的权限。以下涉及的命令行及回显信息以STelnet登录设备修改Console口密码为例。用户通过STelnet账号登录交换机后,请按照如下步骤进行配置。
以登录用户界面的认证方式为密码认证,密码为Huawei@123为例,配置如下。
system-view
[HUAWEI] user-interface console 0
[HUAWEI-ui-console0] authentication-mode password
[HUAWEI-ui-console0] set authentication password cipher Huawei@123
[HUAWEI-ui-console0] return
save
以登录用户界面的认证方式为AAA认证,用户名为admin123,密码为Huawei@123为例,配置如下。
system-view
[HUAWEI] user-interface console 0
[HUAWEI-ui-console0] authentication-mode aaa
[HUAWEI-ui-console0] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher Huawei@123
[HUAWEI-aaa] local-user admin123 service-type terminal
[HUAWEI-aaa] return
save
2、通过BootROM/BootLoad清除Console口登录密码
交换机的BootROM/BootLoad提供了清除Console口登录密码的功能,用户可以在交换机启动后修改Console口登录密码,然后保存配置。
注:如果交换机是双主控,则需要在执行以下操作前将备用主控板拔下,待执行完以下操作后,再插上备用主控板,执行save命令以保证主用主控板和备用主控板配置一致。
交换机的BootROM/BootLoad提供了清除Console口登录密码的功能,用户可以在交换机启动后修改Console口登录密码,然后保存配置。请按照如下步骤进行配置。
以BootROM菜单为例,请按照如下步骤进行配置。
1、通过Console口连接交换机,并重启交换机。当界面出现以下打印信息时,及时按下快捷键“Ctrl+B”并输入BootROM密码,进入BootROM主菜单。
框式交换机打印信息:
Press Ctrl+B to enter boot menu … 1
Password: //输入BootROM密码
盒式交换机打印信息:
Press Ctrl+B or Ctrl+E to enter BootROM menu … 2
password: //输入BootROM密码
注:
.盒式交换机的某些款型支持使用快捷键“Ctrl+E”进入BootROM主菜单,请根据设备的界面提示操作。
.盒式交换机在V100R006C03之前的版本,BootROM默认密码为huawei;在V100R006C03及之后的版本,默认密码为Admin@huawei.com。
.框式交换机在V100R006及之前的版本,BootROM默认密码为9300;在V100R006之后的版本,默认密码为Admin@huawei.com。
.不同版本和不同形态的设备回显有差异,请以实际设备显示为准。
2、在BootROM主菜单下选择“Clear password for console user”清除Console口登录密码。
根据交换机的提示,在BootROM主菜单下选择“Boot with default mode”启动设备。
注:此处不要选择“Reboot”选项,否则此次清除密码将失效。
3、完成系统启动后,通过Console口登录时不需要认证,登录后按照系统提示配置验证密码。(V200R009及之后版本,完成系统启动后,通过Console口登录时认证方式为None,系统启动后不会提示配置验证密码。)
4、登录交换机后,用户可以根据需要配置Console用户界面的认证方式及密码。具体配置与通过STelnet/Telnet登录交换机设置新的Console口登录密码类似,不再赘述。
华为S系列交换机预防攻击实现安全登录的配置方法WEB方式
Web网管方式登录交换机
攻击行为
1、拒绝服务式攻击
Web Server支持的用户数有限,在用户登录达到上限后,其他用户将无法登录。这个可能是正常使用造成,也可能是攻击者造成。
2、慢连接攻击
在HTTP的报文头中声明较大的content-length,也就是报文内容的长度。在提交了头以后,将后面的报文体部分卡住不发送,这时服务器在接受了长度以后,就会等待客户端发送剩余的内容,攻击者保持连接并且以10秒~100秒/字节的速度去发送大量报文,就达到了消耗资源的效果。
受到攻击后,会出现Web用户登录慢、用户掉线、频繁断连、无法登录等现象。
安全策略
针对以上攻击行为,可以在交换机上配置如下安全策略。
1、AAA认证
Web Server支持AAA认证,只有通过认证的用户才能登录交换机,进入控制页面。用户在进行登录时,要求输入用户名、密码和随机生成的验证码,减小了帐号被破解的概率。
2、关闭服务
当开启Web Server服务器时,交换机将开启Socket服务,易被攻击者扫描。当不使用Web Server时,可以关闭Web Server
3、变更端口号
缺省情况下,Web Server的端口号是80,端口号80属于知名端口号,易被扫描和攻击。可以修改Web Server的端口为私有端口,减小被扫描攻击的概率。
4、ACL
在系统视图可以配置Web Server的ACL过滤规则,通过ACL控制允许登录的客户端源IP和源端口号,其他用户不允许登录。
5、HTTP over SSL
提供安全的传输服务,防止传输的数据被窃听获取。HTTP存在安全风险,从V200R005版本开始,交换机仅支持通过安全HTTP(即HTTPS)登录Web网管,不支持通过HTTP登录Web网管。
V200R020C00之前版本,HTTPS服务器端缺省接收来自所有接口登录连接请求,存在安全风险,建议使用http server-source -i命令指定HTTPS服务器端的源接口。V200R020C00及之后版本,HTTPS服务器端缺省仅接收来自管理网口MEth0/0/1或VLANIF1登录连接的请求,当需要授权客户可以从其他接口登录服务器时,可以使用http server-source -i命令指定HTTPS服务器端的源接口,不建议配置http server-source all-interface命令配置HTTPS服务器的源接口为设备上所有配置了IPv4地址的接口。
成功指定HTTPS服务器端的源接口后,只允许用户通过指定的源接口下的地址登录设备,其它地址的访问将会被拒绝。已经登录到服务器的HTTPS IPv4用户会被强制下线,需要重新登录。
配置方法
配置AAA认证
配置认证方式配置为AAA认证,并在AAA视图下配置用户名client001和密码Helloworld@6789。
system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-user client001 password irreversible-cipher Helloworld@6789
[HUAWEI-aaa] local-user client001 privilege level 15
[HUAWEI-aaa] local-user client001 service-type http
配置关闭HTTP服务功能
system-view
[HUAWEI] undo http server enable
变更服务器端口号为55535
system-view
[HUAWEI] http server port 55535
配置ACL 3000,HTTP引用ACL 3000,表示只允许源IP地址为10.10.10.1、源端口号为80的设备通过HTTP方式登录交换机
system-view
[HUAWEI] acl 3000
[HUAWEI-acl-adv-3000] rule 5 permit tcp source 10.10.10.1 0 source-port eq 80
[HUAWEI-acl-adv-3000] quit
[HUAWEI] http acl 3000
配置HTTP over SSL
system-view
[HUAWEI] ssl policy https_der
[HUAWEI-ssl-policy-https_der] certificate load pem-cert 1_servercert_pem_dsa.pem key-pair dsa key-file 1_serverkey_pem_dsa.pem auth-code cipher 123456
[HUAWEI-ssl-policy-https_der] quit
[HUAWEI] http secure-server ssl-policy https_der
[HUAWEI] http secure-server enable
华为S系列交换机预防攻击实现安全登录的配置方法SSH方式
SSH方式登录交换机
攻击行为
1、暴力破解密码
攻击者在侦听到SSH端口后,尝试进行连接,交换机提示认证,则会进行暴力破解尝试通过认证,获取访问权限。
2、拒绝服务式攻击
SSH Server支持的用户数有限,在用户登录达到上限后,其他用户将无法登录。这个可能是正常使用造成,也可能是攻击者造成。
安全策略
针对以上攻击行为,可以在交换机上配置如下安全策略。
1、密码认证和Public-Key认证
SSH Server支持密码认证和Public-Key认证,只有通过认证的用户才能登录交换机,进入命令行界面。
2、关闭服务
当开启SSH Server服务器时,交换机将开启Socket服务,易被攻击者扫描。当不使用SSH Server时,可以关闭SSH Server。
3、变更端口号
缺省情况下,SSH服务器的端口号为22。端口号22属于知名端口号,易被扫描和攻击。可以修改SSH Server的端口为私有端口,减小被扫描攻击的概率。
4、ACL
在用户界面视图(user-interface)可以配置各个VTY通道的ACL过滤规则,通过ACL控制允许登录的客户端IP。
5、配置SSH服务器源接口
V200R020C00之前版本,SSH服务器端缺省接收来自所有接口登录连接请求,存在安全风险,建议使用ssh server-source -i命令指定SSH服务器端的源接口。V200R020C00及之后版本,SSH服务器端缺省不接收来自任何接口登录连接的请求,需要通过ssh server-source -i命令指定SSH服务器端的源接口,不建议配置ssh server-source all-interface命令配置SSH服务器的源接口为设备上所有配置了IPv4地址的接口。
成功指定SSH服务器端的源接口后,系统只允许SSH用户通过指定的源接口登录服务器,通过其他接口登录的SSH用户都将被拒绝。但对于已登录到服务器的SSH用户不会产生影响,只限制后续登录的SSH用户。
配置方法
配置密码认证或者RSA认证
密码认证:配置用户testuser的认证方式为密码认证
system-view
[HUAWEI] ssh user testuser
[HUAWEI] ssh user testuser authentication-type password
RSA认证:配置用户testuser的认证方式为RSA认证(RSA要采用2048位及以上算法)system-view
[HUAWEI] ssh user testuser
[HUAWEI] ssh user testuser authentication-type rsa
关闭SSH服务
system-view
[HUAWEI] undo stelnet server enable
变更SSH服务器端口号为55535
system-view
[HUAWEI] ssh server port 55535
配置ACL 2000,允许源IP地址为10.1.1.1的用户登录到交换机
system-view
[HUAWEI] acl 2000
[HUAWEI-acl-basic-2000] rule permit source 10.1.1.1 0
[HUAWEI-acl-basic-2000] quit
[HUAWEI] user-interface vty 14
[HUAWEI-ui-vty14] acl 2000 inbound //当需要限制某个地址或地址段的用户登录到交换机时,使用inbound;当需要限制已经登录的用户登录到其它交换机时,使用outbound。
[HUAWEI-ui-vty14] quit
配置SSH服务器端的源接口为Loopback0
system-view
[HUAWEI] ssh server-source -i loopback 0 //执行本命令前,必须已经成功创建LoopBack接口,且接口下已配置IP地址。
华为S系列交换机预防攻击实现安全登录的配置方法Console口方式
Console口方式登录交换机
攻击行为
Console口(也称串口)属于物理接口,攻击者接触到Console口后,交换机将暴露给攻击者,交换机的安全无法保障。即使该攻击者没有破解用户名和密码,也能够对交换机造成损害。
在使用Console口登录的情况下,可能有潜在的攻击者通过网络连接尝试破解用户名和密码,获取交换机管理权限。
安全策略
针对以上攻击行为,可以在交换机上配置如下安全策略。当交换机第一次启用时,需要通过Console口进行第一次配置:
将Console通信电缆的DB9(孔)插头插入PC机的串口,在交换机启动过程中,按下“CTRL+B”或者“CTRL+E”快捷键。
V200R019及之前版本:利用缺省密码进入BootROM或BootLoad菜单,修改BootROM或BootLoad的密码。
V200R020及之后版本:BootROM或BootLoad菜单缺省无密码。首次登录时系统提示必须设置新密码。
交换机生成配置,此时必须修改Console口的登录密码,并记录所配置的登录密码。
V200R009及之前版本Console口默认无认证方式,无默认的用户名和密码,交换机允许用户登录并提示是否配置密码。为保证Console口安全,建议用户此时将Console用户界面的认证方式修改为AAA认证,并在AAA视图下配置用户名和密码。
V200R010至V200R019版本Console口默认为AAA认证,需要在AAA视图下配置用户名和密码。建议用户使用默认的认证方式。
V200R020及之后版本Console口默认为Password认证。首次登录时系统提示必须设置密码。
配置方法
修改BootROM或BootLoad密码
有的设备支持BootROM菜单,有的设备支持BootLoad菜单,不同版本、不同形态可能有差异,请您以设备为准。
修改BootROM密码
交换机启动过程中,出现以下提示信息时,表示交换机启动了BootROM程序。当出现“Press Ctrl+Bor Ctrl+E to enter BootROM menu :”时,及时(3秒内)按下快捷键Ctrl+B,进入BootROM主菜单。输入正确的BootROM密码,显示的BootROM主菜单如下:
框式交换机:
盒式交换机:
修改BootLoad密码
交换机启动过程中,出现以下提示信息时,表示设备启动了BootLoad程序。当出现“Press CTRL+B to enter BootLoad menu :”时,及时(3秒内)按下快捷键Ctrl+B,进入BootLoad菜单。
框式交换机:
盒式交换机:
配置AAA认证
将Console用户界面的认证方式配置为AAA认证,并在AAA视图下配置用户名admin1234和密码Helloworld@6789。