交换机登录的典型配置

胡振宇

3.1.1 配置通过Console 口登录交换机示例
通过Console 口登录交换机简介
通过Console口登录交换机是指使用专门的Console通信线缆将用户PC的串口与交换机的
Console口相连，在进行相应的配置后实现在本地管理交换机。
该方式是登录交换机的最基本方式，也是其他登录方式（如：Telnet、STelnet）的基
础，适用于首次登录交换机或无法远程登录交换机的场景。
配置注意事项
l 准备好Console通信线缆（随交换机发货）。
l 准备好PC终端仿真软件。Windows 2000系统的PC自带超级终端，可无需另行准备
终端仿真软件。对于不自带终端仿真软件的系统，请您准备好PC终端仿真软件。
不同终端仿真软件的使用方法请参照具体软件的使用指导或联机帮助。本举例中
使用第三方软件SecureCRT为例进行介绍。
l 本举例适用于S系列交换机所有版本和所有款型。
说明
以下涉及的命令行及回显信息以V200R006C00版本的S7700交换机为例。
组网需求
某公司的IT维护部门购买了一批华为S系列交换机，由网络管理员进行相应的配置。对
于新的交换机，通常需要通过Console口登录并进行初始配置。
如图3-1所示，PC的串口与交换机的Console口通过Console通信线缆相连。用户要求通
过Console口登录交换机，并且下次登录时需要本地认证。为了便于后续对交换机进行
远程维护，用户还要求配置Telnet功能。
图3-1 通过Console 口登录交换机组网图
PC
Switch
Console通信线缆
串口 Console口
10.1.1.1/24
配置思路
采用如下思路配置通过Console口登录交换机：
1. 配置终端仿真软件，设置连接接口及通信参数，登录交换机。
2. 配置交换机的基本信息，包括日期、时间、时区及名称，以方便管理。
3. 配置Console用户界面的认证方式，实现下次通过Console口登录交换机时需要本地
认证。
S7700&S9700 系列交换机
典型配置举例3 基础特性典型配置
文档版本 04 (2015-10-23) 华为专有和保密信息
版权所有 © 华为技术有限公司
92
4. 配置管理IP地址和Telnet功能，便于后续对交换机进行远程维护。
操作步骤
步骤1 配置终端仿真软件并登录交换机
在PC上打开终端仿真软件（以SecureCRT为例），新建连接，设置连接的接口以及通
信参数与交换机Console口缺省配置相同。Console口缺省配置如表3-1所示。
表3-1 交换机Console 口缺省配置
参数缺省值
传输速率9600bit/s
流控方式不进行流控
校验方式不进行校验
停止位1
数据位8
1. 如图3-2所示，单击“ ”，新建连接。
图3-2 新建连接
2. 如图3-3所示，设置连接的接口以及通信参数。
连接的接口请根据实际情况进行选择。例如，在Windows系统中，可以通过在
“设备管理器”中查看端口信息，选择连接的接口。
设置终端仿真软件的通信参数与交换机的缺省值保持一致，分别为：传输速率为
9600bit/s、8位数据位、1位停止位、无校验和无流控。
S7700&S9700 系列交换机
典型配置举例3 基础特性典型配置
文档版本 04 (2015-10-23) 华为专有和保密信息
版权所有 © 华为技术有限公司
93
说明
缺省情况下，设备的没有流控方式。RTS/CTS缺省情况下处于使能状态，因此需要将该选
项勾选掉，否则终端界面中无法输入命令行。
图3-3 设置连接的接口以及通信参数
3. 点击“Connect”，终端界面会出现如下显示信息，提示用户配置登录密码。首次
登录时没有缺省密码，需要用户先配置登录密码。（以下显示信息仅为示意）
An initial password is required for the first login via the console.
Continue to set it? [Y/N]: y //配置登录密码。
Set a password and keep it safe. Otherwise you will not be able to login via the console.
Please configure the login password (8-16)
Enter Password:
Confirm Password:
<HUAWEI>
– 密码为字符串形式，区分大小写，长度范围是8～16。输入的密码至少包含两
种类型字符，包括大写字母、小写字母、数字及特殊字符。特殊字符不包括
“？”和空格。
– 采用交互方式输入的密码不会在终端屏幕上显示出来。
– 用户界面密码配置成功后，如果用户没有修改验证方式及验证密码，当用户
再次登录设备时，用户验证密码即为初次登录时所配置的验证密码。
此时用户可以输入命令，对交换机进行配置，如果需要帮助可以随时输入“?”。
步骤2 配置交换机的基本信息
# 设置日期、时间、时区及名称。
说明
由于交换机所处地域的不同，时区的设置存在不同。用户可以根据实际情况，设置系统的时区。以下
对于时区的配置仅为示例。
<HUAWEI> clock timezone BJ add 08:00:00 //其中BJ为设置的时区名称。08:00:00表示当地时间是在系统默
认的UTC时区基础上加8。
S7700&S9700 系列交换机
典型配置举例3 基础特性典型配置
文档版本 04 (2015-10-23) 华为专有和保密信息
版权所有 &copy; 华为技术有限公司
94
<HUAWEI> clock datetime 10:10:00 2014-07-26 //设置当前时间和日期。设置当前时间前，请务必确认所在
时区，设置正确的时区偏移时间，以保证本地时间正确。
<HUAWEI> system-view
[HUAWEI] sysname Switch //配置交换机名称为Switch。
步骤3 配置Console用户界面的认证方式
# 配置Console用户界面的认证方式为AAA认证，并创建本地用户。
[Switch] user-interface console 0
[Switch-ui-console0] authentication-mode aaa //设置Console用户认证方式为AAA认证。
[Switch-ui-console0] quit
[Switch] aaa
[Switch-aaa] local-user admin1234 password irreversible-cipher Helloworld@6789 //创建名为
admin1234的本地用户，设置其登录密码为Helloworld@6789。V200R003之前的版本，不支持irreversiblecipher，
仅支持cipher关键字。
[Switch-aaa] local-user admin1234 privilege level 15 //配置用户级别为15级。
[Switch-aaa] local-user admin1234 service-type terminal //配置接入类型为terminal，即：Console用
户。
[Switch-aaa] quit
步骤4 配置管理IP地址和Telnet功能
# 配置管理IP地址
[Switch] interface Ethernet 0/0/0 //盒式交换机和框式交换机的管理网口分别为：MEth0/0/1和
Ethernet0/0/0。
[Switch-Ethernet0/0/0] ip address 10.1.1.1 24 //请根据网络规划进行IP地址的配置以及路由的部署，确保
用户终端与交换机之间路由可达。
[Switch-Ethernet0/0/0] quit
# 配置Telnet功能
[Switch] telnet server enable //使能Telnet功能。
[Switch] user-interface vty 0 4 //进入VTY 0～VTY 4用户界面视图。
[Switch-ui-vty0-4] user privilege level 15 //配置VTY 0～VTY 4的用户级别为15级。
[Switch-ui-vty0-4] authentication-mode aaa //配置VTY 0～VTY 4的用户认证方式为AAA认证
[Switch-ui-vty0-4] quit
[Switch] aaa
[Switch-aaa] local-user admin123 password irreversible-cipher Huawei@6789 //创建名为admin123的本
地用户，设置其登录密码为Huawei@6789。V200R003之前的版本，不支持irreversible-cipher，仅支持cipher关
键字。
[Switch-aaa] local-user admin123 privilege level 15 //配置用户级别为15级。
[Switch-aaa] local-user admin123 service-type telnet //配置接入类型为telnet，即：Telnet用户。
[Switch-aaa] quit
步骤5 检查配置结果
配置完成后，用户使用Console用户界面重新登录交换机时，需要输入用户名
admin1234、认证密码Helloworld@6789才能通过身份验证，成功登录交换机。用户也
可以通过Telnet登录交换机。
----结束
配置文件
Switch的配置文件
#
sysname Switch
#
vlan batch 10
#
telnet server enable
#
clock timezone BJ add 08:00:00
#
S7700&S9700 系列交换机
典型配置举例3 基础特性典型配置
文档版本 04 (2015-10-23) 华为专有和保密信息
版权所有 &copy; 华为技术有限公司
95
aaa
local-user admin123 password irreversible-cipher %^%#}+ysUO*B&+p'NRQR0{ZW7[GA*Z*!X@o:Va15dxQAj+,
$>NP>63de|G~ws,9G%^%#
local-user admin123 privilege level 15
local-user admin123 service-type telnet
local-user admin1234 password irreversible-cipher %^%#}+ysUO*B&+p'NRQR0{ZW7[GA*Z*!X@o:Va15dxQAj+,
$>NP>63de|G~ws,9G%^%#
local-user admin1234 privilege level 15
local-user admin1234 service-type terminal
#
interface Ethernet0/0/0
ip address 10.1.1.1 255.255.255.0
#
user-interface con 0
authentication-mode aaa
user-interface vty 0 4
authentication-mode aaa
user privilege level 15
#
return
相关信息
技术论坛
l 首次登录交换机
l 通过Console口登录和Telnet登录
视频
如何通过串口登录设备
3.1.2 配置基于ACL 规则和RADIUS 认证限制Telnet 登录交换机示
例
基于ACL 规则和RADIUS 认证限制Telnet 登录交换机
通过Telnet登录交换机便于对交换机进行远程管理和维护，不需要为每一台交换机都连
接一个终端。缺省情况下，用户不能直接通过Telnet方式登录交换机，而是需要先通过
Console口登录交换机配置Telnet功能，详细配置请参见3.1.1 配置通过Console口登录交
换机示例。
访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规
则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、
端口号等。ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则
进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允
许或阻止该报文通过。
RADIUS是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授
权访问的干扰，常应用在既要求较高安全性又允许远程用户访问的各种网络环境中。
配置了基于RADIUS认证的Telnet登录后，当用户登录交换机时，交换机将用户的用户
名和密码等信息发送给RADIUS服务器，由RADIUS服务器来进行统一认证，同时记录
这些用户的操作行为，从而有效的保证了网络的安全性。
如果同时配置了ACL规则和Radius认证，那么只有满足了ACL规则的报文到达设备上层
协议模块后，才开始使用Radius认证方式对用户的用户名和密码进行认证。基于ACL规
则和RADIUS认证的Telnet登录方式可以保证网络的安全性。
S7700&S9700 系列交换机
典型配置举例3 基础特性典型配置
文档版本 04 (2015-10-23) 华为专有和保密信息
版权所有 &copy; 华为技术有限公司
96
配置注意事项
l 使用Telnet协议存在安全风险，建议使用STelnet V2登录交换机。
l 请确保用户终端和登录的交换机及RADIUS服务器之间均路由可达。
l 请确保交换机上配置的RADIUS服务器的地址、端口号和共享密钥配置正确，并且
和RADIUS服务器上的配置保持一致。
l 请确保已在RADIUS服务器上配置了用户。本例中假设RADIUS服务器上已配置了
用户admin@huawei.com（用户名@域名），其密码为Huawei@1234。
l 本举例适用于S系列交换机所有版本和所有