Nessuna risorsa pertinente trovata nella lingua selezionata.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Reminder

To have a better experience, please upgrade your IE browser.

upgrade

Raccolta di casi di configurazione dello scenario tipico del router aziendale NE-ME60 2.0

Rate and give feedback:
Huawei utilizza la traduzione automatica insieme alla revisione umana per tradurre questo documento in diverse lingue, per facilitare la comprensione del contenuto di questo documento. Nota: la traduzione automatica, anche la più avanzata, non può corrispondere alla qualità dei trasduttori professionisti. Huawei non accetta alcuna responsabilità per l'accuratezza della traduzione e raccomanda di fare riferimento al documento inglese (per il quale è stato fornito un collegamento).
Accedere a un dispositivo

Accedere a un dispositivo

Accesso a un dispositivo per la prima volta

Questo esempio descrive le operazioni di configurazione da eseguire dopo aver effettuato l'accesso al dispositivo di rete per la prima volta.

Prodotti e versioni applicabili

Questo esempio di configurazione si applica a tutti i prodotti della serie router che eseguono V8.

Requisiti di rete

La prima volta che si accende il dispositivo, è necessario accedere tramite l'interfaccia della console per eseguire l'installazione iniziale. Ad esempio, è possibile configurare un indirizzo IP in modo che l'accesso Telnet possa essere utilizzato successivamente.

NOTA:

Dopo che un dispositivo (come un dispositivo della serie NE20E-S2) che supporta PnP (Plug-and-Play) è acceso per la prima volta, l'accesso STelnet è supportato per impostazione predefinita. L'indirizzo IP predefinito dell'interfaccia di gestione (GE0/0/0 o Ethernet0/0/0) è 192.168.0.1. Se il dispositivo ha accesso alla rete quando viene acceso per la prima volta, questo indirizzo predefinito viene automaticamente modificato in un nuovo indirizzo assegnato da DHCP. Per impostazione predefinita root, e la password è Changeme_123. Dopo aver effettuato l'accesso al dispositivo, modificare la password in modo rapido.

Procedura

  1. Accendere tutti i dispositivi e assicurati che l'autocontrollo sia normale.
  2. Collegare un'interfaccia COM su un PC all'interfaccia console di un dispositivo tramite un cavo configurato. Utilizzare il cavo configurato fornito con il prodotto per collegare il PC e il dispositivo, confermando prima di inserire che l'identificatore indica l'interfaccia corretta.

    NOTA:
    • Se il PC utilizza software di emulazione terminale del sistema (ad esempio, HyperTerminal per il sistema Windows 2000/XP), non è richiesta alcuna preparazione aggiuntiva. Se il sistema non dispone di software di emulazione terminale (ad esempio, sistema Windows 7), ottenere un pacchetto di emulazione terminale di terze parti (ad esempio, SecureCRT del VanDyke Software). Per ulteriori informazioni su come utilizzare il software di terze parti, vedere la guida di utilizzo o l'aiuto online.

    • Il PC può avere più porte di connessione. È necessario selezionare la porta collegata al cavo della console. In genere, viene selezionato COM1. Se i parametri di comunicazione della porta seriale del dispositivo sono modificati, modificare i parametri di comunicazione sul PC per essere coerenti con quelli del dispositivo, quindi riconnettersi al dispositivo.

  3. Attivare un programma di emulazione terminale come SecureCRT su PC. Stabilire una connessione e selezionare il protocollo Serial come mostrato in Figura 1-27.

    Figura 1-27  Nuova connessione

  4. Impostare i parametri di comunicazione della porta, come mostrato in Figura 1-28.

    Figura 1-28  Parametri della porta di comunicazione

  5. Dopo aver stabilito la connessione, immettere e confermare una password di autenticazione. Il dispositivo salva automaticamente la password.

    An initial password is required for the first login via the console.
    Set a password and keep it safe! Otherwise you will not be able to login via the console. 
    Please configure the login password (8-16)
    Enter Password: 
    Confirm Password: 
    

    Quindi, il dispositivo visualizza un prompt, ad esempio <HUAWEI>. Viene visualizzata la vista utente. Nella vista utente, è possibile immettere i comandi per visualizzare le informazioni sul dispositivo, incluso lo stato di esecuzione. Per ricevere aiuto, inserire un punto interrogativo (?) Prima di inserire quale parola chiave.

Utilizzo di STelnet (SSH) per accedere in remoto a un dispositivo

Questa sezione descrive come accedere in modo sicuro a un dispositivo remoto tramite STelnet (SSH).

Prodotti e versioni applicabili

Questo esempio di configurazione si applica a tutti i prodotti della serie router che eseguono V8.

Requisiti di rete

Un'azienda ha requisiti di sicurezza elevati, che richiedono un'autenticazione e un'autorizzazione rigorose per l'accesso ai dispositivi e le autorizzazioni CLI.

Roadmap di configurazione

In scenari con elevati requisiti di sicurezza della rete, è consigliato SSH e AAA può essere utilizzato per l'autenticazione e l'autorizzazione. Per evitare la perdita di informazioni dell'utente da cause quali danni all'hardware, si consiglia di combinare l'autenticazione locale e l'autenticazione del server remoto. Il protocollo di autenticazione può essere RADIUS o HWTACACS. Questo esempio utilizza HWTACACS, che richiede l'autorizzazione CLI, crittografa tutto il traffico ed è più sicuro.

Tabella 1-39  Pianificazione dei dati

Parametro

Valore pianificato

Protocollo

SSH

Tipo di autenticazione

Autenticazione password

Metodo di autenticazione

AAA

Modalità di autenticazione

Prima autenticazione locale e poi autenticazione HWTACACS

Modalità autorizzazione CLI

Prima l'autorizzazione HWTACACS e poi l'autorizzazione locale

Procedura

  1. Configurare un'interfaccia utente VTY.

    #
    acl name ACL_VTY basic       //Creare un ACL di base.
     description ACL_FOR_VTY    //Configurare una descrizione per l'ACL per impedire l'uso improprio della ACL.
     rule 10 permit vpn-instance MGT source 10.7.16.0 0.0.0.255  //Consentire a un utente di 10.7.16.0/24 di accedere al dispositivo.
     rule 20 permit vpn-instance MGT source 10.8.34.135 0      //Consentire a un utente di 10.8.34.135/32 di accedere al dispositivo.
     …..//Aggiungere altri indirizzi IP ai quali è consentito accedere come richiesto.
    #
    user-interface vty 0 14
     acl ACL_VTY inbound          //Configurare il controllo dei permessi sull'interfaccia utente per consentire solo agli utenti che soddisfano una regola ACL specificata di accedere al dispositivo.
     authentication-mode aaa      //Specificare la modalità di autenticazione come autenticazione AAA.
     idle-timeout 5 0             //Impostare l'interfaccia VTY da disconnettere se è inattivo per più di 5 minuti 0 secondi.
     protocol inbound ssh         //Impostare l'interfaccia VTY per supportare solo il protocollo SSH.
    #
    

  2. Configurare la gestione degli utenti AAA.
    1. Configurare HWTACACS.

      #
      hwtacacs-server template for_aaa             //Configurare un modello di server HWTACACS 
       hwtacacs-server autenticazione 10.7.35.63 vpn-instance MGT  //Impostare l'indirizzo IP del server di autenticazione HWTACACS primario.
       hwtacacs-server authentication 10.7.35.64 vpn-instance MGT secondary  //Impostare l'indirizzo IP del server di autenticazione HWTACAC secondario.
       hwtacacs-server authorization 10.7.35.63 vpn-instance MGT       //Impostare l'indirizzo IP del server di autorizzazione HWTACACS primario.
       hwtacacs-server authorization 10.7.35.64 vpn-instance MGT secondary //Impostare l'indirizzo IP del server di autorizzazione HWTACAC secondario.
       hwtacacs-server shared-key cipher %^%#BG%G;uUm2ns<(X5@mt^%#2eIf1^Jqz#%^:,;N>D)`y4(#b%#  //Specificare una chiave condivisa visualizzata nel testo cifrato.
       hwtacacs-server user-name original  //Specificare il formato del nome utente del server HWTACACS in modo che corrisponda a quello immesso dall'utente.
      #
      

    2. Configurare AAA.

      #
      aaa
       local-user admin password irreversible-cipher %^%#8[*1[4M;$e{}F$iU6_f*MWX"I:7a)-e}F$i1[4M;$e{ M;$e{}F$"I:7a)$i    //Creare un utente locale admin e impostare la password di accesso dell'utente a una chiave di testo cifrario irreversibile.
       local-user admin service-type ssh               //Configurare l'utente admin per accedere solo in modalità SSH..
       local-user admin level 3                       //Impostare il livello di admin al livello 3 (livello di gestione)
       local-user admin state block fail-times 3 interval 5  //Impostare admin da bloccare per 5 minuti dopo tre tentativi di accesso falliti consecutivi.
      …..//Aggiungere altri utenti a cui è consentito accedere come richiesto. Per i dettagli, vedi il precedente metodo di configurazione dell'utente admin.
      #
       authentication-scheme default            //Configurare un modello di autenticazione AAA.
        authentication-mode local hwtacacs      //Configurare una modalità di autenticazione, verrà utilizzata prima l'autenticazione locale e poi l'autenticazione HWTACACS.
       #
       authorization-scheme default            //Configurare un modello di autorizzazione AAA.
        authorization-mode local hwtacacs      //Configurare una modalità di autorizzazione,verrà utilizzata prima l'autorizzazione locale e poi l'autorizzazione HWTACACS.
        authorization-cmd 0 hwtacacs local      //Impostare prima la modalità di autorizzazione level-0 CLI sull'autorizzazione HWTACACS e quindi l'autorizzazione locale. Cioè, se il server HWTACACS non risponde, l'autorizzazione CLI viene eseguita localmente
        authorization-cmd 1 hwtacacs local
        authorization-cmd 3 hwtacacs local
        authorization-cmd 15 hwtacacs local
      #
       domain default_admin
        authorization-scheme default           //Applicare il modello di autenticazione AAA configurato.
        accounting-scheme default            //Applicare il modello di autorizzazione AAA configurato.
        hwtacacs-server for_aaa              //Applicare il modello di server HWTACACS configurato.
      #
      

  3. Configurare la gestione degli utenti SSH.

    #
    ssh authentication-type default password   //Configurare l'autenticazione della password come modalità di autenticazione predefinita per gli utenti SSH.
    ssh user admin     //Creare un utente SSH denominato admin.
    ssh user admin authentication-type password  //Configurare l'autenticazione della password per l'utente admin.
    ssh user admin service-type stelnet //Impostare la modalità di accesso per l'utente admin.
    …..//Aggiungere gli altri utenti SSH come richiesto. Per i dettagli, vedere il precedente metodo di configurazione dell'utente admin.
    ssh authorization-type default aaa       //Impostare il tipo di autorizzazione delle connessioni SSH su AAA.
    #
    ssh client first-time enable      //Abilitare l'autenticazione iniziale per il client SSH, in modo che la validità della chiave pubblica del server SSH non venga controllata quando un utente accede al server SSH per la prima volta. Dopo l'accesso, il sistema assegna e salva automaticamente una chiave pubblica per l'autenticazione al successivo accesso.
    #
    

  4. Attivare la funzione server STelnet.

    #
    stelnet server enable
    #
    

  5. Verificare l'accesso remoto basato su SSH.

    Utilizzare un client SSH come PuTTY per accedere al dispositivo

    1. Come mostrato in Figura 1-29, impostare l'indirizzo IP dell'interfaccia di gestione del dispositivo (GE0/0/0 o Ethernet0/0/0) su 192.168.0.1. (L'indirizzo IP predefinito dell'interfaccia di gestione viene automaticamente modificato dopo l'accesso al dispositivo tramite una porta console. Questo esempio utilizza l'indirizzo IP predefinito.) Configurare SSH come modalità di accesso.

      Figura 1-29  Accesso al dispositivo tramite PuTTY (1)
      NOTA:

      Dopo che un dispositivo (come la serie NE20E-S2) che supporta PnP (Plug-and-Play) è acceso per la prima volta, l'accesso STelnet è supportato per impostazione predefinita. L'indirizzo IP predefinito dell'interfaccia di gestione (GE0/0/0 o Ethernet0/0/0) è 192.168.0.1. Se il dispositivo ha accesso alla rete quando viene acceso per la prima volta, questo indirizzo predefinito viene automaticamente modificato in un nuovo indirizzo assegnato da DHCP. Per impostazione predefinita root, e la password è Changeme_123. Dopo aver effettuato l'accesso al dispositivo, modificare la password in modo rapido.

    2. Immettere il nome utente e la password.

      Figura 1-30  Accesso al dispositivo tramite PuTTY (2)

Download
Updated: 2019-05-16

N. documento: EDOC1100082601

Visualizzazioni:776

Download: 2

Average rating:
This Document Applies to these Products
Documenti correlati
Related Version
Share
Precedente Avanti