用户登录简介
设备作为服务器时,用户可以通过Console口、Telnet或STelnet方式登录本设备。设备作为客户端时,可以从本设备通过Telnet、STelnet或者HTTP方式来登录其他设备。
用户在本地或者从远端对设备进行管理与维护,需要配置用户界面、用户管理信息和终端服务来登录设备。其中用户界面提供登录入口,用户管理信息确保登录安全,终端服务则提供登录协议支持,比如远程登录Telnet协议或安全远程登录STelnet(Secure Shell Telnet)协议。
用户可通过如表6-1所示几种方式登录服务器,对设备进行配置和管理。
登录设备方式 |
优点 |
缺点 |
应用场景 |
说明 |
---|---|---|---|---|
使用专门的Console通信线缆连接,保证可以对设备有效控制。 |
不能远程管理维护设备。 |
|
通过Console口进行本地登录是登录设备最基本的方式,也是其他登录方式的基础。 缺省情况下,用户可以直接通过Console口本地登录设备,命令访问级别是3。 |
|
便于对设备进行远程管理和维护,不需要为每一台设备都连接一个终端,极大地方便了用户的操作。 |
传输过程采用TCP协议进行明文传输,存在安全隐患。 |
终端连接到网络上,使用Telnet方式登录设备,进行本地或远程的配置。应用在对安全性要求不高的网络。 |
缺省情况下,用户不能通过Telnet方式直接登录设备。如果需要通过Telnet方式登录设备,可以先通过Console口本地登录设备,并完成以下配置:
|
|
STelnet协议实现在不安全网络上提供安全的远程管理,保证了数据的完整性和可靠性,保证了数据的安全传输。 |
配置较复杂。 |
如果网络对于安全性要求较高,可以通过STelnet方式登录设备。STelnet基于SSH(Secure Shell)协议,提供安全的信息保障和强大认证功能,保护设备不受IP欺骗等攻击。 |
缺省情况下,用户不能通过STelnet方式直接登录设备。如果需要通过STelnet方式登录设备,可以先通过Console口本地登录或Telnet远程登录设备,并完成以下配置:
|
|
支持从WWW服务器传输超文本到本地浏览器,配置过程简单。 |
HTTP采用明文形式传输数据,存在安全隐患。 |
当用户需要进行从HTTP服务器端下载证书,可以使用HTTP协议,通过建立HTTP连接实现。 |
设备只支持作为HTTP客户端。 |
Console口概述
主控板提供一个Console口(接口类型为EIA/TIA-232 DCE)。通过将用户终端的串行接口与设备Console口直接连接,登录设备,实现对设备的本地配置。
Telnet概述
Telnet协议在TCP/IP协议族中属于应用层协议,通过网络提供远程管理和虚拟终端功能。以服务器/客户端(Server/Client)模式工作,Telnet客户端向Telnet服务器发起请求,Telnet服务器提供Telnet服务。设备支持Telnet客户端和Telnet服务器功能。
如图6-1所示,SwitchA此时既作为Telnet服务器,也提供Telnet客户端服务。SwitchB对SwitchA提供Telnet服务器功能。
STelnet概述
Telnet传输过程采用TCP协议进行明文传输,缺少安全的认证方式,容易招致DoS(Denial of Service)、主机IP地址欺骗和路由欺骗等恶意攻击,存在很大的安全隐患。
相对于Telnet,STelnet基于SSH2协议,客户端和服务器端之间经过协商,建立安全连接,客户端可以像操作Telnet一样登录服务器端。SSH通过以下措施实现在不安全网络上提供安全的远程管理:
支持RSA(Revest-Shamir-Adleman Algorithm)和ECC(Elliptic Curves Cryptography)认证方式。客户端需要创建一对密钥(公用密钥和私用密钥),并把公用密钥发送到需要登录的服务器上。服务器使用预先配置的该客户端的公用密钥,与报文中携带的客户端公用密钥进行比较。如果两个公用密钥不一致,服务器断开与客户端的连接。如果两个公用密钥一致,客户端继续使用自己本地密钥对的私用密钥部分,对特定报文进行摘要运算,将所得的结果(即数字签名)发送给服务器,向服务器证明自己的身份。服务器使用预先配置的该客户端的公用密钥,对客户端发送过来的数字签名进行验证。
支持用加密算法DES(Data Encryption Standard)、3DES、AES128(Advanced Encryption Standard 128)、AES256、ARC4-128、ARC4-256、AES128-CTR、AES256-CTR对用户名密码以及传输数据进行加密。
设备支持SSH服务器功能,可以接收多个SSH客户端的连接。同时,设备还支持SSH客户端功能,可以与支持SSH服务器功能的设备建立SSH连接,从而实现从本地设备通过SSH登录到远程设备。目前,设备作为SSH服务器端时,支持SSH2和SSH1两个版本。设备作为SSH客户端时,只支持SSH2版本。
SSH支持本地连接和广域网连接。
HTTP概述
如图6-4所示,设备可以作为HTTP客户端。客户端和HTTP服务器之间需要进行信息交互,可以通过建立HTTP连接实现。
HTTP建立连接的过程
- HTTP服务器开启侦听功能。
- HTTP客户端发起连接,建立与服务端的TCP连接。
- 当HTTP客户端感知TCP连接建立成功以后,会通过TCP通道发送请求报文到服务器端。
- 服务器收到客户端发送的请求报文后,经过处理,向客户端发送响应报文。
HTTP断开连接的过程
HTTP连接的断开过程如图6-6所示。HTTP客户端发起断开TCP连接,TCP连接断开。
除了HTTP客户端主动请求断开连接,也存在HTTP服务器主动断开连接的情况。比如当HTTP服务器感知到HTTP客户端存在异常时,HTTP服务器会主动断开TCP连接。