交换机-配置指经本书面许可任何单位和个人不得擅自摘抄、复制本内容部分或全

技

斜斜体[{x|y|...[x|y|...{x|y|...}[x|y|...]#文档版本03(2012-07-( 文档版本02(2012-05-( 文档版本01(2012-03-前 首次登录系 登录设 熟悉命令 命令级 命令视 ..................................................................................................................................................完全帮 部分帮 编辑特 显示特 历史命 快捷 配置举 Tab键使用示 如何使用接 接口概 配置Loopback接 配置Loopback接口IPv4相关 接 进行基本配 配置用户界 （可选）配置VTY用户界面的呼入呼出限 配置举 配置用户登 配置用户通过Console口登录系 （可选）配置Console用户界 net登录系 使 net服务器功 net服务器的端.................................................................................... 配置用户通过 用户通过终端 （可选）配置 配置用户通过安全Web登录系 配置SSL策略并加载数字.......................................................................................................加载Web网页文 创建Web帐 登录Web................................................................................................................................. 显示用 清除用 配置举 配置用户通过Console口登录系统示 配置用户通过 配置用户通过安全Web登录系统示 管理文件系 管理设 管 管理文 （可选）指定FTP服务器端................................................................................................. （可选）配置FTP服务器参 （可选）配置FTP控 用户通过FTP软件系 （可选）配置SFTP服务器参 用户通过SFTP协议系 配置SSL策略并加载数字.....................................................................................................使能FTPS功 配置举 配置系统启 系统软 配置文 配置举 9其他设 9.1其他设备简 net方 FTP方 TFTP方 SSH方 SSL方 SCP方 通 使 通过TFTP其他设备的文 （可选）配置TFTP客户端源地 （可选）配置TFTP限 （可选）配置FTP客户端源地 通过SCP其他设备的文 配置SCP服务 配置SCP客户 配置举 通 通过TFTP其他设备文件配置举 通过SCP其他设备文件配置示 Web配 Web概 启用Web..................................................................................................................................... 设置设备的管理IP地 上传Web网页文 加载Web网页文 创建Web帐 登录Web.............................................................................................................................文档版本03(2012-07- 说明当用户需要为第一次上电的设备进行配置时，必须通过ConsoleMiniUSB口登录一块主控板提供一个Console口和一个MiniUSB口。用户终端的串行端口可以与设备ConsoleUSBMiniUSB口直接连接，实现对设说明l设备第一次上电必须使Console口或MiniUSB口登录，这是实现其他登录方式的前提。例如使用net登录设备所IP地址，需要预先Console口或者MiniUSB口登录设备l在通MiniUSBMiniUSBl同一时刻，MiniUSBConsole

PC已安装终端仿真程序（WindowsXP的超级终端

1说明1Console口的物理属性（包括传输速率、数据位、校验方步骤1在PC上打开终端仿真程序（如WindowsXP的超级终端），如图1-1新建接21-231-3步骤4按Enter键，直到系统出现如下显示，提示用户配置验证，系统会自动保存此Pleaseconfiguretheloginpassword( umlength16)EnterPassword:Confirm说明l用户界面 说明

PC已安装终端仿真程序（WindowsXP的超级终端

11说明驱动程序获取路径：请先登录公司技术支持（），登录后，在应路径下获取S5700的MiniUSB口的驱动程序Switch-MiniUSB-driver.001.zip。1PC端双击驱动程序的安装文件并点击“Next1-41-4PC2选择“IacceptthetermsoftheLicenseAgreement”并点击“Next1-553中指定的解压路径下找到“TUSB3410SingleDriverInstaller”文件夹，进入找步骤6点击“下一步”，选择“我接受证协议中的条款(A)”项并点击“下一步”进入驱7步骤8鼠标“我的电脑”，单击“管理”–>“设备管理器”–>“端口（COM说明步骤1在PC上打开终端仿真程序（如WindowsXP的超级终端），如图1-8新建接2设置连接端口，MiniUSB口请选择“COM31-91-10步骤4按Enter键，直到系统出现如下显示，提示用户配置验证，系统会自动保存此Pleaseconfiguretheloginpassword(umlength16)EnterPassword:Confirm说明l允许通过net、SSH进行本地或配置。l用net命令直接登录并管理其它交换机。l提供FTP服务，方便用户上传、文件。lUser-interfacel命令分级保护，不同级别的用户只能执行相应级别令l提供password和AAA验证方式，确保未用户无法侵入交换机，保证系统的安l用户可以随时键入“?”而获得

说l系统可正确执行令长度最大512个字符，包括使用不完整格式的情况。不完整格式是式令系统只能匹配到唯一一条命令。比如displaycurrent-configuration命令，可以在命dcu、dicudiscu等都可以执行此命令，但不能输入dcdisc等，因为dc、disc开头令不唯一。l如果使用不完整格式进行配置，由于命令保存到配置文件中时使用的是完整格式，可能导致配置文件中存在长度超过512个字符令。系统重启时，这类命令将无法恢复。因此，在使用不完整格式令进行配置时，也需要注意命令的总长度。00 net客户端）、部分display命令等。10、级并不是所有display命令都是级，比如管理配置文件中的２01、012、用于系统基本运行令，对业务提供支撑作用，包括文件系统、FTP、TFTP、配置文件切换命令、备板控制设置命令；用于业务故障诊断的debugging命令等。

说l实际实现中，根据命令的重要程度，有可能出现某些命令的缺省级别要高于本命令按照命令l16级，与命令级别对应。不同级别的用户登录后，只能使用等于或低于自己级别令。可以使用userprivilegelevellevel命令设置用户级别。命令视图基本概<Quidway>system-view[Quidway]aaa[Quidway-说明

令中都有说明，请参见《QuidwayS5700系列以太网交换机命令参考》。 <Quidway>无 [Quidway] [Quidway]interfaceGigabitEthernet说明X/Y/Z为需要配置的千兆以太网接口的接口编号，分别对应“槽位号/子/接口序命令行的完全帮助可以通过以下3种方式获取： <Quidway> [Quidway-ui-vty0]authentication-mode? AAAauthenticationpasswordAuthenticationthroughthepasswordofauserterminalinterface[Quidway-ui-vty0]authentication-modeaaa?[Quidway-ui-vty0]authentication-modeaaapassword是关键字，AAAauthenticationAuthenticationthroughthepasswordofauserterminalinterface是对关键字的分别描述。 <Quidway>system-view[Quidway]sysname?TEXTHostname(1to246

<Quidway> <Quidway>display bpdu- –输入命令的某个关键字的前几个字母，按下<tab>键，可以显示出完整的关键Error:Unrecognizedcommandfoundat'^'position.Error:Wrongparameterfoundat'^'Tabl如果与之匹配的关键字唯一，则系统用此完整的关键字l对于不匹配或者匹配的关键字不唯一的情况，首先显示前缀，继续按Tab键循环翻词，此时光标距词尾不空l如果输入错误关键字，按Tab键后，换行显示，输入的 如表2-4所示。键入 正则表达式的语 2-5是对特殊字符及其语\^$*+ ?.匹配1234、14、1224、1334[^a-_ 说明 匹配+45，abc(*def)匹配abc*def。说明 在命令中指定过滤方注注displaydisplay系统支持使用|count，显示使用过滤条件后输出的结果的行数。可以与过滤方式配合使 说明在分屏显示时指定过滤方 Doskey功能，能够自动保存用户键入的历史命令。当用户需要输缺省情况下，为每个登录用户保存10条历史命令。可以通过 mandmax-说明表2-6历史命 mand[all-users]说明

S5700保存的历史命令与用户输入令格式相同，如果用户使用了命令的不完整 如果用户多次执行同一条命令，S5700的历史命令中只保留最早的一次。但如果执捷键如表2-7所示。说明Tab

S5700上执行以下配置。[Quidway][Quidway]info- S5700上进行以下配置。[Quidway]info-center [Quidway]info-center[Quidway]info-center[Quidway]info-centerloghost[Quidway]info-centerlogbuffer[Quidway]info-centerlogbuffer 说明供配置管理支持，也就是用户通过此类接口可以登录到S5700，并进行配置和管理操口型是DCE。MEth ConsoleMEth描述为接口“MEth业务接口

子为“1”表示前插卡。 说明246135 Console MEth Eth-Trunk具体配置方法请参见《S5700-以太网》中的“链路聚 LoopbackLoopback是一种虚拟接口。TCP/IP协议规定，网段的地址属于环回地但是有些应用（如配置互访）需要在不影响物理接口配置的情况下，配置一个带有指定IP地址的本地接口；要求该本地接口的IP地址为32位掩码（节约IP利用Loopback接口Up的特性，还可以用做RouterID、LSRID、Tunnel隧道借用Loopback的IP地址等。 NULLNull接口类似于一些操作系统中支持的空设备（NullDevices），任何送到该接口的网络数据报会被丢弃。Null接口主要应用在路由选择和策略路由中。比如 Tunnel 口，即VLANIF接口。VLANIF接口是网络层接口，可以配置IP地址。借助VLANIF接口，S5700就能与其它网络层的设备互相通信。

12

2interfaceinterface-typeinterface-number，进入指定接口的接口视图。其中，interface-type为接口类型；interface-number为接口编号。

3执行命令?说明lNullUp状态，不能使用命令关NulllLoopbackUpLoopback接口

说明 具体配置请参见《S5700-以太网》和《S5700系列以太网交换机配置指南-IP路由》1displayinterfaceinterface-typeinterface-number，查看接口当前运行状态3displayipinterfaceinterface-typeinterface-number]IP的主要配置4displayipinterfacebriefinterface-typeinterface-numberIP的简

有些应用（如配置互访）需要在不影响物理接口配置的情况下，配置一个带有指

122interfaceloopbackinterface-numberLoopback3ipaddressip-addressmask|mask-lengthsub]，配置Loopback1displayinterfaceloopbacknumber]Loopback1resetcountersinterface[interface-type[interface-number]]清除接口信息。

12342sysnamehost-name，设置设备名称。缺省情况下，交换机主机名为Quidway。系统时钟=UTC（UniversalTimeCoordinated）通用协调时间+时区偏移+夏令时偏移说明在时区，设置正确的UTC时间，以保证本地时间正确。2clocktimezonetime-zone-nameadd|minusoffsetladdUTCUTC时区的基础上，加上offset，就可以得到time-zone-name所标识的时区时间。lminusUTC3clockdaylight-saving-timetime-zone-nameone-yearstart-timestart-dateend-timeend-dateoffsetclockdaylight-saving-timetime-zone-namerepeatingstart-time{{first|second|third|fourth|last}weekdaymonth|start-date}end-time{{first|second|third|fourth|lastweekdaymonth|end-dateoffsetstart-yearend-year，设期、星期+日期四种配置方式。配置方法请参考clockdaylight-saving-time命令。说明当当前时间处在夏令时时，执行命clocktimezonetime-zone-nameadd|minusoffset设置时区名是可以成功的。但此时执行命displayclock显示的时区名为夏令时名，当夏令时结束之后，系统时钟

1配置：clockdatetime8:0:02011-11-2011-11-12TimeZone(DefaultZoneName):2配置：clocktimezoneBJadd2010-01-01TimeZone(BJ):1、配置：clockdatetime8:0:02011-11-12clocktimezoneBJadd82011-11-12TimeZone(BJ):配置：locktimezoneNJadd8clockdatetime9:0:02011-11-122011-11-12TimeZone(NJ):32011-8-16:02011-10-0112010-01-01TimeZone(DefaultZoneName):UTCDaylightsavingtime: :Repeatmode:one-yearStartyear:2011Endyear :2011Starttime:08-01End :10-01Savingtime:2011-1-16:02011-9-122010-01-0110:00:34TimeZone(BJ):UTCDaylightsavingtime: :Repeatmode:one-yearStartyear:2011Endyear :2011Starttime:01-01End :09-01Savingtime:1、内，则为date-time配置clockdatetime9:0:02011-11-12clock2012-10-012011-11-12TimeZone(DefaultZoneName):UTCDaylightsavingtime: :Repeatmode:one-yearStartyear:2012Endyear :2012Starttime:08-01End :10-01Savingtime:内，则为date-timeclockdatetime9:0:02011-11-12clockdaylight-saving-timeBJone-year9:02011-11-126:02011-12-012011-11-1211:02:21TimeZone(BJ):UTCDaylightsavingtime: :Repeatmode:one-yearStartyear:2011Endyear :2011Starttime:11-12End :12-01Savingtime:内，则为date-timeclockdaylight-saving-timeBJone-year6:02012-8-16:02012-10-011clockdatetime2011-11-12TimeZone(DefaultZoneName):UTCDaylightsavingtime: :Repeatmode:one-yearStartyear:2012Endyear :2012Starttime:08-01End :10-01Savingtime:内，则为date-time2011-1-11:02011-9-12clockdatetime3:02011-01-0103:00:19TimeZone(BJ):UTCDaylightsavingtime: :Repeatmode:one-yearStartyear:2011Endyear :2011Starttime:01-01End :09-01Savingtime:2、33、offset的值不在夏令时saving-timeBJone-year6:02011-1-16:02011-9-12010-01-01TimeZone(BJ):Daylightsavingtime :Repeatmode:one-yearStartyear:2011Endyear :2011Starttime:01-01End :09-01Savingtime:offset的值在夏令时段82010-01-0118:05:31+08:00TimeZone(BJ):Daylightsavingtime :Repeatmode:one-yearStartyear:2010Endyear :2010Starttime:01-01End :09-01Savingtime:date-time±zone-offset的值不在夏令时date-time配置：clockdatetime8:0:02011-11-12、clockBJone-year6:02012-1-16:02012-9-122011-11-12TimeZone(BJ):Daylightsavingtime :Repeatmode:one-yearStartyear:2012Endyear :2012Starttime:01-01End :09-01Savingtime:date-time±zone-offset的值在夏令时段内，则为date-time配置：clockdatetime8:0:02011-1-1、clock2011-9-12clocktimezoneBJadd2011-01-0118:00:43+08:00TimeZone(BJ):Daylightsavingtime :Repeatmode:one-yearStartyear:2011Endyear :2011Starttime:01-01End :09-01Savingtime:内，则为date-time2012-1-16:02012-9-12、clocktimezoneBJ8clockdatetime8:0:02011-11-2011-11-12TimeZone(BJ):Daylightsavingtime :Repeatmode:one-Startyear:End :Starttime:01-01End :09-01Savingtime:内，则为date-time配置：clocktimezoneBJadd8、clockdaylight-saving-timeBJone-year1:02011-1-11:02011-9-12clockdatetime3:0:02011-1-2011-01-0103:00:03+08:00TimeZone(BJ):Daylightsavingtime :Repeatmode:one-Startyear:End :Starttime:01-01End :09-01Savingtime:

2headerlogininformationtext|filefile-name}步骤3执行命令headers{informationtext|filefile-name}，设置登录成功后的标题文本。需要在终端连接被激活但用户尚未通过认证时显示标题信息，使用参数login。说明l标题信息文本以一个英文字符作为起始符，且以相同的字符作为结束符。输入一个英文字符l如果在客户端使用SSH1.X版本登录交换机，则用户登录时不显示参数login设置的标题信息，但可以显示参数s lSSH2.0版本登录交换机，则设置的登录时和登录成功后的标题信息都可以按0～3级行，户实限细， 2～9级和11～14级这些命令级别中没有命令行。用户可以单独调整需要 注注果选择了“YConsole口用户无法3command-privilegelevellevelviewview-namecommand-key，设置指定视图内command-privilegelevel命令可以一次指定多条命令（command-key）的级别及所在视

l显示系统配置信息的display命令l显示系统运行状态的display命令l显示系统诊断信息的display命令l显示主控板重启信display命display

说明 l起始配置信息是设备上电时进行设备初始化工作的配置文件的信息。当前配置信息是设

displaydiagnostic-information命令收集了如下命令执行后的终端显示的信息，包括：displayclock、displayversion、displaycpu-usage、displayinterface、displaycurrent-configuration、displaysaved-configuration、display mand当用户通过Console口、 net或SSH方式登录交换机时，系统会分配相应的用户界虑，配置相应的Console用户界面属性。 net或SSH方式登录交换机实现本地或时，可以根据用户使用需求以及对设备安全的考虑，配置VTY用户界面。配置Console用户界面、VTY用户界面的示例。配置示例中包括组网需求、配置注意事目前系统支持的用户界l端口可以与设备Console口直接连接，实现对设备的本地。l用户界面的编l相对编号方控制口的编号：CON0每个主CON口只有一个，但VTY类型的用20个（0～14用户提供给普通net/SSH用户的用户接口，16～20是预留给用户的接口），可以在系统视图下使用user-interfaceum-vty命令设置最大用户界面个数，其缺省值为5。00（VirtualType34～~第一个为VTY0，第二l绝对编号34～48对应相VTYVTY14l绝对编号50～54~VTY20VTY16～VTY20说明用户界面的用户验 用户界面的用户优先160～15，标识越高llAAA虑，配置相应的Console用户界面属性。当用户需要通过Console口登录交换机对交换机进行本地时，可以配置相应的ConsoleConsole用户界面的物理属性、终端属性、用户优先级以及用 1234说明说明3speedspeed-value，设置传输速率。缺省情况下，传输速率为9600bit/s。4flow-controlhardware|none|software}，设置流控方式。缺省情况下，流控方式为None。5parityeven|mark|none|odd|space}，设置校验位。缺省情况下，校验位为None。6stopbits1.5|1|2}，设置停止位。缺省情况下，停止位为1bit。7databits5|6|7|8}，设置数据位。缺省情况下，数据位为8。

Console用户界面的终端属性在交换机上均有缺省值。用户可以根据需求，重新配置相步骤3执行命令 缺省情况下，用户界面断连的超时时间为10分钟。5screen-lengthscreen-length[temporary]，设置终端屏幕每屏显示的行数。使用参数temporary可以指定终端屏幕的临时显示行数。步骤7执行命令 mandmax-sizesize-value，设置历史命令缓冲区大小。缺省情况下，用户界面历史命令缓冲区大小为10条历史命令。

说明l缺省情况下，Console口用户界面对应的默认命令 级别是3，而其他用户界面对应的默认级别是0。l如果用户界面下配置

需要保存好登录的用户名和，登录设备时需要首先输入登录用户名和才能注注

。 。Console用户界面配置成功后，可以查看到用户界面的使用信息、物理属性和配置、本

<Quidway>displayUser- Network CON0 Username:Unspecified<Quidway>displayuser-interfaceconsoleIdx ModemPriviActualPriviAuth CON :CurrentUIis :CurrentUIisactiveandworkinasyncmode.Idx:AbsoluteindexofUIs.Type:TypeandrelativeindexofUIs.Privi:TheprivilegeofUIs.ActualPrivi:Theactualprivilegeofuser-interface.Auth:TheauthenticationmodeofUIs.A:AuthenticateuseN:CurrentUIneednotP:AuthenticateusecurrentUI'sInt:Thephysicallocationof<Quidway>displaylocal-User-AS-AH-AF-Total3 net或SSH方式登录交换机实现本地或时，可以根据用户使用需求以及对设备安全的考虑，配置VTY用户界面。

当用户需要通过net或SSH方式本地或配置和管理交换机时可以配置相应的VTYVTY用户界面的最大个数、呼入呼出限制、终端属性、用户优先级以

12345说明

步骤2执行命令user-interface 注注例如：当前允许最多5个VTY用户同时，现在配置为允许15个VTY用户同时在VTY5～14authentication-mode命令配置验证方式，<Quidway>system-[Quidway]user-interface um-vty15[Quidway]user-interfacevty514[Quidway-ui-vty5-14]authentication-mode

问控制列表并进入ACL视图，然后执行rule命令增加相应控制列表的规则。说明l用户界面支持基本控制列表（2000～2999）和高 控制列表（3000～3999） 关于ACL配置的内容，请参见《S5700系列以太网交换机配置指南-安全配置》3aclacl-numberinbound|outbound}VTY类型用户界面的呼入呼出限linboundloutbound

VTY用户界面的终端属性在交换机上均有缺省值。用户可以根据需求，重新配置相应缺省情况下，超时时间为10分钟。5screen-lengthscreen-length[temporary]，设置终端屏幕每屏显示的行数。使用参数temporary可以指定终端屏幕的临时显示行数。步骤6执行命令 mandmax-sizesize-value，设置历史命令缓冲区的大小。缺省情况下，存放10条历史命令。

说明

需要保存好登录的用户名和，登录设备时需要首先输入登录用户名和才能注注l缺省情况下，VTYVTY用户界面配置验证方式，否则用户无法通过VTY界面成功登录系统。l如果VTY用户界面的验证方式为password或AAA，必须配置或用户名，否则

。 。VTY用户界面配置成功后，可以查看到用户界面的使用信息、VTY类型用户界面的最

displayuser-interfaceui-typeui-number1|ui-numbersummary]命令查看

<Quidway>displayUser- Network34VTY 00:00:12Username:+35VTY 00:00:00Username:<Quidway>displayuser-interfaceum-vtyumofVTYuser:15displayuser-interfacevtyui-number1|ui-numbersummary]，可以查看用<Quidway>displayuser-interfacevtyIdx ModemPriviActualPriviAuth+ VTY :CurrentUIis :CurrentUIisactiveandworkinasyncmode.Idx:AbsoluteindexofUIs.Type:TypeandrelativeindexofUIs.Privi:TheprivilegeofUIs.ActualPrivi:Theactualprivilegeofuser-interface.Auth:TheauthenticationmodeofUIs.A:AuthenticateuseN:CurrentUIneednotP:AuthenticateusecurrentUI'sInt:Thephysicallocationof<Quidway>displaylocal-User-AS-AH-AF-Total3<Quidway>displayvtycurrentVTYmodeisMachine-Machine配置Console用户界面、VTY用户界面的示例。配置示例中包括组网需求、配置注意事式和验证，实现通过Console口使用Password方式登录交换机。

在初始化空配置交换机或本地交换机时，用户需要通过Console用户界面登录并进证，用户登录时需要输入“”。 lConsole30。lConsole60。lConsole20。lConsole15lConsole用户界面的用户验证方式为password和验证为<Quidway>system-[Quidway]user-interfaceconsole0[Quidway-ui-console0]speed9600[Quidway-ui-console0]flow-controlnone[Quidway-ui-console0]parityeven[Quidway-ui-console0]stopbits2[Quidway-ui-console0]databits[Quidway-ui-console0][Quidway-ui-console0]idle-timeout[Quidway-ui-console0]screen-length[Quidway-ui-console0]screen-width[Quidway-ui- mandmax-size3Console[Quidway-ui-console0]userprivilegelevel[Quidway-ui-console0]authentication-mode[Quidway-ui-console0]setauthenticationpasswordcipher[Quidway-ui-console0]quit

#sysname#user-interfacecon0authentication-modepassworduserprivilegelevel15setauthenticationpasswordcipher%$%$>tGNLl~,2=8vhc%- mandmax-size20idle-timeout300screen-lengthdatabits6parityevenstopbits2speed#出限制、终端属性、验证方式和验证，实现通过net方式使用Password用户使用net协议从VTY通道登录交换机。设备管理员可以根据使用需求或出于对设备安全性的考虑，配置VTY用户界面的相关属性。户登录时需要输入“”。同时需要限制IP地址为的用户登录交换 lVTY30。lVTY60。lVTY20。lVTY15lVTY用户界面的用户验证方式为password，验证为<Quidway>system-[Quidway]user-interfaceum-vty[Quidway]acl[Quidway-acl-basic-2000]ruledenysource0[Quidway-acl-basic-2000]quit[Quidway]user-interfacevty014[Quidway-ui-vty0-14]acl2000inbound[Quidway-ui-vty0-14][Quidway-ui-vty0-14]idle-timeout[Quidway-ui-vty0-14]screen-length[Quidway-ui-vty0-14]screen-width[Quidway-ui-vty0- mandmax-size4VTY[Quidway-ui-vty0-14]userprivilegelevel[Quidway-ui-vty0-14]authentication-mode[Quidway-ui-vty0-14]setauthenticationpasswordcipher[Quidway-ui-vty0-14]quit

#sysname#aclnumberrule5denysource0rulepermitsourceany#user- um-vtyuser-interfacevty0acl2000userprivilegelevel15authentication-modepasswordsetauthenticationpasswordcipher%$%$>tGNLl~,2=8vhc%- mandmax-size20idle-timeout300screen-length#用户可以通过Console口、net或SSH（Snet）方式登录交换机，实现对交换机本Console口、net或Snet端进行本地。此时可以通过net方式从用户终端登录到交换机，实现对网络换机的，极大地方便了用户的操作。 net协议实现在不安全网络上提供安全的。客户端和服务器之间经过协 net一样登录交换机。Console口、net或SnetConsole口登l当用户无法进行访l当设备系统无法启动BootRom进行系统升配置验证，命令级别是3。net统用net方式登录设备，缺省情况下，用户不能通过net方式直接登录设备。如果需要通过net方式登录设备，必须先Console口本lIP地址，确保（缺省情况下，设备上没有配置IP地（缺省情况下，VTY用户界面无认省情况下，VTY用户界面的用户级0）。l使能net服务器功能（缺省情况Snet登录（SecureS）可提供安全IP net登录能更大限度的Snet方式直接登录设备。如果需要SnetlIP地址，确保（缺省情况下，设备上没有配置IP地（缺省情况下，VTY用户界面无认省情况下，VTY用户界面的用户级0）。lVTYSSH持的协议是net）。l配置SSH用户并指定服务方式包含SSHSSH用户的服务方式lSnet服务器功能（缺省情况下，设备的Snet服务功能是关闭说明用net相比，SSH提供了在一个传统不安全的网络环境中，服务器通过对客户端的认证及双向的数据加密，为网络终端提供了安全的服务。SSH协议支持S SSH协议的介绍请参见《S5700特性描述基础配置》

PC已安装终端仿真程序（WindowsXP的超级终端

1 l用户优先l虑，配置相应的Console用户界面属性。

Console用户界面的属性在设备上都有缺省值，用户一般不需要另外配置。但是用户可说明属性可能在配置过程中发生连接中断，建议通过其他登录方式配置Console用户界面属性。若用户需要通过Console口再次登录设备，需要改变PC机上运行的终端仿真程序的相应配置，使之与设备上配置的Console用户界面属性保持一致。

步骤1在PC上打开终端仿真程序（如WindowsXP的超级终端），如图6-1新建接26-236-3步骤4按Enter键，直到系统出现如下显示，提示用户配置验证，系统会自动保存此Pleaseconfiguretheloginpassword(umlength16)EnterPassword:Confirm说明l用户界面

<Quidway>displayUser- Network CON0 Username:Unspecified<Quidway>displayuser-interfaceconsoleIdx ModemPriviActualPriviAuth CON :CurrentUIis :CurrentUIisactiveandworkinasyncmode.Idx:AbsoluteindexofUIs.Type:TypeandrelativeindexofUIs.Privi:TheprivilegeofUIs.ActualPrivi:Theactualprivilegeofuser-interface.Auth:TheauthenticationmodeofUIs.A:AuthenticateuseN:CurrentUIneednotP:AuthenticateusecurrentUI'sInt:Thephysicallocationof<Quidway>displaylocal-User-AS-AH-AF-Total3 net登录系端进行本地。此时可以通过net方式从用户终端登录到交换机，实现对网络换机的，极大地方便了用户的操作。

IP地址，用户可以通过net方式从用户终端登录设备，对设在配置用户通过net登录设备之前，必须通过Console口登录设备，更改设备的缺省 1l用户优先ll（可选）VTYl可选）VTYACLl23VTY用户界面的其他属性在设备上都有缺省值，用户一般不需要另外配置。但是可以根据用户使用需求，配置相关属性。具体配置请参见配置VTY用户界面。

令级别对应关系如表6-2所示。00 外部设备令（ net客户端）等。10、级并不是所有display命令都是级，比如管理配置文件中的displaycurrent-configuration命令和displaysaved-configuration命令是3级管理级。各命令的级别请参见201、3012、括文件系统、FTP、TFTP、配置文件切换命debugging命令等。说明l用户的级别与命令级别对应，不同级别的用户登录后，只能使用等于或低于自己级别令，从而保证了设备的安全性。l如果用户界面下配置 –验证setauthenticationpasswordcipherpassword]，设置password验AAA

net服务功能是开启的。

说明l执行命令 net[ipv6]serverenable关 net登录的用 l关闭 net服务功能后，将不能通过 net登录到系当通过Console口登录设备完成相关配置后，用户可以使用 net协议从终端登录到远

处以Windows命令行提示符为例进行配置。步骤1进入Windows令行提示符步骤2执行Windows命令netip-address，通 图6-4Windows令行提示按Enter键，出现用户视图令行提示符，如< net服务器。如果设备配置了认证方式或AAA认证方式，设备将要求用户输入登录的用户名和，正确输入用户名和并按Enter键后，将出现用户视图令行提示符，如图6-5所示。

缺省情况下，net服务器端端是23，此时登录交换机可以不指定端。但如果使用标准的端，可能会有者不断此端口，导致带宽和服务器性能的下降，造成其他正常用户无法。所以可以重新配置net服务器的端， 开 开

用户通过net登录系统配置成功后，可以查看到当前用户界面连接情况、每个用户界面连接情况、以及当前建立的所有TCP连接情况等内容。

<Quidway>displayUser- Network34VTY Username:+35VTY Username:<Quidway>displaytcpLocalForeign36059730<Quidway>netserverNETIPV4NETIPV6serverNETserverSnet协议实现在不安全网络上提供安全的。客户端和服务器之间经过协商，建立安全连接，用户可以像操作net一样登录交换机。患。与net相比，SSH提供了在一个传统不安全的网络环境中，服务器通过对客户端在配置用户通过Snet登录系统之前，必须通过Console口登录设备，更改设备的缺 使能Snet服务器功能，以便用户能够通过Snet方式登录设备。12RSADSA3（可选）SSH服务器名称、SSH服务器当前的端 、Snet客户端到SSH服务器端的首选加密算法、SSH服务器端到S 法、Snet客户端到SSH服务器端的首选HMAC算法、SSH服务器端到Snet客户端的首选HMAC算法、首选密钥交换算法缺省情况下，VTY用户界面的用户级别是0，为了实现通过S net方式登录设备

VTY用户界面的其他属性在设备上都有缺省值，用户一般不需要另外配置。但是可以根据用户使用需求，配置相关属性。具体配置请参见配置VTY用户界面。

令级别对应关系如表6-3所示。00 外部设备令（ net客户端）等。10、级并不是所有display命令都是级，比如管理配置文件中的displaycurrent-configuration命令和displaysaved-configuration命令是3级管理级。各命令的级别请参见201、3012、括文件系统、FTP、TFTP、配置文件切换命debugging命令等。说明l用户的级别与命令级别对应，不同级别的用户登录后，只能使用等于或低于自己级别令，从而保证了设备的安全性。l如果用户界面下配置 AAASSH协议，则用户不能通过Snet方式登录设备。说明通过S 设置用户验证方式以及指定SSH用户的服务方式。 式。password认证依靠AAA实现，当用户使用password、password-rsa或l产生RSADSA密钥对是成功完SSH登录的首要操作。如SSH用户使password认证，则需要SSH服务器端生RSADSA密钥。如SSHRSADSASSH中一种用于用户认证的算法。但不同的是，相比RSA，DSA密钥算法应用更广范，部分SSH工具仅支持DSA算法。当采用RSADSAVTY界面的优先级决定。说明lpassword-rsapassword认证RSA认证lpassword-dsapassword认证DSA认证lall认证是password认证、RSADSA认证方式满足其中一种即可3RSADSAlrsalocal-key-paircreate，产生本地RSA说明l在进行其SSHrsalocal-key-paircreate配置，生成本地密钥对。服务器密钥对和主钥对的最小长度均为512位，最大长度均为2048位。ldisplayrsalocal-key-pairpublic命令查看本地密钥对中的公钥部ldsalocal-key-paircreateDSA说明务器密钥对和主钥对的长度可为512、1024、2048。缺省情况下，密钥对的长度为ldisplaydsalocal-key-pairpublic命令查看本地密钥对中的公钥部4sshuseruser-nameauthentication-typepassword|rsa|password-rsa|alldsa|password-dsa}SSH用户的认证方式。l配置对SSH用户进行Password认置；如果用户数量比较多，对SSH用户使用缺省认证方式可以简化配置。l配置对SSH用户进行RSADSA认说明l HHlRSA公钥传送到服务器端。请采用拷贝粘贴方式将RSA公钥配置到作为SSH服务器的设备上。说明l如果未输入合法的密钥hex-datapeer-public-keyend后，将无法生成keyend时，系统会提示：密钥已经不存在，此时直接退到系统视图。sshuseruser-nameassignrsa-key|dsa-keykey-nameSSH用缺省情况下，SSH连接认证超时时间为60秒。缺省情况下，SSH连接的验证重试次数为3。步骤7执行命令sshuserusernameservice-type{snet|all}，配置SSH用户的服务方式 netall 缺省情况下，Snet服务器功能未使能。用户终端通过S 过Console口登录设备，开启设备的Snet服务器功能。

以Snet方式与设备建立连接。步骤2执行命令s netserverenable，使能S net服务器功能。缺省情况下，Snet服务器功能未使能。

说明步骤1进入Windows令行提示符

SSHSSHSSH1.X（SSH2.0之前的版本）SSH2.0版本。SSH2.0协议相比SSH1.X协议来说，在结构上做了扩展，可以支持的认持大于等于1.3且小于等于2.0之间的SSH协议版本。端缺省情况下，SSH服务器端 端的更改，有效防止了者对SSH服务标准端口的，1.99）undosshservercompatible-ssh1xSSH服有Snet和SFTP连接，然后使用新的端开始。缺省情况下，SSH服务器端端是22。

<Quidway>displaysshuser-informationUser:Authentication-:User-public-key-:User-public-key-:Sftp-:Service-:Authorization-:<Quidway>displaysshserverSSH SSHconnectiontimeout SSHserverkeygeneratinginterval:0hoursSSHauthenticationretries :3timesSFTP Snet Scp :<Quidway>displaysshserversessionSession1: :VTY : : : :CTOS :aes128-STOC :aes128-CTOS :hmac-STOC :hmac- :diffie-man-group-exchange-ServiceType :snetAuthenticationType:password

持eb启TTP为Web服务，允过TTP用eb是TTP协对Web务器的进行证，也能证数据传的私密，无法供TTSHTTP和SLSL对客户端和服务进行验，对传的数据行密，从而现了对备的安管理。如图6-7所示，在作为HTTP服务器的设备上部署SSL策略，加载数字并使能安全HTTP服务器功能后，用户可通过HTTPS登录服务器，利用Web页面安全管理设HTTP-

12使用HTTPS实现文件的安全操作前，HTTPS服务器需要从 颁发中心CA（ 说明CA是负责和管理数字的机构。当前HTTPS服务器上加载的数字可以由第工具生成，比如OpenSSL。OpenSSL可以看作一个CA，生成的具体步骤请参见相关软件的数字包括申请者的名称及相关信息、申请者的公钥、签发的CA的数字签名及的有效期等内容。发送数字时，可同步发布链。这时，接收者拥有证 格式分为PEM格式、ASN1格式和PFX格式。虽然的格式不相同，但是 PEM格式的是最常用的一种数字 PFX是通用的数字格式之一，文件的扩展名是.pfx。PFX类型的 3l执行命令 loadpem-certcert-filenamekey-pair{dsa|rsa}key-filekey-filenameauth-codeauth-code，加载PEM格式的。l执行命令 loadasn1-certcert-filenamekey-pair{dsa|rsa}key-filekey-filename，加载ASN1格式的。l执行命 loadpfx-certcert-filenamekey-pair{dsa|rsa}{macmac-codel执行命令 loadpem-chaincert-filenamekey-pair{dsa|rsa}key-filekey-filenameauth-codeauth-code，加载PEM格式的链。说明一个SSL策略只能加载一个 使用Web功能时，必须加载Web网页文件。说明3httpsecure-serverenableHTTP服务器功能。缺省情况下，未使能安全HTTP服务功能。缺省情况下，安全HTTP服务器端端是443，此时用户通过WEB功能 控制设备可以不指定端。但如果使用缺省的端，可能会有者不断说明说明示登录框，如图6-8所示。请正确输入HTTP用户名、和，单击登录或直接按回车键Web网用户通过安全Web ，及HTTPS服务