在使用telnet命令遠程登錄管理H3C交換機后臺系統(tǒng)時，為什么系統(tǒng)會出現(xiàn)“l(fā)ogin password has not been set”這樣的錯誤提示？

這可能是用戶在進行遠程登錄操作之前，沒有通過console端口在交換機上配置合法用戶的登錄賬號和認證口令，因為H3C交換機后臺系統(tǒng)默認要求telnet用戶，必須要進行口令認證。

請問如何在H3C S3050交換機上配置telnet登陸用戶名和密碼呢？

很簡單！首先在交換機后臺系統(tǒng)使用“systemview”命令，進入系統(tǒng)視圖模式；在該模式狀態(tài)下，輸入“l(fā)ocal-user guest”命令，生成本地用戶賬號“xxx”，同時進入本地用戶視圖。繼續(xù)執(zhí)行字符串命令“password simple yyy”，設(shè)置“xxx”用戶的認證口令為明文方式，口令內(nèi)容為“yyy”。之后，使用“service-type telnet level 2”命令，設(shè)置VTY用戶的服務(wù)類型為Telnet，且命令級別為“2”級。下面返回系統(tǒng)視圖模式狀態(tài)，輸入字符串命令“user-interface vty 0”進入VTY0用戶界面視圖，在該視圖下使用“authentication-mode scheme”命令，設(shè)置通過VTY0端口登錄交換機的telnet用戶進行Scheme認證。最后，執(zhí)行“protocol inbound telnet”命令，設(shè)置VTY0用戶界面支持telnet協(xié)議。

為了避免未授權(quán)用戶惡意登錄交換機后臺系統(tǒng)，H3C系列交換機的命令行采用分級保護方式，請問該命令行主要劃分有哪些等級，不同等級各有什么特點？

主要劃分有參觀級、監(jiān)控級、配置級、管理級這4個級別，其中參觀級別命令不允許進行配置文件保存的

與命令行級別相對應(yīng)，H3C系列交換機將登錄用戶也劃分成4 個級別，不同級別用戶登錄交換機后臺系統(tǒng)時，只能使用等于或低于自己級別的命令。請問登錄用戶的4 個級別主要指的是哪些級別？

主要指的是0、1、2、3 這幾操作，具體可以使用的命令包括tracert、ping、telnet、language-mode等 等。 監(jiān)控級命令主要用于網(wǎng)絡(luò)故障診斷、系統(tǒng)維護等，它也不允許進行配置文件保存的操作，具體可以使用的命令包括 debugging、display等。配置級命令主要用于向用戶提供直接網(wǎng)絡(luò)服務(wù)，它可以使用的命令包括業(yè)務(wù)配置命令，路由、各個網(wǎng)絡(luò)層次的命令。管理級命令行關(guān)系到系統(tǒng)基本運行，系統(tǒng)支撐模塊的命令，這些命令對業(yè)務(wù)提供支撐作用，包括文件系統(tǒng)、FTP、TFTP、XModem 下載、用戶管理命令、級別設(shè)置命令等。個級別，其中0級用戶對應(yīng)參觀級，1級用戶對應(yīng)監(jiān)控級，2級用戶對應(yīng)配置級，3級用戶對應(yīng)管理級。當需要對交換機進行配置時，只有使用具有相應(yīng)級別的用戶登錄，才能進行正確配置。為了避免未授權(quán)用戶的非法攻擊，登錄用戶一般可以使用“super”命令從低級別切換到高級別進行管理配置操作。

大家知道，H3C交換機的super命令設(shè)置的口令，主要用于低級別用戶向高級別用戶切換時進行身份驗證。請問這種命令主要支持哪些形式的口令配置？

主要支持明文和暗文方式的兩種配置，其中通過“super password cipher ****”命令，設(shè)置暗文登錄口令內(nèi)容，使用“super password simple****”命令，設(shè)置明文登錄口令內(nèi)容。

在對H3C交換機配置時，可以使用哪些登錄連接方式？

可以使用telnet登錄連接方式、console登錄連接方式、web登錄連接方式，其中第一種方式需要在userinterface vty 0 4模式下配置authentication-mode，第二種方式需要在userinterface aux 0模式下配置authentication-mode，第三種方式需要開啟web管理服務(wù)，同時要有l(wèi)ocal-user配置的用戶名和密碼。

請問802.1x協(xié)議在H3C交換端口上支持哪些安全認證控制模式？

支持三種安全認證模式，它們分別為：一是Authorized-Force模式，也叫常開模式，在該模式下交換端口始終保持認證狀態(tài)，即客戶端系統(tǒng)從這個交換端口接入局域網(wǎng)，肯定能正常連接上網(wǎng)，無論客戶端系統(tǒng)有沒有通過認證；二是Unauthorized-Force模式，也叫常關(guān)模式，在該模式下交換端口始終保持非認證狀態(tài)，即客戶端系統(tǒng)嘗試從這個交換端口接入局域網(wǎng)時，無論它有沒有通過認證，都是上不了網(wǎng)的；三是Auto模式，也叫協(xié)議控制模式，在該模式下交換端口是開還是關(guān)完全取決于認證是否通過，要是客戶端系統(tǒng)能順利通過認證，那么它就能接入上網(wǎng)，不然的話將無法上網(wǎng)。

有時，管理員會通過Modem進行撥號登錄交換機。為了保證撥號登錄順利，往往先要通過Console端口在交換機上配置好Modem用戶的認證名和密碼。請問在H3C S3050交換機后臺系統(tǒng)中，如何進行這種配置操作？

首先在交換機后臺系統(tǒng)使 用“system-view”命令，進入系統(tǒng)視圖模式；在該模式狀態(tài)下，輸入“user-interface aux0”字符串命令，切換進入Modem用戶視圖。 繼續(xù)執(zhí)行字符串命“set authentication password simple ***”， 將Modem用戶的登錄口令設(shè)置成“***”。完成這種配置操作后，管理員日后在終端計算機的串口和交換機的AUX口依次連接Modem，再使用終端仿真程序開始向交換機撥號，與交換機建立撥號登錄連接。同樣地，Modem用戶默認的訪問命令級別為0級。

請問在H3C Quidway交換機后臺系統(tǒng)中，如何針對特定交換端口，配置其在802.1x協(xié)議下的安全認證控制模式？

只要先進入交換機后臺系統(tǒng)，使用“system-view”命令，進入系統(tǒng)全局視圖模式狀態(tài)，在該狀態(tài)下輸入“dot1x port-control TYPE”字符串命令，這里的“TYPE”為具體的模式類型，該參數(shù)可以為“Authorized-Force”模式，可以 為“Unauthorized-Force”模式，也可以為“Auto”模式，這樣所有交換端口都按指定模式進行認證控制。如果只想設(shè)置某個交換端口的認證控制模式時，只要執(zhí)行字符串命令“dot1x port-control TYPE interface xx”即可，其中“xx”指定交換端口號碼；當然，進行這種配置操作時，也可以先使用“interface xx”命令切換到指定端口視圖模式狀態(tài)，再執(zhí)行“dot1x port-control TYPE”命令。

作為一種基于端口的網(wǎng)絡(luò)接入認證協(xié)議，IEEE 802.1x協(xié)議屬于二層協(xié)議，不需要到達三層，對交換機的整體運行性能要求不高，能夠有效降低建網(wǎng)成本。請問該協(xié)議作為局域網(wǎng)用戶接入認證的標準協(xié)議，在安全認證方面主要有哪些功能？

它具有完備的用戶認證、管理功能，除了定義了基于端口的安全控制協(xié)議外，還定義了接入設(shè)備和接入端口間點到點這一種連接方式。該協(xié)議規(guī)定的端口，除了是物理端口，也能是邏輯端口，其中的物理端口基本都是交換機下連接每一個用戶客戶機的物理端口，邏輯端口可以是IEEE 802.11協(xié)議規(guī)定的無線LAN接入端口。

該協(xié)議系統(tǒng)是典型的客戶端/服務(wù)端體系結(jié)構(gòu)，一般包括認證服務(wù)器系統(tǒng)、認證系統(tǒng)、接入系統(tǒng)這三個實體，局域網(wǎng)接入控制設(shè)備需要支持認證系統(tǒng)，用戶設(shè)備需要支持接入系統(tǒng)；整個系統(tǒng)通過可控端口和不可控端口的邏輯功能，實現(xiàn)業(yè)務(wù)與認證的分離，由Radius服務(wù)器和以太網(wǎng)交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業(yè)務(wù)報文直接承載在正常的二層報文上通過可控端口進行交換。

在H3C交換機中，802.1x協(xié)議既支持規(guī)定端口接入認證方式，又能對認證功能進行優(yōu)化、擴展，它允許接入控制方式除了基于交換端口，還能基于MAC地址，它還允許一個物理端口下可以下掛若干個用戶的應(yīng)用環(huán)境，合理使用802.1x協(xié)議認證機制，能夠有效地改善網(wǎng)絡(luò)接入安全性和可管理性。

默認狀態(tài)下，從vty用戶界面登錄交換機后臺系統(tǒng)后，能夠使用的訪問命令級別為0級。如果想調(diào)整用戶的訪問命令級別，該怎么進行操作？

很簡單！可以使用“user privilege level XX”命令，來進行按需調(diào)整，這里的“XX”為具體的訪問命令級別。

當管理員成功通過身份認證環(huán)節(jié)，進入用戶界面視圖狀態(tài)后，如果有急事臨時離開交換機現(xiàn)場時，有沒有辦法鎖住用戶界面，防止其他用戶趁虛而入？

當然有辦法！可以使用“l(fā)ock”命令，來將用戶界面臨時鎖定住。當有其他用戶嘗試進入時，交換機后臺系統(tǒng)會提示輸入密碼。

請問從交換機Console端口連接登錄交換機后臺系統(tǒng)時，是否需要進行身份認證？

這種連接登錄方式不需要進行身份認證。

在用戶登錄交換機后臺系統(tǒng)時，其所能使用的命令級別，究竟取決于從用戶界面登錄后可以訪問的命令級別，還是取決于用戶自身可以訪問的命令級別？

一般來說，這兩種命令級別往往會保持一致。要是兩者不相同時，那應(yīng)該以用戶自身能夠訪問的命令級別為準。比方說，某用戶自身可以使用的命令級別為2級，而從Console用戶界面成功登錄交換機后臺系統(tǒng)后，所能使用的命令級別為3級，那么該用戶最終獲得的命令級別只能是2級。

在實現(xiàn)802.1x協(xié)議認證時，H3C系列交換機主要支持哪幾種端口接入認證方式？

一種是基于MAC地址進行認證，該認證接入方式對一個端口下掛的所有用戶來說，他們當中的每一個用戶都要通過認證，才能正常上網(wǎng)；另外一種是基于交換端口進行認證，該認證接入方式對一個端口下掛的所有用戶來說，他們當中只要有一個用戶通過認證，其他人就都能正常上網(wǎng)了。默認狀態(tài)下，802.1x協(xié)議會將端口接入控制方式設(shè)置為“macbased”，也就是說，將端口接入認證方式設(shè)置為基于MAC地址進行認證。

如果希望通過802.1x協(xié)議的認證功能，控制H3C交換端口的接入安全，一定先要在交換機后臺系統(tǒng)中啟用802.1x認證功能。請問如何在H3C系列交換機后臺系統(tǒng)中，針對特定交換端口啟用這項功能呢？

這項功能可以先在系統(tǒng)全局模式狀態(tài)下開啟，因為如果全局模式下的802.1x認證功能沒有啟用，那么指定交換端口即使啟用了這項功能，該功能也不會在指定端口上發(fā)揮作用，H3C交換機后臺系統(tǒng)默認沒有開啟全局或端口的802.1x認證功能。

在開啟該功能時，先以系統(tǒng)管理員權(quán)限登錄交換機后臺系統(tǒng)，輸入“system-view”命令，進入系統(tǒng)全局系統(tǒng)模式狀態(tài)，在該狀態(tài)下執(zhí)行字符串命令“dot1x”，那么全局的802.1x認證功能就被成功開啟了。如果希望在指定交換端口上開啟這項功能時，可以在全局系統(tǒng)模式狀態(tài)下使用“interface”命令，切換到指定交換端口視圖，在對應(yīng)端口視圖模式下執(zhí)行“dot1x”字符串命令即可。比方說，要開啟e0/1端口的802.1x認證功能時，可以在交換機后臺系統(tǒng)依次輸入“system-view”、“interface e0/1”、“dot1x”命令，就能實現(xiàn)啟用目的，當然，也可以直接在系統(tǒng)全局模式狀態(tài)下，直接執(zhí)行“dot1x interface e0/1”命令，開 啟e0/1端口的認證功能。如果想取消全局或指定端口的802.1x認證功能時，可以在系統(tǒng)全局模式狀態(tài)下執(zhí)行“undo dot1x”命令或執(zhí)行“undo dot1x interface xx”命令，其中“xx”為指定交換端口號碼。

請問802.1x協(xié)議為登錄用戶提供了哪幾種身份認證方法？

主要有三種認證方法：一是EAP認證方法，該方法是一種基于遠程認證的方法，它將認證信息以EAP數(shù)據(jù)報文的形式發(fā)送給RADIUS服務(wù)器，認證過程也相對復(fù)雜，它需要RADIUS服務(wù)器支持EAP認證。二是PAP認證方法，該方法使用明文格式發(fā)送用戶名和密碼，認證過程很簡單，使用二次握手機制，它需要RADIUS服務(wù)器支持PAP認證。三是CHAP認證方法，該方法使用密文格式發(fā)送CHAP認證信息，認證過程比較復(fù)雜，使用三次握手機制，它需要RADIUS服務(wù)器支持CHAP認證。

在部署有DHCP服務(wù)器的網(wǎng)絡(luò)環(huán)境中，如果接入用戶自由配置使用靜態(tài)IP地址，那802.1x協(xié)議是否允許接入交換機對這些用戶進行安全認證呢？

802.1x協(xié)議缺省要求接入交換機對這些用戶進行安全認證，確保網(wǎng)絡(luò)接入安全。實際上，在一些安全的網(wǎng)絡(luò)環(huán)境中，使用靜態(tài)IP地址的網(wǎng)絡(luò)設(shè)備或服務(wù)器系統(tǒng)，基本都是網(wǎng)絡(luò)中十分重要的設(shè)備或系統(tǒng)，要是不斷對其進行安全認證，反而會降低它們的運行效率。所以，網(wǎng)管員有時需要對交換機是否允許DHCP觸發(fā)認證進行配置，以保證網(wǎng)絡(luò)運行穩(wěn)定又安全。

為了保證網(wǎng)絡(luò)運行穩(wěn)定，筆者想在H3C系列交換機中配置啟用DHCP觸發(fā)認證功能，請問該怎么進行操作？

先進入交換機后臺系統(tǒng)全局視圖模式，在該模式下輸入“dot1x dhcp-launch”字符串命令后，交換機將不觸發(fā)對私自配置靜態(tài)IP地址的用戶進行身份認證，要想觸發(fā)對私自配置靜態(tài)IP地址的用戶進行身份認證時，只要輸入“undo dot1x dhcp-launch”字符串命令即可。

為了避免惡意用戶杜撰虛假VRRP報文，來蒙蔽備份組中的主備交換機之間不停地切換，引起上網(wǎng)頻繁掉線，網(wǎng)管員往往會加強交換機VRRP報文安全認證，來過濾虛假VRRP報文。請問在H3C S8500系列交換機中，如何配置VRRP報文的認證方式和認證密碼？

可以先進入備份組的Vlan接口視圖模式，使用“vrrp authentication-mode Simple***”或“vrrp authenticationmode MD5 ***”命令，來設(shè)置合適的認證方式，同時將認證加密內(nèi)容設(shè)置為“***”，密碼長度可以不超過8個字符，同時密碼內(nèi)容會區(qū)分大小寫。當配置好VRRP安全認證方式后，可以進入指定的Vlan接口視圖模式，來查看對應(yīng)的配置是否正確。

比方說，在查看VLAN2接口的認證方式是否配置正確時，只要在交換機后臺系統(tǒng)的全局模式下，輸入“display vrrp interface vlan2”命令，按回車鍵后，就能從結(jié)果界面中，看到目標Vlan接口使用了MD5加密認證方式。當然，日后一旦不想對VRRP報文進行安全認證時，可以使用“undo vrrp authenticationmode”字符串命令來取消交換機的認證功能。

H3C系列交換機VRRP報文認證配置方式有Simple、MD5這兩種，請問它們各有什么特點？

當配置了Simple安全認證方式后，備份組中的交換機在相互發(fā)送VRRP報文時，就能自動將認證密碼集成到VRRP報文中，其他交換機接受到含有認證密碼的VRRP報文后，會自動執(zhí)行比對操作，看看本地交換機的密碼與接收到的報文認證密碼是否相同，如果相同的話，那么本地交換機就會正式接收對方發(fā)送過來的VRRP報文，如果比對不相同的話，會認為發(fā)送過來的VRRP報文是惡意用戶杜撰的，于是就會自動將它過濾掉，在這種情形下，網(wǎng)管員必須將認證密碼字符長度控制在8個字符以內(nèi)。

當配置了MD5方式時，交換機后臺系統(tǒng)不會采用明文方式傳送密碼，而是通過MD5加密算法來加密認證VRRP報文，在這種情形下，網(wǎng)管員也可以將認證密碼字符長度控制在8個字符以內(nèi)。對于那些沒有通過MD5加密認證的VRRP報文，交換機會認為它們是虛假的數(shù)據(jù)報文，于是會自動將它丟棄，同時會發(fā)送Trap數(shù)據(jù)報文給網(wǎng)管員。

請問如何在H3C系列交換機后臺系統(tǒng)中，為特定用戶配置合適的安全認證方法？

在H3C系列交換機后臺系統(tǒng)的全局系統(tǒng)視圖模式下，系統(tǒng)默認會將用戶認證方法配置為CHAP認證，網(wǎng)管員可以根據(jù)實際情況，按需配置選用合適的用戶認證方法。比方說，在相對安全的網(wǎng)絡(luò)工作環(huán)境，網(wǎng)管員可以將用戶認證方法配置為PAP認證，以提高認證接入效率；在進行這種配置操作時，不妨先切換到交換機全局系統(tǒng)視圖模式狀態(tài)，在該狀態(tài)下輸入“dotx1 authenticationmethod pap”字符串命令即可。以后，想將交換機的用戶認證方法恢復(fù)為缺省配置時，只要輸入“undo dotx1 authentication-method pap”字符串命令即可。

要查看H3C系列交換機在當前狀態(tài)下，使用了什么類型的用戶認證方法時，只要在系統(tǒng)視圖模式狀態(tài)下，輸入“display dot1x”字符串命令，從返回的結(jié)果信息中，就能看到具體的認證方法了。

為確保高效進行安全認證接入，802.1x協(xié)議認證功能允許對交換機的認證請求數(shù)據(jù)幀最大可重復(fù)次數(shù)進行控制，H3C系列交換機默認最多允許向接入用戶發(fā)送3次重復(fù)認證請求數(shù)據(jù)幀。請問有沒有辦法修改該數(shù)值？

答案是肯定的！只要將交換機后臺系統(tǒng)切換到全局視圖模式狀態(tài)，在該狀態(tài)下輸入“dot1x retry XXX”字符串命令即可，這里的“XXX”為最大可重復(fù)次數(shù)。值得注意的是，該數(shù)值也不能設(shè)置得太大，以免影響網(wǎng)絡(luò)傳輸性能。當想將該參數(shù)重新還原為默認數(shù)值時，只要在全局視圖模式下，輸入“undo dotx1 retry”字符串命令即可。

H3C系列交換機最多允許2048個用戶接入，但在特定場合下，如果同時允許太多用戶接入，反而會影響交換機的接入穩(wěn)定性，請問如何配置802.1x協(xié)議認證功能，以便對指定交換端口上的用戶接入數(shù)量進行控制？

這種控制操作可以在系統(tǒng)全局模式下進行，也可以在指定端口下進行，要是在全局狀態(tài)下沒有指定任何交換端口時，就表示將所有交換端口的接入用戶數(shù)量都設(shè)置成相同的數(shù)值。比方說，要將交換機所有端口的最大接入用戶量設(shè)置為“500”時，可以先在交換機后臺系統(tǒng)中，通過“systemview”命令切換進入系統(tǒng)全局視圖模式狀態(tài)，在該狀態(tài)下執(zhí)行字符串命令“dot1x maxuser 500”即可；如果只希望將e0/1端口的最大接入用戶量設(shè)置為“500”時，可以在系統(tǒng)全局視圖模式狀態(tài)下，先執(zhí)行“interface e0/1”命令，切換到指定交換端口視圖模式狀態(tài)，再執(zhí)行“dot1x max-user 500”命令即可，當然，也可以直接在全局視圖模式狀態(tài)下，直接執(zhí)行字符串命令“dot1x max-user 500 interface e0/1”。要想將所有或指定端口的最大用戶接入數(shù)量恢復(fù)為默認值時，可以在系統(tǒng)全局模式狀態(tài)下執(zhí)行“undo dot1x max-user”命令或執(zhí)行“undo dot1x max-user interface xx”命令，其中“xx”為指定交換端口號碼。

在組網(wǎng)結(jié)構(gòu)十分復(fù)雜的網(wǎng)絡(luò)環(huán)境中，同時網(wǎng)絡(luò)中所設(shè)備時鐘十分重要，為了達到這個目的，可以配置交換機的NTP協(xié)議，來實現(xiàn)整個網(wǎng)絡(luò)內(nèi)的時間同步。但為了預(yù)防偽造的NTP廣播消息包，在配置NTP協(xié)議時，一定要強化對NTP身份認證。請問如何在H3C系列交換機中開啟NTP身份認證功能？

只要在交換機后臺系統(tǒng)全局視圖下，輸入“ntp-service authentication enable”字 符串命令即可。在啟用了這項功能后，還需要設(shè)置可信任的驗證密鑰，才能確保安全認證功能正常發(fā)揮作用。在系統(tǒng)視圖模式下，輸入“ntpservice authentication-keyid XXX authentication-mode md5 YYY”字符串命令，這里的“XXX”為可信任的密鑰編號，它的取值范圍為“1-4294967295”，“YYY”為 具 體的密鑰內(nèi)容，該內(nèi)容為1-32個ASCII碼字符，按回車鍵后，MD5身份驗證密鑰就配置好了。之后，再執(zhí)行“ntp-service reliable authentication-keyid XXX”命令，來指定剛才配置的密鑰編號是可信任的密鑰，這樣，日后客戶端就能同步到可信任密鑰的服務(wù)器上了。