Меню

настройка доступа по ssh huawei

Black Box

Чем мы можем вам сегодня помочь?

Настройка SSH на Huawei Quidway Печать

Изменено: Чт, 14 Июл, 2016 at 9:59 AM

Протокол SSH чаще всего используется для безопасного удаленного управления сетевым оборудованием. В данной статье будет рассмотрена настройка SSH сервера на коммутаторах Huawei Quidway.

Я уже писал про настройку SSH сервера на Cisco. Однако, оборудование компании Huawei занимает все более прочные позиции на российском рынке. Поэтому сегодня мы рассмотрим настройку SSH на коммутаторах Huawei Quidway.

Можно выделить 4 основных этапа настройки SSH на Quidway:

  • настройка ААА
  • генерация RSA ключа
  • настройка SSH сервера
  • настройка виртуального терминала VTY

Рассмотрим данные этапы подробнее.

Настройка ААА на Huawei Quidway для включения SSH

Для включения SSH в Quidway прежде всего необходимо добавить и настроить нового пользователя в разделе конфигурации ААА (Authentication, Authorization, Accounting). Все настройки выполняются в привилегированном режиме (вход в привилегированный режим осуществляется командой system-view).

Приступаем к настройке ААА

Настраиваем authentication-scheme, authorization-scheme, accounting-scheme. Обычно, данные параметры заданы в конфигурации коммутатора по умолчанию.

Настройки домена также оставляем без изменений

Создаем пользователя huawei, назначаем ему требуемый уровень привилегий и подключаем нужные сервисы командой service-type. В нашем случае активируем сервис ssh.

На этом, настройку ААА для SSH можно считать законченной.

RSA ключ

Генерируем RSA ключ для использования на устройстве. Без него SSH не заработает.

Проверить ключ можно при помощи команды display rsa local-key-pair. Будет отображено имя ключа, его тип и дата создания.

Приступаем непосредственно к настройке SSH.

Настройка SSH сервера для удаленного доступа на Huawei Quidway

Настраиваем SSH сервер. Указываем пользователя, который может использовать SSH, задаем ему тип аутентификации (в нашем случае используется локальная аутентификация по паролю). Также, указываем типы сервисов, которые может использовать пользователь: ssh, sftp или оба (all).

Настройка виртуального терминала VTY

Для завершения настройки удаленного доступа по SSH к Huawei Quidway, необходимо задать параметры аутентификации и протоколы доступа на виртуальных интерфейсах vty, используемых для управления коммутатором. В нашем случае настроим интерфейсы 0 — 4. Укажем параметры аутентификации ААА, чтобы поиск пользователя происходил в локальной базе пользователей, согласно настройкам, заданным в начале статьи. Входящим протоколом укажем ssh. Таким образом, мы исключим использование небезопасного протокола telnet.

Смена порта SSH сервера на Quidway

Изменение порта, на котором SSH сервер на Quidway будет принимать запросы, осуществляется очень просто. Кроме 22, можно задать любой порт из диапазона 1025-55535. При этом, данный порт не должен использоваться другими приложениями.

Читайте также:  настройка logitech g27 для omsi

Проверка настройки SSH на Quidway.

Проверку статуса SSH сервера можно осуществить при помощи команды display ssh server status. В выводе этой команды показывается версия протокола SSH, статусы SSH (stelnet) и SFTP серверов на коммутаторе, а также ряд конфигурационных параметров.

Для просмотра активных сессий SSH сервера можно использовать команду display ssh server session. В выводе этой команды показывается статус сессии, занятый VTY, логин подключившегося пользователя и параметры шифрования.

В статье рассмотрен процесс настройки и проверки SSH сервера на коммутаторах Quidway. Если у вас остались какие-то вопросы — задавайте их в комментариях, я обязательно постараюсь на них ответить. Приятной работы!

источник

Токарчук Андрей

Мне 30 лет. Профессионально занимаюсь PHP-программированием. В работе использую 1C-Битрикс, Symfony, Doctrine и многое другое. А вообще мне нравится всё новое и интересное 🙂

Настройка коммутаторов Huawei

В последнее время много говорят об импортозамещении, санкциях и т.д. Всё это как-правило принимает чудные формы. Например, мы старательно «отказываемся» от западных товаров, в случае с ИТ инфраструктурой с оборудования Cisco переориентируемся на Huawei. В этом посте я расскажу, как ко мне попали на тестирование коммутаторы Huawei и что с ними удалось сделать. Для тестирования внедрения мне поступили коммутаторы Huawei S5700-28C-PWR-EI, Huawei S5352C-PWR-EI и Huawei S3352P-PWR-EI. Далее будет дан пример для Huawei S5700-28C-PWR-EI.

Подключение к консоли коммутатора

Т.к. в моем ультрабуке нет ни Ethernet порта, ни тем более COM порта я использовал свой адаптер QinHeng Electronics HL-340 USB-Serial adapter (Device 005: ID 1a86:7523). Радует он меня тем, что при подключении по USB сразу даёт вирутуальный COM-порт и не требует никаких драйверов ни под Windows, ни под Linux.

Для подключения использую gtkterm

Configuration -> Port:
Port: /dev/ttyUSB0
Baud rate: 9600
Parity: none
Bits: 8
Stop bits: 1
Flow control: none

После первого подключения возника проблема с тем, что оооочен сильно тормозила консоль. Потом выяснилось, что всемы виной консольный COM -> RJ45 кабель. Заменили его на Cisco-вский, и всё завелось.

Настройка hostname и IP адреса

Для смены hostname воспользуйтесь командой:

system-view
[Quidway]interface vlanif1
[Quidway-vlanif1]ip address 172.20.0.47 21
[Quidway-vlanif1]quit

Читайте также:  flymaster gps sd настройка

Новый адрес применяется сразу, и в отличии от CISCO здесь не надо перезагружать интерфейс.

Настройка SNMP

У коммутаторов Huawei есть две особенности, о которых надо помнить, настраивая snmp. Во первых, если у вас включен snmp v3, то snmp v2c работать не будет. Во-вторых для snmp v2c при настройке на коммутаторе в консоле имя community надо указывать в кавычках, и в мониторилке (например Dude) оно тоже должно быть указано в кавычках (использовал двойные кавычки).

[Quidway]acl number 2100
[Quidway-acl-basic-2100]rule 1 permit source 172.20.0.33 0.0.0.0 // for one ip

[Quidway-acl-basic-2100] quit
[Quidway]snmp-agent sys-info version v2c
[Quidway]undo snmp-agent sys-info version v3
[Quidway]snmp-agent community read «huawei» acl 2100

Опционально можно добавить контактные данные в snmp.

[Quidway]snmp-agent sys-info contact X Division
[Quidway]snmp-agent sys-info location Kremlin

Настройка ssh

Генерим ключи, добавляем юзера, даём юзеру доступ к сервисам ssh(stelnet)+telnet.

[Quidway] rsa local-key-pair create
[Quidway]aaa
[Quidway-aaa]local-user admin password cipher YOURPASSWORD
[Quidway-aaa]local-user admin privelege level 3
[Quidway-aaa]local-user admin service-type ssh telnet
[Quidway-aaa]quit
[Quidway]stelnet server enable
[Quidway]ssh user admin authentication-type password
[Quidway]ssh user admin service-type stelnet
[Quidway]user-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode aaa
[Quidway-ui-vty0-4]protocol inbound ssh

Поднимаем веб-интерфейс

Файл с веб-интерфейсом (скрипты, js, css и т.д.) должен лежать в виде архива на устройстве. Просмотреть, что там лежит можно командой dir.

system-view
dir
http server load flash:/s5700ei-full-v200r005c00.002.web.7z
[Quidway]http secure-server enable
[Quidway]http server enable
[Quidway]aaa
[Quidway-aaa]local-user admin service-type http
[Quidway-aaa]quit
save

В моем случае у коммутатора было два вида интерфейса: classic (а-ля привет 90-е) и easyOperation (более-менее юзабельный). Можете сами визуально сравнить их.

Почувствуйте разницу Хотя лучш все равно в консоле.

Таблица аналогов CISCO-вских команд у HUAWEI

CISCO HUAWEI
ping ping
traceroute tracert
show display
show interfaces display interface
Show ip route display routing-table
Show ip interface Display ip interface
Show version Display version
Show ip bgp Display bgp routing-table
Show clock Display clock
Show port Display port-mapping
Show flash dir flash: (on user view mode)
Show logging Display logbuffer
Show snmp Display snmp-agent statistics
Show frame-relay pvc Display fr pvc-info
Show users Display users
Show terminal length screen-length disable
undo screen-length disable
enable Super
disable Super 0 (number is privilege level from 0 to 3, where 3 is default and equivalent to “enable” on Cisco)
Conf t System-view
exit quit
end return
Show policy-map interface Display qos policy interface
send send (on user view mode)
write terminal (sh run) display current-configuration
Sh startup Display saved-configuration
[no equivalent: shows the files used for startup] Display startup
Write erase Reset saved-configuration
Write mem (or wr or copy run start) save
clear counters reset (on user view mode)
Reset counters interface
? ?
telnet telnet
Enable secret (conf mode) Super pass cipher (system mode)
Term mon term debu
clock clock
no undo
debug / no debug debugging / undo debugging
copy running-config Save safely
terminal monitor terminal monitor
terminal length screen-length disable
undo screen-length disable
terminal no monitor undo terminal monitor
clear counters reset counters interface
clear interface reset counters interface
clear crypto ipsec sa
ike sa
clear access-list counters reset acl counter all
reload reboot
shutdown shutdown
boot boot bootrom
Aaa hwtacacs scheme
terminal no monitor undo terminal monitor
tacacs-server hwtacacs scheme (in conf command)
snmp-server tftp-server (in conf command)
router bgp bgp
Router rip rip
ip tacacs hwtacacs nas-ip (this command doesn’t exist . )
mtu Mtu (this command doesn’t exist . )
clear ip cef reset ip fast-forwarding
clear ip route * reset ip routing-table statistics protocol all
Clear ip bgp Reset bgp all
Show tech display diagnostic-information
Sh ip nat translation Display nat session
Show Controller display controller (but not relevant for non-modular chassis)
show dsl int atm 0 display dsl status interface Atm 2/0
sho atm pvc Display atm pvc-info
debug pvc nego Debug atm all (very dangerous – might crash router)
sho crypto isakmp sa Display ike sa
sho crypto isakmp key Display ike peer
sho crypto isakmp police Display ike proposal
Читайте также:  gi 8120 enigma2 настройка wicardd

Ссылки

Спасибо!

Если вам помогла статья, или вы хотите поддержать мои исследования и блог — вот лучший способ сделать это:

18 Responses to “Настройка коммутаторов Huawei”

А какие идеи есть чтобы не по консоли зайти на готовый свич но IP-адрес неизвестен — достался в наследство
есть ли способ узнать это и возможно и вебморда есть

Как вариант просканировать сеть и по ARP таблице посмотреть по MAC адресам. В начале MAC адреса идёт префикс вендора.

источник

Добавить комментарий

Adblock
detector