H3C交換機安全認證問答

在使用telnet命令遠程登錄管理H3C交換機后臺系統時，為什么系統會出現“login password has not been set”這樣的錯誤提示？

這可能是用戶在進行遠程登錄操作之前，沒有通過console端口在交換機上配置合法用戶的登錄賬號和認證口令，因為H3C交換機后臺系統默認要求telnet用戶，必須要進行口令認證。

請問如何在H3C S3050交換機上配置telnet登陸用戶名和密碼呢？

很簡單！首先在交換機后臺系統使用“systemview”命令，進入系統視圖模式；在該模式狀態下，輸入“local-user guest”命令，生成本地用戶賬號“xxx”，同時進入本地用戶視圖。繼續執行字符串命令“password simple yyy”，設置“xxx”用戶的認證口令為明文方式，口令內容為“yyy”。之后，使用“service-type telnet level 2”命令，設置VTY用戶的服務類型為Telnet，且命令級別為“2”級。下面返回系統視圖模式狀態，輸入字符串命令“user-interface vty 0”進入VTY0用戶界面視圖，在該視圖下使用“authentication-mode scheme”命令，設置通過VTY0端口登錄交換機的telnet用戶進行Scheme認證。最后，執行“protocol inbound telnet”命令，設置VTY0用戶界面支持telnet協議。

為了避免未授權用戶惡意登錄交換機后臺系統，H3C系列交換機的命令行采用分級保護方式，請問該命令行主要劃分有哪些等級，不同等級各有什么特點？

主要劃分有參觀級、監控級、配置級、管理級這4個級別，其中參觀級別命令不允許進行配置文件保存的

與命令行級別相對應，H3C系列交換機將登錄用戶也劃分成4 個級別，不同級別用戶登錄交換機后臺系統時，只能使用等于或低于自己級別的命令。請問登錄用戶的4 個級別主要指的是哪些級別？

主要指的是0、1、2、3 這幾操作，具體可以使用的命令包括tracert、ping、telnet、language-mode等 等。 監控級命令主要用于網絡故障診斷、系統維護等，它也不允許進行配置文件保存的操作，具體可以使用的命令包括 debugging、display等。配置級命令主要用于向用戶提供直接網絡服務，它可以使用的命令包括業務配置命令，路由、各個網絡層次的命令。管理級命令行關系到系統基本運行，系統支撐模塊的命令，這些命令對業務提供支撐作用，包括文件系統、FTP、TFTP、XModem 下載、用戶管理命令、級別設置命令等。個級別，其中0級用戶對應參觀級，1級用戶對應監控級，2級用戶對應配置級，3級用戶對應管理級。當需要對交換機進行配置時，只有使用具有相應級別的用戶登錄，才能進行正確配置。為了避免未授權用戶的非法攻擊，登錄用戶一般可以使用“super”命令從低級別切換到高級別進行管理配置操作。

大家知道，H3C交換機的super命令設置的口令，主要用于低級別用戶向高級別用戶切換時進行身份驗證。請問這種命令主要支持哪些形式的口令配置？

主要支持明文和暗文方式的兩種配置，其中通過“super password cipher ****”命令，設置暗文登錄口令內容，使用“super password simple****”命令，設置明文登錄口令內容。

在對H3C交換機配置時，可以使用哪些登錄連接方式？

可以使用telnet登錄連接方式、console登錄連接方式、web登錄連接方式，其中第一種方式需要在userinterface vty 0 4模式下配置authentication-mode，第二種方式需要在userinterface aux 0模式下配置authentication-mode，第三種方式需要開啟web管理服務，同時要有local-user配置的用戶名和密碼。

請問802.1x協議在H3C交換端口上支持哪些安全認證控制模式？

支持三種安全認證模式，它們分別為：一是Authorized-Force模式，也叫常開模式，在該模式下交換端口始終保持認證狀態，即客戶端系統從這個交換端口接入局域網，肯定能正常連接上網，無論客戶端系統有沒有通過認證；二是Unauthorized-Force模式，也叫常關模式，在該模式下交換端口始終保持非認證狀態，即客戶端系統嘗試從這個交換端口接入局域網時，無論它有沒有通過認證，都是上不了網的；三是Auto模式，也叫協議控制模式，在該模式下交換端口是開還是關完全取決于認證是否通過，要是客戶端系統能順利通過認證，那么它就能接入上網，不然的話將無法上網。

有時，管理員會通過Modem進行撥號登錄交換機。為了保證撥號登錄順利，往往先要通過Console端口在交換機上配置好Modem用戶的認證名和密碼。請問在H3C S3050交換機后臺系統中，如何進行這種配置操作？

首先在交換機后臺系統使 用“system-view”命令，進入系統視圖模式；在該模式狀態下，輸入“user-interface aux0”字符串命令，切換進入Modem用戶視圖。 繼續執行字符串命“set authentication password simple ***”， 將Modem用戶的登錄口令設置成“***”。完成這種配置操作后，管理員日后在終端計算機的串口和交換機的AUX口依次連接Modem，再使用終端仿真程序開始向交換機撥號，與交換機建立撥號登錄連接。同樣地，Modem用戶默認的訪問命令級別為0級。

請問在H3C Quidway交換機后臺系統中，如何針對特定交換端口，配置其在802.1x協議下的安全認證控制模式？

只要先進入交換機后臺系統，使用“system-view”命令，進入系統全局視圖模式狀態，在該狀態下輸入“dot1x port-control TYPE”字符串命令，這里的“TYPE”為具體的模式類型，該參數可以為“Authorized-Force”模式，可以 為“Unauthorized-Force”模式，也可以為“Auto”模式，這樣所有交換端口都按指定模式進行認證控制。如果只想設置某個交換端口的認證控制模式時，只要執行字符串命令“dot1x port-control TYPE interface xx”即可，其中“xx”指定交換端口號碼；當然，進行這種配置操作時，也可以先使用“interface xx”命令切換到指定端口視圖模式狀態，再執行“dot1x port-control TYPE”命令。

作為一種基于端口的網絡接入認證協議，IEEE 802.1x協議屬于二層協議，不需要到達三層，對交換機的整體運行性能要求不高，能夠有效降低建網成本。請問該協議作為局域網用戶接入認證的標準協議，在安全認證方面主要有哪些功能？

它具有完備的用戶認證、管理功能，除了定義了基于端口的安全控制協議外，還定義了接入設備和接入端口間點到點這一種連接方式。該協議規定的端口，除了是物理端口，也能是邏輯端口，其中的物理端口基本都是交換機下連接每一個用戶客戶機的物理端口，邏輯端口可以是IEEE 802.11協議規定的無線LAN接入端口。

該協議系統是典型的客戶端/服務端體系結構，一般包括認證服務器系統、認證系統、接入系統這三個實體，局域網接入控制設備需要支持認證系統，用戶設備需要支持接入系統；整個系統通過可控端口和不可控端口的邏輯功能，實現業務與認證的分離，由Radius服務器和以太網交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業務報文直接承載在正常的二層報文上通過可控端口進行交換。

在H3C交換機中，802.1x協議既支持規定端口接入認證方式，又能對認證功能進行優化、擴展，它允許接入控制方式除了基于交換端口，還能基于MAC地址，它還允許一個物理端口下可以下掛若干個用戶的應用環境，合理使用802.1x協議認證機制，能夠有效地改善網絡接入安全性和可管理性。

默認狀態下，從vty用戶界面登錄交換機后臺系統后，能夠使用的訪問命令級別為0級。如果想調整用戶的訪問命令級別，該怎么進行操作？

很簡單！可以使用“user privilege level XX”命令，來進行按需調整，這里的“XX”為具體的訪問命令級別。

當管理員成功通過身份認證環節，進入用戶界面視圖狀態后，如果有急事臨時離開交換機現場時，有沒有辦法鎖住用戶界面，防止其他用戶趁虛而入？

當然有辦法！可以使用“lock”命令，來將用戶界面臨時鎖定住。當有其他用戶嘗試進入時，交換機后臺系統會提示輸入密碼。

請問從交換機Console端口連接登錄交換機后臺系統時，是否需要進行身份認證？

這種連接登錄方式不需要進行身份認證。

在用戶登錄交換機后臺系統時，其所能使用的命令級別，究竟取決于從用戶界面登錄后可以訪問的命令級別，還是取決于用戶自身可以訪問的命令級別？

一般來說，這兩種命令級別往往會保持一致。要是兩者不相同時，那應該以用戶自身能夠訪問的命令級別為準。比方說，某用戶自身可以使用的命令級別為2級，而從Console用戶界面成功登錄交換機后臺系統后，所能使用的命令級別為3級，那么該用戶最終獲得的命令級別只能是2級。

在實現802.1x協議認證時，H3C系列交換機主要支持哪幾種端口接入認證方式？

一種是基于MAC地址進行認證，該認證接入方式對一個端口下掛的所有用戶來說，他們當中的每一個用戶都要通過認證，才能正常上網；另外一種是基于交換端口進行認證，該認證接入方式對一個端口下掛的所有用戶來說，他們當中只要有一個用戶通過認證，其他人就都能正常上網了。默認狀態下，802.1x協議會將端口接入控制方式設置為“macbased”，也就是說，將端口接入認證方式設置為基于MAC地址進行認證。

如果希望通過802.1x協議的認證功能，控制H3C交換端口的接入安全，一定先要在交換機后臺系統中啟用802.1x認證功能。請問如何在H3C系列交換機后臺系統中，針對特定交換端口啟用這項功能呢？

這項功能可以先在系統全局模式狀態下開啟，因為如果全局模式下的802.1x認證功能沒有啟用，那么指定交換端口即使啟用了這項功能，該功能也不會在指定端口上發揮作用，H3C交換機后臺系統默認沒有開啟全局或端口的802.1x認證功能。

在開啟該功能時，先以系統管理員權限登錄交換機后臺系統，輸入“system-view”命令，進入系統全局系統模式狀態，在該狀態下執行字符串命令“dot1x”，那么全局的802.1x認證功能就被成功開啟了。如果希望在指定交換端口上開啟這項功能時，可以在全局系統模式狀態下使用“interface”命令，切換到指定交換端口視圖，在對應端口視圖模式下執行“dot1x”字符串命令即可。比方說，要開啟e0/1端口的802.1x認證功能時，可以在交換機后臺系統依次輸入“system-view”、“interface e0/1”、“dot1x”命令，就能實現啟用目的，當然，也可以直接在系統全局模式狀態下，直接執行“dot1x interface e0/1”命令，開 啟e0/1端口的認證功能。如果想取消全局或指定端口的802.1x認證功能時，可以在系統全局模式狀態下執行“undo dot1x”命令或執行“undo dot1x interface xx”命令，其中“xx”為指定交換端口號碼。

請問802.1x協議為登錄用戶提供了哪幾種身份認證方法？

主要有三種認證方法：一是EAP認證方法，該方法是一種基于遠程認證的方法，它將認證信息以EAP數據報文的形式發送給RADIUS服務器，認證過程也相對復雜，它需要RADIUS服務器支持EAP認證。二是PAP認證方法，該方法使用明文格式發送用戶名和密碼，認證過程很簡單，使用二次握手機制，它需要RADIUS服務器支持PAP認證。三是CHAP認證方法，該方法使用密文格式發送CHAP認證信息，認證過程比較復雜，使用三次握手機制，它需要RADIUS服務器支持CHAP認證。

在部署有DHCP服務器的網絡環境中，如果接入用戶自由配置使用靜態IP地址，那802.1x協議是否允許接入交換機對這些用戶進行安全認證呢？

802.1x協議缺省要求接入交換機對這些用戶進行安全認證，確保網絡接入安全。實際上，在一些安全的網絡環境中，使用靜態IP地址的網絡設備或服務器系統，基本都是網絡中十分重要的設備或系統，要是不斷對其進行安全認證，反而會降低它們的運行效率。所以，網管員有時需要對交換機是否允許DHCP觸發認證進行配置，以保證網絡運行穩定又安全。

為了保證網絡運行穩定，筆者想在H3C系列交換機中配置啟用DHCP觸發認證功能，請問該怎么進行操作？

先進入交換機后臺系統全局視圖模式，在該模式下輸入“dot1x dhcp-launch”字符串命令后，交換機將不觸發對私自配置靜態IP地址的用戶進行身份認證，要想觸發對私自配置靜態IP地址的用戶進行身份認證時，只要輸入“undo dot1x dhcp-launch”字符串命令即可。

為了避免惡意用戶杜撰虛假VRRP報文，來蒙蔽備份組中的主備交換機之間不停地切換，引起上網頻繁掉線，網管員往往會加強交換機VRRP報文安全認證，來過濾虛假VRRP報文。請問在H3C S8500系列交換機中，如何配置VRRP報文的認證方式和認證密碼？

可以先進入備份組的Vlan接口視圖模式，使用“vrrp authentication-mode Simple***”或“vrrp authenticationmode MD5 ***”命令，來設置合適的認證方式，同時將認證加密內容設置為“***”，密碼長度可以不超過8個字符，同時密碼內容會區分大小寫。當配置好VRRP安全認證方式后，可以進入指定的Vlan接口視圖模式，來查看對應的配置是否正確。

比方說，在查看VLAN2接口的認證方式是否配置正確時，只要在交換機后臺系統的全局模式下，輸入“display vrrp interface vlan2”命令，按回車鍵后，就能從結果界面中，看到目標Vlan接口使用了MD5加密認證方式。當然，日后一旦不想對VRRP報文進行安全認證時，可以使用“undo vrrp authenticationmode”字符串命令來取消交換機的認證功能。

H3C系列交換機VRRP報文認證配置方式有Simple、MD5這兩種，請問它們各有什么特點？

當配置了Simple安全認證方式后，備份組中的交換機在相互發送VRRP報文時，就能自動將認證密碼集成到VRRP報文中，其他交換機接受到含有認證密碼的VRRP報文后，會自動執行比對操作，看看本地交換機的密碼與接收到的報文認證密碼是否相同，如果相同的話，那么本地交換機就會正式接收對方發送過來的VRRP報文，如果比對不相同的話，會認為發送過來的VRRP報文是惡意用戶杜撰的，于是就會自動將它過濾掉，在這種情形下，網管員必須將認證密碼字符長度控制在8個字符以內。

當配置了MD5方式時，交換機后臺系統不會采用明文方式傳送密碼，而是通過MD5加密算法來加密認證VRRP報文，在這種情形下，網管員也可以將認證密碼字符長度控制在8個字符以內。對于那些沒有通過MD5加密認證的VRRP報文，交換機會認為它們是虛假的數據報文，于是會自動將它丟棄，同時會發送Trap數據報文給網管員。

請問如何在H3C系列交換機后臺系統中，為特定用戶配置合適的安全認證方法？

在H3C系列交換機后臺系統的全局系統視圖模式下，系統默認會將用戶認證方法配置為CHAP認證，網管員可以根據實際情況，按需配置選用合適的用戶認證方法。比方說，在相對安全的網絡工作環境，網管員可以將用戶認證方法配置為PAP認證，以提高認證接入效率；在進行這種配置操作時，不妨先切換到交換機全局系統視圖模式狀態，在該狀態下輸入“dotx1 authenticationmethod pap”字符串命令即可。以后，想將交換機的用戶認證方法恢復為缺省配置時，只要輸入“undo dotx1 authentication-method pap”字符串命令即可。

要查看H3C系列交換機在當前狀態下，使用了什么類型的用戶認證方法時，只要在系統視圖模式狀態下，輸入“display dot1x”字符串命令，從返回的結果信息中，就能看到具體的認證方法了。

為確保高效進行安全認證接入，802.1x協議認證功能允許對交換機的認證請求數據幀最大可重復次數進行控制，H3C系列交換機默認最多允許向接入用戶發送3次重復認證請求數據幀。請問有沒有辦法修改該數值？

答案是肯定的！只要將交換機后臺系統切換到全局視圖模式狀態，在該狀態下輸入“dot1x retry XXX”字符串命令即可，這里的“XXX”為最大可重復次數。值得注意的是，該數值也不能設置得太大，以免影響網絡傳輸性能。當想將該參數重新還原為默認數值時，只要在全局視圖模式下，輸入“undo dotx1 retry”字符串命令即可。

H3C系列交換機最多允許2048個用戶接入，但在特定場合下，如果同時允許太多用戶接入，反而會影響交換機的接入穩定性，請問如何配置802.1x協議認證功能，以便對指定交換端口上的用戶接入數量進行控制？

這種控制操作可以在系統全局模式下進行，也可以在指定端口下進行，要是在全局狀態下沒有指定任何交換端口時，就表示將所有交換端口的接入用戶數量都設置成相同的數值。比方說，要將交換機所有端口的最大接入用戶量設置為“500”時，可以先在交換機后臺系統中，通過“systemview”命令切換進入系統全局視圖模式狀態，在該狀態下執行字符串命令“dot1x maxuser 500”即可；如果只希望將e0/1端口的最大接入用戶量設置為“500”時，可以在系統全局視圖模式狀態下，先執行“interface e0/1”命令，切換到指定交換端口視圖模式狀態，再執行“dot1x max-user 500”命令即可，當然，也可以直接在全局視圖模式狀態下，直接執行字符串命令“dot1x max-user 500 interface e0/1”。要想將所有或指定端口的最大用戶接入數量恢復為默認值時，可以在系統全局模式狀態下執行“undo dot1x max-user”命令或執行“undo dot1x max-user interface xx”命令，其中“xx”為指定交換端口號碼。

在組網結構十分復雜的網絡環境中，同時網絡中所設備時鐘十分重要，為了達到這個目的，可以配置交換機的NTP協議，來實現整個網絡內的時間同步。但為了預防偽造的NTP廣播消息包，在配置NTP協議時，一定要強化對NTP身份認證。請問如何在H3C系列交換機中開啟NTP身份認證功能？

只要在交換機后臺系統全局視圖下，輸入“ntp-service authentication enable”字 符串命令即可。在啟用了這項功能后，還需要設置可信任的驗證密鑰，才能確保安全認證功能正常發揮作用。在系統視圖模式下，輸入“ntpservice authentication-keyid XXX authentication-mode md5 YYY”字符串命令，這里的“XXX”為可信任的密鑰編號，它的取值范圍為“1-4294967295”，“YYY”為 具 體的密鑰內容，該內容為1-32個ASCII碼字符，按回車鍵后，MD5身份驗證密鑰就配置好了。之后，再執行“ntp-service reliable authentication-keyid XXX”命令，來指定剛才配置的密鑰編號是可信任的密鑰，這樣，日后客戶端就能同步到可信任密鑰的服務器上了。