HUAWEI 设备的基本安全配置

最新推荐文章于 2025-04-11 17:23:58 发布
最新推荐文章于 2025-04-11 17:23:58 发布
阅读量3.4k 收藏 8
点赞数 2
分类专栏: HUAWEI R&S
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/microlabs/article/details/44204887
版权
本文介绍华为路由器的不同权限级别及其配置方法,包括访问、监控、系统和管理四个级别,并详细解释了如何设置各种登录方式的密码及远程登录配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


设备级别
华为路由器有4级别,0123~15
大体就是这个意思
0
访问
#leve 0 只能在<Huawei>模式下操作个别简单命令
 1
监控
#leve 1 只能在<Huawei>模式下操作绝大多数命令
 2
系统
 所有配置命令(管理级的命令除外)和0、1级命令,#leve 2 可以使全部模式下的觉得多数命令
display current-configuration不能使用
3~15
管理
#leve 3~15 可以使用全部命令


[Huawei]super password level 1 cipher 123456
创建切换登录级别为1的密码(0、1、2、3~15),不同级别可以设置不同的密码

[Huawei]super password cipher 123456
#如果不指定级别那么默认为3级

<Huawei>super 3
切换访问命令级别,高到低不需要密码,低到高需要切换相应级别的密码



设置登录到<Huawei>用户模式的密码
[Huawei]user-interface current
[Huawei-ui-console0]authentication-mode password
Please configure the login password (maximum length 16):123456

本地aaa用户名+密码
[RouterA]aaa 
[RouterA-aaa]local-user huawei password cipher huawei123
[RouterA-aaa]local-user huawei privilege level 3
[RouterA-aaa]local-user huawei service-type ssh
[RouterA-aaa]quit


或本地用户名密码(aaa创建的用户名密码)
[Huawei-ui-console0]authentication-mode aaa


配置console密码
[Huawei]user-interface console 0
[Huawei-ui-console0]authentication-mode password
Please configure the login password (maximum length 16):123456


配置telnet远程登录

[Huawei]aaa 
[Huawei-aaa]local-user huawei password cipher huawei123
[Huawei-aaa]local-user huawei privilege level 3
[Huawei-aaa]local-user huawei service-type telnet

[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]authentication-mode aaa
[Huawei-ui-vty0-4]quit


配置STtelnet(ssh)远程登录
[Huawei] sysname RouterA
[RouterA] rsa local-key-pair create

[RouterA]aaa 
[RouterA-aaa]local-user huawei password cipher huawei123
[RouterA-aaa]local-user huawei privilege level 3
[RouterA-aaa]local-user huawei service-type ssh
[RouterA-aaa]quit

[RouterA]stelnet server enable

[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]authentication-mode aaa
[Huawei-ui-vty0-4]protocol inbound ssh
[RouterA]quit


SSH客户端的配置
ssh client first-time enable  //第一次登录,则需要在SSH客户端使能首次认证功能
stelnet 11.1.1.2

服务端查看SSH情况
display ssh server session


远程登录超时时间
[Huawei-ui-vty0-4]idle-timeout 1 15



设置执行命令idle-timeout 0 0即关闭VTY用户界面的超时断连功能。
如果VTY用户界面没有设置闲置断连功能,则有可能导致其他用户无法获得空闲连接。
通常情况下,推荐设置用户界面断连的超时时间在10~15分钟之间。



华为路由器安全配置规范
11-27
JUNIPER路由器安全配置规范.doc Oracle数据库安全配置规范.doc SOLARIS操作系统安全配置规范.doc Windows操作系统安全配置规范.doc 华为路由器安全配置规范.doc 思科路由器安全配置规范.doc 操作系统安全功能规范.doc 数据库设备安全功能规范.doc 设备通用安全功能和配置规范.doc 设备通用安全功能测试规范.doc 路由器设备安全功能规范.doc
linux 操作系统中find文件搜索命令的使用
u013519290的博客
07-22 419
文件搜索命令是:find 命令所在路径是:/bin/find 执行权限:所有用户  语法:find [搜索范围] [匹配条件] 范例:    find /etc -name init  这个是比较精准的要找文件的             find /etc -name *init*  这个模糊的查找的,只有有init这几个字符都找出来    find /etc -name init?
实战 | 华为接入层交换机安全配置全攻略:5个关键点你配置对了吗?
HuaweiLab_Peach的博客
04-11 824
以下五个配置点虽然简单,但却是提升接入层安全性的重要“基石”。尤其在大规模终端场景下,任何一个小疏忽都有可能被攻击者利用,进而威胁整网安全。你们在实际运维过程中,有没有踩过相关的坑?🙌。
5.2、FTP原理与配置
养龟大学生的博客
07-07 492
5.2、FTP原理与配置 前言 FTP是用来传送文件的协议。使用FTP实现远程文件传输的同时,还可以保证数据传输的可靠性和高效性 FTP是基于TCP连接,可以保证传输的可靠性和高效性 FTP的应用 FTP提供了一种在服务器和客户机之间上传和下载文件的有效方式 1、在网络上部署一台客户端和服务器,在它们之间建立FTP连接,通过FTP远程登录到服务器上,来进行下载VRP文件。再将自己的配置文件和日志进行备份到主机上,以此达到升级VRP的作用 2、将网络设备设置成服务器,将设...
为华为路由器创建用户名密码及接口登录详细配置
热门推荐
杜颐的博客
11-27 1万+
没有使用用户名和密码登录前,他们都是使用console口或Telnet连接输入密码去操作的,下面我们可以设置使用用户名和密码登录,这样不同的人登录不同的账号时有不同的权限去操作,这种登录方式就是三A认证,下面详细操作流程: 打开华为ensp软件拖入一个云和一个路由器,首先设置云,双击然后添加一个UDP网卡和一个本地网卡VMnet8如下图: 设置好后关掉界面用线将云和路由器连接,然后开机: 下面我们双击路由器,先给路由器接口设置IP地址,这里我的接口IP地址为:192.168.80.22 2..
华为ensp用户服务
2302_80381270的博客
06-19 390
0参观级(网络诊断命令ping、tracert、访问外部设备telnet)1监控级(系统维护、业务诊断部分display命令)查看设备的起始配置(默认存储器中读取的配置文件内容)3~15管理级(配置、管理、debugging)查看设备的当前配置(运行过程中正在生效的配置)AAA验证(需要输入正确的用户名和密码)2配置级(业务配置,display命令)ssh认证方式包括密码认证、RSA认证。CLI方式(命令行界面)查看当前系统的启动配置。配置下次启动的配置文件。配置登录用户名和密码。配置登录用户所需服务。
【华为OLT开局配置】华为OLT设备管理IP地址与安全设置
最新发布
05-12
内容概要:本文档详细介绍了华为OLT设备开局时配置管理IP地址的具体步骤。首先对OLT进行重命名并设置链路聚合,随后创建VLAN3000并将指定端口加入其中,...同时,在进行安全配置时应特别谨慎,以避免不必要的安全隐患。
华为设备基本配置命令.rar
02-14
本资源“华为设备基本配置命令.rar”包含了一份关于华为设备配置的详细指南,主要针对教育目的,旨在帮助学习者理解和掌握华为设备的基础配置操作。下面将深入解析其中可能涵盖的关键知识点。 1. 登录设备: 在...
华为设备常用命令.pdf
10-18
华为设备常用命令是 Huawei 设备中最基本、最常用的命令,掌握这些命令对于华为设备的配置和管理非常重要。下面将详细介绍这些命令的用法和应用场景。 基本命令 1. 删除设备配置:`reset saved-configuration` - ...
华为与思科网络设备基本指令对比
04-20
华为与思科网络设备基本指令对比 在网络通信设备中,华为和思科是两大知名品牌,它们的网络设备在市场上占据着很大的份额。了解这两家公司的基本指令是网络管理员的必备技能。本文将对华为与思科网络设备基本指令...
CRT中文版华为设备终端管理软件
04-25
- 在操作华为设备时,务必了解基本的网络概念和华为设备的操作规范,避免误操作导致网络问题。 - 保持CRT软件及设备固件的更新,以获得最新的安全补丁和功能改进。 - 在进行任何更改前,建议先备份当前配置,...
华为数通设备基础命令集合
qq_43416206的博客
06-24 1007
基本配置Telnet配置FTP配置其它配置路由IP配置VLAN配置端口类型配置Eth-trunk配置STP配置STP配置配置MSTP查看STPDHCP配置配置DHCPDHCP中继帧中继配置DCE配置DTE配置其它配置单臂路由配置RIP配置基本配置其它配置OSPF配置配置查看其它VRRP配置HDLC配置PPP配置以太网接口配置防火墙配置链路技术其他配置自动保存端口镜像端口绑定端口安全前缀列表IPv6配置设备版本升级。
交换机远程登录telnet、SSH、禁止非法用户访问实验
u012451051的博客
07-10 7733
telnet、SSH配置
1+x中级网络运维实验题
lin__ying的博客
11-27 3112
用户认证方式为 AAA 认证,用户名为 huawei,密码为 Huawei@123,加密形式为 cipher,服务类型为 telnet,配置服务器的用户权限等级为 3 级,设置同时在线人数为 5 人,认证方式为 aaa。链路聚合 园区本地服务器区,为校园用户提供内网服务。3. 为了保证路由交互的安全性,在 Backbone01、Backbone 02 和 Backbone 03 上 采用区域认证,选择 md5 加密算法,认证密钥 ID 为 1,密钥类型为 cipher,密 码为“huawei@123”。
华为交换机配置命令汇总
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
09-30 1万+
VRP系统基本使用 ◆command-privilege level rearrange ——用户级别为15级才能执行,将所有缺省注册为2、3级的命令,分别批量提升到10和15级。 ◆undocommand-privilege level rearrange——批量恢复。 ◆command-privilege levellevelviewview-namecomman-ke...
华为S5700交换机初始化和配置SSH和TELNET远程登录方法
鹿鸣天涯
07-02 6627
华为S5700交换机初始化和配置SSH和TELNET远程登录方法
【网络工程师必备】华为设备网络基础配置命令总结,看过的都收藏了
最铁头的网工博客
12-14 1万+
来源:优快云 作者:最铁头的网工 (全球首批HCIA-DATACOM认证者) 认证技术:关于HCIA-DATACOM认证技术知识会在我博客做持续更新。。。 本期分享:系列15点到16点半-技术热讯 感谢大家关注-最铁头的网工,请大家持续关注就可以了哦!关于进阶级手册在下方↓↓↓ 众元教育-华为HCIA-DATACOM技术认证课:课程通道 众元教育-华为HCIA-DATACOM技术认证裙:696283186 路由器: dispaly version 显示系统软件版本及硬件信息 system-view
华为S5700三层交换机基本配置
chaichong2602的博客
06-12 7229
**华为S5700三层交换机基本配置 leao6660人评论3581人阅读2015-03-24 15:37:23通过Console口登录交换机通过Console口登录主要用于交换机第一次上电或者本地配置。或者无法通过远程访问时,可通过Console口登录。在配置通过Console口配置交换机之前,需要完成以下任务:• 准备好PC/终端(COM串口和RS-232电缆)• PC已安装终端仿真程...
配置user_如何为华为交换机配置用户名和密码
weixin_34123197的博客
01-12 7164
1、telnet只需输入password即可远程登陆交换机。 进入用户界面视图 [huawei]user-interface vty 0 4设置认证方式为密码验证方式[huawei-ui-vty0-4]authentication-mode password设置登陆验证的password为明文密码”huawei”[huawei-ui-vty0-4]set authentication passwo...
华为设备怎么设置端口安全
03-02
<think>嗯,用户现在问的是如何在华为设备上设置端口安全。之前他们问了DHCP攻击,现在转向具体的设备配置,可能是遇到了实际网络管理中的问题,或者想加强网络安全防护。用户可能是网络管理员,或者是正在学习华为设备的学生,需要具体操作步骤。 首先,我需要回忆华为设备的相关命令。端口安全通常涉及限制端口的MAC地址数量、绑定MAC地址,或者设置违规后的处理方式。华为的配置命令可能和思科不同,所以必须确认正确的命令结构。 用户可能需要基础的步骤,比如如何进入接口视图,如何开启端口安全,以及设置不同的保护措施。可能需要分步骤讲解,比如基本配置、MAC地址限制、静态绑定、Sticky MAC和违规处理。 还要注意华为设备的特性,比如端口安全的不同模式,如restrict、protect、shutdown等。需要解释每种模式的区别和适用场景,帮助用户根据实际需求选择。 另外,用户可能不知道如何验证配置是否生效,或者遇到问题怎么排查。所以可能需要在回答中加入查看配置的命令,比如display port-security。 还要考虑用户可能的需求,比如防止MAC地址泛洪攻击,或者限制未授权设备接入,这些都是端口安全的常见应用场景。所以结合之前的DHCP攻击,用户可能在构建一个全面的网络安全策略,需要将端口安全作为其中一环。 最后,要确保步骤准确,避免错误命令导致用户配置失败。可能需要参考华为的官方文档或配置指南,确保命令的正确性。同时,使用中文解释每个步骤的作用,让用户理解为什么这么做,而不仅仅是按步骤操作。</think>以下是华为设备(如交换机)配置端口安全(Port Security)的详细步骤与原理说明: --- ### **1. 端口安全核心功能** - **限制MAC数量**:控制端口允许接入的终端数量(例如仅允许1个设备接入)。 - **绑定MAC地址**:将端口与指定MAC地址绑定,禁止其他设备连接。 - **违规处理**:检测到非法接入时,自动关闭端口或发送告警。 --- ### **2. 基础配置步骤** #### **(1) 进入接口视图** ```bash system-view interface GigabitEthernet 0/0/1 # 假设配置端口GE0/0/1 ``` #### **(2) 开启端口安全** ```bash port-security enable # 启用端口安全功能 ``` #### **(3) 设置最大MAC地址数** 限制端口允许学习的MAC数量(例如仅允许1个): ```bash port-security max-mac-num 1 # 最大允许1个MAC地址 ``` #### **(4) 配置MAC地址绑定** 将端口与指定MAC地址静态绑定(例如绑定MAC `00e0-fc12-3456`): ```bash port-security mac-address 00e0-fc12-3456 vlan 1 # 绑定到VLAN 1 ``` #### **(5) 设置违规处理模式** 当检测到非法接入时,可选三种处理方式: - **restrict**:丢弃数据包并告警(默认) - **protect**:仅丢弃数据包 - **shutdown**:关闭端口(需手动恢复) ```bash port-security protect-action shutdown # 违规时关闭端口 ``` --- ### **3. 高级功能:Sticky MAC(粘滞MAC)** 动态学习首个接入设备的MAC并自动绑定,适用于固定终端场景: ```bash port-security mac-address sticky # 启用粘滞MAC port-security max-mac-num 1 # 限制为1个MAC ``` --- ### **4. 验证配置** ```bash display port-security interface GigabitEthernet 0/0/1 # 查看端口安全状态 ``` --- ### **5. 典型应用场景** 1. **防止私接设备**:限制端口仅允许授权MAC接入。 2. **防御MAC泛洪攻击**:限制MAC学习数量,避免交换机CAM表被填满。 3. **固定终端管理**:如IP电话、打印机等设备的专用端口绑定。 --- ### **6. 注意事项** - **端口模式**:需将端口设为`access`或`hybrid`模式(默认为`access`)。 - **恢复关闭端口**:若因违规被关闭,需执行`restart`命令重启端口。 - **兼容性**:不同型号设备支持的命令可能略有差异(如S5700与CE系列)。 通过以上配置,可有效提升接入层网络的安全性,防止未授权设备接入或攻击行为。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值