Настройка ААА на Huawei Quidway для включения SSH
Для включения SSH в Quidway прежде всего необходимо добавить и настроить нового пользователя в разделе конфигурации ААА (Authentication, Authorization, Accounting). Все настройки выполняются в привилегированном режиме (вход в привилегированный режим осуществляется командой system-view).
Приступаем к настройке ААА
[Quidway]aaa
Настраиваем authentication-scheme, authorization-scheme, accounting-scheme. Обычно, данные параметры заданы в конфигурации коммутатора по умолчанию.
[Quidway-aaa]authentication-scheme default
[Quidway-aaa]authorization-scheme default
[Quidway-aaa]accounting-scheme default
Настройки домена также оставляем без изменений
[Quidway-aaa]domain default
[Quidway-aaa]domain default_admin
Создаем пользователя huawei, назначаем ему требуемый уровень привилегий и подключаем нужные сервисы командой service-type. В нашем случае активируем сервис ssh.
Configure SSH on Huawei Devices | Network Handbook
[Quidway-aaa]local-user huawei password cipher USER_PASSWORD
[Quidway-aaa]local-user huawei privilege level 3
[Quidway-aaa]local-user huawei service-type ssh
На этом, настройку ААА для SSH можно считать законченной.
RSA ключ
Генерируем RSA ключ для использования на устройстве. Без него SSH не заработает.
rsa local-key-pair create
Проверить ключ можно при помощи команды display rsa local-key-pair. Будет отображено имя ключа, его тип и дата создания.
[Quidway]display rsa local-key-pair public
=====================================================
Time of Key pair created: 01:10:03 2015/11/10
Key name: Quidway_Host
Key type: RSA encryption Key
=====================================================
Key code:
308188
.
=====================================================
Time of Key pair created: 01:10:10 2015/11/10
Key name: Quidway_Server
Key type: RSA encryption Key
=====================================================
Key code:
3067
.
Приступаем непосредственно к настройке SSH.
Настройка SSH сервера для удаленного доступа на Huawei Quidway
Включаем SSH сервер.
stelnet server enable
Настраиваем SSH сервер. Указываем пользователя, который может использовать SSH, задаем ему тип аутентификации (в нашем случае используется локальная аутентификация по паролю). Также, указываем типы сервисов, которые может использовать пользователь: ssh, sftp или оба (all).
ssh user huawei
ssh user huawei authentication-type password
ssh user huawei service-type all
Настройка виртуального терминала VTY
Для завершения настройки удаленного доступа по SSH к Huawei Quidway, необходимо задать параметры аутентификации и протоколы доступа на виртуальных интерфейсах vty, используемых для управления коммутатором. В нашем случае настроим интерфейсы 0 — 4. Укажем параметры аутентификации ААА, чтобы поиск пользователя происходил в локальной базе пользователей, согласно настройкам, заданным в начале статьи. Входящим протоколом укажем ssh. Таким образом, мы исключим использование небезопасного протокола telnet.
Configuring SSH Protocol on Huawei Router
user-interface vty 0 4
authentication-mode aaa
idle-timeout 30 0
protocol inbound ssh
Смена порта SSH сервера на Quidway
Изменение порта, на котором SSH сервер на Quidway будет принимать запросы, осуществляется очень просто. Кроме 22, можно задать любой порт из диапазона 1025-55535. При этом, данный порт не должен использоваться другими приложениями.
[Quidway]ssh server port ?
INTEGER Set the port number, the default value is 22
Проверка настройки SSH на Quidway.
Проверку статуса SSH сервера можно осуществить при помощи команды display ssh server status. В выводе этой команды показывается версия протокола SSH, статусы SSH (stelnet) и SFTP серверов на коммутаторе, а также ряд конфигурационных параметров.
display ssh server status
SSH version :1.99
SSH connection timeout :60 seconds
SSH server key generating interval :0 hours
SSH Authentication retries :3 times
SFTP server :Disable
Stelnet server :Enable
Для просмотра активных сессий SSH сервера можно использовать команду display ssh server session. В выводе этой команды показывается статус сессии, занятый VTY, логин подключившегося пользователя и параметры шифрования.
display ssh server session
Session 1:
Conn : VTY 0
Version : 2.0
State : started
Username : huawei
Retry : 1
CTOS Cipher : aes128-cbc
STOC Cipher : aes128-cbc
CTOS Hmac : hmac-sha1
STOC Hmac : hmac-sha1
Kex : diffie-hellman-group-exchange-sha1
Service Type : stelnet
Authentication Type : password
Do’stlaringiz bilan baham:
Источник: fayllar.org
Как включить SSH в роутерах Huawei 8245
Очень слабый Wi-Fi и неважно какая модель — с внешними антеннами или внутренними. Кажется даже DIR-300 был лучше.
Прошивки. Их сложно найти и скачать. Они не обновляются.
Веб-интерфейс на скорости улитки.
Задача: включить доступ по SSH в Huawei 8245H.
Для начала возможные комбинации логина/пароля для веб-интерфейса (http://192.168.100.1)
root / admin
telecomadmin / admintelecom
root / adminHW
Advanced → Security → Precise Device Access Control
Отмечаем SSH и необходимый LAN порт
Пробуем подключиться, логин root, пароль adminHW
Посмотреть список доступных команд можно через ? .
display board-temperatures
display cpu info
display deviceInfo
display memory detail
display memory info
display wifi neighbor
display wlan stainfo
display deviceInfo
display board-temperatures и display cpu info
А вот display wifi neighbor и display wlan stainfo оказались полезными. В веб-интерфейсе этих данных я не нашёл.
Вокруг меня всего-то 23 беспроводные точки на 2.4 GHz . Из них 4 на 1 канале и 5 на 11 канале.
Информация по Wi-Fi коннекту Android телевизора
Проверил скорость через iperf. Почти 100 по ethernet приемлемо.
Сайт rtfm.wiki использует cookies и трекинг посещений. Продолжая использовать этот сайт, вы соглашаетесь с сохранением файлов cookie на вашем компьютере. Если вы не согласны покиньте сайт или включите Adblock Окэйси Что такое cookies?
Источник: rtfm.wiki
Настройка Huawei MA5608T
Подключимся к устройству консольным кабелем на скорости 9600. Стандартный логин: root, пароль: admin или admin123.
Перейдем в режим конфигурирования:
enable config
Посмотрим текущую конфигурацию:
display current-configuration display current-configuration | include TEXT
Изменим пароль пользователю root:
terminal user password
Создадим еще одного пользователя, так как под root может один администратор залогинится, а под новым пользователем 4 одновременно:
terminal user name User Name(length):ixnfocom User Password(length): Confirm Password(length): User profile name(
Укажем IP адреса с которых разрешено подключаться к устройству:
sysman ip-access ssh 192.168.5.5 192.168.5.5 sysman ip-access ssh 192.168.1.1 192.168.1.2 sysman firewall ssh enable sysman ip-access telnet 192.168.5.5 192.168.5.5 sysman ip-access telnet 192.168.1.1 192.168.1.2 sysman firewall telnet enable sysman ip-access snmp 192.168.5.5 192.168.5.5 sysman ip-access snmp 192.168.1.1 192.168.1.2 sysman firewall snmp enable
Настроим SNMP и SNMP Traps:
snmp-agent community write IXNFO snmp-agent community read IXNFO snmp-agent sys-info contact IXNFO snmp-agent sys-info location IXNFO snmp-agent sys-info version v2c snmp-agent target-host trap-hostname U2000SERVER address 192.168.5.3 udp-port 162 trap-paramsname NMS snmp-agent target-host trap-paramsname NMS v2C securityname NMS snmp-agent trap enable standard
timezone GMT+ 02:00 time dst start 04-01 00:00:00 end 10-28 00:00:00 adjust 01:00 ntp-service unicast-server 192.168.2.7 source-interface vlanif208
Посмотрим какие платы установлены:
display board 0 display board 0/0 display board 0/2 display board 0/4 display version display patch all display io-packetfile information display temperature 0/0 display temperature 0/2 display cpu 0/0 display cpu 0/2
У меня отобразилось:
display board 0 ————————————————————————- SlotID BoardName Status SubType0 SubType1 Online/Offline ————————————————————————- 0 H805GPBD Normal 1 2 H801MCUD Active_normal CPCA 3 4 H801MPWC Normal 5 ————————————————————————-
Кстати плата MCUD имеет 4 порта 1Гб/с, а плата MCUD1 имеет 2 порта 10 Гб/с и 2 порт 1 Гб/с.
Если платы не добавлены, то добавим:
board confirm 0/0 board confirm 0/4
При необходимости перезагрузить GPON плату можно так:
board reset 0/0
Если не нужен, то удалим стандартный IP адрес с meth порта:
interface meth0 undo ip address quit
Создадим VLAN для управления и назначим IP адрес:
vlan 208 smart port vlan 208 0/2 0 interface vlanif 208 ip address 192.168.2.2 255.255.255.0 quit
Укажем шлюз по умолчанию чтобы IP адрес устройства был доступен из других сетей:
ip route-static 0.0.0.0 0.0.0.0 192.168.2.1
Создадим VLAN для пользователей:
vlan 944 smart port vlan 944 0/2 0 display vlan 944
Далее я создал профиль скорости на 1Гб/с и профили для однопортовой ONT и клиентским VLAN:
display dba-profile all dba-profile add profile-id 15 profile-name «dba-profile_15» type3 assure 1024 max 1000000 display ont-srvprofile gpon all ont-srvprofile gpon profile-id 10 profile-name «vlan 944» ont-port eth 1 port vlan eth 1 translation 944 user-vlan 944 commit quit display ont-lineprofile gpon all ont-lineprofile gpon profile-id 10 profile-name «vlan 944» tcont 4 dba-profile-id 15 gem add 1 eth tcont 4 gem mapping 1 0 vlan 944 commit
Включим защиту от петель:
ring check enable ring check resume-interval 30
Включим автопоиск ONT:
interface gpon 0/0 port 0 ont-auto-find enable port 1 ont-auto-find enable port 2 ont-auto-find enable port 3 ont-auto-find enable port 4 ont-auto-find enable port 5 ont-auto-find enable port 6 ont-auto-find enable port 7 ont-auto-find enable quit
Приведу пример добавления первого ONT на первом GPON порту (точнее нулевом, так как нумерация начинается с 0):
display ont autofind all interface gpon 0/0 display ont autofind 0 ont add 0 0 sn-auth «414C434CF2A40000» omci ont-lineprofile-id 10 ont-srvprofile-id 10 desc «ixnfo.com» ont port native-vlan 0 0 eth 1 vlan 944 priority 0 quit service-port 1 vlan 944 gpon 0/0/0 ont 0 gemport 1 multi-service user-vlan 944
Пример просмотра информации про ONT:
display ont info 0 0 display ont optical-info 0 0 display ont version 0 0 display statistics ont-eth 0 0 ont-port 1
Посмотреть MAC адрес клиента можно по его service-port:
display mac-address service-port 1
Если необходимо удалить ONT, то нужно начать с удаления его service-port:
undo service-port 1 interface gpon 0/0 ont delete 0 0
save
Узнать какой SFP модуль стоит в PON порте, например C+ или C++, можно командой:
interface gpon 0/0 display port state 0
Если платы управления две, то можно проверить статус синхронизации:
display data sync state
Проверить нет ли ONT с ошибочной конфигурацией можно так:
diagnose display ont failed-configuration 0/0/0 all quit
Пример просмотра информации про emu:
interface emu 0 display fan environment info display fan system parameter quit emu add 1 H801esc 0 0 «GERM4815T» display emu display emu baudrate interface emu 1 display esc system parameter display esc environment info quit
- Нажмите, чтобы открыть на Facebook (Открывается в новом окне)
- Нажмите, чтобы поделиться на Twitter (Открывается в новом окне)
- Нажмите, чтобы поделиться записями на Pinterest (Открывается в новом окне)
- Нажмите, чтобы поделиться на LinkedIn (Открывается в новом окне)
- Нажмите, чтобы поделиться записями на Tumblr (Открывается в новом окне)
- Нажмите, чтобы поделиться в Telegram (Открывается в новом окне)
- Ещё
- Нажмите, чтобы поделиться записями на Pocket (Открывается в новом окне)
- Нажмите, чтобы поделиться в Skype (Открывается в новом окне)
- Нажмите, чтобы поделиться на Reddit (Открывается в новом окне)
- Нажмите, чтобы поделиться в WhatsApp (Открывается в новом окне)
- Нажмите для печати (Открывается в новом окне)
Источник: ixnfo.com