H3C交换机AAA安全访问控制与管理
H3C-5120交换机安全设置
H3C-5120交换机安全设置一、安全设置概述H3C-5120交换机是一种功能丰富且常用的网络设备,但在网络环境中,安全性是至关重要的。
本文档旨在提供关于H3C-5120交换机安全设置的详细指南,以确保网络的安全性和稳定性。
二、物理安全设置1. 安全的位置安装交换机:H3C-5120交换机应该被安装在物理上安全的位置,避免被未授权的人员操作或恶意存取。
2. 限制访问:交换机的机柜应该配备可靠的锁,只开放给授权人员,以确保物理访问的安全性。
三、管理安全设置1. 管理口安全:交换机的管理口应只开放给授权的管理人员,禁止其他用户访问。
2. 密码设置:对于管理员账户和特权模式账户,应设置强密码,并定期更换。
3. 远程访问控制:限制远程访问交换机的IP地址和登录方式,仅允许授权的主机和用户访问。
四、网络安全设置1. VLAN划分:使用VLAN划分将不同的网络隔离开来,以增加网络的安全性。
2. ACL设置:通过配置访问控制列表(ACL),限制对交换机的某些服务或端口的访问权限,防止未经授权的访问和攻击。
3. 网络隔离:为敏感数据和重要设备建立独立的网络,禁止普通访问,以增强网络的安全性。
4. 安全升级:定期检查和安装最新的固件升级,以修补已知的安全漏洞,确保交换机的安全性。
五、日志和监控设置1. 日志配置:启用交换机的日志功能,并设置合适的日志级别,以便追踪和分析安全事件和故障。
2. 告警设置:配置告警,以便在出现异常情况时及时通知管理员,以便采取相应的措施。
3. 安全监控:使用网络安全工具对交换机进行实时监控,以及时发现和阻止任何潜在的安全威胁。
六、更新和维护1. 定期备份:定期备份交换机的配置文件,以防止数据丢失或设备故障时进行恢复。
2. 系统更新:定期检查和更新交换机的操作系统,以确保安全补丁和功能更新的及时安装。
七、培训和教育1. 培训管理人员:对交换机安全设置进行培训,使其了解和掌握最佳实践。
2. 用户教育:对网络用户进行安全意识教育,包括密码安全、远程访问规范和网络行为规范等。
H3C交换机端口安全模式配置
H3C交换机端口安全模式配置H3C交换机端口安全模式配置用户网络访问控制是我们在进行网络管理和网络设备配置时经常要用到一项网络技术应用。
其实在用户的网络访问控制方面,最直接、最简单的方法就是配置基于端口的安全模式,不仅Cisco交换机如此,H3C交换机也有类似的功能,而且看起来功能更加强大。
下面跟yjbys 店铺一起来学习一下H3C以太网交换机端口安全模式配置方法!在H3C以太网交换机上可配置的端口安全模式总体来说是可分为两大类:控制MAC地址学习类和认证类。
控制MAC地址学习类无需对接入用户进行认证,但是可以允许或者禁止自动学习指定用户MAC 地址,也就是允许或者禁止把对应MAC地址添加到本地交换机的MAC地址表中,通过这种方法就可以实现用户网络访问的控制。
认证类则是利用MAC地址认证或IEEE 802.1X认证机制,或者同时结合这两种认证来实现对接入用户的网络访问控制。
配置了安全模式的H3C以太网交换机端口,在收到用户发送数据报文后,首先在本地MAC地址表中查找对应用户的MAC地址。
如果该报文的源MAC地址已经在本地交换机中的MAC地址表中则直接转发该报文,否则根据端口所在安全模式进行相应的处理,并在发现非法报文后触发端口执行相应的安全防护特性。
在H3C以太网交换机中可配置的端口安全模式及各自的工作原理如下。
1. autoLearn模式与secure模式在autoLearn(自动学习)端口安全模式下,可通过手工配置,或动态学习MAC地址,此时得到的MAC地址称为Secure MAC(安全MAC地址)。
在这种模式下,只有源MAC为Secure MAC的报文才能通过该端口;但在端口下的Secure MAC地址表项数超过端口允许学习的最大安全MAC地址数后,该端口也不会再添加新的Secure MAC,并且端口会自动转变为Secure模式。
如果直接将端口安全模式设置为Secure模式,则将立即禁止端口学习新的MAC地址,只有源MAC地址是原来已在交换机上静态配置,或者已动态学习到的MAC地址的报文才能通过该端口转发。
H3C配置AAA、RADIUS和TACACS+
AAA包含三种功能:认证、授权、计费
常用RADIUS协议和TACACS+协议 使用远程服务器,或交换机设备本身作本地认证
服务器
4
AAA支持的服务
AAA通过对服务器的详细配置,对多种 服务提供安全保证
支持FTP、TELNET、PPP、端口接入
验证动作包含核对用户名、密码、证书 授权表现为下发用户权限、访问目录、 用户级别等 计费表现为记录用户上网流量、时长等
22
TACACS+维护命令
操作 查看所有或指定 HWTACACS方案配置信 息或统计信息 显示缓存的没有得到响应 的停止计费请求报文 清除TACACS协议的统计 信息 清除缓存中没有得到响应 的停止计费请求报文 命令 display hwtacacs [ hwtacacsscheme-name [ statistics ] ] display stop-accounting-buffer hwtacacs-scheme hwtacacsscheme-name reset hwtacacs statistics { accounting | all | authentication | authorization } reset stop stop-accounting-buffer accounting buffer hwtacacs-scheme hwtacacsscheme-name
(6)用户访问资源 (7)计费结束请求包 (8)计费结束请求响应包 (9)通知访问结束
10
RADIUS属性
Attribute字段携带认证、授权、计费信 息 采用(Type y ,Length g ,Value)三元组 格式 常用属性
交换机AAA详解
交换机AAA详解1概述1.1AAAAAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,提供了认证、授权、计费三种安全功能。
这三种安全功能的具体作⽤如下:●认证:验证⽤户是否可以获得⽹络访问权。
●授权:授权⽤户可以使⽤哪些服务。
●计费:记录⽤户使⽤⽹络资源的情况⽤户可以只使⽤AAA提供的⼀种或两种安全服务。
例如,公司仅仅想让员⼯在访问某些特定资源的时候进⾏⾝份认证,那么⽹络管理员只要配置认证服务器即可。
但是若希望对员⼯使⽤⽹络的情况进⾏记录,那么还需要配置计费服务器。
如上所述,AAA是⼀种管理框架,它提供了授权部分⽤户去访问特定资源,同时可以记录这些⽤户操作⾏为的⼀种安全机制,因其具有良好的可扩展性,并且容易实现⽤户信息的集中管理⽽被⼴泛使⽤。
AAA可以通过多种协议来实现。
在实际应⽤中,最常使⽤RADIUS协议(UDP)和TACACS协议(TCP),华为和Cisco⼜有⾃⾝的协议:HWTACACS(华为)和TACACS+(Cisco)。
1)终端访问控制器的访问控制系统(TACACS)TACACS是⼀个远程认证协议,⽤作与认证服务器进⾏通信,通常使⽤在UNIX ⽹络中。
TACACS允许远程访问服务于认证服务通信,为了决定⽤户是否允许访问⽹络。
Unix后台是TACACSD,运⾏在49端⼝上,使⽤TCP。
2)TACACS+:TACACS+是为路由、⽹络访问服务和其它⽹络计算设备提供访问控制的协议,使⽤⼀个以上的中⼼服务器。
它使⽤TCP,提供单独认证、鉴权和审计服务,端⼝是49。
3)RADIUS:远程认证拨号⽤户服务是⼀个AAA应⽤协议,例如:⽹络认证或IP移动性。
后续章节中,我们会看到更多的RADIUS详情。
4)DIAMETERDiameter是计划替代RADIUS的⼀种协议。
2原理描述2.1基本构架AAA是采⽤“客户端/服务器”(C/S)结构,其中AAA客户端(也称⽹络接⼊服务器——NAS)就是使能了AAA功能的⽹络设备(可以是⽹络中任意⼀台设备,不⼀定是接⼊设备,⽽且可以在⽹络中多个设备上使能),⽽AAA服务器就是专门⽤来认证、授权和计费的服务器(可以由服务器主机配置,也可以有提供了对应服务器功能的⽹络设备上配置)如图2-1所⽰。
H3C-S3100-AAA认证方式的配置
CiscoH3C交换机高级配置与管理技术手册_随笔
《CiscoH3C交换机高级配置与管理技术手册》阅读记录目录一、手册概述与读者背景 (2)二、手册内容结构概览 (2)2.1 手册章节概览 (3)2.2 关键知识点梳理 (5)三、第一章 (6)3.1 交换机基本概念及原理 (8)3.2 初始配置步骤与要点 (9)3.3 配置示例及解析 (10)四、第二章 (12)4.1 VLAN配置与管理 (13)4.2 链路聚合与负载均衡配置 (14)4.3 网络安全配置 (15)五、第三章 (17)5.1 交换机的日常管理与监控 (18)5.2 故障诊断与排除方法 (20)5.3 系统维护与升级流程 (21)六、第四章 (23)6.1 典型案例分析 (24)6.2 实践操作经验分享与心得交流区 (26)6.3 专家建议与行业前沿技术动态分享区 (27)一、手册概述与读者背景旨在帮助他们全面掌握H3C交换机的配置和管理技能。
本手册从基础到高级,通过详细的步骤和实例,涵盖了交换机的基本配置、接口设置、VLAN管理、路由协议、网络安全以及故障排查等多个方面。
本手册的目标读者主要是具备一定网络基础知识的工程师和技术支持人员。
他们熟悉网络基础概念,如OSI模型、TCPIP协议等,并且对交换机有一定的操作经验。
对于初学者,本手册将通过循序渐进的教学方式,逐步引导读者掌握交换机的配置和管理技巧。
而对于有一定经验的工程师,本手册将提供更深入的知识和技巧,帮助他们解决更复杂的网络问题。
《Cisco H3C交换机高级配置与管理技术手册》是一本实用性强的技术参考书,适合网络专业人士和高级技术人员使用,无论是新手还是资深工程师,都能从中获得宝贵的知识和经验。
二、手册内容结构概览本《Cisco H3C交换机高级配置与管理技术手册》旨在为读者提供一套完整的理论知识和实践技能,以便更好地理解和使用H3C交换机。
全书共分为五个部分,分别是:基础知识篇:主要介绍H3C交换机的基础知识,包括交换机的基本概念、硬件组成、接口类型、工作模式等内容,帮助读者建立起对H3C交换机的基本认识。
H3C网络设备AAA授权管理方案
H3C网络设备AAA授权管理方案一、面临挑战禁止对网络设备的非法访问是网络安全的一项必要条件。
传统情况下,设备管理用户在访问网络设备前,需要先登录并在本地配置身份验证信息,只有拥有合法凭证的用户才能得到相应的访问授权,从而保证了网络的安全性。
然而当网络规模成倍扩张的时候,IT基础架构越来越庞大,网络设备的管理与维护也变得复杂化,对多个设备或网络服务进行多次认证与控制,增加了额外的工作成本。
这时就需要一个能够对整体网络做出统一认证与控制的服务平台,有效提高企业IT运维的工作效率及管理操作的安全性。
1、管理挑战:企业庞大的网络架构使得设备管理用户在繁杂的IT运维工作中存在多次重复认证过程,影响管理工作效率。
2、安全挑战:对设备管理用户的弱身份鉴别,以及在控制对其访问权限上的缺失或不力,会带来巨大的安全漏洞。
二、解决方案1. H3C网络设备AAA授权管理方案概述宁盾认证服务平台通过标准RADIUS协议,可实现H3C网络设备管理用户的统一身份认证,对其提出的认证请求、授权请求、审计请求做出响应,提供AAA 服务。
首先对设备管理用户的认证请求做出响应,验证其身份的合法性,并结合宁盾双因素认证,通过动态密码对账号进行双重保护;然后根据用户身份权限进行授权,控制用户的访问及操作行为;宁盾认证服务平台可全程跟踪用户行为动作,并出具详细的登录认证及操作行为日志报表,满足审计合规要求。
兼容的网络设备包括H3C交换机、路由器、防火墙及堡垒机、WAF等。
2. 网络拓扑3. 宁盾动态密码形式短信令牌:基于短信发送动态密码的形式手机令牌:基于时间的动态密码,由手机APP生成硬件令牌:基于时间的动态密码,由硬件生成三、方案价值①AAA授权管理:集成RADIUS协议,实现对H3C网络设备管理员实现统一认证、授权、日志审计,提升日常运维管理工作效率;②支持批量开户:支持对设备管理用户集中开户,可批量设定设备管理用户的登录密码、授权策略、失效时间、在线数量和权限提升密码;③与现有系统无缝集成:支持外部数据源,除AD、LDAP等标准帐号源外,还可以从客户自定义的系统中(OA、ERP、CRM)同步用户数据;④账号双重保护:支持通过短信令牌、硬件令牌、手机令牌等动态密码认证,提升设备运维账号密码强度,保护账号安全,避免定期修改密码;⑤风险账号隔离:通过设定账号认证登录规则,可以将自动猜测密码尝试恶意登陆设备的账号加入黑名单进行隔离;⑥访问授权策略:支持按场景分配授权策略,场景可以是设备位置区域、设备类型和接入时段的组合;支持基于角色的授权策略,包括权限级别、接入ACL、限制时长;⑦实名可审计:记录设备管理员的认证、授权及行为审计信息日志,并支持导出到文本文件中。
H3C 交换机网络管理和监控配置指导
密则是对 NMS 和 Agent 之间的传输报文进行加密,以免被窃听。通过有无认证和有无加密等 功能组合,可以为 SNMP NMS 和 SNMP Agent 之间的通信提供更高的安全性。 NMS 和 Agent 成功建立连接的前提条件是 NMS 和 Agent 使用的 SNMP 版本必须相同。
1.1.3 MIB简介
任何一个被管理的资源都可以表示成一个对象,称为被管理对象。MIB(Management Information Base,管理信息库)是被管理对象的集合。它定义了对象之间的层次关系以及对象的一系列属性, 比如对象的名字、访问权限和数据类型等。每个Agent都有自己的MIB。NMS根据权限可以对MIB 中的对象进行读/写操作。NMS、A 图1-1 NMS、Agent 和 MIB 关系图
SNMP 网络元素分为 NMS 和 Agent 两种。 z NMS(Network Management Station,网络管理站)是运行 SNMP 客户端程序的工作站,能
够提供非常友好的人机交互界面,方便网络管理员完成绝大多数的网络管理工作。 z Agent 是驻留在设备上的一个进程,负责接收、处理来自 NMS 的请求报文。在一些紧急情况
MIB是以树状结构进行存储的。树的节点表示被管理对象,它可以用从根开始的一条路径唯一地识 别(OID)。如 图 1-2所示,被管理对象B可以用一串数字{1.2.1.1}唯一确定,这串数字是被管理对 象的OID(Object Identifier,对象标识符)。
的关系。如果 SNMP 报文携带的团体名没有得到设备的认可,该报文将被丢弃。团体名起到 了类似于密码的作用,用来限制 SNMP NMS 对 SNMP Agent 的访问。 z SNMP v2c 也采用团体名认证。它在兼容 SNMP v1 的同时又扩充了 SNMP v1 的功能:它提 供了更多的操作类型(GetBulk 和 InformRequest);它支持更多的数据类型(Counter64 等); 它提供了更丰富的错误代码,能够更细致地区分错误。 z SNMP v3 提供了基于用户的安全模型(USM,User-Based Security Model)的认证机制。用 户可以设置认证和加密功能,认证用于验证报文发送方的合法性,避免非法用户的访问;加
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
18.H3C 交换机AAA 安全访问掌握与治理18.1H3C 交换机AAA 根底AAA 是Authentication,Authorization and Accounting 〔认证、授权和计费〕的简称,是对网络访问掌握的一种治理模式。
它供给了一个对认证、授权和计费这三种功能进展统一配置的框架;“认证”确定哪些用户可以访问网络效劳器;“授权”确定具有访问权限的用户最终可以获得哪些效劳;“计费”确定如何对正在使用网络资源的用户进展计费。
18.1.1AAA 简介AAA 一般承受C/S〔客户端/效劳器〕构造:客户端运行于被治理的资源侧〔这里指网络设备,如接入交换机〕,效劳器上几种存放用户信息。
因此,AAA 框架具有良好的可扩展性,并且简洁实现用户信息的集中治理。
1.AAA 认证AAA 支持以下认证方式:⏹不认证:对接入用户信任,不进展合法性检查。
这是默认认证方式。
⏹本地认证:承受本地存储的用户信息对用户进展认证。
本地认证的优点是速度快,可以降低运营本钱;缺点是存储信息量受设备硬件条件〔如闪存大小〕限制。
⏹远程认证:在H3C 以太网交换机中,远程认证是指通过RADIUS 效劳器或HWTACACS〔Cisco IOS 交换机中承受的是TACACS+协议〕效劳器对接入用户进展的认证。
此时,H3C 交换机作为RADIUS 或者HWTACACS 客户端,与RADIUS 效劳器或TACACS 效劳器通信。
远程认证的有点是便于集中治理,并且供给丰富的业务特性;缺点是必需供给特地的RADIUS 或者HWTACACS 效劳器,并进展正确的效劳器配置。
2.AAA 授权AAA 支持以下授权方式:⏹直接授权:对用户信任,直接授权通过。
⏹本地授权:依据交换机上为本地用户账号配置的相关属性进展授权。
⏹RADIUS 认证成功后远程授权:由RADIUS 效劳器对用户进展远程授权。
要留意:RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS 效劳器进展授权。
⏹HWTACACS 远程授权:由HWTACACS 效劳器对用户进展远程授权〔HWTACACS 效劳器的授权是独立于认证进展的〕。
3.AAA 计费AAA 支持以下计费方式:⏹不计费:不对用户计费。
⏹本地计费:实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。
⏹远程计费:支持通过RADIUS 效劳器或HWTACACS 效劳器进展远程计费。
18.1.2ISP 域简介ISP 域即ISP 用户群,通常是把经过同一个ISP 接入的用户划分到同一个ISP 域中。
这主要是应用于存在多个ISP 的应用环境中,由于同一个接入设备接入的有可能是不同ISP 的用户。
假设只有一个ISP,则可以直接使用系统默认域system。
在ISP 域视图下,可以为每个ISP 域配置包括使用AAA 策略在内的一整套单独的ISP 域属性。
用户的认证、授权、计费都是在用户所属的ISP 域视图下应用预先配置的认证、授权、计费方案实现的。
这个用户所属的ISP 域,由其登录时供给的用户名打算:⏹假设用户登录时输入“userid@domain-name”形式的用户名,则其所属的ISP 域为“domain-name”域。
⏹假设用户登录时输入“userid”形式的用户名,则其所属的ISP 域为接入设备上配置的默认域system。
为便于对不同接入方式的用户进展区分治理,AAA还可以将域用户划分为以下两个类型:⏹lan-access用户〔局域网访问用户〕:通过LAN接入的用户,如直接接入LAN中,然后通过IEEE 802.1x 认证、MAC 地址认证的用户。
⏹login 用户:通过远程网络登录的用户,如SSH、Telnet、FTP、终端接入用户。
18.1.3HWTACACS 简介HWTACACS〔华为终端访问掌握器访问掌握系统〕是在TACACS 协议根底上进展了功能增加的安全协议。
该协议与RADIUS 协议类似,交换机设备也是用来担当客户端的,也是通过C/S 模式与HWTACACS 效劳器通信来实现多种用户的AAA 功能,可用于PPP 和VPDN 接入用户及终端用户的认证、授权和计费。
但是RADIUS 效劳器的认证和授权是捆绑在一起进展的,而TACACS 和HWTACACS 的认证好授权是独立进展的。
TACACS/HWTACACS主要用于远程登录用户〔非直接LAN 访问用户〕的访问掌握和计费,交换机作为TACACS/HWTACACS的客户端,充当中间代理的作用,将恳求认证的用户的用户名和密码发送给TACACS/HWTACACS效劳器进展验证,验证通过并得到授权之后,用户才可以登录到交换机上进展操作。
18.1.4H3C 交换机配置AAA 配置任务在H3C 以太网交换机AAA 方案中,又可以区分ISP 域是承受认证、授权、计费捆绑方式,还是承受认证、授权、计费分别方式。
假设承受捆方式,则在配置ISP 域的AAA 方案时支持在同一个ISP 域视图下,针对不同的用户接入方式配置不同的AAA 方案;假设承受分别方式,则在配置ISP 域的AAA 方案时用户可以分别指定认证、授权、计费方案。
假设承受RADIUS、HWTACACS 认证方案,需要提前完成RADIUS 或HWTACACS 相关配置。
在作为AAA 客户端的接入设备〔如H3C 以太网交换机〕上,AAA 的根本配置思路如下:(1)配置AAA 方案:依据需要配置本地或远程认证方案。
⏹本地认证:需要配置本地用户,即local user 的相关属性,包括手动添加认证的用户名和密码等。
⏹远程认证:需要配置RADIUS 或HWTACACS 方案,并在效劳器上配置相应的胡勇属性。
(2)配置实现AAA 的方法:在用户所属的ISP 域中分别指定实现认证、授权、计费的方法,都可以选择none〔不〕、local〔本地〕和scheme〔远程〕方法。
18.2H3C 交换机本地用户配置与治理中选择使用本地〔local〕认证方法对用户进展认证时,应在交换机上创立本地用户并配置相关属性。
所谓本地用户,是指在本地交换机上设置的一组以用户名为唯一标识的用户。
为使某个恳求网络效劳的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相应的表项。
18.2.1本地用户属性在H3C 以太网交换机上课配置的本地用户属性包括:⏹效劳类型用户接入设备时可使用的网络效劳类型。
该属性是本地认证的检测项,假设没有用户可使用的效劳类型,则该用户无法接入设备。
H3C 以太网交换机可支持的效劳类型包括:FTP、lan-access、Portal〔Web 认证〕、SSH、Telnet、Terminal。
⏹用户状态用户指示是否允许该用户恳求网络效劳器,包括active〔活泼〕和block〔堵塞〕两种状态。
active 表示允许该用户恳求网络效劳,block 表示制止该用户恳求网络效劳。
⏹最大用户数指使用当前用户名接入设备的最大用户数目。
假设当前该用户名的接入用户数已到达最大值,则使用该用户名的用户将被制止接入。
⏹有效期指用户账户的有效的戒指日期。
用户进展本地认证时,接入设备检查当前系统时间是否在用户的有效期内,假设在有效期内则允许该用户登录,否则拒绝。
⏹所属的用户组每一个本地用户都属于一个本地用户组,并继承组中的全部属性〔密码治理属性和用户授权属性〕,相当于Window系统的工作组。
⏹密码治理属性指用户密码的安全属性,可依据设置的密码策略对认证隐秘吗进展治理和掌握。
可设置的密码策略包括:密码老化时间、密码最小长度、密码组合策略。
本地用户的密码治理属性在系统视图〔具有全局性〕、用户组视图和本地用户视图下都可以配置,其生效的优先级挨次由高到低依次为本地用户、用户组、全局。
全局配置对全部本地用户生效,用户组的配置对组内全部本地用户生效。
⏹绑定属性指定用户认证时需要检测的属性,用于限制接入用户的范围。
假设用户的实际属性与设置的绑定属性不匹配,则不能通过认证。
可绑定的属性包括:ISDN 用户的主叫号码、用户IP 地址、用户接入端口、用户MAC 地址、用户所属VLAN。
⏹用户授权属性本地用户的授权属性在用户组和本地用户视图下都可以配置,且本地用户试图下的配置优先级高于用户组视图下的配置。
用户组的配置对组内全部本地用户生效。
18.2.2本地用户属性配置步骤命令sysname-view1 表18-3 本地用户属性配置步骤说明进入系统视图例如:<Sysname>system-viewlocal-user password-display-mode{auto | cipher-force} 2 〔可选〕设置本地用户密码的显示方式。
二选一选项cipher-force 表示强制cipher 方式,即全部本地用户的密码显示例如:[Sysname]local-user 方式必需承受密文方式;auto 为自动方式,即本地用户的密码password-display-mode autolocal-user user-name3 例如:[Sysname]local-userwindapassword { cipher | simple } 显示方式可以由用户自己通过password 命令来设置。
添加本地用户,并进入本地用户视图〔可选〕设置本地用户的密码,命令中的参数和选项说明如下:password4例如:[Sysname-luser-winda]password cipher 123456 ⏹simple:表示密码为明文⏹cipher:表示密码为密文⏹password:指定密码state { active | block } 〔可选〕设置本地用户的状态。
active 用来指定当前本地用户5例如:[Sysname-luser-winda] state activeaccess-limit max-user-number 6例如:[Sysname-luser-winda] access-limit 10service-type { ftp | lan-access| { ssh | telnet | terminal } *| portal }7例如:[Sysname-luser-winda]service type ftp lan-accessportalbind-attribute { call-numbercall-number [ : subcall-num 处于活动状态;block 用来指定当前本地用户处于“挂起”状态,即系统不允许当前本地用户恳求网络效劳〔可选〕设置当前用户名可容纳的最大本地接入用户数默认状况下,不限制当前本地用户名可容纳的接入用户数。
设置本地用户可以使用的效劳类型,对应不同的用户类型。