亚洲视频二区_亚洲欧洲日本天天堂在线观看_日韩一区二区在线观看_中文字幕不卡一区

華為交換機(jī)作為服務(wù)端時(shí)，用戶可以通過Console口、Telnet、STelnet或者Web方式登錄本設(shè)備；作為客戶端時(shí)，可以從本設(shè)備通過Telnet或STelnet方式來登錄其他設(shè)備。用戶對(duì)設(shè)備的管理方式有命令行方式和Web網(wǎng)管方式。

1、命令行方式：

通過Console口、Telnet或STelnet方式登錄設(shè)備后，使用設(shè)備提供的命令行對(duì)設(shè)備進(jìn)行管理和配置。此種方式需要配置相應(yīng)登錄方式的用戶界面。

2、Web網(wǎng)管方式：

通過HTTPS方式登錄設(shè)備，設(shè)備內(nèi)置一個(gè)Web服務(wù)器，用戶從終端通過Web瀏覽器登錄到設(shè)備，使用設(shè)備提供的圖形界面，從而非常直觀地管理和維護(hù)設(shè)備。此種方式必須確保設(shè)備上已經(jīng)加載了Web網(wǎng)頁(yè)文件。

Web網(wǎng)管方式雖然是通過圖形界面直觀地管理設(shè)備，便于用戶操作，但提供的是對(duì)設(shè)備日常維護(hù)及管理的基本功能，如果需要對(duì)設(shè)備進(jìn)行較復(fù)雜或精細(xì)的管理，仍然需要使用命令行方式。

1、Console口概述

主控板提供一個(gè)Console口（接口類型為EIA/TIA-232 DCE）。通過將用戶終端的串行接口與設(shè)備Console口直接連接，登錄設(shè)備，實(shí)現(xiàn)對(duì)設(shè)備的本地配置。

2、Telnet概述

Telnet協(xié)議在TCP/IP協(xié)議族中屬于應(yīng)用層協(xié)議，通過網(wǎng)絡(luò)提供遠(yuǎn)程登錄和虛擬終端功能。以服務(wù)器/客戶端（Server/Client）模式工作，Telnet客戶端向Telnet服務(wù)器發(fā)起請(qǐng)求，Telnet服務(wù)器提供Telnet服務(wù)。設(shè)備支持Telnet客戶端和Telnet服務(wù)器功能。

圖1 Telnet連接示意圖

如上圖1所示，SwitchA此時(shí)既作為Telnet服務(wù)器，也提供Telnet客戶端服務(wù)。SwitchB對(duì)SwitchA提供Telnet服務(wù)器功能。

3、STelnet概述

Telnet傳輸過程采用TCP協(xié)議進(jìn)行明文傳輸，缺少安全的認(rèn)證方式，容易招致DoS（Denial of Service）、主機(jī)IP地址欺騙和路由欺騙等惡意攻擊，存在很大的安全隱患。

相對(duì)于Telnet，STelnet基于SSH2協(xié)議，客戶端和服務(wù)器端之間經(jīng)過協(xié)商，建立安全連接，客戶端可以像操作Telnet一樣登錄服務(wù)器端。SSH通過以下措施實(shí)現(xiàn)在不安全網(wǎng)絡(luò)上提供安全的遠(yuǎn)程登錄：

支持RSA（Revest-Shamir-Adleman Algorithm）和DSA（Digital Signature Algorithm）認(rèn)證方式?？蛻舳诵枰?jiǎng)?chuàng)建一對(duì)密鑰（公用密鑰和私用密鑰），并把公用密鑰發(fā)送到需要登錄的服務(wù)器上。服務(wù)器使用預(yù)先配置的該客戶端的公用密鑰，與報(bào)文中攜帶的客戶端公用密鑰進(jìn)行比較。

如果兩個(gè)公用密鑰不一致，服務(wù)器斷開與客戶端的連接。如果兩個(gè)公用密鑰一致，客戶端繼續(xù)使用自己本地密鑰對(duì)的私用密鑰部分，對(duì)特定報(bào)文進(jìn)行摘要運(yùn)算，將所得的結(jié)果（即數(shù)字簽名）發(fā)送給服務(wù)器，向服務(wù)器證明自己的身份。服務(wù)器使用預(yù)先配置的該客戶端的公用密鑰，對(duì)客戶端發(fā)送過來的數(shù)字簽名進(jìn)行驗(yàn)證。

支持用加密算法DES（Data Encryption Standard）、3DES、AES128（Advanced Encryption Standard 128）、AES256（Advanced Encryption Standard 256）對(duì)用戶名密碼以及傳輸數(shù)據(jù)進(jìn)行加密。

華為交換機(jī)支持SSH服務(wù)器功能，可以接收多個(gè)SSH客戶端的連接。同時(shí)，設(shè)備還支持SSH客戶端功能，可以與支持SSH服務(wù)器功能的設(shè)備建立SSH連接，從而實(shí)現(xiàn)從本地設(shè)備通過SSH登錄到遠(yuǎn)程設(shè)備。

目前，設(shè)備作為SSH服務(wù)器端時(shí)，支持SSH2和SSH1兩個(gè)版本。設(shè)備作為SSH客戶端時(shí)，只支持SSH2版本。

SSH支持本地連接和廣域網(wǎng)連接。

本地連接：

圖2 在局域網(wǎng)內(nèi)建立SSH通道

如上圖2所示，可以在SSH客戶端和SSH服務(wù)器之間建立SSH通道進(jìn)行本地連接。

廣域網(wǎng)連接：

圖3 通過廣域網(wǎng)建立SSH通道

如上圖3所示，可以在SSH客戶端和SSH服務(wù)器之間建立SSH通道進(jìn)行廣域網(wǎng)連接。

4、Web網(wǎng)管概述

為了方便用戶對(duì)設(shè)備的維護(hù)和使用，華為公司特推出Web網(wǎng)管功能，設(shè)備內(nèi)置一個(gè)Web服務(wù)器，與設(shè)備相連的終端（以下均以PC為例）可以通過Web瀏覽器訪問設(shè)備。

圖4 Web網(wǎng)管運(yùn)行環(huán)境

Web網(wǎng)管的運(yùn)行環(huán)境如上圖4所示，可以通過HTTP或HTTPS從終端登錄至設(shè)備，實(shí)現(xiàn)通過圖形化界面對(duì)設(shè)備進(jìn)行管理和維護(hù)。Web登錄地址為https://IP，登錄成功后，通過SSL對(duì)數(shù)據(jù)進(jìn)行加密，安全性更高。

Web網(wǎng)頁(yè)文件中已經(jīng)包含了SSL證書，當(dāng)網(wǎng)頁(yè)文件被加載后，用戶無(wú)需進(jìn)行相應(yīng)的SSL策略的配置（設(shè)備有默認(rèn)的SSL策略）。但為了保證安全性，可以從CA（Certificate Authority）處重新獲取數(shù)字證書，然后進(jìn)行手動(dòng)配置SSL策略。

配置HTTPS和HTTP方式，需要在作為服務(wù)器的設(shè)備上部署SSL策略，并加載數(shù)字證書，數(shù)字證書主要用來客戶端對(duì)服務(wù)器端身份的驗(yàn)證。用戶可以直接使用設(shè)備提供的SSL證書和默認(rèn)的SSL策略。

配置此方式必須要了解的幾個(gè)概念：

1、CA（Certificate Authority）：

CA是發(fā)放、管理、廢除數(shù)字證書的機(jī)構(gòu)。CA的作用是檢查數(shù)字證書持有者身份的合法性，并簽發(fā)數(shù)字證書（在證書上簽字），以防證書被偽造或篡改，以及對(duì)證書和密鑰進(jìn)行管理。

國(guó)際上被廣泛信任的CA，被稱之為根CA。根CA可授權(quán)其它CA為其下級(jí)CA。CA的身份也需要證明，而證明信息在信任證書機(jī)構(gòu)文件中描述。

例如：CA1作為最上級(jí)CA也叫根證書，簽發(fā)下一級(jí)CA2證書，CA2又可以給它的下一級(jí)CA3簽發(fā)證書，以此下去，最終由CAn簽發(fā)服務(wù)器的證書。

如果服務(wù)器端的證書由CA3簽發(fā)，則在客戶端驗(yàn)證證書的過程從服務(wù)器端的證書有效性驗(yàn)證開始。先由CA3證書驗(yàn)證服務(wù)器端證書的有效性，如果通過則再由CA2證書驗(yàn)證CA3證書的有效性，最后由最上級(jí)CA1證書驗(yàn)證CA2證書的有效性。

只有通過最上級(jí)CA證書即根證書的驗(yàn)證，服務(wù)器證書才會(huì)驗(yàn)證成功。

圖5 證書簽發(fā)過程與證書驗(yàn)證過程示意圖

證書簽發(fā)過程與證書驗(yàn)證過程如上圖5所示。

2、數(shù)字證書：

數(shù)字證書實(shí)際上是存于計(jì)算機(jī)上的一個(gè)記錄，是由CA簽發(fā)的一個(gè)聲明，證明證書主體（證書申請(qǐng)者擁有了證書后即成為證書主體）與證書中所包含的公鑰的惟一對(duì)應(yīng)關(guān)系。數(shù)字證書中包括證書申請(qǐng)者的名稱及相關(guān)信息、申請(qǐng)者的公鑰、簽發(fā)數(shù)字證書的CA的數(shù)字簽名及數(shù)字證書的有效期等內(nèi)容。

數(shù)字證書的作用使網(wǎng)上通信雙方的身份得到了互相驗(yàn)證，提高了通信的可靠性。用戶必須事先獲取信息發(fā)送者的公鑰證書，以便對(duì)信息進(jìn)行解碼認(rèn)證，同時(shí)還需要CA發(fā)送給發(fā)送者的證書，以便用戶驗(yàn)證發(fā)送者的身份。

3、證書撤銷列表CRL（Certificate Revocation List）：

CRL由CA發(fā)布，它指定了一套證書發(fā)布者認(rèn)為無(wú)效的證書。

數(shù)字證書的壽命是有限的，但CA可通過證書撤銷過程縮短證書的壽命。CRL指定的壽命通常比數(shù)字證書指定的壽命要短。由CA撤銷數(shù)字證書，意味著CA在數(shù)字證書正常到期之前撤銷允許使用密鑰對(duì)的有關(guān)聲明。在撤銷證書到期后，CRL中的有關(guān)數(shù)據(jù)被刪除，以縮短CRL列表的大小。

在PC上可以加載驗(yàn)證服務(wù)器數(shù)字證書以上的各級(jí)證書（也稱信任證書）及CRL，也可以不加載，如果未加載，則在連接建立時(shí)提示用戶是否信任對(duì)方，如果點(diǎn)擊信任則連接建立成功，不信任則連接無(wú)法建立。

此時(shí)客戶端無(wú)法對(duì)服務(wù)器端的數(shù)字證書進(jìn)行驗(yàn)證，但是可以保證雙方數(shù)據(jù)傳輸?shù)乃矫苄?。為了確保訪問的是合法的Web服務(wù)器，可以在PC上加載信任證書和CRL。