华为交换机作为服务端时,用户可以通过Console口、Telnet、STelnet或者Web方式登录本设备;作为客户端时,可以从本设备通过Telnet或STelnet方式来登录其他设备。用户对设备的管理方式有命令行方式和Web网管方式。
1、命令行方式:
通过Console口、Telnet或STelnet方式登录设备后,使用设备提供的命令行对设备进行管理和配置。此种方式需要配置相应登录方式的用户界面。
2、Web网管方式:
通过HTTPS方式登录设备,设备内置一个Web服务器,用户从终端通过Web浏览器登录到设备,使用设备提供的图形界面,从而非常直观地管理和维护设备。此种方式必须确保设备上已经加载了Web网页文件。
Web网管方式虽然是通过图形界面直观地管理设备,便于用户操作,但提供的是对设备日常维护及管理的基本功能,如果需要对设备进行较复杂或精细的管理,仍然需要使用命令行方式。
1、Console口概述
主控板提供一个Console口(接口类型为EIA/TIA-232 DCE)。通过将用户终端的串行接口与设备Console口直接连接,登录设备,实现对设备的本地配置。
2、Telnet概述
Telnet协议在TCP/IP协议族中属于应用层协议,通过网络提供远程登录和虚拟终端功能。以服务器/客户端(Server/Client)模式工作,Telnet客户端向Telnet服务器发起请求,Telnet服务器提供Telnet服务。设备支持Telnet客户端和Telnet服务器功能。
图1 Telnet连接示意图
如上图1所示,SwitchA此时既作为Telnet服务器,也提供Telnet客户端服务。SwitchB对SwitchA提供Telnet服务器功能。
3、STelnet概述
Telnet传输过程采用TCP协议进行明文传输,缺少安全的认证方式,容易招致DoS(Denial of Service)、主机IP地址欺骗和路由欺骗等恶意攻击,存在很大的安全隐患。
相对于Telnet,STelnet基于SSH2协议,客户端和服务器端之间经过协商,建立安全连接,客户端可以像操作Telnet一样登录服务器端。SSH通过以下措施实现在不安全网络上提供安全的远程登录:
支持RSA(Revest-Shamir-Adleman Algorithm)和DSA(Digital Signature Algorithm)认证方式。客户端需要创建一对密钥(公用密钥和私用密钥),并把公用密钥发送到需要登录的服务器上。服务器使用预先配置的该客户端的公用密钥,与报文中携带的客户端公用密钥进行比较。
如果两个公用密钥不一致,服务器断开与客户端的连接。如果两个公用密钥一致,客户端继续使用自己本地密钥对的私用密钥部分,对特定报文进行摘要运算,将所得的结果(即数字签名)发送给服务器,向服务器证明自己的身份。服务器使用预先配置的该客户端的公用密钥,对客户端发送过来的数字签名进行验证。
支持用加密算法DES(Data Encryption Standard)、3DES、AES128(Advanced Encryption Standard 128)、AES256(Advanced Encryption Standard 256)对用户名密码以及传输数据进行加密。
华为交换机支持SSH服务器功能,可以接收多个SSH客户端的连接。同时,设备还支持SSH客户端功能,可以与支持SSH服务器功能的设备建立SSH连接,从而实现从本地设备通过SSH登录到远程设备。
目前,设备作为SSH服务器端时,支持SSH2和SSH1两个版本。设备作为SSH客户端时,只支持SSH2版本。
SSH支持本地连接和广域网连接。
本地连接:
图2 在局域网内建立SSH通道
如上图2所示,可以在SSH客户端和SSH服务器之间建立SSH通道进行本地连接。
广域网连接:
图3 通过广域网建立SSH通道
如上图3所示,可以在SSH客户端和SSH服务器之间建立SSH通道进行广域网连接。
4、Web网管概述
为了方便用户对设备的维护和使用,华为公司特推出Web网管功能,设备内置一个Web服务器,与设备相连的终端(以下均以PC为例)可以通过Web浏览器访问设备。
图4 Web网管运行环境
Web网管的运行环境如上图4所示,可以通过HTTP或HTTPS从终端登录至设备,实现通过图形化界面对设备进行管理和维护。Web登录地址为https://IP,登录成功后,通过SSL对数据进行加密,安全性更高。
Web网页文件中已经包含了SSL证书,当网页文件被加载后,用户无需进行相应的SSL策略的配置(设备有默认的SSL策略)。但为了保证安全性,可以从CA(Certificate Authority)处重新获取数字证书,然后进行手动配置SSL策略。
配置HTTPS和HTTP方式,需要在作为服务器的设备上部署SSL策略,并加载数字证书,数字证书主要用来客户端对服务器端身份的验证。用户可以直接使用设备提供的SSL证书和默认的SSL策略。
配置此方式必须要了解的几个概念:
1、CA(Certificate Authority):
CA是发放、管理、废除数字证书的机构。CA的作用是检查数字证书持有者身份的合法性,并签发数字证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。
国际上被广泛信任的CA,被称之为根CA。根CA可授权其它CA为其下级CA。CA的身份也需要证明,而证明信息在信任证书机构文件中描述。
例如:CA1作为最上级CA也叫根证书,签发下一级CA2证书,CA2又可以给它的下一级CA3签发证书,以此下去,最终由CAn签发服务器的证书。
如果服务器端的证书由CA3签发,则在客户端验证证书的过程从服务器端的证书有效性验证开始。先由CA3证书验证服务器端证书的有效性,如果通过则再由CA2证书验证CA3证书的有效性,最后由最上级CA1证书验证CA2证书的有效性。
只有通过最上级CA证书即根证书的验证,服务器证书才会验证成功。
图5 证书签发过程与证书验证过程示意图
证书签发过程与证书验证过程如上图5所示。
2、数字证书:
数字证书实际上是存于计算机上的一个记录,是由CA签发的一个声明,证明证书主体(证书申请者拥有了证书后即成为证书主体)与证书中所包含的公钥的惟一对应关系。数字证书中包括证书申请者的名称及相关信息、申请者的公钥、签发数字证书的CA的数字签名及数字证书的有效期等内容。
数字证书的作用使网上通信双方的身份得到了互相验证,提高了通信的可靠性。用户必须事先获取信息发送者的公钥证书,以便对信息进行解码认证,同时还需要CA发送给发送者的证书,以便用户验证发送者的身份。
3、证书撤销列表CRL(Certificate Revocation List):
CRL由CA发布,它指定了一套证书发布者认为无效的证书。
数字证书的寿命是有限的,但CA可通过证书撤销过程缩短证书的寿命。CRL指定的寿命通常比数字证书指定的寿命要短。由CA撤销数字证书,意味着CA在数字证书正常到期之前撤销允许使用密钥对的有关声明。在撤销证书到期后,CRL中的有关数据被删除,以缩短CRL列表的大小。
在PC上可以加载验证服务器数字证书以上的各级证书(也称信任证书)及CRL,也可以不加载,如果未加载,则在连接建立时提示用户是否信任对方,如果点击信任则连接建立成功,不信任则连接无法建立。
此时客户端无法对服务器端的数字证书进行验证,但是可以保证双方数据传输的私密性。为了确保访问的是合法的Web服务器,可以在PC上加载信任证书和CRL。