華為交換機作為服務端時,用戶可以通過Console口、Telnet、STelnet或者Web方式登錄本設備;作為客戶端時,可以從本設備通過Telnet或STelnet方式來登錄其他設備。用戶對設備的管理方式有命令行方式和Web網管方式。
1、命令行方式:
通過Console口、Telnet或STelnet方式登錄設備后,使用設備提供的命令行對設備進行管理和配置。此種方式需要配置相應登錄方式的用戶界面。
2、Web網管方式:
通過HTTPS方式登錄設備,設備內置一個Web服務器,用戶從終端通過Web瀏覽器登錄到設備,使用設備提供的圖形界面,從而非常直觀地管理和維護設備。此種方式必須確保設備上已經加載了Web網頁文件。
Web網管方式雖然是通過圖形界面直觀地管理設備,便于用戶操作,但提供的是對設備日常維護及管理的基本功能,如果需要對設備進行較復雜或精細的管理,仍然需要使用命令行方式。
1、Console口概述
主控板提供一個Console口(接口類型為EIA/TIA-232 DCE)。通過將用戶終端的串行接口與設備Console口直接連接,登錄設備,實現對設備的本地配置。
2、Telnet概述
Telnet協議在TCP/IP協議族中屬于應用層協議,通過網絡提供遠程登錄和虛擬終端功能。以服務器/客戶端(Server/Client)模式工作,Telnet客戶端向Telnet服務器發起請求,Telnet服務器提供Telnet服務。設備支持Telnet客戶端和Telnet服務器功能。
圖1 Telnet連接示意圖
如上圖1所示,SwitchA此時既作為Telnet服務器,也提供Telnet客戶端服務。SwitchB對SwitchA提供Telnet服務器功能。
3、STelnet概述
Telnet傳輸過程采用TCP協議進行明文傳輸,缺少安全的認證方式,容易招致DoS(Denial of Service)、主機IP地址欺騙和路由欺騙等惡意攻擊,存在很大的安全隱患。
相對于Telnet,STelnet基于SSH2協議,客戶端和服務器端之間經過協商,建立安全連接,客戶端可以像操作Telnet一樣登錄服務器端。SSH通過以下措施實現在不安全網絡上提供安全的遠程登錄:
支持RSA(Revest-Shamir-Adleman Algorithm)和DSA(Digital Signature Algorithm)認證方式。客戶端需要創建一對密鑰(公用密鑰和私用密鑰),并把公用密鑰發送到需要登錄的服務器上。服務器使用預先配置的該客戶端的公用密鑰,與報文中攜帶的客戶端公用密鑰進行比較。
如果兩個公用密鑰不一致,服務器斷開與客戶端的連接。如果兩個公用密鑰一致,客戶端繼續使用自己本地密鑰對的私用密鑰部分,對特定報文進行摘要運算,將所得的結果(即數字簽名)發送給服務器,向服務器證明自己的身份。服務器使用預先配置的該客戶端的公用密鑰,對客戶端發送過來的數字簽名進行驗證。
支持用加密算法DES(Data Encryption Standard)、3DES、AES128(Advanced Encryption Standard 128)、AES256(Advanced Encryption Standard 256)對用戶名密碼以及傳輸數據進行加密。
華為交換機支持SSH服務器功能,可以接收多個SSH客戶端的連接。同時,設備還支持SSH客戶端功能,可以與支持SSH服務器功能的設備建立SSH連接,從而實現從本地設備通過SSH登錄到遠程設備。
目前,設備作為SSH服務器端時,支持SSH2和SSH1兩個版本。設備作為SSH客戶端時,只支持SSH2版本。
SSH支持本地連接和廣域網連接。
本地連接:
圖2 在局域網內建立SSH通道
如上圖2所示,可以在SSH客戶端和SSH服務器之間建立SSH通道進行本地連接。
廣域網連接:
圖3 通過廣域網建立SSH通道
如上圖3所示,可以在SSH客戶端和SSH服務器之間建立SSH通道進行廣域網連接。
4、Web網管概述
為了方便用戶對設備的維護和使用,華為公司特推出Web網管功能,設備內置一個Web服務器,與設備相連的終端(以下均以PC為例)可以通過Web瀏覽器訪問設備。
圖4 Web網管運行環境
Web網管的運行環境如上圖4所示,可以通過HTTP或HTTPS從終端登錄至設備,實現通過圖形化界面對設備進行管理和維護。Web登錄地址為https://IP,登錄成功后,通過SSL對數據進行加密,安全性更高。
Web網頁文件中已經包含了SSL證書,當網頁文件被加載后,用戶無需進行相應的SSL策略的配置(設備有默認的SSL策略)。但為了保證安全性,可以從CA(Certificate Authority)處重新獲取數字證書,然后進行手動配置SSL策略。
配置HTTPS和HTTP方式,需要在作為服務器的設備上部署SSL策略,并加載數字證書,數字證書主要用來客戶端對服務器端身份的驗證。用戶可以直接使用設備提供的SSL證書和默認的SSL策略。
配置此方式必須要了解的幾個概念:
1、CA(Certificate Authority):
CA是發放、管理、廢除數字證書的機構。CA的作用是檢查數字證書持有者身份的合法性,并簽發數字證書(在證書上簽字),以防證書被偽造或篡改,以及對證書和密鑰進行管理。
國際上被廣泛信任的CA,被稱之為根CA。根CA可授權其它CA為其下級CA。CA的身份也需要證明,而證明信息在信任證書機構文件中描述。
例如:CA1作為最上級CA也叫根證書,簽發下一級CA2證書,CA2又可以給它的下一級CA3簽發證書,以此下去,最終由CAn簽發服務器的證書。
如果服務器端的證書由CA3簽發,則在客戶端驗證證書的過程從服務器端的證書有效性驗證開始。先由CA3證書驗證服務器端證書的有效性,如果通過則再由CA2證書驗證CA3證書的有效性,最后由最上級CA1證書驗證CA2證書的有效性。
只有通過最上級CA證書即根證書的驗證,服務器證書才會驗證成功。
圖5 證書簽發過程與證書驗證過程示意圖
證書簽發過程與證書驗證過程如上圖5所示。
2、數字證書:
數字證書實際上是存于計算機上的一個記錄,是由CA簽發的一個聲明,證明證書主體(證書申請者擁有了證書后即成為證書主體)與證書中所包含的公鑰的惟一對應關系。數字證書中包括證書申請者的名稱及相關信息、申請者的公鑰、簽發數字證書的CA的數字簽名及數字證書的有效期等內容。
數字證書的作用使網上通信雙方的身份得到了互相驗證,提高了通信的可靠性。用戶必須事先獲取信息發送者的公鑰證書,以便對信息進行解碼認證,同時還需要CA發送給發送者的證書,以便用戶驗證發送者的身份。
3、證書撤銷列表CRL(Certificate Revocation List):
CRL由CA發布,它指定了一套證書發布者認為無效的證書。
數字證書的壽命是有限的,但CA可通過證書撤銷過程縮短證書的壽命。CRL指定的壽命通常比數字證書指定的壽命要短。由CA撤銷數字證書,意味著CA在數字證書正常到期之前撤銷允許使用密鑰對的有關聲明。在撤銷證書到期后,CRL中的有關數據被刪除,以縮短CRL列表的大小。
在PC上可以加載驗證服務器數字證書以上的各級證書(也稱信任證書)及CRL,也可以不加載,如果未加載,則在連接建立時提示用戶是否信任對方,如果點擊信任則連接建立成功,不信任則連接無法建立。
此時客戶端無法對服務器端的數字證書進行驗證,但是可以保證雙方數據傳輸的私密性。為了確保訪問的是合法的Web服務器,可以在PC上加載信任證書和CRL。
