【文章內容簡介】 aux 0[Eudemonuiaux0] authenticationmode aaa[Eudemonuiaux0] user privilege level 3第四步：配置與AUX接口連接的Modem設備支持雙向呼叫、自動應答，且連接超時時間不受限制。[Eudemonuiaux0] idletimeout 0 0[Eudemonuiaux0] modem both[Eudemonuiaux0] modem timer answer 60第五步：配置AUX接口采用流方式工作。[Eudemon] interface aux 0[EudemonAux0] async mode flow第六步：在PC機處打開終端仿真程序（如Windows 9X的Hyperterm超級終端等），選擇Modem作為連接時的設備，輸入電話號碼（如12345678），建立連接，如下圖所示： 圖29 配置撥號號碼和連接設備 圖210 在遠地微機上啟動撥號第七步：在彈出的遠端終端仿真程序界面上輸入用戶名和口令（如用戶名auxuser，口令auxpwd），驗證通過后界面中出現(xiàn)命令行提示符（如Eudemon）。此時可以鍵入命令，查看Eudemon防火墻運行狀態(tài)，或對Eudemon防火墻進行配置，需要幫助可以隨時鍵入“?”，關于具體的操作請參考以后各章節(jié)。 通過Telnet方式搭建當配置終端與Eudemon防火墻之間有可達路由時，可以用Telnet方式通過局域網或廣域網登錄到Eudemon防火墻，然后對Eudemon防火墻進行配置。即必須預先進行如下配置，才能采用Telnet方式搭建環(huán)境。1. 采用Telnet方式前的配置準備第一步：微機（PC機或終端）通過RS232串口連接Eudemon防火墻Console接口，Eudemon防火墻Ethernet1/0/0連接到Internet，Internet中某遠端PC機作為Telnet Client設備。第二步：參照“ 實現(xiàn)設備和Eudemon防火墻互相ping通”中的描述，實現(xiàn)遠端PC（Telnet客戶端）能ping通Eudemon。第三步：通過Console接口配置Telnet登錄用戶名/口令。[Eudemon] aaa[Eudemonaaa] localuser telnetuser password simple telnetpwd[Eudemonaaa] localuser telnetuser servicetype telnet第四步：通過Console接口配置本地AAA認證，及Telnet登錄認證（即VTY虛擬線認證）。[Eudemonaaa] authenticationscheme telnetuser[Eudemonaaaauthentelnetuser] authenticationmode local radius[Eudemonaaaauthentelnetuser] quit[Eudemonaaa] quit[Eudemon] userinterface vty 0 4[Eudemonuivty04] authenticationmode aaa第五步：通過Console接口配置ACL規(guī)則，允許從遠端PC到Eudemon防火墻的Telnet報文通過，并在Untrust和Local區(qū)域間入方向應用ACL規(guī)則。[Eudemon] acl number 3101[Eudemonacladv3101] rule permit tcp source 0 destination 0[Eudemonacladv3101] quit[Eudemon] firewall interzone untrust local[Eudemoninterzonelocaluntrust] packetfilter 3101 inbound第六步：通過Console接口配置Telnet登錄用戶級別切換口令，即切換到管理級（3級）的口令為superpwd。[Eudemon] super password level 3 simple superpwd2. 建立Telnet連接第一步：建立本地配置環(huán)境，只需將微機以太網口通過局域網與Eudemon防火墻的以太網口連接，也可以通過HUB或以太網交換機實現(xiàn)網絡層互通，如下圖所示：圖211 通過局域網搭建本地配置環(huán)境如果建立遠程配置環(huán)境，需要將微機和Eudemon防火墻通過廣域網連接，如下圖所示：圖212 通過廣域網搭建遠程配置環(huán)境第二步：在微機上運行Telnet程序，鍵入Eudemon防火墻以太網口IP地址（或在遠端微機上鍵入Eudemon防火墻廣域網口IP地址），與Eudemon防火墻建立連接，如果出現(xiàn)“Too many users!”的提示，則請稍候再連。如下圖所示：圖213 運行Telnet程序第三步：Telnet界面上顯示如下信息，輸入用戶名telnetuser，口令telnetpwd，然后出現(xiàn)命令行提示符（如Eudemon）。********************************************************** All rights reserved (19972004) ** Without the owner39。s prior written consent, **no depiling or reverseengineering shall be allowed.**********************************************************Login authenticationUsername:telnetuserPassword:*********Note：The max number of VTY users is 5,and the current number of VTY users on line is 1.Eudemonamp。 說明：主機名為遠程連接的Eudemon防火墻主機名或Eudemon防火墻IP地址。第四步：鍵入命令，配置Eudemon防火墻或查看Eudemon防火墻運行狀態(tài)，需要聯(lián)機幫助可以隨時鍵入“?”，關于具體的命令請參考后續(xù)各章節(jié)。amp。 說明：通過Telnet方式配置Eudemon防火墻過程中，請不要輕易改變Eudemon防火墻上此Telnet連接的IP地址，否則Telnet連接將斷開。如果必須修改IP地址，請通過Console口或AUX接口修改，以后則可以再通過Telnet方式與新IP地址建立連接。 通過SSH方式搭建SSH是Secure Shell（安全外殼）的簡稱，用戶通過一個不能保證安全的網絡環(huán)境遠程登錄到Eudemon防火墻時，SSH特性可以提供安全的信息保障和強大的認證功能，以保護Eudemon防火墻不受諸如IP地址欺詐、明文密碼截取等等攻擊。搭建配置環(huán)境的方法和Telnet方式相似。第一步：建立本地配置環(huán)境，只需將微機以太網口通過局域網與Eudemon防火墻的以太網口連接，也可以通過HUB或以太網交換機實現(xiàn)網絡層互通；如果建立遠程配置環(huán)境，需要將微機和Eudemon防火墻通過廣域網連接。第二步：在微機上運行Telnet程序，并配置其終端類型為VT100，鍵入Eudemon防火墻以太網口IP地址（或在遠端微機上鍵入Eudemon防火墻廣域網口IP地址），與Eudemon防火墻建立連接。第三步：在Eudemon防火墻上配置SSH參數，具體請參見本章中的“終端服務”部分中的SSH終端服務。 命令行接口系統(tǒng)向用戶提供一系列配置命令以及命令行接口，用戶通過該接口可以配置和管理Eudemon防火墻。命令行接口有如下特性：l 通過Console口進行本地配置l 通過AUX口進行本地或遠程配置l 通過Telnet、SSH進行本地或遠程配置l 提供Userinterface視圖，管理各種終端用戶的特定配置l 命令分級保護，不同級別的用戶只能執(zhí)行相應級別的命令l 通過本地、AAA驗證方式，確保系統(tǒng)的安全l 提供聯(lián)機幫助，用戶可以隨時鍵入“?”獲得相關信息l 提供網絡測試命令，如tracert、ping等，迅速診斷網絡是否正常l 提供種類豐富、內容詳盡的調試信息，幫助診斷網絡故障l 提供FTP服務，方便用戶上載、下載文件l 提供類似Doskey的功能，可以執(zhí)行某條歷史命令l 命令行解釋器提供不完全匹配和上下文關聯(lián)等多種智能命令解析方法，最大可能地方便用戶的輸入 命令行級別系統(tǒng)命令行采用分級保護方式，命令行劃分為參觀級、監(jiān)控級、配置級、管理級4個級別，簡介如下：表21 命令行級別級別號級別名稱級別權限0參觀級網絡診斷工具命令（ping、tracert）、從本設備出發(fā)訪問外部設備的命令（包括：Telnet客戶端、SSH客戶端）等，該級別命令不允許進行配置文件保存的操作。1監(jiān)控級用于系統(tǒng)維護、業(yè)務故障診斷等，包括display、debugging命令，該級別命令不允許進行配置文件保存的操作。2配置級業(yè)務配置命令，包括安全防范、上層業(yè)務、網絡互連等配置命令，這些用于向用戶提供直接安全和網絡服務。3管理級關系到系統(tǒng)基本運行、支撐模塊的命令，包括文件系統(tǒng)、FTP、TFTP、XModem下載、配置文件切換命令、電源控制命令、備板控制命令、用戶管理命令、級別配置命令、系統(tǒng)內部參數配置命令（非協(xié)議規(guī)定、非RFC規(guī)定）等。同時對登錄用戶劃分等級，分為4級，分別與命令級別對應，即不同級別的用戶登錄后，只能使用等于或低于自己級別的命令。為了防止未授權用戶的非法侵入，在從低級別用戶切換到高級別用戶時，要進行用戶身份驗證。為了保密，用戶鍵入的口令在屏幕上不查看，如果三次以內輸入正確的口令，則切換到高級別用戶，否則保持原用戶級別不變。 命令行視圖所謂視圖，就是執(zhí)行命令串的場合或空間環(huán)境。Eudemon防火墻中視圖采用分層結構，從用戶視圖可以進入系統(tǒng)視圖和FTP客戶端視圖，并在系統(tǒng)視圖下可以進入各種功能視圖（除FTP客戶端視圖外），在各功能視圖中還可以進入子功能視圖。1. 系統(tǒng)維護相關視圖視圖結構關系如下圖所示：圖215 系統(tǒng)維護相關視圖關系各視圖的功能描述、進入命令、進入后提示符、退出命令、退出后提示符等信息如下表格列出：表22 用戶視圖項目解釋功能查看Eudemon防火墻的簡單運行狀態(tài)和統(tǒng)計信息進入命令連接建立后直接進入進入后提示符Eudemon退出命令Eudemon quit退出后提示符斷開連接查看表23 系統(tǒng)視圖項目解釋功能配置Eudemon防火墻的系統(tǒng)參數，并通過該視圖進入其他功能配置視圖進入命令Eudemon systemview進入后提示符[Eudemon]退出命令[Eudemon] quit退出后提示符Eudemon表24 用戶界面視圖項目解釋功能配置防火墻各用戶界面的相關參數，管理相關界面進入命令[Eudemon] userinterface console 0上述舉例中console參數還可以替換為aux和vty，不同參數對應的提示符號有所不同，此處不一一列舉進入后提示符[Eudemonuiconsole0]退出命令[Eudemonuiconsole0] quit退出后提示符[Eudemon]表25 FTP客戶端視圖項目解釋功能配置FTP客戶端的文件傳輸參數進入命令Eudemon ftp 進入后提示符[ftp]退出命令[ftp] bye或[ftp] quit退出后提示符Eudemon表26 RSA公共密鑰視圖項目解釋功能配置SSH應用中RSA公共密鑰的相關參數進入命令[Eudemon] rsa peerpublickey test進入后提示符[Eudemonrsapublickey]退出命令[Eudemonrsapublickey] peerpublickey end退出后提示符[Eudemon]表27 RSA公共密鑰編輯視圖項目解釋功能編輯SSH應用中RSA公共密鑰參數進入命令[Eudemonrsapublickey] publickeycode begin進入后提示符[Eudemonrsakeycode]退出命令[Eudemonrsakeycode] publickeycode end退出后提示符[Eudemonrsapublickey]2. 網絡互連相關視圖視圖結構關系如下圖所示： 圖216 網絡互連相關視圖關系各視圖的功能描述、進入命令、進入后提示符、退出命令、退出后提示符等信息如下表格列出：表28 基本接口視圖項目解釋功能配置基本接口（以太網接口、AUX接口、子接口、虛擬接口模板、Loopback接口、Null接口、隧道接口、邏輯通道接口等）的參數信息進入命令[Eudemon] interface ethernet 1/0/0上述舉例中ethernet參數還可以替換為aux、virtualtemplate、loopback、null、tunnel、logicchannel，不同參數對應的提示符號有所不同，此處不一一列舉進入后提示符[EudemonEtherne