H3C交換機(jī)安全認(rèn)證問答

在使用telnet命令遠(yuǎn)程登錄管理H3C交換機(jī)后臺系統(tǒng)時，為什么系統(tǒng)會出現(xiàn)“l(fā)ogin password has not been set”這樣的錯誤提示？

這可能是用戶在進(jìn)行遠(yuǎn)程登錄操作之前，沒有通過console端口在交換機(jī)上配置合法用戶的登錄賬號和認(rèn)證口令，因?yàn)镠3C交換機(jī)后臺系統(tǒng)默認(rèn)要求telnet用戶，必須要進(jìn)行口令認(rèn)證。

請問如何在H3C S3050交換機(jī)上配置telnet登陸用戶名和密碼呢？

很簡單！首先在交換機(jī)后臺系統(tǒng)使用“systemview”命令，進(jìn)入系統(tǒng)視圖模式；在該模式狀態(tài)下，輸入“l(fā)ocal-user guest”命令，生成本地用戶賬號“xxx”，同時進(jìn)入本地用戶視圖。繼續(xù)執(zhí)行字符串命令“password simple yyy”，設(shè)置“xxx”用戶的認(rèn)證口令為明文方式，口令內(nèi)容為“yyy”。之后，使用“service-type telnet level 2”命令，設(shè)置VTY用戶的服務(wù)類型為Telnet，且命令級別為“2”級。下面返回系統(tǒng)視圖模式狀態(tài)，輸入字符串命令“user-interface vty 0”進(jìn)入VTY0用戶界面視圖，在該視圖下使用“authentication-mode scheme”命令，設(shè)置通過VTY0端口登錄交換機(jī)的telnet用戶進(jìn)行Scheme認(rèn)證。最后，執(zhí)行“protocol inbound telnet”命令，設(shè)置VTY0用戶界面支持telnet協(xié)議。

為了避免未授權(quán)用戶惡意登錄交換機(jī)后臺系統(tǒng)，H3C系列交換機(jī)的命令行采用分級保護(hù)方式，請問該命令行主要劃分有哪些等級，不同等級各有什么特點(diǎn)？

主要劃分有參觀級、監(jiān)控級、配置級、管理級這4個級別，其中參觀級別命令不允許進(jìn)行配置文件保存的

與命令行級別相對應(yīng)，H3C系列交換機(jī)將登錄用戶也劃分成4 個級別，不同級別用戶登錄交換機(jī)后臺系統(tǒng)時，只能使用等于或低于自己級別的命令。請問登錄用戶的4 個級別主要指的是哪些級別？

主要指的是0、1、2、3 這幾操作，具體可以使用的命令包括tracert、ping、telnet、language-mode等 等。 監(jiān)控級命令主要用于網(wǎng)絡(luò)故障診斷、系統(tǒng)維護(hù)等，它也不允許進(jìn)行配置文件保存的操作，具體可以使用的命令包括 debugging、display等。配置級命令主要用于向用戶提供直接網(wǎng)絡(luò)服務(wù)，它可以使用的命令包括業(yè)務(wù)配置命令，路由、各個網(wǎng)絡(luò)層次的命令。管理級命令行關(guān)系到系統(tǒng)基本運(yùn)行，系統(tǒng)支撐模塊的命令，這些命令對業(yè)務(wù)提供支撐作用，包括文件系統(tǒng)、FTP、TFTP、XModem 下載、用戶管理命令、級別設(shè)置命令等。個級別，其中0級用戶對應(yīng)參觀級，1級用戶對應(yīng)監(jiān)控級，2級用戶對應(yīng)配置級，3級用戶對應(yīng)管理級。當(dāng)需要對交換機(jī)進(jìn)行配置時，只有使用具有相應(yīng)級別的用戶登錄，才能進(jìn)行正確配置。為了避免未授權(quán)用戶的非法攻擊，登錄用戶一般可以使用“super”命令從低級別切換到高級別進(jìn)行管理配置操作。

大家知道，H3C交換機(jī)的super命令設(shè)置的口令，主要用于低級別用戶向高級別用戶切換時進(jìn)行身份驗(yàn)證。請問這種命令主要支持哪些形式的口令配置？

主要支持明文和暗文方式的兩種配置，其中通過“super password cipher ****”命令，設(shè)置暗文登錄口令內(nèi)容，使用“super password simple****”命令，設(shè)置明文登錄口令內(nèi)容。

在對H3C交換機(jī)配置時，可以使用哪些登錄連接方式？

可以使用telnet登錄連接方式、console登錄連接方式、web登錄連接方式，其中第一種方式需要在userinterface vty 0 4模式下配置authentication-mode，第二種方式需要在userinterface aux 0模式下配置authentication-mode，第三種方式需要開啟web管理服務(wù)，同時要有l(wèi)ocal-user配置的用戶名和密碼。

請問802.1x協(xié)議在H3C交換端口上支持哪些安全認(rèn)證控制模式？

支持三種安全認(rèn)證模式，它們分別為：一是Authorized-Force模式，也叫常開模式，在該模式下交換端口始終保持認(rèn)證狀態(tài)，即客戶端系統(tǒng)從這個交換端口接入局域網(wǎng)，肯定能正常連接上網(wǎng)，無論客戶端系統(tǒng)有沒有通過認(rèn)證；二是Unauthorized-Force模式，也叫常關(guān)模式，在該模式下交換端口始終保持非認(rèn)證狀態(tài)，即客戶端系統(tǒng)嘗試從這個交換端口接入局域網(wǎng)時，無論它有沒有通過認(rèn)證，都是上不了網(wǎng)的；三是Auto模式，也叫協(xié)議控制模式，在該模式下交換端口是開還是關(guān)完全取決于認(rèn)證是否通過，要是客戶端系統(tǒng)能順利通過認(rèn)證，那么它就能接入上網(wǎng)，不然的話將無法上網(wǎng)。

有時，管理員會通過Modem進(jìn)行撥號登錄交換機(jī)。為了保證撥號登錄順利，往往先要通過Console端口在交換機(jī)上配置好Modem用戶的認(rèn)證名和密碼。請問在H3C S3050交換機(jī)后臺系統(tǒng)中，如何進(jìn)行這種配置操作？

首先在交換機(jī)后臺系統(tǒng)使 用“system-view”命令，進(jìn)入系統(tǒng)視圖模式；在該模式狀態(tài)下，輸入“user-interface aux0”字符串命令，切換進(jìn)入Modem用戶視圖。 繼續(xù)執(zhí)行字符串命“set authentication password simple ***”， 將Modem用戶的登錄口令設(shè)置成“***”。完成這種配置操作后，管理員日后在終端計(jì)算機(jī)的串口和交換機(jī)的AUX口依次連接Modem，再使用終端仿真程序開始向交換機(jī)撥號，與交換機(jī)建立撥號登錄連接。同樣地，Modem用戶默認(rèn)的訪問命令級別為0級。

請問在H3C Quidway交換機(jī)后臺系統(tǒng)中，如何針對特定交換端口，配置其在802.1x協(xié)議下的安全認(rèn)證控制模式？

只要先進(jìn)入交換機(jī)后臺系統(tǒng)，使用“system-view”命令，進(jìn)入系統(tǒng)全局視圖模式狀態(tài)，在該狀態(tài)下輸入“dot1x port-control TYPE”字符串命令，這里的“TYPE”為具體的模式類型，該參數(shù)可以為“Authorized-Force”模式，可以 為“Unauthorized-Force”模式，也可以為“Auto”模式，這樣所有交換端口都按指定模式進(jìn)行認(rèn)證控制。如果只想設(shè)置某個交換端口的認(rèn)證控制模式時，只要執(zhí)行字符串命令“dot1x port-control TYPE interface xx”即可，其中“xx”指定交換端口號碼；當(dāng)然，進(jìn)行這種配置操作時，也可以先使用“interface xx”命令切換到指定端口視圖模式狀態(tài)，再執(zhí)行“dot1x port-control TYPE”命令。

作為一種基于端口的網(wǎng)絡(luò)接入認(rèn)證協(xié)議，IEEE 802.1x協(xié)議屬于二層協(xié)議，不需要到達(dá)三層，對交換機(jī)的整體運(yùn)行性能要求不高，能夠有效降低建網(wǎng)成本。請問該協(xié)議作為局域網(wǎng)用戶接入認(rèn)證的標(biāo)準(zhǔn)協(xié)議，在安全認(rèn)證方面主要有哪些功能？

它具有完備的用戶認(rèn)證、管理功能，除了定義了基于端口的安全控制協(xié)議外，還定義了接入設(shè)備和接入端口間點(diǎn)到點(diǎn)這一種連接方式。該協(xié)議規(guī)定的端口，除了是物理端口，也能是邏輯端口，其中的物理端口基本都是交換機(jī)下連接每一個用戶客戶機(jī)的物理端口，邏輯端口可以是IEEE 802.11協(xié)議規(guī)定的無線LAN接入端口。

該協(xié)議系統(tǒng)是典型的客戶端/服務(wù)端體系結(jié)構(gòu)，一般包括認(rèn)證服務(wù)器系統(tǒng)、認(rèn)證系統(tǒng)、接入系統(tǒng)這三個實(shí)體，局域網(wǎng)接入控制設(shè)備需要支持認(rèn)證系統(tǒng)，用戶設(shè)備需要支持接入系統(tǒng)；整個系統(tǒng)通過可控端口和不可控端口的邏輯功能，實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由Radius服務(wù)器和以太網(wǎng)交換機(jī)利用不可控的邏輯端口共同完成對用戶的認(rèn)證與控制，業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過可控端口進(jìn)行交換。

在H3C交換機(jī)中，802.1x協(xié)議既支持規(guī)定端口接入認(rèn)證方式，又能對認(rèn)證功能進(jìn)行優(yōu)化、擴(kuò)展，它允許接入控制方式除了基于交換端口，還能基于MAC地址，它還允許一個物理端口下可以下掛若干個用戶的應(yīng)用環(huán)境，合理使用802.1x協(xié)議認(rèn)證機(jī)制，能夠有效地改善網(wǎng)絡(luò)接入安全性和可管理性。

默認(rèn)狀態(tài)下，從vty用戶界面登錄交換機(jī)后臺系統(tǒng)后，能夠使用的訪問命令級別為0級。如果想調(diào)整用戶的訪問命令級別，該怎么進(jìn)行操作？

很簡單！可以使用“user privilege level XX”命令，來進(jìn)行按需調(diào)整，這里的“XX”為具體的訪問命令級別。

當(dāng)管理員成功通過身份認(rèn)證環(huán)節(jié)，進(jìn)入用戶界面視圖狀態(tài)后，如果有急事臨時離開交換機(jī)現(xiàn)場時，有沒有辦法鎖住用戶界面，防止其他用戶趁虛而入？

當(dāng)然有辦法！可以使用“l(fā)ock”命令，來將用戶界面臨時鎖定住。當(dāng)有其他用戶嘗試進(jìn)入時，交換機(jī)后臺系統(tǒng)會提示輸入密碼。

請問從交換機(jī)Console端口連接登錄交換機(jī)后臺系統(tǒng)時，是否需要進(jìn)行身份認(rèn)證？

這種連接登錄方式不需要進(jìn)行身份認(rèn)證。

在用戶登錄交換機(jī)后臺系統(tǒng)時，其所能使用的命令級別，究竟取決于從用戶界面登錄后可以訪問的命令級別，還是取決于用戶自身可以訪問的命令級別？

一般來說，這兩種命令級別往往會保持一致。要是兩者不相同時，那應(yīng)該以用戶自身能夠訪問的命令級別為準(zhǔn)。比方說，某用戶自身可以使用的命令級別為2級，而從Console用戶界面成功登錄交換機(jī)后臺系統(tǒng)后，所能使用的命令級別為3級，那么該用戶最終獲得的命令級別只能是2級。

在實(shí)現(xiàn)802.1x協(xié)議認(rèn)證時，H3C系列交換機(jī)主要支持哪幾種端口接入認(rèn)證方式？

一種是基于MAC地址進(jìn)行認(rèn)證，該認(rèn)證接入方式對一個端口下掛的所有用戶來說，他們當(dāng)中的每一個用戶都要通過認(rèn)證，才能正常上網(wǎng)；另外一種是基于交換端口進(jìn)行認(rèn)證，該認(rèn)證接入方式對一個端口下掛的所有用戶來說，他們當(dāng)中只要有一個用戶通過認(rèn)證，其他人就都能正常上網(wǎng)了。默認(rèn)狀態(tài)下，802.1x協(xié)議會將端口接入控制方式設(shè)置為“macbased”，也就是說，將端口接入認(rèn)證方式設(shè)置為基于MAC地址進(jìn)行認(rèn)證。

如果希望通過802.1x協(xié)議的認(rèn)證功能，控制H3C交換端口的接入安全，一定先要在交換機(jī)后臺系統(tǒng)中啟用802.1x認(rèn)證功能。請問如何在H3C系列交換機(jī)后臺系統(tǒng)中，針對特定交換端口啟用這項(xiàng)功能呢？

這項(xiàng)功能可以先在系統(tǒng)全局模式狀態(tài)下開啟，因?yàn)槿绻帜Ｊ较碌?02.1x認(rèn)證功能沒有啟用，那么指定交換端口即使啟用了這項(xiàng)功能，該功能也不會在指定端口上發(fā)揮作用，H3C交換機(jī)后臺系統(tǒng)默認(rèn)沒有開啟全局或端口的802.1x認(rèn)證功能。

在開啟該功能時，先以系統(tǒng)管理員權(quán)限登錄交換機(jī)后臺系統(tǒng)，輸入“system-view”命令，進(jìn)入系統(tǒng)全局系統(tǒng)模式狀態(tài)，在該狀態(tài)下執(zhí)行字符串命令“dot1x”，那么全局的802.1x認(rèn)證功能就被成功開啟了。如果希望在指定交換端口上開啟這項(xiàng)功能時，可以在全局系統(tǒng)模式狀態(tài)下使用“interface”命令，切換到指定交換端口視圖，在對應(yīng)端口視圖模式下執(zhí)行“dot1x”字符串命令即可。比方說，要開啟e0/1端口的802.1x認(rèn)證功能時，可以在交換機(jī)后臺系統(tǒng)依次輸入“system-view”、“interface e0/1”、“dot1x”命令，就能實(shí)現(xiàn)啟用目的，當(dāng)然，也可以直接在系統(tǒng)全局模式狀態(tài)下，直接執(zhí)行“dot1x interface e0/1”命令，開 啟e0/1端口的認(rèn)證功能。如果想取消全局或指定端口的802.1x認(rèn)證功能時，可以在系統(tǒng)全局模式狀態(tài)下執(zhí)行“undo dot1x”命令或執(zhí)行“undo dot1x interface xx”命令，其中“xx”為指定交換端口號碼。

請問802.1x協(xié)議為登錄用戶提供了哪幾種身份認(rèn)證方法？

主要有三種認(rèn)證方法：一是EAP認(rèn)證方法，該方法是一種基于遠(yuǎn)程認(rèn)證的方法，它將認(rèn)證信息以EAP數(shù)據(jù)報(bào)文的形式發(fā)送給RADIUS服務(wù)器，認(rèn)證過程也相對復(fù)雜，它需要RADIUS服務(wù)器支持EAP認(rèn)證。二是PAP認(rèn)證方法，該方法使用明文格式發(fā)送用戶名和密碼，認(rèn)證過程很簡單，使用二次握手機(jī)制，它需要RADIUS服務(wù)器支持PAP認(rèn)證。三是CHAP認(rèn)證方法，該方法使用密文格式發(fā)送CHAP認(rèn)證信息，認(rèn)證過程比較復(fù)雜，使用三次握手機(jī)制，它需要RADIUS服務(wù)器支持CHAP認(rèn)證。

在部署有DHCP服務(wù)器的網(wǎng)絡(luò)環(huán)境中，如果接入用戶自由配置使用靜態(tài)IP地址，那802.1x協(xié)議是否允許接入交換機(jī)對這些用戶進(jìn)行安全認(rèn)證呢？

802.1x協(xié)議缺省要求接入交換機(jī)對這些用戶進(jìn)行安全認(rèn)證，確保網(wǎng)絡(luò)接入安全。實(shí)際上，在一些安全的網(wǎng)絡(luò)環(huán)境中，使用靜態(tài)IP地址的網(wǎng)絡(luò)設(shè)備或服務(wù)器系統(tǒng)，基本都是網(wǎng)絡(luò)中十分重要的設(shè)備或系統(tǒng)，要是不斷對其進(jìn)行安全認(rèn)證，反而會降低它們的運(yùn)行效率。所以，網(wǎng)管員有時需要對交換機(jī)是否允許DHCP觸發(fā)認(rèn)證進(jìn)行配置，以保證網(wǎng)絡(luò)運(yùn)行穩(wěn)定又安全。

為了保證網(wǎng)絡(luò)運(yùn)行穩(wěn)定，筆者想在H3C系列交換機(jī)中配置啟用DHCP觸發(fā)認(rèn)證功能，請問該怎么進(jìn)行操作？

先進(jìn)入交換機(jī)后臺系統(tǒng)全局視圖模式，在該模式下輸入“dot1x dhcp-launch”字符串命令后，交換機(jī)將不觸發(fā)對私自配置靜態(tài)IP地址的用戶進(jìn)行身份認(rèn)證，要想觸發(fā)對私自配置靜態(tài)IP地址的用戶進(jìn)行身份認(rèn)證時，只要輸入“undo dot1x dhcp-launch”字符串命令即可。

為了避免惡意用戶杜撰虛假VRRP報(bào)文，來蒙蔽備份組中的主備交換機(jī)之間不停地切換，引起上網(wǎng)頻繁掉線，網(wǎng)管員往往會加強(qiáng)交換機(jī)VRRP報(bào)文安全認(rèn)證，來過濾虛假VRRP報(bào)文。請問在H3C S8500系列交換機(jī)中，如何配置VRRP報(bào)文的認(rèn)證方式和認(rèn)證密碼？

可以先進(jìn)入備份組的Vlan接口視圖模式，使用“vrrp authentication-mode Simple***”或“vrrp authenticationmode MD5 ***”命令，來設(shè)置合適的認(rèn)證方式，同時將認(rèn)證加密內(nèi)容設(shè)置為“***”，密碼長度可以不超過8個字符，同時密碼內(nèi)容會區(qū)分大小寫。當(dāng)配置好VRRP安全認(rèn)證方式后，可以進(jìn)入指定的Vlan接口視圖模式，來查看對應(yīng)的配置是否正確。

比方說，在查看VLAN2接口的認(rèn)證方式是否配置正確時，只要在交換機(jī)后臺系統(tǒng)的全局模式下，輸入“display vrrp interface vlan2”命令，按回車鍵后，就能從結(jié)果界面中，看到目標(biāo)Vlan接口使用了MD5加密認(rèn)證方式。當(dāng)然，日后一旦不想對VRRP報(bào)文進(jìn)行安全認(rèn)證時，可以使用“undo vrrp authenticationmode”字符串命令來取消交換機(jī)的認(rèn)證功能。

H3C系列交換機(jī)VRRP報(bào)文認(rèn)證配置方式有Simple、MD5這兩種，請問它們各有什么特點(diǎn)？

當(dāng)配置了Simple安全認(rèn)證方式后，備份組中的交換機(jī)在相互發(fā)送VRRP報(bào)文時，就能自動將認(rèn)證密碼集成到VRRP報(bào)文中，其他交換機(jī)接受到含有認(rèn)證密碼的VRRP報(bào)文后，會自動執(zhí)行比對操作，看看本地交換機(jī)的密碼與接收到的報(bào)文認(rèn)證密碼是否相同，如果相同的話，那么本地交換機(jī)就會正式接收對方發(fā)送過來的VRRP報(bào)文，如果比對不相同的話，會認(rèn)為發(fā)送過來的VRRP報(bào)文是惡意用戶杜撰的，于是就會自動將它過濾掉，在這種情形下，網(wǎng)管員必須將認(rèn)證密碼字符長度控制在8個字符以內(nèi)。

當(dāng)配置了MD5方式時，交換機(jī)后臺系統(tǒng)不會采用明文方式傳送密碼，而是通過MD5加密算法來加密認(rèn)證VRRP報(bào)文，在這種情形下，網(wǎng)管員也可以將認(rèn)證密碼字符長度控制在8個字符以內(nèi)。對于那些沒有通過MD5加密認(rèn)證的VRRP報(bào)文，交換機(jī)會認(rèn)為它們是虛假的數(shù)據(jù)報(bào)文，于是會自動將它丟棄，同時會發(fā)送Trap數(shù)據(jù)報(bào)文給網(wǎng)管員。

請問如何在H3C系列交換機(jī)后臺系統(tǒng)中，為特定用戶配置合適的安全認(rèn)證方法？

在H3C系列交換機(jī)后臺系統(tǒng)的全局系統(tǒng)視圖模式下，系統(tǒng)默認(rèn)會將用戶認(rèn)證方法配置為CHAP認(rèn)證，網(wǎng)管員可以根據(jù)實(shí)際情況，按需配置選用合適的用戶認(rèn)證方法。比方說，在相對安全的網(wǎng)絡(luò)工作環(huán)境，網(wǎng)管員可以將用戶認(rèn)證方法配置為PAP認(rèn)證，以提高認(rèn)證接入效率；在進(jìn)行這種配置操作時，不妨先切換到交換機(jī)全局系統(tǒng)視圖模式狀態(tài)，在該狀態(tài)下輸入“dotx1 authenticationmethod pap”字符串命令即可。以后，想將交換機(jī)的用戶認(rèn)證方法恢復(fù)為缺省配置時，只要輸入“undo dotx1 authentication-method pap”字符串命令即可。

要查看H3C系列交換機(jī)在當(dāng)前狀態(tài)下，使用了什么類型的用戶認(rèn)證方法時，只要在系統(tǒng)視圖模式狀態(tài)下，輸入“display dot1x”字符串命令，從返回的結(jié)果信息中，就能看到具體的認(rèn)證方法了。

為確保高效進(jìn)行安全認(rèn)證接入，802.1x協(xié)議認(rèn)證功能允許對交換機(jī)的認(rèn)證請求數(shù)據(jù)幀最大可重復(fù)次數(shù)進(jìn)行控制，H3C系列交換機(jī)默認(rèn)最多允許向接入用戶發(fā)送3次重復(fù)認(rèn)證請求數(shù)據(jù)幀。請問有沒有辦法修改該數(shù)值？

答案是肯定的！只要將交換機(jī)后臺系統(tǒng)切換到全局視圖模式狀態(tài)，在該狀態(tài)下輸入“dot1x retry XXX”字符串命令即可，這里的“XXX”為最大可重復(fù)次數(shù)。值得注意的是，該數(shù)值也不能設(shè)置得太大，以免影響網(wǎng)絡(luò)傳輸性能。當(dāng)想將該參數(shù)重新還原為默認(rèn)數(shù)值時，只要在全局視圖模式下，輸入“undo dotx1 retry”字符串命令即可。

H3C系列交換機(jī)最多允許2048個用戶接入，但在特定場合下，如果同時允許太多用戶接入，反而會影響交換機(jī)的接入穩(wěn)定性，請問如何配置802.1x協(xié)議認(rèn)證功能，以便對指定交換端口上的用戶接入數(shù)量進(jìn)行控制？

這種控制操作可以在系統(tǒng)全局模式下進(jìn)行，也可以在指定端口下進(jìn)行，要是在全局狀態(tài)下沒有指定任何交換端口時，就表示將所有交換端口的接入用戶數(shù)量都設(shè)置成相同的數(shù)值。比方說，要將交換機(jī)所有端口的最大接入用戶量設(shè)置為“500”時，可以先在交換機(jī)后臺系統(tǒng)中，通過“systemview”命令切換進(jìn)入系統(tǒng)全局視圖模式狀態(tài)，在該狀態(tài)下執(zhí)行字符串命令“dot1x maxuser 500”即可；如果只希望將e0/1端口的最大接入用戶量設(shè)置為“500”時，可以在系統(tǒng)全局視圖模式狀態(tài)下，先執(zhí)行“interface e0/1”命令，切換到指定交換端口視圖模式狀態(tài)，再執(zhí)行“dot1x max-user 500”命令即可，當(dāng)然，也可以直接在全局視圖模式狀態(tài)下，直接執(zhí)行字符串命令“dot1x max-user 500 interface e0/1”。要想將所有或指定端口的最大用戶接入數(shù)量恢復(fù)為默認(rèn)值時，可以在系統(tǒng)全局模式狀態(tài)下執(zhí)行“undo dot1x max-user”命令或執(zhí)行“undo dot1x max-user interface xx”命令，其中“xx”為指定交換端口號碼。

在組網(wǎng)結(jié)構(gòu)十分復(fù)雜的網(wǎng)絡(luò)環(huán)境中，同時網(wǎng)絡(luò)中所設(shè)備時鐘十分重要，為了達(dá)到這個目的，可以配置交換機(jī)的NTP協(xié)議，來實(shí)現(xiàn)整個網(wǎng)絡(luò)內(nèi)的時間同步。但為了預(yù)防偽造的NTP廣播消息包，在配置NTP協(xié)議時，一定要強(qiáng)化對NTP身份認(rèn)證。請問如何在H3C系列交換機(jī)中開啟NTP身份認(rèn)證功能？

只要在交換機(jī)后臺系統(tǒng)全局視圖下，輸入“ntp-service authentication enable”字 符串命令即可。在啟用了這項(xiàng)功能后，還需要設(shè)置可信任的驗(yàn)證密鑰，才能確保安全認(rèn)證功能正常發(fā)揮作用。在系統(tǒng)視圖模式下，輸入“ntpservice authentication-keyid XXX authentication-mode md5 YYY”字符串命令，這里的“XXX”為可信任的密鑰編號，它的取值范圍為“1-4294967295”，“YYY”為 具 體的密鑰內(nèi)容，該內(nèi)容為1-32個ASCII碼字符，按回車鍵后，MD5身份驗(yàn)證密鑰就配置好了。之后，再執(zhí)行“ntp-service reliable authentication-keyid XXX”命令，來指定剛才配置的密鑰編號是可信任的密鑰，這樣，日后客戶端就能同步到可信任密鑰的服務(wù)器上了。