tft每日頭條

 > 生活

 > h3c交換機telnet用戶設置

h3c交換機telnet用戶設置

生活 更新时间:2024-12-19 01:02:53

剛上架一台交換機時,一項最基本的配置就是telnet遠程登錄,以便通過遠程登錄方便地對交換機進行管理和操作,隻要配好Telnet服務,後續一些其它配置都可以直接通過遠程登錄來進行,而不必在現場進行,那今天就帶大家來熟悉一下華三交換機基本的Telnet配置吧。

Telnet協議

Telnet 協議是TCP/IP協議簇的一員,是Internet遠程登錄服務的标準協議和主要方式。它是屬于應用層的協議,采用客戶端/服務器模型,使用TCP 23号端口為用戶提供在本地主機上登錄遠程設備的服務。

步驟1、配置Telnet遠程登錄

1、本地PC連到交換機配置口

第一次配置交換機時,隻能能通過交換機的Console口進行本地配置,默認Console口登錄到命令行界面時沒有密碼且擁有全部權限。要連接到交換機,你隻需要在PC上裝好需要的超級終端軟件(SecureCRT或Xshell等),然後通過一條串口轉USB的線将PC連接到交換機的Console口上,然後設置好接口屬性即可建立連接,進入命令行後可以進行相關Telnet配置。

1)、連線

首先将PC連通過Console線連到交換機上,Console線一端接PC的串口或USB,另一端接交換機的Console口(RJ45接口的居多)。

2)、建立連接

在PC上通過終端軟件(如Xshell、SecureCRT等,這裡用的是Xshell)建立連接。首先打開Xshell,新建會話,選擇連接類型為串口(Serial),如下圖所示:

h3c交換機telnet用戶設置(H3C交換機Telnet遠程登錄配置)1

然後點擊左邊 Serial連接屬性,選擇使用端口号COM3(如果不知道自己使用的是哪個端口,可以在PC上打開設備管理器在端口中即可看到,一般均使用COM3),設置波特率為9600(大多數設備都是這個值),如下圖所示,都設置好後,點擊确定

h3c交換機telnet用戶設置(H3C交換機Telnet遠程登錄配置)2

h3c交換機telnet用戶設置(H3C交換機Telnet遠程登錄配置)3

确認好連接屬性後,會彈出會話框,在會話框裡選擇你剛剛新建的會話,然後點擊連接即可

h3c交換機telnet用戶設置(H3C交換機Telnet遠程登錄配置)4

如果設置沒問題的話,一般就可以直接進入交換機的操作系統如下,默認沒有認證密碼,可以直接進入命令行進行管理和配置,如果沒有進入命令行就要自己回頭檢查一下之前的配置有沒有問題或者交換機之前有沒有做過什麼訪問限制(必要的話可以重置交換機,如有些時候之前交換機命令行設置了密碼,現在已經無從考證,隻要簡單的重置就可以恢複默認狀态,進入時就不需要密碼了)。

h3c交換機telnet用戶設置(H3C交換機Telnet遠程登錄配置)5

2、配置接口管理IP

進入命令行後就可以進行相關配置了,要遠程訪問設備,首先要配置一個接口IP用來進行遠程連接,對于一般的二層接入交換機,不能像路由器一樣直接配置接口IP,隻能在虛拟VLAN接口上配一個管理IP,用來進行遠程登錄,在華三交換機上配置管理IP的命令可參考以下幾條命令,華三的操作系統為Comware,V表示設備的操作系統版本,目前主要的版本為V3、V5、V7三個,不同版本命令有所變動,注意區分,同時各命令需要在指定視圖下執行。

1)、新建管理VLAN(系統視圖)

V3/V5/V7:vlan <vlan-id>

2)、進入VLAN虛拟接口視圖(系統視圖)(如指定VLAN不存在需要新建)

V3/V5/V7:interface vlan-interface <vlan-id>

3)、為虛拟接口配置IP地址(VLAN虛拟接口視圖)

V3/V5/V7:ip address <ip-addr> <mask|mask-length>

注:V3版本中需要先将配置管理地址的VLAN設置為管理VLAN後,才能配置IP地址,否則會報錯,如下圖所示,其它版本則不用,V7版本中已經取消了這條命令。

V3版本中配置管理VLAN的命令如下(系統視圖):

management-vlan <vlan-id>

3、開啟Telnet服務器(系統視圖)

要使用Telnet服務,還要在系統視圖下開啟Telnet服務器服務,隻要在系統視圖下使用以下命令即可:

V5/V7:telnet server enable

注:V3版本版本中沒有此條命令,也不需要配置,telnet在配置好認證後默認啟用。

4、配置認證方式

配好管理IP之後,就要對登錄的用戶進行認證配置,以保證設備的安全性,具體配置驗證方式可以參考以下命令:

1)、進入虛拟終端視圖(系統視圖)

V3:user-interface vty <0-4>

V5:user-interface vty <0-15>

V7:user-interface vty <0-63>

配置驗證方式首先要進入VTY視圖下,這裡0 4表示允許0-4共5個用戶同時登錄,V5中最多允許16個用戶同時登錄,V7中最多允許64個。

2)、設置認證方式(虛拟終端視圖)

V3/V5/V7:authentication-mode [none|password|scheme]

然後要在 authentication-mode 裡設置認證方式,一般華三交換機為用戶登錄提供三種認證方式分别為none、password、scheme。其中none為無密碼認證,即不需要密碼就可登錄,實際中一般不用;password為通過密碼進行認證登錄,登錄時隻需正确輸入設置好的密碼就能進入命令行界面,相對安全一點;scheme為AAA認證,使用用戶名/密碼組合進行認證,是一種更安全的認證方式,但登錄時需要輸入對應的用戶名和密碼才能進入命令行界面,相對麻煩一點。

3)、設置密碼在配置文件中的顯示格式(虛拟終端視圖下)

V3:set authentication password [cipher|simple] <password>

V5:set authentication password [cipher|hash|simple] <password>

V7:set authentication password [hash|simple] <password>

接着要使用set authentication password設置密碼在配置文件中的顯示格式,V3/V5中提供了simple和cipher兩種加密類型,simple為以明文表示,不推薦,cipher為用密文表示,安全性較高;V7中則提供了simple和hash兩種表示方法,也是一種明文表示,一種加密表示,隻是算法不同,hash的安全性更高。

4)、設置登錄用戶權限等級(虛拟終端視圖下)

V3/V5:user privilege level <0-3>

V7:user-role level-<0-15>

最後要設置認證用戶的權限等級,不通權限可進行的操作不同,V3/V5中權限等級為0-3共四個等級,最高為3;V7中設置了0-15共16個權限等級,最高為15;一般給管理員設置的賬戶,設成為最高即可。

5)、配置VTY用戶界面支持的協議(虛拟終端視圖下)

V3/V5/V7:protocol inbound [ssh|telnet|all]

注:一般H3C交換機已經默認同時支持telnet和ssh協議,所以不需要再進行配置。

6)、其他可選配置(虛拟終端視圖下)

V3/V5/V7:

idle-timeout <0-35791> 用戶連接超時分鐘數

screen-length <0-512> 配置終端屏幕顯示行數

history-command max-size <0-256> 配置終端曆史命令緩存區大小

5、創建本地用戶

最後如果你選擇了schme認證方式,則需要創建至少一個本地用戶,并設置密碼和權限,具體配置可參考以下命令:

1)、創建本地用戶(系統視圖下)

V3/V5/V7:local-user <username>

2)、為本地用戶設置密碼并選擇加密類型(本地用戶視圖下)

V3:password [cipher|simple] <password>

V5:password [cipher|hash|simple] <password>

V7:password [hash|simple] <password>

3)、選擇本地用戶可以使用的服務([ ] 内為可選項)(本地用戶視圖下)

V3:service-type telnet [telnet|terminal|ftp|ssh|lan-access]

V5:service-type telnet [telnet|terminal|ftp|ssh| web|portal|lan-access]

V7:service-type telnet [telnet|terminal|ftp|ssh|http|https|pad]

這裡根據需要選擇telnet即可。

4)、設置超時登錄時間(本地用戶視圖下)

V3:attribute idle-cut <60-7200> (second)

V5/V7:authorization-attribute idle-cut <1-120> (minute)

5)、設置用戶的權限等級(本地用戶視圖下)

V3:level <0-3>

V5:authorization-attribute level 3 <0-3>

V7:authorization-attribute user-role level-<0-15>

步驟2、不同認證方式配置演示

下面就以一台H3C 5120(V5)對不同的認證方式做演示,以便大家熟悉一下實際的配置。

1、無密碼認證(none)

如果選擇了none驗證方法,無須配置密碼,隻要配置一下用戶權限,然後在全局開啟一下telnet服務器服務即可,當然實際盡量避免用這種驗證方法,安全性太低。配置如下:

[H3C 5120]interface vlan-interface 12X

[H3C 5120-Vlan-interface12X]ip address 10.100.X.83 255.255.255.0

[H3C 5120]user-interface vty 0 4

[H3C 5120-ui-vty0-4]authentication-mode <none>

[H3C 5120-ui-vty0-4]user privilege level 3

[H3C 5120-ui-vty0-4]quit

[H3C 5120]telnet server enable

h3c交換機telnet用戶設置(H3C交換機Telnet遠程登錄配置)6

h3c交換機telnet用戶設置(H3C交換機Telnet遠程登錄配置)7

配置好之後退出登錄,通過遠程PC訪問交換機可以看到,不需要密碼即可直接進入交換機CLI命令行,如下圖所示:

h3c交換機telnet用戶設置(H3C交換機Telnet遠程登錄配置)8

2、密碼認證(password)

如果選擇了密碼認證,則要配置一個登錄密碼,并選擇密碼加密方式,一般推薦密文加密cipher,其他版本還提供了hash算法等加密類型,可以提供相對較高的安全性。然後再配一下通過用戶界面登錄後的用戶級别即可。

配置如下:

[H3C 5120]interface vlan-interface 12X

[H3C 5120-Vlan-interface12X]ip address 10.100.X.83 255.255.255.0

[H3C 5120]user-interface vty 0 4

[H3C 5120-ui-vty0-4]authentication-mode password

[H3C 5120-ui-vty0-4]set authentication password cipher asdfgh

[H3C 5120-ui-vty0-4]user privilege level 3

[H3C 5120-ui-vty0-4]quit

[H3C 5120]telnet server enable

h3c交換機telnet用戶設置(H3C交換機Telnet遠程登錄配置)9

h3c交換機telnet用戶設置(H3C交換機Telnet遠程登錄配置)10

配置好之後退出登錄,通過遠程PC訪問交換機可以看到,要先輸入預設的密碼才可進入交換機CLI命令行,如下圖所示:

h3c交換機telnet用戶設置(H3C交換機Telnet遠程登錄配置)11

注:這裡輸入的密碼默認不會顯示出來。

注:配置了明文密碼,在配置文件中的密碼配置信息會以明文形式顯示;若配置了密文密碼,配置文件中的密碼配置信息會以密文形式顯示,若同時配置了明文密碼和密文密碼,隻有密文密碼會生效。

3、用戶名 密碼組合認證(scheme)

如果你選擇了scheme認證方法,則系統默認采用本地用戶數據庫中的用戶信息進行驗證,因此需要配置一個本地用戶,并設置其用戶名,登錄密碼和用戶級别,然後為本地用戶選擇服務類型,即Telnet,如果你創建的本地用戶登錄信也想用在其它認證,還可以選擇其它服務類型如terminal。

配置如下:

[H3C 5120]interface vlan-interface 12X

[H3C 5120-Vlan-interface12X]ip address 10.100.X.83 255.255.255.0

[H3C 5120]user-interface vty 0 4

[H3C 5120-ui-vty0-4]authentication-mode scheme

[H3C 5120-ui-vty0-4]set authentication password cipher asdfgh

[H3C 5120-ui-vty0-4]user privilege level 3

[H3C 5120-ui-vty0-4]quit

[H3C 5120]local-user admin

[H3C 5120-luser-admin]password cipher abcd

[H3C 5120-luser-admin]service-type telnet

[H3C 5120-luser-admin]authorization-attribute idle-cut 5

[H3C 5120-luser-admin]authorization-attribute level 3

[H3C 5120-luser-admin]quit

[H3C 5120]telnet server enable

h3c交換機telnet用戶設置(H3C交換機Telnet遠程登錄配置)12

配置好之後退出登錄,通過遠程PC訪問交換機,可以看到需要輸入本地用戶名和密碼,才能進入命令行,如下圖所示:

h3c交換機telnet用戶設置(H3C交換機Telnet遠程登錄配置)13

注:當本地用戶的用戶級别與其登錄時所用用戶界面中的用戶級别不同時,系統優先采用前者作為登錄後的實際用戶級别。

其他注意事項

1、簡單回顧一下配置telnet的流程(V5為例):

1)、通過Console線連接到交換機,進入命令行。

2)、為交換機配置管理IP:

interface vlan-interface <vlan-id>

ip address <ip-addr> <mask>

3)、在交換機上全局開啟Telnet服務器服務:

telnet server enable

4)、設置登錄認證方式:

user-interface vty <0-15>

authentication-mode [none|scheme|password]

set authentication password [cipher|simple] <password>

user privilege level <level>

5)、創建本地用戶(僅scheme認證方式需要)

local-user <user-name>

password [cipher|simple] <password>

authorization-attribute level <0-3>

service-type telnet

authorization-attribute idle-cut <60-7200>

2、華三交換機默認開啟了Web頁面登錄支持,Web頁面的登錄也使用Telnet協議,所以配置了Telnet之後,也可以通過Web頁面登錄交換機,直接在浏覽器地址欄輸入交換機管理IP地址,然後在登錄頁面使用相同的認證密碼即可訪問,如下圖所示,不過普通交換機一般使用命令行配置更為方便。

h3c交換機telnet用戶設置(H3C交換機Telnet遠程登錄配置)14

3、華三交換機操作系統版本不同,命令稍微有所區别,這裡隻列出了目前常見的三個版本的命令,如果有出入,大家可以自行通過幫助命令核準。

文章來源于網絡

,

更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!

查看全部

相关生活资讯推荐

热门生活资讯推荐

网友关注

Copyright 2023-2024 - www.tftnews.com All Rights Reserved