華為交換機配置telnet認證?在用網絡設備的控制口進行基本的網絡配置後,為了方便管理員進行遠程管理和維護,需要配置telnet、Stelnet、HTTP或http功能不同廠商的設備,配置方式不盡相同,下面以華為eNSP模拟進行模拟實驗,回顧一下Telnet的配置方式,今天小編就來聊一聊關于華為交換機配置telnet認證?接下來我們就一起去研究一下吧!
在用網絡設備的控制口進行基本的網絡配置後,為了方便管理員進行遠程管理和維護,需要配置telnet、Stelnet、HTTP或http功能。不同廠商的設備,配置方式不盡相同,下面以華為eNSP模拟進行模拟實驗,回顧一下Telnet的配置方式。
拓撲如圖1所示:
圖1
本次實驗模拟某小型單位的網絡場景,SW1、R1分别是單位機房的主交換機和路由器,管理員可以在辦公區用PC通過telnet對其進行遠程管理。
本次實驗假設已配置SW1、R1的IP地址,PC可以ping通SW1和R1。
eNSP中的PC未提供 telnet 這個客戶端命令,不過很多網絡設備既有telnet服務器功能,又有telnet客戶端功能,因此本實驗用SW1來模拟telnet登錄。
方式一:通過配置密碼驗證方式進行telnet登錄
該方式比較簡潔,能夠快速配置。以配置R1為例,在系統視圖下輸入命令:
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode password
[R1-ui-vty0-4]set authentication password cipher huawei
[R1-ui-vty0-4]user privilege level 3
命令說明:
1、telnet需要配置VTY用戶界面(Virtual Type Terminal的縮寫,即虛拟類型終端,它是一種虛拟線路端口,通過網絡連接建立虛拟通道實現,并可建立多條VTY虛拟通道),因此需要輸入user-interface vty 0 4,其中0 4代表同時配置0到4号共5個通道。
2、VTY默認的驗證方式是none,輸入authentication-mode password更改驗證方式,其中的password是指密碼驗證。
3、使用set authentication password cipher huawei設置密碼,其中的cipher是加密密碼的意思,後面的huawei既是設置的密碼。
4、VTY默認的命令訪問級别是0,僅具有浏覽權限無法進行維護、配置、管理等操作,這裡用user privilege level 3命令提升了級别,其中的3代表管理級)。
注:
1、路由器的telnet服務默認是開啟的,因此不用專門輸入telnet server enable。
2、在系統視圖下可用telnet server port xxxx命令改變telnet服務器的監聽端口(Telnet的默認端口為23),其中xxxx就是我們想改為的端口号。
3、有些華為的交換機或路由器默認同時登錄VTY最大用戶數為5,可在系統視圖下用user-interface maximum-vty 7增加VTY同時在線的最大用戶數,此處示例命令中為7,增加了3個。
在SW1中用telnet進行登錄R1,如圖2,輸入密碼後即登錄成功。
圖2
方式二:通過配置aaa驗證方式進行Telnet登錄
[R1]aaa
[R1-aaa]local-user admin password cipher huawei
[R1-aaa]local-user admin privilege level 3
[R1-aaa]local-user admin service-type telnet
[R1-aaa]quit
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa
命令說明:
1、在系統配置模式下輸入aaa進入AAA視圖,以便可以建立登錄用的用戶名和密碼。
2、local-user admin password cipher huawei,則是具體用于配置用戶名和密碼的命令,其中的admin即為新建立的用戶名,huawei則是設置的密碼。
3、local-user admin service-type telnet,則是将上面建立的用戶admin用于telnet登錄。
4、再在vty視圖中,用authentication-mode aaa,将telnet的驗證方式設置為AAA。
在SW1中用telnet進行登錄R1,如圖3,此時就既要輸入用戶名,也要輸入密碼才能登錄成功。
圖3
附加安全性配置
可以配置ACL策略控制通過telnet訪問R1的用戶,同時控制登錄後多久無操作會自動斷開,以及允許進入的協議。
[R1]acl 2000
[R1-acl-basic-2000]rule 1 permit source 192.168.56.2 0
[R1-acl-basic-2000]quit
[R1]user-interface vty 0 4
[R1-ui-vty0-4]acl 2000 inbound
[R1-ui-vty0-4]idle-timeout 5
[R1-ui-vty0-4]protocol inbound telnet
命令說明:
1、acl 2000是進入基本訪問表配置模式,其中2000的編号代表基本訪問表(基本訪問表的編号範圍2000~2999),能夠對源IP地址、分片标記和時間信息進行控制。
2、增加訪問表的規則,rule後的數字為規則的編号,permit是允許的意思,後面是源IP 192.168.56.2,此處最後的0為反轉子網掩碼。
3、再在vty視圖中,用acl 2000 inbound在進入方向啟用訪問表。
4、idle-timeout 5指定登錄vty空閑5分鐘會自動斷開,放置管理人員臨時離開較久但沒及時退出時,其他人進行操作。
5、protocol inbound telnet則是限制進入vty協議隻能是telnet。
查看telnet服務狀态和端口
<R1>display telnet server status
輸入命令後顯示如圖4
圖4
查看telnet登錄的用戶信息
<R1>display tcp status
輸入命令後顯示如圖5
圖5
<R1>dis users
輸入命令後顯示如圖6
圖6
<R1>display local-user
輸入命令後顯示如圖7
圖7
查看vty用戶界面信息
<R1>display user-interface vty 0
輸入命令後顯示如圖8
圖8
強行斷開其他用戶的登錄連接
下面的命令是中斷登錄到vty 1的用戶,其中vty編号可以用上面的dis users等命令查詢。
<R1>kill user-interface vty 1
其他vty配置命令
如最大曆史命令緩沖數、屏幕顯示的行數和字符列數,一般可不用配置。
[R1-ui-vty0-4]history-command max-size 20
[R1-ui-vty0-4]screen-length 20
[R1-ui-vty0-4]screen-width 100
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!