刚上架一台交换机时,一项最基本的配置就是Telnet远程登录,以便通过远程登录方便地对交换机进行管理和操作,只要配好Telnet服务,后续一些其它配置都可以直接通过远程登录来进行,而不必在现场进行,那今天就带大家来熟悉一下华三交换机基本的Telnet配置吧。
Telnet协议
Telnet 协议是TCP/IP协议簇的一员,是Internet远程登录服务的标准协议和主要方式。它是属于应用层的协议,采用客户端/服务器模型,使用TCP 23号端口为用户提供在本地主机上登录远程设备的服务。
1、本地PC连到交换机配置口
第一次配置交换机时,只能能通过交换机的Console口进行本地配置,默认Console口登录到命令行界面时没有密码且拥有全部权限。要连接到交换机,你只需要在PC上装好需要的超级终端软件(SecureCRT或Xshell等),然后通过一条串口转USB的线将PC连接到交换机的Console口上,然后设置好接口属性即可建立连接,进入命令行后可以进行相关Telnet配置。
1)、连线
首先将PC连通过Console线连到交换机上,Console线一端接PC的串口或USB,另一端接交换机的Console口(RJ45接口的居多)。
2)、建立连接
在PC上通过终端软件(如Xshell、SecureCRT等,这里用的是Xshell)建立连接。首先打开Xshell,新建会话,选择连接类型为串口(Serial),如下图所示:
然后点击左边 Serial连接属性,选择使用端口号COM3(如果不知道自己使用的是哪个端口,可以在PC上打开设备管理器在端口中即可看到,一般均使用COM3),设置波特率为9600(大多数设备都是这个值),如下图所示,都设置好后,点击确定:
确认好连接属性后,会弹出会话框,在会话框里选择你刚刚新建的会话,然后点击连接即可
如果设置没问题的话,一般就可以直接进入交换机的操作系统如下,默认没有认证密码,可以直接进入命令行进行管理和配置,如果没有进入命令行就要自己回头检查一下之前的配置有没有问题或者交换机之前有没有做过什么访问限制(必要的话可以重置交换机,如有些时候之前交换机命令行设置了密码,现在已经无从考证,只要简单的重置就可以恢复默认状态,进入时就不需要密码了)。
2、配置接口管理IP
进入命令行后就可以进行相关配置了,要远程访问设备,首先要配置一个接口IP用来进行远程连接,对于一般的二层接入交换机,不能像路由器一样直接配置接口IP,只能在虚拟VLAN接口上配一个管理IP,用来进行远程登录,在华三交换机上配置管理IP的命令可参考以下几条命令,华三的操作系统为Comware,V表示设备的操作系统版本,目前主要的版本为V3、V5、V7三个,不同版本命令有所变动,注意区分,同时各命令需要在指定视图下执行。
1)、新建管理VLAN(系统视图)
V3/V5/V7:vlan
2)、进入VLAN虚拟接口视图(系统视图)(如指定VLAN不存在需要新建)
V3/V5/V7:interface vlan-interface
3)、为虚拟接口配置IP地址(VLAN虚拟接口视图)
V3/V5/V7:ip address
注:V3版本中需要先将配置管理地址的VLAN设置为管理VLAN后,才能配置IP地址,否则会报错,如下图所示,其它版本则不用,V7版本中已经取消了这条命令。
V3版本中配置管理VLAN的命令如下(系统视图):
management-vlan
3、开启Telnet服务器(系统视图)
要使用Telnet服务,还要在系统视图下开启Telnet服务器服务,只要在系统视图下使用以下命令即可:
V5/V7:telnet server enable
注:V3版本版本中没有此条命令,也不需要配置,telnet在配置好认证后默认启用。
4、配置认证方式
配好管理IP之后,就要对登录的用户进行认证配置,以保证设备的安全性,具体配置验证方式可以参考以下命令:
1)、进入虚拟终端视图(系统视图)
V3:user-interface vty <0-4>
V5:user-interface vty <0-15>
V7:user-interface vty <0-63>
配置验证方式首先要进入VTY视图下,这里0 4表示允许0-4共5个用户同时登录,V5中最多允许16个用户同时登录,V7中最多允许64个。
2)、设置认证方式(虚拟终端视图)
V3/V5/V7:authentication-mode [none password scheme]
然后要在 authentication-mode 里设置认证方式,一般华三交换机为用户登录提供三种认证方式分别为none、password、scheme。其中none为无密码认证,即不需要密码就可登录,实际中一般不用;password为通过密码进行认证登录,登录时只需正确输入设置好的密码就能进入命令行界面,相对安全一点;scheme为AAA认证,使用用户名/密码组合进行认证,是一种更安全的认证方式,但登录时需要输入对应的用户名和密码才能进入命令行界面,相对麻烦一点。
3)、设置密码在配置文件中的显示格式(虚拟终端视图下)
V3:set authentication password [cipher simple]
V5:set authentication password [cipher hash simple]
V7:set authentication password [hash simple]
接着要使用set authentication password设置密码在配置文件中的显示格式,V3/V5中提供了simple和cipher两种加密类型,simple为以明文表示,不推荐,cipher为用密文表示,安全性较高;V7中则提供了simple和hash两种表示方法,也是一种明文表示,一种加密表示,只是算法不同,hash的安全性更高。
4)、设置登录用户权限等级(虚拟终端视图下)
V3/V5:user privilege level <0-3>
V7:user-role level-<0-15>
最后要设置认证用户的权限等级,不通权限可进行的操作不同,V3/V5中权限等级为0-3共四个等级,最高为3;V7中设置了0-15共16个权限等级,最高为15;一般给管理员设置的账户,设成为最高即可。
5)、配置VTY用户界面支持的协议(虚拟终端视图下)
V3/V5/V7:protocol inbound [ssh telnet all]
注:一般H3C交换机已经默认同时支持telnet和ssh协议,所以不需要再进行配置。
6)、其他可选配置(虚拟终端视图下)
V3/V5/V7:
idle-timeout <0-35791> 用户连接超时分钟数
screen-length <0-512> 配置终端屏幕显示行数
history-command max-size <0-256> 配置终端历史命令缓存区大小
5、创建本地用户
最后如果你选择了schme认证方式,则需要创建至少一个本地用户,并设置密码和权限,具体配置可参考以下命令:
1)、创建本地用户(系统视图下)
V3/V5/V7:local-user
2)、为本地用户设置密码并选择加密类型(本地用户视图下)
V3:password [cipher simple]
V5:password [cipher hash simple]
V7:password [hash simple]
3)、选择本地用户可以使用的服务([ ] 内为可选项)(本地用户视图下)
V3:service-type telnet [telnet terminal ftp ssh lan-access]
V5:service-type telnet [telnet terminal ftp ssh web portal lan-access]
V7:service-type telnet [telnet terminal ftp ssh http https pad]
这里根据需要选择telnet即可。
4)、设置超时登录时间(本地用户视图下)
V3:attribute idle-cut <60-7200> (second)
V5/V7:authorization-attribute idle-cut <1-120> (minute)
5)、设置用户的权限等级(本地用户视图下)
V3:level <0-3>
V5:authorization-attribute level 3 <0-3>
V7:authorization-attribute user-role level-<0-15>
下面就以一台H3C 5120(V5)对不同的认证方式做演示,以便大家熟悉一下实际的配置。
1、无密码认证(none)
如果选择了none验证方法,无须配置密码,只要配置一下用户权限,然后在全局开启一下telnet服务器服务即可,当然实际尽量避免用这种验证方法,安全性太低。配置如下:
[H3C 5120]interface vlan-interface 12X
[H3C 5120-Vlan-interface12X]ip address 10.100.X.83 255.255.255.0
[H3C 5120]user-interface vty 0 4
[H3C 5120-ui-vty0-4]authentication-mode
[H3C 5120-ui-vty0-4]user privilege level 3
[H3C 5120-ui-vty0-4]quit
[H3C 5120]telnet server enable
配置好之后退出登录,通过远程PC访问交换机可以看到,不需要密码即可直接进入交换机CLI命令行,如下图所示:
2、密码认证(password)
如果选择了密码认证,则要配置一个登录密码,并选择密码加密方式,一般推荐密文加密cipher,其他版本还提供了hash算法等加密类型,可以提供相对较高的安全性。然后再配一下通过用户界面登录后的用户级别即可。
配置如下:
[H3C 5120]interface vlan-interface 12X
[H3C 5120-Vlan-interface12X]ip address 10.100.X.83 255.255.255.0
[H3C 5120]user-interface vty 0 4
[H3C 5120-ui-vty0-4]authentication-mode password
[H3C 5120-ui-vty0-4]set authentication password cipher asdfgh
[H3C 5120-ui-vty0-4]user privilege level 3
[H3C 5120-ui-vty0-4]quit
[H3C 5120]telnet server enable
配置好之后退出登录,通过远程PC访问交换机可以看到,要先输入预设的密码才可进入交换机CLI命令行,如下图所示:
注:这里输入的密码默认不会显示出来。
注:配置了明文密码,在配置文件中的密码配置信息会以明文形式显示;若配置了密文密码,配置文件中的密码配置信息会以密文形式显示,若同时配置了明文密码和密文密码,只有密文密码会生效。
3、用户名+密码组合认证(scheme)
如果你选择了scheme认证方法,则系统默认采用本地用户数据库中的用户信息进行验证,因此需要配置一个本地用户,并设置其用户名,登录密码和用户级别,然后为本地用户选择服务类型,即Telnet,如果你创建的本地用户登录信也想用在其它认证,还可以选择其它服务类型如terminal。
配置如下:
[H3C 5120]interface vlan-interface 12X
[H3C 5120-Vlan-interface12X]ip address 10.100.X.83 255.255.255.0
[H3C 5120]user-interface vty 0 4
[H3C 5120-ui-vty0-4]authentication-mode scheme
[H3C 5120-ui-vty0-4]set authentication password cipher asdfgh
[H3C 5120-ui-vty0-4]user privilege level 3
[H3C 5120-ui-vty0-4]quit
[H3C 5120]local-user admin
[H3C 5120-luser-admin]password cipher abcd
[H3C 5120-luser-admin]service-type telnet
[H3C 5120-luser-admin]authorization-attribute idle-cut 5
[H3C 5120-luser-admin]authorization-attribute level 3
[H3C 5120-luser-admin]quit
[H3C 5120]telnet server enable
配置好之后退出登录,通过远程PC访问交换机,可以看到需要输入本地用户名和密码,才能进入命令行,如下图所示:
注:当本地用户的用户级别与其登录时所用用户界面中的用户级别不同时,系统优先采用前者作为登录后的实际用户级别。
其他注意事项
1、简单回顾一下配置telnet的流程(V5为例):
1)、通过Console线连接到交换机,进入命令行。
2)、为交换机配置管理IP:
interface vlan-interface
ip address
3)、在交换机上全局开启Telnet服务器服务:
telnet server enable
4)、设置登录认证方式:
user-interface vty <0-15>
authentication-mode [none scheme password]
set authentication password [cipher simple]
user privilege level
5)、创建本地用户(仅scheme认证方式需要)
local-user
password [cipher simple]
authorization-attribute level <0-3>
service-type telnet
authorization-attribute idle-cut <60-7200>
2、华三交换机默认开启了Web页面登录支持,Web页面的登录也使用Telnet协议,所以配置了Telnet之后,也可以通过Web页面登录交换机,直接在浏览器地址栏输入交换机管理IP地址,然后在登录页面使用相同的认证密码即可访问,如下图所示,不过普通交换机一般使用命令行配置更为方便。
3、华三交换机操作系统版本不同,命令稍微有所区别,这里只列出了目前常见的三个版本的命令,如果有出入,大家可以自行通过帮助命令核准。
文章来源于网络
……