华为交换机配置telnet认证（华为交换机telnet登录方式配置实验摘要）

在用网络设备的控制口进行基本的网络配置后，为了方便管理员进行远程管理和维护，需要配置telnet、Stelnet、HTTP或http功能不同厂商的设备，配置方式不尽相同，下面以华为eNSP模拟进行模拟实验，回顾一下Telnet的配置方式，今天小编就来聊一聊关于华为交换机配置telnet认证?接下来我们就一起去研究一下吧!

华为交换机配置telnet认证

在用网络设备的控制口进行基本的网络配置后，为了方便管理员进行远程管理和维护，需要配置telnet、Stelnet、HTTP或http功能。不同厂商的设备，配置方式不尽相同，下面以华为eNSP模拟进行模拟实验，回顾一下Telnet的配置方式。

拓扑如图1所示：

图1

本次实验模拟某小型单位的网络场景，SW1、R1分别是单位机房的主交换机和路由器，管理员可以在办公区用PC通过telnet对其进行远程管理。

本次实验假设已配置SW1、R1的IP地址，PC可以ping通SW1和R1。

eNSP中的PC未提供 telnet 这个客户端命令，不过很多网络设备既有telnet服务器功能，又有telnet客户端功能，因此本实验用SW1来模拟telnet登录。

方式一：通过配置密码验证方式进行telnet登录

该方式比较简洁，能够快速配置。以配置R1为例，在系统视图下输入命令：

[R1]user-interface vty 0 4

[R1-ui-vty0-4]authentication-mode password

[R1-ui-vty0-4]set authentication password cipher huawei

[R1-ui-vty0-4]user privilege level 3

命令说明：

1、telnet需要配置VTY用户界面（Virtual Type Terminal的缩写，即虚拟类型终端，它是一种虚拟线路端口，通过网络连接建立虚拟通道实现，并可建立多条VTY虚拟通道），因此需要输入user-interface vty 0 4，其中0 4代表同时配置0到4号共5个通道。

2、VTY默认的验证方式是none，输入authentication-mode password更改验证方式，其中的password是指密码验证。

3、使用set authentication password cipher huawei设置密码，其中的cipher是加密密码的意思，后面的huawei既是设置的密码。

4、VTY默认的命令访问级别是0，仅具有浏览权限无法进行维护、配置、管理等操作，这里用user privilege level 3命令提升了级别，其中的3代表管理级）。

注：

1、路由器的telnet服务默认是开启的，因此不用专门输入telnet server enable。

2、在系统视图下可用telnet server port xxxx命令改变telnet服务器的监听端口（Telnet的默认端口为23），其中xxxx就是我们想改为的端口号。

3、有些华为的交换机或路由器默认同时登录VTY最大用户数为5，可在系统视图下用user-interface maximum-vty 7增加VTY同时在线的最大用户数，此处示例命令中为7，增加了3个。

在SW1中用telnet进行登录R1，如图2，输入密码后即登录成功。

图2

方式二：通过配置aaa验证方式进行Telnet登录

[R1]aaa

[R1-aaa]local-user admin password cipher huawei

[R1-aaa]local-user admin privilege level 3

[R1-aaa]local-user admin service-type telnet

[R1-aaa]quit

[R1]user-interface vty 0 4

[R1-ui-vty0-4]authentication-mode aaa

命令说明：

1、在系统配置模式下输入aaa进入AAA视图，以便可以建立登录用的用户名和密码。

2、local-user admin password cipher huawei，则是具体用于配置用户名和密码的命令，其中的admin即为新建立的用户名，huawei则是设置的密码。

3、local-user admin service-type telnet，则是将上面建立的用户admin用于telnet登录。

4、再在vty视图中，用authentication-mode aaa，将telnet的验证方式设置为AAA。

在SW1中用telnet进行登录R1，如图3，此时就既要输入用户名，也要输入密码才能登录成功。

图3

附加安全性配置

可以配置ACL策略控制通过telnet访问R1的用户，同时控制登录后多久无操作会自动断开，以及允许进入的协议。

[R1]acl 2000

[R1-acl-basic-2000]rule 1 permit source 192.168.56.2 0

[R1-acl-basic-2000]quit

[R1]user-interface vty 0 4

[R1-ui-vty0-4]acl 2000 inbound

[R1-ui-vty0-4]idle-timeout 5

[R1-ui-vty0-4]protocol inbound telnet

命令说明：

1、acl 2000是进入基本访问表配置模式，其中2000的编号代表基本访问表（基本访问表的编号范围2000~2999），能够对源IP地址、分片标记和时间信息进行控制。

2、增加访问表的规则，rule后的数字为规则的编号，permit是允许的意思，后面是源IP 192.168.56.2，此处最后的0为反转子网掩码。

3、再在vty视图中，用acl 2000 inbound在进入方向启用访问表。

4、idle-timeout 5指定登录vty空闲5分钟会自动断开，放置管理人员临时离开较久但没及时退出时，其他人进行操作。

5、protocol inbound telnet则是限制进入vty协议只能是telnet。

查看telnet服务状态和端口

<R1>display telnet server status

输入命令后显示如图4

图4

查看telnet登录的用户信息

<R1>display tcp status

输入命令后显示如图5

图5

<R1>dis users

输入命令后显示如图6

图6

<R1>display local-user

输入命令后显示如图7

图7

查看vty用户界面信息

<R1>display user-interface vty 0

输入命令后显示如图8

图8

强行断开其他用户的登录连接

下面的命令是中断登录到vty 1的用户，其中vty编号可以用上面的dis users等命令查询。

<R1>kill user-interface vty 1

其他vty配置命令

如最大历史命令缓冲数、屏幕显示的行数和字符列数，一般可不用配置。

[R1-ui-vty0-4]history-command max-size 20

[R1-ui-vty0-4]screen-length 20

[R1-ui-vty0-4]screen-width 100