在交換機(jī)和路由器的一些設(shè)置中，我們可以用telnet來管理。它可以有效管理上百臺的交換機(jī)和路由器。為管理員們提供了方便。這里我們就來詳細(xì)介紹一下交換機(jī)telnet登錄的具體步驟。那么希望大家能夠從中得到參考。

telnet配置

配置環(huán)境參數(shù)

PC機(jī)固定IP地址10.10.10.10/24
SwitchA為三層交換機(jī),vlan100地址10.10.10.1/24
SwitchA與SwitchB互連vlan10接口地址192.168.0.1/24
SwitchB與SwitchA互連接口vlan100接口地址192.168.0.2/24
交換機(jī)SwitchA通過以太網(wǎng)口ethernet 0/1和SwitchB的ethernet0/24實(shí)現(xiàn)互連.

組網(wǎng)需求

1.SwitchA只能允許10.10.10.0/24網(wǎng)段的地址的PC telnet訪問

2.SwitchA只能禁止10.10.10.0/24網(wǎng)段的地址的PC telnet訪問

3.SwitchB允許其它任意網(wǎng)段的地址telnet訪問

2數(shù)據(jù)配置步驟

PC管理交換機(jī)的流程

1.如果一臺PC想遠(yuǎn)程telnet到一臺設(shè)備上,首先要保證能夠二者之間正常通信.SwitchA為三層交換機(jī),可以有多個三層虛接口,它的管理vlan可以是任意一個具有三層接口并配置了IP地址的vlan

2.SwitchB為二層交換機(jī),只有一個二層虛接口,它的管理vlan即是對應(yīng)三層虛接口并配置了IP地址的vlan

3.telnet用戶登錄時,缺省需要進(jìn)行口令認(rèn)證,如果沒有配置口令而通過交換機(jī)telnet登錄,則系統(tǒng)會提示"password required, but none set.".

#p#SwitchA相關(guān)配置

PC在vlan100內(nèi),交換機(jī)上對應(yīng)的端口為E0/10-E0/20

1.創(chuàng)建（進(jìn)入）vlan100
[SwitchA]vlan 100
2.將E0/10-E0/20加入到vlan10里
[SwitchA-vlan100] port Ethernet 0/10 to Ethernet 0/20
3.創(chuàng)建vlan100的虛接口
[SwitchA]interface Vlan-interface 100
4.給vlan100的虛接口配置IP地址
[SwitchA-Vlan-interface100]ip address 10.10.10.1 255.255.255.0
5.創(chuàng)建（進(jìn)入）vlan10
[SwitchA]vlan 10
6.將連接SwitchB的E0/1加入vlan10
[SwitchA-vlan10] port Ethernet 0/1
7.創(chuàng)建（進(jìn)入）vlan10的虛接口
[SwitchA]interface Vlan-interface 10
8.給vlan10的虛接口配置IP地址
[SwitchA-Vlan-interface10]ip address 192.168.0.1 255.255.255.0

SwitchB相關(guān)配置

1.創(chuàng)建（進(jìn)入）vlan100
[SwitchA]vlan 100
2.將E0/24加入到vlan100里
[SwitchA-vlan100] port Ethernet 0/24
3.創(chuàng)建（進(jìn)入）vlan100的虛接口
[SwitchB]interface Vlan-interface 100
4.給vlan100的虛接口配置IP地址
[SwitchB-Vlan-interface100]ip address 192.168.0.2 255.255.255.0
5.一般二層交換機(jī)允許其它任意網(wǎng)段訪問需要加入一條缺省路由
[SwitchB]ip route-static0.0.0.0 0.0.0.0 192.168.0.1

#p#telnet不驗(yàn)證配置

[SwitchA-ui-vty0-4]authentication-mode none

telnet密碼驗(yàn)證配置

1.進(jìn)入用戶界面視圖
[SwitchA]user-interface vty 0 4
2.設(shè)置認(rèn)證方式為密碼驗(yàn)證方式
[SwitchA-ui-vty0-4]authentication-mode password
3.設(shè)置明文密碼
[SwitchA-ui-vty0-4]set authentication password simple Huawei
4.缺省情況下,從VTY用戶界面登錄后可以訪問的命令級別為0級.
需要將用戶的權(quán)限設(shè)置為3,這用戶可以進(jìn)入系統(tǒng)視圖進(jìn)行操作,否則只有0級用戶的權(quán)限
[SwitchA-ui-vty0-4]userprivilege level 3

#p#telnet本地用戶名和密碼驗(yàn)證配置

1.進(jìn)入用戶界面視圖
[SwitchA]user-interface vty 0 4
2.使用authentication-mode scheme命令,表示需要進(jìn)行本地或遠(yuǎn)端用戶名和口令認(rèn)證.
[SwitchA-ui-vty0-4]authentication-mode scheme

3.設(shè)置本地用戶名和密碼

[SwitchA]local-user Huawei
[SwitchA-user-huawei]service-typetelnetlevel 3
[SwitchA-user-huawei]password simple Huawei

4.如果不改變交換機(jī)telnet登錄用戶的權(quán)限,用戶登錄以后是無法直接進(jìn)入其它視圖的,可以設(shè)置super password,來控制用戶是否有權(quán)限進(jìn)入其它視圖

[SwitchA]local-user Huawei
[SwitchA-user-huawei]service-type telnet
[SwitchA-user-huawei]password simple Huawei
[SwitchA]super password level 3 simple huawei

#p#telnetRADIUS驗(yàn)證配置

以使用huawei開發(fā)的cams作為RADIUS服務(wù)器為例

1.設(shè)置交換機(jī)telnet登錄方式為scheme
[SwitchA-ui-vty0-4]authentication-mode scheme
2.配置RADIUS認(rèn)證方案
[SwitchA]radius scheme cams
3.配置RADIUS認(rèn)證服務(wù)器地址10.110.51.31
[SwitchA-radius-cams]primary authentication 10.110.51.31 1812
4.配置RADIUS計(jì)費(fèi)服務(wù)器地址10.110.51.31
[SwitchA-radius-cams]primary accounting 10.110.51.31 1813
5.配置交換機(jī)與認(rèn)證服務(wù)器的驗(yàn)證口令
[SwitchA-radius-cams]key authentication expert
6.配置交換機(jī)與計(jì)費(fèi)服務(wù)器的驗(yàn)證口令
[SwitchA-radius-cams]key accounting expert
7.配置服務(wù)器類似為huawei,即使用CAMS
[SwitchA-radius-cams]server-type Huawei
8.送往RADIUS的報(bào)文不帶域名
[SwitchA-radius-cams]user-name-format without-domain
9.創(chuàng)建（進(jìn)入）一個域
[SwitchA]domain Huawei
10.在域huawei中引用名為"cams"的認(rèn)證方案
[SwitchA-isp-huawei]radius-scheme cams
11.將huawei域設(shè)置為缺省域
[SwitchA]domain default enable huawei

#p#telnet訪問控制配置

1.設(shè)置只允許符合ACL1的IP地址登錄交換機(jī)

[SwitchA-ui-vty0-4]acl 1 inbound

2.設(shè)置規(guī)則只允許某網(wǎng)段登錄

[SwitchA]acl number 1
[SwitchA-acl-basic-1]
[SwitchA-acl-basic-1]rule permit source 10.10.10.0 0.0.0.255

3.設(shè)置規(guī)則只禁止某網(wǎng)段登錄

[SwitchA]acl number 1
[SwitchA-acl-basic-1]
[SwitchA-acl-basic-1]rule deny source 10.10.10.0 0.0.0.255

3測試驗(yàn)證

1.PC屬于vlan10可以telnet到SwitchA和SwitchB上,

2.PC屬于其它vlan不能telnet到SwitchA,能夠telnet到SwitchB上