目录
主要步骤
详细步骤
1. 拓扑需求
2. 配置步骤
3. 连接测试
4. 常见问题排查
PC上开启telnet命令
命令解释
主要步骤
创建管理vlan开启telnet服务配置aaa认证视图 配置认证密码 配置认证等级 配置认证仅限telnet使用Vty配置 配置vty线路 配置认证模式 配置入栈协议为telnet 配置空闲时间 绑定入栈 规则acl配置acl限制固定ip使用telnet登录到本交换机 创建acl 配置允许访问ip,使用反码配置,拒绝其他所有ip保存配置
详细步骤
1. 拓扑需求
交换机管理IP:192.168.1.1/24
Telnet登录用户:admin(权限等级15)
认证方式:AAA本地认证
允许登录的客户端IP:192.168.1.100
2. 配置步骤
# 进入系统视图
# 配置VLAN接口IP(管理地址)
[Huawei] vlan 10
[Huawei-vlan10] quit
[Huawei] interface vlanif 10
[Huawei-Vlanif10] ip address 192.168.1.1 24
[Huawei-Vlanif10] quit
# 启用Telnet服务
[Huawei] telnet server enable
# 配置AAA本地认证
[Huawei] aaa
[Huawei-aaa] local-user admin password cipher Admin@123 # 设置加密密码
[Huawei-aaa] local-user admin privilege level 15 # 最高权限
[Huawei-aaa] local-user admin service-type telnet # 允许Telnet服务
[Huawei-aaa] quit
# 配置VTY用户界面(0-4共5个会话)
[Huawei] user-interface vty 0 4
[Huawei-ui-vty0-4] authentication-mode aaa # 认证模式为AAA
[Huawei-ui-vty0-4] protocol inbound telnet # 允许Telnet协议
[Huawei-ui-vty0-4] idle-timeout 15 0 # 超时时间15分钟
[Huawei-ui-vty0-4] acl 2000 inbound # 绑定ACL限制源IP
[Huawei-ui-vty0-4] quit
# 配置ACL限制访问IP
[Huawei] acl 2000
[Huawei-acl-basic-2000] rule permit source 192.168.1.100 0 # 仅允许192.168.1.100
[Huawei-acl-basic-2000] rule deny source any # 拒绝其他IP
[Huawei-acl-basic-2000] quit
# 保存配置
[Huawei] save
3. 连接测试
在客户端(192.168.1.100)执行:
telnet 192.168.1.1
输入用户名:admin
输入密码:123
4. 常见问题排查
无法连接:
检查物理链路和VLAN配置:display interface vlanif 10
确认Telnet服务已开启:display telnet server status
检查ACL规则:display acl 2000
认证失败:
检查AAA配置:display local-user
确认密码无误(区分大小写)。
权限不足:
检查用户权限等级:display local-user username admin
交换机上使用telnet命令需要在用户视图下
PC上开启telnet命令
Cmd中输入optionalfeatures,然后进行下列步骤
命令解释
以下是针对上面给出的交换机配置命令的解释:
进入系统视图
执行该命令表示进入交换机的系统视图,这是进行配置的顶层视图,只有在系统视图下才能进行后续的配置操作。
配置VLAN接口IP(管理地址)
[Huawei] vlan 10
[Huawei-vlan10] quit
创建 VLAN 10,用于划分网络,增强网络的安全性和可管理性。
[Huawei] interface vlanif 10
[Huawei-Vlanif10] ip address 192.168.1.1 24
[Huawei-Vlanif10] quit
进入 VLANIF 10 接口视图,并为其配置 IP 地址 192.168.1.1,子网掩码为 24 位。这个 IP 地址即为交换机的管理地址,用于远程管理。
启用Telnet服务
[Huawei] telnet server enable
启用交换机的 Telnet 服务,以便远程用户可以通过 Telnet 协议访问和管理交换机。
配置AAA本地认证
[Huawei] aaa
进入 AAA 视图,用于配置用户认证、授权和计费等功能。
[Huawei-aaa] local-user admin password cipher 123
创建本地用户 admin,并为其设置加密密码 123。使用 cipher 关键字表示密码以加密形式保存。
[Huawei-aaa] local-user admin privilege level 15
设置用户 admin 的权限等级为 15,这是最高的管理权限等级,允许用户执行所有管理操作。
[Huawei-aaa] local-user admin service-type telnet
指定用户 admin 允许的服务类型为 Telnet,即只有通过 Telnet 方式登录时才会应用此用户的认证配置。
[Huawei-aaa] quit
退出 AAA 视图。
配置VTY用户界面(0-4共5个会话)
[Huawei] user-interface vty 0 4
进入 VTY(Virtual Terminal)用户界面视图,指定 VTY 线路从 0 到 4,共 5 个会话,用于配置远程登录设置。
[Huawei-ui-vty0-4] authentication-mode aaa
设置认证模式为 AAA,即通过 AAA 服务器或本地用户数据库进行用户认证。
[Huawei-ui-vty0-4] protocol inbound telnet
指定允许的入站协议为 Telnet,限制用户只能通过 Telnet 方式登录。
inbound 意思为入站
[Huawei-ui-vty0-4] idle-timeout 15 0
Idle 意思为空闲的
设置空闲超时时间为 15 分钟 0 秒,即如果用户在空闲状态下超过 15 分钟没有操作,系统将自动断开该会话。
[Huawei-ui-vty0-4] acl 2000 inbound
将 ACL(访问控制列表)2000 应用于 VTY 接口的入站方向,限制只有满足 ACL 2000 规则的源 IP 地址才能通过 Telnet 登录。
[Huawei-ui-vty0-4] quit
退出 VTY 用户界面视图。
配置ACL限制访问IP
[Huawei] acl 2000
创建一个基本的 ACL,编号为 2000,用于定义流量过滤规则。
[Huawei-acl-basic-2000] rule permit source 192.168.1.100 0
添加一条规则,允许源 IP 地址为 192.168.1.100 的流量通过。其中 0 表示子网掩码的反码,此处表示精确匹配 192.168.1.100 这个 IP 地址。
[Huawei-acl-basic-2000] rule deny source any
添加一条默认拒绝规则,拒绝所有其他源 IP 地址的流量。这是为了确保只有符合前面允许规则的流量才能通过。
[Huawei-acl-basic-2000] quit
退出 ACL 配置视图。
保存配置
[Huawei] save
将当前的配置保存到设备的启动配置文件中,以确保设备在重启后仍能应用这些配置。
以上解释涵盖了配置交换机管理 IP、启用 Telnet 服务、设置本地 AAA 认证以及应用 ACL 限制登录 IP 的详细命令及其作用。通过这些配置步骤,可以实现对交换机的安全远程管理和访问控制。