华为远程TELNET登陆配置
交换机远程TELNET登录1 功能需求及组网说明 『配置环境参数』
PC机固定IP地址10.10.10.10/24
SwitchA为三层交换机,vlan100地址10.10.10.1/24
SwitchA与SwitchB互连vlan10接口地址192.168.0.1/24
SwitchB与SwitchA互连接口vlan100接口地址192.168.0.2/24
交换机SwitchA通过以太网口ethernet 0/1和SwitchB的ethernet0/24实现互连。
『组网需求』
1. SwitchA只能允许10.10.10.0/24网段的地址的PC telnet访问
2. SwitchA只能禁止10.10.10.0/24网段的地址的PC telnet访问
3. SwitchB允许其它任意网段的地址telnet访问
2 数据配置步骤 『PC管理交换机的流程』
1. 如果一台PC想远程TELNET到一台设备上,首先要保证能够二者之间正常通信。SwitchA为三层交换机,可以有多个三层虚接口,它的管理vlan可以是任意一个具有三层接口并配置了IP地址的vlan
2. SwitchB为二层交换机,只有一个二层虚接口,它的管理vlan即是对应三层虚接口并配置了IP地址的vlan
3. Telnet用户登录时,缺省需要进行口令认证,如果没有配置口令而通过Telnet登录,则系统会提示“password required, but none set.”。
【SwitchA相关配置】
PC在vlan100内,交换机上对应的端口为E0/10-E0/20
1. 创建(进入)vlan100
vlan 100
2. 将E0/10-E0/20加入到vlan10里
port Ethernet 0/10 to Ethernet 0/20
3. 创建vlan100的虚接口
interface Vlan-interface 100
4. 给vlan100的虚接口配置IP地址
ip address 10.10.10.1 255.255.255.0
5. 创建(进入)vlan10
vlan 10
6. 将连接SwitchB的E0/1加入vlan10
port Ethernet 0/1
7. 创建(进入)vlan10的虚接口
interface Vlan-interface 10
8. 给vlan10的虚接口配置IP地址
ip address 192.168.0.1 255.255.255.0
【SwitchB相关配置】
1. 创建(进入)vlan100
vlan 100
2. 将E0/24加入到vlan100里
port Ethernet 0/24
3. 创建(进入)vlan100的虚接口
interface Vlan-interface 100
4. 给vlan100的虚接口配置IP地址
ip address 192.168.0.2 255.255.255.0
5. 一般二层交换机允许其它任意网段访问需要加入一条缺省路由
ip route-static 0.0.0.0 0.0.0.0 192.168.0.1
【TELNET不验证配置】
authentication-mode none
【TELNET密码验证配置】
1. 进入用户界面视图
user-interface vty 0 4
2. 设置认证方式为密码验证方式
authentication-mode password
3. 设置明文密码
set authentication password simple Huawei
4. 缺省情况下,从VTY用户界面登录后可以访问的命令级别为0级。需要将用户的权限设置为3,这用户可以进入系统视图进行操作,否则只有0级用户的权限
user privilege level 3
【TELNET本地用户名和密码验证配置】
1. 进入用户界面视图
user-interface vty 0 4
2. 使用authentication-mode scheme命令,表示需要进行本地或远端用户名和口令认证。
authentication-mode scheme
3. 设置本地用户名和密码
local-user Huawei
service-type telnet level 3
password simple Huawei
4. 如果不改变TELNET登录用户的权限,用户登录以后是无法直接进入其它视图的,可以设置super password,来控制用户是否有权限进入其它视图
local-user Huawei
service-type telnet
password simple Huawei
super password level 3 simple huawei
【TELNET RADIUS验证配置】
以使用huawei开发的cams作为RADIUS服务器为例
1. 设置TELNET登录方式为scheme
authentication-mode scheme
2. 配置RADIUS认证方案
radius scheme cams
3. 配置RADIUS认证服务器地址10.110.51.31
primary authentication 10.110.51.31 1812
4. 配置RADIUS计费服务器地址10.110.51.31
primary accounting 10.110.51.31 1813
5. 配置交换机与认证服务器的验证口令
key authentication expert
6. 配置交换机与计费服务器的验证口令
key accounting expert
7. 配置服务器类似为huawei,即使用CAMS
server-type Huawei
8. 送往RADIUS的报文不带域名
user-name-format without-domain
9. 创建(进入)一个域
domain Huawei
10.在域huawei中引用名为“cams”的认证方案
radius-scheme cams
11.将huawei域设置为缺省域
domain default enable huawei
【TELNET访问控制配置】
1. 设置只允许符合ACL1的IP地址登录交换机
acl 1 inbound
2. 设置规则只允许某网段登录
acl number 1
rule permit source 10.10.10.0 0.0.0.255
3. 设置规则只禁止某网段登录
acl number 1
rule deny source 10.10.10.0 0.0.0.255
3 测试验证 1. PC属于vlan10可以telnet到SwitchA和SwitchB上,
2. PC属于其它vlan不能telnet到SwitchA,能够telnet到SwitchB上
页:
[1]