TELNET远程管理交换机配置
一 组网需求:
1.PC通过telnet登陆交换机并对其进行管理;
2.分别应用帐号+密码方式、仅密码方式以及radius认证方式; 3.只允许192.1.1.0/24网段的地址的PC TELNET访问。 二 组网图:
作为telnet登陆主机的PC与Switch A之间通过局域网互连(也可以直连),PC可以ping通Switch A。 三 配置步骤:
1 H3C S3100-SI S5100系列交换机TELNET配置流程 账号+密码方式登陆
1.配置TELNET登陆的ip地址
3.配置本地或远端用户名+口令认证方式 [SwitchA-ui-vty0-4]authentication-mode scheme 4.配置登陆用户的级别为最高级别3(缺省为级别1) [SwitchA-ui-vty0-4]user privilege level 3
5.添加TELNET管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为” admin”
1
[SwitchA]local-user huawei
[SwitchA-luser-huawei]service-type telnet level 3 [SwitchA-luser-huawei]password simple admin 仅密码方式登陆
1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同) 2.进入用户界面视图 [SwitchA]user-interface vty 0 4 3.设置认证方式为密码验证方式
[SwitchA-ui-vty0-4]authentication-mode password 4.设置登陆验证的password为明文密码”huawei”
[SwitchA-ui-vty0-4]set authentication password simple huawei 5.配置登陆用户的级别为最高级别3(缺省为级别1) [SwitchA-ui-vty0-4]user privilege level 3 TELNET RADIUS验证方式配置
1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同) 2.进入用户界面视图 [SwitchA]user-interface vty 0 4 3.配置远端用户名和口令认证
[SwitchA-ui-vty0-4]authentication-mode scheme 4.配置RADIUS认证方案,名为”cams” [SwitchA]radius scheme cams
5.配置RADIUS认证服务器地址192.168.0.31
[SwitchA-radius-cams]primary authentication 192.168.0.31 1812 6.配置交换机与认证服务器的验证口令为”huawei” [SwitchA-radius-cams]key authentication huawei 7.送往RADIUS的报文不带域名
[SwitchA-radius-cams]user-name-format without-domain 8.创建(进入)一个域,名为”huawei” [SwitchA]domain huawei
9.在域”huawei”中引用名为”cams”的认证方案
2
[SwitchA-isp-huawei]radius-scheme cams 10.将域”huawei”配置为缺省域 [SwitchA]domain default enable Huawei TELNET访问控制配置
1.配置访问控制规则只允许192.1.1.0/24网段登录 [SwitchA]acl number 2000
[SwitchA-acl-basic-2000]rule deny source any
[SwitchA-acl-basic-2000]rule permit source 192.1.1.0 0.0.0.255 2.配置只允许符合ACL2000的IP地址登录交换机 [SwitchA]user-interface vty 0 4 [SwitchA-ui-vty0-4]acl 2000 inbound 3.补充说明:
? TELNET访问控制配置是在以上三种验证方式配置完成的基础上进行的配
置;
? TELNET登陆主机与交换机不是直连的情况下需要配置默认路由。 2 H3C S3600 S5600系列交换机TELNET配置流程 账号+密码方式登陆
1.配置TELNET登陆的ip地址
3.配置本地或远端用户名+口令认证方式 [SwitchA-ui-vty0-4]authentication-mode scheme 4.配置登陆用户的级别为最高级别3(缺省为级别1) [SwitchA-ui-vty0-4]user privilege level 3
3
5.添加TELNET管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为” admin” [SwitchA]local-user huawei
[SwitchA-luser-huawei]service-type telnet level 3 [SwitchA-luser-huawei]password simple admin 仅密码方式登陆
1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同) 2.进入用户界面视图 [SwitchA]user-interface vty 0 4 3.设置认证方式为密码验证方式
[SwitchA-ui-vty0-4]authentication-mode password 4.设置登陆验证的password为明文密码”huawei”
[SwitchA-ui-vty0-4]set authentication password simple huawei 5.配置登陆用户的级别为最高级别3(缺省为级别1) [SwitchA-ui-vty0-4]user privilege level 3
TELNET RADIUS验证方式配置(以使用华为3Com公司开发的CAMS 作为RADIUS服务器为例)
1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同) 2.进入用户界面视图 [SwitchA]user-interface vty 0 4 3.配置远端用户名和口令认证
[SwitchA-ui-vty0-4]authentication-mode scheme 4.配置RADIUS认证方案,名为”cams” [SwitchA]radius scheme cams
5.配置RADIUS认证服务器地址192.168.0.31
[SwitchA-radius-cams]primary authentication 192.168.0.31 1812 6.配置交换机与认证服务器的验证口令为”huawei” [SwitchA-radius-cams]key authentication huawei 7.送往RADIUS的报文不带域名
[SwitchA-radius-cams]user-name-format without-domain 8.创建(进入)一个域,名为”huawei”
4
[SwitchA]domain huawei
9.在域”huawei”中引用名为”cams”的认证方案 [SwitchA-isp-huawei]radius-scheme cams 10.将域”huawei”配置为缺省域 [SwitchA]domain default enable Huawei TELNET访问控制配置
1.配置访问控制规则只允许192.1.1.0/24网段登录 [SwitchA]acl number 2000
[SwitchA-acl-basic-2000]rule deny source any
[SwitchA-acl-basic-2000]rule permit source 192.1.1.0 0.0.0.255 2.配置只允许符合ACL2000的IP地址登录交换机 [SwitchA]user-interface vty 0 4 [SwitchA-ui-vty0-4]acl 2000 inbound 3.补充说明:
? TELNET登陆主机与交换机不是直连的情况下需要配置默认路由;
? 在交换机上增加super password(缺省情况下,从VTY用户界面登录后的级别为
1级,无法对设备进行配置操作。必须要将用户的权限设置为最高级别3,才可以进入系统视图并进行配置操作。低级别用户登陆交换机后,需输入super password改变自己的级别)例如,配置级别3用户的super password为明文密码”super3”:[SwitchA]super password level 3 simple super3 3 H3C S5500-SI S3610 S5510系列交换机TELNET配置流程 1.补充说明:
? 由于H3C S5500-SI S3610 S5510系列交换机采用全新的Comware V5平
台,命令行稍有改动。在采用上述配置的基础上,只要在系统视图下增加命令:[SwitchA]telnet server enable 即可。
四 配置关键点:
1.三层交换机,可以有多个三层虚接口,它的管理VLAN可以是任意一个具有三层接口并配置了IP地址的VLAN,而二层交换机,只有一个二层虚接口,它的管理VLAN即是对应三层虚接口并配置了IP地址的VLAN;
2.交换机缺省的TELNET认证模式是密码认证,如果没有在交换机上配置口令,
5