远程TELNET交换机

telnet配置

    『配置环境参数』

    PC机固定IP地址10.10.10.10/24

    SwitchA为三层交换机，vlan100地址10.10.10.1/24

    SwitchA与SwitchB互连vlan10接口地址192.168.0.1/24

    SwitchB与SwitchA互连接口vlan100接口地址192.168.0.2/24

    交换机SwitchA通过以太网口ethernet 0/1和SwitchB的ethernet0/24实现互连。

    『组网需求』

    1.SwitchA只能允许10.10.10.0/24网段的地址的PC telnet访问

    2.SwitchA只能禁止10.10.10.0/24网段的地址的PC telnet访问

    3.SwitchB允许其它任意网段的地址telnet访问

    2   数据配置步骤

    『PC管理交换机的流程』

    1.如果一台PC想远程TELNET到一台设备上，首先要保证能够二者之间正常通信。SwitchA为三层交换机，可以有多个三层虚接口，它的管理vlan可以是任意一个具有三层接口并配置了IP地址的vlan

    2.SwitchB为二层交换机，只有一个二层虚接口，它的管理vlan即是对应三层虚接口并配置了IP地址的vlan

    3.Telnet用户登录时，缺省需要进行口令认证，如果没有配置口令而通过Telnet登录，则系统会提示“password required, but none set.”。

    【SwitchA相关配置】

    PC在vlan100内，交换机上对应的端口为E0/10-E0/20

    1.创建（进入）vlan100

    [SwitchA]vlan 100

    2.将E0/10-E0/20加入到vlan10里

    [SwitchA-vlan100] port Ethernet 0/10 to Ethernet 0/20

    3.创建vlan100的虚接口

    [SwitchA]interface Vlan-interface 100

    4.给vlan100的虚接口配置IP地址

    [SwitchA-Vlan-interface100]ip address 10.10.10.1 255.255.255.0

    5.创建（进入）vlan10

    [SwitchA]vlan 10

    6.将连接SwitchB的E0/1加入vlan10

    [SwitchA-vlan10] port Ethernet 0/1

    7.创建（进入）vlan10的虚接口

    [SwitchA]interface Vlan-interface 10

    8.给vlan10的虚接口配置IP地址

    [SwitchA-Vlan-interface10]ip address 192.168.0.1 255.255.255.0

    【SwitchB相关配置】

    1.创建（进入）vlan100

    [SwitchA]vlan 100

    2.将E0/24加入到vlan100里

    [SwitchA-vlan100] port Ethernet 0/24

    3.创建（进入）vlan100的虚接口

    [SwitchB]interface Vlan-interface 100

    4.给vlan100的虚接口配置IP地址

    [SwitchB-Vlan-interface100]ip address 192.168.0.2 255.255.255.0

    5.一般二层交换机允许其它任意网段访问需要加入一条缺省路由

    [SwitchB]ip route-static  0.0.0.0 0.0.0.0 192.168.0.1

【TELNET不验证配置】 

    [SwitchA-ui-vty0-4]authentication-mode none

    【TELNET密码验证配置】

    1.进入用户界面视图

    [SwitchA]user-interface vty 0 4

    2.设置认证方式为密码验证方式

    [SwitchA-ui-vty0-4]authentication-mode password

    3.设置明文密码

    [SwitchA-ui-vty0-4]set authentication password simple Huawei

    4.缺省情况下，从VTY用户界面登录后可以访问的命令级别为0级。需要将用户的权限设置为3，这用户可以进入系统视图进行操作，否则只有0级用户的权限

    [SwitchA-ui-vty0-4]user  privilege level 3

    【TELNET本地用户名和密码验证配置】

    1.进入用户界面视图

    [SwitchA]user-interface vty 0 4

    2.使用authentication-mode scheme命令，表示需要进行本地或远端用户名和口令认证。

    [SwitchA-ui-vty0-4]authentication-mode scheme

    3.设置本地用户名和密码

    [SwitchA]local-user Huawei

    [SwitchA-user-huawei]service-type telnet level 3

    [SwitchA-user-huawei]password simple Huawei

    4.如果不改变TELNET登录用户的权限，用户登录以后是无法直接进入其它视图的，可以设置super password，来控制用户是否有权限进入其它视图

    [SwitchA]local-user Huawei

    [SwitchA-user-huawei]service-type telnet

    [SwitchA-user-huawei]password simple Huawei

    [SwitchA]super password level 3 simple huawei

    【TELNET RADIUS验证配置】

    以使用huawei开发的cams作为RADIUS服务器为例

    1.设置TELNET登录方式为scheme

    [SwitchA-ui-vty0-4]authentication-mode scheme

    2.配置RADIUS认证方案

    [SwitchA]radius scheme cams

    3.配置RADIUS认证服务器地址10.110.51.31

    [SwitchA-radius-cams]primary authentication 10.110.51.31 1812

    4.配置RADIUS计费服务器地址10.110.51.31

    [SwitchA-radius-cams]primary accounting 10.110.51.31 1813

    5.配置交换机与认证服务器的验证口令

    [SwitchA-radius-cams]key authentication expert

    6.配置交换机与计费服务器的验证口令

    [SwitchA-radius-cams]key accounting expert

    7.配置服务器类似为huawei，即使用CAMS

    [SwitchA-radius-cams]server-type Huawei

    8.送往RADIUS的报文不带域名

    [SwitchA-radius-cams]user-name-format without-domain

    9.创建（进入）一个域

    [SwitchA]domain Huawei

    10.  在域huawei中引用名为“cams”的认证方案

    [SwitchA-isp-huawei]radius-scheme cams

    11.  将huawei域设置为缺省域

    [SwitchA]domain default enable huawei

    【TELNET访问控制配置】

    1.设置只允许符合ACL1的IP地址登录交换机

    [SwitchA-ui-vty0-4]acl 1 inbound

    2.设置规则只允许某网段登录

    [SwitchA]acl number 1

    [SwitchA-acl-basic-1]

    [SwitchA-acl-basic-1]rule permit source 10.10.10.0 0.0.0.255

    3.设置规则只禁止某网段登录

    [SwitchA]acl number 1

    [SwitchA-acl-basic-1]

    [SwitchA-acl-basic-1]rule deny source 10.10.10.0 0.0.0.255

    3   测试验证

    1.PC属于vlan10可以telnet到SwitchA和SwitchB上，

    2.PC属于其它vlan不能telnet到SwitchA，能够telnet到SwitchB上