TELNET远程管理交换机配置
1功能需求及组网说明
TELNET远程管理交换机配置
『配置环境参数』
1. PC机固定IP地址10.10.10.10/24,连接到三层交换机SwitchA的VLAN10,PC网关地址为SwitchA的VLAN10接口地址10.10.10.1/24
2. SwitchA与二层交换机SwitchB使用VLAN100互连,SwitchA的VLAN100接口地址为192.168.0.1/24,SwitchB的VLAN100接口地址为192.168.0.2/24
3. SwitchA通过以太网口E0/1和SwitchB的E0/24互连
『组网需求』
1. SwitchA只允许10.1.10.0/24网段的地址的PC TELNET访问
2. SwitchB允许其它任意网段的地址TELNET访问
2数据配置步骤
『TELNET远程管理交换机配置流程』
如果一台PC想远程TELNET到一台设备上,首先要保证能够二者之间正常通信。SwitchA为三层交换机,可以有多个三层虚接口,它的管理VLAN可以是任意一个具有三层接口并配置了IP地址的VLAN。
SwitchB为二层交换机,只有一个二层虚接口,它的管理VLAN即是对应三层虚接口并配置了IP地址的VLAN。
交换机缺省的TELNET认证模式是密码认证,如果没有在交换机上配置口令,当TELNET登录交换机时,系统会出现”password required, but none set.”的提示。
【SwitchA相关配置】
1.
创建(进入)VLAN10
[SwitchA]vlan 10
2.
将连接PC的E0/10加入VLAN10
[SwitchA-Vlan10]port Ethernet 0/10
3.
创建(进入)VLAN10的虚接口
[SwitchA]interface VLAN-interface 10
4.
为VLAN接口10配置IP地址
[SwitchA-Vlan-interface10]ip addr 10.10.10.1 255.255.255.0
5.
创建(进入)VLAN100
[SwitchA]vlan 100
6.
为VLAN接口100配置IP地址
[SwitchA-Vlan-interface100]ip addr 192.168.0.1 255.255.255.0
7.
进入端口E0/1,将其配置为TRUNK端口,并允许VLAN100通过
[SwitchA]interface Ethernet
0/1
[SwitchA-Ethernet0/1]port
link-type trunk
[SwitchA-Ethernet0/1]port
trunk permit vlan 100
【SwitchB相关配置】
1.
创建(进入)VLAN100
[SwitchB]vlan 100
2.
为VLAN接口100配置IP地址
[SwitchB-Vlan-interface100]ip addr 192.168.0.2 255.255.255.0
3.
进入端口E0/24,将其配置为TRUNK端口,并允许VLAN100通过
[SwitchB]interface Ethernet
0/24
[SwitchB-Ethernet0/24]port
link-type trunk
[SwitchB-Ethernet0/24]port
trunk permit vlan 100
4.
二层交换机被其他网段设备管理,需要增加一条默认路由
[SwitchB]ip route-static 0.0.0.0 0.0.0.0
192.168.0.1
『以下为公共配置』
【TELNET密码验证配置】
只需输入password即可登陆交换机。
1.
进入用户界面视图
[SwitchA]user-interface vty 0 4
2.
设置认证方式为密码验证方式
[SwitchA-ui-vty0-4]authentication-mode password
3.
设置登陆验证的password为明文密码”huawei”
[SwitchA-ui-vty0-4]set authentication password simple huawei
4.
配置登陆用户的级别为最高级别3(缺省为级别1)
[SwitchA-ui-vty0-4]user privilege level 3
5.
或者在交换机上增加super password(缺省情况下,从VTY用户界面登录后的级别为1级,无法对设备进行配置操作。必须要将用户的权限设置为最高级别3,才可以进入系统视图并进行配置操作。低级别用户登陆交换机后,需输入super password改变自己的级别)例如,配置级别3用户的super password为明文密码”super3”
[SwitchA]super password level 3 simple super3
【TELNET本地用户名和密码验证配置】
需要输入username和password才可以登陆交换机。
1.
进入用户界面视图
[SwitchA]user-interface vty 0 4
2.
配置本地或远端用户名和口令认证
[SwitchA-ui-vty0-4]authentication-mode scheme
3.
配置本地TELNET用户,用户名为”huawei”,密码为”huawei”,权限为最高级别3(缺省为级别1)
[SwitchA]local-user huawei
[SwitchA-user-huawei]password simple huawei
[SwitchA-user-huawei]service-type telnet level 3
4.
在交换机上增加super password
[SwitchA]super password level 3 simple super3
【TELNET RADIUS验证配置】
以使用华为3Com公司开发的CAMS 作为RADIUS服务器为例
1.
进入用户界面视图
[SwitchA]user-interface vty 0 4
2.
配置远端用户名和口令认证
[SwitchA-ui-vty0-4]authentication-mode scheme
3.
配置RADIUS认证方案,名为”cams”
[SwitchA]radius scheme cams
4.
配置RADIUS认证服务器地址10.110.51.31
[SwitchA-radius-cams]primary authentication 10.110.51.31 1812
5.
配置交换机与认证服务器的验证口令为”huawei”
[SwitchA-radius-cams]key authentication huawei
6.
送往RADIUS的报文不带域名
[SwitchA-radius-cams]user-name-format without-domain
7.
创建(进入)一个域,名为”huawei”
[SwitchA]domain huawei
8.
在域”huawei”中引用名为”cams”的认证方案
[SwitchA-isp-huawei]radius-scheme cams
9.
将域”huawei”配置为缺省域
[SwitchA]domain default enable huawei
【TELNET访问控制配置】
1.
配置访问控制规则只允许10.1.1.0/24网段登录
[SwitchA]acl number 2000
[SwitchA-acl-basic-2000]rule deny source any
[SwitchA-acl-basic-2000]rule permit source 10.1.1.0 0.0.0.255
2.
配置只允许符合ACL2000的IP地址登录交换机
[SwitchA-ui-vty0-4]acl 2000 inbound
【补充说明】
无