华为交换机VTY管理

一 组网需求:

1.PC通过telnet登陆交换机并对其进行管理;

2.分别应用帐号+密码方式、仅密码方式以及radius认证方式;

二 组网图:

clip_image002

作为telnet登陆主机的PC与Switch A之间通过局域网互连(也可以直连),PC可以ping通Switch A。

三 配置步骤:

1 H3C S3100-SI S5100系列交换机TELNET配置流程

账号+密码方式登陆

1.配置TELNET登陆的ip地址

[SwitchA]system-view
[SwitchA]vlan 2
[SwitchA-vlan2]port Ethernet 1/0/1
[SwitchA-vlan2]quit
[SwitchA]management-vlan 2
[SwitchA]interface vlan 2
[SwitchA-Vlan-interface2]ip address 192.168.0.1 24

2.进入用户界面视图

[SwitchA]user-interface vty 0 4

3.配置本地或远端用户名+口令认证方式

[SwitchA-ui-vty0-4]authentication-mode scheme

4.配置登陆用户的级别为最高级别3(缺省为级别1)

[SwitchA-ui-vty0-4]user privilege level 3

5.添加TELNET管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为” admin”

[SwitchA]local-user huawei
[SwitchA-luser-huawei]service-type telnet level 3
[SwitchA-luser-huawei]password simple admin

仅密码方式登陆

1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)

2.进入用户界面视图

[SwitchA]user-interface vty 0 4

3.设置认证方式为密码验证方式

[SwitchA-ui-vty0-4]authentication-mode password

4.设置登陆验证的password为明文密码”huawei”

[SwitchA-ui-vty0-4]set authentication password simple huawei

5.配置登陆用户的级别为最高级别3(缺省为级别1)

[SwitchA-ui-vty0-4]user privilege level 3

TELNET RADIUS验证方式配置

1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)

2.进入用户界面视图

[SwitchA]user-interface vty 0 4

3.配置远端用户名和口令认证

[SwitchA-ui-vty0-4]authentication-mode scheme

4.配置RADIUS认证方案,名为”cams”

[SwitchA]radius scheme cams

5.配置RADIUS认证服务器地址192.168.0.31

[SwitchA-radius-cams]primary authentication 192.168.0.31 1812

6.配置交换机与认证服务器的验证口令为”huawei”

[SwitchA-radius-cams]key authentication huawei

7.送往RADIUS的报文不带域名

[SwitchA-radius-cams]user-name-format without-domain

8.创建(进入)一个域,名为”huawei”

[SwitchA]domain huawei

9.在域”huawei”中引用名为”cams”的认证方案

[SwitchA-isp-huawei]radius-scheme cams

10.将域”huawei”配置为缺省域

[SwitchA]domain default enable Huawei

TELNET访问控制配置

1.配置访问控制规则只允许192.1.1.0/24网段登录

[SwitchA]acl number 2000
[SwitchA-acl-basic-2000]rule deny source any
[SwitchA-acl-basic-2000]rule permit source 192.1.1.0 0.0.0.255

2.配置只允许符合ACL2000的IP地址登录交换机

[SwitchA]user-interface vty 0 4
[SwitchA-ui-vty0-4]acl 2000 inbound

3.补充说明:

l TELNET访问控制配置是在以上三种验证方式配置完成的基础上进行的配置;

l TELNET登陆主机与交换机不是直连的情况下需要配置默认路由。

2 H3C S3600 S5600系列交换机TELNET配置流程

账号+密码方式登陆

1.配置TELNET登陆的ip地址

<SwitchA>system-view
[SwitchA]vlan 2
[SwitchA-vlan2]port Ethernet 1/0/1
[SwitchA-vlan2]quit
[SwitchA]interface vlan 2
[SwitchA-Vlan-interface2]ip address 192.168.0.1 24

2.进入用户界面视图

[SwitchA]user-interface vty 0 4

3.配置本地或远端用户名+口令认证方式

[SwitchA-ui-vty0-4]authentication-mode scheme

4.配置登陆用户的级别为最高级别3(缺省为级别1)

[SwitchA-ui-vty0-4]user privilege level 3

5.添加TELNET管理的用户,用户类型为”telnet”,用户名为”huawei”,密码为” admin”

[SwitchA]local-user huawei
[SwitchA-luser-huawei]service-type telnet level 3
[SwitchA-luser-huawei]password simple admin

仅密码方式登陆

1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)

2.进入用户界面视图

[SwitchA]user-interface vty 0 4

3.设置认证方式为密码验证方式

[SwitchA-ui-vty0-4]authentication-mode password

4.设置登陆验证的password为明文密码”huawei”

[SwitchA-ui-vty0-4]set authentication password simple huawei

5.配置登陆用户的级别为最高级别3(缺省为级别1)

[SwitchA-ui-vty0-4]user privilege level 3

TELNET RADIUS验证方式配置(以使用华为3Com公司开发的CAMS 作为RADIUS服务器为例)

1.配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)

2.进入用户界面视图

[SwitchA]user-interface vty 0 4

3.配置远端用户名和口令认证

[SwitchA-ui-vty0-4]authentication-mode scheme

4.配置RADIUS认证方案,名为”cams”

[SwitchA]radius scheme cams

5.配置RADIUS认证服务器地址192.168.0.31

[SwitchA-radius-cams]primary authentication 192.168.0.31 1812

6.配置交换机与认证服务器的验证口令为”huawei”

[SwitchA-radius-cams]key authentication huawei

7.送往RADIUS的报文不带域名

[SwitchA-radius-cams]user-name-format without-domain

8.创建(进入)一个域,名为”huawei”

[SwitchA]domain huawei

9.在域”huawei”中引用名为”cams”的认证方案

[SwitchA-isp-huawei]radius-scheme cams

10.将域”huawei”配置为缺省域

[SwitchA]domain default enable Huawei

TELNET访问控制配置

1.配置访问控制规则只允许192.1.1.0/24网段登录

[SwitchA]acl number 2000
[SwitchA-acl-basic-2000]rule deny source any
[SwitchA-acl-basic-2000]rule permit source 192.1.1.0 0.0.0.255

2.配置只允许符合ACL2000的IP地址登录交换机

[SwitchA]user-interface vty 0 4
[SwitchA-ui-vty0-4]acl 2000 inbound

3.补充说明:

l TELNET登陆主机与交换机不是直连的情况下需要配置默认路由;

l 在交换机上增加super password(缺省情况下,从VTY用户界面登录后的级别为1级,无法对设备进行配置操作。必须要将用户的权限设置为最高级别3,才可以进入系统视图并进行配置操作。低级别用户登陆交换机后,需输入super password改变自己的级别)例如,配置级别3用户的super password为明文密码”super3”:

[SwitchA]super password level 3 simple super3

3 H3C S5500-SI S3610 S5510系列交换机TELNET配置流程

1.补充说明:

l 由于H3C S5500-SI S3610 S5510系列交换机采用全新的Comware V5平台,命令行稍有改动。在采用上述配置的基础上,只要在系统视图下增加命令:

[SwitchA]telnet server enable

即可。

四 配置关键点:

1.三层交换机,可以有多个三层虚接口,它的管理VLAN可以是任意一个具有三层接口并配置了IP地址的VLAN,而二层交换机,只有一个二层虚接口,它的管理VLAN即是对应三层虚接口并配置了IP地址的VLAN;

2.交换机缺省的TELNET认证模式是密码认证,如果没有在交换机上配置口令,当TELNET登录交换机时,系统会出现”password required, but none set.”的提示;

3.TELNET登陆可以应用windows自带的dos、超级终端,也可以应用别的telnet软件进行登陆。二层交换技术是发展比较成熟,二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。

(1) 由于交换机对多数端口的数据进行同时交换,这就要求具有很宽的交换总线带宽,如果二层交换机有N个端口,每个端口的带宽是M,交换机总线带宽超过N×M,那么这交换机就可以实现线速交换;

(2) 学习端口连接的机器的MAC地址,写入地址表,地址表的大小(一般两种表示方式:一为BEFFER RAM,一为MAC表项数值),地址表大小影响交换机的接入容量;

(3) 还有一个就是二层交换机一般都含有专门用于处理数据包转发的ASIC (Application specific Integrated Circuit)芯片,因此转发速度可以做到非常快。由于各个厂家采用ASIC不同,直接影响产品性能。

以上三点也是评判二三层交换机性能优劣的主要技术参数。

三层交换机,如果一点都不懂的人可以简单理解为二层交换机+路由的堆叠。不过实际上三层交换机比二层交换机+路由的堆叠,要厉害得多。三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发,加入路由功能也是为这个目的服务的。

 

二〇一四年六月十九日 13:38:00

点赞