当前位置：首页 > article >正文

设备管理VTY（Telnet、SSH）

article 2025/3/19 20:24:36

实验目的：物理机远程VTY通过telnet协议登录AR1,ssh协议登录AR2和sw

注意配置Cloud1：

注意！！博主的物理机VMnet8--IP：192.168.160.1，所以AR1路由0/0/0端口才添加IP：192.168.160.3，每个人的PC的IP不同，需要配置自己对应的IP网段。

第一步：网络配置实现全网互通

1、配置AR1

[Huawei]sysname R1 //命名为R1

[R1]int g0/0/1 //进入g0/0/1接口

[R1-GigabitEthernet0/0/1]ip add 1.1.1.1 24 //配置g0/0/0接口IP 1.1.1.1

[R1]int g0/0/0 //进入g0/0/1接口

[R1-GigabitEthernet0/0/0]ip add 192.168.160.3 24 //配置g0/0/0接口IP 192.168.203.3

[R1]ip route-static 2.2.2.0 24 1.1.1.2 //配置AR1做静态路由。处在不同网段可以通过配置静态来ping通，因为AR1的左右端口无法直接通信2.2.2.0网段，所以配置下一跳地址1.1.1.1来与2.2.2.0相通。

2、配置AR2

[Huawei]sysname R2 //命名为R2

[R2]int g0/0/0 //进入g0/0/0接口

[R2-GigabitEthernet0/0/0]ip add 1.1.1.2 24 //配置g0/0/0接口IP 1.1.1.2

[R2]int g0/0/1 //进入g0/0/1接口

[R2-GigabitEthernet0/0/1]ip add 2.2.2.1 24 //配置g0/0/0接口IP 2.2.2.1

[R2]ip route-static 192.168.160.0 24 1.1.1.1 //配置AR2做静态路由。下一跳地址1.1.1.1，同上

3、配置交换机SW

[Huawei]sysname SW //命名为SW

[Huawei]int vlan 1 //进入vlan 1接口

知识点：Vlanif（SVI, Switch Virtual Interface）：是交换机的虚拟三层接口，用于实现以下功能：
1. 管理交换机：通过IP地址远程登录（Telnet/SSH）或管理（如SNMP）。
2. 跨VLAN通信：若交换机需要与其他子网（如2.2.2.0/24）通信，需通过Vlanif配置IP并启用路由功能。

[Huawei-Vlanif1]ip add 2.2.2.2 24 //配置vlan 1的IP地址

[Huawei]ip route-static 0.0.0.0 0 2.2.2.1 //做sw的默认缺省路由，缺省允许所有均通过，更方便，否则需要配置1.1.1.0以及192.168.160.0的静态地址

第二步：配置AR1的AAA用户，用于telnet

1，建立用户，设定用户权限级别为最高15，用户用于telnet协议

[R1]aaa //进入AAA模式

知识点：进入AAA配置模式

作用：进入AAA（认证、授权、计费）配置视图，开始管理用户权限。
关键点：
- AAA是网络安全的核心机制，用于控制用户访问设备的权限。
- 在此模式下可以创建用户、定义服务类型和权限级别。

[Huawei-aaa]local-user kkk privilege level 15 password cipher 111111 //建立用户，设定用户权限级别为最高15，cipher是对密码进行加密，kkk是用户名可随意换，111111是密码可以更换

[R1-aaa]local-user kkk service-type telnet //用于telnet协议

知识点：限制用户仅用于Telnet服务

命令解析：
- service-type telnet：限制用户 kkk 仅能通过Telnet协议登录设备。

2，VTY配置

[R1]user-interface vty 0 4

知识点：配置VTY线路（远程登录入口）

1. 进入VTY线路配置模式

命令解析：
- vty 0 4：同时配置VTY线路0到4（共5个会话），允许最多5个并发远程连接。
关键点：
- VTY（Virtual Type Terminal）是设备远程登录的虚拟接口。
- 华为设备默认支持0-4共5个VTY通道，可调整范围（如0-14支持更多会话）。

[R1-ui-vty0-4]authentication-mode aaa //要求用户通过AAA认证（即输入用户名和密码）才能登录。

[R1-ui-vty0-4]protocol inbound all //允许通过Telnet、SSH、HTTP等多种协议登录。

第三步：配置AR2的AAA用户，用于SSH（部分指令与AR1相同，可参考）

1、配置AAA

[R2]aaa //进入AAA接口

[R2-aaa]local-user qqq privilege level 15 password cipher 456 //增加用户qqq,用户级别15，密码456

[R2-aaa]local-user qqq service-type ssh//qqq用户服务协议ssh

2、配置AR2的VTY

[R2]stelnet server enable //开启ssh服务
[R2]rsa local-key-pair create 生成RSA密钥对（用于SSH加密通信）
The key name will be: Host
% RSA keys defined for Host already exist.
Confirm to replace them? (y/n)[n]:y
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Input the bits in the modulus[default = 512]:1024 （512—2048都可以，1024位比2048位节省时间（尤其是老旧设备））

Generating keys...
.......++++++
..........++++++
...++++++++
..........................++++++++

[R2]user-interface vty 0 4 //进入vty接口模式

[R2-ui-vty0-4]authentication-mode aaa//配置AAA认证模式，要求用户通过AAA认证（输入用户名和密码）才能登录。

[R2-ui-vty0-4]protocol inbound ssh //允许控制协议为SSH

[R2]ssh user qqq authentication-type password //系统视图下配置ssh的用户qqq使用密码认证，也就是指定用户 qqq 使用密码认证方式登录SSH。

第四步：配置SW的aaa用户，用于SSH（部分指令与AR1，AR2相同，可参考）

[Huawei]stelnet server enable
[Huawei]rsa local-key-pair create
The key name will be: Huawei_Host
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
it will take a few minutes.
Input the bits in the modulus[default = 512]:1024
Generating keys...
....++++++
.++++++
.......++++++++
.........................++++++++

[SW]aaa

[SW-aaa]local-user sw privilege level 15 password cipher 789

[SW-aaa]local-user sw service-type ssh

[SW]user-interface vty 0 4

[SW-ui-vty0-4]authentication-mode aaa

[SW-ui-vty0-4]protocol inbound ssh

[SW]ssh user sw authentication-type password

[SW]ssh user sw service-type stelnet //用于指定用户 sw 在SSH协议中仅允许使用 Stelnet（Secure Telnet）服务，即通过SSH进行远程登录，禁止使用其他SSH子服务（如SFTP文件传输、SCP文件拷贝等）。