我是51CTO學(xué)院講師趙階旭，在51CTO學(xué)院“4.20 IT充電節(jié)”(4月19~20日)到來(lái)之際，和大家分享一下華為T(mén)elnet和stelnet登錄方式的經(jīng)驗(yàn)。正文來(lái)啦~~~

各種認(rèn)證和登錄方式之所以感覺(jué)混亂的原因，總結(jié)如下：

1、 配置命令復(fù)雜(客觀原因)

2、 沒(méi)有真正理解配置思路(主觀原因)

所以今天一起通過(guò)實(shí)驗(yàn)體會(huì)各種認(rèn)證和登錄方式，以便大家在學(xué)習(xí)中思路清晰。

實(shí)驗(yàn)拓?fù)浔容^簡(jiǎn)單，R2和R3兩臺(tái)路由器分別連接到交換機(jī)的兩個(gè)口，路由器上的接口地址如圖，這樣兩邊就可以ping通了!

一、簡(jiǎn)單的Telnet

1、先來(lái)個(gè)Telnet，在R3上開(kāi)啟Telnet服務(wù)，要登錄到R3必須開(kāi)啟tenet通道，設(shè)置登錄方式為password并設(shè)密碼為huawei。

[R3]user-interface vty 0 4(同時(shí)允許5個(gè)用戶接入設(shè)備) 
[R3-ui-vty0-4]authentication-mode password  
Please configure the login password (maximum length 16):huawei

在R2上TelnetR3，提示輸入密碼huawei 即可登錄R3，如下：

<R2>telnet 192.168.1.1 
Password: 
<R3>

2、問(wèn)題來(lái)了，在這個(gè)R3模式下輸入system-view不能進(jìn)入系統(tǒng)視圖模式，這是什么原因?用問(wèn)號(hào)查看可用的命令，結(jié)果沒(méi)有該命令(如下)。原因是沒(méi)有設(shè)置用戶權(quán)限，所以在配置用戶登錄時(shí)，一般都要配置用戶的權(quán)限。

<R3>?  
User view commands:  
display Display information  
hwtacacs-user HWTACACS user 
local-user Add/Delete/Set user(s)  
ping Ping function 
quit Exit from current mode and enter prior mode 
save Save file 
super Modify super password parameters 
telnet Open a telnet connection 
tracert <Group> tracert command group 
<R3>  

3、 在R3上配置用戶等級(jí)為最高15

[R3]user-interface vty 0 4 
[R3-ui-vty0-4]user privilege level 15

搞定就這么簡(jiǎn)單，要理解整個(gè)過(guò)程!

二、基于aaa 認(rèn)證的Telnet

以上的配置很容易實(shí)現(xiàn)，但是問(wèn)題又來(lái)啦!如此配置開(kāi)啟的通道所有管理員都Telnet到R3都用同一個(gè)密碼還是不安全。有一天，某管理員對(duì)公司不滿，就會(huì)把“huawei”這個(gè)登錄密碼修改掉，導(dǎo)致其他就不能用了！

解決思路：每個(gè)管理員分配一個(gè)用戶名和密碼，各自使用自己的賬號(hào)和密碼登錄。認(rèn)證方式為aaa認(rèn)證方式，為每個(gè)用戶分配一個(gè)賬號(hào)和密碼。

[R3]aaa  
[R3-aaa]local-user client1 password cipher huawei1 
Info: Add a new user.添加一個(gè)client1的用戶密碼為密文huawei 
[R3-aaa]local-user client1 privilege level 15配置用戶等級(jí) 
[R3-aaa]local-user client1 service-type telnet 這個(gè)用戶可以用的服務(wù)類型 

設(shè)置第二個(gè)賬號(hào)和密碼。

[R3-aaa]local-user client2 password cipher huawei2 
Info: Add a new user.添加一個(gè)client1的用戶密碼為密文huawei 
[R3-aaa]local-user client1 privilege level 15配置用戶等級(jí)權(quán)限 
[R3-aaa]local-user client1 service-type telnet 這個(gè)用戶可以用的服務(wù)類型 

在vty通道上配置認(rèn)證模式為aaa。

[R3]user-interface vty 0 4  
[R3-ui-vty0-4]authentication-mode aaa 
[R2-ui-vty0-4]user privilege level 15  

這里注意，aaa 是本地管理，創(chuàng)建的用戶名和密碼除了可以用于Telnet服務(wù)，還可以用于其他服務(wù)。所以，要在vty通道上做認(rèn)證模式指定為aaa. vty 0 4(同時(shí)允許5個(gè)用戶接入設(shè)備)，如果有第六個(gè)用戶Telnet接入設(shè)備是連接不上的。

三、stelnet

繼續(xù)發(fā)掘問(wèn)題。Telnet用了aaa認(rèn)證后設(shè)置了不同用戶和密碼，安全性加強(qiáng)，但是通過(guò)抓包分析Telnet的數(shù)據(jù)包你會(huì)發(fā)現(xiàn)，用戶名和密碼是可以被抓取的，所以這些用戶名和密碼都是不安全的。那怎么解決呢?用stelnet數(shù)字證書(shū)認(rèn)證及SSH協(xié)議解決Telnet傳輸明文的問(wèn)題。

首先要?jiǎng)?chuàng)建秘鑰對(duì)。

[R3]rsa local-key-pair create 
The key name will be: Host  
% RSA keys defined for Host already exist.(默認(rèn)證書(shū)已經(jīng)創(chuàng)建好) 
Confirm to replace them? (y/n)[n]:y(是否替換掉，我們輸入y)  
The range of public key size is (512 ~ 2048). 
NOTES: If the key modulus is greater than 512,  
It will take a few minutes. 
Input the bits in the modulus[default = 512]:1024(秘鑰長(zhǎng)度默認(rèn)512，我們用更長(zhǎng)的1024) 
Generating keys...  
..................++++++  
................++++++  
.........++++++++ 
.........................++++++++

此時(shí)，使用SSH協(xié)議實(shí)現(xiàn)認(rèn)證，所以在vty通道定義入站流量的協(xié)議類型SSH。

[R3]user-interface vty 0 4  
[R3-ui-vty0-4]authentication-mode aaa 
[R3-ui-vty0-4]protocol inbound ssh  
[R3-ui-vty0-4]

用戶還是之前aaa管理的用戶，可以增加SSH服務(wù)類型，密碼等級(jí)之前都已經(jīng)配置過(guò)，如果新配置就一定要記得設(shè)置，記住只要設(shè)置用戶就給分配權(quán)限等級(jí)。

[R3]aaa 
[R3-aaa]local-user client1 privilege level 15 
[R3-aaa]local-user client1 service-type ssh 
[R3-aaa]local-user client2 service-typessh telnet (可以并列多個(gè)服務(wù)) 

aaa 配置完畢后，要確認(rèn)ssh是使用密碼作為認(rèn)證，這個(gè)應(yīng)該是默認(rèn)可以不敲。

[R3]ssh user client1 authentication-type password 

查看ssh server 的狀態(tài)是關(guān)閉的。

[R3]display ssh ser status 
SSH version :1.99  
SSH connection timeout :60 seconds  
SSH server key generating interval :0 hours 
SSH Authentication retries :3 times 
SFTP Server :Disable  
Stelnet server :Disable 

所以要在服務(wù)器端開(kāi)啟stelnet server 的服務(wù)。

[R3]stelnet server enable 

服務(wù)器端配置完成后，回到R2開(kāi)啟首次連接，加載服務(wù)器上的證書(shū)。

[R2]ssh client first-time enable 
[R2]stelnet 192.168.1.1  
Please input the username:client1 
Trying 192.168.1.1 ...  
Press CTRL+K to abort  
Connected to 192.168.1.1 ...  
Enter password:(輸入client對(duì)應(yīng)的密碼)  
<R3>

登錄成功。

51CTO學(xué)院 4.20 IT充電節(jié)

(19-20號(hào)兩天，100門(mén)視頻課程免單搶，更有視頻課程會(huì)員享6折，非會(huì)員享7折，套餐折上8折，微職位立減2000元鉅惠)

活動(dòng)鏈接：http://edu.51cto.com/activity/lists/id-47.html?wenzhang

相關(guān)視頻教程：

IT技術(shù)交流到51CTO論壇

http://bbs.51cto.com/thread-1491072-1.html

學(xué)習(xí)網(wǎng)絡(luò)ACL技術(shù)在線課程

http://edu.51cto.com/course/course_id-8148.html

學(xué)習(xí)點(diǎn)到點(diǎn)的VPN技術(shù)在線課程

http://edu.51cto.com/course/course_id-7485.html

學(xué)習(xí)策略路由技術(shù)在線課程

http://edu.51cto.com/course/course_id-8103.html