SSH远程管理 和Telnet 远程管理
- 0关注
- 1收藏,2199浏览
最佳答案
3.4.3 配置设备作为Telnet服务器配置
1. 通过Telnet登录设备配置任务简介
设备作为Telnet服务器配置任务如下:
(1) 开启Telnet服务
(2) 配置设备作为Telnet服务器时的认证方式
¡ 配置Telnet登录设备时采用密码认证(password)
¡ 配置Telnet登录设备时采用AAA认证(scheme)
(3) (可选)配置Telnet服务器发送报文的公共属性
(4) (可选)配置VTY用户线的公共属性
2. 开启Telnet服务
(1) 进入系统视图。
system-view
(2) 开启设备的Telnet服务。
telnet server enable
缺省情况下,Telnet服务处于关闭状态。
3. 配置Telnet登录设备时无需认证(none)
(1) 进入系统视图。
system-view
(2) 进入VTY用户线或VTY用户线类视图。
¡ 进入VTY用户线视图。
line vty first-number [ last-number ]
¡ 进入VTY用户线类视图。
line class vty
(3) 设置登录用户的认证方式为不认证。
authentication-mode none
出厂配置中,Telnet用户的认证方式为scheme。
缺省情况下,Telnet用户的认证方式为password。
用户线视图下,authentication-mode和protocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(4) 配置从当前用户线登录设备的用户角色。
user-role role-name
出厂配置中,通过Telnet登录设备的用户角色为network-admin。
缺省情况下,对于缺省Context,通过Telnet登录设备的用户角色为network-operator。对于非缺省Context,通过Telnet登录的用户角色为context-operator。
4. 配置Telnet登录设备时采用密码认证(password)
(1) 进入系统视图。
system-view
(2) 进入VTY用户线或VTY用户线类视图。
¡ 进入VTY用户线视图。
line vty first-number [ last-number ]
¡ 进入VTY用户线类视图。
line class vty
(3) 设置登录用户的认证方式为密码认证。
authentication-mode password
出厂配置中,Telnet用户的认证方式为scheme。
缺省情况下,Telnet用户的认证方式为password。
用户线视图下,authentication-mode和protocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(4) 设置密码认证的密码。
set authentication password { hash | simple } password
缺省情况下,未设置密码认证的密码。
(5) (可选)配置从当前用户线登录设备的用户角色。
user-role role-name
出厂配置中,通过Telnet登录设备的用户角色为network-admin。
缺省情况下,对于缺省Context,通过Telnet登录设备的用户角色为network-operator。对于非缺省Context,通过Telnet登录的用户角色为context-operator。
5. 配置Telnet登录设备时采用AAA认证(scheme)
(1) 进入系统视图。
system-view
(2) 进入VTY用户线或VTY用户线类视图。
¡ 进入VTY用户线视图。
line vty first-number [ last-number ]
¡ 进入VTY用户线类视图。
line class vty
(3) 设置登录用户的认证方式为通过AAA认证。
authentication-mode scheme
出厂配置中,Telent用户的认证方式为scheme。
缺省情况下,Telent用户的认证方式为password。
用户线视图下,authentication-mode和protocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(4) 在ISP域视图下为login用户配置认证方法。
如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置RADIUS、HWTACACS或LDAP方案。相关配置的详细介绍请参见“安全配置指导”中的“AAA”。
6. 配置Telnet服务器发送报文的公共属性
(1) 进入系统视图。
system-view
(2) 配置Telnet服务器发送报文的DSCP优先级。
(IPv4网络)
telnet server dscp dscp-value
(IPv6网络)
telnet server ipv6 dscp dscp-value
缺省情况下,Telnet服务器发送Telnet报文的DSCP优先级为48。
(3) 配置Telnet协议的端口号。
(IPv4网络)
telnet server port port-number
(IPv6网络)
telnet server ipv6 port port-number
缺省情况下,Telnet协议的端口号为23。
(4) 配置Telnet登录同时在线的最大用户连接数。
aaa session-limit telnet max-sessions
缺省情况下,Telnet方式登录同时在线的最大用户连接数为32。
配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败。
关于该命令的详细描述,请参见“安全命令参考”中的“AAA”。
7. 配置VTY用户线的公共属性
(1) 进入系统视图。
system-view
(2) 进入VTY用户线或VTY用户线类视图。
¡ 进入VTY用户线视图。
line vty first-number [ last-number ]
¡ 进入VTY用户线类视图。
line class vty
(3) 设置VTY终端属性。
¡ 设置在终端线路上启动终端服务。
shell
缺省情况下,所有用户线的终端服务功能处于开启状态。
¡ 配置终端的显示类型。
terminal type { ansi | vt100 }
缺省情况下,终端显示类型为ANSI。
¡ 设置终端屏幕一屏显示的行数。
screen-length screen-length
缺省情况下,终端屏幕一屏显示的行数为24行。
取值为0表示关闭分屏显示功能。
¡ 设置设备历史命令缓冲区大小。
history-command max-size value
缺省情况下,每个用户的历史缓冲区大小为10,即可存放10条历史命令。
¡ 设置VTY用户线的空闲超时时间。
idle-timeout minutes [ seconds ]
缺省情况下,所有的用户线的超时时间为10分钟。如果10分钟内某用户线没有用户进行操作,则该用户线将自动断开。
取值为0表示永远不会超时。
(4) 配置VTY用户线支持的协议。
protocol inbound { all | ssh | telnet }
缺省情况下,设备同时支持Telnet和SSH协议。
该配置将在用户下次使用该用户线登录时生效。
用户线视图下,authentication-mode和protocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(5) 设置从用户线登录后自动执行的命令。
auto-execute command command
缺省情况下,未配置自动执行命令。
在配置auto-execute command命令并退出登录之前,要确保可以通过其他VTY用户登录并更改配置,以便出现问题后,能删除该配置。
配置自动执行命令后,用户在登录时,系统会自动执行已经配置好的命令,执行完命令后,自动断开用户连接。如果这条命令引发了一个任务,系统会等这个任务执行完毕后再断开连接。
(6) 配置快捷键。
¡ 配置中止当前运行任务的快捷键。
escape-key { key-string | default }
缺省情况下,键入<Ctrl+C>中止当前运行的任务。
¡ 配置对当前用户线进行锁定并重新认证的快捷键。
lock-key key-string
缺省情况下,不存在对当前用户线进行锁定并重新认证的快捷键。
3.4.4 配置设备作为Telnet客户端登录其他设备
1. 功能简介
用户已经成功登录到了设备上,并希望将当前设备作为Telnet客户端登录到Telnet服务器上进行操作,如图3-2所示。
2. 配置准备
先配置设备IP地址并获取Telnet服务器的IP地址。如果设备与Telnet服务器相连的端口不在同一子网内,请保证两台设备间路由可达。
3. 配置步骤
(1) 进入系统视图。
system-view
(2) (可选)指定设备作为Telnet客户端时,发送Telnet报文的源IPv4地址或源接口。
telnet client source { interface interface-type interface-number | ip ip-address }
缺省情况下,未指定发送Telnet报文的源IPv4地址和源接口,使用报文路由出接口的主IPv4地址作为Telnet报文的源地址。
(3) 退回用户视图。
quit
(4) 设备作为Telnet客户端登录到Telnet服务器。
(IPv4网络)
telnet remote-host [ service-port ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ip ip-address } ] [ dscp dscp-value ] [ escape character ]
(IPv6网络)
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ] [ dscp dscp-value ] [ escape character ]
3.5 配置通过SSH登录设备
3.5.1 功能简介
用户通过一个不能保证安全的网络环境远程登录到设备时,SSH(Secure Shell,安全外壳)可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。
· 设备可以作为SSH服务器,以便用户能够使用SSH协议登录到设备进行远程管理和监控。具体配置请参见“3.5.2 配置设备作为SSH服务器”。
· 设备也可以作为SSH客户端,使用SSH协议登录到别的设备,对别的设备进行管理和监控。具体配置请参见“3.5.3 配置设备作为SSH客户端登录其他设备”。
3.5.2 配置设备作为SSH服务器
以下配置步骤只介绍采用password方式认证SSH客户端的配置方法,publickey方式的配置方法及SSH的详细介绍,请参见“安全配置指导”中的“SSH”。
(1) 进入系统视图。
system-view
(2) 生成本地密钥对。
public-key local create { dsa | ecdsa secp256r1 | rsa }
(3) 开启SSH服务器功能。
ssh server enable
出厂配置中,SSH服务器功能处于开启状态。
缺省情况下,SSH服务器功能处于关闭状态。
(4) (可选)建立SSH用户,并指定SSH用户的认证方式。
ssh user username service-type stelnet authentication-type password
(5) 进入VTY用户线或VTY用户线类视图。
¡ 进入VTY用户线视图。
line vty first-number [ last-number ]
¡ 进入VTY用户线类视图。
line class vty
(6) 配VTY用户线的认证方式为scheme方式。
authentication-mode scheme
出厂配置中,VTY用户线的认证方式为scheme方式。
缺省情况下,VTY用户线的认证方式为password方式。
用户线视图下,authentication-mode和protocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(7) (可选)配置VTY用户线支持的SSH协议。
protocol inbound { all | ssh | telnet }
缺省情况下,设备同时支持Telnet和SSH协议。
本配置将在用户下次使用该用户线登录时生效。
用户线视图下,authentication-mode和protocol inbound存在关联绑定关系,当两条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(8) (可选)配置SSH方式登录设备时,同时在线的最大用户连接数。
aaa session-limit ssh max-sessions
缺省情况下,SSH方式登录同时在线的最大用户连接数为32。
配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败。
关于该命令的详细描述,请参见“安全命令参考”中的“AAA”。
(9) (可选)退回系统视图并配置VTY用户线的公共属性。
a. 退回系统视图。
quit
b. 配置VTY用户线的公共属性。
详细配置请参见“3.4.3 7. 配置VTY用户线的公共属性”。
3.5.3 配置设备作为SSH客户端登录其他设备
1. 功能简介
用户已经成功登录到了设备上,并希望将当前设备作为SSH客户端登录到其他设备上进行操作,如图3-3所示。
2. 配置准备
先配置设备IP地址并获取SSH服务器的IP地址。如果设备与SSH服务器相连的端口不在同一子网内,请配置路由使得两台设备间路由可达。
3. 配置步骤
请在用户视图下执行本命令,配置设备作为SSH客户端登录到SSH服务器。
(IPv4网络)
ssh2 server
(IPv6网络)
ssh2 ipv6 server
为配合SSH服务器,设备作为SSH客户端时还可进一步进行其他配置,具体配置请参见“安全配置指导”中的“SSH”。
- 2019-08-12回答
- 评论(0)
- 举报
-
(0)
设备上开启ssh telnet服务
域间策略放通对应策略
创建本地用户,服务类型包含ssh telnet ,用户角色
配置客户端用户登录线认证方式
- 2019-08-12回答
- 评论(0)
- 举报
-
(0)
暂无评论
基本上就两部,
1,建立用户
2,开启服务,
可参考下相关文档:
http://www.h3c.com/cn/d_201907/1213751_30005_0.htm
http://www.h3c.com/cn/d_201907/1213723_30005_0.htm
如果外网访问,需要放通untrust到trust和local的策略
- 2019-08-12回答
- 评论(0)
- 举报
-
(0)
暂无评论
配置Telnet: telnet server enable
line vty 0 63
authentication-mode scheme
user-role network-operator
local-user admin class manage password si 密码
service-type telnet
authorization-attribute user-role network-admin
配置SSH
ssh server enable
public-key local create rsa
public-key local creat dsa
ine vty 0 63
authentication-mode scheme pr in ssh
user-role network-operator
local-user admin class manage password si 密码
service-type ssh authorization-attribute user-role level-15
authorization-attribute user-role network-operator
auth user-role network-admin
- 2019-08-12回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论