通过Telnet登录网络设备系统
1、Telnet的优点
便于对设备进行远程管理和维护,不需要为每一台设备都连接一个终端,极大地方便了用户的操作。
2、Telnet的缺点
传输过程采用TCP协议进行明文传输,存在安全隐患。
3、Telnet的应用场景
终端连接到网络上,使用Telnet方式登录设备,进行远程的配置。应用在对安全性要求不高的网络。
4、Telnet的说明
缺省情况下,用户不能通过Telnet方式直接登录设备。如果需要通过Telnet方式登录设备,可以先通过Console口或MiniUSB口本地登录设备,并完成以下配置:
- 确保终端和登录的设备之间路由可达(缺省情况下,设备上没有配置管理IP地址)。
- 配置Telnet服务器功能及参数。
- 配置Telnet用户登录的用户界面。
5、Telnet实验内容
本实验模拟企业网络场景。路由器 AR1 是企业机房的一台设备,企业员工的办公区与机房不在同一楼层,路由器 AR2 和 AR3 模拟员工主机,通过交换机 S1 与机房设备相连。为了方便用户管理,现需要在路由器 AR1 上配置 Telnet 使用户能在办公区远程管理机房设备。为了提高安全性,Telnet 需要使用密码认证,只有网络管理员能对设备进行配置和管理,普通用户只能监控设备。
6、Telnet实验目的
- 掌握 Telnet 的应用场景
- 掌握 Telnet 的基本配置
- 掌握 Telnet 密码验证的配置
- 掌握 Telnet 用户级别的修改方法
7、实验拓扑
8、 实验编址
表 1 | 实验编址 | |||
设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
AR1(AR2220) | GE 0/0/0 | 172.16.1.1 | 255.255.255.0 | N/A |
AR2(AR2220) | GE 0/0/0 | 172.16.1.2 | 255.255.255.0 | 172.16.1.1 |
AR3(AR2220) | GE 0/0/0 | 172.16.1.3 | 255.255.255.0 | 172.16.1.1 |
9、实验步骤
9.1、基本配置
根据实验编址进行相应的基本配置,并使用ping命令检测个直连链路的连通性。
[AR1]ping -c 1 172.16.1.2
PING 172.16.1.2: 56 data bytes, press CTRL_C to break
Reply from 172.16.1.2: bytes=56 Sequence=1 ttl=255 time=40 ms
--- 172.16.1.2 ping statistics ---
1 packet(s) transmitted
1 packet(s) received
0.00% packet loss
round-trip min/avg/max = 40/40/40 ms
[AR1]ping -c 1 172.16.1.3
PING 172.16.1.3: 56 data bytes, press CTRL_C to break
Reply from 172.16.1.3: bytes=56 Sequence=1 ttl=255 time=90 ms
--- 172.16.1.3 ping statistics ---
1 packet(s) transmitted
1 packet(s) received
0.00% packet loss
round-trip min/avg/max = 90/90/90 ms
[AR1]
9.2、配置Telnet的密码验证
在AR1上配置Telnet验证方式为密码验证方式,密码为blab.com,并设置验证密码以密文方式存储,在配置文件中以加密的方式显示密码,能够使密码不容易泄露。
[AR1]user-interface vty 0 4
[AR1-ui-vty0-4]au
[AR1-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):blab.com
[AR1-ui-vty0-4]quit
在网管设备AR3上使用Telnet登录AR1.
<AR3>telnet 172.16.1.1
Press CTRL_] to quit telnet mode
Trying 172.16.1.1 ...
Connected to 172.16.1.1 ...
Login authentication
Password:
<AR1>
可以观察AR1在连接AR1的过程中,要求输入认证密码,只有当输入正确的密码后才能登录AR1的用户界面
登录成功后,可以继续使用display users命令查看已经登录的用户信息。
[AR1]display users
User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag
+ 0 CON 0 00:00:00 pass
Username : Unspecified
129 VTY 0 00:00:04 TEL 172.16.1.3 pass
Username : Unspecified
[AR1]
9.3、配置VTY用户界面的用户级别(通过Telnet登录)
背景信息
- 用户可以配置用户级别,实现对不同用户访问设备权限的限制,增加设备管理的安全性。
- 用户的级别分为16个级别,级别标识为0~15,标识越高则级别越高。
- 用户的级别和命令的级别是相对应的,即用户只能使用等于或低于自己级别的命令。用户级别和命令级别对应关系如表2所示。
用户级别 | 命令级别 | 级别名称 | 说明 |
---|---|---|---|
0 | 0 | 参观级 | 网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(Telnet客户端)等。 |
1 | 0、1 | 监控级 | 用于系统维护,包括display等命令。 说明:并不是所有display命令都是监控级,比如display current-configuration命令和display saved-configuration命令是3级管理级。各命令的级别请参见《Huawei AR系列接入路由器 命令参考》手册。 |
2 | 0、1、2 | 配置级 | 业务配置命令,包括路由、各个网络层次的命令,向用户提供直接网络服务。 |
3~15 | 0、1、2、3 | 管理级 | 用于系统基本运行的命令,对业务提供支撑作用,包括文件系统、FTP、TFTP下载、用户管理命令、命令级别设置命令以及用于业务故障诊断的debugging命令等。 |
在AR1上配置Telnet的用户级别为1(监控级)。普通员工仅使用密码登录设备,只能使用display等命令监控设备。
[AR1]user-interface vty 0 4
[AR1-ui-vty0-4]user privilege level 1
[AR1-ui-vty0-4]quit
配置完成后,将AR3模拟成普通用户设备,测试到AR1的Telnet连接。
<AR3>telnet 172.16.1.1
Press CTRL_] to quit telnet mode
Trying 172.16.1.1 ...
Connected to 172.16.1.1 ...
Login authentication
Password:
<AR1>system-view
^
Error: Unrecognized command found at '^' position.
<AR1>
可以观察到,此时输入正确的密码后即可进入AR1的用户视图,但是在视图进入AR1的系统视图时被拒绝了,这是因为用户级别不够,所有无法执行更高一级的命令。
9.4、配置AAA认证的Telnet服务
AAA认证:登录时需输入用户名和密码。设备根据配置的AAA用户名和密码验证用户输入的信息是否正确,如果正确,允许登录,否则拒绝登录。
下面在AR2上模拟进入AAA视图下配置本地用户名blab和密文密码,并且将该用户的基本修改为3(管理级)。
[AR2]aaa
[AR2-aaa]local-user blab password cipher blab.com privilege level 3
[AR2-aaa]local-user blab service-type telnet
[AR2-aaa]quit
进入VTY用户视图下,将认证模式改为AAA.
[AR2]user-interface vty 0 4
[AR2-ui-vty0-4]authentication-mode aaa
[AR2-ui-vty0-4]quit
在AR3上测试并使用抓包工具抓取Telnet数据包
<AR3>telnet 172.16.1.2
Press CTRL_] to quit telnet mode
Trying 172.16.1.2 ...
Connected to 172.16.1.2 ...
Login authentication
Username:blab
Password:
<AR2>system-view
Enter system view, return user view with Ctrl+Z.
[AR2]
查看用户登录情况
[AR2]display users
User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag
+ 0 CON 0 00:00:00 pass
Username : Unspecified
129 VTY 0 00:00:11 TEL 172.16.1.3 pass
Username : blab
[AR2]
查看抓包结果
Telnet的账号密码以明文方式发送,安全性低。