案例1.1_通过Telnet登录网络设备系统

通过Telnet登录网络设备系统
1、Telnet的优点
    便于对设备进行远程管理和维护，不需要为每一台设备都连接一个终端，极大地方便了用户的操作。
2、Telnet的缺点
    传输过程采用TCP协议进行明文传输，存在安全隐患。
3、Telnet的应用场景
    终端连接到网络上，使用Telnet方式登录设备，进行远程的配置。应用在对安全性要求不高的网络。
4、Telnet的说明
    缺省情况下，用户不能通过Telnet方式直接登录设备。如果需要通过Telnet方式登录设备，可以先通过Console口或MiniUSB口本地登录设备，并完成以下配置：
     - 确保终端和登录的设备之间路由可达（缺省情况下，设备上没有配置管理IP地址）。
     - 配置Telnet服务器功能及参数。
     - 配置Telnet用户登录的用户界面。
5、Telnet实验内容
    本实验模拟企业网络场景。路由器 AR1 是企业机房的一台设备，企业员工的办公区与机房不在同一楼层，路由器 AR2 和 AR3 模拟员工主机，通过交换机 S1 与机房设备相连。为了方便用户管理，现需要在路由器 AR1 上配置 Telnet 使用户能在办公区远程管理机房设备。为了提高安全性，Telnet 需要使用密码认证，只有网络管理员能对设备进行配置和管理，普通用户只能监控设备。
6、Telnet实验目的
     - 掌握 Telnet 的应用场景
     - 掌握 Telnet 的基本配置
     - 掌握 Telnet 密码验证的配置
     - 掌握 Telnet 用户级别的修改方法
7、实验拓扑

8、 实验编址

表 1	实验编址
设备	接口	IP地址	子网掩码	默认网关
AR1（AR2220）	GE 0/0/0	172.16.1.1	255.255.255.0	N/A
AR2（AR2220）	GE 0/0/0	172.16.1.2	255.255.255.0	172.16.1.1
AR3（AR2220）	GE 0/0/0	172.16.1.3	255.255.255.0	172.16.1.1

9、实验步骤

        9.1、基本配置

        根据实验编址进行相应的基本配置，并使用ping命令检测个直连链路的连通性。

[AR1]ping -c 1 172.16.1.2
  PING 172.16.1.2: 56  data bytes, press CTRL_C to break
    Reply from 172.16.1.2: bytes=56 Sequence=1 ttl=255 time=40 ms

  --- 172.16.1.2 ping statistics ---
    1 packet(s) transmitted
    1 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 40/40/40 ms

[AR1]ping -c 1 172.16.1.3
  PING 172.16.1.3: 56  data bytes, press CTRL_C to break
    Reply from 172.16.1.3: bytes=56 Sequence=1 ttl=255 time=90 ms

  --- 172.16.1.3 ping statistics ---
    1 packet(s) transmitted
    1 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 90/90/90 ms

[AR1]

        9.2、配置Telnet的密码验证

        在AR1上配置Telnet验证方式为密码验证方式，密码为blab.com，并设置验证密码以密文方式存储，在配置文件中以加密的方式显示密码，能够使密码不容易泄露。

[AR1]user-interface vty 0 4
[AR1-ui-vty0-4]au	
[AR1-ui-vty0-4]authentication-mode password 
Please configure the login password (maximum length 16):blab.com
[AR1-ui-vty0-4]quit

        在网管设备AR3上使用Telnet登录AR1.

<AR3>telnet 172.16.1.1
  Press CTRL_] to quit telnet mode
  Trying 172.16.1.1 ...
  Connected to 172.16.1.1 ...

Login authentication


Password:
<AR1>

        可以观察AR1在连接AR1的过程中，要求输入认证密码，只有当输入正确的密码后才能登录AR1的用户界面

        登录成功后，可以继续使用display users命令查看已经登录的用户信息。

[AR1]display users
  User-Intf    Delay    Type   Network Address     AuthenStatus    AuthorcmdFlag
+ 0   CON 0   00:00:00                                   pass                   
  Username : Unspecified

  129 VTY 0   00:00:04  TEL    172.16.1.3                pass                   
  Username : Unspecified


[AR1]

        9.3、配置VTY用户界面的用户级别（通过Telnet登录）

        背景信息

• 用户可以配置用户级别，实现对不同用户访问设备权限的限制，增加设备管理的安全性。
• 用户的级别分为16个级别，级别标识为0～15，标识越高则级别越高。
• 用户的级别和命令的级别是相对应的，即用户只能使用等于或低于自己级别的命令。用户级别和命令级别对应关系如表2所示。

表1 用户级别和命令级别对应关系表

用户级别	命令级别	级别名称	说明
0	0	参观级	网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（Telnet客户端）等。
1	0、1	监控级	用于系统维护，包括display等命令。 说明： 并不是所有display命令都是监控级，比如display current-configuration命令和display saved-configuration命令是3级管理级。各命令的级别请参见《Huawei AR系列接入路由器 命令参考》手册。
2	0、1、2	配置级	业务配置命令，包括路由、各个网络层次的命令，向用户提供直接网络服务。
3～15	0、1、2、3	管理级	用于系统基本运行的命令，对业务提供支撑作用，包括文件系统、FTP、TFTP下载、用户管理命令、命令级别设置命令以及用于业务故障诊断的debugging命令等。

    在AR1上配置Telnet的用户级别为1（监控级）。普通员工仅使用密码登录设备，只能使用display等命令监控设备。

[AR1]user-interface vty 0 4
[AR1-ui-vty0-4]user privilege level 1
[AR1-ui-vty0-4]quit

        配置完成后，将AR3模拟成普通用户设备，测试到AR1的Telnet连接。

<AR3>telnet 172.16.1.1
  Press CTRL_] to quit telnet mode
  Trying 172.16.1.1 ...
  Connected to 172.16.1.1 ...

Login authentication


Password:
<AR1>system-view
     ^
Error: Unrecognized command found at '^' position.
<AR1>

        可以观察到，此时输入正确的密码后即可进入AR1的用户视图，但是在视图进入AR1的系统视图时被拒绝了，这是因为用户级别不够，所有无法执行更高一级的命令。

        9.4、配置AAA认证的Telnet服务

        AAA认证：登录时需输入用户名和密码。设备根据配置的AAA用户名和密码验证用户输入的信息是否正确，如果正确，允许登录，否则拒绝登录。

        下面在AR2上模拟进入AAA视图下配置本地用户名blab和密文密码，并且将该用户的基本修改为3（管理级）。

[AR2]aaa	
[AR2-aaa]local-user blab password cipher blab.com privilege level 3
[AR2-aaa]local-user blab service-type telnet
[AR2-aaa]quit

        进入VTY用户视图下，将认证模式改为AAA.

[AR2]user-interface vty 0 4	
[AR2-ui-vty0-4]authentication-mode aaa 
[AR2-ui-vty0-4]quit

        在AR3上测试并使用抓包工具抓取Telnet数据包

<AR3>telnet 172.16.1.2
  Press CTRL_] to quit telnet mode
  Trying 172.16.1.2 ...
  Connected to 172.16.1.2 ...

Login authentication


Username:blab
Password:
<AR2>system-view 
Enter system view, return user view with Ctrl+Z.
[AR2]

        查看用户登录情况

[AR2]display users
  User-Intf    Delay    Type   Network Address     AuthenStatus    AuthorcmdFlag
+ 0   CON 0   00:00:00                                   pass                   
  Username : Unspecified

  129 VTY 0   00:00:11  TEL    172.16.1.3                pass                   
  Username : blab                


[AR2]

        查看抓包结果

         Telnet的账号密码以明文方式发送，安全性低。