VRP基础操作
1.1 认识eNSP
原理概述
eNSP作为一款网络仿真工具平台,可模拟华为企业级路由器和交换机的大部分特性,可模拟PC终端、集线器、网络云、顿中继交换机等。通过仿真设备配置功能,用户可以快速学习华为命令行,可通过真实网卡实现与真实网络设备的对接,并且还可以模拟接口抓包,直观感受各种协议的报文交互过程。
eNSP使用图形化操作界面,支持拓扑创建、修改、删除、保存等操作:支持设备拖拽、接口连线操作,通过不同颜色直观反映设备与接口的运行状态。eNSP还预置了大量工程案例,可直接打开演练学习。
eNSP支持单机版本和多机版本,单机部署指只在一台主机上完成组网,多机部署指Server端分布式部署在多台服务器上,多机组网场景最大可模拟200台设备组网规模。
1.2 熟悉VRP基本操作
原理概述
VRP(Versatile Routing Platform,通用路由平台)是华为公司数据通信产品的通用网络操作系统平台,拥有一致的网络界面、用户界面和管理界面。在VRP操作系统中,用户通过命令行对设备下发各种命令来实现对设备的配置与日常维护操作。
用户登录到路由器后出现命令行提示符后,即进入命令行接口CLI(Command Line Interface)。命令行接口是用户与路由器进行交互的常用工具。
当用户输入命令时,如果不记得此命令的关键字或参数,可以使用命令行的帮助获取全部或部分关键字和参数的提示。用户也可以通过使用系统快捷键完成对应命令的输入,简化操作。在首次登录设备时,用户可根据需要完成设备的基本配置,如设备名称的修改、时钟的配置以及标题文本的设置等。
实验目的
- 熟悉VRP的基本操作
- 掌握命令行视图的切换
- 掌握命令行帮助和快捷键的使用
- 掌握修改设备名称和设置时钟的方法
- 掌握设置标题信息的方法
- 掌握查看路由器基本信息的方法
实验内容
本实验模拟用户首次使用VRP操作系统的过程。在登录路由器后使用命令行来配置设备,进行命令行视图的切换、命令行帮助和快捷键的使用,并完成设备的基本配置,包括修改路由器名称、配置路由器时钟、设置标题文本以及使用命令行查看路由器基本信息等。
实验步骤
1.2.1 命令视图切换
启动设备,登录设备成功后即进入用户视图
【图1-25】【【图1-25】【图1-25】【图1-25】【图1-25】【图1-25】【图1-25】
在用户视图下只能使用参观和监控级命令,如使用display version命令显示系统软件及硬件等信息
<Huawei>display version
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.130 (AR2200 V200R003C00)
Copyright (C) 2011-2012 HUAWEI TECH CO., LTD
Huawei AR2220 Router uptime is 0 week, 0 day, 0 hour, 1 minute
BKP 0 version information:
1. PCB Version : AR01BAK2A VER.NC
2. If Supporting PoE : No
3. Board Type : AR2220
4. MPU Slot Quantity : 1
5. LPU Slot Quantity : 6
MPU 0(Master) : uptime is 0 week, 0 day, 0 hour, 1 minute
MPU version information :
1. PCB Version : AR01SRU2A VER.A
2. MAB Version : 0
3. Board Type : AR2220
4. BootROM Version : 0
从以上内容中可以观察到VRP操作系统的版本、设备的型号和启动时间等信息。
在用户视图下使用system-view命令可以切换到系统视图。在系统视图下可以配置接口、协议等,使用quit(Ctrl+Z)命令又可以切换回用户视图。
<Huawei>system-view
Enter system view,return user view with Ctrl+Z。
<Huawei>quit
<Huawei>
在系统视图下使用相应命令可进入其他视图,如使用interface命令进入接口视图。在接口视图下可以使用ip address命令配置接口IP地址、子网掩码。
为路由器的 GE 0/0/0接口配置IP地址时可以使用子网掩码长度,也可以使用完整的子网掩码,如掩码为255.255.255.0,可以使用24替代。
<Huawei>system-view
Enter system view,return user view with Ctrl+Z。
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 10.1.1.1 24
配置完成后,可以使用return命令直接退回到用户视图。
[Huawei-GigabitEthernet0/0/0]return
<Huawei>
return 命令可以使用户从任意非用户视图退回到用户视图,也可以用组合快捷键<Ctrl+Z>完成。
1.2.2 命令行帮助
如果忘记命令的参数或关键字,可以使用命令行在线帮助。命令行在线帮助分为完全帮助和部分帮助
(1) 完全帮助:在任意命令视图下,输入"?"获取该命令视图下所有的命令及其简单描述。
如在系统视图下,输入"?"获取该命令视图下所有的命令及其简单描述。
[Huawei]?
System view commands:
aaa <Group> aaa command group
aaa-authen-bypass Set remote authentication bypass
aaa-author-bypass Set remote authorization bypass
aaa-author-cmd-bypass Set remote command authorization bypass
access-user User access
acl Specify ACL configuration information
......
---- More ----
在可以输入一个命令,后接一空格分隔的"?",列出全部关键字或参数及其简单描述。
如在系统视图下,列出interface命令参数及其简单描述。
[Huawei]interface ?
Bridge-if Bridge-if interface
Cellular Cellular interface
Dialer Dialer interface
Eth-Trunk Ethernet-Trunk interface
GigabitEthernet GigabitEthernet interface
......
(2) 部分帮助:输入一个字符串,其后紧接着"?",列出该字符串开头的所有关键字。如在系统视图下列出"rou"字符串开头的所有命令及其简单描述。
[Huawei]rou?
route Routing Module
route-policy Route-policy
route-policy-change Specify route policy change parameter
router Configure router information
1.2.3 快捷键使用
命令行接口提供了基本的命令编辑功能,支持多行编辑,每条命令的最大长度为256个字符。各功能键详细描述如下:
- 退格键表示删除光标位置的前一个字符;
- 左光标键<←>或<Ctrl+B>表示光标向左移动一个字符位置;
- 右光标键<→>或<Ctrl+F>表示光标向右移动一个字符位置;
- 删除键表示删除光标位置字符;
- 上下光标键<↑>、<↓>表示显示历史命令;
- 当用户输入不完整关键字后按下键,系统自动执行部分帮助,将命令补全。比如输入"dis"后,按键可以将命令补全为"display"。
<Huawei>dis
<Huawei>display
可以通过display hotkey命令来查看已定义、未定义和系统保留的快捷键情况。
1.2.4 修改路由器名称
当网络上有多个设备需要管理时,用户可以为每个设备设置特定的名称,以便于管理和识别。
在系统视图下,使用sysname命令修改当前路由器名称,如更改当前路由器的系统名称为R1。
[Huawei]sysname R1
[R1]
1.2.5 设置路由器时钟
为了保证网络中的设备有准确的时钟信号,用户需要准确设置设备的系统时钟。
clock datetime命令用于设置当前时间和日期;clock timezone命令用于设置所在的时区。
例如:在用户视图下,使用clock datetime命令修改系统日期和时间为2011年9月15日12时。
<R1>clock datetime 12:00:00 2011-09-15
例如:在用户模式下,使用clock timezone命令,设置所在的时区为北京。
<R1>clock timezone BJ add 08:00:00
系统默认是伦敦时间,而北京处于+8时区,时间偏移量增加了8,因此,在配置时需要加上偏移量8,才能得到预期的北京时区。
1.2.6 设置标题信息
如果需要对路由器的用户提供警示或说明信息,可以设置登录时或者登陆成功后的标题信息。
使用header login命令,可设置登录时的标题文本为hello(在设置登录密码后才会显示);使用header shell命令,可以设置登陆成功后的标题文本信息为"Welcome to Huawei certification lab"。
<R1>display-view
[R1]header login information "hello"
[R1]header shell information "Welcome to Huawei certification lab"
其中,login参数为用户在登录路由器认证过程中激活终端连接时显示的标题信息,是用户在连接到路由器并进行登录验证以及开始配置时,系统所显示的一段提示信息,当需要为用户登录提供明确的提示信息时,可以使用此配置。Shell参数为用户成功登录到路由器上,已建立了会话时显示的标题信息。
配置完成后,尝试退出路由器命令行界面重新登陆,即可观察到欢迎信息。
[R]quit
<Rl>quit
Configuration console exit,please retry to log on
Password:
Welcome to Huawei certification lab
<RI>
通常情况下,登录标语信息用于警告非法登录或者说明信息。
1.2.7 查看路由器基本信息
使用display系列命令可查看路由器基本信息或运行状态。
使用display version命令查看路由器信息。
<R1>display version
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.130 (AR2200 V200R003C00)
Copyright (C) 2011-2012 HUAWEI TECH CO., LTD
Huawei AR2220 Router uptime is 0 week, 0 day, 0 hour, 1 minute
BKP 0 version information:
1. PCB Version : AR01BAK2A VER.NC
2. If Supporting PoE : No
3. Board Type : AR2220
4. MPU Slot Quantity : 1
5. LPU Slot Quantity : 6
MPU 0(Master) : uptime is 0 week, 0 day, 0 hour, 1 minute
MPU version information :
1. PCB Version : AR01SRU2A VER.A
2. MAB Version : 0
3. Board Type : AR2220
4. BootROM Version : 0
可以观察到VRP操作系统的版本、设备型号、启动时间等信息。
使用display current-configuration命令查看路由器当前配置。
<R1>display current-configuration
[V200R003C00]
#
sysname R1
header shell information "Welcome to Huawei"
header login information "Welcome itost"
#
snmp-agent local-engineid 800007DB03000000000000
snmp-agent
#
clock timezone China-Standard-Time minus 08:00:00
......
---- More ----
可以观察到所有路由器的已配置信息。
使用display interface GigabitEthernet 0/0/0命令查看路由器GE 0/0/0接口的状态信息。
[R1]display interface GigabitEthernet 0/0/0
GigabitEthernet0/0/0 current state : DOWN
Line protocol current state : DOWN
Description:HUAWEI, AR Series, GigabitEthernet0/0/0 Interface
Route Port,The Maximum Transmit Unit is 1500
Internet protocol processing : disabled
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-fc3d-53e7
Last physical up time : -
Last physical down time : 2023-04-10 10:57:23 UTC-08:00
Current system time: 2023-04-10 16:46:42-08:00
......
---- More ----
可以观察到该接口的物理状态、接口IP地址以及其他的统计信息。
1.3 熟悉常用的IP相关命令
原理概述
华为设备支持多种配置方式,包括Web界面管理等。但作为一名网络工程师,必须熟悉使用命令行的方式进行设备管理。在工作中,对路由器和交换机最常用的操作命令就是IP相关命令,如配置主机名、IP地址、测试IP数据包连通性等。这些命令是基本的配置和测试命令。
实验目的
- 掌握路由器命名的方法
- 掌握配置路由器IP地址方法
- 掌握测试IP地址连通性的方法
- 掌握查看设备配置的方法
- 掌握抓包的方法
实验内容
本实验模拟简单的企业网络场景,某公司购买了新的路由器和交换机。交换机 S1 连接客服部PC-1,S2连接市场部PC-2,路由器R1连接S1和S2两台交换机。网络管理员需要首先熟悉设备的使用,包括基础的IP配置和查看命令。
实验拓扑
常用的IP相关命令的拓扑图如图1-26所示。
【图1-26】【图1-26】【图1-26】【图1-26】【图1-26】【图1-26】【图1-26】【图1-26】【图1-26】
实验编址
实验编址见下表。
实验编址
| 设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
|---|---|---|---|---|
| PC-1 | Ethernet 0/0/1 | 10.0.1.1 | 255.255.255.0 | 10.0.1.254 |
| PC-2 | Ethernet 0/0/1 | 10.0.2.1 | 255.255.255.0 | 10.0.1.254 |
| R1(AR2220) | GE 0/0/0 | 10.0.1.254 | 255.255.255.0 | N/A |
| R1(AR2220) | GE 0/0/1 | 10.0.2.254 | 255.255.255.0 | N/A |
实验步骤
1.3.1 基本配置
根据实验编址,使用图形化界面配置PC-1和PC-2的IP地址。
配置路由器的主机名,打开R1的命令行界面,寄进入用户视图。在用户视图下,用户可以完成查看运行状态和统计信息等功能。此时屏幕上显示:
<Huawei>
路由器主机名为默认的主机名Huawei。要更改主机名没必须使用进入系统视图模式。在系统视图下,system-view命令用户可以配置系统参数以及通过该视图进入其他功能配置视图。
<Huawei>system-view
[Huawei]
这时图标由变成了[Huawei],表示进入了系统视图模式。
在系统视图下,使用sysname命令修改设备主机名为R1。
[Huawei]sysname
可以观察到,主机名由原来的[Huawei]标成了[R1],表示主机名修改成功。
在用户视图下使用save命令保存当前配置。
<R1>save
这时会提示是否继续保存,输入"y"确认保存动作。
<R1>save
The current configuration will be written to the device.
Are you sure to continue? (y/n)[n]:y
It will take several minutes to save configuration file, please wait.......
Configuration file had been saved successfully
Note: The configuration file will take effect after being activated
出现以上信息表示保存成功。
1.3.2 配置路由器接口IP地址
从系统视图进入接口视图,在该视图下配置接口相关的物理属性、链路层特性及IP 地址等重要参数。使用interface命令进入路由器相应的接口视图GE 0/0/0。
[R1]interface GigabitEthernet 0/0/0
在路由器的接口视图下配置路由器接口IP地址和掩码。注意,华为设备上的物理接口默认都处于**开启**状态。
[R1-GigabitEthernet0/0/0]ip address 10.0.1.254 255.255.255.0
配置完成后,使用display ip interface brief命令查看接口与IP相关摘要信息。
[R1-GigabitEthernet0/0/0]display ip interface brief
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 2
The number of interface that is DOWN in Physical is 2
The number of interface that is UP in Protocol is 2
The number of interface that is DOWN in Protocol is 2
Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/0 10.0.1.254/24 up up
GigabitEthernet0/0/1 unassigned down down
GigabitEthernet0/0/2 unassigned down down
NULL0 unassigned up up(s)
可以观察到,路由器接口GE 0/0/0的IP地址已经配置完成,"Physical"为UP,即接口的物理状态处于正常启动的状态;"Protocol"为UP,即接口的链路协议状态处于正常启动的状态。
同理配置路由器GE 0/0/1的IP地址。如果在配置过程中对命令非常熟悉,可以采用简写的方式配置。
<R1>system-view
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 10.0.2.254 24
注意,即便是简写,也要保证所输入的命令关键字是唯一的,否则不会成功。如果忘记命令,可以输入"?"查看相关命令。如果输入命令首部分,可以使用键选择性补齐命令。
[R1]inter?
interface Specify the interface configuration view
[R1]inter
[R1]interface
配置完成后,再次确认接口与IP相关摘要信息。
[R1-GigabitEthernet0/0/0]display ip interface brief
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 3
The number of interface that is DOWN in Physical is 1
The number of interface that is UP in Protocol is 3
The number of interface that is DOWN in Protocol is 1
Interface IP Address/Mask Physical Protocol
GigabitEthernet0/0/0 10.0.1.254/24 up up
GigabitEthernet0/0/1 10.0.2.254/24 up up
GigabitEthernet0/0/2 unassigned down down
NULL0 unassigned up up(s)
可以观察到,路由器GE 0/0/0与GE 0/0/1的接口IP地址已经配置完成。物理接口工作正常,接口的链路协议状态处于正常启动的状态。
1.3.3.查看路由器配置信息
经过以上步骤的配置,路由器接口的IP地址已经配置完成,可以使用 display ip routing-table命令查看IPv4路由表的信息。
<R1>display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 10 Routes : 10
Destination/Mask Proto Pre Cost Flags NextHop Interface
10.0.1.0/24 Direct 0 0 D 10.0.1.254 GigabitEthernet0/0/0
10.0.1.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0
10.0.1.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/0
10.0.2.0/24 Direct 0 0 D 10.0.2.254 GigabitEthernet0/0/1
10.0.2.254/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1
10.0.2.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1
127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0
127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0
127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0
可以观察到,路由器R1在GE 0/0/0接口上直连了一个10.0.1.0/24的网段,在GE 0/0/1 接口上直连了一个10.0.2.0/24的网段。
其中,"Route Flags"为路由标记,"R"表示该路由是迭代路由,"D"表示该路由下发到FIB表。"Routing Tables:Public"表示此路由表是公网路由表,如果是私网路由表,则显示私网的名称,如Routing Tables:ABC。"Destinations"表示目的网络/主机的总数。“Routes”表示路由的总数。“Destination/Mask”表示目的网络/主机的地址和掩码长度,"Proto"表示接收此路由的路由协议,"Direct"表示直连路由,"Pre"表示此路由的优先级,"Cost"表示此路由的路由开销值。"NextHop"表示此路由的下一跳地址,"Interface"表示此路由下一跳的出接口。使用Ping命令测试路由器R1与PC间的连通性。下面以测试去往PC-1的连通性为例说明。
<R1>ping 10.0.1.1
PING 10.0.1.1: 56 data bytes, press CTRL_C to break
Reply from 10.0.1.1: bytes=56 Sequence=1 ttl=128 time=50 ms
Reply from 10.0.1.1: bytes=56 Sequence=2 ttl=128 time=10 ms
Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=128 time=10 ms
Reply from 10.0.1.1: bytes=56 Sequence=4 ttl=128 time=10 ms
Reply from 10.0.1.1: bytes=56 Sequence=5 ttl=128 time=10 ms
--- 10.0.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 10/18/50 ms
若显示上述结果,则表明测试连通性正常。
PC>ping 10.0.2.1
Ping 10.0.2.1: 32 data bytes, Press Ctrl_C to break
From 10.0.2.1: bytes=32 seq=1 ttl=127 time=15 ms
From 10.0.2.1: bytes=32 seq=2 ttl=127 time=16 ms
From 10.0.2.1: bytes=32 seq=3 ttl=127 time=15 ms
From 10.0.2.1: bytes=32 seq=4 ttl=127 time<1 ms
From 10.0.2.1: bytes=32 seq=5 ttl=127 time=16 ms
--- 10.0.2.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 0/12/16 ms
若显示上述结果,则表明PC-1到PC-2的测试连通性正常。
1.3.4 使用抓包工具
以抓取R1上GE 0/0/0接口的数据包为例,在R1与S1的直连链路上,在接口GE 0/0/0 上单击鼠标右键,在弹出的快捷菜单中选择"开始抓包"命令,下图所示。
【图1-30】【图1-30】【图1-30】【图1-30】【图1-30】【图1-30】【图1-30】【图1-30】【图1-30】
这时会显示出解包的结果,如下图所示。
【图1-31】【图1-31】【图1-31】【图1-31】【图1-31】【图1-31】【图1-31】【图1-31】【图1-31】
双击数据包可查看详细的数据包内容,如图1-32所示。
如果不需要继续抓包,可在接口的快捷菜单中选择"停止抓包"命令。
【图1-32】【图1-32】【图1-32】【图1-32】【图1-32】【图1-32】【图1-32】【图1-32】【图1-32】
1.4 配置通过Telnet登录系统
原理概述
Telnet(Telecommunication Network Protocol)起源于ARPANET,是最早的Internet 应用之一。
Telnet 通常用在远程登录应用中,以便对本地或远端运行的网络设备进行配置、监控和维护。如网络中有多台设备需要配置和管理,用户无需为每一台设备都连接一个用户终端进行本地配置,可以通过Telnet方式在一台设备上对多台设备进行管理或配置。如果网络中需要管理或配置的设备不在本地时,也可以通过Telnet方式实现对网络中设备的远程维护,极大地提高了用户操作的灵活性。实验目的
- 理解Telnet的应用场景
- 掌握Telnet的基本配置
- 掌握Telnet密码验证的配置
- 掌握Telnet用户级别的修改方法
实验内容
本实验模拟公司网络场景。路由器 R1 是公司机房的一台设备,公司员工的办公区与机房不在同一个楼层,路由器R2和R3模拟员工主机,通过交换机S1与机房设备相连。为了方便用户的管理,现需要在路由器R1上配置Telnet使用户能在办公区远程管理机房设备。为了提高安全性,Telnet 需要使用密码认证,只有网络管理员能对设备进行配置和管理,普通用户仅能监控设备。
实验拓扑
配置通过Telnet登录系统的拓扑如下图所示。
【图1-36】【图1-36】【图1-36】【图1-36】【图1-36】【图1-36】【图1-36】【图1-36】【图1-36】
实验编址
1.4.1 基本配置
根据实验编址进行相应的基本配置,并使用ping命令检测各直连链路的连通性。这里以用户主机和默认网关间的连通性为例。
<R2>ping 10.1.1.254
PING 10.1.1.254: 56 data bytes, press CTRL_C to break
Reply from 10.1.1.254: bytes=56 Sequence=1 ttl=255 time=160 ms
Reply from 10.1.1.254: bytes=56 Sequence=2 ttl=255 time=30 ms
Reply from 10.1.1.254: bytes=56 Sequence=3 ttl=255 time=50 ms
Reply from 10.1.1.254: bytes=56 Sequence=4 ttl=255 time=30 ms
Reply from 10.1.1.254: bytes=56 Sequence=5 ttl=255 time=50 ms
--- 10.1.1.254 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 30/64/160 ms
1.4.2 配置Telnet的密码验证
为了方便公司员工对机房设备进行远程管理和维护,首先需要在路由器上配置Telnet 功能。为了提高网络安全性,可在使用Telnet 时进行密码认证,只有通过认证的用户才有权限登录设备。
在R1上配置Telnet验证方式为密码验证方式,密码为huawei,并设置验证密码以密文方式存储,在配置文件中以加密的方式显示密码,能够使密码不容易被泄露。
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei
在用户设备R2和网络管理员R3上使用Telnet连接R1。
<R2>telnet 10.1.1.254
Press CTRL_] to quit telnet mode
Trying 10.1.1.254 ...
Connected to 10.1.1.254 ...
Login authentication
Password:
<R1>
<R3>telnet 10.1.1.254
Press CTRL_] to quit telnet mode
Trying 10.1.1.254 ...
Connected to 10.1.1.254 ...
Login authentication
Password:
<R1>
可以观察到R2和R3在连接R1的过程中,要求输入认证密码,只有当输入正确的密码后才能进入R1的用户界面。
登录成功后,可以继续使用display users命令查看已经登录的用户信息。
<R1>display users
User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag
+ 0 CON 0 00:00:00 pass
Username : Unspecified
129 VTY 0 00:00:47 TEL 10.1.1.2 pass
Username : Unspecified
130 VTY 1 00:00:16 TEL 10.1.1.1 pass
Username : Unspecified
1.4.3 配置Telnet区分不同用户的权限
为了进一步保证网络的安全性及稳定性,避免员工错误更改设备的配置,公司要求普通员工只能拥有设备的监控权限,只有网络管理员拥有设备的配置和管理权限。默认情况下,VTY用户界面的用户级别为0(参观级),只能使用ping、tracert等网络诊断命令。
在R1上配置Telnet的用户级别为1(监控级)。普通员工仅使用密码登录设备,只能使用display等命令监控设备。
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei
[R1-ui-vty0-4]set authentication password cipher huawei
[R1-ui-vty0-4]user privilege level 1
配置完成后,将R2模拟成普通用户设备,测试到R1的Telnet连接。
<R2>telnet 10.1.1.254
Press CTRL_] to quit telnet mode
Trying 10.1.1.254 ...
Connected to 10.1.1.254 ...
Login authentication
Password:
<R1>system-view
^
Error: Unrecognized command found at '^' position.
<R1>
可以观察到,此时输入正确的密码后即可进入R1的用户视图,但是在试图进入R1 的系统视图时被拒绝了,这是因为用户级别不够,所以无法执行更高一级的命令。
管理员使用自己单独的用户名和密码登录设备,拥有设备的配置和管理权限。这里要将VTY用户界面的认证模式修改成AAA认证,这样才能使用本地的用户名和密码进行认证。默认情况下,设备的 AAA 认证功能是开启的,所以只需要为管理员在本地配置相应的用户名和密码即可。
下面模拟进入 AAA视图下配置本地用户名 admin 和密文密码hello,并且将该用户的用户级别修改为3(管理级)。
[R1]aaa
[R1-aaa]local-user admin password cipher hello privilege level 3
#配置该用户的接入类型为Telnet。
[R1-aaa]local-user admin service-type telnet
[R1-aaa]quit
#进入VTY用户界面视图下,将认证模式改成AAA。
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa
将R3模拟成管理员用户设备,测试到R1的Telnet连接。
<R3>telnet 10.1.1.254
Press CTRL_] to quit telnet mode
Trying 10.1.1.254 ...
Connected to 10.1.1.254 ...
Login authentication
Username:admin
Password:
<R1>sys
<R1>system-view
Enter system view, return user view with Ctrl+Z.
[R1]
可以观察到,此时在连接 R1 时需要同时输入用户名和密码进行认证。输入正确的用户名和密码后即可进入R1的用户视图下,且可以使用system-view命令进入到R1的系统视图下,从而对R1进行所有相关的配置和管理操作。
1.5 配置通过STelnet登录系统
原理概述
由于Telnet缺少安全的认证方式,而且传输过程采用TCP进行明文传输,存在很大的安全隐患,单纯提供Telnet服务容易招致主机IP地址欺骗、路由欺骗等恶意攻击。传统的Telnet和FTP等通过明文传送密码和数据的方式,已经慢慢不被接受。
STelnet是Secure Telnet 的简称。在一个传统不安全的网络环境中,服务器通过对用户端的认证及双向的数据加密,为网络终端访问提供安全的Telnet服务。
SSH(Secure Shell)是一个网络安全协议,通过对网络数据的加密,使其能够在一个不安全的网络环境中,提供安全的远程登录和其他安全网络服务。SSH特性可以提供安全的信息保障和强大的认证功能,以保护路由器不受诸如IP地址欺诈、明文密码截取等攻击。SSH数据加密传输,认证机制更加安全,而且可以代替Telnet,已经被广泛使用,成为了当前重要的网络协议之一。
SSH基于TCP协议22端口传输数据,支持Password认证。用户端向服务器发出Password 认证请求,将用户名和密码加密后发送给服务器:服务器将该信息解密后得到用户名和密码的明文,与设备上保存的用户名和密码进行比较,并返回认证成功或失败的消息。
SFTP是SSHFile Transfer Protocol的简称,在一个传统不安全的网络环境中,服务器通过对用户端的认证及双向的数据加密,为网络文件传输提供了安全的服务。
实验目的
- 理解SSH的应用场景
- 理解SSH协议的原理
- 掌握配置SSH Password认证的方法
- 掌握SFTP的配置
实验内容
使用路由器R1模拟PC,作为SSH的Client;路由器R2作为SSH的Server,模拟远程用户端 R1 通过 SSH 协议远程登录到路由器 R2 上进行各种配置。本实验将通过Password认证方式来实现。
实验拓扑
配置通过STelnet登录系统的拓扑如下图所示。
【图1-37】【图1-37】【图1-37】【图1-37】【图1-37】【图1-37】【图1-37】【图1-37】【图1-37】
实验编址
实验编址
| 设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
|---|---|---|---|---|
| R1(AR220) | GE 0/0/0 | 10.1.1.1 | 255.255.255.0 | N/A |
| R2(AR220) | GE 0/0/0 | 10.1.1.2 | 255.255.255.0 | N/A |
实验步骤
1.5.1 基本配置
由于 eNSP模拟软件自带PC 没有 SSH 用户端,本实验采用两台路由器模拟实验,路由器R1作为SSH的Client,路由器R2作为SSH的Server。
根据实验编址表进行相应的基本配置,并使用ping命令检测各直连链路的连通性。
<Huawei>ping 10.1.1.2
PING 10.1.1.2: 56 data bytes, press CTRL_C to break
Reply from 10.1.1.2: bytes=56 Sequence=1 ttl=255 time=120 ms
Reply from 10.1.1.2: bytes=56 Sequence=2 ttl=255 time=20 ms
Reply from 10.1.1.2: bytes=56 Sequence=3 ttl=255 time=20 ms
Reply from 10.1.1.2: bytes=56 Sequence=4 ttl=255 time=20 ms
Reply from 10.1.1.2: bytes=56 Sequence=5 ttl=255 time=20 ms
--- 10.1.1.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 20/40/120 ms
1.5.2 配置SSH Server
相比于Telnet协议,SSH协议支持对报文加密传输,而非明文传送。因此,在跨越互联网的远程登录管理中,建议使用SSH协议。
由于SSH用户使用Password方式验证,需要在SSH服务器端生成本地RSA密钥,因此生成本地RSA密钥对是完成SSH登录配置的首要操作。
在R2上使用rsa local-key-pair create命令来生成本地RSA 主机密钥对。
[R2]rsa local-key-pair create
The key name will be: Host
% RSA keys defined for Host already exist.
Confirm to replace them? (y/n)[n]:y
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Input the bits in the modulus[default = 512]:
Generating keys...
..++++++++++++
....................++++++++++++
..........................++++++++
..................................++++++++
配置完成后,使用display rsa local-key-pair public命令查看本地密钥对中的公钥部分信息。
[R2]display rsa local-key-pair public
=====================================================
Time of Key pair created: 2023-04-12 09:45:55-08:00
Key name: Host
Key type: RSA encryption Key
=====================================================
Key code:
3047
0240
BD9CBA91 2BB3F4BD F70C4438 A745FE90 B5641A3D
F2E657E8 6AA4C786 16D85C8B E82794A4 80110A4C
8CBAE5E2 08F25AC1 8FC0F5F9 5EBA2192 1838CB13
175F3F2B
0203
010001
=====================================================
Time of Key pair created: 2023-04-12 09:46:00-08:00
Key name: Server
Key type: RSA encryption Key
=====================================================
Key code:
3067
0260
C9FC67A6 180363FB 32F89442 0798CF1C 5B811B39
792A3EC3 97AFF4C0 D02AC8FF 9A241CE0 6AD0A1DD
356010EC 5CF869A9 1E550BD7 3182BE29 B5B43E26
74FD846C 40BB36A9 714EB9EE BFAB7D40 06C318F9
2FAB3DD7 386B08AA 2BADB38F C089D687
0203
010001
可以观察到,此时已经生成了本地RSA主机密钥对。"Time of Key pair created"描述公钥生成的时间,"Key name"描述公钥的名称,"Key type"描述公钥的类型。
在R2上配置VTY用户界面,设置用户的验证方式为AAA授权验证方式。
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode aaa
指定VTY类型用户界面只支持SSH协议,设备将自动禁止Telnet功能。
[R2-ui-vty0-4]protocol inbound ssh
使用local-user命令车床件本地用户和用户口令,并以密文方式显示显示用户口令,指定用户名为huawei1,密码为huawei1.
[R2]aaa
[R2-aaa]local-user huawei1 password cipher huawei1
Info: Add a new user.
配置本地用户的接入类型为SSH。
[R2-aaa]local-user huawei1 service-type ssh
使用ssh user命令新建SSH用户,用户名为huawei1,指定SSH用户的认证方式为Password,即密码认证方式。
[R2]ssh user huawei1 authentication-type password
此处还可以继续使用local-user huaweil privilege level命令配置本地用户的优先级。其取值范围为0~15,取值越大,代表用户的优先级越高。不同级别的用户登录后,只能使用等于或低于自身级别的命令,默认值为3,代表管理级。
默认情况下,设备的SSH服务器功能为关闭状态,只有开启了此功能后,用户端才能以SSH方式与设备建立连接。在R2上开启设备的SSH功能。
[R2]stelnet server enable
Info: Succeeded in starting the STELNET server.
配置完成后,使用display ssh user-information huawei1命令在SSH服务器端查看SSH用户的配置信息。如果不在命令末尾指定SSH用户,则可以查看SSH服务器端所有的SSH用户配置信息。
[R2]display ssh user-information huawei1
-------------------------------------------------------------------------------
Username Auth-type User-public-key-name
-------------------------------------------------------------------------------
huawei1 password null
-------------------------------------------------------------------------------
可以观察到所配置的SSH用户名及认证方式。
运行display ssh server status命令,可以查看SSH服务器全局配置信息。
[R2]display ssh server status
SSH version :1.99
SSH connection timeout :60 seconds
SSH server key generating interval :0 hours
SSH Authentication retries :3 times
SFTP Server :Disable
Stelnet server :Enable
可以观察到,此时R2上STelnet Server服务器状态为启用状态。
1.5.3 配置SSH Client
当SSH用户端第一次登录SSH服务器时,用户端还没有保存SSH服务器的RSA公钥,会对服务器的RSA有效性公钥检查失败,从而导致登录服务器失败。因此当用户端R1首次登录时,需开启SSH用户端首次认证功能,不对SSH服务器的RSA公钥进行有效性检查。
[R1]stelnet 10.1.1.2
Please input the username:huawei1
Trying 10.1.1.2 ...
Press CTRL+K to abort
Connected to 10.1.1.2 ...
Error: Failed to verify the server's public key.
Please run the command "ssh client first-time enable"to enable the first-time ac
cess function and try again.
[R1]ssh client first-time enable
在SSH用户端R1上使用stelnet命令连接SSH服务器。
[R1]stelnet 10.1.1.2
登录成功后,输入用户名huawei1,设置连接前的选项后输入huawei1密码进行连接。
[R1]stelnet 10.1.1.2
Please input the username:huawei1
Trying 10.1.1.2 ...
Press CTRL+K to abort
Connected to 10.1.1.2 ...
The server is not authenticated. Continue to access it? (y/n)[n]:y
Apr 12 2023 14:52:39-08:00 R1 %%01SSH/4/CONTINUE_KEYEXCHANGE(l)[0]:The server ha
d not been authenticated in the process of exchanging keys. When deciding whethe
r to continue, the user chose Y.
[R1]
Save the server's public key? (y/n)[n]:y
The server's public key will be saved with the name 10.1.1.2. Please wait...
Apr 12 2023 14:52:42-08:00 R1 %%01SSH/4/SAVE_PUBLICKEY(l)[1]:When deciding wheth
er to save the server's public key 10.1.1.2, the user chose Y.
[R1]
Enter password:
<R2>
第一次登录时,由于开启了SSH用户端首次认证功能,在STelnet用户端第一次登录SSH服务器时,将不对SSH服务器的RSA公钥进行有效性检查。登录后,系统将自动分配并保存RSA公钥,为下次登录时认证。
输入密码后,远程登录R2成功,使用display ssh server session命令查看SSH服务器端的当前会话连接信息,并在R1上断开连接后再次查看,提示没有ssh server的连接信息进行验证。
[R2]display ssh server session
--------------------------------------------------------------------
Conn Ver Encry State Auth-type Username
--------------------------------------------------------------------
VTY 0 2.0 AES run password huawei1
--------------------------------------------------------------------
[R2]display ssh server session
No ssh server session
可以观察到,用户huaweil已经成功通过VTY线路0远程登录上来,用户端已经成功连接到SSH服务器,可以进行各种配置。如果要退出登录,使用quit命令即可。
1.5.4 配置SFTP Server与Client
在R2上进入AAA视图,创建一个名称为huawei2的用户,并配置密码为huawei2,以密文方式显示。
[R2]aaa
[R2-aaa]local-user huawei2 password cipher huawei2
Info: Add a new user.
配置本地用户的接入类型为SSH。
[R2-aaa]local-user huawei2 service-type ssh
配置本地用户的优先级,不同级别的用户登录后,只能使用等于或低于自身级别的命令。取值范围为0~15,取值越大,用户的优先级越高。
[R2-aaa]local-user huawei2 privilege level 3
指定FTP用户的可访问目录。默认为空,如果不配置,FTP用户将无法登录。
[R2-aaa]local-user huawei2 ftp-directory flash:
不加:(冒号)登录将提示Error: Failed to process the response from server.
使用ssh user命令新建SSH用户,用户名为huawei2,指定SSH用户的认证方式为Password,即密码认证方式。
[R2-aaa]quit
[R2]ssh user huawei2 authentication-type password
Authentication type setted, and will be in effect next time
使用sftp server enabe命令开启SFTP服务器功能。
[R2]sftp server enable
Info: Succeeded in starting the SFTP server.
配置完成后,查看SSH服务器的配置信息
[R2]display ssh server status
SSH version :1.99
SSH connection timeout :60 seconds
SSH server key generating interval :0 hours
SSH Authentication retries :3 times
SFTP Server :Enable
Stelnet server :Enable
可以观察到,此时SFTP服务已经开启。
在R1上使用sftp命令连接SSH服务器,并输入用户名huawei2和口令huawei2.
[R1]sftp 10.1.1.2
Please input the username:huawei2
Trying 10.1.1.2 ...
Press CTRL+K to abort
Enter password:
sftp-client>
可以观察到已经成功登录。在R2上查看SSH会话连接信息。
[R2]display ssh server session
--------------------------------------------------------------------
Conn Ver Encry State Auth-type Username
--------------------------------------------------------------------
VTY 0 2.0 AES run password huawei2
--------------------------------------------------------------------
可以观察到,用户huawei2已经成功通过VTY线路0远程登录上来,用户端已经成功连接到SSH服务器,可以进行各种配置。如果要退出登录,使用quit命令即可。
1.6 配置通过FTP进行文件操作
原理概述
FTP(File Transfer Protocol,文件传输协议)是在TCP/IP网络和Internet上最早使用的协议之一,在TCP/IP协议族中属于应用层协议,是文件传输的Internet标准。其主要功能是向用户提供本地和远程主机之间的文件传输,尤其是在进行版本升级、日志下载和配置保存等业务操作时。
FTP采用C/S(Client/Server)结构。FTP Server能够提供远程用户端访问和操作的功能,用户可以通过主机或者其他设备上的FTP用户端程序登录到服务器上,进行文件的上传、下载和目录访问等操作。
实验目的
- 理解FTP的应用场景
- 掌握操作FTP服务器的常见命令
- 掌握保存文件到FTP的方法
- 掌握获取FTP服务器文件到本地的方法
- 掌握配置路由器为FTP服务器的方法
实验内容
本实验模拟企业网络。PC-1为FTP用户端设备,需要访问FTP Server,从服务器上下载或上传文件。出于安全角度考虑,为防止服务器被病毒文件感染,不允许用户端直接上传文件到Server。网络管理员在R1上设置了限制,使员工不能上传文件到Server,但是可以从Server下载文件。R1也需要作为用户端从Server下载更新文件,同时配置R1作为FTP 服务器,员工可上传文件到R1上,经过管理员的检测后由R1再上传到FTP Server。
实验拓扑
【图1-38】【图1-38】【图1-38】【图1-38】【图1-38】【图1-38】【图1-38】【图1-38】【图1-38】
实验编址
实验编址
| 设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
|---|---|---|---|---|
| PC-1(Client1) | Ethernet 0/0/0 | 10.0.1.1 | 255.255.255.0 | 10.0.1.254 |
| FTP Server(Server1) | Ethernet 0/0/0 | 10.0.2.1 | 255.255.255.0 | 10.0.2.254 |
| R1(AR1 AR2220) | GE 0/0/0 | 10.0.1.254 | 255.255.255.0 | N/A |
| R1(AR1 AR2220) | GE 0/0/1 | 10.0.2.254 | 255.255.255.0 | N/A |
实验步骤
1.6.1 基本配置
根据实验编址表进行相应的基本配置,并使用ping命令检测各直连链路的连通性。
<R1>ping 10.0.1.1
PING 10.0.1.1: 56 data bytes, press CTRL_C to break
Reply from 10.0.1.1: bytes=56 Sequence=1 ttl=255 time=70 ms
Reply from 10.0.1.1: bytes=56 Sequence=2 ttl=255 time=10 ms
Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=255 time=30 ms
Reply from 10.0.1.1: bytes=56 Sequence=4 ttl=255 time=20 ms
Reply from 10.0.1.1: bytes=56 Sequence=5 ttl=255 time=10 ms
--- 10.0.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 10/28/70 ms
1.6.2 配置路由器为FTP Client
首先,在本地电脑上创建一个文件夹FTP-Huawei作为FTP服务器的文件夹,再改文件夹下在创建子文件夹config,并创建测试文件test.txt。
创建完成后,设置FTP服务器的文件夹为刚才的主文件夹目录,如下图所示。
【图1-40】【图1-40】【图1-40】【图1-40】【图1-40】【图1-40】【图1-40】【图1-40】【图1-40】【图1-40】
设置完成后,启动FTP Server。在R1上使用ftp命令连接FTP服务器。登录时默认需要输入用户名和密码,由于服务器上没有设置用户名和密码,每次在R1上输入时等同于创建该用户名和密码,本次使用用户名10.0.2.1,密码huawei。
<R1>ftp 10.0.2.1
Trying 10.0.2.1 ...
Press CTRL+K to abort
Connected to 10.0.2.1.
220 FtpServerTry FtpD for free
User(10.0.2.1:(none)):
331 Password required for .
Enter password:
230 User logged in , proceed
[R1-ftp]
可以观察到,路由器进入FTP配置视图。
使用ls命令查看FTP服务器文件夹状态。
[R1-ftp]ls
200 Port command okay.
150 Opening ASCII NO-PRINT mode data connection for ls -l.
test.txt
226 Transfer finished successfully. Data connection closed.
FTP: 10 byte(s) received in 0.130 second(s) 76.92byte(s)/sec.
可以观察到,C:\Users\huayu\Desktop\FTP-Huawei\config目录下的test.txt文件。(若有其他文件夹可以使用cd命令进入文件夹)
使用dir命令查看详细的文件属性。
[R1-ftp]dir
200 Port command okay.
150 Opening ASCII NO-PRINT mode data connection for ls -l.
-rwxrwxrwx 1 nogroup 0 Apr 6 2023 test.txt
226 Transfer finished successfully. Data connection closed.
FTP: 67 byte(s) received in 0.100 second(s) 670.00byte(s)/sec.
可以使用get命令下载test.txt到本地路由器。
[R1-ftp]get test.txt
200 Port command okay.
150 Sending test.txt (0 bytes). Mode STREAM Type BINARY
226 Transfer finished successfully. Data connection closed.
FTP: 0 byte(s) received in 0.190 second(s) 0.00byte(s)/sec.
可以观察到,下载文件成功。
使用put命令上传test.txt到FTP服务器,命名为new.txt。
[R1-ftp]put test.txt new.txt
200 Port command okay.
150 Opening BINARY data connection for new.txt
226 Transfer finished successfully. Data connection closed.
FTP: 0 byte(s) sent in 0.090 second(s) 0.00byte(s)/sec.
可以观察到,上传文件成功。
1.6.3 配置路由器为FTP Server
在上面的步骤中,路由器作为FTP Client已经成功从FTP Server上获取和上传了文件。现在将路由器配置为FTP服务器,可以使得路由器下行的用户端能够上传文件到路由器上,并可直接从Server上获取文件。
打开路由器R1的FTP服务器功能。
[R1]ftp server enable
Info: Succeeded in starting the FTP server
设置FTP登录的用户名为fip,密码为huawei,设置文件夹目录"flash:“。配置FTP 用户可访问的目录为"flash:”,用户优先级为15,服务类型为ftp。
[R1]aaa
[R1-aaa]local-user ftp password cipher huawei
Info: Add a new user.
[R1-aaa]local-user ftp ftp-directory flash:
[R1-aaa]local-user ftp service-type ftp
[R1-aaa]local-user ftp privilege level 15
配置完成后,在本地创建测试文件test-user.txt,并设置用户端信息如下图所示。配置服务器地址为10.0.1.254,用户名为ftp,密码为huawei,然后单击“登录”按钮。
【图1-41】【图1-41】【图1-41】【图1-41】【图1-41】【图1-41】【图1-41】【图1-41】【图1-41】【图1-41】【图1-41】
登录成功后,可在"本地文件列表"中选择文件 test-user.txt,并单击向右箭头传送至FTP服务器,可观察到上传文件成功。
在R1上查看目录下的文件。
<R1>dir
Directory of flash:/
Idx Attr Size(Byte) Date Time(LMT) FileName
0 drw- - Apr 13 2023 09:20:33 dhcp
1 -rw- 121,802 May 26 2014 09:20:58 portalpage.zip
2 -rw- 0 Apr 13 2023 09:33:41 test.txt
3 -rw- 2,263 Apr 13 2023 09:20:29 statemach.efs
4 -rw- 828,482 May 26 2014 09:20:58 sslvpn.zip
5 -rw- 249 Apr 13 2023 09:23:59 private-data.txt
6 -rw- 0 Apr 13 2023 09:46:21 test-user.txt
7 -rw- 551 Apr 13 2023 09:23:59 vrpcfg.zip
1,090,732 KB total (784,456 KB free)
可以观察到,已经将相应文件成功上传至FTP服务器R1。
默认情况下,FTP服务器端监听端口号是21,能否在路由器上变更此端口号?有什么好处?
可以,但需要在ftp服务没有启用的情况下。
从安全角度来讲,使用传统监听端口21可能会被攻击。导致网络的存在安全隐患,消耗不必要的带宽。改变可以有效防止攻击者对ftp的攻击 。
3935
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
