管理网络设备是网络工程师的日常工作之一,设备登陆方式我们可以分为本地登陆和远程登陆,本地登陆即工程师通过console线将设备和电脑连接在一起进行管理,也是初次配置的最常见的方式。但是本地登陆毕竟还是存在一定限制,因此工程师通常会在初次配置过程中配置远程登陆协议,方便后续管理工作的进行,这篇文章将描述远程登陆协议telnet的配置方法。
实验拓扑:
实验需求:
AR1、AR2是公司机房的一台设备,AR3模拟管理员主机,现需要在路由器AR1和AR2上配置telnet使管理员主机可以远程管理AR1和AR2.AR1使用密码认证并只有普通用户权限管理设备,AR2使用用户名密码方式登陆并且以管理权限登入。
实验步骤:
1:三台设备配置IP地址完成网络互通。
2:配置Telnet的密码认证
在AR1上配置Telnet验证方式为密码认证,密码为shangwen,并设置验证密码以密文方式存储,在配置文件中以加密的方式显示,防止密码泄露。
[telnet]user-interface vty 0 4
[telnet-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):shangwen
3:在AR3上进行验证,可以正常登陆,并且AR1上看到VTY用户,并且用户等级为0(参观级)
4:将AR1上的配置的telnet用户级别设置为1(监控级)
[telnet]user-interface vty 0 4
[telnet-ui-vty0-4]user privilege level 1
通过display user-interface可以看到用户权限为1.
[telnet]display user-interface
Idx Type Tx/Rx Modem Privi ActualPrivi Auth Int
- 0 CON 0 9600 - 15 15 P -
- 129 VTY 0 - 1 5 P -
5:设置AR2上设置用户名密码方式登陆
[telnet2]aaa
[telnet2-aaa]local-user shangwen password cipher shangwen(创建用户名密码)
Info: Add a new user.
[telnet2-aaa]local-user shangwen privilege level 15(设置用户权限等级15)
[telnet2-aaa]local-user shangwen service-type telnet (设置用户服务类型为telnet)
[telnet2]user-interface vty 0 4
[telnet2-ui-vty0-4]authentication-mode aaa (设置用户认证方式为aaa)
6:在AR3上进行登陆验证
telnet 12.1.1.2
Press CTRL_] to quit telnet mode
Trying 12.1.1.2 …
Connected to 12.1.1.2 …
Login authentication
Username:shangwen
Password:
附录:
系统将命令进行分级管理,以增加设备的安全性。设备管理员可以设置用户级别,一定级别的用户可以使用对应级别的命令行。缺省情况下命令级别分为0~3级,用户级别分为0~15级。用户0级为访问级别,对应网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(Telnet客户端)、部分display命令等。用户1级为监控级别,对应命令级0、1级,包括用于系统维护的命令以及display等命令。用户2级是配置级别,包括向用户提供直接网络服务,包括路由、各个网络层次的命令。用户3-15级是管理级别,对应命令3级,该级别主要是用于系统运行的命令,对业务提供支撑作用,包括文件系统、FTP、TFTP下载、文件交换配置、电源供应控制,备份板控制、用户管理、命令级别设置、系统内部参数设置、以及用于业务故障诊断的debugging命令。本例展示了如何修改命令级别,在用户视图下执行save命令需要3级的权限。
在具体使用中,如果我们有多个管理员帐号,但只允许某一个管理员保存系统配置,则可以将save命令的级别提高到4级,并定义只有该管理员有4级权限。这样,在不影响其他用户的情况下,可以实现对命令的使用控制。
有问题大家可以留言讨论,关注系统相关知识以及云计算相关内容的可以参考尚文网络楠哥文章,认准尚文网络成为一名优秀的IT人。
----尚文网络奎哥
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
