二、H3C S3600 S5600系列交换机TELNET配置流程
账号+密码 方式登陆——
1.配置TELNET登陆的ip地址
- <SwitchA> system-view
- [SwitchA] vlan 2
- [SwitchA-vlan2] port Ethernet 1/0/1
- [SwitchA-vlan2] quit
- [SwitchA] interface vlan 2
- [SwitchA-Vlan-interface2] ip address 192.168.0.1 24
2.进入用户界面视图
- [SwitchA] user-interface vty 0 4
3.配置本地或远端用户名+口令认证方式
- [SwitchA-ui-vty0-4] authentication-mode scheme
4.配置登陆用户的级别为最高级别3(缺省为级别1)
- [SwitchA-ui-vty0-4] user privilege level 3
5.添加TELNET管理的用户,用户类型为“telnet”,用户名为“huawei”,密码为“admin”
- [SwitchA] local-user huawei
- [SwitchA-luser-huawei] service-type telnet level 3
- [SwitchA-luser-huawei] password simple admin
仅密码方式登陆——
1.配置TELNET登陆的ip地址
- <SwitchA> sys
- [SwitchA] vlan 2
- [SwitchA-vlan2] port Ethernet 1/0/1
- [SwitchA-vlan2] quit
- [SwitchA] interface vlan 2
- [SwitchA-Vlan-interface2] ip address 192.168.0.1 24
2.进入用户界面视图
- [SwitchA] user-interface vty 0 4
3.设置认证方式为密码验证方式
- [SwitchA-ui-vty0-4] anthentication-mode password
4.设置登陆验证的password为明文密码“huawei”
- [SwitchA-ui-vty-4] set authentication password simple huawei
5.配置登陆用户的级别为最高级别3(缺省为级别1)
- [SwitchA-ui-vty0-4] user privilege level 3
TELNET RADIUS验证方式配置(以使用华为3Com公司开发的CAMS作为RADIUS)——
1.配置TELNET登陆的ip地址
- <SwitchA> sys
- [SwitchA] vlan 2
- [SwitchA-vlan2] port Ethernet 1/0/1
- [SwitchA-vlan2] quit
- [SwitchA] interface vlan 2
- [SwitchA-Vlan-interface2] ip address 192.168.0.1 24
2.进入用户界面视图
- [SwitchA] user-interface vty 0 4
3.配置远端用户名和口令认证
- [SwitchA-ui-vty0-4] authentication-mode scheme
4.配置RADUIS认证方案,名为“cams”
- [SwitchA] radius scheme cams
5.配置RADIUS认证服务器地址192.168.0.31
- [SwitchA-radius-cams] primary authentication 192.168.0.31 1812
6.配置交换机与认证服务器的验证口令为“huawei”
- [SwitchA-radius-cams] key authentication huawei
7.送往RADIUS的报文不带域名
- [SwitchA-radius-cams] user-name-format without-domain
8.创建(进入)一个域,名为“huawei”
- [SwitchA] domain huawei
9.在域“huawei”中引用名为“cams”的认证方案
- [SwitchA-isp-huawei] radius-scheme cams
10.将域“huawei”配置为缺省域
- [SwitchA]domain default enable Huawei
TELNET访问控制配置——
1.配置访问控制规则只允许192.1.1.0/24
- [SwitchA] acl number 2000
- [SwitchA-acl-basic-2000] rule deny source any
- [SwitchA-acl-basic-2000] rule permit source 192..1.1.0 0.0.0.255
2.配置只允许符合ACL2000的IP地址登陆交换机
- [SwitchA] user-interface vty 0 4
- [SwitchA-ui-vty0-4] acl 2000 inbound
3.补充说明:
- TELNET登陆主机与交换机不是直连的情况下需要配置默认路由;
- 在交换机上增加supre password(缺省情况下,从VTY用户界面登录后的级别为1级,无法对设备进行配置操作。必须要将用户的权限设置为最高级别3,才可以进入系统视图并进行配置操作。低级别用户登陆交换机后,需输入super password改变自己的级别)例如,配置级别3用户的super password为明文密码“super3”:[SwitchA]super password level 3 simple super 3