华三交换机的Console和Telnet方式的登陆配置 2021-01-17 网络 暂无评论 4023 次阅读 交换机登陆配置刚接触交换机的人来说,还是需要下点功夫搞懂的。这是我学习的总结,不足之处还望批评指正。 首先,在配置之前,要明白一些概念。在登陆交换机时候,交换机给我们提供了登陆交换机的接口(user-interface),用console线直连console口登陆的接口叫aux,aux通常只有一个,也就是aux 0。通过网络登陆的接口叫虚拟接口(vty),vty通常有好多个(16-64个),也是从0开始。下面是交换机的接口信息: ![h3c-console-telnet-01.png](https://blog.moper.net/usr/uploads/2021/01/3689568814.png) 进入接口的方式就是通过`user-interface aux 0`或者`user-interface vty 0` 有的配置命令会有这样的方式:`user-interface vty 0 4` 这是什么意思呢,0 4代表vty0到vty4,一共五个虚拟接口,也就是我们可以同时通过五个虚拟接口远程登录交换机。 大家请看下图,交换机只配置了5个虚拟接口,在登陆第6个的时候,就会提示不成功: ![h3c-console-telnet-02.png](https://blog.moper.net/usr/uploads/2021/01/1958496876.png) 其次,还需要知道的就是用户的级别。也就是你登陆之后的权限。 通常我们会看到这样的命令`user privilege level 3`或者`authorization-attribute level 3`或者`authorization-attribute user-role level-15`。这些命令就是控制登陆之后的权限。 有的把权限分为0-3,四个级别,有的是0-15,一共16个级别。 其实都差不多,四个级别和十六个级别差不多是对应的,0对应0123,1对应4567等等。 下图是华三官网对级别的解释: ![h3c-console-telnet-03.png](https://blog.moper.net/usr/uploads/2021/01/3898653087.png) ![h3c-console-telnet-04.png](https://blog.moper.net/usr/uploads/2021/01/3983121635.png) 最后,要了解认证的模式(authentication-mode),认证模式有三种: 无密码(none),直接连上就进去了。 有密码(password),需要密码认证,但是没有用户名。 以及Scheme,用户名和密码认证。用scheme认证方式的用户名和密码可以是交换机内部创建的用户,也可以是远程认证服务器上的用户。 了解上述概念之后,就可以开始配置了,要注意的是不同型号的交换机,其中命令还有一些差别。最好的解决方法就是上官网查阅相关的技术手册。 下面以华三的s5820v2系列交换机为例: 这里,我们都采用scheme方式,也就是用户名和密码,这种方式比较常见。 一.Console口登陆方式的配置: ``` system-view [sw1]user-interface aux 0 //进入aux接口 [sw1-line-aux0]authentication-mode scheme //配置认证方式 [sw1-line-aux0]quit ``` 接下来,就是在交换机本地创建用户 ``` [sw2]local-user test //创建名叫test的用户 New local user added. [sw2-luser-manage-test]password ? //为用户设置密码 hash Specify a hashtext password simple Specify a plaintext password ``` 可以看到,密码有两种方式,一种是hash,一种是simple 我们先用simple测试: ``` [sw2-luser-manage-test]password simple 123 [sw2-luser-manage-test]dis this # local-user test class manage password hash $h$6$3JA21gfAB3728W8M$HywyGLS0aUykUeKok4d6OzAomP05TNnKVmzLsZUQCDTXaORpUE2qWVFxnlnV6D3Rr5Vg2DlJTOo63ZWplLdCMw== authorization-attribute user-role network-operator ``` 也就是说,用simple时,你配置的时候可以输入123,但是查看配置的时候会加密。 那么我们用hash看看: ``` [sw2-luser-manage-test]password hash 123 Invalid ciphertext password. ``` 它就会提示无效的ciphertext密码。这是为什么呢,因为hash后面跟的是加密后的字符串,我们可以把刚才那个复制下来试一下,就不会报错了。 ``` [sw2-luser-manage-test]password hash $h$6$3JA21gfAB3728W8M$HywyGLS0aUykUeKok4d6OzAomP05TNnKVmzLsZUQCDTXaORpUE2qWVFxnlnV6D3Rr5Vg2DlJTOo63ZWplLdCMw== ``` 为什么要用password hash这个命令呢,我觉得可能是为了安全,因为你的历史命令可能被别人获取,也就获取到了你的密码。最安全的方法就是用编程算出一个hash的字符串,然后用这个字符串去设置密码。还有一个有趣的现象是,相同的密码,hash字符串还不一样。 ![h3c-console-telnet-05.png](https://blog.moper.net/usr/uploads/2021/01/2894901954.png) 然后,我们设置这个用户可以用来干嘛,terminal指console口连接,Telnet指可以用Telnet远程,ssh代表用ssh方式登录交换机。 ``` [sw2-luser-manage-test]service-type terminal | telnet | ssh ``` 然后就是这只该用户的权限。level-15这是最高权限了,根据需要设置。 ``` [sw2-luser-manage-test]authorization-attribute user-role level-15 ``` 有的交换机的命令可能是`authorization-attribute level 3`或者`user privilege level 3`。所以要根据不同的型号查阅相关的用户手册。 二.Telnet登录方式配置 ``` [sw2] telnet server enable //开启telnet服务 [sw2]interface Vlan-interface 1 [sw2-Vlan-interface1]ip address 192.168.1.2 24 //配置管理IP地址 [sw2]user-interface vty 0 4 //进入虚拟接口 [sw2-line-vty0-4]authentication-mode scheme //设置认证方式 [sw2-line-vty0-4]quit [sw2]local-user telnet //添加本地用户telnet New local user added. [sw2-luser-manage-telnet]password simple 123 //设置密码 [sw2-luser-manage-telnet]service-type telnet //设置用户用途 [sw2-luser-manage-telnet]authorization-attribute user-role level-15 //设置用户权限 ``` 到此,利用用户名和密码console和Telnet两种方式登录交换机的配置就完成了。 转自https://blog.csdn.net/liyibo373/article/details/72876472 标签: ssh, console, telent 本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。