-
通过Telnet登录Telnet Server失败
故障现象 通过Telnet方式登录Telnet服务器失败。 操作步骤 从Console口登录到设备。进入系统视图。 system-view 查看Telnet服务器的登录设备的用户数是否到达了上限。 查看当前的VTY通道是否全部被占用。 display users 如果VTY通道全部被占用,请执行步骤b。 如果VTY通道没有全部被占用,请执行步骤3。 查看当前VTY通道允许的最大用户数。 display user-interface maximum-vty 配置VTY通道允许的最大用户数为21个。 user-interface maximum-vty 21 查看Telnet服务器的VTY类型用户界面视图下,是否配置了ACL。 查看VTY用户界面是否配置了ACL限制。 user-interface vty first-ui-number [ last-ui-number ] display this quit 如果配置了ACL限制,请记录该ACL编号,请执行步骤b。 如果没有配置ACL限制,请执行步骤4。 查看该访问控制列表中是否拒绝(配置deny规则)了Telnet客户端的地址。 display acl acl-number 如果拒绝了Telnet客户端的地址,请执行步骤c。 如果没有拒绝了Telnet客户端的地址,请执行步骤4。 删除deny规则。 undo rule rule-id 修改访问控制列表允许客户端的IP地址访问。 rule permit source source-ip-address source-wildcard 查看Telnet服务器的VTY类型用户界面视图下,允许接入的协议配置是否正确。 查看VTY用户界面所支持的协议是否为Telnet或者all。 user-interface vty first-ui-number [ last-ui-number ] display this 如果否,请执行步骤b。 如果是,请执行步骤5。 配置用户界面所支持的协议为Telnet。 protocol inbound { telnet | all } quit 查看Telnet服务器的用户界面视图下,是否设置登录认证。 user-interface vty first-ui-number [ last-ui-number ] display this quit 如果使用命令authentication-mode aaa设置认证方式为aaa,……
SE_YT 2024-12-30
6 0 0 -
维护设备命令行界面
清除在线用户 当用户需要将某个登录用户与设备的连接断开时,可以清除指定的在线用户。 执行命令kill user-interface { ui-number | ui-type ui-number1 },清除在线用户。 执行命令display users,查看当前设备上的用户登录信息。 锁定用户配置权限 在多用户同时登录设备进行配置时,有可能会出现配置冲突的情况。为了避免业务出现异常,可以配置权限互斥功能,保证同一时间只有一个用户可以进行配置。 方式一:基于会话锁定用户配置权限 锁定配置权限给当前操作用户。 configuration exclusive 锁定用户配置权限后,可以显式地获取独享的配置权限,其他用户无法再获取到配置权限。 此命令可用于所有视图。 可以执行命令display configuration exclusive user,查看当前锁定配置集用户的信息。 如果配置权限已经被锁定,则再次锁定会返回提示信息。 进入系统视图。 system-view (可选)设置自行解锁时间间隔。 configuration exclusive timeout timeout-value 设置锁定配置集权限用户在无配置命令下发的情况下,允许锁定的最长时间间隔,超过这个时间间隔系统就自行解锁,其他用户可以正常配置。 缺省情况下,锁定间隔为30秒。 方式二:基于用户名锁定配置 设备允许多用户接入,对设备进行管理。这些用户可以是控制器,也可以是其他类型用户。在控制器部署的场景下,如果非控制器用户登录并修改配置,可能会出现控制器部署的配置和设备上的配置不一致的情况。此时可以配置指定控制器用户锁定设备系统配置,避免设备与控制器的配置不一致。 多用户共同管理同一台设备时,可以指定用户名锁定设备,仅允许使用该用户名登录的用户对设备的配置进行修改,防止其他用户修改配置。 进入系统视图。 system-view 使用指定用户名锁定系统配置。 configuration exclusive by-user-name user-name ……
6 0 0 -
举例:配置用户通过STelnet登录设备(RADIUS服务器认证)
组网图形 图1 通过STelnet登录设备(基于RADIUS认证)组网图 组网需求 配置思路 配置注意事项 操作步骤 检查配置结果 配置脚本 组网需求 网络管理员希望通过安全的方式远程登录设备,同时对网络的安全性要求较高,希望网络不受未授权访问的干扰。可以通过配置基于RADIUS认证的STelnet满足用户的需求。 如图 通过STelnet登录设备(基于RADIUS认证)组网图所示,DeviceA为SSH服务器,与RADIUS服务器之间路由可达。RADIUS服务器的IP地址为10.1.6.6,认证端口号为1812。 本例中interface1和interface2分别代表10GE1/0/1和10GE1/0/2。 配置思路 采用如下思路配置通过STelnet登录设备(基于RADIUS认证): 配置设备接口相关参数。 在SSH服务器端生成本地密钥对,实现在服务器端和客户端进行安全地数据交互。 配置STelnet协议,实现用户可以通过STelnet登录设备。 配置ACL规则,保证只有满足该规则的用户才能登录设备。 配置RADIUS协议,实现RADIUS认证。用户通过STelnet登录设备时使用RADIUS服务器上配置的用户名和密码,从而保证用户登录的安全性。 配置RADIUS服务器。 配置注意事项 配置STelnet登录设备前,用户终端应该已安装SSH服务器登录软件。 请确保用户终端和登录的设备及RADIUS服务器之间均路由可达。 域被配置成全局默认管理域之后,管理用户的用户名中携带该域名或者不携带域名时,会使用全局默认管理域下的AAA配置信息。 请确保已在RADIUS服务器上配置了用户。本例中假设RADIUS服务器上已配置了用户admin123@huawei.com(用户名@域名),其密码为YsHsjx_202206。 如果RADIUS服务器不接受包含域名的用户名,还需要配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名。 操作步骤 配置接口的相关参数。 # 配置……
8 0 0 -
举例:配置设备作为STelnet客户端登录其他设备(password认证和RSA认证)
组网图形 图1 配置通过STelnet登录其他设备组网图 组网需求 配置思路 操作步骤 检查配置结果 配置脚本 组网需求 如图1所示,用户希望在服务器端和客户端进行安全的数据交互,配置两个登录用户为Client001和Client002,分别使用password认证方式和RSA认证方式登录SSH服务器,并且配置新的端口号,而不使用缺省端口号。 本例中interface1代表10GE1/0/1。 配置思路 采用如下的思路配置通过STelnet登录其他设备: 在SSH服务器端生成本地密钥对,实现在服务器端和客户端进行安全的数据交互。 在SSH服务器端配置SSH用户client001和client002分别使用不同的认证方式。 在SSH服务器端开启STelnet服务功能。 在SSH服务器端配置SSH用户client001和client002的服务方式为STelnet。 在SSH服务器端配置SSH服务器的端口号,有效防止攻击者对SSH服务标准端口的访问,确保安全性。 用户client001和client002分别以STelnet方式实现登录SSH服务器。 操作步骤 在服务器端生成本地密钥对。 <HUAWEI> system-view [HUAWEI] sysname SSH Server [SSH Server] rsa local-key-pair create The key name will be:Host The range of public key size is (2048, 4096). NOTE: Key pair generation will take a short while. Please input the modulus [default = 3072]: 在服务器端创建SSH用户。# 配置VTY用户界面。 [SSH Server] user-interface vty 0 4 [SSH Server-ui-vty0-4] authentication-mode aaa [SSH Server-ui-vty0-4] protocol inbound ssh [SSH Server-ui-vty0-4] quit 创建SSH用户client001。 # 新建用户名为client001的SSH用户,且认证方式为password。 [SSH Server] aaa [SSH Server-aaa] local-user client001 password Please configure the login password (8-128) I……
7 0 0 -
举例:配置设备作为STelnet客户端登录其他设备(Password认证)
组网图形 图1 配置通过STelnet登录其他设备组网图 组网需求 配置思路 操作步骤 检查配置结果 配置脚本 组网需求 如图 配置通过STelnet登录其他设备组网图所示,用户希望在服务器端和客户端进行安全的数据交互,配置登录用户为Client,使用password认证方式登录SSH服务器,并且配置新的端口号,而不使用缺省端口号。 本例中interface1代表10GE1/0/1。 配置思路 采用如下的思路配置通过STelnet登录其他设备: 在SSH服务器端配置SSH用户client的认证方式为Password认证。 在SSH服务器端开启STelnet服务功能。 在SSH服务器端配置SSH用户client服务方式为STelnet。 在SSH服务器端配置SSH服务器的端口号,有效防止攻击者对SSH服务标准端口的访问,确保安全性。 用户client以STelnet方式实现登录SSH服务器。 操作步骤 在服务器端创建SSH用户。# 配置VTY用户界面。 <HUAWEI> system-view [HUAWEI] sysname SSH Server [SSH Server] user-interface vty 0 4 [SSH Server-ui-vty0-4] authentication-mode aaa [SSH Server-ui-vty0-4] protocol inbound ssh [SSH Server-ui-vty0-4] user privilege level 3 [SSH Server-ui-vty0-4] quit # 新建用户名为client的SSH用户,且认证方式为password,密码是YsHsjx_202206。 [SSH Server] aaa [SSH Server-aaa] local-user client password Please configure the login password (8-128) It is recommended that the password consist of at least 2 types of characters, including lowercase letters, uppercase letters, numerals and special characters. Please enter password: Please confirm password: [SSH Server-aaa] local-user client priv……
8 0 0 -
举例:配置IPv4用户通过STelnet登录设备(本地认证)
组网图形 图1 配置用户通过STelnet登录设备组网图 组网需求 配置思路 数据准备 操作步骤 检查配置结果 配置脚本 组网需求 如图1所示,在作为SSH服务器的设备上开启STelnet服务器功能后,SSH客户端PC可以通过不同的认证方式登录SSH服务器,这里以RSA认证方式为例介绍客户端通过STelnet登录服务器的配置过程。 为了提升系统安全性,防止非法用户登录到SSH服务器,用户可以在SSH服务器上配置ACL规则。 配置思路 采用如下的思路配置SSH用户通过STelnet登录设备: 配置SSH服务器的管理网口IP地址。 在SSH服务器端生成本地密钥对。 配置SSH服务器的VTY用户界面。 创建本地用户,并配置用户的接入类型。 创建SSH用户,并配置认证方式。 SSH客户端根据配置的SSH用户认证类型创建相应的密钥对,并将公钥拷贝至SSH服务器。 SSH服务器端编辑公钥,并将编辑好的公钥分配给用户。 开启SSH服务器的STelnet功能,配置SSH用户的服务类型为STelnet。 在SSH服务器上配置允许STelnet客户端登录的ACL规则。 配置客户端登录软件的参数,STelnet至服务器。 数据准备 为完成此配置示例,需准备如下数据: 为了保证更好的安全性,建议使用3072位及以上的RSA密钥对。 SSH客户端已安装OpenSSH软件。 SSH服务器的管理网口IP地址为10.248.103.194/24。 本地用户的认证方式为password,用户名为“admin123”,密码为“YsHsjx_202206”。 SSH用户的认证方式为RSA。 配置基本的ACL 2000,允许10.248.103.0/24网段的客户端合法接入SSH服务器。 操作步骤 配置SSH服务器的管理网口IP地址。 <HUAWEI> system-view [HUAWEI] sysname SSH Server [SSH Server] interface meth 0/0/0 [SSH Server-MEth0/0/0] ip address 10.248.103.194 255.255.255.0 [SSH Server-MEth0/0/0] quit 在SSH服务器……
8 0 0 -
举例:配置用户通过Telnet登录设备(RADIUS服务器认证)
组网图形 图1 基于ACL规则和RADIUS认证限制Telnet登录设备组网图 组网需求 配置思路 配置注意事项 操作步骤 检查配置结果 配置脚本 组网需求 网络管理员希望能够对设备进行远程管理与维护,同时对网络的安全性要求较高,希望网络不受未授权访问的干扰。可以通过配置基于ACL规则以及RADIUS认证的Telnet登录方式满足用户的需求。 如图 基于ACL规则和RADIUS认证限制Telnet登录设备组网图所示,DeviceA为Telnet服务器,网络管理员和DeviceA之间、DeviceA与RADIUS服务器之间路由可达。RADIUS服务器的IP地址为10.1.6.6/24,认证端口号为1812。 本例中interface1和interface2分别代表10GE1/0/1和10GE1/0/2。 配置思路 采用如下的思路进行配置(基于ACL规则和RADIUS认证): 配置设备接口相关参数。 配置Telnet协议,实现用户可以通过Telnet登录设备。 配置ACL规则,保证只有满足该规则的用户才能登录设备。 配置RADIUS协议,实现RADIUS认证。用户通过Telnet登录设备时使用RADIUS服务器上配置的用户名和密码,从而保证用户登录的安全性。 配置RADIUS服务器。 配置注意事项 当网络所处环境不安全时,我们建议选择安全的密码认证方式/加密认证算法/协议。安全的举例请参见:举例:配置用户通过STelnet登录设备(RADIUS服务器认证)。 配置前请确保各设备之间路由可达。 请确保设备上配置的RADIUS服务器的地址、端口号和共享密钥配置正确,并且和RADIUS服务器上的配置保持一致。 域被配置成全局默认管理域之后,管理用户的用户名中携带该域名或者不携带域名时,会使用全局默认管理域下的AAA配置信息。 请确保已在RADIUS服务器上配置了用户。本例中假设RADIUS服务器上已配置了用户admin123@huawei.com(用户名@域名),其密码为YsHsjx_202206。 如果RADIUS服务器不接受包含域名的用户名,……
10 0 0 -
举例:配置设备作为Telnet客户端登录其他设备
组网图形 图1 配置设备作为Telnet客户端登录其他设备组网图 组网需求 配置思路 配置注意事项 操作步骤 检查配置结果 配置脚本 组网需求 如图1所示,终端PC与Device1间路由可达,Device1与Device2间路由可达。用户希望实现对远程设备Device2的管理与维护,不过终端PC与远程设备Device2间无可达路由,不能直接Telnet远程登录到Device2。用户可以通过Telnet登录到Device1,再从Device1通过Telnet登录到需要管理的设备Device2。为了防止其他非法设备通过Telnet方式登录Device2,配置ACL规则只允许Device1通过Telnet方式登录Device2。 本例中interface1代表10GE1/0/1。 配置思路 采用如下的思路配置设备作为Telnet客户端登录其他设备: 在Device2上配置Telnet验证方式和密码。 在Device2上配置ACL规则允许Device1登录。 从Device1上Telnet登录到Device2。 配置注意事项 当网络所处环境不足够安全时,我们建议选择安全的密码认证方式/加密认证算法/协议。安全的举例请参见:配置设备作为STelnet客户端登录其他设备。 操作步骤 在用户视图下执行命令install feature-software WEAKEA安装弱安全算法/协议特性包(WEAKEA)。 配置Device2的Telnet验证方式和密码。 <HUAWEI> system-view [HUAWEI] sysname Device2 [Device2] user-interface vty 0 4 [Device2-ui-vty0-4] authentication-mode aaa [Device2-ui-vty0-4] quit 配置登录用户的相关信息。 [Device2] aaa [Device2-aaa] local-user admin1234 password Please configure the login password (8-128) It is recommended that the password consist of at least 2 types of characters, including lowercase letters, uppercase letters, numerals and special characters. Please enter password: ……
4 0 0 -
举例:配置IPv4用户通过Telnet登录设备(本地认证)
组网图形 图1 配置通过Telnet登录设备组网图 组网需求 配置思路 配置注意事项 操作步骤 检查配置结果 配置脚本 组网需求 如图1所示,用户希望简单方便的配置和管理设备。在服务器端配置Telnet用户使用AAA验证登录,并配置ACL策略,保证只有符合ACL策略的用户才能登录设备。 配置思路 采用如下的思路进行配置: 配置Telnet服务器的管理网口IP地址。 配置Telnet方式登录设备,即开启Telnet服务器功能及配置服务器端口号,以实现远程维护网络设备。 配置VTY用户界面的相关参数,包括配置ACL策略,保证只有符合ACL策略的用户才能登录设备。 配置管理员的用户名和密码,并配置AAA认证策略,保证只有认证通过的用户才能登录设备。 配置注意事项 当网络所处环境不足够安全时,我们建议选择安全的密码认证方式/加密认证算法/协议。安全的举例请参见:举例:配置用户通过STelnet登录设备(本地认证)。 操作步骤 登录设备。如果是首次登录设备,请先通过Console口首次登录设备,然后按下述步骤搭建Telnet登录环境。 在用户视图下执行命令install feature-software WEAKEA安装弱安全算法/协议特性包(WEAKEA)。 配置Telnet服务器的管理网口IP地址。 <HUAWEI> system-view [HUAWEI] sysname Telnet Server [Telnet Server] interface meth 0/0/0 [Telnet Server-MEth0/0/0] ip address 10.137.217.177 255.255.255.0 [Telnet Server-MEth0/0/0] quit 配置服务器的端口号以及开启服务器功能。 [Telnet Server] telnet server enable [Telnet Server] telnet server port 1025 [Telnet Server] telnet server-source all-interface 配置VTY用户界面的相关参数。 # 配置VTY用户界面的最大个数。 [Telnet Server] user-interface maximum-vty 8 # 配置ACL规则允许用户登录设备的……
7 0 0 -
举例:配置用户通过Console口登录设备
举例:配置用户通过Console口登录设备 组网图形 图1 配置通过Console口登录设备组网图 组网需求 配置思路 操作步骤 检查配置结果 配置脚本 组网需求 当用户无法进行远程登录设备时,可通过Console口进行本地登录。使用Console口登录设备时需要密码认证,为了防止非法用户登录设备,修改Console用户界面的认证方式为AAA认证。 配置思路 采用如下的思路配置通过Console口登录设备: 使用终端仿真软件通过Console口登录设备。 配置Console用户界面的认证方式。 如果系统不带终端仿真软件,请您准备第三方终端仿真软件,使用方法请参照该软件的使用指导或联机帮助。 操作步骤 将Console通信电缆的DB9(孔)插头插入PC机的串口(COM)中,再将RJ-45插头端插入设备的Console口中。如果终端(PC端)上没有DB9串口,可通过DB9串口转USB的转接线,将USB口连接到终端上。 在PC上打开终端仿真软件,新建连接,设置连接的接口以及通信参数。(此处使用第三方软件PuTTY为例进行介绍) 如图2所示,单击“Session”,新建连接。 图2 新建连接 如图3所示,单击“Serial”,设置连接的接口以及通信参数。 连接的接口请根据实际情况进行选择。例如,在Windows系统中,可以通过在“设备管理器”中查看端口信息,选择连接的接口。 设置终端软件的通信参数需与设备的缺省值保持一致,分别为:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控。 单击“Open”。 因为PC端可能会存在多个连接接口,这里需要选择的是连接Console线缆的那个接口。一般情况下,选择的接口是COM1。 若修改了设备的串口通信参数值,需要在PC端更换通信参数值与设备的串口通信参数值一致后,重新连接。 图3 设置连接的接口以及通信参数 按Enter键,直到系统出现如下显示,提示用户输入密码。(AAA认证时,提示……
5 0 0
硬件天地
