目錄
一、SSH和Telnet簡介
二、搭建環境
三、整體需求及環境介紹
四、裝置配置
五、連接配接測試
一、SSH和Telnet簡介
SSH和Telnet都是遠端連接配接控制協定,在網絡技術的應用中常被用于遠端連接配接控制路由器和交換機,友善工程師遠端對裝置進行營運維護。SSH目前有兩個版本:SSH1和SSH2,兩者互相不相容,連接配接時主要取決于主機安裝的連接配接軟體版本。SSH和Telnet的主要差別有以下兩種:
1、SSH連接配接時采用密文傳輸資料,而Telnet則采用明文傳輸資料。同時在使用SSH協定時,需要比對服務端生成的秘鑰才能連接配接成功;而telnet則不需要比對秘鑰。
2、SSH連接配接端口為22,Telnet連接配接端口為23。
下面通過模拟環境來實作SSH和Telnet的實際運用。
二、搭建環境
三、整體需求及環境介紹
1、整體需求:
①R1遠端連接配接方式有兩種:ssh和telnet。要求實體網卡和CE1、CE3、CE2都能直接通過ssh和telnet連接配接到R1;CE4不能直接通過ssh和telnet連接配接到R1。同時在R2上需要配置不同權限的賬戶(level 0、level 1、level 15)以滿足不同人員的通路需求。建立super切換賬戶密碼友善切換賬戶。
② CE1遠端連接配接方式為telnet,要求遠端用戶端僅可以排查基礎資訊,不能更改裝置配置資料(level 0)
③CE2遠端連接配接方式為ssh,要求遠端用戶端僅可以排查基礎資訊,不能更改裝置配置資料(level 1)
注意:level 0和level 1在權限上幾乎一樣,都不能進入配置視圖,隻能檢查、測試基本資訊
2、環境介紹
實驗環境整體為了突出SSH和Telnet各自的不同(主要是配置方式),在R1上采用SSH和Telnet的連接配接方式,同時連接配接虛拟網卡,通過虛拟網卡可以使實體主機通過ssh和telnet的方式連接配接到R1。CE1、CE3和R1之間采用靜态路由打通,滿足CE1和CE3各自獨立連接配接到R1;CE2、CE4和R1直接沒有路由,當CE4有連接配接R1的需求時隻能通過CE2跳轉到R1。通過這套環境,就可以完成對網絡裝置進行SSH和Telnet連接配接。
四、裝置配置
R1:
配置接口和路由:
interface GigabitEthernet0/0/0
ip address 30.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 40.1.1.2 255.255.255.0
interface GigabitEthernet0/0/2
ip address 192.168.10.2 255.255.255.0
ip route-static 10.1.1.0 255.255.255.0 30.1.1.1
配置SSH和Telnet:
ssh client first-time enable //使能SSH用戶端首次認證
stelnet server enable //開啟SSH服務
telnet server enable //開啟Telnet服務
rsa local-key-pair create //生成SSH連接配接秘鑰
user-interface vty 0 4
authentication-mode aaa //配置認證模式為AAA認證
protocol inbound all //配置連接配接協定為SSH和Telnet
aaa //配置AAA認證内容
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher Test12#$
local-user admin privilege level 1
local-user admin service-type telnet ssh
local-user guest password cipher Test12#$
local-user guest privilege level 0
local-user guest service-type telnet ssh
local-user huawei password cipher Test12#$
local-user huawei privilege level 15
local-user huawei service-type telnet ssh
super password level 1 cipher Test12#$ //配置super賬戶切換密碼,用于切換不同權限的賬戶
super password level 3 cipher Test12#$
super password level 15 cipher Test12#$
檢視遠端連接配接賬戶:
通過檢視結果可以清楚看到遠端登入賬戶有三個,三個賬戶的登入權限都不同。管理者運維推薦權限為15的賬戶,臨時訪客推薦權限為0的賬戶,預設賬戶權限為1,可作為日常檢視裝置配置和常見故障使用。
CE1:
基礎配置:
vlan batch 10 20 30
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
interface Vlanif30
ip address 30.1.1.1 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 10.1.1.2
ip route-static 192.168.10.0 255.255.255.0 30.1.1.2
Telnet配置:
telnet server enable //開啟telnet服務
aaa //配置AAA認證内容
local-user huawei password irreversible-cipher Test12#$
local-user huawei service-type telnet
local-user huawei level 0
user-interface vty 0 4
authentication-mode aaa //認證模式為AAA
idle-timeout 3 0 //連接配接逾時時間
protocol inbound telnet //連接配接協定為Telnet
檢視遠端賬戶:
CE2:
vlan batch 10 20 40
aaa
local-user huawei password irreversible-cipher Test12#$
local-user huawei service-type ssh
local-user huawei level 1
interface Vlanif20
ip address 20.1.1.1 255.255.255.0
interface Vlanif40
ip address 40.1.1.1 255.255.255.0
interface GE1/0/2
undo shutdown
port default vlan 20
interface GE1/0/3
undo shutdown
port default vlan 40
stelnet server enable //開啟SSH服務
ssh client first-time enable //使能SSH用戶端首次認證
ssh authorization-type default aaa //認證方式為AAA
user-interface vty 0 4
authentication-mode aaa
idle-timeout 3 0
protocol inbound ssh
檢視遠端賬戶:
CE3、CE4根據拓撲圖示完成VLAN和接口以及預設路由配置即可!
五、連接配接測試
1、R1連接配接測試
①使用者側(CE3、CE4)連接配接:
使用者側均可以遠端登入到R1,達到預期目标。
②實體主機連接配接:
實體主機通過虛拟網卡可以登入到R1,達到預期目标。
2、CE1、CE2連接配接測試
使用者側均可以遠端連接配接到CE1和CE2,均達到預期目标。
3、R1不同權限賬戶切換測試:
SSH和Telnet作為日常網絡運維中必不可少的遠端連接配接控制協定,在實際網絡環境中被廣泛運用,本篇文章作為SSH和Telnet實踐篇,按照我的思路完成實驗後可以完全掌握SSH和Telnet的實際配置!