交换机远程登录telnet、SSH、禁止非法用户访问实验 |
您所在的位置:网站首页 › h3c交换机配置telnet用户名密码登陆 › 交换机远程登录telnet、SSH、禁止非法用户访问实验 |
交换机远程登录实验
交换机远程登录实验一、配置Console口登录设备二、配置Telnet远程登录三、Stelnet(SSH)配置四、远程登录实际中的配置五、禁止非法用户远程登录
交换机远程登录实验
——————————————————————————————————————————————————— 一、配置Console口登录设备当用户无法进行远程登录设备时,可通过Console口进行本地登录。使用Console口登录设备时需要密码认证,为了防止非法用户登录设备,修改Console用户界面的认证方式为AAA认证。
执行以上操作后,用户使用Console用户界面重新登录设备时,需要输入用户名admin1234,认证密码XXXXX才能通过身份验证,成功登录设备。 —————————————————————————————————————————————— 二、配置Telnet远程登录最简单的举例,配置Telnet用户使用AAA验证登录。 LSW1: sys [Huawei]int vlan 1 [Huawei-Vlanif1]ip add 192.168.1.200 24 //配置管理地址 [Huawei]telnet server enable //使能Telnet功能 [Huawei]user-interface vty 0 4 [Huawei-ui-vty0-4]authentication-mode aaa [Huawei-ui-vty0-4]protocol inbound telnet //指定VTY用户界面所支持的协议为Telnet [Huawei]aaa [Huawei-aaa]local-user admin password cipher ensp.com [Huawei-aaa]local-user admin service-type telnet [Huawei-aaa]local-user admin privilege level 3 (2)验证: 在PC1上使用Telnet IP验证是否配置成功。
(3)检查配置 [Huawei]dis users //查看用户界面的用户登录信息
—————————————————————————————————————————————— 三、Stelnet(SSH)配置Telnet协议存在安全风险,推荐使用STelnet登录设备。
LSW1: 1.配置SSH服务器的管理IP地址 [Huawei]int vlan 1 [Huawei-Vlanif1]ip add 192.168.150.200 24 2.开启SSH服务 [Huawei]stelnet server enable [Huawei]ssh authentication-type default password 3.配置SSH服务器VTY用户界面 [Huawei]user-interface vty 0 4 [Huawei-ui-vty0-4]authentication-mode aaa [Huawei-ui-vty0-4]protocol inbound ssh 4.在服务器端创建本地用户,并配置用户服务方式。 [Huawei]aaa [Huawei-aaa]local-user admin password cipher ensp.com [Huawei-aaa]local-user admin service-type ssh [Huawei-aaa]local-user admin privilege level 3 5.在SSH服务器端生成本地密钥 [Huawei]rsa local-key-pair create
———————————————————————————————————————————— 四、远程登录实际中的配置之前的拓扑都是直连设备远程登录访问,实际中的网络,业务和管理VLAN是分开的,比如PC网段使用192.168.1.0段,那么管理交换机的网段会另外设定,比如管理网段使用192.168.100.0段。 看图:这里就有疑问了,首先模拟PC通过远程登录方式访问核心交换机,虽然网段不同,但是核心交换机上配置了业务VLAN IP和管理VLAN IP,模拟PC的数据包到达核心交换机,核心交换机查看路由表进行转发。 模拟PC远程访问接入交换机,直连访问的话,模拟PC和接入交换机很明显不在同一个网段,是不能进行直接访问。一会还原下过程。 配置命令: 模拟PC AR2: [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 192.168.150.1 24 [Huawei]ip route-static 0.0.0.0 0.0.0.0 192.168.150.254 //模拟PC的网关 LSW1: [Huawei]vlan 10 [Huawei]vlan 100 [Huawei-vlan100]int vlan 100 [Huawei-Vlanif100]ip add 192.168.100.2 24 //配置管理VLAN IP [Huawei]int g0/0/1 [Huawei-GigabitEthernet0/0/1]port link-type access [Huawei-GigabitEthernet0/0/1]port default vlan 10 [Huawei]int g0/0/2 [Huawei-GigabitEthernet0/0/2]port link-type trunk [Huawei-GigabitEthernet0/0/2]port trunk allow-pass vlan all 以Telnet来演示,SSH也是一回事。 [Huawei]telnet server enable //使能Telnet功能 [Huawei]user-interface vty 0 4 [Huawei-ui-vty0-4]authentication-mode aaa [Huawei-ui-vty0-4]protocol inbound telnet //指定VTY用户界面所支持的协议为Telnet [Huawei]aaa [Huawei-aaa]local-user admin password cipher ensp.com [Huawei-aaa]local-user admin service-type telnet [Huawei-aaa]local-user admin privilege level 3 [Huawei]ip route-static 0.0.0.0 0.0.0.0 192.168.100.1 //接入交换机配置默认路由特别重要,没这条默认路由,telnet过来的数据包无法返回。 LSW2: [Huawei]vlan 10 [Huawei]vlan 100 [Huawei]int Vlanif 10 [Huawei-Vlanif10]ip add 192.168.150.254 24 [Huawei]int Vlanif 100 [Huawei-Vlanif100]ip add 192.168.100.1 24 [Huawei]telnet server enable //使能Telnet功能 [Huawei]user-interface vty 0 4 [Huawei-ui-vty0-4]authentication-mode aaa [Huawei-ui-vty0-4]protocol inbound telnet //指定VTY用户界面所支持的协议为Telnet [Huawei]aaa [Huawei-aaa]local-user admin password cipher ensp.com [Huawei-aaa]local-user admin service-type telnet [Huawei-aaa]local-user admin privilege level 3 验证:
———————————————————————————————————————————— 五、禁止非法用户远程登录合法用户访问telnet,除了运维部可以访问设备以外,其余用户均禁止远程访问交换机。
PC2: interface GigabitEthernet0/0/0 ip address 192.168.150.1 255.255.255.0 ip route-static 0.0.0.0 0.0.0.0 192.168.150.254 PC3: interface GigabitEthernet0/0/0 ip address 192.168.140.1 255.255.255.0 ip route-static 0.0.0.0 0.0.0.0 192.168.140.254 PC4: interface GigabitEthernet0/0/0 ip address 192.168.130.1 255.255.255.0 ip route-static 0.0.0.0 0.0.0.0 192.168.130.254 SW1: sysname WWB-JieRu-SW vlan batch 10 100 interface Vlanif100 ip address 192.168.100.2 255.255.255.0 interface GigabitEthernet0/0/1 port link-type access port default vlan 10 interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 2 to 4094 interface GigabitEthernet0/0/3 port link-type access port default vlan 10 ip route-static 0.0.0.0 0.0.0.0 192.168.100.1 SW2: sysname HeXin-SW vlan batch 10 20 30 100 interface Vlanif10 ip address 192.168.150.254 255.255.255.0 interface Vlanif20 ip address 192.168.140.254 255.255.255.0 interface Vlanif30 ip address 192.168.130.254 255.255.255.0 interface Vlanif100 ip address 192.168.100.1 255.255.255.0 interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 2 to 4094 interface GigabitEthernet0/0/3 port link-type trunk port trunk allow-pass vlan 2 to 4094 interface GigabitEthernet0/0/4 port link-type trunk port trunk allow-pass vlan 2 to 4094 user-interface con 0 user-interface vty 0 4 authentication-mode aaa aaa local-user admin password cipher L#Z^+SA44;9NZPO3JBXBHA!! local-user admin privilege level 3 local-user admin service-type telnet SW4: sysname XSB-JieRu-SW vlan batch 30 100 interface Vlanif100 ip address 192.168.100.4 255.255.255.0 interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 2 to 4094 interface GigabitEthernet0/0/2 port link-type access port default vlan 30 ip route-static 0.0.0.0 0.0.0.0 192.168.100.254 SW5: sysname SCB-JieRu-SW vlan batch 20 100 interface Vlanif100 ip address 192.168.100.3 255.255.255.0 interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 2 to 4094 interface GigabitEthernet0/0/2 port link-type access port default vlan 20 ip route-static 0.0.0.0 0.0.0.0 192.168.100.254 ———————————————————————————————————————— 全网互通,接入交换机我都没有配置远程登录的命令,因为登录接入交换机首先要通过核心交换机,所以实验的结果只要访问核心交换机合法的通过,不合法的拒绝,就算OK。 配置ACL规则:运维部可以访问管理所有设备,其他部门禁止远程访问所有设备,文中的默认远程是Telnet,端口号23。 核心LSW2: acl number 3000 rule 5 permit tcp source 192.168.150.0 0.0.0.255 destination 192.168.0.0 0.0.255.255 destination-port eq telnet rule 10 deny tcp destination-port eq telnet [HeXin-SW]user-interface vty 0 4 [HeXin-SW-ui-vty0-4]acl 3000 inbound 验证: ACL: rule 5 permit tcp source 192.168.150.0 0.0.0.255 destination 192.168.0.0 0.0.255.255 destination-port eq telnet 一般ACL写的时候我们都是先拒绝在允许,如果拒绝的地址包含了允许的地址,那么就先允许后拒绝。而且还要看网段的数量。 先允许运维部192.168.150.0/24段访问所有的IP设备23端口。 rule 10 deny tcp destination-port eq telnet 然后在拒绝所有的IP访问所有的设备23端口的Telnet服务。 最后应用在VTY接口。实际情况可能更为复杂,根据实际情况进行配置。 |
今日新闻 |
点击排行 |
|
推荐新闻 |
图片新闻 |
|
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 win10的实时保护怎么永久关闭 |