華三交換機的Console和Telnet方式的登陸配置
交換機登陸配置剛接觸交換機的人來說,還是需要下點功夫搞懂的。這是我學習的總結,不足之處還望批評指正。
首先,在配置之前,要明白一些概念。在登陸交換機時候,交換機給我們提供了登陸交換機的接口(user-interface),用console線直連console口登陸的接口叫aux,aux通常只有一個,也就是aux 0。通過網絡登陸的接口叫虛擬接口(vty),vty通常有好多個(16-64個),也是從0開始。下面是交換機的接口信息:
進入接口的方式就是通過user-interface aux 0或者user-interface vty
0
有的配置命令會有這樣的方式:user-interface vty 0 4
這是什麼意思呢,0 4代表vty0到vty4,一共五個虛擬接口,也就是我們可以同時通過五個虛擬接口遠程登錄交換機。
大家請看下圖,交換機只配置了5個虛擬接口,在登陸第6個的時候,就會提示不成功:
其次,還需要知道的就是用戶的級別。也就是你登陸之後的權限。
通常我們會看到這樣的命令user privilege level 3或者authorization-attribute level 3或者authorization-attribute
user-role level-15。這些命令就是控制登陸之後的權限。
有的把權限分爲0-3,四個級別,有的是0-15,一共16個級別。
其實都差不多,四個級別和十六個級別差不多是對應的,0對應0123,1對應4567等等。
下圖是華三官網對級別的解釋:
最後,要了解認證的模式(authentication-mode),認證模式有三種:
無密碼(none),直接連上就進去了。
有密碼(password),需要密碼認證,但是沒有用戶名。
以及Scheme,用戶名和密碼認證。用scheme認證方式的用戶名和密碼可以是交換機內部創建的用戶,也可以是遠程認證服務器上的用戶。
瞭解上述概念之後,就可以開始配置了,要注意的是不同型號的交換機,其中命令還有一些差別。最好的解決方法就是上官網查閱相關的技術手冊。
下面以華三的s5820v2系列交換機爲例:
這裏,我們都採用scheme方式,也就是用戶名和密碼,這種方式比較常見。
一.Console口登陸方式的配置:
<sw1>system-view
[sw1]user-interface aux 0 //進入aux接口
[sw1-line-aux0]authentication-mode scheme //配置認證方式
[sw1-line-aux0]quit
接下來,就是在交換機本地創建用戶
[sw2]local-user test //創建名叫test的用戶
New local user added.
[sw2-luser-manage-test]password ? //爲用戶設置密碼
hash Specify a hashtext password
simple Specify a plaintext password
<cr>
可以看到,密碼有兩種方式,一種是hash,一種是simple
我們先用simple測試:
[sw2-luser-manage-test]password simple 123
[sw2-luser-manage-test]dis this
#
local-user test class manage
password hash $h$6$3JA21gfAB3728W8M$HywyGLS0aUykUeKok4d6OzAomP05TNnKVmzLsZUQCDTXaORpUE2qWVFxnlnV6D3Rr5Vg2DlJTOo63ZWplLdCMw==
authorization-attribute user-role network-operator
也就是說,用simple時,你配置的時候可以輸入123,但是查看配置的時候會加密。
那麼我們用hash看看:
[sw2-luser-manage-test]password hash 123
Invalid ciphertext password.
它就會提示無效的ciphertext密碼。這是爲什麼呢,因爲hash後面跟的是加密後的字符串,我們可以把剛纔那個複製下來試一下,就不會報錯了。
[sw2-luser-manage-test]password hash $h$6$3JA21gfAB3728W8M$HywyGLS0aUykUeKok4d6OzAomP05TNnKVmzLsZUQCDTXaORpUE2qWVFxnlnV6D3Rr5Vg2DlJTOo63ZWplLdCMw==
爲什麼要用password hash這個命令呢,我覺得可能是爲了安全,因爲你的歷史命令可能被別人獲取,也就獲取到了你的密碼。最安全的方法就是用編程算出一個hash的字符串,然後用這個字符串去設置密碼。還有一個有趣的現象是,相同的密碼,hash字符串還不一樣。
然後,我們設置這個用戶可以用來幹嘛,terminal指console口連接,Telnet指可以用Telnet遠程,ssh代表用ssh方式登錄交換機。
[sw2-luser-manage-test]service-type terminal | telnet | ssh
然後就是這隻該用戶的權限。level-15這是最高權限了,根據需要設置。
[sw2-luser-manage-test]authorization-attribute user-role level-15
有的交換機的命令可能是authorization-attribute level 3或者user privilege level 3。所以要根據不同的型號查閱相關的用戶手冊。
二.Telnet登錄方式配置
[sw2] telnet server enable //開啓telnet服務
[sw2]interface Vlan-interface 1
[sw2-Vlan-interface1]ip address 192.168.1.2 24 //配置管理IP地址
[sw2]user-interface vty 0 4 //進入虛擬接口
[sw2-line-vty0-4]authentication-mode scheme //設置認證方式
[sw2-line-vty0-4]quit
[sw2]local-user telnet //添加本地用戶telnet
New local user added.
[sw2-luser-manage-telnet]password simple 123 //設置密碼
[sw2-luser-manage-telnet]service-type telnet //設置用戶用途
[sw2-luser-manage-telnet]authorization-attribute user-role level-15 //設置用戶權限
到此,利用用戶名和密碼console和Telnet兩種方式登錄交換機的配置就完成了。