名詞解釋:
【console口】 console即控制檯。在計算機出現的早期,人們通過數量繁多的按鈕和大量的指示燈與計算機進行交互,這就是早期的“並行通訊”簡稱“並口”。這種方式佔用了大量的芯片端口且設備間的傳輸速度非常慢,於是一種快速的通信方式“串行通訊”簡稱“串口”就出現了。早期人們使用鍵盤和顯示器通過串口的方式與計算機進行交互,這種方式發展到現在就成爲一種設備間通用的通訊機制,即“控制檯”。控制檯被用於管理設備的底層功能,因需要與設備直接近距離交互的“缺點”也成爲其安全機制之一。設備一般會保留一個console口,用戶需要使用一臺支持串口通信的設備(一般是PC或筆記本)與設備直連,打開一個串口通訊的軟件(一般是SecureCRT或超級終端),根據設備的串口配置建立連接,而後使用控制檯密碼登錄設備。
【網口】 網口就是將設備接入用戶的網絡從而進行訪問,常用的網口訪問方式包括telnet、ssh、web等。
【telnet】 telnet即遠程登錄,是網絡訪問設備的一種方法也是一個網絡協議,在物理上設備與用戶的PC接入到同一個網絡,設備作爲服務端開啓一個telnet server等待用戶連接,用戶端通過cmd界面(或其他軟件)可以啓動一個telnet client,這個clinet會根據約定好的協議與server進行連接並交換數據,這就實現了所謂的telnet登陸。用戶通過telnet向設備發送預先設定的指令,就可以實現設備的遠程管理。
【虛擬終端vty】 vty即Virtual Teletype Terminal(虛擬終端),在網絡出現之前,用戶需要使用一個顯示器和鍵盤與設備直連,這種方式在管理大量設備或遠程管理時非常不方便。在網絡出現後,人們基於網絡通訊協議(如telnet、ssh)在設備上實現了一個功能強大的server端,這個server端使得用戶以telnet方式登陸設備後向用戶輸出一個與用戶直連時功能一致的用戶界面(這裏特指字符形式的用戶界面),這就是虛擬終端技術。對於華爲設備,使用telnet登陸設備即是打開了一個虛擬終端。華爲設備一般包含5個虛擬終端,即支持5個用戶同時登陸設備。
一 telnet的意義
使用telnet可以方便的對網絡中所有設備進行管理,使設備的遠程管理成爲可能。結合虛擬終端技術還能實現不同級別用戶的權限管理,在最低權限下用戶只能對設備的配置進行查看,不能做出任何的修改。在最高權限下用戶可以實現配置修改、用戶管理、文件管理等等,與從console口登陸無異。用戶權限管理可有效避免低級別用戶在設備上誤操作,又能保證管理員方便的使用。
二 如何使用telnet登錄
telnet登錄設備需經過以下三個過程:
1.使能設備的telnet功能
在設備的telnet功能啓動前,需要使用console口登陸設備並對該功能進行使能
<AR>user-interface vty 0 4 //對虛擬終端0-4進行配置 <AR-ui-vty0-4>dis this //查看當前配置(非必須) <AR-ui-vty0-4>protocol inbound all //使能telnet與ssh協議
2.設置訪問模式及權限管理
華爲設備支持兩種訪問模式,一是單密碼模式,二是用戶加密碼模式。
1)單密碼模式
<AR-ui-vty0-4>authentication-mode password //設置訪問模式爲單密碼 <AR-ui-vty0-4>set authentication password cipher *** //修改密碼
華爲設備在單密碼模式下可以設置不同的特權密碼來進行分級訪問(默認爲級別0)。
<AR>super password level 3 cipher *** //設置了級別3的特權密碼
用戶使用前面設置的普通密碼登錄設備後,可以使用super命令來獲取更高的訪問權限。
//使用telnet登錄設備後先獲取的是默認級別爲0權限 <AR>super //輸入級別3的特權密碼就能獲得級別3的權限
用戶在設置了不同級別的特權密碼後,也可以在telnet登錄設備時輸入該密碼,就能直接獲得該級別的權限,而不需要輸入super進行特權獲取。
2)用戶加密碼模式(aaa)
<AR-ui-vty0-4>authentication-mode aaa //修改認證模式爲aaa,即用戶名加密碼模式
aaa模式下有默認用戶admin,用戶也可以自己創建新用戶,新創建用戶的訪問級別爲0,用戶可以對不同用戶指定不同的訪問級別
<AR>aaa //進入aaa視圖 <AR-aaa>local-user test password cipher test //創建用戶名和密碼都爲test的用戶 <AR-aaa>local-user test service-type telnet ssh //指定該用戶能通過telnet或ssh登陸設備 <AR-aaa>local-user test privilege level 3 //指定test用戶的訪問級別爲3 <AR-aaa>undolocal-user test privilege level //取消test用戶的訪問級別(回到0)
3)默認權限設置
用戶還可以對虛擬終端用戶的默認權限進行設置
<AR-ui-vty0-4>user privilege level 3 //設置vty用戶的默認級別爲3
3.使用telnet客戶端連接設備
用戶可以使用PC機的CMD或secureCRT等軟件telnet登錄到設備。
三 登錄級別詳解
華爲交換機具有16個用戶級別,4個權限等級,高等級的權限兼容低等級權限,詳細如下:
| 用戶級別 | 命令級別 | 級別名稱 | 說明 |
| 0 | 0 | 參觀級 | 網絡診斷工具(ping、tracert);跳轉其他設備(telnet) |
| 1 | 0、1 | 監控級 | 設備配置和狀態查詢(display等) |
| 2 | 0、1、2 | 配置級 | 業務配置(如路由配置等) |
| 3-15 | 0、1、2、3 | 管理級 | 用於系統基本運行的命令,如文件系統、用戶管理、級別設置、業務故障診斷等 |
管理級對應了13個用戶級別,這樣做是爲了對管理級的用戶進行細化管理。