一 组网需求

 

1．PC 通过 telnet 登陆交换机并对其进行管理；

2．分别应用帐号+密码方式、仅密码方式以及 radius 认证方式；

3．只允许 192.1.1.0/24 网段的地址的 PC TELNET 访问。

 

二 组网图：

 

作为 telnet 登陆主机的 PC 与 Switch A 之间通过局域网互连（也可以直连），PC 可以 ping 通 Switch A。

 

三 配置步骤：

 

1、H3C  S3100-SI S5100  系列交换机 TELNET 配置流程

账号++++密码方式登陆

1．配置 TELNET 登陆的 ip 地址

<SwitchA>system-view

[SwitchA]vlan 2

[SwitchA-vlan2]port Ethernet 1/0/1

[SwitchA-vlan2]quit

[SwitchA]management-vlan 2

[SwitchA]interface vlan 2

[SwitchA-Vlan-interface2]ip address 192.168.0.1 24

 

2．进入用户界面视图

[SwitchA]user-interface vty 0 4

 

3．配置本地或远端用户名+口令认证方式

[SwitchA-ui-vty0-4]authentication-mode scheme

 

4．配置登陆用户的级别为最高级别 3(缺省为级别 1)

[SwitchA-ui-vty0-4]user privilege level 3

 

5．添加 TELNET 管理的用户，用户类型为”telnet”，用户名为”huawei”，密码为” admin”

[SwitchA]local-user huawei

[SwitchA-luser-huawei]service-type telnet level 3

[SwitchA-luser-huawei]password simple admin

 

仅密码方式登陆

1．配置 TELNET 登陆的 ip 地址(与上面账号+密码登陆方式相同)

2．进入用户界面视图

[SwitchA]user-interface vty 0 4

3．设置认证方式为密码验证方式

[SwitchA-ui-vty0-4]authentication-mode password

4．设置登陆验证的 password 为明文密码”huawei”

[SwitchA-ui-vty0-4]set authentication password simple huawei

5．配置登陆用户的级别为最高级别 3(缺省为级别 1)

[SwitchA-ui-vty0-4]user privilege level 3

T TELNET RADIUS 验证方式配置

1．配置 TELNET 登陆的 ip 地址(与上面账号+密码登陆方式相同)

2．进入用户界面视图

[SwitchA]user-interface vty 0 4

3．配置远端用户名和口令认证

[SwitchA-ui-vty0-4]authentication-mode scheme

4．配置 RADIUS 认证方案，名为”cams”

[SwitchA]radius scheme cams

5．配置 RADIUS 认证服务器地址 192.168.0.31

[SwitchA-radius-cams]primary authentication 192.168.0.31 1812

6．配置交换机与认证服务器的验证口令为”huawei”

[SwitchA-radius-cams]key authentication huawei

7．送往 RADIUS 的报文不带域名

[SwitchA-radius-cams]user-name-format without-domain

8．创建（进入）一个域，名为”huawei”

[SwitchA]domain huawei

9．在域”huawei”中引用名为”cams”的认证方案

[SwitchA-isp-huawei]radius-scheme cams

10．将域”huawei”配置为缺省域

[SwitchA]domain default enable Huawei

 

 TELNET 访问控制配置

1．配置访问控制规则只允许 192.1.1.0/24 网段登录

[SwitchA]acl number 2000

[SwitchA-acl-basic-2000]rule deny source any

[SwitchA-acl-basic-2000]rule permit source 192.1.1.0 0.0.0.255

2．配置只允许符合 ACL2000 的 IP 地址登录交换机

[SwitchA]user-interface vty 0 4

[SwitchA-ui-vty0-4]acl 2000 inbound

3．补充说明：

� TELNET 访问控制配置是在以上三种验证方式配置完成的基础上进行的配

置；

� TELNET 登陆主机与交换机不是直连的情况下需要配置默认路由。

 

2、 H3C S3600  S5600 系列交换机TELNET 配置流程

账号++++密码方式登陆

1．配置 TELNET 登陆的 ip 地址

<SwitchA>system-view

[SwitchA]vlan 2

[SwitchA-vlan2]port Ethernet 1/0/1

[SwitchA-vlan2]quit

[SwitchA]interface vlan 2

[SwitchA-Vlan-interface2]ip address 192.168.0.1 24

2．进入用户界面视图

[SwitchA]user-interface vty 0 4

3．配置本地或远端用户名+口令认证方式

[SwitchA-ui-vty0-4]authentication-mode scheme

4．配置登陆用户的级别为最高级别 3(缺省为级别 1)

[SwitchA-ui-vty0-4]user privilege level 3

5．添加 TELNET 管理的用户，用户类型为”telnet”，用户名为”huawei”，密码为” admin”

[SwitchA]local-user huawei

[SwitchA-luser-huawei]service-type telnet level 3

[SwitchA-luser-huawei]password simple admin

 

西安HCNA培训时是仅密码方式登陆的

1．配置 TELNET 登陆的 ip 地址(与上面账号+密码登陆方式相同)

2．进入用户界面视图

[SwitchA]user-interface vty 0 4

3．设置认证方式为密码验证方式

[SwitchA-ui-vty0-4]authentication-mode password

4．设置登陆验证的 password 为明文密码”huawei”

[SwitchA-ui-vty0-4]set authentication password simple huawei

5．配置登陆用户的级别为最高级别 3(缺省为级别 1)

[SwitchA-ui-vty0-4]user privilege level 3

 

TELNET RADIUSS 验证方式配置(以使用华为 3Com 公司开发的  CAMS 作为RADIUS 服务器为例)

1．配置 TELNET 登陆的 ip 地址(与上面账号+密码登陆方式相同)

2．进入用户界面视图

[SwitchA]user-interface vty 0 4

3．配置远端用户名和口令认证

[SwitchA-ui-vty0-4]authentication-mode scheme

4．配置 RADIUS 认证方案，名为”cams”

[SwitchA]radius scheme cams

5．配置 RADIUS 认证服务器地址 192.168.0.31

[SwitchA-radius-cams]primary authentication 192.168.0.31 1812

6．配置交换机与认证服务器的验证口令为”huawei”

[SwitchA-radius-cams]key authentication huawei

7．送往 RADIUS 的报文不带域名

[SwitchA-radius-cams]user-name-format without-domain

8．创建（进入）一个域，名为”huawei”

[SwitchA]domain huawei

9．在域”huawei”中引用名为”cams”的认证方案

[SwitchA-isp-huawei]radius-scheme cams

10．将域”huawei”配置为缺省域

[SwitchA]domain default enable Huawei

 

 TELNET 访问控制配置

1．配置访问控制规则只允许 192.1.1.0/24 网段登录

[SwitchA]acl number 2000

[SwitchA-acl-basic-2000]rule deny source any

[SwitchA-acl-basic-2000]rule permit source 192.1.1.0 0.0.0.255

2．配置只允许符合 ACL2000 的 IP 地址登录交换机

[SwitchA]user-interface vty 0 4

[SwitchA-ui-vty0-4]acl 2000 inbound

3．补充说明：

TELNET 登陆主机与交换机不是直连的情况下需要配置默认路由；

 在交换机上增加 super password(缺省情况下，从 VTY 用户界面登录后的级别为1 级，无法对设备进行配置操作。必须要将用户的权限设置为最高级别 3，才可以进入系统视图并进行配置操作。低级别用户登陆交换机后，需输入 superpassword 改变自己的级别)例如，配置级别 3 用户的 super password 为明文密码”super3”：[SwitchA]super password level 3 simple super3

 

3、 H3C S5500-SI  S3610 S5510 系列交换机 TELNET TELNET TELNET TELNET 配置流程

1．补充说明：

� 由于 H3C S5500-SI S3610 S5510 系列交换机采用全新的 Comware V5 平

台，命令行稍有改动。在采用上述配置的基础上，只要在系统视图下增加命

令：[SwitchA]telnet server enable 即可。

 

四 配置关键点

 

1．三层交换机，可以有多个三层虚接口，它的管理 VLAN 可以是任意一个具有三层接口并配置了 IP 地址的 VLAN，而二层交换机，只有一个二层虚接口，它的管理 VLAN即是对应三层虚接口并配置了 IP 地址的 VLAN；

2．交换机缺省的 TELNET 认证模式是密码认证，如果没有在交换机上配置口令，当 TELNET 登录交换机时，系统会现”password required, but none set.”的提示；

3．TELNET 登陆可以应用 windows 自带的 dos、超级终端，也可以应用别的 telnet软件进行登陆。