SSH遠程管理 和Telnet 遠程管理
- 0關注
- 1收藏,3079瀏覽
最佳答案
3.4.3 配置設備作為Telnet服務器配置
1. 通過Telnet登錄設備配置任務簡介
設備作為Telnet服務器配置任務如下:
(1) 開啟Telnet服務
(2) 配置設備作為Telnet服務器時的認證方式
¡ 配置Telnet登錄設備時采用密碼認證(password)
¡ 配置Telnet登錄設備時采用AAA認證(scheme)
(3) (可選)配置Telnet服務器發送報文的公共屬性
(4) (可選)配置VTY用戶線的公共屬性
2. 開啟Telnet服務
(1) 進入係統視圖。
system-view
(2) 開啟設備的Telnet服務。
telnet server enable
缺省情況下,Telnet服務處於關閉狀態。
3. 配置Telnet登錄設備時無需認證(none)
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置登錄用戶的認證方式為不認證。
authentication-mode none
出廠配置中,Telnet用戶的認證方式為scheme。
缺省情況下,Telnet用戶的認證方式為password。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(4) 配置從當前用戶線登錄設備的用戶角色。
user-role role-name
出廠配置中,通過Telnet登錄設備的用戶角色為network-admin。
缺省情況下,對於缺省Context,通過Telnet登錄設備的用戶角色為network-operator。對於非缺省Context,通過Telnet登錄的用戶角色為context-operator。
4. 配置Telnet登錄設備時采用密碼認證(password)
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置登錄用戶的認證方式為密碼認證。
authentication-mode password
出廠配置中,Telnet用戶的認證方式為scheme。
缺省情況下,Telnet用戶的認證方式為password。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(4) 設置密碼認證的密碼。
set authentication password { hash | simple } password
缺省情況下,未設置密碼認證的密碼。
(5) (可選)配置從當前用戶線登錄設備的用戶角色。
user-role role-name
出廠配置中,通過Telnet登錄設備的用戶角色為network-admin。
缺省情況下,對於缺省Context,通過Telnet登錄設備的用戶角色為network-operator。對於非缺省Context,通過Telnet登錄的用戶角色為context-operator。
5. 配置Telnet登錄設備時采用AAA認證(scheme)
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置登錄用戶的認證方式為通過AAA認證。
authentication-mode scheme
出廠配置中,Telent用戶的認證方式為scheme。
缺省情況下,Telent用戶的認證方式為password。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(4) 在ISP域視圖下為login用戶配置認證方法。
如果選擇本地認證,請配置本地用戶及相關屬性;如果選擇遠程認證,請配置RADIUS、HWTACACS或LDAP方案。相關配置的詳細介紹請參見“安全配置指導”中的“AAA”。
6. 配置Telnet服務器發送報文的公共屬性
(1) 進入係統視圖。
system-view
(2) 配置Telnet服務器發送報文的DSCP優先級。
(IPv4網絡)
telnet server dscp dscp-value
(IPv6網絡)
telnet server ipv6 dscp dscp-value
缺省情況下,Telnet服務器發送Telnet報文的DSCP優先級為48。
(3) 配置Telnet協議的端口號。
(IPv4網絡)
telnet server port port-number
(IPv6網絡)
telnet server ipv6 port port-number
缺省情況下,Telnet協議的端口號為23。
(4) 配置Telnet登錄同時在線的最大用戶連接數。
aaa session-limit telnet max-sessions
缺省情況下,Telnet方式登錄同時在線的最大用戶連接數為32。
配置本命令後,已經在線的用戶連接不會受到影響,隻對新的用戶連接生效。如果當前在線的用戶連接數已經達到最大值,則新的連接請求會被拒絕,登錄會失敗。
關於該命令的詳細描述,請參見“安全命令參考”中的“AAA”。
7. 配置VTY用戶線的公共屬性
(1) 進入係統視圖。
system-view
(2) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(3) 設置VTY終端屬性。
¡ 設置在終端線路上啟動終端服務。
shell
缺省情況下,所有用戶線的終端服務功能處於開啟狀態。
¡ 配置終端的顯示類型。
terminal type { ansi | vt100 }
缺省情況下,終端顯示類型為ANSI。
¡ 設置終端屏幕一屏顯示的行數。
screen-length screen-length
缺省情況下,終端屏幕一屏顯示的行數為24行。
取值為0表示關閉分屏顯示功能。
¡ 設置設備曆史命令緩衝區大小。
history-command max-size value
缺省情況下,每個用戶的曆史緩衝區大小為10,即可存放10條曆史命令。
¡ 設置VTY用戶線的空閑超時時間。
idle-timeout minutes [ seconds ]
缺省情況下,所有的用戶線的超時時間為10分鍾。如果10分鍾內某用戶線沒有用戶進行操作,則該用戶線將自動斷開。
取值為0表示永遠不會超時。
(4) 配置VTY用戶線支持的協議。
protocol inbound { all | ssh | telnet }
缺省情況下,設備同時支持Telnet和SSH協議。
該配置將在用戶下次使用該用戶線登錄時生效。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(5) 設置從用戶線登錄後自動執行的命令。
auto-execute command command
缺省情況下,未配置自動執行命令。
在配置auto-execute command命令並退出登錄之前,要確保可以通過其他VTY用戶登錄並更改配置,以便出現問題後,能刪除該配置。
配置自動執行命令後,用戶在登錄時,係統會自動執行已經配置好的命令,執行完命令後,自動斷開用戶連接。如果這條命令引發了一個任務,係統會等這個任務執行完畢後再斷開連接。
(6) 配置快捷鍵。
¡ 配置中止當前運行任務的快捷鍵。
escape-key { key-string | default }
缺省情況下,鍵入<Ctrl+C>中止當前運行的任務。
¡ 配置對當前用戶線進行鎖定並重新認證的快捷鍵。
lock-key key-string
缺省情況下,不存在對當前用戶線進行鎖定並重新認證的快捷鍵。
3.4.4 配置設備作為Telnet客戶端登錄其他設備
1. 功能簡介
用戶已經成功登錄到了設備上,並希望將當前設備作為Telnet客戶端登錄到Telnet服務器上進行操作,如圖3-2所示。
2. 配置準備
先配置設備IP地址並獲取Telnet服務器的IP地址。如果設備與Telnet服務器相連的端口不在同一子網內,請保證兩台設備間路由可達。
3. 配置步驟
(1) 進入係統視圖。
system-view
(2) (可選)指定設備作為Telnet客戶端時,發送Telnet報文的源IPv4地址或源接口。
telnet client source { interface interface-type interface-number | ip ip-address }
缺省情況下,未指定發送Telnet報文的源IPv4地址和源接口,使用報文路由出接口的主IPv4地址作為Telnet報文的源地址。
(3) 退回用戶視圖。
quit
(4) 設備作為Telnet客戶端登錄到Telnet服務器。
(IPv4網絡)
telnet remote-host [ service-port ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ip ip-address } ] [ dscp dscp-value ] [ escape character ]
(IPv6網絡)
telnet ipv6 remote-host [ -i interface-type interface-number ] [ port-number ] [ vpn-instance vpn-instance-name ] [ source { interface interface-type interface-number | ipv6 ipv6-address } ] [ dscp dscp-value ] [ escape character ]
3.5 配置通過SSH登錄設備
3.5.1 功能簡介
用戶通過一個不能保證安全的網絡環境遠程登錄到設備時,SSH(Secure Shell,安全外殼)可以利用加密和強大的認證功能提供安全保障,保護設備不受諸如IP地址欺詐、明文密碼截取等攻擊。
· 設備可以作為SSH服務器,以便用戶能夠使用SSH協議登錄到設備進行遠程管理和監控。具體配置請參見“3.5.2 配置設備作為SSH服務器”。
· 設備也可以作為SSH客戶端,使用SSH協議登錄到別的設備,對別的設備進行管理和監控。具體配置請參見“3.5.3 配置設備作為SSH客戶端登錄其他設備”。
3.5.2 配置設備作為SSH服務器
以下配置步驟隻介紹采用password方式認證SSH客戶端的配置方法,publickey方式的配置方法及SSH的詳細介紹,請參見“安全配置指導”中的“SSH”。
(1) 進入係統視圖。
system-view
(2) 生成本地密鑰對。
public-key local create { dsa | ecdsa secp256r1 | rsa }
(3) 開啟SSH服務器功能。
ssh server enable
出廠配置中,SSH服務器功能處於開啟狀態。
缺省情況下,SSH服務器功能處於關閉狀態。
(4) (可選)建立SSH用戶,並指定SSH用戶的認證方式。
ssh user username service-type stelnet authentication-type password
(5) 進入VTY用戶線或VTY用戶線類視圖。
¡ 進入VTY用戶線視圖。
line vty first-number [ last-number ]
¡ 進入VTY用戶線類視圖。
line class vty
(6) 配VTY用戶線的認證方式為scheme方式。
authentication-mode scheme
出廠配置中,VTY用戶線的認證方式為scheme方式。
缺省情況下,VTY用戶線的認證方式為password方式。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(7) (可選)配置VTY用戶線支持的SSH協議。
protocol inbound { all | ssh | telnet }
缺省情況下,設備同時支持Telnet和SSH協議。
本配置將在用戶下次使用該用戶線登錄時生效。
用戶線視圖下,authentication-mode和protocol inbound存在關聯綁定關係,當兩條命令中的任意一條配置了非缺省值,那麼另外一條取用戶線下的值。
(8) (可選)配置SSH方式登錄設備時,同時在線的最大用戶連接數。
aaa session-limit ssh max-sessions
缺省情況下,SSH方式登錄同時在線的最大用戶連接數為32。
配置本命令後,已經在線的用戶連接不會受到影響,隻對新的用戶連接生效。如果當前在線的用戶連接數已經達到最大值,則新的連接請求會被拒絕,登錄會失敗。
關於該命令的詳細描述,請參見“安全命令參考”中的“AAA”。
(9) (可選)退回係統視圖並配置VTY用戶線的公共屬性。
a. 退回係統視圖。
quit
b. 配置VTY用戶線的公共屬性。
詳細配置請參見“3.4.3 7. 配置VTY用戶線的公共屬性”。
3.5.3 配置設備作為SSH客戶端登錄其他設備
1. 功能簡介
用戶已經成功登錄到了設備上,並希望將當前設備作為SSH客戶端登錄到其他設備上進行操作,如圖3-3所示。
2. 配置準備
先配置設備IP地址並獲取SSH服務器的IP地址。如果設備與SSH服務器相連的端口不在同一子網內,請配置路由使得兩台設備間路由可達。
3. 配置步驟
請在用戶視圖下執行本命令,配置設備作為SSH客戶端登錄到SSH服務器。
(IPv4網絡)
ssh2 server
(IPv6網絡)
ssh2 ipv6 server
為配合SSH服務器,設備作為SSH客戶端時還可進一步進行其他配置,具體配置請參見“安全配置指導”中的“SSH”。
- 2019-08-12回答
- 評論(0)
- 舉報
-
(0)
設備上開啟ssh telnet服務
域間策略放通對應策略
創建本地用戶,服務類型包含ssh telnet ,用戶角色
配置客戶端用戶登錄線認證方式
- 2019-08-12回答
- 評論(0)
- 舉報
-
(0)
暫無評論
基本上就兩部,
1,建立用戶
2,開啟服務,
可參考下相關文檔:
//www.yolosolive.com/cn/d_201907/1213751_30005_0.htm
//www.yolosolive.com/cn/d_201907/1213723_30005_0.htm
如果外網訪問,需要放通untrust到trust和local的策略
- 2019-08-12回答
- 評論(0)
- 舉報
-
(0)
暫無評論
配置Telnet: telnet server enable
line vty 0 63
authentication-mode scheme
user-role network-operator
local-user admin class manage password si 密碼
service-type telnet
authorization-attribute user-role network-admin
配置SSH
ssh server enable
public-key local create rsa
public-key local creat dsa
ine vty 0 63
authentication-mode scheme pr in ssh
user-role network-operator
local-user admin class manage password si 密碼
service-type ssh authorization-attribute user-role level-15
authorization-attribute user-role network-operator
auth user-role network-admin
- 2019-08-12回答
- 評論(0)
- 舉報
-
(0)
暫無評論
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論