华三交换机的Console和Telnet方式的登陆配置

华三交换机的Console和Telnet方式的登陆配置

        

交换机登陆配置刚接触交换机的人来说，还是需要下点功夫搞懂的。这是我学习的总结，不足之处还望批评指正。

        首先，在配置之前，要明白一些概念。在登陆交换机时候，交换机给我们提供了登陆交换机的接口（user-interface），用console线直连console口登陆的接口叫aux，aux通常只有一个，也就是aux 0。通过网络登陆的接口叫虚拟接口（vty），vty通常有好多个（16-64个），也是从0开始。下面是交换机的接口信息：

进入接口的方式就是通过user-interface aux 0或者user-interface vty 0
有的配置命令会有这样的方式：user-interface  vty  0  4  
这是什么意思呢，0  4代表vty0到vty4，一共五个虚拟接口，也就是我们可以同时通过五个虚拟接口远程登录交换机。

大家请看下图，交换机只配置了5个虚拟接口，在登陆第6个的时候，就会提示不成功：

其次，还需要知道的就是用户的级别。也就是你登陆之后的权限。

通常我们会看到这样的命令user privilege level 3或者authorization-attribute level 3或者authorization-attribute user-role level-15。这些命令就是控制登陆之后的权限。
有的把权限分为0-3，四个级别，有的是0-15，一共16个级别。

其实都差不多，四个级别和十六个级别差不多是对应的，0对应0123，1对应4567等等。
下图是华三官网对级别的解释：

最后，要了解认证的模式（authentication-mode），认证模式有三种：
无密码（none），直接连上就进去了。
有密码（password），需要密码认证，但是没有用户名。
以及Scheme，用户名和密码认证。用scheme认证方式的用户名和密码可以是交换机内部创建的用户，也可以是远程认证服务器上的用户。
了解上述概念之后，就可以开始配置了，要注意的是不同型号的交换机，其中命令还有一些差别。最好的解决方法就是上官网查阅相关的技术手册。
下面以华三的s5820v2系列交换机为例：
这里，我们都采用scheme方式，也就是用户名和密码，这种方式比较常见。

一．Console口登陆方式的配置：
system-view
[sw1]user-interface aux 0       //进入aux接口
[sw1-line-aux0]authentication-mode  scheme   //配置认证方式
[sw1-line-aux0]quit
接下来，就是在交换机本地创建用户
[sw2]local-user test        //创建名叫test的用户
New local user added.
[sw2-luser-manage-test]password ?     //为用户设置密码
  hash    Specify a hashtext password
  simple  Specify a plaintext password
 
可以看到，密码有两种方式，一种是hash，一种是simple
我们先用simple测试：
[sw2-luser-manage-test]password simple 123
[sw2-luser-manage-test]dis this
#
local-user test class manage
password hash $h$6$3JA21gfAB3728W8M$HywyGLS0aUykUeKok4d6OzAomP05TNnKVmzLsZUQCDTXaORpUE2qWVFxnlnV6D3Rr5Vg2DlJTOo63ZWplLdCMw==
authorization-attribute user-role network-operator
也就是说，用simple时，你配置的时候可以输入123，但是查看配置的时候会加密。
那么我们用hash看看：
[sw2-luser-manage-test]password hash 123
Invalid ciphertext password.
它就会提示无效的ciphertext密码。这是为什么呢，因为hash后面跟的是加密后的字符串，我们可以把刚才那个复制下来试一下，就不会报错了。
[sw2-luser-manage-test]password hash $h$6$3JA21gfAB3728W8M$HywyGLS0aUykUeKok4d6OzAomP05TNnKVmzLsZUQCDTXaORpUE2qWVFxnlnV6D3Rr5Vg2DlJTOo63ZWplLdCMw==
为什么要用password hash这个命令呢，我觉得可能是为了安全，因为你的历史命令可能被别人获取，也就获取到了你的密码。最安全的方法就是用编程算出一个hash的字符串，然后用这个字符串去设置密码。还有一个有趣的现象是，相同的密码，hash字符串还不一样。

然后，我们设置这个用户可以用来干嘛，terminal指console口连接，Telnet指可以用Telnet远程，ssh代表用ssh方式登录交换机。
[sw2-luser-manage-test]service-type  terminal | telnet | ssh
然后就是这只该用户的权限。level-15这是最高权限了，根据需要设置。
[sw2-luser-manage-test]authorization-attribute user-role level-15
有的交换机的命令可能是authorization-attribute level 3或者user privilege level 3。所以要根据不同的型号查阅相关的用户手册。

二．Telnet登录方式配置
[sw2] telnet server enable       //开启telnet服务
[sw2]interface Vlan-interface 1
[sw2-Vlan-interface1]ip address 192.168.1.2 24      //配置管理IP地址
[sw2]user-interface vty 0 4      //进入虚拟接口
[sw2-line-vty0-4]authentication-mode scheme     //设置认证方式
[sw2-line-vty0-4]quit
[sw2]local-user telnet       //添加本地用户telnet
New local user added.
[sw2-luser-manage-telnet]password simple 123    //设置密码
[sw2-luser-manage-telnet]service-type telnet     //设置用户用途
[sw2-luser-manage-telnet]authorization-attribute user-role level-15    //设置用户权限


到此，利用用户名和密码console和Telnet两种方式登录交换机的配置就完成了。