配置通过TELNET登录系统-新版（3）

目录

1.配置R1接口GE0/0/0的IP地址

2.配置R2接口GE0/0/0的IP地址

3.配置R3接口GE0/0/0的IP地址

4.在R2上使用ping命令检查配置结果

5.在R1上配置Telnet的密码验证

6.在R2上使用Telnet连接R1

7.在R2上输入密码验证配置结果

8.在R3上使用Telnet连接R1

9.在R3上输入密码验证配置结果

10.在R1上查看登录用户信息

11.在R1上创建管理员用户并配置权限

12.在R1上配置管理员用户的接入类型为Telnet

13.在R1上创建普通用户并配置权限

14.在R1上配置普通用户的接入类型为Telnet

15.将R1的认证模式改成AAA

16.用R3模拟管理员用户使用Telnet连接R1

17.用R3模拟管理员用户输入密码验证配置结果

18.用R2模拟普通用户使用Telnet连接R1

19.用R2模拟普通用户输入密码验证配置结果

---

本实验模拟公司网络场景，路由器R1是公司机房的一台设备，公司员工的办公区与机房不在同一个楼层，路由器R2和R3模拟员工主机，通过交换机S1与机房设备相连。为了方便用户的管理，现需要在路由器R1上配置Telnet使用户能在办公区远程管理机房设备。为了提高安全性，Telnet时需要使用密码认证，只有网络管理员能对设备进行配置和管理，普通用户仅能监控设备。

1.配置R1接口GE0/0/0的IP地址

根据实验编址表配置R1接口GE0/0/0的IP地址。
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 10.1.1.254 24

system-view
sysname R1
interface GigabitEthernet 0/0/0
ip address 10.1.1.254 24

 2.配置R2接口GE0/0/0的IP地址

根据实验编址表配置R2接口GE0/0/0的IP地址。
system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip address 10.1.1.1 24

system-view
sysname R2
interface GigabitEthernet 0/0/0
ip address 10.1.1.1 24

3.配置R3接口GE0/0/0的IP地址

根据实验编址表配置R3接口GE0/0/0的IP地址。
system-view
[Huawei]sysname R3
[R3]interface GigabitEthernet 0/0/0
[R3-GigabitEthernet0/0/0]ip address 10.1.1.2 24

system-view
sysname R3
interface GigabitEthernet 0/0/0
ip address 10.1.1.2 24

4.在R2上使用ping命令检查配置结果

配置完成后使用ping命令检测各直连链路的连通性（这里以R2和默认网关间的连通性为例）。
执行以下命令：
[R2-GigabitEthernet0/0/0]q
[R2]ping 10.1.1.254
如果设备IP地址配置成功且正确，将会出现以下结果，意味着从R2上Ping主机10.1.1.254/24，可Ping通。

ping 10.1.1.254

5.在R1上配置Telnet的密码验证

为了方便公司员工对机房设备进行远程管理和维护，需要在路由器上配置Telnet功能。为了提高网络安全性，用户在Telnet时使用密码认证，只有通过认证的用户才有权限登录设备。
在R1上配置Telnet验证方式为密码验证方式，密码为huawei。并设置验证密码以密文方式存储，在配置文件中以加密的方式显示密码，能够使密码不容易被泄露。
[R1-GigabitEthernet0/0/0]q
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode password
[R1-ui-vty0-4]set authentication password cipher huawei

user-interface vty 0 4
authentication-mode password
set authentication password cipher huawei

6.在R2上使用Telnet连接R1

在用户设备R2上使用Telnet连接R1，执行命令telnet ip-address，通过Telnet方式登录设备。执行命令：

[R2]q
telnet 10.1.1.254
将看到以下结果：

return
telnet 10.1.1.254

7.在R2上输入密码验证配置结果

在R2上执行Telnet命令之后，于Password后面输入密码：
Password: #此处输入密码：huawei
登录成功将看到以下信息：
Info: The max number of VTY users is 10, and the number
of current VTY users on line is 1.
The current login time is 2018-05-07 13:50:04.

#进入设备R1的命令行界面，表示成功登录设备。（以上显示信息仅为示意）

8.在R3上使用Telnet连接R1

在用户设备R3上使用Telnet连接R1，执行命令telnet ip-address，通过Telnet方式登录设备。执行命令：
[R3-GigabitEthernet0/0/0]return
telnet 10.1.1.254
将看到以下结果：
Trying 10.1.1.254 ...
Press CTRL+K to abort
Connected to 10.1.1.254 ...
Login authentication
Password:

9.在R3上输入密码验证配置结果

在R3上执行Telnet命令之后，于Password后面输入密码：
Password: #此处输入密码：huawei
登录成功将看到以下信息：
Info: The max number of VTY users is 10, and the number
of current VTY users on line is 1.
The current login time is 2018-05-07 13:52:01.

#进入设备R1的命令行界面，表示成功登录设备。（以上显示信息仅为示意）

10.在R1上查看登录用户信息

登录成功后，可以在R1上继续使用命令display users查看已经登录的用户信息（R2和R3不要退出登录）。
执行命令：
[R1-ui-vty0-4]q
[R1]dis users
将能看到以下结果：

11.在R1上创建管理员用户并配置权限

为了进一步保证网络的安全性及稳定性，避免员工错误更改设备的配置，公司要求普通员工只能拥有设备的监控权限，只有网络管理员拥有设备的配置和管理权限。默认情况下，VTY用户界面的用户级别为0（参观级），只能使用ping、tracert等这些网络诊断命令。
在R1上配置Telnet。普通员工使用单独的用户名和密码登录设备，只能使用display等命令监控设备。管理员使用自己单独的用户名和密码登录设备，拥有设备的配置和管理权限。这里要将VTY用户界面的认证模式修改成AAA认证，这样才能使用本地的用户名和密码进行认证，默认情况下设备的AAA认证功能是开启的，所以只需要为管理员在本地配置相应的用户名和密码即可。为管理员创建用户名为admin，密码为hello的本地用户，用户级别为3（管理级）；为普通用户创建用户名为guest，密码为thank的本地用户，用户级别为1（监控级）。
进入AAA视图下创建管理员用户，并配置管理员本地用户名admin和密文密码hello，并且将该用户的用户级别修改为3。
执行命令：
[R1]aaa
[R1-aaa]local-user admin password cipher hello privilege level 3

return
system-view
aaa
local-user admin password cipher hello privilege level 3

12.在R1上配置管理员用户的接入类型为Telnet

执行以下命令，配置管理员用户的接入类型为Telnet：
[R1-aaa]local-user admin service-type telnet

local-user admin service-type telnet

13.在R1上创建普通用户并配置权限

进入AAA视图下创建普通用户，并配置普通用户本地用户名guest和密文密码thank，并且将该用户的用户级别修改为1。
执行命令：
[R1-aaa]local-user guest password cipher thank privilege level 1

aaa
local-user guest password cipher thank privilege level 1

14.在R1上配置普通用户的接入类型为Telnet

执行命令，配置普通用户的接入类型为Telnet：
[R1-aaa]local-user guest service-type telnet

local-user guest service-type telnet

15.将R1的认证模式改成AAA

进入R1的VTY用户界面视图，执行以下命令，将认证模式改成AAA。
[R1-aaa]q
[R1]user-interface vty 0 4
[R1-ui-vty0-4]authentication-mode aaa

user-interface vty 0 4
authentication-mode aaa

16.用R3模拟管理员用户使用Telnet连接R1

将R3模拟成管理员用户设备，执行命令telnet 10.1.1.254，测试到R1的Telnet连接。
telnet 10.1.1.254

执行命令后将看到以下结果：
Trying 10.1.1.254 ...
Press CTRL+K to abort
Connected to 10.1.1.254 ...
Login authentication
Username:

telnet 10.1.1.254

17.用R3模拟管理员用户输入密码验证配置结果

在R3上执行Telnet命令之后，于Username后方输入用户名admin，于Password后面输入密码hello：
Username:admin #输入用户名：admin
Password: #输入密码：hello
输入用户名和密码登录成功后将会出现以下信息：
Info: The max number of VTY users is 10, and the number
of current VTY users on line is 1.
The current login time is 2018-05-07 15:09:25.

出现，意味着成功进入了设备R1的命令行界面，表示成功登录设备。（以上显示信息仅为示意）
执行system-view命令进入系统：
system-view
Enter system view, return user view with Ctrl+Z.
[R1]
出现[R1]时，按下回车，界面依然停留在R1的系统视图界面，意味着R3拥有管理员权限，可以进入R1的系统视图界面。

18.用R2模拟普通用户使用Telnet连接R1

将R2模拟成普通用户设备，执行命令 telnet 10.1.1.254，测试到R1的Telnet连接。
q
telnet 10.1.1.254
执行命令后将看到以下结果：
Trying 10.1.1.254 ...
Press CTRL+K to abort
Connected to 10.1.1.254 ...
Login authentication

19.用R2模拟普通用户输入密码验证配置结果

在R2上执行Telnet命令之后，于Username后方输入用户名guest，于Password后面输入密码thank：
Username:guest #输入用户名：guest
Password: #输入密码：thank
输入用户名和密码登录成功后将会出现以下信息：
Info: The max number of VTY users is 10, and the number
of current VTY users on line is 2.
The current login time is 2018-05-07 15:11:41.

出现，意味着成功进入了设备R1的命令行界面，表示成功登录设备。（以上显示信息仅为示意）
执行system-view命令进入系统：
system-view
Error: Unrecognized command found at '^' position.

出现Error意味着没有进入了设备R1的系统视图界面，表示R2拥有普通用户权限没有管理员权限，不可以进入R1的系统视图界面。
由以上信息可以观察到，在连接R1时需要同时输入用户名和密码进入认证。输入正确的用户名和密码后即可进入R1的用户视图下，如果是管理员用户则可以使用命令system-view进入到R1的系统视图下，从而可以对R1进行所有相关的配置和管理操作，如果是普通用户，则不能进入到系统视图，只能使用ping、tracert等这些网络诊断命令。