7.Telnet、SSH、DHCP协议
目录
- 一、Telnet(报文是明文传输,不安全)
- 二、Telnet配置命令
- 三、SSH(安全传输协议)
- 四、SSH配置命令
- 五、DHCP(动态主机配置协议)
- 六、DHCP配置命令
一、Telnet(报文是明文传输,不安全)
-
Telnet应用场景
为方便通过命令行管理设备,可以使用Telnet协议对设备进行管理。 Telnet协议与使用Console接口管理设备不同,无需专用线缆直连设备的Console接口,只要IP地址可达、能够和设备的TCP 23端口通信即可。 支持通过Telnet协议进行管理的设备被称为Telnet服务器端,而对应的终端则被称为Telnet客户端。很多网络设备同时支持作为Telnet服务器端、Telnet客户端。 -
虚拟用户界面
当用户使用Console接口、Telnet等方式登录设备的时候,系统会分配一个用户界面(user-interface)来管理、监控设备与用户间的当前会话,每个用户界面视图可以配置一系列参数用于指定用户的认证方式、登录后的权限级别,当用户登录设备后将会受这些参数限制。 Telnet所对应的用户界面类型为VTY(Virtual Type Terminal,虚拟类型终端)。
二、Telnet配置命令
- 开启Telnet服务器端功能
[Huawei] telnet server enable
- 缺省情况下,设备的Telnet服务器端功能处于去使能状态。
- undo telnet server enable即可重新关闭Telnet服务器端功能。
- 使能就是允许或者开启,去使能就是不允许或者关闭。
- 进入用户视图
[Huawei] user-interface vty first-ui-number [ last-ui-number ]
-
进入VTY用户界面视图。 不同设备型号的VTY接口可能并不一致。
-
user-interface vty 0 4 (代表同时允许五个设备登录,0,1,2,3)
- 配置VTY用户界面支持的协议
[Huawei-ui-vty0-4]] protocol inbound { all | telnet |ssh }
- 缺省情况下,VTY用户界面支持的协议是SSH(Secure Shell Protocol ,安全外壳协议)和Telnet。
- 配置认证方式
[Huawei-ui-vty0-4] authentication-mode {aaa | none | password}
-
密码认证方式,如果选择aaa,则需要配置AAA;若选择password,则接着把下面的命令配好就可以了,不用配置AAA。
-
缺省情况下,无默认认证方式,需要进行手动配置。
- 配置密码认证方式下的认证密码
[Huawei-ui-vty0-4] set authentication password cipher
- 不同VRP版本执行set authentication password cipher命令有差异:某些版本需要回车后输入密码,某些版本可直接在命令后输入密码。
- telnet配置示例
/* 配置telnet */
[R2] telnet server enable // 开启telnet服务
[R2] user-interface vty 0 4 // 进入用户视图
[R2-ui-vty0-4] protocol inbound telnet // 使用telnet协议
[R2-ui-vty0-4] authentication aaa // 认证方式为aaa,还需配置aaa认证
/* 配置aaa认证 */
[Huawei]aaa // 进入aaa认证
[Huawei-aaa] local-user huawei password cipher Huawei@123 // 创建用户名为huawei、密码为Huawei@123,且密码加密显示的本地账户。
[Huawei-aaa] local-user huawei privilege level 3 // 配置huawei用户的等级为3。
[Huawei-aaa] local-user huawei service-type telnet // 配置huawei用户的服务类型为telnet。
[Huawei-aaa] quit // 配置完退出即可。
/* 客户端远程登录 */
<R1> telnet IP地址 // 远程访问,回车后输入用户名以及密码
三、SSH(安全传输协议)
-
SSH
security shell 安全的远程控制协议 tcp 22号端口 -
特点
传输的数据是加密的,常用于远程控制路由器、交换机、Linux服务器等。 ※ ENSP模拟器中router 路由器不支持ssh,AR2220 支持。
四、SSH配置命令
- ssh配置示例
/* 配置SSH */
[R2]stelnet server enable // 开启SSH服务
[R2]user-interface vty 0 4 // 进入用户视图
[R2-ui-vty0-4]authentication-mode aaa // 认证方式选择aaa
[R2-ui-vty0-4]protocol inbound ssh // 使用ssh协议
/* 配置AAA* /
[R2]aaa // 进入AAA认证
[R2-aaa]local-user aa password cipher Huawei@123 // 创建用户aa,密码为密文显示Huawei@123
[R2-aaa]local-user aa privilege level 3 // 用户aa权限等级为3
[R2-aaa]local-user aa service-type ssh // 用户服务类型为ssh
[R2-aaa]quit // 退出aaa
/* 客户端远程访问 */
[R1]ssh client first-time enable // 首次访问需要初始化密钥之类的
[R1]stelnet 12.1.1.2 // 远程访问,回车后输入用户名以及密码
-
注意事项
不同版本的VRP系统配置略有差异,配置时建议查询相应版本产品文档。 由于SSH加密涉及密钥算法,需保证客户端和服务端所支持的算法可以协商一致。如果不一致可以尝试更换客户端软件(或更换客户端软件版本)。 常用远程登录软件:SecureCRT、Xshell等 -
错误解决(华为ENSP模拟器的AR2220路由器无法启动的原因)
Oracle VirtualBox 版本不对,建议使用5.2.22 或 5.2.44。 建议关闭所有安全软件和防火墙、 windows defender。 重启后残留配置没有清理干净。
五、DHCP(动态主机配置协议)
-
DHCP基本概念
为解决传统的静态手工配置方式的不足,DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)应运而生,其可以实现网络动态合理地分配IP地址给主机使用。 DHCP采用C/S构架,主机无需配置,从服务器端获取地址,可实现接入网络后即插即用。 -
DHCP工作原理
首先DHCP客户端发送DHCP Discover(广播报文,用于发现当前网络中的DHCP服务器端) DHCP服务器端发现后,会给DHCP客户端发送一个DHCP Offer(单播报文,携带分配给DHCP客户端的IP地址) DHCP客户端再发一个DHCP Request(广播报文,用于告知服务器端自己将使用该IP地址) DHCP服务器端会发送一个DHCP Ack(单播报文,最终确认,告知DHCP客户端可以使用该IP地址) ※ 为什么DHCP客户端要再次发送Request广播报文确认?是因为如果有多个dhcp服务器,客户端发送广播报文请求后,就有可能服务器A与B分别发送单播报文给客户端(分配了不同的ip地址),客户端如果要使用服务器A分配的ip地址,就要发送广播报文DNCP Request告诉所有DHCP服务器自己要用服务器A分配的地址,A收到后会发送一个单播报文给客户端进行最终确认;与此同时服务器B发现客户端用了其他服务器端分配的地址,没有用自己的,就会把自己分配的地址回收,不会造成ip地址的浪费。 -
DHCP租期更新
DHCP客户端发现自己的租期已经过了50%的时候,会给分配自己IP地址的DNCP服务端发送DHCP Request(单播报文,请求继续使用该IP地址,延长使用期限) DHCP服务端返回给客户端一个DHCP Ack(单播报文,告知客户端可以继续使用该IP地址,可使用时间刷新到租期时长Lease) 如果在50%租期时客户端未得到原服务器端的回应,则客户端在87.5%租期时会广播发送DHCP Request,任意一台DHCP服务器端都可回应,该过程称为重绑定。
六、DHCP配置命令
- 开启DHCP功能
[Huawei] dhcp enable
- 开启接口采用接口地址池的DHCP服务器端功能
[Huawei-Gigabitthernet0/0/0]dhcp select interface
- 指定接口地址池下的DNS服务器地址
[Huawei-Gigabitthernet0/0/0]dhcp server dns-list ip-address
- 配置接口地址池中不参与自动分配的IP地址范围
[Huawei-Gigabitthernet0/0/0]dhcp server excluded-ip-address start-ip-address [ end-ip-address ]
-
可以同时排除多个地址段,只需要多次键入该条命令即可
-
如果排除的地址段中的部分地址已经配分配了,那么需要在PC上将自动给获取的地址释放掉:ipconfig /renew
- 配置DHCP服务器接口地址池中IP地址的租用有效期限功能
[Huawei-Gigabitthernet0/0/0]dhcp server lease { day day [ hour hour [ minute minute ] ] | unlimited }
- 缺省情况下,IP地址的租期为1天
- 创建全局地址池
[Huawei]ip pool ip-pool-name
- 配置全局地址池可动态分配的IP地址范围
[Huawei-ip-pool-2]network ip-address [ mask { mask | mask-length } ]
- 配置DHCP客户端的网关地址
[Huawei-ip-pool-2]gateway-list ip-address
- 配置DHCP客户端使用的DNS服务器的IP地址
[Huawei-ip-pool-2]dns-list ip-address
- 配置IP地址租期
[Huawei-ip-pool-2] lease { day day [ hour hour [ minute minute ] ] | unlimited }
- 使能接口的DHCP服务器功能
[Huawei-Gigabitthernet0/0/0]dhcp select global
- DHCP配置案例
/* 通常有两种配置方式,一种是基于接口地址池的、一种是基于全局地址池 */
/* 一、配置基于接口的DHCP案例 */
[R1]dhcp enable // 全局开启dhcp服务
[R1]int e0/0/0 // 进入接口
[R1-Ethernet0/0/0]dhcp select interface // 开启接口的dhcp(基于接口地址池的分配方式,只能自动分配该接口网段的ip地址)
[R1-Ethernet0/0/0]dhcp server dns-list 114.114.114.114 // 指定接口地址池下的DNS服务器地址
[R1-Ethernet0/0/0]dhcp server lease day 2 // 配置租期为2天(选配)
[R1-Ethernet0/0/0]dhcp server excluded-ip-address 192.168.1.240 192.168.1.254 // 配置自动分配ip地址时排除192.168.1.240到192.168.1.254地址段(选配)
/* 查看配置结果 */
① 在PC上开启dncp自动获取
② 命令行界面输入:ipconfig查看
/* 二、配置基于全局地址池的DHCP案例 */
[R1]dhcp enable // 全局开启dhcp服务
[R1]ip pool AA // 创建全局地址池AA
[R1-ip-pool-AA]gateway-list 192.168.1.1 // 配置网关
[R1-ip-pool-AA]network 192.168.1.0 mask 24 // 配置网段
[R1-ip-pool-AA]excluded-ip-address 192.168.1.240 192.168.1.254 // 配置排除地址段
[R1-ip-pool-AA]lease day 2 // 配置租期为2天
[R1-ip-pool-AA]dns-list 114.114.114.114 223.5.5.5 // 配置dns服务器,可以同时配置多条,空格分隔
[R1-ip-pool-AA]quit //退出地址池AA
[R1]int e0/0/0 // 进入接口
[R1-Ethernet0/0/0]dhcp select global // 使能接口的DHCP服务器功能
/* DHCP调试命令 */
DHCP服务器:
[R1]dis ip pool // 查看地址池
[R1]dis ip pool name AA used // 查看AA地址池已经分配的IP地址信息
[R1]dis ip pool interface Ethernet0/0/0/0 // 查看该接口的地址池信息
终端:
ipconfig // 查看网卡的信息
ipconfig /renew // 获取IP地址
ipconfig /release // 释放IP地址
// 上述配置中的dhcp客户端和服务端要在一个二层广播域中,如果中间隔了路由器,那就需要用到dhcp中继,在HCIP中学习。