7.Telnet、SSH、DHCP协议

一、Telnet（报文是明文传输，不安全）

1. Telnet应用场景

   为方便通过命令行管理设备，可以使用Telnet协议对设备进行管理。
   Telnet协议与使用Console接口管理设备不同，无需专用线缆直连设备的Console接口，只要IP地址可达、能够和设备的TCP 23端口通信即可。
   支持通过Telnet协议进行管理的设备被称为Telnet服务器端，而对应的终端则被称为Telnet客户端。很多网络设备同时支持作为Telnet服务器端、Telnet客户端。
   

2. 虚拟用户界面

   当用户使用Console接口、Telnet等方式登录设备的时候，系统会分配一个用户界面（user-interface）来管理、监控设备与用户间的当前会话，每个用户界面视图可以配置一系列参数用于指定用户的认证方式、登录后的权限级别，当用户登录设备后将会受这些参数限制。
   Telnet所对应的用户界面类型为VTY（Virtual Type Terminal，虚拟类型终端）。
   

二、Telnet配置命令

1. 开启Telnet服务器端功能

[Huawei] telnet server enable

• 缺省情况下，设备的Telnet服务器端功能处于去使能状态。
• undo telnet server enable即可重新关闭Telnet服务器端功能。
• 使能就是允许或者开启，去使能就是不允许或者关闭。

2. 进入用户视图

[Huawei] user-interface vty first-ui-number [ last-ui-number ]

• 进入VTY用户界面视图。 不同设备型号的VTY接口可能并不一致。

• user-interface vty 0 4 （代表同时允许五个设备登录，0，1，2，3）

3. 配置VTY用户界面支持的协议

[Huawei-ui-vty0-4]] protocol inbound { all | telnet |ssh }

• 缺省情况下，VTY用户界面支持的协议是SSH（Secure Shell Protocol ，安全外壳协议）和Telnet。

4. 配置认证方式

[Huawei-ui-vty0-4] authentication-mode {aaa | none | password}

• 密码认证方式，如果选择aaa，则需要配置AAA；若选择password，则接着把下面的命令配好就可以了，不用配置AAA。

• 缺省情况下，无默认认证方式，需要进行手动配置。

5. 配置密码认证方式下的认证密码

[Huawei-ui-vty0-4] set authentication password cipher

• 不同VRP版本执行set authentication password cipher命令有差异：某些版本需要回车后输入密码，某些版本可直接在命令后输入密码。

6. telnet配置示例

/* 配置telnet */
[R2] telnet server enable  // 开启telnet服务
[R2] user-interface vty 0 4  // 进入用户视图
[R2-ui-vty0-4] protocol inbound telnet  // 使用telnet协议
[R2-ui-vty0-4] authentication aaa  // 认证方式为aaa，还需配置aaa认证

/* 配置aaa认证 */
[Huawei]aaa // 进入aaa认证
[Huawei-aaa] local-user huawei password cipher Huawei@123  // 创建用户名为huawei、密码为Huawei@123，且密码加密显示的本地账户。
[Huawei-aaa] local-user huawei privilege level 3  // 配置huawei用户的等级为3。
[Huawei-aaa] local-user huawei service-type telnet  // 配置huawei用户的服务类型为telnet。
[Huawei-aaa] quit  // 配置完退出即可。

/* 客户端远程登录 */
<R1> telnet IP地址  // 远程访问，回车后输入用户名以及密码

三、SSH（安全传输协议）

1. SSH

   security shell 安全的远程控制协议 tcp 22号端口
   

2. 特点

   传输的数据是加密的，常用于远程控制路由器、交换机、Linux服务器等。
   	※ ENSP模拟器中router 路由器不支持ssh，AR2220 支持。
   

四、SSH配置命令

1. ssh配置示例

/* 配置SSH */
[R2]stelnet server enable  // 开启SSH服务
[R2]user-interface vty 0 4  // 进入用户视图
[R2-ui-vty0-4]authentication-mode aaa  // 认证方式选择aaa
[R2-ui-vty0-4]protocol inbound ssh  // 使用ssh协议

/* 配置AAA* /
[R2]aaa // 进入AAA认证
[R2-aaa]local-user aa password cipher Huawei@123 // 创建用户aa，密码为密文显示Huawei@123
[R2-aaa]local-user aa privilege level 3  // 用户aa权限等级为3
[R2-aaa]local-user aa service-type ssh  // 用户服务类型为ssh
[R2-aaa]quit // 退出aaa

/* 客户端远程访问 */
[R1]ssh client first-time enable // 首次访问需要初始化密钥之类的
[R1]stelnet 12.1.1.2  // 远程访问，回车后输入用户名以及密码

2. 注意事项

   不同版本的VRP系统配置略有差异，配置时建议查询相应版本产品文档。
   由于SSH加密涉及密钥算法，需保证客户端和服务端所支持的算法可以协商一致。如果不一致可以尝试更换客户端软件（或更换客户端软件版本）。
   常用远程登录软件：SecureCRT、Xshell等
   

3. 错误解决（华为ENSP模拟器的AR2220路由器无法启动的原因）

   Oracle VirtualBox 版本不对，建议使用5.2.22 或 5.2.44。
   建议关闭所有安全软件和防火墙、 windows defender。
   重启后残留配置没有清理干净。
   

五、DHCP（动态主机配置协议）

1. DHCP基本概念

   为解决传统的静态手工配置方式的不足，DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）应运而生，其可以实现网络动态合理地分配IP地址给主机使用。
   DHCP采用C/S构架，主机无需配置，从服务器端获取地址，可实现接入网络后即插即用。
   

2. DHCP工作原理

   首先DHCP客户端发送DHCP Discover（广播报文，用于发现当前网络中的DHCP服务器端）
   DHCP服务器端发现后，会给DHCP客户端发送一个DHCP Offer（单播报文，携带分配给DHCP客户端的IP地址）
   DHCP客户端再发一个DHCP Request（广播报文，用于告知服务器端自己将使用该IP地址）
   DHCP服务器端会发送一个DHCP Ack（单播报文，最终确认，告知DHCP客户端可以使用该IP地址）
   	※ 为什么DHCP客户端要再次发送Request广播报文确认？是因为如果有多个dhcp服务器，客户端发送广播报文请求后，就有可能服务器A与B分别发送单播报文给客户端（分配了不同的ip地址），客户端如果要使用服务器A分配的ip地址，就要发送广播报文DNCP Request告诉所有DHCP服务器自己要用服务器A分配的地址，A收到后会发送一个单播报文给客户端进行最终确认；与此同时服务器B发现客户端用了其他服务器端分配的地址，没有用自己的，就会把自己分配的地址回收，不会造成ip地址的浪费。
   

3. DHCP租期更新

   DHCP客户端发现自己的租期已经过了50%的时候，会给分配自己IP地址的DNCP服务端发送DHCP Request（单播报文，请求继续使用该IP地址，延长使用期限）
   DHCP服务端返回给客户端一个DHCP Ack（单播报文，告知客户端可以继续使用该IP地址，可使用时间刷新到租期时长Lease）
   如果在50%租期时客户端未得到原服务器端的回应，则客户端在87.5%租期时会广播发送DHCP Request，任意一台DHCP服务器端都可回应，该过程称为重绑定。
   

六、DHCP配置命令

1. 开启DHCP功能

[Huawei] dhcp enable

2. 开启接口采用接口地址池的DHCP服务器端功能

[Huawei-Gigabitthernet0/0/0]dhcp select interface

3. 指定接口地址池下的DNS服务器地址

[Huawei-Gigabitthernet0/0/0]dhcp server dns-list ip-address

4. 配置接口地址池中不参与自动分配的IP地址范围

[Huawei-Gigabitthernet0/0/0]dhcp server excluded-ip-address start-ip-address [ end-ip-address ]

• 可以同时排除多个地址段，只需要多次键入该条命令即可

• 如果排除的地址段中的部分地址已经配分配了，那么需要在PC上将自动给获取的地址释放掉：ipconfig /renew

5. 配置DHCP服务器接口地址池中IP地址的租用有效期限功能

[Huawei-Gigabitthernet0/0/0]dhcp server lease { day day [ hour hour [ minute minute ] ] | unlimited } 

• 缺省情况下，IP地址的租期为1天

6. 创建全局地址池

[Huawei]ip pool ip-pool-name

7. 配置全局地址池可动态分配的IP地址范围

[Huawei-ip-pool-2]network ip-address [ mask { mask | mask-length } ]

8. 配置DHCP客户端的网关地址

[Huawei-ip-pool-2]gateway-list ip-address

9. 配置DHCP客户端使用的DNS服务器的IP地址

[Huawei-ip-pool-2]dns-list ip-address

10. 配置IP地址租期

[Huawei-ip-pool-2] lease { day day [ hour hour [ minute minute ] ] | unlimited }

11. 使能接口的DHCP服务器功能

[Huawei-Gigabitthernet0/0/0]dhcp select global

12. DHCP配置案例

/* 通常有两种配置方式，一种是基于接口地址池的、一种是基于全局地址池 */
/* 一、配置基于接口的DHCP案例 */
[R1]dhcp enable  // 全局开启dhcp服务
[R1]int e0/0/0  // 进入接口
[R1-Ethernet0/0/0]dhcp select interface  // 开启接口的dhcp（基于接口地址池的分配方式，只能自动分配该接口网段的ip地址）
[R1-Ethernet0/0/0]dhcp server dns-list 114.114.114.114  // 指定接口地址池下的DNS服务器地址
[R1-Ethernet0/0/0]dhcp server lease day 2   // 配置租期为2天（选配）
[R1-Ethernet0/0/0]dhcp server excluded-ip-address 192.168.1.240 192.168.1.254  // 配置自动分配ip地址时排除192.168.1.240到192.168.1.254地址段（选配）
		
/* 查看配置结果 */
① 在PC上开启dncp自动获取
② 命令行界面输入：ipconfig查看

/* 二、配置基于全局地址池的DHCP案例 */
[R1]dhcp enable  // 全局开启dhcp服务
[R1]ip pool AA   // 创建全局地址池AA
[R1-ip-pool-AA]gateway-list 192.168.1.1  // 配置网关
[R1-ip-pool-AA]network 192.168.1.0 mask 24  // 配置网段
[R1-ip-pool-AA]excluded-ip-address 192.168.1.240 192.168.1.254  // 配置排除地址段
[R1-ip-pool-AA]lease day 2 // 配置租期为2天
[R1-ip-pool-AA]dns-list 114.114.114.114 223.5.5.5  // 配置dns服务器，可以同时配置多条，空格分隔
[R1-ip-pool-AA]quit  //退出地址池AA
[R1]int e0/0/0  // 进入接口
[R1-Ethernet0/0/0]dhcp select global  // 使能接口的DHCP服务器功能

/* DHCP调试命令 */
DHCP服务器：
[R1]dis ip pool // 查看地址池
[R1]dis ip pool name AA used  // 查看AA地址池已经分配的IP地址信息
[R1]dis ip pool interface Ethernet0/0/0/0 // 查看该接口的地址池信息 
终端：
ipconfig // 查看网卡的信息
ipconfig /renew  // 获取IP地址
ipconfig /release  // 释放IP地址
// 上述配置中的dhcp客户端和服务端要在一个二层广播域中，如果中间隔了路由器，那就需要用到dhcp中继，在HCIP中学习。