《配置交换机远程登录[分析运用].doc》由会员分享,可在线阅读,更多相关《配置交换机远程登录[分析运用].doc(4页珍藏版)》请在三一文库上搜索。
1、1 功能需求及组网说明 telnet配置配置环境参数PC机固定IP地址10.10.10.10/24SwitchA为三层交换机,vlan100地址10.10.10.1/24SwitchA与SwitchB互连vlan10接口地址192.168.0.1/24SwitchB与SwitchA互连接口vlan100接口地址192.168.0.2/24交换机SwitchA通过以太网口ethernet 0/1和SwitchB的ethernet0/24实现互连。组网需求1. SwitchA只能允许10.10.10.0/24网段的地址的PC telnet访问2. SwitchA只能禁止10.10.10.0/24网
2、段的地址的PC telnet访问3. SwitchB允许其它任意网段的地址telnet访问2 数据配置步骤PC管理交换机的流程1. 如果一台PC想远程TELNET到一台设备上,首先要保证能够二者之间正常通信。SwitchA为三层交换机,可以有多个三层虚接口,它的管理vlan可以是任意一个具有三层接口并配置了IP地址的vlan2. SwitchB为二层交换机,只有一个二层虚接口,它的管理vlan即是对应三层虚接口并配置了IP地址的vlan3. Telnet用户登录时,缺省需要进行口令认证,如果没有配置口令而通过Telnet登录,则系统会提示“password required, but none
3、 set.”。【SwitchA相关配置】PC在vlan100内,交换机上对应的端口为E0/10-E0/201. 创建(进入)vlan100SwitchAvlan 1002. 将E0/10-E0/20加入到vlan10里SwitchA-vlan100 port Ethernet 0/10 to Ethernet 0/203. 创建vlan100的虚接口SwitchAinterface Vlan-interface 1004. 给vlan100的虚接口配置IP地址SwitchA-Vlan-interface100ip address 10.10.10.1 255.255.255.05. 创建(进入
4、)vlan10SwitchAvlan 106. 将连接SwitchB的E0/1加入vlan10SwitchA-vlan10 port Ethernet 0/1 7. 创建(进入)vlan10的虚接口SwitchAinterface Vlan-interface 108. 给vlan10的虚接口配置IP地址SwitchA-Vlan-interface10ip address 192.168.0.1 255.255.255.0【SwitchB相关配置】1. 创建(进入)vlan100SwitchAvlan 1002. 将E0/24加入到vlan100里SwitchA-vlan100 port Et
5、hernet 0/243. 创建(进入)vlan100的虚接口SwitchBinterface Vlan-interface 1004. 给vlan100的虚接口配置IP地址SwitchB-Vlan-interface100ip address 192.168.0.2 255.255.255.05. 一般二层交换机允许其它任意网段访问需要加入一条缺省路由SwitchBip route-static 0.0.0.0 0.0.0.0 192.168.0.1【TELNET不验证配置】SwitchA-ui-vty0-4authentication-mode none【TELNET密码验证配置】1. 进
6、入用户界面视图SwitchAuser-interface vty 0 42. 设置认证方式为密码验证方式 SwitchA-ui-vty0-4authentication-mode password3. 设置明文密码SwitchA-ui-vty0-4set authentication password simple Huawei4. 缺省情况下,从VTY用户界面登录后可以访问的命令级别为0级。需要将用户的权限设置为3,这用户可以进入系统视图进行操作,否则只有0级用户的权限SwitchA-ui-vty0-4user privilege level 3【TELNET本地用户名和密码验证配置】1.
7、进入用户界面视图SwitchAuser-interface vty 0 42. 使用authentication-mode scheme命令,表示需要进行本地或远端用户名和口令认证。SwitchA-ui-vty0-4authentication-mode scheme3. 设置本地用户名和密码SwitchAlocal-user HuaweiSwitchA-user-huaweiservice-type telnet level 3SwitchA-user-huaweipassword simple Huawei4. 如果不改变TELNET登录用户的权限,用户登录以后是无法直接进入其它视图的,可
8、以设置super password,来控制用户是否有权限进入其它视图SwitchAlocal-user HuaweiSwitchA-user-huaweiservice-type telnet SwitchA-user-huaweipassword simple HuaweiSwitchAsuper password level 3 simple huawei【TELNET RADIUS验证配置】以使用huawei开发的cams作为RADIUS服务器为例1. 设置TELNET登录方式为schemeSwitchA-ui-vty0-4authentication-mode scheme2. 配置R
9、ADIUS认证方案SwitchAradius scheme cams3. 配置RADIUS认证服务器地址10.110.51.31SwitchA-radius-camsprimary authentication 10.110.51.31 18124. 配置RADIUS计费服务器地址10.110.51.31SwitchA-radius-camsprimary accounting 10.110.51.31 18135. 配置交换机与认证服务器的验证口令SwitchA-radius-camskey authentication expert6. 配置交换机与计费服务器的验证口令SwitchA-ra
10、dius-camskey accounting expert7. 配置服务器类似为huawei,即使用CAMSSwitchA-radius-camsserver-type Huawei8. 送往RADIUS的报文不带域名SwitchA-radius-camsuser-name-format without-domain9. 创建(进入)一个域SwitchAdomain Huawei10. 在域huawei中引用名为“cams”的认证方案SwitchA-isp-huaweiradius-scheme cams11. 将huawei域设置为缺省域SwitchAdomain default enab
11、le huawei【TELNET访问控制配置】1. 设置只允许符合ACL1的IP地址登录交换机SwitchA-ui-vty0-4acl 1 inbound2. 设置规则只允许某网段登录SwitchAacl number 1SwitchA-acl-basic-1SwitchA-acl-basic-1rule permit source 10.10.10.0 0.0.0.2553. 设置规则只禁止某网段登录SwitchAacl number 1SwitchA-acl-basic-1SwitchA-acl-basic-1rule deny source 10.10.10.0 0.0.0.2553 测试验证1. PC属于vlan10可以telnet到SwitchA和SwitchB上,2. PC属于其它vlan不能telnet到SwitchA,能够telnet到SwitchB上4技术l类别