華為HCIE理論與實操筆記【3-telnet管理】

名詞解釋：

    【console口】 console即控制臺。在計算機出現的早期，人們通過數量繁多的按鈕和大量的指示燈與計算機進行交互，這就是早期的“并行通訊”簡稱“并口”。這種方式占用了大量的芯片端口且設備間的傳輸速度非常慢，于是一種快速的通信方式“串行通訊”簡稱“串口”就出現了。早期人們使用鍵盤和顯示器通過串口的方式與計算機進行交互，這種方式發展到現在就成為一種設備間通用的通訊機制，即“控制臺”。控制臺被用于管理設備的底層功能，因需要與設備直接近距離交互的“缺點”也成為其安全機制之一。設備一般會保留一個console口，用戶需要使用一臺支持串口通信的設備（一般是PC或筆記本）與設備直連，打開一個串口通訊的軟件（一般是SecureCRT或超級終端），根據設備的串口配置建立連接，而后使用控制臺密碼登錄設備。

    【網口】 網口就是將設備接入用戶的網絡從而進行訪問，常用的網口訪問方式包括telnet、ssh、web等。

    【telnet】 telnet即遠程登錄，是網絡訪問設備的一種方法也是一個網絡協議，在物理上設備與用戶的PC接入到同一個網絡，設備作為服務端開啟一個telnet server等待用戶連接，用戶端通過cmd界面（或其他軟件）可以啟動一個telnet client，這個clinet會根據約定好的協議與server進行連接并交換數據，這就實現了所謂的telnet登陸。用戶通過telnet向設備發送預先設定的指令，就可以實現設備的遠程管理。

    【虛擬終端vty】 vty即Virtual Teletype Terminal（虛擬終端），在網絡出現之前，用戶需要使用一個顯示器和鍵盤與設備直連，這種方式在管理大量設備或遠程管理時非常不方便。在網絡出現后，人們基于網絡通訊協議（如telnet、ssh）在設備上實現了一個功能強大的server端，這個server端使得用戶以telnet方式登陸設備后向用戶輸出一個與用戶直連時功能一致的用戶界面（這里特指字符形式的用戶界面），這就是虛擬終端技術。對于華為設備，使用telnet登陸設備即是打開了一個虛擬終端。華為設備一般包含5個虛擬終端，即支持5個用戶同時登陸設備。

一 telnet的意義

    使用telnet可以方便的對網絡中所有設備進行管理，使設備的遠程管理成為可能。結合虛擬終端技術還能實現不同級別用戶的權限管理，在最低權限下用戶只能對設備的配置進行查看，不能做出任何的修改。在最高權限下用戶可以實現配置修改、用戶管理、文件管理等等，與從console口登陸無異。用戶權限管理可有效避免低級別用戶在設備上誤操作，又能保證管理員方便的使用。

二 如何使用telnet登錄

    telnet登錄設備需經過以下三個過程：

    1.使能設備的telnet功能

        在設備的telnet功能啟動前，需要使用console口登陸設備并對該功能進行使能      

        <AR>user-interface vty 0 4    //對虛擬終端0-4進行配置
        <AR-ui-vty0-4>dis this    //查看當前配置（非必須）
        <AR-ui-vty0-4>protocol inbound all    //使能telnet與ssh協議

    2.設置訪問模式及權限管理

        華為設備支持兩種訪問模式，一是單密碼模式，二是用戶加密碼模式。

        1）單密碼模式

        <AR-ui-vty0-4>authentication-mode password    //設置訪問模式為單密碼
        <AR-ui-vty0-4>set authentication password cipher ***   //修改密碼

        華為設備在單密碼模式下可以設置不同的特權密碼來進行分級訪問（默認為級別0）。

        <AR>super password level 3 cipher ***    //設置了級別3的特權密碼

        用戶使用前面設置的普通密碼登錄設備后，可以使用super命令來獲取更高的訪問權限。

        //使用telnet登錄設備后先獲取的是默認級別為0權限
        <AR>super    //輸入級別3的特權密碼就能獲得級別3的權限

        用戶在設置了不同級別的特權密碼后，也可以在telnet登錄設備時輸入該密碼，就能直接獲得該級別的權限，而不需要輸入super進行特權獲取。

        2）用戶加密碼模式（aaa）

        <AR-ui-vty0-4>authentication-mode aaa    //修改認證模式為aaa，即用戶名加密碼模式

        aaa模式下有默認用戶admin，用戶也可以自己創建新用戶，新創建用戶的訪問級別為0，用戶可以對不同用戶指定不同的訪問級別

        <AR>aaa    //進入aaa視圖
        <AR-aaa>local-user test password cipher test    //創建用戶名和密碼都為test的用戶
        <AR-aaa>local-user test service-type telnet ssh    //指定該用戶能通過telnet或ssh登陸設備
        <AR-aaa>local-user test privilege level 3    //指定test用戶的訪問級別為3
        <AR-aaa>undolocal-user test privilege level    //取消test用戶的訪問級別（回到0）

        3）默認權限設置

        用戶還可以對虛擬終端用戶的默認權限進行設置

        <AR-ui-vty0-4>user privilege level 3    //設置vty用戶的默認級別為3

    3.使用telnet客戶端連接設備

        用戶可以使用PC機的CMD或secureCRT等軟件telnet登錄到設備。

三 登錄級別詳解

    華為交換機具有16個用戶級別，4個權限等級，高等級的權限兼容低等級權限，詳細如下：

    管理級對應了13個用戶級別，這樣做是為了對管理級的用戶進行細化管理。