配置用户通过Telnet登录设备
缺省配置
参数 |
缺省值 |
---|---|
Telnet服务器功能 |
出厂情况下,Telnet服务器功能处于去使能状态 |
Telnet服务器端口号 |
23 |
VTY用户界面的认证方式 |
没有配置认证方式 |
VTY用户界面所支持的协议 |
支持所有协议类型 |
用户级别 |
VTY用户界面对应的默认命令访问级别是0 |
操作步骤
- 配置Telnet服务器功能及参数
用户终端建立与设备的Telnet连接之前,需要首先确保设备的Telnet服务功能已经使能。
表6-4 配置Telnet服务器功能及参数操作步骤
命令
说明
进入系统视图
system-view
-
使能Telnet服务器功能
undo telnet [ ipv6 ] server disable
缺省情况下:当设备以空配置启动时,Telnet服务器功能处于关闭状态;
当设备加载配置文件启动时(比如采用ZTP方式加载配置文件进行初始配置),如果配置文件中存在telnet server disable,则Telnet服务器功能处于关闭状态,否则处于开启状态。
(可选)配置Telnet服务器的端口号
telnet [ ipv6 ] server port port-number
缺省情况下,端口号是23。
配置Telnet服务器的端口号,使攻击者无法获知更改后的Telnet服务器端口号,有效防止了攻击者对Telnet服务标准端口的登录。
(可选)配置访问控制列表
telnet [ ipv6 ] server acl { acl-number | acl-name }
缺省情况下,没有配置访问控制列表。
配置了访问控制列表,可控制哪些客户端能以Telnet方式访问本设备。
配置Telnet服务器的源接口
telnet server-source -i loopback interface-number
telnet server-source all-interface
telnet ipv6 server-source -a ipv6-address [ -vpn-instance vpn-instance-name ]
telnet ipv6 server-source all-interface
缺省情况下,未指定Telnet服务器端的源接口。
说明:配置telnet server-source all-interface或telnet ipv6 server-source all-interface命令后,将不会指定Telnet服务器的源接口,用户可从所有有效接口登录,增加系统安全风险,建议用户取消配置该命令。
(可选)配置在一定时间内通过Telnet登录服务器失败次数的告警上报门限和告警恢复门限
telnet server login-failed threshold-alarm upper-limit report-times lower-limit resume-times period period-time
缺省情况下,在5分钟内发生30次或30次以上次数登录失败,产生告警;在5分钟内登录失败次数小于20,取消告警。
(可选)配置Telnet协议报文的DSCP优先级
telnet server dscp dscp-number
缺省情况下,Telnet协议报文的DSCP优先级值为48。
提交配置
commit
-
- 配置Telnet登录的用户界面
配置VTY用户界面的用户级别、呼入呼出限制及其它基本属性。
表6-5 配置Telnet登录的用户界面操作步骤
命令
说明
进入系统视图
system-view
-
进入VTY用户界面视图
user-interface vty first-index [ last-index ]
-
配置用户界面的用户级别
user privilege level level
缺省情况下,VTY用户界面的用户级别是0。
如果用户希望操作较高级别的命令,则需要配置较高的用户级别。
如果用户界面下配置的级别访问权限与用户名本身对应的操作权限冲突,以用户名本身对应的级别为准。
配置用户验证方式
authentication-mode { password | aaa | none }
设备提供None、密码验证和AAA验证三种验证方式。用户可根据需要任意选择一种方式。- 选择密码验证后,需要执行set authentication password,设置本地验证的密码。
- 选择AAA验证后,请参考配置Telnet类型的本地用户(AAA验证方式)
- 选择不验证方式,可能存在安全风险,不推荐使用。
关于密码验证模式,请参见配置VTY用户界面的配置VTY用户界面的用户验证,推荐使用AAA验证方式。
配置VTY用户界面支持Telnet协议
protocol inbound { all | telnet }
缺省情况下,用户界面支持所有协议。
(可选)配置用户界面的基于ACL的登录限制
具体配置请参见配置VTY用户界面的(可选)配置VTY用户界面的基于ACL的登录限制
缺省情况下,不对通过用户界面的登录进行限制。
当需要限制某个地址或地址段的用户登录到设备或者限制已经登录的用户登录到其它设备时,配置该步骤。
(可选)配置用户界面的其他属性
具体配置请参见配置VTY用户界面的配置VTY用户界面的最大个数和配置VTY用户界面的终端属性
VTY用户界面的其他属性在设备上都有缺省值,用户一般不需要另外配置。但是可以根据用户使用需求,选择配置相关属性。
提交配置
commit
-
- 配置Telnet类型的本地用户(AAA验证方式)
配置管理员的用户名和密码,以保证只有管理员才能登录设备。
表6-6 配置Telnet类型的本地用户(AAA验证方式)操作步骤
命令
说明
进入系统视图
system-view
-
进入AAA视图
aaa
-
配置本地用户名和密码
local-user user-name password irreversible-cipher irreversible-cipher-password
-
配置本地用户的服务类型
local-user user-name service-type telnet
-
配置本地用户的级别
local-user user-name level level
不同级别的用户登录后,只能使用等于或低于当前用户级别的命令,从而保证了设备的安全性。
如果用户界面下配置的级别访问权限与用户名本身对应的操作权限冲突,以用户名本身对应的级别为准。
提交配置
commit
-
- 从终端通过Telnet登录设备
从终端通过Telnet登录设备,可以选择使用Windows命令行提示符或第三方软件,此处以Windows命令行提示符为例。
请在终端上进行以下操作:
进入Windows的命令行提示符。
执行Windows命令telnet ip-address port,通过Telnet方式登录设备。
C:\Documents and Settings\Administrator> telnet 10.137.217.177 1025
按Enter键,输入AAA验证方式配置的登录用户名和密码,验证通过后,出现用户视图的命令行提示符,至此用户成功登录设备。(以下显示信息仅为示意)
Username:admin1234 Password: Info: The max number of VTY users is 8, the number of current VTY users online is 1, and total number of terminal users online is 1. The current login time is 2012-08-04 19:49:11. First login successfully. <Telnet Server>