剛上架一臺交換機時，一項最基本的配置就是Telnet遠程登錄，以便通過遠程登錄方便地對交換機進行管理和操作，只要配好Telnet服務(wù)，后續(xù)一些其它配置都可以直接通過遠程登錄來進行，而不必在現(xiàn)場進行，那今天就帶大家來熟悉一下華三交換機基本的Telnet配置吧。

Telnet協(xié)議

Telnet 協(xié)議是TCP/IP協(xié)議簇的一員，是Internet遠程登錄服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式。它是屬于應(yīng)用層的協(xié)議，采用客戶端/服務(wù)器模型，使用TCP 23號端口為用戶提供在本地主機上登錄遠程設(shè)備的服務(wù)。

步驟1、配置Telnet遠程登錄

1、本地PC連到交換機配置口

第一次配置交換機時，只能能通過交換機的Console口進行本地配置，默認(rèn)Console口登錄到命令行界面時沒有密碼且擁有全部權(quán)限。要連接到交換機，你只需要在PC上裝好需要的超級終端軟件（SecureCRT或Xshell等），然后通過一條串口轉(zhuǎn)USB的線將PC連接到交換機的Console口上，然后設(shè)置好接口屬性即可建立連接，進入命令行后可以進行相關(guān)Telnet配置。

1）、連線

首先將PC連通過Console線連到交換機上，Console線一端接PC的串口或USB，另一端接交換機的Console口（RJ45接口的居多）。

2）、建立連接

在PC上通過終端軟件（如Xshell、SecureCRT等，這里用的是Xshell）建立連接。首先打開Xshell，新建會話，選擇連接類型為串口（Serial），如下圖所示：

然后點擊左邊 Serial連接屬性，選擇使用端口號COM3（如果不知道自己使用的是哪個端口，可以在PC上打開設(shè)備管理器在端口中即可看到，一般均使用COM3），設(shè)置波特率為9600（大多數(shù)設(shè)備都是這個值），如下圖所示，都設(shè)置好后，點擊確定：

確認(rèn)好連接屬性后，會彈出會話框，在會話框里選擇你剛剛新建的會話，然后點擊連接即可

如果設(shè)置沒問題的話，一般就可以直接進入交換機的操作系統(tǒng)如下，默認(rèn)沒有認(rèn)證密碼，可以直接進入命令行進行管理和配置，如果沒有進入命令行就要自己回頭檢查一下之前的配置有沒有問題或者交換機之前有沒有做過什么訪問限制（必要的話可以重置交換機，如有些時候之前交換機命令行設(shè)置了密碼，現(xiàn)在已經(jīng)無從考證，只要簡單的重置就可以恢復(fù)默認(rèn)狀態(tài)，進入時就不需要密碼了）。

2、配置接口管理IP

進入命令行后就可以進行相關(guān)配置了，要遠程訪問設(shè)備，首先要配置一個接口IP用來進行遠程連接，對于一般的二層接入交換機，不能像路由器一樣直接配置接口IP，只能在虛擬VLAN接口上配一個管理IP，用來進行遠程登錄，在華三交換機上配置管理IP的命令可參考以下幾條命令，華三的操作系統(tǒng)為Comware，V表示設(shè)備的操作系統(tǒng)版本，目前主要的版本為V3、V5、V7三個，不同版本命令有所變動，注意區(qū)分，同時各命令需要在指定視圖下執(zhí)行。

1）、新建管理VLAN（系統(tǒng)視圖）

V3/V5/V7：vlan

2）、進入VLAN虛擬接口視圖（系統(tǒng)視圖）（如指定VLAN不存在需要新建）

V3/V5/V7：interface vlan-interface

3）、為虛擬接口配置IP地址（VLAN虛擬接口視圖）

V3/V5/V7：ip address

注：V3版本中需要先將配置管理地址的VLAN設(shè)置為管理VLAN后，才能配置IP地址，否則會報錯，如下圖所示，其它版本則不用，V7版本中已經(jīng)取消了這條命令。

V3版本中配置管理VLAN的命令如下（系統(tǒng)視圖）：

management-vlan

3、開啟Telnet服務(wù)器（系統(tǒng)視圖）

要使用Telnet服務(wù)，還要在系統(tǒng)視圖下開啟Telnet服務(wù)器服務(wù)，只要在系統(tǒng)視圖下使用以下命令即可：

V5/V7：telnet server enable

注：V3版本版本中沒有此條命令，也不需要配置，telnet在配置好認(rèn)證后默認(rèn)啟用。

4、配置認(rèn)證方式

配好管理IP之后，就要對登錄的用戶進行認(rèn)證配置，以保證設(shè)備的安全性，具體配置驗證方式可以參考以下命令：

1）、進入虛擬終端視圖（系統(tǒng)視圖）

V3：user-interface vty <0-4>

V5：user-interface vty <0-15>

V7：user-interface vty <0-63>

配置驗證方式首先要進入VTY視圖下，這里0 4表示允許0-4共5個用戶同時登錄，V5中最多允許16個用戶同時登錄，V7中最多允許64個。

2）、設(shè)置認(rèn)證方式（虛擬終端視圖）

V3/V5/V7：authentication-mode [none|password|scheme]

然后要在 authentication-mode 里設(shè)置認(rèn)證方式，一般華三交換機為用戶登錄提供三種認(rèn)證方式分別為none、password、scheme。其中none為無密碼認(rèn)證，即不需要密碼就可登錄，實際中一般不用；password為通過密碼進行認(rèn)證登錄，登錄時只需正確輸入設(shè)置好的密碼就能進入命令行界面，相對安全一點；scheme為AAA認(rèn)證，使用用戶名/密碼組合進行認(rèn)證，是一種更安全的認(rèn)證方式，但登錄時需要輸入對應(yīng)的用戶名和密碼才能進入命令行界面，相對麻煩一點。

3）、設(shè)置密碼在配置文件中的顯示格式（虛擬終端視圖下）

V3：set authentication password [cipher|simple]

V5：set authentication password [cipher|hash|simple]

V7：set authentication password [hash|simple]

接著要使用set authentication password設(shè)置密碼在配置文件中的顯示格式，V3/V5中提供了simple和cipher兩種加密類型，simple為以明文表示，不推薦，cipher為用密文表示，安全性較高；V7中則提供了simple和hash兩種表示方法，也是一種明文表示，一種加密表示，只是算法不同，hash的安全性更高。

4）、設(shè)置登錄用戶權(quán)限等級（虛擬終端視圖下）

V3/V5：user privilege level <0-3>

V7：user-role level-<0-15>

最后要設(shè)置認(rèn)證用戶的權(quán)限等級，不通權(quán)限可進行的操作不同，V3/V5中權(quán)限等級為0-3共四個等級，最高為3；V7中設(shè)置了0-15共16個權(quán)限等級，最高為15；一般給管理員設(shè)置的賬戶，設(shè)成為最高即可。

5）、配置VTY用戶界面支持的協(xié)議（虛擬終端視圖下）

V3/V5/V7：protocol inbound [ssh|telnet|all]

注：一般H3C交換機已經(jīng)默認(rèn)同時支持telnet和ssh協(xié)議，所以不需要再進行配置。

6）、其他可選配置（虛擬終端視圖下）

V3/V5/V7：

idle-timeout <0-35791> 用戶連接超時分鐘數(shù)

screen-length <0-512> 配置終端屏幕顯示行數(shù)

history-command max-size <0-256> 配置終端歷史命令緩存區(qū)大小

5、創(chuàng)建本地用戶

最后如果你選擇了schme認(rèn)證方式，則需要創(chuàng)建至少一個本地用戶，并設(shè)置密碼和權(quán)限，具體配置可參考以下命令：

1）、創(chuàng)建本地用戶（系統(tǒng)視圖下）

V3/V5/V7：local-user

2）、為本地用戶設(shè)置密碼并選擇加密類型（本地用戶視圖下）

V3：password [cipher|simple]

V5：password [cipher|hash|simple]

V7：password [hash|simple]

3）、選擇本地用戶可以使用的服務(wù)（[ ] 內(nèi)為可選項）（本地用戶視圖下）

V3：service-type telnet [telnet|terminal|ftp|ssh|lan-access]

V5：service-type telnet [telnet|terminal|ftp|ssh| web|portal|lan-access]

V7：service-type telnet [telnet|terminal|ftp|ssh|http|https|pad]

這里根據(jù)需要選擇telnet即可。

4）、設(shè)置超時登錄時間（本地用戶視圖下）

V3：attribute idle-cut <60-7200> （second）

V5/V7:authorization-attribute idle-cut <1-120> （minute）

5）、設(shè)置用戶的權(quán)限等級（本地用戶視圖下）

V3：level <0-3>

V5：authorization-attribute level 3 <0-3>

V7：authorization-attribute user-role level-<0-15>

步驟2、不同認(rèn)證方式配置演示

下面就以一臺H3C 5120（V5）對不同的認(rèn)證方式做演示，以便大家熟悉一下實際的配置。

1、無密碼認(rèn)證（none）

如果選擇了none驗證方法，無須配置密碼，只要配置一下用戶權(quán)限，然后在全局開啟一下telnet服務(wù)器服務(wù)即可，當(dāng)然實際盡量避免用這種驗證方法，安全性太低。配置如下：

[H3C 5120]interface vlan-interface 12X

[H3C 5120-Vlan-interface12X]ip address 10.100.X.83 255.255.255.0

[H3C 5120]user-interface vty 0 4

[H3C 5120-ui-vty0-4]authentication-mode

[H3C 5120-ui-vty0-4]user privilege level 3

[H3C 5120-ui-vty0-4]quit

[H3C 5120]telnet server enable

配置好之后退出登錄，通過遠程PC訪問交換機可以看到，不需要密碼即可直接進入交換機CLI命令行，如下圖所示：

2、密碼認(rèn)證（password）

如果選擇了密碼認(rèn)證，則要配置一個登錄密碼，并選擇密碼加密方式，一般推薦密文加密cipher，其他版本還提供了hash算法等加密類型，可以提供相對較高的安全性。然后再配一下通過用戶界面登錄后的用戶級別即可。

配置如下：

[H3C 5120]interface vlan-interface 12X

[H3C 5120-Vlan-interface12X]ip address 10.100.X.83 255.255.255.0

[H3C 5120]user-interface vty 0 4

[H3C 5120-ui-vty0-4]authentication-mode password

[H3C 5120-ui-vty0-4]set authentication password cipher asdfgh

[H3C 5120-ui-vty0-4]user privilege level 3

[H3C 5120-ui-vty0-4]quit

[H3C 5120]telnet server enable

配置好之后退出登錄，通過遠程PC訪問交換機可以看到，要先輸入預(yù)設(shè)的密碼才可進入交換機CLI命令行，如下圖所示：

注：這里輸入的密碼默認(rèn)不會顯示出來。

注：配置了明文密碼，在配置文件中的密碼配置信息會以明文形式顯示；若配置了密文密碼，配置文件中的密碼配置信息會以密文形式顯示，若同時配置了明文密碼和密文密碼，只有密文密碼會生效。

3、用戶名+密碼組合認(rèn)證（scheme）

如果你選擇了scheme認(rèn)證方法，則系統(tǒng)默認(rèn)采用本地用戶數(shù)據(jù)庫中的用戶信息進行驗證，因此需要配置一個本地用戶，并設(shè)置其用戶名，登錄密碼和用戶級別，然后為本地用戶選擇服務(wù)類型，即Telnet，如果你創(chuàng)建的本地用戶登錄信也想用在其它認(rèn)證，還可以選擇其它服務(wù)類型如terminal。

配置如下：

[H3C 5120]interface vlan-interface 12X

[H3C 5120-Vlan-interface12X]ip address 10.100.X.83 255.255.255.0

[H3C 5120]user-interface vty 0 4

[H3C 5120-ui-vty0-4]authentication-mode scheme

[H3C 5120-ui-vty0-4]set authentication password cipher asdfgh

[H3C 5120-ui-vty0-4]user privilege level 3

[H3C 5120-ui-vty0-4]quit

[H3C 5120]local-user admin

[H3C 5120-luser-admin]password cipher abcd

[H3C 5120-luser-admin]service-type telnet

[H3C 5120-luser-admin]authorization-attribute idle-cut 5

[H3C 5120-luser-admin]authorization-attribute level 3

[H3C 5120-luser-admin]quit

[H3C 5120]telnet server enable

配置好之后退出登錄，通過遠程PC訪問交換機，可以看到需要輸入本地用戶名和密碼，才能進入命令行，如下圖所示：

注：當(dāng)本地用戶的用戶級別與其登錄時所用用戶界面中的用戶級別不同時，系統(tǒng)優(yōu)先采用前者作為登錄后的實際用戶級別。

其他注意事項

1、簡單回顧一下配置telnet的流程（V5為例）：

1）、通過Console線連接到交換機，進入命令行。

2）、為交換機配置管理IP：

interface vlan-interface

ip address

3）、在交換機上全局開啟Telnet服務(wù)器服務(wù)：

telnet server enable

4）、設(shè)置登錄認(rèn)證方式：

user-interface vty <0-15>

authentication-mode [none|scheme|password]

set authentication password [cipher|simple]

user privilege level

5）、創(chuàng)建本地用戶（僅scheme認(rèn)證方式需要）

local-user

password [cipher|simple]

authorization-attribute level <0-3>

service-type telnet

authorization-attribute idle-cut <60-7200>

2、華三交換機默認(rèn)開啟了Web頁面登錄支持，Web頁面的登錄也使用Telnet協(xié)議，所以配置了Telnet之后，也可以通過Web頁面登錄交換機，直接在瀏覽器地址欄輸入交換機管理IP地址，然后在登錄頁面使用相同的認(rèn)證密碼即可訪問，如下圖所示，不過普通交換機一般使用命令行配置更為方便。

3、華三交換機操作系統(tǒng)版本不同，命令稍微有所區(qū)別，這里只列出了目前常見的三個版本的命令，如果有出入，大家可以自行通過幫助命令核準(zhǔn)。