SSH/Telnet设备远程登录方式实际综合运用

一、SSH和Telnet简介

SSH和Telnet都是远程连接控制协议，在网络技术的应用中常被用于远程连接控制路由器和交换机，方便工程师远程对设备进行运营维护。SSH目前有两个版本：SSH1和SSH2，两者互相不兼容，连接时主要取决于主机安装的连接软件版本。SSH和Telnet的主要区别有以下两种：

1、SSH连接时采用密文传输数据，而Telnet则采用明文传输数据。同时在使用SSH协议时，需要匹配服务端生成的秘钥才能连接成功；而telnet则不需要匹配秘钥。

2、SSH连接端口为22，Telnet连接端口为23。

下面通过模拟环境来实现SSH和Telnet的实际运用。

二、搭建环境

三、整体需求及环境介绍

1、整体需求：

①R1远程连接方式有两种：ssh和telnet。要求物理网卡和CE1、CE3、CE2都能直接通过ssh和telnet连接到R1；CE4不能直接通过ssh和telnet连接到R1。同时在R2上需要配置不同权限的账户（level 0、level 1、level 15）以满足不同人员的访问需求。建立super切换账户密码方便切换账户。

② CE1远程连接方式为telnet，要求远程客户端仅可以排查基础信息，不能更改设备配置数据（level 0）

③CE2远程连接方式为ssh，要求远程客户端仅可以排查基础信息，不能更改设备配置数据（level 1）

注意：level 0和level 1在权限上几乎一样，都不能进入配置视图，只能检查、测试基本信息

2、环境介绍

实验环境整体为了突出SSH和Telnet各自的不同（主要是配置方式），在R1上采用SSH和Telnet的连接方式，同时连接虚拟网卡，通过虚拟网卡可以使物理主机通过ssh和telnet的方式连接到R1。CE1、CE3和R1之间采用静态路由打通，满足CE1和CE3各自独立连接到R1；CE2、CE4和R1直接没有路由，当CE4有连接R1的需求时只能通过CE2跳转到R1。通过这套环境，就可以完成对网络设备进行SSH和Telnet连接。

四、设备配置

R1：

配置接口和路由：
interface GigabitEthernet0/0/0
 ip address 30.1.1.2 255.255.255.0 

interface GigabitEthernet0/0/1
 ip address 40.1.1.2 255.255.255.0 

interface GigabitEthernet0/0/2
 ip address 192.168.10.2 255.255.255.0 

ip route-static 10.1.1.0 255.255.255.0 30.1.1.1

配置SSH和Telnet：

ssh client first-time enable    //使能SSH客户端首次认证
stelnet server enable     //开启SSH服务
telnet server enable      //开启Telnet服务

rsa local-key-pair create     //生成SSH连接秘钥

user-interface vty 0 4     
 authentication-mode aaa     //配置认证模式为AAA认证
 protocol inbound all      //配置连接协议为SSH和Telnet

aaa       //配置AAA认证内容
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher Test12#$
 local-user admin privilege level 1
 local-user admin service-type telnet ssh
 local-user guest password cipher Test12#$
 local-user guest privilege level 0
 local-user guest service-type telnet ssh
 local-user huawei password cipher Test12#$
 local-user huawei privilege level 15
 local-user huawei service-type telnet ssh

super password level 1 cipher Test12#$    //配置super账户切换密码，用于切换不同权限的账户
super password level 3 cipher Test12#$
super password level 15 cipher Test12#$

查看远程连接账户：

通过查看结果可以清楚看到远程登录账户有三个，三个账户的登录权限都不同。管理员运维推荐权限为15的账户，临时访客推荐权限为0的账户，默认账户权限为1，可作为日常查看设备配置和常见故障使用。

CE1：

基础配置：
vlan batch 10 20 30

interface Vlanif10
 ip address 10.1.1.1 255.255.255.0

interface Vlanif30
 ip address 30.1.1.1 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 10.1.1.2
ip route-static 192.168.10.0 255.255.255.0 30.1.1.2

Telnet配置：
telnet server enable     //开启telnet服务

aaa    //配置AAA认证内容
 local-user huawei password irreversible-cipher Test12#$
 local-user huawei service-type telnet
 local-user huawei level 0

user-interface vty 0 4
 authentication-mode aaa     //认证模式为AAA
 idle-timeout 3 0    //连接超时时间
 protocol inbound telnet    //连接协议为Telnet

查看远程账户：

CE2：

vlan batch 10 20 40

aaa
 local-user huawei password irreversible-cipher Test12#$
 local-user huawei service-type ssh
 local-user huawei level 1


interface Vlanif20
 ip address 20.1.1.1 255.255.255.0

interface Vlanif40
 ip address 40.1.1.1 255.255.255.0


interface GE1/0/2
 undo shutdown
 port default vlan 20

interface GE1/0/3
 undo shutdown
 port default vlan 40

stelnet server enable   //开启SSH服务 
ssh client first-time enable    //使能SSH客户端首次认证
ssh authorization-type default aaa    //认证方式为AAA

user-interface vty 0 4
 authentication-mode aaa
 idle-timeout 3 0
 protocol inbound ssh

查看远程账户：

CE3、CE4根据拓扑图示完成VLAN和接口以及缺省路由配置即可！

五、连接测试

1、R1连接测试

①用户侧（CE3、CE4）连接：

用户侧均可以远程登录到R1，达到预期目标。

②物理主机连接：

物理主机通过虚拟网卡可以登录到R1，达到预期目标。

2、CE1、CE2连接测试

用户侧均可以远程连接到CE1和CE2，均达到预期目标。

3、R1不同权限账户切换测试：

SSH和Telnet作为日常网络运维中必不可少的远程连接控制协议，在实际网络环境中被广泛运用，本篇文章作为SSH和Telnet实践篇，按照我的思路完成实验后可以完全掌握SSH和Telnet的实际配置！

审核编辑：刘清