设备登录管理
文章目录
- 设备登录管理
-
- [CLI 本地登录(Console 口登录)](#CLI 本地登录(Console 口登录))
- [CLI 远程登录(Telnet/SSH 登录)](#CLI 远程登录(Telnet/SSH 登录))
-
- 远程登录的前提条件
- [远程登录实验 1:Telnet 登录](#远程登录实验 1:Telnet 登录)
-
- 实验环境
- 实验流程
- 配置步骤
-
- [配置 IP 地址(R1 和 PC)](#配置 IP 地址(R1 和 PC))
- [测试网络可达(PC ping R1)](#测试网络可达(PC ping R1))
- [配置 R1 的 Telnet 功能(AAA 创建用户)](#配置 R1 的 Telnet 功能(AAA 创建用户))
- [配置 VTY 接口(远程登录的 "虚拟接口")](#配置 VTY 接口(远程登录的 “虚拟接口”))
- [测试 Telnet 登录(PC 远程登录 R1)](#测试 Telnet 登录(PC 远程登录 R1))
- [补充:删除接口 IP(如需修改)](#补充:删除接口 IP(如需修改))
- [远程登录实验 2:SSH 登录](#远程登录实验 2:SSH 登录)
在网络管理中,我们需要通过 "登录设备" 来配置参数、监控状态。华为网络设备的登录方式主要分为两类: 本地登录(CLI 本地登录) 和 远程登录(CLI 远程登录) 。本地登录适用于设备首次上电、无网络连接的场景;远程登录则适用于设备已接入网络,无需现场操作的场景。下面将详细讲解两种登录方式的原理、配置步骤及实验操作。
CLI 本地登录(Console 口登录)
本地登录是通过设备的Console 接口(控制口)直接连接电脑,借助终端工具(如 PUTTY)登录设备的方式。由于无需网络,它是设备 "首次配置" 的必用方式(比如新设备开箱后,第一步就是通过 Console 口登录)。
核心概念
| 术语 | 通俗解释 | 作用 |
|---|---|---|
| Console 接口 | 设备上的 "配置专用接口",通常是一个小型串行端口(类似老式电脑的 COM 口) | 建立电脑与设备的物理连接,传递配置命令和设备反馈 |
| Console 线缆 | 专用的 "配置线",一端接设备的 Console 口,另一端接电脑的 COM 口(或 USB 转 COM 口) | 连接电脑和设备的物理介质,是命令传输的 "数据线" |
| PUTTY | 常用的 "终端模拟工具"(类似 "命令行窗口") | 在电脑上模拟设备的命令行界面,输入配置命令并查看设备响应 |
| 默认管理级别 | 登录后拥有的权限等级,华为设备 Console 口默认级别为 15(最高级,可执行所有命令) | 控制用户能操作的命令范围,15 级相当于 "超级管理员" |
本地登录实验:配置 Console 口认证
本地登录需要给 Console 口设置 "认证方式"(防止未授权人员登录),常见两种认证:密码认证 (只输密码)和用户名密码认证(输用户名 + 密码,更安全)。
实验 1:Console 口密码认证(仅需密码登录)
实验流程
- 物理连接:用 Console 线缆连接电脑 COM 口与设备 Console 口
- 打开 PUTTY:选择 "Serial" 模式,配置串口参数(波特率 9600 等,华为设备默认参数)
- 进入设备系统视图:通过基础命令进入配置模式
- 配置 Console 口认证:设置认证模式为 "密码",并设置具体密码
- 测试验证:退出登录,重新连接,验证密码是否生效
配置步骤
bash
# 1. 登录设备后,默认进入"用户视图"(提示符:<设备名>)
<SW1> # 这是用户视图,只能查看信息,不能配置;需要先进入"系统视图"
# 2. 进入系统视图(配置模式的入口)
<SW1>system-view # 命令简写:sys,进入后提示符变为[设备名]
[SW1] # 系统视图,可配置设备全局参数
# 3. 进入Console接口视图(Console口是"con 0",华为设备通常只有1个Console口)
[SW1]user-interface console 0 # 进入编号为0的Console接口配置视图
[SW1-ui-console0] # Console接口视图,专门配置Console口的参数
# 4. 设置认证模式为"密码认证"(必须先指定认证方式,再设密码)
[SW1-ui-console0]authentication-mode password # 认证模式:仅需密码即可登录
# 5. 设置密码(cipher表示密码存储为"密文",防止明文泄露,推荐使用)
[SW1-ui-console0]set authentication password cipher Huawei@123 # 密码:Huawei@123,密文存储
[SW1-ui-console0]quit # 退出Console接口视图,回到系统视图
[SW1]quit # 退出系统视图,回到用户视图
# 6. 测试:退出登录,重新连接
<SW1>quit # 退出当前登录,PUTTY会提示重新登录
User interface con0 is available # 提示Console口可用
Please Press ENTER. # 按回车键触发认证
Login authentication # 登录认证提示
Password: # 输入刚才设置的密码Huawei@123(输入时不显示,防止偷窥)
<SW1> # 密码正确,成功登录,回到用户视图
<SW1>system-view # 可正常进入配置模式,认证生效
[SW1]实验 2:Console 口用户名密码认证(需输用户名 + 密码)
当需要区分不同管理员权限时,推荐用 "用户名密码认证"------ 先在 AAA 系统中创建用户,再让 Console 口关联 AAA 认证。
核心原理:AAA 介绍
AAA 是 "认证(Authentication)、授权(Authorization)、计费(Accounting)" 的缩写,相当于设备的 "用户管理系统":
- 认证:验证 "你是谁"(用户名 + 密码是否正确)
- 授权:验证 "你能做什么"(给用户分配权限等级,比如只能查看不能配置)
- 计费:记录 "你做了什么"(统计用户登录时长、操作记录,可选功能)
实验流程
- 进入系统视图,开启 AAA 功能(进入 AAA 视图)
- 在 AAA 视图中创建用户名、密码,并设置用户权限等级
- 进入 Console 接口视图,设置认证模式为 "AAA"
- 测试验证:退出登录,重新连接,输入用户名 + 密码验证
配置步骤
bash
# 1. 登录设备,进入系统视图,并修改设备名为R1(方便识别)
<SW1>system-view
[SW1]sysname R1 # 修改设备名为R1,提示符变为[R1]
[R1]
# 2. 进入AAA视图(用户管理的核心视图)
[R1]aaa # 进入AAA配置视图,提示符变为[R1-aaa]
[R1-aaa]
# 3. 在AAA中创建本地用户(用户名:huawei,密码:123)
[R1-aaa]local-user huawei password cipher 123 # 创建用户huawei,密码123(密文存储)
# 4. 设置用户的"服务类型"为Console(指定该用户只能用于Console口登录)
[R1-aaa]local-user huawei service-type console # 限制用户huawei的使用场景:仅Console登录
# 5. (可选)设置用户权限等级(默认0级,可手动调整,比如设为2级配置级)
[R1-aaa]local-user huawei privilege level 2 # 权限等级2:可执行业务配置命令
[R1-aaa]quit # 退出AAA视图,回到系统视图
# 6. 进入Console接口视图,设置认证模式为AAA
[R1]user-interface console 0
[R1-ui-console0]authentication-mode aaa # 认证模式:关联AAA系统(需输用户名+密码)
[R1-ui-console0]quit
[R1]quit
# 7. 测试:退出登录,重新连接
<R1>quit
User interface con0 is available
Please Press ENTER.
Login authentication
Username: huawei # 输入用户名huawei
Password: # 输入密码123
<R1> # 认证成功,登录成功
<R1>system-view # 因权限等级为2,可正常进入配置模式
[R1]补充:删除 Console 口认证(如需取消密码)
如果不需要认证了,可通过 "undo" 命令删除认证模式:
bash
[R1]user-interface console 0
[R1-ui-console0]undo authentication-mode # 删除当前认证模式(密码或AAA)
[R1-ui-console0]quit # 此时Console口登录无需密码CLI 远程登录(Telnet/SSH 登录)
远程登录是通过网络(而非物理线缆)登录设备,比如在办公室登录机房的路由器。华为设备支持两种远程登录协议:Telnet(简单但不安全)和 SSH(加密传输,安全)。
远程登录的前提条件
无论用 Telnet 还是 SSH,必须满足两个核心条件:
-
网络可达
:管理终端(比如你的电脑)和被管理设备(比如路由器)能互相通信(可通过 ping 命令测试)。
- 例:电脑 IP 是 192.168.1.2,路由器接口 IP 是 192.168.1.1(同网段),或通过路由实现不同网段互通。
-
设备开启远程功能:被管理设备需开启 Telnet 或 SSH 服务(Telnet 部分型号默认开启,SSH 默认关闭)。
远程登录实验 1:Telnet 登录
Telnet 是早期远程协议,密码和数据明文传输(类似寄明信片,内容可被拦截),适合测试或非敏感场景,不推荐生产环境使用。
实验环境
- 被管理设备:路由器 R1(需配置接口 IP)
- 管理终端:电脑 PC(需配置同网段 IP)
- 网络连接:R1 的 GigabitEthernet0/0/0 接口(简称 G0/0/0)与 PC 直连,网段 192.168.1.0/24
实验流程
- 配置 IP 地址:给 R1 的 G0/0/0 接口和 PC 配置同网段 IP
- 测试网络可达:PC ping R1 的接口 IP,确认能通
- 配置 R1 的 Telnet 功能:在 AAA 中创建 Telnet 用户,设置权限和服务类型
- 配置 VTY 接口:开启 Telnet 支持,关联 AAA 认证
- 测试 Telnet 登录:PC 通过 Telnet 工具登录 R1
配置步骤
配置 IP 地址(R1 和 PC)
bash
# 1. 配置路由器R1的G0/0/0接口IP
<Huawei>system-view
[Huawei]sysname R1 # 改名为R1
[R1]interface GigabitEthernet0/0/0 # 进入G0/0/0接口视图(华为设备常用接口名)
[R1-GigabitEthernet0/0/0]ip address 192.168.1.1 255.255.255.0 # 配置IP:192.168.1.1,子网掩码255.255.255.0
[R1-GigabitEthernet0/0/0]undo shutdown # 开启接口(华为接口默认关闭,必须执行)
[R1-GigabitEthernet0/0/0]quit # 退出接口视图
# 2. 配置电脑PC的IP(以模拟器PC为例)
[PC]interface GigabitEthernet0/0/0
[PC-GigabitEthernet0/0/0]ip address 192.168.1.2 255.255.255.0 # PC IP:192.168.1.2(同网段)
[PC-GigabitEthernet0/0/0]quit测试网络可达(PC ping R1)
bash
# 在PC的用户视图中ping R1的IP(192.168.1.1)
[PC]quit # 回到PC的用户视图
<PC>ping 192.168.1.1 # 发送ping请求,测试连通性
PING 192.168.1.1: 56 data bytes, press CTRL_C to break # 提示:按Ctrl+C停止
Reply from 192.168.1.1: bytes=56 Sequence=1 ttl=255 time=170 ms # 收到回复,通
Reply from 192.168.1.1: bytes=56 Sequence=2 ttl=255 time=20 ms
Reply from 192.168.1.1: bytes=56 Sequence=3 ttl=255 time=10 ms
Reply from 192.168.1.1: bytes=56 Sequence=4 ttl=255 time=20 ms
Reply from 192.168.1.1: bytes=56 Sequence=5 ttl=255 time=30 ms
--- 192.168.1.1 ping statistics ---
5 packet(s) transmitted, 5 packet(s) received, 0.00% packet loss # 0丢包,网络可达
round-trip min/avg/max = 10/50/170 ms配置 R1 的 Telnet 功能(AAA 创建用户)
bash
# 在R1的系统视图中配置
[R1]aaa # 进入AAA视图
[R1-aaa]local-user huawei password cipher 123 # 创建Telnet用户:用户名huawei,密码123(密文)
[R1-aaa]local-user huawei privilege level 10 # 权限等级10(管理级,可执行大部分命令)
[R1-aaa]local-user huawei service-type telnet # 服务类型:指定该用户用于Telnet登录
[R1-aaa]quit # 退出AAA视图配置 VTY 接口(远程登录的 "虚拟接口")
VTY(Virtual Type Terminal)是设备的 "远程登录接口",华为设备默认支持 0-4 共 5 个 VTY 接口(可同时允许 5 人远程登录):
bash
[R1]user-interface vty 0 4 # 进入VTY 0到4接口(同时配置5个远程接口)
[R1-ui-vty0-4]authentication-mode aaa # 认证模式:关联AAA(需输用户名+密码)
[R1-ui-vty0-4]quit测试 Telnet 登录(PC 远程登录 R1)
bash
# 在PC的用户视图中执行Telnet命令
<PC>telnet 192.168.1.1 # 远程登录R1的IP(192.168.1.1)
Trying 192.168.1.1 ...
Press CTRL+K to abort
Connected to 192.168.1.1 ... # 连接成功
Login authentication # 开始认证
Username: huawei # 输入用户名huawei
Password: # 输入密码123
<R1> # 登录成功,进入R1的用户视图(可执行配置命令)
<R1>system-view
[R1] # 权限正常,可进入系统视图补充:删除接口 IP(如需修改)
华为设备删除配置用 "undo" 命令,比如删除 R1 的 G0/0/0 接口 IP:
bash
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]undo ip address 192.168.1.1 255.255.255.0 # 删除指定IP
[R1-GigabitEthernet0/0/0]quit远程登录实验 2:SSH 登录
SSH(Secure Shell)协议会对密码和数据进行加密传输(类似寄加密信件,内容无法被拦截破解),是生产环境的首选远程登录方式(华为设备默认关闭 SSH,需手动开启)。
实验环境
基于 Telnet 实验的环境(R1 和 PC 已配置 IP,网络可达),在其基础上升级为 SSH 登录。
实验流程
- 开启 R1 的 SSH 服务(全局开启)
- 在 AAA 中创建 SSH 专用用户(用户名、密码、权限)
- 配置 VTY 接口:仅允许 SSH 登录,关联 AAA 认证
- 开启 PC 的首次 SSH 登录功能(模拟器需配置)
- 测试 SSH 登录:PC 通过 SSH 工具登录 R1
配置步骤
开启 R1 的 SSH 服务(全局配置)
bash
# 在R1的系统视图中开启SSH
[R1]stelnet server enable # 开启SSH服务(华为命令:stelnet即SSH)
Info: Succeeded in enabling the STELNET server. # 提示:SSH服务开启成功在 AAA 中创建 SSH 专用用户
bash
[R1]aaa # 进入AAA视图
[R1-aaa]local-user hcia password cipher 123456 # 创建SSH用户:用户名hcia,密码123456
[R1-aaa]local-user hcia privilege level 15 # 权限等级15(最高级,适合管理员)
[R1-aaa]local-user hcia service-type ssh # 服务类型:指定该用户用于SSH登录
[R1-aaa]quit配置 VTY 接口(仅允许 SSH 登录)
bash
[R1]user-interface vty 0 4 # 进入VTY 0-4接口
[R1-ui-vty0-4]authentication-mode aaa # 认证模式:
ia,密码123456
[R1-aaa]local-user hcia privilege level 15 # 权限等级15(最高级,适合管理员)
[R1-aaa]local-user hcia service-type ssh # 服务类型:指定该用户用于SSH登录
[R1-aaa]quit配置 VTY 接口(仅允许 SSH 登录)
bash
[R1]user-interface vty 0 4 # 进入VTY 0-4接口
[R1-ui-vty0-4]authentication-mode aaa # 认证模式:如涉及版权问题,请联系作者处理!!!