在交換機和路由器的一些設置中，我們可以用telnet來管理。它可以有效管理上百臺的交換機和路由器。為管理員們提供了方便。這里我們就來詳細介紹一下交換機telnet登錄的具體步驟。那么希望大家能夠從中得到參考。

telnet配置

配置環境參數

PC機固定IP地址10.10.10.10/24
SwitchA為三層交換機,vlan100地址10.10.10.1/24
SwitchA與SwitchB互連vlan10接口地址192.168.0.1/24
SwitchB與SwitchA互連接口vlan100接口地址192.168.0.2/24
交換機SwitchA通過以太網口ethernet 0/1和SwitchB的ethernet0/24實現互連.

組網需求

1.SwitchA只能允許10.10.10.0/24網段的地址的PC telnet訪問

2.SwitchA只能禁止10.10.10.0/24網段的地址的PC telnet訪問

3.SwitchB允許其它任意網段的地址telnet訪問

2數據配置步驟

PC管理交換機的流程

1.如果一臺PC想遠程telnet到一臺設備上,首先要保證能夠二者之間正常通信.SwitchA為三層交換機,可以有多個三層虛接口,它的管理vlan可以是任意一個具有三層接口并配置了IP地址的vlan

2.SwitchB為二層交換機,只有一個二層虛接口,它的管理vlan即是對應三層虛接口并配置了IP地址的vlan

3.telnet用戶登錄時,缺省需要進行口令認證,如果沒有配置口令而通過交換機telnet登錄,則系統會提示"password required, but none set.".

#p#SwitchA相關配置

PC在vlan100內,交換機上對應的端口為E0/10-E0/20

1.創建（進入）vlan100
[SwitchA]vlan 100
2.將E0/10-E0/20加入到vlan10里
[SwitchA-vlan100] port Ethernet 0/10 to Ethernet 0/20
3.創建vlan100的虛接口
[SwitchA]interface Vlan-interface 100
4.給vlan100的虛接口配置IP地址
[SwitchA-Vlan-interface100]ip address 10.10.10.1 255.255.255.0
5.創建（進入）vlan10
[SwitchA]vlan 10
6.將連接SwitchB的E0/1加入vlan10
[SwitchA-vlan10] port Ethernet 0/1
7.創建（進入）vlan10的虛接口
[SwitchA]interface Vlan-interface 10
8.給vlan10的虛接口配置IP地址
[SwitchA-Vlan-interface10]ip address 192.168.0.1 255.255.255.0

SwitchB相關配置

1.創建（進入）vlan100
[SwitchA]vlan 100
2.將E0/24加入到vlan100里
[SwitchA-vlan100] port Ethernet 0/24
3.創建（進入）vlan100的虛接口
[SwitchB]interface Vlan-interface 100
4.給vlan100的虛接口配置IP地址
[SwitchB-Vlan-interface100]ip address 192.168.0.2 255.255.255.0
5.一般二層交換機允許其它任意網段訪問需要加入一條缺省路由
[SwitchB]ip route-static0.0.0.0 0.0.0.0 192.168.0.1

#p#telnet不驗證配置

[SwitchA-ui-vty0-4]authentication-mode none

telnet密碼驗證配置

1.進入用戶界面視圖
[SwitchA]user-interface vty 0 4
2.設置認證方式為密碼驗證方式
[SwitchA-ui-vty0-4]authentication-mode password
3.設置明文密碼
[SwitchA-ui-vty0-4]set authentication password simple Huawei
4.缺省情況下,從VTY用戶界面登錄后可以訪問的命令級別為0級.
需要將用戶的權限設置為3,這用戶可以進入系統視圖進行操作,否則只有0級用戶的權限
[SwitchA-ui-vty0-4]userprivilege level 3

#p#telnet本地用戶名和密碼驗證配置

1.進入用戶界面視圖
[SwitchA]user-interface vty 0 4
2.使用authentication-mode scheme命令,表示需要進行本地或遠端用戶名和口令認證.
[SwitchA-ui-vty0-4]authentication-mode scheme

3.設置本地用戶名和密碼

[SwitchA]local-user Huawei
[SwitchA-user-huawei]service-typetelnetlevel 3
[SwitchA-user-huawei]password simple Huawei

4.如果不改變交換機telnet登錄用戶的權限,用戶登錄以后是無法直接進入其它視圖的,可以設置super password,來控制用戶是否有權限進入其它視圖

[SwitchA]local-user Huawei
[SwitchA-user-huawei]service-type telnet
[SwitchA-user-huawei]password simple Huawei
[SwitchA]super password level 3 simple huawei

#p#telnetRADIUS驗證配置

以使用huawei開發的cams作為RADIUS服務器為例

1.設置交換機telnet登錄方式為scheme
[SwitchA-ui-vty0-4]authentication-mode scheme
2.配置RADIUS認證方案
[SwitchA]radius scheme cams
3.配置RADIUS認證服務器地址10.110.51.31
[SwitchA-radius-cams]primary authentication 10.110.51.31 1812
4.配置RADIUS計費服務器地址10.110.51.31
[SwitchA-radius-cams]primary accounting 10.110.51.31 1813
5.配置交換機與認證服務器的驗證口令
[SwitchA-radius-cams]key authentication expert
6.配置交換機與計費服務器的驗證口令
[SwitchA-radius-cams]key accounting expert
7.配置服務器類似為huawei,即使用CAMS
[SwitchA-radius-cams]server-type Huawei
8.送往RADIUS的報文不帶域名
[SwitchA-radius-cams]user-name-format without-domain
9.創建（進入）一個域
[SwitchA]domain Huawei
10.在域huawei中引用名為"cams"的認證方案
[SwitchA-isp-huawei]radius-scheme cams
11.將huawei域設置為缺省域
[SwitchA]domain default enable huawei

#p#telnet訪問控制配置

1.設置只允許符合ACL1的IP地址登錄交換機

[SwitchA-ui-vty0-4]acl 1 inbound

2.設置規則只允許某網段登錄

[SwitchA]acl number 1
[SwitchA-acl-basic-1]
[SwitchA-acl-basic-1]rule permit source 10.10.10.0 0.0.0.255

3.設置規則只禁止某網段登錄

[SwitchA]acl number 1
[SwitchA-acl-basic-1]
[SwitchA-acl-basic-1]rule deny source 10.10.10.0 0.0.0.255

3測試驗證

1.PC屬于vlan10可以telnet到SwitchA和SwitchB上,

2.PC屬于其它vlan不能telnet到SwitchA,能夠telnet到SwitchB上