华为telnet的两种认证方式
实验拓扑:
实验要求:
1.采用普通密码认证实现telnet 远程登录机房设备R3
2.采用AAA认证服务方式实现telnet 远程登录机房设备R3
实验步骤:
1.完成基本配置(设备接口配置IP,此步骤略过)
sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R1
[R1]undo in e
Info: Information center is disabled.
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 10.1.1.1 24
[R1-GigabitEthernet0/0/0]
sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R2
[R2]undo in e
Info: Information center is disabled.
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 10.1.1.2 24
[R2-GigabitEthernet0/0/0]
sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R3
[R3]undo in e
Info: Information center is disabled.
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip add 10.1.1.254 24
[R3-GigabitEthernet0/0/0]
2.配置机房设备R3
--------------------------------------第一种认证方式telnet密码认证--------------------------------
[R3]user-interface vty 0 4
[R3-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei
[R3-ui-vty0-4]
3.测试远程登录
telnet 10.1.1.254
Press CTRL_] to quit telnet mode
Trying 10.1.1.254 …
Connected to 10.1.1.254 …
Login authentication
Password:
能够通过密码远程登录到机房的设备R3上了,但是却不能做任何事情!
小结:因为只需要密码就能telnet远程登录,无论是R1普通用户还是R2网络管理员,至于登录后不能干什么,只是权限不够,这并不是难事没只需要提升权限即可。但安全的问题还是没有改观。
sys
[R3]user-interface vty 0 4
[R3-ui-vty0-4]user privilege level 3
[R3-ui-vty0-4]
总结:只要在机房设备上修改了用户的权限为3级,一个密码,远程登录啥事都能干了!似乎只有密码就没有干不成的事情!
--------------------------------第二种认证方式AAA--------
sys
Enter system view, return user view with Ctrl+Z.
[R3]aaa
[R3-aaa]local-user zyh password cipher huawei666 privilege level 3
Info: Add a new user. 创建一个新用户zyh 密码huawei666 运行级别3级
[R3-aaa]
[R3-aaa]local-user zyh service-type telnet 配置该用户的服务类型还是telnet
[R3]user-interface vty 0 4
[R3-ui-vty0-4]authentication-mode aaa 这次对机房设备的访问要求用AAA授权模式
[R3-ui-vty0-4]
测试:
经测试,只能有特定的用户才能访问机房的设备R3,单纯靠密码已经无法telnet访问了。安全级别是提升了很多。