任务描述

        某公司的网络管理员小赵负责公司办公网的管理工作，熟悉了公司内部设备运行情况，每天都需要保障公司内部网络设备的正常运行，同时进行办公网的日常管理和维护工作。     在安装办公网中，路由器和交换机放置在中心机房，每次配置的时候，都需要去中心机房现场进行现场配置、调试，非常麻烦。因此小赵决定在路由和交换设备上开启远程登录方式管理功能，即通过远程方式登录路由器和交换机。

任务要求

（1）实现网络设备的远程管理功能，网络拓扑图如图

（2）路由器和交换机端口IP地址设置如表

（3）在路由器R1和SW3A上，先配置Telnet远程管理，并使用R2对其进行验证；再在R1上配置STelnet远程管理，并使用SW3A对其进行验证。

知识准备

远程管理极大地提高了用户操作的灵活性。远程管理主要分为Telnet和STelnet两种方式。

1．Telnet介绍

Telnet（Telecommunication Network Protocol）起源于ARPANET，是最早的Internet应用之一。 Telnet通常用在远程登录应用中，以便对本地或远端运行的网络设备进行配置、监控和维护。如网络中有多台设备需要配置和管理，用户无需为每一台设备都连接一个用户终端进行本地配置，可以通过Telnet方式在一台设备上对多台设备进行管理或配置。如果网络中需要管理或配置的设备不在本地时，也可以通过Telnet方式实现对网络中设备的远程维护，极大地提高了用户操作的灵活性。 2．STelnet介绍

由于Telnet缺少安全的认证方式，而且传输过程采用TCP进行明文传输，存在很大的安全隐患，单纯提供Telnet 服务容易招致主机IP地址欺骗、路由欺骗等恶意攻击。传统的Telnet和FTP等通过明文传送密码和数据的方式，已经慢慢不被接受。 STelnet是Secure Telnet的简称。在一个传统不安全的网络环境中，服务器通过对用户端的认证及双向的数据加密，为网络终端访问提供安全的Telnet服务。 SSH (Secure Shell）是一个网络安全协议，通过对网络数据的加密，使其能够在一个不安全的网络环境中，提供安全的远程登录和其他安全网络服务。SSH特性可以提供安全的信息保障和强大的认证功能，以保护路由器不受诸如IP地址欺诈、明文密码截取等攻击。SSH 数据加密传输，认证机制更加安全，而且可以代替Telnet，已经被广泛使用，成为了当前重要的网络协议之一。 SSH基于TCP协议22端口传输数据，支持Password认证。用户端向服务器发出Password认证请求，将用户名和密码加密后发送给服务器；服务器将该信息解密后得到用户名和密码的明文，与设备上保存的用户名和密码进行比较，并返回认证成功或失败的消息。

由于通过STelnet登录设备需配置用户界面支持的协议是SSH，因此必须设置VTY用户界面验证方式为AAA验证，否则执行portocol inbound ssh命令配置VTY用户界面支持SSH协议将不会成功。 3．用户验证

每个用户登录设备时都会有一个用户界面与之对应。通过用户验证机制可以做到只有合法用户才能登录设备。设备支持的验证方式有3种：Password验证、AAA验证和None验证。

（1）Password验证：只需要输入密码，密码验证通过后即可登录设备。在默认情况下，设备使用的是Password验证方式。使用该方式时，如果没有设置密码，则无法登录设备。Password验证有simple方式和cipher方式，simple方式以明文设置密码，cipher方式以密文设置密码。

（2）AAA验证：需要输入用户名和密码，只有输入正确的用户名和其对应的密码，才能登录设备。由于需要同时验证用户名和密码，因此AAA验证方式的安全性比Password验证方式高，并且该方式可以区分不同的用户，用户之间互不干扰。所以，使用Telnet登录时，一般采用AAA验证方式。

（3）None验证：不需要输入用户名和密码，可以直接登录设备，即无须进行任何验证。为了安全起见，不推荐使用None验证方式。 此外，SSH用户用于STelnet登录，在配置VTY用户界面的验证方式为AAA验证的基础上，还需要配置SSH用户的验证方式。SSH用户验证方式支持密码（Password）验证、RSA验证、椭圆曲线加密（Elliptic Curves Cryptography，ECC）验证，密码+RSA（Password-RSA）验证、密码+椭圆曲线（Password-ECC）验证和所有（ALL）验证。 （1）Password认证：是一种基于“用户名+口令”的认证方式。通过AAA为每个SSH用户配置相应的密码，在通过SSH登录时，输入正确的用户名和密码就可以实现登录。

（2）RSA认证：是一种基于客户端私钥的认证方式。RSA是一种公开密钥加密体系，基于非对称加密算法。RSA密钥也是由公钥和私钥两部分组成，在配置时需要将客户端生成的RSA密钥中的公钥部分拷贝输入至服务器中，服务器用此公钥对数据进行加密。设备作为SSH客户端最多存储20个密钥。

（3）ECC认证：是一种椭圆曲线算法，与RSA相比，在相同安全性能下密钥长度短、计算量小、处理速度快、存储空间小、带宽要求低。

（4）Password-RSA认证：SSH服务器对登录的用户同时进行密码认证和RSA认证，只有当两者同时满足情况下，才能认证通过。

（5）Password-ECC认证：SSH服务器对登录的用户同时进行密码认证和ECC认证，只有当两者同时满足情况下，才能认证通过。

（6）ALL认证：SSH服务器对登录的用户进行RSA认证、ECC认证或密码认证，只要满足其中任何一个，就能认证通过。 使用Telnet远程登录时，可以设置Password验证和AAA验证。使用STelnet远程登录时，只能使用AAA验证方式。 用户验证机制保证了用户登录的合法性。在默认情况下，通过远程登录的用户，在登录后的权限级别是0级（参观级），只能使用ping、tracert等网络诊断命令。使用user privilege level 2命令，配置权限级别为2级。

任务实施

本任务主要介绍Telnet远程登录和STelnet远程登录的实现过程。

1.配置Telnet远程登录

（1）根据如图6.2.1所示的网络拓扑图，连线全部使用直通线、开启所有设备电源。

（2）路由器R1的基本配置。

（3）交换机SW3A的基本配置。

（4）路由器R2的基本配置。

路由器R1和R2配置静态路由，实现全网互通

在交换机SW3A上配置Telnet用户登录界面，采用Passrod认证方式，密码为Huawei。

在路由器R1上配置Telnet用户登录界面，采用AAA方式，用户名为admin，密码为Huawei。

2.配置STelnet远程登录 这里以交换机SW3A到R1到的STelnet远程登录为例实现配置。

根据如图6.2.1所示的网络拓扑图，连线全部使用直通线、开启所有设备电源。

路由器R1的基本配置，参考前面的配置。

交换机SW3A的基本配置，参考前面的配置。

在路由器R1上，开启SSH服务。

在路由器R1上，使用rsa local-key-pair create命令来生成本地RSA主机秘钥对。 成功完成SSH登录的首要操作是配置并产生本地RSA密钥对。在进行其他SSH配置之前先要生成本地密钥对，生成的密钥对将保存在设备中，重启后不会丢失。

配置SSH用户登录界面。设置用户验证方式为AAA授权验证方式。用户名为admin，密码为huawei。

配置SSH Client首次认证功能。 当SSH用户第一次登录SSH服务器时，用户端还没有保存SSH服务器的RSA公钥，会对服务器的RSA有效性公钥检查失败，从而导致登录服务器失败。因此当用户端SW3A首次登录时，需开启SSH用户端首次认证功能，不对SSH服务器的RSA公钥进行有效性检查。

任务验收

1.对Telnet远程登录的测试

在路由器R1上，使用telnet 192.168.1.254进行Password方式登录测试。

在路由器R2上，使用telnet 192.168.1.1进行AAA方式登录测试。

2.对STelnet远程登录的测试

在交换机SW3A上，使用stelnet 192.168.1.1进行登录测试。

在路由器R1上，使用display users查看已经登录的用户信息。

任务小结

本任务介绍了如何在路由器上实现Telnet和SSH，这对网络管理员来说是至关重要的，因为可以在很大程度上方便管理员的工作，要注意Telnet和SSH的区别，实际工作中使用SSH更多一些，因为Telnet是明文传输的，而SSH是密文传输的，SSH相对来说更安全。