前言

Telnet和SSH都是用于远程登录和管理设备的协议，也是工作中用的最多的设备初始化信息。Telnet端口号是23，使用明文传输，在工作中是不被使用的，不符合安全要求。SSH端口号是22，使用密文传输，为在公共网络等不安全环境中安全通信而设计，工作中的不二选择。

• Telnet 就像在公共场合用明信片写信，上面的所有内容（包括你的银行密码）对经手它的每个人都一目了然
• SSH 则好比通过一个只有你和收件人才有钥匙的坚固保险箱来传递密封的信件，内容安全可靠

---

命令是以华为设备举例

Console

Console口本地登录设备是一种权限很高的管理设备方式，当用户无法进行远程登录设备时，可通过电脑直连Console口进行本地登录。

设备仅配置Console登录，适用于一次性配置，不需要远程维护环境的设备

缺省情况，Console口登录的用户权限最高，设备的密码是以密文的形式展示

<Quidway> system-view
[Quidway] user-interface console 0    //进入Console用户界面
[Quidway-console0] authentication-mode password    //配置Console用户界面的认证方式为Password
[Quidway-console0]set authentication password cipher abcd@123    //配置登录密码为abcd@123。缺省情况下，Console口用户界面下用户的级别是15。

Telnet

Telnet、SSH 登录的前提是，设备的管理IP是通的（路由可达）

• aaa 界面是管理本地用户信息的
• vty 界面是管理设备远程登录的

<Quidway> system-view

[Quidway] aaa
[Quidway-aaa] local-user admin123 password irreversible-cipher abcd@123    //创建本地用户admin123，登录密码为abcd@123
[Quidway-aaa] local-user admin123 service-type telnet    //配置本地用户admin123的接入类型为Telnet方式
[Quidway-aaa] local-user admin123 privilege level 15    //配置本地用户admin123的级别为15

# 启用 Telnet 服务
[Quidway] telnet server enable

[Quidway] user-interface vty 04
[Quidway-ui-vty0-4] protocol inbound telnet    //指定VTY用户界面所支持的协议为Telnet

登录提示：

Login authentication


Username:admin123
Password:
Info: The max number of VTY users is 15, and the number
      of current VTY users on line is 2.
      The current login time is 2018-12-22 18:33:18+00:00.
<Quidway>

SSH

Telnet、SSH 登录的前提是，设备的管理IP是通的（路由可达）

• 启用SSH服务
• 配置本地用户
• 配置SSH用户认证方式
• 在VTY下添加SSH登录

<Quidway> system-view

[Quidway] aaa
[Quidway-aaa] local-user admin123 password irreversible-cipher abcd@123    //创建与SSH用户同名的本地用户和对应的登录密码
[Quidway-aaa] local-user admin123 privilege level 15    //配置本地用户级别为15
[Quidway-aaa] local-user admin123 service-type ssh    //配置本地用户的服务方式为SSH

# 启用 SSH 服务
[Quidway] stelnet server enable    //使能设备的STelnet服务器功能

# 配置 SSH 用户认证方式
[Quidway]ssh user admin123    //创建SSH用户admin123
[Quidway]ssh user admin123 service-type stelnet    //配置SSH用户的服务方式为STelnet
[Quidway]ssh user admin123 authentication-type password   

[Quidway] user-interface vty 04
[Quidway-ui-vty0-4] authentication-mode aaa    //配置VTY用户界面认证方式为AAA认证
[Quidway-ui-vty0-4] protocol inbound ssh    //配置VTY用户界面支持的协议为SSH，默认情况下即SSH
[Quidway-ui-vty0-4] user privilege level 15    //配置VTY用户界面的级别为15
[Quidway-ui-vty0-4] quit 

SSH和Telnet配置完成后，可以接入软件Securecrt登录设备；Securecrt的使用可以详见上一篇文章

SSH 补充

依照现网的安全要求，我们现网设备的维护，正常都是使用SSH登录，且对登录也有必定的要求：

• 设置登入的协议仅为SSH
• 设置用户连接的超时时间，超出5分钟没有执行命令，设备登录将自动退出
• 最为重大的，限制登录的源IP信息，即登录绑定ACL限制，acl 2000 inbound

user-interface vty 04
 acl 2000 inbound
 authentication-mode aaa
 protocol inbound ssh
 idle-timeout 50
#
acl number 2000
 rule 1 permit source XX.XX.13.0 0.0.0.127
 rule 2 permit source XX.XX.13.192 0.0.0.63
 rule 3 deny

查询用户登录和SSH和状态信息

查询命令：

• display users all
• display tcp status
• display ssh server status

<HW-SW>display users all 
  User-Intf    Delay    Type   Network Address     AuthenStatus    AuthorcmdFlag
0   CON 0                                                                       Username : Unspecified

+ 34  VTY 0   00:00:00  SSH    XX.XX.13.33              pass           no        Username : lw137XXXXXX

35  VTY 1                                                                       Username : Unspecified


<HW-SW>display tcp status
TCPCB    Tid/Soid Local Add:port        Foreign Add:port      VPNID  State
8e5306ac 149/3    0.0.0.0:22            0.0.0.0:0             -1     Listening
8e5300dc 149/1    0.0.0.0:23            0.0.0.0:0             -1     Listening
8e52f3c8 69 /2    0.0.0.0:80            0.0.0.0:0             -1     Listening
8e52f998 69 /1    0.0.0.0:443           0.0.0.0:0             -1     Listening
8e52f0e0 149/26   XX.XX.46.56:22       XX.XX.13.33:45660    0      Established


<HW-SW>display ssh server status 
 SSH version                         :2.0
 SSH connection timeout              :60 seconds
 SSH server key generating interval  :0 hours
 SSH authentication retries          :3 times
 SFTP IPv4 server                    :Disable
 SFTP IPv6 server                    :Disable
 STELNET IPv4 server                 :Enable
 STELNET IPv6 server                 :Enable
 SCP IPv4 server                     :Disable
 SCP IPv6 server                     :Disable
 SSH server source interface         :
 ACL4 number                         :0
 ACL6 number                         :0

不同厂家的SSH配置

华为

stelnet server enable
#
aaa
local-user admin123 password irreversible-cipher abcd@123
local-user admin123 privilege level 15
local-user admin123 service-type ssh
#
ssh user admin123
ssh user admin123 service-type stelnet
ssh user admin123 authentication-type password   
#
user-interface vty 04
authentication-mode aaa
protocol inbound ssh

华三

line vty 063
 authentication-mode scheme
 user-role network-admin
 protocol inbound ssh
#
local-user admin123 class manage
 password hash abcd@123
 service-type ssh terminal https
 authorization-attribute user-role network-admin
 authorization-attribute user-role network-operator

中兴

  $
  user-name abcd@123
bind authentication-template 1
bind authorization-template 1
    password encrypted abcd@123

ssh server enable

!<telnet>
line telnet server disable
line telnet absolute-timeout 10000
line telnet idle-timeout 10
line telnet access-class ipv4 ssh-acl
line telnet max-link 10
!</telnet>

锐捷

username admin123 privilege 15 password 7 abcd@123
username admin123 login mode ssh
!
enableservice ssh-server
!
line vty 09
 transport input ssh
 access-class vty-ssh in
 exec-timeout 50

迈普

local-user admin123 class manager
 service-type console ssh
 privilege 15
 password 7 admin123

ipssh server

line vty 015
 exec-timeout 51
 protocol input ssh
 login aaa system

---

总结

以上便是博主在工作中的总结，结合文档以及个人经验的总结，希望对您有用，更多关于数通设备的资料，持续更新中，欢迎您的关注！