欢迎访问宝典百科,专注于IT类百科知识解答!
在华为交换机上配置远程管理功能(SSH/Telnet)需要以下步骤,涉及基础网络配置、用户权限及安全策略设置:
1. 基础网络配置
配置管理VLAN
若交换机使用VLAN划分,需指定管理VLAN并分配IP:
vlan 10
description Management_VLAN
quit
interface Vlanif 10
ip address 192.168.1.1 24
quit
注意:需确保物理端口加入该VLAN(`port link-type access` + `port default vlan 10`)。
物理端口允许管理流量
若管理接口为物理端口(如G0/0/1):
interface GigabitEthernet 0/0/1
port link-type access
port default vlan 10
undo shutdown
quit
2. 开启远程协议
Telnet配置
Telnet明文传输,仅限测试环境使用:
telnet server enable
user-interface vty 0 4
authentication-mode aaa
protocol inbound telnet
quit
SSH配置(推荐)
SSH需生成密钥并启用:
rsa local-key-pair create
stelnet server enable
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
idle-timeout 30 # 设置超时时间(分钟)
quit
3. 用户认证配置
本地用户创建
aaa
local-user admin password cipher Admin@123 # 密文密码
local-user admin privilege level 15
local-user admin service-type ssh telnet terminal
quit
权限说明:
- Level 0(参观级):仅`ping`、`tracert`等基础命令。
- Level 3(配置级):大部分配置权限。
- Level 15(管理级):所有权限。
可选:对接外部认证服务器
如RADIUS/TACACS+:
aaa
authentication-scheme radius
authentication-mode radius
quit
domain default
authentication-scheme radius
quit
radius-server template rd1
radius-server shared-key cipher Key@123
radius-server 192.168.1.100 1812
quit
4. 防火墙与ACL强化安全
限制访问源IP
acl 2000
rule permit source 192.168.1.100 0
rule deny source any
quit
user-interface vty 0 4
acl 2000 inbound
quit
关闭不必要服务
HTTP/HTTPS服务默认关闭,若需开启:
http server enable
http secure-server enable # HTTPS
5. 验证与排错
检查服务状态
display telnet server status
display ssh server status
测试连接
使用PuTTY或终端工具连接交换机IP,SSH/Telnet端口默认22/23。
扩展知识
SSH版本选择:华为交换机默认支持SSHv2,安全性更高。可通过`ssh version 2`强制使用。
端口修改:通过`sftp server port 2222`可更改默认端口,降低扫描风险。
日志监控:配置`info-center`记录登录事件,便于审计。
SNMP远程管理:需配合SNMPv3协议并配置团体字(community)或用户加密。
配置完成后,建议保存配置(`save`)并定期备份配置文件。
