在聊遠程管理前,我們先來說說遠程管理的原理;
簡單講遠程管理就是通過網絡連接對方服務器或網絡設備上的遠程服務進行一系列操作;類似我們在本地操作一樣;主要是通過網絡和遠程服務實現;其原理就是客戶端訪問服務端的遠程服務,從而實現遠程管理;其核心就是網絡和服務;對於不同的系統,其后端的遠程服務各不相同;比如Linux默認就是跑的openssh(sshd)服務,默認遠程端口是22;windows系統默認跑的mstsc服務,默認遠程端口是3389;除了ssh和mstsc遠程服務,還有最原始的telnet服務;不管跑那種遠程服務,要想實現遠程管理首先得網絡互通,所謂網絡互通是指客戶端和服務端能夠正常通信,中間沒有任何阻攔;除此之外,服務端的遠程服務得運行正常;只要滿足這兩個條件,我們就可以實現遠程管理;
對於網絡設備,通常常用的遠程方式有ssh或telnet;telnet和ssh最明顯的區別是ssh數據是加密的,telnet是明文的;相比來講ssh要比telnet更加安全;
華為路由器配置telnet遠程服務
實驗top
在R2上開啟Telnet服務
提示:華為ensp模擬器中的路由器默認開啟了telnet服務,所以在此開啟服務會提示我們Telnet服務已經開啟;
進入vty
提示:遠程默認用到的都是虛擬終端,所以我們配置telnet都需要進入到vty視圖中進行配置;
選擇認證模式
提示:認證模式有兩種,一種是password,一種是aaa;這兩種認證模式的區別是aaa認證需要認證用戶名和密碼,而password只認證密碼即可;推薦使用aaa認證;上述命令中選擇了模式以后,它會提示我們輸入密碼,密碼最大長度不能超過16個字符;
在R1的相關接口上配置上ip地址
提示:telnet服務是應用層服務,默認工作在tcp的23號端口,所以我們在配置telnet服務時,一定要給接口配置ip地址;
在R2的相關接口上配置上ip地址
提示:配置ip地址一定要看下對應的接口是否都up起來了,通常physical up起來表示線已經接上,配置好ip地址以后對應的protocol 才會up;只有兩者都up后直連路由才會生成,R1才能正常訪問R2;到此Telnet服務就基本配置完成,接下來我們就可以在R1上用telnet訪問R2了;
驗證:用R1訪問R2
提示:雖然R1能夠正常遠程R2,但是遠程過去的權限很小,導致我們查看接口的命令都不能正常執行;
給telnet用戶授權為3級別
驗證:現在用R1遠程R2,看看是否權限提升了?
提示:可以看到現在R1就可以正常執行查看接口簡要信息的命令了;
更改最大VTY會話數量
提示:默認情況最大支持5個虛擬終端遠程設備;
以上是使用password認證模式,接下來我們使用aaa認證模式
在R2上進入aaa視圖,創建用戶和密碼
配置用戶的訪問權限級別
提示:3-15級別都是管理級別;它相當於Linux里面的root;
關聯用戶和對應的服務類型
提示:以上命令表示qiuhom這個用戶的只能用於telnet服務做認證,如果還有其他服務,我們可以在后面用空格隔開;
更改vty認證模式為aaa
提示:只要認證模式更改成aaa模式以后,之前配置的權限都會失效;到此基於aaa認證模式telnet服務就配置好了;
驗證:在R1上使用telnet遠程R2
提示:可以看到現在R1遠程R2時就需要提供用戶名和密碼了;
示例:設置console口使用aaa認證模式
提示:默認console口使用password模式認證,只不過我們沒有設置密碼;設置密碼可以在用戶console接口視圖下使用set auth password ci 密碼命令來設置密碼;
設置qiuhom用戶能夠用於console登錄
提示:terminal 的意思就是用於console口本地登錄;上述命令表示qiuhom用戶可以用於telnet和本地console口登錄認證;
驗證:退出終端,重新登錄console口,看看是否需要密碼?
提示:可以看到現在退出console口以后再次登錄就需要我們提供用戶名和密碼了;從上述實驗過程來看,aaa認證模式比password認證模式要嚴格安全一點,同時也要比password認證模式更加靈活;在管理上推薦使用aaa認證;
擴展:在R1上配置ssh服務
開啟ssh服務
提示:在華為路由器上的stelnet服務就ssh服務;
創建用於ssh連接的aaa用戶和密碼,並授權為管理級別權限
配置ssh用戶的認證方式為password
提示:ssh用戶認證的方式有四種,第一種all表示密碼或者密鑰兩者選其一種即可;第二種password表示認證方式為密碼認證;第三種是密碼和密鑰都要認證,並且兩者都要正確才給予登錄;第四種表示密鑰認證;
創建密鑰對
提示:該密鑰對用於ssh通信時加密和解密數據,保證數據通信是加密的;
配置vty認證模式為aaa認證模式,並允許ssh用戶接入
ok,到此服務端ssh的配置 就完成了;接下來R2用ssh連接R1,看看是否可以正常連接?
R2用ssh連接R1
提示:上面無法正常連接的原因是,在客戶端沒有服務端公鑰,所以服務端拒絕了客戶端的連接;解決辦法是在客戶端開啟第一次連接公鑰下載;
在客戶端開啟第一次連接公鑰下載
再次用r2連接R1,看看現在是否可以正常連接?
提示:可以看到在客戶端開啟了第一次連接時公鑰下載就能夠正常連接到R1;