华三交换机的Telnet的3种模式配置方式及优缺点总结

华三交换机的Telnet的3种模式配置方式及优缺点总结

引用

CSDN

1.

https://blog.csdn.net/m0_56604317/article/details/145870542

实验拓扑图：

配置方式一：无认证模式，即无须密码登录（none）

telnet server enable
line vty 0 63
authentication-mode none
user-role network-admin
user-role network-operator

命令含义：

1. telnet server enable：

• 此命令用于启用设备的 Telnet 服务器功能。只有开启该功能后，其他设备或客户端才能通过 Telnet 协议远程连接到本设备。

2. line vty 0 63：

• line vty 用于进入虚拟终端线路（Virtual Terminal Lines）的配置模式。0 63 表示指定虚拟终端线路的范围，即允许同时有 64 个远程 Telnet 会话连接到设备。

3. authentication-mode none：

• 将虚拟终端线路的认证模式设置为无认证。这意味着任何客户端都可以直接连接到设备，无需提供用户名和密码等认证信息。

4. user-role network-admin 和 user-role network-operator：

• 为通过 Telnet 连接进来的用户分配 network-admin 和 network-operator 两种角色。network-admin 通常代表网络管理员角色，拥有最高权限；network-operator 代表网络操作员角色，权限相对较低，但也具备一定的操作权限。

特点：

• 安全性较低，因为无需认证，任何能访问设备 Telnet 服务的客户端都可以连接。
• 适用于内部信任网络环境，方便快速连接设备进行操作。

配置方式二：密码认证模式（password）

telnet server enable
line vty 0 63
user-role level-9
set authentication password simple admin@123
undo user-role network-admin
undo user-role network-operator

命令含义：

1. telnet server enable：

• 同样是启用设备的 Telnet 服务器功能。

2. line vty 0 63：

• 进入虚拟终端线路 0 - 63 的配置模式，允许 64 个并发 Telnet 会话。

3. user-role level-9：

• 为通过 Telnet 连接的用户分配权限级别为 9 的角色。不同的权限级别对应不同的操作权限，级别越高权限越大。

4. set authentication password simple admin@123：

• 设置 Telnet 登录的认证密码为 admin@123，simple 表示以明文形式存储密码。当客户端通过 Telnet 连接设备时，需要输入此密码进行认证。

5. undo user-role network-admin 和 undo user-role network-operator：

• 取消之前可能存在的 network-admin 和 network-operator 角色分配，确保用户仅拥有 level-9 权限。

特点：

• 安全性相对较高，需要输入正确的密码才能登录设备。
• 密码以明文形式存储，存在一定的安全风险，建议在安全要求不高的环境中使用。

配置方式三：基于方案的认证模式（scheme）

local-user h3c class manage
password simple 1234abcd
service-type telnet
authorization-attribute user-role network-admin
undo authorization-attribute user-role network-operator

telnet server enable
line vty 0 63
authentication-mode scheme
user-role network-operator

命令含义：

1. local-user h3c class manage：

• 创建一个本地用户 h3c，并将其所属类别设置为 manage，表示该用户用于管理设备。

2. password simple 1234abcd：

• 为本地用户 h3c 设置密码为 1234abcdadmin，同样以明文形式存储。

3. service-type telnet：

• 指定用户 h3c 可以使用 Telnet 服务进行远程连接。

4. authorization-attribute user-role network-admin 和 undo authorization-attribute user-role network-operator：

• 为用户 h3c 分配 network-admin 角色，并取消 network-operator 角色。这意味着用户 h3c 拥有网络管理员的权限。

5. telnet server enable：

• 启用 Telnet 服务器功能。

6. line vty 0 63：

• 进入虚拟终端线路 0 - 63 的配置模式。

7. authentication-mode scheme：

• 将虚拟终端线路的认证模式设置为基于方案的认证。即客户端在登录时需要提供用户名和密码，设备会根据本地配置的用户信息进行认证。

8. user-role network-operator：

• 为通过 Telnet 连接的用户默认分配 network-operator 角色，但如果使用 h3c 用户登录，则拥有 network-admin 角色。

特点：

• 安全性较高，需要正确的用户名和密码才能登录设备。
• 可以针对不同用户进行精细的权限管理，通过分配不同的角色来控制用户的操作权限。

三种配置方式的区别

• 认证方式：

• 无认证模式（none）不需要任何认证信息，直接允许连接。

• 密码认证模式（password）只需要输入密码进行认证。

• 基于方案的认证模式（scheme）需要输入用户名和密码进行认证。

• 安全性：

• 无认证模式安全性最低，适用于内部信任网络。

• 密码认证模式有一定安全性，但密码以明文存储有风险。

• 基于方案的认证模式安全性最高，可进行精细的用户权限管理。

• 用户权限管理：

• 无认证模式直接为所有连接用户分配固定角色。

• 密码认证模式通过权限级别控制用户权限。

• 基于方案的认证模式可以针对不同用户分配不同角色，实现更灵活的权限管理。