本文已参与“新人创作礼”活动,一起开启掘金之路
一台交换机能够通过 Telnet 登录的条件有下列三点: 1 交换机已经配置了 IP 地址,并且已经接入网络并开始工作; 要保证pc能和交换机通讯,才能远程登陆交换机。 2 交换机已经配置了AAA方法; AAA是Authentication(认证)Authorization授权 Account记帐的简称; 但这三者也不是必须是要同时一起使用,显然要配置telnet只需要配置认证。 认证可以使用交换机本地数据库(enable、local),可以用外部数据库(tacacs,radius)。 配置认证的命令为:aaa authentication + 行为 + 列表名 + 认证方法 2.1 行为 认证相当于坐火车检票,不需要随时拿出火车票给乘务看。 坐火车检票有时候是在进门时检票,有时候是在行程中途检票。 而行为则是对认证动作进行认证定义,即定义在什么条件下需要进行认证 行为主要有: aaa authentication login ―――对登陆行为进行认证; aaa authentication ppp ―――对基于PPP协议的一些网络应用进行认证; aaa authentication enable ―――对使用enable命令进入特权模式时进行认证; aaa authentication none ―――不使用aaa认证 aaa authentication line ―――使用line密码进行认证 …… 2.2 列表名 在AAA中我们把各种认证方式互相组合保存成一个个列表。 列表名是自己定义的,可以叫admin可以叫zhangsan, defautl列表是系统缺省列表,并没有什么特殊的,与我们自定义唯一区别是它是由系统自带的。 2.3 认证方法 认证方法则是设置拿我们回答的口令和什么进行分析对比。 如我们回答密码是admin,认证方法会定义我们回答的‘admin’这个字符串和什么验证是否正确。 关键字 描述 enable 使用enabel口令认证; krb5 使用Kerberos5来认证; line 使用线路口令来认证; local 使用本地用户数据库来认证; none 不认证; group radius 使用radius服务器来认证; group tacacs+ 使用tacacs+服务器来认证
每个列表至少有一种认证方法,至多有四种认证方法,第一种认证方法不通过才会匹配后面的认证方法。
如:
aaa authentication login tel_net group local enable // 定义了一个名叫tel_nel的认证方式,就是先用本地帐号验证,如果不成功就用enable 密码来验证;
3 AAA方法应用到vty上; 定义好认证方法后,还需要把这个方法应用到接口上才能生效。 为什么还需要应用到接口呢,有人说太麻烦应该定义好了能直接用就好了。实际那样可不行,如:我们配置telnet时需要认证,而console线登陆就不需要去配认证。 vty是用于远程登陆的接口,只有配置完vty,才可以远程登陆。 命令line 0 4表示创建编号0-4共5个vty接口,可供5个人连接,且超过5个人无法连接。框式至多配置32个连接。 line vty 0 //进入接口线路配置 aaa authentication tel_net //线路vty0使用名为tel_net的方式进行认证; telnet配置举例: switch_config#aaa authentication login admin group enable local //创建列表名为 admin 的登陆认证方法,要求登陆时用enable密码,密码错误时使用本地用户认证。 switch_config#line vty 0 4 //创建并进入vty 0-4线路 switch_config_line#login authentication admin //调用admin方法。 上面创建已经将登陆配好,但是还没配置enable密码和本地用户 Switch_config#enable password admin //创建 enable 密码 switch_config#username admin password admin //创建本地用户
这时,我们可以通过网络中的一台计算机,在命令行下输入 “ telnet 交换机 IP 地址 ”登录到交换机上对交换机进行配置。 如果登录的交换机没有配置远程登录密码,会显示 “ Password required, but none set ” 的错误提示信息;如果没有设置特权密码,在进入特权模式时会显示 “ %Nopassword set ”的错误提示信息。 所以,对于一台新购置的交换机,必须先用控制台为交换机配置 IP 地址和远程 登录密码,以后就可以用远程登录管理这台交换机了。 配置举例: 用控制台为交换机配置 IP 地址、远程登录密码和特权密码。
